JP2008236594A - 無線lan認証システム - Google Patents
無線lan認証システム Download PDFInfo
- Publication number
- JP2008236594A JP2008236594A JP2007076067A JP2007076067A JP2008236594A JP 2008236594 A JP2008236594 A JP 2008236594A JP 2007076067 A JP2007076067 A JP 2007076067A JP 2007076067 A JP2007076067 A JP 2007076067A JP 2008236594 A JP2008236594 A JP 2008236594A
- Authority
- JP
- Japan
- Prior art keywords
- server
- terminal
- authentication
- wireless lan
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】無線LAN利用者と無線LAN端末の認証の両方を連続的に実施することにより、不正な利用者の利用と不正な無線LAN端末の接続の両方を同時に阻止する無線LAN認証システムを提供すること
【解決手段】利用者認証用デバイス、無線LAN端末および認証サーバを用いて認証を行い、どの装置にも認証に必要な情報のすべてが集中しないようにしている。また、認証の過程で無線LAN端末や認証サーバに記憶される認証関連情報を用済み後削除するようにした。
【選択図】図2
【解決手段】利用者認証用デバイス、無線LAN端末および認証サーバを用いて認証を行い、どの装置にも認証に必要な情報のすべてが集中しないようにしている。また、認証の過程で無線LAN端末や認証サーバに記憶される認証関連情報を用済み後削除するようにした。
【選択図】図2
Description
本発明は、無線LANの認証システムに関する。
インターネットに代表されるコンピュータ通信ネットワークの高速化などにより、コンピュータ通信ネットワークへの接続が急速に拡大している。一般的なネットワークでは有線ケーブルを利用して接続するが、ケーブルの敷設されている場所に利用が限定されるといった制約がある。その問題を解決する方法として、電波を使った通信ネットワークである無線LANの普及が著しい。電波が届く範囲であれば、どこからでもネットワークに接続することができることと、無線LAN関連機器の低価格化も相まって、家庭内での利用や、公衆無線LANとして屋外での利用も増えつつあり、今後も様々な用途やシーンでの利用が予想される。一方で無線LANは電波が届く範囲であれば、接続できてしまうため、第3者による不正な対象ネットワークへの接続が懸念される。不正な対象ネットワーク接続を防止するため、利用者や接続する端末の正当性を検証するための認証ができる無線LANシステムが求められるようになった。
従来の無線LANシステムではパスワードなどによる利用者認証や、無線LAN 接続端末の固有識別子などによる端末認証のどちらかを行い、正当性を認証してきた。しかし、企業や自治体などでの無線LAN利用が進むにつれて、情報漏えい防止などの観点からより厳しいセキュリティレベルが求められており、認証においても、利用者認証だけでは、認められていない無線LAN端末が接続され、無線LAN端末がウィルスなどに感染している場合には、企業などのネットワークに甚大な被害を及ぼす可能性があること、端末認証だけでは、端末の盗難、紛失により、第三者が無線LAN端末を入手した場合、不正にネットワークに侵入されてしまう可能性があること、といったセキュリティを脅かす危険性がある。
そこで、利用者認証を行なうとともに端末認証をあわせて行なうことが提案されている(特許文献1)。ところが、このシステムは、利用者と端末の紐づけ情報と端末のハードウェア情報を同一のネットワーク内にある認証サーバの記憶部に保持し、このサーバが端末との交信処理で得た情報とサーバの記憶部の情報を照合し、端末を利用する利用者と端末そのものを該サーバが認識できるか否かを判定する方式である。その際認証に利用した情報は情報を受け取った端末などに残るようになっている。そのため、たとえば、端末事態が盗難にあった場合にユーザのパスワード等が漏洩していると、不正なアクセスを排除しきれなかった。
特開2004−158025号公報
特開2004−147252号公報
特開2006−178976号公報
特開2006−222817号公報
特開2006−211364号公報
特開2006−268831号公報
本発明の目的は、無線LAN端末利用者と無線LAN端末の認証の双方を連続的に実施する上で、上記従来の技術の課題を解決し、より強固に不正な利用者による利用と不正な無線LAN端末の接続の双方を同時に阻止する無線LAN認証システムを提供することにある。
上記課題を解決するために、本発明によれば、利用者認証用デバイスと、無線LAN端末と、前記利用者認証用デバイスおよび前記無線LAN端末との組合せのネットワークへのアクセスを認証する認証サーバとを備えた無線LAN認証システムであって、
(1−1)前記利用者認証用デバイスは、第1のデバイス識別子Id1および第1のデバイス特定情報Sd1を記憶するデバイス記憶領域を有するものであり、
(1−2)前記無線LAN端末は、前記利用者認証用デバイスと接続するための利用者認証用デバイス接続部と、端末制御プログラム、第2のデバイス識別子Id2、第1の端末識別子It1およびサーバ公開鍵KS01を記憶する端末記憶領域を有するものであり、
(1−3)前記認証サーバは、前記ネットワークに接続され、サーバ制御プログラム、第2の端末識別子It2、第2のデバイス特定情報Sd2、前記サーバ公開鍵KS01に対応する認証サーバ秘密鍵KS11を記憶するサーバ記憶領域を有するものであり、
(2)前記端末制御プログラムは、前記無線LAN端末を、前記利用者認証用デバイスが前記利用者認証用デバイス接続部に接続された後に、前記デバイス記憶領域に記憶された前記第1のデバイス識別子Id1を前記端末記憶領域に記憶し、該記憶した前記第1のデバイス識別子Id1および前記第2のデバイス識別子Id2とを照合し、照合できた場合にのみ、前記第1のデバイス特定情報Sd1を前記端末記憶領域を経由して前記サーバ公開鍵KS01による暗号化後に前記認証サーバに送信し、該送信後、前記端末記憶領域に記憶されたすべての前記第1のデバイス識別子Id1および前記第1のデバイス特定情報Sd1を削除するよう制御するものであり、
(3)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から暗号化された前記第1のデバイス特定情報Sd1を受信した後に、該受信した前記第1のデバイス特定情報Sd1を前記サーバ記憶領域に記憶し、該記憶した前記第1のデバイス特定情報Sd1を前記サーバ秘密鍵KS11により復号化し、該復号化した前記第1のデバイス特定情報Sd1と前記第2のデバイス特定情報Sd2とを照合し、照合できた場合にのみ、照合できた旨の1次照合通知信号を前記無線LAN端末に送信し、該送信後に前記サーバ記憶領域に記憶されたすべての前記第1のデバイス特定情報Sd1を削除するよう制御するものであり、
(4)前記端末制御プログラムは、前記無線LAN端末を、前記認証サーバから前記1次照合通知信号を受信した後に、前記第1の端末識別子It1を前記サーバ公開鍵KS01により暗号化して前記認証サーバに送信するよう制御するものであり、
