図面 (/)

この項目の情報は公開日時点(2006年12月21日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (17)

課題

物理的・論理的に独立した複数のLANに対して、同一の認証情報を設定し、移動可能な複数の端末装置のうち任意の端末装置が、任意のLANに接続するシステムにおいて、認証情報を更新する場合、更新されたLANと更新されていないLANが混在すると接続が困難になり、すべてのLANを同時に更新するにはコストがかかる。

解決手段

端末装置100は、更新前の認証情報を含む複数の認証情報を記憶し、認証装置200に対して認証を要求する。古い認証情報で認証に成功した場合、端末装置100は、認証装置200に対して、認証情報の更新を要求する。認証装置200は、認証情報の更新を要求された場合、更新すべき認証情報(更新情報)を端末装置100から取得し、取得した更新情報が正規のものである場合に、認証情報を更新する。

概要

背景

無線LANローカルエリアネットワーク)システムにおいては、無線通信傍受による情報の漏洩を防ぐ必要があるため、通信の暗号化が行われる。
更に通信の機密性を高めるため、通信の暗号化に用いる鍵(無線LAN暗号鍵)を定期的に自動生成し、有線接続により配信することによって更新することが行われる(例えば、特許文献1)。
特開2000−341262号公報

概要

物理的・論理的に独立した複数のLANに対して、同一の認証情報を設定し、移動可能な複数の端末装置のうち任意の端末装置が、任意のLANに接続するシステムにおいて、認証情報を更新する場合、更新されたLANと更新されていないLANが混在すると接続が困難になり、すべてのLANを同時に更新するにはコストがかかる。端末装置100は、更新前の認証情報を含む複数の認証情報を記憶し、認証装置200に対して認証を要求する。古い認証情報で認証に成功した場合、端末装置100は、認証装置200に対して、認証情報の更新を要求する。認証装置200は、認証情報の更新を要求された場合、更新すべき認証情報(更新情報)を端末装置100から取得し、取得した更新情報が正規のものである場合に、認証情報を更新する。

目的

特許文献1に記載の技術によれば、共通の無線LAN暗号鍵を設定すべき装置は、共通の有線LAN等に接続する必要がある。
しかし、物理的・論理的に独立したLANシステムが複数あり、これらに共通の無線LAN暗号鍵を設定する場合には、これらに接続した装置を共通の有線LANやインターネット等に接続することは難しい。
例えば、契約先に設置された装置の保守管理を行う業務において、現場派遣される保守作業員携帯する端末装置を保守対象装置と無線LANによって接続して保守作業を行う場合、保守対象装置が接続している無線LANはそれぞれ独立している。
一方、保守作業員はどの現場に派遣されるかわからないので、保守作業員が携帯する端末装置は、契約先の無線LANすべてに接続できる必要がある。そのため、それらの無線LANに設定された無線LAN暗号鍵は共通であることが望ましい。
しかし、無線LAN暗号鍵を設定するために、これらの無線LANシステムをインターネット等に接続することは、設置コストがかかり、安全性の低下を招く。
あるいは、無線LAN暗号鍵を設定すべき装置を、一時的に現場から取り外して持ち帰り、無線LAN暗号鍵設定用のLANに接続して、無線LAN暗号鍵を設定し、設定が終わったら、再び現場に戻すという方法も考えられるが、無線LAN暗号鍵を更新するたびにこの作業を行うことは、作業コストがかかる。
本発明は、例えば、上記のような課題を解決し、安全かつ容易に、独立したネットワークに接続する装置に対して、認証情報を設定できるようにすることを目的とする。

効果

実績

技術文献被引用数
3件
牽制数
1件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

認証情報に基づいて認証をする認証装置に対し、上記認証情報を有する情報を通知する端末装置において、認証情報を複数記憶する端末記憶部と、上記認証装置に対し、上記端末記憶部が記憶した認証情報を有する情報を通知する端末通知部と、上記認証装置が端末装置の認証に成功したか否かを判断し、成功したと判断した場合に、上記端末通知部が通知した認証情報が所定の認証情報であるか否かを判別する端末判別部と、上記端末通知部が通知した認証情報が、所定の認証情報でないと上記端末判別部が判別した場合に、上記認証装置に対し、認証情報の更新を要求する更新要求を通知する更新要求通知部と、を有することを特徴とする端末装置。

請求項2

上記端末判別部は、上記認証装置が端末装置の認証に成功したか否かを判断し、成功したと判断した場合に、上記端末通知部が通知した認証情報が、上記端末記憶部が記憶した認証情報のうち最新の認証情報であるか否かを判別することを特徴とする請求項1に記載の端末装置。

請求項3

上記端末装置は、更に、上記所定の認証情報を含む情報を更新情報として記憶する更新情報記憶部を有し、上記更新要求通知部は、更に、上記端末通知部が通知した認証情報が、所定の認証情報でないと上記端末判別部が判別した場合に、上記認証装置に対し、上記更新情報記憶部が記憶した更新情報を通知することを特徴とする請求項1に記載の端末装置。

請求項4

上記端末装置は、更に、認証情報を管理し更新情報を生成する管理装置から上記更新情報を取得する更新情報取得部を有し、上記更新情報記憶部は、上記更新情報取得部が取得した更新情報を記憶し、上記更新要求通知部は、更に、上記端末通知部が通知した認証情報が、所定の認証情報でないと上記端末判別部が判別した場合に、上記認証装置に対し、上記更新情報を生成した装置を証明する情報を通知することを特徴とする請求項3に記載の端末装置。

請求項5

上記端末装置は、上記認証装置が認証に成功した場合に、無線LANローカルエリアネットワーク)へ接続することを特徴とする請求項1乃至請求項4のいずれかに記載の端末装置。

請求項6

上記端末記憶部は、上記無線LANとの通信データを暗号化する暗号鍵を、上記認証情報として記憶し、上記端末通知部は、上記認証装置が通知する情報を取得し、取得した情報を上記端末記憶部が記憶した暗号鍵を用いて暗号化し、暗号化した情報を上記認証装置に対して通知することを特徴とする請求項5に記載の端末装置。

請求項7

端末装置が通知した認証情報に基づいて上記端末装置を認証する認証装置において、認証情報を記憶する認証記憶部と、上記認証記憶部が記憶する認証情報の更新を要求する更新要求を上記端末装置から取得する更新要求取得部と、上記更新要求取得部が取得した更新要求が正規のものであるか否かを判断し、正規のものであると判断した場合に、上記認証記憶部が記憶した認証情報を更新する認証更新部と、を有することを特徴とする認証装置。

請求項8

上記更新要求取得部は、更に、上記端末装置から、認証情報を含む情報を更新情報として取得し、上記認証更新部は、上記更新要求取得部が取得した更新要求が正規のものであるか否かを判断し、正規のものであると判断した場合に、上記更新要求取得部が取得した更新情報から認証情報を取得し、上記認証記憶部に記憶させることを特徴とする請求項7に記載の認証装置。

請求項9

上記更新要求取得部は、更に、上記更新情報を生成した装置を証明する情報を証明情報として上記端末装置から取得し、上記認証更新部は、上記更新要求取得部が取得した証明情報を検証し、上記更新情報を生成した装置が所定の装置であると判断した場合に、上記更新要求取得部が取得した更新情報から認証情報を取得し、上記認証記憶部に記憶させることを特徴とする請求項8に記載の認証装置。

請求項10

上記認証装置は、上記端末装置の認証に成功した場合に、上記端末装置の無線LANへの接続を許可することを特徴とする請求項7乃至請求項9のいずれかに記載の認証装置。

請求項11

上記認証更新部は、上記端末装置と上記無線LANとの通信が終了したか否かを判断し、終了したと判断した場合に、上記認証記憶部が記憶した認証情報を更新することを特徴とする請求項10に記載の認証装置。

請求項12

上記認証記憶部は、上記端末装置と、上記無線LANとの通信を暗号化する暗号鍵を上記認証情報として記憶し、上記認証装置は、更に、上記端末装置に対して所定の情報を通知し、通知した情報を上記端末装置が暗号化した情報を、上記端末装置から取得し、取得した情報を上記認証記憶部が記憶した暗号鍵を用いて復号し、復号した情報と通知した情報とを比較して一致するか否かを判断し、一致すると判断した場合に、上記端末装置を認証する認証部を有することを特徴とする請求項10に記載の認証装置。

技術分野

0001

本発明は、例えば、独立したネットワークへ接続する認証情報更新に関する。

背景技術

0002

無線LANローカルエリアネットワーク)システムにおいては、無線通信傍受による情報の漏洩を防ぐ必要があるため、通信の暗号化が行われる。
更に通信の機密性を高めるため、通信の暗号化に用いる鍵(無線LAN暗号鍵)を定期的に自動生成し、有線接続により配信することによって更新することが行われる(例えば、特許文献1)。
特開2000−341262号公報

発明が解決しようとする課題

0003

特許文献1に記載の技術によれば、共通の無線LAN暗号鍵を設定すべき装置は、共通の有線LAN等に接続する必要がある。
しかし、物理的・論理的に独立したLANシステムが複数あり、これらに共通の無線LAN暗号鍵を設定する場合には、これらに接続した装置を共通の有線LANやインターネット等に接続することは難しい。
例えば、契約先に設置された装置の保守管理を行う業務において、現場派遣される保守作業員携帯する端末装置保守対象装置と無線LANによって接続して保守作業を行う場合、保守対象装置が接続している無線LANはそれぞれ独立している。
一方、保守作業員はどの現場に派遣されるかわからないので、保守作業員が携帯する端末装置は、契約先の無線LANすべてに接続できる必要がある。そのため、それらの無線LANに設定された無線LAN暗号鍵は共通であることが望ましい。
しかし、無線LAN暗号鍵を設定するために、これらの無線LANシステムをインターネット等に接続することは、設置コストがかかり、安全性の低下を招く。
あるいは、無線LAN暗号鍵を設定すべき装置を、一時的に現場から取り外して持ち帰り、無線LAN暗号鍵設定用のLANに接続して、無線LAN暗号鍵を設定し、設定が終わったら、再び現場に戻すという方法も考えられるが、無線LAN暗号鍵を更新するたびにこの作業を行うことは、作業コストがかかる。
本発明は、例えば、上記のような課題を解決し、安全かつ容易に、独立したネットワークに接続する装置に対して、認証情報を設定できるようにすることを目的とする。

課題を解決するための手段

0004

本発明に係る端末装置は、
端末装置が通知した認証情報に基づいて上記端末装置を認証する認証装置に対し、上記認証情報を通知する端末装置において、
認証情報を複数記憶する端末記憶部と、
上記認証装置に対し、上記端末記憶部が記憶した認証情報を通知する端末通知部と、
上記認証装置が端末装置の認証に成功した場合に、上記端末通知部が通知した認証情報が、所定の認証情報であるか否かを判別する端末判別部と、
上記端末判別部が所定の認証情報でないと判別した場合に、上記認証装置に対して、認証情報の更新を要求する更新要求を通知する更新要求通知部と、
を有することを特徴とする。

