アクセスポイント、無線LAN接続方法、無線LAN接続プログラムを記録した媒体および無線LANシステム
【課題】 セキュリティデータを設定するのは煩雑であった。
【解決手段】 アクセスポイント20の側に第一のIDデータを記憶させ、対となる外部記憶装置としてのUSBキー30に対応する第二のIDデータを記憶させつつ、当該USBキー30を無線LANの端末50に接続することにより、当該IDデータを含めて端末50から無線LAN規格に基づいて接続要求となる加入指示データを送出させ、アクセスポイントの側で予め格納されているIDデータと加入指示データに含まれるIDデータとを対比し(ステップS240)、一致したときにだけ接続手続きを継続させるようにしたので、簡便さを維持しつつ、セキュリティーを向上させることができるようになった。
【解決手段】 アクセスポイント20の側に第一のIDデータを記憶させ、対となる外部記憶装置としてのUSBキー30に対応する第二のIDデータを記憶させつつ、当該USBキー30を無線LANの端末50に接続することにより、当該IDデータを含めて端末50から無線LAN規格に基づいて接続要求となる加入指示データを送出させ、アクセスポイントの側で予め格納されているIDデータと加入指示データに含まれるIDデータとを対比し(ステップS240)、一致したときにだけ接続手続きを継続させるようにしたので、簡便さを維持しつつ、セキュリティーを向上させることができるようになった。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセスポイント、無線LAN接続方法、無線LAN接続プログラムを記録した媒体および無線LANシステムに関する。
【背景技術】
【0002】
近年、無線LAN用の中継器であるアクセスポイントは、離れた位置にある複数のコンピュータをインターネットに接続するデバイスとして、自宅やオフィス内等の特定人が継続的に活動する場所(以下、プライベートスペースという)のみならず、ホテルや空港,商店街,公園,駅等の不特定多数の人が一時的に活動する場所(以下、パブリックスペースという)でも利用され始めている。例えば、アクセスポイントを、xDSL回線やCATV回線等の高速なインターネット接続サービスを実現するブロードバンド回線に接続してパブリックスペースに配置することにより、アクセスポイントから発信された電波が届く範囲(無線通信エリア)内にいる不特定多数人に対して自由にインターネットに接続できる空間(以下、フリースポットという)を提供するサービスが提案されている。即ち、パブリックスペースの管理者が加入しているブロードバンド回線を、無線LAN用のアクセスポイントを用いてパブリックスペースの利用者が所持する端末に開放するのである。これにより、利用者によるインターネット接続の利便性が高まり、パブリックスペースの利用促進を図ることができる。
【0003】
このようなフリースポットでは、無線通信エリア内での無線LANを介したインターネットへの接続権限を、限定者(例えば、お得意様)のみに認める場合があり、こうした場合には、限定者以外の人によるネットワークへの不正侵入を防止する必要があった。また、多数の人が集まるフリースポットでは、各人が所持する端末とアクセスポイントとの間で無線通信用の電波が頻繁に飛び交うので、多数の各人のプライバシーを十全に保護するために、無線通信エリア内での電波の傍受により通信内容が第三者に漏洩することを確実に防止する必要があった。
【0004】
一方、無線LANに関しては、従来、ネットワークへの不正侵入や通信内容の第三者への漏洩を防止するセキュリティ技術が種々提案されていた。例えば、端末に装着される無線LAN接続用デバイス(例えば、無線LANアダプタ)に予め割り当てられた固有の識別番号であるMAC(Media Access Control)アドレスを利用し、このMACアドレスをアクセスポイントに登録しておき、端末からのアクセスに伴ってアクセスポイントがMACアドレスの認証を行ない、登録されたMACアドレス以外のMACアドレスであれば、該端末からのネットワークへの接続要求を拒否する技術(以下、MACアドレス制限という)が提案されていた(例えば、特許文献1を参照)。また、端末およびアクセスポイントに、共通の暗号鍵としてWEP(Wired Equivalent Privacy)キーを設定しておき、端末とアクセスポイントとの間でやりとりされるデータの内容をWEPキーを用いて暗号化し、データが漏洩した場合であっても、データの内容を解析しにくくし、データの内容がわからないようにする技術(以下、WEP暗号化という)も提案されていた(例えば、特許文献2を参照)。
【特許文献1】特開2001−320373号公報
【特許文献2】特開2001−345819公報 よって、セキュリティが確保されたフリースポットを実現するためには、フリースポットの利用に先立って、フリースポットを利用しようとする各人の端末について、MACアドレスの登録やWEPキーの設定を行なっておく必要があった。
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、上記した従来のセキュリティ技術では、アクセスポイントへのMACアドレスの登録や端末へのWEPキーの設定を手作業で行なわなければならず、無線LANを利用する端末を新たに追加しようとする場合に煩雑かつ不便であるという課題があった。特に、パブリックスペースに設けられるフリースポットでは、フリースポットを利用しようとする者が多数存在し、しかも徐々に増えていく。このような多数の各端末所有者に、フリースポットを利用する条件として、MACアドレスの登録やWEPキーの設定に関する端末操作を課すことは、極めて不便であり、現実的でなかった。
【0006】
また、端末側で任意の文字列を用いて設定されたWEPキーをアクセスポイント側にも設定するためには、無線LANを利用して設定すること、即ち、端末からWEPキーのデータを電波に乗せてアクセスポイントに無線で送信し、これを受信したアクセスポイントが当該端末についてのWEPキーを設定することが合理的である。こうすれば、端末所有者は、WEPキーの送信後すぐに、無線LANを介した各種のサービス(例えば、インターネット接続)を利用することができるからである。このようにWEPキーを無線で送信した場合には、端末とアクセスポイントとの間での電波の傍受によりWEPキーが第三者に漏洩するおそれがある。この場合、漏洩したWEPキーを手にした第三者は、WEPキーが設定された端末とアクセスポイントとの間でやり取りされる全てのデータを解析してデータの内容を知ることが可能となり、これでは暗号化によるセキュリティシステムが機能しなくなってしまう。特に、フリースポットのアクセスポイントでは、フリースポットを利用しようとする多数の者の端末についてWEPキーの設定が行なわれるので、WEPキーの漏洩を十全に防止し、多数の各利用者の通信の秘密を十全に確保する必要がある。
【0007】
さらに、パーソナルコンピュータのような汎用的なコンピュータに加え、家電製品なども家庭内ネットワークに接続して各種の制御を可能にすることが実現されつつある。しかし、利便性を向上させるべく無線LANを採用すると、アクセスポイントのWEPキーを設定する手続きの困難性が生じる。
【0008】
そこで、本発明は、上記の課題を解決し、無線LANを利用する端末の新規追加を、暗号鍵を表わすデータの漏洩を防止しつつ、簡便な手法で実現することを目的として、以下の構成を採った。
【課題を解決するための手段】
【0009】
上記目的を達成するため、請求項1にかかる発明は、有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントであって、当該アクセスポイントは対となる外部記憶装置を有し、
同外部記憶装置は、無線LAN端末に接続する通信用インターフェイスと、この通信用インターフェイスの接続時に、上記無線LAN端末に対して既知であるディスク装置が接続されたと認識させる信号を出力する出力手段と、上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータと、上記ディスク装置の接続を認識した上記無線LAN端末に対して上記第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを格納する自動実行プログラム格納手段とを備え、
上記アクセスポイントは、上記第一のIDデータを有しており、上記無線LAN端末が上記自動実行プログラムを実行して接続要求があると、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なう構成としてある。
【0010】
上記のように構成した請求項1にかかる発明においては、アクセスポイントが外部無線LAN端末と有線LANとの接続を介在するにあたり、当該アクセスポイントは対となる外部記憶装置を有している。対となるのは、アクセスポイントに格納された第一のIDデータと外部記憶装置に格納された第二のIDデータとが一対一で対応しているからである。対応関係は同じデータであるときもあるし、何らかの演算を実施することで一致するなど具体的には各種の対応が考えられる。なお、一対一の対応関係は必ずしも絶対的ではなく、きわめて低い確率で同じ対のIDデータが存在することを否定しない。
【0011】
ここで外部記憶装置を無線LAN端末に接続すると、通信用インターフェイスを介して出力手段が上記無線LAN端末に対して既知であるディスク装置が接続されたと認識させる信号を出力し、格納されている自動実行プログラムが起動される。この自動実行プログラムは上記ディスク装置の接続を認識した上記無線LAN端末に対して上記第二のIDデータを使用して上記アクセスポイントに接続するための処理を開始する。
【0012】
一方、アクセスポイントは、上記無線LAN端末が上記自動実行プログラムを実行して接続要求してきたときに、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なう。
【0013】
すなわち、上記外部記憶装置を上記外部無線LAN端末に接続すると、ディスク装置であると認識されて自動的に所定の自動実行プログラムが起動し、かつ、当該外部記憶装置とアクセスポイントには対応関係にあるIDデータが格納されており、当該IDデータを利用して承認や暗号/複合化処理を実現することが可能となっている。
【0014】
上述した外部記憶装置とアクセスポイントには対応関係にある第二のIDデータと第一のIDデータを書き込んでおく必要がある。外部記憶装置の側での書き込み領域として、請求項2にかかる発明は、上記第二のIDデータをワンタイムROMに記憶しており、請求項3にかかる発明においては、上記第二のIDデータをフラッシュROMに記憶している構成としてある。
【0015】
これらの第二のIDデータは個々の外部記憶装置ごとに異なることを前提としており、異なるIDデータを個別の外部記憶装置に書き込む領域として上述したワンタイムROMやフラッシュROMが有用である。
上記外部記憶装置が上記外部無線LAN端末と接続するための通信用インターフェイスの規格は各種のものを採用可能である。その一例として、請求項4にかかる発明では、上記外部記憶装置の通信用インターフェイスは、ユニバーサルシリアルバス規格に基づく通信インターフェイスを採用しており、請求項5にかかる発明では、上記外部記憶装置の通信用インターフェイスは、ブルートゥース規格に基づく通信インターフェイスを採用しており、請求項6にかかる発明では、上記外部記憶装置の通信用インターフェイスは、IEEE1394規格に基づく通信インターフェイスを採用している。
【0016】
これらの通信規格は広く標準化されていて接続が容易である上、上述したように単なる通信のための接続ポートをディスク装置として認識させることで、接続するだけで所定の自動実行プログラムを実行することを実現できる。むろん、ユニバーサルシリアルバス規格であれば、標準化の度合いが高く実質的にほぼすべての機器にでも接続できるし、ブルートゥース規格であればワイヤードでない便利さがあり、IEEE1394規格であれば高速化処理が実現できる。
【0017】
さらに、請求項7にかかる発明は、上記第一のIDデータ受信器で上記第一のIDデータを取得すると、無線出力範囲を狭め、接続手続きが終了すると無線出力範囲を元に戻す構成としてある。
