JP2006109449A - 認証された無線局に暗号化キーを無線で提供するアクセスポイント - Google Patents
認証された無線局に暗号化キーを無線で提供するアクセスポイント Download PDFInfo
- Publication number
- JP2006109449A JP2006109449A JP2005279935A JP2005279935A JP2006109449A JP 2006109449 A JP2006109449 A JP 2006109449A JP 2005279935 A JP2005279935 A JP 2005279935A JP 2005279935 A JP2005279935 A JP 2005279935A JP 2006109449 A JP2006109449 A JP 2006109449A
- Authority
- JP
- Japan
- Prior art keywords
- wireless station
- access point
- symmetric encryption
- encryption key
- wireless
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】ユーザに手間をかけさせずに、無線ネットワークにおいて、暗号化通信のための無線局を構成する。
【解決手段】本発明にかかるアセスポイント(22)は、無線送受信機(34、48)と、無線送受信機(34、48)に結合され、無線局(24)による有線ネットワーク(23)へのアクセスを可能にするように適合されたホストロジック(30)とを具備し、ホストロジック(30)は、無線送受信機(34、48)を通して、非対称暗号化を使用して無線局(24)に対称暗号化キーを無線で提供する。
【選択図】図2
【解決手段】本発明にかかるアセスポイント(22)は、無線送受信機(34、48)と、無線送受信機(34、48)に結合され、無線局(24)による有線ネットワーク(23)へのアクセスを可能にするように適合されたホストロジック(30)とを具備し、ホストロジック(30)は、無線送受信機(34、48)を通して、非対称暗号化を使用して無線局(24)に対称暗号化キーを無線で提供する。
【選択図】図2
Description
本発明は、認証された無線局に暗号化キーを無線で提供するアクセスポイントに関する。
無線ネットワークは、一般に、1つまたは複数の無線デバイス(無線「局」とも呼ぶ)が無線で通信することができる1つまたは複数の「アクセスポイント」を含む。
アクセスポイントおよび無線局はアンテナを有し、それによってアクセスポイントおよびデバイスは、互いに無線で通信することができる。
各アクセスポイントはまた、通常、ネットワークケーブル(たとえば、CAT−5ケーブル)へ、したがってサーバ、記憶デバイスおよびプリンタ等のさまざまな機器への有線接続も有する。
無線ネットワークを、暗号化通信に対して構成することができ、または非暗号化通信に対して構成することができる。
暗号化通信に対して構成する場合、非常に長い、外見上任意の暗号化キーを、アクセスポイントおよび無線局にプログラムする。
無線ネットワークにおいて暗号化通信に対して無線局を構成することは、無線局のユーザには厄介である可能性がある。
アクセスポイントおよび無線局はアンテナを有し、それによってアクセスポイントおよびデバイスは、互いに無線で通信することができる。
各アクセスポイントはまた、通常、ネットワークケーブル(たとえば、CAT−5ケーブル)へ、したがってサーバ、記憶デバイスおよびプリンタ等のさまざまな機器への有線接続も有する。
無線ネットワークを、暗号化通信に対して構成することができ、または非暗号化通信に対して構成することができる。
暗号化通信に対して構成する場合、非常に長い、外見上任意の暗号化キーを、アクセスポイントおよび無線局にプログラムする。
無線ネットワークにおいて暗号化通信に対して無線局を構成することは、無線局のユーザには厄介である可能性がある。
少なくともいくつかの実施形態によれば、アクセスポイントは、無線送受信機と、無線送受信機に結合されたホストロジックと、を備える。
ホストロジックは、無線局による有線ネットワークへのアクセスを可能にするように適合される。
ホストロジックは、無線送受信機を通して、非対称暗号化を使用して対称暗号化キーを無線局に無線で提供する。
ホストロジックは、無線局による有線ネットワークへのアクセスを可能にするように適合される。
ホストロジックは、無線送受信機を通して、非対称暗号化を使用して対称暗号化キーを無線局に無線で提供する。
本発明の例示的な実施形態の詳細な説明に対し、ここで、添付図面を参照する。
[表記および命名法]
以下の説明および特許請求の範囲を通して、特定のシステムコンポーネントを指すためにいくつかの用語を使用する。
当業者は理解するように、コンピュータ会社は、1つのコンポーネントを異なる名称で呼ぶ場合がある。
この文書は、名称は異なるが機能は異ならないコンポーネントを識別することを意図していない。
以下の考察においてかつ特許請求の範囲において、「含む(including)」および「具備する、備える(comprising)」という用語は、限定的でない(open-ended)ように使用されており、そのため、「含むが、それに限定されない」を意味するように解釈されなければならない。
また、「結合する(couple)」という用語は、間接的な電気接続または直接的な電気接続のいずれかを意味するように意図される。
このため、第1のデバイスが第2のデバイスに結合する場合、その接続は、直接的な電気接続によってもよく、または他のデバイスおよび接続を介して間接的な電気接続によってもよい。
以下の説明および特許請求の範囲を通して、特定のシステムコンポーネントを指すためにいくつかの用語を使用する。
当業者は理解するように、コンピュータ会社は、1つのコンポーネントを異なる名称で呼ぶ場合がある。
この文書は、名称は異なるが機能は異ならないコンポーネントを識別することを意図していない。
以下の考察においてかつ特許請求の範囲において、「含む(including)」および「具備する、備える(comprising)」という用語は、限定的でない(open-ended)ように使用されており、そのため、「含むが、それに限定されない」を意味するように解釈されなければならない。
また、「結合する(couple)」という用語は、間接的な電気接続または直接的な電気接続のいずれかを意味するように意図される。
このため、第1のデバイスが第2のデバイスに結合する場合、その接続は、直接的な電気接続によってもよく、または他のデバイスおよび接続を介して間接的な電気接続によってもよい。
[詳細な説明]
図1を参照すると、無線ネットワーク20は、1つまたは複数の無線局(「WSTA」)24が無線で通信する1つまたは複数のアクセスポイント22(簡単のために1つしか示さないが)を含む。
各WSTA24は、デスクトップコンピュータ、ノートブック、ハンドヘルドコンピュータおよび携帯情報端末(「PDA」)を含むポータブルコンピュータ、または無線ネットワークに無線でアクセスすることができる他の任意のタイプのデバイス等のコンピュータを含む。
アクセスポイント(「AP」)22は、サーバ25と、記憶デバイスおよびプリンタ等の他のタイプのデバイス(特に示さず)と、を含んでもよい有線ネットワークに対する有線接続23を有する。
WSTA24は、AP22を介して、さまざまな有線ネットワークデバイス(たとえば、サーバ25)にアクセスすることができる。
無線ネットワークを、任意の所望の標準プロトコルまたはカスタマイズされたプロトコルに従って実施してもよい。
適当な規格の一例は、適用可能なIEEE802.11無線規格のうちの1つまたは複数を含む。
図1を参照すると、無線ネットワーク20は、1つまたは複数の無線局(「WSTA」)24が無線で通信する1つまたは複数のアクセスポイント22(簡単のために1つしか示さないが)を含む。
各WSTA24は、デスクトップコンピュータ、ノートブック、ハンドヘルドコンピュータおよび携帯情報端末(「PDA」)を含むポータブルコンピュータ、または無線ネットワークに無線でアクセスすることができる他の任意のタイプのデバイス等のコンピュータを含む。
アクセスポイント(「AP」)22は、サーバ25と、記憶デバイスおよびプリンタ等の他のタイプのデバイス(特に示さず)と、を含んでもよい有線ネットワークに対する有線接続23を有する。
WSTA24は、AP22を介して、さまざまな有線ネットワークデバイス(たとえば、サーバ25)にアクセスすることができる。
無線ネットワークを、任意の所望の標準プロトコルまたはカスタマイズされたプロトコルに従って実施してもよい。
適当な規格の一例は、適用可能なIEEE802.11無線規格のうちの1つまたは複数を含む。
AP22およびWSTA24は、互いとの暗号化通信または非暗号化通信が可能である。
暗号化は、対称であっても非対称であってもよい。
対称暗号化の場合、各デバイスに、メッセージを暗号化し解読するために同じ暗号化キーが与えられる。
2つのデバイス(たとえば、AP22およびWSTA24)は、互いの間で両方向に送信されるメッセージに対して対称暗号化を採用してもよく、かかるデバイスはそれぞれ、他のデバイスと同じ暗号化/解読キーを使用する。
対称暗号化の一例は、Wired Equivalent Privacy(「WEP」)プロトコルである。
実施形態によっては、対称暗号化プロトコルは、実施される無線規格で指定されるプロトコルである。
たとえば、IEEE802.11規格は、WEPプロトコルの使用を指定し、したがって、無線ネットワーク20において無線規格に対し802.11が使用される場合、対称暗号化プロトコルに対してWEPプロトコルが使用される。
暗号化は、対称であっても非対称であってもよい。
対称暗号化の場合、各デバイスに、メッセージを暗号化し解読するために同じ暗号化キーが与えられる。
2つのデバイス(たとえば、AP22およびWSTA24)は、互いの間で両方向に送信されるメッセージに対して対称暗号化を採用してもよく、かかるデバイスはそれぞれ、他のデバイスと同じ暗号化/解読キーを使用する。
対称暗号化の一例は、Wired Equivalent Privacy(「WEP」)プロトコルである。
実施形態によっては、対称暗号化プロトコルは、実施される無線規格で指定されるプロトコルである。
たとえば、IEEE802.11規格は、WEPプロトコルの使用を指定し、したがって、無線ネットワーク20において無線規格に対し802.11が使用される場合、対称暗号化プロトコルに対してWEPプロトコルが使用される。
対称暗号化は非対称暗号化とは異なり、2つの鍵を使用する。
すなわち、1つの鍵はメッセージを暗号化するためのものであり、もう1つの鍵はメッセージを解読するためのものである。
非対称暗号化の一例は、セキュア・ソケット・レイヤー(Secure Socket Layer)(「SSL」)またはプリティ・グッド・プライバシー(Pretty Good Privacy)(「PGP」)プロトコル等の公開鍵/秘密鍵プロトコルである。
公開鍵/秘密鍵暗号化プロトコルでは、公開鍵はすべての人に対して既知でありまたは他の方法で入手可能であり、秘密鍵は、メッセージの受信者に対してのみ既知である。
WSTA24は、AP22に非対称に暗号化されたメッセージを送信する場合、AP22に関連する公開鍵を使用してメッセージを暗号化する。
そして、AP22は、秘密鍵を使用してメッセージを解読する。
公開鍵/秘密鍵プロトコルでは、公開鍵および秘密鍵は、メッセージを暗号化するためにはその公開鍵しか使用することができず、メッセージを解読するためには対応する秘密鍵しか使用することができないように、互いに数学的に関連する。
すなわち、1つの鍵はメッセージを暗号化するためのものであり、もう1つの鍵はメッセージを解読するためのものである。
非対称暗号化の一例は、セキュア・ソケット・レイヤー(Secure Socket Layer)(「SSL」)またはプリティ・グッド・プライバシー(Pretty Good Privacy)(「PGP」)プロトコル等の公開鍵/秘密鍵プロトコルである。
公開鍵/秘密鍵暗号化プロトコルでは、公開鍵はすべての人に対して既知でありまたは他の方法で入手可能であり、秘密鍵は、メッセージの受信者に対してのみ既知である。
WSTA24は、AP22に非対称に暗号化されたメッセージを送信する場合、AP22に関連する公開鍵を使用してメッセージを暗号化する。
そして、AP22は、秘密鍵を使用してメッセージを解読する。
公開鍵/秘密鍵プロトコルでは、公開鍵および秘密鍵は、メッセージを暗号化するためにはその公開鍵しか使用することができず、メッセージを解読するためには対応する秘密鍵しか使用することができないように、互いに数学的に関連する。
図2は、アクセスポイント22の例示的な実施形態を示す。
図示するように、アクセスポイント22は、ホスト30、媒体アクセス制御モジュール(「MAC」)32および物理モジュール(「PHY」)34を備える。
PHY34は、ラジオトランシーバ等の無線送受信機を備え、1つまたは複数のアンテナ48が接続されることにより、他の無線対応デバイスとの無線通信が可能になる。
MAC32は、共有無線チャネルへのアクセスを調整し無線媒体にわたる通信を向上させるプロトコルを使用することにより、アクセスポイント22とWSTA24との間の通信を管理しかつ維持する。
ホスト30は、MAC32によって提供されるサービスを使用して、無線媒体による通信を実現する。
ホストはまた、有線ネットワークインタフェース35にも接続される。
このインタフェース35を使用することにより、アクセスポイント22のホスト30はまた、上述したサーバ、プリンタおよび記憶デバイス等の有線ネットワーク機器へのアクセスも提供する。
ホストは、別個の有線ネットワークおよび無線ネットワークを接続するパケット転送またはルーティングメカニズムを提供する。
図示するように、アクセスポイント22は、ホスト30、媒体アクセス制御モジュール(「MAC」)32および物理モジュール(「PHY」)34を備える。
PHY34は、ラジオトランシーバ等の無線送受信機を備え、1つまたは複数のアンテナ48が接続されることにより、他の無線対応デバイスとの無線通信が可能になる。
MAC32は、共有無線チャネルへのアクセスを調整し無線媒体にわたる通信を向上させるプロトコルを使用することにより、アクセスポイント22とWSTA24との間の通信を管理しかつ維持する。
ホスト30は、MAC32によって提供されるサービスを使用して、無線媒体による通信を実現する。
ホストはまた、有線ネットワークインタフェース35にも接続される。
このインタフェース35を使用することにより、アクセスポイント22のホスト30はまた、上述したサーバ、プリンタおよび記憶デバイス等の有線ネットワーク機器へのアクセスも提供する。
ホストは、別個の有線ネットワークおよび無線ネットワークを接続するパケット転送またはルーティングメカニズムを提供する。
さらに図2を参照すると、アクセスポイント22は、ホスト30の一部として実施してもよい中央処理装置(「CPU」)36を備える。
CPU36は、管理ソフトウェア38等の種々の実行可能コードを実行するように適合される。
管理ソフトウェア38は、ウェブベースアプリケーションとして動作し、概して、アクセスポイント22を管理しアクセスポイント22がリモートに構成されるのを可能にする。
アクセスポイントを、ケーブルによりホスト30に関連するポート31に接続されるコンピュータ等のデバイスを介して構成することができる。
他の実施形態では、アクセスポイント22を、適当に許可されたWSTA24によってアクセスポイントとWSTAとの間の無線通信を介して構成する。
許可されたWSTA24は、対称暗号化キーがアクセスポイント22に格納された対称暗号化キーと一致するWSTAであり、実施される場合、アクセスポイントのMAC制限(後述する)は、WSTAによる通信を可能にする。
CPU36は、管理ソフトウェア38等の種々の実行可能コードを実行するように適合される。
管理ソフトウェア38は、ウェブベースアプリケーションとして動作し、概して、アクセスポイント22を管理しアクセスポイント22がリモートに構成されるのを可能にする。
アクセスポイントを、ケーブルによりホスト30に関連するポート31に接続されるコンピュータ等のデバイスを介して構成することができる。
他の実施形態では、アクセスポイント22を、適当に許可されたWSTA24によってアクセスポイントとWSTAとの間の無線通信を介して構成する。
許可されたWSTA24は、対称暗号化キーがアクセスポイント22に格納された対称暗号化キーと一致するWSTAであり、実施される場合、アクセスポイントのMAC制限(後述する)は、WSTAによる通信を可能にする。
管理ソフトウェア38は、CPU36により、アクセスポイント22が望まれるように構成されるのを可能にするように実行される。
構成アクティビティの例には、アクセスポイントにおいて暗号化キー(複数可)をロードしまたは変更すること、およびアクセスポイントを介して有線ネットワークにアクセスすることが許可されるWSTA24の1つまたは複数のMACアドレスを用いてアクセスポイントをプログラムすることが含まれる。
構成アクティビティの例には、アクセスポイントにおいて暗号化キー(複数可)をロードしまたは変更すること、およびアクセスポイントを介して有線ネットワークにアクセスすることが許可されるWSTA24の1つまたは複数のMACアドレスを用いてアクセスポイントをプログラムすることが含まれる。
アクセスポイント22におけるMAC32は、WEPプロトコルまたは他の対称暗号化プロトコルに従って実施してもよい1つまたは複数の対称暗号化キー40を含む。
MACはまた、1つまたは複数の許容可能なMACアドレス42に対する記憶装置を有してもよい。
アドレス42は、無線ネットワーク20にアクセスすることが許可されるWSTA24に対応する。
許容可能なMACアドレスを、管理ソフトウェア38を介してアクセスポイント22のMAC32に格納してもよい。
MACはまた、1つまたは複数の許容可能なMACアドレス42に対する記憶装置を有してもよい。
アドレス42は、無線ネットワーク20にアクセスすることが許可されるWSTA24に対応する。
許容可能なMACアドレスを、管理ソフトウェア38を介してアクセスポイント22のMAC32に格納してもよい。
図3は、WSTA24の例示的な実施形態を示す。
WSTA24は、図示するように互いに結合されるホスト50、MAC52およびPHY54を備える。
アンテナ56は、PHY54に接続する。
HOST50は、上述したようなノートブックコンピュータまたは他のタイプの無線対応携帯電子機器を含むロジックの少なくとも一部を表してもよい。
したがって、ホスト50は、CPU、メモリ、オペレーティングシステムおよびさまざまなソフトウェアアプリケーションを有してもよい。
ホスト50は、WSTA24が管理ソフトウェア38にアクセスしそれを実行するのを可能にするウェブインタフェース58を備えてもよい。
WSTA24のMAC52は、1つまたは複数の暗号化キーのための記憶装置60を有する。
WSTA24は、図示するように互いに結合されるホスト50、MAC52およびPHY54を備える。
アンテナ56は、PHY54に接続する。
HOST50は、上述したようなノートブックコンピュータまたは他のタイプの無線対応携帯電子機器を含むロジックの少なくとも一部を表してもよい。
したがって、ホスト50は、CPU、メモリ、オペレーティングシステムおよびさまざまなソフトウェアアプリケーションを有してもよい。
ホスト50は、WSTA24が管理ソフトウェア38にアクセスしそれを実行するのを可能にするウェブインタフェース58を備えてもよい。
WSTA24のMAC52は、1つまたは複数の暗号化キーのための記憶装置60を有する。
アクセスポイント22およびWSTA24は、複数の無線通信チャネルのうちの任意のものを介して互いに通信することができる。
たとえば、IEEE802.11b規格は、2400MHzから2483.5MHzのスペクトルで11チャネルを指定する。
望まれるように、個々のチャネルによる通信は、暗号化であっても非暗号化であってもよい。
本開示では、対称暗号化プロトコルを使用して通信が暗号化されるチャネルを、「セキュア」チャネルと呼ぶ。
セキュアチャネルでは、AP22およびWSTA24等の通信デバイスは、各々対称暗号化キーを有する。
各デバイスは、その対称暗号化キーを使用して、別のデバイスに送信されかつ別のデバイスから受信される通信パケットを暗号化し解読する。
セキュアなチャネルもあれば、セキュアでないチャネルがあってもよい。
本発明の例示的な実施形態によれば、AP22に関連する少なくとも1つのチャネルはセキュアではない。
実施形態によっては、2つ以上のチャネルがセキュアではない。
非対称暗号化もまた使用してもよく、セキュアチャネルと非セキュアチャネルとの両方において使用してもよい。
非対称暗号化の例示的な使用は、後に説明するように、WSTA24に、非セキュアチャネルにおいて対称暗号化キーを提供する、というものである。
たとえば、IEEE802.11b規格は、2400MHzから2483.5MHzのスペクトルで11チャネルを指定する。
望まれるように、個々のチャネルによる通信は、暗号化であっても非暗号化であってもよい。
本開示では、対称暗号化プロトコルを使用して通信が暗号化されるチャネルを、「セキュア」チャネルと呼ぶ。
セキュアチャネルでは、AP22およびWSTA24等の通信デバイスは、各々対称暗号化キーを有する。
各デバイスは、その対称暗号化キーを使用して、別のデバイスに送信されかつ別のデバイスから受信される通信パケットを暗号化し解読する。
セキュアなチャネルもあれば、セキュアでないチャネルがあってもよい。
本発明の例示的な実施形態によれば、AP22に関連する少なくとも1つのチャネルはセキュアではない。
実施形態によっては、2つ以上のチャネルがセキュアではない。
非対称暗号化もまた使用してもよく、セキュアチャネルと非セキュアチャネルとの両方において使用してもよい。
非対称暗号化の例示的な使用は、後に説明するように、WSTA24に、非セキュアチャネルにおいて対称暗号化キーを提供する、というものである。
WSTA24が、サーバ25によって提供される任意のサービス等のネットワークサービスにアクセスするために、WSTA24と、WSTAがネットワークサービスへのアクセスを取得する際に用いるAP22とは、セキュアチャネル(すなわち、対称暗号化を採用するチャネル)により通信する。
セキュアチャネルでネットワークサービスへのアクセスを許可することにより、無許可のエンティティが有線ネットワークにアクセスするかまたはそのネットワークに関連するデータを無線で受信することができる可能性が低減する。
WSTA24は、APによって使用されるものと同じ対称暗号化キーを用いてプログラムされる場合、セキュアチャネルにおいてそのAP22と通信することができる。
ネットワーク管理者または他の適当な人は、AP22を、所望の対称暗号化キーを用いてプログラムする。
AP22に接続された入出力デバイスにより管理ソフトウェア38を実行することによって、対称暗号化キーをAP22にプログラムしてもよい。
たとえば、ネットワーク管理者は、ラップトップコンピュータをAPのポート31に接続し、管理ソフトウェア38がポート31を介して実行されるようにしてもよい。
管理ソフトウェア38の少なくとも1つの特徴は、1つまたは複数の対称暗号化キーをAP22に構成することができるということである。
セキュアチャネルでネットワークサービスへのアクセスを許可することにより、無許可のエンティティが有線ネットワークにアクセスするかまたはそのネットワークに関連するデータを無線で受信することができる可能性が低減する。
WSTA24は、APによって使用されるものと同じ対称暗号化キーを用いてプログラムされる場合、セキュアチャネルにおいてそのAP22と通信することができる。
ネットワーク管理者または他の適当な人は、AP22を、所望の対称暗号化キーを用いてプログラムする。
AP22に接続された入出力デバイスにより管理ソフトウェア38を実行することによって、対称暗号化キーをAP22にプログラムしてもよい。
たとえば、ネットワーク管理者は、ラップトップコンピュータをAPのポート31に接続し、管理ソフトウェア38がポート31を介して実行されるようにしてもよい。
管理ソフトウェア38の少なくとも1つの特徴は、1つまたは複数の対称暗号化キーをAP22に構成することができるということである。
しかしながら、WSTA24は、正確な対称暗号化キーを用いてプログラムされない場合があり、あるいはいかなる対称暗号化キーをも用いてプログラムされない場合もある。
本発明の例示的な実施形態は、正確な対称暗号化キー(複数可)を用いてWSTAを構成することを容易にする。
以下の考察はこのプロセスについて説明する。
本発明の例示的な実施形態は、正確な対称暗号化キー(複数可)を用いてWSTAを構成することを容易にする。
以下の考察はこのプロセスについて説明する。
WSTA24は、最初に無線ネットワーク20に関連付けするように試みる時、無線ネットワーク20で使用するために適当な対称暗号化キーを有していない場合がある。
図4は、AP22がWSTA24に1つまたは複数の対称暗号化キーを提供することにより、セキュアチャネルでのWSTA24の無線ネットワークに対するアクセスを許可する方法100を示す。
実施形態によっては、方法100を実行する前に、WSTA24またはWSTA24のユーザは、無線ネットワーク20へのアクセスが許可される。
許可を得ることには、任意の適当な技法が含まれていてもよい。
たとえば、WSTAのユーザに対し、クレジットカード番号を提供するように要求してもよく、それが確認されると、ユーザに対し無線ネットワーク20を使用することが許可される。
この種の許可方式は、たとえば、手数料を徴収して無線ネットワークへのアクセスを提供する公共機関において適当である場合がある。
別法として、WSTA24のユーザに対し、無線ネットワーク20によって認証される正しいユーザ名およびパスワードを入力するように要求してもよい。
アクセスポイント22は、WSTA許可を実行しまたはそれが実行されるようにする。
図4は、AP22がWSTA24に1つまたは複数の対称暗号化キーを提供することにより、セキュアチャネルでのWSTA24の無線ネットワークに対するアクセスを許可する方法100を示す。
実施形態によっては、方法100を実行する前に、WSTA24またはWSTA24のユーザは、無線ネットワーク20へのアクセスが許可される。
許可を得ることには、任意の適当な技法が含まれていてもよい。
たとえば、WSTAのユーザに対し、クレジットカード番号を提供するように要求してもよく、それが確認されると、ユーザに対し無線ネットワーク20を使用することが許可される。
この種の許可方式は、たとえば、手数料を徴収して無線ネットワークへのアクセスを提供する公共機関において適当である場合がある。
別法として、WSTA24のユーザに対し、無線ネットワーク20によって認証される正しいユーザ名およびパスワードを入力するように要求してもよい。
アクセスポイント22は、WSTA許可を実行しまたはそれが実行されるようにする。
許可が得られると、WSTA24は、セキュアチャネルを介して無線ネットワークと通信するために正確な対称暗号化キーを必要とする。
方法100のブロック102において、WSTAは、AP22に関連付けするように試みる。
この行為は、正確な対称暗号化キー(すなわち、APによってもまた使用される対称暗号化キー)を使用することなく行われる。
関連付けプロセスは、種々の関連付け技法のうちの任意のものに従っていてもよい。
WSTAは、たとえば、任意のAPに対し存在する場合は応答するように要求するメッセージを送信してもよい。
この要求には、WSTAのMACアドレスが含まれていてもよい。
APは、WSTA24の通信範囲内にある場合、非セキュアチャネルによりAPのMACアドレスと関連付けする試みに応答する(ブロック104)。
APは、2つ以上の非セキュアチャネルを有する場合、かかる非セキュアチャネルのうちの任意のものまたはすべてによって応答してもよい。
この時点で、APは、一般に、セキュアチャネルを介して関連付けの試みに応答しない。
WSTA24は、1つのAPが近くにある場合は1つの応答メッセージを受け取る可能性があり、または2つ以上のAPが近くにある場合は2つ以上の応答メッセージを受け取る可能性がある。
応答するAPのリストは、WSTAに結合されたディスプレイに表示される。
1つのAPのみが応答する場合、WSTA24のユーザは、関連付けするその1つのAPを選択する(ブロック106)。
2つ以上のAPが応答する場合は、ユーザは、リストにおける関連付けする任意の所望のAPを選択することができる。
方法100のブロック102において、WSTAは、AP22に関連付けするように試みる。
この行為は、正確な対称暗号化キー(すなわち、APによってもまた使用される対称暗号化キー)を使用することなく行われる。
関連付けプロセスは、種々の関連付け技法のうちの任意のものに従っていてもよい。
WSTAは、たとえば、任意のAPに対し存在する場合は応答するように要求するメッセージを送信してもよい。
この要求には、WSTAのMACアドレスが含まれていてもよい。
APは、WSTA24の通信範囲内にある場合、非セキュアチャネルによりAPのMACアドレスと関連付けする試みに応答する(ブロック104)。
APは、2つ以上の非セキュアチャネルを有する場合、かかる非セキュアチャネルのうちの任意のものまたはすべてによって応答してもよい。
この時点で、APは、一般に、セキュアチャネルを介して関連付けの試みに応答しない。
WSTA24は、1つのAPが近くにある場合は1つの応答メッセージを受け取る可能性があり、または2つ以上のAPが近くにある場合は2つ以上の応答メッセージを受け取る可能性がある。
応答するAPのリストは、WSTAに結合されたディスプレイに表示される。
1つのAPのみが応答する場合、WSTA24のユーザは、関連付けするその1つのAPを選択する(ブロック106)。
2つ以上のAPが応答する場合は、ユーザは、リストにおける関連付けする任意の所望のAPを選択することができる。
WSTA24が、セキュアチャネルにより無線ネットワークにアクセスすることに対し適当に許可された場合、ブロック108において、APは、非セキュアチャネルにより適当な暗号化キーを許可されたWSTAに送信する。
対称暗号化キーのセキュリティは、非対称暗号化プロトコルを使用して対称暗号化キーを暗号化することによって保証される。
望ましい場合、2つ以上の暗号化キーをWSTA24に送信してもよい。
ブロック110において、WSTAは、APによって提供される対称暗号化キー(複数可)を使用してAP22に対する対称的に暗号化された通信を可能にする。
そして、WSTAおよびAPは、対称暗号化キー(複数可)を使用してセキュアチャネルにより対称的に暗号化された通信を開始することができる(ブロック112)。
セキュア通信を開始するためには、WSTAが、この場合は対称暗号化キー(複数可)を使用して、上述したようなAP22の新たな一連の発見を開始する必要のある場合がある。
同じ対称暗号化キーを有するAP(恐らくは、少なくとも、ブロック108においてWSTAに暗号化キーを提供したAPとなる)は、WSTAの関連付けしようという試みに応答する。
対称暗号化キーのセキュリティは、非対称暗号化プロトコルを使用して対称暗号化キーを暗号化することによって保証される。
望ましい場合、2つ以上の暗号化キーをWSTA24に送信してもよい。
ブロック110において、WSTAは、APによって提供される対称暗号化キー(複数可)を使用してAP22に対する対称的に暗号化された通信を可能にする。
そして、WSTAおよびAPは、対称暗号化キー(複数可)を使用してセキュアチャネルにより対称的に暗号化された通信を開始することができる(ブロック112)。
セキュア通信を開始するためには、WSTAが、この場合は対称暗号化キー(複数可)を使用して、上述したようなAP22の新たな一連の発見を開始する必要のある場合がある。
同じ対称暗号化キーを有するAP(恐らくは、少なくとも、ブロック108においてWSTAに暗号化キーを提供したAPとなる)は、WSTAの関連付けしようという試みに応答する。
WSTA24の観点から、セキュアチャネルと非セキュアチャネルとをともに有するAP22は、論理的に2つの別個のAPとして見えることになる。
すなわち、1つのAPはセキュア通信に対するものであり、もう1つのAPは非セキュア通信に対するものである。
非セキュアチャネルによって通信する場合、AP22は、WSTA24が有線ネットワークで通信することを許可しない。
非セキュアチャネルは、上述したようなネットワークで利用可能な1つまたは複数の他のデバイスおよびサービスへのアクセスを提供するためではなく、セキュアチャネルを構成する目的のために、アクセスポイント22との通信を許可する。
他の実施形態では、物理的に別個のAPを提供してもよく、いくつかのAPは、許可されたWSTA24に対して他のAPに対するセキュアチャネルでの通信のために暗号化キーを提供する目的のみのために、非セキュア通信に対して構成される。
すなわち、1つのAPはセキュア通信に対するものであり、もう1つのAPは非セキュア通信に対するものである。
非セキュアチャネルによって通信する場合、AP22は、WSTA24が有線ネットワークで通信することを許可しない。
非セキュアチャネルは、上述したようなネットワークで利用可能な1つまたは複数の他のデバイスおよびサービスへのアクセスを提供するためではなく、セキュアチャネルを構成する目的のために、アクセスポイント22との通信を許可する。
他の実施形態では、物理的に別個のAPを提供してもよく、いくつかのAPは、許可されたWSTA24に対して他のAPに対するセキュアチャネルでの通信のために暗号化キーを提供する目的のみのために、非セキュア通信に対して構成される。
少なくともいくつかの実施形態では、各APを、許容可能なWSTA MACアドレス42のリストを用いてプログラムしてもよい。
たとえば、ネットワーク管理者は、許可されたWSTA24のMACアドレスを、AP22の許容可能なアドレス記憶装置42にプログラムしてもよい。
AP22は、発見プロセス中にMACアドレスがAPに提供されるWSTA24に対し、そのWSTAのMACアドレスが許容可能なアドレス42のエントリに一致しない場合、無線ネットワーク20へのアクセスを許可しない。
実施形態によっては、WSTAが許可される場合であっても、WSTAのMACアドレスが許容可能アドレス42のアドレスに一致しない場合、WSTA24に対し対称暗号化キーを提供しない。
たとえば、ネットワーク管理者は、許可されたWSTA24のMACアドレスを、AP22の許容可能なアドレス記憶装置42にプログラムしてもよい。
AP22は、発見プロセス中にMACアドレスがAPに提供されるWSTA24に対し、そのWSTAのMACアドレスが許容可能なアドレス42のエントリに一致しない場合、無線ネットワーク20へのアクセスを許可しない。
実施形態によっては、WSTAが許可される場合であっても、WSTAのMACアドレスが許容可能アドレス42のアドレスに一致しない場合、WSTA24に対し対称暗号化キーを提供しない。
上記考察は、本発明の原理およびさまざまな実施形態を例示するものであることが意図されている。
当業者には、上記開示が完全に理解されると、多数の変形および変更が明らかとなろう。
以下の特許請求の範囲は、かかる変形および変更のすべてを包含するように解釈されることが意図されている。
当業者には、上記開示が完全に理解されると、多数の変形および変更が明らかとなろう。
以下の特許請求の範囲は、かかる変形および変更のすべてを包含するように解釈されることが意図されている。
25・・・サーバ,
30・・・ホスト,
38・・・管理ソフトウェア,
40・・・暗号化キー,
42・・・許容可能MACアドレス,
50・・・ホスト,
60・・・暗号化キー,
30・・・ホスト,
38・・・管理ソフトウェア,
40・・・暗号化キー,
42・・・許容可能MACアドレス,
50・・・ホスト,
60・・・暗号化キー,
Claims (10)
- 無線送受信機(34、48)と、
前記無線送受信機(34、48)に結合され、無線局(24)による有線ネットワーク(23)へのアクセスを可能にするように適合されたホストロジック(30)と、
を具備し、
前記ホストロジック(30)は、前記無線送受信機(34、48)を通して、非対称暗号化を使用して前記無線局(24)に対称暗号化キーを無線で提供する
アクセスポイント(22)。 - 前記ホストロジック(30)は、前記対称暗号化キーを使用して、前記無線局(24)と通信する
請求項1に記載のアクセスポイント。 - 前記ホストロジック(30)は、前記無線局(24)が前記有線ネットワーク(23)へのアクセスに対して認証された後に、前記無線局(24)に対し前記対称暗号化キーを提供する
請求項1に記載のアクセスポイント。 - 前記ホストロジック(30)は、前記無線局(24)が対称暗号化を使用していない場合に、対称暗号化を使用するように構成されていないチャネルにより、前記無線局(24)に関連付けする試みに対して応答する
請求項1に記載のアクセスポイント。 - 前記ホストロジック(30)は、前記無線局(24)が前記対称暗号化を使用している場合に、対称的に暗号化された通信を使用するように構成されたチャネルにより、関連付けする試みに対して応答する
請求項1に記載のアクセスポイント。 - 前記非対称暗号化は、
公開鍵/秘密鍵暗号化プロトコル
を含む
請求項1に記載のアクセスポイント。 - 無線局(24)が認証される場合に、非対称に暗号化された対称暗号化キーをアクセスポイント(22)から前記無線局(24)に無線で送信すること(108)と、
前記無線局(24)を、前記対称暗号化キーを用いてプログラムすること(110)と、
前記対称暗号化キーを使用して、前記無線局(24)と前記アクセスポイント(22)との間の無線通信を確立することと(112)
を含む方法。 - 前記無線局(24)によって提供されるアドレスを、前記アクセスポイント(22)に関連する許容可能アドレスのリストと比較することと
前記無線局(24)によって提供される前記アドレスが、前記許容可能アドレスリストのアドレスと一致する場合にのみ、前記対称暗号化キーを、前記無線局(24)に無線で送信すること
をさらに含む請求項7に記載の方法。 - 前記非対称に暗号化された対称暗号化キーを、前記無線局(24)に、無線で送信する前に、前記無線局(24)を認証すること
をさらに含む、請求項7に記載の方法。 - 前記対称暗号化キーを、非対称に暗号化すること
をさらに含む請求項7に記載の方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/955,309 US20060072761A1 (en) | 2004-09-30 | 2004-09-30 | Access point that wirelessly provides an encryption key to an authenticated wireless station |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006109449A true JP2006109449A (ja) | 2006-04-20 |
Family
ID=35482105
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005279935A Pending JP2006109449A (ja) | 2004-09-30 | 2005-09-27 | 認証された無線局に暗号化キーを無線で提供するアクセスポイント |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20060072761A1 (ja) |
| EP (1) | EP1643714A1 (ja) |
| JP (1) | JP2006109449A (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6636733B1 (en) | 1997-09-19 | 2003-10-21 | Thompson Trust | Wireless messaging method |
| US7003304B1 (en) | 1997-09-19 | 2006-02-21 | Thompson Investment Group, Llc | Paging transceivers and methods for selectively retrieving messages |
| US6826407B1 (en) | 1999-03-29 | 2004-11-30 | Richard J. Helferich | System and method for integrating audio and visual messaging |
| US6253061B1 (en) | 1997-09-19 | 2001-06-26 | Richard J. Helferich | Systems and methods for delivering information to a transmitting and receiving device |
| US6983138B1 (en) | 1997-12-12 | 2006-01-03 | Richard J. Helferich | User interface for message access |
| US20060136717A1 (en) | 2004-12-20 | 2006-06-22 | Mark Buer | System and method for authentication via a proximate device |
| JP4506658B2 (ja) * | 2005-11-30 | 2010-07-21 | ソニー株式会社 | 無線通信システム,通信装置,設定情報提供方法,設定情報取得方法,およびコンピュータプログラム |
| EP1976322A1 (en) * | 2007-03-27 | 2008-10-01 | British Telecommunications Public Limited Company | An authentication method |
| US20100034386A1 (en) * | 2008-08-06 | 2010-02-11 | Daintree Networks, Pty. Ltd. | Device manager repository |
| US8542833B2 (en) * | 2010-06-12 | 2013-09-24 | Bao Tran | Systems and methods to secure laptops or portable computing devices |
| US8923515B2 (en) * | 2011-05-12 | 2014-12-30 | Futurewei Technologies, Inc. | System and method for mobility management in a communications system |
| US20140286321A1 (en) * | 2011-06-28 | 2014-09-25 | Hewlett-Packard Development Company, L.P. | Method of associating a client with an access point in a wireless local area network |
| TWI552560B (zh) * | 2014-12-19 | 2016-10-01 | 鋐寶科技股份有限公司 | 區域網路系統及其存取方法 |
| CN104618325B (zh) * | 2014-12-19 | 2018-02-09 | 中国印钞造币总公司 | 一种用于电子签封的安全传输方法及装置 |
| US9913193B2 (en) * | 2015-02-20 | 2018-03-06 | Qualcomm Incorporated | Access point steering |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6341164B1 (en) * | 1998-07-22 | 2002-01-22 | Entrust Technologies Limited | Method and apparatus for correcting improper encryption and/or for reducing memory storage |
| US7028186B1 (en) * | 2000-02-11 | 2006-04-11 | Nokia, Inc. | Key management methods for wireless LANs |
| US7127069B2 (en) * | 2000-12-07 | 2006-10-24 | Igt | Secured virtual network in a gaming environment |
| WO2003029916A2 (en) * | 2001-09-28 | 2003-04-10 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
| US20030095663A1 (en) * | 2001-11-21 | 2003-05-22 | Nelson David B. | System and method to provide enhanced security in a wireless local area network system |
| JP3518599B2 (ja) * | 2002-01-09 | 2004-04-12 | 日本電気株式会社 | 無線lanシステム、アクセス制御方法およびプログラム |
| US7188365B2 (en) * | 2002-04-04 | 2007-03-06 | At&T Corp. | Method and system for securely scanning network traffic |
| US6931132B2 (en) * | 2002-05-10 | 2005-08-16 | Harris Corporation | Secure wireless local or metropolitan area network and related methods |
| EP1547299B1 (en) * | 2002-09-17 | 2012-11-14 | Broadcom Corporation | Method and system for providing multiple encryption in a multi-band multi-protocol hybrid wired/wireless network |
| AU2003277131A1 (en) * | 2002-09-17 | 2004-04-08 | Digital Media On Demand, Inc. | Method and system for secure distribution |
| US8942375B2 (en) * | 2002-09-17 | 2015-01-27 | Broadcom Corporation | Method and system for providing multiple encryption in a multi-band multi-protocol hybrid wired/wireless network |
| ES2250837T3 (es) * | 2002-10-18 | 2006-04-16 | Buffalo Inc. | Metodo y sistema para establecer una clave cifrada, punto de acceso y sistema de establecimiento de un codigo de auntenticacion. |
| US7499548B2 (en) * | 2003-06-24 | 2009-03-03 | Intel Corporation | Terminal authentication in a wireless network |
-
2004
- 2004-09-30 US US10/955,309 patent/US20060072761A1/en not_active Abandoned
-
2005
- 2005-08-31 EP EP05018946A patent/EP1643714A1/en not_active Withdrawn
- 2005-09-27 JP JP2005279935A patent/JP2006109449A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP1643714A1 (en) | 2006-04-05 |
| US20060072761A1 (en) | 2006-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7607015B2 (en) | Shared network access using different access keys | |
| US7827409B2 (en) | Remote secure authorization | |
| KR100612255B1 (ko) | 무선 네트워크 시스템에서의 데이터 보안장치 및 그 방법 | |
| US6772331B1 (en) | Method and apparatus for exclusively pairing wireless devices | |
| US6886095B1 (en) | Method and apparatus for efficiently initializing secure communications among wireless devices | |
| US8316142B2 (en) | Subnet box | |
| US6980660B1 (en) | Method and apparatus for efficiently initializing mobile wireless devices | |
| KR100415022B1 (ko) | 무선 장치들 사이에서 보안 통신을 초기화하고 이들 무선장치들을 배타적으로 페어링하기 위한 방법 및 장치 | |
| US7231521B2 (en) | Scheme for authentication and dynamic key exchange | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| US20070189537A1 (en) | WLAN session management techniques with secure rekeying and logoff | |
| JP2005051625A (ja) | コンピュータ装置、無線lanシステム、プロファイルの更新方法、取得方法、およびプログラム | |
| US20120272310A1 (en) | Systems and methods for secure communication over a wireless network | |
| US20150249639A1 (en) | Method and devices for registering a client to a server | |
| JP2006109449A (ja) | 認証された無線局に暗号化キーを無線で提供するアクセスポイント | |
| JP2004056762A (ja) | 無線通信方法、無線通信装置、通信制御プログラム、通信制御装置、鍵管理プログラム、無線lanシステム、および記録媒体 | |
| US20060039339A1 (en) | Method and system for automatic registration security | |
| US7784086B2 (en) | Method for secure packet identification | |
| EP1606899A2 (en) | Wlan session management techniques with secure rekeying and logoff | |
| CN113747430A (zh) | 一种接入网络的方法、终端设备和ap | |
| CN113316141B (zh) | 无线网络接入方法、共享服务器及无线接入点 | |
| WO2005026976A1 (en) | Subnet box |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090113 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090616 |