JP2006345150A - Terminal device and authentication device - Google Patents
Terminal device and authentication device Download PDFInfo
- Publication number
- JP2006345150A JP2006345150A JP2005168051A JP2005168051A JP2006345150A JP 2006345150 A JP2006345150 A JP 2006345150A JP 2005168051 A JP2005168051 A JP 2005168051A JP 2005168051 A JP2005168051 A JP 2005168051A JP 2006345150 A JP2006345150 A JP 2006345150A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- wireless lan
- connection information
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003860 storage Methods 0.000 claims description 109
- 238000004891 communication Methods 0.000 claims description 61
- 238000012795 verification Methods 0.000 claims 1
- 238000012423 maintenance Methods 0.000 description 70
- 238000000034 method Methods 0.000 description 44
- 238000010586 diagram Methods 0.000 description 20
- 238000009826 distribution Methods 0.000 description 14
- 238000013478 data encryption standard Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 239000000470 constituent Substances 0.000 description 8
- 230000008859 change Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000015654 memory Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、例えば、独立したネットワークへ接続する認証情報の更新に関する。 The present invention relates to updating of authentication information connected to an independent network, for example.
無線LAN(ローカルエリアネットワーク)システムにおいては、無線通信の傍受による情報の漏洩を防ぐ必要があるため、通信の暗号化が行われる。
更に通信の機密性を高めるため、通信の暗号化に用いる鍵(無線LAN暗号鍵)を定期的に自動生成し、有線接続により配信することによって更新することが行われる(例えば、特許文献1)。
Further, in order to further enhance the confidentiality of communication, a key (wireless LAN encryption key) used for communication encryption is automatically generated periodically and updated by distribution via wired connection (for example, Patent Document 1). .
特許文献1に記載の技術によれば、共通の無線LAN暗号鍵を設定すべき装置は、共通の有線LAN等に接続する必要がある。
しかし、物理的・論理的に独立したLANシステムが複数あり、これらに共通の無線LAN暗号鍵を設定する場合には、これらに接続した装置を共通の有線LANやインターネット等に接続することは難しい。
例えば、契約先に設置された装置の保守管理を行う業務において、現場に派遣される保守作業員が携帯する端末装置を保守対象装置と無線LANによって接続して保守作業を行う場合、保守対象装置が接続している無線LANはそれぞれ独立している。
一方、保守作業員はどの現場に派遣されるかわからないので、保守作業員が携帯する端末装置は、契約先の無線LANすべてに接続できる必要がある。そのため、それらの無線LANに設定された無線LAN暗号鍵は共通であることが望ましい。
しかし、無線LAN暗号鍵を設定するために、これらの無線LANシステムをインターネット等に接続することは、設置コストがかかり、安全性の低下を招く。
あるいは、無線LAN暗号鍵を設定すべき装置を、一時的に現場から取り外して持ち帰り、無線LAN暗号鍵設定用のLANに接続して、無線LAN暗号鍵を設定し、設定が終わったら、再び現場に戻すという方法も考えられるが、無線LAN暗号鍵を更新するたびにこの作業を行うことは、作業コストがかかる。
本発明は、例えば、上記のような課題を解決し、安全かつ容易に、独立したネットワークに接続する装置に対して、認証情報を設定できるようにすることを目的とする。
According to the technique described in
However, there are a plurality of physically and logically independent LAN systems, and when a common wireless LAN encryption key is set for them, it is difficult to connect devices connected to these to a common wired LAN, the Internet, or the like. .
For example, when performing maintenance work by connecting a terminal device carried by a maintenance worker dispatched to the site to a maintenance target device via a wireless LAN in a business of performing maintenance management of a device installed at a contractor, the maintenance target device Are connected to each other.
On the other hand, since the maintenance worker does not know where the worker is dispatched, the terminal device carried by the maintenance worker needs to be able to connect to all the wireless LANs of the contracted parties. Therefore, it is desirable that the wireless LAN encryption keys set for these wireless LANs are common.
However, connecting these wireless LAN systems to the Internet or the like in order to set a wireless LAN encryption key requires installation costs and causes a reduction in safety.
Alternatively, the device to which the wireless LAN encryption key is to be set is temporarily removed from the site and brought home, connected to the LAN for setting the wireless LAN encryption key, the wireless LAN encryption key is set, and when the setting is completed, the site is again Although a method of returning to the wireless LAN encryption key is also conceivable, it is expensive to perform this operation every time the wireless LAN encryption key is updated.
An object of the present invention is to solve the above-described problems and to set authentication information for a device connected to an independent network safely and easily.
本発明に係る端末装置は、
端末装置が通知した認証情報に基づいて上記端末装置を認証する認証装置に対し、上記認証情報を通知する端末装置において、
認証情報を複数記憶する端末記憶部と、
上記認証装置に対し、上記端末記憶部が記憶した認証情報を通知する端末通知部と、
上記認証装置が端末装置の認証に成功した場合に、上記端末通知部が通知した認証情報が、所定の認証情報であるか否かを判別する端末判別部と、
上記端末判別部が所定の認証情報でないと判別した場合に、上記認証装置に対して、認証情報の更新を要求する更新要求を通知する更新要求通知部と、
を有することを特徴とする。
The terminal device according to the present invention is
In the terminal device that notifies the authentication information to the authentication device that authenticates the terminal device based on the authentication information notified by the terminal device,
A terminal storage unit for storing a plurality of authentication information;
A terminal notification unit that notifies the authentication information stored in the terminal storage unit to the authentication device;
A terminal determination unit that determines whether the authentication information notified by the terminal notification unit is predetermined authentication information when the authentication device succeeds in authentication of the terminal device;
An update request notification unit for notifying the authentication device of an update request for requesting an update of authentication information when the terminal determination unit determines that the authentication information is not predetermined;
It is characterized by having.
本発明によれば、例えば、新たに生成された認証情報を認証装置が知らず、端末装置を古い認証情報によって認証した場合に、認証装置に対して認証情報の更新を要求するので、認証装置をインターネット等に接続することなく、安全かつ容易に認証情報を更新することができるとの効果を奏する。 According to the present invention, for example, when the authentication device does not know the newly generated authentication information and the terminal device is authenticated by the old authentication information, the authentication device is requested to update the authentication information. There is an effect that the authentication information can be updated safely and easily without being connected to the Internet or the like.
実施の形態1.
実施の形態1を図1〜図4を用いて説明する。
The first embodiment will be described with reference to FIGS.
図1は、この実施の形態における認証装置200及び管理装置300の外観の一例を示す図である。
図1において、認証装置200、管理装置300は、システムユニット910、CRT(Cathode Ray Tube)表示装置901、キーボード(K/B902)、マウス903、コンパクトディスク装置(CDD905)、プリンタ装置906、スキャナ装置907を備え、これらはケーブルで接続されている。
さらに、認証装置200、管理装置300は、FAX機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク(LAN942)に接続されている。
端末装置100は、携帯可能な装置である点を除けば、認証装置200及び管理装置300と同様の外観を有する。
FIG. 1 is a diagram showing an example of the external appearance of the authentication device 200 and the
In FIG. 1, an authentication device 200 and a
Further, the authentication device 200 and the
The terminal device 100 has the same appearance as the authentication device 200 and the
図2は、この実施の形態における端末装置100及び認証装置200及び管理装置300のハードウェア構成の一例を示す図である。
図2において、端末装置100及び認証装置200及び管理装置300は、プログラムを実行するCPU(Central Processing Unit)911を備えている。CPU911は、バス912を介してROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、CRT表示装置901、K/B902、マウス903、FDD(Flexible Disk Drive)904、磁気ディスク装置920、CDD905、プリンタ装置906、スキャナ装置907と接続されている。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915は、FAX機932、電話器931、LAN942等に接続されている。
例えば、通信ボード915、K/B902、スキャナ装置907、FDD904などは、入力部の一例である。
また、例えば、通信ボード915、CRT表示装置901などは、出力部の一例である。
FIG. 2 is a diagram illustrating an example of a hardware configuration of the terminal device 100, the authentication device 200, and the
2, the terminal device 100, the authentication device 200, and the
The
The
For example, the
Further, for example, the
磁気ディスク装置920には、オペレーティングシステム(OS)921、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923は、CPU911、OS921、ウィンドウシステム922により実行される。
The
上記プログラム群923には、以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明するものが、「〜ファイル」として記憶されている。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータの入出力を示し、そのデータの入出力のためにデータは、RAM914もしくは磁気ディスク装置920、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体に記録される。あるいは、信号線やその他の伝送媒体により伝送される。
The
In the
In addition, the arrow portion of the flowchart described in the description of the embodiment described below mainly indicates input / output of data, and for the input / output of the data, the data is the
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、ハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
In addition, what is described as “unit” in the description of the embodiment described below may be realized by firmware stored in the
また、以下に述べる実施の形態を実施するプログラムは、また、RAM914もしくは磁気ディスク装置920、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体による記録装置を用いて記憶されても構わない。
A program for implementing the embodiment described below also includes a
図3は、この実施の形態におけるシステムの全体構成の一例を示すシステム構成図である。 FIG. 3 is a system configuration diagram showing an example of the overall configuration of the system in this embodiment.
端末装置100a,bは携帯可能な装置である。端末装置100a,bを移動させることにより、社内LAN500、契約先LAN600a,bのいずれにも接続することができる。
端末装置100a,bが契約先LAN600a,bに接続するためには、認証装置200a,bによる認証に成功しなければならない。認証に失敗した場合には、接続が拒否される。
認証のため、端末装置100a,bは、認証装置200a,bに対して、認証情報を有する情報を通知する。
The
In order for the
For authentication, the
認証装置200a,bは、記憶した認証情報と、端末装置100a,bが通知した情報から取り出した認証情報とが一致した場合に、端末装置100a,bを認証し、契約先LAN600a,bへの接続を許可する。
The
契約先LAN600a,bへの接続を許可された端末装置100a,bは、契約先LAN600a,bに接続した保守対象装置400a,bに対する保守作業を行う。
The
管理装置300は認証情報を管理する。セキュリティのため、認証情報は定期的にあるいは不定期に更新される。管理装置300は、新しい認証情報を生成し、社内LAN500を介して、端末装置100a,bに通知する。
The
図4は、この実施の形態における端末装置100及び認証装置200及び管理装置300の機能ブロックの構成の一例を示すブロック図である。
FIG. 4 is a block diagram illustrating an example of functional block configurations of the terminal device 100, the authentication device 200, and the
管理装置300は、認証情報生成部311、管理記憶部312、管理通知部313、更新情報通知部314を有する。
The
認証情報生成部311は、新たな認証情報を生成する。例えば、一週間に一度あるいは一日に一度というようにタイマを設定し、定期的に新たな認証情報を生成することとしてもよいし、管理者がK/B902などの入力部から認証情報生成指令を入力すると、新たな認証情報を生成することとしてもよい。あるいは、端末装置が所定の回数、出動した場合に、新たな認証情報を生成することとしてもよい。
The authentication
管理記憶部312は、認証情報生成部311が生成した認証情報を記憶する。
管理記憶部312は、認証情報生成部311が生成した最新の認証情報だけでなく、以前に認証情報生成部311が生成した認証情報も記憶している。
しかし、そのすべてを記憶している必要はないので、記憶する認証情報の数を定め、その数を超える認証情報が生成された場合には、古いものから順に削除することとしてもよい。あるいは、生成日時に基づいて、生成してから所定の期間が経過したものを削除することとしてもよい。
また、管理記憶部312は、セキュリティ向上のため、認証情報を暗号化して記憶してもよい。
The management storage unit 312 stores the authentication information generated by the authentication
The management storage unit 312 stores not only the latest authentication information generated by the authentication
However, since it is not necessary to store all of them, the number of pieces of authentication information to be stored may be determined, and when authentication information exceeding the number is generated, the oldest one may be deleted in order. Or it is good also as deleting based on a production | generation date and time that the predetermined period passed since production | generation.
Further, the management storage unit 312 may encrypt and store the authentication information for improving security.
管理通知部313は、管理記憶部312が記憶した認証情報を端末装置100に対し、社内LAN500を介して通知する。なお、セキュリティ向上のため、認証情報を暗号化して通知することとしてもよい。
このとき、管理記憶部312が記憶した最新の認証情報だけでなく、以前から管理記憶部312が記憶していた認証情報もあわせて通知する。端末装置100が社内LAN500に接続する間隔によっては、前回、前々回などに生成した認証情報を端末装置100に通知していない可能性もあるからである。
あるいは、端末装置100が記憶しているなかで最新の認証情報の取得日時あるいは生成日時を通知させ、それよりも新しい認証情報だけを通知することとしてもよい。
管理通知部313は、通知した認証情報のうち、どの認証情報が最新のものであるかを判別するための情報もあわせて通知する。例えば、認証情報の生成日時などである。
The
At this time, not only the latest authentication information stored in the management storage unit 312 but also the authentication information stored in the management storage unit 312 is notified. This is because, depending on the interval at which the terminal device 100 is connected to the in-house LAN 500, there is a possibility that the terminal device 100 is not notified of the authentication information generated last time or the last time.
Or it is good also as notifying the acquisition date or generation date of the newest authentication information in the terminal device 100, and notifying only newer authentication information.
The
更新情報通知部314は、更新情報を端末装置100に対し、社内LAN500を介して通知する。
更新情報には、管理記憶部312が記憶した認証情報のうち、最新の認証情報が含まれている。また、更新情報には、その更新情報を生成したのが管理装置300であることを証明する情報が含まれており、端末装置100も含めた第三者による改変ができないようになっている。
例えば、管理装置300の公開鍵に対応する秘密鍵で暗号化すれば、第三者による改変が防止できる。あるいは、管理装置300の電子署名を含むこととしてもよい。
あるいは、管理装置300と認証装置200だけが知っている秘密の共通鍵によって暗号化すれば、第三者による改変を防止できるだけでなく、第三者による盗聴を防ぐこともできる。
The update
The update information includes the latest authentication information among the authentication information stored in the management storage unit 312. In addition, the update information includes information that proves that the update information is generated by the
For example, if encryption is performed using a secret key corresponding to the public key of the
Alternatively, if encryption is performed using a secret common key that only the
管理通知部313及び更新情報通知部314は、端末装置100が社内LAN500に接続した際に、自動的に認証情報及び更新情報を通知することとしてもよい。あるいは、端末装置100が要求した場合に通知することとしてもよい。
ただし、端末装置100に通知した最新の認証情報と、更新情報に含まれる認証情報とが一致する必要がある。そのため、端末装置100に新しい認証情報を通知した場合には、必ず更新情報も通知する。
The
However, the latest authentication information notified to the terminal device 100 needs to match the authentication information included in the update information. Therefore, when new authentication information is notified to the terminal device 100, update information is also notified.
端末装置100は、端末取得部111、端末記憶部112、端末通知部113、端末判別部114、更新情報取得部121、更新情報記憶部122、更新要求通知部123を有する。
The terminal device 100 includes a terminal acquisition unit 111, a terminal storage unit 112, a terminal notification unit 113, a terminal determination unit 114, an update
端末取得部111は、社内LAN500を介して管理装置300が通知した認証情報を取得する。あわせて、どの認証情報が最新のものであるかを判別するための情報も取得する。
The terminal acquisition unit 111 acquires authentication information notified by the
端末記憶部112は、端末取得部111が取得した認証情報を記憶する。あわせて、どの認証情報が最新のものであるかを判別するための情報も記憶する。
管理装置300が記憶している認証情報すべてを通知する構成とする場合は、端末記憶部112は、端末取得部111が今回取得した認証情報だけを記憶することとし、前回取得した認証情報は削除することとしてもよい。
管理装置300が記憶している認証情報のうち、端末装置100にまだ通知していないものだけを通知する構成とする場合は、端末取得部111が新たに取得した認証情報だけでなく、以前に端末取得部111が取得した認証情報も記憶している。
しかし、そのすべてを記憶している必要はないので、記憶する認証情報の数を定め、その数を超える認証情報が生成された場合には、古いものから順に削除することとしてもよい。あるいは、生成日時に基づいて、生成してから所定の期間が経過したものを削除することとしてもよい。
また、端末記憶部112は、セキュリティ向上のため、認証情報を暗号化して記憶してもよい。
The terminal storage unit 112 stores the authentication information acquired by the terminal acquisition unit 111. In addition, information for determining which authentication information is the latest is also stored.
When the configuration is such that all of the authentication information stored in the
When it is set as the structure which notifies only the information which has not yet notified to the terminal device 100 among the authentication information which the
However, since it is not necessary to store all of them, the number of pieces of authentication information to be stored may be determined, and when authentication information exceeding the number is generated, the oldest one may be deleted in order. Or it is good also as deleting based on a production | generation date and time that the predetermined period passed since production | generation.
Further, the terminal storage unit 112 may encrypt and store the authentication information for improving security.
更新情報取得部121は、社内LAN500を介して管理装置300が通知した更新情報を取得する。
The update
更新情報記憶部122は、更新情報取得部121が取得した更新情報を記憶する。更新情報記憶部122は、セキュリティ向上のため、更新情報を暗号化して記憶していてもよい。
The update
端末通知部113は、端末記憶部112から認証情報を1つ取得し、認証装置200に対して通知する。端末通知部113は、セキュリティ向上のため、認証情報を暗号化して通知してもよい。
認証情報には、例えば、パスワードなどがある。
あるいは、認証情報を暗号鍵として用いて、所定の情報を暗号化したものを通知する構成としてもよい。その場合、認証情報によって暗号化される情報は、あらかじめ決められたものであってもよい。あるいは、認証装置200が端末装置100からの認証要求を受け、ランダムに生成した情報を端末装置100に通知する構成としてもよい。
The terminal notification unit 113 acquires one piece of authentication information from the terminal storage unit 112 and notifies the authentication apparatus 200 of it. The terminal notification unit 113 may encrypt and notify the authentication information for security improvement.
The authentication information includes, for example, a password.
Or it is good also as a structure which notifies what encrypted predetermined information using authentication information as an encryption key. In that case, the information encrypted by the authentication information may be predetermined. Alternatively, the authentication device 200 may receive an authentication request from the terminal device 100 and notify the terminal device 100 of randomly generated information.
端末判別部114は、端末通知部113が認証装置200に対して通知した認証情報によって、端末装置100が認証装置200に認証されたか否かを判断する。例えば、認証に成功した場合に認証装置200が認証成功を通知することとし、端末装置100がその通知を取得した場合に、端末判別部114が認証成功と判断する。 The terminal determination unit 114 determines whether or not the terminal device 100 has been authenticated by the authentication device 200 based on the authentication information notified to the authentication device 200 by the terminal notification unit 113. For example, when the authentication is successful, the authentication device 200 notifies the authentication success, and when the terminal device 100 acquires the notification, the terminal determination unit 114 determines that the authentication is successful.
認証に失敗した場合には、端末通知部113は、端末記憶部112から別の認証情報を取得し、認証装置200に対して通知する。これを認証に成功するまで繰り返す。 If the authentication fails, the terminal notification unit 113 acquires another authentication information from the terminal storage unit 112 and notifies the authentication device 200 of the authentication information. This is repeated until authentication is successful.
端末装置100は、認証に成功した場合、契約先LAN600への接続が許可されるので、契約先LAN600を介して、保守対象装置400に対する保守作業を行うことができる。 If the terminal device 100 succeeds in the authentication, the terminal device 100 is permitted to connect to the contracted LAN 600, so that the maintenance work can be performed on the maintenance target device 400 via the contracted LAN 600.
端末判別部114は、認証成功と判断した場合、更に、認証に成功した認証情報が、最新の認証情報であるか否かを判断する。例えば、端末通知部113が、端末記憶部112から認証情報を取得するに際し、新しいものから順に取得して認証装置200に通知することとすれば、1回目で成功した場合には最新の認証情報によって認証に成功したと判断し、2回目以降で成功した場合には、最新の認証情報ではない認証情報によって認証に成功したと判断する。 When determining that the authentication is successful, the terminal determination unit 114 further determines whether or not the authentication information that has been successfully authenticated is the latest authentication information. For example, when the terminal notification unit 113 acquires authentication information from the terminal storage unit 112 and acquires the authentication information sequentially from the terminal storage unit 112 and notifies the authentication device 200 of the authentication information, the latest authentication information is obtained when succeeded at the first time. It is determined that the authentication is successful, and if the authentication is successful after the second time, it is determined that the authentication is successful based on the authentication information that is not the latest authentication information.
最新の認証情報ではない認証情報によって認証に成功した場合には、認証装置200は管理装置300が新しく生成した認証情報を知らず、古い認証情報によって認証を行っている。
したがって、認証装置200が記憶する認証情報を更新する必要がある。
When the authentication is successful with authentication information that is not the latest authentication information, the authentication device 200 does not know the authentication information newly generated by the
Therefore, it is necessary to update the authentication information stored in the authentication device 200.
更新要求通知部123は、最新の認証情報ではない認証情報によって認証に成功したと端末判別部114が判断した場合、認証装置200が記憶する認証情報の更新を要求する更新要求を生成し、認証装置200に対して通知する。更新要求通知部123は、セキュリティ向上のため、認証情報を暗号化して通知してもよい。
更新要求通知部123は、更新要求とともに、最新の認証情報を含む情報である更新情報を認証装置200に対して通知することで、認証装置200が新たに記憶すべき認証情報を認証装置200に知らしめる。
しかし、例えば、認証情報の生成規則をあらかじめ定めておき、認証装置200が更新要求を受けた場合に、内部で新たな認証情報を生成することとしてもよい。この生成規則を、管理装置300が用いているものと同一のものとすれば、管理装置300が生成した認証情報と認証装置200が生成した認証情報が一致するので、新たに記憶すべき認証情報を認証装置200に対して通知する必要はない。
上述したように、更新情報には、その更新情報を生成したのが管理装置300であることを証明する情報が含まれている。したがって、まったく無関係の第三者だけでなく、端末装置100といえども更新情報を改変することはできず、管理装置300が生成した新たな認証情報が、そのまま認証装置200に通知される。
When the terminal determination unit 114 determines that the authentication is successful based on the authentication information that is not the latest authentication information, the update request notification unit 123 generates an update request that requests an update of the authentication information stored in the authentication device 200 and performs authentication. Notify the device 200. The update request notification unit 123 may encrypt and notify the authentication information for security improvement.
The update request notification unit 123 notifies the authentication apparatus 200 of update information, which is information including the latest authentication information, together with the update request. Notify.
However, for example, authentication information generation rules may be determined in advance, and when the authentication apparatus 200 receives an update request, new authentication information may be generated internally. If this generation rule is the same as that used by the
As described above, the update information includes information that proves that the update information is generated by the
認証装置200は、認証部211、認証記憶部212、更新要求取得部221、認証更新部222を有する。
The authentication device 200 includes an
認証記憶部212は、認証情報を記憶する。認証記憶部212は、新しい認証情報を記憶した場合、古いものを削除して、常に最新の認証情報を記憶する。
しかし、認証装置200が接続する契約先LAN600は、管理装置300が接続する社内LAN500とは独立したネットワークであるから、管理装置300が新たな認証情報を生成した場合でも、それをすぐに知ることができず、古い認証情報をそのまま記憶していることになる。
The
However, since the contracted LAN 600 to which the authentication device 200 is connected is a network independent of the in-house LAN 500 to which the
認証部211は、端末装置100が通知した情報を取得し、その情報に含まれる認証情報を検証することで、端末装置100を認証する。
例えば、認証情報を暗号鍵として用いる認証方式による場合、以下の手順によって端末装置100を認証する。
まず、端末装置100が認証装置200に対して、認証要求を通知する。
認証装置200は、端末装置100からの認証要求を受け、ランダムな情報を生成する。
認証装置200は端末装置100に対して、生成した情報をそのまま通知する。
端末装置100は、認証装置200が生成した情報を取得し、認証情報を暗号鍵として用いて暗号化する。
端末装置100は認証装置200に対して、暗号化した情報を通知する。
認証部211は、端末装置100が通知した情報を、認証記憶部212が記憶した認証情報を暗号鍵として用いて復号する。
認証部211は、復号した情報と、先に生成した情報とを比較する。両者が一致する場合には、端末装置100が暗号化に用いた暗号鍵(すなわち認証情報)と、認証部211が復号に用いた暗号鍵(認証情報)とが一致することがわかる。
The
For example, in the case of an authentication method using authentication information as an encryption key, the terminal device 100 is authenticated by the following procedure.
First, the terminal device 100 notifies the authentication device 200 of an authentication request.
The authentication device 200 receives the authentication request from the terminal device 100 and generates random information.
The authentication device 200 notifies the terminal device 100 of the generated information as it is.
The terminal device 100 acquires the information generated by the authentication device 200 and encrypts it using the authentication information as an encryption key.
The terminal device 100 notifies the authentication device 200 of the encrypted information.
The
The
認証部211は、端末装置100が通知した情報に含まれる認証情報と、認証記憶部212が記憶した認証情報とが一致した場合、端末装置100を認証し、以後、端末装置100が契約先LAN600に接続することを許可する。
接続を許可する具体的方法としては、例えば、端末装置100が無線LAN端末装置で、認証装置200が無線LANアクセスポイント装置であれば、認証装置200が以後の端末装置100からの通信を、契約先LAN600に接続した他の装置へ中継する。接続を許可しない場合には、端末装置100からの通信を、契約先LAN600に接続した他の装置へ中継しない。
The
As a specific method for permitting connection, for example, if the terminal device 100 is a wireless LAN terminal device and the authentication device 200 is a wireless LAN access point device, the authentication device 200 contracts communication from the terminal device 100 thereafter. Relay to another device connected to the destination LAN 600. When the connection is not permitted, the communication from the terminal device 100 is not relayed to other devices connected to the contracted LAN 600.
認証部211は、認証結果を端末装置100に対して通知する。認証に成功した場合のみ通知することとしてもよい。その場合、端末装置100は、所定の時間待っても認証成功の通知が来ない場合に、認証に失敗したと判断する。
The
なお、認証部211は、端末装置100からの認証要求に基づいて最初に認証を行うだけでなく、一定の時間が経つごとにあるいは不定期に、端末装置100を認証することとしてもよい。
Note that the
更新要求取得部221は、端末装置100が通知した更新要求を取得する。端末装置100が更新情報もあわせて通知する構成とした場合には、更新情報もあわせて取得する。
The update
認証更新部222は、更新要求取得部221が取得した更新要求が正規のものであるかを判断する。例えば、認証に成功した端末装置100が通知した更新要求は、常に正規のものであると判断してもよいし、更新要求に端末装置100の電子署名をつけ、その電子署名を検証することで正規のものであるか否かを判断してもよい。
The authentication update unit 222 determines whether the update request acquired by the update
更新要求とともに更新情報を取得する構成とした場合、更新情報には更新情報を生成した装置を証明する情報が含まれているので、その情報を検証することにより、更新要求が正規のものであるか否かを判断してもよい。
例えば、更新情報に管理装置300の電子署名が含まれている場合には、その電子署名を検証することで、更新要求が正規のものであるか否かを判断する。
端末装置100の電子署名を検証する方式では、契約先LAN600に接続を要求する可能性のある端末装置100すべてについて、認証装置200が署名を検証するための情報を持つ必要があるので、端末装置100が増えた場合等に対応できない。管理装置300の電子署名を検証する方式であれば、管理装置300についてのみ、署名を検証するための情報を持っていればよいので、端末装置100が増えた場合等にも対応可能である。
When the update information is acquired together with the update request, the update information includes information certifying the device that generated the update information, and the update request is legitimate by verifying the information. It may be determined whether or not.
For example, when the electronic signature of the
In the method of verifying the electronic signature of the terminal device 100, the authentication device 200 needs to have information for verifying the signature for all the terminal devices 100 that may request connection to the contracted LAN 600. It is not possible to cope with the case where 100 increases. In the method of verifying the electronic signature of the
更新情報を生成した装置を証明する情報として、管理装置300と認証装置200だけが知っている秘密の共通鍵を用いて更新情報を暗号化する方式を用いる場合、共通鍵が外部に漏れる可能性がある。
しかし、この共通鍵は、更新情報を暗号化する場合にしか用いない構成とすれば、通信を傍受して解読されることにより、共通鍵が外部に漏れる可能性は低くなる。
あるいは、この共通鍵自体を、認証情報と同様に、定期的にあるいは不定期に変更する構成としてもよい。
When a method of encrypting update information using a secret common key known only to the
However, if the common key is configured to be used only when the update information is encrypted, the possibility of the common key leaking to the outside is reduced by intercepting communication and decrypting it.
Alternatively, the common key itself may be changed periodically or irregularly in the same manner as the authentication information.
認証更新部222は、更新要求が正規のものであると判断した場合、認証記憶部212が記憶する認証情報を更新する。
すなわち、あらかじめ定められた生成規則にしたがって新たな認証情報を生成し、あるいは、更新情報から取得するなどして、認証記憶部212に新たに記憶させるべき認証情報を取得する。そして、取得した認証情報を認証記憶部212に記憶させる。
If the authentication update unit 222 determines that the update request is valid, the authentication update unit 222 updates the authentication information stored in the
That is, the authentication information to be newly stored in the
なお、認証更新部222は、端末装置100が契約先LAN600に接続して保守作業を行っている場合、保守作業が終了して端末装置100が契約先LAN600との接続を切断したあとで、認証記憶部212が記憶する認証情報を更新することとしてもよいし、更新要求を取得してすぐに更新することとしてもよい。
If the terminal device 100 is connected to the contracted LAN 600 and is performing maintenance work, the authentication update unit 222 authenticates after the maintenance work is completed and the terminal device 100 disconnects from the contracted LAN 600. The authentication information stored in the
このように、定期的にあるいは不定期に、認証情報を更新することによって、セキュリティを高める構成のネットワークシステムにおいて、ネットワークシステムが物理的・論理的に独立していることにより、認証装置200が新たに生成された認証情報を知らない場合がある。 In this way, in the network system configured to enhance security by updating the authentication information regularly or irregularly, the authentication system 200 is newly added because the network system is physically and logically independent. You may not know the generated authentication information.
この実施の形態では、端末装置100が最新の認証情報だけでなく、古い認証情報も記憶することにより、認証装置200が最新の認証情報を知らない場合でも、認証装置200が端末装置100を認証できる構成としている。 In this embodiment, since the terminal device 100 stores not only the latest authentication information but also old authentication information, the authentication device 200 authenticates the terminal device 100 even when the authentication device 200 does not know the latest authentication information. It is configured as possible.
これにより、認証情報を更新しても、端末装置100が契約先LAN600に接続できなくなることを防ぐことができるので、認証情報を頻繁に更新することが可能となり、不正アクセスに対する安全性が高くなる。 As a result, even if the authentication information is updated, the terminal device 100 can be prevented from being unable to connect to the contracted LAN 600, so that the authentication information can be updated frequently, and the security against unauthorized access is increased. .
また、端末装置100が古い認証情報によって認証された場合には、認証装置200に対して、認証情報の更新を要求することにより、認証装置200が記憶する認証情報を常に最新のものとすることができるので、認証情報を頻繁に更新することが可能となり、不正アクセスに対する安全性が高くなる。 When the terminal device 100 is authenticated by old authentication information, the authentication information stored in the authentication device 200 is always updated by requesting the authentication device 200 to update the authentication information. Therefore, the authentication information can be updated frequently, and the security against unauthorized access is increased.
認証装置200は、更新要求が正規のものであるか否かを判断して、認証情報を更新するか否かを決めるので、不正アクセスによって勝手に認証情報が更新される心配はなく、安全性が高くなる。 The authentication device 200 determines whether or not the update request is legitimate, and determines whether or not to update the authentication information. Therefore, there is no concern that the authentication information will be updated without permission due to unauthorized access. Becomes higher.
さらに、端末装置100が認証装置200に対して最新の認証情報を含む情報(更新情報)を通知し、認証装置200は通知された認証情報に基づいて認証情報を更新するので、契約先LAN600を完全に独立したネットワークとすることができ、設置コストを抑えるとともに安全性が高くなる。 Further, the terminal device 100 notifies the authentication device 200 of information (update information) including the latest authentication information, and the authentication device 200 updates the authentication information based on the notified authentication information. It can be a completely independent network, reducing installation costs and increasing safety.
