JP3961462B2 - コンピュータ装置、無線lanシステム、プロファイルの更新方法、およびプログラム - Google Patents

コンピュータ装置、無線lanシステム、プロファイルの更新方法、およびプログラム Download PDF

Info

Publication number
JP3961462B2
JP3961462B2 JP2003283094A JP2003283094A JP3961462B2 JP 3961462 B2 JP3961462 B2 JP 3961462B2 JP 2003283094 A JP2003283094 A JP 2003283094A JP 2003283094 A JP2003283094 A JP 2003283094A JP 3961462 B2 JP3961462 B2 JP 3961462B2
Authority
JP
Japan
Prior art keywords
profile
computer device
user
information
administrator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003283094A
Other languages
English (en)
Other versions
JP2005051625A (ja
Inventor
純一 麻生
レイ ラタン
エス ラオ スダム
ビー アローン ビジェイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2003283094A priority Critical patent/JP3961462B2/ja
Priority to US10/898,634 priority patent/US20050050318A1/en
Publication of JP2005051625A publication Critical patent/JP2005051625A/ja
Application granted granted Critical
Publication of JP3961462B2 publication Critical patent/JP3961462B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access, e.g. scheduled or random access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Description

本発明は、外部との通信を行うコンピュータ装置等に係り、より詳しくは、無線LANに接続可能なコンピュータ装置等に関する。
ノートブック型パーソナルコンピュータ(ノートPC)に代表されるコンピュータ装置では、NIC(Network Interface Card)やLANアダプタ等と呼ばれるインタフェース機器によってLAN(Local Area Network)等のネットワークに接続することが可能である。ネットワークに接続されるインタフェースとしては、最初はモデム、そして現在はトークンリング(Token-Ring)や、イーサネット(Ethernet、登録商標)等の有線の通信が主流であるが、今後は、ケーブル配線の煩わしさ等を回避する上で、更に、ノートPCや、携帯電話、PDA等の移動体端末の急速な発展に伴い、無線(ワイヤレス:Wireless)LANの普及が見込まれている。
このように、無線LANの急速な普及が見込まれているが、従来の有線LANで確保されていたセキュリティレベルを無線LANにて確保することが重要となる。即ち、無線LANの場合には、送信データは電波を使って空中にブロードキャストされる。そのために、送信デバイスであるアクセスポイントのサービスエリア内にあるどのクライアントPCであっても、そのデータを受信することが可能となる。そこで、IEEE802.11b規格では、セキュリティに関する幾つかの仕組みが準備されている。
IEEE802.11bで準備されているセキュリティの仕組みとしては、まずSSID(Service Set Identifier)がある。SSIDは、無線LANサブシステムのデバイスに付けられる共通のネットワーク名であり、そのサブシステムを論理的に分割する際に用いられる。このSSIDでは、クライアントとアクセスポイントに、任意(最大32文字)のコードが設定される。アクセスポイントは、同一のコードが設定されたクライアントのみ通信を許容するように構成することができる。また、他の仕組みとして、MAC(Media Access Control:メディアアクセス制御)アドレスフィルタリングがある。このMACアドレスフィルタリングでは、アクセスポイントにクライアント機器(カード)のMACアドレスを登録することにより、MACアドレスを持つ機器以外の機器からのアクセスをフィルタリングし、アクセスポイントへの不正侵入を防ぐことができる。更に、他の仕組みとして、WEP(Wired Equivalent Privacy)がある。このWEPは、RC4という技術で、暗号キー(40bitと128bit)を使って無線区間を暗号化することで、同じ暗号キーを持たない機器からの不正アクセスを防止することができ、第三者による無線パケットの傍受による情報漏洩を防ぐことができる。
しかしながら、IEEE802.11b環境では、セキュリティに幾つかの不安要素が存在する。例えば、SSIDは、一定間隔で発信するビーコンの中で自分のSSIDをブロードキャストするようにセットされていることから、必ずしもセキュアなものとは言い難い。また、MACアドレスフィルタリングでは、MACアドレスが手入力であるとともに、カードの盗難・紛失による「なりすまし」の懸念がある。更に、WEPでは、アクセスポイントとクラアント群が同じ鍵(Shared Key)を共用しており、その解読は簡単でないものの、より強固なセキュリティの必要性が高まっている。
そこで、IEEE802.11b環境におけるセキュリティの不安要素を払拭するために、より高度なセキュリティを確保するIEEE802.1x環境の構築技術が検討されている。このIEEE802.1x環境では、RADIUS(Remote Authentication Dial-In User Service)サーバなどの認証サーバが別個に設けられる。かかる環境下にて無線LAN接続を行うためには、ユーザ(クライアント)は、認証サーバとの間で、例えばEAP(Extensible Authentication Protocol)をベースとする認証を行う必要がある。この無線LAN環境に用いられる認証サーバは、セッション毎にWEPの暗号キーを使用し、各クライアントとともに動作してアクセスを認証するサーバである。このような認証サーバを設けることで、ユーザIDとパスワードで認証されたユーザのみログ・インすることを認めることが可能となる。その結果、ハードウェアの紛失や盗難による「なりすまし」を回避することができ、より強固なセキュリティ対策となり得る。また、LEAP(Light EAP)などの多様なセキュリティプロトコルを採用することもできる。
尚、従来の公報記載技術として、IEEE802.11で規定された共通鍵認証方式を拡張してMACアドレス認証を行うことで、多数のユーザ端末(Station)におけるMACアドレス認証を可能とし、また、WEPの共通鍵に使用期限を設けることで安全性を高め、更に、認証サーバからの指示でMACアドレステーブルを動的に更新することで、認証サーバの障害直前までのMACアドレス情報を利用して認証を可能とするものが存在する(例えば、特許文献1参照。)。
特開2001−111544号公報(第4−6頁、図2)
このように、上述したような従来技術や、特許文献1のように、認証サーバを設けることで、セキュリティレベルを高めることが可能である。しかしながら、認証サーバによるセキュリティの強化は、例えば大企業のように充分な資力を有する組織に限られる場合が少なくない。例えば中小企業、小規模オフィスや法律事務所などの規模の小さい無線ネットワーク環境では、資金不足の点や人材が不足している点等から、かかる認証サーバを設置することが困難な場合がある。このような認証サーバを有さない小さな無線ネットワーク環境においても、充分なセキュリティを確保することが望まれている。
また、認証サーバによるユーザ管理機能を無線LANシステムに搭載した場合には、無線LAN機器には実装されていないユーザIDとパスワードとをその度ごとに登録することが必要となる。これは、ネットワーク管理者に対して大きな負荷になると共に、人材の不足している中小企業、小規模オフィスなどでは、これらの登録が適切に行われないことから、安全性を充分に確保することができない。
本発明は、以上のような技術的課題を解決するためになされたものであって、その目的とするところは、ネットワーク管理者による無線LANのセキュアなデータ設定等にかかる作業を大幅に軽減することにある。
また他の目的は、無線ネットワーク環境下において、許可されていないユーザに無線LANプロファイルが使用されることを簡易な構成を用いて防止することにある。
更に他の目的は、プロファイルの更新および有効期限の設定等により、より安全性を高めた無線ネットワーク環境を提供することにある。
また更に他の目的は、無線LANプロファイルの暗号化および復号化について、ユーザの介在を必要としないアルゴリズムを提供することにある。
また他の目的は、例えば、アクセスポイントを管理する管理者PCによるプロファイルの更新を可能とすることにある。
かかる目的のもと、本発明は、所定のアクセスポイントを介して無線通信を可能とするコンピュータ装置であって、アクセスポイントの設定を管理する管理者側コンピュータ装置にて作成され、無線通信のセキュリティ情報および自らの識別情報を含むプロファイルを、プロファイル取得手段にて管理者側コンピュータ装置から取得する。条件判断手段では、このプロファイル取得手段により取得されたプロファイルを復号化し、管理者側コンピュータ装置の指定した条件を満たすか否かを、復号化されたプロファイルに基づいて判断する。そして、この条件判断手段により条件を満たすと判断される場合に、設定手段にて、このプロファイルを用いて無線通信の設定を行う。ここで、「プロファイル」は、各種設定情報の集まりであり、本発明では、無線LANの各種設定情報の集まりである「無線LANプロファイル」について、単に「プロファイル」と表現している。以下同様である。この条件判断手段は、自らが有する識別情報とプロファイルに含まれる識別情報とを比較して一致した場合に、自らが条件を満たす装置であると判断することができる。
また、更新要求出力手段は、プロファイル取得手段により取得されたプロファイルの更新要求を、管理者側コンピュータ装置に対して出力している。ここで、プロファイル取得手段は、有効期限情報を含むプロファイルを取得し、この更新要求出力手段は、プロファイル取得手段により取得されたプロファイルに含まれる有効期限情報に基づいてプロファイルの更新要求を出力することを特徴とすれば、例えば、ネットワーク管理者による作業の大幅な軽減と共に、無線LAN環境下における安全性をより高めることができる。
この条件判断手段により判断される識別情報は、自身のマシンシリアルナンバーおよび/または自身のMACアドレスとすることも可能である。
一方、本発明は、ユーザ側コンピュータ装置が無線通信を行うためのアクセスポイントの設定を管理するコンピュータ装置であって、無線LAN環境下にあって無線通信を行うユーザ側コンピュータ装置から更新要求があるプロファイルを取得するプロファイル取得手段と、このプロファイル取得手段により取得されたプロファイルに対して更新処理を行う更新処理手段と、この更新処理手段により更新処理がなされた新たなプロファイルを暗号化し、ユーザ側コンピュータ装置に対して出力する出力手段とを含む。プロファイルには、無線通信のセキュリティ情報およびユーザ側コンピュータの識別情報を含む。より詳しくは、この更新処理手段は、新たな暗号化キー情報、有効期限の情報、およびアクセスを許可するアクセスポイントの情報の少なくとも何れか1つを含む新たなプロファイルを生成して更新処理を行うことを特徴とすることができる。
更に、本発明が適用される無線LANシステムは、無線LAN環境下におけるネットワークの接続点であるアクセスポイントと、このアクセスポイントに対する無線通信の設定を管理する管理者側コンピュータ装置と、アクセスポイントを介して無線LAN通信を実行するユーザ側コンピュータ装置とを含む。このユーザ側コンピュータ装置は、管理者側コンピュータ装置に対して自らの固有な情報を送出し、管理者側コンピュータ装置は、受け取った固有な情報を含む無線通信を実行するためのプロファイルを暗号化して、ユーザ側コンピュータ装置に送出する。そして、このユーザ側コンピュータ装置は、受け取ったプロファイルを復号化し、復号化したプロファイルに基づいて、管理者側コンピュータ装置の指定した条件を自らが満たすか否かを判断し、条件を満たす場合にこのプロファイルを用いて無線LAN通信の設定を行うことを特徴とすることができる。
また、本発明は、コンピュータ装置が無線通信を行うための設定情報を含むプロファイルの更新方法として把握することができる。このプロファイルの更新方法では、コンピュータ装置のセキュリティ情報および自らの識別情報を含むプロファイルを所定の記憶媒体から読み込むステップと、読み込んだプロファイルに、プロファイルの更新要求に関する情報を含めて更新要求のためのプロファイルを生成するステップと、読み込まれたセキュリティ情報を用いて更新要求のためのプロファイルを暗号化するステップと、暗号化された更新要求のためのプロファイルをアクセスポイントに対する無線通信の設定を管理する管理者側のコンピュータ装置に送出するステップとを含む。
尚、本発明は、所定の無線ネットワークに接続して通信を行うユーザ側のコンピュータ装置がこれらの各機能を実現可能に構成されたプログラムとして、また、アクセスポイントを管理する管理者側のコンピュータ装置が各機能を実現可能に構成されたプログラムとして把握することができる。このプログラムをコンピュータ装置に対して提供する際に、例えばノートPCにインストールされた状態にて提供される場合の他、コンピュータ装置に実行させるプログラムをコンピュータ装置が読取可能に記憶した記憶媒体にて提供する形態が考えられる。この記憶媒体としては、例えばDVDやCD−ROM媒体等が該当し、DVDやCD−ROM読取装置等によってプログラムが読み取られ、フラッシュROM等にこのプログラムが格納されて実行される。また、これらのプログラムは、例えば、プログラム伝送装置によってネットワークを介して提供される形態がある。
具体的には、本発明が適用されるプログラムは、無線LAN通信を行うユーザ側のコンピュータ装置に、所定の記憶媒体から無線通信のセキュリティ情報および自らの識別情報を読み込む機能と、無線LAN通信におけるアクセスポイントの設定を管理する管理者側コンピュータ装置により暗号化された無線通信のためのセキュリティ情報および自らの識別情報を含むプロファイルを管理者側コンピュータ装置から取得する機能と、取得したプロファイルに含まれるセキュリティ情報および識別情報を復号化する機能と、復号化された識別情報と記憶媒体から読み込まれた識別情報とを比較し、一致した場合に復号化されたセキュリティ情報を用いて無線通信の設定を行う機能とを実現させる。更に、このコンピュータ装置に、プロファイルの状態を監視する機能と、監視された状態によりプロファイルの更新が必要であるか否かを判断する機能と、更新が必要と判断される場合に、プロファイルの更新要求を管理者側コンピュータ装置に対して出力する機能とを実現させることを特徴とすることができる。ここで、このプロファイルの更新要求を管理者側コンピュータ装置に対して出力する機能は、更新要求に関する情報を含むプロファイルを、記憶媒体から読み込まれた情報に基づいて暗号化して出力することを特徴とすることができる。
また、本発明が適用されるプログラムは、ユーザ側コンピュータ装置が無線通信を行うためのアクセスポイントの設定を管理するコンピュータ装置に、無線通信のセキュリティ情報およびユーザ側コンピュータ装置の識別情報を含み、ユーザ側コンピュータ装置から更新要求があるプロファイルを取得する機能と、取得されたプロファイルに対して更新処理が必要か否かを判断する機能と、更新処理が必要と判断された場合に更新処理をして新たなプロファイルを生成する機能と、生成された新たなプロファイルを暗号化してユーザ側コンピュータ装置に出力する機能とを実現させる。ここで、生成される新たなプロファイルは、新たな暗号化キー情報、有効期限の情報、およびアクセスを許可するアクセスポイントの情報の少なくとも何れか1つを含むことを特徴としている。
本発明によれば、例えば、ネットワーク管理者による安全性確保のための作業を大幅に軽減することが可能となる。
以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。
図1は、本実施の形態が適用される無線LANのシステム構成を示した図である。ここでは、無線LANのネットワークを管理する管理者側のPC(パーソナルコンピュータ)である管理者PC1、無線LANを利用するクライアント側のPCであるユーザPC2、ネットワークのサービス提供者が利用者のために用意した接続点であるアクセスポイント3が備えられている。本実施の形態では、非常に安全性の高い無線LAN環境を提供しているにも関わらず、認証サーバを必要としていない点に特徴がある。
管理者PC1は、アクセスポイント3に対して、セキュリティコントロールのためのアクセスポイント用セキュアデータを更新する。本実施の形態における無線LAN環境を実現するにあたり、まず、ユーザPC2は、例えばイーサネットなどの有線ネットワークや所定の無線ネットワークを介して、ユーザPC2のマシン(装置)ユニーク情報を管理者PC1に対して送出する。マシンユニーク情報を受信した管理者PC1は、ユーザPC2に対して無線ネットワークの使用を許可する場合に、アクセスポイント3のキー(鍵)のデータ等を作成し、暗号化された無線LANプロファイル(以下、単に「プロファイル」と呼ぶ場合がある。)としてユーザPC2に送出する。ここで、「プロファイル」とは、各種設定情報の集まりであり、「無線LANプロファイル」の情報としては、固定WEPキーやWPA PSK(WiFi Protect Access Pre-shared Key)などがある。プロファイルの送出は、無線LANの開始前では、有線ネットワークを介して実施され、ユーザPC2が無線LANの使用を開始した後の更新時には、例えばアクセスポイント3を介して無線LANに送出することができる。但し、プロファイルの送出方法は特に限定されない。無線LANプロファイルを受信したユーザPC2は、展開用のプロファイルを用いて、アクセスポイント3に対して接続を開始する。
次に、管理者PC1およびユーザPC2の構成について説明する。
図2は、本実施の形態が適用される管理者PC1およびユーザPC2のハードウェア構成を説明するためのブロック図である。管理者PC1とユーザPC2とは、同様なハードウェア構成によって、各機能を実現することができる。ここでは、発明の理解を容易にするために、無線LANのネットワークシステムを構築するために用いられるハードウェア構成を限定して示している。コンピュータ装置を実現するための一般的なハードウェア構成については、他のものと同様である。管理者PC1は、デスクトップ型PCやノートPCで構成することができる。無線LANの機能としては、無線LANカードが挿入される場合の他、システム本体の筐体内に無線LAN用のボードが設けられる場合もある。ユーザPC2は、移動体端末としてのコンピュータ装置である場合が多く、例えば、ノートPCやPDA、携帯電話等で構成される。
この図2は、管理者PC1またはユーザPC2のシステム本体20に、無線LANカード30が接続されて無線端末として機能させる場合を例に挙げている。システム本体20は、コンピュータ装置全体の頭脳として機能しOSの制御下でユーティリティプログラム等の各種プログラムを実行するCPU21を備えている。また、アプリケーションプログラムを含む各種プログラム(命令)をCPU21に供給するとともに、データの一次記憶等の役割を担う主記憶であるメモリ22を備えている。このCPU21は、例えばPCI(Peripheral Component Interconnect)バス等のシステムバス25を介して、各周辺装置と相互接続されている。本実施の形態では、ユーザPC2における自分自身の固有情報が、記憶媒体であるメモリ22上で、プログラムによって動的に生成される。より詳しくは、OSの提供するAPI(Application Program Interface)などを通じて、プログラムから読み出されている。この動的に生成された固有情報を記憶媒体であるメモリ22から読み込むことが可能である。
システム本体20は、各種プログラムやデータ等が格納される記憶媒体であるハードディスクドライブ(HDD)28を周辺装置として備えている。そして、システムバス25には、このハードディスクドライブ28を制御するハードディスクコントローラ27が接続されている。また、システムバス25には、図示しない、例えばミニPCIスロットやPCカードスロットが接続され、これらのスロットに、例えばミニPCI規格等に準拠した無線LANカード30が装着可能(接続可能)に構成されている。ユーザPC2としてシステム本体が利用される場合に、本実施の形態では、記憶媒体の一つであるハードディスクドライブ28に、管理者PC1から取得したプロファイルのセキュリティ情報と、メモリ22から読み込まれた自らの固有情報とが一致した際のプロファイルが保管される。即ち、このハードディスクドライブ28には、無線LANに関する設定情報が結果として保存される。
無線LANカード30には、ノートPC等が置かれた環境下にてアクセスポイント3と無線(ワイヤレス)通信を行うRFアンテナ33が一体的に設けられている。尚、RFアンテナ33は、この無線LANカード30と一体的に設けられる場合以外に、例えば、図示しないアンテナコネクタを介して同軸ケーブルによってRF(Radio Frequency)信号が伝播されるように構成し、例えばノートPCの筐体内部に設けられたダイバーシティアンテナ等によってアクセスポイント3と無線通信を行うように構成することも可能である。
無線LANカード30は、データ・リンク・レイヤ・プロトコルの下層サブレイヤであるMAC(Media Access Control)レイヤにてCPU21とのインタフェースを有するMACコントローラ31と、国際規格IEEE802.11bにおける2.4GHz帯、もしくは国際規格IEEE802.11aにおける5GHz帯の無線LANをサポートするRF部(無線通信用高周波回路部)32とを備えている。これらによって、無線LANカード30が接続されたシステム本体20は、CPU21の制御のもと、RFアンテナ33を介してアクセスポイント3との通信が可能となる。
本実施の形態では、図2に示すようなシステム構成にて、無線LANカード30を用いてアクセスポイント3への接続を行う際に利用する暗号化キー(WEP、WPA−PSKなど、以下、単に「キー」と呼ぶ場合がある。)を、定期的にかつ安全に管理者PC1やユーザPC2などのPCに設定、更新を行うためのソフトウェア手法を提案している。管理者PC1やユーザPC2がアクセスポイント3と通信を行う際に所定の暗号化キーが利用されるが、その暗号化キーは、例えばハードディスクドライブ28から読み出され、メモリ22上でソフトウェアにより処理される。また、この暗号化キーは、802.11に準拠した無線LANカード30の内部で、データの送受信を行う際、暗号化したデータを作成するためのマスター・キーとなる。必要に応じてこのマスター・キーを定期的に更新することによって、アクセスポイント3に対する第三者の不正なアクセスと、ネットワークへの第三者の侵入を防止している。
次に、本実施の形態によって実現されるソフトウェアの内容について説明する。
図3は、管理者PC1における処理機能を説明するための図である。ここでは、デバイス(無線LANカード30)を管理するソフトウェアであるデバイスドライバ51、例えばハードディスクドライブ28をハードウェア資源として、無線LANのネットワークシステムに含まれる各種ユーザPC2の情報が格納される管理情報格納部66、CPU21にて実行されるアプリケーションプログラムであって、更新要求のある無線LANプロファイルの更新データの作成等を実行する管理者側アプリケーション60を備えている。
管理者側アプリケーション60は、ユーザPC2からの暗号化されたパケット(プロファイル)を取得し、また、自ら暗号化したパケット(プロファイル)を出力するプロファイル取得・出力部61、プロファイルを暗号化し、または復号化するプロファイル暗号・復号部62を備えている。また、取得したプロファイルに対してセキュリティチェックを行うセキュリティチェック部63、取得したプロファイルの有効期限を確認するプロファイル有効期限確認部64、新たなプロファイルデータを作成する更新プロファイル作成部65を有している。
管理者PC1では、プロファイル取得・出力部61にて、ユーザPC2から更新要求を含むプロファイルを取得する。取得したプロファイルは、プロファイル暗号・復号部62にて、管理情報格納部66に格納された暗号化キーを用いて復号化される。復号化されたプロファイルは、セキュリティチェック部63にてセキュリティチェックがなされ、また、プロファイル有効期限確認部64にて有効期限の確認がなされる。その後、データ更新が必要である場合には、更新プロファイル作成部65にて、更新されたプロファイルが生成され、プロファイル暗号・復号部62にて暗号化がなされた後、プロファイル取得・出力部61を経てデバイスドライバ51を介し、無線LANカード30を用いてユーザPC2に返送される。また、作成された更新プロファイルの内容は、管理情報格納部66に格納される。
図4は、ユーザPC2における処理機能を説明するための図である。ここでは、管理者PC1と同様に、デバイスである無線LANカード30を管理するソフトウェアであるデバイスドライバ51が設けられている。また、例えば記憶媒体の一つであるハードディスクドライブ28をハードウェア資源とし、自らの無線LANプロファイル等の各種情報が格納される情報格納部77を有している。また、CPU21にて実行されるアプリケーションプログラムとして、ユーザ側アプリケーション70が設けられている。
このユーザ側アプリケーション70は、管理者PC1からの暗号化されたパケット(プロファイル)を取得し、また、自ら暗号化したパケット(プロファイル)を出力するプロファイル取得・出力部71、プロファイルを暗号化し、または復号化するプロファイル暗号・復号部72を備えている。また、取得したプロファイルに含まれる、管理者PC1が指定した条件を自らが満たすか否かを判断する条件判断部73、条件判断部73の判断により条件を満たす場合に、このプロファイルを用いてアクセスポイント3への接続を行う通信設定部74を有している。更に、使用しているプロファイルの適用状況、状態を監視する状態監視処理部75、プロファイルをユーザPC2に取り込み、情報格納部77に格納されているプロファイルデータを更新するデータ更新処理部76を備えている。
即ち、このデータ更新処理部76は、アクセスポイント3の設定を管理する管理者PC1にて作成されたワイヤレスLANのセキュリティ情報(WEP、WPA−PSKなど)を含むプロファイルを、利用するユーザPC2の中に取り込ませるための処理を行っている。その際、ユーザ側アプリケーション70では、管理者PC1が指定したPCだけが動作するように、管理者PC1から渡され暗号化されたプロファイルについて、プロファイル暗号・復号部72にて復号化がなされる。そして、条件判断部73は、復号化されたプロファイルに基づいて、自らが管理者PC1が指定した条件を満たすPCであるかどうかを、例えば自らの識別情報を読み出して検査する。そして、妥当性がある場合にのみ、通信設定部74によって、そのプロファイルが利用されて無線通信が設定される。
状態監視処理部75は、現在、ユーザPC2が利用している無線LANプロファイルについて、有効期限(Valid Date)切れなどの状態が発生するか否かを監視している。この状態監視処理部75によって有効期限切れなどの状態発生が検知された場合に、データ更新処理部76は、無線LANのセキュリティデータ(WEPキー、WPA−PSKのパスワード情報など)を、現在利用しているユーザPC2の情報格納部77から取り込み、送出する日時を示す情報を更新要求の情報として含めて、プロファイルを生成する。生成されたプロファイルは、プロファイル暗号・復号部72によって暗号化され、プロファイル取得・出力部71を経て管理者PC1に渡される。
一方、通信設定部74は、管理者PC1から取得され、妥当性が検査された無線LANプロファイルを用いて、無線LANのデバイスドライバ51にその設定情報を渡し、アクセスポイント3への接続を行う。その際に、状態監視処理部75は、プロファイルに指定された特定のアクセスポイント3のみに限定した接続かどうかの検査や、プロファイルの有効期限などを検査する。また、ユーザPC2では、管理者PC1が更新したWEPキーなどをプロファイル取得・出力部71にて受け取り、プロファイル暗号・復号部72による復号化、条件判断部73による判定を経て、プロファイルに妥当性があるか否かが判断される。妥当性がある場合に、通信設定部74は、そのプロファイルの情報を利用して各種設定を行い、無線LANカード30を用いてアクセスポイント3への接続を可能としている。
次に、無線LANプロファイルの生成フローについて説明する。
図5(a)〜(d)は、ユーザPC2にて実行される処理として、管理者PC1に送出される暗号化パケットの生成方法を説明するための図である。図5(a)では、ユーザPC2のユーザ側アプリケーション70によって、日時情報と、情報格納部77からマシンシリアルナンバーが取り入れられる。また、無線LANが利用できるホットスポット(Hotspot)のユーザである場合には、入力された無線LANのユーザIDとパスワードなどがユーザPC2の固有情報として取り込まれる。
現在、所定のキーを使用している場合には、図5(b)に示すように、WEPを利用するためのキーの番号(Key#)、ネットワークのMACアドレス、現在使われている有効な暗号化キーの情報(例えば128ビットの暗号化キー)、アクセスポイント3のネットワーク名(SSID:Service Set Identification)が読み込まれる。その後、図5(c)に示すように、現在使われているWEPあるいはWPA−PSKの暗号化キーおよび固定のキーの組み合わせをハッシュキーとして用いて、図5(a)および図5(b)に示したパケットの内容が暗号化される。暗号化パケットを生成するためのハッシュアルゴリズムとしては、例えば、米RSAデータセキュリティ社のRC4(商標)、RC5(商標)や、AES(Advanced Encryption Standard)などがある。このように、プロファイルを暗号化したパケットを用いて、キーの番号(Key#)、MACアドレス、使われているキーの情報、日時、マシンシリアルナンバー、SSID、および識別子がユーザPC2から管理者PC1に対して送信される。
図5(d)は、例えば、無線LAN通信を初めて行うときのように、ユーザPC2にて暗号化キーのない場合に生成されるパケットの例が示されている。ここでは、図5(c)に示したキーの番号(Key#)の部分に、「0000」(ゼロ)がセットされている。また、MACアドレスや、UID、現在の日時、マシンシリアルナンバーや、ホットスポットの場合におけるユーザID/パスワードが含まれており、これらは、事前にシステムにて準備されているキーを使って暗号化されて送出される。尚、識別子は、例えば、0で「No lock」、1で「Serial number lock」、2で「UID/password lock」の情報を示している。
図6(a)〜(c)は、管理者PC1の管理者側アプリケーション60にて実行される、管理者PC1にて受信したパケットを復号化するための処理と、新たな暗号化パケットを作成するための処理を説明するための図である。まず、図6(a)に示すように、キーの番号が0以外の場合には、現在使われているキーが指定されており、例えばキー番号を用いて、図3に示す管理情報格納部66の中から、暗号化キー(WEPキー)の情報が読み出される。この無線LANの暗号化キーは、プロファイルを送出したユーザPC2と管理者PC1だけが知り得るものであり、他の者によってプロファイルが復号化されることなく、管理者PC1にて復号化される。管理者側アプリケーション60では、読み出された暗号化キーを用いて復号化が実行され、図6(a)に示すような情報の中身が解読される。この情報の中身としては、MACアドレス、使用されている暗号化キーの情報、SSID、日時、マシンシリアルナンバーまたはユーザID/パスワード等が含まれる。
一方、キーの番号が「0000」の場合には、今回、初めてリクエストが来るものであると判断し、管理者PC1のシステムが事前に知っている固定の暗号化キーを用いてパケットが復号化され、図6(b)に示すような情報の中身を解読することができる。この情報の中身には、MACアドレス、日時、マシンシリアルナンバーまたはユーザID/パスワード等が含まれている。
その後、管理者側アプリケーション60では、解読されたMACアドレスやマシンシリアルナンバー、ユーザID等に基づいて、パケットを送出したユーザPC2に対するセキュリティチェックが実行される。セキュリティチェックの結果、問題がないと判断される場合には、プロファイルの更新処理が実行される。また、プロファイルデータの有効期限(Valid Date)が設定される。更新処理では、例えば、使用される新しいWEPキーの情報、新しいMACアドレス、新たなマシンシリアル番号などが設定され、管理情報格納部66に格納される。ホットスポットのセキュリティデータがアップデートされている場合には、現状のユーザIDがチェックされる。
図6(c)は、管理者PC1からユーザPC2に送出されるプロファイルの更新パケットの一例を示した図である。図6(c)に示すように、このパケットには、キー番号の他、MACアドレス、新しい暗号化キーの情報、SSID、ユーザIDなどが含まれる。また、有効期限、アクセスが許可されているアクセスポイント3のMACアドレス等を含めることができる。このMACアドレス、新しい暗号化キーの情報、有効期限などの各情報は、例えばハッシュキー(ユーザPC2のシリアルナンバーと固定のキーとの組み合わせなど)を用いて暗号化されてユーザPC2に送出される。未だキーを有していないユーザPC2は、その後、この更新パケットに含まれるキーを用いて、通信を行うことができる。
その後、かかる更新パケットを受信したユーザPC2は、ユーザ側アプリケーション70にて、自らが有するローカルなマシンシリアルナンバーや、ホットスポットのユーザである場合には入力されるユーザID/パスワード、などを用い、そのユーザPC2だけが知り得るキーを用いた復号化がなされ、更新パケットの解読がなされる。この解読結果は、情報格納部77に格納され、その後の無線LAN通信に用いられる。実際に更新されたプロファイルを読み出して使用する際に、MACアドレスやシリアルナンバー、ユーザID/パスワードなどが異なる環境で使用された場合(登録された環境ではない場合)には、例えば、状態監視処理部75は、これらの情報を使用せずに無効化する。この異なる環境で使用された場合(登録された環境ではない場合)とは、例えばプロファイルが他人に渡った場合や、誤って解読された場合などが例に挙げられる。
また、ネットワークに接続する際に、このプロファイルの中にネットワークの有効期限やアクセスポイントのMACアドレスの制限があれば、この制限の範囲内にて、無線LAN通信が許可される。有効期限が切れた場合には、その後、使用が制限される。また、有効期限が切れる前に、再度、通信をする場合には、例えば有効期限の1週間前などの設定日(X days)に、ユーザPC2は、管理者PC1に対して、プロファイルの更新リクエストを出し、前述したようなアルゴリズムによって、プロファイルデータをリニューアルする。
次に、例えば、所定のオフィスにユーザPC2を持つユーザが訪れ、限定されたエリアで、かつ有効期限付きで、このユーザPC2だけが無線LANを利用できるようにする場合の処理を例に挙げて説明する。ここでは、限られたユーザPC2だけの使用が許可され、プロファイルデータのコピーは禁止される。
図7および図8は、ユーザPC2にて実行されるプロファイルの取り込み処理、およびプロファイルの確認処理を示したフローチャートである。ここでは、その前提として、管理者PC1からユーザPC2に対して無線LANプロファイル(プロファイル)が送信された後のユーザPC2における処理の流れが示されている。
図7に示すプロファイルの取り込み処理では、ユーザPC2のユーザ側アプリケーション70にて、まず、管理者PC1から受け取った無線LANプロファイル(プロファイル)が読み込まれる(ステップ101)。また、情報格納部77から自身の現在のマシンシリアルナンバーが読み込まれる(ステップ102)。その後、読み出された自身のマシンシリアルナンバーと暗号化キー(ハッシュキー)を用いて、読み込まれたプロファイルが復号化される(ステップ103)。そして、解読されたマシンシリアルナンバー/MACアドレスを、実際にプログラムにて読み出されたユーザPC2自身の持つシリアルナンバー/MACアドレスと比較する(ステップ104、ステップ105)。この比較の結果が一致する場合には、図8に示すステップ107へ移行する。ステップ105で一致しない場合には、プロファイルは有効ではないものとして、取得されたプロファイルが破棄され(ステップ106)、処理が終了する。
次に、図8に示すプロファイルの確認処理が実行される。即ち、図7のステップ105で一致する場合には、ユーザ側アプリケーション70にて、有効期限かどうかがチェックされる(ステップ107、ステップ108)。有効期限内である場合には、アクセスポイント3をスキャンし、アクセスポイントのMACアドレスを取得する(ステップ109)。ここで、取得したアクセスポイント3(AP)のMACアドレスと、管理者PC1から受け取ったプロファイルに含まれるMACアドレスとが一致するか否かが判断される(ステップ110)。一致している場合には、送られてきたプロファイルが有効であるものとして、このプロファイルを用いて接続がなされる(ステップ111)。その後、プロファイルのコピーを禁止するために、コピープロテクトのビットを立てて(ステップ113)、処理が終了する。ステップ110で、一致していない場合には、このアクセスポイント3に対するアクセスは行わず(ステップ112)、ステップ113のプロファイルに対するコピープロテクトを実施して、処理を終了する。
一方、ステップ108で有効期限内ではない場合に、有効期限の前か後かが判断される(ステップ114)。有効期限の前であれば、期限前であることの確認(ステップ115)を行った後、準備状態ではない旨のメッセージを、ユーザPC2のディスプレイ(図示せず)等に表示し、ステップ113のプロファイルに対するコピープロテクトを実施して、処理を終了する。ステップ114で、有効期限の後であれば、有効期限切れである旨のメッセージを表示して(ステップ117)、処理が終了する。
次に、有効期限が間近となった場合になされるユーザPC2の処理について説明する。
図9は、有効期限が間近となった場合に、管理者PC1に対してプロファイルの更新(Update)要求を出すための処理を示したフローチャートである。ユーザPC2におけるユーザ側アプリケーション70の状態監視処理部75は、例えば情報格納部77に格納され、展開された無線LANプロファイル(プロファイル)を読み込み(ステップ201)、有効期限をチェックする(ステップ202)。このとき、日時が、Xデー(例えば有効期限の1週間前等)になったか否か、即ち、有効期限に近くなったか否かが判断される(ステップ203)。有効期限の間近ではない場合には、更新が必要ないものとして、図9の処理が終了する。
ステップ203の条件を満たし、有効期限間近となった場合には、管理者PC1に対して無線LANプロファイル(プロファイル)の更新要求を送出する。そのために、ユーザ側アプリケーション70のデータ更新処理部76では、まず、情報格納部77から読み出されたプロファイルにセキュアなキー(情報)が含まれているか否か、例えば接続のためのWEPキーのような秘匿性の高いキーが含まれているか否か、が判断される(ステップ204)。セキュリティの高いキーが含まれていれば、そのキーを用いてパケットを作成(暗号化)し(ステップ205)、ステップ207へ移行する。ステップ204でセキュリティの高いキーが含まれていない場合(例えば、キー番号が0の場合)には、システムの固定キー(hidden key)を例えば情報格納部77から読み出し、その固定キーを用いてパケットを作成(暗号化)して(ステップ206)、ステップ207へ移行する。ステップ207では、プロファイルの更新が必要である旨の情報が、ユーザPC2のディスプレイ(図示せず)等に表示される。そして、作成されたパケットが管理者PC1に対して送出されて(ステップ208)、処理が終了する。このようにして、無線LANプロファイルの更新要求を含む暗号化されたパケットが生成され、ユーザPC2から管理者PC1に対して送出される。
図10は、管理者PC1にて実行される処理を示したフローチャートである。管理者側アプリケーション60は、プロファイル取得・出力部61にて、暗号化されたパケットが取得される(ステップ301)。その後、プロファイルのキー番号が確認される(ステップ302)。このとき、キー番号が「0」(ゼロ)にセットされているか否か、即ちキー番号の有無がチェックされる(ステップ303)。キー番号がある場合には、プロファイル暗号・復号部62にて、データベースである管理情報格納部66から、該当する暗号化キーの情報が読み取られ(ステップ304)、暗号化パケットの復号化がなされる(ステップ305)。その後、セキュリティチェック部63にてセキュリティチェックがなされる(ステップ306)。そして、例えば、プロファイルに含まれる日時情報に基づき、プロファイルデータの有効期限が確認され(ステップ307)、データ更新が必要か否かが判断される(ステップ308)。データ更新が必要ない場合には、処理が終了する。データ更新が必要である場合には、ステップ309へ移行する。
ステップ303で、キー番号がない場合には、プロファイル暗号・復号部62にて、予め決定されている固定キーの暗号化情報がデータベースである管理情報格納部66から読み取られ(ステップ312)、暗号化パケットの復号化がなされる(ステップ313)。そして、セキュリティチェックがなされた後(ステップ314)、ステップ309へ移行する。
ステップ309では、更新プロファイル作成部65およびプロファイル暗号・復号部62にて、新たなプロファイルデータによる暗号化パケットが作成される。そして、データベースである管理情報格納部66への登録がなされ(ステップ310)、プロファイル取得・出力部61、デバイスドライバ51等を経て、ユーザPC2へパケットが送出されて(ステップ311)、処理が終了する。
図11は、管理者PC1のディスプレイ(図示せず)によって表示されるユーザインタフェース(GUI)例を示した図である。ここでは、管理者PC1を利用するIT管理者が埋め込む情報として、シリアル番号リスト(Serial Number List)、アクセスポイント3のMACアドレス、プロファイルの有効期限等が表示されている。この表示されている内容は、ハードディスクドライブ28に格納される管理情報格納部66から読み出された内容、およびIT管理者によって入力された内容である。管理者PC1を利用するIT管理者は、図11に示すような表示に対して、ポインティングデバイス(図示せず)やキーボード(図示せず)等を用いて指示を行う。そして、無線LAN環境に存在する複数のユーザPCに対するプロファイルの分配や、プロファイルの更新等を行うことが可能となる。
以上のように、従来のアクセスポイント3の管理者は、ネットワーク環境下のクライアントコンピュータに対し、その各々に手作業で無線LANのセキュアなデータを設定することが必要であった。または、無線ホットスポットの管理者は、固定的なWEPキーを通知する場合にも、コンテンツを暗号化せずにクライアントコンピュータに提供していた。これは、秘密漏洩の点からも大きな問題であった。また、従来では、クライアントコンピュータに対して無線LANの暗号化キーを一旦、設定すると、その内容の更新を簡単に行うことができなかった。しかしながら、本実施の形態にて説明した手法を使うことによって、アクセスポイント3の管理者である管理者PC1は、ユーザPC2に設定されたアクセスポイント3の暗号化キーを更新したい場合に、アクセスポイント3が無線LANに接続されていれば、ユーザPC2に設定されている現在の暗号化キーの内容を知らなくても、いつでも簡単に更新することができる。また、管理者PC1は、プロファイルを他の装置によって再利用されることを防止することもできる。本手法は、例えば、BIOSパスワードなど、ローカルなコンピュータに対する秘密データの自動更新に用いることができる。
更に、本実施の形態では、管理者PC1は、無線LAN通信を許可されていない者によって、セキュアなプロファイルデータが使用されることを防ぐことができる。より具体的には、例えば、マシンやモデルの特定、有効期限、アクセスポイントおよび/またはホットスポットのユーザIDやパスワードのコントロール、などによって、プロファイルデータの使用を規制することができる。例えば、有効期限を設定することで、その期間内だけにプロファイルデータを有効とし、権限のないユーザがそのプロファイルデータを使って自由に無線通信を行うことを抑制することができる。
また更に、本実施の形態では、ローカルコンピュータであるユーザPC2のプロファイル更新に際し、管理者が手作業によって更新作業に携わることなく、管理者PC1からの遠隔作業にて更新を行うことが可能である。その結果、管理者の作業を大幅に軽減すると共に、例えばホットスポット・ブロードバンドサーバや、SMB(Server Message Block)サーバを設定する必要がなくなり、小規模な無線LAN環境における安全性の確保と、トータルコストの大幅な軽減を図ることが可能となる。
本発明の活用例としては、ユーザ側として用いられるノートPC等のコンピュータ装置、管理者側として用いられるノートPCやデスクトップ型のコンピュータ装置、また、これらに適用されるプログラムが考えられる。
本実施の形態が適用される無線LANのシステム構成を示した図である。 本実施の形態が適用される管理者PCおよびユーザPCのハードウェア構成を説明するためのブロック図である。 管理者PCにおける処理機能を説明するための図である。 ユーザPCにおける処理機能を説明するための図である。 (a)〜(d)は、ユーザPCにて実行される処理として、管理者PCに送出される暗号化パケットの生成方法を説明するための図である。 (a)〜(c)は、管理者PCの管理者側アプリケーションにて実行される、管理者PCにて受信したパケットを復号化するための処理と、新たな暗号化パケットを作成するための処理を説明するための図である。 ユーザPCにて実行されるプロファイルの取り込み処理を示した図である。 ユーザPCにて実行されるプロファイルの確認処理を示した図である。 管理者PCに対してプロファイルの更新(Update)要求を出すための処理を示したフローチャートである。 管理者PCにて実行される処理を示したフローチャートである。 管理者PCのディスプレイにて表示されるユーザインタフェース例を示した図である。
符号の説明
1…管理者PC、2…ユーザPC、3…アクセスポイント、20…システム本体、21…CPU、22…メモリ、27…ハードディスクコントローラ、28…ハードディスクドライブ(HDD)、30…無線LANカード、31…MACコントローラ、32…RF部(無線通信用高周波回路部)、33…RFアンテナ、51…デバイスドライバ、60…管理者側アプリケーション、66…管理情報格納部、70…ユーザ側アプリケーション、77…情報格納部

Claims (13)

  1. 所定のアクセスポイントを介して無線通信を可能とするコンピュータ装置であって、
    前記アクセスポイントに対する無線通信の設定を管理する管理者側コンピュータ装置により暗号化された無線通信のセキュリティ情報および自らの識別情報を含むプロファイルを、当該管理者側コンピュータ装置から取得するプロファイル取得手段と、
    前記プロファイル取得手段が取得した前記プロファイルを復号化し、自らが有する識別情報と前記復号化されたプロファイルに含まれる識別情報とを比較して自らが条件を満たす装置であるか否か判断する条件判断手段と、
    前記条件判断手段が条件を満たすと判断した場合に、前記プロファイルを用いて無線通信の設定を行う設定手段と
    を含むことを特徴とするコンピュータ装置。
  2. 前記プロファイル取得手段が取得した前記プロファイルの更新要求を前記管理者側コンピュータ装置に対して出力する更新要求出力手段を更に含む請求項1記載のコンピュータ装置。
  3. 前記プロファイル取得手段は有効期限情報を含むプロファイルを取得し、前記更新要求出力手段は前記プロファイル取得手段が取得した前記プロファイルに含まれる前記有効期限情報に基づいて当該プロファイルの更新要求を出力することを特徴とする請求項2記載のコンピュータ装置。
  4. 前記条件判断手段が判断する前記識別情報は、自身のマシンシリアルナンバーおよび自身のMACアドレスまたはそのいずれか一方であることを特徴とする請求項1記載のコンピュータ装置。
  5. ユーザ側コンピュータ装置が無線通信を行うためのアクセスポイントの設定を管理するコンピュータ装置であって、
    無線通信のセキュリティ情報および前記ユーザ側コンピュータ装置の識別情報を含み、前記ユーザ側コンピュータ装置から更新要求がされたプロファイルを取得するプロファイル取得手段と、
    前記プロファイル取得手段により取得された前記プロファイルに対して更新処理を行う更新処理手段と、
    前記更新処理手段により更新処理がなされた新たなプロファイルを暗号化し、前記ユーザ側コンピュータ装置に対して出力する出力手段と
    を含むコンピュータ装置。
  6. 前記更新処理手段は、新たな暗号化キー情報、有効期限の情報、およびアクセスを許可するアクセスポイントの情報の少なくとも何れか1つを含む新たなプロファイルを生成して更新処理を行うことを特徴とする請求項記載のコンピュータ装置。
  7. 無線LAN環境におけるネットワークの接続点であるアクセスポイントと、
    前記アクセスポイントに対する無線通信の設定を管理する管理者側コンピュータ装置と、
    前記アクセスポイントを介して無線通信を行うユーザ側コンピュータ装置とを含み、
    前記ユーザ側コンピュータ装置は、前記管理者側コンピュータ装置に対して自らの固有な情報を送出し、
    前記管理者側コンピュータ装置は、受け取った前記固有な情報を含み無線通信を行うためのプロファイルを暗号化して前記ユーザ側コンピュータ装置に送出し、
    前記ユーザ側コンピュータ装置は、受け取った前記プロファイルを復号化し、復号化した前記プロファイルに基づいて、当該管理者側コンピュータ装置の指定した条件を自らが満たすか否かを判断し、当該条件を満たすと判断した場合に、当該プロファイルを用いて無線通信の設定を行うことを特徴とする無線LANシステム。
  8. 所定のアクセスポイントを介して無線通信を可能とするコンピュータ装置において、無線通信を行うための設定情報を含むプロファイルを更新する方法であって、
    無線通信のセキュリティ情報および自らの識別情報を含むプロファイルを所定の記憶媒体から読み込むステップと、
    前記プロファイルに当該プロファイルの更新要求に関する情報を含めて更新要求のためのプロファイルを生成するステップと、
    読み込まれた前記セキュリティ情報を用いて前記更新要求のためのプロファイルを暗号化するステップと、
    暗号化された前記更新要求のためのプロファイルを前記アクセスポイントに対する無線通信の設定を管理する管理者側コンピュータ装置に送出するステップと
    を含むことを特徴とするプロファイルの更新方法。
  9. 所定のアクセスポイントを介して無線通信を可能とするユーザ側コンピュータ装置に、
    所定の記憶媒体から無線通信のセキュリティ情報および自らの識別情報を読み込む機能と、
    前記アクセスポイントに対する無線通信の設定を管理する管理者側コンピュータ装置により暗号化された無線通信のためのセキュリティ情報および自らの識別情報を含むプロファイルを、前記管理者側コンピュータ装置から取得する機能と、
    取得た前記プロファイルに含まれる前記セキュリティ情報および前記識別情報を復号化する機能と、
    前記復号化された識別情報と前記記憶媒体から読み込んだ識別情報とを比較し、一致した場合に前記復号化されたセキュリティ情報を用いて無線通信の設定を行う機能とを実現させるプログラム。
  10. 前記コンピュータ装置に、
    前記プロファイルの状態を監視する機能と、
    監視された状態により前記プロファイルの更新が必要であるか否かを判断する機能と、
    更新が必要と判断した場合に、当該プロファイルの更新要求を前記管理者側コンピュータ装置に対して出力する機能とを更に実現させる請求項記載のプログラム。
  11. 前記プロファイルの更新要求を前記管理者側コンピュータ装置に対して出力する機能は、更新要求に関する情報を含む当該プロファイルを前記記憶媒体から読み込んだ前記セキュリティ情報に基づいて暗号化して出力することを特徴とする請求項10記載のプログラム。
  12. ユーザ側コンピュータ装置が無線通信を行うためのアクセスポイントの設定を管理するコンピュータ装置に、
    無線通信のセキュリティ情報および前記ユーザ側コンピュータ装置の識別情報を含み、前記ユーザ側コンピュータ装置から更新要求がされたプロファイルを取得する機能と、
    取得された前記プロファイルに対して更新処理が必要か否かを判断する機能と、
    更新処理が必要と判断した場合に更新処理をして新たなプロファイルを生成する機能と、
    生成された前記新たなプロファイルを暗号化して前記ユーザ側コンピュータ装置に出力する機能と
    を実現させるプログラム。
  13. 生成される前記新たなプロファイルは、新たな暗号化キー情報、有効期限の情報、およびアクセスを許可するアクセスポイントの情報の少なくとも何れか1つを含むことを特徴とする請求項12記載のプログラム。
JP2003283094A 2003-07-30 2003-07-30 コンピュータ装置、無線lanシステム、プロファイルの更新方法、およびプログラム Expired - Fee Related JP3961462B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2003283094A JP3961462B2 (ja) 2003-07-30 2003-07-30 コンピュータ装置、無線lanシステム、プロファイルの更新方法、およびプログラム
US10/898,634 US20050050318A1 (en) 2003-07-30 2004-07-23 Profiled access to wireless LANs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003283094A JP3961462B2 (ja) 2003-07-30 2003-07-30 コンピュータ装置、無線lanシステム、プロファイルの更新方法、およびプログラム

Publications (2)

Publication Number Publication Date
JP2005051625A JP2005051625A (ja) 2005-02-24
JP3961462B2 true JP3961462B2 (ja) 2007-08-22

Family

ID=34213271

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003283094A Expired - Fee Related JP3961462B2 (ja) 2003-07-30 2003-07-30 コンピュータ装置、無線lanシステム、プロファイルの更新方法、およびプログラム

Country Status (2)

Country Link
US (1) US20050050318A1 (ja)
JP (1) JP3961462B2 (ja)

Families Citing this family (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3951986B2 (ja) * 2003-08-27 2007-08-01 ブラザー工業株式会社 無線ステーション
CA2564383C (en) 2004-04-30 2014-06-17 Research In Motion Limited System and method for administering digital certificate checking
ATE451806T1 (de) * 2004-05-24 2009-12-15 Computer Ass Think Inc System und verfahren zum automatischen konfigurieren eines mobilen geräts
JP4262166B2 (ja) * 2004-08-10 2009-05-13 キヤノン株式会社 無線ネットワークシステム、無線通信装置、及び接続設定方法
US20060117174A1 (en) * 2004-11-29 2006-06-01 Arcadyan Technology Corporation Method of auto-configuration and auto-prioritizing for wireless security domain
KR100772856B1 (ko) * 2005-01-11 2007-11-02 삼성전자주식회사 홈 네트워크에 있어서, 키 관리 방법 및 상기 방법을이용한 장치 및 시스템
US7577458B2 (en) * 2005-01-30 2009-08-18 Cisco Technology, Inc. LCD display on wireless router
US8468219B2 (en) * 2005-02-01 2013-06-18 Broadcom Corporation Minimum intervention authentication of heterogeneous network technologies (MIAHNT)
US20060230278A1 (en) * 2005-03-30 2006-10-12 Morris Robert P Methods,systems, and computer program products for determining a trust indication associated with access to a communication network
US20060230279A1 (en) * 2005-03-30 2006-10-12 Morris Robert P Methods, systems, and computer program products for establishing trusted access to a communication network
US8316416B2 (en) 2005-04-04 2012-11-20 Research In Motion Limited Securely using a display to exchange information
US9143323B2 (en) * 2005-04-04 2015-09-22 Blackberry Limited Securing a link between two devices
US20060265737A1 (en) * 2005-05-23 2006-11-23 Morris Robert P Methods, systems, and computer program products for providing trusted access to a communicaiton network based on location
US7783756B2 (en) * 2005-06-03 2010-08-24 Alcatel Lucent Protection for wireless devices against false access-point attacks
US7570939B2 (en) * 2005-09-06 2009-08-04 Apple Inc. RFID network arrangement
JP4840970B2 (ja) * 2006-02-23 2011-12-21 キヤノン株式会社 通信装置と通信装置の制御方法及びプログラム
US8670566B2 (en) * 2006-05-12 2014-03-11 Blackberry Limited System and method for exchanging encryption keys between a mobile device and a peripheral output device
EP1873998B1 (en) * 2006-06-27 2018-09-19 Vringo Infrastructure Inc. Identifiers in a communication system
US8327140B2 (en) 2006-07-07 2012-12-04 Nec Corporation System and method for authentication in wireless networks by means of one-time passwords
US8353048B1 (en) * 2006-07-31 2013-01-08 Sprint Communications Company L.P. Application digital rights management (DRM) and portability using a mobile device for authentication
US20080046561A1 (en) * 2006-08-17 2008-02-21 Belkin International, Inc. Networking hardware element to couple computer network elements and method of displaying information thereon
US7675862B2 (en) * 2006-08-17 2010-03-09 Belkin International, Inc. Networking hardware element to couple computer network elements and method of displaying a network layout map thereon
US8903365B2 (en) * 2006-08-18 2014-12-02 Ca, Inc. Mobile device management
US20080040955A1 (en) * 2006-08-21 2008-02-21 Belkin Corporation Instruction-wielding apparatus and method of presenting instructions thereon
US7752255B2 (en) * 2006-09-19 2010-07-06 The Invention Science Fund I, Inc Configuring software agent security remotely
US8627402B2 (en) 2006-09-19 2014-01-07 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US20080072032A1 (en) * 2006-09-19 2008-03-20 Searete Llc, A Limited Liability Corporation Of The State Of Delaware Configuring software agent security remotely
KR100853426B1 (ko) 2006-12-20 2008-08-21 한국생산기술연구원 인간형 로봇의 장치관리자 및 관리 방법
US8959568B2 (en) * 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
US8413247B2 (en) * 2007-03-14 2013-04-02 Microsoft Corporation Adaptive data collection for root-cause analysis and intrusion detection
US8955105B2 (en) * 2007-03-14 2015-02-10 Microsoft Corporation Endpoint enabled for enterprise security assessment sharing
US20080244742A1 (en) * 2007-04-02 2008-10-02 Microsoft Corporation Detecting adversaries by correlating detected malware with web access logs
US8108498B2 (en) 2007-07-26 2012-01-31 Dell Products, Lp System and method of enabling access to remote information handling systems
JP4296217B1 (ja) * 2008-01-31 2009-07-15 株式会社東芝 無線通信装置及び無線通信装置の設定方法
US8165090B2 (en) 2008-05-15 2012-04-24 Nix John A Efficient handover of media communications in heterogeneous IP networks
US8493931B1 (en) * 2008-09-12 2013-07-23 Google Inc. Efficient handover of media communications in heterogeneous IP networks using handover procedure rules and media handover relays
US8351454B2 (en) * 2009-05-20 2013-01-08 Robert Bosch Gmbh Security system and method for wireless communication within a vehicle
US8898774B2 (en) * 2009-06-25 2014-11-25 Accenture Global Services Limited Method and system for scanning a computer system for sensitive content
US8583765B1 (en) * 2010-09-14 2013-11-12 Amazon Technologies, Inc. Obtaining information for a wireless connection
JP5729161B2 (ja) * 2010-09-27 2015-06-03 ヤマハ株式会社 通信端末、無線機、及び無線通信システム
US8762548B1 (en) 2010-11-10 2014-06-24 Amazon Technologies, Inc. Wireless networking selection techniques
JP5628227B2 (ja) 2011-02-17 2014-11-19 パナソニック株式会社 ネットワーク接続装置および方法
US8593967B2 (en) * 2011-03-08 2013-11-26 Medium Access Systems Private Limited Method and system of intelligently load balancing of Wi-Fi access point apparatus in a WLAN
US20120265996A1 (en) * 2011-04-15 2012-10-18 Madis Kaal Permitting Access To A Network
CN102869012B (zh) * 2011-07-05 2018-11-06 横河电机株式会社 无线局域网接入点设备和系统以及相关方法
US9031050B2 (en) * 2012-04-17 2015-05-12 Qualcomm Incorporated Using a mobile device to enable another device to connect to a wireless network
CN104185252A (zh) * 2013-05-21 2014-12-03 上海滕维信息科技有限公司 一种wifi/无线网络接入设置系统及接入设置方法
CN104812028B (zh) * 2014-01-24 2019-01-11 瑞昱半导体股份有限公司 网络连接方法
US9781006B2 (en) * 2014-06-24 2017-10-03 Ruckus Wireless, Inc. Group isolation in wireless networks
KR102424834B1 (ko) * 2015-04-16 2022-07-25 에스케이플래닛 주식회사 비콘 장치를 관리하는 방법 및 이를 위한 장치
US10051003B2 (en) 2015-07-30 2018-08-14 Apple Inc. Privacy enhancements for wireless devices
CN106488528B (zh) * 2015-09-01 2019-07-05 上海连尚网络科技有限公司 用于对无线接入点进行画像分析的方法与设备
JP6808351B2 (ja) * 2016-05-13 2021-01-06 キヤノン株式会社 印刷装置、画像処理システム
US10560879B2 (en) 2016-08-05 2020-02-11 Qualcomm Incorporated Techniques for establishing a secure connection between a wireless device and a local area network via an access node
JP7258493B2 (ja) * 2018-09-13 2023-04-17 キヤノン株式会社 通信装置、通信装置の制御方法およびプログラム
TWI715017B (zh) * 2019-04-23 2021-01-01 瑞昱半導體股份有限公司 無線連線設定傳遞方法
JP2021019269A (ja) * 2019-07-19 2021-02-15 Necプラットフォームズ株式会社 アクセスポイント、無線接続方法および無線接続制御プログラム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5774544A (en) * 1996-03-28 1998-06-30 Advanced Micro Devices, Inc. Method an apparatus for encrypting and decrypting microprocessor serial numbers
US6529992B1 (en) * 1999-07-26 2003-03-04 Iomega Corporation Self-contained application disk for automatically launching application software or starting devices and peripherals
US7181530B1 (en) * 2001-07-27 2007-02-20 Cisco Technology, Inc. Rogue AP detection
AU2002353848A1 (en) * 2002-03-27 2003-10-13 Lenovo (Singapore) Pte. Ltd. Methods apparatus and program products for wireless access points
US7316031B2 (en) * 2002-09-06 2008-01-01 Capital One Financial Corporation System and method for remotely monitoring wireless networks
US7277547B1 (en) * 2002-10-23 2007-10-02 Sprint Spectrum L.P. Method for automated security configuration in a wireless network
US7515569B2 (en) * 2002-11-27 2009-04-07 Agere Systems, Inc. Access control for wireless systems

Also Published As

Publication number Publication date
US20050050318A1 (en) 2005-03-03
JP2005051625A (ja) 2005-02-24

Similar Documents

Publication Publication Date Title
JP3961462B2 (ja) コンピュータ装置、無線lanシステム、プロファイルの更新方法、およびプログラム
US9131378B2 (en) Dynamic authentication in secured wireless networks
US7607015B2 (en) Shared network access using different access keys
JP3570310B2 (ja) 無線lanシステムにおける認証方法と認証装置
US8474020B2 (en) User authentication method, wireless communication apparatus, base station, and account management apparatus
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
EP1760945A2 (en) Wireless LAN security system and method
US20130276060A1 (en) Methods and systems for fallback modes of operation within wireless computer networks
JP2003204338A (ja) 無線lanシステム、アクセス制御方法およびプログラム
EP1643714A1 (en) Access point that provides a symmetric encryption key to an authenticated wireless station
JP2006085719A (ja) 設定情報配布装置、認証設定転送装置、方法、プログラム、媒体及び設定情報受信プログラム
US20120170559A1 (en) Method and system for out-of-band delivery of wireless network credentials
CN102143492B (zh) Vpn连接建立方法、移动终端、服务器
JP4536051B2 (ja) 無線lan端末を認証する認証システム、認証方法、認証サーバ、無線lan端末、及びプログラム
JP2003338814A (ja) 通信システム、管理サーバおよびその制御方法ならびにプログラム
JP4574122B2 (ja) 基地局、および、その制御方法
JP4787730B2 (ja) 無線lan端末及び無線lanシステム
JP4018584B2 (ja) 無線接続装置の認証方法及び無線接続装置
CN117501653A (zh) 操作无线网络的装置、系统和方法
WO2023221502A1 (zh) 数据传输方法和系统及信令安全管理网关
US20240121609A1 (en) Wpa3-personal cloud based network access and provisioning
KR100924315B1 (ko) 보안성이 강화된 무선랜 인증 시스템 및 그 방법
CN114793335A (zh) 一种基于密码动态变化的无线局域网接入方法

Legal Events

Date Code Title Description
RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20051006

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060427

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060509

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20060519

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20060519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20060519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060726

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070423

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070515

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070516

R150 Certificate of patent or registration of utility model

Ref document number: 3961462

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100525

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S202 Request for registration of non-exclusive licence

Free format text: JAPANESE INTERMEDIATE CODE: R315201

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100525

Year of fee payment: 3

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100525

Year of fee payment: 3

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100525

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S202 Request for registration of non-exclusive licence

Free format text: JAPANESE INTERMEDIATE CODE: R315201

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100525

Year of fee payment: 3

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100525

Year of fee payment: 3

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100525

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100525

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S202 Request for registration of non-exclusive licence

Free format text: JAPANESE INTERMEDIATE CODE: R315201

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100525

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100525

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110525

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110525

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120525

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120525

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130525

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130525

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140525

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees