JP2007208816A - 無線lanシステム、無線lan装置、無線lan通信の認証方法、及びプログラム - Google Patents
無線lanシステム、無線lan装置、無線lan通信の認証方法、及びプログラム Download PDFInfo
- Publication number
- JP2007208816A JP2007208816A JP2006027196A JP2006027196A JP2007208816A JP 2007208816 A JP2007208816 A JP 2007208816A JP 2006027196 A JP2006027196 A JP 2006027196A JP 2006027196 A JP2006027196 A JP 2006027196A JP 2007208816 A JP2007208816 A JP 2007208816A
- Authority
- JP
- Japan
- Prior art keywords
- access point
- wireless lan
- wpa
- way handshake
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】認証手順の高速化を実現し、認証の成功率を向上させる無線LANシステム、無線LAN装置、無線LAN通信の認証方法、及びプログラムを提供する。
【解決手段】アクセスポイントと、情報処理端末装置と、情報処理端末装置とアクセスポイントとを介する無線LAN装置と、を有する無線LANシステムであって、情報処理端末装置は、WPA(Wi-Fi Protected Access)に基づいて情報処理端末装置とアクセスポイントとの間で無線LAN通信を行うためのWPAサプリカント・アプリケーションがインストールされており、無線LAN装置は、WPAサプリカント・アプリケーションとアクセスポイントとの間で行われるWPA認証の一手順である4ウェイハンドシェークが失敗した場合、再接続時の4ウェイハンドシェークを行う。
【選択図】図4
【解決手段】アクセスポイントと、情報処理端末装置と、情報処理端末装置とアクセスポイントとを介する無線LAN装置と、を有する無線LANシステムであって、情報処理端末装置は、WPA(Wi-Fi Protected Access)に基づいて情報処理端末装置とアクセスポイントとの間で無線LAN通信を行うためのWPAサプリカント・アプリケーションがインストールされており、無線LAN装置は、WPAサプリカント・アプリケーションとアクセスポイントとの間で行われるWPA認証の一手順である4ウェイハンドシェークが失敗した場合、再接続時の4ウェイハンドシェークを行う。
【選択図】図4
Description
本発明は、WPA認証技術を用いる無線LANシステム、無線LAN装置、無線LAN通信の認証方法、及びプログラムに関する。
無線LANの標準規格の策定を行うIEEE802.11タスクグループの1つであるTGiが、セキュリティを改善する規格の策定を進め、その規格が、IEEE802.11iとして、2004年6月に承認された。IEEE802.11iのうち、確定済みの部分について、Wi-Fi Allianceが、2002年10月に先行リリースしたものが、WPA(Wi-Fi Protected Access)である。
WPAにおいては、認証方式として、IEEE802.1Xが標準採用されている。IEEE802.1Xは、サプリカント(無線LAN端末)、認証装置(アクセスポイント)、認証サーバ(RADIUSサーバ)の3つから構成される。なお、サプリカント(Supplicant)は、IEEE802.1Xに準拠した認証を実現するためにクライアント側で必要なソフトウェアのことであるが、本明細書では、そのソフトウェアがインストールされ、無線LAN通信を行う情報処理端末装置の意味で用いる。
例えば、特開2005−110112号公報(特許文献1)の「通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置」では、無線アクセスシステムにおける端末局の認証において、認証開始から認証終了までの認証処理時間を短縮し、認証処理時間の通信中断による通信品質の劣化を防止することや、認証処理時間の短縮により、端末局のネットワークへの接続を簡便化することを目的として、認証サーバ又は基地局によってネットワークとの通信を許可された端末局に対して認証チケットが配布され、認証チケットを有する端末局は、基地局に帰属する際に認証チケットを送信することにより、認証サーバを使用せずに、基地局との間で認証処理を完了するという手法を用いている。
また、WPAには、WPA−PSK(Pre Shared Key)というモードもあり、WPA−PSKでは、上記の3つの構成(サプリカント、認証装置、認証サーバ)のうち、認証サーバを設置しない。以下の説明では、構成が簡単であるWPA−PSKを例にとり、暗号化方式が、暗号キーを一定時間毎に変更するTKIP(Temporal Key Integrity Protocol)である場合の説明を行う。
図1に、WPA−PSKの認証と鍵配送の全体フローについて示す。
まず、サプリカント(無線LAN端末)は、スキャンを行うことによって、アクセスポイントからのビーコン信号を検出する(ステップS1)。ビーコン信号中には、アクセスポイントを特定するための、BSSID(Basic Service Set Identifier)、SSID(Service Set Identifier)などの情報、及び、そのアクセスポイントがWPAでの認証を必要としていることを示す情報要素IE(Information Element)が含まれる。
まず、サプリカント(無線LAN端末)は、スキャンを行うことによって、アクセスポイントからのビーコン信号を検出する(ステップS1)。ビーコン信号中には、アクセスポイントを特定するための、BSSID(Basic Service Set Identifier)、SSID(Service Set Identifier)などの情報、及び、そのアクセスポイントがWPAでの認証を必要としていることを示す情報要素IE(Information Element)が含まれる。
