JP4018584B2 - 無線接続装置の認証方法及び無線接続装置 - Google Patents
無線接続装置の認証方法及び無線接続装置 Download PDFInfo
- Publication number
- JP4018584B2 JP4018584B2 JP2003098038A JP2003098038A JP4018584B2 JP 4018584 B2 JP4018584 B2 JP 4018584B2 JP 2003098038 A JP2003098038 A JP 2003098038A JP 2003098038 A JP2003098038 A JP 2003098038A JP 4018584 B2 JP4018584 B2 JP 4018584B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal device
- wireless terminal
- backbone network
- wireless
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、無線LANやBluetooth等の無線通信機能を有する端末による小規模なLAN環境であるPAN(Personal Area Network)をセキュアに構築する際に用いられる無線接続装置の認証方法及び無線接続装置に関するものである。
【0002】
【従来の技術】
従来、無線LANやBluetoothでは、その通信媒体として電波を用いるため、通信先の制限が難しいという問題があった。このため、これらの規格では、通信先毎に暗号鍵を変更することで、たとえパケットを覗き見られても、それを解読できないようにするといった防御手段が執られている。
【0003】
現在、最も一般的な無線通信の暗号化手段は、IEEE802.11(以下「802.11」)方式であればWEPキー(40bit,128bit)による暗号化であり、またBluetooth方式であれば、Pinコードから自動生成される128bitの暗号鍵による暗号化である。しかし、これらの暗号化方式にも脆弱性があることが指摘されており、無線通信の安全性を更に高めるための暗号化方式として、802.11方式では、802.1xベースの認証を実施した上での動的WEPキー変換(EAP)やTKIP,AESといった、更に高度な暗号化方式、Bluetooth方式では、802.1xベースの上位アプリケーション層での認証・暗号化方式などが検討され、一部実施されている。この中でも802.1xをベースとしたEAP(Extensible Authentication Protocol)方式と呼ばれる認証・暗号化手段は、一部のOS環境において、802.11方式向けの認証・暗号化手段として標準的に実装されている。
【0004】
無線LAN(802.11)におけるEAP方式は、クライアント端末がネットワーク接続要求を行う際に、無線接続装置であるアクセスポイントを介して、TCP/IPの一部ポートを利用してイントラネットやインターネット上に設けられた認証サーバ(RADIUSサーバ等)とデータ通信を行い、認証サーバからクライアント端末への証明書の要求又はチャレンジを実施する。クライアント端末は、証明書所有の証明を行うか、チャレンジに対してアカウント名とパスワードとを返し、それらが認証サーバ内のデータと一致すれば、認証サーバはクライアント端末のネットワーク接続を許可し、無線通信を暗号化するための128bitの暗号鍵又は暗号鍵生成パラメータをアクセスポイントとクライアント端末に返す。
【0005】
このようなプロセスを経て、クライアント端末が認証サーバによる認証にパスすると、それ以降の無線通信は、128bitの暗号鍵をWEPキーとしてクライアント端末とアクセスポイントとの両者間で利用することで暗号化される。更に、このようなプロセスは一定時間毎に定期的に実施され、暗号鍵の更新を行う。
【0006】
また、Bluetooth方式では、無線通信機能を有する各端末で構築される小規模なLAN環境であるPAN(Personal Area Network)プロファイルにおいてセキュリティ向上のために802.1x認証・暗号化手段を用いることが推奨されている。このBluetoothの場合、無線媒体である電波を暗号化するための鍵の生成はBluetooth方式で通信を行うデバイス間のPinコードによる相互認証によって自動的に生成されるため、認証サーバから受け取った暗号鍵情報を、無線LANで用いられているWEPキーのような電波そのものの暗号化鍵としては利用できないが、無線媒体として電波を生成する前段階でパケットを暗号化する際の鍵として利用することで、二重に暗号化し通信のセキュリティを向上させることができる。
【0007】
以上述べてきた802.1x方式の認証・暗号化プロセスでは、認証を実施するための認証サーバがイントラネットなどのネットワーク内に存在し、その認証サーバがクライアント端末のアカウントを集中管理している。このため、802.1x方式を用いるならば、クライアント端末がどこにいても、認証サーバとのTCP/IPによる通信が実施可能な場合、同一アカウント及びパスワードを用いてイントラネットなどの基幹ネットワークに接続することができる。
【0008】
【発明が解決しようとする課題】
このように、上述した802.1x方式による認証・暗号化プロセスを用いることで、クライアント端末は無線通信を用いた安全なネットワーク接続を実現できる。但し、そのためには、ネットワーク内に認証サーバが設置され、かつ、その認証サーバには、予めクライアント端末のアカウントが登録されている必要がある。即ち、802.1x方式は、比較的規模の大きなイントラネット等の基幹ネットワーク上での運用を想定した方式であり、無線によるネットワーク接続を行うクライアント端末も認証サーバ上にアカウントを持ったメンバに限定されるといった制限があった。
【0009】
このため、認証サーバ上にアカウントの無い外来者が参加するミーティングを行う場合やイントラネット等の基幹ネットワークへの接続手段がない社外の会議室等でのミーティングを行う場合は、802.1x方式による認証・暗号化プロセスを利用した無線通信による安全なネットワーク構築ができないという不具合があった。
【0010】
尚、その際に、認証・暗号化を行うことなく、無線通信は実現可能であるが、セキュリティの面から大きな問題がある。
【0011】
また、手作業により無線通信用のパラメータを設定すれば、無線通信の暗号化は可能であるが、クライアント端末はイントラネット等の基幹ネットワーク上で通常利用する802.1x方式のアカウント及びパスワードの入力による自動接続とは、全く異なる接続手段を手動で行わなければならない。また、手作業による無線通信用パラメータの設定では、暗号鍵を一定時間毎に変更することも自動的には実施不可能であるため、安全性が損なわれる。
【0012】
上述のような不具合を無くすためには、PANを構築するメンバのために802.1x方式に対応した専用の認証サーバを設け、その認証サーバ上でPAN構成者を一元管理すれば良い。しかし、そうした場合、イントラネット等の基幹ネットワーク側に存在する正規の認証サーバにアカウントを所有するユーザも、PAN構築専用の認証サーバによって認証が行われるため、無線通信は暗号化されるもののイントラネット等の基幹ネットワークへのアクセスのために、再度、認証作業が必要であったり、或いはイントラネットへのアクセスに障害がでたりと言った不都合が生じる。
【0019】
本発明の目的は、無線端末装置が無線接続装置に認証される際にネットワークの一時的な切断等の不具合を被ることを回避することである。
【0020】
【課題を解決するための手段】
上記目的を達成するために、本発明は、基幹ネットワークに接続され、無線通信により無線端末装置と接続する無線接続装置の認証方法であって、無線端末装置から無線通信による認証要求を受信する受信工程と、受信した認証要求を基幹ネットワークへ転送し、該認証要求に対する認証処理が基幹ネットワークで失敗した場合に、前記無線端末装置に対する一時的な認証処理を行う認証工程と、無線端末装置の基幹ネットワークに対する認証成否又は無線端末装置に対するアカウントの発行有無又は無線端末装置に対する証明書の発行有無の履歴を参照する参照工程と、前記参照工程において参照した前記履歴に応じて、無線端末装置からの認証要求を基幹ネットワークへ転送するか、無線端末装置からの認証要求を基幹ネットワークへ転送せずに前記認証工程における認証を行うかを決定する決定工程と、を有することを特徴とする。
また、本発明は、基幹ネットワークに接続され、無線通信により無線端末装置と接続する無線接続装置であって、無線端末装置から無線通信による認証要求を受信する受信手段と、受信した認証要求を基幹ネットワークへ転送し、該認証要求に対する認証処理が基幹ネットワークで失敗した場合に、前記無線端末装置に対する一時的な認証処理を行う認証手段と、無線端末装置の基幹ネットワークに対する認証成否又は無線端末装置に対するアカウントの発行有無又は無線端末装置に対する証明書の発行有無の履歴を参照する参照手段と、前記参照手段により参照した前記履歴に応じて、無線端末装置からの認証要求を基幹ネットワークへ転送するか、無線端末装置からの認証要求を基幹ネットワークへ転送せずに前記認証手段による認証を行うかを決定する決定手段と、を有することを特徴とする。
【0021】
【発明の実施の形態】
以下、図面を参照しながら本発明に係る実施の形態を詳細に説明する。
【0022】
図1は、本実施形態における無線ネットワークシステムの構成を示す図である。図1において、100は本実施形態のアクセスポイントであり、IEEE802.11やBluetooth等の無線通信手段によって安全なネットワークを構築する。アクセスポイント100において、101は無線通信回路部であり、無線通信手段により後述するクライアント端末との間で無線による通信を行う。102は認証サーバ機能部であり、後述するイントラネット上の認証サーバに代わってクライアント端末の認証処理を行う。103は証明書サーバ機能部であり、認証サーバ機能部102により認証されたクライアント端末へ証明書の発行を行う。104は表示部であり、アクセスポイント100からの一時認証のためのメッセージを表示する。
【0023】
110は無線媒体であり、802.11やBluetooth等の電波による無線通信手段である。111、112はPDA(Personal Digital Assistants)であり、アクセスポイント100と無線で接続する。113、114はノート型パソコン(PC)であり、アクセスポイント100と無線で接続する。120はアクセスポイント100と接続されたイントラネットやインターネットなどの基幹ネットワーク(以下「イントラネット」と称す)である。121はイントラネット120上に設けられた認証サーバであり、クライアント端末からの認証要求により認証処理を行う。122はイントラネット120上に設けられた証明書サーバである。尚、本実施形態では、上述のアクセスポイント100と無線通信手段110を介して接続されるPDA111、112、ノート型パソコン113、114を「クライアント端末」と称す。
【0024】
ここで、以下の説明を容易にするために、クライアント端末113はイントラネット120上の証明書サーバ122によって発行された証明書を所有しているか、イントラネット120上の認証サーバ121にアカウントを有するクライアント端末であると仮定する。同様に、クライアント端末114はイントラネット120上の証明書サーバ122によって発行された証明書を所有しておらず、かつイントラネット120上の認証サーバ121にアカウントを有していないクライアント端末であると仮定する。
【0025】
図2は、クライアント端末113がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。図2に示すように、クライアント端末113が、アクセスポイント100の無線通信回路部101と802.11アソシエーション(200)の一連のやり取りを実施した後に、EAP認証プロセス(201〜207)を開始する。先ず、クライアント端末113は無線通信回路部101に対してEAP認証を行うことを宣言し(201)、この宣言に呼応して、無線通信回路部101がEAP認証のための身分証明要求(202)をクライアント端末113に送信する。これに答えて、クライアント端末113は、無線通信回路部101に対してユーザID付きのEAP-Response(203)を送信する。そして、無線通信回路部101は受信パケットをイントラネット120上に存在する認証サーバ121に向けて転送する(210)。
【0026】
これにより、認証サーバ121は、クライアント端末113からの認証要求(210)に反応し、認証サーバ121内のデータベースに対して認証要求(210)に添付されたユーザIDに相当するユーザが登録されているか否かを検索する。ここで、対応するユーザが登録されていた場合には、無線通信回路部101を経由してクライアント端末113へ、認証のためのチャレンジ(211、204)を送信する。このチャレンジ(204)を受けたクライアント端末113は、そのチャレンジに対応する回答(一般的にはパスワードや証明書の内容)を無線通信回路部101経由でイントラネット120上の認証サーバ121へと返す(205、212)。そして、認証サーバ121は、クライアント端末113から返されたチャレンジ回答(212)の内容を吟味し、自身のデータベースに記録された認証データと一致していれば、認証OKを無線通信回路部101経由でクライアント端末113へ送信する(213、206)。ここでWEPキー等の無線通信用暗号鍵を変更する場合には、無線通信回路部101から無線通信用暗号鍵情報(207)がクライアント端末113へ送信される。
【0027】
上述のEAP認証プロセス(201〜207)が終了した後、クライアント端末113は、アクセスポイント100経由のイントラネット120へのアクセスが許可される。この際、イントラネット120上の認証サーバ121による認証がなされたクライアント端末113に対しては、イントラネット120だけでなく、アクセスポイント100を経由して接続された他のクライアント端末111、112、114へのPANアクセスも許可されることは言うまでもない。また、WEPキーの動的変更を実施する場合は、上述のプロセスが一旦完了した後、定期的に無線通信回路部101よりEAP認証のための身分証明要求(202)をクライアント端末113に送信する。そして、上述の処理と同様の再認証及び新しいWEPキーに関する無線通信用暗号鍵情報送信(202〜207)のプロセスを繰り返し実行することで、WEPキーの動的変更を実現する。
【0028】
上述の認証プロセスは、一般的なEAP認証の実施プロセスと何ら変わりない。即ち、本実施形態ではイントラネット120側の認証サーバ121にアカウントが存在するクライアント端末113に対しては、通常のEAP認証と同一の動作を行う。一方、イントラネット120上の証明書サーバ122によって発行された証明書を所有しておらず、かつ、イントラネット120上の認証サーバ121にアカウントを有していないクライアント端末114の場合は、一般的なEAP認証プロセスとは異なる動作を行う。
【0029】
図3は、クライアント端末114がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。図3に示すように、クライアント端末114も、アクセスポイント100の無線通信回路部101と802.11アソシエーション(300)の一連のやり取りを実施した後に、EAP認証プロセス(301〜309)を開始する。先ず、クライアント端末114は無線通信回路部101に対してEAP認証を行うことを宣言し(301)、この宣言に呼応して、無線通信回路部101がEAP認証のための身分証明要求(302)をクライアント端末114に送信する。これに答えて、クライアント端末114は、無線通信回路部101に対してユーザID付きのEAP-Response(303)を送信する。そして、無線通信回路部101は受信パケットをイントラネット120上に存在する認証サーバ121に向けて転送する(310)。ここまでの処理は、上述した一般的なEAP認証プロセスと全く同一である。
【0030】
ここで、上述の認証サーバ121は、クライアント端末114からの認証要求(310)に反応し、認証サーバ121内のデータベースに対して認証要求(310)に添付されたユーザIDに相当するユーザが登録されているか否かを検索するが、対応するユーザは登録されていないため、認証拒否応答(311)を無線通信回路部101へ送信する。そして、認証拒否応答(311)を受け取った無線通信回路部101は、一般的なEAP認証プロセスで行う認証拒否応答のクライアント端末114への転送を行わず、アクセスポイント100内に設けられた認証サーバ機能部102と証明書サーバ機能部103で、クライアント端末114用に新規に一時証明書又は一時アカウントを作成し、作成した一時証明書又は認証処理に必要な情報を、クライアント端末114へ無線通信手段110を用いて配布する。
【0031】
図4は、一時証明書又は一時アカウントの作成配布処理を示すフローチャートである。まずステップS401において、イントラネット120上の認証サーバ121によって認証を拒否された場合はステップS402へ進み、クライアント端末114がPAN参加資格を有しない不正ユーザである可能性があるため、アクセスポイント100内の認証サーバ機能部102や証明書サーバ機能部103で一時証明書や一時アカウントの発行を行う前に、クライアント端末所有者の個人情報をアクセスポイント100の表示部104にリスト表示する。そして、ステップS403において、PAN管理者が手入力によってPAN参加の可否入力を行う。具体的には、PAN管理者はアクセスポイント100の表示部104に表示された個人情報を見て、PAN参加者の更新や削除作業を実施した後、PAN参加者リストが過不足無いものになったら、リストの承認を行う。
【0032】
次に、ステップS404において、承認の結果、PAN参加資格を有するクライアントであるか否かを判定し、PAN参加資格を有するクライアントであればステップS405へ進み、証明書サーバ機能部103に一時証明書の発行を要求し、ステップS406で認証サーバ機能部102が一時アカウントを作成し、ステップS407で証明書、一時アカウント及び一時パスワードの情報をクライアントへ配布し、ステップS408で配布した一時認証情報によるEAP認証のための身分証明要求をクライアントへ送信する。また、ステップS404において、不正参加者などの正規のクライアントでない場合はステップS409へ進み、認証拒否をクライアント端末114へ転送し、PAN接続の許可を与えない。
【0033】
また、アクセスポイント100における一時証明書や一時アカウントの発行と配布処理(S405〜S408)において、EAP認証に一時証明書を利用せず、一時アカウント及び一時パスワードのみを使用するEAP-MD5等を利用する場合には、一時証明書の発行処理(S405)を省略できることは言うまでもない。
【0034】
ここで図3に戻り、配布終了後、無線通信回路部101は、EAP認証のための身分証明要求(304)をクライアント端末114へ再送信する。これに答えて、クライアント端末114は、無線通信回路部101経由で認証サーバ機能部102に対して新規に配布された一時証明書又は一時アカウントを用いてユーザID付きのEAP-Response(305)を送信する。これを受けて、無線通信回路部101は、受信したパケットをイントラネット120上に存在する認証サーバ121ではなく、アクセスポイント100内に内蔵された認証サーバ機能部102へ転送する(312)。
【0035】
これにより、アクセスポイント100内の認証サーバ機能部102は、クライアント端末114からの認証要求(312)に反応し、認証サーバ機能部102内のデータベースに対して認証要求(312)に添付されたユーザIDに相当するユーザが登録されているか否かを検索する。このユーザIDは、上述した一時証明書又は一時アカウント作成の際に認証サーバ機能部102内のデータベースに登録されているため、アクセスポイント100内の認証サーバ機能部102は無線通信回路部101を経由してクライアント端末114へ、認証のためのチャレンジ(313、306)を送信する。このチャレンジ(306)を受けたクライアント端末114は、そのチャレンジに対応する回答(先立って配布された一時パスワードや一時証明書の内容やそれを加工した物)を、無線通信回路部101を経由してアクセスポイント100内の認証サーバ機能部102へと返す(307、314)。そして、認証サーバ機能部102は、クライアント端末114から返されたチャレンジ回答(314)の内容を吟味する。
【0036】
このチャレンジ回答は、上述した一時証明書又は一時アカウント作成の際に認証サーバ機能部102内のデータベースに登録された情報より導き出されるため、アクセスポイント100内の認証サーバ機能部102は認証OK(315)を無線通信回路部101経由でクライアント端末114へ送信する。ここで、WEPキー等の無線通信用暗号鍵を変更する場合は、無線通信回路部101から無線通信用暗号鍵情報(309)がクライアント端末114へ送信される。
【0037】
上述のEAP認証プロセス(301〜309)が終了した後、クライアント端末114は、イントラネット120を除くアクセスポイント100を経由して接続された他のクライアント端末111、112、113へのPAN接続も許可される。また、WEPキーの動的変更を実施する場合は、上述のプロセスが一旦完了した後、定期的に無線通信回路部101よりEAP認証のための身分証明要求(304)をクライアント端末114に送信する。そして、上述の処理と同様の再認証及び新しいWEPキーに関する無線通信用暗号鍵情報送信(304〜309)のプロセスを繰り返し実行することで、WEPキーの動的変更を実現する。
【0038】
尚、図4に示すフローチャートにおけるイントラネット120上の認証サーバ121による認証可否の判定(S401)は、タイムアウトか認証拒否パケットの有無によって判断するものである。また、タイムアウト判定は、クライアント端末114がアクセスポイント100の無線通信回路部101経由で認証サーバ121に対してユーザID付きのEAP-Response(303)を送信し、これを受けた無線通信回路部101が受信パケットをイントラネット120上に存在する認証サーバ121に向けて転送した後、予めアクセスポイント100に設定したタイムアウト時間までにそのパケットに対するレスポンスがなされなかった場合に、タイムアウトと判断し、以降の処理(S402以降)へ進める。これは、イントラネット120上に認証サーバ121が存在しない様な場合に有効な判定処理である。
【0039】
また、認証拒否パケットの有無による判定は、図3に示す認証拒否応答(311)を無線通信回路部101でモニタし、そのパケットの有無によってイントラネット120上の認証サーバ121による認証可否を判定する。これは、クライアント端末114が、アカウントを有しない認証サーバ121が存在するイントラネット120に対してユーザID付きのEAP-Response(303)を送信する際には、タイムアウト待ち等による無駄な待ち時間を無くせる点で有効な判定処理である。
【0040】
従って、アクセスポイント100の無線通信回路部101で、イントラネット120上の認証サーバ121による認証可否の自動判定を最も効率良く行うためには、上述の判定方法を組み合わせて「認証拒否パケットが発行されるか、タイムアウト時間内にレスポンスが無かった場合は認証不可と判断する」ことが好ましい。
【0041】
また、本実施形態におけるアクセスポイント100は、携帯して利用するような場合も考えられるため、アクセスポイント100の設置状況が頻繁に変わることが想定される。即ち、アクセスポイント100がイントラネット120に接続されて使用されたり、イントラネット120の存在なしに使用される場合が考えられる。
【0042】
このように、事前にイントラネット120の有無が判明しているような場合に備え、アクセスポイント100上にスイッチを設け、そのスイッチによってクライアント端末から無線通信回路部101経由で認証サーバ121に対して送信されるユーザID付きのEAP-Response(210、310)をイントラネット120へ転送するか否かを設定可能としても良い。
【0043】
尚、このスイッチは物理スイッチ、ソフトスイッチの何れでも構わない。このようなスイッチを設けることで、イントラネット120が存在しないことが事前に分かっている環境でアクセスポイント100を使用する際に、このスイッチをイントラネット120への転送不要に設定すれば、図3に示す310、311のプロセスを省略できるため、一時証明書や一時アカウントの発行処理への移行を迅速に行うことが可能となり、ユーザの利便性を向上させることができる。
【0044】
また、図3に示したイントラネット120上の認証サーバ121にアカウントを持たないクライアント端末114がアクセスポイント100との間に無線通信による接続を確立しようとする際の認証処理プロセスでは、クライアント端末からユーザID付きのEAP-Responseが複数回発生する(303、305)。そこで、1回目のEAP-Response(303)はイントラネット120上の認証サーバ121へ転送し、それ以降のEAP-Response(305)はアクセスポイント100内の認証サーバ機能部102へ確実に転送する必要がある。この転送を正しく実現するために、無線通信回路部101では、あるクライアント端末のイントラネット120上の認証サーバ121による認証可否の履歴又はあるクライアント端末への一時証明書や一時アカウントの発行有無の履歴から転送先を決定すれば良い。
【0045】
つまり、あるクライアント端末のイントラネット120上の認証サーバ121による認証可否の履歴による判定を行う場合は、イントラネット120上の認証サーバ121による認証履歴が無いか、或いは認証に成功したクライアント端末については、常にイントラネット120上の認証サーバ121へEAP-Responseの転送を行い、またイントラネット120上の認証サーバ121による認証に失敗したクライアント端末については、常にアクセスポイント100内の認証サーバ機能部102へEAP-Responseの転送を行う。
【0046】
また、任意のクライアント端末への一時証明書や一時アカウントの発行有無の履歴による転送先判定は、任意のクライアント端末に対してアクセスポイント100内の認証サーバ機能部102や証明書サーバ機能部103による一時証明書や一時アカウントの発行履歴が無い場合はイントラネット120上の認証サーバ121へEAP-Responseの転送を行い、一時証明書や一時アカウントの発行履歴がある場合はアクセスポイント100内の認証サーバ機能部102へEAP-Responseの転送を行う。
【0047】
このようにして、クライアント端末から送信されるユーザID付きのEAP-Responseの転送先を決定することにより、動的にWEPキーを変更する際に繰り返されるユーザID付きのEAP-Responseを、そのクライアント端末を認証した認証サーバ(イントラネット120上の認証サーバ102、或いはアクセスポイント100内の認証サーバ機能部121)へ確実に転送することができ、ネットワーク接続の一時切断等の不具合を防止することができる。
【0048】
また、本実施形態で説明したアクセスポイント100を中心として構築されるPANは、恒久的に存在するものではなく、テンポラリに構築されるものである。従って、アクセスポイント100内の認証サーバ機能部102や証明書サーバ機能部103によって発行された一時証明書や一時アカウントは、恒久的に有効なものであってはならない。このため、これらの一時証明書や一時アカウントは、PAN構築期間が終了したら速やかに無効化する必要がある。この無効化のための方法としては、以下のものが考えられる。
【0049】
第1の方法は、アクセスポイント100に対して、会議の終了通知やスイッチ操作等のトリガが与えられた際に、それまで有効であった一時証明書や一時アカウントをアクセスポイント100側で破棄する方法である。
【0050】
第2の方法は、PAN構築時にユーザによってアクセスポイント100へ入力されたPAN構築予定時間が終了した場合に、それまで有効であった一時証明書や一時アカウントをアクセスポイント100側で破棄する方法である。
【0051】
第3の方法は、PAN構築時から一定時間(数時間が好ましい)が経過した後、無条件にそれまで有効であった一時証明書や一時アカウントをアクセスポイント100側で破棄する方法である。
【0052】
第4の方法は、アクセスポイント100から一時証明書や一時アカウントを発行する際に、ユーザによってアクセスポイント100へ入力されたPAN構築予定時間か、ある一定時間(数時間が好ましい)の有効期限情報(日付や時間情報)を一時証明書や一時アカウント内に設定しておき、認証毎に、その有効期限情報をチェックし、有効期限が経過した後は失効し、アクセスポイント100の認証サーバ機能部102や証明書サーバ機能部103が新たな一時証明書や一時アカウントを再発行しない限り、ネットワーク接続を不可能とする方法である。これらの接続時間制限は、セキュリティの上から有効である。
【0053】
以上説明したように、本実施形態によれば、イントラネット上の認証サーバに正規のアカウントを持つユーザや、認証サーバで有効な証明書を有するユーザを1回の認証処理でイントラネットとテンポラリに構築されるPAN(Personal Area Network)へセキュアに無線接続することができる。また、認証サーバにアカウントを持たない部外者等に対しても、テンポラリに構築されるPANへのセキュアな無線接続を実現することができる。このような無線接続構築のニーズは、会議等でテンポラリに安全なネットワークを構築したい場合等に最適である。
【0054】
尚、本発明は複数の機器(例えば、ホストコンピュータ,インターフェース機器,リーダ,プリンタなど)から構成されるシステムに適用しても、1つの機器からなる装置(例えば、複写機,ファクシミリ装置など)に適用しても良い。
【0055】
また、本発明の目的は前述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記録媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(CPU若しくはMPU)が記録媒体に格納されたプログラムコードを読出し実行することによっても、達成されることは言うまでもない。
【0056】
この場合、記録媒体から読出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコードを記憶した記録媒体は本発明を構成することになる。
【0057】
このプログラムコードを供給するための記録媒体としては、例えばフロッピー(登録商標)ディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,磁気テープ,不揮発性のメモリカード,ROMなどを用いることができる。
【0058】
また、コンピュータが読出したプログラムコードを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0059】
更に、記録媒体から読出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部又は全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0060】
【発明の効果】
以上説明したように、本発明によれば、基幹ネットワークで無線端末装置の認証が失敗し、無線接続装置で無線端末装置の認証を行う際に発生する可能性のある一時的な切断等の不具合を防止することができる。
【図面の簡単な説明】
【図1】本実施形態における無線ネットワークシステムの構成を示す図である。
【図2】クライアント端末113がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。
【図3】クライアント端末114がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。
【図4】一時証明書又は一時アカウントの作成配布処理を示すフローチャートである。
【符号の説明】
100 アクセスポイント
101 無線通信回路部
102 認証サーバ
103 証明書サーバ
104 表示部
110 無線通信手段
111 PDA(Personal Digital Assistants)
112 PDA(Personal Digital Assistants)
113 ノート型パソコン
114 ノート型パソコン
120 基幹ネットワーク(イントラネット)
121 認証サーバ
122 証明書サーバ
【発明の属する技術分野】
本発明は、無線LANやBluetooth等の無線通信機能を有する端末による小規模なLAN環境であるPAN(Personal Area Network)をセキュアに構築する際に用いられる無線接続装置の認証方法及び無線接続装置に関するものである。
【0002】
【従来の技術】
従来、無線LANやBluetoothでは、その通信媒体として電波を用いるため、通信先の制限が難しいという問題があった。このため、これらの規格では、通信先毎に暗号鍵を変更することで、たとえパケットを覗き見られても、それを解読できないようにするといった防御手段が執られている。
【0003】
現在、最も一般的な無線通信の暗号化手段は、IEEE802.11(以下「802.11」)方式であればWEPキー(40bit,128bit)による暗号化であり、またBluetooth方式であれば、Pinコードから自動生成される128bitの暗号鍵による暗号化である。しかし、これらの暗号化方式にも脆弱性があることが指摘されており、無線通信の安全性を更に高めるための暗号化方式として、802.11方式では、802.1xベースの認証を実施した上での動的WEPキー変換(EAP)やTKIP,AESといった、更に高度な暗号化方式、Bluetooth方式では、802.1xベースの上位アプリケーション層での認証・暗号化方式などが検討され、一部実施されている。この中でも802.1xをベースとしたEAP(Extensible Authentication Protocol)方式と呼ばれる認証・暗号化手段は、一部のOS環境において、802.11方式向けの認証・暗号化手段として標準的に実装されている。
【0004】
無線LAN(802.11)におけるEAP方式は、クライアント端末がネットワーク接続要求を行う際に、無線接続装置であるアクセスポイントを介して、TCP/IPの一部ポートを利用してイントラネットやインターネット上に設けられた認証サーバ(RADIUSサーバ等)とデータ通信を行い、認証サーバからクライアント端末への証明書の要求又はチャレンジを実施する。クライアント端末は、証明書所有の証明を行うか、チャレンジに対してアカウント名とパスワードとを返し、それらが認証サーバ内のデータと一致すれば、認証サーバはクライアント端末のネットワーク接続を許可し、無線通信を暗号化するための128bitの暗号鍵又は暗号鍵生成パラメータをアクセスポイントとクライアント端末に返す。
【0005】
このようなプロセスを経て、クライアント端末が認証サーバによる認証にパスすると、それ以降の無線通信は、128bitの暗号鍵をWEPキーとしてクライアント端末とアクセスポイントとの両者間で利用することで暗号化される。更に、このようなプロセスは一定時間毎に定期的に実施され、暗号鍵の更新を行う。
【0006】
また、Bluetooth方式では、無線通信機能を有する各端末で構築される小規模なLAN環境であるPAN(Personal Area Network)プロファイルにおいてセキュリティ向上のために802.1x認証・暗号化手段を用いることが推奨されている。このBluetoothの場合、無線媒体である電波を暗号化するための鍵の生成はBluetooth方式で通信を行うデバイス間のPinコードによる相互認証によって自動的に生成されるため、認証サーバから受け取った暗号鍵情報を、無線LANで用いられているWEPキーのような電波そのものの暗号化鍵としては利用できないが、無線媒体として電波を生成する前段階でパケットを暗号化する際の鍵として利用することで、二重に暗号化し通信のセキュリティを向上させることができる。
【0007】
以上述べてきた802.1x方式の認証・暗号化プロセスでは、認証を実施するための認証サーバがイントラネットなどのネットワーク内に存在し、その認証サーバがクライアント端末のアカウントを集中管理している。このため、802.1x方式を用いるならば、クライアント端末がどこにいても、認証サーバとのTCP/IPによる通信が実施可能な場合、同一アカウント及びパスワードを用いてイントラネットなどの基幹ネットワークに接続することができる。
【0008】
【発明が解決しようとする課題】
このように、上述した802.1x方式による認証・暗号化プロセスを用いることで、クライアント端末は無線通信を用いた安全なネットワーク接続を実現できる。但し、そのためには、ネットワーク内に認証サーバが設置され、かつ、その認証サーバには、予めクライアント端末のアカウントが登録されている必要がある。即ち、802.1x方式は、比較的規模の大きなイントラネット等の基幹ネットワーク上での運用を想定した方式であり、無線によるネットワーク接続を行うクライアント端末も認証サーバ上にアカウントを持ったメンバに限定されるといった制限があった。
【0009】
このため、認証サーバ上にアカウントの無い外来者が参加するミーティングを行う場合やイントラネット等の基幹ネットワークへの接続手段がない社外の会議室等でのミーティングを行う場合は、802.1x方式による認証・暗号化プロセスを利用した無線通信による安全なネットワーク構築ができないという不具合があった。
【0010】
尚、その際に、認証・暗号化を行うことなく、無線通信は実現可能であるが、セキュリティの面から大きな問題がある。
【0011】
また、手作業により無線通信用のパラメータを設定すれば、無線通信の暗号化は可能であるが、クライアント端末はイントラネット等の基幹ネットワーク上で通常利用する802.1x方式のアカウント及びパスワードの入力による自動接続とは、全く異なる接続手段を手動で行わなければならない。また、手作業による無線通信用パラメータの設定では、暗号鍵を一定時間毎に変更することも自動的には実施不可能であるため、安全性が損なわれる。
【0012】
上述のような不具合を無くすためには、PANを構築するメンバのために802.1x方式に対応した専用の認証サーバを設け、その認証サーバ上でPAN構成者を一元管理すれば良い。しかし、そうした場合、イントラネット等の基幹ネットワーク側に存在する正規の認証サーバにアカウントを所有するユーザも、PAN構築専用の認証サーバによって認証が行われるため、無線通信は暗号化されるもののイントラネット等の基幹ネットワークへのアクセスのために、再度、認証作業が必要であったり、或いはイントラネットへのアクセスに障害がでたりと言った不都合が生じる。
【0019】
本発明の目的は、無線端末装置が無線接続装置に認証される際にネットワークの一時的な切断等の不具合を被ることを回避することである。
【0020】
【課題を解決するための手段】
上記目的を達成するために、本発明は、基幹ネットワークに接続され、無線通信により無線端末装置と接続する無線接続装置の認証方法であって、無線端末装置から無線通信による認証要求を受信する受信工程と、受信した認証要求を基幹ネットワークへ転送し、該認証要求に対する認証処理が基幹ネットワークで失敗した場合に、前記無線端末装置に対する一時的な認証処理を行う認証工程と、無線端末装置の基幹ネットワークに対する認証成否又は無線端末装置に対するアカウントの発行有無又は無線端末装置に対する証明書の発行有無の履歴を参照する参照工程と、前記参照工程において参照した前記履歴に応じて、無線端末装置からの認証要求を基幹ネットワークへ転送するか、無線端末装置からの認証要求を基幹ネットワークへ転送せずに前記認証工程における認証を行うかを決定する決定工程と、を有することを特徴とする。
また、本発明は、基幹ネットワークに接続され、無線通信により無線端末装置と接続する無線接続装置であって、無線端末装置から無線通信による認証要求を受信する受信手段と、受信した認証要求を基幹ネットワークへ転送し、該認証要求に対する認証処理が基幹ネットワークで失敗した場合に、前記無線端末装置に対する一時的な認証処理を行う認証手段と、無線端末装置の基幹ネットワークに対する認証成否又は無線端末装置に対するアカウントの発行有無又は無線端末装置に対する証明書の発行有無の履歴を参照する参照手段と、前記参照手段により参照した前記履歴に応じて、無線端末装置からの認証要求を基幹ネットワークへ転送するか、無線端末装置からの認証要求を基幹ネットワークへ転送せずに前記認証手段による認証を行うかを決定する決定手段と、を有することを特徴とする。
【0021】
【発明の実施の形態】
以下、図面を参照しながら本発明に係る実施の形態を詳細に説明する。
【0022】
図1は、本実施形態における無線ネットワークシステムの構成を示す図である。図1において、100は本実施形態のアクセスポイントであり、IEEE802.11やBluetooth等の無線通信手段によって安全なネットワークを構築する。アクセスポイント100において、101は無線通信回路部であり、無線通信手段により後述するクライアント端末との間で無線による通信を行う。102は認証サーバ機能部であり、後述するイントラネット上の認証サーバに代わってクライアント端末の認証処理を行う。103は証明書サーバ機能部であり、認証サーバ機能部102により認証されたクライアント端末へ証明書の発行を行う。104は表示部であり、アクセスポイント100からの一時認証のためのメッセージを表示する。
【0023】
110は無線媒体であり、802.11やBluetooth等の電波による無線通信手段である。111、112はPDA(Personal Digital Assistants)であり、アクセスポイント100と無線で接続する。113、114はノート型パソコン(PC)であり、アクセスポイント100と無線で接続する。120はアクセスポイント100と接続されたイントラネットやインターネットなどの基幹ネットワーク(以下「イントラネット」と称す)である。121はイントラネット120上に設けられた認証サーバであり、クライアント端末からの認証要求により認証処理を行う。122はイントラネット120上に設けられた証明書サーバである。尚、本実施形態では、上述のアクセスポイント100と無線通信手段110を介して接続されるPDA111、112、ノート型パソコン113、114を「クライアント端末」と称す。
【0024】
ここで、以下の説明を容易にするために、クライアント端末113はイントラネット120上の証明書サーバ122によって発行された証明書を所有しているか、イントラネット120上の認証サーバ121にアカウントを有するクライアント端末であると仮定する。同様に、クライアント端末114はイントラネット120上の証明書サーバ122によって発行された証明書を所有しておらず、かつイントラネット120上の認証サーバ121にアカウントを有していないクライアント端末であると仮定する。
【0025】
図2は、クライアント端末113がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。図2に示すように、クライアント端末113が、アクセスポイント100の無線通信回路部101と802.11アソシエーション(200)の一連のやり取りを実施した後に、EAP認証プロセス(201〜207)を開始する。先ず、クライアント端末113は無線通信回路部101に対してEAP認証を行うことを宣言し(201)、この宣言に呼応して、無線通信回路部101がEAP認証のための身分証明要求(202)をクライアント端末113に送信する。これに答えて、クライアント端末113は、無線通信回路部101に対してユーザID付きのEAP-Response(203)を送信する。そして、無線通信回路部101は受信パケットをイントラネット120上に存在する認証サーバ121に向けて転送する(210)。
【0026】
これにより、認証サーバ121は、クライアント端末113からの認証要求(210)に反応し、認証サーバ121内のデータベースに対して認証要求(210)に添付されたユーザIDに相当するユーザが登録されているか否かを検索する。ここで、対応するユーザが登録されていた場合には、無線通信回路部101を経由してクライアント端末113へ、認証のためのチャレンジ(211、204)を送信する。このチャレンジ(204)を受けたクライアント端末113は、そのチャレンジに対応する回答(一般的にはパスワードや証明書の内容)を無線通信回路部101経由でイントラネット120上の認証サーバ121へと返す(205、212)。そして、認証サーバ121は、クライアント端末113から返されたチャレンジ回答(212)の内容を吟味し、自身のデータベースに記録された認証データと一致していれば、認証OKを無線通信回路部101経由でクライアント端末113へ送信する(213、206)。ここでWEPキー等の無線通信用暗号鍵を変更する場合には、無線通信回路部101から無線通信用暗号鍵情報(207)がクライアント端末113へ送信される。
【0027】
上述のEAP認証プロセス(201〜207)が終了した後、クライアント端末113は、アクセスポイント100経由のイントラネット120へのアクセスが許可される。この際、イントラネット120上の認証サーバ121による認証がなされたクライアント端末113に対しては、イントラネット120だけでなく、アクセスポイント100を経由して接続された他のクライアント端末111、112、114へのPANアクセスも許可されることは言うまでもない。また、WEPキーの動的変更を実施する場合は、上述のプロセスが一旦完了した後、定期的に無線通信回路部101よりEAP認証のための身分証明要求(202)をクライアント端末113に送信する。そして、上述の処理と同様の再認証及び新しいWEPキーに関する無線通信用暗号鍵情報送信(202〜207)のプロセスを繰り返し実行することで、WEPキーの動的変更を実現する。
【0028】
上述の認証プロセスは、一般的なEAP認証の実施プロセスと何ら変わりない。即ち、本実施形態ではイントラネット120側の認証サーバ121にアカウントが存在するクライアント端末113に対しては、通常のEAP認証と同一の動作を行う。一方、イントラネット120上の証明書サーバ122によって発行された証明書を所有しておらず、かつ、イントラネット120上の認証サーバ121にアカウントを有していないクライアント端末114の場合は、一般的なEAP認証プロセスとは異なる動作を行う。
【0029】
図3は、クライアント端末114がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。図3に示すように、クライアント端末114も、アクセスポイント100の無線通信回路部101と802.11アソシエーション(300)の一連のやり取りを実施した後に、EAP認証プロセス(301〜309)を開始する。先ず、クライアント端末114は無線通信回路部101に対してEAP認証を行うことを宣言し(301)、この宣言に呼応して、無線通信回路部101がEAP認証のための身分証明要求(302)をクライアント端末114に送信する。これに答えて、クライアント端末114は、無線通信回路部101に対してユーザID付きのEAP-Response(303)を送信する。そして、無線通信回路部101は受信パケットをイントラネット120上に存在する認証サーバ121に向けて転送する(310)。ここまでの処理は、上述した一般的なEAP認証プロセスと全く同一である。
【0030】
ここで、上述の認証サーバ121は、クライアント端末114からの認証要求(310)に反応し、認証サーバ121内のデータベースに対して認証要求(310)に添付されたユーザIDに相当するユーザが登録されているか否かを検索するが、対応するユーザは登録されていないため、認証拒否応答(311)を無線通信回路部101へ送信する。そして、認証拒否応答(311)を受け取った無線通信回路部101は、一般的なEAP認証プロセスで行う認証拒否応答のクライアント端末114への転送を行わず、アクセスポイント100内に設けられた認証サーバ機能部102と証明書サーバ機能部103で、クライアント端末114用に新規に一時証明書又は一時アカウントを作成し、作成した一時証明書又は認証処理に必要な情報を、クライアント端末114へ無線通信手段110を用いて配布する。
【0031】
図4は、一時証明書又は一時アカウントの作成配布処理を示すフローチャートである。まずステップS401において、イントラネット120上の認証サーバ121によって認証を拒否された場合はステップS402へ進み、クライアント端末114がPAN参加資格を有しない不正ユーザである可能性があるため、アクセスポイント100内の認証サーバ機能部102や証明書サーバ機能部103で一時証明書や一時アカウントの発行を行う前に、クライアント端末所有者の個人情報をアクセスポイント100の表示部104にリスト表示する。そして、ステップS403において、PAN管理者が手入力によってPAN参加の可否入力を行う。具体的には、PAN管理者はアクセスポイント100の表示部104に表示された個人情報を見て、PAN参加者の更新や削除作業を実施した後、PAN参加者リストが過不足無いものになったら、リストの承認を行う。
【0032】
次に、ステップS404において、承認の結果、PAN参加資格を有するクライアントであるか否かを判定し、PAN参加資格を有するクライアントであればステップS405へ進み、証明書サーバ機能部103に一時証明書の発行を要求し、ステップS406で認証サーバ機能部102が一時アカウントを作成し、ステップS407で証明書、一時アカウント及び一時パスワードの情報をクライアントへ配布し、ステップS408で配布した一時認証情報によるEAP認証のための身分証明要求をクライアントへ送信する。また、ステップS404において、不正参加者などの正規のクライアントでない場合はステップS409へ進み、認証拒否をクライアント端末114へ転送し、PAN接続の許可を与えない。
【0033】
また、アクセスポイント100における一時証明書や一時アカウントの発行と配布処理(S405〜S408)において、EAP認証に一時証明書を利用せず、一時アカウント及び一時パスワードのみを使用するEAP-MD5等を利用する場合には、一時証明書の発行処理(S405)を省略できることは言うまでもない。
【0034】
ここで図3に戻り、配布終了後、無線通信回路部101は、EAP認証のための身分証明要求(304)をクライアント端末114へ再送信する。これに答えて、クライアント端末114は、無線通信回路部101経由で認証サーバ機能部102に対して新規に配布された一時証明書又は一時アカウントを用いてユーザID付きのEAP-Response(305)を送信する。これを受けて、無線通信回路部101は、受信したパケットをイントラネット120上に存在する認証サーバ121ではなく、アクセスポイント100内に内蔵された認証サーバ機能部102へ転送する(312)。
【0035】
これにより、アクセスポイント100内の認証サーバ機能部102は、クライアント端末114からの認証要求(312)に反応し、認証サーバ機能部102内のデータベースに対して認証要求(312)に添付されたユーザIDに相当するユーザが登録されているか否かを検索する。このユーザIDは、上述した一時証明書又は一時アカウント作成の際に認証サーバ機能部102内のデータベースに登録されているため、アクセスポイント100内の認証サーバ機能部102は無線通信回路部101を経由してクライアント端末114へ、認証のためのチャレンジ(313、306)を送信する。このチャレンジ(306)を受けたクライアント端末114は、そのチャレンジに対応する回答(先立って配布された一時パスワードや一時証明書の内容やそれを加工した物)を、無線通信回路部101を経由してアクセスポイント100内の認証サーバ機能部102へと返す(307、314)。そして、認証サーバ機能部102は、クライアント端末114から返されたチャレンジ回答(314)の内容を吟味する。
【0036】
このチャレンジ回答は、上述した一時証明書又は一時アカウント作成の際に認証サーバ機能部102内のデータベースに登録された情報より導き出されるため、アクセスポイント100内の認証サーバ機能部102は認証OK(315)を無線通信回路部101経由でクライアント端末114へ送信する。ここで、WEPキー等の無線通信用暗号鍵を変更する場合は、無線通信回路部101から無線通信用暗号鍵情報(309)がクライアント端末114へ送信される。
【0037】
上述のEAP認証プロセス(301〜309)が終了した後、クライアント端末114は、イントラネット120を除くアクセスポイント100を経由して接続された他のクライアント端末111、112、113へのPAN接続も許可される。また、WEPキーの動的変更を実施する場合は、上述のプロセスが一旦完了した後、定期的に無線通信回路部101よりEAP認証のための身分証明要求(304)をクライアント端末114に送信する。そして、上述の処理と同様の再認証及び新しいWEPキーに関する無線通信用暗号鍵情報送信(304〜309)のプロセスを繰り返し実行することで、WEPキーの動的変更を実現する。
【0038】
尚、図4に示すフローチャートにおけるイントラネット120上の認証サーバ121による認証可否の判定(S401)は、タイムアウトか認証拒否パケットの有無によって判断するものである。また、タイムアウト判定は、クライアント端末114がアクセスポイント100の無線通信回路部101経由で認証サーバ121に対してユーザID付きのEAP-Response(303)を送信し、これを受けた無線通信回路部101が受信パケットをイントラネット120上に存在する認証サーバ121に向けて転送した後、予めアクセスポイント100に設定したタイムアウト時間までにそのパケットに対するレスポンスがなされなかった場合に、タイムアウトと判断し、以降の処理(S402以降)へ進める。これは、イントラネット120上に認証サーバ121が存在しない様な場合に有効な判定処理である。
【0039】
また、認証拒否パケットの有無による判定は、図3に示す認証拒否応答(311)を無線通信回路部101でモニタし、そのパケットの有無によってイントラネット120上の認証サーバ121による認証可否を判定する。これは、クライアント端末114が、アカウントを有しない認証サーバ121が存在するイントラネット120に対してユーザID付きのEAP-Response(303)を送信する際には、タイムアウト待ち等による無駄な待ち時間を無くせる点で有効な判定処理である。
【0040】
従って、アクセスポイント100の無線通信回路部101で、イントラネット120上の認証サーバ121による認証可否の自動判定を最も効率良く行うためには、上述の判定方法を組み合わせて「認証拒否パケットが発行されるか、タイムアウト時間内にレスポンスが無かった場合は認証不可と判断する」ことが好ましい。
【0041】
また、本実施形態におけるアクセスポイント100は、携帯して利用するような場合も考えられるため、アクセスポイント100の設置状況が頻繁に変わることが想定される。即ち、アクセスポイント100がイントラネット120に接続されて使用されたり、イントラネット120の存在なしに使用される場合が考えられる。
【0042】
このように、事前にイントラネット120の有無が判明しているような場合に備え、アクセスポイント100上にスイッチを設け、そのスイッチによってクライアント端末から無線通信回路部101経由で認証サーバ121に対して送信されるユーザID付きのEAP-Response(210、310)をイントラネット120へ転送するか否かを設定可能としても良い。
【0043】
尚、このスイッチは物理スイッチ、ソフトスイッチの何れでも構わない。このようなスイッチを設けることで、イントラネット120が存在しないことが事前に分かっている環境でアクセスポイント100を使用する際に、このスイッチをイントラネット120への転送不要に設定すれば、図3に示す310、311のプロセスを省略できるため、一時証明書や一時アカウントの発行処理への移行を迅速に行うことが可能となり、ユーザの利便性を向上させることができる。
【0044】
また、図3に示したイントラネット120上の認証サーバ121にアカウントを持たないクライアント端末114がアクセスポイント100との間に無線通信による接続を確立しようとする際の認証処理プロセスでは、クライアント端末からユーザID付きのEAP-Responseが複数回発生する(303、305)。そこで、1回目のEAP-Response(303)はイントラネット120上の認証サーバ121へ転送し、それ以降のEAP-Response(305)はアクセスポイント100内の認証サーバ機能部102へ確実に転送する必要がある。この転送を正しく実現するために、無線通信回路部101では、あるクライアント端末のイントラネット120上の認証サーバ121による認証可否の履歴又はあるクライアント端末への一時証明書や一時アカウントの発行有無の履歴から転送先を決定すれば良い。
【0045】
つまり、あるクライアント端末のイントラネット120上の認証サーバ121による認証可否の履歴による判定を行う場合は、イントラネット120上の認証サーバ121による認証履歴が無いか、或いは認証に成功したクライアント端末については、常にイントラネット120上の認証サーバ121へEAP-Responseの転送を行い、またイントラネット120上の認証サーバ121による認証に失敗したクライアント端末については、常にアクセスポイント100内の認証サーバ機能部102へEAP-Responseの転送を行う。
【0046】
また、任意のクライアント端末への一時証明書や一時アカウントの発行有無の履歴による転送先判定は、任意のクライアント端末に対してアクセスポイント100内の認証サーバ機能部102や証明書サーバ機能部103による一時証明書や一時アカウントの発行履歴が無い場合はイントラネット120上の認証サーバ121へEAP-Responseの転送を行い、一時証明書や一時アカウントの発行履歴がある場合はアクセスポイント100内の認証サーバ機能部102へEAP-Responseの転送を行う。
【0047】
このようにして、クライアント端末から送信されるユーザID付きのEAP-Responseの転送先を決定することにより、動的にWEPキーを変更する際に繰り返されるユーザID付きのEAP-Responseを、そのクライアント端末を認証した認証サーバ(イントラネット120上の認証サーバ102、或いはアクセスポイント100内の認証サーバ機能部121)へ確実に転送することができ、ネットワーク接続の一時切断等の不具合を防止することができる。
【0048】
また、本実施形態で説明したアクセスポイント100を中心として構築されるPANは、恒久的に存在するものではなく、テンポラリに構築されるものである。従って、アクセスポイント100内の認証サーバ機能部102や証明書サーバ機能部103によって発行された一時証明書や一時アカウントは、恒久的に有効なものであってはならない。このため、これらの一時証明書や一時アカウントは、PAN構築期間が終了したら速やかに無効化する必要がある。この無効化のための方法としては、以下のものが考えられる。
【0049】
第1の方法は、アクセスポイント100に対して、会議の終了通知やスイッチ操作等のトリガが与えられた際に、それまで有効であった一時証明書や一時アカウントをアクセスポイント100側で破棄する方法である。
【0050】
第2の方法は、PAN構築時にユーザによってアクセスポイント100へ入力されたPAN構築予定時間が終了した場合に、それまで有効であった一時証明書や一時アカウントをアクセスポイント100側で破棄する方法である。
【0051】
第3の方法は、PAN構築時から一定時間(数時間が好ましい)が経過した後、無条件にそれまで有効であった一時証明書や一時アカウントをアクセスポイント100側で破棄する方法である。
【0052】
第4の方法は、アクセスポイント100から一時証明書や一時アカウントを発行する際に、ユーザによってアクセスポイント100へ入力されたPAN構築予定時間か、ある一定時間(数時間が好ましい)の有効期限情報(日付や時間情報)を一時証明書や一時アカウント内に設定しておき、認証毎に、その有効期限情報をチェックし、有効期限が経過した後は失効し、アクセスポイント100の認証サーバ機能部102や証明書サーバ機能部103が新たな一時証明書や一時アカウントを再発行しない限り、ネットワーク接続を不可能とする方法である。これらの接続時間制限は、セキュリティの上から有効である。
【0053】
以上説明したように、本実施形態によれば、イントラネット上の認証サーバに正規のアカウントを持つユーザや、認証サーバで有効な証明書を有するユーザを1回の認証処理でイントラネットとテンポラリに構築されるPAN(Personal Area Network)へセキュアに無線接続することができる。また、認証サーバにアカウントを持たない部外者等に対しても、テンポラリに構築されるPANへのセキュアな無線接続を実現することができる。このような無線接続構築のニーズは、会議等でテンポラリに安全なネットワークを構築したい場合等に最適である。
【0054】
尚、本発明は複数の機器(例えば、ホストコンピュータ,インターフェース機器,リーダ,プリンタなど)から構成されるシステムに適用しても、1つの機器からなる装置(例えば、複写機,ファクシミリ装置など)に適用しても良い。
【0055】
また、本発明の目的は前述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記録媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(CPU若しくはMPU)が記録媒体に格納されたプログラムコードを読出し実行することによっても、達成されることは言うまでもない。
【0056】
この場合、記録媒体から読出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコードを記憶した記録媒体は本発明を構成することになる。
【0057】
このプログラムコードを供給するための記録媒体としては、例えばフロッピー(登録商標)ディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,磁気テープ,不揮発性のメモリカード,ROMなどを用いることができる。
【0058】
また、コンピュータが読出したプログラムコードを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0059】
更に、記録媒体から読出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部又は全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0060】
【発明の効果】
以上説明したように、本発明によれば、基幹ネットワークで無線端末装置の認証が失敗し、無線接続装置で無線端末装置の認証を行う際に発生する可能性のある一時的な切断等の不具合を防止することができる。
【図面の簡単な説明】
【図1】本実施形態における無線ネットワークシステムの構成を示す図である。
【図2】クライアント端末113がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。
【図3】クライアント端末114がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。
【図4】一時証明書又は一時アカウントの作成配布処理を示すフローチャートである。
【符号の説明】
100 アクセスポイント
101 無線通信回路部
102 認証サーバ
103 証明書サーバ
104 表示部
110 無線通信手段
111 PDA(Personal Digital Assistants)
112 PDA(Personal Digital Assistants)
113 ノート型パソコン
114 ノート型パソコン
120 基幹ネットワーク(イントラネット)
121 認証サーバ
122 証明書サーバ
Claims (12)
- 基幹ネットワークに接続され、無線通信により無線端末装置と接続する無線接続装置の認証方法であって、
無線端末装置から無線通信による認証要求を受信する受信工程と、
受信した認証要求を基幹ネットワークへ転送し、該認証要求に対する認証処理が基幹ネットワークで失敗した場合に、前記無線端末装置に対する一時的な認証処理を行う認証工程と、
無線端末装置の基幹ネットワークに対する認証成否又は無線端末装置に対するアカウントの発行有無又は無線端末装置に対する証明書の発行有無の履歴を参照する参照工程と、
前記参照工程において参照した前記履歴に応じて、無線端末装置からの認証要求を基幹ネットワークへ転送するか、無線端末装置からの認証要求を基幹ネットワークへ転送せずに前記認証工程における認証を行うかを決定する決定工程と、
を有することを特徴とする無線接続装置の認証方法。 - 前記認証工程における認証結果に応じて、前記無線端末装置に対して前記基幹ネットワークへのアクセスを禁止する禁止工程を有することを特徴とする請求項1記載の無線接続装置の認証方法。
- 前記認証工程における認証結果に応じて、前記無線端末装置に対して前記無線接続装置を介して他の無線端末装置に対する通信のみを許可する許可工程を有することを特徴とする請求項2記載の無線接続装置の認証方法。
- 前記認証工程は、無線端末装置からの認証要求に対する基幹ネットワークによる認証の失敗をタイムアウトによって判定することを特徴とする請求項1記載の無線接続装置の認証方法。
- 前記認証工程は、無線端末装置からの認証要求に対する基幹ネットワークによる認証の失敗を認証サーバからの認証拒否パケットによって判定することを特徴とする請求項1記載の無線接続装置の認証方法。
- 前記認証工程は、無線端末装置からの認証要求を基幹ネットワークへ転送するか否かをスイッチの設定により判定することを特徴とする請求項1記載の無線接続装置の認証方法。
- 前記認証工程において認証を行う際に、前記基幹ネットワークによる認証処理に失敗した無線端末装置に対して一時的なアカウント又は証明書を発行する発行工程を有し、
前記発行工程において発行したアカウント又はや証明書を一定のユーザ操作によって無効化する無効化工程と、を有することを特徴とする請求項1記載の無線接続装置の認証方法。 - 前記認証工程において認証を行う際に、前記基幹ネットワークによる認証処理に失敗した無線端末装置に対して一時的なアカウント又は証明書を発行する発行工程を有し、
前記発行工程において発行したアカウント又はや証明書をユーザ設定による設定時間か一定時間が経過した後に、無効化する無効化工程と、を有することを特徴とする請求項1記載の無線接続装置の認証方法。 - 前記認証工程において認証を行う際に、前記基幹ネットワークによる認証処理に失敗した無線端末装置に対して発行する一時的なアカウント又は証明書を発行する発行工程を有し、
前記アカウント又は証明書には、有効期限情報が含まれ、前記認証工程は、該有効時間が経過した後は、前記アカウント又は証明書による接続要求を受け付けないことを特徴とする請求項1記載の無線接続装置の認証方法。 - 基幹ネットワークに接続され、無線通信により無線端末装置と接続する無線接続装置であって、
無線端末装置から無線通信による認証要求を受信する受信手段と、
受信した認証要求を基幹ネットワークへ転送し、該認証要求に対する認証処理が基幹ネットワークで失敗した場合に、前記無線端末装置に対する一時的な認証処理を行う認証手段と、
無線端末装置の基幹ネットワークに対する認証成否又は無線端末装置に対するアカウントの発行有無又は無線端末装置に対する証明書の発行有無の履歴を参照する参照手段と、
前記参照手段により参照した前記履歴に応じて、無線端末装置からの認証要求を基幹ネットワークへ転送するか、無線端末装置からの認証要求を基幹ネットワークへ転送せずに前記認証手段による認証を行うかを決定する決定手段と、
を有することを特徴とする無線接続装置。 - コンピュータに請求項1乃至請求項9の何れかに記載の無線接続装置の認証方法を実行させるためのプログラム。
- 請求項11記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003098038A JP4018584B2 (ja) | 2003-04-01 | 2003-04-01 | 無線接続装置の認証方法及び無線接続装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003098038A JP4018584B2 (ja) | 2003-04-01 | 2003-04-01 | 無線接続装置の認証方法及び無線接続装置 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2004304710A JP2004304710A (ja) | 2004-10-28 |
| JP2004304710A5 JP2004304710A5 (ja) | 2006-06-01 |
| JP4018584B2 true JP4018584B2 (ja) | 2007-12-05 |
Family
ID=33409673
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003098038A Expired - Fee Related JP4018584B2 (ja) | 2003-04-01 | 2003-04-01 | 無線接続装置の認証方法及び無線接続装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4018584B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4908819B2 (ja) * | 2004-12-01 | 2012-04-04 | キヤノン株式会社 | 無線制御装置、システム、制御方法、及びプログラム |
| JP2006217327A (ja) * | 2005-02-04 | 2006-08-17 | Kddi Corp | 無線通信装置及び通信システム |
| CN101051967A (zh) | 2006-04-04 | 2007-10-10 | 华为技术有限公司 | 用户网络中用户设备的通信系统及其方法 |
| US9319880B2 (en) | 2010-09-15 | 2016-04-19 | Intel Corporation | Reformatting data to decrease bandwidth between a video encoder and a buffer |
| EP2754260A4 (en) | 2011-09-09 | 2015-05-06 | Intel Corp | MOBILE DEVICE AND METHOD FOR SECURE ONLINE REGISTRATION AND SUPPLY OF WIRELESS ACCESS POINTS USING SOAP-XML TYPE TECHNIQUES |
| US9843452B2 (en) * | 2014-12-15 | 2017-12-12 | Amazon Technologies, Inc. | Short-duration digital certificate issuance based on long-duration digital certificate validation |
| JP6152962B1 (ja) | 2016-12-15 | 2017-06-28 | 株式会社タウンWiFi | 端末装置、接続方法、接続プログラム、認証支援サーバ、認証支援方法、認証支援プログラム及び認証支援システム |
-
2003
- 2003-04-01 JP JP2003098038A patent/JP4018584B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004304710A (ja) | 2004-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9131378B2 (en) | Dynamic authentication in secured wireless networks | |
| JP3961462B2 (ja) | コンピュータ装置、無線lanシステム、プロファイルの更新方法、およびプログラム | |
| JP4746333B2 (ja) | コンピューティングシステムの効率的かつセキュアな認証 | |
| EP1959368B1 (en) | Security link management in dynamic networks | |
| JP4777729B2 (ja) | 設定情報配布装置、方法、プログラム及び媒体 | |
| CN102215221B (zh) | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 | |
| US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
| CN108769007B (zh) | 网关安全认证方法、服务器及网关 | |
| US20070089163A1 (en) | System and method for controlling security of a remote network power device | |
| US20060161770A1 (en) | Network apparatus and program | |
| US7975293B2 (en) | Authentication system, authentication method and terminal device | |
| US20070165582A1 (en) | System and method for authenticating a wireless computing device | |
| WO2007128134A1 (en) | Secure wireless guest access | |
| US11522702B1 (en) | Secure onboarding of computing devices using blockchain | |
| JP4018584B2 (ja) | 無線接続装置の認証方法及び無線接続装置 | |
| JP2003338814A (ja) | 通信システム、管理サーバおよびその制御方法ならびにプログラム | |
| JP2008097264A (ja) | 無線lan端末を認証する認証システム、認証方法、認証サーバ、無線lan端末、及びプログラム | |
| JP4499575B2 (ja) | ネットワークセキュリティ方法およびネットワークセキュリティシステム | |
| KR102288445B1 (ko) | 단체용 인증모듈의 온보딩 방법, 장치 및 프로그램 | |
| JP2019213085A (ja) | データ通信システム | |
| JP5545433B2 (ja) | 携帯電子装置および携帯電子装置の動作制御方法 | |
| JP2009104509A (ja) | 端末認証システム、端末認証方法 | |
| US20040225709A1 (en) | Automatically configuring security system | |
| Zhao et al. | Addressing the vulnerability of the 4-way handshake of 802.11 i | |
| US11824989B2 (en) | Secure onboarding of computing devices using blockchain |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060331 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060331 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070618 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070622 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070815 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070907 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070920 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100928 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100928 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110928 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110928 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120928 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120928 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130928 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |