JP4606055B2 - 暗号鍵設定システム、アクセスポイントおよび暗号鍵設定方法 - Google Patents

暗号鍵設定システム、アクセスポイントおよび暗号鍵設定方法 Download PDF

Info

Publication number
JP4606055B2
JP4606055B2 JP2004125150A JP2004125150A JP4606055B2 JP 4606055 B2 JP4606055 B2 JP 4606055B2 JP 2004125150 A JP2004125150 A JP 2004125150A JP 2004125150 A JP2004125150 A JP 2004125150A JP 4606055 B2 JP4606055 B2 JP 4606055B2
Authority
JP
Japan
Prior art keywords
terminal
access point
encryption method
encryption
wireless lan
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2004125150A
Other languages
English (en)
Other versions
JP2005311653A (ja
Inventor
佳照 田村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Buffalo Inc
Original Assignee
Buffalo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Buffalo Inc filed Critical Buffalo Inc
Priority to JP2004125150A priority Critical patent/JP4606055B2/ja
Priority to AT05251702T priority patent/ATE357100T1/de
Priority to DE200560000704 priority patent/DE602005000704T2/de
Priority to EP20050251702 priority patent/EP1605638B1/en
Priority to US11/103,007 priority patent/US20050238172A1/en
Priority to CNB2005100659753A priority patent/CN100366015C/zh
Priority to KR20050032721A priority patent/KR100701495B1/ko
Priority to TW094112507A priority patent/TWI268687B/zh
Publication of JP2005311653A publication Critical patent/JP2005311653A/ja
Priority to HK05111729A priority patent/HK1077142A1/xx
Application granted granted Critical
Publication of JP4606055B2 publication Critical patent/JP4606055B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65BMACHINES, APPARATUS OR DEVICES FOR, OR METHODS OF, PACKAGING ARTICLES OR MATERIALS; UNPACKING
    • B65B35/00Supplying, feeding, arranging or orientating articles to be packaged
    • B65B35/56Orientating, i.e. changing the attitude of, articles, e.g. of non-uniform cross-section
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65BMACHINES, APPARATUS OR DEVICES FOR, OR METHODS OF, PACKAGING ARTICLES OR MATERIALS; UNPACKING
    • B65B35/00Supplying, feeding, arranging or orientating articles to be packaged
    • B65B35/30Arranging and feeding articles in groups
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65BMACHINES, APPARATUS OR DEVICES FOR, OR METHODS OF, PACKAGING ARTICLES OR MATERIALS; UNPACKING
    • B65B5/00Packaging individual articles in containers or receptacles, e.g. bags, sacks, boxes, cartons, cans, jars
    • B65B5/10Filling containers or receptacles progressively or in stages by introducing successive articles, or layers of articles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65GTRANSPORT OR STORAGE DEVICES, e.g. CONVEYORS FOR LOADING OR TIPPING, SHOP CONVEYOR SYSTEMS OR PNEUMATIC TUBE CONVEYORS
    • B65G2201/00Indexing codes relating to handling devices, e.g. conveyors, characterised by the type of product or load being conveyed or handled
    • B65G2201/02Articles
    • B65G2201/0235Containers
    • B65G2201/0238Bags
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65GTRANSPORT OR STORAGE DEVICES, e.g. CONVEYORS FOR LOADING OR TIPPING, SHOP CONVEYOR SYSTEMS OR PNEUMATIC TUBE CONVEYORS
    • B65G47/00Article or material-handling devices associated with conveyors; Methods employing such devices
    • B65G47/22Devices influencing the relative position or the attitude of articles during transit by conveyors
    • B65G47/26Devices influencing the relative position or the attitude of articles during transit by conveyors arranging the articles, e.g. varying spacing between individual articles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/67Risk-dependent, e.g. selecting a security level depending on risk profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Communication Control (AREA)

