認証システム、被認証装置、認証装置、認証方法、被認証装置のプログラムを記録した記録媒体、および認証装置のプログラムを記録した記録媒体
【課題】チャレンジコードの送信が不要であると共に、認証装置と被認証装置の両方がパスワードを格納する必要がなく、パスワードを被認証装置が保持するだけで、一方向関数を用いた信頼性の高い認証により、先に行われた通信と同じ被認証装置からの通信であるということを認証することができるようにする。
【解決手段】設定管理サーバ4での設定更新時に、前回に取得したワンタイムパスワードを使って認証を行う。すなわち、音声通話端末3が、今回送信されたワンタイムパスワードKn-1にハッシュ関数による処理を1回行い、前回に取得したワンタイムパスワードKnと一致するか否かにより認証を行い、設定変更時の情報が正当かどうかを音声端末が確認する。
【解決手段】設定管理サーバ4での設定更新時に、前回に取得したワンタイムパスワードを使って認証を行う。すなわち、音声通話端末3が、今回送信されたワンタイムパスワードKn-1にハッシュ関数による処理を1回行い、前回に取得したワンタイムパスワードKnと一致するか否かにより認証を行い、設定変更時の情報が正当かどうかを音声端末が確認する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号化しているプロセスを実行することによって、認証装置が被認証装置の認証を行う認証システム、被認証装置、認証装置、認証方法、被認証装置のプログラムを記録した記録媒体、および認証装置のプログラムを記録した記録媒体に関する。
【背景技術】
【0002】
これまでに、ハッシュ関数などの一方向関数を用いた認証方法として、チャレンジレスポンス方式と言われるものがある。
【0003】
図13に、サーバがクライアント端末にアクセスする場合についての、チャレンジレスポンス方式による認証方法の一例を示す。この場合、サーバが被認証装置であり、クライアント端末が認証装置となる。
ここで、サーバはパスワードと、ハッシュ関数による処理回数“n”とを予め格納していることとする。また、クライアント端末は、同じパスワードを予め格納していることとする。
【0004】
まず、サーバがクライアント端末にアクセスし、チャレンジコードと処理回数“n”を送信する(ステップS501)。
受信したクライアント端末は、保持しているパスワードにハッシュ関数による処理をn回行い、暗号化パスワードKnを生成する(ステップS502)。
【0005】
送信したサーバでは、保持しているパスワードにハッシュ関数による処理をn−1回行い、暗号化パスワードKn-1を生成し(ステップS503)、そのKn-1をクライアント端末に送信する(ステップS504)。
【0006】
クライアント端末は、受信したKn-1にハッシュ関数による処理を1回行い、こうして得られた暗号化パスワードKnが、自身の内部に保持するパスワードからステップS502で生成したKnと一致するかどうかにより認証を行う(ステップS505)。
【0007】
また、認証を行う従来のシステムとして、ネットワークの監視装置が監視対象装置のエージェントプログラムを起動させるためのリモートコマンドを発行する際、そのリモートコマンドにワンタイムパスワードを付与し、そのワンタイムパスワードに基づく認証を行った後にエージェントプログラムを起動させるものがある(例えば、特許文献1参照)。
【0008】
また、従来のシステムとして、管理PCからユーザPCにプロファイルの更新パケットを送信する際に、暗号化キーの情報を含め、さらにハッシュキーを用いて暗号化して送出し、受信したユーザPCで複合化して解読するようにしたものがある(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2004−21549号公報
【特許文献1】特開2005−51625号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら、上述した従来の通信システムでは、ハッシュ関数などの一方向関数を用いることで認証の信頼性を高めるよう意図しているが、そのためにチャレンジコードを送信してから改めてKn-1を送信するといった2度手間が必要であった。
すなわち、先に行われた通信と同じ被認証装置からの通信であるということを認証する場合には、認証手順をより簡略化できる余地のあるものであった。
【0011】
また、認証装置と被認証装置との両方が同じパスワードを格納する必要があった。
すなわち、先に行われた通信と同じ被認証装置からの通信であるということを認証する場合には、セキュリティの向上としてさらに改善の余地があった。
【0012】
また、上述した特許文献1のものは、認証についてはワンタイムパスワードを用いて認証することまでしか考慮されていないものであった。
また、上述した特許文献2のものは、ハッシュキーを用いて暗号化して送出したパケットを受信側で複合化することまでしか考慮されていないものであった。
すなわち、特許文献1、2の何れについても、信頼性の高い認証を行いながらもチャレンジコードの送信といった認証手順を簡略化したり、パスワードを認証装置と被認証装置との両方が持つのでないようにすることについてまで考慮されたものではなかった。
【0013】
本発明はこのような状況に鑑みてなされたものであり、チャレンジコードの送信が不要であると共に、認証装置と被認証装置の両方がパスワードを格納する必要がなく、パスワードを被認証装置が保持するだけで、一方向関数を用いた信頼性の高い認証により、先に行われた通信と同じ被認証装置からの通信であるということを認証することができる認証システム、被認証装置、認証装置、認証方法、被認証装置のプログラムを記録した記録媒体、および認証装置のプログラムを記録した記録媒体を提供することを目的とする。
【課題を解決するための手段】
【0014】
かかる目的を達成するために、典型的な本発明の態様による認証システムは、認証装置と被認証装置とを備えた認証システムであって、上記被認証装置は、パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、上記パスワードを上記一方向関数により上記処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に上記認証装置に送信する所定回数暗号送信手段と、上記パスワードを上記一方向関数により、上記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に上記認証装置に送信する減回数暗号送信手段を備える。
また、上記認証装置は、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記処理回数情報と、上記減回数暗号化パスワードと、上記減算済み回数情報とに基づいて認証を行うことを特徴とする。
【0015】
また、典型的な本発明の態様による認証システムは、認証装置と被認証装置とを備えた認証システムであって、上記被認証装置は、パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、上記パスワードを上記一方向関数により上記処理回数だけ処理した所定回数暗号化パスワードを上記認証装置に送信する所定回数暗号送信手段と、上記パスワードを上記一方向関数により、上記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを上記認証装置に送信する減回数暗号送信手段と、を備える。
また、上記認証装置は、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記減回数暗号化パスワードとに基づいて認証を行うことを特徴とする。
【0016】
また、典型的な本発明の態様による被認証装置は、認証装置に対して認証を要求する被認証装置であって、パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、上記パスワードを上記一方向関数により上記処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に上記認証装置に送信する所定回数暗号送信手段と、上記パスワードを上記一方向関数により、上記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に上記認証装置に送信する減回数暗号送信手段と、を備えたことを特徴とする。
【0017】
また、典型的な本発明の態様による被認証装置は、認証装置に対して認証を要求する被認証装置であって、パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、上記パスワードを上記一方向関数により上記処理回数だけ処理した所定回数暗号化パスワードを上記認証装置に送信する所定回数暗号送信手段と、上記パスワードを上記一方向関数により、上記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを上記認証装置に送信する減回数暗号送信手段と、を備えたことを特徴とする。
【0018】
また、典型的な本発明の態様による認証装置は、被認証装置からの認証要求に応じて認証を行う認証装置であって、上記被認証装置からの情報を受信する受信手段と、所定の処理回数から所定の減算回数だけ減算した減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが、上記被認証装置から上記受信手段により受信された際に、該減回数暗号化パスワードを、上記処理回数から上記減算済み回数を減算することで得られた減算回数だけ上記一方向関数により処理する暗号化処理手段と、上記受信手段により受信された、上記一方向関数により上記パスワードを上記処理回数だけ処理した所定回数暗号化パスワードが、上記暗号化処理手段により算出された算出済みパスワードと一致するか否かにより認証する認証手段と、を備えたことを特徴とする。
【0019】
また、典型的な本発明の態様による認証装置は、被認証装置からの認証要求に応じて認証を行う認証装置であって、上記被認証装置からの情報を受信する受信手段と、所定の処理回数から1少ない減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが上記被認証装置から上記受信手段により受信された際に、該減回数暗号化パスワードを、1回だけ上記一方向関数により処理する暗号化処理手段と、上記受信手段により受信された、上記パスワードを上記処理回数だけ上記一方向関数により処理した所定回数暗号化パスワードが、上記暗号化処理手段により算出された算出済みパスワードと一致するか否かにより認証する認証手段と、を備えたことを特徴とする。
【0020】
また、典型的な本発明の態様による認証方法は、認証装置と被認証装置とを備えた認証システムにおける認証方法であって、上記被認証装置が、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に上記認証装置に送信する所定回数暗号送信工程と、上記被認証装置が、上記パスワードを上記一方向関数により、上記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に上記認証装置に送信する減回数暗号送信工程と、を備える。
また、上記認証装置が、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記処理回数情報と、上記減回数暗号化パスワードと、上記減算済み回数情報とに基づいて認証を行うことを特徴とする。
【0021】
また、典型的な本発明の態様による認証方法は、認証装置と被認証装置とを備えた認証システムにおける認証方法であって、上記被認証装置が、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを上記認証装置に送信する所定回数暗号送信工程と、上記被認証装置が、上記パスワードを上記一方向関数により、上記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを上記認証装置に送信する減回数暗号送信工程と、を備える。
また、上記認証装置が、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記減回数暗号化パスワードとに基づいて認証を行うことを特徴とする。
【0022】
また、典型的な本発明の態様による被認証装置のプログラムを記録した記録媒体は、認証装置に対して認証を要求する被認証装置のプログラムを記録した記録媒体であって、上記被認証装置に、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に上記認証装置に送信する所定回数暗号送信処理と、上記パスワードを上記一方向関数により、上記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に上記認証装置に送信する減回数暗号送信処理と、を実行させることを特徴とする。
【0023】
また、典型的な本発明の態様による被認証装置のプログラムを記録した記録媒体は、認証装置に対して認証を要求する被認証装置のプログラムを記録した記録媒体であって、上記被認証装置に、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを上記認証装置に送信する所定回数暗号送信処理と、上記パスワードを上記一方向関数により、上記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを上記認証装置に送信する減回数暗号送信処理と、を実行させることを特徴とする。
【0024】
また、典型的な本発明の態様による認証装置のプログラムを記録した記録媒体は、被認証装置からの認証要求に応じて認証を行う認証装置のプログラムを記録した記録媒体であって、上記認証装置に、上記被認証装置からの情報を受信する受信処理と、所定の処理回数から所定の減算回数だけ減算した減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが、上記被認証装置から上記受信処理により受信された際に、該減回数暗号化パスワードを、上記処理回数から上記減算済み回数を減算することで得られた減算回数だけ上記一方向関数により処理する暗号化処理と、を実行させる。
また、上記受信処理により受信された、上記一方向関数により上記パスワードを上記処理回数だけ処理した所定回数暗号化パスワードが、上記暗号化処理により算出された算出済みパスワードと一致するか否かにより認証する認証処理と、を実行させることを特徴とする。
【0025】
また、典型的な本発明の態様による認証装置のプログラムを記録した記録媒体は、被認証装置からの認証要求に応じて認証を行う認証装置のプログラムを記録した記録媒体であって、上記認証装置に、上記被認証装置からの情報を受信する受信処理と、所定の処理回数から1少ない減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが上記被認証装置から上記受信処理により受信された際に、該減回数暗号化パスワードを、1回だけ上記一方向関数により処理する暗号化処理と、を実行させる。
また、上記受信処理により受信された、上記パスワードを上記処理回数だけ上記一方向関数により処理した所定回数暗号化パスワードが、上記暗号化処理により算出された算出済みパスワードと一致するか否かにより認証する認証処理と、を実行させることを特徴とする。
【発明の効果】
【0026】
以上のように、本発明によれば、チャレンジコードの送信が不要であると共に、認証装置と被認証装置の両方がパスワードを格納する必要がなく、パスワードを被認証装置が保持するだけで、一方向関数を用いた信頼性の高い認証により、先に行われた通信と同じ被認証装置からの通信であるということを認証することができる。
【図面の簡単な説明】
【0027】
【図1】本発明の実施形態としての無線通信システムを示すブロック図である。
【図2】システム制御装置1の構成例を示すブロック図である。
【図3】接続状態管理テーブル131の構成例を示す図である。
【図4】無線基地局2の構成例を示すブロック図である。
【図5】情報通信端末3の構成例を示すブロック図である。
【図6】設定管理サーバ4の構成例を示すブロック図である。
【図7】設定情報管理テーブル441の構成例を示す図である。
【図8】第1の実施形態としての無線通信システムによる動作例を示すシーケンス図である。
【図9】第2の実施形態としての無線通信システムによる動作例を示すシーケンス図である。
【図10】第3の実施形態としての無線通信システムによる動作例を示すシーケンス図である。
【図11】第4の実施形態としての無線通信システムによる動作例を示すシーケンス図である。
【図12】第5の実施形態としての無線通信システムによる動作例を示すシーケンス図である。
【図13】従来のチャレンジレスポンス方式による認証例を示すシーケンス図である。
【発明を実施するための形態】
【0028】
次に、本発明に係る認証システム、被認証装置、認証装置、認証方法、被認証装置のプログラム、および認証装置のプログラムを、無線LAN(Local Area Network)を用いた無線通信システムに適用した一実施形態について、図面を用いて詳細に説明する。
各実施形態としての無線通信システムは、各端末の設定情報を管理する設定管理システムとして機能し、音声通話機能を備えた各端末への設定更新を自動で安全に行うことができる好適なものを例示している。
【0029】
まず、各実施形態に共通する構成について説明する。
本発明の各実施形態としての無線通信システムは、図1に示すように、システム制御装置(CTRL)1と、無線LAN情報通信端末3(音声通話端末)からの無線通信接続を制御する無線基地局(AP;アクセスポイント)2と、設定管理サーバ4と、無線LAN認証サーバ5と、音声通話サーバ6とが、ネットワークを介して接続されて構成される。
【0030】
システム制御装置(CTRL)1は、各無線基地局2を制御し、本無線通信システムにおける無線通信の制御を行う。
無線LAN認証サーバ5は、各情報通信端末についての認証情報51などを格納することにより、情報通信端末3がAPに帰属する際の認証を行う。
音声通話サーバ6は、各情報通信端末が音声通話を行う場合についての電話番号情報61などを格納することにより、情報通信端末間での音声通信の制御を行う。
【0031】
設定管理サーバ4は、各情報通信端末における設定登録情報を管理し、設定登録情報が更新された場合に情報通信端末3へアクセスし、情報通信端末3内の端末設定情報を自動的に更新する。
すなわち、設定登録情報が更新された場合、情報通信端末3が認証装置として、設定管理サーバ4が被認証装置として機能することにより、設定管理サーバ4からのアクセスに対して情報通信端末3が認証を行い、認証OKである場合に端末設定情報の自動更新が行われる。
【0032】
この設定管理サーバの機能について、以下に説明する。
変更通知機能は、情報通信端末3についての設定情報変更が行われた場合に、無線通信システムにおけるその設定情報を格納する各装置に対して、変更が行われた旨を通知する。
【0033】
無線LAN認証サーバ登録情報管理機能は、情報通信端末3についての設定変更が行われた場合に、無線LAN認証サーバ5に変更内容を通知し、設定更新を行わせる。このことにより、無線LAN認証サーバ5は、設定管理サーバ4で設定情報が更新されるたびに更新通知を受信し、最新の登録情報に更新する。
【0034】
音声通話サーバ登録情報管理機能は、情報通信端末3についての設定変更が行われた場合に、音声通話サーバ6に変更内容を通知し、設定更新を行わせる。このことにより、音声通話サーバ6は、設定管理サーバ4で設定情報が更新されるたびに更新通知を受信し、最新の登録情報に更新する。
【0035】
