通信システム、情報処理装置、通信方法及び認証方法
【課題】無線通信装置のネットワーク接続時の認証を無線パラメータ共有処理の際の認証処理を利用して行うことにより、セキュリティを強化する。
【解決手段】通信システムは、無線通信装置の識別子に基づく第1の認証と、無線通信のための無線パラメータを無線通信装置と基地局とが共有する共有処理の際に無線通信装置を認証する第2の認証とが成功し、かつ、無線通信装置と基地局との無線パラメータの共有処理を成功したことを条件に、基地局を介した所定の有線ネットワークへの接続を許可する。
【解決手段】通信システムは、無線通信装置の識別子に基づく第1の認証と、無線通信のための無線パラメータを無線通信装置と基地局とが共有する共有処理の際に無線通信装置を認証する第2の認証とが成功し、かつ、無線通信装置と基地局との無線パラメータの共有処理を成功したことを条件に、基地局を介した所定の有線ネットワークへの接続を許可する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線パラメータを設定する技術及びユーザ認証を行う技術に関する。
【背景技術】
【0002】
IEEE802.11準拠の無線LANを使用する際に、ネットワーク識別子(ESSID)、周波数チャネル、暗号方式、暗号鍵、認証方式、認証鍵等の無線パラメータ(通信パラメータ)をユーザが設定する必要がある。これらの設定作業は煩雑なため、端末間で自動的に無線パラメータを設定する方法が提案されている。例えば、中継局(アクセスポイント)と端末局(ステーション)間の無線パラメータ設定を簡単な操作でアクセスポイントからステーションに転送する方法等も実際に製品として実現されている。
【0003】
最近では、Wi-Fi Allianceという団体によって、Wi-Fi Protected Setup(WPS)という無線パラメータ自動設定方法の規格策定が完了し、既にいくつかの製品に搭載されている。
【0004】
このWPSでは、無線パラメータ設定処理用の特別なプロトコルとして、Registration(登録)プロトコルを用いてRegistrar(レジストラ)からEnrollee(エンローリー)へ無線パラメータが提供される。尚、レジストラとは、無線パラメータを管理し、エンローリーへ無線パラメータを提供する装置である。また、エンローリーとは、レジストラから提供された無線パラメータを受理する装置である。
【0005】
登録プロトコルにおけるレジストラとエンローリー間の通信は、EAP(Extensible Authentication Protocol)パケットを用いて行われる。EAPパケットとは、レジストラとエンローリー間において、暗号、認証を行うことなく通信できるパケットである。
【0006】
例として、レジストラとして動作するアクセスポイントから、エンローリーとして動作するステーションに対して無線パラメータを提供する場合を説明する。まず、ステーションは、アクセスポイントが形成するネットワークを探索し、当該ネットワークに一時的に参加する。この時点では、アクセスポイントとステーションにおけるESSIDと周波数チャネルは一致しているが、暗号鍵、認証鍵等は一致していないため、暗号、認証を用いた通常のデータ通信を行うことはできない。
【0007】
アクセスポイントとステーションは、登録プロトコルによりEAPパケットを用いたメッセージの送受信を行うことにより、アクセスポイントからステーションに対して無線パラメータの提供を行う。ステーションは、提供された無線パラメータを新たに設定することにより、アクセスポイントとの間で暗号、認証を用いたデータ通信を行うことが可能となる。
【0008】
また、ファーストフード店、駅、空港等の公共性のある場所にアクセスポイントを設置してインターネットへの接続サービスを提供する公衆無線LANが存在する。公衆無線LANでは、利用者が正規のアカウントを持っているか否かを判断するために、ユーザIDやパスワード等の認証情報を用いてユーザの認証(ユーザ認証)を行い、正規のアカウントを持つ利用者だけにインターネットの利用を許可する。しかし、このユーザ認証は公衆無線LANを利用する度に実行する必要があり、ユーザの手間となっていた。そのため、ユーザ認証や公衆無線LANへの無線接続などを自動化する方法が提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2004−80138号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
WPSでは、レジストラとエンローリーにPINコードを設定し、登録プロトコルにおいて互いの機器に設定されたPINコードが同一であると確認した場合に無線パラメータの授受が行われる。そのため、互いに意図しない機器とは無線パラメータの授受を行わない仕組みになっている。
【0011】
一方で、公衆無線LANにWPSをそのまま利用することを考えた場合、一般の利用者がアクセスポイントを操作するわけにはいかないため、レジストラにPINコードを設定することができず、WPSを行うことができなかった。
【0012】
また、アクセスポイントに一般の利用者がPINコードを設定できるようにした場合、正規のアカウントを持たないユーザでも簡単にPINコードを設定し、無線LANパラメータを取得できるためセキュリティ面で問題があった。
【0013】
また、公衆無線LANでは、無線パラメータの設定が完了した後にユーザの認証を専用ソフトか手動で行わなければならず、ユーザに面倒な操作を要求するものであった。
【0014】
本発明は、無線通信装置のネットワーク接続時の認証を無線パラメータ共有処理の際の認証処理を利用して行うことにより、セキュリティを強化することを目的とする。
【課題を解決するための手段】
【0015】
上記の目的を達成するための本発明の一態様による通信システムは以下の構成を有する。すなわち、
無線通信装置の識別子に基づく認証を行う第1の認証手段と、
無線通信のための無線パラメータを前記無線通信装置と基地局とが共有する共有処理の際に前記無線通信装置を認証する第2の認証手段と、
前記第1の認証手段による認証と、前記第2の認証手段による認証とが成功し、かつ、前記無線通信装置と基地局との無線パラメータの共有処理を成功したことを条件に、前記基地局を介した所定の有線ネットワークへの接続を許可する許可手段と、を有する。
【発明の効果】
【0016】
本発明によれば、無線通信装置をネットワークに接続させる際のセキュリティを強化することができる。
【図面の簡単な説明】
【0017】
【図1】第1の実施形態における代表的な通信システムの構成の一例を示す図である。
【図2】第1の実施形態におけるパーソナルコンピュータの構成の一例を示すブロック図である。
【図3】第1の実施形態におけるアクセスポイントの構成の一例を示すブロック図である。
【図4】第1の実施形態におけるアカウント管理サーバの構成の一例を示すブロック図である。
【図5】第1の実施形態における無線通信装置の処理を示すフローチャートである。
【図6】第1の実施形態における無線基地局装置の処理を示すフローチャートである。
【図7】第1の実施形態におけるアカウント管理サーバの処理を示すフローチャートである。
【図8】第1の実施形態におけるユーザ認証シーケンスを示す図である。
【図9】第2の実施形態における無線通信装置の処理を示すフローチャートである。
【図10】第2の実施形態における無線基地局装置の処理を示すフローチャートである。
【図11】第2の実施形態におけるアカウント管理サーバの処理を示すフローチャートである。
【図12】第1の実施形態におけるユーザ認証シーケンスを示す図である。
【発明を実施するための形態】
【0018】
以下、図面を参照しながら発明を実施するための最良の形態について詳細に説明する。
【0019】
[第1の実施形態]
図1は、第1の実施形態における代表的な通信システムの構成の一例を示す図である。パーソナルコンピュータ(PC)101は、IEEE802.11規格シリーズに準拠した無線LANの通信機能とWPS Enrollee機能とを有する。アクセスポイント(AP)102は、無線LANやEthernet(登録商標)の通信機能とWPS Registar機能とを有する。アカウント管理サーバ(SRV)103は、Ethernet(登録商標)の通信機能と公衆無線LANのユーザアカウント(ユーザIDとパスワード等)を管理すると共に、ユーザを認証して通信許可を与える機能とを有する。インターネット104は、世界中のコンピュータと接続可能な通信ネットワークである。
【0020】
AP102、SRV103、インターネット104は、有線LANで接続されており、AP102が構築しているインフラストラクチャモードの無線ネットワークにPC101が接続している。PC101は、無線パラメータ自動設定アプリケーションが起動されると、設定情報通知プロトコルにより、AP102との間で互いに保持するPINコードの一致が確認されたら無線パラメータを取得することができる。つまり、PINコードは、無線パラメータの設定処理に用いられるコード情報、又は無線パラメータの設定処理において無線パラメータを提供してよいか否かの判定に用いられるコード情報ということもできる。
【0021】
ここで、上述の設定情報通知プロトコルとは、登録プロトコルのことであり、各種メッセージの送受信にはEAPパケットが用いられる。従って、ESSIDと周波数チャネルが一致すれば、無線LANの暗号、認証無しで設定情報通知プロトコルによる各種メッセージの送受信を行うことができる。
【0022】
また、設定情報通知プロトコルにより設定される無線パラメータとしては、ESSID、周波数チャネル、暗号方式、暗号鍵、認証方式、認証鍵等がある。また、PINコードとは、Personal Identity Number(個人識別番号)の略で、数値列や文字列等である。
【0023】
また、PC101とSRV103とはAP102を介して通信することが可能であり、PC101はSRV103とユーザの認証(ユーザ認証)を実行し、成功した場合にのみインターネット104に接続できる。そのため、PC101はAP102の無線ネットワークに接続しても、ユーザ認証が成功するまではインターネット104に接続することができない。また、SRV103はユーザ認証を実行するために有効なユーザアカウント(ユーザIDとパスワード等)の一覧を保持している。つまり、後述する公衆無線LANのユーザ識別子(ユーザID)とは、通信ネットワークとしてのインターネットへの接続を許可するか否かを判定するユーザ認証に用いられる識別情報ということもできる。また、後述する公衆無線LANの認証情報(パスワード)とは、通信ネットワークとしてのインターネットへの接続を許可するか否かを判定するユーザ認証に用いられる認証情報ということもできる。
【0024】
次に、図1に示すPC101の構成を、図2を参照して説明する。図2は、第1の実施形態におけるパーソナルコンピュータの構成の一例を示すブロック図である。図2に示す202は無線通信を行う通信部であり、203は通信部の制御を行う通信制御部である。204はタイマ処理及び時刻を管理する計時部である。205は各種インターフェースの制御を行うインターフェース処理部である。206は各種表示を行う表示部である。
【0025】
207は設定情報通知プロトコルによる無線パラメータ設定処理を行う無線パラメータ設定処理部である。208は各種暗号、ハッシュ値などの演算を行う符号演算部である。209は後述する処理で各種判断を行う判断部である。210は無線パラメータ、ユーザアカウント情報等を記憶する記憶部である。ここで、ユーザアカウント情報は機器に予め記憶させておいても良いし、ユーザが入力可能な構成としても良い。211は装置全体の動作を制御する装置制御部である。
【0026】
次に、図1に示すAP102の構成を、図3を参照して説明する。図3は、第1の実施形態におけるアクセスポイントの構成の一例を示すブロック図である。図3に示す302は無線通信及び有線通信を行う通信部であり、303は通信部の制御を行う通信制御部である。304はタイマ処理及び時刻を管理する計時部である。305は各種インターフェースの制御を行うインターフェース処理部である。
【0027】
306は設定情報通知プロトコルによる無線パラメータ設定処理を行う無線パラメータ設定処理部である。307は後述する処理で各種判断を行う判断部である。308は無線パラメータ等を記憶する記憶部である。309は装置全体の動作を制御する装置制御部である。
【0028】
次に、図1に示すSRV103の構成を、図4を参照して説明する。図4は、第1の実施形態におけるアカウント管理サーバの構成の一例を示すブロック図である。図4に示す402は有線通信を行う通信部であり、403は通信部の制御を行う通信制御部である。404はタイマ処理及び時刻を管理する計時部である。405は各種インターフェースの制御を行うインターフェース処理部である。406は各種表示を行う表示部である。
【0029】
407は公衆無線LANのユーザの認証処理を行う認証処理部である。408は各種暗号、ハッシュ値などの演算を行う符号演算部である。409は後述する処理で各種判断を行う判断部である。410は無線パラメータ、ユーザアカウント情報等を記憶する記憶部である。411は装置全体の動作を制御する装置制御部である。
【0030】
ここで、無線通信装置として動作するPC101が設定情報通知プロトコルを実行する際の処理手順を、図5を用いて説明する。
【0031】
図5は、第1の実施形態における無線通信装置の処理を示すフローチャートである。尚、この処理は公衆無線LANの無線基地局装置として動作するAP102が構築する無線ネットワークにPC101が接続した際に開始される。尚、この時点では、PC101とAP102には共通の暗号鍵、認証鍵等が設定されていない。そのため、PC101はAP102の無線ネットワークにおいて特定の信号(報知信号、EAPパケット等)のみでしかAPと通信できない状態であり、暗号、認証を用いた通常のデータ通信を行うことはできない。ここでは、PC101及びAP102間においてEAPパケットを用いて各種メッセージの送受信が行われるものとする。
【0032】
PC101は、公衆無線LANのユーザ識別子(ユーザID)を付加したID通知メッセージをAP102に送信する(F501)。ID通知メッセージを送信後、PC101は、AP102からPINコード生成情報メッセージを受信するか、プロトコル失敗通知を受信するまで待機する(F502、F503)。ここでプロトコル失敗通知を受信すると、PC101はこの処理を終了する。
【0033】
また、PINコード生成情報メッセージを受信すると、PC101はそのメッセージに付加されているランダム値と公衆無線LANの認証情報(パスワード)に基づいてPINコードを生成する(F504)。ここでランダム値とパスワードを用いてPINコードを生成する方法は、RC4やAESといった暗号アルゴリズムを用いる方法或いはMD5やSHA1といったハッシュアルゴリズムを用いる方法など、何れの方法でも良い。
【0034】
PINコードを生成した後、PC101は無線パラメータ自動設定アプリケーションにPINコードを設定する(F505)。そして、設定したPINコードを用いて設定情報通知プロトコルを実行する(F506)。設定情報通知プロトコルでは、エンローリーとレジストラが互いのPINコードが一致するか否かを判定することにより、互いの正当性を認証する。そのため、エンローリーは同一のPINコードを持つレジストラから無線パラメータを取得することができる。次に、設定情報通知プロトコルが終了すると、設定情報通知プロトコルが成功したか否かを判断する(F507)。ここで、設定情報通知プロトコルの成功とは、エンローリーのPINコードと一致するPINコードを保持するレジストラからの無線パラメータをの取得が完了したことを示す。判断した結果、設定情報通知プロトコルが失敗した場合、PC101はこの処理を終了する。また、設定情報通知プロトコルが成功した場合、PC101は取得した無線パラメータを用いて、AP102が構築している無線ネットワークに接続する(F508)。こうすることにより、PC101はAP102と共通の暗号鍵、認証鍵等が設定されているため、暗号、認証を用いた通常のデータ通信を行うことが可能となる。
【0035】
次に、無線基地局装置として動作するAP102が設定情報通知プロトコルを実行する際の処理手順を、図6を用いて説明する。
【0036】
図6は、第1の実施形態における無線基地局装置の処理を示すフローチャートである。尚、この処理はAP102が構築している無線ネットワークに無線パラメータ自動設定の実行を要求するPC101が参加した際に開始される。尚、この時点では、PC101とAP102には共通の暗号鍵、認証鍵等が設定されていない。そのため、PC101はAP102の無線ネットワークにおいて特定の信号(報知信号、EAPパケット等)のみでしかAPと通信できない状態であり、暗号、認証を用いた通常のデータ通信を行うことはできない。ここでは、PC101及びAP102間においてEAPパケットを用いて各種メッセージの送受信が行われるものとする。
【0037】
AP102は、PC101からID通知メッセージを受信するのを待つ(F601)。そして、PC101からID通知メッセージを受信すると、AP102は付加されているユーザIDをID認証要求メッセージに付加してSRV103に送信する(F602)。ID認証要求メッセージを送信すると、AP102はSRV103からPINコード情報メッセージを受信するか、拒否通知メッセージを受信するまで待つ(F603、F604)。その後、拒否通知メッセージを受信すると、AP102はプロトコル失敗通知を無線通信装置に送信し(F609)、この処理を終了する。
【0038】
また、PINコード情報メッセージを受信すると、AP102はそのメッセージに付加されているPINコードを無線パラメータ自動設定アプリケーションに設定する(F605)。そして、PINコード情報メッセージに付加されているランダム値をPINコード生成情報メッセージに付加してPC101に送信する(F606)。次に、PINコード生成情報メッセージを送信すると、AP102は設定したPINコードを用いて設定情報通知プロトコルをPC101との間で実行する(F607)。
【0039】
次に、AP102は設定情報通知プロトコルが成功したか否かを判断する(F608)。ここで、設定情報通知プロトコルの成功とは、レジストラが保持するPINコードとエンローリーが保持するPINコードが一致し、レジストラからエンローリーに対しての無線パラメータの提供が完了した場合を示す。判断した結果、設定情報通知プロトコルが成功した場合、AP102はWPS成功通知をSRV103に送信し(F610)、この処理を終了する。また、設定情報通知プロトコルが失敗した場合、AP102はこの処理を終了する。
【0040】
次に、PC101がインターネット104に接続する際にユーザ認証を行うアカウント管理サーバ(SRV)103の処理手順を、図7を用いて説明する。
【0041】
図7は、第1の実施形態におけるアカウント管理サーバの処理を示すフローチャートである。SRV103は、AP102からID認証要求メッセージを受信するのを待つ(F701)。そして、AP102からID認証要求メッセージを受信すると、SRV103はそのメッセージに付加されているユーザIDが有効なユーザIDであるか否かを確認する(F702)。このユーザIDの有効性の確認方法としては、記憶部410に保存してあるユーザアカウント情報を参照し、受信したユーザIDと同一のユーザIDがあれば、受信したユーザIDは有効とする方法などがある。