上記のように構成した請求項7にかかる発明においては、アクセスポイントが第一のIDデータ受信器で上記第一のIDデータを取得すると、無線出力範囲を狭める。すなわち、第一のIDデータ受信器で第一のIDデータを取得したということは、無線LAN規格に基づく接続要求が来る前提条件であり、このような接続要求時にはセキュリティの低下を招く。しかし、無線出力範囲を狭めることで、接続要求を行うものは自ずからアクセスポイントに対して十分に接近しなければならず、管理者としてもセキュリティ上の不審者がアクセスポイントに近づけばすぐに分かるし、逆にアクセスポイントに対して十分に接近できないものがそれ以降の接続要求を出すこともできない。従って、結果的に無線出力範囲を狭めることで物理的に接続要求を出せるものを限定させることになる。
【0018】
上記アクセスポイントは上記第一のIDデータと第二のIDデータとの対応に応じて接続を行なうか否かを判断するが、これらのIDデータを接続要求の開始以外に利用しても良い。その一例として、請求項8にかかる発明では、上記外部記憶装置とアクセスポイントは上記第一のIDデータと第二のIDデータとを使用して無線LAN規格に基づく通信時にセキュリティデータの暗号化と複合化を行なう構成としてある。
【0019】
すなわち、接続要求の処理の中でセキュリティデータの送受信が必要であるときに、外部記憶装置とアクセスポイントのそれぞれが対応する第一のIDデータと第二のIDデータを有しているので、これらを暗号化や複合化の種に使用することで外部との秘密状態を維持してセキュリティデータを送受信することが可能となる。
【0020】
このように、無線LAN規格外の手法と無線LAN規格による手法とを併用して接続を開始させる手法は必ずしも実体のある装置に限られる必要はなく、その方法としても機能することは容易に理解できる。このため、請求項9にかかる発明は、有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントの無線LAN接続方法であって、当該アクセスポイントは対となる外部記憶装置を有しており、同外部記憶装置を上記無線LAN端末に接続すると、当該無線LAN端末に対して既知であるディスク装置が接続されたと認識させ、上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを実行し、上記アクセスポイントは、上記無線LAN端末が上記自動実行プログラムを実行して接続要求を行なうと、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なう構成としてある。
【0021】
すなわち、必ずしも実体のある装置に限らず、その方法としても有効であることに相違はない。
ところで、このようなアクセスポイントは単独で存在する場合もあるし、ある機器に組み込まれた状態で利用されることもあるなど、発明の思想としてはこれに限らず、各種の態様を含むものである。従って、ソフトウェアであったりハードウェアであったりするなど、適宜、変更可能である。
【0022】
発明の思想の具現化例としてアクセスポイントのソフトウェアとなる場合には、かかるソフトウェアを記録した記録媒体上においても当然に存在し、利用されるといわざるをえない。
その一例として、請求項10にかかる発明は、有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントの無線LAN接続プログラムを記録した媒体であって、当該アクセスポイントは対となる外部記憶装置を有しており、同外部記憶装置を上記無線LAN端末に接続すると、当該無線LAN端末に対して既知であるディスク装置が接続されたと認識させ、上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを実行し、上記アクセスポイントでは、上記無線LAN端末が上記自動実行プログラムを実行して接続要求を行なうと、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なう機能をコンピュータに実現させる構成としてある。
【0023】
むろん、その記録媒体は、磁気記録媒体であってもよいし光磁気記録媒体であってもよいし、今後開発されるいかなる記録媒体においても全く同様に考えることができる。また、一次複製品、二次複製品などの複製段階については全く問う余地無く同等である。その他、供給方法として通信回線を利用して行なう場合でも本発明が利用されていることにはかわりない。
【0024】
さらに、一部がソフトウェアであって、一部がハードウェアで実現されている場合においても発明の思想において全く異なるものではなく、一部を記録媒体上に記憶しておいて必要に応じて適宜読み込まれるような形態のものとしてあってもよい。
本発明をソフトウェアで実現する場合、ハードウェアやオペレーティングシステムを利用する構成とすることも可能であるし、これらと切り離して実現することもできる。例えば、各種の演算処理といっても、その実現方法はオペレーティングシステムにおける所定の関数を呼び出して処理することも可能であれば、このような関数を呼び出すことなくハードウェアから入力することも可能である。そして、実際にはオペレーティングシステムの介在のもとで実現するとしても、プログラムが媒体に記録されて流通される過程においては、このプログラムだけで本発明を実施できるものと理解することができる。
【0025】
また、本発明をソフトウェアで実施する場合、発明がプログラムを記録した媒体として実現されるのみならず、本発明がプログラム自体として実現されるのは当然であり、プログラム自体も本発明に含まれる。
また、本発明は、上述したようなアクセスポイントの側だけにとどまるものではなく、無線LAN端末を含めた無線LANシステムとしても利用可能であることはいうまでもない。
このため、請求項11にかかる発明は、有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントと、当該アクセスポイントと対となる外部記憶装置と、上記外部無線LAN端末とからなる無線LANシステムであって、
上記外部記憶装置は、無線LAN端末に接続する通信用インターフェイスと、この通信用インターフェイスの接続時に、上記無線LAN端末に対して既知であるディスク装置が接続されたと認識させる信号を出力する出力手段と、上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータと、上記ディスク装置の接続を認識した上記無線LAN端末に対して上記第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを格納する自動実行プログラム格納手段とを備え、
上記無線LAN端末は、上記自動実行プログラムを実行して無線LAN規格に基づく接続要求に伴って上記第二のIDデータを送出可能であり、
上記アクセスポイントは、上記第一のIDデータを有しており、上記無線LAN端末が上記自動実行プログラムを実行して接続要求があると、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なう構成としてある。
【発明の効果】
【0026】
以上説明したように本発明は、対応関係を承認するためのIDデータを利用するため、自動実行プログラムを格納した外部記憶装置をアクセスポイントとを対として使用することにより、セキュリティーの低下を防止しつつ簡易な手法で接続を開始させることが可能なアクセスポイントを提供することができる。
【0027】
また、請求項2にかかる発明によれば、ワンタイムROMを使用し、請求項3にかかる発明によれば、フラッシュROMを使用し、個別のIDデータを比較的容易に外部記憶装置に対して不揮発的に書き込むことができる。
さらに、請求項4にかかる発明によれば、ユニバーサルシリアルバス規格に基づく通信インターフェイスを採用し、請求項5にかかる発明によれば、ブルートゥース規格に基づく通信インターフェイスを採用し、請求項6にかかる発明によれば、IEEE1394規格に基づく通信インターフェイスを採用することにより、簡易かつ確実に外部記憶装置を外部無線LAN端末に接続することができる。
【0028】
さらに、請求項7にかかる発明によれば、接続手続きの間は無線出力範囲が狭まるので、限られた範囲の無線LAN端末との間でなければ接続手続きを行えず、セキュリティを向上させることができる。
さらに、請求項8にかかる発明によれば、対応関係にあるIDデータを使用して暗号化と複合化を行うことにより、無線通信によってセキュリティデータを安全かつ確実に送受信することができる。
さらに、請求項9にかかる発明によれば、同様の効果を奏する無線LAN接続方法を提供でき、請求項10にかかる発明によれば、無線LAN接続プログラムを記録した媒体を提供でき、請求項11にかかる発明によれば、無線LANシステムを提供できる。
【発明を実施するための最良の形態】
【0029】
以上説明した本発明の構成および作用を一層明らかにするために、以下本発明の実施の形態を、以下の順序で説明する。
A.第1実施例
A−1.暗号鍵設定システムLH1の概要
A−2.WEPキーの設定に関する処理の内容
A−3.作用効果
B.まとめ
A.実施例:
A−1.暗号鍵設定システムLH1の概要:
図1は本発明の第1実施例である暗号鍵設定システムLH1を実現するハードウェアの構成を示す説明図であり、図2はアクセスポイント20の構成を示す説明図である。
【0030】
暗号鍵設定システムLH1は、無線LANの無線通信エリアAR1内において、端末50とアクセスポイント20との間で、暗号鍵としてのWEPキーの内容を表わすキーデータを電波に乗せて無線通信することにより、端末(外部無線LAN端末)50にアクセスポイント20が使用するWEPキーを設定するシステムである。
【0031】
図1に示すように、無線通信エリアAR1には、無線LAN用の中継器であるアクセスポイント(無線基地局)20が設置されている。アクセスポイント20は、図2に示すように、CPU11と、このCPU11とバスにより相互に接続されたROM12,RAM13,ハードディスク等の不揮発的な記憶装置14,ネットワークインタフェースとしてのWANポート17,有線LANとの接続用のLANポート22,無線通信インタフェース18,ディスプレイコントローラ15,入出力コントローラ16等の各部を備える。
【0032】
ROM12には、無線通信エリアAR1内の端末50,60,70との通信やインターネットINへの接続に関する各種のプログラムとこのプログラムの実行に必要なデータが格納されている。ここでROM12には識別用の個別IDデータ(第一のIDデータ)を書き込むことができるようになっており、そのためのID用ROM領域12aを有している。このID用ROM領域12aはワンタイムROMやフラッシュROMを使用することが可能であり、図示しない書き込み用のパッドに対して製造工程で所定の電極を接続して書き込みを行う。
【0033】
入出力コントローラ16には当該アクセスポイントの側で登録処理の実行を開始するための登録用スイッチ(SW)27が接続されている。
図3は当該アクセスポイント20と対をなす外部記憶装置としてのUSBキー30を概略ブロック図により示している。図において、USBデバイスI/F31は、シリアル規格であるユニバーサルシリアルバス(USB)を有し、外部無線LAN端末となるPCとの接続が可能である。PCからUSBキー30へのデータの書き込みや読み出しなどのアクセスは、このUSBデバイスI/F31を介して行われる。以下、USBデバイスI/F31を介して、USBキー30をPCに接続することをUSB接続と呼ぶ。
【0034】
ROM33は、OSに対してUSBキー30を、既知のディスク装置の一つであるCD−ROMとして認識させる擬似的な信号を出力する信号プログラムと、自動実行プログラムとを備えたますクロムである。この信号プログラムからの擬似的な信号は、USBキー30のUSB接続時にPC側からのデバイスの設定要求に対して出力される。PC側にはCD−ROMとして認識された後に、自動実行プログラムが起動する。なお、ROM33はCPU32に内蔵されるものであっても良い。
【0035】
フラッシュROM34は、マスクROMである33とは異なり、一つ一つのUSBキー30のそれぞれに上記アクセスポイント20の側の個別IDデータ(第一のIDデータ)と対応する個別のIDデータ(第二のIDデータ)を書き込んでおく領域である。このフラッシュROM34に対する書き込みは、図示しない書き込み用のパッドに対して製造工程で所定の電極を接続して行う。個別のアクセスポイント20ごとに個別の対応関係にあるUSBキー30を製造する必要があるため、アクセスポイント20の製造工程の最後の工程あるいは、アクセスポイント20を梱包する工程で書き込みを行うと良い。
【0036】
こうした要素からなるUSBキー30のPCへのUSB接続および自動実行プログラムの処理について説明する。図4は、USB接続から自動実行プログラムの起動までに、無線LAN端末50としてのPCのOS側とUSBキー30側とでそれぞれ実行される処理内容を示したフローチャートである。
