ワイヤレス・ネットワーク・パスワードを更新するためのシステム及び方法
【課題】管理者がワイヤレス・アクセス・ポイントに新たなパスワードをセットすることを可能にする。
【解決手段】ワイヤレス・アクセス・ポイント110は、新パスワードを含むメッセージを作成し、ワイヤレス・ネットワークに対して事前にセットされた旧パスワードを使って暗号化し、アクティブ・クライアント130に無線で伝送する。アクティブ・クライアント130は、事前にアクティブ・クライアント130に提供された旧パスワードを使ってそのメッセージを暗号化解除し、そのメッセージから新パスワードを検索する。アクティブ・クライアント130は、その新パスワードを使って暗号化される新たなメッセージを形成し、その新たなメッセージをワイヤレス・アクセス・ポイント110に無線で伝送することにより、肯定応答として働く。
【解決手段】ワイヤレス・アクセス・ポイント110は、新パスワードを含むメッセージを作成し、ワイヤレス・ネットワークに対して事前にセットされた旧パスワードを使って暗号化し、アクティブ・クライアント130に無線で伝送する。アクティブ・クライアント130は、事前にアクティブ・クライアント130に提供された旧パスワードを使ってそのメッセージを暗号化解除し、そのメッセージから新パスワードを検索する。アクティブ・クライアント130は、その新パスワードを使って暗号化される新たなメッセージを形成し、その新たなメッセージをワイヤレス・アクセス・ポイント110に無線で伝送することにより、肯定応答として働く。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般的にはルータのようなワイヤレス・アクセス・ポイントに装置を接続するために使用されるパスワードを更新するためのシステム及び方法に関するものである。更に詳しく言えば、本発明は、ワイヤレス・アクセス・ポイントをアクセスするためにクライアントによって使用されるパスワードを自動的に更新するためのシステム及び方法に関するものである。
【背景技術】
【0002】
ワイヤレス・ネットワーキングは、家庭及びビジネスにおいて益々人気が高まっている。これは、一部の建造物及び自宅の設計構造のために装置間のネットワーク・ケーブルの設置が困難である環境では特に著しい。更に、コンピュータ・ユーザ、特に、ラップトップ又はノートブック・コンピュータのユーザが、特定の物理的ロケーションに拘束されることなく、インターネットのようなコンピュータ・ネットワークに接続することを望むことが多い。
【0003】
ワイヤレス・ネットワーキングは、多くの場合、ユーザが「ワイヤレス・アクセス・ポイント」即ち「WAP」から100フィート(約33メートル)以上もローミングすることを可能にするものである。携帯用装置(例えば、PDA、音楽用プレーヤ等)またはノートブック/ラップトップ・コンピュータのようなユーザの情報処理システムは、無線でデータを他のワイヤレス・ネットワーク装置に送信したり、他のワイヤレス・ネットワーク装置から受信したりするワイヤレス・ネットワーク・アダプタ又はカードを内蔵している。多くのワイヤレス装置は、IEEE802.11標準のような種々の標準規格に従って構成されている。装置が使用する標準規格のタイプによって、それが通信することができる他の装置の範囲が規定される。
【0004】
ワイヤレス・アクセス・ポイント(WAPまたはAP)は、ワイヤレス・ネットワークを形成するようにワイヤレス通信装置を相互に「接続する」装置である。WAPは、通常、有線ネットワークに接続され、各サイドにおける装置間でデータをリレーすることが可能である。多くのWAPは、「ローミング」を可能にする大型のネットワークを形成するように相互に接続することが可能である。対照的に、クライアント装置が自身を管理するネットワークは、アドホック・ネットワークと呼ばれる。ルータは、同じネットワーク・パスを使用する2つの同様のネットワークを接続するネットワーク装置である。家庭環境または小型ビジネス環境では、ルータが、ユーザのローカル・エリア・ネットワーク(LAN)をケーブル・モデムのようなブロードバンド・ネットワーク接続装置に接続することが多い。一方、ブロードバンド・ネットワーク接続装置は、インターネット・サービス・プロバイダ(ISP)に接続してそのローカル・エリア・ネットワークにおける任意の装置がインターネットへのアクセスを行えるようにする。ワイヤレス・ルータと呼ばれるルータは、これらのルータがワイヤレス・アクセス・ポイントとして働くことも可能にするワイヤレス技術を含む。本明細書において使用されるように、「ワイヤレス・アクセス・ポイント」即ち「WAP」は、慣用的なワイヤレス・アクセス・ポイント及びワイヤレス・ルータ、並びに2個以上の装置のワイヤレス接続を容易にする他の任意の装置を含む。
【0005】
ワイヤレス・ネットワーク接続は多大な移動性および融通性をユーザに提供するが、それはセキュリティ・リスクの潜在的な増大によってユーザの関心を喚起している。ワイヤレス・ネットワークは、ユーザの家庭又はオフィス環境から数十メートル以上も外部に拡大している。ユーザがユーザのワイヤレス・ネットワークを保護していなければ、ワイヤレス装置を有する他の装置がそのネットワークに接続することが可能である。このセキュリティ要件に対処するために、ほとんどのWAPはパスワード機構を提供している。管理者がパスワードをWAPにセットし、そのWAPを使用すると思われる各クライアント装置にもそのパスワードを提供する。従来は、クライアント装置へパスワードを提供することは、その装置の管理者又はユーザがその装置上の構成パネルを開くこと及びパスワードを入れることを必要とした。WAPは、そのパスワードを知っている装置のみと通信を行うように構成される。WAPは、ワイヤレス・ネットワークを介してそれが受取るデータ・パケットをチェックし、それらがそのパスワードを使用して暗号化されているかどうかを知る。パケットがそのパスワードを使用して暗号化されてない場合、それは拒否される。同様に、WAPからワイヤレス・ネットワークを介して装置に無線で伝送されたパケットはそのパスワードを使って暗号化されている。このように、不当アクセス者がパスワードを得ずにワイヤレス・ネットワークと通信を行うことはできない。
【0006】
ワイヤレス・ネットワークを介して送られたデータの暗号化はそのネットワークから不当アクセス者を締め出すことには役に立つが、それは保守上の難題を生じる。セキュリティを保証するために、パスワードを定期的に変更することを多くのセキュリティ専門家が提案している。伝統的なワイヤレス・ネットワークを使用すると、これは、WAPにおけるパスワード及び各クライアント装置によって使用されるパスワードの変更を必要とする。管理者又はユーザが装置の1つにおけるパスワードの変更を忘れた場合、その装置は、最早、ワイヤレス・ネットワークに接続することができなくなる。この難題は、ワイヤレス装置の数が大きいときに深刻化する。大型のワイヤレス・ネットワークにおけるすべてのパスワードの変更は大量の時間を必要とすることが多い。更に、装置が多数である場合、1つ又は複数の装置のパスワードが更新されないという機会が増加する。これらの困難のために、ワイヤレス・ネットワークの管理者は、ワイヤレス・ネットワークのために使用されるパスワードを、専門家によって提案されるように頻繁に更新することを無視することが多く、従って、不当アクセス者がパスワードを取得してワイヤレス・ネットワークを不正にアクセスする機会を増加させることになる。
【発明の開示】
【発明が解決しようとする課題】
【0007】
従って、本発明の目的は、ワイヤレス・ネットワーク全体にわたってパスワードの変更が拡散されるようにするシステム及び方法を提供することである。更に本発明の目的は、満了時間(expiration time)後には新パスワードがクライアント装置に拡散しないような満了時間を与えるシステム及び方法を提供することである。
【課題を解決するための手段】
【0008】
管理者が伝統的なWAP又はワイヤレス・ルータのようなワイヤレス・アクセス・ポイントに新パスワードをセットすることを可能にするシステム及び方法を使って、上記の問題が解決されることがわかった。ワイヤレス・アクセス・ポイントは、新たなパスワード、即ち、新パスワードを含むメッセージを作成する。そのメッセージは、ワイヤレス・ネットワークに対して事前にセットされた古いパスワード、即ち、旧パスワードを使って暗号化される。その暗号化されたメッセージは、そのワイヤレス・アクセス・ポイントからアクティブ・クライアント装置(現在そのワイヤレス・ネットワークをアクセスしているクライアント)に無線で伝送される。それらのクライアントは、事前にそれらのクライアントに提供された旧パスワードを使ってそのメッセージを暗号化解除する。クライアントは、そのメッセージから新パスワードを検索する。クライアントは、その新パスワードを使って暗号化される新たなメッセージを形成する。その新たなメッセージがクライアントからワイヤレス・アクセス装置に無線で伝送され、肯定応答として働く。
【0009】
1つの実施例では、パスワードを含んだメッセージを伝送したワイヤレス・アクセス・ポイントが、旧パスワード(新たに活性化されたクライアント)を使用してワイヤレス・ネットワークに接続しようとする。ワイヤレス・アクセス・ポイントは、新たに活性化されたクライアントにメッセージ(旧パスワードによって暗号化された新パスワード)を送ることによって応答し、その新たに活性化されたクライアントは新パスワードを検索し、その新パスワードを使ってその新パスワードを肯定応答する1つの暗号化されたメッセージをワイヤレス・アクセス・ポイントに返送する。別の実施例では、ワイヤレス・アクセス・ポイントがその新たに活性化されたクライアントによって供給された旧パスワードをチェックして、それが「満了しているもの」であるかどうかを決定する。それが満了している場合、ワイヤレス・アクセス・ポイントはその新たに活性化されたクライアントによる接続要求を拒否する。旧パスワードが満了していない場合、ワイヤレス・アクセス・ポイントは、上述のように、新パスワードをクライアントに提供する。
【発明を実施するための最良の形態】
【0010】
以下は、本発明の実施例の詳細な説明を提供することを意図するものであって、本発明自体を限定するものと解されるべきではない。これに関するいずれの変更も、「特許請求の範囲」において定義される発明の範囲内にあると理解されたい。
【0011】
図1は、パスワードの更新が、管理者、ワイヤレス・アクセス・ポイント、及びクライアントの間で伝播する方法を示す図である。この図は、図の上部に見られる初期の事象および下部に見られるその後の事象を有する経時的表示(timeline)を示す。管理者の処理はステップ100において開始し、次に、ステップ105において、管理者が、使用すべきワイヤレス・アクセス・ポイントに対するパスワードをセットする。1つの実施例では、管理者は、ワイヤレス・アクセス・ポイントに無線で接続するのではなく、直接の接続線を使用してワイヤレス・アクセス・ポイント上にログする。これは、物理的領域の外にあるユーザが、ワイヤレス・アクセス・ポイントに保存されたパスワードのようなセキュリティ設定を変更しないようにする。
【0012】
ワイヤレス・アクセス・ポイントの処理はステップ100において開始し、ステップ115において、ワイヤレス・アクセス・ポイントが、管理者から新パスワードを受取り、望ましくは、そのワイヤレス・アクセス・ポイントにアクセスし得る不揮発性記憶装置上にそれを保存する。ステップ120において、ワイヤレス・アクセス・ポイントは、新たなパスワード(以下、新パスワードという)を含むメッセージを作成し、古い(前の)パスワード(以下、旧パスワードという)を使ってそのメッセージを暗号化する(その時点では、クライアントは旧パスワードを使ってワイヤレス・アクセス・ポイントに接続しており、新パスワードを未だ知らない)。ステップ125において、ワイヤレス・アクセス・ポイントは、暗号化されたメッセージをすべての「アクティブ」クライアントに無線で伝送する。アクティブ・クライアントは、現在ワイヤレス・アクセス・ポイントに接続されているクライアントであり、一方、切断されたクライアントは、現在ワイヤレス・アクセス・ポイントに接続されていないクライアントである。
【0013】
アクティブ・クライアントの処理はステップ130において開始し、ステップ135において、アクティブ・クライアントが、新パスワードを含む暗号化されたメッセージを受取る。そのクライアントは、旧パスワードを使ってそのメッセージを暗号化解除し、しかる後、新パスワードを保存することによってそれの構成データを更新する。そのクライアントは、このとき、ワイヤレス・アクセス・ポイントへの/ワイヤレス・アクセス・ポイントからのメッセージを暗号化/暗号化解除するとき、新パスワードを使用することになる。ステップ140において、アクティブ・クライアントは、新パスワードを使用して暗号化された新たなメッセージを作成する。このメッセージは肯定応答として働く。ステップ145において、ワイヤレス・アクセス・ポイントはアクティブ・クライアントからその肯定応答を受取る。
【0014】
切断されたクライアントの処理はステップ150において開始する。これらのクライアントは、ワイヤレス・アクセス・ポイントが新パスワードをすべてのアクティブ・クライアントに送出したときにはワイヤレス・アクセス・ポイントに接続されてなかった。その後の時点では、その切断されたクライアントは、パスワードが変更されたことをそれが知らないので、旧パスワードを使ってワイヤレス・アクセス・ポイントに接続する。この時点では、その切断されたクライアントは、それが最早ワイヤレス・アクセス・ポイントから切断されてないので、「新たに活性化されたクライアント」になる。
【0015】
ステップ160において、ワイヤレス・アクセス・ポイントは、その新たに活性化されたクライアントから接続メッセージを受取り、旧パスワードを使ってその接続を検証する。ステップ165において、ワイヤレス・アクセス・ポイントは、旧パスワードが満了しているかどうかを知るために旧パスワードの満了をチェックする。旧パスワードが満了している場合、接続要求がワイヤレス・アクセス・ポイントによって拒否される。しかし、旧パスワードが満了していない場合、ステップ170において、ワイヤレス・アクセス・ポイントは、新パスワードを含むメッセージを作成し、旧パスワードを使ってそのメッセージを暗号化する。ステップ175において、新たに活性化されたクライアントがそのメッセージを受取る。その新たに活性化されたクライアントは、旧パスワードを使ってそのメッセージを暗号化解除し、その暗号化解除されたメッセージから新パスワードを検索する。ステップ180において、その新たに活性化されたクライアントは、その新パスワードを使って暗号化されたメッセージを作成し、その新たなメッセージをワイヤレス・アクセス・ポイントに返送する。このメッセージは、新たに活性化されたクライアントからの肯定応答として働く。ステップ185において、ワイヤレス・アクセス・ポイントは、その新たに活性化されたクライアントからの肯定応答を受取る。
【0016】
図2は、新パスワードを設定してそれをクライアントに伝播する場合に管理者とワイヤレス・アクセス・ポイントとの間で取られるステップを示すフローチャートである。管理者の処理はステップ200において開始し、しかる後、ステップ205において、管理者タ(ユーザ)は、選択情報を入力する。その選択には、アクセス制御リスト(ACL)がネットワークを更に保護するために使用されるであろうかどうか、及び旧パスワードが満了するであろうかどうか、そしてそれが満了する場合にはどのような満了時間が旧パスワードに適用されるかが含まれている。ネットワークを更に保護するためにアクセス制御リストを使用することを管理者が選択したかどうかに関する決定が行われる(判断ステップ210)。アクセス制御リストは、ワイヤレス・アクセス・ポイントをアクセスすることができるクライアント識別子のリストである。クライアント識別子として、ネットワーク接続ハードウェアのほとんどの構成に割り当てられた固有のコードであるMACアドレスを使用することができる。MACアドレスは、ハードウェアに恒久的に割り当てられ、従って、クライアント装置に含まれたワイヤレス・カードのようなハードウェア・アドレスへのワイヤレス・ネットワークのアクセスを制限し、更にネットワークを保護するために使用される。しかし、熟練したハッカーは、ワイヤレス・アクセス・ポイントへのまたはワイヤレス・アクセス・ポイントからのメッセージを暗号化するためにパスワードを使用することが必要であるという理由で偽のMACアドレスでなりすます(spoof)ことができることもある。アクセス制御リストが使用される場合、判断ステップ210は「Yes」経路212に分岐し、ステップ215において、(アクセス制御リストが既に設定されている場合)、アクセス制御リストがワイヤレス・アクセス・ポイントから要求される。
【0017】
ワイヤレス・アクセス・ポイントの処理はステップ220において開始し、ステップ230において、ワイヤレス・アクセス・ポイントは、アクセス制御リストに対する要求を受取り、そのアクセス制御リストを管理者に戻す。管理者はステップ215においてそのアクセス制御リストを受取り、ステップ235において、修正されたアクセス制御リストを編集し(追加及び削除し)、それを保存する。判断ステップ210に戻ると、管理者がアクセス制御リストを使用しないことを選択する場合、判断ステップ210は、ステップ215及び235を迂回する「No」経路238に分岐する。
【0018】
管理者が旧パスワードに対する満了期限を設定したかどうかに関する決定が行われる(判断ステップ240)。1つの実施例では、管理者から満了期限を受取る代わりにデフォルト満了を使用することも可能である。満了期限が旧パスワードに適用する場合、判断ステップ240は「Yes」経路242に分岐し、ステップ245において、旧パスワードに対する満了日が設定される。一方、満了日が旧パスワードに適用しない場合、判断ステップ240はステップ245を迂回する「No」経路248に分岐する。
【0019】
ステップ250では、管理者によって提供される新パスワードが設定される。ステップ255において、更新がワイヤレス・アクセス・ポイントに送られる。これらの更新は、ワイヤレス・アクセス・ポイントが使用することになる新パスワード、提供される場合の更新されたアクセス制御リスト、及び管理者によって提供される場合の旧パスワードに関する満了期限を含む。しかる後、管理者の処理がステップ260において終了する。
【0020】
ワイヤレス・アクセス・ポイントの処理に戻ると、ステップ270において、ワイヤレス・アクセス・ポイントが新パスワード、更新されたアクセス制御リスト(提供された場合)、及び旧パスワードの満了期限(提供された場合)を受取って保存する。このデータがデータ記憶装置225に保存される。1つの実施例では、データ記憶装置225は、ワイヤレス・アクセス・ポイントにアクセスし得る不揮発性記憶領域内にある。アクセス制御リストは新パスワードを任意のアクティブ・クライアントに、即ち、その時点でワイヤレス・アクセス・ポイントに接続されているクライアントに伝播する(プロセス280、なお、処理の詳細に関しては図3及び対応する記述を参照されたい)。ワイヤレス・アクセス・ポイントは、クライアント要求も処理し続ける(プロセス290、なお、処理の詳細に関しては図4及び対応する記述を参照されたい)。これらの要求は、新パスワードがプロセス280によって伝播されたときにその新パスワードを受取らなかったクライアントからの接続要求を含むことがある。しかる後、ワイヤレス・アクセス・ポイントの処理がステップ295において終了する。
【0021】
図3は、ワイヤレス・アクセス・ポイントが新パスワードを伝播するとき、オンラインであるそのワイヤレス・アクセス・ポイントとクライアント装置との間で取られるステップを示すフローチャートである。ワイヤレス・アクセス・ポイントの処理はステップ300で開始し、ステップ305において、ワイヤレス・アクセス・ポイントが、新パスワードをメッセージに保存すること及び旧パスワードを使ってそのメッセージを暗号化することによってパスワード更新メッセージを作成する。ワイヤレス・ネットワークがアクセス制御リストを使うかどうかに関する決定が行われる(判断ステップ310)。アクセス制御リストがそれを使う場合、判断ステップ310は「Yes」経路312に分岐し、ステップ315において、その暗号化されたパスワード更新メッセージがアクセス制御リストにおけるリストされた各クライアントに送られる。一方、アクセス制御リストが使われない場合、判断ステップ310は「No」経路318に分岐し、ステップ320において、ワイヤレス・アクセス・ポイントはその暗号化されたパスワード更新メッセージをすべてのアクティブ・クライアント(その時点でワイヤレス・アクセス・ポイントに接続されているすべての装置)にブロードキャストする。
【0022】
アクティブ・クライアントの処理はステップ325において開始し、ステップ330において、クライアントがその暗号化されたパスワード更新メッセージを受取る。次に、新パスワードを受容すべきか又は拒否すべきかに関する決定が行われる(判断ステップ340)。新パスワードを受取る装置のうちには、最早、ワイヤレス・ネットワークに接続する必要がないものがある。例えば、ネットワークに接続する必要がない装置に、管理者がクライアント装置を売却又は譲渡することを計画している場合、新パスワードの更新は拒否されることがある。新パスワード更新メッセージがクライアントによって受容される場合、判断ステップ340が「Yes」経路342に分岐し、ステップ345において、クライアントがネットワークをアクセスし続けることができるように新パスワードがそのクライアントの構成データ内に保存され、ステップ350において、そのクライアントは、新パスワードを使って肯定応答メッセージを暗号化することにより肯定応答メッセージを作成する。一方、クライアントが新パスワードを受容したくない場合、判断ステップ340は「No」経路352に分岐し、ステップ355において、旧パスワード又は新パスワードを使って拒否メッセージが暗号化される。次に、ステップ360において、クライアントは、新パスワードを受容する又は拒否する応答メッセージをワイヤレス・アクセス・ポイントに送る。しかる後、ステップ365において、新パスワード・メッセージのクライアント処理が終了する。別の実施例では、ユーザは、パスワードが変更されたことを(例えば、ポップアップ・メッセージによって)通知される。
【0023】
説明をワイヤレス・アクセス・ポイントの処理に戻すと、ステップ370において、クライアントの応答が受取られる。クライアントが新パスワードを受容したかどうかに関する決定が行われる(判断ステップ375)。クライアントが新パスワードを受容しなかった場合、判断ステップ375は「No」経路378に分岐する。そこで、ステップ380において、クライアントは(アクセス制御リストが使用されている場合)アクセス制御リストから除去される。一方、そのパスワードがクライアントによって受容された場合、判断ステップ375は「Yes」経路385に分岐する。そこで、ステップ395においてワイヤレス・アクセス・ポイントの処理が呼び出しルーチンに戻る。
【0024】
図4は、ワイヤレス・アクセス・ポイントが新パスワードを伝播するとき、ワイヤレス・アクセス・ポイント及び切断されたクライアント装置(図示されていない)の間で取られるステップを示すフローチャートである。クライアントの処理はステップ400において開始し、次に、ステップ405において、クライアントが最後の既知のパスワードを使ってメッセージを暗号化する。クライアントが新パスワードを受取っていない場合、最後の既知のパスワードは、管理者によって設定され且つワイヤレス・アクセス・ポイントによって使用される新パスワードとは異なるものである。しかし、クライアントが新パスワードを既に受取っている場合、最後の既知のパスワードはその新パスワードと同じである。ステップ410において、クライアントはその暗号化されたメッセージをワイヤレス・アクセス・ポイントに無線で伝送する。
【0025】
ワイヤレス・アクセス・ポイントの処理はステップ420において開始し、次に、ステップ425において、ワイヤレス・アクセス・ポイントがそれのセキュリティ設定をデータ記憶装置225から読取る。そのセキュリティ設定はワイヤレス・アクセス・ポイントによって使用される新パスワード、その新パスワードが設定される前にワイヤレス・アクセス・ポイントによって使用された前のパスワード、即ち、旧パスワード、その旧パスワードに対する満了日又は満了時間、およびオプショナル・アクセス制御リストを含む。ステップ430において、ワイヤレス・アクセス・ポイントはクライアントによって送られたその暗号化されたメッセージを受取る。
【0026】
ワイヤレス・アクセス・ポイントがアクセス制御リストを使用するかどうかに関する決定が行われる(判断ステップ435)。アクセス制御リストが使用される場合、判断ステップ435は「Yes」経路438に分岐し、次に、ステップ440において、クライアントがアクセス制御リストに比較される。次に、そのクライアントがアクセス制御リストにおいて見つかったかどうかに関する決定が行われる(判断ステップ445)。そのクライアントがアクセス制御リストにおいて見つからなかった場合、判断ステップ445は「No」経路452に分岐し、次に、ステップ480において、クライアントからのメッセージが拒否され、ステップ449においてワイヤレス・アクセス・ポイントの処理が戻る。一方、そのクライアントがアクセス制御リストにある(そのときには判断ステップ445は「Yes」経路448に分岐する)場合、またはアクセス制御リストが使用されない(そのときには判断ステップ435は「No」経路446に分岐する)場合、ステップ450において、管理者によって設定された現パスワード、即ち、新パスワードを使って、メッセージが暗号化解除される。
【0027】
新パスワードがそのメッセージを成功裏に暗号化解除したかどうかに関する決定が行われる(判断ステップ455)。新パスワードがそのメッセージを成功裏に暗号化解除した場合、判断ステップ455は「Yes」経路458に分岐し、次に、ステップ460において、クライアントからのメッセージが許容される。一方、新パスワードがそのメッセージを成功裏に暗号化解除しなかった場合、判断ステップ455は、そのメッセージを更に分析するために「No」経路462に分岐する。
【0028】
旧パスワードの使用に関して設定された満了日が生じたかどうか、従って旧パスワードの使用が満了したかどうかに関する決定が行われる(判断ステップ465)。旧パスワードが満了した場合、判断ステップ465は「Yes」経路466に分岐し、次に、ステップ480において、クライアントからのメッセージは拒否され、ステップ499においてワイヤレス・アクセス・ポイントの処理は戻る。
【0029】
一方、旧パスワードが満了してない場合、判断ステップ465は「No」経路468に分岐し、次に、ステップ470において、クライアントから受取られたメッセージが旧パスワードを使って暗号化解除される。次に、旧パスワードがメッセージを成功裏に暗号化解除したかどうかに関する決定が行われる(判断ステップ475)。旧パスワードがメッセージを成功裏に暗号化解除しなかった場合、判断ステップ475は「No」経路478に分岐し、次に、ステップ480において、クライアントからのメッセージは拒否され、ステップ499においてワイヤレス・アクセス・ポイントの処理は戻る。一方、旧パスワードがメッセージを成功裏に暗号化解除した場合、判断ステップ475は「Yes」経路488に分岐し、次に、新パスワードがクライアントに伝播される(プロセス490、なお、この処理の詳細に関しては図3及び対応する記述を参照されたい)。別の実施例では、旧パスワードの各々がそれ自身のパスワード満了基準を有することによって2つ以上の「古い」パスワードをサポートすることが可能である。しかる後、ステップ499においてワイヤレス・アクセス・ポイントの処理は戻る。
【0030】
説明をクライアントの処理の戻すと、ステップ485において、クライアントはワイヤレス・アクセス・ポイントから応答(メッセージの受容、メッセージの拒否、または旧パスワードでもって暗号化され且つ新しいパスワードを含むパスワード更新メッセージ、を含む)を受取る。従って、クライアントはその応答を処理し、ステップ495においてクライアントの処理は終了する。
【0031】
図5は、本明細書において説明されたコンピューティング・オペレーションを遂行することができるコンピュータ・システムの単純化した例である情報処理システム501を示す。コンピュータ・システム501は、ホスト・バス502に結合されたプロセッサ500を含む。ホスト・バス502には、レベル2(L2)キャッシュ・メモリ504も結合される。ホスト・ツー・PCIブリッジ506がメイン・メモリ508に結合され、キャッシュ・メモリ及びメイン・メモリ制御機能を含み、PCIバス510、プロセッサ500、L2キャッシュ504、メイン・メモリ508、及びホスト・バス502の間の転送を処理するためのバス制御を提供する。メイン・メモリ508は、ホストPCI間ブリッジ506及びホスト・バス502に結合される。LANカード530のような、ホスト・プロセッサ500によって単独で使用される装置がPCIバス510に結合される。サービス・プロセッサ・インターフェース及びISAアクセス・パススルー512がPCIバス510とPCIバス514との間のインターフェースを提供する。このように、PCIバス514はPCIバス510から隔離されている。フラッシュ・メモリ518のような装置もPCIバス514に結合される。1つの実施態様では、フラッシュ・メモリ518は、種々の低レベル・システム機能及びシステム・ブート機能のための必要なプロセッサ実行可能コードを組み込んだBIOSコードを含む。
【0032】
PCIバス514は、ホスト・プロセッサ500と、例えば、フラッシュ・メモリ518を含むサービス・プロセッサ516とによって共用される種々の装置に対するインターフェースを提供する。PCI・ISA間ブリッジ535は、PCIバス514及びISAバス540の間の転送、ユニバーサル・シリアル・バス(USB)機能545、電源管理機能555を処理するためのバス制御を提供し、実時間クロック(RTC)、DMA制御、割込みサポート、及びシステム管理バス・サポートのような他の図示されていない素子も含むことも可能である。不揮発性RAM(NVRAM)520がISAバス540に接続される。サービス・プロセッサ516は、初期設定ステップ時にプロセッサ500とコミュニケーションを行うためのJTAG/I2Cバス522を含む。JTAG/I2Cバス522は、L2キャッシュ504、ホスト・ツー・PCIブリッジ506、及びメイン・メモリ508にも結合され、プロセッサ、サービス・プロセッサ、L2キャッシュ、ホスト・ツー・PCIブリッジ、及びメイン・メモリの間のコミュニケーション・パスを提供する。サービス・プロセッサ516は、情報処理システム501を電源遮断するためのシステム電源資源に対するアクセスも行う。
【0033】
ISAバス540に結合された種々のインターフェース、例えば、パラレル・インターフェース562、シリアル・インターフェース564、キーボード・インターフェース568、及びマウス・インターフェース570には周辺装置及び入出力(I/O)装置を接続することが可能である。それとは別に、ISAバス540に接続されたスーパI/Oコントローラ(図示されていない)によって、多くのI/O装置を適応させることが可能である。実時間クロック(RTC)560も周辺装置として接続され、タイミング・オペレーションを遂行するように情報処理システムによって使用される。
【0034】
ネットワークを介してコンピュータ・システム501を他のコンピュータ・システムに接続してファイルをコピーするために、LANカード530がPCIバス510に結合される。同様に、電話回線接続を使用してインターネットに接続するためにコンピュータ・システム501をISPに接続するには、モデム575がシリアル・ポート564及びPCI・ツー・ISAブリッジ535に接続される。
【0035】
図5に示されたコンピュータ・システムは本明細書において説明された発明を実現することができるが、このコンピュータ・システムはコンピュータ・システムの単なる一例に過ぎない。多くの他のコンピュータ・システムが上記の発明を遂行することができることは当業者には明らかであろう。
【0036】
本発明の好適な実施態様の1つが、クライアント・アプリケーション、例えば、コンピュータのランダム・アクセス・メモリに常駐することが可能なコード・モジュールにおける命令セットである。コンピュータが要求するまで、その命令セットは他のコンピュータに、例えば、ハードディスク・ドライブに、または(CD−ROMにおけるその後の使用のための)光ディスクまたは(フロッピディスク・ドライブにおけるその後の使用のための)フロッピディスクのような取り外し可能なメモリに保存され、または或いはインターネット又は他のコンピュータ・ネットワークを介してダウンロードされる。従って、本発明は、コンピュータにおいて使用するためのコンピュータ・プログラムとして具現化することも可能である。更に、上記の種々の方法はソフトウェアによって選択的に作動または再構成される汎用コンピュータにおいて都合よく具現化されるが、そのような方法は、必要な方法ステップを遂行するように構成されたハードウェアで、ファームウェアで、または更に特殊の装置で、実行することが可能である。
【図面の簡単な説明】
【0037】
【図1】パスワード更新が管理者、ルータ、及びクライアントの間で伝播する方法を示す概略図である。
【図2】新パスワードを設定し、それをクライアントに伝播するときに管理者及びワイヤレス・アクセス・ポイントの間で取られるステップを示すフローチャートである。
【図3】ワイヤレス・アクセス・ポイントが新パスワードを伝播するとき、オンラインであるワイヤレス・アクセス・ポイント及びクライアント装置の間で取られるステップを示すフローチャートである。
【図4】ワイヤレス・アクセス・ポイントが新パスワードを伝播するとき、切断された(オンラインではない)ワイヤレス・アクセス・ポイント及びクライアント装置の間で取られるステップを示すフローチャートである。
【図5】本発明における意図された計算を遂行するができる情報処理システムのブロック図である。
【技術分野】
【0001】
本発明は、一般的にはルータのようなワイヤレス・アクセス・ポイントに装置を接続するために使用されるパスワードを更新するためのシステム及び方法に関するものである。更に詳しく言えば、本発明は、ワイヤレス・アクセス・ポイントをアクセスするためにクライアントによって使用されるパスワードを自動的に更新するためのシステム及び方法に関するものである。
【背景技術】
【0002】
ワイヤレス・ネットワーキングは、家庭及びビジネスにおいて益々人気が高まっている。これは、一部の建造物及び自宅の設計構造のために装置間のネットワーク・ケーブルの設置が困難である環境では特に著しい。更に、コンピュータ・ユーザ、特に、ラップトップ又はノートブック・コンピュータのユーザが、特定の物理的ロケーションに拘束されることなく、インターネットのようなコンピュータ・ネットワークに接続することを望むことが多い。
【0003】
ワイヤレス・ネットワーキングは、多くの場合、ユーザが「ワイヤレス・アクセス・ポイント」即ち「WAP」から100フィート(約33メートル)以上もローミングすることを可能にするものである。携帯用装置(例えば、PDA、音楽用プレーヤ等)またはノートブック/ラップトップ・コンピュータのようなユーザの情報処理システムは、無線でデータを他のワイヤレス・ネットワーク装置に送信したり、他のワイヤレス・ネットワーク装置から受信したりするワイヤレス・ネットワーク・アダプタ又はカードを内蔵している。多くのワイヤレス装置は、IEEE802.11標準のような種々の標準規格に従って構成されている。装置が使用する標準規格のタイプによって、それが通信することができる他の装置の範囲が規定される。
【0004】
ワイヤレス・アクセス・ポイント(WAPまたはAP)は、ワイヤレス・ネットワークを形成するようにワイヤレス通信装置を相互に「接続する」装置である。WAPは、通常、有線ネットワークに接続され、各サイドにおける装置間でデータをリレーすることが可能である。多くのWAPは、「ローミング」を可能にする大型のネットワークを形成するように相互に接続することが可能である。対照的に、クライアント装置が自身を管理するネットワークは、アドホック・ネットワークと呼ばれる。ルータは、同じネットワーク・パスを使用する2つの同様のネットワークを接続するネットワーク装置である。家庭環境または小型ビジネス環境では、ルータが、ユーザのローカル・エリア・ネットワーク(LAN)をケーブル・モデムのようなブロードバンド・ネットワーク接続装置に接続することが多い。一方、ブロードバンド・ネットワーク接続装置は、インターネット・サービス・プロバイダ(ISP)に接続してそのローカル・エリア・ネットワークにおける任意の装置がインターネットへのアクセスを行えるようにする。ワイヤレス・ルータと呼ばれるルータは、これらのルータがワイヤレス・アクセス・ポイントとして働くことも可能にするワイヤレス技術を含む。本明細書において使用されるように、「ワイヤレス・アクセス・ポイント」即ち「WAP」は、慣用的なワイヤレス・アクセス・ポイント及びワイヤレス・ルータ、並びに2個以上の装置のワイヤレス接続を容易にする他の任意の装置を含む。
【0005】
ワイヤレス・ネットワーク接続は多大な移動性および融通性をユーザに提供するが、それはセキュリティ・リスクの潜在的な増大によってユーザの関心を喚起している。ワイヤレス・ネットワークは、ユーザの家庭又はオフィス環境から数十メートル以上も外部に拡大している。ユーザがユーザのワイヤレス・ネットワークを保護していなければ、ワイヤレス装置を有する他の装置がそのネットワークに接続することが可能である。このセキュリティ要件に対処するために、ほとんどのWAPはパスワード機構を提供している。管理者がパスワードをWAPにセットし、そのWAPを使用すると思われる各クライアント装置にもそのパスワードを提供する。従来は、クライアント装置へパスワードを提供することは、その装置の管理者又はユーザがその装置上の構成パネルを開くこと及びパスワードを入れることを必要とした。WAPは、そのパスワードを知っている装置のみと通信を行うように構成される。WAPは、ワイヤレス・ネットワークを介してそれが受取るデータ・パケットをチェックし、それらがそのパスワードを使用して暗号化されているかどうかを知る。パケットがそのパスワードを使用して暗号化されてない場合、それは拒否される。同様に、WAPからワイヤレス・ネットワークを介して装置に無線で伝送されたパケットはそのパスワードを使って暗号化されている。このように、不当アクセス者がパスワードを得ずにワイヤレス・ネットワークと通信を行うことはできない。
【0006】
ワイヤレス・ネットワークを介して送られたデータの暗号化はそのネットワークから不当アクセス者を締め出すことには役に立つが、それは保守上の難題を生じる。セキュリティを保証するために、パスワードを定期的に変更することを多くのセキュリティ専門家が提案している。伝統的なワイヤレス・ネットワークを使用すると、これは、WAPにおけるパスワード及び各クライアント装置によって使用されるパスワードの変更を必要とする。管理者又はユーザが装置の1つにおけるパスワードの変更を忘れた場合、その装置は、最早、ワイヤレス・ネットワークに接続することができなくなる。この難題は、ワイヤレス装置の数が大きいときに深刻化する。大型のワイヤレス・ネットワークにおけるすべてのパスワードの変更は大量の時間を必要とすることが多い。更に、装置が多数である場合、1つ又は複数の装置のパスワードが更新されないという機会が増加する。これらの困難のために、ワイヤレス・ネットワークの管理者は、ワイヤレス・ネットワークのために使用されるパスワードを、専門家によって提案されるように頻繁に更新することを無視することが多く、従って、不当アクセス者がパスワードを取得してワイヤレス・ネットワークを不正にアクセスする機会を増加させることになる。
【発明の開示】
【発明が解決しようとする課題】
【0007】
従って、本発明の目的は、ワイヤレス・ネットワーク全体にわたってパスワードの変更が拡散されるようにするシステム及び方法を提供することである。更に本発明の目的は、満了時間(expiration time)後には新パスワードがクライアント装置に拡散しないような満了時間を与えるシステム及び方法を提供することである。
【課題を解決するための手段】
【0008】
管理者が伝統的なWAP又はワイヤレス・ルータのようなワイヤレス・アクセス・ポイントに新パスワードをセットすることを可能にするシステム及び方法を使って、上記の問題が解決されることがわかった。ワイヤレス・アクセス・ポイントは、新たなパスワード、即ち、新パスワードを含むメッセージを作成する。そのメッセージは、ワイヤレス・ネットワークに対して事前にセットされた古いパスワード、即ち、旧パスワードを使って暗号化される。その暗号化されたメッセージは、そのワイヤレス・アクセス・ポイントからアクティブ・クライアント装置(現在そのワイヤレス・ネットワークをアクセスしているクライアント)に無線で伝送される。それらのクライアントは、事前にそれらのクライアントに提供された旧パスワードを使ってそのメッセージを暗号化解除する。クライアントは、そのメッセージから新パスワードを検索する。クライアントは、その新パスワードを使って暗号化される新たなメッセージを形成する。その新たなメッセージがクライアントからワイヤレス・アクセス装置に無線で伝送され、肯定応答として働く。
【0009】
1つの実施例では、パスワードを含んだメッセージを伝送したワイヤレス・アクセス・ポイントが、旧パスワード(新たに活性化されたクライアント)を使用してワイヤレス・ネットワークに接続しようとする。ワイヤレス・アクセス・ポイントは、新たに活性化されたクライアントにメッセージ(旧パスワードによって暗号化された新パスワード)を送ることによって応答し、その新たに活性化されたクライアントは新パスワードを検索し、その新パスワードを使ってその新パスワードを肯定応答する1つの暗号化されたメッセージをワイヤレス・アクセス・ポイントに返送する。別の実施例では、ワイヤレス・アクセス・ポイントがその新たに活性化されたクライアントによって供給された旧パスワードをチェックして、それが「満了しているもの」であるかどうかを決定する。それが満了している場合、ワイヤレス・アクセス・ポイントはその新たに活性化されたクライアントによる接続要求を拒否する。旧パスワードが満了していない場合、ワイヤレス・アクセス・ポイントは、上述のように、新パスワードをクライアントに提供する。
【発明を実施するための最良の形態】
【0010】
以下は、本発明の実施例の詳細な説明を提供することを意図するものであって、本発明自体を限定するものと解されるべきではない。これに関するいずれの変更も、「特許請求の範囲」において定義される発明の範囲内にあると理解されたい。
【0011】
図1は、パスワードの更新が、管理者、ワイヤレス・アクセス・ポイント、及びクライアントの間で伝播する方法を示す図である。この図は、図の上部に見られる初期の事象および下部に見られるその後の事象を有する経時的表示(timeline)を示す。管理者の処理はステップ100において開始し、次に、ステップ105において、管理者が、使用すべきワイヤレス・アクセス・ポイントに対するパスワードをセットする。1つの実施例では、管理者は、ワイヤレス・アクセス・ポイントに無線で接続するのではなく、直接の接続線を使用してワイヤレス・アクセス・ポイント上にログする。これは、物理的領域の外にあるユーザが、ワイヤレス・アクセス・ポイントに保存されたパスワードのようなセキュリティ設定を変更しないようにする。
【0012】
ワイヤレス・アクセス・ポイントの処理はステップ100において開始し、ステップ115において、ワイヤレス・アクセス・ポイントが、管理者から新パスワードを受取り、望ましくは、そのワイヤレス・アクセス・ポイントにアクセスし得る不揮発性記憶装置上にそれを保存する。ステップ120において、ワイヤレス・アクセス・ポイントは、新たなパスワード(以下、新パスワードという)を含むメッセージを作成し、古い(前の)パスワード(以下、旧パスワードという)を使ってそのメッセージを暗号化する(その時点では、クライアントは旧パスワードを使ってワイヤレス・アクセス・ポイントに接続しており、新パスワードを未だ知らない)。ステップ125において、ワイヤレス・アクセス・ポイントは、暗号化されたメッセージをすべての「アクティブ」クライアントに無線で伝送する。アクティブ・クライアントは、現在ワイヤレス・アクセス・ポイントに接続されているクライアントであり、一方、切断されたクライアントは、現在ワイヤレス・アクセス・ポイントに接続されていないクライアントである。
【0013】
アクティブ・クライアントの処理はステップ130において開始し、ステップ135において、アクティブ・クライアントが、新パスワードを含む暗号化されたメッセージを受取る。そのクライアントは、旧パスワードを使ってそのメッセージを暗号化解除し、しかる後、新パスワードを保存することによってそれの構成データを更新する。そのクライアントは、このとき、ワイヤレス・アクセス・ポイントへの/ワイヤレス・アクセス・ポイントからのメッセージを暗号化/暗号化解除するとき、新パスワードを使用することになる。ステップ140において、アクティブ・クライアントは、新パスワードを使用して暗号化された新たなメッセージを作成する。このメッセージは肯定応答として働く。ステップ145において、ワイヤレス・アクセス・ポイントはアクティブ・クライアントからその肯定応答を受取る。
【0014】
切断されたクライアントの処理はステップ150において開始する。これらのクライアントは、ワイヤレス・アクセス・ポイントが新パスワードをすべてのアクティブ・クライアントに送出したときにはワイヤレス・アクセス・ポイントに接続されてなかった。その後の時点では、その切断されたクライアントは、パスワードが変更されたことをそれが知らないので、旧パスワードを使ってワイヤレス・アクセス・ポイントに接続する。この時点では、その切断されたクライアントは、それが最早ワイヤレス・アクセス・ポイントから切断されてないので、「新たに活性化されたクライアント」になる。
【0015】
ステップ160において、ワイヤレス・アクセス・ポイントは、その新たに活性化されたクライアントから接続メッセージを受取り、旧パスワードを使ってその接続を検証する。ステップ165において、ワイヤレス・アクセス・ポイントは、旧パスワードが満了しているかどうかを知るために旧パスワードの満了をチェックする。旧パスワードが満了している場合、接続要求がワイヤレス・アクセス・ポイントによって拒否される。しかし、旧パスワードが満了していない場合、ステップ170において、ワイヤレス・アクセス・ポイントは、新パスワードを含むメッセージを作成し、旧パスワードを使ってそのメッセージを暗号化する。ステップ175において、新たに活性化されたクライアントがそのメッセージを受取る。その新たに活性化されたクライアントは、旧パスワードを使ってそのメッセージを暗号化解除し、その暗号化解除されたメッセージから新パスワードを検索する。ステップ180において、その新たに活性化されたクライアントは、その新パスワードを使って暗号化されたメッセージを作成し、その新たなメッセージをワイヤレス・アクセス・ポイントに返送する。このメッセージは、新たに活性化されたクライアントからの肯定応答として働く。ステップ185において、ワイヤレス・アクセス・ポイントは、その新たに活性化されたクライアントからの肯定応答を受取る。
【0016】
図2は、新パスワードを設定してそれをクライアントに伝播する場合に管理者とワイヤレス・アクセス・ポイントとの間で取られるステップを示すフローチャートである。管理者の処理はステップ200において開始し、しかる後、ステップ205において、管理者タ(ユーザ)は、選択情報を入力する。その選択には、アクセス制御リスト(ACL)がネットワークを更に保護するために使用されるであろうかどうか、及び旧パスワードが満了するであろうかどうか、そしてそれが満了する場合にはどのような満了時間が旧パスワードに適用されるかが含まれている。ネットワークを更に保護するためにアクセス制御リストを使用することを管理者が選択したかどうかに関する決定が行われる(判断ステップ210)。アクセス制御リストは、ワイヤレス・アクセス・ポイントをアクセスすることができるクライアント識別子のリストである。クライアント識別子として、ネットワーク接続ハードウェアのほとんどの構成に割り当てられた固有のコードであるMACアドレスを使用することができる。MACアドレスは、ハードウェアに恒久的に割り当てられ、従って、クライアント装置に含まれたワイヤレス・カードのようなハードウェア・アドレスへのワイヤレス・ネットワークのアクセスを制限し、更にネットワークを保護するために使用される。しかし、熟練したハッカーは、ワイヤレス・アクセス・ポイントへのまたはワイヤレス・アクセス・ポイントからのメッセージを暗号化するためにパスワードを使用することが必要であるという理由で偽のMACアドレスでなりすます(spoof)ことができることもある。アクセス制御リストが使用される場合、判断ステップ210は「Yes」経路212に分岐し、ステップ215において、(アクセス制御リストが既に設定されている場合)、アクセス制御リストがワイヤレス・アクセス・ポイントから要求される。
【0017】
ワイヤレス・アクセス・ポイントの処理はステップ220において開始し、ステップ230において、ワイヤレス・アクセス・ポイントは、アクセス制御リストに対する要求を受取り、そのアクセス制御リストを管理者に戻す。管理者はステップ215においてそのアクセス制御リストを受取り、ステップ235において、修正されたアクセス制御リストを編集し(追加及び削除し)、それを保存する。判断ステップ210に戻ると、管理者がアクセス制御リストを使用しないことを選択する場合、判断ステップ210は、ステップ215及び235を迂回する「No」経路238に分岐する。
【0018】
管理者が旧パスワードに対する満了期限を設定したかどうかに関する決定が行われる(判断ステップ240)。1つの実施例では、管理者から満了期限を受取る代わりにデフォルト満了を使用することも可能である。満了期限が旧パスワードに適用する場合、判断ステップ240は「Yes」経路242に分岐し、ステップ245において、旧パスワードに対する満了日が設定される。一方、満了日が旧パスワードに適用しない場合、判断ステップ240はステップ245を迂回する「No」経路248に分岐する。
【0019】
ステップ250では、管理者によって提供される新パスワードが設定される。ステップ255において、更新がワイヤレス・アクセス・ポイントに送られる。これらの更新は、ワイヤレス・アクセス・ポイントが使用することになる新パスワード、提供される場合の更新されたアクセス制御リスト、及び管理者によって提供される場合の旧パスワードに関する満了期限を含む。しかる後、管理者の処理がステップ260において終了する。
【0020】
ワイヤレス・アクセス・ポイントの処理に戻ると、ステップ270において、ワイヤレス・アクセス・ポイントが新パスワード、更新されたアクセス制御リスト(提供された場合)、及び旧パスワードの満了期限(提供された場合)を受取って保存する。このデータがデータ記憶装置225に保存される。1つの実施例では、データ記憶装置225は、ワイヤレス・アクセス・ポイントにアクセスし得る不揮発性記憶領域内にある。アクセス制御リストは新パスワードを任意のアクティブ・クライアントに、即ち、その時点でワイヤレス・アクセス・ポイントに接続されているクライアントに伝播する(プロセス280、なお、処理の詳細に関しては図3及び対応する記述を参照されたい)。ワイヤレス・アクセス・ポイントは、クライアント要求も処理し続ける(プロセス290、なお、処理の詳細に関しては図4及び対応する記述を参照されたい)。これらの要求は、新パスワードがプロセス280によって伝播されたときにその新パスワードを受取らなかったクライアントからの接続要求を含むことがある。しかる後、ワイヤレス・アクセス・ポイントの処理がステップ295において終了する。
【0021】
図3は、ワイヤレス・アクセス・ポイントが新パスワードを伝播するとき、オンラインであるそのワイヤレス・アクセス・ポイントとクライアント装置との間で取られるステップを示すフローチャートである。ワイヤレス・アクセス・ポイントの処理はステップ300で開始し、ステップ305において、ワイヤレス・アクセス・ポイントが、新パスワードをメッセージに保存すること及び旧パスワードを使ってそのメッセージを暗号化することによってパスワード更新メッセージを作成する。ワイヤレス・ネットワークがアクセス制御リストを使うかどうかに関する決定が行われる(判断ステップ310)。アクセス制御リストがそれを使う場合、判断ステップ310は「Yes」経路312に分岐し、ステップ315において、その暗号化されたパスワード更新メッセージがアクセス制御リストにおけるリストされた各クライアントに送られる。一方、アクセス制御リストが使われない場合、判断ステップ310は「No」経路318に分岐し、ステップ320において、ワイヤレス・アクセス・ポイントはその暗号化されたパスワード更新メッセージをすべてのアクティブ・クライアント(その時点でワイヤレス・アクセス・ポイントに接続されているすべての装置)にブロードキャストする。
【0022】
アクティブ・クライアントの処理はステップ325において開始し、ステップ330において、クライアントがその暗号化されたパスワード更新メッセージを受取る。次に、新パスワードを受容すべきか又は拒否すべきかに関する決定が行われる(判断ステップ340)。新パスワードを受取る装置のうちには、最早、ワイヤレス・ネットワークに接続する必要がないものがある。例えば、ネットワークに接続する必要がない装置に、管理者がクライアント装置を売却又は譲渡することを計画している場合、新パスワードの更新は拒否されることがある。新パスワード更新メッセージがクライアントによって受容される場合、判断ステップ340が「Yes」経路342に分岐し、ステップ345において、クライアントがネットワークをアクセスし続けることができるように新パスワードがそのクライアントの構成データ内に保存され、ステップ350において、そのクライアントは、新パスワードを使って肯定応答メッセージを暗号化することにより肯定応答メッセージを作成する。一方、クライアントが新パスワードを受容したくない場合、判断ステップ340は「No」経路352に分岐し、ステップ355において、旧パスワード又は新パスワードを使って拒否メッセージが暗号化される。次に、ステップ360において、クライアントは、新パスワードを受容する又は拒否する応答メッセージをワイヤレス・アクセス・ポイントに送る。しかる後、ステップ365において、新パスワード・メッセージのクライアント処理が終了する。別の実施例では、ユーザは、パスワードが変更されたことを(例えば、ポップアップ・メッセージによって)通知される。
【0023】
説明をワイヤレス・アクセス・ポイントの処理に戻すと、ステップ370において、クライアントの応答が受取られる。クライアントが新パスワードを受容したかどうかに関する決定が行われる(判断ステップ375)。クライアントが新パスワードを受容しなかった場合、判断ステップ375は「No」経路378に分岐する。そこで、ステップ380において、クライアントは(アクセス制御リストが使用されている場合)アクセス制御リストから除去される。一方、そのパスワードがクライアントによって受容された場合、判断ステップ375は「Yes」経路385に分岐する。そこで、ステップ395においてワイヤレス・アクセス・ポイントの処理が呼び出しルーチンに戻る。
【0024】
図4は、ワイヤレス・アクセス・ポイントが新パスワードを伝播するとき、ワイヤレス・アクセス・ポイント及び切断されたクライアント装置(図示されていない)の間で取られるステップを示すフローチャートである。クライアントの処理はステップ400において開始し、次に、ステップ405において、クライアントが最後の既知のパスワードを使ってメッセージを暗号化する。クライアントが新パスワードを受取っていない場合、最後の既知のパスワードは、管理者によって設定され且つワイヤレス・アクセス・ポイントによって使用される新パスワードとは異なるものである。しかし、クライアントが新パスワードを既に受取っている場合、最後の既知のパスワードはその新パスワードと同じである。ステップ410において、クライアントはその暗号化されたメッセージをワイヤレス・アクセス・ポイントに無線で伝送する。
【0025】
ワイヤレス・アクセス・ポイントの処理はステップ420において開始し、次に、ステップ425において、ワイヤレス・アクセス・ポイントがそれのセキュリティ設定をデータ記憶装置225から読取る。そのセキュリティ設定はワイヤレス・アクセス・ポイントによって使用される新パスワード、その新パスワードが設定される前にワイヤレス・アクセス・ポイントによって使用された前のパスワード、即ち、旧パスワード、その旧パスワードに対する満了日又は満了時間、およびオプショナル・アクセス制御リストを含む。ステップ430において、ワイヤレス・アクセス・ポイントはクライアントによって送られたその暗号化されたメッセージを受取る。
【0026】
ワイヤレス・アクセス・ポイントがアクセス制御リストを使用するかどうかに関する決定が行われる(判断ステップ435)。アクセス制御リストが使用される場合、判断ステップ435は「Yes」経路438に分岐し、次に、ステップ440において、クライアントがアクセス制御リストに比較される。次に、そのクライアントがアクセス制御リストにおいて見つかったかどうかに関する決定が行われる(判断ステップ445)。そのクライアントがアクセス制御リストにおいて見つからなかった場合、判断ステップ445は「No」経路452に分岐し、次に、ステップ480において、クライアントからのメッセージが拒否され、ステップ449においてワイヤレス・アクセス・ポイントの処理が戻る。一方、そのクライアントがアクセス制御リストにある(そのときには判断ステップ445は「Yes」経路448に分岐する)場合、またはアクセス制御リストが使用されない(そのときには判断ステップ435は「No」経路446に分岐する)場合、ステップ450において、管理者によって設定された現パスワード、即ち、新パスワードを使って、メッセージが暗号化解除される。
【0027】
新パスワードがそのメッセージを成功裏に暗号化解除したかどうかに関する決定が行われる(判断ステップ455)。新パスワードがそのメッセージを成功裏に暗号化解除した場合、判断ステップ455は「Yes」経路458に分岐し、次に、ステップ460において、クライアントからのメッセージが許容される。一方、新パスワードがそのメッセージを成功裏に暗号化解除しなかった場合、判断ステップ455は、そのメッセージを更に分析するために「No」経路462に分岐する。
【0028】
旧パスワードの使用に関して設定された満了日が生じたかどうか、従って旧パスワードの使用が満了したかどうかに関する決定が行われる(判断ステップ465)。旧パスワードが満了した場合、判断ステップ465は「Yes」経路466に分岐し、次に、ステップ480において、クライアントからのメッセージは拒否され、ステップ499においてワイヤレス・アクセス・ポイントの処理は戻る。
【0029】
一方、旧パスワードが満了してない場合、判断ステップ465は「No」経路468に分岐し、次に、ステップ470において、クライアントから受取られたメッセージが旧パスワードを使って暗号化解除される。次に、旧パスワードがメッセージを成功裏に暗号化解除したかどうかに関する決定が行われる(判断ステップ475)。旧パスワードがメッセージを成功裏に暗号化解除しなかった場合、判断ステップ475は「No」経路478に分岐し、次に、ステップ480において、クライアントからのメッセージは拒否され、ステップ499においてワイヤレス・アクセス・ポイントの処理は戻る。一方、旧パスワードがメッセージを成功裏に暗号化解除した場合、判断ステップ475は「Yes」経路488に分岐し、次に、新パスワードがクライアントに伝播される(プロセス490、なお、この処理の詳細に関しては図3及び対応する記述を参照されたい)。別の実施例では、旧パスワードの各々がそれ自身のパスワード満了基準を有することによって2つ以上の「古い」パスワードをサポートすることが可能である。しかる後、ステップ499においてワイヤレス・アクセス・ポイントの処理は戻る。
【0030】
説明をクライアントの処理の戻すと、ステップ485において、クライアントはワイヤレス・アクセス・ポイントから応答(メッセージの受容、メッセージの拒否、または旧パスワードでもって暗号化され且つ新しいパスワードを含むパスワード更新メッセージ、を含む)を受取る。従って、クライアントはその応答を処理し、ステップ495においてクライアントの処理は終了する。
【0031】
図5は、本明細書において説明されたコンピューティング・オペレーションを遂行することができるコンピュータ・システムの単純化した例である情報処理システム501を示す。コンピュータ・システム501は、ホスト・バス502に結合されたプロセッサ500を含む。ホスト・バス502には、レベル2(L2)キャッシュ・メモリ504も結合される。ホスト・ツー・PCIブリッジ506がメイン・メモリ508に結合され、キャッシュ・メモリ及びメイン・メモリ制御機能を含み、PCIバス510、プロセッサ500、L2キャッシュ504、メイン・メモリ508、及びホスト・バス502の間の転送を処理するためのバス制御を提供する。メイン・メモリ508は、ホストPCI間ブリッジ506及びホスト・バス502に結合される。LANカード530のような、ホスト・プロセッサ500によって単独で使用される装置がPCIバス510に結合される。サービス・プロセッサ・インターフェース及びISAアクセス・パススルー512がPCIバス510とPCIバス514との間のインターフェースを提供する。このように、PCIバス514はPCIバス510から隔離されている。フラッシュ・メモリ518のような装置もPCIバス514に結合される。1つの実施態様では、フラッシュ・メモリ518は、種々の低レベル・システム機能及びシステム・ブート機能のための必要なプロセッサ実行可能コードを組み込んだBIOSコードを含む。
【0032】
PCIバス514は、ホスト・プロセッサ500と、例えば、フラッシュ・メモリ518を含むサービス・プロセッサ516とによって共用される種々の装置に対するインターフェースを提供する。PCI・ISA間ブリッジ535は、PCIバス514及びISAバス540の間の転送、ユニバーサル・シリアル・バス(USB)機能545、電源管理機能555を処理するためのバス制御を提供し、実時間クロック(RTC)、DMA制御、割込みサポート、及びシステム管理バス・サポートのような他の図示されていない素子も含むことも可能である。不揮発性RAM(NVRAM)520がISAバス540に接続される。サービス・プロセッサ516は、初期設定ステップ時にプロセッサ500とコミュニケーションを行うためのJTAG/I2Cバス522を含む。JTAG/I2Cバス522は、L2キャッシュ504、ホスト・ツー・PCIブリッジ506、及びメイン・メモリ508にも結合され、プロセッサ、サービス・プロセッサ、L2キャッシュ、ホスト・ツー・PCIブリッジ、及びメイン・メモリの間のコミュニケーション・パスを提供する。サービス・プロセッサ516は、情報処理システム501を電源遮断するためのシステム電源資源に対するアクセスも行う。
【0033】
ISAバス540に結合された種々のインターフェース、例えば、パラレル・インターフェース562、シリアル・インターフェース564、キーボード・インターフェース568、及びマウス・インターフェース570には周辺装置及び入出力(I/O)装置を接続することが可能である。それとは別に、ISAバス540に接続されたスーパI/Oコントローラ(図示されていない)によって、多くのI/O装置を適応させることが可能である。実時間クロック(RTC)560も周辺装置として接続され、タイミング・オペレーションを遂行するように情報処理システムによって使用される。
【0034】
ネットワークを介してコンピュータ・システム501を他のコンピュータ・システムに接続してファイルをコピーするために、LANカード530がPCIバス510に結合される。同様に、電話回線接続を使用してインターネットに接続するためにコンピュータ・システム501をISPに接続するには、モデム575がシリアル・ポート564及びPCI・ツー・ISAブリッジ535に接続される。
【0035】
図5に示されたコンピュータ・システムは本明細書において説明された発明を実現することができるが、このコンピュータ・システムはコンピュータ・システムの単なる一例に過ぎない。多くの他のコンピュータ・システムが上記の発明を遂行することができることは当業者には明らかであろう。
【0036】
本発明の好適な実施態様の1つが、クライアント・アプリケーション、例えば、コンピュータのランダム・アクセス・メモリに常駐することが可能なコード・モジュールにおける命令セットである。コンピュータが要求するまで、その命令セットは他のコンピュータに、例えば、ハードディスク・ドライブに、または(CD−ROMにおけるその後の使用のための)光ディスクまたは(フロッピディスク・ドライブにおけるその後の使用のための)フロッピディスクのような取り外し可能なメモリに保存され、または或いはインターネット又は他のコンピュータ・ネットワークを介してダウンロードされる。従って、本発明は、コンピュータにおいて使用するためのコンピュータ・プログラムとして具現化することも可能である。更に、上記の種々の方法はソフトウェアによって選択的に作動または再構成される汎用コンピュータにおいて都合よく具現化されるが、そのような方法は、必要な方法ステップを遂行するように構成されたハードウェアで、ファームウェアで、または更に特殊の装置で、実行することが可能である。
【図面の簡単な説明】
【0037】
【図1】パスワード更新が管理者、ルータ、及びクライアントの間で伝播する方法を示す概略図である。
【図2】新パスワードを設定し、それをクライアントに伝播するときに管理者及びワイヤレス・アクセス・ポイントの間で取られるステップを示すフローチャートである。
【図3】ワイヤレス・アクセス・ポイントが新パスワードを伝播するとき、オンラインであるワイヤレス・アクセス・ポイント及びクライアント装置の間で取られるステップを示すフローチャートである。
【図4】ワイヤレス・アクセス・ポイントが新パスワードを伝播するとき、切断された(オンラインではない)ワイヤレス・アクセス・ポイント及びクライアント装置の間で取られるステップを示すフローチャートである。
【図5】本発明における意図された計算を遂行するができる情報処理システムのブロック図である。
【特許請求の範囲】
【請求項1】
コンピュータにより、ワイヤレス・アクセス・ポイントにおけるパスワードを処理する方法であって、
ワイヤレス・アクセス・ポイントにおいて新パスワードを受取るステップと、
前記新パスワードを含む第1のメッセージを作成するステップと、
前記ワイヤレス・アクセス・ポイントと通信を行うために使用された現パスワードを使って前記第1のメッセージを暗号化するステップと、
暗号化された前記第1のメッセージを1つ又は複数のクライアントに無線で伝送するステップと、
前記ワイヤレス・アクセス・ポイントにおいて、前記1つ又は複数のクライアントから第1の応答ワイヤレス・メッセージを受取るステップであって、前記第1の応答ワイヤレス・メッセージが前記新パスワードを使って暗号化されている、ステップと、
前記現パスワードを旧パスワードとして前記ワイヤレス・アクセス・ポイントに保存するステップと、
前記現パスワードを前記ワイヤレス・アクセス・ポイントにおける前記新パスワードと置換するステップと、
を含む方法。
【請求項2】
前記ワイヤレス・アクセス・ポイントにおいて、新たに活性化されたクライアントから接続メッセージを受取るステップであって、前記新たに活性化されたクライアントは前記第1のメッセージが無線で伝送されたときに切断され、前記接続メッセージは前記旧パスワードを使って暗号化されている、ステップと、
前記新パスワードを含む第2のメッセージを作成するステップと、
前記旧パスワードを使って前記第2のメッセージを暗号化するステップと、
暗号化された前記第2のメッセージを前記新たに活性化されたクライアントに無線で伝送するステップと、
前記ワイヤレス・アクセス・ポイントにおいて、前記新たに活性化されたクライアントから第2の応答ワイヤレス・メッセージを受取るステップであって、前記第2の応答ワイヤレス・メッセージは前記新パスワードを使って暗号化されている、ステップと、
を更に含む、請求項1に記載の方法。
【請求項3】
前記ワイヤレス・アクセス・ポイントにおいて現在の時間及び保存された満了時間を検索するステップと、
前記現在の時間を前記保存された満了時間と比較するステップと、
前記旧パスワードが満了したかどうかを前記比較するステップに基づいて決定するステップであって、前記第2のメッセージの伝送が、前記旧パスワードが満了していないという決定に応答してのみ行われる、ステップと、
を更に含む、請求項2に記載の方法。
【請求項4】
前記第1のメッセージを作成する前に前記ワイヤレス・アクセス・ポイントにおいて前記満了時間を受取るステップと、
前記ワイヤレス・アクセス・ポイントにとってアクセス可能な不揮発性記憶領域に前記満了時間を保存するステップと、
を更に含む、請求項3に記載の方法。
【請求項5】
アクセス制御リスト(ACL)にリストされた1つ又は複数のクライアント識別子と前記新たに活性化されたクライアントに対応する識別子とを比較するステップであって、前記新たに活性化されたクライアントの識別子が前記アクセス制御リストに含まれている場合にのみ前記第2のメッセージが送られる、ステップを更に含む、請求項2に記載の方法。
【請求項6】
前記ワイヤレス・アクセス・ポイントにおいて、1つ又は複数のクライアント識別子を含むアクセス制御リスト(ACL)を検索するステップであって、前記1つ又は複数のクライアントの各々が前記ACLに含まれた前記クライアント識別子の1つに対応する、ステップを更に含む、請求項1に記載の方法。
【請求項7】
前記クライアントの1つから受取った前記第1の応答ワイヤレス・メッセージにおける拒否を識別するステップと、
前記ワイヤレス・アクセス・ポイントと前記第1の応答ワイヤレス・メッセージにおける拒否を含んだクライアントとの間の通信を停止するステップと、
を更に含む、請求項1に記載の方法。
【請求項8】
前記クライアントの1つにおいて、前記ワイヤレス・アクセス・ポイントから前記暗号化された第1のメッセージを受取るステップと、
前記クライアントにとってアクセス可能な不揮発性記憶領域に保存されたワイヤレス・アクセス・パスワードを使って前記暗号化された第1のメッセージを暗号化解除するステップと、
前記暗号化された第1のメッセージから前記新パスワードを検索するステップと、
前記新パスワードでもって前記ワイヤレス・アクセス・パスワードを更新するステップと、
更新された前記ワイヤレス・アクセス・パスワードを前記不揮発性記憶領域に保存するステップと、
前記クライアントにおいて、前記新パスワードを使って前記第1の応答ワイヤレス・メッセージを暗号化するステップと、
暗号化された前記第1の応答ワイヤレス・メッセージを前記ワイヤレス・アクセス・ポイントに無線で伝送するステップと、
前記ワイヤレス・アクセス・パスワードが更新されたことを前記クライアントのユーザに通知するステップと、
を更に含む、請求項1に記載の方法。
【請求項9】
1つ又は複数のプロセッサと、
1つ又は複数のネットワーク・アダプタであって、前記ネットワーク・アダプタの少なくとも1つがワイヤレス・ネットワーク・アダプタである、ネットワーク・アダプタと、
前記プロセッサがアクセスし得る不揮発性記憶領域とを有し、
前記プロセッサは、ワイヤレス・パスワードをクライアント装置に提供するプロセスを実行可能とされている情報処理システムであって、前記プロセスは、 新パスワードを受取り、
前記新パスワードを含む第1のメッセージを作成し、
前記ワイヤレス・ネットワーク・アダプタを介してクライアント・アダプタと通信を行うために使用された現パスワードを使って前記第1のメッセージを暗号化し、
暗号化された前記第1のメッセージを1つ又は複数のクライアント装置に、前記ワイヤレス・ネットワーク・アダプタを使用して無線で伝送し、
前記ワイヤレス・ネットワーク・アダプタにおいて、前記新パスワードを使って暗号化された第1の応答ワイヤレス・メッセージを1つ又は複数の前記クライアント装置から受取り、
前記現パスワードを旧パスワードとして前記不揮発性記憶領域に保存し、
前記現パスワードを前記不揮発性記憶領域における前記新パスワードと置換する
ステップを含む、情報処理システム。
【請求項10】
前記プロセスは、
前記ワイヤレス・ネットワーク・アダプタにおいて、前記第1のメッセージが無線で伝送されたときに切断された新たに活性化されたクライアント装置から、前記旧パスワードを使って暗号化されている接続メッセージを受取り、
前記新パスワードを含む第2のメッセージを作成し、
前記旧パスワードを使って前記第2のメッセージを暗号化し、
前記ワイヤレス・ネットワーク・アダプタを使用して、暗号化された前記第2のメッセージを前記新たに活性化されたクライアント装置に無線で伝送し、
前記ワイヤレス・ネットワーク・アダプタにおいて、前記新パスワードを使って暗号化されている第2の応答ワイヤレス・メッセージを前記新たに活性化されたクライアント装置から受取る
ステップを含む、請求項9に記載の情報処理システム。
【請求項11】
前記プロセスは、
現在の時間を検索し、
前記不揮発性記憶領域から、保存された満了時間を検索し、
前記現在の時間を前記保存された満了時間と比較し、
前記旧パスワードが満了したかどうかを前記比較に基づいて決定する
ステップを含み、前記旧パスワードが満了していないという決定に応答して前記第2のメッセージの伝送が行われる、請求項10に記載の情報処理システム。
【請求項12】
前記プロセスは、
前記第1のメッセージを作成する前に前記不揮発性記憶領域から前記満了時間を受取り、
前記満了時間を前記不揮発性記憶領域に保存する
ステップを含む、請求項11に記載の情報処理システム。
【請求項13】
前記プロセスは、
前記不揮発性記憶領域に保存されたアクセス制御リストからクライアント識別子を検索し、
前記新たに活性化されたクライアントに対応する識別子を、前記アクセス制御リスト(ASL)からの前記クライアント識別子と比較する
ステップを含み、前記新たに活性化されたクライアント装置の識別子が前記アクセス制御リストに含まれている場合にのみ、前記第2のメッセージが送られる、請求項10に記載の情報処理システム。
【請求項14】
前記プロセスは、
前記クライアント装置の1つから受取った前記第1の応答ワイヤレス・メッセージにおける拒否を識別し、
前記第1の応答ワイヤレス・メッセージにおける拒否を含んだクライアント装置との通信を停止する
ステップを含み、請求項9に記載の情報処理システム。
【請求項15】
コンピュータ可読コードを有するコンピュータ操作可能な媒体に含まれるコンピュータ・プログラムであって、前記コンピュータ可読コードは、
ワイヤレス・アクセス・ポイントにおいて新パスワードを受取り、
前記新パスワードを含む第1のメッセージを作成し、
前記ワイヤレス・アクセス・ポイントと通信を行うために使用された現パスワードを使って前記第1のメッセージを暗号化し、
暗号化された前記第1のメッセージを1つ又は複数のクライアントに無線で伝送し、
前記ワイヤレス・アクセス・ポイントにおいて、前記新パスワードを使って暗号化されている第1の応答ワイヤレス・メッセージを前記1つ又は複数のクライアントから受取り、
前記現パスワードを旧パスワードとして保存し、
前記現パスワードを前記新パスワードと置換する
ステップを含む、コンピュータ・プログラム。
【請求項16】
前記コンピュータ可読コードは、
前記ワイヤレス・アクセス・ポイントにおいて、前記第1のメッセージが無線で伝送されたときに切断された新たに活性化されたクライアント装置から、前記旧パスワードを使って暗号化されている接続メッセージを受取り、
前記新パスワードを含む第2のメッセージを作成し、
前記旧パスワードを使って前記第2のメッセージを暗号化し、
暗号化された前記第2のメッセージを前記新たに活性化されたクライアント装置に無線で伝送し、
前記ワイヤレス・アクセス・ポイントにおいて、前記新パスワードを使って暗号化されている第2の応答ワイヤレス・メッセージを前記新たに活性化されたクライアント装置から受取る
ステップを含む、請求項15に記載のコンピュータ・プログラム。
【請求項17】
前記コンピュータ可読コードは、
現在の時間と前記ワイヤレス・アクセス・ポイントにおける保存された満了時間とを検索し、
前記現在の時間を前記保存された満了時間と比較し、
前記旧パスワードが満了したかどうかを前記比較に基づいて決定する
ステップを含み、前記旧パスワードが満了していないという決定に応答してのみ前記第2のメッセージの伝送が行われる、請求項16に記載のコンピュータ・プログラム。
【請求項18】
前記コンピュータ可読コードは、
前記第1のメッセージを作成する前に前記ワイヤレス・アクセス・ポイントにおいて前記満了時間を受取り、
前記満了時間を前記ワイヤレス・アクセス・ポイントにとってアクセス可能な不揮発性記憶領域に保存する
ステップを含む、請求項17に記載のコンピュータ・プログラム。
【請求項19】
前記コンピュータ可読コードは、
アクセス制御リスト(ACL)にリストされた1つ又は複数のクライアント識別子と前記新たに活性化されたクライアントに対応する識別子とを比較するステップを含み、前記新たに活性化されたクライアントの識別子が前記アクセス制御リストに含まれている場合にのみ前記第2のメッセージが送られる、請求項16に記載のコンピュータ・プログラム。
【請求項20】
前記コンピュータ可読コードは、
前記ワイヤレス・アクセス・ポイントにおいて、1つ又は複数のクライアント識別子を含むアクセス制御リスト(ACL)を検索するステップを含み、前記1つ又は複数のクライアントの各々が前記ACLに含まれた前記クライアント識別子の1つに対応する、請求項15に記載のコンピュータ・プログラム。
【請求項1】
コンピュータにより、ワイヤレス・アクセス・ポイントにおけるパスワードを処理する方法であって、
ワイヤレス・アクセス・ポイントにおいて新パスワードを受取るステップと、
前記新パスワードを含む第1のメッセージを作成するステップと、
前記ワイヤレス・アクセス・ポイントと通信を行うために使用された現パスワードを使って前記第1のメッセージを暗号化するステップと、
暗号化された前記第1のメッセージを1つ又は複数のクライアントに無線で伝送するステップと、
前記ワイヤレス・アクセス・ポイントにおいて、前記1つ又は複数のクライアントから第1の応答ワイヤレス・メッセージを受取るステップであって、前記第1の応答ワイヤレス・メッセージが前記新パスワードを使って暗号化されている、ステップと、
前記現パスワードを旧パスワードとして前記ワイヤレス・アクセス・ポイントに保存するステップと、
前記現パスワードを前記ワイヤレス・アクセス・ポイントにおける前記新パスワードと置換するステップと、
を含む方法。
【請求項2】
前記ワイヤレス・アクセス・ポイントにおいて、新たに活性化されたクライアントから接続メッセージを受取るステップであって、前記新たに活性化されたクライアントは前記第1のメッセージが無線で伝送されたときに切断され、前記接続メッセージは前記旧パスワードを使って暗号化されている、ステップと、
前記新パスワードを含む第2のメッセージを作成するステップと、
前記旧パスワードを使って前記第2のメッセージを暗号化するステップと、
暗号化された前記第2のメッセージを前記新たに活性化されたクライアントに無線で伝送するステップと、
前記ワイヤレス・アクセス・ポイントにおいて、前記新たに活性化されたクライアントから第2の応答ワイヤレス・メッセージを受取るステップであって、前記第2の応答ワイヤレス・メッセージは前記新パスワードを使って暗号化されている、ステップと、
を更に含む、請求項1に記載の方法。
【請求項3】
前記ワイヤレス・アクセス・ポイントにおいて現在の時間及び保存された満了時間を検索するステップと、
前記現在の時間を前記保存された満了時間と比較するステップと、
前記旧パスワードが満了したかどうかを前記比較するステップに基づいて決定するステップであって、前記第2のメッセージの伝送が、前記旧パスワードが満了していないという決定に応答してのみ行われる、ステップと、
を更に含む、請求項2に記載の方法。
【請求項4】
前記第1のメッセージを作成する前に前記ワイヤレス・アクセス・ポイントにおいて前記満了時間を受取るステップと、
前記ワイヤレス・アクセス・ポイントにとってアクセス可能な不揮発性記憶領域に前記満了時間を保存するステップと、
を更に含む、請求項3に記載の方法。
【請求項5】
アクセス制御リスト(ACL)にリストされた1つ又は複数のクライアント識別子と前記新たに活性化されたクライアントに対応する識別子とを比較するステップであって、前記新たに活性化されたクライアントの識別子が前記アクセス制御リストに含まれている場合にのみ前記第2のメッセージが送られる、ステップを更に含む、請求項2に記載の方法。
【請求項6】
前記ワイヤレス・アクセス・ポイントにおいて、1つ又は複数のクライアント識別子を含むアクセス制御リスト(ACL)を検索するステップであって、前記1つ又は複数のクライアントの各々が前記ACLに含まれた前記クライアント識別子の1つに対応する、ステップを更に含む、請求項1に記載の方法。
【請求項7】
前記クライアントの1つから受取った前記第1の応答ワイヤレス・メッセージにおける拒否を識別するステップと、
前記ワイヤレス・アクセス・ポイントと前記第1の応答ワイヤレス・メッセージにおける拒否を含んだクライアントとの間の通信を停止するステップと、
を更に含む、請求項1に記載の方法。
【請求項8】
前記クライアントの1つにおいて、前記ワイヤレス・アクセス・ポイントから前記暗号化された第1のメッセージを受取るステップと、
前記クライアントにとってアクセス可能な不揮発性記憶領域に保存されたワイヤレス・アクセス・パスワードを使って前記暗号化された第1のメッセージを暗号化解除するステップと、
前記暗号化された第1のメッセージから前記新パスワードを検索するステップと、
前記新パスワードでもって前記ワイヤレス・アクセス・パスワードを更新するステップと、
更新された前記ワイヤレス・アクセス・パスワードを前記不揮発性記憶領域に保存するステップと、
前記クライアントにおいて、前記新パスワードを使って前記第1の応答ワイヤレス・メッセージを暗号化するステップと、
暗号化された前記第1の応答ワイヤレス・メッセージを前記ワイヤレス・アクセス・ポイントに無線で伝送するステップと、
前記ワイヤレス・アクセス・パスワードが更新されたことを前記クライアントのユーザに通知するステップと、
を更に含む、請求項1に記載の方法。
【請求項9】
1つ又は複数のプロセッサと、
1つ又は複数のネットワーク・アダプタであって、前記ネットワーク・アダプタの少なくとも1つがワイヤレス・ネットワーク・アダプタである、ネットワーク・アダプタと、
前記プロセッサがアクセスし得る不揮発性記憶領域とを有し、
前記プロセッサは、ワイヤレス・パスワードをクライアント装置に提供するプロセスを実行可能とされている情報処理システムであって、前記プロセスは、 新パスワードを受取り、
前記新パスワードを含む第1のメッセージを作成し、
前記ワイヤレス・ネットワーク・アダプタを介してクライアント・アダプタと通信を行うために使用された現パスワードを使って前記第1のメッセージを暗号化し、
暗号化された前記第1のメッセージを1つ又は複数のクライアント装置に、前記ワイヤレス・ネットワーク・アダプタを使用して無線で伝送し、
前記ワイヤレス・ネットワーク・アダプタにおいて、前記新パスワードを使って暗号化された第1の応答ワイヤレス・メッセージを1つ又は複数の前記クライアント装置から受取り、
前記現パスワードを旧パスワードとして前記不揮発性記憶領域に保存し、
前記現パスワードを前記不揮発性記憶領域における前記新パスワードと置換する
ステップを含む、情報処理システム。
【請求項10】
前記プロセスは、
前記ワイヤレス・ネットワーク・アダプタにおいて、前記第1のメッセージが無線で伝送されたときに切断された新たに活性化されたクライアント装置から、前記旧パスワードを使って暗号化されている接続メッセージを受取り、
前記新パスワードを含む第2のメッセージを作成し、
前記旧パスワードを使って前記第2のメッセージを暗号化し、
前記ワイヤレス・ネットワーク・アダプタを使用して、暗号化された前記第2のメッセージを前記新たに活性化されたクライアント装置に無線で伝送し、
前記ワイヤレス・ネットワーク・アダプタにおいて、前記新パスワードを使って暗号化されている第2の応答ワイヤレス・メッセージを前記新たに活性化されたクライアント装置から受取る
ステップを含む、請求項9に記載の情報処理システム。
【請求項11】
前記プロセスは、
現在の時間を検索し、
前記不揮発性記憶領域から、保存された満了時間を検索し、
前記現在の時間を前記保存された満了時間と比較し、
前記旧パスワードが満了したかどうかを前記比較に基づいて決定する
ステップを含み、前記旧パスワードが満了していないという決定に応答して前記第2のメッセージの伝送が行われる、請求項10に記載の情報処理システム。
【請求項12】
前記プロセスは、
前記第1のメッセージを作成する前に前記不揮発性記憶領域から前記満了時間を受取り、
前記満了時間を前記不揮発性記憶領域に保存する
ステップを含む、請求項11に記載の情報処理システム。
【請求項13】
前記プロセスは、
前記不揮発性記憶領域に保存されたアクセス制御リストからクライアント識別子を検索し、
前記新たに活性化されたクライアントに対応する識別子を、前記アクセス制御リスト(ASL)からの前記クライアント識別子と比較する
ステップを含み、前記新たに活性化されたクライアント装置の識別子が前記アクセス制御リストに含まれている場合にのみ、前記第2のメッセージが送られる、請求項10に記載の情報処理システム。
【請求項14】
前記プロセスは、
前記クライアント装置の1つから受取った前記第1の応答ワイヤレス・メッセージにおける拒否を識別し、
前記第1の応答ワイヤレス・メッセージにおける拒否を含んだクライアント装置との通信を停止する
ステップを含み、請求項9に記載の情報処理システム。
【請求項15】
コンピュータ可読コードを有するコンピュータ操作可能な媒体に含まれるコンピュータ・プログラムであって、前記コンピュータ可読コードは、
ワイヤレス・アクセス・ポイントにおいて新パスワードを受取り、
前記新パスワードを含む第1のメッセージを作成し、
前記ワイヤレス・アクセス・ポイントと通信を行うために使用された現パスワードを使って前記第1のメッセージを暗号化し、
暗号化された前記第1のメッセージを1つ又は複数のクライアントに無線で伝送し、
前記ワイヤレス・アクセス・ポイントにおいて、前記新パスワードを使って暗号化されている第1の応答ワイヤレス・メッセージを前記1つ又は複数のクライアントから受取り、
前記現パスワードを旧パスワードとして保存し、
前記現パスワードを前記新パスワードと置換する
ステップを含む、コンピュータ・プログラム。
【請求項16】
前記コンピュータ可読コードは、
前記ワイヤレス・アクセス・ポイントにおいて、前記第1のメッセージが無線で伝送されたときに切断された新たに活性化されたクライアント装置から、前記旧パスワードを使って暗号化されている接続メッセージを受取り、
前記新パスワードを含む第2のメッセージを作成し、
前記旧パスワードを使って前記第2のメッセージを暗号化し、
暗号化された前記第2のメッセージを前記新たに活性化されたクライアント装置に無線で伝送し、
前記ワイヤレス・アクセス・ポイントにおいて、前記新パスワードを使って暗号化されている第2の応答ワイヤレス・メッセージを前記新たに活性化されたクライアント装置から受取る
ステップを含む、請求項15に記載のコンピュータ・プログラム。
【請求項17】
前記コンピュータ可読コードは、
現在の時間と前記ワイヤレス・アクセス・ポイントにおける保存された満了時間とを検索し、
前記現在の時間を前記保存された満了時間と比較し、
前記旧パスワードが満了したかどうかを前記比較に基づいて決定する
ステップを含み、前記旧パスワードが満了していないという決定に応答してのみ前記第2のメッセージの伝送が行われる、請求項16に記載のコンピュータ・プログラム。
【請求項18】
前記コンピュータ可読コードは、
前記第1のメッセージを作成する前に前記ワイヤレス・アクセス・ポイントにおいて前記満了時間を受取り、
前記満了時間を前記ワイヤレス・アクセス・ポイントにとってアクセス可能な不揮発性記憶領域に保存する
ステップを含む、請求項17に記載のコンピュータ・プログラム。
【請求項19】
前記コンピュータ可読コードは、
アクセス制御リスト(ACL)にリストされた1つ又は複数のクライアント識別子と前記新たに活性化されたクライアントに対応する識別子とを比較するステップを含み、前記新たに活性化されたクライアントの識別子が前記アクセス制御リストに含まれている場合にのみ前記第2のメッセージが送られる、請求項16に記載のコンピュータ・プログラム。
【請求項20】
前記コンピュータ可読コードは、
前記ワイヤレス・アクセス・ポイントにおいて、1つ又は複数のクライアント識別子を含むアクセス制御リスト(ACL)を検索するステップを含み、前記1つ又は複数のクライアントの各々が前記ACLに含まれた前記クライアント識別子の1つに対応する、請求項15に記載のコンピュータ・プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2007−213570(P2007−213570A)
【公開日】平成19年8月23日(2007.8.23)
【国際特許分類】
【出願番号】特願2007−7625(P2007−7625)
【出願日】平成19年1月17日(2007.1.17)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
【公開日】平成19年8月23日(2007.8.23)
【国際特許分類】
【出願日】平成19年1月17日(2007.1.17)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
[ Back to top ]