JP2004312257A - Base station, repeating device and communication system - Google Patents
Base station, repeating device and communication system Download PDFInfo
- Publication number
- JP2004312257A JP2004312257A JP2003101714A JP2003101714A JP2004312257A JP 2004312257 A JP2004312257 A JP 2004312257A JP 2003101714 A JP2003101714 A JP 2003101714A JP 2003101714 A JP2003101714 A JP 2003101714A JP 2004312257 A JP2004312257 A JP 2004312257A
- Authority
- JP
- Japan
- Prior art keywords
- virtual lan
- data
- security
- base station
- communication terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、無線ネットワークにおけるセキュリティに関する基地局、中継装置及び通信システム。
【0002】
【従来の技術】
昨今、携帯可能なノートパソコンの普及にともなって、IEEE802.11に代表される無線LANが、ケーブルに縛られることのないその利便性から、広く用いられるようになっている。また、最大で54Mbpsの伝送速度を持つIEEE802.11aの登場により、今後益々普及が進むと考えられる。その一方で無線の持つ特徴から、悪意の第3者に容易に通信を傍受されるという危険性もあわせもっている。現行の無線LANにおいては、ユーザないしは無線端末ごとの認証の手段はなく、またデータの暗号方式も全ての端末で共通の鍵を用いた暗号化方式(例えば、非特許文献1参照)で、既に脆弱性が指摘されている。その中でユーザごとの認証が行えるIEEE802.1Xを無線LANに拡張した方式が提案され、またユーザごとに異なる鍵を用いて暗号化通信を行う方式が登場している。
【0003】
また、別の技術として仮想LANと呼ばれる、物理的には同一セグメントに属するネットワークを識別タグをフレームに付加することで、論理的に複数のセグメントに分離する技術も確立されている。
【0004】
【非特許文献1】
IEEE Std 802.1Q−1998, ”IEEE Standards for Local and Metropolitan Area Networks: Virtual Bridged Local Area Networks”、[online]、[平成15年3月1日検索]、
インターネット<http://standards.ieee.org/getieee802/download/802.1Q−1998.pdf>
【0005】
【発明が解決しようとする課題】
IEEE802.11に代表される無線ネットワークにおいては、その利便性に付随してセキュリティ面に多くの課題を残している。そのような中で異なる仮想LANに属する無線端末を互いの仮想LANの独立性を保持したまま、かつユーザが仮想LANのフレーミングを意識することなく収容できる技術が今後重要になってくると考える。しかしながら現状のIEEE802.1Xの無線LAN拡張方式のみでは、ユニキャストフレームに関するセキュリティ情報(暗号に用いる鍵など)は無線端末ごとに変えることができるが、マルチキャスト/ブロードキャストフレームに関しては全ての端末で同一のセキュリティ情報を用いることしかできない。
【0006】
そこで本発明では認証されたユーザ、あるいは無線端末が、認証の時に通知された識別情報をもとに仮想LANにセキュリティを確保して収容することができ、かつ複数の仮想LANを収容した際には仮想LANごとに異なるマルチキャスト/ブロードキャスト情報を設定することで、仮想LAN間のセキュリティも確保して収容することのできるシステムを提案する。
【0007】
【課題を解決するための手段】
本発明の基地局は、認証サーバと、この認証サーバからネットワークを介して認証を受ける通信端末と、通信端末が行う通信を仮想LANを介して転送する基地局において、仮想LANごとに生成されたセキュリティ情報を認証サーバから取得するセキュリティ情報取得手段と、セキュリティ情報を仮想LANごとに配信するセキュリティ情報配信手段と、配信したセキュリティ情報に基づいて通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを仮想LAN中の通信端末から受信するセキュリティ処理データ受信手段と、通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを復号するセキュリティ処理データ復号手段と、復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見するセキュリティ処理仮想LAN発見手段と、発見した仮想LANに対応するセキュリティ情報に基づいて、復号したマルチキャストデータ及びブロードキャストデータのいずれかをセキュリティ処理するセキュリティ処理手段と、復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、セキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを送信するセキュリティ処理データ送信手段を備えている。
【0008】
また、本発明の基地局は、認証サーバと、この認証サーバからネットワークを介して認証を受ける通信端末と、通信端末と通信を行う有線端末と、通信端末が行う通信を仮想LANを介して転送し、有線端末に有線で接続している基地局において、仮想LANごとに生成されたセキュリティ情報を認証サーバから取得するセキュリティ情報取得手段と、セキュリティ情報を仮想LANごとに配信するセキュリティ情報配信手段と、マルチキャストデータ及びブロードキャストデータのいずれかを有線端末から受信するデータ受信手段と、受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見するセキュリティ処理仮想LAN発見手段と、発見した仮想LANに対応するセキュリティ情報に基づいて、受信したマルチキャストデータ及びブロードキャストデータのいずれかをセキュリティ処理するセキュリティ処理手段と、受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、セキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを送信するセキュリティ処理データ送信手段を備えている。
【0009】
さらに、本発明の基地局は、認証サーバと、この認証サーバからネットワークを介して認証を受ける通信端末と、通信端末と通信を行う有線端末と、通信端末が行う通信を仮想LANを介して転送し、有線端末に有線で接続している基地局において、仮想LANごとに生成されたセキュリティ情報を認証サーバから取得するセキュリティ情報取得手段と、セキュリティ情報を仮想LANごとに配信するセキュリティ情報配信手段と、配信したセキュリティ情報に基づいて通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを仮想LAN中の通信端末から受信するセキュリティ処理データ受信手段と、通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを復号するセキュリティ処理データ復号手段と、復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である有線端末に、復号したマルチキャストデータ及びブロードキャストデータのいずれかを送信するセキュリティ処理データ送信手段を備えている。
【0010】
本発明の中継装置は、認証サーバと、この認証サーバからネットワークを介して認証を受ける通信端末と、通信端末が行う通信を仮想LANを介して中継する基地局に接続する中継装置において、仮想LANごとに生成されたセキュリティ情報を認証サーバから取得するセキュリティ情報取得手段と、セキュリティ情報を仮想LANごとに配信するセキュリティ情報配信手段と、配信したセキュリティ情報に基づいて通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを仮想LAN中の通信端末から基地局を介して受信するセキュリティ処理データ受信手段と、通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを復号するセキュリティ処理データ復号手段と、復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見する仮想LAN発見手段と、発見した仮想LANに対応するセキュリティ情報に基づいて、復号されたマルチキャストデータ及びブロードキャストデータのいずれかをセキュリティ処理するセキュリティ処理手段と、復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、セキュリティ処理したマルチキャストデータ又はブロードキャストデータを基地局を介して送信するセキュリティ処理データ送信手段を備えている。
【0011】
また、本発明の中継装置は、認証サーバと、この認証サーバからネットワークを介して認証を受ける通信端末と、通信端末と通信を行う有線端末と、通信端末が行う通信を仮想LANを介して中継し、有線端末に有線で接続している基地局に接続する中継装置において、仮想LANごとに生成されたセキュリティ情報を認証サーバから取得するセキュリティ情報取得手段と、セキュリティ情報を仮想LANごとに配信するセキュリティ情報配信手段と、マルチキャストデータ及びブロードキャストデータのいずれかを有線端末から受信するデータ受信手段と、受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見する仮想LAN発見手段と、発見した仮想LANに対応するセキュリティ情報に基づいて、受信したマルチキャストデータ及びブロードキャストデータのいずれかをセキュリティ処理するセキュリティ処理手段と、受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、セキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを基地局を介して送信するセキュリティ処理データ送信手段を備えている。
【0012】
さらに、本発明の中継装置は、認証サーバと、この認証サーバからネットワークを介して認証を受ける通信端末と、通信端末と通信を行う有線端末と、通信端末が行う通信を仮想LANを介して中継し、有線端末に有線で接続している基地局に接続する中継装置において、仮想LANごとに生成されたセキュリティ情報を認証サーバから取得するセキュリティ情報取得手段と、セキュリティ情報を仮想LANごとに配信するセキュリティ情報配信手段と、配信したセキュリティ情報に基づいて通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを仮想LAN中の通信端末から基地局を介して受信するセキュリティ処理データ受信手段と、通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを復号するセキュリティ処理データ復号手段と、復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である有線端末に、復号したマルチキャストデータ及びブロードキャストデータのいずれかを基地局を介して送信するセキュリティ処理データ送信手段を備えている。
【0013】
本発明の通信システムは、仮想LAN情報を含んでいるビーコンフレームをブロードキャストする送信手段を具備する基地局と、仮想LAN情報を取得する情報取得手段と、取得された仮想LAN情報に基づいて基地局に接続することが可能か否かを判定する接続判定手段と、基地局に接続することが可能であると判定した場合に基地局との間で無線リンクを確立するリンク確立手段を具備する通信端末を備えている。
【0014】
また、本発明の通信システムは、通信端末からのプローブ要求フレームを受信する受信手段と、プローブ要求フレームに応答して仮想LAN情報を含んでいるプローブ応答フレームを通信端末に送信する送信手段とを具備する基地局と、プローブ要求フレームをブロードキャストする送信手段と、仮想LAN情報を取得する取得手段と、取得された仮想LAN情報に基づいて基地局に接続することが可能か否かを判定する判定手段と、基地局に接続することが可能であると判定した場合に基地局との間で無線リンクを確立するリンク確立手段を具備する通信端末を備えている。
【0015】
本発明の通信システムは、認証サーバと、この認証サーバからネットワークを介して認証を受ける通信端末と、通信端末が行う通信を仮想LANを介して中継する基地局からなる通信システムにおいて、仮想LANごとにセキュリティ情報を生成するセキュリティ情報生成手段と、生成したセキュリティ情報を対応する仮想LANに配信するセキュリティ情報配信手段を具備する認証サーバと、基地局から仮想LAN情報を取得する取得手段と、取得した仮想LAN情報に基づいて基地局に接続することが可能か否かを判定する判定手段と、基地局に接続することが可能であると判定した場合に基地局との間で無線リンクを確立するリンク確立手段を具備する通信端末と、セキュリティ情報を取得するセキュリティ情報取得手段と、取得したセキュリティ情報を仮想LANごとに配信するセキュリティ情報配信手段と、配信したセキュリティ情報に基づいて通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを通信端末から受信するセキュリティ処理データ受信手段と、通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを復号するセキュリティ処理データ復号手段と、復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見するセキュリティ処理仮想LAN発見手段と、発見された仮想LANに対応するセキュリティ情報に基づいて、復号したマルチキャストデータ及びブロードキャストデータのいずれかをセキュリティ処理するセキュリティ処理手段と、復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、処理したマルチキャストデータ及びブロードキャストデータのいずれかを送信するセキュリティ処理データ送信手段を具備する基地局を具備することを備えている。
【0016】
以上の構成によれば、各仮想LANをセグメント間のセキュリティを確保したまま分離し、適切なフレームの転送を行うことが可能となる。
【0017】
例えば、IEEE802.11に代表される無線ネットワークにおいて、認証された無線端末が、認証の時に通知されたセキュリティ情報をもとに仮想LANにセキュリティを確保して収容することができる。
さらに、その際に仮想LANごとに異なるマルチキャスト/ブロードキャスト情報を設定することで、仮想LAN間のセキュリティも確保して収容することができる。
【0018】
加えて無線基地局は遠隔のVPNサーバとVPNトンネルを生成することで、物理的に遠隔にあるネットワークの仮想LANの収容も可能となり、これによって例えば、公衆無線LAN基地局から社内ネットワークにセキュリティを保持したまま接続することも可能となる。
【0019】
また、上記の中継装置によれば、既存の無線基地局を改良することなく、各仮想LANをセグメント間のセキュリティを確保したまま分離し、適切なフレームの転送を行うことが可能となる。
【0020】
【発明の実施の形態】
以下、図面を参照しながら発明の基地局、中継装置及び通信システムに関する実施の形態を説明する。
図1は、本発明の実施形態に係る無線基地局、無線通信端末及びシステムのネットワーク構成図である。
ネットワーク101、102は複数のサブネットワーク(図示せず)とそれぞれを相互接続するルータ(図示せず)から構成されている。ネットワーク101、102は、互いに独立に管理されるネットワークである。具体的には社内イントラネットなどが挙げられるが、社内イントラネットに限定するものではない。ルータは、IP(Internet Protocol)のルーティング機能を実現する。
【0021】
各サブネットワークは、いわゆるLANセグメントに対応している。LANセグメントは物理的なセグメントである場合もあれば、論理的に構成されているセグメントである場合もある。後者の場合が、いわゆる仮想LAN(Virtual LAN:VLAN)によるLANセグメントである。図1では仮想LAN131、132はネットワーク101のサブネットワークであり、仮想LAN133、134は後述するVPNトンネルによりネットワーク102のサブネットワークである。
【0022】
ネットワーク101とthe Internetはゲートウェイ161により相互接続されている。同様にネットワーク102とthe Internetはゲートウェイ162により相互接続されている。ゲートウェイ161、162はルータの機能を持つ。また、ネットワーク101、102は端末151、152、153を接続して、各端末151、152、153はネットワークを介してデータ通信を実行している。各端末151、152、153は有線で無線基地局111、112、113と接続している。
【0023】
ネットワーク101は1つ以上の無線基地局111、112、113を接続している。本実施形態では、この無線基地局111、112、113がIEEE802.11、ないしそれに類似した無線LAN規格に基づく基地局である。
【0024】
無線基地局111、112、113はそれぞれ1つ以上の無線端末を収容することができる。無線端末141、142は仮想LAN131に属し、無線端末143は仮想LAN132に属し、無線端末144は仮想LAN133に属し、無線端末145、146は仮想LAN134に属している。図1では、無線基地局111が無線端末141、142、143を収容し、無線基地局112が無線端末144、145、146を収容している。