発明の効果

0005

本発明によれば、例えば、新たに生成された認証情報を認証装置が知らず、端末装置を古い認証情報によって認証した場合に、認証装置に対して認証情報の更新を要求するので、認証装置をインターネット等に接続することなく、安全かつ容易に認証情報を更新することができるとの効果を奏する。

発明を実施するための最良の形態

0006

実施の形態1.
実施の形態1を図1図4を用いて説明する。

0007

図1は、この実施の形態における認証装置200及び管理装置300の外観の一例を示す図である。
図1において、認証装置200、管理装置300は、システムユニット910、CRT(Cathode Ray Tube)表示装置901、キーボード(K/B902)、マウス903、コンパクトディスク装置(CDD905)、プリンタ装置906、スキャナ装置907を備え、これらはケーブルで接続されている。
さらに、認証装置200、管理装置300は、FAX機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク(LAN942)に接続されている。
端末装置100は、携帯可能な装置である点を除けば、認証装置200及び管理装置300と同様の外観を有する。

0008

図2は、この実施の形態における端末装置100及び認証装置200及び管理装置300のハードウェア構成の一例を示す図である。
図2において、端末装置100及び認証装置200及び管理装置300は、プログラムを実行するCPU(Central Processing Unit)911を備えている。CPU911は、バス912を介してROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、CRT表示装置901、K/B902、マウス903、FDD(Flexible Disk Drive)904、磁気ディスク装置920、CDD905、プリンタ装置906、スキャナ装置907と接続されている。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915は、FAX機932、電話器931、LAN942等に接続されている。
例えば、通信ボード915、K/B902、スキャナ装置907、FDD904などは、入力部の一例である。
また、例えば、通信ボード915、CRT表示装置901などは、出力部の一例である。

0009

磁気ディスク装置920には、オペレーティングシステム(OS)921、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923は、CPU911、OS921、ウィンドウシステム922により実行される。

0010

上記プログラム群923には、以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明するものが、「〜ファイル」として記憶されている。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータの入出力を示し、そのデータの入出力のためにデータは、RAM914もしくは磁気ディスク装置920、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体に記録される。あるいは、信号線やその他の伝送媒体により伝送される。

0011

また、以下に述べる実施の形態の説明において「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、ハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。

0012

また、以下に述べる実施の形態を実施するプログラムは、また、RAM914もしくは磁気ディスク装置920、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体による記録装置を用いて記憶されても構わない。

0013

図3は、この実施の形態におけるシステムの全体構成の一例を示すシステム構成図である。

0014

端末装置100a,bは携帯可能な装置である。端末装置100a,bを移動させることにより、社内LAN500、契約先LAN600a,bのいずれにも接続することができる。
端末装置100a,bが契約先LAN600a,bに接続するためには、認証装置200a,bによる認証に成功しなければならない。認証に失敗した場合には、接続が拒否される。
認証のため、端末装置100a,bは、認証装置200a,bに対して、認証情報を有する情報を通知する。

0015

認証装置200a,bは、記憶した認証情報と、端末装置100a,bが通知した情報から取り出した認証情報とが一致した場合に、端末装置100a,bを認証し、契約先LAN600a,bへの接続を許可する。

0016

契約先LAN600a,bへの接続を許可された端末装置100a,bは、契約先LAN600a,bに接続した保守対象装置400a,bに対する保守作業を行う。

0017

管理装置300は認証情報を管理する。セキュリティのため、認証情報は定期的にあるいは不定期に更新される。管理装置300は、新しい認証情報を生成し、社内LAN500を介して、端末装置100a,bに通知する。

0018

図4は、この実施の形態における端末装置100及び認証装置200及び管理装置300の機能ブロックの構成の一例を示すブロック図である。

0019

管理装置300は、認証情報生成部311、管理記憶部312、管理通知部313、更新情報通知部314を有する。

0020

認証情報生成部311は、新たな認証情報を生成する。例えば、一週間に一度あるいは一日に一度というようにタイマを設定し、定期的に新たな認証情報を生成することとしてもよいし、管理者がK/B902などの入力部から認証情報生成指令を入力すると、新たな認証情報を生成することとしてもよい。あるいは、端末装置が所定の回数出動した場合に、新たな認証情報を生成することとしてもよい。

0021

管理記憶部312は、認証情報生成部311が生成した認証情報を記憶する。
管理記憶部312は、認証情報生成部311が生成した最新の認証情報だけでなく、以前に認証情報生成部311が生成した認証情報も記憶している。
しかし、そのすべてを記憶している必要はないので、記憶する認証情報の数を定め、その数を超える認証情報が生成された場合には、古いものから順に削除することとしてもよい。あるいは、生成日時に基づいて、生成してから所定の期間が経過したものを削除することとしてもよい。
また、管理記憶部312は、セキュリティ向上のため、認証情報を暗号化して記憶してもよい。

0022

管理通知部313は、管理記憶部312が記憶した認証情報を端末装置100に対し、社内LAN500を介して通知する。なお、セキュリティ向上のため、認証情報を暗号化して通知することとしてもよい。
このとき、管理記憶部312が記憶した最新の認証情報だけでなく、以前から管理記憶部312が記憶していた認証情報もあわせて通知する。端末装置100が社内LAN500に接続する間隔によっては、前回、前々回などに生成した認証情報を端末装置100に通知していない可能性もあるからである。
あるいは、端末装置100が記憶しているなかで最新の認証情報の取得日時あるいは生成日時を通知させ、それよりも新しい認証情報だけを通知することとしてもよい。
管理通知部313は、通知した認証情報のうち、どの認証情報が最新のものであるかを判別するための情報もあわせて通知する。例えば、認証情報の生成日時などである。

0023

更新情報通知部314は、更新情報を端末装置100に対し、社内LAN500を介して通知する。
更新情報には、管理記憶部312が記憶した認証情報のうち、最新の認証情報が含まれている。また、更新情報には、その更新情報を生成したのが管理装置300であることを証明する情報が含まれており、端末装置100も含めた第三者による改変ができないようになっている。
例えば、管理装置300の公開鍵に対応する秘密鍵で暗号化すれば、第三者による改変が防止できる。あるいは、管理装置300の電子署名を含むこととしてもよい。
あるいは、管理装置300と認証装置200だけが知っている秘密共通鍵によって暗号化すれば、第三者による改変を防止できるだけでなく、第三者による盗聴を防ぐこともできる。

0024

管理通知部313及び更新情報通知部314は、端末装置100が社内LAN500に接続した際に、自動的に認証情報及び更新情報を通知することとしてもよい。あるいは、端末装置100が要求した場合に通知することとしてもよい。
ただし、端末装置100に通知した最新の認証情報と、更新情報に含まれる認証情報とが一致する必要がある。そのため、端末装置100に新しい認証情報を通知した場合には、必ず更新情報も通知する。

0025

端末装置100は、端末取得部111、端末記憶部112、端末通知部113、端末判別部114、更新情報取得部121、更新情報記憶部122、更新要求通知部123を有する。

0026

端末取得部111は、社内LAN500を介して管理装置300が通知した認証情報を取得する。あわせて、どの認証情報が最新のものであるかを判別するための情報も取得する。

0027

端末記憶部112は、端末取得部111が取得した認証情報を記憶する。あわせて、どの認証情報が最新のものであるかを判別するための情報も記憶する。
管理装置300が記憶している認証情報すべてを通知する構成とする場合は、端末記憶部112は、端末取得部111が今回取得した認証情報だけを記憶することとし、前回取得した認証情報は削除することとしてもよい。
管理装置300が記憶している認証情報のうち、端末装置100にまだ通知していないものだけを通知する構成とする場合は、端末取得部111が新たに取得した認証情報だけでなく、以前に端末取得部111が取得した認証情報も記憶している。
しかし、そのすべてを記憶している必要はないので、記憶する認証情報の数を定め、その数を超える認証情報が生成された場合には、古いものから順に削除することとしてもよい。あるいは、生成日時に基づいて、生成してから所定の期間が経過したものを削除することとしてもよい。
また、端末記憶部112は、セキュリティ向上のため、認証情報を暗号化して記憶してもよい。

0028

更新情報取得部121は、社内LAN500を介して管理装置300が通知した更新情報を取得する。

0029

更新情報記憶部122は、更新情報取得部121が取得した更新情報を記憶する。更新情報記憶部122は、セキュリティ向上のため、更新情報を暗号化して記憶していてもよい。

0030

端末通知部113は、端末記憶部112から認証情報を1つ取得し、認証装置200に対して通知する。端末通知部113は、セキュリティ向上のため、認証情報を暗号化して通知してもよい。
認証情報には、例えば、パスワードなどがある。
あるいは、認証情報を暗号鍵として用いて、所定の情報を暗号化したものを通知する構成としてもよい。その場合、認証情報によって暗号化される情報は、あらかじめ決められたものであってもよい。あるいは、認証装置200が端末装置100からの認証要求を受け、ランダムに生成した情報を端末装置100に通知する構成としてもよい。

0031

端末判別部114は、端末通知部113が認証装置200に対して通知した認証情報によって、端末装置100が認証装置200に認証されたか否かを判断する。例えば、認証に成功した場合に認証装置200が認証成功を通知することとし、端末装置100がその通知を取得した場合に、端末判別部114が認証成功と判断する。

0032

認証に失敗した場合には、端末通知部113は、端末記憶部112から別の認証情報を取得し、認証装置200に対して通知する。これを認証に成功するまで繰り返す。

0033

端末装置100は、認証に成功した場合、契約先LAN600への接続が許可されるので、契約先LAN600を介して、保守対象装置400に対する保守作業を行うことができる。

0034

端末判別部114は、認証成功と判断した場合、更に、認証に成功した認証情報が、最新の認証情報であるか否かを判断する。例えば、端末通知部113が、端末記憶部112から認証情報を取得するに際し、新しいものから順に取得して認証装置200に通知することとすれば、1回目で成功した場合には最新の認証情報によって認証に成功したと判断し、2回目以降で成功した場合には、最新の認証情報ではない認証情報によって認証に成功したと判断する。

0035

最新の認証情報ではない認証情報によって認証に成功した場合には、認証装置200は管理装置300が新しく生成した認証情報を知らず、古い認証情報によって認証を行っている。
したがって、認証装置200が記憶する認証情報を更新する必要がある。

0036

更新要求通知部123は、最新の認証情報ではない認証情報によって認証に成功したと端末判別部114が判断した場合、認証装置200が記憶する認証情報の更新を要求する更新要求を生成し、認証装置200に対して通知する。更新要求通知部123は、セキュリティ向上のため、認証情報を暗号化して通知してもよい。
更新要求通知部123は、更新要求とともに、最新の認証情報を含む情報である更新情報を認証装置200に対して通知することで、認証装置200が新たに記憶すべき認証情報を認証装置200に知らしめる。
しかし、例えば、認証情報の生成規則をあらかじめ定めておき、認証装置200が更新要求を受けた場合に、内部で新たな認証情報を生成することとしてもよい。この生成規則を、管理装置300が用いているものと同一のものとすれば、管理装置300が生成した認証情報と認証装置200が生成した認証情報が一致するので、新たに記憶すべき認証情報を認証装置200に対して通知する必要はない。
上述したように、更新情報には、その更新情報を生成したのが管理装置300であることを証明する情報が含まれている。したがって、まったく無関係の第三者だけでなく、端末装置100といえども更新情報を改変することはできず、管理装置300が生成した新たな認証情報が、そのまま認証装置200に通知される。

0037

認証装置200は、認証部211、認証記憶部212、更新要求取得部221、認証更新部222を有する。

0038

認証記憶部212は、認証情報を記憶する。認証記憶部212は、新しい認証情報を記憶した場合、古いものを削除して、常に最新の認証情報を記憶する。
しかし、認証装置200が接続する契約先LAN600は、管理装置300が接続する社内LAN500とは独立したネットワークであるから、管理装置300が新たな認証情報を生成した場合でも、それをすぐに知ることができず、古い認証情報をそのまま記憶していることになる。

0039

認証部211は、端末装置100が通知した情報を取得し、その情報に含まれる認証情報を検証することで、端末装置100を認証する。
例えば、認証情報を暗号鍵として用いる認証方式による場合、以下の手順によって端末装置100を認証する。
まず、端末装置100が認証装置200に対して、認証要求を通知する。
認証装置200は、端末装置100からの認証要求を受け、ランダムな情報を生成する。
認証装置200は端末装置100に対して、生成した情報をそのまま通知する。
端末装置100は、認証装置200が生成した情報を取得し、認証情報を暗号鍵として用いて暗号化する。
端末装置100は認証装置200に対して、暗号化した情報を通知する。
認証部211は、端末装置100が通知した情報を、認証記憶部212が記憶した認証情報を暗号鍵として用いて復号する。
認証部211は、復号した情報と、先に生成した情報とを比較する。両者が一致する場合には、端末装置100が暗号化に用いた暗号鍵(すなわち認証情報)と、認証部211が復号に用いた暗号鍵(認証情報)とが一致することがわかる。

0040

認証部211は、端末装置100が通知した情報に含まれる認証情報と、認証記憶部212が記憶した認証情報とが一致した場合、端末装置100を認証し、以後、端末装置100が契約先LAN600に接続することを許可する。
接続を許可する具体的方法としては、例えば、端末装置100が無線LAN端末装置で、認証装置200が無線LANアクセスポイント装置であれば、認証装置200が以後の端末装置100からの通信を、契約先LAN600に接続した他の装置へ中継する。接続を許可しない場合には、端末装置100からの通信を、契約先LAN600に接続した他の装置へ中継しない。

0041

認証部211は、認証結果を端末装置100に対して通知する。認証に成功した場合のみ通知することとしてもよい。その場合、端末装置100は、所定の時間待っても認証成功の通知が来ない場合に、認証に失敗したと判断する。

0042

なお、認証部211は、端末装置100からの認証要求に基づいて最初に認証を行うだけでなく、一定の時間が経つごとにあるいは不定期に、端末装置100を認証することとしてもよい。

0043

更新要求取得部221は、端末装置100が通知した更新要求を取得する。端末装置100が更新情報もあわせて通知する構成とした場合には、更新情報もあわせて取得する。

0044

認証更新部222は、更新要求取得部221が取得した更新要求が正規のものであるかを判断する。例えば、認証に成功した端末装置100が通知した更新要求は、常に正規のものであると判断してもよいし、更新要求に端末装置100の電子署名をつけ、その電子署名を検証することで正規のものであるか否かを判断してもよい。

0045

更新要求とともに更新情報を取得する構成とした場合、更新情報には更新情報を生成した装置を証明する情報が含まれているので、その情報を検証することにより、更新要求が正規のものであるか否かを判断してもよい。
例えば、更新情報に管理装置300の電子署名が含まれている場合には、その電子署名を検証することで、更新要求が正規のものであるか否かを判断する。
端末装置100の電子署名を検証する方式では、契約先LAN600に接続を要求する可能性のある端末装置100すべてについて、認証装置200が署名を検証するための情報を持つ必要があるので、端末装置100が増えた場合等に対応できない。管理装置300の電子署名を検証する方式であれば、管理装置300についてのみ、署名を検証するための情報を持っていればよいので、端末装置100が増えた場合等にも対応可能である。

0046

更新情報を生成した装置を証明する情報として、管理装置300と認証装置200だけが知っている秘密の共通鍵を用いて更新情報を暗号化する方式を用いる場合、共通鍵が外部に漏れる可能性がある。
しかし、この共通鍵は、更新情報を暗号化する場合にしか用いない構成とすれば、通信を傍受して解読されることにより、共通鍵が外部に漏れる可能性は低くなる。
あるいは、この共通鍵自体を、認証情報と同様に、定期的にあるいは不定期に変更する構成としてもよい。

0047

認証更新部222は、更新要求が正規のものであると判断した場合、認証記憶部212が記憶する認証情報を更新する。
すなわち、あらかじめ定められた生成規則にしたがって新たな認証情報を生成し、あるいは、更新情報から取得するなどして、認証記憶部212に新たに記憶させるべき認証情報を取得する。そして、取得した認証情報を認証記憶部212に記憶させる。

0048

なお、認証更新部222は、端末装置100が契約先LAN600に接続して保守作業を行っている場合、保守作業が終了して端末装置100が契約先LAN600との接続を切断したあとで、認証記憶部212が記憶する認証情報を更新することとしてもよいし、更新要求を取得してすぐに更新することとしてもよい。

0049

このように、定期的にあるいは不定期に、認証情報を更新することによって、セキュリティを高める構成のネットワークシステムにおいて、ネットワークシステムが物理的・論理的に独立していることにより、認証装置200が新たに生成された認証情報を知らない場合がある。

0050

この実施の形態では、端末装置100が最新の認証情報だけでなく、古い認証情報も記憶することにより、認証装置200が最新の認証情報を知らない場合でも、認証装置200が端末装置100を認証できる構成としている。

0051

これにより、認証情報を更新しても、端末装置100が契約先LAN600に接続できなくなることを防ぐことができるので、認証情報を頻繁に更新することが可能となり、不正アクセスに対する安全性が高くなる。

0052

また、端末装置100が古い認証情報によって認証された場合には、認証装置200に対して、認証情報の更新を要求することにより、認証装置200が記憶する認証情報を常に最新のものとすることができるので、認証情報を頻繁に更新することが可能となり、不正アクセスに対する安全性が高くなる。

0053

認証装置200は、更新要求が正規のものであるか否かを判断して、認証情報を更新するか否かを決めるので、不正アクセスによって勝手に認証情報が更新される心配はなく、安全性が高くなる。

0054

さらに、端末装置100が認証装置200に対して最新の認証情報を含む情報(更新情報)を通知し、認証装置200は通知された認証情報に基づいて認証情報を更新するので、契約先LAN600を完全に独立したネットワークとすることができ、設置コストを抑えるとともに安全性が高くなる。

0055

端末装置100が認証装置200に対して通知する更新情報には、その更新情報を生成した装置を証明する情報が含まれ、端末装置100を含めた第三者には改変できないようになっているので、なりすまし等によって認証情報が勝手に更新される心配はなく、不正アクセスに対する安全性が高くなる。

0056

特に、無線LANにおいては、接続した装置間の通信が無線によって行われるので、第三者による盗聴や不正アクセスを防ぐことが必要である。

0057

ここで説明した方式によって認証情報を頻繁に変更し、変更された認証情報を暗号鍵として、無線LANにおける通信を暗号化すれば、この通信を傍受した者が通信を解読して暗号鍵を取得したとしても、その暗号鍵を使用して盗聴や不正アクセスを試みるには暗号鍵が変更されているので、安全性が高くなる。

0058

実施の形態2.
実施の形態2を図2図5図16を用いて説明する。

0059

この実施の形態では、WEP(Wired Equivalent Privacy)鍵及びSSID(Service Set Identifier)の更新をする場合について説明する。

0060

無線ネットワークとしてIEEE802.11規格があり、この802.11ネットワークを構築する機器として無線LANアクセスポイント装置がある。
図15は、無線LANアクセスポイント装置による無線ネットワークを示したものである。
無線LANアクセスポイント装置860は、有線ネットワーク851に接続して、有線ネットワーク851に属する機器と無線ネットワーク852に属する機器間の通信手段(たとえば有線ネットワーク機器840と無線ネットワーク機器810aとの間の通信)と、無線ネットワーク852に属する機器間の通信手段(例えば無線ネットワーク機器810aと無線ネットワーク機器810bとの間の通信)を提供する。
無線LANアクセスポイント装置860は、無線通信インターフェース881とアンテナ883により無線ネットワーク852に属する無線ネットワーク機器810a,bとの通信を行う。
無線/有線ブリッジ部882は、有線ネットワーク851と無線ネットワーク852の通信を相互に転送する。
無線LAN接続制御部861は無線ネットワーク機器810a,bの無線ネットワーク852への接続にあたって、無線ネットワーク852の識別を提供し、さらに無線ネットワーク852への無線ネットワーク機器810a,bの参加を許可・拒否(認証)する制御を行う。
無線ネットワーク852の識別はIEEE802.11規格の無線LANであれば、SSIDを用いる。無線ネットワーク機器810a,bは接続したい無線ネットワークをSSIDにより選択することができる。
そして無線ネットワーク機器の参加の許可・拒否は例えばWEP方式であればWEP鍵と呼ばれる無線LAN暗号鍵が用いられ、無線LAN接続制御部861は、自己が使用するWEP鍵と、無線ネットワーク機器810a,bが使用するWEP鍵が一致しない場合は、同機器の接続を拒否する。
またこのWEP鍵は無線ネットワーク機器が無線ネットワーク852に参加した後の無線通信に際して、無線通信インターフェース881による通信暗号化にも使用する。
このように無線ネットワーク852に接続しようとする無線ネットワーク機器810a,bは、無線LANアクセスポイント装置860と同じSSID、WEP鍵を使用しないと無線ネットワーク852に参加できない機構となっている。
無線LANアクセスポイント装置860では、これらのSSID、WEP鍵は無線LAN接続情報としてアクセスポイント接続情報記憶部862が記憶しており、さらにこれら無線LAN接続情報を無線LANアクセスポイント装置に設定する接続情報更新部872を有する。

0061

ここまでに示したように無線ネットワークでは、通信の媒介手段が無線であることからセキュリティ確保のため無線ネットワークへの接続認証と無線通信の暗号化が行われている。
この接続認証のためには、パスワードなどの無線LAN接続認証鍵を使用し、また、通信暗号化のためには、無線LAN通信暗号鍵を使用する。これらの無線LAN鍵としてWEP鍵などの秘密鍵を用いる場合は、セキュリティのため鍵を定期的に更新しなければならない。

0062

従来、無線LANアクセスポイント装置860における無線LAN接続情報の更新にあたっては、有線ネットワーク851に接続した有線ネットワーク機器840のCRT表示装置に設定画面を表示し、人手で設定を入力し、入力した設定情報に基づいて、接続情報更新部872が更新処理を行うなどの方法がとられている。

0063

しかしながら無線LAN接続情報は、その秘密鍵としての目的から、辞書に記載された単語を使わない比較的長い無意味文字とすることから、設定者が無線LANアクセスポイント装置860に設定する無線LAN接続情報を、設定者の記憶のためにメモしたりすることで、機密性が低下する可能性がある。

0064

このような無線LAN接続情報の更新に際する機密性の低下の課題を解決するため、例えば、以下の技術がある。
複数の無線LANアクセスポイント装置を有線ネットワークで接続し、親局となる無線LANアクセスポイント装置で鍵設定モードを起動すると、鍵を生成して、生成した鍵を記憶するとともに、鍵設定モードで起動した子局となる無線LANアクセスポイント装置に鍵を配布、設定するものである。効果は、鍵更新が鍵を設定者に秘密のまま行われること、有線ネットワークで配布される鍵は第三者に傍受される可能性が低いこと、である。

0065

客先に設置した装置の保守を請け負う業務がある。客先に設置した装置とは、例えばエレベーターエスカレーター監視カメラレコーダー空調装置入退室管理装置自動改札機券売機両替機など多岐にわたる。
これら保守対象の装置に対する保守作業として、保守用の端末装置を保守作業現場持ち込み保守端末装置を保守対象装置に有線ネットワークで接続して、保守対象装置に運転データ収集故障箇所検出、試運転などの保守作業を実施することが行われている。

0066

しかし、保守端末装置を保守対象装置に有線接続すると、端末装置を自由に移動させることができない。エレベーターのような大型の装置を保守する場合、端末装置を接続したまま、作業員が移動したい場合がある。

0067

そこで、保守端末装置と保守対象装置を無線ネットワークで接続すれば、端末装置を比較的自由に移動させることができる。しかし、保守端末装置と保守対象装置との間を無線ネットワークで接続すると、以下のような課題が生じる。

0068

図16は、保守端末装置と保守対象装置を無線ネットワークで接続する際の運用を示した図である。
保守会社590には、n人の保守作業員がいる。保守作業員は、それぞれ保守端末装置150d、保守端末装置150e、…、保守端末装置150fを携行して作業する。保守作業員は、m箇所の保守作業現場、保守作業現場690d、保守作業現場690e、…、保守作業現場690fに出動する。
それぞれの保守作業現場には、保守対象装置490d、保守対象装置490e、…、保守対象装置490fが設置されている。
さらに保守端末装置と保守対象装置の無線ネットワークによる接続のため、保守作業現場にはそれぞれ無線LANアクセスポイント装置660d、無線LANアクセスポイント装置660e、…、無線LANアクセスポイント装置660fが設置されている。
ここで保守会社の保守作業員運用は、客先対応の即時性から任意の保守作業員を保守作業現場に派遣する場合がある。このため保守端末装置150d〜fと無線LANアクセスポイント装置660d〜fとは、互いにいずれとも接続できる関係になければならない。例えば、保守作業現場690dの無線LANアクセスポイント装置660dはいずれの保守端末装置150d〜fとも接続できなければならない。また、保守端末装置150dもいずれの無線LANアクセスポイント装置660d〜fに接続できなければならない。すなわち、n対mの関係になっている。

0069

このような運用下で無線LANアクセスポイント装置660d〜fの無線LAN認証鍵や無線LAN通信暗号鍵などの秘密鍵を更新する場合、保守端末装置150d〜fと無線LANアクセスポイント装置との間で秘密鍵が異なる状態となると、保守端末装置150d〜fが無線ネットワークに接続できなくなってしまうので、保守作業に支障をきたす。これを回避するためには、全ての無線LANアクセスポイント装置と保守端末装置の秘密鍵を同じタイミングで一斉に変更する必要がある。

0070

そのためには、無線LANアクセスポイント装置660d〜fを一時回収して保守会社のネットワークに接続して無線LAN鍵を変更する方法がある。あるいは、無線LANアクセスポイント装置660d〜fを広域ネットワークに接続し、これを介して保守会社のネットワークに接続して無線LAN鍵を変更する方法もある。これにより、一斉変更処理が可能である。

0071

しかしながら、保守作業現場から無線LANアクセスポイント装置を回収する方法では、更新済みの無線LANアクセスポイント装置をその場で置き換えるか、更新後の無線LANアクセスポイント装置を再設置する必要があることから、機器コスト、作業コストが増大するという欠点がある。また広域ネットワークを設ける方法には、設備コストが増大するという欠点がある。

0072

コストの観点では、通常の保守作業で保守作業現場に出動したおりに無線ネットワーク機器(保守端末装置)から無線LANアクセスポイント装置の設定変更を行えることが、無線LANアクセスポイント装置の秘密鍵の更新のための特別な出動を必要としないため、望ましい。

0073

この実施の形態は、複数の独立したネットワークに属する無線LANアクセスポイント装置と、無線ネットワーク機器との接続がn対mの関係となる場合に、いずれの無線ネットワーク機器からでも無線LANアクセスポイント装置の秘密鍵などの無線LAN接続情報の更新を行えること、いずれの無線ネットワーク機器からでも無線LANアクセスポイント装置に接続できるよう無線ネットワーク機器と無線LANアクセスポイント装置の無線LAN接続情報を一致させることを、第一の目的としている。

0074

さらにこの実施の形態は、無線ネットワーク機器に保持した無線LAN接続情報の漏洩を防止することを、第二の目的としている。

0075

さらにこの実施の形態は、通常の無線ネットワークを用いた作業に影響を与えることなく、無線LANアクセスポイント装置の無線LAN接続情報を更新できることを、第三の目的としている。

0076

図2は、この実施の形態における接続情報管理サーバ装置350、無線LAN端末装置150、無線LANアクセスポイント装置260、アクセスポイント管理装置270、独立ネットワーク構成機器450等のハードウェア構成の一例を示す図である。
図2については、実施の形態1で説明したので、ここでは説明を省略する。

0077

図5は、この実施の形態におけるシステムの全体構成の一例を示すシステム構成図である。

0078

イントラネット550は第一の独立ネットワークである。イントラネット550では、接続情報管理サーバ装置350と無線LAN端末装置150aと無線LAN端末装置150bと無線LAN端末装置150cとが、有線/無線ネットワーク551で接続している。なお、この例では無線LAN端末装置の数は三台であるが、三台とは限らず何台でもよい。

0079

独立ネットワーク650aは第二の独立ネットワークである。独立ネットワーク650aには、無線LANアクセスポイント装置260aとアクセスポイント管理装置270aと独立ネットワーク構成機器450aとが、有線ネットワーク651aで接続している。
無線LANアクセスポイント装置260aとアクセスポイント管理装置270aは、認証装置を構成する。このように、認証装置は物理的に一台の装置である必要はなく、ネットワークによって接続された複数の装置によっても実現可能である。
独立ネットワーク650bも独立ネットワーク650aと同じ構成をとる第二の独立ネットワークである。なお、この例では第二の独立ネットワークの数は二つであるが、二つとは限らず、いくつでもよい。

0080

無線LAN端末装置150aと無線LAN端末装置150bと無線LAN端末装置150cは、移動させることができる。あるときは、イントラネット550に接続する。またあるときは、無線ネットワーク652aにより、独立ネットワーク650aに接続する。またあるときは、独立ネットワーク650bに接続することもできる。
例えば、無線LAN端末装置150aの独立ネットワーク650aへの接続は、無線LANアクセスポイント装置260aが制御する無線ネットワーク652aを経由して行われる。その他の無線LAN端末装置150a〜cの独立ネットワーク650a,bへの接続も同様である。
無線LAN端末装置150aは独立ネットワーク650aに接続した後、独立ネットワーク構成機器450aと通信を行い、通常の無線ネットワークを用いた作業を実施する。通常の無線ネットワークを用いた作業とは、無線LAN端末装置150aと独立ネットワーク構成機器450aとの任意の通信によるもので、例えば、独立ネットワーク構成機器450aへの無線LAN端末装置150aによる保守作業である。

0081

図6は、この実施の形態における接続情報管理サーバ装置350(管理装置の一例)の機能ブロックの構成の一例を示すブロック図である。
図7は、この実施の形態における無線LAN端末装置150(端末装置の一例)の機能ブロックの構成の一例を示すブロック図である。
図8は、この実施の形態における無線LANアクセスポイント装置260とアクセスポイント管理装置270の機能ブロックの構成の一例を示すブロック図である。

0082

接続情報管理サーバ装置350と無線LAN端末装置150と無線LANアクセスポイント装置260とアクセスポイント管理装置270とは、図5のシステム構成に従って接続する。

0083

接続情報管理サーバ装置350は、接続情報生成部361(認証情報生成部の一例)、接続情報記憶部362(管理記憶部の一例)、共有鍵記憶部391、管理装置共有情報暗号化部392、端末共有情報暗号化部393、接続情報配布部353(管理通知部兼更新情報通知部の一例)を有する。

0084

接続情報生成部361は、無線LAN接続情報(認証情報の一例)を生成する。具体的には、無線LAN接続情報として無線LAN暗号鍵(WEP鍵)とSSIDを生成する。

0085

接続情報記憶部362は、無線LAN接続情報を生成した世代順に記憶する。
この実施の形態では、この接続情報記憶部362は、最大j世代分の無線LAN接続情報を記憶できるものとする。j世代を超える無線LAN接続情報が生成された場合、最古の無線LAN接続情報を削除する。

0086

共有鍵記憶部391は、無線LAN接続情報を暗号化する鍵を記憶する。
この鍵には2種類のものがある。無線LAN端末装置150と共有する秘密の暗号鍵である無線LAN端末装置鍵と、アクセスポイント管理装置270と共有する秘密の暗号鍵であるアクセスポイント管理装置鍵である。

0087

管理装置共有情報暗号化部392は、アクセスポイント管理装置鍵を用いて、最新の1世代の無線LAN接続情報を暗号化する(更新情報の一例)。アクセスポイント管理装置鍵は、接続情報管理サーバ装置350及びアクセスポイント管理装置270だけが秘密に管理しているものなので、この情報(更新情報)がアクセスポイント管理装置270へ伝達される途中で、盗聴されたり不正に改変されたりすることを防ぐ。また、この情報がアクセスポイント管理装置鍵を知っている装置(すなわち、接続情報管理サーバ装置350)により生成されたことを証明する情報ともなるものである。

0088

端末共有情報暗号化部393は、無線LAN端末装置鍵を用いて、全世代の無線LAN接続情報(最大j世代分)を暗号化する。
接続情報配布部353は、暗号化した無線LAN接続情報(認証情報及び更新情報)を、無線LAN端末装置150に配布する。

0089

無線LAN端末装置150は、接続情報受信部151、端末接続情報記憶部152、端末装置共有鍵記憶部191、端末装置共有情報復号部192、アクセスポイント接続制御部163、接続情報更新要求部173を有する。

0090

接続情報受信部151は、接続情報管理サーバ装置350から無線LAN接続情報(認証情報及び更新情報)を受信する。
端末接続情報記憶部152は、無線LAN接続情報を記憶する。
この実施の形態では、端末接続情報記憶部152は全世代の無線LAN接続情報(最大j世代分)(認証情報)と最新の1世代分の無線LAN接続情報(更新情報)を記憶できる。
なお、前者(全世代の無線LAN接続情報)(認証情報)は無線LAN端末装置鍵で暗号化され、後者(最新の1世代分の無線LAN接続情報)(更新情報)はアクセスポイント管理装置鍵で暗号化されている。
したがって、無線LAN端末装置150は後者(更新情報)を復号することはできない。しかし、最新の1世代分の無線LAN接続情報は前者(認証情報)にも含まれているので、無線LAN端末装置150は、前者(認証情報)を復号することによりこれを知ることができる。

0091

端末装置共有鍵記憶部191は、無線LAN端末装置鍵を記憶する。
端末装置共有情報復号部192は、無線LAN端末装置鍵により、暗号化された無線LAN接続情報(認証情報)を復号する。

0092

アクセスポイント接続制御部163は、無線LAN接続情報を用いて、無線LANアクセスポイント装置260と通信し、無線ネットワーク652に接続する。

0093

接続情報更新要求部173は、無線LANアクセスポイント装置260を介してアクセスポイント管理装置270に対し、無線LANアクセスポイント装置260の無線LAN接続情報の更新要求と、更新すべき最新の1世代分の無線LAN接続情報(更新情報)とを送信する。

0094

無線LANアクセスポイント装置260は、無線LAN接続制御部261、アクセスポイント接続情報記憶部262、無線通信インターフェース281、無線/有線ブリッジ部282、接続情報更新部272を有する。

0095

無線LAN接続制御部261は、無線LAN端末装置150の無線ネットワーク652への接続にあたって、無線ネットワーク652の識別を提供し、さらに無線ネットワーク652への無線LAN端末装置150の接続を許可・拒否(認証)する制御を行う。
この実施の形態では、無線ネットワーク652の識別はIEEE802.11規格のSSIDを用いる。また、無線ネットワーク機器の参加の許可・拒否(認証)も802.11規格のWEP方式によるものとし、WEP鍵を無線LAN接続認証鍵として用いる。
無線LAN接続制御部261は、無線LAN端末装置150から受信したWEP鍵が一致しない場合、同装置の接続を拒否する。
具体的には、WEP鍵を直接送信することはしない。第三者に盗聴されると秘密にしなければならないWEP鍵が漏洩してしまうからである。
そこで、無線LANアクセスポイント装置260は、無線LAN端末装置150を認証するにあたり、まずランダムに生成した情報を無線LAN端末装置150に送信する。
無線LAN端末装置150は、これを受信し、WEP鍵で暗号化したものを、無線LANアクセスポイント装置260に送信する。
無線LANアクセスポイント装置260では、無線LAN接続制御部261が、受信した情報を、アクセスポイント接続情報記憶部262が記憶したWEP鍵で復号する。
復号した情報と送信した情報とを比較する。これが一致する場合には、無線LAN端末装置150が暗号化に用いたWEP鍵と、アクセスポイント接続情報記憶部262が記憶したWEP鍵とが同一であることが判別できる。

0096

無線通信インターフェース281は、無線信号送受信して、無線LAN端末装置150と通信する。無線ネットワーク652を介した通信は、セキュリティのため、WEP鍵を無線LAN通信暗号鍵として暗号化するWEP方式によって行われる。したがって、無線通信インターフェース281は、アクセスポイント接続情報記憶部262が記憶したWEP鍵を用いて、無線通信データの暗号/復号を行う。

0097

アクセスポイント接続情報記憶部262は、無線LANアクセスポイント装置260に設定された1世代分の無線LAN接続情報を記憶する。
アクセスポイント接続情報記憶部262は、無線LAN接続制御部261にSSIDとWEP鍵を提供し、無線通信インターフェース281にWEP鍵を提供する。

0098

無線/有線ブリッジ部282は、無線ネットワーク652と有線ネットワーク651の通信を相互に転送する。
接続情報更新部272は、アクセスポイント接続情報記憶部262が記憶した無線LAN接続情報を更新する。

0099

アクセスポイント管理装置270は、接続情報更新要求受信部271、管理装置共有鍵記憶部291、管理装置共有情報復号部292、接続情報設定部273を有する。

0100

接続情報更新要求受信部271は、無線LAN端末装置150からの接続情報更新要求を受信する。接続情報更新要求には、無線LANアクセスポイント装置260の無線LAN接続情報を更新する最新の1世代分の無線LAN接続情報(更新情報)が含まれている。
管理装置共有情報復号部292は、無線LAN接続情報(更新情報)をアクセスポイント管理装置鍵で復号する。
アクセスポイント管理装置鍵は、管理装置共有鍵記憶部291が記憶する。

0101

接続情報設定部273は、復号した無線LAN接続情報を無線LANアクセスポイント装置260に送信して、更新させる。
送信のタイミングは、任意のタイミングでかまわないが、この実施の形態では、更新タイミングを、先に述べた無線LAN端末装置150による独立ネットワーク構成機器450との間の通常の無線ネットワークを用いた作業の完了後とする。

0102

この実施の形態において、管理装置共有情報暗号化部392、端末共有情報暗号化部393、端末装置共有情報復号部192、管理装置共有情報復号部292が行う無線LAN接続情報の暗号化手段として、DES(Data Encryption Standard)を用いることする。
DESは鍵長56ビットパリティを含めて64ビットである)、暗号化/復号するデータのブロックサイズは64ビットである。SSIDのデータ長は32バイト、WEP鍵は64ビットもしくは128ビットであり、これらのデータをDESで処理するため、DES CBC(Cipher Block Chaining)モード、もしくはDES ECB(Electronic Code Block)モードを用いる。CBCとECBは、いずれも64ビットを超えるデータの暗号化/復号の際のデータの暗号データ結合方法である。
DESによる暗号/復号処理は、管理装置共有情報暗号化部392、端末共有情報暗号化部393、端末装置共有情報復号部192、管理装置共有情報復号部292が行う。よって、無線LAN端末装置鍵とアクセスポイント管理装置鍵はいずれもDES鍵である。

0103

各装置の詳細な動作について説明する。
この実施の形態の動作を3つのフェーズに分けて説明する。最初のフェーズは「無線LAN接続情報生成フェーズ」であり、次のフェーズは「無線LAN接続情報配布フェーズ」、最後のフェーズは「無線LAN接続情報設定フェーズ」である。

0104

「無線LAN接続情報生成フェーズ」では、接続情報管理サーバ装置350が無線LAN接続情報を生成して記憶する。
「無線LAN接続情報配布フェーズ」では、接続情報管理サーバ装置350が無線LAN端末装置150に無線LAN接続情報を暗号化して、配布する。
「無線LAN接続情報設定フェーズ」では、無線LAN端末装置150が、無線LANアクセスポイント装置260に接続した後、アクセスポイント管理装置270に無線LAN接続情報を送信する。アクセスポイント管理装置270は、無線LANアクセスポイント装置260に無線LAN接続情報を設定・更新する。

0105

以下説明する動作の前に、すでに第n世代の無線LAN接続情報(無線LAN接続情報(n)と表記する)からk世代前までの無線LAN接続情報(n−k)が生成してあるものとする。
接続情報管理サーバ装置350の接続情報記憶部362は、無線LAN接続情報(n)〜(n−k)を記憶した状態である。
無線LANアクセスポイント装置260には、この無線LAN接続情報(n)〜(n−k)のいずれかが設定してある。

0106

ここで詳細に説明する動作は、第n+1世代の無線LAN接続情報(n+1)を生成して、無線LANアクセスポイント装置260に設定するものである。接続情報管理サーバ装置350における無線LAN接続情報の生成は無線LAN接続情報の安全性を十分維持できる任意の期間で行うものとする。

0107

「無線LAN接続情報生成フェーズ」の詳細な動作を説明する。
図9は、「無線LAN接続情報生成フェーズ」における接続情報管理サーバ装置350の制御の流れの一例を示すフローチャート図である。

0108

接続情報管理サーバ装置350では、ステップS301において、接続情報生成部361が無線LAN接続情報(n+1)を生成する。
接続情報管理サーバ装置350では、ステップS302において、接続情報記憶部362が、S301で生成した無線LAN接続情報(n+1)を記憶する。

0109

「無線LAN接続情報配布フェーズ」の詳細な動作を説明する。
図10は、「無線LAN接続情報配布フェーズ」における接続情報管理サーバ装置350と無線LAN端末装置150の制御の流れ及び両者間の通信シーケンスの一例を示す図である。

0110

まず、無線LAN端末装置150は、イントラネット550の有線/無線ネットワーク551に接続する。

0111

無線LAN端末装置150では、ステップS601において、図示していない接続情報要求送信部が、無線LAN接続情報要求(電文401)を接続情報管理サーバ装置350に対して送信する。
電文401は、イントラネット550を介して接続情報管理サーバ装置350に到達する。
接続情報管理サーバ装置350では、ステップS501において、図示していない接続情報要求受信部が、無線LAN端末装置150からの無線LAN接続情報要求(電文401)を受信する。

0112

接続情報管理サーバ装置350では、ステップS502において、管理装置共有情報暗号化部392が、接続情報記憶部362が記憶した無線LAN接続情報(n+1)を読み出し、共有鍵記憶部391が記憶したアクセスポイント管理装置鍵で暗号化する。

0113

接続情報管理サーバ装置350では、ステップS503において、端末共有情報暗号化部393が、接続情報記憶部362が記憶した無線LAN接続情報(n+1)〜(n−k)を読み出し、共有鍵記憶部391が記憶した無線LAN端末装置鍵で暗号化する。

0114

接続情報管理サーバ装置350では、ステップS504において、接続情報配布部353が、暗号化した無線LAN接続情報(電文402)を無線LAN端末装置150に対して送信する。
電文402は、イントラネット550を介して無線LAN端末装置150に到達する。
無線LAN端末装置150では、ステップS602において、接続情報受信部151が、接続情報管理サーバ装置350からの無線LAN接続情報(電文402)を受信する。

0115

無線LAN端末装置150では、ステップS603において、端末接続情報記憶部152が、受信した無線LAN接続情報を暗号化状態のまま、記憶する。

0116

「無線LAN接続情報設定フェーズ」の詳細な動作を説明する。

0117

図11は、「無線LAN接続情報設定フェーズ」における無線LAN端末装置150と無線LANアクセスポイント装置260とアクセスポイント管理装置270の通信シーケンスの一例を示す図である。

0118

無線LAN端末装置150は、電文701で、無線LAN接続情報(n+1)〜(n−k)により、無線LANアクセスポイント装置260と接続を試行する。
無線LAN端末装置150は、電文702で、アクセスポイント管理装置鍵で暗号化された無線LAN接続情報(n+1)を含む無線LAN接続情報更新要求を、アクセスポイント管理装置270に送信する。
このあと、無線LAN端末装置150は、独立ネットワーク構成機器450との間で通常の無線ネットワークを用いた作業を実施する(図示せず)。
独立ネットワーク構成機器450との作業が完了すると、無線LAN端末装置150は、電文703で無線LAN切断通知を、アクセスポイント管理装置270に送信する。
その後、電文704で無線LANアクセスポイント装置260との接続を切断する。
アクセスポイント管理装置270は、電文703を受信した後、電文705で無線LAN接続情報(n+1)を含む無線LAN接続情報設定を無線LANアクセスポイント装置260に送信する。

0119

図12は、「無線LAN接続情報設定フェーズ」における無線LAN端末装置150の制御の流れの一例を示すフローチャート図である。

0120

無線LAN端末装置150では、ステップS801において、端末装置共有情報復号部192が、暗号化された無線LAN接続情報(n+1)〜(n−k)を、端末接続情報記憶部152から読み出す。

0121

次に、ステップS802において、端末装置共有情報復号部192が、端末装置共有鍵記憶部191が記憶した無線LAN端末装置鍵を用いて、無線LAN接続情報(n+1)〜(n−k)を復号する。

0122

ステップS803からステップS806は、アクセスポイント接続制御部163が行なう、無線LAN接続情報(n+1)〜(n−k)による、無線LANアクセスポイント装置260との接続処理である。
ステップS803において、カウンタiをn+1に設定する。
ステップS804において、第i世代の無線LAN接続情報(i)のSSIDとWEP鍵を用いて無線LANアクセスポイント装置260との接続を試行する。
ステップS805において、無線LANアクセスポイント装置260との接続に成功したか失敗したかを判断する。
例えば、SSIDが一致しない場合には、無線LANアクセスポイント装置260が認証要求に対して応答しないので、一定時間応答がなければ失敗と判断する。
あるいは、無線LANアクセスポイント装置260が送信する認証結果を受信して、成功か失敗かを判断する。
無線LANアクセスポイント装置260との接続に失敗したと判断した場合は、ステップS806に進む。世代をひとつ戻して(カウンタiから1引く)、ステップS804に戻り、再度接続を試行する。

0123

無線LANアクセスポイント装置260との接続に成功した場合は、ステップS807に進む。接続情報更新要求部173が、接続に使用した無線LAN接続情報の世代iがn+1であるかどうかを判断する。

0124

無線LAN接続情報の世代iがn+1であると判断した場合は、ステップS811に進む。
この場合には、無線LANアクセスポイント装置260にはすでに最新の無線LAN接続情報(n+1)が設定されているので、接続情報を更新する必要はない。
そこで、ステップS811において、無線LAN端末装置150は、独立ネットワーク構成機器450と通信し、通常の作業を実施する。
作業終了後、ステップS812において、アクセスポイント接続制御部163が、無線LANアクセスポイント装置260との接続を切断する。

0125

無線LANアクセスポイント装置260に無線LAN接続情報(n+1)が設定済みである場合、次のようなケースが考えられる。
自分(例えば、無線LAN端末装置150a)が、すでに無線LANアクセスポイント装置260の更新を実施したケース。
この場合には、そのことを記憶しておけば、以上の手順を踏まず、単純に接続を試みるだけでもよい。
あるいは、他の無線LAN端末装置150bか無線LAN端末装置150cが、すでに無線LANアクセスポイント装置260の更新を実施したケース。
この場合には、無線LANアクセスポイント装置260がどの世代の接続情報を使っているかわからないので、以上の手順が必要である。

0126

ステップS807において、接続に使用した無線LAN接続情報が第n+1世代でないと判断した場合は、S808に進む。
この場合、接続情報を無線LAN接続情報(n+1)に更新する必要がある。
無線LAN端末装置150では、ステップS808において、接続情報更新要求部173が、無線LAN接続情報更新要求(電文702)をアクセスポイント管理装置270に対して送信する。無線LAN接続情報更新要求(電文702)は、アクセスポイント管理装置鍵で暗号化された無線LAN接続情報(n+1)(更新情報)を含んでいる。

0127

その後、無線LAN端末装置150は、ステップS809において、独立ネットワーク構成機器450と通信し、通常の作業を実施する。
作業終了後、無線LAN端末装置150は、ステップS810において、図示していない無線LAN切断通知送信部が、無線LAN切断通知(電文703)を、アクセスポイント管理装置270に対して送信する。
最後に、無線LAN端末装置150は、ステップS812において、アクセスポイント接続制御部163が、無線LANアクセスポイント装置260との接続を切断する。

0128

なお、ステップS804において、第n世代以前の無線LAN接続情報(n−1)〜(n−k)で接続に成功した場合には、本来実施されるべき無線LAN接続情報(n)またはそれ以前の無線LAN接続情報の更新が行われなかったことを意味する。この理由としては接続情報管理サーバ装置350での無線LAN接続情報の更新間隔よりも、独立ネットワーク650への訪問間隔が長かったため無線LAN接続情報(n)が適用されなかったことを意味しており、この実施の形態の動作としては正常である。

0129

図13は、「無線LAN接続情報設定フェーズ」におけるアクセスポイント管理装置270の制御の流れの一例を示すフローチャート図である。

0130

アクセスポイント管理装置270では、ステップS901において、接続情報更新要求受信部271が、無線LAN端末装置150から、無線LAN接続情報更新要求(電文702)を受信する。無線LAN接続情報更新要求(電文702)は、アクセスポイント管理装置鍵で暗号化された無線LAN接続情報(n+1)を含んでいる。

0131

ステップS902において、管理装置共有情報復号部292が、無線LAN接続情報(n+1)を、管理装置共有鍵記憶部291が記憶したアクセスポイント管理装置鍵で復号する。
この復号した無線LAN接続情報(n+1)のSSIDとWEP鍵が、無線LANアクセスポイント装置260に設定・更新すべき無線LAN接続情報である。
アクセスポイント管理装置鍵は、接続情報管理サーバ装置350とアクセスポイント管理装置270とだけが秘密に管理している共有鍵なので、無線LAN接続情報が途中で漏洩したり、改変されたりすることがない。

0132

ここで、すぐに接続情報設定部273が、無線LAN接続情報を更新してもよい。
その場合には、既に確立された無線LAN端末装置150と無線LANアクセスポイント装置260との接続を切断し、更新された無線LAN接続情報で、再び接続することが必要となる。
そうすれば、正しく無線LAN接続情報が更新されたかを確認することができるので、好ましい場合もある。

0133

しかし、そうすると、再び接続動作をやり直す必要が生じるので、無線LAN端末装置150と独立ネットワーク構成機器450とが通信して行う通常の作業を開始するのが遅れてしまう。
また、この通信が悪意の第三者に傍受され、接続情報が解読されてしまった場合であっても、古い接続情報により接続していれば、解読された接続情報は古いものである。したがって、作業終了後、最新の接続情報に更新したあとで、悪意の第三者が接続を試みても、古い接続情報では接続することはできず、不正アクセスを防止することができる。
そこで、この実施の形態では、通常の作業が終了するのを待ってから、無線LAN接続情報を更新することとし、通常の作業に支障がでないようにしている。

0134

アクセスポイント管理装置270では、ステップS903において、図示していない無線LAN切断通知受信部が、無線LAN端末装置150から無線LAN切断通知(電文703)を受信したかどうかを判断する。
無線LAN切断通知(電文703)を受信したと判断した場合は、S905に進む。
この場合、無線LAN端末装置150が無線ネットワークを利用した作業を完了したということなので、無線LANアクセスポイント装置260の設定を変更しても良い状態となったことがわかる。
ステップS905において、接続情報設定部273が、無線LANアクセスポイント装置260に対し、接続情報設定要求(電文705)を送信する。接続情報設定要求(電文705)は、無線LAN接続情報(n+1)を含んでいる。

0135

電文の欠落、不正な操作等の原因により、無線LAN切断通知(電文703)を受信できない場合もあり得る。
そこで、アクセスポイント管理装置270では、ステップS904において、接続情報設定部273が、所定の時間が経過したかどうかを判断する。
無線LAN端末装置150が作業を完了するに十分な時間を待っても、無線LAN切断通知(電文703)を受信しない場合には、何らかの原因で受信に失敗したものと判断し、やはりステップS905に進んで、接続情報設定要求(電文705)を送信する。

0136

図14は、「無線LAN接続情報設定フェーズ」における無線LANアクセスポイント装置260の制御の流れの一例を示すフローチャート図である。
なお、無線LAN端末装置150の認証手順については、省略してある。

0137

無線LANアクセスポイント装置260では、ステップS1001において、接続情報更新部272が、無線LAN接続情報設定要求(電文705)をアクセスポイント管理装置270から受信する。無線LAN接続情報設定要求(電文705)は、無線LAN接続情報(n+1)を含んでいる。

0138

ステップS1002において、接続情報更新部272が、アクセスポイント接続情報記憶部262に無線LAN接続情報(n+1)を記憶させる。これにより、無線LAN接続情報の更新が完了する。

0139

このように、無線LAN接続情報を、接続情報管理サーバ装置350が生成し、無線LAN端末装置150が運搬し、アクセスポイント管理装置270がチェックしたのち、無線LANアクセスポイント装置260の接続情報を更新するので、途中で無線LAN接続情報が知られることがなく、安全に、無線LAN接続情報を更新できる。

0140

WEP方式による接続認証を行う場合、認証後の通信の暗号化にも同じWEP鍵を使うので、通信を傍受した悪意の第三者によってWEP鍵が解読されてしまう危険がある。また、SSIDも認証後の通信のたびにやり取りされるので、通信を傍受した悪意の第三者に知られてしまう。
同じWEP鍵を使い続けていると、その分、WEP鍵を解読されてしまう危険が増大するので、接続情報は頻繁に更新することが望ましい。

0141

この実施の形態では、無線LAN端末装置150が実際に作業を行うために出動したときに接続情報の更新が行なえるので、接続情報を更新するためだけに特別な出動を行う必要はなく、頻繁に接続情報を更新してもコストが増加することがないという効果を奏する。

0142

また、この実施の形態では、無線LAN端末装置150による作業が終了してから、無線LAN接続情報を更新する。したがって、作業中の通信は、更新前のWEP鍵及びSSIDで行われる。
仮に、悪意の第三者がこの通信を傍受して、WEP鍵及びSSIDを知り、無線LANアクセスポイント装置260に接続を試みたとする。
しかし、それが作業終了後であれば、無線LANアクセスポイント装置260の接続情報が更新されているので、悪意の第三者は認証されず、不正アクセスの試みは失敗する。

0143

このように、作業終了後に接続情報を更新する構成とすることにより、たとえWEP鍵を解読されてしまった場合であっても、不正なアクセスを防止することができ、安全性が高くなる。

0144

この実施の形態では、無線LANとの接続認証の方法としてWEP方式を用いている。また、無線LAN通信の暗号化の方法としてもWEP方式を用いている。そこで、この実施の形態では、更新する無線LAN接続情報もWEP鍵としている。
しかし、他の認証方法暗号化方法を使用しても構わない。
その場合、それらの認証に用いるパスワードや暗号化に用いる暗号鍵を、この実施の形態と同様の方式で、更新することができる。
すなわち、いずれも無線LAN接続認証と無線LAN通信暗号に用いるパスワードやパスフレーズなどの共有情報であれば、更新可能である。例えば、利用可能な無線LAN接続認証方式、無線LAN通信暗号方式としては、WPA(Wi−Fi Protected Access)−PSK(Pre−Shared Key)、TKIP(Temporal Key Integrity Protocol)、AES(Advanced Encryption Standard)などがある。

0145

更にいえば、互いに接続していない装置(例えば、接続情報管理サーバ装置350と無線LANアクセスポイント装置260)が共有しなければならない情報を、秘密裏に管理したい場合、この実施の形態と同様の方式によって、管理・更新することができる。

0146

また、この実施の形態では、無線LAN接続情報の暗号化/復号の方式として、DES方式を用いたが、データの暗号化/復号を行える方式であれば、TripleDES、MISTY(登録商標:Mitsubishi Improved Secure Technology)などの異なる暗号化/復号方式を用いても良い。

0147

また、この実施の形態では、ステップS803〜ステップS806に示したように、無線LAN端末装置150が無線LANアクセスポイント装置260への接続を試みる方法として、SSIDとWEP鍵のセットで順に接続を試行する方法としている。
しかし、無線LANアクセスポイント装置260がビーコンとしてSSIDを送信し、無線LAN端末装置150がそれを受信することで、無線LANアクセスポイント装置260が使用しているSSIDを知る構成としてもよい。
その場合、無線LAN端末装置150は、記憶する無線LAN接続情報(n+1)〜(n−k)のなかから、SSIDが合致するものを探し、その世代のWEP鍵を用いて接続を試行することとすれば、接続に失敗することがなくなる。これは、無線LANアクセスポイント装置が更新する無線LAN接続情報としてSSIDを含めることで可能となる。
これにより、無線LAN接続のための時間が短縮できるという効果がある。

0148

ここで説明した無線LAN接続情報更新システムは、以下の特徴を有している。

0149

無線LAN端末装置と無線LANアクセスポイント装置をそれぞれ相互に接続可能にする無線LANの接続情報として配布・設定済みの第n世代の接続情報(無線LAN接続情報(n))を更新する第n+1世代の接続情報(無線LAN接続情報(n+1))を生成して、無線LANアクセスポイント装置と無線LAN端末装置に配布・更新する接続情報管理サーバ装置は、独立した第一のネットワークを構成する。
無線LAN端末装置をネットワークに接続させる無線LANアクセスポイント装置と、有線ネットワークに接続して無線LANアクセスポイント装置に無線LAN更新情報を設定するアクセスポイント管理装置とは、有線ネットワークと無線ネットワークからなる独立した第二のネットワークを構成する。
一つ以上の無線LAN端末装置は、第一のネットワークと一つ以上の第二のネットワーク間を移動して、それぞれのネットワークに接続する。
このような構成で、接続情報管理サーバ装置が、無線LAN接続情報(n)を設定済みの一つ以上の独立した第二のネットワークを構成する無線LANアクセスポイント装置と、同じく無線LAN接続情報(n)を設定済みの一つ以上の無線LAN端末装置に対して、無線LAN接続情報(n+1)を配布・更新する無線LAN接続情報更新システムである。

0150

接続情報管理サーバ装置は、少なくとも以前に生成した1世代以上の無線LAN接続情報を記憶する接続情報記憶部と、第n+1世代の無線LAN接続情報(n+1)を生成する接続情報生成部と、少なくとも生成した第n+1世代の無線LAN接続情報(n+1)と以前に生成した第n世代の無線LAN接続情報とを、第一のネットワークに接続した無線LAN端末装置に配布する接続情報配布部とを有する。

0151

無線LAN端末装置は、第一のネットワークに接続して接続情報管理サーバ装置から少なくとも生成した第n+1世代の無線LAN接続情報(n+1)と以前に生成した第n世代の無線LAN接続情報(n)とを受信する接続情報受信部と、受信した無線LAN接続情報を記憶する端末接続情報記憶部と、第二のネットワークに第n世代の無線LAN接続情報(n)により接続するアクセスポイント接続制御部と、第二のネットワークに接続したアクセスポイント管理装置に第n+1世代の無線LAN接続情報(n+1)を含む無線LAN接続情報の更新要求を送信する接続情報更新要求部とを有する。

0152

アクセスポイント管理装置は、無線LAN端末装置から無線LANアクセスポイント装置を更新する第n+1世代の無線LAN接続情報(n+1)を含む無線LAN接続情報の更新要求を受信する接続情報更新要求受信部と、任意のタイミングで第n+1世代の無線LAN接続情報(n+1)を無線LANアクセスポイント装置に送信して設定する接続情報設定部とを有する。

0153

無線LANアクセスポイント装置は、無線LAN端末からの第n世代の無線LAN接続情報(n)により接続を受け付ける無線LAN接続制御部と、第二のネットワークの無線ネットワークと有線ネットワークとの通信を無線LAN接続情報に基づき相互にブリッジする無線/有線ブリッジ部と、無線LAN接続情報を記憶するアクセスポイント接続情報記憶部と、アクセスポイント管理装置から無線LAN接続情報(n+1)を受信してアクセスポイント接続情報記憶部に設定する接続情報更新部とを有する。

0154

ここで説明した無線LAN接続情報更新システムは、無線LAN接続情報が少なくとも無線LAN接続認証鍵と無線LAN通信暗号鍵を含むことも特徴である。

0155

ここで説明した無線LAN接続情報更新システムは、無線LAN接続情報が少なくとも無線LANアクセスポイント装置のSSIDを含むことも特徴である。

0156

ここで説明した無線LAN接続情報更新システムは、アクセスポイント管理装置が接続情報設定部により第n+1世代の無線LAN接続情報(n+1)を無線LANアクセスポイント装置に送信して設定するタイミングを、無線LAN端末装置が無線LANアクセスポイント装置との接続を解除した後に行うことも特徴である。

0157

ここで説明した無線LAN接続情報更新システムは、更に以下の特徴も有している。

0158

接続情報管理サーバ装置は、無線LAN端末装置と共有する暗号鍵である無線LAN端末装置鍵と、アクセスポイント管理装置と共有する暗号鍵であるアクセスポイント管理装置鍵とを記憶する共有鍵記憶部と、生成した第n+1世代の無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で暗号化する管理装置共有情報暗号部と、以前に生成した第n世代の無線LAN接続情報(n)を無線LAN端末装置鍵で暗号化する端末共有情報暗号化部とを有する。
接続情報記憶部が記憶した無線LAN接続情報(n)を無線LAN端末装置鍵で暗号化するとともに、接続情報生成部が生成した無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で暗号化して、接続情報配布部が無線LAN端末装置に配布する。

0159

無線LAN端末装置は、接続情報管理サーバ装置と共有する暗号鍵である無線LAN端末装置鍵を記憶する端末装置共有鍵記憶部と、第n世代の無線LAN接続情報(n)を無線LAN端末装置鍵で復号する端末装置共有情報復号部とを有する。
接続情報受信部が第一のネットワークに接続して接続情報管理サーバ装置から無線LAN端末装置鍵で暗号化された無線LAN接続情報(n)とアクセスポイント管理装置鍵で暗号化された無線LAN接続情報(n+1)とを受信して、受信した無線LAN接続情報は端末情報記憶部が記憶する。
さらに、無線LAN端末装置は、無線LAN接続情報(n)を無線LAN端末装置鍵で復号して、アクセスポイント接続制御部が無線LAN接続情報(n)により第二のネットワークに接続したのち、接続情報更新要求部により第二のネットワークに接続したアクセスポイント管理装置に無線LAN接続情報(n+1)を含む無線LAN接続情報の更新要求を送信する。

0160

アクセスポイント管理装置は、接続情報管理サーバ装置と共有する暗号鍵であるアクセスポイント管理装置鍵を記憶する管理装置共有鍵記憶部と、第n+1世代の無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で復号する管理装置共有情報復号部とを有する。
接続情報更新要求受信部が暗号化された無線LAN接続情報(n+1)を受信して、この無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で復号して、接続情報設定部が無線LAN接続情報(n+1)を無線LANアクセスポイント装置に送信して設定する。

0161

無線LANアクセスポイント装置は、接続情報更新部がアクセスポイント管理装置から無線LAN接続情報(n+1)を受信して設定する。

0162

ここで説明した無線LAN接続情報更新システムは、以下の特徴も有している。

0163

無線LAN端末装置と無線LANアクセスポイント装置をそれぞれ相互に接続可能にする無線LANの接続情報として配布・設定済みの第n世代以前のk世代分の接続情報(無線LAN接続情報(n)、無線LAN接続情報(n−1)、…、無線LAN接続情報(n−k))を更新する第n+1世代の接続情報(無線LAN接続情報(n+1))を生成して、無線LANアクセスポイント装置と無線LAN端末装置に配布・更新する接続情報管理サーバ装置は、独立した第一のネットワークを構成する。
無線LAN端末装置をネットワークに接続させる無線LANアクセスポイント装置と、有線ネットワークに接続して無線LANアクセスポイント装置に無線LAN更新情報を設定するアクセスポイント管理装置とは、有線ネットワークと無線ネットワークからなる独立した第二のネットワークを構成する。
一つ以上の無線LAN端末装置は、第一のネットワークと一つ以上の第二のネットワーク間を移動して、それぞれのネットワークに接続する。
このような構成で、接続情報管理サーバ装置が、無線LAN接続情報(n)から無線LAN接続情報(n−k)のいずれかを設定済みの一つ以上の独立した第二のネットワークを構成する無線LANアクセスポイント装置と、同じく無線LAN接続情報(n)から無線LAN接続情報(n−k)のいずれかを設定済みの一つ以上の無線LAN端末装置に対して、無線LAN接続情報(n+1)を配布・更新する無線LAN接続情報更新システムである。

0164

接続情報管理サーバ装置は、以前に生成したn世代からn−k世代までの無線LAN接続情報を記憶する接続情報記憶部と、第n+1世代の無線LAN接続情報(n+1)を生成する接続情報生成部と、生成した第n+1世代の無線LAN接続情報(n+1)と以前に生成した第n世代の無線LAN接続情報から第n−k世代の無線LAN接続情報(n−k)とを、第一のネットワークに接続した無線LAN端末装置に配布する接続情報配布部とを有する。

0165

無線LAN端末装置は、第一のネットワークに接続して接続情報管理サーバ装置から生成した第n+1世代の無線LAN接続情報(n+1)と以前に生成した第n世代の無線LAN接続情報(n)から第n−k世代の無線LAN接続情報(n−k)までを受信する接続情報受信部と、受信した無線LAN接続情報を記憶する端末接続情報記憶部と、第二のネットワークに第n世代の無線LAN接続情報(n)から第n−k世代の無線LAN接続情報(n−k)のいずれかにより接続するアクセスポイント接続制御部と、第二のネットワークに接続したアクセスポイント管理装置に第n+1世代の無線LAN接続情報(n+1)を含む無線LAN接続情報の更新要求を送信する接続情報更新要求部とを有する。

0166

アクセスポイント管理装置は、無線LAN端末装置から無線LANアクセスポイント装置を更新する第n+1世代の無線LAN接続情報(n+1)を含む無線LAN接続情報の更新要求を受信する接続情報更新要求受信部と、第n+1世代の無線LAN接続情報(n+1)を無線LANアクセスポイント装置に送信して設定する接続情報設定部とを有する。

0167

無線LANアクセスポイント装置は、無線LAN端末からの第n世代の無線LAN接続情報(n)から第n−k世代の無線LAN接続情報(n−k)のいずれか設定された無線LAN接続情報により接続を受け付ける無線LAN接続制御部と、第二のネットワークの無線ネットワークと有線ネットワークとの通信を無線LAN接続情報に基づき相互にブリッジする無線/有線ブリッジ部と、無線LAN接続情報を記憶するアクセスポイント接続情報記憶部と、アクセスポイント管理装置から無線LAN接続情報(n+1)を受信してアクセスポイント接続情報記憶部に設定する接続情報更新部とを有する。

0168

ここで説明した無線LAN接続情報更新システムは、無線LAN接続情報が少なくとも無線LAN接続認証鍵と無線LAN通信暗号鍵を含むことも特徴である。

0169

ここで説明した無線LAN接続情報更新システムは、無線LAN接続情報が少なくとも無線LANアクセスポイント装置のSSIDを含むことも特徴である。

0170

ここで説明した無線LAN接続情報更新システムは、アクセスポイント管理装置が接続情報設定部が第n+1世代の無線LAN接続情報(n+1)を無線LANアクセスポイント装置に送信して設定するタイミングを、無線LAN端末装置が無線LANアクセスポイント装置との接続を解除した後に行うことも特徴である。

0171

ここで説明した無線LAN接続情報更新システムは、更に、以下の特徴を有する。

0172

接続情報管理サーバ装置は、無線LAN端末装置と共有する暗号鍵である無線LAN端末装置鍵と、アクセスポイント管理装置と共有する暗号鍵であるアクセスポイント管理装置鍵とを記憶する共有鍵記憶部と、生成した第n+1世代の無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で暗号化する管理装置共有情報暗号化部と、生成した第n+1世代の無線LAN接続情報(n+1)と以前に生成した第n世代の無線LAN接続情報(n)から第n−k世代の無線LAN接続情報(n−k)までを無線LAN端末装置鍵で暗号化する端末共有情報暗号化部とを有する。
接続情報記憶部が記憶した無線LAN接続情報(n)から無線LAN接続情報(n−k)までを無線LAN端末装置鍵で暗号化するとともに、接続情報生成部が生成した無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で暗号化して、接続情報配布部が無線LAN端末装置に配布する。

0173

無線LAN端末装置は、接続情報管理サーバ装置と共有する暗号鍵である無線LAN端末装置鍵を記憶する端末装置共有鍵記憶部と、第n+1世代の無線LAN接続情報(n+1)から第n−k世代の無線LAN接続情報(n−k)までを無線LAN端末装置鍵で復号する端末装置共有情報復号部とを有する。
接続情報受信部が第一のネットワークに接続して接続情報管理サーバ装置から無線LAN端末装置鍵で暗号化された無線LAN接続情報(n+1)から無線LAN接続情報(n−k)までとアクセスポイント管理装置鍵で暗号化された無線LAN接続情報(n+1)とを受信して、受信した無線LAN接続情報は端末情報記憶部が記憶する。
さらに、無線LAN端末装置は、無線LAN接続情報(n+1)から無線LAN接続情報(n−k)までを無線LAN端末装置鍵で復号して、アクセスポイント接続制御部により無線LAN接続情報(n+1)から無線LAN接続情報(n−k)のいずれかで第二のネットワークに接続したのち、無線LAN接続情報(n+1)以外の無線LAN接続情報で無線LANアクセスポイント装置に接続した場合に、接続情報更新要求部が第二のネットワークに接続したアクセスポイント管理装置に無線LAN接続情報(n+1)を含む無線LAN接続情報の更新要求を送信する。

0174

アクセスポイント管理装置は、接続情報管理サーバ装置と共有する暗号鍵であるアクセスポイント管理装置鍵を記憶する管理装置共有鍵記憶部と、第n+1世代の無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で復号する管理装置共有情報復号部とを有する。
接続情報更新要求受信部が暗号化された無線LAN接続情報(n+1)を受信して、この無線LAN接続情報(n+1)をアクセスポイント管理装置鍵で復号して、接続情報設定部が無線LAN接続情報(n+1)を無線LANアクセスポイント装置に送信して設定する。
無線LANアクセスポイント装置は、接続情報更新部がアクセスポイント管理装置から無線LAN接続情報(n+1)を受信して設定する。

図面の簡単な説明

0175

実施の形態1における認証装置200及び管理装置300の外観の一例を示す図。
実施の形態1における端末装置100及び認証装置200及び管理装置300のハードウェア構成の一例を示す図。
実施の形態1におけるシステムの全体構成の一例を示すシステム構成図。
実施の形態1における端末装置100及び認証装置200及び管理装置300の機能ブロックの構成の一例を示すブロック図。
実施の形態2におけるシステムの全体構成の一例を示すシステム構成図。
実施の形態2における接続情報管理サーバ装置350(管理装置の一例)の機能ブロックの構成の一例を示すブロック図。
実施の形態2における無線LAN端末装置150(端末装置の一例)の機能ブロックの構成の一例を示すブロック図。
実施の形態2における無線LANアクセスポイント装置260とアクセスポイント管理装置270の機能ブロックの構成の一例を示すブロック図。
「無線LAN接続情報生成フェーズ」における接続情報管理サーバ装置350の制御の流れの一例を示すフローチャート図。
「無線LAN接続情報配布フェーズ」における接続情報管理サーバ装置350と無線LAN端末装置150の制御の流れ及び両者間の通信シーケンスの一例を示す図。
「無線LAN接続情報設定フェーズ」における無線LAN端末装置150と無線LANアクセスポイント装置260とアクセスポイント管理装置270の通信シーケンスの一例を示す図。
「無線LAN接続情報設定フェーズ」における無線LAN端末装置150の制御の流れの一例を示すフローチャート図。
「無線LAN接続情報設定フェーズ」におけるアクセスポイント管理装置270の制御の流れの一例を示すフローチャート図。
「無線LAN接続情報設定フェーズ」における無線LANアクセスポイント装置260の制御の流れの一例を示すフローチャート図。
無線LANアクセスポイント装置による無線ネットワークを示す図。
保守端末装置と保守対象装置を無線ネットワークで接続する際の運用を示す図。

符号の説明

0176

100端末装置、111端末取得部、112 端末記憶部、113端末通知部、114 端末判別部、121更新情報取得部、122 更新情報記憶部、123更新要求通知部、500 社内LAN、300管理装置、311認証情報生成部、312 管理記憶部、313管理通知部、314更新情報通知部、600契約先LAN、200認証装置、211 認証部、212 認証記憶部、221更新要求取得部、222 認証更新部、150無線LAN端末装置、151接続情報受信部、152端末接続情報記憶部、163アクセスポイント接続制御部、173 接続情報更新要求部、191 端末装置共有鍵記憶部、192 端末装置共有情報復号部、550イントラネット、551有線/無線ネットワーク、350接続情報管理サーバ装置、361 接続情報生成部、362 接続情報記憶部、353 接続情報配布部、391 共有鍵記憶部、392 管理装置共有情報暗号化部、393端末共有情報暗号化部、650独立ネットワーク、651有線ネットワーク、652 無線ネットワーク、450 独立ネットワーク構成機器、250 認証装置、260無線LANアクセスポイント装置、261無線LAN接続制御部、262アクセスポイント接続情報記憶部、272 接続情報更新部、281無線通信インターフェース、282無線/有線ブリッジ部、270アクセスポイント管理装置、271 接続情報更新要求受信部、273 接続情報設定部、291 管理装置共有鍵記憶部、292 管理装置共有情報復号部、590保守会社、690保守作業現場、490保守対象装置、810無線ネットワーク機器、840有線ネットワーク機器、851 有線ネットワーク、852 無線ネットワーク、860 無線LANアクセスポイント装置、861 無線LAN接続制御部、862 アクセスポイント接続情報記憶部、872 接続情報更新部、881 無線通信インターフェース、882 無線/有線ブリッジ部、901CRT表示装置、902 K/B、903マウス、904FDD、905 CDD、906プリンタ装置、907スキャナ装置、910システムユニット、911 CPU、912バス、913 ROM、914 RAM、915通信ボード、920磁気ディスク装置、921 OS、922ウィンドウシステム、923プログラム群、924ファイル群、931電話器、932FAX機、942 LAN。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

  • シャープ株式会社の「 端末装置、基地局装置、通信方法、および、集積回路」が 公開されました。( 2019/09/12)

    【課題】上りリンクにおける送信を効率的に実行する。【解決手段】端末装置であって、パラメータ(skipUplinkTxSPS)が含まれるRRCメッセージを受信し、セミパーシステントスケジューリングの活性... 詳細

  • 株式会社東芝の「 通信装置、通信方法およびプログラム」が 公開されました。( 2019/09/12)

    【課題】相互に異なる複数の制御方式による通信が混在する通信システムを効率的に構築可能な通信装置、通信方法およびプログラムを提供する。【解決手段】通信装置は、複数の通信制御部と、選択部と、を備える。複数... 詳細

  • 株式会社東芝の「 通信装置、通信方法およびプログラム」が 公開されました。( 2019/09/12)

    【課題】通信効率の低下を抑制できる通信装置、通信方法およびプログラムを提供する。【解決手段】実施形態の通信装置は、選択部と、通信制御部と、を備える。選択部は、時分割多重方式の通信に用いる、データの処理... 詳細

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