設定管理機能は、設定管理サーバ4が格納する各設定情報の変更など、設定管理動作の制御を行う。
端末情報通信機能は、端末の設定情報を変更する場合に、情報通信端末3との無線通信を確立したり、設定情報の変更を行わせたりする。
鍵情報管理機能は、端末の設定情報を変更する場合のハッシュ関数による演算などを行い、暗号処理や認証の制御を行う。
【0036】
次に、各実施形態としての無線通信システムの各装置の構成について説明する。
システム制御装置1は、図2に示すように、他の装置との間で通信を行うための通信部11と、本システム制御装置1の動作全体を制御する制御部12と、記憶部13とを備える。
【0037】
記憶部13は、不図示のプログラムや、接続状態管理テーブル131を格納する。
接続状態管理テーブル131は、図3に示すように、各情報通信端末のMac Addressにその端末の接続状態が関連付けられて格納される。また、他の装置から情報通信端末3についての鍵情報が通知された場合には、その鍵情報を該当する端末のMac Addressに関連付けて格納する。
【0038】
無線基地局2は、図4に示すように、情報通信端末3など他の装置と無線通信を行う無線通信部21と、システム制御装置1など他の装置と有線での通信を行う有線通信部22と、本無線基地局2の動作全体を制御する制御部23と、記憶部24とを備える。
【0039】
情報通信端末3は、図5に示すように、無線基地局2と無線通信を行う無線通信部31と、本情報通信端末3の動作全体を制御する制御部32と、ハッシュ関数による処理を行って認証処理を行う認証処理部33と、マイクやスピーカにより音声通話の制御を行う音声通話部34と、ユーザが操作を行い情報を入力するための操作入力部35と、記憶部36とを備える。
記憶部36は、本情報通信端末3についての設定情報である端末設定情報361と、設定管理サーバ4などから送信された暗号処理に関する暗号情報362とを格納する。
【0040】
設定管理サーバ4は、図6に示すように、他の装置との間で通信を行うための通信部41と、本設定管理サーバ4の動作全体を制御する制御部42と、設定情報の変更などの際に情報入力を行うための情報入力部43と、記憶部44とを備える。
記憶部44は、各情報通信端末3の設定情報などの設定情報管理テーブル441を格納する。
【0041】
設定情報管理テーブル441には、図7に示すように、情報通信端末3のMac Addressにその端末のシリアルナンバーと、設定登録情報と、暗号情報とが関連付けられて格納される。
設定登録情報には、各情報通信端末3について設定される情報であり、ESSID(拡張サービス識別子)、SIP(Session Initiation Protocol)アドレス、ユーザID、認証方式、など、無線LANに接続するための各種情報が含まれる。
暗号情報には、パスワードと、そのパスワードをハッシュ関数により処理する処理回数“n”などの情報が含まれる。
【0042】
〔第1の実施形態〕
次に、本発明の第1の実施形態について説明する。
この第1の実施形態は、上述した構成を備え、設定管理サーバ4における各端末の設定情報に変更があった場合、情報通信端末3が設定管理サーバ4を認証し、設定管理サーバ4が自動的に情報通信端末3の設定情報の更新を安全に行うものである。
【0043】
第1の実施形態としての無線通信システムの動作について、図8を参照して説明する。
まず、情報通信端末3は、初期設定時など設定管理サーバ4への初回接続時に、設定管理サーバ4から設定登録情報を取得すると同時に、鍵情報を受信する(ステップS1)。
鍵は1度きりしか使えないワンタイムパスワードであり、設定管理サーバ4がワンタイムパスワードを生成する。ワンタイムパスワードは、
Kn=hash(pwd,n)
のように、パスワード(pwd)をハッシュ関数によりn回処理したn回ハッシュ値として求められる。hash(*,*)は既知の一方向性ハッシュ関数である。
情報通信端末3は、送信された設定情報を端末設定情報361として、送信されたKnとnとを暗号情報362として、それぞれ保存する。
【0044】
その後、システムの管理者などが端末の設定を変更した場合(ステップS2)、その設定情報の変更内容を、無線LAN認証サーバ登録情報管理機能により無線LAN認証サーバ5に送信し、無線LAN認証サーバ5内の設定情報を変更させる(ステップS3,S4)。
また、音声通話サーバ登録情報管理機能により、設定情報の変更内容を音声通話サーバ6に送信し、音声通話サーバ6内の設定情報を変更させる(ステップS5,S6)。
【0045】
そして、端末情報通信機能により、対象となる情報通信端末3が接続中であれば、その情報通信端末3に設定情報と鍵情報を送信する(ステップS7)。
変更通知の際、設定管理サーバ4は、
Kn-1=hash(pwd,n-1)
を計算して端末に通知する。
【0046】
情報通信端末3は、設定管理サーバ4から受信したKn-1にハッシュ関数による処理を1回行い、Kn'を求める。すなわち、
Kn'=hash(K(n-1),1)
を求め、初回の設定時に取得したKnと比較し、一致するか否かにより認証する(ステップS8)。
【0047】
認証できた場合、情報通信端末3は、送信された設定情報を端末設定情報361として、送信されたKn-1とn−1とを暗号情報362として、それぞれ保存する。
こうして端末設定情報361が安全に更新される。また、次回の更新時など、次に認証を行う時には、暗号情報362のKn-1とn−1とを用いて、送信されたKn-2にハッシュ関数による処理を1回行い、Kn-1と比較し、一致するか否かにより認証することとなる。
また、設定管理サーバ4が設定登録情報を送信する際に、Kn-1と共に新しい鍵Kmおよびmを送信することにより、次回の更新時など、次に認証を行う時に新しい鍵Kmを用いて認証を行うようにしても、上述した実施形態は同様に実現することができる。
【0048】
以上のように、上述した第1の実施形態では、設定管理サーバ4での設定更新時に、前回に取得したワンタイムパスワードを使って認証を行う。すなわち、情報通信端末3が、今回送信されたワンタイムパスワードKn-1にハッシュ関数による処理を1回行い、前回に取得したワンタイムパスワードKnと一致するか否かにより認証を行い、設定変更時の情報が正当かどうかを音声端末が確認する。
このため、偽のアクセスポイントに通信をハイジャックされるといったことのない十分なセキュリティ対策を施しつつ、各端末の設定更新を自動的に行うことができる。
【0049】
また、前回に取得したワンタイムパスワードと一致するか否かにより認証を行うため、従来のチャレンジレスポンス方式のようにチャレンジコードの送信が不要であると共に、情報通信端末3はパスワードを格納する必要がなく、パスワードを設定管理サーバ4が保持するだけで、ハッシュ関数を用いた信頼性の高い認証により、先に行われた通信と同じ設定管理サーバ4からの通信であるということを認証することができる。
【0050】
〔第2の実施形態〕
次に、本発明の第2の実施形態について説明する。
この第2の実施形態は、上述した第1の実施形態で設定管理サーバ4から情報通信端末3に設定登録情報を送信する前に、変更通知とその際の認証処理とをさらに行うようにしたものである。
【0051】
第2の実施形態としての無線通信システムの動作について、図9を参照して説明する。
まず、上述した第1の実施形態と同様に、情報通信端末3は、初期設定時など設定管理サーバ4への初回接続時に、設定管理サーバ4から設定登録情報を取得すると同時に、鍵情報Knおよびnを受信する(ステップS11)。
また、システムの管理者などが端末の設定を変更した場合(ステップS12)、上述した第1の実施形態と同様に、無線LAN認証サーバ5および音声通話サーバ6内の設定情報を変更させる(ステップS13〜S16)。
【0052】
そして、設定管理サーバ4の端末情報通信機能により、無線基地局2を管理するシステム制御装置1に、端末を特定する特定情報(Mac AddressまたはユーザID)に変更通知を関連付けて送信する(ステップS17)。
システム制御装置1は、その特定情報により特定される情報通信端末3が接続中であれば、接続中である旨の応答を設定管理サーバ4に送信する(ステップS18)。
【0053】
接続中の応答を受信すると、設定管理サーバ4は、変更通知をKn-1と共に情報通信端末3に送信する(ステップS19)。
情報通信端末3は、設定管理サーバ4から受信したKn-1にハッシュ関数による処理を1回行い、Kn'を求める。すなわち、
Kn'=hash(K(n-1),1)
を求め、前回の設定時に取得したKnと比較し、一致するか否かにより認証する(ステップS20)。
【0054】
前回の設定時と同じ設定管理サーバ4であると認証されれば、情報通信端末3は、認証OKの旨をシリアル番号などと共にその設定管理サーバ4に送信する(ステップS21)。
認証OKを受信すると、設定管理サーバ4は、前回送信した鍵情報であるKn-1よりもハッシュ関数による処理回数が1回少ないKn-2と共に、変更された設定登録情報を送信する(ステップS22)。
【0055】
情報通信端末3は、設定管理サーバ4から受信したKn-2にハッシュ関数による処理を1回行い、Kn-1'を求め、前回の設定時に取得したKn-1と比較し、一致するか否かにより認証する。前回の設定時と同じ設定管理サーバ4であると認証されれば、情報通信端末3は、送信された設定情報を端末設定情報361として、送信されたKn-2とn−2とを暗号情報362として、それぞれ保存する(ステップS23)。
【0056】
こうして端末設定情報361が安全に更新される。また、次回の更新時など、次に認証を行う時には、暗号情報362のKn-2とn−2とを用いて、送信されたKn-3にハッシュ関数による処理を1回行い、Kn-2と比較し、一致するか否かにより認証することとなる。
また、設定管理サーバ4が設定登録情報を送信する際に、Kn-2と共に新しい鍵Kmおよびmを送信することにより、次回の更新時など、次に認証を行う時に新しい鍵Kmを用いて認証を行うようにしても、上述した実施形態は同様に実現することができる。
【0057】
以上のように、上述した第2の実施形態では、変更通知や設定登録情報の送信時など、設定管理サーバ4から情報通信端末3へのデータ送信時に、情報通信端末3が、前回に取得したワンタイムパスワードを使って認証を行う。すなわち、情報通信端末3が、今回送信されたワンタイムパスワードにハッシュ関数による処理を1回行い、前回に取得したワンタイムパスワードと一致するか否かにより認証を行い、データ送信元が前回の通信相手と同じであるかどうかを音声端末が確認する。
このため、偽のアクセスポイントに通信をハイジャックされるといったことのない十分なセキュリティ対策を施しつつ、各端末の設定更新を自動的に行うことができる。
【0058】
また、前回に取得したワンタイムパスワードと一致するか否かにより認証を行うため、従来のチャレンジレスポンス方式のようにチャレンジコードの送信が不要であると共に、情報通信端末3はパスワードを格納する必要がなく、パスワードを設定管理サーバ4が保持するだけで、ハッシュ関数を用いた信頼性の高い認証により、前回の通信と同じ設定管理サーバ4からの通信であるということを認証することができる。
【0059】
〔第3の実施形態〕
次に、本発明の第3の実施形態について説明する。
この第3の実施形態は、上述した第2の実施形態で設定管理サーバ4から情報通信端末3に設定登録情報を送信しようとした時に、情報通信端末3の電源が切れているなど、情報通信端末3に接続できない場合の処理を示すものである。
【0060】
第3の実施形態としての無線通信システムの動作について、図10を参照して説明する。
まず、上述した第2の実施形態と同様に、情報通信端末3は、初期設定時など設定管理サーバ4への初回接続時に、設定管理サーバ4から設定登録情報を取得すると同時に、鍵情報Knおよびnを受信する(ステップS31)。
また、システムの管理者などが端末の設定を変更した場合(ステップS32)、上述した第2の実施形態と同様に、無線LAN認証サーバ5および音声通話サーバ6内の設定情報を変更させる(ステップS33〜S36)。
【0061】
そして、設定管理サーバ4の端末情報通信機能により、無線基地局2を管理するシステム制御装置1に、端末を特定する特定情報(Mac AddressまたはユーザID)に変更通知を関連付けて送信する(ステップS37)。
システム制御装置1は、接続状態管理テーブル131を参照し、その特定情報により特定される情報通信端末3に接続不能である場合、切断中である旨の応答を設定管理サーバ4に送信する(ステップS38)。
【0062】
切断中の応答を受信すると、設定管理サーバ4は、変更通知をKn-1と共にシステム制御装置1に送信する(ステップS39)。
システム制御装置1は、接続状態管理テーブル131におけるその情報通信端末3のMac Addressに、送信されたワンタイムパスワードKn-1をさらに関連付けて格納し、その情報通信端末3からの接続要求待ち(アクセス待ち)状態となる(ステップS40)。
【0063】
接続要求待ちであった情報通信端末3から、本無線通信システムにおける無線基地局2にProbe要求が送信されると(ステップS41)、システム制御装置1は、Probe応答に加えて、設定管理サーバ4から送信された変更通知とワンタイムパスワードKn-1を返信する(ステップS42)。
【0064】
情報通信端末3は、システム制御装置1から受信したKn-1にハッシュ関数による処理を1回行い、Kn'を求める。すなわち、
Kn'=hash(K(n-1),1)
を求め、前回の設定時に取得したKnと比較し、一致するか否かにより認証する(ステップS43)。
【0065】
前回の設定情報変更時と同じ設定管理サーバ4からのワンタイムパスワードであると認証されれば、情報通信端末3は、設定変更用のSSIDにより無線基地局2に帰属要求を発信する(ステップS44)。
設定変更用のSSIDにより帰属要求が発信されると、その設定変更用のSSIDによる接続要求が設定管理サーバ4に送信され、設定管理サーバ4は、端末情報通信機能により情報通信端末3にIPアドレスを割り当て、DHCPサーバとして機能できるように接続を確立する(ステップS45)。
【0066】
こうして設定変更用のSSIDによる接続が確立されると、設定管理サーバ4は、情報通信端末3にシリアルナンバーの要求を送信する(ステップS46)。情報通信端末3がシリアルナンバーを返信すると(ステップS47)、設定管理サーバ4は、そのシリアルナンバーに基づいて設定情報管理テーブル441を検索し、設定登録情報と新しい鍵情報Kmとmとを送信する(ステップS48)。
情報通信端末3は、送信された設定情報を端末設定情報361として、送信されたKmとmとを暗号情報362として、それぞれ保存する(ステップS49)。
【0067】
こうして端末設定情報361が安全に更新される。また、次回の更新時など、次に認証を行う時には、暗号情報362のKmとmとを用いて、送信されたKm-1にハッシュ関数による処理を1回行い、Kmと比較し、一致するか否かにより認証することとなる。
また、設定管理サーバ4が設定登録情報を送信する際に、Kn-2およびn−2を送信することにより、次回の更新時など、次に認証を行う時にそのKn-2を用いて認証を行うようにしても、上述した実施形態は同様に実現することができる。
【0068】
以上のように、上述した第3の実施形態では、変更通知の送信時など、設定管理サーバ4から情報通信端末3へのデータ送信時に、情報通信端末3が、前回に取得したワンタイムパスワードを使って認証を行う。すなわち、情報通信端末3が、今回送信されたワンタイムパスワードにハッシュ関数による処理を1回行い、前回に取得したワンタイムパスワードと一致するか否かにより認証を行い、データ送信元が前回の通信相手と同じであるかどうかを音声端末が確認する。
また、その認証後には、設定変更用のSSIDで接続を確立して通信を行い、設定登録情報などの送受信を行う。
このため、偽のアクセスポイントに通信をハイジャックされるといったことのない十分なセキュリティ対策を施しつつ、各端末の設定更新を自動的に行うことができる。
【0069】
また、前回に取得したワンタイムパスワードと一致するか否かにより認証を行うため、従来のチャレンジレスポンス方式のようにチャレンジコードの送信が不要であると共に、情報通信端末3はパスワードを格納する必要がなく、パスワードを設定管理サーバ4が保持するだけで、ハッシュ関数を用いた信頼性の高い認証により、前回の通信と同じ設定管理サーバ4からの通信であるということを認証することができる。
【0070】
〔第4の実施形態〕
次に、本発明の第4の実施形態について説明する。
この第4の実施形態は、上述した第3の実施形態で設定管理サーバ4から情報通信端末3に設定登録情報を送信しようとして、情報通信端末3に接続できない場合に、情報通信端末3が設定変更用の無線基地局2にアクセスしてくるのを待つ場合の処理を示すものである。
【0071】
第4の実施形態としての無線通信システムの動作について、図11を参照して説明する。
まず、情報通信端末3が初期設定時など設定管理サーバ4への初回接続時に設定登録情報と鍵情報を受信するステップS51の動作から、切断中である旨の応答を設定管理サーバ4が受信するステップS58までの動作については、上述した第3の実施形態におけるステップS31からS38の動作と同様であり、説明を省略する。
【0072】
情報通信端末3が切断中である旨の応答を受信すると、設定管理サーバ4は、情報通信端末3が設定変更用の無線基地局2にアクセスしてくるのを待つ状態となり、変更通知の送信を試みることを停止する。
【0073】
情報通信端末3は、設定変更用の無線基地局2にアクセスすると、設定変更用のSSIDによりその無線基地局2に帰属要求を発信する(ステップS59)。
設定変更用のSSIDにより帰属要求が発信されると、その設定変更用のSSIDによる接続要求が設定管理サーバ4に送信され、設定管理サーバ4は、端末情報通信機能により情報通信端末3にIPアドレスを割り当て、DHCPサーバとして機能できるように接続を確立する(ステップS60)。
【0074】
こうして設定変更用のSSIDによる接続が確立されると、設定管理サーバ4は、シリアルナンバーの要求と、変更通知と、Kn-1とを情報通信端末3に送信する(ステップS61)。
【0075】
情報通信端末3は、システム制御装置1から受信したKn-1にハッシュ関数による処理を1回行い、Kn'を求める。すなわち、
Kn'=hash(K(n-1),1)
を求め、前回の設定時に取得したKnと比較し、一致するか否かにより認証する(ステップS62)。
【0076】
前回の設定情報変更時と同じ設定管理サーバ4からのワンタイムパスワードであると認証されれば、情報通信端末3は、認証OKの通知としてシリアルナンバーを設定管理サーバ4に返信する(ステップS63)。
設定管理サーバ4は、そのシリアルナンバーに基づいて設定情報管理テーブル441を検索し、設定登録情報と新しい鍵情報Kmとmとを送信する(ステップS64)。
情報通信端末3は、送信された設定情報を端末設定情報361として、送信されたKmとmとを暗号情報362として、それぞれ保存する(ステップS65)。
【0077】
こうして端末設定情報361が安全に更新される。また、次回の更新時など、次に認証を行う時には、暗号情報362のKmとmとを用いて、送信されたKm-1にハッシュ関数による処理を1回行い、Kmと比較し、一致するか否かにより認証することとなる。
また、設定管理サーバ4が設定登録情報を送信する際に、Kn-2およびn−2を送信することにより、次回の更新時など、次に認証を行う時にそのKn-2を用いて認証を行うようにしても、上述した実施形態は同様に実現することができる。
【0078】