Description

本発明は、暗号鍵設定システム、アクセスポイントおよび暗号鍵設定方法に関する。
無線LAN用の中継器であるアクセスポイントを介しての無線通信ネットワークを構築する場合には、ネットワークへの不正侵入や通信データの第三者への漏洩などを防ぐため、同ネットワークのセキュリティを高度に確保する必要がある。そのため、無線LANに関しては、種々のセキュリティ技術が提案されていた。
例えば、端末に装着される無線LAN接続用デバイス(例えば、無線LANアダプタ)に予め割り当てられた固有の識別番号であるMAC(Media Access Control)アドレスを利用し、このMACアドレスをアクセスポイントに登録しておき、端末からのアクセスに伴ってアクセスポイントがMACアドレスの認証を行ない、登録されたMACアドレス以外のMACアドレスであれば、該端末からのネットワークへの接続要求を拒否する技術が提案されていた(例えば、特許文献1を参照)。また、端末およびアクセスポイントに、共通の暗号鍵としてWEP(Wired Equivalent Privacy)キーを設定しておき、端末とアクセスポイントとの間でやりとりされるデータの内容をWEPキーを用いて暗号化し、データが漏洩した場合であっても、データの内容を解析しにくくし、データの内容がわからないようにする技術も提案されていた(例えば、特許文献2を参照)。
また、かかるMACアドレスの登録やWEPキーに代表される暗号鍵の設定を簡易かつ安全に行うための発明について、本願出願人は既に出願を行っている(特願2003‐408011)。すなわち、同出願によれば、アクセスポイントへのMACアドレスの登録や端末への暗号鍵の設定に際して煩雑な入力操作が不要であり、無線LANを利用する端末を新たに追加しようとする場合にも、利用者は暗号鍵を表わすデータの漏洩を防ぎながら容易に必要なセキュリティ設定を行うことができる。
特開2001−320373号公報 特開2001−345819号公報
しかし、同出願に記載の発明においては、次の技術的課題が残されていた。つまり、新たな端末がネットワークに追加された場合には、所定のセキュリティポリシーに基づいて同ネットワークにおいて使用する暗号化方式及び暗号鍵が設定され、同設定された暗号化方式と暗号鍵は、次に他の端末がネットワークに追加されるまでは維持されていた。そして、ネットワークに参加する端末が減少した場合にも、同暗号化方式と暗号鍵との設定は維持されていた。その結果、ある端末がネットワークから離脱した後において、同ネットワークに参加する無線LAN用機器間で設定し得る最適なセキュリティ環境が必ずしも構築されていない場合があった。
本発明は、上記課題にかんがみてなされたもので、無線LANを構築する機器の変化に柔軟に対応し、各無線LAN用機器に対して、その時点において最適なセキュリティ環境を設定可能な暗号鍵設定システム、アクセスポイントおよび暗号鍵設定方法を提供することを目的とする。
上記目的を達成するために発明は、無線LAN用の中継器であるアクセスポイントと無線LAN接続用デバイスを備えた端末との間で、無線で通信される無線通信データを通信に先立って暗号化する際に用いられる暗号化方式と暗号鍵とを設定する暗号鍵設定システムであって、上記端末は、上記アクセスポイントに対して、当該端末が対応可能な暗号化方式を無線で伝える端末側暗号化方式伝達手段と、上記アクセスポイントが採用した暗号化方式を検知し、同検知した暗号化方式を選択する端末側暗号化方式選択手段とを備え、上記アクセスポイントは、同アクセスポイントを介した無線LANに参加している端末を特定し同参加している端末が変化したか否かを検知する接続端末検知手段と、上記接続端末検知手段が同無線LANに参加している端末が変化したことを検知した場合に、同アクセスポイントが対応可能な暗号化方式であって同無線LANに参加している端末が共通して対応可能な暗号化方式の中から、所定の判断基準に従って所定の暗号化方式を選択して採用するアクセスポイント側暗号化方式選択手段とを備える構成としてある。
上記構成においては、無線LAN用の中継器であるアクセスポイントと無線LAN接続用デバイスを備えた端末との間で無線で通信される無線通信データを通信に先立って暗号化する際に用いられる暗号化方式と暗号鍵とを設定する。
ここで、端末は、端末側暗号化方式伝達手段によって、アクセスポイントに対して当該端末が対応可能な暗号化方式を無線で伝える。アクセスポイントは各端末が夫々対応可能な暗号化方式を認識する一方で、接続端末検知手段によって、同アクセスポイントを介した無線LANに参加している端末を特定し、同参加している端末が変化したか否かを検知している。そして、同無線LANに参加している端末が変化したことを検知した場合、アクセスポイント側暗号化方式選択手段は、同アクセスポイントが対応可能な暗号化方式であって同無線LANに参加している端末が共通して対応可能な暗号化方式の中から、所定の判断基準に従って所定の暗号化方式を選択して採用する。
一方、端末は、端末側暗号化方式選択手段において、上記アクセスポイントが採用した暗号化方式を検知し、同検知した暗号化方式を選択する。以後、上記無線LANに参加する端末とアクセスポイントは、さらに同無線LANに参加する端末が変化しない限り、基本的に上記採用した暗号化方式において利用する暗号鍵を用いて無線通信を行う。
このように、本発明によれば、無線LANを構築する機器の構成に変化が生じたことを検知する度に、採用する暗号化方式の設定を見直す。そのため、無線LANに参加している機器に変化が生じても、同無線LANに参加している機器間で採用し得る暗号化方式から最適な暗号化方式を自動的に選択でき、常にセキュリティ環境を最適なものとすることができる。
本発明は、上記アクセスポイント側暗号化方式選択手段は、上記接続端末検知手段が同無線LANに参加している端末が変化したことを検知した場合に、同無線LANに参加している端末が、それまで採用されていた暗号化方式よりもセキュリティレベルの高い暗号化方式に共通して対応可能である場合に、同セキュリティレベルの高い暗号化方式を選択する構成としてある。
上記構成においては、接続端末検知手段が同無線LANに参加している端末が変化したことを検知した場合、アクセスポイント側暗号化方式選択手段は、同無線LANに参加している端末が、それまで採用されていた暗号化方式よりもセキュリティレベルの高い暗号化方式に共通して対応可能である場合に、同セキュリティレベルの高い暗号化方式を選択する。つまり、アクセスポイントは、無線LANによる通信を継続しようとする機器の構成に変化が生じたことを検知する度に、同通信を継続しようとする機器間において、それまで採用していた方式よりも安全性の高い暗号化方式を採用できないか見直しを図る。かかる見直しを図ることで、例えば、アクセスポイントが対応可能な暗号化方式のうち無線LANに参加している端末が共通して対応可能な方式であって最もセキュリティレベルの高い暗号化方式を常に選択するようにすることもできる。
本発明は、上記接続端末検知手段は、所定時間毎に繰り返し、上記無線LANに参加している端末を各端末固有の識別情報に基づいて特定するとともに、同特定した各端末固有の識別情報と前回の端末の特定作業において取得した各端末固有の識別情報とを比較することによって、同無線LANに参加している端末数の減少を検知する構成としてある。
すなわち、無線LANに参加している端末の変化を検知する際の具体的構成として、接続端末検知手段は、所定時間毎に繰り返し、無線LANに参加している端末数が減少したか否かを検知するとした。接続端末検知手段は、無線LANに参加している端末を定期的に各端末固有の識別情報に基づいて特定するとともに、同特定した各端末固有の識別情報と前回の端末の特定作業において取得した各端末固有の識別情報とを比較して端末数の減少を検知する。従って、アクセスポイントは、無線LANに参加している端末を特定する度に、同特定した端末にかかるリストデータを、少なくとも次に無線LANに参加している端末を特定するまでの間は保存しておく必要がある。
このように、所定期間毎に絶えず無線LANに参加している端末数の変化を監視することで、確実に無線LANに参加する機器数が減る度に暗号化方式の設定を見直すことができる。
また、上記接続端末検知手段は、所定時間毎に繰り返し、上記無線LANに参加している端末を各端末固有の識別情報に基づいて特定するとともに、同特定した各端末固有の識別情報と前回の端末の特定作業において取得した各端末固有の識別情報とを比較することによって、同無線LANに参加している端末に入替わりがあったことを検知するとしてもよい。
つまり、無線LANに参加する端末の幾つかが入替わった場合にも、無線LANに参加する機器間で採用可能な暗号化方式を見直す余地はある。そして、かかる見直し行えば、端末が入替わる前に採用していた暗号化方式よりもセキュリティレベルの高い暗号化方式を採用できる場合がある。
本発明は、上記アクセスポイントは、同アクセスポイントが対応可能な暗号化方式のうち、上記端末側暗号化方式伝達手段によって伝えられた暗号化方式によって絞り込んだ暗号化方式と同絞り込んだ暗号化方式の夫々において利用する暗号鍵とを端末に無線で伝えるアクセスポイント側暗号鍵伝達手段を備え、上記端末は、上記アクセスポイントから伝えられた夫々の暗号化方式ごとの暗号鍵を所定の記憶領域に保存する端末側暗号鍵保存手段を備える構成としてある。
上記構成においては、アクセスポイント側暗号鍵伝達手段は、アクセスポイントが対応可能な暗号化方式のうち、上記端末側暗号化方式伝達手段によって伝えられた暗号化方式によって絞り込んだ暗号化方式と同絞り込んだ暗号化方式の夫々において利用する暗号鍵とを端末に無線で伝える。また、端末側暗号鍵保存手段は、アクセスポイントから伝えられた夫々の暗号化方式ごとの暗号鍵を所定の記憶領域に保存する。その結果、各端末は、自己とアクセスポイントの間で共通して採用可能な暗号化方式と各方式において利用する暗号鍵を取得することができる。また、予め上記絞り込んだ暗号化方式と同絞り込んだ暗号化方式の夫々において利用する暗号鍵とをアクセスポイントから端末の側に伝えておくことにより、後にアクセスポイントが暗号化方式を変更したとしても、暗号鍵を通知し直す必要はなくなる。これにより、通知の煩雑さを解消し、また、同時に暗号鍵の通知に伴うセキュリティの低下を防止することが可能となる。
ここで、上記アクセスポイント側暗号鍵伝達手段は、上記絞り込んだ暗号化方式と同絞り込んだ暗号化方式の夫々において利用する暗号鍵とを端末に伝える処理を、当該端末の端末側暗号化方式伝達手段によって暗号化方式を伝えられた際に一度だけ行うとしてもよい。つまり、アクセスポイントから端末に対して、一度だけ、上記絞り込んだ暗号化方式及び暗号鍵とを伝えておけば、後にアクセスポイントが暗号化方式を変更したとしても、暗号鍵を再度通知し直す必要はなくなる。
これにより、暗号化方式及び暗号鍵の通知の煩雑さを大幅に解消し、また、同時に暗号鍵の通知に伴うセキュリティの低下を極力防止することが可能となる。
端末の側では幾つかの暗号化方式とそれに対応する暗号鍵を通知されることにより、暗号化方式の特定が必要になることがある。
この場合の好適な一例として、本発明は、上記アクセスポイント側暗号化方式選択手段は、上記無線LANに参加している端末の変化に伴い採用する暗号化方式を変更した際に、同暗号化方式の変更に対応してステーションIDを変更する構成としてある。
上記構成においては、無線LANに参加している端末の変化に伴い、上記アクセスポイント側暗号化方式選択手段が暗号化方式を変更した際に同変更に対応してステーションIDを変更する。端末側では、同変更されたステーションIDを検知することで、暗号化方式が変更されたことを容易に検知することができるため、アクセスポイント側の暗号化方式の選択に容易に追従できる。
より具体的な構成例として、本発明は、上記アクセスポイント側暗号鍵伝達手段は、同アクセスポイントが対応可能な暗号化方式の夫々に異なったステーションIDを特定し、上記絞り込んだ暗号化方式の夫々ごとに上記特定したステーションIDを上記暗号鍵とともに端末に無線で伝え、上記端末側暗号化方式選択手段は、接続可能なアクセスポイントからステーションIDを取得し、予め上記端末側暗号鍵保存手段によって保存しておいたステーションIDと一致するものがあるときに同ステーションIDに対応した暗号化方式と暗号鍵とを採用する構成としてある。
上記構成においては、アクセスポイント側暗号鍵伝達手段が、同アクセスポイントが対応可能な複数の暗号化方式のそれぞれに異なったステーションIDを特定するとともに、上記絞り込んだ暗号化方式のそれぞれごとに上記特定されているステーションIDを上記暗号鍵とともに上記端末に無線で伝える。そして、アクセスポイント側暗号化方式選択手段は、そのとき無線LANを構成する機器間で採用する暗号化方式に対応したステーションIDを採用することになる。
一方、端末側暗号化方式選択手段は、接続可能なアクセスポイントからステーションIDを取得し、予め上記アクセスポイントから無線で伝えられて保存しておいたステーションIDと一致するものがないか判断する。一致するものがあるときは、アクセスポイントが同ステーションIDに対応した暗号化方式と暗号鍵を採用していると判断できるので、端末においても同暗号化方式と暗号鍵を採用する。このように、アクセスポイントと端末との間で敢えて暗号化方式の特定のための通知を行う必要が無くなるので手続の煩雑さを解消しつつセキュリティの低下を防止できる。
アクセスポイントと端末との間で暗号化方式の特定のための通知を行う必要が無いのは、採用する暗号化方式が変更になった場合も同じである。
そこで、本発明は、上記端末側暗号化方式選択手段は、特定したステーションIDに基づくアクセスポイントとの無線通信が維持できなくなったときに、あらためて接続可能なアクセスポイントからステーションIDを取得し、保存しておいたステーションIDと一致するものがあるときに同ステーションIDに対応した暗号化方式と暗号鍵とを採用する構成としてある。
上記構成においては、上記端末側暗号化方式選択手段は、特定したステーションIDに基づくアクセスポイントとの無線通信が維持できなくなったときに、あらためて接続可能なアクセスポイントからステーションIDを取得する。そして、保存しておいたステーションIDと一致するものがあるときに同ステーションIDに対応した暗号化方式と暗号鍵とを採用する。つまり、無線LANに参加している端末の減少や入替えによって採用する暗号化方式を変更した場合でも、アクセスポイントは、継続して無線通信を行おうとする端末に新たに採用した暗号化方式などを通知する必要が無い。各端末の側で自動的に暗号化方式の変更に追尾することができるため、メインテナンスの煩雑さを解消し、また、セキュリティの低下を防止できる。
上述した暗号鍵設定システムは、アクセスポイントと端末とからなるシステム全体として把握するだけでなく、その構成要素であるアクセスポイントの発明として把握することができる。
そこで、本発明は、無線LAN通信における複数の暗号化方式に対応した無線LAN用の中継器であるアクセスポイントであって、無線LAN接続用デバイスを備えた端末との無線通信データを通信に先立って暗号化する際に用いられる暗号化方式と暗号鍵とを設定するにあたり、同アクセスポイントを介した無線LANに参加している端末を特定し同参加している端末が変化したか否かを検知する接続端末検知手段と、上記接続端末検知手段が同無線LANに参加している端末が変化したことを検知した場合に、予め複数の端末から無線で伝えられた各端末が対応可能な暗号化方式にかかるデータに基づいて、同アクセスポイントが対応可能な暗号化方式であって同無線LANに参加している端末が共通して対応可能な暗号化方式の中から暗号化方式を選択して採用するアクセスポイント側暗号化方式選択手段とを備え、当該アクセスポイント側暗号化方式選択手段は、上記接続端末検知手段が同無線LANに参加している端末が変化したことを検知した場合に、同無線LANに参加している端末が、それまで採用されていた暗号化方式よりもセキュリティレベルの高い暗号化方式に共通して対応可能である場合に、当該セキュリティレベルの高い暗号化方式を選択する構成としてある。
また、上記暗号鍵設定システムの構成要素である端末についても発明として把握可能であることは言うまでも無い。
さらに、本願発明を無線通信システムとして装置の面から把握できるのと同時に、そのシステムの実行手順としても発明を把握できる。
そこで、本発明は、無線LAN用の中継器であるアクセスポイントと無線LAN接続用デバイスを備えた端末との間で、無線で通信される無線通信データを通信に先立って暗号化する際に用いられる暗号化方式と暗号鍵とを設定する暗号鍵設定方法であって、上記端末は、上記アクセスポイントに対して、当該端末が対応可能な暗号化方式を無線で伝え、上記アクセスポイントは、同アクセスポイントを介した無線LANに参加している端末を特定するとともに同参加している端末が変化したか否かを検知し、同無線LANに参加している端末が変化したことを検知した場合に、同アクセスポイントが対応可能な暗号化方式であって同無線LANに参加している端末が共通して対応可能な暗号化方式の中から暗号化方式を選択して採用するにあたり、同無線LANに参加している端末が、それまで採用されていた暗号化方式よりもセキュリティレベルの高い暗号化方式に共通して対応可能である場合に、当該セキュリティレベルの高い暗号化方式を選択し、上記端末は、上記アクセスポイントが採用した暗号化方式を同アクセスポイントの発信行為に基づいて検知して採用する構成としてある。
むろん、独立形式の暗号鍵設定システムの発明に従属する各請求項にかかる発明と同様の態様を適用して、アクセスポイントや暗号鍵設定方法の各発明に従属する発明を夫々捉えることも可能である。
以上説明したように、本願発明によれば、無線LANに参加する機器が変化する度に暗号化方式の設定を見直し、無線LANに参加している機器間で採用可能な暗号化方式のうち最も安全性の高い暗号化方式など最適な暗号化方式を自動的に選択できるため、無線LANに参加する機器間において、常に最適なセキュリティ環境を構築できる。
下記の順序に従って本願発明の実施形態について説明する。
1.暗号鍵設定システムを実現するための概略構成
2.暗号鍵設定システムの具体的内容
2‐1.端末数を増加させる場合について
2‐2.端末数を減少させる場合について
3.変形例
4.まとめ
1.暗号鍵設定システムを実現するための概略構成
図1は本願にかかる暗号鍵設定システムを実現するハードウェア構成を示す説明図であり、図2はアクセスポイント20の構成を示す説明図である。
暗号鍵設定システムでは、無線LANの無線通信エリアAR1内において、所定の端末とアクセスポイント20との間で、暗号鍵の内容を表わす暗号鍵データを電波に乗せて無線通信することにより、所定の端末にアクセスポイント20との無線通信において使用する暗号鍵を設定する。
図1に示すように、無線通信エリアAR1には、無線LAN用の中継器であるアクセスポイント(無線基地局)20が設置されている。アクセスポイント20は、図2に示すように、CPU11と、このCPU11とバスにより相互に接続されたROM12,RAM13,ハードディスク等の不揮発的な記憶装置14,ネットワークインタフェースとしてのWANポート17,有線LANとの接続用のLANポート22,無線通信インタフェース18,ディスプレイコントローラ15,入出力コントローラ16等の各部を備える。
ROM12には、無線通信エリアAR1内の端末50,60,70との通信やインターネットINへの接続に関する各種のプログラムとこのプログラムの実行に必要なデータが格納されている。入出力コントローラ16にはプッシュ式の登録ボタン127が接続されている。登録ボタン127は、その押圧部がアクセスポイント20の筐体表面に露出した状態で設けられている。ディスプレイコントローラ15には、無線LANの接続状態や通信状態を点灯・点滅等によって表示する各種の表示ランプ19が接続されている。
無線通信インタフェース18には、電波を送信する送信機25,電波を受信する受信機26が接続されている。この送信機25,受信機26は、外部への電波の送信や外部からの電波の受信が可能な状態で、アクセスポイント20に内蔵されている。図1では、送信機25の出力や受信機26の受信感度を標準設定値とした場合に、送信機25から送信された電波が届き、かつ、受信機26が端末50,60,70からの電波を受け取れる範囲を、無線通信エリアAR1として表わしている。こうしたアクセスポイント20の設置により、無線通信エリアAR1内を通常の通信範囲とした無線LANが組まれる。
なお、ROM12には、端末50,60,70との通信に関するプログラムとして、送信機25の出力の標準設定値を一時的に変更する処理の内容が記述された出力値変更プログラムや受信機26の受信感度の標準設定値を一時的に変更する処理の内容が記述された受信感度値変更プログラムが予め格納されている。この設定値を変更する処理は、具体的には、標準設定値を1/n(nは予め定められた定数)倍する演算処理によって実現される。CPU11は、この出力値変更プログラム,受信感度値変更プログラムを実行することにより、変更後の出力値や受信感度値を、無線通信インタフェース18を介して送信機25,受信機26に出力する。これにより、送信機25から送信される電波の出力や受信機26における電波の受信感度が変更される。
端末50,60,70は、周知のノート型のパーソナルコンピュータであり、CPU,ROM,RAM等からなる制御装置をはじめ、記憶装置としてのハードディスクやCD−ROMドライブ等を備える。勿論、携帯情報端末(Personal Digital Assistant)等の他の端末であっても差し支えない。
また、端末50,60,70には、アクセスポイント20との間での電波の送受信を行なえるようにする無線LAN接続用デバイスとして、無線LANアダプタ52,62,72が装着されている。この無線LANアダプタ52,62,72のデバイスドライバが端末50に組み込まれることにより、端末50,60,70は、装着された無線LANアダプタ52,62,72を認識し、無線LANアダプタ52,62,72を制御することが可能となる。なお、無線LANアダプタ52,62,72には、アダプタに固有の識別番号であるMACアドレスが付与されている。なお、以下において表現上、端末のMACアドレスと言った場合も、同端末に装着された無線LANアダプタのMACアドレスを示すものとする。
無線通信エリアAR1内に入ったコンピュータとしての端末50,60,70は、装着された無線LANアダプタ52,62,72とアクセスポイント20との間で電波が送受信されることにより、アクセスポイント20との通信を無線で行なう。アクセスポイント20および無線LANアダプタ52,62,72は、やり取りするデータを通信に適した形式、いわゆるパケットに変換することが可能であり、これにより、端末50,60,70とアクセスポイント20との間において、オフライン(インターネットに接続されていない状態)でデータのやり取りをすることが理論上可能となる。
次に、アクセスポイント20をインターネットINに接続するための構成について説明する。図1に示すように、アクセスポイント20のWANポート17には、モデムを内蔵したルータ28がケーブルを介して接続されている。ルータ28は、無線LANアダプタ52,62,72それぞれのMACアドレスに基づいて、無線LAN内の複数の各端末50,60,70を特定し、これらを区別することができる。ルータ28内のモデムは、CATV回線,xDSL回線等のブロードバンドな通信回線CL、プロバイダPVの専用回線を介してインターネットINに接続されている。即ち、ルータ28は、無線LANをインターネットINに接続するゲートウェイとして機能する。
なお、本実施形態では、無線通信エリアAR1内にある無線LANアダプタを備えた端末のうち、そのMACアドレスがアクセスポイント20に登録されている端末(以下、登録端末という)に、無線LANへの接続を許容する。登録端末の所有者は、自己の端末をアクセスポイント20を通じてインターネットINに接続し、インターネットIN上のサーバSVに格納されたウェブコンテンツ等の種々の情報を取得することができる。一方、MACアドレスがアクセスポイント20に登録されていない端末(非登録端末という)は、たとえ無線通信エリアAR1内にいても無線LANに接続することができない。即ち、無線通信エリアAR1は、登録端末の所有者のみにインターネットINへの接続サービスを提供するフリースポットとされている。なお、図1では、端末50,60が登録端末に該当し、端末70が非登録端末に該当するものとする。
こうした登録端末とアクセスポイント20との間では、契約やサービス等の種々の内容を有するデータ(以下、内容付きデータという)が電波に乗せて送受信される。本実施例では、内容付きデータを送信する側の装置(登録端末,アクセスポイント20)が、送信に先立って、所定の暗号鍵を用いて内容付きデータを暗号化し、暗号化後の内容付きデータ(以下、暗号化データという)を受信側の装置(アクセスポイント20,登録端末)に送信することとしている。受信側の装置は、受信した暗号化データを所定の暗号鍵を用いて復号化し、内容付きデータを得る。
ここで、暗号鍵としてはWEPキーを用いることができる。WEPキーは、IEEE802.11で使用される、秘密鍵暗号方式(データの暗号化と暗号化されたデータの復号化の双方で同じ暗号鍵を使用する方式)の暗号化技術である。暗号鍵として64ビットのWEPキーを用いる方式(WEP64)または128ビットのWEPキーを用いる方式(WEP128)がある。かかるWEPキーを用いた暗号化により、無線通信エリアAR1内において内容付きデータを乗せた電波が傍受された場合に同データの解析がしにくくなり、通信内容の第三者への漏洩が防止される。また、かかるWEPキーを用いる暗号化方式以外にも、よりセキュリティレベルの高い、TKIP(Temporal Key Integrity Protocol)や、AES(Advanced Encryption Standard)といった暗号化方式を用いてもよい。これら、WEP64、WEP128、TKIP、AESは、後者に従うにつれてセキュリティレベルが高くなる。
2.暗号鍵設定システムの具体的内容
端末50,60に暗号鍵を順に設定する手法および、端末50,60のうち端末60が無線LANから離脱した場合の暗号鍵の再設定の手法について説明する。
2‐1.端末数を増加させる場合について
ここで、一般の無線LAN機器が全ての暗号化方式に対応しているわけではない。本実施形態におていは、アクセスポイント20は、WEP64と、WEP128と、TKIPと、AESとを採用可能であり、無線LANアダプタ52は、WEP64と、WEP128と、TKIPとに対応しており、無線LANアダプタ62はWEP64と、WEP128とに対応しているものとする。以下においては、最初にアクセスポイント20に端末50のMACアドレスを登録するとともに端末50に暗号鍵を設定して無線LANを構築し、その後、端末60を無線LANに追加する場合について説明する。
アクセスポイント20のROM12には、端末50,60との通信に関するプログラムとして、無線LANアダプタ52,62のMACアドレスの登録に関するプログラム(MAC登録プログラム)と暗号化方式選択プログラムが予め格納されている。一方、無線LANの使用に際して端末50,60にインストールされたユーティリティプログラムには、暗号化方式および暗号鍵の設定に関するプログラム(暗号鍵設定プログラム)が含まれている。
また、上記アクセスポイント20の登録ボタン127と同様に、無線LANアダプタ52,62にもハードウェアのスイッチで実現された図示しない所定の登録ボタンが備えられている。同登録ボタンの押し下げ状態はインターフェイスを介してソフトウェアにて判別可能となっている。
図3および図4は、アクセスポイント20の側と端末50,60とが実施するMAC登録プログラムと暗号化方式選択プログラムと暗号鍵設定プログラムとに対応したフローチャートである。アクセスポイント20の側においては、暗号化方式選択処理とMACアドレス登録処理とを並行して実施する。以下のフローチャートにおいては、端末50,60の側をSTAと表示し、アクセスポイント20の側をAPと表示している。
アクセスポイント20および端末50,60においては、各登録ボタンの押し下げによってそれぞれワンタッチ登録モードとなり、対応する処理を開始する。すなわち、端末50の側においては、図3に示すステップS310にて登録ボタンの押し下げを検知すると、ステップS312以下の処理の実行を開始し、アクセスポイント20の側においては、ステップS410にて登録ボタン127の押し下げを検知すると、ステップS412以下のワンタッチ登録モードを開始する。
端末50は、ワンタッチ登録モードに入ると、ステップS316にてワンタッチ登録モードに入っているアクセスポイント20を探す。具体的には、アクセスポイント20の側においてワンタッチ登録モードに入るとステーションID(ESSID)を予め決められている特定のステーションIDに変更してビーコンを送出するので、端末50の側ではこの特定されたESSIDのアクセスポイントに対して接続を試みる。また、接続可能なアクセスポイントを探し、接続可能なそれぞれのアクセスポイントにおけるステータスを取得し、同ステータスに基づいてワンタッチ登録モードであるか否かを判断するようにしてもよい。
ワンタッチ登録モードにあるアクセスポイント20の探索はステップS314の処理により所定時間内に限定され、所定時間を経過したときはステップS334に移行してワンタッチ登録モードの実行を終了する。
一方、所定時間内にワンタッチ登録モードにあるアクセスポイント20を発見した場合は、ステップS318にて同発見したアクセスポイント20に対して接続を試みる。具体的には、端末50は、無線LANアダプタ52のMACアドレスを特定し、無線LANに加入する旨の指示を表わすデータに同MACアドレスをヘッダ情報として付加したパケットをアクセスポイント20に対して送信する。ステップS320ではこのような接続の試み回数が不要に多くなることを防止するものであり、所定回数を超えていればリトライオーバーとしてステップS334に移行してワンタッチ登録モードの実行を終了する。
端末50は、リトライオーバーとなることなくアクセスポイント20に接続できると、ステップS322にてアクセスポイント20とセキュリティ情報パケットの交換処理を実施する。
一方、アクセスポイント20は、ステップS416において、受信したパケットのヘッダ情報からMACアドレスを読取り、読取ったMACアドレスをRAM13のバッファ領域に一時的に記憶する。また、ステップS418においては、上記端末50の処理に対応してセキュリティ情報を作成しつつパケットの交換処理を実行する。このセキュリティ情報パケットの交換処理を図4のステップS350,S450以下に示している。
まず、パケットの交換処理の具体的内容は次のとおりである。
サブ1.端末50から、アクセスポイント20に対して、セキュリティ情報の作成リクエストを送出する。
サブ2.アクセスポイント20から、端末50に対して、リクエストの要求を表すリプライを送出する。なお、アクセスポイント20は、初めてセキュリティ情報の作成リクエストを受領した時点で、当該アクセスポイント20が対応している暗号化方式毎に、ESSIDと、暗号鍵の値を決定する。例えば、暗号化方式WEP64に対して「ESSID1」と「DATA1」を設定し、暗号化方式WEP128に対して「ESSID2」と「DATA2」を設定し、暗号化方式TKIPに対して「ESSID3」と「DATA3」を設定し、暗号化方式AESに対して「ESSID4」と「DATA4」を設定する。「ESSID1」〜「ESSID4]は乱数などに基づいてランダムに決定したステーションIDであり、「DATA1」〜「DATA4」は各暗号方式に対応しつつランダムに決定した値となっている。
サブ3.端末50から、アクセスポイント20に対して、端末50で対応する暗号化方式を示すデータを送出する。この場合、端末50に装着されている無線LANアダプタ52は、WEP64と、WEP128と、TKIPとに対応しており、これら三つの暗号化方式をデータに表して送出する。
