JP4663596B2 - 相互認証システム及び方法並びにプログラム - Google Patents
相互認証システム及び方法並びにプログラム Download PDFInfo
- Publication number
- JP4663596B2 JP4663596B2 JP2006191281A JP2006191281A JP4663596B2 JP 4663596 B2 JP4663596 B2 JP 4663596B2 JP 2006191281 A JP2006191281 A JP 2006191281A JP 2006191281 A JP2006191281 A JP 2006191281A JP 4663596 B2 JP4663596 B2 JP 4663596B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- access point
- information
- wireless access
- wireless
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、無線LAN(Local Area Network)アクセス時の相互認証システム及び方法並びにプログラムに関し、特に、無線タグ情報を利用した、無線LANアクセスポイント及びサーバ、サーバにアクセスするクライアント端末における、相互認証システム及び方法並びにプログラムに関する。
従来、成り済まし端末による不正アクセス、及び成り済ましAP(Access Point)による不正な盗聴に対する対策として、SSID(Service Set IDentifier)/WEP(Wired Equivalent Privacy)キー、MAC(Media Access Control)アドレスが、一般的に知られている。
これは、独立行政法人情報処理推進機構(Infomation−technology Promotion Agency:IPA,Japan)が推奨するものであり、以下に示す(1)〜(3)を組み合わせて利用することで、アクセス制御、盗聴対策を行なう。
(1)SSID:アクセスポイントとクライアント端末で同じSSIDが登録されていないと通信することができない。
(2)WEP:WEPは暗号化の方式で盗聴防止に利用されるが、共通鍵がAPに設定されるため、無許可の端末がAPに接続できなくなる。そのためアクセス制御の役割も果たす。
(3)MAC:アクセスを許可する通信モジュールについて、そのMACアドレスをアクセスポイント若しくはサーバに登録しておき、登録されていないMACアドレスの通信モジュールに対してはネットワークへのアクセスを禁止する。
(1)SSID:アクセスポイントとクライアント端末で同じSSIDが登録されていないと通信することができない。
(2)WEP:WEPは暗号化の方式で盗聴防止に利用されるが、共通鍵がAPに設定されるため、無許可の端末がAPに接続できなくなる。そのためアクセス制御の役割も果たす。
(3)MAC:アクセスを許可する通信モジュールについて、そのMACアドレスをアクセスポイント若しくはサーバに登録しておき、登録されていないMACアドレスの通信モジュールに対してはネットワークへのアクセスを禁止する。
独立行政法人情報処理推進機構(IPA)では、2003年に「無線LANのセキュリティに関する注意」として上記の方式を組み合わせて利用することを推奨しており、公衆無線LANサービスや、企業利用ではこれらの方式を組み合わせて利用することが一般的となっている。
ところで、上述した対策では、不正なアクセス、成り済ましアクセスポイントの脅威に対して十分な安全性を保てないことが指摘されている。そこで、クライアント端末と無線アクセスポイント(若しくは認証サーバ)間で相互に認証する方法として、IEEE802.1xに対応した無線LAN端末と無線アクセスポイント、認証サーバを用いた、ユーザ認証・接続先無線アクセスポイント認証、即ち、IEEE802.1x及びそれを利用したWPA(Wi−Fi Protected Access)/WPA2が用いられている(非特許文献1参照)。
http://www.soumu.go.jp./joho_tsusin/lan/(総務省「安全に無線LANを使用するために」)
ところで、上述した対策では、不正なアクセス、成り済ましアクセスポイントの脅威に対して十分な安全性を保てないことが指摘されている。そこで、クライアント端末と無線アクセスポイント(若しくは認証サーバ)間で相互に認証する方法として、IEEE802.1xに対応した無線LAN端末と無線アクセスポイント、認証サーバを用いた、ユーザ認証・接続先無線アクセスポイント認証、即ち、IEEE802.1x及びそれを利用したWPA(Wi−Fi Protected Access)/WPA2が用いられている(非特許文献1参照)。
http://www.soumu.go.jp./joho_tsusin/lan/(総務省「安全に無線LANを使用するために」)
しかしながら、IEEE802.1x及びそれを利用したWPA/WPA2を用いた認証方法では、電子証明書を利用するため高い安全性が期待できるが、証明書の失効管理等を行わなければならない運用管理面の煩雑さや、特殊なサーバ(Remote Authentication Dial−In User Service:RADIUS)を利用するため十分な知識が必要となる等の課題が指摘されている(参考:無線LANにおけるセキュリティ技術の動向 信学技報 2004)
本発明の目的は、運用管理面の煩雑さや特殊なサーバを利用することなく、不正なアクセスや成り済ましAPの脅威に対して十分な安全性を保つことができる相互認証システム及び方法並びにプログラムを提供することである。
本発明の目的は、運用管理面の煩雑さや特殊なサーバを利用することなく、不正なアクセスや成り済ましAPの脅威に対して十分な安全性を保つことができる相互認証システム及び方法並びにプログラムを提供することである。
上記目的を達成するため、本発明に係る相互認証システムは、ユーザの携帯電話機と、認証用情報提供装置と、ユーザの無線LAN端末装置が接続する無線アクセスポイントとを有する相互認証システムであって、前記携帯電話機は、ユーザが持つユーザ識別情報とユーザの居る場所を識別する情報を、前記認証用情報提供装置に送信し、前記認証用情報提供装置は、ユーザ識別情報を秘密情報として、前記無線アクセスポイントを介してユーザに提供し、前記携帯電話機から送信したユーザ識別情報を、前記無線アクセスポイントから受信することにより、前記無線アクセスポイントが正当な認証情報提供装置により管理されている正当なアクセスポイントであることを確認することを特徴としている。
また、本発明は、前記認証情報提供装置は、前記無線アクセスポイントのアクセス制御情報を、前記携帯電話機及び前記無線アクセスポイントに送信することが好ましい。
また、本発明は、前記認証用情報提供装置は、アクセス毎に異なるアクセス制御情報を生成し、ユーザの居る場所を識別する情報を基に該当する無線アクセスポイントに設定すると共に、ユーザに提供することが好ましい。
また、本発明は、前記認証情報提供装置は、前記無線アクセスポイントのアクセス制御情報を、前記携帯電話機及び前記無線アクセスポイントに送信することが好ましい。
また、本発明は、前記認証用情報提供装置は、アクセス毎に異なるアクセス制御情報を生成し、ユーザの居る場所を識別する情報を基に該当する無線アクセスポイントに設定すると共に、ユーザに提供することが好ましい。
また、本発明に係る相互認証方法は、ユーザの携帯電話機から、ユーザが持つユーザ識別情報とユーザの居る場所を識別する情報を、認証用情報提供装置に送信する処理と、認証用情報提供装置から、ユーザ識別情報を秘密情報として、ユーザの無線LAN端末装置が接続する無線アクセスポイントを介し、ユーザに提供する処理と、ユーザの携帯電話機から送信したユーザ識別情報を、前記無線アクセスポイントから受信することにより、前記無線アクセスポイントが正当な認証情報提供装置により管理されている正当なアクセスポイントであることを確認する処理とを有することを特徴としている。
また、本発明は、前記無線アクセスポイントのアクセス制御情報を、前記携帯電話機及び前記無線アクセスポイントに送信する処理を有することが好ましい。
また、本発明は、アクセス毎に異なるアクセス制御情報を生成し、ユーザの居る場所を識別する情報を基に該当する無線アクセスポイントに設定すると共に、ユーザに提供する処理を有することが好ましい。
また、本発明は、前記無線アクセスポイントのアクセス制御情報を、前記携帯電話機及び前記無線アクセスポイントに送信する処理を有することが好ましい。
また、本発明は、アクセス毎に異なるアクセス制御情報を生成し、ユーザの居る場所を識別する情報を基に該当する無線アクセスポイントに設定すると共に、ユーザに提供する処理を有することが好ましい。
また、本発明に係る相互認証プログラムは、ユーザの携帯電話機から、ユーザが持つユーザ識別情報とユーザの居る場所を識別する情報を、認証用情報提供装置に送信するステップと、認証用情報提供装置から、ユーザ識別情報を秘密情報として、ユーザの無線LAN端末装置が接続する無線アクセスポイントを介し、ユーザに提供するステップと、ユーザの携帯電話機から送信したユーザ識別情報を、前記無線アクセスポイントから受信することにより、前記無線アクセスポイントが正当な認証情報提供装置により管理されている正当なアクセスポイントであることを確認するステップとを有しており、これらのステップをコンピュータに実行させることを特徴としている。
また、本発明は、前記無線アクセスポイントのアクセス制御情報を、前記携帯電話機及び前記無線アクセスポイントに送信するステップを有することが好ましい。
また、本発明は、アクセス毎に異なるアクセス制御情報を生成し、ユーザの居る場所を識別する情報を基に該当する無線アクセスポイントに設定すると共に、ユーザに提供するステップを有することが好ましい。
また、本発明は、前記無線アクセスポイントのアクセス制御情報を、前記携帯電話機及び前記無線アクセスポイントに送信するステップを有することが好ましい。
また、本発明は、アクセス毎に異なるアクセス制御情報を生成し、ユーザの居る場所を識別する情報を基に該当する無線アクセスポイントに設定すると共に、ユーザに提供するステップを有することが好ましい。
本発明によれば、携帯電話機により、ユーザが持つユーザ識別情報とユーザの居る場所を識別する情報が、認証用情報提供装置に送信され、認証用情報提供装置により、ユーザ識別情報を秘密情報として、無線アクセスポイントを介してユーザに提供され、携帯電話機から送信したユーザ識別情報が、無線アクセスポイントから受信されることにより、無線アクセスポイントが正当な認証情報提供装置により管理されている正当なアクセスポイントであることが確認される。
このため、運用管理面の煩雑さや特殊なサーバを利用することなく、不正なアクセスや成り済ましAPの脅威に対して十分な安全性を保つことができる。
このため、運用管理面の煩雑さや特殊なサーバを利用することなく、不正なアクセスや成り済ましAPの脅威に対して十分な安全性を保つことができる。
以下、本発明を実施するための最良の形態について図面を参照して説明する。
図1は、本発明の一実施の形態に係る相互認証システムの概略構成を示すブロック図である。図1に示すように、相互認証システム10は、認証用情報提供サーバ11、アクセス回線網12、サービスサーバ13、ゲートウェイ(GateWay:GW)14、無線アクセスポイント15、無線LAN端末装置16、第1無線タグ17、第2無線タグ18、携帯電話機19、及び携帯電話網20を有している。
無線LAN端末装置16は、無線LAN端末装置16をネットワークに接続できるサービスを提供しているサービスエリア21において用いられる。このサービスエリア21には、無線LANのアクセスポイント15、場所に関連付けられた第2無線タグ18が設置されている。また、ユーザに関連付けられた第1無線タグ17、携帯電話機19、無線LAN端末装置16は、ユーザが保持している。
