JP2009124751A - アクセスポイント、端末、暗号鍵設定システム、暗号鍵設定方法、および、プログラム - Google Patents

アクセスポイント、端末、暗号鍵設定システム、暗号鍵設定方法、および、プログラム Download PDF

Info

Publication number
JP2009124751A
JP2009124751A JP2009039310A JP2009039310A JP2009124751A JP 2009124751 A JP2009124751 A JP 2009124751A JP 2009039310 A JP2009039310 A JP 2009039310A JP 2009039310 A JP2009039310 A JP 2009039310A JP 2009124751 A JP2009124751 A JP 2009124751A
Authority
JP
Japan
Prior art keywords
terminal
setting
encryption key
access point
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009039310A
Other languages
English (en)
Inventor
Takashi Ishidoshiro
敬 石徹白
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Buffalo Inc
Original Assignee
Buffalo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Buffalo Inc filed Critical Buffalo Inc
Priority to JP2009039310A priority Critical patent/JP2009124751A/ja
Publication of JP2009124751A publication Critical patent/JP2009124751A/ja
Pending legal-status Critical Current

Links

Images

Abstract


【課題】 無線LANの形成に際して必要な設定を、設定時におけるセキュリティを高めつつ、簡便な手法で実現することを目的とする。
【解決手段】 暗号鍵設定システムLH1を含む無線ネットワーク設定システムGH1では、アクセスポイント20は、電源投入後に無線LANの接続設定が未設定状態であると判断した場合には、初期設定パケットのみを受信可能な限定受信モードを実行する。初期設定パケットの送信後の端末50,限定受信モードの実行中に初期設定パケットを受信したアクセスポイント20は、それぞれ、CD−ROM51内のデータ,ROM12内のデータを参照して同一のWEPキーを作成し、作成したWEPキーを自己に設定,登録する。
【選択図】 図8

Description

本発明は、無線LAN用の中継器であるアクセスポイントと無線LAN接続用デバイスを備えた端末との間で無線で通信される無線通信データを暗号化する際に用いられる暗号鍵を、アクセスポイントおよび端末に設定する技術に関する。
無線LANに関しては、従来、ネットワークへの不正侵入や通信内容の第三者への漏洩を防止するセキュリティ技術が種々提案されていた。例えば、端末に装着される無線LAN接続用デバイス(例えば、無線LANアダプタ)に予め割り当てられた固有の識別番号であるMAC(Media Access Control)アドレスを利用し、このMACアドレスをアクセスポイントに登録しておき、端末からのアクセスに伴ってアクセスポイントがMACアドレスの認証を行ない、登録されたMACアドレス以外のMACアドレスであれば、該端末からのネットワークへの接続要求を拒否する技術(以下、MACアドレス制限という)が提案されていた(例えば、特許文献1を参照)。また、端末およびアクセスポイントに、共通の暗号鍵として、任意の文字列を用いたWEP(Wired Equivalent Privacy)キーを設定しておき、端末とアクセスポイントとの間でやりとりされるデータの内容をWEPキーを用いて暗号化し、データが漏洩した場合であっても、データの内容を解析しにくくし、データの内容がわからないようにする技術(以下、WEP暗号化という)も提案されていた(例えば、特許文献2を参照)。
特開2001−320373号公報 特開2001−345819公報
しかしながら、上記した従来の技術では、端末を無線LANに接続しようとする際に、アクセスポイントへのMACアドレスの登録やアクセスポイントおよび端末へのWEPキーの設定等を手作業で行なわなければならず、無線LANの設定に関する作業が煩雑かつ不便であるという課題があった。特に、パブリックスペースにアクセスポイントを設置してインターネットへの接続環境を提供するフリースポットでは、フリースポットを利用しようとする者が多数存在し、しかも徐々に増えていく。このような多数の各端末所有者に、フリースポットを利用する条件として、MACアドレスの登録やのWEPキーの設定に関する煩雑な端末操作を課すことは、極めて不便であり、現実的でなかった。
また、WEPキーは、端末とアクセスポイントとの間でやり取りされるデータを解析する手掛かりとなり得ることから、新たに提案される無線LANの設定手法においては、設定時におけるWEPキーの漏洩を十全に防止し、端末利用者の通信の秘密を確保する必要があった。
そこで、本発明は、上記の課題の少なくとも一部を解決し、無線LANの形成に際して必要な設定を、設定時におけるセキュリティを高めつつ、簡便な手法で実現することを目的として、以下の構成を採った。
本発明のアクセスポイントは、
無線LAN接続用デバイスを備えた端末をネットワークに接続するための無線LAN用の中継器であり、前記端末との間での無線通信を、所定の暗号鍵によって暗号化された無線通信データを用いて行なうアクセスポイントであって、
所定の操作がなされたとき、前記ネットワークへの接続設定が未設定状態であるか否かを判断する判断手段と、
該判断手段により前記ネットワークの接続設定が未設定状態であると判断されたとき、前記端末に固有の情報が含まれた初期設定パケットのみを受信するモードである限定受信モードを実行するモード実行手段と、
該限定受信モードの実行中に、第1の前記端末から送信された前記初期設定パケットを受信したとき、前記初期設定パケットに含まれた前記固有の情報に基づいて初期設定パケットを送信した第1の端末を特定する端末特定手段と、
該端末特定手段により特定された第1の端末との通信に先立って、該第1の端末との通信に用いられる前記暗号鍵を、前記初期設定パケットの送信後に前記第1の端末側で該端末に固有の情報を用いて設定される暗号鍵に対応する値に設定する暗号鍵設定手段と
を備えたことを要旨とする。
上記の無線LAN接続用デバイスは、端末とアクセスポイントとの間での無線通信を行なえるようにするために、端末に装着されるデバイスである。この無線LAN接続用デバイスの一例として、無線LANアダプタや無線LANカードを考えることができる。また、初期設定パケットに含まれる端末に固有の情報(以下、端末固有情報という)の一例として、MACアドレス、CPU ID(プロセッサのシリアル番号)、端末が生成した乱数、端末が所定の処理を行った時刻の情報やこれらの情報の組み合わせなどを考えることができる。
本発明のアクセスポイントでは、所定の操作がなされたとき、ネットワークへの接続設定が未設定状態であるか否かを判断し、未設定状態である場合に、端末固有情報が含まれた初期設定パケットのみを受信するモードである限定受信モードを実行する。この限定受信モードの実行中に、第1の端末から送信された初期設定パケットを受信したとき、端末特定手段が、初期設定パケットに含まれた端末固有情報に基づいて初期設定パケットを送信した第1の端末を特定し、特定された第1の端末との通信に先立って、暗号鍵設定手段が、該第1の端末との通信に用いられる暗号鍵を、初期設定パケットの送信後に第1の端末側で該端末に固有の情報を用いて設定される暗号鍵に対応する値に設定する。従って、第1の端末の所有者は、第1の端末上で初期設定パケットを送信する指示を行なうだけで、第1の端末とアクセスポイントとの間で通用する暗号鍵を、第1の端末およびアクセスポイントに設定することが可能となる。しかも、この暗号鍵の設定は、第1の端末自身、アクセスポイント自身によってなされるので、第1の端末とアクセスポイントとの間で通用する暗号鍵を設定するために、端末とアクセスポイントとの間で暗号鍵のデータを無線でやり取りする必要がなく、無線電波の傍受によって暗号鍵のデータが第三者に漏洩するおそれがない。従って、無線LANの形成に際して必要な暗号鍵の設定を、暗号鍵を表わすデータの漏洩を防止しつつ、簡便な手法で実現することができる。
上記の限定受信モードを、位置確認のためのビーコン信号を発信しない状態で、初期設定パケットを待ち受けるモードとしてもよい。こうすれば、アクセスポイントの存在位置が判明しにくくなる。従って、アクセスポイントをターゲットとしたセキュリティに関するデータの不正取得を防止することができる。
限定受信モードの実行中であることを視認可能に表示する表示手段を備えることも望ましい。こうすれば、端末の所有者は、アクセスポイントが無線LANを形成可能な状態であることを、容易に把握することができる。
前記暗号鍵の設定後に、前記限定受信モードを、前記端末と無線で交信可能なモードである無線交信モードに切り換えるモード切換手段と、該無線交信モードへの切り換え後に、前記第1の端末から、前記ネットワークへの接続設定に関する接続設定データが該第1の端末側で設定された暗号鍵によって暗号化されて送信されたとき、該接続設定データを受信すると共に、該接続設定データを前記暗号鍵設定手段により設定された暗号鍵を用いて復号し、該復号された接続設定データに基づいて前記第1の端末についての前記接続設定を自動的に行なう接続設定手段とを備えることも好適である。こうすれば、アクセスポイントと第1の端末との間において、暗号鍵の設定に続けて、ネットワークへの接続設定を自動的に行なうことが可能となる。また、ネットワークへの接続設定に関する接続設定データは、既に設定された、第1の端末とアクセスポイントとの間で通用する暗号鍵によって暗号化された状態で、第1の端末からアクセスポイントに無線で送信されるので、無線電波の傍受による接続設定データの解析がなされにくい。従って、無線LANの形成に際して必要なネットワークへの接続設定を、高いセキュリティレベルで、かつ、簡便な手法で実現することができる。
上記の接続設定データの一例として、無線LANにおける個々のネットワークを識別するための情報(例えば、ESS ID(Extended Service Set ID))やWAN(Wide Area Netwrok)に接続する回線の種類(例えば、xDSL、CATV、光ファイバー等)、プロバイダとの契約内容を表わすデータ(以下、契約データ)を考えることができる。この契約データの一例として、WAN上でコンピュータを識別するための情報(例えば、TCP/IPネットワークで用いられるIPアドレス)、WANに接続する際の認証(例えば、PPPoE)に用いられるユーザ名、パスワードの情報を考えることができる。
前記暗号鍵の設定後に、アクセスポイントとの間で通用する暗号鍵が未だ設定されていない第2の端末から、該第2の端末に固有の情報が含まれた初期設定パケットが送信され、該初期設定パケットを受信した前記第1の端末から、前記第2の端末に固有の情報を含む追加登録データが、既に設定されている前記アクセスポイントとの間で通用する暗号鍵によって暗号化されて送信されたとき、該追加登録データを受信する暗号化データ受信手段と、該受信した追加登録データを前記暗号鍵設定手段により設定された暗号鍵を用いて復号し、該復号された追加登録データに含まれた前記第2の端末に固有の情報に基づいて初期設定パケットを送信した第2の端末を特定する追加端末特定手段と、該特定された第2の端末との通信に先立って、該第2の端末との通信に用いられる前記暗号鍵を、前記第2の端末からの初期設定パケットの送信後に前記第2の端末側で該端末に固有の情報を用いて設定される暗号鍵に対応する値に設定する追加設定手段とを備えることも望ましい。こうすれば、第2の端末の所有者は、第2の端末を無線LANを利用する端末として新たに追加しようとする場合に、第2の端末上で初期設定パケットを送信する指示を行なうだけで、第2の端末とアクセスポイントとの間で通用する暗号鍵を、第2の端末およびアクセスポイントに設定することが可能となる。しかも、この暗号鍵の設定は、第2の端末自身、アクセスポイント自身によってなされるので、第2の端末とアクセスポイントとの間で通用する暗号鍵を設定するために、第2の端末とアクセスポイントとの間で暗号鍵のデータを無線でやり取りする必要がなく、無線電波の傍受によって暗号鍵のデータが第三者に漏洩するおそれがない。従って、無線LANを利用する端末を新規追加する場合においても、無線LANの形成に際して必要な暗号鍵の設定を、暗号鍵を表わすデータの漏洩を防止しつつ、簡便な手法で実現することができる。
前記追加設定手段による暗号鍵の設定後に、前記第2の端末から、前記ネットワークへの接続設定に関する接続設定データが該第2の端末側で設定された暗号鍵によって暗号化されて送信されたとき、該接続設定データを受信すると共に、該接続設定データを前記追加設定手段により設定された暗号鍵を用いて復号し、該復号された接続設定データに基づいて前記第2の端末についての前記接続設定を自動的に行なう追加接続設定手段を備えることも好適である。こうすれば、アクセスポイントと第2の端末との間において、暗号鍵の設定に続けて、ネットワークへの接続設定を自動的に行なうことが可能となる。また、ネットワークへの接続設定に関する接続設定データは、既に設定された、第2の端末とアクセスポイントとの間で通用する暗号鍵によって暗号化された状態で、第2の端末からアクセスポイントに無線で送信されるので、無線電波の傍受による接続設定データの解析がなされにくい。従って、無線LANを利用する端末を新規追加する場合においても、無線LANの形成に際して必要なネットワークへの接続設定を、高いセキュリティレベルで、かつ、簡便な手法で実現することができる。
端末から送信される初期設定パケットが、一時的に使用される暗号鍵である一時キーによって暗号化されており、暗号化された初期設定パケットを復号するための暗号鍵である仮キーを予め記憶する記憶手段を備え、端末特定手段または追加端末特定手段が、第1の端末または第2の端末から一時キーによって暗号化された初期設定パケットを受信したとき、該初期設定パケットを前記記憶された仮キーを用いて復号することにより該初期設定パケットに含まれた端末固有情報を取得する情報取得手段を備えるように構成してもよい。こうすれば、端末固有情報を含む初期設定パケットは、一時キーによって暗号化された状態で、第1の端末または第2の端末からアクセスポイントに無線で送信されるので、無線電波の傍受による端末固有情報の解析がなされにくくなる。従って、他人の端末固有情報を用いたネットワークへの不正侵入を防止することができる。
暗号鍵設定手段または追加設定手段により設定される暗号鍵の値が、第1の端末または第2の端末から前記初期設定パケットが送信された時間に関連付けて決定されることも好適である。こうすれば、アクセスポイントおよび第1の端末または第2の端末に設定された暗号鍵の解析が極めて難しくなり、アクセスポイントと端末との間でなされる無線通信のセキュリティレベルを更に高めることができる。
無線LAN接続用デバイスを備え、上記アクセスポイントとの間での無線通信を所定の暗号鍵によって暗号化された無線通信データを用いて行なう端末として、発明を把握することもできる。この端末は、所定の指示に基づいて、前記端末に固有の情報が含まれた初期設定パケットを無線で送信する送信手段と、該送信された初期設定パケットに含まれる端末固有情報を受け取った前記アクセスポイントとの通信に先立って、該アクセスポイントとの通信に用いられる前記暗号鍵を、前記固有の情報を用いて設定する設定手段とを備える。こうした端末は、初期設定パケットを送信した後、初期設定パケットに含まれる端末固有情報を用いて、暗号鍵を自己に設定する。こうして設定された暗号鍵に対応してアクセスポイント側の暗号鍵が設定されれば、端末とアクセスポイントとの間で通用する暗号鍵を設定するために、端末とアクセスポイントとの間で暗号鍵のデータを無線でやり取りする必要がなく、無線電波の傍受によって暗号鍵のデータが第三者に漏洩するおそれがない。この結果、無線LANの形成に際して必要な暗号鍵の設定を、暗号鍵を表わすデータの漏洩を防止しつつ、簡便な手法で実現することができる。
送信手段による初期設定パケットの送信が、端末における所定のプログラムの起動に伴って行われる構成を採ってもよい。こうすれば、端末の所有者がネットワークに関する知識の乏しい者であっても、端末およびアクセスポイントへの暗号鍵の設定を確実に行なうことができる。
本発明の第1の暗号鍵設定システムは、
無線LAN用の中継器であるアクセスポイントと無線LAN接続用デバイスを備えた端末との間で無線で通信される無線通信データを通信に先立って暗号化する際に用いられる暗号鍵を、前記アクセスポイントおよび前記端末に設定する暗号鍵設定システムであって、
前記端末は、
所定の指示に基づいて、該端末に固有の情報が含まれた初期設定パケットを無線で送信する送信手段と、
該送信手段による初期設定パケットの送信後、前記アクセスポイントとの通信に先立って、該アクセスポイントとの通信に用いられる前記暗号鍵を、前記端末に固有の情報に基づいて所定の値に設定する設定手段とを備え、
前記アクセスポイントは、
所定の操作がなされたとき、前記ネットワークへの接続設定が未設定状態であるか否かを判断する判断手段と、
該判断手段により前記ネットワークの接続設定が未設定状態であると判断されたとき、前記初期設定パケットのみを受信するモードである限定受信モードを実行するモード実行手段と、
該限定受信モードの実行中に前記初期設定パケットを受信したとき、該初期設定パケットに含まれた前記固有の情報に基づいて初期設定パケットを送信した端末を特定する端末特定手段と、
該端末特定手段により特定された端末との通信に先立って、該端末との通信に用いられる前記暗号鍵を、前記設定手段により端末側で設定される暗号鍵に対応する値に設定する暗号鍵設定手段と
を備えたことを要旨とする。
また、上記第1の暗号鍵設定システムと同様の技術を用いてなされた本発明の第1の暗号鍵設定方法は、
無線LAN用の中継器であるアクセスポイントと無線LAN接続用デバイスを備えた端末との間で無線で通信される無線通信データを通信に先立って暗号化する際に用いられる暗号鍵を、前記アクセスポイントおよび前記端末に設定する方法であって、
前記端末が、
所定の指示に基づいて、該端末に固有の情報が含まれた初期設定パケットを無線で送信し、
該初期設定パケットの送信後、前記アクセスポイントとの通信に先立って、該アクセスポイントとの通信に用いられる前記暗号鍵を、前記端末に固有の情報に基づいて所定の値に設定し、
前記アクセスポイントが、
所定の操作がなされたとき、前記ネットワークへの接続設定が未設定状態であるか否かを判断し、
前記ネットワークの接続設定が未設定状態であると判断されたとき、前記初期設定パケットのみを受信するモードである限定受信モードを実行し、
該限定受信モードの実行中に前記初期設定パケットを受信したとき、該初期設定パケットに含まれた前記固有の情報に基づいて初期設定パケットを送信した端末を特定し、
該特定された端末との通信に先立って、該端末との通信に用いられる前記暗号鍵を、前記端末側で設定される暗号鍵に対応する値に設定することを要旨とする。
本発明の第1の暗号鍵設定システムおよび第1の暗号鍵設定方法では、無線LAN接続用デバイスを備えた端末は、所定の指示に基づいて、端末固有情報が含まれた初期設定パケットを無線で送信した後、設定手段が、アクセスポイントとの通信に先立って、該アクセスポイントとの通信に用いられる暗号鍵を、端末固有情報に基づいて所定の値に設定する。一方、アクセスポイントは、所定の操作がなされたとき、ネットワークへの接続設定が未設定状態であるか否かを判断し、未設定状態である場合に、初期設定パケットのみを受信するモードである限定受信モードを実行する。この限定受信モードの実行中に、端末から送信された初期設定パケットを受信したとき、端末特定手段が、初期設定パケットに含まれた端末固有情報に基づいて初期設定パケットを送信した端末を特定し、特定された端末との通信に先立って、暗号鍵設定手段が、該端末との通信に用いられる暗号鍵を、端末側で設定される暗号鍵に対応する値に設定する。従って、端末の所有者は、端末上で初期設定パケットを送信する指示を行なうだけで、端末とアクセスポイントとの間で通用する暗号鍵を、端末およびアクセスポイントに設定することが可能となる。しかも、この暗号鍵の設定は、端末自身、アクセスポイント自身によってなされるので、端末とアクセスポイントとの間で通用する暗号鍵を設定するために、端末とアクセスポイントとの間で暗号鍵のデータを無線でやり取りする必要がなく、無線電波の傍受によって暗号鍵のデータが第三者に漏洩するおそれがない。従って、無線LANの形成に際して必要な暗号鍵の設定を、暗号鍵を表わすデータの漏洩を防止しつつ、簡便な手法で実現することができる。
上記の第1の暗号鍵設定システムおよび第1の暗号鍵設定方法には、様々な展開を考えることができる。以下、暗号鍵設定システムを例にとって説明するが、暗号鍵設定方法としても、ほぼ同様の展開が可能である。勿論、上記したアクセスポイントの発明における種々の展開例を、暗号鍵設定システムや暗号鍵設定方法の発明に適用することもできる。
上記の第1の暗号鍵設定システムにおいて、端末が、設定手段による暗号鍵の設定後に、ネットワークへの接続設定に関する接続設定データを、該端末側で設定された暗号鍵によって暗号化して送信する接続設定データ送信手段を備えると共に、アクセスポイントが、暗号鍵設定手段による暗号鍵の設定後に、限定受信モードを、端末と無線で交信可能なモードである無線交信モードに切り換えるモード切換手段と、該無線交信モードへの切り換え後に、端末から送信された接続設定データを受信した場合に、該接続設定データを暗号鍵設定手段により設定された暗号鍵を用いて復号し、該復号された接続設定データに基づいて端末についてのネットワークへの接続設定を自動的に行なう接続設定手段とを備える構成としてもよい。こうすれば、アクセスポイントと第1の端末との間において、暗号鍵の設定に続けて、ネットワークへの接続設定を自動的に行なうことが可能となる。また、ネットワークへの接続設定に関する接続設定データは、既に設定された、端末とアクセスポイントとの間で通用する暗号鍵によって暗号化された状態で、端末からアクセスポイントに無線で送信されるので、無線電波の傍受による接続設定データの解析がなされにくい。従って、無線LANの形成に際して必要なネットワークへの接続設定を、高いセキュリティレベルで、かつ、簡便な手法で実現することができる。
上記の第1の暗号鍵設定システムが、端末として、アクセスポイントとの間で通用する暗号鍵が既に設定されている第1の端末と、アクセスポイントとの間で通用する暗号鍵が未だ設定されていない第2の端末とを備える場合には、第1の端末が、第2の端末から送信された、該第2の端末に固有の情報を含む初期設定パケットを受信するパケット受信手段と、該初期設定パケットの受信後に、第2の端末に固有の情報を含む追加登録データを、アクセスポイントとの間で通用する暗号鍵によって暗号化して、前記アクセスポイントに送信する追加登録データ送信手段とを備える構成とし、アクセスポイントが、追加登録データを受信し、該追加登録データを前記暗号鍵設定手段により設定された暗号鍵を用いて復号し、該復号された追加登録データに含まれた前記固有の情報に基づいて初期設定パケットを送信した第2の端末を特定する追加端末特定手段と、該特定された第2の端末との通信に先立って、該第2の端末との通信に用いられる暗号鍵を、前記設定手段によって第2の端末側で該端末に固有の情報を用いて設定される暗号鍵に対応する値に設定する追加設定手段とを備える構成としてもよい。こうすれば、第2の端末の所有者は、第2の端末を無線LANを利用する端末として新たに追加しようとする場合に、第2の端末上で初期設定パケットを送信する指示を行なうだけで、第2の端末とアクセスポイントとの間で通用する暗号鍵を設定することが可能となる。しかも、この暗号鍵の設定は、第2の端末自身、アクセスポイント自身によってなされるので、第2の端末とアクセスポイントとの間で通用する暗号鍵を設定するために、第2の端末とアクセスポイントとの間で暗号鍵のデータを無線でやり取りする必要がなく、無線電波の傍受によって暗号鍵のデータが第三者に漏洩するおそれがない。従って、無線LANを利用する端末を新規追加する場合においても、無線LANの形成に際して必要な暗号鍵の設定を、暗号鍵を表わすデータの漏洩を防止しつつ、簡便な手法で実現することができる。
第2の端末が、前記追加設定手段による暗号鍵の設定後に、前記ネットワークへの接続設定に関する接続設定データを該第2の端末側で設定された暗号鍵によって暗号化して送信する追加接続設定データ送信手段を備えると共に、アクセスポイントが、第2の端末から送信された接続設定データを受信すると共に、該接続設定データを前記追加設定手段により設定された暗号鍵を用いて復号し、該復号された接続設定データに基づいて前記第2の端末についての前記接続設定を自動的に行なう追加接続設定手段を備えることも望ましい。こうすれば、アクセスポイントと第2の端末との間において、暗号鍵の設定に続けて、ネットワークへの接続設定を自動的に行なうことが可能となる。また、ネットワークへの接続設定に関する接続設定データは、既に設定された、第2の端末とアクセスポイントとの間で通用する暗号鍵によって暗号化された状態で、第2の端末からアクセスポイントに無線で送信されるので、無線電波の傍受による接続設定データの解析がなされにくい。従って、無線LANを利用する端末を新規追加する場合においても、無線LANの形成に際して必要なネットワークへの接続設定を、高いセキュリティレベルで、かつ、簡便な手法で実現することができる。
以上説明した技術をプログラムの発明として把握することもできる。本発明のプログラムは、上述したアクセスポイントおよび端末の少なくとも一方が行なう動作の内容を、コンピュータによる読み取り可能な形式で記述したことを要旨としている。こうしたプログラムがアクセスポイントや端末が備えるコンピュータに読み取られて実行されることにより、上記と同様の作用効果を得ることができる。
本発明の第2の暗号鍵設定システムは、
無線LAN用の中継器であるアクセスポイントと無線LAN接続用デバイスを備えた端末との間で無線で通信される無線通信データを通信に先立って暗号化する際に用いられる暗号鍵を、前記アクセスポイントおよび前記端末に設定する暗号鍵設定システムであって、
前記無線通信データの無線通信範囲よりも狭い通信範囲を有するRFIDを構成するタグであって、前記端末と前記アクセスポイントの間で用いられる暗号鍵に関する情報が記憶されたRFIDタグを備え、
前記アクセスポイント,前記端末のそれぞれが、
前記RFIDタグに記憶された前記暗号鍵に関する情報を取得する情報取得手段と、
該情報取得手段により取得された情報に基づいて、前記端末とアクセスポイントの間で用いられる暗号鍵を自己に設定する自己設定手段と
を備えたことを要旨とする。
本発明の第2の暗号鍵設定システムでは、無線通信データの無線通信範囲よりも狭い通信範囲を有するRFIDを構成するタグであって、端末とアクセスポイントの間で用いられる暗号鍵に関する情報が記憶されたRFIDタグを備える。RFID(Radio Frequency IDentification)は、ICとアンテナを内蔵したチップであるRFIDタグに電波を発信してRFIDタグのIC内に記憶された情報を読み取ることにより、無線で個別の認識やデータの送受信を行なう仕組みである。こうしたRFIDを用いた構成によれば、RFIDの狭い通信範囲にRFIDタグが配置されるだけで、この狭い通信範囲内で暗号鍵のデータが無線で通信され、アクセスポイントおよび端末に暗号鍵が設定される。従って、アクセスポイントおよび端末への無線での暗号鍵の設定を、アクセスポイントや端末にRFIDタグを近付けるという簡単な手法で、かつ、WEPキーの漏洩の防止に配慮した高いセキュリティレベルで実現することができる。
本発明の第1実施例である無線ネットワーク設定システムGH1を実現するハードウェアの構成を示す説明図である。 アクセスポイント20の構成を示す説明図である。 端末50,60へのCD−ROM51の挿入後にディスプレイ53,63に表示されるメニュー画面を示す説明図である。 アクセスポイント20のROM12および端末50,60への挿入用のCD−ROM51に格納されたプログラムおよびデータの内容を模式的に示す説明図である。 「アクセスポイント20が、端末との間の無線LANの形成が全くされていない状態である場合」に行われるセキュリティデータ設定処理の内容を示すフローチャートである。 「アクセスポイント20が、既に端末との間に無線LANを形成している状態である場合」に行われるセキュリティデータ設定処理の内容を示すフローチャートである。 接続設定処理の内容を示すフローチャートである。 本発明の第2実施例である無線ネットワーク設定システムGH2を実現するハードウェアの構成を示す説明図である。
以上説明した本発明の構成および作用を一層明らかにするために、以下本発明の実施の形態を、以下の順序で説明する。
A.第1実施例(無線ネットワーク設定システムGH1)
A−1.無線ネットワーク設定システムGH1の概要
A−2.無線ネットワーク設定システムGH1において実行される処理の内容
A−2−1.セキュリティデータ設定処理
A−2−2.接続設定処理
A−3.作用効果
B.第2実施例
C.変形例
A.第1実施例:
A−1.無線ネットワーク設定システムGH1の概要:
図1は本発明の第1実施例である無線ネットワーク設定システムGH1を実現するハードウェアの構成を示す説明図であり、図2はアクセスポイント20の構成を示す説明図である。無線ネットワーク設定システムGH1は、アクセスポイント20と端末50,60との間に無線LANを形成するための設定と、端末50,60がアクセスポイント20経由でWAN(本明細書における発明を実施するための最良の形態ではインターネットIN)に接続できるようにするための設定(以下、インターネットINへの接続設定という)とを行なうシステムである。このシステムは、無線LANの形成に際して、アクセスポイント20との無線通信が可能な範囲(第1実施例では、無線通信エリアAR1)に位置する端末50,60に、暗号鍵としてのWEPキーの内容を表わすキーデータを電波に乗せて無線通信することなく、アクセスポイント20との間で通用するWEPキーを設定する暗号鍵設定システムLH1を含んでいる。
図1に示すように、無線通信エリアAR1には、無線LAN用の中継器であるアクセスポイント(無線基地局)20が設置されている。アクセスポイント20は、図2に示すように、CPU11と、このCPU11とバスにより相互に接続されたROM12,RAM13,ハードディスク等の不揮発的な記憶装置14,ネットワークインタフェースとしてのWANポート17,有線LANとの接続用のLANポート22,無線通信インタフェース18,ディスプレイコントローラ15,入出力コントローラ16,タイマ21等の各部を備える。また、アクセスポイント20の筐体表面には、上記の各部への電源供給のオン/オフを切り換える電源スイッチ29が設けられている。
ROM12には、無線通信エリアAR1内の端末50,60との無線LANの形成や無線LAN上の端末50,60によるインターネットINへの接続に関する各種のプログラムとこのプログラムの実行に必要なデータが格納されている。
ディスプレイコントローラ15には、アクセスポイント20の現在の通信モード(後述する限定受信モード/無線交信モード)を点滅/点灯によって表示する表示ランプ19が接続されている。この表示ランプ19は、アクセスポイント20の筐体表面に露出した状態で設けられている。時計付きのタイマ21は、CPU11が各種の処理を実行した時間や各処理の実行から経過した時間を計時する。この計時の結果はRAM13に一時的に記憶される。
無線通信インタフェース18には、電波を送信する送信機25,電波を受信する受信機26が接続されている。この送信機25,受信機26は、外部への電波の送信や外部からの電波の受信が可能な状態で、アクセスポイント20に内蔵されている。図1では、送信機25から送信された電波が届き、かつ、受信機26が端末50,60からの電波を受け取れる範囲を、無線通信エリアAR1として表わしている。こうしたアクセスポイント20の設置により、無線通信エリアAR1内を通信範囲とした無線LANを組むことができる。
WANポート17には、モデムを内蔵したルータ28がケーブルを介して接続されている。ルータ28は、後述する無線LANアダプタ52,62それぞれのMACアドレスに基づいて、無線LAN内の複数の各端末50,60を特定し、これらを区別することができる。ルータ28内のモデムは、CATV回線,xDSL回線等のブロードバンドな通信回線CL、プロバイダPVの専用回線を介してインターネットINに接続されている。即ち、ルータ28は、無線LANをインターネットINに接続するゲートウェイとして機能する。
端末50,60は、周知のノート型のパーソナルコンピュータであり、CPU,ROM,RAM,内蔵時計等からなる制御装置をはじめ、記憶装置としてのハードディスクや表示装置としてのディスプレイ53,63,トラックボール,CDドライブ,メモリカードドライブ,USBポート等を備える。内蔵時計は、CPUが各種の処理を実行した時刻を計時する。この計時の結果はRAM13に一時的に記憶される。なお、端末50,60は、携帯情報端末(Personal Digital Assistant)等のような、ノート型のパーソナルコンピュータ以外の他の端末であっても差し支えない。
端末50,60のメモリカードドライブには、アクセスポイント20との間での電波の送受信を行なえるようにする無線LAN接続用デバイスとして、無線LANアダプタ52,62が装着されている。この無線LANアダプタ52,62のデバイスドライバが端末50に組み込まれることにより、端末50,60は、装着された無線LANアダプタ52,62を認識し、無線LANアダプタ52,62を制御することが可能となる。なお、無線LANアダプタ52,62には、アダプタに固有の識別番号であるMACアドレスが付与されている。
第1実施例では、無線LANアダプタ52,62の付属品として、端末50,60のCD−ROMドライブに挿入されるセットアップ用CD−ROM51を用意している(図3を参照)。このCD−ROM51には、無線LANアダプタ52,62のデバイスドライバのインストールプログラムや、アクセスポイント20を通じた無線LANの形成やインターネットINへの接続に関するユーティリティプログラムと、これらのプログラムの実行に必要なデータが格納されている。勿論、これらのプログラムやデータを、CD−ROM51以外の記録媒体に格納することとしても差し支えない。なお、端末50,60のCD−ROMドライブにCD−ROM51が挿入されると、ディスプレイ53,63には、図3に示すようなメニュー画面が自動的に表示される。このメニュー画面には、「このコンピュータの設定」,「他のコンピュータの設定」という2つのタブが、トラックボールによる選択が可能に表示されている。
第1実施例の無線ネットワーク設定システムGH1では、端末50,60側のMACアドレスがアクセスポイント20に登録し、このMACアドレスが登録された端末(以下、登録端末という)とアクセスポイント20との間に無線LANを形成する。こうした無線LANの形成後、無線通信エリアAR1内の端末50,60は、装着された無線LANアダプタ52,62とアクセスポイント20との間で電波を送受信することにより、アクセスポイント20との通信を無線で行なうことができる。これにより、端末50,60とアクセスポイント20との間において、オフライン(インターネットに接続されていない状態)でデータのやり取りをすることが可能となる。なお、アクセスポイント20および無線LANアダプタ52,62は、やり取りするデータを通信に適した形式、いわゆるパケットに変換することが可能である。
また、第1実施例の無線ネットワーク設定システムGH1では、登録端末としての端末50,60およびアクセスポイント20にインターネットINへの接続設定が行われる。この接続設定の完了後、無線通信エリアAR1内の端末50,60を、アクセスポイント20への無線通信を介してインターネットINに接続することが可能となる。これにより、端末50,60とアクセスポイント20との間で、オンライン(インターネットに接続された状態)でデータのやり取りをすることが可能となる。例えば、インターネットIN上のサーバSVに格納されたウェブコンテンツ等の種々の情報を取得することができる。
なお、第1実施例では、登録端末にのみ無線LANへの接続を許容しており、MACアドレスがアクセスポイント20に登録されていない端末(非登録端末という)は、たとえ無線通信エリアAR1内にいても無線LANに接続することができない。即ち、無線通信エリアAR1は、登録端末の所有者のみにインターネットINへの接続サービスを提供するフリースポットとされている。
こうした登録端末とアクセスポイント20との間では、契約やサービス,個人情報等の種々の内容を有するデータ(以下、内容付きデータという)が、電波に乗せてオンラインまたはオフラインで送受信される。第1実施例では、内容付きデータを送信する側の装置(登録端末,アクセスポイント20)が、送信に先立って、既述したWEPキーという暗号鍵を用いて内容付きデータを暗号化し、暗号化後の内容付きデータ(以下、暗号化データという)を受信側の装置(アクセスポイント20,登録端末)に送信することとしている。受信側の装置は、受信した暗号化データをWEPキーを用いて復号し、内容付きデータを得るのである。
WEPは、IEEE802.11で使用される、秘密鍵暗号方式(データの暗号化と暗号化されたデータの復号の双方で同じ暗号鍵を使用する方式)の暗号化技術であり、暗号鍵として64ビットまたは128ビットのWEPキーが用いられる。
こうしたWEPキーを用いた暗号化により、無線通信エリアAR1内において内容付きデータを乗せた電波が傍受された場合に、内容付きデータの解析が困難となり、通信内容の第三者への漏洩が防止される。例えば、登録端末からアクセスポイント20にクレジットカードの番号を含む契約文書が送信された場合には、送信電波の傍受によりクレジットカードの番号が第三者に知られてしまうことを防止することができる。
A−2.無線ネットワーク設定システムGH1において実行される処理の内容:
続いて、無線ネットワーク設定システムGH1において実行される処理の内容について説明する。図4は、アクセスポイント20のROM12および端末50,60への挿入用のCD−ROM51に格納されたプログラムおよびデータの内容を示す説明図である。図4に示すように、ROM12およびCD−ROM51には、セキュリティデータ設定処理および接続設定処理の内容を記述したプログラムとこのプログラムの実行に必要なデータが格納されている。
セキュリティデータ設定処理は、アクセスポイント20に無線LANアダプタ52,62のMACアドレスを登録すると共に、アクセスポイント20および端末50,60に、アクセスポイント20と端末50,60との間で通用するWEPキーを設定することにより、アクセスポイント20と端末50,60との間に無線LANを形成する処理である。このセキュリティデータ設定処理は、アクセスポイント20のCPU11によって実行される処理P1と端末50,60のCPUによって実行される処理Q1,処理T1とからなる。処理Q1は、アクセスポイントとの間の無線LANの形成が未だなされていない端末が実行する処理であり、処理T1は、アクセスポイントとの間の無線LANの形成が既になされている端末が実行する処理である。
また、セキュリティデータ設定処理の実行の際に用いられるデータとして、CD−ROM51,ROM12には、それぞれ、一時キーを表わすデータ,仮キーを表わすデータが予め記憶されている。一時キーおよび仮キーは、セキュリティデータ設定処理において、正規のWEPキーが設定されるまでの間、一時的に使用される暗号鍵であり、所定の値に予め定められている。一時キーによって暗号化されたデータは仮キーを用いて復号することが可能であり、仮キーによって暗号化されたデータは一時キーを用いて復号することが可能である。
加えて、CD−ROM51およびROM12には、WEPキーの値を求めるための演算式が格納されている。第1実施例では、CD−ROM51およびROM12に、同一の演算式Kを格納している。
接続設定処理は、無線LANが形成された端末50,60とアクセスポイント20との間でWEPキーを用いて暗号化されたデータを無線でやり取りすることにより、端末50,60がアクセスポイント20経由でインターネットINに接続可能な環境を設定する処理である。この接続設定処理は、アクセスポイント20のCPU11によって実行される処理P2と端末50,60のCPUによって実行される処理Q2とからなる。
A−2−1.セキュリティデータ設定処理:
セキュリティデータ設定処理の内容について図5ないし図6を参照しつつ説明する。図5は、「アクセスポイント20が、端末との間の無線LANの形成が全くされていない状態(例えば、購入直後の状態)である場合」に行われるセキュリティデータ設定処理の内容を示すフローチャートである。この図5では、MACアドレスの登録対象ないしWEPキーの設定対象となる端末が端末50であると仮定し、アクセスポイント20側で実行される処理P1,端末50側で実行される処理Q1の内容を、それぞれルーチンP1,ルーチンQ1として示している。
アクセスポイント20の電源スイッチ29がオンされると、アクセスポイント20側のCPU11で実行されるルーチンP1が起動する。ルーチンP1が起動されると、CPU11は、無線LANの接続設定が未設定状態か否かを判断する処理を行なう(ステップS100)。具体的には、CPU11は、記憶装置14に記憶されたMACアドレスの登録情報を参照し、端末側のMACアドレスが1つも登録されていない場合には、端末との間の無線LANの形成が未だなされていないとみなして、無線LANの接続設定が未設定状態であると判断し、端末側のMACアドレスが1つでも登録されている場合には、端末との間の無線LANの形成が既になされているとみなして、無線LANの接続設定が既設定状態であると判断する。なお、ステップS100の処理において、無線LANの接続設定が既設定状態であると判断した場合の処理については後述する。
ステップS100の処理において、無線LANの接続設定が未設定状態であると判断した場合には、CPU11は、限定受信モードを実行する(ステップS110)と共に、表示ランプ19を点滅表示する処理を行なう。限定受信モードは、端末から発信されるパケットのうち、初期設定パケット(後述)のみを受信するモードである。初期設定パケットは、端末との間で正規にやり取りされる他のパケット(以下、通常パケットという)とは異なる構造を有している。限定受信モードの実行中において、CPU11は、受信機26によって受信したパケットの構造を識別し、初期設定パケットのみを入力する処理を行なう。
なお、本実施例におけるアクセスポイント20は、限定受信モードにおいて、送信機25から位置確認のためのビーコン信号を発信することなく、端末からの初期設定パケットを待ち受けている。これにより、アクセスポイント20の存在を悪意の下で検索している第三者から、アクセスポイント20を隠匿することができる。勿論、限定受信モードの実行中にアクセスポイント20がビーコン信号を発信する構成としても差し支えない。
なお、ステップS100の処理において、無線LANの接続設定が既設定状態であると判断した場合には、アクセスポイント20のCPU11は、既に接続設定がなされている端末との無線通信に備えて、無線交信モードを実行する(図6のステップS210)と共に、表示ランプ19を点灯表示する処理を行なう。無線交信モードは、端末との間での通常パケットの送受信を可能とするモードである。無線交信モードの実行中において、CPU11は、受信機26によって受信したパケットの構造を識別し、通常パケットのみを入力する処理を行なう。これ以降の処理の内容については、図6に関する説明として後述する。
端末50側の処理Q1について説明する。無線通信エリアAR1内での端末50の操作により、CD−ROM51挿入後に表示されるメニュー画面上で「このコンピュータの設定」というタブが選択されると、端末50側のCPUで実行されるルーチンQ1が起動する。ルーチンQ1が起動されると、CPUは、まず、無線LANアダプタ52のデバイスドライバをインストールする処理を行なった後(ステップS400)、無線LANアダプタ52のMACアドレスを特定して無線LANアダプタ52から初期設定パケットを送出し(ステップS410)、初期設定パケットを送出した時刻(以下、送出時刻という)を表わすデータをRAMに一時的に記憶する処理を行なう(ステップS420)。この送出時刻は、記述した内蔵時計によって計時される。
初期設定パケットには、無線LANに加入する旨の指示(以下、加入指示という)を表わすデータに加えて、端末50に固有の情報として、送出時刻を表わすデータおよび無線LANアダプタ52のMACアドレスを表わすデータが含まれている。MACアドレスを表わすデータは初期設定パケットのヘッダ領域に含まれている。この初期設定パケットは、一時キーによって暗号化された状態で、所定の期間、間欠的に何回も送出される。こうした初期設定パケットの送出後に、端末50側でのWEPキーの作成が開始される(ステップS460)。
アクセスポイント20側では、タイマ21による監視によって、限定受信モードの実行開始から所定時間が経過するまでの間、初期設定パケットを待ち受けている(ステップS120、ステップS130)。この期間内に初期設定パケットを受信しなかった場合には、CPU11は、端末50側のMACアドレスが特定できないため、端末50との間の無線LANの形成ができないとみなし、本ルーチンを終了する。
一方、ステップS120およびステップS130の処理において、端末50から送出された初期設定パケットが、上記の期間内に、アクセスポイント20によって受信されると(ステップS120:YES)、CPU11は、受信した初期設定パケットを仮キーを用いて復号し、復号した初期設定パケットから、MACアドレスを表わすデータと送出時刻を表わすデータを読み取る処理を行なう(ステップS140)。こうして読み取った二つのデータは、互いに関連付けられて、RAM13のバッファ領域に一時的に記憶される。この後、アクセスポイント20側でのWEPキーの作成が開始される(ステップS160)。
ステップS160,ステップS460におけるWEPキーの作成は、アクセスポイント20のCPU11,端末50のCPUが、それぞれ、送信時刻の値を演算式Kに代入することによって求められる。アクセスポイント20側と端末50側とでは、同じ演算式Kに共通の送信時刻の値を代入した演算がなされるので、代入演算の結果値は当然に同一となる。この代入演算の結果値が、端末50とアクセスポイント20との間で用いられる正規のWEPキーの値となる。こうした演算式Kとしては、送信時刻の値を構成する数字を要素とする多次元の関数などを考えることができる。
こうしたWEPキーの作成後、端末50のCPUは、作成したWEPキーの値をハードディスクのLAN情報領域に記憶することにより、WEPキーを設定する処理を行ない(ステップS470)、ルーチンQ1を終了し、次の処理Q2(図7のルーチンQ2)に移る。一方、アクセスポイント20のCPU11は、作成したWEPキーの値を端末50側のMACアドレスと関連付けて記憶装置14の管理領域に記憶することにより、WEPキーを登録する処理を行なう(ステップS170)。これにより、アクセスポイント20側での端末50に関するMACアドレスの登録と、アクセスポイント20と端末50との無線通信に用いられるWEPキーの設定が完了する。WEPキーの登録後、アクセスポイント20のCPU11は、それまで実行されていた限定受信モードを無線交信モードに切り替える処理を行ない(ステップS180)、ルーチンP1を終了し、次の処理P2(図7のルーチンP2)に移る。これにより、端末50とアクセスポイント20とを接続する無線LANが形成される。以降、端末50とアクセスポイント20との間で、設定ないし登録されたWEPキーを用いて暗号化された暗号化データをやり取りすることができる。
図6は、「アクセスポイント20が、既に端末との間に無線LANを形成している状態(例えば、ルーチンP1の実行により端末50側のMACアドレスおよびWEPキーを登録した後の状態)である場合」に行われるセキュリティデータ設定処理の内容を示すフローチャートである。この図6では、MACアドレスおよびWEPキーの登録によりアクセスポイント20との間に無線LANが形成されている端末を端末50とし、この端末50に追加して無線LANを形成しようとする端末を端末60とした場合に、アクセスポイント20側で実行される処理P1,端末60側で実行される処理Q1,端末50側で実行される処理T1の内容を、それぞれルーチンP1,ルーチンQ1,ルーチンT1として示している。
無線通信エリアAR1内での端末50の操作により、CD−ROM51挿入後に表示されるメニュー画面上で「他のコンピュータの設定」というタブが選択されると、端末50側のCPUで実行されるルーチンT1が起動する。
続いて、無線通信エリアAR1内での端末60の操作により、CD−ROM51挿入後に表示されるメニュー画面上で「このコンピュータの設定」というタブが選択されると、端末60側のCPUで実行されるルーチンQ1が起動する。このルーチンQ1が起動されると、端末60のCPUは、図5において端末50のCPUが行なった処理(ステップS400〜S470)と同じ処理を行なう。よって、端末50では、無線LANアダプタ62のデバイスドライバのインストール後に、無線LANアダプタ62から初期設定パケットが送出され(ステップS410)、初期設定パケットの送出時刻を表わすデータがRAMに一時的に記憶される(ステップS420)。
一方、アクセスポイント20側では、既述したように電源スイッチ29のオンによって既にルーチンP1が起動している。上例の場合、図5のステップS100の処理において、端末50についての無線LANの接続設定(MACアドレスおよびWEPキーの登録)が既になされていると判断されるため、アクセスポイント20側では無線交信モードが実行されている(図5のステップS100:NO、図6のステップS210)。
このように限定受信モードでない状態では、アクセスポイント20は、端末60から発信された初期設定パケットを受信することができない。そこで、既にアクセスポイント20との間の無線LAN接続が確立されている端末50のCPUが、ルーチンT1を実行して、端末60から発信された初期設定パケットを、アクセスポイント20に替わって無線LANアダプタ62によって受信する処理を行なう(ステップS520)。
続いて、端末50のCPUは、受信した初期設定パケットを無線交信モードのアクセスポイント20が受信可能な通常パケットの形式に変換し、この変換によって作成された追加登録パケットをアクセスポイント20に送信する処理を行ない(ステップS530)、ルーチンT1を終了する。追加登録パケットには、端末60から発信された初期設定パケットに含まれるデータ(端末60の加入指示を表わすデータ、端末60からの初期設定パケットの送出時刻を表わすデータ、無線LANアダプタ62のMACアドレスを表わすデータ)が含まれている。この追加登録パケットは、図5のステップS470の処理において設定されたアクセスポイント20との間で通用するWEPキーによって暗号化された状態で送信される。
こうして端末50から送信された追加登録パケットがアクセスポイント20によって受信されると(ステップS220)、アクセスポイント20のCPU11は、受信した追加登録パケットを、図5のステップS170の処理において登録された端末50との間で通用するWEPキーを用いて復号し、復号した追加登録パケットから、端末60側のMACアドレスを表わすデータと端末60からの初期設定パケットの送出時刻を表わすデータを読み取る処理を行なう(ステップS240)。こうして読み取った二つのデータは、互いに関連付けられて、RAM13のバッファ領域に一時的に記憶される。
続いて、アクセスポイント20のCPU11,端末60のCPUは、図5において説明したと同様に、演算式K1を用いたWEPキーの作成およびこのWEPキーの設定ないし登録を行ない(ステップS260〜S270、ステップS460〜S470)、ルーチンP1,Q1を終了して次の処理P2,Q2(図7のルーチンP2,Q2)に移る。これにより、アクセスポイント20側での端末60に関するMACアドレスの登録と、アクセスポイント20と端末60との無線通信に用いられるWEPキーの設定が完了する。以降、端末60とアクセスポイント20との間では、設定ないし登録されたWEPキーを用いて暗号化された暗号化データが送受信される。
なお、図6のステップS260、ステップS460の処理において演算式K1に代入される端末60からの初期設定パケットの送出時刻の値は、図5のステップS160、ステップS460の処理において先に演算式K1に代入された端末50からの初期設定パケットの送出時刻の値とは異なる。よって、図6のステップS270、ステップS470の処理において登録ないし設定される端末60とアクセスポイント20との間で通用するWEPキーの値は、図5のステップS170、ステップS470の処理によって登録ないし設定された端末50とアクセスポイント20との間で通用するWEPキーの値とは異なるものとなる。
A−2−2.接続設定処理:
以上、セキュリティデータ設定処理の内容について説明した。続いて、セキュリティデータ設定処理の終了後に続けて実行される接続設定処理の内容について図7を参照しつつ説明する。図7は接続設定処理の内容を示すフローチャートである。この図7では、アクセスポイント20側で実行される処理P2,端末50,60側で実行される処理Q2の内容を、それぞれルーチンP2,ルーチンQ2として示している。
ステップS470の処理によって端末50,60にWEPキーが設定されると、端末50,60のCPUは、接続設定パケットを、設定されたWEPキーを用いて暗号化して、アクセスポイント20に送信する処理を行なう(ステップS600)。接続設定パケットには、ヘッダ情報としての無線LANアダプタ52,62のMACアドレスを表わすデータのほか、インターネットINへの接続設定に必要なデータ(以下、WAN接続設定データという)が含まれている。このWAN接続設定データとしては、アクセスポイント20をインターネットINに接続する通信回線CL(例えば、xDSL、CATV、光ファイバー)を特定するデータ、プロバイダとの契約内容(例えば、プロバイダPVから指定されたIPアドレス、認証用のユーザ名やパスワード)を表わすデータ、端末50,60の特性(例えば、OSの種類やバージョン、ドライブの構成、WEBブラウザの設定)に関するデータ等を考えることができる。これらのデータは、端末50,60のROMやハードディスクに予め書き込んでおいてもよいし、端末50,60のCDドライブやメモリカードドライブ,USBポートへの挿入によって読み出し可能な記録メディア(例えば、CD−ROM,CD−RW,メモリカード,USBメモリ等)や端末50,60のROMやハードディスクに予め書き込んでおいてもよい。
ステップS170,S270の処理によるWEPキーの登録後、無線交信モードを実行中のアクセスポイント20は、タイマ21による監視によって、WEPキーの登録時から所定時間が経過するまでの間、接続設定パケットを待ち受けている(ステップS300、ステップS310)。この期間内に接続設定パケットを受信しなかった場合には、CPU11は、インターネットINへの接続設定に必要なデータが得られないため、端末50,60についてのインターネットINへの接続設定ができないとみなし、本ルーチンを終了する。
一方、ステップS300の処理において、端末50,60から送信された接続設定パケットが、上記の期間内に、アクセスポイント20によって受信されると(ステップS300:YES)、CPU11は、受信した接続設定パケットを、登録されたWEPキーを用いて復号し、復号した接続設定パケットから、MACアドレスを表わすデータとインターネットINへの接続設定に必要なデータを読み取り、当該MACアドレスを有する無線LANアダプタ52,62が装着された端末50,60についてのインターネットINへの接続設定を行なう(ステップS320)。このインターネットINへの接続設定が行われることにより、記憶装置14の管理領域には、インターネットINに接続する回線を特定するデータ、プロバイダとの契約内容を表わすデータ、端末50,60の特性に関するデータが、端末50,60側のMACアドレスと関連付けて記憶される。
インターネットINへの接続設定が完了した後、アクセスポイント20のCPU11は、接続設定が完了した旨を表わすデータに、ヘッダ情報としてMACアドレスを表わすデータを付加することによって設定完了パケットを作成し、この設定完了パケットを、登録された暗号キーを用いて暗号化して端末50,60に送信する処理を行ない(ステップS330)、ルーチンP2を終了する。この設定完了パケットが端末50によって受信されると(ステップS610)、端末50,60のCPUは、ディスプレイ53,63に設定完了画面を表示し(ステップS620)、ルーチンQ2を終了する。これにより、端末50,60の所有者は、無線通信エリアAR1内において、自己の端末50,60を、アクセスポイント20経由で通信回線CL、プロバイダPVの専用回線に接続して、インターネットINに接続することが可能となる。こうした接続後に端末50,60とサーバSVとの間で送受信される内容付きデータは、無線で接続された端末50とアクセスポイント20との間では、WEPキーを用いて暗号化した状態(暗号化データ)でやり取りされる。
A−3.作用効果:
以上説明した第1実施例の暗号鍵設定システムLH1を含む無線ネットワーク設定システムGH1では、セキュリティデータ設定処理(図5)を実行することにより、端末50およびアクセスポイント20に、端末50とアクセスポイント20との間で通用するWEPキーを設定し、端末50とアクセスポイント20との間に無線LANを形成する。従って、端末50の所有者は、端末50上で、初期設定パケットを、限定受信モードを実行中のアクセスポイント20に送信する指示を行なうだけで、端末50とアクセスポイント20との間で通用するWEPキーを、端末50およびアクセスポイント20に設定することが可能となる。しかも、このWEPキーの設定は、端末50自身、アクセスポイント20自身によってなされるので、端末50とアクセスポイント20との間で通用するWEPキーを設定するために、端末50とアクセスポイント20との間でWEPキーの内容を表わすデータ(以下、キーデータという)を電波に乗せて無線でやり取りする必要がなく、無線電波の傍受によってキーデータが第三者に漏洩するおそれがない。従って、無線LANの形成に際して必要なWEPキーの設定を、キーデータの漏洩を防止しつつ、簡便な手法で実現することができる。
また、第1実施例では、限定受信モードを実行中のアクセスポイント20は、位置確認のためのビーコン信号を発信しない状態で、初期設定パケットを待ち受ける。こうすれば、アクセスポイント20の存在位置が判明しにくくなるので、アクセスポイント20をターゲットとしたセキュリティに関するデータ(例えば、演算式K、送信時刻のデータ、作成されたWEPキーのデータ、仮キーや一時キーのデータ、MACアドレスを表わすデータ)の不正取得を防止することができる。
更に、第1実施例におけるアクセスポイント20は、限定受信モードの実行中においては、無線交信モードの実行中とは異なる態様で、表示ランプ19を表示する。従って、端末50の所有者は、アクセスポイント20が無線LANを形成可能な状態であることを、容易に把握することができる。
第1実施例の無線ネットワーク設定システムGH1では、端末50とアクセスポイント20との間での無線LANを形成した後、無線LANを利用する他の端末60を新たに追加しようとする場合においても、セキュリティデータ設定処理(図6)を実行することにより、端末60およびアクセスポイント20に、端末60とアクセスポイント20との間で通用するWEPキーを設定し、端末60とアクセスポイント20との間に無線LANを形成する。従って、端末60の所有者は、端末60上で初期設定パケットを送信する指示を行なうだけで、端末60とアクセスポイント20との間で通用するWEPキーを、端末60およびアクセスポイント20に設定することが可能となる。しかも、このWEPキーの設定は、端末60自身、アクセスポイント20自身によってなされるので、端末60とアクセスポイント20との間で通用するWEPキーを設定するために、端末60とアクセスポイント20との間でキーデータを電波に乗せて無線でやり取りする必要がなく、無線電波の傍受によってキーデータが第三者に漏洩するおそれがない。従って、無線LANを利用する端末60を新規追加する場合においても、無線LANの形成に際して必要なWEPキーの設定を、キーデータの漏洩を防止しつつ、簡便な手法で実現することができる。
第1実施例の無線ネットワーク設定システムGH1では、端末50,60から発信される初期設定パケットは、一時キーによって暗号化された状態で、アクセスポイント20に無線で送信される。このため、初期設定パケットを乗せた電波が傍受された場合においても、この初期設定パケットを解析してMACアドレス等の端末50,60に固有の情報を得ることが難しくなる。従って、他人の端末50,60に固有の情報を用いたネットワークへの不正侵入を防止することができる。
また、第1実施例の無線ネットワーク設定システムGH1では、端末50,60およびアクセスポイント20に設定されるWEPキーの値が、端末50,60から初期設定パケットが送信された時刻に関連付けて決定される。このため、端末50,60およびアクセスポイント20に設定されたWEPキーの解析が極めて難しくなり、端末50,60とアクセスポイント20との間でなされる無線通信のセキュリティレベルを更に高めることができる。
第1実施例の無線ネットワーク設定システムGH1では、上記のセキュリティデータ設定処理の終了後に接続設定処理を実行することにより、端末50,60とアクセスポイント20との間において、WEPキーの設定に続けて、端末50,60をアクセスポイント20経由でインターネットINに接続するための設定を自動的に行なう。この際、インターネットINへの接続設定に必要なデータを含む接続設定パケットは、既に設定された端末50,60とアクセスポイント20との間で通用するWEPキーによって暗号化された状態で、端末50,60からアクセスポイント20に無線で送信される。このため、無線電波の傍受による接続設定パケットの解析がなされにくくなる。従って、無線LANの形成に際して必要なインターネットINへの接続設定を、高いセキュリティレベルで、かつ、簡便な手法で実現することができる。
なお、上記第1実施例では、端末50側では初期設定パケットの送出処理(ステップS410)の終了後に、アクセスポイント20側ではMACアドレスの読み取り処理(ステップS140)の終了後に、WEPキーの作成を開始することとしたが、初期設定パケットの送出後、端末50のCPUが、初期設定パケットのアクセスポイント20による受信を確認した後に、WEPキーの作成を開始することとしてもよい。この配信されたか否かの判断は、無線LANアダプタ52のデータリターン機能を利用することにより実現することができる。
また、上記実施例では、初期設定パケットに、端末に固有の情報として、端末側のMACアドレスの値と送信時刻の値とが含まれおり、このうちの送信時刻の値を演算式Kに代入した演算を端末,アクセスポイントのぞれぞれが実行して、端末とアクセスポイントとの間で通用するWEPキーを設定した。上記の演算式Kは、MACアドレスの値を代入する演算式に変更してもよく、MACアドレスの値と送信時刻の値を代入する演算式に変更してもよい。また、MACアドレスや送信時刻以外の値(例えば、端末のCPU IDや端末側で生成された乱数の値など)を代入する演算式に変更することも可能である。この場合には、図5ないし図6のステップS410において端末が送出する初期設定パケットに、端末のCPU IDや端末側で生成された乱数等のデータを含ませ、図5のステップS140ないし図6のステップS240において、初期設定パケットを受信したアクセスポイントが、端末のCPU IDや端末側で生成された乱数等を読み取る構成とすればよい。
図5のステップS120の処理において、アクセスポイント20が不正なアクセスを表わす電波を受信した場合には、直ちにルーチンP1を終了するように構成してもよい。また、図6のS520の処理において、端末50が不正なアクセスを表わす電波を受信した場合には、端末50が、ルーチンP1を終了する指示するデータを、既に設定されたWEPキーを用いて暗号化してアクセスポイント20に送信し、これを受信したアクセスポイント20が直ちにルーチンP1を終了するように構成してもよい。
上記第1実施例において、アクセスポイント20に、セキュリティデータ設定処理(処理P1)や接続設定処理(処理P2)の実行を指示する操作部(例えば、ルーチンP1を起動するボタンまたはスイッチ)を設ける構成や、端末50,60に、セキュリティデータ設定処理(処理Q1,T1,Q2)の実行を指示する操作部(例えば、ルーチンQ1,T1を起動するボタンまたはスイッチ)を設ける構成を採用してもよい。こうした構成は、アクセスポイント20や端末50,60の制御機構の入力インターフェースに、物理的な操作ボタンや、画面上でのトラックボールの操作によって選択が可能な選択タブを接続することにより、実現することができる。こうすれば、各処理が失敗した場合に、操作部を操作して各処理をやり直すことが可能となり、利便性を高めることができる。
また、アクセスポイント20に上記のような操作部を設けた場合には、この操作部の操作により、アクセスポイント20から送信される電波が届く範囲を無線通信エリアAR1よりも狭める構成を採用してもよい。こうした構成は、操作部からの操作信号を受けてCPU11が実行するプログラムとして、送信機25の出力の標準設定値を1/n(nは予め定められた定数)にする演算プログラムをROM12に予め格納しておくことにより、実現することができる。加えて、端末50,60に上記のような操作部を設けた場合には、この操作部の操作により、端末50,60の無線LANアダプタ52,62から送信される電波が届く範囲を狭める構成を採用してもよい。こうした構成を採れば、アクセスポイント20から無線で送信される各パケット(設定完了パケット)や端末50,60から無線で送信される各パケット(初期設定パケット、接続設定パケット)が届く範囲が狭くなるので、各パケットを乗せた電波が傍受される可能性が低くなる。従って、各パケットに含まれるMACアドレスを表わすデータの漏洩を防止することが可能となり、セキュリティレベルの高い無線LANを実現することができる。特に、このようなアクセスポイント20をフリースポットに設置した場合には、フリースポットを利用しようとする多数の者の端末について、無線LANの形成の際にMACアドレスが第三者に漏洩してしまうことが確実に防止される。
B.第2実施例:
第2実施例について図8を参照しつつ説明する。図8に示す第2実施例の無線ネットワーク設定システムGH2は、第1実施例において図1に示した無線ネットワーク設定システムGH1とほぼ共通の各部を備える。この共通の各部につき、図8では符号の十の位以下を図1と同じ数字ないし英字を用いて表わしており、以下の明細書における説明を省略している。
第2実施例の無線ネットワーク設定システムGH2は、無線で個別の認識やデータの送受信を行なう仕組みであるRFID(Radio Frequency IDentification)を用いて、アクセスポイント20と端末50,60との間に無線LANを形成するための設定やインターネットINへの接続設定を実現する点で、第1実施例の無線ネットワーク設定システムGH1と異なる。RFIDは、ICとアンテナを内蔵したチップであるRFIDタグと、このRFIDタグに電波を発信してRFIDタグのIC内に記憶された情報の読み取りや書き込みを行なうリーダライタとから構成される。このシステムGH2は、無線LANの形成に際して、暗号鍵としてのWEPキーの内容を表わすキーデータを、リーダライタから発信される電波が届く狭い範囲(第1実施例では、セキュリティ通信エリアMR1,MR2)で電波に乗せて無線通信することにより、端末50,60およびアクセスポイント20に共通のWEPキーを設定する暗号鍵設定システムLH2を含んでいる。なお、RFIDは、通常、電磁誘導を利用した通信であるため、通信距離は数センチ前後である。
図8に示すように、無線ネットワーク設定システムGH2は、RFIDタグ280,281を備えたRFIDカード270,271と、リーダライタ282を有するアクセスポイント220と、リーダライタ284を有する端末250,260とを備える。RFIDタグ280,281は、リーダライタ282,284からの電波の受信によって生じる誘導起電力を用いて発電し、この電力を利用してICを起動する、いわゆるパッシブ型のタグである。
RFIDタグ280のIC内には、端末250とアクセスポイント220との間の無線LANの形成やインターネットINへの接続設定に必要な情報である設定情報QJ(例えば、端末250側のMACアドレスを表わすデータ、端末250とアクセスポイント220との間の無線通信の際に用いられる暗号鍵としてのWEPキーのデータ、WAN接続設定データ)が予め記憶されており、RFIDタグ281のIC内には、上記RFIDタグ280と同様に、端末260に関する設定情報QJが予め記憶されている。また、リーダライタ282から発信される電波が届く範囲(セキュリティ通信エリアMR1)やリーダライタ284から発信される電波が届く範囲(セキュリティ通信エリアMR2)は、上記第1実施例におけるアクセスポイント20から送信される電波が届く範囲(無線通信エリアAR1)よりも狭くされている。
このように構成された無線ネットワーク設定システムGH2では、図8に矢印で示すように、RFIDカード270,271がセキュリティ通信エリアMR2内に配置されると、RFIDカード270,271のRFIDタグ280,281のIC内に記憶された設定情報QJが端末250,260のリーダライタ284によって読み取られる。続いて、図8に矢印で示すように、RFIDカード270,271がセキュリティ通信エリアMR1内に配置されると、RFIDカード270,271のRFIDタグ280,281のIC内に記憶された設定情報QJがアクセスポイント220のリーダライタ282によって読み取られる。こうして読み取られた設定情報QJに基づいて、アクセスポイント220,端末250,260のそれぞれが、MACアドレスの登録やWEPキーの設定、インターネットINへの接続設定を行なう。これにより、無線LANを形成しようとする端末250,260の所有者は、RFIDカード270,271をアクセスポイント220および端末250,260に近付けるという簡便な手法によって、無線LANの形成やインターネットINへの接続に必要な設定を行なうことができる。この際、リーダライタ282,284から発信される電波が届く範囲は、無線通信エリアAR1より狭い範囲であるセキュリティ通信エリアMR1,MR2に限定されるので、WEPキーのデータ等の設定情報QJを乗せた電波が他人に傍受される可能性が低くなる。従って、WEPキーのデータを含む設定情報QJを漏洩しにくくすることが可能となり、セキュリティレベルの高い無線LANを実現することができる。特に、このようなアクセスポイント220をフリースポットに設置した場合には、フリースポットを利用しようとする多数の者の端末について、例えば、WEPキーの設定時にWEPキーのデータが第三者に漏洩してしまうことが抑制される。従って、多数の各利用者の通信の秘密を確保することができる。
なお、上記の第2実施例において、アクセスポイント220によるRFIDタグ280,281の読み取りを省略する構成とすることも可能である。具体的には、各人の端末に応じて異なる設定情報QJをRFIDタグ280,281,・・・に記憶した多数枚のRFIDカード270,271,・・・を予め用意しておく。ここでは、上記RFIDタグ280,281,・・・に設定情報QJとしてWEPキーのデータを記憶する場合(即ち、各RFIDカード270,271,・・・が異なる値のWEPキーのデータを保有する場合)を例として説明する。この場合において、アクセスポイント220のROM212には、用意された各RFIDカード270,271,・・・が保有するWEPキーのデータの全データが記憶されている。
このような構成におけるWEPキーの設定手法について説明する。まず、フリースポットの管理者は、用意した多数枚のRFIDカード270,271,・・・を、無線LANを利用しようとする利用者に1枚ずつ配布する。利用者は、配布されたRFIDカードを各自の端末250,260,・・・に近付ける。これにより、RFIDカードのRFIDタグ内に記憶されたWEPキーのデータが、端末250,260,・・・のリーダライタ284によって読み取られる。
端末250,260,・・・のCPUは、リーダライタ284によって読み取られたWEPキーのデータを受け取り、このデータによって特定される値をアクセスポイント220との間の通信に用いられるWEPキーとして設定する。続いて、端末250,260,・・・のCPUは、リーダライタ284によって読み取られたWEPキーのデータに無線LANアダプタ252,262,・・・のMACアドレスをヘッダ情報として付加したWEPキーパケットを作成し、このWEPキーパケットを上記設定したWEPキーを用いて暗号化して無線LANアダプタ252,262,・・・から無線でアクセスポイント220に送信する。
端末250からWEPキーパケットを受信したアクセスポイント220は、ROM212に記憶されたWEPキーの全データの中から1つのデータを抽出し、この抽出したWEPキーのデータによって特定される値によってWEPキーパケットの復号を試みる。復号に失敗した場合には、ROM212に記憶されたWEPキーの全データの中から他のデータを抽出し、上記と同様にWEPキーパケットの復号を試みる。この試みは、復号が成功するまで、繰り返し継続される。復号に成功した場合には、アクセスポイント220は、復号されたWEPキーパケットのヘッダ情報から端末250側のMACアドレスの値を特定すると共に、このMACアドレスの値と関連付けて、上記復号に成功したWEPキーの値を、端末250との間の通信に用いられるWEPキーとして登録する。他の端末260,・・・についても、上記端末250の場合と同様の処理によってWEPキーが登録される。
これにより、端末250,260,・・・とアクセスポイント220との共通のWEPキーの設定を、RFIDカード270,271,・・・をアクセスポイント220に近付けることなく行なうことが可能となり、アクセスポイント220の設置の自由度を高めることができる。例えば、アクセスポイント220を利用者の手の届かない場所に設置した場合でも、WEPキーの設定をスムーズに行なうことができる。
なお、上記の第2実施例では、同一のRFIDカード270,271,・・・は1回しか使用することができないこととし、各利用者に与えられるWEPキーのデータがユニークなものであることを保証している。勿論、使用済みのRFIDカード270,271,・・・について、RFIDタグ280,281,・・・に記憶されているWEPキーのデータを、未だ何人にも使用されていない値を表わすデータに書き換えて、使用済みのRFIDカード270,271,・・・を再利用することとしてもよい。
また、上記の第2実施例では、設定情報QJを記憶する媒体としてRFIDカード270,271を用いたが、このようなRFIDカード270,271を用いることなく、無線LANの形成やインターネットINへの接続に必要な設定を、上記第2実施例と同様に、簡易にかつ自動的に実現することも可能である。例えば、設定情報QJを予め記憶したRFIDタグを、端末250,260のCPUが読み取り可能な形式で、無線LANアダプタ252,262に内蔵しておく構成を考えることができる。この構成によれば、無線LANアダプタ252,262が装着された端末250,260がセキュリティ通信エリアMR1内に配置されたときに、無線LANアダプタ252,262のRFIDタグに記憶された設定情報QJが、アクセスポイント220のリーダライタ282および端末250,260のCPUによって読み取られる。こうして読み取られた設定情報QJに基づいて、アクセスポイント220,端末250,260のそれぞれが、MACアドレスの登録やWEPキーの設定、インターネットINへの接続設定を行なう。従って、無線LANを形成しようとする端末250,260の所有者は、無線LANアダプタ252,262が装着された端末250,260をアクセスポイント220に近付けるという極めて簡便な手法により、無線LANの形成やインターネットINへの接続に必要な設定を行なうことができる。また、多数の者の端末について無線LANを形成しようとする際に、各人の端末に応じて異なる情報が記憶された多数枚のRFIDカード270,271,・・・を用意したり、端末250,260側にリーダライタを設けたりする必要がなく、システム構成を簡略化することができる。
上記のRFIDを用いた構成ではパッシブ型のRFIDタグを用いたが、これに替えて、電源を内蔵し、この電源の電力を用いてリーダライタに電波を発信するアクティブ型のタグを用いてもよい。
C.変形例:
以上本発明の実施の形態を実施例に基づいて説明したが、本発明はこうした実施例に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々なる様態で実施し得ることは勿論である。
例えば、上記実施例では、端末とアクセスポイントとの間の無線LANの形成やインターネットINへの接続設定に必要な情報(設定情報QJ)を、アクセスポイント20のROM12やCD−ROM51,端末50,60のROMやハードディスク,RFIDタグ等の記録媒体に記憶する構成としたが、これらの記録媒体に、設定情報QJに含まれる全ての情報を記憶しなくてもよい。例えば、第1実施例において、WEPキーの値を求めるための演算式Kのデータのみを記憶することとしても差し支えないし、第2実施例において、端末250,260とアクセスポイント220に設定される共通のWEPキーのデータのみを記憶することとしても差し支えない。
上記実施例では、アクセスポイント20に外部アンテナを有線で接続し、外部アンテナと端末50との無線での通信によってMACアドレスの登録やWEPキーの設定を行なう構成としても差し支えない。こうすれば、アクセスポイント20の設置場所の自由度を高めることができる。例えば、店内の隅に外部アンテナを設置して外部アンテナの近辺をWEPキーの設定場所としつつ、店内の中央にアクセスポイント20を設置して無線通信エリアを店内の全体に広く確保することができる。
また、上記実施例では、アクセスポイント20がフリースポットに設置される場合を想定したが、勿論、フリースポット以外の場所(例えば、住宅内やオフィス内)にアクセスポイント20を設置しても差し支えない。
上記実施例では、端末とアクセスポイントとの間でやりとりされるデータの内容を暗号化する技術としてWEPを用いたが、WEP以外の他の暗号化技術を用いても差し支えない。例えば、公開鍵暗号方式(データの暗号化と暗号化されたデータの復号とで異なる暗号鍵を使用する方式)の暗号化技術を用いてもよい。また、WEPよりも強度の高い暗号化技術であるWPA(Wi−Fi Protected Access)を用いることも考えることができる。
11…CPU
12,212…ROM
13…RAM
14…記憶装置
15…ディスプレイコントローラ
16…入出力コントローラ
17…WANポート
18…無線通信インタフェース
19…表示ランプ
20,220…アクセスポイント
21…タイマ
22…LANポート
25…送信機
26…受信機
28…ルータ
29…電源スイッチ
50,60,250,260…端末
51…CD−ROM
52,62,252,262…無線LANアダプタ
53,63…ディスプレイ
95…シールド箱
96…敷板
270,271…RFIDカード
280,281…RFIDタグ
282,284…リーダライタ
AR1…無線通信エリア
CL…通信回線
GH1,GH2…無線ネットワーク設定システム
IN…インターネット
LH1,LH2…暗号鍵設定システム
MR1,MR2…セキュリティ通信エリア
PV…プロバイダ
QJ…設定情報
SV…サーバ

Claims (20)

  1. 無線LAN接続用デバイスを備えた端末をネットワークに接続するための無線LAN用の中継器であり、前記端末との間での無線通信を、所定の暗号鍵によって暗号化された無線通信データを用いて行なうアクセスポイントであって、
    所定の操作がなされたとき、前記ネットワークへの接続設定が未設定状態であるか否かを判断する判断手段と、
    該判断手段により前記ネットワークの接続設定が未設定状態であると判断されたとき、前記端末に固有の情報が含まれた初期設定パケットのみを受信するモードである限定受信モードを実行するモード実行手段と、
    該限定受信モードの実行中に、第1の前記端末から送信された前記初期設定パケットを受信したとき、前記初期設定パケットに含まれた前記固有の情報に基づいて初期設定パケットを送信した第1の端末を特定する端末特定手段と、
    該端末特定手段により特定された第1の端末との通信に先立って、該第1の端末との通信に用いられる前記暗号鍵を、前記初期設定パケットの送信後に前記第1の端末側で該端末に固有の情報を用いて設定される暗号鍵に対応する値に設定する暗号鍵設定手段と
    を備えたアクセスポイント。
  2. 前記限定受信モードは、位置確認のためのビーコン信号を発信しない状態で、前記初期設定パケットを待ち受けるモードである請求項1に記載のアクセスポイント。
  3. 前記限定受信モードの実行中であることを視認可能に表示する表示手段を備えた請求項1または2のいずれかに記載のアクセスポイント。
  4. 請求項1ないし3のいずれかに記載のアクセスポイントであって、
    前記暗号鍵の設定後に、前記限定受信モードを、前記端末と無線で交信可能なモードである無線交信モードに切り換えるモード切換手段と、
    該無線交信モードへの切り換え後に、前記第1の端末から、前記ネットワークへの接続設定に関する接続設定データが該第1の端末側で設定された暗号鍵によって暗号化されて送信されたとき、該接続設定データを受信すると共に、該接続設定データを前記暗号鍵設定手段により設定された暗号鍵を用いて復号し、該復号された接続設定データに基づいて前記第1の端末についての前記接続設定を自動的に行なう接続設定手段と
    を備えたアクセスポイント。
  5. 請求項1ないし4のいずれかに記載のアクセスポイントであって、
    前記暗号鍵設定手段による暗号鍵の設定後に、前記アクセスポイントとの間で通用する暗号鍵が未だ設定されていない第2の前記端末から、該第2の端末に固有の情報が含まれた初期設定パケットが送信され、該初期設定パケットを受信した前記第1の端末から、前記第2の端末に固有の情報を含む追加登録データが、既に設定されている前記アクセスポイントとの間で通用する暗号鍵によって暗号化されて送信されたとき、該追加登録データを受信する暗号化データ受信手段と、
    該暗号化データ受信手段により受信した追加登録データを前記暗号鍵設定手段により設定された暗号鍵を用いて復号し、該復号された追加登録データに含まれた前記固有の情報に基づいて前記初期設定パケットを送信した第2の端末を特定する追加端末特定手段と、
    該追加端末特定手段により特定された第2の端末との通信に先立って、該第2の端末との通信に用いられる前記暗号鍵を、前記第2の端末からの初期設定パケットの送信後に前記第2の端末側で該端末に固有の情報を用いて設定される暗号鍵に対応する値に設定する追加設定手段と
    を備えたアクセスポイント。
  6. 前記追加設定手段による暗号鍵の設定後に、前記第2の端末から、前記ネットワークへの接続設定に関する接続設定データが該第2の端末側で設定された暗号鍵によって暗号化されて送信されたとき、該接続設定データを受信すると共に、該接続設定データを前記追加設定手段により設定された暗号鍵を用いて復号し、該復号された接続設定データに基づいて前記第2の端末についての前記接続設定を自動的に行なう追加接続設定手段を備えた請求項5に記載のアクセスポイント。
  7. 請求項1ないし6のいずれかに記載のアクセスポイントであって、
    前記端末から送信される初期設定パケットは、一時的に使用される暗号鍵である一時キーによって暗号化されており、
    前記暗号化された初期設定パケットを復号するための暗号鍵である仮キーを予め記憶する記憶手段を備え、
    前記端末特定手段または前記追加端末特定手段は、前記第1の端末または前記第2の端末から前記一時キーによって暗号化された前記初期設定パケットを受信したとき、該初期設定パケットを前記記憶された仮キーを用いて復号することにより該初期設定パケットに含まれた前記固有の情報を取得する情報取得手段を備えた
    アクセスポイント。
  8. 前記暗号鍵設定手段または前記追加設定手段により設定される暗号鍵の値は、前記第1の端末または前記第2の端末から前記初期設定パケットが送信された時間に関連付けて決定される請求項1ないし7のいずれかに記載のアクセスポイント。
  9. 無線LAN接続用デバイスを備え、請求項1ないし8のいずれかに記載のアクセスポイントとの間での無線通信を、所定の暗号鍵によって暗号化された無線通信データを用いて行なう端末であって、
    所定の指示に基づいて、前記端末に固有の情報が含まれた初期設定パケットを無線で送信する送信手段と、
    該送信手段により送信された初期設定パケットに含まれる前記固有の情報を受け取った前記アクセスポイントとの通信に先立って、該アクセスポイントとの通信に用いられる前記暗号鍵を、前記固有の情報を用いて設定する設定手段と
    を備えた端末。
  10. 前記送信手段による初期設定パケットの送信が、前記端末における所定のプログラムの起動に伴って行われる請求項9に記載の端末。
  11. 無線LAN用の中継器であるアクセスポイントと無線LAN接続用デバイスを備えた端末との間で無線で通信される無線通信データを通信に先立って暗号化する際に用いられる暗号鍵を、前記アクセスポイントおよび前記端末に設定する暗号鍵設定システムであって、
    前記端末は、
    所定の指示に基づいて、該端末に固有の情報が含まれた初期設定パケットを無線で送信する送信手段と、
    該送信手段による初期設定パケットの送信後、前記アクセスポイントとの通信に先立って、該アクセスポイントとの通信に用いられる前記暗号鍵を、前記端末に固有の情報に基づいて所定の値に設定する設定手段とを備え、
    前記アクセスポイントは、
    所定の操作がなされたとき、前記ネットワークへの接続設定が未設定状態であるか否かを判断する判断手段と、
    該判断手段により前記ネットワークの接続設定が未設定状態であると判断されたとき、前記初期設定パケットのみを受信するモードである限定受信モードを実行するモード実行手段と、
    該限定受信モードの実行中に前記初期設定パケットを受信したとき、該初期設定パケットに含まれた前記固有の情報に基づいて初期設定パケットを送信した端末を特定する端末特定手段と、
    該端末特定手段により特定された端末との通信に先立って、該端末との通信に用いられる前記暗号鍵を、前記設定手段により端末側で設定される暗号鍵に対応する値に設定する暗号鍵設定手段と
    を備えた暗号鍵設定システム。
  12. 請求項11に記載の暗号鍵設定システムであって、
    前記端末は、前記設定手段による暗号鍵の設定後に、前記ネットワークへの接続設定に関する接続設定データを、該端末側で設定された暗号鍵によって暗号化して送信する接続設定データ送信手段を備え、
    前記アクセスポイントは、
    前記暗号鍵設定手段による暗号鍵の設定後に、前記限定受信モードを、前記端末と無線で交信可能なモードである無線交信モードに切り換えるモード切換手段と、
    該無線交信モードへの切り換え後に、前記端末から送信された前記接続設定データを受信した場合に、該接続設定データを前記暗号鍵設定手段により設定された暗号鍵を用いて復号し、該復号された接続設定データに基づいて前記端末についての前記接続設定を自動的に行なう接続設定手段と
    を備えた暗号鍵設定システム。
  13. 請求項11または12に記載の暗号鍵設定システムであって、
    前記端末として、前記アクセスポイントとの間で通用する暗号鍵が既に設定されている第1の端末と、前記アクセスポイントとの間で通用する暗号鍵が未だ設定されていない第2の端末とを備え、
    前記第1の端末は、
    前記第2の端末から送信された、該第2の端末に固有の情報を含む前記初期設定パケットを受信するパケット受信手段と、
    該初期設定パケットの受信後に、前記第2の端末に固有の情報を含む追加登録データを、前記アクセスポイントとの間で通用する暗号鍵によって暗号化して、前記アクセスポイントに送信する追加登録データ送信手段とを備え、
    前記アクセスポイントは、
    前記追加登録データを受信し、該追加登録データを前記暗号鍵設定手段により設定された暗号鍵を用いて復号し、該復号された追加登録データに含まれた前記固有の情報に基づいて前記初期設定パケットを送信した第2の端末を特定する追加端末特定手段と、
    該追加端末特定手段により特定された第2の端末との通信に先立って、該第2の端末との通信に用いられる前記暗号鍵を、前記設定手段によって前記第2の端末側で該端末に固有の情報を用いて設定される暗号鍵に対応する値に設定する追加設定手段と
    を備えた暗号鍵設定システム。
  14. 請求項13に記載の暗号鍵設定システムであって、
    前記第2の端末は、前記追加設定手段による暗号鍵の設定後に、前記ネットワークへの接続設定に関する接続設定データを該第2の端末側で設定された暗号鍵によって暗号化して送信する追加接続設定データ送信手段を備え、
    前記アクセスポイントは、前記接続設定データを受信すると共に、該接続設定データを前記追加設定手段により設定された暗号鍵を用いて復号し、該復号された接続設定データに基づいて前記第2の端末についての前記接続設定を自動的に行なう追加接続設定手段を備えた
    暗号鍵設定システム。
  15. 無線LAN用の中継器であるアクセスポイントと無線LAN接続用デバイスを備えた端末との間で無線で通信される無線通信データを通信に先立って暗号化する際に用いられる暗号鍵を、前記アクセスポイントおよび前記端末に設定する方法であって、
    前記端末が、
    所定の指示に基づいて、該端末に固有の情報が含まれた初期設定パケットを無線で送信し、
    該初期設定パケットの送信後、前記アクセスポイントとの通信に先立って、該アクセスポイントとの通信に用いられる前記暗号鍵を、前記端末に固有の情報に基づいて所定の値に設定し、
    前記アクセスポイントが、
    所定の操作がなされたとき、前記ネットワークへの接続設定が未設定状態であるか否かを判断し、
    前記ネットワークの接続設定が未設定状態であると判断されたとき、前記初期設定パケットのみを受信するモードである限定受信モードを実行し、
    該限定受信モードの実行中に前記初期設定パケットを受信したとき、該初期設定パケットに含まれた前記固有の情報に基づいて初期設定パケットを送信した端末を特定し、
    該特定された端末との通信に先立って、該端末との通信に用いられる前記暗号鍵を、前記端末側で設定される暗号鍵に対応する値に設定する
    暗号鍵設定方法。
  16. 請求項15に記載の暗号鍵設定方法であって、
    前記端末は、該端末への暗号鍵の設定後に、前記ネットワークへの接続設定に関する接続設定データを、該端末側で設定された暗号鍵によって暗号化して送信し、
    前記アクセスポイントは、
    該アクセスポイントへの暗号鍵の設定後に、前記限定受信モードを、前記端末と無線で交信可能なモードである無線交信モードに切り換え、
    該無線交信モードへの切り換え後に、前記端末から送信された前記接続設定データを受信した場合に、該接続設定データを前記アクセスポイントに設定された暗号鍵を用いて復号し、該復号された接続設定データに基づいて前記端末についての前記接続設定を自動的に行なう
    暗号鍵設定方法。
  17. 請求項15または16に記載の暗号鍵設定方法であって、
    前記端末として、前記アクセスポイントとの間で通用する暗号鍵が既に設定されている第1の端末と、前記アクセスポイントとの間で通用する暗号鍵が未だ設定されていない第2の端末とを備え、
    前記第1の端末が、
    前記第2の端末から送信された、該第2の端末に固有の情報を含む前記初期設定パケットを受信し、
    該初期設定パケットの受信後に、前記第2の端末に固有の情報を含む追加登録データを、前記アクセスポイントとの間で通用する暗号鍵によって暗号化して、前記アクセスポイントに送信し、
    前記アクセスポイントが、
    前記追加登録データを受信し、該追加登録データを前記アクセスポイントに設定された暗号鍵を用いて復号し、該復号された追加登録データに含まれた前記固有の情報に基づいて前記初期設定パケットを送信した第2の端末を特定し、
    該特定された第2の端末との通信に先立って、該第2の端末との通信に用いられる前記暗号鍵を、前記初期設定パケットの送信後に第2の端末側で該端末に固有の情報を用いて設定される暗号鍵に対応する値に設定する
    暗号鍵設定方法。
  18. 請求項17に記載の暗号鍵設定方法であって、
    前記第2の端末が、該第2の端末への暗号鍵の設定後に、前記ネットワークへの接続設定に関する接続設定データを該第2の端末側で設定された暗号鍵によって暗号化して送信し、
    前記アクセスポイントが、該接続設定データを受信すると共に、該接続設定データを前記アクセスポイントに設定された暗号鍵を用いて復号し、該復号された接続設定データに基づいて前記第2の端末についての前記接続設定を自動的に行なう
    暗号鍵設定方法。
  19. 請求項15ないし18のいずれかに記載の暗号鍵設定方法において前記アクセスポイントおよび前記端末の少なくとも一方が行なう動作の内容を、コンピュータによる読み取り可能な形式で記述したプログラム。
  20. 無線LAN用の中継器であるアクセスポイントと無線LAN接続用デバイスを備えた端末との間で無線で通信される無線通信データを通信に先立って暗号化する際に用いられる暗号鍵を、前記アクセスポイントおよび前記端末に設定する暗号鍵設定システムであって、
    前記無線通信データの無線通信範囲よりも狭い通信範囲を有するRFIDを構成するタグであって、前記端末と前記アクセスポイントの間で用いられる暗号鍵に関する情報が記憶されたRFIDタグを備え、
    前記アクセスポイント,前記端末のそれぞれが、
    前記RFIDタグに記憶された前記暗号鍵に関する情報を取得する情報取得手段と、
    該情報取得手段により取得された情報に基づいて、前記端末とアクセスポイントの間で用いられる暗号鍵を自己に設定する自己設定手段と
    を備えた暗号鍵設定システム。
JP2009039310A 2009-02-23 2009-02-23 アクセスポイント、端末、暗号鍵設定システム、暗号鍵設定方法、および、プログラム Pending JP2009124751A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009039310A JP2009124751A (ja) 2009-02-23 2009-02-23 アクセスポイント、端末、暗号鍵設定システム、暗号鍵設定方法、および、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009039310A JP2009124751A (ja) 2009-02-23 2009-02-23 アクセスポイント、端末、暗号鍵設定システム、暗号鍵設定方法、および、プログラム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2003378322A Division JP4290529B2 (ja) 2003-11-07 2003-11-07 アクセスポイント、端末、暗号鍵設定システム、暗号鍵設定方法、および、プログラム

Publications (1)

Publication Number Publication Date
JP2009124751A true JP2009124751A (ja) 2009-06-04

Family

ID=40816332

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009039310A Pending JP2009124751A (ja) 2009-02-23 2009-02-23 アクセスポイント、端末、暗号鍵設定システム、暗号鍵設定方法、および、プログラム

Country Status (1)

Country Link
JP (1) JP2009124751A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014034265A1 (ja) * 2012-08-27 2014-03-06 日本電気株式会社 データ共有システム、端末装置、端末識別情報表示方法、並びにそのプログラム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07327029A (ja) * 1994-05-31 1995-12-12 Fujitsu Ltd 暗号化通信システム
JPH11220462A (ja) * 1998-01-30 1999-08-10 Toppan Printing Co Ltd 暗号処理装置及び復号処理装置並びに記録媒体
JP2001189722A (ja) * 2000-01-04 2001-07-10 Toshiba Corp 無線通信システム、無線端末、無線基地局、認証カード、および認証方法
JP2002281040A (ja) * 2001-03-19 2002-09-27 Sony Corp ネットワークシステム、ルータ、端末装置、通信方法、プログラムおよび記録媒体
JP2003229872A (ja) * 2001-11-27 2003-08-15 Sony Corp 通信装置および方法、記録媒体、並びにプログラム
JP2003258790A (ja) * 2002-03-04 2003-09-12 Canon Inc 無線通信システムおよびその制御方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07327029A (ja) * 1994-05-31 1995-12-12 Fujitsu Ltd 暗号化通信システム
JPH11220462A (ja) * 1998-01-30 1999-08-10 Toppan Printing Co Ltd 暗号処理装置及び復号処理装置並びに記録媒体
JP2001189722A (ja) * 2000-01-04 2001-07-10 Toshiba Corp 無線通信システム、無線端末、無線基地局、認証カード、および認証方法
JP2002281040A (ja) * 2001-03-19 2002-09-27 Sony Corp ネットワークシステム、ルータ、端末装置、通信方法、プログラムおよび記録媒体
JP2003229872A (ja) * 2001-11-27 2003-08-15 Sony Corp 通信装置および方法、記録媒体、並びにプログラム
JP2003258790A (ja) * 2002-03-04 2003-09-12 Canon Inc 無線通信システムおよびその制御方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014034265A1 (ja) * 2012-08-27 2014-03-06 日本電気株式会社 データ共有システム、端末装置、端末識別情報表示方法、並びにそのプログラム

Similar Documents

Publication Publication Date Title
JP4290529B2 (ja) アクセスポイント、端末、暗号鍵設定システム、暗号鍵設定方法、および、プログラム
JP4346413B2 (ja) 暗号鍵設定システム、アクセスポイント、および、暗号鍵設定方法
JP3610341B2 (ja) ネットワーク機器及び遠隔制御中継サーバ
JP5329771B2 (ja) Wpa−psk環境の無線ネットワークでステーションを管理する方法及びその装置
KR100679212B1 (ko) 암호키 설정 시스템, 액세스포인트, 암호키 설정 방법, 및인증 코드 설정 시스템
JP4978895B2 (ja) 接続パラメータ設定システム、その方法及びサーバ
JP4667739B2 (ja) 暗号鍵設定システム、アクセスポイント、無線lan端末、および、暗号鍵設定方法
KR100881938B1 (ko) 다중 스마트 카드 세션을 관리하는 시스템 및 방법
TW200412111A (en) Key setup system, access point, key setup method and authentication ID setup system
JP4405309B2 (ja) アクセスポイント、無線lan接続方法、無線lan接続プログラムを記録した媒体および無線lanシステム
KR20100071209A (ko) 디바이스 태그 기반의 디바이스 인증 장치 및 방법
KR20170124953A (ko) 암호화된 otp를 모바일폰에서 지문 등을 이용하여 복호화하여 사용자 인증을 자동화하는 방법과 그 시스템
KR20130031435A (ko) 휴대용 단말의 암호화 키 생성 및 관리 방법 및 그 장치
JP2006191403A (ja) セキュリティ情報の交換方法およびレコーダ装置ならびにテレビ受像機
JP2003338814A (ja) 通信システム、管理サーバおよびその制御方法ならびにプログラム
JP5388088B2 (ja) 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。
KR102171377B1 (ko) 로그인 제어 방법
KR101172876B1 (ko) 사용자 단말기와 서버 간의 상호 인증 방법 및 시스템
JP2009124751A (ja) アクセスポイント、端末、暗号鍵設定システム、暗号鍵設定方法、および、プログラム
JP4480478B2 (ja) アクセスポイントおよび外部記憶装置を含むシステム、アクセスポイント、無線lan接続方法、無線lan接続プログラムを記録した媒体および無線lanシステム
JP2002208921A (ja) Vpnデータ通信方法および私設網構築システム
JP2006005397A (ja) アクセスポイント、無線lan接続方法、無線lan接続プログラムを記録した媒体および無線lanシステム
JP7045040B2 (ja) 通信端末
KR20130041033A (ko) 휴대용 단말의 암호화 키 생성 및 관리 방법 및 그 장치
JP2010117988A (ja) 高度な認証およびセキュアーな仮想化ネットワーク形成のシステムおよび方法

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090325

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090325

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110517

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110714

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110823

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111122

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20111129

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20111228