説明

WLANセキュリティを向上させる方法

無線端末によって実行されるWLANセキュリティを向上する方法が提供される。この方法は、IDカードの中に記憶された鍵を読み出し、読み出された鍵および対応する暗号化アルゴリズムに従って識別の認証を無線アクセスポイントに要求し、もし認証が成功すれば、WLANにアクセスすることを含む。上記暗号化アルゴリズムは、ネットワーク・プロトコル内のアルゴリズム、およびカスタマイズされた暗号化/復号アルゴリズムを採用することができる。この方法によって、WLANにアクセスする無線端末に強制的認証を実行することができ、無許可の無線端末がネットワークへ侵入することによって生じるネットワークの非安全性を避けることができる。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般的にはWLANセキュリティを向上させる方法に関し、更に具体的には、ID(識別)カードを使用してWLANセキュリティを向上させる方法に関する。
【背景技術】
【0002】
WLANは、電波を使用してデータを送信および受信する融通性のあるデータ通信システムである。したがって、それは有線接続要件を最小にし、データの接続性とユーザの移動性とを結合する。更に、WLANは展開するのに容易であり、したがって有線LANの拡張または代替として、ビルおよび大学構内で広く使用される。
【0003】
有線メディアを使用して1つのポイントから他のポイントへ信号を転送する有線LANとは異なり、WLANは無線メディア(たとえば、電波、赤外線など)を使用して、ブロードキャスト形式で信号を送信する。こうして、WLAN内の無線端末は、同じ無線AP(アクセスポイント)のカバレージ範囲内の他の無線端末から全ての信号を受信することができるが、これらの信号は、その受信する無線端末を標的とするものではない。したがって、WLANで転送された情報は、もしWLANを保護するセキュリティ手段が取られなければ、そのWLANに属しない他の無線端末によって容易に傍受されるかも知れない。
【0004】
WLANの上記のセキュリティ問題を解決するため、製造業者は、無線ネットワークのために、無線メディアを介して情報を安全に転送できることを保証する幾つかのセキュリティ方法を提案した。802.11規格に基づきWLANによって利用されるWEP(wireless equivalent privacy)方法を例に取って、無線ネットワーク・セキュリティ方法が、どのようにしてWLAN内で無線メディアを介する情報の安全な送信を確保できるかについて以下に簡単に紹介する。
【0005】
WEP方法は、同じ暗号化/復号アルゴリズムおよび同じ暗号化および復号鍵を使用して、2つのセキュリティ手段を取ること、即ち、ネットワークにアクセスする無線端末上でID認証を実行すること、および無線メディアで送信される情報を暗号化することで、ネットワーク情報を保護する。
【0006】
802.11規格をベースとするWLANにおいて、ユーザが無線端末を介してネットワークにアクセスしたいとき、最初にID認証が無線端末のために必要である。具体的には、次のとおりである。
(a)ネットワークにアクセスする無線端末は、ID認証を無線APに要求する。
(b)無線APは、ID認証の要求を受信した後、ID認証用の平文メッセージを無線端末へ返却する。
(c)ID認証用の平文メッセージを受信した後、無線端末は、WEP方法によって提供された暗号化アルゴリズムおよび暗号化鍵で平文メッセージを暗号化し、ID認証用の暗号文メッセージを取得し、それを無線APへ送信する。
(d)無線端末からID認証用の暗号文メッセージを受信した後、無線APは、WEP方法によって提供された復号アルゴリズムおよび復号鍵を使用して暗号文メッセージを復号し、ID認証用平文メッセージを取得し、復号された平文メッセージと無線端末へ送信された元のID認証用平文メッセージとを比較する。もし2つのメッセージがマッチすれば、無線端末はネットワークへのアクセスを許され、そうでなければ、無線端末はネットワークへのアクセスを許されず、その無線端末を無許可の無線端末と呼ぶことができる。