端末装置100が認証装置200に対して通知する更新情報には、その更新情報を生成した装置を証明する情報が含まれ、端末装置100を含めた第三者には改変できないようになっているので、なりすまし等によって認証情報が勝手に更新される心配はなく、不正アクセスに対する安全性が高くなる。 The update information notified from the terminal device 100 to the authentication device 200 includes information proving the device that generated the update information and cannot be altered by a third party including the terminal device 100. Therefore, there is no worry that the authentication information is arbitrarily updated by impersonation or the like, and the security against unauthorized access is increased.
特に、無線LANにおいては、接続した装置間の通信が無線によって行われるので、第三者による盗聴や不正アクセスを防ぐことが必要である。 In particular, in a wireless LAN, since communication between connected devices is performed wirelessly, it is necessary to prevent eavesdropping and unauthorized access by a third party.
ここで説明した方式によって認証情報を頻繁に変更し、変更された認証情報を暗号鍵として、無線LANにおける通信を暗号化すれば、この通信を傍受した者が通信を解読して暗号鍵を取得したとしても、その暗号鍵を使用して盗聴や不正アクセスを試みる頃には暗号鍵が変更されているので、安全性が高くなる。 If the authentication information is frequently changed by the method described here, and the communication in the wireless LAN is encrypted using the changed authentication information as an encryption key, the person who intercepted this communication decrypts the communication and obtains the encryption key. Even so, when the eavesdropping or unauthorized access is attempted using the encryption key, the encryption key is changed, so that the security is improved.
実施の形態2.
実施の形態2を図2、図5〜図16を用いて説明する。
Embodiment 2. FIG.
The second embodiment will be described with reference to FIGS. 2 and 5 to 16.
この実施の形態では、WEP(Wired Equivalent Privacy)鍵及びSSID(Service Set Identifier)の更新をする場合について説明する。 In this embodiment, a case will be described in which a WEP (Wired Equivalent Privacy) key and an SSID (Service Set Identifier) are updated.
無線ネットワークとしてIEEE802.11規格があり、この802.11ネットワークを構築する機器として無線LANアクセスポイント装置がある。
図15は、無線LANアクセスポイント装置による無線ネットワークを示したものである。
無線LANアクセスポイント装置860は、有線ネットワーク851に接続して、有線ネットワーク851に属する機器と無線ネットワーク852に属する機器間の通信手段(たとえば有線ネットワーク機器840と無線ネットワーク機器810aとの間の通信)と、無線ネットワーク852に属する機器間の通信手段(例えば無線ネットワーク機器810aと無線ネットワーク機器810bとの間の通信)を提供する。
無線LANアクセスポイント装置860は、無線通信インターフェース881とアンテナ883により無線ネットワーク852に属する無線ネットワーク機器810a,bとの通信を行う。
無線/有線ブリッジ部882は、有線ネットワーク851と無線ネットワーク852の通信を相互に転送する。
無線LAN接続制御部861は無線ネットワーク機器810a,bの無線ネットワーク852への接続にあたって、無線ネットワーク852の識別を提供し、さらに無線ネットワーク852への無線ネットワーク機器810a,bの参加を許可・拒否(認証)する制御を行う。
無線ネットワーク852の識別はIEEE802.11規格の無線LANであれば、SSIDを用いる。無線ネットワーク機器810a,bは接続したい無線ネットワークをSSIDにより選択することができる。
そして無線ネットワーク機器の参加の許可・拒否は例えばWEP方式であればWEP鍵と呼ばれる無線LAN暗号鍵が用いられ、無線LAN接続制御部861は、自己が使用するWEP鍵と、無線ネットワーク機器810a,bが使用するWEP鍵が一致しない場合は、同機器の接続を拒否する。
またこのWEP鍵は無線ネットワーク機器が無線ネットワーク852に参加した後の無線通信に際して、無線通信インターフェース881による通信暗号化にも使用する。
このように無線ネットワーク852に接続しようとする無線ネットワーク機器810a,bは、無線LANアクセスポイント装置860と同じSSID、WEP鍵を使用しないと無線ネットワーク852に参加できない機構となっている。
無線LANアクセスポイント装置860では、これらのSSID、WEP鍵は無線LAN接続情報としてアクセスポイント接続情報記憶部862が記憶しており、さらにこれら無線LAN接続情報を無線LANアクセスポイント装置に設定する接続情報更新部872を有する。
There is the IEEE 802.11 standard as a wireless network, and there is a wireless LAN access point device as a device for constructing the 802.11 network.
FIG. 15 shows a wireless network using a wireless LAN access point device.
The wireless LAN
The wireless LAN
The wireless /
The wireless LAN
For identification of the wireless network 852, an SSID is used in the case of a wireless LAN of the IEEE 802.11 standard. The
For permission / rejection of participation of the wireless network device, for example, in the WEP method, a wireless LAN encryption key called a WEP key is used, and the wireless LAN
The WEP key is also used for communication encryption by the
Thus, the
In the wireless LAN
ここまでに示したように無線ネットワークでは、通信の媒介手段が無線であることからセキュリティ確保のため無線ネットワークへの接続認証と無線通信の暗号化が行われている。
この接続認証のためには、パスワードなどの無線LAN接続認証鍵を使用し、また、通信暗号化のためには、無線LAN通信暗号鍵を使用する。これらの無線LAN鍵としてWEP鍵などの秘密鍵を用いる場合は、セキュリティのため鍵を定期的に更新しなければならない。
As described above, in the wireless network, since the mediating means for communication is wireless, connection authentication to the wireless network and encryption of wireless communication are performed to ensure security.
A wireless LAN connection authentication key such as a password is used for this connection authentication, and a wireless LAN communication encryption key is used for communication encryption. When a secret key such as a WEP key is used as these wireless LAN keys, the key must be updated periodically for security.
従来、無線LANアクセスポイント装置860における無線LAN接続情報の更新にあたっては、有線ネットワーク851に接続した有線ネットワーク機器840のCRT表示装置に設定画面を表示し、人手で設定を入力し、入力した設定情報に基づいて、接続情報更新部872が更新処理を行うなどの方法がとられている。
Conventionally, when updating the wireless LAN connection information in the wireless LAN
しかしながら無線LAN接続情報は、その秘密鍵としての目的から、辞書に記載された単語を使わない比較的長い無意味な文字とすることから、設定者が無線LANアクセスポイント装置860に設定する無線LAN接続情報を、設定者の記憶のためにメモしたりすることで、機密性が低下する可能性がある。
However, since the wireless LAN connection information is a relatively long meaningless character that does not use the words described in the dictionary for the purpose of the secret key, the wireless LAN set by the setter in the wireless LAN
このような無線LAN接続情報の更新に際する機密性の低下の課題を解決するため、例えば、以下の技術がある。
複数の無線LANアクセスポイント装置を有線ネットワークで接続し、親局となる無線LANアクセスポイント装置で鍵設定モードを起動すると、鍵を生成して、生成した鍵を記憶するとともに、鍵設定モードで起動した子局となる無線LANアクセスポイント装置に鍵を配布、設定するものである。効果は、鍵更新が鍵を設定者に秘密のまま行われること、有線ネットワークで配布される鍵は第三者に傍受される可能性が低いこと、である。
In order to solve the problem of lowering confidentiality when updating the wireless LAN connection information, for example, there are the following techniques.
When multiple wireless LAN access point devices are connected via a wired network and the key setting mode is activated on the wireless LAN access point device serving as a master station, a key is generated, the generated key is stored, and the key setting mode is activated. The key is distributed and set to the wireless LAN access point device as the slave station. The effect is that the key update is performed secretly to the setter, and the key distributed over the wired network is unlikely to be intercepted by a third party.
客先に設置した装置の保守を請け負う業務がある。客先に設置した装置とは、例えばエレベーター、エスカレーター、監視カメラ・レコーダー、空調装置、入退室管理装置、自動改札機、券売機、両替機など多岐にわたる。
これら保守対象の装置に対する保守作業として、保守用の端末装置を保守作業現場に持ち込み、保守端末装置を保守対象装置に有線ネットワークで接続して、保守対象装置に運転データ収集、故障箇所検出、試運転などの保守作業を実施することが行われている。
There is work to undertake maintenance of equipment installed at customers. Devices installed at customers include a wide range of devices such as elevators, escalators, surveillance cameras / recorders, air conditioners, entrance / exit management devices, automatic ticket gates, ticket vending machines, and money changers.
As maintenance work for these maintenance target devices, bring a maintenance terminal device to the maintenance work site, connect the maintenance terminal device to the maintenance target device via a wired network, collect operation data, detect faulty locations, and perform trial operation. The maintenance work such as is performed.
しかし、保守端末装置を保守対象装置に有線接続すると、端末装置を自由に移動させることができない。エレベーターのような大型の装置を保守する場合、端末装置を接続したまま、作業員が移動したい場合がある。 However, if the maintenance terminal device is wired to the maintenance target device, the terminal device cannot be freely moved. When maintaining a large device such as an elevator, an operator may want to move while the terminal device is connected.
そこで、保守端末装置と保守対象装置を無線ネットワークで接続すれば、端末装置を比較的自由に移動させることができる。しかし、保守端末装置と保守対象装置との間を無線ネットワークで接続すると、以下のような課題が生じる。 Therefore, if the maintenance terminal device and the maintenance target device are connected via a wireless network, the terminal device can be moved relatively freely. However, when the maintenance terminal device and the maintenance target device are connected via a wireless network, the following problems occur.
図16は、保守端末装置と保守対象装置を無線ネットワークで接続する際の運用を示した図である。
保守会社590には、n人の保守作業員がいる。保守作業員は、それぞれ保守端末装置150d、保守端末装置150e、…、保守端末装置150fを携行して作業する。保守作業員は、m箇所の保守作業現場、保守作業現場690d、保守作業現場690e、…、保守作業現場690fに出動する。
それぞれの保守作業現場には、保守対象装置490d、保守対象装置490e、…、保守対象装置490fが設置されている。
さらに保守端末装置と保守対象装置の無線ネットワークによる接続のため、保守作業現場にはそれぞれ無線LANアクセスポイント装置660d、無線LANアクセスポイント装置660e、…、無線LANアクセスポイント装置660fが設置されている。
ここで保守会社の保守作業員運用は、客先対応の即時性から任意の保守作業員を保守作業現場に派遣する場合がある。このため保守端末装置150d〜fと無線LANアクセスポイント装置660d〜fとは、互いにいずれとも接続できる関係になければならない。例えば、保守作業現場690dの無線LANアクセスポイント装置660dはいずれの保守端末装置150d〜fとも接続できなければならない。また、保守端末装置150dもいずれの無線LANアクセスポイント装置660d〜fに接続できなければならない。すなわち、n対mの関係になっている。
FIG. 16 is a diagram illustrating an operation when a maintenance terminal device and a maintenance target device are connected via a wireless network.
The
A
Further, a wireless LAN
Here, maintenance worker operation of the maintenance company may dispatch an arbitrary maintenance worker to the maintenance work site because of the immediacy of customer correspondence. For this reason, the maintenance terminal devices 150d to 150f and the wireless LAN
このような運用下で無線LANアクセスポイント装置660d〜fの無線LAN認証鍵や無線LAN通信暗号鍵などの秘密鍵を更新する場合、保守端末装置150d〜fと無線LANアクセスポイント装置との間で秘密鍵が異なる状態となると、保守端末装置150d〜fが無線ネットワークに接続できなくなってしまうので、保守作業に支障をきたす。これを回避するためには、全ての無線LANアクセスポイント装置と保守端末装置の秘密鍵を同じタイミングで一斉に変更する必要がある。
When the secret key such as the wireless LAN authentication key or the wireless LAN communication encryption key of the wireless LAN
そのためには、無線LANアクセスポイント装置660d〜fを一時回収して保守会社のネットワークに接続して無線LAN鍵を変更する方法がある。あるいは、無線LANアクセスポイント装置660d〜fを広域ネットワークに接続し、これを介して保守会社のネットワークに接続して無線LAN鍵を変更する方法もある。これにより、一斉変更処理が可能である。
For this purpose, there is a method in which the wireless LAN
しかしながら、保守作業現場から無線LANアクセスポイント装置を回収する方法では、更新済みの無線LANアクセスポイント装置をその場で置き換えるか、更新後の無線LANアクセスポイント装置を再設置する必要があることから、機器コスト、作業コストが増大するという欠点がある。また広域ネットワークを設ける方法には、設備コストが増大するという欠点がある。 However, in the method of recovering the wireless LAN access point device from the maintenance work site, it is necessary to replace the updated wireless LAN access point device on the spot or to reinstall the updated wireless LAN access point device. There is a disadvantage that the equipment cost and the work cost increase. Further, the method of providing a wide area network has a drawback that the equipment cost increases.
コストの観点では、通常の保守作業で保守作業現場に出動したおりに無線ネットワーク機器(保守端末装置)から無線LANアクセスポイント装置の設定変更を行えることが、無線LANアクセスポイント装置の秘密鍵の更新のための特別な出動を必要としないため、望ましい。 From a cost standpoint, it is possible to change the setting of the wireless LAN access point device from the wireless network device (maintenance terminal device) while being dispatched to the maintenance work site during normal maintenance work, and updating the secret key of the wireless LAN access point device It is desirable because it does not require special dispatch for.
この実施の形態は、複数の独立したネットワークに属する無線LANアクセスポイント装置と、無線ネットワーク機器との接続がn対mの関係となる場合に、いずれの無線ネットワーク機器からでも無線LANアクセスポイント装置の秘密鍵などの無線LAN接続情報の更新を行えること、いずれの無線ネットワーク機器からでも無線LANアクセスポイント装置に接続できるよう無線ネットワーク機器と無線LANアクセスポイント装置の無線LAN接続情報を一致させることを、第一の目的としている。 In this embodiment, when the connection between a wireless LAN access point device belonging to a plurality of independent networks and the wireless network device is in an n-to-m relationship, the wireless LAN access point device can be connected to any wireless network device. Updating wireless LAN connection information such as a secret key, and matching wireless LAN connection information between the wireless network device and the wireless LAN access point device so that the wireless LAN access point device can be connected from any wireless network device, It is the first purpose.
さらにこの実施の形態は、無線ネットワーク機器に保持した無線LAN接続情報の漏洩を防止することを、第二の目的としている。 Furthermore, the second object of this embodiment is to prevent leakage of wireless LAN connection information held in the wireless network device.
さらにこの実施の形態は、通常の無線ネットワークを用いた作業に影響を与えることなく、無線LANアクセスポイント装置の無線LAN接続情報を更新できることを、第三の目的としている。 Furthermore, the third object of this embodiment is to be able to update the wireless LAN connection information of the wireless LAN access point device without affecting the work using a normal wireless network.
図2は、この実施の形態における接続情報管理サーバ装置350、無線LAN端末装置150、無線LANアクセスポイント装置260、アクセスポイント管理装置270、独立ネットワーク構成機器450等のハードウェア構成の一例を示す図である。
図2については、実施の形態1で説明したので、ここでは説明を省略する。
FIG. 2 is a diagram illustrating an example of a hardware configuration of the connection information
Since FIG. 2 has been described in
図5は、この実施の形態におけるシステムの全体構成の一例を示すシステム構成図である。 FIG. 5 is a system configuration diagram showing an example of the overall configuration of the system in this embodiment.
イントラネット550は第一の独立ネットワークである。イントラネット550では、接続情報管理サーバ装置350と無線LAN端末装置150aと無線LAN端末装置150bと無線LAN端末装置150cとが、有線/無線ネットワーク551で接続している。なお、この例では無線LAN端末装置の数は三台であるが、三台とは限らず何台でもよい。
独立ネットワーク650aは第二の独立ネットワークである。独立ネットワーク650aには、無線LANアクセスポイント装置260aとアクセスポイント管理装置270aと独立ネットワーク構成機器450aとが、有線ネットワーク651aで接続している。
無線LANアクセスポイント装置260aとアクセスポイント管理装置270aは、認証装置を構成する。このように、認証装置は物理的に一台の装置である必要はなく、ネットワークによって接続された複数の装置によっても実現可能である。
独立ネットワーク650bも独立ネットワーク650aと同じ構成をとる第二の独立ネットワークである。なお、この例では第二の独立ネットワークの数は二つであるが、二つとは限らず、いくつでもよい。
The
The wireless LAN
The
無線LAN端末装置150aと無線LAN端末装置150bと無線LAN端末装置150cは、移動させることができる。あるときは、イントラネット550に接続する。またあるときは、無線ネットワーク652aにより、独立ネットワーク650aに接続する。またあるときは、独立ネットワーク650bに接続することもできる。
例えば、無線LAN端末装置150aの独立ネットワーク650aへの接続は、無線LANアクセスポイント装置260aが制御する無線ネットワーク652aを経由して行われる。その他の無線LAN端末装置150a〜cの独立ネットワーク650a,bへの接続も同様である。
無線LAN端末装置150aは独立ネットワーク650aに接続した後、独立ネットワーク構成機器450aと通信を行い、通常の無線ネットワークを用いた作業を実施する。通常の無線ネットワークを用いた作業とは、無線LAN端末装置150aと独立ネットワーク構成機器450aとの任意の通信によるもので、例えば、独立ネットワーク構成機器450aへの無線LAN端末装置150aによる保守作業である。
The wireless
For example, the wireless
After the wireless
図6は、この実施の形態における接続情報管理サーバ装置350(管理装置の一例)の機能ブロックの構成の一例を示すブロック図である。
図7は、この実施の形態における無線LAN端末装置150(端末装置の一例)の機能ブロックの構成の一例を示すブロック図である。
図8は、この実施の形態における無線LANアクセスポイント装置260とアクセスポイント管理装置270の機能ブロックの構成の一例を示すブロック図である。
FIG. 6 is a block diagram showing an example of the functional block configuration of the connection information management server device 350 (an example of a management device) in this embodiment.
FIG. 7 is a block diagram illustrating an example of a functional block configuration of the wireless LAN terminal device 150 (an example of a terminal device) according to this embodiment.
FIG. 8 is a block diagram showing an example of functional block configurations of the wireless LAN
接続情報管理サーバ装置350と無線LAN端末装置150と無線LANアクセスポイント装置260とアクセスポイント管理装置270とは、図5のシステム構成に従って接続する。
The connection information
接続情報管理サーバ装置350は、接続情報生成部361(認証情報生成部の一例)、接続情報記憶部362(管理記憶部の一例)、共有鍵記憶部391、管理装置共有情報暗号化部392、端末共有情報暗号化部393、接続情報配布部353(管理通知部兼更新情報通知部の一例)を有する。
The connection information
接続情報生成部361は、無線LAN接続情報(認証情報の一例)を生成する。具体的には、無線LAN接続情報として無線LAN暗号鍵(WEP鍵)とSSIDを生成する。
The connection
接続情報記憶部362は、無線LAN接続情報を生成した世代順に記憶する。
この実施の形態では、この接続情報記憶部362は、最大j世代分の無線LAN接続情報を記憶できるものとする。j世代を超える無線LAN接続情報が生成された場合、最古の無線LAN接続情報を削除する。
The connection
In this embodiment, it is assumed that this connection
共有鍵記憶部391は、無線LAN接続情報を暗号化する鍵を記憶する。
この鍵には2種類のものがある。無線LAN端末装置150と共有する秘密の暗号鍵である無線LAN端末装置鍵と、アクセスポイント管理装置270と共有する秘密の暗号鍵であるアクセスポイント管理装置鍵である。
The shared
There are two types of keys. These are a wireless LAN terminal device key that is a secret encryption key shared with the wireless LAN
管理装置共有情報暗号化部392は、アクセスポイント管理装置鍵を用いて、最新の1世代の無線LAN接続情報を暗号化する(更新情報の一例)。アクセスポイント管理装置鍵は、接続情報管理サーバ装置350及びアクセスポイント管理装置270だけが秘密に管理しているものなので、この情報(更新情報)がアクセスポイント管理装置270へ伝達される途中で、盗聴されたり不正に改変されたりすることを防ぐ。また、この情報がアクセスポイント管理装置鍵を知っている装置(すなわち、接続情報管理サーバ装置350)により生成されたことを証明する情報ともなるものである。
The management apparatus shared
端末共有情報暗号化部393は、無線LAN端末装置鍵を用いて、全世代の無線LAN接続情報(最大j世代分)を暗号化する。
接続情報配布部353は、暗号化した無線LAN接続情報(認証情報及び更新情報)を、無線LAN端末装置150に配布する。
The terminal shared
The connection
無線LAN端末装置150は、接続情報受信部151、端末接続情報記憶部152、端末装置共有鍵記憶部191、端末装置共有情報復号部192、アクセスポイント接続制御部163、接続情報更新要求部173を有する。
The wireless LAN
接続情報受信部151は、接続情報管理サーバ装置350から無線LAN接続情報(認証情報及び更新情報)を受信する。
端末接続情報記憶部152は、無線LAN接続情報を記憶する。
この実施の形態では、端末接続情報記憶部152は全世代の無線LAN接続情報(最大j世代分)(認証情報)と最新の1世代分の無線LAN接続情報(更新情報)を記憶できる。
なお、前者(全世代の無線LAN接続情報)(認証情報)は無線LAN端末装置鍵で暗号化され、後者(最新の1世代分の無線LAN接続情報)(更新情報)はアクセスポイント管理装置鍵で暗号化されている。
したがって、無線LAN端末装置150は後者(更新情報)を復号することはできない。しかし、最新の1世代分の無線LAN接続情報は前者(認証情報)にも含まれているので、無線LAN端末装置150は、前者(認証情報)を復号することによりこれを知ることができる。
The connection
The terminal connection
In this embodiment, the terminal connection
The former (all-generation wireless LAN connection information) (authentication information) is encrypted with the wireless LAN terminal device key, and the latter (latest one generation wireless LAN connection information) (update information) is the access point management device key. It is encrypted with.
Therefore, the wireless LAN
端末装置共有鍵記憶部191は、無線LAN端末装置鍵を記憶する。
端末装置共有情報復号部192は、無線LAN端末装置鍵により、暗号化された無線LAN接続情報(認証情報)を復号する。
The terminal device shared
The terminal device shared
アクセスポイント接続制御部163は、無線LAN接続情報を用いて、無線LANアクセスポイント装置260と通信し、無線ネットワーク652に接続する。
The access point
接続情報更新要求部173は、無線LANアクセスポイント装置260を介してアクセスポイント管理装置270に対し、無線LANアクセスポイント装置260の無線LAN接続情報の更新要求と、更新すべき最新の1世代分の無線LAN接続情報(更新情報)とを送信する。
The connection information
無線LANアクセスポイント装置260は、無線LAN接続制御部261、アクセスポイント接続情報記憶部262、無線通信インターフェース281、無線/有線ブリッジ部282、接続情報更新部272を有する。
The wireless LAN
無線LAN接続制御部261は、無線LAN端末装置150の無線ネットワーク652への接続にあたって、無線ネットワーク652の識別を提供し、さらに無線ネットワーク652への無線LAN端末装置150の接続を許可・拒否(認証)する制御を行う。
この実施の形態では、無線ネットワーク652の識別はIEEE802.11規格のSSIDを用いる。また、無線ネットワーク機器の参加の許可・拒否(認証)も802.11規格のWEP方式によるものとし、WEP鍵を無線LAN接続認証鍵として用いる。
無線LAN接続制御部261は、無線LAN端末装置150から受信したWEP鍵が一致しない場合、同装置の接続を拒否する。
具体的には、WEP鍵を直接送信することはしない。第三者に盗聴されると秘密にしなければならないWEP鍵が漏洩してしまうからである。
そこで、無線LANアクセスポイント装置260は、無線LAN端末装置150を認証するにあたり、まずランダムに生成した情報を無線LAN端末装置150に送信する。
無線LAN端末装置150は、これを受信し、WEP鍵で暗号化したものを、無線LANアクセスポイント装置260に送信する。
無線LANアクセスポイント装置260では、無線LAN接続制御部261が、受信した情報を、アクセスポイント接続情報記憶部262が記憶したWEP鍵で復号する。
復号した情報と送信した情報とを比較する。これが一致する場合には、無線LAN端末装置150が暗号化に用いたWEP鍵と、アクセスポイント接続情報記憶部262が記憶したWEP鍵とが同一であることが判別できる。
The wireless LAN
In this embodiment, the wireless network 652 is identified using an SSID of the IEEE 802.11 standard. Further, permission / rejection (authentication) of participation of the wireless network device is also based on the WEP method of the 802.11 standard, and the WEP key is used as the wireless LAN connection authentication key.
If the WEP key received from the wireless LAN
Specifically, the WEP key is not transmitted directly. This is because if a third party eavesdrops, a WEP key that must be kept secret will be leaked.
Therefore, when authenticating the wireless LAN
The wireless LAN
In the wireless LAN
The decrypted information is compared with the transmitted information. If they match, it can be determined that the WEP key used for encryption by the wireless LAN
無線通信インターフェース281は、無線信号を送受信して、無線LAN端末装置150と通信する。無線ネットワーク652を介した通信は、セキュリティのため、WEP鍵を無線LAN通信暗号鍵として暗号化するWEP方式によって行われる。したがって、無線通信インターフェース281は、アクセスポイント接続情報記憶部262が記憶したWEP鍵を用いて、無線通信データの暗号/復号を行う。
The
アクセスポイント接続情報記憶部262は、無線LANアクセスポイント装置260に設定された1世代分の無線LAN接続情報を記憶する。
アクセスポイント接続情報記憶部262は、無線LAN接続制御部261にSSIDとWEP鍵を提供し、無線通信インターフェース281にWEP鍵を提供する。
The access point connection
The access point connection
無線/有線ブリッジ部282は、無線ネットワーク652と有線ネットワーク651の通信を相互に転送する。
接続情報更新部272は、アクセスポイント接続情報記憶部262が記憶した無線LAN接続情報を更新する。
The wireless /
The connection
アクセスポイント管理装置270は、接続情報更新要求受信部271、管理装置共有鍵記憶部291、管理装置共有情報復号部292、接続情報設定部273を有する。
The access
接続情報更新要求受信部271は、無線LAN端末装置150からの接続情報更新要求を受信する。接続情報更新要求には、無線LANアクセスポイント装置260の無線LAN接続情報を更新する最新の1世代分の無線LAN接続情報(更新情報)が含まれている。
管理装置共有情報復号部292は、無線LAN接続情報(更新情報)をアクセスポイント管理装置鍵で復号する。
アクセスポイント管理装置鍵は、管理装置共有鍵記憶部291が記憶する。
The connection information update
The management device shared
The management device shared
接続情報設定部273は、復号した無線LAN接続情報を無線LANアクセスポイント装置260に送信して、更新させる。
送信のタイミングは、任意のタイミングでかまわないが、この実施の形態では、更新タイミングを、先に述べた無線LAN端末装置150による独立ネットワーク構成機器450との間の通常の無線ネットワークを用いた作業の完了後とする。
The connection
The transmission timing may be any timing, but in this embodiment, the update timing is an operation using a normal wireless network between the wireless LAN
この実施の形態において、管理装置共有情報暗号化部392、端末共有情報暗号化部393、端末装置共有情報復号部192、管理装置共有情報復号部292が行う無線LAN接続情報の暗号化手段として、DES(Data Encryption Standard)を用いることする。
DESは鍵長56ビット(パリティを含めて64ビットである)、暗号化/復号するデータのブロックサイズは64ビットである。SSIDのデータ長は32バイト、WEP鍵は64ビットもしくは128ビットであり、これらのデータをDESで処理するため、DES CBC(Cipher Block Chaining)モード、もしくはDES ECB(Electronic Code Block)モードを用いる。CBCとECBは、いずれも64ビットを超えるデータの暗号化/復号の際のデータの暗号データの結合方法である。
DESによる暗号/復号処理は、管理装置共有情報暗号化部392、端末共有情報暗号化部393、端末装置共有情報復号部192、管理装置共有情報復号部292が行う。よって、無線LAN端末装置鍵とアクセスポイント管理装置鍵はいずれもDES鍵である。
In this embodiment, as the wireless LAN connection information encryption means performed by the management device shared
DES has a key length of 56 bits (64 bits including parity), and the block size of data to be encrypted / decrypted is 64 bits. The data length of the SSID is 32 bytes and the WEP key is 64 bits or 128 bits. In order to process these data with DES, a DES CBC (Cipher Block Chaining) mode or a DES ECB (Electronic Code Block) mode is used. Both CBC and ECB are methods for combining encrypted data of data when encrypting / decrypting data exceeding 64 bits.
Encryption / decryption processing by DES is performed by the management device shared
各装置の詳細な動作について説明する。
この実施の形態の動作を3つのフェーズに分けて説明する。最初のフェーズは「無線LAN接続情報生成フェーズ」であり、次のフェーズは「無線LAN接続情報配布フェーズ」、最後のフェーズは「無線LAN接続情報設定フェーズ」である。
The detailed operation of each device will be described.
The operation of this embodiment will be described in three phases. The first phase is a “wireless LAN connection information generation phase”, the next phase is a “wireless LAN connection information distribution phase”, and the last phase is a “wireless LAN connection information setting phase”.
「無線LAN接続情報生成フェーズ」では、接続情報管理サーバ装置350が無線LAN接続情報を生成して記憶する。
「無線LAN接続情報配布フェーズ」では、接続情報管理サーバ装置350が無線LAN端末装置150に無線LAN接続情報を暗号化して、配布する。
「無線LAN接続情報設定フェーズ」では、無線LAN端末装置150が、無線LANアクセスポイント装置260に接続した後、アクセスポイント管理装置270に無線LAN接続情報を送信する。アクセスポイント管理装置270は、無線LANアクセスポイント装置260に無線LAN接続情報を設定・更新する。
In the “wireless LAN connection information generation phase”, the connection information
In the “wireless LAN connection information distribution phase”, the connection information
In the “wireless LAN connection information setting phase”, the wireless LAN
以下説明する動作の前に、すでに第n世代の無線LAN接続情報(無線LAN接続情報(n)と表記する)からk世代前までの無線LAN接続情報(n−k)が生成してあるものとする。
接続情報管理サーバ装置350の接続情報記憶部362は、無線LAN接続情報(n)〜(n−k)を記憶した状態である。
無線LANアクセスポイント装置260には、この無線LAN接続情報(n)〜(n−k)のいずれかが設定してある。
Prior to the operation described below, wireless LAN connection information (n−k) from the nth generation wireless LAN connection information (denoted as wireless LAN connection information (n)) to k generations before has been generated. And
The connection
Any one of the wireless LAN connection information (n) to (nk) is set in the wireless LAN
ここで詳細に説明する動作は、第n+1世代の無線LAN接続情報(n+1)を生成して、無線LANアクセスポイント装置260に設定するものである。接続情報管理サーバ装置350における無線LAN接続情報の生成は無線LAN接続情報の安全性を十分維持できる任意の期間で行うものとする。
The operation described in detail here is to generate (n + 1) -th generation wireless LAN connection information (n + 1) and set it in the wireless LAN
「無線LAN接続情報生成フェーズ」の詳細な動作を説明する。
図9は、「無線LAN接続情報生成フェーズ」における接続情報管理サーバ装置350の制御の流れの一例を示すフローチャート図である。
The detailed operation of the “wireless LAN connection information generation phase” will be described.
FIG. 9 is a flowchart showing an example of the control flow of the connection information
接続情報管理サーバ装置350では、ステップS301において、接続情報生成部361が無線LAN接続情報(n+1)を生成する。
接続情報管理サーバ装置350では、ステップS302において、接続情報記憶部362が、S301で生成した無線LAN接続情報(n+1)を記憶する。
In the connection information
In the connection information
「無線LAN接続情報配布フェーズ」の詳細な動作を説明する。
図10は、「無線LAN接続情報配布フェーズ」における接続情報管理サーバ装置350と無線LAN端末装置150の制御の流れ及び両者間の通信シーケンスの一例を示す図である。
The detailed operation of the “wireless LAN connection information distribution phase” will be described.