【0037】
まず、ユーザが起動中のPCのUSB接続ポートへ挿入すると(ステップS100)、OSは、USB接続ポートにデバイスが接続されたことを認識する(ステップS110)。デバイスを認識したOSは、デバイスに対して種別を認識するための信号を要求する(ステップS120)。
【0038】
OS側からどのような種類のデバイスであるかは認識されていないUSBキー30は、OSからの要求に対して、CD−ROMに相当する信号を出力する(ステップS130)。
OSは、USBキー30から受けた信号に基づいて、USB接続ポートに接続されたデバイスの種別を判定し、デバイスがCD−ROMであることを認識する(ステップS140)。具体的には、接続されたデバイスは読み出し専用のディスクであると認識し、CD−ROMイメージをマウントする。
【0039】
続いて、CD−ROMイメージをマウントしたOSは、CD−ROMイメージ内に自動実行プログラムが存在するか否かを問合せる(ステップS150)。問い合わせを受けたUSBキー30は、ROM33内に自動実行プログラムの存在を示す信号をOSに送信する(ステップS160)。
【0040】
USBキー30からのデータを受信したOSは、自動実行プログラムの有無を判断する(ステップS165)。ここで、自動実行プログラムがない場合には、デバイスを認識した状態で処理を終了するが、本実施例では、自動実行プログラムの存在する旨の信号が送信されているため、OSは、ROM33内からこのプログラムをロードし、これを起動する(ステップS170)。自動実行プログラムの起動とともに、USBキー30側での処理は終了する。なお、この自動実行プログラムは後述する外部無線LAN端末50からアクセスポイント20に対する接続要求プログラムであり、その実行時には上記フラッシュROM34に書き込まれている上記第二のIDデータを使用する。
【0041】
図2に示すアクセスポイント20に戻ると、無線通信インタフェース18には、電波を送信する送信機25,電波を受信する受信機26が接続されている。この送信機25,受信機26は、外部への電波の送信や外部からの電波の受信が可能な状態で、アクセスポイント20に内蔵されている。図1では、送信機25の出力や受信機26の受信感度を標準設定値とした場合に、送信機25から送信された電波が届き、かつ、受信機26が端末50,60,70からの電波を受け取れる範囲を、無線通信エリアAR1として表わしている。こうしたアクセスポイント20の設置により、無線通信エリアAR1内を通常の通信範囲とした無線LANが組まれる。
【0042】
なお、ROM12には、端末50,60,70との通信に関するプログラムとして、送信機25の出力の標準設定値を一時的に変更する処理の内容が記述された出力値変更プログラムや受信機26の受信感度の標準設定値を一時的に変更する処理の内容が記述された受信感度値変更プログラムが予め格納されている。この設定値を変更する処理は、具体的には、標準設定値を1/n(nは予め定められた定数)倍する演算処理によって実現される。CPU11は、この出力値変更プログラム,受信感度値変更プログラムを実行することにより、変更後の出力値や受信感度値を、無線通信インタフェース18を介して送信機25,受信機26に出力する。これにより、送信機25から送信される電波の出力や受信機26における電波の受信感度が変更される。
【0043】
端末50,60,70は、周知のノート型のパーソナルコンピュータであり、CPU,ROM,RAM等からなる制御装置をはじめ、記憶装置としてのハードディスクやCD−ROMドライブ等を備える。勿論、携帯情報端末(Personal Digital Assistant)等の他の端末であっても差し支えない。なお、本実施形態では、端末50,60,70をパーソナルコンピュータとしているが、無線LANデバイスを内蔵する家電製品などで実現していても良い。
【0044】
また、端末50,60,70には、アクセスポイント20との間での電波の送受信を行なえるようにする無線LAN接続用デバイスとして、無線LANアダプタ52,62,72が装着されている。この無線LANアダプタ52,62,72のデバイスドライバが端末50に組み込まれることにより、端末50,60,70は、装着された無線LANアダプタ52,62,72を認識し、無線LANアダプタ52,62,72を制御することが可能となる。なお、無線LANアダプタ52,62,72には、アダプタに固有の識別番号であるMACアドレスが付与されている。
【0045】
無線通信エリアAR1内に入ったコンピュータとしての端末50,60,70は、装着された無線LANアダプタ52,62,72とアクセスポイント20との間で電波が送受信されることにより、アクセスポイント20との通信を無線で行なう。アクセスポイント20および無線LANアダプタ52,62,72は、やり取りするデータを通信に適した形式、いわゆるパケットに変換することが可能であり、これにより、端末50,60,70とアクセスポイント20との間において、オフライン(インターネットに接続されていない状態)でデータのやり取りをすることが理論上可能となる。
【0046】
次に、アクセスポイント20をインターネットINに接続するための構成について説明する。図1に示すように、アクセスポイント20のWANポート24には、モデムを内蔵したルータ28がケーブルを介して接続されている。ルータ28は、無線LANアダプタ52,62,72それぞれのMACアドレスに基づいて、無線LAN内の複数の各端末50,60,70を特定し、これらを区別することができる。
【0047】
ルータ28内のモデムは、CATV回線,xDSL回線等のブロードバンドな通信回線CL、プロバイダPVの専用回線を介してインターネットINに接続されている。即ち、ルータ28は、無線LANをインターネットINに接続するゲートウェイとして機能する。
【0048】
なお、本実施例では、無線通信エリアAR1内にいる者が所有する無線LANアダプタを備えた端末のうち、MACアドレスがアクセスポイント20に登録されている端末(以下、登録端末という)に、無線LANへの接続を許容する。登録端末の所有者は、自己の端末をアクセスポイント20を通じてインターネットINに接続し、インターネットIN上のサーバSVに格納されたウェブコンテンツ等の種々の情報を取得することができる。一方、MACアドレスがアクセスポイント20に登録されていない端末(非登録端末という)は、たとえ無線通信エリアAR1内にいても無線LANに接続することができない。即ち、無線通信エリアAR1は、登録端末の所有者のみにインターネットINへの接続サービスを提供するフリースポットとされている。なお、図1では、端末50,60が登録端末に該当し、端末70が非登録端末に該当するものとする。
【0049】
こうした登録端末とアクセスポイント20との間では、契約やサービス等の種々の内容を有するデータ(以下、内容付きデータという)が電波に乗せて送受信される。本実施例では、内容付きデータを送信する側の装置(登録端末,アクセスポイント20)が、送信に先立って、既述したWEPキーという暗号鍵を用いて内容付きデータを暗号化し、暗号化後の内容付きデータ(以下、暗号化データという)を受信側の装置(アクセスポイント20,登録端末)に送信することとしている。受信側の装置は、受信した暗号化データをWEPキーを用いて複号化し、内容付きデータを得るのである。
【0050】
WEPは、IEEE802.11で使用される、秘密鍵暗号方式(データの暗号化と暗号化されたデータの復号化の双方で同じ暗号鍵を使用する方式)の暗号化技術であり、暗号鍵として64ビットまたは128ビットのWEPキーが用いられる。
こうしたWEPキーを用いた暗号化により、無線通信エリアAR1内において内容付きデータを乗せた電波が傍受された場合に、内容付きデータの解析がしにくくなり、通信内容の第三者への漏洩が防止される。例えば、登録端末からアクセスポイント20にクレジットカードの番号を含む契約文書が送信された場合には、送信電波の傍受によりクレジットカードの番号が第三者に知られてしまうことを防止することができる。
【0051】
A−2.WEPキーの設定に関する処理の内容:
続いて、上記のWEPキーを端末50,60に設定する手法について説明する。
アクセスポイント20のROM12には、端末50,60との通信に関するプログラムとして、無線LANアダプタ52,62のMACアドレスの登録に関するプログラム(MAC登録プログラム)が予め格納されている。一方、無線LANの使用に際して端末50,60に上述したUSBキー30を接続したときには上述した自動実行プログラムが起動されるが、当該自動実行プログラムはユーティリティプログラムの一種としてのWEPキーの設定に関するプログラム(WEPキー設定プログラム)を実現している。
【0052】
上記のWEPキー設定プログラムの内容を端末50,60のCPUが実行し、このWEPキー設定プログラムの実行に伴って上記のMAC登録プログラムおよび出力値変更プログラムの内容をアクセスポイント20のCPU11が実行することにより、図5に示すセキュリティデータ設定処理が行なわれる。このセキュリティデータ設定処理が行なわれることにより、アクセスポイント20に無線LANアダプタ52,62のMACアドレスが登録され、アクセスポイント20および端末50,60に共通のWEPキーが設定される。
【0053】
セキュリティデータ設定処理の内容について図5および図6を参照して説明する。図5はセキュリティデータ設定処理ルーチンを示すフローチャートである。図6は、出力値が変更された後の送信機25における電波の送信可能範囲を、セキュリティ通信エリアMR1として示す説明図である。この図5および図6に関する以下の説明では、IDデータの登録対象ないしWEPキーの設定対象となる端末が端末50であると仮定して説明する。
【0054】
セキュリティデータ設定処理ルーチンは、端末50側のCPUで実行されるルーチンAとアクセスポイント20側のCPU11で実行されるルーチンBとからなる。
アクセスポイント20で実施しているルーチンBのステップS200では、CPU11は入出力コントローラ16を介して登録用スイッチ27の押し下げ操作を検出しており、同操作を検出すると以下の接続手続きを開始する。
なお、セキュリティ通信エリアMR1は、既述した出力値変更プログラムの実行によって標準設定値が一時的に低減された場合に、送信機25による電波の送信が可能となる範囲であり(図6を参照)、上記USBキー30を接続した端末50の設置範囲RR1はこのセキュリティ通信エリアMR1の内側となっている。
【0055】
この後、アクセスポイント20は、動作モードを通常モードから登録モードに変更し、既述した出力値変更プログラムを実行して、送信機25の出力値を標準設定値の1/nに低減する処理を行なう(ステップS220)。これにより、送信機25が電波を送信できる範囲は、図6に示すセキュリティ通信エリアMR1内となり、無線通信エリアAR1よりも狭くなる。従って、無線通信エリアAR1内に入っている登録端末であっても、セキュリティ通信エリアMR1内に入っていない場合には、アクセスポイント20にアクセスすることができなくなる。
【0056】
次に、端末50は、無線LANアダプタ52における固有のMACアドレスとともに同様に上記フラッシュROM34に格納された個別のIDデータを取得し、無線LANに加入する旨の指示(以下、加入指示という)を表わすデータにMACアドレスとIDデータをヘッダ情報として付加したパケットを、アクセスポイント20に送信する処理を行なう(ステップS180)。
【0057】
続いて、アクセスポイント20は、受信したパケットのヘッダ情報からMACアドレスとIDデータを読み取り、読み取ったMACアドレスとIDデータをRAM13のバッファ領域に一時的に記憶する処理を行なう(ステップS230)。このとき同IDデータは、第二のIDデータとして記憶する。
【0058】
続くステップS240では、ID用ROM領域12aに格納されているIDデータである第一のIDデータと、加入指示データに含まれていたIDデータである第二のIDデータとが一致しているか否かを判断する。一致すれば、まさに対となるUSBキー30を接続された端末50であることが確認でき、以後の接続手続きを継続するが、一致しなければ加入指示データ50を送出してきたのはこの端末50ではないことが分かり、不正な侵入者であると判断できる。このとき、セキュリティ通信エリアMR1にあるという第一段階のセキュリティに加え、USBキー30を受け取っているという第二段階のセキュリティーも加わり、さらにセキュリティーの向上が図れる。
【0059】
