無線LAN端末接続方法およびその方法を用いた無線LANシステム
【課題】無線回線で送受信するパケットデータからESSIDを盗難されて悪用されることを防止する。
【解決手段】無線LAN端末10がアクセスポイント(AP)20と通信する際、それぞれが保持する予め付与される公開鍵19,27および必要の都度生成する秘密鍵18,28を暗号鍵として、無線LAN100のアクセスポイント(AP)20に付与されかつ送受信するパケットデータに挿入されるネットワーク名(ESSID)を暗号化する。無線LAN端末10の秘密鍵18は乱数を用いて生成する。
【解決手段】無線LAN端末10がアクセスポイント(AP)20と通信する際、それぞれが保持する予め付与される公開鍵19,27および必要の都度生成する秘密鍵18,28を暗号鍵として、無線LAN100のアクセスポイント(AP)20に付与されかつ送受信するパケットデータに挿入されるネットワーク名(ESSID)を暗号化する。無線LAN端末10の秘密鍵18は乱数を用いて生成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線LAN端末で接続する無線LANのネットワーク名を他人に盗まれることなく無線通信路を安全に接続する方法およびその方法を用いた無線LANシステムに関するものである。
【背景技術】
【0002】
従来の無線LANシステムでは、IEEEにおける無線LAN標準として規定される「IEEE 802.11a,…11i,…」などのIEEE規格群がある。それによれば、無線LANのアクセスポイント(以後、APと略称することがある。)がネットワーク名をビーコン(Beacon)パケットに格納しそのビーコンパケットをブロードキャストすることによって周辺の無線LAN端末に通知している。一つの無線ネットワークと接続する無線端末では同一のネットワーク名が使用され、アクセスポイントを含むネットワークの識別のためにはESSID(Extended Service Set Identifier)が使用される。すなわち、無線LAN端末は、アクセスポイントのビーコンを受信してネットワーク名を抽出することで、自分が接続したいネットワークと同じネットワーク名を有するアクセスポイントに接続を要求しその接続を確立する(例えば、非特許文献1および特許文献1参照。)。
【0003】
一方、無線LANにおけるセキュリティを確保するためには、送信内容を暗号化する暗号鍵を利用する方式などがあるが、無線LAN端末が無線通信を行う際に、第三者の成りすましを防止するため、アクセスポイントが無線端末からセキュリティ設定処理の開始指示を受付ける前にセキュリティ処理の開始を示す開始指示データを受付けしていない場合にのみ、セキュリティ設定処理を実行するというシステムがある(例えば、特許文献2参照。)。
【0004】
しかしながら、従来のこれらシステムにおいて、通常はネットワーク名が無線LAN上にそのまま放送されるため、第三者に簡単に知られてしまうので、それを悪用される可能性がある。ネットワーク名は重要ではないように見られるが、特にVPN(Virtual Private Network)での無線LANネットワーク名は企業の部門名または開発プロジェクトの名称などのような意味ある言葉が一般的に多く使われるため、このような情報が悪用されることは否定できない。
【0005】
例えば、組織内にある複数の無線LANのネットワーク名すなわち上述したESSIDから、組織構成を知ることができる。また、無線LANプロトコルアナライザなどを利用することにより、無線LANのトラフィック量などが簡単に計測できるため、トラフィック量とネットワーク名またはESSIDとを利用して企業の活動などが推測可能である。また、同じネットワーク名またはESSIDを持つアクセスポイントを近くに設置して、通信妨害および成りすましが可能である。
【0006】
ESSIDは、アクセスポイントから送信されるビーコンに格納しないようなシステムもあるが、無線LAN端末とアクセスポイントとの間で送受信する種々の要求パケットおよびその応答パケットに含まれており、その抽出は無線LANプロトコルアナライザなどにより容易に可能である。例えば、一つのアクセスポイントに成りすまして通信中の無線LAN端末にデオーセンティケーション(De-authentication)パケットを送信した場合、無線LAN端末から再アソシエーションが実行されるので、その結果、容易にESSIDを知ることができるからである。
【0007】
【非特許文献1】Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications, ANSI/IEEE Std. 802.11,1999 Edition
【特許文献1】特開2003−204335号公報
【特許文献2】特開2007−013348号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
解決しようとする課題は、無線LAN端末が通信するアクセスポイントとの間で送受信する各種の要求パケットおよび応答パケットに含まれるネットワーク名としてのESSIDが第三者により容易に盗まれる可能性が高いことである。特に企業内ネットワークでは組織内にある複数の無線LANのネットワーク名(ESSID)から、組織構成を知ることにより企業の活動などが推測可能であり、更に、通信妨害などという、盗まれたESSIDによる悪用に対して防止が困難なことである。
【課題を解決するための手段】
【0009】
本発明は、無線回線で送受信するパケットデータからESSIDを盗難されて悪用されることを防止することを目的とする。そのため、無線LAN端末およびアクセスポイントに予め暗号鍵を保有している。そして、前記無線LAN端末と前記アクセスポイントとの間の通信路を形成する際に、その暗号鍵を用いて、無線LANのアクセスポイントに付与されかつ送受信するパケットデータに挿入されるネットワーク名すなわちESSIDを、暗号化することを主要な特徴とする。したがって、受信側では受信した暗号化されたESSIDを暗号鍵で復号する。
【0010】
暗号化技術には上述した「IEEE 802.11」シリーズで規定されたものなどがある。
【0011】
本発明では、無線LAN端末およびそのアクセスポイントそれぞれで暗号鍵として予め付与された公開鍵および必要の都度生成する秘密鍵を保持し、その公開鍵および秘密鍵によりESSIDを暗号化しかつそれを復号する。その秘密鍵は、無線LAN端末で乱数を用いて生成することが望ましい。
【発明の効果】
【0012】
本発明の無線LAN端末接続方法およびその方法を用いた無線LANシステムは、送信パケットに挿入されるESSIDを暗号化し受信側で復号するため、第三者が一つのパケットのみを傍受してデータを盗難しても、そこに含まれるESSIDは暗号化されているので、ESSIDによる悪用を防止することができる。また、暗号化には、公開鍵および秘密鍵が用いられ、特に秘密鍵にその都度発生させる乱数を使用する場合、ESSIDの盗難に対する保護が更に強化できる。
【発明を実施するための最良の形態】
【0013】
無線LAN端末がアクセスポイント(以後、APと略称することがある。)と通信する際に送受信するパケットデータから通信するネットワーク名であるESSIDを盗まれて悪用されることを防止するという目的を、送信パケットに挿入されるESSIDを暗号鍵で暗号化する一方、受信側で受信したESSIDを暗号鍵で復号することにより、高い確実性をもって実現した。
【0014】
以降に、図面を参照して実施例を説明するが、図示されるものは本発明に係る主要部分であり、必須機能であっても省略された部分がある。IEEE規格による英文表記の用語は図面表記のため和文の短縮用語を定義して用いている。また、図示された機能ブロックの分離併合、および動作手順の前後入替えなどは、特許請求の範囲を含む本発明の趣旨を満たすものであれば自由であり、下記説明が本発明を限定するものではない。
【0015】
図1は、無線LAN端末10がアクセスポイント(AP)20を介して無線LAN100と連結し通信する状態を示す。無線LAN端末10は、移動した際、同一ESSIDでのよりよい通信条件のAP20Aに接続をハンドオーバ(切替え)可能である。
