JP2011004039A - 無線lan暗号化通信システム - Google Patents
無線lan暗号化通信システム Download PDFInfo
- Publication number
- JP2011004039A JP2011004039A JP2009144114A JP2009144114A JP2011004039A JP 2011004039 A JP2011004039 A JP 2011004039A JP 2009144114 A JP2009144114 A JP 2009144114A JP 2009144114 A JP2009144114 A JP 2009144114A JP 2011004039 A JP2011004039 A JP 2011004039A
- Authority
- JP
- Japan
- Prior art keywords
- random number
- client terminal
- access point
- number table
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】暗号鍵の漏洩や暗号化通信の盗聴を抑止する無線LAN暗号化通信システムを得る。
【解決手段】無線LAN暗号化通信システムは、ネットワークに接続されているとともに暗号鍵を記述した乱数表及び乱数表の中の位置を特定して暗号鍵を抽出するための規則を記憶しているアクセスポイントと、アクセスポイント経由でネットワークと無線LANで接続されるとともに乱数表および規則と同一の乱数表および規則を記憶している少なくとも1つのクライアント端末と、を備え、クライアント端末は、認証要求信号を暗号鍵で暗号化してアクセスポイントに送信し、アクセスポイントは、受信した認証要求信号を暗号鍵で復号するとともにクライアント端末をネットワークに接続することを適正として認証した場合に、新たな暗号鍵を乱数表から抽出して承認信号を暗号鍵で暗号化してクライアント端末に送信する。
【選択図】図1
【解決手段】無線LAN暗号化通信システムは、ネットワークに接続されているとともに暗号鍵を記述した乱数表及び乱数表の中の位置を特定して暗号鍵を抽出するための規則を記憶しているアクセスポイントと、アクセスポイント経由でネットワークと無線LANで接続されるとともに乱数表および規則と同一の乱数表および規則を記憶している少なくとも1つのクライアント端末と、を備え、クライアント端末は、認証要求信号を暗号鍵で暗号化してアクセスポイントに送信し、アクセスポイントは、受信した認証要求信号を暗号鍵で復号するとともにクライアント端末をネットワークに接続することを適正として認証した場合に、新たな暗号鍵を乱数表から抽出して承認信号を暗号鍵で暗号化してクライアント端末に送信する。
【選択図】図1
Description
この発明は、無線LAN暗号化通信システムに関し、特に、無線LANを構成するアクセスポイントとクライアント端末間で暗号化通信するための無線LAN暗号化通信システムに関する。
従来の無線LANの暗号化通信規格であるWPA(Wifi Protected Access)は大規模ネットワーク用暗号化通信方式と家庭及び小規模ネットワーク用暗号化通信方式の2種類を用意している。家庭及び小規模ネットワーク用暗号化通信方式は、クライアント端末がアクセスポイントに対して認証を要求する際に一時的に使用される事前共有鍵と認証後アクセスポイントから発行される認証鍵、更に一定期間でアクセスポイントから更新される更新鍵を用いて暗号化通信を行う(例えば、特許文献1参照)。
従来の無線LAN暗号化通信方式WPAでは、アクセスポイントはネットワークに接続されている。クライアント端末は、ネットワークに接続を開始する際に、アクセスポイントに対して認証要求を行う。当該認証は、事前に用意された事前共有鍵を用いて無線による暗号化通信を行ってクライアント端末からアクセスポイントに対して要求される。アクセスポイントによって認証が承認されると、アクセスポイントはクライアント端末に対して認証鍵を発行する。以降の暗号化通信はこの認証鍵を用いる。また、この認証鍵は一定期間でアクセスポイントから更新され、更新鍵として新たな認証鍵が発行される。更新後の暗号化通信はこの更新鍵を用いて行われる。
上記のような家庭や小規模ネットワークで用いられる従来の無線LAN暗号化通信方式WPAでは、事前共有鍵が第3者に漏洩した場合、認証から傍受すれば暗号化された通信が全て盗聴される危険性があるという問題点があった。また、認証鍵と更新鍵が無線区間で送受されるため、認証鍵と更新鍵が漏洩する危険性があるという問題点があった。
この発明は、かかる問題点を解決するためになされたものであり、暗号鍵の漏洩や暗号化通信の盗聴を抑止することが可能な無線LAN暗号化通信システムを得ることを目的とする。
この発明に係る無線LAN暗号化通信システムは、ネットワークに接続されているとともに暗号鍵を記述した乱数表及び上記乱数表の中の位置を特定して上記暗号鍵を抽出するための規則を記憶しているアクセスポイントと、上記アクセスポイント経由で上記ネットワークと無線LANで接続されるとともに上記乱数表および上記規則と同一の乱数表および規則を記憶している少なくとも1つのクライアント端末と、を備え、上記クライアント端末は、上記規則に従って上記乱数表の中の位置を特定して上記暗号鍵を抽出するとともに認証要求信号を上記暗号鍵で暗号化して上記アクセスポイントに送信し、上記アクセスポイントは、上記認証要求信号を受信したときに、上記規則に従って上記乱数表の中の位置を特定して上記暗号鍵を抽出して受信した上記認証要求信号を上記暗号鍵で復号するとともに上記クライアント端末を上記ネットワークに接続することを適正として認証した場合に、新たな暗号鍵を上記乱数表から抽出して承認信号を上記暗号鍵で暗号化して上記クライアント端末に送信するとともに、上記クライアント端末を上記ネットワークに接続する。
この発明に係る無線LAN暗号化通信システムは、暗号鍵を記述した共通の乱数表をアクセスポイントとクライアント端末とが互いに備え、アクセスポイントとクライアント端末とが乱数表4から暗号鍵をそれぞれ別個に抽出するようにしたので、暗号鍵は無線区間で送受されないため、暗号鍵の漏洩を抑止する効果がある。
また、乱数表を参照して暗号鍵を生成する際に、日時、送信元MACアドレス、認証ID、および、認証パスワードを基に、乱数表の中の位置を特定して暗証鍵を参照するようにしたので、乱数表が第3者に万一漏洩した場合でも、暗号鍵は常時変化する惰報である日時と固有の情報である送信元MACアドレス、クライアント端末を通じてネットワークにアクセスする利用者本人のみが記憶する認証ID、および、認証パスワードを基に、乱数表から生成されるため、第3者は乱数表の中の位置を特定することが困難になり、暗号化通信が盗聴および解読されることを抑止する効果がある。
以下、この発明の無線LAN暗号化通信システムの好適な実施の形態につき図面を用いて説明する。
実施の形態1.
図1は、この発明の実施の形態1に係る無線LAN暗号化通信システムの構成を示す構成図である。
アクセスポイント2はネットワーク1に接続されている。クライアント端末3はアクセスポイント2経由でネットワーク1と無線LAN(Local Area Network)にて接続される。アクセスポイント2とクライアント端末3は共に、暗号鍵を記述した同一内容の乱数表4を備えている。乱数表4は、その中の各位置に対して1対1で暗号鍵が予め設定されているので、乱数表4内の位置を指定すれば、暗号鍵が抽出され決定される。
実施の形態1.
図1は、この発明の実施の形態1に係る無線LAN暗号化通信システムの構成を示す構成図である。
アクセスポイント2はネットワーク1に接続されている。クライアント端末3はアクセスポイント2経由でネットワーク1と無線LAN(Local Area Network)にて接続される。アクセスポイント2とクライアント端末3は共に、暗号鍵を記述した同一内容の乱数表4を備えている。乱数表4は、その中の各位置に対して1対1で暗号鍵が予め設定されているので、乱数表4内の位置を指定すれば、暗号鍵が抽出され決定される。
また、クライアント端末3とアクセスポイント2は、暗号鍵を抽出するための事前に決定された所定の同一の規則をそれぞれ記憶している。該規則は、アクセスした日時と、送信元MAC(Medium Access Control)アドレス、認証ID(Identification)、および、認証パスワードを用いて、乱数表4の位置を特定し、暗号鍵を抽出する。
これの乱数表4および規則は、磁気ディスクや光ディスク、または、IC(Integrated Circuit)カード等の電子記憶媒体に記憶されており、それらを使って、アクセスポイント2とクライアント端末3に予め保存(インストール)される。
クライアント端末3とアクセスポイント2は、それぞれ別個にアクセスした日時と、送信元MACアドレス、認証ID、および、認証パスワードから、事前に決められた規則に基づき、乱数表4の中の位置を特定する。その特定された乱数表4の位置から暗号鍵を抽出して、無線LAN暗号化通信を行う。
これの乱数表4および規則は、磁気ディスクや光ディスク、または、IC(Integrated Circuit)カード等の電子記憶媒体に記憶されており、それらを使って、アクセスポイント2とクライアント端末3に予め保存(インストール)される。
クライアント端末3とアクセスポイント2は、それぞれ別個にアクセスした日時と、送信元MACアドレス、認証ID、および、認証パスワードから、事前に決められた規則に基づき、乱数表4の中の位置を特定する。その特定された乱数表4の位置から暗号鍵を抽出して、無線LAN暗号化通信を行う。
図2は、この発明の実施の形態1に係る無線LAN暗号化通信システムでの暗号化通信の手順を示す手順図である。左から、クライアント端末3およびアクセスポイント2をそれぞれ示している。
まず、実施の形態1における無線LAN暗号化通信を行うにあたり、乱数表4の参照(すなわち、位置の特定および抽出)に日時を使用しているため、クライアント端末3は認証前にアクセスポイント2に日時調整要求を行う。
アクセスポイント2は日時調整応答を返答する。
クライアント端末3は、アクセスポイント2が返答した日時調整応答で日時をアクセスポイント2と一致させる。
まず、実施の形態1における無線LAN暗号化通信を行うにあたり、乱数表4の参照(すなわち、位置の特定および抽出)に日時を使用しているため、クライアント端末3は認証前にアクセスポイント2に日時調整要求を行う。
アクセスポイント2は日時調整応答を返答する。
クライアント端末3は、アクセスポイント2が返答した日時調整応答で日時をアクセスポイント2と一致させる。
クライアント端末3は、アクセスポイント2に対するアクセスを開始した現在の日時、送信元MACアドレス、認証ID、および、認証パスワードに基づき、事前に決められた規則に従って、乱数表4の中の位置を特定する。その特定された乱数表4の中の位置から暗号鍵を抽出して、アクセスポイント2に送信するための認証要求信号を暗号化して、アクセスポイント2に送信する。認証要求信号は送信元MACアドレスを含むMACヘッダと、認証ID、認証パスワード等を含むペイロードで構成され、ペイロードを暗号化して、MACヘッダは暗号化しない。
アクセスポイント2は、クライアント端末3から送信された暗号化された認証要求信号を受信すると、認証要求信号の暗号化されていないMACヘッダから送信元MACアドレスを抽出する。アクセスポイント2は、認証してよい適正な全てのクライアント端末3の認証IDと認証パスワード、送信元MACアドレスが記載されているリストを有している。認証要求を行ったクライアント端末3の送信元MACアドレスを基にリストから認証IDと認証パスワードを抽出する。クライアント端末3の送信元MACアドレス、認証ID、認証パスワード、および、アクセスポイント2が認証要求信号を受信した日時を用いて、同じ規則に基づき、乱数表4の中の位置を特定して暗号鍵を抽出する。
ただし、クライアント端末3が認証要求信号を送信した日時とアクセスポイント2が認証要求信号を受信した日時には偏差が存在するため、アクセスポイント2は、認証要求信号を受信した日時と、1秒前後の偏差を考慮した日時に対する3つの暗号鍵を抽出する。この3つの暗号鍵の内1つは、クライアント端末3が暗号化に用いたものと同じものであるので、アクセスポイント2は3つの内1つの暗号鍵で、受信した認証要求信号のペイロードを解読(復号)できる。
アクセスポイント2は、認証要求のあったクライアント端末3をネットワーク1に接続させることが適正であるか否かを判断する。そして、この判断は次のように行う。例えば、アクセスポイント2は、認証要求のあったクライアント端末3の認証IDと認証パスワードが、認証してよい適正な全てのクライアント端末の認証IDと認証パスワード、MACアドレスが記載されているリストの中にあれば適正と判断し、リストの中になければ適正でないと判断する。
判断の結果、アクセスポイント2は、クライアント端末3をネットワーク1に接続させることを適正と判断した場合、クライアント端末3に承認を示す承認信号を生成して、改めて、現在の日時、送信元MACアドレス、認証ID、および、認証パスワードを用いて、事前に決められた規則に基づき、乱数表4の中の位置を特定して、乱数表4から新たな暗号鍵を抽出し、得られた暗号鍵で承認信号のペイロードを暗号化して、送信する。
判断の結果、アクセスポイント2は、クライアント端末3をネットワーク1に接続させることを適正と判断した場合、クライアント端末3に承認を示す承認信号を生成して、改めて、現在の日時、送信元MACアドレス、認証ID、および、認証パスワードを用いて、事前に決められた規則に基づき、乱数表4の中の位置を特定して、乱数表4から新たな暗号鍵を抽出し、得られた暗号鍵で承認信号のペイロードを暗号化して、送信する。
承認信号を受信したクライアント端末3は、承認信号の暗号化されていないMACヘッダから送信元MACアドレスを抽出して、認証信号の受信日時と送信MACアドレス、認証ID、および認証パスワードから同じ規則に基づき、乱数表4の位置を特定して暗号鍵を抽出する。ここで、アクセスポイント2が承認信号を送信した日時と、クライアント端末3が受信した日時の間には偏差が存在するため、先のアクセスポイント2の複合と同様に、この偏差を考慮した3つの暗号鍵を用意する。
この3つの暗号鍵の内1つで、アクセスポイント2から受信した承認信号を解読(復号)できる。これにより、アクセスポイント2は、クライアント端末3をネットワーク1に接続する。
この3つの暗号鍵の内1つで、アクセスポイント2から受信した承認信号を解読(復号)できる。これにより、アクセスポイント2は、クライアント端末3をネットワーク1に接続する。
以降の通信は、認証要求と承認の暗号化通信と同様の方式を使用する。すなわち、クライアント端末3とアクセスポイント2とは、互いに、日時、送信元MACアドレス、認証ID、認証パスワードから、同じ規則に基づき、乱数表4の中の位置を特定して暗号鍵を抽出し、送信データのペイロードを暗号鍵で暗号化して送信するとともに、受信した受信データを同様の方法で得る暗号鍵で受信データのペイロードを解読(復号)する。
また、認証後の通信において、暗号鍵や規則が漏洩した場合の予防策として、アクセスポイント2は自身が記憶している乱数表4を参照するための規則を更新するとともに、クライアント端末3に当該規則の更新を通知するための通知信号を送信する。
この通知信号は、規則の変更箇所または変更内容(変更ルール)のみを送信してもよく、あるいは、更新された規則全体を送信するようにしてもよい。いずれも、暗号化して送信することが望ましい。この通知以降、アクセスポイント2とクライアント端末3は更新された規則に基づき乱数表4の中の位置を特定して暗号鍵を参照し、通信を暗号化および解読(復号)する。この乱数表4を参照する規則の変更は定期的あるいは不定期に実施される。
この通知信号は、規則の変更箇所または変更内容(変更ルール)のみを送信してもよく、あるいは、更新された規則全体を送信するようにしてもよい。いずれも、暗号化して送信することが望ましい。この通知以降、アクセスポイント2とクライアント端末3は更新された規則に基づき乱数表4の中の位置を特定して暗号鍵を参照し、通信を暗号化および解読(復号)する。この乱数表4を参照する規則の変更は定期的あるいは不定期に実施される。
このように暗号鍵は無線で送信されることなく、常時変化する日時や、固有の送信元MACアドレス、認証ID、認証パスワードを基に、クライアント端末3およびアクセスポイント2のそれぞれにおいて乱数表4を参照する。また、認証後の通信において、万一に備えて、乱数表4の参照規則も常時更新される。また、乱数表4は磁気ディスクや光ディスク、または、ICカード等の電子記憶媒体を使って、無線で送信されることなく、アクセスポイント2とクライアント端末3に保存される。従って、第3者は暗号鍵を取得することが困難になり、暗号化通信が盗聴されることを抑止する。
以上のように、この発明の実施の形態1によれば、暗号鍵を記述した共通の乱数表4をアクセスポイント2とクライアント端末3とが互いに備え、アクセスポイント2とクライアント端末3とが乱数表4から暗号鍵をそれぞれ別個に抽出するようにしたので、暗号鍵は無線区間で送受されないため、暗号鍵の漏洩を抑止する効果がある。
また、本実施の形態1によれば、乱数表4は、磁気ディスクや光ディスク、または、ICカード等の電子媒体を使ってアクセスポイント2とクライアント端末3に保存するようにしたので、無線区間を経由しないため、乱数表4から作成される暗号鍵の漏洩を抑止する効果がある。
また、本実施の形態1によれば、乱数表4を参照して暗号鍵を生成する際に、日時、送信元MACアドレス、認証ID、および、認証パスワードを基に、乱数表4の中の位置を特定して暗証鍵を参照するようにしたので、乱数表4が第3者に万一漏洩した場合でも、暗号鍵は常時変化する情報である日時と固有の情報である送信元MACアドレス、クライアント端末3を通じてネットワーク1にアクセスする利用者本人のみが記憶する認証ID、および、認証パスワードを基に、乱数表4から生成されるため、第3者は乱数表4から暗号鍵の位置を特定することが困難になり、暗号化通信が盗聴および解読されることを抑止する効果がある。
また、本実施の形態1によれば、乱数表4の中の位置を特定するための規則を定期的あるいは不定期に変更するようにしたので、乱数表4が万一第3者に漏洩して、かつ、乱数表4の中の位置を特定する規則も漏洩した場合においても、乱数表4の中の位置を特定する規則が変更されるため、第3者は乱数表4から暗号鍵の位置を特定することが困難になり、暗号化通信が盗聴および解読されることを抑止する効果がある。
実施の形態2.
図3は、この発明の実施の形態2に係る無線LAN暗号化通信システムの構成を示す構成図である。
アクセスポイント2はネットワーク1に接続されている。同様に、認証サーバ5もネットワーク1に接続されている。クライアント端末3とクライアント端末6はアクセスポイント2経由でネットワーク1と無線LANにて接続される。クライアント端末3とクライアント端末6の送信元MACアドレス、認証IDおよび認証パスワードはそれぞれ互いに異なり、更に、それぞれが備えている乱数表4と乱数表7も異なる。認証サーバ5はすべての乱数表、すなわち、乱数表4と乱数表7の両方を備える。クライアント端末3がアクセスポイント2にアクセスした場合には、それを認証する前に、アクセスポイント2はクライアント端末3の送信元MACアドレスに対応した乱数表4を認証サーバ5から転送する。同様に、クライアント端末6がアクセスポイント2にアクセスした場合には、それを認証する前に、アクセスポイント2はクライアント端末6の送信元MACアドレスに対応した乱数表7を認証サーバ5から転送する。
図3は、この発明の実施の形態2に係る無線LAN暗号化通信システムの構成を示す構成図である。
アクセスポイント2はネットワーク1に接続されている。同様に、認証サーバ5もネットワーク1に接続されている。クライアント端末3とクライアント端末6はアクセスポイント2経由でネットワーク1と無線LANにて接続される。クライアント端末3とクライアント端末6の送信元MACアドレス、認証IDおよび認証パスワードはそれぞれ互いに異なり、更に、それぞれが備えている乱数表4と乱数表7も異なる。認証サーバ5はすべての乱数表、すなわち、乱数表4と乱数表7の両方を備える。クライアント端末3がアクセスポイント2にアクセスした場合には、それを認証する前に、アクセスポイント2はクライアント端末3の送信元MACアドレスに対応した乱数表4を認証サーバ5から転送する。同様に、クライアント端末6がアクセスポイント2にアクセスした場合には、それを認証する前に、アクセスポイント2はクライアント端末6の送信元MACアドレスに対応した乱数表7を認証サーバ5から転送する。
図4は、この発明の実施の形態2に係る無線LAN暗号化通信システムでの暗号化通信の手順を示す手順図である。左から順にクライアント端末3、アクセスポイント2、認証サーバ5をそれぞれ示している。なお、クライアント端末3とクライアント端末6とは同様の動作を行うため、以下の説明では、クライアント端末3の動作のみを説明する。
クライアント端末3は認証前にアクセスポイント2に日時調整要求を行い、アクセスポイント2が返答した日時調整応答でクライアント端末3の日時をアクセスポイント2と一致させる。
アクセスポイント2は、クライアント端末3の暗号化通信を解読するため、クライアント端末3に対応した乱数表4、認証ID、および、認証パスワードを入手する必要がある。そこで、アクセスポイント2は、クライアント端末3から送信された日時調整要求信号のパケットから送信元MACアドレスを入手し、認証サーバ5からクライアント端末3の乱数表4、認証ID、および、認証パスワードを入手する。
アクセスポイント2は、クライアント端末3の暗号化通信を解読するため、クライアント端末3に対応した乱数表4、認証ID、および、認証パスワードを入手する必要がある。そこで、アクセスポイント2は、クライアント端末3から送信された日時調整要求信号のパケットから送信元MACアドレスを入手し、認証サーバ5からクライアント端末3の乱数表4、認証ID、および、認証パスワードを入手する。
クライアント端末3は、日時、送信元MACアドレス、認証ID、および、認証パスワードから、事前に決められた規則に基づき、乱数表4の中の位置を特定する。その特定された乱数表4の中の位置から暗号鍵を抽出して、この暗号鍵で認証要求信号を暗号化してアクセスポイント2に送信する。認証要求信号は送信元MACアドレスを含むMACヘッダと、認証ID、パスワード等を含むペイロードで構成され、ペイロードを暗号化して、MACヘッダは暗号化しない。アクセスポイント2は受信した認証要求信号の暗号化されていないMACヘッダから送信元MACアドレスを抽出して、先に認証サーバ5から入手したクライアント端末3の乱数表4、認証ID、認証パスワードを特定する。アクセスポイント2は、アクセスポイント2が認証要求信号を受信した日時、クライアント端末3の送信元MACアドレス、認証ID、および、認証パスワードから、クライアント端末3と同じ規則に基づき、乱数表4の位置を特定して暗号鍵を抽出する。
ただし、クライアント端末3が認証要求信号を送信した日時とアクセスポイント2が認証要求信号を受信した日時には偏差が存在するため、アクセスポイント2は、認証要求信号を受信した日時と、1秒前後の偏差を考慮した3つの日時に対する3つの暗号鍵を抽出する。そして、抽出した3つの暗号鍵の内1つの暗号鍵は、クライアント端末3が認証要求信号を暗号化に用いたものと同じものであるので、アクセスポイント2は3つの暗号鍵の内1つの暗号鍵で、クライアント端末3から受信した認証要求信号のペイロードを解読(復号)できる。
アクセスポイント2は、認証サーバ5にクライアント端末3の認証要求を発行し、その認証要求に応答する承認を示す承認信号を受けた後、クライアント端末3に承認を示す承認信号を送信する。
この時、現在の日時、送信元MACアドレス、認証ID、および、認証パスワードから同じ規則に基づき、乱数表4の中の位置を特定して新たな暗号鍵を抽出し、この暗号鍵でこの承認信号のペイロードを暗号化する。
この時、現在の日時、送信元MACアドレス、認証ID、および、認証パスワードから同じ規則に基づき、乱数表4の中の位置を特定して新たな暗号鍵を抽出し、この暗号鍵でこの承認信号のペイロードを暗号化する。
承認信号を受信したクライアント端末3は、この承認信号の暗号化されていないMACヘッダから送信元MACアドレスを抽出して、この承認信号の受信日時と送信MACアドレス、認証ID、および、認証パスワードから同じ規則に基づき乱数表4の中の位置を特定して暗号鍵を抽出する。ここで、アクセスポイント2が承認信号を送信した日時と、クライアント端末3が承認信号を受信した日時の間には偏差が存在するため、先のアクセスポイント2での復号と同様に、この偏差を考慮した3つの暗号鍵を用意する。この3つの暗号鍵の内1つの暗号鍵で承認信号を解読(復号)できる。
以降の通信は、上述の実施の形態による暗号化通信と同様の方式を使用する。すなわち、クライアント端末3とアクセスポイント2とは、互いに、日時、送信元MACアドレス、認証ID、認証パスワードから、同じ規則に基づき、乱数表4の中の位置を特定して暗号鍵を抽出し、送信データのペイロードをこの暗号鍵で暗号化して送信するとともに、受信した受信データを同様の方法で得る暗号鍵で通信信号のペイロードを解読(復号)する。
上述のように、クライアント端末6がアクセスポイント2を経由してネットワーク1に接続する場合に、クライアント端末3と同様の手順で接続を行うが、乱数表4と乱数表7は異なるため、クライアント端末3とクライアント端末6は相互に暗号化通信を傍受することは出来ない。
また、アクセスポイント2が認証サーバ5から新たに乱数表を入手する時に、アクセスポイント2内にその乱数表を保存する余裕がない場合、アクセスポイント2は古い乱数表を削除して新しい乱数表を入手すればよい。このようにアクセスポイント2は乱数表の容量を制限することが出来るため、装置規模を小さくする効果がある。
以上のように、本実施の形態2によれば、上述の実施の形態1と同様の効果が得られるとともに、さらに、乱数表4、7をクライアント端末3、6ごとに異なるものにしたので、乱数表4、7は送信元MACアドレスに対して唯一無二であるため、他の乱数表から暗号鍵を複製することはできない。このため、暗号化通信が盗聴・解読されることを抑止する効果がある。
また、本実施の形態2によれば、各乱数表4、7を認証サーバ5に保管し、各クライアント端末3、6を認証する前に、アクセスポイント2が認証サーバ5に乱数表4、7を問い合わせるための照会信号を送信して、各クライアント端末3、6の送信元MACアドレスに対応する乱数表4、7を認証サーバ5からアクセスポイント2に転送するようにしたので、アクセスポイント2は必要に応じて乱数表4、7を認証サーバ5から転送することができるため、全ての乱数表4、7を保管する必要がなく、アクセスポイント2の装置規模を小さくできる効果がある。
実施の形態3.
図5は、この発明の実施の形態3に係る無線LAN暗号化通信システムの構成を示す構成図である。
アクセスポイント2はネットワーク1に接続されている。同様に、認証サーバ5もネットワーク1に接続されている。クライアント端末3とクライアント端末6はアクセスポイント2経由でネットワーク1と無線LANにて接続されている。クライアント端末3とクライアント端末6の送信元MACアドレス、認証IDおよび認証パスワードはそれぞれ互いに異なり、更に、それぞれが備えている乱数表4と乱数表7も異なる。認証サーバ5はすべての乱数表、すなわち、乱数表4と乱数表7の両方を備える。
図5は、この発明の実施の形態3に係る無線LAN暗号化通信システムの構成を示す構成図である。
アクセスポイント2はネットワーク1に接続されている。同様に、認証サーバ5もネットワーク1に接続されている。クライアント端末3とクライアント端末6はアクセスポイント2経由でネットワーク1と無線LANにて接続されている。クライアント端末3とクライアント端末6の送信元MACアドレス、認証IDおよび認証パスワードはそれぞれ互いに異なり、更に、それぞれが備えている乱数表4と乱数表7も異なる。認証サーバ5はすべての乱数表、すなわち、乱数表4と乱数表7の両方を備える。
アクセスポイント2とクライアント端末3、クライアント端末6はそれぞれGPSアンテナ8を備える。アクセスポイント2とクライアント端末3、クライアント端末6はそれぞれGPSから日時を取得する。クライアント端末3がアクセスポイント2にアクセスした場合には、それを認証する前に、アクセスポイント2はクライアント端末3の送信元MACアドレスに対応し乱数表4を認証サーバ5から転送する。同様に、クライアント端末6がアクセスポイント2にアクセスした場合には、それを認証する前に、アクセスポイント2はクライアント端末6の送信元MACアドレスに対応した乱数表7を認証サーバ5から転送する。
次に、図6は、この発明の実施の形態3に係る無線LAN暗号化通信システムでの暗号化通信方式の手順図を示している。左から順にクライアント端末3、アクセスポイント2、認証サーバ5をそれぞれ示している。なお、クライアント端末3とクライアント端末6とは同様の動作を行うため、以下の説明では、クライアント端末3の動作のみを説明する。
クライアント端末3は、GPSから取得した日時、送信元MACアドレス、認証ID、および、認証パスワードから、事前に決められた規則に基づき、乱数表4の位置を特定する。
その特定された乱数表4の位置から暗号鍵を抽出して、この暗号鍵で認証要求を暗号化してアクセスポイント2に送信する。認証要求信号は送信元MACアドレスを含むMACヘッダと、認証ID、パスワード等を含むペイロードで構成され、ペイロード部分を暗号化して、MACヘッダ部分は暗号化しない。アクセスポイント2は、クライアント端末3の暗号化通信を解読するため、クライアント端末3に対応した乱数表4、認証ID、および、認証パスワードを入手する必要がある。アクセスポイント2は受信した認証要求の暗号化されていないMACヘッダから送信元MACアドレスを抽出して、認証サーバ5からクライアント端末3の乱数表4、認証ID、および、認証パスワードを入手する。アクセスポイント2は、アクセスポイント2が認証要求信号を受信した時にGPSから取得した日時、クライアント端末3の送信元MACアドレス、認証ID、および、認証パスワードから、クライアント端末3と同じ規則に基づき、乱数表4の位置を特定して暗号鍵を参照する。
その特定された乱数表4の位置から暗号鍵を抽出して、この暗号鍵で認証要求を暗号化してアクセスポイント2に送信する。認証要求信号は送信元MACアドレスを含むMACヘッダと、認証ID、パスワード等を含むペイロードで構成され、ペイロード部分を暗号化して、MACヘッダ部分は暗号化しない。アクセスポイント2は、クライアント端末3の暗号化通信を解読するため、クライアント端末3に対応した乱数表4、認証ID、および、認証パスワードを入手する必要がある。アクセスポイント2は受信した認証要求の暗号化されていないMACヘッダから送信元MACアドレスを抽出して、認証サーバ5からクライアント端末3の乱数表4、認証ID、および、認証パスワードを入手する。アクセスポイント2は、アクセスポイント2が認証要求信号を受信した時にGPSから取得した日時、クライアント端末3の送信元MACアドレス、認証ID、および、認証パスワードから、クライアント端末3と同じ規則に基づき、乱数表4の位置を特定して暗号鍵を参照する。
ただし、クライアント端末3が認証要求信号を送信した日時とアクセスポイント2が認証要求信号を受信した日時には通信路の伝播遅延が発生するため、アクセスポイント2は、認証要求信号を受信したこの日時と、伝播遅延を考慮した1秒後の日時に対する2つの暗号鍵を用意する。上記2つの暗号鍵の内1つは、クライアント端末3が暗号化に用いたものと同じものであるので、アクセスポイント2は2つの内1つの暗号鍵で、クライアント端末3から受信した認証要求のペイロード部分を解読できる。アクセスポイント2は認証サーバ5にクライアント端末3の認証要求を発行して承認を示す承認信号を受けた後、クライアント端末3に承認を示す承認信号を発行する。この時、GPSから取得した日時、送信元MACアドレス、認証ID、および、認証パスワードから同じ規則に基づき、乱数表4の位置を特定して新たな暗号鍵を参照し、この暗号鍵でこの承認信号のペイロードを暗号化して、送信する。
承認信号を受信したクライアント端末3は、この承認信号の暗号化されていないMACヘッダから送信元MACアドレスを抽出して、この認証信号を受信した時にGPSから取得した日時と上記送信MACアドレス、認証ID、および、認証パスワードから同じ規則に基づき乱数表4の位置を特定して暗号鍵を抽出する。ここで、アクセスポイント2が承認信号を送信した日時と、クライアント端末3が受信した日時の間には通信路の伝播遅延が存在するため、先のアクセスポイント2の復号と同様に、この伝播遅延を考慮した2つの暗号鍵を用意する。この2つの暗号鍵の内1つで承認信号を解読できる。
以降の通信は、上述の実施の形態による暗号化通信と同様の方式を使用する。すなわち、クライアント端末3とアクセスポイント2とは、互いに、GPSから取得した日時、送信元MACアドレス、認証ID、認証パスワードから、同じ規則に基づき、乱数表4の位置を特定して暗号鍵を抽出し、送信データのペイロードをこの暗号鍵で暗号化して送信するとともに、受信した受信データを同様の方法で得る暗号鍵で通信信号のペイロード部分を解読(復号)する。
上述のように、クライアント端末6がアクセスポイント2を経由してネットワーク1に接続する場合に、クライアント端末3と同様の手順で接続を行うが、ただし、乱数表4と乱数表7は異なるため、クライアント端末3とクライアント端末6は相互に暗号化通信を傍受することは出来ない。
以上のように、本実施の形態によれば、上述の実施の形態2と同様の効果が得られるとともに、さらに、乱数表4、7の中の位置を特定する4つのパラーメータの内の日時をGPSから取得した日時にしたので、上述の実施の形態2では、復号側で暗号鍵を3つ用意していたが、本実施の形態では、復号側で暗号鍵を2つ用意するだけでよく、復号手順を削減する効果がある。
また、上述の実施の形態2では、認証要求の前にクライアント端末3はアクセスポイント2に日時調整要求を発行していたが、本実施の形態3によれば、乱数表4、7の位置を特定する4つのパラーメータの内の日時をGPSから取得した日時にしたので、日時調整要求を発行する必要が無く、復号手順を削減する効果がある。
実施の形態4.
本実施の形態においては、上記の実施の形態1または2、3の構成において、乱数表4の中の位置を特定する方法の一例について説明する。
最初に変数SHIFTを式(1)から求める。式(1)中の変数YEARはアクセス時の西暦の下2桁を示す8ビットの値である。同様に、変数DAYはアクセス時の日を示す8ビットの値である。変数MINUTEはアクセス時の分を示す8ビットの値である。変数SECONDはアクセス時の秒を示す8ビットの値である。
演算子andはビット単位の論理積を求める。また、演算子xorはビット単位の排他的論理和を求める。また、演算子orはビット単位の論理和を求める。
本実施の形態においては、上記の実施の形態1または2、3の構成において、乱数表4の中の位置を特定する方法の一例について説明する。
最初に変数SHIFTを式(1)から求める。式(1)中の変数YEARはアクセス時の西暦の下2桁を示す8ビットの値である。同様に、変数DAYはアクセス時の日を示す8ビットの値である。変数MINUTEはアクセス時の分を示す8ビットの値である。変数SECONDはアクセス時の秒を示す8ビットの値である。
演算子andはビット単位の論理積を求める。また、演算子xorはビット単位の排他的論理和を求める。また、演算子orはビット単位の論理和を求める。
SHIFT=(YEARandDAY)xor(MINUTEorSECOND)・・・(1)
次に、変数POINTを式(2)から求める。式(2)中の変数MACは送信元MACアドレスを示す24ビットの値から図7に示す方法で生成する。図7に示す送信元MACアドレスの値は16進数でAB1234hである。これを上位の桁から8ビット単位で排他的論理和をとる。その結果を変数MACの値とする。
式(2)中の変数IDは認証IDを示す文字列から図8に示す方法で生成する。図8に示す認証IDの文字列はNA34である。これから1文字毎にASCIIコード変換した8ビットの値を求める。これらの値から排他的論理和をとり、その結果を変数IDとする。
同様に、式(2)中の変数PASSWORDは認証パスワードを示す文字列から生成する。生成方法は変数IDと同じ方法で生成する。式(2)中の演算子lotは図9に示す方法で演算する。変数SHIFTの値が3の場合、被演算値のCghを上位の桁側に3回ビット単位で回転する。その結果4Ehを得る。
式(2)中の変数IDは認証IDを示す文字列から図8に示す方法で生成する。図8に示す認証IDの文字列はNA34である。これから1文字毎にASCIIコード変換した8ビットの値を求める。これらの値から排他的論理和をとり、その結果を変数IDとする。
同様に、式(2)中の変数PASSWORDは認証パスワードを示す文字列から生成する。生成方法は変数IDと同じ方法で生成する。式(2)中の演算子lotは図9に示す方法で演算する。変数SHIFTの値が3の場合、被演算値のCghを上位の桁側に3回ビット単位で回転する。その結果4Ehを得る。
POINT=(MACxorIDxorPASSWORD)lotSHIFT・・・(2)
最後に変数POINTから図10に示す方法で乱数表の中の位置を特定して、暗号鍵KEYを得る。乱数表4は256個の暗号鍵を備える。変数POINTの値が4Ehの場合、79番目のKEY78を参照する。この値を暗号鍵KEYとする。
以上のように、本実施の形態4によれば、乱数表を参照して暗号鍵を生成する際に、日時、送信元MACアドレス、認証ID、および、認証パスワードを用いて、クライアント端末3とアクセスポイント2にて別個に演算を行って、この演算から得られるPOINTの値を基に乱数表の中の位置を特定して暗証鍵を参照するようにして、暗号鍵を無線区間に送信しないようにしたので、乱数表が第3者に万一漏洩した場合でも、暗号鍵は常時変化する情報である日時と固有の情報である送信元MACアドレス、認証ID、および、認証パスワードを基に乱数表から生成されるため、第3者は乱数表から暗号鍵の位置を特定することが困難になり、暗号化通信が盗聴および解読されることを抑止する効果がある。
1 ネットワーク、2 アクセスポイント、3、6 クライアント端末、4、7 乱数表、5 認証サーバ、8 アンテナ。
Claims (7)
- ネットワークに接続されているとともに暗号鍵を記述した乱数表及び上記乱数表の中の位置を特定して上記暗号鍵を抽出するための規則を記憶しているアクセスポイントと、上記アクセスポイント経由で上記ネットワークと無線LANで接続されるとともに上記乱数表および上記規則と同一の乱数表および規則を記憶している少なくとも1つのクライアント端末と、を備え、
上記クライアント端末は、上記規則に従って上記乱数表の中の位置を特定して上記暗号鍵を抽出するとともに認証要求信号を上記暗号鍵で暗号化して上記アクセスポイントに送信し、
上記アクセスポイントは、上記認証要求信号を受信したときに、上記規則に従って上記乱数表の中の位置を特定して上記暗号鍵を抽出して受信した上記認証要求信号を上記暗号鍵で復号するとともに上記クライアント端末を上記ネットワークに接続することを適正として認証した場合に、新たな暗号鍵を上記乱数表から抽出して承認信号を上記暗号鍵で暗号化して上記クライアント端末に送信するとともに、上記クライアント端末を上記ネットワークに接続することを特徴とする無線LAN暗号化通信システム。 - 上記乱数表は、電子記憶媒体に記憶されており、
上記クライアント端末及び上記アクセスポイントは、上記乱数表を上記電子記憶媒体から読み出して保存することを特徴とする請求項1に記載の無線LAN暗号化通信システム。 - 上記乱数表の中の位置を特定して上記暗号鍵を抽出するとき、日時、送信元MACアドレス、認証ID、パスワードを基に上記規則に従って上記乱数表の中の位置を特定することを特徴とする請求項1または2に記載の無線LAN暗号化通信システム。
- 上記アクセスポイントは、記憶している上記規則を更新するとともに、上記クライアント端末に対して上記規則の更新を通知する通知信号を送信し
上記クライアント端末は、当該通知信号に従って、記憶している上記規則の更新を行うことを特徴とする請求項1乃至3のいずれか一項に記載の無線LAN暗号化通信システム。 - 複数の上記クライアント端末を備え、
各上記クライアント端末は、上記クライアント端末の認証ID毎に異なる上記乱数表を記憶していることを特徴とする請求項1乃至4のいずれか一項に記載の無線LAN暗号化通信システム。 - 上記ネットワークに接続されるとともに上記クライアント端末の乱数表を保管する認証サーバを備え、
上記アクセスポイントは、上記クライアント端末を認証する前に、上記認証サーバから上記乱数表を転送することを特徴とする請求項1乃至5のいずれか一項に記載の無線LAN暗号化通信システム。 - 上記クライアント端末及び上記アクセスポイントは、GPSアンテナを備え、
上記乱数表の中の位置を特定する際に用いる日時を上記GPSから通知される日時を用いることを特徴とする請求項1乃至6のいずれか一項に記載の無線LAN暗号化通信システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009144114A JP2011004039A (ja) | 2009-06-17 | 2009-06-17 | 無線lan暗号化通信システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009144114A JP2011004039A (ja) | 2009-06-17 | 2009-06-17 | 無線lan暗号化通信システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2011004039A true JP2011004039A (ja) | 2011-01-06 |
Family
ID=43561658
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009144114A Pending JP2011004039A (ja) | 2009-06-17 | 2009-06-17 | 無線lan暗号化通信システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2011004039A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012205713A (ja) * | 2011-03-29 | 2012-10-25 | Kyoraku Sangyo Kk | 遊技機及び遊技機の認証方法 |
| JP2012205715A (ja) * | 2011-03-29 | 2012-10-25 | Kyoraku Sangyo Kk | 遊技機及び遊技機の認証方法 |
| JP2012205714A (ja) * | 2011-03-29 | 2012-10-25 | Kyoraku Sangyo Kk | 遊技機及び遊技機の認証方法 |
| WO2018186543A1 (ko) * | 2017-04-07 | 2018-10-11 | 주식회사트러스트홀딩스 | 장치 인증키를 이용한 데이터 암호화 방법 및 시스템 |
| JP2019068392A (ja) * | 2017-10-03 | 2019-04-25 | 利和 石崎 | 証明書発行及び認証システム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003032243A (ja) * | 2001-07-11 | 2003-01-31 | Yokohama Rubber Co Ltd:The | 動的暗号鍵の生成方法並びに暗号化通信方法及びその装置並びに暗号化通信プログラム及びその記録媒体 |
| JP2007074369A (ja) * | 2005-09-07 | 2007-03-22 | Mitsubishi Electric Engineering Co Ltd | 無線lan暗号化通信システム |
| JP2007228284A (ja) * | 2006-02-23 | 2007-09-06 | Matsushita Electric Works Ltd | 情報通信システム |
| JP2008228051A (ja) * | 2007-03-14 | 2008-09-25 | Toyota Infotechnology Center Co Ltd | 暗号通信システム、暗号通信方法、暗号通信プログラム、車載端末およびサーバ |
-
2009
- 2009-06-17 JP JP2009144114A patent/JP2011004039A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003032243A (ja) * | 2001-07-11 | 2003-01-31 | Yokohama Rubber Co Ltd:The | 動的暗号鍵の生成方法並びに暗号化通信方法及びその装置並びに暗号化通信プログラム及びその記録媒体 |
| JP2007074369A (ja) * | 2005-09-07 | 2007-03-22 | Mitsubishi Electric Engineering Co Ltd | 無線lan暗号化通信システム |
| JP2007228284A (ja) * | 2006-02-23 | 2007-09-06 | Matsushita Electric Works Ltd | 情報通信システム |
| JP2008228051A (ja) * | 2007-03-14 | 2008-09-25 | Toyota Infotechnology Center Co Ltd | 暗号通信システム、暗号通信方法、暗号通信プログラム、車載端末およびサーバ |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012205713A (ja) * | 2011-03-29 | 2012-10-25 | Kyoraku Sangyo Kk | 遊技機及び遊技機の認証方法 |
| JP2012205715A (ja) * | 2011-03-29 | 2012-10-25 | Kyoraku Sangyo Kk | 遊技機及び遊技機の認証方法 |
| JP2012205714A (ja) * | 2011-03-29 | 2012-10-25 | Kyoraku Sangyo Kk | 遊技機及び遊技機の認証方法 |
| WO2018186543A1 (ko) * | 2017-04-07 | 2018-10-11 | 주식회사트러스트홀딩스 | 장치 인증키를 이용한 데이터 암호화 방법 및 시스템 |
| US11128455B2 (en) | 2017-04-07 | 2021-09-21 | Trusst Holdings Inc. | Data encryption method and system using device authentication key |
| JP2019068392A (ja) * | 2017-10-03 | 2019-04-25 | 利和 石崎 | 証明書発行及び認証システム |
| JP7098099B2 (ja) | 2017-10-03 | 2022-07-11 | 利和 石崎 | 証明書発行及び認証システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7688975B2 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
| US8291231B2 (en) | Common key setting method, relay apparatus, and program | |
| US9491174B2 (en) | System and method for authenticating a user | |
| CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
| KR100721522B1 (ko) | 위치토큰을 이용한 위치기반 서비스 제공 방법 | |
| JP2006053800A (ja) | 情報提供方法、情報提供システム及び中継装置 | |
| JP2005102163A (ja) | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体 | |
| KR101706117B1 (ko) | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 | |
| EP2856789B1 (en) | Method for tracking a mobile device onto a remote displaying unit via a mobile switching center and a head-end | |
| US11265154B2 (en) | Network device and trusted third party device | |
| JP2009071707A (ja) | 鍵共有方法、鍵配信システム | |
| CN107453880A (zh) | 一种云数据安全存储方法和系统 | |
| EP3476078A1 (en) | Systems and methods for authenticating communications using a single message exchange and symmetric key | |
| JP2011004039A (ja) | 無線lan暗号化通信システム | |
| CN108965279A (zh) | 数据处理方法、装置、终端设备及计算机可读存储介质 | |
| WO2022135391A1 (zh) | 身份鉴别方法、装置、存储介质、程序、及程序产品 | |
| CN111586023A (zh) | 一种认证方法、设备和存储介质 | |
| JP2007074369A (ja) | 無線lan暗号化通信システム | |
| JP2006197065A (ja) | 端末装置および認証装置 | |
| JPWO2020188679A1 (ja) | 通信システム | |
| KR100458955B1 (ko) | 무선랜 보안 방법 | |
| WO2022135387A1 (zh) | 一种身份鉴别方法和装置 | |
| JPH02244926A (ja) | 機密データベース通信方法 | |
| JPH09326789A (ja) | 携帯無線端末間通信における相手認証方法及びシステム | |
| KR101510249B1 (ko) | N스크린 환경에서의 안전한 디바이스 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111007 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111018 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120228 |