JP2004297257A - 認証暗号化無線通信システム、その通信制御方法およびその無線端末、ならびにクライアント - Google Patents
認証暗号化無線通信システム、その通信制御方法およびその無線端末、ならびにクライアント Download PDFInfo
- Publication number
- JP2004297257A JP2004297257A JP2003084244A JP2003084244A JP2004297257A JP 2004297257 A JP2004297257 A JP 2004297257A JP 2003084244 A JP2003084244 A JP 2003084244A JP 2003084244 A JP2003084244 A JP 2003084244A JP 2004297257 A JP2004297257 A JP 2004297257A
- Authority
- JP
- Japan
- Prior art keywords
- client
- wireless
- authentication
- base station
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】無線LAN通信を行う無線端末に接続された一つまたは複数のクライアントをそれぞれ認証し、これらの認証された一つまたは複数のクライアントを接続した無線端末と無線基地局との間で暗号化通信をおこなう無線LAN システムを実現する。
【解決手段】認証サーバ1は、クライアント4を認証する手段と、認証サーバ1と認証されたクライアント4との間でおこなう暗号化通信の暗号鍵情報を送信し、無線端末3は、各クライアント4に送信された暗号鍵情報を抽出し、その暗号鍵情報に基いて無線端末3と無線基地局4との間の暗号鍵を設定して暗号化通信を行う。
【選択図】 図1
【解決手段】認証サーバ1は、クライアント4を認証する手段と、認証サーバ1と認証されたクライアント4との間でおこなう暗号化通信の暗号鍵情報を送信し、無線端末3は、各クライアント4に送信された暗号鍵情報を抽出し、その暗号鍵情報に基いて無線端末3と無線基地局4との間の暗号鍵を設定して暗号化通信を行う。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、認証暗号化無線通信システム、その通信制御方法およびその無線端末、ならびにクライアントに関する。
【0002】
【従来の技術】
事務所等において通信ネットワークを構築するのに、ローカル エリア ネットワーク(LAN)を利用する場合、さらにそのLANに無線通信によってホストとパーソナルコンピュータ等の端末機器(以下クライアントと称する)を接続する無線LANを採用する場合が増えている。
【0003】
無線LANは、信号が無線電波となって開放された自由空間を伝送されるため、本来その無線LANの構成に含まれていない無線端末を介して、不要なアクセスもしくは無線LANへの侵入が発生する危険がある。この危険を防ぐため、無線LANにアクセスできる無線端末やクライアントを制限する方法、また無線LANで通信する無線端末やクライアントは、暗号を用いる等の方法で通信場のセキュリティの確保を図っている。
【0004】
無線LANへのアクセスを制限する方法として、無線端末やクライアントが無線LANにアクセスする時、無線LANに接続された認証サーバが、無線端末やクライアントにアクセス権が有るか否かを調べて認証し、その認証によって許可された無線端末やクライアントは、更に暗号による無線通信を行う方法がある。
【0005】
これらの認証方法には幾つかの方法があるが、その1つにESS(Enhaced Service Set)−ID(Identifier)を使用したものがあり、予め無線LANが構築する無線LANにグループ名を付与して、無線基地局とユーザ端末に設定することにより、同一のグループ名を持つ無線基地局とユーザ端末との間でのみ通信できる(例えば、非特許文献2参照。)。
【0006】
また、別の認証方法の1つとしてMAC(メディア アクセス 制御)アドレスフィルタリングと呼ばれるもので、無線LANカードのアドレスを無線基地局に登録することにより、登録の無い無線LANカードを使用するクライアントからのアクセスを拒否する方法等が使用されている(例えば、特許文献1参照。)。
【0007】
また、無線LANで用いる暗号化については、例えば、WEP(Wired Equivalent Protocol)と呼ばれる標準が準備されている(例えば、非特許文献1参照。)。
【0008】
図11は、認証暗号化を行っている、従来の無線LANシステムの一例の構成を示すブロック図である。
【0009】
図11において、無線LANシステムは、認証サーバ101、無線基地局102、無線端末103およびクライアント104から構成されている。そして、無線端末103は、例えば無線LANカードによって構成され、それがクライアント104であるパーソナルコンピュータに内蔵されて一体化され、ユーザ端末105(#1〜#N)を構成している。
【0010】
図12は、図11の無線LANシステムにおいて、認証と暗号化を行う動作手順を示すフローチャートである。
【0011】
以下、図11、および図12を参照して、認証と暗号化を行う従来の無線LANの動作を説明する。
【0012】
認証サーバ101は、最初に無線基地局102にアクセスしてくるユーザ端末105の無線端末(無線LANカード)103のMACアドレス(MA5)および、無線基地局102と無線端末103との間で行う暗号化の鍵(例えば、K101)が内部メモリに設定、登録される(図12のステップS101)。
【0013】
そして、同様にユーザ端末105の無線端末103の内部メモリにも、同じMACアドレス(MA5)および、認証サーバに設定した同じ暗号化の鍵(ここでは、3K101とする)が、クライアント(パーソナルコンピュータ)104からキーボード入力等により設定、記憶される(図12のステップS102)。
【0014】
無線LANにユーザ端末105がアクセスを開始する場合、即ち、ユーザ端末105が無線LANにログインして、例えば、無線LANに接続されたホスト装置とコネクションを確立しようとするとき、ユーザ端末105は、クライアント104のキーボード、またはマウス等を操作してアクセス要求のコマンドを入力する。
【0015】
すると、無線端末103は、このクライアント104が生成したコマンドを検知し、アクセス要求信号を生成して無線基地局102に送信する(図12のステップS103)。
【0016】
無線基地局102は、そのアクセス要求信号に含まれるMACアドレス(MA5)を判読して、認証サーバ101にそのMACアドレス(MA5)を出力する(図12のステップS104)。
【0017】
認証サーバ101は、受信したMACアドレス(MA5)と予め内部メモリに登録されたMACアドレス(MA5)を比較照合して一致していれば、当該無線端末103からのアクセスを許可すると判断する(図12のステップS105)。
【0018】
そして、認証サーバ101は、無線基地局102に対して、アクセスを許可するコマンドと、その内部メモリに記憶していた暗号鍵(K101)およびコネクション毎の暗号鍵を生成する為の鍵の種(例えば、KS101)および試験パタンデータとを出力する。
【0019】
無線基地局102は、この許可のコマンドと暗号鍵(K101)および鍵の種(KS101)を受信すると、無線基地局102の内部メモリに暗号鍵(K101)および鍵の種(KS101)を記憶すると共に、無線端末103に許可コマンドと鍵の種(KS101)および試験パタンデータを送信する(図12のステップS106)。
【0020】
無線端末103は、この許可のコマンドと鍵の種(KS101)を受信すると、無線端末103の内部メモリに鍵の種(KS101)を記憶すると共に、自身の内部メモリに記憶していた暗号鍵(3K101)とその受信した鍵の種(KS101)を掛け合せて、このコネクションで使用する暗号鍵(KC102)を生成する。
【0021】
そして、無線端末103は、この生成した暗号鍵(KC102)を用いて、無線基地局102に送信する試験パタンデータを暗号化し、無線基地局102を経由して(この段階では無線基地局102は、無線端末103から受信した信号を解読しない)認証サーバ101に返送する(図12のステップS107)。
【0022】
認証サーバ101は、無線基地局102を経由して受信した暗号化された試験パタンデータを内部メモリに記憶していた暗号鍵(K101)および鍵の種(KS101)を掛け合せた暗号鍵を用いて復号して、受信した試験パタンデータと送信した試験パタンデータとを比較参照し、同一パタンであるか否かを判断して復号した試験パタンデータによる認証を行う(図12のステップS108)。
【0023】
そして、送信と受信した試験パタンデータとが一致すれば、正しく暗号が解読できたので、無線端末103の鍵(3K101)と認証サーバの鍵(K101)が同一と判断として、その認証成功の通知を無線基地局102を介して無線端末103に送信して(図12のステップS109)、ログインが完了する。
【0024】
無線基地局102は、この認証成功の通知を無線端末103に送信した以降、無線基地局102と無線端末103との間では、暗号鍵(K101)鍵の種(KS101)を用いて、ログアウト、即ちコネクションが終了するまで暗号化通信を行う(図12のステップS110)。
【0025】
また、無線端末103も同様に、この認証成功の通知を無線基地局102にから受信した以降、無線基地局102と無線端末103との間では、ログアウトするまで暗号鍵(K101)鍵の種(KS101)を用いて、暗号化通信を行う(図12のステップS111)。
【0026】
したがって、認証と暗号化を用いた無線LANは、第3者から不要なアクセスや盗聴を防いだ通信が可能になる。なお、ユーザ端末105(もしくは、無線端末103)がログアウトしてコネクションが切断されると、この鍵の種(KS101)は廃棄され、次のコネクションでは、新たに認証手続きが行われて新しい鍵の種(例えば、KS102)が発行される。
【0027】
従来の認証暗号化通信は、クライアント104と無線端末103(無線LANカード)とが一体化(縮退化)され不可分なユーザ端末105になっていた。したがって、1つの無線端末に複数のクライアント(パーソナルコンピュータ等)を接続することができなかった。
【0028】
また、無線端末103とクライアント104を分離した構造としても、複数のクライアントを接続するためには、無線端末にはルータ機能が必要であり、通信制御が複雑になりコストが高くなる問題があった。
【0029】
そこで、無線端末103の装置を簡易にするためワイヤード オアのように、単純に無線端末に複数のクライアントを接続しても、ポートアドレスが1つのハブ状となってしまう無線端末ではクライアントを個々に監視制御することは出来ず、しかも各クライアントから無線基地局と無線端末の間の暗号化通信が行えない問題があった。
【0030】
【特許文献1】
特開2002−124952号公報
【0031】
【非特許文献1】
IEEE 802.11b−1999 Supplement to 802.11−1999,Wireless LAN MAC and PHY specifications: Higher speed Physical Layer (PHY) extension in the 2.4 GHz band
【0032】
【発明が解決しようとする課題】
従来の無線LANでは、無線LANカードがパーソナルコンピュータに内蔵されて、クライアントと無線端末(無線LANカード)が一体で不可分なユーザ端末になって認証暗号化通信が行われていた。したがって、例えば、無線LAN構築の費用節減や無線周波数の有効利用をめざして、無線区間を共用出来るように1つの無線端末に複数のクライアントを接続することができない問題があった。
【0033】
また、無線端末とクライアントを分離した構造としても、複数のクライアントを接続するためには、無線端末にはクライアントを個別に認識するための、たとえば、ルータ機能を具備することが必要で、その為の通信制御が複雑になる、コストが高くなる等の問題があった。
【0034】
したがって、単純に無線端末に複数のクライアントを接続しても、ポートアドレスが1つのハブ状となってしまう無線端末では、クライアントを個々に監視制御することは出来ず、クライアント各々が無線端末を介して無線基地局との間の暗号化通信を設定できない問題があった。
【0035】
本発明は、上記問題を解決するためになされたもので、無線LAN通信を行う無線端末に接続された一つまたは複数のクライアントをそれぞれ認証し、これらの認証された一つまたは複数のクライアントを接続した無線端末と無線基地局との間で暗号化通信を行う認証暗号化無線通信 システム、およびその通信制御方法を実現することを目的とする。
【0036】
【課題を解決するための手段】
上記目的を達成するために、本発明の認証暗号化通信システムは、無線基地局と、前記無線基地局と無線通信する無線端末と、前記無線端末に接続される一つまたは複数のクライアントと、前記無線基地局と前記無線端末とを介して通信し、前記クライアントを認証する認証サーバとを具備する無線通信システムにおいて、前記認証サーバは、前記クライアントを認証する認証手段と、前記認証されたクライアントとの間で暗号鍵情報を送受信する暗号化手段とを具備し、前記無線端末は、前記認証サーバと前記クライアントとの間で送受信される前記暗号鍵情報を用いて前記無線基地局との間の暗号鍵として設定し、前記無線基地局との間で暗号化通信を行う暗号化通信手段を具備することを特徴とする。
【0037】
また、本発明の認証暗号化無線通信システムの通信制御方法は、認証サーバが無線基地局と無線端末とを介して前記無線端末に接続されるクライアントとの間で認証を行い、前記認証サーバが認証した前記クライアントと、前記認証サーバとの間で暗号化通信をする認証暗号化無線通信システムの通信制御方法であって、前記認証サーバは、予め設定された所定の方法により前記クライアントを認証すると、前記認証されたクライアントとの間で行う暗号化通信の暗号鍵情報を送信し、前記無線端末は、前記クライアントに送信された暗号鍵情報を抽出して前記無線基地局との間の暗号鍵として設定することを特徴とする。
【0038】
【発明の実施の形態】
本発明は、認証暗号化無線通信システムにおいて、認証サーバが認証したクライアントが、無線LANの無線基地局、および無線基地局を介してホストとの間で通信を行う時、認証サーバが当該クライアントに対して発行した暗号化通信の鍵情報を、当該クライアントが接続されている無線端末が抽出して、無線基地局との間で行う暗号化の鍵を設定して通信を行う認証暗号化無線通信システム、およびその通信制御方法、ならびにその無線端末とクライアントに関するものである。
【0039】
以下、図面を参照して本発明の実施の形態を説明する。
【0040】
図1は、本発明の認証暗号化無線通信システムに係わる第1の実施の形態の構成を示すブロック図である。
【0041】
図1において、本発明の認証暗号化無線通信システムは、ローカル エリア ネットワーク(以下、単にLANと称す)5、認証サーバ1、無線基地局2(#1〜#M)、無線端末3(#1〜#N)およびクライアント4(#1〜#n)から構成されている。そして、LAN5は、さらにホスト(または情報端末)6と接続されている。
【0042】
認証サーバ1は、無線基地局2とLAN5を介して接続されている。なお、認証サーバ1と無線基地局2とが直接バスで接続されている等の場合には、認証サーバ1と無線基地局2とを一体化して無線基地局2側に認証機能を持たせてもよい。図1では、認証サーバ1と無線基地局2とを分けて示している。また、認証サーバ1は、ホスト6を兼ねているものであってもよい。
【0043】
無線基地局2(#1〜#M)は、無線端末3(#1〜#N)と無線通信により接続されている。この無線端末3(#1〜#N)はパーソナルコンピュータ、ワークステーション等で構成される複数のクライアント4(#1〜#n)と接続されている。無線基地局2(#1〜#M)は、無線端末(#1〜#N)とLAN5との間のブリッジ装置として機能する。
【0044】
即ち、無線基地局2は、TCP/IP手順に準じて作成されたクライアント4の無線パケット信号を無線端末3を介して受信し、これをLAN5に入出力することによって、LAN5に接続されたホスト6との間でクライアント4の送受信情報を中継している。
【0045】
また、無線基地局2は、無線端末3(例えば、#1)に接続されたクライアント(#1)と、無線端末3(例えば、#N)に接続されたクライアント(#m)との間で無線LANを介して情報を送受信する中継を行う。
【0046】
無線基地局2(#1〜#M)は、無線端末3(#1〜#N)との間で無線通信を行うにあたり、無線LANが第三者によってアクセス、盗聴されるのを防ぐため、認証サーバ1によって認証される無線端末3およびクライアント4との間でのみ暗号を用いた通信を行うように構成されている。
【0047】
認証サーバ1には、無線LANを構成する全ての無線基地局2(#1〜#M)、および無線端末2(#1〜#N)に付与されたMACアドレス、その無線LANに対して付与されたグループ名、およびクライアント4(#1〜#n)を識別するためのMACアドレス(固有の識別番号であってもよい)等の認証情報がメモリ14(図2を参照)に登録されている。
【0048】
また、認証サーバ1には、無線基地局2とクライアント4との間で行う暗号化通信の鍵情報もその内部メモリ14に記憶されている。
【0049】
図2は、本発明における認証サーバ1および無線基地局2の機能構成を示すブロック図、図3は、無線端末3の機能構成を示すブロック図、図4は、クライアント4の機能構成を示すブロック図である。
【0050】
図2において、認証サーバ1は、通信インタフェース(以下、通信I/Fと称す)11、認証管理部12、鍵管理部13、メモリ14、CPU15から構成される。
【0051】
一方、無線基地局2は、通信インタフェース(I/F)21、暗号処理部22、RF部23、MAC処理部24、監視制御部25、メモリ26から構成されている。
【0052】
図3の無線端末3は、端末インタフェース(以下、端末I/Fと称す)31、暗号処理部32、RF部33、MAC処理部34、監視制御部35、メモリ36から構成されている。
【0053】
図4のクライアント4は、端末インタフェース(以下、端末I/Fと称す)41、ディスプレイ42、キーボード・マウス43、CPU45、メモリ46から構成されている。ここで、クライアント4から各構成の詳細について説明する。
【0054】
図4のクライアント4(#1〜#n)は、図1のLAN5に接続されているホスト6にログインするため、操作者によってキーボード・マウス43からコマンドが入力されると、CPU45が通信プログラム44を起動して、所定の無線端末3および無線基地局2を介して認証サーバ1に対して認証手続きのための通信を行う。
【0055】
そして、クライアント4は、認証サーバ1による認証が完了すると無線LANへのアクセスが許可され、LAN5上のホスト6へログインし、無線端末3および無線基地局4との間で行われる暗号化通信を介してホスト6との間でデータの送受信を行う。
【0056】
この認証、およびログインと暗号化通信に必要なMACアドレス、および暗号化の鍵情報等の初期設定は、各クライアント4(#1〜#n)のディスプレイ42とキーボード・マウス43を用いて操作者によって行われ、その初期設定情報がメモリ46に記憶される。そして、各クライアント4(#1〜#n)の通信相手のアドレス情報および、LAN5上のホスト6と送受信されるデータ等は、図5に示されるフォーマットのパケット信号に搭載されてTCP/IP手順により端末I/F41を介して無線端末3との間で入出力される。
【0057】
クライアント4の端末I/F41および、これと接続する無線端末3の端末I/F31は、例えば10/100BASE−T、もしくはUSBなどのシリアルインタフェース等が使われる。
【0058】
図3の無線端末3では、MAC処理部34が端末I/F31を介して受信したクライアント4からのパケット信号から認証や暗号化通信に用いる初期設定情報を抽出し、監視制御部35に渡す。監視制御部35は、その抽出情報を所要の手順に従ってメモリ36に記憶する。また、MAC処理部34は、受信したパケット信号を再組立してRF部33に出力する。
【0059】
そしてRF部33は、このパケット信号をベースバンド信号から所定の周波数と伝送速度のRF(無線電波)信号に変換し、アンテナ(図示せず)から対向する無線基地局2へ送信する。
【0060】
無線端末3が無線基地局2から受信した信号をクライアント4に送信する場合は、この処理手順が逆になる。
【0061】
図5は、本発明における無線LANシステムで取り扱うTCP/IP手順によるパケット通信のデータフォーマットの説明図である。
【0062】
本発明に係わる認証、暗号化の通信制御処理は、無線LANの標準規格であるIEEE802.11に準じて、送受信されるパケット信号のMACフレーム部分に対して制御情報の設定、或いは判読が行なわれる。即ち、無線基地局2、無線端末3およびクライアント4は、このMACフレーム部分に記述されたアドレス情報や鍵情報等の内容を判読したり、もしくは、それらの情報を設定したりして無線LANの通信を行う。
【0063】
図5に示されるデータフォーマットにおいて、PLCPプリアンブルおよびPLCPヘッダは、無線LAN通信の無線接続を行う時の同期信号、物理的な接続条件に関する情報を搭載するのに用いられ、またFCSフレームは、無線伝送されたパケットの誤り制御に用いられる。
【0064】
MACフレームには、パケットの送信先および送信元のアドレス情報と、無線基地局2、無線端末3およびクライアント4のMACアドレスのアドレス情報と、伝送中のパケット信号の制御用途(例えばコマンドの区別)を示すタイプ情報と、暗号の鍵情報と、および補助的情報伝送に用いるオプションデータとが搭載される。
【0065】
また、データフレームには、無線LANで伝送される情報・データの本体部分が搭載され、クライアント4を認証するのに用いる試験パタンデータは、このフレームに搭載される。
【0066】
図3に戻り、無線端末3の監視制御部35は、MAC処理部34の動作を監視して、クライアント4から受信したパケット信号のMACフレームの内容を判読して、例えば、メモリ36に記憶する初期設定データか、認証の為に無線基地局2と入出力するデータか、クライアント4との間で送受信するデータかなどの判定を行いそれぞれの通信処理の制御を行う。
【0067】
即ち、認証に関わる初期設定のデータは、認証サーバ1に登録設定される無線LANのグループ名、およびクライアント4、無線端末3のMACアドレス等であって、これらの情報はメモリ36に記憶される。
【0068】
即ち、クライアント4が認証の初期設定のデータを無線端末3(例えば#1)に送信する場合、クライアント4の通信プログラム44は、送信先の無線端末3のMACアドレス(例えばMA1)をMACフレームに設定する。
【0069】
そして、送信先の無線端末3(#1)が受信したMACアドレス(MA1)を認証サーバ1に送信する場合、送信先の無線基地局2のアドレスを送信先アドレスに設定し、MACアドレス(MA1)を送信元アドレスとして設定する。
【0070】
ここで、無線端末3から無線基地局2へ送信された無線パケット信号が、初期設定のためのデータなのか、それとも無線端末3を認証するための認証データか、もしくはクライアント4がLAN5との間で送受信するためのデータであるかの区別は、MACフレームに送受信するパケット信号のタイプ情報を設定して送信する。例えば、初期設定のパケット信号であれば、「ST」記号で区別することによって行われている。
【0071】
したがって、監視制御部35は、MAC処理部34が処理しているMACフレーム情報を監視することにより、クライアント4との入出力信号の処理方法を区別して設定することが出来る。
【0072】
また、クライアント4とLAN5上のホスト6との間で送受信されるデータを無線基地局2と無線端末3との間の無線通信で暗号化するのに必要な鍵情報は、無線端末3のメモリ36に記憶される。そして、MAC処理部34からのデータが鍵情報と共に暗号処理部32に転送されて、スクランブルもしくはデスクランブルの暗号化・複合化処理が暗号処理部32で実施される。
【0073】
次に図2の無線基地局2のRF部23は、無線端末3のRF部33との間で無線パケット信号を送受信する。RF部23は、この無線パケット信号をベースバンド信号に変換し、MAC処理部24、通信I/F21を介して認証サーバ1との間で送受信する。
【0074】
無線基地局2と認証サーバ1との間は、それぞれ通信I/F21と通信I/F11とを介してパケット信号を入出力する。もし、LAN5によって無線基地局2と認証サーバ1が接続されている場合には、無線基地局2と認証サーバ1は、例えば、10/100BASE−Tのようなインタフェースで接続される。
【0075】
そして、無線基地局2が認証サーバ1を兼ねている場合は、通信I/F21と通信I/F11はバス接続になり、無線基地局2の監視制御部25が認証サーバの機能を実行する。
【0076】
認証サーバ1では、初期設定として、無線LANのグループ名、および無線基地局2、無線端末3のMACアドレス等が、例えば、キーボード(図示せず)等から入力され、メモリ14に記憶される。また、無線基地局2では、更に暗号設定鍵が初期設定される。 認証管理部12は、例えば、ESS−IDの無線LANのグループ名、MACフィルタリング等の処理手順を設定している。そして、クライアント4から無線端末3および無線基地局2を介して受信したデータと、メモリ14に記憶されている認証データ(無線LANのグループ名、および無線端末3のMACアドレス等)とを比較検証する。
【0077】
また、鍵管理部13は、クライアント4が認証されると、その認証を行ったコネクションが設定されている間だけ用いる鍵(以下鍵の種と呼ぶ。)を発行し、無線基地局2で初期設定された暗号設定鍵と組み合わせて更に、平文を暗号化するためのスクランブル鍵を生成する。 WEP(Wired Equivalent Privacy)と呼ばれる暗号化を用いる無線LANでは、スクランブル鍵は、鍵の種と、IV(Initialize Vector)と呼ばれる関数を組み合わせて生成される。
【0078】
本発明では、このIVに相当するものは、暗号通信を行う装置の間で、暗号設定鍵と呼ばれて入力設定された英数字について暗号処理のための関数処理等を行って生成される。
【0079】
CPU15は、これら認証および鍵管理手段の動作を監視し、その処理手順を管理する。
【0080】
図6は、本発明の無線LANシステムが、認証と暗号化通信を行うまでの基本的な課程を示すフローチャートである。
【0081】
即ち、図6において、認証サーバ1は、アクセスを要求してきたクライアント4が無線LANに対するアクセス権を有するか否かを確認する(図6のステップs61がYesの場合)と、引き続き、認証サーバ1は、無線LANにアクセス権があるクライアント4からのホスト6に対するログイン権の有無を確認し(図6のステップs62がYesの場合)、以上二つの認証が成功するとクライアント4とホスト6とは、無線基地局2と無線端末3との間で暗号化を行った無線LAN通信を行う(図6のステップs63)。
【0082】
以下、本発明の1台の無線端末に接続された複数のクライアント4に対して認証を行い、それらの各クライアント4が送受信するデータを無線基地局2と無線端末3との間の無線通信において暗号化して通信する一連の動作手順について説明する。
【0083】
(第1の実施の形態)
本発明の第1の実施の形態は、認証サーバ1がクライアント4のMACアドレス等の初期設定情報を利用して認証を行った後、認証サーバ1がクライアント4に対して送信した鍵情報を無線端末3が抽出し、無線基地局2とクライアント4との間で通信を暗号化する代わりに、その抽出した鍵情報を利用して無線基地局2と無線端末3との間で暗号化通信を行う方法である。
【0084】
図7は、第1の実施の形態における無線LANの初期設定の手順を示すフローチャートである。図8は、第1の実施の形態における無線LANの動作手順を示すフローチャートである。
【0085】
以下、図7、図8を参照して、本発明の第1の実施の形態の動作手順を説明する。認証サーバ1では、初期設定として、キーボード等により無線基地局2(ここでは、#1とする)のMACアドレス(2A1)、無線基地局2にアクセスする無線端末3(ここでは、#1とする)のMACアドレス(3A1)、クライアント4(ここでは、#1とする)に設定したMACアドレス(4A1)および、無線基地局2(#1)とクライアント4(#1)との間で行う暗号設定鍵(例えば、1K1)が入力され、メモリ14に設定、登録される。
【0086】
この認証サーバ1のメモリ16に登録された初期設定のデータは、パケット信号に構築されTCP/IP手順で無線基地局2に出力され、監視制御部25の制御によりメモリ26に設定、記憶される(図7のステップs1)。この時のパケット信号には、初期設定データであることを示す「ST」記号がMACフレームにタイプ情報として設定される。
【0087】
無線基地局2は、認証サーバ1から初期設定データを設定するパケット信号を受信すると、MAC処理部24は、MACフレーム中の「ST」を検出して、無線基地局2のMACアドレス(2A1)および無線端末3のMACアドレス(3A1)を抽出する。そして、監視制御部25は、これらの抽出された初期設定データをメモリ26に設定、記憶する。なお、初期設定のデータ入力は、キーボード入力等により設定、記憶する方法がとられてもよい。
【0088】
一方、クライアント4(#1)のパーソナルコンピュータからも初期設定として、クライアント4(#1)に割当てられたMACアドレス(4A1)、無線端末3のMACアドレス(3A1)、および認証サーバ1に設定したものと同一の無線基地局2とクライアント4との間で行う暗号設定鍵(ここでは、4K1とする)が、キーボード入力等により設定され、それらの認証データおよび暗号設定鍵(4K1)がクライアント4(#1)のメモリ46に記憶される。
【0089】
このクライアント4(#1)のメモリ46に記憶された無線端末3のMACアドレス(3A1)、および暗号設定鍵(4K1)が、初期設定データを示すタイプ情報「ST」記号とともにパケット信号に搭載され、クライアント4(#1)の通信I/F41、無線端末3(#1)の通信I/F31を介して転送されて、無線端末3(#1)のメモリ36に記憶される(図7のステップs2)。
【0090】
なお、この図7のステップs1,s2の初期設定作業は、どちらを先に行ってもよい。
【0091】
この初期設定後、認証サーバ1は、アクセスを要求してきたクライアント4(#1)に対してMACアドレスを用いた認証を最初に行う。
【0092】
クライアント4(#1)から、無線端末3(#1)を介して無線LANにアクセスをしようとする(ログインしてコネクションを設立しようとする)時に、クライアント4(#1)のキーボード・マウス43より入力されたコマンドがCPU45によって検出される。
【0093】
すると、クライアント4(#1)の通信プログラム44は、このコマンド情報をMACフレームに設定し、クライアント4(#1)のMACアドレス(4A1)を含むパケット信号(以下、コマンド信号と称する)を生成して、端末I/F41を介して無線端末3(#1)に出力する。なお、この段階ではまだ、クライアント4(#1)に対する認証が済んでいないので、MACフレームには認証が済んでいないログイン要求を表す「LR」記号が設定されている。
【0094】
無線端末3(#1)は、このコマンド信号を端末I/F31を介して受信すると、MAC処理部34がMACフレーム中の「LR」記号を検知し、これにより監視制御部35がログイン要求信号と判断する。
【0095】
そして、監視制御部35の指令を受けてMAC処理部34は、認証処理のために、コマンド信号を引き続きRF部33を介して無線基地局2(#1)に送信する。
【0096】
即ち、無線端末3(#1)のMAC処理部34は、クライアント4(#1)のMACアドレス(4A1)に、自分のMACアドレス(3A1)を加えたコマンド信号のパケットを生成し、そのコマンド信号をRF部33を介して無線基地局2(#1)に送信する(図8のステップs11)。
【0097】
無線基地局2(#1)は、そのコマンド信号をRF部23を介して受信すると、MAC処理部24がMACフレームの「LR」記号を検知し、そのコマンド信号に含まれる無線端末3(#1)のMACアドレス(3A1)およびクライアント4(#1)のMACアドレス(4A1)を判読し、通信I/F21,11を介して認証サーバ1にそのMACアドレス(3A1)およびクライアント4(#1)のMACアドレス(4A1)を認証サーバ1に出力する(図8のステップs12)。
【0098】
認証サーバ1は、受信したMACアドレス(3A1)およびクライアント4(#1)のMACアドレス(4A1)とメモリ14に初期設定されたMACアドレス(3A1)、(4A1)とを比較照合して、一致していれば無線端末3(#1)およびクライアント4(#1)に対するMACアドレスを用いた認証を終了し、アクセスを許可する(図8のステップs13がYesの場合)。
【0099】
もし、比較照合して一致しなければ不正アクセスと判断して、無線端末3(#1)およびクライアント4(#1)との通信は行わない(図8のステップs13がNoの場合)。
【0100】
認証サーバ1は、MACアドレス(4A1)を認証するとアクセスを許可するコマンドとして「LA」記号と、認証サーバ1に初期設定されていた暗号設定鍵(1K1)をメモリ14から読出してMACフレームに設定にすると共に、コネクション毎の暗号鍵を生成する為の鍵の種(例えば、KS1)の情報をMACフレームに設定し、試験パタンデータをデータフレームに搭載したパケット信号を生成し通信I/F11を介して無線基地局2(#1)に出力する。
【0101】
即ち、この状態では、クライアント4(#1)と認証サーバ1との間で暗号設定鍵による認証や、暗号化通信を行うための鍵情報を交換する段階であって、クライアント4(#1)がLAN5に接続されたホスト等との通信は許可されていない段階であることをMACフレームに設定された「LA」記号により表示されている。
【0102】
無線基地局2(#1)は、通信I/F21を介してこのパケット信号を受信すると、MAC処理部24がアクセス許可のコマンド「LA」記号と暗号設定鍵(1K1)および鍵の種(KS1)を検出し、監視制御部25が無線基地局2のメモリ26に検出された暗号設定鍵(1K1)および鍵の種(KS1)を記憶する。
【0103】
また、監視制御部25は、暗号処理部22に、暗号設定鍵(1K1)と鍵の種(KS1)を組合せて(例えば、掛け合せることによって)新たなスクランブル鍵(CK1)を生成し、そのスクランブル鍵(CK1)により暗号化した試験パタンデータを生成する。
【0104】
MAC処理部24は、試験パタンデータを、データフレームに搭載し、また鍵の種(KS1)および応答許可コマンドの情報をMACフレームに設定する。そして、無線基地局2(#1)で再構築されたパケット信号がRF部23を介して無線端末3(#1)に送信される(図8のステップs14)。
【0105】
ここで、鍵の種(KS1)の情報は暗号化されずに無線端末3(#1)に送信されているが、認証登録されていないクライアント4は、この無線LANにアクセスできないので、鍵の種(KS1)が第3者に配信されることはない。
【0106】
無線端末3(#1)は、RF部33を介して無線基地局2(#1)から暗号化された試験パタンデータと「LA」記号および鍵の種(KS1)の情報を含むパケット信号を受信すると、MAC処理部34は、その信号のMACフレームに含まれる鍵の種(KS1)を抽出して、メモリ36に記憶する。更に、メモリ36に初期設定した暗号設定鍵(4K1)と鍵の種(KS1)とを掛け合せて、このコネクションで使用するスクランブル鍵(CK2)を生成する。なお、クライアント4(#1)が正しいクライアントであれば、暗号設定鍵1K1と4K1は同じ暗号設定鍵なので、それに鍵の種KS1を掛け合わせた暗号設定鍵CK1とCK2とは同一となる。
【0107】
そして、無線端末3(#1)は、受信した暗号化された試験パタンデータをスクランブル鍵(CK2)により復号化して平文を生成する。そして、その平文の試験パタンデータをデータフレームに搭載し、「LA」記号を付加したパケット信号を端末I/F31を介してクライアント4(#1)に出力する。
【0108】
クライアント4(#1)は、端末I/F41を介して「LA」記号と平文になった試験パタンデータを受信すると、再び、クライアント4(#1)のCPU45が通信プログラム44を制御して、そのまま平文の試験パタンデータをデータフレームに搭載し「LA」記号を付加したパケット信号を生成して、端末I/F41を介して無線端末3(#1)に送り返す。
【0109】
無線端末3(#1)は、端末I/F31を介して「LA」記号と平文の試験パタンデータを受信すると、それを再びスクランブル鍵(CK1)により暗号化した試験パタンデータをデータフレームに搭載し、「LA」記号を付加したパケット信号を作成して、RF部33を介して無線基地局2(#1)に送り返す(図8のステップs15)。
【0110】
無線基地局2(#1)は、RF部24を介して「LA」記号と暗号化した試験パタンデータとを受信すると、メモリ26に初期設定されていた暗号設定鍵(1K1)と鍵の種(KS1)から生成したスクランブル鍵(CK1)により暗号化試験パタンデータを復号化して、平文を生成する。そして平文の試験パタンデータをデータフレームに搭載し「LA」記号を付加したパケット信号を通信I/F21を介して認証サーバ1に送信する。
【0111】
認証サーバ1は、通信I/F11を介して、「LA」記号と平文の試験パタンデータとを受信すると、認証サーバ1自身が送信した試験パタンデータであることを検証するため、平文された試験パタンデータと送信時の試験パタンデータとを比較し、同一であるか否かを確認して(図8のステップs16)、復号化による認証を行う。
【0112】
即ち、受信した試験パタンデータが送信時の試験パタンデータと一致すれば(図8のステップs17がYesの場合)、クライアント4(#1)の暗号設定鍵(4K1)と初期設定した認証サーバ1の暗号設定鍵(1K1)とが一致したことになり、クライアント4(#1)がなりすましでない正しい相手(認証成功)であるとCPU15が判定し、クライアント4がホスト6にログイン権があることの認証を完了する(図8のステップs18)。
【0113】
そして、認証サーバ1は、その認証完了通知として「LC」記号をMACフレームに設定して同一の手順によって無線基地局2(#1)と無線端末3(#1)を介してクライアント4(#1)に送信する。これにより、クライアント4(#1)のログインが完了する。
【0114】
この時、無線基地局2(#1)は、「LC」記号を受信すると、このクライアント4(#1)とのコネクション番号として、例えば、(CN1)のように番号を付与して、その通信管理を行う(図8のステップs19)。
【0115】
また、クライアント4(#1)および無線端末3(#1)は、「LC」記号を受信すると、無線LAN通信では、その後ログアウトするまで、即ちそのコネクションが成立している間、クライアント4(#1)と無線端末3との間は平文でデータを入出力する。そして、無線基地局2(#1)と無線端末3(#1)との間では鍵の種(KS1)を利用したスクランブル鍵を設定して暗号化を行う(図8のステップs20)。なお、暗号化の処理として、鍵の種を単独でスクランブル鍵として使用するか、それとも初期設定された暗号設定鍵と鍵の種を組合わせて生成した新たなスクランブル鍵を使用するかは、いずれの方法であっても良い。
【0116】
更に、無線端末3(#1)に接続されているクライアント4(#1)に続いて、更にクライアント4(ここでは、#2とする)がアクセスしようとした場合、図8のステップs11からの手順を同様に繰り返すことによって、クライアント4(#2)も無線基地局2(#1)とコネクション番号(例えば、CN2として区別される)を確立して、認証・暗号化無線通信が実行できる。
【0117】
また、クライアント4(#1)がログアウトを行った後、再度無線LANにアクセスする際も、図8のステップs11からの手順が同様に繰り返されるが、鍵の種は最初に用いた(KS1)とは異なった新たな鍵の種(例えば、KS1a)が認証サーバ1から発行されて暗号化が行われ、コネクション番号も、例えばCN1aのように新たに付与された通信管理が行われる。
【0118】
(第2の実施の形態)
本発明の第2の実施の形態では、認証サーバ1が無線基地局2と無線端末3を介してクライアント4に対して送信した鍵情報(鍵の種)を搭載しているパケット信号を、無線端末3はそのままクライアント4に転送し、クライアント4が受信したパケット信号からその鍵情報を抽出して、無線端末3に送信して設定する暗号鍵の設定方法である。
【0119】
図9は、本発明の第2の実施の形態における無線LANの動作手順を示すフローチャートである。以下、図9を参照して第2の実施の形態の動作手順を説明する。
【0120】
第2の実施の形態における動作手順は、MACアドレスによるクライアント4の無線LANに対するアクセス権の有無の認証の確認まで、即ち、図7の初期設定および図8のステップs13までは第1の実施の形態と同様であるので説明を省略する。
【0121】
そして、MACアドレスによる認証がされると、認証サーバ1は、クライアント4(ここでは、#4とする)に対してアクセスを許可するコマンド「LA」記号と、クライアント(#4)との暗号鍵として初期設定されている暗設定号鍵(ここでは、1K4とする)と鍵の種(ここでは、KS4とする)とをMACフレームに設定するとともに、試験パタンデータをデータフレームに搭載したパケット信号を生成し、通信I/F11を介して無線基地局2(ここでは、#Mとする)に出力する。
【0122】
無線基地局2(#M)は、通信I/F21を介してこのアクセス許可のコマンド「LA」記号と暗号鍵(1K4)および鍵の種(KS4)を受信すると、MAC処理部24はメモリ26に暗号設定鍵(1K4)および鍵の種(KS4)を記憶する。
【0123】
また、MAC処理部24は暗号鍵(1K4)と鍵の種(KS4)を組合せて(例えば、掛け合せることによって)新たなスクランブル鍵(CK3)を生成し、そのスクランブル鍵(CK3)により暗号化した試験パタンデータに「LA」記号を付加したパケット信号を生成して、RF部23を介して無線端末3(ここでは、#1とする)に送信する(図9のステップs31)。
【0124】
無線端末3(#1)は、RF部33を介して「LA」記号と暗号化された試験パタンデータと鍵の種(KS4)の情報を含むパケット信号を受信すると、監視制御部35は、「LA」記号からクライアント4(#4)との暗号鍵による認証がまだ完了していないことを判読する。
【0125】
それを受けて、MAC処理部34は、MACフレームのクライアント4(#4)のアドレスを判読して、端末I/F31を介してそのパケット信号を当該クライアント4(#4)に出力する。
【0126】
クライアント4(#4)の通信プログラム44は、端末I/F41を介して受信したパケット信号から鍵の種(KS4)を抽出し、また、CPU45は、データフレーム中の暗号化された試験パタンデータをメモリ46に記憶する。
【0127】
更にCPU45は、メモリ46に初期設定されていた暗号設定鍵(4K4)と鍵の種(KS4)とを掛け合せて、このコネクションで使用するスクランブル鍵(CK4)を生成する。そして、このスクランブル鍵(CK4)によって受信した暗号化された試験パタンデータを復号化する。この場合も、スクランブル鍵(CK4)はスクランブル鍵(CK3)と同じである。
【0128】
クライアント4(#4)のCPU45は、スクランブル鍵(CK4)によって平文になった試験パタンデータを、再び、(CK4)により暗号化し、通信プログラム44を制御して、暗号化された試験パタンデータと「LA」記号が付加されたパケット信号を生成して、端末I/F41を介して無線端末3(#1)に送り返す。
【0129】
無線端末3(#1)は、「LA」記号と暗号化された試験パタンデータをクライアント4(#4)から受信すると、そのデータフレームをMAC処理部34が読み出し、まだ、クライアント4が認証されていないことを「LA」記号により判読し、クライアント4(#4)から返送された、暗号化された試験パタンデータをそのままにして無線基地局2(#M)に送信する(図9のステップs32)。
【0130】
無線基地局2(#M)では、メモリ26に記憶された暗号設定鍵(1K4)と鍵の種(KS4)から生成したスクランブル鍵(CK3)により、受信した暗号化された試験パタンデータを復号化して平文を生成する。そして、平文の試験パタンデータをデータフレームに搭載し、「LA」記号を付加したパケット信号を通信I/F21を介して認証サーバ1に送信する(図9のステップs33)。
【0131】
認証サーバ1は、受信した「LA」記号と平文された試験パタンデータとを受信すると、自身が送信した試験パタンデータと比較し、同一であるか否かを確認して復号化による認証を行う。
【0132】
即ち、送信した試験パタンデータと受信した試験パタンデータが一致すれば(図9のステップs34がYesの場合)、CPU15はクライアント4の暗号設定鍵(4K4)と初期設定した認証サーバの暗号設定鍵(1K4)とが一致したと判断し、クライアント4(#4)がなりすましでない、正しい相手(認証成功)と判定する(図9のステップs39)。
【0133】
そして、クライアント4がホスト6にログイン権があることの認証完了の通知として「LC」記号をMACフレームに設定して無線基地局2(#M)、無線端末3(#1)を経由してクライアント4(#4)に送信する(図9のステップs35)。
【0134】
無線端末3(#1)は、この認証完了通知の「LC」記号を受信すると、クライアント4(#4)との間では、平文のデータを入出力する。そして、クライアント4(#4)の通信プログラム44は、抽出した鍵の種(KS4)を無線端末3に設定し、無線端末3のメモリ36に鍵の種(KS4)を記憶させる(図9のステップs36)。
【0135】
無線端末3(#1)は、認証完了通知の「LC」記号を判読すると、監視制御部35は、無線基地局2との間で暗号化、復号化を行う様に、メモリ36に設定されているMAC処理部34が実行する通信制御プログラムの処理手順を変更する(図9のステップs37)。
【0136】
また、無線基地局2(#M)は、このクライアント4(#4)とのコネクション番号に、例えば、(CN4)のように番号を付与して、その通信管理を行う(図9のステップs38)。
【0137】
その後ログアウトするまで、即ちそのコネクションが成立している間、クライアント4(#4)がLAN5に接続されたホスト6とパケット信号を伝送する無線LAN通信では、無線基地局2と無線端末3との間で鍵の種(KS4)を利用したスクランブル鍵を設定して暗号化が行われる。同様に、鍵の種を単独で暗号鍵として使用するか、それとも初期設定された暗号設定鍵と鍵の種を組合わせて生成した新たなスクランブル鍵を使用するかは、いずれの方法であっても良い。
【0138】
更に、無線端末3(#1)に接続されているクライアント4(#4)に続いて、更にクライアント4(ここでは、#5とする)がアクセスしようとした場合、図8のステップs11からの手順を同様に繰り返すことによって、クライアント4(#5)も無線基地局2(#M)とコネクション番号(例えば、CN5)を確立して、認証・暗号化無線通信が実行できる。
【0139】
また、1度クライアント4(#4)がログアウトを行った後、再度無線LANにアクセスする際も、図8のステップs11からの手順が同様に繰り返されるが、鍵の種は最初に用いた(KS4)とは異なった新たな鍵の種(例えば、KS4a)が発行されて暗号化が行われ、コネクション番号も(例えば、CN4a)新たに付与された通信管理が行われる。
【0140】
(第3の実施の形態)
第3の実施の形態は、第2の実施の形態の変形であって、無線基地局2から送信された暗号化試験パタンデータをクライアント4で復号化、再暗号化せず、暗号化された試験パタンデータをクライアント4(#4)から無線端末3に送り返す。そして、クライアント4が無線端末3に設定した鍵の種により無線端末3が暗号化試験パタンデータを復号化・再暗号化してクライアント4のホスト6に対するログイン権の認証を行う。
【0141】
図10は、本発明の第3の実施の形態における無線LANの動作手順を示すフローチャートである。以下、図10を参照して第3の実施の形態における無線LANの動作手順を説明する。
【0142】
この第3の実施の形態に於いても、MACアドレスによるクライアント4の無線LANに対するアクセス権の有無の認証の確認まで、即ち、図7の初期設定および図8のステップs13までは第1の実施の形態と同様であるので説明を省略する。
【0143】
そして、MACアドレスによる認証がなされた場合、認証サーバ1は、クライアント4(ここでは、#6とする)に対してアクセスを許可するコマンド「LA」記号と、クライアント4(#6)に対して初期設定されている暗号鍵(ここでは、1K6とする)と鍵の種(ここでは、KS6とする)とをMACフレームに設定すると共に、試験パタンデータをデータフレームに搭載したパケット信号を生成し、通信I/F11を介して無線基地局2(ここでは、#Mとする)に出力する。
【0144】
無線基地局2(#M)は、通信I/F21を介してこのアクセス許可のコマンド「LA」記号と暗号設定鍵(1K6)および鍵の種(KS6)を受信すると、MAC処理部24はメモリ26に暗号設定鍵(1K6)および鍵の種(KS6)を記憶する。また、暗号設定鍵(1K6)と鍵の種(KS6)を組合せて(例えば、掛け合せることによって)新たなスクランブル鍵(CK6)を生成し、そのスクランブル鍵(CK6)により暗号化した試験パタンデータに「LA」記号を付加したパケット信号を生成して、RF部23を介して無線端末3(ここでは、#1とする)に送信する(図10のステップs81)。
【0145】
無線端末3(#1)は、RF部33を介して「LA」記号と暗号化された試験パタンデータと鍵の種(KS6)の情報を含むパケット信号を受信すると、監視制御部35は、「LA」記号からクライアント4(#6)との暗号設定鍵による認証がまだ完了していないことを判読する。
【0146】
それを受けて、MAC処理部34は、MACフレームのクライアント4(#6)のアドレスを判読して、端末I/F31を介してそのパケット信号を当該クライアント4(#6)に出力する。(図10のステップs82)。
【0147】
クライアント4(#6)の通信プログラム44は、端末I/F41を介して受信したパケット信号から鍵の種(KS6)を抽出し、また、CPU45は、データフレーム中の暗号化された試験パタンデータをメモリ46に記憶する。
【0148】
そして、クライアント4(#6)の通信プログラム44は、抽出した鍵の種(KS4)を無線端末3(#1)に設定し、その無線端末3(#1)のメモリ36に鍵の種(KS6)を記憶する(図10のステップs83)。
【0149】
クライアント4(#6)は、暗号化された試験パタンデータと「LA」記号が付加されたパケット信号を受信すると再び、そのまま端末I/F41を介して無線端末3(#1)に送信する。(図10のステップs84)。
【0150】
無線端末3(#1)は、端末I/F31を介して「LA」記号と暗号化されたの試験パタンデータを受信すると、初期設定された暗号設定鍵(1K6)と鍵の種(KS6)から暗号鍵(CK7)を生成する。なお、この暗号鍵(CK7)はスクランブル鍵(CK6)と同一である。
【0151】
そして、無線端末3(#1)は、スクランブル鍵(CK7)を用いて暗号化された試験パタンデータを復号化し平文にするとともに、直ちにスクランブル鍵(CK7)により再び暗号化した試験パタンデータをデータフレームに搭載し、「LA」記号を付加したパケット信号を作成して、RF部33を介して無線基地局2(#M)に送信する(図10のステップs85)。
【0152】
無線基地局2(#M)では、RF部23を介して「LA」記号と、暗号化した試験パタンデータとを受信すると、メモリ26に初期設定されていた鍵(1K6)と鍵の種(KS6)から生成したスクランブル鍵(CK6)により暗号化試験パタンデータを復号化して、平文を生成する。そして平文の試験パタンデータをデータフレームに搭載し「LA」記号を付加したパケット信号を通信I/F21を介して認証サーバ1に送信する。
【0153】
認証サーバ1は、通信I/F11を介して、「LA」記号と平文の試験パタンデータとを受信すると、認証サーバ1自身が送信した試験パタンデータであることを検証するため、平文にされた試験パタンデータと送信時の試験パタンデータとを比較し、同一であるか否かを確認して(図10のステップs86)、復号化による認証を行う。
【0154】
即ち、受信した試験パタンデータが送信時の試験パタンデータと一致すれば(図10のステップs87がYesの場合)、クライアント4(#6)の暗号設定鍵(4K6)と初期設定した認証サーバ1の暗号設定鍵(1K6)とが一致したことになり、CPU15はクライアント4(#6)がなりすましでない正しい相手(認証成功)であると判定し、クライアント4(#6)がホスト6にログイン権があることの認証を完了する(図10のステップs88)。
【0155】
そして、認証サーバ1は、その認証完了通知として「LC」記号をMACフレームに設定して同一の手順によって無線基地局2(#M)と無線端末3(#1)を介してクライアント4(#6)に送信する。これにより、クライアント4(#6)のログインが完了する。
【0156】
この時、無線基地局2(#6)は、「LC」記号を受信すると、このクライアント4(#6)とのコネクション番号として、例えば、(CN6)のような番号を付与して、その通信管理を行う(図10のステップs89)。
【0157】
また、クライアント4(#6)および無線端末3(#1)は、「LC」記号を受信すると、無線LAN通信では、その後ログアウトするまで、即ちそのコネクションが成立している間、クライアント4(#6)と無線端末3との間は平文で情報やデータを入出力する。そして、無線基地局2(#M)と無線端末3(#1)との間では鍵の種(KS6)を利用したスクランブル鍵を設定して暗号化を行う(図10のステップs90)。同様に、鍵の種を単独で暗号鍵として使用するか、それとも初期設定された暗号設定鍵と鍵の種を組合わせて生成した新たなスクランブル鍵を使用するかは、いずれの方法であっても良い。
【0158】
その後ログアウトするまで、即ちそのコネクションが成立している間、クライアント4(#6)がLAN5に接続されたホスト6とパケット信号を伝送する無線LAN通信では、無線基地局2と無線端末3との間で鍵の種(KS6)を用いた暗号化が行われる。
【0159】
更に、クライアント4(#6)に続いて、クライアント4(ここでは、#7とする)がアクセスしようとした場合、図8のステップs11からの手順を同様に繰り返すことによって、クライアント4(#7)も無線基地局2(#M)とコネクション番号(例えば、CN7)を確立して、認証・暗号化無線通信が実行できる。
【0160】
また、1度クライアント4(#6)がログアウトを行った後、再度無線LANにアクセスする際も、図8のステップs11からの手順が同様に繰り返されるが、鍵の種は最初に用いた(KS6)とは異なった新たな鍵の種(例えば、KS6a)が発行されて暗号化が行われ、コネクション番号も(例えばCN6a)新たに付与された通信管理が行われる。
【0161】
したがって、第1〜第3の実施の形態の説明によるごとく、本発明による無線LANシステムでは、1台の無線端末3に複数のクライアント4が接続されても、認証サーバ1と各クライアント4(#1〜#n)との間で認証および暗号化通信が可能である。
【0162】
本発明における認証方法、暗号化方法、および認証方法と暗号化の組合せ等は、上記の実施形態に限ることなく、無線LANの設置条件や、運用条件に合わせて、例えば、以下のように他の方法が採られても良い。
【0163】
第1は、クライアント4の無線LANに対するアクセス権の有無の認証方法である。即ち、図6のステップs61の無線LANに対するクライアント4の認証方法について、実施形態では、クライアントのMACアドレスによって認証を行っている。このMACアドレスによる認証の代わりに、ESS−IDと呼ばれる無線LANに対して名付けたグループにクライアント4が属しているか否かを確認する方法を採ってもよい。そして更に、例えば、クライアント4に設定されたIPアドレスを照合する等、他のクライアント4を認証する方法を適宜選択採用してよい。
【0164】
第2は、無線LANに対するアクセス権の有無認証の簡略化である。
【0165】
例えば、企業の事業場構内に設置される無線LANでは、それにアクセスする無線端末3とクライアント4は限られている。このような場合、図6のステップs61に相当する認証を省略して、図6のステップs62による無線LAN上のホストとのログイン権を認証する手段だけを実施し、そのホスト6へのログイン権を認証後、クライアント4が接続されている無線端末3と無線基地局2との間での暗号化通信を行う(図6のステップs63)ようにしてもよい。
【0166】
この場合、第1の実施の形態においては、図8のステップs12,s13に相当する動作手順が省略され、第2、第3の実施の形態に付いても同様に相当する動作手順が省略される。
【0167】
また、第3は、ログイン権の認証の省略である。無線LANにアクセスするクライアント4等が限定されている場合には、ログイン権の認証を省略して、例えば、MACアドレスによる認証だけでホストにログインを認めてもよい。
【0168】
この場合、第1の実施の形態の動作手順においては、認証サーバ1からクライアント4と無線端末3に対して、図8のステップs18に相当する認証成功の通知である「LC」記号の送信と、ステップs19のコネクション番号付与の手順が直ちに実効される。
【0169】
そして引き続き、無線基地局2から鍵の種が送信され、無線端末3ではMAC処理部34が鍵の種を抽出し、メモリ36に設定することによって、図8のステップs20に相当する暗号化通信が開始される。
【0170】
また、第2、第3の実施の形態についても、第1の実施の形態における手順変更に準じてログイン権の認証成功の通知、鍵の種の送信と設定等の手順変更を行って、暗号化通信を実行できる。
【0171】
第4に、暗号鍵の扱いの簡略化がある。即ち、第1〜第3の実施の形態では、
暗号設定鍵を無線基地局2とクライアント4それぞれに、初期設定の入力をしているが、この暗号設定鍵を固定して暗号化通信を行うようにしてもよい。または、この逆に、鍵の種は、固定したものとして、暗号設定鍵をパスワードの様に初期設定するようにして暗号化通信を行うようにしてもよい。
【0172】
また、より確実な認証方法、および暗号化方法として、例えば、無線LAN上のホスト6とのログイン権を認証する手段、また無線基地局2と無線端末3との間の暗号化方法については、上記第1〜第3の実施の形態の説明においては、認証サーバ1とクライアント4とが共通鍵を用いる認証方法および暗号化方法が説明された。本発明は、共通鍵による認証方法や暗号化方法に加えて、認証サーバ1が発行する公開鍵とクライアント4が使用する秘密鍵との組合せを用いたクライアント4の認証方法、および無線基地局2と無線端末3との間の暗号化方法を用いているものであってもよい。
【0173】
この公開鍵と秘密鍵とを組合せる場合にあっては、上記説明において、公開鍵は認証サーバ1がクライアント4に対して行う暗号化の鍵情報、秘密鍵はクライアント4が認証サーバ1に対する暗号化の鍵情報に相当するものである。
【0174】
【発明の効果】
以上述べたように、本発明によれば、無線端末に接続されたクライアントと無線端末とは、無線端末とクライアントを分離して各クライアント毎に独立した認証を行えるので、複数のクライアントを1台の無線端末に接続して、無線基地局と無線端末との間で暗号化通信をすることができる。
【図面の簡単な説明】
【図1】本発明による認証暗号化無線通信システムの構成を示すブロック図。
【図2】本発明の認証暗号化無線通信システムの認証サーバおよび無線基地局の構成要素を示すブロック図。
【図3】本発明の認証暗号化無線通信システムの無線端末の構成要素を示すブロック図。
【図4】本発明の認証暗号化無線通信システムのクライアントの構成要素を示すブロック図。
【図5】本発明の認証暗号化無線通信システムで送受信されるパケットの構成を説明した図。
【図6】本発明による認証暗号化無線通信システムの基本的な認証・暗号化の過程を示したフローチャート。
【図7】本発明による認証暗号化無線通信システムの第1の実施の形態における初期設定の手順を示したフローチャート。
【図8】本発明による認証暗号化無線通信システムの第1の実施の形態における動作手順を示したフローチャート。
【図9】本発明の第2の実施の形態に置ける無線LANの動作手順を示すフローチャート。
【図10】本発明の第3の実施の形態に置ける無線LANの動作手順を示すフローチャート。
【図11】従来の認証暗号化無線LANシステムの構成を示すブロック図。
【図12】従来の認証暗号化無線通信システムの認証暗号化の手順を示したフローチャート。
【符号の説明】
1 認証サーバ
11 通信インタフェース(I/F)
12 認証管理部
13 鍵管理部
14 メモリ
15 CPU
2 無線基地局
21 通信インタフェース(I/F)
22 暗号処理部
23 RF部
24 MAC処理部
25 監視制御部
26 メモリ
3 無線端末
31 端末インタフェース(I/F)
32 暗号処理部
33 RF部
34 MAC処理部
35 監視制御部
36 メモリ
4 クライアント
41 端末インタフェース(I/F)
42 暗号処理部
43 RF部
44 MAC処理部
45 監視制御部
46 メモリ
5 LAN(ローカル エリア ネットワーク)
6 ホスト
【発明の属する技術分野】
本発明は、認証暗号化無線通信システム、その通信制御方法およびその無線端末、ならびにクライアントに関する。
【0002】
【従来の技術】
事務所等において通信ネットワークを構築するのに、ローカル エリア ネットワーク(LAN)を利用する場合、さらにそのLANに無線通信によってホストとパーソナルコンピュータ等の端末機器(以下クライアントと称する)を接続する無線LANを採用する場合が増えている。
【0003】
無線LANは、信号が無線電波となって開放された自由空間を伝送されるため、本来その無線LANの構成に含まれていない無線端末を介して、不要なアクセスもしくは無線LANへの侵入が発生する危険がある。この危険を防ぐため、無線LANにアクセスできる無線端末やクライアントを制限する方法、また無線LANで通信する無線端末やクライアントは、暗号を用いる等の方法で通信場のセキュリティの確保を図っている。
【0004】
無線LANへのアクセスを制限する方法として、無線端末やクライアントが無線LANにアクセスする時、無線LANに接続された認証サーバが、無線端末やクライアントにアクセス権が有るか否かを調べて認証し、その認証によって許可された無線端末やクライアントは、更に暗号による無線通信を行う方法がある。
【0005】
これらの認証方法には幾つかの方法があるが、その1つにESS(Enhaced Service Set)−ID(Identifier)を使用したものがあり、予め無線LANが構築する無線LANにグループ名を付与して、無線基地局とユーザ端末に設定することにより、同一のグループ名を持つ無線基地局とユーザ端末との間でのみ通信できる(例えば、非特許文献2参照。)。
【0006】
また、別の認証方法の1つとしてMAC(メディア アクセス 制御)アドレスフィルタリングと呼ばれるもので、無線LANカードのアドレスを無線基地局に登録することにより、登録の無い無線LANカードを使用するクライアントからのアクセスを拒否する方法等が使用されている(例えば、特許文献1参照。)。
【0007】
また、無線LANで用いる暗号化については、例えば、WEP(Wired Equivalent Protocol)と呼ばれる標準が準備されている(例えば、非特許文献1参照。)。
【0008】
図11は、認証暗号化を行っている、従来の無線LANシステムの一例の構成を示すブロック図である。
【0009】
図11において、無線LANシステムは、認証サーバ101、無線基地局102、無線端末103およびクライアント104から構成されている。そして、無線端末103は、例えば無線LANカードによって構成され、それがクライアント104であるパーソナルコンピュータに内蔵されて一体化され、ユーザ端末105(#1〜#N)を構成している。
【0010】
図12は、図11の無線LANシステムにおいて、認証と暗号化を行う動作手順を示すフローチャートである。
【0011】
以下、図11、および図12を参照して、認証と暗号化を行う従来の無線LANの動作を説明する。
【0012】
認証サーバ101は、最初に無線基地局102にアクセスしてくるユーザ端末105の無線端末(無線LANカード)103のMACアドレス(MA5)および、無線基地局102と無線端末103との間で行う暗号化の鍵(例えば、K101)が内部メモリに設定、登録される(図12のステップS101)。
【0013】
そして、同様にユーザ端末105の無線端末103の内部メモリにも、同じMACアドレス(MA5)および、認証サーバに設定した同じ暗号化の鍵(ここでは、3K101とする)が、クライアント(パーソナルコンピュータ)104からキーボード入力等により設定、記憶される(図12のステップS102)。
【0014】
無線LANにユーザ端末105がアクセスを開始する場合、即ち、ユーザ端末105が無線LANにログインして、例えば、無線LANに接続されたホスト装置とコネクションを確立しようとするとき、ユーザ端末105は、クライアント104のキーボード、またはマウス等を操作してアクセス要求のコマンドを入力する。
【0015】
すると、無線端末103は、このクライアント104が生成したコマンドを検知し、アクセス要求信号を生成して無線基地局102に送信する(図12のステップS103)。
【0016】
無線基地局102は、そのアクセス要求信号に含まれるMACアドレス(MA5)を判読して、認証サーバ101にそのMACアドレス(MA5)を出力する(図12のステップS104)。
【0017】
認証サーバ101は、受信したMACアドレス(MA5)と予め内部メモリに登録されたMACアドレス(MA5)を比較照合して一致していれば、当該無線端末103からのアクセスを許可すると判断する(図12のステップS105)。
【0018】
そして、認証サーバ101は、無線基地局102に対して、アクセスを許可するコマンドと、その内部メモリに記憶していた暗号鍵(K101)およびコネクション毎の暗号鍵を生成する為の鍵の種(例えば、KS101)および試験パタンデータとを出力する。
【0019】
無線基地局102は、この許可のコマンドと暗号鍵(K101)および鍵の種(KS101)を受信すると、無線基地局102の内部メモリに暗号鍵(K101)および鍵の種(KS101)を記憶すると共に、無線端末103に許可コマンドと鍵の種(KS101)および試験パタンデータを送信する(図12のステップS106)。
【0020】
無線端末103は、この許可のコマンドと鍵の種(KS101)を受信すると、無線端末103の内部メモリに鍵の種(KS101)を記憶すると共に、自身の内部メモリに記憶していた暗号鍵(3K101)とその受信した鍵の種(KS101)を掛け合せて、このコネクションで使用する暗号鍵(KC102)を生成する。
【0021】
そして、無線端末103は、この生成した暗号鍵(KC102)を用いて、無線基地局102に送信する試験パタンデータを暗号化し、無線基地局102を経由して(この段階では無線基地局102は、無線端末103から受信した信号を解読しない)認証サーバ101に返送する(図12のステップS107)。
【0022】
認証サーバ101は、無線基地局102を経由して受信した暗号化された試験パタンデータを内部メモリに記憶していた暗号鍵(K101)および鍵の種(KS101)を掛け合せた暗号鍵を用いて復号して、受信した試験パタンデータと送信した試験パタンデータとを比較参照し、同一パタンであるか否かを判断して復号した試験パタンデータによる認証を行う(図12のステップS108)。
【0023】
そして、送信と受信した試験パタンデータとが一致すれば、正しく暗号が解読できたので、無線端末103の鍵(3K101)と認証サーバの鍵(K101)が同一と判断として、その認証成功の通知を無線基地局102を介して無線端末103に送信して(図12のステップS109)、ログインが完了する。
【0024】
無線基地局102は、この認証成功の通知を無線端末103に送信した以降、無線基地局102と無線端末103との間では、暗号鍵(K101)鍵の種(KS101)を用いて、ログアウト、即ちコネクションが終了するまで暗号化通信を行う(図12のステップS110)。
【0025】
また、無線端末103も同様に、この認証成功の通知を無線基地局102にから受信した以降、無線基地局102と無線端末103との間では、ログアウトするまで暗号鍵(K101)鍵の種(KS101)を用いて、暗号化通信を行う(図12のステップS111)。
【0026】
したがって、認証と暗号化を用いた無線LANは、第3者から不要なアクセスや盗聴を防いだ通信が可能になる。なお、ユーザ端末105(もしくは、無線端末103)がログアウトしてコネクションが切断されると、この鍵の種(KS101)は廃棄され、次のコネクションでは、新たに認証手続きが行われて新しい鍵の種(例えば、KS102)が発行される。
【0027】
従来の認証暗号化通信は、クライアント104と無線端末103(無線LANカード)とが一体化(縮退化)され不可分なユーザ端末105になっていた。したがって、1つの無線端末に複数のクライアント(パーソナルコンピュータ等)を接続することができなかった。
【0028】
また、無線端末103とクライアント104を分離した構造としても、複数のクライアントを接続するためには、無線端末にはルータ機能が必要であり、通信制御が複雑になりコストが高くなる問題があった。
【0029】
そこで、無線端末103の装置を簡易にするためワイヤード オアのように、単純に無線端末に複数のクライアントを接続しても、ポートアドレスが1つのハブ状となってしまう無線端末ではクライアントを個々に監視制御することは出来ず、しかも各クライアントから無線基地局と無線端末の間の暗号化通信が行えない問題があった。
【0030】
【特許文献1】
特開2002−124952号公報
【0031】
【非特許文献1】
IEEE 802.11b−1999 Supplement to 802.11−1999,Wireless LAN MAC and PHY specifications: Higher speed Physical Layer (PHY) extension in the 2.4 GHz band
【0032】
【発明が解決しようとする課題】
従来の無線LANでは、無線LANカードがパーソナルコンピュータに内蔵されて、クライアントと無線端末(無線LANカード)が一体で不可分なユーザ端末になって認証暗号化通信が行われていた。したがって、例えば、無線LAN構築の費用節減や無線周波数の有効利用をめざして、無線区間を共用出来るように1つの無線端末に複数のクライアントを接続することができない問題があった。
【0033】
また、無線端末とクライアントを分離した構造としても、複数のクライアントを接続するためには、無線端末にはクライアントを個別に認識するための、たとえば、ルータ機能を具備することが必要で、その為の通信制御が複雑になる、コストが高くなる等の問題があった。
【0034】
したがって、単純に無線端末に複数のクライアントを接続しても、ポートアドレスが1つのハブ状となってしまう無線端末では、クライアントを個々に監視制御することは出来ず、クライアント各々が無線端末を介して無線基地局との間の暗号化通信を設定できない問題があった。
【0035】
本発明は、上記問題を解決するためになされたもので、無線LAN通信を行う無線端末に接続された一つまたは複数のクライアントをそれぞれ認証し、これらの認証された一つまたは複数のクライアントを接続した無線端末と無線基地局との間で暗号化通信を行う認証暗号化無線通信 システム、およびその通信制御方法を実現することを目的とする。
【0036】
【課題を解決するための手段】
上記目的を達成するために、本発明の認証暗号化通信システムは、無線基地局と、前記無線基地局と無線通信する無線端末と、前記無線端末に接続される一つまたは複数のクライアントと、前記無線基地局と前記無線端末とを介して通信し、前記クライアントを認証する認証サーバとを具備する無線通信システムにおいて、前記認証サーバは、前記クライアントを認証する認証手段と、前記認証されたクライアントとの間で暗号鍵情報を送受信する暗号化手段とを具備し、前記無線端末は、前記認証サーバと前記クライアントとの間で送受信される前記暗号鍵情報を用いて前記無線基地局との間の暗号鍵として設定し、前記無線基地局との間で暗号化通信を行う暗号化通信手段を具備することを特徴とする。
【0037】
また、本発明の認証暗号化無線通信システムの通信制御方法は、認証サーバが無線基地局と無線端末とを介して前記無線端末に接続されるクライアントとの間で認証を行い、前記認証サーバが認証した前記クライアントと、前記認証サーバとの間で暗号化通信をする認証暗号化無線通信システムの通信制御方法であって、前記認証サーバは、予め設定された所定の方法により前記クライアントを認証すると、前記認証されたクライアントとの間で行う暗号化通信の暗号鍵情報を送信し、前記無線端末は、前記クライアントに送信された暗号鍵情報を抽出して前記無線基地局との間の暗号鍵として設定することを特徴とする。
【0038】
【発明の実施の形態】
本発明は、認証暗号化無線通信システムにおいて、認証サーバが認証したクライアントが、無線LANの無線基地局、および無線基地局を介してホストとの間で通信を行う時、認証サーバが当該クライアントに対して発行した暗号化通信の鍵情報を、当該クライアントが接続されている無線端末が抽出して、無線基地局との間で行う暗号化の鍵を設定して通信を行う認証暗号化無線通信システム、およびその通信制御方法、ならびにその無線端末とクライアントに関するものである。
【0039】
以下、図面を参照して本発明の実施の形態を説明する。
【0040】
図1は、本発明の認証暗号化無線通信システムに係わる第1の実施の形態の構成を示すブロック図である。
【0041】
図1において、本発明の認証暗号化無線通信システムは、ローカル エリア ネットワーク(以下、単にLANと称す)5、認証サーバ1、無線基地局2(#1〜#M)、無線端末3(#1〜#N)およびクライアント4(#1〜#n)から構成されている。そして、LAN5は、さらにホスト(または情報端末)6と接続されている。
【0042】
認証サーバ1は、無線基地局2とLAN5を介して接続されている。なお、認証サーバ1と無線基地局2とが直接バスで接続されている等の場合には、認証サーバ1と無線基地局2とを一体化して無線基地局2側に認証機能を持たせてもよい。図1では、認証サーバ1と無線基地局2とを分けて示している。また、認証サーバ1は、ホスト6を兼ねているものであってもよい。
【0043】
無線基地局2(#1〜#M)は、無線端末3(#1〜#N)と無線通信により接続されている。この無線端末3(#1〜#N)はパーソナルコンピュータ、ワークステーション等で構成される複数のクライアント4(#1〜#n)と接続されている。無線基地局2(#1〜#M)は、無線端末(#1〜#N)とLAN5との間のブリッジ装置として機能する。
【0044】
即ち、無線基地局2は、TCP/IP手順に準じて作成されたクライアント4の無線パケット信号を無線端末3を介して受信し、これをLAN5に入出力することによって、LAN5に接続されたホスト6との間でクライアント4の送受信情報を中継している。
【0045】
また、無線基地局2は、無線端末3(例えば、#1)に接続されたクライアント(#1)と、無線端末3(例えば、#N)に接続されたクライアント(#m)との間で無線LANを介して情報を送受信する中継を行う。
【0046】
無線基地局2(#1〜#M)は、無線端末3(#1〜#N)との間で無線通信を行うにあたり、無線LANが第三者によってアクセス、盗聴されるのを防ぐため、認証サーバ1によって認証される無線端末3およびクライアント4との間でのみ暗号を用いた通信を行うように構成されている。
【0047】
認証サーバ1には、無線LANを構成する全ての無線基地局2(#1〜#M)、および無線端末2(#1〜#N)に付与されたMACアドレス、その無線LANに対して付与されたグループ名、およびクライアント4(#1〜#n)を識別するためのMACアドレス(固有の識別番号であってもよい)等の認証情報がメモリ14(図2を参照)に登録されている。
【0048】
また、認証サーバ1には、無線基地局2とクライアント4との間で行う暗号化通信の鍵情報もその内部メモリ14に記憶されている。
【0049】
図2は、本発明における認証サーバ1および無線基地局2の機能構成を示すブロック図、図3は、無線端末3の機能構成を示すブロック図、図4は、クライアント4の機能構成を示すブロック図である。
【0050】
図2において、認証サーバ1は、通信インタフェース(以下、通信I/Fと称す)11、認証管理部12、鍵管理部13、メモリ14、CPU15から構成される。
【0051】
一方、無線基地局2は、通信インタフェース(I/F)21、暗号処理部22、RF部23、MAC処理部24、監視制御部25、メモリ26から構成されている。
【0052】
図3の無線端末3は、端末インタフェース(以下、端末I/Fと称す)31、暗号処理部32、RF部33、MAC処理部34、監視制御部35、メモリ36から構成されている。
【0053】
図4のクライアント4は、端末インタフェース(以下、端末I/Fと称す)41、ディスプレイ42、キーボード・マウス43、CPU45、メモリ46から構成されている。ここで、クライアント4から各構成の詳細について説明する。
【0054】
図4のクライアント4(#1〜#n)は、図1のLAN5に接続されているホスト6にログインするため、操作者によってキーボード・マウス43からコマンドが入力されると、CPU45が通信プログラム44を起動して、所定の無線端末3および無線基地局2を介して認証サーバ1に対して認証手続きのための通信を行う。
【0055】
そして、クライアント4は、認証サーバ1による認証が完了すると無線LANへのアクセスが許可され、LAN5上のホスト6へログインし、無線端末3および無線基地局4との間で行われる暗号化通信を介してホスト6との間でデータの送受信を行う。
【0056】
この認証、およびログインと暗号化通信に必要なMACアドレス、および暗号化の鍵情報等の初期設定は、各クライアント4(#1〜#n)のディスプレイ42とキーボード・マウス43を用いて操作者によって行われ、その初期設定情報がメモリ46に記憶される。そして、各クライアント4(#1〜#n)の通信相手のアドレス情報および、LAN5上のホスト6と送受信されるデータ等は、図5に示されるフォーマットのパケット信号に搭載されてTCP/IP手順により端末I/F41を介して無線端末3との間で入出力される。
【0057】
クライアント4の端末I/F41および、これと接続する無線端末3の端末I/F31は、例えば10/100BASE−T、もしくはUSBなどのシリアルインタフェース等が使われる。
【0058】
図3の無線端末3では、MAC処理部34が端末I/F31を介して受信したクライアント4からのパケット信号から認証や暗号化通信に用いる初期設定情報を抽出し、監視制御部35に渡す。監視制御部35は、その抽出情報を所要の手順に従ってメモリ36に記憶する。また、MAC処理部34は、受信したパケット信号を再組立してRF部33に出力する。
【0059】
そしてRF部33は、このパケット信号をベースバンド信号から所定の周波数と伝送速度のRF(無線電波)信号に変換し、アンテナ(図示せず)から対向する無線基地局2へ送信する。
【0060】
無線端末3が無線基地局2から受信した信号をクライアント4に送信する場合は、この処理手順が逆になる。
【0061】
図5は、本発明における無線LANシステムで取り扱うTCP/IP手順によるパケット通信のデータフォーマットの説明図である。
【0062】
本発明に係わる認証、暗号化の通信制御処理は、無線LANの標準規格であるIEEE802.11に準じて、送受信されるパケット信号のMACフレーム部分に対して制御情報の設定、或いは判読が行なわれる。即ち、無線基地局2、無線端末3およびクライアント4は、このMACフレーム部分に記述されたアドレス情報や鍵情報等の内容を判読したり、もしくは、それらの情報を設定したりして無線LANの通信を行う。
【0063】
図5に示されるデータフォーマットにおいて、PLCPプリアンブルおよびPLCPヘッダは、無線LAN通信の無線接続を行う時の同期信号、物理的な接続条件に関する情報を搭載するのに用いられ、またFCSフレームは、無線伝送されたパケットの誤り制御に用いられる。
【0064】
MACフレームには、パケットの送信先および送信元のアドレス情報と、無線基地局2、無線端末3およびクライアント4のMACアドレスのアドレス情報と、伝送中のパケット信号の制御用途(例えばコマンドの区別)を示すタイプ情報と、暗号の鍵情報と、および補助的情報伝送に用いるオプションデータとが搭載される。
【0065】
また、データフレームには、無線LANで伝送される情報・データの本体部分が搭載され、クライアント4を認証するのに用いる試験パタンデータは、このフレームに搭載される。
【0066】
図3に戻り、無線端末3の監視制御部35は、MAC処理部34の動作を監視して、クライアント4から受信したパケット信号のMACフレームの内容を判読して、例えば、メモリ36に記憶する初期設定データか、認証の為に無線基地局2と入出力するデータか、クライアント4との間で送受信するデータかなどの判定を行いそれぞれの通信処理の制御を行う。
【0067】
即ち、認証に関わる初期設定のデータは、認証サーバ1に登録設定される無線LANのグループ名、およびクライアント4、無線端末3のMACアドレス等であって、これらの情報はメモリ36に記憶される。
【0068】
即ち、クライアント4が認証の初期設定のデータを無線端末3(例えば#1)に送信する場合、クライアント4の通信プログラム44は、送信先の無線端末3のMACアドレス(例えばMA1)をMACフレームに設定する。
【0069】
そして、送信先の無線端末3(#1)が受信したMACアドレス(MA1)を認証サーバ1に送信する場合、送信先の無線基地局2のアドレスを送信先アドレスに設定し、MACアドレス(MA1)を送信元アドレスとして設定する。
【0070】
ここで、無線端末3から無線基地局2へ送信された無線パケット信号が、初期設定のためのデータなのか、それとも無線端末3を認証するための認証データか、もしくはクライアント4がLAN5との間で送受信するためのデータであるかの区別は、MACフレームに送受信するパケット信号のタイプ情報を設定して送信する。例えば、初期設定のパケット信号であれば、「ST」記号で区別することによって行われている。
【0071】
したがって、監視制御部35は、MAC処理部34が処理しているMACフレーム情報を監視することにより、クライアント4との入出力信号の処理方法を区別して設定することが出来る。
【0072】
また、クライアント4とLAN5上のホスト6との間で送受信されるデータを無線基地局2と無線端末3との間の無線通信で暗号化するのに必要な鍵情報は、無線端末3のメモリ36に記憶される。そして、MAC処理部34からのデータが鍵情報と共に暗号処理部32に転送されて、スクランブルもしくはデスクランブルの暗号化・複合化処理が暗号処理部32で実施される。
【0073】
次に図2の無線基地局2のRF部23は、無線端末3のRF部33との間で無線パケット信号を送受信する。RF部23は、この無線パケット信号をベースバンド信号に変換し、MAC処理部24、通信I/F21を介して認証サーバ1との間で送受信する。
【0074】
無線基地局2と認証サーバ1との間は、それぞれ通信I/F21と通信I/F11とを介してパケット信号を入出力する。もし、LAN5によって無線基地局2と認証サーバ1が接続されている場合には、無線基地局2と認証サーバ1は、例えば、10/100BASE−Tのようなインタフェースで接続される。
【0075】
そして、無線基地局2が認証サーバ1を兼ねている場合は、通信I/F21と通信I/F11はバス接続になり、無線基地局2の監視制御部25が認証サーバの機能を実行する。
【0076】
認証サーバ1では、初期設定として、無線LANのグループ名、および無線基地局2、無線端末3のMACアドレス等が、例えば、キーボード(図示せず)等から入力され、メモリ14に記憶される。また、無線基地局2では、更に暗号設定鍵が初期設定される。 認証管理部12は、例えば、ESS−IDの無線LANのグループ名、MACフィルタリング等の処理手順を設定している。そして、クライアント4から無線端末3および無線基地局2を介して受信したデータと、メモリ14に記憶されている認証データ(無線LANのグループ名、および無線端末3のMACアドレス等)とを比較検証する。
【0077】
また、鍵管理部13は、クライアント4が認証されると、その認証を行ったコネクションが設定されている間だけ用いる鍵(以下鍵の種と呼ぶ。)を発行し、無線基地局2で初期設定された暗号設定鍵と組み合わせて更に、平文を暗号化するためのスクランブル鍵を生成する。 WEP(Wired Equivalent Privacy)と呼ばれる暗号化を用いる無線LANでは、スクランブル鍵は、鍵の種と、IV(Initialize Vector)と呼ばれる関数を組み合わせて生成される。
【0078】
本発明では、このIVに相当するものは、暗号通信を行う装置の間で、暗号設定鍵と呼ばれて入力設定された英数字について暗号処理のための関数処理等を行って生成される。
【0079】
CPU15は、これら認証および鍵管理手段の動作を監視し、その処理手順を管理する。
【0080】
図6は、本発明の無線LANシステムが、認証と暗号化通信を行うまでの基本的な課程を示すフローチャートである。
【0081】
即ち、図6において、認証サーバ1は、アクセスを要求してきたクライアント4が無線LANに対するアクセス権を有するか否かを確認する(図6のステップs61がYesの場合)と、引き続き、認証サーバ1は、無線LANにアクセス権があるクライアント4からのホスト6に対するログイン権の有無を確認し(図6のステップs62がYesの場合)、以上二つの認証が成功するとクライアント4とホスト6とは、無線基地局2と無線端末3との間で暗号化を行った無線LAN通信を行う(図6のステップs63)。
【0082】
以下、本発明の1台の無線端末に接続された複数のクライアント4に対して認証を行い、それらの各クライアント4が送受信するデータを無線基地局2と無線端末3との間の無線通信において暗号化して通信する一連の動作手順について説明する。
【0083】
(第1の実施の形態)
本発明の第1の実施の形態は、認証サーバ1がクライアント4のMACアドレス等の初期設定情報を利用して認証を行った後、認証サーバ1がクライアント4に対して送信した鍵情報を無線端末3が抽出し、無線基地局2とクライアント4との間で通信を暗号化する代わりに、その抽出した鍵情報を利用して無線基地局2と無線端末3との間で暗号化通信を行う方法である。
【0084】
図7は、第1の実施の形態における無線LANの初期設定の手順を示すフローチャートである。図8は、第1の実施の形態における無線LANの動作手順を示すフローチャートである。
【0085】
以下、図7、図8を参照して、本発明の第1の実施の形態の動作手順を説明する。認証サーバ1では、初期設定として、キーボード等により無線基地局2(ここでは、#1とする)のMACアドレス(2A1)、無線基地局2にアクセスする無線端末3(ここでは、#1とする)のMACアドレス(3A1)、クライアント4(ここでは、#1とする)に設定したMACアドレス(4A1)および、無線基地局2(#1)とクライアント4(#1)との間で行う暗号設定鍵(例えば、1K1)が入力され、メモリ14に設定、登録される。
【0086】
この認証サーバ1のメモリ16に登録された初期設定のデータは、パケット信号に構築されTCP/IP手順で無線基地局2に出力され、監視制御部25の制御によりメモリ26に設定、記憶される(図7のステップs1)。この時のパケット信号には、初期設定データであることを示す「ST」記号がMACフレームにタイプ情報として設定される。
【0087】
無線基地局2は、認証サーバ1から初期設定データを設定するパケット信号を受信すると、MAC処理部24は、MACフレーム中の「ST」を検出して、無線基地局2のMACアドレス(2A1)および無線端末3のMACアドレス(3A1)を抽出する。そして、監視制御部25は、これらの抽出された初期設定データをメモリ26に設定、記憶する。なお、初期設定のデータ入力は、キーボード入力等により設定、記憶する方法がとられてもよい。
【0088】
一方、クライアント4(#1)のパーソナルコンピュータからも初期設定として、クライアント4(#1)に割当てられたMACアドレス(4A1)、無線端末3のMACアドレス(3A1)、および認証サーバ1に設定したものと同一の無線基地局2とクライアント4との間で行う暗号設定鍵(ここでは、4K1とする)が、キーボード入力等により設定され、それらの認証データおよび暗号設定鍵(4K1)がクライアント4(#1)のメモリ46に記憶される。
【0089】
このクライアント4(#1)のメモリ46に記憶された無線端末3のMACアドレス(3A1)、および暗号設定鍵(4K1)が、初期設定データを示すタイプ情報「ST」記号とともにパケット信号に搭載され、クライアント4(#1)の通信I/F41、無線端末3(#1)の通信I/F31を介して転送されて、無線端末3(#1)のメモリ36に記憶される(図7のステップs2)。
【0090】
なお、この図7のステップs1,s2の初期設定作業は、どちらを先に行ってもよい。
【0091】
この初期設定後、認証サーバ1は、アクセスを要求してきたクライアント4(#1)に対してMACアドレスを用いた認証を最初に行う。
【0092】
クライアント4(#1)から、無線端末3(#1)を介して無線LANにアクセスをしようとする(ログインしてコネクションを設立しようとする)時に、クライアント4(#1)のキーボード・マウス43より入力されたコマンドがCPU45によって検出される。
【0093】
すると、クライアント4(#1)の通信プログラム44は、このコマンド情報をMACフレームに設定し、クライアント4(#1)のMACアドレス(4A1)を含むパケット信号(以下、コマンド信号と称する)を生成して、端末I/F41を介して無線端末3(#1)に出力する。なお、この段階ではまだ、クライアント4(#1)に対する認証が済んでいないので、MACフレームには認証が済んでいないログイン要求を表す「LR」記号が設定されている。
【0094】
無線端末3(#1)は、このコマンド信号を端末I/F31を介して受信すると、MAC処理部34がMACフレーム中の「LR」記号を検知し、これにより監視制御部35がログイン要求信号と判断する。
【0095】
そして、監視制御部35の指令を受けてMAC処理部34は、認証処理のために、コマンド信号を引き続きRF部33を介して無線基地局2(#1)に送信する。
【0096】
即ち、無線端末3(#1)のMAC処理部34は、クライアント4(#1)のMACアドレス(4A1)に、自分のMACアドレス(3A1)を加えたコマンド信号のパケットを生成し、そのコマンド信号をRF部33を介して無線基地局2(#1)に送信する(図8のステップs11)。
【0097】
無線基地局2(#1)は、そのコマンド信号をRF部23を介して受信すると、MAC処理部24がMACフレームの「LR」記号を検知し、そのコマンド信号に含まれる無線端末3(#1)のMACアドレス(3A1)およびクライアント4(#1)のMACアドレス(4A1)を判読し、通信I/F21,11を介して認証サーバ1にそのMACアドレス(3A1)およびクライアント4(#1)のMACアドレス(4A1)を認証サーバ1に出力する(図8のステップs12)。
【0098】
認証サーバ1は、受信したMACアドレス(3A1)およびクライアント4(#1)のMACアドレス(4A1)とメモリ14に初期設定されたMACアドレス(3A1)、(4A1)とを比較照合して、一致していれば無線端末3(#1)およびクライアント4(#1)に対するMACアドレスを用いた認証を終了し、アクセスを許可する(図8のステップs13がYesの場合)。
【0099】
もし、比較照合して一致しなければ不正アクセスと判断して、無線端末3(#1)およびクライアント4(#1)との通信は行わない(図8のステップs13がNoの場合)。
【0100】
認証サーバ1は、MACアドレス(4A1)を認証するとアクセスを許可するコマンドとして「LA」記号と、認証サーバ1に初期設定されていた暗号設定鍵(1K1)をメモリ14から読出してMACフレームに設定にすると共に、コネクション毎の暗号鍵を生成する為の鍵の種(例えば、KS1)の情報をMACフレームに設定し、試験パタンデータをデータフレームに搭載したパケット信号を生成し通信I/F11を介して無線基地局2(#1)に出力する。
【0101】
即ち、この状態では、クライアント4(#1)と認証サーバ1との間で暗号設定鍵による認証や、暗号化通信を行うための鍵情報を交換する段階であって、クライアント4(#1)がLAN5に接続されたホスト等との通信は許可されていない段階であることをMACフレームに設定された「LA」記号により表示されている。
【0102】
無線基地局2(#1)は、通信I/F21を介してこのパケット信号を受信すると、MAC処理部24がアクセス許可のコマンド「LA」記号と暗号設定鍵(1K1)および鍵の種(KS1)を検出し、監視制御部25が無線基地局2のメモリ26に検出された暗号設定鍵(1K1)および鍵の種(KS1)を記憶する。
【0103】
また、監視制御部25は、暗号処理部22に、暗号設定鍵(1K1)と鍵の種(KS1)を組合せて(例えば、掛け合せることによって)新たなスクランブル鍵(CK1)を生成し、そのスクランブル鍵(CK1)により暗号化した試験パタンデータを生成する。
【0104】
MAC処理部24は、試験パタンデータを、データフレームに搭載し、また鍵の種(KS1)および応答許可コマンドの情報をMACフレームに設定する。そして、無線基地局2(#1)で再構築されたパケット信号がRF部23を介して無線端末3(#1)に送信される(図8のステップs14)。
【0105】
ここで、鍵の種(KS1)の情報は暗号化されずに無線端末3(#1)に送信されているが、認証登録されていないクライアント4は、この無線LANにアクセスできないので、鍵の種(KS1)が第3者に配信されることはない。
【0106】
無線端末3(#1)は、RF部33を介して無線基地局2(#1)から暗号化された試験パタンデータと「LA」記号および鍵の種(KS1)の情報を含むパケット信号を受信すると、MAC処理部34は、その信号のMACフレームに含まれる鍵の種(KS1)を抽出して、メモリ36に記憶する。更に、メモリ36に初期設定した暗号設定鍵(4K1)と鍵の種(KS1)とを掛け合せて、このコネクションで使用するスクランブル鍵(CK2)を生成する。なお、クライアント4(#1)が正しいクライアントであれば、暗号設定鍵1K1と4K1は同じ暗号設定鍵なので、それに鍵の種KS1を掛け合わせた暗号設定鍵CK1とCK2とは同一となる。
【0107】
そして、無線端末3(#1)は、受信した暗号化された試験パタンデータをスクランブル鍵(CK2)により復号化して平文を生成する。そして、その平文の試験パタンデータをデータフレームに搭載し、「LA」記号を付加したパケット信号を端末I/F31を介してクライアント4(#1)に出力する。
【0108】
クライアント4(#1)は、端末I/F41を介して「LA」記号と平文になった試験パタンデータを受信すると、再び、クライアント4(#1)のCPU45が通信プログラム44を制御して、そのまま平文の試験パタンデータをデータフレームに搭載し「LA」記号を付加したパケット信号を生成して、端末I/F41を介して無線端末3(#1)に送り返す。
【0109】
無線端末3(#1)は、端末I/F31を介して「LA」記号と平文の試験パタンデータを受信すると、それを再びスクランブル鍵(CK1)により暗号化した試験パタンデータをデータフレームに搭載し、「LA」記号を付加したパケット信号を作成して、RF部33を介して無線基地局2(#1)に送り返す(図8のステップs15)。
【0110】
無線基地局2(#1)は、RF部24を介して「LA」記号と暗号化した試験パタンデータとを受信すると、メモリ26に初期設定されていた暗号設定鍵(1K1)と鍵の種(KS1)から生成したスクランブル鍵(CK1)により暗号化試験パタンデータを復号化して、平文を生成する。そして平文の試験パタンデータをデータフレームに搭載し「LA」記号を付加したパケット信号を通信I/F21を介して認証サーバ1に送信する。
【0111】
認証サーバ1は、通信I/F11を介して、「LA」記号と平文の試験パタンデータとを受信すると、認証サーバ1自身が送信した試験パタンデータであることを検証するため、平文された試験パタンデータと送信時の試験パタンデータとを比較し、同一であるか否かを確認して(図8のステップs16)、復号化による認証を行う。
【0112】
即ち、受信した試験パタンデータが送信時の試験パタンデータと一致すれば(図8のステップs17がYesの場合)、クライアント4(#1)の暗号設定鍵(4K1)と初期設定した認証サーバ1の暗号設定鍵(1K1)とが一致したことになり、クライアント4(#1)がなりすましでない正しい相手(認証成功)であるとCPU15が判定し、クライアント4がホスト6にログイン権があることの認証を完了する(図8のステップs18)。
【0113】
そして、認証サーバ1は、その認証完了通知として「LC」記号をMACフレームに設定して同一の手順によって無線基地局2(#1)と無線端末3(#1)を介してクライアント4(#1)に送信する。これにより、クライアント4(#1)のログインが完了する。
【0114】
この時、無線基地局2(#1)は、「LC」記号を受信すると、このクライアント4(#1)とのコネクション番号として、例えば、(CN1)のように番号を付与して、その通信管理を行う(図8のステップs19)。
【0115】
また、クライアント4(#1)および無線端末3(#1)は、「LC」記号を受信すると、無線LAN通信では、その後ログアウトするまで、即ちそのコネクションが成立している間、クライアント4(#1)と無線端末3との間は平文でデータを入出力する。そして、無線基地局2(#1)と無線端末3(#1)との間では鍵の種(KS1)を利用したスクランブル鍵を設定して暗号化を行う(図8のステップs20)。なお、暗号化の処理として、鍵の種を単独でスクランブル鍵として使用するか、それとも初期設定された暗号設定鍵と鍵の種を組合わせて生成した新たなスクランブル鍵を使用するかは、いずれの方法であっても良い。
【0116】
更に、無線端末3(#1)に接続されているクライアント4(#1)に続いて、更にクライアント4(ここでは、#2とする)がアクセスしようとした場合、図8のステップs11からの手順を同様に繰り返すことによって、クライアント4(#2)も無線基地局2(#1)とコネクション番号(例えば、CN2として区別される)を確立して、認証・暗号化無線通信が実行できる。
【0117】
また、クライアント4(#1)がログアウトを行った後、再度無線LANにアクセスする際も、図8のステップs11からの手順が同様に繰り返されるが、鍵の種は最初に用いた(KS1)とは異なった新たな鍵の種(例えば、KS1a)が認証サーバ1から発行されて暗号化が行われ、コネクション番号も、例えばCN1aのように新たに付与された通信管理が行われる。
【0118】
(第2の実施の形態)
本発明の第2の実施の形態では、認証サーバ1が無線基地局2と無線端末3を介してクライアント4に対して送信した鍵情報(鍵の種)を搭載しているパケット信号を、無線端末3はそのままクライアント4に転送し、クライアント4が受信したパケット信号からその鍵情報を抽出して、無線端末3に送信して設定する暗号鍵の設定方法である。
【0119】
図9は、本発明の第2の実施の形態における無線LANの動作手順を示すフローチャートである。以下、図9を参照して第2の実施の形態の動作手順を説明する。
【0120】
第2の実施の形態における動作手順は、MACアドレスによるクライアント4の無線LANに対するアクセス権の有無の認証の確認まで、即ち、図7の初期設定および図8のステップs13までは第1の実施の形態と同様であるので説明を省略する。
【0121】
そして、MACアドレスによる認証がされると、認証サーバ1は、クライアント4(ここでは、#4とする)に対してアクセスを許可するコマンド「LA」記号と、クライアント(#4)との暗号鍵として初期設定されている暗設定号鍵(ここでは、1K4とする)と鍵の種(ここでは、KS4とする)とをMACフレームに設定するとともに、試験パタンデータをデータフレームに搭載したパケット信号を生成し、通信I/F11を介して無線基地局2(ここでは、#Mとする)に出力する。
【0122】
無線基地局2(#M)は、通信I/F21を介してこのアクセス許可のコマンド「LA」記号と暗号鍵(1K4)および鍵の種(KS4)を受信すると、MAC処理部24はメモリ26に暗号設定鍵(1K4)および鍵の種(KS4)を記憶する。
【0123】
また、MAC処理部24は暗号鍵(1K4)と鍵の種(KS4)を組合せて(例えば、掛け合せることによって)新たなスクランブル鍵(CK3)を生成し、そのスクランブル鍵(CK3)により暗号化した試験パタンデータに「LA」記号を付加したパケット信号を生成して、RF部23を介して無線端末3(ここでは、#1とする)に送信する(図9のステップs31)。
【0124】
無線端末3(#1)は、RF部33を介して「LA」記号と暗号化された試験パタンデータと鍵の種(KS4)の情報を含むパケット信号を受信すると、監視制御部35は、「LA」記号からクライアント4(#4)との暗号鍵による認証がまだ完了していないことを判読する。
【0125】
それを受けて、MAC処理部34は、MACフレームのクライアント4(#4)のアドレスを判読して、端末I/F31を介してそのパケット信号を当該クライアント4(#4)に出力する。
【0126】
クライアント4(#4)の通信プログラム44は、端末I/F41を介して受信したパケット信号から鍵の種(KS4)を抽出し、また、CPU45は、データフレーム中の暗号化された試験パタンデータをメモリ46に記憶する。
【0127】
更にCPU45は、メモリ46に初期設定されていた暗号設定鍵(4K4)と鍵の種(KS4)とを掛け合せて、このコネクションで使用するスクランブル鍵(CK4)を生成する。そして、このスクランブル鍵(CK4)によって受信した暗号化された試験パタンデータを復号化する。この場合も、スクランブル鍵(CK4)はスクランブル鍵(CK3)と同じである。
【0128】
クライアント4(#4)のCPU45は、スクランブル鍵(CK4)によって平文になった試験パタンデータを、再び、(CK4)により暗号化し、通信プログラム44を制御して、暗号化された試験パタンデータと「LA」記号が付加されたパケット信号を生成して、端末I/F41を介して無線端末3(#1)に送り返す。
【0129】
無線端末3(#1)は、「LA」記号と暗号化された試験パタンデータをクライアント4(#4)から受信すると、そのデータフレームをMAC処理部34が読み出し、まだ、クライアント4が認証されていないことを「LA」記号により判読し、クライアント4(#4)から返送された、暗号化された試験パタンデータをそのままにして無線基地局2(#M)に送信する(図9のステップs32)。
【0130】
無線基地局2(#M)では、メモリ26に記憶された暗号設定鍵(1K4)と鍵の種(KS4)から生成したスクランブル鍵(CK3)により、受信した暗号化された試験パタンデータを復号化して平文を生成する。そして、平文の試験パタンデータをデータフレームに搭載し、「LA」記号を付加したパケット信号を通信I/F21を介して認証サーバ1に送信する(図9のステップs33)。
【0131】
認証サーバ1は、受信した「LA」記号と平文された試験パタンデータとを受信すると、自身が送信した試験パタンデータと比較し、同一であるか否かを確認して復号化による認証を行う。
【0132】
即ち、送信した試験パタンデータと受信した試験パタンデータが一致すれば(図9のステップs34がYesの場合)、CPU15はクライアント4の暗号設定鍵(4K4)と初期設定した認証サーバの暗号設定鍵(1K4)とが一致したと判断し、クライアント4(#4)がなりすましでない、正しい相手(認証成功)と判定する(図9のステップs39)。
【0133】
そして、クライアント4がホスト6にログイン権があることの認証完了の通知として「LC」記号をMACフレームに設定して無線基地局2(#M)、無線端末3(#1)を経由してクライアント4(#4)に送信する(図9のステップs35)。
【0134】
無線端末3(#1)は、この認証完了通知の「LC」記号を受信すると、クライアント4(#4)との間では、平文のデータを入出力する。そして、クライアント4(#4)の通信プログラム44は、抽出した鍵の種(KS4)を無線端末3に設定し、無線端末3のメモリ36に鍵の種(KS4)を記憶させる(図9のステップs36)。
【0135】
無線端末3(#1)は、認証完了通知の「LC」記号を判読すると、監視制御部35は、無線基地局2との間で暗号化、復号化を行う様に、メモリ36に設定されているMAC処理部34が実行する通信制御プログラムの処理手順を変更する(図9のステップs37)。
【0136】
また、無線基地局2(#M)は、このクライアント4(#4)とのコネクション番号に、例えば、(CN4)のように番号を付与して、その通信管理を行う(図9のステップs38)。
【0137】
その後ログアウトするまで、即ちそのコネクションが成立している間、クライアント4(#4)がLAN5に接続されたホスト6とパケット信号を伝送する無線LAN通信では、無線基地局2と無線端末3との間で鍵の種(KS4)を利用したスクランブル鍵を設定して暗号化が行われる。同様に、鍵の種を単独で暗号鍵として使用するか、それとも初期設定された暗号設定鍵と鍵の種を組合わせて生成した新たなスクランブル鍵を使用するかは、いずれの方法であっても良い。
【0138】
更に、無線端末3(#1)に接続されているクライアント4(#4)に続いて、更にクライアント4(ここでは、#5とする)がアクセスしようとした場合、図8のステップs11からの手順を同様に繰り返すことによって、クライアント4(#5)も無線基地局2(#M)とコネクション番号(例えば、CN5)を確立して、認証・暗号化無線通信が実行できる。
【0139】
また、1度クライアント4(#4)がログアウトを行った後、再度無線LANにアクセスする際も、図8のステップs11からの手順が同様に繰り返されるが、鍵の種は最初に用いた(KS4)とは異なった新たな鍵の種(例えば、KS4a)が発行されて暗号化が行われ、コネクション番号も(例えば、CN4a)新たに付与された通信管理が行われる。
【0140】
(第3の実施の形態)
第3の実施の形態は、第2の実施の形態の変形であって、無線基地局2から送信された暗号化試験パタンデータをクライアント4で復号化、再暗号化せず、暗号化された試験パタンデータをクライアント4(#4)から無線端末3に送り返す。そして、クライアント4が無線端末3に設定した鍵の種により無線端末3が暗号化試験パタンデータを復号化・再暗号化してクライアント4のホスト6に対するログイン権の認証を行う。
【0141】
図10は、本発明の第3の実施の形態における無線LANの動作手順を示すフローチャートである。以下、図10を参照して第3の実施の形態における無線LANの動作手順を説明する。
【0142】
この第3の実施の形態に於いても、MACアドレスによるクライアント4の無線LANに対するアクセス権の有無の認証の確認まで、即ち、図7の初期設定および図8のステップs13までは第1の実施の形態と同様であるので説明を省略する。
【0143】
そして、MACアドレスによる認証がなされた場合、認証サーバ1は、クライアント4(ここでは、#6とする)に対してアクセスを許可するコマンド「LA」記号と、クライアント4(#6)に対して初期設定されている暗号鍵(ここでは、1K6とする)と鍵の種(ここでは、KS6とする)とをMACフレームに設定すると共に、試験パタンデータをデータフレームに搭載したパケット信号を生成し、通信I/F11を介して無線基地局2(ここでは、#Mとする)に出力する。
【0144】
無線基地局2(#M)は、通信I/F21を介してこのアクセス許可のコマンド「LA」記号と暗号設定鍵(1K6)および鍵の種(KS6)を受信すると、MAC処理部24はメモリ26に暗号設定鍵(1K6)および鍵の種(KS6)を記憶する。また、暗号設定鍵(1K6)と鍵の種(KS6)を組合せて(例えば、掛け合せることによって)新たなスクランブル鍵(CK6)を生成し、そのスクランブル鍵(CK6)により暗号化した試験パタンデータに「LA」記号を付加したパケット信号を生成して、RF部23を介して無線端末3(ここでは、#1とする)に送信する(図10のステップs81)。
【0145】
無線端末3(#1)は、RF部33を介して「LA」記号と暗号化された試験パタンデータと鍵の種(KS6)の情報を含むパケット信号を受信すると、監視制御部35は、「LA」記号からクライアント4(#6)との暗号設定鍵による認証がまだ完了していないことを判読する。
【0146】
それを受けて、MAC処理部34は、MACフレームのクライアント4(#6)のアドレスを判読して、端末I/F31を介してそのパケット信号を当該クライアント4(#6)に出力する。(図10のステップs82)。
【0147】
クライアント4(#6)の通信プログラム44は、端末I/F41を介して受信したパケット信号から鍵の種(KS6)を抽出し、また、CPU45は、データフレーム中の暗号化された試験パタンデータをメモリ46に記憶する。
【0148】
そして、クライアント4(#6)の通信プログラム44は、抽出した鍵の種(KS4)を無線端末3(#1)に設定し、その無線端末3(#1)のメモリ36に鍵の種(KS6)を記憶する(図10のステップs83)。
【0149】
クライアント4(#6)は、暗号化された試験パタンデータと「LA」記号が付加されたパケット信号を受信すると再び、そのまま端末I/F41を介して無線端末3(#1)に送信する。(図10のステップs84)。
【0150】
無線端末3(#1)は、端末I/F31を介して「LA」記号と暗号化されたの試験パタンデータを受信すると、初期設定された暗号設定鍵(1K6)と鍵の種(KS6)から暗号鍵(CK7)を生成する。なお、この暗号鍵(CK7)はスクランブル鍵(CK6)と同一である。
【0151】
そして、無線端末3(#1)は、スクランブル鍵(CK7)を用いて暗号化された試験パタンデータを復号化し平文にするとともに、直ちにスクランブル鍵(CK7)により再び暗号化した試験パタンデータをデータフレームに搭載し、「LA」記号を付加したパケット信号を作成して、RF部33を介して無線基地局2(#M)に送信する(図10のステップs85)。
【0152】
無線基地局2(#M)では、RF部23を介して「LA」記号と、暗号化した試験パタンデータとを受信すると、メモリ26に初期設定されていた鍵(1K6)と鍵の種(KS6)から生成したスクランブル鍵(CK6)により暗号化試験パタンデータを復号化して、平文を生成する。そして平文の試験パタンデータをデータフレームに搭載し「LA」記号を付加したパケット信号を通信I/F21を介して認証サーバ1に送信する。
【0153】
認証サーバ1は、通信I/F11を介して、「LA」記号と平文の試験パタンデータとを受信すると、認証サーバ1自身が送信した試験パタンデータであることを検証するため、平文にされた試験パタンデータと送信時の試験パタンデータとを比較し、同一であるか否かを確認して(図10のステップs86)、復号化による認証を行う。
【0154】
即ち、受信した試験パタンデータが送信時の試験パタンデータと一致すれば(図10のステップs87がYesの場合)、クライアント4(#6)の暗号設定鍵(4K6)と初期設定した認証サーバ1の暗号設定鍵(1K6)とが一致したことになり、CPU15はクライアント4(#6)がなりすましでない正しい相手(認証成功)であると判定し、クライアント4(#6)がホスト6にログイン権があることの認証を完了する(図10のステップs88)。
【0155】
そして、認証サーバ1は、その認証完了通知として「LC」記号をMACフレームに設定して同一の手順によって無線基地局2(#M)と無線端末3(#1)を介してクライアント4(#6)に送信する。これにより、クライアント4(#6)のログインが完了する。
【0156】
この時、無線基地局2(#6)は、「LC」記号を受信すると、このクライアント4(#6)とのコネクション番号として、例えば、(CN6)のような番号を付与して、その通信管理を行う(図10のステップs89)。
【0157】
また、クライアント4(#6)および無線端末3(#1)は、「LC」記号を受信すると、無線LAN通信では、その後ログアウトするまで、即ちそのコネクションが成立している間、クライアント4(#6)と無線端末3との間は平文で情報やデータを入出力する。そして、無線基地局2(#M)と無線端末3(#1)との間では鍵の種(KS6)を利用したスクランブル鍵を設定して暗号化を行う(図10のステップs90)。同様に、鍵の種を単独で暗号鍵として使用するか、それとも初期設定された暗号設定鍵と鍵の種を組合わせて生成した新たなスクランブル鍵を使用するかは、いずれの方法であっても良い。
【0158】
その後ログアウトするまで、即ちそのコネクションが成立している間、クライアント4(#6)がLAN5に接続されたホスト6とパケット信号を伝送する無線LAN通信では、無線基地局2と無線端末3との間で鍵の種(KS6)を用いた暗号化が行われる。
【0159】
更に、クライアント4(#6)に続いて、クライアント4(ここでは、#7とする)がアクセスしようとした場合、図8のステップs11からの手順を同様に繰り返すことによって、クライアント4(#7)も無線基地局2(#M)とコネクション番号(例えば、CN7)を確立して、認証・暗号化無線通信が実行できる。
【0160】
また、1度クライアント4(#6)がログアウトを行った後、再度無線LANにアクセスする際も、図8のステップs11からの手順が同様に繰り返されるが、鍵の種は最初に用いた(KS6)とは異なった新たな鍵の種(例えば、KS6a)が発行されて暗号化が行われ、コネクション番号も(例えばCN6a)新たに付与された通信管理が行われる。
【0161】
したがって、第1〜第3の実施の形態の説明によるごとく、本発明による無線LANシステムでは、1台の無線端末3に複数のクライアント4が接続されても、認証サーバ1と各クライアント4(#1〜#n)との間で認証および暗号化通信が可能である。
【0162】
本発明における認証方法、暗号化方法、および認証方法と暗号化の組合せ等は、上記の実施形態に限ることなく、無線LANの設置条件や、運用条件に合わせて、例えば、以下のように他の方法が採られても良い。
【0163】
第1は、クライアント4の無線LANに対するアクセス権の有無の認証方法である。即ち、図6のステップs61の無線LANに対するクライアント4の認証方法について、実施形態では、クライアントのMACアドレスによって認証を行っている。このMACアドレスによる認証の代わりに、ESS−IDと呼ばれる無線LANに対して名付けたグループにクライアント4が属しているか否かを確認する方法を採ってもよい。そして更に、例えば、クライアント4に設定されたIPアドレスを照合する等、他のクライアント4を認証する方法を適宜選択採用してよい。
【0164】
第2は、無線LANに対するアクセス権の有無認証の簡略化である。
【0165】
例えば、企業の事業場構内に設置される無線LANでは、それにアクセスする無線端末3とクライアント4は限られている。このような場合、図6のステップs61に相当する認証を省略して、図6のステップs62による無線LAN上のホストとのログイン権を認証する手段だけを実施し、そのホスト6へのログイン権を認証後、クライアント4が接続されている無線端末3と無線基地局2との間での暗号化通信を行う(図6のステップs63)ようにしてもよい。
【0166】
この場合、第1の実施の形態においては、図8のステップs12,s13に相当する動作手順が省略され、第2、第3の実施の形態に付いても同様に相当する動作手順が省略される。
【0167】
また、第3は、ログイン権の認証の省略である。無線LANにアクセスするクライアント4等が限定されている場合には、ログイン権の認証を省略して、例えば、MACアドレスによる認証だけでホストにログインを認めてもよい。
【0168】
この場合、第1の実施の形態の動作手順においては、認証サーバ1からクライアント4と無線端末3に対して、図8のステップs18に相当する認証成功の通知である「LC」記号の送信と、ステップs19のコネクション番号付与の手順が直ちに実効される。
【0169】
そして引き続き、無線基地局2から鍵の種が送信され、無線端末3ではMAC処理部34が鍵の種を抽出し、メモリ36に設定することによって、図8のステップs20に相当する暗号化通信が開始される。
【0170】
また、第2、第3の実施の形態についても、第1の実施の形態における手順変更に準じてログイン権の認証成功の通知、鍵の種の送信と設定等の手順変更を行って、暗号化通信を実行できる。
【0171】
第4に、暗号鍵の扱いの簡略化がある。即ち、第1〜第3の実施の形態では、
暗号設定鍵を無線基地局2とクライアント4それぞれに、初期設定の入力をしているが、この暗号設定鍵を固定して暗号化通信を行うようにしてもよい。または、この逆に、鍵の種は、固定したものとして、暗号設定鍵をパスワードの様に初期設定するようにして暗号化通信を行うようにしてもよい。
【0172】
また、より確実な認証方法、および暗号化方法として、例えば、無線LAN上のホスト6とのログイン権を認証する手段、また無線基地局2と無線端末3との間の暗号化方法については、上記第1〜第3の実施の形態の説明においては、認証サーバ1とクライアント4とが共通鍵を用いる認証方法および暗号化方法が説明された。本発明は、共通鍵による認証方法や暗号化方法に加えて、認証サーバ1が発行する公開鍵とクライアント4が使用する秘密鍵との組合せを用いたクライアント4の認証方法、および無線基地局2と無線端末3との間の暗号化方法を用いているものであってもよい。
【0173】
この公開鍵と秘密鍵とを組合せる場合にあっては、上記説明において、公開鍵は認証サーバ1がクライアント4に対して行う暗号化の鍵情報、秘密鍵はクライアント4が認証サーバ1に対する暗号化の鍵情報に相当するものである。
【0174】
【発明の効果】
以上述べたように、本発明によれば、無線端末に接続されたクライアントと無線端末とは、無線端末とクライアントを分離して各クライアント毎に独立した認証を行えるので、複数のクライアントを1台の無線端末に接続して、無線基地局と無線端末との間で暗号化通信をすることができる。
【図面の簡単な説明】
【図1】本発明による認証暗号化無線通信システムの構成を示すブロック図。
【図2】本発明の認証暗号化無線通信システムの認証サーバおよび無線基地局の構成要素を示すブロック図。
【図3】本発明の認証暗号化無線通信システムの無線端末の構成要素を示すブロック図。
【図4】本発明の認証暗号化無線通信システムのクライアントの構成要素を示すブロック図。
【図5】本発明の認証暗号化無線通信システムで送受信されるパケットの構成を説明した図。
【図6】本発明による認証暗号化無線通信システムの基本的な認証・暗号化の過程を示したフローチャート。
【図7】本発明による認証暗号化無線通信システムの第1の実施の形態における初期設定の手順を示したフローチャート。
【図8】本発明による認証暗号化無線通信システムの第1の実施の形態における動作手順を示したフローチャート。
【図9】本発明の第2の実施の形態に置ける無線LANの動作手順を示すフローチャート。
【図10】本発明の第3の実施の形態に置ける無線LANの動作手順を示すフローチャート。
【図11】従来の認証暗号化無線LANシステムの構成を示すブロック図。
【図12】従来の認証暗号化無線通信システムの認証暗号化の手順を示したフローチャート。
【符号の説明】
1 認証サーバ
11 通信インタフェース(I/F)
12 認証管理部
13 鍵管理部
14 メモリ
15 CPU
2 無線基地局
21 通信インタフェース(I/F)
22 暗号処理部
23 RF部
24 MAC処理部
25 監視制御部
26 メモリ
3 無線端末
31 端末インタフェース(I/F)
32 暗号処理部
33 RF部
34 MAC処理部
35 監視制御部
36 メモリ
4 クライアント
41 端末インタフェース(I/F)
42 暗号処理部
43 RF部
44 MAC処理部
45 監視制御部
46 メモリ
5 LAN(ローカル エリア ネットワーク)
6 ホスト
Claims (11)
- 無線基地局と、
前記無線基地局と無線通信する無線端末と、
前記無線端末に接続される一つまたは複数のクライアントと、
前記無線基地局と前記無線端末とを介して前記クライアントと通信を行う認証サーバとを具備する無線通信システムにおいて、
前記認証サーバは、
前記クライアントを認証する認証手段と、前記認証されたクライアントとの間で暗号鍵情報を送受信する暗号化手段とを具備し、
前記無線端末は、
前記暗号鍵情報を用いて前記無線基地局との間の暗号鍵を設定し、前記無線基地局との間で暗号化通信を行う暗号化通信手段を具備する
ことを特徴とする認証暗号化無線通信システム。 - 前記無線基地局は、前記認証サーバを兼ねていることを特徴とする請求項1記載の認証暗号化無線通信システム。
- 前記クライアントは、
前記暗号鍵情報を抽出し、前記無線端末に前記暗号鍵情報を送信する暗号鍵設定手段を具備し、
前記無線端末の前記暗号化通信手段は、前記クライアントから送信された前記暗号鍵情報から前記無線基地局との間の暗号鍵を設定し、暗号化通信を行うことを特徴とする請求項1記載の認証暗号化無線通信システム。 - 前記クライアントは、
前記クライアント固有の認証情報を有し、
前記認証サーバは、前記クライアントの固有の認証情報を記憶し、前記クライアントからの信号を前記無線端末および前記無線基地局を介して受信すると、その信号に含まれる前記クライアント固有の認証情報と、自装置内に記憶された前記クライアント固有の認証情報とを比較し、一致したことを検出することにより前記クライアントを認証し、前記認証されたクライアントに対して前記無線端末を介した通信を許可することを特徴とする請求項1記載の認証暗号化無線通信システム。 - 前記認証サーバの前記暗号化手段は、
予め前記クライアントの間で設定した暗号化通信の鍵情報により試験データを暗号化して前記クライアントに送信し、
前記クライアントは、
受信した前記暗号化された試験データを前記設定された鍵情報により復号化した後、当該試験データを再び暗号化して前記認証サーバに送信することを特徴する請求項1記載の認証暗号化無線通信システム。 - 前記認証サーバは、
前記クライアントからの前記暗号化された試験データを前記鍵情報によって復号化し、自装置が送信した前記試験データと前記復号化した試験データとを比較し、これらの試験データが一致することにより認証することを特徴とする請求項5記載の認証暗号化無線通信システム。 - 前記認証サーバは、
前記クライアントから入力される秘密鍵と、内部に設定された公開鍵とを用いて前記クライアントを認証することを特徴とする請求項1記載の認証暗号化無線通信システム。 - 前記無線端末は、
前記クライアントから入力される秘密鍵と、前記認証サーバに設定された公開鍵とを用いて前記無線基地局との間で暗号化通信することを特徴とする請求項1記載の認証暗号化無線通信システム。 - 認証サーバが無線基地局と無線端末とを介してクライアントとの間で認証を行い、その認証された前記クライアントと前記認証サーバとの間で暗号化通信をする認証暗号化無線通信システムの通信制御方法であって、
前記認証サーバは、予め設定された所定の方法により前記クライアントを認証すると、前記認証されたクライアントとの間で暗号鍵情報を送受信し、
前記クライアントは、前記暗号鍵情報を抽出し、前記無線端末に前記暗号鍵情報を送信し、
前記無線端末は、前記暗号鍵情報を抽出して前記無線基地局との間の暗号鍵として設定する
ことを特徴とする認証暗号化無線通信システムの通信制御方法。 - 無線基地局と、この無線基地局と無線通信する無線端末と、この無線端末に接続される一つまたは複数のクライアントと、前記クライアントと前記無線基地局と前記無線端末を介して通信を行う認証サーバとを具備する無線通信システムの前記無線端末であって、
前記認証サーバによって認証されたクライアントと前記認証サーバとの間で送受信される暗号鍵情報に基づき、前記認証サーバから送信された暗号鍵情報を抽出し、
その抽出された前記暗号鍵情報を用いて前記無線基地局との間の暗号鍵を設定し、その設定された暗号鍵を用いて前記無線基地局との間で暗号化通信を行うことを特徴とする無線端末。 - 無線基地局と、この無線基地局と無線通信する無線端末と、この無線端末に接続される一つまたは複数のクライアントと、前記クライアントと前記無線基地局と前記無線端末を介して通信を行う認証サーバとを具備する無線通信システムの前記クライアントであって、
前記認証サーバから送信された試験データを予め設定された鍵情報により復号化した後、当該試験データを前記鍵情報により再び暗号化して前記認証サーバに送信して認証作業を行い、
その後、前記認証サーバから送信される暗号鍵情報を抽出し、
前記無線基地局と前記無線端末間の暗号鍵を設定するため、前記抽出した暗号鍵情報を前記無線端末に送信することを特徴とするクライアント。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003084244A JP2004297257A (ja) | 2003-03-26 | 2003-03-26 | 認証暗号化無線通信システム、その通信制御方法およびその無線端末、ならびにクライアント |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003084244A JP2004297257A (ja) | 2003-03-26 | 2003-03-26 | 認証暗号化無線通信システム、その通信制御方法およびその無線端末、ならびにクライアント |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004297257A true JP2004297257A (ja) | 2004-10-21 |
Family
ID=33399454
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003084244A Pending JP2004297257A (ja) | 2003-03-26 | 2003-03-26 | 認証暗号化無線通信システム、その通信制御方法およびその無線端末、ならびにクライアント |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004297257A (ja) |
-
2003
- 2003-03-26 JP JP2003084244A patent/JP2004297257A/ja active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6772331B1 (en) | Method and apparatus for exclusively pairing wireless devices | |
US7607015B2 (en) | Shared network access using different access keys | |
US7174564B1 (en) | Secure wireless local area network | |
US8266681B2 (en) | System and method for automatic network logon over a wireless network | |
JP3570310B2 (ja) | 無線lanシステムにおける認証方法と認証装置 | |
KR100415022B1 (ko) | 무선 장치들 사이에서 보안 통신을 초기화하고 이들 무선장치들을 배타적으로 페어링하기 위한 방법 및 장치 | |
US7142851B2 (en) | Technique for secure wireless LAN access | |
US8316142B2 (en) | Subnet box | |
US6886095B1 (en) | Method and apparatus for efficiently initializing secure communications among wireless devices | |
JP3961462B2 (ja) | コンピュータ装置、無線lanシステム、プロファイルの更新方法、およびプログラム | |
US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
EP1484856A1 (en) | The method for distributes the encrypted key in wireless lan | |
US20090019539A1 (en) | Method and system for wireless communications characterized by ieee 802.11w and related protocols | |
EP1643714A1 (en) | Access point that provides a symmetric encryption key to an authenticated wireless station | |
KR20040075293A (ko) | 컴퓨팅 장치를 보안 네트워크에 접속시키기 위한 방법 및시스템 | |
WO2005057507A2 (en) | Remote secure authorization | |
CN101164315A (zh) | 利用通信网络中无线通信协议的系统和方法 | |
JP2005505194A (ja) | 端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置 | |
US20050081066A1 (en) | Providing credentials | |
US20130318352A1 (en) | Communication setup method and wireless connection device | |
JP3691464B2 (ja) | 無線アクセスポイント | |
Dorobantu et al. | Security threats in IoT | |
Hall | Detection of rogue devices in wireless networks | |
JP2004297257A (ja) | 認証暗号化無線通信システム、その通信制御方法およびその無線端末、ならびにクライアント | |
US20040225709A1 (en) | Automatically configuring security system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20050415 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050606 |