そして、ビーコン信号中のBSSID及びSSIDをもとにアクセスポイントを特定し、そのアクセスポイントとの接続を行うためのプローブ要求信号を送出する(ステップS2)。その後、図1に示すように、サプリカントとアクセスポイントとの間で、プローブ応答信号(ステップS3)、オーセンティケーション要求信号(ステップS4)、オーセンティケーション応答信号(ステップS5)、アソシエーション要求信号(ステップS6)、アソシエーション応答信号(ステップS7)、という一連の信号のやりとりを行う。
サプリカントに搭載されるWPAサプリカント・アプリケーションは、前述のIEを解析し、WPAでの認証を必要とすることを示すものであれば、オペレーション・システムを介し、ユーザに対して、8文字〜63文字のPSK(Pre Shared Key)をキーボード入力することを促す。このPSKが、事前にアクセスポイント側で設定されたPSKと一致しなければ、その後の認証は成功しない。
その後、図2に示す4ウェイハンドシェーク(ステップS8〜S11)により、サプリカント及びアクセスポイントのそれぞれが、乱数パラメータ、MIC(Message Integrity Check)などの、認証に必要な情報を交換し、暗号化用の鍵の算出の基になる鍵TK(Temporary Key)が作成される。
サプリカントからアクセスポイントへの情報の送信は、図3において、以下に示す経路で行われる。
サプリカント(無線LAN端末)100中の、メインCPU101及びオペレーティングシステム102上で動作するWPAサプリカント・アプリケーション103から送出された情報が、デバイスドライバ104を経由した後、無線LANデバイス搭載ボード200上の、MAC回路201、ベースバンド・プロセッサ202、周波数変換回路203から構成されるデバイスを経由して、アンテナ204から送出される電波に乗せられた信号として、アクセスポイントに送られる。
サプリカント(無線LAN端末)100中の、メインCPU101及びオペレーティングシステム102上で動作するWPAサプリカント・アプリケーション103から送出された情報が、デバイスドライバ104を経由した後、無線LANデバイス搭載ボード200上の、MAC回路201、ベースバンド・プロセッサ202、周波数変換回路203から構成されるデバイスを経由して、アンテナ204から送出される電波に乗せられた信号として、アクセスポイントに送られる。
前述の4ウェイハンドシェークは、IEEE802.11iに規定されている鍵配送手順である。4ウェイハンドシェークは、図2に示すメッセージ1〜4の、4つのメッセージの受け渡しを指している。このうち、メッセージ1及び3は、アクセスポイントからサプリカント方向に送られるメッセージであり、メッセージ2及び4は、サプリカントからアクセスポイント方向に送られるメッセージである。
そして、この4ウェイハンドシェークは、WPAサプリカント・アプリケーションと、アクセスポイントとの間で行われており、オペレーティングシステム、デバイスドライバは、暗号化用の鍵の情報交換のための特別な処理を行うことはなく、通常のデータの送受信と全く同様の処理を行う。
特開2005−110112号公報
前述の通り、図2において、4ウェイハンドシェークで受け渡しされるメッセージ1〜4の4つのメッセージの中で、メッセージ1、3は、アクセスポイントからサプリカント方向に送られるのであるが、アクセスポイントによっては、メッセージ1を送出してからサプリカントからのメッセージ2を受け取るまで、又は、メッセージ3を送出してからサプリカントからのメッセージ4を受け取るまでの待機制限時間が短く、メッセージ2又はメッセージ4が送られてこなかったとみなしてしまうものがある。
また、現在、サプリカントとなる無線LAN端末には、米マイクロソフト社のオペレーティング・システムであるWindows(登録商標)を搭載しているものが多い。Windows(登録商標)は、マルチタスク・オペレーティング・システムではあるが、リアルタイム性を保証していないため、例えば、他のアプリケーションソフトを実行している際には、TCP/IPやWPAサプリカント・アプリケーションが優先的に動作することが保証されていない。この場合にも、アクセスポイントにおいて、メッセージ1を送出してからサプリカントからのメッセージ2を受け取るまでの待機制限時間を越えてしまうことがある。そして、結果的に、4ウェイハンドシェークが途中で中断してしまい、サプリカントとアクセスポイント間における認証が確立できなくなってしまう。
さらに、4ウェイハンドシェーク機能を、単に、専用のCPUとリアルタイムオペレーティングシステム(Real-Time Operating System:RTOS)とファームウェア(firmware)により構成されるデバイス側システム上で実施させるという方法もあるが、この場合、WPAサプリカント・アプリケーションの方でも、4ウェイハンドシェーク処理を実施してしまうため、認証における処理手順が重複してしまい、正しい認証作業が実行されない状態になってしまう場合が生じる。このような状態を回避するためには、既存のWPAサプリカント・アプリケーション、デバイスドライバの仕様を変更し、再度作成しなくてはならず、このことは、汎用性又は可用性という観点から考えて、大きな課題となってしまう。
本発明は、上記事情に鑑みてなされたものであり、WPAの認証を行う際に、従来、無線LAN端末上で動作するWPAサプリカント・アプリケーションで行われていた認証手順のうち、高速の応答が要求される4ウェイハンドシェーク処理をデバイス側にて実施する無線LANシステム、無線LAN装置、無線LAN通信の認証方法、及びプログラムを提供することを目的とする。
かかる目的を達成するために、請求項1記載の発明は、アクセスポイントと、情報処理端末装置と、情報処理端末装置とアクセスポイントとを介する無線LAN装置と、を有する無線LANシステムであって、情報処理端末装置は、WPA(Wi-Fi Protected Access)に基づいて情報処理端末装置とアクセスポイントとの間で無線LAN通信を行うためのWPAサプリカント・アプリケーションがインストールされており、無線LAN装置は、WPAサプリカント・アプリケーションとアクセスポイントとの間で行われるWPA認証の一手順である4ウェイハンドシェークが失敗した場合、再接続時の4ウェイハンドシェークを行うことを特徴とする。