【0042】
ここで、受信したユーザIDが無効であった場合、SRV103は拒否通知メッセージをAP102に送信し(F710)、この処理を終了する。また、受信したユーザIDが有効であった場合、SRV103はランダム値を生成する(F703)。そして、SRV103は受信したユーザIDに対応するパスワードと生成したランダム値を用いてPINコードを生成する(F704)。
【0043】
次に、PINコードを生成すると、生成したPINコードとPINコード生成に用いたランダム値をPINコード情報メッセージに付加し、AP102に送信する(F705)。このPINコード情報メッセージを送信すると、SRV103はユーザ認証期間タイマを起動して(F706)、AP102からWPS成功通知を受信するか、ユーザ認証期間タイマがタイムアウトするのを待つ(F707、F708)。
【0044】
ここでユーザ認証期間タイマがタイムアウトした場合、SRV103はこの処理を終了する。また、WPS成功通知を受信した場合、SRV103はF701で受信したユーザIDを送信したPC101にインターネット104への接続を許可する処理を行い(F709)、この処理を終了する。
【0045】
次に、PC101、AP102、SRV103の間で行われるユーザ認証シーケンスを、図8を用いて説明する。
【0046】
図8は、第1の実施形態におけるユーザ認証シーケンスを示す図である。PC101において、ユーザの操作等によって無線パラメータ自動設定アプリケーションが起動されると(F801)、PC101は周辺の無線ネットワークを探索する(F802)。次に、探索された無線ネットワークの中から自動的又は手動で無線ネットワークが選択される。この例では、AP102の無線ネットワークが選択され、PC101はAP102の無線ネットワークに参加する(F803)。しかし、この時点では、PC101とAP102には共通の暗号鍵、認証鍵等が設定されていない。そのため、PC101はAP102の無線ネットワークにおいて特定の信号(報知信号、EAPパケット等)のみでしかAPと通信できない状態であり、暗号、認証を用いた通常のデータ通信を行うことはできない。ここでは、PC101及びAP102間においてEAPパケットを用いて各種メッセージの送受信が行われるものとする。
【0047】
次に、PC101はユーザIDをID通知メッセージに付加してAP102に送信する(F804)。ここで、PC101が複数の公衆無線LANのユーザIDを保持している場合、手動でユーザに選択させることも可能であり、ESSID等のネットワーク情報に基づき自動でユーザIDを選択することも可能である。AP102はID通知メッセージを受信すると、そのメッセージに付加されているユーザIDをID認証要求メッセージに付加してSRV103に送信する(F805)。ここで、ID通知メッセージとID認証要求メッセージを分けて記述しているが、同一のメッセージでもよい。
【0048】
SRV103がID認証要求メッセージを受信すると、受信したユーザIDの有効性を確認する(F806)。受信したユーザIDの有効性を確認すると、SRV103はランダム値を生成する(F807)。SRVはランダム値を生成すると、受信したユーザIDに対応するパスワードと生成したランダム値を用いてPINコードを生成する(F808)。
【0049】
次に、SRV103はPINコードを生成すると、生成したPINコードとランダム値をPINコード情報メッセージに付加してAP102に送信する(F809)。そして、AP102がPINコード情報メッセージを受信すると、無線パラメータ自動設定アプリケーションを起動し、付加されているPINコードを無線パラメータ自動設定アプリケーションに設定する(F810)。AP102はPINコードを設定すると、ランダム値をPINコード生成情報メッセージに付加し、PC101に送信する(F811)。
【0050】
PC101がPINコード生成情報メッセージを受信すると、付加されているランダム値とPC101に記憶しているパスワードを用いてPINコードを生成する(F812)。そして、PINコードを生成すると、PC101は無線パラメータ自動設定アプリケーションに設定する(F813)。PC101はPINコードを設定すると、設定情報通知プロトコルを開始するためにプロトコル開始要求をAP102に送信する(F814)。
【0051】
AP102がPC101からプロトコル開始要求を受信すると、プロトコル開始メッセージをPC101に送信する(F815)。そして、PC101とAP102はWPSの登録プロトコルに従いプロトコルメッセージを交換する(F816)。ここで、PC101に設定されたPINコードとAP102に設定されたPINコードの一致がPC101とAP102の双方で確認された場合のみ、AP102の無線パラメータがPC101に送信されて設定される。
【0052】
次に、AP102は自装置に設定されたPINコードとPC101に設定されたPINコードが一致されたことを確認すると、SRV103にWPS成功通知を送信する(F817)。SRVはWPS成功通知を受信するとPCのインターネットへの接続を許可する処理を行う(F818)。AP102は設定情報通知プロトコルが終了するとプロトコル終了メッセージをPC101に送信する(F819)。
【0053】
PC101がプロトコル終了メッセージを受信すると、一旦、ネットワークを離脱し、AP102から取得した無線パラメータを用いることにより、再びAP102の無線ネットワークに接続する(F820)。ここで、PC101はAP102と共通の暗号鍵、認証鍵等が設定されているため、暗号、認証を用いた通常のデータ通信を行うことが可能である。また、SRV103がPC101のインターネット104への接続を許可し、PC101はAP102を介してインターネット104への接続を行うことが可能である。
【0054】
第1の実施形態によれば、公衆無線LANにおいて無線パラメータ設定方式を実行する無線通信装置と無線基地局装置に安全かつ自動的に同一のPINコードを設定することが可能となる。
【0055】
また、設定されるPINコードはランダム値とパスワードに基づいて生成されるため、毎回異なるPINコードが生成され、安全性が高い。
【0056】
更に、パスワードは無線通信端末とアカウント管理サーバの内部でのみ使用され、無線基地局装置等の外部には出ないため、安全性が高い。
【0057】
また、無線パラメータ設定方式において、PINコードが一致したことをパスワードの一致とみなすことでユーザ認証の代替とし、無線通信装置のインターネットへの接続を許可することができる。
【0058】
従って、ユーザが無線通信装置と公衆無線LANのアクセスポイントにPINコードを設定させる手間を省くことができ、かつ、ユーザ認証を行う手間を省くことができるため、ユーザの操作性が改善される。
【0059】
[第2の実施形態]
次に、図面を参照しながら本発明に係る第2の実施形態を詳細に説明する。
【0060】
尚、第2の実施形態における通信システムの構成、PC、AP、SRVの構成は、図1乃至図4を用いて説明した第1の実施形態と同じであり、説明は省略する。
【0061】
ここで、無線通信装置として動作するPC101が設定情報通知プロトコルを実行する際の処理手順を、図9を用いて説明する。
【0062】
図9は、第2の実施形態における無線通信装置の処理を示すフローチャートである。尚、F901〜F905の処理は、図5に示すF501〜F505の処理と同じであるため、説明は省略する。
【0063】
第1の実施形態と同様に、PC101は、無線パラメータ自動設定アプリケーションにPINコードを設定し(F905)、PIN無効化タイマを起動する(F906)。具体的には、AP102から送られてきたPINコード生成情報メッセージに付加されている時間情報を用いてPIN無効化タイマを起動する。この時間情報は、PINを無効化する時間でも良く、このPIN無効化タイマがタイムアウトすると、無線パラメータ自動設定アプリケーションの処理を中断し、この処理を終了する。
【0064】
尚、これ以降の処理(F907〜F909)は、第1の実施形態のF506〜F508と同じであり、説明は省略する。
【0065】
次に、無線基地局装置として動作するAP102が設定情報通知プロトコルを実行する際の処理手順を、図10を用いて説明する。
【0066】
図10は、第2の実施形態における無線基地局装置の処理を示すフローチャートである。尚、F1001〜F1005の処理は、図6に示すF601〜F605の処理と同じであり、説明は省略する。
【0067】
第1の実施形態と同様に、AP102は、無線パラメータ自動設定アプリケーションにPINコードを設定し(F1005)、PIN無効化タイマを起動する(F1006)。具体的には、SRV103から送られてきたPINコード情報メッセージに付加されている時間情報を用いてPIN無効化タイマを起動する。PIN無効化タイマがタイムアウトすると、無線パラメータ自動設定アプリケーションの処理を強制的に中断し、この処理を終了する。次に、AP102は、受信した時間情報をPINコード生成情報メッセージに付加してPC101に送信する(F1007)。
【0068】
尚、これ以降の処理(F1008〜F1011)は、第1の実施形態のF607〜F610と同じであり、説明は省略する。
【0069】
次に、PC101がインターネット104に接続する際にユーザ認証を行うアカウント管理サーバ(SRV)103の処理手順を、図11を用いて説明する。
【0070】
図11は、第2の実施形態におけるアカウント管理サーバの処理を示すフローチャートである。尚、F1101〜F1102、F1111の処理は、図7に示すF701〜F702、F710の処理と同じであり、説明は省略する。
【0071】
