JP2006520501A - 埋め込まれたプラットフォームのためのセキュアウェブブラウザベースシステム管理 - Google Patents
埋め込まれたプラットフォームのためのセキュアウェブブラウザベースシステム管理 Download PDFInfo
- Publication number
- JP2006520501A JP2006520501A JP2006507071A JP2006507071A JP2006520501A JP 2006520501 A JP2006520501 A JP 2006520501A JP 2006507071 A JP2006507071 A JP 2006507071A JP 2006507071 A JP2006507071 A JP 2006507071A JP 2006520501 A JP2006520501 A JP 2006520501A
- Authority
- JP
- Japan
- Prior art keywords
- parameter
- client terminal
- access point
- generating
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/20—Arrangements for detecting or preventing errors in the information received using signal quality detector
- H04L1/205—Arrangements for detecting or preventing errors in the information received using signal quality detector jitter monitoring
-
- H—ELECTRICITY
- H03—ELECTRONIC CIRCUITRY
- H03M—CODING; DECODING; CODE CONVERSION IN GENERAL
- H03M7/00—Conversion of a code where information is represented by a given sequence or number of digits to a code where the same, similar or subset of information is represented by a different sequence or number of digits
- H03M7/30—Compression; Expansion; Suppression of unnecessary data, e.g. redundancy reduction
- H03M7/46—Conversion to or from run-length codes, i.e. by representing the number of consecutive digits, or groups of digits, of the same kind by a code word and a digit indicative of that kind
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L7/00—Arrangements for synchronising receiver with transmitter
- H04L7/0054—Detection of the synchronisation error by features other than the received signal transition
- H04L7/0066—Detection of the synchronisation error by features other than the received signal transition detection of error based on transmission code rule
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本発明は、管理情報を処理するのにHTTPSによる保護に依存することなく、ActiveX制御またはプラグインを利用することにより、ウェブブラウザベースのリモート管理システムがそのセキュリティを維持するための方法を提供する。本発明は、埋め込みシステムに負担をかけるものでなく、このため、埋め込みシステムのリモート管理に理想的に適したものである。本発明は、埋め込みシステムとブラウザを有する管理システムにおける同一のアルゴリズムに基づき、セキュリティコードを計算する方法を提供する。ブラウザベースの管理者が管理情報を送信すると、オペレータは制御情報を文字列としてパッケージ処理し、パラメータとしての文字列と共にプラグインのセキュリティ機能を呼び出す。セキュリティ機能が結果を返した後、オペレータは符号化されたダイジェストと共に形式データをリモートシステムに送信する。このダイジェストは、例えば、隠しフィールドとして形式データに埋め込まれてもよい。
Description
[関連出願]
本出願は、参照することによりここに含まれる、2003年3月14日に出願された米国仮特許出願第60/454,582号の優先権を主張するものである。
1.発明の技術分野
本発明は、ネットワークアクセスポイントにおける設定変更を提供する方法に関し、より詳細には、アクセスポイント、固定されたコンピュータまたはウェブブラウザを維持するモバイル端末がActiveX制御またはプラグインを利用して、リモート管理及び管理処理中にHTTPSプロテクションに依存することなくセキュリティ機構を向上させるWLAN環境における方法を提供する。
2.関連技術の説明
