無線通信装置、無線通信システム、および、ネットワーク装置
【課題】無線通信装置において、他の無線通信装置との暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行う。
【解決手段】無線通信システム1000は、アクセスポイント100と、無線端末200Aと、無線端末200Bとを備える。アクセスポイント100、および、無線端末200Aは、それぞれ、既存のRFIDカード300Aが備えるRFIDタグ310Aから読み出された固有情報に基づいて、同一の変換関数を用いて、共有鍵を一意的に生成し、この共有鍵に基づいて、共通の暗号鍵を生成する。また、アクセスポイント100、および、無線端末200Bは、それぞれ、既存のRFIDカード300Bが備えるRFIDタグ310Bから読み出された固有情報に基づいて、同一の変換関数を用いて、共有鍵を一意的に生成し、この共有鍵に基づいて、共通の暗号鍵を生成する。
【解決手段】無線通信システム1000は、アクセスポイント100と、無線端末200Aと、無線端末200Bとを備える。アクセスポイント100、および、無線端末200Aは、それぞれ、既存のRFIDカード300Aが備えるRFIDタグ310Aから読み出された固有情報に基づいて、同一の変換関数を用いて、共有鍵を一意的に生成し、この共有鍵に基づいて、共通の暗号鍵を生成する。また、アクセスポイント100、および、無線端末200Bは、それぞれ、既存のRFIDカード300Bが備えるRFIDタグ310Bから読み出された固有情報に基づいて、同一の変換関数を用いて、共有鍵を一意的に生成し、この共有鍵に基づいて、共通の暗号鍵を生成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線通信装置、無線通信システム、および、ネットワーク装置に関するものである。
【背景技術】
【0002】
従来、無線LAN(Local Area Network)が普及している。この無線LANにおいて、互いに通信を行う無線通信装置間、例えば、無線LANアクセスポイント(以下、単にアクセスポイントと言う)と無線端末との間では、無線LANへの不正侵入や通信内容の第三者への漏洩を防止するため、暗号化通信が行われる。そして、この暗号化通信では、暗号方式として、共通鍵暗号方式が採用されており、各無線通信装置には、共通の暗号鍵を設定する、もしくは、外部サーバを利用して認証する必要がある。しかし、この暗号鍵の設定は、無線通信装置に精通していないユーザにとって煩雑であったり、困難であったりする。また、暗号鍵の第三者への漏洩を防止する必要がある。そこで、セキュリティを確保しつつ、アクセスポイントや無線端末等の各無線通信装置に共通の暗号鍵を設定する種々の技術が提案されている(例えば、下記特許文献1〜3参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2006−311245号公報
【特許文献2】特開2008−153911号公報
【特許文献3】特開2005−65018号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかし、上記特許文献1に記載された技術では、アクセスポイントから無線端末に暗号鍵を転送するために、これらを有線接続する必要があった。また、上記特許文献2,3に記載された技術では、暗号化通信の設定に用いられる情報を記憶する専用のRFID(Radio Frequency Identification)タグ(ICカード)や、RFIDタグに暗号化通信の設定に用いられる情報を書き込むためのRFIDライタを別途用意する必要があった。そして、上記暗号鍵の設定のための専用のRFIDカードや、RFIDライタを用意することは、ユーザにとって、コスト面での負担が大きかった。そして、このような課題は、無線通信装置における暗号鍵の設定に限られず、ネットワーク装置において、他のネットワーク装置との認証に用いられる認証情報の設定についても生じ得る。
【0005】
本発明は、上述の課題を解決するためになされたものであり、無線通信装置において、他の無線通信装置との暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことが可能な技術を提供することを目的とする。
【0006】
また、本発明は、ネットワーク装置において、他のネットワーク装置との認証に用いられる認証情報の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことが可能な技術を提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
【0008】
[適用例1]無線通信装置であって、固有の情報を保持するRFID(Radio Frequency Identification)タグから読み出された所定の情報を取得する取得部と、前記所定の情報に基づいて、他の無線通信装置との暗号化通信に用いられる暗号鍵を生成する基になる共有鍵を一意的に生成する共有鍵生成部と、前記共有鍵を記憶する共有鍵記憶部と、前記共有鍵を認証情報として用いて、当該無線通信装置と前記他の無線通信装置との認証を行う認証処理部と、前記認証処理部によって、前記認証が成功した場合に、少なくとも前記共有鍵に基づいて、前記暗号鍵を生成する暗号鍵生成部と、前記暗号鍵を用いて、前記暗号化通信を行う通信部と、を備える無線通信装置。
【0009】
適用例1の無線通信装置は、例えば、無線LANにおけるアクセスポイントや、無線端末に適用される。適用例1の無線通信装置では、既存のRFIDタグから読み出された固有の情報に基づいて、共有鍵を一意的に生成し、この共有鍵を認証情報として用いて、他の無線通信装置との認証を行い、認証が成功した場合に、少なくともこの共有鍵に基づいて、暗号鍵を生成し、この暗号鍵を、暗号化通信に用いる暗号鍵として設定するようにすることができる。したがって、無線通信装置に暗号鍵を設定するために、暗号鍵の設定専用のRFIDタグや、このRFIDタグに暗号鍵を書き込むためのRFIDライタ等を用意する必要がない。また、無線通信装置間で、無線空間を経由して、暗号鍵を転送する必要もない。また、無線通信装置への暗号鍵の設定をユーザが手動で行う必要もない。つまり、適用例1の無線通信装置によって、他の無線通信装置との暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことができる。
【0010】
なお、適用例1の無線通信装置において、認証処理部による認証が失敗した場合には、暗号鍵生成部は、暗号鍵の生成を行わない。また、上述した既存のRFIDタグとは、当初、無線通信装置における共有鍵の生成、および、無線通信装置への暗号鍵の設定以外の目的で使用されているRFIDタグを意味している。このようなRFIDタグとしては、例えば、いわゆるIC乗車券や、電子マネーカードや、会員カードや、店舗のポイントカードや、社員カードや、携帯電話機等に備えられたRFIDタグ等が挙げられる。
【0011】
[適用例2]適用例1記載の無線通信装置であって、前記RFIDタグは、前記無線通信装置における前記共有鍵の生成以外の目的で利用されたときに、前記RFIDタグが保持する前記情報の一部が、RFIDライタによって、逐次、更新されるRFIDタグである、無線通信装置。
【0012】
RFIDタグには、上記固有の情報を記憶する記憶領域として、RFIDタグごとに固有に定められた固有番号を記憶する記憶領域と、RFIDライタによって更新可能な情報を記憶する記憶領域が設けられている。そして、例えば、プリペイド型電子マネーサービスに用いられるRFIDタグにおいては、更新可能な情報は、電子マネーサービスを利用するたびに更新される。したがって、適用例2の無線通信装置によって、共有鍵および暗号鍵を頻繁に更新するようにすることができる。この結果、無線通信のセキュリティを向上させることができる。
【0013】
[適用例3]適用例1または2記載の無線通信装置であって、前記所定の情報は、前記RFIDタグを識別可能な識別情報を含み、前記無線通信装置は、さらに、前記識別情報を予め登録する識別情報登録部を備え、前記共有鍵生成部は、前記共有鍵の生成に先立ち、前記所定の情報に含まれる前記識別情報が、前記識別情報登録部に登録されている場合に、前記共有鍵を生成し、前記所定の情報に含まれる前記識別情報が、前記識別情報登録部に登録されていない場合に、前記共有鍵を生成しない、無線通信装置。
【0014】
適用例3の無線通信装置によって、上記暗号鍵の設定に利用可能なRFIDタグを、上記識別情報登録部に予め登録された識別情報を有するRFIDタグだけに制限することができる。この結果、無線通信のセキュリティを向上させることができる。
【0015】
[適用例4]適用例1ないし3のいずれかに記載の無線通信装置であって、さらに、前記共有鍵の有効期限を設定する有効期限設定部を備え、前記共有鍵記憶部は、前記有効期限と関連付けて、前記共有鍵を記憶する、無線通信装置。
【0016】
適用例4の無線通信装置によって、共有鍵を利用可能な期間を制限することができる。そして、無線通信装置による暗号化通信を継続するためには、ユーザは共有鍵の更新が必要となる、すなわち、無線通信装置において、共有鍵および暗号鍵の再生成が必要となる。この結果、無線通信のセキュリティを向上させることができる。なお、有効期限が経過した共有鍵は無効になり、例えば、破棄される。
【0017】
[適用例5]第1の無線通信装置と第2の無線通信装置との間で暗号化通信を行う無線通信システムであって、前記第1および第2の無線通信装置は、固有の情報を保持するRFID(Radio Frequency Identification)タグから読み出された所定の情報を取得する取得部と、前記所定の情報に基づいて、前記暗号化通信に用いられる暗号鍵を生成する基になる共有鍵を一意的に生成する共有鍵生成部と、前記共有鍵を記憶する共有鍵記憶部と、前記共有鍵を認証情報として用いて、当該無線通信装置と他の無線通信装置との認証を行う認証処理部と、前記認証処理部によって、前記認証が成功した場合に、少なくとも前記共有鍵に基づいて、前記暗号鍵を生成する暗号鍵生成部と、前記暗号鍵を用いて、前記暗号化通信を行う通信部と、を備える無線通信システム。
【0018】
なお、適用例5の無線通信システムにおける第1および第2の無線通信装置の少なくとも一方に、先に示した種々の付加的要素を、適宜、適用することが可能である。
【0019】
[適用例6]ネットワーク装置であって、固有の情報を保持するRFID(Radio Frequency Identification)タグから読み出された所定の情報を取得する取得部と、前記所定の情報に基づいて、当該ネットワーク装置と他のネットワーク装置との認証に用いられる認証情報を一意的に生成する認証情報生成部と、前記認証情報を記憶する認証情報記憶部と、前記認証情報を用いて、前記認証を行う認証処理部と、を備えるネットワーク装置。
【0020】
適用例6のネットワーク装置は、例えば、スイッチングハブや、VPN(Virtual Private Network)接続の認証等に適用される。適用例6のネットワーク装置では、既存のRFIDタグから読み出された固有の情報に基づいて、認証情報を一意的に生成し、この認証情報を用いて、他のネットワーク装置との認証を行うことができる。したがって、ネットワーク装置に認証情報を設定するために、認証情報の設定専用のRFIDタグや、このRFIDタグに認証情報を書き込むためのRFIDライタ等を用意する必要がない。また、ネットワーク装置への認証情報の設定をユーザが手動で行う必要もない。つまり、適用例6のネットワーク装置によって、他のネットワーク装置との認証に用いられる認証情報の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことができる。
【0021】
本発明は、上述の無線通信装置、無線通信システム、ネットワーク装置としての構成の他、無線通信装置における暗号鍵の設定方法、ネットワーク装置における認証情報の設定方法の発明として構成することもできる。また、これを実現するコンピュータプログラム、およびそのプログラムを記録した記録媒体、そのプログラムを含み搬送波内に具現化されたデータ信号など種々の態様で実現することが可能である。なお、それぞれの態様において、先に示した種々の付加的要素を適用することが可能である。
【0022】
本発明をコンピュータプログラムまたはそのプログラムを記録した記録媒体等として構成する場合には、無線通信装置の動作を制御するプログラム全体として構成するものとしてもよいし、本発明の機能を果たす部分のみを構成するものとしてもよい。また、記録媒体としては、フレキシブルディスクやCD−ROM、DVD−ROM、光磁気ディスク、ICカード、ROMカートリッジ、バーコードなどの符号が印刷された印刷物、コンピュータの内部記憶装置(RAMやROMなどのメモリ)および外部記憶装置などコンピュータが読み取り可能な種々の媒体を利用できる。
【図面の簡単な説明】
【0023】
【図1】本発明の一実施例としての無線通信システム1000の概略構成を示す説明図である。
【図2】アクセスポイント100の概略構成を示す説明図である。
【図3】無線端末200Aの概略構成を示す説明図である。
【図4】共有鍵設定処理の流れを示すフローチャートである。
【図5】暗号鍵設定処理の流れを示すフローチャートである。
【図6】アクセスポイント100Aの概略構成を示す説明図である。
【図7】共有鍵設定処理の流れを示すフローチャートである。
【図8】アクセスポイント100Bの概略構成を示す説明図である。
【図9】共有鍵設定処理の流れを示すフローチャートである。
【図10】変形例としての無線通信システムの概略構成を示す説明図である。
【図11】変形例としての無線通信システムの概略構成を示す説明図である。
【発明を実施するための形態】
【0024】
以下、本発明の実施の形態について、実施例に基づき説明する。
A.第1実施例:
A1.無線通信システムの構成:
図1は、本発明の一実施例としての無線通信システム1000の概略構成を示す説明図である。図示するように、本実施例の無線通信システム1000は、アクセスポイント100と、無線端末200Aと、無線端末200Bとを備える無線LAN(Local Area Network)を含んでいる。アクセスポイント100には、イーサネットケーブル22(「イーサネット」は、登録商標)を介して、ルータ20が接続されており、アクセスポイント100は、ルータ20を介して、インターネットINTに接続されている。なお、本実施例の無線通信システム1000は、例えば、家庭内や、企業内や、いわゆるホットスポットで利用可能である。
【0025】
アクセスポイント100と無線端末200A,200Bとは、共通鍵暗号方式によって、暗号化通信を行う。このため、アクセスポイント100、および、無線端末200Aには、共通の暗号鍵を設定する必要がある。また、アクセスポイント100、および、無線端末200Bにも、共通の暗号鍵を設定する必要がある。なお、アクセスポイント100と無線端末200Aとの暗号化通信に用いられる暗号鍵と、アクセスポイント100と無線端末200Bとの暗号化通信に用いられる暗号鍵とは、同じであってもよいし、互いに異なっていてもよい。また、これらの暗号鍵の第三者への漏洩を防止することが望まれる。そこで、本実施例の無線通信システム1000では、アクセスポイント100、無線端末200A,200Bへの暗号鍵の設定を、既存のRFID(Radio Frequency Identification)カードに備えられたRFIDタグを利用して行う。
【0026】
本実施例では、既存のRFIDカードとして、NFC(Near Field Communication)規格に準拠したFeliCa(「FeliCa」は、登録商標)を用いるものとした。このFeliCaは、無線LANのユーザが、FeliCaを用いた既存のサービス(例えば、プリペイド型電子マネーサービス)を利用するために、予め所有しているものとする。なお、FeliCaは、RFIDタグとして、パッシブ型のRFIDタグを備えており、このRFIDタグには、固有情報として、RFIDタグごとに固有に定められた固有番号(製造ID(IDm)、製造パラメータ(PMm))および、サービスを利用するたびに更新され得る情報(更新情報)が記憶されている。このようなRFIDタグとしては、例えば、いわゆるIC乗車券や、電子マネーカードや、会員カードや、店舗のポイントカードや、社員カードや、携帯電話機等に備えられたRFIDタグ等が挙げられる。
【0027】
既存のRFIDカードを利用して、アクセスポイント100、無線端末200A,200Bに暗号鍵を設定する仕組みは、以下の通りである。なお、以下で説明するRFIDリーダ10,10A,10Bは、それぞれ、書き込み機能を備えておらず、比較的安価な装置である。
【0028】
アクセスポイント100には、USBケーブル12を介して、RFIDリーダ10が接続されている。RFIDリーダ10は、読み取り部にRFIDカード300Aがかざされたときに、RFIDカード300Aに備えられたRFIDタグ310Aから、固有番号および更新情報を含む固有情報を読み出す。RFIDカード300Aは、いわゆるIC乗車券であり、RFIDタグ310Aに記憶された固有情報に含まれる更新情報は、駅に設置されたRFIDライタによって、乗車ごとに更新される。また、RFIDリーダ10は、読み取り部にRFIDカード300Bがかざされたときに、RFIDカード300Bに備えられたRFIDタグ310Bから、固有番号および更新情報を含む固有情報を読み出す。RFIDカード300Bは、いわゆる電子マネーカードであり、RFIDタグ310Bに記憶された固有情報に含まれる更新情報は、店舗等に設置されたRFIDライタによって、電子マネーの利用ごとに更新される。そして、アクセスポイント100は、RFIDリーダ10によって読み出された固有情報に基づいて、暗号鍵を生成する基になる共有鍵を一意的に生成する。本実施例では、アクセスポイント100は、所定の変換関数を用いて、固有情報から共有鍵を算出するものとした。
【0029】
無線端末200Aには、USBケーブル12Aを介して、RFIDリーダ10Aが接続されている。RFIDリーダ10Aは、読み取り部に、例えば、RFIDカード300Aがかざされたときに、RFIDカード300Aに備えられた310Aから固有番号および更新情報を含む固有情報を読み出す。そして、無線端末200Aは、RFIDリーダ10Aによって読み出された固有情報に基づいて、アクセスポイント100と同じ変換関数を用いて、暗号鍵を生成する基になる共有鍵を一意的に生成する。こうすることによって、アクセスポイント100、および、無線端末200Aに、同一の共有鍵を設定することができる。
【0030】
そして、アクセスポイント100、および、無線端末200Aは、それぞれ、後に、同一の共有鍵に基づいて、共通の暗号鍵を生成し、この暗号鍵を、両者間での暗号化通信に用いる暗号鍵として設定する。
【0031】
無線端末200Bには、USBケーブル12Bを介して、RFIDリーダ10Bが接続されている。RFIDリーダ10Bは、読み取り部に、例えば、RFIDカード300Bがかざされたときに、RFIDカード300Bに備えられた310Bから固有番号および更新情報を含む固有情報を読み出す。そして、無線端末200Bは、RFIDリーダ10Bによって読み出された固有情報に基づいて、アクセスポイント100と同じ変換関数を用いて、暗号鍵を生成する基になる共有鍵を一意的に生成する。こうすることによって、アクセスポイント100、および、無線端末200Bに、同一の共有鍵を設定することができる。
【0032】
そして、アクセスポイント100、および、無線端末200Bは、それぞれ、後に、同一の共有鍵に基づいて、共通の暗号鍵を生成し、この暗号鍵を、両者間での暗号化通信に用いる暗号鍵として設定する。
【0033】
以上説明した仕組みによって、アクセスポイント100、無線端末200A,200Bへの暗号鍵の設定が行われる。
【0034】
A2.アクセスポイントの構成:
図2は、アクセスポイント100の概略構成を示す説明図である。図示するように、アクセスポイント100は、CPU110と、ROM120と、RAM130と、タイマ140と、記憶装置150と、USBホストコントローラ160と、USBポート162と、イーサネットコントローラ170と、WANポート172と、RFデバイス180と、アンテナ182とを備えている。
【0035】
USBホストコントローラ160は、USBポート162に接続されたUSBケーブル12を介して、RFIDリーダ10の動作を制御する。イーサネットコントローラ170は、WANポート172に接続されたイーサネットケーブル22、および、インターネットINTを介して、インターネットINTに接続された図示しない種々のサーバ等との通信を行う。RFデバイス180、および、アンテナ182は、無線端末200A,200Bと無線通信を行う。RFデバイス180は、アンテナ182を介して、無線信号の送受信を行う。
【0036】
CPU110は、アクセスポイント100の全体の制御を行う。また、CPU110は、ROM120に記憶されているコンピュータプログラムを読み出して実行することによって、取得部112、共有鍵生成部114、認証処理部116、暗号鍵生成部118として機能し、後述する共有鍵設定処理、および、暗号鍵設定処理を実行する。
【0037】
取得部112は、RFIDリーダ10によって読み出された固有番号および更新情報を含む固有情報を取得する。共有鍵生成部114は、取得部112によって取得された固有情報に基づいて、共有鍵(PMK;Pairwise Master Key)を一意的に生成する。本実施例では、取得部112は、512ビット以上の所定ビットの固有情報を取得し、共有鍵生成部114は、所定の変換関数を用いて、固有情報から512ビットの鍵長を有する共有鍵を一意的に算出するものとした。共有鍵生成部114によって生成された共有鍵は、記憶装置150に記憶される。図2中に、RFIDカード300Aが備えるRFIDタグ310Aから読み出された固有情報に基づいて生成された共有鍵PMKaや、RFIDカード300Bが備えるRFIDタグ310Bから読み出された固有情報に基づいて生成された共有鍵PMKb等が記憶されていることを示した。なお、記憶装置150としては、例えば、書き換え可能な不揮発性のメモリ(例えば、フラッシュメモリ)が用いられる。
【0038】
認証処理部116は、アクセスポイント100と無線端末200A,200Bとの暗号化通信に先立って、共有鍵を含むパケットのやり取りを行い、共有鍵を認証情報として用いて、認証処理を行う。アクセスポイント100と通信相手の無線端末とが同一の共有鍵を所有している場合に、認証は成功する。暗号鍵生成部118は、認証が成功した場合に、無線相手の無線端末が所有する共有鍵と同一の共有鍵、アクセスポイント100のMACアドレス、SSID(Service Set Identifier)等に基づいて、暗号鍵を生成する。
【0039】
A3.無線端末の構成:
図3は、無線端末200Aの概略構成を示す説明図である。なお、無線端末200Bの構成は、無線端末200Aの構成と同じである。無線端末200A,200Bは、例えば、パーソナルコンピュータに、いわゆる無線LANカードを装着することによって構成される。図示するように、無線端末200Aは、CPU210と、ROM220と、RAM230と、タイマ240と、ハードディスク250と、USBホストコントローラ260と、USBポート262と、RFデバイス280と、アンテナ282とを備えている。
【0040】
USBホストコントローラ260は、USBポート262に接続されたUSBケーブル12Aを介して、RFIDリーダ10Aの動作を制御する。RFデバイス280、および、アンテナ282は、アクセスポイント100と無線通信を行う。RFデバイス280は、アンテナ282を介して、無線信号の送受信を行う。
【0041】
CPU210は、無線端末200Aの全体の制御を行う。また、CPU210は、ROM220、あるいは、ハードディスク250に記憶されているコンピュータプログラムを読み出して実行することによって、取得部212、共有鍵生成部214、認証処理部216、暗号鍵生成部218として機能し、後述する共有鍵設定処理、および、暗号鍵設定処理を実行する。
【0042】
取得部212は、RFIDリーダ10Aによって読み出された固有番号および更新情報を含む固有情報を取得する。共有鍵生成部214は、取得部212によって取得された固有情報に基づいて、共有鍵(PMK;Pairwise Master Key)を一意的に生成する。なお、共有鍵生成部214は、先に説明したアクセスポイント100における共有鍵生成部114と同じ変換関数を用いて、共有鍵の生成を行う。共有鍵生成部214によって生成された共有鍵は、ハードディスク250に記憶される。図3中に、RFIDカード300Aが備えるRFIDタグ310Aから読み出された固有情報に基づいて生成された共有鍵PMKaが記憶されていることを示した。
【0043】
認証処理部216は、無線端末200Aとアクセスポイント100との暗号化通信に先立って、共有鍵を含むパケットのやり取りを行い、共有鍵を認証情報として用いて、認証処理を行う。無線端末200Aとアクセスポイント100とが同一の共有鍵を所有している場合に、認証は成功する。暗号鍵生成部218は、認証が成功した場合に、自己が所有する共有鍵、アクセスポイント100のMACアドレス、SSID等に基づいて、暗号鍵を生成する。
【0044】
A4.共有鍵設定処理:
図4は、共有鍵設定処理の流れを示すフローチャートである。この処理は、アクセスポイント100のCPU110、および、無線端末(無線端末200A,200B)のCPU210が、暗号化通信に用いられる暗号鍵を生成する基になる共有鍵を設定する処理である。ここでは、アクセスポイント100のCPU110が実行する処理について説明する。
【0045】
まず、取得部112は、RFIDリーダ10によって読み出された固有番号および更新情報を含む固有情報を取得する(ステップS100)。次に、共有鍵生成部114は、先に説明したように、取得部112によって取得された固有情報に基づいて、共有鍵を一意的に生成し(ステップS110)、この共有鍵を記憶装置150に記憶する(ステップS120)。そして、共有鍵設定処理は、終了する。なお、以上の処理は、無線端末200A(あるいは、無線端末200B)のCPU210(取得部212、共有鍵生成部214)によっても同様に実行される。こうすることによって、アクセスポイント100、および、無線端末200A(あるいは、無線端末200B)に、同一の共有鍵を設定することができる。
【0046】
A5.暗号鍵設定処理:
図5は、暗号鍵設定処理の流れを示すフローチャートである。図5の左側に、無線端末200A(あるいは、無線端末200B)における処理を示し、図5の右側に、アクセスポイント100における処理を示した。なお、ここでは、アクセスポイント100、および、無線端末200A(あるいは、無線端末200B)には、先に説明した共有鍵設定処理によって、既に同一の共有鍵が設定されているものとする。
【0047】
まず、無線端末200A(あるいは、無線端末200B)の認証処理部216とアクセスポイント100の認証処理部116とは、4−Way−Handshake方式によって認証処理を実行する(ステップS200,ステップS300)。なお、無線端末200A(あるいは、無線端末200B)、および、アクセスポイント100は、認証処理時の共有鍵の交換に、EAPOL−Key(EAPOL;Extensible Authentication Protocol over LAN)を用いる。
【0048】
次に、無線端末200A(あるいは、無線端末200B)は、自己が所有する共有鍵、アクセスポイント100のMACアドレス、SSID等に基づいて、暗号鍵を生成する(ステップS210)。また、アクセスポイント100も、無線端末200A(あるいは、無線端末200B)が所有する共有鍵と同一の共有鍵、アクセスポイント100のMACアドレス、SSID等に基づいて、暗号鍵を生成する(ステップS310)。そして、暗号鍵設定処理は終了する。以上の処理によって、アクセスポイント100、および、無線端末200A(あるいは、無線端末200B)に、共通の暗号鍵を設定することができる。そして、無線端末200A(あるいは、無線端末200B)と、アクセスポイント100とは、それぞれ、設定された共通の暗号鍵を用いて、暗号化通信を行うことができる。
【0049】
以上説明した本実施例の無線通信システム1000によれば、アクセスポイント100、および、無線端末200A,200Bが、既存のRFIDカード300Aが備えるRFIDタグ310A、あるいは、RFIDカード300Bが備えるRFIDタグ310Bから読み出された固有情報に基づいて、共有鍵を一意的に生成し、この共有鍵を認証情報として用いて認証を行い、認証が成功した場合に、少なくともこの共有鍵に基づいて、暗号鍵を生成し、この暗号鍵を、暗号化通信に用いる暗号鍵として設定することができる。したがって、アクセスポイント100、および、無線端末200A,200Bに暗号鍵を設定するために、ハードウェアとしては、既存のRFIDカードと、比較的安価なRFIDリーダ10,10A,10Bとを用意すればよく、暗号鍵の設定専用のRFIDタグや、このRFIDタグに暗号鍵を書き込むためのRFIDライタ等を用意する必要がない。また、アクセスポイント100と無線端末200A,200Bとの間で、無線空間を経由して、暗号鍵を転送する必要もない。また、アクセスポイント100、および、無線端末200A,200Bへの暗号鍵の設定をユーザが手動で行う必要もない。つまり、本実施例の無線通信システム1000によって、暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことができる。
【0050】
また、本実施例の無線通信システム1000では、RFIDカード300A,300Bとして、RFIDタグを用いた既存のサービスに用いられるRFIDタグを利用しているので、このRFIDタグが記憶する固有情報に含まれる更新情報は、サービスを利用するたびに更新される。したがって、本実施例の無線通信システム1000によって、アクセスポイント100、および、無線端末200A,200Bが所有する共有鍵および暗号鍵を頻繁に更新するようにすることができる。この結果、アクセスポイント100と、無線端末200A,200Bとの間での無線通信のセキュリティを向上させることができる。
【0051】
B.第2実施例:
B1.無線通信システムの構成:
第2実施例の無線通信システムのハードウェア構成は、第1実施例の無線通信システム1000のハードウェア構成と同じである(図示省略)。ただし、第2実施例の無線通信システムは、第1実施例の無線通信システム1000におけるアクセスポイント100の代わりに、アクセスポイント100Aを備えている。そして、アクセスポイント100Aが実行する共有鍵設定処理が、アクセスポイント100が実行する共有鍵設定処理と一部異なっている。以下、アクセスポイント100Aの構成、および、共有鍵設定処理について説明する。
【0052】
B2.アクセスポイントの構成:
図6は、アクセスポイント100Aの概略構成を示す説明図である。図6と図2との比較から分かるように、アクセスポイント100AのCPU110は、アクセスポイント100のCPU110における共有鍵生成部114の代わりに、共有鍵生成部114Aを備えている。また、記憶装置150には、予め、共有鍵の生成を許可すべきRFIDタグの製造ID(識別情報)が登録されている。例えば、アクセスポイント100Aに、RFIDタグの製造IDを登録するためのコンピュータプログラムや、このコンピュータプログラムを起動するための操作ボタンを備えるようにし、この操作ボタンをアクセスポイント100Aの管理者が操作して、共有鍵の生成を許可すべきRFIDタグの製造IDをRFIDリーダ10によって読み出して、この製造IDを登録する。図6中に、RFIDカード300Aが備えるRFIDタグ310Aに記憶された製造ID(IDma)、RFIDカード300Bが備えるRFIDタグ310Bに記憶された製造ID(IDmb)等が、共有鍵の生成を許可すべきRFIDタグの製造IDとして登録されていることを示した。そして、共有鍵生成部114Aは、取得部112によって取得された固有情報に含まれる製造IDが、共有鍵の生成を許可すべき製造IDとして登録されている場合に、共有鍵の生成を行う。一方、共有鍵生成部114Aは、取得部112によって取得された固有情報に含まれる製造IDが、共有鍵の生成を許可すべき製造IDとして登録されていない場合には、共有鍵の生成を行わない。このとき、CPU110は、LEDやブザー等の報知部(図示省略)を動作させて、取得部112によって取得された固有情報に含まれる製造IDが、共有鍵の生成を許可すべき製造IDとして未登録であること、つまり、共有鍵を生成できないことを、ユーザへ通知する。
【0053】
B3.共有鍵設定処理:
図7は、共有鍵設定処理の流れを示すフローチャートである。この処理は、アクセスポイント100AのCPU110が、暗号化通信に用いられる暗号鍵を生成する基になる共有鍵を設定する処理である。
【0054】
まず、取得部112は、RFIDリーダ10によって読み出された固有番号および更新情報を含む固有情報を取得する(ステップS100)。次に共有鍵生成部114Aは、取得部112によって取得された固有情報に含まれる製造ID(IDm)が、共有鍵の生成を許可すべき製造IDとして登録されているか否かを判断する(ステップS102)。そして、取得部112によって取得された固有情報に含まれる製造IDが、共有鍵の生成を許可すべき製造IDとして登録されていない場合には(ステップS102:NO)、共有鍵生成部114は、共有鍵の生成を行わずに共有鍵設定処理を終了する。このとき、CPU110は、報知部を動作させて、共有鍵を生成できないことをユーザに通知する。一方、取得部112によって取得された固有情報に含まれる製造IDが、共有鍵の生成を許可すべき製造IDとして登録されている場合には(ステップS102:YES)、共有鍵生成部114は、先に説明したように、取得部112によって取得された固有情報に基づいて、共有鍵を一意的に生成し(ステップS110)、この共有鍵を記憶装置150に記憶する(ステップS120)。そして、共有鍵設定処理は、終了する。
【0055】
以上説明した第2実施例の無線通信システムによっても、第1実施例の無線通信システム1000と同様に、暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことができる。
【0056】
また、第2実施例の無線通信システムでは、アクセスポイント100Aは、共有鍵設定処理において、取得された固有情報に含まれる製造IDが、共有鍵の生成を許可すべきRFIDタグの製造IDとして登録されていない場合に、共有鍵の生成、および、暗号鍵の生成を行わないので、暗号鍵の設定に利用可能なRFIDタグを、予め登録された製造IDを有するRFIDタグだけに制限することができる。換言すれば、製造IDが予め登録されたRFIDタグを所有するユーザしか第2実施例の無線通信システムを利用できない。この結果、無線通信のセキュリティを向上させることができる。
【0057】
C.第3実施例:
C1.無線通信システムの構成:
第3実施例の無線通信システムのハードウェア構成は、第1実施例の無線通信システム1000のハードウェア構成と同じである(図示省略)。ただし、第3実施例の無線通信システムは、第1実施例の無線通信システム1000におけるアクセスポイント100の代わりに、アクセスポイント100Bを備えている。そして、アクセスポイント100Bが実行する共有鍵設定処理が、アクセスポイント100が実行する共有鍵設定処理と一部異なっている。以下、アクセスポイント100Bの構成、および、共有鍵設定処理について説明する。
【0058】
C2.アクセスポイントの構成:
図8は、アクセスポイント100Bの概略構成を示す説明図である。図8と図2との比較から分かるように、アクセスポイント100BのCPU110は、アクセスポイント100のCPU110の構成に加えて、共有鍵の有効期限を設定する有効期限設定部115を備えている。そして、記憶装置150には、共有鍵生成部114によって生成された共有鍵が、有効期限設定部115によって設定された有効期限、および、取得部112によって取得された固有情報に含まれる製造ID(識別情報)と対応付けて記憶される。そして、記憶装置150に記憶された共有鍵は、その有効期限が過ぎると破棄される。なお、アクセスポイント100Bにおける有効期限設定部115と同様の構成を、無線端末200A,200Bにも適用するようにしてもよい。
【0059】
C3.共有鍵設定処理:
図9は、共有鍵設定処理の流れを示すフローチャートである。この処理は、アクセスポイント100BのCPU110が、暗号化通信に用いられる暗号鍵を生成する基になる共有鍵を設定する処理である。
【0060】
まず、取得部112は、RFIDリーダ10によって読み出された固有番号および更新情報を含む固有情報を取得する(ステップS100)。次に、共有鍵生成部114は、先に説明したように、取得部112によって取得された固有情報に基づいて、共有鍵を一意的に生成する(ステップS110)。そして、有効期限設定部115は、生成された共有鍵について、有効期限を設定する(ステップS112)。共有鍵の有効期限は、例えば、共有鍵の生成から24時間、共有鍵を生成した次の日の午前0時等、任意に設定可能である。そして、共有鍵生成部114は、有効期限、および、識別情報と対応付けて、共有鍵を記憶装置150に記憶する(ステップS130)。そして、共有鍵設定処理は、終了する。
【0061】
以上説明した第3実施例の無線通信システムによっても、第1実施例の無線通信システム1000と同様に、暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことができる。
【0062】
また、第3実施例の無線通信システムでは、アクセスポイント100Aは、共有鍵設定処理において、共有鍵に有効期限を設定するので、共有鍵を利用可能な期間を制限することができる。そして、ユーザは、アクセスポイント100A等を用いた暗号化通信を継続するために、再度、共有鍵および暗号鍵の生成をアクセスポイント100A等に行わせなければならず、それにより、アクセスポイント100A等では、新たな共有鍵および暗号鍵が生成される。この結果、無線通信のセキュリティを向上させることができる。
【0063】
D.変形例:
以上、本発明のいくつかの実施の形態について説明したが、本発明はこのような実施の形態になんら限定されるものではなく、その要旨を逸脱しない範囲内において種々なる態様での実施が可能である。例えば、以下のような変形が可能である。
【0064】
D1.変形例1:
上記実施例では、共有鍵および暗号鍵の設定に利用されるRFIDタグとして、RFIDタグを用いた既存のサービスを利用するたびに保持する情報の一部(更新情報)が更新されるRFIDタグ(FeliCa)を用いるものとしたが、本発明は、これに限られない。保持する情報が更新されないRFIDタグを用いるようにしてもよい。また、RFIDタグの規格は、FeliCaに限られず、Mifare(「Mifare」は登録商標)等、他の規格であってもよい。また、RFIDタグは、NFC規格に準拠していなくてもよい。
【0065】
D2.変形例2:
上記実施例では、アクセスポイント100,100A,100B、および、無線端末200A,200Bは、512ビットの鍵長を有する共有鍵を生成するものとしたが、共有鍵の鍵長は、要求される強度に応じて、任意に設定可能である。
【0066】
D3.変形例3:
第2実施例のアクセスポイント100Aの構成と第3実施例のアクセスポイント100Bの構成とを組み合わせるようにしてもよい。すなわち、アクセスポイントのCPU110が、取得部112と、共有鍵生成部114Aと、有効期限設定部115と、認証処理部116と、暗号鍵生成部118とを備え、記憶装置150が、予め、共有鍵の生成を許可すべき製造IDを記憶しておき、また、共有鍵と有効期限とを対応付けて記憶する構成である。こうすることによって、暗号鍵の設定に利用可能なRFIDタグを制限するとともに、共有鍵を利用可能な期間を制限することが可能となり、無線通信のセキュリティをさらに向上させることができる。
【0067】
D4.変形例4:
上記実施例では、アクセスポイントや無線端末にRFIDリーダが接続されるものとしたが、本発明は、これに限られない。アクセスポイントや無線端末にRFIDリーダが内蔵されるものとしてもよい。
【0068】
D5.変形例5:
上記第1実施例では、1台のアクセスポイント100が、取得部112と、共有鍵生成部114と、認証処理部116と、暗号鍵生成部118とを備えるものとしたが、本発明は、これに限られない。複数のアクセスポイントが、取得部112と、共有鍵生成部114と、認証処理部116と、暗号鍵生成部118の機能を分担して備えるようにしてもよい。このことは、第2実施例のアクセスポイント100A、および、第3実施例のアクセスポイント100Bについても同様である。
【0069】
図10は、変形例としての無線通信システムの概略構成を示す説明図である。本変形例の無線通信システムは、第1のアクセスポイントと、第2のアクセスポイントと、無線端末と、を備えている。そして、第1のアクセスポイントには、RFIDリーダが接続されており、第1のアクセスポイントと、第2のアクセスポイントとは、有線接続されている。そして、図示は省略しているが、第1のアクセスポイントは、先に説明した取得部112と、共有鍵生成部114とを備え、第2のアクセスポイントは、先に説明した認証処理部116と、暗号鍵生成部118とを備えている。
【0070】
第1のアクセスポイントは、第1のアクセスポイントに接続されたRFIDリーダによって、RFIDカードから読み出された固有情報に基づいて、共有鍵を生成する。この共有鍵は、有線によって、第2のアクセスポイントに送信される。また、無線端末も、無線端末に接続されたRFIDリーダによって、RFIDカードから読み出された固有情報に基づいて、共有鍵を生成する。このとき、第2のアクセスポイント、および、無線端末には、同一の共有鍵が設定されることになる。そして、第2のアクセスポイントと無線端末とは、共有鍵を用いて認証処理を行う。そして、認証が成功した場合に、第2のアクセスポイント、および、無線端末は、保持する共有鍵等に基づいて、両者間での暗号化通信に用いられる暗号鍵を生成する。このようにすることによっても、上記実施例と同様に、暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことができる。
【0071】
なお、本変形例において、第2のアクセスポイントは、生成した暗号鍵を、有線によって、第1のアクセスポイントに送信するようにしてもよい。こうすることによって、無線端末は、第1のアクセスポイントとも第2のアクセスポイントとも暗号化通信を行うことができる。
【0072】
また、第1のアクセスポイントが、先に説明した取得部112を備え、第2のアクセスポイントが、先に説明した共有鍵生成部114と、認証処理部116と、暗号鍵生成部118とを備えるようにしてもよい。この場合、第2のアクセスポイントは、第1のアクセスポイントから有線によって送信された固有情報を受信して、共有鍵の生成、認証、暗号鍵の生成を行うようにすればよい。
【0073】
また、第1のアクセスポイントが、先に説明した取得部112と、共有鍵生成部114と、認証処理部116と、暗号鍵生成部118とを備え、生成した暗号鍵を、有線によって、第2のアクセスポイントに送信するようにしてもよい。また、第2のアクセスポイントにもRFIDリーダを接続し、第1のアクセスポイントと、第2のアクセスポイントとの双方が、先に説明した取得部112と、共有鍵生成部114と、認証処理部116と、暗号鍵生成部118とを備え、固有情報、共有鍵、暗号鍵の少なくとも1つを、適宜、互いに送受信するようにしてもよい。このような構成によって、複数のアクセスポイントが互いに接続された無線LANのユーザの利便性を向上させることができる。
【0074】
D6.変形例6:
上記実施例では、例えば、アクセスポイント100が、取得部112と、共有鍵生成部114と、認証処理部116と、暗号鍵生成部118とを備えるものとしたが、本発明は、これに限られない。例えば、アクセスポイントに有線接続された他の装置が、取得部112と、共有鍵生成部114との機能を備え、アクセスポイントが、認証処理部116と、暗号鍵生成部118とを備えるようにしてもよい。この場合、他の装置が、先に説明した共有鍵設定処理を実行し、アクセスポイントは、他の装置によって生成された共有鍵を取得して、先に説明した認証処理を含む暗号鍵設定処理を実行するようにすればよい。
【0075】
図11は、変形例としての無線通信システムの概略構成を示す説明図である。本変形例の無線通信システムは、アクセスポイントと、社員認証装置と、無線端末とを備えている。社員認証装置は、会社の社員通用口付近に設置されており、RFIDリーダによって、社員証としてのRFIFカードから読み出した固有情報に基づいて、RFIDカードの所有者の居室への入室の可否を判断する。また、アクセスポイントと、無線端末とは、居室内に設置されており、アクセスポイントと、社員認証装置とは、有線接続されている。そして、図示は省略しているが、社員認証装置は、先に説明した取得部112と、共有鍵生成部114とを備え、アクセスポイントは、先に説明した認証処理部116と、暗号鍵生成部118とを備えている。
【0076】
社員認証装置は、RFIDカードの所有者の居室への入室が許可された場合に、RFIDリーダによって、RFIDカードから読み出された固有情報に基づいて、共有鍵を生成する。この共有鍵は、有線によって、アクセスポイントに送信される。また、無線端末も、無線端末に接続されたRFIDリーダによって、RFIDカードから読み出された固有情報に基づいて、共有鍵を生成する。このとき、アクセスポイント、および、無線端末には、同一の共有鍵が設定されることになる。そして、アクセスポイントと無線端末とは、共有鍵を用いて認証処理を行う。そして、認証が成功した場合に、アクセスポイント、および、無線端末は、保持する共有鍵等に基づいて、両者間での暗号化通信に用いられる暗号鍵を生成する。このようにすることによっても、上記実施例と同様に、暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことができる。
【0077】
D7.変形例7:
上記実施例の無線通信システム1000において、無線LAN以外に、有線LANを含むようにしてもよい。この有線LANは、例えば、スイッチングハブ等のネットワーク装置を備える。この場合、上記実施例におけるRFIDタグやRFIDリーダを用いた認証方法を、例えば、スイッチングハブや、VPN(Virtual Private Network)接続の認証等に利用することもできる。すなわち、上記実施例におけるアクセスポイント100等と同様に、ネットワーク装置が、RFIDタグから読み出された固有情報を取得する取得部(例えば、アクセスポイント100における取得部112に対応)と、固有情報に基づいて他のネットワーク装置との認証に用いられる認証情報を生成する認証情報生成部(例えば、アクセスポイント100における共有鍵生成部114に対応)と、認証情報を記憶する認証情報記憶部(例えば、アクセスポイント100における記憶装置150に対応)と、認証情報を用いて、他のネットワーク装置との認証を行う認証処理部(例えば、アクセスポイント100における認証処理部116に対応)と、を備えるようにすればよい。
【0078】
D8.変形例8:
上記実施例において、ハードウェアによって実現されていた構成の一部をソフトウェアに置き換えるようにしてもよく、逆に、ソフトウェアによって実現されていた構成の一部をハードウェアに置き換えるようにしてもよい。
【符号の説明】
【0079】
1000…無線通信システム
10,10A,10B…RFIDリーダ
12,12A,12B…USBケーブル
20…ルータ
22…イーサネットケーブル
100,100A,100B…アクセスポイント
110…CPU
112…取得部
114,114A…共有鍵生成部
115…有効期限設定部
116…認証処理部
118…暗号鍵生成部
120…ROM
130…RAM
140…タイマ
150…記憶装置
160…USBホストコントローラ
162…USBポート
170…イーサネットコントローラ
172…WANポート
180…RFデバイス
182…アンテナ
200A,200B…無線端末
210…CPU
212…取得部
214…共有鍵生成部
216…認証処理部
218…暗号鍵生成部
220…ROM
230…RAM
240…タイマ
250…ハードディスク
260…USBホストコントローラ
262…USBポート
280…RFデバイス
282…アンテナ
300A,300B…RFIDカード
310A,310B…RFIDタグ
INT…インターネット
【技術分野】
【0001】
本発明は、無線通信装置、無線通信システム、および、ネットワーク装置に関するものである。
【背景技術】
【0002】
従来、無線LAN(Local Area Network)が普及している。この無線LANにおいて、互いに通信を行う無線通信装置間、例えば、無線LANアクセスポイント(以下、単にアクセスポイントと言う)と無線端末との間では、無線LANへの不正侵入や通信内容の第三者への漏洩を防止するため、暗号化通信が行われる。そして、この暗号化通信では、暗号方式として、共通鍵暗号方式が採用されており、各無線通信装置には、共通の暗号鍵を設定する、もしくは、外部サーバを利用して認証する必要がある。しかし、この暗号鍵の設定は、無線通信装置に精通していないユーザにとって煩雑であったり、困難であったりする。また、暗号鍵の第三者への漏洩を防止する必要がある。そこで、セキュリティを確保しつつ、アクセスポイントや無線端末等の各無線通信装置に共通の暗号鍵を設定する種々の技術が提案されている(例えば、下記特許文献1〜3参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2006−311245号公報
【特許文献2】特開2008−153911号公報
【特許文献3】特開2005−65018号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかし、上記特許文献1に記載された技術では、アクセスポイントから無線端末に暗号鍵を転送するために、これらを有線接続する必要があった。また、上記特許文献2,3に記載された技術では、暗号化通信の設定に用いられる情報を記憶する専用のRFID(Radio Frequency Identification)タグ(ICカード)や、RFIDタグに暗号化通信の設定に用いられる情報を書き込むためのRFIDライタを別途用意する必要があった。そして、上記暗号鍵の設定のための専用のRFIDカードや、RFIDライタを用意することは、ユーザにとって、コスト面での負担が大きかった。そして、このような課題は、無線通信装置における暗号鍵の設定に限られず、ネットワーク装置において、他のネットワーク装置との認証に用いられる認証情報の設定についても生じ得る。
【0005】
本発明は、上述の課題を解決するためになされたものであり、無線通信装置において、他の無線通信装置との暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことが可能な技術を提供することを目的とする。
【0006】
また、本発明は、ネットワーク装置において、他のネットワーク装置との認証に用いられる認証情報の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことが可能な技術を提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
【0008】
[適用例1]無線通信装置であって、固有の情報を保持するRFID(Radio Frequency Identification)タグから読み出された所定の情報を取得する取得部と、前記所定の情報に基づいて、他の無線通信装置との暗号化通信に用いられる暗号鍵を生成する基になる共有鍵を一意的に生成する共有鍵生成部と、前記共有鍵を記憶する共有鍵記憶部と、前記共有鍵を認証情報として用いて、当該無線通信装置と前記他の無線通信装置との認証を行う認証処理部と、前記認証処理部によって、前記認証が成功した場合に、少なくとも前記共有鍵に基づいて、前記暗号鍵を生成する暗号鍵生成部と、前記暗号鍵を用いて、前記暗号化通信を行う通信部と、を備える無線通信装置。
【0009】
適用例1の無線通信装置は、例えば、無線LANにおけるアクセスポイントや、無線端末に適用される。適用例1の無線通信装置では、既存のRFIDタグから読み出された固有の情報に基づいて、共有鍵を一意的に生成し、この共有鍵を認証情報として用いて、他の無線通信装置との認証を行い、認証が成功した場合に、少なくともこの共有鍵に基づいて、暗号鍵を生成し、この暗号鍵を、暗号化通信に用いる暗号鍵として設定するようにすることができる。したがって、無線通信装置に暗号鍵を設定するために、暗号鍵の設定専用のRFIDタグや、このRFIDタグに暗号鍵を書き込むためのRFIDライタ等を用意する必要がない。また、無線通信装置間で、無線空間を経由して、暗号鍵を転送する必要もない。また、無線通信装置への暗号鍵の設定をユーザが手動で行う必要もない。つまり、適用例1の無線通信装置によって、他の無線通信装置との暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことができる。
【0010】
なお、適用例1の無線通信装置において、認証処理部による認証が失敗した場合には、暗号鍵生成部は、暗号鍵の生成を行わない。また、上述した既存のRFIDタグとは、当初、無線通信装置における共有鍵の生成、および、無線通信装置への暗号鍵の設定以外の目的で使用されているRFIDタグを意味している。このようなRFIDタグとしては、例えば、いわゆるIC乗車券や、電子マネーカードや、会員カードや、店舗のポイントカードや、社員カードや、携帯電話機等に備えられたRFIDタグ等が挙げられる。
【0011】
[適用例2]適用例1記載の無線通信装置であって、前記RFIDタグは、前記無線通信装置における前記共有鍵の生成以外の目的で利用されたときに、前記RFIDタグが保持する前記情報の一部が、RFIDライタによって、逐次、更新されるRFIDタグである、無線通信装置。
【0012】
RFIDタグには、上記固有の情報を記憶する記憶領域として、RFIDタグごとに固有に定められた固有番号を記憶する記憶領域と、RFIDライタによって更新可能な情報を記憶する記憶領域が設けられている。そして、例えば、プリペイド型電子マネーサービスに用いられるRFIDタグにおいては、更新可能な情報は、電子マネーサービスを利用するたびに更新される。したがって、適用例2の無線通信装置によって、共有鍵および暗号鍵を頻繁に更新するようにすることができる。この結果、無線通信のセキュリティを向上させることができる。
【0013】
[適用例3]適用例1または2記載の無線通信装置であって、前記所定の情報は、前記RFIDタグを識別可能な識別情報を含み、前記無線通信装置は、さらに、前記識別情報を予め登録する識別情報登録部を備え、前記共有鍵生成部は、前記共有鍵の生成に先立ち、前記所定の情報に含まれる前記識別情報が、前記識別情報登録部に登録されている場合に、前記共有鍵を生成し、前記所定の情報に含まれる前記識別情報が、前記識別情報登録部に登録されていない場合に、前記共有鍵を生成しない、無線通信装置。
【0014】
適用例3の無線通信装置によって、上記暗号鍵の設定に利用可能なRFIDタグを、上記識別情報登録部に予め登録された識別情報を有するRFIDタグだけに制限することができる。この結果、無線通信のセキュリティを向上させることができる。
【0015】
[適用例4]適用例1ないし3のいずれかに記載の無線通信装置であって、さらに、前記共有鍵の有効期限を設定する有効期限設定部を備え、前記共有鍵記憶部は、前記有効期限と関連付けて、前記共有鍵を記憶する、無線通信装置。
【0016】
適用例4の無線通信装置によって、共有鍵を利用可能な期間を制限することができる。そして、無線通信装置による暗号化通信を継続するためには、ユーザは共有鍵の更新が必要となる、すなわち、無線通信装置において、共有鍵および暗号鍵の再生成が必要となる。この結果、無線通信のセキュリティを向上させることができる。なお、有効期限が経過した共有鍵は無効になり、例えば、破棄される。
【0017】
[適用例5]第1の無線通信装置と第2の無線通信装置との間で暗号化通信を行う無線通信システムであって、前記第1および第2の無線通信装置は、固有の情報を保持するRFID(Radio Frequency Identification)タグから読み出された所定の情報を取得する取得部と、前記所定の情報に基づいて、前記暗号化通信に用いられる暗号鍵を生成する基になる共有鍵を一意的に生成する共有鍵生成部と、前記共有鍵を記憶する共有鍵記憶部と、前記共有鍵を認証情報として用いて、当該無線通信装置と他の無線通信装置との認証を行う認証処理部と、前記認証処理部によって、前記認証が成功した場合に、少なくとも前記共有鍵に基づいて、前記暗号鍵を生成する暗号鍵生成部と、前記暗号鍵を用いて、前記暗号化通信を行う通信部と、を備える無線通信システム。
【0018】
なお、適用例5の無線通信システムにおける第1および第2の無線通信装置の少なくとも一方に、先に示した種々の付加的要素を、適宜、適用することが可能である。
【0019】
[適用例6]ネットワーク装置であって、固有の情報を保持するRFID(Radio Frequency Identification)タグから読み出された所定の情報を取得する取得部と、前記所定の情報に基づいて、当該ネットワーク装置と他のネットワーク装置との認証に用いられる認証情報を一意的に生成する認証情報生成部と、前記認証情報を記憶する認証情報記憶部と、前記認証情報を用いて、前記認証を行う認証処理部と、を備えるネットワーク装置。
【0020】
適用例6のネットワーク装置は、例えば、スイッチングハブや、VPN(Virtual Private Network)接続の認証等に適用される。適用例6のネットワーク装置では、既存のRFIDタグから読み出された固有の情報に基づいて、認証情報を一意的に生成し、この認証情報を用いて、他のネットワーク装置との認証を行うことができる。したがって、ネットワーク装置に認証情報を設定するために、認証情報の設定専用のRFIDタグや、このRFIDタグに認証情報を書き込むためのRFIDライタ等を用意する必要がない。また、ネットワーク装置への認証情報の設定をユーザが手動で行う必要もない。つまり、適用例6のネットワーク装置によって、他のネットワーク装置との認証に用いられる認証情報の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことができる。
【0021】
本発明は、上述の無線通信装置、無線通信システム、ネットワーク装置としての構成の他、無線通信装置における暗号鍵の設定方法、ネットワーク装置における認証情報の設定方法の発明として構成することもできる。また、これを実現するコンピュータプログラム、およびそのプログラムを記録した記録媒体、そのプログラムを含み搬送波内に具現化されたデータ信号など種々の態様で実現することが可能である。なお、それぞれの態様において、先に示した種々の付加的要素を適用することが可能である。
【0022】
本発明をコンピュータプログラムまたはそのプログラムを記録した記録媒体等として構成する場合には、無線通信装置の動作を制御するプログラム全体として構成するものとしてもよいし、本発明の機能を果たす部分のみを構成するものとしてもよい。また、記録媒体としては、フレキシブルディスクやCD−ROM、DVD−ROM、光磁気ディスク、ICカード、ROMカートリッジ、バーコードなどの符号が印刷された印刷物、コンピュータの内部記憶装置(RAMやROMなどのメモリ)および外部記憶装置などコンピュータが読み取り可能な種々の媒体を利用できる。
【図面の簡単な説明】
【0023】
【図1】本発明の一実施例としての無線通信システム1000の概略構成を示す説明図である。
【図2】アクセスポイント100の概略構成を示す説明図である。
【図3】無線端末200Aの概略構成を示す説明図である。
【図4】共有鍵設定処理の流れを示すフローチャートである。
【図5】暗号鍵設定処理の流れを示すフローチャートである。
【図6】アクセスポイント100Aの概略構成を示す説明図である。
【図7】共有鍵設定処理の流れを示すフローチャートである。
【図8】アクセスポイント100Bの概略構成を示す説明図である。
【図9】共有鍵設定処理の流れを示すフローチャートである。
【図10】変形例としての無線通信システムの概略構成を示す説明図である。
【図11】変形例としての無線通信システムの概略構成を示す説明図である。
【発明を実施するための形態】
【0024】
以下、本発明の実施の形態について、実施例に基づき説明する。
A.第1実施例:
A1.無線通信システムの構成:
図1は、本発明の一実施例としての無線通信システム1000の概略構成を示す説明図である。図示するように、本実施例の無線通信システム1000は、アクセスポイント100と、無線端末200Aと、無線端末200Bとを備える無線LAN(Local Area Network)を含んでいる。アクセスポイント100には、イーサネットケーブル22(「イーサネット」は、登録商標)を介して、ルータ20が接続されており、アクセスポイント100は、ルータ20を介して、インターネットINTに接続されている。なお、本実施例の無線通信システム1000は、例えば、家庭内や、企業内や、いわゆるホットスポットで利用可能である。
【0025】
アクセスポイント100と無線端末200A,200Bとは、共通鍵暗号方式によって、暗号化通信を行う。このため、アクセスポイント100、および、無線端末200Aには、共通の暗号鍵を設定する必要がある。また、アクセスポイント100、および、無線端末200Bにも、共通の暗号鍵を設定する必要がある。なお、アクセスポイント100と無線端末200Aとの暗号化通信に用いられる暗号鍵と、アクセスポイント100と無線端末200Bとの暗号化通信に用いられる暗号鍵とは、同じであってもよいし、互いに異なっていてもよい。また、これらの暗号鍵の第三者への漏洩を防止することが望まれる。そこで、本実施例の無線通信システム1000では、アクセスポイント100、無線端末200A,200Bへの暗号鍵の設定を、既存のRFID(Radio Frequency Identification)カードに備えられたRFIDタグを利用して行う。
【0026】
本実施例では、既存のRFIDカードとして、NFC(Near Field Communication)規格に準拠したFeliCa(「FeliCa」は、登録商標)を用いるものとした。このFeliCaは、無線LANのユーザが、FeliCaを用いた既存のサービス(例えば、プリペイド型電子マネーサービス)を利用するために、予め所有しているものとする。なお、FeliCaは、RFIDタグとして、パッシブ型のRFIDタグを備えており、このRFIDタグには、固有情報として、RFIDタグごとに固有に定められた固有番号(製造ID(IDm)、製造パラメータ(PMm))および、サービスを利用するたびに更新され得る情報(更新情報)が記憶されている。このようなRFIDタグとしては、例えば、いわゆるIC乗車券や、電子マネーカードや、会員カードや、店舗のポイントカードや、社員カードや、携帯電話機等に備えられたRFIDタグ等が挙げられる。
【0027】
既存のRFIDカードを利用して、アクセスポイント100、無線端末200A,200Bに暗号鍵を設定する仕組みは、以下の通りである。なお、以下で説明するRFIDリーダ10,10A,10Bは、それぞれ、書き込み機能を備えておらず、比較的安価な装置である。
【0028】
アクセスポイント100には、USBケーブル12を介して、RFIDリーダ10が接続されている。RFIDリーダ10は、読み取り部にRFIDカード300Aがかざされたときに、RFIDカード300Aに備えられたRFIDタグ310Aから、固有番号および更新情報を含む固有情報を読み出す。RFIDカード300Aは、いわゆるIC乗車券であり、RFIDタグ310Aに記憶された固有情報に含まれる更新情報は、駅に設置されたRFIDライタによって、乗車ごとに更新される。また、RFIDリーダ10は、読み取り部にRFIDカード300Bがかざされたときに、RFIDカード300Bに備えられたRFIDタグ310Bから、固有番号および更新情報を含む固有情報を読み出す。RFIDカード300Bは、いわゆる電子マネーカードであり、RFIDタグ310Bに記憶された固有情報に含まれる更新情報は、店舗等に設置されたRFIDライタによって、電子マネーの利用ごとに更新される。そして、アクセスポイント100は、RFIDリーダ10によって読み出された固有情報に基づいて、暗号鍵を生成する基になる共有鍵を一意的に生成する。本実施例では、アクセスポイント100は、所定の変換関数を用いて、固有情報から共有鍵を算出するものとした。
【0029】
無線端末200Aには、USBケーブル12Aを介して、RFIDリーダ10Aが接続されている。RFIDリーダ10Aは、読み取り部に、例えば、RFIDカード300Aがかざされたときに、RFIDカード300Aに備えられた310Aから固有番号および更新情報を含む固有情報を読み出す。そして、無線端末200Aは、RFIDリーダ10Aによって読み出された固有情報に基づいて、アクセスポイント100と同じ変換関数を用いて、暗号鍵を生成する基になる共有鍵を一意的に生成する。こうすることによって、アクセスポイント100、および、無線端末200Aに、同一の共有鍵を設定することができる。
【0030】
そして、アクセスポイント100、および、無線端末200Aは、それぞれ、後に、同一の共有鍵に基づいて、共通の暗号鍵を生成し、この暗号鍵を、両者間での暗号化通信に用いる暗号鍵として設定する。
【0031】
無線端末200Bには、USBケーブル12Bを介して、RFIDリーダ10Bが接続されている。RFIDリーダ10Bは、読み取り部に、例えば、RFIDカード300Bがかざされたときに、RFIDカード300Bに備えられた310Bから固有番号および更新情報を含む固有情報を読み出す。そして、無線端末200Bは、RFIDリーダ10Bによって読み出された固有情報に基づいて、アクセスポイント100と同じ変換関数を用いて、暗号鍵を生成する基になる共有鍵を一意的に生成する。こうすることによって、アクセスポイント100、および、無線端末200Bに、同一の共有鍵を設定することができる。
【0032】
そして、アクセスポイント100、および、無線端末200Bは、それぞれ、後に、同一の共有鍵に基づいて、共通の暗号鍵を生成し、この暗号鍵を、両者間での暗号化通信に用いる暗号鍵として設定する。
【0033】
以上説明した仕組みによって、アクセスポイント100、無線端末200A,200Bへの暗号鍵の設定が行われる。
【0034】
A2.アクセスポイントの構成:
図2は、アクセスポイント100の概略構成を示す説明図である。図示するように、アクセスポイント100は、CPU110と、ROM120と、RAM130と、タイマ140と、記憶装置150と、USBホストコントローラ160と、USBポート162と、イーサネットコントローラ170と、WANポート172と、RFデバイス180と、アンテナ182とを備えている。
【0035】
USBホストコントローラ160は、USBポート162に接続されたUSBケーブル12を介して、RFIDリーダ10の動作を制御する。イーサネットコントローラ170は、WANポート172に接続されたイーサネットケーブル22、および、インターネットINTを介して、インターネットINTに接続された図示しない種々のサーバ等との通信を行う。RFデバイス180、および、アンテナ182は、無線端末200A,200Bと無線通信を行う。RFデバイス180は、アンテナ182を介して、無線信号の送受信を行う。
【0036】
CPU110は、アクセスポイント100の全体の制御を行う。また、CPU110は、ROM120に記憶されているコンピュータプログラムを読み出して実行することによって、取得部112、共有鍵生成部114、認証処理部116、暗号鍵生成部118として機能し、後述する共有鍵設定処理、および、暗号鍵設定処理を実行する。
【0037】
取得部112は、RFIDリーダ10によって読み出された固有番号および更新情報を含む固有情報を取得する。共有鍵生成部114は、取得部112によって取得された固有情報に基づいて、共有鍵(PMK;Pairwise Master Key)を一意的に生成する。本実施例では、取得部112は、512ビット以上の所定ビットの固有情報を取得し、共有鍵生成部114は、所定の変換関数を用いて、固有情報から512ビットの鍵長を有する共有鍵を一意的に算出するものとした。共有鍵生成部114によって生成された共有鍵は、記憶装置150に記憶される。図2中に、RFIDカード300Aが備えるRFIDタグ310Aから読み出された固有情報に基づいて生成された共有鍵PMKaや、RFIDカード300Bが備えるRFIDタグ310Bから読み出された固有情報に基づいて生成された共有鍵PMKb等が記憶されていることを示した。なお、記憶装置150としては、例えば、書き換え可能な不揮発性のメモリ(例えば、フラッシュメモリ)が用いられる。
【0038】
認証処理部116は、アクセスポイント100と無線端末200A,200Bとの暗号化通信に先立って、共有鍵を含むパケットのやり取りを行い、共有鍵を認証情報として用いて、認証処理を行う。アクセスポイント100と通信相手の無線端末とが同一の共有鍵を所有している場合に、認証は成功する。暗号鍵生成部118は、認証が成功した場合に、無線相手の無線端末が所有する共有鍵と同一の共有鍵、アクセスポイント100のMACアドレス、SSID(Service Set Identifier)等に基づいて、暗号鍵を生成する。
【0039】
A3.無線端末の構成:
図3は、無線端末200Aの概略構成を示す説明図である。なお、無線端末200Bの構成は、無線端末200Aの構成と同じである。無線端末200A,200Bは、例えば、パーソナルコンピュータに、いわゆる無線LANカードを装着することによって構成される。図示するように、無線端末200Aは、CPU210と、ROM220と、RAM230と、タイマ240と、ハードディスク250と、USBホストコントローラ260と、USBポート262と、RFデバイス280と、アンテナ282とを備えている。
【0040】
USBホストコントローラ260は、USBポート262に接続されたUSBケーブル12Aを介して、RFIDリーダ10Aの動作を制御する。RFデバイス280、および、アンテナ282は、アクセスポイント100と無線通信を行う。RFデバイス280は、アンテナ282を介して、無線信号の送受信を行う。
【0041】
CPU210は、無線端末200Aの全体の制御を行う。また、CPU210は、ROM220、あるいは、ハードディスク250に記憶されているコンピュータプログラムを読み出して実行することによって、取得部212、共有鍵生成部214、認証処理部216、暗号鍵生成部218として機能し、後述する共有鍵設定処理、および、暗号鍵設定処理を実行する。
【0042】
取得部212は、RFIDリーダ10Aによって読み出された固有番号および更新情報を含む固有情報を取得する。共有鍵生成部214は、取得部212によって取得された固有情報に基づいて、共有鍵(PMK;Pairwise Master Key)を一意的に生成する。なお、共有鍵生成部214は、先に説明したアクセスポイント100における共有鍵生成部114と同じ変換関数を用いて、共有鍵の生成を行う。共有鍵生成部214によって生成された共有鍵は、ハードディスク250に記憶される。図3中に、RFIDカード300Aが備えるRFIDタグ310Aから読み出された固有情報に基づいて生成された共有鍵PMKaが記憶されていることを示した。
【0043】
認証処理部216は、無線端末200Aとアクセスポイント100との暗号化通信に先立って、共有鍵を含むパケットのやり取りを行い、共有鍵を認証情報として用いて、認証処理を行う。無線端末200Aとアクセスポイント100とが同一の共有鍵を所有している場合に、認証は成功する。暗号鍵生成部218は、認証が成功した場合に、自己が所有する共有鍵、アクセスポイント100のMACアドレス、SSID等に基づいて、暗号鍵を生成する。
【0044】
A4.共有鍵設定処理:
図4は、共有鍵設定処理の流れを示すフローチャートである。この処理は、アクセスポイント100のCPU110、および、無線端末(無線端末200A,200B)のCPU210が、暗号化通信に用いられる暗号鍵を生成する基になる共有鍵を設定する処理である。ここでは、アクセスポイント100のCPU110が実行する処理について説明する。
【0045】
まず、取得部112は、RFIDリーダ10によって読み出された固有番号および更新情報を含む固有情報を取得する(ステップS100)。次に、共有鍵生成部114は、先に説明したように、取得部112によって取得された固有情報に基づいて、共有鍵を一意的に生成し(ステップS110)、この共有鍵を記憶装置150に記憶する(ステップS120)。そして、共有鍵設定処理は、終了する。なお、以上の処理は、無線端末200A(あるいは、無線端末200B)のCPU210(取得部212、共有鍵生成部214)によっても同様に実行される。こうすることによって、アクセスポイント100、および、無線端末200A(あるいは、無線端末200B)に、同一の共有鍵を設定することができる。
【0046】
A5.暗号鍵設定処理:
図5は、暗号鍵設定処理の流れを示すフローチャートである。図5の左側に、無線端末200A(あるいは、無線端末200B)における処理を示し、図5の右側に、アクセスポイント100における処理を示した。なお、ここでは、アクセスポイント100、および、無線端末200A(あるいは、無線端末200B)には、先に説明した共有鍵設定処理によって、既に同一の共有鍵が設定されているものとする。
【0047】
まず、無線端末200A(あるいは、無線端末200B)の認証処理部216とアクセスポイント100の認証処理部116とは、4−Way−Handshake方式によって認証処理を実行する(ステップS200,ステップS300)。なお、無線端末200A(あるいは、無線端末200B)、および、アクセスポイント100は、認証処理時の共有鍵の交換に、EAPOL−Key(EAPOL;Extensible Authentication Protocol over LAN)を用いる。
【0048】
次に、無線端末200A(あるいは、無線端末200B)は、自己が所有する共有鍵、アクセスポイント100のMACアドレス、SSID等に基づいて、暗号鍵を生成する(ステップS210)。また、アクセスポイント100も、無線端末200A(あるいは、無線端末200B)が所有する共有鍵と同一の共有鍵、アクセスポイント100のMACアドレス、SSID等に基づいて、暗号鍵を生成する(ステップS310)。そして、暗号鍵設定処理は終了する。以上の処理によって、アクセスポイント100、および、無線端末200A(あるいは、無線端末200B)に、共通の暗号鍵を設定することができる。そして、無線端末200A(あるいは、無線端末200B)と、アクセスポイント100とは、それぞれ、設定された共通の暗号鍵を用いて、暗号化通信を行うことができる。
【0049】
以上説明した本実施例の無線通信システム1000によれば、アクセスポイント100、および、無線端末200A,200Bが、既存のRFIDカード300Aが備えるRFIDタグ310A、あるいは、RFIDカード300Bが備えるRFIDタグ310Bから読み出された固有情報に基づいて、共有鍵を一意的に生成し、この共有鍵を認証情報として用いて認証を行い、認証が成功した場合に、少なくともこの共有鍵に基づいて、暗号鍵を生成し、この暗号鍵を、暗号化通信に用いる暗号鍵として設定することができる。したがって、アクセスポイント100、および、無線端末200A,200Bに暗号鍵を設定するために、ハードウェアとしては、既存のRFIDカードと、比較的安価なRFIDリーダ10,10A,10Bとを用意すればよく、暗号鍵の設定専用のRFIDタグや、このRFIDタグに暗号鍵を書き込むためのRFIDライタ等を用意する必要がない。また、アクセスポイント100と無線端末200A,200Bとの間で、無線空間を経由して、暗号鍵を転送する必要もない。また、アクセスポイント100、および、無線端末200A,200Bへの暗号鍵の設定をユーザが手動で行う必要もない。つまり、本実施例の無線通信システム1000によって、暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことができる。
【0050】
また、本実施例の無線通信システム1000では、RFIDカード300A,300Bとして、RFIDタグを用いた既存のサービスに用いられるRFIDタグを利用しているので、このRFIDタグが記憶する固有情報に含まれる更新情報は、サービスを利用するたびに更新される。したがって、本実施例の無線通信システム1000によって、アクセスポイント100、および、無線端末200A,200Bが所有する共有鍵および暗号鍵を頻繁に更新するようにすることができる。この結果、アクセスポイント100と、無線端末200A,200Bとの間での無線通信のセキュリティを向上させることができる。
【0051】
B.第2実施例:
B1.無線通信システムの構成:
第2実施例の無線通信システムのハードウェア構成は、第1実施例の無線通信システム1000のハードウェア構成と同じである(図示省略)。ただし、第2実施例の無線通信システムは、第1実施例の無線通信システム1000におけるアクセスポイント100の代わりに、アクセスポイント100Aを備えている。そして、アクセスポイント100Aが実行する共有鍵設定処理が、アクセスポイント100が実行する共有鍵設定処理と一部異なっている。以下、アクセスポイント100Aの構成、および、共有鍵設定処理について説明する。
【0052】
B2.アクセスポイントの構成:
図6は、アクセスポイント100Aの概略構成を示す説明図である。図6と図2との比較から分かるように、アクセスポイント100AのCPU110は、アクセスポイント100のCPU110における共有鍵生成部114の代わりに、共有鍵生成部114Aを備えている。また、記憶装置150には、予め、共有鍵の生成を許可すべきRFIDタグの製造ID(識別情報)が登録されている。例えば、アクセスポイント100Aに、RFIDタグの製造IDを登録するためのコンピュータプログラムや、このコンピュータプログラムを起動するための操作ボタンを備えるようにし、この操作ボタンをアクセスポイント100Aの管理者が操作して、共有鍵の生成を許可すべきRFIDタグの製造IDをRFIDリーダ10によって読み出して、この製造IDを登録する。図6中に、RFIDカード300Aが備えるRFIDタグ310Aに記憶された製造ID(IDma)、RFIDカード300Bが備えるRFIDタグ310Bに記憶された製造ID(IDmb)等が、共有鍵の生成を許可すべきRFIDタグの製造IDとして登録されていることを示した。そして、共有鍵生成部114Aは、取得部112によって取得された固有情報に含まれる製造IDが、共有鍵の生成を許可すべき製造IDとして登録されている場合に、共有鍵の生成を行う。一方、共有鍵生成部114Aは、取得部112によって取得された固有情報に含まれる製造IDが、共有鍵の生成を許可すべき製造IDとして登録されていない場合には、共有鍵の生成を行わない。このとき、CPU110は、LEDやブザー等の報知部(図示省略)を動作させて、取得部112によって取得された固有情報に含まれる製造IDが、共有鍵の生成を許可すべき製造IDとして未登録であること、つまり、共有鍵を生成できないことを、ユーザへ通知する。
【0053】
B3.共有鍵設定処理:
図7は、共有鍵設定処理の流れを示すフローチャートである。この処理は、アクセスポイント100AのCPU110が、暗号化通信に用いられる暗号鍵を生成する基になる共有鍵を設定する処理である。
【0054】
まず、取得部112は、RFIDリーダ10によって読み出された固有番号および更新情報を含む固有情報を取得する(ステップS100)。次に共有鍵生成部114Aは、取得部112によって取得された固有情報に含まれる製造ID(IDm)が、共有鍵の生成を許可すべき製造IDとして登録されているか否かを判断する(ステップS102)。そして、取得部112によって取得された固有情報に含まれる製造IDが、共有鍵の生成を許可すべき製造IDとして登録されていない場合には(ステップS102:NO)、共有鍵生成部114は、共有鍵の生成を行わずに共有鍵設定処理を終了する。このとき、CPU110は、報知部を動作させて、共有鍵を生成できないことをユーザに通知する。一方、取得部112によって取得された固有情報に含まれる製造IDが、共有鍵の生成を許可すべき製造IDとして登録されている場合には(ステップS102:YES)、共有鍵生成部114は、先に説明したように、取得部112によって取得された固有情報に基づいて、共有鍵を一意的に生成し(ステップS110)、この共有鍵を記憶装置150に記憶する(ステップS120)。そして、共有鍵設定処理は、終了する。
【0055】
以上説明した第2実施例の無線通信システムによっても、第1実施例の無線通信システム1000と同様に、暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことができる。
【0056】
また、第2実施例の無線通信システムでは、アクセスポイント100Aは、共有鍵設定処理において、取得された固有情報に含まれる製造IDが、共有鍵の生成を許可すべきRFIDタグの製造IDとして登録されていない場合に、共有鍵の生成、および、暗号鍵の生成を行わないので、暗号鍵の設定に利用可能なRFIDタグを、予め登録された製造IDを有するRFIDタグだけに制限することができる。換言すれば、製造IDが予め登録されたRFIDタグを所有するユーザしか第2実施例の無線通信システムを利用できない。この結果、無線通信のセキュリティを向上させることができる。
【0057】
C.第3実施例:
C1.無線通信システムの構成:
第3実施例の無線通信システムのハードウェア構成は、第1実施例の無線通信システム1000のハードウェア構成と同じである(図示省略)。ただし、第3実施例の無線通信システムは、第1実施例の無線通信システム1000におけるアクセスポイント100の代わりに、アクセスポイント100Bを備えている。そして、アクセスポイント100Bが実行する共有鍵設定処理が、アクセスポイント100が実行する共有鍵設定処理と一部異なっている。以下、アクセスポイント100Bの構成、および、共有鍵設定処理について説明する。
【0058】
C2.アクセスポイントの構成:
図8は、アクセスポイント100Bの概略構成を示す説明図である。図8と図2との比較から分かるように、アクセスポイント100BのCPU110は、アクセスポイント100のCPU110の構成に加えて、共有鍵の有効期限を設定する有効期限設定部115を備えている。そして、記憶装置150には、共有鍵生成部114によって生成された共有鍵が、有効期限設定部115によって設定された有効期限、および、取得部112によって取得された固有情報に含まれる製造ID(識別情報)と対応付けて記憶される。そして、記憶装置150に記憶された共有鍵は、その有効期限が過ぎると破棄される。なお、アクセスポイント100Bにおける有効期限設定部115と同様の構成を、無線端末200A,200Bにも適用するようにしてもよい。
【0059】
C3.共有鍵設定処理:
図9は、共有鍵設定処理の流れを示すフローチャートである。この処理は、アクセスポイント100BのCPU110が、暗号化通信に用いられる暗号鍵を生成する基になる共有鍵を設定する処理である。
【0060】
まず、取得部112は、RFIDリーダ10によって読み出された固有番号および更新情報を含む固有情報を取得する(ステップS100)。次に、共有鍵生成部114は、先に説明したように、取得部112によって取得された固有情報に基づいて、共有鍵を一意的に生成する(ステップS110)。そして、有効期限設定部115は、生成された共有鍵について、有効期限を設定する(ステップS112)。共有鍵の有効期限は、例えば、共有鍵の生成から24時間、共有鍵を生成した次の日の午前0時等、任意に設定可能である。そして、共有鍵生成部114は、有効期限、および、識別情報と対応付けて、共有鍵を記憶装置150に記憶する(ステップS130)。そして、共有鍵設定処理は、終了する。
【0061】
以上説明した第3実施例の無線通信システムによっても、第1実施例の無線通信システム1000と同様に、暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことができる。
【0062】
また、第3実施例の無線通信システムでは、アクセスポイント100Aは、共有鍵設定処理において、共有鍵に有効期限を設定するので、共有鍵を利用可能な期間を制限することができる。そして、ユーザは、アクセスポイント100A等を用いた暗号化通信を継続するために、再度、共有鍵および暗号鍵の生成をアクセスポイント100A等に行わせなければならず、それにより、アクセスポイント100A等では、新たな共有鍵および暗号鍵が生成される。この結果、無線通信のセキュリティを向上させることができる。
【0063】
D.変形例:
以上、本発明のいくつかの実施の形態について説明したが、本発明はこのような実施の形態になんら限定されるものではなく、その要旨を逸脱しない範囲内において種々なる態様での実施が可能である。例えば、以下のような変形が可能である。
【0064】
D1.変形例1:
上記実施例では、共有鍵および暗号鍵の設定に利用されるRFIDタグとして、RFIDタグを用いた既存のサービスを利用するたびに保持する情報の一部(更新情報)が更新されるRFIDタグ(FeliCa)を用いるものとしたが、本発明は、これに限られない。保持する情報が更新されないRFIDタグを用いるようにしてもよい。また、RFIDタグの規格は、FeliCaに限られず、Mifare(「Mifare」は登録商標)等、他の規格であってもよい。また、RFIDタグは、NFC規格に準拠していなくてもよい。
【0065】
D2.変形例2:
上記実施例では、アクセスポイント100,100A,100B、および、無線端末200A,200Bは、512ビットの鍵長を有する共有鍵を生成するものとしたが、共有鍵の鍵長は、要求される強度に応じて、任意に設定可能である。
【0066】
D3.変形例3:
第2実施例のアクセスポイント100Aの構成と第3実施例のアクセスポイント100Bの構成とを組み合わせるようにしてもよい。すなわち、アクセスポイントのCPU110が、取得部112と、共有鍵生成部114Aと、有効期限設定部115と、認証処理部116と、暗号鍵生成部118とを備え、記憶装置150が、予め、共有鍵の生成を許可すべき製造IDを記憶しておき、また、共有鍵と有効期限とを対応付けて記憶する構成である。こうすることによって、暗号鍵の設定に利用可能なRFIDタグを制限するとともに、共有鍵を利用可能な期間を制限することが可能となり、無線通信のセキュリティをさらに向上させることができる。
【0067】
D4.変形例4:
上記実施例では、アクセスポイントや無線端末にRFIDリーダが接続されるものとしたが、本発明は、これに限られない。アクセスポイントや無線端末にRFIDリーダが内蔵されるものとしてもよい。
【0068】
D5.変形例5:
上記第1実施例では、1台のアクセスポイント100が、取得部112と、共有鍵生成部114と、認証処理部116と、暗号鍵生成部118とを備えるものとしたが、本発明は、これに限られない。複数のアクセスポイントが、取得部112と、共有鍵生成部114と、認証処理部116と、暗号鍵生成部118の機能を分担して備えるようにしてもよい。このことは、第2実施例のアクセスポイント100A、および、第3実施例のアクセスポイント100Bについても同様である。
【0069】
図10は、変形例としての無線通信システムの概略構成を示す説明図である。本変形例の無線通信システムは、第1のアクセスポイントと、第2のアクセスポイントと、無線端末と、を備えている。そして、第1のアクセスポイントには、RFIDリーダが接続されており、第1のアクセスポイントと、第2のアクセスポイントとは、有線接続されている。そして、図示は省略しているが、第1のアクセスポイントは、先に説明した取得部112と、共有鍵生成部114とを備え、第2のアクセスポイントは、先に説明した認証処理部116と、暗号鍵生成部118とを備えている。
【0070】
第1のアクセスポイントは、第1のアクセスポイントに接続されたRFIDリーダによって、RFIDカードから読み出された固有情報に基づいて、共有鍵を生成する。この共有鍵は、有線によって、第2のアクセスポイントに送信される。また、無線端末も、無線端末に接続されたRFIDリーダによって、RFIDカードから読み出された固有情報に基づいて、共有鍵を生成する。このとき、第2のアクセスポイント、および、無線端末には、同一の共有鍵が設定されることになる。そして、第2のアクセスポイントと無線端末とは、共有鍵を用いて認証処理を行う。そして、認証が成功した場合に、第2のアクセスポイント、および、無線端末は、保持する共有鍵等に基づいて、両者間での暗号化通信に用いられる暗号鍵を生成する。このようにすることによっても、上記実施例と同様に、暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことができる。
【0071】
なお、本変形例において、第2のアクセスポイントは、生成した暗号鍵を、有線によって、第1のアクセスポイントに送信するようにしてもよい。こうすることによって、無線端末は、第1のアクセスポイントとも第2のアクセスポイントとも暗号化通信を行うことができる。
【0072】
また、第1のアクセスポイントが、先に説明した取得部112を備え、第2のアクセスポイントが、先に説明した共有鍵生成部114と、認証処理部116と、暗号鍵生成部118とを備えるようにしてもよい。この場合、第2のアクセスポイントは、第1のアクセスポイントから有線によって送信された固有情報を受信して、共有鍵の生成、認証、暗号鍵の生成を行うようにすればよい。
【0073】
また、第1のアクセスポイントが、先に説明した取得部112と、共有鍵生成部114と、認証処理部116と、暗号鍵生成部118とを備え、生成した暗号鍵を、有線によって、第2のアクセスポイントに送信するようにしてもよい。また、第2のアクセスポイントにもRFIDリーダを接続し、第1のアクセスポイントと、第2のアクセスポイントとの双方が、先に説明した取得部112と、共有鍵生成部114と、認証処理部116と、暗号鍵生成部118とを備え、固有情報、共有鍵、暗号鍵の少なくとも1つを、適宜、互いに送受信するようにしてもよい。このような構成によって、複数のアクセスポイントが互いに接続された無線LANのユーザの利便性を向上させることができる。
【0074】
D6.変形例6:
上記実施例では、例えば、アクセスポイント100が、取得部112と、共有鍵生成部114と、認証処理部116と、暗号鍵生成部118とを備えるものとしたが、本発明は、これに限られない。例えば、アクセスポイントに有線接続された他の装置が、取得部112と、共有鍵生成部114との機能を備え、アクセスポイントが、認証処理部116と、暗号鍵生成部118とを備えるようにしてもよい。この場合、他の装置が、先に説明した共有鍵設定処理を実行し、アクセスポイントは、他の装置によって生成された共有鍵を取得して、先に説明した認証処理を含む暗号鍵設定処理を実行するようにすればよい。
【0075】
図11は、変形例としての無線通信システムの概略構成を示す説明図である。本変形例の無線通信システムは、アクセスポイントと、社員認証装置と、無線端末とを備えている。社員認証装置は、会社の社員通用口付近に設置されており、RFIDリーダによって、社員証としてのRFIFカードから読み出した固有情報に基づいて、RFIDカードの所有者の居室への入室の可否を判断する。また、アクセスポイントと、無線端末とは、居室内に設置されており、アクセスポイントと、社員認証装置とは、有線接続されている。そして、図示は省略しているが、社員認証装置は、先に説明した取得部112と、共有鍵生成部114とを備え、アクセスポイントは、先に説明した認証処理部116と、暗号鍵生成部118とを備えている。
【0076】
社員認証装置は、RFIDカードの所有者の居室への入室が許可された場合に、RFIDリーダによって、RFIDカードから読み出された固有情報に基づいて、共有鍵を生成する。この共有鍵は、有線によって、アクセスポイントに送信される。また、無線端末も、無線端末に接続されたRFIDリーダによって、RFIDカードから読み出された固有情報に基づいて、共有鍵を生成する。このとき、アクセスポイント、および、無線端末には、同一の共有鍵が設定されることになる。そして、アクセスポイントと無線端末とは、共有鍵を用いて認証処理を行う。そして、認証が成功した場合に、アクセスポイント、および、無線端末は、保持する共有鍵等に基づいて、両者間での暗号化通信に用いられる暗号鍵を生成する。このようにすることによっても、上記実施例と同様に、暗号化通信に用いられる暗号鍵の設定を、コスト面でのユーザへの負担を抑制するとともに、セキュリティを確保しつつ、容易に行うことができる。
【0077】
D7.変形例7:
上記実施例の無線通信システム1000において、無線LAN以外に、有線LANを含むようにしてもよい。この有線LANは、例えば、スイッチングハブ等のネットワーク装置を備える。この場合、上記実施例におけるRFIDタグやRFIDリーダを用いた認証方法を、例えば、スイッチングハブや、VPN(Virtual Private Network)接続の認証等に利用することもできる。すなわち、上記実施例におけるアクセスポイント100等と同様に、ネットワーク装置が、RFIDタグから読み出された固有情報を取得する取得部(例えば、アクセスポイント100における取得部112に対応)と、固有情報に基づいて他のネットワーク装置との認証に用いられる認証情報を生成する認証情報生成部(例えば、アクセスポイント100における共有鍵生成部114に対応)と、認証情報を記憶する認証情報記憶部(例えば、アクセスポイント100における記憶装置150に対応)と、認証情報を用いて、他のネットワーク装置との認証を行う認証処理部(例えば、アクセスポイント100における認証処理部116に対応)と、を備えるようにすればよい。
【0078】
D8.変形例8:
上記実施例において、ハードウェアによって実現されていた構成の一部をソフトウェアに置き換えるようにしてもよく、逆に、ソフトウェアによって実現されていた構成の一部をハードウェアに置き換えるようにしてもよい。
【符号の説明】
【0079】
1000…無線通信システム
10,10A,10B…RFIDリーダ
12,12A,12B…USBケーブル
20…ルータ
22…イーサネットケーブル
100,100A,100B…アクセスポイント
110…CPU
112…取得部
114,114A…共有鍵生成部
115…有効期限設定部
116…認証処理部
118…暗号鍵生成部
120…ROM
130…RAM
140…タイマ
150…記憶装置
160…USBホストコントローラ
162…USBポート
170…イーサネットコントローラ
172…WANポート
180…RFデバイス
182…アンテナ
200A,200B…無線端末
210…CPU
212…取得部
214…共有鍵生成部
216…認証処理部
218…暗号鍵生成部
220…ROM
230…RAM
240…タイマ
250…ハードディスク
260…USBホストコントローラ
262…USBポート
280…RFデバイス
282…アンテナ
300A,300B…RFIDカード
310A,310B…RFIDタグ
INT…インターネット
【特許請求の範囲】
【請求項1】
無線通信装置であって、
固有の情報を保持するRFID(Radio Frequency Identification)タグから読み出された所定の情報を取得する取得部と、
前記所定の情報に基づいて、他の無線通信装置との暗号化通信に用いられる暗号鍵を生成する基になる共有鍵を一意的に生成する共有鍵生成部と、
前記共有鍵を記憶する共有鍵記憶部と、
前記共有鍵を認証情報として用いて、当該無線通信装置と前記他の無線通信装置との認証を行う認証処理部と、
前記認証処理部によって、前記認証が成功した場合に、少なくとも前記共有鍵に基づいて、前記暗号鍵を生成する暗号鍵生成部と、
前記暗号鍵を用いて、前記暗号化通信を行う通信部と、
を備える無線通信装置。
【請求項2】
請求項1記載の無線通信装置であって、
前記RFIDタグは、前記無線通信装置における前記共有鍵の生成以外の目的で利用されたときに、前記RFIDタグが保持する前記情報の一部が、RFIDライタによって、逐次、更新されるRFIDタグである、
無線通信装置。
【請求項3】
請求項1または2記載の無線通信装置であって、
前記所定の情報は、前記RFIDタグを識別可能な識別情報を含み、
前記無線通信装置は、さらに、前記識別情報を予め登録する識別情報登録部を備え、
前記共有鍵生成部は、前記共有鍵の生成に先立ち、
前記所定の情報に含まれる前記識別情報が、前記識別情報登録部に登録されている場合に、前記共有鍵を生成し、
前記所定の情報に含まれる前記識別情報が、前記識別情報登録部に登録されていない場合に、前記共有鍵を生成しない、
無線通信装置。
【請求項4】
請求項1ないし3のいずれかに記載の無線通信装置であって、さらに、
前記共有鍵の有効期限を設定する有効期限設定部を備え、
前記共有鍵記憶部は、前記有効期限と関連付けて、前記共有鍵を記憶する、
無線通信装置。
【請求項5】
第1の無線通信装置と第2の無線通信装置との間で暗号化通信を行う無線通信システムであって、
前記第1および第2の無線通信装置は、
固有の情報を保持するRFID(Radio Frequency Identification)タグから読み出された所定の情報を取得する取得部と、
前記所定の情報に基づいて、前記暗号化通信に用いられる暗号鍵を生成する基になる共有鍵を一意的に生成する共有鍵生成部と、
前記共有鍵を記憶する共有鍵記憶部と、
前記共有鍵を認証情報として用いて、当該無線通信装置と他の無線通信装置との認証を行う認証処理部と、 前記認証処理部によって、前記認証が成功した場合に、少なくとも前記共有鍵に基づいて、前記暗号鍵を生成する暗号鍵生成部と、
前記暗号鍵を用いて、前記暗号化通信を行う通信部と、
を備える無線通信システム。
【請求項6】
ネットワーク装置であって、
固有の情報を保持するRFID(Radio Frequency Identification)タグから読み出された所定の情報を取得する取得部と、
前記所定の情報に基づいて、当該ネットワーク装置と他のネットワーク装置との認証に用いられる認証情報を生成する認証情報生成部と、
前記認証情報を記憶する認証情報記憶部と、
前記認証情報を用いて、前記認証を行う認証処理部と、
を備えるネットワーク装置。
【請求項1】
無線通信装置であって、
固有の情報を保持するRFID(Radio Frequency Identification)タグから読み出された所定の情報を取得する取得部と、
前記所定の情報に基づいて、他の無線通信装置との暗号化通信に用いられる暗号鍵を生成する基になる共有鍵を一意的に生成する共有鍵生成部と、
前記共有鍵を記憶する共有鍵記憶部と、
前記共有鍵を認証情報として用いて、当該無線通信装置と前記他の無線通信装置との認証を行う認証処理部と、
前記認証処理部によって、前記認証が成功した場合に、少なくとも前記共有鍵に基づいて、前記暗号鍵を生成する暗号鍵生成部と、
前記暗号鍵を用いて、前記暗号化通信を行う通信部と、
を備える無線通信装置。
【請求項2】
請求項1記載の無線通信装置であって、
前記RFIDタグは、前記無線通信装置における前記共有鍵の生成以外の目的で利用されたときに、前記RFIDタグが保持する前記情報の一部が、RFIDライタによって、逐次、更新されるRFIDタグである、
無線通信装置。
【請求項3】
請求項1または2記載の無線通信装置であって、
前記所定の情報は、前記RFIDタグを識別可能な識別情報を含み、
前記無線通信装置は、さらに、前記識別情報を予め登録する識別情報登録部を備え、
前記共有鍵生成部は、前記共有鍵の生成に先立ち、
前記所定の情報に含まれる前記識別情報が、前記識別情報登録部に登録されている場合に、前記共有鍵を生成し、
前記所定の情報に含まれる前記識別情報が、前記識別情報登録部に登録されていない場合に、前記共有鍵を生成しない、
無線通信装置。
【請求項4】
請求項1ないし3のいずれかに記載の無線通信装置であって、さらに、
前記共有鍵の有効期限を設定する有効期限設定部を備え、
前記共有鍵記憶部は、前記有効期限と関連付けて、前記共有鍵を記憶する、
無線通信装置。
【請求項5】
第1の無線通信装置と第2の無線通信装置との間で暗号化通信を行う無線通信システムであって、
前記第1および第2の無線通信装置は、
固有の情報を保持するRFID(Radio Frequency Identification)タグから読み出された所定の情報を取得する取得部と、
前記所定の情報に基づいて、前記暗号化通信に用いられる暗号鍵を生成する基になる共有鍵を一意的に生成する共有鍵生成部と、
前記共有鍵を記憶する共有鍵記憶部と、
前記共有鍵を認証情報として用いて、当該無線通信装置と他の無線通信装置との認証を行う認証処理部と、 前記認証処理部によって、前記認証が成功した場合に、少なくとも前記共有鍵に基づいて、前記暗号鍵を生成する暗号鍵生成部と、
前記暗号鍵を用いて、前記暗号化通信を行う通信部と、
を備える無線通信システム。
【請求項6】
ネットワーク装置であって、
固有の情報を保持するRFID(Radio Frequency Identification)タグから読み出された所定の情報を取得する取得部と、
前記所定の情報に基づいて、当該ネットワーク装置と他のネットワーク装置との認証に用いられる認証情報を生成する認証情報生成部と、
前記認証情報を記憶する認証情報記憶部と、
前記認証情報を用いて、前記認証を行う認証処理部と、
を備えるネットワーク装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2011−40820(P2011−40820A)
【公開日】平成23年2月24日(2011.2.24)
【国際特許分類】
【出願番号】特願2009−183602(P2009−183602)
【出願日】平成21年8月6日(2009.8.6)
【出願人】(390040187)株式会社バッファロー (378)
【Fターム(参考)】
【公開日】平成23年2月24日(2011.2.24)
【国際特許分類】
【出願日】平成21年8月6日(2009.8.6)
【出願人】(390040187)株式会社バッファロー (378)
【Fターム(参考)】
[ Back to top ]