説明

ネットワークにおける暗号化自動設定方法及び暗号化自動設定装置

【課題】レイヤ3を用いて暗号化の自動設定を行うに際して、設定時間の短縮化を図るネットワークにおける暗号化自動設定方法を得る。
【解決手段】ネットワークの暗号化設定における自動設定方法において、ホームネットワークを構成する通信機器である設定端末D1と被設定端末D2との間にレイヤ3を用いた自動設定手順により暗号化設定用の通信路を確立するに際し、設定端末D1は、暗号化設定後に外部ネットワークと接続可能なIPアドレスを被設定端末D2に割り当て、被設定端末D2は、設定端末D1より設定情報を取得後、設定情報を無線LANインタフェースに適用し、暗号化された通信を開始する際も前記IPアドレスを使用する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線LAN等のホームネットワーク(以下、ネットワークをNWと記載する)における暗号化設定の自動化技術に関し、特に、暗号化方式と暗号化キーの組等の設定情報を持ちアクセスポイント(無線LANの親機)となる設定端末から、スマートフォン、ゲーム機、デジタルフォトフレーム等のデバイス(無線LANの子機)である被設定端末に対し、IPレイヤを用いて設定情報を提供し、被設定端末が設定情報を用いて通信を開始する場面において、設定時間の短縮を実現する暗号化自動設定方法及び暗号化自動設定装置に関する。
【背景技術】
【0002】
近年、スマートフォンや携帯ゲーム機、デジタルフォトフレーム等に代表される無線LAN機能を搭載した無線LAN機器が急速に普及している。これらの無線LANを利用する際には、盗聴等のセキュリティリスクを回避する目的で、通信を行う設定端末と被設定端末が事前に同じ設定情報(暗号化方式や暗号化キー等)を共有することが行われている。
【0003】
設定端末と被設定端末間における接続設定には、設定端末であるアクセスポイントが持つSSID(Service Set Identifier、アクセスポイントを一意に識別するためのID)や暗号化方式、暗号化キー等の設定情報を被設定端末であるデバイス(無線LANの子機)へ入力することが必要となる。この操作により、設定端末と被設定端末は、設定情報に存在する同じ暗号化方式と暗号化キーを使用して送受する信号を暗号化することで、暗号化キー等を知らない第三者による盗聴を防ぐことが可能となる。
【0004】
しかしながら、暗号化方式や暗号化キー等の設定には、専門的な知識が必要となり、無線LANに関する知識の少ない利用者にとっては困難である。そこで、被設定端末と設定端末間で設定情報を共有する手順についての自動化を図ることにより、利用者への設定の負担を軽減する技術が非特許文献1に提案されている。
【0005】
この技術を適用した自動設定システムについて、図3を参照して説明する。
自動設定システムは、無線LANを用いた通信を行う機器であるスマートフォン等の被設定端末D2と、設定情報(暗号化方式や暗号化キー)を有し、通信を他の端末や機器に提供するアクセスポイント等の設定端末D1が存在する環境下に構築されている。
例えば、設定端末D1がアクセスポイントの場合、一般に、インターネットなどの外部NWやホームNWへの接続を被設定端末D2(通信機器)に提供する。例えば、被設定端末D2における無線LANの設定完了により、設定端末D1を介した通信により、ホームページの閲覧や、自宅内のビデオレコーダへのアクセス等が可能になる。
【0006】
設定端末D1と被設定端末D2との間に無線LANを設定する手順について、以下に説明する。
(処理S1)
設定端末D1と被設定端末D2がそれぞれ備えるボタンの押下等により、利用者は設定の開始を要求する。ボタンの代わりに画面表示等を利用する場合もある。
【0007】
(処理S2)
ボタン押下により設定端末D1及び被設定端末D2は、設定手順を開始する。
被設定端末D2は、設定手順を実行中の設定端末D1を検索し、設定端末D1が検索により発見された場合、設定用の通信路の確立を行う。設定用の通信路の確立には、予めプログラム等に埋め込まれた設定情報(暗号化設定や暗号化キー、IPアドレス、設定端末のIPアドレス等)を利用する(IPアドレスについては、DHCP等により、設定端末から取得する場合もある)。