第1の実施形態と同様に、SRV103は受信したユーザIDが有効であった場合、AP102へ送信する時間情報を生成する(F1103)。そして、時間情報を生成すると、SRV103はAP102から受信したユーザIDに対応するパスワードと生成した時間情報を用いてPINコードを生成する(F1104)。PINコードを生成すると、生成した時間情報を用いてPIN無効化タイマを起動する(F1105)。このPIN無効化タイマがタイムアウトすると、認証処理を強制的に中断し、この処理を終了する。
【0072】
次に、SRV103は生成したPINコードとPINコード生成に用いた時間をPINコード情報メッセージに付加し、AP102に送信する(F1106)。
【0073】
尚、これ以降の処理(F1107〜F1110)は、第1の実施形態のF706〜F709)と同じであり、説明は省略する。
【0074】
次に、PC101、AP102、SRV103の間で行われるユーザ認証シーケンスを、図12を用いて説明する。
【0075】
図12は、第1の実施形態におけるユーザ認証シーケンスを示す図である。尚、F1201〜F1206の処理は、図8に示すF801〜F806の処理と同じであり、説明は省略する。
【0076】
第1の実施形態と同様に、SRV103が受信したユーザIDの有効性を確認し、第2の実施形態の特徴である時間情報を生成する(F1207)。この時間情報を生成すると、SRV103は受信したユーザIDに対応するパスワードと生成した時間情報を用いてPINコードを生成する(F1208)。次に、SRV103はPINコードを生成すると、時間情報を用いてPINコード無効化タイマを起動する(F1209)。このPINコード無効化タイマを起動すると、生成したPINコードと時間情報をPINコード情報メッセージに付加してAP102に送信する(F1210)。
【0077】
AP102がPINコード情報メッセージを受信すると、無線パラメータ自動設定アプリケーションを起動し、付加されているPINコードを無線パラメータ自動設定アプリケーションに設定する(F1211)。次に、PINコードを設定すると、付加されている時間情報を用いてPINコード無効化タイマを起動する(F1212)。そして、PINコード無効化タイマを起動すると、時間情報をPINコード生成情報メッセージに付加してPC101に送信する(F1213)。
【0078】
PC101がPINコード生成情報メッセージを受信すると付加されている時間情報とPC101に記憶されているパスワードを用いてPINコードを生成する(F1214)。そして、PINコードを生成すると、無線パラメータ自動設定アプリケーションに設定する(F1215)。次に、PINコードが設定されると、付加されている時間情報を用いてPINコード無効化タイマを起動する(F1216)。そして、PINコード無効化タイマが設定されると、設定情報通知プロトコルを開始するためにプロトコル開始要求をAP102に送信する(F1217)。
【0079】
尚、これ以降のシーケンス(F1217〜F1223)は、第1の実施形態のF814〜F820と同じであり、説明は省略する。
【0080】
第2の実施形態によれば、第1の実施形態での効果に加え、PINコードに有効期間を設けることで、無線通信端末と無線基地局装置とに長い間一つのPINコードが設定され続けることを防ぐことができる。また、各装置で有効期間の終了をほぼ同時にすることができるため、各装置間で有効なPINコード保持の不整合を防ぐことができる。従って、意図しない機器との無線パラメータ自動設定成功の可能性を下げることができる。
【0081】
尚、第1及び第2の実施形態では、IEEE802.11無線LANを例に説明したが、ワイヤレスUSB、Bluetooth(登録商標)、UWB(Ultra Wide Band)等の他の無線通信方式適用しても良い。
【0082】
また、前述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記録媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(CPU若しくはMPU)が記録媒体に格納されたプログラムコードを読出し実行する。これによっても、本発明の目的が達成されることは言うまでもない。
【0083】
この場合、コンピュータ読み取り可能な記録媒体から読出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコードを記憶した記録媒体は本発明を構成することになる。
【0084】
このプログラムコードを供給するための記録媒体として、例えばフレキシブルディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,磁気テープ,不揮発性のメモリカード,ROMなどを用いることができる。
【0085】
また、コンピュータが読出したプログラムコードを実行することにより、前述した実施形態の機能が実現されるだけでなく、次の場合も含まれることは言うまでもない。即ち、プログラムコードの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理により前述した実施形態の機能が実現される場合である。
【0086】
更に、記録媒体から読出されたプログラムコードがコンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書込む。その後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部又は全部を行い、その処理により前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【符号の説明】
【0087】
101 パーソナルコンピュータ(PC)
102 アクセスポイント(AP)
103 アカウント管理サーバ(SRV)
104 インターネット
202 通信部
203 通信制御部
204 計時部
205 インターフェース処理部
206 表示部
207 無線パラメータ設定処理部
208 符号演算部
209 判断部
210 記憶部
211 装置制御部
302 通信部
303 通信制御部
304 計時部
305 インターフェース処理部
306 無線パラメータ設定処理部
307 判断部
308 記憶部
309 装置制御部
402 通信部
403 通信制御部
404 計時部
405 インターフェース処理部
406 表示部
407 無線パラメータ設定処理部
408 符号演算部
409 判断部
410 記憶部
411 装置制御部
【技術分野】
【0001】
本発明は、無線パラメータを設定する技術及びユーザ認証を行う技術に関する。
【背景技術】
【0002】
IEEE802.11準拠の無線LANを使用する際に、ネットワーク識別子(ESSID)、周波数チャネル、暗号方式、暗号鍵、認証方式、認証鍵等の無線パラメータ(通信パラメータ)をユーザが設定する必要がある。これらの設定作業は煩雑なため、端末間で自動的に無線パラメータを設定する方法が提案されている。例えば、中継局(アクセスポイント)と端末局(ステーション)間の無線パラメータ設定を簡単な操作でアクセスポイントからステーションに転送する方法等も実際に製品として実現されている。
【0003】
最近では、Wi-Fi Allianceという団体によって、Wi-Fi Protected Setup(WPS)という無線パラメータ自動設定方法の規格策定が完了し、既にいくつかの製品に搭載されている。
【0004】
このWPSでは、無線パラメータ設定処理用の特別なプロトコルとして、Registration(登録)プロトコルを用いてRegistrar(レジストラ)からEnrollee(エンローリー)へ無線パラメータが提供される。尚、レジストラとは、無線パラメータを管理し、エンローリーへ無線パラメータを提供する装置である。また、エンローリーとは、レジストラから提供された無線パラメータを受理する装置である。
【0005】
登録プロトコルにおけるレジストラとエンローリー間の通信は、EAP(Extensible Authentication Protocol)パケットを用いて行われる。EAPパケットとは、レジストラとエンローリー間において、暗号、認証を行うことなく通信できるパケットである。
【0006】
例として、レジストラとして動作するアクセスポイントから、エンローリーとして動作するステーションに対して無線パラメータを提供する場合を説明する。まず、ステーションは、アクセスポイントが形成するネットワークを探索し、当該ネットワークに一時的に参加する。この時点では、アクセスポイントとステーションにおけるESSIDと周波数チャネルは一致しているが、暗号鍵、認証鍵等は一致していないため、暗号、認証を用いた通常のデータ通信を行うことはできない。
【0007】
アクセスポイントとステーションは、登録プロトコルによりEAPパケットを用いたメッセージの送受信を行うことにより、アクセスポイントからステーションに対して無線パラメータの提供を行う。ステーションは、提供された無線パラメータを新たに設定することにより、アクセスポイントとの間で暗号、認証を用いたデータ通信を行うことが可能となる。
【0008】
また、ファーストフード店、駅、空港等の公共性のある場所にアクセスポイントを設置してインターネットへの接続サービスを提供する公衆無線LANが存在する。公衆無線LANでは、利用者が正規のアカウントを持っているか否かを判断するために、ユーザIDやパスワード等の認証情報を用いてユーザの認証(ユーザ認証)を行い、正規のアカウントを持つ利用者だけにインターネットの利用を許可する。しかし、このユーザ認証は公衆無線LANを利用する度に実行する必要があり、ユーザの手間となっていた。そのため、ユーザ認証や公衆無線LANへの無線接続などを自動化する方法が提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2004−80138号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
WPSでは、レジストラとエンローリーにPINコードを設定し、登録プロトコルにおいて互いの機器に設定されたPINコードが同一であると確認した場合に無線パラメータの授受が行われる。そのため、互いに意図しない機器とは無線パラメータの授受を行わない仕組みになっている。
【0011】
一方で、公衆無線LANにWPSをそのまま利用することを考えた場合、一般の利用者がアクセスポイントを操作するわけにはいかないため、レジストラにPINコードを設定することができず、WPSを行うことができなかった。
【0012】
また、アクセスポイントに一般の利用者がPINコードを設定できるようにした場合、正規のアカウントを持たないユーザでも簡単にPINコードを設定し、無線LANパラメータを取得できるためセキュリティ面で問題があった。
【0013】
また、公衆無線LANでは、無線パラメータの設定が完了した後にユーザの認証を専用ソフトか手動で行わなければならず、ユーザに面倒な操作を要求するものであった。
【0014】
本発明は、無線通信装置のネットワーク接続時の認証を無線パラメータ共有処理の際の認証処理を利用して行うことにより、セキュリティを強化することを目的とする。
【課題を解決するための手段】
【0015】
上記の目的を達成するための本発明の一態様による通信システムは以下の構成を有する。すなわち、
無線通信装置の識別子に基づく認証を行う第1の認証手段と、
無線通信のための無線パラメータを前記無線通信装置と基地局とが共有する共有処理の際に前記無線通信装置を認証する第2の認証手段と、
前記第1の認証手段による認証と、前記第2の認証手段による認証とが成功し、かつ、前記無線通信装置と基地局との無線パラメータの共有処理を成功したことを条件に、前記基地局を介した所定の有線ネットワークへの接続を許可する許可手段と、を有する。
【発明の効果】
【0016】
本発明によれば、無線通信装置をネットワークに接続させる際のセキュリティを強化することができる。
【図面の簡単な説明】
【0017】
【図1】第1の実施形態における代表的な通信システムの構成の一例を示す図である。
【図2】第1の実施形態におけるパーソナルコンピュータの構成の一例を示すブロック図である。
【図3】第1の実施形態におけるアクセスポイントの構成の一例を示すブロック図である。
【図4】第1の実施形態におけるアカウント管理サーバの構成の一例を示すブロック図である。
【図5】第1の実施形態における無線通信装置の処理を示すフローチャートである。
【図6】第1の実施形態における無線基地局装置の処理を示すフローチャートである。
【図7】第1の実施形態におけるアカウント管理サーバの処理を示すフローチャートである。
【図8】第1の実施形態におけるユーザ認証シーケンスを示す図である。
【図9】第2の実施形態における無線通信装置の処理を示すフローチャートである。
【図10】第2の実施形態における無線基地局装置の処理を示すフローチャートである。
【図11】第2の実施形態におけるアカウント管理サーバの処理を示すフローチャートである。
【図12】第1の実施形態におけるユーザ認証シーケンスを示す図である。
【発明を実施するための形態】
【0018】
以下、図面を参照しながら発明を実施するための最良の形態について詳細に説明する。
【0019】
[第1の実施形態]
図1は、第1の実施形態における代表的な通信システムの構成の一例を示す図である。パーソナルコンピュータ(PC)101は、IEEE802.11規格シリーズに準拠した無線LANの通信機能とWPS Enrollee機能とを有する。アクセスポイント(AP)102は、無線LANやEthernet(登録商標)の通信機能とWPS Registar機能とを有する。アカウント管理サーバ(SRV)103は、Ethernet(登録商標)の通信機能と公衆無線LANのユーザアカウント(ユーザIDとパスワード等)を管理すると共に、ユーザを認証して通信許可を与える機能とを有する。インターネット104は、世界中のコンピュータと接続可能な通信ネットワークである。
【0020】
AP102、SRV103、インターネット104は、有線LANで接続されており、AP102が構築しているインフラストラクチャモードの無線ネットワークにPC101が接続している。PC101は、無線パラメータ自動設定アプリケーションが起動されると、設定情報通知プロトコルにより、AP102との間で互いに保持するPINコードの一致が確認されたら無線パラメータを取得することができる。つまり、PINコードは、無線パラメータの設定処理に用いられるコード情報、又は無線パラメータの設定処理において無線パラメータを提供してよいか否かの判定に用いられるコード情報ということもできる。
【0021】
ここで、上述の設定情報通知プロトコルとは、登録プロトコルのことであり、各種メッセージの送受信にはEAPパケットが用いられる。従って、ESSIDと周波数チャネルが一致すれば、無線LANの暗号、認証無しで設定情報通知プロトコルによる各種メッセージの送受信を行うことができる。
【0022】
また、設定情報通知プロトコルにより設定される無線パラメータとしては、ESSID、周波数チャネル、暗号方式、暗号鍵、認証方式、認証鍵等がある。また、PINコードとは、Personal Identity Number(個人識別番号)の略で、数値列や文字列等である。
【0023】
また、PC101とSRV103とはAP102を介して通信することが可能であり、PC101はSRV103とユーザの認証(ユーザ認証)を実行し、成功した場合にのみインターネット104に接続できる。そのため、PC101はAP102の無線ネットワークに接続しても、ユーザ認証が成功するまではインターネット104に接続することができない。また、SRV103はユーザ認証を実行するために有効なユーザアカウント(ユーザIDとパスワード等)の一覧を保持している。つまり、後述する公衆無線LANのユーザ識別子(ユーザID)とは、通信ネットワークとしてのインターネットへの接続を許可するか否かを判定するユーザ認証に用いられる識別情報ということもできる。また、後述する公衆無線LANの認証情報(パスワード)とは、通信ネットワークとしてのインターネットへの接続を許可するか否かを判定するユーザ認証に用いられる認証情報ということもできる。
【0024】
次に、図1に示すPC101の構成を、図2を参照して説明する。図2は、第1の実施形態におけるパーソナルコンピュータの構成の一例を示すブロック図である。図2に示す202は無線通信を行う通信部であり、203は通信部の制御を行う通信制御部である。204はタイマ処理及び時刻を管理する計時部である。205は各種インターフェースの制御を行うインターフェース処理部である。206は各種表示を行う表示部である。
【0025】
207は設定情報通知プロトコルによる無線パラメータ設定処理を行う無線パラメータ設定処理部である。208は各種暗号、ハッシュ値などの演算を行う符号演算部である。209は後述する処理で各種判断を行う判断部である。210は無線パラメータ、ユーザアカウント情報等を記憶する記憶部である。ここで、ユーザアカウント情報は機器に予め記憶させておいても良いし、ユーザが入力可能な構成としても良い。211は装置全体の動作を制御する装置制御部である。
【0026】
次に、図1に示すAP102の構成を、図3を参照して説明する。図3は、第1の実施形態におけるアクセスポイントの構成の一例を示すブロック図である。図3に示す302は無線通信及び有線通信を行う通信部であり、303は通信部の制御を行う通信制御部である。304はタイマ処理及び時刻を管理する計時部である。305は各種インターフェースの制御を行うインターフェース処理部である。
【0027】
306は設定情報通知プロトコルによる無線パラメータ設定処理を行う無線パラメータ設定処理部である。307は後述する処理で各種判断を行う判断部である。308は無線パラメータ等を記憶する記憶部である。309は装置全体の動作を制御する装置制御部である。
【0028】
次に、図1に示すSRV103の構成を、図4を参照して説明する。図4は、第1の実施形態におけるアカウント管理サーバの構成の一例を示すブロック図である。図4に示す402は有線通信を行う通信部であり、403は通信部の制御を行う通信制御部である。404はタイマ処理及び時刻を管理する計時部である。405は各種インターフェースの制御を行うインターフェース処理部である。406は各種表示を行う表示部である。
【0029】
407は公衆無線LANのユーザの認証処理を行う認証処理部である。408は各種暗号、ハッシュ値などの演算を行う符号演算部である。409は後述する処理で各種判断を行う判断部である。410は無線パラメータ、ユーザアカウント情報等を記憶する記憶部である。411は装置全体の動作を制御する装置制御部である。
【0030】
ここで、無線通信装置として動作するPC101が設定情報通知プロトコルを実行する際の処理手順を、図5を用いて説明する。
【0031】
図5は、第1の実施形態における無線通信装置の処理を示すフローチャートである。尚、この処理は公衆無線LANの無線基地局装置として動作するAP102が構築する無線ネットワークにPC101が接続した際に開始される。尚、この時点では、PC101とAP102には共通の暗号鍵、認証鍵等が設定されていない。そのため、PC101はAP102の無線ネットワークにおいて特定の信号(報知信号、EAPパケット等)のみでしかAPと通信できない状態であり、暗号、認証を用いた通常のデータ通信を行うことはできない。ここでは、PC101及びAP102間においてEAPパケットを用いて各種メッセージの送受信が行われるものとする。
