JP2015046927A - Communication setting method and radio connection device - Google Patents

Communication setting method and radio connection device Download PDF

Info

Publication number
JP2015046927A
JP2015046927A JP2014216309A JP2014216309A JP2015046927A JP 2015046927 A JP2015046927 A JP 2015046927A JP 2014216309 A JP2014216309 A JP 2014216309A JP 2014216309 A JP2014216309 A JP 2014216309A JP 2015046927 A JP2015046927 A JP 2015046927A
Authority
JP
Japan
Prior art keywords
communication
client device
wireless connection
communication setting
setting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014216309A
Other languages
Japanese (ja)
Other versions
JP5880660B2 (en
Inventor
剛生 市川
Takeo Ichikawa
剛生 市川
シャムスプア シャハリオ
Shamsspoor Shahriar
シャムスプア シャハリオ
秀揮 石井
Hideki Ishii
秀揮 石井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Buffalo Inc
Original Assignee
Buffalo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Buffalo Inc filed Critical Buffalo Inc
Priority to JP2014216309A priority Critical patent/JP5880660B2/en
Publication of JP2015046927A publication Critical patent/JP2015046927A/en
Application granted granted Critical
Publication of JP5880660B2 publication Critical patent/JP5880660B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

PROBLEM TO BE SOLVED: To easily perform communication setting for radio communication without acquiring information necessary for setting from a storage medium in a client device while avoiding the deterioration of the security level of a radio connection device between the client device and the radio connection device.SOLUTION: A communication setting method for setting radio communication between a client device and a radio connection device includes: a process (a) of establishing unlimited and temporary communication between devices; a process (b) of acquiring an identifier assigned to the client device or connection with the client device; a process (c) of limiting the other party of the temporary communication by using the identifier after the process (b); a process (d) of allowing the client device to receive a file for communication setting; a process (e) of establishing encryption communication based on a predetermined protocol; and a process (f) of exchanging information related to communication setting via the encryption communication.

Description

本発明は、無線通信の通信設定技術に関する。   The present invention relates to a communication setting technique for wireless communication.

クライアント装置が、アクセスポイント等の無線ネットワーク中継装置と無線通信を行うためには、クライアント装置に対して無線ネットワーク中継装置のSSID等の設定を行う必要がある。さらに、クライアント装置が無線ネットワーク中継装置との間でセキュリティが確保された無線通信を行うためには、SSIDに加えて、暗号化情報などの設定が必要となる。無線LANの知識に乏しい利用者にとってはこれら設定の作業は困難である。また、従来では、無線ネットワーク中継装置に予め添付されたCD−ROM等の記憶媒体をクライアント装置に挿入し、記憶媒体から設定に必要な情報を取得して設定を行うことが一般的であったが、現在では、CD−ROM等を再生可能な光学ドライブを持たないクライアント装置も数多く存在するため、従来通りの方法では設定に必要な情報を取得できないという問題がある。   In order for the client device to perform wireless communication with a wireless network relay device such as an access point, it is necessary to set the SSID of the wireless network relay device to the client device. Further, in order for the client device to perform wireless communication with security secured with the wireless network relay device, it is necessary to set encryption information and the like in addition to the SSID. These settings are difficult for users who are not familiar with wireless LAN. Conventionally, it has been common to insert a storage medium such as a CD-ROM attached to the wireless network relay apparatus in advance into the client apparatus, obtain information necessary for setting from the storage medium, and perform the setting. However, at present, there are many client apparatuses that do not have an optical drive capable of reproducing a CD-ROM or the like, and thus there is a problem that information necessary for setting cannot be obtained by a conventional method.

このような問題を解決し、簡単かつ記憶媒体を必要としない設定を可能とするために、従来では、無線ネットワーク中継装置の第1のチャンネルをクライアント装置がどのようなSSID設定でも接続を可能とする設定とし、第2のチャンネルをクライアント装置の正しいSSID設定を必要とする設定とした上で、第1のチャンネルからクライアント装置に設定用のプログラムをダウンロードさせる技術が知られている(例えば、特許文献1)。   In order to solve such a problem and enable a simple setting that does not require a storage medium, conventionally, the client device can connect to the first channel of the wireless network relay device regardless of the SSID setting. A technique is known in which a setting program is downloaded from the first channel to the client device after setting the second channel to a setting that requires the correct SSID setting of the client device (for example, patents). Reference 1).

特開2004−127187号公報JP 2004-127187 A 特開2005−159471号公報JP 2005-159471 A 特開2005−142907号公報JP 2005-142907 A 特開2006−50257号公報JP 2006-50257 A 特開2005−191721号公報JP 2005-191721 A

しかし、無線ネットワークのうち、どのようなSSID設定でも接続を可能とする設定とされた第1のチャンネルがセキュリティホールとなるおそれがあり、無線ネットワーク中継装置のセキュリティレベルを低下させるという問題があった。   However, in the wireless network, there is a possibility that the first channel set to be connectable with any SSID setting may become a security hole, and there is a problem that the security level of the wireless network relay device is lowered. .

なお、このような問題は、クライアント装置に対して無線ネットワーク中継装置と無線通信するための設定をさせる場合に限らず、クライアント装置に対して何らかのサービスを提供する装置と無線通信するための設定をさせる場合にも共通する問題であった。   Such a problem is not limited to the case where the client device is set to perform wireless communication with the wireless network relay device, but the setting for wireless communication with a device that provides some service to the client device is performed. It was a common problem.

本発明は、クライアント装置と無線接続装置との間で、無線接続装置のセキュリティレベルの低下を回避しつつ、簡単に、かつクライアント装置において記憶媒体から設定に必要な情報を取得することなく、無線通信するための通信設定を行うことを目的とする。   The present invention avoids a decrease in the security level of the wireless connection device between the client device and the wireless connection device, and wirelessly easily and without acquiring information necessary for setting from the storage medium in the client device. The purpose is to perform communication settings for communication.

本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。   SUMMARY An advantage of some aspects of the invention is to solve at least a part of the problems described above, and the invention can be implemented as the following forms or application examples.

[適用例1]
クライアント装置と無線接続装置との間で無線通信を設定する通信設定方法であって、(a)前記無線接続装置が、前記クライアント装置との間で、非制限かつ一時的な通信を確立する工程と、(b)前記無線接続装置が、前記クライアント装置または前記クライアント装置との間の接続に対して割り当てられた識別子を取得する工程と、(c)前記工程(b)以降、前記無線接続装置に対する前記一時的な通信の相手方を、取得した前記識別子を用いて制限する工程と、(d)前記無線接続装置が、前記クライアント装置に通信設定用のファイルを受信させる工程と、(e)前記無線接続装置が、前記通信設定用のファイルを実行する前記クライアント装置との間で、所定のプロトコルに準拠した暗号化通信を確立する工程と、(f)前記無線接続装置が、前記通信設定用のファイルを実行する前記クライアント装置との間で、前記暗号化通信を介して通信設定に関する情報を交換する工程と、を備える、通信設定方法。
このような構成とすれば、無線接続装置は、クライアント装置との間で非制限かつ一時的な通信を確立し、当該一時的な通信を用いてクライアント装置またはクライアント装置との間の接続に割り当てられた識別子を取得し、それ以降の一時的な通信の相手方を取得した識別子を用いて制限したうえで、クライアント装置に設定用のファイルを受信させるため、一時的な通信のセキュリティを向上させた状態で、クライアント装置に対して設定用のファイルの配布を行うことができる。さらに無線接続装置は、設定用のファイルが実行されたクライアント装置との間で所定のプロトコルに準拠した暗号化通信を確立し、この暗号化通信を介して通信設定に関する情報を交換するため、機密性の高い暗号化通信を用いて通信設定に関する情報を交換することができる。これらの結果、クライアント装置と無線接続装置との間で、無線接続装置のセキュリティレベルの低下を回避しつつ、簡単に、かつクライアント装置において記憶媒体から設定に必要な情報を取得することなく、無線通信するための通信設定を行うことができる。
[Application Example 1]
A communication setting method for setting wireless communication between a client device and a wireless connection device, wherein (a) the wireless connection device establishes unrestricted and temporary communication with the client device. And (b) the wireless connection device acquiring an identifier assigned to the client device or a connection with the client device; and (c) the wireless connection device after step (b). (D) the wireless connection device causing the client device to receive a communication setting file; and (e) the step of limiting the temporary communication partner with respect to the temporary communication partner using the acquired identifier; A wireless connection device establishing encrypted communication in accordance with a predetermined protocol with the client device that executes the communication setting file; Line connection device, between the client device to perform a file for the communication setting, and a step of exchanging information about the communication settings via the encrypted communication, a communication setting method.
With this configuration, the wireless connection device establishes unrestricted and temporary communication with the client device, and assigns the connection to the client device or the client device using the temporary communication. The security of temporary communication has been improved to allow the client device to receive the setting file after restricting it using the identifier that has acquired the specified identifier, and using the identifier that acquired the other party of temporary communication thereafter In this state, the setting file can be distributed to the client device. Furthermore, the wireless connection device establishes encrypted communication conforming to a predetermined protocol with the client device on which the setting file has been executed, and exchanges information regarding communication settings via this encrypted communication. Information regarding communication settings can be exchanged using highly encrypted communication. As a result, while avoiding a decrease in the security level of the wireless connection device between the client device and the wireless connection device, wirelessly easily and without acquiring information necessary for setting from the storage medium in the client device Communication settings for communication can be performed.

[適用例2]
適用例1記載の通信設定方法であって、前記工程(a)は、前記クライアント装置のユーザが直接触れる形態、あるいは、前記無線接続装置に対する近距離通信の形態で与えられる開始指示の検出をトリガとして開始される、通信設定方法。
このような構成とすれば、無線接続装置とクライアント装置との間の一時的な通信の確立は、クライアント装置のユーザが直接触れる形態、あるいは、無線接続装置に対する近距離通信の形態で与えられる開始指示の検出をトリガとして開始されるため、悪意のある第三者が、ユーザの意図に反して開始指示を与えることを抑制することができる。
[Application Example 2]
The communication setting method according to Application Example 1, wherein the step (a) triggers detection of a start instruction given in a form in which the user of the client device directly touches or a form of short-range communication with the wireless connection device The communication setting method is started as
With such a configuration, establishment of temporary communication between the wireless connection device and the client device is started in a form in which the user of the client device directly touches or in a form of short-range communication with the wireless connection device. Since the detection of the instruction is started as a trigger, it is possible to prevent a malicious third party from giving a start instruction against the user's intention.

[適用例3]
適用例1または2記載の通信設定方法であって、前記工程(b)は、前記クライアント装置の認証が許可であった場合に実行される、通信設定方法。
このような構成とすれば、無線接続装置は、クライアント装置との間で確立された一時的な通信を用いてクライアント装置を認証するため、クライアント装置からのアクセスが容易なセキュリティレベルの低い一時的な通信を用いて、まずクライアント装置を認証することができる。
[Application Example 3]
3. The communication setting method according to application example 1 or 2, wherein the step (b) is executed when authentication of the client device is permitted.
With such a configuration, the wireless connection device authenticates the client device using temporary communication established with the client device. Therefore, the wireless connection device is temporarily accessible with a low security level and is easily accessible from the client device. First, the client device can be authenticated using simple communication.

[適用例4]
適用例1ないし3のいずれか一項記載の通信設定方法であって、さらに、(g)前記クライアント装置の認証が不可であった場合に、前記無線接続装置が、前記一時的な通信を切断する工程を備える、通信設定方法。
このような構成とすれば、無線接続装置は、クライアント装置の認証が不可であった場合にクライアント装置との間に確立された一時的な通信を切断するため、以降の処理を継続することができなくなる。この結果、悪意のある第三者からの総当たり攻撃等によって通信設定に関する情報が漏洩することを抑制することができる。
[Application Example 4]
4. The communication setting method according to any one of application examples 1 to 3, further comprising: (g) the wireless connection device disconnecting the temporary communication when the client device cannot be authenticated. A communication setting method comprising the step of:
With such a configuration, the wireless connection device can continue the subsequent processing to disconnect the temporary communication established with the client device when the authentication of the client device is impossible. become unable. As a result, it is possible to suppress leakage of information regarding communication settings due to a brute force attack from a malicious third party.

[適用例5]
適用例1ないし4のいずれか一項記載の通信設定方法であって、さらに、(h)前記クライアント装置が、前記無線接続装置の情報を取得する工程と、(i)前記クライアント装置が、取得した前記無線接続装置の情報を用いて、前記クライアント装置が前記無線接続装置を利用するにあたって前記クライアント装置へのダウンロードが推奨される推奨ファイルの一覧を取得する工程と、を備える、通信設定方法。
このような構成とすれば、クライアント装置は、無線接続装置の情報を取得し、取得した無線接続装置の情報を用いて、クライアント装置が無線接続装置を利用するにあたってクライアント装置へのダウンロードが推奨される推奨ファイルの一覧を取得するため、通信設定と推奨ファイルの案内をセットで実施することができ、ユーザの利便性を向上させることができる。
[Application Example 5]
5. The communication setting method according to any one of application examples 1 to 4, further comprising: (h) a step in which the client device acquires information on the wireless connection device; and (i) an acquisition by the client device. Obtaining a list of recommended files recommended for download to the client device when the client device uses the wireless connection device, using the information on the wireless connection device.
With such a configuration, the client device acquires information on the wireless connection device, and using the acquired wireless connection device information, downloading to the client device is recommended when the client device uses the wireless connection device. Since a list of recommended files is acquired, communication settings and recommended file guidance can be implemented as a set, and user convenience can be improved.

[適用例6]
適用例1ないし5のいずれか一項記載の通信設定方法であって、前記工程(f)は、(f−1)前記無線接続装置が、前記クライアント装置から公開鍵を受信する工程と、(f−2)前記無線接続装置が、前記通信設定に関する情報を、前記公開鍵を用いて暗号化する工程と、(f−3)前記無線接続装置が、暗号化された前記通信設定に関する情報を前記クライアント装置に対して送信する工程と、(f−4)前記クライアント装置が、受信した前記通信設定に関する情報を、前記公開鍵と対応する秘密鍵を用いて復号化する工程と、を含む、通信設定方法。
このような構成とすれば、無線接続装置は、公開鍵を用いて暗号化した通信設定に関する情報をクライアント装置に対して送信し、クライアント装置は、受信した通信設定に関する情報を公開鍵と対応する秘密鍵を用いて複号化するため、通信設定に関する情報を、暗号化通信による保護と、公開鍵/秘密鍵による保護とを用いて、二重に保護することができる。
[Application Example 6]
The communication setting method according to any one of Application Examples 1 to 5, wherein the step (f) includes: (f-1) a step in which the wireless connection device receives a public key from the client device; f-2) the wireless connection device encrypting information related to the communication settings using the public key; and (f-3) the wireless connection device encrypting information related to the communication settings. Transmitting to the client device; and (f-4) the client device decrypting the received information related to the communication setting using a secret key corresponding to the public key. Communication setting method.
With such a configuration, the wireless connection device transmits information regarding communication settings encrypted using the public key to the client device, and the client device corresponds to the received information regarding communication settings with the public key. Since decryption is performed using a secret key, information regarding communication settings can be protected twice using protection by encrypted communication and protection by a public key / private key.

[適用例7]
適用例1ないし6のいずれか一項記載の通信設定方法であって、前記工程(c)は、(c−1)前記無線接続装置が、受信したパケットのヘッダを参照する工程と、(c−2)前記無線接続装置が、前記ヘッダに取得した前記識別子が含まれる前記パケットを通過させ、前記ヘッダに取得した前記識別子が含まれないパケットを破棄する工程と、を含む、通信設定方法。
このような構成とすれば、無線接続装置は、受信したパケットのヘッダを参照し、ヘッダに取得した識別子が含まれるパケットを通過させ、ヘッダに取得した識別子が含まれないパケットを破棄するため、一時的な通信を介した通信の相手を認証許可と判定されたクライアント装置に限定することができるため、セキュリティを向上させることができる。
[Application Example 7]
The communication setting method according to any one of Application Examples 1 to 6, wherein the step (c) includes (c-1) a step in which the wireless connection device refers to a header of a received packet; -2) The wireless setting device includes a step of passing the packet including the identifier acquired in the header and discarding the packet not including the identifier acquired in the header.
With such a configuration, the wireless connection device refers to the header of the received packet, passes the packet including the identifier acquired in the header, and discards the packet not including the identifier acquired in the header. Since the other party of communication via temporary communication can be limited to the client apparatus determined to be permitted for authentication, security can be improved.

[適用例8]
適用例1ないし6のいずれか一項記載の通信設定方法であって、前記工程(c)は、(c−1)前記無線接続装置が、前記通信設定用のファイルを実行する前記クライアント装置から前記識別子を取得する工程と、(c−2)前記無線接続装置が、前記工程(b)により取得した前記識別子と、前記工程(c−1)により取得した前記識別子と、を用いて、前記クライアント装置の正当性を確認する工程と、(c−3)前記無線接続装置が、前記工程(c−2)により正当性の確認された前記クライアント装置から受信したパケットを通過させる工程と、を含む、通信設定方法。
このような構成とすれば、無線接続装置は、一時的な通信を介した通信の相手方を、正当性の確認されたクライアント装置に限定することができるため、セキュリティを向上させることができる。
[Application Example 8]
The communication setting method according to any one of Application Examples 1 to 6, wherein the step (c) includes: (c-1) the wireless connection device from the client device that executes the communication setting file. (C-2) The wireless connection device uses the identifier acquired in the step (b) and the identifier acquired in the step (c-1). A step of confirming the validity of the client device; and (c-3) a step of allowing the wireless connection device to pass the packet received from the client device confirmed to be valid in the step (c-2). Including communication setting method.
With such a configuration, the wireless connection apparatus can limit the other party of communication via temporary communication to the client apparatus whose validity has been confirmed, so that security can be improved.

[適用例9]
適用例1ないし8のいずれか一項記載の通信設定方法であって、前記工程(d)は、(d−1)前記クライアント装置の種類と、前記クライアント装置のオペレーティングシステムの種類と、前記クライアント装置のオペレーティングシステムのバージョンと、のうちの少なくとも一部を取得する工程と、(d−2)前記工程(d−1)で取得した情報に基づいて選択された通信設定用のファイルとしてのアプリケーションを受信させる工程と、を含む、通信設定方法。
このような構成とすれば、無線接続装置は、クライアント装置の種類と、クライアント装置のオペレーティングシステムの種類と、クライアント装置のオペレーティングシステムのバージョンと、のうちの少なくとも一部を取得し、取得した情報に基づいて選択された通信設定用のファイルとして、アプリケーションを受信させるため、クライアント装置に適したアプリケーションを受信させることができる。
[Application Example 9]
The communication setting method according to any one of Application Examples 1 to 8, wherein the step (d) includes (d-1) the type of the client device, the type of the operating system of the client device, and the client. A step of acquiring at least a part of the operating system version of the apparatus; and (d-2) an application as a communication setting file selected based on the information acquired in step (d-1). Receiving a communication setting method.
With such a configuration, the wireless connection device acquires at least a part of the type of the client device, the type of the operating system of the client device, and the version of the operating system of the client device, and the acquired information Since the application is received as the communication setting file selected based on the application, it is possible to receive the application suitable for the client device.

[適用例10]
適用例1ないし9のいずれか一項記載の通信設定方法であって、前記工程(e)は、前記一時的な通信を終了させた後に開始される、通信設定方法。
このような構成とすれば、暗号化通信と比較してセキュリティレベルが低い一時的な通信が確立されている時間を短くすることができる。
[Application Example 10]
The communication setting method according to any one of application examples 1 to 9, wherein the step (e) is started after the temporary communication is terminated.
With such a configuration, it is possible to shorten the time during which temporary communication with a lower security level is established compared to encrypted communication.

[適用例11]
適用例1ないし10のいずれか一項記載の通信設定方法であって、前記工程(a)において、前記一時的な通信は、予め定められた暗号化なしまたは暗号化レベルの低い通信設定に基づいて実現される、通信設定方法。
このような構成とすれば、クライアント装置からのアクセスが容易なセキュリティレベルの低い通信を実現することができる。
[Application Example 11]
The communication setting method according to any one of Application Examples 1 to 10, wherein in the step (a), the temporary communication is based on a predetermined communication setting with no encryption or a low encryption level. Communication setting method realized by
With such a configuration, it is possible to realize communication with a low security level that can be easily accessed from the client device.

[適用例12]
適用例1ないし11のいずれか一項記載の通信設定方法であって、前記無線接続装置は、複数の前記クライアント装置との間で無線通信を中継可能な無線ネットワーク中継装置である、通信設定方法。
このような構成とすれば、無線接続装置を、無線ネットワーク中継装置として構成することができる。
[Application Example 12]
12. The communication setting method according to any one of application examples 1 to 11, wherein the wireless connection device is a wireless network relay device capable of relaying wireless communication with a plurality of the client devices. .
With such a configuration, the wireless connection device can be configured as a wireless network relay device.

なお、本発明は、種々の態様で実現することが可能である。例えば、本発明は、通信設定方法および通信設定装置、無線ネットワーク中継装置における通信設定方法および無線ネットワーク中継装置、無線ネットワークシステム、それらの方法または装置の機能を実現するためのコンピュータプログラム、そのコンピュータプログラムを記録した記録媒体等の形態で実現することができる。   Note that the present invention can be realized in various modes. For example, the present invention relates to a communication setting method and a communication setting device, a communication setting method and a wireless network relay device in a wireless network relay device, a wireless network system, a computer program for realizing the functions of these methods or devices, and the computer program Can be realized in the form of a recording medium or the like on which is recorded.

本発明の一実施例としての無線ネットワーク中継装置を用いたネットワークシステムの概略構成を示す説明図である。It is explanatory drawing which shows schematic structure of the network system using the wireless network relay apparatus as one Example of this invention. APの概略構成を示す説明図である。It is explanatory drawing which shows schematic structure of AP. APの仮想ポートの一例を示す説明図である。It is explanatory drawing which shows an example of the virtual port of AP. PCの概略構成を示す説明図である。It is explanatory drawing which shows schematic structure of PC. セキュリティ設定処理の手順を示すシーケンス図である。It is a sequence diagram which shows the procedure of a security setting process. セキュリティ設定処理の工程PH1および工程PH2の状態遷移図である。It is a state transition diagram of process PH1 and process PH2 of security setting processing. 暗号化通信を介して設定情報が交換される様子を示す説明図である。It is explanatory drawing which shows a mode that setting information is exchanged via encryption communication. ビーコンを受信したPCのOSにより提供されるワイヤレスネットワーク接続画面の一例である。It is an example of the wireless network connection screen provided by OS of PC which received the beacon. ステップS116によりPCのWEBブラウザに表示されるユーザ名入力画面の一例である。It is an example of the user name input screen displayed on the WEB browser of PC by step S116. ステップS134によりPCのWEBブラウザに表示される設定用アプリケーションダウンロード画面の一例である。It is an example of a setting application download screen displayed on the WEB browser of the PC in step S134. 設定用アプリケーションをダウンロードしたPCにおいて表示される画面の一例である。It is an example of the screen displayed in PC which downloaded the application for setting. ステップS190によりPCに表示される推奨ファイル一覧画面の一例である。It is an example of the recommended file list screen displayed on PC by step S190. 第1実施形態の簡単認証処理においてユーザ認証のために使用されるIDカードの一例を示す説明図である。It is explanatory drawing which shows an example of the ID card used for user authentication in the simple authentication process of 1st Embodiment. 第1実施形態の簡単認証処理の手順を示すシーケンス図である。It is a sequence diagram which shows the procedure of the simple authentication process of 1st Embodiment. ステップS802において生成される対応リストの一例を示す説明図である。It is explanatory drawing which shows an example of the corresponding | compatible list produced | generated in step S802. ステップS808によりPC20のWEBブラウザに表示される認証画面の一例である。It is an example of the authentication screen displayed on the WEB browser of PC20 by step S808. 第2実施形態の簡単認証処理の手順を示すシーケンス図である。It is a sequence diagram which shows the procedure of the simple authentication process of 2nd Embodiment. ステップS904において生成される候補の一例を示す説明図である。It is explanatory drawing which shows an example of the candidate produced | generated in step S904. ステップS908によりPCのWEBブラウザに表示される認証画面の一例である。It is an example of the authentication screen displayed on the WEB browser of PC by step S908. 第3実施形態の簡単認証処理においてユーザ認証のために使用されるIDカードの一例を示す説明図である。It is explanatory drawing which shows an example of the ID card used for user authentication in the simple authentication process of 3rd Embodiment. 簡単認証処理のステップS802において生成される対応リストの一例を示す説明図である。It is explanatory drawing which shows an example of the corresponding | compatible list produced | generated in step S802 of a simple authentication process. 第4実施形態の簡単認証処理においてユーザ認証のために使用されるIDカードの一例を示す説明図である。It is explanatory drawing which shows an example of the ID card used for user authentication in the simple authentication process of 4th Embodiment. 簡単認証処理(図14)のステップS808によりPCのWEBブラウザに表示される認証画面の一例である。It is an example of the authentication screen displayed on the WEB browser of PC by step S808 of a simple authentication process (FIG. 14). 第2実施例におけるセキュリティ設定処理の手順を示すシーケンス図である。It is a sequence diagram which shows the procedure of the security setting process in 2nd Example.

次に、本発明の実施の形態を実施例に基づいて説明する。   Next, embodiments of the present invention will be described based on examples.

A.第1実施例:
A−1.システムの概略構成:
図1は、本発明の一実施例としての無線ネットワーク中継装置を用いたネットワークシステムの概略構成を示す説明図である。ネットワークシステム1000は、無線接続装置としての無線ネットワーク中継装置10と、2台のクライアント装置20、30と、を備えている。なお、以降では、クライアント装置のことを単に「クライアント」と呼ぶ。
A. First embodiment:
A-1. System outline:
FIG. 1 is an explanatory diagram showing a schematic configuration of a network system using a wireless network relay device as an embodiment of the present invention. The network system 1000 includes a wireless network relay device 10 as a wireless connection device and two client devices 20 and 30. Hereinafter, the client device is simply referred to as “client”.

本実施例における無線ネットワーク中継装置10は、IEEE802.11に準拠したアクセスポイント装置である。以降、無線ネットワーク中継装置10を「AP10」とも呼ぶ。AP10は、PC20およびPC30の無線通信を中継する。本実施例ではAP10は、ルータとしても機能し、有線ケーブルを介してインターネットINTに接続されている。AP10は、通信情報と暗号化情報とをクライアントに対して自動的に設定させる機能として、従来から知られたAOSS(AirStation One-Touch Secure System)およびWPS(Wi-Fi Protected Setup)をサポートしている。なお、「通信情報」とは、BSSID(Basic Service Set Identifier)、ESSID(Extended Service Set Identifier)、SSID(Service Set Identifier)等の通信を確立するために必要な情報を意味する。「暗号化情報」とは、WEP(Wired Equivalent Privacy)、WPA(Wi-Fi Protected Access)、WPA2−PSK(Wi-Fi Protected Access 2 Pre-Shared Key)等の無線LAN暗号化方式と、暗号化の際に用いられる鍵を意味する。   The wireless network relay device 10 in the present embodiment is an access point device compliant with IEEE 802.11. Hereinafter, the wireless network relay device 10 is also referred to as “AP10”. The AP 10 relays wireless communication between the PC 20 and the PC 30. In the present embodiment, the AP 10 also functions as a router and is connected to the Internet INT via a wired cable. The AP 10 supports the conventionally known AOSS (AirStation One-Touch Secure System) and WPS (Wi-Fi Protected Setup) as functions for automatically setting communication information and encryption information to the client. Yes. The “communication information” means information necessary for establishing communication such as BSSID (Basic Service Set Identifier), ESSID (Extended Service Set Identifier), and SSID (Service Set Identifier). "Encryption information" refers to wireless LAN encryption methods such as WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access), WPA2-PSK (Wi-Fi Protected Access 2 Pre-Shared Key), and encryption It means the key used in the case of

AP10は、AP10のセキュリティレベル、すなわち、セキュリティの水準を維持しつつ、通信情報と暗号化情報とをクライアントに対して簡単かつ記憶媒体を必要とせずに設定させる処理として、セキュリティ設定処理をサポートしている。また、AP10は、セキュリティ設定処理を開始するためのトリガとして用いられる設定ボタン120を備えている。セキュリティ設定処理の詳細は後述する。   The AP 10 supports the security setting process as a process for easily setting the communication information and the encryption information to the client without requiring a storage medium while maintaining the security level of the AP 10, that is, the security level. ing. The AP 10 also includes a setting button 120 used as a trigger for starting the security setting process. Details of the security setting process will be described later.

本実施例におけるクライアント20は、IEEE802.11に準拠した無線通信インタフェースを備えるパーソナルコンピュータである。以降、クライアント20を「PC20」とも呼ぶ。PC20には、通信情報および暗号化情報の設定がされておらず、図1ではAP10との通信は未だ確立されていない。本実施例におけるクライアント30は、PC20と同様、IEEE802.11に準拠した無線通信インタフェースを備えたパーソナルコンピュータである。以降、クライアント30を「PC30」とも呼ぶ。PC30には、通信情報および暗号化情報の設定がされているため、図1ではAP10との通信が確立されている。   The client 20 in the present embodiment is a personal computer having a wireless communication interface compliant with IEEE 802.11. Hereinafter, the client 20 is also referred to as “PC 20”. Communication information and encryption information are not set in the PC 20, and communication with the AP 10 is not yet established in FIG. The client 30 in this embodiment is a personal computer having a wireless communication interface compliant with IEEE 802.11, like the PC 20. Hereinafter, the client 30 is also referred to as “PC 30”. Since communication information and encryption information are set in the PC 30, communication with the AP 10 is established in FIG.

A−2.無線ネットワーク中継装置の概略構成:
図2は、AP10の概略構成を示す説明図である。AP10は、CPU110と、設定ボタン120と、RAM130と、無線通信インタフェース(I/F)140と、有線通信インタフェース(I/F)150と、フラッシュROM160とを備え、それぞれがバスにより相互に接続されている。
A-2. Schematic configuration of wireless network relay device:
FIG. 2 is an explanatory diagram showing a schematic configuration of the AP 10. The AP 10 includes a CPU 110, a setting button 120, a RAM 130, a wireless communication interface (I / F) 140, a wired communication interface (I / F) 150, and a flash ROM 160, which are mutually connected by a bus. ing.

CPU110は、フラッシュROM160に格納されているコンピュータプログラムをRAM130に展開して実行することにより、AP10を制御する。CPU110は、中継処理部111と、設定制御部112と、限定通信部113と、認証部114と、識別子取得部115と、制限部116と、案内部117と、暗号化通信部118とを実現する。   The CPU 110 controls the AP 10 by expanding and executing a computer program stored in the flash ROM 160 on the RAM 130. CPU 110 implements relay processing unit 111, setting control unit 112, limited communication unit 113, authentication unit 114, identifier acquisition unit 115, restriction unit 116, guide unit 117, and encrypted communication unit 118. To do.

中継処理部111は、受信パケットを宛先に応じて転送する中継処理を実行する。設定制御部112は、セキュリティ設定処理の全体を制御する。限定通信部113は、セキュリティ設定処理で使用される一時的な通信を確立する。認証部114は、セキュリティ設定処理のサブルーチンとして実行される簡単認証処理を実行する。簡単認証処理は、AP10が、画像や文字列を用いてクライアントを認証する処理である。認証部114は、割当部114aと、認証情報取得部114bと、候補生成部114cと、文字列生成部114dとを含んでいる。詳細は後述する。識別子取得部115は、クライアントに割り当てられた識別子として、クライアントのMACアドレスを取得する。制限部116は、セキュリティ設定処理における通信を制限する。案内部117は、クライアントに案内画面を表示させるための情報を生成し、クライアントへ送信する。暗号化通信部118は、通信の相手方との間で規定の暗号化方式に準拠した暗号化通信を確立する。   The relay processing unit 111 executes relay processing for transferring the received packet according to the destination. The setting control unit 112 controls the entire security setting process. The limited communication unit 113 establishes temporary communication used in the security setting process. The authentication unit 114 executes simple authentication processing that is executed as a subroutine of security setting processing. The simple authentication process is a process in which the AP 10 authenticates the client using an image or a character string. The authentication unit 114 includes an allocation unit 114a, an authentication information acquisition unit 114b, a candidate generation unit 114c, and a character string generation unit 114d. Details will be described later. The identifier acquisition unit 115 acquires the client's MAC address as the identifier assigned to the client. The restriction unit 116 restricts communication in the security setting process. The guide unit 117 generates information for displaying a guide screen on the client, and transmits the information to the client. The encrypted communication unit 118 establishes encrypted communication conforming to a prescribed encryption method with the other party of communication.

設定ボタン120は、AP10の筐体に設けられたモーメンタリスイッチであり、設定ボタン120押下の検出により、セキュリティ設定処理が開始される。なお、設定ボタン120は、状態を維持しないスイッチにより実現されることが好ましい。   The setting button 120 is a momentary switch provided in the housing of the AP 10, and the security setting process is started when the pressing of the setting button 120 is detected. The setting button 120 is preferably realized by a switch that does not maintain the state.

無線通信インタフェース140は、図示しない送受信回路を含み、アンテナを介して受信した電波の復調とデータの生成、および、アンテナを介して送信する電波の生成と変調を行う機能を有する。有線通信インタフェース150は、インターネットINT側の回線と接続されるほか、有線ケーブルを通じて通信の相手方となるデバイスと接続される。有線通信インタフェース150は、図示しないPHY/MACコントローラを含み、受信した信号の波形を整えるほか、受信した信号からMACフレームを取り出す機能を有する。   The wireless communication interface 140 includes a transmission / reception circuit (not shown), and has a function of demodulating a radio wave received via an antenna and generating data, and generating and modulating a radio wave transmitted via the antenna. The wired communication interface 150 is connected not only to a line on the Internet INT side but also to a device that is a communication partner through a wired cable. The wired communication interface 150 includes a PHY / MAC controller (not shown) and has a function of adjusting a waveform of a received signal and extracting a MAC frame from the received signal.

フラッシュROM160には、証明書161と、設定情報162と、識別子記憶部163と、データベース164と、許可リスト165とが含まれている。証明書161は、セキュリティ設定処理で使用されるSSLサーバ証明書である。設定情報162は、通信情報および暗号化情報である。識別子記憶部163は、識別子取得部115により取得されたクライアントの識別子を記憶するための記憶部である。   The flash ROM 160 includes a certificate 161, setting information 162, an identifier storage unit 163, a database 164, and a permission list 165. The certificate 161 is an SSL server certificate used in the security setting process. The setting information 162 is communication information and encryption information. The identifier storage unit 163 is a storage unit for storing the client identifier acquired by the identifier acquisition unit 115.

データベース164には、簡単認証処理において使用される画像や文字列が記憶されている。許可リスト165は、簡単認証処理において、クライアントが正規のクライアントであることを認証するために用いられる情報である。許可リスト165には、AP10のPIN、すなわち、AP10の正当な利用者であることを判定するために用いられる暗証番号を示す文字列が格納されている。なお、許可リスト165は複数のPINを格納していても良い。   The database 164 stores images and character strings used in the simple authentication process. The permission list 165 is information used for authenticating that the client is a legitimate client in the simple authentication process. The permission list 165 stores a character string indicating a PIN of the AP 10, that is, a password used for determining that the AP 10 is a valid user. The permission list 165 may store a plurality of PINs.

また、本実施例のAP10は、マルチSSID機能をサポートしている。従って、AP10は、1つの物理的なアクセスポイントを、複数の論理的なアクセスポイントである複数の仮想アクセスポイントとして動作させることができる。AP10は、仮想アクセスポイントごとに異なるSSIDを設定することで、仮想アクセスポイントに対する接続をそれぞれ独立して制御することができる。なお、仮想アクセスポイントを「仮想ポート」とも呼ぶ。   Further, the AP 10 of this embodiment supports a multi-SSID function. Therefore, the AP 10 can operate one physical access point as a plurality of virtual access points that are a plurality of logical access points. The AP 10 can independently control connection to the virtual access point by setting a different SSID for each virtual access point. The virtual access point is also called a “virtual port”.

AP10への接続対象は、AP10の仮想ポートに設定されたSSID(またはESSID、BSSID)を知っているクライアント、換言すれば、AP10の仮想ポートに設定されたSSIDと同一のSSIDが設定されたクライアントに制限される。なお、セキュリティを向上させるための他の方法として、AP10の中継処理部111は、ビーコンに含まれるSSIDを暗号化する態様や、AP10とクライアントとの接続時に、クライアントに対して認証情報を求める態様を採用してもよい。   The connection target to the AP 10 is a client that knows the SSID (or ESSID, BSSID) set in the virtual port of the AP 10, in other words, a client in which the same SSID is set as the SSID set in the virtual port of the AP 10. Limited to As another method for improving security, the relay processing unit 111 of the AP 10 encrypts the SSID included in the beacon, or requests authentication information from the client when the AP 10 and the client are connected. May be adopted.

図3は、AP10の仮想ポートの一例を示す説明図である。本実施例のAP10は、3つの仮想ポートVAP0〜VAP2を備えている。仮想ポートにはそれぞれ、SSIDの有効/無効と、SSIDと、通信の暗号化方式とが設定されている。仮想ポートVAP0には、「ABC012」というSSIDが有効であること、通信の暗号化方式としてWPA2−PSKを用いることが設定されている。仮想ポートVAP1には、「4GAME」というSSIDが有効であること、通信の暗号化方式としてWEPを用いることが設定されている。仮想ポートVAP1は、WDS(Wireless Distribution System)での通信に用いられる。仮想ポートVAP2には、SSIDが無効であること、暗号化通信を使用しないことが設定されている。   FIG. 3 is an explanatory diagram illustrating an example of a virtual port of the AP 10. The AP 10 according to the present embodiment includes three virtual ports VAP0 to VAP2. For each virtual port, SSID validity / invalidity, SSID, and communication encryption method are set. The virtual port VAP0 is set to be valid for the SSID “ABC012” and to use WPA2-PSK as the communication encryption method. The virtual port VAP1 is set to have the SSID “4GAME” valid and use WEP as the communication encryption method. The virtual port VAP1 is used for communication in a WDS (Wireless Distribution System). The virtual port VAP2 is set so that the SSID is invalid and encrypted communication is not used.

A−3.クライアントの概略構成:
図4は、PC20の概略構成を示す説明図である。クライアントとしてのPC20は、CPU210と、RAM220と、無線通信インタフェース(I/F)230と、有線通信インタフェース(I/F)240と、フラッシュROM250と、表示部260と、操作部270とを備え、それぞれがバスにより相互に接続されている。
A-3. General client configuration:
FIG. 4 is an explanatory diagram showing a schematic configuration of the PC 20. The PC 20 as a client includes a CPU 210, a RAM 220, a wireless communication interface (I / F) 230, a wired communication interface (I / F) 240, a flash ROM 250, a display unit 260, and an operation unit 270. Each is connected to each other by a bus.

CPU210は、フラッシュROM250や図示しないハードディスクに格納されているコンピュータプログラムをRAM220に展開して実行することにより、PC20を制御する。無線通信インタフェース230は、図示しない送受信回路を含み、アンテナを介して受信した電波の復調とデータの生成、および、アンテナを介して送信する電波の生成と変調を行う。有線通信インタフェース240は、有線ケーブルを通じて通信の相手方となるデバイスと接続される。フラッシュROM250には、PC20を制御するためのコンピュータプログラム(図示省略)と、設定情報記憶部251とが含まれている。設定情報記憶部251は、後述のセキュリティ設定処理を経て取得された設定情報(通信情報および暗号化情報)を記憶するための記憶部である。表示部260は、図示しないディスプレイと、ディスプレイドライバを含み、ユーザに対して視覚的な画面表示を行う機能を有する。操作部270は、図示しないマウスやキーボードと、それらのドライバとを含み、ユーザからの入力を受け付ける機能を有する。   The CPU 210 controls the PC 20 by developing a computer program stored in the flash ROM 250 or a hard disk (not shown) in the RAM 220 and executing it. The wireless communication interface 230 includes a transmission / reception circuit (not shown), and performs demodulation and generation of radio waves received via an antenna, and generation and modulation of radio waves transmitted via an antenna. The wired communication interface 240 is connected to a device that is a communication partner through a wired cable. The flash ROM 250 includes a computer program (not shown) for controlling the PC 20 and a setting information storage unit 251. The setting information storage unit 251 is a storage unit for storing setting information (communication information and encryption information) acquired through a security setting process described later. The display unit 260 includes a display (not shown) and a display driver, and has a function of visually displaying a screen to the user. The operation unit 270 includes a mouse and keyboard (not shown) and their drivers, and has a function of receiving input from the user.

A−4.セキュリティ設定処理:
図5は、セキュリティ設定処理の手順を示すシーケンス図である。セキュリティ設定処理は、AP10のセキュリティレベルの低下を回避しつつ、簡単かつ記憶媒体を必要とせずに、クライアントに対して設定情報(通信情報および暗号化情報)を設定させる処理である。セキュリティ設定処理は、大きく分けて4つの工程PH1〜PH4を含んでいる。なお、工程PH4は省略可能である。
PH1:一時的な通信を確立する工程
PH2:クライアントを認証し、クライアントに設定用アプリケーションを受信させる工程
PH3:暗号化通信を確立する工程
PH4:推奨ファイルを取得し案内する工程
A-4. Security setting process:
FIG. 5 is a sequence diagram showing the procedure of the security setting process. The security setting process is a process for causing the client to set setting information (communication information and encryption information) simply and without requiring a storage medium while avoiding a decrease in the security level of the AP 10. The security setting process is roughly divided into four steps PH1 to PH4. Note that the process PH4 can be omitted.
PH1: Step of establishing temporary communication PH2: Step of authenticating the client and causing the client to receive the setting application PH3: Step of establishing encrypted communication PH4: Step of acquiring and guiding a recommended file

図6は、セキュリティ設定処理の工程PH1および工程PH2の状態遷移図である。図6を図5のシーケンス図と共に参照しつつ、セキュリティ設定処理について説明する。なお、以降では、クライアントとしてPC20を例示する。   FIG. 6 is a state transition diagram of steps PH1 and PH2 of the security setting process. The security setting process will be described with reference to FIG. 6 together with the sequence diagram of FIG. Hereinafter, the PC 20 is exemplified as the client.

A−4−1.工程PH1(一時的な通信を確立する工程):
ユーザは、AP10の設定ボタン120を押下する(ステップS100)。設定ボタン120押下を検出したAP10は、PC20との間で一時的な通信を確立するための仮想ポートの設定を行う(ステップS102)。具体的には、AP10の設定制御部112は、仮想ポートVAP2(図3)のSSIDを無効から有効に代え、SSIDの値を「!ABC」に変更する。変更されたSSIDは、AP10が送信するビーコンに含められ、PC20に通知される。そのため、ビーコンを受信したPC20は、特別な仕様を有していなくても、SSIDを「!ABC」とするAP10の存在を知ることができる。
A-4-1. Step PH1 (step of establishing temporary communication):
The user presses the setting button 120 of the AP 10 (step S100). The AP 10 that has detected the pressing of the setting button 120 sets a virtual port for establishing temporary communication with the PC 20 (step S102). Specifically, the setting control unit 112 of the AP 10 changes the SSID of the virtual port VAP2 (FIG. 3) from invalid to valid, and changes the value of the SSID to “! ABC”. The changed SSID is included in the beacon transmitted by the AP 10 and notified to the PC 20. Therefore, the PC 20 that has received the beacon can know the existence of the AP 10 having the SSID “! ABC” even if it does not have a special specification.

図8は、ビーコンを受信したPC20のオペレーティングシステムにより提供されるワイヤレスネットワーク接続画面の一例である。なお、オペレーティングシステムを、以降「OS」とも呼ぶ。ワイヤレスネットワーク接続画面W1には、PC20がビーコンを受信した複数の物理アクセスポイントもしくは仮想アクセスポイントの情報NE1〜NE4がリスト表示され、さらに、接続ボタンB11が表示されている。なお、ワイヤレスネットワーク接続画面W1の表示方法は、SSIDの昇順(SSIDの文字コードが若い順に上段から表示される仕様)にしておくことが好ましい。そうすれば、ステップS102において変更後のSSIDを「!ABC」とすることで、ワイヤレスネットワーク接続画面W1上で、AP10の仮想ポートVAP2をリストの最上段またはその付近に表示させることができる。結果、ユーザは表示リスト上でAP10を容易に見つけることができ、ユーザの利便性を向上させることができる。   FIG. 8 is an example of a wireless network connection screen provided by the operating system of the PC 20 that has received the beacon. Hereinafter, the operating system is also referred to as “OS”. The wireless network connection screen W1 displays a list of information NE1 to NE4 of a plurality of physical access points or virtual access points from which the PC 20 has received a beacon, and further displays a connection button B11. Note that the display method of the wireless network connection screen W1 is preferably in the ascending order of SSID (specification displayed from the top in order of the SSID character code in ascending order). Then, by setting the changed SSID to “! ABC” in step S102, the virtual port VAP2 of the AP 10 can be displayed on or near the top of the list on the wireless network connection screen W1. As a result, the user can easily find the AP 10 on the display list, and the convenience for the user can be improved.

ユーザは、ワイヤレスネットワーク接続画面W1からSSIDを「!ABC」とするAP10を手動で選択し、接続ボタンB11を押下する(ステップS104)。接続ボタンB11押下によって、OSにより提供される無線LAN接続用のモジュールは、AP10に対して、選択されたSSID「!ABC」を指定した接続要求を送信する(ステップS106)。PC20からの接続要求を受信したAP10の限定通信部113は、SSID「!ABC」により識別される仮想ポートVAP2に予め定められた通信設定(すなわち、暗号化なしの通信設定)に基づいて、PC20との間で非制限かつ一時的な通信を確立する(ステップS108)。一時的な通信確立後、限定通信部113は、PC20に対して通信を確立した旨の応答を送信する(ステップS110)。このとき、セキュリティ設定処理の状態(図6)は、開始状態C1から!ABC接続状態C2へ遷移する。なお、工程PH1は、特許請求の範囲における工程(a)に相当する。   The user manually selects the AP 10 whose SSID is “! ABC” from the wireless network connection screen W1, and presses the connection button B11 (step S104). When the connection button B11 is pressed, the wireless LAN connection module provided by the OS transmits a connection request designating the selected SSID “! ABC” to the AP 10 (step S106). The limited communication unit 113 of the AP 10 that has received the connection request from the PC 20 uses the PC 20 based on a communication setting (that is, a communication setting without encryption) predetermined for the virtual port VAP2 identified by the SSID “! ABC”. Unrestricted and temporary communication is established with (step S108). After the temporary communication is established, the limited communication unit 113 transmits a response indicating that the communication is established to the PC 20 (step S110). At this time, the state of the security setting process (FIG. 6) starts from the start state C1! Transition to the ABC connection state C2. The process PH1 corresponds to the process (a) in the claims.

A−4−2.工程PH2(クライアントを認証し、クライアントに設定用アプリケーションを受信させる工程):
ユーザがPC20から任意のWEBページにアクセスしたこと(ステップS800)をトリガとして、AP10の認証部114は簡単認証処理を実行し、PC20を認証する。簡単認証処理の詳細は「A−5.簡単認証処理」において詳述する。なお、簡単認証処理は省略可能である。このとき、セキュリティ設定処理の状態(図6)は、!ABC接続状態C2から簡単認証処理状態C5へ遷移する。一方、!ABC接続状態C2において、所定の時間(例えば120秒)WEBページへのアクセス要求がない場合、限定通信部113は、SSID「!ABC」による一時的な通信を切断する。これにより、セキュリティ設定処理の状態は!ABC切断状態C3を経て終了状態C4へ遷移する。
A-4-2. Step PH2 (step of authenticating the client and causing the client to receive the setting application):
Triggered by the user accessing an arbitrary WEB page from the PC 20 (step S800), the authentication unit 114 of the AP 10 executes a simple authentication process and authenticates the PC 20. Details of the simple authentication process will be described in detail in “A-5. Simple authentication process”. The simple authentication process can be omitted. At this time, the state of the security setting process (FIG. 6) is! Transition from the ABC connection state C2 to the simple authentication processing state C5. on the other hand,! In the ABC connection state C2, when there is no access request to the WEB page for a predetermined time (for example, 120 seconds), the limited communication unit 113 disconnects the temporary communication by the SSID “! ABC”. As a result, the status of the security setting process is! It transits to the end state C4 through the ABC disconnection state C3.

簡単認証処理において認証不可と判定された場合、限定通信部113は、SSID「!ABC」による一時的な通信を切断する。これにより、セキュリティ設定処理の状態(図6)は!ABC切断状態C3を経て終了状態C4へ遷移する。なお、この工程は省略可能である。また、この工程は、特許請求の範囲における工程(g)に相当する。   If it is determined in the simple authentication process that authentication is impossible, the limited communication unit 113 disconnects temporary communication using the SSID “! ABC”. As a result, the state of the security setting process (FIG. 6) is! It transits to the end state C4 through the ABC disconnection state C3. This step can be omitted. Further, this step corresponds to the step (g) in the claims.

簡単認証処理において認証許可と判定された場合、AP10の識別子取得部115は、PC20に対してMACアドレス取得要求を送信する(ステップS112)。MACアドレス取得要求を受信したPC20は、自身のMACアドレスをAP10へ送信する(ステップS114)。その後、識別子取得部115は、受信したMACアドレスを、識別子記憶部163に記憶させる。このとき、セキュリティ設定処理の状態(図6)は、簡単認証処理状態C5からMACアドレス取得状態C6へ遷移する。なお、ステップS112およびS114は、特許請求の範囲における工程(b)に相当し、PC20のMACアドレスは、特許請求の範囲における「クライアント装置に割り当てられた識別子」に相当する。   When it is determined that authentication is permitted in the simple authentication process, the identifier acquisition unit 115 of the AP 10 transmits a MAC address acquisition request to the PC 20 (step S112). The PC 20 that has received the MAC address acquisition request transmits its own MAC address to the AP 10 (step S114). After that, the identifier acquisition unit 115 stores the received MAC address in the identifier storage unit 163. At this time, the state of the security setting process (FIG. 6) transitions from the simple authentication process state C5 to the MAC address acquisition state C6. Steps S112 and S114 correspond to step (b) in the claims, and the MAC address of the PC 20 corresponds to “identifier assigned to client device” in the claims.

MACアドレス取得状態C6では、PC20のMACアドレスを取得可能な限りにおいて他の手段を用いても良い。例えば、識別子取得部115は、簡単認証処理において認証許可と判定された場合に、例えば図14のステップS812においてPC20から受信したパケットのヘッダに含まれる送信元MACアドレスを記憶することとしてもよい。このようにすれば、ステップS112およびS114を省略することができる。また、MACアドレス取得状態C6では、PC20のMACアドレスを取得するとしたが、クライアントに割り当てられた識別子であれば、予め付与されたID等、例えば製造シリアル番号を用いてもよく、MACアドレスには限られない。   In the MAC address acquisition state C6, other means may be used as long as the MAC address of the PC 20 can be acquired. For example, when it is determined that authentication is permitted in the simple authentication process, the identifier acquisition unit 115 may store the source MAC address included in the header of the packet received from the PC 20 in step S812 of FIG. In this way, steps S112 and S114 can be omitted. In the MAC address acquisition state C6, the MAC address of the PC 20 is acquired. However, if the identifier is assigned to the client, a pre-assigned ID or the like, for example, a manufacturing serial number may be used. Not limited.

PC20からのMACアドレスを取得後、AP10の制限部116は、以降の!ABC接続を介した通信を、取得したMACアドレスを用いて制限する。具体的には、制限部116は、受信したパケットのヘッダを参照し、ヘッダに含まれる送信元MACアドレスを識別子記憶部163に記憶されたMACアドレスと照合する。そして制限部116は、両者が一致するパケットを通過させ、一致しないパケットを破棄する。なお、この処理を「フィルタリング処理」とも呼ぶ。なお、制限部116によるフィルタリング処理は、特許請求の範囲における工程(c)に相当する。このようにすれば、!ABC接続を介した通信を、簡単認証処理において認証許可と判定されたクライアントに限定することができるため、セキュリティ設定処理のセキュリティ(機密性)を向上させることができる。   After obtaining the MAC address from the PC 20, the restriction unit 116 of the AP 10 performs the following! The communication via the ABC connection is restricted using the acquired MAC address. Specifically, the restriction unit 116 refers to the header of the received packet and collates the source MAC address included in the header with the MAC address stored in the identifier storage unit 163. Then, the restriction unit 116 passes packets that match each other and discards packets that do not match. This process is also referred to as “filtering process”. The filtering process by the restriction unit 116 corresponds to the step (c) in the claims. If you do this! Since communication via the ABC connection can be limited to clients determined to be permitted for authentication in the simple authentication process, the security (confidentiality) of the security setting process can be improved.

AP10の案内部117は、WEBブラウザにPPPoE(PPP over Ethernet)のユーザ名とパスワードとの入力を促す案内画面を表示させるための情報を生成し、PC20へ送信する(ステップS116)。   The guidance unit 117 of the AP 10 generates information for displaying a guidance screen that prompts the WEB browser to input a PPPoE (PPP over Ethernet) user name and password, and transmits the information to the PC 20 (step S116).

図9は、ステップS116によりPC20のWEBブラウザに表示されるユーザ名入力画面の一例である。ユーザ名入力画面W2には、PPPoEユーザ名の入力用テキストボックスT21と、PPPoEパスワードの入力用テキストボックスT22と、キャンセルボタンB21と、送信ボタンB22とが配置されている。ユーザは、テキストボックスT21に予め与えられたPPPoEユーザ名を、テキストボックスT22に予め与えられたPPPoEパスワードをそれぞれ入力し、送信ボタンB22を押下する(ステップS120)。送信ボタンB22押下により、入力されたPPPoEユーザ名とパスワードとがAP10に送信される(ステップS122)。   FIG. 9 is an example of a user name input screen displayed on the WEB browser of the PC 20 in step S116. On the user name input screen W2, a text box T21 for inputting a PPPoE user name, a text box T22 for inputting a PPPoE password, a cancel button B21, and a send button B22 are arranged. The user inputs a PPPoE user name given in advance in the text box T21 and a PPPoE password given in advance in the text box T22, and presses the send button B22 (step S120). By pressing the transmission button B22, the input PPPoE user name and password are transmitted to the AP 10 (step S122).

PPPoEユーザ名とパスワードとを受信したAP10の設定制御部112は、取得したユーザ名とパスワードとを用いてPPPoEの設定を行う(ステップS123)。設定後、案内部117は、WEBブラウザにPPPoEの設定完了と、接続指示を促す案内画面を表示させるための情報を生成し、PC20へ送信する(ステップS124)。ユーザが、WEBブラウザに表示させる接続指示を促すメッセージに沿って接続指示を与えることにより、接続要求がAP10に送信される(ステップS126、S128)。PPPoE接続要求を受信したAP10の設定制御部112は、設定内容に従ってPPPoE接続を行う(ステップS130)。このとき、セキュリティ設定処理の状態(図6)は、MACアドレス取得状態C6からインターネット接続状態C7へ遷移する。インターネット接続状態C7では、接続に失敗した場合、所定の時間もしくは所定の回数リトライを実施する。   Upon receiving the PPPoE user name and password, the setting control unit 112 of the AP 10 performs PPPoE setting using the acquired user name and password (step S123). After the setting, the guide unit 117 generates information for causing the WEB browser to display PPPoE setting completion and a guidance screen for prompting a connection instruction, and transmits the information to the PC 20 (step S124). When the user gives a connection instruction along a message prompting the connection instruction to be displayed on the WEB browser, a connection request is transmitted to the AP 10 (steps S126 and S128). Upon receiving the PPPoE connection request, the setting control unit 112 of the AP 10 performs PPPoE connection according to the setting content (step S130). At this time, the state of the security setting process (FIG. 6) transitions from the MAC address acquisition state C6 to the Internet connection state C7. In the Internet connection state C7, when connection fails, retry is performed for a predetermined time or a predetermined number of times.

PPPoE接続試行後、案内部117は、WEBブラウザにPPPoE接続の結果(ステップS132)と、設定用アプリケーションのダウンロードを促す案内画面を表示させるための情報を生成し、PC20へ送信する(ステップS134)。なお、図中においては、設定用アプリケーションを「設定用アプリ」と表記する。   After the PPPoE connection attempt, the guidance unit 117 generates a PPPoE connection result (step S132) and information for displaying a guidance screen for prompting the download of the setting application on the WEB browser, and transmits the information to the PC 20 (step S134). . In the figure, the setting application is referred to as “setting application”.

図10は、ステップS134によりPC20のWEBブラウザに表示される設定用アプリケーションダウンロード画面の一例である。設定用アプリケーションダウンロード画面W3には、ダウンロードの開始を促すリンクが配置されている。リンクは、ダウンロードの開始を促す旨のメッセージを表示すると共に、リンクをクリックされることにより、インターネット上にある所定のサーバにダウンロード要求を送信するように構成されている。ユーザは、リンク表示されたメッセージに沿って、リンクを押下する(ステップS136)。リンク押下により、ダウンロード要求がインターネット上の所定のサーバに送信される(ステップS138)。   FIG. 10 is an example of a setting application download screen displayed on the WEB browser of the PC 20 in step S134. On the setting application download screen W3, a link that prompts the start of download is arranged. The link is configured to display a message prompting the start of download and to send a download request to a predetermined server on the Internet when the link is clicked. The user presses the link along the message displayed as a link (step S136). When the link is pressed, a download request is transmitted to a predetermined server on the Internet (step S138).

ダウンロード要求を受信したサーバは、図示しない記憶部からPC20に適した設定用アプリケーションを検索する(ステップS140)。例えば、サーバは、ダウンロード要求にPC20の種類やPC20にインストールされているOSの種類・バージョンが含まれている場合、それらの情報をもとに、専用に作成された設定用アプリケーションを検索することができる。サーバは、検索した設定用アプリケーションをPC20に対して送信すると共に、PC20のWEBページを閉じさせる(ステップS142)。このとき、セキュリティ設定処理の状態(図6)は、インターネット接続状態C7から設定用アプリダウンロード状態C8へ遷移する。設定用アプリダウンロード状態C8では、サーバによるWEBページ閉、もしくは、WEBブラウザのセッションタイムアウトが起こるまで待機する。サーバによりWEBページが閉じられた場合、セキュリティ設定処理の状態はSSL通信待ち状態C9へ遷移し、所定の時間(例えば180秒)待機後、!ABC切断状態C3を経て終了状態C4へ遷移する。なお、ステップS134〜S142は、特許請求の範囲における工程(d)に相当し、設定用アプリケーションは、特許請求の範囲における「ファイル」に相当する。   The server that has received the download request searches for a setting application suitable for the PC 20 from a storage unit (not shown) (step S140). For example, when the download request includes the type of the PC 20 or the type / version of the OS installed in the PC 20, the server searches for a setting application created exclusively based on the information. Can do. The server transmits the searched setting application to the PC 20 and closes the WEB page of the PC 20 (step S142). At this time, the state of the security setting process (FIG. 6) transitions from the Internet connection state C7 to the setting application download state C8. In the setting application download state C8, the process waits until the WEB page is closed by the server or the session timeout of the WEB browser occurs. When the WEB page is closed by the server, the state of the security setting process transits to the SSL communication waiting state C9, and after waiting for a predetermined time (for example, 180 seconds),! It transits to the end state C4 through the ABC disconnection state C3. Steps S134 to S142 correspond to step (d) in the claims, and the setting application corresponds to “file” in the claims.

なお、設定用アプリダウンロード状態C8では、AP10は、インターネット上にある所定のサーバから設定用アプリケーションをダウンロードさせるとしたが、インターネット上のサーバを用いない構成としても良い。例えば、AP10のフラッシュROM160またはAP10に接続されている図示しない外付け記憶装置(例えばUSBハードディスク)に設定用アプリケーションを記憶させた上で、設定用アプリケーションダウンロード画面W3のリンクを押下することによりAP10にダウンロード要求を送信するように構成することとしてもよい。このようにすれば、インターネット上のサーバを使用せずに、設定用アプリケーションをダウンロードさせることができる。   In the setting application download state C8, the AP 10 downloads the setting application from a predetermined server on the Internet. However, the configuration may be such that a server on the Internet is not used. For example, the setting application is stored in an external storage device (not shown) connected to the flash ROM 160 of the AP 10 or the AP 10 (for example, a USB hard disk), and then the AP 10 is pressed by pressing the link on the setting application download screen W3. The download request may be configured to be transmitted. In this way, the setting application can be downloaded without using a server on the Internet.

A−4−3.工程PH3(暗号化通信を確立する工程):
図11は、設定用アプリケーションをダウンロードしたPC20において表示される画面の一例である。設定用アプリケーションをダウンロードしたPC20では、まず、図11の上段に示す実行確認画面W4がOSにより表示される。実行確認画面W4には、プログラムを実行するかを確認するためのメッセージと、はいボタンB41と、いいえボタンB42とが配置されている。ユーザがはいボタンB41を押下することにより、PC20は設定用アプリケーションを実行する(ステップS150)。実行された設定用アプリケーションは、図11の下段に示す待機画面W5を表示させる。待機画面W5には、暗号化通信を確立中である旨を示すメッセージが含まれている。
A-4-3. Step PH3 (step of establishing encrypted communication):
FIG. 11 is an example of a screen displayed on the PC 20 that has downloaded the setting application. In the PC 20 that has downloaded the setting application, first, an execution confirmation screen W4 shown in the upper part of FIG. 11 is displayed by the OS. On the execution confirmation screen W4, a message for confirming whether to execute the program, a Yes button B41, and a No button B42 are arranged. When the user presses the yes button B41, the PC 20 executes the setting application (step S150). The executed setting application displays a standby screen W5 shown in the lower part of FIG. The standby screen W5 includes a message indicating that encrypted communication is being established.

PC20の設定用アプリケーションは、AP10に対して、IPアドレス取得要求を送信する(ステップS152)。IPアドレス取得要求を受信したAP10の設定制御部112は、自身のIPアドレスを送信する(ステップS154)。なお、ステップS152、S154では、PC20がAP10のMACアドレスを取得可能な限りにおいて他の手段を用いても良い。例えば、PC20がAP10から受信したパケットのヘッダ等に含まれるIPアドレスを取得することとして、ステップS152、S154を省略してもよい。   The setting application of the PC 20 transmits an IP address acquisition request to the AP 10 (step S152). The setting control unit 112 of the AP 10 that has received the IP address acquisition request transmits its own IP address (step S154). In steps S152 and S154, other means may be used as long as the PC 20 can acquire the MAC address of the AP 10. For example, steps S152 and S154 may be omitted by acquiring the IP address included in the header of the packet received by the PC 20 from the AP 10.

AP10のIPアドレスを取得したPC20の設定用アプリケーションは、AP10に対して、SSLハンドシェイクの開始要求を送信する(ステップS156)。SSLハンドシェイクの開始要求には、PC20のSSLバージョン番号と、暗号設定と、セッション固有データ等が含まれている。SSLハンドシェイクの開始要求を受信したAP10の暗号化通信部118は、PC20に対して、応答を送信する(ステップS158)。応答には、AP10のSSLバージョン番号と、暗号設定と、セッション固有のデータと、フラッシュROM160に記憶されているAP10の証明書161等が含まれている。AP10からの応答を受信したPC20の設定用アプリケーションは、応答に含まれる情報を使用して、AP10を認証する。これにより、AP10とPC20との間で、SSLプロトコルに準拠した暗号化通信が確立される。なお、ステップS156およびS158は、特許請求の範囲における工程(e)に相当する。   The setting application of the PC 20 that has acquired the IP address of the AP 10 transmits an SSL handshake start request to the AP 10 (step S156). The SSL handshake start request includes the SSL version number of the PC 20, encryption settings, session specific data, and the like. The encrypted communication unit 118 of the AP 10 that has received the SSL handshake start request transmits a response to the PC 20 (step S158). The response includes the SSL version number of the AP 10, the encryption setting, session-specific data, the AP 161 certificate 161 stored in the flash ROM 160, and the like. The setting application of the PC 20 that has received the response from the AP 10 authenticates the AP 10 using information included in the response. Thereby, the encrypted communication based on the SSL protocol is established between the AP 10 and the PC 20. Steps S156 and S158 correspond to step (e) in the claims.

図7は、暗号化通信を介して設定情報が交換される様子を示す説明図である。暗号化通信確立後、設定用アプリケーションは、設定情報交換のためのAP10の窓口となるURLの取得要求を送信する(ステップS160)。窓口URLの取得要求を受信したAP10の暗号化通信部118は、PC20に対して、窓口URLを送信する(ステップS162)。設定用アプリケーションは、取得したAP10の窓口URLに対して、SSL通信を用いてPC20の性能情報と、生成した公開鍵PKとを送信する(ステップS164)。図7の上段はこの様子を示している。性能情報には、PC20の無線使用可能レベル、例えば、無線通信インタフェース230のモデル名や、無線通信インタフェース230がサポートしている暗号化方式等の情報が含まれる。なお、性能情報は、特許請求の範囲における「通信設定に関する情報」に相当する。   FIG. 7 is an explanatory diagram showing how setting information is exchanged via encrypted communication. After establishing the encrypted communication, the setting application transmits a request for acquiring a URL serving as a window for the AP 10 for exchanging setting information (step S160). The encrypted communication unit 118 of the AP 10 that has received the window URL acquisition request transmits the window URL to the PC 20 (step S162). The setting application transmits the performance information of the PC 20 and the generated public key PK to the acquired contact URL of the AP 10 using SSL communication (step S164). The upper part of FIG. 7 shows this state. The performance information includes information such as the wireless usable level of the PC 20, for example, the model name of the wireless communication interface 230, the encryption method supported by the wireless communication interface 230, and the like. The performance information corresponds to “information regarding communication settings” in the claims.

PC20の性能情報を受信したAP10の暗号化通信部118は、フラッシュROM160の設定情報162に記憶された設定情報から、PC20の性能情報に基づいて選択された設定情報(通信情報、暗号化情報)をPC20へ送信する(ステップS166)。なお、この送信に先立って暗号化通信部118は、図7下段に示すように、ステップS164で受信した公開鍵PKを用いて設定情報を暗号化する。このようにすれば、AP10から送信される設定情報は、PC20だけが保持する秘密鍵SKとペアをなす公開鍵PKによって暗号化されているため、PC20以外の第三者が設定情報を取得しても複号化することができない。従って、高い機密性が求められる設定情報を、公開鍵/秘密鍵による保護と、SSL通信による保護とを用いて、二重に保護することができる。なお、ステップS164およびステップS166は、特許請求の範囲における工程(f)に相当し、設定情報は、特許請求の範囲における「通信設定に関する情報」に相当する。   The encryption communication unit 118 of the AP 10 that has received the performance information of the PC 20 selects the setting information (communication information, encryption information) selected based on the performance information of the PC 20 from the setting information stored in the setting information 162 of the flash ROM 160. Is transmitted to the PC 20 (step S166). Prior to this transmission, the encrypted communication unit 118 encrypts the setting information using the public key PK received in step S164 as shown in the lower part of FIG. In this way, since the setting information transmitted from the AP 10 is encrypted with the public key PK paired with the private key SK held only by the PC 20, a third party other than the PC 20 acquires the setting information. However, it cannot be decoded. Therefore, setting information that requires high confidentiality can be protected twice by using public key / private key protection and SSL communication protection. Steps S164 and S166 correspond to step (f) in the claims, and the setting information corresponds to “information on communication settings” in the claims.

設定情報受信後、PC20は、設定情報に含まれる通信情報と暗号化情報とを用いて、AP10へ接続要求を送信する(ステップS170)。接続要求を受信したAP10は、指定された通信情報と暗号化情報とに基づく暗号化通信を確立する(ステップS172)。具体的には、例えば、AP10がPC20から受信した通信情報に、仮想ポートVAP0(図3)に割り当てられたSSIDが、暗号化情報としてWPA2−PSKの鍵が含まれていた場合、AP10は、仮想ポートVAP0を用いたWPA2−PSK暗号化通信を確立する。   After receiving the setting information, the PC 20 transmits a connection request to the AP 10 using the communication information and the encryption information included in the setting information (step S170). The AP 10 that has received the connection request establishes encrypted communication based on the designated communication information and encrypted information (step S172). Specifically, for example, when the communication information received by the AP 10 from the PC 20 includes the SSID assigned to the virtual port VAP0 (FIG. 3) and the WPA2-PSK key as encryption information, the AP 10 Establish WPA2-PSK encrypted communication using the virtual port VAP0.

A−4−4.工程PH4(推奨ファイルを取得し案内する工程):
設定用アプリケーションは、インターネット上にある所定のサーバに対して、推奨ファイルダウンロード用アプリケーションのダウンロード要求を送信する(ステップS176)。以降では、推奨ファイルダウンロード用アプリケーションを「DLアプリケーション」とも呼ぶ。なお、図中においては、DLアプリケーションを「DLアプリ」と表記する。DLアプリケーションのダウンロード要求を受信したサーバは、図示しない記憶部からPC20に適したDLアプリケーションを検索し、検索したDLアプリケーションをPC20に対して送信する(ステップS178)。詳細は設定用アプリケーションの検索と同様である。DLアプリケーションを受信した設定用アプリケーションは、DLアプリケーションを実行後、処理を終了する(ステップS180)。
A-4-4. Process PH4 (process for obtaining and guiding a recommended file):
The setting application transmits a download request for the recommended file download application to a predetermined server on the Internet (step S176). Hereinafter, the recommended file download application is also referred to as a “DL application”. In the figure, the DL application is denoted as “DL application”. The server that has received the DL application download request searches for a DL application suitable for the PC 20 from a storage unit (not shown), and transmits the searched DL application to the PC 20 (step S178). The details are the same as the search for the setting application. The setting application that has received the DL application ends the process after executing the DL application (step S180).

DLアプリケーションは、AP10に対して、AP10の情報の取得要求を送信する(ステップS182)。取得要求を受信したAP10は、自身の情報、例えば、AP10のモデル名や、AP10の状態や、AP10のサポート可能な暗号化方式等を送信する(ステップS184)。AP10の情報を受信したDLアプリケーションは、インターネット上にある所定のサーバから推奨ファイルの一覧を取得する(ステップS186)。具体的には、DLアプリケーションは、AP10の情報と、PC20の情報(PC20の種類、PC20にインストールされているOSの種類、バージョン)とを含んだ推奨ファイルの案内要求をサーバへ送信する。サーバは、受信したAP10の情報と、PC20の情報とを用いて、図示しない記憶部からPC20用の推奨ファイルを検索し、その一覧をPC20に対して送信する(ステップS188)。   The DL application transmits an AP 10 information acquisition request to the AP 10 (step S182). The AP 10 that has received the acquisition request transmits its own information, for example, the model name of the AP 10, the state of the AP 10, the encryption method that can be supported by the AP 10, and the like (step S184). The DL application that has received the information of the AP 10 acquires a list of recommended files from a predetermined server on the Internet (step S186). Specifically, the DL application transmits a recommended file guidance request including information on the AP 10 and information on the PC 20 (the type of the PC 20, the type of OS installed on the PC 20, and the version) to the server. The server uses the received AP 10 information and PC 20 information to search for a recommended file for the PC 20 from a storage unit (not shown), and transmits the list to the PC 20 (step S188).

なお、「推奨ファイル」とは、PC20がAP10を利用するにあたって、PC20へのダウンロードまたはインストールが推奨されるプログラムを意味する。推奨ファイルには、例えば、AP10のユーザマニュアルや、AP10の利便性を向上させるための補助ソフトウェアや、AP10のバージョンアップ用ソフトウェア等が含まれる。なお、ステップS182およびS184は特許請求の範囲における工程(h)に相当し、ステップS186およびS188は特許請求の範囲における工程(i)に相当する。   The “recommended file” means a program recommended to be downloaded or installed on the PC 20 when the PC 20 uses the AP 10. The recommended file includes, for example, a user manual of the AP 10, auxiliary software for improving the convenience of the AP 10, software for upgrading the version of the AP 10, and the like. Steps S182 and S184 correspond to step (h) in the claims, and steps S186 and S188 correspond to step (i) in the claims.

DLアプリケーションは、推奨ファイルの一覧を案内する案内画面を表示させる(ステップS190)。   The DL application displays a guidance screen for guiding a list of recommended files (step S190).

図12は、ステップS190によりPC20に表示される推奨ファイル一覧画面の一例である。推奨ファイル一覧画面W6には、推奨ファイルの情報P61、P62のリスト表示と、キャンセルボタンB61と、ダウンロードボタンB62とが配置されている。ユーザは、推奨ファイル一覧画面W6からダウンロードを希望するプログラムを選択し、ダウンロードボタンB62を押下する(ステップS192)。ボタン押下によって、DLアプリケーションは、選択されたプログラムのダウンロード要求をサーバに対して送信する(ステップS194)。ダウンロード要求を受信したサーバは、選択されたプログラムを図示しない記憶部から読み出し、PC20に対して送信する(ステップS196)。その後、DLアプリケーションは、キャンセルボタンB61が押下され、推奨ファイル一覧画面W6が閉じられる(ステップS198)まで、ステップS192およびS192〜S196を繰り返す。   FIG. 12 is an example of a recommended file list screen displayed on the PC 20 in step S190. In the recommended file list screen W6, a list display of recommended file information P61 and P62, a cancel button B61, and a download button B62 are arranged. The user selects a program desired to be downloaded from the recommended file list screen W6, and presses the download button B62 (step S192). When the button is pressed, the DL application transmits a download request for the selected program to the server (step S194). Upon receiving the download request, the server reads the selected program from a storage unit (not shown) and transmits it to the PC 20 (step S196). Thereafter, the DL application repeats steps S192 and S192 to S196 until the cancel button B61 is pressed and the recommended file list screen W6 is closed (step S198).

以上のように、本実施例のセキュリティ設定処理によれば、AP10(無線接続装置)は、PC20(クライアント装置)との間で非制限かつ一時的な通信、すなわち、!ABC接続を確立し、!ABC接続を用いて、PC20またはPC20とAP10との間の接続に割り当てられた識別子(第1実施例では、PC20のMACアドレス)を取得し、それ以降の!ABC接続による通信の相手方を、取得したMACアドレスを用いて制限したうえで、PC20に設定用アプリケーション(ファイル)を受信させるため、!ABC接続のセキュリティを向上させた状態で、PC20に対して設定用アプリケーションの配布を行うことができる。さらにAP10は、!ABC接続を終了させた後、設定用アプリケーションが実行されたPC20上との間で所定のプロトコル、すなわちSSLに準拠した暗号化通信を確立し、この暗号化通信を介して性能情報および設定情報(通信設定に関する情報)を交換するため、機密性の高い暗号化通信を用いて性能情報および設定情報(通信設定に関する情報)を交換することができる。これらの結果、PC20とAP10との間で、AP10のセキュリティレベルの低下を回避しつつ、簡単に、かつPC20において記憶媒体から設定に必要な情報を取得することなく、無線通信するための通信設定を行うことができる。   As described above, according to the security setting process of the present embodiment, the AP 10 (wireless connection device) performs unrestricted and temporary communication with the PC 20 (client device), that is,! Establish ABC connection! Using the ABC connection, the identifier assigned to the PC 20 or the connection between the PC 20 and the AP 10 (in the first embodiment, the MAC address of the PC 20) is acquired, and the subsequent! In order to make the PC 20 receive the setting application (file) after restricting the other party of communication by ABC connection using the acquired MAC address,! A setting application can be distributed to the PC 20 with the ABC connection security improved. Furthermore, AP10 is! After the ABC connection is terminated, encrypted communication conforming to a predetermined protocol, that is, SSL, is established with the PC 20 on which the setting application is executed, and the performance information and setting information ( In order to exchange communication information), performance information and setting information (information relating to communication settings) can be exchanged using encrypted communication with high confidentiality. As a result, a communication setting for wireless communication between the PC 20 and the AP 10 while avoiding a decrease in the security level of the AP 10 and without acquiring information necessary for setting from the storage medium in the PC 20. It can be performed.

さらに、本実施例のセキュリティ設定処理によれば、AP10とPC20との間の!ABC接続(一時的な通信)の確立は、設定ボタン120の押下というPC20のユーザが直接触れる形態、あるいは、AP10に対する近距離通信の形態で与えられる開始指示の検出をトリガとして開始されるため、悪意のある第三者が、ユーザの意図に反して開始指示を与えることを抑制することができる。   Furthermore, according to the security setting process of the present embodiment, the communication between the AP 10 and the PC 20! The establishment of the ABC connection (temporary communication) is triggered by the detection of a start instruction given by the PC 20 user directly touching the setting button 120 or the form of short-range communication with the AP 10. It is possible to prevent a malicious third party from giving a start instruction against the user's intention.

さらに、本実施例のセキュリティ設定処理によれば、AP10は、PC20との間で確立された!ABC接続(一時的な通信)を用いてPC20を認証するため、PC20からのアクセスが容易なセキュリティレベルの低い!ABC接続を用いて、まずPC20を認証することができる。   Furthermore, according to the security setting process of this embodiment, the AP 10 is established with the PC 20! Since the PC 20 is authenticated using the ABC connection (temporary communication), the security level is low and the access from the PC 20 is easy! First, the PC 20 can be authenticated using the ABC connection.

さらに、本実施例のセキュリティ設定処理によれば、AP10は、PC20の認証が不可であった場合にPC20との間に確立された!ABC接続(一時的な通信)を切断するため、以降の処理を継続することができなくなる。この結果、悪意のある第三者からの総当たり攻撃等によって性能情報および設定情報(通信設定に関する情報)が漏洩することを抑制することができる。   Further, according to the security setting process of this embodiment, the AP 10 is established with the PC 20 when the authentication of the PC 20 is impossible! Since the ABC connection (temporary communication) is disconnected, the subsequent processing cannot be continued. As a result, it is possible to suppress leakage of performance information and setting information (information regarding communication settings) due to a brute force attack from a malicious third party.

さらに、本実施例のセキュリティ設定処理によれば、PC20は、AP10の情報、例えば、AP10のモデル名や、AP10の状態や、AP10のサポート可能な暗号化方式等を取得し、取得したAP10の情報を用いて、PC20がAP10を利用するにあたって、PC20へのダウンロードが推奨される推奨ファイルの一覧を取得するため、通信設定と推奨ファイルの案内をセットで実施することができ、ユーザの利便性を向上させることができる。   Furthermore, according to the security setting process of the present embodiment, the PC 20 acquires the AP 10 information, for example, the model name of the AP 10, the AP 10 state, the encryption method that the AP 10 can support, and the like. When the PC 20 uses the AP 10 using the information, a list of recommended files recommended to be downloaded to the PC 20 is acquired, so that communication settings and recommended file guidance can be implemented as a set. Can be improved.

A−5.簡単認証処理:
以降では、セキュリティ設定処理のサブルーチンとして実行される簡単認証処理について説明する。
A-5. Simple authentication process:
Hereinafter, simple authentication processing executed as a subroutine of security setting processing will be described.

A−5−1.簡単認証処理(第1実施形態):
図13は、第1実施形態の簡単認証処理においてユーザ認証のために使用されるIDカードの一例を示す説明図である。IDカードCD1は、AP10の製品パッケージに同梱される態様で、AP10のユーザに予め配布されている。IDカードCD1には、SSIDと、KEYと、PINと、ICON IDと、が含まれている。
A-5-1. Simple authentication process (first embodiment):
FIG. 13 is an explanatory diagram illustrating an example of an ID card used for user authentication in the simple authentication process of the first embodiment. The ID card CD1 is distributed in advance to the users of the AP 10 in a form that is included in the product package of the AP 10. The ID card CD1 includes SSID, KEY, PIN, and ICON ID.

SSIDには、AP10にデフォルトで設定されているSSIDを示す文字列が印刷されている。KEYには、AP10にデフォルトで設定されている暗号化方式において用いられる暗号鍵を示す文字列が印刷されている。PINには、AP10の正当な利用者であることを判定するために用いられる暗証番号を示す文字列が印刷されている。ICON IDには、簡単認証処理で使用するための画像P1が印刷されている。画像P1は、複数の画像が互いに連結された状態で印刷されており、図13の例では、エスプレッソメーカーと、コーヒーカップと、パンダとの画像が横並びに表示されている。   In the SSID, a character string indicating the SSID set by default in the AP 10 is printed. In the KEY, a character string indicating an encryption key used in the encryption method set by default in the AP 10 is printed. The PIN is printed with a character string indicating a personal identification number used to determine that the user is an authorized user of the AP 10. An image P1 for use in the simple authentication process is printed on the ICON ID. The image P1 is printed in a state where a plurality of images are connected to each other. In the example of FIG. 13, images of an espresso maker, a coffee cup, and a panda are displayed side by side.

図14は、第1実施形態の簡単認証処理の手順を示すシーケンス図である。簡単認証処理は、セキュリティ設定処理(図5)のステップS800において、ユーザが任意のWEBページにアクセスしたことをトリガとして開始される。AP10の割当部114aは、対応リストを生成する(ステップS802)。   FIG. 14 is a sequence diagram illustrating a procedure of simple authentication processing according to the first embodiment. The simple authentication process is triggered by the fact that the user has accessed an arbitrary WEB page in step S800 of the security setting process (FIG. 5). The assigning unit 114a of the AP 10 generates a correspondence list (step S802).

図15は、ステップS802において生成される対応リストの一例を示す説明図である。対応リストは、画像と数字とが1対1に割り当てられたテーブルである。対応リストの生成方法について説明する。割当部114aは、許可リスト165に格納されたPINの下3桁の数字に対して、IDカードCD1のICON IDに印刷された画像と同じ画像を割り当てる。その後、割当部114aは、残りの7つの数字に対して、フラッシュROM160のデータベース164からランダムに選択された7個の画像を割り当てる。この割り当ては、所定の規則に沿って行われてもよいし、ランダムに行われてもよい。ただし、異なる数字が割り振られた画像同士の重複を避けて割り当てる。   FIG. 15 is an explanatory diagram showing an example of the correspondence list generated in step S802. The correspondence list is a table in which images and numbers are assigned one-to-one. A method for generating the correspondence list will be described. The assigning unit 114a assigns the same image as the image printed on the ICON ID of the ID card CD1 to the last three digits of the PIN stored in the permission list 165. Thereafter, the assigning unit 114a assigns seven images randomly selected from the database 164 of the flash ROM 160 to the remaining seven numbers. This assignment may be performed according to a predetermined rule or may be performed randomly. However, allocation is performed avoiding duplication of images assigned with different numbers.

なお、ステップS802では、割当部114aは、データベース164から選択された画像と数字とを割り当てることとした。しかし、ステップS802は、データベース164内の所定数の画像と英数字とを1対1で割り当てる限りにおいて種々の変形が可能である。例えば、16個の画像と、「0」〜「9」の数字および「A」〜「F」の英字を割り当てても良い。   In step S802, the assigning unit 114a assigns an image and a number selected from the database 164. However, step S802 can be variously modified as long as a predetermined number of images and alphanumeric characters in the database 164 are assigned one-to-one. For example, 16 images, numbers “0” to “9” and letters “A” to “F” may be assigned.

AP10の案内部117は、WEBブラウザに認証画面を表示させるための情報を生成し、PC20へ送信する(ステップS806)。なお、本実施形態の認証画面を表示させるための情報には、対応リスト内の画像が含まれる。例えば、図15に示す対応リストが生成されている場合、認証画面を表示させるための情報には、「カップケーキの画像、エスプレッソメーカーの画像、コーヒーカップの画像・・・パンダの画像」という情報が含まれる。なお、案内部117は、悪意のある第三者からの盗聴を抑制するために、認証画面を表示させるための情報を暗号化して送信することが好ましい。認証画面を表示させるための情報を受信したPC20のWEBブラウザは、認証画面を表示する(ステップS808)。   The guide unit 117 of the AP 10 generates information for displaying the authentication screen on the WEB browser, and transmits the information to the PC 20 (step S806). Note that the information for displaying the authentication screen of the present embodiment includes images in the correspondence list. For example, when the correspondence list shown in FIG. 15 is generated, information for displaying the authentication screen includes information such as “a cupcake image, an espresso maker image, a coffee cup image... A panda image”. Is included. In addition, it is preferable that the guide part 117 encrypts and transmits the information for displaying an authentication screen, in order to suppress eavesdropping from a malicious third party. The WEB browser of the PC 20 that has received the information for displaying the authentication screen displays the authentication screen (step S808).

図16は、ステップS808によりPC20のWEBブラウザに表示される認証画面の一例である。認証画面W7には、3つの画像選択ボックスC71、C72、C73と、文字列入力用テキストボックスT71と、キャンセルボタンB71と、送信ボタンB72とが配置されている。画像選択ボックスC71は、矢印アイコン押下により、ステップS802で生成された対応リスト(図15)内の全ての画像からなる画像群が表示される。画像選択ボックスC72、C73についても同様である。   FIG. 16 is an example of an authentication screen displayed on the WEB browser of the PC 20 in step S808. On the authentication screen W7, three image selection boxes C71, C72, C73, a text string input text box T71, a cancel button B71, and a send button B72 are arranged. The image selection box C71 displays an image group including all images in the correspondence list (FIG. 15) generated in step S802 when the arrow icon is pressed. The same applies to the image selection boxes C72 and C73.

ユーザは、IDカードCD1のICON IDに印刷されている画像P1と一致する画像を、画像P1に印刷されている順序で、3つの画像選択ボックスC71、C72、C73からそれぞれ指定し、送信ボタンB72を押下する(ステップS810)。例えば、図13に示すIDカードが配布されている場合、ユーザは、画像選択ボックスC71からエスプレッソメーカーの画像を、画像選択ボックスC72からコーヒーカップの画像を、画像選択ボックスC73からパンダの画像を、それぞれ指定し、送信ボタンB72を押下する。   The user designates an image that matches the image P1 printed on the ICON ID of the ID card CD1 from the three image selection boxes C71, C72, and C73 in the order printed on the image P1, respectively, and sends a button B72. Is pressed (step S810). For example, when the ID card shown in FIG. 13 is distributed, the user selects the image of the espresso maker from the image selection box C71, the image of the coffee cup from the image selection box C72, and the image of the panda from the image selection box C73. Each is designated and the transmission button B72 is pressed.

送信ボタンB72押下によりPC20のWEBブラウザは、3つの画像選択ボックスにおいて指定された画像を、C71→C72→C73の順序でAP10に対して送信し、AP10の認証情報取得部114bはこれを取得する(ステップS812)。例えば、上記図13の例では、WEBブラウザから送信される情報には「エスプレッソメーカー画像、コーヒーカップ画像、パンダの画像」が含まれる。   When the transmission button B72 is pressed, the WEB browser of the PC 20 transmits the images specified in the three image selection boxes to the AP 10 in the order of C71 → C72 → C73, and the authentication information acquisition unit 114b of the AP 10 acquires this. (Step S812). For example, in the example of FIG. 13, the information transmitted from the WEB browser includes “espresso maker image, coffee cup image, panda image”.

AP10の認証部114は、取得した画像を元に認証を行う(ステップS814)。認証は、以下の手順(1)〜(3)により行う。
手順(1):文字列生成部114dは、取得した画像を、取得した順序でソートする。なお、本実施形態の場合は既にソートされた状態で画像が送信されるため本工程は省略可能である。
手順(2):文字列生成部114dは、ソートされた画像と、対応リストとを用いて英数字の組を生成する。具体的には、文字列生成部114dは、画像が対応リスト中で割り当てられた数字を求め、画像を数字に置換することで数字の列からなる「英数字の組」を生成する。
The authentication unit 114 of the AP 10 performs authentication based on the acquired image (step S814). Authentication is performed by the following procedures (1) to (3).
Procedure (1): The character string generation unit 114d sorts the acquired images in the acquired order. In the case of the present embodiment, since the images are transmitted in the already sorted state, this step can be omitted.
Procedure (2): The character string generation unit 114d generates a set of alphanumeric characters using the sorted images and the correspondence list. Specifically, the character string generation unit 114d obtains a number assigned to the image in the correspondence list and replaces the image with a number to generate an “alphanumeric set” composed of a string of numbers.

手順(3):認証部114は、生成された英数字の組が、許可リスト165内のPINの下3桁と一致するか否かを判定する。
認証部114は、一致する場合は認証許可と判定し、一致しない場合は認証不可と判定する。認証終了後、認証部114は、セキュリティ設定処理に認証結果を戻り値として返し、処理を終了する。
Procedure (3): The authentication unit 114 determines whether or not the generated alphanumeric set matches the last three digits of the PIN in the permission list 165.
The authentication unit 114 determines that authentication is permitted if they match, and determines that authentication is not possible if they do not match. After the authentication is completed, the authentication unit 114 returns the authentication result as a return value to the security setting process, and ends the process.

なお、第1実施形態では、データベース164に記憶されている画像は、ユーザが認識しやすい簡単な絵文字であることが好ましい。絵文字は、ユーザの認識性を向上させるために、例えば、日用品や、動物や、植物や、食物等のカテゴリに属する物についての簡易な絵画的表現により構成されることが好ましい。   In the first embodiment, the images stored in the database 164 are preferably simple pictographs that are easy for the user to recognize. In order to improve the user's recognizability, it is preferable that the pictograph is constituted by a simple pictorial expression for things belonging to a category such as daily necessities, animals, plants, and food.

なお、第1実施形態において、ユーザは、画像の指定に代えてIDカードCD1のPINの下3桁の数字を認証画面W7のテキストボックスT71に入力し、送信ボタンB72を押下してもよい(ステップS810)。この場合、ステップS814の認証処理において認証部114は、受信した文字列が許可リスト165内のPINの下3桁と一致するか否かを判定すればよい。このようにすれば、入力処理の選択肢を広げることができ、利便性を向上させることができる。   In the first embodiment, the user may input the last three digits of the PIN of the ID card CD1 in the text box T71 of the authentication screen W7 instead of specifying the image, and press the send button B72 ( Step S810). In this case, the authentication unit 114 may determine whether or not the received character string matches the last three digits of the PIN in the permission list 165 in the authentication processing in step S814. In this way, input processing options can be expanded, and convenience can be improved.

以上のように、第1実施形態の簡単認証処理によれば、AP10(無線接続装置)は、PC20(クライアント装置)に対して、対応リストで英数字と1対1で割り当てられた画像からなる画像群を、複数組表示させる。上記実施形態の例では、認証画面W7の3つの画像選択ボックスC71、C72、C73を用いて3組表示させている。そして、AP10は、画像群(C71、C72、C73)のそれぞれについて1つの画像の指定と、順序の指定を取得する。すなわち、PC20側では、表示された複数の画像群について、画像の指定と、順序の指定を行うのみの操作で足りるため、入力が簡単である。またPC20側では、複数の画像群から画像を1つずつ指定するため、画像指定の自由度が高く、かつ、画像群の個数が少ない場合であっても選択肢の数を多くすることができる。また、AP10は、取得された画像と、順序と、対応リスト(画像と英数字の1対1の割り当て)と、を用いて英数字の組を生成し、生成された英数字の組がAP10内に予め記憶された許可リスト165(許可候補)内の情報と一致するか否かに基づいてPC20の認証を行う。すなわち、AP10は、PC20から取得された画像というコピーしにくい態様のパスワードをもとに英数字のパスワードを生成し、PC20の認証を行うことができる。この結果、PC20により利用されるAP10において、コピーしにくい態様のパスワードを用いて、PC20を簡単な方法で認証することができる。   As described above, according to the simple authentication process of the first embodiment, the AP 10 (wireless connection device) includes images assigned to the PC 20 (client device) in a one-to-one correspondence with alphanumeric characters in the correspondence list. Multiple sets of image groups are displayed. In the example of the above embodiment, three sets are displayed using the three image selection boxes C71, C72, and C73 on the authentication screen W7. Then, the AP 10 acquires designation of one image and designation of the order for each of the image groups (C71, C72, C73). That is, on the PC 20 side, it is sufficient to perform only the designation of images and the designation of the order for a plurality of displayed image groups, so that the input is easy. On the PC 20 side, images are designated one by one from a plurality of image groups, so that the degree of freedom in image designation is high and the number of options can be increased even when the number of image groups is small. Further, the AP 10 generates an alphanumeric set using the acquired image, the order, and the correspondence list (one-to-one assignment between the image and the alphanumeric character), and the generated alphanumeric set is the AP 10. The PC 20 is authenticated based on whether or not it matches information in the permission list 165 (permission candidate) stored in advance. In other words, the AP 10 can authenticate the PC 20 by generating an alphanumeric password based on a password that is difficult to copy such as an image acquired from the PC 20. As a result, the AP 10 used by the PC 20 can authenticate the PC 20 by a simple method using a password that is difficult to copy.

さらに、第1実施形態の簡単認証処理によれば、PC20は、IDカードCD1(複数の画像が並んで印刷された媒体)を参照して、認証のための情報を指定することができる。このため、PC20側では、「画像」という視覚的にわかりやすい情報を用いた入力が可能となる。   Furthermore, according to the simple authentication process of the first embodiment, the PC 20 can designate information for authentication with reference to the ID card CD1 (medium on which a plurality of images are printed side by side). For this reason, on the PC 20 side, it is possible to perform input using information such as “image” that is visually easy to understand.

A−5−2.簡単認証処理(第2実施形態):
第2実施形態では、認証画面での画像の指定方法と、認証のためにAP10とPC20とを送受信されるデータの内容と、が第1実施形態とは異なる簡単認証処理について説明する。以下では、第1実施形態と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施形態と同様の構成部分については先に説明した第1実施形態と同様の符号を付し、その詳細な説明を省略する。
A-5-2. Simple authentication process (second embodiment):
In the second embodiment, a simple authentication process in which an image designation method on the authentication screen and data contents transmitted and received between the AP 10 and the PC 20 for authentication are different from those in the first embodiment will be described. Below, only the part which has a different structure and operation | movement from 1st Embodiment is demonstrated. In the figure, the same components as those of the first embodiment are denoted by the same reference numerals as those of the first embodiment described above, and detailed description thereof is omitted.

図17は、第2実施形態の簡単認証処理の手順を示すシーケンス図である。ステップS800、S802は、図14に示す第1実施形態と同様である。AP10の候補生成部114cは、認証画面に表示させる画像組の候補を生成する(ステップS904)。   FIG. 17 is a sequence diagram illustrating a procedure of simple authentication processing according to the second embodiment. Steps S800 and S802 are the same as those in the first embodiment shown in FIG. The candidate generation unit 114c of the AP 10 generates image set candidates to be displayed on the authentication screen (step S904).

図18は、ステップS904において生成される候補の一例を示す説明図である。候補は、一意な識別子であるindexと、indexにそれぞれ対応付けられた複数の画像組から構成されるテーブルである。候補の生成方法について説明する。候補生成部114cは、IDカードCD1のICON IDに印刷された画像P1と同じ画像組COに対して、ランダムに一意な識別子を付与する。候補生成部114cは、対応リスト内の10個の画像から3つの画像をランダムに選択して連結したダミーの画像組を生成し、ランダムに一意な識別子を付与する。候補生成部114cは、ダミーの画像組を生成する処理を所定回数繰り返し、複数のダミー画像組DM1〜DMnを生成する。   FIG. 18 is an explanatory diagram illustrating an example of candidates generated in step S904. A candidate is a table composed of an index, which is a unique identifier, and a plurality of image sets respectively associated with the index. A method for generating candidates will be described. The candidate generation unit 114c randomly assigns a unique identifier to the same image set CO as the image P1 printed on the ICON ID of the ID card CD1. The candidate generating unit 114c generates a dummy image set in which three images are randomly selected from the ten images in the correspondence list and connected, and randomly assigned a unique identifier. The candidate generating unit 114c repeats the process of generating dummy image sets a predetermined number of times to generate a plurality of dummy image sets DM1 to DMn.

AP10の案内部117は、WEBブラウザに認証画面を表示させるための情報を生成し、PC20へ送信する(ステップS906)。なお、本実施形態の認証画面を表示させるための情報には、候補内の画像が含まれる。例えば、図18に示す候補が生成されている場合、認証画面を表示させるための情報には、「index=1、画像組DM1、index=2、画像組CO、index=3、画像組DM2、index=4、画像組DM3・・・」という情報が含まれる。なお、案内部117は、悪意のある第三者からの盗聴を抑制するために、認証画面を表示させるための情報を暗号化して送信することもできる。認証画面を表示させるための情報を受信したPC20のWEBブラウザは、認証画面を表示する(ステップS908)。   The guide unit 117 of the AP 10 generates information for displaying the authentication screen on the WEB browser, and transmits the information to the PC 20 (step S906). Note that the information for displaying the authentication screen according to the present embodiment includes images within candidates. For example, when the candidates shown in FIG. 18 are generated, the information for displaying the authentication screen includes “index = 1, image set DM1, index = 2, image set CO, index = 3, image set DM2, The information “index = 4, image set DM3...” is included. In addition, the guide part 117 can also encrypt and transmit the information for displaying an authentication screen, in order to suppress eavesdropping from a malicious third party. The WEB browser of the PC 20 that has received the information for displaying the authentication screen displays the authentication screen (step S908).

図19は、ステップS908によりPC20のWEBブラウザに表示される認証画面の一例である。認証画面W8には、画像組選択ボックスC81と、文字列入力用テキストボックスT81と、キャセルボタンB81と、送信ボタンB82とが配置されている。画像組選択ボックスC81には、ステップS904で生成された候補(図18)内の画像組が、画像組単位で選択可能な態様で表示されている。   FIG. 19 is an example of an authentication screen displayed on the WEB browser of the PC 20 in step S908. In the authentication screen W8, an image set selection box C81, a text string input text box T81, a cancel button B81, and a send button B82 are arranged. In the image set selection box C81, the image sets in the candidates (FIG. 18) generated in step S904 are displayed in a manner that can be selected in units of image sets.

ユーザは、IDカードCD1のICON IDに印刷されている画像P1と一致する1つの画像組を画像組選択ボックスC81から指定し、送信ボタンB82を押下する(ステップS910)。例えば、図13に示すIDカードが配布されている場合、ユーザは、画像組選択ボックスC81から画像組COを指定し、送信ボタンB82を押下する。   The user designates one image set that matches the image P1 printed on the ICON ID of the ID card CD1 from the image set selection box C81, and presses the send button B82 (step S910). For example, when the ID card shown in FIG. 13 is distributed, the user designates the image group CO from the image group selection box C81 and presses the transmission button B82.

送信ボタンB82押下によりPC20のWEBブラウザは、画像組選択ボックスC81において指定された画像組に付与されたindexをAP10に対して送信し、AP10はこれを取得する(ステップS912)。例えば、上記図13の例では、WEBブラウザから送信される情報には「index=2」が含まれる。   When the transmission button B82 is pressed, the WEB browser of the PC 20 transmits the index assigned to the image group designated in the image group selection box C81 to the AP 10, and the AP 10 acquires it (step S912). For example, in the example of FIG. 13 described above, “index = 2” is included in the information transmitted from the WEB browser.

AP10の認証部114は、取得したindexを元に認証を行う(ステップS914)。認証は、以下の(1a)〜(3a)により行う。
手順(1a):文字列生成部114dは、ステップS904で生成した候補を参照し、取得したindexが割り当てられている画像組を取得する。
手順(2a):文字列生成部114dは、手順(1a)で取得した画像組と、対応リストとを用いて英数字の組を生成する。具体的には、文字列生成部114dは、画像組を構成する画像が対応リスト中で割り当てられた数字を求め、画像と数字を置換することで数字の列からなる英数字の組を生成する。
手順(3a):認証部114は、生成された英数字の組が、許可リスト165内のPINの下3桁と一致するか否かを判定する。詳細は第1実施形態の手順(3)と同様である。
The authentication unit 114 of the AP 10 performs authentication based on the acquired index (step S914). Authentication is performed by the following (1a) to (3a).
Procedure (1a): The character string generation unit 114d refers to the candidate generated in step S904 and acquires an image set to which the acquired index is assigned.
Step (2a): The character string generation unit 114d generates an alphanumeric set using the image set acquired in step (1a) and the correspondence list. Specifically, the character string generation unit 114d obtains numbers assigned to the images constituting the image set in the correspondence list, and generates an alphanumeric set composed of a string of numbers by replacing the image and the number. .
Procedure (3a): The authentication unit 114 determines whether or not the generated alphanumeric set matches the last three digits of the PIN in the permission list 165. Details are the same as the procedure (3) of the first embodiment.

以上のように、第2実施形態の簡単認証処理によれば、AP10(無線接続装置)は、PC20(クライアント装置)に対して、所定数の画像を含む画像組を複数(CO、DM1〜DMn)表示させ、その中から、1つの画像組の指定を受け付ける。すなわち、PC20側では、表示された複数の画像組から1つを指定するのみの操作で足りるため、入力が簡単である。また、AP10は、指定された画像組に付されているindex(識別子)を取得し、取得されたindexから画像組を特定し、対応リスト(画像と英数字の1対1の割り当て)を用いて英数字の組を生成し、生成された英数字の組がAP10内に予め記憶された許可リスト165(許可候補)内の情報と一致するか否かに基づいて認証を行う。すなわち、AP10は、画像組に対して一時的に付されたindexという態様でパスワードを取得するため、悪意のある第三者がネットワーク上を流れるindexを取得しても、次回の認証処理において取得したindexを使用することはできない。次回の認証処理においては、異なる画像組が生成され、異なるindexが付与されているからである。この結果、PC20により利用されるAP10において、コピーしても継続使用不可能な態様のパスワードを用いて、PC20を簡単な方法で認証することができる。   As described above, according to the simple authentication process of the second embodiment, the AP 10 (wireless connection device) provides a plurality of image sets (CO, DM1 to DMn) including a predetermined number of images to the PC 20 (client device). ) To display one of the image sets. That is, on the PC 20 side, it is sufficient to specify only one of the displayed image sets, so that the input is easy. Further, the AP 10 acquires an index (identifier) attached to the designated image set, identifies the image set from the acquired index, and uses a correspondence list (one-to-one assignment between an image and an alphanumeric character). An alphanumeric set is generated, and authentication is performed based on whether or not the generated alphanumeric set matches information in the permission list 165 (permission candidate) stored in advance in the AP 10. In other words, since the AP 10 acquires a password in the form of an index that is temporarily attached to the image set, even if a malicious third party acquires an index that flows on the network, it is acquired in the next authentication process. The index cannot be used. This is because in the next authentication process, different image sets are generated and different indexes are assigned. As a result, the AP 10 used by the PC 20 can authenticate the PC 20 by a simple method using a password that cannot be used continuously even if copied.

A−5−3.簡単認証処理(第3実施形態):
第3実施形態では、簡単認証処理で認証に使用される画像の取り扱い方法が異なる例について説明する。なお、第3実施形態は、第1実施形態および第2実施形態の両方の変形として利用することができる。以下では、第1実施形態と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施形態と同様の構成部分については先に説明した第1実施形態と同様の符号を付し、その詳細な説明を省略する。
A-5-3. Simple authentication process (third embodiment):
In the third embodiment, an example in which an image handling method used for authentication in the simple authentication process is different will be described. The third embodiment can be used as a modification of both the first embodiment and the second embodiment. Below, only the part which has a different structure and operation | movement from 1st Embodiment is demonstrated. In the figure, the same components as those of the first embodiment are denoted by the same reference numerals as those of the first embodiment described above, and detailed description thereof is omitted.

図20は、第3実施形態の簡単認証処理においてユーザ認証のために使用されるIDカードの一例を示す説明図である。図13に示した第1実施形態との違いは、ICON IDに表示されている画像P2である。画像P2は、複数の画像がレイヤー表示、換言すれば、複数の画像が互いに重畳された状態で表示され、印刷されている。図20の例では、芝生と、斜線と、カモメとの画像が重畳表示されている。   FIG. 20 is an explanatory diagram illustrating an example of an ID card used for user authentication in the simple authentication process of the third embodiment. A difference from the first embodiment shown in FIG. 13 is an image P2 displayed in the ICON ID. The image P2 is displayed and printed with a plurality of images displayed in layers, in other words, a plurality of images superimposed on each other. In the example of FIG. 20, images of lawn, diagonal lines, and seagulls are superimposed and displayed.

図21は、簡単認証処理(図14)のステップS802において生成される対応リストの一例を示す説明図である。第3実施形態では、対応リストを、重畳される画像の数だけ、すなわち3組生成する。第1の対応リストL1は、ICON ID(図20)の画像P2において、枠画像の外側に表示される画像(以降「外側画像」とも呼ぶ。)と、英数字とが1対1に割り当てられたテーブルである。第2の対応リストL2は、ICON IDの画像P2の中央に表示される画像(以降「枠画像」とも呼ぶ。)である。第3の対応リストL3は、ICON IDの画像P2において、枠画像の内側に表示される画像(以降「内側画像」とも呼ぶ。)と英数字とが1対1に割り当てられたテーブルである。なお、第3実施形態では、割り当てる英数字として、第1の対応リストL1には数字を、第2の対応リストL2には小文字の英字(アルファベット)を、対応リストL3には大文字の英字(アルファベット)を、それぞれ用いている。   FIG. 21 is an explanatory diagram showing an example of the correspondence list generated in step S802 of the simple authentication process (FIG. 14). In the third embodiment, as many correspondence lists as the number of images to be superimposed, that is, three sets are generated. In the first correspondence list L1, an image displayed outside the frame image (hereinafter also referred to as “outside image”) and an alphanumeric character are assigned on a one-to-one basis in the image P2 with the ICON ID (FIG. 20). It is a table. The second correspondence list L2 is an image (hereinafter also referred to as “frame image”) displayed in the center of the image P2 of the ICON ID. The third correspondence list L3 is a table in which an image displayed inside the frame image (hereinafter also referred to as “inner image”) and alphanumeric characters are assigned one-to-one in the ICON ID image P2. In the third embodiment, as the assigned alphanumeric characters, the first correspondence list L1 is a number, the second correspondence list L2 is a lower case alphabet (alphabet), and the correspondence list L3 is an upper case alphabet (alphabet). ) Are used respectively.

対応リストL1の生成方法について説明する。割当部114aは、許可リスト165に格納されたPINの下3桁の英数字を抽出する。図20の例では「2jB」が抽出される。割当部114aは、抽出した英数字のうちの1文字目(図20の例では「2」)に対して、IDカードCD2のICON IDに印刷された外側画像と同じ1個の画像を割り当てる。その後、割当部114aは、残り9つの数字に対して、フラッシュROM160のデータベース164からランダムに選択された9個の外側画像を割り当てる。この結果、対応リストL1には、10個の異なる外側画像に対して、10個の異なる数字が割り当てられる。対応リストL2の生成方法について説明する。割当部114aは、抽出した英数字のうちの2文字目(図20の例では「j」)に対して、IDカードCD2のICON IDに印刷された枠画像と同じ1個の画像を割り当てる。その後、割当部114aは、残り9つの小文字英字に対して、フラッシュROM160のデータベース164からランダムに選択された9個の枠画像を割り当てる。この結果、対応リストL2には、10個の異なる枠画像に対して、10個の異なる小文字英字が割り当てられる。対応リストL3についても同様である。このように、認証に用いるPINの下3桁のうちの1文字目に対応する対応リストL1、2文字目に対応する対応リストL2、3文字目に対応する対応リストL3を予め生成しておけば、第3実施形態のようなIDカードCD2の態様であっても、各画像の順序を識別することが出来る。なお、第3実施形態を第1実施形態の変形として採用する場合、対応リストL1の10個の外側画像が認証画面W7(図16)の画像選択ボックスC71に、対応リストL2の10個の枠画像が認証画面W7の画像選択ボックスC72に、対応リストL3の10個の内側画像が認証画面W7の画像選択ボックスC73に、それぞれ表示される。   A method for generating the correspondence list L1 will be described. The assigning unit 114a extracts the last three digits of the PIN stored in the permission list 165. In the example of FIG. 20, “2jB” is extracted. The assigning unit 114a assigns the same image as the outer image printed on the ICON ID of the ID card CD2 to the first character (“2” in the example of FIG. 20) of the extracted alphanumeric characters. Thereafter, the assigning unit 114a assigns nine outer images randomly selected from the database 164 of the flash ROM 160 to the remaining nine numbers. As a result, 10 different numbers are assigned to the corresponding list L1 for 10 different outer images. A method for generating the correspondence list L2 will be described. The assigning unit 114a assigns the same image as the frame image printed on the ICON ID of the ID card CD2 to the second character (“j” in the example of FIG. 20) of the extracted alphanumeric characters. Thereafter, the assigning unit 114a assigns nine frame images randomly selected from the database 164 of the flash ROM 160 to the remaining nine lowercase alphabetic characters. As a result, ten different lowercase alphabetic characters are assigned to the ten different frame images in the correspondence list L2. The same applies to the correspondence list L3. In this way, the correspondence list L2 corresponding to the first character of the last three digits of the PIN used for authentication, the correspondence list L2 corresponding to the first character, the correspondence list L3 corresponding to the third character can be generated in advance. For example, even in the case of the ID card CD2 as in the third embodiment, the order of the images can be identified. When the third embodiment is adopted as a modification of the first embodiment, the ten outer images in the correspondence list L1 are displayed in the image selection box C71 on the authentication screen W7 (FIG. 16) and the ten frames in the correspondence list L2. The images are displayed in the image selection box C72 of the authentication screen W7, and the ten inner images of the correspondence list L3 are displayed in the image selection box C73 of the authentication screen W7.

第3実施形態の対応リストL1〜L3の第1実施形態との主たる違いは、使用される画像が、重畳に適した画像の組み合わせにより構成される点である。重畳に適した画像とは、すなわち、第1の背景となりうる景色や模様を表す種類の画像(外側画像)と、第2の背景となりうる景色や模様を表す種類の画像(内側画像)と、第1の背景と第2の背景の区切りとなりうる枠を表す種類の画像(枠画像)とのいずれかを意味する。このようにすれば、重畳表示された画像のうちの、個々の画像に対するユーザの視認性を向上させることができる。   The main difference between the correspondence lists L1 to L3 of the third embodiment and the first embodiment is that an image to be used is configured by a combination of images suitable for superimposition. An image suitable for superimposition includes, in other words, a type of image (outside image) representing a landscape or pattern that can be a first background, a type of image (inside image) representing a landscape or pattern that can be a second background, It means one of the types of images (frame images) representing a frame that can be used as a separator between the first background and the second background. In this way, it is possible to improve the visibility of the user with respect to the individual images among the superimposed images.

以上のように、第3実施形態の簡単認証処理によれば、PC20(クライアント装置)には、予め、IDカードCD2によって、認証時に指定すべき複数の画像P2が互いに重畳された状態で通知される。このため、PC20側では、「画像」という視覚的にわかりやすい情報を用いた入力が可能となる。さらに、複数の画像が重畳されて表示されていることから、例えばIDカードCD2の盗難に遭う等により、通知内容が外部に漏洩した場合であっても悪用のおそれを低減することができる。   As described above, according to the simple authentication process of the third embodiment, the PC 20 (client device) is notified in advance by the ID card CD2 in a state where a plurality of images P2 to be specified at the time of authentication are superimposed on each other. The For this reason, on the PC 20 side, it is possible to perform input using information such as “image” that is visually easy to understand. Furthermore, since a plurality of images are displayed in a superimposed manner, the risk of misuse can be reduced even if the notification content leaks to the outside due to, for example, the ID card CD2 being stolen.

さらに、第3実施形態の簡単認証処理によれば、使用される画像は、第1の背景となりうる種類の画像と、第2の背景となりうる種類の画像と、前記第1の背景と前記第2の背景との区切りとなりうる種類の画像と、のいずれかであるため、複数の画像が重畳表示された画像P2のうちの個々の画像に対するユーザの視認性を向上させることができる。   Further, according to the simple authentication process of the third embodiment, the image used is the type of image that can be the first background, the type of image that can be the second background, the first background, and the first image. Therefore, it is possible to improve the visibility of the user with respect to each of the images P2 in which a plurality of images are superimposed and displayed.

A−5−4.簡単認証処理(第4実施形態):
第4実施形態では、簡単認証処理で認証に使用される画像のバリエーションについて説明する。なお、第4実施形態は、第1〜第3実施形態のすべての変形として利用することができる。以下では、第1実施形態と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施形態と同様の構成部分については先に説明した第1実施形態と同様の符号を付し、その詳細な説明を省略する。
A-5-4. Simple authentication process (fourth embodiment):
In the fourth embodiment, variations of images used for authentication in the simple authentication process will be described. The fourth embodiment can be used as all modifications of the first to third embodiments. Below, only the part which has a different structure and operation | movement from 1st Embodiment is demonstrated. In the figure, the same components as those of the first embodiment are denoted by the same reference numerals as those of the first embodiment described above, and detailed description thereof is omitted.

図22は、第4実施形態の簡単認証処理においてユーザ認証のために使用されるIDカードの一例を示す説明図である。図13に示した第1実施形態との違いは、IDカードCD3のICON IDに表示されている画像P3、および、IDカードCD4のICON IDに表示されている画像P4である。画像P3、P4共に、PINの下3桁の数字を表した画像である。画像P3は、同一の標準的な字体を用いて表された複数の数字の画像が、互いに連結された状態で印刷されている。画像P4は、字体や大きさや表示角度を代えて表された複数の数字の画像が、互いに連結された状態で印刷されている。   FIG. 22 is an explanatory diagram illustrating an example of an ID card used for user authentication in the simple authentication process of the fourth embodiment. The difference from the first embodiment shown in FIG. 13 is an image P3 displayed in the ICON ID of the ID card CD3 and an image P4 displayed in the ICON ID of the ID card CD4. Both the images P3 and P4 are images representing the last three digits of the PIN. The image P3 is printed in a state in which a plurality of numeric images represented using the same standard font are connected to each other. The image P4 is printed in a state where a plurality of numerical images represented by changing the font, size, and display angle are connected to each other.

第4実施形態の簡単認証処理の手順は、図14に示した第1実施形態と同様である。   The procedure of the simple authentication process of the fourth embodiment is the same as that of the first embodiment shown in FIG.

図23は、簡単認証処理(図14)のステップS808によりPC20のWEBブラウザに表示される認証画面の一例である。詳細は第1実施形態と同様である。   FIG. 23 is an example of an authentication screen displayed on the WEB browser of the PC 20 in step S808 of the simple authentication process (FIG. 14). Details are the same as in the first embodiment.

以上のように、簡単認証処理で認証に使用される画像は、第1〜3実施形態で示した動物、植物、食物、日用品のうちの少なくとも1つのカテゴリに属する物についての簡易な絵画的表現のほか、文字(数字、漢字、平仮名、片仮名、アルファベット、アラビア文字、ラテン文字等)や、図形(円形、三角形、四角形等)のカテゴリに属する簡易的な絵画的表現を含むように構成されてもよい。   As described above, the images used for authentication in the simple authentication process are simple pictorial representations of objects belonging to at least one of the animals, plants, food, and daily necessities shown in the first to third embodiments. Besides, it is configured to include simple pictorial expressions belonging to the categories of letters (numbers, kanji, hiragana, katakana, alphabet, arabic, latin, etc.) and figures (circular, triangle, square, etc.) Also good.

B.第2実施例:
本発明の第2実施例では、セキュリティ設定処理中で実行されるフィルタリング処理が異なる構成を説明する。以下では、第1実施例と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施例と同様の構成部分については先に説明した第1実施例と同様の符号を付し、その詳細な説明を省略する。
B. Second embodiment:
In the second embodiment of the present invention, a configuration in which the filtering process executed during the security setting process is different will be described. Below, only the part which has a different structure and operation | movement from 1st Example is demonstrated. In the figure, the same components as those of the first embodiment are denoted by the same reference numerals as those of the first embodiment described above, and detailed description thereof is omitted.

図24は、第2実施例におけるセキュリティ設定処理の手順を示すシーケンス図である。なお、図24では、図示の便宜上、工程PH4(推奨ファイルを取得し案内する工程)の表示を省略している。図5に示す第1実施例との動作の違いは、ステップS112、S114に代えてステップS202、S204を備える点と、ステップS150とステップS152との間にステップS210〜S214を備える点のみであり、他の動作は第1実施例と同様である。また、図2に示すAP10と、本実施例のAP10aとの構成の違いは、識別子取得部115に代えて識別子取得部115aを、制限部116に代えて制限部116aを、それぞれ備えている点である。識別子取得部115aは、クライアントとの接続に割り当てられた識別子として、セッションIDを取得する。制限部116aは、セキュリティ設定処理における通信を、第1実施例とは異なる方法で制限する。   FIG. 24 is a sequence diagram illustrating a security setting process procedure according to the second embodiment. In FIG. 24, for convenience of illustration, the display of step PH4 (step of obtaining and guiding a recommended file) is omitted. The only difference in operation from the first embodiment shown in FIG. 5 is that steps S202 and S204 are provided instead of steps S112 and S114, and steps S210 to S214 are provided between steps S150 and S152. Other operations are the same as those in the first embodiment. Further, the difference in configuration between the AP 10 shown in FIG. 2 and the AP 10a of the present embodiment is that an identifier acquisition unit 115a is provided instead of the identifier acquisition unit 115, and a restriction unit 116a is provided instead of the restriction unit 116. It is. The identifier acquisition unit 115a acquires a session ID as an identifier assigned to the connection with the client. The restriction unit 116a restricts communication in the security setting process by a method different from that in the first embodiment.

簡単認証処理において認証許可と判定された場合、AP10aの識別子取得部115aは、PC20に対してセッションID取得要求を送信する(ステップS202)。セッションID取得要求を受信したPC20のブラウザは、セッションIDを生成し、生成されたセッションIDをAP10aへ送信する(ステップS204)。なお、セッションIDとは、PC20とAP10aとの間の接続を管理するために付与される識別子であれば特に限定されない。セッションIDは、例えば、乱数により生成することができ、一意でなくともよい。その後、識別子取得部115aは、受信したセッションIDを識別子記憶部163に記憶させる。なお、ステップS202およびS204は、特許請求の範囲における工程(b)に相当し、セッションIDは、特許請求の範囲における「クライアント装置との間の接続に対して割り当てられた識別子」に相当する。なお、ステップS202〜S204の処理は、簡単認証処理と並行に実施されてもよい。   When it is determined that authentication is permitted in the simple authentication process, the identifier acquisition unit 115a of the AP 10a transmits a session ID acquisition request to the PC 20 (step S202). The browser of the PC 20 that has received the session ID acquisition request generates a session ID and transmits the generated session ID to the AP 10a (step S204). The session ID is not particularly limited as long as it is an identifier assigned to manage the connection between the PC 20 and the AP 10a. The session ID can be generated by a random number, for example, and need not be unique. Thereafter, the identifier acquisition unit 115a stores the received session ID in the identifier storage unit 163. Steps S202 and S204 correspond to step (b) in the claims, and the session ID corresponds to “identifier assigned to connection with client device” in the claims. Note that the processes in steps S202 to S204 may be performed in parallel with the simple authentication process.

なお、第1実施例では、APの制限部116は、PCからのMACアドレスを取得後、すぐにフィルタリング処理を行っていた。しかし、第2実施例の制限部116aは、ステップS212のセッションIDの受信までの間は、制限処理を実行しない。   In the first embodiment, the AP restriction unit 116 performs the filtering process immediately after obtaining the MAC address from the PC. However, the restriction unit 116a of the second embodiment does not execute the restriction process until the session ID is received in step S212.

ステップS150において設定用アプリケーションの実行後、PC20のブラウザは、ステップS204で生成したセッションIDと同じセッションIDを、設定用アプリケーションへ受け渡す(ステップS210)。具体的には、ブラウザは、設定用アプリケーション内で起動されたWEBサーバに対して、セッションIDをクエリ文字に含めたリクエストを送信する。WEBサーバは、リクエスト受信後、クエリ文字に含まれるセッションIDを取得し、設定用アプリケーションに引き渡す。このような手順によって、通常実現困難とされているブラウザとアプリケーション間のデータ共有を実現することができる。   After executing the setting application in step S150, the browser of the PC 20 delivers the same session ID as the session ID generated in step S204 to the setting application (step S210). Specifically, the browser transmits a request including the session ID in the query character to the WEB server activated in the setting application. After receiving the request, the WEB server acquires the session ID included in the query character and passes it to the setting application. By such a procedure, it is possible to realize data sharing between the browser and the application, which is usually difficult to realize.

セッションIDを取得したPC20の設定用アプリケーションは、AP10aに対して、セッションIDを送信する(ステップS212)。   The setting application of the PC 20 that has acquired the session ID transmits the session ID to the AP 10a (step S212).

PC20の設定用アプリケーションからセッションIDを取得後、AP10aの制限部116aは、PC20の正当性を確認する(ステップS214)。具体的には、制限部116aは、ステップS204でブラウザから受信したセッションIDと、ステップS212で設定用アプリケーションから受信したセッションIDとが一致するか否かを確認する。両者が一致する場合、制限部116aは、PC20が正しい手順でアクセスしているクライアントであると判定し、以降の処理を継続する。換言すれば、PC20から受信したパケットを、そのまま通過させる。   After acquiring the session ID from the setting application of the PC 20, the restriction unit 116a of the AP 10a confirms the validity of the PC 20 (step S214). Specifically, the restricting unit 116a checks whether or not the session ID received from the browser in step S204 matches the session ID received from the setting application in step S212. If the two match, the restriction unit 116a determines that the PC 20 is the client that is accessing in the correct procedure, and the subsequent processing is continued. In other words, the packet received from the PC 20 is passed as it is.

一方、両者が一致しない場合、制限部116aは、PC20が正しくない手順でアクセスしているクライアントであると判定し、PC20との間の接続を強制的に切断する。換言すれば、PC20からパケットを受信できない状態とする。なお、この処理を「制限処理」とも呼ぶ。なお、制限部116aによる制限処理は、特許請求の範囲における工程(c)に相当する。このようにすれば、AP10aは、!ABC接続を介した通信を、正当性の確認されたクライアント装置に限定することができる。すなわち、悪意のある第三者が、ステップS800〜S142で示した各種処理を行わずに、MACアドレス偽装等の方法を用いてAP10aに接続しようとしたことを検出し、これを排除することができる。この結果、セキュリティ設定処理のセキュリティ(機密性)をより向上させることができる。   On the other hand, if the two do not match, the limiting unit 116a determines that the PC 20 is a client accessing in an incorrect procedure, and forcibly disconnects the connection with the PC 20. In other words, the packet cannot be received from the PC 20. This process is also referred to as “restriction process”. The restriction process by the restriction unit 116a corresponds to the step (c) in the claims. In this way, AP10a is! Communication via the ABC connection can be limited to client devices whose validity has been confirmed. That is, it is possible to detect and eliminate a malicious third party attempting to connect to the AP 10a using a method such as MAC address disguise without performing the various processes shown in steps S800 to S142. it can. As a result, the security (security) of the security setting process can be further improved.

なお、上記第2実施例では、第1実施例のMACアドレスを用いたフィルタリング処理に代えて、セッションIDを用いた制限処理を行っている。しかし、第1実施例のフィルタリング処理と、第2実施例の制限処理とは、並列的に実行されてもよい。そうすれば、セキュリティ設定処理のセキュリティレベルをより向上させることができる。   In the second embodiment, a restriction process using a session ID is performed instead of the filtering process using the MAC address of the first embodiment. However, the filtering process of the first embodiment and the limiting process of the second embodiment may be executed in parallel. By doing so, the security level of the security setting process can be further improved.

また、上記第2実施例では、簡単認証処理の直後にセッションIDの生成、取得を行っている。しかし、AP10aがPC20のブラウザからセッションIDを取得するタイミングは、設定用アプリケーション実行前であれば、任意に変更することができる。   In the second embodiment, the session ID is generated and acquired immediately after the simple authentication process. However, the timing at which the AP 10a acquires the session ID from the browser of the PC 20 can be arbitrarily changed before the setting application is executed.

また、上記第2実施例では、AP10aの制限部116aがPC20の正当性を確認する方法として「セッションIDが一致するか否か」を確認することとした。しかし、制限部116aは、ブラウザから受信したセッションIDと、設定用アプリケーションから受信したセッションIDとの両方を用いて正当性を確認する限りにおいて、任意の方法を用いることができる。例えば、ステップS212において制限部116aは、設定用アプリケーションからハッシュ値にされたセッションIDを受信し、受信したセッションID(ハッシュ値)と、識別子記憶部163に記憶されたセッションIDをハッシュ値にしたものとを比較することで、正当性を検証してもよい。   In the second embodiment, the restriction unit 116a of the AP 10a confirms “whether or not the session IDs match” as a method of confirming the validity of the PC 20. However, the restriction unit 116a can use any method as long as the validity is confirmed using both the session ID received from the browser and the session ID received from the setting application. For example, in step S212, the restriction unit 116a receives the session ID converted to the hash value from the setting application, and uses the received session ID (hash value) and the session ID stored in the identifier storage unit 163 as the hash value. The validity may be verified by comparing with a thing.

C.変形例:
上記実施例において、ハードウェアによって実現されるとした構成の一部をソフトウェアに置き換えるようにしてもよく、逆に、ソフトウェアによって実現されるとした構成の一部をハードウェアに置き換えるようにしてもよい。その他、以下のような変形も可能である。
C. Variation:
In the above embodiment, a part of the configuration realized by hardware may be replaced by software, and conversely, a part of the configuration realized by software may be replaced by hardware. Good. In addition, the following modifications are possible.

・変形例1:
上記実施例(図2)では、無線接続装置としてアクセスポイント(AP)を用いるとし、APの構成について説明した。しかし、上記実施例における無線接続装置の構成はあくまで一例であり、任意の態様を採用することができる。例えば、構成要素の一部を省略したり、更なる構成要素を付加したり、構成要素の一部を変更したりする変形が可能である。
・ Modification 1:
In the above embodiment (FIG. 2), the access point (AP) is used as the wireless connection device, and the configuration of the AP has been described. However, the configuration of the wireless connection device in the above embodiment is merely an example, and any aspect can be adopted. For example, the deformation | transformation which abbreviate | omits a part of a component, adds a further component, or changes a part of a component is possible.

例えば、無線接続装置には、無線接続可能な種々のデバイスを採用することができる。例えば、無線接続装置は、ルータ、ハブ、モデム等のネットワーク通信機器であってもよく、NAS(Network Attached Storage)等の記憶装置であってもよく、デジタルカメラ、プリンタ、ネットワークディスプレイ、スキャナ等の画像入出力機器であってもよい。   For example, various devices that can be wirelessly connected can be employed as the wireless connection device. For example, the wireless connection device may be a network communication device such as a router, a hub, or a modem, or may be a storage device such as NAS (Network Attached Storage), such as a digital camera, a printer, a network display, or a scanner. It may be an image input / output device.

例えば、APに設けられる設定ボタンはモーメンタリスイッチであるとして説明したが、設定ボタンは、ユーザが直接触れる形態で、あるいは、AP近傍からの近距離通信の形態で、あるいは、APが提供する情報コードをクライアントに内蔵されたカメラで撮影する形態で、APにセキュリティ設定処理の開始指示を与えられる入力手段として構成されている限りにおいて、種々の態様を採用することができる。例えば、APがディスプレイを備えている場合には、GUI(Graphical User Interface)により実現されてもいい。また、赤外線通信や、接触型または非接触型のICカードを利用して実現されてもいい。また、QRコード(登録商標)やバーコード、ホログラム等の情報コードを利用して実現されてもよい。こうすれば、悪意のある第三者が、ユーザの意図に反してAPにセキュリティ設定処理の開始指示を与えることを抑制することができ、通信情報や暗号化情報が漏洩することを抑制することができる。なお、悪意のある第三者からの不正アクセスを抑制するという観点からは、APにセキュリティ設定処理の開始指示を与えることができる範囲は、可能な限り小さくすることが好ましい。例えば、当該範囲は、APから10m以内の範囲としてもよく、5m以内とすることがより望ましく、1m以内とすることがさらに望ましい。また、当該範囲は、0m以内とすること、すなわち、ユーザがAPに直接触れて開始指示を与えられる態様とすることが最も望ましい。   For example, the setting button provided on the AP has been described as a momentary switch. However, the setting button is in a form that the user directly touches, in a form of short-distance communication from the vicinity of the AP, or an information code provided by the AP. As long as it is configured as an input unit that can give an AP an instruction to start security setting processing in the form of shooting with a camera built in the client, various modes can be adopted. For example, when the AP has a display, it may be realized by a GUI (Graphical User Interface). Moreover, you may implement | achieve using infrared communication and a contact-type or non-contact-type IC card. Further, it may be realized using an information code such as a QR code (registered trademark), a barcode, or a hologram. In this way, it is possible to prevent a malicious third party from giving a security setting processing start instruction to the AP against the user's intention, and to prevent leakage of communication information and encrypted information. Can do. From the viewpoint of suppressing unauthorized access from a malicious third party, it is preferable to make the range in which an AP can be instructed to start security setting processing as small as possible. For example, the range may be a range within 10 m from the AP, more preferably within 5 m, and even more preferably within 1 m. Further, it is most desirable that the range is within 0 m, that is, a mode in which the user can directly touch the AP and give a start instruction.

例えば、証明書等の情報は、APのフラッシュROMに格納されるものとして説明した。しかし、これらのテーブルは、フラッシュROM以外の記憶媒体に格納されてもよい。例えば、APはUSB(Universal Serial Bus)インタフェースを備えるものとし、上記各テーブルは、USBメモリやUSBハードディスク等の着脱可能な記憶媒体に格納されているものとしてもよい。   For example, it has been described that information such as a certificate is stored in the flash ROM of the AP. However, these tables may be stored in a storage medium other than the flash ROM. For example, the AP may include a USB (Universal Serial Bus) interface, and each of the tables may be stored in a removable storage medium such as a USB memory or a USB hard disk.

・変形例2:
上記実施例(図4)では、クライアントとしてパーソナルコンピュータ(PC)を用いるとし、PCの構成について説明した。しかし、上記実施例におけるクライアントの構成はあくまで一例であり、任意の態様を採用することができる。
Modification 2
In the above embodiment (FIG. 4), the personal computer (PC) is used as the client, and the configuration of the PC has been described. However, the configuration of the client in the above embodiment is merely an example, and any aspect can be adopted.

例えば、クライアントにはPC以外の種々のデバイスを採用することができる。例えば、クライアントは、イーサネットコンバータ(イーサネットは登録商標)、携帯電話、PDA(Personal Digital Assistants)、ゲーム機、オーディオプレーヤー、プリンタ、テレビ等であってもよい。具体的には、例えば、PC20に代えてデジタルカメラ、AP10aに代えてNAS(Network Attached Storage)を採用することとし、インターネットINT上のサーバからデータを取得することに代えて、NASに格納されているデータを取得することとしてもよい。この場合、各工程は以下のように構成することができる。
工程PH1:無線接続において、インフラストラクチャ接続のようにアクセスポイントへクライアント装置が接続する代わりに、Ad−hoc接続やWDS接続を用いる(IP接続であれば特に限りはない)。NASがDHCP(Dynamic Host Configuration Protocol)サーバ機能を有する構成とする。デジタルカメラに、IPアドレスやデフォルトゲートウェイ、DNS(Domain Name System)サーバアドレスを取得(自身に偽装)させる。
工程PH2:NASが予め、デジタルカメラ用のアプリケーションを自身にダウンロードしているため、PPPoE接続は行わない。なお、NASは上記実施例の処理とは別に、一定期間ごとにNAS内のデータをインターネット上のサーバから取得し、更新してもよい。簡単認証処理については、例えばNASにタッチパネルによる表示器を持たせ、そこにNASが保有するWEBブラウザによって表示される画像に対して、ユーザがタッチパネルへの入力操作により選択するようにしても良い。
工程PH3、PH4:上記実施例と同様である。
このようにすれば、PCやスマートフォンのような情報端末ではなく、デジタルカメラのような装置でもセキュリティ設定処理を実行することができる。また、セキュリティ設定処理を、インフラストラクチャ接続に基づく無線接続に限定せず、Ad−hoc接続やWDS接続のような、各種のIP接続においても適用することができる。また、インターネット上のサーバに接続することなく、セキュリティ設定処理を実行することができるため、セキュリティ設定処理におけるインターネット接続を省略することができる。なお、NASに代えて、APに外付けハードディスクが搭載された構成にしてもよい。
For example, various devices other than the PC can be employed as the client. For example, the client may be an Ethernet converter (Ethernet is a registered trademark), a mobile phone, a PDA (Personal Digital Assistants), a game machine, an audio player, a printer, a television, and the like. Specifically, for example, a digital camera is used instead of the PC 20 and a NAS (Network Attached Storage) is used instead of the AP 10a, and data is stored in the NAS instead of acquiring data from a server on the Internet INT. The acquired data may be acquired. In this case, each process can be configured as follows.
Step PH1: In a wireless connection, an Ad-hoc connection or a WDS connection is used instead of a client device connecting to an access point like an infrastructure connection (the IP connection is not particularly limited). The NAS is configured to have a DHCP (Dynamic Host Configuration Protocol) server function. The digital camera is caused to acquire (impersonate itself) an IP address, a default gateway, and a DNS (Domain Name System) server address.
Step PH2: Since the NAS has previously downloaded the application for the digital camera to itself, the PPPoE connection is not performed. Note that the NAS may acquire and update data in the NAS from a server on the Internet at regular intervals separately from the processing of the above embodiment. As for the simple authentication process, for example, the NAS may be provided with a display using a touch panel, and the user may select an image displayed by the WEB browser owned by the NAS by an input operation on the touch panel.
Steps PH3 and PH4: Same as the above embodiment.
In this way, the security setting process can be executed not by an information terminal such as a PC or a smartphone but also by a device such as a digital camera. Further, the security setting process is not limited to the wireless connection based on the infrastructure connection, but can be applied to various IP connections such as an Ad-hoc connection and a WDS connection. Further, since the security setting process can be executed without connecting to a server on the Internet, the Internet connection in the security setting process can be omitted. Instead of NAS, a configuration may be adopted in which an external hard disk is mounted on the AP.

例えば、図4に示したPCの構成要素のうち、構成要素の一部を省略したり、更なる構成要素を付加したり、構成要素の一部を変更したりする変形が可能である。   For example, it is possible to modify the PC components shown in FIG. 4 by omitting some of the components, adding additional components, or changing some of the components.

・変形例3:
上記実施例(図3)では、APに設定される仮想ポート(仮想アクセスポイント)の構成について説明した。しかし、上記実施例における仮想ポートの構成はあくまで一例であり、任意の態様を採用することができる。
・ Modification 3:
In the above embodiment (FIG. 3), the configuration of the virtual port (virtual access point) set in the AP has been described. However, the configuration of the virtual port in the above embodiment is merely an example, and any aspect can be adopted.

例えば、仮想ポートの個数は任意に定めることができ、例えば1つでもいいし、5つでもいい。また、例えば、仮想ポート毎になされる通信設定(SSIDの有効/無効、SSID、通信の暗号化方式)はあくまで一例であり、他の通信設定がなされてもいい。   For example, the number of virtual ports can be arbitrarily determined. For example, the number of virtual ports may be one or five. Further, for example, the communication settings (SSID valid / invalid, SSID, communication encryption method) made for each virtual port are merely examples, and other communication settings may be made.

・変形例4:
上記実施例(図5、図6、図7)では、セキュリティ設定処理について、処理の手順の一例を挙げて説明した。しかし、上記実施例の手順はあくまで一例であり、種々の変更が可能である。一部のステップを省略してもよいし、更なる他のステップを追加してもよい。また、実行されるステップの順序を変更してもよい。
-Modification 4:
In the above-described embodiments (FIGS. 5, 6, and 7), the security setting process has been described with an example of the processing procedure. However, the procedure of the above embodiment is merely an example, and various changes can be made. Some steps may be omitted, and other steps may be added. Further, the order of the steps to be executed may be changed.

例えば、ステップS102において設定制御部は仮想ポートVAP2のSSIDを変更することとしたが、これはあくまで例示である。設定制御部は、いずれかの仮想ポートの通信設定を変更して、SSIDを有効に、SSIDの値を「!ABC」に、通信の暗号化方式を「暗号化なし」または「暗号化レベルの低い通信」に変更すれば足りる。   For example, in step S102, the setting control unit changes the SSID of the virtual port VAP2, but this is merely an example. The setting control unit changes the communication setting of one of the virtual ports, enables the SSID, sets the SSID value to “! ABC”, and sets the communication encryption method to “no encryption” or “encryption level”. Changing to “low communication” is sufficient.

例えば、ステップS116において案内部がユーザにPPPoEのユーザ名とパスワードとの入力を促す工程の前に、AP内部に予め記憶されたデフォルトのユーザ名とパスワードとを用いて、自動的にPPPoE接続を試行してもよい。このようにすれば、デフォルトのユーザ名とパスワードとを用いた接続に失敗した場合に限ってユーザに入力を求めることができるため、ユーザの手間を軽減することができる。   For example, before the step in which the guidance unit prompts the user to input a PPPoE user name and password in step S116, a PPPoE connection is automatically established using a default user name and password stored in advance in the AP. You may try. In this way, since the user can be requested to input only when the connection using the default user name and password fails, the user's effort can be reduced.

例えば、ステップS136、S138では、設定用アプリケーションダウンロード画面W3のリンクをユーザが押下することをトリガとして、ダウンロード要求が送信されるとした。しかし、ステップS136、S138を省略し、自動的にダウンロードが開始される構成を採用してもよい。   For example, in steps S136 and S138, the download request is transmitted when the user presses the link on the setting application download screen W3. However, a configuration in which steps S136 and S138 are omitted and download is automatically started may be employed.

例えば、ステップS156およびS158では、所定のプロトコルとして、SSLプロトコルを採用した場合について例示したが、他の暗号化プロトコルに準拠した暗号化通信を用いても良い。   For example, in steps S156 and S158, the case where the SSL protocol is adopted as the predetermined protocol is exemplified, but encrypted communication complying with another encryption protocol may be used.

例えば、ステップS186およびS194では、DLアプリケーションが、サーバから推奨ファイルの一覧および推奨ファイルを取得するものとした。しかし、DLアプリケーションは、サーバに代えてAPから推奨ファイルの一覧および推奨ファイルを取得することとしてもよい。   For example, in steps S186 and S194, the DL application acquires a list of recommended files and a recommended file from the server. However, the DL application may obtain a list of recommended files and a recommended file from the AP instead of the server.

・変形例5:
上記実施例(図8〜図12)では、セキュリティ設定処理においてクライアント側に表示される画面の一例を挙げて説明した。しかし、上記実施例の画面はあくまで一例であり、種々の変更が可能である。一部の表示項目を省略してもよいし、更なる他の表示項目を追加してもよい。
-Modification 5:
In the above embodiment (FIGS. 8 to 12), an example of the screen displayed on the client side in the security setting process has been described. However, the screen of the above-described embodiment is merely an example, and various changes can be made. Some display items may be omitted, and further other display items may be added.

・変形例6:
上記実施形態(図14、図19)では、簡単認証処理について、処理の手順の一例を挙げて説明した。しかし、上記実施形態の手順はあくまで一例であり、種々の変更が可能である。一部のステップを省略してもよいし、更なる他のステップを追加してもよい。また、実行されるステップの順序を変更してもよい。
Modification 6:
In the above embodiment (FIGS. 14 and 19), the simple authentication process has been described with an example of the procedure of the process. However, the procedure of the above embodiment is merely an example, and various modifications can be made. Some steps may be omitted, and other steps may be added. Further, the order of the steps to be executed may be changed.

例えば、簡単認証処理では、認証のためにPINの下3桁と、これに対応する3つの画像を用いるとした。しかし、簡単認証処理で用いるPIN番号の桁数および画像数は任意に定めることができる。具体的には、簡単認証処理では、PIN番号の全桁と、全桁数に対応する数の画像を用いることとしてもよい。また簡単認証処理で用いる画像は、必ずしもPINと関連していなくてもよい。   For example, in the simple authentication process, the last three digits of the PIN and three images corresponding thereto are used for authentication. However, the number of digits of the PIN number and the number of images used in the simple authentication process can be arbitrarily determined. Specifically, in the simple authentication process, all the digits of the PIN number and a number of images corresponding to the total number of digits may be used. The image used in the simple authentication process does not necessarily have to be associated with the PIN.

例えば、ステップS802およびS902では、対応リストの生成を簡単認証処理の度に毎回行うこととしたが、一旦生成された対応リストを記憶しておき、再利用する態様としてもよい。   For example, in steps S802 and S902, the correspondence list is generated every time the simple authentication process is performed. However, the correspondence list once generated may be stored and reused.

例えば、ステップS812では、PCは、3つの画像選択ボックスにおいて指定された画像を、画像選択ボックスが配置されている順序でAPに対して送信することとした。換言すれば、画像選択ボックスの配置順でもって画像の順序の指定を省略する構成とした。しかし、ステップS812(および認証画面W7)は、画像の指定と、画像の順序の指定がなされる限りにおいて種々の変形が可能である。例えば、3つの画像選択ボックスと、その画像選択ボックスが何番目の絵を指定するものであるかを選択するボックスとの組み合わせを用いてもよい。   For example, in step S812, the PC transmits the images specified in the three image selection boxes to the AP in the order in which the image selection boxes are arranged. In other words, the designation of the image order according to the arrangement order of the image selection boxes is omitted. However, the step S812 (and the authentication screen W7) can be variously modified as long as the designation of the image and the designation of the order of the images are performed. For example, a combination of three image selection boxes and a box for selecting what number of pictures the image selection box designates may be used.

・変形例7:
上記実施例(図16、図19)では、簡単認証処理においてクライアント側に表示される画面の一例を挙げて説明した。しかし、上記実施例の画面はあくまで一例であり、種々の変更が可能である。一部の表示項目を省略してもよいし、更なる他の表示項目を追加してもよい。
Modification 7:
In the above embodiment (FIGS. 16 and 19), an example of the screen displayed on the client side in the simple authentication process has been described. However, the screen of the above-described embodiment is merely an example, and various changes can be made. Some display items may be omitted, and further other display items may be added.

10…無線ネットワーク中継装置、20…クライアント、30…クライアント、110…CPU、111…中継処理部、112…設定制御部、113…限定通信部、114…認証部、114a…割当部、114b…認証情報取得部、114c…候補生成部、114d…文字列生成部、115…識別子取得部、116…制限部、117…案内部、118…暗号化通信部、120…設定ボタン、140…無線通信インタフェース、150…有線通信インタフェース、160…フラッシュROM、161…証明書、162…設定情報、163…識別子記憶部、164…データベース、165…許可リスト、210…CPU、230…無線通信インタフェース、240…有線通信インタフェース、250…フラッシュROM、251…設定情報記憶部、260…表示部、270…操作部、1000…ネットワークシステム、VAP0…仮想ポート、VAP1…仮想ポート、VAP2…仮想ポート、P1、P2…画像、W1…ワイヤレスネットワーク接続画面、W2…ユーザ名入力画面、W3…設定用アプリケーションダウンロード画面、W4…実行確認画面、W5…待機画面、W6…推奨ファイル一覧画面、W7…認証画面、W8…認証画面、PK…公開鍵、SK…秘密鍵、CO…画像組、DM1〜n…ダミー画像組   DESCRIPTION OF SYMBOLS 10 ... Wireless network relay apparatus, 20 ... Client, 30 ... Client, 110 ... CPU, 111 ... Relay processing part, 112 ... Setting control part, 113 ... Limited communication part, 114 ... Authentication part, 114a ... Assignment part, 114b ... Authentication Information acquisition unit, 114c ... candidate generation unit, 114d ... character string generation unit, 115 ... identifier acquisition unit, 116 ... restriction unit, 117 ... guide unit, 118 ... encrypted communication unit, 120 ... setting button, 140 ... wireless communication interface , 150 ... wired communication interface, 160 ... flash ROM, 161 ... certificate, 162 ... setting information, 163 ... identifier storage unit, 164 ... database, 165 ... permission list, 210 ... CPU, 230 ... wireless communication interface, 240 ... wired Communication interface 250 ... Flash ROM 251, Setting information storage unit 260: Display unit, 270 ... Operation unit, 1000: Network system, VAP0 ... Virtual port, VAP1 ... Virtual port, VAP2 ... Virtual port, P1, P2 ... Image, W1 ... Wireless network connection screen, W2 ... User name input screen, W3 ... Setting application download screen, W4 ... Execution confirmation screen, W5 ... Standby screen, W6 ... Recommended file list screen, W7 ... Authentication screen, W8 ... Authentication screen, PK ... Public key, SK ... Private key, CO ... Image set , DM1-n ... Dummy image set

[適用例1]
クライアント装置と無線接続装置との間で無線通信を設定する通信設定方法であって、(a)前記無線接続装置が、前記クライアント装置との間で、非制限かつ一時的な通信を確立する工程と、(b)前記無線接続装置が、前記クライアント装置に対して割り当てられた識別子、または前記クライアント装置と前記無線接続装置との間の接続に対して割り当てられた識別子を取得する工程と、(c)前記工程(b)以降、前記無線接続装置に対する前記一時的な通信の相手方を、取得した前記識別子を用いて制限する工程と、(d)前記無線接続装置が、前記クライアント装置に通信設定用のファイルを受信させる工程と、(e)前記無線接続装置が、前記通信設定用のファイルを実行する前記クライアント装置との間で、所定のプロトコルに準拠した暗号化通信を確立する工程と、(f)前記無線接続装置が、前記通信設定用のファイルを実行する前記クライアント装置との間で、前記暗号化通信を介して通信設定に関する情報を交換する工程と、を備える、通信設定方法。
このような構成とすれば、無線接続装置は、クライアント装置との間で非制限かつ一時的な通信を確立し、当該一時的な通信を用いてクライアント装置に対して割り当てられた識別子、またはクライアント装置と無線接続装置との間の接続に割り当てられた識別子を取得し、それ以降の一時的な通信の相手方を取得した識別子を用いて制限したうえで、クライアント装置に設定用のファイルを受信させるため、一時的な通信のセキュリティを向上させた状態で、クライアント装置に対して設定用のファイルの配布を行うことができる。さらに無線接続装置は、設定用のファイルが実行されたクライアント装置との間で所定のプロトコルに準拠した暗号化通信を確立し、この暗号化通信を介して通信設定に関する情報を交換するため、機密性の高い暗号化通信を用いて通信設定に関する情報を交換することができる。これらの結果、クライアント装置と無線接続装置との間で、無線接続装置のセキュリティレベルの低下を回避しつつ、簡単に、かつクライアント装置において記憶媒体から設定に必要な情報を取得することなく、無線通信するための通信設定を行うことができる。
[Application Example 1]
A communication setting method for setting wireless communication between a client device and a wireless connection device, wherein (a) the wireless connection device establishes unrestricted and temporary communication with the client device. When, a step of acquiring an identifier assigned to the connection between the (b) the wireless connection device, the identifier assigned to the client device or the client device and the wireless connection device, (C) After the step (b), a step of restricting the partner of the temporary communication with the wireless connection device using the acquired identifier; and (d) the wireless connection device communicates with the client device. A step of receiving a setting file; and (e) a predetermined protocol between the wireless connection device and the client device executing the communication setting file. And (f) information related to communication setting via the encrypted communication between the wireless connection device and the client device that executes the communication setting file. A communication setting method.
With such a configuration, a wireless connection device establishes a non-limiting and temporary communication with the client device, or identifiers, assigned to the client device by using the temporary communication, Get the identifier assigned to the connection between the client device and the wireless connection device, limit the temporary communication partner after that using the obtained identifier, and then receive the setting file on the client device Therefore, the setting file can be distributed to the client device in a state where the security of temporary communication is improved. Furthermore, the wireless connection device establishes encrypted communication conforming to a predetermined protocol with the client device on which the setting file has been executed, and exchanges information regarding communication settings via this encrypted communication. Information regarding communication settings can be exchanged using highly encrypted communication. As a result, while avoiding a decrease in the security level of the wireless connection device between the client device and the wireless connection device, wirelessly easily and without acquiring information necessary for setting from the storage medium in the client device Communication settings for communication can be performed.

[適用例9]
適用例1ないし8のいずれか一項記載の通信設定方法であって、前記工程(d)は、(d−1)前記クライアント装置の種類と、前記クライアント装置のオペレーティングシステムの種類と、前記クライアント装置のオペレーティングシステムのバージョンと、の3種類の情報のうちの少なくとも1種類の情報を取得する工程と、(d−2)前記工程(d−1)で取得した情報に基づいて選択された通信設定用のファイルとしてのアプリケーションを受信させる工程と、を含む、通信設定方法。
このような構成とすれば、無線接続装置は、クライアント装置の種類と、クライアント装置のオペレーティングシステムの種類と、クライアント装置のオペレーティングシステムのバージョンと、のうちの少なくとも1種類の情報を取得し、取得した情報に基づいて選択された通信設定用のファイルとして、アプリケーションを受信させるため、クライアント装置に適したアプリケーションを受信させることができる。
[Application Example 9]
The communication setting method according to any one of Application Examples 1 to 8, wherein the step (d) includes (d-1) the type of the client device, the type of the operating system of the client device, and the client. A step of acquiring at least one of the three types of information of the operating system version of the apparatus, and (d-2) a communication selected based on the information acquired in step (d-1). Receiving an application as a setting file.
With this configuration, the wireless connection device acquires and acquires at least one type of information among the type of the client device, the type of the operating system of the client device, and the version of the operating system of the client device. Since the application is received as the communication setting file selected based on the information, the application suitable for the client device can be received.

Claims (13)

クライアント装置と無線接続装置との間で無線通信を設定する通信設定方法であって、
(a)前記無線接続装置が、前記クライアント装置との間で、非制限かつ一時的な通信を確立する工程と、
(b)前記無線接続装置が、前記クライアント装置または前記クライアント装置との間の接続に対して割り当てられた識別子を取得する工程と、
(c)前記工程(b)以降、前記無線接続装置に対する前記一時的な通信の相手方を、取得した前記識別子を用いて制限する工程と、
(d)前記無線接続装置が、前記クライアント装置に通信設定用のファイルを受信させる工程と、
(e)前記無線接続装置が、前記通信設定用のファイルを実行する前記クライアント装置との間で、所定のプロトコルに準拠した暗号化通信を確立する工程と、
(f)前記無線接続装置が、前記通信設定用のファイルを実行する前記クライアント装置との間で、前記暗号化通信を介して通信設定に関する情報を交換する工程と、
を備える、通信設定方法。
A communication setting method for setting wireless communication between a client device and a wireless connection device,
(A) the wireless connection device establishes unrestricted and temporary communication with the client device;
(B) the wireless connection device obtaining an identifier assigned to the client device or a connection with the client device;
(C) after the step (b), limiting the partner of the temporary communication with the wireless connection device using the acquired identifier;
(D) the wireless connection device causing the client device to receive a communication setting file;
(E) the wireless connection device establishing encrypted communication conforming to a predetermined protocol with the client device that executes the communication setting file;
(F) a step in which the wireless connection device exchanges information regarding communication settings with the client device that executes the communication setting file via the encrypted communication;
A communication setting method.
請求項1記載の通信設定方法であって、
前記工程(a)は、前記クライアント装置のユーザが直接触れる形態、あるいは、前記無線接続装置に対する近距離通信の形態で与えられる開始指示の検出をトリガとして開始される、通信設定方法。
The communication setting method according to claim 1,
The communication setting method, wherein the step (a) is triggered by detection of a start instruction given in a form in which the user of the client device directly touches or in a form of short-range communication with the wireless connection device.
請求項1または2記載の通信設定方法であって、
前記工程(b)は、前記クライアント装置の認証が許可であった場合に実行される、通信設定方法。
The communication setting method according to claim 1 or 2,
The step (b) is a communication setting method that is executed when authentication of the client device is permitted.
請求項1ないし3のいずれか一項記載の通信設定方法であって、さらに、
(g)前記クライアント装置の認証が不可であった場合に、前記無線接続装置が、前記一時的な通信を切断する工程を備える、通信設定方法。
The communication setting method according to any one of claims 1 to 3, further comprising:
(G) A communication setting method including a step of disconnecting the temporary communication by the wireless connection device when the client device cannot be authenticated.
請求項1ないし4のいずれか一項記載の通信設定方法であって、さらに、
(h)前記クライアント装置が、前記無線接続装置の情報を取得する工程と、
(i)前記クライアント装置が、取得した前記無線接続装置の情報を用いて、前記クライアント装置が前記無線接続装置を利用するにあたって前記クライアント装置へのダウンロードが推奨される推奨ファイルの一覧を取得する工程と、
を備える、通信設定方法。
The communication setting method according to any one of claims 1 to 4, further comprising:
(H) the client device acquiring information of the wireless connection device;
(I) The client device acquires a list of recommended files recommended to be downloaded to the client device when the client device uses the wireless connection device, using the acquired information of the wireless connection device. When,
A communication setting method.
請求項1ないし5のいずれか一項記載の通信設定方法であって、
前記工程(f)は、
(f−1)前記無線接続装置が、前記クライアント装置から公開鍵を受信する工程と、
(f−2)前記無線接続装置が、前記通信設定に関する情報を、前記公開鍵を用いて暗号化する工程と、
(f−3)前記無線接続装置が、暗号化された前記通信設定に関する情報を前記クライアント装置に対して送信する工程と、
(f−4)前記クライアント装置が、受信した前記通信設定に関する情報を、前記公開鍵と対応する秘密鍵を用いて復号化する工程と、
を含む、通信設定方法。
A communication setting method according to any one of claims 1 to 5,
The step (f)
(F-1) the wireless connection device receiving a public key from the client device;
(F-2) the wireless connection device encrypting information relating to the communication setting using the public key;
(F-3) the wireless connection device transmitting encrypted information related to the communication setting to the client device;
(F-4) the client device decrypts the received information on the communication setting using a secret key corresponding to the public key;
Including a communication setting method.
請求項1ないし6のいずれか一項記載の通信設定方法であって、
前記工程(c)は、
(c−1)前記無線接続装置が、受信したパケットのヘッダを参照する工程と、
(c−2)前記無線接続装置が、前記ヘッダに取得した前記識別子が含まれる前記パケットを通過させ、前記ヘッダに取得した前記識別子が含まれないパケットを破棄する工程と、
を含む、通信設定方法。
The communication setting method according to any one of claims 1 to 6,
The step (c)
(C-1) the wireless connection device refers to the header of the received packet;
(C-2) The wireless connection device passes the packet including the identifier acquired in the header and discards the packet not including the identifier acquired in the header;
Including a communication setting method.
請求項1ないし6のいずれか一項記載の通信設定方法であって、
前記工程(c)は、
(c−1)前記無線接続装置が、前記通信設定用のファイルを実行する前記クライアント装置から前記識別子を取得する工程と、
(c−2)前記無線接続装置が、前記工程(b)により取得した前記識別子と、前記工程(c−1)により取得した前記識別子と、を用いて、前記クライアント装置の正当性を確認する工程と、
(c−3)前記無線接続装置が、前記工程(c−2)により正当性の確認された前記クライアント装置から受信したパケットを通過させる工程と、
を含む、通信設定方法。
The communication setting method according to any one of claims 1 to 6,
The step (c)
(C-1) The wireless connection device acquires the identifier from the client device that executes the communication setting file;
(C-2) The wireless connection device confirms the validity of the client device using the identifier acquired in the step (b) and the identifier acquired in the step (c-1). Process,
(C-3) the wireless connection device passing the packet received from the client device whose validity is confirmed in the step (c-2);
Including a communication setting method.
請求項1ないし8のいずれか一項記載の通信設定方法であって、
前記工程(d)は、
(d−1)前記クライアント装置の種類と、前記クライアント装置のオペレーティングシステムの種類と、前記クライアント装置のオペレーティングシステムのバージョンと、のうちの少なくとも一部を取得する工程と、
(d−2)前記工程(d−1)で取得した情報に基づいて選択された通信設定用のファイルとしてのアプリケーションを受信させる工程と、
を含む、通信設定方法。
The communication setting method according to any one of claims 1 to 8,
The step (d)
(D-1) obtaining at least a part of the type of the client device, the type of the operating system of the client device, and the version of the operating system of the client device;
(D-2) receiving an application as a communication setting file selected based on the information acquired in the step (d-1);
Including a communication setting method.
請求項1ないし9のいずれか一項記載の通信設定方法であって、
前記工程(e)は、前記一時的な通信を終了させた後に開始される、通信設定方法。
The communication setting method according to any one of claims 1 to 9,
The communication setting method, wherein the step (e) is started after the temporary communication is terminated.
請求項1ないし10のいずれか一項記載の通信設定方法であって、
前記工程(a)において、前記一時的な通信は、予め定められた暗号化なしまたは暗号化レベルの低い通信設定に基づいて実現される、通信設定方法。
It is the communication setting method as described in any one of Claim 1 thru | or 10, Comprising:
In the step (a), the temporary communication is realized based on a predetermined communication setting with no encryption or a low encryption level.
請求項1ないし11のいずれか一項記載の通信設定方法であって、
前記無線接続装置は、複数の前記クライアント装置との間で無線通信を中継可能な無線ネットワーク中継装置である、通信設定方法。
The communication setting method according to any one of claims 1 to 11,
The communication setting method, wherein the wireless connection device is a wireless network relay device capable of relaying wireless communication with a plurality of the client devices.
クライアント装置に対して無線通信を設定する無線接続装置であって、
前記クライアント装置との間で、非制限かつ一時的な通信を確立する限定通信部と、
前記クライアント装置または前記クライアント装置との間の接続に対して割り当てられた識別子を取得する識別子取得部と、
以降の前記一時的な通信の相手方を、取得した前記識別子を用いて制限する制限部と、
前記クライアント装置に通信設定用のファイルを受信させる案内部と、
前記通信設定用のファイルを実行する前記クライアント装置との間で、所定のプロトコルに準拠した暗号化通信を確立し、前記暗号化通信を介して通信設定に関する情報を交換する暗号化通信部と、
を備える、無線接続装置。
A wireless connection device for setting wireless communication for a client device,
A limited communication unit that establishes unrestricted and temporary communication with the client device;
An identifier acquisition unit that acquires an identifier assigned to the client device or a connection between the client device;
A restriction unit for restricting the other party of the subsequent temporary communication using the acquired identifier;
A guide unit for causing the client device to receive a file for communication setting;
An encrypted communication unit that establishes encrypted communication conforming to a predetermined protocol with the client device that executes the communication setting file, and exchanges information regarding communication settings via the encrypted communication;
A wireless connection device.
JP2014216309A 2014-10-23 2014-10-23 Communication setting method and wireless connection device Active JP5880660B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014216309A JP5880660B2 (en) 2014-10-23 2014-10-23 Communication setting method and wireless connection device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014216309A JP5880660B2 (en) 2014-10-23 2014-10-23 Communication setting method and wireless connection device

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2012118838A Division JP5645088B2 (en) 2012-05-24 2012-05-24 COMMUNICATION SETTING METHOD, WIRELESS CONNECTION DEVICE, AND AUTHENTICATION METHOD

Publications (2)

Publication Number Publication Date
JP2015046927A true JP2015046927A (en) 2015-03-12
JP5880660B2 JP5880660B2 (en) 2016-03-09

Family

ID=52672032

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014216309A Active JP5880660B2 (en) 2014-10-23 2014-10-23 Communication setting method and wireless connection device

Country Status (1)

Country Link
JP (1) JP5880660B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016189566A (en) * 2015-03-30 2016-11-04 大日本印刷株式会社 Radio communication device and radio communication system
US12086081B2 (en) 2020-03-27 2024-09-10 Canon Kabushiki Kaisha Electronic device connectable to a detachable device, control method thereof, and non-transitory computer-readable storage medium

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001236232A (en) * 2000-02-25 2001-08-31 Ntt Data Corp Ic card system and ic card and ic card processing method and recording medium
JP2004072682A (en) * 2002-08-09 2004-03-04 Canon Inc Radio connection method, radio connection system and access point apparatus
JP2007293538A (en) * 2006-04-24 2007-11-08 Sumitomo Mitsui Card Co Ltd User authentication method, user authentication device, and user authentication program
US20070258415A1 (en) * 2006-05-02 2007-11-08 Accton Technology Corporation Handshake method for wireless client
JP2007293887A (en) * 2007-05-30 2007-11-08 Ntt Docomo Inc Server device, mobile communication terminal, information transmission system and information transmission method
JP2009135688A (en) * 2007-11-29 2009-06-18 Fujitsu Ten Ltd Authentication method, authentication system, and on-vehicle device
JP2010200371A (en) * 2010-05-17 2010-09-09 Brother Ind Ltd Wireless lan access point, wireless lan system, wireless lan station and wireless lan setting method

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001236232A (en) * 2000-02-25 2001-08-31 Ntt Data Corp Ic card system and ic card and ic card processing method and recording medium
JP2004072682A (en) * 2002-08-09 2004-03-04 Canon Inc Radio connection method, radio connection system and access point apparatus
JP2007293538A (en) * 2006-04-24 2007-11-08 Sumitomo Mitsui Card Co Ltd User authentication method, user authentication device, and user authentication program
US20070258415A1 (en) * 2006-05-02 2007-11-08 Accton Technology Corporation Handshake method for wireless client
JP2007293887A (en) * 2007-05-30 2007-11-08 Ntt Docomo Inc Server device, mobile communication terminal, information transmission system and information transmission method
JP2009135688A (en) * 2007-11-29 2009-06-18 Fujitsu Ten Ltd Authentication method, authentication system, and on-vehicle device
JP2010200371A (en) * 2010-05-17 2010-09-09 Brother Ind Ltd Wireless lan access point, wireless lan system, wireless lan station and wireless lan setting method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016189566A (en) * 2015-03-30 2016-11-04 大日本印刷株式会社 Radio communication device and radio communication system
US12086081B2 (en) 2020-03-27 2024-09-10 Canon Kabushiki Kaisha Electronic device connectable to a detachable device, control method thereof, and non-transitory computer-readable storage medium

Also Published As

Publication number Publication date
JP5880660B2 (en) 2016-03-09

Similar Documents

Publication Publication Date Title
JP5994390B2 (en) Authentication method and wireless connection device
JP5645088B2 (en) COMMUNICATION SETTING METHOD, WIRELESS CONNECTION DEVICE, AND AUTHENTICATION METHOD
JP6203985B1 (en) Secure provisioning of authentication credentials
CN105284176B (en) Method and device for establishing connection
JP4506856B2 (en) Communication apparatus and communication method
JP4613969B2 (en) Communication apparatus and communication method
JP5120417B2 (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION SYSTEM
CN109450931A (en) A kind of secure internet connection method, apparatus and PnP device
JP2009212732A5 (en)
JP6176018B2 (en) Wireless connection system, wireless terminal device, and wireless connection method
EP2993933B1 (en) Wireless terminal configuration method, apparatus and wireless terminal
JP2006197063A (en) Wireless lan system
KR20150124760A (en) Apparatus and method for managing instant connection based on wireless local area network
WO2019037350A1 (en) Router and method for generating guest network password of router and system
US20130318155A1 (en) Information processing apparatus, network system and information processing method
CN111343633A (en) Method, storage medium, terminal and device for safely establishing connection
JP6269025B2 (en) Wireless connection apparatus, method for copying setting information related to wireless communication, and network system
JP5880660B2 (en) Communication setting method and wireless connection device
WO2018040524A1 (en) Method and device for sharing hotspots
JP2008131429A (en) Wireless lan communication system setting method and wireless lan access point
KR101940722B1 (en) Method for providing communication security for user mobile in open wifi zone
CN103200004B (en) Send the method for message, the method for establishing secure connection, access point and work station
JP6468341B2 (en) Wireless connection apparatus, method for copying setting information related to wireless communication, and network system
Liu Security Analysis in Device-to-Device Wireless Networks
Tanaka et al. Symbolic device for short-range wireless pairwise communication

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150925

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150929

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160105

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160118

R150 Certificate of patent or registration of utility model

Ref document number: 5880660

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250