認証システム
【課題】 ネットワーク通信におけるセキュリティを高める。
【解決手段】 会議室1の入り口には、認証室3が設けられており、この認証室には外側に面した第1のドア5aと、内側(会議室1内)に面した第2のドアの2つのドアが設けられている。認証室3の近くの会議室1内にはルータ7が設置されており、ルータ7に接続される無線LANのアクセスポイント(AP)15によって会議室1内ではIPv6によるネットワーク通信を利用することができるようになっている。ルータ7と認証室3との間には赤外線ポート11が設けられており、認証室3からルータ7に向けて赤外線による通信を行うことができるようになっている。
【解決手段】 会議室1の入り口には、認証室3が設けられており、この認証室には外側に面した第1のドア5aと、内側(会議室1内)に面した第2のドアの2つのドアが設けられている。認証室3の近くの会議室1内にはルータ7が設置されており、ルータ7に接続される無線LANのアクセスポイント(AP)15によって会議室1内ではIPv6によるネットワーク通信を利用することができるようになっている。ルータ7と認証室3との間には赤外線ポート11が設けられており、認証室3からルータ7に向けて赤外線による通信を行うことができるようになっている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は認証システムに関し、特に室内への入退出に関する認証システムに関する。
【背景技術】
【0002】
従来の無線通信における暗号化技術としてWEP-KEYが存在する。このWEP-KEYによる暗号化技術では、事前に同一の文字列を設定した端末のみがネットワークを参照可能であり、一台の端末であってもそれが離脱する場合には全端末の設定を手動で変える必要がある。
【0003】
また、IP層での暗号通信の為にIPsecが標準化されている。以下に簡単にIPsec技術を解説する。IPsecには、AH(Authentication Header)とESP(Encapsulating Security Payload)が存在する。AHはメッセージダイジェストを使ってデータの完全性を保証し、ESPは通信の暗号化に用いる。これらのデータ通信に関して、どこへ宛てての(もしくはどこからの)パケットにはESPを用いる、或いはAHを用いるなど、ポリシーのデータベースを持つことが規定されている(図5)。これをSPD(Security Policy Database)と呼ぶ。また、暗号鍵を複数持ち、その鍵と番号をテーブルとして両端の端末で共有する。例えば、リンクローカルアドレスからリンクローカルアドレスへの0x3000番にはDES-CBCで暗号鍵はhogehogeで、fe80::aからリンクローカルマルチキャストアドレス宛の0x3004番の時はDES-CBCで鍵はyokohama 等と言ったテーブルをもつ。この結果、パケット内の暗号化されていないヘッダ部分にこの番号情報が有る為にペイロード部分の暗号を解く事が可能となる。この鍵情報の共有を、SAを確立するという(図4)。IPsecではパケットを送信・受信する際にSPD、SAに基づいて暗号化・復号化してIPパケットのやりとりを行う。
【0004】
また、IPsecのSA確立の為にIKE(Internet Key Exchange)と呼ばれる鍵交換プロトコルが標準化されている。端末間の認証、ESPやAHで用いる暗号・認証アルゴリズムのネゴシエーション、秘密鍵の交換などは、IKEを用いて行われる。IKEはUDPにより実装され、デーモンとして実現することができる。IKEはPhase 1(Phase2を行うためのSAの確立)とPhase 2(IPsecのSAを確立)との2Phaseに分けることが可能である。このIKEによって、端末はIPsecにおけるSAを自動的に確立することが可能となる。また、SAには寿命が設定されており、寿命に近づいたらSAを上記の仕組みでにより更新する。
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来、無線を用いた盗聴不可能な閉域ネットワークを形成するためには、例えば上記のようなWEP−KEYの設定が必要であった。また、同一の設定を行うことで閉域ネットワークに参加している端末がこの閉域ネットワークを抜ける際には、該当する端末以外の全端末に関して手動で再設定する必要があった。
【0006】
本発明は、ユーザが意識することなく、閉域ネットワーク内のセキュリティを確保できる技術を提供することを目的とする。
【課題を解決するための手段】
【0007】
会議室に入る際に、赤外線等の指向性の高い信号到達能力が近距離である無線又は媒体により物理的に接触することによりデータの交換をすることができ、かつ、データ交換とドアの開閉とが関連して行われるようにすることによりセキュリティを確保することができる。また部屋を出る際にも閉域ネットワークからの離脱処理として、上記データ交換とドアの開閉とを関連付けておく。
【発明の効果】
【0008】
本発明によれば、入場者は従来は入場とは別途必要であったネットワークへの参加認証を入場時に同時に行うことができ、また、退場時にはログアウトする必要もなく、さらに室内のネットワークの安全性を確保することが可能となる。
【発明を実施するための最良の形態】
【0009】
以下、本発明の実施の形態による認証システムについて図面を参照しつつ説明を行う。
図1は、本実施の形態による閉域ネットワークAの一例として挙げた会議室の簡略化した図である。図1に示すように、会議室1の入り口には、認証室3が設けられており、この認証室には外側に面した第1のドア5aと、内側(会議室1内)に面した第2のドア5bの2つのドアが設けられている。認証室3の近くの会議室1内にはルータ7が設置されており、ルータ7に接続される無線LANのアクセスポイント(AP)15によって会議室1内ではIPv6によるネットワーク通信を利用することができるようになっている。ルータ7と認証室3との間には赤外線ポート11が設けられており、認証室3からルータ7に向けて赤外線による通信を行うことができるようになっている。