【実施例1】
【0016】
本発明の実施例1について図1から図7までを参照して説明する。
【0017】
図2は、本発明の一実施例をブロックで示す説明図であって、図1において通信する無線LAN端末10およびAP20の詳細を示す。無線LAN端末10は、無線送受信部11、AD変換部12、MACデータ処理部13、暗号化復号化部14、暗号鍵用メモリ15、上位層プロトコル処理部16、およびAP公開鍵メモリ17、を有し、暗号鍵用メモリ15は秘密鍵18および公開鍵19を記憶する。AP20は、無線送受信部21、AD変換部22、MACデータ処理部23、暗号化復号化部24、暗号鍵用メモリ25、および上位層プロトコル処理部26を有し、暗号鍵用メモリ25は公開鍵27および秘密鍵28を記憶する。
【0018】
無線送受信部11,21は、無線LAN端末10とAP20との間で変調されたアナログ信号を所定の電波により送受信する。AD変換部12,22は、無線送受信部11,21で受けたアナログ信号をディジタル信号に変換してMACデータ処理部13,23へ送出する一方、MACデータ処理部13,23から受けたディジタル信号をアナログ信号に変換して無線送受信部11,21へ送出する。MACデータ処理部13,23は、OSI参照モデルにおけるLANのフレーム構造およびアクセス手法を規定するMAC層(Media Access Control layer)におけるデータパケットの構成処理を行うもので、AD変換部12,22と上位層プロトコル処理部16,26との間に接続される。
【0019】
また、MACデータ処理部13,23は、暗号化復号化部14,24および暗号鍵用メモリ15,25と接続し、暗号化復号化部14,24が「ESSID」の暗号化およびその復号を実行してその読取りを処理する。暗号鍵用メモリ15,25は、通信相手に送る公開鍵19,27を予め保持して提供するとともに、暗号化復号化部14,24に暗号化または復号のために秘密鍵18,28を提供する。上位層プロトコル処理部16,26は、MAC層より上位層にあたるプロトコルに準じてデータを処理する。AP公開鍵メモリ17は、通信する際に接続したAP20から受けた公開鍵を保持する。
【0020】
本発明による特徴は、暗号化復号化部14,24、暗号鍵用メモリ15,25、およびAP公開鍵メモリ17にあり、他の構成要素を一般的な通常のデバイスにより構成する。
【0021】
すなわち、無線LAN端末10の暗号化復号化部14は、AP公開鍵用メモリ17に保管されている公開鍵を使用してESSIDを暗号化する機能、AP20から受信した暗号化データを無線LAN端末10の秘密鍵18で復号してESSIDを読み取る機能、および秘密鍵18となる乱数「RAND」を必要の都度生成する機能を有する。暗号鍵用メモリ15は、自己に付与された端末公開鍵19「PLKC」と暗号化復号化部14でその都度生成される秘密鍵18とを記録する。
【0022】
一方、AP20の暗号化復号化部24は、無線LAN端末10から受信した端末の公開鍵を使用してESSIDを暗号化する機能、無線LAN端末10から受信した暗号化データをAP20の秘密鍵28で復号してESSIDを読み取る機能、および秘密鍵28となる乱数「RAND」を必要の際に生成する機能を有する。暗号鍵用メモリ25は、自己に付与されたAP公開鍵27「PLKA」を記録すると共に、秘密鍵28として、その都度無線LAN端末10で生成され送信される乱数「RAND」を受付けし記録する。
【0023】
次に、図3に図4から図7まで及び図2を併せ参照して無線LAN端末10がアクセスポイント(AP)20と接続する手順について説明する。
【0024】
まず、無線LAN端末10は、AP20との通信路が確立する以前では、固定するAP20の公開鍵をまだ取得していない。したがって、通信開始に際して、無線LAN端末10は、プローブ要求(Prove Request)(以後、探査要求と短縮呼称することとする。)をブロードキャスト(以後、放送と短縮呼称することとする。)(手順S1)する。したがって、近接するAP20がこの探査要求を受け、この探査要求に対するプローブ応答(Prove Response)(以後、探査応答と短縮呼称することとする。)をその探査要求の発信元に返送(手順S2)する。
【0025】
図4は、無線LAN端末10からAP20へ送出する探査要求(プローブ要求:Prove Request)の一実施例をフォーマットで示す。図示される探査要求は、IEEE802.11規格群に準じたデータに、無線LAN端末10の端末公開鍵PLKCを端末公開鍵情報とし、またこの際に無線LAN端末10で発生する第1の乱数RANDAを端末乱数情報とした二つの情報要素を追加している。乱数RANDAは発生した際に暗号鍵用メモリ15の秘密鍵18として記録される。
【0026】
すなわち、無線LAN端末10では、通信開始に際し上記手順S1として、MACデータ処理部13が、暗号鍵用メモリ15の端末公開鍵PLKCと暗号化復号化部14で生成する乱数RANDAとを含む探査要求(Probe Request[PLKC,RANDA])を作成して放送する。その結果、この探査要求を受けたAP20は、上記手順S2として、探査応答を返送する。
【0027】
図5は、AP20から無線LAN端末10へ返送する探査応答(プローブ応答:Prove Response)の一実施例をフォーマットで示す。図示される探査応答は、IEEE802.11規格群に準じたデータに、二つの情報要素を追加して形成される。一つは、AP20の公開鍵PLKAをAP公開鍵情報としている。二つ目の情報要素は、そのAP20のESSIDと受けた探査要求に含まれる乱数RANDAとの排他的論理和を端末側公開鍵PLKCで暗号化して得たESSIDの暗号化データである。したがって、図示されるような探査応答(Probe Response) [PLKA,PLKC(ESSID,RANDA)]が作成される。
【0028】
AP20は、複数のESSIDを有する場合、それぞれのESSIDについて情報要素「PLKC(ESSID,RANDA)」を求めそれを探査応答に追加して無線LAN端末10に送出する。
【0029】
無線LAN端末10は、応答データの中から自己の「PLKC」を有する探査応答を受け、そのデータ(ESSID,RANDA)と秘密鍵18として以前に記憶する第1の乱数RANDAとの排他的論理和を求めESSIDを解読(手順S3)する。この際、無線LAN端末10は、受けた複数の探査応答で例えば最大レベルの受信信号を有するアクセスポイントのうちの一つのAP20を選択し、ESSIDが自分と接続したいネットワーク名であれば、オーセンティケーション要求(Authentication Request)(以後、認証要求と短縮呼称することとする。)のデータフレームをAP20に送出(手順S4)して認証を要求する。このデータフレームはIEEE802.11規格群に準じたデータフレームであり、周知の処理が実行される。
【0030】
認証要求を受けたAP20は、認証結果をオーセンティケーション応答(Authentication Response)(以後、認証応答と短縮呼称することとする。)のデータフレームに搭載し無線LAN端末10に返送(手順S5)する。このデータフレームはIEEE802.11規格群に準じた周知のデータフレームである。
【0031】
認証結果が成功の場合、無線LAN端末10では、暗号化復号化部14が新たに第2の乱数RANDBを生成して秘密鍵18とし、暗号鍵用メモリ15の第1の乱数RANDAを乱数RANDBに更新すると共に、アソシエーション要求(Association Request)(以後、連結要求と短縮呼称することとする。)のデータフレームをAP20に送出(手順S6)して通信接続を要求する。
【0032】
図6は無線LAN端末10からAP20へ送出する上記連結要求の一実施例をフォーマットで示す。図示される連結要求は、IEEE802.11規格群に準じたデータに、一つの情報要素を格納するものであって、ESSIDと上記乱数RANDBとの排他的論理和を、保持しているAP公開鍵PLKAで暗号化して得たデータ「PLKA(ESSID,RANDB)」である。
【0033】