FIG. 10 is a diagram illustrating an example of a control flow of the connection information
まず、無線LAN端末装置150は、イントラネット550の有線/無線ネットワーク551に接続する。
First, the wireless LAN
無線LAN端末装置150では、ステップS601において、図示していない接続情報要求送信部が、無線LAN接続情報要求(電文401)を接続情報管理サーバ装置350に対して送信する。
電文401は、イントラネット550を介して接続情報管理サーバ装置350に到達する。
接続情報管理サーバ装置350では、ステップS501において、図示していない接続情報要求受信部が、無線LAN端末装置150からの無線LAN接続情報要求(電文401)を受信する。
In the wireless LAN
The electronic message 401 reaches the connection information
In the connection information
接続情報管理サーバ装置350では、ステップS502において、管理装置共有情報暗号化部392が、接続情報記憶部362が記憶した無線LAN接続情報(n+1)を読み出し、共有鍵記憶部391が記憶したアクセスポイント管理装置鍵で暗号化する。
In the connection information
接続情報管理サーバ装置350では、ステップS503において、端末共有情報暗号化部393が、接続情報記憶部362が記憶した無線LAN接続情報(n+1)〜(n−k)を読み出し、共有鍵記憶部391が記憶した無線LAN端末装置鍵で暗号化する。
In the connection information
接続情報管理サーバ装置350では、ステップS504において、接続情報配布部353が、暗号化した無線LAN接続情報(電文402)を無線LAN端末装置150に対して送信する。
電文402は、イントラネット550を介して無線LAN端末装置150に到達する。
無線LAN端末装置150では、ステップS602において、接続情報受信部151が、接続情報管理サーバ装置350からの無線LAN接続情報(電文402)を受信する。
In the connection information
The electronic message 402 reaches the wireless LAN
In the wireless LAN
無線LAN端末装置150では、ステップS603において、端末接続情報記憶部152が、受信した無線LAN接続情報を暗号化状態のまま、記憶する。
In the wireless LAN
「無線LAN接続情報設定フェーズ」の詳細な動作を説明する。 The detailed operation of the “wireless LAN connection information setting phase” will be described.
図11は、「無線LAN接続情報設定フェーズ」における無線LAN端末装置150と無線LANアクセスポイント装置260とアクセスポイント管理装置270の通信シーケンスの一例を示す図である。
FIG. 11 is a diagram illustrating an example of a communication sequence of the wireless LAN
無線LAN端末装置150は、電文701で、無線LAN接続情報(n+1)〜(n−k)により、無線LANアクセスポイント装置260と接続を試行する。
無線LAN端末装置150は、電文702で、アクセスポイント管理装置鍵で暗号化された無線LAN接続情報(n+1)を含む無線LAN接続情報更新要求を、アクセスポイント管理装置270に送信する。
このあと、無線LAN端末装置150は、独立ネットワーク構成機器450との間で通常の無線ネットワークを用いた作業を実施する(図示せず)。
独立ネットワーク構成機器450との作業が完了すると、無線LAN端末装置150は、電文703で無線LAN切断通知を、アクセスポイント管理装置270に送信する。
その後、電文704で無線LANアクセスポイント装置260との接続を切断する。
アクセスポイント管理装置270は、電文703を受信した後、電文705で無線LAN接続情報(n+1)を含む無線LAN接続情報設定を無線LANアクセスポイント装置260に送信する。
The wireless LAN
The wireless LAN
Thereafter, the wireless LAN
When the work with the independent network component device 450 is completed, the wireless LAN
Thereafter, the connection with the wireless LAN
After receiving the
図12は、「無線LAN接続情報設定フェーズ」における無線LAN端末装置150の制御の流れの一例を示すフローチャート図である。
FIG. 12 is a flowchart showing an example of a control flow of the wireless LAN
無線LAN端末装置150では、ステップS801において、端末装置共有情報復号部192が、暗号化された無線LAN接続情報(n+1)〜(n−k)を、端末接続情報記憶部152から読み出す。
In the wireless LAN
次に、ステップS802において、端末装置共有情報復号部192が、端末装置共有鍵記憶部191が記憶した無線LAN端末装置鍵を用いて、無線LAN接続情報(n+1)〜(n−k)を復号する。
Next, in step S802, the terminal device shared
ステップS803からステップS806は、アクセスポイント接続制御部163が行なう、無線LAN接続情報(n+1)〜(n−k)による、無線LANアクセスポイント装置260との接続処理である。
ステップS803において、カウンタiをn+1に設定する。
ステップS804において、第i世代の無線LAN接続情報(i)のSSIDとWEP鍵を用いて無線LANアクセスポイント装置260との接続を試行する。
ステップS805において、無線LANアクセスポイント装置260との接続に成功したか失敗したかを判断する。
例えば、SSIDが一致しない場合には、無線LANアクセスポイント装置260が認証要求に対して応答しないので、一定時間応答がなければ失敗と判断する。
あるいは、無線LANアクセスポイント装置260が送信する認証結果を受信して、成功か失敗かを判断する。
無線LANアクセスポイント装置260との接続に失敗したと判断した場合は、ステップS806に進む。世代をひとつ戻して(カウンタiから1引く)、ステップS804に戻り、再度接続を試行する。
Steps S803 to S806 are connection processing with the wireless LAN
In step S803, the counter i is set to n + 1.
In step S804, connection with the wireless LAN
In step S805, it is determined whether the connection with the wireless LAN
For example, if the SSIDs do not match, the wireless LAN
Alternatively, the authentication result transmitted by the wireless LAN
If it is determined that the connection with the wireless LAN
無線LANアクセスポイント装置260との接続に成功した場合は、ステップS807に進む。接続情報更新要求部173が、接続に使用した無線LAN接続情報の世代iがn+1であるかどうかを判断する。
If the connection with the wireless LAN
無線LAN接続情報の世代iがn+1であると判断した場合は、ステップS811に進む。
この場合には、無線LANアクセスポイント装置260にはすでに最新の無線LAN接続情報(n+1)が設定されているので、接続情報を更新する必要はない。
そこで、ステップS811において、無線LAN端末装置150は、独立ネットワーク構成機器450と通信し、通常の作業を実施する。
作業終了後、ステップS812において、アクセスポイント接続制御部163が、無線LANアクセスポイント装置260との接続を切断する。
If it is determined that the generation i of the wireless LAN connection information is n + 1, the process proceeds to step S811.
In this case, since the latest wireless LAN connection information (n + 1) is already set in the wireless LAN
Therefore, in step S811, the wireless LAN
After the work is completed, in step S812, the access point
無線LANアクセスポイント装置260に無線LAN接続情報(n+1)が設定済みである場合、次のようなケースが考えられる。
自分(例えば、無線LAN端末装置150a)が、すでに無線LANアクセスポイント装置260の更新を実施したケース。
この場合には、そのことを記憶しておけば、以上の手順を踏まず、単純に接続を試みるだけでもよい。
あるいは、他の無線LAN端末装置150bか無線LAN端末装置150cが、すでに無線LANアクセスポイント装置260の更新を実施したケース。
この場合には、無線LANアクセスポイント装置260がどの世代の接続情報を使っているかわからないので、以上の手順が必要である。
When the wireless LAN connection information (n + 1) is already set in the wireless LAN
A case where oneself (for example, the wireless
In this case, if it is memorized, it is possible to simply try connection without following the above procedure.
Alternatively, another wireless LAN
In this case, since the generation information of the connection information used by the wireless LAN
ステップS807において、接続に使用した無線LAN接続情報が第n+1世代でないと判断した場合は、S808に進む。
この場合、接続情報を無線LAN接続情報(n+1)に更新する必要がある。
無線LAN端末装置150では、ステップS808において、接続情報更新要求部173が、無線LAN接続情報更新要求(電文702)をアクセスポイント管理装置270に対して送信する。無線LAN接続情報更新要求(電文702)は、アクセスポイント管理装置鍵で暗号化された無線LAN接続情報(n+1)(更新情報)を含んでいる。
If it is determined in step S807 that the wireless LAN connection information used for connection is not the (n + 1) th generation, the process proceeds to S808.
In this case, it is necessary to update the connection information to wireless LAN connection information (n + 1).
In the wireless LAN
その後、無線LAN端末装置150は、ステップS809において、独立ネットワーク構成機器450と通信し、通常の作業を実施する。
作業終了後、無線LAN端末装置150は、ステップS810において、図示していない無線LAN切断通知送信部が、無線LAN切断通知(電文703)を、アクセスポイント管理装置270に対して送信する。
最後に、無線LAN端末装置150は、ステップS812において、アクセスポイント接続制御部163が、無線LANアクセスポイント装置260との接続を切断する。
Thereafter, in step S809, the wireless LAN
After completion of the work, in step S810, the wireless LAN disconnection notification transmission unit (not shown) transmits a wireless LAN disconnection notification (message 703) to the access
Finally, in step S812, the access point
なお、ステップS804において、第n世代以前の無線LAN接続情報(n−1)〜(n−k)で接続に成功した場合には、本来実施されるべき無線LAN接続情報(n)またはそれ以前の無線LAN接続情報の更新が行われなかったことを意味する。この理由としては接続情報管理サーバ装置350での無線LAN接続情報の更新間隔よりも、独立ネットワーク650への訪問間隔が長かったため無線LAN接続情報(n)が適用されなかったことを意味しており、この実施の形態の動作としては正常である。
In step S804, if the connection succeeds with the wireless LAN connection information (n-1) to (n-k) before the nth generation, the wireless LAN connection information (n) to be originally implemented or earlier. This means that the wireless LAN connection information has not been updated. This is because the wireless LAN connection information (n) was not applied because the visit interval to the independent network 650 was longer than the update interval of the wireless LAN connection information in the connection information
図13は、「無線LAN接続情報設定フェーズ」におけるアクセスポイント管理装置270の制御の流れの一例を示すフローチャート図である。
FIG. 13 is a flowchart illustrating an example of a control flow of the access
アクセスポイント管理装置270では、ステップS901において、接続情報更新要求受信部271が、無線LAN端末装置150から、無線LAN接続情報更新要求(電文702)を受信する。無線LAN接続情報更新要求(電文702)は、アクセスポイント管理装置鍵で暗号化された無線LAN接続情報(n+1)を含んでいる。
In the access
ステップS902において、管理装置共有情報復号部292が、無線LAN接続情報(n+1)を、管理装置共有鍵記憶部291が記憶したアクセスポイント管理装置鍵で復号する。
この復号した無線LAN接続情報(n+1)のSSIDとWEP鍵が、無線LANアクセスポイント装置260に設定・更新すべき無線LAN接続情報である。
アクセスポイント管理装置鍵は、接続情報管理サーバ装置350とアクセスポイント管理装置270とだけが秘密に管理している共有鍵なので、無線LAN接続情報が途中で漏洩したり、改変されたりすることがない。
In step S902, the management apparatus shared
The decrypted wireless LAN connection information (n + 1) SSID and WEP key are wireless LAN connection information to be set / updated in the wireless LAN
Since the access point management device key is a shared key that is secretly managed only by the connection information
ここで、すぐに接続情報設定部273が、無線LAN接続情報を更新してもよい。
その場合には、既に確立された無線LAN端末装置150と無線LANアクセスポイント装置260との接続を切断し、更新された無線LAN接続情報で、再び接続することが必要となる。
そうすれば、正しく無線LAN接続情報が更新されたかを確認することができるので、好ましい場合もある。
Here, the connection
In that case, it is necessary to disconnect the connection between the already established wireless LAN
By doing so, it can be confirmed that the wireless LAN connection information has been correctly updated, which may be preferable.
しかし、そうすると、再び接続動作をやり直す必要が生じるので、無線LAN端末装置150と独立ネットワーク構成機器450とが通信して行う通常の作業を開始するのが遅れてしまう。
また、この通信が悪意の第三者に傍受され、接続情報が解読されてしまった場合であっても、古い接続情報により接続していれば、解読された接続情報は古いものである。したがって、作業終了後、最新の接続情報に更新したあとで、悪意の第三者が接続を試みても、古い接続情報では接続することはできず、不正アクセスを防止することができる。
そこで、この実施の形態では、通常の作業が終了するのを待ってから、無線LAN接続情報を更新することとし、通常の作業に支障がでないようにしている。
However, if it does so, it will be necessary to redo the connection operation again, so that it will be delayed to start normal work performed by communication between the wireless LAN
Even if this communication is intercepted by a malicious third party and the connection information is decrypted, the decrypted connection information is old as long as the connection is made with the old connection information. Therefore, even if a malicious third party attempts to connect after updating to the latest connection information after the work is completed, the old connection information cannot be used for connection, and unauthorized access can be prevented.
Therefore, in this embodiment, the wireless LAN connection information is updated after waiting for normal work to end so that normal work is not hindered.
アクセスポイント管理装置270では、ステップS903において、図示していない無線LAN切断通知受信部が、無線LAN端末装置150から無線LAN切断通知(電文703)を受信したかどうかを判断する。
無線LAN切断通知(電文703)を受信したと判断した場合は、S905に進む。
この場合、無線LAN端末装置150が無線ネットワークを利用した作業を完了したということなので、無線LANアクセスポイント装置260の設定を変更しても良い状態となったことがわかる。
ステップS905において、接続情報設定部273が、無線LANアクセスポイント装置260に対し、接続情報設定要求(電文705)を送信する。接続情報設定要求(電文705)は、無線LAN接続情報(n+1)を含んでいる。
In step S903, the access
If it is determined that the wireless LAN disconnection notification (message 703) has been received, the process proceeds to S905.
In this case, since the wireless LAN
In step S905, the connection
電文の欠落、不正な操作等の原因により、無線LAN切断通知(電文703)を受信できない場合もあり得る。
そこで、アクセスポイント管理装置270では、ステップS904において、接続情報設定部273が、所定の時間が経過したかどうかを判断する。
無線LAN端末装置150が作業を完了するに十分な時間を待っても、無線LAN切断通知(電文703)を受信しない場合には、何らかの原因で受信に失敗したものと判断し、やはりステップS905に進んで、接続情報設定要求(電文705)を送信する。
There may be a case where the wireless LAN disconnection notification (telegram 703) cannot be received due to a lack of a telegram or an illegal operation.
Therefore, in the access
If the wireless LAN
図14は、「無線LAN接続情報設定フェーズ」における無線LANアクセスポイント装置260の制御の流れの一例を示すフローチャート図である。
なお、無線LAN端末装置150の認証手順については、省略してある。
FIG. 14 is a flowchart showing an example of a control flow of the wireless LAN
Note that the authentication procedure of the wireless LAN
無線LANアクセスポイント装置260では、ステップS1001において、接続情報更新部272が、無線LAN接続情報設定要求(電文705)をアクセスポイント管理装置270から受信する。無線LAN接続情報設定要求(電文705)は、無線LAN接続情報(n+1)を含んでいる。
In the wireless LAN
ステップS1002において、接続情報更新部272が、アクセスポイント接続情報記憶部262に無線LAN接続情報(n+1)を記憶させる。これにより、無線LAN接続情報の更新が完了する。
In step S1002, the connection
このように、無線LAN接続情報を、接続情報管理サーバ装置350が生成し、無線LAN端末装置150が運搬し、アクセスポイント管理装置270がチェックしたのち、無線LANアクセスポイント装置260の接続情報を更新するので、途中で無線LAN接続情報が知られることがなく、安全に、無線LAN接続情報を更新できる。
In this way, after the wireless LAN connection information is generated by the connection information
WEP方式による接続認証を行う場合、認証後の通信の暗号化にも同じWEP鍵を使うので、通信を傍受した悪意の第三者によってWEP鍵が解読されてしまう危険がある。また、SSIDも認証後の通信のたびにやり取りされるので、通信を傍受した悪意の第三者に知られてしまう。
同じWEP鍵を使い続けていると、その分、WEP鍵を解読されてしまう危険が増大するので、接続情報は頻繁に更新することが望ましい。
When connection authentication by the WEP method is performed, the same WEP key is used for encryption of communication after authentication, so that there is a risk that the WEP key may be decrypted by a malicious third party who intercepts the communication. Moreover, since SSID is also exchanged for every communication after authentication, it will be known to the malicious third party who intercepted communication.
If the same WEP key is continuously used, the risk of the WEP key being decrypted increases accordingly, so it is desirable to update the connection information frequently.
