JP2004304240A - 無線lan通信システムにおける移動通信端末の認証方法及びその通信システム並びにプログラム - Google Patents

無線lan通信システムにおける移動通信端末の認証方法及びその通信システム並びにプログラム Download PDF

Info

Publication number
JP2004304240A
JP2004304240A JP2003091337A JP2003091337A JP2004304240A JP 2004304240 A JP2004304240 A JP 2004304240A JP 2003091337 A JP2003091337 A JP 2003091337A JP 2003091337 A JP2003091337 A JP 2003091337A JP 2004304240 A JP2004304240 A JP 2004304240A
Authority
JP
Japan
Prior art keywords
authentication
access point
point device
mobile communication
communication terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003091337A
Other languages
English (en)
Inventor
Yasuteru Miyamoto
泰照 宮本
Teruya Fujii
輝也 藤井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
Japan Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Japan Telecom Co Ltd filed Critical Japan Telecom Co Ltd
Priority to JP2003091337A priority Critical patent/JP2004304240A/ja
Publication of JP2004304240A publication Critical patent/JP2004304240A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】無線LAN通信システムにおいて、ハンドオーバ時間を短縮し、さらに、記憶手段の利用効率を向上させて、通信率の向上を図る。
【解決手段】AP装置6がMACテーブル7のデータを認証サーバ4の配信によって更新した後に、AP装置と移動通信端末(MS)10との間で認証を実行する。MS10からの認証要求S11がAP装置6に転送されると、AP装置6がMACテーブル7に登録されているMACアドレスのデータを調べてMACアドレスによるMAC認証S12を実行して、認証応答S13をAP装置6がMS10に転送し、この認証応答S13が認証許可の場合に、MS10とAP装置6との間を通じたデータ通信S14を実行する。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、分配方式(インフラ方式)の無線ローカルエリアネットワーク(LAN)システムにおける移動通信端末の認証に関し、特に、アクセスポイント装置が接続要求を行った移動通信端末の暗号化認証を実行するための、無線LAN通信システムにおける移動通信端末の認証方法及びその通信システム並びにプログラムに関する。
【0002】
【従来の技術】
従来、この種の無線LAN通信システムでは、移動通信端末(例えば、汎用小型コンピュータ)が、移動地点でアクセスポイント(AP:Access Point)装置との双方向通信を通じて、例えば、TCP/IP通信ネットワーク(インターネットやイントラネット)への接続要求(アクセス)を行っている。
【0003】
このようなTCP/IP通信ネットワークへのアクセスでは、移動通信端末に予め付与されているユーザ識別(ID)コードやパスワードなどをAP装置を通じて、TCP/IP通信ネットワーク上の認証サーバで、予め登録されているユーザIDコードやパスワードなどと比較して、その認証(適宜、暗証化認証と表記する)を行っている。また、ユーザIDコードやパスワードの認証に対してMAC(Media Access Control)アドレスのみによる認証も行われている。
【0004】
この認証では、認証サーバが、複数のAP装置を収容する複数のセグメント(分配方式/インフラ方式、LAN)からの、ユーザIDコードやパスワードの認証を集中的に実行している。この場合、AP装置のサービスエリアに入れ替わる多数の移動通信端末、また、分配方式の無線LAN通信システムにあって、別のAP装置のサービスエリアに移動した移動信端末の、不特定多数の認証が、1台の認証サーバで集中的に処理されている。
【0005】
このため、認証サーバに障害が発生すると認証が出来なくなることがある。この対策として、既知の現用系と予備系の構築、かつ、その切り換えを行う通信システムが周知である。また、認証サーバに障害が発生した場合の対策として、一時的にAP装置で認証を実行する提案がある(特許文献1)。
【0006】
【特許文献1】
特開2001−111544号公報(請求項1,2,3)
【0007】
【発明が解決しようとする課題】
このように上記従来例では、次の(1)、(2)、(3)の不都合がある。
【0008】
(1)多数のセグメントにおける複数のAP装置からの全ての認証要求を一つの認証サーバで集中的に処理することになる。したがって、その無線LAN通信システムにおける通信回線のトラフィック量が増大化する。
【0009】
(2)分配方式の無線LAN通信システムにあって、移動通信端末が移動する場合、この移動通信端末から複数のAP装置に対して認証要求が行われることになる。このためAP装置を切り換えるハンドオーバ時間が多大となってしまう。したがって、この場合も無線LAN通信システムにおける通信回線のトラフィック量が増大化する。
【0010】
換言すれば、従来例では、移動通信端末の収容可能台数が低減して無線LAN通信システムの通信効率が悪化するという欠点がある。
【0011】
(3)また、上記した公報例では、認証サーバに障害が発生した際に、AP装置単独にて移動通信端末の認証を実行できるものの、障害発生時以外は、認証サーバでの集中的な認証を行っている。この場合も上記したトラフィック量が増大化し、移動通信端末の収容可能台数が低減して、無線LAN通信システムでの通信効率が悪化するという欠点がある。