【0025】
さらに、ネットワーク101、102はそれぞれ認証・管理サーバ121、122を接続している。認証・管理サーバ121は各無線端末141、142、143、144、145、146、ないしそのユーザのうち、ネットワーク101に属するものに関する認証とセキュリティ情報の生成及び配信を行う。さらに認証・管理サーバ121は各無線端末がどの仮想LANに属しているかという対応関係、QoS(Quality of Service)設定のポリシーを管理している。図1では、認証・管理サーバ121は、ネットワーク101のサブネットワークである仮想LAN131、132に属する無線端末141、142、143を管理する。
【0026】
同様に認証・管理サーバ122は各無線端末141、142、143、144、145、146、ないしそのユーザのうち、ネットワーク102に属するものに関する認証とセキュリティ情報の生成及び配信を行う。さらに認証・管理サーバ122は各無線端末がどの仮想LANに属しているかという対応関係、QoS設定のポリシーを管理している。図1では、認証・管理サーバ122は、ネットワーク102のサブネットワークである仮想LAN133、134に属する無線端末144、145、146を管理する。
【0027】
以上の構成により、各無線端末141、142、143、144、145、146を適切な仮想LAN131、132、133、134に帰属させ、各仮想LANをセグメント間のセキュリティを確保したまま分離し、適切なフレームの転送を行う。これによって、ブロードキャスト/マルチキャストセキュリティ情報は仮想LANごとに設定することができ、仮想LANごとのセキュリティも確保することができる。
【0028】
ネットワーク102はVPNサーバ171を接続している。VPNサーバ171は、PPTP(Point−to−Point Tunneling Protocol)、L2TPに代表されるVPN(Virtual Private Network)のサーバ機能をもち、VPN機能を持つクライアントからのVPNトンネル生成の要求に応答し、VPNトンネルを生成することができる。図1では、無線基地局112は、ネットワーク102のサブネットワークである、仮想LAN133、134に属する無線端末を収容するために、後述するVPN機能212とVPNサーバ171の間でVPNトンネルを生成する。これによって物理的には異なるネットワークに属する無線基地局112が、論理的にはネットワーク102と同じネットワークに属することができる。
【0029】
セキュリティ上の理由から、ゲートウェイ161、162はさらにファイアウォールの機能を持っていても良い。また、ゲートウェイ161、162は、必ずしも物理的に一つの装置から構成される必要は無く、ルータやファイアウォールなど複数の物理的な装置とそれらを相互接続するネットワーク(サブネットワーク)の組合せで構成される場合もあり得る。
本実施形態の無線基地局は、IEEE802.11、ないしそれに類似した無線LAN規格に基づくものであるが、一般には無線技術をこれらの規格に限る必要は無く、また複数種類の無線技術が1つのネットワークに混在しても良い。
認証・管理サーバ121、122は複数の物理的な装置によって構成されていても良い。
【0030】
図2は、図1の無線基地局111、112、113のブロック図である。ここでは無線基地局111、112、113を代表して無線基地局111について説明する。
制御・管理機能201は、セキュリティ制御・管理機能202、VLAN制御・管理機能203、QoS制御・管理機能204を含み、無線基地局111が実行するセキュリティ、仮想LAN、通信のサービス品質(QoS)に関する制御及び管理を行う。
セキュリティ制御・管理機能202は、仮想LANごとのマルチキャスト又はブロードキャストに用いる暗号化鍵や認証鍵などのセキュリティ情報に関する制御及び管理を行う。また、セキュリティ制御・管理機能202は、無線端末ごとのユニキャストに用いる暗号化鍵や認証鍵などのセキュリティ情報に関する制御及び管理も行う。
【0031】
VLAN制御・管理機能203は、指定された仮想LANに無線端末を収容するように制御し、仮想LANを管理する。VLAN制御・管理機能203が、セキュリティ制御・管理機能202に指示を出力して、仮想LANのマルチキャスト又はブロードキャストに用いる暗号化鍵や認証鍵などのセキュリティ情報を、セキュリティ機能233が無線端末に送信するように制御させる。
【0032】
また、VLAN制御・管理機能203は、仮想LANが無線基地局111に既に組み込まれている状況の下では、セキュリティ制御・管理機能202を指示して、仮想LANのマルチキャスト又はブロードキャストに用いる暗号化鍵や認証鍵などのセキュリティ情報を、後述するセキュリティ機能233が無線端末に送信するように制御する。
【0033】
例えば、ビーコンフレーム(Beacon Frame)に埋め込まれる仮想LANに関する情報は、無線基地局111のVLAN制御・管理機能203を使って、予め適当に設定されている。設定される内容は、VLAN制御・管理機能203が、無線MAC/DLレイヤ231のVLAN機能234を適当に制御することにより、ビーコンフレームに反映される。
【0034】
無線基地局のQoS制御・管理機能204は、仮想LAN内のユーザデータに割り当てる帯域を設定することのできる最大帯域の制限や最低保証帯域を規定する。無線基地局のQoS制御・管理機能204は、VLANごとに最大帯域が設定されているような場合に、無線MAC/DLレイヤ231のQoS機能235に指示することで、この仮想LANのユーザデータに割り当てる帯域が指定された最大帯域を越えないように制御する。
【0035】
ルーティング機能211は、IPの機能を実現し、無線端末及びネットワーク101との間でデータパケットを送受信する。また、ルーティング機能211は、VPN機能212を含んでいる。VPN機能212は、必要なVPNを設定する場合に動作する。VLAN制御・管理機能203が、必要なVPNを設定するためにVPN機能212を制御する。例えば、上述したようにL2TPやPPTPなどを用いてトンネルを生成する処理を行う。図1では、無線基地局112は、ネットワーク102のサブネットワークである仮想LAN133、134を収容するために、VPNサーバ171との間に、VLAN制御・管理機能203を用いてVPNトンネルを生成している。さらにVLAN制御・管理機能203は、IPSec(Internet Protocol Security)で指定された接続先との間にトンネルを生成してもよい。
【0036】
ブリッジ機能221はVLAN機能222とQoS機能223を含んでいる。VLAN機能222は、無線側と有線側の間をブリッジして、無線側と有線側との間の通信を可能にする。QoS機能223は、無線端末の帯域の保証や制限を行った通信を可能にしたり、有線側の仮想LAN帯域も制御する。
【0037】
無線MAC/DLレイヤ231は、セキュリティ機能233、VLAN機能234、QoS機能235を含む。セキュリティ機能233は無線側で送受信するフレームの暗号・認証処理を行う。
【0038】
セキュリティ機能233は、送受信されるフレームがマルチキャスト又はブロードキャストフレームの場合、VLAN機能234と協調して動作することにより、仮想LANごとに設定されているセキュリティ情報を利用して、送受信するフレームの暗号・認証処理を行う。セキュリティ機能233は、送受信されるフレームがユニキャストフレームの場合、無線端末ごとに設定されたセキュリティ情報を利用して、送受信するフレームの暗号・認証処理を行う。
また、セキュリティ機能233は、認証が成功するまでの間、認証・セキュリティ情報配信などに関する予め定められた特定のメッセージ以外のユーザデータなどに関するメッセージをブロックする。
【0039】
VLAN機能234は、ユーザデータの交換の際に、無線基地局111から無線端末141、142、143へデータの送信をする時、無線端末141、142、143側から送信されたVLANタグつきのフレームのうち、その無線端末が属する仮想LANに対応したタグのフレームのみを、タグを適切に取り除いたフレームに変換して送信する。
QoS機能235は、仮想LANのユーザデータに割り当てる帯域が指定された最大帯域を越えないように制御するための機能である。
【0040】
無線物理レイヤ241は、無線端末と無線基地局111との間の無線通信を実行する際の物理レイヤである。例えば、無線MAC/DLレイヤ231によって生成されるビーコンフレーム、プローブ応答フレーム(Probe Response Frame)及びプローブ要求フレーム(Probe Request Frame)は、無線物理レイヤ241により無線信号として送信される。また、無線端末と無線基地局の間の通信は、IP層を用いることなく、無線基地局の無線MAC/DLレイヤ231と無線物理レイヤ241、後述する無線端末の無線MAC/DLレイヤ331と無線物理レイヤ341により、無線LANのリンク層の機能を利用して行われる。
【0041】
有線MAC/DLレイヤ232と有線物理レイヤ242は、イーサネット(Ethernet)(登録商標)へのアクセスの機能を提供する。VLAN機能236は、端末側から送信されたVLANタグつきのフレームのうち、その無線端末が属する仮想LANに対応したタグのフレームのみを、タグを適切に取り除いたフレームに変換して宛先に送信する。QoS機能237は有線側の仮想LAN帯域を制御する場合に使用される。
【0042】
図3は、図1の無線端末141、142、143、144、145、146のブロック図である。ここでは無線端末を代表して無線端末141について説明する。図3も図2の無線基地局のブロック図にある機能の名称と同一な名称は同様な機能を有している。
制御・管理機能301は、認証・セキュリティ情報配信、VLAN、QoS設定に関する動作をそれぞれ行うセキュリティ制御・管理機能302、VLAN制御・管理機能303、QoS制御・管理機能304を含んでいる。
【0043】
ルーティング機能311は、IPの機能を実現し、無線MAC/DLレイヤ331と無線物理レイヤ341がイーサネットへのアクセスの機能を提供することで、パケットを送受信する。VPN機能312は、物理的には異なるネットワークに属する無線基地局112が、論理的にはネットワーク102と同じネットワークに属するためのVPNトンネルに関する機能である。
【0044】
無線端末のVLAN制御・管理機能303は、無線基地局からのセキュリティ情報を受信すると、無線MAC/DLレイヤ331のセキュリティ機能333に対しこのセキュリティ情報を設定する。
【0045】
無線物理レイヤ341は、無線MAC/DLレイヤ331とにより、無線LANのリンク層の機能を利用して、無線端末と無線基地局の間の通信を行うために使用される。
【0046】
図4は、図1の認証・管理サーバ121、122のブロック図である。ここでは認証・管理サーバを代表して認証・管理サーバ121について説明する。図4も図2の無線基地局のブロック図にある機能の名称と同一な名称は同様な機能を有している。
制御・管理機能401は、無線端末の制御・管理機能301と、無線基地局の制御・管理機能201又は図10を参照して後述されるMACブリッジの制御・管理機能とにより、認証・セキュリティ情報配信、VLAN、QoS設定を制御する。
【0047】
セキュリティ制御・管理機能402は、主に無線端末141のセキュリティ制御・管理機能302、無線基地局111のセキュリティ制御・管理機能202との間で認証・セキュリティ情報配信、仮想LAN設定、QoS設定のためのメッセージを交換する。
【0048】
VLAN制御・管理機能403は、セキュリティ情報に関しては認証・管理サーバのセキュリティ制御・管理機能402から、QoSに関する情報に関しては、認証・管理サーバのQoS制御・管理機能404から得る。
また、VLAN制御・管理機能403は、VPNの接続先を無線基地局のVLAN制御・管理機能203に通知する。
さらに、QoS制御・管理機能404がその無線端末のQoSに関する情報を配信する。
【0049】
ルーティング機能411はIPのルーティングを行う。また、有線MAC/DLレイヤ432と有線物理レイヤ442がイーサネットへのアクセスを実現する。
【0050】
図5は、図1の無線端末、無線基地局、認証・管理サーバの間のメッセージ交換を示す図である。ここでは例として無線端末141、無線基地局111、認証・管理サーバ121の場合について説明する。他の無線端末142又は143、無線基地局111、認証・管理サーバ121の場合も、無線端末144、145又は146、無線基地局112、認証・管理サーバ121の場合も以下の説明が適用される。
第1段階では、無線端末141と無線基地局111との間に無線リンクを確立する。第2段階では、認証・管理サーバ121を介して、無線端末141と無線基地局111の間での認証、ユーザデータ交換の段階の秘匿・認証に用いるセキュリティ情報の配信、仮想LANの設定、QoSの設定などを行う。なお、第2段階で挙げた内容の全てが常に実行される必要は無く、適切な部分のみが実行されれば良い。第3段階でユーザデータの交換が行われる。各段階では複数のメッセージ交換がなされても良い。また、この段階の別け方は典型的であるが、必ずしもこのような段階に分かれている必要は無く、以上の動作が実行されればよい。
【0051】
第1段階は、IEEE802.11の典型的な場合には、無線端末141が行う無線基地局111のプローブ要求とそれに対する無線基地局111のプローブ応答による1つ以上の無線基地局111の発見と、無線端末141と適切に選択された無線基地局111との間の認証と、アソシエーション確立とによって構成される。
【0052】
なお、無線端末141はプローブせずに無線基地局111が定期的に送信するビーコンの受信によりアソシエーションする相手の無線基地局111を選択しても良い。さらに、IEEE802.11をIEEE802.1Xの認証で拡張したような場合には、上記の認証(IEEE802.11のWEPベースの認証)を行わず第2段階でIEEE802.1Xの手順により認証を行う。この場合、第1段階が終了しても、無線基地局111は、認証に必要なフレームのみの交換を許容し、一般のユーザデータの交換は認証されるまで禁止する。以下では、IEEE802.1Xないしそれに類似した認証を行う場合を想定する。
【0053】
仮想LANをサポートするため、第1段階を拡張する。拡張の目的は、無線端末が、仮想LANに対応する無線端末を適切な仮想LANに収容できる無線基地局を選択することにある。選択の必要性を以下に例示する。
【0054】
(1)仮想LANに対応していないレガシーな無線基地局がネットワークに混在する状況があり得る。例えば図6では、無線基地局113が仮想LANに対応していない。仮想LANに対応する無線端末141は、仮想LAN拡張に対応している無線基地局111又は112と通信するように適切な選択を可能にしなければならない。
【0055】
(2)ある無線基地局が全ての仮想LANに接続されている、ないし接続可能とは限らないという状況もあり得る。例えば、図6の無線基地局111は仮想LAN1、2に接続しているが動的に仮想LANを構成する機能を持たない。一方図6の無線基地局112は仮想LAN3、4に接続しておりかつ動的に仮想LANを構成する機能を持っている。この場合、例えば仮想LAN4ないし仮想LAN5に属する無線端末は、無線基地局112と接続されるべきである。
【0056】
なお、ここでの動的という表現は、なんらかの手段で無線端末の収容状態の変化に応じて仮想LANの設定変更が可能であるという意味で、必ずしもIEEE802.1Qにおけるdynamic/staticの分類と一致する訳ではない。
【0057】
具体的な拡張の方法はこのほかにもある。例えば、IEEE802.11の場合、無線基地局が送信するプローブ応答フレームないしビーコンフレームに、仮想LANに関する情報を埋め込むことが考えられる。この一つの方法としてSSID(Service Set Identifier)に仮想LAN情報をエンコードする方法がある。
【0058】
具体的なエンコードの方法として、例えば、無線基地局が仮想LANをサポートしているか否かという情報を適当なビット列で表現し、接続している仮想LANの番号をビットマップで表現し、さらに動的に仮想LANを構成することができるか否かの表現にビットを割り当てる。SSIDはネットワークの管理者又は運用者が設定できるので、この方法はIEEE802.11の仕様を変えずに、同一の管理・運用ドメイン内のローカルな規約として実現できる。ただし、SSIDの最大長は32octetsなので、ドメインで構成されている仮想LANの数によってはビットマップ表現が困難である。
【0059】
別の方法として、IEEE802.11の仕様自体を仮想LANに関する情報を含むように拡張することも考えられる。例えばケイパビリティ・インフォメーション・フィールド(capability information field)に仮想LAN拡張の有無を示すビットを割当て、接続している仮想LANの番号のビットマップや動的構成などの情報を示すインフォメーション・エレメント(Information element)を追加しても良い。さらにプローブ応答(Probe Response)やビーコン(Beacon)以外に仮想LANに関するフレームを新規に規定しても良い。
【0060】
このように選択した無線基地局、例えば無線基地局111に対し、無線端末141は無線リンクの設定を要求する。IEEE802.11の場合には、無線端末141が、無線基地局111に対し、アソシエーション要求フレーム(Association Request Frame)ないし、リアソシエーション要求フレーム(Reassociation Request Frame)を送信する。後者は別の無線基地局から無線基地局111にハンドオフする場合に対応し、前の無線基地局での認証の結果を用いて認証の手順などを最適化する余地があるが、ここではアソシエーション要求(Association Request)の場合を想定する。既に述べたように、ここではIEEE802.1Xないしそれに類似する認証を第2段階で行うことを前提としているので、IEEE802.11のアソシエーション設定に先立つ認証はあっても良いが、本質的には不要である。無線基地局111からのアソシエーション応答(Association Response)がアソシエーション設定の成功を示していれば、無線端末141と無線基地局111の間で、無線リンクが確立した状態になり、第1段階が終了する。