この実施の形態では、無線LAN端末装置150が実際に作業を行うために出動したときに接続情報の更新が行なえるので、接続情報を更新するためだけに特別な出動を行う必要はなく、頻繁に接続情報を更新してもコストが増加することがないという効果を奏する。
In this embodiment, since the connection information can be updated when the wireless LAN
また、この実施の形態では、無線LAN端末装置150による作業が終了してから、無線LAN接続情報を更新する。したがって、作業中の通信は、更新前のWEP鍵及びSSIDで行われる。
仮に、悪意の第三者がこの通信を傍受して、WEP鍵及びSSIDを知り、無線LANアクセスポイント装置260に接続を試みたとする。
しかし、それが作業終了後であれば、無線LANアクセスポイント装置260の接続情報が更新されているので、悪意の第三者は認証されず、不正アクセスの試みは失敗する。
In this embodiment, the wireless LAN connection information is updated after the work by the wireless LAN
Suppose that a malicious third party intercepts this communication, knows the WEP key and SSID, and tries to connect to the wireless LAN
However, if it is after the work is completed, since the connection information of the wireless LAN
このように、作業終了後に接続情報を更新する構成とすることにより、たとえWEP鍵を解読されてしまった場合であっても、不正なアクセスを防止することができ、安全性が高くなる。 Thus, by adopting a configuration in which the connection information is updated after the work is completed, even if the WEP key has been decrypted, unauthorized access can be prevented and the safety is increased.
この実施の形態では、無線LANとの接続認証の方法としてWEP方式を用いている。また、無線LAN通信の暗号化の方法としてもWEP方式を用いている。そこで、この実施の形態では、更新する無線LAN接続情報もWEP鍵としている。
しかし、他の認証方法や暗号化方法を使用しても構わない。
その場合、それらの認証に用いるパスワードや暗号化に用いる暗号鍵を、この実施の形態と同様の方式で、更新することができる。
すなわち、いずれも無線LAN接続認証と無線LAN通信暗号に用いるパスワードやパスフレーズなどの共有情報であれば、更新可能である。例えば、利用可能な無線LAN接続認証方式、無線LAN通信暗号方式としては、WPA(Wi−Fi Protected Access)−PSK(Pre−Shared Key)、TKIP(Temporal Key Integrity Protocol)、AES(Advanced Encryption Standard)などがある。
In this embodiment, the WEP method is used as a method for connection authentication with a wireless LAN. The WEP method is also used as a method for encrypting wireless LAN communication. Therefore, in this embodiment, the wireless LAN connection information to be updated is also used as the WEP key.
However, other authentication methods and encryption methods may be used.
In that case, the password used for the authentication and the encryption key used for the encryption can be updated by the same method as in this embodiment.
In other words, any shared information such as a password or passphrase used for wireless LAN connection authentication and wireless LAN communication encryption can be updated. For example, available wireless LAN connection authentication methods and wireless LAN communication encryption methods include WPA (Wi-Fi Protected Access) -PSK (Pre-Shared Key), TKIP (Temporal Key Integrity Protocol), AES (Advanced Encrypted Encryption). and so on.
更にいえば、互いに接続していない装置(例えば、接続情報管理サーバ装置350と無線LANアクセスポイント装置260)が共有しなければならない情報を、秘密裏に管理したい場合、この実施の形態と同様の方式によって、管理・更新することができる。
Furthermore, when information that must be shared by devices that are not connected to each other (for example, the connection information
また、この実施の形態では、無線LAN接続情報の暗号化/復号の方式として、DES方式を用いたが、データの暗号化/復号を行える方式であれば、TripleDES、MISTY(登録商標:Mitsubishi Improved Secure Technology)などの異なる暗号化/復号方式を用いても良い。 In this embodiment, the DES method is used as the wireless LAN connection information encryption / decryption method. However, as long as the data can be encrypted / decrypted, TripleDES, MISTY (registered trademark: Mitsubishi Improved) is used. Different encryption / decryption schemes such as Secure Technology may be used.
また、この実施の形態では、ステップS803〜ステップS806に示したように、無線LAN端末装置150が無線LANアクセスポイント装置260への接続を試みる方法として、SSIDとWEP鍵のセットで順に接続を試行する方法としている。
しかし、無線LANアクセスポイント装置260がビーコンとしてSSIDを送信し、無線LAN端末装置150がそれを受信することで、無線LANアクセスポイント装置260が使用しているSSIDを知る構成としてもよい。
その場合、無線LAN端末装置150は、記憶する無線LAN接続情報(n+1)〜(n−k)のなかから、SSIDが合致するものを探し、その世代のWEP鍵を用いて接続を試行することとすれば、接続に失敗することがなくなる。これは、無線LANアクセスポイント装置が更新する無線LAN接続情報としてSSIDを含めることで可能となる。
これにより、無線LAN接続のための時間が短縮できるという効果がある。
In this embodiment, as shown in steps S803 to S806, as a method for the wireless LAN
However, the wireless LAN
In that case, the wireless LAN
Thereby, there is an effect that time for wireless LAN connection can be shortened.
ここで説明した無線LAN接続情報更新システムは、以下の特徴を有している。 The wireless LAN connection information update system described here has the following features.
無線LAN端末装置と無線LANアクセスポイント装置をそれぞれ相互に接続可能にする無線LANの接続情報として配布・設定済みの第n世代の接続情報(無線LAN接続情報(n))を更新する第n+1世代の接続情報(無線LAN接続情報(n+1))を生成して、無線LANアクセスポイント装置と無線LAN端末装置に配布・更新する接続情報管理サーバ装置は、独立した第一のネットワークを構成する。
無線LAN端末装置をネットワークに接続させる無線LANアクセスポイント装置と、有線ネットワークに接続して無線LANアクセスポイント装置に無線LAN更新情報を設定するアクセスポイント管理装置とは、有線ネットワークと無線ネットワークからなる独立した第二のネットワークを構成する。
一つ以上の無線LAN端末装置は、第一のネットワークと一つ以上の第二のネットワーク間を移動して、それぞれのネットワークに接続する。
このような構成で、接続情報管理サーバ装置が、無線LAN接続情報(n)を設定済みの一つ以上の独立した第二のネットワークを構成する無線LANアクセスポイント装置と、同じく無線LAN接続情報(n)を設定済みの一つ以上の無線LAN端末装置に対して、無線LAN接続情報(n+1)を配布・更新する無線LAN接続情報更新システムである。
The (n + 1) th generation for updating the nth generation connection information (wireless LAN connection information (n)) distributed and set as wireless LAN connection information that enables the wireless LAN terminal device and the wireless LAN access point device to be connected to each other. The connection information management server device that generates the connection information (wireless LAN connection information (n + 1)) and distributes / updates it to the wireless LAN access point device and the wireless LAN terminal device constitutes an independent first network.
A wireless LAN access point device that connects a wireless LAN terminal device to a network and an access point management device that connects to a wired network and sets wireless LAN update information in the wireless LAN access point device are independent of the wired network and the wireless network. Configure the second network.
One or more wireless LAN terminal devices move between the first network and the one or more second networks, and connect to the respective networks.
In such a configuration, the connection information management server device has the same wireless LAN connection information (as well as the wireless LAN access point device that constitutes one or more independent second networks for which wireless LAN connection information (n) has been set. The wireless LAN connection information updating system distributes and updates wireless LAN connection information (n + 1) to one or more wireless LAN terminal devices for which n) has been set.
接続情報管理サーバ装置は、少なくとも以前に生成した1世代以上の無線LAN接続情報を記憶する接続情報記憶部と、第n+1世代の無線LAN接続情報(n+1)を生成する接続情報生成部と、少なくとも生成した第n+1世代の無線LAN接続情報(n+1)と以前に生成した第n世代の無線LAN接続情報とを、第一のネットワークに接続した無線LAN端末装置に配布する接続情報配布部とを有する。 The connection information management server device includes at least a connection information storage unit that stores one or more generations of wireless LAN connection information generated previously, a connection information generation unit that generates (n + 1) th generation wireless LAN connection information, A connection information distribution unit that distributes the generated n + 1 generation wireless LAN connection information (n + 1) and the previously generated n generation wireless LAN connection information to the wireless LAN terminal device connected to the first network; .
無線LAN端末装置は、第一のネットワークに接続して接続情報管理サーバ装置から少なくとも生成した第n+1世代の無線LAN接続情報(n+1)と以前に生成した第n世代の無線LAN接続情報(n)とを受信する接続情報受信部と、受信した無線LAN接続情報を記憶する端末接続情報記憶部と、第二のネットワークに第n世代の無線LAN接続情報(n)により接続するアクセスポイント接続制御部と、第二のネットワークに接続したアクセスポイント管理装置に第n+1世代の無線LAN接続情報(n+1)を含む無線LAN接続情報の更新要求を送信する接続情報更新要求部とを有する。 The wireless LAN terminal device connects to the first network and at least the (n + 1) th generation wireless LAN connection information (n + 1) generated from the connection information management server device and the previously generated nth generation wireless LAN connection information (n). Connection information receiving unit, a terminal connection information storage unit for storing the received wireless LAN connection information, and an access point connection control unit for connecting to the second network by the nth generation wireless LAN connection information (n) And a connection information update request unit that transmits an update request for wireless LAN connection information including the (n + 1) th generation wireless LAN connection information (n + 1) to the access point management apparatus connected to the second network.
アクセスポイント管理装置は、無線LAN端末装置から無線LANアクセスポイント装置を更新する第n+1世代の無線LAN接続情報(n+1)を含む無線LAN接続情報の更新要求を受信する接続情報更新要求受信部と、任意のタイミングで第n+1世代の無線LAN接続情報(n+1)を無線LANアクセスポイント装置に送信して設定する接続情報設定部とを有する。 The access point management device includes a connection information update request receiving unit that receives an update request for wireless LAN connection information including the (n + 1) th generation wireless LAN connection information (n + 1) for updating the wireless LAN access point device from the wireless LAN terminal device; A connection information setting unit configured to transmit and set the (n + 1) th generation wireless LAN connection information (n + 1) to the wireless LAN access point device at an arbitrary timing.
無線LANアクセスポイント装置は、無線LAN端末からの第n世代の無線LAN接続情報(n)により接続を受け付ける無線LAN接続制御部と、第二のネットワークの無線ネットワークと有線ネットワークとの通信を無線LAN接続情報に基づき相互にブリッジする無線/有線ブリッジ部と、無線LAN接続情報を記憶するアクセスポイント接続情報記憶部と、アクセスポイント管理装置から無線LAN接続情報(n+1)を受信してアクセスポイント接続情報記憶部に設定する接続情報更新部とを有する。 The wireless LAN access point device communicates with a wireless LAN connection control unit that accepts connection based on the nth generation wireless LAN connection information (n) from a wireless LAN terminal, and a wireless network and a wired network of the second network. A wireless / wired bridge unit that bridges based on connection information, an access point connection information storage unit that stores wireless LAN connection information, and wireless LAN connection information (n + 1) received from an access point management device and access point connection information A connection information update unit set in the storage unit.
ここで説明した無線LAN接続情報更新システムは、無線LAN接続情報が少なくとも無線LAN接続認証鍵と無線LAN通信暗号鍵を含むことも特徴である。 The wireless LAN connection information update system described here is also characterized in that the wireless LAN connection information includes at least a wireless LAN connection authentication key and a wireless LAN communication encryption key.
ここで説明した無線LAN接続情報更新システムは、無線LAN接続情報が少なくとも無線LANアクセスポイント装置のSSIDを含むことも特徴である。 The wireless LAN connection information updating system described here is also characterized in that the wireless LAN connection information includes at least the SSID of the wireless LAN access point device.
ここで説明した無線LAN接続情報更新システムは、アクセスポイント管理装置が接続情報設定部により第n+1世代の無線LAN接続情報(n+1)を無線LANアクセスポイント装置に送信して設定するタイミングを、無線LAN端末装置が無線LANアクセスポイント装置との接続を解除した後に行うことも特徴である。 In the wireless LAN connection information update system described here, the access point management device transmits the wireless LAN connection information (n + 1) of the (n + 1) th generation to the wireless LAN access point device by the connection information setting unit, and sets the wireless LAN connection information update timing. It is also characterized in that it is performed after the terminal device releases the connection with the wireless LAN access point device.
ここで説明した無線LAN接続情報更新システムは、更に以下の特徴も有している。 The wireless LAN connection information update system described here also has the following features.
接続情報管理サーバ装置は、無線LAN端末装置と共有する暗号鍵である無線LAN端末装置鍵と、アクセスポイント管理装置と共有する暗号鍵であるアクセスポイント管理装置鍵とを記憶する共有鍵記憶部と、生成した第n+1世代の無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で暗号化する管理装置共有情報暗号部と、以前に生成した第n世代の無線LAN接続情報(n)を無線LAN端末装置鍵で暗号化する端末共有情報暗号化部とを有する。
接続情報記憶部が記憶した無線LAN接続情報(n)を無線LAN端末装置鍵で暗号化するとともに、接続情報生成部が生成した無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で暗号化して、接続情報配布部が無線LAN端末装置に配布する。
The connection information management server device includes a shared key storage unit that stores a wireless LAN terminal device key that is an encryption key shared with the wireless LAN terminal device and an access point management device key that is an encryption key shared with the access point management device. A management device shared information encryption unit that encrypts the generated n + 1 generation wireless LAN connection information (n + 1) with an access point management device key, and a previously generated n generation wireless LAN connection information (n) as a wireless LAN. A terminal shared information encryption unit that encrypts with the terminal device key.
The wireless LAN connection information (n) stored in the connection information storage unit is encrypted with the wireless LAN terminal device key, and the wireless LAN connection information (n + 1) generated by the connection information generation unit is encrypted with the access point management device key. The connection information distribution unit distributes to the wireless LAN terminal device.
無線LAN端末装置は、接続情報管理サーバ装置と共有する暗号鍵である無線LAN端末装置鍵を記憶する端末装置共有鍵記憶部と、第n世代の無線LAN接続情報(n)を無線LAN端末装置鍵で復号する端末装置共有情報復号部とを有する。
接続情報受信部が第一のネットワークに接続して接続情報管理サーバ装置から無線LAN端末装置鍵で暗号化された無線LAN接続情報(n)とアクセスポイント管理装置鍵で暗号化された無線LAN接続情報(n+1)とを受信して、受信した無線LAN接続情報は端末情報記憶部が記憶する。
さらに、無線LAN端末装置は、無線LAN接続情報(n)を無線LAN端末装置鍵で復号して、アクセスポイント接続制御部が無線LAN接続情報(n)により第二のネットワークに接続したのち、接続情報更新要求部により第二のネットワークに接続したアクセスポイント管理装置に無線LAN接続情報(n+1)を含む無線LAN接続情報の更新要求を送信する。
The wireless LAN terminal device includes a terminal device shared key storage unit that stores a wireless LAN terminal device key, which is an encryption key shared with the connection information management server device, and the nth generation wireless LAN connection information (n). A terminal device shared information decryption unit for decrypting with a key.
The connection information receiving unit connects to the first network and the wireless LAN connection information (n) encrypted with the wireless LAN terminal device key from the connection information management server device and the wireless LAN connection encrypted with the access point management device key Information (n + 1) is received, and the received wireless LAN connection information is stored in the terminal information storage unit.
Further, the wireless LAN terminal device decrypts the wireless LAN connection information (n) with the wireless LAN terminal device key, and after the access point connection control unit connects to the second network with the wireless LAN connection information (n), the connection is established. The information update request unit transmits an update request for wireless LAN connection information including wireless LAN connection information (n + 1) to the access point management apparatus connected to the second network.
アクセスポイント管理装置は、接続情報管理サーバ装置と共有する暗号鍵であるアクセスポイント管理装置鍵を記憶する管理装置共有鍵記憶部と、第n+1世代の無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で復号する管理装置共有情報復号部とを有する。
接続情報更新要求受信部が暗号化された無線LAN接続情報(n+1)を受信して、この無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で復号して、接続情報設定部が無線LAN接続情報(n+1)を無線LANアクセスポイント装置に送信して設定する。
The access point management apparatus stores a management apparatus shared key storage unit that stores an access point management apparatus key, which is an encryption key shared with the connection information management server apparatus, and the (n + 1) th generation wireless LAN connection information (n + 1). And a management device shared information decryption unit that decrypts the key.