【0012】
本発明は、上記事情に鑑みてなされ、ハンドオーバ時間が短縮できるようになり、トラフィック量が増大化せずに、移動通信端末の収容可能台数の増加が可能になり、さらに、記憶手段の利用効率が向上して、実質的に無線LAN通信システムの通信効率が向上する、無線LAN通信システムにおける移動通信端末の認証方法及びその通信システム並びにプログラムを提供することを目的とする。
【0013】
【課題を解決するための手段】
上記目的を達成する本発明は、移動通信端末をアクセスポイント装置が収容する無線ローカルエリアネットワーク(LAN)システムにおける移動通信端末の認証方法において、移動通信端末が認証要求を、転送する段階と、移動通信端末からの認証要求を受け取ったアクセスポイント装置が前記移動通信端末に対する認証を実行して通知する段階と、アクセスポイント装置での認証許可の際にアクセスポイント装置と移動通信端末との間でデータ通信を実行する段階とを有することを特徴とする。
【0014】
この無線LAN通信システムにおける移動通信端末の認証方法では、アクセスポイント装置で直接認証を行っている。すなわち、認証サーバで集中的な認証を行わないようにして、トラフィック量が増大化せずに、ハンドオーバ時間が短縮できるようになる。
【0015】
さらに、アクセスポイント装置での、必要がなくなったMACテーブルのデータが削除(更新)される。したがって、MACテーブルのデータを登録する記憶手段、例えば、固体メモリやハードディスク装置での記憶容量を他のデータ処理などに振り分けることができるようになる。換言すれば、記憶手段の利用効率が向上する。
【0016】
上記目的を達成する本発明の無線LAN通信システムは、移動通信端末の認証を行うものであり、認証要求の後の認証許可を受けた際にデータ通信を実行する移動通信端末と、移動通信端末からの認証要求を受け取った際に移動通信端末に対する認証を実行して通知し、この通知が認証許可の場合に移動通信端末との間でのデータ通信を実行するアクセスポイント装置とを備えることを特徴とする。
【0017】
また、アクセスポイント装置は、認証要求を受け取る手段と、この認証要求を受け取った際に、この認証を実行する手段と、認証の実行結果を通知する手段と、この通知が認証許可の場合にデータ通信を実行する手段とを備えることを特徴とする。
【0018】
この発明の無線LAN通信システム及びアクセスポイント装置では、上記した移動通信端末の認証方法と同様に、ハンドオーバ時間を短縮できるようになり、さらに、AP装置における、必要がなくなったMACテーブルのデータが削除できるようになって、実質的に無線LAN通信システムの通信効率が向上する。
【0019】
上記目的を達成する本発明のプログラムは、移動通信端末が認証要求を転送するステップと、移動通信端末からの認証要求を受け取ったアクセスポイント装置が移動通信端末に対する認証を実行して通知するステップと、アクセスポイント装置での認証許可の際に前記アクセスポイント装置と移動通信端末との間でデータ通信を実行するステップとをコンピュータに実行させるためのものである。
【0020】
この発明のプログラムによれば、情報記録媒体(パッケージソフトウェアなど)や通信ネットワーク上からのダウンロード/インストールを通じた、発明の実施の提供が可能になる。したがって、当該発明を、種々の無線LAN通信システムに搭載されるマイクロコンピュータなどで容易に実施できるようになって、その汎用性が向上する。
【0021】
以下は、上記した無線LAN通信システムにおける移動通信端末の認証方法及びその通信システム並びにプログラムの技術思想における好適な態様である。
【0022】
アクセスポイント装置は、認証用のデータを、アクセスポイント装置を収容する通信ネットワーク上における、認証データを専用に格納する装置からの配信によって新規・更新を含んで登録する。
【0023】
また、アクセスポイント装置は、認証用のデータを、アクセスポイント装置に直接接続される情報装置からの転送によって、新規・更新を含んで登録する。
【0024】
さらに、アクセスポイント装置が登録している認証用のデータを、前記アクセスポイント装置が収容される同一のセグメント又は、他のセグメントに収容される、少なくとも一つの他のアクセスポイント装置に配信し、この配信を受けたアクセスポイント装置が認証用のデータの、新規・更新を含む登録を行う。
【0025】
また、アクセスポイント装置が登録している認証用のデータを転送する際に、移動通信端末からの認識要求を受け取ったアクセスポイント装置からの転送要求によって、このアクセスポイント装置が収容される同一のセグメント又は、他のセグメントに収容される、少なくとも一つの他のアクセスポイント装置に転送する。
【0026】
さらに、アクセスポイント装置が新規・更新を含んで登録するための認証データを、専用に格納する装置を、アクセスポイント装置を収容する通信ネットワーク上にさらに備え、又は、前記アクセスポイント装置に直接接続される、認証データを専用に格納した情報装置をさらに備える。
【0027】
また、次のステップを選択的にコンピュータに実行させる。
【0028】
(a)アクセスポイント装置が、認証用のデータを、アクセスポイント装置を収容する通信ネットワーク上における、認証データを専用に格納する装置からの配信によって新規・更新を含んで登録するステップ。
【0029】
(b)アクセスポイント装置が、認証用のデータを、アクセスポイント装置に直接接続される情報装置からの転送によって、新規・更新を含んで登録するステップ。
【0030】
(c)アクセスポイント装置が登録している認証用のデータを、アクセスポイント装置が収容される同一のセグメント又は、他のセグメントに収容される、少なくとも一つの他のアクセスポイント装置に転送し、この転送を受けたアクセスポイント装置が認証用のデータの、新規・更新を含む登録を行うステップ。
【0031】
(d)アクセスポイント装置が登録している認証用のデータを転送する際に、移動通信端末からの認証要求を受け取ったアクセスポイント装置からの転送要求によって、このアクセスポイント装置が収容される同一のセグメント又は、他のセグメントに収容される、少なくとも一つの他のアクセスポイント装置に転送するステップ。
【0032】
【発明の実施の形態】
以下、図を参照して、本発明の実施形態を説明するが、その構成及び信号処理は、本発明が理解できる程度の概略説明となっている。換言すれば、本発明は以下の実施形態に限定されず、特許請求の範囲の記載に基づく様々な変更及び適用が可能である。
【0033】
(第1実施形態の構成及び各部の基本的な動作)
図1は、第1実施形態における概略構成及び初期認証処理例を説明するための通信ネットワーク図である。
【0034】
図1を参照すると、第1実施形態における概略構成では、例えば、デジタル方式の有線通信回線網1(本発明(請求項)における「通信ネットワーク」に対応する)と、この有線通信回線網1に収容され、地域や施設内に構築される分配方式(インフラ方式)のセグメントに対応するLAN2(本発明(請求項)におけるアクセスポイント装置を収容する通信ネットワークに対応する)と、有線通信回線網1に接続された認証サーバ4と、この認証サーバ4に接続されて、例えば、MACアドレス、ユーザIDやパスワードが予め格納されるMACテーブル5とを有している。
【0035】
さらに、第1実施形態における概略構成では、LAN2に収容されるAP装置6,8と、このAP装置6,8にそれぞれ接続されたMACテーブル7,9と、AP装置6,8それぞれのサービスエリアでの認証要求及びデータ通信を行う移動通信端末(モバイルステーション:MS、適宜、送信元端末(MS)とも表記する)10とを有している。
【0036】
図2は第1実施形態にあって図1中のAP装置6,8の内部機能構成例を示すブロック図である。
【0037】
図2を参照すると、AP装置6,8は、図1中の移動通信端末10との無線回線接続のための無線通信部61と、データ処理部62と、LAN通信部63と、認証部64とから構成され、認証部64は、認証処理部64a及びMACテーブル64bとからからなる。
【0038】
図3は第1実施形態にあって図1中のAP装置6,8の具体的な内部構成例を示すブロック図である。
【0039】
図3を参照すると、AP装置6,8の具体的な内部構成例では、CPU,プログラムを格納するROM,ワーキング用のRAMからなるMPU65と、図1中の移動通信端末(MS)10との双方向通信を行うための無線通信部66と、図1中のLAN2との通信接続を行うための有線LAN通信部67とを有している。
【0040】
さらに、AP装置6,8の具体的な内部構成例では、CD−ROMなどの情報記録媒体から、当該第1実施形態を実行するためのプログラムをMPU65のROMに実装するためのインターフェース(I/F)部68と、MACテーブルのデータを新規又は更新のために取り込むためのI/F部69と、MACテーブルのデータを登録(格納)する固体メモリ(半導体メモリ)70と、 MACテーブルのデータを送出する情報処理装置71(本発明(請求項)における「アクセスポイント装置に直接接続される情報装置」に対応する)とを有している。
【0041】
固体メモリ70は、例えば、AP装置6,8での移動通信端末(MS、送信元端末)10の収容数などによって、そのMACテーブルのデータ量を変更できるようにするため、交換(着脱)可能な構成となっている(図3参照)。
【0042】
固体メモリ70には、以降で説明するように、認証サーバ4から配信されるMACテーブルのデータが登録される。さらに、情報処理装置71から、ここに、予め格納しているMACテーブルのデータを固体メモリ70に送出して、固体メモリ70が登録し、また、登録されているMACテーブルのデータに対する訂正、追加・削除などを行うようにしている。これによって、多様なMACテーブルのデータ利用が可能になる。このことは、以降の第2及び第3実施形態にも、そのまま適用される。
【0043】
なお、この重複した説明(固体メモリ70でのMACテーブルのデータに対する訂正、追加・削除など)は、以降の第2及び第3実施形態において省略する。
【0044】
図4は第1実施形態にあって図1中の認証サーバ4の内部機能構成例を示すブロック図である。
【0045】
図4を参照すると、認証サーバ4の内部機能構成例では、図1中の有線通信回線網1との全二重による通信接続を行うための通信部75と、データ処理部76と、認証部77とから構成され、この認証部77は、認証処理部77a及びMACテーブル77bを有している。
【0046】
図5は第1実施形態にあって図1中の認証サーバ4の具体的な内部構成例を示すブロック図である。
【0047】
図5を参照すると、この認証サーバ4の具体的な内部構成例では、CPU,プログラムを格納するROM,ワーキング用のRAMからなるMPU81と、図1中の有線通信回線網1との全二重通信を行うための有線通信部82と、CD−ROMなどの情報記録媒体から、当該第1実施形態を実行するためのプログラムをMPU81のROMに実装するためのI/F部84とを有している。
【0048】
さらに、認証サーバ4の具体的な内部構成例では、MACテーブルのデータを新規登録又は更新のために取り込むためのI/F部86と、MACテーブルのデータを格納するハードディスク(HDD)装置88と、MACテーブルのデータを最初に登録したり、更新するために送出する情報処理装置89及び情報処理装置90を有している。
【0049】
なお、AP装置6,8では、MACテーブルのデータを登録するために固体メモリ70を用い、認証サーバ4ではMACテーブルのデータを登録するためにHDD装置88を用いた例をもって説明したが、これに限定されない。例えば、移動通信端末10の収容数が多い場合は、固体メモリ70に代えてHDDを用いれば良い。
【0050】
(第1実施形態の全体動作)
図6は第1実施形態における初期の伝送形態を示すシーケンス図である。
【0051】
ここでは、まず、図1に基づいて、初期の伝送形態について説明する。
【0052】
図1及び図6を参照すると、移動通信端末(MS)10からAP装置6に対して、無線接続(無線区間)による認証要求S1が行われる。AP装置6は、LAN2及び有線通信回線網1を通じて、認証サーバ4に認証要求S2を転送する。
【0053】
認証サーバ4は、MACテーブル5を参照して、MACアドレス(図7参照)、又は、ユーザIDとパスワード(以降の図9参照)に基づいた認証S3を行う。認証サーバ4は、認証結果の認証応答S4をAP装置6に転送する。AP装置6が認証応答S5を移動通信端末(MS)10に転送する。
【0054】
この認証応答S5が認証許可の応答の場合に、AP装置6は、有線通信回線網1を通じた通信が可能であり、そのデータ通信S6がAP装置6を通じて実行される。認証サーバ4からAP装置6に移動通信端末(MS)10の認証結果と、MACテーブルに対する追加指示S7aが転送されて、MACテーブル7でデータの追加登録が実行される。