【0032】
PC101は、公衆無線LANのユーザ識別子(ユーザID)を付加したID通知メッセージをAP102に送信する(F501)。ID通知メッセージを送信後、PC101は、AP102からPINコード生成情報メッセージを受信するか、プロトコル失敗通知を受信するまで待機する(F502、F503)。ここでプロトコル失敗通知を受信すると、PC101はこの処理を終了する。
【0033】
また、PINコード生成情報メッセージを受信すると、PC101はそのメッセージに付加されているランダム値と公衆無線LANの認証情報(パスワード)に基づいてPINコードを生成する(F504)。ここでランダム値とパスワードを用いてPINコードを生成する方法は、RC4やAESといった暗号アルゴリズムを用いる方法或いはMD5やSHA1といったハッシュアルゴリズムを用いる方法など、何れの方法でも良い。
【0034】
PINコードを生成した後、PC101は無線パラメータ自動設定アプリケーションにPINコードを設定する(F505)。そして、設定したPINコードを用いて設定情報通知プロトコルを実行する(F506)。設定情報通知プロトコルでは、エンローリーとレジストラが互いのPINコードが一致するか否かを判定することにより、互いの正当性を認証する。そのため、エンローリーは同一のPINコードを持つレジストラから無線パラメータを取得することができる。次に、設定情報通知プロトコルが終了すると、設定情報通知プロトコルが成功したか否かを判断する(F507)。ここで、設定情報通知プロトコルの成功とは、エンローリーのPINコードと一致するPINコードを保持するレジストラからの無線パラメータをの取得が完了したことを示す。判断した結果、設定情報通知プロトコルが失敗した場合、PC101はこの処理を終了する。また、設定情報通知プロトコルが成功した場合、PC101は取得した無線パラメータを用いて、AP102が構築している無線ネットワークに接続する(F508)。こうすることにより、PC101はAP102と共通の暗号鍵、認証鍵等が設定されているため、暗号、認証を用いた通常のデータ通信を行うことが可能となる。
【0035】
次に、無線基地局装置として動作するAP102が設定情報通知プロトコルを実行する際の処理手順を、図6を用いて説明する。
【0036】
図6は、第1の実施形態における無線基地局装置の処理を示すフローチャートである。尚、この処理はAP102が構築している無線ネットワークに無線パラメータ自動設定の実行を要求するPC101が参加した際に開始される。尚、この時点では、PC101とAP102には共通の暗号鍵、認証鍵等が設定されていない。そのため、PC101はAP102の無線ネットワークにおいて特定の信号(報知信号、EAPパケット等)のみでしかAPと通信できない状態であり、暗号、認証を用いた通常のデータ通信を行うことはできない。ここでは、PC101及びAP102間においてEAPパケットを用いて各種メッセージの送受信が行われるものとする。
【0037】
AP102は、PC101からID通知メッセージを受信するのを待つ(F601)。そして、PC101からID通知メッセージを受信すると、AP102は付加されているユーザIDをID認証要求メッセージに付加してSRV103に送信する(F602)。ID認証要求メッセージを送信すると、AP102はSRV103からPINコード情報メッセージを受信するか、拒否通知メッセージを受信するまで待つ(F603、F604)。その後、拒否通知メッセージを受信すると、AP102はプロトコル失敗通知を無線通信装置に送信し(F609)、この処理を終了する。
【0038】
また、PINコード情報メッセージを受信すると、AP102はそのメッセージに付加されているPINコードを無線パラメータ自動設定アプリケーションに設定する(F605)。そして、PINコード情報メッセージに付加されているランダム値をPINコード生成情報メッセージに付加してPC101に送信する(F606)。次に、PINコード生成情報メッセージを送信すると、AP102は設定したPINコードを用いて設定情報通知プロトコルをPC101との間で実行する(F607)。
【0039】
次に、AP102は設定情報通知プロトコルが成功したか否かを判断する(F608)。ここで、設定情報通知プロトコルの成功とは、レジストラが保持するPINコードとエンローリーが保持するPINコードが一致し、レジストラからエンローリーに対しての無線パラメータの提供が完了した場合を示す。判断した結果、設定情報通知プロトコルが成功した場合、AP102はWPS成功通知をSRV103に送信し(F610)、この処理を終了する。また、設定情報通知プロトコルが失敗した場合、AP102はこの処理を終了する。
【0040】
次に、PC101がインターネット104に接続する際にユーザ認証を行うアカウント管理サーバ(SRV)103の処理手順を、図7を用いて説明する。
【0041】
図7は、第1の実施形態におけるアカウント管理サーバの処理を示すフローチャートである。SRV103は、AP102からID認証要求メッセージを受信するのを待つ(F701)。そして、AP102からID認証要求メッセージを受信すると、SRV103はそのメッセージに付加されているユーザIDが有効なユーザIDであるか否かを確認する(F702)。このユーザIDの有効性の確認方法としては、記憶部410に保存してあるユーザアカウント情報を参照し、受信したユーザIDと同一のユーザIDがあれば、受信したユーザIDは有効とする方法などがある。
【0042】
ここで、受信したユーザIDが無効であった場合、SRV103は拒否通知メッセージをAP102に送信し(F710)、この処理を終了する。また、受信したユーザIDが有効であった場合、SRV103はランダム値を生成する(F703)。そして、SRV103は受信したユーザIDに対応するパスワードと生成したランダム値を用いてPINコードを生成する(F704)。
【0043】
次に、PINコードを生成すると、生成したPINコードとPINコード生成に用いたランダム値をPINコード情報メッセージに付加し、AP102に送信する(F705)。このPINコード情報メッセージを送信すると、SRV103はユーザ認証期間タイマを起動して(F706)、AP102からWPS成功通知を受信するか、ユーザ認証期間タイマがタイムアウトするのを待つ(F707、F708)。
【0044】
ここでユーザ認証期間タイマがタイムアウトした場合、SRV103はこの処理を終了する。また、WPS成功通知を受信した場合、SRV103はF701で受信したユーザIDを送信したPC101にインターネット104への接続を許可する処理を行い(F709)、この処理を終了する。
【0045】
次に、PC101、AP102、SRV103の間で行われるユーザ認証シーケンスを、図8を用いて説明する。
【0046】
図8は、第1の実施形態におけるユーザ認証シーケンスを示す図である。PC101において、ユーザの操作等によって無線パラメータ自動設定アプリケーションが起動されると(F801)、PC101は周辺の無線ネットワークを探索する(F802)。次に、探索された無線ネットワークの中から自動的又は手動で無線ネットワークが選択される。この例では、AP102の無線ネットワークが選択され、PC101はAP102の無線ネットワークに参加する(F803)。しかし、この時点では、PC101とAP102には共通の暗号鍵、認証鍵等が設定されていない。そのため、PC101はAP102の無線ネットワークにおいて特定の信号(報知信号、EAPパケット等)のみでしかAPと通信できない状態であり、暗号、認証を用いた通常のデータ通信を行うことはできない。ここでは、PC101及びAP102間においてEAPパケットを用いて各種メッセージの送受信が行われるものとする。
【0047】
次に、PC101はユーザIDをID通知メッセージに付加してAP102に送信する(F804)。ここで、PC101が複数の公衆無線LANのユーザIDを保持している場合、手動でユーザに選択させることも可能であり、ESSID等のネットワーク情報に基づき自動でユーザIDを選択することも可能である。AP102はID通知メッセージを受信すると、そのメッセージに付加されているユーザIDをID認証要求メッセージに付加してSRV103に送信する(F805)。ここで、ID通知メッセージとID認証要求メッセージを分けて記述しているが、同一のメッセージでもよい。
【0048】
SRV103がID認証要求メッセージを受信すると、受信したユーザIDの有効性を確認する(F806)。受信したユーザIDの有効性を確認すると、SRV103はランダム値を生成する(F807)。SRVはランダム値を生成すると、受信したユーザIDに対応するパスワードと生成したランダム値を用いてPINコードを生成する(F808)。
【0049】
次に、SRV103はPINコードを生成すると、生成したPINコードとランダム値をPINコード情報メッセージに付加してAP102に送信する(F809)。そして、AP102がPINコード情報メッセージを受信すると、無線パラメータ自動設定アプリケーションを起動し、付加されているPINコードを無線パラメータ自動設定アプリケーションに設定する(F810)。AP102はPINコードを設定すると、ランダム値をPINコード生成情報メッセージに付加し、PC101に送信する(F811)。
【0050】
PC101がPINコード生成情報メッセージを受信すると、付加されているランダム値とPC101に記憶しているパスワードを用いてPINコードを生成する(F812)。そして、PINコードを生成すると、PC101は無線パラメータ自動設定アプリケーションに設定する(F813)。PC101はPINコードを設定すると、設定情報通知プロトコルを開始するためにプロトコル開始要求をAP102に送信する(F814)。
