WO2015186192A1 - Communication apparatus, communication system and communication method - Google Patents

Communication apparatus, communication system and communication method Download PDF

Info

Publication number
WO2015186192A1
WO2015186192A1 PCT/JP2014/064750 JP2014064750W WO2015186192A1 WO 2015186192 A1 WO2015186192 A1 WO 2015186192A1 JP 2014064750 W JP2014064750 W JP 2014064750W WO 2015186192 A1 WO2015186192 A1 WO 2015186192A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
connection
public key
wps
communication
Prior art date
Application number
PCT/JP2014/064750
Other languages
French (fr)
Japanese (ja)
Inventor
内田 繁
Original Assignee
三菱電機株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 三菱電機株式会社 filed Critical 三菱電機株式会社
Priority to PCT/JP2014/064750 priority Critical patent/WO2015186192A1/en
Publication of WO2015186192A1 publication Critical patent/WO2015186192A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

A radio access point apparatus (10) comprises: a public key list registration unit (101) that holds the public keys of terminal apparatuses permitted to connect; and a WPS frame processing unit (102). In processing of connection with a radio client terminal during a WPS PBC activation, if a public key stored in a radio frame received from the radio client terminal matches a public key held in the public key list registration unit (101), the WPS frame processing unit (102), upon reception of a connection request from another radio client terminal different from the aforementioned radio client terminal, activates no session overlap processing and reactivates the WPS PBC after termination of processing of connection with the aforementioned radio client terminal.

Description

通信装置、通信システムおよび通信方法COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD
 本発明は、通信装置、通信システムおよび通信方法に関する。 The present invention relates to a communication device, a communication system, and a communication method.
 近年、無線LAN(Local Area Network)を用いた無線通信技術の開発が進んでいる。無線LAN通信では、情報セキュリティ面の考慮から、無線LAN端末(STA:Station)とAP(Access Point)との間で通信するデータを暗号化し、秘匿する事が強く推奨されている。その中でも、Wi-Fi(登録商標) AllianceではWPA(Wi-Fi Protected Access)規格に基づいた接続により、無線LAN端末とAPとの間で暗号鍵を共有させる方式を推奨している。 In recent years, development of wireless communication technology using a wireless local area network (LAN) has been progressing. In wireless LAN communication, from the viewpoint of information security, it is strongly recommended that data communicated between a wireless LAN terminal (STA: Station) and an AP (Access Point) be encrypted and concealed. Among them, Wi-Fi (Registered Trademark) Alliance recommends a method of sharing an encryption key between a wireless LAN terminal and an AP through a connection based on the WPA (Wi-Fi Protected Access) standard.
 従来、無線LAN端末とAPとの間で接続を行う際には、SSID(Service Set Identifier)、暗号種別、及び暗号鍵を生成するためのパスワードなどを無線LAN端末側に設定する必要があった。しかし、近年では、無線LANの接続設定とセキュリティの設定を簡単に実行するための各種方式が無線LAN機器開発ベンダにより提供されている。特に、Wi-Fi Allianceにて規格化されているWPS(Wi-Fi Protected Setup)規格(非特許文献1参照)には、様々な機器が対応している状況である。 Conventionally, when a connection is made between a wireless LAN terminal and an AP, it has been necessary to set an SSID (Service Set Identifier), an encryption type, a password for generating an encryption key, etc. on the wireless LAN terminal side. . However, in recent years, various methods for easily executing wireless LAN connection settings and security settings have been provided by wireless LAN device development vendors. In particular, various devices are compatible with the WPS (Wi-Fi Protected Setup) standard (see Non-Patent Document 1) standardized by Wi-Fi Alliance.
 また、従来は、家庭内において、無線LAN通信機能が搭載された機器は、パーソナルコンピュータ、スマートフォン、タブレットなどが中心であったが、家電やセンサ機器にも無線LAN通信機能が搭載されるなど、その適用先が広がっている。特にセンサ機器などの場合は、GUI(Graphical User Interface)を用意していないことが多く、この場合、プッシュボタンを用いて接続やセキュリティ設定が行われる。WPS規格においては、PBC(Push Button Configuration)と呼ばれる方式が提供されている。この方式は、センサ機器などの接続やセキュリティ設定に非常に適した方式と考えられる。 Conventionally, in homes, devices equipped with wireless LAN communication functions have been mainly personal computers, smartphones, tablets, etc., but home appliances and sensor devices are also equipped with wireless LAN communication functions. The application is expanding. Especially in the case of sensor devices, GUI (Graphical User Interface) is often not prepared, and in this case, connection and security settings are performed using a push button. In the WPS standard, a method called PBC (Push Button Configuration) is provided. This method is considered to be very suitable for connection of sensor devices and security settings.
 なお、非特許文献1に開示されたWPS PBCでは、プッシュボタンを押した後は、いかなる端末も接続可能な状況になってしまうため、この状況を可能な限り回避すべく、セッションオーバラップと呼ばれる仕様が規定されている。このセッションオーバラップは、複数の無線LAN端末が同じタイミングでWPS PBCを起動すると、AP側にてエラーとして検出するものであり、不正な端末からのアクセスを拒否することが可能である。 In addition, in the WPS PBC disclosed in Non-Patent Document 1, any terminal can be connected after the push button is pressed. This is called session overlap in order to avoid this situation as much as possible. Specifications are defined. This session overlap is detected as an error on the AP side when a plurality of wireless LAN terminals start WPS PBC at the same timing, and access from an unauthorized terminal can be rejected.
 しかしながら、センサ機器を宅内に設置する場合など、多数の無線LAN端末の接続およびセキュリティ設定を連続して行うような場合、意図せずセッションオーバラップを起こしてしまうことがある。この場合、無線LAN端末は、一定時間待ってから再度WPS PBCを実行しなければならないため、機器設置運用上の制約となる、という問題点があった。 However, when connecting many wireless LAN terminals and setting security continuously, such as when installing sensor devices in a home, session overlap may occur unintentionally. In this case, the wireless LAN terminal has to wait for a certain period of time and then execute the WPS PBC again, which causes a problem in equipment installation and operation.
 本発明は上記のような問題点を解決するためになされたもので、複数の無線LAN端末から同タイミングでWPS PBCのシーケンスが動作した場合においても、エラー発生させること無く、連続して接続動作を実施することが可能で、かつセキュリティレベルを保つことができる通信装置、通信システムおよび通信方法を提供することを目的とする。 The present invention has been made to solve the above-described problems. Even when a WPS PBC sequence is operated from a plurality of wireless LAN terminals at the same timing, a continuous connection operation is performed without causing an error. It is an object of the present invention to provide a communication device, a communication system, and a communication method capable of implementing the above-mentioned and maintaining a security level.
 上述した課題を解決し、目的を達成するために、本発明は、接続要求を受け付ける状態において、接続要求を受け付けると公開鍵を用いて端末装置との間の接続処理を行う通信装置であって、あらかじめ登録された接続を許可する端末装置の公開鍵を保持する公開鍵記憶部と、第1の端末装置との間の接続処理において、前記第1の端末装置から受信した無線フレーム内に格納された公開鍵と、前記公開鍵記憶部に保持されている前記公開鍵とが一致した場合、前記第1の端末装置との間の接続処理の実施中に前記第1の端末装置以外の端末装置である第2の端末装置から接続要求を受信すると、前記第1の端末装置との間の接続処理を継続し、前記第1の端末装置との間の接続処理の終了後に、接続要求を受け付ける状態へ再度移行する接続処理部と、を備えることを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention provides a communication device that performs connection processing with a terminal device using a public key when a connection request is received in a state in which the connection request is received. , Stored in a radio frame received from the first terminal device in a connection process between a public key storage unit that holds a public key of a terminal device that permits a pre-registered connection and the first terminal device A terminal other than the first terminal device during the connection process with the first terminal device when the public key stored and the public key held in the public key storage unit match When the connection request is received from the second terminal device which is a device, the connection process with the first terminal device is continued, and after the connection process with the first terminal device is completed, the connection request is issued. Re-enter to accept state Characterized in that it comprises a connection processing unit.
 本発明にかかる通信装置、通信システムおよび通信方法は、複数の無線LAN端末から同タイミングでWPS PBCのシーケンスが動作した場合においても、エラー発生させること無く、連続して接続動作を実施することが可能で、かつセキュリティレベルを保つことができるという効果を奏する。 The communication device, the communication system, and the communication method according to the present invention can continuously perform a connection operation without causing an error even when a WPS PBC sequence is operated from a plurality of wireless LAN terminals at the same timing. There is an effect that the security level can be maintained.
図1は、実施の形態1の無線通信システムの構成例を示すブロック図である。FIG. 1 is a block diagram illustrating a configuration example of a wireless communication system according to the first embodiment. 図2は、実施の形態1のアクセスポイント装置の構成例を示すブロック図である。FIG. 2 is a block diagram illustrating a configuration example of the access point apparatus according to the first embodiment. 図3は、実施の形態1のWPS PBCによる接続およびセキュリティ設定シーケンスの一例を示す図である。FIG. 3 is a diagram illustrating an example of a connection and security setting sequence by the WPS PBC according to the first embodiment. 図4は、WPS PBCの特殊モードの処理手順を示すチャート図である。FIG. 4 is a chart showing the processing procedure of the special mode of WPS PBC. 図5は、なりすましが存在する場合のシーケンスの一例を示すチャート図である。FIG. 5 is a chart showing an example of a sequence in the case where impersonation exists. 図6は、実施の形態2の動作の一例を示すチャート図である。FIG. 6 is a chart showing an example of the operation of the second embodiment.
 以下に、本発明にかかる通信装置、通信システムおよび通信方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。 Hereinafter, embodiments of a communication device, a communication system, and a communication method according to the present invention will be described in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.
実施の形態1.
 図1は、本発明にかかる実施の形態1の無線通信システム(通信システム)1の構成例を示す図である。図1に示すように、本実施の形態の無線通信システム1は、無線アクセスポイント装置10と無線クライアント端末20-1,20-2とを備える。無線アクセスポイント装置10は、例えば家庭内に設置されるが、設置位置に限定はない。無線アクセスポイント装置10は、無線クライアント端末(端末装置)20-1,20-2とそれぞれ無線通信を行い、これにより無線LANが構築されている。図1では、無線クライアント端末の台数を2台としているが無線クライアント端末の数は、図1の例に限定されるものではない。また、本実施の形態では、本発明にかかる通信装置として、無線アクセスポイント装置10を例に説明する。
Embodiment 1 FIG.
FIG. 1 is a diagram illustrating a configuration example of a radio communication system (communication system) 1 according to a first embodiment of the present invention. As shown in FIG. 1, the wireless communication system 1 of the present embodiment includes a wireless access point device 10 and wireless client terminals 20-1 and 20-2. The wireless access point device 10 is installed in a home, for example, but the installation position is not limited. The wireless access point device 10 performs wireless communication with the wireless client terminals (terminal devices) 20-1 and 20-2, thereby establishing a wireless LAN. Although the number of wireless client terminals is two in FIG. 1, the number of wireless client terminals is not limited to the example of FIG. In the present embodiment, a wireless access point device 10 will be described as an example of a communication device according to the present invention.
 無線通信システム1は、IEEE(Institute of Electrical and Electronic Engineers) 802.11規格のインフラストラクチャモードに対応するように構成されている。図1の例では、無線アクセスポイント装置10は、回線終端装置30を介して通信回線40に接続されている。無線クライアント端末20-1,20-2は、無線アクセスポイント装置10、回線終端装置30および通信回線40を介して、インターネット等に接続可能である。なお、無線アクセスポイント装置10は、例えば、回線終端装置30と一体化されていてもよく、また、ホームゲートウェイ装置相当の機能を有していてもよい。 The wireless communication system 1 is configured to support the infrastructure mode of IEEE (Institute of Electrical and Electronic Engineers) 802.11 standard. In the example of FIG. 1, the wireless access point device 10 is connected to the communication line 40 via the line termination device 30. The wireless client terminals 20-1 and 20-2 can be connected to the Internet or the like via the wireless access point device 10, the line termination device 30, and the communication line 40. Note that the wireless access point device 10 may be integrated with, for example, the line termination device 30 or may have a function equivalent to a home gateway device.
 なお、以降、本実施の形態では、無線アクセスポイント装置10をアクセスポイント装置10と略し、無線クライアント端末20,20-2をクライアント端末20-1,20-2または端末20-1,20-2と略す場合もある。 Hereinafter, in the present embodiment, the wireless access point device 10 is abbreviated as the access point device 10, and the wireless client terminals 20, 20-2 are replaced with the client terminals 20-1, 20-2 or the terminals 20-1, 20-2. Sometimes abbreviated.
 <無線アクセスポイント装置10>
 図2は、本実施の形態のアクセスポイント装置10の構成例を示すブロック図である。図2では、本発明に関わる機能に限定した構成要素を例示している。以降の説明において、本発明に関わる構成要素以外のアクセスポイント装置10の構成については、特に制約はないため説明を省略する。図2に示すように、アクセスポイント装置10は、MAC(Media Access Control)層処理部100と、物理層処理部110と、アンテナ130と、GUI(Graphical User Interface)提供部120と、H/W(Hardware)ボタン121とを備える。なお、これらのMAC層処理部100,物理層処理部110による各種処理および各種機能は、プロセッサが所定のプログラムを実行することによってソフトウェア的に実現されてもよいし、あるいは、これら各種処理および各種機能を実現するように構成された回路や装置によってハードウェア的に実現されてもよい。あるいは、ソフトウェアとハードウェアの組み合わせによって実現されてもよい。
<Wireless access point device 10>
FIG. 2 is a block diagram illustrating a configuration example of the access point device 10 according to the present embodiment. In FIG. 2, the component limited to the function in connection with this invention is illustrated. In the following description, the configuration of the access point apparatus 10 other than the components related to the present invention is not particularly limited, and thus the description thereof is omitted. As illustrated in FIG. 2, the access point device 10 includes a MAC (Media Access Control) layer processing unit 100, a physical layer processing unit 110, an antenna 130, a GUI (Graphical User Interface) providing unit 120, and an H / W. (Hardware) button 121. The various processes and various functions performed by the MAC layer processing unit 100 and the physical layer processing unit 110 may be realized by software by a processor executing a predetermined program, or these various processes and various functions may be performed. It may be realized in hardware by a circuit or device configured to realize the function. Alternatively, it may be realized by a combination of software and hardware.
 MAC層処理部100は、公開鍵リスト登録部(公開鍵記憶部)101と、WPSフレーム処理部(接続処理部)102と、セッションオーバラップ処理部103と、マネージメントフレーム処理部104とを備える。物理層処理部110は、送信処理部111および受信処理部112を備える。 The MAC layer processing unit 100 includes a public key list registration unit (public key storage unit) 101, a WPS frame processing unit (connection processing unit) 102, a session overlap processing unit 103, and a management frame processing unit 104. The physical layer processing unit 110 includes a transmission processing unit 111 and a reception processing unit 112.
 <MAC層処理部100>
 MAC層処理部100が実施する処理について詳細に説明する。まず、公開鍵リスト登録部101は、接続およびセキュリティ設定を連続して行う対象となる無線クライアント端末20-1,20-2の公開鍵を、GUI提供部120を通して、事前に登録しておく。公開鍵リスト登録部101は、公開鍵を保持する。本実施の形態ではGUIにより登録される例を示したが、登録方法はGUIに限定されず、コマンドラインで登録される等、他の方法で登録されてもよい。
<MAC layer processing unit 100>
Processing performed by the MAC layer processing unit 100 will be described in detail. First, the public key list registration unit 101 registers in advance the public keys of the wireless client terminals 20-1 and 20-2 that are targets for continuous connection and security setting through the GUI providing unit 120. The public key list registration unit 101 holds a public key. In this embodiment, an example in which registration is performed using a GUI has been described. However, the registration method is not limited to GUI, and registration may be performed by another method such as registration using a command line.
 マネージメントフレーム処理部104は、物理層処理部110内の送信処理部111、アンテナ130を介して、IEEE 802.11規格で規定されるマネージメントフレームを送信する。また、マネージメントフレーム処理部104は、アンテナ130、物理層処理部110内の受信処理部112を介して、無線クライアント端末20-1,20-2から受信するマネージメントフレームの受信処理を行う。マネージメントフレーム処理部104は、無線クライアント端末20-1,20-2からWPS PBC実行中を示すIE(Information Element)が付与されたProbe Requestを受信すると、Probe Requestの送信元の無線クライアント端末を識別するID(IDentifier)(MACアドレス等)、UUID-E(Universally Unique Identifier-Enrollee)等と共にセッションオーバラップ処理部103へWPS PBC実行中である旨の通知を行う。 The management frame processing unit 104 transmits a management frame defined by the IEEE 802.11 standard via the transmission processing unit 111 and the antenna 130 in the physical layer processing unit 110. Further, the management frame processing unit 104 performs reception processing of management frames received from the wireless client terminals 20-1 and 20-2 via the antenna 130 and the reception processing unit 112 in the physical layer processing unit 110. When the management frame processing unit 104 receives a Probe Request to which an IE (Information Element) indicating that WPS PBC is being executed is received from the wireless client terminals 20-1 and 20-2, the management frame processing unit 104 identifies the wireless client terminal that is the source of the Probe Request. Together with an ID (IDentifier) (MAC address, etc.), UUID-E (Universally Unique Identifier-Enrollee), etc., to notify the session overlap processing unit 103 that WPS PBC is being executed.
 WPSフレーム処理部102は、GUI提供部120に用意されたソフトウェアボタン、または、無線アクセスポイント装置10に設置されたH/Wボタン121が押下されたことを示す信号を検出することにより、WPS PBC起動を検知する。WPSフレーム処理部102は、無線クライアント端末20-1,20-2との間で、マネージメントフレーム処理部104と同様、物理層処理部110およびアンテナ130を介して、WPS規格に従ったシーケンスにより、WPS PBCによる接続およびセキュリティ設定を行う。本実施の形態の無線アクセスポイント装置10は、WPS PBC起動中(第1の状態)では、無線クライアント端末20-1,20-2からの接続処理を実施可能であり、WPS PBC起動中でない状態(第2の状態)では、無線クライアント端末20-1,20-2からの接続処理を実施しない。WPS PBCを起動している期間、すなわち接続処理を受け付ける期間は、Walk Time(設定時間)とよばれ、あらかじめ無線アクセスポイント装置10に設定されている。通常の場合、WPS PBCを起動してからWalk Timeの間は、無線クライアント端末20-1,20-2からの接続処理を受け付ける第1の状態となり、WPS PBCを起動してからWalk Timeが経過すると接続処理を受け付けない第2の状態へ遷移する。 The WPS frame processing unit 102 detects a signal indicating that the software button prepared in the GUI providing unit 120 or the H / W button 121 installed in the wireless access point device 10 has been pressed, and thereby the WPS PBC. Detect startup. As with the management frame processing unit 104, the WPS frame processing unit 102 performs a sequence according to the WPS standard between the wireless client terminals 20-1 and 20-2 via the physical layer processing unit 110 and the antenna 130. Perform connection and security settings with WPS PBC. The wireless access point device 10 according to the present embodiment can execute connection processing from the wireless client terminals 20-1 and 20-2 while WPS PBC is activated (first state), and is not activated by WPS PBC. In the (second state), connection processing from the wireless client terminals 20-1 and 20-2 is not performed. A period during which the WPS PBC is activated, that is, a period during which connection processing is accepted is called a Walk Time (set time) and is set in the wireless access point device 10 in advance. Normally, during the Walk Time after starting the WPS PBC, it is the first state to accept connection processing from the wireless client terminals 20-1 and 20-2, and the Walk Time has elapsed since the WPS PBC was started. Then, a transition is made to a second state where connection processing is not accepted.