連結要求を受けたAP20は、受信したデータ「PLKA(ESSID,RANDB)」を自分の秘密鍵28で暗号化し、自分のAP公開鍵PLKAと自分のESSIDとの排他的論理和を求めて乱数RANDBを算出する。そして、算出された乱数RANDBをアソシエーション応答(Association Response)(以後、連結応答と短縮呼称することとする。)のデータフレームに格納し無線LAN端末10に返送(手順S7)する。
【0034】
図7は、AP20から無線LAN端末10へ返送する連結応答の一実施例をフォーマットで示す。図示される連結応答は、IEEE802.11規格群に準じたデータに、一つの情報要素を格納するものであって、その情報要素は乱数格納情報としてのデータ「RANDB」である。
【0035】
連結応答を受けた無線LAN端末10は、連結応答に含まれる乱数RANDBと、上記手順S6で自分が生成した乱数RANDBとを比較し、一致確認の際には受けた連結応答を有効なデータフレームとして連結成立(手順S8)と判断して通常のIEEE802.11規格群に準じた処理を行う。
【0036】
比較結果が不一致になった場合、無線LAN端末10は、パケットによるデオーセンティケーション(De-authentication)データフレームをAP20に送出して先の連結要求を取り消す。
【0037】
このような形態を採用したので、無線LANで電波により通信されるデータに含まれるESSIDは暗号鍵により暗号化されている。そのため、通信中のネットワーク名が第三者に漏洩することが防止できる。更に、暗号鍵に乱数を用いることにより、繰返しの攻撃に対しても有効に防御することができる。
【実施例2】
【0038】
本発明の実施例2としてハンドオーバ接続手順について図8に図1を併せ参照して説明する。
【0039】
図8の実施例は、図1の接続図において、上述した実施例1による連結成立し通信接続中の場合、通信中の信号の受信レベルが低下したことにより、受信レベルがより高いAP20Aにハンドオーバする際の手順である。無線LAN端末10の手順S1Aから手順S8Aまでは図3のシーケンスチャートとほぼ同じである。
【0040】
相違点は、手順S3Aに続く手順S3Bで、通信中の受信電波より高い受信レベルの電波を有するAP20Aが検出されていること、および、その結果、無線LAN端末10は、対応のAP20Aに認証要求を送出し、その認証成功の応答により、最初の接続である連結要求に替えて、再連結要求(Re-association Request)を送出していることである。したがって、AP20Aからは再連結応答(Re-association Response)が返送される。
【0041】
その他の機能動作は、上述の実施例1と同一なのでその説明は省略する。
【実施例3】
【0042】
本発明の実施例3としてAPの再接続手順について上記図2および図3に図8を併せ参照して説明する。
【0043】
図3において、通信接続中に切断が生じた場合、AP公開鍵メモリ17を調査して公開鍵を確認し、その公開鍵を用いて手順S3および手順S4により認証要求を送出する以降の手順を、再接続手順として実行する。この再接続手順の場合、無線LAN端末10における手順は図8と同様の手順S6Aおよび手順S8Aとなり、最初の接続における連結要求および連結応答のそれぞれは、再連結要求および再連結応答となる。
【実施例4】
【0044】
本発明の実施例4として上述の機能を総合して有する無線LAN端末10の主要動作手順について図9のフローチャートに図1から図8までを併せ参照して説明する。このチャートには、障害のような異常動作に関する手順は含まれていない。
【0045】
無線LAN端末10は、一つのVPNに使用され、同一ESSIDのAP20またはAP20Aとアクセス可能なものとする。また、無線LAN端末10およびAP20はそれぞれ独自の公開鍵19「PLKC」および公開鍵27「PLKA」を予め記憶している。
【0046】
無線LAN端末10は、例えば電源投入の際または通信開始の際に、MACデータ処理部13からAP接続要求を発生(手順S10)する。AP接続要求を発生した場合には、無線LAN端末10は、AP公開鍵メモリ17における公開鍵の取得なし(手順S11のNO)の状態である。
【0047】
手順S11が「NO」でAP公開鍵メモリ17に公開鍵の取得なしの場合、MACデータ処理部13は、暗号鍵用メモリ15の端末公開鍵「PLKC」およびこの時点に暗号化複合化部14で発生し秘密鍵18として記録した乱数「RANDA」を含む探査要求(図4参照)をパケットに作成する。探査要求は、AD変換部12を介して、無線送受信部11から周囲のアクセスポイント(AP20,AP20A)に向け放送(手順S12)される。その探査要求に対して、無線LAN端末10は、アクセスポイントから上述とは逆の経路で返送される自己端末公開鍵「PLKC」を含む探査応答(図5参照)のパケットを受付けする。複数の探査応答を受付けの場合、MACデータ処理部13は、そのうちの一つ、例えば最大受信レベルを有する相手先のAP20からのパケットを受付け(手順S13のYES)する。探査応答には、AP20でそのAPのESSIDと乱数「RANDA」との排他的論理和を端末側公開鍵PLKCによって暗号化して得たESSIDの暗号化データとAP20の公開鍵「PLKA」とが含まれる。
【0048】
MACデータ処理部13は、受付けした探査応答情報を暗号化復号化部14で復号し、AP20のESSIDを解読(手順S14)して、自己の接続先ESSIDを確認(手順S15のYES)する。MACデータ処理部13は、そのESSIDが自分の接続要求するネットワーク名と一致した場合、別に取得したAP20の公開鍵「PLKA」をAP公開鍵メモリ17に記録して規定された認証要求のパケットをAP20に上述と同一経路で送出(手順S16)する。
【0049】
MACデータ処理部13は、その認証要求に対しAP20から認証成功の認証応答を受付け(手順S17のYES)の場合、この時点に暗号化複合化部14で発生し秘密鍵18として記録を更新した乱数「RANDB」とESSIDとの排他的論理和を、保持しているAP公開鍵PLKAで暗号化して得たデータを含む連結要求(図6参照)をパケットに作成してAP20宛てに送出(手順S18)する。
【0050】
MACデータ処理部13は、その連結要求に対しAP20から連結成立の連結応答(図7参照)のパケットを受付け(手順S19のYES)の場合、その連結応答に含まれる乱数「RANDB」と暗号用メモリ15に記録された秘密鍵18の乱数「RANDB」との一致により、通信路の確立(手順S20)を確認することができる。その結果、端末同士のパケット通信が可能である。
【0051】
上記手順S13が「NO」で探査応答なしの場合、応答があるまで待ち合わせとなる。上記手順S15が「NO」で接続先ESSIDの一致が確認できない場合、または、上記手順S17若しくは手順S19が、図示されていないが例えば、所定のタイミング超過で「NO」となり、認証成功若しくは連結成立の応答なしの場合、何れの場合も手順は上記手順S13に戻り、他の探査応答がなければ次の探査応答を待ち受けし、他の探査応答があればそのうちの一つを受付けする。更に、図示されていないが、手順S20で乱数不一致の場合、MACデータ処理部13は、デオーセティケーション(De-authentication)データフレームをAP20に送出して先の連結要求を取り消す。
【0052】
一方、再接続要求のため、上記手順S11が「YES」でAP公開鍵メモリ17に公開鍵の取得ありの場合、MACデータ処理部13は、そのアクセスポイント、例えばAP20に対して認証要求を送出(手順S21)する。MACデータ処理部13は、その認証要求に対しAP20から認証成功の認証応答を受付け(手順S22のYES)の場合、この時点に暗号化複合化部14で発生の乱数「RANDB」とESSIDとの排他的論理和を、保持しているAP公開鍵PLKAで暗号化して得たデータを含む再連結要求をパケットに作成してAP20宛てに送出(手順S23)する。次いで、MACデータ処理部13は、上記手順S19に進み、上記再連結要求に対しAP20から再連結成立の再連結応答で受付けする。
【産業上の利用可能性】
【0053】
周知の暗号化手法を用いて容易に無線LANのネットワーク名であるESSIDの暗号化ができ、無線LAN端末とアクセスポイントとの間の伝達情報に含まれるESSIDを暗号化することによって、ESSIDの盗難を困難にすることが必要かつ不可欠な用途、特にVPNなどのネットワーク形成の全般にわたり適用可能である。
【図面の簡単な説明】
【0054】
【図1】無線LANシステム構成の一実施例をブロックで示した説明図である。
【図2】無線LAN端末と無線LANのアクセスポイントとのそれぞれの本発明による構成の一実施例をブロックで示した説明図である。(実施例1〜4)
【図3】図2において、無線LAN端末がアクセスポイントと接続する際の主要動作手順の一実施例をシーケンスチャートで示した説明図である。(実施例1)
【図4】本発明によるプローブ要求パケット構成の一実施例をフォーマットで示した説明図である。(実施例1)
【図5】本発明によるプローブ応答パケット構成の一実施例をフォーマットで示した説明図である。(実施例1)
【図6】本発明によるアソシエーション要求パケット構成の一実施例をフォーマットで示した説明図である。(実施例1)
【図7】本発明によるアソシエーション応答パケット構成の一実施例をフォーマットで示した説明図である。(実施例1)
【図8】本発明による無線LAN端末がアクセスポイントと接続する際のハンドオーバ接続または再接続における主要動作手順の一実施例をシーケンスチャートで示した説明図である。(実施例2,3)
【図9】本発明による無線LAN端末がアクセスポイントと接続する際の主要動作手順の一実施例をフローチャートで示した説明図である。(実施例4)
【符号の説明】
【0055】
10 無線LAN端末
11、21 無線送受信部
12、22 AD変換部
13、23 MACデータ処理部
14、24 暗号化復号化部
15、25 暗号鍵用メモリ
16、26 上位層プロトコル処理部
17 AP公開鍵メモリ
18、28 秘密鍵
19、27 公開鍵
20、20A AP
【技術分野】
【0001】
本発明は、無線LAN端末で接続する無線LANのネットワーク名を他人に盗まれることなく無線通信路を安全に接続する方法およびその方法を用いた無線LANシステムに関するものである。
【背景技術】
【0002】
従来の無線LANシステムでは、IEEEにおける無線LAN標準として規定される「IEEE 802.11a,…11i,…」などのIEEE規格群がある。それによれば、無線LANのアクセスポイント(以後、APと略称することがある。)がネットワーク名をビーコン(Beacon)パケットに格納しそのビーコンパケットをブロードキャストすることによって周辺の無線LAN端末に通知している。一つの無線ネットワークと接続する無線端末では同一のネットワーク名が使用され、アクセスポイントを含むネットワークの識別のためにはESSID(Extended Service Set Identifier)が使用される。すなわち、無線LAN端末は、アクセスポイントのビーコンを受信してネットワーク名を抽出することで、自分が接続したいネットワークと同じネットワーク名を有するアクセスポイントに接続を要求しその接続を確立する(例えば、非特許文献1および特許文献1参照。)。
【0003】
一方、無線LANにおけるセキュリティを確保するためには、送信内容を暗号化する暗号鍵を利用する方式などがあるが、無線LAN端末が無線通信を行う際に、第三者の成りすましを防止するため、アクセスポイントが無線端末からセキュリティ設定処理の開始指示を受付ける前にセキュリティ処理の開始を示す開始指示データを受付けしていない場合にのみ、セキュリティ設定処理を実行するというシステムがある(例えば、特許文献2参照。)。
【0004】
しかしながら、従来のこれらシステムにおいて、通常はネットワーク名が無線LAN上にそのまま放送されるため、第三者に簡単に知られてしまうので、それを悪用される可能性がある。ネットワーク名は重要ではないように見られるが、特にVPN(Virtual Private Network)での無線LANネットワーク名は企業の部門名または開発プロジェクトの名称などのような意味ある言葉が一般的に多く使われるため、このような情報が悪用されることは否定できない。
【0005】
例えば、組織内にある複数の無線LANのネットワーク名すなわち上述したESSIDから、組織構成を知ることができる。また、無線LANプロトコルアナライザなどを利用することにより、無線LANのトラフィック量などが簡単に計測できるため、トラフィック量とネットワーク名またはESSIDとを利用して企業の活動などが推測可能である。また、同じネットワーク名またはESSIDを持つアクセスポイントを近くに設置して、通信妨害および成りすましが可能である。
【0006】
ESSIDは、アクセスポイントから送信されるビーコンに格納しないようなシステムもあるが、無線LAN端末とアクセスポイントとの間で送受信する種々の要求パケットおよびその応答パケットに含まれており、その抽出は無線LANプロトコルアナライザなどにより容易に可能である。例えば、一つのアクセスポイントに成りすまして通信中の無線LAN端末にデオーセンティケーション(De-authentication)パケットを送信した場合、無線LAN端末から再アソシエーションが実行されるので、その結果、容易にESSIDを知ることができるからである。
【0007】
【非特許文献1】Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications, ANSI/IEEE Std. 802.11,1999 Edition
【特許文献1】特開2003−204335号公報
【特許文献2】特開2007−013348号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
解決しようとする課題は、無線LAN端末が通信するアクセスポイントとの間で送受信する各種の要求パケットおよび応答パケットに含まれるネットワーク名としてのESSIDが第三者により容易に盗まれる可能性が高いことである。特に企業内ネットワークでは組織内にある複数の無線LANのネットワーク名(ESSID)から、組織構成を知ることにより企業の活動などが推測可能であり、更に、通信妨害などという、盗まれたESSIDによる悪用に対して防止が困難なことである。
【課題を解決するための手段】
【0009】
本発明は、無線回線で送受信するパケットデータからESSIDを盗難されて悪用されることを防止することを目的とする。そのため、無線LAN端末およびアクセスポイントに予め暗号鍵を保有している。そして、前記無線LAN端末と前記アクセスポイントとの間の通信路を形成する際に、その暗号鍵を用いて、無線LANのアクセスポイントに付与されかつ送受信するパケットデータに挿入されるネットワーク名すなわちESSIDを、暗号化することを主要な特徴とする。したがって、受信側では受信した暗号化されたESSIDを暗号鍵で復号する。
【0010】
暗号化技術には上述した「IEEE 802.11」シリーズで規定されたものなどがある。
【0011】
本発明では、無線LAN端末およびそのアクセスポイントそれぞれで暗号鍵として予め付与された公開鍵および必要の都度生成する秘密鍵を保持し、その公開鍵および秘密鍵によりESSIDを暗号化しかつそれを復号する。その秘密鍵は、無線LAN端末で乱数を用いて生成することが望ましい。
【発明の効果】
【0012】
本発明の無線LAN端末接続方法およびその方法を用いた無線LANシステムは、送信パケットに挿入されるESSIDを暗号化し受信側で復号するため、第三者が一つのパケットのみを傍受してデータを盗難しても、そこに含まれるESSIDは暗号化されているので、ESSIDによる悪用を防止することができる。また、暗号化には、公開鍵および秘密鍵が用いられ、特に秘密鍵にその都度発生させる乱数を使用する場合、ESSIDの盗難に対する保護が更に強化できる。
【発明を実施するための最良の形態】
【0013】
無線LAN端末がアクセスポイント(以後、APと略称することがある。)と通信する際に送受信するパケットデータから通信するネットワーク名であるESSIDを盗まれて悪用されることを防止するという目的を、送信パケットに挿入されるESSIDを暗号鍵で暗号化する一方、受信側で受信したESSIDを暗号鍵で復号することにより、高い確実性をもって実現した。
【0014】
以降に、図面を参照して実施例を説明するが、図示されるものは本発明に係る主要部分であり、必須機能であっても省略された部分がある。IEEE規格による英文表記の用語は図面表記のため和文の短縮用語を定義して用いている。また、図示された機能ブロックの分離併合、および動作手順の前後入替えなどは、特許請求の範囲を含む本発明の趣旨を満たすものであれば自由であり、下記説明が本発明を限定するものではない。
【0015】
図1は、無線LAN端末10がアクセスポイント(AP)20を介して無線LAN100と連結し通信する状態を示す。無線LAN端末10は、移動した際、同一ESSIDでのよりよい通信条件のAP20Aに接続をハンドオーバ(切替え)可能である。
【実施例1】
【0016】
本発明の実施例1について図1から図7までを参照して説明する。
【0017】
図2は、本発明の一実施例をブロックで示す説明図であって、図1において通信する無線LAN端末10およびAP20の詳細を示す。無線LAN端末10は、無線送受信部11、AD変換部12、MACデータ処理部13、暗号化復号化部14、暗号鍵用メモリ15、上位層プロトコル処理部16、およびAP公開鍵メモリ17、を有し、暗号鍵用メモリ15は秘密鍵18および公開鍵19を記憶する。AP20は、無線送受信部21、AD変換部22、MACデータ処理部23、暗号化復号化部24、暗号鍵用メモリ25、および上位層プロトコル処理部26を有し、暗号鍵用メモリ25は公開鍵27および秘密鍵28を記憶する。
【0018】
無線送受信部11,21は、無線LAN端末10とAP20との間で変調されたアナログ信号を所定の電波により送受信する。AD変換部12,22は、無線送受信部11,21で受けたアナログ信号をディジタル信号に変換してMACデータ処理部13,23へ送出する一方、MACデータ処理部13,23から受けたディジタル信号をアナログ信号に変換して無線送受信部11,21へ送出する。MACデータ処理部13,23は、OSI参照モデルにおけるLANのフレーム構造およびアクセス手法を規定するMAC層(Media Access Control layer)におけるデータパケットの構成処理を行うもので、AD変換部12,22と上位層プロトコル処理部16,26との間に接続される。
【0019】
また、MACデータ処理部13,23は、暗号化復号化部14,24および暗号鍵用メモリ15,25と接続し、暗号化復号化部14,24が「ESSID」の暗号化およびその復号を実行してその読取りを処理する。暗号鍵用メモリ15,25は、通信相手に送る公開鍵19,27を予め保持して提供するとともに、暗号化復号化部14,24に暗号化または復号のために秘密鍵18,28を提供する。上位層プロトコル処理部16,26は、MAC層より上位層にあたるプロトコルに準じてデータを処理する。AP公開鍵メモリ17は、通信する際に接続したAP20から受けた公開鍵を保持する。
【0020】
本発明による特徴は、暗号化復号化部14,24、暗号鍵用メモリ15,25、およびAP公開鍵メモリ17にあり、他の構成要素を一般的な通常のデバイスにより構成する。
【0021】
すなわち、無線LAN端末10の暗号化復号化部14は、AP公開鍵用メモリ17に保管されている公開鍵を使用してESSIDを暗号化する機能、AP20から受信した暗号化データを無線LAN端末10の秘密鍵18で復号してESSIDを読み取る機能、および秘密鍵18となる乱数「RAND」を必要の都度生成する機能を有する。暗号鍵用メモリ15は、自己に付与された端末公開鍵19「PLKC」と暗号化復号化部14でその都度生成される秘密鍵18とを記録する。
【0022】
一方、AP20の暗号化復号化部24は、無線LAN端末10から受信した端末の公開鍵を使用してESSIDを暗号化する機能、無線LAN端末10から受信した暗号化データをAP20の秘密鍵28で復号してESSIDを読み取る機能、および秘密鍵28となる乱数「RAND」を必要の際に生成する機能を有する。暗号鍵用メモリ25は、自己に付与されたAP公開鍵27「PLKA」を記録すると共に、秘密鍵28として、その都度無線LAN端末10で生成され送信される乱数「RAND」を受付けし記録する。
【0023】
次に、図3に図4から図7まで及び図2を併せ参照して無線LAN端末10がアクセスポイント(AP)20と接続する手順について説明する。
【0024】
まず、無線LAN端末10は、AP20との通信路が確立する以前では、固定するAP20の公開鍵をまだ取得していない。したがって、通信開始に際して、無線LAN端末10は、プローブ要求(Prove Request)(以後、探査要求と短縮呼称することとする。)をブロードキャスト(以後、放送と短縮呼称することとする。)(手順S1)する。したがって、近接するAP20がこの探査要求を受け、この探査要求に対するプローブ応答(Prove Response)(以後、探査応答と短縮呼称することとする。)をその探査要求の発信元に返送(手順S2)する。
【0025】
図4は、無線LAN端末10からAP20へ送出する探査要求(プローブ要求:Prove Request)の一実施例をフォーマットで示す。図示される探査要求は、IEEE802.11規格群に準じたデータに、無線LAN端末10の端末公開鍵PLKCを端末公開鍵情報とし、またこの際に無線LAN端末10で発生する第1の乱数RANDAを端末乱数情報とした二つの情報要素を追加している。乱数RANDAは発生した際に暗号鍵用メモリ15の秘密鍵18として記録される。
【0026】
すなわち、無線LAN端末10では、通信開始に際し上記手順S1として、MACデータ処理部13が、暗号鍵用メモリ15の端末公開鍵PLKCと暗号化復号化部14で生成する乱数RANDAとを含む探査要求(Probe Request[PLKC,RANDA])を作成して放送する。その結果、この探査要求を受けたAP20は、上記手順S2として、探査応答を返送する。
【0027】
図5は、AP20から無線LAN端末10へ返送する探査応答(プローブ応答:Prove Response)の一実施例をフォーマットで示す。図示される探査応答は、IEEE802.11規格群に準じたデータに、二つの情報要素を追加して形成される。一つは、AP20の公開鍵PLKAをAP公開鍵情報としている。二つ目の情報要素は、そのAP20のESSIDと受けた探査要求に含まれる乱数RANDAとの排他的論理和を端末側公開鍵PLKCで暗号化して得たESSIDの暗号化データである。したがって、図示されるような探査応答(Probe Response) [PLKA,PLKC(ESSID,RANDA)]が作成される。
【0028】
AP20は、複数のESSIDを有する場合、それぞれのESSIDについて情報要素「PLKC(ESSID,RANDA)」を求めそれを探査応答に追加して無線LAN端末10に送出する。
【0029】
無線LAN端末10は、応答データの中から自己の「PLKC」を有する探査応答を受け、そのデータ(ESSID,RANDA)と秘密鍵18として以前に記憶する第1の乱数RANDAとの排他的論理和を求めESSIDを解読(手順S3)する。この際、無線LAN端末10は、受けた複数の探査応答で例えば最大レベルの受信信号を有するアクセスポイントのうちの一つのAP20を選択し、ESSIDが自分と接続したいネットワーク名であれば、オーセンティケーション要求(Authentication Request)(以後、認証要求と短縮呼称することとする。)のデータフレームをAP20に送出(手順S4)して認証を要求する。このデータフレームはIEEE802.11規格群に準じたデータフレームであり、周知の処理が実行される。
【0030】
認証要求を受けたAP20は、認証結果をオーセンティケーション応答(Authentication Response)(以後、認証応答と短縮呼称することとする。)のデータフレームに搭載し無線LAN端末10に返送(手順S5)する。このデータフレームはIEEE802.11規格群に準じた周知のデータフレームである。
【0031】
認証結果が成功の場合、無線LAN端末10では、暗号化復号化部14が新たに第2の乱数RANDBを生成して秘密鍵18とし、暗号鍵用メモリ15の第1の乱数RANDAを乱数RANDBに更新すると共に、アソシエーション要求(Association Request)(以後、連結要求と短縮呼称することとする。)のデータフレームをAP20に送出(手順S6)して通信接続を要求する。
【0032】
図6は無線LAN端末10からAP20へ送出する上記連結要求の一実施例をフォーマットで示す。図示される連結要求は、IEEE802.11規格群に準じたデータに、一つの情報要素を格納するものであって、ESSIDと上記乱数RANDBとの排他的論理和を、保持しているAP公開鍵PLKAで暗号化して得たデータ「PLKA(ESSID,RANDB)」である。
【0033】
連結要求を受けたAP20は、受信したデータ「PLKA(ESSID,RANDB)」を自分の秘密鍵28で暗号化し、自分のAP公開鍵PLKAと自分のESSIDとの排他的論理和を求めて乱数RANDBを算出する。そして、算出された乱数RANDBをアソシエーション応答(Association Response)(以後、連結応答と短縮呼称することとする。)のデータフレームに格納し無線LAN端末10に返送(手順S7)する。
【0034】
図7は、AP20から無線LAN端末10へ返送する連結応答の一実施例をフォーマットで示す。図示される連結応答は、IEEE802.11規格群に準じたデータに、一つの情報要素を格納するものであって、その情報要素は乱数格納情報としてのデータ「RANDB」である。
【0035】
連結応答を受けた無線LAN端末10は、連結応答に含まれる乱数RANDBと、上記手順S6で自分が生成した乱数RANDBとを比較し、一致確認の際には受けた連結応答を有効なデータフレームとして連結成立(手順S8)と判断して通常のIEEE802.11規格群に準じた処理を行う。
【0036】
比較結果が不一致になった場合、無線LAN端末10は、パケットによるデオーセンティケーション(De-authentication)データフレームをAP20に送出して先の連結要求を取り消す。
【0037】
このような形態を採用したので、無線LANで電波により通信されるデータに含まれるESSIDは暗号鍵により暗号化されている。そのため、通信中のネットワーク名が第三者に漏洩することが防止できる。更に、暗号鍵に乱数を用いることにより、繰返しの攻撃に対しても有効に防御することができる。
【実施例2】
【0038】
本発明の実施例2としてハンドオーバ接続手順について図8に図1を併せ参照して説明する。
【0039】
図8の実施例は、図1の接続図において、上述した実施例1による連結成立し通信接続中の場合、通信中の信号の受信レベルが低下したことにより、受信レベルがより高いAP20Aにハンドオーバする際の手順である。無線LAN端末10の手順S1Aから手順S8Aまでは図3のシーケンスチャートとほぼ同じである。
【0040】
相違点は、手順S3Aに続く手順S3Bで、通信中の受信電波より高い受信レベルの電波を有するAP20Aが検出されていること、および、その結果、無線LAN端末10は、対応のAP20Aに認証要求を送出し、その認証成功の応答により、最初の接続である連結要求に替えて、再連結要求(Re-association Request)を送出していることである。したがって、AP20Aからは再連結応答(Re-association Response)が返送される。
【0041】
その他の機能動作は、上述の実施例1と同一なのでその説明は省略する。
【実施例3】
【0042】
本発明の実施例3としてAPの再接続手順について上記図2および図3に図8を併せ参照して説明する。
【0043】
図3において、通信接続中に切断が生じた場合、AP公開鍵メモリ17を調査して公開鍵を確認し、その公開鍵を用いて手順S3および手順S4により認証要求を送出する以降の手順を、再接続手順として実行する。この再接続手順の場合、無線LAN端末10における手順は図8と同様の手順S6Aおよび手順S8Aとなり、最初の接続における連結要求および連結応答のそれぞれは、再連結要求および再連結応答となる。
【実施例4】
【0044】
本発明の実施例4として上述の機能を総合して有する無線LAN端末10の主要動作手順について図9のフローチャートに図1から図8までを併せ参照して説明する。このチャートには、障害のような異常動作に関する手順は含まれていない。
【0045】
無線LAN端末10は、一つのVPNに使用され、同一ESSIDのAP20またはAP20Aとアクセス可能なものとする。また、無線LAN端末10およびAP20はそれぞれ独自の公開鍵19「PLKC」および公開鍵27「PLKA」を予め記憶している。
【0046】
無線LAN端末10は、例えば電源投入の際または通信開始の際に、MACデータ処理部13からAP接続要求を発生(手順S10)する。AP接続要求を発生した場合には、無線LAN端末10は、AP公開鍵メモリ17における公開鍵の取得なし(手順S11のNO)の状態である。
【0047】
手順S11が「NO」でAP公開鍵メモリ17に公開鍵の取得なしの場合、MACデータ処理部13は、暗号鍵用メモリ15の端末公開鍵「PLKC」およびこの時点に暗号化複合化部14で発生し秘密鍵18として記録した乱数「RANDA」を含む探査要求(図4参照)をパケットに作成する。探査要求は、AD変換部12を介して、無線送受信部11から周囲のアクセスポイント(AP20,AP20A)に向け放送(手順S12)される。その探査要求に対して、無線LAN端末10は、アクセスポイントから上述とは逆の経路で返送される自己端末公開鍵「PLKC」を含む探査応答(図5参照)のパケットを受付けする。複数の探査応答を受付けの場合、MACデータ処理部13は、そのうちの一つ、例えば最大受信レベルを有する相手先のAP20からのパケットを受付け(手順S13のYES)する。探査応答には、AP20でそのAPのESSIDと乱数「RANDA」との排他的論理和を端末側公開鍵PLKCによって暗号化して得たESSIDの暗号化データとAP20の公開鍵「PLKA」とが含まれる。
【0048】
MACデータ処理部13は、受付けした探査応答情報を暗号化復号化部14で復号し、AP20のESSIDを解読(手順S14)して、自己の接続先ESSIDを確認(手順S15のYES)する。MACデータ処理部13は、そのESSIDが自分の接続要求するネットワーク名と一致した場合、別に取得したAP20の公開鍵「PLKA」をAP公開鍵メモリ17に記録して規定された認証要求のパケットをAP20に上述と同一経路で送出(手順S16)する。
【0049】
MACデータ処理部13は、その認証要求に対しAP20から認証成功の認証応答を受付け(手順S17のYES)の場合、この時点に暗号化複合化部14で発生し秘密鍵18として記録を更新した乱数「RANDB」とESSIDとの排他的論理和を、保持しているAP公開鍵PLKAで暗号化して得たデータを含む連結要求(図6参照)をパケットに作成してAP20宛てに送出(手順S18)する。
【0050】
MACデータ処理部13は、その連結要求に対しAP20から連結成立の連結応答(図7参照)のパケットを受付け(手順S19のYES)の場合、その連結応答に含まれる乱数「RANDB」と暗号用メモリ15に記録された秘密鍵18の乱数「RANDB」との一致により、通信路の確立(手順S20)を確認することができる。その結果、端末同士のパケット通信が可能である。
【0051】
上記手順S13が「NO」で探査応答なしの場合、応答があるまで待ち合わせとなる。上記手順S15が「NO」で接続先ESSIDの一致が確認できない場合、または、上記手順S17若しくは手順S19が、図示されていないが例えば、所定のタイミング超過で「NO」となり、認証成功若しくは連結成立の応答なしの場合、何れの場合も手順は上記手順S13に戻り、他の探査応答がなければ次の探査応答を待ち受けし、他の探査応答があればそのうちの一つを受付けする。更に、図示されていないが、手順S20で乱数不一致の場合、MACデータ処理部13は、デオーセティケーション(De-authentication)データフレームをAP20に送出して先の連結要求を取り消す。
【0052】
一方、再接続要求のため、上記手順S11が「YES」でAP公開鍵メモリ17に公開鍵の取得ありの場合、MACデータ処理部13は、そのアクセスポイント、例えばAP20に対して認証要求を送出(手順S21)する。MACデータ処理部13は、その認証要求に対しAP20から認証成功の認証応答を受付け(手順S22のYES)の場合、この時点に暗号化複合化部14で発生の乱数「RANDB」とESSIDとの排他的論理和を、保持しているAP公開鍵PLKAで暗号化して得たデータを含む再連結要求をパケットに作成してAP20宛てに送出(手順S23)する。次いで、MACデータ処理部13は、上記手順S19に進み、上記再連結要求に対しAP20から再連結成立の再連結応答で受付けする。
【産業上の利用可能性】
【0053】
周知の暗号化手法を用いて容易に無線LANのネットワーク名であるESSIDの暗号化ができ、無線LAN端末とアクセスポイントとの間の伝達情報に含まれるESSIDを暗号化することによって、ESSIDの盗難を困難にすることが必要かつ不可欠な用途、特にVPNなどのネットワーク形成の全般にわたり適用可能である。
【図面の簡単な説明】
【0054】
【図1】無線LANシステム構成の一実施例をブロックで示した説明図である。
【図2】無線LAN端末と無線LANのアクセスポイントとのそれぞれの本発明による構成の一実施例をブロックで示した説明図である。(実施例1〜4)
【図3】図2において、無線LAN端末がアクセスポイントと接続する際の主要動作手順の一実施例をシーケンスチャートで示した説明図である。(実施例1)
【図4】本発明によるプローブ要求パケット構成の一実施例をフォーマットで示した説明図である。(実施例1)
【図5】本発明によるプローブ応答パケット構成の一実施例をフォーマットで示した説明図である。(実施例1)
【図6】本発明によるアソシエーション要求パケット構成の一実施例をフォーマットで示した説明図である。(実施例1)
【図7】本発明によるアソシエーション応答パケット構成の一実施例をフォーマットで示した説明図である。(実施例1)
【図8】本発明による無線LAN端末がアクセスポイントと接続する際のハンドオーバ接続または再接続における主要動作手順の一実施例をシーケンスチャートで示した説明図である。(実施例2,3)
【図9】本発明による無線LAN端末がアクセスポイントと接続する際の主要動作手順の一実施例をフローチャートで示した説明図である。(実施例4)
【符号の説明】
【0055】
10 無線LAN端末
11、21 無線送受信部
12、22 AD変換部
13、23 MACデータ処理部
14、24 暗号化復号化部
15、25 暗号鍵用メモリ
16、26 上位層プロトコル処理部
17 AP公開鍵メモリ
18、28 秘密鍵
19、27 公開鍵
20、20A AP
【特許請求の範囲】
【請求項1】
無線LAN端末がアクセスポイントと通信する際の無線LAN端末接続方法において、前記無線LAN端末と前記アクセスポイントとの間の通信路を形成する際に、暗号鍵を用いて、無線LANのアクセスポイントに付与されかつ送受信するパケットデータに挿入されるネットワーク名(ESSID)を、暗号化することを特徴とする無線LAN端末接続方法。
【請求項2】
請求項1に記載の無線LAN端末接続方法において、前記暗号鍵には、無線LAN端末およびそのアクセスポイントそれぞれで保持する予め付与される公開鍵および必要の都度生成する秘密鍵を用いることを特徴とする無線LAN端末接続方法。
【請求項3】
請求項2に記載の無線LAN端末接続方法において、前記秘密鍵は、乱数を用いて、無線LAN端末で生成することを特徴とする無線LAN端末接続方法。
【請求項4】
請求項3に記載の無線LAN端末接続方法において、無線LAN端末からアクセスポイントに自己の端末公開鍵と別に生成した第1の秘密鍵とを探査要求に形成して送出し、受付けした端末公開鍵と第1の秘密鍵とで自己のESSIDを暗号化した探査応答を形成してアクセスポイントから返送し、無線LAN端末が受付けした探査応答から暗号化ESSIDを解読し、ESSIDが接続先一致の場合には無線LAN端末からそのアクセスポイントに認証要求し、このアクセスポイントから認証成功応答を受付けした際に無線LAN端末は第2の秘密鍵を生成してESSIDと共に端末公開鍵により暗号化し、それを連結要求に形成して相手先アクセスポイントに送出し、アクセスポイントで受付けした連結要求の暗号化データから第2の秘密鍵を復号し、連結成立の際にはこの第2の秘密鍵をアクセスポイントから無線LAN端末へ返送することを特徴とする無線LAN端末接続方法。
【請求項5】
無線LAN端末がアクセスポイントと接続して通信する無線LANシステムにおいて、前記無線LAN端末および前記アクセスポイントそれぞれは、所定の暗号鍵を保持し、送信するパケットデータの所定位置に挿入するESSIDを暗号鍵で暗号化する手段と、受信するパケットデータの所定位置のデータからESSIDを暗号鍵で復号する手段と、を有することを特徴とする無線LANシステム。
【請求項6】
請求項5に記載の無線LANシステムにおいて、前記暗号化および復号のための暗号鍵には、無線LAN端末およびそのアクセスポイントそれぞれで保持する予め付与される公開鍵と必要の都度生成する秘密鍵とを用いることを特徴とする無線LANシステム。
【請求項7】
請求項6に記載の無線LANシステムにおいて、前記秘密鍵は、無線LAN端末が乱数から生成することを特徴とする無線LANシステム。
【請求項8】
無線LANシステムにおいて、アクセスポイントと無線回線で接続する無線LAN端末が、自己に予め付与された端末公開鍵と別に生成する秘密鍵とを暗号化用に保持する暗号鍵用メモリと、通信相手のアクセスポイントから送られるアクセスポイント公開鍵を保持するアクセスポイント公開鍵メモリと、暗号化用鍵を用いてデータを暗号化する一方、暗号化されたデータを復号する暗号化複合化部と、MAC(Media Access Control layer)層のデータパケット構成に含まれ、無線LANの接続先アクセスポイントに付与されるネットワーク名「ESSID」を暗号化して送信する一方、受信する暗号化ESSIDを復号処理するデータ処理部と、を備えることを特徴とする無線LANシステム。
【請求項9】
請求項8に記載の無線LANシステムにおいて、前記データ処理部が、前記メモリと暗号化複合化部とを用いて、前記アクセスポイントと送受信するデータパケットで、無線LANの接続先アクセスポイントに付与されるネットワーク名「ESSID」をそのアクセスポイントから取得する場合、前記端末公開鍵とその時点で生成する第1の秘密鍵とをプローブ要求に含ませて周囲のアクセスポイント宛てに放送する手段と、このプローブ要求に応答して受付けするプローブ応答の所定位置から、相手先アクセスポイントの公開鍵を取得して前記アクセスポイント公開鍵メモリに記録し、かつ、前記第1の秘密鍵で暗号化された前記ESSIDを解読して接続先ネットワークとの一致を確認する手段と、一致を確認した際に、所定のオーセンティケーション要求を相手先アクセスポイントの公開鍵を付して送出する手段と、このオーセンティケーション要求に応答して認証成功のオーセンティケーション応答を受付けの際には第2の秘密鍵を生成してESSIDと共に端末公開鍵により暗号化し、アソシエーション要求として相手先アクセスポイントに送出する手段と、アソシエーション要求に応答して受付けするアソシエーション応答の所定位置から前記第2の秘密鍵を取得して通信路の接続を確認する手段と、を有することを特徴とする無線LANシステム。
【請求項10】
無線LANシステムにおいて、無線LAN端末と無線回線で接続するアクセスポイントが、自己に予め付与されたアクセスポイント公開鍵と通信相手の無線LAN端末から受ける秘密鍵とを暗号化用に保持するメモリと、暗号化用鍵を用いてデータを暗号化する一方で暗号化されたデータを復号する暗号化複合化部と、MAC(Media Access Control layer)層のデータパケット構成に含まれ、無線LANの接続先アクセスポイントに付与されるネットワーク名「ESSID」を暗号化して送信する一方、受信する暗号化ESSIDを復号処理するデータ処理部と、を備えることを特徴とする無線LANシステム。
【請求項11】
請求項10に記載の無線LANシステムにおいて、前記データ処理部が、前記メモリと暗号化複合化部とを用いて、前記無線LAN端末と送受信するデータパケットで、前記無線LAN端末からプローブ要求の放送を受付けの際には、そのプローブ要求の所定位置から端末公開鍵と第1の秘密鍵とを取得してそれらにより自己に付与されるネットワーク名「ESSID」を暗号化し、自己の公開鍵と共にプローブ応答に形成して返送する手段と、前記無線LAN端末からオーセンティケーション要求を受付けの際にはその認証成立で所定のオーセンティケーション応答を形成して返送する手段と、前記無線LAN端末からアソシエーション要求を受付けの際には、そのアソシエーション要求の所定位置の暗号化されたデータを復号して第2の秘密鍵を取得し、アソシエーション応答として返送する手段と、を有することを特徴とする無線LANシステム。
【請求項1】
無線LAN端末がアクセスポイントと通信する際の無線LAN端末接続方法において、前記無線LAN端末と前記アクセスポイントとの間の通信路を形成する際に、暗号鍵を用いて、無線LANのアクセスポイントに付与されかつ送受信するパケットデータに挿入されるネットワーク名(ESSID)を、暗号化することを特徴とする無線LAN端末接続方法。
【請求項2】
請求項1に記載の無線LAN端末接続方法において、前記暗号鍵には、無線LAN端末およびそのアクセスポイントそれぞれで保持する予め付与される公開鍵および必要の都度生成する秘密鍵を用いることを特徴とする無線LAN端末接続方法。
【請求項3】
請求項2に記載の無線LAN端末接続方法において、前記秘密鍵は、乱数を用いて、無線LAN端末で生成することを特徴とする無線LAN端末接続方法。
【請求項4】
請求項3に記載の無線LAN端末接続方法において、無線LAN端末からアクセスポイントに自己の端末公開鍵と別に生成した第1の秘密鍵とを探査要求に形成して送出し、受付けした端末公開鍵と第1の秘密鍵とで自己のESSIDを暗号化した探査応答を形成してアクセスポイントから返送し、無線LAN端末が受付けした探査応答から暗号化ESSIDを解読し、ESSIDが接続先一致の場合には無線LAN端末からそのアクセスポイントに認証要求し、このアクセスポイントから認証成功応答を受付けした際に無線LAN端末は第2の秘密鍵を生成してESSIDと共に端末公開鍵により暗号化し、それを連結要求に形成して相手先アクセスポイントに送出し、アクセスポイントで受付けした連結要求の暗号化データから第2の秘密鍵を復号し、連結成立の際にはこの第2の秘密鍵をアクセスポイントから無線LAN端末へ返送することを特徴とする無線LAN端末接続方法。
【請求項5】
無線LAN端末がアクセスポイントと接続して通信する無線LANシステムにおいて、前記無線LAN端末および前記アクセスポイントそれぞれは、所定の暗号鍵を保持し、送信するパケットデータの所定位置に挿入するESSIDを暗号鍵で暗号化する手段と、受信するパケットデータの所定位置のデータからESSIDを暗号鍵で復号する手段と、を有することを特徴とする無線LANシステム。
【請求項6】
請求項5に記載の無線LANシステムにおいて、前記暗号化および復号のための暗号鍵には、無線LAN端末およびそのアクセスポイントそれぞれで保持する予め付与される公開鍵と必要の都度生成する秘密鍵とを用いることを特徴とする無線LANシステム。
【請求項7】
請求項6に記載の無線LANシステムにおいて、前記秘密鍵は、無線LAN端末が乱数から生成することを特徴とする無線LANシステム。
【請求項8】
無線LANシステムにおいて、アクセスポイントと無線回線で接続する無線LAN端末が、自己に予め付与された端末公開鍵と別に生成する秘密鍵とを暗号化用に保持する暗号鍵用メモリと、通信相手のアクセスポイントから送られるアクセスポイント公開鍵を保持するアクセスポイント公開鍵メモリと、暗号化用鍵を用いてデータを暗号化する一方、暗号化されたデータを復号する暗号化複合化部と、MAC(Media Access Control layer)層のデータパケット構成に含まれ、無線LANの接続先アクセスポイントに付与されるネットワーク名「ESSID」を暗号化して送信する一方、受信する暗号化ESSIDを復号処理するデータ処理部と、を備えることを特徴とする無線LANシステム。
【請求項9】
請求項8に記載の無線LANシステムにおいて、前記データ処理部が、前記メモリと暗号化複合化部とを用いて、前記アクセスポイントと送受信するデータパケットで、無線LANの接続先アクセスポイントに付与されるネットワーク名「ESSID」をそのアクセスポイントから取得する場合、前記端末公開鍵とその時点で生成する第1の秘密鍵とをプローブ要求に含ませて周囲のアクセスポイント宛てに放送する手段と、このプローブ要求に応答して受付けするプローブ応答の所定位置から、相手先アクセスポイントの公開鍵を取得して前記アクセスポイント公開鍵メモリに記録し、かつ、前記第1の秘密鍵で暗号化された前記ESSIDを解読して接続先ネットワークとの一致を確認する手段と、一致を確認した際に、所定のオーセンティケーション要求を相手先アクセスポイントの公開鍵を付して送出する手段と、このオーセンティケーション要求に応答して認証成功のオーセンティケーション応答を受付けの際には第2の秘密鍵を生成してESSIDと共に端末公開鍵により暗号化し、アソシエーション要求として相手先アクセスポイントに送出する手段と、アソシエーション要求に応答して受付けするアソシエーション応答の所定位置から前記第2の秘密鍵を取得して通信路の接続を確認する手段と、を有することを特徴とする無線LANシステム。
【請求項10】
無線LANシステムにおいて、無線LAN端末と無線回線で接続するアクセスポイントが、自己に予め付与されたアクセスポイント公開鍵と通信相手の無線LAN端末から受ける秘密鍵とを暗号化用に保持するメモリと、暗号化用鍵を用いてデータを暗号化する一方で暗号化されたデータを復号する暗号化複合化部と、MAC(Media Access Control layer)層のデータパケット構成に含まれ、無線LANの接続先アクセスポイントに付与されるネットワーク名「ESSID」を暗号化して送信する一方、受信する暗号化ESSIDを復号処理するデータ処理部と、を備えることを特徴とする無線LANシステム。
【請求項11】
請求項10に記載の無線LANシステムにおいて、前記データ処理部が、前記メモリと暗号化複合化部とを用いて、前記無線LAN端末と送受信するデータパケットで、前記無線LAN端末からプローブ要求の放送を受付けの際には、そのプローブ要求の所定位置から端末公開鍵と第1の秘密鍵とを取得してそれらにより自己に付与されるネットワーク名「ESSID」を暗号化し、自己の公開鍵と共にプローブ応答に形成して返送する手段と、前記無線LAN端末からオーセンティケーション要求を受付けの際にはその認証成立で所定のオーセンティケーション応答を形成して返送する手段と、前記無線LAN端末からアソシエーション要求を受付けの際には、そのアソシエーション要求の所定位置の暗号化されたデータを復号して第2の秘密鍵を取得し、アソシエーション応答として返送する手段と、を有することを特徴とする無線LANシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2009−33585(P2009−33585A)
【公開日】平成21年2月12日(2009.2.12)
【国際特許分類】
【出願番号】特願2007−196913(P2007−196913)
【出願日】平成19年7月30日(2007.7.30)
【出願人】(000227205)NECインフロンティア株式会社 (1,047)
【Fターム(参考)】
【公開日】平成21年2月12日(2009.2.12)
【国際特許分類】
【出願日】平成19年7月30日(2007.7.30)
【出願人】(000227205)NECインフロンティア株式会社 (1,047)
【Fターム(参考)】
[ Back to top ]