以上のように、上述した第4の実施形態では、設定変更があった場合に設定変更用のSSIDで接続を確立して通信を行い、変更通知の送信時など、設定管理サーバ4から情報通信端末3への初回のデータ送信時に、情報通信端末3が、前回に取得したワンタイムパスワードを使って認証を行う。すなわち、情報通信端末3が、今回送信されたワンタイムパスワードにハッシュ関数による処理を1回行い、前回に取得したワンタイムパスワードと一致するか否かにより認証を行い、データ送信元が前回の設定変更送信元と同じであるかどうかを音声端末が確認する。
このため、偽のアクセスポイントに通信をハイジャックされるといったことのない十分なセキュリティ対策を施しつつ、各端末の設定更新を自動的に行うことができる。
【0079】
また、前回に取得したワンタイムパスワードと一致するか否かにより認証を行うため、従来のチャレンジレスポンス方式のようにチャレンジコードの送信が不要であると共に、情報通信端末3はパスワードを格納する必要がなく、パスワードを設定管理サーバ4が保持するだけで、ハッシュ関数を用いた信頼性の高い認証により、前回の通信と同じ設定管理サーバ4からの通信であるということを認証することができる。
【0080】
〔第5の実施形態〕
次に、本発明の第5の実施形態について説明する。
この第5の実施形態は、上述した第1〜第4の実施形態における端末設定情報361に、有効期限を設けるようにしたものである。
【0081】
第5の実施形態としての無線通信システムの動作について、図12を参照して説明する。
まず、上述した第4の実施形態と同様に、情報通信端末3は、初期設定時など設定管理サーバ4への初回接続時に、設定管理サーバ4から設定登録情報を取得すると同時に、鍵情報Knおよびnを受信する(ステップS71)。
【0082】
この後、上述した第1〜第4の実施形態に示すような設定管理サーバ4からの自動更新が行われることなく、端末設定情報361に関連付けられた有効期限が切れた場合(ステップS72)、情報通信端末3は、設定変更用の無線基地局2にアクセスし、設定変更用のSSIDによりその無線基地局2に帰属要求を発信する(ステップS73)。
設定変更用のSSIDにより帰属要求が発信されると、その設定変更用のSSIDによる接続要求が設定管理サーバ4に送信され、設定管理サーバ4は、端末情報通信機能により情報通信端末3にIPアドレスを割り当て、DHCPサーバとして機能できるように接続を確立する(ステップS74)。
【0083】
こうして設定変更用のSSIDによる接続が確立されると、設定管理サーバ4は、シリアルナンバーの要求と、変更通知と、Kn-1とを情報通信端末3に送信する(ステップS75)。
【0084】
情報通信端末3は、システム制御装置1から受信したKn-1にハッシュ関数による処理を1回行い、Kn'を求める。すなわち、
Kn'=hash(K(n-1),1)
を求め、前回の設定時に取得したKnと比較し、一致するか否かにより認証する(ステップS76)。
【0085】
前回の設定情報変更時と同じ設定管理サーバ4からのワンタイムパスワードであると認証されれば、情報通信端末3は、認証OKの通知としてシリアルナンバーを設定管理サーバ4に返信する(ステップS77)。
設定管理サーバ4は、そのシリアルナンバーに基づいて設定情報管理テーブル441を検索し、有効期限付きの設定登録情報と、新しい鍵情報Kmとmとを送信する(ステップS78)。
情報通信端末3は、送信された有効期限付き設定情報を端末設定情報361として、送信されたKmとmとを暗号情報362として、それぞれ保存する(ステップS79)。
【0086】
こうして端末設定情報361が安全に更新される。また、次回の更新時など、次に認証を行う時には、暗号情報362のKmとmとを用いて、送信されたKm-1にハッシュ関数による処理を1回行い、Kmと比較し、一致するか否かにより認証することとなる。
また、設定管理サーバ4が設定登録情報を送信する際に、Kn-2およびn−2を送信することにより、次回の更新時など、次に認証を行う時にそのKn-2を用いて認証を行うようにしても、上述した実施形態は同様に実現することができる。
【0087】
以上のように、上述した第5の実施形態によれば、端末設定情報に有効期限を設けることにより、設定情報が古くなりすぎることを防止し、常に最新の端末設定情報を設定管理サーバ4と情報通信端末3との間で共有することができる。
【0088】
また、その有効期限が切れた場合にも、設定変更用のSSIDで接続を確立して通信を行い、設定管理サーバ4から情報通信端末3への初回のデータ送信時に、情報通信端末3が、前回に取得したワンタイムパスワードを使って認証を行う。すなわち、情報通信端末3が、今回送信されたワンタイムパスワードにハッシュ関数による処理を1回行い、前回に取得したワンタイムパスワードと一致するか否かにより認証を行い、データ送信元が前回の設定変更送信元と同じであるかどうかを音声端末が確認する。
このため、偽のアクセスポイントに通信をハイジャックされるといったことのない十分なセキュリティ対策を施しつつ、有効期限が切れた端末の設定更新を自動的に行うことができる。
【0089】
また、前回に取得したワンタイムパスワードと一致するか否かにより認証を行うため、従来のチャレンジレスポンス方式のようにチャレンジコードの送信が不要であると共に、情報通信端末3はパスワードを格納する必要がなく、パスワードを設定管理サーバ4が保持するだけで、ハッシュ関数を用いた信頼性の高い認証により、前回の通信と同じ設定管理サーバ4からの通信であるということを認証することができる。
【0090】
〔第6の実施形態〕
また、典型的な本発明の態様による認証システムは、認証装置と被認証装置とを備えた認証システムであって、上記被認証装置は、パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、上記パスワードを上記一方向関数により上記処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に上記認証装置に送信する所定回数暗号送信手段と、上記パスワードを上記一方向関数により、上記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に上記認証装置に送信する減回数暗号送信手段を備える。
また、上記認証装置は、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記処理回数情報と、上記減回数暗号化パスワードと、上記減算済み回数情報とに基づいて認証を行うことを特徴とする。
【0091】
〔第7の実施形態〕
上記認証装置は、上記被認証装置からの情報を受信する受信手段と、上記受信手段により受信された上記減回数暗号化パスワードを、上記処理回数から上記減算済み回数を減算することで得られた減算回数だけ上記一方向関数により処理する暗号化処理手段と、上記暗号化処理手段により算出された算出済みパスワードが上記受信手段により受信された上記所定回数暗号化パスワードと一致するか否かにより認証する認証手段と、を備えたことが好ましい。
【0092】
〔第8の実施形態〕
また、典型的な本発明の態様による認証システムは、認証装置と被認証装置とを備えた認証システムであって、上記被認証装置は、パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、上記パスワードを上記一方向関数により上記処理回数だけ処理した所定回数暗号化パスワードを上記認証装置に送信する所定回数暗号送信手段と、上記パスワードを上記一方向関数により、上記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを上記認証装置に送信する減回数暗号送信手段と、を備える。
また、上記認証装置は、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記減回数暗号化パスワードとに基づいて認証を行うことを特徴とする。
【0093】
〔第9の実施形態〕
上記認証装置は、上記被認証装置からの情報を受信する受信手段と、上記被認証装置から上記受信手段により受信された上記減回数暗号化パスワードを1回だけ上記一方向関数により処理する暗号化処理手段と、上記暗号化処理手段により算出された算出済みパスワードが上記受信手段により受信された上記所定回数暗号化パスワードと一致するか否かにより認証する認証手段と、を備えたことが好ましい。
【0094】
〔第10の実施形態〕
上記被認証装置は、上記認証装置の設定情報を管理する設定管理装置であって、上記認証装置から認証されると、該認証装置についての設定情報を当該認証装置に送信する設定情報送信手段を備えたことが好ましい。
【0095】
〔第11の実施形態〕
上記被認証装置は、設定情報が変更された場合に該変更を通知する変更通知手段を備え、上記設定情報送信手段は、上記変更通知手段が通知した後に送信を行うことが好ましい。
【0096】
〔第12の実施形態〕
上記認証装置と上記被認証装置との接続制御を行う接続制御手段を備え、上記接続制御手段は、上記被認証装置が上記接続制御手段を介して上記認証装置にアクセスを試みた時点で該認証装置が接続されていない場合、上記被認証装置の変更通知手段から送信された変更通知および、上記減回数暗号送信手段から送信された減回数暗号化パスワードを保持して該認証装置にアクセス可能となるのを待機する保持待機部を備えたことが好ましい。
【0097】
〔第13の実施形態〕
上記被認証装置が上記認証装置にアクセスを試みた時点で該認証装置が接続されておらず、その後に該認証装置にアクセス可能となった場合、当該認証装置を設定用のネットワークとして接続する設定用接続手段を備え、上記設定情報送信手段は、上記設定用接続手段により設定用のネットワークとして接続された該認証装置に上記設定情報を送信することが好ましい。
【0098】
〔第14の実施形態〕
上記設定情報には有効期限が設けられ、上記認証装置は、上記有効期限が切れた場合、上記被認証装置に設定用のネットワークとして接続する設定接続手段を備えたことが好ましい。
【0099】
〔第15の実施形態〕
上記認証装置は、ネットワークに接続されて通信を行う情報通信端末であり、上記被認証装置は、上記設定管理装置として該情報通信端末の設定情報を管理することが好ましい。
【0100】
〔第16の実施形態〕
また、典型的な本発明の態様による認証方法は、認証装置と被認証装置とを備えた認証システムにおける認証方法であって、上記被認証装置が、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に上記認証装置に送信する所定回数暗号送信工程と、上記被認証装置が、上記パスワードを上記一方向関数により、上記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に上記認証装置に送信する減回数暗号送信工程と、を備える。
また、上記認証装置が、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記処理回数情報と、上記減回数暗号化パスワードと、上記減算済み回数情報とに基づいて認証を行うことを特徴とする。
【0101】
〔第17の実施形態〕
上記認証装置が、上記減回数暗号送信工程で送信された減回数暗号化パスワードを、上記処理回数から上記減算済み回数を減算することで得られた減算回数だけ上記一方向関数により処理する暗号化処理工程と、上記暗号化処理工程により算出された算出済みパスワードが、上記所定回数暗号送信工程で送信された上記所定回数暗号化パスワードと一致するか否かにより上記認証装置が認証する認証工程と、を備えたことが好ましい。
【0102】
〔第18の実施形態〕
また、典型的な本発明の態様による認証方法は、認証装置と被認証装置とを備えた認証システムにおける認証方法であって、上記被認証装置が、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを上記認証装置に送信する所定回数暗号送信工程と、上記被認証装置が、上記パスワードを上記一方向関数により、上記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを上記認証装置に送信する減回数暗号送信工程と、を備える。
また、上記認証装置が、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記減回数暗号化パスワードとに基づいて認証を行うことを特徴とする。
【0103】
〔第19の実施形態〕
上記認証装置が、上記減回数暗号送信工程で送信された減回数暗号化パスワードを1回だけ上記一方向関数により処理する暗号化処理工程と、上記暗号化処理工程により算出された算出済みパスワードが、上記所定回数暗号送信工程で送信された上記所定回数暗号化パスワードと一致するか否かにより上記認証装置が認証する認証工程と、を備えたことが好ましい。
【0104】
〔第20の実施形態〕
上記被認証装置は、上記認証装置の設定情報を管理する設定管理装置であって、上記認証工程で上記認証装置から認証されると、該認証装置についての設定情報を上記被認証装置が当該認証装置に送信する設定情報送信工程を備えたことが好ましい。
【0105】
〔第21の実施形態〕
設定情報が変更された場合に該変更を上記被認証装置が上記認証装置に通知する変更通知工程を備え、上記設定情報送信工程では、上記変更通知工程で通知した後に送信を行うことが好ましい。
【0106】
〔第22の実施形態〕
上記被認証装置が上記認証装置にアクセスを試みた時点で該認証装置が接続されていない場合、上記被認証装置からの変更通知および、上記減回数暗号送信工程として算出された減回数暗号化パスワードを、上記認証装置と上記被認証装置との接続制御を行う接続制御手段が保持し、該認証装置にアクセス可能となるのを待機する保持待機工程を備えたことが好ましい。
【0107】
〔第23の実施形態〕
上記被認証装置が上記認証装置にアクセスを試みた時点で該認証装置が接続されておらず、その後に該認証装置にアクセス可能となった場合、当該認証装置を設定用のネットワークとして接続させる設定用接続工程を備え、上記設定情報送信工程は、上記設定用接続工程により設定用のネットワークとして接続された該認証装置に上記設定情報を送信することが好ましい。
【0108】
〔第24の実施形態〕
上記設定情報には有効期限が設けられ、上記有効期限が切れた場合、上記認証装置が上記被認証装置に設定用のネットワークとして接続する設定接続工程を備えたことが好ましい。
【0109】
〔第25の実施形態〕
また、典型的な本発明の態様による被認証装置のプログラムを記録した記録媒体は、認証装置に対して認証を要求する被認証装置のプログラムを記録した記録媒体であって、上記被認証装置に、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に上記認証装置に送信する所定回数暗号送信処理と、上記パスワードを上記一方向関数により、上記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に上記認証装置に送信する減回数暗号送信処理と、を実行させることを特徴とする。
【0110】
〔第26の実施形態〕
また、典型的な本発明の態様による被認証装置のプログラムを記録した記録媒体は、認証装置に対して認証を要求する被認証装置のプログラムを記録した記録媒体であって、上記被認証装置に、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを上記認証装置に送信する所定回数暗号送信処理と、上記パスワードを上記一方向関数により、上記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを上記認証装置に送信する減回数暗号送信処理と、を実行させることを特徴とする。
【0111】
〔第27の実施形態〕
上記被認証装置は、上記認証装置の設定情報を管理する設定管理装置であって、該被認証装置に、上記認証処理で上記認証装置から認証されると、該認証装置についての設定情報を当該認証装置に送信する設定情報送信処理を実行させることが好ましい。
【0112】
〔第28の実施形態〕
上記被認証装置に、設定情報が変更された場合に該変更を上記認証装置に通知する変更通知処理を実行させ、上記設定情報送信処理では、上記変更通知処理で通知した後に送信を行うことが好ましい。
【0113】
〔第29の実施形態〕
また、典型的な本発明の態様による認証装置のプログラムを記録した記録媒体は、被認証装置からの認証要求に応じて認証を行う認証装置のプログラムを記録した記録媒体であって、上記認証装置に、上記被認証装置からの情報を受信する受信処理と、所定の処理回数から所定の減算回数だけ減算した減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが、上記被認証装置から上記受信処理により受信された際に、該減回数暗号化パスワードを、上記処理回数から上記減算済み回数を減算することで得られた減算回数だけ上記一方向関数により処理する暗号化処理と、を実行させる。
また、上記受信処理により受信された、上記一方向関数により上記パスワードを上記処理回数だけ処理した所定回数暗号化パスワードが、上記暗号化処理により算出された算出済みパスワードと一致するか否かにより認証する認証処理と、を実行させることを特徴とする。
【0114】
〔第30の実施形態〕
また、典型的な本発明の態様による認証装置のプログラムを記録した記録媒体は、被認証装置からの認証要求に応じて認証を行う認証装置のプログラムを記録した記録媒体であって、上記認証装置に、上記被認証装置からの情報を受信する受信処理と、所定の処理回数から1少ない減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが上記被認証装置から上記受信処理により受信された際に、該減回数暗号化パスワードを、1回だけ上記一方向関数により処理する暗号化処理と、を実行させる。
また、上記受信処理により受信された、上記パスワードを上記処理回数だけ上記一方向関数により処理した所定回数暗号化パスワードが、上記暗号化処理により算出された算出済みパスワードと一致するか否かにより認証する認証処理と、を実行させることを特徴とする。
【0115】
〔第31の実施形態〕
上記設定情報には有効期限が設けられ、上記認証装置に、上記有効期限が切れた場合、上記認証装置が上記被認証装置に設定用のネットワークとして接続する設定接続処理を実行させることが好ましい。
【0116】
〔各実施形態について〕
なお、上述した各実施形態は本発明の好適な実施形態であり、本発明はこれに限定されることなく、本発明の技術的思想に基づいて種々変形して実施することが可能である。
例えば、上述した各実施形態に係る無線通信システムは、図1〜図7に示す構成例として説明したが、無線通信を行う情報通信端末と、その情報通信端末についての設定情報を管理する設定管理装置とを備えたシステムであればシステム構成はこのものに限定されず、各種の装置を備えたものであってよい。
【0117】
また、上述した各実施形態では、情報通信端末3が他の情報通信端末3などとの間で音声通話を行う機能を有するものであるとして説明したが、無線通信を行う無線通信端末であればこのものに限定されず、例えばデータ通信のための無線通信端末など、各種の端末であってよい。
【0118】
また、設定情報管理テーブル441は、図7に示されるように、情報通信端末3のMac Addressにその端末のシリアルナンバーと、設定登録情報と、暗号情報とが関連付けられて格納されることとして説明したが、Mac Addressとシリアルナンバーとについてはその端末を特定できる特定情報であれば、何れか一方のみで代替としても、あるいは各種のものを代替に用いても本発明は同様に実現することができる。
【0119】
また、認証の際に、被認証装置である設定管理サーバ4が、前回送信したワンタイムパスワードよりハッシュ関数の処理が1回少ないワンタイムパスワードを生成して送信し、認証装置である情報通信端末3が、今回送信されたワンタイムパスワードにハッシュ関数による処理を1回行い、前回に取得したワンタイムパスワードと一致するか否かにより認証を行うこととして説明したが、ハッシュ関数の処理を減らす回数は1回に限定されず、任意の回数であってよい。
この場合、認証装置である情報通信端末3は、ワンタイムパスワードと同時に送信されるハッシュ関数の処理回数の前回との差を検知することにより、その差の回数だけ今回送信されたワンタイムパスワードにハッシュ関数による処理を行い、前回に取得したワンタイムパスワードと一致するか否かにより認証を行うこととなる。
【0120】
また、暗号化処理はハッシュ関数を用いて行うこととして説明したが、このハッシュ関数には、例えばSHA−1(Secure Hash Algorithm 1)やMD5(Message Digest 5)など、予め定められたものであれば各種のものを用いてよい。
また、一方向関数(one-way function)であればハッシュ関数に限定されず、各種の関数を用いてよい。
ここで、ある関数y=f(x)が一方向関数であるとは、xよりy=f(x)を計算することが容易であっても、逆にyよりxを求めることが極めて困難であるということである。
【0121】
また、上述した各実施形態としての無線通信システムを実現するための処理手順をプログラムとして記録媒体に記録することにより、本発明の各実施形態による上述した各機能を、その記録媒体から供給されるプログラムによって、システムや各装置を構成するコンピュータのCPUに処理を行わせて実現させることができる。
この場合、上記の記録媒体により、あるいはネットワークを介して外部の記録媒体から、プログラムを含む情報群を出力装置に供給される場合でも本発明は適用されるものである。
すなわち、記録媒体から読み出されたプログラムコード自体が本発明の新規な機能を実現することになり、そのプログラムコードを記憶した記録媒体および該記録媒体から読み出された信号は本発明を構成することになる。
この記録媒体としては、例えば、フロッピー(登録商標)ディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,磁気テープ,不揮発性のメモリカード,ROM,EEPROM等を用いてよい。
【0122】
この本発明に係るプログラムを記録した記録媒体によれば、記録されたプログラムによって制御される無線通信システムやシステムを構成する各装置に、本発明の各実施形態として上述した各機能を実現させることができる。
【0123】
本出願は2006年7月7日に出願された日本出願特願2006―188540を基礎とする優先権を主張し、その開示の全てをここに取り込む。
【符号の説明】
【0124】
1 システム制御装置
131 接続状態管理テーブル
2 無線基地局
3 情報通信端末(認証装置の一例)
361 端末設定情報
362 暗号情報
4 設定管理サーバ(被認証装置の一例)
441 設定情報管理テーブル
【技術分野】
【0001】
本発明は、暗号化しているプロセスを実行することによって、認証装置が被認証装置の認証を行う認証システム、被認証装置、認証装置、認証方法、被認証装置のプログラムを記録した記録媒体、および認証装置のプログラムを記録した記録媒体に関する。
【背景技術】
【0002】
これまでに、ハッシュ関数などの一方向関数を用いた認証方法として、チャレンジレスポンス方式と言われるものがある。
【0003】
図13に、サーバがクライアント端末にアクセスする場合についての、チャレンジレスポンス方式による認証方法の一例を示す。この場合、サーバが被認証装置であり、クライアント端末が認証装置となる。
ここで、サーバはパスワードと、ハッシュ関数による処理回数“n”とを予め格納していることとする。また、クライアント端末は、同じパスワードを予め格納していることとする。
【0004】
まず、サーバがクライアント端末にアクセスし、チャレンジコードと処理回数“n”を送信する(ステップS501)。
受信したクライアント端末は、保持しているパスワードにハッシュ関数による処理をn回行い、暗号化パスワードKnを生成する(ステップS502)。
【0005】
送信したサーバでは、保持しているパスワードにハッシュ関数による処理をn−1回行い、暗号化パスワードKn-1を生成し(ステップS503)、そのKn-1をクライアント端末に送信する(ステップS504)。
【0006】
クライアント端末は、受信したKn-1にハッシュ関数による処理を1回行い、こうして得られた暗号化パスワードKnが、自身の内部に保持するパスワードからステップS502で生成したKnと一致するかどうかにより認証を行う(ステップS505)。
【0007】
また、認証を行う従来のシステムとして、ネットワークの監視装置が監視対象装置のエージェントプログラムを起動させるためのリモートコマンドを発行する際、そのリモートコマンドにワンタイムパスワードを付与し、そのワンタイムパスワードに基づく認証を行った後にエージェントプログラムを起動させるものがある(例えば、特許文献1参照)。
【0008】
また、従来のシステムとして、管理PCからユーザPCにプロファイルの更新パケットを送信する際に、暗号化キーの情報を含め、さらにハッシュキーを用いて暗号化して送出し、受信したユーザPCで複合化して解読するようにしたものがある(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2004−21549号公報
【特許文献1】特開2005−51625号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら、上述した従来の通信システムでは、ハッシュ関数などの一方向関数を用いることで認証の信頼性を高めるよう意図しているが、そのためにチャレンジコードを送信してから改めてKn-1を送信するといった2度手間が必要であった。
すなわち、先に行われた通信と同じ被認証装置からの通信であるということを認証する場合には、認証手順をより簡略化できる余地のあるものであった。
【0011】
また、認証装置と被認証装置との両方が同じパスワードを格納する必要があった。
すなわち、先に行われた通信と同じ被認証装置からの通信であるということを認証する場合には、セキュリティの向上としてさらに改善の余地があった。
【0012】
また、上述した特許文献1のものは、認証についてはワンタイムパスワードを用いて認証することまでしか考慮されていないものであった。
また、上述した特許文献2のものは、ハッシュキーを用いて暗号化して送出したパケットを受信側で複合化することまでしか考慮されていないものであった。
すなわち、特許文献1、2の何れについても、信頼性の高い認証を行いながらもチャレンジコードの送信といった認証手順を簡略化したり、パスワードを認証装置と被認証装置との両方が持つのでないようにすることについてまで考慮されたものではなかった。
【0013】
本発明はこのような状況に鑑みてなされたものであり、チャレンジコードの送信が不要であると共に、認証装置と被認証装置の両方がパスワードを格納する必要がなく、パスワードを被認証装置が保持するだけで、一方向関数を用いた信頼性の高い認証により、先に行われた通信と同じ被認証装置からの通信であるということを認証することができる認証システム、被認証装置、認証装置、認証方法、被認証装置のプログラムを記録した記録媒体、および認証装置のプログラムを記録した記録媒体を提供することを目的とする。
【課題を解決するための手段】
【0014】
かかる目的を達成するために、典型的な本発明の態様による認証システムは、認証装置と被認証装置とを備えた認証システムであって、上記被認証装置は、パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、上記パスワードを上記一方向関数により上記処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に上記認証装置に送信する所定回数暗号送信手段と、上記パスワードを上記一方向関数により、上記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に上記認証装置に送信する減回数暗号送信手段を備える。
また、上記認証装置は、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記処理回数情報と、上記減回数暗号化パスワードと、上記減算済み回数情報とに基づいて認証を行うことを特徴とする。
【0015】
また、典型的な本発明の態様による認証システムは、認証装置と被認証装置とを備えた認証システムであって、上記被認証装置は、パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、上記パスワードを上記一方向関数により上記処理回数だけ処理した所定回数暗号化パスワードを上記認証装置に送信する所定回数暗号送信手段と、上記パスワードを上記一方向関数により、上記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを上記認証装置に送信する減回数暗号送信手段と、を備える。
また、上記認証装置は、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記減回数暗号化パスワードとに基づいて認証を行うことを特徴とする。
【0016】
また、典型的な本発明の態様による被認証装置は、認証装置に対して認証を要求する被認証装置であって、パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、上記パスワードを上記一方向関数により上記処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に上記認証装置に送信する所定回数暗号送信手段と、上記パスワードを上記一方向関数により、上記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に上記認証装置に送信する減回数暗号送信手段と、を備えたことを特徴とする。
【0017】
また、典型的な本発明の態様による被認証装置は、認証装置に対して認証を要求する被認証装置であって、パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、上記パスワードを上記一方向関数により上記処理回数だけ処理した所定回数暗号化パスワードを上記認証装置に送信する所定回数暗号送信手段と、上記パスワードを上記一方向関数により、上記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを上記認証装置に送信する減回数暗号送信手段と、を備えたことを特徴とする。
【0018】
また、典型的な本発明の態様による認証装置は、被認証装置からの認証要求に応じて認証を行う認証装置であって、上記被認証装置からの情報を受信する受信手段と、所定の処理回数から所定の減算回数だけ減算した減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが、上記被認証装置から上記受信手段により受信された際に、該減回数暗号化パスワードを、上記処理回数から上記減算済み回数を減算することで得られた減算回数だけ上記一方向関数により処理する暗号化処理手段と、上記受信手段により受信された、上記一方向関数により上記パスワードを上記処理回数だけ処理した所定回数暗号化パスワードが、上記暗号化処理手段により算出された算出済みパスワードと一致するか否かにより認証する認証手段と、を備えたことを特徴とする。
【0019】
また、典型的な本発明の態様による認証装置は、被認証装置からの認証要求に応じて認証を行う認証装置であって、上記被認証装置からの情報を受信する受信手段と、所定の処理回数から1少ない減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが上記被認証装置から上記受信手段により受信された際に、該減回数暗号化パスワードを、1回だけ上記一方向関数により処理する暗号化処理手段と、上記受信手段により受信された、上記パスワードを上記処理回数だけ上記一方向関数により処理した所定回数暗号化パスワードが、上記暗号化処理手段により算出された算出済みパスワードと一致するか否かにより認証する認証手段と、を備えたことを特徴とする。
【0020】
また、典型的な本発明の態様による認証方法は、認証装置と被認証装置とを備えた認証システムにおける認証方法であって、上記被認証装置が、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に上記認証装置に送信する所定回数暗号送信工程と、上記被認証装置が、上記パスワードを上記一方向関数により、上記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に上記認証装置に送信する減回数暗号送信工程と、を備える。
また、上記認証装置が、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記処理回数情報と、上記減回数暗号化パスワードと、上記減算済み回数情報とに基づいて認証を行うことを特徴とする。
【0021】
また、典型的な本発明の態様による認証方法は、認証装置と被認証装置とを備えた認証システムにおける認証方法であって、上記被認証装置が、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを上記認証装置に送信する所定回数暗号送信工程と、上記被認証装置が、上記パスワードを上記一方向関数により、上記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを上記認証装置に送信する減回数暗号送信工程と、を備える。
また、上記認証装置が、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記減回数暗号化パスワードとに基づいて認証を行うことを特徴とする。
【0022】
また、典型的な本発明の態様による被認証装置のプログラムを記録した記録媒体は、認証装置に対して認証を要求する被認証装置のプログラムを記録した記録媒体であって、上記被認証装置に、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に上記認証装置に送信する所定回数暗号送信処理と、上記パスワードを上記一方向関数により、上記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に上記認証装置に送信する減回数暗号送信処理と、を実行させることを特徴とする。
【0023】
また、典型的な本発明の態様による被認証装置のプログラムを記録した記録媒体は、認証装置に対して認証を要求する被認証装置のプログラムを記録した記録媒体であって、上記被認証装置に、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを上記認証装置に送信する所定回数暗号送信処理と、上記パスワードを上記一方向関数により、上記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを上記認証装置に送信する減回数暗号送信処理と、を実行させることを特徴とする。
【0024】
また、典型的な本発明の態様による認証装置のプログラムを記録した記録媒体は、被認証装置からの認証要求に応じて認証を行う認証装置のプログラムを記録した記録媒体であって、上記認証装置に、上記被認証装置からの情報を受信する受信処理と、所定の処理回数から所定の減算回数だけ減算した減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが、上記被認証装置から上記受信処理により受信された際に、該減回数暗号化パスワードを、上記処理回数から上記減算済み回数を減算することで得られた減算回数だけ上記一方向関数により処理する暗号化処理と、を実行させる。
また、上記受信処理により受信された、上記一方向関数により上記パスワードを上記処理回数だけ処理した所定回数暗号化パスワードが、上記暗号化処理により算出された算出済みパスワードと一致するか否かにより認証する認証処理と、を実行させることを特徴とする。
【0025】
また、典型的な本発明の態様による認証装置のプログラムを記録した記録媒体は、被認証装置からの認証要求に応じて認証を行う認証装置のプログラムを記録した記録媒体であって、上記認証装置に、上記被認証装置からの情報を受信する受信処理と、所定の処理回数から1少ない減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが上記被認証装置から上記受信処理により受信された際に、該減回数暗号化パスワードを、1回だけ上記一方向関数により処理する暗号化処理と、を実行させる。
また、上記受信処理により受信された、上記パスワードを上記処理回数だけ上記一方向関数により処理した所定回数暗号化パスワードが、上記暗号化処理により算出された算出済みパスワードと一致するか否かにより認証する認証処理と、を実行させることを特徴とする。
【発明の効果】
【0026】
以上のように、本発明によれば、チャレンジコードの送信が不要であると共に、認証装置と被認証装置の両方がパスワードを格納する必要がなく、パスワードを被認証装置が保持するだけで、一方向関数を用いた信頼性の高い認証により、先に行われた通信と同じ被認証装置からの通信であるということを認証することができる。
【図面の簡単な説明】
【0027】
【図1】本発明の実施形態としての無線通信システムを示すブロック図である。
【図2】システム制御装置1の構成例を示すブロック図である。
【図3】接続状態管理テーブル131の構成例を示す図である。
【図4】無線基地局2の構成例を示すブロック図である。
【図5】情報通信端末3の構成例を示すブロック図である。
【図6】設定管理サーバ4の構成例を示すブロック図である。
【図7】設定情報管理テーブル441の構成例を示す図である。
【図8】第1の実施形態としての無線通信システムによる動作例を示すシーケンス図である。
【図9】第2の実施形態としての無線通信システムによる動作例を示すシーケンス図である。
【図10】第3の実施形態としての無線通信システムによる動作例を示すシーケンス図である。
【図11】第4の実施形態としての無線通信システムによる動作例を示すシーケンス図である。
【図12】第5の実施形態としての無線通信システムによる動作例を示すシーケンス図である。
【図13】従来のチャレンジレスポンス方式による認証例を示すシーケンス図である。
【発明を実施するための形態】
【0028】
次に、本発明に係る認証システム、被認証装置、認証装置、認証方法、被認証装置のプログラム、および認証装置のプログラムを、無線LAN(Local Area Network)を用いた無線通信システムに適用した一実施形態について、図面を用いて詳細に説明する。
各実施形態としての無線通信システムは、各端末の設定情報を管理する設定管理システムとして機能し、音声通話機能を備えた各端末への設定更新を自動で安全に行うことができる好適なものを例示している。
【0029】
まず、各実施形態に共通する構成について説明する。
本発明の各実施形態としての無線通信システムは、図1に示すように、システム制御装置(CTRL)1と、無線LAN情報通信端末3(音声通話端末)からの無線通信接続を制御する無線基地局(AP;アクセスポイント)2と、設定管理サーバ4と、無線LAN認証サーバ5と、音声通話サーバ6とが、ネットワークを介して接続されて構成される。
【0030】
システム制御装置(CTRL)1は、各無線基地局2を制御し、本無線通信システムにおける無線通信の制御を行う。
無線LAN認証サーバ5は、各情報通信端末についての認証情報51などを格納することにより、情報通信端末3がAPに帰属する際の認証を行う。
音声通話サーバ6は、各情報通信端末が音声通話を行う場合についての電話番号情報61などを格納することにより、情報通信端末間での音声通信の制御を行う。
【0031】
設定管理サーバ4は、各情報通信端末における設定登録情報を管理し、設定登録情報が更新された場合に情報通信端末3へアクセスし、情報通信端末3内の端末設定情報を自動的に更新する。
すなわち、設定登録情報が更新された場合、情報通信端末3が認証装置として、設定管理サーバ4が被認証装置として機能することにより、設定管理サーバ4からのアクセスに対して情報通信端末3が認証を行い、認証OKである場合に端末設定情報の自動更新が行われる。
【0032】
この設定管理サーバの機能について、以下に説明する。
変更通知機能は、情報通信端末3についての設定情報変更が行われた場合に、無線通信システムにおけるその設定情報を格納する各装置に対して、変更が行われた旨を通知する。
【0033】
無線LAN認証サーバ登録情報管理機能は、情報通信端末3についての設定変更が行われた場合に、無線LAN認証サーバ5に変更内容を通知し、設定更新を行わせる。このことにより、無線LAN認証サーバ5は、設定管理サーバ4で設定情報が更新されるたびに更新通知を受信し、最新の登録情報に更新する。
【0034】
音声通話サーバ登録情報管理機能は、情報通信端末3についての設定変更が行われた場合に、音声通話サーバ6に変更内容を通知し、設定更新を行わせる。このことにより、音声通話サーバ6は、設定管理サーバ4で設定情報が更新されるたびに更新通知を受信し、最新の登録情報に更新する。
【0035】
設定管理機能は、設定管理サーバ4が格納する各設定情報の変更など、設定管理動作の制御を行う。
端末情報通信機能は、端末の設定情報を変更する場合に、情報通信端末3との無線通信を確立したり、設定情報の変更を行わせたりする。
鍵情報管理機能は、端末の設定情報を変更する場合のハッシュ関数による演算などを行い、暗号処理や認証の制御を行う。
【0036】
次に、各実施形態としての無線通信システムの各装置の構成について説明する。
システム制御装置1は、図2に示すように、他の装置との間で通信を行うための通信部11と、本システム制御装置1の動作全体を制御する制御部12と、記憶部13とを備える。
【0037】
記憶部13は、不図示のプログラムや、接続状態管理テーブル131を格納する。
接続状態管理テーブル131は、図3に示すように、各情報通信端末のMac Addressにその端末の接続状態が関連付けられて格納される。また、他の装置から情報通信端末3についての鍵情報が通知された場合には、その鍵情報を該当する端末のMac Addressに関連付けて格納する。
【0038】
無線基地局2は、図4に示すように、情報通信端末3など他の装置と無線通信を行う無線通信部21と、システム制御装置1など他の装置と有線での通信を行う有線通信部22と、本無線基地局2の動作全体を制御する制御部23と、記憶部24とを備える。
【0039】
情報通信端末3は、図5に示すように、無線基地局2と無線通信を行う無線通信部31と、本情報通信端末3の動作全体を制御する制御部32と、ハッシュ関数による処理を行って認証処理を行う認証処理部33と、マイクやスピーカにより音声通話の制御を行う音声通話部34と、ユーザが操作を行い情報を入力するための操作入力部35と、記憶部36とを備える。
記憶部36は、本情報通信端末3についての設定情報である端末設定情報361と、設定管理サーバ4などから送信された暗号処理に関する暗号情報362とを格納する。
【0040】
設定管理サーバ4は、図6に示すように、他の装置との間で通信を行うための通信部41と、本設定管理サーバ4の動作全体を制御する制御部42と、設定情報の変更などの際に情報入力を行うための情報入力部43と、記憶部44とを備える。
記憶部44は、各情報通信端末3の設定情報などの設定情報管理テーブル441を格納する。
【0041】
設定情報管理テーブル441には、図7に示すように、情報通信端末3のMac Addressにその端末のシリアルナンバーと、設定登録情報と、暗号情報とが関連付けられて格納される。
設定登録情報には、各情報通信端末3について設定される情報であり、ESSID(拡張サービス識別子)、SIP(Session Initiation Protocol)アドレス、ユーザID、認証方式、など、無線LANに接続するための各種情報が含まれる。
暗号情報には、パスワードと、そのパスワードをハッシュ関数により処理する処理回数“n”などの情報が含まれる。
【0042】
〔第1の実施形態〕
次に、本発明の第1の実施形態について説明する。
この第1の実施形態は、上述した構成を備え、設定管理サーバ4における各端末の設定情報に変更があった場合、情報通信端末3が設定管理サーバ4を認証し、設定管理サーバ4が自動的に情報通信端末3の設定情報の更新を安全に行うものである。
【0043】
第1の実施形態としての無線通信システムの動作について、図8を参照して説明する。
まず、情報通信端末3は、初期設定時など設定管理サーバ4への初回接続時に、設定管理サーバ4から設定登録情報を取得すると同時に、鍵情報を受信する(ステップS1)。
鍵は1度きりしか使えないワンタイムパスワードであり、設定管理サーバ4がワンタイムパスワードを生成する。ワンタイムパスワードは、
Kn=hash(pwd,n)
のように、パスワード(pwd)をハッシュ関数によりn回処理したn回ハッシュ値として求められる。hash(*,*)は既知の一方向性ハッシュ関数である。
情報通信端末3は、送信された設定情報を端末設定情報361として、送信されたKnとnとを暗号情報362として、それぞれ保存する。
【0044】
その後、システムの管理者などが端末の設定を変更した場合(ステップS2)、その設定情報の変更内容を、無線LAN認証サーバ登録情報管理機能により無線LAN認証サーバ5に送信し、無線LAN認証サーバ5内の設定情報を変更させる(ステップS3,S4)。
また、音声通話サーバ登録情報管理機能により、設定情報の変更内容を音声通話サーバ6に送信し、音声通話サーバ6内の設定情報を変更させる(ステップS5,S6)。
【0045】
そして、端末情報通信機能により、対象となる情報通信端末3が接続中であれば、その情報通信端末3に設定情報と鍵情報を送信する(ステップS7)。
変更通知の際、設定管理サーバ4は、
Kn-1=hash(pwd,n-1)
を計算して端末に通知する。
【0046】
情報通信端末3は、設定管理サーバ4から受信したKn-1にハッシュ関数による処理を1回行い、Kn'を求める。すなわち、
Kn'=hash(K(n-1),1)
を求め、初回の設定時に取得したKnと比較し、一致するか否かにより認証する(ステップS8)。
【0047】
認証できた場合、情報通信端末3は、送信された設定情報を端末設定情報361として、送信されたKn-1とn−1とを暗号情報362として、それぞれ保存する。
こうして端末設定情報361が安全に更新される。また、次回の更新時など、次に認証を行う時には、暗号情報362のKn-1とn−1とを用いて、送信されたKn-2にハッシュ関数による処理を1回行い、Kn-1と比較し、一致するか否かにより認証することとなる。
また、設定管理サーバ4が設定登録情報を送信する際に、Kn-1と共に新しい鍵Kmおよびmを送信することにより、次回の更新時など、次に認証を行う時に新しい鍵Kmを用いて認証を行うようにしても、上述した実施形態は同様に実現することができる。
【0048】
以上のように、上述した第1の実施形態では、設定管理サーバ4での設定更新時に、前回に取得したワンタイムパスワードを使って認証を行う。すなわち、情報通信端末3が、今回送信されたワンタイムパスワードKn-1にハッシュ関数による処理を1回行い、前回に取得したワンタイムパスワードKnと一致するか否かにより認証を行い、設定変更時の情報が正当かどうかを音声端末が確認する。
このため、偽のアクセスポイントに通信をハイジャックされるといったことのない十分なセキュリティ対策を施しつつ、各端末の設定更新を自動的に行うことができる。
【0049】
また、前回に取得したワンタイムパスワードと一致するか否かにより認証を行うため、従来のチャレンジレスポンス方式のようにチャレンジコードの送信が不要であると共に、情報通信端末3はパスワードを格納する必要がなく、パスワードを設定管理サーバ4が保持するだけで、ハッシュ関数を用いた信頼性の高い認証により、先に行われた通信と同じ設定管理サーバ4からの通信であるということを認証することができる。
【0050】
〔第2の実施形態〕
次に、本発明の第2の実施形態について説明する。
この第2の実施形態は、上述した第1の実施形態で設定管理サーバ4から情報通信端末3に設定登録情報を送信する前に、変更通知とその際の認証処理とをさらに行うようにしたものである。
【0051】
第2の実施形態としての無線通信システムの動作について、図9を参照して説明する。
まず、上述した第1の実施形態と同様に、情報通信端末3は、初期設定時など設定管理サーバ4への初回接続時に、設定管理サーバ4から設定登録情報を取得すると同時に、鍵情報Knおよびnを受信する(ステップS11)。
また、システムの管理者などが端末の設定を変更した場合(ステップS12)、上述した第1の実施形態と同様に、無線LAN認証サーバ5および音声通話サーバ6内の設定情報を変更させる(ステップS13〜S16)。
【0052】
そして、設定管理サーバ4の端末情報通信機能により、無線基地局2を管理するシステム制御装置1に、端末を特定する特定情報(Mac AddressまたはユーザID)に変更通知を関連付けて送信する(ステップS17)。
システム制御装置1は、その特定情報により特定される情報通信端末3が接続中であれば、接続中である旨の応答を設定管理サーバ4に送信する(ステップS18)。
【0053】
接続中の応答を受信すると、設定管理サーバ4は、変更通知をKn-1と共に情報通信端末3に送信する(ステップS19)。
情報通信端末3は、設定管理サーバ4から受信したKn-1にハッシュ関数による処理を1回行い、Kn'を求める。すなわち、
Kn'=hash(K(n-1),1)
を求め、前回の設定時に取得したKnと比較し、一致するか否かにより認証する(ステップS20)。
【0054】
前回の設定時と同じ設定管理サーバ4であると認証されれば、情報通信端末3は、認証OKの旨をシリアル番号などと共にその設定管理サーバ4に送信する(ステップS21)。
認証OKを受信すると、設定管理サーバ4は、前回送信した鍵情報であるKn-1よりもハッシュ関数による処理回数が1回少ないKn-2と共に、変更された設定登録情報を送信する(ステップS22)。
【0055】
情報通信端末3は、設定管理サーバ4から受信したKn-2にハッシュ関数による処理を1回行い、Kn-1'を求め、前回の設定時に取得したKn-1と比較し、一致するか否かにより認証する。前回の設定時と同じ設定管理サーバ4であると認証されれば、情報通信端末3は、送信された設定情報を端末設定情報361として、送信されたKn-2とn−2とを暗号情報362として、それぞれ保存する(ステップS23)。
【0056】
こうして端末設定情報361が安全に更新される。また、次回の更新時など、次に認証を行う時には、暗号情報362のKn-2とn−2とを用いて、送信されたKn-3にハッシュ関数による処理を1回行い、Kn-2と比較し、一致するか否かにより認証することとなる。
また、設定管理サーバ4が設定登録情報を送信する際に、Kn-2と共に新しい鍵Kmおよびmを送信することにより、次回の更新時など、次に認証を行う時に新しい鍵Kmを用いて認証を行うようにしても、上述した実施形態は同様に実現することができる。
【0057】
以上のように、上述した第2の実施形態では、変更通知や設定登録情報の送信時など、設定管理サーバ4から情報通信端末3へのデータ送信時に、情報通信端末3が、前回に取得したワンタイムパスワードを使って認証を行う。すなわち、情報通信端末3が、今回送信されたワンタイムパスワードにハッシュ関数による処理を1回行い、前回に取得したワンタイムパスワードと一致するか否かにより認証を行い、データ送信元が前回の通信相手と同じであるかどうかを音声端末が確認する。
このため、偽のアクセスポイントに通信をハイジャックされるといったことのない十分なセキュリティ対策を施しつつ、各端末の設定更新を自動的に行うことができる。
【0058】
また、前回に取得したワンタイムパスワードと一致するか否かにより認証を行うため、従来のチャレンジレスポンス方式のようにチャレンジコードの送信が不要であると共に、情報通信端末3はパスワードを格納する必要がなく、パスワードを設定管理サーバ4が保持するだけで、ハッシュ関数を用いた信頼性の高い認証により、前回の通信と同じ設定管理サーバ4からの通信であるということを認証することができる。
【0059】
〔第3の実施形態〕
次に、本発明の第3の実施形態について説明する。
この第3の実施形態は、上述した第2の実施形態で設定管理サーバ4から情報通信端末3に設定登録情報を送信しようとした時に、情報通信端末3の電源が切れているなど、情報通信端末3に接続できない場合の処理を示すものである。
【0060】
第3の実施形態としての無線通信システムの動作について、図10を参照して説明する。
まず、上述した第2の実施形態と同様に、情報通信端末3は、初期設定時など設定管理サーバ4への初回接続時に、設定管理サーバ4から設定登録情報を取得すると同時に、鍵情報Knおよびnを受信する(ステップS31)。
また、システムの管理者などが端末の設定を変更した場合(ステップS32)、上述した第2の実施形態と同様に、無線LAN認証サーバ5および音声通話サーバ6内の設定情報を変更させる(ステップS33〜S36)。
【0061】
そして、設定管理サーバ4の端末情報通信機能により、無線基地局2を管理するシステム制御装置1に、端末を特定する特定情報(Mac AddressまたはユーザID)に変更通知を関連付けて送信する(ステップS37)。
システム制御装置1は、接続状態管理テーブル131を参照し、その特定情報により特定される情報通信端末3に接続不能である場合、切断中である旨の応答を設定管理サーバ4に送信する(ステップS38)。
【0062】
切断中の応答を受信すると、設定管理サーバ4は、変更通知をKn-1と共にシステム制御装置1に送信する(ステップS39)。
システム制御装置1は、接続状態管理テーブル131におけるその情報通信端末3のMac Addressに、送信されたワンタイムパスワードKn-1をさらに関連付けて格納し、その情報通信端末3からの接続要求待ち(アクセス待ち)状態となる(ステップS40)。
【0063】
接続要求待ちであった情報通信端末3から、本無線通信システムにおける無線基地局2にProbe要求が送信されると(ステップS41)、システム制御装置1は、Probe応答に加えて、設定管理サーバ4から送信された変更通知とワンタイムパスワードKn-1を返信する(ステップS42)。
【0064】
情報通信端末3は、システム制御装置1から受信したKn-1にハッシュ関数による処理を1回行い、Kn'を求める。すなわち、
Kn'=hash(K(n-1),1)
を求め、前回の設定時に取得したKnと比較し、一致するか否かにより認証する(ステップS43)。
【0065】
前回の設定情報変更時と同じ設定管理サーバ4からのワンタイムパスワードであると認証されれば、情報通信端末3は、設定変更用のSSIDにより無線基地局2に帰属要求を発信する(ステップS44)。
設定変更用のSSIDにより帰属要求が発信されると、その設定変更用のSSIDによる接続要求が設定管理サーバ4に送信され、設定管理サーバ4は、端末情報通信機能により情報通信端末3にIPアドレスを割り当て、DHCPサーバとして機能できるように接続を確立する(ステップS45)。
【0066】
こうして設定変更用のSSIDによる接続が確立されると、設定管理サーバ4は、情報通信端末3にシリアルナンバーの要求を送信する(ステップS46)。情報通信端末3がシリアルナンバーを返信すると(ステップS47)、設定管理サーバ4は、そのシリアルナンバーに基づいて設定情報管理テーブル441を検索し、設定登録情報と新しい鍵情報Kmとmとを送信する(ステップS48)。
情報通信端末3は、送信された設定情報を端末設定情報361として、送信されたKmとmとを暗号情報362として、それぞれ保存する(ステップS49)。
【0067】
こうして端末設定情報361が安全に更新される。また、次回の更新時など、次に認証を行う時には、暗号情報362のKmとmとを用いて、送信されたKm-1にハッシュ関数による処理を1回行い、Kmと比較し、一致するか否かにより認証することとなる。
また、設定管理サーバ4が設定登録情報を送信する際に、Kn-2およびn−2を送信することにより、次回の更新時など、次に認証を行う時にそのKn-2を用いて認証を行うようにしても、上述した実施形態は同様に実現することができる。
【0068】
以上のように、上述した第3の実施形態では、変更通知の送信時など、設定管理サーバ4から情報通信端末3へのデータ送信時に、情報通信端末3が、前回に取得したワンタイムパスワードを使って認証を行う。すなわち、情報通信端末3が、今回送信されたワンタイムパスワードにハッシュ関数による処理を1回行い、前回に取得したワンタイムパスワードと一致するか否かにより認証を行い、データ送信元が前回の通信相手と同じであるかどうかを音声端末が確認する。
また、その認証後には、設定変更用のSSIDで接続を確立して通信を行い、設定登録情報などの送受信を行う。
このため、偽のアクセスポイントに通信をハイジャックされるといったことのない十分なセキュリティ対策を施しつつ、各端末の設定更新を自動的に行うことができる。
【0069】
また、前回に取得したワンタイムパスワードと一致するか否かにより認証を行うため、従来のチャレンジレスポンス方式のようにチャレンジコードの送信が不要であると共に、情報通信端末3はパスワードを格納する必要がなく、パスワードを設定管理サーバ4が保持するだけで、ハッシュ関数を用いた信頼性の高い認証により、前回の通信と同じ設定管理サーバ4からの通信であるということを認証することができる。
【0070】
〔第4の実施形態〕
次に、本発明の第4の実施形態について説明する。
この第4の実施形態は、上述した第3の実施形態で設定管理サーバ4から情報通信端末3に設定登録情報を送信しようとして、情報通信端末3に接続できない場合に、情報通信端末3が設定変更用の無線基地局2にアクセスしてくるのを待つ場合の処理を示すものである。
【0071】
第4の実施形態としての無線通信システムの動作について、図11を参照して説明する。
まず、情報通信端末3が初期設定時など設定管理サーバ4への初回接続時に設定登録情報と鍵情報を受信するステップS51の動作から、切断中である旨の応答を設定管理サーバ4が受信するステップS58までの動作については、上述した第3の実施形態におけるステップS31からS38の動作と同様であり、説明を省略する。
【0072】
情報通信端末3が切断中である旨の応答を受信すると、設定管理サーバ4は、情報通信端末3が設定変更用の無線基地局2にアクセスしてくるのを待つ状態となり、変更通知の送信を試みることを停止する。
【0073】
情報通信端末3は、設定変更用の無線基地局2にアクセスすると、設定変更用のSSIDによりその無線基地局2に帰属要求を発信する(ステップS59)。
設定変更用のSSIDにより帰属要求が発信されると、その設定変更用のSSIDによる接続要求が設定管理サーバ4に送信され、設定管理サーバ4は、端末情報通信機能により情報通信端末3にIPアドレスを割り当て、DHCPサーバとして機能できるように接続を確立する(ステップS60)。
【0074】
