JP2004304710A - Authentication method for wireless connection apparatus - Google Patents

Authentication method for wireless connection apparatus Download PDF

Info

Publication number
JP2004304710A
JP2004304710A JP2003098038A JP2003098038A JP2004304710A JP 2004304710 A JP2004304710 A JP 2004304710A JP 2003098038 A JP2003098038 A JP 2003098038A JP 2003098038 A JP2003098038 A JP 2003098038A JP 2004304710 A JP2004304710 A JP 2004304710A
Authority
JP
Japan
Prior art keywords
authentication
authentication server
intranet
client terminal
access point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003098038A
Other languages
Japanese (ja)
Other versions
JP4018584B2 (en
JP2004304710A5 (en
Inventor
Hirohide Tachikawa
博英 立川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2003098038A priority Critical patent/JP4018584B2/en
Publication of JP2004304710A publication Critical patent/JP2004304710A/en
Publication of JP2004304710A5 publication Critical patent/JP2004304710A5/ja
Application granted granted Critical
Publication of JP4018584B2 publication Critical patent/JP4018584B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To permit a connection of a user having an account to a legitimate authentication server provided on the side of a backbone network to a small scale network through one authentication processing. <P>SOLUTION: When an access point (AP) 100 connected to the backbone network (intranet) 120 and connected to wireless terminals 111 to 114 through radio communication receives an authentication request from the wireless terminal 114 through radio communication, the access point transfers the received authentication request to the intranet 120, and when the intranet 120 fails to apply authentication processing with respect to the authentication request, an authentication server function section 102 of the access point 100 applies tentative authentication processing to the wireless terminal 114. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、無線LANやBluetooth等の無線通信機能を有する端末による小規模なLAN環境であるPAN(Personal Area Network)をセキュアに構築する際に用いられる無線接続装置の認証方法に関するものである。
【0002】
【従来の技術】
従来、無線LANやBluetoothでは、その通信媒体として電波を用いるため、通信先の制限が難しいという問題があった。このため、これらの規格では、通信先毎に暗号鍵を変更することで、たとえパケットを覗き見られても、それを解読できないようにするといった防御手段が執られている。
【0003】
現在、最も一般的な無線通信の暗号化手段は、IEEE802.11(以下「802.11」)方式であればWEPキー(40bit,128bit)による暗号化であり、またBluetooth方式であれば、Pinコードから自動生成される128bitの暗号鍵による暗号化である。しかし、これらの暗号化方式にも脆弱性があることが指摘されており、無線通信の安全性を更に高めるための暗号化方式として、802.11方式では、802.1xベースの認証を実施した上での動的WEPキー変換(EAP)やTKIP,AESといった、更に高度な暗号化方式、Bluetooth方式では、802.1xベースの上位アプリケーション層での認証・暗号化方式などが検討され、一部実施されている。この中でも802.1xをベースとしたEAP(Extensible Authentication Protocol)方式と呼ばれる認証・暗号化手段は、一部のOS環境において、802.11方式向けの認証・暗号化手段として標準的に実装されている。
【0004】
無線LAN(802.11)におけるEAP方式は、クライアント端末がネットワーク接続要求を行う際に、無線接続装置であるアクセスポイントを介して、TCP/IPの一部ポートを利用してイントラネットやインターネット上に設けられた認証サーバ(RADIUSサーバ等)とデータ通信を行い、認証サーバからクライアント端末への証明書の要求又はチャレンジを実施する。クライアント端末は、証明書所有の証明を行うか、チャレンジに対してアカウント名とパスワードとを返し、それらが認証サーバ内のデータと一致すれば、認証サーバはクライアント端末のネットワーク接続を許可し、無線通信を暗号化するための128bitの暗号鍵又は暗号鍵生成パラメータをアクセスポイントとクライアント端末に返す。
【0005】
このようなプロセスを経て、クライアント端末が認証サーバによる認証にパスすると、それ以降の無線通信は、128bitの暗号鍵をWEPキーとしてクライアント端末とアクセスポイントとの両者間で利用することで暗号化される。更に、このようなプロセスは一定時間毎に定期的に実施され、暗号鍵の更新を行う。
【0006】
また、Bluetooth方式では、無線通信機能を有する各端末で構築される小規模なLAN環境であるPAN(Personal Area Network)プロファイルにおいてセキュリティ向上のために802.1x認証・暗号化手段を用いることが推奨されている。このBluetoothの場合、無線媒体である電波を暗号化するための鍵の生成はBluetooth方式で通信を行うデバイス間のPinコードによる相互認証によって自動的に生成されるため、認証サーバから受け取った暗号鍵情報を、無線LANで用いられているWEPキーのような電波そのものの暗号化鍵としては利用できないが、無線媒体として電波を生成する前段階でパケットを暗号化する際の鍵として利用することで、二重に暗号化し通信のセキュリティを向上させることができる。
【0007】
以上述べてきた802.1x方式の認証・暗号化プロセスでは、認証を実施するための認証サーバがイントラネットなどのネットワーク内に存在し、その認証サーバがクライアント端末のアカウントを集中管理している。このため、802.1x方式を用いるならば、クライアント端末がどこにいても、認証サーバとのTCP/IPによる通信が実施可能な場合、同一アカウント及びパスワードを用いてイントラネットなどの基幹ネットワークに接続することができる。
【0008】
【発明が解決しようとする課題】
このように、上述した802.1x方式による認証・暗号化プロセスを用いることで、クライアント端末は無線通信を用いた安全なネットワーク接続を実現できる。但し、そのためには、ネットワーク内に認証サーバが設置され、かつ、その認証サーバには、予めクライアント端末のアカウントが登録されている必要がある。即ち、802.1x方式は、比較的規模の大きなイントラネット等の基幹ネットワーク上での運用を想定した方式であり、無線によるネットワーク接続を行うクライアント端末も認証サーバ上にアカウントを持ったメンバに限定されるといった制限があった。
【0009】
このため、認証サーバ上にアカウントの無い外来者が参加するミーティングを行う場合やイントラネット等の基幹ネットワークへの接続手段がない社外の会議室等でのミーティングを行う場合は、802.1x方式による認証・暗号化プロセスを利用した無線通信による安全なネットワーク構築ができないという不具合があった。
【0010】
尚、その際に、認証・暗号化を行うことなく、無線通信は実現可能であるが、セキュリティの面から大きな問題がある。
【0011】
また、手作業により無線通信用のパラメータを設定すれば、無線通信の暗号化は可能であるが、クライアント端末はイントラネット等の基幹ネットワーク上で通常利用する802.1x方式のアカウント及びパスワードの入力による自動接続とは、全く異なる接続手段を手動で行わなければならない。また、手作業による無線通信用パラメータの設定では、暗号鍵を一定時間毎に変更することも自動的には実施不可能であるため、安全性が損なわれる。
【0012】
上述のような不具合を無くすためには、PANを構築するメンバのために802.1x方式に対応した専用の認証サーバを設け、その認証サーバ上でPAN構成者を一元管理すれば良い。しかし、そうした場合、イントラネット等の基幹ネットワーク側に存在する正規の認証サーバにアカウントを所有するユーザも、PAN構築専用の認証サーバによって認証が行われるため、無線通信は暗号化されるもののイントラネット等の基幹ネットワークへのアクセスのために、再度、認証作業が必要であったり、或いはイントラネットへのアクセスに障害がでたりと言った不都合が生じる。
【0013】
本発明は、上記課題を解決するためになされたもので、基幹ネットワーク側に設けられた正規の認証サーバにアカウントを有するユーザを一回の認証処理で、基幹ネットワークと小規模なネットワーク双方への接続を許可することを目的とする。
【0014】
また、本発明は、基幹ネットワーク側に設けられた正規の認証サーバによって認証がなされなかったユーザの基幹ネットワークへのアクセスを禁止することを目的とする。
【0015】
本発明の更なる目的は、基幹ネットワーク側に設けられた正規の認証サーバによって認証がなされなかったユーザに対して小規模なネットワークへのアクセスに限って可能とすることである。
【0016】
本発明の更なる目的は、基幹ネットワーク側に設けられた正規の認証サーバによる認証可否を判断するための方法を提供することである。
【0017】
本発明の更なる目的は、基幹ネットワークが存在しない状態でアクセスポイントを使用する場合や基幹ネットワーク上に認証サーバが無い環境下でアクセスポイントを使用する場合に、クライアントの接続処理を迅速化することである。
【0018】
本発明の更なる目的は、クライアントに対してアクセスポイントによって発行されたアカウントや証明書を、会議などの期間内のみ有効とし、それ以降は無効化して会議非参加者の不正アカウント発生を防止することである。
【0019】
本発明の更なる目的は、アクセスポイントから一時的なアカウントや証明書の発行を受けるクライアントが、再認証実施時にネットワークの一時的な切断等の不具合を被ることを回避することである。
【0020】
【課題を解決するための手段】
上記目的を達成するために、本発明は、基幹ネットワークに接続され、無線通信により無線端末装置と接続する無線接続装置の認証方法であって、無線端末装置から無線通信による認証要求を受信する工程と、受信した認証要求を基幹ネットワークへ転送し、該認証要求に対する認証処理が基幹ネットワークで失敗した場合に、前記無線端末装置に対する一時的な認証処理を行う工程とを有することを特徴とする。
【0021】
【発明の実施の形態】
以下、図面を参照しながら本発明に係る実施の形態を詳細に説明する。
【0022】
図1は、本実施形態における無線ネットワークシステムの構成を示す図である。図1において、100は本実施形態のアクセスポイントであり、IEEE802.11やBluetooth等の無線通信手段によって安全なネットワークを構築する。アクセスポイント100において、101は無線通信回路部であり、無線通信手段により後述するクライアント端末との間で無線による通信を行う。102は認証サーバ機能部であり、後述するイントラネット上の認証サーバに代わってクライアント端末の認証処理を行う。103は証明書サーバ機能部であり、認証サーバ機能部102により認証されたクライアント端末へ証明書の発行を行う。104は表示部であり、アクセスポイント100からの一時認証のためのメッセージを表示する。
【0023】
110は無線媒体であり、802.11やBluetooth等の電波による無線通信手段である。111、112はPDA(Personal Digital Assistants)であり、アクセスポイント100と無線で接続する。113、114はノート型パソコン(PC)であり、アクセスポイント100と無線で接続する。120はアクセスポイント100と接続されたイントラネットやインターネットなどの基幹ネットワーク(以下「イントラネット」と称す)である。121はイントラネット120上に設けられた認証サーバであり、クライアント端末からの認証要求により認証処理を行う。122はイントラネット120上に設けられた証明書サーバである。尚、本実施形態では、上述のアクセスポイント100と無線通信手段110を介して接続されるPDA111、112、ノート型パソコン113、114を「クライアント端末」と称す。
【0024】
ここで、以下の説明を容易にするために、クライアント端末113はイントラネット120上の証明書サーバ122によって発行された証明書を所有しているか、イントラネット120上の認証サーバ121にアカウントを有するクライアント端末であると仮定する。同様に、クライアント端末114はイントラネット120上の証明書サーバ122によって発行された証明書を所有しておらず、かつイントラネット120上の認証サーバ121にアカウントを有していないクライアント端末であると仮定する。
【0025】
図2は、クライアント端末113がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。図2に示すように、クライアント端末113が、アクセスポイント100の無線通信回路部101と802.11アソシエーション(200)の一連のやり取りを実施した後に、EAP認証プロセス(201〜207)を開始する。先ず、クライアント端末113は無線通信回路部101に対してEAP認証を行うことを宣言し(201)、この宣言に呼応して、無線通信回路部101がEAP認証のための身分証明要求(202)をクライアント端末113に送信する。これに答えて、クライアント端末113は、無線通信回路部101に対してユーザID付きのEAP−Response(203)を送信する。そして、無線通信回路部101は受信パケットをイントラネット120上に存在する認証サーバ121に向けて転送する(210)。
【0026】
これにより、認証サーバ121は、クライアント端末113からの認証要求(210)に反応し、認証サーバ121内のデータベースに対して認証要求(210)に添付されたユーザIDに相当するユーザが登録されているか否かを検索する。ここで、対応するユーザが登録されていた場合には、無線通信回路部101を経由してクライアント端末113へ、認証のためのチャレンジ(211、204)を送信する。このチャレンジ(204)を受けたクライアント端末113は、そのチャレンジに対応する回答(一般的にはパスワードや証明書の内容)を無線通信回路部101経由でイントラネット120上の認証サーバ121へと返す(205、212)。そして、認証サーバ121は、クライアント端末113から返されたチャレンジ回答(212)の内容を吟味し、自身のデータベースに記録された認証データと一致していれば、認証OKを無線通信回路部101経由でクライアント端末113へ送信する(213、206)。ここでWEPキー等の無線通信用暗号鍵を変更する場合には、無線通信回路部101から無線通信用暗号鍵情報(207)がクライアント端末113へ送信される。
【0027】
上述のEAP認証プロセス(201〜207)が終了した後、クライアント端末113は、アクセスポイント100経由のイントラネット120へのアクセスが許可される。この際、イントラネット120上の認証サーバ121による認証がなされたクライアント端末113に対しては、イントラネット120だけでなく、アクセスポイント100を経由して接続された他のクライアント端末111、112、114へのPANアクセスも許可されることは言うまでもない。また、WEPキーの動的変更を実施する場合は、上述のプロセスが一旦完了した後、定期的に無線通信回路部101よりEAP認証のための身分証明要求(202)をクライアント端末113に送信する。そして、上述の処理と同様の再認証及び新しいWEPキーに関する無線通信用暗号鍵情報送信(202〜207)のプロセスを繰り返し実行することで、WEPキーの動的変更を実現する。
【0028】
上述の認証プロセスは、一般的なEAP認証の実施プロセスと何ら変わりない。即ち、本実施形態ではイントラネット120側の認証サーバ121にアカウントが存在するクライアント端末113に対しては、通常のEAP認証と同一の動作を行う。一方、イントラネット120上の証明書サーバ122によって発行された証明書を所有しておらず、かつ、イントラネット120上の認証サーバ121にアカウントを有していないクライアント端末114の場合は、一般的なEAP認証プロセスとは異なる動作を行う。
【0029】
図3は、クライアント端末114がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。図3に示すように、クライアント端末114も、アクセスポイント100の無線通信回路部101と802.11アソシエーション(300)の一連のやり取りを実施した後に、EAP認証プロセス(301〜309)を開始する。先ず、クライアント端末114は無線通信回路部101に対してEAP認証を行うことを宣言し(301)、この宣言に呼応して、無線通信回路部101がEAP認証のための身分証明要求(302)をクライアント端末114に送信する。これに答えて、クライアント端末114は、無線通信回路部101に対してユーザID付きのEAP−Response(303)を送信する。そして、無線通信回路部101は受信パケットをイントラネット120上に存在する認証サーバ121に向けて転送する(310)。ここまでの処理は、上述した一般的なEAP認証プロセスと全く同一である。
【0030】
ここで、上述の認証サーバ121は、クライアント端末114からの認証要求(310)に反応し、認証サーバ121内のデータベースに対して認証要求(310)に添付されたユーザIDに相当するユーザが登録されているか否かを検索するが、対応するユーザは登録されていないため、認証拒否応答(311)を無線通信回路部101へ送信する。そして、認証拒否応答(311)を受け取った無線通信回路部101は、一般的なEAP認証プロセスで行う認証拒否応答のクライアント端末114への転送を行わず、アクセスポイント100内に設けられた認証サーバ機能部102と証明書サーバ機能部103で、クライアント端末114用に新規に一時証明書又は一時アカウントを作成し、作成した一時証明書又は認証処理に必要な情報を、クライアント端末114へ無線通信手段110を用いて配布する。
【0031】
図4は、一時証明書又は一時アカウントの作成配布処理を示すフローチャートである。まずステップS401において、イントラネット120上の認証サーバ121によって認証を拒否された場合はステップS402へ進み、クライアント端末114がPAN参加資格を有しない不正ユーザである可能性があるため、アクセスポイント100内の認証サーバ機能部102や証明書サーバ機能部103で一時証明書や一時アカウントの発行を行う前に、クライアント端末所有者の個人情報をアクセスポイント100の表示部104にリスト表示する。そして、ステップS403において、PAN管理者が手入力によってPAN参加の可否入力を行う。具体的には、PAN管理者はアクセスポイント100の表示部104に表示された個人情報を見て、PAN参加者の更新や削除作業を実施した後、PAN参加者リストが過不足無いものになったら、リストの承認を行う。
【0032】
次に、ステップS404において、承認の結果、PAN参加資格を有するクライアントであるか否かを判定し、PAN参加資格を有するクライアントであればステップS405へ進み、証明書サーバ機能部103に一時証明書の発行を要求し、ステップS406で認証サーバ機能部102が一時アカウントを作成し、ステップS407で証明書、一時アカウント及び一時パスワードの情報をクライアントへ配布し、ステップS408で配布した一時認証情報によるEAP認証のための身分証明要求をクライアントへ送信する。また、ステップS404において、不正参加者などの正規のクライアントでない場合はステップS409へ進み、認証拒否をクライアント端末114へ転送し、PAN接続の許可を与えない。
【0033】
また、アクセスポイント100における一時証明書や一時アカウントの発行と配布処理(S405〜S408)において、EAP認証に一時証明書を利用せず、一時アカウント及び一時パスワードのみを使用するEAP−MD5等を利用する場合には、一時証明書の発行処理(S405)を省略できることは言うまでもない。
【0034】
ここで図3に戻り、配布終了後、無線通信回路部101は、EAP認証のための身分証明要求(304)をクライアント端末114へ再送信する。これに答えて、クライアント端末114は、無線通信回路部101経由で認証サーバ機能部102に対して新規に配布された一時証明書又は一時アカウントを用いてユーザID付きのEAP−Response(305)を送信する。これを受けて、無線通信回路部101は、受信したパケットをイントラネット120上に存在する認証サーバ121ではなく、アクセスポイント100内に内蔵された認証サーバ機能部102へ転送する(312)。
【0035】
これにより、アクセスポイント100内の認証サーバ機能部102は、クライアント端末114からの認証要求(312)に反応し、認証サーバ機能部102内のデータベースに対して認証要求(312)に添付されたユーザIDに相当するユーザが登録されているか否かを検索する。このユーザIDは、上述した一時証明書又は一時アカウント作成の際に認証サーバ機能部102内のデータベースに登録されているため、アクセスポイント100内の認証サーバ機能部102は無線通信回路部101を経由してクライアント端末114へ、認証のためのチャレンジ(313、306)を送信する。このチャレンジ(306)を受けたクライアント端末114は、そのチャレンジに対応する回答(先立って配布された一時パスワードや一時証明書の内容やそれを加工した物)を、無線通信回路部101を経由してアクセスポイント100内の認証サーバ機能部102へと返す(307、314)。そして、認証サーバ機能部102は、クライアント端末114から返されたチャレンジ回答(314)の内容を吟味する。
【0036】
このチャレンジ回答は、上述した一時証明書又は一時アカウント作成の際に認証サーバ機能部102内のデータベースに登録された情報より導き出されるため、アクセスポイント100内の認証サーバ機能部102は認証OK(315)を無線通信回路部101経由でクライアント端末114へ送信する。ここで、WEPキー等の無線通信用暗号鍵を変更する場合は、無線通信回路部101から無線通信用暗号鍵情報(309)がクライアント端末114へ送信される。
【0037】
上述のEAP認証プロセス(301〜309)が終了した後、クライアント端末114は、イントラネット120を除くアクセスポイント100を経由して接続された他のクライアント端末111、112、113へのPAN接続も許可される。また、WEPキーの動的変更を実施する場合は、上述のプロセスが一旦完了した後、定期的に無線通信回路部101よりEAP認証のための身分証明要求(304)をクライアント端末114に送信する。そして、上述の処理と同様の再認証及び新しいWEPキーに関する無線通信用暗号鍵情報送信(304〜309)のプロセスを繰り返し実行することで、WEPキーの動的変更を実現する。
【0038】
尚、図4に示すフローチャートにおけるイントラネット120上の認証サーバ121による認証可否の判定(S401)は、タイムアウトか認証拒否パケットの有無によって判断するものである。また、タイムアウト判定は、クライアント端末114がアクセスポイント100の無線通信回路部101経由で認証サーバ121に対してユーザID付きのEAP−Response(303)を送信し、これを受けた無線通信回路部101が受信パケットをイントラネット120上に存在する認証サーバ121に向けて転送した後、予めアクセスポイント100に設定したタイムアウト時間までにそのパケットに対するレスポンスがなされなかった場合に、タイムアウトと判断し、以降の処理(S402以降)へ進める。これは、イントラネット120上に認証サーバ121が存在しない様な場合に有効な判定処理である。
【0039】
また、認証拒否パケットの有無による判定は、図3に示す認証拒否応答(311)を無線通信回路部101でモニタし、そのパケットの有無によってイントラネット120上の認証サーバ121による認証可否を判定する。これは、クライアント端末114が、アカウントを有しない認証サーバ121が存在するイントラネット120に対してユーザID付きのEAP−Response(303)を送信する際には、タイムアウト待ち等による無駄な待ち時間を無くせる点で有効な判定処理である。
【0040】
従って、アクセスポイント100の無線通信回路部101で、イントラネット120上の認証サーバ121による認証可否の自動判定を最も効率良く行うためには、上述の判定方法を組み合わせて「認証拒否パケットが発行されるか、タイムアウト時間内にレスポンスが無かった場合は認証不可と判断する」ことが好ましい。
【0041】
また、本実施形態におけるアクセスポイント100は、携帯して利用するような場合も考えられるため、アクセスポイント100の設置状況が頻繁に変わることが想定される。即ち、アクセスポイント100がイントラネット120に接続されて使用されたり、イントラネット120の存在なしに使用される場合が考えられる。
【0042】
このように、事前にイントラネット120の有無が判明しているような場合に備え、アクセスポイント100上にスイッチを設け、そのスイッチによってクライアント端末から無線通信回路部101経由で認証サーバ121に対して送信されるユーザID付きのEAP−Response(210、310)をイントラネット120へ転送するか否かを設定可能としても良い。
【0043】
尚、このスイッチは物理スイッチ、ソフトスイッチの何れでも構わない。このようなスイッチを設けることで、イントラネット120が存在しないことが事前に分かっている環境でアクセスポイント100を使用する際に、このスイッチをイントラネット120への転送不要に設定すれば、図3に示す310、311のプロセスを省略できるため、一時証明書や一時アカウントの発行処理への移行を迅速に行うことが可能となり、ユーザの利便性を向上させることができる。
【0044】
また、図3に示したイントラネット120上の認証サーバ121にアカウントを持たないクライアント端末114がアクセスポイント100との間に無線通信による接続を確立しようとする際の認証処理プロセスでは、クライアント端末からユーザID付きのEAP−Responseが複数回発生する(303、305)。そこで、1回目のEAP−Response(303)はイントラネット120上の認証サーバ121へ転送し、それ以降のEAP−Response(305)はアクセスポイント100内の認証サーバ機能部102へ確実に転送する必要がある。この転送を正しく実現するために、無線通信回路部101では、あるクライアント端末のイントラネット120上の認証サーバ121による認証可否の履歴又はあるクライアント端末への一時証明書や一時アカウントの発行有無の履歴から転送先を決定すれば良い。
【0045】
つまり、あるクライアント端末のイントラネット120上の認証サーバ121による認証可否の履歴による判定を行う場合は、イントラネット120上の認証サーバ121による認証履歴が無いか、或いは認証に成功したクライアント端末については、常にイントラネット120上の認証サーバ121へEAP−Responseの転送を行い、またイントラネット120上の認証サーバ121による認証に失敗したクライアント端末については、常にアクセスポイント100内の認証サーバ機能部102へEAP−Responseの転送を行う。
【0046】
また、任意のクライアント端末への一時証明書や一時アカウントの発行有無の履歴による転送先判定は、任意のクライアント端末に対してアクセスポイント100内の認証サーバ機能部102や証明書サーバ機能部103による一時証明書や一時アカウントの発行履歴が無い場合はイントラネット120上の認証サーバ121へEAP−Responseの転送を行い、一時証明書や一時アカウントの発行履歴がある場合はアクセスポイント100内の認証サーバ機能部102へEAP−Responseの転送を行う。
【0047】
このようにして、クライアント端末から送信されるユーザID付きのEAP−Responseの転送先を決定することにより、動的にWEPキーを変更する際に繰り返されるユーザID付きのEAP−Responseを、そのクライアント端末を認証した認証サーバ(イントラネット120上の認証サーバ102、或いはアクセスポイント100内の認証サーバ機能部121)へ確実に転送することができ、ネットワーク接続の一時切断等の不具合を防止することができる。
【0048】
また、本実施形態で説明したアクセスポイント100を中心として構築されるPANは、恒久的に存在するものではなく、テンポラリに構築されるものである。従って、アクセスポイント100内の認証サーバ機能部102や証明書サーバ機能部103によって発行された一時証明書や一時アカウントは、恒久的に有効なものであってはならない。このため、これらの一時証明書や一時アカウントは、PAN構築期間が終了したら速やかに無効化する必要がある。この無効化のための方法としては、以下のものが考えられる。
【0049】
第1の方法は、アクセスポイント100に対して、会議の終了通知やスイッチ操作等のトリガが与えられた際に、それまで有効であった一時証明書や一時アカウントをアクセスポイント100側で破棄する方法である。
【0050】
第2の方法は、PAN構築時にユーザによってアクセスポイント100へ入力されたPAN構築予定時間が終了した場合に、それまで有効であった一時証明書や一時アカウントをアクセスポイント100側で破棄する方法である。
【0051】
第3の方法は、PAN構築時から一定時間(数時間が好ましい)が経過した後、無条件にそれまで有効であった一時証明書や一時アカウントをアクセスポイント100側で破棄する方法である。
【0052】
第4の方法は、アクセスポイント100から一時証明書や一時アカウントを発行する際に、ユーザによってアクセスポイント100へ入力されたPAN構築予定時間か、ある一定時間(数時間が好ましい)の有効期限情報(日付や時間情報)を一時証明書や一時アカウント内に設定しておき、認証毎に、その有効期限情報をチェックし、有効期限が経過した後は失効し、アクセスポイント100の認証サーバ機能部102や証明書サーバ機能部103が新たな一時証明書や一時アカウントを再発行しない限り、ネットワーク接続を不可能とする方法である。これらの接続時間制限は、セキュリティの上から有効である。
【0053】
以上説明したように、本実施形態によれば、イントラネット上の認証サーバに正規のアカウントを持つユーザや、認証サーバで有効な証明書を有するユーザを1回の認証処理でイントラネットとテンポラリに構築されるPAN(Personal Area Network)へセキュアに無線接続することができる。また、認証サーバにアカウントを持たない部外者等に対しても、テンポラリに構築されるPANへのセキュアな無線接続を実現することができる。このような無線接続構築のニーズは、会議等でテンポラリに安全なネットワークを構築したい場合等に最適である。
【0054】
尚、本発明は複数の機器(例えば、ホストコンピュータ,インターフェース機器,リーダ,プリンタなど)から構成されるシステムに適用しても、1つの機器からなる装置(例えば、複写機,ファクシミリ装置など)に適用しても良い。
【0055】
また、本発明の目的は前述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記録媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(CPU若しくはMPU)が記録媒体に格納されたプログラムコードを読出し実行することによっても、達成されることは言うまでもない。