【0007】
無線がネットワークへアクセスした後、ユーザは、無線端末および無線APを介してWLANとデータを交換することができる。データ交換プロセスの間、無線端末は、WEP方法によって提供された暗号化アルゴリズムおよび暗号化鍵を使用して、無線APへ送信されるデータを暗号化し、復号アルゴリズムおよび復号鍵を使用して、無線APからの暗号化データを復号する。無線APは、無線端末からのデータおよび無線端末へ送信されるデータに同じ操作を実行する。
【0008】
ネットワークへのアクセスを試みている無線端末上でID認証を実行し、無線メディア上を送信されるデータを暗号化することによって、無許可の無線端末はネットワークへの侵入を防止されるか、送信されるデータの傍受を防止される。したがって、ネットワークのセキュリティは向上する。もちろん、暗号化/復号アルゴリズムまたは鍵を解読することによって、無線端末がネットワークへ侵入するか、送信されたデータを傍受できる場合が存在する。しかし、無線ネットワーク・セキュリティの研究を更に集中的に行うことによって、セキュリティ方法は、ますますロバストな暗号化/復号アルゴリズムおよび暗号化/復号鍵を採用する。このことは、暗号化/復号アルゴリズムおよび鍵の解読をますます困難にする。
【0009】
しかし、物事がそのように進んでいても、セキュリティの脆弱性は、ユーザの理由によって、WLANで頻繁に出現する。具体的には、次のとおりである。
【0010】
第1に、無線ネットワーク・セキュリティ方法はID認証メカニズムを提供するが、WLANの或るユーザは、ネットワークへのアクセスを試みている無線端末のID認証メカニズムを使用しないかも知れない。したがって、無許可の端末がネットワークへ容易にアクセスするかも知れない。
【0011】
第2に、暗号化/復号アルゴリズムによって使用される鍵は、通常、平文形式で無線端末の中に保存され、したがってユーザは、或る場合には非常に容易に、鍵を不注意に漏洩するかも知れない。
【0012】
前述したように、無許可の無線端末がネットワークへの侵入を禁止され、鍵が容易に漏えいされないように、WLANセキュリティを向上する方法を提供することが必要である。
【発明の開示】
【発明が解決しようとする課題】
【0013】
本発明の目的は、WLANへのアクセスを試みている無線端末上で強制的ID認証を実行し、無許可の無線端末の侵入によって生じるネットワークの非安全性を避けることのできるWLANセキュリティを向上させる方法を提供することである。
【0014】
本発明の他の目的は、WLANセキュリティを向上させる方法を提供することである。この方法によれば、鍵は無線端末から独立してIDカードの中に記憶され、鍵のセキュリティが向上する。
【課題を解決するための手段】
【0015】
無線端末によって実行される本発明のWLANセキュリティを向上させる方法は、IDカードに記憶された鍵を読み出し、読み出された鍵および対応する暗号化アルゴリズムに従って識別認証を無線APに要求し、もしID認証が成功するならば、WLANにアクセスすることを含む。
【0016】
無線APによって実行される本発明のWLANセキュリティを向上させる方法は、無線端末によって使用されるIDカードの中の鍵に対応する鍵を利用し、無線端末によって採用される暗号化アルゴリズムに対応する復号アルゴリズムに従って、無線端末によって送られたID認証要求を処理し、もしID認証が成功すれば、WLANへのアクセスを無線端末に承認することを含む。
【0017】
上記の暗号化および復号アルゴリズムは、既存のネットワーク・プロトコルの中のアルゴリズム、またはカスタマイズされた暗号化および復号アルゴリズムを採用することができる。
【発明を実施するための最良の形態】
【0018】
