特許第5725532号(P5725532)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本電気通信システム株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電気通信システム株式会社の特許一覧

特許5725532無線通信装置、無線通信システム及び無線通信方法
<>
  • 特許5725532-無線通信装置、無線通信システム及び無線通信方法 図000002
  • 特許5725532-無線通信装置、無線通信システム及び無線通信方法 図000003
  • 特許5725532-無線通信装置、無線通信システム及び無線通信方法 図000004
  • 特許5725532-無線通信装置、無線通信システム及び無線通信方法 図000005
  • 特許5725532-無線通信装置、無線通信システム及び無線通信方法 図000006
  • 特許5725532-無線通信装置、無線通信システム及び無線通信方法 図000007
  • 特許5725532-無線通信装置、無線通信システム及び無線通信方法 図000008
  • 特許5725532-無線通信装置、無線通信システム及び無線通信方法 図000009
  • 特許5725532-無線通信装置、無線通信システム及び無線通信方法 図000010
  • 特許5725532-無線通信装置、無線通信システム及び無線通信方法 図000011
  • 特許5725532-無線通信装置、無線通信システム及び無線通信方法 図000012
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5725532
(24)【登録日】2015年4月10日
(45)【発行日】2015年5月27日
(54)【発明の名称】無線通信装置、無線通信システム及び無線通信方法
(51)【国際特許分類】
   H04L 9/32 20060101AFI20150507BHJP
   G09C 1/00 20060101ALI20150507BHJP
【FI】
   H04L9/00 673B
   G09C1/00 660E
【請求項の数】5
【全頁数】22
(21)【出願番号】特願2010-213354(P2010-213354)
(22)【出願日】2010年9月24日
(65)【公開番号】特開2012-70220(P2012-70220A)
(43)【公開日】2012年4月5日
【審査請求日】2013年8月15日
【前置審査】
(73)【特許権者】
【識別番号】000232254
【氏名又は名称】日本電気通信システム株式会社
(74)【代理人】
【識別番号】100106909
【弁理士】
【氏名又は名称】棚井 澄雄
(74)【代理人】
【識別番号】100134544
【弁理士】
【氏名又は名称】森 隆一郎
(74)【代理人】
【識別番号】100150197
【弁理士】
【氏名又は名称】松尾 直樹
(72)【発明者】
【氏名】高辻 慎吾
【審査官】 打出 義尚
(56)【参考文献】
【文献】 特開2006−345205(JP,A)
【文献】 特開2001−094555(JP,A)
【文献】 特開2003−258817(JP,A)
【文献】 特開2009−253380(JP,A)
【文献】 特開2009−182391(JP,A)
【文献】 特開2009−089230(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
G09C 1/00
(57)【特許請求の範囲】
【請求項1】
互いに異なるセキュリティ情報に基づいて無線通信を行い、互いに独立したネットワークを構成する第一無線通信部及び第二無線通信部を備え、
前記第一無線通信部は、自身のセキュリティ情報を公開せず、前記第二無線通信部は、自身のセキュリティ情報を公開し、
前記第二無線通信部は、前記第二無線通信部のセキュリティ情報に基づいて他の無線通信装置と無線通信を行い、前記他の無線通信装置から予め定められた特定情報が送信されたか否かを判定し、前記特定情報を送信した前記他の無線通信装置に対して、前記第一無線通信部のセキュリティ情報を送信し、
前記第一無線通信部は、前記第一無線通信部のセキュリティ情報に基づいて前記他の無線通信装置と無線通信を行い、
前記第二無線通信部は、前記特定情報を送信しない他の無線通信装置と、接続開始から0分よりも長い所定の時間の間無線通信を行う、
無線通信装置。
【請求項2】
前記第一無線通信部に割り当てられた情報であって前記セキュリティ情報とは異なる情報である第一識別情報を記憶する第一識別情報記憶部と、
前記第一無線通信部のセキュリティ情報を所定のタイミングで更新するセキュリティ設定制御部とをさらに備え、
前記第二無線通信部は、前記特定情報を送信する他の無線通信装置に対して、前記第一識別情報をさらに送信し、
前記第一無線通信部は、前記第一識別情報を送信する他の無線通信装置に対して、前記第一無線通信部の最新のセキュリティ情報を送信する
請求項1に記載の無線通信装置。
【請求項3】
第一無線通信装置及び第二無線通信装置を備える無線通信システムであって、
前記第一無線通信装置は、
互いに異なるセキュリティ情報に基づいて無線通信を行い、互いに独立したネットワークを構成する第一無線通信部及び第二無線通信部を備え、
前記第二無線通信装置は、
予め定められた特定情報を記憶する特定情報記憶部と、
前記第一無線通信装置と、セキュリティ情報に基づいて無線通信を行う無線通信部と、を備え、
前記第一無線通信部は、自身のセキュリティ情報を公開せず、前記第二無線通信部は、自身のセキュリティ情報を公開し、
前記無線通信部は、公開された前記第二無線通信部のセキュリティ情報に基づいて前記第二無線通信部に前記特定情報を送信し、
前記第二無線通信部は、前記第二無線通信部のセキュリティ情報に基づいて前記第二無線通信装置と無線通信を行い、前記第二無線通信装置から予め定められた特定情報が送信されたか否かを判定し、前記特定情報を送信した前記第二無線通信装置に対して、前記第一無線通信部のセキュリティ情報を送信し、
前記第二無線通信装置と前記第一無線通信部とは、前記第一無線通信部のセキュリティ情報に基づいて互いに無線通信を行い、
前記第二無線通信部は、前記特定情報を送信しない前記第二無線通信装置と、接続開始から0分よりも長い所定の時間の間無線通信を行う、
無線通信システム。
【請求項4】
互いに異なるセキュリティ情報に基づいて無線通信を行い、互いに独立したネットワークを構成する第一無線通信部及び第二無線通信部を備え、前記第一無線通信部のセキュリティ情報を公開しない無線通信装置が行う無線通信方法であって、
前記第二無線通信部が、自身のセキュリティ情報を公開するステップと、
前記第二無線通信部が、前記第二無線通信部のセキュリティ情報に基づいて他の無線通信装置と無線通信を行い、前記他の無線通信装置から予め定められた特定情報が送信されたか否かを判定し、前記特定情報を送信した前記他の無線通信装置に対して、前記第一無線通信部のセキュリティ情報を送信するステップと、
前記第一無線通信部が、前記第一無線通信部のセキュリティ情報に基づいて前記他の無線通信装置と無線通信を行うステップと、
前記第二無線通信部が、前記特定情報を送信しない他の無線通信装置と、接続開始から0分よりも長い所定の時間の間無線通信を行うステップと、
を有する無線通信方法。
【請求項5】
互いに異なるセキュリティ情報に基づいて無線通信を行い、互いに独立したネットワークを構成する第一無線通信部及び第二無線通信部を備え、前記第一無線通信部のセキュリティ情報を公開しない第一無線通信装置と、予め定められた特定情報を記憶する特定情報記憶部を備える第二無線通信装置と、を備える無線通信システムが行う無線通信方法であって、
前記第二無線通信部が、自身のセキュリティ情報を公開するステップと、
前記第二無線通信装置が、公開された前記第二無線通信部のセキュリティ情報に基づいて前記第二無線通信部に前記特定情報を送信するステップと、
前記第二無線通信部が、前記第二無線通信部のセキュリティ情報に基づいて前記第二無線通信装置と無線通信を行い、前記第二無線通信装置から予め定められた特定情報が送信されたか否かを判定し、前記特定情報を送信した前記第二無線通信装置に対して、前記第一無線通信部のセキュリティ情報を送信するステップと、
前記第二無線通信装置と前記第一無線通信部とが、前記第一無線通信部のセキュリティ情報に基づいて互いに無線通信を行うステップと、
前記第二無線通信部が、前記特定情報を送信しない前記第二無線通信装置と、接続開始から0分よりも長い所定の時間の間無線通信を行うステップと、
を有する無線通信方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線通信におけるセキュリティの技術に関する。
【背景技術】
【0002】
無線LAN(Local Area Network)アクセスポイントと無線LAN端末間で無線通信を行うためには、それぞれの装置に共通のセキュリティ情報を設定する必要がある。セキュリティ情報とは、例えばSSID(Service Set Identifier)、認証方式、暗号化方式、暗号化鍵などである。しかし、このようなセキュリティ情報の設定は、ユーザにとっては複雑な作業である。そのため、セキュリティ情報の設定を簡易な操作で自動的に行う方法が提案されている。
【0003】
例えば特許文献1に開示された発明は以下のとおりである。無線LAN端末の電源ボタンを押下すると、無線LANアクセスポイントと無線LAN端末とが自動的に共通のセキュリティ情報の設定を行う。そして、両装置の間で無線通信が確立される。また、無線LAN関連の業界団体であるWi−Fi Allianceが策定するWPS(Wi-Fi Protected Setup)が普及してきている。WPSは、セキュリティ情報の設定方法の一つである。WPSでは、PBC(Push Button Configuration)方式と、PIN(Personal Identification Number)方式とが定義されている(非特許文献1参照)。
【0004】
PBC方式では、無線LANアクセスポイントに搭載されているボタンと、無線LAN端末に搭載されているボタンと、を押すことによって、両装置に対してセキュリティ情報の設定を行うことができる。PIN方式では、無線LANアクセスポイントに設定されている8桁のPINコードを無線LAN端末に入力することによって、両装置に対してセキュリティ情報の設定を行うことができる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−50372号公報
【非特許文献】
【0006】
【非特許文献1】Wifi Alliance. Wi-fi protected setup specification, version 1.0h, Dec. 2006.