【0010】
会議に参加を希望する者は、外側からは自由に開閉するドア5aを開いて認証室3に入る。例えば赤外線リモコン又は赤外線を出射できる携帯端末などを用いてルータ7と通信を行う。この際にIPsecに用いる認証を確立する。認証とは、例えばcertsの共有等を指す。同時に、この操作により会議室1の内側のドア5bが開く。すなわち、参加者は赤外線による通信により、無線LAN等のIP-Networkに参加するための認証と部屋に入るためのドア5bを開けるための認証を同時に受けることが可能となる。この結果、会議に参加する人間だけがデータの共有が可能となり、また、部屋への入場も可能となる。
【実施例1】
【0011】
以下、本発明の第1実施例による認証システムについて図1を参照して具体的に説明する。会議室1の入り口には、認証サーバを兼ねるルータ7が配置されており、会議室1内には無線LANの基地局15が設置されている。
【0012】
ノートPC21を所持した会議参加者は、入り口においてノートPC21に設けられた赤外線用インターフェイスと認証室の赤外線ポート11とを介して、ルータ7とノートPC21とデータ交換を行う。その結果ノートPC21はSPD(図3に代表される)とSA(図2に代表される)を得る。図2のSA(セキュリティアソシエーション)において、符号21はIPパケットのソースアドレスを示しており、符号23は同様にディスティネーションアドレスを示しており、符号25はSPIすなわちINDEX番号を示しており、符号27は暗号アルゴリズムを示しており、符号28は用いられる鍵(key)を示している。
【0013】
例えば、図2において、上の二行はリンクローカルアドレスからリンクローカルアドレスのパケットにおいて、IPSECを示すヘッダで示されるSPIが0x3000番の際にはdes-cbcで鍵はhogehoge、0x3001番の際にはdes-cbcで鍵はmakuhariであることを示している。上から三行目は、ソースアドレスがfe80::1からのリンクローカルオールノードマルチキャスト宛てのパケットでのSPI(このアドレスは主にRA:ルータ広告に用いられる)と鍵の関係を、下から二番目の行はfe80::aすなわち自分自身からの全リンクローカルノード宛への鍵情報を示しており、最下行は自分自身からのリンクローカル内の全ルータに対するマルチキャストでの鍵情報を示している。
【0014】
すなわち、下の三行はリンクローカルマルチキャストにおけるSAを示しており、結局これらの値を得た結果リンクローカルアドレスでの暗号通信が可能となる。また、図3はSPD(セキュリティポリシーデータベース)を示しており、符号31はソースアドレス、符号33はディスティネーションアドレス、符号35はIPSECのモード、符号37はポリシーが記述されている。本実施例では、例えば、図3の最も上の行においては、リンクローカルアドレスからリンクローカルアドレスへのパケットはIPSECを用いなくてはならない旨(もしも暗号化されていないパケットが、リンクローカルアドレス→リンクローカルアドレスのパケットが受信され、もしくは、送信しようとした場合には破棄する旨)が記述されている。上から二番目の行では、同様にリンクローカルアドレスからリンクローカルアドレスへのパケットにはIPSECを用いる旨(リンクローカルアドレス→リンクローカルアドレスのパケットが受信され、もしくは、送信しようとした場合にはIPSECを用いる)が記述されている。以下、同様に2003::aから送信されるパケット、2003::aに受信するパケット、リンクローカルアドレスからマルチキャストされるパケットに関するポリシーが記述されている。
【0015】
以上の結果、会議室内でのデータのやり取りが可能となる。また、認証室3内には入ることができるが、認証室3から出るためにはノートPC21とルータ7の認証とを必須とし、会議室1に入る際にはSA,SPDの交換を行い、会議室1から出る際には他の端末用のSAの更新を行う。その結果会議室から出た端末は会議室内のデータを参照することは出来なくなる。ここでのSAは一例であり、ネットワーク形態によってさまざまに変化する。また、ここではSA,SPDを交換しているが、それらを交換するために必要な証明書などでも良い。
【実施例2】
【0016】
以下、本発明の第2実施例を図1を参照して具体的に説明する。会議室1の入り口には、認証サーバを兼ねるルータ7が配置されており、会議室1内には無線LANの基地局15が設置されている。
【0017】
ノートPC21を所持した会議参加者は、入り口においてノートPC21に設けられた赤外線用インターフェイスと認証室の赤外線ポート11とを介して、ルータ7とノートPC21とデータ交換を行う。この際に、ノートPC21は、IKEに用いる認証データとリンクローカルアドレス用のSAをルータ7から受け取る。ここで、IKEをリンクローカルアドレスのみで受け付けるようにルータ7にIKEをセットし、リンクローカル通信によりノートPC21とのSAを確立する。この結果、入り口で証明書を受け取ったノートPC21はIKEによりSAを確立することが可能となる。データリンク層的に無線での接続が可能な端末(すなわち会議室の中から無線に接続しようとする端末)は、IKEの認証を受けることができないため、会議室1内での会議内容を盗聴することはできない。また、認証室3内には入ることができるが、認証室3から出るためにはノートPC21とルータ7の認証とを必須とし、会議室1に入る際にはIKEの認証データの交換を行い、会議室1から出る際にはIKEの認証データの消去を行う。
【0018】