(5)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から前記暗号化された前記第1の端末識別子It1を受信した後に、該受信した前記第1の端末識別子It1を前記サーバ記憶手段に記憶し、該記憶した前記第1の端末識別子It1を前記サーバ秘密鍵KS11により復号化し、該復号化した前記第1の端末識別子It1を前記サーバ記憶手段に記憶し、該記憶した前記第1の端末識別子It1と前記第2の端末識別子It2とを照合し、照合できた場合にのみ、前記無線LAN端末による前記ネットワークへのアクセスの許可信号を前記無線LAN端末に送信し、該送信後に前記サーバ記憶手段に記憶されたすべての前記第1の端末識別子It1を削除するよう制御するものであり、
(6)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末の前記ネットワークへのアクセスが中断または終了したときは、前記無線LAN端末に前記認証サーバとの間の認証を改めて行うよう指令する再認証要求信号を送信するものであり、
(7)前記端末制御プログラムは、前記無線LAN端末を、前記認証サーバから前記再認証要求信号を受信した後に、前記利用者デバイスとの間の認証から認証をやり直すよう制御するものである、
ことを特徴とする無線LAN認証システムが提供される。
(1−1)前記利用者認証用デバイスは、第1のデバイス識別子Id1および第1のデバイス特定情報Sd1を記憶するデバイス記憶領域を有するものであり、
(1−2)前記無線LAN端末は、前記利用者認証用デバイスと接続するための利用者認証用デバイス接続部と、端末制御プログラム、第2のデバイス識別子Id2、第1の端末識別子It1およびサーバ公開鍵KS01を記憶する端末記憶領域を有するものであり、
(1−3)前記認証サーバは、前記ネットワークに接続され、サーバ制御プログラム、第2の端末識別子It2、第2のデバイス特定情報Sd2、前記サーバ公開鍵KS01に対応する認証サーバ秘密鍵KS11を記憶するサーバ記憶領域を有するものであり、
(2)前記端末制御プログラムは、前記無線LAN端末を、前記利用者認証用デバイスが前記利用者認証用デバイス接続部に接続された後に、前記デバイス記憶領域に記憶された前記第1のデバイス識別子Id1を前記端末記憶領域に記憶し、該記憶した前記第1のデバイス識別子Id1および前記第2のデバイス識別子Id2とを照合し、照合できた場合にのみ、前記第1のデバイス特定情報Sd1を前記端末記憶領域を経由して前記サーバ公開鍵KS01による暗号化後に前記認証サーバに送信し、該送信後、前記端末記憶領域に記憶されたすべての前記第1のデバイス識別子Id1および前記第1のデバイス特定情報Sd1を削除するよう制御するものであり、
(3)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から暗号化された前記第1のデバイス特定情報Sd1を受信した後に、該受信した前記第1のデバイス特定情報Sd1を前記サーバ記憶領域に記憶し、該記憶した前記第1のデバイス特定情報Sd1を前記サーバ秘密鍵KS11により復号化し、該復号化した前記第1のデバイス特定情報Sd1と前記第2のデバイス特定情報Sd2とを照合し、照合できた場合にのみ、照合できた旨の1次照合通知信号を前記無線LAN端末に送信し、該送信後に前記サーバ記憶領域に記憶されたすべての前記第1のデバイス特定情報Sd1を削除するよう制御するものであり、
(4)前記端末制御プログラムは、前記無線LAN端末を、前記認証サーバから前記1次照合通知信号を受信した後に、前記第1の端末識別子It1を前記サーバ公開鍵KS01により暗号化して前記認証サーバに送信するよう制御するものであり、
(5)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から前記暗号化された前記第1の端末識別子It1を受信した後に、該受信した前記第1の端末識別子It1を前記サーバ記憶手段に記憶し、該記憶した前記第1の端末識別子It1を前記サーバ秘密鍵KS11により復号化し、該復号化した前記第1の端末識別子It1を前記サーバ記憶手段に記憶し、該記憶した前記第1の端末識別子It1と前記第2の端末識別子It2とを照合し、照合できた場合にのみ、前記無線LAN端末による前記ネットワークへのアクセスの許可信号を前記無線LAN端末に送信し、該送信後に前記サーバ記憶手段に記憶されたすべての前記第1の端末識別子It1を削除するよう制御するものであり、
(6)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末の前記ネットワークへのアクセスが中断または終了したときは、前記無線LAN端末に前記認証サーバとの間の認証を改めて行うよう指令する再認証要求信号を送信するものであり、
(7)前記端末制御プログラムは、前記無線LAN端末を、前記認証サーバから前記再認証要求信号を受信した後に、前記利用者デバイスとの間の認証から認証をやり直すよう制御するものである、
ことを特徴とする無線LAN認証システムが提供される。
また、本発明の別の形態によれば、利用者認証用デバイスと、無線LAN端末と、前記利用者認証用デバイスおよび前記無線LAN端末との組合せのネットワークへのアクセスを認証する認証サーバとを備えた無線LAN認証システムであって、
(1−1)前記利用者認証用デバイスは、第1のデバイス識別子Id1および第1のデバイス特定情報Sd1を記憶するデバイス記憶領域を有するものであり、
(1−2)前記無線LAN端末は、前記利用者認証用デバイスと接続するための利用者認証用デバイス接続部と、端末制御プログラム、第2のデバイス識別子Id2、第1の端末識別子It1およびサーバ公開鍵KS01を記憶する端末記憶領域を有するものであり、
(1−3)前記認証サーバは、前記ネットワークに接続され、サーバ制御プログラム、第2の端末識別子It2、第2のデバイス特定情報Sd2、前記サーバ公開鍵KS01に対応するサーバ秘密鍵KS11を記憶するサーバ記憶領域を有するものであり、
(2)前記端末制御プログラムは、前記無線LAN端末を、前記利用者認証用デバイスが前記利用者認証用デバイス接続部に接続された後に、前記デバイス記憶領域に記憶された前記第1のデバイス識別子Id1を前記端末記憶領域に記憶し、該記憶した前記第1のデバイス識別子Id1および前記第2のデバイス識別子Id2とを照合し、照合できた場合にのみ、前記第1の端末識別子It1を前記サーバ公開鍵KS01による暗号化後に前記認証サーバに送信するよう制御するものであり、
(3)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から暗号化された前記第1の端末識別子It1を受信した後に、該受信した前記第1の端末識別子It1を前記サーバ記憶領域に記憶し、該記憶した前記第1の端末識別子It1を前記サーバ秘密鍵KS11により復号化し、該復号化した前記第1の端末識別子It1と前記第2の端末識別子It2とを照合し、照合できた場合にのみ、照合できた旨の1次照合通知信号を前記無線LAN端末に送信し、該送信後に前記サーバ記憶領域に記憶されたすべての前記第1の端末識別子It1を削除するよう制御するものであり、
(4)前記端末制御プログラムは、前記無線LAN端末を、前記認証サーバから前記1次照合通知信号を受信した後に、前記第1のデバイス特定情報Sd1を前記端末記憶領域経由で、前記サーバ公開鍵KS01により暗号化して前記認証サーバに送信し、該送信後に端末記憶領域に記憶されたすべての前記第1のデバイス特定情報Sd1を削除するよう制御するものであり、
(5)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から前記暗号化された前記第1のデバイス特定情報Sd1を受信した後に、該受信した前記第1のデバイス特定情報Sd1を前記サーバ記憶手段に記憶し、該記憶した前記第1のデバイス特定情報Sd1を前記サーバ秘密鍵KS11により復号化し、該復号化した前記第1のデバイス特定情報Sd1を前記サーバ記憶手段に記憶し、該記憶した前記第1のデバイス特定情報Sd1と前記第2のデバイス特定情報Sd2とを照合し、照合できた場合にのみ、前記無線LAN端末による前記ネットワークへのアクセスの許可信号を前記無線LAN端末に送信し、該送信後に前記サーバ記憶手段に記憶されたすべての前記第1のデバイス特定情報Sd1を削除するよう制御するものであり、
(6)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末の前記ネットワークへのアクセスが中断または終了したときは、前記無線LAN端末に前記認証サーバとの間の認証を改めて行うよう指令する再認証要求信号を送信するものであり、
(7)前記端末制御プログラムは、前記無線LAN端末を、前記認証サーバから前記再認証要求信号を受信した後に、前記利用者デバイスとの間の認証から認証をやり直すよう制御するものである、
ことを特徴とする無線LAN認証システムが提供される。
(1−1)前記利用者認証用デバイスは、第1のデバイス識別子Id1および第1のデバイス特定情報Sd1を記憶するデバイス記憶領域を有するものであり、
(1−2)前記無線LAN端末は、前記利用者認証用デバイスと接続するための利用者認証用デバイス接続部と、端末制御プログラム、第2のデバイス識別子Id2、第1の端末識別子It1およびサーバ公開鍵KS01を記憶する端末記憶領域を有するものであり、
(1−3)前記認証サーバは、前記ネットワークに接続され、サーバ制御プログラム、第2の端末識別子It2、第2のデバイス特定情報Sd2、前記サーバ公開鍵KS01に対応するサーバ秘密鍵KS11を記憶するサーバ記憶領域を有するものであり、
(2)前記端末制御プログラムは、前記無線LAN端末を、前記利用者認証用デバイスが前記利用者認証用デバイス接続部に接続された後に、前記デバイス記憶領域に記憶された前記第1のデバイス識別子Id1を前記端末記憶領域に記憶し、該記憶した前記第1のデバイス識別子Id1および前記第2のデバイス識別子Id2とを照合し、照合できた場合にのみ、前記第1の端末識別子It1を前記サーバ公開鍵KS01による暗号化後に前記認証サーバに送信するよう制御するものであり、
(3)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から暗号化された前記第1の端末識別子It1を受信した後に、該受信した前記第1の端末識別子It1を前記サーバ記憶領域に記憶し、該記憶した前記第1の端末識別子It1を前記サーバ秘密鍵KS11により復号化し、該復号化した前記第1の端末識別子It1と前記第2の端末識別子It2とを照合し、照合できた場合にのみ、照合できた旨の1次照合通知信号を前記無線LAN端末に送信し、該送信後に前記サーバ記憶領域に記憶されたすべての前記第1の端末識別子It1を削除するよう制御するものであり、
(4)前記端末制御プログラムは、前記無線LAN端末を、前記認証サーバから前記1次照合通知信号を受信した後に、前記第1のデバイス特定情報Sd1を前記端末記憶領域経由で、前記サーバ公開鍵KS01により暗号化して前記認証サーバに送信し、該送信後に端末記憶領域に記憶されたすべての前記第1のデバイス特定情報Sd1を削除するよう制御するものであり、
(5)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から前記暗号化された前記第1のデバイス特定情報Sd1を受信した後に、該受信した前記第1のデバイス特定情報Sd1を前記サーバ記憶手段に記憶し、該記憶した前記第1のデバイス特定情報Sd1を前記サーバ秘密鍵KS11により復号化し、該復号化した前記第1のデバイス特定情報Sd1を前記サーバ記憶手段に記憶し、該記憶した前記第1のデバイス特定情報Sd1と前記第2のデバイス特定情報Sd2とを照合し、照合できた場合にのみ、前記無線LAN端末による前記ネットワークへのアクセスの許可信号を前記無線LAN端末に送信し、該送信後に前記サーバ記憶手段に記憶されたすべての前記第1のデバイス特定情報Sd1を削除するよう制御するものであり、
(6)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末の前記ネットワークへのアクセスが中断または終了したときは、前記無線LAN端末に前記認証サーバとの間の認証を改めて行うよう指令する再認証要求信号を送信するものであり、
(7)前記端末制御プログラムは、前記無線LAN端末を、前記認証サーバから前記再認証要求信号を受信した後に、前記利用者デバイスとの間の認証から認証をやり直すよう制御するものである、
ことを特徴とする無線LAN認証システムが提供される。
また、本発明の好ましい形態によれば、前記第1のデバイス識別子Id1はデバイス電子証明書として記憶されたものであり、前記第2のデバイス識別子Id2および前記第1の端末識別子It1は端末電子証明書として記憶されたものであり、前記第2の端末識別子It2はサーバ用電子証明書として記憶されたものである、無線LAN認証システムが提供される。
また、本発明の好ましい形態によれば、前記第1のデバイス識別子Id1は、前記第1のデバイス特定情報Sd1を兼ねるものである無線LAN認証システムが提供される。
また、本発明の別の形態によれば(1−3‘)前記サーバ記憶領域は、二次認証サーバ公開鍵KS02および二次認証サーバ秘密鍵KS12を記憶するものであり、
(3’)前記サーバ制御プログラムは、前記認証サーバを、前記1次照合通知信号として二次認証サーバ公開鍵KS02を前記無線LAN端末に送信するよう制御するものであり、
(4‘)前記端末制御プログラムは、前記無線LAN端末を、前記1次照合通知信号としての前記二次認証サーバ公開鍵KS02を受信後、前記サーバ公開鍵に換えて前記二次認証サーバ公開鍵KS02により前記第1のデバイス特定情報Sd1または前記第1の端末識別子It1を暗号化して前記認証サーバに送信するよう制御するものであり、
(5‘)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から前記暗号化された前記第1のデバイス特定情報Sd1または前記第1の端末識別子It1を受信した後に、受信した前記第1のデバイス特定情報Sd1または前記第1の端末識別子It1を前記サーバ公開鍵KS01に換わって前記二次認証サーバ公開鍵KS02によって暗号化するよう制御するものである、
ことを特徴とする無線LAN認証システムが提供される。
(3’)前記サーバ制御プログラムは、前記認証サーバを、前記1次照合通知信号として二次認証サーバ公開鍵KS02を前記無線LAN端末に送信するよう制御するものであり、
(4‘)前記端末制御プログラムは、前記無線LAN端末を、前記1次照合通知信号としての前記二次認証サーバ公開鍵KS02を受信後、前記サーバ公開鍵に換えて前記二次認証サーバ公開鍵KS02により前記第1のデバイス特定情報Sd1または前記第1の端末識別子It1を暗号化して前記認証サーバに送信するよう制御するものであり、
(5‘)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から前記暗号化された前記第1のデバイス特定情報Sd1または前記第1の端末識別子It1を受信した後に、受信した前記第1のデバイス特定情報Sd1または前記第1の端末識別子It1を前記サーバ公開鍵KS01に換わって前記二次認証サーバ公開鍵KS02によって暗号化するよう制御するものである、
ことを特徴とする無線LAN認証システムが提供される。
以下、本発明およびその好ましい実施形態の一般的特性について説明する。
本発明において、「識別子」とは、利用者認証用デバイス、無線LAN端末および認証サーバに固有の識別番号・記号等をいう。好ましくは、第三者機関などが発行した電子証明書の形態をとるとより安全な認証が可能である。電子証明書の作成については、例えば、特許文献2などに記載の方法がある。
本発明において、「公開鍵」、「秘密鍵」とは、公開鍵方式の暗号化に使用される鍵であり、暗号化する際に使用されるのが公開鍵、公開鍵によって暗号化されたデータの復元に使用されるのが秘密鍵である。通常、個別の公開鍵とこれに対応する秘密鍵とは一対一に対応している。多くの場合、鍵の作成は第3者機関(認証局、登録局、発行局)がデータ保証し生成、各対象(電子証明書等)へ発行する。鍵の作成については、例えば、特許文献4に記載の方法などがある。
本発明において、「デバイス特定情報」とは、利用者認証用デバイスを特定するために利用者認証用デバイスに付与された他と区別可能な番号・記号等をいう。簡略に認証を行なうには、デバイス識別子と共通化してもよい。
本発明において、「利用者認証用デバイス」とは、無線LAN端末と着脱自在に構成され、少なくとも第1のデバイス識別子および第1のデバイス特定情報を無線LAN端末に提供可能なように記憶するデバイス記憶領域を備えた装置をいう。通常このデバイスは、対応する無線LAN端末のユーザが保管しており、ネットワークへの認証が必要な際に無線LAN端末に接続し、認証を行うのに用いる。このような利用者認証葉デバイスとしては、特許文献3に記載の「ゲストデバイス」などの技術を利用することができる。なお、この利用者認証用デバイスを利用するために指紋認証などの生体認証機能が付与されていてもよい。この場合、無線LAN端末および利用者認証用デバイスがともに盗難にあっても、不正なアクセスを排除することがより容易となる。指紋認証の方法については、例えば、特許文献6に記載の方法を用いることができる。
本発明において、「記憶領域」とは、利用者認証用デバイス、無線LAN端末および認証サーバにそれぞれ設けられているデータの記憶が可能な領域の総称であり、これらの装置に備えられたRAM(ランダムアクセスメモリ)などの揮発性メモリや、フラッシュメモリ、磁気ディスクなどの不揮発性メモリを含みうるものである。多くの場合、各識別子や特定情報類については、不揮発性メモリの記憶領域か、電源バックアップつきのRAMなどの記憶装置に記憶されているのが好ましいが、これらの情報を使用のたびに生成したり外部から取り込む場合などは、むしろ揮発性メモリに保持する方が安全性が高い。
本発明に係る無線LAN認証システムによれば、より強固に不正な利用者による利用と不正な無線LAN端末の接続の双方を同時に阻止した安全な無線LAN端末の認証を容易に安価に行なうことができる。
以下、図面を参照して本発明の実施形態例を説明する。
図1は、本発明に係る無線LAN認証システムの実施形態例の構成を示すブロック図である。
図1の無線LAN認証システムは、電子証明書発行機101、認証の対象ネットワーク108に接続された認証サーバ102、この認証サーバと有線接続されるアクセスポイント103、アクセスポイント103と無線接続される1つ又は複数の無線LAN端末104、無線LAN端末104に接続された利用者認証用デバイス接続部105、これに着脱可能に接続される利用者認証用デバイス106などから構成されている。
この無線LAN認証システムは、無線の電波が届く一定の閉区域(以下特定区域107と称する。)に存在する無線LAN端末104と利用者認証用デバイス106に対して有効となる。
電子証明書発行機101は、認証サーバ102と無線LAN端末104と利用者認証用デバイス106に対して、認証サーバ用電子証明書200、無線LAN端末用電子証明書201、利用者認証用デバイス用電子証明書202をそれぞれ発行する機能を有する。同時に、各電子証明書用の公開鍵や秘密鍵を必要に応じて提供する。電子証明書発行機101は対象ネットワーク108からはオンラインまたはオフラインに保たれており、好ましくは第三者機関に設置されている。
この無線LAN認証システムにおいては、発行された認証サーバ用電子証明書200、無線LAN端末用電子証明書201、利用者認証用デバイス用電子証明書202を、フレキシブルディスクやCD−ROMなどの電子媒体を介して、あるいは電子証明書発行機101と直接接続することにより、認証サーバ102、無線LAN端末104、利用者認証用デバイス106のそれぞれの記憶領域にそれぞれ格納される。
電子証明書発行機101は、認証サーバ102と無線LAN端末104と利用者認証用デバイス106に対して、認証サーバ用電子証明書200、無線LAN端末用電子証明書201、利用者認証用デバイス用電子証明書202をそれぞれ発行する機能を有する。同時に、各電子証明書用の公開鍵や秘密鍵を必要に応じて提供する。電子証明書発行機101は対象ネットワーク108からはオンラインまたはオフラインに保たれており、好ましくは第三者機関に設置されている。
この無線LAN認証システムにおいては、発行された認証サーバ用電子証明書200、無線LAN端末用電子証明書201、利用者認証用デバイス用電子証明書202を、フレキシブルディスクやCD−ROMなどの電子媒体を介して、あるいは電子証明書発行機101と直接接続することにより、認証サーバ102、無線LAN端末104、利用者認証用デバイス106のそれぞれの記憶領域にそれぞれ格納される。
利用者認証用デバイス用電子証明書202には、第1のデバイス識別子Id1と第1のデバイス特定情報Sd1とが記憶されており、必要に応じてデバイス公開鍵やデバイス秘密鍵が添付されている。第1のデバイス識別子Id1と第1のデバイス特定情報Sd1には、それぞれ個々の利用者認証用デバイス106に固有の値が設定されている。
無線LAN端末用電子証明書201には、対応関係にある利用者認証用デバイス106に添付される利用者認証用デバイス用電子証明書202の第1のデバイス識別子Id1と同一の値である第2のデバイス識別子Id2および無線LAN端末104に固有の第1の端末識別子It1が記憶されており、必要に応じて端末公開鍵や端末秘密鍵が添付されている。
認証サーバ用電子証明書200には、対象ネットワーク108にアクセスが許される利用者用の利用者認証用デバイス用電子証明書202の第1のデバイス特定情報Sd1と同一の値である第2のデバイス特定情報Sd2、この利用者認証用デバイス106に対応関係にある無線LAN端末104の無線LAN端末用電子証明書201の第1の端末識別子It1と同一の値である第2の端末識別子It2と、認証サーバに固有のサーバ識別子Isが記憶されている。また、サーバ公開鍵KS01、これに対応するサーバ秘密鍵KS11および二次認証サーバ公開鍵KS02、これに対応する二次認証サーバ秘密鍵KS12が提供されている。
利用者認証用デバイス106は利用者本人を証明するものとして許可された利用者に提供される。
認証サーバ102は、対象ネットワーク108に接続され、図示しない中央演算装置と、サーバ制御プログラム112、認証サーバ用電子証明書200、およびこれに添付されていた公開鍵、秘密鍵のうち、サーバ公開鍵KS01を除く3つの鍵を記憶するサーバ記憶領域122とを持っている。サーバ公開鍵KS01はあえて保存していない。
無線LAN端末104は、図示しない中央演算装置と、同じく図示しない無線LANアンテナ等の無線通信手段と、端末制御プログラム111、無線LAN端末用電子証明書201、サーバ公開鍵KS01を記憶する端末記憶領域121と、利用者認証用デバイスと接続するための利用者認証用デバイス接続部105を持っている。利用者認証用デバイス接続部105としては、汎用の入出力ポートであるUSB(ユニバーサルシリアルバス)ポートを利用しているが、特に設けた専用の入出力デバイスを経由するようにしてもよい。
利用者認証用デバイス106は、図示しない中央演算装置と、デバイス制御プログラム110、利用者認証用デバイス用電子証明書202を記憶するデバイス記憶領域120と、指紋認証部130とを備えている。このほか、図示しないが、無線LAN端末104の利用者認証用デバイス接続部105に接続可能で、デバイス記憶領域120からのデータの読み出しに使用できる接続手段が備えられている。
認証サーバ102は、対象ネットワーク108に接続され、図示しない中央演算装置と、サーバ制御プログラム112、認証サーバ用電子証明書200、およびこれに添付されていた公開鍵、秘密鍵のうち、サーバ公開鍵KS01を除く3つの鍵を記憶するサーバ記憶領域122とを持っている。サーバ公開鍵KS01はあえて保存していない。
無線LAN端末104は、図示しない中央演算装置と、同じく図示しない無線LANアンテナ等の無線通信手段と、端末制御プログラム111、無線LAN端末用電子証明書201、サーバ公開鍵KS01を記憶する端末記憶領域121と、利用者認証用デバイスと接続するための利用者認証用デバイス接続部105を持っている。利用者認証用デバイス接続部105としては、汎用の入出力ポートであるUSB(ユニバーサルシリアルバス)ポートを利用しているが、特に設けた専用の入出力デバイスを経由するようにしてもよい。
利用者認証用デバイス106は、図示しない中央演算装置と、デバイス制御プログラム110、利用者認証用デバイス用電子証明書202を記憶するデバイス記憶領域120と、指紋認証部130とを備えている。このほか、図示しないが、無線LAN端末104の利用者認証用デバイス接続部105に接続可能で、デバイス記憶領域120からのデータの読み出しに使用できる接続手段が備えられている。
アクセスポイント103も同様に、図示しない中央演算装置、記憶領域、入出力ポートをもち、有線LANと無線LAN接続、無線LAN同士の接続における経路開口をおこなう機能をもつ。内部構成は、たとえば、特許文献5に記載の形態を用いてもよい。
対象ネットワークには、このほか、接続された端末に対してさまざまなサービスを提供するアプリケーションサーバ109などが有線で接続されている。
以下、上記のごとく構成された無線LAN認証システムの動作について図2を用いて説明する。図2は、無線LAN認証システムの認証動作を時系列的に表現したフローチャートであるが、利用者認証用デバイス106、無線LAN端末104および認証サーバ102のそれぞれの動作ごとに区分して表示したものである。なお、図の太枠の各ステップ(S2,S4、S6およびS9)においては認証または照合が行なわれるが、認証や照合が成功しなければ図の次のステップに進むことはできず、認証失敗を意味する画面表示や音声などが無線LAN端末104の画面や音声デバイスなどで発生するようになっている。なお、この実施形態においては、認証に失敗した場合は、それまでに入手していた各種識別子や特定情報は、不正アクセスの記録として無線LAN端末104や認証サーバ102に保存するが、必要なければ削除してもよい。また、いうまでもなく無線LAN端末104と認証サーバ102や対象ネットワーク108上の各アプリケーションサーバ109等との間の通信はすべてアクセスポイント103を経由して行なわれる。
利用者が無線LANを利用する際には、まず、利用者本人を証明するための利用者認証用デバイス106を、無線LANに接続する無線LAN端末104の利用者認証用デバイス接続部105に接続する(S1)。
次に、利用者認証用デバイス106の指紋認証部130で利用者が本人であることを認証する(S2)。こうした制御はデバイス制御プログラム110の動作により行なわれる。以下、無線LAN端末104、認証サーバ102における各動作もそれぞれの制御プログラムによって制御され、実行される。これらのプログラムは、めいめいの記憶領域に記憶されたコンピュータプログラムである。これらのプログラムの動作については、以下明示的には説明しないこととする。
認証が成功すると、利用者が当該利用者認証用デバイス106を使用することが許されていることが確認でき、利用者認証用デバイス106は、第1のデバイス識別子Id1を無線LAN端末104から読み出し可能にする(S3)。
無線LAN端末104は、第1のデバイス識別子Id1が読み出し可能になったことを検出すると、第1のデバイス識別子Id1を読み出して第2のデバイス識別子Id2と照合する(S4)。
照合に成功すると、現在接続されている利用者認証用デバイス106が当該無線LAN端末104の使用が許されているものであることが確認できる。すると、無線LAN端末104は、第1のデバイス特定情報Sd1を利用者認証用デバイス106のデバイス記憶領域120から読み出し、自己の端末記憶領域121に記憶し、これをサーバ公開鍵KS01で暗号化して認証サーバ102に送信する(S5)。認証サーバ102に送信した後は、第1のデバイス特定情報Sd1は暗号化したものもする前のものも必要なくなるので削除する。ただしこの削除は上記タイミング以降であれば対象ネットワーク108との接続が中断または終了するまでのいかなるタイミングで行なわれてもよい。なお、サーバ公開鍵KS01で暗号化した後は暗号化前の第1のデバイス特定情報Sd1は必要なくなるので、認証サーバ102に暗号化したものを送信する前であっても削除してもよい。この場合でも、暗号化後の第1のデバイス特定情報Sd1の削除は認証サーバ102に送信したあとに削除されるから、端末記憶領域に記憶されたすべての第1のデバイス特定情報Sd1の削除は、「認証サーバに送信した後」に行なわれたことになる。以下、特定情報や識別情報の削除については同様である。この実施形態においては、各情報の削除は、後述のS11でまとめて行なわれる。
認証サーバ102は、無線LAN端末104から受信した第1のデバイス特定情報Sd1を自己のサーバ記憶領域122に記憶し、記憶した第1のデバイス特定情報Sd1をサーバ記憶領域122に記憶されたサーバ秘密鍵KS11で復号化してサーバ記憶領域122に記憶し、これと第2のデバイス特定情報Sd2と照合する(S6)。
照合に成功すると、現在アクセスしようとしている無線LAN端末104に接続された利用者認証用デバイス106が対象ネットワークへのアクセスを許された者に付与されたものであることが確認できる。しかも、利用者認証用デバイス106はすでに利用者の認証を終えているから、結局、現在対象ネットワークにアクセスしようとしている利用者がアクセスを許された者であることが確認できる。
次に認証サーバ102は、二次認証用サーバ公開鍵KS02を一次照合通知信号として無線LAN端末104に送信する(S7)。
無線LAN端末104は、認証用サーバから二次認証用サーバ公開鍵KS02を受信すると、これを契機として、自己の端末記憶領域121に記憶された第1の端末識別子It1を二次認証用サーバ公開鍵KS02で暗号化して認証サーバ102に送信する(S8)。
認証サーバ102は、無線LAN端末104から受信した暗号化ずみの第1の端末識別子It1を自己のサーバ記憶領域122に記憶する。記憶した第1の端末識別子It1をあらかじめサーバ記憶領域122に記憶してある二次認証用サーバ秘密鍵KS12により復号化してサーバ記憶領域122に記憶する。そして復号化した第1の端末識別子It1をあらかじめサーバ記憶領域122に記憶してある第2の端末識別子It2と照合する(S9)。
照合に成功すると、現在アクセスしようとしている無線LAN端末104が対象ネットワークへのアクセスを許された端末であることが確認できる。しかも、ここまでのステップで、現在対象ネットワークにアクセスしようとしている利用者がアクセスを許された者であることが確認できているから、利用者の認証と無線LAN端末104の認証とが完成し、これらに対象ネットワーク108へのアクセスを認めてよいことが確認できる。
そこで、認証サーバ102は、アクセスの許可信号を無線LAN端末104に送信するとともに当該無線LAN端末104による対象ネットワーク108へのアクセスを可能な状態にする。認証サーバ102がアクセスの許可信号を無線LAN端末104に送信した後は、第1の端末識別子It1はすべて削除する。ただしこの削除は上記タイミング以降であれば対象ネットワーク108との接続が中断または終了するまでのいかなるタイミングで行なわれてもよい。この実施形態においては、各情報の削除は、第1のデバイス特定情報Sd1とともにまとめてS10の後、数秒後に行なわれるこれらの情報の削除は不正アクセスの記録を残す場合には、すべての認証が完了したこのタイミング以降に行う方がよい。ただし、電源が突然遮断される場合などに備えて、S10のステップの後速やかに1分以内に実施するのが最もよい。
無線LAN端末104は、アクセス許可信号を受信すれば、アクセス可能になった旨の画面表示や音声をつかって利用者にその旨を知らせ、以降、必要なアプリケーションサーバ109等にアクセスする(S12)。上記認証完了後の無線LAN端末104による対象ネットワーク108との無線通信も暗号化して行なうが、このときに上記のサーバ公開鍵KS01や二次認証用サーバ公開鍵KS02を用いてもよいし、別途暗号化手段を用意してもよい。アプリケーションサーバ109が更なるユーザ認証等を要するものであれば、あらためてユーザ認証を行なうが、アプリケーションサーバ109が認証サーバ102のアクセス許可に関する情報を利用してユーザ等を特定することも可能であるので、そのような仕組みを取り入れた場合には、アプリケーションごとのユーザ認証等を省略することもできる。
つづいて、無線LAN端末104は、端末記憶領域121に残った第1のデバイス特定情報Sd1および第1のデバイス識別子Id1をすべて削除する(S13)。
次に、認証サーバ102が無線LAN端末104からのアクセスの中断または終了を検出した場合の動作を、図2を用いて説明する。
無線LAN端末104からのアクセスが所定時間ない場合、明示的にアクセスの中断または終了の信号を受けた場合などアクセスの中断または終了を検出したときは、再認証要求信号を無線LAN端末104に送信するとともに無線LAN端末104からのアクセスの許可を取り消す(S14)。もちろん、何らかの不都合があって認証サーバ102側からアクセスを中断または終了した場合は、再度アクセス可能になったタイミングで再認証要求信号を送信するし、アクセスの許可を取り消す場合は、再認証要求信号を無線LAN端末104に送信しない場合もありうる。
無線LAN端末104は、利用者認証用デバイス106が接続されており、第1のデバイス識別子Id1や第1のデバイス特定情報Sd1が読み出し可能であれば、S4のステップを起動し、もう一度認証サーバ102との間で認証を行なう。
上記実施形態の無線LAN認証システムは、サーバ秘密鍵KS11は記憶しているが対応するサーバ公開鍵KS01は記憶していないから、認証に必要なすべての情報が認証サーバ102に記憶されているわけではない。したがって、仮に認証サーバ102の認証関係情報が漏洩しても、これだけでは対象ネットワークへの不正アクセスは不可能である。また、無線LAN端末104が盗難にあっても、利用者認証用デバイス106に記憶された識別子や特定情報が認証に必要なので、やはりこれだけでは不正アクセスをすることはできない。さらに利用者認証用デバイス106に指紋認証部130のような生体認証の仕組みを取り入れたので、利用者認証用デバイス106が無線LAN端末104とともに盗難にあっても不正アクセスをすることはできない。また、認証の過程で無線LAN端末104や認証サーバ102の記憶領域に記憶された識別情報や特定情報を必要なくなると削除するようにしたので、上記情報が残った状態の無線LAN端末104や認証サーバ102に対する盗難や情報漏えいが起こることによる不正アクセスの可能性を極小化することができる。
上記実施形態の変形として次のような形態が考えられる。
(1)上記実施形態においては、第1のデバイス特定情報Sd1を先に、第1の端末識別子It1を後に認証サーバ102に送信して認証を受けたが、順序を逆にすることもできる。この場合、端末記憶領域121に残った利用者認証用デバイスの識別子や特定情報が削除可能となるタイミングがS8の後に変更される。この変更による認証の安全性の変化はない。
(2)上記実施形態においては、二次認証用サーバ公開鍵KS02を一次認証通知信号として送信し、これを使って二次認証用の識別子(特定情報)を暗号化したが、一次認証通知信号としてもっと単純な信号を用い、二次認証もサーバ公開鍵KS01で行うようにしてもよい。この場合は、認証の安全性が低下することになるが本発明の最低限の作用効果を奏することはできる。
(3)上記実施形態においては、各識別子や特定情報は電子証明書の形態をとったが、利用者認証用デバイスや無線LAN端末についてそれぞれ固有の番号や記号を用意すれば電子証明書である必要はない。この場合も、認証の安全性が低下することになるが本発明の最低限の作用効果を奏することはできる。
(4)上記実施形態においては、利用者認証用デバイス106に第1のデバイス識別子Id1と第1のデバイス特定情報Sd1として別個のデータをもち、無線LAN端末104とによる認証および認証サーバ102による認証を別個の情報に基づいて行なうこととしたが、第1のデバイス識別子Id1と第1のデバイス特定情報Sd1とを同じものにしてもよい。この場合も、認証の安全性が低下することになるが本発明の最低限の作用効果を奏することはできる。
(1)上記実施形態においては、第1のデバイス特定情報Sd1を先に、第1の端末識別子It1を後に認証サーバ102に送信して認証を受けたが、順序を逆にすることもできる。この場合、端末記憶領域121に残った利用者認証用デバイスの識別子や特定情報が削除可能となるタイミングがS8の後に変更される。この変更による認証の安全性の変化はない。
(2)上記実施形態においては、二次認証用サーバ公開鍵KS02を一次認証通知信号として送信し、これを使って二次認証用の識別子(特定情報)を暗号化したが、一次認証通知信号としてもっと単純な信号を用い、二次認証もサーバ公開鍵KS01で行うようにしてもよい。この場合は、認証の安全性が低下することになるが本発明の最低限の作用効果を奏することはできる。
(3)上記実施形態においては、各識別子や特定情報は電子証明書の形態をとったが、利用者認証用デバイスや無線LAN端末についてそれぞれ固有の番号や記号を用意すれば電子証明書である必要はない。この場合も、認証の安全性が低下することになるが本発明の最低限の作用効果を奏することはできる。
(4)上記実施形態においては、利用者認証用デバイス106に第1のデバイス識別子Id1と第1のデバイス特定情報Sd1として別個のデータをもち、無線LAN端末104とによる認証および認証サーバ102による認証を別個の情報に基づいて行なうこととしたが、第1のデバイス識別子Id1と第1のデバイス特定情報Sd1とを同じものにしてもよい。この場合も、認証の安全性が低下することになるが本発明の最低限の作用効果を奏することはできる。
以上の通り、上記利用者に対する認証と無線LAN端末の認証が相互に保証された状態で行われ、正当な無線LAN利用者と無線LAN端末の組み合わせに対してのみ、無線LAN通信の許可を行うことを実現する無線LAN認証システムが提供される。
本発明は、無線LANに限らず、高いセキュリティが要求される有線のみシステムもしくは本発明での実施形態よりも複雑に無線、有線が混成した通信システムにも適用が可能であり、応用範囲において充分な余地を残したシステム形態である。
101:電子証明書発行機
102:認証サーバ
103:アクセスポイント
104:無線LAN端末
105:利用者認証用デバイス接続部
106:利用者認証用デバイス
107:特定区域
108:対象ネットワーク
109:アプリケーションサーバ
110:デバイス制御プログラム
111:端末制御プログラム
112:サーバ制御プログラム
120:デバイス記憶領域
121:端末記憶領域
122:サーバ記憶領域
200:認証サーバ用電子証明書
201:無線LAN端末用電子証明書
202:利用者認証用デバイス用電子証明書
102:認証サーバ
103:アクセスポイント
104:無線LAN端末
105:利用者認証用デバイス接続部
106:利用者認証用デバイス
107:特定区域
108:対象ネットワーク
109:アプリケーションサーバ
110:デバイス制御プログラム
111:端末制御プログラム
112:サーバ制御プログラム
120:デバイス記憶領域
121:端末記憶領域
122:サーバ記憶領域
200:認証サーバ用電子証明書
201:無線LAN端末用電子証明書
202:利用者認証用デバイス用電子証明書
Claims (5)
- 利用者認証用デバイスと、無線LAN端末と、前記利用者認証用デバイスおよび前記無線LAN端末との組合せのネットワークへのアクセスを認証する認証サーバとを備えた無線LAN認証システムであって、
(1−1)前記利用者認証用デバイスは、第1のデバイス識別子Id1および第1のデバイス特定情報Sd1を記憶するデバイス記憶領域を有するものであり、
(1−2)前記無線LAN端末は、前記利用者認証用デバイスと接続するための利用者認証用デバイス接続部と、端末制御プログラム、第2のデバイス識別子Id2、第1の端末識別子It1およびサーバ公開鍵KS01を記憶する端末記憶領域を有するものであり、
(1−3)前記認証サーバは、前記ネットワークに接続され、サーバ制御プログラム、第2の端末識別子It2、第2のデバイス特定情報Sd2、前記サーバ公開鍵KS01に対応する認証サーバ秘密鍵KS11を記憶するサーバ記憶領域を有するものであり、
(2)前記端末制御プログラムは、前記無線LAN端末を、前記利用者認証用デバイスが前記利用者認証用デバイス接続部に接続された後に、前記デバイス記憶領域に記憶された前記第1のデバイス識別子Id1を前記端末記憶領域に記憶し、該記憶した前記第1のデバイス識別子Id1および前記第2のデバイス識別子Id2とを照合し、照合できた場合にのみ、前記第1のデバイス特定情報Sd1を前記端末記憶領域を経由して前記サーバ公開鍵KS01による暗号化後に前記認証サーバに送信し、該送信後、前記端末記憶領域に記憶されたすべての前記第1のデバイス識別子Id1および前記第1のデバイス特定情報Sd1を削除するよう制御するものであり、
(3)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から暗号化された前記第1のデバイス特定情報Sd1を受信した後に、該受信した前記第1のデバイス特定情報Sd1を前記サーバ記憶領域に記憶し、該記憶した前記第1のデバイス特定情報Sd1を前記サーバ秘密鍵KS11により復号化し、該復号化した前記第1のデバイス特定情報Sd1と前記第2のデバイス特定情報Sd2とを照合し、照合できた場合にのみ、照合できた旨の1次照合通知信号を前記無線LAN端末に送信し、該送信後に前記サーバ記憶領域に記憶されたすべての前記第1のデバイス特定情報Sd1を削除するよう制御するものであり、
(4)前記端末制御プログラムは、前記無線LAN端末を、前記認証サーバから前記1次照合通知信号を受信した後に、前記第1の端末識別子It1を前記サーバ公開鍵KS01により暗号化して前記認証サーバに送信するよう制御するものであり、
(5)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から前記暗号化された前記第1の端末識別子It1を受信した後に、該受信した前記第1の端末識別子It1を前記サーバ記憶手段に記憶し、該記憶した前記第1の端末識別子It1を前記サーバ秘密鍵KS11により復号化し、該復号化した前記第1の端末識別子It1を前記サーバ記憶手段に記憶し、該記憶した前記第1の端末識別子It1と前記第2の端末識別子It2とを照合し、照合できた場合にのみ、前記無線LAN端末による前記ネットワークへのアクセスの許可信号を前記無線LAN端末に送信し、該送信後に前記サーバ記憶手段に記憶されたすべての前記第1の端末識別子It1を削除するよう制御するものであり、
(6)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末の前記ネットワークへのアクセスが中断または終了したときは、前記無線LAN端末に前記認証サーバとの間の認証を改めて行うよう指令する再認証要求信号を送信するものであり、
(7)前記端末制御プログラムは、前記無線LAN端末を、前記認証サーバから前記再認証要求信号を受信した後に、前記利用者デバイスとの間の認証から認証をやり直すよう制御するものである、
ことを特徴とする無線LAN認証システム。 - 利用者認証用デバイスと、無線LAN端末と、前記利用者認証用デバイスおよび前記無線LAN端末との組合せのネットワークへのアクセスを認証する認証サーバとを備えた無線LAN認証システムであって、
(1−1)前記利用者認証用デバイスは、第1のデバイス識別子Id1および第1のデバイス特定情報Sd1を記憶するデバイス記憶領域を有するものであり、
(1−2)前記無線LAN端末は、前記利用者認証用デバイスと接続するための利用者認証用デバイス接続部と、端末制御プログラム、第2のデバイス識別子Id2、第1の端末識別子It1およびサーバ公開鍵KS01を記憶する端末記憶領域を有するものであり、
(1−3)前記認証サーバは、前記ネットワークに接続され、サーバ制御プログラム、第2の端末識別子It2、第2のデバイス特定情報Sd2、前記サーバ公開鍵KS01に対応するサーバ秘密鍵KS11を記憶するサーバ記憶領域を有するものであり、
(2)前記端末制御プログラムは、前記無線LAN端末を、前記利用者認証用デバイスが前記利用者認証用デバイス接続部に接続された後に、前記デバイス記憶領域に記憶された前記第1のデバイス識別子Id1を前記端末記憶領域に記憶し、該記憶した前記第1のデバイス識別子Id1および前記第2のデバイス識別子Id2とを照合し、照合できた場合にのみ、前記第1の端末識別子It1を前記サーバ公開鍵KS01による暗号化後に前記認証サーバに送信するよう制御するものであり、
(3)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から暗号化された前記第1の端末識別子It1を受信した後に、該受信した前記第1の端末識別子It1を前記サーバ記憶領域に記憶し、該記憶した前記第1の端末識別子It1を前記サーバ秘密鍵KS11により復号化し、該復号化した前記第1の端末識別子It1と前記第2の端末識別子It2とを照合し、照合できた場合にのみ、照合できた旨の1次照合通知信号を前記無線LAN端末に送信し、該送信後に前記サーバ記憶領域に記憶されたすべての前記第1の端末識別子It1を削除するよう制御するものであり、
(4)前記端末制御プログラムは、前記無線LAN端末を、前記認証サーバから前記1次照合通知信号を受信した後に、前記第1のデバイス特定情報Sd1を前記端末記憶領域経由で、前記サーバ公開鍵KS01により暗号化して前記認証サーバに送信し、該送信後に端末記憶領域に記憶されたすべての前記第1のデバイス特定情報Sd1を削除するよう制御するものであり、
(5)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から前記暗号化された前記第1のデバイス特定情報Sd1を受信した後に、該受信した前記第1のデバイス特定情報Sd1を前記サーバ記憶手段に記憶し、該記憶した前記第1のデバイス特定情報Sd1を前記サーバ秘密鍵KS11により復号化し、該復号化した前記第1のデバイス特定情報Sd1を前記サーバ記憶手段に記憶し、該記憶した前記第1のデバイス特定情報Sd1と前記第2のデバイス特定情報Sd2とを照合し、照合できた場合にのみ、前記無線LAN端末による前記ネットワークへのアクセスの許可信号を前記無線LAN端末に送信し、該送信後に前記サーバ記憶手段に記憶されたすべての前記第1のデバイス特定情報Sd1を削除するよう制御するものであり、
(6)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末の前記ネットワークへのアクセスが中断または終了したときは、前記無線LAN端末に前記認証サーバとの間の認証を改めて行うよう指令する再認証要求信号を送信するものであり、
(7)前記端末制御プログラムは、前記無線LAN端末を、前記認証サーバから前記再認証要求信号を受信した後に、前記利用者デバイスとの間の認証から認証をやり直すよう制御するものである、
ことを特徴とする無線LAN認証システム。 - 前記第1のデバイス識別子Id1および前記第1のデバイス特定情報Sd1はデバイス電子証明書として記憶されたものであり、前記第2のデバイス識別子Id2および前記第1の端末識別子It1は端末電子証明書として記憶されたものであり、前記第2のデバイス特定情報Sd2および前記第2の端末識別子It2はサーバ用電子証明書として記憶されたものである、請求項1または2に記載の無線LAN認証システム。
- 前記第1のデバイス識別子Id1は、前記第1のデバイス特定情報Sd1を兼ねるものである請求項1〜3のいずれかに記載の無線LAN認証システム。
- (1−3‘)前記サーバ記憶領域は、二次認証サーバ公開鍵KS02および二次認証サーバ秘密鍵KS12を記憶するものであり、
(3’)前記サーバ制御プログラムは、前記認証サーバを、前記1次照合通知信号として二次認証サーバ公開鍵KS02を前記無線LAN端末に送信するよう制御するものであり、
(4‘)前記端末制御プログラムは、前記無線LAN端末を、前記1次照合通知信号としての前記二次認証サーバ公開鍵KS02を受信後、前記サーバ公開鍵に換えて前記二次認証サーバ公開鍵KS02により前記第1のデバイス特定情報Sd1または前記第1の端末識別子It1を暗号化して前記認証サーバに送信するよう制御するものであり、
(5‘)前記サーバ制御プログラムは、前記認証サーバを、前記無線LAN端末から前記暗号化された前記第1のデバイス特定情報Sd1または前記第1の端末識別子It1を受信した後に、受信した前記第1のデバイス特定情報Sd1または前記第1の端末識別子It1を前記サーバ公開鍵KS01に換わって前記二次認証サーバ公開鍵KS02によって暗号化するよう制御するものである、
ことを特徴とする請求項1〜4のいずれかに記載の無線LAN認証システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007076067A JP2008236594A (ja) | 2007-03-23 | 2007-03-23 | 無線lan認証システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007076067A JP2008236594A (ja) | 2007-03-23 | 2007-03-23 | 無線lan認証システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008236594A true JP2008236594A (ja) | 2008-10-02 |
Family
ID=39908788
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007076067A Pending JP2008236594A (ja) | 2007-03-23 | 2007-03-23 | 無線lan認証システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008236594A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015041951A (ja) * | 2013-08-23 | 2015-03-02 | 株式会社バッファロー | 無線通信システム、無線接続装置、方法、コンピュータプログラム |
-
2007
- 2007-03-23 JP JP2007076067A patent/JP2008236594A/ja active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015041951A (ja) * | 2013-08-23 | 2015-03-02 | 株式会社バッファロー | 無線通信システム、無線接続装置、方法、コンピュータプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI667585B (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
CN108684041B (zh) | 登录认证的系统和方法 | |
WO2018050081A1 (zh) | 设备身份认证的方法、装置、电子设备及存储介质 | |
US9094823B2 (en) | Data processing for securing local resources in a mobile device | |
US7552322B2 (en) | Using a portable security token to facilitate public key certification for devices in a network | |
KR101198120B1 (ko) | 홍채정보를 이용한 양방향 상호 인증 전자금융거래시스템과 이에 따른 운영방법 | |
JP4095051B2 (ja) | 自動所有権認証が可能なホームネットワーク装置と、ホームネットワークシステム及びその方法 | |
JP4067985B2 (ja) | アプリケーション認証システムと装置 | |
CN112214745B (zh) | 经认证的外部生物特征读取器和验证设备 | |
US8724819B2 (en) | Credential provisioning | |
CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
JP2010525448A5 (ja) | ||
CN109417545A (zh) | 用于下载网络接入简档的技术 | |
CN112396735B (zh) | 网联汽车数字钥匙安全认证方法及装置 | |
US20090119505A1 (en) | Transaction method and verification method | |
JP6751545B1 (ja) | 電子署名システム及び耐タンパ装置 | |
JP4833745B2 (ja) | センサノードのデータ保護方法、センサノードを配布するための計算機システム及びセンサノード | |
KR101631635B1 (ko) | 아이덴티티 인증을 위한 방법, 디바이스 및 시스템 | |
KR20170019308A (ko) | 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법 | |
WO2006026925A1 (fr) | Procede d'etablissement de la cle d'authentification | |
CN112261103A (zh) | 一种节点接入方法及相关设备 | |
KR101745482B1 (ko) | 스마트홈 시스템에서의 통신 방법 및 그 장치 | |
WO2018121394A1 (zh) | 移动终端、告警信息获取、告警信息发送方法及装置 | |
JP2006268228A (ja) | 生体情報を利用した認証システム | |
JP2004206258A (ja) | 多重認証システム、コンピュータプログラムおよび多重認証方法 |