JP2008097264A - Authentication system for authenticating wireless lan terminal, authentication method, authentication server, wireless lan terminal, and program - Google Patents

Authentication system for authenticating wireless lan terminal, authentication method, authentication server, wireless lan terminal, and program Download PDF

Info

Publication number
JP2008097264A
JP2008097264A JP2006277561A JP2006277561A JP2008097264A JP 2008097264 A JP2008097264 A JP 2008097264A JP 2006277561 A JP2006277561 A JP 2006277561A JP 2006277561 A JP2006277561 A JP 2006277561A JP 2008097264 A JP2008097264 A JP 2008097264A
Authority
JP
Japan
Prior art keywords
authentication
password
identification information
wireless lan
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006277561A
Other languages
Japanese (ja)
Other versions
JP4536051B2 (en
Inventor
Yoshimi Iwasaki
吉美 岩崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Infrontia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Infrontia Corp filed Critical NEC Infrontia Corp
Priority to JP2006277561A priority Critical patent/JP4536051B2/en
Publication of JP2008097264A publication Critical patent/JP2008097264A/en
Application granted granted Critical
Publication of JP4536051B2 publication Critical patent/JP4536051B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To allow update of authentication information only by operation of a manager for easily setting new authentication information and ensuring a stronger security system. <P>SOLUTION: This authentication system authenticating a wireless LAN terminal is provided with an authentication server and the wireless LAN terminal. The authentication server includes first authentication information and second authentication information and comprises a first authentication processing means receiving the first authentication information from the wireless LAN terminal to carry out authentication processing, a second authentication means receiving the second authentication information to carry out authentication processing, an authentication information transmission means transmitting the second authentication information to the wireless LAN terminal, and a change means changing the first authentication information to the second authentication information if authentication by the second authentication processing means is carried out successfully. The wireless LAN terminal includes first authentication information and comprises a first request transmission means transmitting the first authentication information to the authentication server to request authentication processing and a second request transmission means receiving second authentication information from the authentication server and transmitting the received second authentication information to the authentication server to request authentication processing. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、無線LAN(Local Area Network)端末を認証する認証システム、認証方法、認証サーバ、無線LAN端末、及びプログラムに関し、特に無線LAN端末の認証情報を定期的に自動更新する認証システム、認証方法、認証サーバ、無線LAN端末、及びプログラムに関する。   The present invention relates to an authentication system, an authentication method, an authentication server, a wireless LAN terminal, and a program for authenticating a wireless LAN (Local Area Network) terminal, and in particular, an authentication system and authentication for automatically updating authentication information of a wireless LAN terminal periodically. The present invention relates to a method, an authentication server, a wireless LAN terminal, and a program.

近年、無線LANの普及が進み、公衆ネットワークや企業ネットワークにおいても大規模な無線LANを利用したシステムが構築されている。これに伴い、セキュリティ面の強化が課題となり、IEEE802.1XによるRADIUS(Remote Authentication Dial In User Service)認証システムを組み合わせた端末認証の導入が進んでいる。   In recent years, wireless LANs have become popular, and systems using large-scale wireless LANs have been constructed in public networks and corporate networks. Along with this, enhancement of security has become an issue, and the introduction of terminal authentication combined with a RADIUS (Remote Authentication Dial In User Service) authentication system based on IEEE802.1X is progressing.

IEEE802.1Xでは、EAP(Extensible Authentication Protocol)により、サーバ認証、及びクライアント認証を行うので、不正端末のアクセスを防ぐことができ、従来のWEP方式やWPA−PSK方式より強固なセキュリティと言える。   In IEEE802.1X, server authentication and client authentication are performed by EAP (Extensible Authentication Protocol), so that unauthorized terminals can be prevented from accessing, and it can be said that the security is stronger than the conventional WEP method or WPA-PSK method.

ここで、WEP方式とは、IEEE802.11bのセキュリティシステムとして採用された暗号化方式であり、無線LAN通信を行う双方の機器で同じWEPキー(WEP暗号化方式で用いられる暗号化キーのことである。)を設定し、送信されるパケットを暗号化して第三者に内容を傍受されないようになっている。そして「64bit」、「128bit」の2種類から選択でき、64bitより128bitの方がセキュリティは堅固であるが、通信速度が遅くなっている。   Here, the WEP method is an encryption method adopted as an IEEE802.11b security system, and is the same WEP key (encryption key used in the WEP encryption method) in both devices performing wireless LAN communication. Is set, and the transmitted packet is encrypted so that the contents cannot be intercepted by a third party. And, it is possible to select from “64 bit” and “128 bit”. The security is stronger in 128 bits than in 64 bits, but the communication speed is slow.

また、WPA−PSK方式とは、WPA(Wi-Fi Protected Access)がWEP方式の脆弱性を補強するために、Wi−Fi Alliance(業界団体)によって策定されたセキュリティ規格を表し、PSK(Pre-Shared Key)が、TKIP暗号プロトコルにおいて、暗号化キーを生成するために用いられる共有(秘密)鍵のことである。そして、この鍵を用いて直接暗号化を行うものではなく、暗号鍵を生成するためのものであることから事前共有鍵と呼ばれている。またPSKは、事前共有鍵を用いる認証方式を表す場合がある。   The WPA-PSK method is a security standard established by Wi-Fi Alliance (industry group) to reinforce the vulnerability of WEP (Wi-Fi Protected Access). Shared Key) is a shared (secret) key used to generate an encryption key in the TKIP encryption protocol. This key is not used for direct encryption but is used to generate an encryption key, so it is called a pre-shared key. PSK may represent an authentication method using a pre-shared key.

このように、WPAはひとつの技術によるセキュリティ機能ではなく、クライアント認証を行うIEEE802.1Xに、新しい暗号化方式である「TKIP」などを組み合わせたものである。   In this way, WPA is not a security function based on a single technology, but is a combination of IEEE802.1X that performs client authentication and “TKIP” that is a new encryption method.

これに対し、EAPとは、任意の認証機能を用いるための仕様であって、ダイヤルアップで用いられるPPP(Point to Point Protocol)の拡張として開発されたものである。このEAPには、クライアント認証に電子証明書を用いるEAP−TLSや、ユーザーID、パスワードでクライアント認証を行うEAP−PEAP等のいくつかの方式がある。   In contrast, EAP is a specification for using an arbitrary authentication function, and was developed as an extension of PPP (Point to Point Protocol) used for dial-up. There are several types of EAP, such as EAP-TLS that uses an electronic certificate for client authentication, and EAP-PEAP that performs client authentication using a user ID and password.

例えば、EAP−TLSは、TLS(Transport Layer Security)を用いたEAP方式の認証プロトコルであり、このEAP−TLSを利用する場合には、クライアント証明書およびサーバ証明書が必要となる。   For example, EAP-TLS is an EAP authentication protocol using TLS (Transport Layer Security), and when using this EAP-TLS, a client certificate and a server certificate are required.

また、EAP−PEAPとは、Microsoft社(登録商標)等により開発されたIEEE802.1X/EAP認証方式の1つであり、認証サーバは電子証明書によって、またクライアントはID/パスワードによって相互認証を行う方式である。   EAP-PEAP is one of the IEEE802.1X / EAP authentication methods developed by Microsoft Corporation (registered trademark), etc., where the authentication server uses a digital certificate and the client performs mutual authentication using an ID / password. It is a method to do.

このように、EAPを用いた方式により認証システムを導入した無線LANシステムでは、無線LAN端末を接続するために、SSID(Service Set Identifier)の他、認証に必要な電子証明書やユーザーID、パスワード、サーバの情報等を設定する必要があるため、一度設定を行うと認証情報を更新するのに手間がかかっていた。   In this way, in a wireless LAN system in which an authentication system is introduced by a method using EAP, in order to connect a wireless LAN terminal, in addition to an SSID (Service Set Identifier), an electronic certificate, a user ID, and a password required for authentication Since it is necessary to set server information and the like, it takes time to update the authentication information once it is set.

ここでSSIDとは、IEEE802.11シリーズの無線LANにおけるアクセスポイントの識別子のことである。これは、無線LANをグループ化し、無線LANアクセスポイントと端末とに同じSSIDが設定されていないと通信できないようになっている。   Here, the SSID is an identifier of an access point in the IEEE802.11 series wireless LAN. This means that wireless LANs are grouped and communication is not possible unless the same SSID is set for the wireless LAN access point and the terminal.

