埋め込まれたプラットフォームのためのセキュアウェブブラウザベースシステム管理
本発明は、管理情報を処理するのにHTTPSによる保護に依存することなく、ActiveX制御またはプラグインを利用することにより、ウェブブラウザベースのリモート管理システムがそのセキュリティを維持するための方法を提供する。本発明は、埋め込みシステムに負担をかけるものでなく、このため、埋め込みシステムのリモート管理に理想的に適したものである。本発明は、埋め込みシステムとブラウザを有する管理システムにおける同一のアルゴリズムに基づき、セキュリティコードを計算する方法を提供する。ブラウザベースの管理者が管理情報を送信すると、オペレータは制御情報を文字列としてパッケージ処理し、パラメータとしての文字列と共にプラグインのセキュリティ機能を呼び出す。セキュリティ機能が結果を返した後、オペレータは符号化されたダイジェストと共に形式データをリモートシステムに送信する。このダイジェストは、例えば、隠しフィールドとして形式データに埋め込まれてもよい。
【発明の詳細な説明】
【発明の詳細な説明】
【0001】
[関連出願]
本出願は、参照することによりここに含まれる、2003年3月14日に出願された米国仮特許出願第60/454,582号の優先権を主張するものである。
1.発明の技術分野
本発明は、ネットワークアクセスポイントにおける設定変更を提供する方法に関し、より詳細には、アクセスポイント、固定されたコンピュータまたはウェブブラウザを維持するモバイル端末がActiveX制御またはプラグインを利用して、リモート管理及び管理処理中にHTTPSプロテクションに依存することなくセキュリティ機構を向上させるWLAN環境における方法を提供する。
2.関連技術の説明
本発明は、固定されたコンピュータ、モバイル端末装置に対するアクセスを提供するアクセスポイントを有し、IEEE802.1xアーキテクチャを用いた無線ローカルエリアネットワーク(WLAN)を含む他のネットワークを介しワールドワイドウェブなどのネットワーク、及びインターネットなどのグローバルネットワークや有線ローカルエリアネットワークなどの他のネットワークに安全にアクセスすることに関する。WLAN技術の進歩により、休憩所、カフェ、図書館及び同様の公共施設(「ホットスポット」)における公衆にアクセス可能な無線通信がもたらされた。現在、公衆WLANは、モバイル通信装置のユーザに企業イントラネットなどのプライベートデータネットワーク、あるいはインターネット、ピア・ツー・ピア通信及びライブによる無線テレビ配信などのパブリックデータネットワークへのアクセスを提供する。公衆WLANは、高い帯域幅(通常、10メガビット/秒を超える)が利用可能であるだけでなく、比較的低コストによる実現及び運営が可能であり、このため、公衆WLANをモバイル無線通信装置のユーザが外部のエンティティとのパケット交換を可能にする理想的なアクセス機構にする。しかしながら、後述されるように、そのようなオープンな配置は、通常の通信中や、リモート管理及び管理機能の処理において、識別及び認証のための適切な手段が存在しない場合には、セキュリティを危うくするかもしれない。
【0002】
ウェブブラウザベースの認証方法では、固定されたコンピュータまたはモバイル端末は、HTTPS(Hyper Text Transfer Protocol Secured Socket)プロトコルにより動作するウェブブラウザを用いて認証サーバと通信し、モバイル端末と認証サーバとの間のパス上の誰もが秘密にされているユーザ情報への侵入または盗難を不可能にすることを保証する。
【0003】
リモートシステム管理は、任意のタイプのコンピュータシステムに対するキーとなる要件である。リモート管理のためにウェブブラウザ(HTTPプロトコル)をインタフェースとして利用することは、重要な管理機能となりつつある。セキュアブラウザベースのリモート管理を提供するため。HTTPSは自然な選択である。しかしながら、WLANアクセスポイントなどの埋め込みシステムでは、HTTPSに関するリソース要求は、大量の格納スペースを消費し、対応するオーバヘッドサポート及びCPUパワーを要求する。実際、これらの制限はセキュアブラウザベースの管理機構に対する実践的手段の開発をこれまで妨げてきた。例えば、現在市場において入手可能な無線アクセスポイントの大部分は、ブラウザとアクセスポイントとの間のリモート管理のやりとりを保護するものではない。このため、ハッカーは管理者のパスワードを容易に入手し、アクセスポイントに損害を与える可能性もある。
【0004】
HTTPSは、ブラウザとウェブサーバの何れもがクライアント端末と認証サーバによってのみ知られている秘密のパスワードなどの認証コードを予め設定する通信プロトコルに対して構成されている。この秘匿性の前提は、数千万ものブラウザが数百万ものサーバにアクセスするが、事前の信頼関係を持たないウェブアプリケーションにおいては絶対的に必要とされる。従って、広く利用されているHTTPSは、ブラウザとサーバとの間のセキュアな交渉と、以降のHTTP通信のための共有された秘密コードの確立を提供するためのサーバに関する証明書を必要とする。リモートシステム管理のケースでは、管理者及びリモート装置は予め秘密を共有することが可能であり、これにより、HTTPS通信に係るオーバヘッドの1つのソースを削除することができる。しかしながら、ウェブブラウザはこのような共有された秘密に基づき必要なセキュアな通信機構を提供していないため、プロセッサがActiveX制御または機能的に等価なプラグインの利用を通じてセキュリティを提供することが望ましい特徴となるであろう。
[発明の概要]
本発明は、ブラウザを用いたクライアント装置とネットワークのアクセスポイントとの間のリモート管理のやりとり中におけるセキュリティを向上させるための方法を提供する。特に、本発明は、クライアント装置と無線ネットワーク(WLAN)のアクセスポイントとの間の管理変更要求を安全に交換するための方法を提供する。WLANは、IEEE802.11規格に準拠したネットワークから構成されてもよい。管理変更は、受信した管理情報が適切なクライアント端末から受信されることを保証するため、パラメータの利用を伴う。一般に、ウェブページなどの管理ファイルへの要求が受信されると、ネットワークのアクセスポイントはまた、乱数などの第1パラメータを生成し、クライアント端末に送信する。この第1パラメータは、管理ファイルに対する要求に従うチャレンジに応答して生成されてもよい。
【0005】
MD5ハッシュ関数などの所定のアルゴリズムを利用すると、新しいパラメータがあるパラメータから生成される。これらのパラメータは第1パラメータを含み、アクセスポイントにより生成される乱数であってもよい。セキュリティをより向上させるため、クライアント端末に関するパスワード、第1パラメータ及び新しい管理情報から生成されるかもしれない文字列パラメータを含む複数のパラメータから、新しいパラメータが生成されてもよい。この新しいパラメータは、クライアント端末からアクセスポイントに送信され、その後、アクセスポイントはクライアント端末により用いられたパラメータを利用して対応する新しいパラメータを生成する。これらのパラメータが一致する場合、アクセスポイントは新しい管理情報を受付け、それらを実現する。このようにして、クライアント端末とアクセスポイントに知られているパラメータを用いて生成される認証パラメータを新しい管理情報と共に利用することにより、セキュリティの向上が提供される。
【0006】
本発明の一実施例では、管理者はブラウザを用いて、管理者がネットワークとのセキュアな通信を取得することに関する情報を提供可能なフィールドを含む、典型的にはHTML(Hyper Text Markup Language)形式として構成される管理的ウェブページ形式を、ローカルウェブサーバなどのリモートコンピュータから要求する。このウェブページ形式は、記入された管理情報を含み、完了すると、当該情報を文字列にパッケージ処理するため、Javascriptコードにより提供されるような真のタイムオペレータを呼び出すことにより、リモートコンピュータに送信される。この真のタイムオペレータは。1つのパラメータとして所定の文字を有するプラグインセキュリティ機能を呼び出し、セキュリティ機能にリモートシステムと通信するよう促す。