本発明は、固定されたコンピュータ、モバイル端末装置に対するアクセスを提供するアクセスポイントを有し、IEEE802.1xアーキテクチャを用いた無線ローカルエリアネットワーク(WLAN)を含む他のネットワークを介しワールドワイドウェブなどのネットワーク、及びインターネットなどのグローバルネットワークや有線ローカルエリアネットワークなどの他のネットワークに安全にアクセスすることに関する。WLAN技術の進歩により、休憩所、カフェ、図書館及び同様の公共施設(「ホットスポット」)における公衆にアクセス可能な無線通信がもたらされた。現在、公衆WLANは、モバイル通信装置のユーザに企業イントラネットなどのプライベートデータネットワーク、あるいはインターネット、ピア・ツー・ピア通信及びライブによる無線テレビ配信などのパブリックデータネットワークへのアクセスを提供する。公衆WLANは、高い帯域幅(通常、10メガビット/秒を超える)が利用可能であるだけでなく、比較的低コストによる実現及び運営が可能であり、このため、公衆WLANをモバイル無線通信装置のユーザが外部のエンティティとのパケット交換を可能にする理想的なアクセス機構にする。しかしながら、後述されるように、そのようなオープンな配置は、通常の通信中や、リモート管理及び管理機能の処理において、識別及び認証のための適切な手段が存在しない場合には、セキュリティを危うくするかもしれない。
本出願は、参照することによりここに含まれる、2003年3月14日に出願された米国仮特許出願第60/454,582号の優先権を主張するものである。
1.発明の技術分野
本発明は、ネットワークアクセスポイントにおける設定変更を提供する方法に関し、より詳細には、アクセスポイント、固定されたコンピュータまたはウェブブラウザを維持するモバイル端末がActiveX制御またはプラグインを利用して、リモート管理及び管理処理中にHTTPSプロテクションに依存することなくセキュリティ機構を向上させるWLAN環境における方法を提供する。
2.関連技術の説明
本発明は、固定されたコンピュータ、モバイル端末装置に対するアクセスを提供するアクセスポイントを有し、IEEE802.1xアーキテクチャを用いた無線ローカルエリアネットワーク(WLAN)を含む他のネットワークを介しワールドワイドウェブなどのネットワーク、及びインターネットなどのグローバルネットワークや有線ローカルエリアネットワークなどの他のネットワークに安全にアクセスすることに関する。WLAN技術の進歩により、休憩所、カフェ、図書館及び同様の公共施設(「ホットスポット」)における公衆にアクセス可能な無線通信がもたらされた。現在、公衆WLANは、モバイル通信装置のユーザに企業イントラネットなどのプライベートデータネットワーク、あるいはインターネット、ピア・ツー・ピア通信及びライブによる無線テレビ配信などのパブリックデータネットワークへのアクセスを提供する。公衆WLANは、高い帯域幅(通常、10メガビット/秒を超える)が利用可能であるだけでなく、比較的低コストによる実現及び運営が可能であり、このため、公衆WLANをモバイル無線通信装置のユーザが外部のエンティティとのパケット交換を可能にする理想的なアクセス機構にする。しかしながら、後述されるように、そのようなオープンな配置は、通常の通信中や、リモート管理及び管理機能の処理において、識別及び認証のための適切な手段が存在しない場合には、セキュリティを危うくするかもしれない。
ウェブブラウザベースの認証方法では、固定されたコンピュータまたはモバイル端末は、HTTPS(Hyper Text Transfer Protocol Secured Socket)プロトコルにより動作するウェブブラウザを用いて認証サーバと通信し、モバイル端末と認証サーバとの間のパス上の誰もが秘密にされているユーザ情報への侵入または盗難を不可能にすることを保証する。
リモートシステム管理は、任意のタイプのコンピュータシステムに対するキーとなる要件である。リモート管理のためにウェブブラウザ(HTTPプロトコル)をインタフェースとして利用することは、重要な管理機能となりつつある。セキュアブラウザベースのリモート管理を提供するため。HTTPSは自然な選択である。しかしながら、WLANアクセスポイントなどの埋め込みシステムでは、HTTPSに関するリソース要求は、大量の格納スペースを消費し、対応するオーバヘッドサポート及びCPUパワーを要求する。実際、これらの制限はセキュアブラウザベースの管理機構に対する実践的手段の開発をこれまで妨げてきた。例えば、現在市場において入手可能な無線アクセスポイントの大部分は、ブラウザとアクセスポイントとの間のリモート管理のやりとりを保護するものではない。このため、ハッカーは管理者のパスワードを容易に入手し、アクセスポイントに損害を与える可能性もある。
HTTPSは、ブラウザとウェブサーバの何れもがクライアント端末と認証サーバによってのみ知られている秘密のパスワードなどの認証コードを予め設定する通信プロトコルに対して構成されている。この秘匿性の前提は、数千万ものブラウザが数百万ものサーバにアクセスするが、事前の信頼関係を持たないウェブアプリケーションにおいては絶対的に必要とされる。従って、広く利用されているHTTPSは、ブラウザとサーバとの間のセキュアな交渉と、以降のHTTP通信のための共有された秘密コードの確立を提供するためのサーバに関する証明書を必要とする。リモートシステム管理のケースでは、管理者及びリモート装置は予め秘密を共有することが可能であり、これにより、HTTPS通信に係るオーバヘッドの1つのソースを削除することができる。しかしながら、ウェブブラウザはこのような共有された秘密に基づき必要なセキュアな通信機構を提供していないため、プロセッサがActiveX制御または機能的に等価なプラグインの利用を通じてセキュリティを提供することが望ましい特徴となるであろう。
[発明の概要]
本発明は、ブラウザを用いたクライアント装置とネットワークのアクセスポイントとの間のリモート管理のやりとり中におけるセキュリティを向上させるための方法を提供する。特に、本発明は、クライアント装置と無線ネットワーク(WLAN)のアクセスポイントとの間の管理変更要求を安全に交換するための方法を提供する。WLANは、IEEE802.11規格に準拠したネットワークから構成されてもよい。管理変更は、受信した管理情報が適切なクライアント端末から受信されることを保証するため、パラメータの利用を伴う。一般に、ウェブページなどの管理ファイルへの要求が受信されると、ネットワークのアクセスポイントはまた、乱数などの第1パラメータを生成し、クライアント端末に送信する。この第1パラメータは、管理ファイルに対する要求に従うチャレンジに応答して生成されてもよい。
[発明の概要]