 図3は、本実施の形態のWPS PBCによる接続およびセキュリティ設定シーケンスの一例を示す図である。無線クライアント端末20-1(図中では、STAと略す)は、通信の開始を通知するEAPOL(Extensible Authentication Protocol over LAN) startをアクセスポイント装置10(図中では、APと略す)へ送信する(ステップS1)。ここでは、無線クライアント端末20-1が無線アクセスポイント装置10と接続する際のシーケンスを示すが、無線クライアント端末20-2も同様である。アクセスポイント装置10は、EAPOL startを受信すると、無線クライアント端末20-1のIDを要求するEAP(Extensible Authentication Protocol)-Req(Identity)を送信する(ステップS2)。 FIG. 3 is a diagram showing an example of a connection and security setting sequence by the WPS PBC according to the present embodiment. The wireless client terminal 20-1 (abbreviated as STA in the figure) transmits EAPOL (Extensible Authentication Protocol over LAN) start for notifying the start of communication to the access point device 10 (abbreviated as AP in the figure) ( Step S1). Here, a sequence when the wireless client terminal 20-1 connects to the wireless access point device 10 is shown, but the same applies to the wireless client terminal 20-2. When receiving the EAPOL start, the access point device 10 transmits EAP (Extensible Authentication Protocol) -Req (Identity) requesting the ID of the wireless client terminal 20-1 (step S2).
 無線クライアント端末20-1は、EAP-Req(Request)(Identity)を受信すると、IDを通知するEAP-Resp(Response)(Identity)を送信する(ステップS3)。アクセスポイント装置10は、EAP-Resp(Identity)を受信すると、EAP-Req(Start)を送信する(ステップS4)。無線クライアント端末20-1は、EAP-Req(Start)を受信すると、公開鍵(Diffie-Hellman公開鍵)を格納したEAP-Resp(M1)を送信する(ステップS5)。 When receiving the EAP-Req (Request) (Identity), the wireless client terminal 20-1 transmits EAP-Resp (Response) (Identity) for notifying the ID (Step S3). Upon receiving EAP-Resp (Identity), the access point device 10 transmits EAP-Req (Start) (step S4). When receiving the EAP-Req (Start), the wireless client terminal 20-1 transmits EAP-Resp (M1) storing the public key (Diffie-Hellman public key) (step S5).
 アクセスポイント装置10のWPSフレーム処理部102は、受信したEAP-Resp(M1)に格納されたDiffie-Hellman公開鍵と、自身が保持している鍵情報とを演算し、AP-STA間の秘密鍵を生成するための処理を実施する(ステップS6)。秘密鍵は、Authenticator情報の生成等に用いられる。また、WPSフレーム処理部102は、EAP-Resp(M1)を受信すると、送信元の無線クライアント端末を識別するID、UUID-E等とともに受信した公開鍵をセッションオーバラップ処理部103へ通知する。さらに、後述するように、WPSフレーム処理部102は、EAP-Resp(M1)で通知される無線クライアント端末20-1の公開鍵が、無線アクセスポイント装置10に事前に登録されたものであるか否かを確認する。無線クライアント端末20-1の公開鍵が無線アクセスポイント装置10に事前に登録されたものである場合は、アクセスポイント装置10は、特殊モードへ移行し、無線クライアント端末20-1の公開鍵が無線アクセスポイント装置10に事前に登録されたものでない場合は、通常のWPS規格に沿った動作を行う。図3は、無線クライアント端末20-1の公開鍵が無線アクセスポイント装置10に事前に登録されたものでない場合の動作例を示している。 The WPS frame processing unit 102 of the access point apparatus 10 calculates the Diffie-Hellman public key stored in the received EAP-Resp (M1) and the key information held by itself, and secrets between AP and STA Processing for generating a key is performed (step S6). The secret key is used for generating authenticator information. In addition, when receiving EAP-Resp (M1), the WPS frame processing unit 102 notifies the session overlap processing unit 103 of the received public key together with the ID, UUID-E, etc. for identifying the transmission source wireless client terminal. Further, as will be described later, the WPS frame processing unit 102 confirms whether the public key of the wireless client terminal 20-1 notified by EAP-Resp (M1) is registered in advance in the wireless access point device 10. Confirm whether or not. When the public key of the wireless client terminal 20-1 is registered in advance in the wireless access point device 10, the access point device 10 shifts to the special mode, and the public key of the wireless client terminal 20-1 is wireless. If it is not registered in advance in the access point device 10, an operation in accordance with the normal WPS standard is performed. FIG. 3 shows an operation example when the public key of the wireless client terminal 20-1 is not registered in advance in the wireless access point apparatus 10.
 アクセスポイント装置10は、自身のDiffie-Hellman公開鍵を格納したEAP-Req(M2)を送信する(ステップS7)。無線クライアント端末20-1は、受信したEAP Req(M2)に格納されたDiffie-Hellman公開鍵と、自身が保持している鍵情報とを演算し、AP-STA間の秘密鍵を生成するための処理を実施する(ステップS8)。秘密鍵は、Authenticator情報の生成等に用いられる。以降、アクセスポイント装置10と無線クライアント端末20-1の間で、秘密鍵を用いて情報の交換等のセキュリティ設定シーケンスが行われる(ステップS9~ステップS14)。そして、無線クライアント端末20-1が、情報の交換を終了すると、EAP-Resp(Done)を送信する(ステップS15)。 The access point apparatus 10 transmits EAP-Req (M2) storing its own Diffie-Hellman public key (step S7). The wireless client terminal 20-1 calculates the Diffie-Hellman public key stored in the received EAP Req (M2) and the key information held by itself, and generates a secret key between the AP and the STA. The process is performed (step S8). The secret key is used for generating Authenticator information. Thereafter, a security setting sequence such as information exchange is performed between the access point device 10 and the wireless client terminal 20-1 using a secret key (steps S9 to S14). Then, when the wireless client terminal 20-1 finishes exchanging information, it transmits EAP-Resp (Done) (step S15).
 セッションオーバラップ処理部103は、WPSフレーム処理部102、マネージメントフレーム処理部104から通知される情報を基に、WPS規格に基づいて、セッションオーバラップ検知を行う。セッションオーバラップ処理部103は、セッションオーバラップと判断した場合はWPSフレーム処理部102にその旨通知する。WPSフレーム処理部102は、セッションオーバラップ処理部103からセッションオーバラップを通知されるとWPSのエラー処理を行い、WPSを停止する。図3の例では、セッションオーバラップ処理部103がセッションオーバラップを検知したとする。このため、認証エラーとなり、アクセスポイント装置10は、EAP-Req(Failure)を送信する(ステップS16)。 The session overlap processing unit 103 performs session overlap detection based on information notified from the WPS frame processing unit 102 and the management frame processing unit 104 based on the WPS standard. If the session overlap processing unit 103 determines that the session overlap has occurred, the session overlap processing unit 103 notifies the WPS frame processing unit 102 to that effect. When WPS frame processing unit 102 is notified of session overlap from session overlap processing unit 103, WPS frame processing unit 102 performs WPS error processing and stops WPS. In the example of FIG. 3, it is assumed that the session overlap processing unit 103 detects a session overlap. For this reason, an authentication error occurs, and the access point apparatus 10 transmits EAP-Req (Failure) (step S16).
 以上のWPSシーケンス処理の中で、アクセスポイント装置10のWPSフレーム処理部102は、WPS PBCにて接続する無線クライアント端末20-1がWPSフレームに設定する公開鍵が事前に登録されているか否かを公開鍵リスト登録部101に問い合わせる。そして、WPSフレーム処理部102は、WPS PBCにて接続する無線クライアント端末20-1がWPSフレームに設定する公開鍵が事前に登録されている場合は、セッションオーバラップ処理部103にそれを通知するとともに、後述するWPS PBCの特殊モードを起動する。 In the above WPS sequence processing, the WPS frame processing unit 102 of the access point device 10 determines whether or not the public key set in the WPS frame by the wireless client terminal 20-1 connected by the WPS PBC is registered in advance. To the public key list registration unit 101. The WPS frame processing unit 102 notifies the session overlap processing unit 103 of the public key that is set in the WPS frame by the wireless client terminal 20-1 connected by the WPS PBC in advance. At the same time, the WPS PBC special mode described later is started.
 図4は、WPS PBCの特殊モードの処理手順を示すチャート図である。図4を用いて、前述したWPS PBCの特殊モードについて詳細に説明する。図4では、無線クライアント端末20-1,20-2をそれぞれSTA#1、STA#2と略して示している。WPS PBCを開始するにあたり、人の手によりまず無線アクセスポイント装置10のH/Wボタン121のうちWPSに対応するプッシュボタン(以下WPSボタンという)が押下される(ステップS21)。なお、ここでは、無線アクセスポイント装置10のWPSボタンが押下されて無線アクセスポイント装置10からWPS PBCを起動するようにしたが、無線クライアント端末20-1,20-2側から先にWPS PBCを起動しても良い。WPSボタンを押下されたことを検出すると、無線アクセスポイント装置10のWPSフレーム処理部102は、WPS PBCを起動し(ステップS22)、WPS IE付きのBeaconを送出し始める(ステップS23)。 FIG. 4 is a chart showing the processing procedure of the WPS PBC special mode. The above-described WPS PBC special mode will be described in detail with reference to FIG. In FIG. 4, the wireless client terminals 20-1 and 20-2 are abbreviated as STA # 1 and STA # 2, respectively. In starting WPS PBC, a push button corresponding to WPS (hereinafter referred to as a WPS button) among the H / W buttons 121 of the wireless access point device 10 is first pressed by a human hand (step S21). In this example, the WPS button of the wireless access point device 10 is pressed to start WPS PBC from the wireless access point device 10, but the WPS PBC is started first from the wireless client terminal 20-1, 20-2 side. It may be activated. When it is detected that the WPS button has been pressed, the WPS frame processing unit 102 of the wireless access point device 10 activates the WPS PBC (step S22), and starts sending a Beacon with WPS IE (step S23).
 1台目の無線クライアント端末20-1(STA#1)でも、WPSボタンが押下される(ステップS24)。WPSボタンを押下された無線クライアント端末20-1はWPS PBCを起動する(ステップS25)。その際に、無線アクセスポイント装置10と無線クライアント端末20-1間で、IEEE 802.11規格に基づき、Probe Request/Response,Authentication,Association Request/Responseなどのマネージメントフレームのやりとりが実施される。そして、その後、WPS規格に基づき、無線アクセスポイント装置10からEAP-Req(Start)フレームの送信まで行われ(ステップS26)、無線クライアント端末20-1からEAP-Resp(M1)の送信が行われる(ステップS27)。 The WPS button is also pressed on the first wireless client terminal 20-1 (STA # 1) (step S24). When the WPS button is pressed, the wireless client terminal 20-1 activates WPS PBC (step S25). At that time, management frames such as Probe Request / Response, Authentication, Association Request / Response, and the like are exchanged between the wireless access point device 10 and the wireless client terminal 20-1 based on the IEEE 802.11 standard. Then, based on the WPS standard, transmission from the wireless access point device 10 to transmission of the EAP-Req (Start) frame is performed (step S26), and transmission of the EAP-Resp (M1) is performed from the wireless client terminal 20-1. (Step S27).
 EAP-Resp(M1)を受信した無線アクセスポイント装置10では、WPSフレーム処理部102が、EAP-Resp(M1)で通知される無線クライアント端末20-1の公開鍵が、無線アクセスポイント装置10に事前に登録されたものであるか否かを確認する。登録されていない公開鍵の場合は、通常通りWPS規格に沿った動作を行う。登録されている公開鍵の場合は以降に記載する動作を行う(ステップS28)。 In the wireless access point device 10 that has received EAP-Resp (M1), the WPS frame processing unit 102 sends the public key of the wireless client terminal 20-1 notified by EAP-Resp (M1) to the wireless access point device 10. Check if it is registered in advance. In the case of an unregistered public key, the operation according to the WPS standard is performed as usual. In the case of a registered public key, the operation described below is performed (step S28).
 1台目の無線クライアント端末20-1(STA#1)とのWPS PBCシーケンス処理中に、2台目の無線クライアント端末20-2(STA#2)でもWPSボタンが押下される(ステップS29)。これにより、2台目の無線クライアント端末20-2(STA#2)はWPS PBCを起動する(ステップS30)。その際に、2台目の無線クライアント端末20-2(STA#2)はWPS PBC実行中を示すIEが付与されたProbe Requestを送信する。このProbe Requestを受け取った無線アクセスポイント装置10のWPSフレーム処理部102は、セッションオーバラップを起動せず、2台目の無線クライアント端末20-2(STA#2)から受信する各種フレームを破棄する(ステップS31)。なお、本実施の形態では、2台の無線クライアント端末20-1,20-2が動作している例を記載したが、3台以上がWPS PBCを起動した場合も同様である。 During the WPS PBC sequence process with the first wireless client terminal 20-1 (STA # 1), the WPS button is pressed also on the second wireless client terminal 20-2 (STA # 2) (step S29). . As a result, the second wireless client terminal 20-2 (STA # 2) activates the WPS PBC (step S30). At this time, the second wireless client terminal 20-2 (STA # 2) transmits a Probe Request to which an IE indicating that the WPS PBC is being executed is added. The WPS frame processing unit 102 of the wireless access point device 10 that has received this Probe Request discards various frames received from the second wireless client terminal 20-2 (STA # 2) without starting session overlap. (Step S31). In the present embodiment, an example in which two wireless client terminals 20-1 and 20-2 are operating has been described, but the same applies when three or more WPS PBCs are activated.
 その後、無線アクセスポイント装置10のWPSフレーム処理部102は、1台目の無線クライアント端末20-1(STA#1)とのWPSのシーケンスを進め、1台目の無線クライアント端末20-1(STA#1)の接続およびセキュリティ設定を完了させる(ステップS32)。 Thereafter, the WPS frame processing unit 102 of the wireless access point device 10 advances the WPS sequence with the first wireless client terminal 20-1 (STA # 1), and the first wireless client terminal 20-1 (STA). The connection and security setting of # 1) are completed (step S32).
 続いて、無線アクセスポイント装置10のWPSフレーム処理部102は、WPS PBCを自動的に再起動し(すなわち、無線クライアント端末からの接続要求を受け付ける状態へ移行し)、2台目の無線クライアント端末20-2(STA#2)との接続を開始させる(ステップS33)。以降、無線アクセスポイント装置10ではWPS IE付きのBeaconの送出を開始し(ステップS34)、無線アクセスポイント装置10と2台目の無線クライアント端末20-2(STA#2)間で、IEEE 802.11規格に基づき、Probe Request/Response,Authentication,Association Request/Responseなどのマネージメントフレームのやりとりが実施される。その後、WPS規格に基づき、無線アクセスポイント装置10からEAP Request(Start)フレームの送信まで行われ(ステップS35)、無線クライアント端末20-2からEAP Response(M1)の送信が行われる。 Subsequently, the WPS frame processing unit 102 of the wireless access point device 10 automatically restarts the WPS PBC (that is, shifts to a state of accepting a connection request from the wireless client terminal), and the second wireless client terminal Connection with 20-2 (STA # 2) is started (step S33). Thereafter, the wireless access point device 10 starts sending a Beacon with WPS IE (step S34), and the IEEE 802 .2 between the wireless access point device 10 and the second wireless client terminal 20-2 (STA # 2). Management frames such as Probe Request / Response, Authentication, Association Request / Response are exchanged based on the 11 standard. Thereafter, based on the WPS standard, transmission from the wireless access point device 10 to transmission of the EAP Request (Start) frame is performed (step S35), and transmission of the EAP Response (M1) is performed from the wireless client terminal 20-2.
 この際、WPSフレーム処理部102は、EAP Response(M1)内の公開鍵が無線アクセスポイント装置10に登録済みのものである場合に限り、WPS PBCのシーケンスを進める。EAP Response(M1)内の公開鍵が登録された公開鍵に一致しない無線クライアント端末からのWPS接続を検知した際には、フレームを破棄し、WPS PBCのシーケンスを進めない(ステップS36)。 At this time, the WPS frame processing unit 102 advances the WPS PBC sequence only when the public key in the EAP Response (M1) is already registered in the wireless access point device 10. When a WPS connection from a wireless client terminal whose public key in the EAP Response (M1) does not match the registered public key is detected, the frame is discarded and the WPS PBC sequence is not advanced (step S36).
 2台目の無線クライアント端末20-2(STA#2)の接続およびセキュリティ設定が完了した後(ステップS37)、更なる接続端末が存在することを考慮し、2台目の無線クライアント端末20-2(STA#2)向けのWPS PBCの自動再起動(ステップS33)と同じ手順で、次の無線クライアント端末のWPS接続を待ち受ける(ステップS38)。 After the connection and security setting of the second wireless client terminal 20-2 (STA # 2) is completed (step S37), considering that there is a further connected terminal, the second wireless client terminal 20- 2 (STA # 2), the next wireless client terminal waits for a WPS connection in the same procedure as the automatic restart of the WPS PBC (step S33) (step S38).
 待ち受け後、無線アクセスポイント装置10は、次の無線クライアント端末の接続がない場合、無線アクセスポイント装置10にあらかじめ設定されている設定内容に従って、規定の回数Walk Timeを延長することでタイムアウト時間を延長した後(ステップS39)、WPS PBCを停止する(ステップS40)。なお、WPS規格のタイムアウト時間に従って、通常のタイムアウト処理を実施しても良い。 After waiting, when the next wireless client terminal is not connected, the wireless access point device 10 extends the time-out period by extending the Walk Time by a specified number of times according to the setting contents preset in the wireless access point device 10. (Step S39), the WPS PBC is stopped (Step S40). Note that normal timeout processing may be performed according to the timeout time of the WPS standard.
 なお、ステップS36にて、仮に公開鍵を盗み見し、接続を試みる無線クライアント端末(なりすまし)が存在する場合でも、無線アクセスポイント装置10では、保持している公開鍵と一致しないため、WPSシーケンスを進ませない。このため、セキュリティ上の問題も担保されている。 In step S36, even if there is a wireless client terminal (spoofing) that attempts to connect and steals the public key, the wireless access point device 10 does not match the held public key, so the WPS sequence is changed. I will not advance. For this reason, security problems are also secured.
 図5は、なりすましが存在する場合のシーケンスの一例を示すチャート図である。ステップS51~ステップS54は、図3のステップS1~ステップS4と同様である。ここでは、無線クライアント端末20-2(STA#2)が、公開鍵を盗み見て、盗み見た公開鍵をステップS55のEAP-Resp(M1)により通知する(ステップS55)。無線アクセスポイント装置10は、EAP-Resp(M1)で受信した公開鍵が、保持する公開鍵と一致するため、処理を継続し(ステップS56)、EAP-Req(M2)を送信する(ステップS57)。しかしながら、無線クライアント端末20-2(STA#2)は、ステップS55で送信した公開鍵に対応する秘密鍵を保持していないため、正常なAuthenticatorを作成できない(ステップS58)。このため、無線アクセスポイント装置10が、無線クライアント端末20-2からEAP-Resp(M3)を受信すると(ステップS59)、秘密鍵を用いてAuthenticatorをチェックし、エラーと判定し、WPSのエラーシーケンスを起動する(ステップS60)。そして、無線アクセスポイント装置10は、認証エラーとなったことを通知するEAP-Req(NACK)を送信し(ステップS61)、無線クライアント端末20-2は、EAP-Resp(NACK)を送信する(ステップS62)。無線アクセスポイント装置10は、EAP-Req(Failure)を送信し(ステップS63)、Deauthenticationを送信する(ステップS64)。 FIG. 5 is a chart showing an example of a sequence in the case where impersonation exists. Steps S51 to S54 are the same as steps S1 to S4 in FIG. Here, the wireless client terminal 20-2 (STA # 2) steals the public key and notifies the public key that has been stolen by EAP-Resp (M1) in step S55 (step S55). The wireless access point device 10 continues the process because the public key received by EAP-Resp (M1) matches the public key held (step S56), and transmits EAP-Req (M2) (step S57). ). However, since the wireless client terminal 20-2 (STA # 2) does not hold the secret key corresponding to the public key transmitted in step S55, it cannot create a normal Authenticator (step S58). For this reason, when the wireless access point device 10 receives the EAP-Resp (M3) from the wireless client terminal 20-2 (step S59), the authenticator is checked using the secret key, an error is determined, and the WPS error sequence is determined. Is activated (step S60). Then, the wireless access point device 10 transmits EAP-Req (NACK) notifying that an authentication error has occurred (step S61), and the wireless client terminal 20-2 transmits EAP-Resp (NACK) ( Step S62). The wireless access point device 10 transmits EAP-Req (Failure) (Step S63) and transmits Deauthentication (Step S64).
 また、接続対象となる無線クライアント端末20-1,20-2間で同じ公開鍵および秘密鍵を持つように設定を行えば、無線アクセスポイント装置10側の公開鍵登録作業を簡略化する、または固定的に設定することができる。 Also, if the setting is made so that the wireless client terminals 20-1 and 20-2 to be connected have the same public key and secret key, the public key registration work on the wireless access point device 10 side is simplified, or It can be set fixedly.
 なお、以上の説明では、WPSによる接続および認証を例に説明したが、WPSに限らず、本実施の形態は、公開鍵を用いて接続および認証を行う処理に適用できる。 In the above description, connection and authentication by WPS has been described as an example. However, the present embodiment is not limited to WPS, and this embodiment can be applied to processing for connection and authentication using a public key.
 以上のように、本実施の形態では、無線アクセスポイント装置10に無線クライアント端末20-1,20-2の公開鍵をあらかじめ設定する。そして、無線アクセスポイント10は、無線クライアント端末20-1,20-2とのWPSシーケンス処理中に、他の無線クライアント端末20-1,20-2がWPS PBCを起動したことを検知した場合、セッションオーバラップとせずに、保持している公開鍵と新たにWPS PBCを起動した無線クライアント端末20-1,20-2から受信した公開鍵とが一致した場合に、該無線クライアント端末20-1,20-2とのWPSシーケンス処理を進めるようにした。このため、無線アクセスポイント装置10でのボタン押下操作を1回実行するのみで、複数の無線クライアント装置20-1,20-2の接続およびセキュリティ設定を継続することができ、なりすましの端末が存在する場合でもその接続を拒否することができる。また、無線アクセスポイント装置10に事前に登録した公開鍵を持つ無線クライアント端末20-1,20-2(特定の端末)以外の無線クライアント端末は、無線アクセスポイント装置10との間で、WPS規格に準拠した通常の接続およびセキュリティ設定を行うことができる。 As described above, in this embodiment, the public keys of the wireless client terminals 20-1 and 20-2 are set in advance in the wireless access point device 10. When the wireless access point 10 detects that the other wireless client terminals 20-1 and 20-2 have activated the WPS PBC during the WPS sequence processing with the wireless client terminals 20-1 and 20-2, When the held public key matches the public key received from the wireless client terminals 20-1 and 20-2 that newly activated the WPS PBC without session overlap, the wireless client terminal 20-1 , 20-2, the WPS sequence processing is advanced. For this reason, it is possible to continue connection and security settings of a plurality of wireless client devices 20-1 and 20-2 with only one button pressing operation on the wireless access point device 10, and there is an impersonation terminal. You can refuse the connection even if you do. Further, wireless client terminals other than the wireless client terminals 20-1 and 20-2 (specific terminals) having public keys registered in advance in the wireless access point apparatus 10 communicate with the wireless access point apparatus 10 in the WPS standard. Normal connection and security settings can be made.
実施の形態2.
 図6は、本発明にかかる実施の形態2の動作の一例を示すチャート図である。本実施の形態の無線アクセスポイント装置10の構成は、実施の形態1と同様である。本実施の形態の通信システムの構成も実施の形態1と同様である。以下、実施の形態1と異なる部分を説明する。
Embodiment 2. FIG.
FIG. 6 is a chart showing an example of the operation of the second embodiment according to the present invention. The configuration of wireless access point apparatus 10 of the present embodiment is the same as that of the first embodiment. The configuration of the communication system of the present embodiment is the same as that of the first embodiment. Hereinafter, a different part from Embodiment 1 is demonstrated.
 ここでは、無線クライアント端末20-1の公開鍵が無線アクセスポイント装置10に登録され、無線クライアント端末20-2の公開鍵が無線アクセスポイント装置10に登録されていないとする。図6に示すように、実施の形態1の図3のステップS1~ステップS4と同様に、ステップS71~ステップS74を実施した後、無線クライアント端末20-2(STA#2)が、自身の公開鍵をEAP-Resp(M1)により通知する(ステップS75)。無線アクセスポイント装置10は、EAP-Resp(M1)を受信すると、受信したEAP-Resp(M1)に格納された公開鍵が、自身に登録されている公開鍵と一致しないためエラーと判定する。そして、エラーシーケンスを起動する(ステップS76)。無線アクセスポイント装置10は、EAP-Req(Failure)を送信する(ステップS77)。以上述べた以外の本実施の形態の動作は、実施の形態1と同様である。 Here, it is assumed that the public key of the wireless client terminal 20-1 is registered in the wireless access point apparatus 10, and the public key of the wireless client terminal 20-2 is not registered in the wireless access point apparatus 10. As shown in FIG. 6, similarly to steps S1 to S4 in FIG. 3 of the first embodiment, after performing steps S71 to S74, the wireless client terminal 20-2 (STA # 2) The key is notified by EAP-Resp (M1) (step S75). When receiving the EAP-Resp (M1), the wireless access point device 10 determines that the public key stored in the received EAP-Resp (M1) does not match the public key registered in itself. Then, an error sequence is activated (step S76). The wireless access point device 10 transmits EAP-Req (Failure) (step S77). The operations of the present embodiment other than those described above are the same as those of the first embodiment.
 このように、本実施の形態では、無線アクセスポイント装置10に登録済みのものでない場合、エラー処理とし、無線アクセスポイント装置10で起動しているWPSを停止させるようにした。このため、公開鍵が登録されている無線クライアント端末20-1以外で、不正にWPS PBCを起動している無線クライアント端末が無線アクセスポイント装置10の周辺に存在している可能性があることをユーザ側に知らせることができる。 As described above, in this embodiment, when the wireless access point device 10 is not already registered, error processing is performed and the WPS activated in the wireless access point device 10 is stopped. For this reason, there is a possibility that there is a wireless client terminal that has illegally activated the WPS PBC in the vicinity of the wireless access point device 10 other than the wireless client terminal 20-1 in which the public key is registered. The user can be notified.
実施の形態3.
 次に、本発明にかかる実施の形態3の動作について説明する。本実施の形態の無線アクセスポイント装置10の構成は、実施の形態1と同様である。本実施の形態の通信システムの構成も実施の形態1と同様である。以下、実施の形態1と異なる部分を説明する。
Embodiment 3 FIG.
Next, the operation of the third embodiment according to the present invention will be described. The configuration of wireless access point apparatus 10 of the present embodiment is the same as that of the first embodiment. The configuration of the communication system of the present embodiment is the same as that of the first embodiment. Hereinafter, a different part from Embodiment 1 is demonstrated.
 無線アクセスポイント装置10のWPS PBCを起動させる際に、H/Wボタン121を用いる場合はこのボタンを長押しする等とし、S/Wボタンの場合はWPS PBCとは別のボタンを用意しておく。これらのボタン操作が行われたことを検知すると、無線アクセスポイント装置10は、実施の形態1で述べたWPS PBCの特殊モードを強制的に起動する。この際、1台目の無線クライアント端末20-1の接続およびセキュリティ設定が完了した際に、その公開鍵を無線アクセスポイント装置10に登録する。すなわち、上記のボタン操作は、公開鍵の登録要求を意味すると定義しておき、無線アクセスポイント装置10は、上記のボタン操作が実施された場合、公開鍵の登録要求があったと判断する。以上述べた以外の本実施の形態の動作は、実施の形態1と同様である。 When starting the WPS PBC of the wireless access point device 10, when using the H / W button 121, for example, press and hold this button. For the S / W button, prepare a button different from the WPS PBC. deep. When detecting that these button operations have been performed, the wireless access point device 10 forcibly activates the WPS PBC special mode described in the first embodiment. At this time, when the connection and security setting of the first wireless client terminal 20-1 are completed, the public key is registered in the wireless access point device 10. That is, the above button operation is defined to mean a public key registration request, and the wireless access point device 10 determines that there is a public key registration request when the above button operation is performed. The operations of the present embodiment other than those described above are the same as those of the first embodiment.
 本実施の形態によると、無線アクセスポイント装置10に対する公開鍵登録の操作が必要なくなるため、複数の無線クライアント端末20の接続・セキュリティ設定をする際に、さらに手順を簡略化することができる。 According to the present embodiment, since the public key registration operation for the wireless access point device 10 is not necessary, the procedure can be further simplified when connecting / securing the plurality of wireless client terminals 20.
 以上のように、本発明にかかる通信装置、通信システムおよび通信方法は、無線LANシステムに適している。 As described above, the communication device, the communication system, and the communication method according to the present invention are suitable for the wireless LAN system.
10 無線アクセスポイント装置、20-1,20-2 無線クライアント端末、30 回線終端装置、40 通信回線、100 MAC層処理部、101 公開鍵リスト登録部、102 WPSフレーム処理部、103 セッションオーバラップ処理部、104 マネージメントフレーム処理部、110 物理層処理部、111 送信処理部、112 受信処理部、120 GUI提供部、121 H/Wボタン、130 アンテナ。 10 wireless access point device, 20-1, 20-2 wireless client terminal, 30 line termination device, 40 communication line, 100 MAC layer processing unit, 101 public key list registration unit, 102 WPS frame processing unit, 103 session overlap processing Part, 104 management frame processing part, 110 physical layer processing part, 111 transmission processing part, 112 reception processing part, 120 GUI providing part, 121 H / W button, 130 antenna.

Claims (8)

  1.  接続要求を受け付ける状態において、接続要求を受け付けると公開鍵を用いて端末装置との間の接続処理を行う通信装置であって、
     あらかじめ登録された接続を許可する端末装置の公開鍵を保持する公開鍵記憶部と、
     第1の端末装置との間の接続処理において、前記第1の端末装置から受信した無線フレーム内に格納された公開鍵と、前記公開鍵記憶部に保持されている前記公開鍵とが一致した場合、前記第1の端末装置との間の接続処理の実施中に前記第1の端末装置以外の端末装置である第2の端末装置から接続要求を受信すると、前記第1の端末装置との間の接続処理を継続し、前記第1の端末装置との間の接続処理の終了後に、接続要求を受け付ける状態へ再度移行する接続処理部と、
     を備えることを特徴とする通信装置。
    In a state of accepting a connection request, a communication device that performs connection processing with a terminal device using a public key when accepting a connection request,
    A public key storage unit that holds a public key of a terminal device that permits a pre-registered connection;
    In the connection process with the first terminal device, the public key stored in the radio frame received from the first terminal device matches the public key held in the public key storage unit. In this case, when a connection request is received from a second terminal device that is a terminal device other than the first terminal device during execution of a connection process with the first terminal device, A connection processing unit that continues connection processing between the first terminal device and transitions again to a state in which a connection request is accepted after completion of the connection processing with the first terminal device;
    A communication apparatus comprising:
  2.  前記接続要求を受け付ける状態へ再度移行した後、前記第2の端末装置から受信した公開鍵と前記公開鍵記憶部に保持されている前記公開鍵とが一致した場合、前記第2の端末装置との間の接続処理を継続することを特徴とする請求項1に記載の通信装置。 If the public key received from the second terminal device matches the public key stored in the public key storage unit after re-entering the state of accepting the connection request, the second terminal device The communication apparatus according to claim 1, wherein connection processing between the two is continued.
  3.  前記接続要求を受け付ける状態へ再度移行した後、前記第2の端末装置から受信した公開鍵と前記公開鍵記憶部に保持されている前記公開鍵とが一致しない場合、前記第2の端末装置との間の接続処理を停止し、所定のエラー処理を実施することを特徴とする請求項1または2に記載の通信装置。 If the public key received from the second terminal device and the public key held in the public key storage unit do not match after transitioning again to the state of accepting the connection request, the second terminal device The communication apparatus according to claim 1, wherein connection processing between the two is stopped and predetermined error processing is performed.
  4.  前記接続要求を受け付ける状態へ再度移行した後、前記接続要求を受け付ける状態の期間の延長を行うことを特徴とする請求項1、2または3に記載の通信装置。 The communication apparatus according to claim 1, 2 or 3, wherein after transitioning again to a state of accepting the connection request, the period of the state of accepting the connection request is extended.
  5.  端末装置の公開鍵の登録要求を検出した場合、端末装置から接続要求を受け付けると、接続処理を実施し、前記接続処理において取得した該端末装置の公開鍵を前記公開鍵記憶部に保持することを特徴とする請求項1から4のいずれか1つに記載の通信装置。 When a request for registration of a public key of a terminal device is detected, when a connection request is accepted from the terminal device, a connection process is performed, and the public key of the terminal device acquired in the connection process is held in the public key storage unit The communication device according to claim 1, wherein:
  6.  前記接続処理をプッシュボタンが押下されることにより開始する接続処理とすることを特徴とする請求項1から5のいずれか1つに記載の通信装置。 6. The communication device according to claim 1, wherein the connection process is a connection process that starts when a push button is pressed.
  7.  請求項1から6のいずれか1つに記載の通信装置と、
     前記通信装置と接続する端末装置と、
     を備えることを特徴とする通信システム。
    A communication device according to any one of claims 1 to 6;
    A terminal device connected to the communication device;
    A communication system comprising:
  8.  接続要求を受け付ける状態において、接続要求を受け付けると公開鍵を用いて端末装置との間の接続処理を行う通信装置における通信方法であって、
     あらかじめ登録された接続を許可する端末装置の公開鍵を保持する第1のステップと、
     第1の端末装置との間の接続処理において、前記第1の端末装置から受信した無線フレーム内に格納された公開鍵と、前記第1のステップで保持した前記公開鍵とが一致した場合、前記第1の端末装置との間の接続処理の実施中に前記第1の端末装置以外の端末装置である第2の端末装置から接続要求を受信すると、前記第1の端末装置との間の接続処理を継続し、前記第1の端末装置との間の接続処理の終了後に、接続要求を受け付ける状態へ再度移行する第2のステップと、
     を含むことを特徴とする通信方法。
    In a state of accepting a connection request, a communication method in a communication device that performs a connection process with a terminal device using a public key when a connection request is accepted,
    A first step of holding a public key of a terminal device that permits a pre-registered connection;
    In the connection process with the first terminal device, if the public key stored in the radio frame received from the first terminal device matches the public key held in the first step, When a connection request is received from a second terminal device that is a terminal device other than the first terminal device during the execution of the connection process with the first terminal device, the connection with the first terminal device A second step of continuing the connection process and transitioning again to a state of accepting a connection request after the end of the connection process with the first terminal device;
    A communication method comprising:
PCT/JP2014/064750 2014-06-03 2014-06-03 Communication apparatus, communication system and communication method WO2015186192A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/JP2014/064750 WO2015186192A1 (en) 2014-06-03 2014-06-03 Communication apparatus, communication system and communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2014/064750 WO2015186192A1 (en) 2014-06-03 2014-06-03 Communication apparatus, communication system and communication method

Publications (1)

Publication Number Publication Date
WO2015186192A1 true WO2015186192A1 (en) 2015-12-10

Family

ID=54766292

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2014/064750 WO2015186192A1 (en) 2014-06-03 2014-06-03 Communication apparatus, communication system and communication method

Country Status (1)

Country Link
WO (1) WO2015186192A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010103693A (en) * 2008-10-22 2010-05-06 Canon Inc Communication device, method for controlling communication device, and program
JP2012119917A (en) * 2010-11-30 2012-06-21 Canon Inc Communication apparatus, control method, and program
JP2012182729A (en) * 2011-03-02 2012-09-20 Olympus Corp Radio communication terminal

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010103693A (en) * 2008-10-22 2010-05-06 Canon Inc Communication device, method for controlling communication device, and program
JP2012119917A (en) * 2010-11-30 2012-06-21 Canon Inc Communication apparatus, control method, and program
JP2012182729A (en) * 2011-03-02 2012-09-20 Olympus Corp Radio communication terminal

Similar Documents

Publication Publication Date Title
US9510391B2 (en) Network configuration for devices with constrained resources
KR101551315B1 (en) Using a mobile device to enable another device to connect to a wireless network
JP6203985B1 (en) Secure provisioning of authentication credentials
US8925042B2 (en) Connecting devices to an existing secure wireless network
US8474020B2 (en) User authentication method, wireless communication apparatus, base station, and account management apparatus
JP2014528225A (en) Automatic configuration of wireless devices
US9363672B2 (en) Method and network node device for controlling the run of technology specific push-button configuration sessions within a heterogeneous or homogenous wireless network and heterogeneous or homogenous wireless network
KR101885500B1 (en) Porting wifi settings
EP2834965B1 (en) Push button configuration for hybrid network devices
CN105284178A (en) Configuring wireless accessory devices
US8601135B2 (en) Supporting WPS sessions using TCP-based connections
WO2013182119A1 (en) Screen unlocking method, device and terminal
EP3304958A1 (en) Distributed configurator entity
EP2612513A1 (en) Secure wireless link between two devices using probes
US10382271B2 (en) Method and network node device for controlling the run of technology specific push-button configuration sessions within a heterogeneous or homogeneous wireless network and heterogeneous or homogeneous wireless network
TWI657704B (en) Method for network configuration
US8572698B1 (en) Connecting a legacy wireless device to a WPS-enabled access point
US20150373538A1 (en) Configuring Secure Wireless Networks
US20140059643A1 (en) Wireless communication apparatus, recording medium, and method
WO2014161277A1 (en) Method and system for connecting portable wlan hotspot
WO2018090831A1 (en) Method and apparatus allowing smart terminal device to access internet
WO2015139401A1 (en) Establishment method and system for wireless network, and wireless routing device
WO2015186192A1 (en) Communication apparatus, communication system and communication method
US20210251019A1 (en) Systems and methods for provisioning wi-fi devices
WO2017000680A1 (en) Connection establishment method and apparatus

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14894028

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14894028

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: JP