【0007】
形式情報を受信すると、リモートシステムは、乱数を生成し、以降における参照のためこの乱数を格納する。それはまた、当該乱数を管理者と通信する。管理者セキュリティ機能は、乱数、管理者パスワード(以前にプラグインに格納された)及び文字列パラメータを連結する。その後、MD5(Message 5 Digest)などのダイジェストが、連結された結果に対して生成され、セキュリティ機能に返される。当該プロセスは、Javascriptなどの真のタイムオペレータを利用して、セキュリティ機能からの結果を管理情報を含む形式に埋め込み、これをリモートコンピュータに送信することにより、送信を完了する。リモートコンピュータは、格納されている乱数、パスワード及び受信データを利用して、MD5ダイジェストを生成する。このダイジェストが受信したダイジェストと一致する場合、要求された管理が与えられ、システムは適切に更新される。管理情報が管理者からリモートコンピュータに通信される以降の通信では、リモートコンピュータはまず、MD5における管理者により以降において利用される乱数を生成する。各ケースにおいて、リモートシステムダイジェストが受信したダイジェストと比較され、当該ダイジェストが受信したダイジェストと一致する場合、要求された管理要求が与えられ、システムがこれに応じて更新される。
[発明の詳細な説明]
説明される図において、回路、関連するブロック及び矢印は、電気回路及び電気信号を伝送する付属の配線またはデータバスとして実現可能な本発明によるプロセスの機能を表す。あるいは、1以上の付属の矢印は、特に本発明の方法及び装置がデジタルプロセスとして実現されるときには、ソフトウェアルーチン間の通信(例えば、データフローなど)を表すかもしれない。
【0008】
本発明は、管理情報を処理するのにHTTPSによる保護に依存することなく、ActiveX制御またはプラグインを利用することにより、ウェブブラウザベースのリモート管理システムがそのセキュリティを維持するための方法を提供する。本発明は、埋め込みシステムに負担をかけるものでなく、このため、埋め込みシステムのリモート管理に理想的に適したものである。本発明は、埋め込みシステムとブラウザを有する管理システムにおける同一のアルゴリズムに基づき、セキュリティコードを計算する方法を提供する。ブラウザベースの管理者が管理情報を送信すると、オペレータは制御情報を文字列としてパッケージ処理し、パラメータとしての文字列と共にプラグインのセキュリティ機能を呼び出す。セキュリティ機能が結果を返した後、オペレータは符号化されたダイジェストと共に形式データをリモートシステムに送信する。このダイジェストは、例えば、隠しフィールドとして形式データに埋め込まれてもよい。
【0009】
図1によると、1401〜140nにより表される1以上のモバイル端末が、ファイアウォール122及び認証サーバ150nなどの1以上の仮想オペレータ1501〜150nと関連して、アクセスポイント130n及びローカルコンピュータ120と無線媒体124を介し通信する。端末1401〜140nからの通信は、典型的には、ハッカーなどの許可されていないエンティティからの高いレベルの安全性を要求する関連する通信パス154及び152とインターネット110を利用することにより、セキュアなデータベースや他のリソースへのアクセスを必要とする。
【0010】
さらに図1に図示されるように、IEEE802.1xアーキテクチャは、複数のコンポーネントを包含し、より上位のレイヤのネットワークスタックに透過なステーション移動性を提供するため当該やりとりに供する。IEEE802.1xネットワークは、アクセスポイント1301〜130nなどのAPステーションと、無線媒体と接続し、MAC(Medium Access Control)1381〜138nであるIEEE802.1xプロトコルの機能と対応するPHY(Physical Layer)(図示せず)を含むコンポーネントとして固定またはモバイル端末1401〜140nと、及び無線媒体との接続127とを規定する。典型的には、IEEE802.1xの機能は、無線モデム、ノットワークアクセスまたはインタフェースカードのハードウェア及びソフトウェアにより実現される。本発明は、無線媒体124においてクライアント端末140n、アクセスポイント130n、ローカルサーバ120と認証サーバ150との間のセキュアな通信手段を実現する方法を提案する。
【0011】
本原理によると、アクセス160は、固定またはモバイルの各端末1401〜140nがHTTP及び非HTTP通信ルーティングを示す通信パス152及び154とより大きなネットワークの一部として存在するゲートウェイ121やファイアウォール122を介し端末間と共に、その通信システムコンポーネント間のセキュアなトラフィックフローを保証する管理形式を生成する手段を認証し、以降においてそれを提供することにより、WLAN115に安全にアクセスすることを可能にする。アクセス160がこのようなセキュアなアクセスを可能にする方法は、図1を参照して最も良く理解されうる。
【0012】
固定または無線通信手段、すなわち、端末140n、公衆WLAN115、ローカルウェブサーバ120及び認証サーバ150の間において経時的に行われるやりとりのシーケンスが、IEEE802.1xプロトコルに従って接続される。ここで、図1のアクセスポイント130nは、アクセスポイントが端末1401〜140nと情報をやりとりする制御ポートと非制御ポートを維持する。アクセスポイント130nにより維持される制御ポートは、WLAN115と端末1401〜140nを通過するデータトラフィックなどの非認証情報に対する入口として機能する。通常、アクセスポイント1301〜130nは、関係する端末1401〜140nの認証が通信されるまで、IEEE802.1xプロトコルに従って、各制御ポートを閉じた状態に保持する。アクセスポイント1301〜130nは常に、モバイル端末1401〜140nが認証サーバ150と認証データをやりとりするのを許可するため、各非制御ポートをオープンな状態に維持する。
【0013】
より詳細には、図2a及び3aを参照して、本発明による方法では、管理者は端末1401〜140nとブラウザを用いて、典型的にはHTML形式として構成され、管理者がネットワークとのセキュアな通信を取得することに関係する情報を提供することが可能なフィールドを含むリモートコンピュータ150からの管理ウェブページ形式を要求する(210)。当該形式を受信すると(215)、要求された管理情報が記入されたウェブページ形式が、完了すると(220)、当該情報を文字列にパッケージ処理するため(230)、Javascriptコードにより提供されるような真のタイムオペレータを呼び出すことにより、リモートコンピュータ150に送信される(220)。この真のタイムオペレータは。1つのパラメータとして所定の文字列を有するプラグインセキュリティ機能を呼び出し(235)、セキュリティ機能にリモートシステム150と通信するよう促す(240、250)。
【0014】
形式情報を受信すると(320)、リモートシステム150は、乱数を生成し(330)、以降における参照のためこの乱数を格納する(335)。それはまた、当該乱数を管理者と通信する(340)。管理者セキュリティ機能1401〜140nは、乱数、管理者パスワード(以前にプラグインに格納された)及び文字列パラメータを連結する(260)。その後、MD5(Message 5 Digest)などのダイジェストが、連結された結果に対して生成され(270)、セキュリティ機能に返される。当該プロセスは、Javascriptなどの真のタイムオペレータを利用して、セキュリティ機能からの結果を管理情報を含む形式に埋め込み、これをリモートコンピュータ150に送信することにより(275)、送信を完了する。リモートコンピュータは、格納されている乱数、パスワード及び受信データを利用して、MD5ダイジェストを生成する(350)。このダイジェストが受信したダイジェストと一致する場合(355)、要求された管理が与えられ(360)、システムは適切に更新される。一致がない場合、アクセスは拒絶される(356)。管理情報が管理者からリモートコンピュータ150に通信される以降の通信では、リモートコンピュータ150はまず、MD5における管理者により以降において利用される乱数を生成する。各ケースにおいて、リモートシステムダイジェストが受信したダイジェストと比較され、当該ダイジェストが受信したダイジェストと一致する場合、要求された管理要求が与えられ、システムがこれに応じて更新される。
【0015】
図示されるような本発明の形式は、単なる好適な実施例に過ぎないということが理解されるべきである。様々な変更がパーツの機能及び構成に関して可能であり、等価な手段が図示及び説明されたものと置換可能であり、以下の請求項に規定されるような本発明の趣旨及び範囲から逸脱することなく、特定の構成は他のものと独立に利用されてもよい。
【図面の簡単な説明】
【0016】
【図1】図1は、本発明の方法を実現するための通信システムのブロック図である。
【図2】図2は、通信アクセスをセキュアにするための本発明の一実施例によるフローチャートである。
【図3a】図3aは、通信アクセスをセキュアにするための本発明の一実施例によるフローチャートである。
【図3b】図3bは、通信アクセスをセキュアにするための本発明の一実施例によるフローチャートである。
【発明の詳細な説明】
【0001】
[関連出願]
本出願は、参照することによりここに含まれる、2003年3月14日に出願された米国仮特許出願第60/454,582号の優先権を主張するものである。
1.発明の技術分野
本発明は、ネットワークアクセスポイントにおける設定変更を提供する方法に関し、より詳細には、アクセスポイント、固定されたコンピュータまたはウェブブラウザを維持するモバイル端末がActiveX制御またはプラグインを利用して、リモート管理及び管理処理中にHTTPSプロテクションに依存することなくセキュリティ機構を向上させるWLAN環境における方法を提供する。
2.関連技術の説明
本発明は、固定されたコンピュータ、モバイル端末装置に対するアクセスを提供するアクセスポイントを有し、IEEE802.1xアーキテクチャを用いた無線ローカルエリアネットワーク(WLAN)を含む他のネットワークを介しワールドワイドウェブなどのネットワーク、及びインターネットなどのグローバルネットワークや有線ローカルエリアネットワークなどの他のネットワークに安全にアクセスすることに関する。WLAN技術の進歩により、休憩所、カフェ、図書館及び同様の公共施設(「ホットスポット」)における公衆にアクセス可能な無線通信がもたらされた。現在、公衆WLANは、モバイル通信装置のユーザに企業イントラネットなどのプライベートデータネットワーク、あるいはインターネット、ピア・ツー・ピア通信及びライブによる無線テレビ配信などのパブリックデータネットワークへのアクセスを提供する。公衆WLANは、高い帯域幅(通常、10メガビット/秒を超える)が利用可能であるだけでなく、比較的低コストによる実現及び運営が可能であり、このため、公衆WLANをモバイル無線通信装置のユーザが外部のエンティティとのパケット交換を可能にする理想的なアクセス機構にする。しかしながら、後述されるように、そのようなオープンな配置は、通常の通信中や、リモート管理及び管理機能の処理において、識別及び認証のための適切な手段が存在しない場合には、セキュリティを危うくするかもしれない。
【0002】
ウェブブラウザベースの認証方法では、固定されたコンピュータまたはモバイル端末は、HTTPS(Hyper Text Transfer Protocol Secured Socket)プロトコルにより動作するウェブブラウザを用いて認証サーバと通信し、モバイル端末と認証サーバとの間のパス上の誰もが秘密にされているユーザ情報への侵入または盗難を不可能にすることを保証する。
【0003】
リモートシステム管理は、任意のタイプのコンピュータシステムに対するキーとなる要件である。リモート管理のためにウェブブラウザ(HTTPプロトコル)をインタフェースとして利用することは、重要な管理機能となりつつある。セキュアブラウザベースのリモート管理を提供するため。HTTPSは自然な選択である。しかしながら、WLANアクセスポイントなどの埋め込みシステムでは、HTTPSに関するリソース要求は、大量の格納スペースを消費し、対応するオーバヘッドサポート及びCPUパワーを要求する。実際、これらの制限はセキュアブラウザベースの管理機構に対する実践的手段の開発をこれまで妨げてきた。例えば、現在市場において入手可能な無線アクセスポイントの大部分は、ブラウザとアクセスポイントとの間のリモート管理のやりとりを保護するものではない。このため、ハッカーは管理者のパスワードを容易に入手し、アクセスポイントに損害を与える可能性もある。
【0004】
HTTPSは、ブラウザとウェブサーバの何れもがクライアント端末と認証サーバによってのみ知られている秘密のパスワードなどの認証コードを予め設定する通信プロトコルに対して構成されている。この秘匿性の前提は、数千万ものブラウザが数百万ものサーバにアクセスするが、事前の信頼関係を持たないウェブアプリケーションにおいては絶対的に必要とされる。従って、広く利用されているHTTPSは、ブラウザとサーバとの間のセキュアな交渉と、以降のHTTP通信のための共有された秘密コードの確立を提供するためのサーバに関する証明書を必要とする。リモートシステム管理のケースでは、管理者及びリモート装置は予め秘密を共有することが可能であり、これにより、HTTPS通信に係るオーバヘッドの1つのソースを削除することができる。しかしながら、ウェブブラウザはこのような共有された秘密に基づき必要なセキュアな通信機構を提供していないため、プロセッサがActiveX制御または機能的に等価なプラグインの利用を通じてセキュリティを提供することが望ましい特徴となるであろう。
[発明の概要]
本発明は、ブラウザを用いたクライアント装置とネットワークのアクセスポイントとの間のリモート管理のやりとり中におけるセキュリティを向上させるための方法を提供する。特に、本発明は、クライアント装置と無線ネットワーク(WLAN)のアクセスポイントとの間の管理変更要求を安全に交換するための方法を提供する。WLANは、IEEE802.11規格に準拠したネットワークから構成されてもよい。管理変更は、受信した管理情報が適切なクライアント端末から受信されることを保証するため、パラメータの利用を伴う。一般に、ウェブページなどの管理ファイルへの要求が受信されると、ネットワークのアクセスポイントはまた、乱数などの第1パラメータを生成し、クライアント端末に送信する。この第1パラメータは、管理ファイルに対する要求に従うチャレンジに応答して生成されてもよい。
【0005】
MD5ハッシュ関数などの所定のアルゴリズムを利用すると、新しいパラメータがあるパラメータから生成される。これらのパラメータは第1パラメータを含み、アクセスポイントにより生成される乱数であってもよい。セキュリティをより向上させるため、クライアント端末に関するパスワード、第1パラメータ及び新しい管理情報から生成されるかもしれない文字列パラメータを含む複数のパラメータから、新しいパラメータが生成されてもよい。この新しいパラメータは、クライアント端末からアクセスポイントに送信され、その後、アクセスポイントはクライアント端末により用いられたパラメータを利用して対応する新しいパラメータを生成する。これらのパラメータが一致する場合、アクセスポイントは新しい管理情報を受付け、それらを実現する。このようにして、クライアント端末とアクセスポイントに知られているパラメータを用いて生成される認証パラメータを新しい管理情報と共に利用することにより、セキュリティの向上が提供される。
【0006】
本発明の一実施例では、管理者はブラウザを用いて、管理者がネットワークとのセキュアな通信を取得することに関する情報を提供可能なフィールドを含む、典型的にはHTML(Hyper Text Markup Language)形式として構成される管理的ウェブページ形式を、ローカルウェブサーバなどのリモートコンピュータから要求する。このウェブページ形式は、記入された管理情報を含み、完了すると、当該情報を文字列にパッケージ処理するため、Javascriptコードにより提供されるような真のタイムオペレータを呼び出すことにより、リモートコンピュータに送信される。この真のタイムオペレータは。1つのパラメータとして所定の文字を有するプラグインセキュリティ機能を呼び出し、セキュリティ機能にリモートシステムと通信するよう促す。
【0007】
形式情報を受信すると、リモートシステムは、乱数を生成し、以降における参照のためこの乱数を格納する。それはまた、当該乱数を管理者と通信する。管理者セキュリティ機能は、乱数、管理者パスワード(以前にプラグインに格納された)及び文字列パラメータを連結する。その後、MD5(Message 5 Digest)などのダイジェストが、連結された結果に対して生成され、セキュリティ機能に返される。当該プロセスは、Javascriptなどの真のタイムオペレータを利用して、セキュリティ機能からの結果を管理情報を含む形式に埋め込み、これをリモートコンピュータに送信することにより、送信を完了する。リモートコンピュータは、格納されている乱数、パスワード及び受信データを利用して、MD5ダイジェストを生成する。このダイジェストが受信したダイジェストと一致する場合、要求された管理が与えられ、システムは適切に更新される。管理情報が管理者からリモートコンピュータに通信される以降の通信では、リモートコンピュータはまず、MD5における管理者により以降において利用される乱数を生成する。各ケースにおいて、リモートシステムダイジェストが受信したダイジェストと比較され、当該ダイジェストが受信したダイジェストと一致する場合、要求された管理要求が与えられ、システムがこれに応じて更新される。
[発明の詳細な説明]
説明される図において、回路、関連するブロック及び矢印は、電気回路及び電気信号を伝送する付属の配線またはデータバスとして実現可能な本発明によるプロセスの機能を表す。あるいは、1以上の付属の矢印は、特に本発明の方法及び装置がデジタルプロセスとして実現されるときには、ソフトウェアルーチン間の通信(例えば、データフローなど)を表すかもしれない。
【0008】
本発明は、管理情報を処理するのにHTTPSによる保護に依存することなく、ActiveX制御またはプラグインを利用することにより、ウェブブラウザベースのリモート管理システムがそのセキュリティを維持するための方法を提供する。本発明は、埋め込みシステムに負担をかけるものでなく、このため、埋め込みシステムのリモート管理に理想的に適したものである。本発明は、埋め込みシステムとブラウザを有する管理システムにおける同一のアルゴリズムに基づき、セキュリティコードを計算する方法を提供する。ブラウザベースの管理者が管理情報を送信すると、オペレータは制御情報を文字列としてパッケージ処理し、パラメータとしての文字列と共にプラグインのセキュリティ機能を呼び出す。セキュリティ機能が結果を返した後、オペレータは符号化されたダイジェストと共に形式データをリモートシステムに送信する。このダイジェストは、例えば、隠しフィールドとして形式データに埋め込まれてもよい。
【0009】
図1によると、1401〜140nにより表される1以上のモバイル端末が、ファイアウォール122及び認証サーバ150nなどの1以上の仮想オペレータ1501〜150nと関連して、アクセスポイント130n及びローカルコンピュータ120と無線媒体124を介し通信する。端末1401〜140nからの通信は、典型的には、ハッカーなどの許可されていないエンティティからの高いレベルの安全性を要求する関連する通信パス154及び152とインターネット110を利用することにより、セキュアなデータベースや他のリソースへのアクセスを必要とする。
【0010】
さらに図1に図示されるように、IEEE802.1xアーキテクチャは、複数のコンポーネントを包含し、より上位のレイヤのネットワークスタックに透過なステーション移動性を提供するため当該やりとりに供する。IEEE802.1xネットワークは、アクセスポイント1301〜130nなどのAPステーションと、無線媒体と接続し、MAC(Medium Access Control)1381〜138nであるIEEE802.1xプロトコルの機能と対応するPHY(Physical Layer)(図示せず)を含むコンポーネントとして固定またはモバイル端末1401〜140nと、及び無線媒体との接続127とを規定する。典型的には、IEEE802.1xの機能は、無線モデム、ノットワークアクセスまたはインタフェースカードのハードウェア及びソフトウェアにより実現される。本発明は、無線媒体124においてクライアント端末140n、アクセスポイント130n、ローカルサーバ120と認証サーバ150との間のセキュアな通信手段を実現する方法を提案する。
【0011】
本原理によると、アクセス160は、固定またはモバイルの各端末1401〜140nがHTTP及び非HTTP通信ルーティングを示す通信パス152及び154とより大きなネットワークの一部として存在するゲートウェイ121やファイアウォール122を介し端末間と共に、その通信システムコンポーネント間のセキュアなトラフィックフローを保証する管理形式を生成する手段を認証し、以降においてそれを提供することにより、WLAN115に安全にアクセスすることを可能にする。アクセス160がこのようなセキュアなアクセスを可能にする方法は、図1を参照して最も良く理解されうる。
【0012】
固定または無線通信手段、すなわち、端末140n、公衆WLAN115、ローカルウェブサーバ120及び認証サーバ150の間において経時的に行われるやりとりのシーケンスが、IEEE802.1xプロトコルに従って接続される。ここで、図1のアクセスポイント130nは、アクセスポイントが端末1401〜140nと情報をやりとりする制御ポートと非制御ポートを維持する。アクセスポイント130nにより維持される制御ポートは、WLAN115と端末1401〜140nを通過するデータトラフィックなどの非認証情報に対する入口として機能する。通常、アクセスポイント1301〜130nは、関係する端末1401〜140nの認証が通信されるまで、IEEE802.1xプロトコルに従って、各制御ポートを閉じた状態に保持する。アクセスポイント1301〜130nは常に、モバイル端末1401〜140nが認証サーバ150と認証データをやりとりするのを許可するため、各非制御ポートをオープンな状態に維持する。
【0013】
より詳細には、図2a及び3aを参照して、本発明による方法では、管理者は端末1401〜140nとブラウザを用いて、典型的にはHTML形式として構成され、管理者がネットワークとのセキュアな通信を取得することに関係する情報を提供することが可能なフィールドを含むリモートコンピュータ150からの管理ウェブページ形式を要求する(210)。当該形式を受信すると(215)、要求された管理情報が記入されたウェブページ形式が、完了すると(220)、当該情報を文字列にパッケージ処理するため(230)、Javascriptコードにより提供されるような真のタイムオペレータを呼び出すことにより、リモートコンピュータ150に送信される(220)。この真のタイムオペレータは。1つのパラメータとして所定の文字列を有するプラグインセキュリティ機能を呼び出し(235)、セキュリティ機能にリモートシステム150と通信するよう促す(240、250)。
【0014】
形式情報を受信すると(320)、リモートシステム150は、乱数を生成し(330)、以降における参照のためこの乱数を格納する(335)。それはまた、当該乱数を管理者と通信する(340)。管理者セキュリティ機能1401〜140nは、乱数、管理者パスワード(以前にプラグインに格納された)及び文字列パラメータを連結する(260)。その後、MD5(Message 5 Digest)などのダイジェストが、連結された結果に対して生成され(270)、セキュリティ機能に返される。当該プロセスは、Javascriptなどの真のタイムオペレータを利用して、セキュリティ機能からの結果を管理情報を含む形式に埋め込み、これをリモートコンピュータ150に送信することにより(275)、送信を完了する。リモートコンピュータは、格納されている乱数、パスワード及び受信データを利用して、MD5ダイジェストを生成する(350)。このダイジェストが受信したダイジェストと一致する場合(355)、要求された管理が与えられ(360)、システムは適切に更新される。一致がない場合、アクセスは拒絶される(356)。管理情報が管理者からリモートコンピュータ150に通信される以降の通信では、リモートコンピュータ150はまず、MD5における管理者により以降において利用される乱数を生成する。各ケースにおいて、リモートシステムダイジェストが受信したダイジェストと比較され、当該ダイジェストが受信したダイジェストと一致する場合、要求された管理要求が与えられ、システムがこれに応じて更新される。
【0015】
図示されるような本発明の形式は、単なる好適な実施例に過ぎないということが理解されるべきである。様々な変更がパーツの機能及び構成に関して可能であり、等価な手段が図示及び説明されたものと置換可能であり、以下の請求項に規定されるような本発明の趣旨及び範囲から逸脱することなく、特定の構成は他のものと独立に利用されてもよい。
【図面の簡単な説明】
【0016】
【図1】図1は、本発明の方法を実現するための通信システムのブロック図である。
【図2】図2は、通信アクセスをセキュアにするための本発明の一実施例によるフローチャートである。
【図3a】図3aは、通信アクセスをセキュアにするための本発明の一実施例によるフローチャートである。
【図3b】図3bは、通信アクセスをセキュアにするための本発明の一実施例によるフローチャートである。
【特許請求の範囲】
【請求項1】
無線ネットワークにおいてクライアント端末と管理情報を交換する方法であって、
前記クライアント端末から管理ファイルに対する要求を受信するステップと、
前記管理ファイルを前記クライアント端末に送信するステップと、
第1パラメータを生成し、前記クライアント端末に送信するステップと、
前記クライアント端末から新しい管理情報と第2パラメータを受信するステップと、
所定のアルゴリズムと前記第1パラメータを用いて第3パラメータを生成するステップと、
前記第2パラメータと前記第3パラメータとを比較するステップと、
前記比較するステップに応答して、前記新しい管理情報を実現するステップと、
から構成されることを特徴とする方法。
【請求項2】
請求項1記載の方法であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記WLANのカバーエリア内のモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とする方法。
【請求項3】
請求項2記載の方法であって、
前記第1パラメータは、乱数であることを特徴とする方法。
【請求項4】
請求項3記載の方法であって、
前記第3パラメータを生成するステップは、ハッシュ関数及び前記第1パラメータを利用して第3パラメータを生成することから構成されることを特徴とする方法。
【請求項5】
請求項3記載の方法であって、
前記第3パラメータを生成するステップは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して第3パラメータを生成することから構成されることを特徴とする方法。
【請求項6】
請求項5記載の方法であって、
前記文字列パラメータは、前記新しい管理情報に対応することを特徴とする方法。
【請求項7】
請求項2記載の方法であって、
前記送信するステップは、前記管理ウェブページとActiveX制御を前記クライアント端末に送信することから構成されることを特徴とする方法。
【請求項8】
無線ネットワークにおけるアクセスポイントであって、
クライアント端末と通信するための送受信機と、
前記送受信機に接続され、前記クライアント端末からの要求に応答して、前記送受信機に管理ファイルを送信させるための手段と、
第1パラメータを生成し、前記クライアント端末から新しい管理情報と第2パラメータとを受信した前記送受信機に、前記第1パラメータを前記クライアント端末に送信させるための手段と、
前記第1パラメータに応答して、第3パラメータを生成し、該第3パラメータと前記第2パラメータとを比較するための手段と、
前記比較に応答して、前記新しい管理情報を実現するための手段と、
から構成されることを特徴とするアクセスポイント。
【請求項9】
請求項8記載のアクセスポイントであって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記WLANのカバーエリア内のモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とするアクセスポイント。
【請求項10】
請求項9記載のアクセスポイントであって、
前記第1パラメータは、乱数であり、
前記第3パラメータを生成する手段は、ハッシュ関数、前記乱数、パスワード及び文字列パラメータを利用して前記第3パラメータを生成するための手段から構成されることを特徴とするアクセスポイント。
【請求項11】
請求項10記載のアクセスポイントであって、
前記文字列パラメータは、前記新しい管理情報に対応することを特徴とするアクセスポイント。
【請求項12】
クライアント端末を用いて無線ネットワークにおけるアクセスポイントと管理情報を交換する方法であって、
管理ファイルに対する要求を前記アクセスポイントに送信するステップと、
前記アクセスポイントから前記管理ファイルを受信するステップと、
前記アクセスポイントから第1パラメータを受信するステップと、
ユーザ入力に応答して新しい管理情報を生成するステップと、
所定のアルゴリズムと前記第1パラメータを利用して第2パラメータを生成するステップと、
前記第2パラメータと前記新しい管理情報とを前記アクセスポイントに送信するステップと、
から構成されることを特徴とする方法。
【請求項13】
請求項12記載の方法であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記IEEE802.11規格に従うモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とする方法。
【請求項14】
請求項13記載の方法であって、
前記管理ウェブページを受信するステップは、前記管理ウェブページとActiveX制御を受信することから構成されることを特徴とする方法。
【請求項15】
請求項13記載の方法であって、
前記第2パラメータを生成するステップは、ハッシュ関数と前記第1パラメータとを利用して前記第2パラメータを生成することから構成されることを特徴とする方法。
【請求項16】
請求項13記載の方法であって、
前記第2パラメータを生成するステップは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して前記第2パラメータを生成することから構成されることを特徴とする方法。
【請求項17】
請求項16記載の方法であって、
前記文字列パラメータは、前記新しい管理情報から生成されることを特徴とする方法。
【請求項18】
無線ネットワークに付属するアクセスポイントと通信するクライアント端末であって、
前記アクセスポイントと通信するための送受信機と、
前記送受信機に接続され、前記送受信機に管理ファイルに対する要求を前記アクセスポイントに送信させ、前記アクセスポイントから前記新しい管理ファイルを受信し、前記アクセスポイントから第1パラメータを受信するための手段と、
ユーザ入力に応答して、新しい管理情報を生成するための手段と、
所定のアルゴリズムと前記第1パラメータとを利用して第2パラメータを生成するための手段と、
前記送受信機に前記第2パラメータと前記新しい管理情報とを前記アクセスポイントに送信させるための手段と、
から構成されることを特徴とするクライアント端末。
【請求項19】
請求項18記載のクライアント端末であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記IEEE802.11規格に従うモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とするクライアント端末。
【請求項20】
請求項19記載のクライアント端末であって、
前記第2パラメータは、ハッシュ関数及び前記第1パラメータを利用して生成されることを特徴とするクライアント端末。
【請求項21】
請求項19記載のクライアント端末であって、
前記第2パラメータは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して生成されることを特徴とするクライアント端末。
【請求項22】
請求項22記載のクライアント端末であって、
前記文字列パラメータは、前記新しい管理情報から生成されることを特徴とするクライアント端末。
【特許請求の範囲】
【請求項1】
無線ネットワークにおいてクライアント端末と管理情報を交換する方法であって、
アクセスポイント(AP)により、前記クライアント端末から管理ファイルに対する要求を受信するステップと、
前記APにより、前記管理ファイルを前記クライアント端末に送信するステップと、
前記APにより、第1パラメータを生成し、前記クライアント端末に送信するステップと、
前記APにより、前記クライアント端末から新しい管理情報と第2パラメータを受信するステップと、
前記APにより、所定のアルゴリズムと前記第1パラメータを用いて第3パラメータを生成するステップと、
前記APにより、前記第2パラメータと前記第3パラメータとを比較するステップと、
前記比較するステップに応答して、前記新しい管理情報を実現するステップと、
から構成されることを特徴とする方法。
【請求項2】
請求項1記載の方法であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記WLANのカバーエリア内のモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とする方法。
【請求項3】
請求項2記載の方法であって、
前記第1パラメータは、乱数であることを特徴とする方法。
【請求項4】
請求項3記載の方法であって、
前記第3パラメータを生成するステップは、ハッシュ関数及び前記第1パラメータを利用して第3パラメータを生成することから構成されることを特徴とする方法。
【請求項5】
請求項3記載の方法であって、
前記第3パラメータを生成するステップは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して第3パラメータを生成することから構成されることを特徴とする方法。
【請求項6】
請求項5記載の方法であって、
前記文字列パラメータは、前記新しい管理情報に対応することを特徴とする方法。
【請求項7】
請求項2記載の方法であって、
前記送信するステップは、前記管理ウェブページとActiveX制御を前記クライアント端末に送信することから構成されることを特徴とする方法。
【請求項8】
無線ネットワークにおけるアクセスポイントであって、
クライアント端末と通信するための送受信機と、
前記送受信機に接続され、前記クライアント端末からの要求に応答して、前記送受信機に管理ファイルを送信させるための手段と、
第1パラメータを生成し、前記クライアント端末から新しい管理情報と第2パラメータとを受信した前記送受信機に、前記第1パラメータを前記クライアント端末に送信させるための手段と、
前記第1パラメータに応答して、第3パラメータを生成し、該第3パラメータと前記第2パラメータとを比較するための手段と、
前記比較に応答して、前記新しい管理情報を実現するための手段と、
から構成されることを特徴とするアクセスポイント。
【請求項9】
請求項8記載のアクセスポイントであって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記WLANのカバーエリア内のモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とするアクセスポイント。
【請求項10】
請求項9記載のアクセスポイントであって、
前記第1パラメータは、乱数であり、
前記第3パラメータを生成する手段は、ハッシュ関数、前記乱数、パスワード及び文字列パラメータを利用して前記第3パラメータを生成するための手段から構成されることを特徴とするアクセスポイント。
【請求項11】
請求項10記載のアクセスポイントであって、
前記文字列パラメータは、前記新しい管理情報に対応することを特徴とするアクセスポイント。
【請求項12】
クライアント端末を用いて無線ネットワークにおけるアクセスポイントと管理情報を交換する方法であって、
管理ファイルに対する要求を前記アクセスポイントに送信するステップと、
前記アクセスポイントから前記管理ファイルを受信するステップと、
前記アクセスポイントから第1パラメータを受信するステップと、
ユーザ入力に応答して新しい管理情報を生成するステップと、
所定のアルゴリズムと前記第1パラメータを利用して第2パラメータを生成するステップと、
前記第2パラメータと前記新しい管理情報とを前記アクセスポイントに送信するステップと、
から構成されることを特徴とする方法。
【請求項13】
請求項12記載の方法であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記IEEE802.11規格に従うモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とする方法。
【請求項14】
請求項13記載の方法であって、
前記管理ウェブページを受信するステップは、前記管理ウェブページとActiveX制御を受信することから構成されることを特徴とする方法。
【請求項15】
請求項13記載の方法であって、
前記第2パラメータを生成するステップは、ハッシュ関数と前記第1パラメータとを利用して前記第2パラメータを生成することから構成されることを特徴とする方法。
【請求項16】
請求項13記載の方法であって、
前記第2パラメータを生成するステップは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して前記第2パラメータを生成することから構成されることを特徴とする方法。
【請求項17】
請求項16記載の方法であって、
前記文字列パラメータは、前記新しい管理情報から生成されることを特徴とする方法。
【請求項18】
無線ネットワークに付属するアクセスポイントと通信するクライアント端末であって、
前記アクセスポイントと通信するための送受信機と、
前記送受信機に接続され、前記送受信機に管理ファイルに対する要求を前記アクセスポイントに送信させ、前記アクセスポイントから前記新しい管理ファイルを受信し、前記アクセスポイントから第1パラメータを受信するための手段と、
ユーザ入力に応答して、新しい管理情報を生成するための手段と、
所定のアルゴリズムと前記第1パラメータとを利用して第2パラメータを生成するための手段と、
前記送受信機に前記第2パラメータと前記新しい管理情報とを前記アクセスポイントに送信させるための手段と、
から構成されることを特徴とするクライアント端末。
【請求項19】
請求項18記載のクライアント端末であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記IEEE802.11規格に従うモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とするクライアント端末。
【請求項20】
請求項19記載のクライアント端末であって、
前記第2パラメータは、ハッシュ関数及び前記第1パラメータを利用して生成されることを特徴とするクライアント端末。
【請求項21】
請求項19記載のクライアント端末であって、
前記第2パラメータは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して生成されることを特徴とするクライアント端末。
【請求項22】
請求項22記載のクライアント端末であって、
前記文字列パラメータは、前記新しい管理情報から生成されることを特徴とするクライアント端末。
【請求項1】
無線ネットワークにおいてクライアント端末と管理情報を交換する方法であって、
前記クライアント端末から管理ファイルに対する要求を受信するステップと、
前記管理ファイルを前記クライアント端末に送信するステップと、
第1パラメータを生成し、前記クライアント端末に送信するステップと、
前記クライアント端末から新しい管理情報と第2パラメータを受信するステップと、
所定のアルゴリズムと前記第1パラメータを用いて第3パラメータを生成するステップと、
前記第2パラメータと前記第3パラメータとを比較するステップと、
前記比較するステップに応答して、前記新しい管理情報を実現するステップと、
から構成されることを特徴とする方法。
【請求項2】
請求項1記載の方法であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記WLANのカバーエリア内のモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とする方法。
【請求項3】
請求項2記載の方法であって、
前記第1パラメータは、乱数であることを特徴とする方法。
【請求項4】
請求項3記載の方法であって、
前記第3パラメータを生成するステップは、ハッシュ関数及び前記第1パラメータを利用して第3パラメータを生成することから構成されることを特徴とする方法。
【請求項5】
請求項3記載の方法であって、
前記第3パラメータを生成するステップは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して第3パラメータを生成することから構成されることを特徴とする方法。
【請求項6】
請求項5記載の方法であって、
前記文字列パラメータは、前記新しい管理情報に対応することを特徴とする方法。
【請求項7】
請求項2記載の方法であって、
前記送信するステップは、前記管理ウェブページとActiveX制御を前記クライアント端末に送信することから構成されることを特徴とする方法。
【請求項8】
無線ネットワークにおけるアクセスポイントであって、
クライアント端末と通信するための送受信機と、
前記送受信機に接続され、前記クライアント端末からの要求に応答して、前記送受信機に管理ファイルを送信させるための手段と、
第1パラメータを生成し、前記クライアント端末から新しい管理情報と第2パラメータとを受信した前記送受信機に、前記第1パラメータを前記クライアント端末に送信させるための手段と、
前記第1パラメータに応答して、第3パラメータを生成し、該第3パラメータと前記第2パラメータとを比較するための手段と、
前記比較に応答して、前記新しい管理情報を実現するための手段と、
から構成されることを特徴とするアクセスポイント。
【請求項9】
請求項8記載のアクセスポイントであって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記WLANのカバーエリア内のモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とするアクセスポイント。
【請求項10】
請求項9記載のアクセスポイントであって、
前記第1パラメータは、乱数であり、
前記第3パラメータを生成する手段は、ハッシュ関数、前記乱数、パスワード及び文字列パラメータを利用して前記第3パラメータを生成するための手段から構成されることを特徴とするアクセスポイント。
【請求項11】
請求項10記載のアクセスポイントであって、
前記文字列パラメータは、前記新しい管理情報に対応することを特徴とするアクセスポイント。
【請求項12】
クライアント端末を用いて無線ネットワークにおけるアクセスポイントと管理情報を交換する方法であって、
管理ファイルに対する要求を前記アクセスポイントに送信するステップと、
前記アクセスポイントから前記管理ファイルを受信するステップと、
前記アクセスポイントから第1パラメータを受信するステップと、
ユーザ入力に応答して新しい管理情報を生成するステップと、
所定のアルゴリズムと前記第1パラメータを利用して第2パラメータを生成するステップと、
前記第2パラメータと前記新しい管理情報とを前記アクセスポイントに送信するステップと、
から構成されることを特徴とする方法。
【請求項13】
請求項12記載の方法であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記IEEE802.11規格に従うモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とする方法。
【請求項14】
請求項13記載の方法であって、
前記管理ウェブページを受信するステップは、前記管理ウェブページとActiveX制御を受信することから構成されることを特徴とする方法。
【請求項15】
請求項13記載の方法であって、
前記第2パラメータを生成するステップは、ハッシュ関数と前記第1パラメータとを利用して前記第2パラメータを生成することから構成されることを特徴とする方法。
【請求項16】
請求項13記載の方法であって、
前記第2パラメータを生成するステップは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して前記第2パラメータを生成することから構成されることを特徴とする方法。
【請求項17】
請求項16記載の方法であって、
前記文字列パラメータは、前記新しい管理情報から生成されることを特徴とする方法。
【請求項18】
無線ネットワークに付属するアクセスポイントと通信するクライアント端末であって、
前記アクセスポイントと通信するための送受信機と、
前記送受信機に接続され、前記送受信機に管理ファイルに対する要求を前記アクセスポイントに送信させ、前記アクセスポイントから前記新しい管理ファイルを受信し、前記アクセスポイントから第1パラメータを受信するための手段と、
ユーザ入力に応答して、新しい管理情報を生成するための手段と、
所定のアルゴリズムと前記第1パラメータとを利用して第2パラメータを生成するための手段と、
前記送受信機に前記第2パラメータと前記新しい管理情報とを前記アクセスポイントに送信させるための手段と、
から構成されることを特徴とするクライアント端末。
【請求項19】
請求項18記載のクライアント端末であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記IEEE802.11規格に従うモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とするクライアント端末。
【請求項20】
請求項19記載のクライアント端末であって、
前記第2パラメータは、ハッシュ関数及び前記第1パラメータを利用して生成されることを特徴とするクライアント端末。
【請求項21】
請求項19記載のクライアント端末であって、
前記第2パラメータは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して生成されることを特徴とするクライアント端末。
【請求項22】
請求項22記載のクライアント端末であって、
前記文字列パラメータは、前記新しい管理情報から生成されることを特徴とするクライアント端末。
【特許請求の範囲】
【請求項1】
無線ネットワークにおいてクライアント端末と管理情報を交換する方法であって、
アクセスポイント(AP)により、前記クライアント端末から管理ファイルに対する要求を受信するステップと、
前記APにより、前記管理ファイルを前記クライアント端末に送信するステップと、
前記APにより、第1パラメータを生成し、前記クライアント端末に送信するステップと、
前記APにより、前記クライアント端末から新しい管理情報と第2パラメータを受信するステップと、
前記APにより、所定のアルゴリズムと前記第1パラメータを用いて第3パラメータを生成するステップと、
前記APにより、前記第2パラメータと前記第3パラメータとを比較するステップと、
前記比較するステップに応答して、前記新しい管理情報を実現するステップと、
から構成されることを特徴とする方法。
【請求項2】
請求項1記載の方法であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記WLANのカバーエリア内のモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とする方法。
【請求項3】
請求項2記載の方法であって、
前記第1パラメータは、乱数であることを特徴とする方法。
【請求項4】
請求項3記載の方法であって、
前記第3パラメータを生成するステップは、ハッシュ関数及び前記第1パラメータを利用して第3パラメータを生成することから構成されることを特徴とする方法。
【請求項5】
請求項3記載の方法であって、
前記第3パラメータを生成するステップは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して第3パラメータを生成することから構成されることを特徴とする方法。
【請求項6】
請求項5記載の方法であって、
前記文字列パラメータは、前記新しい管理情報に対応することを特徴とする方法。
【請求項7】
請求項2記載の方法であって、
前記送信するステップは、前記管理ウェブページとActiveX制御を前記クライアント端末に送信することから構成されることを特徴とする方法。
【請求項8】
無線ネットワークにおけるアクセスポイントであって、
クライアント端末と通信するための送受信機と、
前記送受信機に接続され、前記クライアント端末からの要求に応答して、前記送受信機に管理ファイルを送信させるための手段と、
第1パラメータを生成し、前記クライアント端末から新しい管理情報と第2パラメータとを受信した前記送受信機に、前記第1パラメータを前記クライアント端末に送信させるための手段と、
前記第1パラメータに応答して、第3パラメータを生成し、該第3パラメータと前記第2パラメータとを比較するための手段と、
前記比較に応答して、前記新しい管理情報を実現するための手段と、
から構成されることを特徴とするアクセスポイント。
【請求項9】
請求項8記載のアクセスポイントであって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記WLANのカバーエリア内のモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とするアクセスポイント。
【請求項10】
請求項9記載のアクセスポイントであって、
前記第1パラメータは、乱数であり、
前記第3パラメータを生成する手段は、ハッシュ関数、前記乱数、パスワード及び文字列パラメータを利用して前記第3パラメータを生成するための手段から構成されることを特徴とするアクセスポイント。
【請求項11】
請求項10記載のアクセスポイントであって、
前記文字列パラメータは、前記新しい管理情報に対応することを特徴とするアクセスポイント。
【請求項12】
クライアント端末を用いて無線ネットワークにおけるアクセスポイントと管理情報を交換する方法であって、
管理ファイルに対する要求を前記アクセスポイントに送信するステップと、
前記アクセスポイントから前記管理ファイルを受信するステップと、
前記アクセスポイントから第1パラメータを受信するステップと、
ユーザ入力に応答して新しい管理情報を生成するステップと、
所定のアルゴリズムと前記第1パラメータを利用して第2パラメータを生成するステップと、
前記第2パラメータと前記新しい管理情報とを前記アクセスポイントに送信するステップと、
から構成されることを特徴とする方法。
【請求項13】
請求項12記載の方法であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記IEEE802.11規格に従うモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とする方法。
【請求項14】
請求項13記載の方法であって、
前記管理ウェブページを受信するステップは、前記管理ウェブページとActiveX制御を受信することから構成されることを特徴とする方法。
【請求項15】
請求項13記載の方法であって、
前記第2パラメータを生成するステップは、ハッシュ関数と前記第1パラメータとを利用して前記第2パラメータを生成することから構成されることを特徴とする方法。
【請求項16】
請求項13記載の方法であって、
前記第2パラメータを生成するステップは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して前記第2パラメータを生成することから構成されることを特徴とする方法。
【請求項17】
請求項16記載の方法であって、
前記文字列パラメータは、前記新しい管理情報から生成されることを特徴とする方法。
【請求項18】
無線ネットワークに付属するアクセスポイントと通信するクライアント端末であって、
前記アクセスポイントと通信するための送受信機と、
前記送受信機に接続され、前記送受信機に管理ファイルに対する要求を前記アクセスポイントに送信させ、前記アクセスポイントから前記新しい管理ファイルを受信し、前記アクセスポイントから第1パラメータを受信するための手段と、
ユーザ入力に応答して、新しい管理情報を生成するための手段と、
所定のアルゴリズムと前記第1パラメータとを利用して第2パラメータを生成するための手段と、
前記送受信機に前記第2パラメータと前記新しい管理情報とを前記アクセスポイントに送信させるための手段と、
から構成されることを特徴とするクライアント端末。
【請求項19】
請求項18記載のクライアント端末であって、
前記無線ネットワークは、IEEE802.11規格に従う無線ローカルエリアネットワーク(WLAN)であり、
前記クライアント端末は、前記IEEE802.11規格に従うモバイル端末であり、
前記管理ファイルは、管理ウェブページから構成される、
ことを特徴とするクライアント端末。
【請求項20】
請求項19記載のクライアント端末であって、
前記第2パラメータは、ハッシュ関数及び前記第1パラメータを利用して生成されることを特徴とするクライアント端末。
【請求項21】
請求項19記載のクライアント端末であって、
前記第2パラメータは、ハッシュ関数、前記第1パラメータ、パスワード及び文字列パラメータを利用して生成されることを特徴とするクライアント端末。
【請求項22】
請求項22記載のクライアント端末であって、
前記文字列パラメータは、前記新しい管理情報から生成されることを特徴とするクライアント端末。
【図1】
【図2】
【図3a】
【図3b】
【図2】
【図3a】
【図3b】
【公表番号】特表2006−520501(P2006−520501A)
【公表日】平成18年9月7日(2006.9.7)
【国際特許分類】
【出願番号】特願2006−507071(P2006−507071)
【出願日】平成16年3月11日(2004.3.11)
【国際出願番号】PCT/US2004/007411
【国際公開番号】WO2004/084019
【国際公開日】平成16年9月30日(2004.9.30)
【出願人】(501263810)トムソン ライセンシング (2,848)
【氏名又は名称原語表記】Thomson Licensing
【住所又は居所原語表記】46 Quai A. Le Gallo, F−92100 Boulogne−Billancourt, France
【Fターム(参考)】
【公表日】平成18年9月7日(2006.9.7)
【国際特許分類】
【出願日】平成16年3月11日(2004.3.11)
【国際出願番号】PCT/US2004/007411
【国際公開番号】WO2004/084019
【国際公開日】平成16年9月30日(2004.9.30)
【出願人】(501263810)トムソン ライセンシング (2,848)
【氏名又は名称原語表記】Thomson Licensing
【住所又は居所原語表記】46 Quai A. Le Gallo, F−92100 Boulogne−Billancourt, France
【Fターム(参考)】
[ Back to top ]