こうして設定変更用のSSIDによる接続が確立されると、設定管理サーバ4は、シリアルナンバーの要求と、変更通知と、Kn-1とを情報通信端末3に送信する(ステップS61)。
【0075】
情報通信端末3は、システム制御装置1から受信したKn-1にハッシュ関数による処理を1回行い、Kn'を求める。すなわち、
Kn'=hash(K(n-1),1)
を求め、前回の設定時に取得したKnと比較し、一致するか否かにより認証する(ステップS62)。
【0076】
前回の設定情報変更時と同じ設定管理サーバ4からのワンタイムパスワードであると認証されれば、情報通信端末3は、認証OKの通知としてシリアルナンバーを設定管理サーバ4に返信する(ステップS63)。
設定管理サーバ4は、そのシリアルナンバーに基づいて設定情報管理テーブル441を検索し、設定登録情報と新しい鍵情報Kmとmとを送信する(ステップS64)。
情報通信端末3は、送信された設定情報を端末設定情報361として、送信されたKmとmとを暗号情報362として、それぞれ保存する(ステップS65)。
【0077】
こうして端末設定情報361が安全に更新される。また、次回の更新時など、次に認証を行う時には、暗号情報362のKmとmとを用いて、送信されたKm-1にハッシュ関数による処理を1回行い、Kmと比較し、一致するか否かにより認証することとなる。
また、設定管理サーバ4が設定登録情報を送信する際に、Kn-2およびn−2を送信することにより、次回の更新時など、次に認証を行う時にそのKn-2を用いて認証を行うようにしても、上述した実施形態は同様に実現することができる。
【0078】
以上のように、上述した第4の実施形態では、設定変更があった場合に設定変更用のSSIDで接続を確立して通信を行い、変更通知の送信時など、設定管理サーバ4から情報通信端末3への初回のデータ送信時に、情報通信端末3が、前回に取得したワンタイムパスワードを使って認証を行う。すなわち、情報通信端末3が、今回送信されたワンタイムパスワードにハッシュ関数による処理を1回行い、前回に取得したワンタイムパスワードと一致するか否かにより認証を行い、データ送信元が前回の設定変更送信元と同じであるかどうかを音声端末が確認する。
このため、偽のアクセスポイントに通信をハイジャックされるといったことのない十分なセキュリティ対策を施しつつ、各端末の設定更新を自動的に行うことができる。
【0079】
また、前回に取得したワンタイムパスワードと一致するか否かにより認証を行うため、従来のチャレンジレスポンス方式のようにチャレンジコードの送信が不要であると共に、情報通信端末3はパスワードを格納する必要がなく、パスワードを設定管理サーバ4が保持するだけで、ハッシュ関数を用いた信頼性の高い認証により、前回の通信と同じ設定管理サーバ4からの通信であるということを認証することができる。
【0080】
〔第5の実施形態〕
次に、本発明の第5の実施形態について説明する。
この第5の実施形態は、上述した第1〜第4の実施形態における端末設定情報361に、有効期限を設けるようにしたものである。
【0081】
第5の実施形態としての無線通信システムの動作について、図12を参照して説明する。
まず、上述した第4の実施形態と同様に、情報通信端末3は、初期設定時など設定管理サーバ4への初回接続時に、設定管理サーバ4から設定登録情報を取得すると同時に、鍵情報Knおよびnを受信する(ステップS71)。
【0082】
この後、上述した第1〜第4の実施形態に示すような設定管理サーバ4からの自動更新が行われることなく、端末設定情報361に関連付けられた有効期限が切れた場合(ステップS72)、情報通信端末3は、設定変更用の無線基地局2にアクセスし、設定変更用のSSIDによりその無線基地局2に帰属要求を発信する(ステップS73)。
設定変更用のSSIDにより帰属要求が発信されると、その設定変更用のSSIDによる接続要求が設定管理サーバ4に送信され、設定管理サーバ4は、端末情報通信機能により情報通信端末3にIPアドレスを割り当て、DHCPサーバとして機能できるように接続を確立する(ステップS74)。
【0083】
こうして設定変更用のSSIDによる接続が確立されると、設定管理サーバ4は、シリアルナンバーの要求と、変更通知と、Kn-1とを情報通信端末3に送信する(ステップS75)。
【0084】
情報通信端末3は、システム制御装置1から受信したKn-1にハッシュ関数による処理を1回行い、Kn'を求める。すなわち、
Kn'=hash(K(n-1),1)
を求め、前回の設定時に取得したKnと比較し、一致するか否かにより認証する(ステップS76)。
【0085】
前回の設定情報変更時と同じ設定管理サーバ4からのワンタイムパスワードであると認証されれば、情報通信端末3は、認証OKの通知としてシリアルナンバーを設定管理サーバ4に返信する(ステップS77)。
設定管理サーバ4は、そのシリアルナンバーに基づいて設定情報管理テーブル441を検索し、有効期限付きの設定登録情報と、新しい鍵情報Kmとmとを送信する(ステップS78)。
情報通信端末3は、送信された有効期限付き設定情報を端末設定情報361として、送信されたKmとmとを暗号情報362として、それぞれ保存する(ステップS79)。
【0086】
こうして端末設定情報361が安全に更新される。また、次回の更新時など、次に認証を行う時には、暗号情報362のKmとmとを用いて、送信されたKm-1にハッシュ関数による処理を1回行い、Kmと比較し、一致するか否かにより認証することとなる。
また、設定管理サーバ4が設定登録情報を送信する際に、Kn-2およびn−2を送信することにより、次回の更新時など、次に認証を行う時にそのKn-2を用いて認証を行うようにしても、上述した実施形態は同様に実現することができる。
【0087】
以上のように、上述した第5の実施形態によれば、端末設定情報に有効期限を設けることにより、設定情報が古くなりすぎることを防止し、常に最新の端末設定情報を設定管理サーバ4と情報通信端末3との間で共有することができる。
【0088】
また、その有効期限が切れた場合にも、設定変更用のSSIDで接続を確立して通信を行い、設定管理サーバ4から情報通信端末3への初回のデータ送信時に、情報通信端末3が、前回に取得したワンタイムパスワードを使って認証を行う。すなわち、情報通信端末3が、今回送信されたワンタイムパスワードにハッシュ関数による処理を1回行い、前回に取得したワンタイムパスワードと一致するか否かにより認証を行い、データ送信元が前回の設定変更送信元と同じであるかどうかを音声端末が確認する。
このため、偽のアクセスポイントに通信をハイジャックされるといったことのない十分なセキュリティ対策を施しつつ、有効期限が切れた端末の設定更新を自動的に行うことができる。
【0089】
また、前回に取得したワンタイムパスワードと一致するか否かにより認証を行うため、従来のチャレンジレスポンス方式のようにチャレンジコードの送信が不要であると共に、情報通信端末3はパスワードを格納する必要がなく、パスワードを設定管理サーバ4が保持するだけで、ハッシュ関数を用いた信頼性の高い認証により、前回の通信と同じ設定管理サーバ4からの通信であるということを認証することができる。
【0090】
〔第6の実施形態〕
また、典型的な本発明の態様による認証システムは、認証装置と被認証装置とを備えた認証システムであって、上記被認証装置は、パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、上記パスワードを上記一方向関数により上記処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に上記認証装置に送信する所定回数暗号送信手段と、上記パスワードを上記一方向関数により、上記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に上記認証装置に送信する減回数暗号送信手段を備える。
また、上記認証装置は、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記処理回数情報と、上記減回数暗号化パスワードと、上記減算済み回数情報とに基づいて認証を行うことを特徴とする。
【0091】
〔第7の実施形態〕
上記認証装置は、上記被認証装置からの情報を受信する受信手段と、上記受信手段により受信された上記減回数暗号化パスワードを、上記処理回数から上記減算済み回数を減算することで得られた減算回数だけ上記一方向関数により処理する暗号化処理手段と、上記暗号化処理手段により算出された算出済みパスワードが上記受信手段により受信された上記所定回数暗号化パスワードと一致するか否かにより認証する認証手段と、を備えたことが好ましい。
【0092】
〔第8の実施形態〕
また、典型的な本発明の態様による認証システムは、認証装置と被認証装置とを備えた認証システムであって、上記被認証装置は、パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、上記パスワードを上記一方向関数により上記処理回数だけ処理した所定回数暗号化パスワードを上記認証装置に送信する所定回数暗号送信手段と、上記パスワードを上記一方向関数により、上記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを上記認証装置に送信する減回数暗号送信手段と、を備える。
また、上記認証装置は、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記減回数暗号化パスワードとに基づいて認証を行うことを特徴とする。
【0093】
〔第9の実施形態〕
上記認証装置は、上記被認証装置からの情報を受信する受信手段と、上記被認証装置から上記受信手段により受信された上記減回数暗号化パスワードを1回だけ上記一方向関数により処理する暗号化処理手段と、上記暗号化処理手段により算出された算出済みパスワードが上記受信手段により受信された上記所定回数暗号化パスワードと一致するか否かにより認証する認証手段と、を備えたことが好ましい。
【0094】
〔第10の実施形態〕
上記被認証装置は、上記認証装置の設定情報を管理する設定管理装置であって、上記認証装置から認証されると、該認証装置についての設定情報を当該認証装置に送信する設定情報送信手段を備えたことが好ましい。
【0095】
〔第11の実施形態〕
上記被認証装置は、設定情報が変更された場合に該変更を通知する変更通知手段を備え、上記設定情報送信手段は、上記変更通知手段が通知した後に送信を行うことが好ましい。
【0096】
〔第12の実施形態〕
上記認証装置と上記被認証装置との接続制御を行う接続制御手段を備え、上記接続制御手段は、上記被認証装置が上記接続制御手段を介して上記認証装置にアクセスを試みた時点で該認証装置が接続されていない場合、上記被認証装置の変更通知手段から送信された変更通知および、上記減回数暗号送信手段から送信された減回数暗号化パスワードを保持して該認証装置にアクセス可能となるのを待機する保持待機部を備えたことが好ましい。
【0097】
〔第13の実施形態〕
上記被認証装置が上記認証装置にアクセスを試みた時点で該認証装置が接続されておらず、その後に該認証装置にアクセス可能となった場合、当該認証装置を設定用のネットワークとして接続する設定用接続手段を備え、上記設定情報送信手段は、上記設定用接続手段により設定用のネットワークとして接続された該認証装置に上記設定情報を送信することが好ましい。
【0098】
〔第14の実施形態〕
上記設定情報には有効期限が設けられ、上記認証装置は、上記有効期限が切れた場合、上記被認証装置に設定用のネットワークとして接続する設定接続手段を備えたことが好ましい。
【0099】
〔第15の実施形態〕
上記認証装置は、ネットワークに接続されて通信を行う情報通信端末であり、上記被認証装置は、上記設定管理装置として該情報通信端末の設定情報を管理することが好ましい。
【0100】
〔第16の実施形態〕
また、典型的な本発明の態様による認証方法は、認証装置と被認証装置とを備えた認証システムにおける認証方法であって、上記被認証装置が、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に上記認証装置に送信する所定回数暗号送信工程と、上記被認証装置が、上記パスワードを上記一方向関数により、上記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に上記認証装置に送信する減回数暗号送信工程と、を備える。
また、上記認証装置が、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記処理回数情報と、上記減回数暗号化パスワードと、上記減算済み回数情報とに基づいて認証を行うことを特徴とする。
【0101】
〔第17の実施形態〕
上記認証装置が、上記減回数暗号送信工程で送信された減回数暗号化パスワードを、上記処理回数から上記減算済み回数を減算することで得られた減算回数だけ上記一方向関数により処理する暗号化処理工程と、上記暗号化処理工程により算出された算出済みパスワードが、上記所定回数暗号送信工程で送信された上記所定回数暗号化パスワードと一致するか否かにより上記認証装置が認証する認証工程と、を備えたことが好ましい。
【0102】
〔第18の実施形態〕
また、典型的な本発明の態様による認証方法は、認証装置と被認証装置とを備えた認証システムにおける認証方法であって、上記被認証装置が、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを上記認証装置に送信する所定回数暗号送信工程と、上記被認証装置が、上記パスワードを上記一方向関数により、上記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを上記認証装置に送信する減回数暗号送信工程と、を備える。
また、上記認証装置が、上記被認証装置から受信した上記所定回数暗号化パスワードと、上記減回数暗号化パスワードとに基づいて認証を行うことを特徴とする。
【0103】
〔第19の実施形態〕
上記認証装置が、上記減回数暗号送信工程で送信された減回数暗号化パスワードを1回だけ上記一方向関数により処理する暗号化処理工程と、上記暗号化処理工程により算出された算出済みパスワードが、上記所定回数暗号送信工程で送信された上記所定回数暗号化パスワードと一致するか否かにより上記認証装置が認証する認証工程と、を備えたことが好ましい。
【0104】
〔第20の実施形態〕
上記被認証装置は、上記認証装置の設定情報を管理する設定管理装置であって、上記認証工程で上記認証装置から認証されると、該認証装置についての設定情報を上記被認証装置が当該認証装置に送信する設定情報送信工程を備えたことが好ましい。
【0105】
〔第21の実施形態〕
設定情報が変更された場合に該変更を上記被認証装置が上記認証装置に通知する変更通知工程を備え、上記設定情報送信工程では、上記変更通知工程で通知した後に送信を行うことが好ましい。
【0106】
〔第22の実施形態〕
上記被認証装置が上記認証装置にアクセスを試みた時点で該認証装置が接続されていない場合、上記被認証装置からの変更通知および、上記減回数暗号送信工程として算出された減回数暗号化パスワードを、上記認証装置と上記被認証装置との接続制御を行う接続制御手段が保持し、該認証装置にアクセス可能となるのを待機する保持待機工程を備えたことが好ましい。
【0107】
〔第23の実施形態〕
上記被認証装置が上記認証装置にアクセスを試みた時点で該認証装置が接続されておらず、その後に該認証装置にアクセス可能となった場合、当該認証装置を設定用のネットワークとして接続させる設定用接続工程を備え、上記設定情報送信工程は、上記設定用接続工程により設定用のネットワークとして接続された該認証装置に上記設定情報を送信することが好ましい。
【0108】
〔第24の実施形態〕
上記設定情報には有効期限が設けられ、上記有効期限が切れた場合、上記認証装置が上記被認証装置に設定用のネットワークとして接続する設定接続工程を備えたことが好ましい。
【0109】
〔第25の実施形態〕
また、典型的な本発明の態様による被認証装置のプログラムを記録した記録媒体は、認証装置に対して認証を要求する被認証装置のプログラムを記録した記録媒体であって、上記被認証装置に、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に上記認証装置に送信する所定回数暗号送信処理と、上記パスワードを上記一方向関数により、上記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に上記認証装置に送信する減回数暗号送信処理と、を実行させることを特徴とする。
【0110】
〔第26の実施形態〕
また、典型的な本発明の態様による被認証装置のプログラムを記録した記録媒体は、認証装置に対して認証を要求する被認証装置のプログラムを記録した記録媒体であって、上記被認証装置に、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを上記認証装置に送信する所定回数暗号送信処理と、上記パスワードを上記一方向関数により、上記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを上記認証装置に送信する減回数暗号送信処理と、を実行させることを特徴とする。
【0111】
〔第27の実施形態〕
上記被認証装置は、上記認証装置の設定情報を管理する設定管理装置であって、該被認証装置に、上記認証処理で上記認証装置から認証されると、該認証装置についての設定情報を当該認証装置に送信する設定情報送信処理を実行させることが好ましい。
【0112】
〔第28の実施形態〕
上記被認証装置に、設定情報が変更された場合に該変更を上記認証装置に通知する変更通知処理を実行させ、上記設定情報送信処理では、上記変更通知処理で通知した後に送信を行うことが好ましい。
【0113】
〔第29の実施形態〕
また、典型的な本発明の態様による認証装置のプログラムを記録した記録媒体は、被認証装置からの認証要求に応じて認証を行う認証装置のプログラムを記録した記録媒体であって、上記認証装置に、上記被認証装置からの情報を受信する受信処理と、所定の処理回数から所定の減算回数だけ減算した減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが、上記被認証装置から上記受信処理により受信された際に、該減回数暗号化パスワードを、上記処理回数から上記減算済み回数を減算することで得られた減算回数だけ上記一方向関数により処理する暗号化処理と、を実行させる。
また、上記受信処理により受信された、上記一方向関数により上記パスワードを上記処理回数だけ処理した所定回数暗号化パスワードが、上記暗号化処理により算出された算出済みパスワードと一致するか否かにより認証する認証処理と、を実行させることを特徴とする。
【0114】
〔第30の実施形態〕
また、典型的な本発明の態様による認証装置のプログラムを記録した記録媒体は、被認証装置からの認証要求に応じて認証を行う認証装置のプログラムを記録した記録媒体であって、上記認証装置に、上記被認証装置からの情報を受信する受信処理と、所定の処理回数から1少ない減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが上記被認証装置から上記受信処理により受信された際に、該減回数暗号化パスワードを、1回だけ上記一方向関数により処理する暗号化処理と、を実行させる。
また、上記受信処理により受信された、上記パスワードを上記処理回数だけ上記一方向関数により処理した所定回数暗号化パスワードが、上記暗号化処理により算出された算出済みパスワードと一致するか否かにより認証する認証処理と、を実行させることを特徴とする。
【0115】
〔第31の実施形態〕
上記設定情報には有効期限が設けられ、上記認証装置に、上記有効期限が切れた場合、上記認証装置が上記被認証装置に設定用のネットワークとして接続する設定接続処理を実行させることが好ましい。
【0116】
〔各実施形態について〕
なお、上述した各実施形態は本発明の好適な実施形態であり、本発明はこれに限定されることなく、本発明の技術的思想に基づいて種々変形して実施することが可能である。
例えば、上述した各実施形態に係る無線通信システムは、図1〜図7に示す構成例として説明したが、無線通信を行う情報通信端末と、その情報通信端末についての設定情報を管理する設定管理装置とを備えたシステムであればシステム構成はこのものに限定されず、各種の装置を備えたものであってよい。
【0117】
また、上述した各実施形態では、情報通信端末3が他の情報通信端末3などとの間で音声通話を行う機能を有するものであるとして説明したが、無線通信を行う無線通信端末であればこのものに限定されず、例えばデータ通信のための無線通信端末など、各種の端末であってよい。
【0118】
また、設定情報管理テーブル441は、図7に示されるように、情報通信端末3のMac Addressにその端末のシリアルナンバーと、設定登録情報と、暗号情報とが関連付けられて格納されることとして説明したが、Mac Addressとシリアルナンバーとについてはその端末を特定できる特定情報であれば、何れか一方のみで代替としても、あるいは各種のものを代替に用いても本発明は同様に実現することができる。
【0119】
また、認証の際に、被認証装置である設定管理サーバ4が、前回送信したワンタイムパスワードよりハッシュ関数の処理が1回少ないワンタイムパスワードを生成して送信し、認証装置である情報通信端末3が、今回送信されたワンタイムパスワードにハッシュ関数による処理を1回行い、前回に取得したワンタイムパスワードと一致するか否かにより認証を行うこととして説明したが、ハッシュ関数の処理を減らす回数は1回に限定されず、任意の回数であってよい。
この場合、認証装置である情報通信端末3は、ワンタイムパスワードと同時に送信されるハッシュ関数の処理回数の前回との差を検知することにより、その差の回数だけ今回送信されたワンタイムパスワードにハッシュ関数による処理を行い、前回に取得したワンタイムパスワードと一致するか否かにより認証を行うこととなる。
【0120】
また、暗号化処理はハッシュ関数を用いて行うこととして説明したが、このハッシュ関数には、例えばSHA−1(Secure Hash Algorithm 1)やMD5(Message Digest 5)など、予め定められたものであれば各種のものを用いてよい。
また、一方向関数(one-way function)であればハッシュ関数に限定されず、各種の関数を用いてよい。
ここで、ある関数y=f(x)が一方向関数であるとは、xよりy=f(x)を計算することが容易であっても、逆にyよりxを求めることが極めて困難であるということである。
【0121】
また、上述した各実施形態としての無線通信システムを実現するための処理手順をプログラムとして記録媒体に記録することにより、本発明の各実施形態による上述した各機能を、その記録媒体から供給されるプログラムによって、システムや各装置を構成するコンピュータのCPUに処理を行わせて実現させることができる。
この場合、上記の記録媒体により、あるいはネットワークを介して外部の記録媒体から、プログラムを含む情報群を出力装置に供給される場合でも本発明は適用されるものである。
すなわち、記録媒体から読み出されたプログラムコード自体が本発明の新規な機能を実現することになり、そのプログラムコードを記憶した記録媒体および該記録媒体から読み出された信号は本発明を構成することになる。
この記録媒体としては、例えば、フロッピー(登録商標)ディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,磁気テープ,不揮発性のメモリカード,ROM,EEPROM等を用いてよい。
【0122】
この本発明に係るプログラムを記録した記録媒体によれば、記録されたプログラムによって制御される無線通信システムやシステムを構成する各装置に、本発明の各実施形態として上述した各機能を実現させることができる。
【0123】
本出願は2006年7月7日に出願された日本出願特願2006―188540を基礎とする優先権を主張し、その開示の全てをここに取り込む。
【符号の説明】
【0124】
1 システム制御装置
131 接続状態管理テーブル
2 無線基地局
3 情報通信端末(認証装置の一例)
361 端末設定情報
362 暗号情報
4 設定管理サーバ(被認証装置の一例)
441 設定情報管理テーブル
【特許請求の範囲】
【請求項1】
認証装置と被認証装置とを備えた認証システムであって、
前記被認証装置は、
パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、
前記パスワードを前記一方向関数により前記処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に前記認証装置に送信する所定回数暗号送信手段と、
前記パスワードを前記一方向関数により、前記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に前記認証装置に送信する減回数暗号送信手段と、を備え、
前記認証装置は、
前記被認証装置から受信した前記所定回数暗号化パスワードと、前記処理回数情報と、前記減回数暗号化パスワードと、前記減算済み回数情報とに基づいて認証を行うことを特徴とする認証システム。
【請求項2】
前記認証装置は、
前記被認証装置からの情報を受信する受信手段と、
前記受信手段により受信された前記減回数暗号化パスワードを、前記処理回数から前記減算済み回数を減算することで得られた減算回数だけ前記一方向関数により処理する暗号化処理手段と、
前記暗号化処理手段により算出された算出済みパスワードが前記受信手段により受信された前記所定回数暗号化パスワードと一致するか否かにより認証する認証手段と、を備えたことを特徴とする請求項1記載の認証システム。
【請求項3】
認証装置と被認証装置とを備えた認証システムであって、
前記被認証装置は、
パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、
前記パスワードを前記一方向関数により前記処理回数だけ処理した所定回数暗号化パスワードを前記認証装置に送信する所定回数暗号送信手段と、
前記パスワードを前記一方向関数により、前記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを前記認証装置に送信する減回数暗号送信手段と、を備え、
前記認証装置は、
前記被認証装置から受信した前記所定回数暗号化パスワードと、前記減回数暗号化パスワードとに基づいて認証を行うことを特徴とする認証システム。
【請求項4】
前記認証装置は、
前記被認証装置からの情報を受信する受信手段と、
前記被認証装置から前記受信手段により受信された前記減回数暗号化パスワードを1回だけ前記一方向関数により処理する暗号化処理手段と、
前記暗号化処理手段により算出された算出済みパスワードが前記受信手段により受信された前記所定回数暗号化パスワードと一致するか否かにより認証する認証手段と、を備えたことを特徴とする請求項3記載の認証システム。
【請求項5】
前記被認証装置は、前記認証装置の設定情報を管理する設定管理装置であって、
前記認証装置から認証されると、該認証装置についての設定情報を当該認証装置に送信する設定情報送信手段を備えたことを特徴とする請求項1から4の何れか1項に記載の認証システム。
【請求項6】
前記被認証装置は、
設定情報が変更された場合に該変更を通知する変更通知手段を備え、
前記設定情報送信手段は、前記変更通知手段が通知した後に送信を行うことを特徴とする請求項5記載の認証システム。
【請求項7】
前記認証装置と前記被認証装置との接続制御を行う接続制御手段を備え、
前記接続制御手段は、前記被認証装置が前記接続制御手段を介して前記認証装置にアクセスを試みた時点で該認証装置が接続されていない場合、前記被認証装置の変更通知手段から送信された変更通知および、前記減回数暗号送信手段から送信された減回数暗号化パスワードを保持して該認証装置にアクセス可能となるのを待機する保持待機部を備えたことを特徴とする請求項6記載の認証システム。
【請求項8】
前記被認証装置が前記認証装置にアクセスを試みた時点で該認証装置が接続されておらず、その後に該認証装置にアクセス可能となった場合、当該認証装置を設定用のネットワークとして接続する設定用接続手段を備え、
前記設定情報送信手段は、前記設定用接続手段により設定用のネットワークとして接続された該認証装置に前記設定情報を送信することを特徴とする請求項5から7の何れか1項に記載の認証システム。
【請求項9】
前記設定情報には有効期限が設けられ、
前記認証装置は、前記有効期限が切れた場合、前記被認証装置に設定用のネットワークとして接続する設定接続手段を備えたことを特徴とする請求項5から8の何れか1項に記載の認証システム。
【請求項10】
前記認証装置は、ネットワークに接続されて通信を行う情報通信端末であり、
前記被認証装置は、前記設定管理装置として該情報通信端末の設定情報を管理することを特徴とする請求項5から9の何れか1項に記載の認証システム。
【請求項11】
認証装置に対して認証を要求する被認証装置であって、
パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、
前記パスワードを前記一方向関数により前記処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に前記認証装置に送信する所定回数暗号送信手段と、
前記パスワードを前記一方向関数により、前記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に前記認証装置に送信する減回数暗号送信手段と、を備えたことを特徴とする被認証装置。
【請求項12】
認証装置に対して認証を要求する被認証装置であって、
パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、
前記パスワードを前記一方向関数により前記処理回数だけ処理した所定回数暗号化パスワードを前記認証装置に送信する所定回数暗号送信手段と、
前記パスワードを前記一方向関数により、前記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを前記認証装置に送信する減回数暗号送信手段と、を備えたことを特徴とする被認証装置。
【請求項13】
前記被認証装置は、前記認証装置の設定情報を管理する設定管理装置であって、
前記認証装置から認証されると、該認証装置についての設定情報を当該認証装置に送信する設定情報送信手段を備えたことを特徴とする請求項11または12記載の被認証装置。
【請求項14】
設定情報が変更された場合に該変更を通知する変更通知手段を備え、
前記設定情報送信手段は、前記変更通知手段が通知した後に送信を行うことを特徴とする請求項13記載の被認証装置。
【請求項15】
前記被認証装置が前記認証装置にアクセスを試みた時点で該認証装置が接続されておらず、その後に該認証装置にアクセス可能となった場合、当該認証装置を設定用のネットワークとして接続する設定用接続手段を備え、
前記設定情報送信手段は、前記設定用接続手段により設定用のネットワークとして接続された該認証装置に前記設定情報を送信することを特徴とする請求項13または14記載の被認証装置。
【請求項16】
被認証装置からの認証要求に応じて認証を行う認証装置であって、
前記被認証装置からの情報を受信する受信手段と、
所定の処理回数から所定の減算回数だけ減算した減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが、前記被認証装置から前記受信手段により受信された際に、該減回数暗号化パスワードを、前記処理回数から前記減算済み回数を減算することで得られた減算回数だけ前記一方向関数により処理する暗号化処理手段と、
前記受信手段により受信された、前記一方向関数により前記パスワードを前記処理回数だけ処理した所定回数暗号化パスワードが、前記暗号化処理手段により算出された算出済みパスワードと一致するか否かにより認証する認証手段と、を備えたことを特徴とする認証装置。
【請求項17】
被認証装置からの認証要求に応じて認証を行う認証装置であって、
前記被認証装置からの情報を受信する受信手段と、
所定の処理回数から1少ない減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが前記被認証装置から前記受信手段により受信された際に、該減回数暗号化パスワードを、1回だけ前記一方向関数により処理する暗号化処理手段と、
前記受信手段により受信された、前記パスワードを前記処理回数だけ前記一方向関数により処理した所定回数暗号化パスワードが、前記暗号化処理手段により算出された算出済みパスワードと一致するか否かにより認証する認証手段と、を備えたことを特徴とする認証装置。
【請求項18】
前記認証装置は、ネットワークに接続されて通信を行う情報通信端末であり、
前記被認証装置は、該情報通信端末の設定情報を管理する設定管理装置であって、
前記設定情報には有効期限が設けられ、
前記認証装置は、前記有効期限が切れた場合、前記被認証装置に設定用のネットワークとして接続する設定接続手段を備えたことを特徴とする請求項16または17記載の認証装置。
【請求項19】
認証装置と被認証装置とを備えた認証システムにおける認証方法であって、
前記被認証装置が、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に前記認証装置に送信する所定回数暗号送信工程と、
前記被認証装置が、前記パスワードを前記一方向関数により、前記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に前記認証装置に送信する減回数暗号送信工程と、を備え、
前記認証装置が、前記被認証装置から受信した前記所定回数暗号化パスワードと、前記処理回数情報と、前記減回数暗号化パスワードと、前記減算済み回数情報とに基づいて認証を行うことを特徴とする認証方法。
【請求項20】
前記認証装置が、前記減回数暗号送信工程で送信された減回数暗号化パスワードを、前記処理回数から前記減算済み回数を減算することで得られた減算回数だけ前記一方向関数により処理する暗号化処理工程と、
前記暗号化処理工程により算出された算出済みパスワードが、前記所定回数暗号送信工程で送信された前記所定回数暗号化パスワードと一致するか否かにより前記認証装置が認証する認証工程と、を備えたことを特徴とする請求項19記載の認証方法。
【請求項21】
認証装置と被認証装置とを備えた認証システムにおける認証方法であって、
前記被認証装置が、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを前記認証装置に送信する所定回数暗号送信工程と、
前記被認証装置が、前記パスワードを前記一方向関数により、前記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを前記認証装置に送信する減回数暗号送信工程と、を備え、
前記認証装置が、前記被認証装置から受信した前記所定回数暗号化パスワードと、前記減回数暗号化パスワードとに基づいて認証を行うことを特徴とする認証方法。
【請求項22】
前記認証装置が、前記減回数暗号送信工程で送信された減回数暗号化パスワードを1回だけ前記一方向関数により処理する暗号化処理工程と、
前記暗号化処理工程により算出された算出済みパスワードが、前記所定回数暗号送信工程で送信された前記所定回数暗号化パスワードと一致するか否かにより前記認証装置が認証する認証工程と、を備えたことを特徴とする請求項21記載の認証方法。
【請求項23】
前記被認証装置は、前記認証装置の設定情報を管理する設定管理装置であって、
前記認証工程で前記認証装置から認証されると、該認証装置についての設定情報を前記被認証装置が当該認証装置に送信する設定情報送信工程を備えたことを特徴とする請求項19から22の何れか1項に記載の認証方法。
【請求項24】
設定情報が変更された場合に該変更を前記被認証装置が前記認証装置に通知する変更通知工程を備え、
前記設定情報送信工程では、前記変更通知工程で通知した後に送信を行うことを特徴とする請求項23記載の認証方法。
【請求項25】
前記被認証装置が前記認証装置にアクセスを試みた時点で該認証装置が接続されていない場合、前記被認証装置からの変更通知および、前記減回数暗号送信工程として算出された減回数暗号化パスワードを、前記認証装置と前記被認証装置との接続制御を行う接続制御手段が保持し、該認証装置にアクセス可能となるのを待機する保持待機工程を備えたことを特徴とする請求項24記載の認証方法。
【請求項26】
前記被認証装置が前記認証装置にアクセスを試みた時点で該認証装置が接続されておらず、その後に該認証装置にアクセス可能となった場合、当該認証装置を設定用のネットワークとして接続させる設定用接続工程を備え、
前記設定情報送信工程は、前記設定用接続工程により設定用のネットワークとして接続された該認証装置に前記設定情報を送信することを特徴とする請求項23から25の何れか1項に記載の認証方法。
【請求項27】
前記設定情報には有効期限が設けられ、
前記有効期限が切れた場合、前記認証装置が前記被認証装置に設定用のネットワークとして接続する設定接続工程を備えたことを特徴とする請求項23から26の何れか1項に記載の認証方法。
【請求項28】
認証装置に対して認証を要求する被認証装置のプログラムを記録した記録媒体であって、
前記被認証装置に、
パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に前記認証装置に送信する所定回数暗号送信処理と、
前記パスワードを前記一方向関数により、前記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に前記認証装置に送信する減回数暗号送信処理と、を実行させることを特徴とする被認証装置のプログラムを記録した記録媒体。
【請求項29】
認証装置に対して認証を要求する被認証装置のプログラムを記録した記録媒体であって、
前記被認証装置に、
パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを前記認証装置に送信する所定回数暗号送信処理と、
前記パスワードを前記一方向関数により、前記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを前記認証装置に送信する減回数暗号送信処理と、を実行させることを特徴とする被認証装置のプログラムを記録した記録媒体。
【請求項30】
前記被認証装置は、前記認証装置の設定情報を管理する設定管理装置であって、
該被認証装置に、
前記認証処理で前記認証装置から認証されると、該認証装置についての設定情報を当該認証装置に送信する設定情報送信処理を実行させることを特徴とする請求項28または29記載の被認証装置のプログラムを記録した記録媒体。
【請求項31】
前記被認証装置に、設定情報が変更された場合に該変更を前記認証装置に通知する変更通知処理を実行させ、
前記設定情報送信処理では、前記変更通知処理で通知した後に送信を行うことを特徴とする請求項30記載の被認証装置のプログラムを記録した記録媒体。
【請求項32】
被認証装置からの認証要求に応じて認証を行う認証装置のプログラムを記録した記録媒体であって、
前記認証装置に、
前記被認証装置からの情報を受信する受信処理と、