この消去はルータ7側で必ず行い、会議室1から退出したノートPC21のネットワークへの不正ログインを防ぐ。また、同時に、退出端末がある場合には、非退出端末用のSAの更新を行い、退出端末は証明書がないためIKEによるSA確立が出来ないので、通信および盗聴が出来なくなる。
【0019】
以下に、本実施例において交換するSPD、SAの例を示す。このネットワークで用いるグローバルアドレスのプレフィックスを2003::/64と仮定する。また、持ち込むノートPC21のリンクローカルアドレスをfe80::a、会議室1の入り口に設置されているルータ7のリンクローカルアドレスをfe80::1とする。まず、入り口から会議室1に入る際にリンクローカルアドレスに関して図3の様なSPDを交換する。次に図2の様なSAを交換する。その結果、ノートPC21とルータ7との間のリンクローカルの通信は暗号化されることとなる。また、リンクローカルアドレス宛のパケットは暗号化が必要とされ暗号化されていないパケットは破棄される。
【0020】
以上の処理が終了するまでは、会議室1の内側のドア5bが閉まっており認証室3から会議室に入ることができない。また、このノートPC21を所持した人間が部屋を退出する際には、ルータ7側のノード(ノートPC21)宛のSAに新たな鍵と番号を付与してSAを確立しないようにする。その結果、当該ノード宛のパケットは暗号化されるものの、当該ノードによって復号することはできなくなる。要するに、退出したノード宛には、偽の共有鍵で暗号化している状態となるのである。この処理が終わるまでは、会議室の外側のドア5aが開かず、退出することが出来ない。すなわち、新たな鍵と番号の付与の後にしか認証室3から外側に出ることはできない。
【0021】
以上に説明したように、本実施例による認証システムによれば、認証室における会議室内のルータと閉域ネットワーク参加者の所持する端末との認証と会議室への入退出動作とが連動しているため、会議室内に端末が存在することが会議室内に形成された閉域ネットワークに参加する条件となっている。従って、この閉域ネットワーク内のセキュリティを強固なものにすることができる。
【実施例3】
【0022】
上記の第1実施例において、入場者を3人(参加端末3台)と仮定する。端末のそれぞれをA,B,Cとし、端末AのMACアドレスから生成される下位64bitを::aとし、端末BのMACアドレスを::bとし、端末CのMACアドレスを::cとする。またルータ7の下位64bitを::1とする。ルータ7はこのリンクに対して2003::/64のRAをリンクローカルマルチキャストアドレスに対して配布しているものとする。まず端末Aが入場し、端末B,端末Cとが相次いで入場し、端末Bが途中で退室し、会議が終了するまでの流れを例に説明する。
【0023】
以下に実際に会議室を利用する際の具体的なシーケンスを図7A、図7Bを参照して説明する。まず端末A83が入場する際(図7A、符号AC1)、端末Aがルータ7と赤外線などの通信により端末Aとルータ7との間で図4に示すSAと図3に示すSPDとを交換する。図3のSPD、すなわちセキュリティポリシーと、図4のSAと、は以下のような意味を持っている。リンクローカル通信および2003::/64内通信(すなわちLAN)においてのSAとなっている(AC2)。グローバルアドレス宛の通信は暗号を必須とし暗号化されていないパケットは破棄する。送信の際にはSAが確立している相手以外にはパケットを送らない設定となっている。また、端末・ルータの処理としてはパケットを出す場合はソースアドレスとディスティネーションアドレスを見てインデックスを選択しそのアルゴリズム・鍵に従い暗号化し、入ってきたパケットに対してはソースアドレスとディスティネーションアドレス、インデックス値から一意に決められたアルゴリズム・鍵に従って復号処理を行う。この場合で言えば、ルータが端末A宛にパケットを出す際にはソースfe80::1、ディスティネーションfe80::aであるため0x3000もしくは0x3001を選択する。0x3001を選択すると、アルゴリズムにはDES、鍵にはhogehogeを用いて暗号化してパケットを出す。端末Aではソースアドレスがfe80::1でディスティネーションがfe80::a、インデックスが0x3001なのでhogehogeで復号処理を行う。このリンクローカルアドレスに関するSAやグローバルアドレス用のSAをIKEを用いて随時更新する。ここで、内側のドア5bが開くので(AC3)、端末Aが会議室1内に入ることができる。
【0024】
次に端末Bが入室してくる(AC4)。同様に端末Aが保持しているものと同じリンクローカルアドレスに関するSA(図4)及びSPD(図3)を得る(AC5)。その結果、会議室の内側のドア5bが開き(AC6)、端末B(85)も入室可能となる。端末C(87)の入場時も同様である(AC7、8)。その後、各端末間のユニキャスト通信が必要な場合には、各々の端末間でIKEによりユニキャスト通信用の鍵交換を行い秘匿通信が可能となる(AC9〜AC14)。
【0025】
次に、端末B(85)が途中退室する(AC21)場合のシーケンスを説明する。まず端末Bはルータ7との間で赤外線ポート11を介して赤外線通信を行う(AC22)。その結果、ルータ7側では端末Bが退室するので、SAを端末A及び端末CとIKEにより更新する(AC23)。この際、インデックスはそのままにし、鍵だけを変えて上書きする。更新されたSA(すなわち端末A及び端末Cの有するSA)を図5に記す。図5では、図4におけるSAとアドレス構成・SPIは変わっていないが、暗号鍵だけが更新されている。一般的に、IKEで鍵を更新する際、SPIは上書きせず、新たな番号を用意して鍵を更新する。これは、新たな鍵には新たなSPIを用意することによって、更新直後に古い鍵で届いたパケットを捨ててしまわないようにするためである。本実施例では、あえてSPIを同じもので鍵を更新し、その結果、更新後の鍵を知る端末A,Cは通信が可能だが、更新後の鍵を知らない端末Bは通信不可能となる。その後、近隣探索を行って端末A,Cからの返答があることを確認し(AC24〜AC27)、端末Bからの返答が無いことを確認し(AC28)、外側のドア5aを開く(AC29)。最後に会議が終了した場合(AC30〜34)、ルータ7は全てのノードと通信不可能な状態を確認してドア5aを開放する(AC35、36)。この状態とはすなわち図6に示すようにルータ7内で持つSAを更新した結果、誰とも共有しない状態を指す。この図6も同様に図4におけるSAとアドレス構成・SPIは変わっていないが、暗号鍵だけが更新されている。更新された鍵はルータのみが知っており、他の端末は復号することができない。
【0026】
以上、本発明の実施の形態によれば、従来は入場とは別途必要であったネットワークへの参加認証を入場者が入場時に行うことができ、また、退場時にはログアウトする必要がなく、さらに室内のネットワークの安全性を確保することが可能となるという利点がある。
【図面の簡単な説明】
【0027】
【図1】本実施の形態による閉域ネットワークの一例として挙げた会議室の簡略化した図である。
【図2】SAの一構成例を示す図である。
【図3】SPDの一構成例を示す図である。
【図4】SAの一構成例を示す図である。
【図5】SAの一構成例を示す図である(更新後)。
【図6】SAの一構成例を示す図である(再更新後)。
【図7A】システムの処理の流れを示すシーケンス図である。
【図7B】図7Aに続く図である。
【符号の説明】
【0028】
1…会議室、3…認証室、5a…第1のドア、5b…第2のドア、7…ルータ、11…赤外線ポート、15…無線LANのアクセスポイント(AP)。
【技術分野】
【0001】
本発明は認証システムに関し、特に室内への入退出に関する認証システムに関する。
【背景技術】
【0002】
従来の無線通信における暗号化技術としてWEP-KEYが存在する。このWEP-KEYによる暗号化技術では、事前に同一の文字列を設定した端末のみがネットワークを参照可能であり、一台の端末であってもそれが離脱する場合には全端末の設定を手動で変える必要がある。
【0003】
また、IP層での暗号通信の為にIPsecが標準化されている。以下に簡単にIPsec技術を解説する。IPsecには、AH(Authentication Header)とESP(Encapsulating Security Payload)が存在する。AHはメッセージダイジェストを使ってデータの完全性を保証し、ESPは通信の暗号化に用いる。これらのデータ通信に関して、どこへ宛てての(もしくはどこからの)パケットにはESPを用いる、或いはAHを用いるなど、ポリシーのデータベースを持つことが規定されている(図5)。これをSPD(Security Policy Database)と呼ぶ。また、暗号鍵を複数持ち、その鍵と番号をテーブルとして両端の端末で共有する。例えば、リンクローカルアドレスからリンクローカルアドレスへの0x3000番にはDES-CBCで暗号鍵はhogehogeで、fe80::aからリンクローカルマルチキャストアドレス宛の0x3004番の時はDES-CBCで鍵はyokohama 等と言ったテーブルをもつ。この結果、パケット内の暗号化されていないヘッダ部分にこの番号情報が有る為にペイロード部分の暗号を解く事が可能となる。この鍵情報の共有を、SAを確立するという(図4)。IPsecではパケットを送信・受信する際にSPD、SAに基づいて暗号化・復号化してIPパケットのやりとりを行う。
【0004】
また、IPsecのSA確立の為にIKE(Internet Key Exchange)と呼ばれる鍵交換プロトコルが標準化されている。端末間の認証、ESPやAHで用いる暗号・認証アルゴリズムのネゴシエーション、秘密鍵の交換などは、IKEを用いて行われる。IKEはUDPにより実装され、デーモンとして実現することができる。IKEはPhase 1(Phase2を行うためのSAの確立)とPhase 2(IPsecのSAを確立)との2Phaseに分けることが可能である。このIKEによって、端末はIPsecにおけるSAを自動的に確立することが可能となる。また、SAには寿命が設定されており、寿命に近づいたらSAを上記の仕組みでにより更新する。
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来、無線を用いた盗聴不可能な閉域ネットワークを形成するためには、例えば上記のようなWEP−KEYの設定が必要であった。また、同一の設定を行うことで閉域ネットワークに参加している端末がこの閉域ネットワークを抜ける際には、該当する端末以外の全端末に関して手動で再設定する必要があった。
【0006】
本発明は、ユーザが意識することなく、閉域ネットワーク内のセキュリティを確保できる技術を提供することを目的とする。
【課題を解決するための手段】
【0007】
会議室に入る際に、赤外線等の指向性の高い信号到達能力が近距離である無線又は媒体により物理的に接触することによりデータの交換をすることができ、かつ、データ交換とドアの開閉とが関連して行われるようにすることによりセキュリティを確保することができる。また部屋を出る際にも閉域ネットワークからの離脱処理として、上記データ交換とドアの開閉とを関連付けておく。
【発明の効果】
【0008】
本発明によれば、入場者は従来は入場とは別途必要であったネットワークへの参加認証を入場時に同時に行うことができ、また、退場時にはログアウトする必要もなく、さらに室内のネットワークの安全性を確保することが可能となる。
【発明を実施するための最良の形態】
【0009】
以下、本発明の実施の形態による認証システムについて図面を参照しつつ説明を行う。