図1は、本発明の一実施の形態に係る相互認証システムの概略構成を示すブロック図である。図1に示すように、相互認証システム10は、認証用情報提供サーバ11、アクセス回線網12、サービスサーバ13、ゲートウェイ(GateWay:GW)14、無線アクセスポイント15、無線LAN端末装置16、第1無線タグ17、第2無線タグ18、携帯電話機19、及び携帯電話網20を有している。
無線LAN端末装置16は、無線LAN端末装置16をネットワークに接続できるサービスを提供しているサービスエリア21において用いられる。このサービスエリア21には、無線LANのアクセスポイント15、場所に関連付けられた第2無線タグ18が設置されている。また、ユーザに関連付けられた第1無線タグ17、携帯電話機19、無線LAN端末装置16は、ユーザが保持している。
認証用情報提供サーバ11は、ユーザに関連付けられた無線タグID(IDentification)情報と場所に関連付けられたリーダID情報を基に、該当する場所に設置されたアクセスポイントを介して、ユーザ識別情報を無線LAN端末装置16に提供すると共に、該当するアクセスポイントと携帯電話機19に対して、アクセス制御情報(認証用情報)を提供する。
アクセス回線網12は、ADSL(Asymmetric Digital Subscriber Line)や光回線等の公衆アクセス回線、ISDN(Integrated Services Digital Network)等のダイヤルアップ回線、企業のVAN(Value Added Network)やLAN、及びインターネット等の回線網が用いられる。
アクセス回線網12は、ADSL(Asymmetric Digital Subscriber Line)や光回線等の公衆アクセス回線、ISDN(Integrated Services Digital Network)等のダイヤルアップ回線、企業のVAN(Value Added Network)やLAN、及びインターネット等の回線網が用いられる。
サービスサーバ13は、無線アクセスポイント15への接続が許可された無線LAN端末装置16が利用するサービス、例えば、インターネットへの接続制御やファイル共有等を制御するサーバである。
GW14は、サービスエリア21からサービスサーバ13への通信の制御を行う。
無線アクセスポイント15は、IEEE802.11の仕様に準拠したものであり、特に、無線LAN端末装置16にIPアドレスを設定するDHCP(Dynamic Host Configuration Protocol)機能を有するものを利用する。
無線LAN端末装置16は、無線アクセスポイント15へ接続する端末装置であり、ノートPCやPDA(Personal Digital Assistant)や携帯電話機等、無線LANインターフェースを持ち、SSIDを設定し、WEPキーを利用した暗号化を行えるものであればよい。
GW14は、サービスエリア21からサービスサーバ13への通信の制御を行う。
無線アクセスポイント15は、IEEE802.11の仕様に準拠したものであり、特に、無線LAN端末装置16にIPアドレスを設定するDHCP(Dynamic Host Configuration Protocol)機能を有するものを利用する。
無線LAN端末装置16は、無線アクセスポイント15へ接続する端末装置であり、ノートPCやPDA(Personal Digital Assistant)や携帯電話機等、無線LANインターフェースを持ち、SSIDを設定し、WEPキーを利用した暗号化を行えるものであればよい。
第1無線タグ17は、ユーザを識別するユーザ識別IDを、読み取り可能に記録するものである。この無線タグは、アクティブ型、パッシブ型、非接触ICカード型等の他、利用する周波数によっても分類される。この分類には、密着型、近接型、近傍型、遠隔型等があるが、これらも用途に応じて適宜使い分けることができる。各ユーザは、ユーザ毎に異なるタグを持つ。
第2無線タグ18は、場所を識別できる場所識別情報を読み取り可能に記録するものである。この無線タグは、アクティブ型、パッシブ型、非接触ICカード型等の他、利用する周波数によっても分類される。この分類には、密着型、近接型、近傍型、遠隔型等があるが、これらも用途に応じて適宜使い分けることができる。無線アクセスポイント15の設置場所には、設置場所毎に異なるタグが備えられる。第2無線タグ18と無線アクセスポイント15の関連は、認証用情報提供サーバ11で管理される。
第2無線タグ18は、場所を識別できる場所識別情報を読み取り可能に記録するものである。この無線タグは、アクティブ型、パッシブ型、非接触ICカード型等の他、利用する周波数によっても分類される。この分類には、密着型、近接型、近傍型、遠隔型等があるが、これらも用途に応じて適宜使い分けることができる。無線アクセスポイント15の設置場所には、設置場所毎に異なるタグが備えられる。第2無線タグ18と無線アクセスポイント15の関連は、認証用情報提供サーバ11で管理される。
この実施の形態においては、場所を識別する情報として第2無線タグ18を利用しているが、異なる場所を識別することが可能であり、且つ、この実施の形態に記載の方法で認証用情報提供サーバ11に送信可能な情報であれば、例えば、QR(Quick Response)コードやバーコード(その場合、携帯電話機のカメラで撮影して認証用情報提供サーバ11へ送信)を利用しても良い。
携帯電話機19は、メール通信機能を備えており、無線タグを読み込む機能を有するか、又は無線タグを読み取る無線タグリーダを接続することが可能である。また、場所識別情報がQRコード等である場合、その情報を撮影するためのカメラ機能が必要である。
携帯電話機19は、メール通信機能を備えており、無線タグを読み込む機能を有するか、又は無線タグを読み取る無線タグリーダを接続することが可能である。また、場所識別情報がQRコード等である場合、その情報を撮影するためのカメラ機能が必要である。
図2は、図1の相互認証システムの具体的構成例を示すブロック図である。図2に示すように、相互認証システム10の認証用情報提供サーバ11は、記憶部22、受信部23、認証用情報生成部24、権利確認部25、認証対象抽出部26、及び送信部27を有している。なお、実際には、複数のアクセスポイント、複数の携帯電話機、複数のタグ、複数の無線LAN端末装置が存在するが、図が煩雑になることを防ぐため、所定のもののみ図示している。
記憶部22は、設置場所情報テーブル28、認証サービス情報テーブル29、ユーザ情報テーブル30、及びAP情報テーブル31の各種テーブルを有している。
記憶部22は、設置場所情報テーブル28、認証サービス情報テーブル29、ユーザ情報テーブル30、及びAP情報テーブル31の各種テーブルを有している。
受信部23は、ユーザ識別子/場所識別子を受信し、その送信元が、GW14の場合にはリーダIDを、携帯電話機19(携帯メール)の場合には無線タグIDを、場所識別子として認識し取り出す機能を有する。認証用情報生成部24は、認証用情報(時間の関数等)を生成する。権利確認部25は、無線タグIDとリーダIDペアの登録を確認する。認証対象抽出部26は、タグIDからユーザ情報(メールアドレス)を抽出する。
無線アクセスポイント15は、受信部32と記憶部33を有しており、記憶部33は、キャッシュテーブル33aを有している。受信部32は、認証用情報提供サーバ11からユーザ識別情報(第1無線タグID)と無線LAN端末装置16のMACアドレスを受信し、キャッシュテーブル33aに保存する。記憶部33は、無線タグIDとMACアドレスを関連付けて保存する。保存情報は、無線LAN端末装置16のDHCPのPACK応答後、削除される。
無線アクセスポイント15は、受信部32と記憶部33を有しており、記憶部33は、キャッシュテーブル33aを有している。受信部32は、認証用情報提供サーバ11からユーザ識別情報(第1無線タグID)と無線LAN端末装置16のMACアドレスを受信し、キャッシュテーブル33aに保存する。記憶部33は、無線タグIDとMACアドレスを関連付けて保存する。保存情報は、無線LAN端末装置16のDHCPのPACK応答後、削除される。
無線LAN端末装置16は、記憶部34と検証部35を有している。記憶部34は、ユーザが持つ第1無線タグ17の情報を記憶し、検証部35は、無線アクセスポイント15から受信したユーザ識別情報(第1無線タグID)と記憶部34の情報の突き合わせを行い、無線アクセスポイント15の接続を制御する。
図3は、図2の認証用情報提供サーバの記憶部が有する各種テーブルの例を示す説明図である。図3に示すように、例えば、受信する情報がユーザ識別子(Tag−A)と場所識別子(Tag−1)である場合、認証サービス情報テーブル29は、ユーザ識別子と場所識別子からなり、設置場所情報テーブル28は、場所識別子とAP識別子からなり、ユーザ情報テーブル30は、ユーザ識別子と無線端末MACアドレスとMail−addからなり、AP情報テーブル31は、AP識別子とAPIPアドレスとWEPキーとSSIDからなる。
図3は、図2の認証用情報提供サーバの記憶部が有する各種テーブルの例を示す説明図である。図3に示すように、例えば、受信する情報がユーザ識別子(Tag−A)と場所識別子(Tag−1)である場合、認証サービス情報テーブル29は、ユーザ識別子と場所識別子からなり、設置場所情報テーブル28は、場所識別子とAP識別子からなり、ユーザ情報テーブル30は、ユーザ識別子と無線端末MACアドレスとMail−addからなり、AP情報テーブル31は、AP識別子とAPIPアドレスとWEPキーとSSIDからなる。
図4は、図1の相互認証システムにより相互認証を行う場合の処理手順を示すシーケンス図である。図4に示すように、無線タグ情報を利用して、無線LANアクセス時に相互認証を行う場合、先ず、ユーザの携帯電話機19のリーダ機能によりユーザ識別情報(第1無線タグID)を読み込む、ユーザ識別情報読込を行う(1)。次に、ユーザの携帯電話機19のリーダ機能により場所識別情報(第2無線タグID)を読み込む、場所識別情報読込を行う(2)。その後、携帯電話機19のメール送信機能を用いて、認証用情報提供サーバ11に(1)、(2)で読み込んだ情報を送信する(3)。
認証用情報提供サーバ11への送信後、認証サービス情報テーブル29を検索する(4)。認証用情報提供サーバ11が、受信部23を介して情報を受信すると、権利確認部25は、先ず、受信したタグIDとリーダIDより、認証サービス情報テーブル29を検索し、ペアが登録されていることを確認する。これにより、正当な(登録されている)ユーザ(タグID)が、正当な場所でアクセス制御情報(認証用情報)を要求していることを確認する。
検索後、権利確認部25は、更に、受信した場所識別子(リーダID)から設置場所情報テーブル28を検索し、リーダIDが登録されている場合、AP識別子を抽出する(5)。
検索後、権利確認部25は、更に、受信した場所識別子(リーダID)から設置場所情報テーブル28を検索し、リーダIDが登録されている場合、AP識別子を抽出する(5)。
次に、アクセス制御情報を生成する(6)。認証用情報生成部24には、ランダムにWEPキーを生成するための所定のアルゴリズムが格納されており、WEPキーを生成する。所定のアルゴリズムは、毎回異なるWEPキーを作成する(現在時刻を使用したアルゴリズム等)。生成されたWEPキーは、AP情報テーブル31の、サーバへの送信処理(3)で抽出されたAP識別子に該当するWEPキーの項目に保存される。
次に、ユーザ情報テーブル30の検索を行う(7)。つまり、認証対象抽出部26により、受信したタグIDを検索し、受信したタグIDが登録されている場合、該当するユーザの携帯電話機のメールアドレス及びユーザが使用する無線LAN端末装置のMACアドレスを抽出する。
次に、ユーザ情報テーブル30の検索を行う(7)。つまり、認証対象抽出部26により、受信したタグIDを検索し、受信したタグIDが登録されている場合、該当するユーザの携帯電話機のメールアドレス及びユーザが使用する無線LAN端末装置のMACアドレスを抽出する。
その後、AP情報テーブル31の検索を行う(8)。認証用情報生成部24は、AP情報テーブル31を検索し、AP識別子が登録されている場合、該当するAPのIPアドレスとアクセス制御情報(WEPキー、SSID)を抽出する。抽出されたアクセス制御情報は、送信部27を介して、該当するユーザの携帯電話機((5)で抽出したメールアドレスに)及びAPに送信される。また、(2)で受信したユーザ識別情報(無線タグID)と(7)で抽出したMACアドレスが、APへ送信される。
次に、ユーザは、アクセス制御情報受信装置で受信したWEPキーとSSIDを、無線LAN端末装置16に設定し、アクセス制御情報登録を行う(9)。アクセス制御情報登録の後、ユーザ識別情報の記憶とアクセス制御情報の登録を行う(10)。つまり、(6)で生成したアクセス制御情報を受信した無線アクセスポイント15は、ユーザ識別情報(無線タグID)とMACアドレスの組みを、記憶部33のキャッシュテーブル33aに記憶する。
次に、ユーザは、アクセス制御情報受信装置で受信したWEPキーとSSIDを、無線LAN端末装置16に設定し、アクセス制御情報登録を行う(9)。アクセス制御情報登録の後、ユーザ識別情報の記憶とアクセス制御情報の登録を行う(10)。つまり、(6)で生成したアクセス制御情報を受信した無線アクセスポイント15は、ユーザ識別情報(無線タグID)とMACアドレスの組みを、記憶部33のキャッシュテーブル33aに記憶する。
次に、無線LAN端末装置16は、(7)で登録されたSSID、WEPキーからIEEE802.11の標準仕様によりAPと接続させる(11)。つまり、通常のIEEE802.11の共通鍵認証を行う。
APと接続した後、無線アクセスポイント15は、無線LAN端末装置16の要求に応じて、IPアドレスの設定を行う(12)。無線LAN端末装置16は、DHCPのREQUESTを送信する。
APと接続した後、無線アクセスポイント15は、無線LAN端末装置16の要求に応じて、IPアドレスの設定を行う(12)。無線LAN端末装置16は、DHCPのREQUESTを送信する。
次に、該当するMACアドレスの無線タグIDを選択する(13)。REQUESTを受けたAPは、フレームの発信元MACアドレスより、キャッシュテーブル33aを検索して該当するユーザ識別情報を抽出し、DHCPのPACK応答中のベンダ仕様部分に含めて応答を行う。応答後、キャッシュテーブル33aのレコードは削除される。
次に、無線タグIDを検証する(14)。無線LAN端末装置16は、PACK応答によりIPアドレスを設定した後、PACK応答フレーム中のユーザ識別情報を抽出し、予め無線LAN端末装置16に設定されているユーザ識別情報との突き合わせを行う。即ち、無線タグIDが送信したIDと同一か否かを判断し、合致した場合は、IP通信を開始し、合致しなかった場合は、無線LANの接続を切断する等してIP通信を開始しない。
次に、無線タグIDを検証する(14)。無線LAN端末装置16は、PACK応答によりIPアドレスを設定した後、PACK応答フレーム中のユーザ識別情報を抽出し、予め無線LAN端末装置16に設定されているユーザ識別情報との突き合わせを行う。即ち、無線タグIDが送信したIDと同一か否かを判断し、合致した場合は、IP通信を開始し、合致しなかった場合は、無線LANの接続を切断する等してIP通信を開始しない。
上述したように、相互認証システム10は、ユーザを識別する第1無線タグ17と、ユーザの所有物である携帯電話機19と、場所を識別する第2無線タグ18と、認証情報提供装置(認証用情報提供サーバ11)と、無線アクセスポイント15からなるシステムで、無線アクセスポイント15を介さずに安全な経路を利用して、無線タグ情報を認証用情報提供サーバ11に送り、無線タグが読み込まれた場所に応じて、ユーザへのアクセス制御情報の配送の可否判断を行い、許可されたユーザの場合には、その場所に該当する適当なアクセス制御情報を作成し、ユーザの所有物である携帯電話機19へアクセス制御情報を配送すると共に、ユーザが居る場所に設置されたアクセスポイント(AP)へ必要なアクセス制御情報を設定することを特徴としている。即ち、ユーザは、配送されたアクセス制御情報で無線アクセスポイント15への接続を試みる。
それに加えて、ユーザが持つ無線タグID情報(ユーザ識別情報)を、無線アクセスポイント15を介さずに安全な経路を利用して、認証用情報提供サーバ11に送り、その情報を秘密情報として、ユーザが持つ無線LAN端末装置16と、無線アクセスを希望するサービスエリアの無線アクセスポイント15との間で共有することが可能で、ユーザが無線アクセスポイント15との接続を希望するときに、当該無線アクセスポイント15を介して、秘密情報(ユーザ識別情報)を受信することにより、ユーザが無線LANアクセスポイントにIP接続を行なう前に、無線アクセスポイント15の正当性を検証することができる。
また、毎回異なるアクセス制御情報を作成する機能を持ち、タグが読み込まれた場所に応じて、必要なアクセス制御情報をタグの持ち主のユーザが持つ携帯電話機19に配送する機能を持つ認証情報提供装置(認証用情報提供サーバ11)を有している。
従って、本発明では、第1無線タグIDと第2無線タグIDで、ユーザとそのユーザのいる場所を判断し、それに合わせた適当なSSIDとWEPキーを動的にユーザの所有物である携帯電話機19に配送すると同時に、無線LAN端末装置16により無線アクセスポイント15へ接続を希望するユーザは、当該無線アクセスポイント15から、自らが安全に送信した無線タグIDを当該アクセスポイント15から受信することで、正規のアクセスポイント(AP)であることを確認することができる。つまり、相互認証が可能である。
従って、本発明では、第1無線タグIDと第2無線タグIDで、ユーザとそのユーザのいる場所を判断し、それに合わせた適当なSSIDとWEPキーを動的にユーザの所有物である携帯電話機19に配送すると同時に、無線LAN端末装置16により無線アクセスポイント15へ接続を希望するユーザは、当該無線アクセスポイント15から、自らが安全に送信した無線タグIDを当該アクセスポイント15から受信することで、正規のアクセスポイント(AP)であることを確認することができる。つまり、相互認証が可能である。
これにより、無線アクセスポイント15に接続するための情報の、悪意ある第三者による入手を困難にしていると同時に、携帯電話機19の持ち主が、正当なユーザである可能性を高めると同時に、悪意ある第三者が不正なアクセスポイントを設置することを困難にしている。この結果、悪意のある第三者に、ユーザの個人情報(パスワード、クレジットカード番号)が盗み取られたり、ウィルスを強制的にダウンロードされるといった被害を受ける(俗にWiフィッシングと言われている)脅威を低減することができる。
また、上記構成とすることで、認証用情報提供サーバ11では、ユーザ識別情報や、無線アクセスポイント15の情報、場所識別(無線タグ、リーダ等)情報を、適切に管理すれば良く、特別な知識を必要としない。このような仕組みにより、無線アクセスポイント接続時の相互認証を可能としつつも、従来の相互認証のための認証システムに比べて、電子証明書の配布や煩雑な失効管理や特殊なサーバの運用等を必要とするという困難さを低減することができる。
また、上記構成とすることにより、アクセス制御情報の取得を要求する際に利用される無線タグID情報が、偽装(タグの盗難、タグIDの盗聴)され利用されると携帯電話機19にアクセス制御情報が送付されることにより、悪意ある第三者が不正アクセスを試みた場合、そのことを正規のユーザが検知することができる。
このように、無線タグ情報を利用して無線LANアクセス時に相互認証を行う場合、ユーザが持つユーザ識別情報(RFID(Radio Frequency IDentification)、非接触ICカード、無線ICタグ)と場所を識別する情報を、無線アクセスポイント15を介さずに安全な経路を利用して認証用情報提供サーバ11に送信する。
このように、無線タグ情報を利用して無線LANアクセス時に相互認証を行う場合、ユーザが持つユーザ識別情報(RFID(Radio Frequency IDentification)、非接触ICカード、無線ICタグ)と場所を識別する情報を、無線アクセスポイント15を介さずに安全な経路を利用して認証用情報提供サーバ11に送信する。
認証用情報提供サーバ11は、ユーザ識別情報を秘密情報として、ユーザが接続する無線アクセスポイント15を介しユーザに提供する。ユーザは、自分自身が受信した経路とは別の経路により安全に送信したユーザ識別情報を、無線LAN端末装置16を接続する無線アクセスポイント15から受信することにより、無線アクセスポイント15が、正当な認証情報提供サーバにより管理されている正当なアクセスポイントであることを確認することができる。
また、同時に、認証用情報提供サーバ11では、アクセス毎に異なるアクセス制御情報を生成し、場所を識別する情報を基に該当する無線アクセスポイント15に設定すると共にユーザに提供する。これにより、無線アクセスポイント15で正当ユーザであることを認証する。
また、同時に、認証用情報提供サーバ11では、アクセス毎に異なるアクセス制御情報を生成し、場所を識別する情報を基に該当する無線アクセスポイント15に設定すると共にユーザに提供する。これにより、無線アクセスポイント15で正当ユーザであることを認証する。
10 相互認証システム
11 認証用情報提供サーバ
12 アクセス回線網
13 サービスサーバ
14 ゲートウェイ
15 無線アクセスポイント
16 無線LAN端末装置
17 第1無線タグ
18 第2無線タグ
19 携帯電話機
20 携帯電話網
21 サービスエリア
22,33,34 記憶部
23,32 受信部
24 認証用情報生成部
25 権利確認部
26 認証対象抽出部
27 送信部
28 設置場所情報テーブル
29 認証サービス情報テーブル
30 ユーザ情報テーブル
31 AP情報テーブル
33a キャッシュテーブル
35 検証部
11 認証用情報提供サーバ
12 アクセス回線網
13 サービスサーバ
14 ゲートウェイ
15 無線アクセスポイント
16 無線LAN端末装置
17 第1無線タグ
18 第2無線タグ
19 携帯電話機
20 携帯電話網
21 サービスエリア
22,33,34 記憶部
23,32 受信部
24 認証用情報生成部
25 権利確認部
26 認証対象抽出部
27 送信部
28 設置場所情報テーブル
29 認証サービス情報テーブル
30 ユーザ情報テーブル
31 AP情報テーブル
33a キャッシュテーブル
35 検証部
Claims (9)
- ユーザの携帯電話機と、認証用情報提供装置と、ユーザの無線LAN端末装置が接続する無線アクセスポイントとを有する相互認証システムであって、
前記携帯電話機は、ユーザが持つユーザ識別情報とユーザの居る場所を識別する情報を、前記認証用情報提供装置に送信し、
前記認証用情報提供装置は、ユーザ識別情報を秘密情報として、前記無線アクセスポイントを介してユーザに提供し、
前記携帯電話機から送信したユーザ識別情報を、前記無線アクセスポイントから受信することにより、前記無線アクセスポイントが正当な認証情報提供装置により管理されている正当なアクセスポイントであることを確認する相互認証システム。 - 前記認証情報提供装置は、前記無線アクセスポイントのアクセス制御情報を、前記携帯電話機及び前記無線アクセスポイントに送信する請求項1に記載の相互認証システム。
- 前記認証用情報提供装置は、アクセス毎に異なるアクセス制御情報を生成し、ユーザの居る場所を識別する情報を基に該当する無線アクセスポイントに設定すると共に、ユーザに提供する請求項1または2に記載の相互認証システム。
- ユーザの携帯電話機から、ユーザが持つユーザ識別情報とユーザの居る場所を識別する情報を、認証用情報提供装置に送信する処理と、
認証用情報提供装置から、ユーザ識別情報を秘密情報として、ユーザの無線LAN端末装置が接続する無線アクセスポイントを介し、ユーザに提供する処理と、
ユーザの携帯電話機から送信したユーザ識別情報を、前記無線アクセスポイントから受信することにより、前記無線アクセスポイントが正当な認証情報提供装置により管理されている正当なアクセスポイントであることを確認する処理と
を有する相互認証方法。 - 前記無線アクセスポイントのアクセス制御情報を、前記携帯電話機及び前記無線アクセスポイントに送信する処理を有する請求項4に記載の相互認証方法。
- アクセス毎に異なるアクセス制御情報を生成し、ユーザの居る場所を識別する情報を基に該当する無線アクセスポイントに設定すると共に、ユーザに提供する処理を有する請求項4または5に記載の相互認証方法。
- ユーザの携帯電話機から、ユーザが持つユーザ識別情報とユーザの居る場所を識別する情報を、認証用情報提供装置に送信するステップと、
認証用情報提供装置から、ユーザ識別情報を秘密情報として、ユーザの無線LAN端末装置が接続する無線アクセスポイントを介し、ユーザに提供するステップと、
ユーザの携帯電話機から送信したユーザ識別情報を、前記無線アクセスポイントから受信することにより、前記無線アクセスポイントが正当な認証情報提供装置により管理されている正当なアクセスポイントであることを確認するステップと
をコンピュータに実行させるための相互認証プログラム。 - 前記無線アクセスポイントのアクセス制御情報を、前記携帯電話機及び前記無線アクセスポイントに送信するステップを有する請求項7に記載の相互認証プログラム。
- アクセス毎に異なるアクセス制御情報を生成し、ユーザの居る場所を識別する情報を基に該当する無線アクセスポイントに設定すると共に、ユーザに提供するステップを有する請求項7または8に記載の相互認証プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006191281A JP4663596B2 (ja) | 2006-07-12 | 2006-07-12 | 相互認証システム及び方法並びにプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006191281A JP4663596B2 (ja) | 2006-07-12 | 2006-07-12 | 相互認証システム及び方法並びにプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008022208A JP2008022208A (ja) | 2008-01-31 |
| JP4663596B2 true JP4663596B2 (ja) | 2011-04-06 |
Family
ID=39077856
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006191281A Expired - Fee Related JP4663596B2 (ja) | 2006-07-12 | 2006-07-12 | 相互認証システム及び方法並びにプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4663596B2 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2073582A1 (en) * | 2007-12-20 | 2009-06-24 | Mitsubishi Electric R&D Centre Europe B.V. | Method for controlling the operation of a base station of a wireless cellular telecommunication network |
| JP5178690B2 (ja) * | 2009-10-30 | 2013-04-10 | 株式会社東芝 | 通信システム、当該システムの携帯端末、および当該システムのセンタ |
| JP5616917B2 (ja) | 2012-03-14 | 2014-10-29 | 富士フイルム株式会社 | 操作管理システムならびに制御システムおよびその動作制御方法 |
| WO2014034265A1 (ja) * | 2012-08-27 | 2014-03-06 | 日本電気株式会社 | データ共有システム、端末装置、端末識別情報表示方法、並びにそのプログラム |
| JP5980721B2 (ja) * | 2013-05-10 | 2016-08-31 | 日本電信電話株式会社 | 情報配信システム及び情報配信方法 |
| CN104125566B (zh) * | 2014-05-23 | 2023-06-23 | 曦威胜科技开发(深圳)有限公司 | 复用智能终端无线ap防蹭网方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004128890A (ja) * | 2002-10-02 | 2004-04-22 | Softbank Bb Corp | 通信サービス提供システム及び通信サービス提供方法 |
| JP2004312529A (ja) * | 2003-04-09 | 2004-11-04 | Kyocera Corp | 情報通信方法及び情報通信システム |
| JP2005065018A (ja) * | 2003-08-18 | 2005-03-10 | Nec Corp | 無線lan接続システム、無線lan接続方法及び無線端末 |
| JP2007060172A (ja) * | 2005-08-23 | 2007-03-08 | Nomura Research Institute Ltd | 認証装置、認証方法および認証プログラム |
-
2006
- 2006-07-12 JP JP2006191281A patent/JP4663596B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004128890A (ja) * | 2002-10-02 | 2004-04-22 | Softbank Bb Corp | 通信サービス提供システム及び通信サービス提供方法 |
| JP2004312529A (ja) * | 2003-04-09 | 2004-11-04 | Kyocera Corp | 情報通信方法及び情報通信システム |
| JP2005065018A (ja) * | 2003-08-18 | 2005-03-10 | Nec Corp | 無線lan接続システム、無線lan接続方法及び無線端末 |
| JP2007060172A (ja) * | 2005-08-23 | 2007-03-08 | Nomura Research Institute Ltd | 認証装置、認証方法および認証プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008022208A (ja) | 2008-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11863543B2 (en) | Network device proximity-based authentication | |
| JP2008021075A (ja) | 無線lanにおける認証システムおよび認証方法、認証サーバ、ならびに認証プログラム | |
| US20080060066A1 (en) | Systems and methods for acquiring network credentials | |
| JP5311039B2 (ja) | 通信システム及びその通信方法とそれらに用いられる装置及びプログラム | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| CN101406021A (zh) | 基于sim的认证 | |
| DK2924944T3 (en) | Presence authentication | |
| WO2007128134A1 (en) | Secure wireless guest access | |
| JP4663596B2 (ja) | 相互認証システム及び方法並びにプログラム | |
| US9788202B2 (en) | Method of accessing a WLAN access point | |
| KR100847145B1 (ko) | 불법 액세스 포인트 검출 방법 | |
| EP2092674A2 (en) | Secure password distribution to a client device of a network | |
| CN104837136B (zh) | 无线接入认证方法和装置 | |
| WO2008030527A2 (en) | Systems and methods for acquiring network credentials | |
| CN109792601B (zh) | 一种eUICC配置文件的删除方法和设备 | |
| KR101281099B1 (ko) | 스마트폰 분실 및 도난의 피해 방지를 위한 인증방법 | |
| JP2021519966A (ja) | リモート生体計測識別 | |
| JP3964338B2 (ja) | 通信ネットワークシステム、通信端末機、認証装置、認証サーバ、及び電子認証方法 | |
| JP4717737B2 (ja) | アクセスポイントの正当性を確認する通信システム、通信方法、及び認証用情報提供サーバ | |
| JP4906581B2 (ja) | 認証システム | |
| KR100858146B1 (ko) | 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치 | |
| CN114208113A (zh) | 用于访问私钥的方法、第一设备、第一服务器、第二服务器和系统 | |
| JP5388088B2 (ja) | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 | |
| JP5888749B2 (ja) | ネットワークの接続認証方法及びシステム | |
| KR100790496B1 (ko) | 인증키를 이용한 이동통신 단말기 제어를 위한 인증 방법,시스템 및 기록매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080725 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20081017 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101222 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110104 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110105 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4663596 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140114 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |