無線通信装置及び無線通信装置の認証方法
【課題】証明書の有効期限の認証を正確に行うことができる無線通信装置及び無線通信装置の認証方法を提供すること。
【解決手段】
時間情報を送信可能なサーバと通信網を介して接続する無線通信装置100であって、前記サーバから時間情報を取得する時刻取得部134と、前記通信網に接続するための認証を有効期限が設定された証明書を用いて行う認証部132とを備え、前記認証部132は、前記時刻取得部134が前記サーバから正しい時間情報を取得した後に前記有効期限の認証を行う。
【解決手段】
時間情報を送信可能なサーバと通信網を介して接続する無線通信装置100であって、前記サーバから時間情報を取得する時刻取得部134と、前記通信網に接続するための認証を有効期限が設定された証明書を用いて行う認証部132とを備え、前記認証部132は、前記時刻取得部134が前記サーバから正しい時間情報を取得した後に前記有効期限の認証を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線通信装置及び無線通信装置の認証方法に関する。
【背景技術】
【0002】
一般に、通信装置がネットワークに接続する際の認証において、証明書を利用した認証方法が普及している。このような認証においては、証明書の正当性が確認されると共に、予め設定された有効期限のチェックが行われる。
【0003】
通常上記の有効期限のチェックは、通信装置がネットワークに接続する際に、通信装置の内部時計の現在日時と有効期限に設定された日時とを比較することで行われる(特許文献1)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−172293号公報
【特許文献2】特開平6−258709号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、このような認証方法においては、上記通信装置の主電源が落とされると、時間情報が初期化されて内部時計の値が過去の日時となってしまい、上記の有効期限のチェックを正確に行うことができず、ネットワークに接続する通信装置を正しく制御出来ないという問題があった。
【0006】
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、時間情報を取得するためのハードウェア的な仕組みがない無線通信装置において、証明書の有効期限の認証を正確に行うことが可能な、新規かつ改良された無線通信装置及び無線通信装置の認証方法を提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明のある観点によれば、時間情報を送信可能なサーバと通信網を介して接続する無線通信装置であって、上記サーバから時間情報を取得する時刻取得部と、上記通信網に接続するための認証を有効期限が設定された証明書を用いて行う認証部とを備え、上記認証部は、上記時刻取得部が上記サーバから正しい時間情報を取得した後に上記有効期限の認証を行う無線通信装置が提供される。
【0008】
かかる構成によると、上記無線通信装置は有効期限の認証を行う前に正しい時間情報を取得することができるようになるため、証明書の有効期限の認証を正確に行うことができるようになる。また、時間情報を接続する通信網内のサーバから取得するため、上記無線通信装置の時間を通信網側の時間情報で較正することが出来る。
【0009】
また上記認証部は、上記証明書の有効期限の認証を行わずに上記無線通信装置が上記通信網に接続することを認証し、上記時刻取得部が上記サーバから正しい時間情報を取得した後に有効期限の認証をしてもよい。
【0010】
かかる構成は、上記の有効期限の認証を行う前に正しい時間情報を取得するための具体例の1つである。有効期限の認証を行わずに、証明書の正当性を認証し、IPアドレスの取得が出来るようにする。これにより、上記無線通信装置は時刻サーバと接続して時間情報を取得することが出来るようになる。
【0011】
また、上記サーバは無線基地局であってもよく、上記時刻取得部は、時間情報の取得要求を含む第1のメッセージを上記無線基地局に送信し、上記第1のメッセージの応答メッセージであり時間情報を含む第2のメッセージから上記時間情報を取得してもよい。
【0012】
かかる構成は、上記の有効期限の認証を行う前に正しい時間情報を取得するためのもう1つの具体例である。1つ目の例のようにIPアドレスの取得をせずとも、無線基地局とのメッセージのやりとりを利用することによって時間情報を取得することができる。
【0013】
また、上記第1のメッセージと上記第2のメッセージとは、所定のフレームを用いて上記無線基地局と上記無線通信装置とのMAC層において送受信されるメッセージであってもよい。
【0014】
このようにMAC層において送受信されるメッセージを利用することにより、IPアドレスの取得前であっても時間情報を取得することが出来るようになる。
【0015】
また、上記所定のフレームはTLVフィールドを有しており、上記時間情報の取得要求と上記時間情報とは、当該TLVフィールドを用いて送受信されてもよい。
【0016】
また、上記時刻取得部は、上記時間情報を取得すると共に該時間情報をデータ保存部に保存してもよい。
【0017】
正確な時間情報を取得した時に、時間情報をデータ保存部に保存しておくことによって、万一上記サーバから時間情報が取得できなかった場合に備えることが出来る。
【0018】
また、上記時刻取得部は、上記サーバから上記時間情報を取得できなかった場合に、上記データ保存部に保存された時間情報を取得し、上記認証部は上記データ保存部から取得された時間情報を用いて上記有効期限の認証をしてもよい。
【0019】
かかる構成により、上記無線通信装置はデータ保存部に予め退避された時間情報を用いて証明書の有効期限の認証を行うことが出来るようになる。無線通信装置の停止準備に時間情報を保存する処理を組み込んでおいた場合、上記データ保存部に保存された時間情報は、前回無線通信装置が停止した際の時間情報である。よって、ある程度正確な時間情報を用いて有効期限の認証を行うことが出来、無線通信装置が無線通信網に接続できない状態を回避することが出来る。
【0020】
また、上記課題を解決するために、本発明の別の観点によれば、時間情報を送信可能なサーバと通信網を介して接続する無線通信装置が有効期限の設定された証明書を用いて上記通信網に接続するための認証を行う認証方法であって、上記無線通信装置が上記サーバと接続するステップと、上記無線通信装置が上記サーバから時間情報を取得するステップと、上記時間情報に基づいて上記証明書の有効期限の認証を行うステップとを含む無線通信装置の認証方法が提供される。
【発明の効果】
【0021】
以上説明したように本発明によれば、時間情報を取得するためのハードウェア的な仕組みがない無線通信装置において、証明書の有効期限の認証を正確に行うことが可能となる。
【図面の簡単な説明】
【0022】
【図1】第1の実施形態に係る無線通信装置の機能構成図である。
【図2】第1の実施形態に係る無線通信装置の認証方法を示すシーケンス図である。
【図3】図2の認証方法の変形例を示すシーケンス図である。
【図4】第2の実施形態に係る無線通信装置の機能構成図である。
【図5】第2の実施形態に係る無線通信装置の認証方法を示すシーケンス図である。
【図6】図4の認証方法に用いられるフレーム構成図である。
【図7】図5のフレームの詳細を説明する説明図である。
【図8】従来の無線通信装置の認証方法を示すシーケンス図である。
【発明を実施するための形態】
【0023】
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
【0024】
以下、まず従来の無線通信装置における認証方法について説明し、次に第1の実施形態及び第2の実施形態についてそれぞれ説明する。
【0025】
<1.従来の無線通信装置における認証方法>
まず初めに、本発明の各実施形態に係る無線通信装置の認証方法の特徴の理解を容易にするために、従来の無線通信装置における認証方法について図8を用いて説明する。図8は、従来の無線通信装置における認証方法を説明するためのシーケンス図である。
【0026】
まず、無線通信装置900を起動する(S300)。無線通信装置900は、前回電源が落ちた際にOSが管理している時間情報が初期化されている。よって、次に無線通信装置900が時間情報を取得するまでは、無線通信装置900の内部時計は過去の時間を保持したままである。
【0027】
ステップS302の無線接続フェーズは、無線通信装置900が無線基地局200とMAC層レベルで無線接続するためのネゴシエーションなどの動作を行う。次に無線通信装置900は無線通信網に接続するための認証を行う(S304)。ステップS304の認証フェーズにおいては、無線通信装置900と認証サーバ400との間で認証処理が行われる。
【0028】
認証処理においては、証明書の正当性を確認する他に証明書に設定された有効期限をチェックする必要がある。しかし、この時点において無線通信装置900は正しい時間情報を持っていない。
【0029】
正しい時間情報を得るためには、無線通信装置900自身が正しい時間情報を持つハードウェア的な仕組みを持たない場合には外部から取得する必要がある。しかし、この時点では無線通信装置900はIPアドレスの取得も行っていないため正しい時間情報を有する外部のサーバなどに接続することが出来ない。
【0030】
従って、無線通信装置900はこの時点において正しい時間情報を持つことができず、認証フェーズにおける証明書の有効期限チェックを正しく行うことが出来ない。
【0031】
例えば通信装置が起動時に「1970年01月01日00時00分」となり、実際の現在日時が「2009年2月1日01時00分」である場合を考える。例えば有効期限が「2009年1月31日まで」と期限の終了日のみが設定されているような場合には、実際には有効期限が切れているにも関わらず、通信装置は現在日時を「1970年01月01日00時00分」と認識してしまうため認証してしまうという問題が起こりうる。
【0032】
また、例えば有効期限が「2009年1月1日から2009年3月31日まで」と設定されているような場合には、実際には有効期限内であるにも関わらず、有効期限外であると判定されてしまうため上記通信装置がネットワークに接続出来ないという問題が起こりうる。
【0033】
上記のように間違った時間情報に基づいて有効期限をチェックされ、認証が成功した場合には、次に無線通信装置900はDHCPサーバ500からIPアドレスを取得する(S306)。認証に失敗した場合には、無線通信装置900はDHCPサーバと接続することが出来ず、以降の処理を行うことが出来ない。
【0034】
無線通信装置900が認証に失敗してしまった場合には、無線通信装置900はネットワークに接続されていないため、メンテナンスを行おうとしても保守担当者はリモート操作を行うことが出来ず、無線通信装置900が設置された場所まで行って直接接続操作するしかない。
【0035】
IPアドレスが付与された無線通信装置900は、時刻サーバ600に接続することが可能となるため、無線通信装置900は時刻サーバ600から時間情報を取得する(S308)。無線通信装置900は時刻サーバから取得した時間情報に基づき内部時計情報を更新する。
【0036】
以上説明したS302〜S308の各ステップは、無線通信装置900が無線通信網に接続するための手続きである。これらの各ステップが成功すると、無線通信装置900は無線通信網に接続することが可能となり、無線通信装置900は、ユーザ端末300が無線通信網に接続するために通信の中継を行うことができるようになる。
【0037】
ステップS310においては、ユーザ端末300が無線通信装置900に接続する。その後ユーザ端末300は認証サーバ400と接続し、認証処理を行う(S312)。次にユーザ端末300はDHCPサーバ500からIPアドレスを取得し(S314)、通信先装置700と接続することが出来るようになる。
【0038】
このように、従来の無線通信装置900において、主電源が落ちた場合に初期化された内部時計の情報を補正する必要がある。認証を行って、IPアドレスを取得した後であれば時刻サーバに接続して正しい時間情報を得ることが出来るが、認証時にはIPアドレスを有しておらず、時刻サーバと接続することが出来ない。
【0039】
よって、従来この段階で正しい時間情報を得るためにRTC回路とバックアップ電池のようなハードウェア的な仕組みが用いられていた。またこのようなハードウェア的な仕組みを持たない場合には、無線通信装置900は、認証フェーズにおいて正しい時間情報を持つことが出来ないため、認証フェーズの中の証明書の有効期限チェックを正しく行うことが出来なかった。
【0040】
特に、無線通信装置などの場合には、物理的な回線を専有するわけではなく、第三者による接続が可能であるためネットワークに接続する際の無線上での認証動作は重要であり、証明書の有効期限チェックも厳密に行うべきである。
【0041】
尚、主電源が落ちている場合には時間情報を更新するRTC(Real Time Clock)回路をバックアップ電池で動作させるというハードウェア的な仕組みによって上記のような問題を解決する方法も提案されているが、装置の価格が高価になるという問題があった。
【0042】
そこで、次に説明をする本発明の各実施形態に係る無線通信装置100は、認証フェーズにおいて無線通信装置100が正しい時間情報を取得することができるようにするものである。
【0043】
<2.第1の実施形態>
まず、本発明の第1の実施形態に係る無線通信装置の機能構成について説明をする。その次に本実施形態に係る無線通信装置を用いた認証方法について説明し、最後に変形例について説明をする。
【0044】
第1の実施形態においては、正しい時間情報を用いて証明書の有効期限をチェックするために、本認証を行う前に有効期限のチェックを行わない仮認証をする。証明書の正当性が確認されると、無線通信装置100はIPアドレスの取得が可能な仮認証状態となり、時刻サーバに接続することが可能となるため時間情報を取得することが出来る。
【0045】
[2−1.機能構成]
まず図1を用いて、本発明の一実施形態に係る無線通信装置の機能構成について説明をする。図1は、本発明の一実施形態に係る無線通信装置の機能構成図である。
【0046】
本発明の一実施形態に係る無線通信装置100は、無線基地局200と無線通信網を介して接続する。また、ユーザ端末300とは無線もしくは有線の通信網を介して接続する。尚、図1には示していないが、無線基地局200の上位装置には認証サーバ400、DHCPサーバ500、時刻サーバ600が存在している。
【0047】
無線通信装置100は、無線の通信機能を有する装置であり、無線基地局200やユーザ端末300と接続する。無線通信装置100は、例えば無線中継装置であり、ユーザ端末300と無線基地局200との通信を中継する。
【0048】
無線基地局200は、ユーザ端末300と無線通信を行う。無線基地局200は、ユーザ端末300と直接通信することや、無線中継装置を介して通信することも可能である。
【0049】
ユーザ端末300は、無線通信を行うことが可能な端末である。ユーザ端末300は無線基地局200を介して無線通信を行ったり、さらに無線通信装置100を中継して無線通信を行ったりすることも可能である。
【0050】
ユーザ端末300は、例えばPCや携帯電話やPDAなどであってよく、通信可能であり、ユーザが操作することが可能な端末であればその種類を問うものではない。
【0051】
認証サーバ400は、通信網に接続するための認証を行うサーバである。DHCPサーバ500は、通信網に接続する端末にIPアドレスを付与するサーバである。時刻サーバは、時間情報を提供するサーバである。
【0052】
無線通信装置100は、ユーザ端末制御部110と、無線基地局制御部120と、ルータ機能部130と、データ保存部140とを主に有する。
【0053】
ユーザ端末制御部110は、無線通信装置100が無線または有線のネットワークを介してユーザ端末300を接続するための制御部である。また、無線基地局制御部120は、無線通信装置100が無線基地局200と接続するための制御部である。
【0054】
ルータ機能部130は、ユーザ端末制御部110や無線基地局制御部120から要求されるパケットの振り分けをする機能や各種LANプロトコル機能が含まれる。
【0055】
ルータ機能部130は、パケット振り分け部131と、認証部132と、DHCP部133と、時刻取得部134とを主に有する。
【0056】
パケット振り分け部131は、ユーザ端末制御部110や無線基地局制御部120から要求されるパケットの振り分けをする機能を有する。認証部132は、無線通信装置100が無線通信網に接続するための認証処理を行う。本実施形態においては、有効期限が設定された証明書を用いて認証を行う。
【0057】
認証部132は、通信網に接続するための認証を有効期限が設定された証明書を用いて行う。認証サーバ400のクライアントとして機能し、証明書が正当なものであることを認証する。さらに、証明書に設定された有効期限内の証明書であるか否かを判断する。
【0058】
本実施形態において認証部132は、時刻取得部134が時間情報を有するサーバから正しい時間情報を取得した後に行う本認証と、有効期限のチェックを行わない仮認証とを行う機能を有する。
【0059】
DHCP部133は、DHCPサーバ500のクライアントとして機能する。DHCPサーバからIPアドレスを取得し、無線通信装置100に設定する。
【0060】
時刻取得部134は、サーバなどから時間情報を取得する機能部であり、無線通信装置100の内部時刻を正確に保つために時間情報を取得する。本実施形態においては時刻サーバ600のクライアントとして機能する。
【0061】
時刻取得部134は、時間情報を有するサーバから時間情報を取得できなかった場合に、後に説明するデータ保存部に保存された時間情報を取得する機能を有する。
【0062】
無線通信装置100は、通常上記有効期限の認証まで含めた認証がされた後に無線通信網へ接続することが出来る。しかし本実施形態においては、本認証を行う前に有効期限のチェックを行わない仮認証をする。証明書の正当性が確認されると、無線通信装置100はIPアドレスの取得が可能な仮認証状態となり、時刻サーバに接続することが可能となるため時間情報を取得することが出来る。
【0063】
以上説明した無線通信装置100の各機能部は、ハードウェアにより実現されてもよいし、ソフトウェアによって実現されてもよい。ソフトウェアによって実現される場合には、CPU(図示せず)が各機能部が実行する処理を記載したプログラムを記憶したROMやRAM(いずれも図示せず)などの記憶媒体からプログラムを読み出し、そのプログラムを解釈して実行することにより達成される。CPUは、ROMに記憶されているプログラムに基づいて、RAMを作業領域として動作してもよい。
【0064】
データ保存部140は、各種のデータを記憶し保存することが可能な記憶装置である。データ保存部140は例えばハードディスク(Hard Disk)などの磁気記録媒体や、EEPROM(Electronically Erasable and Programmable Read Only Memory)、フラッシュメモリ、MRAM(Magnetoresistive Random Access Memory)、FeRAM(Ferroelectric Random Access Memory)、PRAM(Phase change Random Access Memory)などの不揮発性メモリが挙げられるが、上記に限られない。