また、設定端末D1についても、被設定端末D2と同様に、被設定端末D2を検索し、設定用の通信路を確立する。ここでは、例として通信路の設定として、設定端末D1がIPアドレス"10.10.10.1"を、被設定端末D2が"10.10.10.2"を利用する場合を述べる。この際、ホームNW等で利用されるIPアドレスとは別のIPアドレスが利用される(ホームNWとの通信はできない通信路設定が一時的に利用される)。
【0008】
(処理S3)
設定用の通信路を確立後、被設定端末D2は設定端末D1に、設定情報を要求する。設定端末D1は、被設定端末D2からの要求に従い、設定情報を応答する。設定情報には、ホームNWやインターネット等の外部NWとの通信をセキュアに実施するための暗号化方式や暗号化キーの情報が記載されている。
【0009】
(処理S4)
被設定端末D2は、設定端末D1より取得した設定情報を、自身の無線LANインタフェースに適用する。これにより、設定端末D1と同じ暗号化方式と暗号化キーが被設定端末D2に設定されることとなり、暗号化されたセキュアな通信が設定端末D1と被設定端末D2間で可能となる。
【0010】
(処理S5)
被設定端末D2は、暗号化された通信路を確立後(レイヤ2による外部NWやホームNWに接続された通信機器と通信するための通信設定(IPアドレスやディフォルトゲートウェイ等、レイヤ3以上の情報)をDHCP等の利用により取得し、自身の通信インタフェースに設定する。
【0011】
(処理S6)
以降は、暗号化された他の通信機器や外部NWとの通信が可能となる。これにより、悪意のある第三者が、無線の信号を盗聴したとしても、暗号化されているために情報が漏洩することは無い。
【0012】
すなわち、非特許文献1に記載の技術によれば、設定用に仮の(IPアドレス等の)通信設定でアクセスポイントと無線LAN機器を接続し、無線LAN機器がアクセスポイントから設定情報を取得後、取得した設定情報(暗号化方式や暗号化キー)を用いたアクセスポイントへの再接続と、IPアドレスの再取得により、無線LAN機器の利用(通信)が可能となる。
【先行技術文献】
【非特許文献】
【0013】
【非特許文献1】AOSS http://www.buffalotech.com/files/AOSS_WP_Final.pdf
【発明の概要】
【発明が解決しようとする課題】
【0014】
しかしながら、上述の設定手順によると、暗号化方式や暗号化キーの共有という設定用の接続設定に加えて、実際の通信用にIPアドレス等の通信設定が複数回必要となるため、複数回の通信設定に必要な時間の分だけ設定開始から、実際に被設定端末D2が設定端末D1を介した通信が可能となるまでの時間が長くなるという課題が存在した。
【0015】
また、設定中、設定端末D1は無線のインタフェースを設定用のIPアドレス体系で使用する必要があり、設定端末D1の計算機リソースの制約から、例えば1度に使用できるIPアドレス体系は1つのみだとすると、設定中において、ホームNWにある通信機器は設定端末D1を介したNW接続が困難となる場合がある。
【0016】
本発明は上記実情に鑑みて提案されたものであり、レイヤ3を用いて暗号化の自動設定を行うに際して、設定時間の短縮化を図るネットワークにおける暗号化自動設定方法及び暗号化自動設定装置を提供することを目的とする。
【課題を解決するための手段】
【0017】
上記目的を達成するため本発明(請求項1)は、ホームネットワークを構成する通信機器である設定端末と被設定端末との間にレイヤ3を用いた自動設定手順により暗号化設定用の通信路を確立するに際し、次の手順が含まれるネットワークにおける暗号化自動設定方法を特徴としている。
前記設定端末は、前記暗号化設定後に外部ネットワークと接続可能なIPアドレスやディフォルトゲートウェイ等の通信設定を被設定端末に割り当てる。
被設定端末は、前記設定端末より設定情報を取得後、設定情報を無線LANインタフェースに適用し、暗号化された通信を開始する際も前記通信設定を使用する。
【0018】
請求項2は、請求項1のネットワークの暗号化設定における自動設定方法において、レイヤ3を用いた自動設定中において、前記設定端末は、前記被設定端末が前記ホームネットワークや外部ネットワークに接続することが無いように通信可能な通信先を限定し、自動設定に必要なパケット以外をドロップすることを特徴としている。
【0019】
請求項3の暗号化自動設定装置は、ホームネットワークを構成する通信機器である設定端末と被設定端末との間に、レイヤ3を用いた自動設定手順により暗号化設定用の通信路を確立するシステムにおいて、次の構成を含むことを特徴としている。
前記設定端末は、前記暗号化設定後に外部ネットワークと接続可能なIPアドレスやディフォルトゲートウェイ等の通信設定を取得するDHCPサーバ機能部と、前記ホームネットワークや外部ネットワークに接続することが無いように通信可能な通信先を限定し、自動設定に必要なパケット以外をドロップするファイアウォール機能管理部と、前記制御部や前記DHCPサーバ機能部、前記ファイアウォール機能管理部に対し、前記無線LANインタフェースを介した通信機能を提供する通信部制御部を備える。
前記被設定端末は、前記設定端末より設定情報を取得後において、設定情報を無線LANインタフェースに適用し、暗号化設定を実施する際と、暗号化された通信を開始する際のそれぞれにおいて、同じ前記通信設定を使用して通信を行う制御部を備える。
【発明の効果】
【0020】
本発明によれば、レイヤ3を用いた自動設定手順を実行する場面において、設定用と実際の通信用におけるIPアドレスの通信設定回数(被設定端末に対するIPアドレスの設定回数が1回のみ)を削減することで、設定の開始から被設定端末が通信するまでに要する設定時間の短縮化を図ることができる。
【0021】
また、設定中に設定端末と被設定端末間で使用するIPアドレス体系は、設定完了後に使用するIPアドレス体系と同じとなるため(設定端末の計算機リソースの制約から、例えば1度に使用できるIPアドレス体系は1つのみだとすると)、設定中であっても、ホームNWにある通信機器における設定端末を介したNW接続が可能となる。
【図面の簡単な説明】
【0022】
【図1】設定端末(無線LANアクセスポイント)及び被設定端末(無線LAN子機デバイス)を備えた暗号化自動設定装置の実施形態を示すもので、(a)は設定端末のブロック図、(b)は被設定端末のブロック図である。
【図2】暗号化自動設定装置による暗号化の自動設定手順を示すシーケンス図である。
【図3】従来の方式による暗号化の自動設定手順を示すシーケンス図である。
【発明を実施するための形態】
【0023】
本発明のネットワークの暗号化自動設定装置の実施形態について、図面を参照しながら説明する。
暗号化自動設定装置は、ホームNWにおける親機となるアクセスポイント等の設定端末と、子機となるスマートフォン等の被設定端末が存在するシステム内に構築され、設定端末と被設定端末は802.11 a/b/g/n 等の無線LAN技術による通信が行われる環境下に構築される。
【0024】
無線LANによる通信は、有線による通信と異なり、物理空間に通信信号が伝搬する関係から、レイヤ2で暗号化し、悪意のある第三者による盗聴から通信内容を保護ずる必要がある。また、レイヤ2の暗号化方式には、AES(Advanced Encryption Standard)やWEP(Wired Equivalent Privacy)等があり、暗号化方式と暗号化に使用する暗号キー(鍵情報)を通信する端末間(被設定端末及び設定端末)で共有することで、暗号化された通信が可能となる。
【0025】
設定端末は、インターネット等の外部NWやホームNWと接続され、ゲートウェイのような機能を果たす場合がある。ホームNW内の通信機器は、設定端末を介して、外部NWへの接続や、ホームNW内の他の通信機器との通信が可能となり、ブラウジングやレコーダ内部のコンテンツ視聴等の通信サービスの利用が可能となる。
【0026】
上記のような環境において、設定端末を介した通信サービスを、未設定の被設定端末により利用可能とするため、被設定端末を設定する場面を想定する。この際、利用者が、被設定端末に対し設定情報を手入力することは(無線LANに関する知識の無い利用者を想定した場合)困難であるため、被設定端末と設定端末が一時的にレイヤ3の通信路を確保し、被設定端末が設定端末より設定情報を取得する自動設定が行われる。
【0027】
次に、ネットワークの暗号化自動設定装置を構成する設定端末(アクセスポイント等)10と被設定端末(スマートフォン等)20の構成について、図1を参照して説明する。
【0028】
設定端末10は、図1(a)に示すように、設定情報管理部11と、制御部12と、通信部制御部13と、無線LANインタフェース14と、ファイアウォール機能管理部15と、DHCPサーバ機能部16を備えている。
【0029】
設定情報管理部11は、設定端末10が被設定端末20に送付する設定情報を管理する。管理される設定情報は、1つの設定端末に対し1つであり、設定端末10が使用する暗号化方式と暗号化キーの組等の情報を保存する。1つの設定情報には、複数の暗号化方式と暗号化キーの組が保存されていてもよい.
ファイアウォール機能管理部15は、被設定端末20が暗号化設定用の接続を実施中、設定端末10以外への接続をブロックする。ファイアウォール機能管理部15が、通信部制御部13を介して、ホームNWや外部NWに接続することが無いように通信可能な通信先を限定し、自動設定に必要なパケット以外をドロップ(パケットのブロック等を実施)する。
【0030】
DHCPサーバ機能部16は、暗号化設定後に外部NWと接続可能なIPアドレスやディフォルトゲートウェイ等の通信設定を管理するとともに、被設定端末20からの要求により、被設定端末20に対しIPアドレス等、レイヤ3の設定を自動的に実施する。
制御部12は、設定端末20との間で本発明の特徴部分となる暗号化自動設定の処理を実行する制御を行う。設定端末10と被設定端末20との間における暗号化設定の詳細手順については後述する(図2のシーケンス図)。
通信部制御部13は、制御部12、DHCPサーバ機能部16、ファイアウォール機能管理部15に対し、無線LANインタフェース14を介した通信機能を提供する。
【0031】
被設定端末20は、図1(b)に示すように、設定管理部21と、制御部22と、通信部制御部23と、無線LANインタフェース24を備えている。
【0032】
無線LANインタフェース24では、IPアドレスやルーティング情報(DNSやディフォルトゲートウェイ)を管理する。IPアドレスは、1つの無線LANインタフェースに対し一般に1つ、通常はDHCP等により自動的に設定され、設定時に接続した際に、設定端末10よりDHCP等により自動的に割当てられる。この設定によりレイヤ3の接続が作成される。
また、無線LANインタフェース24では、SSID毎に暗号化方式と暗号化キーを管理する無線LAN暗号化設定が行われる。暗号化方式と暗号化キーは、1つの無線LANインタフェースに対し複数有している。設定時には、予め被設定端末20の設定管理部21に組込まれた設定用の無線LAN暗号化設定を使用して接続する。この設定によりレイヤ2の接続が作成される。
【0033】
設定管理部21は、無線LANインタフェース24の設定情報と、無線LAN暗号化の設定情報を保存管理する。
制御部22は、設定端末10との間で本発明の特徴部分となる暗号化自動設定の処理を実行する制御を行う。すなわち、設定管理部21に記憶された設定用情報を用いて、通信部制御部23を介して設定端末10と接続し、設定端末10側から取得したIPアドレスを含む設定情報等を設定管理部21に書き込むとともに、設定端末10より設定情報を取得後において、設定情報を無線LANインタフェース24に適用し、暗号化された通信を開始する際に前記IPアドレスを使用して通信を行う。
なお、設定端末10と被設定端末20との間における暗号化設定の詳細手順については後述する(図2のシーケンス図)。
通信部制御部23は、制御部22に対し、無線LANインタフェース24を介した通信機能を提供する。
【0034】
続いて、暗号化自動設定装置による設定端末10(D1)と被設定端末20(D2)の間で行われる暗号化自動設定の手順について、図2のシーケンス図を参照しながら説明する。
(処理T1)
設定端末D1(10)と被設定端末D2(20)がそれぞれ具備するボタンの押下等により、利用者は設定の開始を要求する。ボタンの代わりに画面表示等を利用する場合もある。
【0035】
(処理T2)
ボタン押下により設定端末D1と被設定端末D2は設定手順を開始する。
被設定端末D2は、設定手順を実行中の設定端末D1を検索し、設定端末D1が検索により発見された場合、設定用の通信路の確立を行う。設定用の通信の確立には、予め設定管理部21に自動設定を行うプログラム等が設定用情報として格納した暗号化方式や暗号化キーを用いて、レイヤ2の通信路を確立する。
【0036】
(処理T3)
レイヤ2の通信路を確立した後、被設定端末D2は設定端末D1とIP通信するため、レイヤ3の設定情報を設定端末D1のDHCPサーバ機能部16より取得する。この際、設定端末D1が被設定端末D2に応答するレイヤ3の情報は、ホームNWや外部NWと通信が可能なものとする。
【0037】
(処理T4)
設定端末D1は、設定用の通信路を使用して一時的に接続している未設定の被設定端末D2がホームNWや外部NWに接続し、不正に通信サービスを利用可能とすることを防ぐため、ファイアウォール機能管理部15のファイアウォール機能等により、被設定端末D2が通信可能な機器を設定端末D1自身に限定する。
【0038】
(処理T5)
被設定端末D2は、処理T2及び処理T3により確立した設定用の通信路により、設定端末D1から設定情報(暗号化方式と暗号化キー等)を取得する。
【0039】
(処理T6)
被設定端末D2は、現在無線LANインタフェースに割り当てられているIPアドレスを静的に無線LANインタフェース24に割り当てる。
【0040】
(処理T7)
被設定端末D2は設定端末D1より取得した設定情報で、無線LANインタフェース24の設定を書き換える。また、書き換えた設定を無線LANインタフェース24に反映するため、被設定端末D2は、無線LANインタフェース24を再起動する。再起動後、従来の方式であれば、DHCP等によりIPアドレスが再度割り当てられるのに対し、上述の方式ではIPアドレス等の取得と再設定が既に静的に設定されているため不要であり、通信開始可能になるまでの時間の短縮を図ることができる。
【0041】
(処理T8)
設定端末D1は、処理T4で実施されているファイアウォール機能による自動設定に必要なパケットのドロップを解除する。この処理は、被設定端末D2が処理T6、処理T7の各ステップを実行中に、設定端末D1上で実行される。
【0042】
(処理T9)
被設定端末D2と設定端末D1は、暗号化された通信を開始する。
【0043】
(処理T10)
被設定端末D2は、IPアドレスの設定を、静的な割当てから動的なIPアドレス取得(DHCP等による設定)にバックグラウンド処理で変更する。これは、次回以降に、被設定端末D2が無線LANを利用する際に、IPアドレスの衝突(既にNW上に存在するIPアドレスを割当てること)や、他のIPアドレスを使用するNWに接続する際に、通信できなくなる不具合を回避する目的で実施する。
【0044】
上述した暗号化自動設定方法によれば、レイヤ3を用いた自動設定手順を実行する場面において、IPアドレスの設定回数が1回のみとなり、設定用と実際の通信用に(IPアドレス等の)通信設定が複数回必要であった従来の方式と比較して、複数回の通信設定に必要な時間の分だけ、設定開始から実際に被設定端末が設定端末を介した通信が可能となる時間の短縮化を図ることができる。
【0045】
また、暗号化自動設定中に、設定端末D1と被設定端末D2間で使用するIPアドレス体系は、設定完了後に被設定端末D2が使用するIPアドレス体系と同じとなるため(設定端末D1の計算機リソースの制約から、例えば1度に使用できるIPアドレス体系は1つのみだとすると)、設定中であっても、ホームNWにある通信機器における設定端末を介したNW接続が可能となる。
【符号の説明】
【0046】
10(D1)…設定端末、 11…設定情報管理部、 12…制御部、 13…通信部制御部、 14…無線LANインタフェース、 15…ファイアウォール機能管理部、 16…DHCPサーバ機能部、 20(D2)…被設定端末、 21…設定管理部、 22…制御部、 23…通信部制御部、 24…無線LANインタフェース。

【特許請求の範囲】
【請求項1】
ホームネットワークを構成する通信機器である設定端末と被設定端末との間にレイヤ3を用いた自動設定手順により暗号化設定用の通信路を確立するに際し、
前記設定端末は、前記暗号化設定後に外部ネットワークと接続可能なIPアドレスやディフォルトゲートウェイ等の通信設定を被設定端末に割り当て、
被設定端末は、前記設定端末より設定情報を取得後、設定情報を無線LANインタフェースに適用し、暗号化された通信を開始する際も前記通信設定を使用する
ことを特徴とするネットワークの暗号化自動設定方法。
【請求項2】
レイヤ3を用いた自動設定中において、
前記設定端末は、
前記被設定端末が前記ホームネットワークや外部ネットワークに接続することが無いように通信可能な通信先を限定し、自動設定に必要なパケット以外をドロップする
請求項1に記載のネットワークの暗号化自動設定方法。
【請求項3】
ホームネットワークを構成する通信機器である設定端末と被設定端末との間に、レイヤ3を用いた自動設定手順により暗号化設定用の通信路を確立するシステムにおいて、
前記設定端末は、
前記暗号化設定後に外部ネットワークと接続可能なIPアドレスやディフォルトゲートウェイ等の通信設定を取得するDHCPサーバ機能部と、
前記ホームネットワークや外部ネットワークに接続することが無いように通信可能な通信先を限定し、自動設定に必要なパケット以外をドロップするファイアウォール機能管理部と、
前記制御部や前記DHCPサーバ機能部、前記ファイアウォール機能管理部に対し、前記無線LANインタフェースを介した通信機能を提供する通信部制御部とを備え、
前記被設定端末は、
前記設定端末より設定情報を取得後において、設定情報を無線LANインタフェースに適用し、暗号化設定を実施する際と、暗号化された通信を開始する際のそれぞれに同じ前記通信設定を使用して通信を行う制御部を備える
ことを特徴とする暗号化自動設定装置。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate