JP2015139090A - 無線接続装置、無線接続装置を制御するための方法、および、ネットワークシステム - Google Patents

無線接続装置、無線接続装置を制御するための方法、および、ネットワークシステム Download PDF

Info

Publication number
JP2015139090A
JP2015139090A JP2014009308A JP2014009308A JP2015139090A JP 2015139090 A JP2015139090 A JP 2015139090A JP 2014009308 A JP2014009308 A JP 2014009308A JP 2014009308 A JP2014009308 A JP 2014009308A JP 2015139090 A JP2015139090 A JP 2015139090A
Authority
JP
Japan
Prior art keywords
wireless
connection device
wireless connection
storage medium
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014009308A
Other languages
English (en)
Other versions
JP2015139090A5 (ja
JP6318640B2 (ja
Inventor
裕宣 稲子
Hironobu Inago
裕宣 稲子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Buffalo Inc
Original Assignee
Buffalo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Buffalo Inc filed Critical Buffalo Inc
Priority to JP2014009308A priority Critical patent/JP6318640B2/ja
Publication of JP2015139090A publication Critical patent/JP2015139090A/ja
Publication of JP2015139090A5 publication Critical patent/JP2015139090A5/ja
Application granted granted Critical
Publication of JP6318640B2 publication Critical patent/JP6318640B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】無線接続装置において、来客者向け無線ネットワークへの不正アクセスのリスクを低減することで来客者向け無線ネットワークにおけるセキュリティを向上させ、かつ、来客者向け無線ネットワークを簡便に利用可能とする。
【解決手段】無線接続装置は、近距離無線通信によって、無線接続装置に対する記憶媒体の近接を検出する検出部と、近接を検出している間、無線接続装置により提供される複数のネットワークのうちの他のネットワークから隔離された無線ネットワークである来客者向け無線ネットワークに対する、無線端末の接続を可能とする限定接続部とを備える。
【選択図】図1

Description

本発明は、無線接続装置に関する。
アクセスポイント等の無線接続装置において、通常のネットワークから隔離された無線ネットワーク(以降、「来客者向け無線ネットワーク」と呼ぶ。)への接続は、従来、SSID(Service Set Identifier)とパスワードとを入力すれば誰でも可能であった。しかし、従来の方法では、パスワードが漏えいした場合における不正アクセス等、セキュリティ面の不安があるという問題があった。この点、無線接続装置において、来客者向け無線ネットワーク用のSSIDを無効にすれば、上記のような不正アクセスを回避することができる。しかし、来客者向け無線ネットワーク用のSSIDを無効にするためには、無線接続装置の管理画面上から操作を行う必要があるため、煩雑な手間を要するという問題があった。
特許文献1には、WAN(Wide Area Network)側ネットワークから、セキュリティ設定が行われたLAN(Local Area Network)側ネットワークへの接続のためのゲートウェイ機器などの設定を簡略化するために、LAN側ネットワークに接続する際に用いる情報を可搬型の記憶装置に記憶させることが記載されている。特許文献2には、セキュリティトークンに格納されたデバイス情報を用いた認証によって、クライアントが接続可能なVLAN(Virtual Local Area Network)を特定する技術が記載されている。特許文献3には、利用者端末から送信される利用権情報に含まれる証明情報と認証情報とに基づいて、利用権の正当性を2回判定することが記載されている。
WO2010/073405号公報 特開2002−366522号公報 特開2006−350512号公報 特開2007−043644号公報 特開2006−074802号公報
特許文献1〜3では、いずれも、LAN側に存在する無線接続装置のセキュリティを向上させることについては考慮されていない。
このため、無線接続装置において、来客者向け無線ネットワーク(具体的には来客者向け無線ネットワーク用のSSID)への不正アクセスのリスクを低減することで来客者向け無線ネットワークにおけるセキュリティを向上させ、かつ、来客者向け無線ネットワークを簡便に利用可能とすることが望まれていた。
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
(1)本発明の一形態によれば、無線接続装置が提供される。この無線接続装置は;近距離無線通信によって、前記無線接続装置に対する記憶媒体の近接を検出する検出部と;前記近接を検出している間、前記無線接続装置により提供される複数のネットワークのうちの他のネットワークから隔離された無線ネットワークである来客者向け無線ネットワークに対する、無線端末の接続を可能とする限定接続部と、を備える。この形態の無線接続装置によれば、限定接続部は、無線接続装置と認証情報が記憶された記憶媒体とが近接している間に限り、無線端末による来客者向け無線ネットワークへの接続を可能とする。このように、来客者向け無線ネットワークの接続に対して、記憶媒体が必要であるという制限を設ければ、来客者向け無線ネットワーク用のSSID等が漏えいしたとしても、悪意のある第三者は、来客者向け無線ネットワークへ接続することができない。さらに、正当な利用者が記憶媒体を紛失した、または、記憶媒体が悪意のある第三者によって偽造された、等の場合であっても、「無線接続装置と記憶媒体の近接」という物理的な距離の制限のために、記憶媒体を入手した第三者は、遠隔では来客者向け無線ネットワークへ接続することができない。この結果、無線接続装置において、来客者向け無線ネットワークへの不正アクセスのリスクを低減することで来客者向け無線ネットワークにおけるセキュリティを向上させることができる。また、来客者向け無線ネットワークを利用するためには、利用者は、記憶媒体と無線接続装置とを近接させればよいため、無線接続装置において、来客者向け無線ネットワークを簡便に利用可能とすることができる。
(2)上記形態の無線接続装置では、さらに;前記近距離無線通信によって、前記記憶媒体から認証情報を取得する取得部を備え;前記検出部は、前記取得部による前記認証情報の取得が可能な場合に、前記無線接続装置と前記記憶媒体とが近接していると判定してもよい。この形態の無線接続装置によれば、検出部は、取得部による認証情報の取得が可能な場合に、無線接続装置と無線端末とが近接していると判定する。このため、「無線接続装置と記憶媒体の近接」という物理的な距離の制限を、採用される近距離無線通信の方式による情報の読み書き範囲の広さに応じて、数センチ〜1メートル前後の間で任意に調整することができる。
(3)上記形態の無線接続装置において;前記限定接続部は、さらに、前記来客者向け無線ネットワークへ接続している前記無線端末から、前記他のネットワークへの通信を制限することで、前記無線端末による通信先をインターネットに限定してもよい。この形態の無線接続装置によれば、限定接続部は、来客者向け無線ネットワークへ接続している無線端末からの他のネットワークへの通信を制限する。すなわち、来客者向け無線ネットワークを、無線接続装置に接続されている他の無線端末で構成される他のネットワーク(例えばLAN等)から分離させることができる。このため、来客者向け無線ネットワークへ接続している無線端末から他のネットワークに対する不正アクセスを抑制することができ、無線接続装置におけるセキュリティをより向上させることができる。
(4)上記形態の無線接続装置において;前記限定接続部は、さらに、前記無線接続装置とインターネットとの間にネットワーク装置がある場合に、前記ネットワーク装置に対して、前記無線接続装置を介した前記来客者向け無線ネットワークへの接続を許可させてもよい。この形態の無線接続装置によれば、限定接続部は、さらに、無線接続装置とインターネットとの間にネットワーク装置がある場合に、当該ネットワーク装置に対して、無線接続装置を介した来客者向け無線ネットワークへの接続を許可させる。このため、無線接続装置とインターネットとの間にネットワーク装置がある場合であっても、来客者向け無線ネットワークへ接続している無線端末からインターネットへの通信を実現することができる。
(5)上記形態の無線接続装置では、さらに;取得した前記認証情報を用いて、前記記憶媒体の正当性を認証する認証部を備えてもよい。この形態の無線接続装置によれば、認証部は、記憶媒体に記憶されている認証情報を用いて、記憶媒体の正当性を認証することができる。このため、記憶媒体が悪意のある第三者によって偽造された等、記憶媒体の正当性が確認できなかった場合に、当該記憶媒体を用いた接続を禁止するといった措置を採用することが可能となる。この結果、無線接続装置におけるセキュリティをより向上させることができる。
(6)上記形態の無線接続装置では、さらに;取得した前記認証情報を外部装置へ送信し、前記記憶媒体の正当性の認証結果を前記外部装置から取得する認証部を備えてもよい。この形態の無線接続装置によれば、認証部は、認証情報を外部装置へ送信し、記憶媒体の正当性の認証結果を外部装置から取得することで、記憶媒体の正当性を認証する。このため、記憶媒体が悪意のある第三者によって偽造された等、記憶媒体の正当性が確認できなかった場合に、当該記憶媒体を用いた接続を禁止するといった措置を採用することも可能となる。この結果、無線接続装置におけるセキュリティをより向上させることができる。
(7)上記形態の無線接続装置において;前記認証部は、さらに、一時的に有効な一時鍵を生成し、前記生成した一時鍵を近距離無線通信によって前記記憶媒体に記憶させてもよい。この形態の無線接続装置によれば、認証部は、一時的に有効な一時鍵を生成し、生成した一時鍵を近距離無線通信によって記憶媒体に記憶させることができる。
(8)上記形態の無線接続装置において;前記取得部は、前記記憶媒体に記憶されている前記一時鍵を取得し;前記認証部は、前記認証情報に代えて、または、前記認証情報と共に、前記一時鍵を用いて前記記憶媒体の正当性を認証してもよい。この形態の無線接続装置によれば、認証部は、認証情報に代えて、または、認証情報と共に、一時鍵を用いて記憶媒体の正当性を認証する。一時的にしか有効でない一時鍵は、継続的に記憶媒体に記憶されている認証情報と比較して、セキュリティ強度が高い。このような一時鍵を用いて記憶媒体の正当性を認証することで、認証の信頼性をより向上させることができる。この結果、無線接続装置におけるセキュリティをより向上させることができる。
(9)上記形態の無線接続装置では、さらに;前記ネットワーク装置に対して、仮想プライベートネットワークを用いた通信路の確立を要求する仮想化要求部を備えてもよい。この形態の無線接続装置によれば、仮想化要求部は、無線接続装置とインターネットとの間にネットワーク装置がある場合に、当該ネットワーク装置に対して、仮想プライベートネットワークを用いた通信路の確立を要求する。仮想プライベートネットワークを用いた通信路では、インターネットを経由した通信内容のカプセル化や暗号化が行われる。このため、来客者向け無線ネットワークへ接続している無線端末と、無線端末の通信相手装置と、の間の通信におけるセキュリティを向上させることができる。
(10)本発明の一形態によれば、ネットワークシステムが提供される。このネットワークシステムは;無線接続装置と;認証情報が予め記憶されている記憶媒体を備える無線端末と、を備え;前記無線接続装置は;近距離無線通信によって、前記無線接続装置に対する前記記憶媒体の近接を検出する検出部と;前記近接を検出している間、前記無線接続装置により提供される複数のネットワークのうちの他のネットワークから隔離された無線ネットワークである来客者向け無線ネットワークに対する、前記無線端末の接続を可能とする限定接続部と、を備える。
上述した本発明の各形態の有する複数の構成要素は全てが必須のものではなく、上述の課題の一部または全部を解決するため、あるいは、本明細書に記載された効果の一部または全部を達成するために、適宜、前記複数の構成要素の一部の構成要素について、その変更、削除、新たな構成要素との差し替え、限定内容の一部削除を行うことが可能である。また、上述の課題の一部または全部を解決するため、あるいは、本明細書に記載された効果の一部または全部を達成するために、上述した本発明の一形態に含まれる技術的特徴の一部または全部を上述した本発明の他の形態に含まれる技術的特徴の一部または全部と組み合わせて、本発明の独立した一形態とすることも可能である。
例えば、本発明の一形態は、検出部と、限定接続部と、の2つの要素のうちの一部または全部の要素を備えた方法として実現可能である。すなわち、本装置は、検出部を有していてもよく、有していなくてもよい。また、本装置は、限定接続部を有していてもよく、有していなくてもよい。こうした装置は、例えば無線接続装置として実現できるが、無線接続装置以外の他の装置としても実現可能である。前述した無線接続装置の各形態の技術的特徴の一部または全部は、いずれもこの装置に適用することが可能である。
本発明は、無線接続装置以外の種々の形態で実現することも可能である。例えば、無線接続装置を制御するための方法、無線接続装置を含むネットワークシステム、これらの方法の一部または全部を実現するコンピュータプログラム、そのコンピュータプログラムを記録した一時的でない記録媒体等の形態で実現することができる。
本発明の一実施形態としての無線接続装置を用いて利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。 無線接続装置と記憶媒体との構成を機能的に示すブロック図である。 来客者向け処理の手順を示すフローチャートである。 第2実施形態の無線接続装置を用いて利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。 第2実施形態の無線接続装置と記憶媒体との構成を機能的に示すブロック図である。 第2実施形態における来客者向け処理の手順を示すフローチャートである。 第3実施形態の無線接続装置を用いて利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。 第3実施形態の無線接続装置と記憶媒体との構成を機能的に示すブロック図である。 第3実施形態における来客者向け処理の手順を示すフローチャートである。 第4実施形態の無線接続装置と記憶媒体との構成を機能的に示すブロック図である。 一時鍵発行処理の手順を示すフローチャートである。 第4実施形態における来客者向け処理の手順を示すフローチャートである。 第5実施形態の無線接続装置を用いて利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。
次に、本発明の実施の形態を実施形態に基づいて説明する。
A.第1実施形態:
A−1.システムの概略構成:
図1は、本発明の一実施形態としての無線接続装置を用いて、利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。なお、図1では便宜上、説明上必要としない他のネットワーク中継装置、回線、端末等については図示を省略している。
無線接続装置10は、IEEE802.11規格と、IEEE802.3規格とに準拠したアクセスポイント装置である。以降、無線接続装置10を「AP10」とも呼ぶ。AP10は、ルータとしても機能し、有線ケーブルを介してインターネットINTに接続されている。AP10は、近距離無線通信のためのインタフェースとして、NFCインタフェース120を備えている。
本実施形態のAP10は、後述の来客者向け処理を実行することによって、NFCインタフェース120が、その検出範囲内において記憶媒体20を検出している間に限って、来客者向け無線ネットワークCNへの接続を可能とする。このため、AP10の利用者は、自身が所持する記憶媒体20をAP10のNFCインタフェース120に近接させている間に限り、パーソナルコンピュータ30等の任意の無線端末を用いて、来客者向け無線ネットワークCNへ接続することができる。なお、以降の説明では、AP10の来客者向け無線ネットワークCNに接続されている無線端末のことを単に「ゲスト端末」とも呼ぶ。
A−2.無線接続装置の概略構成:
図2は、無線接続装置10と記憶媒体20との構成を機能的に示すブロック図である。図2(A)は、無線接続装置(AP)10の構成を示している。AP10は、CPU110と、NFCインタフェース(I/F)120と、RAM130と、無線通信インタフェース(I/F)140と、有線通信インタフェース(I/F)150と、フラッシュROM160と、を備え、各構成要素はバスにより相互に接続されている。
CPU110は、フラッシュROM160に格納されているコンピュータプログラムをRAM130に展開して実行することにより、AP10を制御する。また、CPU110は、中継処理部111、ゲスト用機能112、取得部113、限定接続部114、認証部115の各機能を実現する。
中継処理部111は、AP10が受信したパケットを宛先に応じて転送する中継処理を実行する。中継処理部111は、ゲスト端末、すなわち、来客者向け無線ネットワークに接続されている無線端末向けの機能として、ゲスト用機能112を備えている。ゲスト用機能112は、ゲスト端末から受信したパケットをフィルタリングする機能を持つ。具体的には、中継処理部111は、ゲスト端末から受信したパケットの宛先が、AP10に接続されている他の無線端末である場合、換言すれば、AP10のLAN(Local Area Network)内の端末である場合に、当該パケットを破棄する。これにより、AP10は、ゲスト端末による通信先をインターネットに限定することができる。
取得部113は、NFCインタフェース120のNFCリーダを用いて、記憶媒体20に記憶されている情報を取得する。
限定接続部114は、来客者向け処理を実行する。来客者向け処理は、NFCインタフェース120が、その検出範囲内において記憶媒体20を検出している間に限って、来客者向け無線ネットワークへの接続を可能とするための処理である。また、限定接続部114は、NFCインタフェース120と協働することによって、AP10に対する記憶媒体20の近接を検出する「検出部」としても機能する。
認証部115は、来客者向け処理において、記憶媒体20に記憶されている情報を用いて、記憶媒体20の正当性を認証する。
NFCインタフェース120は、ISO/IEC14443およびISO/IEC18092に準拠した近距離型の無線通信インタフェースである。NFCは、通信可能な距離が10cm前後に限定された近距離無線通信であり、NFCインタフェースを備える通信機器同士が非接触な状態でも無線通信が可能なことから、非接触無線通信、または、近接無線通信とも呼ばれる。NFCインタフェース120は、NFCリーダ/ライタとアンテナとを含み、アンテナを介して送受信される電波を用いて、近接しているICチップへの情報の読み書きをする。
無線通信インタフェース140は、送受信回路を含み、アンテナを介して受信した電波の復調とデータの生成、および、アンテナを介して送信する電波の生成と変調を行う。有線通信インタフェース150は、インターネットINT(図1)側の回線と接続されるほか、有線ケーブルを通じてLAN内の他の装置(例えばNASやパーソナルコンピュータ等)と接続される。有線通信インタフェース150は、PHY/MACコントローラを含み、受信した信号の波形を整えるほか、受信した信号からMACフレームを取り出す。
フラッシュROM160には、登録情報161が含まれている。登録情報161には、正当な記憶媒体20(換言すれば、AP10の正当な利用者へ発行された記憶媒体20)に記憶されている認証情報と同一の情報が予め記憶されている。なお、登録情報161には、複数の正当な記憶媒体20に対応する、複数の情報が記憶されていてもよい。
A−3.記憶媒体の概略構成:
図2(B)は、記憶媒体20の構成を示している。本実施形態において、記憶媒体20は、ICチップを含んだカードとして実現される。記憶媒体20は、NFCタグ210と呼ばれるICチップを含み、ICチップ内には情報を記録しておくことができる。NFCタグ210には、認証情報211と、接続情報212とが含まれている。以降では、認証情報211と接続情報212とを総称して「媒体情報」とも呼ぶ。
認証情報211には、記憶媒体20を識別するための情報が予め記憶されている。記憶媒体20を識別するための情報には、特に限定はなく、例えば、記憶媒体20に内蔵されているICタグに割り当てられている識別子や任意に割り当てられたUUID(Universally Unique Identifier)等を採用することができる。
接続情報212には、AP10の来客者向け無線ネットワークへ接続するために必要となる無線通信に関する設定情報が予め記憶されている。無線通信に関する設定情報には、来客者向け無線ネットワークのSSID(Service Set Identifier)と、来客者向け無線ネットワークでの無線通信における認証/暗号化方式と、前記暗号化に使用される暗号鍵と、来客者向け無線ネットワークでの無線通信に使用される無線チャンネルと、が含まれる。なお、来客者向け無線ネットワークのSSIDを、単に「ゲスト用SSID」とも呼ぶ。
A−4.来客者向け処理:
図3は、来客者向け処理の手順を示すフローチャートである。ステップS102においてNFCインタフェース120は、記憶媒体20のNFCタグ210のタッチを検出する。なお、ステップS102では、タッチの検出に代えて、記憶媒体20のNFCタグ210が、NFCインタフェース120のNFCリーダの読み取り可能範囲にあることを検出してもよい。
ステップS104において取得部113は、NFCインタフェース120のNFCリーダによって読み取られた媒体情報、すなわち、認証情報211と接続情報212とを取得する。
ステップS106において認証部115は、ステップS104で取得した認証情報211と、フラッシュROM160の登録情報161に記憶されている情報とを照合する。
ステップS108において認証部115は、ステップS104で取得した認証情報211が登録情報161に登録済であるか否かを判定する。具体的には、認証部115は、ステップS106における照合の結果、取得した認証情報211が登録情報161に記憶されている情報と一致する場合、取得した認証情報211は登録情報161に登録済であり、記憶媒体20は正当であると判定する。一方、認証部115は、ステップS106における照合の結果、取得した認証情報211が登録情報161に記憶されている情報と一致しない場合、取得した認証情報211は登録情報161に登録済でなく、記憶媒体20は正当でないと判定する。なお、登録情報161において、複数の正当な記憶媒体20に対応する複数の情報が記憶されている場合、ステップS108における一致の判定は一部一致でよい。
認証情報211が登録情報161に登録済でない場合(ステップS108:NO)、認証部115は、処理をステップS102に遷移させる。一方、認証情報211が登録情報161に登録済である場合(ステップS108:YES)、認証部115は、処理をステップS110に遷移させる。
ステップS110において限定接続部114は、無線通信インタフェース140を有効にする。ステップS112において限定接続部114は、ゲスト用SSID、すなわち、来客者向け無線ネットワークのSSIDを有効にする。ステップS110、S112により、AP10からはゲスト用SSIDを用いたビーコンが送信される。ステップS114において限定接続部114は、中継処理部111のゲスト用機能112を有効にする。
ステップS116において限定接続部114は、例えばパーソナルコンピュータ30等の任意の無線端末との無線通信CN(図1)を確立する。具体的には、限定接続部114は、無線端末から送信されるプローブ要求を受信し、プローブ応答の送信と、認証等の処理を行うことによって、無線端末との無線通信を確立する。
ステップS116以降は、図1に示すように、使用者は、パーソナルコンピュータ30等の任意の無線端末を用いて、AP10の来客者向け無線ネットワークCNへ接続することができる。なお、来客者向け無線ネットワークCNにおける無線端末の通信先は、中継処理部111のゲスト用機能112によって、インターネットに限定される。
ステップS118において限定接続部114は、NFCインタフェース120が記憶媒体20のNFCタグ210のタッチを検出しているか否かを判定する。なお、ステップS118では、ステップS102と同様に、タッチの検出に代えて、記憶媒体20のNFCタグ210が、NFCインタフェース120のNFCリーダの読み取り可能範囲にあるか否かを判定してもよい。
NFCタグ210のタッチを検出している場合(ステップS118:YES)、限定接続部114は処理をステップS118に遷移させ、NFCインタフェース120が記憶媒体20のNFCタグ210のタッチを検出しているか否かの監視を継続する。一方、NFCタグ210のタッチを検出していない場合(ステップS118:NO)、限定接続部114は、処理をステップS120に遷移させる。
ステップS120において限定接続部114は、中継処理部111のゲスト用機能112を無効にする。ステップS122において限定接続部114は、ゲスト用SSIDを無効にする。ステップS124において限定接続部114は、無線通信インタフェース140を無効にする。ステップS122、S124により、使用者の無線端末の来客者向け無線ネットワークCNへの接続が切断されると共に、AP10からのゲスト用SSIDを用いたビーコンの送信が停止される。このように、来客者向け無線ネットワークへの接続を許可しない間において、無線通信インタフェース140を無効にすれば、AP10の消費電力を低減させることができる。
以上のように、第1実施形態の来客者向け処理によれば、限定接続部114は、AP10(無線接続装置)と認証情報211が記憶された記憶媒体20とが近接している間に限り、パーソナルコンピュータ30(無線端末)による来客者向け無線ネットワークCNへの接続を可能とする。このように、来客者向け無線ネットワークCNの接続に対して、記憶媒体20が必要であるという制限を設ければ、ゲスト用SSID(来客者向け無線ネットワーク用のSSID)等が漏えいしたとしても、悪意のある第三者は、来客者向け無線ネットワークCNへ接続することができない。さらに、正当な利用者が記憶媒体20を紛失した、または、記憶媒体20が悪意のある第三者によって偽造された、等の場合であっても、「AP10と記憶媒体20の近接」という物理的な距離の制限のために、記憶媒体20を入手した第三者は、遠隔では来客者向け無線ネットワークCNへ接続することができない。この結果、AP10において、来客者向け無線ネットワークCNへの不正アクセスのリスクを低減することで、来客者向け無線ネットワークCNにおけるセキュリティを向上させることができる。また、来客者向け無線ネットワークCNを利用するためには、利用者は、記憶媒体20とAP10とを近接させればよいため、AP10において、来客者向け無線ネットワークCNを簡便に利用可能とすることができる。
さらに、第1実施形態の来客者向け処理によれば、限定接続部114およびNFCインタフェース120(検出部)は、取得部113による認証情報211の取得が可能な場合に、AP10(無線接続装置)と記憶媒体20とが近接していると判定する。このため、「AP10と記憶媒体20の近接」という物理的な距離の制限を、採用される近距離無線通信の方式による情報の読み書き範囲の広さに応じて、数センチ〜1メートル前後の間で任意に調整することができる。
さらに、第1実施形態の来客者向け処理によれば、限定接続部114は、ゲスト用機能112を有効とすることで、来客者向け無線ネットワークCNへ接続しているパーソナルコンピュータ30(無線端末)から、AP10(無線接続装置)が提供する複数のネットワークのうちの、他のネットワークへの通信を制限する。すなわち、来客者向け無線ネットワークCNを、AP10に接続されている他の無線端末で構成される他のネットワーク(例えばLAN等)から分離させることができる。このため、来客者向け無線ネットワークCNへ接続しているパーソナルコンピュータ30(無線端末)から他のネットワークに対する不正アクセスを抑制することができ、AP10におけるセキュリティをより向上させることができる。
さらに、第1実施形態の来客者向け処理によれば、認証部115は、記憶媒体20に記憶されている認証情報211を用いて、記憶媒体20の正当性を認証する。このため、記憶媒体20が悪意のある第三者によって偽造された等、記憶媒体20の正当性が確認できなかった場合に、当該記憶媒体20を用いた接続を禁止するといった措置を採用することができる。この結果、AP10(無線接続装置)におけるセキュリティをより向上させることができる。
B.第2実施形態:
本発明の第2実施形態では、第1実施形態とは異なるネットワーク構成を採用した場合の例について説明する。以下では、第1実施形態と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施形態と同様の構成部分については先に説明した第1実施形態と同様の符号を付し、その詳細な説明を省略する。
B−1.システムの概略構成:
図4は、第2実施形態の無線接続装置を用いて、利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。図1に示した第1実施形態との違いは、AP10に代えてAP10aを備える点と、記憶媒体20に代えて記憶媒体20aを備える点と、AP10aがネットワーク装置40に接続されている点である。
ネットワーク装置40は、IEEE802.11規格と、IEEE802.3規格とに準拠したアクセスポイント装置である。以降、ネットワーク装置40を「AP40」とも呼ぶ。AP40は、ルータとしても機能し、有線ケーブルを介してインターネットINTに接続されている。
B−2.無線接続装置の概略構成:
図5は、第2実施形態の無線接続装置10aと記憶媒体20aとの構成を機能的に示すブロック図である。図5(A)は、無線接続装置(AP)10aの構成を示している。図2(A)に示した第1実施形態との違いは、CPU110に代えてCPU110aを備える点である。CPU110aは、限定接続部114に代えて限定接続部114aを備えている。限定接続部114aは、実行する来客者向け処理の処理内容が第1実施形態と異なる。
B−3.記憶媒体の概略構成:
図5(B)は、記憶媒体20aの構成を示している。図2(B)に示した第1実施形態との違いは、NFCタグ210に代えてNFCタグ210aを備える点である。NFCタグ210aは、接続情報212に代えて接続情報212aを備えている。接続情報212aには、AP10aの来客者向け無線ネットワークへ接続するために必要となる無線通信に関する設定情報に加えて、AP40の来客者向け無線ネットワークへ接続するために必要となる無線通信に関する設定情報が予め記憶されている。各設定情報の詳細は、図2(B)で説明した通りである。
B−4.来客者向け処理:
図6は、第2実施形態における来客者向け処理の手順を示すフローチャートである。図3に示した第1実施形態との違いは、ステップS116に代えてステップS202およびS204を備える点である。なお、以下に説明するステップS202とS204との実行順序は逆にしてもよい。
ステップS202において限定接続部114aは、AP40との間の無線通信CN2(図4)を確立する。具体的には、限定接続部114aは、AP40から送信されるビーコンに応じてプローブ要求を送信する。AP40からのプローブ応答の受信と、AP40による認証等の処理を経て、AP10aは、AP40との間の無線通信を確立する。ステップS204において限定接続部114aは、例えばパーソナルコンピュータ30等の任意の無線端末との無線通信CN1(図4)を確立する。具体的には、限定接続部114aは、無線端末から送信されるプローブ要求を受信し、プローブ応答の送信と、認証等の処理を行うことによって、無線端末との無線通信を確立する。
ステップS204以降は、図4に示すように、使用者は、パーソナルコンピュータ30等の任意の無線端末を用いて、AP10aの来客者向け無線ネットワークCN1、CN2へ接続することができる。なお、来客者向け無線ネットワークCN1、2における無線端末の通信先は、中継処理部111のゲスト用機能112によって、インターネットに限定される。また、ステップS118以降において、NFCタグ210のタッチまたは近接を検出できなくなった場合に、使用者の無線端末の来客者向け無線ネットワークCN1、2への接続を切断する点は、第1実施形態と同様である。
以上のように、第2実施形態の来客者向け処理によれば、第1実施形態で説明した効果と同様の効果を得ることができる。さらに、第2実施形態の来客者向け処理によれば、限定接続部114aは、さらに、AP10a(無線接続装置)とインターネットINTとの間に、インターネットINT接続の際のゲートウェイとして機能するAP40(ネットワーク装置)がある場合に、当該AP40に対して、AP10aを介した来客者向け無線ネットワークへの接続を許可させる(ステップS202)。このため、AP10aとインターネットINTとの間にネットワーク装置がある場合であっても、来客者向け無線ネットワークCN1へ接続しているパーソナルコンピュータ30(無線端末)からインターネットINTへの通信を実現することができる。
C.第3実施形態:
本発明の第3実施形態では、第2実施形態で説明した構成において、ゲスト端末からインターネットを介したLANアクセスを実現する場合の例について説明する。以下では、第2実施形態と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第2実施形態と同様の構成部分については先に説明した第2実施形態と同様の符号を付し、その詳細な説明を省略する。
C−1.システムの概略構成:
図7は、第3実施形態の無線接続装置を用いて、利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。図2に示した第2実施形態との違いは、AP10aに代えてAP10bを備える点と、記憶媒体20aに代えて記憶媒体20bを備える点と、AP40に代えてAP40bを備える点と、ルータ50を備える点と、サーバ60を備える点である。
AP40bは、IEEE802.11規格と、IEEE802.3規格とに準拠したアクセスポイント装置である。AP40は、ルータとしても機能し、有線ケーブルを介してインターネットINTに接続されている。AP40bは、IPsec(Security Architecture for Internet Protocol)を使用して、AP40bを終端とする仮想プライベートネットワーク(以降「VPN」とも呼ぶ、Virtual Private Network)を用いた通信路TNを確立することができる。
ルータ50は、IEEE802.3規格に準拠したルータ装置である。ルータ50は、有線ケーブルを介してインターネットINTおよびサーバ60と接続されている。ルータ50は、AP40bと同様に、IPsecを使用して、ルータ50を終端とするVPNを用いた通信路TNを確立することができる。
サーバ60は、図示しないハードディスクドライブを備えている。サーバ60のハードディスクドライブには、音声データ、画像データ、アプリケーションデータ等の様々なユーザデータが格納されている。
C−2.無線接続装置の概略構成:
図8は、第3実施形態の無線接続装置10bと記憶媒体20bとの構成を機能的に示すブロック図である。図8(A)は、無線接続装置(AP)10bの構成を示している。図5(A)に示した第2実施形態との違いは、CPU110aに代えてCPU110bを備える点である。CPU110bは、限定接続部114aに代えて限定接続部114bを備え、さらに、仮想化要求部116を備えている。限定接続部114bは、実行する来客者向け処理の処理内容が第2実施形態と異なる。仮想化要求部116は、AP40bに対して、VPNを用いた通信路TNの確立を要求する。
C−3.記憶媒体の概略構成:
図8(B)は、記憶媒体20bの構成を示している。図5(B)に示した第2実施形態との違いは、NFCタグ210aに代えてNFCタグ210bを備える点である。NFCタグ210bは、接続情報212aに代えて接続情報212bを備えている。接続情報212bには、AP10bの来客者向け無線ネットワークへ接続するために必要となる無線通信に関する設定情報と、AP40bの来客者向け無線ネットワークへ接続するために必要となる無線通信に関する設定情報と、に加えて、AP40bがVPNを用いた通信路TNを確立するために必要となる設定情報が予め記憶されている。この設定情報は、具体的には、VPN設定情報と、接続用の鍵と、を含む。
C−4.来客者向け処理:
図9は、第3実施形態における来客者向け処理の手順を示すフローチャートである。図6に示した第2実施形態との違いは、ステップS204の次に、さらにステップS302を備える点である。なお、以下に説明するステップS202、S204、S302の実行順序は入れ替えてもよい。
ステップS302において仮想化要求部116は、AP40bに対してVPN設定要求を送信する。この際、仮想化要求部116は、ステップS104で取得した接続情報212bに含まれるVPN設定情報と接続用の鍵とを、VPN設定要求と共に送信する。VPN設定要求を受信したAP40bは、VPN設定情報に従って通信路TNを確立するために必要となる設定を実施し、ルータ50との間で接続用の鍵交換を実施し、VPNを用いた通信路TNを確立する。
ステップS302以降は、図7に示すように、使用者は、パーソナルコンピュータ30等の任意の無線端末を用いて、AP10bの来客者向け無線ネットワークCN1、CN2へ接続することができる。さらに、インターネットINTを介したサーバ60との通信内容は、VPNを用いた通信路TNによってカプセル化、暗号化される。なお、来客者向け無線ネットワークCN1、2における無線端末の通信先は、中継処理部111のゲスト用機能112によって、インターネットに限定される。また、ステップS118以降において、NFCタグ210のタッチまたは近接を検出できなくなった場合に、使用者の無線端末の来客者向け無線ネットワークCN1、2への接続を切断する点は、第2実施形態と同様である。さらに、来客者向け無線ネットワークCN2の切断に伴い、AP40bは、ルータ50との間のVPN接続を切断する。
以上のように、第3実施形態の来客者向け処理によれば、第2実施形態で説明した効果と同様の効果を得ることができる。さらに、第3実施形態の来客者向け処理によれば、仮想化要求部116は、AP10b(無線接続装置)とインターネットINTとの間にAP40b(ネットワーク装置)がある場合に、当該AP40bに対して、VPN(仮想プライベートネットワーク)を用いた通信路TNの確立を要求する。VPNを用いた通信路TNでは、インターネットINTを経由した通信内容のカプセル化や暗号化が行われる。このため、来客者向け無線ネットワークへ接続しているパーソナルコンピュータ30(無線端末)と、無線端末の通信相手装置、すなわち上記実施形態によればサーバ60と、の間の通信におけるセキュリティを向上させることができる。
D.第4実施形態:
本発明の第4実施形態では、第1実施形態で説明した構成において、さらに、一時的に有効な一時鍵を用いて記憶媒体の認証を実施する構成について説明する。以下では、第1実施形態と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施形態と同様の構成部分については先に説明した第1実施形態と同様の符号を付し、その詳細な説明を省略する。
D−1.システムの概略構成:
第4実施形態の無線接続装置を用いて利用者が来客者向け無線ネットワークに接続する様子は、図1に示した第1実施形態と同様である。ただし、第4実施形態では、AP10に代えてAP10cを備え、記憶媒体20に代えて記憶媒体20cを備える。
D−2.無線接続装置の概略構成:
図10は、第4実施形態の無線接続装置10cと記憶媒体20cとの構成を機能的に示すブロック図である。図10(A)は、無線接続装置(AP)10cの構成を示している。図2(A)に示した第1実施形態との違いは、CPU110に代えてCPU110cを備える点と、フラッシュROM160に代えてフラッシュROM160cを備える点である。
CPU110cは、取得部113に代えて取得部113cを備え、限定接続部114に代えて限定接続部114cを備え、認証部115に代えて認証部115cを備えている。取得部113cは、記憶媒体20cから取得する情報が第1実施形態と異なる。限定接続部114cは、実行する来客者向け処理の処理内容が第1実施形態と異なる。認証部115cは、来客者向け処理において、記憶媒体20cに記憶されている情報を用いて、記憶媒体20cの正当性を認証する。さらに、本実施形態の認証部115cは、来客者向け処理に先立って、一時鍵発行処理を実行することで、一時的に有効な一時鍵を生成すると共に、生成した一時鍵を記憶媒体20cに記憶させる。ここで、一時鍵とは、時間的制限または回数的制限が付された鍵である限り、任意の形態を採用可能である。一時鍵は、例えば、一回限り有効なワンタイムキー(ワンタイムパスワード)であってもよい。
フラッシュROM160cは、登録情報161に加えてさらに、発行済鍵記憶部162を備えている。発行済鍵記憶部は、認証部115cが実行する一時鍵発行処理によって生成された一時鍵と同一の情報が記憶されている。
D−3.記憶媒体の概略構成:
図10(B)は、記憶媒体20cの構成を示している。図2(B)に示した第1実施形態との違いは、NFCタグ210に代えてNFCタグ210cを備える点である。NFCタグ210cには、一時鍵発行処理を経て、一時鍵213が記憶される。
D−4.一時鍵発行処理:
図11は、一時鍵発行処理の手順を示すフローチャートである。一時鍵発行処理は、図12に示す来客者向け処理に先立って実行される。ステップS402においてNFCインタフェース120は、記憶媒体20cのNFCタグ210cのタッチを検出する。なお、ステップS402では、タッチの検出に代えて、NFCタグ210cが、NFCインタフェース120のNFCリーダの読み取り可能範囲にあることを検出してもよい。なお、一時鍵発行処理の開始トリガと、後述の来客者向け処理の開始トリガとを区別するために、ステップS402では、記憶媒体20cのNFCタグ210cのタッチの検出に代えて、またはタッチの検出と共に、AP10cが備えるボタンの押下の検出や、HTTP(HyperText Transfer Protocol)等の手段により提供されるAP10の設定画面を介して与えられる利用者からの指示を利用してもよい。
ステップS404において認証部115cは、一時鍵を生成する。一時鍵の生成には、例えば、数学的アルゴリズムを利用した生成方法や、時刻同期型の生成方法等、周知の種々の方法を採用することができる。
ステップS406において認証部115cは、ステップS404で生成した一時鍵を、NFCインタフェース120のNFCライタを介して、記憶媒体20cのNFCタグ210cに記憶させる。ステップS406を経て、記憶媒体20cのNFCタグ210cには、一時鍵213が記憶される。
ステップS408において認証部115cは、ステップS404で生成した一時鍵を、フラッシュROM160cの発行済鍵記憶部162に記憶させる。なお、この際、認証部115cは、一時鍵を表す情報に加えて、一時鍵に付された制限(時間的制限、回数的制限)を発行済鍵記憶部162に記憶させてもよい。
このように、一時鍵発行処理によれば、認証部115cは、一時的に有効な一時鍵を生成すると共に、生成した一時鍵をNFC(近距離無線通信)によって記憶媒体20cに記憶させることができる。このため、第4実施形態の来客者向け処理において必要となる一時鍵を、手軽に発行することができる。
D−5.来客者向け処理:
図12は、第4実施形態における来客者向け処理の手順を示すフローチャートである。図1に示した第1実施形態との違いは、ステップS104〜S108に代えてステップS502〜S506を備える点である。
ステップS502において取得部113cは、NFCインタフェース120のNFCリーダによって読み取られた媒体情報、すなわち、認証情報211と、接続情報212と、一時鍵213とを取得する。ステップS504において認証部115cは、ステップS502で取得した認証情報211と、フラッシュROM160cの登録情報161に記憶されている情報とを照合する。また、認証部115cは、ステップS502で取得した一時鍵213と、フラッシュROM160cの発行済鍵記憶部162に記憶されている情報とを照合する。
ステップS506において認証部115cは、認証情報211と、一時鍵213とが、共に登録済であるか否かを判定する。認証情報211が登録済であるか否かを判定する方法については、図3のステップS108で説明した通りである。認証部115cは、ステップS504における照合の結果、取得した一時鍵213が発行済鍵記憶部162に記憶されている情報と一致する場合、取得した一時鍵213は発行済鍵記憶部162に登録済であると判定する。一方、認証部115cは、ステップS504における照合の結果、取得した一時鍵213が発行済鍵記憶部162に記憶されている情報と一致しない場合、取得した一時鍵213は発行済鍵記憶部162に登録済でないと判定する。さらに、認証部115cは、認証情報211が登録情報161に登録済であり、かつ、一時鍵213が発行済鍵記憶部162に登録済である場合に限り、記憶媒体20cは正当であると判定し、他の場合は、記憶媒体20cは正当でないと判定する。なお、発行済鍵記憶部162において、複数の正当な記憶媒体20cに対応する複数の情報が記憶されている場合、ステップS506における一致の判定は一部一致でよい。
認証情報211が登録情報161に登録済であり、かつ、一時鍵213が発行済鍵記憶部162に登録済である場合(ステップS506:YES)、認証部115cは、処理をステップS110に遷移させる。他の場合、認証部115cは処理をステップS502に遷移させる。
以上のように、第4実施形態の来客者向け処理によれば、第1実施形態で説明した効果と同様の効果を得ることができる。さらに、第4実施形態の来客者向け処理によれば、認証部115cは、認証情報211と共に、一時鍵213を用いて記憶媒体20cの正当性を認証する。一時的にしか有効でない一時鍵213は、継続的に記憶媒体20cに記憶されている認証情報211と比較して、セキュリティ強度が高い。このような一時鍵213を用いて記憶媒体20cの正当性を認証することで、認証部115cは、認証の信頼性をより向上させることができる。この結果、AP10c(無線接続装置)におけるセキュリティをより向上させることができる。
E.第5実施形態:
本発明の第5実施形態では、記憶媒体が無線端末に内蔵されている構成を採用した場合の例について説明する。以下では、第1実施形態と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施形態と同様の構成部分については先に説明した第1実施形態と同様の符号を付し、その詳細な説明を省略する。
図13は、第5実施形態の無線接続装置を用いて、利用者が来客者向け無線ネットワークに接続する様子を示す説明図である。図1に示した第1実施形態との違いは、無線端末として、パーソナルコンピュータ30に代えてスマートフォン70を備える点と、記憶媒体20を備えない点である。
スマートフォン70には、NFCタグ210が内蔵されている。NFCタグ210の詳細は、第1実施形態の記憶媒体20に内蔵されているNFCタグ210と同様である(図2(B))。
本実施形態のAP10の構成は、図2(A)に示した第1実施形態と同様であり、AP10によって実行される来客向け処理の内容は、図3に示した第1実施形態と同様である。このため、AP10の利用者は、自身が所持するスマートフォン70をAP10のNFCインタフェース120に近接させている間に限り、スマートフォン70を用いて、AP10の来客者向け無線ネットワークCNへ接続することができる。
このように、第5実施形態の構成を採用した場合であっても、第1実施形態で説目した効果と同様の効果を得ることができる。また、本実施形態で説明したスマートフォン70を無線端末として使用する構成は、第1実施形態のみならず、第2〜第4実施形態においても同様に使用することができる。
F.変形例:
上記実施形態において、ハードウェアによって実現されるとした構成の一部をソフトウェアに置き換えるようにしてもよく、逆に、ソフトウェアによって実現されるとした構成の一部をハードウェアに置き換えるようにしてもよい。その他、以下のような変形も可能である。
・変形例1:
上記実施形態では、無線接続装置と、記憶媒体と、の構成の一例を挙げた。しかし、上記実施形態における構成はあくまで一例であり、種々の変更が可能である。例えば、構成要素の一部を省略したり、更なる構成要素を付加したり、構成要素の一部を変更したりする変形が可能である。
例えば、無線接続装置は、さらに、記憶媒体を保持するための保持部を備えていてもよい。保持部は、例えば、無線接続装置の筐体の外側であって、内蔵されているNFCインタフェースの近傍に設けられたポケット形状とすることができる。このようにすれば、利用者は、無線接続装置の来客者向け無線ネットワークを使用したい場合に、記憶媒体を無線接続装置の保持部(ポケット)に入れておくことができる。この結果、利用者における利便性を向上させることができる。
例えば、無線接続装置のゲスト用機能は、ゲスト端末から受信したパケットのフィルタリング以外の機能を有していてもよい。例えば、ゲスト用機能は、ゲスト端末に対するウィルススキャンを実施する機能を有していてもよい。また、ゲスト用機能は、ゲスト端末との間で送受信されるパケットのログを取得する機能を有していてもよい。このようにすれば、無線接続装置が提供する来客者向け無線ネットワークにおけるセキュリティをより向上させることができる。
例えば、無線接続装置は、NFCインタフェースに代えて、他の近距離無線通信インタフェース(具体的には、例えば、Bluetooth(登録商標)、TransferJET等)を備えていてもよい。この場合、記憶媒体の側にも無線接続装置と同様の近距離無線通信インタフェース(例えば、Bluetooth)を備える構成とする。さらに、無線接続装置と記憶媒体とのBluetoothペアリングは、事前に終了していることを前提とする。その上で、上記実施形態において、「NFCタグのタッチ検出」とした箇所を「Bluetoothを用いた接続の検出」と読み替えることができる。なお、Bluetoothに代えてTransferJETを使用した場合も同様である。
例えば、第3実施形態の無線接続装置は、IPsecを用いて仮想プライベートネットワーク(VPN)を実現するとした。しかし、少なくとも2つの装置間のトンネリングを実施して仮想プライベートネットワークを実現可能な限りにおいて、IPsec以外の他のプロトコルを採用してもよい。例えば、L2TP(Layer 2 Tunneling Protocol )を採用してもよく、PPTP(Point to Point Tunneling Protocol)を採用してもよい。さらに、VPNにおいてカプセル化されたフレーム内のデータの暗号化は省略してもよい。
例えば、無線接続装置において、フラッシュROMは異なる記憶媒体で構成されていてもよい。例えば、無線接続装置は、フラッシュROMに代えて、USBメモリやUSBハードディスク等の着脱可能な記憶媒体を備えていてもよい。また、例えば、上記実施形態においてフラッシュROMに記憶されると説明した情報は、複数の記憶媒体に分散されて記憶されていてもよい。
・変形例2:
上記実施形態では、来客者向け処理および一時鍵発行処理の一例を示した。しかし、上記実施形態における処理の手順はあくまで一例であり、種々の変形が可能である。例えば、一部のステップを省略してもよいし、更なる他のステップを追加してもよい。また、実行されるステップの順序を変更してもよい。
例えば、来客者向け処理のステップS106において認証部は、外部にある認証サーバに対してステップS104で取得した認証情報を送信し、認証サーバに記憶媒体の正当性を認証させて、その認証結果を取得してもよい。この場合、無線接続装置のフラッシュROM内の登録情報は省略可能である。なお、この際、認証サーバは「外部装置」として機能する。認証サーバは、無線接続装置と同一のLAN内に存在していてもよく、インターネット上に存在していてもよい。
例えば、来客者向け処理のステップS106の認証は、省略してもよい。また、例えば、来客者向け処理のステップS110およびS124は、省略してもよい。具体的には、例えば、無線接続装置がマルチSSID機能、すなわち、1つの物理的なアクセスポイントを、複数のSSIDを用いて複数の論理的なアクセスポイントとして動作させる機能に対応している場合、ステップS110およびS124を省略することで、ゲスト用SSID以外の他のSSIDを用いた無線通信を継続させることができる。
例えば、第4実施形態の来客者向け処理のステップS502〜S506では、記憶媒体から取得した認証情報と一時鍵との両方を用いて記憶媒体の認証を行うこととしたが、認証情報を用いた認証は省略してもよい。この場合、無線接続装置のフラッシュROMに格納されているとした登録情報と、記憶媒体のNFCタグに記憶されているとした認証情報とは省略してもよい。
・変形例3:
上記実施形態では、無線接続装置に接続される無線端末の一例を挙げた。しかし、上記実施形態における無線端末はあくまで一例であり、種々の装置を使用することができる。例えば、携帯電話、PDA(Personal Digital Assistants)等のモバイル機器や、デジタルカメラ、プリンタ、ネットワークディスプレイ、スキャナ等の画像入出力機器や、オーディオ、テレビ等のAV機器や、冷蔵庫、空調機、テレビ等の家電製品や、NAS(Network Attached Storage)等を使用することができる。また、第5実施形態の例と同様に、上述の無線端末に記憶媒体(例えばNFCタグ)が内蔵されていてもよい。
・変形例4:
本発明は、上述の実施形態や実施例、変形例に限られるものではなく、その趣旨を逸脱しない範囲において種々の構成で実現することができる。例えば、発明の概要の欄に記載した各形態中の技術的特徴に対応する実施形態、実施例、変形例中の技術的特徴は、上述の課題の一部または全部を解決するために、あるいは、上述の効果の一部または全部を達成するために、適宜、差し替えや組み合わせを行うことが可能である。また、その技術的特徴が本明細書中に必須なものとして説明されていなければ、適宜、削除することが可能である。
10…無線接続装置、20、20a〜c…記憶媒体、30…パーソナルコンピュータ、40…ネットワーク装置、50…ルータ、60…サーバ、70…スマートフォン、110、110a〜c…CPU、111…中継処理部、112…ゲスト用機能、113、113c…取得部、114、114a〜c…限定接続部、115、115c…認証部、116…仮想化要求部、140…無線通信インタフェース、150…有線通信インタフェース、161…登録情報、162…発行済鍵記憶部、211…認証情報、212、212a、b…接続情報、213…一時鍵、CN…来客者向け無線ネットワーク、TN…通信路、INT…インターネット

Claims (11)

  1. 無線接続装置であって、
    近距離無線通信によって、前記無線接続装置に対する記憶媒体の近接を検出する検出部と、
    前記近接を検出している間、前記無線接続装置により提供される複数のネットワークのうちの他のネットワークから隔離された無線ネットワークである来客者向け無線ネットワークに対する、無線端末の接続を可能とする限定接続部と、
    を備える、無線接続装置。
  2. 請求項1に記載の無線接続装置であって、さらに、
    前記近距離無線通信によって、前記記憶媒体から認証情報を取得する取得部を備え、
    前記検出部は、前記取得部による前記認証情報の取得が可能な場合に、前記無線接続装置と前記記憶媒体とが近接していると判定する、無線接続装置。
  3. 請求項1または請求項2に記載の無線接続装置であって、
    前記限定接続部は、さらに、前記来客者向け無線ネットワークへ接続している前記無線端末から、前記他のネットワークへの通信を制限することで、前記無線端末による通信先をインターネットに限定する、無線接続装置。
  4. 請求項1から請求項3のいずれか一項に記載の無線接続装置であって、
    前記限定接続部は、さらに、前記無線接続装置とインターネットとの間にネットワーク装置がある場合に、前記ネットワーク装置に対して、前記無線接続装置を介した前記来客者向け無線ネットワークへの接続を許可させる、無線接続装置。
  5. 請求項1から請求項4のいずれか一項に記載の無線接続装置であって、さらに、
    取得した前記認証情報を用いて、前記記憶媒体の正当性を認証する認証部を備える、無線接続装置。
  6. 請求項1から請求項4のいずれか一項に記載の無線接続装置であって、さらに、
    取得した前記認証情報を外部装置へ送信し、前記記憶媒体の正当性の認証結果を前記外部装置から取得する認証部を備える、無線接続装置。
  7. 請求項5または請求項6に記載の無線接続装置であって、
    前記認証部は、さらに、一時的に有効な一時鍵を生成し、前記生成した一時鍵を近距離無線通信によって前記記憶媒体に記憶させる、無線接続装置。
  8. 請求項7に記載の無線接続装置であって、
    前記取得部は、前記記憶媒体に記憶されている前記一時鍵を取得し、
    前記認証部は、前記認証情報に代えて、または、前記認証情報と共に、前記一時鍵を用いて前記記憶媒体の正当性を認証する、無線接続装置。
  9. 請求項4から請求項8のいずれか一項に記載の無線接続装置であって、さらに、
    前記ネットワーク装置に対して、仮想プライベートネットワークを用いた通信路の確立を要求する仮想化要求部を備える、無線接続装置。
  10. 無線接続装置を制御するための方法であって、
    近距離無線通信によって、前記無線接続装置に対する記憶媒体の近接を検出する工程と、
    前記近接を検出している間、前記無線接続装置により提供される複数のネットワークのうちの他のネットワークから隔離された無線ネットワークである来客者向け無線ネットワークに対する、無線端末の接続を可能とする工程と、
    を備える、方法。
  11. ネットワークシステムであって、
    無線接続装置と、
    認証情報が予め記憶されている記憶媒体を備える無線端末と、
    を備え、
    前記無線接続装置は、
    近距離無線通信によって、前記無線接続装置に対する前記記憶媒体の近接を検出する検出部と、
    前記近接を検出している間、前記無線接続装置により提供される複数のネットワークのうちの他のネットワークから隔離された無線ネットワークである来客者向け無線ネットワークに対する、前記無線端末の接続を可能とする限定接続部と、
    を備える、ネットワークシステム。
JP2014009308A 2014-01-22 2014-01-22 無線接続装置、無線接続装置を制御するための方法、および、ネットワークシステム Active JP6318640B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014009308A JP6318640B2 (ja) 2014-01-22 2014-01-22 無線接続装置、無線接続装置を制御するための方法、および、ネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014009308A JP6318640B2 (ja) 2014-01-22 2014-01-22 無線接続装置、無線接続装置を制御するための方法、および、ネットワークシステム

Publications (3)

Publication Number Publication Date
JP2015139090A true JP2015139090A (ja) 2015-07-30
JP2015139090A5 JP2015139090A5 (ja) 2016-12-01
JP6318640B2 JP6318640B2 (ja) 2018-05-09

Family

ID=53769831

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014009308A Active JP6318640B2 (ja) 2014-01-22 2014-01-22 無線接続装置、無線接続装置を制御するための方法、および、ネットワークシステム

Country Status (1)

Country Link
JP (1) JP6318640B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017187841A (ja) * 2016-04-01 2017-10-12 株式会社エネルギア・コミュニケーションズ ネットワークシステム及びその接続方法
JP2018154076A (ja) * 2017-03-21 2018-10-04 富士ゼロックス株式会社 無線ネットワーク機器、画像形成装置、無線ネットワークシステム及びプログラム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008283590A (ja) * 2007-05-14 2008-11-20 Sony Corp 無線通信端末、通信方法および無線通信システム
JP2009147517A (ja) * 2007-12-12 2009-07-02 Sharp Corp 通信端末装置、データ中継装置、携帯電話機、通信システム、通信端末装置の制御方法、データ中継装置の制御方法、通信端末装置制御プログラム、データ中継装置制御プログラム、及び該プログラムを記録したコンピュータ読み取り可能な記録媒体
JP2009253429A (ja) * 2008-04-02 2009-10-29 Funai Electric Co Ltd アクセスポイント及び当該アクセスポイントを備える無線通信システム
JP2013038498A (ja) * 2011-08-04 2013-02-21 Buffalo Inc アクセスポイント装置および通信設定提供方法
JP2013046290A (ja) * 2011-08-25 2013-03-04 Buffalo Inc 通信装置、通信システムおよび通信設定情報の共有方法
JP2013247614A (ja) * 2012-05-29 2013-12-09 Sony Corp 通信装置、認証サーバ及び通信システム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008283590A (ja) * 2007-05-14 2008-11-20 Sony Corp 無線通信端末、通信方法および無線通信システム
JP2009147517A (ja) * 2007-12-12 2009-07-02 Sharp Corp 通信端末装置、データ中継装置、携帯電話機、通信システム、通信端末装置の制御方法、データ中継装置の制御方法、通信端末装置制御プログラム、データ中継装置制御プログラム、及び該プログラムを記録したコンピュータ読み取り可能な記録媒体
JP2009253429A (ja) * 2008-04-02 2009-10-29 Funai Electric Co Ltd アクセスポイント及び当該アクセスポイントを備える無線通信システム
JP2013038498A (ja) * 2011-08-04 2013-02-21 Buffalo Inc アクセスポイント装置および通信設定提供方法
JP2013046290A (ja) * 2011-08-25 2013-03-04 Buffalo Inc 通信装置、通信システムおよび通信設定情報の共有方法
JP2013247614A (ja) * 2012-05-29 2013-12-09 Sony Corp 通信装置、認証サーバ及び通信システム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017187841A (ja) * 2016-04-01 2017-10-12 株式会社エネルギア・コミュニケーションズ ネットワークシステム及びその接続方法
JP2018154076A (ja) * 2017-03-21 2018-10-04 富士ゼロックス株式会社 無線ネットワーク機器、画像形成装置、無線ネットワークシステム及びプログラム

Also Published As

Publication number Publication date
JP6318640B2 (ja) 2018-05-09

Similar Documents

Publication Publication Date Title
US20180248694A1 (en) Assisted device provisioning in a network
US9678693B2 (en) Method of setting wireless connection via near field communication function and image forming apparatus for performing the method
CN107005442B (zh) 用于远程接入的方法和装置
JP6203985B1 (ja) 認証証明のセキュアプロビジョニング
US20150172925A1 (en) Method and Apparatus for Wireless Network Access Parameter Sharing
US9762567B2 (en) Wireless communication of a user identifier and encrypted time-sensitive data
US20150085848A1 (en) Method and Apparatus for Controlling Wireless Network Access Parameter Sharing
US20140127994A1 (en) Policy-based resource access via nfc
WO2014001608A1 (en) Method and apparatus for access parameter sharing
US10362608B2 (en) Managing wireless client connections via near field communication
TWI462604B (zh) 無線網路用戶端認證系統及其無線網路連線方法
CN105325021B (zh) 用于远程便携式无线设备认证的方法和装置
US9590974B2 (en) Communication apparatus, communication system, and recording medium
CN103259711B (zh) 通信信息传输方法和系统
JP6318640B2 (ja) 無線接続装置、無線接続装置を制御するための方法、および、ネットワークシステム
JP6290044B2 (ja) 認証システム、認証サーバ、クライアント装置及び認証方法
JP2010124161A (ja) 通信システム、通信装置、情報処理方法及び情報処理プログラム
JP6665782B2 (ja) 無線通信装置、無線通信システム、無線通信方法及びプログラム
US9667652B2 (en) Mobile remote access
KR101502999B1 (ko) 일회성 비밀번호를 이용한 본인 인증 시스템 및 방법
US20180332525A1 (en) Secure hotspot setup
JP2009278388A (ja) 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。
CN106101058A (zh) 一种基于二维码的热点信息处理方法
WO2017121159A1 (zh) 接入wpa/wpa2认证模式的家庭网关的认证方法及系统
KR20130106611A (ko) 이동통신 단말기의 모바일 네트워크 보안 방법, 시스템 및 그 프로그램을 기록한 기록매체

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20160530

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161018

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161018

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170808

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171003

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180306

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180319

R150 Certificate of patent or registration of utility model

Ref document number: 6318640

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250