本発明の主なアイデアは、次のように要約することができる。即ち、IDカードの中に鍵を記憶し、ユーザが無線端末を介してWLANにアクセスしたいとき、ユーザはIDカードを使用して無線端末へ鍵を提供しなければならず、無線端末は、獲得した鍵に従って無線APへID認証を要求し、もしID認証が成功すれば、無線APは、ネットワークへのアクセスを無線端末へ承認し、ユーザは無線端末を介してWLANにアクセスすることができ、そうでなければ、無線APは無線端末を拒絶し、ユーザは無線端末を介してWLANにアクセスすることはできない。
【0019】
以下で、購読者がWLANでeライブラリへのアクセスを試みる実施形態を例にして、本発明に従ってIDカードを使用するWLANセキュリティの向上方法について詳細に説明する。
【0020】
購読者がWLANでeライブラリからeブックをダウンロードしたいとき、ライブラリ業者は、鍵が記憶されたIDカードを購読者に提供する。購読者は、無線端末のWLANカードの中へIDカードを挿入することができる。無線端末は、最初に、そのWLANカードを介してIDカードから鍵を読み出し、読み出された鍵に従ってID認証を無線APに要求する。もしID認証が成功すれば、無線APはネットワークへのアクセスを無線端末に承認し、したがって購読者は無線端末を介してeライブラリからeブックをダウンロードすることができる。そうでなければ、無線APは、無線端末がネットワークにアクセスすることを拒絶し、したがって購読者は無線端末を介してeライブラリからeブックをダウンロードすることができない。もし購読者が無線端末を介してeライブラリからeブックをダウンロードすることができれば、購読者は無線端末のWLANカードからIDカードを引き出し、eライブラリから離れるときライブラリ業者へIDカードを返却する。
【0021】
上記のIDカードは、WLANで使用される鍵、および他の規格に従ったシステムで使用される鍵、たとえばGPRSおよび3Gシステムの鍵を記憶することができる。ユーザは、一般的に、多数の規格の鍵を1つのカードへ統合することを選好し、したがって多数の規格の鍵は、ノートブックPCで使用されるGPRS SIMカードを参照することによって、本発明に従ったIDカードの中へ統合可能である。
【0022】
IDカードを使用するID認証には2つの場合がある。1つの場合は、既存のネットワーク・プロトコル内の暗号化/復号アルゴリズムだけを使用する場合であり、他の場合は、既存のネットワーク・プロトコル内の暗号化/復号アルゴリズムおよびカスタマイズされた暗号化/復号アルゴリズムを使用する場合である。例として802.11規格を取ると、802.11規格内の暗号化/復号アルゴリズムだけを使用するか、既存の802.11規格の暗号化/復号アルゴリズムと一緒に、802.11規格へ新しく付加されたカスタマイズされた暗号化/復号アルゴリズムを使用することができる。2つの場合について、以下で詳細に説明する。
【0023】
I 既存の802.11規格内の暗号化/復号アルゴリズムのみを使用する場合
この場合、既存の802.11規格内の暗号化/復号アルゴリズムだけがID認証に使用される。ID認証用の情報を暗号化および復号するため、802.11規格内の同じ暗号化/復号アルゴリズムが使用され、また同じ暗号化/復号アルゴリズム内の暗号化および復号に、同じ鍵が使用される。したがって、この場合、802.11規格内の鍵を非常に厳格に管理しなければならない。たとえば、WEPまたはAESで使用される鍵をIDカードの中に記憶し、次に、鍵の漏えいを避けるための可視的方法でIDカードをユーザへ配布することができる。
【0024】
図1は、既存の802.11規格内の暗号化/復号アルゴリズムだけと、IDカードを使用するID認証構造を示すブロック図である。図1と一緒に、どのようにして無線端末がID認証を無線APに要求するかの手順を、以下で説明する。
【0025】