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、一度セキュリティ情報の設定が行われて無線通信が可能になると、その後はセキュリティ情報が長期間更新されないことが多かった。その結果、セキュリティが低下してしまうという問題点があった。このような問題点は、PIN方式を採用した無線LANシステムに限った問題ではない。すなわち、同様の問題点は、設定されたセキュリティ情報に基づいて無線通信を行う無線通信システムにとって共通の問題点である。
上記事情に鑑み、本発明は、設定されたセキュリティ情報に基づいて無線通信を行うシステムにおいて、セキュリティ低下を抑止することを可能とする無線通信技術を提供することを目的としている。
【課題を解決するための手段】
【0008】
本発明の一態様は、無線通信装置であって、互いに異なるセキュリティ情報に基づいて無線通信を行い、互いに独立したネットワークを構成する第一無線通信部及び第二無線通信部と、前記第一無線通信部に割り当てられた第一識別情報を記憶する第一識別情報記憶部と、を備え、前記第一無線通信部は、自身のセキュリティ情報を公開せず、前記第二無線通信部は、自身のセキュリティ情報を公開し、前記第二無線通信部は、前記第二無線通信部のセキュリティ情報に基づいて他の無線通信装置と無線通信を行い、予め定められた特定情報を送信する他の無線通信装置に対して、前記第一無線通信部のセキュリティ情報を送信し、前記第一無線通信部は、前記第一無線通信部のセキュリティ情報に基づいて前記他の無線通信装置と無線通信を行う。
【0009】
本発明の一態様は、第一無線通信装置及び第二無線通信装置を備える無線通信システムであって、前記第一無線通信装置は、互いに異なるセキュリティ情報に基づいて無線通信を行い、互いに独立したネットワークを構成する第一無線通信部及び第二無線通信部と、前記第一無線通信部に割り当てられた第一識別情報を記憶する第一識別情報記憶部と、を備え、前記第二無線通信装置は、予め定められた特定情報を記憶する特定情報記憶部と、前記第一無線通信装置と、セキュリティ情報に基づいて無線通信を行う無線通信部と、を備え、前記第一無線通信部は、自身のセキュリティ情報を公開せず、前記第二無線通信部は、自身のセキュリティ情報を公開し、前記無線通信部は、公開された前記第二無線通信部のセキュリティ情報に基づいて前記第二無線通信部に前記特定情報を送信し、前記第二無線通信部は、前記第二無線通信部のセキュリティ情報に基づいて前記第二無線通信装置と無線通信を行い、予め定められた特定情報を送信する前記第二無線通信装置に対して、前記第一無線通信部のセキュリティ情報を送信し、前記第二無線通信装置と前記第一無線通信部とは、前記第一無線通信部のセキュリティ情報に基づいて互いに無線通信を行う。
【0010】
本発明の一態様は、互いに異なるセキュリティ情報に基づいて無線通信を行い、互いに独立したネットワークを構成する第一無線通信部及び第二無線通信部と、前記第一無線通信部に割り当てられた第一識別情報を記憶する第一識別情報記憶部と、を備え、前記第一無線通信部のセキュリティ情報を公開しない無線通信装置が行う無線通信方法であって、前記第二無線通信部が、自身のセキュリティ情報を公開するステップと、前記第二無線通信部が、前記第二無線通信部のセキュリティ情報に基づいて他の無線通信装置と無線通信を行い、予め定められた特定情報を送信する他の無線通信装置に対して、前記第一無線通信部のセキュリティ情報を送信するステップと、前記第一無線通信部が、前記第一無線通信部のセキュリティ情報に基づいて前記他の無線通信装置と無線通信を行うステップと、を有する。
【0011】
本発明の一態様は、互いに異なるセキュリティ情報に基づいて無線通信を行い、互いに独立したネットワークを構成する第一無線通信部及び第二無線通信部と、前記第一無線通信部に割り当てられた第一識別情報を記憶する第一識別情報記憶部とを備え、前記第一無線通信部のセキュリティ情報を公開しない第一無線通信装置と、予め定められた特定情報を記憶する特定情報記憶部を備える第二無線通信装置と、を備える無線通信システムが行う無線通信方法であって、前記第二無線通信部が、自身のセキュリティ情報を公開するステップと、前記第二無線通信装置が、公開された前記第二無線通信部のセキュリティ情報に基づいて前記第二無線通信部に前記特定情報を送信するステップと、前記第二無線通信部が、前記第二無線通信部のセキュリティ情報に基づいて前記第二無線通信装置と無線通信を行い、予め定められた特定情報を送信する前記第二無線通信装置に対して、前記第一無線通信部のセキュリティ情報を送信するステップと、前記第二無線通信装置と前記第一無線通信部とが、前記第一無線通信部のセキュリティ情報に基づいて互いに無線通信を行うステップと、を有する。
【発明の効果】
【0012】
本発明により、設定されたセキュリティ情報に基づいて無線通信を行うシステムにおいて、セキュリティ低下を抑止することが可能となる。
【図面の簡単な説明】
【0013】
図1】無線通信システム100のシステム構成を表すシステム構成図である。
図2】中継装置1の機能構成を表す概略ブロック図である。
図3】アクセス管理テーブルの具体例を示す図である。
図4】第一無線通信部103の機能構成を表すブロック図である。
図5】第二無線通信部104の機能構成を表すブロック図である。
図6】第一無線通信部103と第二無線通信部104との関係を表す図である。
図7】無線端末装置2の機能構成を表す概略ブロック図である。
図8】特定無線端末装置2aが中継装置1と無線通信を開始する際の処理の流れを表すシーケンス図である。
図9】一般無線端末装置2bが中継装置1と無線通信を開始する際の処理の流れを表すシーケンス図である。
図10】特定無線端末装置2aが帰属している最中に第一無線通信部103の第一セキュリティ情報が更新された場合の、更新に関する処理の流れを表すシーケンス図である。
図11】過去に第一無線通信部103の第一データ通信部304と無線通信を行った特定無線端末装置2aが、帰属しなくなった後に再度第一無線通信部103との無線通信を再開する際の処理の流れを表すシーケンス図である。
【発明を実施するための形態】
【0014】
図1は、無線通信システム100のシステム構成を表すシステム構成図である。無線通信システム1は、中継装置1と、無線端末装置2とを備える。中継装置1及び無線端末装置2には、無線通信を行うためのセキュリティ情報が設定される。中継装置1と無線端末装置2とは、設定されたセキュリティ情報に基づいて無線通信を行う。セキュリティ情報とは、中継装置1と無線端末装置2とが無線通信を行うために必要となる情報である。セキュリティ情報は、例えばSSID(Service Set Identifier)、認証方式、暗号化方式、暗号化鍵等の情報である。また、暗号化方式、認証方式は、例えばWPA2−PSK(AES)である。
【0015】
中継装置1は、通信の中継を行う装置である。中継装置1は、例えば無線LAN(Local Area Network)のアクセスポイントである。無線端末装置2は、使用者によって操作される情報処理装置である。無線端末装置2は、例えば無線LANの端末装置である。無線端末装置2には、特定情報を送信する特定無線端末装置2aと、特定情報を送信しない一般無線端末装置2bとがある。中継装置1と無線端末装置2とは、Wi−Fi Allianceが策定するWPS(Wi-Fi Protected Setup)のPIN(Personal Identification Number)方式の規格に従って、セキュリティ情報の設定(認証処理)を行っても良い。以下の説明では、WPSのPIN方式で認証処理を行う場合の構成について説明する。なお、特定情報とは、第一無線通信部103と無線通信を行うことができる無線端末装置2のみが記憶する情報である。特定情報は、例えば所定の文字列や数値であっても良い。また、特定情報は複数種類あっても良い。
【0016】
図2は、中継装置1の機能構成を表す概略ブロック図である。中継装置1は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備える。中継装置1は、通信プログラムを実行することによって、第一アンテナ101、第二アンテナ102、第一無線通信部103、第二無線通信部104、第一識別情報記憶部105、第二識別情報記憶部106、セキュリティ設定制御部107、無線通信制御部108、タイマ制御部109、アクセス管理制御部110、アクセス管理テーブル記憶部111を備える装置として機能する。なお、中継装置1の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。また、中継装置1は、コンピュータ読み取り可能な記録媒体に記録された通信プログラムを、第一アンテナ101及び第二アンテナ102等を備えたコンピュータが読み取って実行することによって実現されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。
【0017】
第一アンテナ101は、空気中を伝搬する電波を受信し、受信した電波を電気信号に変換して復調及び復号化を行う。第一アンテナ101は、復号化されたデータを第一無線通信部103へ送信する。また、第一アンテナ101は、第一無線通信部103から出力されたデータに対し符号化及び変調を行い、電気信号を生成する。そして、第一アンテナ101は、生成した電気信号を電波として空気中に送信する。
【0018】
第二アンテナ102は、空気中を伝搬する電波を受信し、受信した電波を電気信号に変換して復調及び復号化を行う。第二アンテナ102は、復号化されたデータを第二無線通信部104へ送信する。また、第二アンテナ102は、第二無線通信部104から出力されたデータに対し符号化及び変調を行い、電気信号を生成する。そして、第二アンテナ102は、生成した電気信号を電波として空気中に送信する。
【0019】
第一無線通信部103は、第一アンテナ101を介して、アクセス管理テーブルに登録されている特定無線端末装置2aと無線通信を行う。また、第一無線通信部103は、特定無線端末装置2a以外の無線端末装置2とは無線通信を行わない。第一無線通信部103の詳細については後述する。
【0020】
第二無線通信部104は、第二アンテナ102を介して、アクセス管理テーブルに登録されている一般無線端末装置2bと無線通信を行う。また、第二無線通信部104は、自身に設定された端末識別情報に対応する無線端末装置2と無線通信を行い、認証処理を行う。また、第二無線通信部104は、自身のSSIDやWPS IEを含むビーコンを送信する。第二無線通信部104の詳細については後述する。
【0021】
第一識別情報記憶部105は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。第一識別情報記憶部105は、第一識別情報を予め記憶する。第一識別情報とは、第一無線通信部103に対して専用に割り当てられる情報であり、第一無線通信部103と認証処理を開始するために必要となる情報である。第一識別情報は、例えば第一無線通信部103に割り当てられたPINコードである。特定無線端末装置2aは、第一識別情報を用いた認証処理を行うことによって、第一無線通信部103のセキュリティ情報(第一セキュリティ情報)を取得することが可能である。
【0022】
第二識別情報記憶部106は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。第二識別情報記憶部106は、第二識別情報を予め記憶する。第二識別情報とは、第二無線通信部104に対して専用に割り当てられる情報であり、第二無線通信部104と認証処理を開始する際に用いられる情報である。第二識別情報は、例えば第二無線通信部104に割り当てられたPINコードである。なお、第一識別情報と第二識別情報とは異なる。また、第二識別情報記憶部106は、外部装置(中継装置1以外の装置)からのアクセスを受け付け、第二識別情報を出力する。一方、第一識別情報記憶部105は、外部装置(中継装置1以外の装置)からのアクセスは受け付けない。
【0023】
セキュリティ設定制御部107は、第一無線通信部103に設定されているセキュリティ情報の設定及び第二無線通信部104に設定されているセキュリティ情報の設定を制御する。また、セキュリティ設定制御部107は、第一無線通信部103のセキュリティ情報の一部又は全てを、所定のタイミングで更新する。以下の説明では、第一無線通信部103に設定されているセキュリティ情報を第一セキュリティ情報という。また、第二無線通信部104に設定されているセキュリティ情報を第二セキュリティ情報という。
【0024】
無線通信制御部108は、第一無線通信部103又は第二無線通信部104が送信する通信データを生成する。また、無線通信制御部108は、第一無線通信部103又は第二無線通信部104が受信する通信データを解析する。通信データとは、無線LAN通信データであっても良いし、他の通信フォーマットのデータであっても良い。なお、以下の説明では、通信データは無線LANの通信データである。
【0025】
タイマ制御部109は、計時を行う。
アクセス管理制御部110は、アクセス管理テーブル記憶部111に記憶されるアクセス管理テーブルに基づいて、第一無線通信部103又は第二無線通信部104に帰属する無線端末装置2のアクセスを管理する。なお、第一無線通信部103又は第二無線通信部104に帰属する無線端末装置2とは、第一無線通信部103又は第二無線通信部104と無線通信で通信データの送受信を行っている無線端末装置2のことである。言い換えれば、第一無線通信部103又は第二無線通信部104に帰属する無線端末装置2とは、アクセス管理テーブルに登録されている無線端末装置2のことである。
【0026】
アクセス管理テーブル記憶部111は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。アクセス管理テーブル記憶部111は、アクセス管理テーブルを記憶する。図3は、アクセス管理テーブルの具体例を示す図である。アクセス管理テーブルは、アドレス情報と、特定情報と、接続終了時刻とを対応付けたレコードを持つ。アドレス情報は、WPS PIN方式で認証がなされた無線端末装置2のMACアドレスである。特定情報は、MACアドレスによって表される無線端末装置2から、WPS PIN方式の認証処理中に特定情報が受信されたか否かを示す。接続終了時刻は、MACアドレスによって表される無線端末装置2から特定情報が受信されなかった場合に設定される。接続終了時刻は、自装置(中継装置1)がこの無線端末装置2との無線通信を終了する時刻を表す。すなわち、接続終了時刻が到来した際に、そのレコードは削除される。
【0027】
なお、特定情報が受信された無線端末装置2に対しては、接続終了時刻は設定されない。これは、特定情報が受信されない無線端末装置2(一般無線端末装置2b)からの接続を制限するためである。接続開始から接続終了までの時間は、中継装置1の管理者等によって任意に設定される。例えば、接続開始から接続終了までの時間が30分間と設定された場合、アクセス管理制御部110は、例えばWPS PIN方式の認証が完了した時刻から30分後の時刻を接続終了時刻としてアクセス管理テーブルに設定する。また、接続開始から接続終了までの時間が0分と設定されても良い。この場合、一般無線端末装置2bは中継装置1と無線通信を行うことができなくなる。
【0028】
図4は、第一無線通信部103の機能構成を表すブロック図である。第一無線通信部103は、第一セキュリティ情報記憶部301、秘匿部302、第一認証処理部303、第一データ通信部304を備える。
第一セキュリティ情報記憶部301は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。第一セキュリティ情報記憶部301は、第一セキュリティ情報を予め記憶する。また、セキュリティ設定制御部107によって第一セキュリティ情報が更新された場合には、第一セキュリティ情報記憶部301は、更新後の第一セキュリティ情報(更新第一セキュリティ情報)を受信し記憶する。
【0029】
秘匿部302は、SSID隠蔽機能を備える。SSID隠蔽機能とは、送信するビーコン信号に自身のSSIDを含めない機能である。秘匿部302はビーコン信号を送信する。しかしながら、秘匿部302によって送信されるビーコン信号には、WPS IE(Wi-Fi Protected Setup Information Element)が含まれない。WPS IEとは、自身(第一無線通信部103)がWPSをサポートしていることを通知するための情報である。また、秘匿部302はANY接続拒否機能を持つ。ANY接続拒否機能とは、無線端末装置2からのANY接続プローブ要求に対してプローブ応答を返さない機能である。そのため、秘匿部302は、プローブ応答を送信しない。以上のような秘匿部302の動作により、無線端末装置2は、ビーコン信号やプローブ応答によって第一無線通信部103のSSID及びWPS IEを取得することはできない。すなわち、第一無線通信部103のSSIDは公開されず、秘匿される。