The connection information update request receiving unit receives the encrypted wireless LAN connection information (n + 1), decrypts the wireless LAN connection information (n + 1) with the access point management device key, and the connection information setting unit receives the wireless LAN connection. Information (n + 1) is transmitted to the wireless LAN access point device and set.
無線LANアクセスポイント装置は、接続情報更新部がアクセスポイント管理装置から無線LAN接続情報(n+1)を受信して設定する。 In the wireless LAN access point device, the connection information update unit receives and sets the wireless LAN connection information (n + 1) from the access point management device.
ここで説明した無線LAN接続情報更新システムは、以下の特徴も有している。 The wireless LAN connection information update system described here also has the following characteristics.
無線LAN端末装置と無線LANアクセスポイント装置をそれぞれ相互に接続可能にする無線LANの接続情報として配布・設定済みの第n世代以前のk世代分の接続情報(無線LAN接続情報(n)、無線LAN接続情報(n−1)、…、無線LAN接続情報(n−k))を更新する第n+1世代の接続情報(無線LAN接続情報(n+1))を生成して、無線LANアクセスポイント装置と無線LAN端末装置に配布・更新する接続情報管理サーバ装置は、独立した第一のネットワークを構成する。
無線LAN端末装置をネットワークに接続させる無線LANアクセスポイント装置と、有線ネットワークに接続して無線LANアクセスポイント装置に無線LAN更新情報を設定するアクセスポイント管理装置とは、有線ネットワークと無線ネットワークからなる独立した第二のネットワークを構成する。
一つ以上の無線LAN端末装置は、第一のネットワークと一つ以上の第二のネットワーク間を移動して、それぞれのネットワークに接続する。
このような構成で、接続情報管理サーバ装置が、無線LAN接続情報(n)から無線LAN接続情報(n−k)のいずれかを設定済みの一つ以上の独立した第二のネットワークを構成する無線LANアクセスポイント装置と、同じく無線LAN接続情報(n)から無線LAN接続情報(n−k)のいずれかを設定済みの一つ以上の無線LAN端末装置に対して、無線LAN接続情報(n+1)を配布・更新する無線LAN接続情報更新システムである。
Connection information (wireless LAN connection information (n), wireless connection information for k generations before and after the nth generation, distributed and set as wireless LAN connection information that enables the wireless LAN terminal device and the wireless LAN access point device to be connected to each other. Generating (n + 1) th generation connection information (wireless LAN connection information (n + 1)) for updating the LAN connection information (n−1),..., Wireless LAN connection information (n−k), and The connection information management server device distributed / updated to the wireless LAN terminal device constitutes an independent first network.
A wireless LAN access point device that connects a wireless LAN terminal device to a network and an access point management device that connects to a wired network and sets wireless LAN update information in the wireless LAN access point device are independent of the wired network and the wireless network. Configure the second network.
One or more wireless LAN terminal devices move between the first network and the one or more second networks, and connect to the respective networks.
With such a configuration, the connection information management server device configures one or more independent second networks in which any one of the wireless LAN connection information (n) to the wireless LAN connection information (nk) has been set. Similarly to the wireless LAN access point device, wireless LAN connection information (n + 1) is transmitted to one or more wireless LAN terminal devices in which any one of wireless LAN connection information (n) to wireless LAN connection information (nk) has been set. ) Is a wireless LAN connection information update system that distributes and updates.
接続情報管理サーバ装置は、以前に生成したn世代からn−k世代までの無線LAN接続情報を記憶する接続情報記憶部と、第n+1世代の無線LAN接続情報(n+1)を生成する接続情報生成部と、生成した第n+1世代の無線LAN接続情報(n+1)と以前に生成した第n世代の無線LAN接続情報から第n−k世代の無線LAN接続情報(n−k)とを、第一のネットワークに接続した無線LAN端末装置に配布する接続情報配布部とを有する。 The connection information management server device includes a connection information storage unit that stores wireless LAN connection information from the n generation to the nk generation generated previously, and a connection information generation that generates the (n + 1) th generation wireless LAN connection information (n + 1). A first n-th generation wireless LAN connection information (n + 1) and an n-k generation wireless LAN connection information (n-k) from the previously generated n-th generation wireless LAN connection information. A connection information distribution unit for distributing to a wireless LAN terminal device connected to the network.
無線LAN端末装置は、第一のネットワークに接続して接続情報管理サーバ装置から生成した第n+1世代の無線LAN接続情報(n+1)と以前に生成した第n世代の無線LAN接続情報(n)から第n−k世代の無線LAN接続情報(n−k)までを受信する接続情報受信部と、受信した無線LAN接続情報を記憶する端末接続情報記憶部と、第二のネットワークに第n世代の無線LAN接続情報(n)から第n−k世代の無線LAN接続情報(n−k)のいずれかにより接続するアクセスポイント接続制御部と、第二のネットワークに接続したアクセスポイント管理装置に第n+1世代の無線LAN接続情報(n+1)を含む無線LAN接続情報の更新要求を送信する接続情報更新要求部とを有する。 The wireless LAN terminal device is connected to the first network and is generated from the (n + 1) th generation wireless LAN connection information (n + 1) generated from the connection information management server device and the previously generated nth generation wireless LAN connection information (n). A connection information receiving unit that receives up to n-k generation wireless LAN connection information (nk), a terminal connection information storage unit that stores the received wireless LAN connection information, and an nth generation wireless LAN connection information in the second network. The access point connection control unit connected by any one of the wireless LAN connection information (n) to the nk-th generation wireless LAN connection information (nk) and the access point management apparatus connected to the second network are connected to the (n + 1) th. A connection information update request unit that transmits an update request for wireless LAN connection information including generation wireless LAN connection information (n + 1).
アクセスポイント管理装置は、無線LAN端末装置から無線LANアクセスポイント装置を更新する第n+1世代の無線LAN接続情報(n+1)を含む無線LAN接続情報の更新要求を受信する接続情報更新要求受信部と、第n+1世代の無線LAN接続情報(n+1)を無線LANアクセスポイント装置に送信して設定する接続情報設定部とを有する。 The access point management device includes a connection information update request receiving unit that receives an update request for wireless LAN connection information including the (n + 1) th generation wireless LAN connection information (n + 1) for updating the wireless LAN access point device from the wireless LAN terminal device; A connection information setting unit configured to transmit and set the n + 1 generation wireless LAN connection information (n + 1) to the wireless LAN access point device.
無線LANアクセスポイント装置は、無線LAN端末からの第n世代の無線LAN接続情報(n)から第n−k世代の無線LAN接続情報(n−k)のいずれか設定された無線LAN接続情報により接続を受け付ける無線LAN接続制御部と、第二のネットワークの無線ネットワークと有線ネットワークとの通信を無線LAN接続情報に基づき相互にブリッジする無線/有線ブリッジ部と、無線LAN接続情報を記憶するアクセスポイント接続情報記憶部と、アクセスポイント管理装置から無線LAN接続情報(n+1)を受信してアクセスポイント接続情報記憶部に設定する接続情報更新部とを有する。 The wireless LAN access point device uses the wireless LAN connection information set from any one of the nth generation wireless LAN connection information (n) to the nk generation wireless LAN connection information (nk) from the wireless LAN terminal. A wireless LAN connection control unit that accepts connection, a wireless / wired bridge unit that bridges communication between the wireless network and the wired network of the second network based on the wireless LAN connection information, and an access point that stores the wireless LAN connection information A connection information storage unit; and a connection information update unit that receives wireless LAN connection information (n + 1) from the access point management apparatus and sets the wireless LAN connection information in the access point connection information storage unit.
ここで説明した無線LAN接続情報更新システムは、無線LAN接続情報が少なくとも無線LAN接続認証鍵と無線LAN通信暗号鍵を含むことも特徴である。 The wireless LAN connection information update system described here is also characterized in that the wireless LAN connection information includes at least a wireless LAN connection authentication key and a wireless LAN communication encryption key.
ここで説明した無線LAN接続情報更新システムは、無線LAN接続情報が少なくとも無線LANアクセスポイント装置のSSIDを含むことも特徴である。 The wireless LAN connection information updating system described here is also characterized in that the wireless LAN connection information includes at least the SSID of the wireless LAN access point device.
ここで説明した無線LAN接続情報更新システムは、アクセスポイント管理装置が接続情報設定部が第n+1世代の無線LAN接続情報(n+1)を無線LANアクセスポイント装置に送信して設定するタイミングを、無線LAN端末装置が無線LANアクセスポイント装置との接続を解除した後に行うことも特徴である。 In the wireless LAN connection information update system described here, the access point management device transmits the wireless LAN connection information (n + 1) of the (n + 1) th generation to the wireless LAN access point device and sets the timing when the connection information setting unit sets the wireless LAN access point device. It is also characterized in that it is performed after the terminal device releases the connection with the wireless LAN access point device.
ここで説明した無線LAN接続情報更新システムは、更に、以下の特徴を有する。 The wireless LAN connection information update system described here further has the following features.
接続情報管理サーバ装置は、無線LAN端末装置と共有する暗号鍵である無線LAN端末装置鍵と、アクセスポイント管理装置と共有する暗号鍵であるアクセスポイント管理装置鍵とを記憶する共有鍵記憶部と、生成した第n+1世代の無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で暗号化する管理装置共有情報暗号化部と、生成した第n+1世代の無線LAN接続情報(n+1)と以前に生成した第n世代の無線LAN接続情報(n)から第n−k世代の無線LAN接続情報(n−k)までを無線LAN端末装置鍵で暗号化する端末共有情報暗号化部とを有する。
接続情報記憶部が記憶した無線LAN接続情報(n)から無線LAN接続情報(n−k)までを無線LAN端末装置鍵で暗号化するとともに、接続情報生成部が生成した無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で暗号化して、接続情報配布部が無線LAN端末装置に配布する。
The connection information management server device includes a shared key storage unit that stores a wireless LAN terminal device key that is an encryption key shared with the wireless LAN terminal device and an access point management device key that is an encryption key shared with the access point management device. A management device shared information encryption unit that encrypts the generated n + 1 generation wireless LAN connection information (n + 1) with the access point management device key, and the generated n + 1 generation wireless LAN connection information (n + 1) previously generated A terminal shared information encryption unit that encrypts the wireless LAN connection information (n) from the nth generation wireless LAN connection information (n) to the nk generation wireless LAN connection information (nk) with a wireless LAN terminal device key.
The wireless LAN connection information (n + 1) stored in the connection information storage unit is encrypted with the wireless LAN terminal device key from the wireless LAN connection information (n) to the wireless LAN connection information (n−k), and the wireless LAN connection information (n + 1) generated by the connection information generation unit ) Is encrypted with the access point management device key, and the connection information distribution unit distributes it to the wireless LAN terminal device.
無線LAN端末装置は、接続情報管理サーバ装置と共有する暗号鍵である無線LAN端末装置鍵を記憶する端末装置共有鍵記憶部と、第n+1世代の無線LAN接続情報(n+1)から第n−k世代の無線LAN接続情報(n−k)までを無線LAN端末装置鍵で復号する端末装置共有情報復号部とを有する。
接続情報受信部が第一のネットワークに接続して接続情報管理サーバ装置から無線LAN端末装置鍵で暗号化された無線LAN接続情報(n+1)から無線LAN接続情報(n−k)までとアクセスポイント管理装置鍵で暗号化された無線LAN接続情報(n+1)とを受信して、受信した無線LAN接続情報は端末情報記憶部が記憶する。
さらに、無線LAN端末装置は、無線LAN接続情報(n+1)から無線LAN接続情報(n−k)までを無線LAN端末装置鍵で復号して、アクセスポイント接続制御部により無線LAN接続情報(n+1)から無線LAN接続情報(n−k)のいずれかで第二のネットワークに接続したのち、無線LAN接続情報(n+1)以外の無線LAN接続情報で無線LANアクセスポイント装置に接続した場合に、接続情報更新要求部が第二のネットワークに接続したアクセスポイント管理装置に無線LAN接続情報(n+1)を含む無線LAN接続情報の更新要求を送信する。
The wireless LAN terminal device includes a terminal device shared key storage unit that stores a wireless LAN terminal device key, which is an encryption key shared with the connection information management server device, and the (n + 1) th generation wireless LAN connection information (n + 1) to the n−kth. A terminal device shared information decryption unit that decrypts up to generation wireless LAN connection information (n−k) with the wireless LAN terminal device key.
A connection information receiving unit connects to the first network, and access points from the wireless LAN connection information (n + 1) to the wireless LAN connection information (nk) encrypted with the wireless LAN terminal device key from the connection information management server device The wireless LAN connection information (n + 1) encrypted with the management apparatus key is received, and the received wireless LAN connection information is stored in the terminal information storage unit.
Further, the wireless LAN terminal device decrypts the wireless LAN connection information (n + 1) to the wireless LAN connection information (n−k) with the wireless LAN terminal device key, and the access point connection control unit uses the wireless LAN connection information (n + 1). After connecting to the second network with any of the wireless LAN connection information (n−k) to the wireless LAN access point device with the wireless LAN connection information other than the wireless LAN connection information (n + 1), the connection information The update request unit transmits an update request for wireless LAN connection information including wireless LAN connection information (n + 1) to the access point management apparatus connected to the second network.
アクセスポイント管理装置は、接続情報管理サーバ装置と共有する暗号鍵であるアクセスポイント管理装置鍵を記憶する管理装置共有鍵記憶部と、第n+1世代の無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で復号する管理装置共有情報復号部とを有する。
接続情報更新要求受信部が暗号化された無線LAN接続情報(n+1)を受信して、この無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で復号して、接続情報設定部が無線LAN接続情報(n+1)を無線LANアクセスポイント装置に送信して設定する。
無線LANアクセスポイント装置は、接続情報更新部がアクセスポイント管理装置から無線LAN接続情報(n+1)を受信して設定する。
The access point management apparatus stores a management apparatus shared key storage unit that stores an access point management apparatus key, which is an encryption key shared with the connection information management server apparatus, and the (n + 1) th generation wireless LAN connection information (n + 1). And a management device shared information decryption unit that decrypts the key.
The connection information update request receiving unit receives the encrypted wireless LAN connection information (n + 1), decrypts the wireless LAN connection information (n + 1) with the access point management device key, and the connection information setting unit receives the wireless LAN connection. Information (n + 1) is transmitted to the wireless LAN access point device and set.
In the wireless LAN access point device, the connection information update unit receives and sets the wireless LAN connection information (n + 1) from the access point management device.
100 端末装置、111 端末取得部、112 端末記憶部、113 端末通知部、114 端末判別部、121 更新情報取得部、122 更新情報記憶部、123 更新要求通知部、500 社内LAN、300 管理装置、311 認証情報生成部、312 管理記憶部、313 管理通知部、314 更新情報通知部、600 契約先LAN、200 認証装置、211 認証部、212 認証記憶部、221 更新要求取得部、222 認証更新部、150 無線LAN端末装置、151 接続情報受信部、152 端末接続情報記憶部、163 アクセスポイント接続制御部、173 接続情報更新要求部、191 端末装置共有鍵記憶部、192 端末装置共有情報復号部、550 イントラネット、551 有線/無線ネットワーク、350 接続情報管理サーバ装置、361 接続情報生成部、362 接続情報記憶部、353 接続情報配布部、391 共有鍵記憶部、392 管理装置共有情報暗号化部、393 端末共有情報暗号化部、650 独立ネットワーク、651 有線ネットワーク、652 無線ネットワーク、450 独立ネットワーク構成機器、250 認証装置、260 無線LANアクセスポイント装置、261 無線LAN接続制御部、262 アクセスポイント接続情報記憶部、272 接続情報更新部、281 無線通信インターフェース、282 無線/有線ブリッジ部、270 アクセスポイント管理装置、271 接続情報更新要求受信部、273 接続情報設定部、291 管理装置共有鍵記憶部、292 管理装置共有情報復号部、590 保守会社、690 保守作業現場、490 保守対象装置、810 無線ネットワーク機器、840 有線ネットワーク機器、851 有線ネットワーク、852 無線ネットワーク、860 無線LANアクセスポイント装置、861 無線LAN接続制御部、862 アクセスポイント接続情報記憶部、872 接続情報更新部、881 無線通信インターフェース、882 無線/有線ブリッジ部、901 CRT表示装置、902 K/B、903 マウス、904 FDD、905 CDD、906 プリンタ装置、907 スキャナ装置、910 システムユニット、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、931 電話器、932 FAX機、942 LAN。 100 terminal device, 111 terminal acquisition unit, 112 terminal storage unit, 113 terminal notification unit, 114 terminal determination unit, 121 update information acquisition unit, 122 update information storage unit, 123 update request notification unit, 500 in-house LAN, 300 management device, 311 Authentication Information Generation Unit, 312 Management Storage Unit, 313 Management Notification Unit, 314 Update Information Notification Unit, 600 Contracted LAN, 200 Authentication Device, 211 Authentication Unit, 212 Authentication Storage Unit, 221 Update Request Acquisition Unit, 222 Authentication Update Unit 150 wireless LAN terminal apparatus 151 connection information receiving section 152 terminal connection information storage section 163 access point connection control section 173 connection information update request section 191 terminal apparatus shared key storage section 192 terminal apparatus shared information decoding section 550 Intranet, 551 wired / wireless network, 350 Continuation information management server device, 361 connection information generation unit, 362 connection information storage unit, 353 connection information distribution unit, 391 shared key storage unit, 392 management device shared information encryption unit, 393 terminal shared information encryption unit, 650 independent network , 651 wired network, 652 wireless network, 450 independent network component device, 250 authentication device, 260 wireless LAN access point device, 261 wireless LAN connection control unit, 262 access point connection information storage unit, 272 connection information update unit, 281 wireless communication Interface, 282 wireless / wired bridge unit, 270 access point management device, 271 connection information update request receiving unit, 273 connection information setting unit, 291 management device shared key storage unit, 292 management device shared information decryption unit, 590 maintenance company, 6 0 maintenance work site, 490 maintenance target device, 810 wireless network device, 840 wired network device, 851 wired network, 852 wireless network, 860 wireless LAN access point device, 861 wireless LAN connection control unit, 862 access point connection information storage unit, 872 Connection information update unit, 881 wireless communication interface, 882 wireless / wired bridge unit, 901 CRT display device, 902 K / B, 903 mouse, 904 FDD, 905 CDD, 906 printer device, 907 scanner device, 910 system unit, 911 CPU, 912 bus, 913 ROM, 914 RAM, 915 communication board, 920 magnetic disk device, 921 OS, 922 window system, 923 program group, 92 File group, 931 telephones, 932 FAX machine, 942 LAN.
Claims (12)
認証情報を複数記憶する端末記憶部と、
上記認証装置に対し、上記端末記憶部が記憶した認証情報を有する情報を通知する端末通知部と、
上記認証装置が端末装置の認証に成功したか否かを判断し、成功したと判断した場合に、上記端末通知部が通知した認証情報が所定の認証情報であるか否かを判別する端末判別部と、
上記端末通知部が通知した認証情報が、所定の認証情報でないと上記端末判別部が判別した場合に、上記認証装置に対し、認証情報の更新を要求する更新要求を通知する更新要求通知部と、
を有することを特徴とする端末装置。 In the terminal device that notifies the information having the authentication information to the authentication device that performs authentication based on the authentication information,
A terminal storage unit for storing a plurality of authentication information;
A terminal notification unit for notifying the authentication device of information having authentication information stored in the terminal storage unit;
A terminal determination that determines whether or not the authentication device has successfully authenticated the terminal device, and determines whether or not the authentication information notified by the terminal notification unit is predetermined authentication information when it is determined that the authentication has succeeded And
An update request notification unit for notifying the authentication device of an update request for updating the authentication information when the terminal determination unit determines that the authentication information notified by the terminal notification unit is not predetermined authentication information; ,
The terminal device characterized by having.
上記認証装置が端末装置の認証に成功したか否かを判断し、成功したと判断した場合に、上記端末通知部が通知した認証情報が、上記端末記憶部が記憶した認証情報のうち最新の認証情報であるか否かを判別する
ことを特徴とする請求項1に記載の端末装置。 The terminal discrimination unit
When the authentication device determines whether or not the authentication of the terminal device is successful, and when it is determined that the authentication is successful, the authentication information notified by the terminal notification unit is the latest among the authentication information stored in the terminal storage unit The terminal device according to claim 1, wherein it is determined whether or not the authentication information.
上記所定の認証情報を含む情報を更新情報として記憶する更新情報記憶部を有し、
上記更新要求通知部は、更に、
上記端末通知部が通知した認証情報が、所定の認証情報でないと上記端末判別部が判別した場合に、上記認証装置に対し、上記更新情報記憶部が記憶した更新情報を通知する
ことを特徴とする請求項1に記載の端末装置。 The terminal device further includes:
An update information storage unit that stores information including the predetermined authentication information as update information,
The update request notification unit further includes:
When the terminal determination unit determines that the authentication information notified by the terminal notification unit is not predetermined authentication information, the update information stored in the update information storage unit is notified to the authentication device. The terminal device according to claim 1.
認証情報を管理し更新情報を生成する管理装置から上記更新情報を取得する更新情報取得部
を有し、
上記更新情報記憶部は、
上記更新情報取得部が取得した更新情報を記憶し、
上記更新要求通知部は、更に、
上記端末通知部が通知した認証情報が、所定の認証情報でないと上記端末判別部が判別した場合に、上記認証装置に対し、上記更新情報を生成した装置を証明する情報を通知する
ことを特徴とする請求項3に記載の端末装置。 The terminal device further includes:
An update information acquisition unit that acquires the update information from a management device that manages authentication information and generates update information,
The update information storage unit
Store the update information acquired by the update information acquisition unit,
The update request notification unit further includes:
When the terminal determination unit determines that the authentication information notified by the terminal notification unit is not predetermined authentication information, the authentication device is notified of information proving the device that generated the update information. The terminal device according to claim 3.
上記認証装置が認証に成功した場合に、無線LAN(ローカルエリアネットワーク)へ接続する
ことを特徴とする請求項1乃至請求項4のいずれかに記載の端末装置。 The terminal device is
The terminal device according to claim 1, wherein when the authentication device is successfully authenticated, the terminal device is connected to a wireless LAN (local area network).
上記無線LANとの通信データを暗号化する暗号鍵を、上記認証情報として記憶し、
上記端末通知部は、
上記認証装置が通知する情報を取得し、取得した情報を上記端末記憶部が記憶した暗号鍵を用いて暗号化し、暗号化した情報を上記認証装置に対して通知する
ことを特徴とする請求項5に記載の端末装置。 The terminal storage unit
An encryption key for encrypting communication data with the wireless LAN is stored as the authentication information,
The terminal notification part
The information acquired by the authentication device is acquired, the acquired information is encrypted using an encryption key stored in the terminal storage unit, and the encrypted information is notified to the authentication device. 5. The terminal device according to 5.
認証情報を記憶する認証記憶部と、
上記認証記憶部が記憶する認証情報の更新を要求する更新要求を上記端末装置から取得する更新要求取得部と、
上記更新要求取得部が取得した更新要求が正規のものであるか否かを判断し、正規のものであると判断した場合に、上記認証記憶部が記憶した認証情報を更新する認証更新部と、
を有することを特徴とする認証装置。 In the authentication device that authenticates the terminal device based on the authentication information notified by the terminal device,
An authentication storage unit for storing authentication information;
An update request acquisition unit that acquires an update request for requesting an update of authentication information stored in the authentication storage unit from the terminal device;
An authentication update unit that determines whether or not the update request acquired by the update request acquisition unit is legitimate, and updates the authentication information stored in the authentication storage unit when it is determined that the update request is legitimate. ,
An authentication apparatus comprising:
上記端末装置から、認証情報を含む情報を更新情報として取得し、
上記認証更新部は、
上記更新要求取得部が取得した更新要求が正規のものであるか否かを判断し、正規のものであると判断した場合に、上記更新要求取得部が取得した更新情報から認証情報を取得し、上記認証記憶部に記憶させる
ことを特徴とする請求項7に記載の認証装置。 The update request acquisition unit further includes:
Obtain information including authentication information as update information from the terminal device,
The authentication update unit
It is determined whether or not the update request acquired by the update request acquisition unit is legitimate. If it is determined that the update request is legitimate, authentication information is acquired from the update information acquired by the update request acquisition unit. The authentication device according to claim 7, wherein the authentication device is stored in the authentication storage unit.
上記更新情報を生成した装置を証明する情報を証明情報として上記端末装置から取得し、
上記認証更新部は、
上記更新要求取得部が取得した証明情報を検証し、上記更新情報を生成した装置が所定の装置であると判断した場合に、上記更新要求取得部が取得した更新情報から認証情報を取得し、上記認証記憶部に記憶させる
ことを特徴とする請求項8に記載の認証装置。 The update request acquisition unit further includes:
Acquiring information from the terminal device as proof information to certify the device that generated the update information,
The authentication update unit
When the verification information acquired by the update request acquisition unit is verified and it is determined that the device that generated the update information is a predetermined device, the authentication information is acquired from the update information acquired by the update request acquisition unit, The authentication device according to claim 8, wherein the authentication device is stored in the authentication storage unit.
上記端末装置の認証に成功した場合に、上記端末装置の無線LANへの接続を許可する
ことを特徴とする請求項7乃至請求項9のいずれかに記載の認証装置。 The authentication device
10. The authentication device according to claim 7, wherein when the authentication of the terminal device is successful, the connection of the terminal device to a wireless LAN is permitted.
上記端末装置と上記無線LANとの通信が終了したか否かを判断し、終了したと判断した場合に、上記認証記憶部が記憶した認証情報を更新する
ことを特徴とする請求項10に記載の認証装置。 The authentication update unit
The authentication information stored in the authentication storage unit is updated when it is determined whether or not communication between the terminal device and the wireless LAN has ended. Authentication device.
上記端末装置と、上記無線LANとの通信を暗号化する暗号鍵を上記認証情報として記憶し、
上記認証装置は、更に、
上記端末装置に対して所定の情報を通知し、通知した情報を上記端末装置が暗号化した情報を、上記端末装置から取得し、取得した情報を上記認証記憶部が記憶した暗号鍵を用いて復号し、復号した情報と通知した情報とを比較して一致するか否かを判断し、一致すると判断した場合に、上記端末装置を認証する認証部
を有することを特徴とする請求項10に記載の認証装置。 The authentication storage unit
An encryption key for encrypting communication between the terminal device and the wireless LAN is stored as the authentication information,
The authentication device further includes:
The terminal device is notified of predetermined information, the information obtained by encrypting the notified information by the terminal device is acquired from the terminal device, and the acquired information is stored using the encryption key stored in the authentication storage unit. The decryption information is compared with the notified information to determine whether or not they match, and when it is determined that they match, an authentication unit that authenticates the terminal device is provided. The authentication device described.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005168051A JP4777693B2 (en) | 2005-06-08 | 2005-06-08 | Authentication system, terminal device, authentication device, and authentication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005168051A JP4777693B2 (en) | 2005-06-08 | 2005-06-08 | Authentication system, terminal device, authentication device, and authentication method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006345150A true JP2006345150A (en) | 2006-12-21 |
| JP4777693B2 JP4777693B2 (en) | 2011-09-21 |
Family
ID=37641783
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005168051A Expired - Fee Related JP4777693B2 (en) | 2005-06-08 | 2005-06-08 | Authentication system, terminal device, authentication device, and authentication method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4777693B2 (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009094592A (en) * | 2007-10-04 | 2009-04-30 | Hitachi Ltd | Communication system |
| JP2012070228A (en) * | 2010-09-24 | 2012-04-05 | Brother Ind Ltd | Access point, terminal and program |
| JP2014212557A (en) * | 2014-06-25 | 2014-11-13 | 住友電気工業株式会社 | On-vehicle device |
| US20200220718A1 (en) * | 2019-01-09 | 2020-07-09 | Brother Kogyo Kabushiki Kaisha | Terminal device and non-transitory computer-readable medium storing computer-readable instructions for terminal device |
| WO2024024021A1 (en) * | 2022-07-28 | 2024-02-01 | 楽天モバイル株式会社 | Credential information management in network |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11136234A (en) * | 1997-10-30 | 1999-05-21 | Nec Corp | User authentication system and user authentication method |
| JP2000322343A (en) * | 1999-05-11 | 2000-11-24 | Nec Corp | Method and device for transmitting electronic mail, and recording medium for storing program for transmitting electronic mail |
| JP2003174444A (en) * | 2001-12-06 | 2003-06-20 | Nippon Signal Co Ltd:The | Client/server system |
-
2005
- 2005-06-08 JP JP2005168051A patent/JP4777693B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11136234A (en) * | 1997-10-30 | 1999-05-21 | Nec Corp | User authentication system and user authentication method |
| JP2000322343A (en) * | 1999-05-11 | 2000-11-24 | Nec Corp | Method and device for transmitting electronic mail, and recording medium for storing program for transmitting electronic mail |
| JP2003174444A (en) * | 2001-12-06 | 2003-06-20 | Nippon Signal Co Ltd:The | Client/server system |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009094592A (en) * | 2007-10-04 | 2009-04-30 | Hitachi Ltd | Communication system |
| JP2012070228A (en) * | 2010-09-24 | 2012-04-05 | Brother Ind Ltd | Access point, terminal and program |
| US8699389B2 (en) | 2010-09-24 | 2014-04-15 | Brother Kogyo Kabushiki Kaisha | Access point and terminal device |
| JP2014212557A (en) * | 2014-06-25 | 2014-11-13 | 住友電気工業株式会社 | On-vehicle device |
| US20200220718A1 (en) * | 2019-01-09 | 2020-07-09 | Brother Kogyo Kabushiki Kaisha | Terminal device and non-transitory computer-readable medium storing computer-readable instructions for terminal device |
| US11736274B2 (en) * | 2019-01-09 | 2023-08-22 | Brother Kogyo Kabushiki Kaisha | Terminal device and non-transitory computer-readable medium storing computer-readable instructions for terminal device |
| WO2024024021A1 (en) * | 2022-07-28 | 2024-02-01 | 楽天モバイル株式会社 | Credential information management in network |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4777693B2 (en) | 2011-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4507623B2 (en) | Network connection system | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| CN108769007B (en) | Gateway security authentication method, server and gateway | |
| CN109510802B (en) | Authentication method, device and system | |
| CN108667791B (en) | Identity authentication method | |
| KR101568871B1 (en) | Encrypting method for vital control system | |
| CN112512048B (en) | Mobile network access system, method, storage medium and electronic device | |
| KR101558557B1 (en) | Method and server system for authenticating user based mobile phone number to replace input method of the ID and password | |
| KR20150135032A (en) | System and method for updating secret key using physical unclonable function | |
| JP4777693B2 (en) | Authentication system, terminal device, authentication device, and authentication method | |
| US8645681B1 (en) | Techniques for distributing secure communication secrets | |
| JP5319456B2 (en) | COMMUNICATION SYSTEM, ITS CONTROL METHOD, BASE STATION DEVICE, AND PROGRAM | |
| WO2020188679A1 (en) | Communication system | |
| JP6290044B2 (en) | Authentication system, authentication server, client device, and authentication method | |
| KR101213301B1 (en) | Apparatus and method for re-authentication treatment of downloadable conditional access system | |
| CN115473655B (en) | Terminal authentication method, device and storage medium for access network | |
| US20190379655A1 (en) | Data communication system | |
| CN108400967B (en) | Authentication method and authentication system | |
| JP7312279B2 (en) | MOBILE NETWORK ACCESS SYSTEM, METHOD, STORAGE MEDIUM AND ELECTRONIC DEVICE | |
| JP2001111538A (en) | Communication system, method therefor, communication equipment and ic card | |
| CN108270601B (en) | Mobile terminal, alarm information acquisition method and device and alarm information sending method and device | |
| KR101451163B1 (en) | System and method for access authentication for wireless network | |
| KR100782695B1 (en) | Device of security and authentication for remote access to process control system and method of the same | |
| KR100924951B1 (en) | Network Interworking Security Gateway Apparatus and Method | |
| JP2003143126A (en) | Security maintaining method, its execution system and its processing process |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080404 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101221 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110210 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110628 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110630 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4777693 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140708 Year of fee payment: 3 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| R371 | Transfer withdrawn |
Free format text: JAPANESE INTERMEDIATE CODE: R371 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |