JP2015226267A - Access point certification system, communication device, access point, access point certification method, and computer program - Google Patents

Access point certification system, communication device, access point, access point certification method, and computer program Download PDF

Info

Publication number
JP2015226267A
JP2015226267A JP2014111558A JP2014111558A JP2015226267A JP 2015226267 A JP2015226267 A JP 2015226267A JP 2014111558 A JP2014111558 A JP 2014111558A JP 2014111558 A JP2014111558 A JP 2014111558A JP 2015226267 A JP2015226267 A JP 2015226267A
Authority
JP
Japan
Prior art keywords
random number
access point
communication device
unit
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014111558A
Other languages
Japanese (ja)
Inventor
剛 寶満
Takeshi Homan
剛 寶満
真也 崎野
Shinya Sakino
真也 崎野
悠輝 伊勢
Yuki Ise
悠輝 伊勢
貴司 八木
Takashi Yagi
貴司 八木
正樹 南
Masaki Minami
正樹 南
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone West Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone West Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Nippon Telegraph and Telephone West Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014111558A priority Critical patent/JP2015226267A/en
Publication of JP2015226267A publication Critical patent/JP2015226267A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To easily certify an access point while suppressing the cost.SOLUTION: An access point certification system certifies whether or not an access point with which a communication device operated by a user is to be connected is an authorized access point. A communication device comprises: a random number generation unit for generating a random number to be used for certifying an access point; a communication unit for transmitting the generated random number to an access point with which the communication device is to be connected, and receiving a random number on which predetermined processing has been performed from the access point; and a determination unit for determining whether or not the access point is an authorized access point on the basis of the generated random number and the received random number. An access point comprises: a processing unit for performing predetermined processing on a received random number; and a communication unit for receiving a random number from a communication device and transmits the random number on which predetermined processing has been performed to the communication device.

Description

本発明は、証明書を利用せずに装置を証明する技術に関する。   The present invention relates to a technique for proving an apparatus without using a certificate.

現在の公衆無線LAN(Local Area Network)では、ユーザが操作する通信装置は、SSID(Service Set Identifier)に接続してWeb認証等の認証処理を行なうことで、複数の場所に設置されている無線LANアクセスポイント(以下、「AP」という。)において同一の無線LANサービスを利用することができる。しかし、SSIDは、どのAPでも任意の名前を設定することが可能である。そのため、ネットワークサービスの提供者が設置したAP(以下、「正当AP」という。)になりすましたAP(以下、「不当AP」という。)に通信装置が接続した場合には、ユーザのID及びパスワードや通信データが盗聴されてしまうおそれがある。このような問題に対し、公的証明書を利用した技術が提案されている(例えば、特許文献1参照)。   In the current public wireless LAN (Local Area Network), a communication device operated by a user connects to an SSID (Service Set Identifier) and performs authentication processing such as Web authentication, so that wireless devices installed at a plurality of locations are connected. The same wireless LAN service can be used at a LAN access point (hereinafter referred to as “AP”). However, any name can be set as the SSID in any AP. Therefore, when a communication device is connected to an AP (hereinafter referred to as “illegal AP”) impersonated by an AP installed by the network service provider (hereinafter referred to as “legal AP”), the user ID and password And communication data may be wiretapped. For such a problem, a technique using an official certificate has been proposed (see, for example, Patent Document 1).

特開2014−14053号公報JP 2014-14053 A

しかしながら、公的証明書を利用する場合には、証明書の発行にコストがかかってしまう。したがって、公的証明書を利用するアクセスポイントが増えれば、アクセスポイントの台数に応じて証明書の発行コストが増大してしまう。そのため、コストを抑えつつ、容易にアクセスポイントの証明を行うことができる技術が要求されている。   However, when using a public certificate, the certificate is expensive to issue. Therefore, if the number of access points using a public certificate increases, the certificate issuance cost increases according to the number of access points. Therefore, there is a demand for a technique that can easily verify an access point while suppressing costs.

上記事情に鑑み、本発明は、コストを抑えつつ、容易にアクセスポイントの証明を行うことができる技術の提供を目的としている。   In view of the above circumstances, an object of the present invention is to provide a technique capable of easily certifying an access point while suppressing cost.

本発明の一態様は、ユーザが操作する通信装置が接続するアクセスポイントが正当なアクセスポイントであるか否かの証明を行うためのアクセスポイント証明システムであって、前記通信装置は、前記アクセスポイントの証明に用いられる乱数を生成する乱数生成部と、生成された乱数を自装置が接続するアクセスポイントに送信し、前記アクセスポイントから所定の処理が行なわれた乱数を受信する通信部と、生成された乱数と、受信された乱数とに基づいて前記アクセスポイントが正当なアクセスポイントであるか否か判定する判定部と、を備え、前記アクセスポイントは、前記通信装置から受信された乱数に所定の処理を行う処理部と、前記通信装置から乱数を受信し、所定の処理が行なわれた乱数を前記通信装置に送信する通信部と、を備えるアクセスポイント証明システムである。   One aspect of the present invention is an access point certification system for certifying whether an access point connected to a communication device operated by a user is a valid access point, wherein the communication device includes the access point A random number generation unit that generates a random number used for proof of communication, a communication unit that transmits the generated random number to an access point to which the device is connected, and receives a random number subjected to predetermined processing from the access point, and generation A determination unit that determines whether or not the access point is a valid access point based on the received random number and the received random number, and the access point has a predetermined random number received from the communication device. A processing unit that performs the above-described processing, and a communication unit that receives a random number from the communication device and transmits the random number that has undergone predetermined processing to the communication device; It is an access point certificate system comprising a.

本発明の一態様は、上記のアクセスポイント証明システムであって、前記通信装置は、生成された前記乱数に暗号化を行う暗号化部をさらに備え、前記通信装置の前記通信部は、暗号化された乱数である暗号化乱数を、証明の対象となるアクセスポイントに送信し、前記暗号化乱数が復号化された後の値である復号化乱数を前記証明の対象となるアクセスポイントから受信し、前記処理部は、前記通信装置から送信された暗号化乱数を復号化し、前記アクセスポイントの前記通信部は、復号化乱数を前記通信装置に送信する。   One aspect of the present invention is the above access point certification system, wherein the communication device further includes an encryption unit that encrypts the generated random number, and the communication unit of the communication device includes an encryption unit. The encrypted random number, which is the encrypted random number, is transmitted to the access point to be certified, and the decrypted random number, which is the value after the encrypted random number is decrypted, is received from the access point to be certified. The processing unit decrypts the encrypted random number transmitted from the communication device, and the communication unit of the access point transmits the decrypted random number to the communication device.

本発明の一態様は、上記のアクセスポイント証明システムであって、前記通信装置は、証明の対象となるアクセスポイントから送信される、暗号化された乱数である暗号化乱数を復号化する復号化部をさらに備え、前記処理部は、前記通信装置から送信された前記乱数を暗号化し、前記アクセスポイントの前記通信部は、暗号化された乱数を前記通信装置に送信する。   One aspect of the present invention is the above access point certification system, wherein the communication device decrypts an encrypted random number that is an encrypted random number transmitted from an access point to be certified. The processing unit encrypts the random number transmitted from the communication device, and the communication unit of the access point transmits the encrypted random number to the communication device.

本発明の一態様は、上記のアクセスポイント証明システムであって、前記判定部は、生成された乱数と、復号化された乱数とが一致する場合に前記アクセスポイントが正当なアクセスポイントであると判定し、生成された乱数と、復号化された乱数とが一致しない場合に前記アクセスポイントが正当なアクセスポイントではないと判定する。   One aspect of the present invention is the access point certification system described above, wherein the determination unit determines that the access point is a valid access point when the generated random number matches the decrypted random number. The access point is determined not to be a valid access point when the generated random number and the decrypted random number do not match.

本発明の一態様は、ユーザが操作する通信装置が接続するアクセスポイントが正当なアクセスポイントであるか否かの証明を行うためのアクセスポイント証明システムにおける通信装置であって、前記アクセスポイントの証明に用いられる乱数を生成する乱数生成部と、生成された乱数を自装置が接続するアクセスポイントに送信し、前記アクセスポイントから所定の処理が行なわれた乱数を受信する通信部と、生成された乱数と、受信された乱数とに基づいて前記アクセスポイントが正当なアクセスポイントであるか否か判定する判定部と、を備える通信装置である。   One aspect of the present invention is a communication device in an access point certification system for certifying whether or not an access point connected to a communication device operated by a user is a valid access point, the certification of the access point A random number generation unit that generates a random number used in the communication, a communication unit that transmits the generated random number to an access point to which the device is connected, and receives a random number subjected to predetermined processing from the access point, and And a determination unit that determines whether the access point is a valid access point based on a random number and a received random number.

本発明の一態様は、ユーザが操作する通信装置が接続するアクセスポイントが正当なアクセスポイントであるか否かの証明を行うためのアクセスポイント証明システムにおけるアクセスポイントであって、前記通信装置から受信された乱数に所定の処理を行う処理部と、前記通信装置から乱数を受信し、所定の処理が行なわれた乱数を前記通信装置に送信する通信部と、を備えるアクセスポイントである。   One aspect of the present invention is an access point in an access point certification system for certifying whether an access point connected to a communication device operated by a user is a valid access point, received from the communication device An access point that includes a processing unit that performs a predetermined process on the random number and a communication unit that receives the random number from the communication device and transmits the random number on which the predetermined process has been performed to the communication device.

本発明の一態様は、ユーザが操作する通信装置が接続するアクセスポイントが正当なアクセスポイントであるか否かの証明を行うためのアクセスポイント証明システムにおけるアクセスポイント証明方法であって、前記通信装置が、前記アクセスポイントの証明に用いられる乱数を生成する乱数生成ステップと、前記通信装置が、生成された乱数を自装置が接続するアクセスポイントに送信し、前記アクセスポイントから所定の処理が行なわれた乱数を受信する通信ステップと、前記通信装置が、生成された乱数と、受信された乱数とに基づいて前記アクセスポイントが正当なアクセスポイントであるか否か判定する判定ステップと、前記アクセスポイントが、前記通信装置から受信された乱数に所定の処理を行う処理ステップと、前記アクセスポイントが、前記通信装置から乱数を受信し、所定の処理が行なわれた乱数を前記通信装置に送信する通信ステップと、を有するアクセスポイント証明方法である。   One aspect of the present invention is an access point verification method in an access point verification system for verifying whether an access point connected to a communication apparatus operated by a user is a valid access point, the communication apparatus However, a random number generation step for generating a random number used for proof of the access point, and the communication device transmits the generated random number to an access point to which the own device is connected, and a predetermined process is performed from the access point. A communication step of receiving the random number; a determination step of determining whether the access point is a valid access point based on the generated random number and the received random number; and the access point Includes a processing step of performing a predetermined process on the random number received from the communication device, and the access Scan point receives a random number from the communication device is an access point certificate method having a communication step of transmitting a random number which the predetermined processing has been performed to the communication device.

本発明の一態様は、ユーザが操作する通信装置が接続するアクセスポイントが正当なアクセスポイントであるか否かの証明を行うためのアクセスポイント証明システムとして、前記通信装置に相当する第一のコンピュータ及び前記アクセスポイントに相当する第二のコンピュータを動作させるためのコンピュータプログラムであって、前記第一のコンピュータに対し、前記アクセスポイントの証明に用いられる乱数を生成する乱数生成ステップと、生成された乱数を自装置が接続するアクセスポイントに送信し、前記アクセスポイントから所定の処理が行なわれた乱数を受信する通信ステップと、生成された乱数と、受信された乱数とに基づいて前記アクセスポイントが正当なアクセスポイントであるか否か判定する判定ステップと、を実行させ、前記第ニのコンピュータに対し、前記通信装置から受信された乱数に所定の処理を行う処理ステップと、前記通信装置から乱数を受信し、所定の処理が行なわれた乱数を前記通信装置に送信する通信ステップと、を実行させるためのコンピュータプログラムである。   One aspect of the present invention is a first computer corresponding to the communication device as an access point certification system for certifying whether or not an access point connected to a communication device operated by a user is a valid access point. And a computer program for operating a second computer corresponding to the access point, the random number generating step for generating a random number used to prove the access point for the first computer, and The access point transmits a random number to an access point to which the device is connected, receives a random number that has been subjected to a predetermined process from the access point, the generated random number, and the received random number. And a determination step for determining whether the access point is a valid access point. A processing step of performing a predetermined process on the random number received from the communication device for the second computer; and receiving the random number from the communication device and supplying the random number subjected to the predetermined process to the communication device. And a communication step for transmitting the computer program.

本発明により、コストを抑えつつ、容易にアクセスポイントの証明を行うことが可能となる。   According to the present invention, it is possible to easily certify an access point while suppressing costs.

本発明におけるアクセスポイント証明システム100のシステム構成を示す図である。It is a figure which shows the system configuration | structure of the access point certification | authentication system 100 in this invention. 第1実施形態における通信装置10の機能構成を表す概略ブロック図である。It is a schematic block diagram showing the functional composition of communication apparatus 10 in a 1st embodiment. データベースの具体例を示す図である。It is a figure which shows the specific example of a database. 第1実施形態におけるAP20の機能構成を表す概略ブロック図である。It is a schematic block diagram showing the function structure of AP20 in 1st Embodiment. 第1実施形態におけるAP側証明情報データベースの具体例を示す図である。It is a figure which shows the specific example of AP side certification | authentication information database in 1st Embodiment. 第1実施形態における通信装置10のアクセスポイントの証明処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the certification | authentication process of the access point of the communication apparatus 10 in 1st Embodiment. 第1実施形態におけるAP20の処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a process of AP20 in 1st Embodiment. 第1実施形態におけるアクセスポイント証明システム100の動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the access point certification | authentication system 100 in 1st Embodiment. 第1実施形態におけるアクセスポイント証明システム100の動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the access point certification | authentication system 100 in 1st Embodiment. 第2実施形態における通信装置10aの機能構成を表す概略ブロック図である。It is a schematic block diagram showing the function structure of the communication apparatus 10a in 2nd Embodiment. データベースの具体例を示す図である。It is a figure which shows the specific example of a database. 第2実施形態におけるAP20aの機能構成を表す概略ブロック図である。It is a schematic block diagram showing the function structure of AP20a in 2nd Embodiment. 第2実施形態におけるAP側証明情報データベースの具体例を示す図である。It is a figure which shows the specific example of AP side certification | authentication information database in 2nd Embodiment. 第2実施形態における通信装置10aのアクセスポイントの証明処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the certification | authentication process of the access point of the communication apparatus 10a in 2nd Embodiment. 第2実施形態におけるAP20aの処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a process of AP20a in 2nd Embodiment. 第2実施形態におけるアクセスポイント証明システム100の動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the access point certification | authentication system 100 in 2nd Embodiment. 第2実施形態におけるアクセスポイント証明システム100の動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the access point certification | authentication system 100 in 2nd Embodiment.

以下、本発明の一実施形態を、図面を参照しながら説明する。
図1は、本発明におけるアクセスポイント証明システム100のシステム構成を示す図である。アクセスポイント証明システム100は、通信装置10、AP20−1〜20−3及び認証サーバ30を備える。通信装置10とAP20−1〜20−3とは、無線LAN接続によって通信を行う。無線LAN接続には、例えばWi−Fi(Wireless Fidelity)(登録商標)が用いられる。なお、以下の説明では、AP20−1〜20−3について特に区別しない場合にはAP20と称する。
Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 is a diagram showing a system configuration of an access point certification system 100 according to the present invention. The access point certification system 100 includes a communication device 10, APs 20-1 to 20-3, and an authentication server 30. The communication device 10 and the APs 20-1 to 20-3 communicate with each other through a wireless LAN connection. For example, Wi-Fi (Wireless Fidelity) (registered trademark) is used for the wireless LAN connection. In the following description, APs 20-1 to 20-3 will be referred to as AP 20 unless otherwise distinguished.

通信装置10は、例えばスマートフォン、タブレット端末、携帯電話、パーソナルコンピュータ、ノートパソコン、ゲーム機器等の情報処理装置を用いて構成される。通信装置10は、自装置が通信を行うAP20が正当なアクセスポイント(正当AP)であるか否か判定する。正当APとは、ネットワーク(第1ネットワーク40)サービスの提供者が設置したアクセスポイントである。   The communication device 10 is configured using an information processing device such as a smartphone, a tablet terminal, a mobile phone, a personal computer, a notebook computer, or a game machine. The communication device 10 determines whether or not the AP 20 with which the device itself communicates is a valid access point (valid AP). The legitimate AP is an access point installed by a network (first network 40) service provider.

AP20は、通信装置10と第1ネットワーク40との間の通信を中継する中継装置である。AP20は、例えば無線LANのアクセスポイントである。AP20は、通信装置10に対し、第1ネットワーク40を介して第2ネットワーク50への接続、例えば第1ネットワーク40及び第2ネットワーク50を介したサーバ装置(不図示)へのアクセスなどを提供する。また、AP20は、第1ネットワーク40を介して認証サーバ30との間で通信を行う。   The AP 20 is a relay device that relays communication between the communication device 10 and the first network 40. The AP 20 is, for example, a wireless LAN access point. The AP 20 provides the communication device 10 with connection to the second network 50 via the first network 40, for example, access to a server device (not shown) via the first network 40 and the second network 50. . The AP 20 communicates with the authentication server 30 via the first network 40.

認証サーバ30は、通信装置10のユーザが正当なユーザであるか否か認証する。例えば、認証サーバ30は、Web認証によりユーザが正当なユーザであるか否か認証する。より具体的には、認証サーバ30は、通信装置10から送信されたID及びパスワードなどの認証情報が、自装置に記憶されているID及びパスワードと一致するか否かに応じて通信装置10のユーザの認証を行う。   The authentication server 30 authenticates whether the user of the communication device 10 is a valid user. For example, the authentication server 30 authenticates whether or not the user is a valid user by Web authentication. More specifically, the authentication server 30 determines whether the authentication information such as the ID and password transmitted from the communication device 10 matches the ID and password stored in the own device. Authenticate the user.

第1ネットワーク40は、AP20と認証サーバ30及び第2ネットワーク50とを通信可能に接続するネットワークである。第1ネットワーク40は、どのように構成されたネットワークでもよい。例えば、第1ネットワーク40はNGN(Next Generation Network)を用いて構成されてもよい。
第2ネットワーク50は、第1ネットワーク40を介したAP20とサーバ装置(不図示)とを通信可能に接続するネットワークである。第2ネットワーク50は、どのように構成されたネットワークでもよい。例えば、第2ネットワーク50はインターネットを用いて構成されてもよい。
以下、本発明におけるアクセスポイント証明システム100の具体的な構成例(第1実施形態及び第2実施形態)について説明する。
The first network 40 is a network that connects the AP 20, the authentication server 30, and the second network 50 so that they can communicate with each other. The first network 40 may be a network configured in any way. For example, the first network 40 may be configured using NGN (Next Generation Network).
The second network 50 is a network that connects the AP 20 and the server device (not shown) via the first network 40 so that they can communicate with each other. The second network 50 may be a network configured in any way. For example, the second network 50 may be configured using the Internet.
Hereinafter, a specific configuration example (first embodiment and second embodiment) of the access point certification system 100 according to the present invention will be described.

[第1実施形態]
図2は、第1実施形態における通信装置10の機能構成を表す概略ブロック図である。
通信装置10は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備え、アクセスポイント判定プログラムを実行する。アクセスポイント判定プログラムの実行によって、通信装置10は、乱数生成部101、公開鍵情報記憶部102、暗号化部103、接続先情報記憶部104、制御部105、通信部106、装置側証明情報記憶部107、判定部108、入力部109、表示部110を備える装置として機能する。なお、通信装置10の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されてもよい。また、アクセスポイント判定プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。また、アクセスポイント判定プログラムは、電気通信回線を介して送受信されてもよい。
[First Embodiment]
FIG. 2 is a schematic block diagram illustrating a functional configuration of the communication device 10 according to the first embodiment.
The communication device 10 includes a CPU (Central Processing Unit), a memory, an auxiliary storage device, and the like connected by a bus, and executes an access point determination program. By executing the access point determination program, the communication device 10 can generate a random number generation unit 101, a public key information storage unit 102, an encryption unit 103, a connection destination information storage unit 104, a control unit 105, a communication unit 106, and a device-side certification information storage. It functions as an apparatus including the unit 107, the determination unit 108, the input unit 109, and the display unit 110. Note that all or part of each function of the communication device 10 may be realized using hardware such as an application specific integrated circuit (ASIC), a programmable logic device (PLD), or a field programmable gate array (FPGA). The access point determination program may be recorded on a computer-readable recording medium. The computer-readable recording medium is, for example, a portable medium such as a flexible disk, a magneto-optical disk, a ROM, a CD-ROM, or a storage device such as a hard disk built in the computer system. Further, the access point determination program may be transmitted / received via a telecommunication line.

乱数生成部101は、所定のタイミングで、AP20の証明に用いられる乱数を生成する。所定のタイミングとは、入力部109を介してユーザからAP20の証明を行う旨の指示が入力されたタイミングでもよいし、AP20との間で接続が完了したタイミングであってもよいし、その他のタイミングであってもよい。
公開鍵情報記憶部102は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。公開鍵情報記憶部102は、通信装置10において暗号化及び復号化に用いられる公開鍵の鍵情報を記憶する。公開鍵情報記憶部102には、AP20が保有する秘密鍵の対となる公開鍵の鍵情報が記憶される。
The random number generation unit 101 generates a random number used for certification of the AP 20 at a predetermined timing. The predetermined timing may be a timing when an instruction to certify the AP 20 is input from the user via the input unit 109, a timing when the connection with the AP 20 is completed, or other It may be timing.
The public key information storage unit 102 is configured using a storage device such as a magnetic hard disk device or a semiconductor storage device. The public key information storage unit 102 stores key information of a public key used for encryption and decryption in the communication device 10. The public key information storage unit 102 stores key information of a public key that is a pair of private keys held by the AP 20.

暗号化部103は、乱数生成部101によって生成された乱数と、公開鍵情報記憶部102に記憶されている公開鍵の鍵情報とに基づいて乱数を暗号化する。暗号化には、既存の技術が用いられる。例えば、暗号化には、RSA(Rivest Shamir Adleman)暗号方式が用いられてもよい。暗号化部103は、暗号化した乱数(以下、「暗号化乱数」という。)を制御部105に出力する。
接続先情報記憶部104は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。接続先情報記憶部104は、接続先情報データベースを記憶している。接続先情報データベースには、通信装置10が接続している接続先(AP20)に関する情報が登録される。
The encryption unit 103 encrypts the random number based on the random number generated by the random number generation unit 101 and the key information of the public key stored in the public key information storage unit 102. Existing techniques are used for encryption. For example, an RSA (Rivest Shamir Adleman) encryption method may be used for encryption. The encryption unit 103 outputs the encrypted random number (hereinafter referred to as “encrypted random number”) to the control unit 105.
The connection destination information storage unit 104 is configured using a storage device such as a magnetic hard disk device or a semiconductor storage device. The connection destination information storage unit 104 stores a connection destination information database. Information related to the connection destination (AP 20) to which the communication device 10 is connected is registered in the connection destination information database.

制御部105は、通信装置10を制御する。例えば、制御部105は、暗号化乱数と接続先情報データベースとに基づいて、AP20の証明を行うためのHTTP(Hyper Text Transfer Protocol)リクエストを生成する。AP20の証明を行うためのHTTPリクエストには、例えば暗号化乱数及びURIが含まれる。例えば、制御部105は、通信部106を介して受信されるHTTPレスポンスに含まれる情報に応じて、HTTPレスポンスを表示部110又は判定部108に出力する。HTTPレスポンスには、例えば復号化後の乱数(以下、「復号化乱数」という。)やWeb認証用の画面情報が含まれる。
通信部106は、AP20との間で通信を行う。例えば、通信部106は、HTTPリクエストをAP20に送信する。例えば、通信部106は、AP20からHTTPレスポンスを受信する。
The control unit 105 controls the communication device 10. For example, the control unit 105 generates an HTTP (Hyper Text Transfer Protocol) request for certifying the AP 20 based on the encrypted random number and the connection destination information database. The HTTP request for certifying the AP 20 includes, for example, an encrypted random number and a URI. For example, the control unit 105 outputs the HTTP response to the display unit 110 or the determination unit 108 according to information included in the HTTP response received via the communication unit 106. The HTTP response includes, for example, a random number after decryption (hereinafter referred to as “decryption random number”) and screen information for Web authentication.
The communication unit 106 communicates with the AP 20. For example, the communication unit 106 transmits an HTTP request to the AP 20. For example, the communication unit 106 receives an HTTP response from the AP 20.

装置側証明情報記憶部107は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。装置側証明情報記憶部107は、装置側証明情報データベースを記憶している。装置側証明情報データベースには、AP20の証明に関する情報が登録される。
判定部108は、HTTPレスポンスに含まれる復号化乱数と、装置側証明情報記憶部107に記憶されている装置側証明情報データベースとに基づいて、HTTPレスポンスの送信元であるAP20が正当なアクセスポイントであるか否か判定する。
The device-side certification information storage unit 107 is configured using a storage device such as a magnetic hard disk device or a semiconductor storage device. The device side certification information storage unit 107 stores a device side certification information database. Information related to the certification of the AP 20 is registered in the device-side certification information database.
Based on the decrypted random number included in the HTTP response and the device-side certification information database stored in the device-side certification information storage unit 107, the determination unit 108 determines that the AP 20 that is the transmission source of the HTTP response is a valid access point. It is determined whether or not.

入力部109は、キーボード、ポインティングデバイス(マウス、タブレット等)、タッチパネル、ボタン等の既存の入力装置を用いて構成される。入力部109は、ユーザの指示を通信装置10に入力する際にユーザによって操作される。例えば、入力部109は、ID及びパスワードの入力を受け付ける。また、入力部109は、入力装置を通信装置10に接続するためのインタフェースであってもよい。この場合、入力部109は、入力装置においてユーザの入力に応じて生成された入力信号を通信装置10に入力する。   The input unit 109 is configured using an existing input device such as a keyboard, a pointing device (mouse, tablet, etc.), a touch panel, buttons, and the like. The input unit 109 is operated by the user when inputting a user instruction to the communication device 10. For example, the input unit 109 receives input of an ID and a password. The input unit 109 may be an interface for connecting the input device to the communication device 10. In this case, the input unit 109 inputs an input signal generated according to a user input in the input device to the communication device 10.

表示部110は、CRT(Cathode Ray Tube)ディスプレイ、液晶ディスプレイ、有機EL(Electro Luminescence)ディスプレイ等の画像表示装置である。表示部110は、通信部106によって受信された情報を表示する。例えば、表示部110は、認証画面の情報を表示する。表示部110は、画像表示装置を通信装置10に接続するためのインタフェースであってもよい。この場合、表示部110は、認証画面の情報を表示するための映像信号を生成し、自身に接続されている画像表示装置に映像信号を出力する。   The display unit 110 is an image display device such as a CRT (Cathode Ray Tube) display, a liquid crystal display, or an organic EL (Electro Luminescence) display. Display unit 110 displays information received by communication unit 106. For example, the display unit 110 displays information on the authentication screen. The display unit 110 may be an interface for connecting the image display device to the communication device 10. In this case, the display unit 110 generates a video signal for displaying the information on the authentication screen, and outputs the video signal to an image display device connected to the display unit 110.

図3は、通信装置10が記憶しているデータベースの具体例を示す図である。
図3(A)は、第1実施形態における装置側証明情報データベースの具体例を示す図である。
装置側証明情報データベースは、AP20の証明に関する情報を表すレコード60を複数有する。レコード60は、MAC_AP、生成乱数、送信暗号化乱数、受信乱数及び判定結果の各値を有する。MAC_APの値は、AP20のMACアドレスを表す。生成乱数の値は、同じレコード60のMAC_APで識別されるAP20の証明に用いられる乱数を表す。つまり、生成乱数の項目には、乱数生成部101によって生成された乱数の値が記録される。送信暗号化乱数の値は、同じレコード60の生成乱数が暗号化部103によって暗号化された後の値を表す。受信乱数の値は、同じレコード60のMAC_APで識別されるAP20から送信されたHTTPレスポンスに含まれる復号化乱数を表す。判定結果の値は、同じレコード60のMAC_APで識別されるAP20が正当なアクセスポイントであるか否かを示す判定結果を表す。
FIG. 3 is a diagram illustrating a specific example of a database stored in the communication device 10.
FIG. 3A is a diagram showing a specific example of the device-side certification information database in the first embodiment.
The apparatus-side certification information database has a plurality of records 60 representing information related to the certification of the AP 20. The record 60 has values of MAC_AP, generated random number, transmission encrypted random number, received random number, and determination result. The value of MAC_AP represents the MAC address of AP20. The value of the generated random number represents a random number used for certification of the AP 20 identified by the MAC_AP of the same record 60. That is, the value of the random number generated by the random number generation unit 101 is recorded in the item of generated random number. The value of the transmission encrypted random number represents a value after the generated random number of the same record 60 is encrypted by the encryption unit 103. The value of the received random number represents a decrypted random number included in the HTTP response transmitted from the AP 20 identified by the MAC_AP of the same record 60. The value of the determination result represents a determination result indicating whether or not the AP 20 identified by the MAC_AP of the same record 60 is a valid access point.

図3(A)に示される例では、装置側証明情報データベースには複数のMAC_AP(図3(A)の場合、3つのMAC_AP)が記録されている。これらのMAC_APは、“AAA”、“BBB”、“CCC”である。図3(A)において、装置側証明情報データベースの最上段に記録されているレコード60は、MAC_APの値が“AAA”、生成乱数の値が“DD”、送信暗号化乱数の値が“DDD”、受信乱数の値が“DD”、判定結果の値が“正当”である。すなわち、MACアドレス“AAA”で識別されるAP20の証明に用いられる乱数が“DD”であり、乱数“DD”が暗号化された後の値が“DDD”であり、AP20から受信されたHTTPレスポンスに含まれる復号化乱数が“DD”であり、AP20が正当なアクセスポイントであることが表されている。   In the example shown in FIG. 3A, a plurality of MAC_APs (in the case of FIG. 3A, three MAC_APs) are recorded in the device-side certification information database. These MAC_APs are “AAA”, “BBB”, and “CCC”. In FIG. 3A, the record 60 recorded at the top of the apparatus side certification information database has a MAC_AP value of “AAA”, a generated random number value of “DD”, and a transmission encrypted random number value of “DDD”. "The value of the received random number is" DD ", and the value of the determination result is" valid ". That is, the random number used for the certification of the AP 20 identified by the MAC address “AAA” is “DD”, the value after the random number “DD” is encrypted is “DDD”, and the HTTP received from the AP 20 The decrypted random number included in the response is “DD”, indicating that the AP 20 is a valid access point.

また、図3(A)において、装置側証明情報データベースの2段目に記録されているレコード60は、MAC_APの値が“BBB”、生成乱数の値が“EE”、送信暗号化乱数の値が“EEE”、受信乱数の値が“FF”、判定結果の値が“不当”である。すなわち、MACアドレス“BBB”で識別されるAP20の証明に用いられる乱数が“EE”であり、乱数“EE”が暗号化された後の値が“EEE”であり、AP20から受信されたHTTPレスポンスに含まれる復号化乱数が“FF”であり、AP20が正当なアクセスポイントではないことが表されている。   Also, in FIG. 3A, the record 60 recorded in the second row of the device side certification information database has a MAC_AP value of “BBB”, a generated random number value of “EE”, and a transmission encrypted random number value. Is “EEE”, the value of the received random number is “FF”, and the value of the determination result is “invalid”. That is, the random number used for certification of the AP 20 identified by the MAC address “BBB” is “EE”, the value after the random number “EE” is encrypted is “EEE”, and the HTTP received from the AP 20 The decrypted random number included in the response is “FF”, indicating that the AP 20 is not a valid access point.

図3(B)は、第1実施形態における接続先情報データベースの具体例を示す図である。
接続先情報データベースは、通信装置10が接続している接続先(AP20)に関する情報を表すレコード61を複数有する。レコード61は、URI(Uniform Resource Identifier)及び利用目的の各値を有する。URIの値は、通信装置10の接続先となるAP20の情報資源を指定する識別子を表す。利用目的の値は、同じレコード61のURIに接続する目的を表す。
FIG. 3B is a diagram showing a specific example of the connection destination information database in the first embodiment.
The connection destination information database includes a plurality of records 61 representing information related to the connection destination (AP 20) to which the communication device 10 is connected. The record 61 has a URI (Uniform Resource Identifier) and each value of the purpose of use. The value of the URI represents an identifier that specifies the information resource of the AP 20 that is the connection destination of the communication apparatus 10. The usage purpose value represents the purpose of connecting to the URI of the same record 61.

図3(B)に示される例では、接続先情報データベースには複数のURI(図3(B)の場合、2つのURI)が登録されている。これらのURIは、“XXX”、“YYY”である。図3(B)において、接続先情報データベースの最上段に記録されているレコード61は、URIの値が“XXX”、利用目的の値が“AP証明”である。すなわち、通信装置10が、AP20の証明を行う際にURI“XXX”に接続することが表されている。
また、図3(B)において、接続先情報データベースの2段目に記録されているレコード61は、URIの値が“YYY”、利用目的の値が“Web認証”である。すなわち、通信装置10が、Web認証を行う際にURI“YYY”に接続することが表されている。
In the example shown in FIG. 3B, a plurality of URIs (two URIs in the case of FIG. 3B) are registered in the connection destination information database. These URIs are “XXX” and “YYY”. In FIG. 3B, the record 61 recorded at the top of the connection destination information database has a URI value “XXX” and a usage purpose value “AP certification”. That is, the communication apparatus 10 is connected to the URI “XXX” when certifying the AP 20.
In FIG. 3B, the record 61 recorded in the second row of the connection destination information database has a URI value “YYY” and a usage purpose value “Web authentication”. That is, the communication apparatus 10 is connected to the URI “YYY” when performing Web authentication.

図4は、第1実施形態におけるAP20の機能構成を表す概略ブロック図である。
AP20は、バスで接続されたCPUやメモリや補助記憶装置などを備え、中継プログラムを実行する。中継プログラムの実行によって、AP20は、第1通信部201、制御部202、秘密鍵情報記憶部203、復号化部204、AP側証明情報記憶部205、認証情報記憶部206、第2通信部207、中継部208を備える装置として機能する。なお、AP20の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されてもよい。また、中継プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。また、中継プログラムは、電気通信回線を介して送受信されてもよい。
FIG. 4 is a schematic block diagram showing the functional configuration of the AP 20 in the first embodiment.
The AP 20 includes a CPU, a memory, an auxiliary storage device, and the like connected by a bus, and executes a relay program. By executing the relay program, the AP 20 causes the first communication unit 201, the control unit 202, the secret key information storage unit 203, the decryption unit 204, the AP side certification information storage unit 205, the authentication information storage unit 206, and the second communication unit 207. , Functions as a device including the relay unit 208. All or some of the functions of the AP 20 may be realized using hardware such as an ASIC, PLD, or FPGA. The relay program may be recorded on a computer-readable recording medium. The computer-readable recording medium is, for example, a portable medium such as a flexible disk, a magneto-optical disk, a ROM, a CD-ROM, or a storage device such as a hard disk built in the computer system. Further, the relay program may be transmitted / received via a telecommunication line.

第1通信部201は、通信装置10との間で通信を行う。例えば、第1通信部201は、通信装置10からHTTPリクエストを受信する。例えば、第1通信部201は、HTTPレスポンスを通信装置10に送信する。
制御部202は、第1通信部201によって受信されたHTTPリクエストに含まれるURIに応じて自装置を制御する。例えば、制御部202は、HTTPリクエストに含まれるURIがAP証明用のURIである場合、HTTPリクエストを復号化部204に出力する。
The first communication unit 201 communicates with the communication device 10. For example, the first communication unit 201 receives an HTTP request from the communication device 10. For example, the first communication unit 201 transmits an HTTP response to the communication device 10.
The control unit 202 controls the own apparatus according to the URI included in the HTTP request received by the first communication unit 201. For example, when the URI included in the HTTP request is a URI for AP certification, the control unit 202 outputs the HTTP request to the decryption unit 204.

秘密鍵情報記憶部203は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。秘密鍵情報記憶部203は、AP20において暗号化及び復号化に用いられる秘密鍵の鍵情報を記憶する。秘密鍵情報記憶部203には、通信装置10が保有する公開鍵の対となる秘密鍵の鍵情報が記憶される。
復号化部204は、HTTPリクエストに含まれる暗号化乱数と、秘密鍵情報記憶部203に記憶されている秘密鍵の鍵情報とに基づいて暗号化乱数を復号化する。復号化には、既存の技術が用いられる。例えば、復号化部204は、通信装置10が備える暗号化部103が行った暗号化方式と同様の方式で復号化する。復号化部204は、復号化した乱数(復号化乱数)を制御部202に出力する。
The secret key information storage unit 203 is configured using a storage device such as a magnetic hard disk device or a semiconductor storage device. The secret key information storage unit 203 stores key information of a secret key used for encryption and decryption in the AP 20. The secret key information storage unit 203 stores key information of a secret key that is a pair of public keys held by the communication device 10.
The decryption unit 204 decrypts the encrypted random number based on the encrypted random number included in the HTTP request and the key information of the secret key stored in the secret key information storage unit 203. An existing technique is used for decoding. For example, the decryption unit 204 performs decryption using the same method as the encryption method performed by the encryption unit 103 included in the communication device 10. The decrypting unit 204 outputs the decrypted random number (decoded random number) to the control unit 202.

AP側証明情報記憶部205は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。AP側証明情報記憶部205は、AP側証明情報データベースを記憶している。AP側証明情報データベースには、通信装置10に関する情報が登録される。
認証情報記憶部206は、Web認証用の画面情報を記憶している。
第2通信部207は、第1ネットワーク40を介して認証サーバ30及び第2ネットワーク50との間で通信を行う。
中継部208は、第1通信部201と第2通信部207との間の通信を中継する。
The AP-side certification information storage unit 205 is configured using a storage device such as a magnetic hard disk device or a semiconductor storage device. The AP side certification information storage unit 205 stores an AP side certification information database. Information related to the communication device 10 is registered in the AP side certification information database.
The authentication information storage unit 206 stores screen information for Web authentication.
The second communication unit 207 communicates with the authentication server 30 and the second network 50 via the first network 40.
The relay unit 208 relays communication between the first communication unit 201 and the second communication unit 207.

図5は、第1実施形態におけるAP側証明情報データベースの具体例を示す図である。
AP側証明情報データベースは、通信装置10に関する情報を表すレコード70を複数有する。レコード70は、MAC_STA、受信暗号化乱数及び復号化乱数の各値を有する。MAC_STAの値は、通信装置10のMACアドレスを表す。受信暗号化乱数の値は、同じレコード70のMACアドレスで識別される通信装置10から送信されたHTTPリクエストに含まれる暗号化乱数を表す。復号化乱数の値は、同じレコード70の受信暗号化乱数が復号化された後の乱数を表す。
FIG. 5 is a diagram showing a specific example of the AP side certification information database in the first embodiment.
The AP side certification information database has a plurality of records 70 representing information related to the communication device 10. The record 70 has each value of MAC_STA, received encrypted random number, and decrypted random number. The value of MAC_STA represents the MAC address of the communication device 10. The value of the received encrypted random number represents the encrypted random number included in the HTTP request transmitted from the communication device 10 identified by the MAC address of the same record 70. The value of the decrypted random number represents a random number after the received encrypted random number of the same record 70 is decrypted.

図5に示される例では、AP側証明情報データベースには1つのMAC_STAが登録されている。図5において、AP側証明情報データベースの最上段に記録されているレコード70は、MAC_STAの値が“SSS”、受信暗号化乱数の値が“TTT”、復号化乱数の値が“UU”である。すなわち、MACアドレス“AAA”で識別される通信装置10から送信されたHTTPリクエストに含まれる暗号化乱数が“TTT”であり、この暗号化乱数が復号化された後の乱数が“UU”であることが表されている。   In the example shown in FIG. 5, one MAC_STA is registered in the AP side certification information database. In FIG. 5, a record 70 recorded at the top of the AP side certification information database has a MAC_STA value “SSS”, a received encrypted random number value “TTT”, and a decrypted random number value “UU”. is there. That is, the encrypted random number included in the HTTP request transmitted from the communication device 10 identified by the MAC address “AAA” is “TTT”, and the random number after the encrypted random number is decrypted is “UU”. It is expressed that there is.

図6は、第1実施形態における通信装置10のアクセスポイントの証明処理の流れを示すフローチャートである。なお、図6の処理開始時には、通信装置10はAP20に帰属している。
乱数生成部101は、所定のタイミングで乱数を生成する(ステップS101)。乱数生成部101は、生成した乱数を暗号化部103に出力する。また、乱数生成部101は、生成した乱数の情報を装置側証明情報記憶部107に記録する。具体的には、まず乱数生成部101は、装置側証明情報記憶部107に記憶されている装置側証明情報データベースを読み出す。次に、乱数生成部101は、読み出した装置側証明情報データベースのレコード60のうち、証明する対象となっているAP20(以下、「証明対象AP」という。)のMACアドレスに対応するレコード60を選択する。そして、乱数生成部101は、選択したレコード60の生成乱数の項目に、ステップS101の処理で生成された乱数の情報を記録する。
FIG. 6 is a flowchart showing a flow of access point certification processing of the communication apparatus 10 in the first embodiment. Note that the communication device 10 belongs to the AP 20 at the start of the processing of FIG.
The random number generation unit 101 generates a random number at a predetermined timing (step S101). The random number generation unit 101 outputs the generated random number to the encryption unit 103. In addition, the random number generation unit 101 records the generated random number information in the device-side certification information storage unit 107. Specifically, first, the random number generation unit 101 reads a device side certification information database stored in the device side certification information storage unit 107. Next, the random number generation unit 101 selects a record 60 corresponding to the MAC address of the AP 20 to be certified (hereinafter referred to as “certification target AP”) among the records 60 of the apparatus-side certification information database that has been read. select. Then, the random number generation unit 101 records the random number information generated in the process of step S101 in the generated random number field of the selected record 60.

暗号化部103は、出力された乱数と、公開鍵情報記憶部102に記憶されている公開鍵の鍵情報とに基づいて、乱数を暗号化する(ステップS102)。暗号化部103は、暗号化乱数を制御部105に出力する。また、暗号化部103は、暗号化乱数の情報を装置側証明情報記憶部107に記録する。具体的には、まず暗号化部103は、装置側証明情報記憶部107に記憶されている装置側証明情報データベースを読み出す。次に、暗号化部103は、読み出した装置側証明情報データベースのレコード60のうち、証明対象APのMACアドレスに対応するレコード60を選択する。そして、暗号化部103は、選択したレコード60の送信暗号化乱数の項目に、暗号化乱数の情報を記録する。   The encryption unit 103 encrypts the random number based on the output random number and the key information of the public key stored in the public key information storage unit 102 (step S102). The encryption unit 103 outputs the encrypted random number to the control unit 105. Also, the encryption unit 103 records the encrypted random number information in the device-side proof information storage unit 107. Specifically, the encryption unit 103 first reads the device side certification information database stored in the device side certification information storage unit 107. Next, the encryption unit 103 selects the record 60 corresponding to the MAC address of the certification target AP from the read records 60 of the apparatus side certification information database. Then, the encryption unit 103 records the encrypted random number information in the transmission encrypted random number item of the selected record 60.

制御部105は、暗号化乱数が出力されたため、AP20の証明を行うためのHTTPリクエストを生成する。HTTPリクエストには、接続先情報記憶部104に記憶されている接続先情報データベースの利用目的“AP証明”に対応付けて記録されているURIと、出力された暗号化乱数とが含まれる。制御部105は、HTTPリクエストを通信部106に出力する。通信部106は、HTTPリクエストをAP20に送信する(ステップS103)。   Since the encrypted random number is output, the control unit 105 generates an HTTP request for certifying the AP 20. The HTTP request includes the URI recorded in association with the purpose of use “AP certification” of the connection destination information database stored in the connection destination information storage unit 104 and the output encrypted random number. The control unit 105 outputs an HTTP request to the communication unit 106. The communication unit 106 transmits an HTTP request to the AP 20 (step S103).

制御部105は、通信部106を介してHTTPレスポンスが受信されたか否か判定する(ステップS104)。HTTPレスポンスが受信されていない場合(ステップS104−NO)、制御部105は予め設定されたタイムアウトの時間が経過したか否か判定する(ステップS105)。タイムアウトの時間が経過した場合(ステップS105−YES)、通信装置10は処理を終了する。
一方、タイムアウトの時間が経過していない場合(ステップS105−NO)、通信装置10はステップS104以降の処理を繰り返し実行する。
The control unit 105 determines whether an HTTP response has been received via the communication unit 106 (step S104). When an HTTP response has not been received (step S104—NO), the control unit 105 determines whether a preset timeout period has elapsed (step S105). When the time-out time has elapsed (step S105—YES), the communication device 10 ends the process.
On the other hand, when the time-out period has not elapsed (step S105—NO), the communication device 10 repeatedly executes the processes after step S104.

また、ステップS104の処理において、HTTPレスポンスが受信されている場合(ステップS104−YES)、制御部105はHTTPレスポンスを読み込む(ステップS106)。具体的には、制御部105は、HTTPレスポンスに復号化乱数が含まれる場合、HTTPレスポンスを判定部108に出力し、HTTPレスポンスにWeb認証用の画面情報が含まれる場合、HTTPレスポンスを表示部110に出力する。図6では、HTTPレスポンスに復号化乱数が含まれる場合を説明する。したがって、制御部105は、HTTPレスポンスを判定部108に出力する。   If an HTTP response is received in step S104 (step S104-YES), the control unit 105 reads the HTTP response (step S106). Specifically, the control unit 105 outputs an HTTP response to the determination unit 108 when the decrypted random number is included in the HTTP response, and displays the HTTP response when the HTTP response includes screen information for Web authentication. To 110. In FIG. 6, a case where a decrypted random number is included in the HTTP response will be described. Therefore, the control unit 105 outputs an HTTP response to the determination unit 108.

判定部108は、出力されたHTTPレスポンスから復号化乱数を取得する。判定部108は、復号化乱数と、装置側証明情報データベースの証明対象APのMACアドレスに対応するレコード60の生成乱数の項目に記録されている生成乱数とが一致するか否か判定する(ステップS107)。乱数が一致する場合(ステップS107−YES)、判定部108は自装置が接続しているAP20が正当なアクセスポイントであると判定する(ステップS108)。その後、判定部108は、判定結果を、装置側証明情報データベースの証明対象APのMACアドレスに対応するレコード60の受信乱数及び判定結果の項目に記録する。例えば、判定部108は、受信乱数の項目にステップS107の処理で取得された復号化乱数の情報を記録し、判定結果の項目に正当の文字列を記録する。   The determination unit 108 acquires a decrypted random number from the output HTTP response. The determination unit 108 determines whether or not the decrypted random number matches the generated random number recorded in the generated random number field of the record 60 corresponding to the MAC address of the certification target AP in the device-side certification information database (Step S108). S107). If the random numbers match (step S107—YES), the determination unit 108 determines that the AP 20 to which the device is connected is a valid access point (step S108). Thereafter, the determination unit 108 records the determination result in the received random number and determination result items of the record 60 corresponding to the MAC address of the certification target AP in the device-side certification information database. For example, the determination unit 108 records the decrypted random number information acquired in the process of step S107 in the received random number item, and records a valid character string in the determined result item.

一方、乱数が一致しない場合(ステップS107−NO)、判定部108は自装置が接続しようとしているAP20が不当なアクセスポイントであると判定する(ステップS109)。この場合、制御部105は、ユーザの通信装置10がなりすましAPに接続している可能性がある旨を表示部110に表示させてもよい。例えば、制御部105は、表示部110にポップアップ表示させてもよい。その後、判定部108は、判定結果を、装置側証明情報データベースの証明対象APのMACアドレスに対応するレコード60の受信乱数及び判定結果の項目に記録する。例えば、判定部108は、受信乱数の項目にステップS107の処理で取得された復号化乱数の情報を記録し、判定結果の項目に不当の文字列を記録する。   On the other hand, when the random numbers do not match (step S107—NO), the determination unit 108 determines that the AP 20 to which the own device is to connect is an unauthorized access point (step S109). In this case, the control unit 105 may display on the display unit 110 that the user's communication device 10 may be connected to the spoofed AP. For example, the control unit 105 may cause the display unit 110 to pop up. Thereafter, the determination unit 108 records the determination result in the received random number and determination result items of the record 60 corresponding to the MAC address of the certification target AP in the device-side certification information database. For example, the determination unit 108 records the decrypted random number information acquired in the process of step S107 in the received random number item, and records an invalid character string in the determined result item.

図7は、第1実施形態におけるAP20の処理の流れを示すフローチャートである。なお、図7では、AP20の復号化乱数の送信処理について説明する。つまり、図7では、AP20の認証処理についての説明は省略する。
第1通信部201は、通信装置10から送信されたHTTPリクエストを受信する(ステップS201)。第1通信部201は、受信したHTTPリクエストを制御部202に出力する。制御部202は、HTTPリクエストに含まれているURIがAP認証用のURIであるか否か判定する(ステップS202)。AP認証用のURIではない場合(ステップS202−NO)、AP20は処理を終了する。
FIG. 7 is a flowchart showing a process flow of the AP 20 in the first embodiment. In addition, in FIG. 7, the transmission process of the decoding random number of AP20 is demonstrated. That is, in FIG. 7, the description of the authentication process of the AP 20 is omitted.
The first communication unit 201 receives the HTTP request transmitted from the communication device 10 (step S201). The first communication unit 201 outputs the received HTTP request to the control unit 202. The control unit 202 determines whether or not the URI included in the HTTP request is a URI for AP authentication (step S202). If it is not the URI for AP authentication (step S202—NO), the AP 20 ends the process.

一方、AP認証用のURIである場合(ステップS202−YES)、制御部202はHTTPリクエストに暗号化乱数が含まれているか否か判定する(ステップS203)。暗号化乱数が含まれていない場合(ステップS203−NO)、AP20は処理を終了する。
また、ステップS203の処理において、暗号化乱数が含まれている場合(ステップS203−YES)、制御部202はHTTPリクエストを復号化部204に出力する。
On the other hand, if it is a URI for AP authentication (step S202—YES), the control unit 202 determines whether or not an encrypted random number is included in the HTTP request (step S203). When the encrypted random number is not included (step S203—NO), the AP 20 ends the process.
In the process of step S203, if an encrypted random number is included (step S203—YES), the control unit 202 outputs an HTTP request to the decryption unit 204.

また、制御部202は、HTTPリクエストに暗号化乱数が含まれている場合、AP側証明情報記憶部205に記憶されているAP側証明情報データベースに、HTTPリクエストの送信元である通信装置10のMACアドレスが登録されたレコード70を新たに作成する。次に、制御部202は、HTTPリクエストから暗号化乱数を取得する。そして、制御部202は、取得した暗号化乱数の情報を、新たに作成したレコード70の受信暗号化乱数の項目に、HTTPリクエストの送信元である通信装置10のMACアドレスと対応付けて記録する。   In addition, when the encrypted random number is included in the HTTP request, the control unit 202 stores the communication request of the communication apparatus 10 that is the transmission source of the HTTP request in the AP side certification information database stored in the AP side certification information storage unit 205. A new record 70 in which the MAC address is registered is created. Next, the control unit 202 acquires an encrypted random number from the HTTP request. Then, the control unit 202 records the acquired encrypted random number information in the received encrypted random number field of the newly created record 70 in association with the MAC address of the communication device 10 that is the transmission source of the HTTP request. .

また、復号化部204は、秘密鍵情報記憶部203に記憶されている秘密鍵の鍵情報と、HTTPリクエストに含まれる暗号化乱数とに基づいて、暗号化乱数を復号化する(ステップS204)。復号化部204は、復号化乱数を制御部202に出力する。
制御部202は、復号化部204から復号化乱数が出力されると、HTTPレスポンスを生成する。この際生成されるHTTPレスポンスには、復号化乱数が含まれる。制御部202は、第1通信部201を介してHTTPリクエストの送信元である通信装置10にHTTPレスポンスを送信する(ステップS205)。また、制御部202は、復号化乱数の情報を、HTTPリクエストの送信元である通信装置10のMACアドレスと対応付けて、AP側認証情報テーブルの復号化乱数の項目に記録する。
Further, the decryption unit 204 decrypts the encrypted random number based on the key information of the secret key stored in the secret key information storage unit 203 and the encrypted random number included in the HTTP request (step S204). . The decryption unit 204 outputs the decrypted random number to the control unit 202.
When the decryption random number is output from the decryption unit 204, the control unit 202 generates an HTTP response. The HTTP response generated at this time includes a decrypted random number. The control unit 202 transmits an HTTP response to the communication device 10 that is the transmission source of the HTTP request via the first communication unit 201 (step S205). Also, the control unit 202 records the decrypted random number information in the decrypted random number field of the AP-side authentication information table in association with the MAC address of the communication device 10 that is the transmission source of the HTTP request.

図8及び図9は、第1実施形態におけるアクセスポイント証明システム100の動作を示すシーケンス図である。
通信装置10は、入力部109を介してAP20の証明を行う旨の指示がユーザから入力されると(ステップS301)、自装置の周辺に位置するAP20のうち電波が最も強いAP20に帰属する。その後、通信装置10は、DHCPディスカバーを生成し、生成したDHCPディスカバーをAP20に送信する(ステップS302)。
AP20は、通信装置10から送信されたDHCPディスカバーを受信する。その後、通信装置10とAP20との間で、DHCPオファー、DHCPリクエスト及びDHCPアックの送受信が行われる(ステップS303)。これにより、通信装置10は、自装置が使用するIPアドレスを取得する。
8 and 9 are sequence diagrams showing the operation of the access point certification system 100 in the first embodiment.
When an instruction to certify the AP 20 is input from the user via the input unit 109 (step S301), the communication device 10 belongs to the AP 20 with the strongest radio wave among the APs 20 located around the device. Thereafter, the communication device 10 generates a DHCP discover and transmits the generated DHCP discover to the AP 20 (step S302).
The AP 20 receives the DHCP discover transmitted from the communication device 10. Thereafter, a DHCP offer, a DHCP request, and a DHCP ACK are transmitted / received between the communication device 10 and the AP 20 (step S303). Thereby, the communication apparatus 10 acquires the IP address used by the own apparatus.

次に、通信装置10は、名前解決要求を生成し、生成した名前解決要求をAP20に送信する(ステップS304)。
AP20は、通信装置20から名前解決要求を受信する。AP20は、受信した名前解決要求の応答として名前解決応答を生成し、生成した名前解決応答を通信装置10に送信する(ステップS305)。これにより、通信装置20は、AP20のIPアドレスの情報を取得する。
Next, the communication device 10 generates a name resolution request and transmits the generated name resolution request to the AP 20 (step S304).
The AP 20 receives a name resolution request from the communication device 20. The AP 20 generates a name resolution response as a response to the received name resolution request, and transmits the generated name resolution response to the communication device 10 (step S305). Thereby, the communication apparatus 20 acquires information on the IP address of the AP 20.

通信装置10の乱数生成部101は、乱数を生成する(ステップS306)。暗号化部103は、公開鍵情報と、生成された乱数とに基づいて乱数を暗号化する(ステップS307)。これにより、暗号化乱数が生成される。制御部105は、暗号化乱数が出力されると、HTTPリクエストを生成する。この際生成されるHTTPリクエストには、AP20証明用のURI及び暗号化乱数が含まれる。通信部106は、生成されたHTTPリクエストをAP20に送信する(ステップS308)。   The random number generation unit 101 of the communication device 10 generates a random number (step S306). The encryption unit 103 encrypts the random number based on the public key information and the generated random number (step S307). Thereby, an encrypted random number is generated. When the encrypted random number is output, the control unit 105 generates an HTTP request. The HTTP request generated at this time includes a URI for AP20 certification and an encrypted random number. The communication unit 106 transmits the generated HTTP request to the AP 20 (step S308).

AP20の第1通信部201は、通信装置10から送信されたHTTPリクエストを受信する。第1通信部201が受信したHTTPリクエストに含まれるURIがAP20の証明用のURIであるため、制御部202はHTTPリクエストを復号化部204に出力する。復号化部204は、出力されたHTTPリクエストに含まれる暗号化乱数を、秘密鍵情報記憶部203に記憶されている秘密鍵の鍵情報に基づいて復号化する(ステップS309)。復号化部204は、復号化した乱数(復号化乱数)を制御部202に出力する。制御部202は、復号化乱数が出力されると、HTTPレスポンスを生成する。この際生成されるHTTPレスポンスには、復号化乱数が含まれる。第1通信部201は、生成されたHTTPレスポンスを、HTTPリクエストの送信元である通信装置10に送信する(ステップS310)。   The first communication unit 201 of the AP 20 receives the HTTP request transmitted from the communication device 10. Since the URI included in the HTTP request received by the first communication unit 201 is the URI for certification of the AP 20, the control unit 202 outputs the HTTP request to the decryption unit 204. The decryption unit 204 decrypts the encrypted random number included in the output HTTP request based on the key information of the secret key stored in the secret key information storage unit 203 (step S309). The decrypting unit 204 outputs the decrypted random number (decoded random number) to the control unit 202. When the decrypted random number is output, the control unit 202 generates an HTTP response. The HTTP response generated at this time includes a decrypted random number. The first communication unit 201 transmits the generated HTTP response to the communication device 10 that is the transmission source of the HTTP request (step S310).

通信装置10の通信部106は、AP20から送信されたHTTPレスポンスを受信する。通信部106は、受信したHTTPレスポンスを制御部105に出力する。HTTPレスポンスには、復号化乱数が含まれているため、制御部105はHTTPレスポンスを判定部108に出力する。判定部108は、HTTPレスポンスに含まれる復号化乱数と、装置側認証情報データベースのレコード60のうち、証明対象APのMACアドレスに対応するレコード60の生成乱数の項目に記録されている値とが一致するか否か判定する(ステップS311)。   The communication unit 106 of the communication device 10 receives the HTTP response transmitted from the AP 20. The communication unit 106 outputs the received HTTP response to the control unit 105. Since the decrypted random number is included in the HTTP response, the control unit 105 outputs the HTTP response to the determination unit 108. The determination unit 108 includes the decrypted random number included in the HTTP response and the value recorded in the generated random number item of the record 60 corresponding to the MAC address of the certification target AP among the records 60 of the device-side authentication information database. It is determined whether or not they match (step S311).

判定の結果、値が一致するため、判定部108は自装置が接続しているAP20が正当なアクセスポイントであると判定する。判定部108は、判定結果を制御部105に出力する。制御部105は、判定部108から正当なアクセスポイントである旨の通知が出力されると、Web認証を行なうためのHTTPリクエストを生成する。HTTPリクエストには、接続先情報記憶部104に記憶されている接続先情報データベースの利用目的“Web認証”に対応付けて記録されているURIが含まれる。通信部106は、生成されたHTTPリクエストをAP20に送信する(ステップS312)。   Since the values match as a result of the determination, the determination unit 108 determines that the AP 20 to which the device is connected is a valid access point. The determination unit 108 outputs the determination result to the control unit 105. When the notification indicating that the access point is a valid access point is output from the determination unit 108, the control unit 105 generates an HTTP request for performing web authentication. The HTTP request includes a URI recorded in association with the purpose of use “Web authentication” of the connection destination information database stored in the connection destination information storage unit 104. The communication unit 106 transmits the generated HTTP request to the AP 20 (step S312).

AP20の第1通信部201は、通信装置10から送信されたHTTPリクエストを受信する。第1通信部201が受信したHTTPリクエストに含まれるURIがWeb認証用のURIであるため、制御部202は認証情報記憶部206からWeb認証用の画面情報を取得する。その後、制御部202は、HTTPレスポンスを生成する。この際生成されるHTTPレスポンスには、Web認証用の画面情報が含まれる。第1通信部201は、生成されたHTTPレスポンスを、HTTPリクエストの送信元である通信装置10に送信する(ステップS313)。   The first communication unit 201 of the AP 20 receives the HTTP request transmitted from the communication device 10. Since the URI included in the HTTP request received by the first communication unit 201 is a URI for Web authentication, the control unit 202 acquires screen information for Web authentication from the authentication information storage unit 206. Thereafter, the control unit 202 generates an HTTP response. The HTTP response generated at this time includes screen information for Web authentication. The first communication unit 201 transmits the generated HTTP response to the communication device 10 that is the transmission source of the HTTP request (step S313).

通信装置10の通信部106は、AP20から送信されたHTTPレスポンスを受信する。通信部106は、受信したHTTPレスポンスを制御部105に出力する。HTTPレスポンスには、Web認証用の画面情報が含まれているため、制御部105はHTTPレスポンスを表示部110に出力する。表示部110は、Web認証用の画面を表示してユーザからID及びパスワードの入力を受け付ける(ステップS314)。   The communication unit 106 of the communication device 10 receives the HTTP response transmitted from the AP 20. The communication unit 106 outputs the received HTTP response to the control unit 105. Since the HTTP response includes screen information for Web authentication, the control unit 105 outputs the HTTP response to the display unit 110. The display unit 110 displays a Web authentication screen and accepts input of an ID and a password from the user (step S314).

ユーザは、入力部109を介してID及びパスワードを入力する。通信部106は、入力部109を介して入力されたID及びパスワードをAP20に送信する(ステップS315)。
AP20の第1通信部201は、通信装置10から送信されたID及びパスワードを受信する。第2通信部207は、第1通信部201によって受信されたID及びパスワードを制御部202及び認証情報記憶部206を介して取得する。その後、第2通信部207は、第1ネットワーク40を介してID及びパスワードを認証サーバ30に送信する(ステップS316)。
The user inputs the ID and password via the input unit 109. The communication unit 106 transmits the ID and password input via the input unit 109 to the AP 20 (step S315).
The first communication unit 201 of the AP 20 receives the ID and password transmitted from the communication device 10. The second communication unit 207 acquires the ID and password received by the first communication unit 201 via the control unit 202 and the authentication information storage unit 206. Thereafter, the second communication unit 207 transmits the ID and password to the authentication server 30 via the first network 40 (step S316).

認証サーバ30は、AP20から送信されたID及びパスワードを受信する。認証サーバ30は、受信したID及びパスワードに基づいて、通信装置10のユーザが正当なユーザであるか否か判定する(ステップS317)。判定の結果、正当なユーザであるため、認証サーバ30は認証がなされた旨の通知を含む認証結果をAP20に送信する(ステップS318)。
AP20の第2通信部207は、認証サーバ30から送信された認証結果を受信する。第2通信部207は、中継部208を介して第1通信部201に受信した認証情報を出力する。第1通信部は、出力された認証情報を通信装置10に送信する(ステップS319)。その後、通信装置10とAP20との間で通信が行われる(ステップS320)。
The authentication server 30 receives the ID and password transmitted from the AP 20. The authentication server 30 determines whether the user of the communication apparatus 10 is a valid user based on the received ID and password (step S317). As a result of the determination, since the user is a valid user, the authentication server 30 transmits an authentication result including a notification that the authentication has been performed to the AP 20 (step S318).
The second communication unit 207 of the AP 20 receives the authentication result transmitted from the authentication server 30. The second communication unit 207 outputs the authentication information received to the first communication unit 201 via the relay unit 208. The first communication unit transmits the output authentication information to the communication device 10 (step S319). Thereafter, communication is performed between the communication device 10 and the AP 20 (step S320).

以上のように構成された第1実施形態におけるアクセスポイント証明システム100によれば、通信装置10にて生成され暗号化された乱数と、AP20から復号化されて送信された乱数とが一致するか否かに応じてAP20の証明が行われる。乱数の値が一致する場合、AP20が正当なアクセスポイントであると判定される。一方、乱数の値が一致しない場合、AP20が不当なアクセスポイントであると判定される。このように、AP20の証明には乱数が使用され、乱数の値に応じた判定がなされる。したがって、証明のために高度な処理が不要となり、さらにAP20の証明に証明書を利用する必要がない。そのため、コストを抑えつつ、容易にAP20の証明を行うことが可能になる。その結果、なりすましAP(不当AP)による被害を軽減することができる。   According to the access point certification system 100 in the first embodiment configured as described above, does the random number generated and encrypted by the communication device 10 match the random number that is decrypted and transmitted from the AP 20? Depending on whether or not, the AP 20 is proved. If the random values match, it is determined that the AP 20 is a valid access point. On the other hand, if the random number values do not match, it is determined that the AP 20 is an unauthorized access point. In this way, a random number is used for proof of the AP 20, and a determination according to the value of the random number is made. Therefore, advanced processing is not required for certification, and it is not necessary to use a certificate for certification of the AP 20. Therefore, it is possible to easily certify the AP 20 while suppressing costs. As a result, it is possible to reduce the damage caused by the spoofed AP.

上述したように、本発明におけるアクセスポイント証明システム100では、従来にはなかったAPのなりすましを防ぐための証明方式を確立することが可能になる。このような証明方式を利用することで、証明の一般的な課題である証明書の発行や維持に関するコストを削減することができる。
また、通信装置10には、AP20が保有する秘密鍵の対となる公開鍵の鍵情報が記憶され、AP20には通信装置10が保有する公開鍵の対となる秘密鍵の鍵情報が記憶される。そして、暗号化及び復号化には、それぞれ公開鍵又は秘密鍵が使用される。したがって、不当APでは、通信装置10から暗号化されて送信される暗号化乱数を復号することができない。この場合、通信装置10は、自装置が接続しているAP20が不当なアクセスポイントであると判断することができる。そのため、ユーザに不当なAPである旨を通知するなどすることで未然に被害の発生を防ぐことが可能になる。
As described above, in the access point certification system 100 according to the present invention, it is possible to establish a certification scheme for preventing impersonation of an AP, which has not been conventionally performed. By using such a proof method, it is possible to reduce costs related to the issuance and maintenance of certificates, which is a general problem of proof.
Further, the communication device 10 stores the key information of the public key that is a pair of the private key held by the AP 20, and the AP 20 stores the key information of the secret key that is the pair of the public key held by the communication device 10. The A public key or a secret key is used for encryption and decryption, respectively. Therefore, the illegal AP cannot decrypt the encrypted random number that is encrypted and transmitted from the communication device 10. In this case, the communication device 10 can determine that the AP 20 connected to the communication device 10 is an unauthorized access point. Therefore, it is possible to prevent the occurrence of damage by notifying the user that the AP is an unauthorized AP.

また、証明書を利用した場合、ユーザに通知される証明書のデータは固定値である。そのため、従来では、データ自体を偽造された場合、中間攻撃やなりすましが発生してしまうおそれがあった。しかし、本発明では、AP20の証明に固定値ではなくランダムな値である乱数が用いられる。さらに、証明に用いられる値は、AP20側からではなく通信装置10側から送信される。そのため、証明に用いられるデータが偽造されてしまうおそれを軽減することが可能になる。   When a certificate is used, the certificate data notified to the user is a fixed value. Therefore, conventionally, when the data itself is forged, there is a risk that an intermediate attack or spoofing may occur. However, in the present invention, a random number that is not a fixed value but a random value is used for proof of the AP 20. Further, the value used for the certification is transmitted from the communication device 10 side, not from the AP 20 side. Therefore, it is possible to reduce the risk that the data used for proof will be forged.

<変形例>
本実施形態では、アクセスポイント証明システム100が3台のAP20を備える構成を示したが、アクセスポイント証明システム100は4台以上のAP20を備えるように構成されてもよいし、2台以下のAP20を備えるように構成されてもよい。
本実施形態では、図7のステップS202の処理において、HTTPリクエストにAP証明用のURIが含まれていない場合にはAP20が処理を終了する構成を示したが、これに限定される必要はない。例えば、HTTPリクエストにAP証明用のURIが含まれていない場合、AP20はAP証明用のURIの情報を通信装置10に送信してもよい。
本実施形態では、図7のステップS203の処理において、HTTPリクエストに暗号化乱数が含まれていない場合にはAP20が処理を終了する構成を示したが、これに限定される必要はない。例えば、HTTPリクエストに暗号化乱数が含まれていない場合、AP20はHTTPレスポンスを応答しなくてもよいし、HTTPレスポンスに値(例えば、暗号化乱数)が格納されていない旨の通知を含めて通信装置10に送信してもよい。
<Modification>
In the present embodiment, the configuration in which the access point certification system 100 includes three APs 20 is shown. However, the access point certification system 100 may be configured to include four or more APs 20, or two or less APs 20. May be provided.
In the present embodiment, the configuration in which the AP 20 terminates the process when the HTTP request URI is not included in the HTTP request in the process of step S202 of FIG. 7 is not necessarily limited thereto. . For example, if the HTTP request URI is not included in the HTTP request, the AP 20 may transmit information on the AP certificate URI to the communication apparatus 10.
In the present embodiment, the configuration in which the AP 20 terminates the process when the encrypted random number is not included in the HTTP request in the process of step S203 in FIG. 7 is not necessarily limited to this. For example, when an encrypted random number is not included in an HTTP request, the AP 20 does not need to respond with an HTTP response, and includes a notification that a value (for example, an encrypted random number) is not stored in the HTTP response. You may transmit to the communication apparatus 10.

[第2実施形態]
図10は、第2実施形態における通信装置10aの機能構成を表す概略ブロック図である。
通信装置10aは、バスで接続されたCPUやメモリや補助記憶装置などを備え、アクセスポイント判定プログラムを実行する。アクセスポイント判定プログラムの実行によって、通信装置10aは、乱数生成部101、公開鍵情報記憶部102、接続先情報記憶部104、制御部105a、通信部106a、装置側証明情報記憶部107a、判定部108a、入力部109、表示部110、復号化部111を備える装置として機能する。なお、通信装置10aの各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されてもよい。また、アクセスポイント判定プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。また、アクセスポイント判定プログラムは、電気通信回線を介して送受信されてもよい。
[Second Embodiment]
FIG. 10 is a schematic block diagram illustrating a functional configuration of the communication device 10a according to the second embodiment.
The communication device 10a includes a CPU, a memory, an auxiliary storage device, and the like connected by a bus, and executes an access point determination program. By executing the access point determination program, the communication device 10a is converted into a random number generation unit 101, a public key information storage unit 102, a connection destination information storage unit 104, a control unit 105a, a communication unit 106a, a device side certification information storage unit 107a, and a determination unit. 108a, an input unit 109, a display unit 110, and a decoding unit 111. Note that all or some of the functions of the communication device 10a may be realized using hardware such as an ASIC, PLD, or FPGA. The access point determination program may be recorded on a computer-readable recording medium. The computer-readable recording medium is, for example, a portable medium such as a flexible disk, a magneto-optical disk, a ROM, a CD-ROM, or a storage device such as a hard disk built in the computer system. Further, the access point determination program may be transmitted / received via a telecommunication line.

第2実施形態における通信装置10aは、制御部105、装置側証明情報記憶部107及び判定部108に代えて制御部105a、装置側証明情報記憶部107a、判定部108a及び復号化部111を備える点で通信装置10と構成が異なる。通信装置10aは、他の構成については通信装置10と同様である。そのため、通信装置10a全体の説明は省略し、制御部105a、装置側証明情報記憶部107a、判定部108a及び復号化部111について説明する。   The communication device 10a according to the second embodiment includes a control unit 105a, a device-side proof information storage unit 107a, a determination unit 108a, and a decryption unit 111 instead of the control unit 105, the device-side proof information storage unit 107, and the determination unit 108. The configuration differs from the communication device 10 in this respect. The communication device 10a is the same as the communication device 10 in other configurations. Therefore, description of the entire communication device 10a is omitted, and only the control unit 105a, the device-side proof information storage unit 107a, the determination unit 108a, and the decryption unit 111 will be described.

制御部105aは、通信装置10aを制御する。例えば、制御部105aは、乱数生成部101によって生成された乱数と、接続先情報記憶部104に記憶されている接続先情報データベースとに基づいて、AP20の証明を行うためのHTTPリクエストを生成する。AP20の証明を行うためのHTTPリクエストには、例えば乱数及びURIが含まれる。例えば、制御部105aは、通信部106を介して受信されたHTTPレスポンスに含まれる情報を表示部110又は復号化部111に出力する。HTTPレスポンスには、例えば暗号化乱数やWeb認証用の画面情報が含まれる。   The control unit 105a controls the communication device 10a. For example, the control unit 105a generates an HTTP request for certifying the AP 20 based on the random number generated by the random number generation unit 101 and the connection destination information database stored in the connection destination information storage unit 104. . The HTTP request for certifying the AP 20 includes a random number and a URI, for example. For example, the control unit 105 a outputs information included in an HTTP response received via the communication unit 106 to the display unit 110 or the decoding unit 111. The HTTP response includes, for example, an encrypted random number and Web authentication screen information.

装置側証明情報記憶部107aは、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。装置側証明情報記憶部107aは、装置側証明情報データベースを記憶している。装置側証明情報データベースには、AP20aの証明に関する情報が登録される。
判定部108aは、復号化部111によって復号化された乱数(復号化乱数)と、装置側証明情報記憶部107aに記憶されている装置側証明情報データベースとに基づいて、HTTPレスポンスの送信元であるAP20aが正当なアクセスポイントであるか否か判定する。
The device-side certification information storage unit 107a is configured using a storage device such as a magnetic hard disk device or a semiconductor storage device. The device side certification information storage unit 107a stores a device side certification information database. Information related to the certification of the AP 20a is registered in the device-side certification information database.
Based on the random number (decrypted random number) decrypted by the decryption unit 111 and the device-side certification information database stored in the device-side certification information storage unit 107a, the determination unit 108a is the transmission source of the HTTP response. It is determined whether a certain AP 20a is a valid access point.

復号化部111は、HTTPレスポンスに含まれる暗号化乱数と、秘密鍵情報記憶部203に記憶されている秘密鍵の鍵情報とに基づいて暗号化乱数を復号化する。復号化には、既存の技術が用いられる。復号化部111は、復号化乱数を判定部108aに出力する。   The decryption unit 111 decrypts the encrypted random number based on the encrypted random number included in the HTTP response and the key information of the secret key stored in the secret key information storage unit 203. An existing technique is used for decoding. The decryption unit 111 outputs the decrypted random number to the determination unit 108a.

図11は、通信装置10aが記憶しているデータベースの具体例を示す図である。
図11(A)は、第2実施形態における装置側証明情報データベースの具体例を示す図である。
装置側証明情報データベースは、AP20aの証明に関する情報を表すレコード60aを複数有する。レコード60aは、MAC_AP、生成乱数、受信暗号化乱数、復号化乱数及び判定結果の各値を有する。MAC_APの値は、AP20aのMACアドレスを表す。生成乱数の値は、同じレコード60aのMAC_APで識別されるAP20aの証明に用いられる乱数を表す。受信暗号化乱数の値は、同じレコード60aのMACアドレスで識別されるAP20aから送信されたHTTPレスポンスに含まれる暗号化乱数を表す。復号化乱数の値は、同じレコード60aの受信暗号化乱数が復号化された後の乱数を表す。判定結果の値は、同じレコード60aのMAC_APで識別されるAP20が正当なアクセスポイントであるか否かを示す判定結果を表す。
FIG. 11 is a diagram illustrating a specific example of a database stored in the communication device 10a.
FIG. 11A is a diagram showing a specific example of the device-side certification information database in the second embodiment.
The apparatus side certification information database has a plurality of records 60a representing information related to certification of the AP 20a. The record 60a has values of MAC_AP, generated random number, received encrypted random number, decrypted random number, and determination result. The value of MAC_AP represents the MAC address of the AP 20a. The value of the generated random number represents a random number used for certification of the AP 20a identified by the MAC_AP of the same record 60a. The value of the received encrypted random number represents the encrypted random number included in the HTTP response transmitted from the AP 20a identified by the MAC address of the same record 60a. The value of the decrypted random number represents a random number after the received encrypted random number of the same record 60a is decrypted. The value of the determination result represents a determination result indicating whether or not the AP 20 identified by the MAC_AP of the same record 60a is a valid access point.

図11(A)に示される例では、装置側証明情報データベースには複数のMAC_AP(図11(A)の場合、3つのMAC_AP)が登録されている。図11(A)において、装置側証明情報データベースの最上段に記録されているレコード60aは、MAC_APの値が“AAA”、生成乱数の値が“DD”、受信暗号化乱数の値が“DDD”、復号化乱数の値が“DD”、判定結果の値が“正当”である。すなわち、MACアドレス“AAA”で識別されるAP20の証明に用いられる乱数が“DD”であり、このAP20から受信されたHTTPレスポンスに含まれる暗号化乱数が“DDD”であり、この暗号化乱数が復号化された後の乱数が“DD”であり、このAP20が正当なアクセスポイントであることが表されている。   In the example shown in FIG. 11A, a plurality of MAC_APs (three MAC_APs in the case of FIG. 11A) are registered in the device-side certification information database. In FIG. 11A, the record 60a recorded at the top of the apparatus side certification information database has a MAC_AP value "AAA", a generated random number value "DD", and a received encrypted random number value "DDD". "The value of the decrypted random number is" DD ", and the value of the determination result is" valid ". That is, the random number used for proof of the AP 20 identified by the MAC address “AAA” is “DD”, the encrypted random number included in the HTTP response received from the AP 20 is “DDD”, and this encrypted random number The random number after decryption is “DD”, indicating that this AP 20 is a valid access point.

また、図11(A)において、装置側証明情報データベースの2段目に記録されているレコード60aは、MAC_APの値が“BBB”、生成乱数の値が“EE”、受信暗号化乱数の値が“EEE”、復号化乱数の値が“FF”、判定結果の値が“不当”である。すなわち、MACアドレス“BBB”で識別されるAP20の証明に用いられる乱数が“EE”であり、このAP20から受信されたHTTPレスポンスに含まれる暗号化乱数が“EEE”であり、この暗号化乱数が復号化された後の乱数が“FF”であり、このAP20が正当なアクセスポイントではないことが表されている。   Also, in FIG. 11A, the record 60a recorded in the second row of the device side certification information database has a MAC_AP value of “BBB”, a generated random number value of “EE”, and a received encrypted random number value. Is “EEE”, the value of the decrypted random number is “FF”, and the value of the determination result is “illegal”. That is, the random number used for certification of the AP 20 identified by the MAC address “BBB” is “EE”, and the encrypted random number included in the HTTP response received from the AP 20 is “EEE”. The random number after decryption is “FF”, indicating that this AP 20 is not a valid access point.

図11(B)は、第2実施形態における接続先情報データベースの具体例を示す図である。
第2実施形態における接続先情報データベースの構成は、図3(B)に示した接続先情報データベースの構成と同様の構成を有している。そのため、第2実施形態における接続先情報データベースの説明は省略する。
FIG. 11B is a diagram showing a specific example of the connection destination information database in the second embodiment.
The configuration of the connection destination information database in the second embodiment has the same configuration as that of the connection destination information database shown in FIG. Therefore, description of the connection destination information database in the second embodiment is omitted.

図12は、第2実施形態におけるAP20aの機能構成を表す概略ブロック図である。
AP20aは、バスで接続されたCPUやメモリや補助記憶装置などを備え、中継プログラムを実行する。中継プログラムの実行によって、AP20aは、第1通信部201a、制御部202a、秘密鍵情報記憶部203、AP側証明情報記憶部205a、認証情報記憶部206、第2通信部207、中継部208、暗号化部209を備える装置として機能する。なお、AP20aの各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されてもよい。また、中継プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。また、中継プログラムは、電気通信回線を介して送受信されてもよい。
FIG. 12 is a schematic block diagram showing the functional configuration of the AP 20a in the second embodiment.
The AP 20a includes a CPU, a memory, an auxiliary storage device, and the like connected by a bus and executes a relay program. By executing the relay program, the AP 20a is connected to the first communication unit 201a, the control unit 202a, the secret key information storage unit 203, the AP side certification information storage unit 205a, the authentication information storage unit 206, the second communication unit 207, the relay unit 208, It functions as an apparatus including the encryption unit 209. Note that all or part of the functions of the AP 20a may be realized using hardware such as an ASIC, PLD, or FPGA. The relay program may be recorded on a computer-readable recording medium. The computer-readable recording medium is, for example, a portable medium such as a flexible disk, a magneto-optical disk, a ROM, a CD-ROM, or a storage device such as a hard disk built in the computer system. Further, the relay program may be transmitted / received via a telecommunication line.

第2実施形態におけるAP20aは、制御部202及びAP側証明情報記憶部205に代えて制御部202a、AP側証明情報記憶部205a及び暗号化部209を備える点でAP20と構成が異なる。AP20aは、他の構成についてはAP20と同様である。そのため、AP20a全体の説明は省略し、制御部202a、AP側証明情報記憶部205a及び暗号化部209について説明する。   The AP 20a in the second embodiment is different from the AP 20 in that the AP 20a includes a control unit 202a, an AP side certification information storage unit 205a, and an encryption unit 209 instead of the control unit 202 and the AP side certification information storage unit 205. The AP 20a is the same as the AP 20 in other configurations. Therefore, description of the AP 20a as a whole is omitted, and the control unit 202a, the AP-side certification information storage unit 205a, and the encryption unit 209 will be described.

制御部202aは、第1通信部201によって受信されたHTTPリクエストに含まれるURIに応じて自装置を制御する。例えば、制御部202aは、HTTPリクエストに含まれるURIがAP証明用のURIを示す場合、HTTPリクエストを暗号化部209に出力する。   The control unit 202a controls the own device according to the URI included in the HTTP request received by the first communication unit 201. For example, when the URI included in the HTTP request indicates the URI for AP certification, the control unit 202a outputs the HTTP request to the encryption unit 209.

AP側証明情報記憶部205aは、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。AP側証明情報記憶部205aは、AP側証明情報データベースを記憶している。AP側証明情報データベースには、通信装置10aに関する情報が登録される。
暗号化部209は、制御部202aから出力されたHTTPリクエストに含まれる乱数と、秘密鍵情報記憶部203に記憶されている秘密鍵の鍵情報とに基づいて乱数を暗号化する。暗号化には、既存の技術が用いられる。暗号化部209は、暗号化乱数を制御部202aに出力する。
The AP-side certification information storage unit 205a is configured using a storage device such as a magnetic hard disk device or a semiconductor storage device. The AP side certification information storage unit 205a stores an AP side certification information database. Information related to the communication device 10a is registered in the AP side certification information database.
The encryption unit 209 encrypts the random number based on the random number included in the HTTP request output from the control unit 202a and the key information of the secret key stored in the secret key information storage unit 203. Existing techniques are used for encryption. The encryption unit 209 outputs the encrypted random number to the control unit 202a.

図13は、第2実施形態におけるAP側証明情報データベースの具体例を示す図である。
AP側証明情報データベースは、通信装置10aに関する情報を表すレコード70aを複数有する。レコード70aは、MAC_STA、受信乱数及び送信暗号化乱数の各値を有する。MAC_STAの値は、通信装置10aのMACアドレスを表す。受信乱数の値は、同じレコード70aのMAC_STAで識別される通信装置10aから送信されたHTTPリクエストに含まれる乱数を表す。送信暗号化乱数の値は、同じレコード70aの受信乱数が暗号化された後の値を表す。
FIG. 13 is a diagram showing a specific example of the AP side certification information database in the second embodiment.
The AP side certification information database has a plurality of records 70a representing information related to the communication device 10a. The record 70a has each value of MAC_STA, reception random number, and transmission encryption random number. The value of MAC_STA represents the MAC address of the communication device 10a. The value of the received random number represents a random number included in the HTTP request transmitted from the communication device 10a identified by the MAC_STA of the same record 70a. The value of the transmission encryption random number represents a value after the reception random number of the same record 70a is encrypted.

図13に示される例では、AP側証明情報データベースには1つのMAC_STAが記録されている。図13において、AP側証明情報データベースの最上段に記録されているレコード70aは、MAC_STAの値が“SSS”、受信乱数の値が“TT”、送信暗号化乱数の値が“UUU”である。すなわち、MACアドレス“SSS”で識別される通信装置10から送信されたHTTPリクエストに含まれる乱数が“TT”であり、暗号化された後の値が“UUU”であることが表されている。   In the example shown in FIG. 13, one MAC_STA is recorded in the AP side certification information database. In FIG. 13, the record 70a recorded at the top of the AP side certification information database has the MAC_STA value “SSS”, the received random number value “TT”, and the transmitted encrypted random number value “UUU”. . That is, the random number included in the HTTP request transmitted from the communication device 10 identified by the MAC address “SSS” is “TT”, and the encrypted value is “UUU”. .

図14は、第2実施形態における通信装置10aのアクセスポイントの証明処理の流れを示すフローチャートである。
乱数生成部101は、所定のタイミングで乱数を生成する(ステップS401)。乱数生成部101は、生成した乱数を制御部105aに出力する。また、乱数生成部101は、生成した乱数の情報を装置側証明情報記憶部107aに記録する。制御部105aは、乱数が出力されたため、AP20aの証明を行うためのHTTPリクエストを生成する。HTTPリクエストには、接続先情報記憶部104に記憶されている接続先情報データベースの利用目的“AP証明”に対応付けて記録されているURIと、出力された乱数とが含まれる。制御部105aは、HTTPリクエストを通信部106に出力する。通信部106は、HTTPリクエストをAP20aに送信する(ステップS402)。
FIG. 14 is a flowchart showing a flow of access point certification processing of the communication device 10a in the second embodiment.
The random number generation unit 101 generates a random number at a predetermined timing (step S401). The random number generation unit 101 outputs the generated random number to the control unit 105a. In addition, the random number generation unit 101 records the generated random number information in the device-side certification information storage unit 107a. Since the random number is output, the control unit 105a generates an HTTP request for certifying the AP 20a. The HTTP request includes the URI recorded in association with the purpose of use “AP certification” of the connection destination information database stored in the connection destination information storage unit 104 and the output random number. The control unit 105a outputs an HTTP request to the communication unit 106. The communication unit 106 transmits an HTTP request to the AP 20a (step S402).

制御部105aは、通信部106を介してHTTPレスポンスが受信されたか否か判定する(ステップS403)。HTTPレスポンスが受信されていない場合(ステップS403−NO)、制御部105aは予め設定されたタイムアウトの時間が経過したか否か判定する(ステップS404)。タイムアウトの時間が経過した場合(ステップS404−YES)、通信装置10aは処理を終了する。
一方、タイムアウトの時間が経過していない場合(ステップS404−NO)、通信装置10aはステップS403以降の処理を繰り返し実行する。
The control unit 105a determines whether an HTTP response is received via the communication unit 106 (step S403). If an HTTP response has not been received (step S403—NO), the control unit 105a determines whether a preset timeout period has elapsed (step S404). When the time-out time has elapsed (step S404—YES), the communication device 10a ends the process.
On the other hand, when the time-out period has not elapsed (step S404—NO), the communication device 10a repeatedly executes the processes after step S403.

また、ステップS403の処理において、HTTPレスポンスが受信されている場合(ステップS403−YES)、制御部105aはHTTPレスポンスを読み込む(ステップS405)。具体的には、制御部105aは、HTTPレスポンスに暗号化乱数が含まれる場合、HTTPレスポンスを復号化部111に出力し、HTTPレスポンスに認証画面の情報が含まれる場合、HTTPレスポンスを表示部110に出力する。この説明では、HTTPレスポンスに暗号化乱数が含まれる場合を説明する。したがって、制御部105aは、HTTPレスポンスを復号化部111に出力する。   In the process of step S403, when an HTTP response is received (step S403-YES), the control unit 105a reads the HTTP response (step S405). Specifically, when the encrypted random number is included in the HTTP response, the control unit 105a outputs the HTTP response to the decryption unit 111, and when the HTTP response includes the authentication screen information, the control unit 105a displays the HTTP response. Output to. In this description, a case where an encrypted random number is included in the HTTP response will be described. Therefore, the control unit 105a outputs the HTTP response to the decryption unit 111.

復号化部111は、出力されたHTTPレスポンスから暗号化乱数を取得する。復号化部111は、取得した暗号化乱数の情報を装置側証明情報記憶部107aに記録する。具体的には、まず復号化部111は、装置側証明情報記憶部107aに記憶されている装置側証明情報データベースを読み出す。次に、復号化部111は、読み出した装置側証明情報データベースのレコード60aのうち、証明対象APのMACアドレスに対応するレコード60aを選択する。そして、復号化部111は、選択したレコード60aの受信暗号化乱数の項目に、暗号化乱数の情報を記録する。   The decryption unit 111 acquires an encrypted random number from the output HTTP response. The decryption unit 111 records the acquired encrypted random number information in the device-side proof information storage unit 107a. Specifically, first, the decryption unit 111 reads the device side certification information database stored in the device side certification information storage unit 107a. Next, the decryption unit 111 selects the record 60a corresponding to the MAC address of the certification target AP from the read records 60a of the device-side certification information database. Then, the decryption unit 111 records the encrypted random number information in the received encrypted random number item of the selected record 60a.

また、復号化部111は、暗号化乱数と、公開鍵情報記憶部102に記憶されている公開鍵の鍵情報とに基づいて、暗号化乱数を復号化する(ステップS406)。その後、復号化部111は、復号化乱数を判定部108aに出力する。判定部108aは、出力された復号化乱数と、装置側証明情報データベースの証明対象APのMACアドレスに対応するレコード60aの生成乱数の項目に記録されている乱数とが一致するか否か判定する(ステップS407)。乱数が一致する場合(ステップS407−YES)、判定部108aは自装置が接続しようとしているAP20aが正当なアクセスポイントであると判定する(ステップS408)。その後、判定部108aは、判定結果を、装置側証明情報データベースの証明対象APのMACアドレスに対応するレコード60aの復号化乱数及び判定結果の項目に記録する。例えば、判定部108aは、復号化乱数の項目に、取得した復号化乱数の情報を記録し、判定結果の項目に正当の文字列を記録する。   Also, the decryption unit 111 decrypts the encrypted random number based on the encrypted random number and the key information of the public key stored in the public key information storage unit 102 (step S406). Thereafter, the decryption unit 111 outputs the decrypted random number to the determination unit 108a. The determination unit 108a determines whether or not the output decrypted random number matches the random number recorded in the generated random number item of the record 60a corresponding to the MAC address of the certification target AP in the device-side certification information database. (Step S407). When the random numbers match (step S407—YES), the determination unit 108a determines that the AP 20a to which the own device is to connect is a valid access point (step S408). Thereafter, the determination unit 108a records the determination result in the decrypted random number and determination result items of the record 60a corresponding to the MAC address of the certification target AP in the device-side certification information database. For example, the determination unit 108a records the acquired decryption random number information in the decryption random number item, and records a valid character string in the determination result item.

一方、乱数が一致しない場合(ステップS407−NO)、判定部108aは自装置が接続しようとしているAP20aが不当なアクセスポイントであると判定する(ステップS409)。この場合、制御部105aは、ユーザの通信装置10aがなりすましAPに接続している可能性がある旨を表示部110に表示させてもよい。例えば、制御部105aは、表示部110にポップアップ表示させてもよい。その後、判定部108aは、判定結果を、装置側証明情報データベースの証明対象APのMACアドレスに対応するレコード60aの復号化乱数及び判定結果の項目に記録する。例えば、判定部108aは、復号化乱数の項目に、取得した復号化乱数の情報を記録し、判定結果の項目に不当の文字列を記録する。   On the other hand, when the random numbers do not match (NO in step S407), the determination unit 108a determines that the AP 20a to which the own device is to connect is an unauthorized access point (step S409). In this case, the control unit 105a may display on the display unit 110 that the user's communication device 10a may be connected to the spoofing AP. For example, the control unit 105a may cause the display unit 110 to display a popup. Thereafter, the determination unit 108a records the determination result in the decrypted random number and determination result items of the record 60a corresponding to the MAC address of the certification target AP in the device-side certification information database. For example, the determination unit 108a records the acquired decrypted random number information in the decrypted random number item, and records an invalid character string in the determined result item.

図15は、第2実施形態におけるAP20aの処理の流れを示すフローチャートである。なお、図15では、AP20aの暗号化乱数の送信処理について説明する。つまり、図15では、AP20の認証処理についての説明は省略する。
第1通信部201は、通信装置10aから送信されたHTTPリクエストを受信する(ステップS501)。第1通信部201は、受信したHTTPリクエストを制御部202aに出力する。制御部202aは、HTTPリクエストに含まれるURIがAP認証用のURIであるか否か判定する(ステップS502)。AP認証用のURIではない場合(ステップS502−NO)、AP20aは処理を終了する。
FIG. 15 is a flowchart showing the flow of processing of the AP 20a in the second embodiment. In addition, in FIG. 15, the transmission process of the encryption random number of AP20a is demonstrated. That is, in FIG. 15, description of the authentication process of the AP 20 is omitted.
The first communication unit 201 receives the HTTP request transmitted from the communication device 10a (step S501). The first communication unit 201 outputs the received HTTP request to the control unit 202a. The control unit 202a determines whether or not the URI included in the HTTP request is a URI for AP authentication (step S502). When it is not the URI for AP authentication (step S502-NO), AP20a complete | finishes a process.

一方、AP認証用のURIである場合(ステップS502−YES)、制御部202aはHTTPリクエストに乱数が含まれているか否か判定する(ステップS503)。乱数が含まれない場合(ステップS503−NO)、AP20aは処理を終了する。
また、ステップS503の処理において、乱数が含まれている場合(ステップS503−YES)、制御部202aはHTTPリクエストを暗号化部209に出力する。
On the other hand, when the URI is for AP authentication (step S502—YES), the control unit 202a determines whether or not a random number is included in the HTTP request (step S503). If the random number is not included (step S503-NO), the AP 20a ends the process.
In the process of step S503, when a random number is included (step S503-YES), the control unit 202a outputs an HTTP request to the encryption unit 209.

また、制御部202aは、HTTPリクエストに乱数が含まれている場合、AP側証明情報記憶部205aに記憶されているAP側証明情報データベースに、HTTPリクエストの送信元である通信装置10aのMACアドレスが登録されたレコード70aを新たに作成する。次に、制御部202aは、HTTPリクエストから乱数の情報を取得する。そして、制御部202aは、取得した乱数の情報を、新たに作成したレコード70aの受信乱数の項目に、HTTPリクエストの送信元である通信装置10aのMACアドレスと対応付けて記録する。   Further, when a random number is included in the HTTP request, the control unit 202a stores the MAC address of the communication device 10a that is the transmission source of the HTTP request in the AP side certification information database stored in the AP side certification information storage unit 205a. Is newly created. Next, the control unit 202a acquires random number information from the HTTP request. Then, the control unit 202a records the acquired random number information in the item of the received random number of the newly created record 70a in association with the MAC address of the communication device 10a that is the transmission source of the HTTP request.

暗号化部209は、秘密鍵情報記憶部203に記憶されている秘密鍵の鍵情報と、HTTPリクエストに含まれる乱数とに基づいて、乱数を暗号化する(ステップS504)。暗号化部209は、暗号化乱数を制御部202aに出力する。
制御部202aは、HTTPレスポンスを生成する。HTTPレスポンスには、暗号化乱数が含まれる。制御部202aは、第1通信部201を介してHTTPリクエストの送信元である通信装置10aにHTTPレスポンスを送信する(ステップS505)。また、制御部202aは、暗号化乱数の情報を、HTTPリクエストの送信元である通信装置10aのMACアドレスと対応付けて、AP側認証情報テーブルの送信暗号化乱数の項目に記録する。
The encryption unit 209 encrypts the random number based on the key information of the secret key stored in the secret key information storage unit 203 and the random number included in the HTTP request (step S504). The encryption unit 209 outputs the encrypted random number to the control unit 202a.
The control unit 202a generates an HTTP response. The HTTP response includes an encrypted random number. The control unit 202a transmits an HTTP response to the communication device 10a that is the transmission source of the HTTP request via the first communication unit 201 (step S505). Also, the control unit 202a records the encrypted random number information in the item of the transmission encrypted random number in the AP side authentication information table in association with the MAC address of the communication device 10a that is the transmission source of the HTTP request.

図16及び図17は、第2実施形態におけるアクセスポイント証明システム100の動作を示すシーケンス図である。なお、図8及び9と同様の処理については、図16及び図17において図8及び9と同様の符号を付して説明を省略する。
ステップS306までの処理が終了すると、乱数生成部101は、生成した乱数を制御部105aに出力する。制御部105aは、HTTPリクエストを生成する。HTTPリクエストには、AP20a証明用のURI及び乱数が含まれる。通信部106は、生成されたHTTPリクエストをAP20aに送信する(ステップS601)。
16 and 17 are sequence diagrams showing the operation of the access point certification system 100 in the second embodiment. In addition, about the process similar to FIG.8 and 9, the code | symbol similar to FIG.8 and 9 is attached | subjected in FIG.16 and FIG.17, and description is abbreviate | omitted.
When the processing up to step S306 is completed, the random number generation unit 101 outputs the generated random number to the control unit 105a. The control unit 105a generates an HTTP request. The HTTP request includes a URI for AP20a certification and a random number. The communication unit 106 transmits the generated HTTP request to the AP 20a (step S601).

AP20の第1通信部201は、通信装置10aから送信されたHTTPリクエストを受信する。第1通信部201が受信したHTTPリクエストに含まれるURIがAP20aの証明用のURIであるため、制御部202aはHTTPリクエストを暗号化部209に出力する。暗号化部209は、出力されたHTTPリクエストに含まれる乱数を、秘密鍵情報記憶部203に記憶されている秘密鍵の鍵情報に基づいて暗号化する(ステップS602)。暗号化部209は、暗号化した乱数(暗号化乱数)を制御部202aに出力する。その後、制御部202aは、HTTPレスポンスを生成する。HTTPレスポンスには、出力された暗号化乱数が含まれる。第1通信部201は、生成されたHTTPレスポンスを、HTTPリクエストの送信元である通信装置10aに送信する(ステップS603)。   The first communication unit 201 of the AP 20 receives the HTTP request transmitted from the communication device 10a. Since the URI included in the HTTP request received by the first communication unit 201 is the URI for certification of the AP 20a, the control unit 202a outputs the HTTP request to the encryption unit 209. The encryption unit 209 encrypts the random number included in the output HTTP request based on the key information of the secret key stored in the secret key information storage unit 203 (step S602). The encryption unit 209 outputs the encrypted random number (encrypted random number) to the control unit 202a. Thereafter, the control unit 202a generates an HTTP response. The HTTP response includes the output encrypted random number. The first communication unit 201 transmits the generated HTTP response to the communication device 10a that is the transmission source of the HTTP request (step S603).

通信装置10aの通信部106は、AP20aから送信されたHTTPレスポンスを受信する。通信部106は、受信したHTTPレスポンスを制御部105aに出力する。HTTPレスポンスには、暗号化乱数が含まれているため、制御部105aはHTTPレスポンスを復号化部111に出力する。復号化部111は、HTTPレスポンスに含まれる暗号化乱数を、公開鍵情報記憶部102に記憶されている公開鍵の鍵情報に基づいて復号化する(ステップS604)。復号化部111は、復号化した乱数(復号化乱数)を判定部108aに出力する。判定部108aは、HTTPレスポンスに含まれる復号化乱数と、装置側認証情報データベースのレコード60aのうち、証明対象APのMACアドレスに対応するレコード60aの生成乱数の項目に記録されている値とが一致するか否か判定する(ステップS605)。
判定の結果、値が一致するため、判定部108aは自装置が接続しているAP20aが正当なアクセスポイントであると判定する。判定部108aは、判定結果を制御部105aに出力する。その後、ステップS313〜ステップS321までの処理が実行される。
The communication unit 106 of the communication device 10a receives the HTTP response transmitted from the AP 20a. The communication unit 106 outputs the received HTTP response to the control unit 105a. Since the HTTP response includes an encrypted random number, the control unit 105 a outputs the HTTP response to the decryption unit 111. The decryption unit 111 decrypts the encrypted random number included in the HTTP response based on the key information of the public key stored in the public key information storage unit 102 (step S604). The decryption unit 111 outputs the decrypted random number (decrypted random number) to the determination unit 108a. The determination unit 108a includes the decrypted random number included in the HTTP response and the value recorded in the generated random number item of the record 60a corresponding to the MAC address of the certification target AP in the device-side authentication information database record 60a. It is determined whether or not they match (step S605).
Since the values match as a result of the determination, the determination unit 108a determines that the AP 20a to which the own apparatus is connected is a valid access point. The determination unit 108a outputs the determination result to the control unit 105a. Thereafter, the processing from step S313 to step S321 is executed.

以上のように構成された第2実施形態におけるアクセスポイント証明システム100によれば、通信装置10aにて生成された乱数と、AP20aから暗号化されて通信装置10aにて復号化された乱数とが一致するか否かに応じてAP20aの証明が行われる。乱数の値が一致する場合、AP20aが正当なアクセスポイントであると判定される。一方、乱数の値が一致しない場合、AP20aが不当なアクセスポイントであると判定される。このように、AP20aの証明には乱数が使用され、乱数の値に応じた判定がなされる。したがって、証明のために高度な処理が不要となり、さらにAP20aの証明に証明書を利用する必要がない。そのため、コストを抑えつつ、容易にAP20aの証明を行うことが可能になる。その結果、なりすましAP(不当AP)による被害を軽減することができる。   According to the access point certification system 100 in the second embodiment configured as described above, a random number generated by the communication device 10a and a random number encrypted from the AP 20a and decrypted by the communication device 10a are provided. The AP 20a is proved depending on whether or not they match. If the random values match, it is determined that the AP 20a is a valid access point. On the other hand, if the random number values do not match, it is determined that the AP 20a is an unauthorized access point. In this way, a random number is used for proof of the AP 20a, and a determination is made according to the value of the random number. Therefore, advanced processing is not required for certification, and it is not necessary to use a certificate for certification of the AP 20a. Therefore, it is possible to easily prove the AP 20a while reducing the cost. As a result, it is possible to reduce the damage caused by the spoofed AP.

上述したように、本発明におけるアクセスポイント証明システム100では、従来にはなかったAPのなりすましを防ぐための証明方式を確立することが可能になる。このような証明方式を利用することで、証明の一般的な課題である証明書の発行や維持に関するコストを削減することができる。
また、通信装置10aには、AP20aが保有する秘密鍵の対となる公開鍵の鍵情報が記憶され、AP20aには通信装置10aが保有する公開鍵の対となる秘密鍵の鍵情報が記憶される。そして、暗号化及び復号化には、それぞれ公開鍵又は秘密鍵が使用される。したがって、不当APから暗号化されて送信される暗号化乱数を、通信装置10aでは復号することができない。この場合、通信装置10aは、自装置が接続しているAP20aが不当なアクセスポイントであると判断することができる。そのため、ユーザに不当なAPである旨を通知するなどすることで未然に被害の発生を防ぐことが可能になる。
As described above, in the access point certification system 100 according to the present invention, it is possible to establish a certification scheme for preventing impersonation of an AP, which has not been conventionally performed. By using such a proof method, it is possible to reduce costs related to the issuance and maintenance of certificates, which is a general problem of proof.
In addition, the communication device 10a stores key information of a public key that is a pair of secret keys held by the AP 20a, and the AP 20a stores key information of a secret key that is a pair of public keys held by the communication device 10a. The A public key or a secret key is used for encryption and decryption, respectively. Accordingly, the communication device 10a cannot decrypt the encrypted random number that is encrypted and transmitted from the unauthorized AP. In this case, the communication device 10a can determine that the AP 20a connected to the communication device 10a is an unauthorized access point. Therefore, it is possible to prevent the occurrence of damage by notifying the user that the AP is an unauthorized AP.

また、証明書を利用した場合、ユーザに通知される証明書のデータは固定値である。そのため、従来では、データ自体を偽造された場合、中間攻撃やなりすましが発生してしまうおそれがあった。しかし、本発明では、AP20aの証明に固定値ではなくランダムな値である乱数が用いられる。さらに、証明に用いられる値は、AP20a側からではなく通信装置10a側から送信される。そのため、証明に用いられるデータが偽造されてしまうおそれを軽減することが可能になる。
<変形例>
本実施形態では、図15のステップS502の処理において、HTTPリクエストにAP証明用のURIが含まれていない場合にはAP20aが処理を終了する構成を示したが、これに限定される必要はない。例えば、HTTPリクエストにAP証明用のURIが含まれていない場合、AP20aはAP証明用のURIの情報を通信装置10aに送信してもよい。
本実施形態では、図15のステップS503の処理において、HTTPリクエストに乱数が含まれていない場合にはAP20aが処理を終了する構成を示したが、これに限定される必要はない。例えば、HTTPリクエストに乱数が含まれていない場合、AP20aはHTTPレスポンスを応答しなくてもよいし、HTTPレスポンスに値(例えば、乱数)が格納されていない旨の通知を含めて通信装置10aに送信してもよい。
When a certificate is used, the certificate data notified to the user is a fixed value. Therefore, conventionally, when the data itself is forged, there is a risk that an intermediate attack or spoofing may occur. However, in the present invention, a random number that is not a fixed value but a random value is used for proof of the AP 20a. Further, the value used for the certification is transmitted from the communication device 10a side, not from the AP 20a side. Therefore, it is possible to reduce the risk that the data used for proof will be forged.
<Modification>
In the present embodiment, the configuration in which the AP 20a terminates the process when the HTTP request URI is not included in the HTTP request in the process of step S502 of FIG. 15 is not limited to this. . For example, when the HTTP request URI is not included in the HTTP request, the AP 20a may transmit the AP certificate URI information to the communication device 10a.
In the present embodiment, the configuration in which the AP 20a terminates the process when a random number is not included in the HTTP request in the process of step S503 in FIG. 15 is not necessarily limited to this. For example, when a random number is not included in the HTTP request, the AP 20a does not need to respond with an HTTP response, and includes a notification that a value (for example, a random number) is not stored in the HTTP response. You may send it.

以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。   The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes designs and the like that do not depart from the gist of the present invention.

10、10a…通信装置, 20(20−1〜20−3)、20a…AP, 30、30a…認証サーバ, 40…第1ネットワーク, 50…第2ネットワーク, 101…乱数生成部, 102…公開鍵情報記憶部, 103…暗号化部, 104…接続先情報記憶部, 105、105a…制御部, 106、106a…通信部, 107、107a…装置側証明情報記憶部, 108、108a…判定部, 109…入力部, 110…表示部, 201、201a…第1通信部, 202、202a…制御部, 203…秘密鍵情報記憶部, 204…復号化部(処理部), 205、205a…AP側証明情報記憶部, 206…認証情報記憶部, 207…第2通信部, 208…中継部, 209…暗号化部(処理部) DESCRIPTION OF SYMBOLS 10, 10a ... Communication apparatus, 20 (20-1-20-3), 20a ... AP, 30, 30a ... Authentication server, 40 ... 1st network, 50 ... 2nd network, 101 ... Random number generation part, 102 ... Release Key information storage unit, 103 ... Encryption unit, 104 ... Destination information storage unit, 105, 105a ... Control unit, 106, 106a ... Communication unit, 107, 107a ... Device side certification information storage unit, 108, 108a ... Determination unit , 109: input unit, 110: display unit, 201, 201a ... first communication unit, 202, 202a ... control unit, 203 ... secret key information storage unit, 204 ... decryption unit (processing unit), 205, 205a ... AP Proof information storage unit, 206 ... authentication information storage unit, 207 ... second communication unit, 208 ... relay unit, 209 ... encryption unit (processing unit)

Claims (8)

ユーザが操作する通信装置が接続するアクセスポイントが正当なアクセスポイントであるか否かの証明を行うためのアクセスポイント証明システムであって、
前記通信装置は、
前記アクセスポイントの証明に用いられる乱数を生成する乱数生成部と、
生成された乱数を自装置が接続するアクセスポイントに送信し、前記アクセスポイントから所定の処理が行なわれた乱数を受信する通信部と、
生成された乱数と、受信された乱数とに基づいて前記アクセスポイントが正当なアクセスポイントであるか否か判定する判定部と、
を備え、
前記アクセスポイントは、
前記通信装置から受信された乱数に所定の処理を行う処理部と、
前記通信装置から乱数を受信し、所定の処理が行なわれた乱数を前記通信装置に送信する通信部と、
を備えるアクセスポイント証明システム。
An access point certification system for certifying whether or not an access point connected to a communication device operated by a user is a valid access point,
The communication device
A random number generator for generating a random number used to prove the access point;
A communication unit that transmits the generated random number to an access point to which the device is connected, and receives a random number subjected to a predetermined process from the access point;
A determination unit that determines whether the access point is a valid access point based on the generated random number and the received random number;
With
The access point is
A processing unit that performs a predetermined process on the random number received from the communication device;
A communication unit that receives a random number from the communication device and transmits a random number subjected to a predetermined process to the communication device;
An access point certification system comprising:
前記通信装置は、
生成された前記乱数に暗号化を行う暗号化部をさらに備え、
前記通信装置の前記通信部は、暗号化された乱数である暗号化乱数を、証明の対象となるアクセスポイントに送信し、前記暗号化乱数が復号化された後の値である復号化乱数を前記証明の対象となるアクセスポイントから受信し、
前記処理部は、前記通信装置から送信された暗号化乱数を復号化し、
前記アクセスポイントの前記通信部は、復号化乱数を前記通信装置に送信する、請求項1に記載のアクセスポイント証明システム。
The communication device
An encryption unit for encrypting the generated random number;
The communication unit of the communication device transmits an encrypted random number that is an encrypted random number to an access point to be certified, and a decrypted random number that is a value after the encrypted random number is decrypted. Received from the access point to be certified,
The processing unit decrypts the encrypted random number transmitted from the communication device,
The access point certification system according to claim 1, wherein the communication unit of the access point transmits a decrypted random number to the communication device.
前記通信装置は、
証明の対象となるアクセスポイントから送信される、暗号化された乱数である暗号化乱数を復号化する復号化部をさらに備え、
前記処理部は、前記通信装置から送信された前記乱数を暗号化し、
前記アクセスポイントの前記通信部は、暗号化された乱数を前記通信装置に送信する、請求項1に記載のアクセスポイント証明システム。
The communication device
A decryption unit for decrypting an encrypted random number, which is an encrypted random number, transmitted from an access point to be certified;
The processing unit encrypts the random number transmitted from the communication device,
The access point certification system according to claim 1, wherein the communication unit of the access point transmits an encrypted random number to the communication device.
前記判定部は、生成された乱数と、復号化された乱数とが一致する場合に前記アクセスポイントが正当なアクセスポイントであると判定し、生成された乱数と、復号化された乱数とが一致しない場合に前記アクセスポイントが正当なアクセスポイントではないと判定する、請求項2又は3に記載のアクセスポイント証明システム。   The determination unit determines that the access point is a valid access point when the generated random number matches the decrypted random number, and the generated random number matches the decrypted random number. The access point certification system according to claim 2 or 3, wherein the access point is determined not to be a valid access point if not. ユーザが操作する通信装置が接続するアクセスポイントが正当なアクセスポイントであるか否かの証明を行うためのアクセスポイント証明システムにおける通信装置であって、
前記アクセスポイントの証明に用いられる乱数を生成する乱数生成部と、
生成された乱数を自装置が接続するアクセスポイントに送信し、前記アクセスポイントから所定の処理が行なわれた乱数を受信する通信部と、
生成された乱数と、受信された乱数とに基づいて前記アクセスポイントが正当なアクセスポイントであるか否か判定する判定部と、
を備える通信装置。
A communication device in an access point certification system for certifying whether or not an access point connected by a communication device operated by a user is a valid access point,
A random number generator for generating a random number used to prove the access point;
A communication unit that transmits the generated random number to an access point to which the device is connected, and receives a random number subjected to a predetermined process from the access point;
A determination unit that determines whether the access point is a valid access point based on the generated random number and the received random number;
A communication device comprising:
ユーザが操作する通信装置が接続するアクセスポイントが正当なアクセスポイントであるか否かの証明を行うためのアクセスポイント証明システムにおけるアクセスポイントであって、
前記通信装置から受信された乱数に所定の処理を行う処理部と、
前記通信装置から乱数を受信し、所定の処理が行なわれた乱数を前記通信装置に送信する通信部と、
を備えるアクセスポイント。
An access point in an access point certification system for certifying whether an access point connected by a communication device operated by a user is a valid access point,
A processing unit that performs a predetermined process on the random number received from the communication device;
A communication unit that receives a random number from the communication device and transmits a random number subjected to a predetermined process to the communication device;
Access point with
ユーザが操作する通信装置が接続するアクセスポイントが正当なアクセスポイントであるか否かの証明を行うためのアクセスポイント証明システムにおけるアクセスポイント証明方法であって、
前記通信装置が、前記アクセスポイントの証明に用いられる乱数を生成する乱数生成ステップと、
前記通信装置が、生成された乱数を自装置が接続するアクセスポイントに送信し、前記アクセスポイントから所定の処理が行なわれた乱数を受信する通信ステップと、
前記通信装置が、生成された乱数と、受信された乱数とに基づいて前記アクセスポイントが正当なアクセスポイントであるか否か判定する判定ステップと、
前記アクセスポイントが、前記通信装置から受信された乱数に所定の処理を行う処理ステップと、
前記アクセスポイントが、前記通信装置から乱数を受信し、所定の処理が行なわれた乱数を前記通信装置に送信する通信ステップと、
を有するアクセスポイント証明方法。
An access point verification method in an access point verification system for verifying whether an access point to which a communication device operated by a user is connected is a valid access point,
The communication device generates a random number used to prove the access point;
A communication step in which the communication device transmits the generated random number to an access point to which the device is connected, and receives a random number subjected to a predetermined process from the access point;
A determination step for determining whether the access point is a valid access point based on the generated random number and the received random number;
A processing step in which the access point performs a predetermined process on the random number received from the communication device;
A communication step in which the access point receives a random number from the communication device and transmits a random number subjected to a predetermined process to the communication device;
An access point certification method.
ユーザが操作する通信装置が接続するアクセスポイントが正当なアクセスポイントであるか否かの証明を行うためのアクセスポイント証明システムとして、前記通信装置に相当する第一のコンピュータ及び前記アクセスポイントに相当する第二のコンピュータを動作させるためのコンピュータプログラムであって、
前記第一のコンピュータに対し、
前記アクセスポイントの証明に用いられる乱数を生成する乱数生成ステップと、
生成された乱数を自装置が接続するアクセスポイントに送信し、前記アクセスポイントから所定の処理が行なわれた乱数を受信する通信ステップと、
生成された乱数と、受信された乱数とに基づいて前記アクセスポイントが正当なアクセスポイントであるか否か判定する判定ステップと、
を実行させ、
前記第ニのコンピュータに対し、
前記通信装置から受信された乱数に所定の処理を行う処理ステップと、
前記通信装置から乱数を受信し、所定の処理が行なわれた乱数を前記通信装置に送信する通信ステップと、
を実行させるためのコンピュータプログラム。
Corresponding to a first computer corresponding to the communication device and the access point as an access point proof system for verifying whether or not the access point to which the communication device operated by the user is connected is a valid access point A computer program for operating a second computer,
For the first computer,
A random number generating step for generating a random number used to prove the access point;
A communication step of transmitting the generated random number to an access point to which the device is connected and receiving a random number subjected to a predetermined process from the access point;
A determination step of determining whether the access point is a valid access point based on the generated random number and the received random number;
And execute
For the second computer,
A processing step of performing a predetermined process on the random number received from the communication device;
A communication step of receiving a random number from the communication device and transmitting a random number subjected to a predetermined process to the communication device;
A computer program for running.
JP2014111558A 2014-05-29 2014-05-29 Access point certification system, communication device, access point, access point certification method, and computer program Pending JP2015226267A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014111558A JP2015226267A (en) 2014-05-29 2014-05-29 Access point certification system, communication device, access point, access point certification method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014111558A JP2015226267A (en) 2014-05-29 2014-05-29 Access point certification system, communication device, access point, access point certification method, and computer program

Publications (1)

Publication Number Publication Date
JP2015226267A true JP2015226267A (en) 2015-12-14

Family

ID=54842736

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014111558A Pending JP2015226267A (en) 2014-05-29 2014-05-29 Access point certification system, communication device, access point, access point certification method, and computer program

Country Status (1)

Country Link
JP (1) JP2015226267A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10638323B2 (en) 2016-03-14 2020-04-28 Fujitsu Limited Wireless communication device, wireless communication method, and computer readable storage medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009253429A (en) * 2008-04-02 2009-10-29 Funai Electric Co Ltd Access point and wireless communication system equipped with the same
JP2010263310A (en) * 2009-04-30 2010-11-18 Lac Co Ltd Wireless communication device, wireless communication monitoring system, wireless communication method, and program
WO2011152084A1 (en) * 2010-05-31 2011-12-08 株式会社日立製作所 Efficient mutual authentication method, program, and device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009253429A (en) * 2008-04-02 2009-10-29 Funai Electric Co Ltd Access point and wireless communication system equipped with the same
JP2010263310A (en) * 2009-04-30 2010-11-18 Lac Co Ltd Wireless communication device, wireless communication monitoring system, wireless communication method, and program
WO2011152084A1 (en) * 2010-05-31 2011-12-08 株式会社日立製作所 Efficient mutual authentication method, program, and device

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6015034177; 新山 祐介: 入門OpenSSH 第1版, 20060701, pp.25-26, 株式会社秀和システム *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10638323B2 (en) 2016-03-14 2020-04-28 Fujitsu Limited Wireless communication device, wireless communication method, and computer readable storage medium

Similar Documents

Publication Publication Date Title
TWI599257B (en) Method for automatically establishing wireless connection, gateway device and client device using the same
ES2836114T3 (en) Information sending method, information reception method, device and system
US10742626B2 (en) Method for key rotation
JP6399382B2 (en) Authentication system
CN103733599A (en) Apparatus and method for supporting family cloud in cloud computing system
TWI581599B (en) Key generation system, data signature and encryption system and method
CN102577301A (en) Method and apparatus for trusted authentication and logon
JP5380583B1 (en) Device authentication method and system
JP4489601B2 (en) Security information exchange method, recorder apparatus, and television receiver
KR20130031435A (en) Method and apparatus for generating and managing of encryption key portable terminal
US20210329462A1 (en) Method and device to establish a wireless secure link while maintaining privacy against tracking
WO2019037350A1 (en) Router and method for generating guest network password of router and system
JP5391766B2 (en) Authentication method, authentication system, server device, and client device
JP2012181716A (en) Authentication method using color password and system
Peeters et al. n-auth: Mobile authentication done right
JP2015226267A (en) Access point certification system, communication device, access point, access point certification method, and computer program
CN106714158B (en) WiFi access method and device
KR102171377B1 (en) Method of login control
WO2015124798A2 (en) Method &amp; system for enabling authenticated operation of a data processing device
WO2016003310A1 (en) Bootstrapping a device to a wireless network
KR20130041033A (en) Method and apparatus for generating and managing of encryption key portable terminal
JP7060751B1 (en) Data sharing device and data sharing method
JP5894956B2 (en) Image forming apparatus, server, and document printing management system
WO2020100235A1 (en) Information processing method, information processing program, information processing device, and information processing system
JP6641503B2 (en) Communication device, electric device, terminal, communication method and program

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151026

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160315