【0030】
第一認証処理部303は、第一識別情報を用いて、無線通信によって認証処理を行う。第一認証処理部303は、例えば、第一識別情報をPINコードとして用いて、WPS PIN方式に従った認証処理を行っても良い。なお、認証処理を行う際に無線通信によって送受信されるデータを、認証用通信データと呼ぶ。
第一データ通信部304は、アクセス管理テーブルに登録されている特定無線端末装置2aと、無線通信によって通信データを送受信する。なお、通信データとは、無線通信によって送受信されるデータのうち、認証処理以外の用途で送受信されるデータである。
【0031】
図5は、第二無線通信部104の機能構成を表すブロック図である。第二無線通信部104は、第二セキュリティ情報記憶部401、公開部402、特定情報記憶部403、第二認証処理部404、第二データ通信部405を備える。
第二セキュリティ情報記憶部401は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。第二セキュリティ情報記憶部401は、第二セキュリティ情報を記憶する。
【0032】
公開部402は、SSID隠蔽機能を備えない。そのため、公開部402は、送信するビーコン信号に自身のSSID及びWPS IEを含める。また、公開部402はANY接続拒否機能を持たない。そのため、公開部402は、プローブ要求に応じてプローブ応答を送信する。以上のような公開部402の動作により、無線端末装置2は、ビーコン信号やプローブ応答に基づいて第二無線通信部104のSSID及びWPS IEを取得することができる。すなわち、第二無線通信部104のSSIDは公開される。
特定情報記憶部403は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。特定情報記憶部403は、特定情報を予め記憶する。
【0033】
第二認証処理部404は、端末識別情報又は第二識別情報を用いて、無線通信によって認証処理を行う。第二認証処理部404は、例えば、端末識別情報又は第二識別情報をPINコードとして用いて、WPS PIN方式に従った認証処理を行っても良い。
第二データ通信部405は、アクセス管理テーブルに登録されている一般無線端末装置2bと、無線通信によって通信データを送受信する。
【0034】
図6は、第一無線通信部103と第二無線通信部104との関係を表す図である。第一アンテナ101を介して第一無線通信部103と通信を行う無線端末装置2によって形成されるネットワーク(第一ネットワーク領域)と、第二アンテナ102を介して第二無線通信部104と通信を行う無線端末装置2によって形成されるネットワーク(第二ネットワーク領域)とは、お互いに独立している。したがって、第一ネットワーク領域に位置する無線端末装置2−1と、第二ネットワーク領域に位置する無線端末装置2−2とは、中継装置1を介して互いに通信を行うことはできない。
【0035】
図7は、無線端末装置2の機能構成を表す概略ブロック図である。無線端末装置2は、バスで接続されたCPUやメモリや補助記憶装置などを備える。無線端末装置2は、通信プログラムを実行することによって、アンテナ201、無線通信部202、端末識別情報記憶部203、セキュリティ設定制御部204、無線通信制御部205、識別情報記憶部206を備える装置として機能する。なお、無線端末装置2の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。また、無線端末装置2は、コンピュータ読み取り可能な記録媒体に記録された通信プログラムを、アンテナ201等を備えるコンピュータが読み取って実行することによって実現されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。
【0036】
アンテナ201は、空気中を伝搬する電波を受信し、受信した電波を電気信号に変換して復調及び復号化を行う。アンテナ201は、復号化されたデータを無線通信部202へ送信する。また、アンテナ201は、無線通信部202から出力されたデータに対し符号化及び変調を行い、電気信号を生成する。そして、アンテナ201は、生成した電気信号を電波として空気中に送信する。
【0037】
無線通信部202は、アンテナ201を介して中継装置1と無線通信を行う。また、無線通信部202は、予め設定された特定情報を記憶している。
【0038】
端末識別情報記憶部203は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。端末識別情報記憶部203は、端末識別情報を予め記憶する。端末識別情報とは、無線端末装置2に対して専用に割り当てられる情報であり、中継装置1と認証処理を開始する際に用いられる情報である。端末識別情報は、例えば無線端末装置2に割り当てられたPINコードである。
セキュリティ設定制御部204は、無線通信部202に設定されているセキュリティ情報の設定を制御する。
【0039】
無線通信制御部205は、無線通信部202が送信する無線LAN通信データを生成する。また、無線通信制御部205は、無線通信部202が受信する無線LAN通信データを解析する。
識別情報記憶部206は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。識別情報記憶部206は、中継装置1の第一識別情報記憶部105に記憶されている第一識別情報を記憶するための記憶部である。無線端末装置2が中継装置1と通信を開始する前は、識別情報記憶部206は第一識別情報を記憶していない。識別情報記憶部206は、中継装置1の第二無線通信部104から第一識別情報が受信された場合に、受信された第一識別情報を記憶する。
【0040】
図8は、特定無線端末装置2aが中継装置1と無線通信を開始する際の処理の流れを表すシーケンス図である。なお、図8に示される処理は、WPS PIN方式に従って第一セキュリティ情報の設定が行われる場合の処理である。無線通信システム100において、中継装置1と特定無線端末装置2aとが通信を開始する際の処理は、図8に示される具体例に限定されない。
【0041】
第一無線通信部103と第二無線通信部104とは、定期的にBeacon(ビーコン)を送信している(ステップS101、S102)。具体的には、第一無線通信部103の秘匿部302と、第二無線通信部104の公開部402とが、Beaconを送信する。第一無線通信部103のBeaconには、第一無線通信部103のSSID及びWPS IEが含まれていない。一方、第二無線通信部104のBeaconには、第二無線通信部104のSSID及びWPS IEが含まれている。
【0042】
また、特定無線端末装置2aは、Probe Request(プローブ要求)を定期的に送信している。このProbe Requestは、第二無線通信部104の公開部402及び第一無線通信部103の秘匿部302に受信される(ステップS103、S104)。第一無線通信部103の秘匿部302は、ANY接続拒否機能にしたがって、Probe Requestに対してProbe Responseを送信しない。一方、第二無線通信部104の公開部402は、ANY接続拒否機能を有していないため、Probe Requestに対してProbe Responseを送信する(ステップS105)。
【0043】
以上のように、第一無線通信部103から送信されるBeaconには、SSID及びWPS IEが含まれていない。また、第一無線通信部103は、Probe Requestに対してProbe Responseを送信しない。そのため、特定無線端末装置2aは、この段階では第一無線通信部103のSSIDを受信できず、第一無線通信部103がWPS対応アクセスポイントであると認識することができない。一方、第二無線通信部104から送信されるBeaconには、SSID及びWPS IEが含まれている。また、第二無線通信部104は、Probe Requestに対してProbe Responseを送信する。そのため、特定無線端末装置2aは、第二無線通信部104のSSIDを受信しており、第二無線通信部104がWPS対応アクセスポイントであると認識することができる。
【0044】
特定無線端末装置2aの使用者や中継装置1の管理者などが、特定無線端末装置2aの端末識別情報(PINコード)を中継装置1に設定することによって、WPS PIN方式の認証処理のシーケンスが開始される(ステップS106)。例えば、中継装置1がボタン等の入力装置を備えている場合には、このボタンを操作することによって端末識別情報が設定されても良い。また、中継装置1に通信可能に接続されている情報処理装置において中継装置1の管理画面を開いて端末識別情報を入力することによって設定が行われても良い。端末識別情報を中継装置1に設定する動作は、既存のどのような動作に基づいて行われても良い。
【0045】
認証処理が開始されると、まず、従来のWPS PIN方式の認証シーケンスに基づいた前処理が行われる(ステップS107)。具体的には、第二無線通信部104の第二認証処理部404と特定無線端末装置2aとの間で、Authentication及びAssociationが送受信される。次に、特定無線端末装置2aがEAPOL−Startを第二無線通信部104へ送信する。次に、第二無線通信部104の第二認証処理部404がEAP−Request/identityを特定無線端末装置2aへ送信する。次に、特定無線端末装置2aがEAP−Response/identityを第二無線通信部104へ送信する。次に、第二無線通信部104の第二認証処理部404がEAP−Request(Start)を特定無線端末装置2aへ送信する。次に、特定無線端末装置2aがEAP−Resopnse(M1)を第二無線通信部104へ送信する。そして、第二無線通信部104の第二認証処理部404がEAP−Request(M2)を特定無線端末装置2aへ送信する。以上で前処理が完了する。
【0046】
次に、特定無線端末装置2aの無線通信部202は、予め設定された特定情報を、第二無線通信部104宛のデータに付加する(ステップS108)。本実施形態では、特定情報が付加されるデータはEAP−Response(M7)である。そして、無線通信部202は、特定情報が付加されたEAP−Response(M7)を第二無線通信部104へ送信する(ステップS109)。
【0047】
第二無線通信部104の第二認証処理部404は、EAP−Response(M7)を受信すると、受信したEAP−Response(M7)に特定情報が含まれているか否か判定する(ステップS110)。図8に示されるシーケンスでは、EAP−Response(M7)に特定情報が含まれている。この場合、第二無線通信部104の第二認証処理部404は、第一無線通信部103の第一セキュリティ情報及び第一識別情報を、特定無線端末装置2a宛のデータに付加する(ステップS111)。本実施形態では、第一セキュリティ情報及び第一識別情報が付加されるデータはEAP−Request(M8)である。そして、第二無線通信部104の第二認証処理部404は、EAP−Request(M8)を特定無線端末装置2aに送信する(ステップS112)。
【0048】
EAP−Response(M7)及びEAP−Request(M8)は、WPSの規格で定義されている暗号化手順に従って暗号化される。この暗号化は、例えば第二無線通信部104の第二認証処理部404及び無線通信部202によって行われる。そのため、これらのデータが第三者に傍受されたとしても、第一セキュリティ情報や第一識別情報が第三者によって参照されることはない。なお、第一セキュリティ情報及び第一識別情報が送信される際の暗号化は、WPSの規格に限定される必要は無く、他の暗号化手法が採用されても良い。
【0049】
特定無線端末装置2aの無線通信部202は、EAP−Request(M8)を受信すると、受信したEAP−Request(M8)から第一識別情報を抽出する。そして、無線通信部202は、抽出された第一識別情報を、識別情報記憶部206に格納する(ステップS113)。また、無線通信部202は、受信したEAP−Request(M8)からセキュリティ情報を抽出する。そして、無線通信部202は、抽出されたセキュリティ情報をセキュリティ設定制御部204に送信する。セキュリティ設定制御部204は、受信したセキュリティ情報を、自装置(特定無線端末装置2a)が行う無線通信のセキュリティ情報として設定する(ステップS114)。なお、このセキュリティ情報は、第一無線通信部103の第一セキュリティ情報である。そのため、ステップS114の処理以降は、第一無線通信部103の第一セキュリティ情報が変更されるまで、特定無線端末装置2aは、認証処理に関するデータ以外のデータ(通信データ)を、第一無線通信部103との間で無線通信により送受信することが可能である。
【0050】
以上の処理でWPS PIN方式による認証処理が終了する(ステップS115)。そして、第二無線通信部104の第二認証処理部404は、特定無線端末装置2aに関する情報(無線端末装置レコード)をアクセス管理制御部110へ送信する。アクセス管理制御部110は、特定無線端末装置2aに関する情報をアクセス管理テーブルに登録する(ステップS116)。具体的には、アクセス管理制御部110は、アドレス情報、特定情報として、それぞれ特定無線端末装置2aのMACアドレス、“あり”を登録する。また、アクセス管理制御部110は、接続終了時刻は登録しない。
【0051】
以上の処理で、第一無線通信部103と特定無線端末装置2aとの間で無線通信の接続が完了する。そして、第一無線通信部103の第一データ通信部304と特定無線端末装置2aとの間で無線通信が開始される。具体的には、特定無線端末装置2aは、Authentication及びAssociationを第一無線通信部103へ送信する(ステップS117、S118)。そして、第一無線通信部103の第一データ通信部304は、特定無線端末装置2aとの無線通信(無線LAN通信)を開始する(ステップS119)。また、特定無線端末装置2aは、第一無線通信部103との無線通信(無線LAN通信)を開始する(ステップS120)。
【0052】
図9は、一般無線端末装置2bが中継装置1と無線通信を開始する際の処理の流れを表すシーケンス図である。なお、図9に示される処理は、WPS PIN方式に従って第二セキュリティ情報の設定が行われる場合の処理である。無線通信システム100において、中継装置1と一般無線端末装置2bとが通信を開始する際の処理は、図9に示される具体例に限定されない。
【0053】
第一無線通信部103と第二無線通信部104とは、定期的にBeaconを送信している(ステップS201、S202)。具体的には、第一無線通信部103の秘匿部302と、第二無線通信部104の公開部402とが、Beaconを送信する。第一無線通信部103のBeaconには、第一無線通信部103のSSID及びWPS IEが含まれていない。一方、第二無線通信部104のBeaconには、第二無線通信部104のSSID及びWPS IEが含まれている。
【0054】
また、一般無線端末装置2bは、Probe Requestを定期的に送信している。このProbe Requestは、第二無線通信部104の公開部402及び第一無線通信部103の秘匿部302に受信される(ステップS203、S204)。第一無線通信部103の秘匿部302は、ANY接続拒否機能にしたがって、Probe Requestに対してProbe Responseを送信しない。一方、第二無線通信部104の公開部402は、ANY接続拒否機能を有していないため、Probe Requestに対してProbe Responseを送信する(ステップS205)。
【0055】
以上のように、第一無線通信部103から送信されるBeaconには、SSID及びWPS IEが含まれていない。また、第一無線通信部103は、Probe Requestに対してProbe Responseを送信しない。そのため、一般無線端末装置2bは、第一無線通信部103のSSIDを受信できず、第一無線通信部103がWPS対応アクセスポイントであると認識することができない。一方、第二無線通信部104から送信されるBeaconには、SSID及びWPS IEが含まれている。また、第二無線通信部104は、Probe Requestに対してProbe Responseを送信する。そのため、一般無線端末装置2bは、第二無線通信部104のSSIDを受信しており、第二無線通信部104がWPS対応アクセスポイントであると認識することができる。
【0056】
一般無線端末装置2bの使用者や中継装置1の管理者などが、一般無線端末装置2bの端末識別情報(PINコード)を中継装置1に設定することによって、WPS PIN方式の認証処理のシーケンスが開始される(ステップS206)。例えば、中継装置1がボタン等の入力装置を備えている場合には、このボタンを操作することによって端末識別情報が設定されても良い。また、中継装置1に通信可能に接続されている情報処理装置において中継装置1の管理画面を開いて端末識別情報を入力することによって設定が行われても良い。端末識別情報を中継装置1に設定する動作は、既存のどのような動作に基づいて行われても良い。
【0057】
認証処理が開始されると、まず、従来のWPS PIN方式の認証シーケンスに基づいた前処理が行われる(ステップS207)。この処理の具体的な内容は、図8のステップS107に示される前処理と同じである。そのため、説明を省略する。次に、一般無線端末装置2bの無線通信部202は、EAP−Response(M7)を第二無線通信部104へ送信する(ステップS208)。このEAP−Response(M7)には、特定情報が付加されない。
【0058】
第二無線通信部104の第二認証処理部404は、EAP−Response(M7)を受信すると、受信したEAP−Response(M7)に特定情報が含まれているか否か判定する(ステップS209)。図9に示されるシーケンスでは、EAP−Response(M7)に特定情報が含まれていない。この場合、第二無線通信部104の第二認証処理部404は、第二無線通信部104の第二セキュリティ情報を、一般無線端末装置2b宛のデータに付加する(ステップS210)。本実施形態では、第二セキュリティ情報が付加されるデータはEAP−Request(M8)である。そして、第二無線通信部104の第二認証処理部404は、EAP−Request(M8)を一般無線端末装置2bに送信する(ステップS211)。ステップS210の処理において、第二無線通信部104の第二認証処理部404は、第一無線通信部103の第一セキュリティ情報及び第一識別情報は、一般無線端末装置2b宛のデータに付加しない。そのため、一般無線端末装置2bに対して第一無線通信部103の第一セキュリティ情報及び第一識別情報が漏洩することを防止することができる。
【0059】
一般無線端末装置2bの無線通信部202は、EAP−Request(M8)を受信すると、受信したEAP−Request(M8)からセキュリティ情報を抽出する。そして、無線通信部202は、抽出されたセキュリティ情報をセキュリティ設定制御部204に送信する。セキュリティ設定制御部204は、受信したセキュリティ情報を、自装置(一般無線端末装置2b)が行う無線通信のセキュリティ情報として設定する(ステップS212)。なお、このセキュリティ情報は、第二無線通信部104の第二セキュリティ情報である。そのため、ステップS212の処理以降は、一般無線端末装置2bは、認証処理に関するデータ以外のデータ(通信データ)を、第二無線通信部104との間で無線通信により送受信することが可能である。
【0060】
以上の処理でWPS PIN方式による認証処理が終了する(ステップS213)。そして、第二無線通信部104の第二認証処理部404は、一般無線端末装置2bに関する情報(無線端末装置レコード)をアクセス管理制御部110へ送信する。アクセス管理制御部110は、一般無線端末装置2bに関する情報をアクセス管理テーブルに登録する(ステップS214)。具体的には、アクセス管理制御部110は、アドレス情報、特定情報として、それぞれ一般無線端末装置2bのMACアドレス、“なし”を登録する。また、アクセス管理制御部110は、接続終了時刻を登録する。
【0061】
以上の処理で、第二無線通信部104と一般無線端末装置2bとの間で無線通信の接続が完了する。そして、第二無線通信部104の第二データ通信部405と一般無線端末装置2bとの間で無線通信が開始される。具体的には、一般無線端末装置2bは、Authentication及びAssociationを第二無線通信部104へ送信する(ステップS215、S216)。そして、第二無線通信部104の第二データ通信部405は、一般無線端末装置2bとの無線通信(無線LAN通信)を開始する(ステップS217)。また、一般無線端末装置2bは、第二無線通信部104との無線通信(無線LAN通信)を開始する(ステップS218)。
【0062】
上述した通り、一般無線端末装置2bは、第一無線通信部103の第一セキュリティ情報や第一識別情報を受信することなく、第二無線通信部104との間で無線通信を開始する。また、第二無線通信部104に接続された一般無線端末装置2bは、第一無線通信部103に接続された特定無線端末装置2aにアクセスすることができない。そのため、中継装置1は、特定無線端末装置2aとの無線通信のセキュリティを高く維持しつつ、一般無線端末装置2bに対する無線通信も提供することが可能となる。
【0063】
次に、第一無線通信部103の第一セキュリティ情報の更新処理について説明する。第一無線通信部103における無線通信のセキュリティを高く維持するために、所定のタイミングで第一セキュリティ情報が更新される。そのため、特定無線端末装置2aは、第一無線通信部103の第一セキュリティ情報が更新された後は、更新前に受信し第一セキュリティ情報を用いて第一無線通信部103と無線通信を行うことはできなくなる。しかし、更新後の第一セキュリティ情報を特定無線端末装置2aに対し更新の度に設定し直す作業は、使用者にとって非常に煩雑である。そこで、無線通信システム100では、第一セキュリティ情報の更新後にも、セキュリティを維持したままで無線通信を再開又は維持させるための処理が行われる。以下、この処理について説明する。
【0064】
図10は、特定無線端末装置2aが帰属している最中に第一無線通信部103の第一セキュリティ情報が更新された場合の、更新に関する処理の流れを表すシーケンス図である。このシーケンスが開始された時点では、第一無線通信部103の第一データ通信部304と特定無線端末装置2aとは無線通信を行っている(ステップS301)。セキュリティ設定制御部107は、タイマ制御部109を監視し、第一セキュリティ情報の更新タイミングが到来したか否か判定する。更新タイミングは、例えば前回の更新から所定の時間(例えば20時間、2日、2週間など)の経過時であっても良いし、毎日所定時刻(例えば0時0分など)の到来時であっても良いし、その他のタイミングであっても良い。
【0065】
第一セキュリティ情報の更新タイミングが到来していなければ、セキュリティ設定制御部107は、更新タイミングの到来まで監視を継続する。第一セキュリティ情報の更新タイミングが到来した場合、セキュリティ設定制御部107は、更新を行うことを第一無線通信部103へ通知する。第一無線通信部103の第一データ通信部304は、アクセス管理制御部110に対し、特定無線端末装置2aのアドレス情報の抽出を指示する。アクセス管理制御部110は、アクセス管理テーブルを参照し、特定情報の値が“あり”となっているレコードのアドレス情報を抽出する(ステップS302)。そして、アクセス管理制御部110は、抽出されたアドレス情報を第一無線通信部103の第一データ通信部304に通知する。第一無線通信部103は、抽出された各アドレス情報に対応する特定無線端末装置2aに対し、ユニキャストでセキュリティ情報更新フレームを送信する(ステップS303)。
【0066】
第一無線通信部103の第一データ通信部304がセキュリティ情報更新フレームを送信した後、セキュリティ設定制御部107は、第一無線通信部103の第一セキュリティ情報を更新する(ステップS304)。例えば、SSID及び暗号化鍵を更新することによって第一セキュリティ情報の更新が行われる。このとき、セキュリティ設定制御部107は、SSID及び暗号化鍵をランダムな値に変更することによって更新を行っても良い。このように構成されることによって、更新後のSSID及び暗号化鍵を第三者に推測される可能性を低減させることができる。
【0067】
第一セキュリティ情報が更新された後、特定無線端末装置2aの無線通信部202は、識別情報記憶部206から第一識別情報を読み出す(ステップS305)。そして、無線通信部202は、読み出した第一識別情報を使用してWPS PIN方式に従った認証処理を開始する(ステップS306)。なお、ステップS305及びステップS306の処理が実行されるタイミングは、セキュリティ情報更新フレームを受信してから所定の時間が経過した時点であっても良いし、更新前の第一セキュリティ情報を用いた無線通信ができなくなった時点であっても良いし、その他のタイミングであっても良い。
【0068】
認証処理が開始されると、まず、従来のWPS PIN方式の認証シーケンスに基づいた前処理が行われる(ステップS307)。このとき、第一認証処理部303は、第一識別情報を送信してきた特定無線端末装置2aのみと認証処理を行う。前処理の具体的な内容は、図8のステップS107に示される前処理と同じである。そのため、説明を省略する。次に、第一無線通信部103の第一認証処理部303は、更新後の第一セキュリティ情報を第一セキュリティ情報記憶部301から読み出し、特定無線端末装置2a宛のデータに付加する(ステップS308)。本実施形態では、第一セキュリティ情報が付加されるデータはEAP−Request(M7)である。そして、第一無線通信部103の第一認証処理部303は、EAP−Request(M7)を特定無線端末装置2aに送信する(ステップS309)。
【0069】
EAP−Request(M7)は、WPSの規格で定義されている暗号化手順に従って暗号化される。この暗号化は、例えば第一無線通信部103の第一認証処理部303及び無線通信部202によって行われる。そのため、第三者に傍受されたとしても、更新後の第一セキュリティ情報が第三者によって参照されることはない。
【0070】
特定無線端末装置2aの無線通信部202は、EAP−Request(M7)を受信すると、受信したEAP−Request(M7)から更新後のセキュリティ情報を抽出する。そして、無線通信部202は、抽出されたセキュリティ情報をセキュリティ設定制御部204に送信する。セキュリティ設定制御部204は、受信したセキュリティ情報を、自装置(特定無線端末装置2a)が行う無線通信のセキュリティ情報として設定する(ステップS310)。なお、このセキュリティ情報は、第一無線通信部103の更新後の第一セキュリティ情報である。そのため、ステップS310の処理以降は、第一無線通信部103の第一セキュリティ情報がさらに変更されるまで、特定無線端末装置2aは第一無線通信部103の第一データ通信部304と通信データの無線通信を行うことが可能である。その後、特定無線端末装置2aの無線通信部202は、第一無線通信部103に対してEAP−Response(NACK)及びEAP−Failを送信する(ステップS311、S312)。
【0071】
以上の処理で、第一無線通信部103と特定無線端末装置2aとの間で、更新後の第一セキュリティ情報を用いた無線通信の接続処理が完了する。そして、第一無線通信部103の第一データ通信部304と特定無線端末装置2aとの間で無線通信が開始される。具体的には、特定無線端末装置2aは、Authentication及びAssociationを第一無線通信部103へ送信する(ステップS313、S314)。そして、第一無線通信部103の第一データ通信部304は、特定無線端末装置2aとの無線通信(無線LAN通信)を開始する(ステップS315)。また、特定無線端末装置2aは、第一無線通信部103との無線通信(無線LAN通信)を開始する(ステップS316)。
【0072】
次に、過去に第一無線通信部103の第一データ通信部304と無線通信を行った特定無線端末装置2aが、帰属しなくなった後に再度第一無線通信部103の第一データ通信部304との通信を再開する際の処理について説明する。この処理が開始された時点では、第一無線通信部103の第一データ通信部304と特定無線端末装置2aとは無線通信を行っていない。そのため、アクセス管理テーブルには特定無線端末装置2aに関するレコードは登録されていない。しかしながら、上述したように特定無線端末装置2aは過去に第一無線通信部103の第一データ通信部304と無線通信を行ったことがある。そのため、特定無線端末装置2aの識別情報記憶部206には、第一識別情報が格納されている。
【0073】
なお、一度第一無線通信部103に帰属した特定無線端末装置2aが、その後に帰属しなくなる処理は、例えば以下のように行われる。特定無線端末装置2aは、帰属した後も定期的にAuthentication及びAssociationを第一無線通信部103に対し送信する。第一無線通信部103の第一データ通信部304は、Authentication及びAssociationを前回受信してから所定の時間が経過しても新たなAuthentication及びAssociationを受信しない場合には、この特定無線端末装置2aとの通信データの送受信を停止する。この場合、第一データ通信部304は、アクセス管理制御部110に対し、この特定無線端末装置2aに関するレコードを削除するように通知する。この通知を受けて、アクセス管理制御部110は、この特定無線端末装置2aに関するレコードをアクセス管理テーブルから削除する。例えば、特定無線端末装置2aが中継装置1の無線通信圏外に移動したり、特定無線端末装置2aの電源がOFFにされたりすることによって、このような状況が生じうる。このとき、帰属を外れた特定無線端末装置2aは、識別情報記憶部206に記憶されている第一識別情報を削除せず記憶し続ける。
【0074】
図11は、過去に第一無線通信部103の第一データ通信部304と無線通信を行った特定無線端末装置2aが、帰属しなくなった後に再度第一無線通信部103との無線通信を再開する際の処理の流れを表すシーケンス図である。まず、特定無線端末装置2aの無線通信部202は、識別情報記憶部206から第一識別情報を読み出す(ステップS401)。そして、無線通信部202は、読み出した第一識別情報を使用してWPS PIN方式に従った認証処理を開始する(ステップS402)。なお、ステップS401及びステップS402の処理は、中継装置1の無線通信の圏内であるか否かに係わらず定期的に行われても良いし、特定無線端末装置2aの使用者が通信開始の指示を入力したタイミングで実行されても良いし、他のタイミングで実行されても良い。
【0075】
認証処理が開始されると、まず、従来のWPS PIN方式の認証シーケンスに基づいた前処理が行われる(ステップS403)。このとき、第一認証処理部303は、第一識別情報を送信してきた特定無線端末装置2aのみと認証処理を行う。前処理の具体的な内容は、図8のステップS107に示される前処理と同じである。そのため、説明を省略する。次に、第一無線通信部103の第一認証処理部303は、第一セキュリティ情報記憶部301に記憶されている第一セキュリティ情報を読み出し、特定無線端末装置2a宛のデータに付加する(ステップS404)。本実施形態では、第一セキュリティ情報が付加されるデータはEAP−Request(M7)である。そして、第一無線通信部103の第一認証処理部303は、EAP−Request(M7)を特定無線端末装置2aに送信する(ステップS405)。
【0076】
EAP−Request(M7)は、WPSの規格で定義されている暗号化手順に従って暗号化される。この暗号化は、例えば第一無線通信部103の第一認証処理部303及び無線通信部202によって行われる。そのため、第三者に傍受されたとしても、第一セキュリティ情報が第三者によって参照されることはない。
【0077】
特定無線端末装置2aの無線通信部202は、EAP−Request(M7)を受信すると、受信したEAP−Request(M7)からセキュリティ情報を抽出する。そして、無線通信部202は、抽出されたセキュリティ情報をセキュリティ設定制御部204に送信する。セキュリティ設定制御部204は、受信したセキュリティ情報を、自装置(特定無線端末装置2a)が行う無線通信のセキュリティ情報として設定する(ステップS406)。なお、このセキュリティ情報は、第一無線通信部103の最新の第一セキュリティ情報である。そのため、ステップS406の処理以降は、第一無線通信部103の第一セキュリティ情報が変更されるまで、特定無線端末装置2aは第一無線通信部103の第一データ通信部304と通信データの無線通信を行うことが可能である。その後、特定無線端末装置2aの無線通信部202は、第一無線通信部103に対してEAP−Response(NACK)及びEAP−Failを送信する(ステップS407、S408)。
【0078】
以上の処理でWPS PIN方式による認証処理が終了する。そして、第一無線通信部103の第一認証処理部303は、特定無線端末装置2aに関する情報をアクセス管理制御部110へ送信する。アクセス管理制御部110は、特定無線端末装置2aに関する情報をアクセス管理テーブルに登録する(ステップS409)。具体的には、アクセス管理制御部110は、アドレス情報、特定情報として、それぞれ特定無線端末装置2aのMACアドレス、“あり”を登録する。また、アクセス管理制御部110は、接続終了時刻は登録しない。
【0079】
以上の処理で、第一無線通信部103と特定無線端末装置2aとの間で、最新の第一セキュリティ情報を用いた無線通信の接続処理が完了する。そして、第一無線通信部103の第一データ通信部304と特定無線端末装置2aとの間で無線通信が開始される。具体的には、特定無線端末装置2aは、Authentication及びAssociationを第一無線通信部103へ送信する(ステップS410、S411)。そして、第一無線通信部103の第一データ通信部304は、特定無線端末装置2aとの無線通信(無線LAN通信)を開始する(ステップS412)。また、特定無線端末装置2aは、第一無線通信部103との無線通信(無線LAN通信)を開始する(ステップS413)。
【0080】
中継装置1は、二つのアンテナ及び無線通信部の組を備える。本実施形態では、中継装置1は、第一アンテナ101及び第一無線通信部103の組と、第二アンテナ102及び第二無線通信部104の組とを備える。また、第一無線通信部103と第二無線通信部104とには、異なるセキュリティ情報が設定される。そして、第一無線通信部103の第一セキュリティ情報の他の装置への送信は以下のいずれかに制限される。一つには、特定無線端末装置2aに対して、第二無線通信部104が認証処理の最中(図8のS112の処理)に送信する場合である。また、一つには、特定無線端末装置2aに対し、第一識別情報を用いた認証処理の最中(図10のS309の処理及び図11のS405の処理)に送信する場合である。これらの送信は、暗号化手順に従って暗号化されて行われる。そのため、特定情報を有していない一般無線端末装置2bに対して第一無線通信部103の第一セキュリティ情報が漏洩する可能性を低減させることができる。また、第一無線通信部103の第一データ通信部304と無線通信を行う無線端末装置2を、特定無線端末装置2aに制限することが可能となる。以上のことから、第一無線通信部103によって形成される第一ネットワーク領域におけるセキュリティを高く維持することが可能となる。
【0081】
また、中継装置1のセキュリティ設定制御部107は、所定のタイミングで第一無線通信部103の第一セキュリティ情報を更新する。そのため、第一ネットワーク領域におけるセキュリティを高く維持することが可能となる。すなわち、セキュリティの低下を抑止することができる。
【0082】
また、第一無線通信部103の第一セキュリティ情報が更新された後は、第一識別情報を記憶している特定無線端末装置2aであれば、その時点で帰属中であるか否かに係わらず、ユーザの操作に依存することなく新たな第一セキュリティ情報が特定無線端末装置2aに設定される。この処理において、ユーザは第一セキュリティ情報に関する複雑な操作をする必要が無い。そのため、更新後の第一セキュリティ情報を用いた無線通信の維持又は再開が容易に行われる。なお、この処理は、第一識別情報を用いて認証処理が行われることによって実現される。
【0083】
また、更新後の第一セキュリティ情報は、第一識別情報をPINコードとして用いたWPS PIN方式によって、特定無線端末装置2aへ送信されても良い。この場合、従来から存在する方式によって実装がなされているため、更新後の第一セキュリティ情報を通知する構成を構築するのに要するコストや時間を削減することが可能となる。
【0084】
また、中継装置1は、特定無線端末装置2aに対してセキュリティの高い無線通信を提供するとともに、一般無線端末装置2bに対しても無線通信を提供することが可能となる。
【0085】
なお、一般無線端末装置2bは、端末識別情報ではなく、中継装置1のPINコードを用いてWPS PIN方式を実行することも可能である。この場合、一般無線端末装置2bは、第二識別情報を用いることによってWPS PIN方式を実行することができる。第二識別情報記憶部106は、外部装置(中継装置1以外の装置)からのアクセスを受け付けるため、このような処理が可能となる。なお、第二識別情報は、他の媒体(中継装置1の説明書、中継装置1の筐体に貼られたシールなど)に閲覧可能に記載されていても良い。
【0086】
[変形例]
中継装置1は、無線LANアクセスポイントに限定される必要は無い。例えば、中継装置1は、無線LANとは異なる形態で無線通信を行う装置であっても良い。また、無線通信システム100を構成する無線通信装置は、中継装置及び無線端末装置の組み合わせに限定される必要は無い。少なくとも、図2に示される中継装置1の各構成を備えた無線通信装置と、図7に示される無線端末装置2の各構成を備えた無線通信装置との組み合わせであれば、無線通信システム100を構成できる。
【0087】
セキュリティ設定制御部107が第一セキュリティ情報の更新を行うタイミングは、タイマ制御部109による計時と関係の無いタイミングであっても良い。例えば、中継装置1の管理者によって更新指令が行われたタイミングであっても良いし、アクセス管理テーブルに登録されている特定無線端末装置2aの台数が所定台数を超えたタイミングであっても良いし、その他のタイミングであっても良い。
【0088】
上述した実施形態では、WPS PIN方式が採用された場合の構成について説明をしたが、WPS PBC方式が採用されても良い。例えば、中継装置1にWPS PBC方式を実行するためのボタンを具備することによって、WPS PBC方式を実行可能としてもよい。ただし、第二無線通信部104におけるWPS PBC実行時は、上述した実施形態同様、第一無線通信部103の第一セキュリティ情報および第一識別情報は隠蔽されなければならない。
【0089】
また、中継装置1は、一般無線端末装置2bとの無線通信を行わないように構成されても良い。この場合、第二無線通信部104は、第一無線通信部103の第一セキュリティ情報通知用の無線通信部となる。また、第一無線通信部103は、セキュアな無線通信を提供するための無線通信部となる。
【0090】
図10のS303の処理において、セキュリティ情報更新フレームが送信されないように構成されても良い。この場合、ステップS305及びステップS306の処理が実行されるタイミングは、セキュリティ情報更新フレームに拘わらずに発生するタイミングとして実装される。
【0091】
第一無線通信部103が備える各機能部は、第一無線通信部103の外部に備えられても良い。例えば、第一セキュリティ情報記憶部301は、第一無線通信部103の外部であって中継装置1の内部に備えられても良い。また、第一識別情報記憶部105は、第一無線通信部103の内部に備えられても良い。
第二無線通信部104が備える各機能部は、第二無線通信部104の外部に備えられても良い。例えば、第二セキュリティ情報記憶部401又は特定情報記憶部403は、第二無線通信部104の外部であって中継装置1の内部に備えられても良い。また、第二識別情報記憶部106は、第二無線通信部104の内部に備えられても良い。
【0092】
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【符号の説明】
【0093】
1…中継装置(無線通信装置、第一無線通信装置), 101…第一アンテナ, 102…第二アンテナ, 103…第一無線通信部, 104…第二無線通信部, 105…第一識別情報記憶部, 106…第二識別情報記憶部, 107…セキュリティ設定制御部, 108…無線通信制御部, 109…タイマ制御部, 110…アクセス管理制御部, 111…アクセス管理テーブル記憶部, 2…無線端末装置(他の無線通信装置、第二無線通信装置), 2a…特定無線端末装置, 2b…一般無線端末装置, 201…アンテナ, 202…無線通信部, 203…端末識別情報記憶部, 204…セキュリティ設定制御部, 205…無線通信制御部, 206…識別情報記憶部
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.