説明

指紋認証機能付ワイヤレスアクセスポイント

【課題】指紋認識を用いてユーザを認証するワイヤレスローカルエリアネットワークアクセスポイントを提供する。
【解決手段】ユーザは、認証されたシステム管理者の支援でワイヤレスアクセスポイントで指紋を登録することができる。登録ユーザがネットワークにアクセスをしようとすると、ユーザは指紋スキャンを提供するように促される。ユーザ装置内の指紋リーダーは、ユーザの指紋を採取する際に使用することができる。採取された指紋は、認証されたユーザの指紋のデータベースと比較するために、ワイヤレスアクセスポイントへ送信される。もしも採取された指紋が有効であれば、ユーザは、アクセスポイントによってワイヤレスネットワークアクセスすることを許可される。

【発明の詳細な説明】
【技術分野】
【0001】
発明の背景
本発明は、ワイヤレスネットワーク、特に指紋認証機能を備えたワイヤレスアクセスポイントに関する。
【0002】
ローカルエリアネットワークは、家庭やオフィス環境においてコンピュータを相互に接続するために用いられている。
標準的な規格によって、複数のコンピュータが、イーサネット(登録商標)ネットワークによって相互に接続されている。
【0003】
このイーサネット(登録商標)ネットワークは一般的ではあるものの、有線イーサネット(登録商標)ローカルエリアネットワーク(LAN)は、広範囲にわたってケーブルを敷設する必要がある。従って、ワイヤレスLANが次第に一般的になりつつある。
【0004】
例えば、IEEE 802.11a/b/gワイヤレスLAN規格のようなワイヤレスLAN(WLAN)技術により、適切なワイヤレスネットワーク機能を搭載したノートパソコン利用者は、物理的なケーブル接続をすることなく、ネットワークにログオンすることができる。ワイヤレス接続した利用者は、LAN用のワイヤレスアクセスポイントの範囲内で自由に移動することができる。
【0005】
このようにワイヤレスLANは便利であるが、それらは潜在的なアタッカー(攻撃者)に対して比較的さらされている状態であるため、しばしばセキュリティチャレンジを行う。ワイヤレスLANへのアクセス制御をするための従来技術は、SSID(Service Set Identifier)パスワード、WEP(ワイヤードイクイバレントプライバシー)による暗号化、及びMAC(媒体アクセス制御/メディアアクセスコントロール)によるアドレスフィルタリングに基づくものである。
【0006】
ワイヤレスLANのService Set Identifier(SSID)は、LANのワイヤレスアクセスポイントにプログラムされた識別値である。
ユーザのコンピュータが正しいSSIDをネットワークに送ることができない場合は、アクセスポイントによってそのネットワークへのアクセスが拒絶される。SSIDは、アクセスポイントとそれに接続しているユーザとの間における共有パスワードとして機能する。SSIDによって提供されるセキュリティは弱いものである。この理由として、SSIDは送信中の暗号化がされておらず、権限のないユーザがそれを妨害することができるからである。
【0007】
WEP暗号化技術は、傍受からネットワークを保護することを意図している。WEP暗号化規格は、IEEE 802.11構造によって特定される。WEP技術によって、ワイヤレスネットワーク上で無線送信されるパケットが暗号化される。しかしながら、WEP暗号化構造は、妨害を受けたり、また多くの暗号化パケットを分析されたりすることによって、壊れることがある。
【0008】
MACアドレスフィルタリングは、LANのアクセスポイントに、既知のMACアドレスに基づくクライアントに対するネットワークアクセスを許可或いは拒否する。MACアドレスは、LANにおける非常にユニークなレイヤー2のネットワーク識別子として以前より使用されてきた。Organization Unique Idetifiers(OUI)は、ハードウェア製造者によって割り当てられるが、今日使用されているすべてのLANベースの装置についてMACアドレスはグローバルで一意である。多くの場合、ワークステーションのMACアドレスは、認証因子として、或いは、異なったレベルのネットワークかシステム特権をユーザに与えるユニークな識別子として使用される。
【0009】
802.11 WLANs等のワイヤレスLANで、MACアドレスフィルタリングに基づくユーザ追跡と認証操作を使うことができる。しかしながら、特にシステム内に多くのユーザがいる時に、MACアドレスに基づく認証の仕組みは、その実行が厄介になる場合がある。さらに、アタッカーは、妨害をしたり、正規のMACアドレスを再利用することにより、MACアドレスフィルタリングを用いて保護されているネットワークにしばしば進入することができる。また、MACアドレスフィルタリングは、ユーザではなく、装置の同一性を認証する。
【0010】
従って、ワイヤレスネットワークについて、改良されたセキュリティを提供できることが望ましい。
【0011】
発明の概要
本発明は、ワイヤレスローカルエリアネットワーク(ワイヤレスLAN)がワイヤレスアクセスポイントを使用することでサポートされる。システムの操作は管理者によって管理することができる。例えば、管理者は、ユーザ登録や登録設定の調整の処理にかかわることができる。
【0012】
指紋認証は、ワイヤレスLANのユーザ認証に使用することができる。新規ユーザの登録の際に、そのユーザの指紋が採取される。その後、採取された指紋は、管理者によってアクセスポイントに格納することができる。ユーザIDは認証操作を容易にするために、登録された指紋と一緒に格納することができる。
【0013】
ユーザがLANにワイヤレスアクセスを希望する場合は、ユーザは認証のために指紋を提供するように促される。ユーザの指紋がユーザのコンピュータで採取された後、採取された指紋を認証のためにワイヤレスアクセスポイントへ送信することができる。
【0014】
認証操作の間、ワイヤレスアクセスポイントは、そのユーザの指紋とユーザがシステムにユーザ登録をした際に格納された指紋とを比較することができる。もしも新たに採取した指紋が登録の間に提供された指紋と一致する場合、アクセスポイントは、ユーザの指紋が有効であると判断し、ユーザがローカルエリアネットワークリソースへワイヤレスアクセスすることを許可することができる。もしも新たに採取した指紋がワイヤレスアクセスポイントに格納された指紋と一致しない場合、ワイヤレスアクセスポイントは、ユーザにエラーメッセージを出すことができ、ネットワークアクセスを拒否することができる。
【0015】
管理者は、システムにアクセスするためにいくつの指紋が必要であるかを指定することができる。例えば、3つの指紋が必要である場合、2つの有効な指紋しか提供しないユーザについて、ネットワークアクセスを拒否することができる。
【0016】
MACアドレスフィルタリング、SSID及びその他のアクセスコントロール処理のような他のセキュリティ構造を補うために、指紋に基づくアクセスコントロールを用いることができる。
【0017】
本発明のさらなる特徴、性質、並びにさまざまな効果は、次の図面や好適な実施例の説明から、より明らかになるであろう。
【0018】
好適な実施例の説明
本発明は、ワイヤレスローカルエリアネットワーク、ローカルエリアネットワークのためのワイヤレスアクセスポイント、及び指紋認証を使用してワイヤレスローカルエリアネットワークへのアクセス制限をすることに関する。
【0019】
本発明に係るワイヤレスローカルエリアネットワークを運用し得るシステム環境が図1に示されている。システム10において、ワイヤレスローカルエリアネットワーク12は、通信ネットワーク18を通じてサーバ14やユーザ16のようなリソースに接続される。例えば、通信ネットワーク16はインターネットでもかまわない。ローカルエリアネットワーク12におけるモデム20は、ローカルエリアネットワーク12を通信ネットワーク16に接続するために用いることができる。例えば、モデム20は、ケーブルモデムやDSLモデムでもかまわない。モデム20によって、ネットワーク12におけるユーザは、サーバ14等からウェブの内容を得るために、ユーザ16のようなユーザと電子メールによるメッセージの送受信を行うことができる。
【0020】
ネットワーク12は複数のコンピュータ22を含んでいる。コンピュータ22は、パーソナルコンピュータ、ノートコンピュータ、ワークステーション、ハンドヘルドコンピュータ、その他あらゆる他の適切なコンピュータ装置でもかまわない。ワイヤレスLANアクセスポイント28は、コンピュータ22をネットワーク12に接続するために使用することができる。コンピュータ22は、ワイヤレス接続26を用いてLAN12に接続することができる。必要であれば、ワイヤレスアクセスポイント28は有線接続を可能にするために、1つ以上のイーサネット(登録商標)ポートや他のポートがあってもかまわない。図1の例では、いくつかのパーソナルコンピュータ22が、有線接続24を使用してアクセスポイント28に接続されている。有線接続24はイーサネット(登録商標)ケーブルや他の適切なネットワーク配線に基づくようにできる。
【0021】
一般に、あらゆる適切なリソースをネットワーク12に接続することができる。例えば、プリンタ、記憶装置、通信装置及びその他のリソースをネットワーク12に接続することができる。ネットワーク12上のどのユーザが特定のリソースを使用するということを調整するために、アクセス規定を使用することができる。例えば、アクセス規定は、ある特定のユーザに対し、特定のプリンタへのアクセスを制限するために使用することができる。また、アクセス規定は、特定のストレージデバイスやインターネットにアクセスをするユーザを制限するために使用することができる。
【0022】
アクセスポイント28の実例が図2に示される。処理回路30を用いて処理機能が提供される。アクセスポイント28に処理機能を提供するために、あらゆる適切な1つ以上のプロセッサを用いることができる。例えば、アクセスポイント28には、処理回路30の処理機能を提供するために、マイクロプロセッサ、マイクロコントローラ、デジタル信号プロセッサ、アプリケーション特定の一体型回路、カスタムロジック、その他の適当な処理回路、そしてそれらの組み合わせたものがあってもかまわない。処理機能は、ハードウェアとソフトウェアを組み合わせて使用することによって提供することができる。アクセスポイント28は、アクセスポイントソフトウェアを処理回路30やアクセスポイント28上の他のハードウェア上でロードし起動することにより、必要な機能を実行するように設定することができる。
【0023】
記憶装置32は、ソフトウェアとデータを格納するために使用することができる。例えば、記憶装置32は、ユーザ認証のために指紋テンプレートのような認証情報を格納するために使用することができる。また、記憶装置32は、アクセスポイント28の操作を制御するための操作指示(ソフトウェア)を格納するために使用することができる。記憶装置32において、あらゆる適切なメモリやストレージデバイスを使用することができる。例えば、ランダムアクセスメモリは、1つ以上のメモリキャッシュをサポートするために使用し、処理回路30が出した指示を格納するために使用することができる。より大量に格納することが必要であれば、ハードディスクドライブを使用することができる。不揮発性メモリは、ブートROMや他の不揮発性ストレージニーズとして使用することができる。記憶装置32のいくつかは、処理回路30(例えば、マイクロプロセッサの上のメモリブロック)の処理回路と同じチップ上にあるメモリによって提供することができる。これらは記憶装置32の処理について単に説明したに過ぎない。必要であれば、あらゆる適切な格納技術をアクセスポイント28に使用することができる。
【0024】
アクセスポイント28は、コンピュータ22や他のワイヤレス機能を持つリソースがローカルエリアネットワーク12へワイヤレス接続をすることを許可するために、ワイヤレス送受信回路34を備える。ワイヤレスアクセスポイント28は、あらゆる必要なプロトコルを使用してワイヤレス接続をサポートすることができる。例えば、ワイヤレスアクセスポイント28は、802.11(b)、802.11(a)、及び802.11(g)のようなIEEE 802.11規格を組み合わせて使用することができる。例えば、アクセスポイント28は、802.11b/g、802.11a/b/g、802.16等のアクセスポイントであってもよい。必要であれば、他の規格もサポートすることができる。
【0025】
入出力回路36は、有線接続でアクセスポイント28とネットワーク12における他のリソースとを接続するために用いることができる。例えば、入出力回路36のUSBポートや入出力回路36のイーサネット(登録商標)ポートは、アクセスポイント28を入出力接続38を通じてモデム20や他の外部のコミュニケーション装置に接続するために用いることができる。必要であれば、モデム20はアクセスポイント28に組み入れることができる。一例として、アクセスポイント28が、ネットワークセットアップ操作の間、外付けモデムのセットアップに関する作業を除くために、一体型ケーブルモデムを備えてもよい。
【0026】
入出力回路36はイーサネット(登録商標)ポートとスイッチ、或いはアクセスポート28とコンピュータ22、外付けドライブのようなストレージデバイス、プリンタ、スキャナ、および他のネットワークリソースとを接続できるようにするための、他の適切な入出力回路を含むことができる。イーサネット(登録商標)ケーブルなどの有線接続24は、入出力回路36を通じリソースをアクセスポイント28に接続するために用いることができる。入出力回路は、イーサネット(登録商標)ポート、パラレルポート、シリアルポート(例えば、USBポート)、そして周辺機器が直接接続される他の入出力ポートを含むことができる。また、周辺機器一式がハブや他の割り当てられたネットワーク規格を通じて接続されているポート(例えば、USBポートやイーサネット(登録商標)ポート)を含むことができる。
【0027】
処理回路30、記憶装置32、ワイヤレス送受信回路34、及び入出力回路36は、必要なあらゆるワイヤレスアクセスポート機能をサポートするために使用することができる。例えば、アクセスポイント28は、有線ネットワーク、印刷サーバ機能、ファイアウォール機能、セキュリティ機能等をサポートするために、これらのリソースを使用してもよい。これらの機能は、ネットワーク12の必要性に基づいて、あらゆる適切な組み合わせで提供することができる。
【0028】
アクセスポイント28は、データ暗号化をサポートすることができる。例えば、ワイヤレス送受信回路34によってワイヤレス接続26上に送られたデータは、WEP暗号技術を用いることで、暗号化することができる。また、ある既知のコンピュータ22にネットワーク12へのアクセスを制限をするためにMACアドレスフィルタリングを用いることにより、セキュリティを追加することができる。
【0029】
内部印刷サーバ機能を用いることにより、LAN12のユーザは、入出力回路36を通じてアクセスポイント28に取り付けられたプリンタで印刷することができる。
【0030】
アクセスポイント28は、有線接続されたコンピュータ22を相互接続するために、有線ハブの役割をなす入出力回路36に切替装置(スイッチ)をつけることができる。例えば、アクセスポイント28には、LAN12にコンピュータ22や他の有線イーサネット(登録商標)装置を接続するために、4ポート全二重10・100イーサネット(登録商標)スイッチを含ませることができる。
【0031】
また、アクセスポイント28には、ルータ機能を含ませることができる。例えば、ルータ機能によって、アクセスポート28に接続されているコンピュータ22がモデム20を通じてケーブルインターネット接続やDSLインターネット接続を共有することや、アクセスポイント28に接続されているプリンタやハードディスク等の装置の共有が可能となる。
【0032】
アクセスポイント28にはファイアウォールが含まれており、仮想プライベートネットワーク機能をサポートすることができる。
【0033】
アクセスポイント28に組み込まれた機能によって、アクセスポイント28は、ワイヤレスアクセスポイント、ワイヤレスルータ、ワイヤレスアクセスポイントルータ、ワイヤレスゲートウェイ等と呼ぶことができる。これらの異なった種類のアクセスポイントは、まとめて「アクセスポイント」、或いは「ワイヤレスアクセスポイント」と呼ばれている。
【0034】
アクセスポイント28が決して高価なものにならないようにするために、アクセスポイント28には、一般のコンピュータにあるようなキーボードやディスプレイ等の構成がない。
【0035】
コンピュータ22は、パーソナルコンピュータ、ノートコンピュータ、ワークステーション、ハンドヘルドコンピュータ等のいかなるコンピュータであっても、LAN12において使用することができる。指紋認証機能をサポートするために、コンピュータ22には、指紋読み取り機能があることが望ましい。指紋リーダー(指紋スキャナとも呼ばれる)は、各コンピュータ22に含ませることができる。図3Aは、一体型指紋リーダー40を伴ったネットワークインタフェースカード(NIC)がどのような状態にあるかを示す。図3Bは、コンピュータ22に外付けの指紋リーダー42がどのような状態にあるかを示す。外付けの指紋リーダー42は、USBケーブルや他のあらゆる適切なコミュニケーションパスを用いて、コンピュータ22に接続することができる。例えば、外付けの指紋リーダー42は、USB接続、RS−232接続、または他の適切なシリアル有線接続やパラレル有線接続によって、コンピュータ22におけるメインユニットに接続することができる。
【0036】
各コンピュータ22の指紋リーダーは、そのコンピュータを使用しているユーザの指紋を読み取るために使用することができる。アクセスポイント28は、ユーザがLAN12の正当なメンバーか或いはアタッカーであるかどうかを確認するために、ユーザの指紋を使用することができる。そして、そのユーザの指紋が正当なものである場合には、ユーザは、ネットワーク12にログインし、ネットワークリソースへアクセスすることが許される。
【0037】
指紋リーダーによって採取された指紋データは、あらゆる適切な形式で保存することができる。例えば、指紋データを圧縮するために適切なデータ圧縮方法を用いることにより(例えば、指紋のうねりの先端部分や分岐部分等の特徴的な細部や、様々な指紋の渦巻の位置とその他の特性に注目することにより)、データ格納と送信における必要条件を減らすことができる。指紋リーダー20によって採取された指紋データは、この点で、しばしば「指紋スキャン」や「指紋」と呼ばれる。
【0038】
ワイヤレスLAN12へのアクセスを制限するために、アクセスポイント28を使用することに関する実例の概要が、図4に示されている。図4の実例において、新規ユーザは、ネットワーク12に登録することが示されている。そして、新規ユーザは、ネットワーク12にアクセスするために、指紋認証を用いることができる。
【0039】
ステップ44では、ネットワーク管理者は、ネットワーク12、又は管理者のコンピュータ22にログインする。管理者は、新規ユーザを登録するための権限が与えられているネットワークユーザである。管理者は、通常、ネットワークセキュリティ設定等のような他の責任を負う。管理者は、通常、ネットワーク12のコンピュータ22の1つに接続されている。家庭内ネットワークにおいて、管理者は、通常、ネットワーク12のアクティブユーザである。ログオン手順44の間、ネットワーク12における管理者のコンピュータや他のコンピュータ設備は、管理者資格をチェックするために用いられる。管理者が本人であることとその管理者権限が本物であることが一旦確かめられると、当該管理者はログインすることができる。
【0040】
管理者ログイン手順の間、管理者は、ユーザ名とパスワード認証、指紋認証等の適切な認証技術を用いて、本人であることを証明することができる。ネットワーク12における管理者コンピュータ22や他の適切な装置は、ステップ44の間、管理者権限を確認するために用いらえる。
【0041】
管理者は、ログインした後、新規ユーザから読み取った指紋を管理することができる。一般的には、管理者は自分のコンピュータ22にログインする。管理者のコンピュータ22には、指紋を読み取るための指紋リーダーが備わっている。ステップ46において、管理者は新規ユーザに対して、管理者のコンピュータに備わっている指紋リーダー上に指を置くように求める。そして、新規ユーザの指紋登録処理について管理者とユーザを案内する、管理者コンピュータのクリッカすることができる画面上に表示されるオプションによって、やりとりすることができる。登録や認証のためにスキャンしなければならない指の数を指定するアクセスポイント設定は、インタラクティブ画面を使用することにより、管理者が調整することができる。
【0042】
管理者は、新規ユーザが確実に、適切な指紋スキャン処理に従い、偽の指紋を提出しないようにするため、登録手続の間、当該新規ユーザを管理することができる。これによって、新規ユーザの指紋を確実に採取でき、またネットワーク12のセキュリティが危険にさらされなくなるという効果がある。
【0043】
新規ユーザの指紋がステップ46で採取された後に、その新しい指紋をワイヤレスアクセスポイント28に提供することができる。指紋を確実にアクセスポイント28へ転送するために、管理者は、ステップ48でアクセスポイントにログインすることができる。アクセスポイント28にログインするために、あらゆる適切な技術を用いることができる。一般的に、管理者は、アクセスポイント28からウェブページを見るために、管理者コンピュータ22上のウェブブラウザを使用する。アクセスポイント28は、この機能でウェブサーバとして機能し、ウェブページを管理者コンピュータ22に提供する。安全なプロトコル(例えば、セキュア・ソケット・レイヤー、すなわちSSL)は、アクセスポイント28が管理者コンピュータ22へウェブページを確実に提供するために使用される。
【0044】
管理者に提供されるウェブページには、多くのオプション(例えば、WEP設定、MAC設定、SSID設定、そして指紋設定等のアクセスポイント28への設定に関連したオプション)が含まれる。また、管理者コンピュータに提供されるウェブページには、管理者が新規ユーザの指紋のアップロードを選択できるオプションを含んでいることが望ましい。
【0045】
管理者は、管理者コンピュータからステップ50でアクセスポイント28へ新規ユーザの指紋の転送を開始するために、このウェブページにおいて「アップロード」や他の適切なオプションを選択することができる。必要であれば、アクセスポイント設定を調整し、他の適切な形式を使用して、スキャンした指紋を管理者コンピュータからアクセスポイントへ転送する機能が提供される。ここでウェブページをベースとした形式を使用しているのは、単なる一例に過ぎない。
【0046】
アクセスポイント28が新規ユーザのために指紋データを受け取った後、アクセスポイント28は、1つ又は複数の指紋をステップ52で記憶装置32に格納する。記憶装置32に格納されるスキャンされた指紋は、あらゆる適切な形式によって格納することができる。例えば、スキャンされた指紋は、それに対応するユーザIDと共に、認証をうけたネットワークユーザのデータベース内に格納することができる。
【0047】
指紋の登録処理が完了すると、アクセスポイント28は、ネットワーク12で認証されたユーザの指紋に関する情報を有する。従って、新規ユーザは、ネットワーク12にログインする際に、指紋スキャナがあるコンピュータ22を使用することができる。ログイン手続の間、アクセスポイント28は、新規ユーザの認証のために指紋スキャンを提供する必要がある。ユーザの指紋を採取するために、ユーザのコンピュータ22にある指紋リーダーを用いることができる。ユーザから新たに取得された指紋と記憶装置32に格納されている指紋とを比較することにより、アクセスポイント28は、新規ユーザに対して、ネットワーク12のネットワークリソースへアクセスする権限を与えてよいかどうかを判断することができる。もしも指紋が一致する場合、アクセスポイント28は、新規ユーザがネットワークへアクセスすることを認めることができる。もし指紋が一致しない場合には、アクセスを拒絶することができる。
【0048】
図4の例において、新規ユーザの登録を管理する前に、管理者は、管理者コンピュータにログインする。そして、新規ユーザから採取した指紋を登録のためにアクセスポイントへ転送する前に、管理者は、アクセスポイントにログインする。必要であれば、管理者は、アクセスポイント28へログインするだけでよい。このような方法で、アクセスポイント28は、管理者資格をチェックする。そして、管理者資格が真であれば、管理者コンピュータに対して適切な登録画面を提供するためにアクセスポイントを使用することにより、新規ユーザの登録処理が実行される。ユーザの指紋が採取された後、その取得された指紋は、アクセスポイントに格納される。この手続自身満足ができるものではあるが、より標準的な手続においては、ユーザの指紋を取得する前に、ネットワーク管理者は、管理者コンピュータ22にログインする。
【0049】
登録及び認証手続の間、ユーザのために表示されているインタラクティブ画面の形式や数は、要求されるユーザの経験の種類にゆだねられる。一般に、より多くの画面を使用することにより、ユーザが選択可能なオプション、説明文や説明画像を表示する画面領域もより多く提供される。画面をいくつも使用しないユーザは、より能率的な場合がある。一般に、あらゆる適切な数や種類の画面を表示することができる。
【0050】
画面の中には、コンピュータ22上で作動しているソフトウェアによって生成され、表示されるものもある。例えば、コンピュータ22上で動いているウェブブラウザは、アクセスポイント28で実行されるウェブサーバによって提供されるウェブコンテンツの表示に使用することができる。また別の例として、管理者コンピュータ22上で作動しているソフトウェアは、そのコンピュータにログインする際に、管理者を認証をするために使用することができる。登録されたユーザがアクセスポイント28を通じてネットワーク12にログインしている際に、ユーザコンピュータ22とアクセスポイント28の両方又はいずれか一方のソフトウェアは、ログオン画面を表示することができる。一般に、あらゆる適切な数や種類の画面上に表示することができ、そしてシステム10においてこれらの画面を表示するために、あらゆる適切な設備を使用することができる。ここで説明する画面は単なる一例である。
【0051】
管理者ログイン画面56は図5に示されている。画面56には、画面56が管理者ログイン画面であるということをユーザへ知らせるタイトル58を含ませることができる。指示60は、管理者にログイン方法を指示することができる。管理者ログイン手続において、あらゆる適切な認証技術を使用することができる。図5の例において、指示60は、管理者ユーザID(管理者ID)ボックス62に管理者IDを入力し、管理者の指紋取得64をクリックするように案内する。管理者コンピュータ22には、管理者がオプション64をクリックする前に適切な指を置く指紋リーダーがある。
【0052】
管理者がオプション64をクリックした後に、管理者の指紋が、指紋リーダーによって採取される。採取された指紋は、格納されている管理者の指紋と比較される。そして、採取された指紋データが格納された指紋データと一致すると、管理者は認証され、ログインすることができる。図6に示すように、指紋が首尾よく処理されたことを管理者に確認するために、確認画面66が表示される。
【0053】
管理者が管理者コンピュータ22とアクセスポイント28の両方、又はいずれか一方にログオンする時に、画面56(図5)と画面66(図6)のような画面を管理者に表示することができる。もし、管理者がコンピュータ22とアクセスポイント28とにログインする場合に必要となるログイン技術が異なる場合、当該管理者に対して、別の一連の画面を提供することができる。例えば、管理者は、ユーザネームとパスワードによる認証によって管理者コンピュータ22にログインし、指紋認証を使用してアクセスポイント28にログインすることができる。説明のために、図5及び図6で示されている画面は、指紋認証技術を用いているものである。
【0054】
管理者のログイン手順にかかわるステップの実例が図7に示される。
【0055】
ステップ68では、管理者はログイン処理を開始する。例えば、管理者が自分のパーソナルコンピュータでログイン手順を行う際に、当該管理者は、ログインアイコンをクリックするか、起動処理の間に自動的にログインプログラムを実行することができる。アクセスポイント28におけるログイン手順の際に、管理者はウェブブラウザを立ち上げ、適切なURLを入力することができる。
【0056】
ステップ70では、図5のログイン画面56等の管理者ログイン画面を、管理者のために表示することができる。画面56での指示を読んだ後、管理者は、ボックス62の中に入力するように指示された管理者IDを入力し、オプション64をクリックすることができる。
【0057】
コンピュータ22はそれに応答して、管理者の指紋を読み取るために、指紋リーダーを使用するよう指示することができる。指紋をステップ72で取得した後、ステップ74において図6における確認画面66のような確認画面が表示される。
【0058】
ステップ76において、管理者IDが、過去に登録された指紋を検索するために使用される。そして、検索された登録済みの指紋データが、ステップ72で採取されて提出された指紋と比較される。もしも、登録済みの指紋と採取された指紋とが一致する場合は、採取された指紋は有効である。もしも、登録済みの指紋と採取された指紋とが一致しない場合は、採取された指紋は有効ではない。必要であれば、登録済みの指紋データベース全体から一致するものを探すことができる。この場合、管理者は、ログオンの間は管理者IDを要求されることはない。有効な指紋が提出されることで事足りる。
【0059】
管理者の指紋が有効な場合、ステップ78において、コンピュータ22及びアクセスポイント28の両方、又はどちらか一方の適切なリソースへアクセスすることができる。
【0060】
そして、管理者は、新規ユーザを登録したり、アクセスポイントの設定を調整したりするようなタスクを実行することができる(ステップ80)。例えば、管理者は、ユーザ登録の間、何本の指(1本の指、2本の指、3本の指等)を登録する必要があるかを決定する設定を調整するために、ウェブページインタフェースか他の適当なインタフェースを使用するかもしれない。
【0061】
管理者の指紋が有効でない場合は、その管理者のためにステップ82においてエラーメッセージを表示することができる。
【0062】
アクセスポイント28において指紋を登録する処理の間、新規ユーザのために表示される画面例が図8〜図11に示されている。これらの画面の形式と内容は単なる具体例である。必要であれば、あらゆる適切な形式及び内容を持たせた適切な画面数の画面をユーザに対して表示することができる。
【0063】
図8に示すように、1個以上の指紋を登録することを求める新規ユーザに対して、図8の画面84のような画面が表示される。画面84は、管理者のコンピュータ22や他の適切なコンピュータ22、或いはシステム10における装置によって表示することができる。
【0064】
画面84は、画面機能を新しいユーザに知らせるタイトル情報86を含むことができる。指示88では、新規または既存のユーザIDをボックス90に入力するようにユーザに指示することができる。また指示88では、ユーザに指紋を取得する準備ができた時に、ユーザの指紋オプション92を選択するように指示することができる。
【0065】
ユーザがオプション92をクリックする時に、図9の画面94等の画面をユーザに表示することができる。図9に示されるように、画面94には、画面94に関連する機能をユーザに知らせるタイトル情報96を含ませることができる。指示98には、どのようにして1つ以上の指紋スキャンをするかについてユーザに指示する情報を含ませることができる。図9の例では、指示98は、ユーザがアクセスポイント28で引き続き行われる認証操作で用いる最大で3本の指の指紋を登録することが可能であることをユーザに知らせている。指示98では、ユーザが登録のために右手と左手の両方の指を含めることをユーザに提示してもよい。もしも、ユーザが片手のある指を提示することが困難な怪我を負っている場合には、もう一方の手の指を使用することができる。
【0066】
画面94では、ユーザの左手100と右手102のグラフィカルな描画を含めることができる。ユーザの両手のグラフィカルなその描画は、インタラクティブなものでも構わない。例えば、ユーザは、登録処理において使用する指を選択するために、図示された手100と102の指をクリックすることができる。図9の例では、ユーザは右手の人差し指104をクリックすると、その指が選択されたということをユーザに確認するためにその指が強調表示される。ユーザが次の処理への準備ができた時は、ユーザは「1番目の指紋をスキャンする」オプション106を選択することができる。
【0067】
ユーザがオプション106を選択すると、指紋リーダはユーザの指紋を採取する。図10の画面108のような画面を、指紋スキャン処理の間、表示することができる。良質な指紋を採取するためには、何度か重複スキャンをすることによりデータを集めることが望ましい。このデータが平均化されるか、最適なスキャン以外が破棄されるか、或いは、他の適切な処理技術を用いることによって、確実に良質な指紋の採取をすることができる。複数の指紋スキャンが集められた時には、スキャン処理の進み具合をユーザに知らせるために、進行情報110のようなグラフィックを表示することができる。グラフィック112等の指を置く位置に関する情報は、ユーザにどちらの指をスキャンするのかを気づかせるために表示される。グラフィック112の視覚表示は、このような表示をしないと間違った指をスキャンしてしまうというエラーを防ぐという効果がある。
【0068】
指紋が首尾よく採取できた場合は、メッセージ114等の確認メッセージをユーザのために表示することができる。
【0069】
複数の指紋が採取される場合には、ユーザはそれぞれの指紋を選ぶために図9の画面94を、そしてそれぞれの指紋スキャンを始めるためにオプション106のようなオプションを使用することができる。
【0070】
適切な指紋が採取できた後に、図11の画面116等の画面をユーザに表示することができる。図11に示されるように、画面116には、指紋が首尾よく採取できたということをユーザに知らせる情報118を含ませることができる。指紋が採取できた指は、左右の手120のグラフィック描画において暗く表示することができる。情報118には、指紋登録処理を完了するために、終了オプション122を選択するようにユーザに指示するための指示を含ませることができる。
【0071】
ユーザの指紋登録を含むステップの実例が図12に示されている。ステップ124において、図8における新規ユーザ登録画面84のような新規ユーザ登録画面がユーザのために表示されるかもしれない。ユーザは、ボックス90に自分のユーザIDを入力し、スタートオプション92を選択することができる。
【0072】
それを受けて、登録処理(ステップ126)の間、どの指を使用するかをユーザに選択させるオプションを表示することができる。例えば、ユーザがある指をクリックすることができる図9の画面94のような画面をユーザに表示することができる。ユーザが特定の指をクリックすると、その指が指紋登録処理中に使用するために指定される。
【0073】
ステップ128では、ユーザが登録する指を選択してオプション106のようなオプションをクリックした後に、選択された1つ以上の指紋は、指紋リーダを使用してスキャンすることができる。
【0074】
図10の画面108や図11の画面116のような確認画面は、指紋スキャン処理(ステップ130)の進行状況とその完了をユーザに知らせるために表示することができる。
【0075】
指紋を採取する処理が完了した後に、採取された指紋情報が、ステップ132でアクセスポイント28に送られる。指紋情報は、アタッカーによる指紋に対する妨害を防ぐために、安全に転送されることが望ましい。アクセスポイント28は、受信した指紋情報を記憶装置32に格納する。次に、ユーザがネットワーク12にワイヤレス接続をするためにアクセスポイント28へログインを試みる時に、記憶装置32における指紋をユーザ認証に使用することができる。
【0076】
新規ユーザがアクセスポイント28で1つ以上の指紋を登録した後に、当該ユーザは、自分がネットワーク12にワイヤレス接続する権限を与えられていることを立証するために、指紋認証技術を使用することができる。アクセスポイント28を通ってネットワーク12にログオンするために、ユーザはログオン操作時に新しく指紋スキャンをする。新しい指紋スキャンはアクセスポイント28へ転送され、記憶装置32に格納された指紋テンプレートデータと新たに提供された指紋とが比較される。記憶装置32に格納されている過去に登録した指紋が新たに提供された指紋と一致する場合、アクセスポイント28は、ユーザのコンピュータ22がワイヤレスリンク26を通じてネットワーク12にワイヤレス接続することを許可することができる。
【0077】
ユーザログイン操作は、あらゆる適切な処理を用いることができる。ネットワーク12にログインするときに、アクセスポイント28によってユーザに提示される画面134が図13に示される。画面134の実例では、画面134の機能をユーザに知らせるためのタイトル情報136を含んでいる。指示138は、ボックス140にユーザのユーザIDを入力し、ログインオプション142を選択するようにユーザに指示する。ユーザがオプション142をクリックすると、ユーザの指紋がユーザのコンピュータ22上の指紋リーダで採取され、ボックス140に入力されたユーザIDと新しく採取した指紋が、指紋認証のためにアクセスポイント28へ安全に転送される。もしも、指紋が有効な場合は、アクセスポイント28はユーザコンピュータ22をネットワーク12に接続するためにワイヤレス送受信回路34を使用する。もしも、指紋が有効でない場合は、アクセスポイント28はネットワーク12へのユーザアクセスを拒絶する。
【0078】
ユーザログイン操作を解説するステップの実例が図14に示される。ログイン処理の間、ユーザのコンピュータは、ワイヤレスリンク26上でアクセスポイント28とやりとりをする。
【0079】
ステップ144において、アクセスポイント28はユーザのコンピュータ22で表示されるログイン画面を提供することができる。あらゆる適切な構造の1つ以上のログイン画面を使用することができる。これらの画面には、指紋スキャンをする必要があることをユーザに指示する情報を含ませることができる。また、ユーザIDが求められることもある。必要であれば、ユーザIDをユーザに求めないこともできる。アクセスポイント28は、一致するものがあるかどうかを判断するために、あらゆる提出された指紋と記憶装置32内の登録された指紋とを比較することができる。ログオンする際にユーザIDの入力を求めることにより、アクセスポイント28は、認証操作をより効率的に行うことができる。この理由として、ユーザIDと関連している登録された指紋が、記憶装置30から迅速に検索することができるからである。しかしながら、ユーザからユーザIDの入力を求めることは必要ではない。必要であれば、指紋が必要であってログイン処理が開始したということをユーザ知らせるために、アイコンや画面以外ののユーザインタフェースを使用することができる。
【0080】
ユーザが要求された情報を提供し、指を指紋リーダーに置いた後、ユーザは、図13のログインオプション142のようなオプションをクリックすることができる。或いは、指紋採取操作を開始することができる。
【0081】
ステップ146において、ユーザの指紋は、ユーザのコンピュータ22の指紋リーダーを使用して読み取ることができる。
【0082】
ステップ148において、1つ以上の採取された指紋から取り出した指紋情報は、認証のために安全にアクセスポイント28へ転送される。指紋は、あらゆる適切なプロトコルを使用して転送することができる。
【0083】
ステップ150において、アクセスポイント28は、ユーザによって提供された指紋情報と記憶装置32に格納されている登録された指紋情報とを比較することができる。特に、アクセスポイント28は、記憶装置32に格納されている前記ユーザの登録された指紋(テンプレート)を探し出すために、ユーザID情報を使用することができる。そして、登録された指紋は、新たに採取された指紋と比較される。もしも指紋が一致する場合、アクセスポイント28は、提出された指紋が有効であり、ユーザが正当な登録ユーザであると判断することができる。そして、ユーザは、ユーザのコンピュータ22とアクセスポイント28との間のワイヤレスネットワーク接続26をサポートすることにより、ネットワーク12へのワイヤレス接続を提供されるようになる。もしも新たに採取された指紋と記憶装置32に登録された指紋とが一致しない場合、アクセスポイント28は、指紋採取処理においてエラーがあったか、或いは、そのユーザにはネットワーク12へのアクセス権が与えられていない、との判断を下すことができる。従って、ステップ154において、エラーメッセージや他の通知メッセージをユーザのために表示することができる。
【0084】
本発明は、全体を通じてワイヤレスアクセスポイントのコンテクストで説明しているが、必要であれば、本発明の指紋によるアクセス制御構造は、有線ローカルエリアネットワークにも使用することができる。例えば、有線ルータ、ゲートウェイ、ファイアウォール、又は他の適切なLANネットワークアクセスハードウェア等の有線アクセスポイントを用いても、指紋によるアクセス制御を実行することができる。
【0085】
上記は本発明の原則を単に解説しただけであり、当業者であれば、本発明の範囲と精神から逸脱することなく、様々な変形を施すことができるであろう。
【図面の簡単な説明】
【0086】
【図1】本発明に係る指紋認証機能付きワイヤレスアクセスポイントのシステムとローカルエリアネットワークを説明する図である。
【図2】本発明に係るワイヤレスアクセスポイントを説明する図である。
【図3A】本発明に係る一体型指紋リーダー付きネットワークインタフェースカードを伴ったワイヤレスアクセスポイントの図である。
【図3B】本発明に係る外付け指紋リーダーを伴ったワイヤレスアクセスポイントの図である。
【図4】本発明に係る指紋認証及びワイヤレスネットワークアクセスを提供するために図1のシステムを用いたステップを説明するためのフローチャートである。
【図5】本発明に係るシステム管理者に表示可能な管理者ログイン画面を説明する図である、
【図6】本発明に係る管理者に表示可能な管理者ログイン確認画面を説明する図である。
【図7】本発明に係る管理者がシステムにログインして設定を調整する時のステップを説明するためのフローチャートである。
【図8】本発明に係る新規ユーザの登録操作の間、ユーザのために表示可能な新規ユーザ登録画面を説明する図である。
【図9】本発明に係る指紋登録操作の間、ユーザに指紋のスキャンについて指示するために表示可能な画面を説明する図である。
【図10】本発明に係るユーザ登録操作の間、ユーザに指紋のスキャンについての情報を提供するために表示可能な画面を説明する図である。
【図11】本発明に係るユーザ登録処理の最後にユーザに表示可能な確認画面を説明する図である。
【図12】本発明に係る新規ユーザ登録操作の間におけるステップを説明するためのフローチャートである。
【図13】本発明に係る指紋認証を用いてネットワークにログインすることを許可されたユーザに対して表示されるユーザログイン画面を説明する図である。
【図14】本発明に係る指紋認識によるユーザの認証及び有効なユーザに対するワイヤレスネットワークアクセスの許可に関するステップを説明するためのフローチャートである。

【特許請求の範囲】
【請求項1】
管理者コンピュータと複数のユーザコンピュータとを備えるワイヤレスローカルエリアネットワークへのアクセス制限をするためにワイヤレスアクセスポイントを使用する方法であって、
管理者コンピュータにおいてユーザの指紋を採取し、
前記管理者コンピュータから前記ワイヤレスアクセスポイントまで採取された前記指紋を転送し、
前記ワイヤレスアクセスポイントにおいて、前記管理者コンピュータからの採取された前記指紋を格納することにより、前記ワイヤレスアクセスポイントにユーザを登録し、
ユーザコンピュータにおいて、前記ローカルエリアネットワークへログオンする際に使用するために指紋を採取し、
前記ユーザコンピュータから前記ワイヤレスアクセスポイントへ新たに採取された指紋を転送し、
前記アクセスポイントにおいて、新たに採取された前記指紋が有効であるということを示す指紋の一致があるかどうかを判断するために、新たに採取された前記指紋と格納されている前記指紋とを比較して前記ユーザを認証し、
前記ワイヤレスアクセスポイントが新たに採取された前記指紋は有効であると判断した場合に、前記ユーザコンピュータに、前記ローカルエリアネットワークへのワイヤレスネットワークアクセスを提供するために、前記ワイヤレスアクセスポイントを使用し、
前記ワイヤレスアクセスポイントが新たに採取された前記指紋は有効でないと判断した場合に、前記ユーザコンピュータに、前記ローカルエリアネットワークへのワイヤレスネットワークアクセスを拒否するために、前記ワイヤレスアクセスポイントを使用する
ことを特徴とする方法。
【請求項2】
前記ワイヤレスアクセスポイントにおいて前記ユーザを登録することには、前記ユーザの装置上で、該ユーザのために新規ユーザ登録画面を表示することが含まれており、前記新規ユーザ登録画面には、前記ユーザがユーザIDを入力する領域が含まれることを特徴とする請求項1に記載の方法。
【請求項3】
ワイヤレスネットワークアクセスで前記ローカルエリアネットワークに前記ユーザコンピュータを提供するために前記ワイヤレスアクセスポイントを使用することには、ワイヤレスネットワークアクセスで前記ローカルエリアネットワークに前記ユーザコンピュータを提供するためにIEEE 802.11プロトコルを使用することが含まれることを特徴とする請求項1に記載の方法。
【請求項4】
前記管理者コンピュータにおいて前記ユーザの指紋を採取することには、どの指を登録するかを選択可能なオプションを表示することが含まれることを特徴とする請求項1に記載の方法。
【請求項5】
前記管理者コンピュータにおいて前記ユーザの指紋を採取することには、該ユーザの指紋を登録するために、該ユーザのどの指を使用するかを選択するために、指と共に手についてのインタラクティブなグラフィカル表示を用いることが含まれることを特徴とする請求項1に記載の方法。
【請求項6】
前記ワイヤレスアクセスポイントにおけるユーザ登録が完了した時に、前記ユーザのために前記管理者コンピュータで少なくとも1つの確認画面を表示することをさらに含むことを特徴とする請求項1に記載の方法。
【請求項7】
所定ユーザを認証するために前記ワイヤレスアクセスポイントで指紋を採取する時に、何本の指がスキャンされるかを前記管理者に選択させるために前記ワイヤレスアクセスポイントを使用することをさらに含むことを特徴とする請求項1に記載の方法。
【請求項8】
前記ワイヤレスアクセスポイントに対して指紋を採取するために前記ユーザコンピュータに外付けされた指紋スキャナを使用することをさらに含むことを特徴とする請求項1に記載の方法。
【請求項9】
前記ワイヤレスアクセスポイントに対して指紋を採取するために前記ユーザコンピュータ内にある一体型指紋スキャナ付きのネットワークインタフェースカードを使用することをさらに含むことを特徴とする請求項1に記載の方法。
【請求項10】
指紋照合によって前記ワイヤレスアクセスポイントで前記管理者を認証することをさらに含むことを特徴とする請求項1に記載の方法。
【請求項11】
前記ユーザの指紋が前記管理者コンピュータで採取される前に、前記管理者が前記管理者コンピュータに認証のために管理者IDと管理者の指紋とを提供することを特徴とする請求項1に記載の方法。
【請求項12】
複数のユーザのコンピュータを備えるワイヤレスローカルエリアネットワークへのアクセスを制限するためにワイヤレスアクセスポイントを使用する方法であって、
ユーザのコンピュータにおいて前記ユーザの指紋を採取し、
前記コンピュータと前記ワイヤレスアクセスポイントとの間のワイヤレスリンクを超えて、前記指紋を前記ユーザの前記コンピュータから前記ワイヤレスアクセスポイントまで転送し、
前記アクセスポイントにおいて、転送された前記指紋を用いて前記ユーザを認証をする
ことを特徴とする方法。
【請求項13】
登録処理の間、前記ユーザの指紋を採取して前記ワイヤレスアクセスポイントの記憶装置に採取された前記指紋を格納することにより、前記ワイヤレスアクセスポイントに前記ユーザを登録することをさらに含む特徴とする請求項12に記載の方法。
【請求項14】
前記ユーザを認証することには、前記ワイヤレスアクセスポイントにおいて前記ユーザ認証をするためにユーザIDを使用することをさらに含むことを特徴とする請求項12に記載の方法。
【請求項15】
前記ユーザを認証することには、前記アクセスポイントに格納されている前記ユーザの指紋を探すために前記ユーザIDを使用して、一致するかどうかを確認するために探し出された登録ユーザの指紋と転送された前記指紋とを比較することが含まれることを特徴とすることを特徴とする請求項12に記載の方法。
【請求項16】
前記ワイヤレスアクセスポイントが、転送された前記指紋は有効でないと判断した場合に、前記ユーザにエラーメッセージを表示することをさらに含むことを特徴とする請求項12に記載の方法。
【請求項17】
モデムを通じて前記ローカルエリアネットワークを接続してインターネットアクセスするために、前記ワイヤレスアクセスポイントのポートを使用することをさらに含むことを特徴とする請求項12に記載の方法。
【請求項18】
指紋登録中に、どの指を登録するかを選ぶためクリックするグラフィカルな手や指を前記ユーザのために画面表示することをさらに含むことを特徴とする請求項12に記載の方法。
【請求項19】
指紋リーダーで前記ユーザの指紋を採取するために、前記ユーザの指を複数回読み取ることをさらに含むことを特徴とする請求項12に記載の方法。
【請求項20】
前記ワイヤレスアクセスポイントに接続されている管理者コンピュータ上の画面に表示し、
前記画面での管理者とのやり取りに応じて、前記ワイヤレスアクセスポイントにおいて認証をするために、ユーザの指紋情報を採取する時に、何本の指を使用するかを調整する
ことをさらに含むことを特徴とする請求項19に記載の方法。

【図1】
image rotate

【図2】
image rotate

【図3A】
image rotate

【図3B】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図11】
image rotate

【図12】
image rotate

【図13】
image rotate

【図14】
image rotate


【公開番号】特開2006−127502(P2006−127502A)
【公開日】平成18年5月18日(2006.5.18)
【国際特許分類】
【外国語出願】
【出願番号】特願2005−295512(P2005−295512)
【出願日】平成17年10月7日(2005.10.7)
【出願人】(505174666)シモン システムズ インコーポレイテッド (2)
【氏名又は名称原語表記】Shimon Systems Inc.
【住所又は居所原語表記】2870 Zanker Road, Suite 100, San Jose, CA 95134, U. S. A.
【Fターム(参考)】