このようなセキュリティーの確保された状態において、アクセスポイント20は、使用するWEPキーを表わすデータ(以下、WEPキーデータという)を端末50に送信する処理を行ない(ステップS250)、WEPキーデータが端末50に配信されたか否かを判断する処理を行なう(ステップS255)。この配信されたか否かの判断は、既述した無線LANアダプタ52のデータリターン機能を利用することにより実現することができる。WEPキーデータが端末50に配信されていないと判断した場合には、RAM13に記憶されていたMACアドレスとIDデータを消去し(ステップS260)、本ルーチンを終了する。なお、セキュリティーの確保された状態は、それぞれの無線送受信端末の間で個別に保持している第一のIDデータと第二のIDデータとが一致していることを前提としてそれぞれが保持している第一のIDデータと第二のIDデータに基づいて暗号化したり複合化したりすることで保持している。
【0060】
一方、WEPキーデータが端末50に配信されたと判断した場合には、既述した出力値変更プログラムを実行して、送信機25の出力値を標準設定値に戻す処理を行なう(ステップS270)。これにより、送信機25が電波を送信できる範囲が、通常の範囲(無線通信エリアAR1)となり、登録端末は、無線通信エリアAR1内に入っていれば、アクセスポイント20にアクセスすることができる。
【0061】
続いて、アクセスポイント20は、端末50のMACアドレスを、記憶装置14の管理領域に登録する処理を行ない(ステップS280)、動作モードを通常モードに戻して本ルーチンを終了する。これにより、アクセスポイント20側での端末50に関するMACアドレスの登録が完了する。
【0062】
一方、ステップS250の処理によってWEPキーデータを受信した端末50は、WEPキーをアクセスポイント20のIPアドレスと関連付けて自動的に設定する処理を行ない(ステップS190)、本ルーチンを終了する。これにより、端末50側でのアクセスポイント20に関するWEPキーの設定が完了する。以降、端末50とアクセスポイント20との間では、設定されたWEPキーを用いて内容付きデータを暗号化した暗号化データが送受信される。
【0063】
A−3.作用効果:
以上説明した第1実施例の暗号鍵設定システムLH1では、上記のセキュリティデータ設定処理を実行することにより、端末50にWEPキーを自動的に設定する。このような「WEPキーの無線通信による自動設定」がなされることで、無線LANを利用する端末50の新規追加を簡便に実現することが可能となり、加入し易い無線LANを提供することができる。例えば、WEPキーの設定に際し、端末50の所有者やアクセスポイント20の管理者は、端末50とアクセスポイント20とをケーブル等で接続する必要がなく、また、WEPキーの作成や設定を手作業で行なう必要もない。特に、上記の暗号鍵設定システムLH1をフリースポットに備えられた無線LANに採用すれば、なお好適である。フリースポットの無線LANは、これを利用しようとする多数の人が次々と新規に加入するものであり、各人の設定に伴って必要な作業を大きく軽減することができるからである。
【0064】
更に、アクセスポイント20は、WEPキーのデータを電波に乗せて端末50に送信する際に、アクセスポイント20から送信される電波が届く範囲を、通常の範囲である無線通信エリアAR1から、より狭い範囲であるセキュリティ通信エリアMR1に変更する。このため、WEPキーデータを乗せた電波が傍受される可能性が低くなる。例えば、図4において、アクセスポイント20から端末50にWEPキーデータが送信された場合に、WEPキーデータを乗せた電波は、狭い範囲であるセキュリティ通信エリアMR1内にしか届かず(矢印Q1を参照)、セキュリティ通信エリアMR1外にいる登録端末60や非登録端末70に受信されてしまうことがない。従って、上記のようにWEPキーデータが無線で送信される場合であっても、WEPキーの漏洩を防止することが可能となり、セキュリティレベルの高い無線LANを実現することができる。特に、このようなアクセスポイント20をフリースポットに設置した場合には、フリースポットを利用しようとする多数の者の端末について、WEPキーの設定時にWEPキーが第三者に漏洩してしまうことが確実に防止される。従って、多数の各利用者の通信の秘密を十全に確保することができる。
【0065】
また、上述した実施形態ではフリースポットで可搬型のパーソナルコンピュータに対するWEPキーの設定を例にしているが、家庭内で無線LANで制御可能な家電製品をネットワークに接続するときでも全く同様に実現できる。すなわち、ネットワークで制御可能なAV機器を無線LANでアクセスポイント20に接続する場合、同AV機器に上記USBキー30を装着し、上述した処理を実行することになる。AV機器ではUSBポートを備えていない場合もあるが、代わりにIEEE1394規格の通信をサポートしていることが多いし、さらにブルートゥース規格の通信をサポートしていることが多い。このため、外部記憶装置をこれらのIEEE1394規格やブルートゥース規格の通信インターフェイスを備えたもので実現することで、より汎用的な利用が可能となる。なお、一台のアクセスポイント20に対して同じIDデータを保持する複数の通信規格に対応した外部記憶装置30を対応づけて製造したり販売しても良い。
【0066】
このようしたことにより、端末の所有者およびアクセスポイントの管理者は、外部記憶装置としてのUSBキー30を外部無線LAN端末に接続するとともにアクセスポイント20における登録用スイッチ27を操作するだけでWEPキーの設定を行なうことが可能となる。なお、アクセスポイント20が外部無線LAN端末からの接続要求を受信したときに自動的に登録モードに入るようにすることで、登録スイッチ16aを省略することも可能である。
【0067】
B.まとめ
このように、アクセスポイント20の側に第一のIDデータを記憶させ、対となる外部記憶装置としてのUSBキー30に対応する第二のIDデータを記憶させつつ、当該USBキー30を無線LANの端末50に接続することにより、当該IDデータを含めて端末50から無線LAN規格に基づいて接続要求となる加入指示データを送出させ、アクセスポイントの側で予め格納されているIDデータと加入指示データに含まれるIDデータとを対比し(ステップS240)、一致したときにだけ接続手続きを継続させるようにしたので、簡便さを維持しつつ、セキュリティーを向上させることができるようになった。
【産業上の利用可能性】
【0068】
操作の簡便性とセキュリティーの向上を両立させた無線LANシステムを構築できる。
【図面の簡単な説明】
【0069】
【図1】本発明の第1実施例である暗号鍵設定システムLH1を実現するハードウェアの構成を示す説明図である。
【図2】アクセスポイント20の構成を示す説明図である。
【図3】アクセスポイント20と対をなす外部記憶装置としてのUSBキーのブロック図である。
【図4】USB接続から自動実行プログラムの起動までに、OS側と外部記憶装置側とでそれぞれ実行される処理内容を示したフローチャートである。
【図5】セキュリティデータ設定処理ルーチンを示すフローチャートである。
【図6】出力値が変更された後の送信機25における電波の送信可能範囲を、セキュリティ通信エリアMR1として示す説明図である。
【符号の説明】
【0070】
20…アクセスポイント
12a…ID用ROM領域
16…入出力コントローラ
27…登録用スイッチ
30…USBキー
34…フラッシュROM
【技術分野】
【0001】
本発明は、アクセスポイント、無線LAN接続方法、無線LAN接続プログラムを記録した媒体および無線LANシステムに関する。
【背景技術】
【0002】
近年、無線LAN用の中継器であるアクセスポイントは、離れた位置にある複数のコンピュータをインターネットに接続するデバイスとして、自宅やオフィス内等の特定人が継続的に活動する場所(以下、プライベートスペースという)のみならず、ホテルや空港,商店街,公園,駅等の不特定多数の人が一時的に活動する場所(以下、パブリックスペースという)でも利用され始めている。例えば、アクセスポイントを、xDSL回線やCATV回線等の高速なインターネット接続サービスを実現するブロードバンド回線に接続してパブリックスペースに配置することにより、アクセスポイントから発信された電波が届く範囲(無線通信エリア)内にいる不特定多数人に対して自由にインターネットに接続できる空間(以下、フリースポットという)を提供するサービスが提案されている。即ち、パブリックスペースの管理者が加入しているブロードバンド回線を、無線LAN用のアクセスポイントを用いてパブリックスペースの利用者が所持する端末に開放するのである。これにより、利用者によるインターネット接続の利便性が高まり、パブリックスペースの利用促進を図ることができる。
【0003】
このようなフリースポットでは、無線通信エリア内での無線LANを介したインターネットへの接続権限を、限定者(例えば、お得意様)のみに認める場合があり、こうした場合には、限定者以外の人によるネットワークへの不正侵入を防止する必要があった。また、多数の人が集まるフリースポットでは、各人が所持する端末とアクセスポイントとの間で無線通信用の電波が頻繁に飛び交うので、多数の各人のプライバシーを十全に保護するために、無線通信エリア内での電波の傍受により通信内容が第三者に漏洩することを確実に防止する必要があった。
【0004】
一方、無線LANに関しては、従来、ネットワークへの不正侵入や通信内容の第三者への漏洩を防止するセキュリティ技術が種々提案されていた。例えば、端末に装着される無線LAN接続用デバイス(例えば、無線LANアダプタ)に予め割り当てられた固有の識別番号であるMAC(Media Access Control)アドレスを利用し、このMACアドレスをアクセスポイントに登録しておき、端末からのアクセスに伴ってアクセスポイントがMACアドレスの認証を行ない、登録されたMACアドレス以外のMACアドレスであれば、該端末からのネットワークへの接続要求を拒否する技術(以下、MACアドレス制限という)が提案されていた(例えば、特許文献1を参照)。また、端末およびアクセスポイントに、共通の暗号鍵としてWEP(Wired Equivalent Privacy)キーを設定しておき、端末とアクセスポイントとの間でやりとりされるデータの内容をWEPキーを用いて暗号化し、データが漏洩した場合であっても、データの内容を解析しにくくし、データの内容がわからないようにする技術(以下、WEP暗号化という)も提案されていた(例えば、特許文献2を参照)。
【特許文献1】特開2001−320373号公報
【特許文献2】特開2001−345819公報 よって、セキュリティが確保されたフリースポットを実現するためには、フリースポットの利用に先立って、フリースポットを利用しようとする各人の端末について、MACアドレスの登録やWEPキーの設定を行なっておく必要があった。
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、上記した従来のセキュリティ技術では、アクセスポイントへのMACアドレスの登録や端末へのWEPキーの設定を手作業で行なわなければならず、無線LANを利用する端末を新たに追加しようとする場合に煩雑かつ不便であるという課題があった。特に、パブリックスペースに設けられるフリースポットでは、フリースポットを利用しようとする者が多数存在し、しかも徐々に増えていく。このような多数の各端末所有者に、フリースポットを利用する条件として、MACアドレスの登録やWEPキーの設定に関する端末操作を課すことは、極めて不便であり、現実的でなかった。
【0006】
また、端末側で任意の文字列を用いて設定されたWEPキーをアクセスポイント側にも設定するためには、無線LANを利用して設定すること、即ち、端末からWEPキーのデータを電波に乗せてアクセスポイントに無線で送信し、これを受信したアクセスポイントが当該端末についてのWEPキーを設定することが合理的である。こうすれば、端末所有者は、WEPキーの送信後すぐに、無線LANを介した各種のサービス(例えば、インターネット接続)を利用することができるからである。このようにWEPキーを無線で送信した場合には、端末とアクセスポイントとの間での電波の傍受によりWEPキーが第三者に漏洩するおそれがある。この場合、漏洩したWEPキーを手にした第三者は、WEPキーが設定された端末とアクセスポイントとの間でやり取りされる全てのデータを解析してデータの内容を知ることが可能となり、これでは暗号化によるセキュリティシステムが機能しなくなってしまう。特に、フリースポットのアクセスポイントでは、フリースポットを利用しようとする多数の者の端末についてWEPキーの設定が行なわれるので、WEPキーの漏洩を十全に防止し、多数の各利用者の通信の秘密を十全に確保する必要がある。
【0007】
さらに、パーソナルコンピュータのような汎用的なコンピュータに加え、家電製品なども家庭内ネットワークに接続して各種の制御を可能にすることが実現されつつある。しかし、利便性を向上させるべく無線LANを採用すると、アクセスポイントのWEPキーを設定する手続きの困難性が生じる。
【0008】
そこで、本発明は、上記の課題を解決し、無線LANを利用する端末の新規追加を、暗号鍵を表わすデータの漏洩を防止しつつ、簡便な手法で実現することを目的として、以下の構成を採った。
【課題を解決するための手段】
【0009】
上記目的を達成するため、請求項1にかかる発明は、有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントであって、当該アクセスポイントは対となる外部記憶装置を有し、
同外部記憶装置は、無線LAN端末に接続する通信用インターフェイスと、この通信用インターフェイスの接続時に、上記無線LAN端末に対して既知であるディスク装置が接続されたと認識させる信号を出力する出力手段と、上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータと、上記ディスク装置の接続を認識した上記無線LAN端末に対して上記第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを格納する自動実行プログラム格納手段とを備え、
上記アクセスポイントは、上記第一のIDデータを有しており、上記無線LAN端末が上記自動実行プログラムを実行して接続要求があると、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なう構成としてある。
【0010】
上記のように構成した請求項1にかかる発明においては、アクセスポイントが外部無線LAN端末と有線LANとの接続を介在するにあたり、当該アクセスポイントは対となる外部記憶装置を有している。対となるのは、アクセスポイントに格納された第一のIDデータと外部記憶装置に格納された第二のIDデータとが一対一で対応しているからである。対応関係は同じデータであるときもあるし、何らかの演算を実施することで一致するなど具体的には各種の対応が考えられる。なお、一対一の対応関係は必ずしも絶対的ではなく、きわめて低い確率で同じ対のIDデータが存在することを否定しない。
【0011】
ここで外部記憶装置を無線LAN端末に接続すると、通信用インターフェイスを介して出力手段が上記無線LAN端末に対して既知であるディスク装置が接続されたと認識させる信号を出力し、格納されている自動実行プログラムが起動される。この自動実行プログラムは上記ディスク装置の接続を認識した上記無線LAN端末に対して上記第二のIDデータを使用して上記アクセスポイントに接続するための処理を開始する。
【0012】
一方、アクセスポイントは、上記無線LAN端末が上記自動実行プログラムを実行して接続要求してきたときに、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なう。
【0013】
すなわち、上記外部記憶装置を上記外部無線LAN端末に接続すると、ディスク装置であると認識されて自動的に所定の自動実行プログラムが起動し、かつ、当該外部記憶装置とアクセスポイントには対応関係にあるIDデータが格納されており、当該IDデータを利用して承認や暗号/複合化処理を実現することが可能となっている。
【0014】
上述した外部記憶装置とアクセスポイントには対応関係にある第二のIDデータと第一のIDデータを書き込んでおく必要がある。外部記憶装置の側での書き込み領域として、請求項2にかかる発明は、上記第二のIDデータをワンタイムROMに記憶しており、請求項3にかかる発明においては、上記第二のIDデータをフラッシュROMに記憶している構成としてある。
【0015】
これらの第二のIDデータは個々の外部記憶装置ごとに異なることを前提としており、異なるIDデータを個別の外部記憶装置に書き込む領域として上述したワンタイムROMやフラッシュROMが有用である。
上記外部記憶装置が上記外部無線LAN端末と接続するための通信用インターフェイスの規格は各種のものを採用可能である。その一例として、請求項4にかかる発明では、上記外部記憶装置の通信用インターフェイスは、ユニバーサルシリアルバス規格に基づく通信インターフェイスを採用しており、請求項5にかかる発明では、上記外部記憶装置の通信用インターフェイスは、ブルートゥース規格に基づく通信インターフェイスを採用しており、請求項6にかかる発明では、上記外部記憶装置の通信用インターフェイスは、IEEE1394規格に基づく通信インターフェイスを採用している。
【0016】
これらの通信規格は広く標準化されていて接続が容易である上、上述したように単なる通信のための接続ポートをディスク装置として認識させることで、接続するだけで所定の自動実行プログラムを実行することを実現できる。むろん、ユニバーサルシリアルバス規格であれば、標準化の度合いが高く実質的にほぼすべての機器にでも接続できるし、ブルートゥース規格であればワイヤードでない便利さがあり、IEEE1394規格であれば高速化処理が実現できる。
【0017】
さらに、請求項7にかかる発明は、上記第一のIDデータ受信器で上記第一のIDデータを取得すると、無線出力範囲を狭め、接続手続きが終了すると無線出力範囲を元に戻す構成としてある。
上記のように構成した請求項7にかかる発明においては、アクセスポイントが第一のIDデータ受信器で上記第一のIDデータを取得すると、無線出力範囲を狭める。すなわち、第一のIDデータ受信器で第一のIDデータを取得したということは、無線LAN規格に基づく接続要求が来る前提条件であり、このような接続要求時にはセキュリティの低下を招く。しかし、無線出力範囲を狭めることで、接続要求を行うものは自ずからアクセスポイントに対して十分に接近しなければならず、管理者としてもセキュリティ上の不審者がアクセスポイントに近づけばすぐに分かるし、逆にアクセスポイントに対して十分に接近できないものがそれ以降の接続要求を出すこともできない。従って、結果的に無線出力範囲を狭めることで物理的に接続要求を出せるものを限定させることになる。
【0018】
上記アクセスポイントは上記第一のIDデータと第二のIDデータとの対応に応じて接続を行なうか否かを判断するが、これらのIDデータを接続要求の開始以外に利用しても良い。その一例として、請求項8にかかる発明では、上記外部記憶装置とアクセスポイントは上記第一のIDデータと第二のIDデータとを使用して無線LAN規格に基づく通信時にセキュリティデータの暗号化と複合化を行なう構成としてある。
【0019】
すなわち、接続要求の処理の中でセキュリティデータの送受信が必要であるときに、外部記憶装置とアクセスポイントのそれぞれが対応する第一のIDデータと第二のIDデータを有しているので、これらを暗号化や複合化の種に使用することで外部との秘密状態を維持してセキュリティデータを送受信することが可能となる。
【0020】
このように、無線LAN規格外の手法と無線LAN規格による手法とを併用して接続を開始させる手法は必ずしも実体のある装置に限られる必要はなく、その方法としても機能することは容易に理解できる。このため、請求項9にかかる発明は、有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントの無線LAN接続方法であって、当該アクセスポイントは対となる外部記憶装置を有しており、同外部記憶装置を上記無線LAN端末に接続すると、当該無線LAN端末に対して既知であるディスク装置が接続されたと認識させ、上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを実行し、上記アクセスポイントは、上記無線LAN端末が上記自動実行プログラムを実行して接続要求を行なうと、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なう構成としてある。
【0021】
すなわち、必ずしも実体のある装置に限らず、その方法としても有効であることに相違はない。
ところで、このようなアクセスポイントは単独で存在する場合もあるし、ある機器に組み込まれた状態で利用されることもあるなど、発明の思想としてはこれに限らず、各種の態様を含むものである。従って、ソフトウェアであったりハードウェアであったりするなど、適宜、変更可能である。
【0022】
発明の思想の具現化例としてアクセスポイントのソフトウェアとなる場合には、かかるソフトウェアを記録した記録媒体上においても当然に存在し、利用されるといわざるをえない。
その一例として、請求項10にかかる発明は、有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントの無線LAN接続プログラムを記録した媒体であって、当該アクセスポイントは対となる外部記憶装置を有しており、同外部記憶装置を上記無線LAN端末に接続すると、当該無線LAN端末に対して既知であるディスク装置が接続されたと認識させ、上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを実行し、上記アクセスポイントでは、上記無線LAN端末が上記自動実行プログラムを実行して接続要求を行なうと、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なう機能をコンピュータに実現させる構成としてある。
【0023】
むろん、その記録媒体は、磁気記録媒体であってもよいし光磁気記録媒体であってもよいし、今後開発されるいかなる記録媒体においても全く同様に考えることができる。また、一次複製品、二次複製品などの複製段階については全く問う余地無く同等である。その他、供給方法として通信回線を利用して行なう場合でも本発明が利用されていることにはかわりない。
【0024】
さらに、一部がソフトウェアであって、一部がハードウェアで実現されている場合においても発明の思想において全く異なるものではなく、一部を記録媒体上に記憶しておいて必要に応じて適宜読み込まれるような形態のものとしてあってもよい。
本発明をソフトウェアで実現する場合、ハードウェアやオペレーティングシステムを利用する構成とすることも可能であるし、これらと切り離して実現することもできる。例えば、各種の演算処理といっても、その実現方法はオペレーティングシステムにおける所定の関数を呼び出して処理することも可能であれば、このような関数を呼び出すことなくハードウェアから入力することも可能である。そして、実際にはオペレーティングシステムの介在のもとで実現するとしても、プログラムが媒体に記録されて流通される過程においては、このプログラムだけで本発明を実施できるものと理解することができる。
【0025】
また、本発明をソフトウェアで実施する場合、発明がプログラムを記録した媒体として実現されるのみならず、本発明がプログラム自体として実現されるのは当然であり、プログラム自体も本発明に含まれる。
また、本発明は、上述したようなアクセスポイントの側だけにとどまるものではなく、無線LAN端末を含めた無線LANシステムとしても利用可能であることはいうまでもない。
このため、請求項11にかかる発明は、有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントと、当該アクセスポイントと対となる外部記憶装置と、上記外部無線LAN端末とからなる無線LANシステムであって、
上記外部記憶装置は、無線LAN端末に接続する通信用インターフェイスと、この通信用インターフェイスの接続時に、上記無線LAN端末に対して既知であるディスク装置が接続されたと認識させる信号を出力する出力手段と、上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータと、上記ディスク装置の接続を認識した上記無線LAN端末に対して上記第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを格納する自動実行プログラム格納手段とを備え、
上記無線LAN端末は、上記自動実行プログラムを実行して無線LAN規格に基づく接続要求に伴って上記第二のIDデータを送出可能であり、
上記アクセスポイントは、上記第一のIDデータを有しており、上記無線LAN端末が上記自動実行プログラムを実行して接続要求があると、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なう構成としてある。
【発明の効果】
【0026】
以上説明したように本発明は、対応関係を承認するためのIDデータを利用するため、自動実行プログラムを格納した外部記憶装置をアクセスポイントとを対として使用することにより、セキュリティーの低下を防止しつつ簡易な手法で接続を開始させることが可能なアクセスポイントを提供することができる。
【0027】
また、請求項2にかかる発明によれば、ワンタイムROMを使用し、請求項3にかかる発明によれば、フラッシュROMを使用し、個別のIDデータを比較的容易に外部記憶装置に対して不揮発的に書き込むことができる。
さらに、請求項4にかかる発明によれば、ユニバーサルシリアルバス規格に基づく通信インターフェイスを採用し、請求項5にかかる発明によれば、ブルートゥース規格に基づく通信インターフェイスを採用し、請求項6にかかる発明によれば、IEEE1394規格に基づく通信インターフェイスを採用することにより、簡易かつ確実に外部記憶装置を外部無線LAN端末に接続することができる。
【0028】
さらに、請求項7にかかる発明によれば、接続手続きの間は無線出力範囲が狭まるので、限られた範囲の無線LAN端末との間でなければ接続手続きを行えず、セキュリティを向上させることができる。
さらに、請求項8にかかる発明によれば、対応関係にあるIDデータを使用して暗号化と複合化を行うことにより、無線通信によってセキュリティデータを安全かつ確実に送受信することができる。
さらに、請求項9にかかる発明によれば、同様の効果を奏する無線LAN接続方法を提供でき、請求項10にかかる発明によれば、無線LAN接続プログラムを記録した媒体を提供でき、請求項11にかかる発明によれば、無線LANシステムを提供できる。
【発明を実施するための最良の形態】
【0029】
以上説明した本発明の構成および作用を一層明らかにするために、以下本発明の実施の形態を、以下の順序で説明する。
A.第1実施例
A−1.暗号鍵設定システムLH1の概要
A−2.WEPキーの設定に関する処理の内容
A−3.作用効果
B.まとめ
A.実施例:
A−1.暗号鍵設定システムLH1の概要:
図1は本発明の第1実施例である暗号鍵設定システムLH1を実現するハードウェアの構成を示す説明図であり、図2はアクセスポイント20の構成を示す説明図である。
【0030】
暗号鍵設定システムLH1は、無線LANの無線通信エリアAR1内において、端末50とアクセスポイント20との間で、暗号鍵としてのWEPキーの内容を表わすキーデータを電波に乗せて無線通信することにより、端末(外部無線LAN端末)50にアクセスポイント20が使用するWEPキーを設定するシステムである。
【0031】
図1に示すように、無線通信エリアAR1には、無線LAN用の中継器であるアクセスポイント(無線基地局)20が設置されている。アクセスポイント20は、図2に示すように、CPU11と、このCPU11とバスにより相互に接続されたROM12,RAM13,ハードディスク等の不揮発的な記憶装置14,ネットワークインタフェースとしてのWANポート17,有線LANとの接続用のLANポート22,無線通信インタフェース18,ディスプレイコントローラ15,入出力コントローラ16等の各部を備える。
【0032】
ROM12には、無線通信エリアAR1内の端末50,60,70との通信やインターネットINへの接続に関する各種のプログラムとこのプログラムの実行に必要なデータが格納されている。ここでROM12には識別用の個別IDデータ(第一のIDデータ)を書き込むことができるようになっており、そのためのID用ROM領域12aを有している。このID用ROM領域12aはワンタイムROMやフラッシュROMを使用することが可能であり、図示しない書き込み用のパッドに対して製造工程で所定の電極を接続して書き込みを行う。
【0033】
入出力コントローラ16には当該アクセスポイントの側で登録処理の実行を開始するための登録用スイッチ(SW)27が接続されている。
図3は当該アクセスポイント20と対をなす外部記憶装置としてのUSBキー30を概略ブロック図により示している。図において、USBデバイスI/F31は、シリアル規格であるユニバーサルシリアルバス(USB)を有し、外部無線LAN端末となるPCとの接続が可能である。PCからUSBキー30へのデータの書き込みや読み出しなどのアクセスは、このUSBデバイスI/F31を介して行われる。以下、USBデバイスI/F31を介して、USBキー30をPCに接続することをUSB接続と呼ぶ。
【0034】
ROM33は、OSに対してUSBキー30を、既知のディスク装置の一つであるCD−ROMとして認識させる擬似的な信号を出力する信号プログラムと、自動実行プログラムとを備えたますクロムである。この信号プログラムからの擬似的な信号は、USBキー30のUSB接続時にPC側からのデバイスの設定要求に対して出力される。PC側にはCD−ROMとして認識された後に、自動実行プログラムが起動する。なお、ROM33はCPU32に内蔵されるものであっても良い。
【0035】
フラッシュROM34は、マスクROMである33とは異なり、一つ一つのUSBキー30のそれぞれに上記アクセスポイント20の側の個別IDデータ(第一のIDデータ)と対応する個別のIDデータ(第二のIDデータ)を書き込んでおく領域である。このフラッシュROM34に対する書き込みは、図示しない書き込み用のパッドに対して製造工程で所定の電極を接続して行う。個別のアクセスポイント20ごとに個別の対応関係にあるUSBキー30を製造する必要があるため、アクセスポイント20の製造工程の最後の工程あるいは、アクセスポイント20を梱包する工程で書き込みを行うと良い。
【0036】
こうした要素からなるUSBキー30のPCへのUSB接続および自動実行プログラムの処理について説明する。図4は、USB接続から自動実行プログラムの起動までに、無線LAN端末50としてのPCのOS側とUSBキー30側とでそれぞれ実行される処理内容を示したフローチャートである。
【0037】
まず、ユーザが起動中のPCのUSB接続ポートへ挿入すると(ステップS100)、OSは、USB接続ポートにデバイスが接続されたことを認識する(ステップS110)。デバイスを認識したOSは、デバイスに対して種別を認識するための信号を要求する(ステップS120)。
【0038】
OS側からどのような種類のデバイスであるかは認識されていないUSBキー30は、OSからの要求に対して、CD−ROMに相当する信号を出力する(ステップS130)。
OSは、USBキー30から受けた信号に基づいて、USB接続ポートに接続されたデバイスの種別を判定し、デバイスがCD−ROMであることを認識する(ステップS140)。具体的には、接続されたデバイスは読み出し専用のディスクであると認識し、CD−ROMイメージをマウントする。
【0039】
続いて、CD−ROMイメージをマウントしたOSは、CD−ROMイメージ内に自動実行プログラムが存在するか否かを問合せる(ステップS150)。問い合わせを受けたUSBキー30は、ROM33内に自動実行プログラムの存在を示す信号をOSに送信する(ステップS160)。
【0040】
USBキー30からのデータを受信したOSは、自動実行プログラムの有無を判断する(ステップS165)。ここで、自動実行プログラムがない場合には、デバイスを認識した状態で処理を終了するが、本実施例では、自動実行プログラムの存在する旨の信号が送信されているため、OSは、ROM33内からこのプログラムをロードし、これを起動する(ステップS170)。自動実行プログラムの起動とともに、USBキー30側での処理は終了する。なお、この自動実行プログラムは後述する外部無線LAN端末50からアクセスポイント20に対する接続要求プログラムであり、その実行時には上記フラッシュROM34に書き込まれている上記第二のIDデータを使用する。
【0041】
図2に示すアクセスポイント20に戻ると、無線通信インタフェース18には、電波を送信する送信機25,電波を受信する受信機26が接続されている。この送信機25,受信機26は、外部への電波の送信や外部からの電波の受信が可能な状態で、アクセスポイント20に内蔵されている。図1では、送信機25の出力や受信機26の受信感度を標準設定値とした場合に、送信機25から送信された電波が届き、かつ、受信機26が端末50,60,70からの電波を受け取れる範囲を、無線通信エリアAR1として表わしている。こうしたアクセスポイント20の設置により、無線通信エリアAR1内を通常の通信範囲とした無線LANが組まれる。
【0042】
なお、ROM12には、端末50,60,70との通信に関するプログラムとして、送信機25の出力の標準設定値を一時的に変更する処理の内容が記述された出力値変更プログラムや受信機26の受信感度の標準設定値を一時的に変更する処理の内容が記述された受信感度値変更プログラムが予め格納されている。この設定値を変更する処理は、具体的には、標準設定値を1/n(nは予め定められた定数)倍する演算処理によって実現される。CPU11は、この出力値変更プログラム,受信感度値変更プログラムを実行することにより、変更後の出力値や受信感度値を、無線通信インタフェース18を介して送信機25,受信機26に出力する。これにより、送信機25から送信される電波の出力や受信機26における電波の受信感度が変更される。
【0043】
端末50,60,70は、周知のノート型のパーソナルコンピュータであり、CPU,ROM,RAM等からなる制御装置をはじめ、記憶装置としてのハードディスクやCD−ROMドライブ等を備える。勿論、携帯情報端末(Personal Digital Assistant)等の他の端末であっても差し支えない。なお、本実施形態では、端末50,60,70をパーソナルコンピュータとしているが、無線LANデバイスを内蔵する家電製品などで実現していても良い。
【0044】
また、端末50,60,70には、アクセスポイント20との間での電波の送受信を行なえるようにする無線LAN接続用デバイスとして、無線LANアダプタ52,62,72が装着されている。この無線LANアダプタ52,62,72のデバイスドライバが端末50に組み込まれることにより、端末50,60,70は、装着された無線LANアダプタ52,62,72を認識し、無線LANアダプタ52,62,72を制御することが可能となる。なお、無線LANアダプタ52,62,72には、アダプタに固有の識別番号であるMACアドレスが付与されている。
【0045】
無線通信エリアAR1内に入ったコンピュータとしての端末50,60,70は、装着された無線LANアダプタ52,62,72とアクセスポイント20との間で電波が送受信されることにより、アクセスポイント20との通信を無線で行なう。アクセスポイント20および無線LANアダプタ52,62,72は、やり取りするデータを通信に適した形式、いわゆるパケットに変換することが可能であり、これにより、端末50,60,70とアクセスポイント20との間において、オフライン(インターネットに接続されていない状態)でデータのやり取りをすることが理論上可能となる。
【0046】
次に、アクセスポイント20をインターネットINに接続するための構成について説明する。図1に示すように、アクセスポイント20のWANポート24には、モデムを内蔵したルータ28がケーブルを介して接続されている。ルータ28は、無線LANアダプタ52,62,72それぞれのMACアドレスに基づいて、無線LAN内の複数の各端末50,60,70を特定し、これらを区別することができる。
【0047】
ルータ28内のモデムは、CATV回線,xDSL回線等のブロードバンドな通信回線CL、プロバイダPVの専用回線を介してインターネットINに接続されている。即ち、ルータ28は、無線LANをインターネットINに接続するゲートウェイとして機能する。
【0048】
なお、本実施例では、無線通信エリアAR1内にいる者が所有する無線LANアダプタを備えた端末のうち、MACアドレスがアクセスポイント20に登録されている端末(以下、登録端末という)に、無線LANへの接続を許容する。登録端末の所有者は、自己の端末をアクセスポイント20を通じてインターネットINに接続し、インターネットIN上のサーバSVに格納されたウェブコンテンツ等の種々の情報を取得することができる。一方、MACアドレスがアクセスポイント20に登録されていない端末(非登録端末という)は、たとえ無線通信エリアAR1内にいても無線LANに接続することができない。即ち、無線通信エリアAR1は、登録端末の所有者のみにインターネットINへの接続サービスを提供するフリースポットとされている。なお、図1では、端末50,60が登録端末に該当し、端末70が非登録端末に該当するものとする。
【0049】
こうした登録端末とアクセスポイント20との間では、契約やサービス等の種々の内容を有するデータ(以下、内容付きデータという)が電波に乗せて送受信される。本実施例では、内容付きデータを送信する側の装置(登録端末,アクセスポイント20)が、送信に先立って、既述したWEPキーという暗号鍵を用いて内容付きデータを暗号化し、暗号化後の内容付きデータ(以下、暗号化データという)を受信側の装置(アクセスポイント20,登録端末)に送信することとしている。受信側の装置は、受信した暗号化データをWEPキーを用いて複号化し、内容付きデータを得るのである。
【0050】
WEPは、IEEE802.11で使用される、秘密鍵暗号方式(データの暗号化と暗号化されたデータの復号化の双方で同じ暗号鍵を使用する方式)の暗号化技術であり、暗号鍵として64ビットまたは128ビットのWEPキーが用いられる。
こうしたWEPキーを用いた暗号化により、無線通信エリアAR1内において内容付きデータを乗せた電波が傍受された場合に、内容付きデータの解析がしにくくなり、通信内容の第三者への漏洩が防止される。例えば、登録端末からアクセスポイント20にクレジットカードの番号を含む契約文書が送信された場合には、送信電波の傍受によりクレジットカードの番号が第三者に知られてしまうことを防止することができる。
【0051】
A−2.WEPキーの設定に関する処理の内容:
続いて、上記のWEPキーを端末50,60に設定する手法について説明する。
アクセスポイント20のROM12には、端末50,60との通信に関するプログラムとして、無線LANアダプタ52,62のMACアドレスの登録に関するプログラム(MAC登録プログラム)が予め格納されている。一方、無線LANの使用に際して端末50,60に上述したUSBキー30を接続したときには上述した自動実行プログラムが起動されるが、当該自動実行プログラムはユーティリティプログラムの一種としてのWEPキーの設定に関するプログラム(WEPキー設定プログラム)を実現している。
【0052】
上記のWEPキー設定プログラムの内容を端末50,60のCPUが実行し、このWEPキー設定プログラムの実行に伴って上記のMAC登録プログラムおよび出力値変更プログラムの内容をアクセスポイント20のCPU11が実行することにより、図5に示すセキュリティデータ設定処理が行なわれる。このセキュリティデータ設定処理が行なわれることにより、アクセスポイント20に無線LANアダプタ52,62のMACアドレスが登録され、アクセスポイント20および端末50,60に共通のWEPキーが設定される。
【0053】
セキュリティデータ設定処理の内容について図5および図6を参照して説明する。図5はセキュリティデータ設定処理ルーチンを示すフローチャートである。図6は、出力値が変更された後の送信機25における電波の送信可能範囲を、セキュリティ通信エリアMR1として示す説明図である。この図5および図6に関する以下の説明では、IDデータの登録対象ないしWEPキーの設定対象となる端末が端末50であると仮定して説明する。
【0054】
セキュリティデータ設定処理ルーチンは、端末50側のCPUで実行されるルーチンAとアクセスポイント20側のCPU11で実行されるルーチンBとからなる。
アクセスポイント20で実施しているルーチンBのステップS200では、CPU11は入出力コントローラ16を介して登録用スイッチ27の押し下げ操作を検出しており、同操作を検出すると以下の接続手続きを開始する。
なお、セキュリティ通信エリアMR1は、既述した出力値変更プログラムの実行によって標準設定値が一時的に低減された場合に、送信機25による電波の送信が可能となる範囲であり(図6を参照)、上記USBキー30を接続した端末50の設置範囲RR1はこのセキュリティ通信エリアMR1の内側となっている。
【0055】
この後、アクセスポイント20は、動作モードを通常モードから登録モードに変更し、既述した出力値変更プログラムを実行して、送信機25の出力値を標準設定値の1/nに低減する処理を行なう(ステップS220)。これにより、送信機25が電波を送信できる範囲は、図6に示すセキュリティ通信エリアMR1内となり、無線通信エリアAR1よりも狭くなる。従って、無線通信エリアAR1内に入っている登録端末であっても、セキュリティ通信エリアMR1内に入っていない場合には、アクセスポイント20にアクセスすることができなくなる。
【0056】
次に、端末50は、無線LANアダプタ52における固有のMACアドレスとともに同様に上記フラッシュROM34に格納された個別のIDデータを取得し、無線LANに加入する旨の指示(以下、加入指示という)を表わすデータにMACアドレスとIDデータをヘッダ情報として付加したパケットを、アクセスポイント20に送信する処理を行なう(ステップS180)。
【0057】
続いて、アクセスポイント20は、受信したパケットのヘッダ情報からMACアドレスとIDデータを読み取り、読み取ったMACアドレスとIDデータをRAM13のバッファ領域に一時的に記憶する処理を行なう(ステップS230)。このとき同IDデータは、第二のIDデータとして記憶する。
【0058】
続くステップS240では、ID用ROM領域12aに格納されているIDデータである第一のIDデータと、加入指示データに含まれていたIDデータである第二のIDデータとが一致しているか否かを判断する。一致すれば、まさに対となるUSBキー30を接続された端末50であることが確認でき、以後の接続手続きを継続するが、一致しなければ加入指示データ50を送出してきたのはこの端末50ではないことが分かり、不正な侵入者であると判断できる。このとき、セキュリティ通信エリアMR1にあるという第一段階のセキュリティに加え、USBキー30を受け取っているという第二段階のセキュリティーも加わり、さらにセキュリティーの向上が図れる。
【0059】
このようなセキュリティーの確保された状態において、アクセスポイント20は、使用するWEPキーを表わすデータ(以下、WEPキーデータという)を端末50に送信する処理を行ない(ステップS250)、WEPキーデータが端末50に配信されたか否かを判断する処理を行なう(ステップS255)。この配信されたか否かの判断は、既述した無線LANアダプタ52のデータリターン機能を利用することにより実現することができる。WEPキーデータが端末50に配信されていないと判断した場合には、RAM13に記憶されていたMACアドレスとIDデータを消去し(ステップS260)、本ルーチンを終了する。なお、セキュリティーの確保された状態は、それぞれの無線送受信端末の間で個別に保持している第一のIDデータと第二のIDデータとが一致していることを前提としてそれぞれが保持している第一のIDデータと第二のIDデータに基づいて暗号化したり複合化したりすることで保持している。
【0060】
一方、WEPキーデータが端末50に配信されたと判断した場合には、既述した出力値変更プログラムを実行して、送信機25の出力値を標準設定値に戻す処理を行なう(ステップS270)。これにより、送信機25が電波を送信できる範囲が、通常の範囲(無線通信エリアAR1)となり、登録端末は、無線通信エリアAR1内に入っていれば、アクセスポイント20にアクセスすることができる。
【0061】
続いて、アクセスポイント20は、端末50のMACアドレスを、記憶装置14の管理領域に登録する処理を行ない(ステップS280)、動作モードを通常モードに戻して本ルーチンを終了する。これにより、アクセスポイント20側での端末50に関するMACアドレスの登録が完了する。
【0062】
一方、ステップS250の処理によってWEPキーデータを受信した端末50は、WEPキーをアクセスポイント20のIPアドレスと関連付けて自動的に設定する処理を行ない(ステップS190)、本ルーチンを終了する。これにより、端末50側でのアクセスポイント20に関するWEPキーの設定が完了する。以降、端末50とアクセスポイント20との間では、設定されたWEPキーを用いて内容付きデータを暗号化した暗号化データが送受信される。
【0063】
A−3.作用効果:
以上説明した第1実施例の暗号鍵設定システムLH1では、上記のセキュリティデータ設定処理を実行することにより、端末50にWEPキーを自動的に設定する。このような「WEPキーの無線通信による自動設定」がなされることで、無線LANを利用する端末50の新規追加を簡便に実現することが可能となり、加入し易い無線LANを提供することができる。例えば、WEPキーの設定に際し、端末50の所有者やアクセスポイント20の管理者は、端末50とアクセスポイント20とをケーブル等で接続する必要がなく、また、WEPキーの作成や設定を手作業で行なう必要もない。特に、上記の暗号鍵設定システムLH1をフリースポットに備えられた無線LANに採用すれば、なお好適である。フリースポットの無線LANは、これを利用しようとする多数の人が次々と新規に加入するものであり、各人の設定に伴って必要な作業を大きく軽減することができるからである。
【0064】
更に、アクセスポイント20は、WEPキーのデータを電波に乗せて端末50に送信する際に、アクセスポイント20から送信される電波が届く範囲を、通常の範囲である無線通信エリアAR1から、より狭い範囲であるセキュリティ通信エリアMR1に変更する。このため、WEPキーデータを乗せた電波が傍受される可能性が低くなる。例えば、図4において、アクセスポイント20から端末50にWEPキーデータが送信された場合に、WEPキーデータを乗せた電波は、狭い範囲であるセキュリティ通信エリアMR1内にしか届かず(矢印Q1を参照)、セキュリティ通信エリアMR1外にいる登録端末60や非登録端末70に受信されてしまうことがない。従って、上記のようにWEPキーデータが無線で送信される場合であっても、WEPキーの漏洩を防止することが可能となり、セキュリティレベルの高い無線LANを実現することができる。特に、このようなアクセスポイント20をフリースポットに設置した場合には、フリースポットを利用しようとする多数の者の端末について、WEPキーの設定時にWEPキーが第三者に漏洩してしまうことが確実に防止される。従って、多数の各利用者の通信の秘密を十全に確保することができる。
【0065】
また、上述した実施形態ではフリースポットで可搬型のパーソナルコンピュータに対するWEPキーの設定を例にしているが、家庭内で無線LANで制御可能な家電製品をネットワークに接続するときでも全く同様に実現できる。すなわち、ネットワークで制御可能なAV機器を無線LANでアクセスポイント20に接続する場合、同AV機器に上記USBキー30を装着し、上述した処理を実行することになる。AV機器ではUSBポートを備えていない場合もあるが、代わりにIEEE1394規格の通信をサポートしていることが多いし、さらにブルートゥース規格の通信をサポートしていることが多い。このため、外部記憶装置をこれらのIEEE1394規格やブルートゥース規格の通信インターフェイスを備えたもので実現することで、より汎用的な利用が可能となる。なお、一台のアクセスポイント20に対して同じIDデータを保持する複数の通信規格に対応した外部記憶装置30を対応づけて製造したり販売しても良い。
【0066】
このようしたことにより、端末の所有者およびアクセスポイントの管理者は、外部記憶装置としてのUSBキー30を外部無線LAN端末に接続するとともにアクセスポイント20における登録用スイッチ27を操作するだけでWEPキーの設定を行なうことが可能となる。なお、アクセスポイント20が外部無線LAN端末からの接続要求を受信したときに自動的に登録モードに入るようにすることで、登録スイッチ16aを省略することも可能である。
【0067】
B.まとめ
このように、アクセスポイント20の側に第一のIDデータを記憶させ、対となる外部記憶装置としてのUSBキー30に対応する第二のIDデータを記憶させつつ、当該USBキー30を無線LANの端末50に接続することにより、当該IDデータを含めて端末50から無線LAN規格に基づいて接続要求となる加入指示データを送出させ、アクセスポイントの側で予め格納されているIDデータと加入指示データに含まれるIDデータとを対比し(ステップS240)、一致したときにだけ接続手続きを継続させるようにしたので、簡便さを維持しつつ、セキュリティーを向上させることができるようになった。
【産業上の利用可能性】
【0068】
操作の簡便性とセキュリティーの向上を両立させた無線LANシステムを構築できる。
【図面の簡単な説明】
【0069】
【図1】本発明の第1実施例である暗号鍵設定システムLH1を実現するハードウェアの構成を示す説明図である。
【図2】アクセスポイント20の構成を示す説明図である。
【図3】アクセスポイント20と対をなす外部記憶装置としてのUSBキーのブロック図である。
【図4】USB接続から自動実行プログラムの起動までに、OS側と外部記憶装置側とでそれぞれ実行される処理内容を示したフローチャートである。
【図5】セキュリティデータ設定処理ルーチンを示すフローチャートである。
【図6】出力値が変更された後の送信機25における電波の送信可能範囲を、セキュリティ通信エリアMR1として示す説明図である。
【符号の説明】
【0070】
20…アクセスポイント
12a…ID用ROM領域
16…入出力コントローラ
27…登録用スイッチ
30…USBキー
34…フラッシュROM
【特許請求の範囲】
【請求項1】
有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントであって、当該アクセスポイントは対となる外部記憶装置を有し、
同外部記憶装置は、
無線LAN端末に接続する通信用インターフェイスと、
この通信用インターフェイスの接続時に、上記無線LAN端末に対して既知であるディスク装置が接続されたと認識させる信号を出力する出力手段と、
上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータと、上記ディスク装置の接続を認識した上記無線LAN端末に対して上記第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを格納する自動実行プログラム格納手段とを備え、
上記アクセスポイントは、
上記第一のIDデータを有しており、
上記無線LAN端末が上記自動実行プログラムを実行して接続要求があると、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なうことを特徴とするアクセスポイント。
【請求項2】
上記外部記憶装置は、上記第二のIDデータをワンタイムROMに記憶していることを特徴とする上記請求項1に記載のアクセスポイント。
【請求項3】
上記外部記憶装置は、上記第二のIDデータをフラッシュROMに記憶していることを特徴とする上記請求項1に記載のアクセスポイント。
【請求項4】
上記外部記憶装置の通信用インターフェイスは、ユニバーサルシリアルバス規格に基づく通信インターフェイスであることを特徴とする上記請求項1〜請求項3のいずれかに記載のアクセスポイント。
【請求項5】
上記外部記憶装置の通信用インターフェイスは、ブルートゥース規格に基づく通信インターフェイスであることを特徴とする上記請求項1〜請求項3のいずれかに記載のアクセスポイント。
【請求項6】
上記外部記憶装置の通信用インターフェイスは、IEEE1394規格に基づく通信インターフェイスであることを特徴とする上記請求項1〜請求項3のいずれかに記載のアクセスポイント。
【請求項7】
上記無線LAN端末からの接続要求に対応して無線出力範囲を狭め、接続手続きが終了すると無線出力範囲を元に戻すことを特徴とする上記請求項1〜請求項6のいずれかに記載のアクセスポイント。
【請求項8】
上記外部記憶装置とアクセスポイントは上記第一のIDデータと第二のIDデータとを使用して無線LAN規格に基づく通信時にセキュリティデータの暗号化と複合化を行なうことを特徴とする上記請求項1〜請求項7のいずれかに記載のアクセスポイント。
【請求項9】
有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントの無線LAN接続方法であって、
当該アクセスポイントは対となる外部記憶装置を有しており、
同外部記憶装置を上記無線LAN端末に接続すると、当該無線LAN端末に対して既知であるディスク装置が接続されたと認識させ、上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを実行し、
上記アクセスポイントは、上記無線LAN端末が上記自動実行プログラムを実行して接続要求を行なうと、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なうことを特徴とするアクセスポイントの無線LAN接続方法。
【請求項10】
有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントの無線LAN接続プログラムを記録した媒体であって、
当該アクセスポイントは対となる外部記憶装置を有しており、
同外部記憶装置を上記無線LAN端末に接続すると、当該無線LAN端末に対して既知であるディスク装置が接続されたと認識させ、上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを実行し、
上記アクセスポイントでは、上記無線LAN端末が上記自動実行プログラムを実行して接続要求を行なうと、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なう機能をコンピュータに実現させるための無線LAN接続プログラムを記録した媒体。
【請求項11】
有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントと、当該アクセスポイントと対となる外部記憶装置と、上記外部無線LAN端末とからなる無線LANシステムであって、
上記外部記憶装置は、
無線LAN端末に接続する通信用インターフェイスと、
この通信用インターフェイスの接続時に、上記無線LAN端末に対して既知であるディスク装置が接続されたと認識させる信号を出力する出力手段と、
上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータと、上記ディスク装置の接続を認識した上記無線LAN端末に対して上記第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを格納する自動実行プログラム格納手段とを備え、
上記無線LAN端末は、
上記自動実行プログラムを実行して無線LAN規格に基づく接続要求に伴って上記第二のIDデータを送出可能であり、
上記アクセスポイントは、
上記第一のIDデータを有しており、
上記無線LAN端末が上記自動実行プログラムを実行して接続要求があると、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なうことを特徴とする無線LANシステム。
【請求項1】
有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントであって、当該アクセスポイントは対となる外部記憶装置を有し、
同外部記憶装置は、
無線LAN端末に接続する通信用インターフェイスと、
この通信用インターフェイスの接続時に、上記無線LAN端末に対して既知であるディスク装置が接続されたと認識させる信号を出力する出力手段と、
上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータと、上記ディスク装置の接続を認識した上記無線LAN端末に対して上記第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを格納する自動実行プログラム格納手段とを備え、
上記アクセスポイントは、
上記第一のIDデータを有しており、
上記無線LAN端末が上記自動実行プログラムを実行して接続要求があると、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なうことを特徴とするアクセスポイント。
【請求項2】
上記外部記憶装置は、上記第二のIDデータをワンタイムROMに記憶していることを特徴とする上記請求項1に記載のアクセスポイント。
【請求項3】
上記外部記憶装置は、上記第二のIDデータをフラッシュROMに記憶していることを特徴とする上記請求項1に記載のアクセスポイント。
【請求項4】
上記外部記憶装置の通信用インターフェイスは、ユニバーサルシリアルバス規格に基づく通信インターフェイスであることを特徴とする上記請求項1〜請求項3のいずれかに記載のアクセスポイント。
【請求項5】
上記外部記憶装置の通信用インターフェイスは、ブルートゥース規格に基づく通信インターフェイスであることを特徴とする上記請求項1〜請求項3のいずれかに記載のアクセスポイント。
【請求項6】
上記外部記憶装置の通信用インターフェイスは、IEEE1394規格に基づく通信インターフェイスであることを特徴とする上記請求項1〜請求項3のいずれかに記載のアクセスポイント。
【請求項7】
上記無線LAN端末からの接続要求に対応して無線出力範囲を狭め、接続手続きが終了すると無線出力範囲を元に戻すことを特徴とする上記請求項1〜請求項6のいずれかに記載のアクセスポイント。
【請求項8】
上記外部記憶装置とアクセスポイントは上記第一のIDデータと第二のIDデータとを使用して無線LAN規格に基づく通信時にセキュリティデータの暗号化と複合化を行なうことを特徴とする上記請求項1〜請求項7のいずれかに記載のアクセスポイント。
【請求項9】
有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントの無線LAN接続方法であって、
当該アクセスポイントは対となる外部記憶装置を有しており、
同外部記憶装置を上記無線LAN端末に接続すると、当該無線LAN端末に対して既知であるディスク装置が接続されたと認識させ、上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを実行し、
上記アクセスポイントは、上記無線LAN端末が上記自動実行プログラムを実行して接続要求を行なうと、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なうことを特徴とするアクセスポイントの無線LAN接続方法。
【請求項10】
有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントの無線LAN接続プログラムを記録した媒体であって、
当該アクセスポイントは対となる外部記憶装置を有しており、
同外部記憶装置を上記無線LAN端末に接続すると、当該無線LAN端末に対して既知であるディスク装置が接続されたと認識させ、上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを実行し、
上記アクセスポイントでは、上記無線LAN端末が上記自動実行プログラムを実行して接続要求を行なうと、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なう機能をコンピュータに実現させるための無線LAN接続プログラムを記録した媒体。
【請求項11】
有線LANに接続され、所定の無線LAN規格に基づいて外部無線LAN端末と接続して上記有線LANとの介在を行うアクセスポイントと、当該アクセスポイントと対となる外部記憶装置と、上記外部無線LAN端末とからなる無線LANシステムであって、
上記外部記憶装置は、
無線LAN端末に接続する通信用インターフェイスと、
この通信用インターフェイスの接続時に、上記無線LAN端末に対して既知であるディスク装置が接続されたと認識させる信号を出力する出力手段と、
上記アクセスポイントに格納された識別用の第一のIDデータと対をなす第二のIDデータと、上記ディスク装置の接続を認識した上記無線LAN端末に対して上記第二のIDデータを使用して上記アクセスポイントに接続するための自動実行プログラムを格納する自動実行プログラム格納手段とを備え、
上記無線LAN端末は、
上記自動実行プログラムを実行して無線LAN規格に基づく接続要求に伴って上記第二のIDデータを送出可能であり、
上記アクセスポイントは、
上記第一のIDデータを有しており、
上記無線LAN端末が上記自動実行プログラムを実行して接続要求があると、同接続要求に伴って送出された上記第二のIDデータを取得し、上記第一のIDデータと上記第二のIDデータとが対応することを条件として同無線LAN端末との接続を行なうことを特徴とする無線LANシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2006−5398(P2006−5398A)
【公開日】平成18年1月5日(2006.1.5)
【国際特許分類】
【出願番号】特願2004−176495(P2004−176495)
【出願日】平成16年6月15日(2004.6.15)
【出願人】(390040187)株式会社バッファロー (378)
【Fターム(参考)】
【公開日】平成18年1月5日(2006.1.5)
【国際特許分類】
【出願日】平成16年6月15日(2004.6.15)
【出願人】(390040187)株式会社バッファロー (378)
【Fターム(参考)】
[ Back to top ]