【0051】
AP102がPC101からプロトコル開始要求を受信すると、プロトコル開始メッセージをPC101に送信する(F815)。そして、PC101とAP102はWPSの登録プロトコルに従いプロトコルメッセージを交換する(F816)。ここで、PC101に設定されたPINコードとAP102に設定されたPINコードの一致がPC101とAP102の双方で確認された場合のみ、AP102の無線パラメータがPC101に送信されて設定される。
【0052】
次に、AP102は自装置に設定されたPINコードとPC101に設定されたPINコードが一致されたことを確認すると、SRV103にWPS成功通知を送信する(F817)。SRVはWPS成功通知を受信するとPCのインターネットへの接続を許可する処理を行う(F818)。AP102は設定情報通知プロトコルが終了するとプロトコル終了メッセージをPC101に送信する(F819)。
【0053】
PC101がプロトコル終了メッセージを受信すると、一旦、ネットワークを離脱し、AP102から取得した無線パラメータを用いることにより、再びAP102の無線ネットワークに接続する(F820)。ここで、PC101はAP102と共通の暗号鍵、認証鍵等が設定されているため、暗号、認証を用いた通常のデータ通信を行うことが可能である。また、SRV103がPC101のインターネット104への接続を許可し、PC101はAP102を介してインターネット104への接続を行うことが可能である。
【0054】
第1の実施形態によれば、公衆無線LANにおいて無線パラメータ設定方式を実行する無線通信装置と無線基地局装置に安全かつ自動的に同一のPINコードを設定することが可能となる。
【0055】
また、設定されるPINコードはランダム値とパスワードに基づいて生成されるため、毎回異なるPINコードが生成され、安全性が高い。
【0056】
更に、パスワードは無線通信端末とアカウント管理サーバの内部でのみ使用され、無線基地局装置等の外部には出ないため、安全性が高い。
【0057】
また、無線パラメータ設定方式において、PINコードが一致したことをパスワードの一致とみなすことでユーザ認証の代替とし、無線通信装置のインターネットへの接続を許可することができる。
【0058】
従って、ユーザが無線通信装置と公衆無線LANのアクセスポイントにPINコードを設定させる手間を省くことができ、かつ、ユーザ認証を行う手間を省くことができるため、ユーザの操作性が改善される。
【0059】
[第2の実施形態]
次に、図面を参照しながら本発明に係る第2の実施形態を詳細に説明する。
【0060】
尚、第2の実施形態における通信システムの構成、PC、AP、SRVの構成は、図1乃至図4を用いて説明した第1の実施形態と同じであり、説明は省略する。
【0061】
ここで、無線通信装置として動作するPC101が設定情報通知プロトコルを実行する際の処理手順を、図9を用いて説明する。
【0062】
図9は、第2の実施形態における無線通信装置の処理を示すフローチャートである。尚、F901〜F905の処理は、図5に示すF501〜F505の処理と同じであるため、説明は省略する。
【0063】
第1の実施形態と同様に、PC101は、無線パラメータ自動設定アプリケーションにPINコードを設定し(F905)、PIN無効化タイマを起動する(F906)。具体的には、AP102から送られてきたPINコード生成情報メッセージに付加されている時間情報を用いてPIN無効化タイマを起動する。この時間情報は、PINを無効化する時間でも良く、このPIN無効化タイマがタイムアウトすると、無線パラメータ自動設定アプリケーションの処理を中断し、この処理を終了する。
【0064】
尚、これ以降の処理(F907〜F909)は、第1の実施形態のF506〜F508と同じであり、説明は省略する。
【0065】
次に、無線基地局装置として動作するAP102が設定情報通知プロトコルを実行する際の処理手順を、図10を用いて説明する。
【0066】
図10は、第2の実施形態における無線基地局装置の処理を示すフローチャートである。尚、F1001〜F1005の処理は、図6に示すF601〜F605の処理と同じであり、説明は省略する。
【0067】
第1の実施形態と同様に、AP102は、無線パラメータ自動設定アプリケーションにPINコードを設定し(F1005)、PIN無効化タイマを起動する(F1006)。具体的には、SRV103から送られてきたPINコード情報メッセージに付加されている時間情報を用いてPIN無効化タイマを起動する。PIN無効化タイマがタイムアウトすると、無線パラメータ自動設定アプリケーションの処理を強制的に中断し、この処理を終了する。次に、AP102は、受信した時間情報をPINコード生成情報メッセージに付加してPC101に送信する(F1007)。
【0068】
尚、これ以降の処理(F1008〜F1011)は、第1の実施形態のF607〜F610と同じであり、説明は省略する。
【0069】
次に、PC101がインターネット104に接続する際にユーザ認証を行うアカウント管理サーバ(SRV)103の処理手順を、図11を用いて説明する。
【0070】
図11は、第2の実施形態におけるアカウント管理サーバの処理を示すフローチャートである。尚、F1101〜F1102、F1111の処理は、図7に示すF701〜F702、F710の処理と同じであり、説明は省略する。
【0071】
第1の実施形態と同様に、SRV103は受信したユーザIDが有効であった場合、AP102へ送信する時間情報を生成する(F1103)。そして、時間情報を生成すると、SRV103はAP102から受信したユーザIDに対応するパスワードと生成した時間情報を用いてPINコードを生成する(F1104)。PINコードを生成すると、生成した時間情報を用いてPIN無効化タイマを起動する(F1105)。このPIN無効化タイマがタイムアウトすると、認証処理を強制的に中断し、この処理を終了する。
【0072】
次に、SRV103は生成したPINコードとPINコード生成に用いた時間をPINコード情報メッセージに付加し、AP102に送信する(F1106)。
【0073】
尚、これ以降の処理(F1107〜F1110)は、第1の実施形態のF706〜F709)と同じであり、説明は省略する。
【0074】
次に、PC101、AP102、SRV103の間で行われるユーザ認証シーケンスを、図12を用いて説明する。
【0075】
図12は、第1の実施形態におけるユーザ認証シーケンスを示す図である。尚、F1201〜F1206の処理は、図8に示すF801〜F806の処理と同じであり、説明は省略する。
【0076】
第1の実施形態と同様に、SRV103が受信したユーザIDの有効性を確認し、第2の実施形態の特徴である時間情報を生成する(F1207)。この時間情報を生成すると、SRV103は受信したユーザIDに対応するパスワードと生成した時間情報を用いてPINコードを生成する(F1208)。次に、SRV103はPINコードを生成すると、時間情報を用いてPINコード無効化タイマを起動する(F1209)。このPINコード無効化タイマを起動すると、生成したPINコードと時間情報をPINコード情報メッセージに付加してAP102に送信する(F1210)。
【0077】
AP102がPINコード情報メッセージを受信すると、無線パラメータ自動設定アプリケーションを起動し、付加されているPINコードを無線パラメータ自動設定アプリケーションに設定する(F1211)。次に、PINコードを設定すると、付加されている時間情報を用いてPINコード無効化タイマを起動する(F1212)。そして、PINコード無効化タイマを起動すると、時間情報をPINコード生成情報メッセージに付加してPC101に送信する(F1213)。
【0078】
PC101がPINコード生成情報メッセージを受信すると付加されている時間情報とPC101に記憶されているパスワードを用いてPINコードを生成する(F1214)。そして、PINコードを生成すると、無線パラメータ自動設定アプリケーションに設定する(F1215)。次に、PINコードが設定されると、付加されている時間情報を用いてPINコード無効化タイマを起動する(F1216)。そして、PINコード無効化タイマが設定されると、設定情報通知プロトコルを開始するためにプロトコル開始要求をAP102に送信する(F1217)。
【0079】
尚、これ以降のシーケンス(F1217〜F1223)は、第1の実施形態のF814〜F820と同じであり、説明は省略する。
【0080】
第2の実施形態によれば、第1の実施形態での効果に加え、PINコードに有効期間を設けることで、無線通信端末と無線基地局装置とに長い間一つのPINコードが設定され続けることを防ぐことができる。また、各装置で有効期間の終了をほぼ同時にすることができるため、各装置間で有効なPINコード保持の不整合を防ぐことができる。従って、意図しない機器との無線パラメータ自動設定成功の可能性を下げることができる。
【0081】
尚、第1及び第2の実施形態では、IEEE802.11無線LANを例に説明したが、ワイヤレスUSB、Bluetooth(登録商標)、UWB(Ultra Wide Band)等の他の無線通信方式適用しても良い。
【0082】
また、前述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記録媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(CPU若しくはMPU)が記録媒体に格納されたプログラムコードを読出し実行する。これによっても、本発明の目的が達成されることは言うまでもない。
【0083】
