JP2008022209A - アクセスポイントの正当性を確認する通信システム、通信方法、及び認証用情報提供サーバ - Google Patents
アクセスポイントの正当性を確認する通信システム、通信方法、及び認証用情報提供サーバ Download PDFInfo
- Publication number
- JP2008022209A JP2008022209A JP2006191282A JP2006191282A JP2008022209A JP 2008022209 A JP2008022209 A JP 2008022209A JP 2006191282 A JP2006191282 A JP 2006191282A JP 2006191282 A JP2006191282 A JP 2006191282A JP 2008022209 A JP2008022209 A JP 2008022209A
- Authority
- JP
- Japan
- Prior art keywords
- identification information
- access point
- user identification
- information
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】アクセスポイントの認証の正当性を確認する通信システム、通信方法、及び、アクセスポイントの認証の正当性を確認する装置としての認証用情報提供サーバを提供する。
【解決手段】ユーザ識別情報ID1と場所識別情報ID2とを受信する携帯端末5と、前記携帯端末から受信した前記ユーザ識別情報ID1を、所定のアクセスポイント2に送信する認証用情報提供サーバ1と、前記所定のアクセスポイント2から受信した前記ユーザ識別情報ID1と予め保持しているユーザ識別情報ID1との突合を行うことにより、前記所定のアクセスポイント2の正当性を検証する無線通信端末6とを備える。
【選択図】図1
【解決手段】ユーザ識別情報ID1と場所識別情報ID2とを受信する携帯端末5と、前記携帯端末から受信した前記ユーザ識別情報ID1を、所定のアクセスポイント2に送信する認証用情報提供サーバ1と、前記所定のアクセスポイント2から受信した前記ユーザ識別情報ID1と予め保持しているユーザ識別情報ID1との突合を行うことにより、前記所定のアクセスポイント2の正当性を検証する無線通信端末6とを備える。
【選択図】図1
Description
本発明は、アクセスポイントの認証のための技術に関し、特に、アクセスポイントの正当性を確認する通信システム、通信方法、及び認証用情報提供サーバに関する。
近年において、ユーザは、無線LAN端末を利用することにより、様々な場所からインターネットやネットワークにアクセスすることができる。例えば、無線LAN規格IEEE802.11において、共通鍵暗号方式を用いたWEP(Wired Equivalent Privacy)アルゴリズムが規格化されており、アクセスポイントを利用した通信システムは広く利用されている。
特に、アクセスポイントを利用した通信システムには、複数の無線LAN端末が接続されるアクセスポイントと、そのアクセスポイントを介してユーザが利用するサービス(インターネットへの接続やファイルへのアクセスなど)を制御するサービスサーバとから構成されるものがある。アクセスポイントは、正しいアクセス制御情報により接続を試みたクライアント端末に対してサービスサーバへのアクセスを許可し、その後、無線LAN端末とサービスサーバとの間で必要な認証を行い、サービスを提供するというシステム構成が一般的である。このような通信システムでの利用時には、無線LAN端末に予め設定可能なアクセス制御情報として、無線LANの識別子として利用されるSSID及びWEPキーなどがある。ユーザは、一定のセキュリティレベルを保つため、そのようなSSID及びWEPキーなどを用いて、アクセスポイントに対して接続を試みることになる。
SSID利用では、アクセスポイントとクライアント端末で同じSSIDが登録されていないと通信することができない。また、WEP利用では、RSA暗号など種々の暗号化方式を用いて盗聴防止に利用され、共通鍵がアクセスポイント(以下、APとも称する)に設定されるため、無許可の端末がアクセスポイントに接続できなくなることから、アクセス制御としての機能を有する。
ただし、WEP利用においても機密性の脆弱さが指摘されており(例えば、非特許文献1参照)、例えば数時間の盗聴によるパケット収集で解読する方法も知られている。そこで、無線LAN規格IEEE802.11(WEP)に基づく通信システムでは、SSID、WEP、及びMACアドレス(MACアドレスフィルタリングと称される)を組み合わせてアクセス制御又は盗聴対策を行うことがIPA(独立行政法人情報処理推進機構)で推奨されている(例えば、非特許文献2参照)。MACアドレス利用では、アクセスを許可する通信モジュールについて、そのMACアドレスをアクセスポイント又はサーバに登録しておき、登録されていないMACアドレスの通信モジュールに対してはネットワークへのアクセスを禁止することができる。そのため、公衆無線LANサービスや企業利用においても、これらの方式を組み合わせて利用することが一般的となっている。
通常、上記のアクセスポイントを利用した通信システムでは、SSIDやWEPキーなどの秘密情報は、無線LAN端末がアクセスポイントへ無断で接続しないようにアクセス制御を行うために利用されるものである。
総務省総合通信基盤局、"安心して無線LANを利用するために"、pp. 008〜012、[online]、平成16年 6月 3日、総務省総合通信基盤局 電波部移動通信課推進係、[平成18年 3月 23日検索]、インターネット〈http://www.soumu.go.jp/joho_tsusin/lan/pdf/lan_1.pdf〉
電子情報技術産業協会(JEITA)、"無線LANセキュリティに関するガイドライン"、pp. 023〜025、[online]、平成16年 4月 12日、電子情報技術産業協会(JEITA) パーソナル情報部会、[平成18年 3月 23日検索]、インターネット〈http://it.jeita.or.jp/perinfo/committee/pc/wirelessLAN2/wirelessLAN040412.pdf〉