図1は、本実施の形態による閉域ネットワークAの一例として挙げた会議室の簡略化した図である。図1に示すように、会議室1の入り口には、認証室3が設けられており、この認証室には外側に面した第1のドア5aと、内側(会議室1内)に面した第2のドア5bの2つのドアが設けられている。認証室3の近くの会議室1内にはルータ7が設置されており、ルータ7に接続される無線LANのアクセスポイント(AP)15によって会議室1内ではIPv6によるネットワーク通信を利用することができるようになっている。ルータ7と認証室3との間には赤外線ポート11が設けられており、認証室3からルータ7に向けて赤外線による通信を行うことができるようになっている。
【0010】
会議に参加を希望する者は、外側からは自由に開閉するドア5aを開いて認証室3に入る。例えば赤外線リモコン又は赤外線を出射できる携帯端末などを用いてルータ7と通信を行う。この際にIPsecに用いる認証を確立する。認証とは、例えばcertsの共有等を指す。同時に、この操作により会議室1の内側のドア5bが開く。すなわち、参加者は赤外線による通信により、無線LAN等のIP-Networkに参加するための認証と部屋に入るためのドア5bを開けるための認証を同時に受けることが可能となる。この結果、会議に参加する人間だけがデータの共有が可能となり、また、部屋への入場も可能となる。
【実施例1】
【0011】
以下、本発明の第1実施例による認証システムについて図1を参照して具体的に説明する。会議室1の入り口には、認証サーバを兼ねるルータ7が配置されており、会議室1内には無線LANの基地局15が設置されている。
【0012】
ノートPC21を所持した会議参加者は、入り口においてノートPC21に設けられた赤外線用インターフェイスと認証室の赤外線ポート11とを介して、ルータ7とノートPC21とデータ交換を行う。その結果ノートPC21はSPD(図3に代表される)とSA(図2に代表される)を得る。図2のSA(セキュリティアソシエーション)において、符号21はIPパケットのソースアドレスを示しており、符号23は同様にディスティネーションアドレスを示しており、符号25はSPIすなわちINDEX番号を示しており、符号27は暗号アルゴリズムを示しており、符号28は用いられる鍵(key)を示している。
【0013】
例えば、図2において、上の二行はリンクローカルアドレスからリンクローカルアドレスのパケットにおいて、IPSECを示すヘッダで示されるSPIが0x3000番の際にはdes-cbcで鍵はhogehoge、0x3001番の際にはdes-cbcで鍵はmakuhariであることを示している。上から三行目は、ソースアドレスがfe80::1からのリンクローカルオールノードマルチキャスト宛てのパケットでのSPI(このアドレスは主にRA:ルータ広告に用いられる)と鍵の関係を、下から二番目の行はfe80::aすなわち自分自身からの全リンクローカルノード宛への鍵情報を示しており、最下行は自分自身からのリンクローカル内の全ルータに対するマルチキャストでの鍵情報を示している。
【0014】
すなわち、下の三行はリンクローカルマルチキャストにおけるSAを示しており、結局これらの値を得た結果リンクローカルアドレスでの暗号通信が可能となる。また、図3はSPD(セキュリティポリシーデータベース)を示しており、符号31はソースアドレス、符号33はディスティネーションアドレス、符号35はIPSECのモード、符号37はポリシーが記述されている。本実施例では、例えば、図3の最も上の行においては、リンクローカルアドレスからリンクローカルアドレスへのパケットはIPSECを用いなくてはならない旨(もしも暗号化されていないパケットが、リンクローカルアドレス→リンクローカルアドレスのパケットが受信され、もしくは、送信しようとした場合には破棄する旨)が記述されている。上から二番目の行では、同様にリンクローカルアドレスからリンクローカルアドレスへのパケットにはIPSECを用いる旨(リンクローカルアドレス→リンクローカルアドレスのパケットが受信され、もしくは、送信しようとした場合にはIPSECを用いる)が記述されている。以下、同様に2003::aから送信されるパケット、2003::aに受信するパケット、リンクローカルアドレスからマルチキャストされるパケットに関するポリシーが記述されている。
【0015】
以上の結果、会議室内でのデータのやり取りが可能となる。また、認証室3内には入ることができるが、認証室3から出るためにはノートPC21とルータ7の認証とを必須とし、会議室1に入る際にはSA,SPDの交換を行い、会議室1から出る際には他の端末用のSAの更新を行う。その結果会議室から出た端末は会議室内のデータを参照することは出来なくなる。ここでのSAは一例であり、ネットワーク形態によってさまざまに変化する。また、ここではSA,SPDを交換しているが、それらを交換するために必要な証明書などでも良い。
【実施例2】
【0016】
以下、本発明の第2実施例を図1を参照して具体的に説明する。会議室1の入り口には、認証サーバを兼ねるルータ7が配置されており、会議室1内には無線LANの基地局15が設置されている。
【0017】
ノートPC21を所持した会議参加者は、入り口においてノートPC21に設けられた赤外線用インターフェイスと認証室の赤外線ポート11とを介して、ルータ7とノートPC21とデータ交換を行う。この際に、ノートPC21は、IKEに用いる認証データとリンクローカルアドレス用のSAをルータ7から受け取る。ここで、IKEをリンクローカルアドレスのみで受け付けるようにルータ7にIKEをセットし、リンクローカル通信によりノートPC21とのSAを確立する。この結果、入り口で証明書を受け取ったノートPC21はIKEによりSAを確立することが可能となる。データリンク層的に無線での接続が可能な端末(すなわち会議室の中から無線に接続しようとする端末)は、IKEの認証を受けることができないため、会議室1内での会議内容を盗聴することはできない。また、認証室3内には入ることができるが、認証室3から出るためにはノートPC21とルータ7の認証とを必須とし、会議室1に入る際にはIKEの認証データの交換を行い、会議室1から出る際にはIKEの認証データの消去を行う。
【0018】
この消去はルータ7側で必ず行い、会議室1から退出したノートPC21のネットワークへの不正ログインを防ぐ。また、同時に、退出端末がある場合には、非退出端末用のSAの更新を行い、退出端末は証明書がないためIKEによるSA確立が出来ないので、通信および盗聴が出来なくなる。
【0019】
以下に、本実施例において交換するSPD、SAの例を示す。このネットワークで用いるグローバルアドレスのプレフィックスを2003::/64と仮定する。また、持ち込むノートPC21のリンクローカルアドレスをfe80::a、会議室1の入り口に設置されているルータ7のリンクローカルアドレスをfe80::1とする。まず、入り口から会議室1に入る際にリンクローカルアドレスに関して図3の様なSPDを交換する。次に図2の様なSAを交換する。その結果、ノートPC21とルータ7との間のリンクローカルの通信は暗号化されることとなる。また、リンクローカルアドレス宛のパケットは暗号化が必要とされ暗号化されていないパケットは破棄される。
【0020】
以上の処理が終了するまでは、会議室1の内側のドア5bが閉まっており認証室3から会議室に入ることができない。また、このノートPC21を所持した人間が部屋を退出する際には、ルータ7側のノード(ノートPC21)宛のSAに新たな鍵と番号を付与してSAを確立しないようにする。その結果、当該ノード宛のパケットは暗号化されるものの、当該ノードによって復号することはできなくなる。要するに、退出したノード宛には、偽の共有鍵で暗号化している状態となるのである。この処理が終わるまでは、会議室の外側のドア5aが開かず、退出することが出来ない。すなわち、新たな鍵と番号の付与の後にしか認証室3から外側に出ることはできない。
【0021】
以上に説明したように、本実施例による認証システムによれば、認証室における会議室内のルータと閉域ネットワーク参加者の所持する端末との認証と会議室への入退出動作とが連動しているため、会議室内に端末が存在することが会議室内に形成された閉域ネットワークに参加する条件となっている。従って、この閉域ネットワーク内のセキュリティを強固なものにすることができる。
【実施例3】
【0022】
上記の第1実施例において、入場者を3人(参加端末3台)と仮定する。端末のそれぞれをA,B,Cとし、端末AのMACアドレスから生成される下位64bitを::aとし、端末BのMACアドレスを::bとし、端末CのMACアドレスを::cとする。またルータ7の下位64bitを::1とする。ルータ7はこのリンクに対して2003::/64のRAをリンクローカルマルチキャストアドレスに対して配布しているものとする。まず端末Aが入場し、端末B,端末Cとが相次いで入場し、端末Bが途中で退室し、会議が終了するまでの流れを例に説明する。
【0023】
以下に実際に会議室を利用する際の具体的なシーケンスを図7A、図7Bを参照して説明する。まず端末A83が入場する際(図7A、符号AC1)、端末Aがルータ7と赤外線などの通信により端末Aとルータ7との間で図4に示すSAと図3に示すSPDとを交換する。図3のSPD、すなわちセキュリティポリシーと、図4のSAと、は以下のような意味を持っている。リンクローカル通信および2003::/64内通信(すなわちLAN)においてのSAとなっている(AC2)。グローバルアドレス宛の通信は暗号を必須とし暗号化されていないパケットは破棄する。送信の際にはSAが確立している相手以外にはパケットを送らない設定となっている。また、端末・ルータの処理としてはパケットを出す場合はソースアドレスとディスティネーションアドレスを見てインデックスを選択しそのアルゴリズム・鍵に従い暗号化し、入ってきたパケットに対してはソースアドレスとディスティネーションアドレス、インデックス値から一意に決められたアルゴリズム・鍵に従って復号処理を行う。この場合で言えば、ルータが端末A宛にパケットを出す際にはソースfe80::1、ディスティネーションfe80::aであるため0x3000もしくは0x3001を選択する。0x3001を選択すると、アルゴリズムにはDES、鍵にはhogehogeを用いて暗号化してパケットを出す。端末Aではソースアドレスがfe80::1でディスティネーションがfe80::a、インデックスが0x3001なのでhogehogeで復号処理を行う。このリンクローカルアドレスに関するSAやグローバルアドレス用のSAをIKEを用いて随時更新する。ここで、内側のドア5bが開くので(AC3)、端末Aが会議室1内に入ることができる。
【0024】
次に端末Bが入室してくる(AC4)。同様に端末Aが保持しているものと同じリンクローカルアドレスに関するSA(図4)及びSPD(図3)を得る(AC5)。その結果、会議室の内側のドア5bが開き(AC6)、端末B(85)も入室可能となる。端末C(87)の入場時も同様である(AC7、8)。その後、各端末間のユニキャスト通信が必要な場合には、各々の端末間でIKEによりユニキャスト通信用の鍵交換を行い秘匿通信が可能となる(AC9〜AC14)。
【0025】
次に、端末B(85)が途中退室する(AC21)場合のシーケンスを説明する。まず端末Bはルータ7との間で赤外線ポート11を介して赤外線通信を行う(AC22)。その結果、ルータ7側では端末Bが退室するので、SAを端末A及び端末CとIKEにより更新する(AC23)。この際、インデックスはそのままにし、鍵だけを変えて上書きする。更新されたSA(すなわち端末A及び端末Cの有するSA)を図5に記す。図5では、図4におけるSAとアドレス構成・SPIは変わっていないが、暗号鍵だけが更新されている。一般的に、IKEで鍵を更新する際、SPIは上書きせず、新たな番号を用意して鍵を更新する。これは、新たな鍵には新たなSPIを用意することによって、更新直後に古い鍵で届いたパケットを捨ててしまわないようにするためである。本実施例では、あえてSPIを同じもので鍵を更新し、その結果、更新後の鍵を知る端末A,Cは通信が可能だが、更新後の鍵を知らない端末Bは通信不可能となる。その後、近隣探索を行って端末A,Cからの返答があることを確認し(AC24〜AC27)、端末Bからの返答が無いことを確認し(AC28)、外側のドア5aを開く(AC29)。最後に会議が終了した場合(AC30〜34)、ルータ7は全てのノードと通信不可能な状態を確認してドア5aを開放する(AC35、36)。この状態とはすなわち図6に示すようにルータ7内で持つSAを更新した結果、誰とも共有しない状態を指す。この図6も同様に図4におけるSAとアドレス構成・SPIは変わっていないが、暗号鍵だけが更新されている。更新された鍵はルータのみが知っており、他の端末は復号することができない。
【0026】
以上、本発明の実施の形態によれば、従来は入場とは別途必要であったネットワークへの参加認証を入場者が入場時に行うことができ、また、退場時にはログアウトする必要がなく、さらに室内のネットワークの安全性を確保することが可能となるという利点がある。
【図面の簡単な説明】
【0027】
【図1】本実施の形態による閉域ネットワークの一例として挙げた会議室の簡略化した図である。
【図2】SAの一構成例を示す図である。
【図3】SPDの一構成例を示す図である。
【図4】SAの一構成例を示す図である。
【図5】SAの一構成例を示す図である(更新後)。
【図6】SAの一構成例を示す図である(再更新後)。
【図7A】システムの処理の流れを示すシーケンス図である。
【図7B】図7Aに続く図である。
【符号の説明】
【0028】
1…会議室、3…認証室、5a…第1のドア、5b…第2のドア、7…ルータ、11…赤外線ポート、15…無線LANのアクセスポイント(AP)。
【特許請求の範囲】
【請求項1】
閉域ネットワークが形成されている室内への入場の際に前記閉域ネットワークへの参加認証を行うステップと、
前記室内からの退室の際に前記閉域ネットワークからの離脱処理を行うステップとを有し、
前記離脱処理を行うことを前提条件として前記退室を可能とすることを特徴とする閉域ネットワーク認証方法。
【請求項2】
閉空間内に設置されているアクセスポイントに基づいて形成される閉域ネットワークと、
前記閉空間の出入り口に設けられた認証室であって、前記アクセスポイントとの間で直接通信を行うことによって外部へ出る際に前記閉域ネットワークからの離脱処理の完了を前提として前記閉空間からの離脱が許容されるように構成された認証室と
を有する認証システム。
【請求項3】
閉空間内に設置されているアクセスポイントに基づいて形成される閉域ネットワークと、
前記閉空間の出入り口に設けられた認証室であって、前記アクセスポイントとの間で直接通信を行うことによって前記閉域ネットワークへの参加認証を行うことにより前記認証室から前記閉空間内へのアクセスが可能になるとともに、外部へ出る際に前記閉域ネットワークからの離脱処理の完了を前提として前記閉空間からの離脱が許容されるように構成された認証室と
を有する認証システム。
【請求項4】
閉空間内に設置されているアクセスポイントに基づいて形成される閉域ネットワークと、
前記閉空間の出入り口に設けられた認証室であって、前記アクセスポイントとの間に設けられた直接通信可能な通信ポートと、該通信ポートからの前記閉域ネットワークへの参加認証処理を行うことにより開く前記閉空間側の第1のドアと、外部へ出る際に前記閉域ネットワークからの離脱処理の完了を前提として開く前記外部側の第2のドアと、を有する認証室と
を備えた認証システム。
【請求項5】
前記第1のドア及び前記第2のドアは、それぞれ認証室に入る際には認証とは関係なく開閉することを特徴とする請求項4に記載の認証システム。
【請求項6】
閉域ネットワークが形成されている室内への入退出の認証システムにおいて、
前記室内への入場認証及び前記閉域ネットワークへの参加認証、又は、前記室内からの退室時における退場認証及び前記閉域ネットワークからの離脱のうち少なくともいずれか一方を連動させる連動機構が設けられていることを特徴とする認証システム。
【請求項7】
請求項6に記載の認証システムであって、
前記閉域ネットワークとしてIPv6を用い、
前記連動機構として、前記室内への入場時にリンクローカルアドレス通信のSAを交換する処理を行い、前記室内からの退室時にはリンクローカルアドレス通信のSAを更新する処理を行うことを特徴とする認証システム。
【請求項8】
請求項7に記載の認証システムであって、
前記室内への入場時にマルチキャスト通信のSAも交換する処理を行い、前記室内からの退場時にリンクローカルアドレス通信及びマルチキャスト通信のSAを更新する処理を行うことを特徴とする認証システム。
【請求項9】
請求項8記載の認証システムであって、
前記室内に入場した後にリンクローカルアドレスでIKEを用いて二者間通信用のSAを更新する処理を行うことを特徴とする認証システム。
【請求項10】
請求項9に記載の認証システムであって、
退室時のSAの更新をIKEで行い、SPIを変更せず鍵だけを変更することを特徴とした認証システム。
【請求項11】
請求項10に記載の認証システムであって、
退室時のSA更新後、退室者の退室確認を行い、退室確認後に退室処理を行うことを特徴とする認証システム。
【請求項12】
請求項10に記載の認証システムであって、
退室確認を近隣探索処理に基づいて行うことを特徴とする認証システム。
【請求項13】
請求項6から12までのいずれか1項に記載の認証システムを有する会議室。
【請求項14】
電子鍵に基づいて通信を行うことにより認証を得る認証システムであって、
閉空間内に設置されているアクセスポイントに基づいて形成される閉域ネットワークと、
前記閉空間の出入り口に設けられた認証室と前記アクセスポイントとの間に設けられた直接通信可能な通信ポートと、
前記アクセスポイントと関連付けされ、更新された電子鍵を記憶するルータと
を有していることを特徴とする認証システム。
【請求項1】
閉域ネットワークが形成されている室内への入場の際に前記閉域ネットワークへの参加認証を行うステップと、
前記室内からの退室の際に前記閉域ネットワークからの離脱処理を行うステップとを有し、
前記離脱処理を行うことを前提条件として前記退室を可能とすることを特徴とする閉域ネットワーク認証方法。
【請求項2】
閉空間内に設置されているアクセスポイントに基づいて形成される閉域ネットワークと、
前記閉空間の出入り口に設けられた認証室であって、前記アクセスポイントとの間で直接通信を行うことによって外部へ出る際に前記閉域ネットワークからの離脱処理の完了を前提として前記閉空間からの離脱が許容されるように構成された認証室と
を有する認証システム。
【請求項3】
閉空間内に設置されているアクセスポイントに基づいて形成される閉域ネットワークと、
前記閉空間の出入り口に設けられた認証室であって、前記アクセスポイントとの間で直接通信を行うことによって前記閉域ネットワークへの参加認証を行うことにより前記認証室から前記閉空間内へのアクセスが可能になるとともに、外部へ出る際に前記閉域ネットワークからの離脱処理の完了を前提として前記閉空間からの離脱が許容されるように構成された認証室と
を有する認証システム。
【請求項4】
閉空間内に設置されているアクセスポイントに基づいて形成される閉域ネットワークと、
前記閉空間の出入り口に設けられた認証室であって、前記アクセスポイントとの間に設けられた直接通信可能な通信ポートと、該通信ポートからの前記閉域ネットワークへの参加認証処理を行うことにより開く前記閉空間側の第1のドアと、外部へ出る際に前記閉域ネットワークからの離脱処理の完了を前提として開く前記外部側の第2のドアと、を有する認証室と
を備えた認証システム。
【請求項5】
前記第1のドア及び前記第2のドアは、それぞれ認証室に入る際には認証とは関係なく開閉することを特徴とする請求項4に記載の認証システム。
【請求項6】
閉域ネットワークが形成されている室内への入退出の認証システムにおいて、
前記室内への入場認証及び前記閉域ネットワークへの参加認証、又は、前記室内からの退室時における退場認証及び前記閉域ネットワークからの離脱のうち少なくともいずれか一方を連動させる連動機構が設けられていることを特徴とする認証システム。
【請求項7】
請求項6に記載の認証システムであって、
前記閉域ネットワークとしてIPv6を用い、
前記連動機構として、前記室内への入場時にリンクローカルアドレス通信のSAを交換する処理を行い、前記室内からの退室時にはリンクローカルアドレス通信のSAを更新する処理を行うことを特徴とする認証システム。
【請求項8】
請求項7に記載の認証システムであって、
前記室内への入場時にマルチキャスト通信のSAも交換する処理を行い、前記室内からの退場時にリンクローカルアドレス通信及びマルチキャスト通信のSAを更新する処理を行うことを特徴とする認証システム。
【請求項9】
請求項8記載の認証システムであって、
前記室内に入場した後にリンクローカルアドレスでIKEを用いて二者間通信用のSAを更新する処理を行うことを特徴とする認証システム。
【請求項10】
請求項9に記載の認証システムであって、
退室時のSAの更新をIKEで行い、SPIを変更せず鍵だけを変更することを特徴とした認証システム。
【請求項11】
請求項10に記載の認証システムであって、
退室時のSA更新後、退室者の退室確認を行い、退室確認後に退室処理を行うことを特徴とする認証システム。
【請求項12】
請求項10に記載の認証システムであって、
退室確認を近隣探索処理に基づいて行うことを特徴とする認証システム。
【請求項13】
請求項6から12までのいずれか1項に記載の認証システムを有する会議室。
【請求項14】
電子鍵に基づいて通信を行うことにより認証を得る認証システムであって、
閉空間内に設置されているアクセスポイントに基づいて形成される閉域ネットワークと、
前記閉空間の出入り口に設けられた認証室と前記アクセスポイントとの間に設けられた直接通信可能な通信ポートと、
前記アクセスポイントと関連付けされ、更新された電子鍵を記憶するルータと
を有していることを特徴とする認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7A】
【図7B】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7A】
【図7B】
【公開番号】特開2006−121412(P2006−121412A)
【公開日】平成18年5月11日(2006.5.11)
【国際特許分類】
【出願番号】特願2004−306895(P2004−306895)
【出願日】平成16年10月21日(2004.10.21)
【出願人】(000005049)シャープ株式会社 (33,933)
【Fターム(参考)】
【公開日】平成18年5月11日(2006.5.11)
【国際特許分類】
【出願日】平成16年10月21日(2004.10.21)
【出願人】(000005049)シャープ株式会社 (33,933)
【Fターム(参考)】
[ Back to top ]