この場合、コンピュータ読み取り可能な記録媒体から読出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコードを記憶した記録媒体は本発明を構成することになる。
【0084】
このプログラムコードを供給するための記録媒体として、例えばフレキシブルディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,磁気テープ,不揮発性のメモリカード,ROMなどを用いることができる。
【0085】
また、コンピュータが読出したプログラムコードを実行することにより、前述した実施形態の機能が実現されるだけでなく、次の場合も含まれることは言うまでもない。即ち、プログラムコードの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理により前述した実施形態の機能が実現される場合である。
【0086】
更に、記録媒体から読出されたプログラムコードがコンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書込む。その後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部又は全部を行い、その処理により前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【符号の説明】
【0087】
101 パーソナルコンピュータ(PC)
102 アクセスポイント(AP)
103 アカウント管理サーバ(SRV)
104 インターネット
202 通信部
203 通信制御部
204 計時部
205 インターフェース処理部
206 表示部
207 無線パラメータ設定処理部
208 符号演算部
209 判断部
210 記憶部
211 装置制御部
302 通信部
303 通信制御部
304 計時部
305 インターフェース処理部
306 無線パラメータ設定処理部
307 判断部
308 記憶部
309 装置制御部
402 通信部
403 通信制御部
404 計時部
405 インターフェース処理部
406 表示部
407 無線パラメータ設定処理部
408 符号演算部
409 判断部
410 記憶部
411 装置制御部
【特許請求の範囲】
【請求項1】
通信システムであって、
無線通信装置の識別子に基づく認証を行う第1の認証手段と、
無線通信のための無線パラメータを前記無線通信装置と基地局とが共有する共有処理の際に前記無線通信装置を認証する第2の認証手段と、
前記第1の認証手段による認証と、前記第2の認証手段による認証とが成功し、かつ、前記無線通信装置と基地局との無線パラメータの共有処理を成功したことを条件に、前記基地局を介した所定の有線ネットワークへの接続を許可する許可手段と、を有することを特徴とする通信システム。
【請求項2】
情報処理装置であって、
無線通信装置の識別子に基づく認証結果を判定する第1の判定手段と、
無線通信のための無線パラメータを前記無線通信装置と基地局とが共有する共有処理の際に行われる前記無線通信装置の認証結果を判定する第2の判定手段と、
前記識別子に基づく認証と前記共有処理の際に行われる認証とが成功し、かつ、前記無線通信装置と基地局との無線パラメータの共有処理を成功したことを条件に、前記基地局を介した所定の有線ネットワークへの接続を許可する許可手段と、を有することを特徴とする情報処理装置。
【請求項3】
前記共有処理の際に行われる認証は、前記情報処理装置と前記無線通信装置が記憶している情報と、前記情報処理装置が生成した乱数とに基づいて行われることを特徴する請求項2に記載の情報処理装置。
【請求項4】
前記乱数を前記無線通信装置に送信する送信手段を有し、
前記情報処理装置が記憶している情報と前記乱数から生成された認証情報と、前記無線通信装置が記憶している情報と前記乱数から生成された認証情報とに基づいて、前記共有処理の際に行われる認証が行われることを特徴とする請求項3に記載の情報処理装置。
【請求項5】
前記共有処理の際に行われる認証は、前記情報処理装置と前記無線通信装置が記憶している情報と、時間情報とに基づいて行われることを特徴する請求項2に記載の情報処理装置。
【請求項6】
前記情報処理装置が記憶している情報と時間情報から生成された認証情報と、前記無線通信装置が記憶している情報と時間情報から生成された認証情報とに基づいて、前記共有処理の際に行われる認証が行われることを特徴とする請求項5に記載の情報処理装置。
【請求項7】
前記第2の判定手段は、前記基地局からの通知に基づいて前記共有処理の際に行われる認証の結果を判定することを特徴とする請求項2乃至請求項6の何れか1項に記載の情報処理装置。
【請求項8】
無線通信装置の識別子に基づく認証を行う第1の認証工程と、
無線通信のための無線パラメータを前記無線通信装置と基地局とが共有する共有処理の際に前記無線通信装置を認証する第2の認証工程と、
前記第1の認証工程における認証と、前記第2の認証工程における認証とが成功し、かつ、前記無線通信装置と基地局との無線パラメータの共有処理を成功したことを条件に、前記基地局を介した所定の有線ネットワークへの接続を許可することを特徴とする通信方法。
【請求項9】
無線通信装置の識別子に基づく認証と、無線通信のための無線パラメータを前記無線通信装置と基地局とが共有する共有処理の際に行われる認証と、が成功し、かつ、前記無線通信装置と基地局との無線パラメータの共有処理を成功したことを条件に、前記基地局を介した所定の有線ネットワークへの接続を許可することを特徴とする認証方法。
【請求項1】
通信システムであって、
無線通信装置の識別子に基づく認証を行う第1の認証手段と、
無線通信のための無線パラメータを前記無線通信装置と基地局とが共有する共有処理の際に前記無線通信装置を認証する第2の認証手段と、
前記第1の認証手段による認証と、前記第2の認証手段による認証とが成功し、かつ、前記無線通信装置と基地局との無線パラメータの共有処理を成功したことを条件に、前記基地局を介した所定の有線ネットワークへの接続を許可する許可手段と、を有することを特徴とする通信システム。
【請求項2】
情報処理装置であって、
無線通信装置の識別子に基づく認証結果を判定する第1の判定手段と、
無線通信のための無線パラメータを前記無線通信装置と基地局とが共有する共有処理の際に行われる前記無線通信装置の認証結果を判定する第2の判定手段と、
前記識別子に基づく認証と前記共有処理の際に行われる認証とが成功し、かつ、前記無線通信装置と基地局との無線パラメータの共有処理を成功したことを条件に、前記基地局を介した所定の有線ネットワークへの接続を許可する許可手段と、を有することを特徴とする情報処理装置。
【請求項3】
前記共有処理の際に行われる認証は、前記情報処理装置と前記無線通信装置が記憶している情報と、前記情報処理装置が生成した乱数とに基づいて行われることを特徴する請求項2に記載の情報処理装置。
【請求項4】
前記乱数を前記無線通信装置に送信する送信手段を有し、
前記情報処理装置が記憶している情報と前記乱数から生成された認証情報と、前記無線通信装置が記憶している情報と前記乱数から生成された認証情報とに基づいて、前記共有処理の際に行われる認証が行われることを特徴とする請求項3に記載の情報処理装置。
【請求項5】
前記共有処理の際に行われる認証は、前記情報処理装置と前記無線通信装置が記憶している情報と、時間情報とに基づいて行われることを特徴する請求項2に記載の情報処理装置。
【請求項6】
前記情報処理装置が記憶している情報と時間情報から生成された認証情報と、前記無線通信装置が記憶している情報と時間情報から生成された認証情報とに基づいて、前記共有処理の際に行われる認証が行われることを特徴とする請求項5に記載の情報処理装置。
【請求項7】
前記第2の判定手段は、前記基地局からの通知に基づいて前記共有処理の際に行われる認証の結果を判定することを特徴とする請求項2乃至請求項6の何れか1項に記載の情報処理装置。
【請求項8】
無線通信装置の識別子に基づく認証を行う第1の認証工程と、
無線通信のための無線パラメータを前記無線通信装置と基地局とが共有する共有処理の際に前記無線通信装置を認証する第2の認証工程と、
前記第1の認証工程における認証と、前記第2の認証工程における認証とが成功し、かつ、前記無線通信装置と基地局との無線パラメータの共有処理を成功したことを条件に、前記基地局を介した所定の有線ネットワークへの接続を許可することを特徴とする通信方法。
【請求項9】
無線通信装置の識別子に基づく認証と、無線通信のための無線パラメータを前記無線通信装置と基地局とが共有する共有処理の際に行われる認証と、が成功し、かつ、前記無線通信装置と基地局との無線パラメータの共有処理を成功したことを条件に、前記基地局を介した所定の有線ネットワークへの接続を許可することを特徴とする認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2013−93913(P2013−93913A)
【公開日】平成25年5月16日(2013.5.16)
【国際特許分類】
【出願番号】特願2013−30397(P2013−30397)
【出願日】平成25年2月19日(2013.2.19)
【分割の表示】特願2008−95432(P2008−95432)の分割
【原出願日】平成20年4月1日(2008.4.1)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成25年5月16日(2013.5.16)
【国際特許分類】
【出願日】平成25年2月19日(2013.2.19)
【分割の表示】特願2008−95432(P2008−95432)の分割
【原出願日】平成20年4月1日(2008.4.1)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]