JP2005167580A - Access control method and apparatus in wireless lan system - Google Patents

Access control method and apparatus in wireless lan system Download PDF

Info

Publication number
JP2005167580A
JP2005167580A JP2003403100A JP2003403100A JP2005167580A JP 2005167580 A JP2005167580 A JP 2005167580A JP 2003403100 A JP2003403100 A JP 2003403100A JP 2003403100 A JP2003403100 A JP 2003403100A JP 2005167580 A JP2005167580 A JP 2005167580A
Authority
JP
Japan
Prior art keywords
authentication
sta
wireless lan
filter
lan system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003403100A
Other languages
Japanese (ja)
Inventor
Toshiki Sakai
俊季 坂井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003403100A priority Critical patent/JP2005167580A/en
Publication of JP2005167580A publication Critical patent/JP2005167580A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To maintain the security of an entire wireless LAN system even when various authentication systems are used in an intermingled state in use in the case of connection between an STA (terminal station) and an AP (access point). <P>SOLUTION: In the case of subscription (belonging) of the STA (terminal station) to the system, when an authentication processing section 7 in the AP (access point) 2 normally completes authentication processing of the STA and informs a wireless interface section 6 about it, the authentication processing section 7 informs a filter control section 10 about the systems of the processing by the authentication system in use together with a MAC address of the STA. The filter control section 10 registers filter information corresponding to the notified authentication system and the MAC address to a relay processing section 9. At data communication, the relay processing section 9 filters relay data whose sender source or destination is the registered MAC address, that is, communication data of the STA in response to the authentication system used by the STA when the STA subscribes to the system. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、無線LANシステムにおいて、認証技術を用いたアクセス制御方法と、そのシステムを構成する装置に関する。   The present invention relates to an access control method using an authentication technique in a wireless LAN system, and an apparatus constituting the system.

無線LANシステムは、AP(アクセスポイント;ACCESS POINT)とSTA(端末局;STATION)との間で、電波の届く範囲であれば、STAは、ケーブルの接続による場所の制約を受けることなしにAPを中継した通信ができるという特長を有している。   In the wireless LAN system, a STA can access the AP without being restricted by the location of the cable if it is within the reach of radio waves between the AP (access point; ACCESS POINT) and the STA (terminal station: STATION). It has the feature that communication that relays is possible.

そして、近年、光ファイバやADSL等の技術を利用した高速回線を使ったインターネット等のネットワークへの高速アクセスが普及してきている中で、IEEE802.11仕様に準拠した無線LANシステムが、システムを構成する装置の低価格化とともに、急速に普及してきている。   In recent years, wireless LAN systems compliant with the IEEE 802.11 specifications constitute a system as high-speed access to networks such as the Internet using high-speed lines using technologies such as optical fiber and ADSL has become widespread. As the cost of the equipment is reduced, it is rapidly spreading.

しかし、その一方で、無線LANシステムにおけるアクセス制御方式や暗号化方式の欠陥が指摘されており、その結果、セキュリティの問題として、APに対してアクセスが許可されていないSTAがアクセスするという不正アクセスの問題が表面化してきている。   However, on the other hand, it has been pointed out that the access control method and encryption method in the wireless LAN system are flawed. As a result, as a security problem, unauthorized access that an STA that is not permitted to access the AP accesses The problem has surfaced.

そして、この不正アクセスの問題に対処するため、IEEE802.11仕様によるだけではなく、他の技術も併用されている。   In order to cope with this problem of unauthorized access, not only the IEEE 802.11 specification but also other technologies are used in combination.

まず、この不正アクセスの問題に適用される簡易な対策としては、MACアドレスフィルタリングがある。図5に示すように、MACアドレスフィルタリングを実施することにより、予めAPに登録されたMACアドレスを有するSTAだけが、そのAPとの接続を許可される。また、認証対象のSTAが多い場合や、複数のAPで認証対象のMACアドレスを共有する場合を考慮して、認証対象のMACアドレス群を認証サーバ内に登録して一元管理し、APがSTAの認証を行う際には、APが認証サーバにSTAのMACアドレスを問い合わせる方法もある。(例えば、特許文献1参照。)
更に、進歩した認証技術として、IEEE802.1x仕様による認証技術を使った無線LANシステムの導入も進んでいる。STAは、APに帰属した後、APの有線側に接続された端末やサーバとデータ通信を行う前に、APを介して認証に必要な情報を一元管理する認証サーバと認証メッセージ交換を行い、認証サーバで認証の主な処理が行われる。そして、認証メッセージ交換での処理が成功したときのみ、STAからのデータ送信がAPで中継される。なお、図6にその認証の手順を示す。 First, there is MAC address filtering as a simple countermeasure applied to the problem of unauthorized access. As shown in FIG. 5, by performing the MAC address filtering, only the STA having the MAC address registered in advance with the AP is permitted to connect with the AP. In consideration of the case where there are many STAs to be authenticated or cases where a plurality of APs share the MAC addresses to be authenticated, the MAC addresses to be authenticated are registered in the authentication server for centralized management. When performing authentication, there is a method in which the AP inquires the MAC address of the STA from the authentication server. (For example, refer to Patent Document 1.)
Furthermore, as an advanced authentication technique, the introduction of a wireless LAN system using an authentication technique based on the IEEE802.1x specification is also progressing. After the STA belongs to the AP and before performing data communication with a terminal or server connected to the wired side of the AP, the STA exchanges an authentication message with an authentication server that centrally manages information necessary for authentication via the AP. The main processing of authentication is performed by the authentication server. Only when the processing in the authentication message exchange is successful, the data transmission from the STA is relayed by the AP. FIG. 6 shows the authentication procedure.

IEEE802.1x仕様の認証手順においては、EAP(Extensible Authentication Protocol)タイプで示された様々な認証方式が使用される。この方式としては、パスワードを使った単純な認証方式やデジタル証明書を使用した高度な認証方式等、様々なものを使用することが可能である。パスワードは、その運用では配布方法が柔軟であるため広範なユーザに配布することができるが、セキュリティ強度が低いので、不正アクセスを許す危険性が高い。一方、デジタル証明書は、その運用では配布方法が限定されるので広範なユーザに配布することは出来ないが、セキュリティ強度が高いので、不正アクセスを許す危険性が低い。このように各認証方式には運用面やセキュリティ面でそれぞれ長所と短所があるため、実際の無線LANシステムで採用される認証方式は、その用途に応じて決定されることになる。   In the authentication procedure of the IEEE802.1x specification, various authentication methods indicated by an EAP (Extensible Authentication Protocol) type are used. Various methods such as a simple authentication method using a password and an advanced authentication method using a digital certificate can be used as this method. The password can be distributed to a wide range of users because the distribution method is flexible in its operation, but since the security strength is low, there is a high risk of unauthorized access. On the other hand, a digital certificate cannot be distributed to a wide range of users because its distribution method is limited. However, since the security strength is high, the risk of unauthorized access is low. As described above, since each authentication method has advantages and disadvantages in terms of operation and security, the authentication method employed in an actual wireless LAN system is determined according to its use.

特開2001−111544号公報(第1頁、図3)JP 2001-111544 A (first page, FIG. 3)

上述したように、無線LANシステムにおいては、不正アクセスを防止する為に様々な認証技術が使われるので、システムを構成する装置の一つであるAPは、複数の認証方式をサポートしている。そして、セキュリティ上では、以下に説明するような問題点を有している。   As described above, in the wireless LAN system, various authentication techniques are used to prevent unauthorized access. Therefore, an AP that is one of the devices constituting the system supports a plurality of authentication methods. In terms of security, there are problems as described below.

(1)使用する目的に応じて、ユーザの有するSTAの認証方式を異なったものにしても、一旦加入(帰属)したSTAは全て同等のアクセスが許可されてしまうことになる。例えば、一時的に無線LANシステムを使用しWebアクセスを行うSTAに対してはパスワードを、常用的に無線LANシステムを使用するSTAに対してはデジタル証明書を、というように認証方式を区別したとしても、どちらのSTAも無線LANシステムに加入すれば同等にアクセスできてしまう。   (1) Even if the user's STA authentication method is different depending on the purpose to be used, all the STAs that have once joined (belonged to) will be allowed equivalent access. For example, the authentication method is distinguished such that a password is used for a STA that temporarily uses a wireless LAN system and performs Web access, and a digital certificate is used for a STA that regularly uses a wireless LAN system. However, if both STAs join the wireless LAN system, they can be accessed equally.

(2)各認証方式はセキュリティ強度が異なるため、もし一番セキュリティ強度が低い認証方式が破られてしまえば、無線LANシステムとしての不正アクセス対策が破られたことになる。例えば、正当なユーザのSTAのみが使用するようなセキュリティ強度が高いデジタル証明書を入手しなくても、MACアドレスフィルタリングによる認証のため登録されているセキュリティ強度が低いMACアドレスを、何らかの方法で入手してアクセスすれば、APに加入して自由に通信ができてしまう。   (2) Since each authentication method has different security strength, if the authentication method with the lowest security strength is broken, the countermeasure against unauthorized access as a wireless LAN system is broken. For example, even if a digital certificate with a high security strength that only a STA of a legitimate user uses is not obtained, a MAC address with a low security strength registered for authentication by MAC address filtering is obtained by some method. If accessed, the user can join the AP and communicate freely.

(3)無線LANシステムでは、認証によって通信が許可されたSTAには一律に一時的なIPアドレスが割り振られることが多い。この場合IPアドレスとSTAの組み合わせが固定しないため、STAのデータ通信に対するアクセスの制限、即ちフィルタ処理を行うことが困難である。   (3) In a wireless LAN system, a temporary IP address is often assigned uniformly to STAs permitted to communicate by authentication. In this case, since the combination of the IP address and the STA is not fixed, it is difficult to restrict access to the data communication of the STA, that is, to perform a filtering process.

本発明は、上記問題を鑑みてなされたものであり、不正アクセスを防止するための認証技術が複数存在している無線LANシステムにおいて、セキュリティを維持しながら色々な認証方式を使用するSTAを同時に収容することを目的としており、その結果、セキュリティを維持しながら、より広範なユーザのSTAを取り込むことが可能となるので、システムとしての利便性を向上することができる。   The present invention has been made in view of the above problems. In a wireless LAN system in which a plurality of authentication techniques for preventing unauthorized access exist, STAs using various authentication methods can be simultaneously used while maintaining security. As a result, it is possible to capture a wider range of user STAs while maintaining security, so that the convenience of the system can be improved.

本発明のアクセス制御方法は、無線LANシステムにおけるアクセス制御方法であって、端末局(STA)は無線によりアクセスポイント(AP)に対して帰属し、前記APは前記STAに対応して予め登録されている認証方式により前記STAの認証を行い、前記認証が成功した場合に前記APは、前記STAとの間のデータ通信を、使用された前記認証方式に応じたアクセス制限を加えて中継することを特徴とする。   The access control method of the present invention is an access control method in a wireless LAN system, wherein a terminal station (STA) belongs to an access point (AP) by radio, and the AP is registered in advance corresponding to the STA. The STA authenticates the STA using an authentication method, and when the authentication is successful, the AP relays data communication with the STA with access restriction according to the authentication method used. It is characterized by.

また、本発明の無線LANシステムは、端末局(STA)とアクセスポイント(AP)とを有する無線LANシステムであって、前記APは、前記STAが無線により帰属した後に前記STAに対応して予め登録されている認証方式により前記STAの認証を行い、前記認証が成功した場合に前記STAとの間のデータ通信を、使用された前記認証方式に応じたアクセス制限を加えて中継することを特徴とする。   Also, the wireless LAN system of the present invention is a wireless LAN system having a terminal station (STA) and an access point (AP), and the AP corresponds to the STA in advance after the STA is assigned by radio. The authentication of the STA is performed by a registered authentication method, and when the authentication is successful, data communication with the STA is relayed with an access restriction according to the authentication method used. And

また、本発明のアクセスポイント(AP)は、無線LANシステムにおけるアクセスポイント(AP)であって、端末局(STA)が無線により帰属した後に前記STAに対応して予め登録されている認証方式により前記STAの認証を行い、前記認証が成功した場合に前記STAとの間のデータ通信を、使用された前記認証方式に応じたアクセス制限を加えて中継をすることを特徴とする。   The access point (AP) of the present invention is an access point (AP) in a wireless LAN system, and is based on an authentication method registered in advance corresponding to the STA after the terminal station (STA) has belonged by radio. The authentication of the STA is performed, and when the authentication is successful, the data communication with the STA is relayed with an access restriction according to the authentication method used.

本発明においては、認証方式の種別に応じてAPが中継するSTAのデータ通信へのフィルタ条件を設定することができるので、無線LANシステムのユーザのSTAが使用した認証方式に応じて、データ通信上の制限を変更することができるという効果がある。   In the present invention, filter conditions for STA data communication relayed by the AP can be set according to the type of authentication method, so that data communication can be performed according to the authentication method used by the user STA of the wireless LAN system. There is an effect that the above restriction can be changed.

また、本発明においては、認証方式の強度に応じて、APが中継するSTAのデータ通信へのフィルタ条件を設定することができるので、例えば、認証方式のセキュリティ強度が低い認証方式を使用した場合には、アクセスできるデータ通信の利用範囲を狭く限定することができるという効果がある。   Further, in the present invention, filter conditions for data communication of STA relayed by the AP can be set according to the strength of the authentication method. For example, when an authentication method with a low security strength of the authentication method is used. Has an effect that the range of use of accessible data communication can be narrowly limited.

さらに、本発明においては、AP単位に認証方式とフィルタ条件との組み合わせを設定するので、認証情報を一元管理し、1つの認証サーバを複数のAPで利用する場合においても、各APの設置条件・環境に応じて認証方式に対するフィルタ条件を変更することができるという効果がある。   Further, in the present invention, since a combination of authentication method and filter condition is set for each AP, even when authentication information is centrally managed and one authentication server is used by a plurality of APs, the installation conditions of each AP -The filter condition for the authentication method can be changed according to the environment.

次に、本発明の好ましい実施の形態について図面を参照して説明する。   Next, a preferred embodiment of the present invention will be described with reference to the drawings.

図1を参照すると、本発明の第一の実施の形態の無線LANシステムの全体構成が示されている。図1において、STA(端末局)1は、AP(アクセスポイント)2に加入する端末局である。STA1は、例えば、ノート型パーソナルコンピュータ(PC)等のデータ端末と、そのデータ端末に挿入された無線LANカードとで構成される。無線LANカードは、IEEE802.11仕様に準拠して無線信号の送受信制御を行うハードウェアとソフトウェアとを搭載し、データ端末のカードスロットに挿入して使用されるのが一般的であるが、このような形態に限定する必要はない。すなわち、STA1は、IEEE802.11仕様に準拠してデータ通信が可能なデータ端末であればよく、例えば、STA1自体が前述の無線LANカードの機能を内蔵していてもよい。   Referring to FIG. 1, the overall configuration of a wireless LAN system according to a first embodiment of the present invention is shown. In FIG. 1, a STA (terminal station) 1 is a terminal station that subscribes to an AP (access point) 2. For example, the STA 1 includes a data terminal such as a notebook personal computer (PC) and a wireless LAN card inserted into the data terminal. A wireless LAN card is generally used by installing hardware and software for performing transmission / reception control of wireless signals in conformity with the IEEE 802.11 specification and inserting it into a card slot of a data terminal. It is not necessary to limit to such a form. That is, the STA1 may be a data terminal capable of data communication in conformity with the IEEE802.11 specification. For example, the STA1 itself may incorporate the above-described wireless LAN card function.

AP2は、IEEE802.11仕様に準拠して無線信号の送受信制御を行うハードウェアとソフトウェアを搭載するとともに、無線LANと有線LANとのインタフェース機能を有し、加入したSTA1と、有線LAN3側に位置するサーバや端末PC等との間のデータ通信を中継する。このデータ通信は、保守管理端末5からAP2に登録された認証方式と関連付けられたフィルタルールに従ってフィルタリングされ、許可されたデータのみが中継される。   AP2 is equipped with hardware and software for performing transmission / reception control of wireless signals in accordance with the IEEE802.11 specification, and has an interface function between a wireless LAN and a wired LAN, and is located on the side of the subscribed STA1 and wired LAN3. Relay data communication with the server and the terminal PC. This data communication is filtered according to the filter rule associated with the authentication method registered in the AP 2 from the maintenance management terminal 5, and only permitted data is relayed.

また、STA1がAP2に加入する際は、保守管理端末5からAP2に登録された認証方式のうちのどれかで認証が行われることになる。IEEE802.1x仕様の認証方式を使用する場合は、AP、STA1においてIEEE802.1x仕様の認証方式を使用する設定を行い、さらに細かい認証方式、即ちEAPタイプを設定する。EAPタイプに従った認証方式で認証サーバ4が認証の主な処理を行う。認証サーバ4は、RADIUS(Remote Authentication Dial In User Service)サーバとして、IETF(Internet Engineering Task Force)のRFC2138等で定義されているRADIUSプロトコルに基づいて動作する。保守管理端末5は、有線LAN3を介して各AP2と通信し、複数のAP2や、各AP2に加入するSTAの監視、制御等を行うとともに、各AP2に対して許容する認証方式や、許容した認証方式に対するフィルタルールを登録するために使用されるものであり、AP2とSNMP(Simple Network Management Protocol)を使用して通信を行うのが一般的である。   When STA1 joins AP2, authentication is performed by any one of the authentication methods registered in AP2 from maintenance management terminal 5. When using an IEEE 802.1x specification authentication method, AP and STA1 are set to use the IEEE 802.1x specification authentication method, and a finer authentication method, that is, an EAP type is set. The authentication server 4 performs the main processing of authentication by an authentication method according to the EAP type. The authentication server 4 operates as a RADIUS (Remote Authentication Dial In User Service) server based on the RADIUS protocol defined in RFC2138 of IETF (Internet Engineering Task Force) or the like. The maintenance management terminal 5 communicates with each AP 2 via the wired LAN 3 to monitor and control a plurality of APs 2 and STAs subscribing to each AP 2, as well as an authentication method allowed for each AP 2, It is used to register a filter rule for an authentication method, and generally communicates using AP2 and SNMP (Simple Network Management Protocol).

図3は、APに登録される認証方式とフィルタルールの組み合わせ(フィルタルールセット)の例である。各ルールはレイヤ2レベル以上の情報に基づくルールが定義でき、各認証方式はフィルタルールセットと対応づけて登録される。フィルタルールとしては、フィルタルール無し、すなわち全てのデータを中継するという設定もありうる。各フィルタルールにはフィルタ処理の適用条件、即ち前記フィルタ処理を行う中継データとは、データの宛先がSTAのMACアドレスのものなのか、データの送信元がSTAのMACアドレスのものなのか、あるいはこれら両方なのかを示すものであり、AP内でSTAを認証後にフィルタ使用を開始する際には、認証されたSTAのMACアドレスが前記のフィルタ処理の適用条件に従って各フィルタルールの一部として埋め込まれる。   FIG. 3 is an example of combinations of authentication methods and filter rules (filter rule sets) registered in the AP. Each rule can define a rule based on information at the layer 2 level or higher, and each authentication method is registered in association with a filter rule set. As a filter rule, there may be a setting that there is no filter rule, that is, all data is relayed. For each filter rule, the application condition of the filtering process, that is, the relay data to be subjected to the filtering process is whether the data destination is the MAC address of the STA, the data transmission source is the MAC address of the STA, or This indicates whether or not both, and when starting to use the filter after authenticating the STA in the AP, the MAC address of the authenticated STA is embedded as part of each filter rule according to the application conditions of the filtering process. It is.

図2は、AP2の構成を示した図である。AP保守管理部8は、保守管理端末5からの監視制御のコマンドを処理し、認証処理部7には対応する認証方式の登録を行い、フィルタ制御部10にはフィルタルールの設定を行う機能を備える。また、有線インタフェース部11は、有線LAN3との間でデータの送受信を行い、有線LANのレイヤ2のプロトコル処理を行う機能を備える。   FIG. 2 is a diagram showing the configuration of AP2. The AP maintenance management unit 8 processes a monitoring control command from the maintenance management terminal 5, registers a corresponding authentication method in the authentication processing unit 7, and sets a filter rule in the filter control unit 10. Prepare. The wired interface unit 11 has a function of transmitting / receiving data to / from the wired LAN 3 and performing a layer 2 protocol process of the wired LAN.

無線インタフェース部6は、STA1との間で無線信号の送受信を行うとともに、IEEE802.11仕様のプロトコル処理を行う機能を備える。 さらに、プロトコル処理の過程でSTA1からのAP2への帰属(Association)要求を受け取った場合には、帰属応答を該当STA1に向けて送信するとともに、認証処理部7に該当STA1の認証要求を該当STA1の帰属要求から抽出したSTA1のMACアドレスとともに送信して認証結果を受信し、その認証結果が成功であれば、該当STA1のデータ通信を許可し、不成功であれば、直ちに認証解除処理を行う機能を備える。   The wireless interface unit 6 has functions of transmitting and receiving wireless signals to and from the STA 1 and performing protocol processing of IEEE 802.11 specifications. Further, when the STA1 receives an association request to the AP2 from the STA1 in the course of the protocol processing, it transmits an attribution response to the STA1 and sends an authentication request for the STA1 to the authentication processing unit 7. If the authentication result is successful, the data communication of the corresponding STA1 is permitted, and if the authentication result is unsuccessful, the authentication cancellation process is immediately performed. It has a function.

認証処理部7は、無線インタフェース部6から認証要求を受け取ると該当STA1に対する認証方式を決定して実行し、決定した認証方式によっては認証サーバ4と協調して処理を行う機能を備え、特にIEEE802.1x仕様に従った認証方式を選択した場合は該当STA1と認証サーバ4と共に前記IEEE802.1x仕様のプロトコル処理を行う機能を備える。さらに、最終的に認証が成功すると、その旨を無線インタフェース部6に通知するとともに、フィルタ制御部10に対してフィルタ設定要求を送信し、認証対象となったSTA1のMACアドレスと、使用した認証方式を通知する機能を備える。なお、認証方式を決定する方法については、例えばAP2に許可されている認証方式のうち、セキュリティ強度の高い認証方式から実行を試み、STA1が選択された認証方式に対応していないことを時間経過やネゴシエーションの応答で検出した場合、もしくは認証失敗の場合に、順次セキュリティ強度の弱い認証方式の適用を試みるといった方法をとることができる。   Upon receiving an authentication request from the wireless interface unit 6, the authentication processing unit 7 determines and executes an authentication method for the corresponding STA 1, and has a function of performing processing in cooperation with the authentication server 4 depending on the determined authentication method. When an authentication method conforming to the .1x specification is selected, a function for performing protocol processing of the IEEE 802.1x specification together with the corresponding STA1 and the authentication server 4 is provided. Furthermore, when the authentication is finally successful, the wireless interface unit 6 is notified to that effect, and a filter setting request is transmitted to the filter control unit 10, and the MAC address of the authentication target STA1 and the authentication used A function for notifying the system is provided. As for the method for determining the authentication method, for example, among the authentication methods permitted by AP2, an attempt is made from an authentication method with high security strength, and it is determined that STA1 does not correspond to the selected authentication method. In the case of detection by a negotiation response or in the case of authentication failure, it is possible to sequentially apply an authentication method with weak security strength.

フィルタ制御部10は認証処理部7からのフィルタ設定要求によって、フィルタルールセットを選択し、フィルタ情報蓄積部12に登録する機能を備える。すなわち、このフィルタ設定要求を受け取ると、保守管理端末5によって前もって登録されて保持している、認証方式毎に対応付けられたフィルタルールセットを選択して、対象となるSTAのMACアドレスとともにフィルタ情報蓄積部12に登録する。   The filter control unit 10 has a function of selecting a filter rule set according to a filter setting request from the authentication processing unit 7 and registering it in the filter information storage unit 12. That is, when this filter setting request is received, the filter rule set associated with each authentication method, which is registered and held in advance by the maintenance management terminal 5, is selected, and the filter information together with the MAC address of the target STA Register in the storage unit 12.

中継処理部9は、有線インタフェース部11、無線インタフェース部6及びAP保守管理部8の各々から受信するデータを、そのデータに付加されているヘッダ情報に従って有線インタフェース部11、無線インタフェース部6、AP保守管理部8に割り振って送るデータ中継機能を備え、中継対象データがフィルタ情報蓄積部12に保存されているフィルタルールに合致しているかを検査し、該当するフィルタルールが存在する場合にはそのルール内容に従ってデータ廃棄もしくはデータ中継を行う機能を備える。   The relay processing unit 9 receives data received from each of the wired interface unit 11, the wireless interface unit 6, and the AP maintenance management unit 8 according to the header information added to the data, the wired interface unit 11, the wireless interface unit 6, and the AP. It has a data relay function that is allocated and sent to the maintenance management unit 8 and checks whether the data to be relayed matches the filter rule stored in the filter information storage unit 12, and if there is a corresponding filter rule It has a function to discard data or relay data according to the rules.

次に、図4を参照して、第一の実施の形態の無線LANシステムの動作について詳細に説明する。   Next, the operation of the wireless LAN system according to the first embodiment will be described in detail with reference to FIG.

図4には、STA1からの加入要求、すなわち帰属要求(Association Request)をAPが受けてから、STA1の認証に成功し、AP2内でフィルタルールを登録するまでのフロー及び、STA1の帰属解除の要因発生を検出してから、AP2内で該当STA1に対するフィルタルールを削除するまでのフローが示されている。   FIG. 4 shows a flow from when the AP receives a join request from STA1, that is, an association request, until the STA1 is successfully authenticated and the filter rule is registered in the AP2, and the STA1 de-association A flow from the detection of the factor occurrence to the deletion of the filter rule for the corresponding STA1 in the AP2 is shown.

まず、フィルタルールを登録するまでのフローを説明する。STA1を起動して、帰属要求がAP2に送信されると、無線インタフェース部6はSTA1に対して帰属応答を返すとともに、認証要求をSTA1のMACアドレスとともに認証処理部7に送る。これを受けた認証処理部7は認証方式を決定し、認証処理を実行する。認証処理が成功すると、該当STA1のデータ通信を許可してフィルタ制御部10に対して認証したSTA1のMACアドレスと使用した認証方式を含むフィルタ設定要求を送る。これを受けたフィルタ制御部10は、認証方式に対応するフィルタルールセットを選択し、STA1のMACアドレスとともにフィルタ情報蓄積部12に登録する。   First, a flow until registering a filter rule will be described. When the STA1 is activated and an attribution request is transmitted to the AP2, the wireless interface unit 6 returns an attribution response to the STA1 and sends an authentication request together with the MAC address of the STA1 to the authentication processing unit 7. Receiving this, the authentication processing unit 7 determines an authentication method and executes an authentication process. If the authentication process is successful, the filter setting request including the MAC address of the STA1 authenticated and used for the filter control unit 10 is sent to the filter control unit 10 by permitting the data communication of the STA1. Receiving this, the filter control unit 10 selects a filter rule set corresponding to the authentication method, and registers it in the filter information storage unit 12 together with the MAC address of the STA1.

次に、フィルタルールを削除するまでのフローを説明する。保守管理端末5からのSTA1の帰属解除コマンド発行などによって、STA1の帰属解除をAP2内の無線インタフェース部6で認識すると、無線インタフェース部6はフィルタ解除要求を該当STA1のMACアドレスとともにフィルタ制御部10に送る。これを受けたフィルタ制御部10はフィルタ情報蓄積部12から、要求されたMACアドレスに関するフィルタルールを削除する。   Next, a flow until the filter rule is deleted will be described. When the wireless interface unit 6 in the AP 2 recognizes the STA1 belonging cancellation by issuing the STA1 belonging releasing command from the maintenance management terminal 5, the wireless interface unit 6 sends the filter releasing request together with the MAC address of the corresponding STA1 to the filter control unit 10 Send to. Receiving this, the filter control unit 10 deletes the filter rule relating to the requested MAC address from the filter information storage unit 12.

このように、本発明の無線LANシステムでは、認証方式に応じて、APが中継するSTAのデータ通信のフィルタルールセットを選択して登録したり、解除したりすることが可能である。   As described above, in the wireless LAN system of the present invention, it is possible to select and register or cancel the filter rule set for STA data communication relayed by the AP according to the authentication method.

本発明の第一の実施の形態の無線LANシステムの全体構成を示す図である。1 is a diagram illustrating an overall configuration of a wireless LAN system according to a first embodiment of this invention. 本発明の第一の実施の形態のAP(アクセスポイント)の構成を示す図である。It is a figure which shows the structure of AP (access point) of 1st embodiment of this invention. 本発明の第一の実施の形態のAP(アクセスポイント)に登録される認証方式とフィルタルールの組み合わせ(フィルタルールセット)の例を示す図である。It is a figure which shows the example of the combination (filter rule set) of the authentication system and filter rule registered into AP (access point) of 1st embodiment of this invention. 本発明の第一の実施の形態の無線LANシステムの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the wireless LAN system of 1st embodiment of this invention. MACアドレスフィルタリングを説明する図である。It is a figure explaining MAC address filtering. IEEE802.1x仕様による認証を説明する図である。It is a figure explaining the authentication by the IEEE802.1x specification.

符号の説明Explanation of symbols

1 STA(端末局)
2 AP(アクセスポイント)
3 有線LAN
4 認証サーバ
5 保守管理端末
6 無線インタフェース部
7 認証処理部
8 AP保守管理部
9 中継処理部
10 フィルタ制御部
11 有線インタフェース部
12 フィルタ情報蓄積部 1 STA (terminal station)
2 AP (access point)
3 Wired LAN
4 Authentication Server 5 Maintenance Management Terminal 6 Wireless Interface Unit 7 Authentication Processing Unit 8 AP Maintenance Management Unit 9 Relay Processing Unit 10 Filter Control Unit 11 Wired Interface Unit 12 Filter Information Storage Unit

Claims (12)

無線LANシステムにおけるアクセス制御方法であって、
端末局(STA)は無線によりアクセスポイント(AP)に対して帰属し、
前記APは前記STAに対応して予め登録されている認証方式により前記STAの認証を行い、
前記認証が成功した場合に前記APは、前記STAとの間のデータ通信を、使用された前記認証方式に応じたアクセス制限を加えて中継することを特徴とするアクセス制御方法。 An access control method in a wireless LAN system,
The terminal station (STA) belongs to the access point (AP) by radio,
The AP authenticates the STA by an authentication method registered in advance corresponding to the STA,
When the authentication is successful, the AP relays data communication with the STA by adding an access restriction according to the authentication method used. 前記APには、前記アクセス制限を行うためのフィルタルールの集まりであるフィルタルールセットが登録されていることを特徴とする請求項1に記載のアクセス制御方法。   The access control method according to claim 1, wherein a filter rule set that is a collection of filter rules for performing the access restriction is registered in the AP. 前記フィルタルールセットは、予め保守管理端末により登録されることを特徴とする請求項1乃至請求項2に記載のアクセス制御方法。   The access control method according to claim 1, wherein the filter rule set is registered in advance by a maintenance management terminal. 前記認証を行う認証サーバを有することを特徴とする請求項1乃至請求項3に記載のアクセス制御方法。   The access control method according to claim 1, further comprising an authentication server that performs the authentication. 端末局(STA)とアクセスポイント(AP)とを有する無線LANシステムであって、
前記APは、前記STAが無線により帰属した後に前記STAに対応して予め登録されている認証方式により前記STAの認証を行い、前記認証が成功した場合に前記STAとの間のデータ通信を、使用された前記認証方式に応じたアクセス制限を加えて中継することを特徴とする無線LANシステム。 A wireless LAN system having a terminal station (STA) and an access point (AP),
The AP performs authentication of the STA by an authentication method registered in advance corresponding to the STA after the STA belongs by radio, and performs data communication with the STA when the authentication is successful. A wireless LAN system that relays data by adding an access restriction according to the authentication method used. 前記APは、前記アクセス制限を行うためのフィルタルールの集まりであるフィルタルールセットを登録するフィルタ情報蓄積部を有することを特徴とする請求項5に記載の無線LANシステム。   6. The wireless LAN system according to claim 5, wherein the AP has a filter information storage unit that registers a filter rule set that is a collection of filter rules for performing the access restriction. ネットワーク運用管理者が前記APに対して前記フィルタルールセットを予め登録するために使用する保守管理端末を有することを特徴とする請求項5乃至請求項6に記載の無線LANシステム。   7. The wireless LAN system according to claim 5, further comprising a maintenance management terminal used by a network operation manager to register the filter rule set in advance with respect to the AP. 前記認証の処理を前記APと協調して行う認証サーバを有することを特徴とする請求項5乃至請求項7に記載の無線LANシステム。   8. The wireless LAN system according to claim 5, further comprising an authentication server that performs the authentication process in cooperation with the AP. 無線LANシステムにおけるアクセスポイント(AP)であって、
端末局(STA)が無線により帰属した後に前記STAに対応して予め登録されている認証方式により前記STAの認証を行い、前記認証が成功した場合に前記STAとの間のデータ通信を、使用された前記認証方式に応じたアクセス制限を加えて中継をすることを特徴とするアクセスポイント(AP)。 An access point (AP) in a wireless LAN system,
After the terminal station (STA) belongs by radio, the STA is authenticated by an authentication method registered in advance corresponding to the STA, and when the authentication is successful, data communication with the STA is used. An access point (AP) that relays by adding an access restriction according to the authentication method. 前記アクセス制限を行うためのフィルタルールの集まりであるフィルタルールセットを登録するフィルタ情報蓄積部を有することを特徴とする請求項9に記載のアクセスポイント(AP)。   The access point (AP) according to claim 9, further comprising a filter information storage unit that registers a filter rule set that is a collection of filter rules for performing the access restriction. 前記フィルタルールセットは、予め保守管理端末により登録されることを特徴とする請求項9乃至請求項10に記載のアクセスポイント(AP)。   The access point (AP) according to any one of claims 9 to 10, wherein the filter rule set is registered in advance by a maintenance management terminal. 前記認証は、認証サーバで行われることを特徴とする請求項9乃至請求項11に記載のアクセスポイント(AP)。   The access point (AP) according to any one of claims 9 to 11, wherein the authentication is performed by an authentication server.
JP2003403100A 2003-12-02 2003-12-02 Access control method and apparatus in wireless lan system Pending JP2005167580A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003403100A JP2005167580A (en) 2003-12-02 2003-12-02 Access control method and apparatus in wireless lan system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003403100A JP2005167580A (en) 2003-12-02 2003-12-02 Access control method and apparatus in wireless lan system

Publications (1)

Publication Number Publication Date
JP2005167580A true JP2005167580A (en) 2005-06-23

Family

ID=34726507

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003403100A Pending JP2005167580A (en) 2003-12-02 2003-12-02 Access control method and apparatus in wireless lan system

Country Status (1)

Country Link
JP (1) JP2005167580A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007049709A (en) * 2005-08-09 2007-02-22 Internatl Business Mach Corp <Ibm> Method, computer system, and program for controlling port base authentication protocol and process for supporting forwarding of connection information
KR100749720B1 (en) 2006-08-18 2007-08-16 삼성전자주식회사 Access point device and method for supporting multiple authentication policies
KR100821183B1 (en) 2006-10-31 2008-04-14 주식회사 케이티프리텔 Method and apparatus for controlling the security mode in rnc(radio network controller)
JP2009130838A (en) * 2007-11-27 2009-06-11 Alaxala Networks Corp Packet relay device
JP2014003614A (en) * 2013-07-02 2014-01-09 Toshiba Corp Display control unit and display control method
JP2014135681A (en) * 2013-01-11 2014-07-24 Sumitomo Electric Networks Inc Stream processing device, remote control system, communication control method, remote control method and communication control program
JP2018521562A (en) * 2015-06-01 2018-08-02 ホアウェイ・テクノロジーズ・カンパニー・リミテッド Method, apparatus, and system for enhancing parallel processing capability of a wireless local area network
JP2019106659A (en) * 2017-12-14 2019-06-27 三菱電機株式会社 Radio communication system

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007049709A (en) * 2005-08-09 2007-02-22 Internatl Business Mach Corp <Ibm> Method, computer system, and program for controlling port base authentication protocol and process for supporting forwarding of connection information
KR100749720B1 (en) 2006-08-18 2007-08-16 삼성전자주식회사 Access point device and method for supporting multiple authentication policies
KR100821183B1 (en) 2006-10-31 2008-04-14 주식회사 케이티프리텔 Method and apparatus for controlling the security mode in rnc(radio network controller)
JP2009130838A (en) * 2007-11-27 2009-06-11 Alaxala Networks Corp Packet relay device
JP2014135681A (en) * 2013-01-11 2014-07-24 Sumitomo Electric Networks Inc Stream processing device, remote control system, communication control method, remote control method and communication control program
JP2014003614A (en) * 2013-07-02 2014-01-09 Toshiba Corp Display control unit and display control method
JP2018521562A (en) * 2015-06-01 2018-08-02 ホアウェイ・テクノロジーズ・カンパニー・リミテッド Method, apparatus, and system for enhancing parallel processing capability of a wireless local area network
US10356841B2 (en) 2015-06-01 2019-07-16 Huawei Technologies Co., Ltd. Method, apparatus, and system for enhancing concurrent processing capability of wireless local area network
JP2019106659A (en) * 2017-12-14 2019-06-27 三菱電機株式会社 Radio communication system
JP7030499B2 (en) 2017-12-14 2022-03-07 三菱電機株式会社 Wireless communication system

Similar Documents

Publication Publication Date Title
US7316031B2 (en) System and method for remotely monitoring wireless networks
US7342906B1 (en) Distributed wireless network security system
US7480933B2 (en) Method and apparatus for ensuring address information of a wireless terminal device in communications network
CN1781099B (en) Automatic configuration of client terminal in public hot spot
US9894520B2 (en) Cache-based wireless client authentication
JP3961462B2 (en) Computer apparatus, wireless LAN system, profile updating method, and program
JP4764108B2 (en) Wireless terminal, management device, wireless LAN control method, wireless LAN system
JP3869392B2 (en) User authentication method in public wireless LAN service system and recording medium storing program for causing computer to execute the method
US8201221B2 (en) Data transmission control on network
CN1784851B (en) Access method and access point for control terminal device to WLAN
JP2005142848A (en) Wireless lan system and its communication control method, and access point
CN101277308A (en) Method for insulating inside and outside networks, authentication server and access switch
JP5002259B2 (en) Authentication system
JP2006085719A (en) Setting information distribution device, authentication setting transfer device, method, program, medium and setting information receiving program
JP2008053808A (en) Authentication system and authenticating method of authenticating wireless terminal
JP3987539B2 (en) Session information management method and session information management apparatus
JP2005165561A (en) Network connection control program, network connection control method and network connection controller
JP4832516B2 (en) Network access control method, network access control system, authentication processing device, access control device, proxy request device, and access request device
EP2153599B1 (en) Methods and arrangements for security support for universal plug and play system
KR20030053280A (en) Access and Registration Method for Public Wireless LAN Service
JP2005167580A (en) Access control method and apparatus in wireless lan system
JP2006324980A (en) Communication terminal and control method therefor
KR100819942B1 (en) Method for access control in wire and wireless network
JP2006041594A (en) Mobile communication system and authentication method of mobile terminal
JP5534473B2 (en) Internet connection authentication system, Internet connection authentication method and program

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20050315

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061012

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070118

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20080612

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090224

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20090508

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090630