KR100768290B1 - 무선 통신 네트워크의 보안 설정 방법, 보안 설정프로그램을 기록한 기록 매체, 무선 통신 네트워크 시스템및 클라이언트 장치 - Google Patents

무선 통신 네트워크의 보안 설정 방법, 보안 설정프로그램을 기록한 기록 매체, 무선 통신 네트워크 시스템및 클라이언트 장치 Download PDF

Info

Publication number
KR100768290B1
KR100768290B1 KR1020050128434A KR20050128434A KR100768290B1 KR 100768290 B1 KR100768290 B1 KR 100768290B1 KR 1020050128434 A KR1020050128434 A KR 1020050128434A KR 20050128434 A KR20050128434 A KR 20050128434A KR 100768290 B1 KR100768290 B1 KR 100768290B1
Authority
KR
South Korea
Prior art keywords
connection
information
client
security
clm
Prior art date
Application number
KR1020050128434A
Other languages
English (en)
Other versions
KR20070027423A (ko
Inventor
도모노리 야스모토
Original Assignee
후지쯔 가부시끼가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후지쯔 가부시끼가이샤 filed Critical 후지쯔 가부시끼가이샤
Publication of KR20070027423A publication Critical patent/KR20070027423A/ko
Application granted granted Critical
Publication of KR100768290B1 publication Critical patent/KR100768290B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선 통신에 의해 접속되는 기기의 보안 설정의 자동화, 무선 통신에 의해 접속되는 기기의 보안 레벨의 고도화, 보안 설정을 다른 접속처의 통신에 영향을 주지 않고 실행 가능하게 하는 것을 과제로 한다.
1 또는 복수의 접속처에 대한 무선 통신 네트워크(무선 LAN 장치(2))의 보안 설정 방법으로서, 1 또는 복수의 접속처(클라이언트 장치(CLm))에 대하여 부여되어 있는 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보가 부여되고, 단계적으로 다른 암호 정보가 부여되는 구성이다. 암호 정보가 부여되어 있지 않은 1 또는 복수의 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보가 부여되는 구성이다. 접속처에 대하여 식별 정보를 부여하여 그 식별 정보마다 가상 통신 네트워크를 구성시키고, 식별 정보가 부여된 접속처마다 암호 정보가 부여되는 구성이다.
무선 LAN 장치, 서버 장치, VLAN 스위치, 무선 LAN 액세스 포인트 장치, 관리용 툴, 보안 설정 소프트웨어

Description

무선 통신 네트워크의 보안 설정 방법, 보안 설정 프로그램을 기록한 기록 매체, 무선 통신 네트워크 시스템 및 클라이언트 장치{SECURITY SETTING METHOD OF WIRELESS COMMUNICATION NETWORK, STORAGE MEDIUM STORING SECURITY SETTING PROGRAM THEREOF, WIRELESS COMMUNICATION NETWORK SYSTEM AND CLIENT DEVICE}
도 1은 제 1 실시예에 따른 무선 LAN 장치를 나타내는 도면.
도 2는 서버 장치의 구성예를 나타내는 도면.
도 3은 액세스 포인트 장치의 구성예를 나타내는 도면.
도 4는 클라이언트 장치의 구성예를 나타내는 도면.
도 5는 클라이언트 장치, 액세스 포인트 장치 및 서버 장치의 보안 자동 설정의 처리 시퀀스를 나타내는 도면.
도 6은 제 1 실시예에 따른 보안 설정 방법 및 보안 설정 프로그램을 나타내는 플로차트.
도 7은 보안의 자동 설정 동작을 나타내는 도면.
도 8은 보안 레벨의 설정 예를 나타내는 도면.
도 9는 제 2 실시예에 따른 무선 LAN 장치를 나타내는 도면.
도 10은 클라이언트 장치, 액세스 포인트 장치 및 서버 장치의 보안 자동 설정의 처리 시퀀스를 나타내는 도면.
도 11은 제 2 실시예에 따른 보안 설정 방법 및 보안 설정 프로그램을 나타내는 플로차트.
도 12는 보안의 자동 설정 동작을 나타내는 도면.
도 13은 보안 레벨의 다른 설정 예를 나타내는 도면.
도면의 주요 부분에 대한 부호의 설명
2 ; 무선 LAN 장치
4 ; 서버 장치
5 ; VLAN 스위치
6 ; 무선 LAN 액세스 포인트 장치
CLm, CL1, CL2 …CLn ; 무선 LAN 클라이언트 장치
8 ; 유선 LAN
10 ; 무선 LAN
12 ; 관리용 툴
120 ; 보안 설정 소프트웨어
806 ; 보안 설정 소프트웨어
본 발명은 무선 LAN(Local Area Network) 등의 무선 통신 네트워크에서의 보안(security) 설정의 자동화에 관한 것으로, 특히 무선 LAN으로 접속되는 클라이언 트 장치, 액세스 포인트(access point) 장치 등과 같은 기기의 보안 설정을 자동화한 무선 통신 네트워크의 보안 설정 방법, 보안 설정 프로그램을 기록한 기록 매체, 무선 통신 네트워크 시스템 및 클라이언트 장치에 관한 것이다.
무선 LAN은 전파에 의해 데이터를 송수(送受)하는 방법이기 때문에, 벽 등의 장해물을 넘어 케이블리스로 액세스할 수 있다. 이 무선 LAN의 통신 방법에는 액세스 포인트를 중계하여 통신하는 모드, 액세스 포인트를 사용하지 않고 단말 사이에서 통신하는 모드가 있다. 무선 LAN은 유선 LAN과 달리 전파가 전달되면 외부로부터 액세스할 수 있다. 그 때문에, 무선 LAN에는 예를 들어 클라이언트 장치와 액세스 포인트 장치 사이에 무선 통신의 보안 설정이 불가결하고, 이 보안 설정은 각 장치를 조작하는 오퍼레이터가 동일한 암호화 키를 입력하는 등, 수동 조작에 의한 설정이 일반적으로, 그 작업은 번거로운 것이다.
무선 LAN에서의 보안 설정에 관하여, 액세스 포인트의 설정 정보에 의거하여 클라이언트 측의 설정을 자동적으로 행하고, 복잡한 설정 작업을 필요로 하지 않는 구성(특허문헌 1), 액세스 포인트로부터 WEP(Wired Equivalent Privacy) 키를 단말(클라이언트)로 배신(配信)하고, 배신 확인 후, 그 단말의 MAC(Media Access Control) 어드레스를 등록하고, 단말 측에서는 배신된 WEP 키를 자기 설정하는 구성(특허문헌 2), 클라이언트 측으로부터 공개 키, one-way Hash가 액세스 포인트로 전송되고, 액세스 포인트로부터 one-way Hash가 인증 서버로 전송되며, 인증 서버가 생성한 WEP 키는 액세스 포인트에 의해 암호화되고, 클라이언트는 암호화 WEP 키를 수신하고, 그것을 비밀 키로 해독함으로써 WEP 키를 얻는 구성(특허문헌 3), 무선 LAN으로 액세스 포인트에 접속되는 클라이언트의 접속 요구에 게스트 ID를 동반하는 경우, 그 게스트 ID를 사용한 게스트 ID 접속을 허가하는 구성(특허문헌 4), 단말국(端末局)으로부터 액세스 포인트에 대하여 인증 요구를 송출하고, 액세스 포인트는 인증 서버에 대하여 인증 서버의 프로토콜(protocol)로 MAC 어드레스를 송출하며, 인증 서버는 MAC 어드레스 인증을 실행한 후, 챌린지 텍스트(challenge text)를 송출하고, 액세스 포인트는 IEEE802.11로 정해진 WEP 알고리즘 처리에 따라 기지국과 암호화 인증을 행하는 구성(특허문헌 5), 인증 서버로부터 네트워크를 통하여 인증을 받는 통신 단말과, 이 통신 단말이 행하는 통신을 가상 LAN을 통하여 전송하는 기지국을 구비하고, 가상 LAN마다 생성된 보안 정보를 인증 서버로부터 취득하는 구성(특허문헌 6), 클라이언트와 액세스 포인트 사이에서 저 레벨의 암호화 방식에 의한 접속(무선 통신)을 확립한 후, 인증 프로세스를 필요로 하는 고 레벨의 암호화 방식에 의한 접속을 확립하기 위하여 필요한 인증 데이터를 클라이언트 단말로 송신하는 구성(특허문헌 7) 등이 있다.
[특허문헌 1]일본국 공개특허공보 특개 2004-127187호 공보
[특허문헌 2]일본국 공개특허공보 특개 2004-215232호 공보
[특허문헌 3]일본국 공개특허공보 특개 2004-15725호 공보
[특허문헌 4]일본국 공개특허공보 특개 2004-40156호 공보
[특허문헌 5]일본국 공개특허공보 특개 2001-111544호 공보
[특허문헌 6]일본국 공개특허공보 특개 2004-312257호 공보
[특허문헌 7]일본국 공개특허공보 특개 2004-72682호 공보
그런데, 무선 LAN에 접속되는 액세스 포인트로부터 접속을 허가하는 클라이언트에 대한 보안 설정은 번잡한 처리가 필요하고, 또한 접속을 허가할 때에 특허문헌 7에 개시된 구성에서는, 클라이언트에 저 레벨의 보안 설정을 필요로 하고 있고, 또한 보안 설정 없이 1단계 보안 설정 방식을 사용하는 경우에는 보안 설정 정보가 누설될 우려가 있어 보안이 손상된다.
또한, 보안 설정을 변경할 때마다 액세스 포인트를 설정 변경하기 위하여 정지시키는 경우가 있지만, 이러한 정지는 접속 중의 다른 클라이언트의 통신에 영향을 미쳐, 적합하지 못하다.
이러한 과제에 대해서, 특허문헌 1 내지 7에는 전혀 개시나 시사는 없고, 그 해결 수단에 대한 기재나 시사도 없다.
그래서, 본 발명의 제 1 목적은 무선 통신에 의해 접속되는 기기의 보안 설정의 자동화를 도모하는 것에 있다.
또한, 본 발명의 제 2 목적은 무선 통신에 의해 접속되는 기기의 보안 레벨을 높이는 것에 있다.
또한, 본 발명의 제 3 목적은 특정 접속처에 대한 보안 설정을 다른 접속처의 통신에 영향을 주지 않고 실행 가능하게 하는 것에 있다.
상기 제 1 또는 제 2 목적을 달성하기 위하여, 본 발명의 제 1 측면은, 1 또는 복수의 접속처에 대한 무선 통신 네트워크의 보안 설정 방법으로서, 1 또는 복 수의 상기 접속처에 대하여 부여되어 있는 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보가 부여되고, 단계적으로 다른 암호 정보가 부여되는 처리를 포함하는 구성이다.
이러한 처리에 의해, 현재의 암호 정보를 기초로서 다른 암호 정보에 단계적으로 갱신된 암호 정보가 부여되는 결과, 다단(多段) 보안 설정을 자동적으로 행할 수 있어 통신의 안전성이 높아진다.
상기 제 1 또는 제 2 목적을 달성하기 위해서는, 상기 무선 통신 네트워크의 보안 설정 방법에서, 암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보가 부여되는 처리를 포함하는 구성으로 할 수도 있다.
이러한 처리에 의해, 암호 정보가 부여되어 있지 않은 접속처에 대하여 접속을 우선하고, 접속처가 접속 대상인지의 여부를 판별한 후, 암호 정보가 부여된다. 암호 정보를 부여하기 전에 접속처로서 적정한지의 여부 처리가 전치(前置)되므로, 암호 정보를 부여하는 접속처가 선택되고, 통신의 안전성이 확보된다.
상기 제 3 목적을 달성하기 위해서는, 상기 무선 통신 네트워크의 보안 설정 방법에서, 상기 접속처에 대하여 식별 정보를 부여하여 그 식별 정보마다 가상 통신 네트워크를 구성시키고, 상기 식별 정보가 부여된 상기 접속처마다 상기 암호 정보가 부여되는 처리를 포함하는 구성으로 할 수도 있다.
이러한 구성에 의하면, 복수의 가상 통신 네트워크를 이용하여 동시 처리가 가능해지고, 보안 설정시에 다른 접속처와의 통신 등의 운용을 손상하지 않고 보안 설정이 가능하다.
상기 제 1 또는 제 2 목적을 달성하기 위해서는, 상기 무선 통신 네트워크의 보안 설정 방법에서, 암호 정보가 부여된 접속처로부터 식별 정보를 취득하고, 접속 대상인 접속처를 판별하는 처리를 포함하는 구성으로 할 수도 있다.
이러한 구성에 의하면, 접속처에 부여되어 있는 MAC 어드레스 등의 식별 정보를 취득하고, 그 취득 정보로부터 접속처인지의 여부를 판별하므로, 암호 정보를 부여하기 전의 보안이 확보된다.
상기 제 1 또는 제 2 목적을 달성하기 위해서는, 상기 무선 통신 네트워크의 보안 설정 방법에서, 상기 단계적으로 다른 암호 정보는 보안 레벨이 단계적으로 높은 암호 정보인 구성으로 할 수도 있다.
이러한 구성에서, 보안 레벨을 단계적으로 높게 설정함으로써 통신의 안전성을 높일 수 있지만, 암호 정보는 다르면 좋고, 단계적으로 올리고, 또한 높게 설정한 보안 레벨을 낮게 하는 구성일 수도 있다.
상기 제 1 또는 제 2 목적을 달성하기 위하여, 본 발명의 제 2 측면은, 1 또는 복수의 접속처와 무선 통신 네트워크를 구성하는 컴퓨터에 실행시키는 보안 설정 프로그램을 기록한 기록 매체로서, 1 또는 복수의 상기 접속처에 대하여 부여되어 있는 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보가 부여되고, 단계적으로 다른 암호 정보가 부여되는 스텝을 포함하는 구성이다. 이러한 보안 설정 프로그램을 기록한 기록 매체에 의하면, 상술한 보안 설정을 컴퓨터 처리에 의해 자동화할 수 있다.
상기 제 1 또는 제 2 목적을 달성하기 위해서는, 상기 보안 설정 프로그램을 기록한 기록 매체에서, 암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보가 부여되는 스텝을 포함하는 구성으로 할 수도 있다. 이러한 보안 설정 프로그램을 기록한 기록 매체에 의하면, 상술한 보안 설정을 컴퓨터 처리에 의해 자동화할 수 있다.
상기 제 3 목적을 달성하기 위하여, 본 발명의 제 3 측면은, 1 또는 복수의 접속처에 접속되는 무선 통신 장치를 구비하는 무선 통신 네트워크 시스템으로서, 상기 무선 통신 장치가 접속처에 부여한 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보를 부여함으로써, 단계적으로 다른 암호 정보를 접속처에 부여하는 구성이다.
이러한 구성에 의해, 현재의 암호 정보를 기초로서 다른 암호 정보에 단계적으로 갱신된 암호 정보가 부여되는 결과, 무선 통신 장치에 다단 보안 설정을 자동적으로 행할 수 있어 통신의 안전성이 높아진다.
상기 제 1 또는 제 2 목적을 달성하기 위해서는, 상기 무선 통신 네트워크 시스템에서, 상기 무선 통신 장치가 암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보를 상기 접속처에 부여하는 구성으로 할 수도 있다.
이러한 구성에 의하면, 암호 정보가 부여되어 있지 않은 접속처에 대하여 접속이 우선되고, 접속처가 접속 대상인지의 여부를 판별한 후 암호 정보가 부여되므로, 암호 정보를 부여하기 전에 접속처로서 적정한지의 여부 처리가 전치되므로, 암호 정보를 부여하는 접속처가 선택되고, 통신의 안전성이 확보된다.
상기 제 1 내지 제 3 목적을 달성하기 위하여, 본 발명의 제 4 측면은, 서버 장치 또는 액세스 포인트 장치와 무선 통신 네트워크에 의해 접속되는 클라이언트 장치로서, 상기 서버 장치 또는 상기 액세스 포인트 장치로부터 부여된 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보를 받고, 단계적으로 다른 암호 정보가 부여되는 구성이다.
이러한 구성에 의하면, 클라이언트 장치 측의 보안 설정이 서버 장치나 액세스 포인트 장치로부터의 지령에 의해 단계적으로 설정되므로, 클라이언트 장치 측 수동 설정의 번잡함이 해소되고, 또한 설정 중 정보의 누설이 방지된다.
[제 1 실시예]
본 발명의 제 1 실시예에 대해서, 도 1을 참조하여 설명한다. 도 1은 제 1 실시예에 따른 무선 LAN 장치의 개요를 나타내는 도면이다.
무선 통신 네트워크 또는 무선 통신 네트워크 시스템으로서, 무선 LAN 장치(2)에는 무선 통신 장치로서 예를 들어 서버 장치(4), 무선 LAN 액세스 포인트 장치(이하, 간단히 「AP」라고 칭함)(6), 접속처의 무선 통신 장치로서 예를 들어 1대 또는 복수대의 무선 LAN 클라이언트 장치(이하, 간단히 「클라이언트」라고 칭함)(CLm)(단, m은 클라이언트 번호이며, m=1, 2 …n임)로서, 클라이언트(CL1, CL2 …CLn)가 구비되어 있다. 이 경우, 서버 장치(4)와 AP(6)는 유선 LAN(8)으로 접속되고, AP(6)와 각 클라이언트(CL1, CL2 …CLn)는 무선 LAN(10)으로 접속되어 있다. 서버 장치(4)는 유선 LAN(8), 무선 LAN(10) 상에서 파일이나 프린터 등의 자원을 공유하는 컴퓨터로서, 이 경우, AP(6)와의 접속을 위하여 유선 통신 기능을 구비한다. AP(6)는 클라이언트(CLm)와의 전파의 중계 기지를 구성하고, 클라이언트(CLm와의 접속을 위하여 무선 통신 기능을 구비하는 동시에, 서버 장치(4)와의 접속을 위하여 유선 통신 기능을 구비한다. 클라이언트(CLm)(=CL1, CL2 …CLn)는 서버 장치(4)의 공유 자원을 이용하는 컴퓨터로서, AP(6)와의 무선 LAN(10)에 의한 접속을 위하여 무선 통신 기능을 구비한다. 이 경우, 무선 LAN(10)에는 구내 통신망 외에, 각종 통신망이 포함되는 것은 말할 필요도 없이 복수의 네트워크가 포함된다.
서버 장치(4)에는 클라이언트(CL1, CL2 …CLn)와의 무선 통신, 데이터 수수(授受) 등의 서버 기능이 구비되어 있는 동시에, AP(6)를 관리하기 위한 관리용 툴(tool)(12)이 저장되어 있다. 이 경우, 서버 장치(4)의 서버 기능은 AP(6) 측에 할당할 수도 있고, 또한 서버 장치(4)와 AP(6)가 일체로 구성될 수도 있다.
관리용 툴(12)에는 보안 설정을 자동적으로 행할 수 있는 보안 설정 소프트웨어(20)가 포함되어 있고, AP(6)의 접속처인 클라이언트를 식별하는 식별 정보로서 상술한 클라이언트(CL1, CL2 …CLn)를 식별하는 n개의 MAC(Media Access Contro1) 정보 외에, 보안 정보로서 클라이언트(CL1, CL2 …CLn)로 설정되는 보안 레벨(SL=0, 1, 2, …), 보안 설정값 그룹(n개) 등이 저장되어 있다. 이들 정보는 서버 장치(4)의 테이블에 저장되어 있다.
이들 보안 레벨을 SL=0(보안 없음), SL=1, SL=2라고 한 경우, 구체적인 보안 설정을 예시하면 다음과 같다. 여기서, 보안 레벨의 높이는 그 수치에 따라 단계적으로 높아진다는 의미이다.
SL=0: NoWEP(보안 없음)
SL=1: WEP48[bit]
SL=2: WEP64[bit], WEP128[bit],
IEEE802.1X, WPA-PSK, WPA …
이들 SL-0, 1, 2에서, WEP(Wired Equivalent Privacy)는 표준의 암호화 방식이고, IEEE(Institute of Electrical and Electronic Engineers)802.1X는 미국전기전자기술자 협회가 정한 LAN 내의 유저 인증 규격이며, WPA-PSK(WiFi Protected Access Pre-shared key), WPA(WiFi Protected Access)는 보안을 강화한 암호화 기능이다.
상기한 예시에서는, SL=2에 복수 종의 보안을 나타내고 있지만, 어느 것인가를 선택하여 그것을 SL=2로 설정할 수도 있고, 새롭게 SL=3, 4 …를 설정할 수도 있다.
또한, 클라이언트(CL1, CL2 …CLn)에는 각각을 특정하기 위한 식별 정보로서, 상술한 MAC 정보(MAC 어드레스)가 개별로 설정되어 있는 동시에, 상술한 관리용 툴(12)의 보안 설정 소프트웨어(120)와 연계하여 보안 설정을 자동적으로 행할 수 있는 보안 설정 소프트웨어(806)(도 4)가 저장되어 있다.
다음에, 서버 장치(4)의 구성예에 대해서, 도 2를 참조하여 설명한다. 도 2는 서버 장치(4)의 구성예를 나타내는 블록도이다. 도 2에서, 도 1과 동일한 부분에는 동일한 부호를 첨부하였다.
서버 장치(4)에는 CPU(Central Processing Unit)(400), 기억부(402), 유선 통신부(404) 등이 설치되어 있다. 기억부(402)는 ROM(Read-0nly Memory), Flash ROM, RAM(Random-Access Memory)으로 구성되고, 이 기억부(402)에는 상술한 관리용 툴(12)이 저장되고, 관리용 툴(12)에는 보안 설정 소프트웨어(120), 그 밖의 소프트웨어가 저장되어 있다.
유선 통신부(404)는 AP(6)와의 유선 통신을 행하는 구성 부분으로서, 이 유선 통신부(404)에는 LAN 물리층부(LAN PHY)(410), MAC(Media Access Control) 제어부(412), LAN 커넥터(414), 소정의 케이블 등이 구비되어 있다. CPU(400)와 AP(6)의 데이터 수수는 LAN 물리층부(410)에 의해 물리 어드레스가 설정되는 동시에, 유선 LAN(8) 내에서는 MAC 제어부(412)에 의한 MAC 어드레스가 설정된다. LAN 커넥터(414)에는 소정 규격의 커넥터, 예를 들어 RJ-45가 사용된다.
다음에, AP(6)의 구성예에 대해서, 도 3을 참조하여 설명한다. 도 3은 AP(6)의 구성예를 나타내는 블록도이다. 도 3에서, 도 1과 동일한 부분에는 동일한 부호를 첨부하였다.
AP(6)에는 CPU(600), 기억부(602), 유선 통신부(604), 무선 통신부(606), 전원부(608) 등이 설치되어 있다. 기억부(602)는 Flash ROM(610), RAM(612)으로 구성되고, Flash ROM(610)에는 제어 프로그램 등이 저장되어 있다.
유선 통신부(604)는 서버 장치(4)와의 유선 통신을 행하는 구성 부분으로서, 이 유선 통신부(604)에는 서버 장치(4)에 대응하는 구성으로서 LAN 물리층부(LAN PHY)(614), MAC 제어부(616), LAN 커넥터(618), 소정의 케이블 등이 구비되어 있다. CPU(600)와 서버 장치(4)의 데이터 수수는 LAN 물리층부(614)에 의해 물리 어 드레스가 설정되는 동시에, 유선 LAN(8) 내에서는 MAC 제어부(616)에 의한 MAC 어드레스가 설정된다. LAN 커넥터(618)에는 소정 규격의 커넥터, 예를 들어 RJ-45가 사용된다.
무선 통신부(606)는 클라이언트(CL1, CL2 …CLn)와의 무선 통신을 행하는 구성 부분으로서, 이 무선 통신부(606)에는 통신 제어부로서 베이스밴드 프로세서(Baseband Processor)(620), 무선부(RF)로서 송수신부(Transceiver)(622), 전력 증폭부(Power Amp)(624), 안테나(626)가 구비되어 있다. 이 무선 통신부(606)에서는, 베이스밴드 프로세서(620)를 통하여 출력되는 데이터가 송수신부(622)를 통하여 변조되고, 전력 증폭부(624)에 의해 전력 증폭된 후, 안테나(626)로부터 전자파로서 클라이언트(CL1, CL2 …CLn)에 대하여 송신된다. 클라이언트(CL1, CL2 …CLn)로부터의 전자파는 안테나(626)로 수신되어 송수신부(622)에 의해 복조(復調)된 후, 베이스밴드 프로세서(620)에 의해 복호(復號)되어 CPU(600)에 수용된다.
또한, 전원부(608)에는 안정화 출력이 얻어지고, 이 안정화 출력은 CPU(600)등의 각종 구성 회로에 급전되어 있다.
다음에, 클라이언트(CLm)(=CL1, CL2 …CLn)의 구성예에 대해서, 도 4를 참조하여 설명한다. 도 4는 클라이언트(CLm)의 구성예를 나타내는 블록도이다. 도 4에서, 도 1과 동일한 부분에는 동일한 부호를 첨부하였다.
클라이언트(CLm)에는 데이터 처리부로서 CPU(800), 기억부(802), 무선 통신부(804) 등이 설치되어 있다. 기억부(802)에는 ROM, Flash ROM, RAM 등으로 구성되고, AP(6)의 관리용 툴(12)의 보안 설정 소프트웨어(120)에 대응하는 상술한 보 안 설정 소프트웨어(806), 그 밖의 소프트웨어가 저장되어 있다.
무선 통신부(804)는 AP(6)와의 무선 통신을 행하는 구성 부분으로서, 이 무선 통신부(804)에는 통신 제어부로서 베이스밴드 프로세서(808), 무선부(RF)로서 송수신부(810), 전력 증폭부(812) 및 안테나(814)가 구비되고, 베이스밴드 프로세서(808)를 통하여 출력되는 데이터는 송수신부(810)를 통하여 변조되고, 전력 증폭부(812)에 의해 전력 증폭된 후, 안테나(814)로부터 전자파에 의해 AP(6)로 송신된다. AP(6)로부터의 전자파는 안테나(814)로 수신되어 송수신부(810)에 의해 복조 된 후, 베이스밴드 프로세서(808)에 의해 복호되어 CPU(800)에 수용된다.
다음에, 보안의 자동 설정에 대해서, 도 5를 참조하여 설명한다. 도 5는 클라이언트, AP 및 서버 장치의 처리 시퀀스를 나타내는 도면이다. 도 5에서, 도 1과 동일한 부분에는 동일한 부호를 첨부하였다. 또한, 이 경우의 처리는 복수SSID{멀티 SSlD(SSID: Service Set Identifier)} 및 VLAN(Virtual LAN)이 존재하지 않는 경우이다. 여기서, SSID는 네트워크를 식별하기 위하여 첨부되는 식별자이고, VLAN은 물리적인 네트워크 구성에 제한되지 않고 임의로 네트워크를 분할하는 기능이다.
이 보안의 자동 설정에서는, 서버 장치(4)로부터 AP(6)에 대하여 보안 레벨 SL=0의 초기 설정이 지시되고(스텝 S1), 이 초기 설정(SL=0)에 의거하여 클라이언트(CLm)(=CL1, CL2 …CLn)로부터 그 식별 정보로서 클라이언트 ID 정보가 AP(6)를 통하여 서버 장치(4)에 수용된다(스텝 S2). 이 클라이언트 ID 정보는 클라이언트(CLm)를 나타내는 상술한 MAC 정보 등이다. 서버 장치(4)에서는, 통지된 클라이언 트 ID 정보에 의해 클라이언트 ID를 확인하고(스텝 S3), 서버 장치(4)의 리스트에 등록된 클라이언트인지의 여부를 판별한다. 클라이언트 ID를 발한 클라이언트(CLm)가 서버 장치(4)의 등록 클라이언트이면 접속이 허가되고, 그 클라이언트(CLm)에 대하여 AP(6)를 통하여 접속 승인을 부여하는 동시에, 암호 정보(암호값 그룹)인 WEP (48) 키를 송부한다(스텝 S4). 파선 프레임으로 둘러싸인 스텝 S2 내지 스텝 S4의 처리는 클라이언트(CL1, CL2 …CLn)의 전체에 대해서 실행되고, 그 처리는 클라이언트 수 n만큼 반복된다.
클라이언트(CLm)에서는, 송부된 WEP (48) 키로 보안 설정이 실시된다(스텝 S5). 이 보안 설정은 WEP (48) 키의 송부를 받은 모든 클라이언트에서 실시된다.
다음에, 서버 장치(4)로부터 AP(6)에 대하여 보안 레벨 SL=1의 설정이 지시된다. 이 경우, WEP (48) 설정이 지시되고(스텝 S6), 이 보안 설정(SL=1)에 의거하여 클라이언트(CLm)로부터 그 식별 정보로서 클라이언트 ID 정보가 AP(6)를 통하여 서버 장치(4)에 수용된다(스텝 S7). 이 클라이언트 ID 정보는 상술한 MAC 정보 등이다. 서버 장치(4)에서는, 통지된 클라이언트 ID 정보에 의해 다시 클라이언트 ID를 확인하고(스텝 S8), 서버 장치(4)의 리스트에 등록된 클라이언트인지의 여부를 판별한다. 클라이언트 ID를 발한 클라이언트(CLm)가 서버 장치(4)의 등록 클라이언트이면 계속된 접속이 허가되고, 그 클라이언트(CLm)에 대하여 AP(6)를 통하여 접속 승인을 부여하는 동시에, 암호 정보(암호값 그룹)로서 각 클라이언트(CLm)의 증명서 등을 송부한다(스텝 S9). 파선 프레임으로 둘러싸인 스텝 S7 내지 S9의 처리는 모든 클라이언트(CLm)에 대해서 실행되고, 그 처리는 클라이언트 수 n만큼 반 복된다.
클라이언트(CLm)에서는, 서버 장치(4)로부터 송부된 증명서로 보안 설정이 실시된다(스텝 S10). 이 보안 설정은 서버 장치(4)로부터 증명서의 송부를 받은 모든 클라이언트에서 실시된다.
다음에, 서버 장치(4)로부터 AP(6)에 대하여 보안 레벨 SL=2의 설정이 지시된다. 이 경우, IEEE802.1X 설정이 지시되고(스텝 S11), 이 보안 설정(SL=2)에 의거하여 통상의 IEEE802.1X 인증 처리가 모든 클라이언트(CLm)에 대해서 실시된다(스텝 S12).
이러한 클라이언트 인증, 단계적인 보안 설정으로서 SL=0, SL=1, SL=2를 거쳐 보안 설정이 완료되고, 보안 설정을 실시한 클라이언트(CLm)는 통상의 운용(통신)이 가능해진다(스텝 S13).
이러한 구성에 의하면, 서버 장치(4)로부터 AP(6)를 통하여 모든 클라이언트(CLm)(=CL1, CL2 …CLn)에 대한 보안 설정을 자동화할 수 있고, 또한 다단 보안 레벨을 통과하여 레벨 설정이 행해지므로, 보안 설정 도중에 암호값 그룹이 제삼자에게 도용되는 일이 없어 통신의 안전성이 도모된다.
다음에, 관리용 툴(12)에서의 보안 설정 소프트웨어(120)의 처리 내용에 대해서, 도 6을 참조하여 설명한다. 도 6은 보안 설정 방법 및 보안 설정 프로그램을 나타내는 플로차트이다. 도 6에 나타내는 플로차트에서, m은 클라이언트 번호, n은 클라이언트 대수, SL은 보안 레벨이고, SL=0:NoWEP, SL=1:WEP(48[bit]), SL=2:IEEE802.1X이다.
이 보안 설정 소프트웨어(120)를 동작시키면, AP(6)의 보안 설정이 SL=0(:NoWEP)으로 설정되고(스텝 S21), 클라이언트 번호 m에 대해서, m=1이 선택되고(스텝 S22), 즉, 클라이언트(CLm)(=CL1)가 접속 불허가의 클라이언트인지의 여부 판정이 행해진다(스텝 S23). 이 판정 처리는 서버 장치(4)에 MAC 어드레스가 등록된 클라이언트인지의 여부를 판별하여 접속 허가 또는 접속 불허가의 어느 것인가가 선택된다.
접속 불허가의 경우에는 스텝 S32로 이행하고, 또한 접속 허가의 경우에는 클라이언트(CLm)가 AP(6)로의 접속을 시도한다(스텝 S24). 클라이언트(CLm)의 MAC 어드레스가 서버 장치(4)의 접속 허가 등록 완료의 리스트 중에 존재하는지의 여부 판정이 행해지고(스텝 S25), 그 리스트 중에 클라이언트(CLm)가 등록되어 있는 경우에는 클라이언트(CLm)의 접속이 성공했는지의 여부 판정이 행해진다(스텝 S26).
여기서, 스텝 S25에서 리스트 중에 클라이언트(CLm)가 존재하지 않는 경우에는 클라이언트(CLm)는 접속 불허가로 되어(스텝 S27) 스텝 S32로 이행하고, 또한 스텝 S26에서 클라이언트(CLm)의 접속이 실패한 경우에는 마찬가지로, 접속 불허가로 되어(스텝 S28) 스텝 S32로 이행하게 된다.
클라이언트(CLm)의 접속이 성공한 경우에는 보안 레벨 SL의 판정이 행해진다(스텝 S29). SL=0의 경우에는, SL=1로 레벨 천이(遷移)시키는 처리로서 클라이언트(CLm)에 대하여 암호 정보로서 WEP (48) 키가 송부되고(스텝 S30), 클라이언트(CLm)의 접속 절단 후, WEP (48) 설정이 실시된다(스텝 S31).
이들 처리를 모든 클라이언트(CLm)에 실시하기 위하여, 이 WEP (48) 설정 후 , 클라이언트 번호 m이 m=n인지의 여부가 판정된다(스텝 S32). m≠n의 경우에는, 모든 클라이언트(CLm)에 이들의 처리를 실시하지 않았으므로, 현재 실시한 클라이언트 번호 m에 대해서 인크리먼트(=m+1)를 실행하고(스텝 S33), 스텝 S23으로 되돌아와 스텝 S23 내지 S32의 처리를 행한다.
클라이언트 번호 m의 판정(스텝 S32)에서, m=n에 도달한 경우에는 클라이언트(CLn)의 설정, 즉, WEP (48) 설정이 완료된 것이 판명된다. 그래서, 보안 레벨 SL을 인크리먼트(=SL+1)하고(스텝 S34), AP(6)의 보안 설정을 SL(예를 들어, SL=1)의 설정으로 변경하고(스텝 S35), 스텝 S22로 되돌아온다.
클라이언트 번호 m에 대해서, m=1의 선택(스텝 S22), 즉, 클라이언트(CLm) (=CL1)가 접속 불허가의 클라이언트인지의 여부 판정(스텝 S23), 접속 불허가의 경우에는 스텝 S32로 이행하고, 또한 접속 허가의 경우에는 클라이언트(CLm)가 AP(6)로의 접속 시행(스텝 S24), 클라이언트(CLm)의 MAC 어드레스가 서버 장치(4)의 접속 허가 등록 완료의 리스트 중에 존재하는지의 여부 판정(스텝 S25), 그 리스트 중에 클라이언트(CLm)가 등록되어 있는 경우에는 클라이언트(CLm)의 접속이 성공했는지의 여부 판정(스텝 S26)이 행해진다.
클라이언트(CLm)의 접속이 성공한 경우에는 보안 레벨 (SL)의 판정(스텝 S29)을 거친다. SL=1의 경우에는, SL=2로 레벨 천이시키는 처리로서 클라이언트(CLm)에 대하여 암호 정보로서 IEEE802.1X의 설정값(증명서 등)이 송부되고(스텝 S36), 클라이언트(CLm)의 접속 절단 후, IEEE802.1X의 설정이 실시된다(스텝 S37).
이들의 처리를 거쳐, 클라이언트 번호 m의 판정(스텝 S32), 클라이언트 번호 m의 인크리먼트(=m+1)(스텝 S33) 처리 후, 모든 클라이언트(CLm)에 암호 정보로서 IEEE802.1X의 설정이 행해진다.
그리고, m=n에 도달한 경우에는 보안 레벨 SL을 인크리먼트(=SL+1)하고(스텝 S34), AP(6)의 보안 설정을 SL(예를 들어, SL=2)의 설정으로 변경하고(스텝 S35), 스텝 S22로 되돌아온다.
스텝 S22 내지 S29의 처리를 거쳐 SL=2의 경우에는, 클라이언트(CLm)에 대해서 최종 접속 허가에 의한 통상 운용이 가능해지고(스텝 S38), 클라이언트 번호 m의 판정(스텝 S39), 클라이언트 번호 m의 인크리먼트(=m+1)(스텝 S40)를 거쳐 모든 클라이언트(CLm)가 최종 접속 허가에 의한 통상 운용이 가능해짐으로써 모든 처리를 완료한다.
이러한 처리에 의해, 보안 설정의 자동화가 도모되는 동시에 다른 다단의 보안 레벨 SL이 단계적으로 설정되어 최종 레벨에 도달시키므로, 설정 도상(途上)에서의 암호값 그룹이 제삼자에게 도용될 위험성이 낮아진다.
다음에, 보안의 자동 설정 동작에 대해서, 도 7을 참조하여 설명한다. 도 7은 보안의 자동 설정 동작을 나타내는 도면이다. 도 7에서, 도 1과 동일한 부분에는 동일한 부호를 첨부하였다. 도 7에서, 클라이언트(CLm)(단, m=1, 2 …n)는 AP(6)에 접속이 허가되는 n대의 클라이언트(CL1, CL2 …CLn)를 나타내고 있다. 이 자동 설정 동작은 복수 SSID 및 VLAN이 없는 경우로, SSID0는 그것을 나타내고 있다.
이 보안의 자동 설정에서는, 상술한 바와 같이(도 5, 도 6), 맨 처음 접속처 의 모든 클라이언트(CLm)에 대해서 보안 없이(NoWEP) AP(6)의 접속이 허가된다. 관리용 툴(12)을 구비하는 서버 장치(4)에서는 AP(6)에 접속된 클라이언트(CLm)의 ID 정보(MAC 어드레스 등)를 확인하여 접속을 허가하는 클라이언트인지의 여부를 확인한 후, 접속 허가를 부여하는 클라이언트(CLm)에 대하여 암호값 그룹을 송부한다. 이 경우, WEP 키 정보(WEP48)가 클라이언트(CLm)로 송부된다. 송부된 암호값 그룹을 사용하여 AP(6) 및 클라이언트(CLm)에 새로운 보안 설정이 행해지고, 서로 통신이 가능하도록 설정된다. 이 경우, 인증용 키 등, 레벨이 높은 보안 설정 정보를 암호화되지 않은 상태(보안 없음)로 송부하는 것은 위험하므로, 보안이 낮은 상태로부터 보안 레벨을 단계적으로 상승시킨다.
그래서, 보안 설정이 없는(NoWEP) 상태에서 접속 허가가 부여된 클라이언트(CLm)에 대하여, 예를 들어 WEP48[bit]의 WEP 키 정보가 송부된다. WEP 키 정보(WEP48)가 송부된 클라이언트(CLm)에서는, 그 WEP 키 정보로 WEP48[bit]의 보안 설정이 실시되고, 마찬가지로 AP(6) 측도 WEP48[bit]의 보안 설정에 의해 통신할 수 있도록 한다.
이 경우, WEP48[bit]에 의해 통신 가능 상태로 설정된 클라이언트(CLm)에는 즉시 AP(6)로부터 다음 암호값 그룹으로서 예를 들어 WEP64[bit]의 WEP 키 정보가 송부되고, WEP 키 정보(WEP64)가 송부된 클라이언트 CLm는 WEP64[bit]를 이용하여 보안 설정이 실시되며, 마찬가지로 AP(6) 측도 WEP64[bit]의 보안 설정에 의해 통신할 수 있도록 하면 된다.
이와 같이 하여, 단계적으로 보안 레벨을 상승시키고, 그 보안 레벨은 클라 이언트(CLm)가 갖는 최고의 보안 레벨까지 끌어올릴 수 있다. 최종적으로는, 최고 레벨의 보안 레벨로 접속한 클라이언트(CLm)만이 남아 목적으로 하는 통신이 가능해진다. 이 경우, 보안 레벨의 상한은 예를 들어 AP(6)가 갖는 최고 보안 레벨이다.
그래서, 도 7의 (a)에 나타낸 바와 같이, 보안 설정이 없는(NoWEP) 상태에서 접속 허가가 부여된 클라이언트(CLm)로부터 MAC 정보가 AP(6)를 통하여 서버 장치(4)에 통지되고, 클라이언트(CLm)가 서버 장치(4)의 접속 허가 등록 완료 리스트 중의 단말인지의 여부가 확인된다.
접속 허가된 클라이언트(CLm)이면, 도 7의 (b)에 나타낸 바와 같이, 서버 장치(4)로부터 AP(6)를 통하여 클라이언트(CLm)에 WEP 키 정보가 부여된다. 이 WEP 키 정보는 클라이언트(CLm)의 보안 설정 소프트웨어(806)(도 4)로 받아 보안 설정이 WEP48[bit]로 변경된다.
도 7의 (a) 및 (b)의 처리는 모든 클라이언트(CL1, CL2 …CLn)에 대하여 실행되고, WEP 설정으로 통신을 가능하게 하며, 마찬가지로 AP(6)도 WEP 설정이 실행된다.
WEP48[bit]로 접속된 클라이언트(CLm)에 대해서, 도 7의 (c)에 나타낸 바와 같이, 접속된 클라이언트(CLm)로부터 MAC 정보가 AP(6)를 통하여 서버 장치(4)에 수용되어 접속 허가 대상인지의 여부 확인이 다시 행해진다.
이 경우, 접속 허가된 클라이언트(CLm)이면, 도 7의 (d)에 나타낸 바와 같이, 서버 장치(4)로부터 AP(6)를 통하여 클라이언트(CLm)에 대하여 IEEE802.1X용의 설정 정보(증명서 등)가 부여되고, 클라이언트(CLm)에서는 보안 설정 소프트웨어(806)(도 4)로 IEEE802.1X 설정 정보를 받아 보안 설정이 IEEE802.1X로 변경된다.
이들 WEP48[bit]로부터 IEEE802.1X로 보안 레벨을 변경하는 설정 처리는 접속 대상인 모든 클라이언트(CLm)에서 실행되어, 모든 클라이언트(CLm)가 IEEE802.1X 설정으로 통신할 수 있게 하고, AP(6)도 IEEE802.1X 설정으로 변경된다.
또한, 도시는 생략했지만, 접속 허가된 클라이언트(CLm)이면, 서버 장치(4)로부터 AP(6)를 통하여 클라이언트(CLm)에 WEP 키 정보로서 WEP64[bit]가 부여되어 보안 설정이 WEP64[bit]로 변경되고, WEP64[bit]로 접속된 클라이언트(CLm)에 대해서, 접속된 클라이언트(CLm)로부터 MAC 정보를 AP(6)를 통하여 서버 장치(4)에 수용하여 접속 허가 대상인지의 여부 확인을 다시 행하도록 할 수도 있다.
그리고, 도 7의 (e)에 나타낸 바와 같이, 모든 클라이언트(CLm)가 IEEE802.1X 설정에 의한 최종 보안 레벨로 접속이 완료되고, 각 클라이언트(CLm)와 서버 장치(4)가 AP(6)를 통하여 무선 LAN(10)에 의해 정규 통신이 가능해진다.
상술한 보안의 자동 설정에 대해서, 보안 레벨(SL)은 예를 들어 도 8에 나타낸 바와 같이, 단계적으로 상승시킬 수 있다. 보안 레벨의 내용은 임의로, 예 3에 나타낸 바와 같이, 예 1의 SL=2, 3, 예 2의 SL=1, 3을 생략하고, SL=2로 WPA를 설정할 수도 있고, 레벨 수는 임의이다.
이와 같이, 클라이언트(CLm)의 보안을 AP(6) 측으로부터 자동적으로 설정할 수 있고, 또한 다단 보안 레벨(SL)을 경유하여 최종적인 레벨 설정으로 이행시킨다 고 하는 단계적인 처리를 거치므로, 설정 도중에 암호값 그룹이 제삼자에게 도용될 위험성이 낮아져 통신의 안전성이 높아진다.
[제 2 실시예]
본 발명의 제 2 실시예에 대해서, 도 9를 참조하여 설명한다. 도 9는 제 2 실시예에 따른 무선 LAN 장치의 개요를 나타내는 도면이다. 도 9에서, 도 1과 동일한 부분에는 동일한 부호를 첨부하였다.
이 제 2 실시예에 따른 무선 LAN 장치(2)는 1개의 AP(6)를 이용하여 복수SSID(Service Set Identifier)/VLAN(Virtual LAN) 설정이 이루어지고, 각각의 SSID마다 다른 보안 설정이 이루어지는 구성이다. 즉, AP(6)는 1개의 무선 인터페이스, 즉, 베이스밴드 프로세서(620), 송수신부(622) 및 전력 증폭부(624)(도 3)에 복수의 SSID를 설정할 수 있고, 또한 설정된 SSID에 각각의 VLAN 설정을 할 수 있어 다른 보안 설정이 가능하다. SSID는 네트워크 또는 클라이언트(CL1, CL2 …CLn)를 식별하기 위해 첨부하는 식별자(ID)로서, 영수(英數) 문자로 설정되고, AP(6)와 접속처인 클라이언트(CLm)에 동일한 SSID가 설정됨으로써 통신이 가능해진다. 이 경우, AP(6)에는 클라이언트(CL1, CL2 …CLn)에 대응하는 LAN 포토가 구비되고, LAN 포토를 통하여 클라이언트(CL1, CL2 …CLn)로부터 액세스된다. 또한, VLAN은 가상 통신 네트워크로 물리적인 네트워크 구성에 제한되지 않고 임의로 네트워크를 분할하는 기능으로서, 구체적으로는 VLAN 대응의 스위치 등을 이용하여 클라이언트(CLm)를 복수로 논리적으로 분할하는 기능을 구비한다.
그래서, 서버 장치(4)와 AP(6) 사이에 VLAN 스위치(5)가 설치되어 AP(6)에는 복수 SSID/VLAN 설정이 이루어지고, 각각의 SSID마다 다른 보안 설정이 가능하다. VLAN 스위치(5)는 VLAN 대응의 스위칭 허브로서, 클라이언트(CLm)를 복수의 그룹으로 논리적으로 분할하는 기능을 갖고 있다. 그래서, 클라이언트(CLm)와 AP(6)에는 동일한 SSID가 설정된다. 또한, 클라이언트(CLm)에는 상술한 바와 같이, 서버 장치(4)의 관리용 툴(12)의 보안 설정 소프트웨어(120)와 연휴(連携)되는 보안 설정 소프트웨어(806)(도 4)가 저장되어 있다. 이 경우, 서버 장치(4)와 AP(6) 사이에는 VLAN 스위치(5)를 통하여 유선 LAN(8)이 구성되어 있고, VLAN1, VLAN2, VLAN3는 전환에 의해 설정되는 개별의 유선 LAN을 나타내고 있다.
이러한 구성에 의하면, 1개의 AP(6)로 복수 SSID/VLAN 설정을 할 수 있고, 이러한 설정에서는 AP(6)의 통신 운용이 손상되는 일 없이, 각 SSID의 설정마다 보안의 자동 설정이 가능하다.
이 실시예에 따른 무선 LAN 장치(2)(도 9)에서, 서버 장치(4)에는 도 2에 나타내는 서버 장치(4)와 동일 구성의 것을 사용할 수 있고, AP(6)에는 도 3에 나타내는 AP(6)와 동일 구성의 것을 사용할 수 있으며, 또한 클라이언트(CLm)에는 도 4에 나타내는 클라이언트(CLm)와 동일 구성의 것을 사용할 수 있으므로, 이들 구성예의 설명은 생략한다.
다음에, 보안의 자동 설정에 대해서, 도 10을 참조하여 설명한다. 도 10은 보안 자동 설정의 처리 시퀀스를 나타내는 도면이다. 도 10에서, 도 9와 동일한 부분에는 동일한 부호를 첨부하였다.
이 경우, 복수 SSID 및 VLAN이 존재하므로, 이 보안의 자동 설정에서는 서버 장치(4)로부터 AP(6)에 대하여 보안 레벨의 초기 설정으로서, SSID0/VLAN0:SL=0, SSID1/VLANl:SL=1, SSID2/VLAN2:SL=2가 지시되고(스텝 S41), 이 초기 설정에 의거하여 클라이언트(CLm)로부터 그 식별 정보로서 클라이언트 ID 정보(SSID0/VLAN0)가 AP(6)를 통하여 서버 장치(4)에 수용된다(스텝 S42). 이 클라이언트 ID 정보는 클라이언트(CLm)를 나타내는 상술한 MAC 정보 등이다. 서버 장치(4)에서는, 통지된 클라이언트 ID 정보에 의해 클라이언트 ID를 확인하고(스텝 S43), 서버 장치(4)의 리스트에 등록된 클라이언트인지의 여부를 판별한다. 클라이언트 ID를 발한 클라이언트(CLm)가 서버 장치(4)의 등록 클라이언트이면 접속이 허가되고, 그 클라이언트(CLm)에 대하여 AP(6)를 통하여 접속 승인을 부여하는 동시에, 암호 정보(암호값 그룹)인 WEP (48) 키를 송부한다(스텝 S44).
클라이언트(CLm)에서는, 송부된 WEP (48) 키로 보안 설정이 실시된다(스텝 S45). 다음에, 클라이언트(CLm)로부터 그 식별 정보로서 클라이언트 ID 정보(SSID1/VLAN1)가 AP(6)를 통하여 서버 장치(4)에 수용된다(스텝 S46). 서버 장치(4)에서는, 통지된 클라이언트 ID 정보에 의해 다시 클라이언트 ID를 확인하고(스텝 S47), 서버 장치(4)의 리스트에 등록된 클라이언트인지의 여부를 판별한다. 클라이언트 ID를 발한 클라이언트(CLm)가 서버 장치(4)의 등록 클라이언트이면 계속된 접속이 허가되고, 그 클라이언트(CLm)에 대하여 AP(6)를 통하여 접속 승인을 부여하는 동시에, 암호 정보(암호값 그룹)로서 클라이언트(CLm)의 증명서 등을 송부한다(스텝 S48).
클라이언트(CLm)에서는, 서버 장치(4)로부터 송부된 증명서로 보안 설정이 실시되고(스텝 S49), 통상의 IEEE802.1X 인증(SSID2/VLAN2) 처리가 실시된다(스텝 S50).
이러한 클라이언트 인증, 단계적인 보안 설정으로서 SL=0, SL=1, SL=2를 거쳐 보안 설정이 완료되고, 보안 설정을 실시한 클라이언트(CLm)는 통상의 운용(통신)이 가능해진다(스텝 S51). 이 경우, 상술한 스텝 S41 내지 S51의 처리는 모든 클라이언트(CLm)에 대해서 실행하고, 보안 설정의 완료를 거쳐 모든 클라이언트(CLm)의 통상 운용을 가능하게 한다.
이러한 구성에 의하면, 서버 장치(4)로부터 AP(6)를 통하여 모든 클라이언트(CLm)(=CL1, CL2 …CLn)에 대하여 보안 설정을 개별로 또한 동시에 행할 수 있고, 또한 다단 보안 레벨을 거쳐 보안 설정을 하므로 암호값 그룹이 도중에 제삼자에게 도용되는 일이 없어 안전성이 도모된다. 또한, 이 경우, 복수 SSID를 사용하고 있으므로, 그 설정 도중에 AP(6)의 동작을 멈추지 않으므로 다른 클라이언트(CLm)의 통신에 영향을 주지 않고, 클라이언트(CLm)에 대하여 보안의 자동 설정을 행할 수 있다.
다음에, 관리용 툴(12)에서의 보안 설정 소프트웨어(120)의 처리 내용에 대해서, 도 11을 참조하여 설명한다. 도 11은 보안 설정 방법 및 보안 설정 프로그램을 나타내는 플로차트이다.
도 11에 나타내는 플로차트에서, m은 클라이언트 번호, n은 클라이언트 대수로서, 클라이언트(CLm)(CL1, CL2 …CLn)는 임의의 타이밍으로 이 처리를 행할 수 있다. SL은 보안 레벨로서, 예를 들어 SL=0:NoWEP, SL=1:WEP48[bit], SL=2:IEEE802.1X이다.
그래서, 이 보안의 자동 설정에서는 서버 장치(4)로부터 AP(6)에 대하여 보안 레벨의 초기 설정이 지시되고, AP(6)에 보안 레벨을, 예를 들어SSID0/VLAN0=NoWEP(SL=0), SSID1/VLAN1=WEP48[bit](SL=1), SSID2/VLAN2=IEEE802.1X (SL=2)로 설정한다(스텝 S61).
이러한 설정 후, 클라이언트(CLm)는 접속 불허가의 클라이언트인지의 여부 판정이 행해지고(스텝 S62), 접속 불허가의 경우에는 처리를 종료한다. 접속 허가의 경우에는 클라이언트(CLm)가 AP(6)로의 접속을 시도한다(스텝 S63). 클라이언트(CLm)의 SSIDx의 설정값 x가, x=0, x=1 또는 x=2의 어느 것인지의 판정이 행해지고(스텝 S64), x=0:SSID0{SL=0(NoWEP)}의 경우에는, 클라이언트(CLm)의 MAC 어드레스가 서버 장치(4)의 접속 허가 등록 완료 리스트 중의 존재 여부 판정이 행해지고(스텝 S65), 그 리스트 중에 클라이언트(CLm)가 등록되어 있는 경우에는 클라이언트(CLm)의 접속이 성공했는지의 여부 판정이 행해진다(스텝 S66). 스텝 S65에서 리스트 중에 클라이언트(CLm)가 존재하지 않는 경우에는 클라이언트(CLm)는 접속 불허가로 되고, 또한 스텝 S66에서 클라이언트(CLm)의 접속이 실패한 경우에는 마찬가지로 접속 불허가로 되어 처리를 종료한다.
클라이언트(CLm)에 대해서, 접속이 성공한 경우에는, 그 클라이언트(CLm)에 대하여 암호 정보로서 SL=1 정보(SSID1, WEP48비트 키를 포함함)가 송부되고(스텝 S67), 클라이언트(CLm)의 접속 절단 후, SL=1 설정(SSID1 설정, WEP48 설정)이 실시되어(스텝 S68) 스텝 S62로 되돌아온다.
다시, 접속 불허가 판정(스텝 S62), 접속 시행(스텝 S63), SSIDx의 설정값 x의 판정(스텝 S64)이 행해지고, x=1:SSID1{SL=1(WEP48[bit])}의 경우에는, 그 클라이언트(CLm)의 MAC 어드레스가 서버 장치(4)의 접속 허가 등록 완료 리스트 중의 존재 여부 판정이 행해지고(스텝 S69), 그 리스트 중에 클라이언트(CLm)가 등록되어 있는 경우에는 클라이언트(CLm)의 접속이 성공했는지의 여부 판정이 행해진다(스텝 S70). 스텝 S69에서 리스트 중에 클라이언트(CLm)가 존재하지 않는 경우에는 클라이언트(CLm)는 접속 불허가로 되고, 또한 스텝 S70에서 클라이언트(CLm)의 접속이 실패한 경우에는 마찬가지로 접속 불허가로 되어 처리를 종료한다.
클라이언트(CLm)의 접속이 성공한 경우에는, 그 클라이언트(CLm)에 대하여 암호 정보로서 SL=2 정보{SSID2, IEEE802.1X 설정값(증명서 등)을 포함함}가 송부되고(스텝 S71), 클라이언트(CLm)의 접속 절단 후, SL=2 설정(SSID2 설정, IEEE802.1X 설정)이 실시되어(스텝 S72) 스텝 S62로 되돌아온다.
다시, 접속 불허가 판정(스텝 S62), 접속 시행(스텝 S63), SSIDx의 설정값 x의 판정(스텝 S64)이 행해지고, x=2:SSID2{SL=2(IEEE802.1x)}의 경우에는, 그 클라이언트(CLm)의 MAC 어드레스가 서버 장치(4)의 접속 허가 등록 완료 리스트 중의 존재 여부 판정이 행해지며(스텝 S73), 그 리스트 중에 클라이언트(CLm)가 등록되어 있는 경우에는 클라이언트(CLm)의 접속이 성공했는지의 여부 판정이 행해진다(스텝 S74). 스텝 S73에서 리스트 중에 클라이언트(CLm)가 존재하지 않는 경우에는 클라이언트(CLm)는 접속 불허가로 되고, 또한 스텝 S74에서 클라이언트(CLm)의 접속이 실패한 경우에는 마찬가지로 접속 불허가로 되어 처리를 종료한다.
그리고, 클라이언트(CLm)의 접속이 성공한 경우에는 클라이언트(CLm)가 최종 접속 허가에 의한 통상 운용이 가능해짐으로써 모든 처리를 완료한다.
다음에, 보안의 자동 설정 동작에 대해서, 도 12를 참조하여 설명한다. 도 12는 보안의 자동 설정 동작을 나타내는 도면이다. 도 12에서, 도 1과 동일한 부분에는 동일한 부호를 첨부하였다. 도 12에서, 클라이언트(CLm)(단, m=1, 2 …n)는 AP(6)에 접속이 허가되는 n대의 클라이언트(CL1, CL2 …CLn)를 나타내고 있다. 이 자동 설정 동작은 복수 SSID 및 VLAN이 있는 경우로서, SSID0, SSID1, SSID2는 그것을 나타내고 있다.
AP(6)는 1개의 무선(RF) 인터페이스에 복수의 SSID를 설정할 수 있고, 또한 각각 다른 VLAN 설정을 행할 수 있으며, 다른 보안 설정을 할 수 있는 것으로서, SSID0에는 VLAN0, SSID1에는 VLAN1, SSID2에는 VLAN2, (SSIDx에는 VLANx)가 설정되는 것으로 한다.
SSID0는 모든 클라이언트(CLm)에 대하여 보안 없이(NoWEP) AP(6)의 접속을 허가하는 설정으로 하고, SSIDx(x≠0)는 임의의 보안 설정으로 한다.
맨 처음, AP(6)의 SSID0에 클라이언트(CLm)가 접속된다. 서버 장치(4)의 관리용 툴(12)의 보안 설정 소프트웨어(120)에서는, 접속된 클라이언트(CLm)의 ID 번호(MAC 어드레스)가 확인되어 접속을 허가하는 클라이언트(CLm)에 대하여 암호값 그룹이 송부된다.
그 암호값 그룹이 사용된 AP(6)에 SSIDx를 준비하고, 클라이언트(CLm)는 송부된 암호값 그룹을 사용하여 보안 설정이 행해지고, SSIDx로의 재접속이 행해져 서로 통신을 할 수 있도록 한다. 이 경우, 인증용 키 등, 레벨이 높은 보안 설정 정보를 암호화되지 않은 상태(보안 없음)로 송부하는 것은 위험하므로, 보안이 낮은 상태로부터 단계적으로 보안 레벨을 상승시킨다.
그래서, 보안이 없는(NoWEP) 상태에서 접속 허가된 클라이언트(CLm)에 대하여 WEP48[bit]의 WEP 키 정보가 송부된다.
클라이언트(CLm)는 수취한 WEP 키로 WEP48[bit]의 보안을 설정한다. AP(6) 측에는 이미 동일한 WEP48[bit]로 설정된 SSIDy가 준비되어 있고, 그 클라이언트(CLm)는 AP(6)의 SSIDy로 재접속하여 통신을 할 수 있도록 한다.
이 경우, 통신이 확립된 후, 즉시, AP(6)로부터 예를 들어 WEP64[bit]의 WEP 키 정보가 그 클라이언트(CLm)로 송부되고, 클라이언트(CLm)는 수취한 WEP 키로 WEP64[bit]의 보안 설정을 행하고, AP(6) 측에도 이미 동일한 WEP64[bit]로 설정된 SSIDz가 준비되고, 그 클라이언트(CLm)는 AP(6)의 SSIDz로 재접속하여 통신을 할 수 있도록 하면 된다.
이와 같이 하여, 단계적으로 보안 레벨을 상승시키고, 그 보안 레벨은 클라이언트(CLm)가 갖는 최고의 보안 레벨까지 끌어올릴 수 있다. 최종적으로는, 최고 레벨의 보안 레벨로 접속한 클라이언트(CLm)만이 남아 목적으로 하는 통신이 가능해진다. 이 경우, 보안 레벨의 상한은 예를 들어 AP(6)가 갖는 최고 보안 레벨이다.
그래서, 도 12의 (a)에 나타낸 바와 같이, AP(6)의 SSID0에 보안 설정이 없는(NoWEP) 상태에서 접속 허가를 부여하고, 접속 허가가 부여된 클라이언트(CLm)로 부터 MAC 정보가 AP(6)를 통하여 서버 장치(4)에 통지되고, 클라이언트(CLm)가 서버 장치(4)의 접속 허가 등록 완료 리스트 중의 단말, 즉, 접속처인지의 여부가 확인된다.
접속 허가된 클라이언트(CLm)이면, 도 12의 (b)에 나타낸 바와 같이, 서버 장치(4)로부터 AP(6)를 통하여 클라이언트(CLm)에 WEP 키 정보가 부여된다. 클라이언트(CLm)에서는, 보안 설정 소프트웨어(806)(도 4)로 WEP 키 정보를 받아 보안 설정이 WEP48[bit]로 변경된다.
AP(6)의 SSID1에 클라이언트(CLm)가 접속되고, WEP48[bit]로 접속된 클라이언트(CLm)에 대해서, 도 12의 (c)에 나타낸 바와 같이, 접속된 클라이언트(CLm)로부터 MAC 정보가 AP(6)를 통하여 서버 장치(4)에 수용되어 접속 허가의 대상인지의 여부 확인이 다시 행해진다.
이 경우, 접속 허가된 클라이언트(CLm)이면, 도 12의 (d)에 나타낸 바와 같이, 서버 장치(4)로부터 AP(6)를 통하여 클라이언트(CLm)에 대하여 IEEE802.1X용의 설정 정보(증명서 등)가 부여되고, 클라이언트(CLm)에서는 보안 설정 소프트웨어(806)(도 4)로 IEEE802.1X 설정 정보를 받아 보안 설정이 IEEE802.1X로 변경된다.
이들 WEP48[bit]로부터 IEEE802.1X로 보안 레벨을 변경하는 설정 처리는 접속 대상인 모든 클라이언트(CLm)에서 개별로 실행되어, 모든 클라이언트(CLm)가 IEEE802.1X 설정으로 통신할 수 있도록 하고, AP(6)도 IEEE802.1X 설정으로 변경한다.
또한, 도시는 생략했지만, 접속 허가된 클라이언트(CLm)이면, 서버 장치(4) 로부터 AP(6)를 통하여 클라이언트(CLm)에 WEP 키 정보로서 WEP64[bit]가 부여되어 보안 설정이 WEP64[bit]로 변경되고, WEP64[bit]로 접속된 클라이언트(CLm)에 대해서, 접속된 클라이언트(CLm)로부터 MAC 정보가 AP(6)를 통하여 서버 장치(4)에 수용되어 접속 허가 대상인지의 여부 확인이 다시 행해지는 구성으로 할 수도 있다.
그리고, 도 12의 (e)에 나타낸 바와 같이, AP(6)의 SSID2에 클라이언트(CLm)가 재접속되고, 모든 클라이언트(CLm)가 IEEE802.1X 설정에 의한 최종 보안 레벨로 접속이 완료되고, 각 클라이언트(CLm)와 서버 장치(4)가 AP(6)를 통하여 무선 LAN(10)에 의해 정규 통신이 가능해진다.
상술한 보안의 자동 설정에 대해서 보안 레벨(SL)은 예를 들어 도 13에 나타내는 바와 같다. 이러한 설정 처리를 n개의 클라이언트(CL1, CL2 …CLn)에 대해서 반복하고, 보안 설정을 완료한다.
이와 같이, 복수 SSID를 사용한 경우에는 설정 도중에 AP(6)의 동작을 멈추는 일이 없으므로, 다른 클라이언트(CLm)의 통신에 영향을 주지 않고 클라이언트(CLm) 보안의 자동 설정을 행할 수 있다. 또한, 상술한 바와 같이 수동 설정을 필요로 하지 않고, AP(6) 측으로부터 클라이언트(CLm)의 보안 설정을 자동적으로 행할 수 있으며, 또한 다단 보안 레벨을 거쳐 최종 레벨 설정으로 이행시키므로, 설정 도중의 암호값 그룹을 제삼자에게 도용될 위험성을 저감할 수 있어 통신의 안전성이 높아진다.
또한, 보안 레벨을 단계적으로 높여 갈 뿐만 아니라, 높게 설정된 보안 레벨을 단계적으로 낮은 레벨로 변경하는 것도 가능하다. 시스템상, 증명서가 불필 요해진 경우 등에 이러한 대응이 효과적이다.
이상 설명한 실시예에 대해서 변형예 등을 열거하면, 다음과 같다.
(1) 상기 실시예에서는, 서버 장치(4)와 독립하여 AP(6)를 설치하는 형태를 설명했지만, 본 발명은 서버 장치(4)와 AP(6)를 일체화 구성으로 할 수도 있고, 또한 AP(6)가 존재하지 않는 무선 LAN에도 적용할 수 있다.
(2) AP(6)는 컴퓨터를 구비한 구성으로 할 수도 있고, 또한 스위치로 구성되는 중계기(中繼器)로 구성할 수도 있다.
다음에, 이상 설명한 본 발명의 각 실시예로부터 추출되는 기술적 사상을 청구항의 기재 형식에 준하여 부기로서 열거한다. 본 발명에 따른 기술적 사상은 상위 개념으로부터 하위 개념까지 다양한 레벨이나 베리에이션에 의해 파악할 수 있는 것으로서, 이하의 부기에 본 발명이 한정되는 것은 아니다.
(부기 1)
1 또는 복수의 접속처에 대한 무선 통신 네트워크의 보안 설정 방법으로서, 1 또는 복수의 상기 접속처에 대하여 부여되어 있는 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보가 부여되고, 단계적으로 다른 암호 정보가 부여되는 처리를 포함하는 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
(부기 2)
부기 1에 기재된 무선 통신 네트워크의 보안 설정 방법에 있어서, 암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보가 부여되는 처리를 포함하는 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
(부기 3)
부기 1에 기재된 무선 통신 네트워크의 보안 설정 방법에 있어서, 상기 접속처에 대하여 식별 정보를 부여하여 그 식별 정보마다 가상 통신 네트워크를 구성시키고, 상기 식별 정보가 부여된 상기 접속처마다 상기 암호 정보가 부여되는 처리를 포함하는 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
(부기 4)
부기 1에 기재된 무선 통신 네트워크의 보안 설정 방법에 있어서, 암호 정보가 부여된 접속처로부터 식별 정보를 취득하고, 접속 대상인 접속처를 판별하는 처리를 포함하는 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
(부기 5)
부기 1에 기재된 무선 통신 네트워크의 보안 설정 방법에 있어서, 상기 단계적으로 다른 암호 정보는 보안 레벨이 단계적으로 높은 암호 정보인 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
(부기 6)
1 또는 복수의 접속처와 무선 통신 네트워크를 구성하는 컴퓨터에 실행시키는 보안 설정 프로그램으로서, 1 또는 복수의 상기 접속처에 대하여 부여되어 있는 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보가 부여되고, 단계적으로 다른 암호 정보가 부여되는 스텝을 포함하는 것을 특징으로 하는 보안 설정 프로그램.
(부기 7)
부기 6에 기재된 보안 설정 프로그램에 있어서, 암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보가 부여되는 스텝을 포함하는 것을 특징으로 하는 보안 설정 프로그램.
(부기 8)
부기 6에 기재된 보안 설정 프로그램에 있어서, 상기 접속처에 대하여 식별 정보를 부여하여 그 식별 정보마다 가상 통신 네트워크를 구성시키고, 상기 식별 정보가 부여된 상기 접속처마다 상기 암호 정보가 부여되는 스텝을 포함하는 것을 특징으로 하는 보안 설정 프로그램.
(부기 9)
1 또는 복수의 접속처에 접속되는 무선 통신 장치를 구비하는 무선 통신 네트워크 시스템으로서, 상기 무선 통신 장치가 접속처에 부여한 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보를 부여함으로써, 단계적으로 다른 암호 정보를 접속처에 부여하는 구성인 것을 특징으로 하는 무선 통신 네트워크 시스템.
(부기 10)
부기 9에 기재된 무선 통신 네트워크 시스템에 있어서, 상기 무선 통신 장치가 암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보를 상기 접속처에 부여하는 구성인 것을 특징으로 하는 무선 통신 네트워크 시스템.
(부기 11)
부기 9에 기재된 무선 통신 네트워크 시스템에 있어서, 상기 무선 통신 장치가 1 또는 복수의 접속처와 무선 통신을 행하는 무선 통신부를 구비하고, 암호 정보를 부여하지 않은 1 또는 복수의 상기 접속처와의 접속을 허가하고, 그 접속처가 접속 대상일 경우에는 암호 정보를 부여하는 구성인 것을 특징으로 하는 무선 통신 네트워크 시스템.
(부기 12)
부기 9에 기재된 무선 통신 네트워크 시스템에 있어서, 상기 무선 통신 장치가 상기 접속처에 대하여 식별 정보를 부여하여 그 식별 정보마다 가상 통신 네트워크를 구성시키고, 상기 식별 정보가 부여된 상기 접속처마다 상기 암호 정보를 부여하는 구성인 것을 특징으로 하는 무선 통신 네트워크 시스템.
(부기 13)
부기 9에 기재된 무선 통신 네트워크 시스템에 있어서, 1 또는 복수의 접속처와 무선 통신을 행하는 액세스 포인트 장치를 구비하는 것을 특징으로 하는 무선 통신 네트워크 시스템.
(부기 14)
1 또는 복수의 접속처에 접속되는 서버 장치를 구비하는 무선 통신 네트워크 시스템으로서, 1 또는 복수의 상기 접속처와 무선 통신을 행하는 액세스 포인트 장치와, 이 액세스 포인트 장치와 상기 서버 장치 사이에 설치되어 상기 서버 장치와 상기 접속처 사이에 가상 통신 네트워크를 형성시키는 스위치를 구비하는 구성으로 한 것을 특징으로 하는 무선 통신 네트워크 시스템.
(부기 15)
서버 장치 또는 액세스 포인트 장치와 무선 통신 네트워크에 의해 접속되는 클라이언트 장치로서, 상기 서버 장치 또는 상기 액세스 포인트 장치로부터 부여된 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보를 받고, 단계적으로 다른 암호 정보가 부여되는 구성인 것을 특징으로 하는 클라이언트 장치.
(부기 16)
부기 15에 기재된 클라이언트 장치에 있어서, 상기 서버 장치 또는 상기 액세스 포인트 장치와 무선 통신을 행하는 무선 통신부를 구비하고, 상기 서버 장치 또는 상기 액세스 포인트 장치와의 접속이 허가되고, 상기 서버 장치 측 또는 상기 액세스 포인트 장치 측에서 접속 대상이라고 판별된 경우에는 암호 정보가 부여되는 구성인 것을 특징으로 하는 클라이언트 장치.
(부기 17)
부기 15에 기재된 클라이언트 장치에 있어서, 상기 서버 장치 또는 상기 액세스 포인트 장치로부터 식별 정보가 부여되고, 그 식별 정보마다 상기 서버 장치 또는 상기 액세스 포인트 장치와 가상 통신 네트워크를 구성하여 상기 암호 정보가 부여되는 구성인 것을 특징으로 하는 클라이언트 장치.
이상 설명한 바와 같이, 본 발명의 가장 바람직한 실시예 등에 대해서 설명했지만, 본 발명은 상기 기재에 한정되는 것은 아니고, 특허청구범위에 기재되고, 또는 명세서에 개시된 발명의 요지에 의거하여, 당업자에게 있어서 다양한 변형이 나 변경이 가능한 것은 물론이고, 이러한 변형이나 변경이 본 발명의 범위에 포함되는 것은 말할 필요도 없다.
본 발명은 무선 통신 네트워크의 접속처와의 보안 설정의 자동화를 실현하고 있고, 무선 통신 네트워크와 접속되는 접속처의 보안 레벨을 단계적으로 변경하여 설정하므로 제삼자의 도용을 방지할 수 있고, 또한 특정 접속처에 대한 보안 설정을 다른 접속처의 동작에 영향을 주지 않고 가능하게 하고 있어 유용하다.
본 발명에 의하면, 다음과 같은 효과가 얻어진다.
(1) 접속처의 보안 설정을 자동화할 수 있어 설정의 번잡함이 경감된다.
(2) 보안 설정 중이여도 정보의 누설이 방지된다.
(3) 보안 설정 중에 다른 접속처의 통신 등의 운용에 영향을 주지 않고 보안 설정을 행할 수 있다.

Claims (10)

  1. 접속원과 1 또는 복수의 접속처와의 사이에 설정되는, 무선 통신 네트워크의 보안 설정 방법으로서,
    1 또는 복수의 상기 접속처에 대하여 부여되어 있는 암호 정보를 이용하여 현재의 암호 정보와는 보안 레벨이 다른 암호 정보가 상기 접속원으로부터 부여되어, 단계적으로 다른 암호 정보가 부여되는 처리를 포함하는 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
  2. 제 1 항에 있어서,
    암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보가 부여되는 처리를 포함하는 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
  3. 제 1 항에 있어서,
    상기 접속처에 대하여 식별 정보를 부여하여 그 식별 정보마다 가상 통신 네트워크를 구성시키고, 상기 식별 정보가 부여된 상기 접속처마다 상기 암호 정보가 부여되는 처리를 포함하는 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
  4. 제 1 항에 있어서,
    암호 정보가 부여된 접속처로부터 식별 정보를 취득하고, 접속 대상인 접속처를 판별하는 처리를 포함하는 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
  5. 제 1 항에 있어서,
    상기 단계적으로 다른 암호 정보는 보안 레벨이 단계적으로 높은 암호 정보인 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
  6. 접속원과 1 또는 복수의 접속처와의 사이에서 무선 통신 네트워크를 구성하는 컴퓨터에 실행시키는 보안 설정 프로그램을 기록한 기록 매체로서,
    1 또는 복수의 상기 접속처에 대하여 부여되어 있는 암호 정보를 이용하여 현재의 암호 정보와는 보안 레벨이 다른 암호 정보가 상기 접속원으로부터 부여되어, 단계적으로 다른 암호 정보가 부여되는 스텝을 포함하는 것을 특징으로 하는 보안 설정 프로그램을 기록한 기록 매체.
  7. 제 6 항에 있어서,
    암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보가 부여되는 스텝을 포함하는 것을 특징으로 하는 보안 설정 프로그램을 기록한 기록 매체.
  8. 접속원과 1 또는 복수의 접속처와의 사이에 설정되는 무선 통신 네트워크 시스템으로서,
    상기 접속원이 상기 접속처와 접속되는 무선 통신 장치를 구비하고,
    상기 무선 통신 장치가 접속처에 부여한 암호 정보를 이용하여 현재의 암호 정보와는 보안 레벨이 다른 암호 정보를 부여함으로써, 단계적으로 다른 암호 정보를 접속처에 부여하는 구성인 것을 특징으로 하는 무선 통신 네트워크 시스템.
  9. 제 8 항에 있어서,
    상기 무선 통신 장치가 암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보를 상기 접속처에 부여하는 구성인 것을 특징으로 하는 무선 통신 네트워크 시스템.
  10. 서버 장치 또는 액세스 포인트(access point) 장치와 무선 통신 네트워크를 구성하는 클라이언트 장치로서,
    상기 클라이언트 장치가 상기 무선 통신 네트워크를 통하여 상기 서버 장치 또는 상기 액세스 포인트 장치와 무선에 의해 접속되고, 상기 서버 장치 또는 상기 액세스 포인트 장치로부터 부여된 암호 정보를 이용하여, 현재의 암호 정보와는 보안 레벨이 다른 암호 정보를 상기 서버 장치 또는 상기 액세스 포인트 장치로 부터 받고, 단계적으로 다른 암호 정보가 부여되는 구성인 것을 특징으로 하는 클라이언트 장치.
KR1020050128434A 2005-09-06 2005-12-23 무선 통신 네트워크의 보안 설정 방법, 보안 설정프로그램을 기록한 기록 매체, 무선 통신 네트워크 시스템및 클라이언트 장치 KR100768290B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JPJP-P-2005-00258389 2005-09-06
JP2005258389A JP5040087B2 (ja) 2005-09-06 2005-09-06 無線通信ネットワークのセキュリティ設定方法、セキュリティ設定プログラム及び無線通信ネットワークシステム

Publications (2)

Publication Number Publication Date
KR20070027423A KR20070027423A (ko) 2007-03-09
KR100768290B1 true KR100768290B1 (ko) 2007-10-18

Family

ID=37635885

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050128434A KR100768290B1 (ko) 2005-09-06 2005-12-23 무선 통신 네트워크의 보안 설정 방법, 보안 설정프로그램을 기록한 기록 매체, 무선 통신 네트워크 시스템및 클라이언트 장치

Country Status (5)

Country Link
US (1) US8374339B2 (ko)
EP (1) EP1760982A1 (ko)
JP (1) JP5040087B2 (ko)
KR (1) KR100768290B1 (ko)
CN (1) CN1929398B (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013100547A1 (ko) * 2011-12-28 2013-07-04 삼성전자 주식회사 개인 건강 관리를 위한 방법 및 장치

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7324463B2 (en) * 2004-02-09 2008-01-29 Matsushita Electric Industrial Co., Ltd. Communication control apparatus and network management system using the same
JP5013728B2 (ja) * 2006-03-20 2012-08-29 キヤノン株式会社 システム及びその処理方法、並びに通信装置及び処理方法
JP5023981B2 (ja) * 2007-11-14 2012-09-12 日本電気株式会社 サーバアクセスシステム、サーバ装置及びそれらに用いるサーバアクセス方法
US8132008B2 (en) * 2008-02-12 2012-03-06 Utc Fire & Security Americas Corporation, Inc. Method and apparatus for communicating information between a security panel and a security server
US20090319699A1 (en) * 2008-06-23 2009-12-24 International Business Machines Corporation Preventing Loss of Access to a Storage System During a Concurrent Code Load
US8332495B2 (en) * 2008-06-27 2012-12-11 Affinegy, Inc. System and method for securing a wireless network
JP5538692B2 (ja) * 2008-08-08 2014-07-02 キヤノン株式会社 通信装置、通信装置の制御方法、コンピュータプログラム
JP5925223B2 (ja) * 2008-09-22 2016-05-25 沖電気工業株式会社 アクセスポイント、管理装置、コントローラ、プログラム、及びアクセスポイントの設定方法
US8898474B2 (en) * 2008-11-04 2014-11-25 Microsoft Corporation Support of multiple pre-shared keys in access point
JP5172624B2 (ja) 2008-11-17 2013-03-27 株式会社東芝 スイッチ装置、認証サーバ、認証システム、認証方法、及び、プログラム
CN101772053B (zh) * 2008-12-05 2013-04-17 华为终端有限公司 一种终端设备配置方法、装置、终端及终端设备
CN101600203B (zh) * 2009-06-30 2011-05-25 中兴通讯股份有限公司 一种安全服务的控制方法及无线局域网终端
US8272561B2 (en) 2009-10-26 2012-09-25 Lg Electronics Inc. Digital broadcasting system and method of processing data in digital broadcasting system
WO2011052814A1 (ko) * 2009-10-26 2011-05-05 엘지전자 주식회사 물리적으로 분리된 다수의 독립 공간 중 하나의 독립 공간내 위치한 dtv(digital television)의 제어 방법 및 상기 dtv
JP5293658B2 (ja) * 2010-03-17 2013-09-18 富士通株式会社 通信システム、基地局、通信装置、スイッチおよび通信方法
CN103081415B (zh) * 2010-09-03 2016-11-02 日本电气株式会社 控制装置、通信系统、通信方法和其上记录有通信程序的记录介质
US9154953B2 (en) * 2010-12-10 2015-10-06 At&T Intellectual Property I, L.P. Network access via telephony services
JP5903870B2 (ja) * 2011-12-19 2016-04-13 凸版印刷株式会社 アクセス制御システム、および無線携帯端末
CN103517374B (zh) * 2012-06-26 2017-09-12 华为终端有限公司 建立无线连接的方法及无线中继器
JP2013093913A (ja) * 2013-02-19 2013-05-16 Canon Inc 通信システム、情報処理装置、通信方法及び認証方法
US8799993B1 (en) * 2013-03-14 2014-08-05 Vonage Network Llc Method and apparatus for configuring communication parameters on a wireless device
US9369872B2 (en) 2013-03-14 2016-06-14 Vonage Business Inc. Method and apparatus for configuring communication parameters on a wireless device
EP3025473A1 (en) * 2013-07-24 2016-06-01 Thomson Licensing Method and apparatus for secure access to access devices
US10360362B2 (en) 2014-04-30 2019-07-23 Qualcomm Incorporated Apparatuses and methods for fast onboarding an internet-enabled device
TWI552560B (zh) * 2014-12-19 2016-10-01 鋐寶科技股份有限公司 區域網路系統及其存取方法
US9716692B2 (en) * 2015-01-01 2017-07-25 Bank Of America Corporation Technology-agnostic application for high confidence exchange of data between an enterprise and third parties
CN105099911B (zh) * 2015-06-28 2018-08-10 成都西加云杉科技有限公司 通信系统、应用该通信系统的通信方法和装置
US10425392B2 (en) * 2015-08-05 2019-09-24 Facebook, Inc. Managing a device cloud
JP6834140B2 (ja) * 2016-02-17 2021-02-24 富士通株式会社 情報配信システム、情報配信プログラム、情報配信方法および情報配信装置
JP6860360B2 (ja) * 2017-01-23 2021-04-14 パイオニア株式会社 通信装置、通信方法、プログラム及び記録媒体

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005013550A1 (ja) 2003-08-05 2005-02-10 Matsushita Electric Industrial Co., Ltd. 著作権保護システム

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7660986B1 (en) * 1999-06-08 2010-02-09 General Instrument Corporation Secure control of security mode
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
JP3570310B2 (ja) 1999-10-05 2004-09-29 日本電気株式会社 無線lanシステムにおける認証方法と認証装置
JP3879376B2 (ja) 2000-08-07 2007-02-14 富士通株式会社 情報機器システム
JP3764345B2 (ja) 2001-03-19 2006-04-05 株式会社エヌ・ティ・ティ・ドコモ 移動通信端末装置及びサーバ装置
JP3600578B2 (ja) 2001-09-29 2004-12-15 株式会社東芝 無線通信システム及び無線lanアクセスポイント
US7194622B1 (en) * 2001-12-13 2007-03-20 Cisco Technology, Inc. Network partitioning using encryption
JP3940670B2 (ja) * 2001-12-26 2007-07-04 株式会社東芝 無線通信システム及び無線通信装置並びに無線通信方法
EP1324541B1 (en) * 2001-12-26 2007-09-05 Kabushiki Kaisha Toshiba Communication system, wireless communication apparatus, and communication method
JP2003309833A (ja) 2002-04-17 2003-10-31 Matsushita Electric Ind Co Ltd 無線画像伝送システム
US7546458B1 (en) * 2002-05-04 2009-06-09 Atheros Communications, Inc. Method for organizing virtual networks while optimizing security
US7532604B2 (en) 2002-05-08 2009-05-12 Siemens Canada Limited Local area network with wireless client freedom of movement
JP2003338823A (ja) * 2002-05-21 2003-11-28 Canon Inc 無線通信システム及びその制御方法
JP2004015725A (ja) * 2002-06-11 2004-01-15 Canon Inc 通信システム及び通信システムにおける認証方法及びそのプログラム及びその記録媒体
JP2004032133A (ja) 2002-06-24 2004-01-29 Tdk Corp 無線lanシステム、並びに、これに用いられるアクセスポイント装置及び無線端末装置
JP4025126B2 (ja) 2002-06-28 2007-12-19 株式会社リコー 無線lanシステム及びアクセスポイント並びに無線lan接続方法
JP2004064652A (ja) 2002-07-31 2004-02-26 Sharp Corp 通信機器
JP4218934B2 (ja) 2002-08-09 2009-02-04 キヤノン株式会社 ネットワーク構築方法、無線通信システムおよびアクセスポイント装置
JP3737791B2 (ja) 2002-08-30 2006-01-25 株式会社東芝 無線通信を実行可能な装置および同装置に適用される無線通信制御方法
JP2004127187A (ja) 2002-10-07 2004-04-22 Toshiba Corp インターネットアクセスシステム
DE60302631T8 (de) 2002-10-18 2006-10-26 Buffalo Inc., Nagoya Verschlüsselungscodeeinstellsystem, Zugangsknoten, Verschlüsselungscodeeinstellverfahren und Authentifizierungscodeeinstellsystem
JP4346413B2 (ja) 2002-12-19 2009-10-21 株式会社バッファロー 暗号鍵設定システム、アクセスポイント、および、暗号鍵設定方法
KR100555381B1 (ko) 2002-12-19 2006-02-24 멜코 인코포레이티드 암호키 설정시스템 및 암호키 설정방법
JP2004312257A (ja) 2003-04-04 2004-11-04 Toshiba Corp 基地局、中継装置及び通信システム
JP2004320162A (ja) 2003-04-11 2004-11-11 Sony Corp 無線通信システムおよび方法、無線通信装置および方法、プログラム
JP2004343448A (ja) * 2003-05-15 2004-12-02 Matsushita Electric Ind Co Ltd 無線lanアクセス認証システム
JP3695538B2 (ja) * 2003-06-04 2005-09-14 日本電気株式会社 ネットワークサービス接続方法/プログラム/記録媒体/システム、アクセスポイント、無線利用者端末
JP4280594B2 (ja) * 2003-10-01 2009-06-17 キヤノン株式会社 無線通信システム、制御装置、通信装置、制御方法、及びプログラム
JP4543657B2 (ja) * 2003-10-31 2010-09-15 ソニー株式会社 情報処理装置および方法、並びにプログラム
JP2005149337A (ja) * 2003-11-19 2005-06-09 Nippon Telegr & Teleph Corp <Ntt> ゲートウエイ装置
JP4667739B2 (ja) * 2003-12-05 2011-04-13 株式会社バッファロー 暗号鍵設定システム、アクセスポイント、無線lan端末、および、暗号鍵設定方法
JP4607567B2 (ja) * 2004-01-09 2011-01-05 株式会社リコー 証明書転送方法、証明書転送装置、証明書転送システム、プログラム及び記録媒体
GB2411554B (en) * 2004-02-24 2006-01-18 Toshiba Res Europ Ltd Multi-rate security

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005013550A1 (ja) 2003-08-05 2005-02-10 Matsushita Electric Industrial Co., Ltd. 著作権保護システム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013100547A1 (ko) * 2011-12-28 2013-07-04 삼성전자 주식회사 개인 건강 관리를 위한 방법 및 장치

Also Published As

Publication number Publication date
KR20070027423A (ko) 2007-03-09
EP1760982A1 (en) 2007-03-07
CN1929398A (zh) 2007-03-14
JP5040087B2 (ja) 2012-10-03
JP2007074297A (ja) 2007-03-22
US8374339B2 (en) 2013-02-12
CN1929398B (zh) 2012-01-04
US20070053508A1 (en) 2007-03-08

Similar Documents

Publication Publication Date Title
KR100768290B1 (ko) 무선 통신 네트워크의 보안 설정 방법, 보안 설정프로그램을 기록한 기록 매체, 무선 통신 네트워크 시스템및 클라이언트 장치
EP1741308B1 (en) Improved subscriber authentication for unlicensed mobile access network signaling
JP4509446B2 (ja) 無線ネットワークにおいて装置を登録する方法
JP3984993B2 (ja) アクセスネットワークを通じて接続を確立するための方法及びシステム
EP1285548B1 (en) Connecting access points in wireless telecommunication systems
US8923813B2 (en) System and method for securing a base station using SIM cards
US8233934B2 (en) Method and system for providing access via a first network to a service of a second network
JP3585422B2 (ja) アクセスポイント装置及びその認証処理方法
US8582476B2 (en) Communication relay device and communication relay method
US7418591B2 (en) Network configuration method and communication system and apparatus
US20050266826A1 (en) Method for establishing a security association between a wireless access point and a wireless node in a UPnP environment
CN102869014A (zh) 终端和数据通信方法
JP2006332788A (ja) 基地局装置、無線通信システム、基地局制御プログラムおよび基地局制御方法
EP1445893A2 (en) Management of wireless local area network
KR20130040210A (ko) 모바일 스테이션을 통신 네트워크에 연결시키는 방법
CN104144463A (zh) Wi-Fi网络接入方法和系统
CN102651707A (zh) 一种无线网桥的自动配置方法
CN114945192B (zh) 一种EasyMesh网络快速组网方法以及系统
EP1947818A1 (en) A communication system and a communication method
CN117641345A (zh) 无线设备的网络接入信息的传输

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120924

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20130924

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20141001

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150918

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160921

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170919

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180918

Year of fee payment: 12