所定の処理回数から所定の減算回数だけ減算した減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが、前記被認証装置から前記受信処理により受信された際に、該減回数暗号化パスワードを、前記処理回数から前記減算済み回数を減算することで得られた減算回数だけ前記一方向関数により処理する暗号化処理と、
前記受信処理により受信された、前記一方向関数により前記パスワードを前記処理回数だけ処理した所定回数暗号化パスワードが、前記暗号化処理により算出された算出済みパスワードと一致するか否かにより認証する認証処理と、を実行させることを特徴とする認証装置のプログラムを記録した記録媒体。
【請求項33】
被認証装置からの認証要求に応じて認証を行う認証装置のプログラムを記録した記録媒体であって、
前記認証装置に、
前記被認証装置からの情報を受信する受信処理と、
所定の処理回数から1少ない減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが前記被認証装置から前記受信処理により受信された際に、該減回数暗号化パスワードを、1回だけ前記一方向関数により処理する暗号化処理と、
前記受信処理により受信された、前記パスワードを前記処理回数だけ前記一方向関数により処理した所定回数暗号化パスワードが、前記暗号化処理により算出された算出済みパスワードと一致するか否かにより認証する認証処理と、を実行させることを特徴とする認証装置のプログラムを記録した記録媒体。
【請求項34】
前記設定情報には有効期限が設けられ、
前記認証装置に、
前記有効期限が切れた場合、前記認証装置が前記被認証装置に設定用のネットワークとして接続する設定接続処理を実行させることを特徴とする請求項32または33記載の認証装置のプログラムを記録した記録媒体。
【請求項1】
認証装置と被認証装置とを備えた認証システムであって、
前記被認証装置は、
パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、
前記パスワードを前記一方向関数により前記処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に前記認証装置に送信する所定回数暗号送信手段と、
前記パスワードを前記一方向関数により、前記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に前記認証装置に送信する減回数暗号送信手段と、を備え、
前記認証装置は、
前記被認証装置から受信した前記所定回数暗号化パスワードと、前記処理回数情報と、前記減回数暗号化パスワードと、前記減算済み回数情報とに基づいて認証を行うことを特徴とする認証システム。
【請求項2】
前記認証装置は、
前記被認証装置からの情報を受信する受信手段と、
前記受信手段により受信された前記減回数暗号化パスワードを、前記処理回数から前記減算済み回数を減算することで得られた減算回数だけ前記一方向関数により処理する暗号化処理手段と、
前記暗号化処理手段により算出された算出済みパスワードが前記受信手段により受信された前記所定回数暗号化パスワードと一致するか否かにより認証する認証手段と、を備えたことを特徴とする請求項1記載の認証システム。
【請求項3】
認証装置と被認証装置とを備えた認証システムであって、
前記被認証装置は、
パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、
前記パスワードを前記一方向関数により前記処理回数だけ処理した所定回数暗号化パスワードを前記認証装置に送信する所定回数暗号送信手段と、
前記パスワードを前記一方向関数により、前記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを前記認証装置に送信する減回数暗号送信手段と、を備え、
前記認証装置は、
前記被認証装置から受信した前記所定回数暗号化パスワードと、前記減回数暗号化パスワードとに基づいて認証を行うことを特徴とする認証システム。
【請求項4】
前記認証装置は、
前記被認証装置からの情報を受信する受信手段と、
前記被認証装置から前記受信手段により受信された前記減回数暗号化パスワードを1回だけ前記一方向関数により処理する暗号化処理手段と、
前記暗号化処理手段により算出された算出済みパスワードが前記受信手段により受信された前記所定回数暗号化パスワードと一致するか否かにより認証する認証手段と、を備えたことを特徴とする請求項3記載の認証システム。
【請求項5】
前記被認証装置は、前記認証装置の設定情報を管理する設定管理装置であって、
前記認証装置から認証されると、該認証装置についての設定情報を当該認証装置に送信する設定情報送信手段を備えたことを特徴とする請求項1から4の何れか1項に記載の認証システム。
【請求項6】
前記被認証装置は、
設定情報が変更された場合に該変更を通知する変更通知手段を備え、
前記設定情報送信手段は、前記変更通知手段が通知した後に送信を行うことを特徴とする請求項5記載の認証システム。
【請求項7】
前記認証装置と前記被認証装置との接続制御を行う接続制御手段を備え、
前記接続制御手段は、前記被認証装置が前記接続制御手段を介して前記認証装置にアクセスを試みた時点で該認証装置が接続されていない場合、前記被認証装置の変更通知手段から送信された変更通知および、前記減回数暗号送信手段から送信された減回数暗号化パスワードを保持して該認証装置にアクセス可能となるのを待機する保持待機部を備えたことを特徴とする請求項6記載の認証システム。
【請求項8】
前記被認証装置が前記認証装置にアクセスを試みた時点で該認証装置が接続されておらず、その後に該認証装置にアクセス可能となった場合、当該認証装置を設定用のネットワークとして接続する設定用接続手段を備え、
前記設定情報送信手段は、前記設定用接続手段により設定用のネットワークとして接続された該認証装置に前記設定情報を送信することを特徴とする請求項5から7の何れか1項に記載の認証システム。
【請求項9】
前記設定情報には有効期限が設けられ、
前記認証装置は、前記有効期限が切れた場合、前記被認証装置に設定用のネットワークとして接続する設定接続手段を備えたことを特徴とする請求項5から8の何れか1項に記載の認証システム。
【請求項10】
前記認証装置は、ネットワークに接続されて通信を行う情報通信端末であり、
前記被認証装置は、前記設定管理装置として該情報通信端末の設定情報を管理することを特徴とする請求項5から9の何れか1項に記載の認証システム。
【請求項11】
認証装置に対して認証を要求する被認証装置であって、
パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、
前記パスワードを前記一方向関数により前記処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に前記認証装置に送信する所定回数暗号送信手段と、
前記パスワードを前記一方向関数により、前記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に前記認証装置に送信する減回数暗号送信手段と、を備えたことを特徴とする被認証装置。
【請求項12】
認証装置に対して認証を要求する被認証装置であって、
パスワードおよび、当該パスワードを予め定められた一方向関数により処理する処理回数情報を格納する格納手段と、
前記パスワードを前記一方向関数により前記処理回数だけ処理した所定回数暗号化パスワードを前記認証装置に送信する所定回数暗号送信手段と、
前記パスワードを前記一方向関数により、前記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを前記認証装置に送信する減回数暗号送信手段と、を備えたことを特徴とする被認証装置。
【請求項13】
前記被認証装置は、前記認証装置の設定情報を管理する設定管理装置であって、
前記認証装置から認証されると、該認証装置についての設定情報を当該認証装置に送信する設定情報送信手段を備えたことを特徴とする請求項11または12記載の被認証装置。
【請求項14】
設定情報が変更された場合に該変更を通知する変更通知手段を備え、
前記設定情報送信手段は、前記変更通知手段が通知した後に送信を行うことを特徴とする請求項13記載の被認証装置。
【請求項15】
前記被認証装置が前記認証装置にアクセスを試みた時点で該認証装置が接続されておらず、その後に該認証装置にアクセス可能となった場合、当該認証装置を設定用のネットワークとして接続する設定用接続手段を備え、
前記設定情報送信手段は、前記設定用接続手段により設定用のネットワークとして接続された該認証装置に前記設定情報を送信することを特徴とする請求項13または14記載の被認証装置。
【請求項16】
被認証装置からの認証要求に応じて認証を行う認証装置であって、
前記被認証装置からの情報を受信する受信手段と、
所定の処理回数から所定の減算回数だけ減算した減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが、前記被認証装置から前記受信手段により受信された際に、該減回数暗号化パスワードを、前記処理回数から前記減算済み回数を減算することで得られた減算回数だけ前記一方向関数により処理する暗号化処理手段と、
前記受信手段により受信された、前記一方向関数により前記パスワードを前記処理回数だけ処理した所定回数暗号化パスワードが、前記暗号化処理手段により算出された算出済みパスワードと一致するか否かにより認証する認証手段と、を備えたことを特徴とする認証装置。
【請求項17】
被認証装置からの認証要求に応じて認証を行う認証装置であって、
前記被認証装置からの情報を受信する受信手段と、
所定の処理回数から1少ない減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが前記被認証装置から前記受信手段により受信された際に、該減回数暗号化パスワードを、1回だけ前記一方向関数により処理する暗号化処理手段と、
前記受信手段により受信された、前記パスワードを前記処理回数だけ前記一方向関数により処理した所定回数暗号化パスワードが、前記暗号化処理手段により算出された算出済みパスワードと一致するか否かにより認証する認証手段と、を備えたことを特徴とする認証装置。
【請求項18】
前記認証装置は、ネットワークに接続されて通信を行う情報通信端末であり、
前記被認証装置は、該情報通信端末の設定情報を管理する設定管理装置であって、
前記設定情報には有効期限が設けられ、
前記認証装置は、前記有効期限が切れた場合、前記被認証装置に設定用のネットワークとして接続する設定接続手段を備えたことを特徴とする請求項16または17記載の認証装置。
【請求項19】
認証装置と被認証装置とを備えた認証システムにおける認証方法であって、
前記被認証装置が、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に前記認証装置に送信する所定回数暗号送信工程と、
前記被認証装置が、前記パスワードを前記一方向関数により、前記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に前記認証装置に送信する減回数暗号送信工程と、を備え、
前記認証装置が、前記被認証装置から受信した前記所定回数暗号化パスワードと、前記処理回数情報と、前記減回数暗号化パスワードと、前記減算済み回数情報とに基づいて認証を行うことを特徴とする認証方法。
【請求項20】
前記認証装置が、前記減回数暗号送信工程で送信された減回数暗号化パスワードを、前記処理回数から前記減算済み回数を減算することで得られた減算回数だけ前記一方向関数により処理する暗号化処理工程と、
前記暗号化処理工程により算出された算出済みパスワードが、前記所定回数暗号送信工程で送信された前記所定回数暗号化パスワードと一致するか否かにより前記認証装置が認証する認証工程と、を備えたことを特徴とする請求項19記載の認証方法。
【請求項21】
認証装置と被認証装置とを備えた認証システムにおける認証方法であって、
前記被認証装置が、パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを前記認証装置に送信する所定回数暗号送信工程と、
前記被認証装置が、前記パスワードを前記一方向関数により、前記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを前記認証装置に送信する減回数暗号送信工程と、を備え、
前記認証装置が、前記被認証装置から受信した前記所定回数暗号化パスワードと、前記減回数暗号化パスワードとに基づいて認証を行うことを特徴とする認証方法。
【請求項22】
前記認証装置が、前記減回数暗号送信工程で送信された減回数暗号化パスワードを1回だけ前記一方向関数により処理する暗号化処理工程と、
前記暗号化処理工程により算出された算出済みパスワードが、前記所定回数暗号送信工程で送信された前記所定回数暗号化パスワードと一致するか否かにより前記認証装置が認証する認証工程と、を備えたことを特徴とする請求項21記載の認証方法。
【請求項23】
前記被認証装置は、前記認証装置の設定情報を管理する設定管理装置であって、
前記認証工程で前記認証装置から認証されると、該認証装置についての設定情報を前記被認証装置が当該認証装置に送信する設定情報送信工程を備えたことを特徴とする請求項19から22の何れか1項に記載の認証方法。
【請求項24】
設定情報が変更された場合に該変更を前記被認証装置が前記認証装置に通知する変更通知工程を備え、
前記設定情報送信工程では、前記変更通知工程で通知した後に送信を行うことを特徴とする請求項23記載の認証方法。
【請求項25】
前記被認証装置が前記認証装置にアクセスを試みた時点で該認証装置が接続されていない場合、前記被認証装置からの変更通知および、前記減回数暗号送信工程として算出された減回数暗号化パスワードを、前記認証装置と前記被認証装置との接続制御を行う接続制御手段が保持し、該認証装置にアクセス可能となるのを待機する保持待機工程を備えたことを特徴とする請求項24記載の認証方法。
【請求項26】
前記被認証装置が前記認証装置にアクセスを試みた時点で該認証装置が接続されておらず、その後に該認証装置にアクセス可能となった場合、当該認証装置を設定用のネットワークとして接続させる設定用接続工程を備え、
前記設定情報送信工程は、前記設定用接続工程により設定用のネットワークとして接続された該認証装置に前記設定情報を送信することを特徴とする請求項23から25の何れか1項に記載の認証方法。
【請求項27】
前記設定情報には有効期限が設けられ、
前記有効期限が切れた場合、前記認証装置が前記被認証装置に設定用のネットワークとして接続する設定接続工程を備えたことを特徴とする請求項23から26の何れか1項に記載の認証方法。
【請求項28】
認証装置に対して認証を要求する被認証装置のプログラムを記録した記録媒体であって、
前記被認証装置に、
パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを当該処理回数情報と共に前記認証装置に送信する所定回数暗号送信処理と、
前記パスワードを前記一方向関数により、前記処理回数から所定の減算回数だけ減算した減算済み回数だけ処理した減回数暗号化パスワードを当該減算済み回数と共に前記認証装置に送信する減回数暗号送信処理と、を実行させることを特徴とする被認証装置のプログラムを記録した記録媒体。
【請求項29】
認証装置に対して認証を要求する被認証装置のプログラムを記録した記録媒体であって、
前記被認証装置に、
パスワードを所定の一方向関数により所定の処理回数だけ処理した所定回数暗号化パスワードを前記認証装置に送信する所定回数暗号送信処理と、
前記パスワードを前記一方向関数により、前記処理回数から1少ない減算済み回数だけ処理した減回数暗号化パスワードを前記認証装置に送信する減回数暗号送信処理と、を実行させることを特徴とする被認証装置のプログラムを記録した記録媒体。
【請求項30】
前記被認証装置は、前記認証装置の設定情報を管理する設定管理装置であって、
該被認証装置に、
前記認証処理で前記認証装置から認証されると、該認証装置についての設定情報を当該認証装置に送信する設定情報送信処理を実行させることを特徴とする請求項28または29記載の被認証装置のプログラムを記録した記録媒体。
【請求項31】
前記被認証装置に、設定情報が変更された場合に該変更を前記認証装置に通知する変更通知処理を実行させ、
前記設定情報送信処理では、前記変更通知処理で通知した後に送信を行うことを特徴とする請求項30記載の被認証装置のプログラムを記録した記録媒体。
【請求項32】
被認証装置からの認証要求に応じて認証を行う認証装置のプログラムを記録した記録媒体であって、
前記認証装置に、
前記被認証装置からの情報を受信する受信処理と、
所定の処理回数から所定の減算回数だけ減算した減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが、前記被認証装置から前記受信処理により受信された際に、該減回数暗号化パスワードを、前記処理回数から前記減算済み回数を減算することで得られた減算回数だけ前記一方向関数により処理する暗号化処理と、
前記受信処理により受信された、前記一方向関数により前記パスワードを前記処理回数だけ処理した所定回数暗号化パスワードが、前記暗号化処理により算出された算出済みパスワードと一致するか否かにより認証する認証処理と、を実行させることを特徴とする認証装置のプログラムを記録した記録媒体。
【請求項33】
被認証装置からの認証要求に応じて認証を行う認証装置のプログラムを記録した記録媒体であって、
前記認証装置に、
前記被認証装置からの情報を受信する受信処理と、
所定の処理回数から1少ない減算済み回数だけパスワードを一方向関数により処理した減回数暗号化パスワードが前記被認証装置から前記受信処理により受信された際に、該減回数暗号化パスワードを、1回だけ前記一方向関数により処理する暗号化処理と、
前記受信処理により受信された、前記パスワードを前記処理回数だけ前記一方向関数により処理した所定回数暗号化パスワードが、前記暗号化処理により算出された算出済みパスワードと一致するか否かにより認証する認証処理と、を実行させることを特徴とする認証装置のプログラムを記録した記録媒体。
【請求項34】
前記設定情報には有効期限が設けられ、
前記認証装置に、
前記有効期限が切れた場合、前記認証装置が前記被認証装置に設定用のネットワークとして接続する設定接続処理を実行させることを特徴とする請求項32または33記載の認証装置のプログラムを記録した記録媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公表番号】特表2009−543177(P2009−543177A)
【公表日】平成21年12月3日(2009.12.3)
【国際特許分類】
【出願番号】特願2009−517685(P2009−517685)
【出願日】平成19年6月22日(2007.6.22)
【国際出願番号】PCT/JP2007/063057
【国際公開番号】WO2008/004494
【国際公開日】平成20年1月10日(2008.1.10)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公表日】平成21年12月3日(2009.12.3)
【国際特許分類】
【出願日】平成19年6月22日(2007.6.22)
【国際出願番号】PCT/JP2007/063057
【国際公開番号】WO2008/004494
【国際公開日】平成20年1月10日(2008.1.10)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]