無線端末100がID認証を無線AP200に要求するとき、無線APからID認証用の平文メッセージを受け取ると、無線端末100内のダイレクト・メモリ・アクセス(DMA)制御モジュール10は、ID認証用の平文メッセージを獲得し、それをAES/WEP暗号ストリーム発生器20へ送る。ID認証用の平文メッセージを受け取った後、AES/WEP暗号ストリーム発生器20は、IDカード60から暗号化鍵を獲得し、802.11規格内の暗号化鍵および暗号化アルゴリズムで平文メッセージを暗号化し、ID認証用の暗号文メッセージを取得して、フレーム発生ユニット30へ暗号文メッセージを送る。ID認証用の暗号文メッセージを受け取ると、フレーム発生ユニット30は、それを対応フレーム・ヘッダおよびCRCと一緒に合成して暗号文のID認証データ・フレームを取得し、物理層コントローラ・インタフェース40およびデータ・インタフェース50を介して、暗号文の合成ID認証データ・フレームを無線AP200へ送る。
【0026】
無線端末から暗号文のID認証データ・フレームを受け取った後、無線AP200は、データ・インタフェース50および物理層コントローラ・インタフェース40を介して、フレーム・ヘッダ、CRC、およびID認証用暗号メッセージのデータ・フレームを含む暗号文のID認証データ・フレームをAES/WEP暗号ストリーム発生器20へ送る。AES/WEP暗号ストリーム発生器20は、受け取った暗号文のID認証データ・フレームからID認証用の暗号文メッセージを抽出し、鍵記憶管理ユニット65に記憶されて無線端末によって使用された暗号化鍵に対応する復号鍵に従って、既存の802.11規格内の復号アルゴリズムでID認証用の暗号文メッセージを復号し、ID認証用の平文メッセージを取得し、それをDMA制御モジュール10へ送る。DMA制御モジュール10は、受け取られたID認証用平文メッセージを、対応する処理モジュール(図1には図示されず)へ送り、それが無線端末へ送られたID認証用の元の平文メッセージと一致するかどうかを判断する。もしイエスであれば、無線端末のID認証が成功したことを示し、無線端末はWLANにアクセスすることができる。そうでなければ、無線端末のID認証が失敗したことを示し、無線端末はWLANにアクセスすることはできない。
【0027】
II カスタマイズされた暗号化/復号アルゴリズムと一緒に、既存の802.11規格内の暗号化/復号アルゴリズムを使用する場合
この場合、無線端末は既存の802.11規格内の暗号化アルゴリズムを使用してID認証用平文メッセージを暗号化し、次に、それを更に、カスタマイズされた暗号化アルゴリズムで暗号化する。したがって、許可された無線端末のID認証は、802.11規格内の暗号化アルゴリズムが知られていても成功しないであろう。なぜなら、カスタマイズされた暗号化アルゴリズムは知られていないからである。したがって、無許可の無線端末はWLANへの侵入を禁止される。
【0028】
図2は、カスタマイズされた暗号化/復号アルゴリズムが802.11規格へ付加されたブロック図を示す。図示されるように、カスタマイズされたアルゴリズム、たとえばRSA、DES、DSA、MD5または他の新しいアルゴリズムを実現するため、カスタマイズされた暗号化/復号モジュール80が既存のWLANの中へ付加され、カスタマイズされた暗号化/復号アルゴリズムの鍵がIDカード90の中に記憶される。カスタマイズされた暗号化/復号アルゴリズムは、WLAN内の高レベル・プロトコルへの修正なしにIDカードを介して802.11規格へ容易に付加できることが、図2から分かるであろう。
【0029】
WLANが、既存の802.11規格内の暗号化/復号アルゴリズムおよびカスタマイズされたID認証用暗号化/復号アルゴリズムをどのように使用するかの手順を、図2で示される構造と一緒に以下で詳細に説明する。
【0030】
無線端末300がID認証をAP400に要求するとき、無線APは、最初に、ID認証用の平文メッセージを無線端末へ送る。
【0031】