請求項2記載の発明は、請求項1記載の発明において、無線LAN装置は、WPAサプリカント・アプリケーションとアクセスポイントとの間で行われる4ウェイハンドシェークが失敗した場合にアクセスポイントからWPAサプリカント・アプリケーションに対して送信されるパケットを受信し、パケットを解析した結果、WPAサプリカント・アプリケーションからアクセスポイントに対して待機制限時間以内に所定のメッセージが送信されなかったことを示す情報を検知した場合、再接続時の4ウェイハンドシェークを行うことを特徴とする。
請求項3記載の発明は、請求項1又は2記載の発明において、無線LAN装置は、WPAサプリカント・アプリケーションから再接続を要求された場合にアクセスポイントからWPAサプリカント・アプリケーションに対して送出されるビーコン信号を受信し、ビーコン信号中の情報要素を書き換えることにより、実際には4ウェイハンドシェークを必要とするアクセスポイントを、4ウェイハンドシェークを必要としないアクセスポイントに見せかけることを特徴とする。
請求項4記載の発明は、請求項1から3のいずれか1項に記載の発明において、無線LAN装置は、リアルタイムオペレーションシステムと、リアルタイムオペレーションシステム上で実行されるファームウェアと、リアルタイムオペレーションシステム上でファームウェアを実行することによって無線LAN装置を動作させるサブCPUと、を有し、ファームウェアの実行により再接続時の4ウェイハンドシェークを行うことを特徴とする。
請求項5記載の発明は、請求項1から4のいずれか1項に記載の発明において、無線LAN装置は、情報処理端末装置に内蔵されるか、又は、情報処理端末装置に着脱可能であることを特徴とする。
請求項6記載の発明は、請求項1から5のいずれか1項に記載の無線LANシステムで用いられることを特徴とする。
請求項7記載の発明は、アクセスポイントと、情報処理端末装置と、情報処理端末装置とアクセスポイントとを介する無線LAN装置と、を有する無線LANシステムで行われる無線LAN通信の認証方法であって、情報処理端末装置は、WPA(Wi-Fi Protected Access)に基づいて情報処理端末装置とアクセスポイントとの間で無線LAN通信を行うためのWPAサプリカント・アプリケーションがインストールされており、無線LAN装置は、WPAサプリカント・アプリケーションとアクセスポイントとの間で行われるWPA認証の一手順である4ウェイハンドシェークが失敗した場合、再接続時の4ウェイハンドシェークを行うことを特徴とする。
請求項8記載の発明は、請求項7記載の発明において、無線LAN装置は、WPAサプリカント・アプリケーションとアクセスポイントとの間で行われる4ウェイハンドシェークが失敗した場合にアクセスポイントからWPAサプリカント・アプリケーションに対して送信されるパケットを受信し、パケットを解析した結果、WPAサプリカント・アプリケーションからアクセスポイントに対して待機制限時間以内に所定のメッセージが送信されなかったことを示す情報を検知した場合、再接続時の4ウェイハンドシェークを行うことを特徴とする。
請求項9記載の発明は、請求項7又は8記載の発明において、無線LAN装置は、WPAサプリカント・アプリケーションから再接続を要求された場合にアクセスポイントからWPAサプリカント・アプリケーションに対して送出されるビーコン信号を受信し、ビーコン信号中の情報要素を書き換えることにより、実際には4ウェイハンドシェークを必要とするアクセスポイントを、4ウェイハンドシェークを必要としないアクセスポイントに見せかけることを特徴とする。
請求項10記載の発明は、請求項7から9のいずれか1項に記載の発明において、無線LAN装置は、リアルタイムオペレーションシステムと、リアルタイムオペレーションシステム上で実行されるファームウェアと、リアルタイムオペレーションシステム上でファームウェアを実行することによって無線LAN装置を動作させるサブCPUと、を有し、ファームウェアの実行により再接続時の4ウェイハンドシェークを行うことを特徴とする。
請求項11記載の発明は、アクセスポイントと、情報処理端末装置と、情報処理端末装置とアクセスポイントとを介する無線LAN装置と、を有する無線LANシステムに認証方法を実行させるためのプログラムであって、情報処理端末装置は、WPA(Wi-Fi Protected Access)に基づいて情報処理端末装置とアクセスポイントとの間で無線LAN通信を行うためのWPAサプリカント・アプリケーションがインストールされており、無線LAN装置に、WPAサプリカント・アプリケーションとアクセスポイントとの間で行われるWPA認証の一手順である4ウェイハンドシェークが失敗した場合、再接続時の4ウェイハンドシェーク処理を実行させることを特徴とする。
請求項12記載の発明は、請求項11記載の発明において、無線LAN装置に、WPAサプリカント・アプリケーションとアクセスポイントとの間で行われる4ウェイハンドシェークが失敗した場合にアクセスポイントからWPAサプリカント・アプリケーションに対して送信されるパケットを受信する処理と、パケットを解析した結果、WPAサプリカント・アプリケーションからアクセスポイントに対して待機制限時間以内に所定のメッセージが送信されなかったことを示す情報を検知した場合、再接続時の4ウェイハンドシェーク処理と、を実行させることを特徴とする。
請求項13記載の発明は、請求項11又は12記載の発明において、無線LAN装置に、WPAサプリカント・アプリケーションから再接続を要求された場合にアクセスポイントからWPAサプリカント・アプリケーションに対して送出されるビーコン信号を受信する処理と、ビーコン信号中の情報要素を書き換えることにより、実際には4ウェイハンドシェークを必要とするアクセスポイントを、4ウェイハンドシェークを必要としないアクセスポイントに見せかける処理と、を実行させることを特徴とする。
本発明によれば、WPAの認証を行う際に、従来、無線LAN端末上で動作するWPAサプリカント・アプリケーションで行われていた認証手順のうち、高速の応答が要求される4ウェイハンドシェーク処理をデバイス側にて実施することにより、既存のWPAサプリカント・アプリケーションやデバイスドライバの仕様を変更したり、再度作成したりする必要がなく、認証手順の高速化を実現し、認証の成功率を向上させることができる。
以下、本発明を実施するための最良の形態について添付図面を参照して詳細に説明する。
上記課題を解決するために、本発明では、図4に示すように、MAC回路301をはじめとするデバイスを、WPAサプリカント・アプリケーション103及びデバイスドライバ104を動作させるメインCPU101で動作させずに、専用のCPU(サブCPU307)、リアルタイムオペレーティングシステム308、及びファームウェア309を有するデバイス側システム(無線LANデバイス搭載ボード300)上で動作させる方法を用いる。これにより、前述の通り、アクセスポイントがサプリカントからのメッセージを受け取るまでの待機制限時間を越えてしまうことが原因となり、WPAサプリカント・アプリケーションとアクセスポイントとの間での4ウェイハンドシェークに失敗した場合には、代替的に、上記のデバイス側システム上で4ウェイハンドシェークを中心とするWPAサプリカント機能を実施する方法に切り替えて、認証を行うという手段を用いる。
また、本発明では、デバイス側システム上で4ウェイハンドシェーク処理を行うことに伴う、WPAサプリカント・アプリケーションにおける4ウェイハンドシェーク処理との重複の発生を避けるために、本発明では、デバイス側システムが、アクセスポイントから送出されるビーコン信号中の、WPA暗号化を用いての接続を要求することを示す情報要素に対して書き換えを行い、メインCPU側のオペレーティングシステム及びWPAサプリカント・アプリケーションに対しては、通信相手となるアクセスポイントがあたかもWPA暗号化をサポートしないアクセスポイントであるかのように、すなわち、4ウェイハンドシェーク処理を必要としないアクセスポイントであるかのように見せかける、という手段を用いる。
なお、この、「見せかける」という手段については、従来技術として、例えば特開2004−295915号公報に紹介されているように、メモリ容量を確保するために、マルチプレクサデバイスを用いてデータバスCの本数が増えたように見せかけるというものがあり、また、例えば特開2002−368825号公報に紹介されているように、マルチリンク方式として、複数の物理回線を一つの論理回線と見せかけることによって、パフォーマンスを向上させるためのものがある。ただし、これら従来技術は、いずれも「見せかける」という手段を、性能面での従来の向上を計ることを目的として利用しているのに対し、本発明では、専用のCPU(サブCPU)と、リアルタイムオペレーティングシステムと、ファームウェアとにより構成されるデバイス側システム上での4ウェイハンドシェーク処理と、WPAサプリカント・アプリケーションによる4ウェイハンドシェーク処理とを重複しないようにするための、根幹的な手段として用いているというのが特徴である。
本発明の実施例として、サプリカントとなる無線LAN端末(コンピュータなどの情報処理端末装置)と、無線LANデバイス搭載ボード(無線LAN端末に内蔵又は着脱可能な無線LAN装置)と、アクセスポイントとを有する無線LANシステムについて、図4の構成図及び図5のフロー図を参照し、以下、具体的に説明する。
まず、従来技術である図3の構成に対して、無線LANデバイス搭載ボード300に新たに追加するものは、コントロールRAM305、コントロールRAM I/Fレジスタ306、サブCPU307、リアルタイムオペレーティングシステム308、MAC回路301を動作させるソフトウェア、すなわちファームウェア309である。このファームウェア309は、サブCPU307上及びリアルタイムオペレーティングシステム308で動作する。
コントロールRAM305は、デバイスドライバ104とファームウェア309の両方からアクセスすることが可能なRAM領域である。スキャン及び接続などの動作をデバイスに実施させたい場合には、デバイスドライバ104から、各動作に対応するコマンド及び各コマンドに付随する情報をコントロールRAM305に書き込む。ファームウェア309は、コントロールRAM305に書き込まれたコマンドと、コマンドに付随する情報を読み込み、そのコマンドに対応する動作を実施する。
また、デバイスからメインCPU101への割り込みについては、ファームウェア309が、コントロールRAM I/Fレジスタ306の中の、割り込みソースレジスタ中の、各割り込みの種類に対応したビットを“1”に設定し、該当する割り込みマスクレジスタが“0”であれば、メインCPU101に対して割り込みがかかる。又はムウェア309は、リアルタイムオペレーティングシステム308上で稼働しており、デバイスからのデータ受信割り込みや、デバイスドライバ104からのコマンドを受けた際の割り込みに対して、優先度の高いタスクを、優先的に実施することが可能である。
ファームウェア309には、WPAサプリカント・アプリケーション103で実施している処理を搭載する。
以下、上記ファームウェア309に搭載する機能について、説明する。
図5に示すように、4ウェイハンドシェークでは、まず、ファームウェアは、ステップS26でアクセスポイントから送出されるメッセージ1の中から、暗号鍵の算出の基となる鍵を作成するために必要となる乱数パラメータANonce(Authentication Nonce)を検出する。
図5に示すように、4ウェイハンドシェークでは、まず、ファームウェアは、ステップS26でアクセスポイントから送出されるメッセージ1の中から、暗号鍵の算出の基となる鍵を作成するために必要となる乱数パラメータANonce(Authentication Nonce)を検出する。