しかしながら、SSID方式、WEP方式、及びMACアドレス方式を組み合わせた通信システムでは、接続したアクセスポイントが、ユーザが接続を希望した正規のアクセスポイントであるか否かを確認する手段がない。一般に、無線LANの代表的なセキュリティ脅威として、「盗聴」及び「アクセスポイントのなりすまし」が知られている(例えば、特許文献1参照)。「盗聴」には、パスワードやクレジットカード番号などの個人情報を盗み取る行為や、POS(Point of Sales)システムを利用する者のPOS情報を盗み取る行為などが含まれる。また、「アクセスポイントのなりすまし」には、接続先のアクセスポイントが本来接続すべき正当なアクセスポイントではなく、近隣に同一設定を施した不正アクセスポイントが設置され、不正なアクセスポイントのネットワークを通じて情報を搾取する行為が含まれる。
そのため、ユーザが気付かないように、悪意ある第三者が設置した不正なアクセスポイントを介して不正なサービスサーバに接続される可能性がある。その結果、悪意のある第三者にユーザの個人情報が搾取されたり、ウィルスを強制的にダウンロードされるといった被害を受けることもある(Wiフィッシングと称されている)。
本発明は、上記のような問題を解決するために、アクセスポイントの認証の正当性を確認する通信システム、通信方法、及び、アクセスポイントの認証の正当性を確認する装置としての認証用情報提供サーバを提供することを目的とする。
本発明による通信システムでは、ユーザは、無線端末(携帯電話など)と無線通信端末(無線LAN端末など)とを携帯している。そして、ユーザの要求に応じて無線端末は、ユーザを識別する情報(以下、ユーザ識別情報と称することとし、RFID、非接触ICカード又は無線IDタグなどがある)と、アクセスポイントの設置される場所を識別する情報(以下、場所識別情報と称することとし、場所を識別するための無線IDタグなどがある)とを取得又は保有する。次に、ユーザの要求に応じて無線端末は、ユーザ識別情報及び場所識別情報をアクセスポイントを介さずに安全な経路を介して認証用情報提供サーバに送信する。次に、認証用情報提供サーバは、ユーザ識別情報を秘密情報として、所定のアクセスポイントを設定し、その所定のアクセスポイントを介して無線通信端末にユーザ識別情報を送信する。このようにして、ユーザの要求に応じて無線通信端末は、安全な経路で送信したユーザ識別情報を、その所定のアクセスポイントから受信することができる。無線通信端末は、その受信したユーザ識別情報と予め保持しているユーザ識別情報とを突合させることにより、その所定のアクセスポイントの正当性を検証する。
本発明による別の態様によるアクセスポイントの正当性を確認する方法は、そのようなシステムを実現するための方法とすることができる。
また、そのような通信システムを実現するために、少なくとも1つの携帯端末と、少なくとも1つの認証用情報提供サーバと、少なくとも1つの無線通信端末とを備える通信システムにおいて、前記認証用情報提供サーバは、ユーザ識別情報と場所識別情報を受信する第1の受信部と、前記受信したユーザ識別情報及び場所識別情報の組み合わせの登録の有無を確認する権利確認部と、前記場所識別情報から所定のアクセスポイントに該当する識別子を抽出し、且つ、前記所定のアクセスポイントのIPアドレスを抽出する認証対象抽出部と、前記ユーザ識別情報及び前記無線通信端末のMACアドレスが登録されていることを確認し、前記MACアドレスを抽出する認証側情報確認部と、前記ユーザ識別情報及び前記MACアドレスを前記所定のアクセスポイントに送信する第1の送信部とを有する。
無線LAN端末によりアクセスポイントへの接続を希望するユーザは、そのアクセスポイントが、正規の認証用情報提供サーバにより管理されている正当なアクセスポイントであることを確認することが可能となる。これにより、悪意ある第三者が不正なアクセスポイントを設置することを困難にし、悪意ある第三者にユーザの個人情報が搾取されたり、ウィルスを強制的にダウンロードされるといった被害を受ける危険性を低減させることができる。従って、様々な秘密情報を有するユーザは、安心して無線LANの通信システムを利用することができるようになる。
まず、本発明による実施例の通信システムの構成について説明する。
(システム構成)
図1は、本発明による通信システムの構成の概略を示す図である。図1に示す通信システムは、携帯端末5と、認証用情報提供サーバ1と、サービスサーバ8と、GW(GateWay:ゲートウェイ)装置7と、アクセスポイント2と、無線通信端末6とを備える。携帯端末(携帯電話など)5は、ユーザを識別するユーザ識別情報(第1の無線タグID1)とアクセスポイント2が設置される場所を識別する場所識別情報(第2の無線タグID2)とを受信する。認証用情報提供サーバ1は、携帯端末5から識別情報(ID1及びID2)を受信し、ユーザ識別情報(第1の無線タグID1)及びMACアドレスを所定のアクセスポイントに送信する。所定のアクセスポイント2は、認証用情報提供サーバ1からユーザ識別情報(第1の無線タグID1)及びMACアドレスを受信して記憶する。無線通信端末(無線LAN端末など)6は、所定のアクセスポイントからユーザ識別情報(第1の無線タグID1)を受信する。
図1は、本発明による通信システムの構成の概略を示す図である。図1に示す通信システムは、携帯端末5と、認証用情報提供サーバ1と、サービスサーバ8と、GW(GateWay:ゲートウェイ)装置7と、アクセスポイント2と、無線通信端末6とを備える。携帯端末(携帯電話など)5は、ユーザを識別するユーザ識別情報(第1の無線タグID1)とアクセスポイント2が設置される場所を識別する場所識別情報(第2の無線タグID2)とを受信する。認証用情報提供サーバ1は、携帯端末5から識別情報(ID1及びID2)を受信し、ユーザ識別情報(第1の無線タグID1)及びMACアドレスを所定のアクセスポイントに送信する。所定のアクセスポイント2は、認証用情報提供サーバ1からユーザ識別情報(第1の無線タグID1)及びMACアドレスを受信して記憶する。無線通信端末(無線LAN端末など)6は、所定のアクセスポイントからユーザ識別情報(第1の無線タグID1)を受信する。
アクセスポイント2の正当性の検証について説明する。まず、ユーザの要求に応じて携帯端末5は、ユーザ固有の識別情報(ID1及びID2)を取得し(図示s1及びs2)、ユーザ固有の識別情報(ID1及びID2)を、アクセスポイント2を介さずに安全な経路(図示s3〜s7)を利用して認証用情報提供サーバ1に送信する。無線通信端末6は、その識別情報(ID1及びID2)を秘密情報として予め保持している。ユーザの要求に応じて無線通信端末6は、アクセスポイント2との接続(図示s8)を希望する時に、無線端末5から送信されたユーザ識別情報(ID1)を安全な経路(図示s3〜s7)を利用してアクセスポイント2から取得し、予め保有するユーザ識別情報(ID1)との突合を行う。これにより、安全な経路で、アクセスポイント2の正当性を検証する。尚、「安全な経路」とは、所望のサービス提供を受けるために、無線通信端末6がアクセスポイント接続する経路以外の経路をいう。
ここで、ユーザ識別情報としての第1の無線タグ(ID1)は、ユーザを識別できる第1のID情報を有する。第1の無線タグには、アクティブ型、パッシブ型、非接触ICカード用などの他、利用する周波数によっても分類される。この分類には、密着型、近接型、近傍型、遠隔型等の分類があるが、これらも用途に応じて適宜使い分けることができる。ユーザ毎に異なるユーザ識別子を有する必要があることは言うまでもない。
場所識別情報としての第2の無線タグ(ID2)は、アクセスポイントが設置される場所を識別できる情報を有する。第2の無線タグには、アクティブ型、パッシブ型、非接触ICカード用などの他、利用する周波数によっても分類される。この分類には、密着型、近接型、近傍型、遠隔型等の分類があるが、これらも用途に応じて適宜使い分けることができる。アクセスポイントの設置場所毎に異なる無線タグが設定される。第2の無線タグとアクセスポイントの関連付け(又は組み合わせ)は、認証用情報提供サーバで管理される。本実施例においては、場所識別情報として第2の無線タグを場所識別子として利用しているが、無線通信端末を設置する場所とは異なる場所の場所識別子とすることも可能である。場所識別情報は、認証用情報提供サーバに送信可能な情報であればよく、例えばQRコードやバーコード(その場合携帯電話のカメラで撮影して認証用情報提供サーバに送信する)などでもよい。
アクセスポイント2は、IEEE802.11に準拠したものである。特に、無線通信端末にIPアドレスを設定するDHCP機能を有するものを利用することができる。
無線通信端末6は、例えば無線LAN端末とすることができ、アクセスポイント2へ接続する端末である。ノートPC、PDA、携帯電話、その他の無線LANインターフェースなどが含まれ、SSIDを設定し、WEPキーを利用した暗号化を利用できるものであればよい。
サービスエリアSaは、無線通信端末をネットワークに接続できるサービスを提供しているエリアである。サービスエリアSaには、無線LANのアクセスポイントを設置されており、第2の無線タグと関連付けられたアクセスポイントが存在することになる。
図1に示すアクセス回線網は、ADSLや光回線などの公衆アクセス回線、ISDNなどのダイヤルアップ回線、企業のWANやLAN、又はインターネットなどの回線網でもよく、サービスサーバ及び認証サーバへの通信制御の機能を確立できる通信網とする。
サービスサーバ8は、アクセスポイント2への接続が許可された無線通信端末6によって利用されるサービスを提供するサーバである。そのようなサービスとしては、インターネットへの接続制御、又はファイル共有などがある。
認証用情報提供サーバ1は、アクセスポイントが設置される場所に関連付けられた第2の無線タグ(ID2)の情報を元に、該当する場所に設置されたアクセスポイントを介して、ユーザ識別情報を無線通信端末に提供する装置である。
GW(GateWay:ゲートウェイ)装置7は、サービスサーバ8への通信の制御を行う装置として知られており、具体的な動作は本発明の主題ではない。
次に、本実施例における通信システムの前提条件を説明する。
まず、アクセスポイント2と無線通信端末6は、無線LAN規格IEEE802.11における共通鍵認証を利用して接続を行うこととする。無線通信端末へのIPアドレスの設定は、アクセスポイントが有するDHCP機能により行うこととする。
次に、サービスエリアSaの管理者は、アクセスポイントを設置すると共に、サービスエリアSa毎にアクセスポイントの設置する場所を識別するための第2の無線タグを設定し、第2の無線タグとアクセスポイントを構成する機器との関連性をテーブル(後述する設置場所情報テーブルに対応し、図示せず)に登録する。また、サービスエリアSaの管理者は、無線通信端末に設定可能なIPアドレスを適宜、アクセスポイントに割り振り設定する。また、サービスエリアSaの管理者は、ユーザ毎にユニークなユーザ識別情報を設定した第1の無線タグ(ID1)を、該ユーザに配布するとともに、事前に知らされるユーザの利用する無線通信端末のMACアドレスと第1の無線タグの関連性をテーブル(後述するキャッシュテーブル)に登録する。また、サービスエリアSaの管理者は、接続に必要な情報(SSID、WEPキー)をサービスエリアSaのサービス利用者(即ち、アクセスポイント利用者)に通知する。このようなサービスエリアSaの管理者の機能は、無線LAN規格IEEE802.11において一般的である。
次に、アクセスポイント利用者(即ち、ユーザ)は無線通信端末6及び携帯端末5を利用可能である。ここで、無線通信端末6と携帯端末5は、1つ以上の無線通信端末で実現することができ、本実施例では説明の便宜のために区別しているに過ぎない。アクセスポイント利用者は、事前に接続する端末のMACアドレスをサービスエリアSaの管理者に通知する。また、アクセスポイント利用者は、事前に前記の接続に必要な情報(SSID、WEPキー)を無線通信端末6に設定する。また、アクセスポイント利用者は、ユーザ識別情報(即ち、第1の無線タグID1)を無線通信端末6に保持する。
次に、本実施例の認証用情報提供サーバの構成を説明する。
(認証用情報提供サーバ)
図2は、認証用情報提供サーバのブロック図である。認証用情報提供サーバ1は、サーバ制御部11と第1の記憶部10とを備える。サーバ制御部11は、ユーザ識別情報(第1の無線タグ)及び場所識別情報(第2の無線タグ)を受信する第1の受信部12と、受信したユーザ識別情報(第1の無線タグ)及び場所識別情報(第2の無線タグ)の組み合わせの登録を確認する権利確認部13と、場所識別情報(第2の無線タグ)から前記所定のアクセスポイントに該当する識別子を抽出し、且つ、該当するアクセスポイントのIPアドレスを抽出する認証対象抽出部と、ユーザ識別情報(第1の無線タグ)及び無線通信端末のMACアドレス(認証サーバ識別子)が登録されていることを確認し、無線通信端末のMACアドレスを抽出する認証側情報確認部と、ユーザ識別情報(第1の無線タグ)及びアクセスポイントの情報を送信する第2の送信部を有している。第1の記憶部10は、設置場所情報テーブル10a、認証サービス情報テーブル10b、アクセスポイント情報テーブル10cと、ユーザ情報テーブル10dとを少なくとも記憶する。各要素の詳細な動作は後述する。
図2は、認証用情報提供サーバのブロック図である。認証用情報提供サーバ1は、サーバ制御部11と第1の記憶部10とを備える。サーバ制御部11は、ユーザ識別情報(第1の無線タグ)及び場所識別情報(第2の無線タグ)を受信する第1の受信部12と、受信したユーザ識別情報(第1の無線タグ)及び場所識別情報(第2の無線タグ)の組み合わせの登録を確認する権利確認部13と、場所識別情報(第2の無線タグ)から前記所定のアクセスポイントに該当する識別子を抽出し、且つ、該当するアクセスポイントのIPアドレスを抽出する認証対象抽出部と、ユーザ識別情報(第1の無線タグ)及び無線通信端末のMACアドレス(認証サーバ識別子)が登録されていることを確認し、無線通信端末のMACアドレスを抽出する認証側情報確認部と、ユーザ識別情報(第1の無線タグ)及びアクセスポイントの情報を送信する第2の送信部を有している。第1の記憶部10は、設置場所情報テーブル10a、認証サービス情報テーブル10b、アクセスポイント情報テーブル10cと、ユーザ情報テーブル10dとを少なくとも記憶する。各要素の詳細な動作は後述する。
図3は、アクセスポイントのブロック図である。アクセスポイント2は、認証用情報提供サーバ1からユーザ識別情報(第1の無線タグ)と無線通信端末6のMACアドレスとを受信する第2の受信部19と、受信した第1の無線タグ(ID1)とMACアドレスとを関連付けて(即ち、組み合わせて)キャッシュテーブル18aに保存し、又は、無線通信端末のDHCPのPACK応答後に保存された第1の無線タグ(ID1)とMACアドレスとをキャッシュテーブル18aから削除する機能を有するキャッシュ制御部20と、少なくともキャッシュテーブル18aを格納する第2の記憶部18とを有する。各要素の詳細な動作は後述する。
図4は、無線通信端末のブロック図である。無線通信端末6は、ユーザが有する第1の無線タグの情報を記憶する第3の記憶部22と、アクセスポイント2から受信したユーザ識別情報(第1のタグ情報ID1)と第3の記憶部22に予め記憶されるユーザ識別情報(第1のタグ情報)との突合を行う情報検証部23と、無線通信端末6によるアクセスポイント2への接続を制御(即ち、アクセス制御)する送受信部24とを有する。各要素の詳細な動作は後述する。
図1〜4において、所定数のアクセスポイント2、識別情報(ID1及びID2)、携帯端末5、認証用情報識別サーバ1、無線通信端末6を示しているが、複数のアクセスポイント、識別情報(ID1及びID2)、携帯端末、認証用情報識別サーバ、無線通信端末を備えるシステムとすることができることは言うまでもない。
表1a〜1fは、本発明による無線タグの情報の関連付けする各テーブルの一例を示す図である。TAG-Aは、第1の無線タグから受信して抽出される識別子の例であり、TAG-B は、第2の無線タグから受信して抽出される識別子の例である。
次に、本発明によるアクセスポイントの正当性を確認する動作について説明する。
(動作)
本発明によるアクセスポイントの正当性を確認する方法は、図1〜4に示すシステム構成で実現することができる。従って、図1〜4を参照しながら説明する。図5は、本発明によるアクセスポイントの正当性を確認するフローチャートである。
本発明によるアクセスポイントの正当性を確認する方法は、図1〜4に示すシステム構成で実現することができる。従って、図1〜4を参照しながら説明する。図5は、本発明によるアクセスポイントの正当性を確認するフローチャートである。
ステップS11において、ユーザの利用する携帯端末5の読み込み機能(以下、リーダ機能と称する)により、ユーザ識別情報(第1の無線タグID1)を読み込む(第1の無線タグID1)。
ステップS12において、ユーザの利用する携帯端末5のリーダ機能により、場所識別情報を読み込む(第2の無線タグID2)。そのようなリーダ機能は、デジタルカメラによる撮像のみならず、書き込むことなどを含める、第1の無線タグID1及び第2の無線タグID2を携帯端末5に取り込むことを可能とする機能をいう。
ステップS13において、携帯端末5が有する情報送信機能(例えば、メール送信機能)を用いて、ステップs1及びs2で読み込んだユーザ識別情報(第1の無線タグID1)及び場所識別情報(第2の無線タグID2)を認証用情報提供サーバ1に送信する。
ステップS14において、認証用情報提供サーバ1は、受信部12を介してステップS13により送信されたユーザ識別情報(第1の無線タグID1)及び場所識別情報(第2の無線タグID2)を受信する。そのような動作は、図2に示すユーザ識別情報(第1の無線タグ)及び場所識別情報(第2の無線タグ)を受信する受信部12で実現できる。
更に、ステップS14では、認証用情報提供サーバ1は、ステップS12により受信したユーザ識別情報(第1の無線タグID1)及び場所識別情報(第2の無線タグID2)により、認証サービス情報テーブル10bを検索し、登録の有無を確認する。これにより、正当な(登録されている)ユーザが正当な場所でアクセスを要求していることを確認する。そのような動作は、図2に示す受信したユーザ識別情報(第1の無線タグ)及び場所識別情報(第2の無線タグ)の組み合わせの登録を確認する権利確認部13で実現できる。
ステップS15において、認証用情報提供サーバ1は、ステップS13で受信した場所識別情報(第2の無線タグID2)により、場所識別情報を取り出し、設置場所情報テーブル10aの検索を行い、該当するアクセスポイント識別子を抽出する。そのような動作は、図2に示す受信したユーザ識別情報(第1の無線タグ)及び場所識別情報(第2の無線タグ)の組み合わせの登録を確認する権利確認部13で実現できる。
ステップS16において、認証用情報提供サーバ1は、ステップS15で抽出したアクセスポイント(AP)識別子より、AP情報TBL10cを検索し、該当するアクセスポイント(AP)のIPアドレスを抽出する。そのような動作は、図2に示すアクセスポイント識別子から、該当するアクセスポイントのIPアドレスを抽出する認証対象抽出部14で実現できる。
ステップS17において、認証用情報提供サーバ1は、ステップS14で受信したユーザ識別情報(第1の無線タグID1)により、ユーザ情報TBL10dを検索し、ユーザが利用する無線通信端末6のMACアドレスを抽出する。次に、認証用情報提供サーバ1は、ステップS14で受信したユーザ識別情報(無線タグID1)とステップS17で抽出したMACアドレスとを、ステップS16で抽出したIPアドレスのアクセスポイント(AP)へ送信する。そのような動作は、図2に示すユーザ識別情報(第1の無線タグ)及び無線通信端末のMACアドレス(認証サーバ識別子)が登録されていることを確認し、該当するMACアドレスを抽出する認証側情報確認部15と、ユーザ識別情報(第1の無線タグ)及びアクセスポイントの情報を送信する第1の送信部16で実現できる。
ステップS18において、アクセスポイント2は、ステップS17によりユーザ識別情報(第1の無線タグ)及びアクセスポイントの情報を受信し、キャッシュTBL18aにその情報を記憶する。そのような動作は、図3に示す認証用情報提供サーバ1からユーザ識別情報(第1の無線タグ)と無線通信端末6のMACアドレスとを受信する第2の受信部19と、受信した第1の無線タグ(ID1)とMACアドレスとを関連付けてキャッシュテーブル18aに保存する機能を有するキャッシュ制御部20とで実現できる。
ステップS19において、無線通信端末6は、事前に設定されているSSID、WEPキーによりアクセスポイント2と接続する。
ステップS20において、アクセスポイント2は、無線通信端末6の要求(Discoverコマンド送信と称される)に応じて(図示ST1)、IPアドレスの設定を行い、無線通信端末6に応答(OFFER応答と称される)して返信する(図示ST2)。次に、無線通信端末6は、DHCPのREQUESTを送信する(図示ST3)。
ステップS21において、アクセスポイント2は、REQUESTを受けたアクセスポイントは、無線通信端末6から送信されるMACアドレス(フレームの発信元MACアドレス)により、キャッシュテーブル18aを検索し、該当するユーザ識別情報(第1の無線タグID1)を抽出し、DHCPのPACK応答中のベンダ仕様部分に含めて応答を行う(図示ST4)。応答後、キャッシュテーブル18aの記録(第1の無線タグID1及びMACアドレス)は削除される。そのような動作は、無線通信端末のDHCPのPACK応答後に保存された第1の無線タグ(ID1)とMACアドレスとをキャッシュテーブル18aから削除する機能を有するキャッシュ制御部20とで実現できる。
ステップS22において、無線通信端末6は、PACK応答(図示ST4)により、IPアドレスを設定した後、PACK応答のフレーム中のユーザ識別情報(第1の無線タグID1)を抽出し、予め無線通信端末に設定されているユーザ識別情報との突合を行う。合致した場合は、IP通信を開始する。合致しなかった場合は、無線LANの接続を切断するなどしてIP通信を開始しない。そのような動作は、アクセスポイント2から受信したユーザ識別情報(第1のタグ情報ID1)と第3の記憶部22に予め記憶されるユーザ識別情報(第1のタグ情報)との突合を行う情報検証部23で実現できる。
尚、ステップS14〜17で登録がないと判断される場合、本通信システムにおけるアクセスポイントの正当性の検証は失敗として終了する。ステップS22で、ユーザ識別情報が不一致と判断される場合も同様に、本通信システムにおけるアクセスポイントの正当性の検証は失敗として終了する。
これにより、実施例では、ユーザは、無線通信端末を利用して接続を試みるアクセスポイントに対して、そのアクセスポイントとの接続を安全な経路から、そのアクセスポイントの正当性を確認することができるようになる。
実施例では、アクセスポイントの設置される場所を識別するために、第2の無線タグのID(即ち、ID2)を利用しているが、種々のアクセスポイントの設置される場所毎に、携帯端末5を介して認証用情報提供サーバ1に送信できればよい。例えば、アクセスポイントの設置される場所毎に設置されたバーコード又はQRコードなどをカメラ機能つき携帯電話で読み込んで送信することもできる。
実施例では、ユーザ本人を識別するために、第1の無線タグのID(即ち、ID1)を利用しているが、ユーザ本人を識別可能な(ユーザ毎に異なる)情報であればよい。例えば、携帯電話のメールアドレスや電話番号などでもよい。
更に、実施例では、ユーザが利用する無線通信端末のIPアドレスの割り当てのために、アクセスポイントが有するDHCP機能を利用したが、固定のIPアドレスを利用するとしてもよい。その場合、ユーザ識別情報(第1の無線タグ情報など)は、DHCPのPACK応答に含まれるのではなく、無線通信端末とアクセスポイントとの間で、有効な独自のコマンドを作成しアクセスポイントへユーザ識別情報の送信を要求することもできる。
また、DHCPサーバ利用する場合は、アクセスポイントとは別のサーバをDHCPサーバとしてもよい。その場合、認証用情報提供サーバで受信したユーザ識別情報(無線タグID1)は、アクセスポイントではなく、DHCPサーバへ送信される。
上述の実施例については代表的な例として説明したが、ユーザ識別情報、場所(ロケーション)識別情報、及び、各情報(無線タグ)を読み込む装置(無線タグリーダとも称する)としては、様々なバリエーションが考えられる。例えば、表2に、ユーザ識別情報、場所(ロケーション)識別情報、及び、各情報を読み取る装置のバリエーションを示す。バリエーションv3では、バリエーションv1及びv2と比較して、無線タグリーダが、セキュリティ上の安全な装置である場合には安全性のレベルは変わらない。しかし、無線タグリーダが偽造されるような場合では、ユーザ識別情報(無線タグ)が不正に読み取られる可能性も生じることを考慮すると、バリエーションv1及びv2と比較して安全性は劣る。
上述の実施例については代表的な例として説明したが、本発明の趣旨及び範囲内で、多くの変更及び置換することができることは当業者に明らかである。例えば、上述の実施例では、アクセスポイントの正当性を確認する通信システム又は方法として説明したが、そのような通信システム又は方法を実現するためのプログラム、又はそのようなプログラムを記録した記録媒体とすることができる。そのようなプログラムを、前述した第1〜第3の記憶部に格納することもできる。
従って、本発明は、上述の実施例によって制限するものと解するべきではなく、特許請求の範囲によってのみ制限される。
本発明によれば、ユーザが安心して無線LANを利用するために、アクセスポイントの正当性を客観的に安全な経路で確認できるため、無線LAN規格IEEE802.11(WEP)に基づく通信システムに有用である。
1 認証用情報提供サーバ
2 アクセスポイント
5 携帯端末
6 無線通信端末
7 GW(GateWay:ゲートウェイ)
8 サービスサーバ
10 第1の記憶部
11 サーバ制御部
12 第1の受信部
13 権利確認部
14 認証対象抽出部
15 認証対象確認部
16 第1の送信部
18 第2の記憶部
19 第2の受信部
20 キャッシュ制御部
21 第2の送信部
22 第3の記憶部
23 情報権勝負
24 送受信部
2 アクセスポイント
5 携帯端末
6 無線通信端末
7 GW(GateWay:ゲートウェイ)
8 サービスサーバ
10 第1の記憶部
11 サーバ制御部
12 第1の受信部
13 権利確認部
14 認証対象抽出部
15 認証対象確認部
16 第1の送信部
18 第2の記憶部
19 第2の受信部
20 キャッシュ制御部
21 第2の送信部
22 第3の記憶部
23 情報権勝負
24 送受信部
Claims (7)
- ユーザを識別するユーザ識別情報とアクセスポイントの設置される場所を識別する場所識別情報とを受信する少なくとも1つの携帯端末と、
前記携帯端末から受信した前記ユーザ識別情報を、所定のアクセスポイントに送信する少なくとも1つの認証用情報提供サーバと、
前記所定のアクセスポイントから受信した前記ユーザ識別情報と予め保持しているユーザ識別情報との突合を行うことにより、前記所定のアクセスポイントの正当性を検証する無線通信端末とを備える通信システム。 - 前記認証用情報提供サーバが、
前記ユーザ識別情報と前記場所識別情報を受信する第1の受信部と、
前記受信したユーザ識別情報及び場所識別情報の組み合わせの登録の有無を確認する権利確認部と、
前記場所識別情報から前記所定のアクセスポイントに該当する識別子を抽出し、且つ、前記所定のアクセスポイントのIPアドレスを抽出する認証対象抽出部と、
前記ユーザ識別情報及び前記無線通信端末のMACアドレスが登録されていることを確認し、前記MACアドレスを抽出する認証側情報確認部と、
前記ユーザ識別情報及び前記MACアドレスを前記所定のアクセスポイントに送信する第1の送信部とを有する請求項1に記載の通信システム。 - 前記認証用情報提供サーバが、
前記場所識別情報を格納する設置場所情報テーブルと、
前記ユーザ識別情報及び前記場所識別情報の組み合わせの情報を格納する認証サービス情報テーブルと、
前記場所識別情報と前記所定のアクセスポイントとの組み合わせの情報を格納するアクセスポイント情報テーブルと、
前記ユーザ識別情報と前記MACアドレスとの組み合わせの情報を格納するユーザ情報テーブルとを
記憶する第1の記憶部を更に有する請求項2に記載の通信システム。 - 前記アクセスポイントが、
前記認証用情報提供サーバから前記ユーザ識別情報と前記MACアドレスとを受信する第2の受信部と、
前記第2の受信部により受信した前記ユーザ識別情報と前記MACアドレスとの組み合わせの情報を格納するキャッシュテーブルを第2の記憶部に記憶する機能、及び、前記所定のアクセスポイントの検証のための前記無線通信端末からの応答後に、対応する前記ユーザ識別情報と前記MACアドレスとの組み合わせの情報を前記キャッシュテーブルから削除する機能を有するキャッシュ制御部と、
前記無線通信端末に、前記ユーザ識別情報と前記MACアドレスとの組み合わせの情報を送信する第2の送信部とを更に有する請求項3に記載の通信システム。 - 前記無線通信端末が、
前記ユーザ識別情報を予め記憶する第3の記憶部と、
前記所定のアクセスポイントから受信した前記ユーザ識別情報と前記予め保持しているユーザ識別情報との突合を行う情報検証部と、
前記無線通信端末による前記所定のアクセスポイントへの接続を制御する送受信部とを有する請求項1に記載の通信システム。 - 少なくとも1つの携帯端末と、少なくとも1つの認証用情報提供サーバと、少なくとも1つの無線通信端末とを備える通信システムにおいて、前記無線端末に利用されるアクセスポイントの正当性を検証する通信方法であって、
(a)前記携帯端末が、ユーザを識別するユーザ識別情報と所定のアクセスポイントの設置される場所を識別する場所識別情報とを受信し、前記認証用情報提供サーバに送信するステップと、
(b)前記認証用情報提供サーバが、前記ステップ(a)により受信した前記ユーザ識別情報と前記場所識別情報を前記携帯端末から受信するステップと、
(c)前記認証用情報提供サーバが、前記ステップ(b)により受信した前記場所識別情報から前記所定のアクセスポイントを設定し、前記ユーザ識別情報を前記無線通信端末に送信するステップと、
(d)前記無線通信端末が、前記ステップ(c)により受信した前記ユーザ識別情報と前記無線通信端末が予め保持しているユーザ識別情報とを突合するステップとを含む通信方法。 - 少なくとも1つの携帯端末と、少なくとも1つの認証用情報提供サーバと、少なくとも1つの無線通信端末とを備える通信システムにおいて、
ユーザ識別情報と場所識別情報を受信する第1の受信部と、
前記受信したユーザ識別情報及び場所識別情報の組み合わせの登録の有無を確認する権利確認部と、
前記場所識別情報から所定のアクセスポイントに該当する識別子を抽出し、且つ、前記所定のアクセスポイントのIPアドレスを抽出する認証対象抽出部と、
前記ユーザ識別情報及び前記無線通信端末のMACアドレスが登録されていることを確認し、前記MACアドレスを抽出する認証側情報確認部と、
前記ユーザ識別情報及び前記MACアドレスを前記所定のアクセスポイントに送信する第1の送信部とを有する認証用情報提供サーバ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006191282A JP4717737B2 (ja) | 2006-07-12 | 2006-07-12 | アクセスポイントの正当性を確認する通信システム、通信方法、及び認証用情報提供サーバ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006191282A JP4717737B2 (ja) | 2006-07-12 | 2006-07-12 | アクセスポイントの正当性を確認する通信システム、通信方法、及び認証用情報提供サーバ |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008022209A true JP2008022209A (ja) | 2008-01-31 |
| JP4717737B2 JP4717737B2 (ja) | 2011-07-06 |
Family
ID=39077857
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006191282A Expired - Fee Related JP4717737B2 (ja) | 2006-07-12 | 2006-07-12 | アクセスポイントの正当性を確認する通信システム、通信方法、及び認証用情報提供サーバ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4717737B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011097437A (ja) * | 2009-10-30 | 2011-05-12 | Toshiba Corp | 通信システム、当該システムの携帯端末、および当該システムのセンタ |
| KR101269680B1 (ko) | 2011-08-30 | 2013-05-30 | 국립대학법인 울산과학기술대학교 산학협력단 | 공용 네트워크 환경에서의 시그니쳐 정보 관리 시스템 및 방법, 시그니쳐 정보 관리를 위한 인증 서비스 장치 |
| JP2014219917A (ja) * | 2013-05-10 | 2014-11-20 | 日本電信電話株式会社 | 情報配信システム及び情報配信方法 |
| KR101515154B1 (ko) * | 2013-08-30 | 2015-05-20 | 에스케이텔레콤 주식회사 | 액세스포인트 판별 방법 및 이에 적용되는 장치 |
| JP2018537017A (ja) * | 2015-09-28 | 2018-12-13 | 矢崎総業株式会社 | 非車載無線ネットワークへのアクセスを制御する方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004072631A (ja) * | 2002-08-08 | 2004-03-04 | Ntt Docomo Inc | 無線通信における認証システム、認証方法及び端末装置 |
| JP2004128890A (ja) * | 2002-10-02 | 2004-04-22 | Softbank Bb Corp | 通信サービス提供システム及び通信サービス提供方法 |
| JP2004312529A (ja) * | 2003-04-09 | 2004-11-04 | Kyocera Corp | 情報通信方法及び情報通信システム |
| JP2005065018A (ja) * | 2003-08-18 | 2005-03-10 | Nec Corp | 無線lan接続システム、無線lan接続方法及び無線端末 |
-
2006
- 2006-07-12 JP JP2006191282A patent/JP4717737B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004072631A (ja) * | 2002-08-08 | 2004-03-04 | Ntt Docomo Inc | 無線通信における認証システム、認証方法及び端末装置 |
| JP2004128890A (ja) * | 2002-10-02 | 2004-04-22 | Softbank Bb Corp | 通信サービス提供システム及び通信サービス提供方法 |
| JP2004312529A (ja) * | 2003-04-09 | 2004-11-04 | Kyocera Corp | 情報通信方法及び情報通信システム |
| JP2005065018A (ja) * | 2003-08-18 | 2005-03-10 | Nec Corp | 無線lan接続システム、無線lan接続方法及び無線端末 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011097437A (ja) * | 2009-10-30 | 2011-05-12 | Toshiba Corp | 通信システム、当該システムの携帯端末、および当該システムのセンタ |
| KR101269680B1 (ko) | 2011-08-30 | 2013-05-30 | 국립대학법인 울산과학기술대학교 산학협력단 | 공용 네트워크 환경에서의 시그니쳐 정보 관리 시스템 및 방법, 시그니쳐 정보 관리를 위한 인증 서비스 장치 |
| JP2014219917A (ja) * | 2013-05-10 | 2014-11-20 | 日本電信電話株式会社 | 情報配信システム及び情報配信方法 |
| KR101515154B1 (ko) * | 2013-08-30 | 2015-05-20 | 에스케이텔레콤 주식회사 | 액세스포인트 판별 방법 및 이에 적용되는 장치 |
| JP2018537017A (ja) * | 2015-09-28 | 2018-12-13 | 矢崎総業株式会社 | 非車載無線ネットワークへのアクセスを制御する方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4717737B2 (ja) | 2011-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7562385B2 (en) | Systems and methods for dynamic authentication using physical keys | |
| JP5189066B2 (ja) | 端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置 | |
| US20080060066A1 (en) | Systems and methods for acquiring network credentials | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| RU2411670C2 (ru) | Способ создания и проверки подлинности электронной подписи | |
| US20110258443A1 (en) | User authentication in a tag-based service | |
| JP2008021075A (ja) | 無線lanにおける認証システムおよび認証方法、認証サーバ、ならびに認証プログラム | |
| US20080250485A1 (en) | Guest Dongle and Method of Connecting Guest Apparatuses to Wireless Home Networks | |
| JP4803145B2 (ja) | 鍵共有方法、鍵配信システム | |
| KR20030076625A (ko) | 스마트 카드에서 pki 기능들을 인에이블링시키는 방법 | |
| CN110121170B (zh) | 基于加密技术的移动网络身份验证方法 | |
| WO2007128134A1 (en) | Secure wireless guest access | |
| KR100847145B1 (ko) | 불법 액세스 포인트 검출 방법 | |
| WO2005091149A1 (ja) | バックアップ装置、被バックアップ装置、バックアップ媒介装置、バックアップシステム、バックアップ方法、データ復元方法、プログラム及び記録媒体 | |
| WO2008030527A2 (en) | Systems and methods for acquiring network credentials | |
| KR20140098872A (ko) | 모바일 nfc단말기 웹 서비스를 위한 바이오인식과 tsm 기반의 보안 시스템 및 방법 | |
| JP4717737B2 (ja) | アクセスポイントの正当性を確認する通信システム、通信方法、及び認証用情報提供サーバ | |
| JP4663596B2 (ja) | 相互認証システム及び方法並びにプログラム | |
| US8601270B2 (en) | Method for the preparation of a chip card for electronic signature services | |
| JP2008299457A (ja) | 認証システム、認証方法及び認証ソケット装置 | |
| KR100858146B1 (ko) | 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치 | |
| JP2004274359A (ja) | 通信ネットワークシステム、通信端末機、認証装置、認証サーバ、及び電子認証方法 | |
| JP2005354136A (ja) | 通信端末装置、接続管理サーバおよび通信システム | |
| KR101692161B1 (ko) | 비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법 | |
| JPH11252068A (ja) | データ通信システム及び構成装置、記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080725 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20081017 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110118 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110307 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110329 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110330 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4717737 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140408 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |