JP2004241842A - Service providing apparatus, service transmission/reception system, and service providing program - Google Patents

Service providing apparatus, service transmission/reception system, and service providing program Download PDF

Info

Publication number
JP2004241842A
JP2004241842A JP2003026361A JP2003026361A JP2004241842A JP 2004241842 A JP2004241842 A JP 2004241842A JP 2003026361 A JP2003026361 A JP 2003026361A JP 2003026361 A JP2003026361 A JP 2003026361A JP 2004241842 A JP2004241842 A JP 2004241842A
Authority
JP
Japan
Prior art keywords
identification information
service
service providing
communication
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003026361A
Other languages
Japanese (ja)
Other versions
JP3840186B2 (en
Inventor
Shingo Tanaka
中 信 吾 田
Akihiko Sugikawa
川 明 彦 杉
Yutaka Sada
田 豊 佐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003026361A priority Critical patent/JP3840186B2/en
Publication of JP2004241842A publication Critical patent/JP2004241842A/en
Application granted granted Critical
Publication of JP3840186B2 publication Critical patent/JP3840186B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a service providing apparatus or the like capable of preventing a connection request from a malicious party. <P>SOLUTION: The service transmission/reception system is provided with the service providing apparatus 1 and a client apparatus 2, and the service providing apparatus 1 includes: a communication section 11 for making communication with the client apparatus 2 in compliance with the Bluetooth (R) standards; an address reply section 12 for responding to a device address of its own apparatus for the client apparatus 2; a service providing section 13 for providing various services to the client apparatus 2; an interruption detection section 14 for detecting the interruption of communication with the client apparatus 2; an address generating section 15 for generating a new device address of its own apparatus; and an address revision section 16 for revising the device address of its own apparatus. Since apparatus identification information of the service providing apparatus is revised when the provision of a service to a client apparatus 2 is finished and the connection is interrupted, a bad use of the apparatus identification information can be prevented. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、近距離無線通信により各種のサービスを提供するサービス提供装置、サービス送受信システム及びサービス提供プログラムに関する。
【0002】
【従来の技術】
昨今、伝送距離が10m程度の近距離無線通信方式が注目を集めている。従来の無線LANの有効な伝送距離範囲が100m以上であるのに対し、近距離無線通信方式は、伝送範囲が狭い分、使用する電力が少ないので、携帯電話やPDA等の携帯型情報処理装置(以下、簡単に携帯端末と呼ぶ)などバッテリーに制限がある情報処理装置に搭載されることが期待されている。
【0003】
ユーザーの携帯端末の接続相手になる機器として色々なサービス提供端末を用意すれば、既存の街中でのサービスをより便利なものにすることが出来る。例えばコンビニ、スーパ及び小売店などでは、POS端末などにこの無線方式を用いたサービス提供機能を持たせると、ユーザーは携帯電話を用いて電子クーポンサービス、電子ポイントサービス、電子決済、電子レシート及び領収書発行サービスなどを受けることができるようになる。また、自動改札機などのゲートに無線機能を持たせれば、携帯端末を利用した電子チケットによるゲート開閉の制御、自動販売機に持たせれば自動販売機での決済や割引サービス、その他、駐車場、ガソリンスタンド及びドライブスルーでの電子決済など、様々な応用が期待されている。
【0004】
このような無線通信システムの従来技術として、例えばBluetooth(TM)規格による通信システムが挙げられる。Bluetoothは、2.4GHz帯の無線信号を用いるものであり、消費電力が少なく、部品コストが安くて小型化が可能なため、携帯電話などの小型携帯デバイスでの簡易な通信モジュールとしての利用が期待されている。携帯電話に合わせて、先の例でいうとPOS端末や自動改札機などのサービス提供機器側にもこのBluetoothを搭載すれば、携帯電話と直接通信を行うことができる。
【0005】
ところで、このようなシステムを実現しようとする場合、携帯電話とPOS端末や自動改札機などのサービス提供機器は互いに初めて出会う機器同士であることを想定しなければならない。このため、これらの機器間で接続を確立するためには、接続しようとする機器が接続相手機器の、通信における装置特定識別子(機器アドレス)をその場で知る手段が必要となる。
【0006】
Bluetoothの場合、識別子であるデバイスアドレスを互いに知らない機器同士で交換し合う仕組みが用意されている。近くに存在する機器のアドレスを取得したい機器は、まずインクワイヤリと呼ばれる操作を行う。この操作により、その機器はアドレス要求を行うパケットを周囲にブロードキャストする。すると、インクワイヤリスキャンと呼ばれる状態にある機器はそれに応答し、自身のアドレスを応答する。インクワイヤリを実行した機器は、その応答されたアドレスを受け取ることで、周囲機器のアドレスを取得することができる。
【0007】
接続動作は、以上によってアドレスを取得した機器が、取得したアドレスの中から相手機器として所望の機器を選択し、そのアドレスを指定した接続要求をブロードキャストする。すると、そのアドレスを持つ機器だけがそれに応答でき、互いに相手を特定することができる。その後、両者の間で接続のためのネゴシエーションが開始する、という具合になる。
【0008】
しかし、このようなサービスでは、サービスを受けることができるユーザー(例えば決済であれば決済サービスを事前に使用登録したユーザー、自動改札機であれば有効な定期券情報をもっているユーザーなど)と、そうでないユーザーを識別し、選択的にサービスを受けることが出来るユーザーのみと接続する必要があり、接続の際には何らかの認証を行う必要がある。Bluetoothでは、下位のリンクレベルや上位のアプリケーションレベルにいくつか認証のための仕組みが用意されており、それらを用いて認証を行うことができる。
【0009】
具体的には、Bluetoothのコア仕様を参照されたい(非特許文献1参照)。
【0010】
【非特許文献1】
http://www.bluetooth.org/foundry/specification/document/specification
【0011】
【発明が解決しようとしている課題】
しかしながら、以上のようなシステムを提供する場合、サービス提供機器がいくら認証機構を組み込んで不当なユーザーからの接続要求を拒否したとしても、依然セキュリティ面での問題が残る。なぜなら、接続を受けるサービス提供機器があらゆる機器に対して自身の識別子を配布してしまうと、DoS(Denial of Service: サービス拒否)攻撃を受ける可能性があるからである。
【0012】
例えば、悪意ある者が識別子を取得し、不正にサービス提供機器に対して接続要求を出す。サービス提供機器は認証により不正な接続は拒否するかもしれないが、その場合でも少なくとも認証手続きそれ自体は行わなければならない。従って、接続拒否をする/しないに関わらず、その接続要求が連続的に何度も繰り返されると、サービス提供機器のリソースが食いつぶされ、本来サービスを正当に受けられるはずの機器からの接続要求を受け付けられなくなる。
【0013】
よって、このような悪意ある者が不当に接続要求を行えないようにし、本当にサービスを受ようとしている人の接続要求だけを可能にして、正しくサービスを提供できるようにしなければならない。
【0014】
従来のDoS攻撃は、このような近距離無線通信ではあまりなく、その殆どがインターネットに代表される有線ネットワークで行われている。その対処方法は様々であるが、最も原始的なものは、攻撃元のアドレスを見て、同じアドレスから不自然な要求、例えば一定回数以上の何らかの無意味なパケットを受信したら、そのアドレスからのパケットを無視する、といったものである。
【0015】
しかし、当然この方法だと、攻撃元が毎回アドレスを変更した場合は対処できない。今回の近距離無線の場合も、攻撃者がアドレスを毎回変えて要求を投げることは原理的に不可能ではない。そのような攻撃元のアドレスが毎回異なるDoS攻撃は有線ネットワークではよく知られており、特に複数のサイトから攻撃をすることでアドレスを特定されないようにする攻撃は、DDoS(Distributed Denialof Service: 分散サービス拒否)攻撃と呼ばれ、その決定的な解決策は現段階でも存在しない。
【0016】
本発明は、このような点に鑑みてなされたものであり、その目的は、悪意ある者による接続要求を防止できるサービス提供装置、サービス送受信システム、POS端末、自動改札機及びサービス提供プログラムを提供することにある。
【0017】
【課題を解決するための手段】
上述した課題を解決するために、本発明は、サービス受信装置との間で近距離無線通信を行う第1の通信手段と、装置識別情報を生成する第1の識別情報生成手段と、前記第1の通信手段を介して前記サービス受信装置からサービス要求があった場合に、前記装置識別情報を、前記第1の通信手段を介して前記サービス受信装置に応答する第1の識別情報応答手段と、前記第1の通信手段を介して前記サービス受信装置から、前記装置識別情報をサービス要求先に指定した接続要求があった場合に、前記第1の通信手段を介して前記サービス受信装置に所定のサービスを提供するサービス提供手段と、前記第1の通信手段による通信の切断が1以上の所定回数だけ生じたか否かを検知する切断検知手段と、を備え、前記第1の識別情報生成手段は、前記切断検知手段が前記所定回数の切断を検知するたびに、新たな装置識別情報を生成し、前記第1の識別情報応答手段は、以後新たに生成された装置識別情報に基づいて応答する。
【0018】
【発明の実施の形態】
以下、本発明に係るサービス提供装置、サービス送受信システム及びサービス提供プログラムについて、図面を参照しながら具体的に説明する。
【0019】
(第1の実施形態)
図1は本発明に係るサービス送受信システムの全体構成を示すブロック図である。図1のサービス送受信システムは、サービス提供装置1とクライアント装置2とを備えている。サービス提供装置1は、例えばコンビニエンスストアなどにあるPOS(Point Of Sales)端末であり、クライアント装置2は、例えばPOS端末のある店に買い物に来た顧客が所持している携帯電話である。
【0020】
サービス提供装置1とクライアント装置2は、互いに通信が可能であり、任意の情報を送受することができる。この場合の通信の形態は特に問わないが、例えばBluetoothの規格に沿った通信を行う。
【0021】
顧客は、所持している携帯電話で買い物の決済を電子的に行うことができる。具体的には、まず顧客がPOS端末のある会計カウンタに行き、購入する商品を店員に提示すると、店員はその商品をPOS端末に登録する。その後、顧客は所持している携帯電話をPOS端末と接続させ、その後に店員は決済操作をPOS端末に対して行う。これにより、携帯電話に貯めてある(プリペイドしてある)電子マネーがPOS端末に振り込まれて決済が行われる。
【0022】
図1のサービス提供装置1は、クライアント装置2との間でBluetoothの規格に従って通信を行う通信部11と、自装置のデバイスアドレスをクライアント装置2に応答するアドレス応答部12と、クライアント装置2に対して各種サービスを提供するサービス提供部13と、クライアント装置2との通信が切断されたことを検知する切断検知部14と、自装置の新たなデバイスアドレスを生成するアドレス生成部15と、自装置のデバイスアドレスを変更するアドレス変更部16とを有する。
【0023】
以下では、サービス提供装置1(ここでは、POS端末)がクライアント装置2(ここでは、顧客の携帯電話)に対して決済サービスを行う場合のサービス提供装置1の処理手順の一例を説明する。なお、サービス提供装置1が提供するサービスの種類は特に限定されず、決済処理自体には特に特徴はないため、本明細書では説明を省略する。
【0024】
図2は図1のサービス提供装置1の処理手順の一例を示すフローチャートである。まず、クライアント装置2は、サービス提供装置1にデバイスアドレスの問合せ(Bluetoothではインクワイヤリ)を行う(ステップS1)。サービス提供装置1の通信部11はこの問合せを受信し、アドレス応答部12は現在のサービス提供装置1自身の一時的なデバイスアドレスを応答する(ステップS2)。クライアント装置2はこのデバイスアドレスを取得し、そのアドレスを指定してサービス提供装置1に対して接続要求を行う。このデバイスアドレスを所持しているサービス提供装置1がこの接続要求を受信すると(ステップS3)、サービス提供装置1とクライアント装置2は互いに接続処理を実行する(ステップS4)。
【0025】
その後、サービス提供装置1のサービス提供部13がクライアント装置2に対してサービス(この場合は決済)を提供し(ステップS5)、終了したのちに通信を切断する(ステップS6)。
【0026】
すると、サービス提供装置1の切断検知部14がその切断を検知し、自身のデバイスアドレスを変更すべく、アドレス生成部15が新しいアドレスを生成する(ステップS7)。そして、アドレス変更部16は、自身のデバイスアドレスを、ステップS7で生成したアドレスに変更する(ステップS8)。
【0027】
以上により、サービスを受けたクライアント装置2は、そのアドレスを再度使用できなくなり、過去にサービスを受けた者からの不正な接続要求を防止できる。また、何らかの手段でサービス提供装置1のデバイスアドレスを不正に取得した者に対する接続も防止できる。
【0028】
ステップS7の処理は、サービス提供を受けたクライアント装置2の通信が切断するたびに行ってもよいし、同クライアント装置2の通信切断回数が所定回数に達するたびに行ってもよい。
【0029】
なお、ステップS7で生成するデバイスアドレスは予測困難な値にするのが望ましい。具体的には、乱数を用いるとか、他者には知りえないシーケンスでアドレス値を変更する等の手法が考えられる。
【0030】
図2のステップS2の処理を行う際、デバイスアドレスを要求したすべてのクライアント装置2に無条件でサービス提供装置1自身のデバイスアドレスを応答するのではなく、所定の条件を満たすクライアント装置2のみにデバイスアドレスを応答するのが望ましい。例えば、店員が顧客の携帯電話(クライアント装置2)に対して所定の操作を行うことで、POS端末(サービス提供装置1)はその携帯電話からのデバイスアドレスの問合せに応答する。
【0031】
これにより、デバイスアドレスの取得には、サービスを受けるための正当性が必要になり、デバイスアドレスの不正取得を確実に防止できる。
【0032】
さらに効果的な手法として、例えばPOS端末(サービス提供装置1)の通信部11がBluetoothの規格に従って、無線強度を調節して通信有効エリアを任意に変更できる場合には、その通信有効エリアを狭めることで、デバイスアドレスを配布する物理的空間を限定して、POS端末の間近に立っている正当な顧客だけにデバイスアドレスを通知することができる。
【0033】
すなわち、POS端末は、接続を待ち受けている間は無線エリアを縮めて、接続できる携帯電話をPOS端末の間近にいる顧客の携帯電話だけに限定し、間近にいる顧客の携帯電話とだけ通信ができるようにする。そうすると、POS端末のデバイスアドレスを取得するためには、POS端末の間近まで行ってPOS端末の無線エリア内に入る必要があり、また、その狭いエリア内に入ることができる装置の数も限られるため、不正な接続要求を試みるデバイスの数を物理的に制限することができる。
【0034】
POS端末(サービス提供装置1)が携帯電話(クライアント装置2)にデバイスアドレスを応答した後は、サービス提供装置1は無線エリアを元通りに広げて、デバイスアドレスを受け取ったクライアント装置2がサービス提供装置1から距離的に離れてしまっても、このクライアント装置2にサービスを提供できるようにしてもよい。ここで、無線エリアを元通りに広げる理由は、仮に、狭い無線エリアでしか、サービス提供装置1がサービスを提供できないとすると、クライアント装置2がサービスを受けられる場所が限定されてしまい、使い勝手が悪くなってしまうためである。
【0035】
ここで、無線エリアを限定する具体的な手法に特に制限はなく、例えばサービス提供装置1が2つのアンテナを持ち、1つのアンテナは無線エリアが狭いためデバイスアドレスの問合せ応答に利用し、もう1つのアンテナは無線エリアが広いためサービス提供に利用するような形態でもよい。
【0036】
不正にデバイスアドレスを取得する手法として、デバイスアドレスの候補となりうるアドレスを総当りで送信する、ブルートフォースアタック(総当り攻撃)が知られている。このブルートフォースアタックでは、サービス提供装置1のデバイスアドレスが偶然に特定されてしまうおそれがある。
【0037】
また、サービス提供装置1のデバイスアドレスが特定されなくても、ある通信装置がサービス提供装置1にブルートフォースアタックを行うと、サービス提供装置1は連続的に認証処理を繰り返す結果になり、リソースが食いつぶされて、サービス提供装置1の動作に支障が出るおそれがある。このため、ブルートフォースアタックを有効に回避できるような構成が望ましい。このような攻撃に対する措置を施したサービス提供装置1の構成は例えば図3のようになる。
【0038】
図3のサービス提供装置1は、図1の構成に加えて、接続中断検知部17を備えている。この接続中断検知部17は、他の通信装置からの接続要求を受けて行われた接続処理が何らかの理由(例えば、認証の失敗)により完遂しなかったことを検知する。そして、1以上の所定回数だけ接続処理が完遂しなかった場合に、アドレス生成部15はデバイスアドレスの生成を行う。
【0039】
図4は図3のサービス提供装置1の処理手順を示すフローチャートである。図2のフローチャートと比較して、ステップS14の処理が新たに追加されている。このステップS14では、クライアント装置2による接続が成功したか否かを判定し、成功しなかった場合には、不正アクセスと判断して、新たなデバイスアドレスを生成し直す(ステップS17)。
【0040】
このように、第1の実施形態では、あるクライアント装置2に対するサービス提供が終了して接続が切断されると、サービス提供装置1の装置識別情報を変更するようにしたため、過去にサービス提供を受けたクライアント装置2が以前の装置識別情報を使って再度サービスを受けようとしても受けられなくなり、装置識別情報の悪用を防止できる。また、装置識別情報を不正に取得した者やブルートフォース攻撃を行う者からサービス提供装置を防御することができ、サービス提供装置の動作安定化が図れる。
【0041】
(第2の実施形態)
第2の実施形態は、複数のサービス提供装置1が並置されている場合を対象とする。ここでは、サービス提供装置1が鉄道の駅などに設置されている自動改札機とし、クライアント装置2が携帯電話とする。携帯電話を所持している顧客が自動改札機を通過する場合を念頭に置く。
【0042】
なお、サービス提供装置1は、自動改札機に限定されず、例えば、店舗などに並置されたPOS端末でもよい。
【0043】
自動改札機には通常、切符を入れる場所付近に、携帯電話をかざす場所が用意されていて、ここにサービス提供装置1側の無線アンテナが仕込んであると仮定する。顧客は自動改札機を通過するときに、所持している携帯電話をこの部分にかざす。すると、携帯電話は自動的に自動改札機のアドレスを取得して自動改札機と接続する。その後、携帯電話は所持している定期券情報を自動改札機に送信し、通信を切断する。自動改札機は受け取った情報を元に、ゲートを開けるべきかどうかを判断する。開けてよしと判断すればゲートを空け、そうでなければゲートを空けずに警告音を出す。この例では、定期券情報によりゲートを開くことがサービスに相当する。自動改札機は、例えば10台並置されているとする。
【0044】
図5は本発明に係るサービス送受信システムの第2の実施形態の全体構成を示すブロック図である。図5のサービス送受信システムは、サービス提供装置1とクライアント装置2とを備えている。図5では省略しているが、複数のサービス提供装置1が並置されている。各サービス提供装置1は、図3の構成に加えて、アドレス調査部18を有する。このアドレス調査部18は、他のサービス提供装置それぞれのデバイスアドレスを調査する。
【0045】
図6は図5のサービス送受信システムの処理手順を示すフローチャートである。図5のサービス送受信システムでは、図4と同様に、携帯電話(クライアント装置2)が自動改札機(サービス提供装置1)からデバイスアドレスを取得して、このサービス提供装置1に接続してサービスの提供を受け、サービスの提供を受け終わると、サービス提供装置1が自身のデバイスアドレスを変更する。
【0046】
図5のサービス提供装置1は、自身のデバイスアドレスを変更する手順が図3のサービス提供装置1と異なっている。クライアント装置2へのサービスの提供が終わった後、アドレス調査部18により、他のサービス提供装置のデバイスアドレスを調査する(ステップS27)。そして、アドレス生成部15は、他のサービス提供装置が使用していないデバイスアドレスを生成する(ステップS28)。すなわち、デバイスアドレスが互いに競合しないようにする。デバイスアドレスの競合を認めない理由は、デバイスアドレスの競合を許容し、同じデバイスアドレスをもつサービス提供装置1が他にあった場合には、携帯電話(クライアント装置2)からの接続要求を他の自動改札機(サービス提供装置1)が受けてしまい、所望の自動改札機を通過できないという不具合が生じうるためである。
【0047】
アドレス調査部18が調査を行う具体的な手法は特に問わないが、例えば、並置された複数のサービス提供装置1をイーサネット(登録商標)で接続しておき、各サービス提供装置1のデバイスアドレスをイーサネット経由で問合せて、互いに送受信しあう。この場合のサービス送受信システムの全体構成は図7のようになる。
【0048】
図7のサービス提供装置1は、図5の構成に加えて、他のサービス提供装置に対するデバイスアドレスの問合せを行うアドレス問合せ部19と、イーサネット経由で他のサービス提供装置と通信を行う第2通信部20と、他のサービス提供装置からのデバイスアドレスの問合せに対する応答を行う第2アドレス応答部21とを有する。
【0049】
図8及び図9は図7のサービス提供装置1の処理手順を示すフローチャートである。図8の処理と図9の処理は並行して行われる。
【0050】
図8のフローチャートでは、図6のステップS27の処理の代わりに、ステップS37及びS38の処理を行う。まず、アドレス問合せ部19が第2通信部20を介して他のサービス提供装置にデバイスアドレスを問い合わせ(ステップS37)、他のすべてのサービス提供装置1のデバイスアドレスを取得する(ステップS38)。そして、アドレス調査部18は、他のすべてのサービス提供装置1が使用していないデバイスアドレスを自装置のデバイスアドレスとして選択する(ステップS39)。
【0051】
一方、他のサービス提供装置から第2通信部20を介してデバイスアドレスの問合せがあると(ステップS41)、第2アドレス応答部21は第2通信部20を介して他のサービス提供装置に自身のデバイスアドレスを応答する(ステップS42)。
【0052】
他のサービス提供装置との間でデバイスアドレスを通知しあう手法は図7〜図9に示したものに限定されず、例えば、サービス提供装置1内に他のすべてのサービス提供装置1のデバイスアドレスを登録しておいてもよい。この場合のサービス送受信システムの構成は図10のようになる。
【0053】
図10のサービス送受信システム内のサービス提供装置1は、図7の構成に加えて、アドレス受信部22と、アドレス記憶部23と、アドレス通知部24とを有する。デバイスアドレスを変更した他のサービス提供装置は、新たなデバイスアドレスを自身以外のサービス提供装置1に通知するものとする。他のサービス提供装置から通知されたデバイスアドレスは、アドレス受信部22で受信されてアドレス記憶部23に格納される。また、自身のデバイスアドレスが変更されると、アドレス通知部24を介して他のサービス提供装置に変更後のデバイスアドレスを通知する。
【0054】
図11及び図12は図10のサービス提供装置1の処理手順を示すフローチャートである。図11の処理と図12の処理は並行して行われる。
【0055】
携帯電話(クライアント装置2)へのサービス提供が終了した後、アドレス調査部18は、アドレス記憶部23に記憶されている他のサービス提供装置のデバイスアドレスを調査し(ステップS57)、調査したアドレスと異なるアドレスを自身のデバイスアドレスとして選択する(ステップS58)。
【0056】
一方、他のサービス提供装置からデバイスアドレスの広告を受信すると(ステップS61)、そのアドレスを受信してアドレス記憶部23に記憶する(ステップS62)。
【0057】
ここで、アドレス記憶部23に記憶されているアドレスは広告されるごとに更新されるため、いま受け取ったアドレスがどのサービス提供装置1のアドレスなのか、また現在記憶されているそのサービス提供装置1のアドレスはどれか、がわからなければならない。このため、アドレス記憶部23は、サービス提供装置1のBluetoothアドレスを、例えばイーサネットからなる第2通信部20でのサービス提供装置1のアドレス(イーサネットアドレス、IPを使っているならIPアドレスなど)と関連付けて記憶する。
【0058】
上述した図5〜図12では、アドレス調査をサービス提供装置1の内部で行う例を説明したが、サービス提供装置1とは別個にアドレス競合防止装置を設け、このアドレス競合防止装置の内部でアドレス調査を行ってもよい。この場合のサービス送受信システムの構成は図13のようになる。
【0059】
図13のサービス送受信システムは、サービス提供装置1及びクライアント装置2の他に、他のサービス提供装置のデバイスアドレスと競合しないようなアドレスを通知するアドレス競合防止装置3を備えている。
【0060】
図13のサービス提供装置1は、図5のアドレス調査部18の代わりに、アドレス要求部25と、第3通信部26とを有する。アドレス要求部25は、第3通信部26を介してアドレス競合防止装置3に新たなデバイスアドレスを要求する。
【0061】
アドレス競合防止装置3は、すべてのサービス提供装置1のデバイスアドレスを一括管理する。第3通信部26の通信形態は特に問わず、例えばイーサネットでもよい。
【0062】
図14はアドレス競合防止装置3の内部構成の一例を示すブロック図である。図示のように、アドレス競合防止装置3は、サービス提供装置1の第3通信部26と通信を行う第4通信部31と、サービス提供装置1からのアドレス要求を受信するアドレス要求受信部32と、他のサービス提供装置のデバイスアドレスを調査するアドレス調査部33と、サービス提供装置1の新たなデバイスアドレスを生成するアドレス生成部34と、生成したデバイスアドレスを記憶するアドレス記憶部35と、記憶したデバイスアドレスを応答するアドレス応答部36とを有する。
【0063】
図15は図13のサービス提供装置1の処理手順を示すフローチャート、図16は図14のアドレス競合防止装置3の処理手順を示すフローチャートである。サービス提供装置1は、図15に示すように、クライアント装置2へのサービス提供が終了した後、アドレス競合防止装置3にアドレス生成を要求する(ステップS77)。次に、アドレス競合防止装置3からのデバイスアドレスを受信し(ステップS78)、そのアドレスを自身のデバイスアドレスとして設定する(ステップS79)。
【0064】
一方、アドレス競合防止装置3は、図16に示すように、サービス提供装置1からのアドレス生成要求を受信すると(ステップS81)、記憶しているサービス提供装置1のアドレスを調査する(ステップS82)。そして、調査したアドレスと異なるアドレスを生成し(ステップS83)、生成したアドレスを記憶する(ステップS84)。次に、生成したアドレスをサービス生成装置に応答する(ステップS85)。なお、ステップS84,S85の処理順序は入れ替わってもよい。
【0065】
このように、第2の実施形態では、複数のサービス提供装置1が並置されている場合に、各サービス提供装置1は、他のサービス提供装置とは異なるデバイスアドレスを生成して、接続要求を行ったクライアント装置2にそのアドレスを通知するため、このクライアント装置2は必ず所望のサービス提供装置1からサービス提供を受けることができる。
【0066】
上述した実施形態で説明したサービス送受信システムは、ハードウェアで構成してもよいし、ソフトウェアで構成してもよい。ソフトウェアで構成する場合には、サービス送受信システムの少なくとも一部の機能を実現するプログラムをフロッピーディスクやCD−ROM等の記録媒体に収納し、コンピュータに読み込ませて実行させてもよい。記録媒体は、磁気ディスクや光ディスク等の携帯可能なものに限定されず、ハードディスク装置やメモリなどの固定型の記録媒体でもよい。
【0067】
また、サービス送受信システムの少なくとも一部の機能を実現するプログラムを、インターネット等の通信回線(無線通信も含む)を介して頒布してもよい。さらに、同プログラムを暗号化したり、変調をかけたり、圧縮した状態で、インターネット等の有線回線や無線回線を介して、あるいは記録媒体に収納して頒布してもよい。
【0068】
【発明の効果】
以上詳細に説明したように、本発明によれば、サービス受信装置との通信が1以上の所定回数だけ切断するたびに、新たな装置識別情報を生成するようにしたため、サービス受信装置などがサービス提供装置の装置識別情報を取得したとしても、その装置識別情報を利用して何度もサービス提供装置に接続できなくなり、サービスの不正利用を防止できるとともに、いわゆるブルートフォースアタック、DoS攻撃及びDDoS攻撃を確実に防止できる。
【図面の簡単な説明】
【図1】本発明に係るサービス送受信システムの全体構成を示すブロック図。
【図2】図1のサービス提供装置1の処理手順の一例を示すフローチャート。
【図3】接続中断検知部を有するサービス送受信システムの全体構成を示すブロック図。
【図4】図3のサービス提供装置1の処理手順を示すフローチャート。
【図5】本発明に係るサービス送受信システムの第2の実施形態の全体構成を示すブロック図。
【図6】図5のサービス送受信システムの処理手順を示すフローチャート。
【図7】複数のサービス提供装置が並置された場合のサービス送受信システムの全体構成を示すブロック図。
【図8】図7のサービス提供装置の処理手順を示すフローチャート。
【図9】図8と並行して行われるサービス提供装置の処理手順を示すフローチャート。
【図10】アドレス記憶部等を有するサービス送受信システムの全体構成を示すブロック図。
【図11】図10のサービス提供装置の処理手順を示すフローチャート。
【図12】図11と並行して行われるサービス提供装置の処理手順を示すフローチャート。
【図13】アドレス競合防止装置を備えたサービス送受信システムの全体構成を示すブロック図。
【図14】アドレス競合防止装置の内部構成の一例を示すブロック図。
【図15】図13のサービス提供装置の処理手順を示すフローチャート。
【図16】図14のアドレス競合防止装置の処理手順を示すフローチャート。
【符号の説明】
1 サービス提供装置
2 クライアント装置
3 アドレス競合防止装置
11 通信部
12 アドレス応答部
13 サービス提供部
14 切断検知部
15 アドレス生成部
16 アドレス変更部
17 接続中断検知部
18 アドレス調査部
19 アドレス問合せ部
20 第2通信部
21 第2アドレス応答部
22 アドレス受信部
23 アドレス記憶部
24 アドレス通知部
25 アドレス要求部
26 第3通信部
31 第4通信部
32 アドレス要求受信部
33 アドレス調査部
34 アドレス生成部
35 アドレス記憶部
36 アドレス応答部[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a service providing apparatus, a service transmitting / receiving system, and a service providing program for providing various services by short-range wireless communication.
[0002]
[Prior art]
Recently, short-distance wireless communication systems with a transmission distance of about 10 m have attracted attention. While the effective transmission distance range of the conventional wireless LAN is 100 m or more, the short-distance wireless communication system uses less power because the transmission range is narrower, so that a portable information processing device such as a mobile phone or a PDA is used. (Hereinafter referred to simply as a portable terminal), it is expected to be installed in an information processing apparatus having a limited battery.
[0003]
If various service providing terminals are prepared as devices to be connected to the user's mobile terminal, services in existing streets can be made more convenient. For example, in convenience stores, supermarkets, and retail stores, if a POS terminal or the like is provided with a service providing function using this wireless method, a user can use a mobile phone to make an electronic coupon service, an electronic point service, an electronic payment, an electronic receipt, and a receipt. You will be able to receive a letter issuing service. In addition, if a gate such as an automatic ticket gate has a wireless function, it can control opening and closing of the gate with an electronic ticket using a portable terminal, if it has a vending machine, it can settle and discount services at vending machines, parking lots, etc. Various applications are expected, such as electronic payment at gas stations and drive-throughs.
[0004]
As a conventional technique of such a wireless communication system, for example, there is a communication system based on the Bluetooth (TM) standard. Bluetooth uses radio signals in the 2.4 GHz band, consumes little power, has low component costs, and can be miniaturized. Therefore, it can be used as a simple communication module in small portable devices such as mobile phones. Expected. If this Bluetooth is also mounted on the service providing device side, such as a POS terminal or an automatic ticket gate, in the previous example, it can be directly communicated with the mobile phone in accordance with the mobile phone.
[0005]
By the way, in order to realize such a system, it is necessary to assume that a mobile phone and a service providing device such as a POS terminal and an automatic ticket gate are devices that first meet each other. Therefore, in order to establish a connection between these devices, it is necessary for the device to be connected to have a means for immediately knowing the device identification identifier (device address) in the communication of the connection partner device.
[0006]
In the case of Bluetooth, a mechanism for exchanging device addresses, which are identifiers, between devices that do not know each other is provided. A device that wants to obtain the address of a nearby device first performs an operation called inquiry. With this operation, the device broadcasts a packet for requesting an address to the surroundings. Then, the device in a state called an inquiry scan responds to it and responds with its own address. The device that has performed the inquiry can acquire the address of the peripheral device by receiving the address that was returned.
[0007]
In the connection operation, the device that has obtained the address as described above selects a desired device as the partner device from among the obtained addresses, and broadcasts a connection request specifying the address. Then, only the device having that address can respond to it, and can identify each other. After that, a negotiation for connection between the two starts.
[0008]
However, such services include users who can receive the service (for example, users who have pre-registered for the payment service for payment, users who have valid commuter pass information for automatic ticket gates), and so on. It is necessary to identify the user who is not, and connect only to the user who can selectively receive the service, and it is necessary to perform some kind of authentication at the time of connection. In Bluetooth, some mechanisms for authentication are prepared at a lower link level or an upper application level, and authentication can be performed using them.
[0009]
Specifically, refer to the Bluetooth core specification (see Non-Patent Document 1).
[0010]
[Non-patent document 1]
http: // www. Bluetooth. org / foundry / specification / document / specification
[0011]
[Problems to be solved by the invention]
However, in providing such a system, no matter how much the service providing device incorporates an authentication mechanism and rejects a connection request from an unauthorized user, there still remains a problem in security. This is because if a service providing device to be connected distributes its own identifier to all devices, there is a possibility that a DoS (Denial of Service) attack will occur.
[0012]
For example, a malicious person obtains the identifier and illegally issues a connection request to the service providing device. The service providing device may reject an unauthorized connection by authentication, but at least the authentication procedure itself must be performed in such a case. Therefore, if the connection request is continuously repeated many times, regardless of whether or not the connection is rejected, the resources of the service providing device are consumed, and the connection request from the device which should be able to receive the service properly can be obtained. Will not be accepted.
[0013]
Therefore, it is necessary to prevent such a malicious person from making a connection request unfairly, and to enable only a connection request of a person who is really going to receive the service, so that the service can be provided correctly.
[0014]
Conventional DoS attacks are not so common in such short-range wireless communication, and most of them are performed in wired networks typified by the Internet. There are various ways to deal with it, but the most primitive one is to look at the address of the attacking source and receive an unnatural request from the same address, for example, if a certain number of meaningless packets are received more than a certain number of times, And ignore the packet.
[0015]
However, this method cannot cope with the case where the attacker changes the address every time. In the case of this short-range wireless communication, it is in principle not impossible for an attacker to change the address and throw a request every time. Such a DoS attack in which the address of the attack source is different every time is well known in a wired network. In particular, an attack in which an address is not specified by attacking from a plurality of sites is a DDoS (Distributed Denialof Service: distributed service). This is called an attack, and there is no definitive solution at this stage.
[0016]
The present invention has been made in view of the above points, and an object of the present invention is to provide a service providing apparatus, a service transmitting / receiving system, a POS terminal, an automatic ticket gate, and a service providing program which can prevent a connection request from a malicious person. Is to do.
[0017]
[Means for Solving the Problems]
In order to solve the above-described problems, the present invention provides a first communication unit that performs short-range wireless communication with a service receiving device, a first identification information generation unit that generates device identification information, First identification information responding means for responding to the service receiving apparatus via the first communication means when the service receiving apparatus receives a service request via the first communication means; And when the service receiving apparatus receives a connection request specifying the apparatus identification information as a service request destination from the service receiving apparatus via the first communication means, the service receiving apparatus transmits a predetermined request to the service receiving apparatus via the first communication means. Service providing means for providing the first identification information generating means, and disconnection detecting means for detecting whether communication disconnection by the first communication means has occurred one or more predetermined times. Generates new device identification information each time the disconnection detection unit detects the predetermined number of disconnections, and the first identification information response unit responds based on the newly generated device identification information thereafter. I do.
[0018]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, a service providing apparatus, a service transmitting / receiving system, and a service providing program according to the present invention will be specifically described with reference to the drawings.
[0019]
(1st Embodiment)
FIG. 1 is a block diagram showing the overall configuration of a service transmitting / receiving system according to the present invention. The service transmitting / receiving system of FIG. 1 includes a service providing device 1 and a client device 2. The service providing device 1 is, for example, a POS (Point Of Sales) terminal in a convenience store or the like, and the client device 2 is, for example, a mobile phone owned by a customer who has come to a store with a POS terminal.
[0020]
The service providing device 1 and the client device 2 can communicate with each other, and can send and receive arbitrary information. The form of communication in this case is not particularly limited, but, for example, communication is performed in accordance with the Bluetooth standard.
[0021]
The customer can electronically settle the shopping with his mobile phone. Specifically, first, the customer goes to a checkout counter with a POS terminal and presents the product to be purchased to the clerk, and the clerk registers the product in the POS terminal. Thereafter, the customer connects his / her mobile phone to the POS terminal, and then the clerk performs a settlement operation on the POS terminal. As a result, the electronic money stored in the mobile phone (prepaid) is transferred to the POS terminal to perform settlement.
[0022]
The service providing apparatus 1 shown in FIG. 1 communicates with the client apparatus 2 in accordance with the Bluetooth standard, an address responding section 12 that responds to the client apparatus 2 with its own device address, and a A service providing unit 13 for providing various services to the client device 2; a disconnection detecting unit 14 for detecting that communication with the client device 2 has been disconnected; an address generating unit 15 for generating a new device address of the own device; And an address changing unit 16 for changing the device address of the device.
[0023]
In the following, an example of a processing procedure of the service providing apparatus 1 when the service providing apparatus 1 (here, the POS terminal) provides a settlement service to the client apparatus 2 (here, the customer's mobile phone) will be described. Note that the type of service provided by the service providing apparatus 1 is not particularly limited, and there is no particular feature in the payment processing itself, and thus description thereof is omitted in this specification.
[0024]
FIG. 2 is a flowchart illustrating an example of a processing procedure of the service providing apparatus 1 of FIG. First, the client device 2 inquires of the service providing device 1 about a device address (inquiry in Bluetooth) (step S1). The communication unit 11 of the service providing apparatus 1 receives this inquiry, and the address responding unit 12 responds with the current temporary device address of the service providing apparatus 1 (step S2). The client device 2 acquires the device address, specifies the address, and makes a connection request to the service providing device 1. When the service providing apparatus 1 having this device address receives this connection request (step S3), the service providing apparatus 1 and the client apparatus 2 execute a connection process with each other (step S4).
[0025]
Thereafter, the service providing unit 13 of the service providing device 1 provides a service (in this case, settlement) to the client device 2 (step S5), and disconnects the communication after the end (step S6).
[0026]
Then, the disconnection detection unit 14 of the service providing apparatus 1 detects the disconnection, and the address generation unit 15 generates a new address to change its own device address (Step S7). Then, the address changing unit 16 changes its own device address to the address generated in step S7 (step S8).
[0027]
As described above, the client device 2 that has received the service cannot use the address again, and can prevent an unauthorized connection request from a person who has received the service in the past. Also, it is possible to prevent connection to a person who has illegally acquired the device address of the service providing apparatus 1 by some means.
[0028]
The process in step S7 may be performed each time the communication of the client device 2 that has received the service is disconnected, or may be performed each time the number of communication disconnections of the client device 2 reaches a predetermined number.
[0029]
It is desirable that the device address generated in step S7 be a value that is difficult to predict. Specifically, a method of using a random number or changing an address value in a sequence unknown to others can be considered.
[0030]
When performing the process of step S2 in FIG. 2, the device address of the service providing device 1 itself is not unconditionally responded to all the client devices 2 that have requested the device address. It is desirable to respond with the device address. For example, when a store clerk performs a predetermined operation on a customer's mobile phone (client device 2), the POS terminal (service providing device 1) responds to a device address inquiry from the mobile phone.
[0031]
Accordingly, the acquisition of the device address requires legitimacy for receiving the service, and the unauthorized acquisition of the device address can be reliably prevented.
[0032]
As a more effective method, for example, when the communication unit 11 of the POS terminal (service providing apparatus 1) can adjust the wireless strength according to the Bluetooth standard and arbitrarily change the effective communication area, the effective communication area is reduced. Thus, the physical space for distributing the device address is limited, and the device address can be notified only to the legitimate customer standing near the POS terminal.
[0033]
In other words, the POS terminal reduces the wireless area while waiting for a connection, limits the mobile phones that can be connected to only the mobile phones of the customers who are close to the POS terminals, and can communicate only with the mobile phones of the nearby customers. It can be so. Then, in order to acquire the device address of the POS terminal, it is necessary to go close to the POS terminal and enter the wireless area of the POS terminal, and the number of devices that can enter the narrow area is limited. Therefore, it is possible to physically limit the number of devices attempting an unauthorized connection request.
[0034]
After the POS terminal (service providing device 1) responds to the mobile phone (client device 2) with the device address, the service providing device 1 expands the wireless area as before, and the client device 2 receiving the device address provides the service. A service may be provided to the client device 2 even if the client device 2 is far away from the device 1. Here, the reason for expanding the wireless area is that if the service providing apparatus 1 can provide the service only in a small wireless area, the place where the client apparatus 2 can receive the service is limited, and the usability is increased. It is because it gets worse.
[0035]
Here, there is no particular limitation on a specific method for limiting the wireless area. For example, the service providing apparatus 1 has two antennas, and one antenna is used for a device address inquiry response since the wireless area is small, and the other antenna is used. One antenna may be used for providing a service because the wireless area is large.
[0036]
As a technique for illegally acquiring a device address, a brute force attack (brute force attack) in which an address which can be a device address candidate is transmitted by brute force is known. In the brute force attack, there is a possibility that the device address of the service providing apparatus 1 is accidentally specified.
[0037]
Further, even if the device address of the service providing apparatus 1 is not specified, if a certain communication apparatus performs a brute force attack on the service providing apparatus 1, the service providing apparatus 1 will continuously repeat the authentication process, and the resources will be reduced. There is a possibility that the operation of the service providing apparatus 1 may be hindered by being eaten. Therefore, a configuration that can effectively avoid brute force attacks is desirable. The configuration of the service providing apparatus 1 that has taken measures against such an attack is, for example, as shown in FIG.
[0038]
The service providing apparatus 1 of FIG. 3 includes a connection interruption detecting unit 17 in addition to the configuration of FIG. The connection interruption detecting unit 17 detects that the connection processing performed in response to a connection request from another communication device has not been completed for some reason (for example, authentication failure). When the connection process has not been completed for one or more predetermined times, the address generation unit 15 generates a device address.
[0039]
FIG. 4 is a flowchart showing a processing procedure of the service providing apparatus 1 of FIG. Compared with the flowchart of FIG. 2, the process of step S14 is newly added. In this step S14, it is determined whether or not the connection by the client device 2 has succeeded. If the connection has not succeeded, it is determined that the access is unauthorized, and a new device address is generated again (step S17).
[0040]
As described above, in the first embodiment, when the service provision to a certain client apparatus 2 ends and the connection is disconnected, the apparatus identification information of the service providing apparatus 1 is changed. When the client device 2 receives the service again using the previous device identification information, the client device 2 cannot receive the service again, and the misuse of the device identification information can be prevented. Further, the service providing apparatus can be protected from a person who has illegally acquired the apparatus identification information or a brute force attacker, and the operation of the service providing apparatus can be stabilized.
[0041]
(Second embodiment)
The second embodiment is directed to a case where a plurality of service providing apparatuses 1 are juxtaposed. Here, the service providing device 1 is an automatic ticket gate installed at a railway station or the like, and the client device 2 is a mobile phone. Keep in mind that customers with mobile phones pass through automatic ticket gates.
[0042]
The service providing apparatus 1 is not limited to an automatic ticket gate, but may be, for example, a POS terminal juxtaposed in a store or the like.
[0043]
It is assumed that the automatic ticket gate is usually provided with a place for holding a mobile phone near a place where a ticket is to be inserted, and a wireless antenna of the service providing apparatus 1 is provided here. When passing through the automatic ticket gate, the customer holds his / her mobile phone over this part. Then, the mobile phone automatically acquires the address of the automatic ticket gate and connects to the automatic ticket gate. Thereafter, the mobile phone transmits the commuter pass information possessed by the mobile phone to the automatic ticket gate, and disconnects the communication. The automatic ticket gate determines whether to open the gate based on the information received. If it is OK to open the gate, open the gate; otherwise, emit a warning sound without opening the gate. In this example, opening a gate with commuter pass information corresponds to a service. It is assumed that, for example, ten automatic ticket gates are juxtaposed.
[0044]
FIG. 5 is a block diagram showing the overall configuration of the second embodiment of the service transmitting / receiving system according to the present invention. The service transmitting / receiving system of FIG. 5 includes a service providing device 1 and a client device 2. Although omitted in FIG. 5, a plurality of service providing apparatuses 1 are juxtaposed. Each service providing apparatus 1 has an address checking unit 18 in addition to the configuration of FIG. The address checking unit 18 checks the device address of each of the other service providing apparatuses.
[0045]
FIG. 6 is a flowchart showing a processing procedure of the service transmitting / receiving system of FIG. In the service transmission / reception system of FIG. 5, similarly to FIG. 4, a mobile phone (client device 2) acquires a device address from an automatic ticket gate (service providing device 1) and connects to the service providing device 1 to provide a service. When the service is provided and the service is completely provided, the service providing apparatus 1 changes its own device address.
[0046]
The service providing apparatus 1 in FIG. 5 differs from the service providing apparatus 1 in FIG. 3 in the procedure for changing its own device address. After the provision of the service to the client device 2 is completed, the device address of the other service providing device is checked by the address checking unit 18 (step S27). Then, the address generation unit 15 generates a device address that is not used by another service providing device (Step S28). That is, device addresses are prevented from competing with each other. The reason for not recognizing the device address conflict is that the device address conflict is allowed, and if there is another service providing device 1 having the same device address, the connection request from the mobile phone (client device 2) is transmitted to another device. This is because a problem may occur that the automatic ticket gate (service providing device 1) receives the signal and cannot pass through the desired automatic ticket gate.
[0047]
The specific method for the address investigating unit 18 to conduct an investigation is not particularly limited. For example, a plurality of service providing apparatuses 1 arranged side by side are connected by Ethernet (registered trademark), and the device address of each service providing apparatus 1 is changed. Inquiry via Ethernet and send and receive each other. The overall configuration of the service transmitting / receiving system in this case is as shown in FIG.
[0048]
The service providing apparatus 1 of FIG. 7 has, in addition to the configuration of FIG. 5, an address inquiry unit 19 for inquiring a device address to another service providing apparatus, and a second communication for communicating with the other service providing apparatus via Ethernet. And a second address responding unit 21 for responding to an inquiry about a device address from another service providing apparatus.
[0049]
8 and 9 are flowcharts showing the processing procedure of the service providing apparatus 1 of FIG. The processing in FIG. 8 and the processing in FIG. 9 are performed in parallel.
[0050]
In the flowchart of FIG. 8, the processes of steps S37 and S38 are performed instead of the process of step S27 of FIG. First, the address inquiry unit 19 inquires of other service providing apparatuses for device addresses via the second communication unit 20 (step S37), and acquires device addresses of all other service providing apparatuses 1 (step S38). Then, the address examining unit 18 selects a device address not used by all the other service providing apparatuses 1 as a device address of the own apparatus (step S39).
[0051]
On the other hand, when there is an inquiry about the device address from another service providing apparatus via the second communication unit 20 (step S41), the second address responding unit 21 transmits the request to the other service providing apparatus via the second communication unit 20. (Step S42).
[0052]
The method of notifying device addresses to other service providing apparatuses is not limited to those shown in FIGS. 7 to 9. For example, the device addresses of all other service providing apparatuses 1 in the service providing apparatus 1 May be registered. The configuration of the service transmitting / receiving system in this case is as shown in FIG.
[0053]
The service providing apparatus 1 in the service transmitting / receiving system of FIG. 10 includes an address receiving unit 22, an address storage unit 23, and an address notifying unit 24 in addition to the configuration of FIG. The other service providing apparatus whose device address has been changed notifies the service providing apparatus 1 other than itself of the new device address. The device address notified from another service providing apparatus is received by the address receiving unit 22 and stored in the address storage unit 23. Further, when the own device address is changed, another service providing apparatus is notified of the changed device address via the address notification unit 24.
[0054]
FIGS. 11 and 12 are flowcharts showing the processing procedure of the service providing apparatus 1 of FIG. The processing in FIG. 11 and the processing in FIG. 12 are performed in parallel.
[0055]
After the service provision to the mobile phone (client device 2) is completed, the address checking unit 18 checks the device address of another service providing device stored in the address storage unit 23 (step S57), and checks the checked address. Is selected as its own device address (step S58).
[0056]
On the other hand, when an advertisement for a device address is received from another service providing apparatus (step S61), the address is received and stored in the address storage unit 23 (step S62).
[0057]
Here, since the address stored in the address storage unit 23 is updated each time an advertisement is advertised, the address of the service providing apparatus 1 that has just been received and the currently stored service providing apparatus 1 are stored. You need to know what the address is. For this reason, the address storage unit 23 stores the Bluetooth address of the service providing apparatus 1 with the address of the service providing apparatus 1 in the second communication unit 20 composed of, for example, Ethernet (Ethernet address, IP address if using IP, etc.). Relate and store.
[0058]
5 to 12 described above, an example in which the address check is performed inside the service providing apparatus 1 has been described. However, an address conflict prevention apparatus is provided separately from the service providing apparatus 1, and the address conflict is prevented inside the address conflict preventing apparatus. A survey may be conducted. The configuration of the service transmitting / receiving system in this case is as shown in FIG.
[0059]
The service transmission / reception system of FIG. 13 includes an address conflict prevention device 3 that notifies an address that does not conflict with the device address of another service providing device, in addition to the service providing device 1 and the client device 2.
[0060]
The service providing device 1 of FIG. 13 includes an address requesting unit 25 and a third communication unit 26 instead of the address checking unit 18 of FIG. The address request unit 25 requests the address conflict prevention device 3 for a new device address via the third communication unit 26.
[0061]
The address conflict prevention device 3 manages the device addresses of all the service providing devices 1 collectively. The communication form of the third communication unit 26 is not particularly limited, and may be, for example, Ethernet.
[0062]
FIG. 14 is a block diagram showing an example of the internal configuration of the address conflict prevention device 3. As illustrated, the address conflict prevention device 3 includes a fourth communication unit 31 that communicates with the third communication unit 26 of the service providing device 1, an address request receiving unit 32 that receives an address request from the service providing device 1, An address checking unit 33 for checking a device address of another service providing apparatus, an address generating unit 34 for generating a new device address of the service providing apparatus 1, an address storing unit 35 for storing the generated device address, and a storage. And an address responding unit 36 for responding to the device address.
[0063]
FIG. 15 is a flowchart showing a processing procedure of the service providing apparatus 1 of FIG. 13, and FIG. 16 is a flowchart showing a processing procedure of the address conflict prevention apparatus 3 of FIG. As shown in FIG. 15, after the service provision to the client device 2 is completed, the service providing device 1 requests the address conflict prevention device 3 to generate an address (step S77). Next, a device address is received from the address conflict prevention device 3 (step S78), and the address is set as its own device address (step S79).
[0064]
On the other hand, as shown in FIG. 16, when receiving the address generation request from the service providing apparatus 1 (step S81), the address conflict prevention apparatus 3 checks the stored address of the service providing apparatus 1 (step S82). . Then, an address different from the checked address is generated (step S83), and the generated address is stored (step S84). Next, the generated address is returned to the service generation device (step S85). Note that the processing order of steps S84 and S85 may be interchanged.
[0065]
As described above, in the second embodiment, when a plurality of service providing apparatuses 1 are juxtaposed, each service providing apparatus 1 generates a device address different from other service providing apparatuses, and issues a connection request. Since the address is notified to the client device 2 that has performed the client device 2, the client device 2 can always receive service provision from the desired service providing device 1.
[0066]
The service transmission / reception system described in the above-described embodiment may be configured by hardware or software. In the case of using software, a program for realizing at least a part of the function of the service transmitting / receiving system may be stored in a recording medium such as a floppy disk or a CD-ROM, and may be read and executed by a computer. The recording medium is not limited to a portable medium such as a magnetic disk or an optical disk, but may be a fixed recording medium such as a hard disk device or a memory.
[0067]
Further, a program for realizing at least a part of the function of the service transmitting / receiving system may be distributed via a communication line (including wireless communication) such as the Internet. Further, the program may be encrypted, modulated, or compressed, and distributed via a wired or wireless line such as the Internet, or stored in a recording medium.
[0068]
【The invention's effect】
As described above in detail, according to the present invention, each time communication with the service receiving apparatus is disconnected one or more predetermined times, new apparatus identification information is generated. Even if the device identification information of the providing device is obtained, it is not possible to connect to the service providing device many times using the device identification information, thereby preventing unauthorized use of the service, and so-called brute force attack, DoS attack, and DDoS attack. Can be reliably prevented.
[Brief description of the drawings]
FIG. 1 is a block diagram showing the overall configuration of a service transmitting / receiving system according to the present invention.
FIG. 2 is a flowchart illustrating an example of a processing procedure of the service providing apparatus 1 of FIG. 1;
FIG. 3 is a block diagram showing an overall configuration of a service transmission / reception system having a connection interruption detection unit.
FIG. 4 is a flowchart showing a processing procedure of the service providing apparatus 1 of FIG. 3;
FIG. 5 is a block diagram showing the overall configuration of a second embodiment of the service transmitting / receiving system according to the present invention.
FIG. 6 is a flowchart showing a processing procedure of the service transmission / reception system of FIG. 5;
FIG. 7 is a block diagram showing the overall configuration of a service transmitting / receiving system when a plurality of service providing apparatuses are juxtaposed.
FIG. 8 is a flowchart showing a processing procedure of the service providing apparatus of FIG. 7;
FIG. 9 is a flowchart illustrating a processing procedure of the service providing apparatus performed in parallel with FIG. 8;
FIG. 10 is a block diagram showing an overall configuration of a service transmission / reception system having an address storage unit and the like.
FIG. 11 is a flowchart showing a processing procedure of the service providing apparatus of FIG. 10;
FIG. 12 is a flowchart illustrating a processing procedure of the service providing apparatus performed in parallel with FIG. 11;
FIG. 13 is a block diagram showing the overall configuration of a service transmission / reception system including an address conflict prevention device.
FIG. 14 is a block diagram showing an example of the internal configuration of the address conflict prevention device.
FIG. 15 is a flowchart illustrating a processing procedure of the service providing apparatus of FIG. 13;
FIG. 16 is a flowchart showing a processing procedure of the address conflict prevention device of FIG. 14;
[Explanation of symbols]
1 Service providing device
2 Client device
3 Address conflict prevention device
11 Communication unit
12 Address response part
13 Service Provider
14 Disconnection detector
15 Address generator
16 Address change section
17 Connection interruption detector
18 Address Research Department
19 Address inquiry section
20 Second communication unit
21 Second address responder
22 Address receiving unit
23 Address storage unit
24 Address notification section
25 Address request section
26 Third communication unit
31 4th communication part
32 address request receiver
33 Address Research Department
34 Address Generator
35 Address storage unit
36 Address response part

Claims (12)

サービス受信装置との間で近距離無線通信を行う第1の通信手段と、
自身の装置識別情報を生成する第1の識別情報生成手段と、
前記第1の通信手段を介して前記サービス受信装置からサービス要求があった場合に、前記装置識別情報を、前記第1の通信手段を介して前記サービス受信装置に応答する第1の識別情報応答手段と、
前記第1の通信手段を介して前記サービス受信装置から、前記装置識別情報をサービス要求先に指定した接続要求を受けた場合に、前記第1の通信手段を介して前記サービス受信装置に所定のサービスを提供するサービス提供手段と、
前記第1の通信手段による通信の切断が1以上の所定回数だけ生じたか否かを検知する切断検知手段と、を備え、
前記第1の識別情報生成手段は、前記切断検知手段が前記所定回数の切断を検知するたびに、新たな装置識別情報を生成し、
前記第1の識別情報応答手段は、以後新たに生成された装置識別情報に基づいて応答することを特徴とするサービス提供装置。First communication means for performing short-range wireless communication with the service receiving device;
First identification information generation means for generating its own device identification information;
A first identification information response for responding the device identification information to the service reception device via the first communication means when a service request is received from the service reception device via the first communication means; Means,
When receiving a connection request that specifies the device identification information as a service request destination from the service receiving device via the first communication means, the service receiving device transmits a predetermined request to the service receiving device via the first communication means. A service providing means for providing a service,
Disconnection detecting means for detecting whether or not disconnection of communication by the first communication means has occurred a predetermined number of times or more,
The first identification information generation unit generates new device identification information each time the disconnection detection unit detects the predetermined number of disconnections,
The service providing apparatus, wherein the first identification information response unit responds based on the newly generated apparatus identification information thereafter. 前記第1の識別情報応答手段は、所定の条件を満たす前記サービス受信装置のみに前記装置識別情報を送信することを特徴とする請求項1に記載のサービス提供装置。2. The service providing apparatus according to claim 1, wherein the first identification information response unit transmits the device identification information only to the service receiving device that satisfies a predetermined condition. 前記所定の条件を満たすとは、所定の限られた物理的空間内に前記サービス受信装置が位置することであることを特徴とする請求項2に記載のサービス提供装置。The service providing apparatus according to claim 2, wherein satisfying the predetermined condition means that the service receiving apparatus is located in a predetermined limited physical space. 前記第1の通信手段は、前記第1の識別情報生成手段が新たな装置識別情報を生成してから、該装置識別情報を前記第1の識別情報応答手段が応答するまでは、第1の無線エリア内での通信を許容し、前記第1の識別情報応答手段が応答してから前記サービス提供手段によるサービス提供が終了するまでは、前記第1の無線エリアよりも広範囲の第2の無線エリア内での通信を許容することを特徴とする請求項1及至3のいずれかに記載のサービス提供装置。The first communication unit is configured to execute the first communication unit after the first identification information generation unit generates the new device identification information until the first identification information response unit responds to the device identification information. The communication within the wireless area is permitted, and the second wireless communication area is wider than the first wireless area until the service provision by the service providing means is completed after the first identification information response means responds. 4. The service providing apparatus according to claim 1, wherein communication within the area is permitted. 前記サービス受信装置からの接続要求に対する接続処理が所定の理由により完遂しなかったことを検知する接続中断検知手段を備え、
前記第1の識別情報生成手段は、前記接続中断検知手段が1以上の所定回数だけ接続処理が完遂しなかったことを検知するたびに、前記新たな装置識別情報を生成することを特徴とする請求項1及至4のいずれかに記載のサービス提供装置。A connection interruption detecting unit that detects that a connection process for the connection request from the service receiving device has not been completed for a predetermined reason;
The first identification information generation unit generates the new device identification information each time the connection interruption detection unit detects that the connection process has not been completed one or more predetermined times. The service providing device according to any one of claims 1 to 4. 他のサービス提供装置それぞれの装置識別情報を調査する識別情報調査手段を備え、
前記第1の識別情報生成手段は、前記識別情報調査手段で調査した他のサービス提供装置の装置識別情報とは異なる装置識別情報を生成することを特徴とする請求項1及至5のいずれかに記載のサービス提供装置。An identification information investigating means for investigating device identification information of each of the other service providing devices,
6. The apparatus according to claim 1, wherein the first identification information generation unit generates device identification information different from the device identification information of another service providing device checked by the identification information checking unit. The service providing device according to the above. 前記他のサービス提供装置それぞれと通信を行う、前記第1の通信手段とは別個に設けられる第2の通信手段と、
前記第2の通信手段を介して、前記他のサービス提供装置それぞれの装置識別情報を問合せる識別情報問合せ手段と、
前記他のサービス提供装置から前記第2の通信手段を介して装置識別情報の問合せを受けると、前記他のサービス提供装置に装置識別情報を応答する第2の識別情報応答手段と、を備え、
前記識別情報調査手段は、前記識別情報問合せ手段の問合せ結果から、前記他のサービス提供装置それぞれの装置識別情報を調査することを特徴とする請求項6に記載のサービス提供装置。A second communication unit that communicates with each of the other service providing devices and that is provided separately from the first communication unit;
Via the second communication means, identification information inquiring means for inquiring device identification information of each of the other service providing devices,
A second identification information responding unit that responds to the other service providing device with the device identification information when receiving an inquiry about the device identification information from the other service providing device via the second communication unit,
7. The service providing apparatus according to claim 6, wherein the identification information checking unit checks the device identification information of each of the other service providing apparatuses based on a query result of the identification information query unit. 前記第1の識別情報生成手段で新たな装置識別情報が生成されると、該装置識別情報を前記他のサービス提供装置それぞれに通知する識別情報通知手段と、
前記他のサービス提供装置から通知された、前記他のサービス提供装置の装置識別情報を受信する装置識別情報受信手段と、
前記装置識別情報受信手段で受信された装置識別情報を、対応する前記他のサービス提供装置と関連付けて記憶する装置識別情報記憶手段と、を備え、
前記識別情報調査手段は、前記装置識別情報記憶手段に記憶された内容に従って、前記他のサービス提供装置それぞれの装置識別情報を調査することを特徴とする請求項6に記載のサービス提供装置。When new device identification information is generated by the first identification information generation unit, an identification information notification unit that notifies the device identification information to each of the other service providing devices;
Device identification information receiving means for receiving device identification information of the other service providing device, notified from the other service providing device,
Device identification information storage means for storing the device identification information received by the device identification information receiving means in association with the corresponding other service providing apparatus,
7. The service providing apparatus according to claim 6, wherein the identification information checking unit checks the device identification information of each of the other service providing devices according to the content stored in the device identification information storage unit. 請求項1及至5のいずれかに記載のサービス提供装置と、
前記サービス提供装置に対して、他のサービス提供装置が使用していない装置識別情報を通知する識別情報競合防止装置と、を備えたサービス送受信システムであって、
前記サービス提供装置は、
前記識別情報競合防止装置と通信を行う第2の通信手段と、
前記第2の通信手段を介して、前記識別情報競合防止装置に装置識別情報の送信要求を行う識別情報要求手段と、を有し、
前記第1の識別情報生成手段は、前記識別情報要求手段の要求に応答して前記識別情報競合防止装置から通知された装置識別情報を設定することを特徴とするサービス送受信システム。A service providing device according to any one of claims 1 to 5,
An identification information conflict prevention device that notifies the service providing device of device identification information not used by another service providing device, and a service transmitting / receiving system,
The service providing device includes:
Second communication means for communicating with the identification information conflict prevention device;
Via the second communication means, identification information request means for making a request for transmission of device identification information to the identification information conflict prevention device,
The service transmission / reception system, wherein the first identification information generation unit sets the device identification information notified from the identification information conflict prevention device in response to a request from the identification information requesting unit. 前記識別情報競合防止装置は、
前記他のサービス提供装置が使用していない、前記サービス提供装置用の装置識別情報を生成する第2の識別情報生成手段と、
前記第2の識別情報生成手段にて生成された装置識別情報を記憶する装置識別情報記憶手段と、
前記サービス提供装置の前記第2の通信手段との間で通信を行う第3の通信手段と、
前記第3の通信手段を介して、前記サービス提供装置からの装置識別情報の送信要求を受信する送信要求受信手段と、
前記送信要求が受信されると、前記装置識別情報記憶手段に記憶されている装置識別情報を前記サービス提供装置に応答する第2の識別情報応答手段と、を備えることを特徴とする請求項9に記載のサービス送受信システム。The identification information conflict prevention device,
A second identification information generating unit that generates device identification information for the service providing device that is not used by the other service providing device;
A device identification information storage unit that stores the device identification information generated by the second identification information generation unit;
Third communication means for communicating with the second communication means of the service providing apparatus;
A transmission request receiving unit that receives a transmission request for device identification information from the service providing device via the third communication unit;
10. The apparatus according to claim 9, further comprising: a second identification information response unit that responds to the service providing device with the device identification information stored in the device identification information storage unit when the transmission request is received. A service transmission / reception system according to 1. サービス提供装置と、
このサービス提供装置からサービスの提供を受けるサービス受信装置と、を備えたサービス送受信システムにおいて、
前記サービス提供装置は、
サービス受信装置との間で近距離無線通信を行う第1の通信手段と、
装置識別情報を生成する第1の識別情報生成手段と、
前記第1の通信手段を介して前記サービス受信装置から情報要求があった場合に、前記装置識別情報を、前記第1の通信手段を介して前記サービス受信装置に応答する第1の識別情報応答手段と、
前記第1の通信手段を介して前記サービス受信装置から、前記装置識別情報を指定した接続要求があった場合に、前記第1の通信手段を介して前記サービス受信装置に所定のサービスを提供するサービス提供手段と、
前記第1の通信手段による通信の切断が1以上の所定回数だけ生じたか否かを検知する切断検知手段と、を有し、
前記第1の識別情報生成手段は、前記切断検知手段が前記所定回数の切断を検知するたびに、新たな装置識別情報を生成し、
前記第1の識別情報応答手段は、以後新たに生成された装置識別情報に基づいて応答することを特徴とするサービス送受信システム。A service providing device,
And a service receiving device that receives a service from the service providing device.
The service providing device includes:
First communication means for performing short-range wireless communication with the service receiving device;
First identification information generation means for generating device identification information;
A first identification information response for responding the device identification information to the service receiving device via the first communication means when an information request is received from the service receiving device via the first communication means; Means,
When a connection request specifying the device identification information is received from the service receiving device via the first communication unit, a predetermined service is provided to the service receiving device via the first communication unit. Service provision means;
Disconnection detecting means for detecting whether or not disconnection of communication by the first communication means has occurred one or more predetermined times,
The first identification information generation unit generates new device identification information each time the disconnection detection unit detects the predetermined number of disconnections,
The service transmitting / receiving system according to claim 1, wherein said first identification information response means responds based on newly generated device identification information thereafter. 携帯端末との間で近距離無線通信を行うステップと、
自身の装置識別情報を生成するステップと、
前記近距離無線通信により前記携帯端末からサービス要求があった場合に、前記装置識別情報を、前記近距離無線通信により前記携帯端末に応答するステップと、
前記携帯端末から、前記近距離無線通信により前記装置識別情報をサービス要求先に指定した接続要求があった場合に、前記携帯端末に対して前記近距離無線通信により所定のサービスを提供するステップと、
前記近距離無線通信による通信の切断が1以上の所定回数だけ生じたことを検知するたびに、新たな装置識別情報を生成するステップと、
前記携帯端末からの要求に従って、前記新たな装置識別情報を前記携帯端末に応答するステップと、を計算機に実行させるためのサービス提供プログラム。Performing short-range wireless communication with the mobile terminal;
Generating its own device identification information;
When a service request is received from the mobile terminal by the short-range wireless communication, the device identification information, responding to the mobile terminal by the short-range wireless communication,
A step of providing a predetermined service to the mobile terminal by the short-range wireless communication when the mobile terminal receives a connection request specifying the device identification information as a service request destination by the short-range wireless communication; ,
Generating new device identification information each time it is detected that the disconnection of the communication by the short-range wireless communication has occurred one or more predetermined times;
Responding the new device identification information to the mobile terminal in response to a request from the mobile terminal.
JP2003026361A 2003-02-03 2003-02-03 Service providing apparatus, service transmission / reception system, and service providing program Expired - Fee Related JP3840186B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003026361A JP3840186B2 (en) 2003-02-03 2003-02-03 Service providing apparatus, service transmission / reception system, and service providing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003026361A JP3840186B2 (en) 2003-02-03 2003-02-03 Service providing apparatus, service transmission / reception system, and service providing program

Publications (2)

Publication Number Publication Date
JP2004241842A true JP2004241842A (en) 2004-08-26
JP3840186B2 JP3840186B2 (en) 2006-11-01

Family

ID=32954394

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003026361A Expired - Fee Related JP3840186B2 (en) 2003-02-03 2003-02-03 Service providing apparatus, service transmission / reception system, and service providing program

Country Status (1)

Country Link
JP (1) JP3840186B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010063016A (en) * 2008-09-05 2010-03-18 Hitachi Constr Mach Co Ltd Radio communication system and device for construction machinery
KR101082333B1 (en) 2009-12-21 2011-11-10 전자부품연구원 Apparatus and method for controlling operation state of physical layer
JP2012134617A (en) * 2010-12-20 2012-07-12 Kddi Corp Communication method in bluetooth network and its radio information distribution device
WO2013145662A1 (en) * 2012-03-26 2013-10-03 Nec Corporation Radio access network apparatus, controlling method, mobile communication system, and non-transitory computer readable medium embodying instructions for controlling a device
WO2017064824A1 (en) * 2015-10-15 2017-04-20 日本電気株式会社 Monitoring device, base station, monitoring method, control method, and nontemporary computer-readable medium
WO2022172803A1 (en) * 2021-02-12 2022-08-18 オムロンヘルスケア株式会社 Wireless communication apparatus, wireless communication method, and program

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010063016A (en) * 2008-09-05 2010-03-18 Hitachi Constr Mach Co Ltd Radio communication system and device for construction machinery
KR101082333B1 (en) 2009-12-21 2011-11-10 전자부품연구원 Apparatus and method for controlling operation state of physical layer
JP2012134617A (en) * 2010-12-20 2012-07-12 Kddi Corp Communication method in bluetooth network and its radio information distribution device
WO2013145662A1 (en) * 2012-03-26 2013-10-03 Nec Corporation Radio access network apparatus, controlling method, mobile communication system, and non-transitory computer readable medium embodying instructions for controlling a device
JP2015517227A (en) * 2012-03-26 2015-06-18 日本電気株式会社 Radio access network device, control method, mobile communication system, and program
WO2017064824A1 (en) * 2015-10-15 2017-04-20 日本電気株式会社 Monitoring device, base station, monitoring method, control method, and nontemporary computer-readable medium
US11190541B2 (en) 2015-10-15 2021-11-30 Nec Corporation Monitor device, base station, monitoring method, control method, and non-transitory computer readable medium
WO2022172803A1 (en) * 2021-02-12 2022-08-18 オムロンヘルスケア株式会社 Wireless communication apparatus, wireless communication method, and program

Also Published As

Publication number Publication date
JP3840186B2 (en) 2006-11-01

Similar Documents

Publication Publication Date Title
Buttyan et al. Security and cooperation in wireless networks: thwarting malicious and selfish behavior in the age of ubiquitous computing
CN101617346B (en) Method and apparatus to deploy dynamic credential infrastructure based on proximity
EP2245790B1 (en) Authentication mechanisms for wireless networks
KR100628490B1 (en) Wireless communication apparatus, wireless communication method, and computer-readable medium recording a wireless communication program
US7076209B2 (en) Short range radio communication system with using improved authentication scheme
KR102646565B1 (en) Processing electronic tokens
US8151336B2 (en) Devices and methods for secure internet transactions
US20030174838A1 (en) Method and apparatus for user-friendly peer-to-peer distribution of digital rights management protected content and mechanism for detecting illegal content distributors
EP1249141A1 (en) Authentication method using cellular phone in internet
JP2004534306A (en) Payment authorization via beacon
WO2004025921A2 (en) Secure access to a subscription module
WO2013053788A1 (en) Near field communication security
JP2010501147A (en) System and method for wireless transactions
JP3840186B2 (en) Service providing apparatus, service transmission / reception system, and service providing program
Alrawais Security Issues in Near Field Communications (NFC)
EP1398934B1 (en) Secure access to a subscription module
KR101964983B1 (en) Method and system for connecting to access point based on short range wireless
KR20180041029A (en) Access Point for Location based Service, and System and Method for Location based Marketing Information Service Using the AP
CN114710760A (en) Mid-range reader interaction
US20220104102A1 (en) Proximity device network
Maia et al. CROSS: loCation pROof techniqueS for consumer mobile applicationS
KR101487349B1 (en) Terminal Authentication Method in Wireless Access Point and Wireless LAN System using the same
WO2014180423A1 (en) Spam processing method, device and storage medium
US20040152448A1 (en) Method and arrangement for authenticating terminal equipment
Sharma M-Commerce Location-Based Services: Security and Adoptability Issues in M-Commerce

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040604

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060425

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060509

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060710

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060725

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060804

LAPS Cancellation because of no payment of annual fees