【0055】
同様にAP装置6とともにLAN2に収容されるAP装置8にも、そのサービスエリアに移動通信端末(MS)10が移動する可能性が高いと思われることから、MACテーブルに対する追加指示S7bが転送されて、MACテーブル9でMACアドレスに対する追加登録が実行される。
【0056】
なお、AP装置8へのMACテーブルに対する追加指示S7bは、AP装置8へのサービスエリアに移動通信端末(MS)10が移動する可能性が高いと思われるとともに、AP装置6,8それぞれのサービスエリアがオーバラップする場所、換言すれば、弱電界強度の地点での安定した高通信品質の通信接続を行うための意味もある。すなわち、強電界強度側(AP装置6,8のサービスエリアの一方)のサービスエリアでの安定した高通信品質の通信接続を行うためである。
【0057】
図7は第1実施形態のAP装置における送信元端末(移動通信端末:MS)10に対する認証サーバ4を通じた認証の処理手順を示すフローチャートである。
【0058】
図7を参照すると、この処理手順は、送信元端末10に対するMACアドレスによる認証例を示している。なお、ユーザID及びパスワードによる送信元端末10の認証例については以降の図9をもって説明する。
【0059】
なお、MACアドレスの認証は、LAN2上の媒体に対する認証を意味する。このMACアドレスの認証は、例えば、ユーザID及びパスワードによる送信元端末10の認証後に、実質的に同一として、その認証処理をAP装置6,8において簡素化するために行われる。この認証は、MACアドレス、ユーザID及びパスワードの一方のみで実行するようにしても良い。
【0060】
AP装置6は、移動通信端末(MS、送信元端末)10からの認証要求のフレームを受信する(ステップS1)。AP装置6は、MACテーブル7に送信元端末(MS)10のMACアドレスが登録されているかを調べる(ステップS2)。このステップS2で送信元端末(MS)10のMACアドレスが登録されている場合(Yes)、送信元端末(MS)10の認証許可となる(ステップS3)。ステップS2で送信元端末(MS)10のMACアドレスが登録されていない場合(No)、AP装置6は認証サーバ4に送信元端末(MS)10の認証問い合わせを行う(ステップS4)。すなわち、AP装置6が認証サーバ4に送信元端末(MS)10のMACアドレスが登録されているかを調べる(ステップS5)。
【0061】
ステップS5で送信元端末(MS)10の認証許可が転送されてきた場合(Yes)、AP装置6が、その認証サーバ4からの認証許可を取り込む(ステップS6)。そして、AP装置6がMACテーブル7に今回認証したMACアドレスを登録する(ステップS7)。この登録をAP装置8でも行う。この後は、このMACテーブル7によってAP装置6での認証が実行される。
【0062】
ステップS5で送信元端末(MS)10の認証許可が転送されてこない場合(No)、すなわち、AP装置6が、その認証サーバ4からの認証拒否を取り込む(ステップS8)。この後は、この認証拒否が送信元端末(MS)10に転送されて、処理終了となる(ステップS9)。
【0063】
図8は第1実施形態におけるAP装置と移動通信端末(MS)10との間の伝送形態を示すシーケンス図である。
【0064】
この伝送形態では、上記したAP装置6,8がMACテーブル7,9を更新した後(図6及び図7参照)、AP装置のみで認証を実行するものである。
【0065】
図8を参照すると、移動通信端末(MS)10からのAP装置6に認証要求S11が転送される。AP装置6は、MACテーブル7に登録されているMACアドレスのデータを調べてMACアドレスのMAC認証S12を実行する。この認証応答S13をAP装置6が移動通信端末(MS)10に転送する。この認証応答S13が認証許可の場合に、移動通信端末(MS)10とAP装置6との間を通じたデータ通信S14が実行される。すなわち、移動通信端末(MS)10に対してAP装置6のみによる、認証サーバ4を使用しないでのMACテーブル7による移動通信端末(MS)10に対する認証が行われる。
【0066】
図9は第1実施形態における送信元端末(移動通信端末:MS)の処理手順を示すフローチャートである。
【0067】
図9を参照すると、この処理手順はユーザID及びパスワードによる送信元端末10の認証例である。
【0068】
AP装置6は、移動通信端末(MS、送信元端末)10からの認証要求のフレームを受信する(ステップS11)。AP装置6は、MACテーブル7に送信元端末(MS)10のMACアドレスが登録されているかを調べる(ステップS12)。
【0069】
ステップS12で送信元端末(MS)10のMACアドレスが登録されている場合(Yes)、送信元端末(MS)10に対する認証許可となる(ステップS13)。ここまでは、図7の処理と同じである。
【0070】
次に、ステップS12で送信元端末(MS)10のMACアドレスが登録されていない場合(No)、AP装置6が送信元端末(MS)10にユーザID及びパスワードを要求する(ステップS14)。AP装置6が送信元端末(MS)10からのユーザID及びパスワードを受け取る(ステップS15)。AP装置6が送信元端末(MS)10からのユーザID及びパスワードを認証サーバ4に転送する(ステップS16)。
【0071】
次に、認証サーバ4が、すでに今回のユーザID及びパスワードがMACテーブル4に登録済みかを確認する(ステップS17)。このステップS17で「登録済み」の場合は、AP装置6は認証サーバ4からの認証許可を受け取る(ステップS18)。AP装置6は、認証テーブル7に認証サーバ4からのユーザID及びパスワードを登録して(ステップS19)、以降の認証許可に進む(ステップS13)。
【0072】
また、ステップS17で、「未登録」の場合は、AP装置6は認証サーバ4からの認証拒否を受け取る(ステップS20)。AP装置6は、移動通信端末(MS)10に認証拒否を通知して(ステップS21)、終了となる。
【0073】
(第1実施形態の利点)
上記したように、この第1実施形態では、移動通信端末(MS)10に対する認証がAP装置6のみによる、認証サーバ4を使用しないでの、MACテーブル7による認証が行われる。すなわち、認証サーバ4での移動通信端末(MS)10の認証後は、この認証サーバ4から配信されるMACテーブルのデータで、AP装置6のみによる認証を実行している。したがって、認証サーバ4への認証が集中せずに、トラフィック量が増大化することなく、ハンドオーバ時間が短縮される。この結果、移動通信端末の収容可能台数の増加が可能になって、実質的に無線LAN通信システムの通信効率が向上する。
【0074】
(第2実施形態の構成及び各部の基本的な動作)
図10は、第2実施形態における概略構成及び同一セグメントへの移動通信端末(MS)10の移動時の認証例を説明するための通信ネットワーク図である。
【0075】
図10を参照すると、この第2実施形態の概略構成は、図1に示す第1実施形態と同様であり、同一の構成要素には同一の参照符号を付し、その重複した説明を省略する。
【0076】
なお、この第2実施形態は、第1実施形態の処理が実行された後に、移動通信端末(MS)10が、分配方式の無線LAN通信システムにおける同一のセグメントでのAP装置6のサービスエリアからAP装置8のサービスエリア内に移動した場合を示している。ここでの認証サーバ4の図示は省略してある。
【0077】
なお、AP装置6,8の内部の機能構成及び具体的な構成は、第1実施形態と同様(図2及び図3)であり、ここでの重複した説明は省略する。
【0078】
(第2実施形態の全体動作)
図11は第2実施形態における伝送形態を示すシーケンス図である。
【0079】
図10及び図11を参照すると、移動通信端末(MS)10から、AP装置8に認証要求S21が転送される。AP装置8は、MACテーブル9に登録されているMACアドレスを調べてMACアドレスのMAC認証S22を実行する。この認証応答S23をAP装置8から移動通信端末(MS)10に転送する。この認証応答S23が認証許可の場合に、移動通信端末(MS)10とAP装置8との間を通じたデータ通信S24が実行される。すなわち、移動通信端末(MS)10とAP装置8との間のみで、認証サーバ4を使用しないでのMACテーブル9によるMAC認証が行われる。
【0080】
なお、この第2実施形態における認証サーバ4、AP装置8の処理手順(フローチャート)は基本的に第1実施形態と同一であるため、ここでの説明は省略する。
【0081】
(第2実施形態の利点)
上記した、この第2実施形態では、同一セグメントを移動した移動通信端末(MS)10がAP装置8との間のみで、認証サーバ4を使用しないで、MACテーブル9のデータに基づいた認証が行われる。すなわち、認証サーバ4での移動通信端末(MS)10の認証後は、AP装置8のみでの認証を実行している。したがって、第1実施形態と同様に認証サーバ4への認証が集中せずに、トラフィック量が増大化することなく、ハンドオーバ時間が短縮されて、結果的に移動通信端末の収容可能台数の増加が可能になって、実質的に無線LAN通信システムの通信効率が向上する。
【0082】
(第3実施形態の構成及び各部の基本的な動作)
図12は、第3実施形態における概略構成及び別セグメントへの移動通信端末(MS)10の移動時の認証処理例を説明するための通信ネットワーク図である。
【0083】
この第3実施形態の概略構成は、図1に示す第1実施形態と同様の構成に、別のセグメントが配置されている。例えば、施設内の異なる階(例えば、一階と二階)に配置されている。
【0084】
図12において、第1実施形態と同一の構成要素には同一の参照符号を付し、その重複した説明を省略する。なお、この第3実施形態は、第1実施形態の処理が実行された後に、移動通信端末(MS)10が、分配方式の無線LAN通信システムにおけるAP装置6のサービスエリアから別のセグメントにおけるAP装置6aのサービスエリア内に移動した場合を示している。
【0085】
なお、認証サーバ4及びAP装置6,8,6a, 8aの内部の機能構成及び具体的な構成は、第1実施形態と同様(図2から図5)であり、ここでの重複した説明は省略する。
【0086】
図12において、図1に示す第1実施形態の構成である有線通信回線網1、LAN2、認証サーバ4、MACテーブル5、AP装置6,8、MACテーブル7,9、及び移動通信端末(MS)10とを有し、さらに、この第3施形態に対応した別のセグメントにおけるLAN2a,AP装置6a,8a、MACテーブル7a,9aとを有している。
【0087】
(第3実施形態の全体動作)
図13は第3実施形態における伝送形態を示すシーケンス図である。
【0088】
図13を参照すると、この第3実施形態では、上記した第1及び第2実施形態の処理によって、AP装置6,8にそれぞれ接続されたMACテーブル7,9のデータが更新されている(移動通信端末(MS)10の接続要求による処理―図6参照)。この後、移動通信端末(MS)10は、LAN2aの別のセグメントにおけるAP装置6aのサービスエリアに移動している。
【0089】
この移動によって、移動通信端末(MS)10からAP装置6aに認証要求S31が行われる。AP装置6aは認証サーバ4に認証要求S32を実行する。認証サーバ4はMACテーブル5を参照して、MAC認証S33を行い、AP装置6aに認証応答S34を転送する。AP装置6aに認証応答S35を移動通信端末(MS)10に転送し、この後、移動通信端末(MS)10が、AP装置6aを通じたデータ通信S36を実行する。
【0090】
この後、認証サーバ4は、AP装置6aに対するMACテーブル7aの更新指示S37aを行う。また、移動通信端末(MS)10が、AP装置8aのサービスエリアに移動する可能性があるとして、MACテーブル9aの更新指示S37bを行う。
【0091】
さらに、認証サーバ4は、AP装置6,8に対して移動通信端末(MS)10が、これらのサービスエリアに移動することが少ないものとして、MACテーブル7,9のデータ削除の更新指示S38a,38bが行われる。
【0092】
なお、この第3実施形態における認証サーバ4及びAP装置6,8,6a,8aそれぞれの処理手順(フローチャート)は基本的に第1実施形態と同一であるため、ここでの説明は省略する。
【0093】
この第3実施形態にあって、登録(以後の更新も含む)したAP装置6a,8aのMACテーブル7a,9aの単独(認証サーバ4によらない認証)での移動通信端末10の認証は、第1実施形態の伝送シーケンス例(図8参照)、及び第2実施形態の伝送シーケンス例(図11参照)と同様である。その重複した説明は省略する。
【0094】
(第3実施形態の利点)
上記したように、この第3実施形態では、必要がなくなった、MACテーブルのデータが削除される。したがって、図3に示す固体メモリ70の利用効率、例えば、記憶領域を他の記憶処理に活用できるようになって、結果的に無線LAN通信システムの通信効率が向上する。
【0095】
(変形例)
図14は、図6に示す第1実施形態などの伝送形態の変形例を示すシーケンス図である。
【0096】
ここでは図6に示す第1実施形態などの伝送形態と異なる変形部分についてのみ説明する。
【0097】
図14を参照すると、この変形例では、認証サーバ4が、AP装置6を通じて移動通信端末(MS)10からの認証要求に対して、使い棄てパスワードによる認証のためのチャレンジテキストS43を、AP装置6を通じて、移動通信端末(MS)10に転送する。移動通信端末(MS)10が、レスポンステキストS44を、AP装置6を通じて、認証サーバ4に転送する。これ以降は図6に示す第1実施形態の伝送形態のシーケンスと同じであり、その重複した説明は省略する。
【0098】
この場合、使い棄てパスワードによる認証の安全性が向上する。
【0099】
図15は 図3に示すAP装置6,8などの具体的な変形構成例を示すブロック図である。
【0100】
ここでは図3に示す第1実施形態などの具体的な変形構成例と異なる変形部分についてのみ説明する。
【0101】
図15を参照すると、図3に示す第1実施形態において、MACテーブルのデータの記憶に、固体メモリ70を採用し情報処理装置71を接続してMACテーブルのデータを登録・更新しているのに対し、この変形例では、比較的に大容量のMACテーブルのデータの記憶が可能なHDD100を採用し、さらに、通信回線網102上の情報処理装置103(本発明(請求項)における「通信ネットワーク上における、認証データを専用に格納する装置」に対応する)を接続してMACテーブルのデータを登録している。その他の構成は図3に示す第1実施形態と同じであり、その重複した説明は省略する。
【0102】
この場合、比較的に大容量のMACテーブルのデータの登録・更新が容易になる。
【0103】
なお、上記した第1から第3実施形態では、認証サーバ4のみからMACテーブルのデータを配信する例をもって説明したが、AP装置からの転送によって、他の一つ又は複数のAP装置側のMACテーブルのデータを登録・更新することも出来る。
【0104】
このような、他の一つ又は複数のAP装置側のMACテーブルデータの登録・更新が次のシーケンス例で実行される。
【0105】
(1)例えば、第1及び第2実施形態(図1及び図10参照)において、上記したように、まず、移動通信端末10が、AP装置6に接続要求を行って、そのAP装置6に接続されるMACテーブル7のデータを登録・更新する。
【0106】
(2)この後、移動通信端末10が、他のAP装置8のサービスエリアに移動して、ここで接続要求を行う。
【0107】
(3)AP装置8は、MACテーブル9に移動通信端末10に関するデータが無いことを認識すると、AP装置6にMACテーブル7のデータの転送要求コマンドを転送する。
【0108】
(4) AP装置8は、AP装置6が転送したデータをMACテーブル9に格納(登録・更新)する。これ以後は、第2実施形態の説明のように、AP装置8が認証を実行する。
【0109】
なお、第3実施形態の場合も、上記したシーケンス例(AP装置からのMACテーブルのデータ転送)と同様にして他のセグメントのMACテーブル9,7a,9a(この一つ又は複数)などのデータの登録・更新を行うことが出来る。
【0110】
(5)また、AP装置6がMACテーブル7のデータを登録・更新した後に、このAP装置6が一方的に、他の一つ又は複数のAP装置にMACテーブルデータを配信して、その配信を受けたAP装置側が、そのMACテーブルのデータを登録・更新することも出来る。
【0111】
なお、上記した第1から第3実施形態では、パスワードでの認証の例を説明しているが、他の秘密鍵暗号方式、公開鍵暗号方式及びゼロ知識照明方式などの認証にもそのまま適用できるものである。
【0112】
【発明の効果】
以上の説明から明らかなように、本発明の無線LAN通信システムにおける移動通信端末の認証方法及びその通信システム並びにプログラムによれば、ハンドオーバ時間が短縮できるようになり、トラフィック量が増大化せずに、移動通信端末の収容可能台数の増加が可能になり、さらに、記憶手段の利用効率が向上して、実質的に無線LAN通信システムの通信効率が向上するという効果を奏する。
【図面の簡単な説明】
【図1】第1実施形態における概略構成及び初期認証処理例を説明するための通信ネットワーク図である。
【図2】第1実施形態にあって図1中のAP装置の内部機能構成例を示すブロック図である。
【図3】第1実施形態にあって図1中のAP装置の具体的な内部構成例を示すブロック図である。
【図4】第1実施形態にあって図1中の認証サーバの内部機能構成例を示すブロック図である。
【図5】第1実施形態にあって図1中の認証サーバの具体的な内部構成例を示すブロック図である。
【図6】第1実施形態における初期の伝送形態を示すシーケンス図である。
【図7】第1実施形態のAP装置における送信端末に対する認証サーバを通じた認証の処理手順を示すフローチャートである。
【図8】第1実施形態におけるAP装置と移動通信端末との伝送形態を示すシーケンス図である。
【図9】第1実施形態における送信元端末の処理手順を示すフローチャートである。
【図10】第2実施形態における概略構成及び同一セグメントへの移動通信端末の移動時の認証例を説明するための通信ネットワーク図である。
【図11】第2実施形態における伝送形態を示すシーケンス図である。
【図12】第3実施形態における概略構成及び別セグメントへの移動通信端末の移動時の認証例を説明するための通信ネットワーク図である。
【図13】第3実施形態における伝送形態を示すシーケンス図である。
【図14】第1実施形態の伝送形態の変形例を示すシーケンス図である。
【図15】図3に示すAP装置の具体的な変形構成例を示すブロック図である。
【符号の説明】
1 有線通信回線網
2,2a LAN
4 認証サーバ
5,7,7a,9,9a,64b,77b MACテーブル
6,6a,8,8a AP装置
10 移動通信端末(送信元端末)
61,66 無線通信部
62,76 データ処理部
63 LAN通信部
64,77 認証部
65,81 MPU
67 有線LAN通信部
70 固体メモリ
71,89,90,103 情報処理装置
75 通信部
82 有線通信部
88,100 ハードディスク(HDD)装置