【0056】
この場合、記録媒体から読出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコードを記憶した記録媒体は本発明を構成することになる。
【0057】
このプログラムコードを供給するための記録媒体としては、例えばフロッピー(登録商標)ディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,磁気テープ,不揮発性のメモリカード,ROMなどを用いることができる。
【0058】
また、コンピュータが読出したプログラムコードを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0059】
更に、記録媒体から読出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部又は全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0060】
【発明の効果】
以上説明したように、本発明によれば、基幹ネットワーク側に設けられた正規の認証サーバにアカウントを有するユーザを一回の認証処理で、小規模なネットワークへの接続を許可することにより、ユーザの利便性を向上させることが可能となる。
【図面の簡単な説明】
【図1】本実施形態における無線ネットワークシステムの構成を示す図である。
【図2】クライアント端末113がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。
【図3】クライアント端末114がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。
【図4】一時証明書又は一時アカウントの作成配布処理を示すフローチャートである。
【符号の説明】
100 アクセスポイント
101 無線通信回路部
102 認証サーバ
103 証明書サーバ
104 表示部
110 無線通信手段
111 PDA(Personal Digital Assistants)
112 PDA(Personal Digital Assistants)
113 ノート型パソコン
114 ノート型パソコン
120 基幹ネットワーク(イントラネット)
121 認証サーバ
122 証明書サーバ[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an authentication method of a wireless connection device used when a PAN (Personal Area Network), which is a small-scale LAN environment, is securely constructed by a terminal having a wireless communication function such as a wireless LAN or Bluetooth.
[0002]
[Prior art]
Conventionally, in a wireless LAN or Bluetooth, there is a problem that it is difficult to limit a communication destination because radio waves are used as a communication medium. For this reason, in these standards, protection measures are taken to change the encryption key for each communication destination so that even if a packet is peeped, it cannot be decrypted.
[0003]
At present, the most common encryption method for wireless communication is encryption using a WEP key (40 bits, 128 bits) in the case of the IEEE 802.11 (hereinafter, “802.11”) method, and Pin in the case of the Bluetooth method. This is encryption using a 128-bit encryption key automatically generated from the code. However, it has been pointed out that these encryption schemes are also vulnerable. In the 802.11 scheme, 802.1x-based authentication was performed as an encryption scheme for further enhancing the security of wireless communication. More advanced encryption methods such as dynamic WEP key conversion (EAP), TKIP, and AES above, and the Bluetooth method, such as authentication / encryption methods in the upper application layer based on 802.1x, have been studied. It has been implemented. Among them, an authentication / encryption unit called an EAP (Extensible Authentication Protocol) system based on 802.1x is standardly mounted as an authentication / encryption unit for the 802.11 system in some OS environments. I have.
[0004]
In the EAP method in the wireless LAN (802.11), when a client terminal makes a network connection request, it uses an access point, which is a wireless connection device, to use a partial TCP / IP port on an intranet or the Internet. Data communication is performed with the provided authentication server (such as a RADIUS server), and a request for a certificate or a challenge from the authentication server to the client terminal is performed. The client terminal performs proof of possession of the certificate or returns an account name and password in response to the challenge, and if they match the data in the authentication server, the authentication server permits the client terminal to connect to the network and establishes a wireless connection. A 128-bit encryption key or an encryption key generation parameter for encrypting communication is returned to the access point and the client terminal.
[0005]
When the client terminal passes the authentication by the authentication server through such a process, the subsequent wireless communication is encrypted by using the 128-bit encryption key as the WEP key between the client terminal and the access point. You. Further, such a process is periodically performed at regular intervals to update the encryption key.
[0006]
In the Bluetooth system, it is recommended to use 802.1x authentication / encryption means for improving security in a PAN (Personal Area Network) profile which is a small LAN environment constructed by terminals having a wireless communication function. Have been. In the case of Bluetooth, a key for encrypting radio waves as a wireless medium is automatically generated by mutual authentication using a PIN code between devices performing communication in the Bluetooth system, so that the encryption key received from the authentication server is generated. Although the information cannot be used as an encryption key for the radio wave itself such as a WEP key used in a wireless LAN, it can be used as a key for encrypting a packet before generating a radio wave as a wireless medium. , It is possible to improve the security of communication by double encryption.
[0007]
In the above-described 802.1x-based authentication / encryption process, an authentication server for performing authentication exists in a network such as an intranet, and the authentication server centrally manages the account of the client terminal. For this reason, if the 802.1x method is used, no matter where the client terminal is located, if TCP / IP communication with the authentication server can be performed, use the same account and password to connect to a backbone network such as an intranet. Can be.
[0008]
[Problems to be solved by the invention]
As described above, the client terminal can realize a secure network connection using wireless communication by using the above-described authentication / encryption process based on the 802.1x method. However, in order to do so, it is necessary that an authentication server is installed in the network, and an account of the client terminal is registered in the authentication server in advance. In other words, the 802.1x system is a system assuming operation on a backbone network such as a relatively large intranet, and client terminals for wireless network connection are limited to members having an account on the authentication server. There was a restriction such as.
[0009]
Therefore, when a meeting in which a visitor who does not have an account on the authentication server participates or a meeting is performed in a conference room outside the company where there is no means for connecting to a backbone network such as an intranet, authentication using the 802.1x method is performed. -There was a problem that a secure network could not be constructed by wireless communication using the encryption process.
[0010]
In this case, wireless communication can be realized without performing authentication / encryption, but there is a major problem in terms of security.
[0011]
If parameters for wireless communication are set manually, wireless communication can be encrypted. However, the client terminal is required to input an account and password of an 802.1x system normally used on a backbone network such as an intranet. Automatic connection requires a completely different means of connection to be made manually. Further, in the manual setting of the wireless communication parameters, it is impossible to automatically change the encryption key at regular intervals, so that the security is impaired.
[0012]
In order to eliminate the above-mentioned problems, a dedicated authentication server compatible with the 802.1x method may be provided for members configuring the PAN, and the PAN constituent may be centrally managed on the authentication server. However, in such a case, even a user who has an account on a legitimate authentication server existing on the backbone network such as an intranet is authenticated by an authentication server dedicated to PAN construction. For the access to the backbone network, there are disadvantages such as the necessity of the authentication work again or the failure of the access to the intranet.
[0013]
The present invention has been made in order to solve the above-mentioned problem, and a user having an account on a legitimate authentication server provided on a backbone network can perform a single authentication process to both a backbone network and a small network. The purpose is to allow the connection.
[0014]
Another object of the present invention is to prohibit a user who has not been authenticated by an authorized authentication server provided on the backbone network from accessing the backbone network.
[0015]
A further object of the present invention is to allow a user who has not been authenticated by an authorized authentication server provided on the backbone network to access only a small network.
[0016]
A further object of the present invention is to provide a method for determining whether or not authentication can be performed by a legitimate authentication server provided on the backbone network.
[0017]
A further object of the present invention is to speed up a client connection process when using an access point in a state where there is no backbone network or when using an access point in an environment where there is no authentication server on the backbone network. It is.
[0018]
A further object of the present invention is to make an account or certificate issued by an access point to a client valid only during a period such as a conference, and thereafter invalidate the certificate or certificate to prevent occurrence of an unauthorized account of a non-conference participant. That is.
[0019]
A further object of the present invention is to prevent a client receiving a temporary account or certificate from an access point from suffering a problem such as a temporary disconnection of a network when performing re-authentication.
[0020]
[Means for Solving the Problems]
To achieve the above object, the present invention provides a method of authenticating a wireless connection device connected to a backbone network and connected to a wireless terminal device by wireless communication, comprising: receiving an authentication request by wireless communication from the wireless terminal device. Transferring the received authentication request to the backbone network, and performing a temporary authentication process for the wireless terminal device when the authentication process for the authentication request fails in the backbone network.
[0021]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[0022]
FIG. 1 is a diagram illustrating a configuration of a wireless network system according to the present embodiment. In FIG. 1, reference numeral 100 denotes an access point according to the present embodiment, which constructs a secure network by wireless communication means such as IEEE802.11 or Bluetooth. In the access point 100, a wireless communication circuit unit 101 performs wireless communication with a client terminal described later by wireless communication means. Reference numeral 102 denotes an authentication server function unit, which performs authentication processing of a client terminal in place of an authentication server on an intranet described later. Reference numeral 103 denotes a certificate server function unit, which issues a certificate to the client terminal authenticated by the authentication server function unit 102. A display unit 104 displays a message for temporary authentication from the access point 100.
[0023]
Reference numeral 110 denotes a wireless medium, which is a wireless communication unit using radio waves such as 802.11 and Bluetooth. 111 and 112 are PDA (Personal Digital Assistants), which are connected to the access point 100 wirelessly. Reference numerals 113 and 114 denote notebook personal computers (PCs), which are wirelessly connected to the access point 100. Reference numeral 120 denotes a backbone network (hereinafter, referred to as “intranet”) such as an intranet or the Internet connected to the access point 100. Reference numeral 121 denotes an authentication server provided on the intranet 120, and performs an authentication process in response to an authentication request from a client terminal. Reference numeral 122 denotes a certificate server provided on the intranet 120. In this embodiment, the PDAs 111 and 112 and the notebook computers 113 and 114 connected to the access point 100 via the wireless communication unit 110 are referred to as “client terminals”.
[0024]
Here, in order to facilitate the following description, the client terminal 113 has a certificate issued by the certificate server 122 on the intranet 120 or has an account on the authentication server 121 on the intranet 120. Suppose that Similarly, assume that client terminal 114 is a client terminal that does not own the certificate issued by certificate server 122 on intranet 120 and does not have an account with authentication server 121 on intranet 120. .
[0025]
FIG. 2 is a transition diagram showing an authentication process when the client terminal 113 establishes a connection with the access point 100 by wireless communication. As shown in FIG. 2, the client terminal 113 starts an EAP authentication process (201 to 207) after performing a series of exchanges of the 802.11 association (200) with the wireless communication circuit unit 101 of the access point 100. First, the client terminal 113 declares that the EAP authentication is to be performed to the wireless communication circuit unit 101 (201), and in response to this declaration, the wireless communication circuit unit 101 requests the identification (202) for the EAP authentication. Is transmitted to the client terminal 113. In response, the client terminal 113 transmits an EAP-Response (203) with a user ID to the wireless communication circuit unit 101. Then, the wireless communication circuit unit 101 transfers the received packet to the authentication server 121 existing on the intranet 120 (210).
[0026]
As a result, the authentication server 121 responds to the authentication request (210) from the client terminal 113, and a user corresponding to the user ID attached to the authentication request (210) is registered in the database in the authentication server 121. Search for If the corresponding user has been registered, a challenge (211 and 204) for authentication is transmitted to the client terminal 113 via the wireless communication circuit unit 101. Upon receiving the challenge (204), the client terminal 113 returns an answer (generally, the content of a password or a certificate) corresponding to the challenge to the authentication server 121 on the intranet 120 via the wireless communication circuit unit 101 ( 205, 212). Then, the authentication server 121 examines the content of the challenge response (212) returned from the client terminal 113, and if it matches the authentication data recorded in its own database, passes the authentication OK via the wireless communication circuit unit 101. Is transmitted to the client terminal 113 (213, 206). Here, when changing the wireless communication encryption key such as the WEP key, the wireless communication circuit unit 101 transmits the wireless communication encryption key information (207) to the client terminal 113.