サブ4.アクセスポイント20は、受信したデータに基づいて端末50が対応可能な暗号化方式を検知できるので、同暗号化方式により自己の対応可能な暗号化方式を絞り込む。具体的には、端末50の場合は、WEP64とWEP128とTKIPとに絞り込まれる。そして、これらの暗号化方式毎に、アクセスポイント20から、端末50に対して、既に決めておいたESSIDと暗号鍵の値を示すデータを送出する。具体的には、暗号化方式WEP64に対応させた「ESSID1」と「DATA1」と、暗号化方式WEP128に対応させた「ESSID2」と「DATA2」と、暗号化方式TKIPに対応させた「ESSID3」と「DATA3」とを送出する。
このようにして、アクセスポイント20から同アクセスポイント20と自己で共通して対応可能な暗号化方式に対応するESSIDと暗号鍵の値を表わすデータを受信した端末50は、かかるデータを所定の記憶領域に保存する。
以上が、端末50におけるステップS350とアクセスポイント20におけるステップS450でのセキュリティ情報パケットの交換処理である。かかるパケット交換処理は、一つの端末とアクセスポイント20との間では一度行えば十分である。すなわち、以降は、アクセスポイント20と当該端末との間では、暗号化方式や暗号鍵自体を表わすデータをやり取りする必要が無くなり、後述するように、端末はアクセスポイント20が発信するビーコン信号に基づいて、採用すべき暗号化方式を特定することができる。なお、上記パケット交換処理は相手側MACアドレスを特定した上で暗号化を行って通信している。具体的には、端末50の側で暗号化のための種(InitID)を生成して上記リクエストとともに送信しており、以後、このInitIDに基づくVPN関数を用いた暗号化と復号化とをアクセスポイント20と端末50の双方で実施して通信を行なう。
セキュリティ情報パケットの交換処理後、アクセスポイント20の側では、ステップS452において、端末50から通知された暗号化方式の中からセキュリティレベルの最高のものを選択する。端末50からは、暗号化方式としてWEP64とWEP128とTKIPとが通知され、セキュリティレベルの最も高いものはTKIPであり、これを一応の候補(今回の最高レベル)として選択する。ステップS454では、アクセスポイント20は、ステップS452で選択した候補と、現在の最高レベルとを比較する。ここで現在の最高レベルとは、アクセスポイント20が対応している暗号化方式の中から上述したようにして端末が対応可能な暗号化方式で絞り込んだ暗号化方式の中のセキュリティレベルが最も高いものという意味である。
初めて端末50とセキュリティ情報パケットの交換処理を行った時点では、この端末50から通知された暗号化方式の中のセキュリティレベルが最高のものであるから、両者は一致する。しかし、以降、端末を追加する際には、過去に登録した端末が対応可能な暗号化方式で絞り込まれたものとなっていくので、必ずしも一致することにはならない。
このステップS454の判断に対応し、YES(現在の最高レベルよりも高い)のときには、現在の最高レベルを維持し、NO(現在の最高レベルよりも低いか、等しい)のときには、今回の最高レベルであるステップS452で選択した暗号化方式を採用する。従って、端末50とのパケット交換の結果では、上述したように「等しい」の判断となり、ステップS458にて「今回の最高レベルを採用」となるから、暗号化方式はTKIPとなる。
以上の分岐は、ユーザーによるセキュリティポリシーを表している。ここで、セキュリティポリシーとは、アクセスポイント20で対応可能な暗号化方式と端末で対応可能な暗号化方式とを対比したときに、いずれの暗号化方式を採用するかを特定する指針を意味している。
先の分岐の例では、新たに加わった端末が対応可能なセキュリティレベルの最高のものがそれまでのセキュリティレベルよりも高くないものであるとき、「セキュリティレベルを下げても、同端末がネットワークに参加できるようにする」というセキュリティポリシー(以下、ポリシー1という)を示している。なお、等しいと判断されたときも処理上は「高くない」場合の処理を実行するが、結果的にはステップS456での「現在の最高レベルを採用」と同じことになる。
これに対して、最低のセキュリティレベルを決めておき、そのセキュリティレベル以下にはしないというセキュリティポリシー(以下、ポリシー2という)とすることもできる。この場合、ステップS452の後で、「最低のセキュリティレベルよりも高いか等しい?」という判断のステップを加え、YESの場合にステップS452以下へ進み、NOの場合にステップS456へ進むようにすればよい。
また、特別な用途を考えた場合に新たな端末のセキュリティの最高レベルまでセキュリティレベルを上げるというセキュリティポリシー(以下、ポリシー3という)とするのであれば、ステップS456にて「現在の最高レベルを採用」する処理に代えて「今回の最高レベルを採用する」処理を実行すれば良い。このように、新たな端末の登録にあたり、予めユーザーが選択するセキュリティポリシーを反映させるように分岐処理を用意することにより、個々の暗号鍵の設定の煩雑さを解消するのみならず、常にユーザーが選択するセキュリティポリシーを反映させることが可能となる。
このような選択は、アクセスポイント20の設定プログラムなどで、上記ポリシー1〜ポリシー3を画面上に表示させ、ユーザーに対してマウスなどを利用して選択させ、選択結果を取得してレジスタなどに書き込んでおく。アクセスポイント20は実際の処理時に同レジスタの内容を読み込み、同書き込み内容を反映した分岐処理を実行することになる。むろん、アクセスポイント20にディップスイッチなどのハードウェアスイッチを設けておき、このスイッチ操作でセキュリティポリシーを選択できるようにしておいても良い。
以上でアクセスポイント20の側におけるセキュリティ情報のパケット交換処理を終了する。
図3に戻ると、アクセスポイント20はステップS420にてパケット交換が完了したか判断し、パケット交換が完了する前にステップS414にて所定時間が経過したと判断された場合を除き、ステップS422にて、上記決定したセキュリティ情報を設定する。すなわち、ステップS456,S458にて採用することとなった暗号化方式を採用することにしつつ、同暗号化方式に対応しているステーションIDと暗号鍵の値を以後の暗号化と復号化に採用することになる。また、同ステップS422では、端末50のMACアドレスの登録も行う。すなわち、アクセスポイント20は、端末50のMACアドレスを、RAM13から記憶装置14の管理領域に登録する処理を行う。
端末50とのパケット交換の処理においては、TKIPが採用されたので、ステーションIDは「ESSID3」を採用し、TKIPの暗号鍵に「DATA3」を採用することになる。
この後、アクセスポイント20はステップS424にてワンタッチ登録モードを終えて通常の無線交信モードに切り替える。また、パケット交換中に所定時間が経過してしまったときもステップS426にてワンタッチ登録モードは終了するが、登録が完了していないので無線交信モードに切り替えることはしない。
このようにアクセスポイント20は決定した暗号化方式を端末50等に通知することはしない。
一方の端末50の側では、パケット交換の完了後、ステップS328にて、アクセスポイント20から受信して保存したセキュリティ情報から無線交信モードのアクセスポイント20を探索する。上述したように、アクセスポイント20から受信したセキュリティ情報というのは、暗号化方式WEP64に対応させた「ESSID1」と「DATA1」と、暗号化方式WEP128に対応させた「ESSID2」と「DATA2」と、暗号化方式TKIPに対応させた「ESSID3」と「DATA3」である。
まず、端末50は、アクセス可能なアクセスポイントのステーションIDを取得する。この手続はIEEE802.11の通信規格に基づいて実行されるものであり、端末50においてはアクセスポイントからのビーコンを受信して現在アクセス可能なアクセスポイントのステーションIDが取得できる。上述したようにアクセスポイント20は暗号化方式としてTKIPを採用したので、そのステーションIDは「ESSID3」である。従って、端末50はアクセスポイント20からのビーコンに基づいてそのステーションIDが「ESSID3」であることを取得し、先に受信して所定の記憶領域に保存したセキュリティ情報と対比する。対比結果として、ステーションIDが「ESSID3」であることは暗号化方式としてTKIPであることを特定するものであり、さらに暗号鍵として「DATA3」を使用することによって暗号化と復号化が実現できることを検知できる。
ステップS330では発見したアクセスポイントの状態に合わせてアクセスポイントから受信したセキュリティ情報を設定する。すなわち、発見したステーションIDに対応する暗号化方式と暗号鍵を今後の暗号化と復号化に利用することになる。
このようにして、アクセスポイント20への無線LANアダプタ52のMACアドレスの登録と、アクセスポイント20及び端末50への共通の暗号鍵の設定が完了する。そして、ステップS332では、端末50は発見したアクセスポイント20に接続するとともに、以後、後述する接続監視モードを開始する。
なお、ステップS328にてアクセスポイント20を所定時間内に探索できなかったときには、ステップS326の判断を経て暗号化方式などを特定することなくステップS334に進み、ワンタッチ登録モードを中断する。
図5は、端末側における接続監視モードを示している。なお、図中の波線部分は他の処理が存在することを前提に関連の深い処理だけを示しているに過ぎない。
ステップS322にてパケット交換の処理を実施し、ステップS332にて発見したアクセスポイントに対して接続をしている状態で、ステップS360〜S366の接続監視モードが実行される。すなわち、ステップS360では予め決定しておいた接続監視間隔が経過していないか判断し、経過したと判断したらステップS362にてアクセスポイント20との接続状態が維持されているか否かを判断する。言い換えれば、一定時間間隔ごとにアクセスポイント20との接続が維持されているかを判断することになる。維持されていれば再度ステップS360に戻るので、接続中は一定時間毎に同じ処理を繰り返すことになる。
一方、アクセスポイント20との接続が維持されていない場合は、ステップS364にて受信できるアクセスポイントのビーコンからアクセス可能なアクセスポイントのステーションIDを取得し、同ステーションIDと、先にアクセスポイント20から受信しているセキュリティ情報のステーションIDとを対比する。そして、一致するものがあればアクセスポイント20はステーションIDを変化させて暗号化方式を変更しつつ無線交信モードとなっていることを検知することができる。ステップS366では発見したアクセスポイント20の状態に合わせて予め受信していたセキュリティ情報を設定する。すなわち、以後は変化したステーションIDに対応している暗号化方式と暗号鍵を採用する。
次に、このような暗号化方式の変化が起こる状況を端末60の登録の際に生じるアクセスポイント20の側の処理に基づいて説明する。図6は図3に示すアクセスポイントにおける処理のなかで端末60に対応して処理内容が変化するステップを特に示したものである。
端末60を登録するにあたり、端末60とアクセスポイント20とがそれぞれステップS350,S450にてパケットの交換処理を行う。なお、端末60が無線LANに新たに参加する場合にも、アクセスポイント20の側においては上述のMAC登録プログラムを実施するが、その内容は端末50を登録する場合と同様であるため説明を省略する。
端末60の無線LANアダプタ62が対応している暗号化方式はWEP64とWEP128だけであるので、パケット交換の処理は、以下のようになる。
サブ1.端末60から、アクセスポイント20に対して、セキュリティ情報の作成リクエストを送出する。
サブ2.アクセスポイント20から、端末60に対して、リクエストの要求を表すリプライを送出する。なお、アクセスポイント20は、既に端末50からのリクエスト受信時に上述した暗号化方式毎のステーションIDと暗号鍵とを決定している。
サブ3.端末60から、アクセスポイント20に対して、端末60で対応する暗号化方式を示すデータを送出する。この場合、端末60に装着されている無線LANアダプタ62は、WEP64と、WEP128とに対応しており、これら二つの暗号化方式をデータに表して送出する。
サブ4.アクセスポイント20は、受信したデータに基づいて端末60が対応可能な暗号化方式を検知し、同暗号化方式により自己の対応可能な暗号化方式を絞り込む。具体的には、端末60の場合は、WEP64とWEP128に絞り込まれる。そして、これらの暗号化方式毎に、アクセスポイント20から、端末60に対して、暗号化方式WEP64に対応させた「ESSID1」と「DATA1」と、暗号化方式WEP128に対応させた「ESSID2」と「DATA2」とを送出する。
すなわち、端末60は、端末50の場合と異なり、パケットの交換処理の結果、暗号化方式WEP64に対応させた「ESSID1」と「DATA1」と、暗号化方式WEP128に対応させた「ESSID2」と「DATA2」だけを受信し、所定の記憶領域に保存することになる。
アクセスポイント20は、端末60が対応している暗号方式がWEP64とWEP128だけであることを検知し、ステップS452にてその中での最高の暗号化(セキュリティ)レベルのWEP128を選択し、ステップS454にて現在採用している最高レベルのものと比較する。上述したように現在の最高レベルのものはTKIPであるから、ステップS454の判断では現在の最高レベルよりも低いと判断され、ステップS458にて今回の最高レベルであるWEP128を採用することになる。
ステップS422において、暗号化方式はWEP128を採用し、さらにステーションIDは「ESSID2」に変化させ、暗号鍵も「DATA2」とする。また、ステップS424にて無線交信モードに切り替える。
端末60は、上述した端末50の場合と同様に、受信可能なアクセスポイントのビーコンからステーションIDを取得し、受信したセキュリティ情報に基づいて一致するステーションIDの暗号化方式と暗号鍵を採用し(ステップS328,330)、ステップS332にてアクセスポイント20に接続する。
一方、端末50は、ステップS360,S362にて一定時間毎にアクセスポイント20との接続が維持されているか判断しているが、端末60の登録によってステーションIDが「ESSID2」に変化したので、「ESSID3」をステーションIDとしていた接続状態は維持されていない。この結果、ステップS364にて受信できるアクセスポイントのビーコンからアクセスポイント20のステーションIDが「ESSID2」に変化したことを検知する。そして、同ステーションIDによって、暗号化方式としてWEP128が採用されるとともに暗号鍵は「DATA2」であることを検知し、これらの情報を設定する。その後、ステップS332にて同設定情報を利用してアクセスポイント20に接続する。
このように、アクセスポイント20は端末50や端末60に対して決定した暗号化方式を特に通知することはなかったにもかかわらず、端末50や端末60はステーションIDだけから暗号化方式と暗号鍵を特定できることになる。これは、端末が徐々に追加されていく状況では非常に有効である。なぜなら、従来の手法であれば、このようなアクセスポイントの設定情報に変化が有れば、各端末に対して通知するのが当然であったが、本発明の方式によればステーションIDを変更させるだけで、IEEE802.11の通信規格に基づき、自ずから全端末が通信可能なアクセスポイントを発見しようと努めることになる。その結果、ステーションIDだけからその時点で有効な暗号化方式や暗号鍵に設定変更できる。従って、端末の追加に伴って暗号化方式を変化するときにも全端末に通知する必要がなくなり、セキュリティ上のメリットがある。
以上の処理を行うことにより、予め決めておいたセキュリティポリシーに基づくセキュリティレベルが維持される。
次に、無線LANに参加する端末数が減少する場合のセキュリティ設定について説明する。
2‐2.端末数を減少させる場合について
これまでの説明においては、無線LANに参加する端末数が増えた場合に、アクセスポイント20と各端末間において用いる暗号化方式と暗号鍵とが変更され得る。ここで、アクセスポイント20を中心として構築される無線LANでは、各端末の所有者の都合によって、ネットワークに参加する端末数が流動的に変化する。従って、無線LANに参加する端末が減る場合に、暗号化方式のセキュリティレベルをより高レベルのものに変更できる場合がある。
図7は、無線LANに参加する端末数が減少した場合にアクセスポイント20が実施する暗号化方式選択プログラムに対応したフローチャートである。
以下の処理は、アクセスポイント20が無線交信モードに切替わっている状態において継続的に行うものである。
アクセスポイント20は、無線交信モードにおいては、ステップS460にて所定の接続端末確認間隔が経過していないか確認し、経過したと判断した場合は、そのとき自己に接続している端末にかかる接続端末リストを生成する(ステップS462)。すなわち、アクセスポイント20は、所定期間毎に上記接続端末リストを生成し直す。そして、かかる接続端末リストは、少なくとも上記接続端末確認間隔以上の期間、一時的にRAM13などに記憶しておく。
ここで、接続端末リストは上記MACアドレスを利用して生成する。すなわち、アクセスポイント20は、上記ワンタッチ登録モードにおいて各端末のMACアドレスを登録しているため、接続端末リストの生成時に自己への接続を維持している端末のMACアドレスを選択して接続端末リストを生成する。
アクセスポイント20は、最新の接続端末リストを生成したら、同最新の接続端末リストと保存しておいた前回生成した接続端末リスとを比較し、無線LANに参加している端末が減少したか否か判断する(ステップS464)。端末数が減少していなければ、以下に述べる暗号化方式の見直し作業は行わない。これは、端末数が変化していなかったり、増加している場合には、上記ワンタッチ登録モードにおいて最後にある端末の追加登録を行った際に、所定のセキュリティポリシーに基づいて適切な暗号化方式の設定が行われたと考えられるからである。
端末数が減少していると判断した場合、アクセスポイント20は、同アクセスポイント20が採用可能であって、かつ上記最新の接続端末リストによって特定した各端末が共通して対応可能な暗号化方式のうち、最もセキュリティレベルの高い暗号化方式を選択する(ステップS466)。
ステップS468では、現在採用している暗号化方式のセキュリティレベルとステップS466で選択した暗号化方式のセキュリティレベルとを比較する。
ここでは、端末50,60がアクセスポイント20を介して無線LANに参加していた状況において端末60が同無線LANから離脱し、同端末60の離脱によって、ステップS464で端末の減少を検知した場合を例に説明を行う。端末50の無線LANアダプタ52は、WEP64と、WEP128と、TKIPとに対応しており、端末60の無線LANアダプタ62はWEP64と、WEP128とに対応している。かかる、各端末50,60が夫々対応する暗号化方式は、上記セキュリティ情報パケットの交換処理において、すでにアクセスポイント20側で取得できている。上述のように、端末60が無線LANから離脱したのであるから、上記ステップS466でアクセスポイント20が選択する暗号化方式はTKIPということになる。
一方、ワンタッチ登録モードで端末50,60を登録した際に上記セキュリティポリシーとしてポリシー1が選択されていた場合、現在の暗号化方式としては、端末50よりも対応可能な暗号化方式の最高レベルが低い端末60でもネットワークに参加可能とするためにWEP128が採用されている。
ステップS470では、上記選択した暗号化方式のセキュリティレベルが現在の暗号化方式のセキュリティレベルを上回る場合に、上記選択した暗号化方式を採用する。上記の例では、上記選択した暗号化方式のセキュリティレベルが現在の暗号化方式のセキュリティレベルを上回るため、上記選択した暗号化方式TKIPを採用する。このとき、アクセスポイント20は、ステーションIDを「ESSID3」に変化させ、暗号鍵を「DADA3」とする。
一方、上記選択した暗号化方式のセキュリティレベルが現在のセキュリティレベルよりも高くない場合には、現在のセキュリティレベルを維持し暗号化方式の変更は行わない。
すなわち、本願構成を用いれば、端末50,60のうち端末60が無線LANから離脱した後の無線LANにおいては、採用する暗号化方式のセキュリティレベルが自動的に上がる場合がある。
かかる暗号化方式の見直しは、無線LANに参加する端末数が減少した場合だけでなく、同参加する端末が所定の期間内に入替わった場合にも行う余地がある。
図8は、無線LANに参加する端末が一部において入替わった場合にアクセスポイント20が実施する暗号化方式選択プログラムに対応したフローチャートである。ここでは、一回の接続端末確認間隔の間に、端末50,60がアクセスポイント20を介して無線LANに参加していた状況において、端末70が新たに登録端末として無線LANに参加し、さらに端末60が同無線LANから離脱した場合を例に説明を行う。
つまり、ワンタッチ登録モードにおいて無線LANアダプタ72のMACアドレスをアクセスポイント20に登録し、かつ端末50〜70が共通して対応可能な暗号化方式と同暗号化方式において利用する暗号鍵が端末50〜70に設定されている状態において、端末60が無線LANから離脱した場合である。なお、端末70の無線LANアダプタ72は、WEP64と、WEP128と、TKIPとに対応しているものとする。同図においては、図7と相違する部分を中心に説明する。
同図に示すように、ステップS484の分岐でNOである場合には、「無線LANに参加する端末に入替えがあるか?」という判断を行う(ステップS486)。具体的には、ステップS482で生成した最新の接続端末リストと、保存しておいた前回生成した接続端末リストとを比較し、各リストを構成する端末のMACアドレスに基づいて、無線LANに参加する端末に入替えがあるかを判断する。本実施形態では、前回生成した接続端末リストは端末50,60を示し、最新の接続端末リストは端末50,70を示すため、ステップS488以下の処理に進み、暗号化方式の見直しを行う。
ステップS486にてNOの判断がされたとき、つまり、無線LANから離脱した端末が無く単に端末数が増加している場合または、同無線LANに参加している端末に変化が無い場合には、暗号化方式の見直し作業は行わない。この場合には、上記ワンタッチ登録モードにおいて最後にある端末の追加登録を行った際に、所定のセキュリティポリシーに基づいて適切な暗号化方式の設定が行われたと考えられるからである。
ステップS488以下の処理は、図7のステップS466以下の処理と同じである。上述のように、接続端末確認間隔の間に端末70が追加され端末60が無線LANから離脱したのであるから、ステップS488でアクセスポイント20が選択する暗号化方式はTKIPということになる。一方、ワンタッチ登録モードで端末50,60を登録した際に上記セキュリティポリシーとしてポリシー1が選択されていた場合、現在の暗号化方式としてはWEP128が採用されている。従って、ステップS490における暗号化方式の見直しを行った結果、上記の例では暗号化方式TKIPが採用され、セキュリティレベルが向上する。このように、図8にかかる構成によっても、採用する暗号化方式のセキュリティレベルを自動的に上げることができる。
なお、ステップS466,488において暗号化方式を選択する際に、「アクセスポイント20が採用可能であって、かつ最新の接続端末リストによって特定した各端末が共通して対応可能な暗号化方式のうち、最もセキュリティレベルの高い暗号化方式を選択する」という指針を必ずしも用いる必要は無い。例えば、高度なセキュリティ設定を行うあまり、通信速度を犠牲にし過ぎる場合等には、上記ステップS466,488で選択可能な暗号化方式のセキュリティレベルに上限を設けておき、前記通信速度の低下といった不都合を回避するようにしても良い。
ある端末のネットワークからの離脱や入替えを契機として、採用される暗号化方式及び暗号鍵が変更になった場合でも、ネットワークへの接続を維持し続けようとする他の端末は、かかる変更に容易に追従できる。すなわち、図5で説明したように、アクセスポイント20が暗号化方式を変更させてステーションIDを変更しても、ネットワークへの接続を維持し続けようとする端末は接続監視モードにおいて、同変更されたステーションIDを検知する。そして、同端末は、上記の例では暗号化方式として新たにTKIPが採用されるとともに暗号鍵は「DATA3」であることを検知し、これらの情報を利用して、その後もアクセスポイント20との接続を維持することができる。
また、セキュリティレベルを向上させる余地がある場合に、図9に示す処理を実行してもよい。
まず、アクセスポイント20の側からステップS500にて既に暗号鍵(キー)を配信した全端末に対して対応可能な暗号化方式を確認する確認パケットを送信する。
これに対して各端末はステップS380にてその時点で対応可能な暗号化方式を表す応答パケットを返信する。この場合、暗号化方式を返信しても良いし、予め各暗号化方式に対応させておいたセキュリティレベルを返信しても良い。
アクセスポイント20の側では、ステップS502にて、今回応答があった全ての端末で共通するセキュリティレベルの最も高い暗号化方式と現在アクセスポイント20が採用している暗号化方式とを対比し、セキュリティレベルが無用に下がっていないかを判断する。そして、セキュリティレベルを上げる余地があるのであれば、ステップS504にてセキュリティレベルを上げた暗号化方式に変更し、ステップS506にてその設定情報に変更する。この場合も敢えて各端末に対して変更の通知はしないが、各端末毎に接続監視モードにおいてアクセスポイント20のステーションIDの変化の有無に基づき、適切な暗号化方式と暗号鍵に切り替えることができる。
3.変形例
以上本発明の一実施形態を説明したが、本発明は上記態様以外にも、本発明の要旨を逸脱しない範囲内において種々なる様態で実施し得ることは勿論である。
例えば、上記では、端末とアクセスポイントとの間でやりとりされるデータの内容を暗号化する技術としてWEPなどを用いたが、これら以外の他の暗号化技術を用いても差し支えない。例えば、公開鍵暗号方式(データの暗号化と暗号化されたデータの復号化とで異なる暗号鍵を使用する方式)の暗号化技術を用いてもよい。また、強度の高い暗号化技術であるWPA(Wi−Fi Protected Access)を用いることも考えることができる。
上記実施形態では、設定を、端末50に装着された無線LANアダプタ52とアクセスポイント20の送信機25,受信機26との間の電波の送受信によって実現したが、こうした電波以外の他の無線を用いた通信によって設定を行なう構成としても差し支えない。こうした他の無線としては、赤外線、光、音声信号、超音波、微弱電波などを考えることができる。また、端末50とアクセスポイント20との間の無線通信を、Bluetooth(商標)という近距離間での無線通信方式を用いて実現することも可能である。
また、上記実施形態の構成に、上記のような他の無線によるデータ伝送を併用しても差し支えない。一例として、赤外線によるデータ伝送を併用した構成について、以下に説明する。上記実施形態の構成と異なる点は、アクセスポイント20に、CPU11とバスにより相互に接続された赤外線受信インタフェースと、赤外線受信インタフェースに接続された赤外線受信部とを設ける点、端末50等に、CPUとバスにより相互に接続された赤外線送信インタフェースと、赤外線送信インタフェースに接続された赤外線発信部とを設ける点である。
アクセスポイント20側の赤外線受信部は、赤外線領域に感度を持つフォトダイオードによって構成されており、端末50の赤外線発信部は、赤外線領域の波長の光を出力するLEDによって構成されている。端末50側の赤外線送信インタフェースは、CPUからの指令信号を、この指令信号を重畳させた伝送波に変換する。変換された伝送波は、赤外線発信部から発信される。こうして端末50から発信された伝送波は、端末50がセキュリティ受信エリア(赤外線受信部によって伝送波を受信可能なエリア)内にある場合に、アクセスポイント20側の赤外線受信部によって受信される。こうして受信された伝送波を受け取った赤外線受信インタフェースは、伝送波を二値化された指令信号に変換し、変換後の指令信号をCPU11に送る。
なお、上記の赤外線送信インタフェースや赤外線発信部は、これらを予め端末50に組み込むことによって実現してもよいし、端末50の音声出力端子に赤外線発信機を接続することによって実現してもよい。
以上、電波を用いたデータ通信に赤外線によるデータ伝送を併用した構成を一例として説明したが、赤外線以外の他の無線(例えば、光、音声信号、超音波、微弱電波)によるデータ伝送を電波を用いたデータ通信に併用することとしても差し支えない。また、可視光によるデータ伝送を併用する場合には、パーソナルコンピュータや携帯情報端末等の液晶表示部を発光素子として用いてもよい。こうすれば、端末の液晶表示部から、MACアドレスの情報が重畳された光信号を、アクセスポイント20に発信することが可能となる。
また、上記実施形態では、設定中における無線通信範囲を限定したが、このような無線通信範囲の限定は、上述した設定のみならず、アクセスポイント20と端末50との間のやり取りによって設定される他の情報にも適用することができる。例えば、特定の人に対してのみ有料コンテンツを送信するフリースポットでは、アクセスした端末の所有者が特定の人であることを認証するための情報(例えば、端末所有者の氏名,IDやパスワード等)をアクセスポイント20や端末50に予め登録する場合がある。こうした個人を認証する情報の登録を、アクセスポイント20と端末50との間の無線通信範囲を限定しつつ、無線通信によって行なう構成としてもよい。こうすれば、IDやパスワード等の個人を認証する情報をマニュアルで設定する必要がない。
4.まとめ
このように、アクセスポイント20は、所定期間毎に繰り返し、自己を介した無線LANに接続している端末を検知し、無線LANに参加している端末数が減少している場合や端末に入替えがある場合には、採用する暗号化方式の見直しを行う。かかる見直しにおいて、ネットワークを構築する機器間で共通して採用可能な暗号化方式のうち最もセキュリティレベルの高い暗号化方式を選択するという指針に沿って暗号化方式を採用することにより、ある端末がネットワークから離脱した後や上記入替えがあった後において、不必要に低いレベルのセキュリティ設定が維持されてしまうということが防がれる。また、端末数が増加する場合には上記セキュリティポリシーに基づくセキュリティ設定を、端末数が減少したりや上記入替えがあった場合には上述した指針に基づいてセキュリティ設定の見直しを行うことで、ネットワークを構築する端末構成の変化にかかわらず、常にその時点で最適なセキュリティ環境を得ることができる。
本発明の一実施形態にかかる暗号鍵設定システムを実現するハードウェア構成を示す説明図である。 アクセスポイントの構成を示す説明図である。 暗号鍵設定システムでのワンタッチ登録手順を示すフローチャートである。 パケット交換の処理と暗号化方式の決定手順を示すフローチャートである。 接続監視モードの処理手順を示すフローチャートである。 端末の追加の処理を示すフローチャートである。 端末の減少に伴う暗号化方式の決定手順を示すフローチャートである。 端末の入替に伴う暗号化方式の決定手順を示すフローチャートである。 暗号化方式の変更を実行する手順を示すフローチャートである。
符号の説明
11…CPU
12…ROM
13…RAM
14…記憶装置
15…ディスプレイコントローラ
16…入出力コントローラ
17…WANポート
18…無線通信インタフェース
20…アクセスポイント
22…LANポート
25…送信機
26…受信機
28…ルータ
50,60,70…端末
52,62,72…無線LANアダプタ
127…登録ボタン
AR1…無線通信エリア

Claims (10)

  1. 無線LAN用の中継器であるアクセスポイントと無線LAN接続用デバイスを備えた端末との間で、無線で通信される無線通信データを通信に先立って暗号化する際に用いられる暗号化方式と暗号鍵とを設定する暗号鍵設定システムであって、
    上記端末は、
    上記アクセスポイントに対して、当該端末が対応可能な暗号化方式を無線で伝える端末側暗号化方式伝達手段と、
    上記アクセスポイントが採用した暗号化方式を検知し、同検知した暗号化方式を選択する端末側暗号化方式選択手段とを備え、
    上記アクセスポイントは、
    同アクセスポイントを介した無線LANに参加している端末を特定し同参加している端末が変化したか否かを検知する接続端末検知手段と、
    上記接続端末検知手段が同無線LANに参加している端末が変化したことを検知した場合に、同アクセスポイントが対応可能な暗号化方式であって同無線LANに参加している端末が共通して対応可能な暗号化方式の中から、暗号化方式を選択して採用するアクセスポイント側暗号化方式選択手段とを備え
    上記アクセスポイント側暗号化方式選択手段は、上記接続端末検知手段が同無線LANに参加している端末が変化したことを検知した場合に、同無線LANに参加している端末が、それまで採用されていた暗号化方式よりもセキュリティレベルの高い暗号化方式に共通して対応可能である場合に、当該セキュリティレベルの高い暗号化方式を選択することを特徴とする暗号鍵設定システム。
  2. 上記接続端末検知手段は、所定時間毎に繰り返し、上記無線LANに参加している端末を各端末固有の識別情報に基づいて特定するとともに、同特定した各端末固有の識別情報と前回の端末の特定作業において取得した各端末固有の識別情報とを比較することによって、同無線LANに参加している端末数の減少を検知することを特徴とする請求項1に記載の暗号鍵設定システム。
  3. 上記接続端末検知手段は、所定時間毎に繰り返し、上記無線LANに参加している端末を各端末固有の識別情報に基づいて特定するとともに、同特定した各端末固有の識別情報と前回の端末の特定作業において取得した各端末固有の識別情報とを比較することによって、同無線LANに参加している端末に入替わりがあったことを検知することを特徴とする請求項1または請求項2のいずれかに記載の暗号鍵設定システム。
  4. 上記アクセスポイントは、同アクセスポイントが対応可能な暗号化方式のうち、上記端末側暗号化方式伝達手段によって伝えられた暗号化方式によって絞り込んだ暗号化方式と同絞り込んだ暗号化方式の夫々において利用する暗号鍵とを端末に無線で伝えるアクセスポイント側暗号鍵伝達手段を備え、
    上記端末は、上記アクセスポイントから伝えられた夫々の暗号化方式ごとの暗号鍵を所定の記憶領域に保存する端末側暗号鍵保存手段を備えることを特徴とする請求項1〜請求項3のいずれかに記載の暗号鍵設定システム。
  5. 上記アクセスポイント側暗号鍵伝達手段は、上記絞り込んだ暗号化方式と同絞り込んだ暗号化方式の夫々において利用する暗号鍵とを端末に伝える処理を、当該端末の端末側暗号化方式伝達手段によって暗号化方式を伝えられた際に一度だけ行うことを特徴とする請求項4に記載の暗号鍵設定システム。
  6. 上記アクセスポイント側暗号化方式選択手段は、上記無線LANに参加している端末の変化に伴い採用する暗号化方式を変更した際に、同暗号化方式の変更に対応してステーションIDを変更することを特徴とする請求項4または請求項5のいずれかに記載の暗号鍵設定システム。
  7. 上記アクセスポイント側暗号鍵伝達手段は、同アクセスポイントが対応可能な暗号化方式の夫々に異なったステーションIDを特定し、上記絞り込んだ暗号化方式の夫々ごとに上記特定したステーションIDを上記暗号鍵とともに端末に無線で伝え、
    上記端末側暗号化方式選択手段は、接続可能なアクセスポイントからステーションIDを取得し、予め上記端末側暗号鍵保存手段によって保存しておいたステーションIDと一致するものがあるときに同ステーションIDに対応した暗号化方式と暗号鍵とを採用することを特徴とする請求項4〜請求項6のいずれかに記載の暗号鍵設定システム。
  8. 上記端末側暗号化方式選択手段は、特定したステーションIDに基づくアクセスポイントとの無線通信が維持できなくなったときに、あらためて接続可能なアクセスポイントからステーションIDを取得し、保存しておいたステーションIDと一致するものがあるときに同ステーションIDに対応した暗号化方式と暗号鍵とを採用することを特徴とする請求項7に記載の暗号鍵設定システム。
  9. 無線LAN通信における複数の暗号化方式に対応した無線LAN用の中継器であるアクセスポイントであって、
    無線LAN接続用デバイスを備えた端末との無線通信データを通信に先立って暗号化する際に用いられる暗号化方式と暗号鍵とを設定するにあたり、
    同アクセスポイントを介した無線LANに参加している端末を特定し同参加している端末が変化したか否かを検知する接続端末検知手段と、
    上記接続端末検知手段が同無線LANに参加している端末が変化したことを検知した場合に、予め複数の端末から無線で伝えられた各端末が対応可能な暗号化方式にかかるデータに基づいて、同アクセスポイントが対応可能な暗号化方式であって同無線LANに参加している端末が共通して対応可能な暗号化方式の中から暗号化方式を選択して採用するアクセスポイント側暗号化方式選択手段とを備え
    上記アクセスポイント側暗号化方式選択手段は、上記接続端末検知手段が同無線LANに参加している端末が変化したことを検知した場合に、同無線LANに参加している端末が、それまで採用されていた暗号化方式よりもセキュリティレベルの高い暗号化方式に共通して対応可能である場合に、当該セキュリティレベルの高い暗号化方式を選択することを特徴とするアクセスポイント。
  10. 無線LAN用の中継器であるアクセスポイントと無線LAN接続用デバイスを備えた端末との間で、無線で通信される無線通信データを通信に先立って暗号化する際に用いられる暗号化方式と暗号鍵とを設定する暗号鍵設定方法であって、
    上記端末は、上記アクセスポイントに対して、当該端末が対応可能な暗号化方式を無線で伝え、
    上記アクセスポイントは、同アクセスポイントを介した無線LANに参加している端末を特定するとともに同参加している端末が変化したか否かを検知し、同無線LANに参加している端末が変化したことを検知した場合に、同アクセスポイントが対応可能な暗号化方式であって同無線LANに参加している端末が共通して対応可能な暗号化方式の中から暗号化方式を選択して採用するにあたり、同無線LANに参加している端末が、それまで採用されていた暗号化方式よりもセキュリティレベルの高い暗号化方式に共通して対応可能である場合に、当該セキュリティレベルの高い暗号化方式を選択し、
    上記端末は、上記アクセスポイントが採用した暗号化方式を検知し、同検知した暗号化方式を選択することを特徴とする暗号鍵設定方法。
JP2004125150A 2004-04-21 2004-04-21 暗号鍵設定システム、アクセスポイントおよび暗号鍵設定方法 Expired - Lifetime JP4606055B2 (ja)

Priority Applications (9)

Application Number Priority Date Filing Date Title
JP2004125150A JP4606055B2 (ja) 2004-04-21 2004-04-21 暗号鍵設定システム、アクセスポイントおよび暗号鍵設定方法
DE200560000704 DE602005000704T2 (de) 2004-04-21 2005-03-21 System zur Verarbeitung von kryptographischen Schlüsseln für einen drahtlosen Access point
EP20050251702 EP1605638B1 (en) 2004-04-21 2005-03-21 Cipher key setting system and method for a wireless access point
AT05251702T ATE357100T1 (de) 2004-04-21 2005-03-21 System zur verarbeitung von kryptographischen schlüsseln für einen drahtlosen access point
US11/103,007 US20050238172A1 (en) 2004-04-21 2005-04-11 Cipher key setting system, access point, and cipher key setting method
CNB2005100659753A CN100366015C (zh) 2004-04-21 2005-04-19 加密键设定系统、接入点以及加密键设定方法
KR20050032721A KR100701495B1 (ko) 2004-04-21 2005-04-20 암호키 설정시스템, 액세스 포인트 및 암호키 설정방법
TW094112507A TWI268687B (en) 2004-04-21 2005-04-20 Cipher key setting system, access point, and cipher key setting method
HK05111729A HK1077142A1 (en) 2004-04-21 2005-12-20 Cipher key setting system, access point, and cipher key setting method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004125150A JP4606055B2 (ja) 2004-04-21 2004-04-21 暗号鍵設定システム、アクセスポイントおよび暗号鍵設定方法

Publications (2)

Publication Number Publication Date
JP2005311653A JP2005311653A (ja) 2005-11-04
JP4606055B2 true JP4606055B2 (ja) 2011-01-05

Family

ID=34981402

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004125150A Expired - Lifetime JP4606055B2 (ja) 2004-04-21 2004-04-21 暗号鍵設定システム、アクセスポイントおよび暗号鍵設定方法

Country Status (9)

Country Link
US (1) US20050238172A1 (ja)
EP (1) EP1605638B1 (ja)
JP (1) JP4606055B2 (ja)
KR (1) KR100701495B1 (ja)
CN (1) CN100366015C (ja)
AT (1) ATE357100T1 (ja)
DE (1) DE602005000704T2 (ja)
HK (1) HK1077142A1 (ja)
TW (1) TWI268687B (ja)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8862866B2 (en) 2003-07-07 2014-10-14 Certicom Corp. Method and apparatus for providing an adaptable security level in an electronic communication
US20050054327A1 (en) * 2003-09-04 2005-03-10 David Johnston System and associated methods to determine authentication priority between devices
JP4629573B2 (ja) * 2005-09-20 2011-02-09 富士通フロンテック株式会社 無線システムの起動とそのプログラム
JP4829635B2 (ja) 2006-02-17 2011-12-07 キヤノン株式会社 通信装置、通信方法、ネットワークを構成する方法、通信システム
FR2898445B1 (fr) * 2006-03-08 2008-11-14 Airbus France Sas Procede et dispositif de detection de tentatives d'intrusion sur une liaison de communication entre un aeronef et une station sol.
KR100737526B1 (ko) 2006-05-09 2007-07-10 한국전자통신연구원 무선 랜에서의 접근 제어 방법
CN101102185B (zh) * 2006-07-06 2012-03-21 朗迅科技公司 Ims会话的媒体安全
JP4850610B2 (ja) 2006-07-31 2012-01-11 キヤノン株式会社 通信装置及びその制御方法
JP4886463B2 (ja) 2006-10-20 2012-02-29 キヤノン株式会社 通信パラメータ設定方法、通信装置及び通信パラメータを管理する管理装置
JP4594969B2 (ja) 2007-08-28 2010-12-08 株式会社バッファロー 無線lan用アクセスポイント、プログラムおよび記録媒体
US7974236B2 (en) * 2007-11-16 2011-07-05 Ricoh Company, Ltd. Approach for configuring Wi-Fi devices
JP5067866B2 (ja) * 2008-01-08 2012-11-07 キヤノン株式会社 通信装置及び制御方法
JP4992066B2 (ja) * 2008-05-15 2012-08-08 株式会社メガチップス 通信システムおよび通信装置
JP4578539B2 (ja) * 2008-06-17 2010-11-10 株式会社バッファロー 無線通信システム、無線lan接続装置、無線lan中継装置
JP5239701B2 (ja) * 2008-09-30 2013-07-17 ヤマハ株式会社 送信機、ガイド端末、及びナビゲーションシステム
US8577043B2 (en) * 2009-01-09 2013-11-05 International Business Machines Corporation System and service to facilitate encryption in data storage devices
US20100177885A1 (en) * 2009-01-09 2010-07-15 Ibm Corporation Methods to facilitate encryption in data storage devices
JP5053424B2 (ja) * 2010-07-29 2012-10-17 株式会社バッファロー 中継装置、無線通信装置、ネットワークシステム、プログラム、および、方法
JP5066238B2 (ja) * 2010-09-16 2012-11-07 株式会社バッファロー 無線lan用アクセスポイント、プログラムおよび記録媒体
KR101807523B1 (ko) 2011-12-13 2017-12-12 삼성전자주식회사 무선 통신 시스템에서 무선 망 제공자를 확인하기 위한 장치 및 방법
JP5738790B2 (ja) * 2012-03-06 2015-06-24 オリンパス株式会社 無線通信端末、無線通信システム、無線セットアップ方法、およびプログラム
JP6165458B2 (ja) * 2013-02-13 2017-07-19 三菱重工業株式会社 相互認証システム、利用者端末、相互認証方法、及びプログラム
EP2819057B1 (en) * 2013-06-24 2017-08-09 Nxp B.V. Data processing system, method of initializing a data processing system, and computer program product
JP6146725B2 (ja) 2013-07-12 2017-06-14 パナソニックIpマネジメント株式会社 暗号通信装置、暗号通信方法およびそのコンピュータプログラム
JP6335516B2 (ja) * 2014-01-15 2018-05-30 キヤノン株式会社 通信装置、その制御方法、およびプログラム
JP6686350B2 (ja) * 2015-09-30 2020-04-22 ブラザー工業株式会社 コンピュータプログラム、および、中継装置
JP6789628B2 (ja) * 2015-12-18 2020-11-25 キヤノン株式会社 通信装置、制御方法、および、プログラム
US11310283B1 (en) * 2018-09-07 2022-04-19 Vmware, Inc. Scanning and remediating configuration settings of a device using a policy-driven approach
JP7357058B2 (ja) * 2018-12-21 2023-10-05 テレフオンアクチーボラゲット エルエム エリクソン(パブル) 通信ネットワークにおける無線アクセスに関連した方法、装置、および機械可読媒体
US11929780B2 (en) 2019-06-24 2024-03-12 Telefonaktiebolaget Lm Ericsson (Publ) Methods, apparatus and machine-readable mediums related to wireless communication in communication networks
JP7244093B2 (ja) * 2020-04-23 2023-03-22 Necプラットフォームズ株式会社 無線通信システム、無線通信装置、無線接続方法及びプログラム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004032664A (ja) * 2001-12-26 2004-01-29 Toshiba Corp 無線通信システム及び無線通信装置並びに無線通信方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5179591A (en) * 1991-10-16 1993-01-12 Motorola, Inc. Method for algorithm independent cryptographic key management
US6985742B1 (en) * 1996-08-15 2006-01-10 Spatial Adventures, Inc. Method and apparatus for providing position-related information to mobile recipients
JP3776619B2 (ja) * 1999-03-05 2006-05-17 株式会社東芝 暗号通信端末、暗号通信センター装置、暗号通信システム及び記憶媒体
US6240188B1 (en) * 1999-07-06 2001-05-29 Matsushita Electric Industrial Co., Ltd. Distributed group key management scheme for secure many-to-many communication
US7113600B1 (en) * 1999-11-12 2006-09-26 Telefonaktiebolaget Lm Ericsson (Publ) Base transceiver station automatic encryption handling
JP2001186121A (ja) * 1999-12-27 2001-07-06 Nec Corp 通信装置、通信装置セット、認証方法および端末間ワイヤレス接続方法
JP3945963B2 (ja) * 2000-05-09 2007-07-18 株式会社リコー アクセスポイント装置
JP3585422B2 (ja) * 2000-06-01 2004-11-04 シャープ株式会社 アクセスポイント装置及びその認証処理方法
DE60222227T2 (de) * 2001-12-26 2008-01-10 Kabushiki Kaisha Toshiba Kommunikationssystem, drahtlose Kommunikationsvorrichtung und Kommunikationsverfahren
CN1268093C (zh) * 2002-03-08 2006-08-02 华为技术有限公司 无线局域网加密密钥的分发方法
US6965674B2 (en) * 2002-05-21 2005-11-15 Wavelink Corporation System and method for providing WLAN security through synchronized update and rotation of WEP keys
KR100888471B1 (ko) * 2002-07-05 2009-03-12 삼성전자주식회사 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법
JP4218934B2 (ja) * 2002-08-09 2009-02-04 キヤノン株式会社 ネットワーク構築方法、無線通信システムおよびアクセスポイント装置
KR100489683B1 (ko) * 2002-12-02 2005-05-17 삼성전자주식회사 무선 랜에 있어서 다중 액세스 포인트의 부하 분산 장치및 그 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004032664A (ja) * 2001-12-26 2004-01-29 Toshiba Corp 無線通信システム及び無線通信装置並びに無線通信方法

Also Published As

Publication number Publication date
ATE357100T1 (de) 2007-04-15
HK1077142A1 (en) 2006-02-03
JP2005311653A (ja) 2005-11-04
DE602005000704T2 (de) 2008-01-24
CN1691625A (zh) 2005-11-02
EP1605638A3 (en) 2005-12-21
DE602005000704D1 (de) 2007-04-26
KR20060047267A (ko) 2006-05-18
EP1605638A2 (en) 2005-12-14
EP1605638B1 (en) 2007-03-14
KR100701495B1 (ko) 2007-03-29
US20050238172A1 (en) 2005-10-27
TW200620941A (en) 2006-06-16
TWI268687B (en) 2006-12-11
CN100366015C (zh) 2008-01-30

Similar Documents

Publication Publication Date Title
JP4606055B2 (ja) 暗号鍵設定システム、アクセスポイントおよび暗号鍵設定方法
JP4667739B2 (ja) 暗号鍵設定システム、アクセスポイント、無線lan端末、および、暗号鍵設定方法
JP4990608B2 (ja) 無線デバイスグループ別にメッセージを伝送する方法及び装置
US9015065B2 (en) Method, system, and device for implementing network banking service
JP4029629B2 (ja) 通信機器、通信方法およびプログラム
CN117544931A (zh) 信息共享方法、终端设备、存储介质及计算机程序产品
JP5002149B2 (ja) 通信装置及び通信方法
US10091650B2 (en) Wireless terminal configuration method, device, and system
US20080240068A1 (en) Wireless Network System, And Wireless Device Included In The System
US20090274065A1 (en) Method and apparatus for setting wireless local area network by using button
CN102387501A (zh) 使用探测的两个设备之间的安全无线链路
US20180069726A1 (en) Communication device, communication method, communication system, and computer program product
US20140059643A1 (en) Wireless communication apparatus, recording medium, and method
JP6361650B2 (ja) 情報処理装置、無線通信システム、情報処理方法、及びプログラム
JP4494121B2 (ja) 無線lan接続システム、無線lan接続方法およびアクセスポイント
US9590974B2 (en) Communication apparatus, communication system, and recording medium
WO2014178218A1 (ja) 情報処理装置、無線通信システム、情報処理方法、及びプログラム
WO2016139922A1 (en) Communication device, communication method, communication system, and computer program product
WO2017117775A1 (zh) 一种通信安全处理方法、系统及相关设备
JP2023158555A (ja) 通信装置、制御方法およびプログラム

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20051221

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070411

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100629

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100823

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100914

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101005

R150 Certificate of patent or registration of utility model

Ref document number: 4606055

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131015

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250