しかしながら、EAP−PEAP等のユーザーID、パスワードによる認証システムにおいては、予期せぬ事態によりユーザーID、パスワードの情報が流出してしまった場合、なりすまし端末がネットワークに不正アクセスする危険性がある。   However, in an authentication system using a user ID and password such as EAP-PEAP, if the user ID and password information leaks due to an unexpected situation, there is a risk that an impersonation terminal may illegally access the network.

このような場合には、早急にユーザーID、パスワードの変更が必要となるが、該当する無線LAN端末の特定が困難となったり、或いは、管理者が該当する無線LAN端末を回収して設定変更するまでに時間を必要とするので、流出したユーザーID、パスワードの使用が継続されてしまうという恐れもある。   In such a case, it is necessary to change the user ID and password immediately. However, it is difficult to identify the corresponding wireless LAN terminal, or the administrator collects the corresponding wireless LAN terminal and changes the setting. Since it takes time to do so, there is a possibility that the use of the leaked user ID and password will be continued.

ここで、解決策として認証情報が流出していなくても、電子証明書やユーザーID、パスワードを定期的に更新することで、更なるセキュリティ強化を図ることができる。   Here, even if authentication information is not leaked as a solution, further security enhancement can be achieved by periodically updating the electronic certificate, user ID, and password.

しかしながら、無線LAN端末の使用者が認証情報の設定変更を行うとした場合、EAP認証に関する知識がないと設定項目も解り難く、誤設定によるネットワークアクセス不可の恐れ、或いは使用者からの情報流出の恐れがある。   However, if the user of the wireless LAN terminal changes the setting of authentication information, the setting items are difficult to understand without knowledge about EAP authentication, and network access may be impossible due to misconfiguration, or information leakage from the user may occur. There is a fear.

そこで、特許文献1には、アクセス要求元のクライアントから、ユーザーIDとパスワードによって正当なアクセスであると認証されると、当該ユーザーIDに対応する固有の認証情報を生成し、この認証情報をメールに付与して、ユーザーIDのメールアドレス宛に送信するものが記載されている。
特開2004−118541号公報 Therefore, in Patent Document 1, when the access requesting client is authenticated as a legitimate access by the user ID and password, unique authentication information corresponding to the user ID is generated, and this authentication information is sent to the mail. And sent to the mail address of the user ID.
JP 2004-118541 A

しかしながら、特許文献1に記載の発明では、クライアントからのアクセス要求に対してサーバが正当なアクセス要求と判断すると、サーバは当該ユーザーID固有の認証情報を生成すると共に、該認証情報を付与したメールを生成してクライアントに送信し、かつ、クライアントはサーバから受信したメールに付与された認証情報を用いて次のアクセス要求を行うようになっている。   However, in the invention described in Patent Document 1, when the server determines that the access request from the client is a legitimate access request, the server generates authentication information specific to the user ID and also sends the authentication information to the mail. Is transmitted to the client, and the client makes a next access request using the authentication information given to the mail received from the server.

従って、特許文献1の発明では、クライアントのアクセス要求が正当なものであっても、サーバにアクセスする度に更新された認証情報がメールによって送信されるので、毎回、メールに記載されたアクセス要求先に認証情報を確認しなければならないという問題があった。   Therefore, in the invention of Patent Document 1, even if the access request of the client is valid, the updated authentication information is transmitted by e-mail every time the server is accessed, so that the access request described in the e-mail is sent each time. There was a problem that authentication information had to be confirmed first.

本発明は、上記問題に鑑みてなされたものであり、今まで管理者や使用者の手間となるため、従来では頻繁には行えなかった認証情報の更新を、管理者の操作のみで自動更新可能とすることにより容易に新しい認証情報を設定し、より強固なセキュリティシステムを確保する無線LAN端末を認証する認証システム、認証方法、認証サーバ、無線LAN端末、及びプログラムを提供することを目的とする。   The present invention has been made in view of the above-mentioned problems, and it takes time for an administrator or a user. Thus, authentication information that has not been frequently performed in the past can be automatically updated only by the operation of the administrator. It is an object to provide an authentication system, an authentication method, an authentication server, a wireless LAN terminal, and a program for easily authenticating a wireless LAN terminal that can set new authentication information and ensure a stronger security system. To do.

本発明に係る認証システムは、無線LAN端末を認証する認証システムであって、前記認証システムは、認証処理を行う認証サーバを備え、前記認証サーバは、認証情報として使用する第1の識別情報及び第1のパスワードと、第2の識別情報及び第2のパスワードとを備えると共に、前記無線LAN端末から前記第1の識別情報と前記第1のパスワードとを受信し、第1の認証処理を行う第1認証処理手段と、前記無線LAN端末から前記第2の識別情報と前記第2のパスワードとを受信し、第2の認証処理を行う第2認証処理手段と、前記第1認証処理手段によって認証が完了後に、前記第2の識別情報と前記第2のパスワードとを、前記無線LAN端末に送信する認証情報送信手段と、前記第2認証処理手段によって認証が完了後に、前記第1の識別情報及び前記第1のパスワードを、前記第2の識別情報及び前記第2のパスワードに変更する認証情報変更手段とを更に備え、前記無線LAN端末は、認証情報として使用する前記第1の識別情報及び前記第1のパスワードとを備えると共に、当該第1の識別情報と当該第1のパスワードとを前記認証サーバへ送信し、前記認証処理を要求する第1認証要求送信手段と、前記認証サーバから前記第2の識別情報と前記第2のパスワードとを受信すると共に、当該第2の識別情報と当該第2のパスワードとを前記認証サーバへ送信し、再度の認証処理を要求する第2認証要求送信手段と、前記第1の識別情報及び前記第1のパスワードに、前記認証サーバから受信した前記第2の識別情報及び前記第2のパスワードを上書きして、認証情報を更新する認証情報更新手段と、を更に備えることを特徴とする。   An authentication system according to the present invention is an authentication system for authenticating a wireless LAN terminal, wherein the authentication system includes an authentication server that performs an authentication process, and the authentication server includes first identification information used as authentication information, and A first password, second identification information, and a second password are provided, and the first identification information and the first password are received from the wireless LAN terminal, and a first authentication process is performed. A first authentication processing means, a second authentication processing means for receiving the second identification information and the second password from the wireless LAN terminal and performing a second authentication process; and the first authentication processing means. After the authentication is completed, after the authentication is completed by the authentication information transmitting means for transmitting the second identification information and the second password to the wireless LAN terminal, and the second authentication processing means, Authentication information changing means for changing the first identification information and the first password into the second identification information and the second password, and the wireless LAN terminal uses the authentication information as authentication information. First authentication request transmission means comprising first identification information and the first password, and transmitting the first identification information and the first password to the authentication server and requesting the authentication processing; , Receiving the second identification information and the second password from the authentication server, transmitting the second identification information and the second password to the authentication server, and requesting a second authentication process. Overwriting the second identification information and the second password received from the authentication server on the first identification information and the first password. And authentication information updating means for updating the authentication information, and further comprising a.

また本発明に係る認証システムは、前記認証サーバが、前記第1の識別情報及び前記第1のパスワードと、前記第2の識別情報及び第2のパスワードとを前記無線LAN端末の固有な識別情報に対応付けて保持する識別情報保持手段を更に備えるようにしても良い。   Further, in the authentication system according to the present invention, the authentication server uses the first identification information and the first password, the second identification information and the second password as unique identification information of the wireless LAN terminal. An identification information holding unit that holds the information in association with each other may be further provided.

また本発明に係る認証システムは、前記認証サーバが備える前記認証情報変更手段が、前記第1の識別情報及び前記第1のパスワードを、前記第2の識別情報及び前記第2のパスワードに変更した場合には、当該認証サーバから前記第2の識別情報及び前記第2のパスワードを削除する変更情報削除手段を更に備えるようにしても良い。   In the authentication system according to the present invention, the authentication information changing unit included in the authentication server changes the first identification information and the first password to the second identification information and the second password. In this case, change information deleting means for deleting the second identification information and the second password from the authentication server may be further provided.

本発明によれば、従来、情報の更新が困難であった認証情報の更新を、認証サーバ側の更新処理のみで自動化することにより、無線LAN端末を1台ずつ設定変更する手間を省略することができる。これにより、無線LAN端末を回収したり、設定変更手順書を作成したりという管理者側の手間を省くことができると共に、認証情報の更新を定期的に自動更新することにより、より強固なセキュリティシステムを確保する無線LAN端末を認証する認証システム、認証方法、認証サーバ、無線LAN端末、及びプログラムを実現できる。   According to the present invention, conventionally, it is difficult to update the authentication information by automating only the update processing on the authentication server side, thereby eliminating the trouble of changing the setting of each wireless LAN terminal. Can do. This saves the administrator the trouble of collecting wireless LAN terminals and creating setting change procedure manuals, and provides stronger security by automatically updating authentication information periodically. An authentication system, an authentication method, an authentication server, a wireless LAN terminal, and a program for authenticating a wireless LAN terminal that secures the system can be realized.

本発明の実施の形態では、認証サーバにより無線LAN端末のIEEE802.1X認証を行う無線LANシステムにおいて、事前に管理者は、認証サーバに新しい認証情報(本発明の第2の識別情報及び第2のパスワードに相当する。)を定義しておく。   In the embodiment of the present invention, in a wireless LAN system that performs IEEE 802.1X authentication of a wireless LAN terminal using an authentication server, an administrator previously registers new authentication information (second identification information and second information of the present invention) in the authentication server. This is equivalent to the password.)

ネットワーク配下の無線LAN端末は、認証サーバの認証情報(本発明の第2の識別情報及び第2のパスワードに相当する。)が更新されると、この新しい認証情報を取得する。この無線LAN端末は、取得した認証情報(すなわち、本発明の第2の識別情報及び第2のパスワードに相当する。)を一時保存し、次回の認証時において、この一時保存したユーザーID、パスワードを認証サーバへ送信して、認証サーバにて認証を行う。   When the authentication information of the authentication server (corresponding to the second identification information and the second password of the present invention) is updated, the wireless LAN terminal under the network acquires this new authentication information. This wireless LAN terminal temporarily stores the acquired authentication information (that is, corresponding to the second identification information and the second password of the present invention), and at the time of next authentication, the temporarily stored user ID and password. Is sent to the authentication server, and the authentication server performs authentication.

認証サーバにおいて、2回目の認証に成功した場合には、無線LAN端末は、この一時保存していた認証情報(すなわち、本発明の第2の識別情報及び第2のパスワードに相当する。)を、既存の認証情報(本発明の第1の識別情報及び第1のパスワードに相当する。)に上書きする。   When the authentication server succeeds in the second authentication, the wireless LAN terminal uses the temporarily stored authentication information (that is, corresponds to the second identification information and the second password of the present invention). The existing authentication information (corresponding to the first identification information and the first password of the present invention) is overwritten.

この際、無線LAN端末は、既に自身に設定されている旧認証情報によりネットワークにアクセスしているため、送受信する通信の内容も暗号化されており、新しい認証情報の傍受は不可能であり、また使用者は意識せずに最新の認証情報を受信するため、情報漏洩の防止にも繋がるという特徴がある。   At this time, since the wireless LAN terminal is accessing the network with the old authentication information already set in itself, the content of the communication to be transmitted / received is also encrypted, and new authentication information cannot be intercepted. In addition, since the latest authentication information is received without the user being aware of it, there is a feature that it also prevents information leakage.

次に、発明を実施するための最良の形態について図面を参照して詳細に説明する。
(第1の実施の形態)
(1)無線LAN認証システムの構成
(1−1)無線LAN認証システムの全体構成
図1は、第1の実施の形態として本発明の実施の一形態である無線LAN端末を認証する無線LAN認証システムの構成図を示したものである。 Next, the best mode for carrying out the invention will be described in detail with reference to the drawings.
(First embodiment)
(1) Configuration of Wireless LAN Authentication System (1-1) Overall Configuration of Wireless LAN Authentication System FIG. 1 shows a wireless LAN authentication for authenticating a wireless LAN terminal according to an embodiment of the present invention as a first embodiment. 1 shows a system configuration diagram.

図1に示す無線LAN認証システムは、無線LANアクセスポイント101と、認証サーバ102と、証明局103と、無線LAN端末104と、有線LAN105と、及び無線LAN106とを備えている。   The wireless LAN authentication system shown in FIG. 1 includes a wireless LAN access point 101, an authentication server 102, a certification authority 103, a wireless LAN terminal 104, a wired LAN 105, and a wireless LAN 106.

無線LANアクセスポイント101、認証サーバ102、及び証明局103は、有線LAN105でネットワーク接続されており、無線LAN端末104は、無線LANアクセスポイント101と無線LAN106によってネットワーク接続されており、各々ネットワークを利用できるものとする。また無線LAN端末104は、IEEE802.1X規格に対応しているものとする。   The wireless LAN access point 101, the authentication server 102, and the certification authority 103 are network-connected by a wired LAN 105, and the wireless LAN terminal 104 is network-connected by the wireless LAN access point 101 and the wireless LAN 106, each using a network. It shall be possible. The wireless LAN terminal 104 is assumed to be compatible with the IEEE 802.1X standard.

認証サーバ102には、証明局103から発行されたサーバ証明書102−1、無線LAN端末104の認証情報を管理するデータベース102−2、及び認証情報の更新を無線LAN端末104に通知するための専用アプリケーションソフト102−3がインストールされている。   The authentication server 102 notifies the wireless LAN terminal 104 of the server certificate 102-1 issued from the certification authority 103, the database 102-2 for managing the authentication information of the wireless LAN terminal 104, and the update of the authentication information. Dedicated application software 102-3 is installed.

無線LAN端末104には、無線LANカード104−1、認証情報104−2、及び認証情報の更新通知を受信し情報を取得するための専用アプリケーションソフト104−3がインストールされている。   The wireless LAN terminal 104 is installed with the wireless LAN card 104-1, authentication information 104-2, and dedicated application software 104-3 for receiving authentication information update notification and acquiring information.

また無線LAN端末104は、無線LAN106を介して無線LANアクセスポイント101に接続するための情報、及びEAP−PEAP認証のための認証情報104−2が予め設定されており、無線LANアクセスポイント101、および認証サーバ102と無線LAN接続することができる。
(1−2)無線LAN認証システムの各部の構成
次に、図2から図5の図面を用いて、第1の実施の形態における無線LAN端末104を認証する無線LAN認証システムの各部の構成について詳細に説明する。 The wireless LAN terminal 104 is pre-set with information for connecting to the wireless LAN access point 101 via the wireless LAN 106 and authentication information 104-2 for EAP-PEAP authentication. In addition, the authentication server 102 can be connected to the wireless LAN.
(1-2) Configuration of Each Part of Wireless LAN Authentication System Next, the configuration of each part of the wireless LAN authentication system that authenticates the wireless LAN terminal 104 according to the first embodiment will be described with reference to FIGS. This will be described in detail.

なお、本実施の形態では、EAP−PEAP方式によるユーザーID、パスワード認証を例として説明するが、EAP−PEAP方式に限定されるものではなく、認証処理する暗号化処理が施されていれば良い。   In this embodiment, user ID and password authentication using the EAP-PEAP method will be described as an example. However, the present invention is not limited to the EAP-PEAP method, and it is only necessary to perform an encryption process for authentication processing. .

図2には、認証サーバ102が備えるデータベース102−2について、情報更新前201と、後述する無線LAN端末104からの更新完了の旨を示す更新完了メッセージ502を受信した後のデータベース102−2の認証情報(更新完了メッセージ受信後202)が、記載されている。   In FIG. 2, the database 102-2 of the authentication server 102 includes the database 102-2 after receiving the information before update 201 and the update completion message 502 indicating the completion of update from the wireless LAN terminal 104 described later. The authentication information (after receiving the update completion message 202) is described.

図2に示すように認証サーバ102のデータベース102−2には、認証情報が管理されており、認証情報に更新がない場合には、情報更新前201に例示するように、無線LAN端末のMAC(Media Access Control)アドレス、EAP−PEAP認証のためのユーザーID−1、及びパスワード−1のみが設定されており、更新情報となるユーザーID−2、及びパスワード−2には、Nullデータが格納されている。   As shown in FIG. 2, when authentication information is managed in the database 102-2 of the authentication server 102 and there is no update in the authentication information, the MAC of the wireless LAN terminal is exemplified as before the information update 201. (Media Access Control) Address, user ID-1 for EAP-PEAP authentication, and password-1 only are set. Null data is stored in user ID-2 and password-2, which are update information. Has been.

そして認証情報を更新する場合には、管理者は、認証サーバ102のデータベース102−2に更新情報となるユーザーID−2、パスワード−2をそれぞれ入力する。   When updating the authentication information, the administrator inputs user ID-2 and password-2, which are update information, to the database 102-2 of the authentication server 102, respectively.

次に図3は、第1の実施の形態の認証サーバ102が備えるアプリケーションソフト102−3の役割について示したものである。   Next, FIG. 3 shows the role of the application software 102-3 included in the authentication server 102 according to the first embodiment.

図3に示す認証サーバ102のアプリケーションソフト102−3は、後述する無線LAN端末104からの更新完了の旨を示す更新完了メッセージ502を受けて、認証サーバ102のデータベース102−2上の旧認証情報を削除する処理を行う。   The application software 102-3 of the authentication server 102 shown in FIG. 3 receives the update completion message 502 indicating the completion of update from the wireless LAN terminal 104 described later, and the old authentication information on the database 102-2 of the authentication server 102 Process to delete.

次に図4は、第1の実施の形態の無線LAN端末104における認証情報104−2を示したものである。   Next, FIG. 4 shows the authentication information 104-2 in the wireless LAN terminal 104 of the first embodiment.

図4に示す無線LAN端末104の認証情報104−2は、ユーザーID−1、パスワード−1(401−1)、及びテンポラリ認証情報であるユーザーID−Temp、パスワード−Temp(401−2)を備えている。また、認証情報104−2は、認証情報の取得状況に応じて、情報取得前401と、情報取得後402と、新情報認証成功後403とに分かれている。   The authentication information 104-2 of the wireless LAN terminal 104 shown in FIG. 4 includes user ID-1, password-1 (401-1), and user ID-Temp and password-Temp (401-2) which are temporary authentication information. I have. The authentication information 104-2 is divided into a pre-information acquisition 401, a post-information acquisition 402, and a new information authentication success 403 according to the acquisition status of the authentication information.

まず最初に、図4の情報取得前401に示す通り、通常、ユーザーID−1、パスワード−1に認証情報が格納されており、ユーザーID−Temp、パスワード−Tempには、Nullデータが格納されている。   First, as shown in 401 before information acquisition in FIG. 4, authentication information is normally stored in user ID-1 and password-1, and null data is stored in user ID-Temp and password-Temp. ing.

次に、無線LAN端末104が、更新された認証情報を受信した場合には、図4の情報取得後402に示す通り、取得した認証情報は、それぞれユーザーID−Temp、パスワード−Tempに格納される。そして認証サーバ102において、テンポラリ認証情報(すなわち、ユーザーID−Tempとパスワード−Tempのことである。)を用いて再認証に成功して、無線LAN端末104が、無線LANアクセスポイント101を介して認証サーバ102から“EAP Success”と“EAPOL Key”の2つ1組を受信すると、テンポラリ認証情報(401−2)をユーザーID−1、パスワード−1にそれぞれ上書きする(後述する図5の受信メッセージによる端末動作503を参照)。   Next, when the wireless LAN terminal 104 receives the updated authentication information, the acquired authentication information is stored in the user ID-Temp and the password-Temp, respectively, as shown in 402 after information acquisition in FIG. The The authentication server 102 succeeds in re-authentication using temporary authentication information (that is, user ID-Temp and password-Temp), and the wireless LAN terminal 104 passes through the wireless LAN access point 101. When two sets of “EAP Success” and “EAPOL Key” are received from the authentication server 102, the temporary authentication information (401-2) is overwritten on the user ID-1 and password-1 (reception shown in FIG. 5 described later). (See terminal action 503 by message).

このときの状態を、図4の新情報認証成功後403に示す。図4に示す新情報認証成功後403には、ユーザーID−1及びパスワード−1に、新認証情報であるユーザーID−Temp及びパスワード−Tempとして記載されていたUser02及びPassword02が、上書きされている。   This state is shown in 403 after successful new information authentication in FIG. After successful new information authentication 403 shown in FIG. 4, User 02 and Password 02 described as user ID-Temp and password-Temp, which are new authentication information, are overwritten on user ID-1 and password-1. .

なお、この認証情報を上書きする処理は、無線LAN端末104が備えるアプリケーションソフト104−3に組み込まれており、後述する図5に示す受信メッセージによる端末動作503により行われる。   The process of overwriting this authentication information is incorporated in the application software 104-3 provided in the wireless LAN terminal 104, and is performed by a terminal operation 503 based on a received message shown in FIG.

次に図5は、第1の実施の形態の無線LAN端末104におけるアプリケーションソフト104−3の役割を示したものである。   Next, FIG. 5 shows the role of the application software 104-3 in the wireless LAN terminal 104 of the first embodiment.

図5に示す無線LAN端末104のアプリケーションソフト104−3は、更新完了メッセージ502を生成する生成メッセージ501と、更新完了した旨を通知する更新完了メッセージ502と、受信メッセージによる端末動作503の役割を行うことを示している。   The application software 104-3 of the wireless LAN terminal 104 shown in FIG. 5 plays the roles of a generation message 501 for generating an update completion message 502, an update completion message 502 for notifying that the update is completed, and a terminal operation 503 based on the received message. Indicates what to do.

具体的には、無線LAN端末104のアプリケーションソフト104−3は、生成メッセージ501により、テンポラリ情報を上書きする処理が完了したことを認証サーバ102に通知する更新完了メッセージ502を生成して、認証サーバ102に送信する仕組みが組み込まれている。   Specifically, the application software 104-3 of the wireless LAN terminal 104 generates an update completion message 502 that notifies the authentication server 102 that the process of overwriting temporary information has been completed by using the generation message 501. A mechanism for transmitting to 102 is incorporated.

この更新完了メッセージ502には、詳細情報として無線LAN端末104のMACアドレスと、更新完了通知の内容とが記載されている。   In this update completion message 502, the MAC address of the wireless LAN terminal 104 and the content of the update completion notification are described as detailed information.

また受信メッセージによる端末動作503は、上述のように、“EAP Success”と“EAPOL Key”を受信すると、古い認証情報にテンポラリ認証情報を上書きして認証情報を更新する。   Further, as described above, when the terminal operation 503 based on the received message receives “EAP Success” and “EAPOL Key”, the authentication information is updated by overwriting the old authentication information with the temporary authentication information.

このような認証情報を更新する処理により、無線LAN端末104の認証情報104−2は、図4に示した新情報認証成功後403のように設定情報が更新される。
(2)無線LAN認証システムの動作
(2−1)無線LAN端末104の認証情報更新処理手順
次に、第1の実施の形態における無線LAN端末104の動作について、図6に示す動作フローチャートを用いて、無線LAN端末104の認証情報を更新処理する認証情報更新処理手順を説明する。 By such processing for updating the authentication information, the setting information of the authentication information 104-2 of the wireless LAN terminal 104 is updated as indicated by 403 after the successful new information authentication shown in FIG.
(2) Operation of Wireless LAN Authentication System (2-1) Authentication Information Update Processing Procedure of Wireless LAN Terminal 104 Next, an operation flowchart shown in FIG. 6 is used for the operation of the wireless LAN terminal 104 in the first embodiment. An authentication information update processing procedure for updating the authentication information of the wireless LAN terminal 104 will be described.

まず最初に、無線LAN端末104は、認証サーバ102に対して接続及び認証処理を行うと共に、認証サーバ102のデータベース102−2(図2)にアクセスし、更新情報の有無を確認する(ステップ601)。   First, the wireless LAN terminal 104 performs connection and authentication processing with respect to the authentication server 102, and also accesses the database 102-2 (FIG. 2) of the authentication server 102 to check whether there is update information (step 601). ).

認証サーバ102のデータベース102−2上の認証情報(図2)は、無線LAN端末104のMACアドレスごとに管理されており、無線LAN端末104は、自らのMACアドレスと照合して、認証情報更新の有無を確認する(ステップ602)。   The authentication information (FIG. 2) on the database 102-2 of the authentication server 102 is managed for each MAC address of the wireless LAN terminal 104, and the wireless LAN terminal 104 checks the own MAC address and updates the authentication information. (Step 602).

ここで、無線LAN端末104は、認証サーバ102のデータベース102−2に、ユーザーID−2及びパスワード−2の更新情報(図2)がNull値のままの場合には、更新情報がないと判定して、本処理を終了する。   Here, the wireless LAN terminal 104 determines that there is no update information when the update information (FIG. 2) of the user ID-2 and the password-2 remains Null in the database 102-2 of the authentication server 102. Then, this process ends.

これに対し、ユーザーID−2及びパスワード−2に設定情報が更新されている場合には、認証サーバ102は、このユーザーID−2及びパスワード−2に記載された設定情報(すなわち、更新された認証情報である。)を無線LAN端末104に送信する。   On the other hand, when the setting information is updated in the user ID-2 and the password-2, the authentication server 102 sets the setting information described in the user ID-2 and the password-2 (that is, updated). Authentication information) is transmitted to the wireless LAN terminal 104.

これにより、無線LAN端末104は、更新情報(すなわち、更新された認証情報である。)を認証サーバ102のデータベース102−2から取得する(ステップ603)。   As a result, the wireless LAN terminal 104 acquires update information (that is, updated authentication information) from the database 102-2 of the authentication server 102 (step 603).

無線LAN端末104は、受信した更新情報(すなわち、更新された認証情報である。)を、無線LAN端末104の認証情報104−2のテンポラリ情報である、ユーザーID−Temp、及びパスワード−Temp(図4の401−2)に一時格納する。   The wireless LAN terminal 104 uses the received update information (that is, updated authentication information) as the temporary information of the authentication information 104-2 of the wireless LAN terminal 104, the user ID-Temp and the password -Temp ( Temporarily stored in 401-2) of FIG.

そして、無線LAN端末104は、一時格納したテンポラリ情報(すなわち、更新された認証情報である。)を認証サーバ102へ送信し、再度、認証サーバ102において、再認証処理を行う(ステップ604)。   Then, the wireless LAN terminal 104 transmits temporarily stored temporary information (that is, updated authentication information) to the authentication server 102, and performs re-authentication processing again in the authentication server 102 (step 604).

具体的には、認証サーバ102が、無線LAN端末104から送信される更新情報(テンポラリ情報)と、認証サーバ102上のデータベース102−2に記載されたユーザーID−2及びパスワード−2の設定情報とを対比して、再度、認証処理を行う。   Specifically, the authentication server 102 updates information (temporary information) transmitted from the wireless LAN terminal 104, and user ID-2 and password-2 setting information described in the database 102-2 on the authentication server 102 Again, the authentication process is performed again.

次に、無線LAN端末104は、認証サーバ102にて行われる再認証の結果について、判定を行うようになっている(ステップ605)。   Next, the wireless LAN terminal 104 determines the result of re-authentication performed by the authentication server 102 (step 605).

これは、再認証処理が終了すると、認証サーバ102は、無線LAN端末104へ再認証結果を送信するようになっており、無線LAN端末104が受信した再認証結果によって再認証が成功したか否か判定する。   This is because when the re-authentication process is completed, the authentication server 102 transmits a re-authentication result to the wireless LAN terminal 104, and whether or not the re-authentication has succeeded based on the re-authentication result received by the wireless LAN terminal 104. To determine.

具体的には、認証サーバ102において、更新情報(テンポラリ情報)と、ユーザーID−2及びパスワード−2の設定情報とが一致した場合には、認証サーバ102が再認証に成功した旨を無線LAN端末104に通知する。そして、無線LAN端末104が、認証サーバ102から再認証が成功した旨の再認証結果を受信した場合には、ステップ606へ移動する。   Specifically, in the authentication server 102, when the update information (temporary information) matches the setting information of the user ID-2 and the password-2, the wireless LAN indicates that the authentication server 102 has succeeded in re-authentication. The terminal 104 is notified. If the wireless LAN terminal 104 receives a re-authentication result indicating that the re-authentication is successful from the authentication server 102, the process proceeds to step 606.

これに対し、認証サーバ102において、更新情報(テンポラリ情報)と、ユーザーID−2及びパスワード−2の設定情報とが一致しない場合には、認証サーバ102が再認証に成功しなかった旨を無線LAN端末104に通知する。そして、無線LAN端末104が、認証サーバ102から再認証が成功しなかった旨の再認証結果を受信した場合には、ステップ604へ戻り、再度、認証処理を行う。   On the other hand, in the authentication server 102, if the update information (temporary information) and the setting information of the user ID-2 and the password-2 do not match, it is indicated that the authentication server 102 has not succeeded in re-authentication. Notify the LAN terminal 104. If the wireless LAN terminal 104 receives a re-authentication result indicating that the re-authentication has not succeeded from the authentication server 102, the process returns to step 604 to perform authentication processing again.

ここで、再認証に成功した場合には、認証サーバ102が、無線LAN端末104へ無線LANアクセスポイント101を介して、“EAP Success”と“EAPOL Key”を送信するようになっている。   Here, when the re-authentication is successful, the authentication server 102 transmits “EAP Success” and “EAPOL Key” to the wireless LAN terminal 104 via the wireless LAN access point 101.

無線LAN端末104は、この“EAP Success”と“EAPOL Key”のメッセージを受信すると、図5に示した受信メッセージによる端末動作503に基づいて、無線LAN端末104のテンポラリ情報(401−2)を認証情報(401−1)に上書きする(ステップ606)。   When the wireless LAN terminal 104 receives the “EAP Success” and “EAPOL Key” messages, the wireless LAN terminal 104 obtains temporary information (401-2) of the wireless LAN terminal 104 based on the terminal operation 503 based on the received message shown in FIG. The authentication information (401-1) is overwritten (step 606).

これにより、図4に示した新情報認証成功後403のように、ユーザーID−1及びパスワード−1の設定情報に、再認証されたUser02及びPassword02が上書きされるので、更新されたUser02及びPassword02が認証情報として使用されるようになる。   As a result, since the re-authenticated User02 and Password02 are overwritten on the setting information of the user ID-1 and password-1, as in 403 after the successful new information authentication shown in FIG. 4, the updated User02 and Password02 are overwritten. Is used as authentication information.

このように、無線LAN端末104の認証情報104−2が更新されると、無線LAN端末104は、無線LAN端末104のアプリケーションソフト104−3により、更新完了の旨を示す更新完了メッセージ502を生成すると共に、この更新完了メッセージ502を認証サーバ102に送信する(ステップ607)。   As described above, when the authentication information 104-2 of the wireless LAN terminal 104 is updated, the wireless LAN terminal 104 generates an update completion message 502 indicating that the update is completed by the application software 104-3 of the wireless LAN terminal 104. At the same time, this update completion message 502 is transmitted to the authentication server 102 (step 607).

この更新完了メッセージ502を受信した認証サーバ102は、図3に示したアプリケーションソフト102−3により、認証サーバ102のデータベース102−2上の旧認証情報(ユーザーID−1、パスワード−1)を削除して、再認証された新しい認証情報(すなわち、ユーザーID−2、パスワード−2)を繰り上げると共に、更新用のユーザーID−3、パスワード−3を追加する。(図2−202)
これにより、本実施の形態では、図2で示した更新完了メッセージ受信後202のように、認証サーバ102のデータベース102−2を自動更新することができる。 Upon receiving the update completion message 502, the authentication server 102 deletes the old authentication information (user ID-1, password-1) on the database 102-2 of the authentication server 102 by the application software 102-3 shown in FIG. Then, the re-authenticated new authentication information (that is, user ID-2, password-2) is moved up, and the update user ID-3 and password-3 are added. (Figure 2-202)
Thereby, in this Embodiment, the database 102-2 of the authentication server 102 can be automatically updated like 202 after the update completion message reception shown in FIG.

なお、本実施の形態では、ステップ605において、認証サーバ102の再認証処理が成功しなかった場合には、ステップ604に戻り、再度、認証サーバ102が再認証処理を行うようになっていたが、本実施の形態ではこれに限らず、ステップ603に戻り、認証サーバ102が更新情報(テンポラリ情報)を再度、送信するようにしても良い。   In this embodiment, when the re-authentication process of the authentication server 102 is not successful in step 605, the process returns to step 604, and the authentication server 102 performs the re-authentication process again. However, the present embodiment is not limited to this, and the processing may return to step 603 and the authentication server 102 may transmit update information (temporary information) again.

この場合、無線LAN端末104は、更新情報(テンポラリ情報)を再度、受信し取得した上で、無線LAN端末104から認証サーバ102へ再認証処理を行うので、再認証処理の精度を向上させることができる。
(2−2)無線LAN認証システムの動作処理
最後に図7は、第1の実施の形態における無線LAN端末104の認証を行った無線LAN認証システムの動作処理について、フローチャートによって示したものである。 In this case, the wireless LAN terminal 104 receives and acquires update information (temporary information) again, and then performs re-authentication processing from the wireless LAN terminal 104 to the authentication server 102, thereby improving the accuracy of the re-authentication processing. Can do.
(2-2) Operation Process of Wireless LAN Authentication System Finally, FIG. 7 is a flowchart showing the operation process of the wireless LAN authentication system that authenticates the wireless LAN terminal 104 in the first embodiment. .

図7に示す無線LAN認証システムの動作処理は、無線LAN端末104と、アクセスポイント101と、認証サーバ102とにおいて、認証処理に伴う動作処理の関係を示している。   The operation process of the wireless LAN authentication system shown in FIG. 7 shows the relationship of the operation process associated with the authentication process in the wireless LAN terminal 104, the access point 101, and the authentication server 102.

また、図7に示す無線LAN認証システムの動作処理の各内容は、図6に示した無線LAN端末104の動作フローチャートにほぼ対応しており、重複するので省略する。唯一、図7において異なる点は、Association処理701が記載されている点である。   The contents of the operation processing of the wireless LAN authentication system shown in FIG. 7 substantially correspond to the operation flowchart of the wireless LAN terminal 104 shown in FIG. The only difference in FIG. 7 is that an association process 701 is described.

図7に示すAssociation処理701とは、無線LAN端末104とアクセスポイント101とが、双方にとって最適なセキュリティポリシーを実現するために、認証情報を交信するセキュリティポリシーネゴシエーション(Security policy negotiation)機能である。   The association process 701 illustrated in FIG. 7 is a security policy negotiation function in which the wireless LAN terminal 104 and the access point 101 exchange authentication information in order to realize an optimal security policy for both.

そして、このAssociation処理701では、無線LAN端末104とアクセスポイント101との認証方式を決定するようになっている。   In the association process 701, an authentication method between the wireless LAN terminal 104 and the access point 101 is determined.

従って図7は、Association処理701において、例えば、EAP−PEAP方式による認証処理を決定すると共に、図6に示す無線LAN端末104の動作フローチャートを基に、本実施の形態による認証情報の更新処理を行うことができることを示している。
(3)本実施の形態による効果
以上のように、本実施の形態によれば、従来、認証情報の更新が困難であった無線LAN端末104の認証情報の更新を、認証サーバ102側の更新処理のみで自動化することにより、無線LAN端末を1台ずつ設定変更する手間を省略することができる。 Accordingly, FIG. 7 shows that in the association process 701, for example, the authentication process by the EAP-PEAP method is determined, and the authentication information update process according to the present embodiment is performed based on the operation flowchart of the wireless LAN terminal 104 shown in FIG. Shows what can be done.
(3) Effects of the present embodiment As described above, according to the present embodiment, the authentication information update of the wireless LAN terminal 104, which has conventionally been difficult to update the authentication information, is updated on the authentication server 102 side. By automating only the processing, the trouble of changing the setting of each wireless LAN terminal can be omitted.

これにより、無線LAN端末104を回収したり、設定変更手順書を作成したりという管理者側の手間を省くことができる。また、無線LAN端末104の認証情報の更新を定期的に行うことができ、セキュリティの向上を図ることができる。   This saves the administrator from having to collect the wireless LAN terminal 104 or create a setting change procedure manual. Further, the authentication information of the wireless LAN terminal 104 can be periodically updated, and security can be improved.

また、認証サーバ102の認証情報を更新し、無線LAN端末104が新しい認証情報で認証に成功すると、認証サーバから古い認証情報を自動的に削除することにより、予期せぬ事態によって無線LAN端末104のユーザーID、パスワードの認証情報が流出してしまった場合にも、認証サーバ102から流出した古い認証情報の削除を自動で行うことができるので、運用中の無線LAN端末104を回収する手間や必要もなく、業務・運用に支障を来たさず、運用し続けることができる。   Further, when the authentication information of the authentication server 102 is updated and the wireless LAN terminal 104 succeeds in authentication with the new authentication information, the old authentication information is automatically deleted from the authentication server. Since the old authentication information leaked from the authentication server 102 can be automatically deleted even when the user ID and password authentication information leaked, the trouble of collecting the operating wireless LAN terminal 104 can be reduced. There is no need for it, and it can continue to operate without hindering operations and operations.

更に、流出した認証情報によって認証サーバ102に、成りすましによるアクセスを早期に回避でき、不正アクセスを防御することができる。   Furthermore, access by impersonation can be avoided at an early stage by the leaked authentication information, and unauthorized access can be prevented.

また、本実施の形態では、認証サーバ102の認証情報を削除するだけでなく、無線LAN端104の古い認証情報に新しい認証情報を上書きすることにより、古い認証情報を自動的に削除することができる。   In this embodiment, not only the authentication information of the authentication server 102 is deleted, but also the old authentication information is automatically deleted by overwriting the old authentication information on the wireless LAN end 104 with the new authentication information. it can.

更に、本実施の形態では、更新された認証情報を暗号化された状態で認証情報を送信及び受信するので、無線LAN106上で送受信される認証情報を傍受されたとしても、無線LAN端末104が取得した更新認証情報を解読することは不可能であり、認証情報の漏えいを防止することができる。
(4)他の実施の形態
本発明は、上述した実施の形態に限られるものではなく、本要旨の範囲内で、置き換えが可能である。 Further, in the present embodiment, since the updated authentication information is encrypted and transmitted and received, the wireless LAN terminal 104 can be used even if the authentication information transmitted and received on the wireless LAN 106 is intercepted. It is impossible to decipher the acquired update authentication information, and leakage of authentication information can be prevented.
(4) Other Embodiments The present invention is not limited to the above-described embodiments, and can be replaced within the scope of the present subject matter.

具体的には例えば、本実施の形態では、EAP−PEAP方式によって認証処理を行うようになっていたが、本発明はこれに限らず、同じくユーザーID、パスワードを用いて認証を行うEAP−TTLS方式や、或いは、電子証明書を用いて認証を行うEAP−TLS方式についても、ユーザーID、パスワードを電子証明書に置き換えて認証情報として取り扱うことにより、同様な認証情報を更新する更新処理により自動的に認証情報を更新することができる。   Specifically, for example, in the present embodiment, authentication processing is performed by the EAP-PEAP method, but the present invention is not limited to this, and EAP-TTLS that performs authentication using a user ID and password is also used. Also for the EAP-TLS method that authenticates using a digital certificate or an electronic certificate, it is automatically updated by updating the same authentication information by replacing the user ID and password with the electronic certificate and treating them as authentication information. Authentication information can be updated.

本発明にかかる第1の実施の形態における無線LAN認証システムの構成図である。It is a block diagram of the wireless LAN authentication system in 1st Embodiment concerning this invention. 本発明にかかる第1の実施の形態における認証サーバのデータベースの構成である。It is a structure of the database of the authentication server in 1st Embodiment concerning this invention. 本発明にかかる第1の実施の形態における認証サーバのアプリケーションソフトの役割項目である。It is a role item of the application software of the authentication server in 1st Embodiment concerning this invention. 本発明にかかる第1の実施の形態における無線LAN端末の認証情報の構成である。It is a structure of the authentication information of the wireless LAN terminal in 1st Embodiment concerning this invention. 本発明にかかる第1の実施の形態における無線LAN端末のアプリケーションソフトの役割項目である。It is a role item of application software of the wireless LAN terminal in the first embodiment according to the present invention. 本発明にかかる第1の実施の形態における無線LAN端末の動作フローチャートである。It is an operation | movement flowchart of the wireless LAN terminal in 1st Embodiment concerning this invention. 本発明にかかる第1の実施の形態における無線LAN認証システムの動作処理である。It is an operation | movement process of the wireless LAN authentication system in 1st Embodiment concerning this invention.

符号の説明Explanation of symbols

101 無線LANアクセスポイント
102 無線LAN認証サーバ
102−1 サーバ証明書
102−2 データベース
102−3 アプリケーションソフト
103 証明局
104 無線LAN端末
104−1 無線LANカード
104−2 認証情報
104−3 アプリケーションソフト
105 有線LAN
106 無線LAN DESCRIPTION OF SYMBOLS 101 Wireless LAN access point 102 Wireless LAN authentication server 102-1 Server certificate 102-2 Database 102-3 Application software 103 Certification authority 104 Wireless LAN terminal 104-1 Wireless LAN card 104-2 Authentication information 104-3 Application software 105 Wired LAN
106 wireless LAN

Claims (11)

無線LAN端末を認証する認証システムであって、
前記認証システムは、認証処理を行う認証サーバを備え、
前記認証サーバは、
認証情報として使用する第1の識別情報及び第1のパスワードと、第2の識別情報及び第2のパスワードとを備えると共に、
前記無線LAN端末から前記第1の識別情報と前記第1のパスワードとを受信し、第1の認証処理を行う第1認証処理手段と、
前記無線LAN端末から前記第2の識別情報と前記第2のパスワードとを受信し、第2の認証処理を行う第2認証処理手段と、
前記第1認証処理手段によって認証が完了後に、前記第2の識別情報と前記第2のパスワードとを、前記無線LAN端末に送信する認証情報送信手段と、
前記第2認証処理手段によって認証が完了後に、前記第1の識別情報及び前記第1のパスワードを、前記第2の識別情報及び前記第2のパスワードに変更する認証情報変更手段とを更に備え、
前記無線LAN端末は、
認証情報として使用する前記第1の識別情報及び前記第1のパスワードとを備えると共に、
当該第1の識別情報と当該第1のパスワードとを前記認証サーバへ送信し、前記認証処理を要求する第1認証要求送信手段と、
前記認証サーバから前記第2の識別情報と前記第2のパスワードとを受信すると共に、当該第2の識別情報と当該第2のパスワードとを前記認証サーバへ送信し、再度の認証処理を要求する第2認証要求送信手段と、
前記第1の識別情報及び前記第1のパスワードに、前記認証サーバから受信した前記第2の識別情報及び前記第2のパスワードを上書きして、認証情報を更新する認証情報更新手段と、
を更に備えることを特徴とする認証システム。 An authentication system for authenticating a wireless LAN terminal,
The authentication system includes an authentication server that performs authentication processing,
The authentication server is
A first identification information and a first password used as authentication information, a second identification information and a second password;
First authentication processing means for receiving the first identification information and the first password from the wireless LAN terminal and performing a first authentication process;
Second authentication processing means for receiving the second identification information and the second password from the wireless LAN terminal and performing a second authentication process;
Authentication information transmitting means for transmitting the second identification information and the second password to the wireless LAN terminal after authentication is completed by the first authentication processing means;
Authentication information changing means for changing the first identification information and the first password to the second identification information and the second password after authentication by the second authentication processing means is completed,
The wireless LAN terminal is
Including the first identification information and the first password used as authentication information;
First authentication request transmitting means for transmitting the first identification information and the first password to the authentication server and requesting the authentication processing;
The second identification information and the second password are received from the authentication server, and the second identification information and the second password are transmitted to the authentication server to request a second authentication process. A second authentication request transmitting means;
Authentication information updating means for updating the authentication information by overwriting the second identification information and the second password received from the authentication server on the first identification information and the first password;
An authentication system, further comprising: 前記認証サーバは、
前記第1の識別情報及び前記第1のパスワードと、前記第2の識別情報及び第2のパスワードとを前記無線LAN端末の固有な識別情報に対応付けて保持する識別情報保持手段
を更に備えることを特徴とする請求項1記載の認証システム。 The authentication server is
An identification information holding unit for holding the first identification information and the first password, and the second identification information and the second password in association with the unique identification information of the wireless LAN terminal; The authentication system according to claim 1. 前記認証サーバが備える前記認証情報変更手段が、
前記第1の識別情報及び前記第1のパスワードを、前記第2の識別情報及び前記第2のパスワードに変更した場合には、当該認証サーバから前記第2の識別情報及び前記第2のパスワードを削除する変更情報削除手段
を更に備えることを特徴とする請求項1記載の認証システム。 The authentication information changing means provided in the authentication server includes:
When the first identification information and the first password are changed to the second identification information and the second password, the second identification information and the second password are obtained from the authentication server. The authentication system according to claim 1, further comprising change information deleting means for deleting. 無線LAN端末を認証する認証システムにおける認証方法であって、
前記認証システムは、認証処理を行う認証サーバを備え、
前記無線LAN端末が、第1の識別情報と第1のパスワードとを前記認証サーバへ送信し、前記認証処理を要求する第1認証要求送信ステップと、
前記認証サーバが、前記無線LAN端末から前記第1の識別情報と前記第1のパスワードとを受信し、第1の認証処理を行う第1認証処理ステップと、
前記認証サーバが、前記第1認証処理ステップによって認証が完了後に、第2の識別情報と第2のパスワードとを、前記無線LAN端末に送信する認証情報送信ステップと、
前記無線LAN端末が、前記認証サーバから前記第2の識別情報と前記第2のパスワードとを受信すると共に、前記第2の識別情報と前記第2のパスワードとを前記認証サーバへ送信し、再度の認証処理を要求する第2認証要求送信ステップと、
前記認証サーバが、前記無線LAN端末から前記第2の識別情報と前記第2のパスワードとを受信し、第2の認証処理を行う第2認証処理ステップと、
前記認証サーバが、前記第2認証処理ステップによって認証が完了後に、前記第1の識別情報及び前記第1のパスワードを、前記第2の識別情報及び第2のパスワードに変更する認証情報変更ステップと、
前記無線LAN端末が、前記第1の識別情報及び前記第1のパスワードに、前記認証サーバから受信した前記第2の識別情報及び前記第2のパスワードを上書きして、認証情報を更新する認証情報更新ステップと、
を備えることを特徴とする認証システムにおける認証方法。 An authentication method in an authentication system for authenticating a wireless LAN terminal,
The authentication system includes an authentication server that performs authentication processing,
A first authentication request transmitting step in which the wireless LAN terminal transmits first identification information and a first password to the authentication server, and requests the authentication processing;
A first authentication processing step in which the authentication server receives the first identification information and the first password from the wireless LAN terminal, and performs a first authentication process;
An authentication information transmitting step in which the authentication server transmits the second identification information and the second password to the wireless LAN terminal after the authentication is completed in the first authentication processing step;
The wireless LAN terminal receives the second identification information and the second password from the authentication server, transmits the second identification information and the second password to the authentication server, and again A second authentication request transmission step for requesting the authentication processing of
A second authentication processing step in which the authentication server receives the second identification information and the second password from the wireless LAN terminal, and performs a second authentication process;
An authentication information changing step in which the authentication server changes the first identification information and the first password to the second identification information and the second password after the authentication is completed in the second authentication processing step; ,
Authentication information in which the wireless LAN terminal updates authentication information by overwriting the second identification information and the second password received from the authentication server on the first identification information and the first password. An update step;
An authentication method in an authentication system comprising: 前記認証サーバは、
前記第1の識別情報及び前記第1のパスワードと、前記第2の識別情報及び第2のパスワードとを前記無線LAN端末の固有な識別情報に対応付けて保持する識別情報保持ステップ
を更に備えることを特徴とする請求項4記載の認証システムにおける認証方法。 The authentication server is
An identification information holding step of holding the first identification information and the first password, and the second identification information and the second password in association with the unique identification information of the wireless LAN terminal. The authentication method in the authentication system according to claim 4. 前記認証サーバが備える前記認証情報変更ステップが、
前記第1の識別情報及び前記第1のパスワードを、前記第2の識別情報及び前記第2のパスワードに変更した場合には、当該認証サーバから前記第2の識別情報及び前記第2のパスワードを削除する変更情報削除ステップ
を更に備えることを特徴とする請求項4記載の認証システムにおける認証方法。 The authentication information changing step provided in the authentication server includes:
When the first identification information and the first password are changed to the second identification information and the second password, the second identification information and the second password are obtained from the authentication server. The authentication method in the authentication system according to claim 4, further comprising a change information deletion step of deleting. 無線LAN端末の認証処理を行う認証サーバであって、
認証情報として使用する第1の識別情報及び第1のパスワードと、第2の識別情報及び第2のパスワードとを備えると共に、
前記無線LAN端末から前記第1の識別情報と前記第1のパスワードとを受信し、第1の認証処理を行う第1認証処理手段と、
前記無線LAN端末から前記第2の識別情報と前記第2のパスワードとを受信し、第2の認証処理を行う第2認証処理手段と、
前記第1認証処理手段によって認証が完了後に、前記第2の識別情報と前記第2のパスワードとを、前記無線LAN端末に送信する認証情報送信手段と、
前記第2認証処理手段によって認証が完了後に、前記第1の識別情報及び前記第1のパスワードを、前記第2の識別情報及び前記第2のパスワードに変更する認証情報変更手段と、
を更に備えることを特徴とする認証サーバ。 An authentication server for performing authentication processing of a wireless LAN terminal,
A first identification information and a first password used as authentication information, a second identification information and a second password;
First authentication processing means for receiving the first identification information and the first password from the wireless LAN terminal and performing a first authentication process;
Second authentication processing means for receiving the second identification information and the second password from the wireless LAN terminal and performing a second authentication process;
Authentication information transmitting means for transmitting the second identification information and the second password to the wireless LAN terminal after authentication is completed by the first authentication processing means;
Authentication information changing means for changing the first identification information and the first password to the second identification information and the second password after authentication is completed by the second authentication processing means;
An authentication server further comprising: 前記第1の識別情報及び前記第1のパスワードと、前記第2の識別情報及び第2のパスワードとを前記無線LAN端末の固有な識別情報に対応付けて保持する識別情報保持手段を更に備えることを特徴とする請求項7記載の認証サーバ。   And further comprising identification information holding means for holding the first identification information and the first password, and the second identification information and the second password in association with the unique identification information of the wireless LAN terminal. The authentication server according to claim 7. 認証情報として使用する第1の識別情報及び前記第1のパスワードとを備えると共に、
当該第1の識別情報と当該第1のパスワードとを外部へ送信し、認証処理を要求する第1認証要求送信手段と、
前記外部から第2の識別情報と第2のパスワードとを受信すると共に、当該第2の識別情報と当該第2のパスワードとを外部へ送信し、再度の認証処理を要求する第2認証要求送信手段と、
前記第1の識別情報及び前記第1のパスワードに、外部から受信した前記第2の識別情報及び前記第2のパスワードを上書きして、認証情報を更新する認証情報更新手段と、
を更に備えることを特徴とする無線LAN端末。 Including first identification information used as authentication information and the first password,
First authentication request transmitting means for transmitting the first identification information and the first password to the outside and requesting an authentication process;
The second identification information and the second password are received from the outside, the second identification information and the second password are transmitted to the outside, and a second authentication request is transmitted to request a second authentication process. Means,
Authentication information updating means for updating the authentication information by overwriting the second identification information and the second password received from outside the first identification information and the first password;
A wireless LAN terminal, further comprising: コンピュータを請求項7又は8に記載の認証サーバとして機能させるためのプログラム。   A program for causing a computer to function as the authentication server according to claim 7 or 8. コンピュータを請求項9に記載の無線LAN端末として機能させるためのプログラム。   A program for causing a computer to function as the wireless LAN terminal according to claim 9.
JP2006277561A 2006-10-11 2006-10-11 Authentication system, authentication method, authentication server, wireless LAN terminal, and program for authenticating wireless LAN terminal Active JP4536051B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006277561A JP4536051B2 (en) 2006-10-11 2006-10-11 Authentication system, authentication method, authentication server, wireless LAN terminal, and program for authenticating wireless LAN terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006277561A JP4536051B2 (en) 2006-10-11 2006-10-11 Authentication system, authentication method, authentication server, wireless LAN terminal, and program for authenticating wireless LAN terminal

Publications (2)

Publication Number Publication Date
JP2008097264A true JP2008097264A (en) 2008-04-24
JP4536051B2 JP4536051B2 (en) 2010-09-01

Family

ID=39380053

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006277561A Active JP4536051B2 (en) 2006-10-11 2006-10-11 Authentication system, authentication method, authentication server, wireless LAN terminal, and program for authenticating wireless LAN terminal

Country Status (1)

Country Link
JP (1) JP4536051B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010102448A (en) * 2008-10-22 2010-05-06 Nippon Telegr & Teleph Corp <Ntt> Communication system, password determination method, and password change method
JP2011151541A (en) * 2010-01-20 2011-08-04 Nec Infrontia Corp Security method switching system, security method switching method, and program thereof
JP2014106542A (en) * 2012-11-22 2014-06-09 Nec Corp Authentication information management system, authentication information management method, authentication information management program, and search system
JP2014526726A (en) * 2011-09-09 2014-10-06 インテル コーポレイション Mobile device and method for secure online sign-up and provision for WI-FI hotspots using SOAP-XML technology
US9258706B2 (en) 2010-09-15 2016-02-09 Intel Corporation Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using SOAP-XML techniques
JP2018516403A (en) * 2015-05-07 2018-06-21 ジェムアルト エスアー How to manage access to services

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07160638A (en) * 1993-12-02 1995-06-23 Hitachi Ltd Terminal device for information equipment
JPH10269181A (en) * 1997-03-24 1998-10-09 Kokusai Electric Co Ltd Database system
JP2001312470A (en) * 2000-05-02 2001-11-09 Noritsu Koki Co Ltd Password issuing method, data distributing method, issuing device for, password, recording medium with recorded program for password issuing method, and recording medium with recorded program for, data distributing method
JP2003338814A (en) * 2002-05-20 2003-11-28 Canon Inc Communication system, administrative server, control method therefor and program
JP2004297292A (en) * 2003-03-26 2004-10-21 Nec Corp Wireless terminal, authentication server, wireless authentication information management system, and wireless authentication information management method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07160638A (en) * 1993-12-02 1995-06-23 Hitachi Ltd Terminal device for information equipment
JPH10269181A (en) * 1997-03-24 1998-10-09 Kokusai Electric Co Ltd Database system
JP2001312470A (en) * 2000-05-02 2001-11-09 Noritsu Koki Co Ltd Password issuing method, data distributing method, issuing device for, password, recording medium with recorded program for password issuing method, and recording medium with recorded program for, data distributing method
JP2003338814A (en) * 2002-05-20 2003-11-28 Canon Inc Communication system, administrative server, control method therefor and program
JP2004297292A (en) * 2003-03-26 2004-10-21 Nec Corp Wireless terminal, authentication server, wireless authentication information management system, and wireless authentication information management method

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010102448A (en) * 2008-10-22 2010-05-06 Nippon Telegr & Teleph Corp <Ntt> Communication system, password determination method, and password change method
JP2011151541A (en) * 2010-01-20 2011-08-04 Nec Infrontia Corp Security method switching system, security method switching method, and program thereof
US9258706B2 (en) 2010-09-15 2016-02-09 Intel Corporation Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using SOAP-XML techniques
JP2014526726A (en) * 2011-09-09 2014-10-06 インテル コーポレイション Mobile device and method for secure online sign-up and provision for WI-FI hotspots using SOAP-XML technology
US9628990B2 (en) 2011-09-09 2017-04-18 Intel Corporation Mobile device and method for secure on-line sign-up and provisioning for Wi-Fi hotspots using SOAP-XML techniques
JP2014106542A (en) * 2012-11-22 2014-06-09 Nec Corp Authentication information management system, authentication information management method, authentication information management program, and search system
JP2018516403A (en) * 2015-05-07 2018-06-21 ジェムアルト エスアー How to manage access to services

Also Published As

Publication number Publication date
JP4536051B2 (en) 2010-09-01

Similar Documents

Publication Publication Date Title
JP3961462B2 (en) Computer apparatus, wireless LAN system, profile updating method, and program
US7809354B2 (en) Detecting address spoofing in wireless network environments
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
EP1887730B1 (en) Apparatus and method for managing stations associated with WPA-PSK wireless network
JP3869392B2 (en) User authentication method in public wireless LAN service system and recording medium storing program for causing computer to execute the method
US7669232B2 (en) Dynamic authentication in secured wireless networks
US8046583B2 (en) Wireless terminal
US7912224B2 (en) Wireless network system and communication method for external device to temporarily access wireless network
US20070098176A1 (en) Wireless LAN security system and method
US6772331B1 (en) Method and apparatus for exclusively pairing wireless devices
JP4770423B2 (en) Information management method for digital certificate, communication partner authentication method, information processing apparatus, MFP, and computer program
US20070106894A1 (en) Communication device, communication system and authentication method
US20060064589A1 (en) Setting information distribution apparatus, method, program, medium, and setting information reception program
JP2004304824A (en) Authentication method and authentication apparatus in wireless lan system
JP2010158030A (en) Method, computer program, and apparatus for initializing secure communication among and for exclusively pairing device
EP1629655A1 (en) Methods and systems of remote authentication for computer networks
US20090019539A1 (en) Method and system for wireless communications characterized by ieee 802.11w and related protocols
Dantu et al. EAP methods for wireless networks
JP2006085719A (en) Setting information distribution device, authentication setting transfer device, method, program, medium and setting information receiving program
JP4536051B2 (en) Authentication system, authentication method, authentication server, wireless LAN terminal, and program for authenticating wireless LAN terminal
KR100737526B1 (en) Access control method in wireless lan
JP2003338814A (en) Communication system, administrative server, control method therefor and program
JP2005286783A (en) Wireless lan connection method and wireless lan client software
KR20190040443A (en) Apparatus and method for creating secure session of smart meter
CN113972995A (en) Network configuration method and device

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080612

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100601

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100615

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130625

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4536051

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350