[0027]
After the above-described EAP authentication process (201 to 207) is completed, the client terminal 113 is permitted to access the intranet 120 via the access point 100. At this time, for the client terminal 113 authenticated by the authentication server 121 on the intranet 120, not only the intranet 120 but also other client terminals 111, 112, 114 connected via the access point 100 are sent. It goes without saying that PAN access is also permitted. When the WEP key is dynamically changed, the wireless communication circuit unit 101 periodically transmits an identification request (202) for the EAP authentication to the client terminal 113 after the above-described process is completed. . Then, the process of re-authentication and the transmission of the wireless communication encryption key information related to the new WEP key (202 to 207) similar to the above-described process are repeatedly executed, thereby realizing the dynamic change of the WEP key.
[0028]
The above-described authentication process is no different from a general EAP authentication implementation process. That is, in the present embodiment, the same operation as the normal EAP authentication is performed for the client terminal 113 having an account in the authentication server 121 on the intranet 120 side. On the other hand, in the case of the client terminal 114 that does not own the certificate issued by the certificate server 122 on the intranet 120 and does not have an account on the authentication server 121 on the intranet 120, a general EAP Performs an operation different from the authentication process.
[0029]
FIG. 3 is a transition diagram illustrating an authentication process when the client terminal 114 establishes a connection with the access point 100 by wireless communication. As shown in FIG. 3, the client terminal 114 also starts an EAP authentication process (301 to 309) after performing a series of exchanges of the 802.11 association (300) with the wireless communication circuit unit 101 of the access point 100. First, the client terminal 114 declares that EAP authentication is to be performed to the wireless communication circuit unit 101 (301), and in response to this declaration, the wireless communication circuit unit 101 requests an identification certificate for EAP authentication (302). Is transmitted to the client terminal 114. In response, the client terminal 114 transmits an EAP-Response (303) with a user ID to the wireless communication circuit unit 101. Then, the wireless communication circuit unit 101 transfers the received packet to the authentication server 121 existing on the intranet 120 (310). The processing so far is exactly the same as the above-described general EAP authentication process.
[0030]
Here, the above-described authentication server 121 responds to the authentication request (310) from the client terminal 114, and registers a user corresponding to the user ID attached to the authentication request (310) in the database in the authentication server 121. Whether or not the authentication has been performed is searched, but the corresponding user is not registered, and thus an authentication rejection response (311) is transmitted to the wireless communication circuit unit 101. Then, upon receiving the authentication rejection response (311), the wireless communication circuit unit 101 does not transfer the authentication rejection response performed in the general EAP authentication process to the client terminal 114, and the authentication server provided in the access point 100. The function unit 102 and the certificate server function unit 103 create a new temporary certificate or temporary account for the client terminal 114 and transmit the created temporary certificate or information necessary for the authentication process to the client terminal 114 by wireless communication means. Distribute using 110.
[0031]
FIG. 4 is a flowchart showing a process for creating and distributing a temporary certificate or a temporary account. First, in step S401, when the authentication is rejected by the authentication server 121 on the intranet 120, the process proceeds to step S402, and the client terminal 114 may be an unauthorized user who does not have PAN participation qualification. Before issuing a temporary certificate or a temporary account in the authentication server function unit 102 or the certificate server function unit 103, the personal information of the client terminal owner is displayed in a list on the display unit 104 of the access point 100. Then, in step S403, the PAN administrator manually inputs whether or not to participate in PAN. Specifically, the PAN administrator looks at the personal information displayed on the display unit 104 of the access point 100 and updates or deletes the PAN participants, and then the PAN participant list becomes appropriate. Then, approve the list.
[0032]
Next, in step S404, as a result of the approval, it is determined whether or not the client has the PAN participation qualification. If the client has the PAN participation qualification, the process proceeds to step S405. Is issued, the authentication server function unit 102 creates a temporary account in step S406, distributes the certificate, temporary account, and temporary password information to the client in step S407, and uses the EAP based on the temporary authentication information distributed in step S408. Send an identification request to the client for authentication. If it is determined in step S404 that the client is not a legitimate client such as an unauthorized participant, the process proceeds to step S409, where the authentication rejection is transferred to the client terminal 114, and the PAN connection is not permitted.
[0033]
In the issuance and distribution processing of the temporary certificate and the temporary account in the access point 100 (S405 to S408), EAP-MD5 or the like that uses only the temporary account and the temporary password without using the temporary certificate for EAP authentication is used. In this case, it goes without saying that the temporary certificate issuing process (S405) can be omitted.
[0034]
Here, returning to FIG. 3, after the distribution is completed, the wireless communication circuit unit 101 retransmits an identification request (304) for EAP authentication to the client terminal 114. In response, the client terminal 114 generates an EAP-Response (305) with a user ID using a temporary certificate or a temporary account newly distributed to the authentication server function unit 102 via the wireless communication circuit unit 101. Send. In response, the wireless communication circuit unit 101 transfers the received packet to the authentication server function unit 102 built in the access point 100 instead of the authentication server 121 existing on the intranet 120 (312).
[0035]
As a result, the authentication server function unit 102 in the access point 100 responds to the authentication request (312) from the client terminal 114, and sends the user attached to the database in the authentication server function unit 102 to the authentication request (312). A search is performed to determine whether a user corresponding to the ID has been registered. Since this user ID is registered in the database in the authentication server function unit 102 when the above-mentioned temporary certificate or temporary account is created, the authentication server function unit 102 in the access point 100 passes through the wireless communication circuit unit 101 Then, a challenge (313, 306) for authentication is transmitted to the client terminal 114. Upon receiving the challenge (306), the client terminal 114 sends the response (the content of the temporary password and the temporary certificate distributed in advance and the processed one) corresponding to the challenge via the wireless communication circuit unit 101. To the authentication server function unit 102 in the access point 100 (307, 314). Then, the authentication server function unit 102 examines the content of the challenge response (314) returned from the client terminal 114.
[0036]
Since this challenge response is derived from the information registered in the database in the authentication server function unit 102 when the temporary certificate or the temporary account is created, the authentication server function unit 102 in the access point 100 determines that the authentication is OK (315 ) Is transmitted to the client terminal 114 via the wireless communication circuit unit 101. Here, when changing the wireless communication encryption key such as the WEP key, the wireless communication circuit unit 101 transmits wireless communication encryption key information (309) to the client terminal 114.
[0037]
After the above-described EAP authentication process (301 to 309) is completed, the client terminal 114 is also permitted to make a PAN connection to other client terminals 111, 112, and 113 connected via the access point 100 excluding the intranet 120. You. When the WEP key is dynamically changed, the wireless communication circuit unit 101 periodically transmits an identification request (304) for EAP authentication to the client terminal 114 after the above process is once completed. . Then, the process of re-authentication and the transmission of the wireless communication encryption key information relating to the new WEP key (304 to 309), which are the same as the above-described processes, are repeatedly executed to realize the dynamic change of the WEP key.
[0038]
The determination of whether or not the authentication is possible by the authentication server 121 on the intranet 120 in the flowchart shown in FIG. 4 (S401) is based on the timeout or the presence or absence of the authentication rejection packet. In the timeout determination, the client terminal 114 transmits an EAP-Response (303) with a user ID to the authentication server 121 via the wireless communication circuit unit 101 of the access point 100, and receives the EAP-Response (303) with the user ID. After forwarding the received packet to the authentication server 121 existing on the intranet 120, if no response to the packet is made within the timeout period set in the access point 100 in advance, it is determined that a timeout has occurred, and the subsequent processing is performed. (S402 and subsequent steps). This is effective determination processing when the authentication server 121 does not exist on the intranet 120.
[0039]
The determination based on the presence or absence of the authentication rejection packet is performed by monitoring the authentication rejection response (311) illustrated in FIG. 3 by the wireless communication circuit unit 101, and determining whether the authentication is possible by the authentication server 121 on the intranet 120 based on the presence or absence of the packet. This is because when the client terminal 114 transmits the EAP-Response (303) with the user ID to the intranet 120 in which the authentication server 121 having no account exists, there is no needless waiting time due to timeout or the like. This is an effective determination process in terms of making
[0040]
Therefore, in order for the wireless communication circuit unit 101 of the access point 100 to efficiently and automatically determine whether or not the authentication is possible by the authentication server 121 on the intranet 120, the above-described determination method is combined and the “authentication reject packet is issued. Or, if there is no response within the timeout period, it is determined that authentication is not possible. "
[0041]
Further, since the access point 100 in the present embodiment may be used by carrying it, it is assumed that the installation status of the access point 100 changes frequently. That is, it is conceivable that the access point 100 is used by being connected to the intranet 120 or is used without the intranet 120.
[0042]
In this way, a switch is provided on the access point 100 and the switch transmits a message from the client terminal to the authentication server 121 via the wireless communication circuit unit 101 in case the presence or absence of the intranet 120 is known in advance. It may be possible to set whether to transfer the EAP-Response (210, 310) with the user ID to the intranet 120.
[0043]
This switch may be either a physical switch or a soft switch. By providing such a switch, when the access point 100 is used in an environment where it is known in advance that the intranet 120 does not exist, if this switch is set to be unnecessary to transfer to the intranet 120, the configuration shown in FIG. Since the processes 310 and 311 can be omitted, it is possible to promptly shift to the process of issuing a temporary certificate or a temporary account, thereby improving user convenience.
[0044]
In the authentication process when the client terminal 114 having no account in the authentication server 121 on the intranet 120 shown in FIG. 3 tries to establish a connection with the access point 100 by wireless communication, the client terminal 114 EAP-Response with ID occurs multiple times (303, 305). Therefore, it is necessary to transfer the first EAP-Response (303) to the authentication server 121 on the intranet 120 and transfer the subsequent EAP-Response (305) to the authentication server function unit 102 in the access point 100 without fail. is there. In order to correctly realize this transfer, the wireless communication circuit unit 101 uses a history of whether or not authentication is possible by the authentication server 121 on the intranet 120 of a certain client terminal, or a history of whether a temporary certificate or a temporary account is issued to a certain client terminal. What is necessary is just to determine a transfer destination.
[0045]
In other words, when a determination is made based on the history of whether or not a certain client terminal can be authenticated by the authentication server 121 on the intranet 120, if there is no authentication history by the authentication server 121 on the intranet 120 or the client terminal that has been successfully authenticated, The EAP-Response is transferred to the authentication server 121 on the intranet 120, and the client terminal that has failed the authentication by the authentication server 121 on the intranet 120 always sends the EAP-Response to the authentication server function unit 102 in the access point 100. Perform a transfer.
[0046]
The transfer destination determination based on the history of whether a temporary certificate or a temporary account has been issued to any client terminal is determined by the authentication server function unit 102 and the certificate server function unit 103 in the access point 100 for the arbitrary client terminal. If there is no temporary certificate or temporary account issuance history, the EAP-Response is transferred to the authentication server 121 on the intranet 120. If there is a temporary certificate or temporary account issuance history, the authentication server function in the access point 100 is performed. The EAP-Response is transferred to the unit 102.
[0047]
In this way, by determining the transfer destination of the EAP-Response with the user ID transmitted from the client terminal, the EAP-Response with the user ID that is repeated when dynamically changing the WEP key can be transmitted to the client. The terminal can be reliably transferred to the authentication server that has authenticated the terminal (the authentication server 102 on the intranet 120 or the authentication server function unit 121 in the access point 100), and problems such as temporary disconnection of the network connection can be prevented. .
[0048]
In addition, the PAN constructed around the access point 100 described in the present embodiment does not exist permanently, but is constructed temporarily. Therefore, the temporary certificate and the temporary account issued by the authentication server function unit 102 and the certificate server function unit 103 in the access point 100 must not be permanently valid. Therefore, these temporary certificates and temporary accounts need to be invalidated immediately after the PAN construction period ends. The following can be considered as a method for this invalidation.
[0049]
According to the first method, when a notification such as a conference end notification or a switch operation is given to the access point 100, the temporary certificate and the temporary account that have been valid up to that point are discarded on the access point 100 side. Is the way.
[0050]
The second method is a method in which, when the scheduled PAN construction time input by the user to the access point 100 at the time of constructing the PAN expires, the temporary certificate and the temporary account that have been valid up to that time are destroyed on the access point 100 side. is there.
[0051]
The third method is a method in which, after a lapse of a predetermined time (preferably several hours) from the establishment of the PAN, the temporary certificate and the temporary account that have been valid up to that point are unconditionally discarded on the access point 100 side.
[0052]
In the fourth method, when a temporary certificate or a temporary account is issued from the access point 100, the PAN construction time input by the user to the access point 100 or the expiration date information of a certain time (preferably several hours) (Date and time information) is set in a temporary certificate or a temporary account, the expiration date information is checked for each authentication, the expiration date is expired after the expiration date, and the authentication server function unit of the access point 100 This is a method of making network connection impossible unless the new temporary certificate or temporary account is issued by the certificate server 102 or the certificate server function unit 103. These connection time restrictions are effective for security.
[0053]
As described above, according to the present embodiment, a user having a legitimate account on the authentication server on the intranet or a user having a valid certificate on the authentication server can be temporarily constructed with the intranet by a single authentication process. Wireless connection to a PAN (Personal Area Network). In addition, a secure wireless connection to a temporarily constructed PAN can be realized even for an outsider who does not have an account in the authentication server. Such a need for wireless connection construction is optimal when a temporary secure network is to be constructed at a conference or the like.
[0054]
Even if the present invention is applied to a system including a plurality of devices (for example, a host computer, an interface device, a reader, a printer, etc.), the present invention can be applied to an apparatus (for example, a copying machine, a facsimile device, etc.) including one device. May be applied.
[0055]
Further, an object of the present invention is to supply a recording medium in which a program code of software for realizing the functions of the above-described embodiments is recorded to a system or an apparatus, and a computer (CPU or MPU) of the system or apparatus stores the recording medium in the recording medium. Needless to say, this can also be achieved by reading and executing the program code thus read.
[0056]
In this case, the program code itself read from the recording medium realizes the functions of the above-described embodiment, and the recording medium storing the program code constitutes the present invention.
[0057]
As a recording medium for supplying the program code, for example, a floppy (registered trademark) disk, hard disk, optical disk, magneto-optical disk, CD-ROM, CD-R, magnetic tape, nonvolatile memory card, ROM, or the like is used. be able to.
[0058]
When the computer executes the readout program code, not only the functions of the above-described embodiments are realized, but also an OS (Operating System) running on the computer based on the instruction of the program code. It goes without saying that a case where some or all of the actual processing is performed and the functions of the above-described embodiments are realized by the processing is also included.
[0059]
Further, after the program code read from the recording medium is written into a memory provided in a function expansion board inserted into the computer or a function expansion unit connected to the computer, the function expansion is performed based on the instruction of the program code. It goes without saying that a CPU or the like provided in the board or the function expansion unit performs part or all of the actual processing, and the processing realizes the functions of the above-described embodiments.
[0060]
【The invention's effect】
As described above, according to the present invention, a user having an account on a legitimate authentication server provided on the backbone network is permitted to connect to a small-scale network in a single authentication process. Can be improved.
[Brief description of the drawings]
FIG. 1 is a diagram illustrating a configuration of a wireless network system according to an embodiment.
FIG. 2 is a transition diagram showing an authentication process when a client terminal 113 establishes a connection with an access point 100 by wireless communication.
FIG. 3 is a transition diagram illustrating an authentication process when the client terminal 114 establishes a connection with the access point 100 by wireless communication.
FIG. 4 is a flowchart illustrating a process for creating and distributing a temporary certificate or a temporary account.
[Explanation of symbols]
100 access points
101 wireless communication circuit
102 Authentication server
103 Certificate Server
104 Display
110 wireless communication means
111 PDA (Personal Digital Assistants)
112 PDA (Personal Digital Assistants)
113 Notebook PC
114 Notebook PC
120 backbone network (intranet)
121 Authentication server
122 Certificate Server

Claims (1)

基幹ネットワークに接続され、無線通信により無線端末装置と接続する無線接続装置の認証方法であって、
無線端末装置から無線通信による認証要求を受信する工程と、
受信した認証要求を基幹ネットワークへ転送し、該認証要求に対する認証処理が基幹ネットワークで失敗した場合に、前記無線端末装置に対する一時的な認証処理を行う工程とを有することを特徴とする無線接続装置の認証方法。An authentication method for a wireless connection device connected to a backbone network and connected to a wireless terminal device by wireless communication,
Receiving an authentication request by wireless communication from the wireless terminal device;
Transferring the received authentication request to the backbone network, and performing a temporary authentication process on the wireless terminal device when the authentication process for the authentication request fails in the backbone network. Authentication method.
JP2003098038A 2003-04-01 2003-04-01 Wireless connection device authentication method and wireless connection device Expired - Fee Related JP4018584B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003098038A JP4018584B2 (en) 2003-04-01 2003-04-01 Wireless connection device authentication method and wireless connection device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003098038A JP4018584B2 (en) 2003-04-01 2003-04-01 Wireless connection device authentication method and wireless connection device

Publications (3)

Publication Number Publication Date
JP2004304710A true JP2004304710A (en) 2004-10-28
JP2004304710A5 JP2004304710A5 (en) 2006-06-01
JP4018584B2 JP4018584B2 (en) 2007-12-05

Family

ID=33409673

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003098038A Expired - Fee Related JP4018584B2 (en) 2003-04-01 2003-04-01 Wireless connection device authentication method and wireless connection device

Country Status (1)

Country Link
JP (1) JP4018584B2 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006186968A (en) * 2004-12-01 2006-07-13 Canon Inc Wireless control apparatus, system, control method, and program
JP2006217327A (en) * 2005-02-04 2006-08-17 Kddi Corp Radio communications device and communication system
WO2007112692A1 (en) * 2006-04-04 2007-10-11 Huawei Technologies Co., Ltd. A communication method in the user network and a system thereof
JP2014526726A (en) * 2011-09-09 2014-10-06 インテル コーポレイション Mobile device and method for secure online sign-up and provision for WI-FI hotspots using SOAP-XML technology
US9258706B2 (en) 2010-09-15 2016-02-09 Intel Corporation Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using SOAP-XML techniques
JP6152962B1 (en) * 2016-12-15 2017-06-28 株式会社タウンWiFi Terminal device, connection method, connection program, authentication support server, authentication support method, authentication support program, and authentication support system
US20180102905A1 (en) * 2014-12-15 2018-04-12 Amazon Technologies, Inc. Short-duration digital certificate issuance based on long-duration digital certificate validation

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006186968A (en) * 2004-12-01 2006-07-13 Canon Inc Wireless control apparatus, system, control method, and program
JP2006217327A (en) * 2005-02-04 2006-08-17 Kddi Corp Radio communications device and communication system
WO2007112692A1 (en) * 2006-04-04 2007-10-11 Huawei Technologies Co., Ltd. A communication method in the user network and a system thereof
KR101076332B1 (en) 2006-04-04 2011-10-26 후아웨이 테크놀러지 컴퍼니 리미티드 Method and system for communication in user network
US9258706B2 (en) 2010-09-15 2016-02-09 Intel Corporation Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using SOAP-XML techniques
US9628990B2 (en) 2011-09-09 2017-04-18 Intel Corporation Mobile device and method for secure on-line sign-up and provisioning for Wi-Fi hotspots using SOAP-XML techniques
JP2014526726A (en) * 2011-09-09 2014-10-06 インテル コーポレイション Mobile device and method for secure online sign-up and provision for WI-FI hotspots using SOAP-XML technology
US20180102905A1 (en) * 2014-12-15 2018-04-12 Amazon Technologies, Inc. Short-duration digital certificate issuance based on long-duration digital certificate validation
US11575522B2 (en) * 2014-12-15 2023-02-07 Amazon Technologies, Inc. Short-duration digital certificate issuance based on long-duration digital certificate validation
US11936797B1 (en) 2014-12-15 2024-03-19 Amazon Technologies, Inc. Short-duration digital certificate issuance based on long-duration digital certificate validation
JP6152962B1 (en) * 2016-12-15 2017-06-28 株式会社タウンWiFi Terminal device, connection method, connection program, authentication support server, authentication support method, authentication support program, and authentication support system
WO2018109962A1 (en) * 2016-12-15 2018-06-21 株式会社タウンWiFi Terminal device, connection method, connection program, and authentication assist system
JP2018098695A (en) * 2016-12-15 2018-06-21 株式会社タウンWiFi Terminal device, connection method, connection program, authentication support server, authentication support method, authentication support program and authentication support system
US10524128B2 (en) 2016-12-15 2019-12-31 Townwifi Inc. Terminal device, connection method, connection program, and authentication assist system

Also Published As

Publication number Publication date
JP4018584B2 (en) 2007-12-05

Similar Documents

Publication Publication Date Title
JP3961462B2 (en) Computer apparatus, wireless LAN system, profile updating method, and program
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
JP4746333B2 (en) Efficient and secure authentication of computing systems
JP4599852B2 (en) Data communication apparatus and method, and program
JP4551202B2 (en) Ad hoc network authentication method and wireless communication terminal thereof
US7809354B2 (en) Detecting address spoofing in wireless network environments
JP4777729B2 (en) Setting information distribution apparatus, method, program, and medium
JP4808348B2 (en) Arrangements and methods in communication networks
US20080263647A1 (en) System and Method For Providing Network Device Authentication
JP4770423B2 (en) Information management method for digital certificate, communication partner authentication method, information processing apparatus, MFP, and computer program
JP2004072682A (en) Radio connection method, radio connection system and access point apparatus
WO2005004385A1 (en) Radio communication authentication program and radio communication program
US7975293B2 (en) Authentication system, authentication method and terminal device
CN101542965A (en) Authentication delegation based on re-verification of cryptographic evidence
JP2003500923A (en) Method, computer program and device for initializing secure communication and exclusively pairing devices
WO2007128134A1 (en) Secure wireless guest access
KR100523058B1 (en) Apparatus and Method of Dynamic Group Key Management in Wireless Local Area Network System
JP4536051B2 (en) Authentication system, authentication method, authentication server, wireless LAN terminal, and program for authenticating wireless LAN terminal
JP2003338814A (en) Communication system, administrative server, control method therefor and program
JP4018584B2 (en) Wireless connection device authentication method and wireless connection device
JP2009277024A (en) Connection control method, communication system and terminal
JP4574122B2 (en) Base station and control method thereof
JP4499575B2 (en) Network security method and network security system
JP2001111538A (en) Communication system, method therefor, communication equipment and ic card
JP5545433B2 (en) Portable electronic device and operation control method for portable electronic device

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060331

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060331

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070618

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070622

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070815

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070907

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070920

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100928

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100928

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110928

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110928

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120928

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120928

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130928

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees