상기 제 1 또는 제 2 목적을 달성하기 위하여, 본 발명의 제 1 측면은, 1 또는 복수의 접속처에 대한 무선 통신 네트워크의 보안 설정 방법으로서, 1 또는 복 수의 상기 접속처에 대하여 부여되어 있는 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보가 부여되고, 단계적으로 다른 암호 정보가 부여되는 처리를 포함하는 구성이다.
이러한 처리에 의해, 현재의 암호 정보를 기초로서 다른 암호 정보에 단계적으로 갱신된 암호 정보가 부여되는 결과, 다단(多段) 보안 설정을 자동적으로 행할 수 있어 통신의 안전성이 높아진다.
상기 제 1 또는 제 2 목적을 달성하기 위해서는, 상기 무선 통신 네트워크의 보안 설정 방법에서, 암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보가 부여되는 처리를 포함하는 구성으로 할 수도 있다.
이러한 처리에 의해, 암호 정보가 부여되어 있지 않은 접속처에 대하여 접속을 우선하고, 접속처가 접속 대상인지의 여부를 판별한 후, 암호 정보가 부여된다. 암호 정보를 부여하기 전에 접속처로서 적정한지의 여부 처리가 전치(前置)되므로, 암호 정보를 부여하는 접속처가 선택되고, 통신의 안전성이 확보된다.
상기 제 3 목적을 달성하기 위해서는, 상기 무선 통신 네트워크의 보안 설정 방법에서, 상기 접속처에 대하여 식별 정보를 부여하여 그 식별 정보마다 가상 통신 네트워크를 구성시키고, 상기 식별 정보가 부여된 상기 접속처마다 상기 암호 정보가 부여되는 처리를 포함하는 구성으로 할 수도 있다.
이러한 구성에 의하면, 복수의 가상 통신 네트워크를 이용하여 동시 처리가 가능해지고, 보안 설정시에 다른 접속처와의 통신 등의 운용을 손상하지 않고 보안 설정이 가능하다.
상기 제 1 또는 제 2 목적을 달성하기 위해서는, 상기 무선 통신 네트워크의 보안 설정 방법에서, 암호 정보가 부여된 접속처로부터 식별 정보를 취득하고, 접속 대상인 접속처를 판별하는 처리를 포함하는 구성으로 할 수도 있다.
이러한 구성에 의하면, 접속처에 부여되어 있는 MAC 어드레스 등의 식별 정보를 취득하고, 그 취득 정보로부터 접속처인지의 여부를 판별하므로, 암호 정보를 부여하기 전의 보안이 확보된다.
상기 제 1 또는 제 2 목적을 달성하기 위해서는, 상기 무선 통신 네트워크의 보안 설정 방법에서, 상기 단계적으로 다른 암호 정보는 보안 레벨이 단계적으로 높은 암호 정보인 구성으로 할 수도 있다.
이러한 구성에서, 보안 레벨을 단계적으로 높게 설정함으로써 통신의 안전성을 높일 수 있지만, 암호 정보는 다르면 좋고, 단계적으로 올리고, 또한 높게 설정한 보안 레벨을 낮게 하는 구성일 수도 있다.
상기 제 1 또는 제 2 목적을 달성하기 위하여, 본 발명의 제 2 측면은, 1 또는 복수의 접속처와 무선 통신 네트워크를 구성하는 컴퓨터에 실행시키는 보안 설정 프로그램을 기록한 기록 매체로서, 1 또는 복수의 상기 접속처에 대하여 부여되어 있는 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보가 부여되고, 단계적으로 다른 암호 정보가 부여되는 스텝을 포함하는 구성이다. 이러한 보안 설정 프로그램을 기록한 기록 매체에 의하면, 상술한 보안 설정을 컴퓨터 처리에 의해 자동화할 수 있다.
상기 제 1 또는 제 2 목적을 달성하기 위해서는, 상기 보안 설정 프로그램을 기록한 기록 매체에서, 암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보가 부여되는 스텝을 포함하는 구성으로 할 수도 있다. 이러한 보안 설정 프로그램을 기록한 기록 매체에 의하면, 상술한 보안 설정을 컴퓨터 처리에 의해 자동화할 수 있다.
상기 제 3 목적을 달성하기 위하여, 본 발명의 제 3 측면은, 1 또는 복수의 접속처에 접속되는 무선 통신 장치를 구비하는 무선 통신 네트워크 시스템으로서, 상기 무선 통신 장치가 접속처에 부여한 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보를 부여함으로써, 단계적으로 다른 암호 정보를 접속처에 부여하는 구성이다.
이러한 구성에 의해, 현재의 암호 정보를 기초로서 다른 암호 정보에 단계적으로 갱신된 암호 정보가 부여되는 결과, 무선 통신 장치에 다단 보안 설정을 자동적으로 행할 수 있어 통신의 안전성이 높아진다.
상기 제 1 또는 제 2 목적을 달성하기 위해서는, 상기 무선 통신 네트워크 시스템에서, 상기 무선 통신 장치가 암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보를 상기 접속처에 부여하는 구성으로 할 수도 있다.
이러한 구성에 의하면, 암호 정보가 부여되어 있지 않은 접속처에 대하여 접속이 우선되고, 접속처가 접속 대상인지의 여부를 판별한 후 암호 정보가 부여되므로, 암호 정보를 부여하기 전에 접속처로서 적정한지의 여부 처리가 전치되므로, 암호 정보를 부여하는 접속처가 선택되고, 통신의 안전성이 확보된다.
상기 제 1 내지 제 3 목적을 달성하기 위하여, 본 발명의 제 4 측면은, 서버 장치 또는 액세스 포인트 장치와 무선 통신 네트워크에 의해 접속되는 클라이언트 장치로서, 상기 서버 장치 또는 상기 액세스 포인트 장치로부터 부여된 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보를 받고, 단계적으로 다른 암호 정보가 부여되는 구성이다.
이러한 구성에 의하면, 클라이언트 장치 측의 보안 설정이 서버 장치나 액세스 포인트 장치로부터의 지령에 의해 단계적으로 설정되므로, 클라이언트 장치 측 수동 설정의 번잡함이 해소되고, 또한 설정 중 정보의 누설이 방지된다.
[제 1 실시예]
본 발명의 제 1 실시예에 대해서, 도 1을 참조하여 설명한다. 도 1은 제 1 실시예에 따른 무선 LAN 장치의 개요를 나타내는 도면이다.
무선 통신 네트워크 또는 무선 통신 네트워크 시스템으로서, 무선 LAN 장치(2)에는 무선 통신 장치로서 예를 들어 서버 장치(4), 무선 LAN 액세스 포인트 장치(이하, 간단히 「AP」라고 칭함)(6), 접속처의 무선 통신 장치로서 예를 들어 1대 또는 복수대의 무선 LAN 클라이언트 장치(이하, 간단히 「클라이언트」라고 칭함)(CLm)(단, m은 클라이언트 번호이며, m=1, 2 …n임)로서, 클라이언트(CL1, CL2 …CLn)가 구비되어 있다. 이 경우, 서버 장치(4)와 AP(6)는 유선 LAN(8)으로 접속되고, AP(6)와 각 클라이언트(CL1, CL2 …CLn)는 무선 LAN(10)으로 접속되어 있다. 서버 장치(4)는 유선 LAN(8), 무선 LAN(10) 상에서 파일이나 프린터 등의 자원을 공유하는 컴퓨터로서, 이 경우, AP(6)와의 접속을 위하여 유선 통신 기능을 구비한다. AP(6)는 클라이언트(CLm)와의 전파의 중계 기지를 구성하고, 클라이언트(CLm와의 접속을 위하여 무선 통신 기능을 구비하는 동시에, 서버 장치(4)와의 접속을 위하여 유선 통신 기능을 구비한다. 클라이언트(CLm)(=CL1, CL2 …CLn)는 서버 장치(4)의 공유 자원을 이용하는 컴퓨터로서, AP(6)와의 무선 LAN(10)에 의한 접속을 위하여 무선 통신 기능을 구비한다. 이 경우, 무선 LAN(10)에는 구내 통신망 외에, 각종 통신망이 포함되는 것은 말할 필요도 없이 복수의 네트워크가 포함된다.
서버 장치(4)에는 클라이언트(CL1, CL2 …CLn)와의 무선 통신, 데이터 수수(授受) 등의 서버 기능이 구비되어 있는 동시에, AP(6)를 관리하기 위한 관리용 툴(tool)(12)이 저장되어 있다. 이 경우, 서버 장치(4)의 서버 기능은 AP(6) 측에 할당할 수도 있고, 또한 서버 장치(4)와 AP(6)가 일체로 구성될 수도 있다.
관리용 툴(12)에는 보안 설정을 자동적으로 행할 수 있는 보안 설정 소프트웨어(20)가 포함되어 있고, AP(6)의 접속처인 클라이언트를 식별하는 식별 정보로서 상술한 클라이언트(CL1, CL2 …CLn)를 식별하는 n개의 MAC(Media Access Contro1) 정보 외에, 보안 정보로서 클라이언트(CL1, CL2 …CLn)로 설정되는 보안 레벨(SL=0, 1, 2, …), 보안 설정값 그룹(n개) 등이 저장되어 있다. 이들 정보는 서버 장치(4)의 테이블에 저장되어 있다.
이들 보안 레벨을 SL=0(보안 없음), SL=1, SL=2라고 한 경우, 구체적인 보안 설정을 예시하면 다음과 같다. 여기서, 보안 레벨의 높이는 그 수치에 따라 단계적으로 높아진다는 의미이다.
SL=0: NoWEP(보안 없음)
SL=1: WEP48[bit]
SL=2: WEP64[bit], WEP128[bit],
IEEE802.1X, WPA-PSK, WPA …
이들 SL-0, 1, 2에서, WEP(Wired Equivalent Privacy)는 표준의 암호화 방식이고, IEEE(Institute of Electrical and Electronic Engineers)802.1X는 미국전기전자기술자 협회가 정한 LAN 내의 유저 인증 규격이며, WPA-PSK(WiFi Protected Access Pre-shared key), WPA(WiFi Protected Access)는 보안을 강화한 암호화 기능이다.
상기한 예시에서는, SL=2에 복수 종의 보안을 나타내고 있지만, 어느 것인가를 선택하여 그것을 SL=2로 설정할 수도 있고, 새롭게 SL=3, 4 …를 설정할 수도 있다.
또한, 클라이언트(CL1, CL2 …CLn)에는 각각을 특정하기 위한 식별 정보로서, 상술한 MAC 정보(MAC 어드레스)가 개별로 설정되어 있는 동시에, 상술한 관리용 툴(12)의 보안 설정 소프트웨어(120)와 연계하여 보안 설정을 자동적으로 행할 수 있는 보안 설정 소프트웨어(806)(도 4)가 저장되어 있다.
다음에, 서버 장치(4)의 구성예에 대해서, 도 2를 참조하여 설명한다. 도 2는 서버 장치(4)의 구성예를 나타내는 블록도이다. 도 2에서, 도 1과 동일한 부분에는 동일한 부호를 첨부하였다.
서버 장치(4)에는 CPU(Central Processing Unit)(400), 기억부(402), 유선 통신부(404) 등이 설치되어 있다. 기억부(402)는 ROM(Read-0nly Memory), Flash ROM, RAM(Random-Access Memory)으로 구성되고, 이 기억부(402)에는 상술한 관리용 툴(12)이 저장되고, 관리용 툴(12)에는 보안 설정 소프트웨어(120), 그 밖의 소프트웨어가 저장되어 있다.
유선 통신부(404)는 AP(6)와의 유선 통신을 행하는 구성 부분으로서, 이 유선 통신부(404)에는 LAN 물리층부(LAN PHY)(410), MAC(Media Access Control) 제어부(412), LAN 커넥터(414), 소정의 케이블 등이 구비되어 있다. CPU(400)와 AP(6)의 데이터 수수는 LAN 물리층부(410)에 의해 물리 어드레스가 설정되는 동시에, 유선 LAN(8) 내에서는 MAC 제어부(412)에 의한 MAC 어드레스가 설정된다. LAN 커넥터(414)에는 소정 규격의 커넥터, 예를 들어 RJ-45가 사용된다.
다음에, AP(6)의 구성예에 대해서, 도 3을 참조하여 설명한다. 도 3은 AP(6)의 구성예를 나타내는 블록도이다. 도 3에서, 도 1과 동일한 부분에는 동일한 부호를 첨부하였다.
AP(6)에는 CPU(600), 기억부(602), 유선 통신부(604), 무선 통신부(606), 전원부(608) 등이 설치되어 있다. 기억부(602)는 Flash ROM(610), RAM(612)으로 구성되고, Flash ROM(610)에는 제어 프로그램 등이 저장되어 있다.
유선 통신부(604)는 서버 장치(4)와의 유선 통신을 행하는 구성 부분으로서, 이 유선 통신부(604)에는 서버 장치(4)에 대응하는 구성으로서 LAN 물리층부(LAN PHY)(614), MAC 제어부(616), LAN 커넥터(618), 소정의 케이블 등이 구비되어 있다. CPU(600)와 서버 장치(4)의 데이터 수수는 LAN 물리층부(614)에 의해 물리 어 드레스가 설정되는 동시에, 유선 LAN(8) 내에서는 MAC 제어부(616)에 의한 MAC 어드레스가 설정된다. LAN 커넥터(618)에는 소정 규격의 커넥터, 예를 들어 RJ-45가 사용된다.
무선 통신부(606)는 클라이언트(CL1, CL2 …CLn)와의 무선 통신을 행하는 구성 부분으로서, 이 무선 통신부(606)에는 통신 제어부로서 베이스밴드 프로세서(Baseband Processor)(620), 무선부(RF)로서 송수신부(Transceiver)(622), 전력 증폭부(Power Amp)(624), 안테나(626)가 구비되어 있다. 이 무선 통신부(606)에서는, 베이스밴드 프로세서(620)를 통하여 출력되는 데이터가 송수신부(622)를 통하여 변조되고, 전력 증폭부(624)에 의해 전력 증폭된 후, 안테나(626)로부터 전자파로서 클라이언트(CL1, CL2 …CLn)에 대하여 송신된다. 클라이언트(CL1, CL2 …CLn)로부터의 전자파는 안테나(626)로 수신되어 송수신부(622)에 의해 복조(復調)된 후, 베이스밴드 프로세서(620)에 의해 복호(復號)되어 CPU(600)에 수용된다.
또한, 전원부(608)에는 안정화 출력이 얻어지고, 이 안정화 출력은 CPU(600)등의 각종 구성 회로에 급전되어 있다.
다음에, 클라이언트(CLm)(=CL1, CL2 …CLn)의 구성예에 대해서, 도 4를 참조하여 설명한다. 도 4는 클라이언트(CLm)의 구성예를 나타내는 블록도이다. 도 4에서, 도 1과 동일한 부분에는 동일한 부호를 첨부하였다.
클라이언트(CLm)에는 데이터 처리부로서 CPU(800), 기억부(802), 무선 통신부(804) 등이 설치되어 있다. 기억부(802)에는 ROM, Flash ROM, RAM 등으로 구성되고, AP(6)의 관리용 툴(12)의 보안 설정 소프트웨어(120)에 대응하는 상술한 보 안 설정 소프트웨어(806), 그 밖의 소프트웨어가 저장되어 있다.
무선 통신부(804)는 AP(6)와의 무선 통신을 행하는 구성 부분으로서, 이 무선 통신부(804)에는 통신 제어부로서 베이스밴드 프로세서(808), 무선부(RF)로서 송수신부(810), 전력 증폭부(812) 및 안테나(814)가 구비되고, 베이스밴드 프로세서(808)를 통하여 출력되는 데이터는 송수신부(810)를 통하여 변조되고, 전력 증폭부(812)에 의해 전력 증폭된 후, 안테나(814)로부터 전자파에 의해 AP(6)로 송신된다. AP(6)로부터의 전자파는 안테나(814)로 수신되어 송수신부(810)에 의해 복조 된 후, 베이스밴드 프로세서(808)에 의해 복호되어 CPU(800)에 수용된다.
다음에, 보안의 자동 설정에 대해서, 도 5를 참조하여 설명한다. 도 5는 클라이언트, AP 및 서버 장치의 처리 시퀀스를 나타내는 도면이다. 도 5에서, 도 1과 동일한 부분에는 동일한 부호를 첨부하였다. 또한, 이 경우의 처리는 복수SSID{멀티 SSlD(SSID: Service Set Identifier)} 및 VLAN(Virtual LAN)이 존재하지 않는 경우이다. 여기서, SSID는 네트워크를 식별하기 위하여 첨부되는 식별자이고, VLAN은 물리적인 네트워크 구성에 제한되지 않고 임의로 네트워크를 분할하는 기능이다.
이 보안의 자동 설정에서는, 서버 장치(4)로부터 AP(6)에 대하여 보안 레벨 SL=0의 초기 설정이 지시되고(스텝 S1), 이 초기 설정(SL=0)에 의거하여 클라이언트(CLm)(=CL1, CL2 …CLn)로부터 그 식별 정보로서 클라이언트 ID 정보가 AP(6)를 통하여 서버 장치(4)에 수용된다(스텝 S2). 이 클라이언트 ID 정보는 클라이언트(CLm)를 나타내는 상술한 MAC 정보 등이다. 서버 장치(4)에서는, 통지된 클라이언 트 ID 정보에 의해 클라이언트 ID를 확인하고(스텝 S3), 서버 장치(4)의 리스트에 등록된 클라이언트인지의 여부를 판별한다. 클라이언트 ID를 발한 클라이언트(CLm)가 서버 장치(4)의 등록 클라이언트이면 접속이 허가되고, 그 클라이언트(CLm)에 대하여 AP(6)를 통하여 접속 승인을 부여하는 동시에, 암호 정보(암호값 그룹)인 WEP (48) 키를 송부한다(스텝 S4). 파선 프레임으로 둘러싸인 스텝 S2 내지 스텝 S4의 처리는 클라이언트(CL1, CL2 …CLn)의 전체에 대해서 실행되고, 그 처리는 클라이언트 수 n만큼 반복된다.
클라이언트(CLm)에서는, 송부된 WEP (48) 키로 보안 설정이 실시된다(스텝 S5). 이 보안 설정은 WEP (48) 키의 송부를 받은 모든 클라이언트에서 실시된다.
다음에, 서버 장치(4)로부터 AP(6)에 대하여 보안 레벨 SL=1의 설정이 지시된다. 이 경우, WEP (48) 설정이 지시되고(스텝 S6), 이 보안 설정(SL=1)에 의거하여 클라이언트(CLm)로부터 그 식별 정보로서 클라이언트 ID 정보가 AP(6)를 통하여 서버 장치(4)에 수용된다(스텝 S7). 이 클라이언트 ID 정보는 상술한 MAC 정보 등이다. 서버 장치(4)에서는, 통지된 클라이언트 ID 정보에 의해 다시 클라이언트 ID를 확인하고(스텝 S8), 서버 장치(4)의 리스트에 등록된 클라이언트인지의 여부를 판별한다. 클라이언트 ID를 발한 클라이언트(CLm)가 서버 장치(4)의 등록 클라이언트이면 계속된 접속이 허가되고, 그 클라이언트(CLm)에 대하여 AP(6)를 통하여 접속 승인을 부여하는 동시에, 암호 정보(암호값 그룹)로서 각 클라이언트(CLm)의 증명서 등을 송부한다(스텝 S9). 파선 프레임으로 둘러싸인 스텝 S7 내지 S9의 처리는 모든 클라이언트(CLm)에 대해서 실행되고, 그 처리는 클라이언트 수 n만큼 반 복된다.
클라이언트(CLm)에서는, 서버 장치(4)로부터 송부된 증명서로 보안 설정이 실시된다(스텝 S10). 이 보안 설정은 서버 장치(4)로부터 증명서의 송부를 받은 모든 클라이언트에서 실시된다.
다음에, 서버 장치(4)로부터 AP(6)에 대하여 보안 레벨 SL=2의 설정이 지시된다. 이 경우, IEEE802.1X 설정이 지시되고(스텝 S11), 이 보안 설정(SL=2)에 의거하여 통상의 IEEE802.1X 인증 처리가 모든 클라이언트(CLm)에 대해서 실시된다(스텝 S12).
이러한 클라이언트 인증, 단계적인 보안 설정으로서 SL=0, SL=1, SL=2를 거쳐 보안 설정이 완료되고, 보안 설정을 실시한 클라이언트(CLm)는 통상의 운용(통신)이 가능해진다(스텝 S13).
이러한 구성에 의하면, 서버 장치(4)로부터 AP(6)를 통하여 모든 클라이언트(CLm)(=CL1, CL2 …CLn)에 대한 보안 설정을 자동화할 수 있고, 또한 다단 보안 레벨을 통과하여 레벨 설정이 행해지므로, 보안 설정 도중에 암호값 그룹이 제삼자에게 도용되는 일이 없어 통신의 안전성이 도모된다.
다음에, 관리용 툴(12)에서의 보안 설정 소프트웨어(120)의 처리 내용에 대해서, 도 6을 참조하여 설명한다. 도 6은 보안 설정 방법 및 보안 설정 프로그램을 나타내는 플로차트이다. 도 6에 나타내는 플로차트에서, m은 클라이언트 번호, n은 클라이언트 대수, SL은 보안 레벨이고, SL=0:NoWEP, SL=1:WEP(48[bit]), SL=2:IEEE802.1X이다.
이 보안 설정 소프트웨어(120)를 동작시키면, AP(6)의 보안 설정이 SL=0(:NoWEP)으로 설정되고(스텝 S21), 클라이언트 번호 m에 대해서, m=1이 선택되고(스텝 S22), 즉, 클라이언트(CLm)(=CL1)가 접속 불허가의 클라이언트인지의 여부 판정이 행해진다(스텝 S23). 이 판정 처리는 서버 장치(4)에 MAC 어드레스가 등록된 클라이언트인지의 여부를 판별하여 접속 허가 또는 접속 불허가의 어느 것인가가 선택된다.
접속 불허가의 경우에는 스텝 S32로 이행하고, 또한 접속 허가의 경우에는 클라이언트(CLm)가 AP(6)로의 접속을 시도한다(스텝 S24). 클라이언트(CLm)의 MAC 어드레스가 서버 장치(4)의 접속 허가 등록 완료의 리스트 중에 존재하는지의 여부 판정이 행해지고(스텝 S25), 그 리스트 중에 클라이언트(CLm)가 등록되어 있는 경우에는 클라이언트(CLm)의 접속이 성공했는지의 여부 판정이 행해진다(스텝 S26).
여기서, 스텝 S25에서 리스트 중에 클라이언트(CLm)가 존재하지 않는 경우에는 클라이언트(CLm)는 접속 불허가로 되어(스텝 S27) 스텝 S32로 이행하고, 또한 스텝 S26에서 클라이언트(CLm)의 접속이 실패한 경우에는 마찬가지로, 접속 불허가로 되어(스텝 S28) 스텝 S32로 이행하게 된다.
클라이언트(CLm)의 접속이 성공한 경우에는 보안 레벨 SL의 판정이 행해진다(스텝 S29). SL=0의 경우에는, SL=1로 레벨 천이(遷移)시키는 처리로서 클라이언트(CLm)에 대하여 암호 정보로서 WEP (48) 키가 송부되고(스텝 S30), 클라이언트(CLm)의 접속 절단 후, WEP (48) 설정이 실시된다(스텝 S31).
이들 처리를 모든 클라이언트(CLm)에 실시하기 위하여, 이 WEP (48) 설정 후 , 클라이언트 번호 m이 m=n인지의 여부가 판정된다(스텝 S32). m≠n의 경우에는, 모든 클라이언트(CLm)에 이들의 처리를 실시하지 않았으므로, 현재 실시한 클라이언트 번호 m에 대해서 인크리먼트(=m+1)를 실행하고(스텝 S33), 스텝 S23으로 되돌아와 스텝 S23 내지 S32의 처리를 행한다.
클라이언트 번호 m의 판정(스텝 S32)에서, m=n에 도달한 경우에는 클라이언트(CLn)의 설정, 즉, WEP (48) 설정이 완료된 것이 판명된다. 그래서, 보안 레벨 SL을 인크리먼트(=SL+1)하고(스텝 S34), AP(6)의 보안 설정을 SL(예를 들어, SL=1)의 설정으로 변경하고(스텝 S35), 스텝 S22로 되돌아온다.
클라이언트 번호 m에 대해서, m=1의 선택(스텝 S22), 즉, 클라이언트(CLm) (=CL1)가 접속 불허가의 클라이언트인지의 여부 판정(스텝 S23), 접속 불허가의 경우에는 스텝 S32로 이행하고, 또한 접속 허가의 경우에는 클라이언트(CLm)가 AP(6)로의 접속 시행(스텝 S24), 클라이언트(CLm)의 MAC 어드레스가 서버 장치(4)의 접속 허가 등록 완료의 리스트 중에 존재하는지의 여부 판정(스텝 S25), 그 리스트 중에 클라이언트(CLm)가 등록되어 있는 경우에는 클라이언트(CLm)의 접속이 성공했는지의 여부 판정(스텝 S26)이 행해진다.
클라이언트(CLm)의 접속이 성공한 경우에는 보안 레벨 (SL)의 판정(스텝 S29)을 거친다. SL=1의 경우에는, SL=2로 레벨 천이시키는 처리로서 클라이언트(CLm)에 대하여 암호 정보로서 IEEE802.1X의 설정값(증명서 등)이 송부되고(스텝 S36), 클라이언트(CLm)의 접속 절단 후, IEEE802.1X의 설정이 실시된다(스텝 S37).
이들의 처리를 거쳐, 클라이언트 번호 m의 판정(스텝 S32), 클라이언트 번호 m의 인크리먼트(=m+1)(스텝 S33) 처리 후, 모든 클라이언트(CLm)에 암호 정보로서 IEEE802.1X의 설정이 행해진다.
그리고, m=n에 도달한 경우에는 보안 레벨 SL을 인크리먼트(=SL+1)하고(스텝 S34), AP(6)의 보안 설정을 SL(예를 들어, SL=2)의 설정으로 변경하고(스텝 S35), 스텝 S22로 되돌아온다.
스텝 S22 내지 S29의 처리를 거쳐 SL=2의 경우에는, 클라이언트(CLm)에 대해서 최종 접속 허가에 의한 통상 운용이 가능해지고(스텝 S38), 클라이언트 번호 m의 판정(스텝 S39), 클라이언트 번호 m의 인크리먼트(=m+1)(스텝 S40)를 거쳐 모든 클라이언트(CLm)가 최종 접속 허가에 의한 통상 운용이 가능해짐으로써 모든 처리를 완료한다.
이러한 처리에 의해, 보안 설정의 자동화가 도모되는 동시에 다른 다단의 보안 레벨 SL이 단계적으로 설정되어 최종 레벨에 도달시키므로, 설정 도상(途上)에서의 암호값 그룹이 제삼자에게 도용될 위험성이 낮아진다.
다음에, 보안의 자동 설정 동작에 대해서, 도 7을 참조하여 설명한다. 도 7은 보안의 자동 설정 동작을 나타내는 도면이다. 도 7에서, 도 1과 동일한 부분에는 동일한 부호를 첨부하였다. 도 7에서, 클라이언트(CLm)(단, m=1, 2 …n)는 AP(6)에 접속이 허가되는 n대의 클라이언트(CL1, CL2 …CLn)를 나타내고 있다. 이 자동 설정 동작은 복수 SSID 및 VLAN이 없는 경우로, SSID0는 그것을 나타내고 있다.
이 보안의 자동 설정에서는, 상술한 바와 같이(도 5, 도 6), 맨 처음 접속처 의 모든 클라이언트(CLm)에 대해서 보안 없이(NoWEP) AP(6)의 접속이 허가된다. 관리용 툴(12)을 구비하는 서버 장치(4)에서는 AP(6)에 접속된 클라이언트(CLm)의 ID 정보(MAC 어드레스 등)를 확인하여 접속을 허가하는 클라이언트인지의 여부를 확인한 후, 접속 허가를 부여하는 클라이언트(CLm)에 대하여 암호값 그룹을 송부한다. 이 경우, WEP 키 정보(WEP48)가 클라이언트(CLm)로 송부된다. 송부된 암호값 그룹을 사용하여 AP(6) 및 클라이언트(CLm)에 새로운 보안 설정이 행해지고, 서로 통신이 가능하도록 설정된다. 이 경우, 인증용 키 등, 레벨이 높은 보안 설정 정보를 암호화되지 않은 상태(보안 없음)로 송부하는 것은 위험하므로, 보안이 낮은 상태로부터 보안 레벨을 단계적으로 상승시킨다.
그래서, 보안 설정이 없는(NoWEP) 상태에서 접속 허가가 부여된 클라이언트(CLm)에 대하여, 예를 들어 WEP48[bit]의 WEP 키 정보가 송부된다. WEP 키 정보(WEP48)가 송부된 클라이언트(CLm)에서는, 그 WEP 키 정보로 WEP48[bit]의 보안 설정이 실시되고, 마찬가지로 AP(6) 측도 WEP48[bit]의 보안 설정에 의해 통신할 수 있도록 한다.
이 경우, WEP48[bit]에 의해 통신 가능 상태로 설정된 클라이언트(CLm)에는 즉시 AP(6)로부터 다음 암호값 그룹으로서 예를 들어 WEP64[bit]의 WEP 키 정보가 송부되고, WEP 키 정보(WEP64)가 송부된 클라이언트 CLm는 WEP64[bit]를 이용하여 보안 설정이 실시되며, 마찬가지로 AP(6) 측도 WEP64[bit]의 보안 설정에 의해 통신할 수 있도록 하면 된다.
이와 같이 하여, 단계적으로 보안 레벨을 상승시키고, 그 보안 레벨은 클라 이언트(CLm)가 갖는 최고의 보안 레벨까지 끌어올릴 수 있다. 최종적으로는, 최고 레벨의 보안 레벨로 접속한 클라이언트(CLm)만이 남아 목적으로 하는 통신이 가능해진다. 이 경우, 보안 레벨의 상한은 예를 들어 AP(6)가 갖는 최고 보안 레벨이다.
그래서, 도 7의 (a)에 나타낸 바와 같이, 보안 설정이 없는(NoWEP) 상태에서 접속 허가가 부여된 클라이언트(CLm)로부터 MAC 정보가 AP(6)를 통하여 서버 장치(4)에 통지되고, 클라이언트(CLm)가 서버 장치(4)의 접속 허가 등록 완료 리스트 중의 단말인지의 여부가 확인된다.
접속 허가된 클라이언트(CLm)이면, 도 7의 (b)에 나타낸 바와 같이, 서버 장치(4)로부터 AP(6)를 통하여 클라이언트(CLm)에 WEP 키 정보가 부여된다. 이 WEP 키 정보는 클라이언트(CLm)의 보안 설정 소프트웨어(806)(도 4)로 받아 보안 설정이 WEP48[bit]로 변경된다.
도 7의 (a) 및 (b)의 처리는 모든 클라이언트(CL1, CL2 …CLn)에 대하여 실행되고, WEP 설정으로 통신을 가능하게 하며, 마찬가지로 AP(6)도 WEP 설정이 실행된다.
WEP48[bit]로 접속된 클라이언트(CLm)에 대해서, 도 7의 (c)에 나타낸 바와 같이, 접속된 클라이언트(CLm)로부터 MAC 정보가 AP(6)를 통하여 서버 장치(4)에 수용되어 접속 허가 대상인지의 여부 확인이 다시 행해진다.
이 경우, 접속 허가된 클라이언트(CLm)이면, 도 7의 (d)에 나타낸 바와 같이, 서버 장치(4)로부터 AP(6)를 통하여 클라이언트(CLm)에 대하여 IEEE802.1X용의 설정 정보(증명서 등)가 부여되고, 클라이언트(CLm)에서는 보안 설정 소프트웨어(806)(도 4)로 IEEE802.1X 설정 정보를 받아 보안 설정이 IEEE802.1X로 변경된다.
이들 WEP48[bit]로부터 IEEE802.1X로 보안 레벨을 변경하는 설정 처리는 접속 대상인 모든 클라이언트(CLm)에서 실행되어, 모든 클라이언트(CLm)가 IEEE802.1X 설정으로 통신할 수 있게 하고, AP(6)도 IEEE802.1X 설정으로 변경된다.
또한, 도시는 생략했지만, 접속 허가된 클라이언트(CLm)이면, 서버 장치(4)로부터 AP(6)를 통하여 클라이언트(CLm)에 WEP 키 정보로서 WEP64[bit]가 부여되어 보안 설정이 WEP64[bit]로 변경되고, WEP64[bit]로 접속된 클라이언트(CLm)에 대해서, 접속된 클라이언트(CLm)로부터 MAC 정보를 AP(6)를 통하여 서버 장치(4)에 수용하여 접속 허가 대상인지의 여부 확인을 다시 행하도록 할 수도 있다.
그리고, 도 7의 (e)에 나타낸 바와 같이, 모든 클라이언트(CLm)가 IEEE802.1X 설정에 의한 최종 보안 레벨로 접속이 완료되고, 각 클라이언트(CLm)와 서버 장치(4)가 AP(6)를 통하여 무선 LAN(10)에 의해 정규 통신이 가능해진다.
상술한 보안의 자동 설정에 대해서, 보안 레벨(SL)은 예를 들어 도 8에 나타낸 바와 같이, 단계적으로 상승시킬 수 있다. 보안 레벨의 내용은 임의로, 예 3에 나타낸 바와 같이, 예 1의 SL=2, 3, 예 2의 SL=1, 3을 생략하고, SL=2로 WPA를 설정할 수도 있고, 레벨 수는 임의이다.
이와 같이, 클라이언트(CLm)의 보안을 AP(6) 측으로부터 자동적으로 설정할 수 있고, 또한 다단 보안 레벨(SL)을 경유하여 최종적인 레벨 설정으로 이행시킨다 고 하는 단계적인 처리를 거치므로, 설정 도중에 암호값 그룹이 제삼자에게 도용될 위험성이 낮아져 통신의 안전성이 높아진다.
[제 2 실시예]
본 발명의 제 2 실시예에 대해서, 도 9를 참조하여 설명한다. 도 9는 제 2 실시예에 따른 무선 LAN 장치의 개요를 나타내는 도면이다. 도 9에서, 도 1과 동일한 부분에는 동일한 부호를 첨부하였다.
이 제 2 실시예에 따른 무선 LAN 장치(2)는 1개의 AP(6)를 이용하여 복수SSID(Service Set Identifier)/VLAN(Virtual LAN) 설정이 이루어지고, 각각의 SSID마다 다른 보안 설정이 이루어지는 구성이다. 즉, AP(6)는 1개의 무선 인터페이스, 즉, 베이스밴드 프로세서(620), 송수신부(622) 및 전력 증폭부(624)(도 3)에 복수의 SSID를 설정할 수 있고, 또한 설정된 SSID에 각각의 VLAN 설정을 할 수 있어 다른 보안 설정이 가능하다. SSID는 네트워크 또는 클라이언트(CL1, CL2 …CLn)를 식별하기 위해 첨부하는 식별자(ID)로서, 영수(英數) 문자로 설정되고, AP(6)와 접속처인 클라이언트(CLm)에 동일한 SSID가 설정됨으로써 통신이 가능해진다. 이 경우, AP(6)에는 클라이언트(CL1, CL2 …CLn)에 대응하는 LAN 포토가 구비되고, LAN 포토를 통하여 클라이언트(CL1, CL2 …CLn)로부터 액세스된다. 또한, VLAN은 가상 통신 네트워크로 물리적인 네트워크 구성에 제한되지 않고 임의로 네트워크를 분할하는 기능으로서, 구체적으로는 VLAN 대응의 스위치 등을 이용하여 클라이언트(CLm)를 복수로 논리적으로 분할하는 기능을 구비한다.
그래서, 서버 장치(4)와 AP(6) 사이에 VLAN 스위치(5)가 설치되어 AP(6)에는 복수 SSID/VLAN 설정이 이루어지고, 각각의 SSID마다 다른 보안 설정이 가능하다. VLAN 스위치(5)는 VLAN 대응의 스위칭 허브로서, 클라이언트(CLm)를 복수의 그룹으로 논리적으로 분할하는 기능을 갖고 있다. 그래서, 클라이언트(CLm)와 AP(6)에는 동일한 SSID가 설정된다. 또한, 클라이언트(CLm)에는 상술한 바와 같이, 서버 장치(4)의 관리용 툴(12)의 보안 설정 소프트웨어(120)와 연휴(連携)되는 보안 설정 소프트웨어(806)(도 4)가 저장되어 있다. 이 경우, 서버 장치(4)와 AP(6) 사이에는 VLAN 스위치(5)를 통하여 유선 LAN(8)이 구성되어 있고, VLAN1, VLAN2, VLAN3는 전환에 의해 설정되는 개별의 유선 LAN을 나타내고 있다.
이러한 구성에 의하면, 1개의 AP(6)로 복수 SSID/VLAN 설정을 할 수 있고, 이러한 설정에서는 AP(6)의 통신 운용이 손상되는 일 없이, 각 SSID의 설정마다 보안의 자동 설정이 가능하다.
이 실시예에 따른 무선 LAN 장치(2)(도 9)에서, 서버 장치(4)에는 도 2에 나타내는 서버 장치(4)와 동일 구성의 것을 사용할 수 있고, AP(6)에는 도 3에 나타내는 AP(6)와 동일 구성의 것을 사용할 수 있으며, 또한 클라이언트(CLm)에는 도 4에 나타내는 클라이언트(CLm)와 동일 구성의 것을 사용할 수 있으므로, 이들 구성예의 설명은 생략한다.
다음에, 보안의 자동 설정에 대해서, 도 10을 참조하여 설명한다. 도 10은 보안 자동 설정의 처리 시퀀스를 나타내는 도면이다. 도 10에서, 도 9와 동일한 부분에는 동일한 부호를 첨부하였다.
이 경우, 복수 SSID 및 VLAN이 존재하므로, 이 보안의 자동 설정에서는 서버 장치(4)로부터 AP(6)에 대하여 보안 레벨의 초기 설정으로서, SSID0/VLAN0:SL=0, SSID1/VLANl:SL=1, SSID2/VLAN2:SL=2가 지시되고(스텝 S41), 이 초기 설정에 의거하여 클라이언트(CLm)로부터 그 식별 정보로서 클라이언트 ID 정보(SSID0/VLAN0)가 AP(6)를 통하여 서버 장치(4)에 수용된다(스텝 S42). 이 클라이언트 ID 정보는 클라이언트(CLm)를 나타내는 상술한 MAC 정보 등이다. 서버 장치(4)에서는, 통지된 클라이언트 ID 정보에 의해 클라이언트 ID를 확인하고(스텝 S43), 서버 장치(4)의 리스트에 등록된 클라이언트인지의 여부를 판별한다. 클라이언트 ID를 발한 클라이언트(CLm)가 서버 장치(4)의 등록 클라이언트이면 접속이 허가되고, 그 클라이언트(CLm)에 대하여 AP(6)를 통하여 접속 승인을 부여하는 동시에, 암호 정보(암호값 그룹)인 WEP (48) 키를 송부한다(스텝 S44).
클라이언트(CLm)에서는, 송부된 WEP (48) 키로 보안 설정이 실시된다(스텝 S45). 다음에, 클라이언트(CLm)로부터 그 식별 정보로서 클라이언트 ID 정보(SSID1/VLAN1)가 AP(6)를 통하여 서버 장치(4)에 수용된다(스텝 S46). 서버 장치(4)에서는, 통지된 클라이언트 ID 정보에 의해 다시 클라이언트 ID를 확인하고(스텝 S47), 서버 장치(4)의 리스트에 등록된 클라이언트인지의 여부를 판별한다. 클라이언트 ID를 발한 클라이언트(CLm)가 서버 장치(4)의 등록 클라이언트이면 계속된 접속이 허가되고, 그 클라이언트(CLm)에 대하여 AP(6)를 통하여 접속 승인을 부여하는 동시에, 암호 정보(암호값 그룹)로서 클라이언트(CLm)의 증명서 등을 송부한다(스텝 S48).
클라이언트(CLm)에서는, 서버 장치(4)로부터 송부된 증명서로 보안 설정이 실시되고(스텝 S49), 통상의 IEEE802.1X 인증(SSID2/VLAN2) 처리가 실시된다(스텝 S50).
이러한 클라이언트 인증, 단계적인 보안 설정으로서 SL=0, SL=1, SL=2를 거쳐 보안 설정이 완료되고, 보안 설정을 실시한 클라이언트(CLm)는 통상의 운용(통신)이 가능해진다(스텝 S51). 이 경우, 상술한 스텝 S41 내지 S51의 처리는 모든 클라이언트(CLm)에 대해서 실행하고, 보안 설정의 완료를 거쳐 모든 클라이언트(CLm)의 통상 운용을 가능하게 한다.
이러한 구성에 의하면, 서버 장치(4)로부터 AP(6)를 통하여 모든 클라이언트(CLm)(=CL1, CL2 …CLn)에 대하여 보안 설정을 개별로 또한 동시에 행할 수 있고, 또한 다단 보안 레벨을 거쳐 보안 설정을 하므로 암호값 그룹이 도중에 제삼자에게 도용되는 일이 없어 안전성이 도모된다. 또한, 이 경우, 복수 SSID를 사용하고 있으므로, 그 설정 도중에 AP(6)의 동작을 멈추지 않으므로 다른 클라이언트(CLm)의 통신에 영향을 주지 않고, 클라이언트(CLm)에 대하여 보안의 자동 설정을 행할 수 있다.
다음에, 관리용 툴(12)에서의 보안 설정 소프트웨어(120)의 처리 내용에 대해서, 도 11을 참조하여 설명한다. 도 11은 보안 설정 방법 및 보안 설정 프로그램을 나타내는 플로차트이다.
도 11에 나타내는 플로차트에서, m은 클라이언트 번호, n은 클라이언트 대수로서, 클라이언트(CLm)(CL1, CL2 …CLn)는 임의의 타이밍으로 이 처리를 행할 수 있다. SL은 보안 레벨로서, 예를 들어 SL=0:NoWEP, SL=1:WEP48[bit], SL=2:IEEE802.1X이다.
그래서, 이 보안의 자동 설정에서는 서버 장치(4)로부터 AP(6)에 대하여 보안 레벨의 초기 설정이 지시되고, AP(6)에 보안 레벨을, 예를 들어SSID0/VLAN0=NoWEP(SL=0), SSID1/VLAN1=WEP48[bit](SL=1), SSID2/VLAN2=IEEE802.1X (SL=2)로 설정한다(스텝 S61).
이러한 설정 후, 클라이언트(CLm)는 접속 불허가의 클라이언트인지의 여부 판정이 행해지고(스텝 S62), 접속 불허가의 경우에는 처리를 종료한다. 접속 허가의 경우에는 클라이언트(CLm)가 AP(6)로의 접속을 시도한다(스텝 S63). 클라이언트(CLm)의 SSIDx의 설정값 x가, x=0, x=1 또는 x=2의 어느 것인지의 판정이 행해지고(스텝 S64), x=0:SSID0{SL=0(NoWEP)}의 경우에는, 클라이언트(CLm)의 MAC 어드레스가 서버 장치(4)의 접속 허가 등록 완료 리스트 중의 존재 여부 판정이 행해지고(스텝 S65), 그 리스트 중에 클라이언트(CLm)가 등록되어 있는 경우에는 클라이언트(CLm)의 접속이 성공했는지의 여부 판정이 행해진다(스텝 S66). 스텝 S65에서 리스트 중에 클라이언트(CLm)가 존재하지 않는 경우에는 클라이언트(CLm)는 접속 불허가로 되고, 또한 스텝 S66에서 클라이언트(CLm)의 접속이 실패한 경우에는 마찬가지로 접속 불허가로 되어 처리를 종료한다.
클라이언트(CLm)에 대해서, 접속이 성공한 경우에는, 그 클라이언트(CLm)에 대하여 암호 정보로서 SL=1 정보(SSID1, WEP48비트 키를 포함함)가 송부되고(스텝 S67), 클라이언트(CLm)의 접속 절단 후, SL=1 설정(SSID1 설정, WEP48 설정)이 실시되어(스텝 S68) 스텝 S62로 되돌아온다.
다시, 접속 불허가 판정(스텝 S62), 접속 시행(스텝 S63), SSIDx의 설정값 x의 판정(스텝 S64)이 행해지고, x=1:SSID1{SL=1(WEP48[bit])}의 경우에는, 그 클라이언트(CLm)의 MAC 어드레스가 서버 장치(4)의 접속 허가 등록 완료 리스트 중의 존재 여부 판정이 행해지고(스텝 S69), 그 리스트 중에 클라이언트(CLm)가 등록되어 있는 경우에는 클라이언트(CLm)의 접속이 성공했는지의 여부 판정이 행해진다(스텝 S70). 스텝 S69에서 리스트 중에 클라이언트(CLm)가 존재하지 않는 경우에는 클라이언트(CLm)는 접속 불허가로 되고, 또한 스텝 S70에서 클라이언트(CLm)의 접속이 실패한 경우에는 마찬가지로 접속 불허가로 되어 처리를 종료한다.
클라이언트(CLm)의 접속이 성공한 경우에는, 그 클라이언트(CLm)에 대하여 암호 정보로서 SL=2 정보{SSID2, IEEE802.1X 설정값(증명서 등)을 포함함}가 송부되고(스텝 S71), 클라이언트(CLm)의 접속 절단 후, SL=2 설정(SSID2 설정, IEEE802.1X 설정)이 실시되어(스텝 S72) 스텝 S62로 되돌아온다.
다시, 접속 불허가 판정(스텝 S62), 접속 시행(스텝 S63), SSIDx의 설정값 x의 판정(스텝 S64)이 행해지고, x=2:SSID2{SL=2(IEEE802.1x)}의 경우에는, 그 클라이언트(CLm)의 MAC 어드레스가 서버 장치(4)의 접속 허가 등록 완료 리스트 중의 존재 여부 판정이 행해지며(스텝 S73), 그 리스트 중에 클라이언트(CLm)가 등록되어 있는 경우에는 클라이언트(CLm)의 접속이 성공했는지의 여부 판정이 행해진다(스텝 S74). 스텝 S73에서 리스트 중에 클라이언트(CLm)가 존재하지 않는 경우에는 클라이언트(CLm)는 접속 불허가로 되고, 또한 스텝 S74에서 클라이언트(CLm)의 접속이 실패한 경우에는 마찬가지로 접속 불허가로 되어 처리를 종료한다.
그리고, 클라이언트(CLm)의 접속이 성공한 경우에는 클라이언트(CLm)가 최종 접속 허가에 의한 통상 운용이 가능해짐으로써 모든 처리를 완료한다.
다음에, 보안의 자동 설정 동작에 대해서, 도 12를 참조하여 설명한다. 도 12는 보안의 자동 설정 동작을 나타내는 도면이다. 도 12에서, 도 1과 동일한 부분에는 동일한 부호를 첨부하였다. 도 12에서, 클라이언트(CLm)(단, m=1, 2 …n)는 AP(6)에 접속이 허가되는 n대의 클라이언트(CL1, CL2 …CLn)를 나타내고 있다. 이 자동 설정 동작은 복수 SSID 및 VLAN이 있는 경우로서, SSID0, SSID1, SSID2는 그것을 나타내고 있다.
AP(6)는 1개의 무선(RF) 인터페이스에 복수의 SSID를 설정할 수 있고, 또한 각각 다른 VLAN 설정을 행할 수 있으며, 다른 보안 설정을 할 수 있는 것으로서, SSID0에는 VLAN0, SSID1에는 VLAN1, SSID2에는 VLAN2, (SSIDx에는 VLANx)가 설정되는 것으로 한다.
SSID0는 모든 클라이언트(CLm)에 대하여 보안 없이(NoWEP) AP(6)의 접속을 허가하는 설정으로 하고, SSIDx(x≠0)는 임의의 보안 설정으로 한다.
맨 처음, AP(6)의 SSID0에 클라이언트(CLm)가 접속된다. 서버 장치(4)의 관리용 툴(12)의 보안 설정 소프트웨어(120)에서는, 접속된 클라이언트(CLm)의 ID 번호(MAC 어드레스)가 확인되어 접속을 허가하는 클라이언트(CLm)에 대하여 암호값 그룹이 송부된다.
그 암호값 그룹이 사용된 AP(6)에 SSIDx를 준비하고, 클라이언트(CLm)는 송부된 암호값 그룹을 사용하여 보안 설정이 행해지고, SSIDx로의 재접속이 행해져 서로 통신을 할 수 있도록 한다. 이 경우, 인증용 키 등, 레벨이 높은 보안 설정 정보를 암호화되지 않은 상태(보안 없음)로 송부하는 것은 위험하므로, 보안이 낮은 상태로부터 단계적으로 보안 레벨을 상승시킨다.
그래서, 보안이 없는(NoWEP) 상태에서 접속 허가된 클라이언트(CLm)에 대하여 WEP48[bit]의 WEP 키 정보가 송부된다.
클라이언트(CLm)는 수취한 WEP 키로 WEP48[bit]의 보안을 설정한다. AP(6) 측에는 이미 동일한 WEP48[bit]로 설정된 SSIDy가 준비되어 있고, 그 클라이언트(CLm)는 AP(6)의 SSIDy로 재접속하여 통신을 할 수 있도록 한다.
이 경우, 통신이 확립된 후, 즉시, AP(6)로부터 예를 들어 WEP64[bit]의 WEP 키 정보가 그 클라이언트(CLm)로 송부되고, 클라이언트(CLm)는 수취한 WEP 키로 WEP64[bit]의 보안 설정을 행하고, AP(6) 측에도 이미 동일한 WEP64[bit]로 설정된 SSIDz가 준비되고, 그 클라이언트(CLm)는 AP(6)의 SSIDz로 재접속하여 통신을 할 수 있도록 하면 된다.
이와 같이 하여, 단계적으로 보안 레벨을 상승시키고, 그 보안 레벨은 클라이언트(CLm)가 갖는 최고의 보안 레벨까지 끌어올릴 수 있다. 최종적으로는, 최고 레벨의 보안 레벨로 접속한 클라이언트(CLm)만이 남아 목적으로 하는 통신이 가능해진다. 이 경우, 보안 레벨의 상한은 예를 들어 AP(6)가 갖는 최고 보안 레벨이다.
그래서, 도 12의 (a)에 나타낸 바와 같이, AP(6)의 SSID0에 보안 설정이 없는(NoWEP) 상태에서 접속 허가를 부여하고, 접속 허가가 부여된 클라이언트(CLm)로 부터 MAC 정보가 AP(6)를 통하여 서버 장치(4)에 통지되고, 클라이언트(CLm)가 서버 장치(4)의 접속 허가 등록 완료 리스트 중의 단말, 즉, 접속처인지의 여부가 확인된다.
접속 허가된 클라이언트(CLm)이면, 도 12의 (b)에 나타낸 바와 같이, 서버 장치(4)로부터 AP(6)를 통하여 클라이언트(CLm)에 WEP 키 정보가 부여된다. 클라이언트(CLm)에서는, 보안 설정 소프트웨어(806)(도 4)로 WEP 키 정보를 받아 보안 설정이 WEP48[bit]로 변경된다.
AP(6)의 SSID1에 클라이언트(CLm)가 접속되고, WEP48[bit]로 접속된 클라이언트(CLm)에 대해서, 도 12의 (c)에 나타낸 바와 같이, 접속된 클라이언트(CLm)로부터 MAC 정보가 AP(6)를 통하여 서버 장치(4)에 수용되어 접속 허가의 대상인지의 여부 확인이 다시 행해진다.
이 경우, 접속 허가된 클라이언트(CLm)이면, 도 12의 (d)에 나타낸 바와 같이, 서버 장치(4)로부터 AP(6)를 통하여 클라이언트(CLm)에 대하여 IEEE802.1X용의 설정 정보(증명서 등)가 부여되고, 클라이언트(CLm)에서는 보안 설정 소프트웨어(806)(도 4)로 IEEE802.1X 설정 정보를 받아 보안 설정이 IEEE802.1X로 변경된다.
이들 WEP48[bit]로부터 IEEE802.1X로 보안 레벨을 변경하는 설정 처리는 접속 대상인 모든 클라이언트(CLm)에서 개별로 실행되어, 모든 클라이언트(CLm)가 IEEE802.1X 설정으로 통신할 수 있도록 하고, AP(6)도 IEEE802.1X 설정으로 변경한다.
또한, 도시는 생략했지만, 접속 허가된 클라이언트(CLm)이면, 서버 장치(4) 로부터 AP(6)를 통하여 클라이언트(CLm)에 WEP 키 정보로서 WEP64[bit]가 부여되어 보안 설정이 WEP64[bit]로 변경되고, WEP64[bit]로 접속된 클라이언트(CLm)에 대해서, 접속된 클라이언트(CLm)로부터 MAC 정보가 AP(6)를 통하여 서버 장치(4)에 수용되어 접속 허가 대상인지의 여부 확인이 다시 행해지는 구성으로 할 수도 있다.
그리고, 도 12의 (e)에 나타낸 바와 같이, AP(6)의 SSID2에 클라이언트(CLm)가 재접속되고, 모든 클라이언트(CLm)가 IEEE802.1X 설정에 의한 최종 보안 레벨로 접속이 완료되고, 각 클라이언트(CLm)와 서버 장치(4)가 AP(6)를 통하여 무선 LAN(10)에 의해 정규 통신이 가능해진다.
상술한 보안의 자동 설정에 대해서 보안 레벨(SL)은 예를 들어 도 13에 나타내는 바와 같다. 이러한 설정 처리를 n개의 클라이언트(CL1, CL2 …CLn)에 대해서 반복하고, 보안 설정을 완료한다.
이와 같이, 복수 SSID를 사용한 경우에는 설정 도중에 AP(6)의 동작을 멈추는 일이 없으므로, 다른 클라이언트(CLm)의 통신에 영향을 주지 않고 클라이언트(CLm) 보안의 자동 설정을 행할 수 있다. 또한, 상술한 바와 같이 수동 설정을 필요로 하지 않고, AP(6) 측으로부터 클라이언트(CLm)의 보안 설정을 자동적으로 행할 수 있으며, 또한 다단 보안 레벨을 거쳐 최종 레벨 설정으로 이행시키므로, 설정 도중의 암호값 그룹을 제삼자에게 도용될 위험성을 저감할 수 있어 통신의 안전성이 높아진다.
또한, 보안 레벨을 단계적으로 높여 갈 뿐만 아니라, 높게 설정된 보안 레벨을 단계적으로 낮은 레벨로 변경하는 것도 가능하다. 시스템상, 증명서가 불필 요해진 경우 등에 이러한 대응이 효과적이다.
이상 설명한 실시예에 대해서 변형예 등을 열거하면, 다음과 같다.
(1) 상기 실시예에서는, 서버 장치(4)와 독립하여 AP(6)를 설치하는 형태를 설명했지만, 본 발명은 서버 장치(4)와 AP(6)를 일체화 구성으로 할 수도 있고, 또한 AP(6)가 존재하지 않는 무선 LAN에도 적용할 수 있다.
(2) AP(6)는 컴퓨터를 구비한 구성으로 할 수도 있고, 또한 스위치로 구성되는 중계기(中繼器)로 구성할 수도 있다.
다음에, 이상 설명한 본 발명의 각 실시예로부터 추출되는 기술적 사상을 청구항의 기재 형식에 준하여 부기로서 열거한다. 본 발명에 따른 기술적 사상은 상위 개념으로부터 하위 개념까지 다양한 레벨이나 베리에이션에 의해 파악할 수 있는 것으로서, 이하의 부기에 본 발명이 한정되는 것은 아니다.
(부기 1)
1 또는 복수의 접속처에 대한 무선 통신 네트워크의 보안 설정 방법으로서, 1 또는 복수의 상기 접속처에 대하여 부여되어 있는 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보가 부여되고, 단계적으로 다른 암호 정보가 부여되는 처리를 포함하는 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
(부기 2)
부기 1에 기재된 무선 통신 네트워크의 보안 설정 방법에 있어서, 암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보가 부여되는 처리를 포함하는 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
(부기 3)
부기 1에 기재된 무선 통신 네트워크의 보안 설정 방법에 있어서, 상기 접속처에 대하여 식별 정보를 부여하여 그 식별 정보마다 가상 통신 네트워크를 구성시키고, 상기 식별 정보가 부여된 상기 접속처마다 상기 암호 정보가 부여되는 처리를 포함하는 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
(부기 4)
부기 1에 기재된 무선 통신 네트워크의 보안 설정 방법에 있어서, 암호 정보가 부여된 접속처로부터 식별 정보를 취득하고, 접속 대상인 접속처를 판별하는 처리를 포함하는 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
(부기 5)
부기 1에 기재된 무선 통신 네트워크의 보안 설정 방법에 있어서, 상기 단계적으로 다른 암호 정보는 보안 레벨이 단계적으로 높은 암호 정보인 것을 특징으로 하는 무선 통신 네트워크의 보안 설정 방법.
(부기 6)
1 또는 복수의 접속처와 무선 통신 네트워크를 구성하는 컴퓨터에 실행시키는 보안 설정 프로그램으로서, 1 또는 복수의 상기 접속처에 대하여 부여되어 있는 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보가 부여되고, 단계적으로 다른 암호 정보가 부여되는 스텝을 포함하는 것을 특징으로 하는 보안 설정 프로그램.
(부기 7)
부기 6에 기재된 보안 설정 프로그램에 있어서, 암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보가 부여되는 스텝을 포함하는 것을 특징으로 하는 보안 설정 프로그램.
(부기 8)
부기 6에 기재된 보안 설정 프로그램에 있어서, 상기 접속처에 대하여 식별 정보를 부여하여 그 식별 정보마다 가상 통신 네트워크를 구성시키고, 상기 식별 정보가 부여된 상기 접속처마다 상기 암호 정보가 부여되는 스텝을 포함하는 것을 특징으로 하는 보안 설정 프로그램.
(부기 9)
1 또는 복수의 접속처에 접속되는 무선 통신 장치를 구비하는 무선 통신 네트워크 시스템으로서, 상기 무선 통신 장치가 접속처에 부여한 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보를 부여함으로써, 단계적으로 다른 암호 정보를 접속처에 부여하는 구성인 것을 특징으로 하는 무선 통신 네트워크 시스템.
(부기 10)
부기 9에 기재된 무선 통신 네트워크 시스템에 있어서, 상기 무선 통신 장치가 암호 정보가 부여되어 있지 않은 1 또는 복수의 상기 접속처와의 접속이 허가되고, 그 접속처가 접속 대상일 경우에는 암호 정보를 상기 접속처에 부여하는 구성인 것을 특징으로 하는 무선 통신 네트워크 시스템.
(부기 11)
부기 9에 기재된 무선 통신 네트워크 시스템에 있어서, 상기 무선 통신 장치가 1 또는 복수의 접속처와 무선 통신을 행하는 무선 통신부를 구비하고, 암호 정보를 부여하지 않은 1 또는 복수의 상기 접속처와의 접속을 허가하고, 그 접속처가 접속 대상일 경우에는 암호 정보를 부여하는 구성인 것을 특징으로 하는 무선 통신 네트워크 시스템.
(부기 12)
부기 9에 기재된 무선 통신 네트워크 시스템에 있어서, 상기 무선 통신 장치가 상기 접속처에 대하여 식별 정보를 부여하여 그 식별 정보마다 가상 통신 네트워크를 구성시키고, 상기 식별 정보가 부여된 상기 접속처마다 상기 암호 정보를 부여하는 구성인 것을 특징으로 하는 무선 통신 네트워크 시스템.
(부기 13)
부기 9에 기재된 무선 통신 네트워크 시스템에 있어서, 1 또는 복수의 접속처와 무선 통신을 행하는 액세스 포인트 장치를 구비하는 것을 특징으로 하는 무선 통신 네트워크 시스템.
(부기 14)
1 또는 복수의 접속처에 접속되는 서버 장치를 구비하는 무선 통신 네트워크 시스템으로서, 1 또는 복수의 상기 접속처와 무선 통신을 행하는 액세스 포인트 장치와, 이 액세스 포인트 장치와 상기 서버 장치 사이에 설치되어 상기 서버 장치와 상기 접속처 사이에 가상 통신 네트워크를 형성시키는 스위치를 구비하는 구성으로 한 것을 특징으로 하는 무선 통신 네트워크 시스템.
(부기 15)
서버 장치 또는 액세스 포인트 장치와 무선 통신 네트워크에 의해 접속되는 클라이언트 장치로서, 상기 서버 장치 또는 상기 액세스 포인트 장치로부터 부여된 암호 정보를 이용하여 현재의 암호 정보와는 다른 암호 정보를 받고, 단계적으로 다른 암호 정보가 부여되는 구성인 것을 특징으로 하는 클라이언트 장치.
(부기 16)
부기 15에 기재된 클라이언트 장치에 있어서, 상기 서버 장치 또는 상기 액세스 포인트 장치와 무선 통신을 행하는 무선 통신부를 구비하고, 상기 서버 장치 또는 상기 액세스 포인트 장치와의 접속이 허가되고, 상기 서버 장치 측 또는 상기 액세스 포인트 장치 측에서 접속 대상이라고 판별된 경우에는 암호 정보가 부여되는 구성인 것을 특징으로 하는 클라이언트 장치.
(부기 17)
부기 15에 기재된 클라이언트 장치에 있어서, 상기 서버 장치 또는 상기 액세스 포인트 장치로부터 식별 정보가 부여되고, 그 식별 정보마다 상기 서버 장치 또는 상기 액세스 포인트 장치와 가상 통신 네트워크를 구성하여 상기 암호 정보가 부여되는 구성인 것을 특징으로 하는 클라이언트 장치.
이상 설명한 바와 같이, 본 발명의 가장 바람직한 실시예 등에 대해서 설명했지만, 본 발명은 상기 기재에 한정되는 것은 아니고, 특허청구범위에 기재되고, 또는 명세서에 개시된 발명의 요지에 의거하여, 당업자에게 있어서 다양한 변형이 나 변경이 가능한 것은 물론이고, 이러한 변형이나 변경이 본 발명의 범위에 포함되는 것은 말할 필요도 없다.
본 발명은 무선 통신 네트워크의 접속처와의 보안 설정의 자동화를 실현하고 있고, 무선 통신 네트워크와 접속되는 접속처의 보안 레벨을 단계적으로 변경하여 설정하므로 제삼자의 도용을 방지할 수 있고, 또한 특정 접속처에 대한 보안 설정을 다른 접속처의 동작에 영향을 주지 않고 가능하게 하고 있어 유용하다.