【0061】
第2段階では、認証・管理サーバ121を介して、無線端末141と無線基地局111の間での認証、ユーザデータ交換の段階の秘匿・認証に用いるセキュリティ情報の配信、仮想LANの設定、QoSの設定などを行う。なお、第2段階でこれらの機能が必ずしも全て必要という訳ではない。
【0062】
例えばIEEE802.11の場合、IEEE802.1Xの無線LAN対応の拡張により認証・管理サーバ121を介して、無線端末141と無線基地局111の間での認証、ユーザデータ交換の段階の秘匿・認証に用いるセキュリティ情報の配信を行う場合が多い。この手順を拡張することにより、仮想LANの設定、QoSの設定を行うことができる。また、認証とセキュリティ情報の配信には、IEEE802.1X以外のプロトコルを使うことも可能であり、その場合も類似の方法で仮想LANの設定、QoSの設定を行うことができる。
【0063】
第3段階では、無線端末141はネットワーク内の端末151とデータ送受信を行うことができる。ユーザデータの交換の際には、無線基地局111から無線端末141へデータの送信をする時は無線MAC/DLレイヤ231のVLAN機能234を用いて端末側から送信されたVLANタグつきのフレームのうち、その無線端末141が属する仮想LANに対応したタグのフレームのみを、タグを適切に取り除いたフレームに変換して送信する。
【0064】
また、無線基地局111は、セキュリティ機能233を用いてフレームを送信する。ユニキャストフレームの場合は無線端末ごとに設定されたセキュリティ情報を用いて、マルチキャスト又はブロードキャストフレームの場合は仮想LANごとに設定されたセキュリティ情報を用いて送信する。その無線端末にQoSの設定がなされている場合はQoS機能235を用いて無線端末に決められた帯域を確保したり、決められた帯域に制限したりする形でフレームを送信する。無線端末からのフレームを受信した際には、その無線端末のセキュリティ情報を用いて複号し、その無線端末が属する仮想LANのタグを付加して有線側に送信する。
以上の手順を踏まえることで、仮想LANの間で独立性を保持した状態で複数の仮想LANを収容したシステムを構成することができる。
【0065】
図6は、図5の第1段階での図1の無線端末141が無線基地局111、112、又は113を選択する様子を示す図である。図6は無線端末141が適切な仮想LANに対応している無線基地局を選択する状況を例示している。無線端末141から無線が到達可能な無線基地局111、112、113の3つあり、いずれか適当な無線基地局を選択する余地がある状況である。
図6で、無線端末141は、無線基地局111が定期的に送信するビーコンフレームを受信して、無線基地局111が仮想LAN1、2と接続しておりかつ仮想LANを動的に追加することはできないことを検出する。なお、このビーコンフレームは、無線基地局111の無線MAC/DLレイヤ231によって生成され、無線物理レイヤ241により無線信号として送信される。
【0066】
この際にビーコンフレームに埋め込まれる仮想LANに関する情報は、無線基地局111のVLAN制御・管理機能203を使って、予め適当に設定されている。設定される内容は、接続する仮想LANと、仮想LANの動的な追加を行うか否かなどである。設定された内容は、VLAN制御・管理機能203が、無線MAC/DLレイヤ231のVLAN機能234を適当に制御することにより、ビーコンフレームに反映される。
【0067】
VLAN制御・管理機能203は、管理者がローカルにこの仮想LANに関する情報を設定するユーザインタフェース機能を提供する。管理者によるこの設定は、例えば認証・管理サーバ121からリモートに行われても良い。この際には、認証・管理サーバ121のVLAN制御・管理機能403が管理者に対するユーザインタフェース機能を持ち、無線基地局111のVLAN制御・管理機能203と相互に通信して適当な設定を行う。
【0068】
この通信は、例えばよく知られたIPやイーサネットの機能により行われる。つまり、必要なパケットはネットワーク101のIPの機能により、無線基地局111と認証・管理サーバ121の間で、適切にルーティングされる。無線基地局111では、ルーティング機能211がIPの機能を実現し、有線MAC/DLレイヤ232と有線物理レイヤ242がイーサネットへのアクセスの機能を提供することで、このパケットを送受信する。
【0069】
同様に、認証・管理サーバ121のルーティング機能411がIPのルーティングを行い、有線MAC/DLレイヤ432と有線物理レイヤ442がイーサネットへのアクセスを実現することで、これらのパケットを送受信する。
【0070】
別の例として、仮想LANに関するフレームを定義した場合、無線基地局111が定期的に送信する仮想LANに関するフレームを受信することにより、無線端末141は無線基地局111が仮想LAN1、2と接続しておりかつ仮想LANを動的に追加することはできないことを検出することもできる。
【0071】
また別の方法として、無線端末141が送信した問い合わせ信号(例えばIEEE802.11のプローブ要求(Probe Request))に対する無線基地局112のプローブ応答(Probe Response)により方法がある。この方法によると図8の例では、無線端末141が、無線基地局112が仮想LAN3、4と接続しておりかつ仮想LANを動的に追加可能であることを、認識する場合を示している。
【0072】
プローブ要求フレームは、無線端末141の無線MAC/DLレイヤ331によって生成され、無線物理レイヤ341により無線信号として送信される。プローブ応答フレームは、無線基地局111の無線MAC/DLレイヤ231によって生成され、無線物理レイヤ241により無線信号として送信される。この際にプローブ応答フレームに埋め込まれる仮想LANに関する情報は、無線基地局112のVLAN制御・管理機能203を使って、予め適当に設定されている。無線基地局112への仮想LANの設定は無線基地局111への設定方法に準ずる。
【0073】
また、仮想LANに関するフレームを定義した場合、その問い合わせフレームと応答フレームのやり取りにより、無線基地局112が仮想LAN3、4と接続しており、かつ仮想LANを動的に追加可能であることを、無線端末141が認識することもできる。
【0074】
図6の無線基地局113は仮想LAN拡張に対応していない。無線端末141は問い合わせに対して適当な応答が返ってこないことで、無線基地局113が仮想LAN拡張に対応していないことを認識する。一例として、無線端末141が問い合わせとして送信したプローブ要求に対するプローブ応答に仮想LAN拡張を示す情報が含まれていない場合がある。別の例として、仮想LANに関するフレームを定義した場合、その問い合わせフレームに応答が返ってこないことで、無線基地局113が仮想LAN拡張に対応していないことを無線端末141が認識する場合もあり得る。
【0075】
このようにして無線の到達範囲内にある無線基地局111、112、113それぞれの仮想LANサポート状態を認識した無線端末141は、自分が属している仮想LANを収容可能な無線基地局を選択する。無線端末141が属する仮想LANに関する情報は、無線端末141のVLAN制御・管理機能303により予め設定されているものとする。設定される内容は、無線端末141ないしはそのユーザが属する仮想LANなどである。VLAN制御・管理機能303は、管理者ないしユーザが、ローカルにこの情報を設定するユーザインタフェース機能を提供する。
【0076】
管理者ないしユーザによるこの設定は、例えば認証・管理サーバ121、122からリモートに行われても良い。この際には、認証・管理サーバ121、122のVLAN制御・管理機能403が管理者ないしユーザに対するユーザインタフェース機能を持ち、無線端末141のVLAN制御・管理機能303と相互に通信して適当な設定を行う。この通信は、例えばよく知られたIPやイーサネットの機能により行われる。つまり、必要なパケットはネットワーク101のIPの機能により、無線端末141と認証・管理サーバ121、122の間で、適切にルーティングされる。
【0077】
無線基地局111では、ルーティング機能211がIPの機能を実現し、有線MAC/DLレイヤ232と有線物理レイヤ242がイーサネットへのアクセスの機能を提供することで、このパケットを送受信する。同様に、無線端末141では、認証・管理サーバ121、122のルーティング機能411がIPのルーティングを行い、有線MAC/DLレイヤ432と有線物理レイヤ442がイーサネットへのアクセスを実現することで、これらのパケットを送受信する。
【0078】
例えば、無線端末141が仮想LAN1に属している場合には、無線基地局111ないし無線基地局113を選択する。無線端末141が仮想LAN2に属している場合には、無線基地局111を選択する。無線端末141が仮想LAN4に属している場合には、無線基地局112を選択する。無線端末141が仮想LAN5に属している場合には、仮想LANの動的な追加が可能な無線基地局112を選択する。無線端末141が仮想LANに属していない場合には、無線基地局111、112、113のいずれを選んでも良い。
【0079】
図7は、図6の無線端末141が無線基地局からのビーコンフレームにより無線基地局111、112又は113を選択するためのシーケンス図である。図7は、IEEE802.11のビーコンフレームを用いて無線基地局の仮想LAN情報を無線端末141が取得する際のメッセージの一例を示す。
無線基地局111、112、113は定期的にビーコンフレームを送信しており(S21、S22、S23)、無線端末141は接続すべき無線基地局を探す目的でビーコンフレームを受信する。このフレーム内の仮想LAN情報より、無線端末141は、無線基地局111が仮想LAN1、2を収容可能でかつ動的に追加不可能であると検出する。同様に無線端末141は、無線基地局112が仮想LAN3、4を収容可能でかつ動的に追加可能であると検出し、無線基地局113はビーコンフレーム内に仮想LAN情報を含まないレガシーな無線基地局なので仮想LANの収容はできないと検出する。
【0080】
この結果、無線端末141が仮想LAN1に属する端末であるとすると、接続すべき無線基地局が無線基地局111、112であると判断し、図7においてはそのうちの無線基地局111と無線リンクを確立する。
【0081】
図8は、図6の無線端末141が無線基地局からのプローブ応答により無線基地局111、112又は113を選択するためのシーケンス図である。図8は、IEEE802.11のプローブ要求/Responseを用いて無線基地局の仮想LAN 情報を無線端末が取得する際のメッセージの一例を示す。
無線端末141は接続すべき無線基地局を探す目的でプローブ要求フレームをブロードキャスト宛に送信する。このプローブ要求フレームを受信した無線基地局111、112、113は無線端末141に対してプローブ応答フレームを送信する。このプローブ応答フレーム内の仮想LAN情報より、無線基地局111は仮想LAN1、2を収容可能でかつ動的に追加不可能であると検出する。同様に無線端末141は、無線基地局112が仮想LAN3、4を収容可能でかつ動的に追加可能であると検出し、無線基地局113はビーコンフレーム 内に仮想LAN情報を含まないレガシーな無線基地局なので仮想LANの収容はできないと検出する。
【0082】
この結果、無線端末141が仮想LAN1に属する端末であるとすると、接続すべき無線基地局が無線基地局111、112であると判断し、図8においてはそのうちの無線基地局111と無線リンクを確立する。
【0083】
図9は、図5の第2段階での図1の無線端末、無線基地局、認証・管理サーバの間のメッセージ交換のシーケンス図である。図5と同様に、例として無線端末141、無線基地局111、認証・管理サーバ121の場合について説明する。図5と同様に他の組合せでも以下の説明が適用される。
図9に、IEEE802.1Xをさらに仮想LAN、QoS設定が出来るように拡張した認証・セキュリティ情報配信、仮想LAN設定、QoS設定のためのメッセージ交換の一例を示す。最初に、IEEE802.1Xの従来からある無線LAN対応の拡張の場合を説明し、仮想LAN、QoS設定が出来るように拡張した部分はその後で説明する。
【0084】
以下のメッセージ交換は、主に無線端末141のセキュリティ制御・管理機能302、無線基地局111のセキュリティ制御・管理機能202、認証・管理サーバ121のセキュリティ制御・管理機能402の間で行われる。無線端末141と無線基地局111の間の通信は、IP層は用いず、無線基地局111の無線MAC/DLレイヤ231と無線物理レイヤ241、無線端末141の無線MAC/DLレイヤ331と無線物理レイヤ341により、無線LANのリンク層の機能を利用して行われる。
【0085】
ここで、以下の一連の認証・セキュリティ情報配信などに関する予め定められた特定のメッセージ以外の、ユーザデータなどに関するメッセージは、認証が成功するまでの間、無線基地局111のセキュリティ機能233及び無線端末141のセキュリティ機能333によってブロックされる。IEEE802.1Xでは、無線端末141と無線基地局111との間のメッセージは、EAPOL(Extensible Authentication Protocol over LAN)というプロトコルに従う。EAPOLは、元来はpppの認証方法を拡張する目的で開発されたEAPを、IEEE802系のLAN上でも利用できるようにするために定義されたプロトコルである。無線基地局と認証・管理サーバ間のプロトコルは、IPの上で動作するRADIUS(Remote Access Dial In User Service)プロトコルを使う場合が多い。RADIUSもEAPパケットをRADIUS属性として配送できるように拡張されている。無線基地局と認証・管理サーバ間のIPの通信については、IETF発行のRFC2869“RADIUS Extensions”で既に説明されている。
【0086】
最初に無線端末141は無線基地局111に対して、EAPOL−Startメッセージを送信する(S1)ことで、一連のメッセージ交換を起動する。無線基地局111は、EAPOL−Startメッセージを受信すると、EAP−Request/Identityメッセージを送信し(S2)、無線端末141ないしユーザの識別子を要求する。なお、EAPOL−Startメッセージはオプションであり、このEAP−Request/Identityから一連のメッセージ交換を開始してもよい。すなわち、認証メッセージ交換は無線端末141、無線基地局111のいずれからも開始することができることになる。
【0087】
無線端末141は、EAP−Request/Identity受信すると、無線基地局111に向けてEAP−Response/Identityメッセージにより無線端末ないしユーザの識別子を送信する(S3)。無線基地局111は、EAP−Response/IdentityメッセージをRADIUSのRadius−Access−Requestメッセージに載せ替えて、認証・管理サーバに送信する(S4)。これに対し、認証・管理サーバ121は、無線端末141にTLS(Transport Layer Security)による認証を行うことを要求するEAP−Request/EAP−TLSメッセージを載せたRADIUSのRadius−Access−Challengeメッセージを無線基地局111に送信し(S5)、さらにEAP−Request/EAP−TLSメッセージを無線基地局111が無線端末141に中継する(S6)。なお、TLSによる認証は一例であり、EAPでは様々な認証方式を利用することができる。
【0088】
次に、EAP上のTLSによる認証がなされるが、このための各メッセージは省略する。これは、認証・管理サーバ121と無線端末141との間の相互認証である。無線基地局111は、メッセージ形式を変換して単に中継するだけで、認証に積極的に関与することは出来ない。
【0089】
認証が成功すると、認証・管理サーバ121と無線端末141の間でセキュリティ情報が共有される。無線基地局111を含め認証・管理サーバ121と無線端末141以外はこのセキュリティ情報を認識することが出来ず、このセキュリティ情報はこのセッション限りの情報となる。
【0090】
しかし、実際のユーザデータの暗号化、複号化、メッセージ認証処理を行うのは無線基地局111であるために、無線基地局111は無線端末141と認証・管理サーバ121でのみ共有されたこのセキュリティ情報が必要である。このため、認証・管理サーバ121がEAP−Successを知らせるRADIUSのAccess−Acceptメッセージにこのセキュリティ情報を重畳して無線基地局111に通知する(S7)。セキュリティ情報は、無線基地局111のみが複号化できるように、無線基地局111と認証・管理サーバ121との間で共有された秘密情報を用い認証・管理サーバ121で暗号化されているので、無線基地局111以外にこのセキュリティ情報が漏洩することはない。さらに無線基地局111から無線端末141に、EAP−Successが中継される(S8)。
【0091】
次に、EAPOL−Keyにより無線基地局111から無線端末141に、ユニキャスト用のセキュリティ情報とマルチキャスト又はブロードキャスト用のセキュリティ情報が通知される(S9、S10)。これらのEAPOL−Keyメッセージに対しては、TLSでの認証時に生成されたセキュリティ情報から生成した鍵によって、暗号化とメッセージ認証の処理がなされる。ユニキャスト用のセキュリティ情報とマルチキャスト又はブロードキャスト用のセキュリティ情報には、鍵、鍵の長さや鍵の識別子、初期化ベクトルなどの情報が含まれている。ここまでの内容は、従来のIEEE802.11にIEEE802.1Xの無線LAN拡張を適用した場合と同じである。
【0092】
本発明における、仮想LANをサポートする無線基地局は、無線端末が属している仮想LANごとに、別々のマルチキャスト又はブロードキャスト用のセキュリティ情報を配信するようにする。図1の構成の場合、仮想LAN131に収容されている無線端末141、142の間ではマルチキャスト又はブロードキャストメッセージは共有されるが、仮想LAN132に収容される無線端末143はマルチキャスト又はブロードキャスト用のセキュリティ情報が無線端末141、142とは異なるので、仮想LAN131のマルチキャスト又はブロードキャストフレームを無線端末143が受信できたとしても正しく複号化することができず、結果として各仮想LANセグメントをセキュアに分離することができる。
【0093】
ユニキャストのセキュリティ情報については、もともと無線端末ごとに異なるが、仮想LANごとにユニキャストのセキュリティプロトコルの強さを変えるような制御をすることも有益な場合がある。例えば、ゲスト用の仮想LANには広く利用されているが弱いセキュリティプロトコル(例えばWEP)を使うことを許すが、社内ユーザ用の仮想LANには強いセキュリティプロトコルの利用以外は許容しないという運用ポリシーも有効である。
【0094】
このような仮想LANに対応した制御を行うために、認証・管理サーバのVLAN制御・管理機能403は、上述したRADIUSのAccess−Acceptメッセージに、さらに仮想LAN情報を重畳する。この仮想LAN情報は、
(1)認証された無線端末が属する仮想LANの識別子
(2)動的に仮想LANを設定する場合に必要な情報、例えば、VPNのようなトンネリング技術を利用して仮想LANを構成する際の、トンネルを終端するための接続先情報
(3)仮想LANのセキュリティ情報、例えば、どのようなセキュリティプロトコルの使用を許容するか、鍵の大きさや鍵の更新条件などに関するポリシー情報、ないし、使用するセキュリティプロトコル種別そのものの指定情報
(4)仮想LANのQoSに関する情報。簡単な場合には、単に仮想LAN内の最大帯域の制限や最低保証帯域を規定するなどの情報などを含む。VLAN制御・管理機能403は、セキュリティ情報に関しては認証・管理サーバのセキュリティ制御・管理機能402から、QoSに関する情報に関しては、認証・管理サーバのQoS制御・管理機能404から得る。この仮想LAN情報を受信した無線基地局のVLAN制御・管理機能203は、指定された仮想LANに無線端末を収容するように制御する。無線基地局が仮想LANに無線端末を収容している場合は、[1]既に無線基地局が指定された仮想LANを組み込んでいる場合と[2]無線基地局が、無線端末が所属する仮想LANを動的に設定する場合がある。
【0095】
[1]既に無線基地局が指定された仮想LANを組み込んでいる場合の動作を示す。この場合、仮想LANの仮想LAN識別子を含むVLANタグを持つフレームが、無線基地局のVLAN機能222によって無線側と有線側の間でブリッジされている状態が既に確立されている。さらに、無線MAC/DLレイヤ231のVLAN機能234とセキュリティ機能233が協調動作することで、仮想LANごとに設定されているセキュリティ情報を利用して、無線側で送受信するフレームの暗号・認証処理を行っている状態になっている。
【0096】
なお、各仮想LANのマルチキャスト又はブロードキャスト用に、それぞれ異なるセキュリティ情報、つまり異なる暗号や認証の方式や、若しくは異なる暗号・認証の鍵を用いることにより、各仮想LAN間の独立性が保障されている。仮想LAN識別子のみでは悪意の第3者に対する仮想LAN間の独立が失われる。
【0097】
例えば誰でも収容することのできる仮想LAN(例えばゲスト用のサブネットワークなど)に悪意の第3者が収容された場合、マルチキャスト又はブロードキャスト用のセキュリティ情報が従来のように全ての無線端末で同一であると、本来ゲスト用のサブネットワークとは独立させるべき仮想LANセグメントのマルチキャスト又はブロードキャストフレームを、悪意の第3者が持つセキュリティ情報で暗号を複号し、傍受することが可能になる。
【0098】
そこで上記のように、マルチキャスト又はブロードキャスト用のセキュリティ情報は、仮想LANごとに異なるものを持つという方法を取ることで、仮想LAN間のセキュリティが向上し、異なるセキュリティレベルを持つような複数の仮想LANを安全に収容することができる。これは傍受が比較的容易な無線環境では、特に望ましい性質である。
【0099】
ただし、現在のIEEE802.11では、KeyIDが2bitしか割り当てられていないためこのような運用は難しく、より多くの鍵を識別することができるように鍵の識別方法を適当に拡張しておく必要がある。仮想LANごとに異なるセキュリティレベルを設定するような場合に関しては、例えば相互運用性が高いがセキュリティの低い設定、例えばIEEE802.11のWEPを使う、若しくは全く暗号化や認証を行わないといった設定をゲスト用の仮想LANに対して行う。一方、内部ユーザ用の仮想LANは、セキュリティは高いが余り普及していない方式を設定するような運用を行う。この結果、ゲストへの利便性と内部ユーザのセキュリティを両立させることが可能になる。
【0100】
このように仮想LANが無線基地局に既に組み込まれている状況の下で、無線基地局のVLAN制御・管理機能203が、セキュリティ制御・管理機能202を指示して、この仮想LANのマルチキャスト又はブロードキャストに用いる暗号化鍵や認証鍵などのセキュリティ情報を、セキュリティ機能233が無線端末に送信するように制御させる。IEEE802.1Xを用いる場合には、EAPOL−Keyメッセージで仮想LANに対応するセキュリティ情報を送信する。このセキュリティ情報は、その無線端末以外にはわからないように、適切に暗号化されている。このセキュリティ情報の受渡しには、IEEE802.1X以外の適当なプロトコルを利用しても良い。
【0101】
無線端末のVLAN制御・管理機能303が、このセキュリティ情報を受信すると、無線MAC/DLレイヤ331のセキュリティ機能333に対しこのセキュリティ情報を設定する。VLAN機能334は、データを送受信する際にこのように設定されたセキュリティ機能333を利用して、属している仮想LANに応じた適切な暗号・認証の処理を行うことができる。なお、VLAN機能334は適切な仮想LAN識別子を含むVLANタグを持つフレームを送受信するように設定される。VLAN機能334は受信したフレームが無関係な仮想LAN識別子を持っている場合には、そのフレームを廃棄する。また、VLAN機能334はフレームを送信する際には、適切な仮想LAN識別子を付加する。
【0102】
さらに、VLANごとに最大帯域が設定されているような場合には、無線基地局のQoS制御・管理機能204が、無線MAC/DLレイヤ231のQoS機能235を指示することで、仮想LANのユーザデータに割り当てる帯域が指定された最大帯域を越えないように制御する。可能ならばさらに無線端末のQoS制御・管理機能304と無線MAC/DLレイヤ331のQoS機能335を利用して、この仮想LANのユーザデータに割り当てる帯域が指定された最大帯域を越えないように制御する。
【0103】
IEEE802.11の場合、無線基地局における最大帯域の制御はもっぱら無線基地局から無線端末方向へのユーザデータにのみ、無線端末における最大帯域の制御はもっぱら無線端末から無線基地局方向へのユーザデータにのみ有効である。IEEE802.11でPCF(Point Coordination Function)を利用できる場合には、これをQoS制御に利用しても良い。また、有線側の仮想LAN帯域も制御する場合には、さらに無線基地局のブリッジ機能221のQoS機能223や有線MAC/DLレイヤのQoS機能237も協調的に動作させる。
【0104】
[2]無線基地局が、無線端末が所属する仮想LANを動的に設定する場合、即ち、無線基地局が動的に仮想LANを構成することを許容しており、かつ新たに収容する無線端末がこれまで無線基地局に設定されていなかった仮想LANに所属している場合の動作を示す。
【0105】
仮想LANを動的に構成する一つの方法は、VPNで仮想LANを構成する物理セグメントを相互接続することである。例えば、新たな無線端末を収容した無線基地局から、その無線端末が属する仮想LANのホーム的性格を持つ物理セグメントまでVPNを設定するといった方法である。このVPNの接続先は、認証・管理サーバのVLAN制御・管理機能403から、無線基地局のVLAN制御・管理機能203に通知される。VLAN制御・管理機能203は、必要なVPNを設定するように、VPN機能212を制御する。
【0106】
例えば、L2TPやPPTPなどを用いてトンネルを生成するといった処理を行う。また、IPSecで指定された接続先との間にトンネルを生成してもよい。IPSecのSA(Security Association)は、IKE(Internet Key Exchange)によって作成しても良いし、VLAN制御・管理機能403から与えても良い。図1においては、無線基地局112は、ネットワーク102のサブネットワークである仮想LAN133、134を収容するために、VPNサーバ171との間に、VLAN制御・管理機能203を用いてVPNトンネルを生成している。このような方法は、仮想LANの動的な構成を認証・管理サーバ121で集中管理することができる。
【0107】
(第2の実施形態)
図10は、本発明の第2の実施形態に係る無線基地局、無線通信端末及びシステムのネットワーク構成図である。図10は、MACブリッジを用いたネットワーク構成の一例を示す。
図10は、無線基地局811、812、813が図2に示したような機能を持たない既存の無線基地局の場合、無線基地局811、812、813とネットワーク801の間にMACブリッジ881を置き、図1と同等のシステムを構築する。MACブリッジ881は、図2の無線基地局111、112、113の無線MAC/DLレイヤ231が有線MAC/DLレイヤに変更されることと無線物理レイヤ241が有線物理レイヤに変更されることのみが図2の無線基地局と異なる。有線MAC/DLレイヤは、図2の無線基地局111、112、113と同様にセキュリティ機能、VLAN機能、及びQoS機能を含んでいる。本実施形態では、MACブリッジを用いたメッセージの交換概要の一例を参照して第1の実施形態との相違点のみを説明する。
【0108】
図11は、図10の無線端末、無線基地局、MACブリッジ881、認証・管理サーバの間のメッセージ交換を示す図である。
第1段階である無線リンク設定については、既存の無線LANでのリンク設定と同様であり、無線端末と無線基地局との間で行われる。この設定は、図5の無線リンク設定と同じ設定を行う。
【0109】
第2段階である認証・セキュリティ情報配信、VLAN、QoS設定に関しては、無線端末の制御・管理機能301と、MACブリッジ881と、認証・管理サーバ121との三者間で行われる。認証の方式はIEEE802.1Xの無線拡張方式やそれに類似する他の方式を用いて行われ、無線端末の認証がされると、認証・管理サーバのセキュリティ制御・管理機能402からそのセッションにおけるセキュリティ情報が配信される。また、VLAN制御・管理機能403がその無線端末が収容されるVLANに関する情報を配信する。さらに、QoS制御・管理機能404がその無線端末のQoSに関する情報を配信する。ここで、必ずしもこれら全ての情報が設定される必要はなく、構築されたシステムによって以上で述べた一部のみが配信されてもよい。
【0110】
以上の動作によって、MACブリッジ881のセキュリティ制御・管理機能は、認証された無線端末のセキュリティ情報を有線MAC/DLレイヤのセキュリティ機能に設定し、無線端末との暗号化、メッセージ認証が施された通信を行うことができる。また、MACブリッジ881のVLAN制御・管理機能が収容する無線端末の仮想LAN情報をブリッジ機能のVLAN機能に設定することにより、その無線端末が属する仮想LANのフレームを無線端末側にブリッジすることができる。またMACブリッジ881のQoS制御・管理機能がブリッジ機能のQoS機能にその無線端末のQoS情報を設定することで、その無線端末の帯域の保証や制限を行った通信ができる。
【0111】
また、MACブリッジ881のルーティング機能のVPN機能を用いて、MACブリッジ881が収容されているネットワーク以外のネットワークとL2TP、PPTPに代表されるVPNトンネルを生成して、異なるネットワークの仮想LANを収容することも可能である。例として、MACブリッジ881は、ルーティング機能のVPN機能を用いてVPNサーバ871とVPNトンネルを生成する。MACブリッジ881は、物理的にはネットワーク801に属しているが、論理的にはネットワーク802にも属することができる。MACブリッジ881は、ネットワーク802のサブネットワークである仮想LAN833、834に属する無線端末844、845、846を収容することができる。
【0112】
第3段階であるユーザデータ交換に関して、無線端末とMACブリッジ881の間で暗号化、メッセージ認証が施されたデータの送受信が行われる。無線基地局からMACブリッジ881へデータの送信をする時はMACブリッジ881の有線MAC/DLレイヤのVLAN機能を用いて端末側から送信されたVLANタグつきのフレームのうち、その無線端末が属する仮想LANに対応したタグのフレームのみを、タグを適切に取り除いたフレームに変換して宛先に送信する。
【0113】
また、MACブリッジ881のセキュリティ機能は、ユニキャストフレームを無線端末ごとに設定されたセキュリティ情報を用いて、マルチキャスト・ブロードキャストフレームを仮想LANごとに設定されたセキュリティ情報を用いて送信する。また、その無線端末にQoSの設定がなされている場合はMACブリッジ881のQoS機能を用いて無線端末に決められた帯域を確保したり、決められた帯域に制限したりする形でフレームを送信する。無線端末からのフレームの受信の際には、その無線端末のセキュリティ情報を用いて複号し、その無線端末が属する仮想LANのタグを付加して端末側に送信する。
【0114】
以上のようなMACブリッジ881を用いたシステムは、既存の無線基地局を改良することなく第1の実施形態と同等のシステムを構築することができるという利点をもつ。また、セキュリティ制御、VLAN制御、QoS制御の機構をMACブリッジ881に一局集中させることができるので、メンテナンス等のコストが削減できる利点がある。
【0115】
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
【0116】
【発明の効果】
本発明によれば、無線端末ごとにユニキャストセキュリティ情報を設定することで無線端末ごとのセキュリティを確保できることに加え、ブロードキャスト/マルチキャストセキュリティ情報を仮想LANごとに設定することで仮想LANごとのセキュリティも確保することができる。
【図面の簡単な説明】
【図1】本発明の実施形態に係る無線基地局、無線通信端末及びシステムのネットワーク構成図。
【図2】図1の無線基地局のブロック図。
【図3】図1の無線端末のブロック図。
【図4】図1の認証・管理サーバのブロック図。
【図5】図1の無線端末、無線基地局、認証・管理サーバの間のメッセージ交換を示す図。
【図6】図5の第1段階での図1の無線端末が無線基地局を選択する様子を示す図。
【図7】図6の無線端末が無線基地局からのビーコンフレームにより無線基地局を選択するためのシーケンス図。
【図8】図6の無線端末が無線基地局からのプローブ応答フレームにより無線基地局を選択するためのシーケンス図。
【図9】図5の第2段階での無線端末、無線基地局、認証・管理サーバの間のメッセージ交換のシーケンス図。
【図10】本発明の第2の実施形態に係る無線基地局、無線通信端末及びシステムのネットワーク構成図。
【図11】図10の無線端末、無線基地局、MACブリッジ、認証・管理サーバの間のメッセージ交換を示す図。
【符号の説明】
101、102・・・ネットワーク、111、112、113・・・無線基地局、121、122・・・認証・管理サーバ、131、132、133、134・・・仮想LAN、141、142、143、144、145、146・・・無線端末、151、152・・・端末、161、162・・・ゲートウェイ、171・・・VPNサーバ、201・・・制御・管理機能、202・・・セキュリティ制御・管理機能、203・・・VLAN制御・管理機能、204・・・QoS制御・管理機能、211・・・ルーティング機能、212・・・VPN機能、221・・・ブリッジ機能、222・・・VLAN機能、223・・・QoS機能、231・・・無線MAC/DLレイヤ、232・・・有線MAC/DLレイヤ、233・・・セキュリティ機能、234・・・VLAN機能、235・・・QoS機能、236・・・VLAN機能、237・・・QoS機能、241・・・無線物理レイヤ、242・・・有線物理レイヤ、301・・・制御・管理機能、302・・・セキュリティ制御・管理機能、303・・・VLAN制御・管理機能、304・・・QoS制御・管理機能、311・・・ルーティング機能、312・・・VPN機能、331・・・無線MAC/DLレイヤ、333・・・セキュリティ機能、334・・・VLAN機能、335・・・QoS機能、341・・・無線物理レイヤ、401・・・制御・管理機能、402・・・セキュリティ制御・管理機能、403・・・VLAN制御・管理機能、404・・・QoS制御・管理機能、411・・・ルーティング機能、412・・・VPN機能、432・・・有線MAC/DLレイヤ、436・・・VLAN機能、437・・・QoS機能、442・・・有線物理レイヤ、801、802・・・ネットワーク、811、812、813・・・無線基地局、831、832、833、834・・・仮想LAN、841、842、843、844、845、846・・・無線端末、871・・・VPNサーバ、881・・・MACブリッジ[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a base station, a relay device, and a communication system related to security in a wireless network.
[0002]
[Prior art]
In recent years, with the spread of portable notebook personal computers, wireless LANs represented by IEEE 802.11 have been widely used because of their convenience without being tied to cables. In addition, with the advent of IEEE 802.11a having a maximum transmission speed of 54 Mbps, it is expected that the use of IEEE 802.11a will further increase in the future. On the other hand, there is also a danger that a malicious third party can easily intercept the communication due to the characteristics of the wireless communication. In the current wireless LAN, there is no authentication means for each user or wireless terminal, and the data encryption method is an encryption method using a common key for all terminals (for example, see Non-Patent Document 1). Vulnerability has been pointed out. Among them, a method has been proposed in which IEEE 802.1X that can perform authentication for each user is extended to a wireless LAN, and a method for performing encrypted communication using a different key for each user has appeared.
[0003]
As another technology, a technology called a virtual LAN, which physically separates a network belonging to the same segment into a plurality of segments by adding an identification tag to a frame, has been established.
[0004]
[Non-patent document 1]
IEEE Std 802.1Q-1998, "IEEE Standards for Local and Metropolitan Area Networks: Virtual Bridged Local Area Networks, Retrieved on January 3, 2015.
Internet <http: // standards. ieee. org / getieee802 / download / 802.1Q-1998. pdf>
[0005]
[Problems to be solved by the invention]
In a wireless network represented by IEEE 802.11, there are many security issues associated with its convenience. Under such circumstances, it is considered that a technology capable of accommodating wireless terminals belonging to different virtual LANs while maintaining the independence of the virtual LANs from each other and without the user being aware of the framing of the virtual LANs will become important in the future. However, with only the current IEEE 802.1X wireless LAN extension method, security information (such as a key used for encryption) relating to a unicast frame can be changed for each wireless terminal, but the same is applied to all terminals regarding a multicast / broadcast frame. Only security information can be used.
[0006]
Therefore, according to the present invention, the authenticated user or wireless terminal can secure and accommodate the virtual LAN based on the identification information notified at the time of the authentication, and can accommodate a plurality of virtual LANs. Proposes a system that can secure and accommodate security between virtual LANs by setting different multicast / broadcast information for each virtual LAN.
[0007]
[Means for Solving the Problems]
The base station of the present invention is generated for each virtual LAN in an authentication server, a communication terminal that is authenticated from the authentication server via a network, and a base station that transfers communication performed by the communication terminal via a virtual LAN. Security information acquiring means for acquiring security information from an authentication server, security information distributing means for distributing security information for each virtual LAN, and either one of multicast data and broadcast data security-processed by the communication terminal based on the distributed security information Security processing data receiving means for receiving from a communication terminal in a virtual LAN, security processing data decoding means for decoding either multicast data or broadcast data security-processed by the communication terminal, and decoded multicast data. Security processing virtual LAN discovery means for discovering a virtual LAN to which a communication terminal that is a destination of any of broadcast data and broadcast data, and decoding of multicast data and broadcast data decoded based on security information corresponding to the found virtual LAN. Security processing means for performing security processing on any of the data; and security processing data transmitting means for transmitting any of the security-processed multicast data and broadcast data to a communication terminal that is a destination of the decrypted multicast data and broadcast data. ing.
[0008]
Further, the base station of the present invention transfers an authentication server, a communication terminal that is authenticated from the authentication server via a network, a wired terminal that communicates with the communication terminal, and a communication that is performed by the communication terminal via a virtual LAN. In a base station connected to a wired terminal by wire, security information acquisition means for acquiring security information generated for each virtual LAN from an authentication server, and security information distribution means for delivering security information for each virtual LAN. Receiving means for receiving one of multicast data and broadcast data from a wired terminal, and security processing for finding a virtual LAN to which a communication terminal to which one of the received multicast data and broadcast data belongs is found. Means and the security corresponding to the discovered virtual LAN. Security processing means for performing security processing on any of the received multicast data and broadcast data based on the security information, and transmitting the security-processed multicast data and broadcast data to a communication terminal which is a destination of the received multicast data and broadcast data. A security processing data transmitting unit for transmitting any of the data is provided.
[0009]
Further, the base station of the present invention transfers an authentication server, a communication terminal that is authenticated from the authentication server via a network, a wired terminal that communicates with the communication terminal, and a communication that the communication terminal performs via a virtual LAN. In a base station connected to a wired terminal by wire, security information acquisition means for acquiring security information generated for each virtual LAN from an authentication server, and security information distribution means for delivering security information for each virtual LAN. Security processing data receiving means for receiving, from a communication terminal in a virtual LAN, either multicast data or broadcast data security-processed by a communication terminal based on distributed security information; and multicast data and broadcast data security-processed by the communication terminal. One of And security processing data decoding means Gosuru, the wired terminal is any destination multicast data and broadcast data decoded, and a security processing data transmission means for transmitting one of multicast data and broadcast data decoded.
[0010]
A relay device according to the present invention includes an authentication server, a communication terminal that receives authentication from the authentication server via a network, and a relay device that connects a communication performed by the communication terminal to a base station that relays the communication via a virtual LAN. Information obtaining means for obtaining security information generated for each virtual machine from the authentication server, security information distributing means for distributing security information for each virtual LAN, multicast data security-processed by the communication terminal based on the distributed security information, Security processing data receiving means for receiving any of the broadcast data from the communication terminal in the virtual LAN via the base station, and security processing data decoding for decoding either the multicast data or the broadcast data security-processed by the communication terminal A virtual LAN discovery means for discovering a virtual LAN to which a communication terminal that is a destination of one of the decoded multicast data and broadcast data belongs; and security information corresponding to the found virtual LAN. Security processing means for performing security processing on either the multicast data or the broadcast data, and transmitting the security-processed multicast data or the broadcast data to the communication terminal which is the destination of the decoded multicast data or the broadcast data via the base station Security processing data transmission means.
[0011]
Also, the relay device of the present invention relays, via a virtual LAN, an authentication server, a communication terminal that receives authentication from the authentication server via a network, a wired terminal that communicates with the communication terminal, and communication that the communication terminal performs. Then, in a relay device connected to a base station connected to the wired terminal by wire, security information obtaining means for obtaining security information generated for each virtual LAN from an authentication server, and distributing the security information for each virtual LAN Security information distribution means, data receiving means for receiving one of multicast data and broadcast data from a wired terminal, and finding a virtual LAN to which a communication terminal which is a destination of one of the received multicast data and broadcast data belongs Virtual LAN discovery means, and Security processing means for performing security processing on any of the received multicast data and broadcast data based on the security information; and transmitting the security-processed multicast data and broadcast data to a communication terminal which is a destination of the received multicast data and broadcast data. There is provided security processing data transmission means for transmitting any of the data via the base station.
[0012]
Furthermore, the relay device of the present invention relays, via a virtual LAN, an authentication server, a communication terminal that receives authentication from the authentication server via a network, a wired terminal that communicates with the communication terminal, and communication that the communication terminal performs. Then, in a relay device connected to a base station connected to the wired terminal by wire, security information obtaining means for obtaining security information generated for each virtual LAN from an authentication server, and distributing the security information for each virtual LAN A security information distribution unit, and a security processing data receiving unit for receiving, via a base station, from the communication terminal in the virtual LAN, either multicast data or broadcast data security-processed by the communication terminal based on the distributed security information. Multicast data security processed by the terminal and A security processing data decoding means for decoding any of the load cast data, and a wired terminal which is a destination of any of the decoded multicast data and the broadcast data, and transmits any of the decoded multicast data and the broadcast data via the base station. It has a security processing data transmission means for transmitting.
[0013]
A communication system according to the present invention includes a base station including a transmitting unit for broadcasting a beacon frame including virtual LAN information, an information obtaining unit for obtaining virtual LAN information, and a base station based on the obtained virtual LAN information. Communication comprising: connection determination means for determining whether connection to the base station is possible; and link establishment means for establishing a wireless link with the base station when it is determined that connection to the base station is possible. It has a terminal.
[0014]
Further, the communication system of the present invention includes a receiving unit for receiving a probe request frame from a communication terminal, and a transmitting unit for transmitting a probe response frame including virtual LAN information to the communication terminal in response to the probe request frame. Base station, transmitting means for broadcasting a probe request frame, obtaining means for obtaining virtual LAN information, and determination for determining whether or not connection to the base station is possible based on the obtained virtual LAN information And a communication terminal comprising a link establishing means for establishing a wireless link with the base station when it is determined that connection to the base station is possible.
[0015]
A communication system according to the present invention is a communication system including an authentication server, a communication terminal that is authenticated from the authentication server via a network, and a base station that relays communication performed by the communication terminal via a virtual LAN. Security information generating means for generating security information, an authentication server having security information distributing means for distributing the generated security information to the corresponding virtual LAN, obtaining means for obtaining virtual LAN information from the base station, Determining means for determining whether connection to the base station is possible based on the virtual LAN information, and establishing a wireless link with the base station when determining that connection to the base station is possible; A communication terminal having link establishing means, security information acquiring means for acquiring security information, Security information distribution means for distributing security information for each virtual LAN, security processing data receiving means for receiving from the communication terminal either multicast data or broadcast data security-processed by the communication terminal based on the distributed security information, Security processing data decoding means for decoding any of multicast data and broadcast data subjected to security processing by a terminal, and security processing for finding a virtual LAN to which a communication terminal that is a destination of any of the decoded multicast data and broadcast data belongs Based on virtual LAN discovery means and security information corresponding to the discovered virtual LAN, security of one of the decoded multicast data and broadcast data is performed. And a base station having security processing data transmitting means for transmitting any of the processed multicast data and broadcast data to a communication terminal that is a destination of any of the decoded multicast data and broadcast data. It is equipped to do.
[0016]
According to the above configuration, it is possible to separate each virtual LAN while securing security between segments, and to transfer an appropriate frame.
[0017]
For example, in a wireless network represented by IEEE 802.11, an authenticated wireless terminal can be accommodated in a virtual LAN with security secured based on security information notified at the time of authentication.
Further, by setting different multicast / broadcast information for each virtual LAN at that time, security between the virtual LANs can be ensured and accommodated.
[0018]
In addition, by creating a VPN tunnel with a remote VPN server, the wireless base station can accommodate a virtual LAN of a physically remote network, thereby, for example, providing security from a public wireless LAN base station to an in-house network. It is also possible to make a connection while holding it.
[0019]
Further, according to the above-described relay device, it is possible to separate each virtual LAN while securing the security between segments and transfer an appropriate frame without improving the existing wireless base station.
[0020]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of a base station, a relay device, and a communication system according to the present invention will be described with reference to the drawings.
FIG. 1 is a network configuration diagram of a wireless base station, a wireless communication terminal, and a system according to an embodiment of the present invention.
The
[0021]
Each sub-network corresponds to a so-called LAN segment. The LAN segment may be a physical segment or a logically configured segment. The latter case is a LAN segment using a so-called virtual LAN (Virtual LAN: VLAN). In FIG. 1,
[0022]
The
[0023]
The
[0024]
Each of the
[0025]
Further,
[0026]
Similarly, the authentication /
[0027]
With the above configuration, each
[0028]
The
[0029]
For security reasons, the
The wireless base station according to the present embodiment is based on IEEE 802.11 or a wireless LAN standard similar thereto. However, generally, the wireless technology does not need to be limited to these standards. It may be mixed in the network.
The authentication /
[0030]
FIG. 2 is a block diagram of the
The control /
The security control /
[0031]
The VLAN control /
[0032]
Further, the VLAN control /
[0033]
For example, information on the virtual LAN embedded in the beacon frame (Beacon Frame) is appropriately set in advance by using the VLAN control /
[0034]
The QoS control /
[0035]
The
[0036]
The bridge function 221 includes a VLAN function 222 and a
[0037]
The wireless MAC /
[0038]
When the transmitted / received frame is a multicast or broadcast frame, the
In addition, the
[0039]
The VLAN function 234 is used when transmitting data from the
The
[0040]
The wireless
[0041]
The wired MAC /
[0042]
FIG. 3 is a block diagram of the
The control /
[0043]
The
[0044]
Upon receiving the security information from the wireless base station, the VLAN control /
[0045]
The wireless
[0046]
FIG. 4 is a block diagram of the authentication /
The control /
[0047]
The security control /
[0048]
The VLAN control /
The VLAN control /
Further, the QoS control /
[0049]
The routing function 411 performs IP routing. In addition, the wired MAC /
[0050]
FIG. 5 is a diagram illustrating message exchange between the wireless terminal, the wireless base station, and the authentication / management server in FIG. Here, the case of the
In the first stage, a wireless link is established between the
[0051]
The first step is, in a typical case of IEEE 802.11, discovery of one or more
[0052]
The
[0053]
The first phase is extended to support virtual LANs. The purpose of the extension is to allow the wireless terminal to select a wireless base station that can accommodate the wireless terminal corresponding to the virtual LAN in an appropriate virtual LAN. The need for selection is illustrated below.
[0054]
(1) There may be a situation where legacy wireless base stations not supporting the virtual LAN are mixed in the network. For example, in FIG. 6, the
[0055]
(2) There may be situations where a certain wireless base station is connected to all virtual LANs, or is not always connectable. For example, the
[0056]
The expression “dynamic” here means that the setting of the virtual LAN can be changed in accordance with a change in the accommodation state of the wireless terminal by some means, and thus does not necessarily match the dynamic / static classification in IEEE 802.1Q. Not in translation.
[0057]
There are other specific ways to extend it. For example, in the case of IEEE 802.11, it is conceivable to embed information about a virtual LAN in a probe response frame or a beacon frame transmitted by a wireless base station. As one of the methods, there is a method of encoding virtual LAN information into an SSID (Service Set Identifier).
[0058]
As a specific encoding method, for example, information indicating whether or not the wireless base station supports the virtual LAN is represented by an appropriate bit string, the number of the connected virtual LAN is represented by a bit map, and A bit is assigned to an expression indicating whether or not a virtual LAN can be configured. Since the SSID can be set by a network administrator or operator, this method can be realized as a local rule within the same management / operation domain without changing the IEEE 802.11 specifications. However, since the maximum length of the SSID is 32 octets, it is difficult to represent a bitmap depending on the number of virtual LANs configured in the domain.
[0059]
As another method, it is conceivable to extend the IEEE 802.11 specification itself to include information on a virtual LAN. For example, a bit indicating the presence or absence of a virtual LAN extension is assigned to a capability information field, and an information element indicating information such as a bit map of a connected virtual LAN number and a dynamic configuration is provided. May be added. Further, a frame relating to the virtual LAN may be newly defined in addition to the probe response and the beacon.
[0060]
The
[0061]
In the second stage, authentication between the
[0062]
For example, in the case of IEEE 802.11, authentication between the
[0063]
In the third stage, the
[0064]
Further, the
Based on the above procedure, it is possible to configure a system that accommodates a plurality of virtual LANs while maintaining independence between the virtual LANs.
[0065]
FIG. 6 is a diagram illustrating a state in which the
In FIG. 6, the
[0066]
At this time, information on the virtual LAN embedded in the beacon frame is appropriately set in advance using the VLAN control /
[0067]
The VLAN control /
[0068]
This communication is performed by, for example, well-known IP and Ethernet functions. That is, necessary packets are appropriately routed between the
[0069]
Similarly, the routing function 411 of the authentication /
[0070]
As another example, when a frame related to the virtual LAN is defined, the
[0071]
As another method, there is a method based on a probe response (Probe Response) of the
[0072]
The probe request frame is generated by the wireless MAC /
[0073]
Also, when a frame related to a virtual LAN is defined, the exchange of the inquiry frame and the response frame indicates that the
[0074]
The
[0075]
In this way, the
[0076]
This setting by an administrator or a user may be performed remotely from the authentication /
[0077]
In the
[0078]
For example, when the
[0079]
FIG. 7 is a sequence diagram for the
The
[0080]
As a result, if the
[0081]
FIG. 8 is a sequence diagram for the
The
[0082]
As a result, if the
[0083]
FIG. 9 is a sequence diagram of a message exchange between the wireless terminal, the wireless base station, and the authentication / management server in FIG. 1 in the second stage of FIG. As in FIG. 5, the case of the
FIG. 9 shows an example of message exchange for authentication / security information distribution, virtual LAN setting, and QoS setting, which is an extension of IEEE 802.1X so that a virtual LAN and QoS setting can be performed. First, a description will be given of a case where IEEE 802.1X is conventionally extended to a wireless LAN, and a part extended to enable setting of a virtual LAN and QoS will be described later.
[0084]
The following message exchange is mainly performed between the security control /
[0085]
Here, a message related to user data and the like other than a predetermined specific message related to the following series of authentication / security information distribution, etc., includes the
[0086]
First, the
[0087]
Upon receiving the EAP-Request / Identity, the
[0088]
Next, authentication by TLS on the EAP is performed, but each message for this is omitted. This is mutual authentication between the authentication /
[0089]
When the authentication is successful, the security information is shared between the authentication /
[0090]
However, since it is the
[0091]
Next, the security information for unicast and the security information for multicast or broadcast are notified from the
[0092]
In the present invention, a wireless base station supporting a virtual LAN distributes different multicast or broadcast security information for each virtual LAN to which a wireless terminal belongs. In the case of the configuration in FIG. 1, the multicast or broadcast message is shared between the
[0093]
The unicast security information originally differs for each wireless terminal, but it may be useful to perform control to change the strength of the unicast security protocol for each virtual LAN. For example, there is an operational policy that a guest virtual LAN is widely used but uses a weak security protocol (for example, WEP), but a virtual LAN for an in-house user is allowed only to use a strong security protocol. It is valid.
[0094]
In order to perform control corresponding to such a virtual LAN, the VLAN control /
(1) The identifier of the virtual LAN to which the authenticated wireless terminal belongs
(2) Information required for dynamically setting a virtual LAN, for example, connection destination information for terminating a tunnel when a virtual LAN is configured using a tunneling technology such as VPN.
(3) Virtual LAN security information, for example, policy information on what security protocols are allowed to be used, key size and key update conditions, or specification information on the type of security protocol used itself
(4) Information on QoS of virtual LAN. In a simple case, the information simply includes information such as a limitation on the maximum bandwidth in the virtual LAN and a minimum guaranteed bandwidth. The VLAN control /
[0095]
[1] Operation when a wireless base station has already incorporated a designated virtual LAN. In this case, it is already established that the frame having the VLAN tag including the virtual LAN identifier of the virtual LAN is bridged between the wireless side and the wired side by the VLAN function 222 of the wireless base station. Furthermore, the VLAN function 234 and the
[0096]
In addition, independence between the virtual LANs is guaranteed by using different security information, that is, different encryption and authentication methods or different encryption and authentication keys for multicast or broadcast of each virtual LAN. . With the virtual LAN identifier alone, independence between the virtual LANs against a malicious third party is lost.
[0097]
For example, when a malicious third party is accommodated in a virtual LAN that can accommodate anyone (for example, a subnetwork for a guest), the security information for multicast or broadcast is the same for all wireless terminals as in the related art. In this case, the encryption or decryption of the multicast or broadcast frame of the virtual LAN segment, which should be made independent of the guest sub-network, with security information possessed by a malicious third party can be intercepted.
[0098]
Therefore, as described above, by adopting a method in which security information for multicast or broadcast is different for each virtual LAN, security between virtual LANs is improved, and a plurality of virtual LANs having different security levels are improved. Can be safely accommodated. This is a particularly desirable property in wireless environments where eavesdropping is relatively easy.
[0099]
However, in the current IEEE 802.11, since only two bits are assigned to the KeyID, such operation is difficult, and it is necessary to appropriately extend the key identification method so that more keys can be identified. is there. In the case of setting different security levels for each virtual LAN, for example, a setting with high interoperability but low security, for example, a setting using IEEE 802.11 WEP or no encryption or authentication is performed. This is performed for the virtual LAN. On the other hand, the virtual LAN for internal users operates in such a manner that a scheme with high security but not widespread is set. As a result, it is possible to achieve both convenience for the guest and security for the internal user.
[0100]
In a situation where the virtual LAN is already incorporated in the wireless base station, the VLAN control /
[0101]
When receiving the security information, the VLAN control /
[0102]
Further, when the maximum bandwidth is set for each VLAN, the QoS control /
[0103]
In the case of IEEE 802.11, the control of the maximum bandwidth at the wireless base station is exclusively for user data from the wireless base station to the wireless terminal, and the control of the maximum bandwidth at the wireless terminal is exclusively for user data from the wireless terminal to the wireless base station. Only valid for If a Point Coordination Function (PCF) can be used in IEEE 802.11, it may be used for QoS control. When controlling the virtual LAN band on the wired side, the
[0104]
[2] When the wireless base station dynamically sets the virtual LAN to which the wireless terminal belongs, that is, when the wireless base station dynamically configures the virtual LAN and newly accommodates the wireless LAN The operation when the terminal belongs to a virtual LAN that has not been set as a wireless base station until now will be described.
[0105]
One way to dynamically configure a virtual LAN is to interconnect the physical segments that make up the virtual LAN with a VPN. For example, there is a method of setting a VPN from a wireless base station accommodating a new wireless terminal to a physical segment having a home characteristic of a virtual LAN to which the wireless terminal belongs. The connection destination of the VPN is notified from the VLAN control /
[0106]
For example, a process of generating a tunnel using L2TP or PPTP is performed. Further, a tunnel may be generated between the terminal and the connection destination specified by IPSec. The IPSec SA (Security Association) may be created by IKE (Internet Key Exchange) or may be provided from the VLAN control /
[0107]
(Second embodiment)
FIG. 10 is a network configuration diagram of a wireless base station, a wireless communication terminal, and a system according to the second embodiment of the present invention. FIG. 10 shows an example of a network configuration using a MAC bridge.
FIG. 10 shows that when the
[0108]
FIG. 11 is a diagram illustrating message exchange among the wireless terminal, the wireless base station, the MAC bridge 881, and the authentication / management server in FIG.
The wireless link setting as the first stage is the same as the link setting in the existing wireless LAN, and is performed between the wireless terminal and the wireless base station. This setting is the same as the wireless link setting in FIG.
[0109]
The authentication / security information distribution, VLAN, and QoS settings, which are the second stage, are performed among three parties: the wireless terminal control /
[0110]
With the above operation, the security control / management function of the MAC bridge 881 sets the security information of the authenticated wireless terminal to the security function of the wired MAC / DL layer, and performs encryption with the wireless terminal and message authentication. Communication can be performed. Further, by setting the virtual LAN information of the wireless terminal accommodated by the VLAN control / management function of the MAC bridge 881 to the VLAN function of the bridge function, it is possible to bridge the frame of the virtual LAN to which the wireless terminal belongs to the wireless terminal side. it can. Further, the QoS control / management function of the MAC bridge 881 sets the QoS information of the wireless terminal in the QoS function of the bridge function, so that communication in which the band of the wireless terminal is guaranteed or limited can be performed.
[0111]
In addition, using a VPN function of the routing function of the MAC bridge 881, a VPN tunnel typified by L2TP and PPTP is generated with a network other than the network in which the MAC bridge 881 is accommodated, and a virtual LAN of a different network is accommodated. It is also possible. As an example, the MAC bridge 881 generates a VPN tunnel with the
[0112]
Regarding the third stage, user data exchange, transmission and reception of encrypted and message-authenticated data between the wireless terminal and the MAC bridge 881 are performed. When transmitting data from the wireless base station to the MAC bridge 881, the virtual LAN to which the wireless terminal belongs is included in the frame with the VLAN tag transmitted from the terminal side using the VLAN function of the wired MAC / DL layer of the MAC bridge 881. Only the frame of the tag corresponding to is converted into a frame from which the tag is appropriately removed, and is transmitted to the destination.
[0113]
The security function of the MAC bridge 881 transmits a unicast frame using security information set for each wireless terminal and a multicast / broadcast frame using security information set for each virtual LAN. If QoS is set for the wireless terminal, a frame is transmitted to the wireless terminal by using the QoS function of the MAC bridge 881 in such a manner that a determined band is secured or limited to the determined band. I do. When receiving a frame from a wireless terminal, the frame is decrypted using the security information of the wireless terminal, a tag of a virtual LAN to which the wireless terminal belongs is added, and the frame is transmitted to the terminal.
[0114]
The system using the MAC bridge 881 as described above has an advantage that a system equivalent to the first embodiment can be constructed without improving an existing wireless base station. In addition, since security control, VLAN control, and QoS control mechanisms can be centralized in the MAC bridge 881, there is an advantage that costs such as maintenance can be reduced.
[0115]
Note that the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying constituent elements in an implementation stage without departing from the scope of the invention. Various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the above embodiments. For example, some components may be deleted from all the components shown in the embodiment. Further, components of different embodiments may be appropriately combined.
[0116]
【The invention's effect】
According to the present invention, in addition to ensuring security for each wireless terminal by setting unicast security information for each wireless terminal, security for each virtual LAN is also improved by setting broadcast / multicast security information for each virtual LAN. Can be secured.
[Brief description of the drawings]
FIG. 1 is a network configuration diagram of a wireless base station, a wireless communication terminal, and a system according to an embodiment of the present invention.
FIG. 2 is a block diagram of the wireless base station of FIG. 1;
FIG. 3 is a block diagram of the wireless terminal of FIG. 1;
FIG. 4 is a block diagram of the authentication / management server of FIG. 1;
FIG. 5 is a diagram showing message exchange between the wireless terminal, the wireless base station, and the authentication / management server of FIG. 1;
FIG. 6 is a diagram showing a state where the wireless terminal in FIG. 1 selects a wireless base station in the first stage of FIG. 5;
FIG. 7 is a sequence diagram for the wireless terminal in FIG. 6 to select a wireless base station based on a beacon frame from the wireless base station.
FIG. 8 is a sequence diagram for the wireless terminal in FIG. 6 to select a wireless base station based on a probe response frame from the wireless base station.
FIG. 9 is a sequence diagram of a message exchange between the wireless terminal, the wireless base station, and the authentication / management server in the second stage of FIG. 5;
FIG. 10 is a network configuration diagram of a wireless base station, a wireless communication terminal, and a system according to a second embodiment of the present invention.
FIG. 11 is a diagram showing message exchange between the wireless terminal, the wireless base station, the MAC bridge, and the authentication / management server in FIG. 10;
[Explanation of symbols]
101, 102: Network, 111, 112, 113: Wireless base station, 121, 122: Authentication / management server, 131, 132, 133, 134: Virtual LAN, 141, 142, 143, 144, 145, 146: wireless terminal, 151, 152 ... terminal, 161, 162 ... gateway, 171 ... VPN server, 201 ... control / management function, 202 ... security control Management function, 203: VLAN control / management function, 204: QoS control / management function, 211: Routing function, 212: VPN function, 221: Bridge function, 222: VLAN function 223: QoS function, 231: Wireless MAC / DL layer, 232: Wired MAC / DL layer, 233: Security 234 VLAN function, 235 QoS function, 236 VLAN function, 237 QoS function, 241 wireless physical layer, 242 wired physical layer, 301. Control / management function, 302 security control / management function, 303 VLAN control / management function, 304 QoS control / management function, 311 routing function, 312 VPN function, 331: Wireless MAC / DL layer, 333: Security function, 334: VLAN function, 335: QoS function, 341: Wireless physical layer, 401: Control / management function, 402 ..Security control / management function, 403: VLAN control / management function, 404: QoS control / management function, 411: Routing 412: VPN function, 432: Wired MAC / DL layer, 436: VLAN function, 437: QoS function, 442: Wired physical layer, 801, 802: Network, 811 , 812, 813 ... wireless base station, 831, 832, 833, 834 ... virtual LAN, 841, 842, 843, 844, 845, 846 ... wireless terminal, 871 ... VPN server, 881 ..MAC bridges
Claims (18)
前記仮想LANごとに生成されたセキュリティ情報を前記認証サーバから取得するセキュリティ情報取得手段と、
前記セキュリティ情報を前記仮想LANごとに配信するセキュリティ情報配信手段と、
前記配信したセキュリティ情報に基づいて前記通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを前記仮想LAN中の通信端末から受信するセキュリティ処理データ受信手段と、
前記通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを復号するセキュリティ処理データ復号手段と、
前記復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見するセキュリティ処理仮想LAN発見手段と、
前記発見した仮想LANに対応するセキュリティ情報に基づいて、前記復号したマルチキャストデータ及びブロードキャストデータのいずれかをセキュリティ処理するセキュリティ処理手段と、
前記復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、前記セキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを送信するセキュリティ処理データ送信手段を具備することを特徴とする基地局。An authentication server, a communication terminal that receives authentication from the authentication server via a network, and a base station that transfers communication performed by the communication terminal via a virtual LAN.
Security information acquisition means for acquiring security information generated for each virtual LAN from the authentication server;
Security information distribution means for distributing the security information for each virtual LAN;
Security processing data receiving means for receiving, from a communication terminal in the virtual LAN, one of multicast data and broadcast data security-processed by the communication terminal based on the distributed security information;
Security processing data decoding means for decoding any of the multicast data and broadcast data security-processed by the communication terminal;
Security processing virtual LAN finding means for finding a virtual LAN to which a communication terminal that is a destination of any of the decoded multicast data and broadcast data belongs;
Security processing means for performing security processing on any of the decoded multicast data and broadcast data based on security information corresponding to the discovered virtual LAN;
A base station comprising security processing data transmitting means for transmitting one of the security-processed multicast data and broadcast data to a communication terminal that is a destination of one of the decoded multicast data and broadcast data.
前記通信品質保証情報を前記仮想LANごとに配信する保証情報配信手段と、
前記配信した通信品質保証情報に基づいて前記通信端末が品質保証処理したマルチキャストデータ及びブロードキャストデータのいずれかを前記仮想LAN中の通信端末から受信する品質保証処理データ受信手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見する仮想LAN発見手段と、
前記発見した仮想LANに対応する通信品質保証情報に基づいて、前記受信したマルチキャストデータ及びブロードキャストデータのいずれかに品質保証処理を施す品質保証処理手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、前記品質保証処理を施したマルチキャストデータ及びブロードキャストデータのいずれかを送信する品質保証処理データ送信手段をさらに具備することを特徴とする請求項1に記載の基地局。Assurance information acquisition means for acquiring communication quality assurance information set for each virtual LAN from the authentication server;
Guarantee information distribution means for distributing the communication quality assurance information for each virtual LAN;
Quality assurance processing data receiving means for receiving, from the communication terminal in the virtual LAN, any of multicast data and broadcast data which the communication terminal has performed quality assurance processing based on the distributed communication quality assurance information,
Virtual LAN discovery means for discovering a virtual LAN to which a communication terminal that is a destination of any of the received multicast data and broadcast data belongs;
Quality assurance processing means for performing quality assurance processing on any of the received multicast data and broadcast data based on the communication quality assurance information corresponding to the discovered virtual LAN;
It further comprises quality assurance processing data transmitting means for transmitting any of the multicast data and broadcast data subjected to the quality assurance processing to a communication terminal which is a destination of the received multicast data and broadcast data. The base station according to claim 1, wherein
前記仮想LANごとに生成されたセキュリティ情報を前記認証サーバから取得するセキュリティ情報取得手段と、
前記セキュリティ情報を前記仮想LANごとに配信するセキュリティ情報配信手段と、
マルチキャストデータ及びブロードキャストデータのいずれかを前記有線端末から受信するデータ受信手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見するセキュリティ処理仮想LAN発見手段と、
前記発見した仮想LANに対応するセキュリティ情報に基づいて、前記受信したマルチキャストデータ及びブロードキャストデータのいずれかをセキュリティ処理するセキュリティ処理手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、前記セキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを送信するセキュリティ処理データ送信手段を具備することを特徴とする基地局。An authentication server, a communication terminal that receives authentication from the authentication server via a network, a wired terminal that communicates with the communication terminal, and a communication that is performed by the communication terminal is transferred via the virtual LAN, and the wired terminal is connected to the wired terminal. At the base station connected by
Security information acquisition means for acquiring security information generated for each virtual LAN from the authentication server;
Security information distribution means for distributing the security information for each virtual LAN;
Data receiving means for receiving any of multicast data and broadcast data from the wired terminal,
Security processing virtual LAN finding means for finding a virtual LAN to which a communication terminal that is a destination of any of the received multicast data and broadcast data belongs;
Security processing means for performing security processing on any of the received multicast data and broadcast data based on security information corresponding to the discovered virtual LAN;
A base station comprising security processing data transmitting means for transmitting one of the security-processed multicast data and broadcast data to a communication terminal that is one of the destinations of the received multicast data and broadcast data.
前記通信品質保証情報を前記仮想LANごとに配信する保証情報配信手段と、
前記配信した通信品質保証情報に基づいて前記有線端末が品質保証処理したマルチキャストデータ及びブロードキャストデータのいずれかを前記有線端末から受信する品質保証処理データ受信手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見する仮想LAN発見手段と、
前記発見した仮想LANに対応する通信品質保証情報に基づいて、前記受信したマルチキャストデータ及びブロードキャストデータのいずれかに品質保証処理を施す品質保証処理手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、前記品質保証処理を施したマルチキャストデータ及びブロードキャストデータのいずれかを送信する品質保証処理データ送信手段をさらに具備することを特徴とする請求項3に記載の基地局。Assurance information acquisition means for acquiring communication quality assurance information set for each virtual LAN from the authentication server;
Guarantee information distribution means for distributing the communication quality assurance information for each virtual LAN;
Quality assurance processing data receiving means for receiving from the wired terminal any of the multicast data and broadcast data quality-assured by the wired terminal based on the distributed communication quality assurance information,
Virtual LAN discovery means for discovering a virtual LAN to which a communication terminal that is a destination of any of the received multicast data and broadcast data belongs;
Quality assurance processing means for performing quality assurance processing on any of the received multicast data and broadcast data based on the communication quality assurance information corresponding to the discovered virtual LAN;
It further comprises a quality assurance processing data transmitting means for transmitting either the multicast data or the broadcast data subjected to the quality assurance processing to a communication terminal which is a destination of the received multicast data or broadcast data. The base station according to claim 3, wherein
前記仮想LANごとに生成されたセキュリティ情報を前記認証サーバから取得するセキュリティ情報取得手段と、
前記セキュリティ情報を前記仮想LANごとに配信するセキュリティ情報配信手段と、
前記配信したセキュリティ情報に基づいて前記通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを前記仮想LAN中の通信端末から受信するセキュリティ処理データ受信手段と、
前記通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを復号するセキュリティ処理データ復号手段と、
前記復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である前記有線端末に、前記復号したマルチキャストデータ及びブロードキャストデータのいずれかを送信するセキュリティ処理データ送信手段を具備することを特徴とする基地局。An authentication server, a communication terminal that receives authentication from the authentication server via a network, a wired terminal that communicates with the communication terminal, and a communication that is performed by the communication terminal is transferred via the virtual LAN, and the wired terminal is connected to the wired terminal. At the base station connected by
Security information acquisition means for acquiring security information generated for each virtual LAN from the authentication server;
Security information distribution means for distributing the security information for each virtual LAN;
Security processing data receiving means for receiving, from a communication terminal in the virtual LAN, one of multicast data and broadcast data security-processed by the communication terminal based on the distributed security information;
Security processing data decoding means for decoding any of the multicast data and broadcast data security-processed by the communication terminal;
A base station comprising security processing data transmitting means for transmitting one of the decoded multicast data and broadcast data to the wired terminal that is one of the destinations of the decoded multicast data and broadcast data.
前記通信品質保証情報を前記仮想LANごとに配信する保証情報配信手段と、
前記配信した通信品質保証情報に基づいて前記通信端末が品質保証処理したマルチキャストデータ及びブロードキャストデータのいずれかを前記仮想LAN中の通信端末から受信する品質保証処理データ受信手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である有線端末が属している仮想LANを発見する仮想LAN発見手段と、
前記宛先である有線端末に対応する通信品質保証情報に基づいて、前記受信したマルチキャストデータ及びブロードキャストデータのいずれかに品質保証処理を施す品質保証処理手段と、
前記宛先である有線端末に、前記品質保証処理を施したマルチキャストデータ及びブロードキャストデータのいずれかを送信する品質保証処理データ送信手段をさらに具備することを特徴とする請求項5に記載の基地局。Assurance information acquisition means for acquiring communication quality assurance information set for each virtual LAN from the authentication server;
Guarantee information distribution means for distributing the communication quality assurance information for each virtual LAN;
Quality assurance processing data receiving means for receiving, from the communication terminal in the virtual LAN, any of multicast data and broadcast data which the communication terminal has performed quality assurance processing based on the distributed communication quality assurance information,
Virtual LAN finding means for finding a virtual LAN to which a wired terminal that is one of the destinations of the received multicast data and broadcast data belongs;
Quality assurance processing means for performing a quality assurance process on any of the received multicast data and broadcast data, based on communication quality assurance information corresponding to the destination wired terminal;
6. The base station according to claim 5, further comprising a quality assurance processing data transmitting unit that transmits any of the multicast data and the broadcast data subjected to the quality assurance processing to the wired terminal as the destination.
前記仮想LANごとに生成されたセキュリティ情報を前記認証サーバから取得するセキュリティ情報取得手段と、
前記セキュリティ情報を前記仮想LANごとに配信するセキュリティ情報配信手段と、
前記配信したセキュリティ情報に基づいて前記通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを前記仮想LAN中の通信端末から前記基地局を介して受信するセキュリティ処理データ受信手段と、
前記通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを復号するセキュリティ処理データ復号手段と、
前記復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見する仮想LAN発見手段と、
前記発見した仮想LANに対応するセキュリティ情報に基づいて、前記復号されたマルチキャストデータ及びブロードキャストデータのいずれかをセキュリティ処理するセキュリティ処理手段と、
前記復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、前記セキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを前記基地局を介して送信するセキュリティ処理データ送信手段を具備することを特徴とする中継装置。An authentication server, a communication terminal that is authenticated from the authentication server via a network, and a relay device that connects to a base station that relays communication performed by the communication terminal via a virtual LAN.
Security information acquisition means for acquiring security information generated for each virtual LAN from the authentication server;
Security information distribution means for distributing the security information for each virtual LAN;
Security processing data receiving means for receiving, via the base station, any one of multicast data and broadcast data security-processed by the communication terminal based on the distributed security information from a communication terminal in the virtual LAN;
Security processing data decoding means for decoding any of the multicast data and broadcast data security-processed by the communication terminal;
Virtual LAN discovery means for discovering a virtual LAN to which a communication terminal that is one of the destinations of the decoded multicast data and broadcast data belongs;
Security processing means for performing security processing on one of the decrypted multicast data and broadcast data based on security information corresponding to the discovered virtual LAN;
A communication processing unit that transmits any of the security-processed multicast data and broadcast data to the communication terminal that is the destination of the decoded multicast data and broadcast data via the base station. Characteristic relay device.
前記通信品質保証情報を前記仮想LANごとに前記基地局を介して配信する保証情報配信手段と、
前記配信した通信品質保証情報に基づいて前記通信端末が品質保証処理したマルチキャストデータ及びブロードキャストデータのいずれかを前記仮想LAN中の通信端末から前記基地局を介して受信する品質保証処理データ受信手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見する仮想LAN発見手段と、
前記発見した仮想LANに対応する通信品質保証情報に基づいて、前記受信したマルチキャストデータ及びブロードキャストデータのいずれかに品質保証処理を施す品質保証処理手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、前記品質保証処理を施したマルチキャストデータ及びブロードキャストデータのいずれかを送信する品質保証処理データ送信手段をさらに具備することを特徴とする請求項8に記載の中継装置。Assurance information acquisition means for acquiring communication quality assurance information set for each virtual LAN from the authentication server;
Guarantee information distribution means for distributing the communication quality assurance information via the base station for each virtual LAN;
Quality assurance processing data receiving means for receiving, via the base station, any one of the multicast data and the broadcast data which have been subjected to the quality assurance processing by the communication terminal based on the distributed communication quality assurance information, from the communication terminal in the virtual LAN; ,
Virtual LAN discovery means for discovering a virtual LAN to which a communication terminal that is a destination of any of the received multicast data and broadcast data belongs;
Quality assurance processing means for performing quality assurance processing on any of the received multicast data and broadcast data based on the communication quality assurance information corresponding to the discovered virtual LAN;
It further comprises a quality assurance processing data transmitting means for transmitting either the multicast data or the broadcast data subjected to the quality assurance processing to a communication terminal which is a destination of the received multicast data or broadcast data. The relay device according to claim 8, wherein
前記仮想LANごとに生成されたセキュリティ情報を前記認証サーバから取得するセキュリティ情報取得手段と、
前記セキュリティ情報を前記仮想LANごとに配信するセキュリティ情報配信手段と、
マルチキャストデータ及びブロードキャストデータのいずれかを前記有線端末から受信するデータ受信手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見する仮想LAN発見手段と、
前記発見した仮想LANに対応するセキュリティ情報に基づいて、前記受信したマルチキャストデータ及びブロードキャストデータのいずれかをセキュリティ処理するセキュリティ処理手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、前記セキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを前記基地局を介して送信するセキュリティ処理データ送信手段を具備することを特徴とする中継装置。An authentication server, a communication terminal that receives authentication from the authentication server via a network, a wired terminal that communicates with the communication terminal, and a communication that is performed by the communication terminal is relayed via a virtual LAN, and the wired terminal is connected to the wired terminal. A relay device connected to the base station connected by
Security information acquisition means for acquiring security information generated for each virtual LAN from the authentication server;
Security information distribution means for distributing the security information for each virtual LAN;
Data receiving means for receiving any of multicast data and broadcast data from the wired terminal,
Virtual LAN discovery means for discovering a virtual LAN to which a communication terminal that is a destination of any of the received multicast data and broadcast data belongs;
Security processing means for performing security processing on any of the received multicast data and broadcast data based on security information corresponding to the discovered virtual LAN;
The communication terminal, which is a destination of any one of the received multicast data and broadcast data, includes a security processing data transmitting unit that transmits any of the security-processed multicast data and broadcast data via the base station. Characteristic relay device.
前記通信品質保証情報を前記仮想LANごとに前記基地局を介して配信する保証情報配信手段と、
前記配信した通信品質保証情報に基づいて前記有線端末が品質保証処理したマルチキャストデータ及びブロードキャストデータのいずれかを前記有線端末から受信する品質保証処理データ受信手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見する仮想LAN発見手段と、
前記発見した仮想LANに対応する通信品質保証情報に基づいて、前記受信したマルチキャストデータ及びブロードキャストデータのいずれかに品質保証処理を施す品質保証処理手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、前記品質保証処理を施したマルチキャストデータ及びブロードキャストデータのいずれかを送信する品質保証処理データ送信手段をさらに具備することを特徴とする請求項10に記載の中継装置。Assurance information acquisition means for acquiring communication quality assurance information set for each virtual LAN from the authentication server;
Guarantee information distribution means for distributing the communication quality assurance information via the base station for each virtual LAN;
Quality assurance processing data receiving means for receiving from the wired terminal any of the multicast data and broadcast data quality-assured by the wired terminal based on the distributed communication quality assurance information,
Virtual LAN discovery means for discovering a virtual LAN to which a communication terminal that is a destination of any of the received multicast data and broadcast data belongs;
Quality assurance processing means for performing quality assurance processing on any of the received multicast data and broadcast data based on the communication quality assurance information corresponding to the discovered virtual LAN;
It further comprises a quality assurance processing data transmitting means for transmitting either the multicast data or the broadcast data subjected to the quality assurance processing to a communication terminal which is a destination of the received multicast data or broadcast data. The relay device according to claim 10, wherein
前記仮想LANごとに生成されたセキュリティ情報を前記認証サーバから取得するセキュリティ情報取得手段と、
前記セキュリティ情報を前記仮想LANごとに配信するセキュリティ情報配信手段と、
前記配信したセキュリティ情報に基づいて前記通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを前記仮想LAN中の通信端末から前記基地局を介して受信するセキュリティ処理データ受信手段と、
前記通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを復号するセキュリティ処理データ復号手段と、
前記復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である前記有線端末に、前記復号したマルチキャストデータ及びブロードキャストデータのいずれかを前記基地局を介して送信するセキュリティ処理データ送信手段を具備することを特徴とする中継装置。An authentication server, a communication terminal that receives authentication from the authentication server via a network, a wired terminal that communicates with the communication terminal, and a communication that is performed by the communication terminal is relayed via a virtual LAN, and the wired terminal is connected to the wired terminal. A relay device connected to the base station connected by
Security information acquisition means for acquiring security information generated for each virtual LAN from the authentication server;
Security information distribution means for distributing the security information for each virtual LAN;
Security processing data receiving means for receiving, via the base station, any one of multicast data and broadcast data security-processed by the communication terminal based on the distributed security information from a communication terminal in the virtual LAN;
Security processing data decoding means for decoding any of the multicast data and broadcast data security-processed by the communication terminal;
A security processing data transmitting unit that transmits any of the decoded multicast data and broadcast data to the wired terminal that is one of the destinations of the decoded multicast data and broadcast data via the base station. Characteristic relay device.
前記通信品質保証情報を前記仮想LANごとに前記基地局を介して配信する保証情報配信手段と、
前記配信した通信品質保証情報に基づいて前記通信端末が品質保証処理したマルチキャストデータ及びブロードキャストデータのいずれかを前記仮想LAN中の通信端末から前記基地局を介して受信する品質保証処理データ受信手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である有線端末が属している仮想LANを発見する仮想LAN発見手段と、
前記宛先である有線端末に対応する通信品質保証情報に基づいて、前記受信したマルチキャストデータ及びブロードキャストデータのいずれかに品質保証処理を施す品質保証処理手段と、
前記宛先である有線端末に、前記品質保証処理を施したマルチキャストデータ及びブロードキャストデータのいずれかを送信する品質保証処理データ送信手段をさらに具備することを特徴とする請求項12に記載の中継装置。Assurance information acquisition means for acquiring communication quality assurance information set for each virtual LAN from the authentication server;
Guarantee information distribution means for distributing the communication quality assurance information via the base station for each virtual LAN;
Quality assurance processing data receiving means for receiving, via the base station, any one of the multicast data and the broadcast data which have been subjected to the quality assurance processing by the communication terminal based on the distributed communication quality assurance information, from the communication terminal in the virtual LAN; ,
Virtual LAN finding means for finding a virtual LAN to which a wired terminal that is one of the destinations of the received multicast data and broadcast data belongs;
Quality assurance processing means for performing a quality assurance process on any of the received multicast data and broadcast data, based on communication quality assurance information corresponding to the destination wired terminal;
13. The relay apparatus according to claim 12, further comprising a quality assurance processing data transmitting unit that transmits any of the multicast data and the broadcast data subjected to the quality assurance processing to the wired terminal as the destination.
前記仮想LAN情報を取得する情報取得手段と、前記取得された仮想LAN情報に基づいて前記基地局に接続することが可能か否かを判定する接続判定手段と、前記基地局に接続することが可能であると判定した場合に前記基地局との間で無線リンクを確立するリンク確立手段を具備する通信端末を具備することを特徴とする通信システム。A base station comprising transmitting means for broadcasting a beacon frame including virtual LAN information,
Information acquiring means for acquiring the virtual LAN information; connection judging means for judging whether or not connection to the base station is possible based on the acquired virtual LAN information; and connection to the base station. A communication system comprising: a communication terminal including a link establishing unit that establishes a wireless link with the base station when it is determined that the communication is possible.
前記プローブ要求フレームをブロードキャストする送信手段と、前記仮想LAN情報を取得する取得手段と、前記取得された仮想LAN情報に基づいて前記基地局に接続することが可能か否かを判定する判定手段と、前記基地局に接続することが可能であると判定した場合に前記基地局との間で無線リンクを確立するリンク確立手段を具備する通信端末を具備することを特徴とする通信システム。A base station comprising: receiving means for receiving a probe request frame from a communication terminal; and transmitting means for transmitting a probe response frame including virtual LAN information to the communication terminal in response to the probe request frame;
A transmitting unit that broadcasts the probe request frame, an obtaining unit that obtains the virtual LAN information, and a determining unit that determines whether it is possible to connect to the base station based on the obtained virtual LAN information. And a communication terminal comprising a link establishing means for establishing a radio link with the base station when it is determined that connection to the base station is possible.
前記仮想LANごとにセキュリティ情報を生成するセキュリティ情報生成手段と、該生成したセキュリティ情報を対応する仮想LANに配信するセキュリティ情報配信手段を具備する認証サーバと、
前記基地局から仮想LAN情報を取得する取得手段と、前記取得した仮想LAN情報に基づいて前記基地局に接続することが可能か否かを判定する判定手段と、前記基地局に接続することが可能であると判定した場合に前記基地局との間で無線リンクを確立するリンク確立手段を具備する通信端末と、
前記セキュリティ情報を取得するセキュリティ情報取得手段と、前記取得したセキュリティ情報を前記仮想LANごとに配信するセキュリティ情報配信手段と、前記配信したセキュリティ情報に基づいて前記通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを前記通信端末から受信するセキュリティ処理データ受信手段と、前記通信端末がセキュリティ処理したマルチキャストデータ及びブロードキャストデータのいずれかを復号するセキュリティ処理データ復号手段と、前記復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見するセキュリティ処理仮想LAN発見手段と、前記発見された仮想LANに対応するセキュリティ情報に基づいて、前記復号したマルチキャストデータ及びブロードキャストデータのいずれかをセキュリティ処理するセキュリティ処理手段と、前記復号したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、前記処理したマルチキャストデータ及びブロードキャストデータのいずれかを送信するセキュリティ処理データ送信手段を具備する基地局を具備することを特徴とする通信システム。In a communication system including an authentication server, a communication terminal that receives authentication from the authentication server via a network, and a base station that relays communication performed by the communication terminal via a virtual LAN,
An authentication server including security information generation means for generating security information for each virtual LAN, and security information distribution means for distributing the generated security information to the corresponding virtual LAN;
Acquiring means for acquiring virtual LAN information from the base station, determining means for judging whether or not it is possible to connect to the base station based on the acquired virtual LAN information, and connecting to the base station. A communication terminal comprising a link establishing means for establishing a wireless link with the base station when it is determined that the communication is possible;
Security information acquiring means for acquiring the security information, security information distributing means for distributing the acquired security information for each virtual LAN, multicast data and broadcast security-processed by the communication terminal based on the distributed security information Security processing data receiving means for receiving any of the data from the communication terminal, security processing data decoding means for decoding any of the multicast data and broadcast data subjected to security processing by the communication terminal, and the decoded multicast data and broadcast Security processing virtual LAN discovery means for discovering a virtual LAN to which a communication terminal that is one of data destinations belongs, and security corresponding to the found virtual LAN Security processing means for performing security processing on one of the decoded multicast data and broadcast data based on the decrypted multicast data and the communication terminal which is a destination of the decoded multicast data and broadcast data. And a base station having security processing data transmitting means for transmitting any of the broadcast data.
前記仮想LANごとに設定された通信品質保証情報を前記認証サーバから取得する保証情報取得手段と、
前記通信品質保証情報を前記仮想LANごとに配信する保証情報配信手段と、
前記配信した通信品質保証情報に基づいて前記通信端末が品質保証処理したマルチキャストデータ及びブロードキャストデータのいずれかを前記仮想LAN中の通信端末から受信する品質保証処理データ受信手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末が属している仮想LANを発見する品質保証処理仮想LAN発見手段と、
前記発見した仮想LANに対応する通信品質保証情報に基づいて、前記受信したマルチキャストデータ及びブロードキャストデータのいずれかに品質保証処理を施す品質保証処理手段と、
前記受信したマルチキャストデータ及びブロードキャストデータのいずれかの宛先である通信端末に、前記品質保証処理を施したマルチキャストデータ及びブロードキャストデータのいずれかを送信する品質保証処理データ送信手段を具備することを特徴とする請求項17に記載の通信システム。The base station further comprises:
Assurance information acquisition means for acquiring communication quality assurance information set for each virtual LAN from the authentication server;
Guarantee information distribution means for distributing the communication quality assurance information for each virtual LAN;
Quality assurance processing data receiving means for receiving, from the communication terminal in the virtual LAN, any of multicast data and broadcast data which the communication terminal has performed quality assurance processing based on the distributed communication quality assurance information,
Quality assurance processing virtual LAN finding means for finding a virtual LAN to which a communication terminal that is a destination of any of the received multicast data and broadcast data belongs;
Quality assurance processing means for performing quality assurance processing on any of the received multicast data and broadcast data based on the communication quality assurance information corresponding to the discovered virtual LAN;
A quality assurance process data transmitting unit that transmits any of the multicast data and broadcast data subjected to the quality assurance process to a communication terminal that is a destination of any of the received multicast data and broadcast data. The communication system according to claim 17, wherein:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003101714A JP2004312257A (en) | 2003-04-04 | 2003-04-04 | Base station, repeating device and communication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003101714A JP2004312257A (en) | 2003-04-04 | 2003-04-04 | Base station, repeating device and communication system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004312257A true JP2004312257A (en) | 2004-11-04 |
Family
ID=33465417
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003101714A Pending JP2004312257A (en) | 2003-04-04 | 2003-04-04 | Base station, repeating device and communication system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004312257A (en) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006051638A1 (en) * | 2004-11-12 | 2006-05-18 | Matsushita Electric Industrial Co., Ltd. | Communication system, wireless lan base station controller, and wireless lan base station device |
| WO2006068088A1 (en) * | 2004-12-21 | 2006-06-29 | Matsushita Electric Industrial Co., Ltd. | Access network system, base station device, network connection device, mobile terminal, and authentication method |
| EP1760982A1 (en) | 2005-09-06 | 2007-03-07 | Fujitsu Ltd. | Security setting in wireless communication network |
| JP2007267301A (en) * | 2006-03-30 | 2007-10-11 | Fujitsu Access Ltd | Encrypted communication system, and encryption key updating method |
| JP2008538673A (en) * | 2005-04-22 | 2008-10-30 | トムソン ライセンシング | Secure anonymous wireless LAN access mechanism |
| JP2009193326A (en) * | 2008-02-14 | 2009-08-27 | Oki Electric Ind Co Ltd | Authentication system, authentication method and server |
| JP2013538021A (en) * | 2010-09-24 | 2013-10-07 | インテル・コーポレーション | Method and apparatus for authenticating and associating wireless devices |
| JP2014504826A (en) * | 2011-01-12 | 2014-02-24 | アルカテル−ルーセント | Method and apparatus for distributing keys for PTP protocol |
| JP2018527849A (en) * | 2015-09-17 | 2018-09-20 | アルカテル−ルーセント | Apparatus, system and method for native and bridged communication in a cellular access network |
| JP2019530349A (en) * | 2016-09-27 | 2019-10-17 | エーナイン・ドット・コム インコーポレイテッドA9.com, Inc. | How to share network settings |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1093613A (en) * | 1996-09-12 | 1998-04-10 | Hitachi Cable Ltd | Switching hub |
| JPH10173692A (en) * | 1996-12-06 | 1998-06-26 | Nippon Telegr & Teleph Corp <Ntt> | Lan system |
| JP2003060656A (en) * | 2001-08-15 | 2003-02-28 | Allied Tereshisu Kk | Vlan constructing method in wireless lan, vlan packet processing program for wireless repeater, recording medium recording vlan packet processing program for wireless repeater, wireless repeater with vlan function and wireless vlan system |
-
2003
- 2003-04-04 JP JP2003101714A patent/JP2004312257A/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1093613A (en) * | 1996-09-12 | 1998-04-10 | Hitachi Cable Ltd | Switching hub |
| JPH10173692A (en) * | 1996-12-06 | 1998-06-26 | Nippon Telegr & Teleph Corp <Ntt> | Lan system |
| JP2003060656A (en) * | 2001-08-15 | 2003-02-28 | Allied Tereshisu Kk | Vlan constructing method in wireless lan, vlan packet processing program for wireless repeater, recording medium recording vlan packet processing program for wireless repeater, wireless repeater with vlan function and wireless vlan system |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006140806A (en) * | 2004-11-12 | 2006-06-01 | Matsushita Electric Ind Co Ltd | Communication system, wireless lan base station controller and wireless lan base station system |
| WO2006051638A1 (en) * | 2004-11-12 | 2006-05-18 | Matsushita Electric Industrial Co., Ltd. | Communication system, wireless lan base station controller, and wireless lan base station device |
| US7756069B2 (en) | 2004-11-12 | 2010-07-13 | Panasonic Corporation | Communication system, wireless LAN base station controller, and wireless LAN base station device |
| JP4558454B2 (en) * | 2004-11-12 | 2010-10-06 | パナソニック株式会社 | Communications system |
| WO2006068088A1 (en) * | 2004-12-21 | 2006-06-29 | Matsushita Electric Industrial Co., Ltd. | Access network system, base station device, network connection device, mobile terminal, and authentication method |
| US8285992B2 (en) | 2005-04-22 | 2012-10-09 | Thomson Licensing | Method and apparatuses for secure, anonymous wireless LAN (WLAN) access |
| JP2008538673A (en) * | 2005-04-22 | 2008-10-30 | トムソン ライセンシング | Secure anonymous wireless LAN access mechanism |
| JP4848421B2 (en) * | 2005-04-22 | 2011-12-28 | トムソン ライセンシング | Secure anonymous wireless LAN access mechanism |
| EP1760982A1 (en) | 2005-09-06 | 2007-03-07 | Fujitsu Ltd. | Security setting in wireless communication network |
| US8374339B2 (en) | 2005-09-06 | 2013-02-12 | Fujitsu Limited | Security setting method of wireless communication network, wireless communication network system, client device and recording medium |
| JP2007267301A (en) * | 2006-03-30 | 2007-10-11 | Fujitsu Access Ltd | Encrypted communication system, and encryption key updating method |
| JP2009193326A (en) * | 2008-02-14 | 2009-08-27 | Oki Electric Ind Co Ltd | Authentication system, authentication method and server |
| JP2013538021A (en) * | 2010-09-24 | 2013-10-07 | インテル・コーポレーション | Method and apparatus for authenticating and associating wireless devices |
| KR101496596B1 (en) * | 2010-09-24 | 2015-03-09 | 인텔 코오퍼레이션 | Method and apparatus for wireless device authentication and association |
| JP2014504826A (en) * | 2011-01-12 | 2014-02-24 | アルカテル−ルーセント | Method and apparatus for distributing keys for PTP protocol |
| JP2018527849A (en) * | 2015-09-17 | 2018-09-20 | アルカテル−ルーセント | Apparatus, system and method for native and bridged communication in a cellular access network |
| JP2019530349A (en) * | 2016-09-27 | 2019-10-17 | エーナイン・ドット・コム インコーポレイテッドA9.com, Inc. | How to share network settings |
| US11297558B2 (en) | 2016-09-27 | 2022-04-05 | A9.Com. Inc. | Methods for network configuration sharing |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7441043B1 (en) | System and method to support networking functions for mobile hosts that access multiple networks | |
| US7797530B2 (en) | Authentication and encryption method and apparatus for a wireless local access network | |
| US8046577B2 (en) | Secure IP access protocol framework and supporting network architecture | |
| CA2413944C (en) | A zero-configuration secure mobility networking technique with web-base authentication method for large wlan networks | |
| US7814322B2 (en) | Discovery and authentication scheme for wireless mesh networks | |
| US7792527B2 (en) | Wireless network handoff key | |
| JP4675909B2 (en) | Multihoming and service network selection using IP access network | |
| US8335490B2 (en) | Roaming Wi-Fi access in fixed network architectures | |
| JP4407452B2 (en) | Server, VPN client, VPN system, and software | |
| EP1935143B1 (en) | Virtual lan override in a multiple bssid mode of operation | |
| JP4575679B2 (en) | Wireless network handoff encryption key | |
| JP3955025B2 (en) | Mobile radio terminal device, virtual private network relay device, and connection authentication server | |
| US20050223111A1 (en) | Secure, standards-based communications across a wide-area network | |
| CA2414044C (en) | A secure ip access protocol framework and supporting network architecture | |
| JP2004312257A (en) | Base station, repeating device and communication system | |
| WO2011064858A1 (en) | Wireless authentication terminal | |
| JP3816850B2 (en) | MAC bridge device and terminal device | |
| Li et al. | Self-organizing security scheme for multi-hop wireless access networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040902 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060712 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060718 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20061114 |