【0065】
データ保存部140は、時間情報を保存する機能を有する。無線通信装置100の起動時に時間情報が取得できなかった場合にデータ保存部140に保存しておいた時間情報を用いることである程度正確な時間情報を得ることを可能にし、無線通信装置100が通信網に接続できない事態を回避する方法については後述する。
【0066】
[2−2.認証方法]
次に、図2を用いて第1の実施形態に係る無線通信装置100が無線通信網に接続する際の認証方法について説明をする。図2は、第1の実施形態に係る無線通信装置100の認証方法を示すシーケンス図である。
【0067】
本願の第1の実施形態に係る無線通信装置100は、有効期限が設定された証明書を用いて無線通信網に接続する際の認証を行っている。
【0068】
まず無線通信装置100を起動する(S100)。この時、無線通信装置100内部のOSで管理している時間情報は初期化されている。無線通信装置100は、無線基地局200との通信経路を確立するために無線接続フェーズ(S102)の動作を行う。
【0069】
次に、許可されたユーザのみ通信経路が使用出来るように証明書の仮認証が行われる(S104)。従来例においては、この段階で証明書の正当性と有効期限をチェックしていたが、この仮認証フェーズにおいては、無線通信装置100は正確な時間情報を有していないため、通常の認証フェーズにおいて行われる証明書の有効期限チェックは行わない。
【0070】
仮認証が成功すると、無線通信装置100はDHCPサーバ500と接続してIPアドレスを取得する(S106)。
【0071】
IPアドレスを取得した無線通信装置100は時刻サーバ600と接続することが出来るようになるので、無線通信装置100は時刻サーバ600と接続して時間情報を取得する(S108)。無線通信装置100は時刻サーバから取得した時間情報に基づき内部時計情報を更新する。
【0072】
ステップS108において無線通信装置100は時刻サーバ600から正確な時間情報を取得した後、ステップS110の本認証フェーズにおいて無線通信装置100は正確な時間情報に基づいた証明書の有効期限チェックを含む認証を行うことが可能になる。
【0073】
以上のようにして無線通信装置100と無線基地局200との間に通信経路を確立することが出来ると、ユーザ端末300は接続フェーズ(S112)、ユーザIP取得フェーズ(S114)を行い、最終的にはユーザ端末300と通信相手700との間の通信であるユーザ通信フェーズ(S118)が可能となる。
【0074】
以上、説明したように本発明の第1の実施形態に係る無線通信装置を用いた認証方法においては、無線通信装置100は有効期限のチェックを行わずに無線通信装置100が時刻サーバ600と接続することが出来るようにし、時刻サーバ600から正しい時間情報を取得してから有効期限のチェックを行うため、有効期限のチェックを正確に行うことができるようになる。
【0075】
例えば実際には有効期限が切れた証明書を持っているにも関わらず接続できてしまう場合や、例えば実際には有効期限内の証明書を持っているにも関わらず接続できないといった状態を防止することができるようになる。
【0076】
また、接続する通信網内のサーバから時間情報を取得するため、無線通信装置100の時間を通信網側の時間情報で較正することが出来るようになる。
【0077】
[2−3.変形例]
次に、第1の実施形態の変形例について図3を用いて説明する。図3は、第1の実施形態に係る無線通信装置の認証方法の変形例を示すシーケンス図である。S100〜S118に係る各ステップは、図2と同様であるため、説明を省略する。以下、図2との相違点のみを説明する。
【0078】
図3に示す変形例は、図2の時刻取得フェーズにおいてもし時刻サーバ600から時間情報が取得できなかった場合に、データ保存部140に保存しておく時間情報を用いて認証を行おうとするものである。
【0079】
上記のように時刻サーバ600から時間情報を取得できなかった場合に備えて、本変形例においてはステップS108において時刻サーバ600から時間情報を取得した後に時間情報をデータ保存部140に保存し(S150)、また、無線通信装置100が停止準備に入ると(S152)、時間情報をデータ保存部140に保存する(S154)。
【0080】
また、ここでは時間情報の保存はステップS110の本認証の前の時刻取得ステップS108において取得した時刻と、装置停止準備における時間情報を保存することとしたが、この間定期的に時間情報のバックアップを行うようにしてもよい。
【0081】
このようにして予めデータ保存部140には時間情報が退避されている状態において、ステップS108の時刻取得フェーズにおいて時刻サーバ600から時間情報が取得できなかった場合においてもデータ保存部140に保存してある時間情報に基づいて有効期限のチェックを実施することによってある程度正確な証明書の有効期限のチェックが可能となる。
【0082】
例えば時刻サーバ600に接続が出来なくなった場合に、無線通信装置100が全く無線通信網に接続できなくなってしまうと、無線通信装置100のメンテナンスが必要であっても、保守担当者はリモートから無線通信装置100を操作することが出来ず、無線通信装置100が設置されている場所へ赴くしかなくなってしまう。
【0083】
管理している無線通信装置100の数が多い場合や、無線通信装置100が遠方に設置されている場合には、それぞれの設置場所に赴いて保守業務を行うのは大変手間がかかるため、本変形例のように退避した時間情報を用いて無線通信装置100が無線通信網に接続出来るようにする方法は有効である。
【0084】
以上説明してきた認証方法においては、証明書の有効期限チェックを行う前に時間情報を取得する方法として、第1の実施形態においては証明書の認証において有効期限チェックを行わない仮認証を行い、有効期限のチェック前に無線通信装置100がIPアドレスを取得して時刻サーバ600に接続出来るようにした。
【0085】
<3.第2の実施形態>
次に説明する第2の実施形態は、無線通信装置100と無線基地局200とのMAC層レベルにおける既存のメッセージのやり取りを利用して無線通信装置100が時間情報を取得しようとするものである。
【0086】
本実施形態においては、IEEE802.16eに規定されるWiMAXの通信方法に基づいたフレームフォーマットを用いて時間情報を取得する例を説明する。
【0087】
[3−1.機能構成]
本実施形態に係る無線通信装置100の構成を図4を用いて説明する。図4は、第2実施形態に係る無線通信装置100の機能構成を示すブロック図である。第2の実施形態に係る無線通信装置100の機能構成と図1に示す第1の実施形態に係る無線通信装置100とは、認証部132、時刻取得部134における内部処理と、無線基地局200の無線通信装置制御部210にも機能を追加する点で異なる。
【0088】
以下、図1に示す第1の実施形態に係る無線通信装置100と異なる部分のみを説明し、その他の構成は同様であるため説明を省略する。無線基地局制御部120は、無線基地局200との通信を制御する機能部である。本実施形態において無線基地局制御部120は、特に無線基地局との通信路を確立するフェーズにおいてMAC層におけるメッセージのやりとりを制御する機能も有する。
【0089】
認証部132は、認証サーバ400のクライアントとして機能し、証明書が正当なものであることを、無線通信装置100の内部に記憶された証明書と、認証サーバ400に記憶された証明書とを用いて認証する。さらに、証明書に設定された有効期限内の証明書であるか否かを判断する。
【0090】
本実施形態において認証部132は、無線基地局制御部120と無線通信装置制御部210との間でやりとりされるメッセージの中から時刻取得部134が時間情報を取得した後に、無線通信装置100が無線通信網へ接続するための認証を実施する。
【0091】
時刻取得部134は、時間情報を取得する機能部である。時刻サーバのクライアントとして機能したり、無線基地局制御部120と無線通信装置制御部210との間でやりとりされるメッセージの中から時間情報を取得したりする。
【0092】
無線通信装置制御部210は、無線通信装置100と接続するための制御部である。本実施形態において無線通信装置制御部210は、特に無線通信装置との通信路を確立するフェーズにおいてMAC層におけるメッセージのやりとりを制御する機能を主に有する。
【0093】
[3−2.認証方法]
次に、図5を用いて本願の第2の実施形態に係る無線通信装置100が無線通信網に接続する際の認証について説明をする。図5は、第2の実施形態に係る無線通信装置100の認証方法を示すシーケンス図である。
【0094】
まず、無線基地局200は、時刻サーバ600などから正確な時間情報を取得していることを前提とする。次に無線通信装置100を起動する(S200)。この時、無線通信装置100内部の時間情報は初期化されている。
【0095】
ステップS200における無線通信装置100の起動後、無線通信装置100は無線基地局200から無線報知情報を受信する(S202)。ここで無線報知情報は周期的に送信される情報であって、WiMAXにおいてはDL−MAPがそれに相当する。DL−MAPは、通信における様々な初期化パラメータが記載された情報である。
【0096】
ステップS204において無線通信装置100が無線接続を開始した後、レンジング(S206)により無線のタイミング、出力、周波数の調整などが行われる。次に、基本機能確認ステップS208において無線通信に必要な情報のネゴシエーションを実施する。
【0097】
この基本機能確認ステップS208は、無線通信装置100と無線基地局200との間のメッセージのやりとりを利用して無線通信装置100は時間情報を無線基地局200から取得する。WiMAXにおいては無線通信装置100から無線基地局200への方向のメッセージであるSBC−REQと、無線基地局200から無線通信装置100への方向のメッセージであるSBC−RSPとのやりとりが基本機能確認ステップS208に相当する。
【0098】
本発明では、この基本機能確認のためのメッセージのやりとりの中で、標準では定義されていない時間情報を追加することで無線通信装置100が時間情報を取得でき、以降の認証ステップS210においてこの時間情報に基づいて証明書の有効期限を認証する。
【0099】
認証ステップS210において認証された後、基地局へ登録ステップS212とIPアドレス取得ステップS214とを経てIPアドレスを取得し、IPの通信が可能となる。尚、IP通信が可能となった時点で時刻サーバ600から正確な時間情報を取得する(S216)。
【0100】
以降、ユーザ接続の各ステップ(S218〜S224)は、第1の実施形態と同様であるため、説明を省略する。第2の実施形態に係る無線通信装置100においても無線通信装置100の時間を接続する通信網側の時間情報で較正することが出来る。
【0101】
また、第1の実施形態において説明したように、時間情報をデータ保存部140に保存しておき、無線基地局200から時間情報の取得が出来なかった場合に代替手段として保存された時間情報を用いてもよい。
【0102】
その場合、無線通信装置100は例えばステップS208において基本機能確認フェーズでやり取りするメッセージから時間情報を得た後や、ステップS216の時間情報取得フェーズにおいて時刻サーバ600から時間情報を取得した後に時間情報をデータ保存部140に保存する。また、図3と同様に無線通信装置100は停止する際に時間情報をデータ保存部に保存してもよい。
【0103】
[3−3.フレーム構成]
次に、上記の基本機能確認のためのメッセージの具体例について、WiMAXの通信方式において規定されたフレームを用いる一例について図6と図7とを用いて説明をする。図6は、本実施形態の基本機能確認においてやりとりされるメッセージのフレームフォーマットを示す説明図である。図7は、図6のフレームのTLVフォーマット部分の内容の一例である。
【0104】
本実施形態においては、基本機能確認フェーズにおいて、既存のメッセージであり無線通信装置100から無線基地局200方向のメッセージであるSBC−REQと、無線基地局200から無線通信装置100方向のメッセージであるSBC−RSPのやりとりを利用して、無線通信装置100は無線基地局200から時間情報を取得する。
【0105】
SBC−REQとSBC−RSPとは無線通信装置100と無線基地局200との間において、MAC層において送受信されるメッセージである。
【0106】
図6に示すように、SBC−REQ60はMACヘッダ61とPayload62とCRC63とを主に有する。Payload62は、Management Message Type64とTLVフォーマット65部分とを含み、Payload62の構造は以下のようになっている。
SBC−REQ_Message_Format(){
Management Message Type=26 (8bits)
TLV Encoded Information(TLV specific)
}
【0107】
TLVフォーマットとは、Type651,Length652,Value653の3つの領域から成るフォーマットである。このうちType番号は、当該メッセージの種類を表すものであるが、WiMAXの通信方式においてもSBC−REQの規定のTypeが定められている。今回、このTLV65領域を用いて時間情報送受信用に空いているType番号を新たに定義し、無線通信装置100から無線基地局200へ時間情報要求メッセージを送る。
【0108】
上記のようにSBC−REQメッセージを用いて時間情報取得要求を無線通信装置100から無線基地局200へ伝えた後、SBC−RSPメッセージを用いて無線基地局200は無線通信装置100に向かって時間情報を送信する。
【0109】
SBC−RSPメッセージのフレームフォーマットはSBC−REQメッセージと同様図6を用いて説明する。SBC−RSP60はMACヘッダ61とPayload62とCRC63を主に有する。Payload62は、Management Message Type64とTLVフォーマット65部分とを含み、その構造は以下のようになっている。
SBC−RSP_Message_Format(){
Management Message Type=27 (8bits)
TLV Encoded Attributes(TLV specific)
}
【0110】
図7に示したように、SBC−RSPメッセージもSBC−REQメッセージと同様に空きType番号を新たに定義し、無線基地局200は、Value領域を用いて無線通信装置100へ時間情報を送信する。
【0111】
<4.まとめ>
以上、従来の無線通信装置において認証時に内部時計が正しい時間情報を有していないために、証明書の有効期限チェックが正しく行えないという問題を解決するために、例えばRTC回路とバックアップ電池といったハード的な仕組みを用いない方法をいくつか挙げてきた。
【0112】
いずれの方法においても、証明書の有効期限チェックを行う前に正しい時間情報を取得することによって正確な有効期限チェックが出来ると共に、正しくない時間情報に基づいて認証を実施することに起因して、無線通信装置100が無線通信網へ接続出来ないために無線通信装置100の設置場所まで赴いてメンテナンス作業をしなければならない事態を回避出来る。
【0113】
以上、添付図面を参照しながら本発明の好適な実施形態について詳細に説明したが、本発明はかかる例に限定されないことは言うまでもない。本発明の属する技術の分野における通常の知識を有する者であれば、特許請求の範囲に記載された技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、これらについても当然に本発明の技術的範囲に属するものと了解される。
【0114】
例えば、上記実施形態では、無線通信装置100は無線基地局200から時間情報を取得する形態としたが、本発明はかかる例に限定されない。無線通信装置100とMAC層レベルにおいてメッセージのやりとりができる装置であればその種類が限定されるものではない。
【0115】
また例えば、上記実施形態では、WiMAXのSBC−REQとSBC−RSPのメッセージを用いて時間情報を取得する形態としたが、本発明はかかる例に限定されない。無線通信装置100と接続でき、正確な時間情報を有する装置と、無線通信装置100との間で送受信するメッセージであって、必要なデータサイズを確保できるメッセージであればその種類が限定されるものではない。
【0116】
尚、本明細書において、シーケンス図に記述されたステップは、記載された順序に沿って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的に又は個別的に実行される処理をも含む。また時系列的に処理されるステップでも、場合によっては適宜順序を変更することが可能であることは言うまでもない。
【符号の説明】
【0117】
100 無線通信装置
132 認証部
134 時刻取得部
200 無線基地局
300 ユーザ端末
400 認証サーバ
500 DHCPサーバ
600 時刻サーバ
【技術分野】
【0001】
本発明は、無線通信装置及び無線通信装置の認証方法に関する。
【背景技術】
【0002】
一般に、通信装置がネットワークに接続する際の認証において、証明書を利用した認証方法が普及している。このような認証においては、証明書の正当性が確認されると共に、予め設定された有効期限のチェックが行われる。
【0003】
通常上記の有効期限のチェックは、通信装置がネットワークに接続する際に、通信装置の内部時計の現在日時と有効期限に設定された日時とを比較することで行われる(特許文献1)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−172293号公報
【特許文献2】特開平6−258709号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、このような認証方法においては、上記通信装置の主電源が落とされると、時間情報が初期化されて内部時計の値が過去の日時となってしまい、上記の有効期限のチェックを正確に行うことができず、ネットワークに接続する通信装置を正しく制御出来ないという問題があった。
【0006】
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、時間情報を取得するためのハードウェア的な仕組みがない無線通信装置において、証明書の有効期限の認証を正確に行うことが可能な、新規かつ改良された無線通信装置及び無線通信装置の認証方法を提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明のある観点によれば、時間情報を送信可能なサーバと通信網を介して接続する無線通信装置であって、上記サーバから時間情報を取得する時刻取得部と、上記通信網に接続するための認証を有効期限が設定された証明書を用いて行う認証部とを備え、上記認証部は、上記時刻取得部が上記サーバから正しい時間情報を取得した後に上記有効期限の認証を行う無線通信装置が提供される。
【0008】
かかる構成によると、上記無線通信装置は有効期限の認証を行う前に正しい時間情報を取得することができるようになるため、証明書の有効期限の認証を正確に行うことができるようになる。また、時間情報を接続する通信網内のサーバから取得するため、上記無線通信装置の時間を通信網側の時間情報で較正することが出来る。
【0009】
また上記認証部は、上記証明書の有効期限の認証を行わずに上記無線通信装置が上記通信網に接続することを認証し、上記時刻取得部が上記サーバから正しい時間情報を取得した後に有効期限の認証をしてもよい。
【0010】
かかる構成は、上記の有効期限の認証を行う前に正しい時間情報を取得するための具体例の1つである。有効期限の認証を行わずに、証明書の正当性を認証し、IPアドレスの取得が出来るようにする。これにより、上記無線通信装置は時刻サーバと接続して時間情報を取得することが出来るようになる。
【0011】
また、上記サーバは無線基地局であってもよく、上記時刻取得部は、時間情報の取得要求を含む第1のメッセージを上記無線基地局に送信し、上記第1のメッセージの応答メッセージであり時間情報を含む第2のメッセージから上記時間情報を取得してもよい。
【0012】
かかる構成は、上記の有効期限の認証を行う前に正しい時間情報を取得するためのもう1つの具体例である。1つ目の例のようにIPアドレスの取得をせずとも、無線基地局とのメッセージのやりとりを利用することによって時間情報を取得することができる。
【0013】
また、上記第1のメッセージと上記第2のメッセージとは、所定のフレームを用いて上記無線基地局と上記無線通信装置とのMAC層において送受信されるメッセージであってもよい。
【0014】
このようにMAC層において送受信されるメッセージを利用することにより、IPアドレスの取得前であっても時間情報を取得することが出来るようになる。
【0015】
また、上記所定のフレームはTLVフィールドを有しており、上記時間情報の取得要求と上記時間情報とは、当該TLVフィールドを用いて送受信されてもよい。
【0016】
また、上記時刻取得部は、上記時間情報を取得すると共に該時間情報をデータ保存部に保存してもよい。
【0017】
正確な時間情報を取得した時に、時間情報をデータ保存部に保存しておくことによって、万一上記サーバから時間情報が取得できなかった場合に備えることが出来る。
【0018】
また、上記時刻取得部は、上記サーバから上記時間情報を取得できなかった場合に、上記データ保存部に保存された時間情報を取得し、上記認証部は上記データ保存部から取得された時間情報を用いて上記有効期限の認証をしてもよい。
【0019】
かかる構成により、上記無線通信装置はデータ保存部に予め退避された時間情報を用いて証明書の有効期限の認証を行うことが出来るようになる。無線通信装置の停止準備に時間情報を保存する処理を組み込んでおいた場合、上記データ保存部に保存された時間情報は、前回無線通信装置が停止した際の時間情報である。よって、ある程度正確な時間情報を用いて有効期限の認証を行うことが出来、無線通信装置が無線通信網に接続できない状態を回避することが出来る。
【0020】
また、上記課題を解決するために、本発明の別の観点によれば、時間情報を送信可能なサーバと通信網を介して接続する無線通信装置が有効期限の設定された証明書を用いて上記通信網に接続するための認証を行う認証方法であって、上記無線通信装置が上記サーバと接続するステップと、上記無線通信装置が上記サーバから時間情報を取得するステップと、上記時間情報に基づいて上記証明書の有効期限の認証を行うステップとを含む無線通信装置の認証方法が提供される。
【発明の効果】
【0021】
以上説明したように本発明によれば、時間情報を取得するためのハードウェア的な仕組みがない無線通信装置において、証明書の有効期限の認証を正確に行うことが可能となる。
【図面の簡単な説明】
【0022】
【図1】第1の実施形態に係る無線通信装置の機能構成図である。
【図2】第1の実施形態に係る無線通信装置の認証方法を示すシーケンス図である。
【図3】図2の認証方法の変形例を示すシーケンス図である。
【図4】第2の実施形態に係る無線通信装置の機能構成図である。
【図5】第2の実施形態に係る無線通信装置の認証方法を示すシーケンス図である。
【図6】図4の認証方法に用いられるフレーム構成図である。
【図7】図5のフレームの詳細を説明する説明図である。
【図8】従来の無線通信装置の認証方法を示すシーケンス図である。
【発明を実施するための形態】
【0023】
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
【0024】
以下、まず従来の無線通信装置における認証方法について説明し、次に第1の実施形態及び第2の実施形態についてそれぞれ説明する。
【0025】
<1.従来の無線通信装置における認証方法>
まず初めに、本発明の各実施形態に係る無線通信装置の認証方法の特徴の理解を容易にするために、従来の無線通信装置における認証方法について図8を用いて説明する。図8は、従来の無線通信装置における認証方法を説明するためのシーケンス図である。
【0026】
まず、無線通信装置900を起動する(S300)。無線通信装置900は、前回電源が落ちた際にOSが管理している時間情報が初期化されている。よって、次に無線通信装置900が時間情報を取得するまでは、無線通信装置900の内部時計は過去の時間を保持したままである。
【0027】
ステップS302の無線接続フェーズは、無線通信装置900が無線基地局200とMAC層レベルで無線接続するためのネゴシエーションなどの動作を行う。次に無線通信装置900は無線通信網に接続するための認証を行う(S304)。ステップS304の認証フェーズにおいては、無線通信装置900と認証サーバ400との間で認証処理が行われる。
【0028】
認証処理においては、証明書の正当性を確認する他に証明書に設定された有効期限をチェックする必要がある。しかし、この時点において無線通信装置900は正しい時間情報を持っていない。
【0029】
正しい時間情報を得るためには、無線通信装置900自身が正しい時間情報を持つハードウェア的な仕組みを持たない場合には外部から取得する必要がある。しかし、この時点では無線通信装置900はIPアドレスの取得も行っていないため正しい時間情報を有する外部のサーバなどに接続することが出来ない。
【0030】
従って、無線通信装置900はこの時点において正しい時間情報を持つことができず、認証フェーズにおける証明書の有効期限チェックを正しく行うことが出来ない。
【0031】
例えば通信装置が起動時に「1970年01月01日00時00分」となり、実際の現在日時が「2009年2月1日01時00分」である場合を考える。例えば有効期限が「2009年1月31日まで」と期限の終了日のみが設定されているような場合には、実際には有効期限が切れているにも関わらず、通信装置は現在日時を「1970年01月01日00時00分」と認識してしまうため認証してしまうという問題が起こりうる。
【0032】
また、例えば有効期限が「2009年1月1日から2009年3月31日まで」と設定されているような場合には、実際には有効期限内であるにも関わらず、有効期限外であると判定されてしまうため上記通信装置がネットワークに接続出来ないという問題が起こりうる。
【0033】
上記のように間違った時間情報に基づいて有効期限をチェックされ、認証が成功した場合には、次に無線通信装置900はDHCPサーバ500からIPアドレスを取得する(S306)。認証に失敗した場合には、無線通信装置900はDHCPサーバと接続することが出来ず、以降の処理を行うことが出来ない。
【0034】
無線通信装置900が認証に失敗してしまった場合には、無線通信装置900はネットワークに接続されていないため、メンテナンスを行おうとしても保守担当者はリモート操作を行うことが出来ず、無線通信装置900が設置された場所まで行って直接接続操作するしかない。
【0035】
IPアドレスが付与された無線通信装置900は、時刻サーバ600に接続することが可能となるため、無線通信装置900は時刻サーバ600から時間情報を取得する(S308)。無線通信装置900は時刻サーバから取得した時間情報に基づき内部時計情報を更新する。
【0036】
以上説明したS302〜S308の各ステップは、無線通信装置900が無線通信網に接続するための手続きである。これらの各ステップが成功すると、無線通信装置900は無線通信網に接続することが可能となり、無線通信装置900は、ユーザ端末300が無線通信網に接続するために通信の中継を行うことができるようになる。
【0037】
ステップS310においては、ユーザ端末300が無線通信装置900に接続する。その後ユーザ端末300は認証サーバ400と接続し、認証処理を行う(S312)。次にユーザ端末300はDHCPサーバ500からIPアドレスを取得し(S314)、通信先装置700と接続することが出来るようになる。
【0038】
このように、従来の無線通信装置900において、主電源が落ちた場合に初期化された内部時計の情報を補正する必要がある。認証を行って、IPアドレスを取得した後であれば時刻サーバに接続して正しい時間情報を得ることが出来るが、認証時にはIPアドレスを有しておらず、時刻サーバと接続することが出来ない。
【0039】
よって、従来この段階で正しい時間情報を得るためにRTC回路とバックアップ電池のようなハードウェア的な仕組みが用いられていた。またこのようなハードウェア的な仕組みを持たない場合には、無線通信装置900は、認証フェーズにおいて正しい時間情報を持つことが出来ないため、認証フェーズの中の証明書の有効期限チェックを正しく行うことが出来なかった。
【0040】
特に、無線通信装置などの場合には、物理的な回線を専有するわけではなく、第三者による接続が可能であるためネットワークに接続する際の無線上での認証動作は重要であり、証明書の有効期限チェックも厳密に行うべきである。
【0041】
尚、主電源が落ちている場合には時間情報を更新するRTC(Real Time Clock)回路をバックアップ電池で動作させるというハードウェア的な仕組みによって上記のような問題を解決する方法も提案されているが、装置の価格が高価になるという問題があった。
【0042】
そこで、次に説明をする本発明の各実施形態に係る無線通信装置100は、認証フェーズにおいて無線通信装置100が正しい時間情報を取得することができるようにするものである。
【0043】
<2.第1の実施形態>
まず、本発明の第1の実施形態に係る無線通信装置の機能構成について説明をする。その次に本実施形態に係る無線通信装置を用いた認証方法について説明し、最後に変形例について説明をする。
【0044】
第1の実施形態においては、正しい時間情報を用いて証明書の有効期限をチェックするために、本認証を行う前に有効期限のチェックを行わない仮認証をする。証明書の正当性が確認されると、無線通信装置100はIPアドレスの取得が可能な仮認証状態となり、時刻サーバに接続することが可能となるため時間情報を取得することが出来る。
【0045】
[2−1.機能構成]
まず図1を用いて、本発明の一実施形態に係る無線通信装置の機能構成について説明をする。図1は、本発明の一実施形態に係る無線通信装置の機能構成図である。
【0046】
本発明の一実施形態に係る無線通信装置100は、無線基地局200と無線通信網を介して接続する。また、ユーザ端末300とは無線もしくは有線の通信網を介して接続する。尚、図1には示していないが、無線基地局200の上位装置には認証サーバ400、DHCPサーバ500、時刻サーバ600が存在している。
【0047】
無線通信装置100は、無線の通信機能を有する装置であり、無線基地局200やユーザ端末300と接続する。無線通信装置100は、例えば無線中継装置であり、ユーザ端末300と無線基地局200との通信を中継する。
【0048】
無線基地局200は、ユーザ端末300と無線通信を行う。無線基地局200は、ユーザ端末300と直接通信することや、無線中継装置を介して通信することも可能である。
【0049】
ユーザ端末300は、無線通信を行うことが可能な端末である。ユーザ端末300は無線基地局200を介して無線通信を行ったり、さらに無線通信装置100を中継して無線通信を行ったりすることも可能である。
【0050】
ユーザ端末300は、例えばPCや携帯電話やPDAなどであってよく、通信可能であり、ユーザが操作することが可能な端末であればその種類を問うものではない。
【0051】
認証サーバ400は、通信網に接続するための認証を行うサーバである。DHCPサーバ500は、通信網に接続する端末にIPアドレスを付与するサーバである。時刻サーバは、時間情報を提供するサーバである。
【0052】
無線通信装置100は、ユーザ端末制御部110と、無線基地局制御部120と、ルータ機能部130と、データ保存部140とを主に有する。
【0053】
ユーザ端末制御部110は、無線通信装置100が無線または有線のネットワークを介してユーザ端末300を接続するための制御部である。また、無線基地局制御部120は、無線通信装置100が無線基地局200と接続するための制御部である。
【0054】
ルータ機能部130は、ユーザ端末制御部110や無線基地局制御部120から要求されるパケットの振り分けをする機能や各種LANプロトコル機能が含まれる。
【0055】
ルータ機能部130は、パケット振り分け部131と、認証部132と、DHCP部133と、時刻取得部134とを主に有する。
【0056】
パケット振り分け部131は、ユーザ端末制御部110や無線基地局制御部120から要求されるパケットの振り分けをする機能を有する。認証部132は、無線通信装置100が無線通信網に接続するための認証処理を行う。本実施形態においては、有効期限が設定された証明書を用いて認証を行う。
【0057】
認証部132は、通信網に接続するための認証を有効期限が設定された証明書を用いて行う。認証サーバ400のクライアントとして機能し、証明書が正当なものであることを認証する。さらに、証明書に設定された有効期限内の証明書であるか否かを判断する。
【0058】
本実施形態において認証部132は、時刻取得部134が時間情報を有するサーバから正しい時間情報を取得した後に行う本認証と、有効期限のチェックを行わない仮認証とを行う機能を有する。
【0059】
DHCP部133は、DHCPサーバ500のクライアントとして機能する。DHCPサーバからIPアドレスを取得し、無線通信装置100に設定する。
【0060】
時刻取得部134は、サーバなどから時間情報を取得する機能部であり、無線通信装置100の内部時刻を正確に保つために時間情報を取得する。本実施形態においては時刻サーバ600のクライアントとして機能する。
【0061】
時刻取得部134は、時間情報を有するサーバから時間情報を取得できなかった場合に、後に説明するデータ保存部に保存された時間情報を取得する機能を有する。
【0062】
無線通信装置100は、通常上記有効期限の認証まで含めた認証がされた後に無線通信網へ接続することが出来る。しかし本実施形態においては、本認証を行う前に有効期限のチェックを行わない仮認証をする。証明書の正当性が確認されると、無線通信装置100はIPアドレスの取得が可能な仮認証状態となり、時刻サーバに接続することが可能となるため時間情報を取得することが出来る。
【0063】
以上説明した無線通信装置100の各機能部は、ハードウェアにより実現されてもよいし、ソフトウェアによって実現されてもよい。ソフトウェアによって実現される場合には、CPU(図示せず)が各機能部が実行する処理を記載したプログラムを記憶したROMやRAM(いずれも図示せず)などの記憶媒体からプログラムを読み出し、そのプログラムを解釈して実行することにより達成される。CPUは、ROMに記憶されているプログラムに基づいて、RAMを作業領域として動作してもよい。
【0064】
データ保存部140は、各種のデータを記憶し保存することが可能な記憶装置である。データ保存部140は例えばハードディスク(Hard Disk)などの磁気記録媒体や、EEPROM(Electronically Erasable and Programmable Read Only Memory)、フラッシュメモリ、MRAM(Magnetoresistive Random Access Memory)、FeRAM(Ferroelectric Random Access Memory)、PRAM(Phase change Random Access Memory)などの不揮発性メモリが挙げられるが、上記に限られない。
【0065】
データ保存部140は、時間情報を保存する機能を有する。無線通信装置100の起動時に時間情報が取得できなかった場合にデータ保存部140に保存しておいた時間情報を用いることである程度正確な時間情報を得ることを可能にし、無線通信装置100が通信網に接続できない事態を回避する方法については後述する。
【0066】
[2−2.認証方法]
次に、図2を用いて第1の実施形態に係る無線通信装置100が無線通信網に接続する際の認証方法について説明をする。図2は、第1の実施形態に係る無線通信装置100の認証方法を示すシーケンス図である。
【0067】
本願の第1の実施形態に係る無線通信装置100は、有効期限が設定された証明書を用いて無線通信網に接続する際の認証を行っている。
【0068】
まず無線通信装置100を起動する(S100)。この時、無線通信装置100内部のOSで管理している時間情報は初期化されている。無線通信装置100は、無線基地局200との通信経路を確立するために無線接続フェーズ(S102)の動作を行う。
【0069】
次に、許可されたユーザのみ通信経路が使用出来るように証明書の仮認証が行われる(S104)。従来例においては、この段階で証明書の正当性と有効期限をチェックしていたが、この仮認証フェーズにおいては、無線通信装置100は正確な時間情報を有していないため、通常の認証フェーズにおいて行われる証明書の有効期限チェックは行わない。
【0070】
仮認証が成功すると、無線通信装置100はDHCPサーバ500と接続してIPアドレスを取得する(S106)。
【0071】
IPアドレスを取得した無線通信装置100は時刻サーバ600と接続することが出来るようになるので、無線通信装置100は時刻サーバ600と接続して時間情報を取得する(S108)。無線通信装置100は時刻サーバから取得した時間情報に基づき内部時計情報を更新する。
【0072】
ステップS108において無線通信装置100は時刻サーバ600から正確な時間情報を取得した後、ステップS110の本認証フェーズにおいて無線通信装置100は正確な時間情報に基づいた証明書の有効期限チェックを含む認証を行うことが可能になる。
【0073】
以上のようにして無線通信装置100と無線基地局200との間に通信経路を確立することが出来ると、ユーザ端末300は接続フェーズ(S112)、ユーザIP取得フェーズ(S114)を行い、最終的にはユーザ端末300と通信相手700との間の通信であるユーザ通信フェーズ(S118)が可能となる。
【0074】
以上、説明したように本発明の第1の実施形態に係る無線通信装置を用いた認証方法においては、無線通信装置100は有効期限のチェックを行わずに無線通信装置100が時刻サーバ600と接続することが出来るようにし、時刻サーバ600から正しい時間情報を取得してから有効期限のチェックを行うため、有効期限のチェックを正確に行うことができるようになる。
【0075】
例えば実際には有効期限が切れた証明書を持っているにも関わらず接続できてしまう場合や、例えば実際には有効期限内の証明書を持っているにも関わらず接続できないといった状態を防止することができるようになる。
【0076】
また、接続する通信網内のサーバから時間情報を取得するため、無線通信装置100の時間を通信網側の時間情報で較正することが出来るようになる。
【0077】
[2−3.変形例]
次に、第1の実施形態の変形例について図3を用いて説明する。図3は、第1の実施形態に係る無線通信装置の認証方法の変形例を示すシーケンス図である。S100〜S118に係る各ステップは、図2と同様であるため、説明を省略する。以下、図2との相違点のみを説明する。
【0078】
図3に示す変形例は、図2の時刻取得フェーズにおいてもし時刻サーバ600から時間情報が取得できなかった場合に、データ保存部140に保存しておく時間情報を用いて認証を行おうとするものである。
【0079】
上記のように時刻サーバ600から時間情報を取得できなかった場合に備えて、本変形例においてはステップS108において時刻サーバ600から時間情報を取得した後に時間情報をデータ保存部140に保存し(S150)、また、無線通信装置100が停止準備に入ると(S152)、時間情報をデータ保存部140に保存する(S154)。
【0080】
また、ここでは時間情報の保存はステップS110の本認証の前の時刻取得ステップS108において取得した時刻と、装置停止準備における時間情報を保存することとしたが、この間定期的に時間情報のバックアップを行うようにしてもよい。
【0081】
このようにして予めデータ保存部140には時間情報が退避されている状態において、ステップS108の時刻取得フェーズにおいて時刻サーバ600から時間情報が取得できなかった場合においてもデータ保存部140に保存してある時間情報に基づいて有効期限のチェックを実施することによってある程度正確な証明書の有効期限のチェックが可能となる。
【0082】
例えば時刻サーバ600に接続が出来なくなった場合に、無線通信装置100が全く無線通信網に接続できなくなってしまうと、無線通信装置100のメンテナンスが必要であっても、保守担当者はリモートから無線通信装置100を操作することが出来ず、無線通信装置100が設置されている場所へ赴くしかなくなってしまう。
【0083】
管理している無線通信装置100の数が多い場合や、無線通信装置100が遠方に設置されている場合には、それぞれの設置場所に赴いて保守業務を行うのは大変手間がかかるため、本変形例のように退避した時間情報を用いて無線通信装置100が無線通信網に接続出来るようにする方法は有効である。
【0084】
以上説明してきた認証方法においては、証明書の有効期限チェックを行う前に時間情報を取得する方法として、第1の実施形態においては証明書の認証において有効期限チェックを行わない仮認証を行い、有効期限のチェック前に無線通信装置100がIPアドレスを取得して時刻サーバ600に接続出来るようにした。
【0085】
<3.第2の実施形態>
次に説明する第2の実施形態は、無線通信装置100と無線基地局200とのMAC層レベルにおける既存のメッセージのやり取りを利用して無線通信装置100が時間情報を取得しようとするものである。
【0086】
本実施形態においては、IEEE802.16eに規定されるWiMAXの通信方法に基づいたフレームフォーマットを用いて時間情報を取得する例を説明する。
【0087】
[3−1.機能構成]
本実施形態に係る無線通信装置100の構成を図4を用いて説明する。図4は、第2実施形態に係る無線通信装置100の機能構成を示すブロック図である。第2の実施形態に係る無線通信装置100の機能構成と図1に示す第1の実施形態に係る無線通信装置100とは、認証部132、時刻取得部134における内部処理と、無線基地局200の無線通信装置制御部210にも機能を追加する点で異なる。
【0088】
以下、図1に示す第1の実施形態に係る無線通信装置100と異なる部分のみを説明し、その他の構成は同様であるため説明を省略する。無線基地局制御部120は、無線基地局200との通信を制御する機能部である。本実施形態において無線基地局制御部120は、特に無線基地局との通信路を確立するフェーズにおいてMAC層におけるメッセージのやりとりを制御する機能も有する。
【0089】
認証部132は、認証サーバ400のクライアントとして機能し、証明書が正当なものであることを、無線通信装置100の内部に記憶された証明書と、認証サーバ400に記憶された証明書とを用いて認証する。さらに、証明書に設定された有効期限内の証明書であるか否かを判断する。
【0090】
本実施形態において認証部132は、無線基地局制御部120と無線通信装置制御部210との間でやりとりされるメッセージの中から時刻取得部134が時間情報を取得した後に、無線通信装置100が無線通信網へ接続するための認証を実施する。
【0091】
時刻取得部134は、時間情報を取得する機能部である。時刻サーバのクライアントとして機能したり、無線基地局制御部120と無線通信装置制御部210との間でやりとりされるメッセージの中から時間情報を取得したりする。
【0092】
無線通信装置制御部210は、無線通信装置100と接続するための制御部である。本実施形態において無線通信装置制御部210は、特に無線通信装置との通信路を確立するフェーズにおいてMAC層におけるメッセージのやりとりを制御する機能を主に有する。
【0093】
[3−2.認証方法]
次に、図5を用いて本願の第2の実施形態に係る無線通信装置100が無線通信網に接続する際の認証について説明をする。図5は、第2の実施形態に係る無線通信装置100の認証方法を示すシーケンス図である。
【0094】
まず、無線基地局200は、時刻サーバ600などから正確な時間情報を取得していることを前提とする。次に無線通信装置100を起動する(S200)。この時、無線通信装置100内部の時間情報は初期化されている。
【0095】
ステップS200における無線通信装置100の起動後、無線通信装置100は無線基地局200から無線報知情報を受信する(S202)。ここで無線報知情報は周期的に送信される情報であって、WiMAXにおいてはDL−MAPがそれに相当する。DL−MAPは、通信における様々な初期化パラメータが記載された情報である。
【0096】
ステップS204において無線通信装置100が無線接続を開始した後、レンジング(S206)により無線のタイミング、出力、周波数の調整などが行われる。次に、基本機能確認ステップS208において無線通信に必要な情報のネゴシエーションを実施する。
【0097】
この基本機能確認ステップS208は、無線通信装置100と無線基地局200との間のメッセージのやりとりを利用して無線通信装置100は時間情報を無線基地局200から取得する。WiMAXにおいては無線通信装置100から無線基地局200への方向のメッセージであるSBC−REQと、無線基地局200から無線通信装置100への方向のメッセージであるSBC−RSPとのやりとりが基本機能確認ステップS208に相当する。
【0098】
本発明では、この基本機能確認のためのメッセージのやりとりの中で、標準では定義されていない時間情報を追加することで無線通信装置100が時間情報を取得でき、以降の認証ステップS210においてこの時間情報に基づいて証明書の有効期限を認証する。
【0099】
認証ステップS210において認証された後、基地局へ登録ステップS212とIPアドレス取得ステップS214とを経てIPアドレスを取得し、IPの通信が可能となる。尚、IP通信が可能となった時点で時刻サーバ600から正確な時間情報を取得する(S216)。
【0100】
以降、ユーザ接続の各ステップ(S218〜S224)は、第1の実施形態と同様であるため、説明を省略する。第2の実施形態に係る無線通信装置100においても無線通信装置100の時間を接続する通信網側の時間情報で較正することが出来る。
【0101】
また、第1の実施形態において説明したように、時間情報をデータ保存部140に保存しておき、無線基地局200から時間情報の取得が出来なかった場合に代替手段として保存された時間情報を用いてもよい。
【0102】
その場合、無線通信装置100は例えばステップS208において基本機能確認フェーズでやり取りするメッセージから時間情報を得た後や、ステップS216の時間情報取得フェーズにおいて時刻サーバ600から時間情報を取得した後に時間情報をデータ保存部140に保存する。また、図3と同様に無線通信装置100は停止する際に時間情報をデータ保存部に保存してもよい。
【0103】
[3−3.フレーム構成]
次に、上記の基本機能確認のためのメッセージの具体例について、WiMAXの通信方式において規定されたフレームを用いる一例について図6と図7とを用いて説明をする。図6は、本実施形態の基本機能確認においてやりとりされるメッセージのフレームフォーマットを示す説明図である。図7は、図6のフレームのTLVフォーマット部分の内容の一例である。
【0104】
本実施形態においては、基本機能確認フェーズにおいて、既存のメッセージであり無線通信装置100から無線基地局200方向のメッセージであるSBC−REQと、無線基地局200から無線通信装置100方向のメッセージであるSBC−RSPのやりとりを利用して、無線通信装置100は無線基地局200から時間情報を取得する。
【0105】
SBC−REQとSBC−RSPとは無線通信装置100と無線基地局200との間において、MAC層において送受信されるメッセージである。
【0106】
図6に示すように、SBC−REQ60はMACヘッダ61とPayload62とCRC63とを主に有する。Payload62は、Management Message Type64とTLVフォーマット65部分とを含み、Payload62の構造は以下のようになっている。
SBC−REQ_Message_Format(){
Management Message Type=26 (8bits)
TLV Encoded Information(TLV specific)
}
【0107】
TLVフォーマットとは、Type651,Length652,Value653の3つの領域から成るフォーマットである。このうちType番号は、当該メッセージの種類を表すものであるが、WiMAXの通信方式においてもSBC−REQの規定のTypeが定められている。今回、このTLV65領域を用いて時間情報送受信用に空いているType番号を新たに定義し、無線通信装置100から無線基地局200へ時間情報要求メッセージを送る。
【0108】
上記のようにSBC−REQメッセージを用いて時間情報取得要求を無線通信装置100から無線基地局200へ伝えた後、SBC−RSPメッセージを用いて無線基地局200は無線通信装置100に向かって時間情報を送信する。
【0109】
SBC−RSPメッセージのフレームフォーマットはSBC−REQメッセージと同様図6を用いて説明する。SBC−RSP60はMACヘッダ61とPayload62とCRC63を主に有する。Payload62は、Management Message Type64とTLVフォーマット65部分とを含み、その構造は以下のようになっている。
SBC−RSP_Message_Format(){
Management Message Type=27 (8bits)
TLV Encoded Attributes(TLV specific)
}
【0110】
図7に示したように、SBC−RSPメッセージもSBC−REQメッセージと同様に空きType番号を新たに定義し、無線基地局200は、Value領域を用いて無線通信装置100へ時間情報を送信する。
【0111】
<4.まとめ>
以上、従来の無線通信装置において認証時に内部時計が正しい時間情報を有していないために、証明書の有効期限チェックが正しく行えないという問題を解決するために、例えばRTC回路とバックアップ電池といったハード的な仕組みを用いない方法をいくつか挙げてきた。
【0112】
いずれの方法においても、証明書の有効期限チェックを行う前に正しい時間情報を取得することによって正確な有効期限チェックが出来ると共に、正しくない時間情報に基づいて認証を実施することに起因して、無線通信装置100が無線通信網へ接続出来ないために無線通信装置100の設置場所まで赴いてメンテナンス作業をしなければならない事態を回避出来る。
【0113】
以上、添付図面を参照しながら本発明の好適な実施形態について詳細に説明したが、本発明はかかる例に限定されないことは言うまでもない。本発明の属する技術の分野における通常の知識を有する者であれば、特許請求の範囲に記載された技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、これらについても当然に本発明の技術的範囲に属するものと了解される。
【0114】
例えば、上記実施形態では、無線通信装置100は無線基地局200から時間情報を取得する形態としたが、本発明はかかる例に限定されない。無線通信装置100とMAC層レベルにおいてメッセージのやりとりができる装置であればその種類が限定されるものではない。
【0115】
また例えば、上記実施形態では、WiMAXのSBC−REQとSBC−RSPのメッセージを用いて時間情報を取得する形態としたが、本発明はかかる例に限定されない。無線通信装置100と接続でき、正確な時間情報を有する装置と、無線通信装置100との間で送受信するメッセージであって、必要なデータサイズを確保できるメッセージであればその種類が限定されるものではない。
【0116】
尚、本明細書において、シーケンス図に記述されたステップは、記載された順序に沿って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的に又は個別的に実行される処理をも含む。また時系列的に処理されるステップでも、場合によっては適宜順序を変更することが可能であることは言うまでもない。
【符号の説明】
【0117】
100 無線通信装置
132 認証部
134 時刻取得部
200 無線基地局
300 ユーザ端末
400 認証サーバ
500 DHCPサーバ
600 時刻サーバ
【特許請求の範囲】
【請求項1】
時間情報を送信可能なサーバと通信網を介して接続する無線通信装置であって、
前記サーバから時間情報を取得する時刻取得部と、
前記通信網に接続するための認証を有効期限が設定された証明書を用いて行う認証部と、
を備え、
前記認証部は、前記時刻取得部が前記サーバから正しい時間情報を取得した後に前記有効期限の認証を行う、
無線通信装置。
【請求項2】
前記認証部は、前記証明書の有効期限の認証を行わずに前記無線通信装置が前記通信網に接続することを認証し、前記時刻取得部が前記サーバから正しい時間情報を取得した後に有効期限の認証をする、請求項1に記載の無線通信装置。
【請求項3】
前記サーバは無線基地局であり、
前記時刻取得部は、時間情報の取得要求を含む第1のメッセージを前記無線基地局に送信し、前記第1のメッセージの応答メッセージであり時間情報を含む第2のメッセージから前記時間情報を取得する、請求項1に記載の無線通信装置。
【請求項4】
前記第1のメッセージと前記第2のメッセージとは、所定のフレームを用いて前記無線基地局と前記無線通信装置とのMAC層において送受信される、請求項3に記載の無線通信装置。
【請求項5】
前記所定のフレームはTLVフィールドを有しており、前記時間情報の取得要求と前記時間情報とは、当該TLVフィールドを用いて送受信される、請求項3または4のいずれかに記載の無線通信装置。
【請求項6】
前記時刻取得部は、前記時間情報を取得すると共に該時間情報をデータ保存部に保存する、請求項1〜5のいずれかに記載の無線通信装置。
【請求項7】
前記時刻取得部は、前記サーバから前記時間情報を取得できなかった場合に、前記データ保存部に保存された時間情報を取得し、
前記認証部は前記データ保存部から取得された時間情報を用いて前記有効期限の認証をする、請求項6に記載の無線通信装置。
【請求項8】
時間情報を送信可能なサーバと通信網を介して接続する無線通信装置が有効期限の設定された証明書を用いて前記通信網に接続するための認証を行う認証方法であって、
前記無線通信装置が前記サーバと接続するステップと、
前記無線通信装置が前記サーバから時間情報を取得するステップと、
前記時間情報に基づいて前記証明書の有効期限の認証を行うステップと、
を含む無線通信装置の認証方法。
【請求項1】
時間情報を送信可能なサーバと通信網を介して接続する無線通信装置であって、
前記サーバから時間情報を取得する時刻取得部と、
前記通信網に接続するための認証を有効期限が設定された証明書を用いて行う認証部と、
を備え、
前記認証部は、前記時刻取得部が前記サーバから正しい時間情報を取得した後に前記有効期限の認証を行う、
無線通信装置。
【請求項2】
前記認証部は、前記証明書の有効期限の認証を行わずに前記無線通信装置が前記通信網に接続することを認証し、前記時刻取得部が前記サーバから正しい時間情報を取得した後に有効期限の認証をする、請求項1に記載の無線通信装置。
【請求項3】
前記サーバは無線基地局であり、
前記時刻取得部は、時間情報の取得要求を含む第1のメッセージを前記無線基地局に送信し、前記第1のメッセージの応答メッセージであり時間情報を含む第2のメッセージから前記時間情報を取得する、請求項1に記載の無線通信装置。
【請求項4】
前記第1のメッセージと前記第2のメッセージとは、所定のフレームを用いて前記無線基地局と前記無線通信装置とのMAC層において送受信される、請求項3に記載の無線通信装置。
【請求項5】
前記所定のフレームはTLVフィールドを有しており、前記時間情報の取得要求と前記時間情報とは、当該TLVフィールドを用いて送受信される、請求項3または4のいずれかに記載の無線通信装置。
【請求項6】
前記時刻取得部は、前記時間情報を取得すると共に該時間情報をデータ保存部に保存する、請求項1〜5のいずれかに記載の無線通信装置。
【請求項7】
前記時刻取得部は、前記サーバから前記時間情報を取得できなかった場合に、前記データ保存部に保存された時間情報を取得し、
前記認証部は前記データ保存部から取得された時間情報を用いて前記有効期限の認証をする、請求項6に記載の無線通信装置。
【請求項8】
時間情報を送信可能なサーバと通信網を介して接続する無線通信装置が有効期限の設定された証明書を用いて前記通信網に接続するための認証を行う認証方法であって、
前記無線通信装置が前記サーバと接続するステップと、
前記無線通信装置が前記サーバから時間情報を取得するステップと、
前記時間情報に基づいて前記証明書の有効期限の認証を行うステップと、
を含む無線通信装置の認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2010−193158(P2010−193158A)
【公開日】平成22年9月2日(2010.9.2)
【国際特許分類】
【出願番号】特願2009−35287(P2009−35287)
【出願日】平成21年2月18日(2009.2.18)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.EEPROM
【出願人】(308033722)株式会社OKIネットワークス (165)
【Fターム(参考)】
【公開日】平成22年9月2日(2010.9.2)
【国際特許分類】
【出願日】平成21年2月18日(2009.2.18)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.EEPROM
【出願人】(308033722)株式会社OKIネットワークス (165)
【Fターム(参考)】
[ Back to top ]