Claims (10)

  1. 移動通信端末をアクセスポイント装置が収容する無線ローカルエリアネットワーク(LAN)通信システムにおける移動通信端末の認証方法において、
    前記移動通信端末が認証要求を転送する段階と、
    前記移動通信端末からの認証要求を受け取ったアクセスポイント装置が前記移動通信端末に対する認証を実行して通知する段階と、
    前記アクセスポイント装置での認証許可の際に前記アクセスポイント装置と前記移動通信端末との間でデータ通信を実行する段階と、
    を有することを特徴とする無線LAN通信システムにおける移動通信端末の認証方法。
  2. 前記アクセスポイント装置は、
    認証用のデータを、アクセスポイント装置を収容する通信ネットワーク上における、認証データを専用に格納する装置からの配信によって新規・更新を含んで登録することを特徴とする請求項1に記載の無線LAN通信システムにおける移動通信端末の認証方法。
  3. 前記アクセスポイント装置は、
    認証用のデータを、前記アクセスポイント装置に直接接続される情報装置からの転送によって、新規・更新を含んで登録することを特徴とする請求項1に記載の無線LAN通信システムにおける移動通信端末の認証方法。
  4. 前記アクセスポイント装置が登録している認証用のデータを、前記アクセスポイント装置が収容される同一のセグメント又は、他のセグメントに収容される、少なくとも一つの他のアクセスポイント装置に配信し、この配信を受けたアクセスポイント装置が認証用のデータの、新規・更新を含む登録を行うことを特徴とする請求項1,2,3のいずれかに記載の無線LAN通信システムにおける移動通信端末の認証方法。
  5. 前記アクセスポイント装置が登録している認証用のデータを転送する際に、
    移動通信端末からの認証要求を受け取ったアクセスポイント装置からの転送要求によって、このアクセスポイント装置が収容される同一のセグメント又は、他のセグメントに収容される、少なくとも一つの他のアクセスポイント装置に転送することを特徴とする請求項4に記載の無線LAN通信システムにおける移動通信端末の認証方法。
  6. 移動通信端末の認証を行う無線LAN通信システムにおいて、
    認証要求の後の認証許可を受けた際にデータ通信を実行する移動通信端末と、
    前記移動通信端末からの認証要求を受け取った際に前記移動通信端末に対する認証を実行して通知し、この通知が認証許可の場合に前記移動通信端末との間でのデータ通信を実行するアクセスポイント装置と、
    を備えることを特徴とする無線LAN通信システム。
  7. 前記アクセスポイント装置が新規・更新を含んで登録するための、認証データを専用に格納する装置を、アクセスポイント装置を収容する通信ネットワーク上にさらに備え、又は、
    前記アクセスポイント装置に直接接続される、認証データを専用に格納した情報装置をさらに備えることを特徴とする請求項6に記載の無線LAN通信システム。
  8. 認証要求を受け取る手段と、
    この認証要求を受け取った際に、この認証を実行する手段と、
    認証の実行結果を通知する手段と、
    この通知が認証許可の場合にデータ通信を実行する手段と、
    を備えることを特徴とする無線LAN通信システムにおけるアクセスポイント装置。
  9. 移動通信端末が認証要求を転送するステップと、
    前記移動通信端末からの認証要求を受け取ったアクセスポイント装置が前記移動通信端末に対する認証を実行して通知するステップと、
    前記アクセスポイント装置での認証許可の際に前記アクセスポイント装置と前記移動通信端末との間でデータ通信を実行するステップと、
    をコンピュータに実行させるためのプログラム。
  10. 次のステップの少なくとも一つをコンピュータに実行させるための請求項8に記載のプログラム。
    (a)アクセスポイント装置が、認証用のデータを、アクセスポイント装置を収容する通信ネットワーク上における、認証データを専用に格納する装置からの配信によって新規・更新を含んで登録するステップ。
    (b)アクセスポイント装置が、認証用のデータを、アクセスポイント装置に直接接続される情報装置からの転送によって、新規・更新を含んで登録するステップ。
    (c)アクセスポイント装置が登録している認証用のデータを、アクセスポイント装置が収容される同一のセグメント又は、他のセグメントに収容される、少なくとも一つの他のアクセスポイント装置に転送し、この転送を受けたアクセスポイント装置が認証用のデータの、新規・更新を含む登録を行うステップ。
    (d)アクセスポイント装置が登録している認証用のデータを転送する際に、移動通信端末からの認証要求を受け取ったアクセスポイント装置からの転送要求によって、このアクセスポイント装置が収容される同一のセグメント又は、他のセグメントに収容される、少なくとも一つの他のアクセスポイント装置に転送するステップ。
JP2003091337A 2003-03-28 2003-03-28 無線lan通信システムにおける移動通信端末の認証方法及びその通信システム並びにプログラム Pending JP2004304240A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003091337A JP2004304240A (ja) 2003-03-28 2003-03-28 無線lan通信システムにおける移動通信端末の認証方法及びその通信システム並びにプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003091337A JP2004304240A (ja) 2003-03-28 2003-03-28 無線lan通信システムにおける移動通信端末の認証方法及びその通信システム並びにプログラム

Publications (1)

Publication Number Publication Date
JP2004304240A true JP2004304240A (ja) 2004-10-28

Family

ID=33404726

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003091337A Pending JP2004304240A (ja) 2003-03-28 2003-03-28 無線lan通信システムにおける移動通信端末の認証方法及びその通信システム並びにプログラム

Country Status (1)

Country Link
JP (1) JP2004304240A (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007148876A (ja) * 2005-11-29 2007-06-14 Shimadzu Corp ネットワーク型分析システム
JP2008148200A (ja) * 2006-12-13 2008-06-26 Murata Mach Ltd 中継サーバ
JP2011244439A (ja) * 2010-05-10 2011-12-01 Intel Corp 無線ネットワークへのエンロールのためのオーディブルな認証
JP5012799B2 (ja) * 2006-07-04 2012-08-29 富士通株式会社 通信装置、通信装置による無線通信装置の接続先切替制御方法およびプログラム
US8533330B2 (en) 2006-12-11 2013-09-10 Murata Machinery, Ltd. Relay server and relay communication system arranged to share resources between networks
US8549291B2 (en) 2005-07-28 2013-10-01 Samsung Electronics Co., Ltd. Wireless network apparatus storing authentication information in multiple formats and areas and authentication method of the same
JP2016048880A (ja) * 2014-08-28 2016-04-07 Necプラットフォームズ株式会社 中継機、無線lanシステム、接続制御方法及びプログラム
JP2016167873A (ja) * 2011-01-14 2016-09-15 クアルコム,インコーポレイテッド 遠隔ヘルスケアワイヤレス通信ハブデバイスおよびサービスプラットフォームシステム
JP2016535523A (ja) * 2014-07-17 2016-11-10 シャオミ・インコーポレイテッド ネットワーク接続方法、装置、プログラム、及び記録媒体
JP2017152766A (ja) * 2016-02-22 2017-08-31 Necプラットフォームズ株式会社 通信システム及びその設定方法、並びにコンピュータ・プログラム

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8549291B2 (en) 2005-07-28 2013-10-01 Samsung Electronics Co., Ltd. Wireless network apparatus storing authentication information in multiple formats and areas and authentication method of the same
JP2007148876A (ja) * 2005-11-29 2007-06-14 Shimadzu Corp ネットワーク型分析システム
JP5012799B2 (ja) * 2006-07-04 2012-08-29 富士通株式会社 通信装置、通信装置による無線通信装置の接続先切替制御方法およびプログラム
US8533330B2 (en) 2006-12-11 2013-09-10 Murata Machinery, Ltd. Relay server and relay communication system arranged to share resources between networks
JP2008148200A (ja) * 2006-12-13 2008-06-26 Murata Mach Ltd 中継サーバ
JP2011244439A (ja) * 2010-05-10 2011-12-01 Intel Corp 無線ネットワークへのエンロールのためのオーディブルな認証
JP2016167873A (ja) * 2011-01-14 2016-09-15 クアルコム,インコーポレイテッド 遠隔ヘルスケアワイヤレス通信ハブデバイスおよびサービスプラットフォームシステム
US10230783B2 (en) 2011-01-14 2019-03-12 Qualcomm Incorporated Telehealth wireless communication hub device and service platform system
JP2016535523A (ja) * 2014-07-17 2016-11-10 シャオミ・インコーポレイテッド ネットワーク接続方法、装置、プログラム、及び記録媒体
JP2016048880A (ja) * 2014-08-28 2016-04-07 Necプラットフォームズ株式会社 中継機、無線lanシステム、接続制御方法及びプログラム
JP2017152766A (ja) * 2016-02-22 2017-08-31 Necプラットフォームズ株式会社 通信システム及びその設定方法、並びにコンピュータ・プログラム

Similar Documents

Publication Publication Date Title
US7168090B2 (en) Mobile IP authentication
CN101432717B (zh) 用于实现快速再认证的系统和方法
EP1707024B1 (en) Improvements in authentication and authorization in heterogeneous networks
US9197615B2 (en) Method and system for providing access-specific key
JP3869392B2 (ja) 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体
US7369855B2 (en) Methods and apparatus for the utilization of core based nodes for state transfer
JP4303752B2 (ja) 安全なドメイン内およびドメイン間ハンドオーバ
KR100813295B1 (ko) 무선 휴대 인터넷 시스템에서 eap를 이용한 보안 관계협상 방법
RU2440688C2 (ru) Профиль пользователя, политика и распределение ключей pmip в сети беспроводной связи
EP1693995B1 (en) A method for implementing access authentication of wlan user
JP4687788B2 (ja) 無線アクセスシステムおよび無線アクセス方法
JP5079853B2 (ja) 無線アクセスポイント間での安全なローミング
US7130286B2 (en) System and method for resource authorizations during handovers
KR20200022512A (ko) 네트워크 보안 관리 방법 및 장치
JP2004343448A (ja) 無線lanアクセス認証システム
JP2004304824A (ja) 無線lanシステムにおける認証方法と認証装置
JP2006319971A (ja) ハンドオーバーの性能を改良するセキュリティアソシエーションの再利用
JP2005503087A (ja) モバイルインターネット通信装置及び方法
US20070191014A1 (en) Authentication mechanism for unlicensed mobile access
KR101504173B1 (ko) AC와 AP의 연동 기반의 WiFi 로밍에서의 과금 처리 방법 및 장치
US8204478B2 (en) System for setting security in wireless network system using cluster function and method of controlling the same
JP2004304240A (ja) 無線lan通信システムにおける移動通信端末の認証方法及びその通信システム並びにプログラム
US7421077B2 (en) Mobile IP authentication
JP5272851B2 (ja) 通信傍受システム、通信傍受装置、通信傍受方法およびプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050613

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050621

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050805

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20051129