無線APからID認証用平文メッセージを受け取ると、無線端末内のDMA制御モジュール10はID認証用平文メッセージを獲得し、それをAES/WEP暗号ストリーム発生器20へ送る。ID認証用の平文メッセージを入手した後、AES/WEP暗号ストリーム発生器20は、それを802.11規格内の暗号化アルゴリズムおよび対応暗号化鍵を使用して暗号化し、ID認証用予備暗号化メッセージを取得し、それをフレーム発生ユニット30へ送る。フレーム発生ユニット30はID認証用予備暗号化メッセージおよび対応フレーム・ヘッダおよびCRCを予備暗号化ID認証フレームとして合成し、それを物理層コントローラ・インタフェース40およびMAC層データ・インタフェース70を介してカスタマイズされた暗号化/復号モジュール80へ送る。カスタマイズされた暗号化/復号モジュール80は、更に、IDカード90から入手した暗号化鍵に従い、カスタマイズされた暗号化アルゴリズムを使用して、受け取られた予備暗号化ID認証フレームを暗号化し、暗号文のID認証フレームを取得し、それをデータ・インタフェース50へ送る。最後に、データ・インタフェース50は暗号文のID認証フレームを無線APへ送る。
【0032】
データ・インタフェース50を介して無線端末から送られた暗号文のID認証フレームを受け取ると、無線APは、それをカスタマイズされた暗号化/復号モジュール80へ送る。カスタマイズされた暗号化/復号モジュール80は、カスタマイズされた復号アルゴリズムを使用して、鍵記憶管理ユニット95に記憶され無線端末のカスタマイズされた暗号化アルゴリズムによって使用された暗号化鍵に対応する復号鍵に従って、受け取られた暗号文ID認証フレームを復号し、予備復号化ID認証フレーム(フレーム・ヘッダ、CRC、およびID認証用予備暗号文メッセージを含む)を取得し、それを、MAC層データ・インタフェース70および物理層コントローラ・インタフェース40を介してAES/WEP暗号ストリーム発生器20へ送る。AES/WEP暗号ストリーム発生器20は、受け取られた予備復号化ID認証フレームからID認証用予備暗号文メッセージを抽出し、次に、802.11規格内の復号アルゴリズムおよび対応する復号鍵を使用してメッセージを更に復号し、ID認証用の平文メッセージを取得し、DMA制御モジュール10へID認証用平文メッセージを送る。DMA制御モジュール10は、対応する処理モジュール(図2に図示されず)へID認証用平文メッセージを送り、それが無線端末へ送られた元のID認証用平文メッセージと一致するかどうかを判断する。もしイエスであれば、無線端末のID認証が成功したことを示し、無線はWLANにアクセスすることができる。そうでなければ、無線端末のID認証が失敗したことを示し、無線端末はWLANにアクセスすることはできない。
【0033】
(本発明の有利な結果)
前述したように、本発明で提供されるWLANセキュリティ向上方法に関して、鍵のセキュリティを向上するため、鍵はIDカードの中に記憶され、一方では、WLANへのアクセスを試みている無線端末は強制的なID認証をパスする必要がある。したがって、無許可無線端末の侵入によって生じるネットワークの非安全性を避けることができる。
【0034】
当業者は、添付のクレイムによって定められる本発明の趣旨および範囲から逸脱することなく、本発明で開示されたWLANセキュリティ向上方法を相当に修正できることを理解しなければならない。
【図面の簡単な説明】
【0035】
【図1】本発明に従って802.11規格内の暗号化/復号アルゴリズムを使用する場合のブロック図である。
【図2】本発明に従って802.11規格に付加されたカスタマイズされた暗号化/復号アルゴリズムを使用する場合のブロック図である。

【特許請求の範囲】
【請求項1】
無線端末によって実行されるWLANセキュリティを向上させる方法であって、
(a)IDカードの中に記憶された鍵を読み出すステップ、
(b)読み出された前記鍵および対応する暗号化アルゴリズムに従って識別認証の処理を無線アクセスポイントに要求するステップ、
(c)もし前記識別認証が成功すれば、WLANにアクセスするステップ
を含む方法。
【請求項2】
ステップ(b)が、更に、
読み出された前記鍵、およびLANプロトコル内の暗号化アルゴリズムに従って識別認証の処理を無線アクセスポイントに要求する
ステップを含むことを特徴とする請求項1に記載の方法。
【請求項3】
ステップ(b)が、更に、
読み出された前記鍵、およびカスタマイズされた暗号化アルゴリズムに従って識別認証の処理を無線アクセスポイントに要求する
ステップを含むことを特徴とする請求項1に記載の方法。
【請求項4】
ステップ(b)が、更に、
読み出された前記鍵、LANプロトコル内の暗号化アルゴリズム、およびカスタマイズされた暗号化アルゴリズムに従って識別認証の処理を無線アクセスポイントに要求する
ステップを含むことを特徴とする請求項1に記載の方法。
【請求項5】
IDカードの中に記憶された鍵を読み出す情報読み出しユニットと、
読み出された鍵および対応する暗号化アルゴリズムに従って識別認証を無線アクセスポイントに要求する識別認証ユニットと、
もし識別認証が成功すれば、WLANにアクセスするネットワーク・アクセス・ユニットと
を備えたWLAN無線端末。
【請求項6】
前記暗号化アルゴリズムがLANプロトコル内の暗号化アルゴリズムであることを特徴とする請求項5に記載の無線端末。
【請求項7】
前記暗号化アルゴリズムが、カスタマイズされた暗号化アルゴリズムであることを特徴とする請求項5に記載の無線端末。
【請求項8】
前記暗号化アルゴリズムが、LANプロトコル内の暗号化アルゴリズムおよびカスタマイズされた暗号化アルゴリズムであることを特徴とする請求項5に記載の無線端末。
【請求項9】
無線アクセスポイントによって実行されるWLANセキュリティを向上させる方法であって、
無線端末によって採用された暗号化アルゴリズムに対応する復号アルゴリズムに従って、前記無線端末によって使用されたIDカードの中の鍵に対応する鍵を利用することによって、前記無線端末によって開始された識別認証の要求を処理し、
もし前記識別認証が成功すれば、WLANへのアクセスを前記無線端末に許す
ことを含む方法。
【請求項10】
前記復号アルゴリズムがLANプロトコル内の復号アルゴリズムであることを特徴とする請求項9に記載の方法。
【請求項11】
前記復号アルゴリズムが、カスタマイズされた復号アルゴリズムであることを特徴とする請求項9に記載の方法。
【請求項12】
前記復号アルゴリズムが、LANプロトコル内の復号アルゴリズムおよびカスタマイズされた復号アルゴリズムであることを特徴とする請求項9に記載の方法。
【請求項13】
有効な鍵を記憶する鍵記憶管理ユニットと、
無線端末によって使用されたIDカードの中の前記鍵に対応する鍵を鍵記憶管理ユニットから読み出し、前記対応する鍵を使用し、無線端末によって採用された暗号化アルゴリズムに対応する復号アルゴリズムに従って、無線端末によって開始された識別認証の要求を処理する識別認証処理ユニットと、
前記識別認証が成功したとき、WLANへのアクセスを前記無線端末に許すネットワーク・アクセス・ユニットと
を備えたWLANアクセスポイント。
【請求項14】
WLANセキュリティを向上させる方法であって、
無線端末の鍵を記憶されたIDカードを獲得するステップ、
WLANにアクセスする要求を無線アクセスポイントへ送るステップ、
前記無線端末内の暗号化アルゴリズムおよび前記無線アクセスポイント内の対応する復号アルゴリズムに従って、IDカードの中の鍵および識別認証情報を利用することによって識別を認証するステップ、
前記識別認証が成功した後、無線アクセスポイントを介してWLANの中のリソースにアクセスするステップを含む方法。

【図1】
image rotate

【図2】
image rotate


【公表番号】特表2007−506329(P2007−506329A)
【公表日】平成19年3月15日(2007.3.15)
【国際特許分類】
【出願番号】特願2006−526741(P2006−526741)
【出願日】平成16年8月25日(2004.8.25)
【国際出願番号】PCT/IB2004/051556
【国際公開番号】WO2005/029812
【国際公開日】平成17年3月31日(2005.3.31)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】