次に、ファームウェアは、乱数パラメータSNonce(Supplicant Nonce)を発生させ、メッセージ2の中に入れてアクセスポイントに送る(ステップS27)。そして、PSKとANonceとSnonceとを基に、PRF−X(Pseudo Random Function with output length X)関数に入力することにより、PTK(Pairwise Transient Key)という64バイトの一時鍵を算出する。
アクセスポイントにおいても、ファームウェアからのメッセージ2を受け取った時点で、PSKとANonceとSNonceを取得することになるため、同様に、PRF−X関数に入力することにより、PTKを算出する。ファームウェアで算出したPTKの値は、アクセスポイントで算出したPTKと同じものとなる。また、仮に、メッセージ1及びメッセージ2が途中で盗聴されたとしても、PSKを持っていなければPTKを算出することはできない。
従って、ファームウェアが、アクセスポイントと同じPTKを持っている場合は、正規のユーザであることの証明になる。そして、PTKの中の上位バイトから16バイトは、MIC(Message Integrity Check)用鍵となる。このうち下位8バイトが、アクセスポイントからファームウェアに送るときのMIC用鍵となり、残りの上位8バイトが、ファームウェアからアクセスポイントに送るときのMIC用鍵となる。
メッセージ2を受け取ったアクセスポイントは、ファームウェア宛てに、PTKをインストールしたことなどを示すメッセージ3を送る(ステップS28)。メッセージ3の中には、MIC用鍵が含まれている。ファームウェアは、このMIC用鍵と、自らが所有するPTKの中のMIC用鍵が一致しているか否かを調べ、一致していれば、メッセージ2の宛先としたアクセスポイントであると判断する。
次に、ファームウェアは、メッセージ3に対する応答メッセージとなるメッセージ4を、MIC用鍵を付け加えて、アクセスポイント宛てに送る(ステップS29)。メッセージ4を受け取ったアクセスポイントは、メッセージ3を受け取ったファームウェアと同様に、このMIC用鍵と、自らが所有するPTKの中のMIC用鍵が一致しているか否かを調べ、一致していれば、メッセージ2の送出元であったファームウェアであると判断する。
このようにメッセージ1〜4までのやりとりを終えた後、ファームウェア及びアクセスポイントは、PTKの中の、上位17バイト目からの16バイトTK(Temporal Key)を、各パケットごとに暗号化を行うための一時鍵とする。
本実施例では、従来はサプリカントで行われていた4ウェイハンドシェーク機能をファームウェアに搭載することに加え、WPAサプリカント・アプリケーションとアクセスポイントの間での4ウェイハンドシェーク(図5のステップS21)が失敗し、かつ、その失敗の要因が、アクセスポイントにおいて、サプリカントからのメッセージ2又は4が、待機制限時間以内に送られてこなかったことである場合に、ファームウェアによって4ウェイハンドシェークを行うように切り替える。
図5のステップS21において、アクセスポイントが4ウェイハンドシェークに失敗したと判断した場合は、アソシエーションを解除するためのディスアソシエーションパケットを、その理由を表す情報を付け加えて、サプリカントに向けて送信する(図5のステップS22)。
そこで、本実施例においては、図5のステップS22の後、再度WPAサプリカント・アプリケーションからアクセスポイントのスキャン要求が送信されて再接続が試行された場合(図のステップS23)、アクセスポイントからのスキャン結果をファームウェアにて受信し(図5のステップS24)、ファームウェアは、スキャン結果に基づいてディスアソシエーションパケットを検出し、アソシエーション解除となった理由を調べる。具体的には、MACヘッダの中のSubtypeを調べ、ディスアソシエーションに対応する値“1010”であるか否かを調べる。“1010”である場合、さらに、パケット中のIEの、Reason Codeが、サプリカントからのメッセージ2又は4が待機制限時間以内に来なかったことを表す値“15”になっているか否かを調べる。
また、本実施例では、ファームウェアが4ウェイハンドシェークを行うように切り替えるにあたって、再接続が行われた際に、図5のステップS23のWPAサプリカント・アプリケーションからのスキャン要求に対して、ファームウェアは、アクセスポイントがWPA−PSKの認証を要求していないように見せかける(図5のステップS25)。これは、図5のステップS22の後に再接続を試みる際に、WPAサプリカント・アプリケーションが、4ウェイハンドシェークを行わないようにするためである。
このことを実現するために、ファームウェアは、スキャンによって検出したアクセスポイントのSSIDを調べ、それが、前回接続を試みたアクセスポイントのSSIDと一致していれば、MACパケット中の、Capability Informationの、暗号化をサポートしているか否かを示すビット4を、“1”から“0”(「サポートしている」から「サポートしていない」)に切り替えておく。
そして、図5のステップS26〜S29において4ウェイハンドシェークによる認証が成功した後は、ファームウェアは、TKをMAC回路に渡し、MAC回路は、データ通信を行う際に、TK及びMIC用鍵を基に、暗号化方式TKIPに基づいて、パケットごとに暗号化を行う。
以上説明したように、本実施例によれば、WPAサプリカント・アプリケーションと、アクセスポイントにおけるWPAの認証が失敗し、かつ、その失敗が、4ウェイハンドシェークにおいて、アクセスポイント側での待機制限時間以内に、WPAサプリカント・アプリケーションからのメッセージが届かなかったことが原因となっていた場合に、4ウェイハンドシェークをはじめとするサプリカント機能を、サブCPUとリアルタイムオペレーティングシステムとファームウェアにより構成されるデバイス側システム上で実施するように切り替えて、再接続を行うという方法を用いているため、既存のWPAサプリカント・アプリケーションやデバイスドライバの仕様を変更することなく、サプリカントからアクセスポイントへのメッセージ送出を高速化することができ、WPAの認証を成功させることが可能となる。
なお、この、デバイス側システム上で実施する方式への切り替えは、常に行うというものではなく、前述の通り、従来のWPAサプリカント・アプリケーションによる4ウェイハンドシェークが失敗した場合の代替的な手段として利用するため、既存のWPAサプリカント・アプリケーション機能と、本発明における認証方式とを、冗長度を持たせて、しかも効率良く、融合して利用することが可能となる。
また、本実施例によれば、サプリカント・アプリケーションとアクセスポイントの間での4ウェイハンドシェークが失敗した後の、再起動する場合を対象としているため、ファームウェアでの負荷が不要に重くなることを防ぐことができる。
さらに、本実施例によれば、WPAサプリカント・アプリケーションに対しては、スキャンによって検出したアクセスポイントが暗号化の機能を有していないように見せかけることにより、WPAサプリカント・アプリケーションが4ウェイハンドシェーク処理を行うことを抑制しているため、ファームウェアにおける4ウェイハンドシェークと重複することを防ぐことができる。
しかも、4ウェイハンドシェーク処理の重複を避けるにあたっては、従来のWPAサプリカント・アプリケーションやデバイスドライバを改変することなく、そのまま利用することができるという点も、汎用性、可用性という観点から見て、本発明の作用効果となる。
以上、本発明の実施例について説明したが、上記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々の変形が可能である。
本発明は、WPA認証技術を用いる無線LAN通信のほか、WPA認証技術を用いる有線LAN通信にも適用できる。
100 サプリカント(無線LAN端末)
101 メインCPU
102 オペレーティングシステム
103 WPAサプロカント・アプリケーション
104 デバイスドライバ
200 無線LANデバイス搭載ボード
201 MAC回路
202 ベースバンド・プロセッサ
203 周波数変換回路
204 アンテナ
300 無線LANデバイス搭載ボード
301 MAC回路
302 ベースバンド・プロセッサ
303 周波数変換回路
304 アンテナ
305 コントロールRAM
306 コントロールRAM I/Fレジスタ
307 サブCPU
308 リアルタイムオペレーティングシステム
309 ファームウェア
101 メインCPU
102 オペレーティングシステム
103 WPAサプロカント・アプリケーション
104 デバイスドライバ
200 無線LANデバイス搭載ボード
201 MAC回路
202 ベースバンド・プロセッサ
203 周波数変換回路
204 アンテナ
300 無線LANデバイス搭載ボード
301 MAC回路
302 ベースバンド・プロセッサ
303 周波数変換回路
304 アンテナ
305 コントロールRAM
306 コントロールRAM I/Fレジスタ
307 サブCPU
308 リアルタイムオペレーティングシステム
309 ファームウェア
Claims (13)
- アクセスポイントと、情報処理端末装置と、前記情報処理端末装置と前記アクセスポイントとを介する無線LAN装置と、を有する無線LANシステムであって、
前記情報処理端末装置は、
WPA(Wi-Fi Protected Access)に基づいて前記情報処理端末装置と前記アクセスポイントとの間で無線LAN通信を行うためのWPAサプリカント・アプリケーションがインストールされており、
前記無線LAN装置は、
前記WPAサプリカント・アプリケーションと前記アクセスポイントとの間で行われるWPA認証の一手順である4ウェイハンドシェークが失敗した場合、再接続時の4ウェイハンドシェークを行うことを特徴とする無線LANシステム。 - 前記無線LAN装置は、
前記WPAサプリカント・アプリケーションと前記アクセスポイントとの間で行われる4ウェイハンドシェークが失敗した場合に前記アクセスポイントからWPAサプリカント・アプリケーションに対して送信されるパケットを受信し、
前記パケットを解析した結果、前記WPAサプリカント・アプリケーションから前記アクセスポイントに対して待機制限時間以内に所定のメッセージが送信されなかったことを示す情報を検知した場合、前記再接続時の4ウェイハンドシェークを行うことを特徴とする請求項1記載の無線LANシステム。 - 前記無線LAN装置は、
前記WPAサプリカント・アプリケーションから再接続を要求された場合に前記アクセスポイントから前記WPAサプリカント・アプリケーションに対して送出されるビーコン信号を受信し、
前記ビーコン信号中の情報要素を書き換えることにより、実際には4ウェイハンドシェークを必要とする前記アクセスポイントを、4ウェイハンドシェークを必要としないアクセスポイントに見せかけることを特徴とする請求項1又は2記載の無線LANシステム。 - 前記無線LAN装置は、
リアルタイムオペレーションシステムと、
前記リアルタイムオペレーションシステム上で実行されるファームウェアと、
前記リアルタイムオペレーションシステム上で前記ファームウェアを実行することによって前記無線LAN装置を動作させるサブCPUと、を有し、
前記ファームウェアの実行により前記再接続時の4ウェイハンドシェークを行うことを特徴とする請求項1から3のいずれか1項に記載の無線LANシステム。 - 前記無線LAN装置は、前記情報処理端末装置に内蔵されるか、又は、前記情報処理端末装置に着脱可能であることを特徴とする請求項1から4のいずれか1項に記載の無線LANシステム。
- 請求項1から5のいずれか1項に記載の無線LANシステムで用いられることを特徴とする無線LAN装置。
- アクセスポイントと、情報処理端末装置と、前記情報処理端末装置と前記アクセスポイントとを介する無線LAN装置と、を有する無線LANシステムで行われる無線LAN通信の認証方法であって、
前記情報処理端末装置は、
WPA(Wi-Fi Protected Access)に基づいて前記情報処理端末装置と前記アクセスポイントとの間で無線LAN通信を行うためのWPAサプリカント・アプリケーションがインストールされており、
前記無線LAN装置は、
前記WPAサプリカント・アプリケーションと前記アクセスポイントとの間で行われるWPA認証の一手順である4ウェイハンドシェークが失敗した場合、再接続時の4ウェイハンドシェークを行うことを特徴とする無線LAN通信の認証方法。 - 前記無線LAN装置は、
前記WPAサプリカント・アプリケーションと前記アクセスポイントとの間で行われる4ウェイハンドシェークが失敗した場合に前記アクセスポイントからWPAサプリカント・アプリケーションに対して送信されるパケットを受信し、
前記パケットを解析した結果、前記WPAサプリカント・アプリケーションから前記アクセスポイントに対して待機制限時間以内に所定のメッセージが送信されなかったことを示す情報を検知した場合、前記再接続時の4ウェイハンドシェークを行うことを特徴とする請求項7記載の無線LAN通信の認証方法。 - 前記無線LAN装置は、
前記WPAサプリカント・アプリケーションから再接続を要求された場合に前記アクセスポイントから前記WPAサプリカント・アプリケーションに対して送出されるビーコン信号を受信し、
前記ビーコン信号中の情報要素を書き換えることにより、実際には4ウェイハンドシェークを必要とする前記アクセスポイントを、4ウェイハンドシェークを必要としないアクセスポイントに見せかけることを特徴とする請求項7又は8記載の無線LAN通信の認証方法。 - 前記無線LAN装置は、
リアルタイムオペレーションシステムと、
前記リアルタイムオペレーションシステム上で実行されるファームウェアと、
前記リアルタイムオペレーションシステム上で前記ファームウェアを実行することによって前記無線LAN装置を動作させるサブCPUと、を有し、
前記ファームウェアの実行により前記再接続時の4ウェイハンドシェークを行うことを特徴とする請求項7から9のいずれか1項に記載の無線LAN通信の認証方法。 - アクセスポイントと、情報処理端末装置と、前記情報処理端末装置と前記アクセスポイントとを介する無線LAN装置と、を有する無線LANシステムに認証方法を実行させるためのプログラムであって、
前記情報処理端末装置は、
WPA(Wi-Fi Protected Access)に基づいて前記情報処理端末装置と前記アクセスポイントとの間で無線LAN通信を行うためのWPAサプリカント・アプリケーションがインストールされており、
前記無線LAN装置に、
前記WPAサプリカント・アプリケーションと前記アクセスポイントとの間で行われるWPA認証の一手順である4ウェイハンドシェークが失敗した場合、再接続時の4ウェイハンドシェーク処理を実行させることを特徴とするプログラム。 - 前記無線LAN装置に、
前記WPAサプリカント・アプリケーションと前記アクセスポイントとの間で行われる4ウェイハンドシェークが失敗した場合に前記アクセスポイントからWPAサプリカント・アプリケーションに対して送信されるパケットを受信する処理と、
前記パケットを解析した結果、前記WPAサプリカント・アプリケーションから前記アクセスポイントに対して待機制限時間以内に所定のメッセージが送信されなかったことを示す情報を検知した場合、前記再接続時の4ウェイハンドシェーク処理と、
を実行させることを特徴とする請求項11記載のプログラム。 - 前記無線LAN装置に、
前記WPAサプリカント・アプリケーションから再接続を要求された場合に前記アクセスポイントから前記WPAサプリカント・アプリケーションに対して送出されるビーコン信号を受信する処理と、
前記ビーコン信号中の情報要素を書き換えることにより、実際には4ウェイハンドシェークを必要とする前記アクセスポイントを、4ウェイハンドシェークを必要としないアクセスポイントに見せかける処理と、
を実行させることを特徴とする請求項11又は12記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006027196A JP2007208816A (ja) | 2006-02-03 | 2006-02-03 | 無線lanシステム、無線lan装置、無線lan通信の認証方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006027196A JP2007208816A (ja) | 2006-02-03 | 2006-02-03 | 無線lanシステム、無線lan装置、無線lan通信の認証方法、及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007208816A true JP2007208816A (ja) | 2007-08-16 |
Family
ID=38487843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006027196A Withdrawn JP2007208816A (ja) | 2006-02-03 | 2006-02-03 | 無線lanシステム、無線lan装置、無線lan通信の認証方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007208816A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011061619A (ja) * | 2009-09-11 | 2011-03-24 | Brother Industries Ltd | 無線通信装置とコンピュータプログラム |
| JP2011512710A (ja) * | 2008-01-18 | 2011-04-21 | 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 | プリミティブに基づく無線パーソナルエリアネットワークのアクセス方法 |
| US8675657B2 (en) | 2009-04-27 | 2014-03-18 | Ricoh Company, Limited | Wireless communication apparatus and wireless communication method |
| KR101437026B1 (ko) | 2011-12-22 | 2014-09-02 | 브로드콤 코포레이션 | 무선 액세스 포인트를 위한 해제 가능한 보안 시스템 및 방법 |
| JP2015228598A (ja) * | 2014-06-02 | 2015-12-17 | 株式会社リコー | 通信装置、及びプログラム並びに通信方法 |
-
2006
- 2006-02-03 JP JP2006027196A patent/JP2007208816A/ja not_active Withdrawn
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011512710A (ja) * | 2008-01-18 | 2011-04-21 | 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 | プリミティブに基づく無線パーソナルエリアネットワークのアクセス方法 |
| US8984287B2 (en) | 2008-01-18 | 2015-03-17 | China Iwncomm Co., Ltd. | Wireless personal area network access method based on primitive |
| US8675657B2 (en) | 2009-04-27 | 2014-03-18 | Ricoh Company, Limited | Wireless communication apparatus and wireless communication method |
| JP2011061619A (ja) * | 2009-09-11 | 2011-03-24 | Brother Industries Ltd | 無線通信装置とコンピュータプログラム |
| KR101437026B1 (ko) | 2011-12-22 | 2014-09-02 | 브로드콤 코포레이션 | 무선 액세스 포인트를 위한 해제 가능한 보안 시스템 및 방법 |
| JP2015228598A (ja) * | 2014-06-02 | 2015-12-17 | 株式会社リコー | 通信装置、及びプログラム並びに通信方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7809354B2 (en) | Detecting address spoofing in wireless network environments | |
| KR101101060B1 (ko) | 이동국 전이 방법 및 컴퓨터 판독가능 매체 | |
| KR101120731B1 (ko) | 확장가능 무선 프레임워크 | |
| US20110142239A1 (en) | Security protected non-access stratum protocol operation supporting method in a mobile telecommunication system | |
| EP3700162B1 (en) | Systems and methods for authentication | |
| US20100119069A1 (en) | Network relay device, communication terminal, and encrypted communication method | |
| JP2005110112A (ja) | 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。 | |
| JP2001111544A (ja) | 無線lanシステムにおける認証方法と認証装置 | |
| KR100666947B1 (ko) | 근거리 무선통신단말의 네트워크 접근방법 및 그네트워크시스템 | |
| CN108781110B (zh) | 用于通过通信网络中继数据的系统和方法 | |
| JP2007208816A (ja) | 無線lanシステム、無線lan装置、無線lan通信の認証方法、及びプログラム | |
| KR20090083211A (ko) | 무선 네트워크 시스템에서 클러스터 기능을 이용한 보안설정 시스템 및 그 제어방법 | |
| CN114945192A (zh) | 一种EasyMesh网络快速组网方法以及系统 | |
| JP2008263445A (ja) | 接続設定システム、認証装置、無線端末、及び接続設定方法 | |
| JP5981761B2 (ja) | 通信装置、制御方法、プログラム | |
| JP4536051B2 (ja) | 無線lan端末を認証する認証システム、認証方法、認証サーバ、無線lan端末、及びプログラム | |
| JP4586075B2 (ja) | 無線端末及び無線通信方法 | |
| CN116235467A (zh) | 一种关联控制方法及相关装置 | |
| CN111669753A (zh) | 一种wlan网络连接方法及电子设备 | |
| JP6621146B2 (ja) | 通信装置、通信端末、通信システム、通信制御方法および通信制御プログラム | |
| EP3614709B1 (en) | Key generation method and related devices | |
| JP2005176340A (ja) | 隣接するモバイル・スイッチング・センタへのハンドオフのためのグローバル認証継続機能 | |
| JP2008048212A (ja) | 無線通信システム、無線基地局装置、無線端末装置、無線通信方法、及びプログラム | |
| JP4953078B2 (ja) | 無線lan端末およびその通信方法 | |
| JP2006311373A (ja) | アクセス制御サーバ、及び、このアクセス制御サーバに適用されるアクセス制御プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20090407 |