本発明は、ブラウザを用いたクライアント装置とネットワークのアクセスポイントとの間のリモート管理のやりとり中におけるセキュリティを向上させるための方法を提供する。特に、本発明は、クライアント装置と無線ネットワーク(WLAN)のアクセスポイントとの間の管理変更要求を安全に交換するための方法を提供する。WLANは、IEEE802.11規格に準拠したネットワークから構成されてもよい。管理変更は、受信した管理情報が適切なクライアント端末から受信されることを保証するため、パラメータの利用を伴う。一般に、ウェブページなどの管理ファイルへの要求が受信されると、ネットワークのアクセスポイントはまた、乱数などの第1パラメータを生成し、クライアント端末に送信する。この第1パラメータは、管理ファイルに対する要求に従うチャレンジに応答して生成されてもよい。
MD5ハッシュ関数などの所定のアルゴリズムを利用すると、新しいパラメータがあるパラメータから生成される。これらのパラメータは第1パラメータを含み、アクセスポイントにより生成される乱数であってもよい。セキュリティをより向上させるため、クライアント端末に関するパスワード、第1パラメータ及び新しい管理情報から生成されるかもしれない文字列パラメータを含む複数のパラメータから、新しいパラメータが生成されてもよい。この新しいパラメータは、クライアント端末からアクセスポイントに送信され、その後、アクセスポイントはクライアント端末により用いられたパラメータを利用して対応する新しいパラメータを生成する。これらのパラメータが一致する場合、アクセスポイントは新しい管理情報を受付け、それらを実現する。このようにして、クライアント端末とアクセスポイントに知られているパラメータを用いて生成される認証パラメータを新しい管理情報と共に利用することにより、セキュリティの向上が提供される。
本発明の一実施例では、管理者はブラウザを用いて、管理者がネットワークとのセキュアな通信を取得することに関する情報を提供可能なフィールドを含む、典型的にはHTML(Hyper Text Markup Language)形式として構成される管理的ウェブページ形式を、ローカルウェブサーバなどのリモートコンピュータから要求する。このウェブページ形式は、記入された管理情報を含み、完了すると、当該情報を文字列にパッケージ処理するため、Javascriptコードにより提供されるような真のタイムオペレータを呼び出すことにより、リモートコンピュータに送信される。この真のタイムオペレータは。1つのパラメータとして所定の文字を有するプラグインセキュリティ機能を呼び出し、セキュリティ機能にリモートシステムと通信するよう促す。
形式情報を受信すると、リモートシステムは、乱数を生成し、以降における参照のためこの乱数を格納する。それはまた、当該乱数を管理者と通信する。管理者セキュリティ機能は、乱数、管理者パスワード(以前にプラグインに格納された)及び文字列パラメータを連結する。その後、MD5(Message 5 Digest)などのダイジェストが、連結された結果に対して生成され、セキュリティ機能に返される。当該プロセスは、Javascriptなどの真のタイムオペレータを利用して、セキュリティ機能からの結果を管理情報を含む形式に埋め込み、これをリモートコンピュータに送信することにより、送信を完了する。リモートコンピュータは、格納されている乱数、パスワード及び受信データを利用して、MD5ダイジェストを生成する。このダイジェストが受信したダイジェストと一致する場合、要求された管理が与えられ、システムは適切に更新される。管理情報が管理者からリモートコンピュータに通信される以降の通信では、リモートコンピュータはまず、MD5における管理者により以降において利用される乱数を生成する。各ケースにおいて、リモートシステムダイジェストが受信したダイジェストと比較され、当該ダイジェストが受信したダイジェストと一致する場合、要求された管理要求が与えられ、システムがこれに応じて更新される。
[発明の詳細な説明]
説明される図において、回路、関連するブロック及び矢印は、電気回路及び電気信号を伝送する付属の配線またはデータバスとして実現可能な本発明によるプロセスの機能を表す。あるいは、1以上の付属の矢印は、特に本発明の方法及び装置がデジタルプロセスとして実現されるときには、ソフトウェアルーチン間の通信(例えば、データフローなど)を表すかもしれない。
[発明の詳細な説明]
説明される図において、回路、関連するブロック及び矢印は、電気回路及び電気信号を伝送する付属の配線またはデータバスとして実現可能な本発明によるプロセスの機能を表す。あるいは、1以上の付属の矢印は、特に本発明の方法及び装置がデジタルプロセスとして実現されるときには、ソフトウェアルーチン間の通信(例えば、データフローなど)を表すかもしれない。
本発明は、管理情報を処理するのにHTTPSによる保護に依存することなく、ActiveX制御またはプラグインを利用することにより、ウェブブラウザベースのリモート管理システムがそのセキュリティを維持するための方法を提供する。本発明は、埋め込みシステムに負担をかけるものでなく、このため、埋め込みシステムのリモート管理に理想的に適したものである。本発明は、埋め込みシステムとブラウザを有する管理システムにおける同一のアルゴリズムに基づき、セキュリティコードを計算する方法を提供する。ブラウザベースの管理者が管理情報を送信すると、オペレータは制御情報を文字列としてパッケージ処理し、パラメータとしての文字列と共にプラグインのセキュリティ機能を呼び出す。セキュリティ機能が結果を返した後、オペレータは符号化されたダイジェストと共に形式データをリモートシステムに送信する。このダイジェストは、例えば、隠しフィールドとして形式データに埋め込まれてもよい。
図1によると、1401〜140nにより表される1以上のモバイル端末が、ファイアウォール122及び認証サーバ150nなどの1以上の仮想オペレータ1501〜150nと関連して、アクセスポイント130n及びローカルコンピュータ120と無線媒体124を介し通信する。端末1401〜140nからの通信は、典型的には、ハッカーなどの許可されていないエンティティからの高いレベルの安全性を要求する関連する通信パス154及び152とインターネット110を利用することにより、セキュアなデータベースや他のリソースへのアクセスを必要とする。
さらに図1に図示されるように、IEEE802.1xアーキテクチャは、複数のコンポーネントを包含し、より上位のレイヤのネットワークスタックに透過なステーション移動性を提供するため当該やりとりに供する。IEEE802.1xネットワークは、アクセスポイント1301〜130nなどのAPステーションと、無線媒体と接続し、MAC(Medium Access Control)1381〜138nであるIEEE802.1xプロトコルの機能と対応するPHY(Physical Layer)(図示せず)を含むコンポーネントとして固定またはモバイル端末1401〜140nと、及び無線媒体との接続127とを規定する。典型的には、IEEE802.1xの機能は、無線モデム、ノットワークアクセスまたはインタフェースカードのハードウェア及びソフトウェアにより実現される。本発明は、無線媒体124においてクライアント端末140n、アクセスポイント130n、ローカルサーバ120と認証サーバ150との間のセキュアな通信手段を実現する方法を提案する。
本原理によると、アクセス160は、固定またはモバイルの各端末1401〜140nがHTTP及び非HTTP通信ルーティングを示す通信パス152及び154とより大きなネットワークの一部として存在するゲートウェイ121やファイアウォール122を介し端末間と共に、その通信システムコンポーネント間のセキュアなトラフィックフローを保証する管理形式を生成する手段を認証し、以降においてそれを提供することにより、WLAN115に安全にアクセスすることを可能にする。アクセス160がこのようなセキュアなアクセスを可能にする方法は、図1を参照して最も良く理解されうる。
固定または無線通信手段、すなわち、端末140n、公衆WLAN115、ローカルウェブサーバ120及び認証サーバ150の間において経時的に行われるやりとりのシーケンスが、IEEE802.1xプロトコルに従って接続される。ここで、図1のアクセスポイント130nは、アクセスポイントが端末1401〜140nと情報をやりとりする制御ポートと非制御ポートを維持する。アクセスポイント130nにより維持される制御ポートは、WLAN115と端末1401〜140nを通過するデータトラフィックなどの非認証情報に対する入口として機能する。通常、アクセスポイント1301〜130nは、関係する端末1401〜140nの認証が通信されるまで、IEEE802.1xプロトコルに従って、各制御ポートを閉じた状態に保持する。アクセスポイント1301〜130nは常に、モバイル端末1401〜140nが認証サーバ150と認証データをやりとりするのを許可するため、各非制御ポートをオープンな状態に維持する。
より詳細には、図2a及び3aを参照して、本発明による方法では、管理者は端末1401〜140nとブラウザを用いて、典型的にはHTML形式として構成され、管理者がネットワークとのセキュアな通信を取得することに関係する情報を提供することが可能なフィールドを含むリモートコンピュータ150からの管理ウェブページ形式を要求する(210)。当該形式を受信すると(215)、要求された管理情報が記入されたウェブページ形式が、完了すると(220)、当該情報を文字列にパッケージ処理するため(230)、Javascriptコードにより提供されるような真のタイムオペレータを呼び出すことにより、リモートコンピュータ150に送信される(220)。この真のタイムオペレータは。1つのパラメータとして所定の文字列を有するプラグインセキュリティ機能を呼び出し(235)、セキュリティ機能にリモートシステム150と通信するよう促す(240、250)。
形式情報を受信すると(320)、リモートシステム150は、乱数を生成し(330)、以降における参照のためこの乱数を格納する(335)。それはまた、当該乱数を管理者と通信する(340)。管理者セキュリティ機能1401〜140nは、乱数、管理者パスワード(以前にプラグインに格納された)及び文字列パラメータを連結する(260)。その後、MD5(Message 5 Digest)などのダイジェストが、連結された結果に対して生成され(270)、セキュリティ機能に返される。当該プロセスは、Javascriptなどの真のタイムオペレータを利用して、セキュリティ機能からの結果を管理情報を含む形式に埋め込み、これをリモートコンピュータ150に送信することにより(275)、送信を完了する。リモートコンピュータは、格納されている乱数、パスワード及び受信データを利用して、MD5ダイジェストを生成する(350)。このダイジェストが受信したダイジェストと一致する場合(355)、要求された管理が与えられ(360)、システムは適切に更新される。一致がない場合、アクセスは拒絶される(356)。管理情報が管理者からリモートコンピュータ150に通信される以降の通信では、リモートコンピュータ150はまず、MD5における管理者により以降において利用される乱数を生成する。各ケースにおいて、リモートシステムダイジェストが受信したダイジェストと比較され、当該ダイジェストが受信したダイジェストと一致する場合、要求された管理要求が与えられ、システムがこれに応じて更新される。
図示されるような本発明の形式は、単なる好適な実施例に過ぎないということが理解されるべきである。様々な変更がパーツの機能及び構成に関して可能であり、等価な手段が図示及び説明されたものと置換可能であり、以下の請求項に規定されるような本発明の趣旨及び範囲から逸脱することなく、特定の構成は他のものと独立に利用されてもよい。
[関連出願]
本出願は、参照することによりここに含まれる、2003年3月14日に出願された米国仮特許出願第60/454,582号の優先権を主張するものである。
1.発明の技術分野
本発明は、ネットワークアクセスポイントにおける設定変更を提供する方法に関し、より詳細には、アクセスポイント、固定されたコンピュータまたはウェブブラウザを維持するモバイル端末がActiveX制御またはプラグインを利用して、リモート管理及び管理処理中にHTTPSプロテクションに依存することなくセキュリティ機構を向上させるWLAN環境における方法を提供する。
2.関連技術の説明
本発明は、固定されたコンピュータ、モバイル端末装置に対するアクセスを提供するアクセスポイントを有し、無線ローカルエリアネットワーク(WLAN)を含む他のネットワークを介しワールドワイドウェブなどのネットワーク、及びインターネットなどのグローバルネットワークや有線ローカルエリアネットワークなどの他のネットワークに安全にアクセスすることに関する。WLAN技術の進歩により、休憩所、カフェ、図書館及び同様の公共施設(「ホットスポット」)における公衆にアクセス可能な無線通信がもたらされた。現在、公衆WLANは、モバイル通信装置のユーザに企業イントラネットなどのプライベートデータネットワーク、あるいはインターネット、ピア・ツー・ピア通信及びライブによる無線テレビ配信などのパブリックデータネットワークへのアクセスを提供する。公衆WLANは、高い帯域幅(通常、10メガビット/秒を超える)が利用可能であるだけでなく、比較的低コストによる実現及び運営が可能であり、このため、公衆WLANをモバイル無線通信装置のユーザが外部のエンティティとのパケット交換を可能にする理想的なアクセス機構にする。しかしながら、後述されるように、そのようなオープンな配置は、通常の通信中や、リモート管理及び管理機能の処理において、識別及び認証のための適切な手段が存在しない場合には、セキュリティを危うくするかもしれない。
本出願は、参照することによりここに含まれる、2003年3月14日に出願された米国仮特許出願第60/454,582号の優先権を主張するものである。
1.発明の技術分野
本発明は、ネットワークアクセスポイントにおける設定変更を提供する方法に関し、より詳細には、アクセスポイント、固定されたコンピュータまたはウェブブラウザを維持するモバイル端末がActiveX制御またはプラグインを利用して、リモート管理及び管理処理中にHTTPSプロテクションに依存することなくセキュリティ機構を向上させるWLAN環境における方法を提供する。
2.関連技術の説明
本発明は、固定されたコンピュータ、モバイル端末装置に対するアクセスを提供するアクセスポイントを有し、無線ローカルエリアネットワーク(WLAN)を含む他のネットワークを介しワールドワイドウェブなどのネットワーク、及びインターネットなどのグローバルネットワークや有線ローカルエリアネットワークなどの他のネットワークに安全にアクセスすることに関する。WLAN技術の進歩により、休憩所、カフェ、図書館及び同様の公共施設(「ホットスポット」)における公衆にアクセス可能な無線通信がもたらされた。現在、公衆WLANは、モバイル通信装置のユーザに企業イントラネットなどのプライベートデータネットワーク、あるいはインターネット、ピア・ツー・ピア通信及びライブによる無線テレビ配信などのパブリックデータネットワークへのアクセスを提供する。公衆WLANは、高い帯域幅(通常、10メガビット/秒を超える)が利用可能であるだけでなく、比較的低コストによる実現及び運営が可能であり、このため、公衆WLANをモバイル無線通信装置のユーザが外部のエンティティとのパケット交換を可能にする理想的なアクセス機構にする。しかしながら、後述されるように、そのようなオープンな配置は、通常の通信中や、リモート管理及び管理機能の処理において、識別及び認証のための適切な手段が存在しない場合には、セキュリティを危うくするかもしれない。
ウェブブラウザベースの認証方法では、固定されたコンピュータまたはモバイル端末は、HTTPS(Hyper Text Transfer Protocol Secured Socket)プロトコルにより動作するウェブブラウザを用いてアクセスポイント(AP)と通信し、モバイル端末とAPとの間のパス上の誰もが秘密にされているユーザ情報への侵入または盗難を不可能にすることを保証する。
本発明の一実施例では、管理者はブラウザを用いて、管理者がネットワークとのセキュアな通信を取得することに関する情報を提供可能なフィールドを含む、典型的にはHTML(Hyper Text Markup Language)形式として構成される管理的ウェブページ形式を、APなどのリモート埋め込みプラットフォームから要求する。このウェブページ形式は、記入された管理情報を含み、完了すると、当該情報を文字列にパッケージ処理するため、Javascriptコードにより提供されるような真のタイムオペレータを呼び出すことにより、リモート埋め込みプラットフォームに送信される。この真のタイムオペレータは。1つのパラメータとして所定の文字を有するプラグインセキュリティ機能を呼び出し、セキュリティ機能にリモートシステムと通信するよう促す。
ユーザ/モバイル端末に対するプラグインからの要求を受信すると、リモートシステムは、乱数を生成し、以降における参照のためこの乱数を格納する。それはまた、当該乱数を管理者と通信する。管理者セキュリティ機能は、乱数、管理者パスワード(以前にプラグインに格納された)及び文字列パラメータを連結する。その後、MD5(Message 5 Digest)などのダイジェストが、連結された結果に対して生成され、セキュリティ機能に返される。当該プロセスは、Javascriptなどの真のタイムオペレータを利用して、セキュリティ機能からの結果を管理情報を含む形式に埋め込み、これをリモートコンピュータに送信することにより、送信を完了する。リモートコンピュータは、格納されている乱数、パスワード及び受信データを利用して、MD5ダイジェストを生成する。このダイジェストが受信したダイジェストと一致する場合、要求された管理が与えられ、システムは適切に更新される。管理情報が管理者からリモートコンピュータに通信される以降の通信では、リモートコンピュータはまず、MD5における管理者により以降において利用される乱数を生成する。各ケースにおいて、リモートシステムダイジェストが受信したダイジェストと比較され、当該ダイジェストが受信したダイジェストと一致する場合、要求された管理要求が与えられ、システムがこれに応じて更新される。
[発明の詳細な説明]
説明される図において、回路、関連するブロック及び矢印は、電気回路及び電気信号を伝送する付属の配線またはデータバスとして実現可能な本発明によるプロセスの機能を表す。あるいは、1以上の付属の矢印は、特に本発明の方法及び装置がデジタルプロセスとして実現されるときには、ソフトウェアルーチン間の通信(例えば、データフローなど)を表すかもしれない。
[発明の詳細な説明]
説明される図において、回路、関連するブロック及び矢印は、電気回路及び電気信号を伝送する付属の配線またはデータバスとして実現可能な本発明によるプロセスの機能を表す。あるいは、1以上の付属の矢印は、特に本発明の方法及び装置がデジタルプロセスとして実現されるときには、ソフトウェアルーチン間の通信(例えば、データフローなど)を表すかもしれない。
より詳細には、図2a及び3aを参照して、本発明による方法では、管理者は端末1401〜140nとブラウザを用いて、典型的にはHTML形式として構成され、管理者がネットワークに変更構成設定に関する情報提供することが可能なフィールドを含むリモート埋め込みプラットフォーム(例えば、AP130など)からの管理ウェブページ形式を要求する(210)。当該形式を受信すると(215)、要求された管理情報が記入されたウェブページ形式が、完了すると(220)、当該情報を文字列にパッケージ処理するため(230)、Javascriptコードにより提供されるような真のタイムオペレータを呼び出すことにより、リモート埋め込みプラットフォーム(例えば、AP130など)に送信される(220)。この真のタイムオペレータは。1つのパラメータとして所定の文字列を有するプラグインセキュリティ機能を呼び出し(235)、セキュリティ機能にリモート埋め込みプラットフォーム(例えば、AP130など)と通信するよう促す(240、250)。
必要な設定変更を行った後、ユーザ/モバイル端末は乱数(RN)を要求する。乱数要求を受信すると(320)、リモート埋め込みプラットフォーム(例えば、AP130など)は、乱数を生成し(330)、これをユーザ/モバイル端末に転送し、以降における参照のためこの乱数を格納する(335)。それはまた、当該乱数を管理者と通信する(340)。管理者セキュリティ機能1401〜140nは、乱数、管理者パスワード(以前にプラグインに格納された)及び文字列パラメータを連結する(260)。その後、MD5(Message 5 Digest)などのダイジェストが、連結された結果に対して生成され(270)、セキュリティ機能に返される。当該プロセスは、Javascriptなどの真のタイムオペレータを利用して、セキュリティ機能からの結果を管理情報を含む形式に埋め込み、これをリモート埋め込みプラットフォーム(例えば、AP130など)に送信することにより(275)、送信を完了する。リモートコンピュータは、格納されている乱数、パスワード及び受信データを利用して、MD5ダイジェストを生成する(350)。このダイジェストが受信したダイジェストと一致する場合(355)、要求された管理が与えられ(360)、システムは適切に更新される。一致がない場合、アクセスは拒絶される(356)。管理情報が管理者からリモート埋め込みプラットフォーム(例えば、AP130など)に通信される以降の通信では、リモート埋め込みプラットフォーム(例えば、AP130など)はまず、MD5における管理者により以降において利用される乱数を生成する。各ケースにおいて、リモートシステムダイジェストが受信したダイジェストと比較され、当該ダイジェストが受信したダイジェストと一致する場合、要求された管理要求が与えられ、システムがこれに応じて更新される。
Claims (22)
- 無線ネットワークにおいてクライアント端末と管理情報を交換する方法であって、
前記クライアント端末から管理ファイルに対する要求を受信するステップと、
前記管理ファイルを前記クライアント端末に送信するステップと、
第1パラメータを生成し、前記クライアント端末に送信するステップと、
前記クライアント端末から新しい管理情報と第2パラメータを受信するステップと、
所定のアルゴリズムと前記第1パラメータを用いて第3パラメータを生成するステップと、
前記第2パラメータと前記第3パラメータとを比較するステップと、
前記比較するステップに応答して、前記新しい管理情報を実現するステップと、
から構成されることを特徴とする方法。 - 請求項1記載の方法であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記WLANのカバーエリア内のモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とする方法。 - 請求項2記載の方法であって、
前記第1パラメータは、乱数であることを特徴とする方法。 - 請求項3記載の方法であって、
前記第3パラメータを生成するステップは、ハッシュ関数及び前記第1パラメータを利用して第3パラメータを生成することから構成されることを特徴とする方法。 - 請求項3記載の方法であって、
前記第3パラメータを生成するステップは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して第3パラメータを生成することから構成されることを特徴とする方法。 - 請求項5記載の方法であって、
前記文字列パラメータは、前記新しい管理情報に対応することを特徴とする方法。 - 請求項2記載の方法であって、
前記送信するステップは、前記管理ウェブページとActiveX制御を前記クライアント端末に送信することから構成されることを特徴とする方法。 - 無線ネットワークにおけるアクセスポイントであって、
クライアント端末と通信するための送受信機と、
前記送受信機に接続され、前記クライアント端末からの要求に応答して、前記送受信機に管理ファイルを送信させるための手段と、
第1パラメータを生成し、前記クライアント端末から新しい管理情報と第2パラメータとを受信した前記送受信機に、前記第1パラメータを前記クライアント端末に送信させるための手段と、
前記第1パラメータに応答して、第3パラメータを生成し、該第3パラメータと前記第2パラメータとを比較するための手段と、
前記比較に応答して、前記新しい管理情報を実現するための手段と、
から構成されることを特徴とするアクセスポイント。 - 請求項8記載のアクセスポイントであって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記WLANのカバーエリア内のモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とするアクセスポイント。 - 請求項9記載のアクセスポイントであって、
前記第1パラメータは、乱数であり、
前記第3パラメータを生成する手段は、ハッシュ関数、前記乱数、パスワード及び文字列パラメータを利用して前記第3パラメータを生成するための手段から構成されることを特徴とするアクセスポイント。 - 請求項10記載のアクセスポイントであって、
前記文字列パラメータは、前記新しい管理情報に対応することを特徴とするアクセスポイント。 - クライアント端末を用いて無線ネットワークにおけるアクセスポイントと管理情報を交換する方法であって、
管理ファイルに対する要求を前記アクセスポイントに送信するステップと、
前記アクセスポイントから前記管理ファイルを受信するステップと、
前記アクセスポイントから第1パラメータを受信するステップと、
ユーザ入力に応答して新しい管理情報を生成するステップと、
所定のアルゴリズムと前記第1パラメータを利用して第2パラメータを生成するステップと、
前記第2パラメータと前記新しい管理情報とを前記アクセスポイントに送信するステップと、
から構成されることを特徴とする方法。 - 請求項12記載の方法であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記IEEE802.11規格に従うモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とする方法。 - 請求項13記載の方法であって、
前記管理ウェブページを受信するステップは、前記管理ウェブページとActiveX制御を受信することから構成されることを特徴とする方法。 - 請求項13記載の方法であって、
前記第2パラメータを生成するステップは、ハッシュ関数と前記第1パラメータとを利用して前記第2パラメータを生成することから構成されることを特徴とする方法。 - 請求項13記載の方法であって、
前記第2パラメータを生成するステップは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して前記第2パラメータを生成することから構成されることを特徴とする方法。 - 請求項16記載の方法であって、
前記文字列パラメータは、前記新しい管理情報から生成されることを特徴とする方法。 - 無線ネットワークに付属するアクセスポイントと通信するクライアント端末であって、
前記アクセスポイントと通信するための送受信機と、
前記送受信機に接続され、前記送受信機に管理ファイルに対する要求を前記アクセスポイントに送信させ、前記アクセスポイントから前記新しい管理ファイルを受信し、前記アクセスポイントから第1パラメータを受信するための手段と、
ユーザ入力に応答して、新しい管理情報を生成するための手段と、
所定のアルゴリズムと前記第1パラメータとを利用して第2パラメータを生成するための手段と、
前記送受信機に前記第2パラメータと前記新しい管理情報とを前記アクセスポイントに送信させるための手段と、
から構成されることを特徴とするクライアント端末。 - 請求項18記載のクライアント端末であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記IEEE802.11規格に従うモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とするクライアント端末。 - 請求項19記載のクライアント端末であって、
前記第2パラメータは、ハッシュ関数及び前記第1パラメータを利用して生成されることを特徴とするクライアント端末。 - 請求項19記載のクライアント端末であって、
前記第2パラメータは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して生成されることを特徴とするクライアント端末。 - 請求項22記載のクライアント端末であって、
前記文字列パラメータは、前記新しい管理情報から生成されることを特徴とするクライアント端末。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US45458203P | 2003-03-14 | 2003-03-14 | |
US60/454,582 | 2003-03-14 | ||
PCT/US2004/007411 WO2004084019A2 (en) | 2003-03-14 | 2004-03-11 | Secure web browser based system administration for embedded platforms |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006520501A true JP2006520501A (ja) | 2006-09-07 |
Family
ID=33029898
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006507071A Withdrawn JP2006520501A (ja) | 2003-03-14 | 2004-03-11 | 埋め込まれたプラットフォームのためのセキュアウェブブラウザベースシステム管理 |
Country Status (6)
Country | Link |
---|---|
EP (1) | EP1604294A2 (ja) |
JP (1) | JP2006520501A (ja) |
KR (1) | KR20050119119A (ja) |
CN (1) | CN1784673A (ja) |
MX (1) | MXPA05009878A (ja) |
WO (1) | WO2004084019A2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017523702A (ja) * | 2014-07-17 | 2017-08-17 | アリババ グループ ホウルディング リミテッド | ローカル情報を取得するための方法、機器、及びシステム |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150577B (zh) * | 2007-11-02 | 2010-10-20 | 珠海金山软件有限公司 | 一种互联网安全调用本地功能的系统和方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030235305A1 (en) * | 2002-06-20 | 2003-12-25 | Hsu Raymond T. | Key generation in a communication system |
-
2004
- 2004-03-11 KR KR1020057017130A patent/KR20050119119A/ko not_active Application Discontinuation
- 2004-03-11 MX MXPA05009878A patent/MXPA05009878A/es not_active Application Discontinuation
- 2004-03-11 CN CNA2004800118811A patent/CN1784673A/zh active Pending
- 2004-03-11 WO PCT/US2004/007411 patent/WO2004084019A2/en active Search and Examination
- 2004-03-11 EP EP04719781A patent/EP1604294A2/en not_active Withdrawn
- 2004-03-11 JP JP2006507071A patent/JP2006520501A/ja not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017523702A (ja) * | 2014-07-17 | 2017-08-17 | アリババ グループ ホウルディング リミテッド | ローカル情報を取得するための方法、機器、及びシステム |
US11240210B2 (en) | 2014-07-17 | 2022-02-01 | Advanced New Technologies Co., Ltd. | Methods, apparatuses, and systems for acquiring local information |
Also Published As
Publication number | Publication date |
---|---|
WO2004084019A2 (en) | 2004-09-30 |
KR20050119119A (ko) | 2005-12-20 |
CN1784673A (zh) | 2006-06-07 |
WO2004084019A3 (en) | 2004-12-02 |
EP1604294A2 (en) | 2005-12-14 |
MXPA05009878A (es) | 2006-03-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10284555B2 (en) | User equipment credential system | |
US7142851B2 (en) | Technique for secure wireless LAN access | |
TWI439103B (zh) | 網路資源之單一登入以及安全存取的政策導向憑證授權 | |
FI115098B (fi) | Todentaminen dataviestinnässä | |
EP1589695B1 (en) | A method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely | |
JP4701172B2 (ja) | リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法 | |
US20080222714A1 (en) | System and method for authentication upon network attachment | |
US20070189537A1 (en) | WLAN session management techniques with secure rekeying and logoff | |
US20090064291A1 (en) | System and method for relaying authentication at network attachment | |
WO2011076008A1 (zh) | 一种wapi终端与应用服务器传输文件的系统及方法 | |
US20090113522A1 (en) | Method for Translating an Authentication Protocol | |
CN112788594B (zh) | 数据传输方法、装置和系统、电子设备、存储介质 | |
US20150249639A1 (en) | Method and devices for registering a client to a server | |
US7363486B2 (en) | Method and system for authentication through a communications pipe | |
CN114143788A (zh) | 一种基于msisdn实现5g专网认证控制的方法和系统 | |
WO2004084458A2 (en) | Wlan session management techniques with secure rekeying and logoff | |
US20050144459A1 (en) | Network security system and method | |
Youssef et al. | Securing authentication of TCP/IP layer two by modifying challenge-handshake authentication protocol | |
KR100901279B1 (ko) | 챕 챌린지 메시지를 이용한 네트워크 액세스 인증 방법 및시스템. | |
US20060173981A1 (en) | Secure web browser based system administration for embedded platforms | |
JP2006520501A (ja) | 埋め込まれたプラットフォームのためのセキュアウェブブラウザベースシステム管理 | |
KR20040088137A (ko) | 전송 암호화키 값 생성방법과 이를 적용한 상호인증보안방법 | |
Gharib et al. | SCC5G: A PQC-based Architecture for Highly Secure Critical Communication over Cellular Network in Zero-Trust Environment | |
CN114531235B (zh) | 一种端对端加密的通信方法及系统 | |
KR20190014958A (ko) | 접속 제어 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060531 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070301 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20090410 |