JP2005086656A - 認証判定ブリッジ、プログラム、無線lan通信システム及び無線lan通信方法 - Google Patents

認証判定ブリッジ、プログラム、無線lan通信システム及び無線lan通信方法 Download PDF

Info

Publication number
JP2005086656A
JP2005086656A JP2003318371A JP2003318371A JP2005086656A JP 2005086656 A JP2005086656 A JP 2005086656A JP 2003318371 A JP2003318371 A JP 2003318371A JP 2003318371 A JP2003318371 A JP 2003318371A JP 2005086656 A JP2005086656 A JP 2005086656A
Authority
JP
Japan
Prior art keywords
authentication
packet
terminal
wireless lan
determination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003318371A
Other languages
English (en)
Other versions
JP3825773B2 (ja
Inventor
Koji Suzuki
幸司 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003318371A priority Critical patent/JP3825773B2/ja
Publication of JP2005086656A publication Critical patent/JP2005086656A/ja
Application granted granted Critical
Publication of JP3825773B2 publication Critical patent/JP3825773B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

【課題】無線LANへの不正アクセスに対するセキュリティを十分に確保することにある。
【解決手段】 認証サーバ5を有する基幹側LAN#1と無線LANAP3をもつ端末アクセス側LAN#2との間に認証判定ブリッジ6が設けられている。この認証判定ブリッジ6は、認証要求機能を有する端末4からアクセスポイント3を通して受信されるパケットの種別が認証パケットである場合に認証サーバ5に転送するパケット種別判定手段11と、この判定手段により認証パケットと判定された場合、パケットから端末のMACアドレスを含む必要な端末情報を取り出してエントリを作成し、また認証サーバかの応答パケットから認証成功か失敗かを判定する認証判定手段12と、この認証判定手段で作成されたエントリ情報を管理する端末情報管理手段13と、認証判定手段で認証成功と判定され、かつエントリが存在する場合、端末によるパケットデータの通信許可を付与し、認証失敗と判定された場合、エントリを削除するブリッジ処理手段14とで構成されている。
【選択図】 図1

Description

本発明は、外部端末から無線LANへの不正アクセスを防止する認証判定ブリッジ、プログラム、無線LAN通信システム及び無線LAN通信方法に関する。
数多くの企業においては、通信ケーブルを引き回さずにネットワークを構築できること、また組織の変更に伴う柔軟なレイアウトの変更に対応できることから、無線LANを使用した通信システムが広く普及してきている。
ところで、このような無線LAN通信システムは、各端末間で通信ケーブルを介さずに通信可能であるので、障害物がなければ、建物に面した道路上から建物内のアクセスポイント(以下、APと略称する)にアクセスし、企業内などの端末に接続することが可能となる。
その結果、現状では、企業内の情報を不正に入手する目的から、移動車に無線端末を搭載し、企業内の無線LANのAPを求めて移動し、企業内無線LANのAPに不正にアクセスするウォードライビングと呼ばれるクラッキングの手口が増えてきている。特に、企業内無線LAN通信システムに十分なセキュリティが施されていないとか、或いは保護が甘い無線LANのAPを探し出し、ネットワークに侵入を試みることが行われており、被害も増大の一途を辿っている。
そこで、ウォードライビング行為からネットワークを保護する観点から、暗号化WEPの導入やMACアドレスの制限などが考えられている。
前者の暗号化WEP(Wired Equivalent Privacy)の技術は、IEEE802.11b規格を用いた無線LAN通信システムであって、このシステムは、APに接続許可を付与するIDリストを有し、外部端末がIDを入力すると、APではIDリストを照合し、一致するIDが存在すれば、正当な権限を有する者と判断し、基幹LANに接続する形態をとっている。このことは、正当な権限を有する者の所有するIDが盗まれると、他人が不正に基幹LANにアクセスすることが可能になる。よって、この暗号化WEPは、外部からの侵入に対する脆弱性が指摘されており、セキュリティの対策が十分に確保されていると言えない。その他、暗号化WEPは、暗号を解読しやすいこと、データが改ざんされても検出できないこと、さらに認証機能をもたないなどの問題がある。
一方、MACアドレスの制限については、全ての端末に対し、48ビットのうち、少なくとも24ビットにそれぞれ異なるMACアドレスを割り当てることから、ネットワーク管理者によるアドレスの割り当て作業が発生し、また各機器に割り当てるアドレスのセキュリティについても必ずしも万全とは言えない。
そこで、現在では、IEEE802.11b規格に代わって、IEEE802.1x規格を用いた無線方式が推奨されている。このIEEE802.1xの無線方式は、EAP(Extensible Authentication Protocol:PPP拡張認証プロトコル)による認証技術が用いられ、無線LANにアクセスする際には、ユーザ名とパスワードとによる認証が必要となる。このような技術を用いた無線LAN通信システムとしては既に提案されている(特許文献1)。つまり、EAPとは、リモートアクセスによるユーザー認証の際に用いられるプロトコルで、PPP(Point−to−Point Protocol)を拡張し、追加的な認証方法をサポートするものである。このプロトコルは、IEEE802.1xが採用し、同規格に基づいた認証プロトコルになります。
特開2003−101545号公報
しかしながら、以上のようなIEEE802.1xを用いた無線LAN通信システムでは、全く新たな無線方式でもあり、新規に多数の設備機器を設置する必要があるといった導入上の問題だけでなく、認証方法が複雑であるなど,運用上の重さも問題となっている。すなわち、例えば証明書で認証を行う(Transport Layer Security)では、ユーザを認証するRADIUS(Remote Authentication Dial In User Service)サーバの他、CA(認証局)も設置して運用する必要があり、システム全体に設備が大掛かりとなる問題がある。また、各端末ごとに発行する証明書の管理が必要であり、また端末に搭載する標準OSがWindows XPに限定されてしまう問題がある。さらに、パスワードを用いて認証を行うEAPには、EAP−TLSやEAP−MD5、LEAP、EAP−TTLSなどの様々な種類の認証方式があるが、この方式においても特定の製品やソフトウエアに限定されてしまう難点がある。つまり、LEAPは、CISCO独自の認証方式であり、ユーザ名とパスワードを使用してRADIUS認証を行う。なお、パスワードは、サーバからのチャレンジデータによりハッシュを行うものである。EAP−TTLSは、RADIUSサーバに導入した電子証明書であって、認証用のID、パスワードを暗号化して認証を行う方式である。従って、以上のようなIEEE802.1x規格は、一般レベルでの導入が難しいと言える。
また、個人・企業を含む多くのユーザでは、IEEE802.1x規格による設備機器がコスト的に高いことから、既にIEEE802.11bの機器が導入されている場合にはそのまま当該機器を使用するケースが多く、また無線LAN本来の規格であるIEEE802.11bの無線LAN環境を構築することが行われている。しかし、これら何れのケースも認証機能をもたないので、どうしても認証機能を備える必要がある場合には機器の入れ替えなどの問題が出てくる。
本発明は上記事情にかんがみてなされたもので、一般的な無線LANの環境にて実現可能とし、また汎用性に優れたものとし、かつ無線LANへの不正アクセスを未然に防止する認証判定ブリッジ、プログラム、無線LAN通信システム及び無線LAN通信方法を提供することを目的とする。
(1) 上記課題を解決するために、本発明に係る認証判定ブリッジは、認証サーバが接続される基幹側LANと無線LANアクセスポイントをもつ端末アクセス側LANとの間に設けられ、認証要求機能を有する端末から前記無線LANアクセスポイントを通して受信されるパケットの種別を判定し、パケット種別が認証パケットであると判定された場合には前記認証サーバに転送するとともに、この認証サーバから送られてくる応答パケットから認証の成功・失敗を判定し、成功とする判定結果に基づいて前記端末によるパケットデータの通信を許可する構成である。
この発明は以上のような構成とすることにより、認証要求機能を有する端末から無線LANアクセスポイントを通して受信されるパケットが予め定めるフオーマットをもつ認証パケットの場合に受け付けて認証サーバに転送し、この認証サーバから送られてくる応答パケットの認証の成功・失敗を判定し、端末によるパケットデータの通信を許可するので、認証パケット以外のパケット、一定の取決めに基づくフオーマットをもつパケットでない場合、さらに認証要求機能をもたない端末からのアクセスを確実に拒否し、しかも簡単な設備機器で実現することが可能である。
なお、認証要求機能をもつ端末が所定の認証設定時間毎に認証パケットを送信する場合、
認証パケットに設定されている認証設定時間を含めてエントリ情報を作成し、前記端末と前記認証サーバとの間で定期的に行われるパケットの認証時間を監視し、当該認証時間が認証設定時間を超過した時、既に管理されているエントリ情報を消去し、端末によるパケットデータの通信を拒否するようにすれば、IEEE802.11bの無線LAN環境を用い、コスト的に安価に認証機能を付加し、セキュリティを向上させることができる。
(2) 本発明に係る無線LAN通信システムは、端末アクセス側LANに接続され、認証要求機能をもつ端末から所定の認証設定時間毎に送信してくるパケットを中継する無線LANアクセスポイントと、基幹側LANに接続され、パケットの認証処理を行う認証サーバと、無線LANアクセスポイントを通して受信されるパケットの種別を判定し、パケットの種別が認証パケットの場合には前記認証サーバに転送するとともに、この認証サーバからの応答パケットから認証の成功・失敗を判定し、成功とする判定結果に基づいて前記端末にパケットデータの転送を許可する認証判定ブリッジとを設けた構成である。
従って、IEEE802.11bの無線LAN環境を踏まえ、非常に簡単なシステム構成により、外部からの端末を認証しつつ無線LANへのアクセスを許可することができる。
(3) 本発明に係る無線LAN通信方法は、認証要求機能を有する端末から端末アクセス側LANに接続される無線LANアクセスポイントを通して送られてくるパケットを受信するステップと、このステップで受信されるパケットの種別を判定し、パケット種別が認証パケットの場合には基幹側LANに接続される認証サーバに転送するステップと、
この認証サーバからの応答パケットから認証の成功・失敗を判定し、成功とする判定結果に基づいて前記端末によるパケットデータの通信を許可するステップとを有する方法である。
これにより、無線LAN通信システムと同様の作用効果を奏することができる。
本発明は、本来の無線LANの環境であるIEEE802.11bの規格に適合する構成を採用しつつ、安価な設備を用い、かつ汎用性に優れたものを実現でき、無線LANへの不正アクセスに対するセキュリティを十分に確保可能な認証判定ブリッジ、プログラム、無線LAN通信システム及び無線LAN通信方法を提供できる。
以下、本発明の実施の形態について図面を参照して説明する。
図1は本発明に係る無線LAN通信システムの一実施の形態を示す構成図である。
この無線LAN通信システムは、基幹側LANグメントを形成する第1のネットワークであるイーサネット#1と端末アクセス側LANセグメントを形成する第2のネットワークであるイーサネット#2とが設けられている。
この端末アクセス側LANセグメントを形成するイーサネット#2には無線LANアクセスポイント3が設置されている。この無線LANアクセスポイント3は、有線LANであるイーサネット#2などのコネクタ及び無線LAN用アンテナ等を有し、例えば無線LAN側となる端末から有線LANに接続する際の中継機能を果たす役割をもっている。また、イーサネット#2側には、予め所定の認証設定時間に基づいて定期的に無線LANアクセスポイント3を通して認証を要求する認証要求機能を有するクライアント端末としての無線LAN認証端末4が存在するものとする。
なお、この無線LAN認証端末4は、有線LAN・無線LANの何れの端末であってもよく、有線LAN端末の場合にはイーサネット#2への接続形態が異なるだけであって、無線LAN端末と同様に扱うことができる。以下、この発明では、説明の便宜上、無線LAN端末を用いた例について説明する。
一方、基幹側LANセグメントを形成するイーサネット#1側には、無線LAN認証端末4から無線LANアクセスポイント3経由で受け取る認証要求をもつ認証パケットの認証を実行し、認証結果である成功又は失敗の情報を返送する認証サーバ5が接続されている。
さらに、無線LAN認証端末4がアクセスする無線LANアクセスポイント3をもつ基幹側LAN以外のLANである端末アクセス側LANであるイーサネット#2と認証サーバ5が接続される基幹側LANとなるイーサネット#1とに跨って認証判定ブリッジ6が接続されている。
この認証判定ブリッジ6は、無線LAN認証端末4と認証サーバ5との間に存在し、受信パケットの認証判定結果に従ってアクセスコントロールを実行する機能をもっている。この認証判定ブリッジ6には必要に応じて認証判定処理用プログラムを記録した記録媒体7が装填可能に設けられている。
前記認証判定ブリッジ6は、機能的には、有線LANとなるイーサネット#2側から受信されるパケットの種別が認証パケットかDHCP(Dynamic Host Configuration Protocol)パケットかを判定し、認証パケットであれば、イーサネット#1を経由して認証サーバ5に転送するパケット種別判定手段11と、パケット種別が認証パケットと判定された場合、当該認証パケットのヘッダ部及びペイロード部から認証要求のあった端末のMACアドレスを含む必要な端末情報を取り出してエントリを作成し、また認証サーバ5から認証結果を含む応答パケットを受けて認証成功か失敗かを判定する認証判定手段12と、この認証判定手段12で作成された認証要求のあった端末のMACアドレスを含む必要なエントリ情報を管理する端末情報管理手段13と、前記認証判定手段12による認証結果が成功で、かつ、エントリが存在する場合、認証要求のあった端末によるパケットデータの転送を許可し、また認証結果が失敗した場合には端末情報管理手段13で管理されているエントリ情報を削除するブリッジ処理手段14とが設けられている。
なお、認証判定ブリッジ6がCPUで構成されている場合、CPUが記録媒体7から認証判定処理用プログラムを読み取り、前述するパケット種別判定手段11、認証判定手段12、端末情報管理手段13及びブリッジ処理手段14に相当する一連の処理について、当該プログラムに記述される処理手順に従って容易に実現することができる。
図2は本発明に係る認証判定ブリッジ6の一実施の形態を示すハード構成図である。
この認証判定ブリッジ6は、有線LANであるイーサネット#1,#2にそれぞれ接続され、パケットを送受信するための有線LANドライバ21,22と、送受信されるパケットを転送するブリッジ処理部23と、パケット種別判定処理部24と、この判定部24で判定された認証パケットから認証情報を取り出して認証状態を判定する認証結果判定処理部25と、MACアドレス管理部26と、この認証判定ブリッジ6自身においてIP通信を行うための機能を有するIP処理部27とによって構成されている。
ブリッジ処理部23は、具体的には、有線LANドライバ22と有線LANドライバ21とに対する通信パケットの受け渡し転送処理を制御し、またMACアドレス管理部26をアクセスし、認証済み端末とMACアドレスとの関連付けを行い、通信制御を行うものである。
パケット種別判定処理部24は、有線LANドライバ22と有線LANドライバ21で受信した受信パケットのプロトコルを解析し、認証パケットであるか、DHCPパケットであるかを判定する機能をもっている。
認証結果判定処理部25は、認証要求端末の認証状況を管理する管理テーブルが設けられ、前期パケット種別判定部24で判定された認証パケットを解析し、認証要求を発行した端末について前記管理テーブルに仮登録した後、認証応答において成功である場合には当該管理テーブルに正式に認証を登録し、失敗の場合には仮登録認証を解除する機能をもっている。
前記MACアドレス管理部26は、認証済み端末のMACアドレス(送信元)を管理するテーブルが設けられ、認証済みとされた端末に対するデータ通信の許可/不許可を管理する機能をもっている。
次に、以上のような無線LAN通信システムの動作ないし本発明に係る無線LAN通信方法の一実施の形態について図3を参照して説明する。
先ず、無線LAN認証端末4は、無線LANアクセスポイント3及びイーサネット#2を経由し、パケットを認証判定ブリッジ6に送信する(S1)。
この認証判定ブリッジ6は、無線LAN認証端末4から端末アクセス側LANであるイーサネット#2を通ってくるパケットを有線LANドライバ22で受信する(S2:パケット受信ステップ)。認証判定ブリッジ6は、パケットを受信すると、当該パケットの種別を判定し(S3)、認証パケットと判定された場合には認証サーバ5に送信する(S4)。
なお、無線LAN認証端末4、認証判定ブリッジ6及び認証サーバ5の間では、予め相互の間で認証パケットのフォーマットが取り決められている。本発明にて扱う認証パケットとしては、例えば図4に示すような一般的なフォーマットが用いられる。
この一般的なバケットフォーマットは、MACアドレス、IPアドレス、UDPポート番号などを記載するヘッダ部31とペイロード部32とで構成されている。この認証パケットは、ヘッダ部31に認証を示すポート番号などを書き込むことにより、当該パケットが認証パケットであることを示している。ペイロード部32には、少なくともユーザ名、パスワード等の認証情報が格納されている。但し、ペイロード部32内の認証情報は、第3者から不正に見られないようにするために予め暗号化されている。この暗号化処理は、無線LAN認証端末4と認証サーバ5との間の通信により行われるものである。
また、認証サーバ5から無線LAN認証端末4への応答パケットについても、予め取り決められているパケットフォーマットが用いられる。例えばペイロード部32には認証結果を示すコードが格納される。これらの認証については、予め無線LAN認証端末4に認証に有効な最大時間,つまり認証設定時間であるLifeTime値(秒)が設定され、定期的に認証要求を行うようになっている。例えば無線LAN認証端末4にN秒なるLifeTime値が設定されている場合、N/2秒周期などで定期的に認証が行われる。無線LAN認証端末4から転送されるパケットのペイロード部32には認証設定時間であるLifeTime値(秒)が格納されているが、途中経路である認証判定ブリッジ6にて当該LifeTime値を参照する必要があるので、暗号化は行われない。
ところで、認証判定ブリッジ6は、有線LANドライバ22を通してパケットを受信すると、ブリッジ処理部23を介してパケット種別判定部24に渡す。このパケット種別判定部24は、受信したパケットの種別を判定するものであって、具体的には、RFCで規定されているプロトコル番号、UDPポート番号を調べ、認証パケットであるか、DHCPパケットであるか、つまり認証に必要なパケットであるかを判定する(S3)。因みに、パケット種別がDHCPパケットである場合、IPアドレスが未取得状態であるので、認証のための通信を行うことができないと判断し、無条件にパケット通過を許可する。
しかして、パケット種別の判定結果から認証パケットであると判定した場合、当該認証パケットをイーサネット#1を介して認証サーバ5に送信する(S4)。
また、パケット種別判定部24にて認証パケットと判定された場合、認証結果判定処理部25が認証パケット内に書き込まれている情報の解析を実施する。つまり、認証結果判定処理部25は、認証パケットのヘッダ部31に格納されているMACアドレスとペイロード部32に格納されているLifeTime値とを取り出す。そして、このLifeTimeの情報と現在認証を行っている無線LAN認証端末4のMACアドレスとから認証端末情報のエントリを作成し(S5)、認証要求元端末の認証状況をMACアドレス管理部26の端末情報管理テーブルに仮登録する。
一方、認証サーバ5では、前述するようにブリッジ処理部23を通して認証パケットを受けると、所定の認証処理を実施し(S6)、認証成功かまたは認証失敗かの認証結果を書き込んだ応答パケットを認証判定ブリッジ6に返送する(S7)。ここで、認証判定ブリッジ6の認証結果判定処理部25は、認証サーバ5から返送されてくる応答パケットの情報を解析し、認証結果が成功か失敗かを調べる(S8)。もし、ここで、認証結果が成功であれば、ブリッジ処理部23は、認証結果が成功であり、かつMACアドレス管理部26の端末情報管理テーブルにエントリが存在する場合、認証成功と判断し、端末情報管理テーブルに認証要求のあった認証端末4のパケットデータの転送を許可するための本登録を行う。つまり、認証端末4との間のパケットデータの通信を可能にする。
認証結果が失敗である場合、端末情報管理テーブルに仮登録されたエントリを削除する(S9)。さらに、ブリッジ処理部23は、端末情報管理テーブルにエントリが存在しない場合、認証結果に拘らず、何らかの処理をしないこととし、認証端末4からの転送を拒否する。
さらに、ブリッジ処理部23は、LifeTimeの認証設定時間を超過しても認証が完了しない場合、エントリを消去し、端末4からの転送を拒否する。
従って、以上のような実施の形態によれば、認証サーバ5が接続される基幹側LANと無線LANアクセスポイント3をもつ端末アクセス側LANとの間に認証判定ブリッジ6を接続し、この認証判定ブリッジ6は、認証要求機能を有する端末4から無線LANアクセスポイント3を通して受信されるパケットが認証パケットである場合、認証サーバ5に転送するとともに、この認証サーバから送られてくる応答パケットから認証の成功・失敗を判定し、成功とする判定結果に基づいて端末によるパケットデータの通信を許可するので、認証サーバ5が接続される基幹側LANと無線LANアクセスポイント3をもつ端末アクセス側LANとの間にパケット種別判定や認証成功、失敗等の判定を実施する簡単な機能をもたせるだけで、暗号化だけでなく、認証処理も付加でき、設備コストを抑制しながらセキュリティ対策に万全を期すことができ、無線LANへの不正アクセスを未然に防止できる。
また、認証要求機能をもつ端末4が所定の認証設定時間毎に認証パケットを送信する場合、認証パケットに設定されている認証設定時間を含めてエントリ情報を作成し、端末と前記認証サーバ5との間で定期的に行われるパケットの認証時間を監視し、当該認証時間が認証設定時間を超過した時、既に管理されているエントリ情報を消去し、端末によるパケットデータの通信を拒否するので、IEEE802.11bの無線LAN環境を用い、コスト的に安価に認証機能を付加し、セキュリティを向上させることができる。
また、無線LAN通信システムとしては、端末アクセス側LANに接続され、認証要求機能をもつ端末から所定の認証設定時間毎に送信してくるパケットを中継する無線LANアクセスポイント3と、基幹側LANに接続され、パケットの認証処理を行う認証サーバ5と、無線LANアクセスポイントを通して受信されるパケットの種別を判定し、パケットの種別が認証パケットの場合には前記認証サーバに転送するとともに、この認証サーバからの応答パケットから認証の成功・失敗を判定し、成功とする判定結果に基づいて前記端末にパケットデータの転送を許可する認証判定ブリッジ6とで構成することにより、構成簡単にしてシステム全体を安価に実現でき、汎用性にも富んだものとして実現することができる。
その他、本願発明は、上記実施の形態に限定されるものでなく、その要旨を逸脱しない範囲で種々変形して実施できる。例えば上記実施の形態では、端末アクセス側LANに無線LANアクセスポイント3と認証判定ブリッジ6とをそれぞれ独立的に設けたが、例えば認証判定ブリッジ6の中に無線LANアクセスポイント3を組み込むとか、或いは無線LANアクセスポイント3の中に認証判定ブリッジ6を組み込んで一体構成とすることもできる。
また、各実施の形態は可能な限り組み合わせて実施することが可能であり、その場合には組み合わせによる効果が得られる。さらに、上記各実施の形態には種々の上位,下位段階の発明が含まれており、開示された複数の構成要素の適宜な組み合わせにより種々の発明が抽出され得るものである。例えば問題点を解決するための手段に記載される全構成要件から幾つかの構成要件が省略されうることで発明が抽出された場合には、その抽出された発明を実施する場合には省略部分が周知慣用技術で適宜補われるものである。
本発明に係る無線LAN通信システムの一実施の形態を示す構成図。 図1に示す認証判定ブリッジの一実施の形態を示すハード構成図。 本発明に係る無線LAN通信方法の一実施の形態を説明するシーケンス図。 認証端末から送信されるパケットに格納されている内部情報を説明する図。
符号の説明
#1,#2…イーサネット、3…無線LANアクセスポイント、4…無線LAN認証端末、5…認証サーバ、6…認証判定ブリッジ、7…記録媒体、11…パケット種別判定手段、12…認証判定手段、13…端末情報管理手段、14…ブリッジ処理手段、23…ブリッジ処理部、24…パケット種別判定部、25…認証結果判定処理部、26…MACアドレス管理部。

Claims (11)

  1. 認証サーバが接続される基幹側LANと無線LANアクセスポイントをもつ端末アクセス側LANとの間に設けられ、認証要求機能を有する端末から前記無線LANアクセスポイントを通して受信されるパケットの種別を判定し、パケット種別が認証パケットであると判定された場合には前記認証サーバに転送するとともに、この認証サーバから送られてくる応答パケットから認証の成功・失敗を判定し、成功とする判定結果に基づいて前記端末によるパケットデータの通信を許可することを特徴とする認証判定ブリッジ。
  2. 認証サーバが接続される基幹側LANと無線LANアクセスポイントをもつ端末アクセス側LANとの間に接続される認証判定ブリッジにおいて、
    認証要求機能を有する端末から無線LANアクセスポイントを通して受信されるパケットの種別を判定し、パケット種別が認証パケットであると判定された場合に前記基幹側LANを通じて前記認証サーバに転送するパケット種別判定手段と、
    この判定手段で認証パケットと判定された場合、当該認証パケットから前記端末のMACアドレスを含む必要な端末情報を取り出してエントリを作成し、また前記認証サーバから送られてくる認証結果を含む応答パケットから認証成功か失敗かを判定する認証判定手段と、
    この認証判定手段で作成されたエントリ情報を管理する端末情報管理手段と、
    前記認証判定手段で認証成功と判定され、かつ前記エントリ情報が存在する場合、前記端末に対してパケットデータの通信許可を付与し、前記認証失敗と判定された場合、前記エントリ情報を削除するブリッジ処理手段とを備えたことを特徴とする認証判定ブリッジ。
  3. 請求項1又は請求項2に記載の認証判定ブリッジにおいて、
    前記認証要求機能をもつ端末が所定の認証設定時間毎に認証パケットを送信する場合、
    前記認証パケットに設定されている認証設定時間を含めて前記エントリ情報を作成し、前記端末と前記認証サーバとの間で定期的に行われるパケットの認証時間を監視し、当該認証時間が前記認証設定時間を超過した時、既に管理されているエントリ情報を消去し、前記端末によるパケットデータの通信を拒否することを特徴とする認証判定ブリッジ。
  4. 認証サーバが接続される基幹側LANとは別のLANである端末アクセス側LANに接続される認証判定ブリッジにおいて、
    認証要求機能をもつ端末から転送されてくるパケットを中継する無線LANアクセスポイントと、この無線LANアクセスポイントを通して受信される前記端末のパケットの種別を判定し、認証パケットの場合には前記基幹側LANに接続される認証サーバに転送するとともに、この認証サーバからの応答サーバから認証の成功・失敗を判定し、前記端末によるパケットデータの通信許可・不許可を行う認証判定ブリッジ部とを一体的に構成するように組み込んだことを特徴とする認証判定ブリッジ。
  5. 請求項3に記載の認証判定ブリッジにおいて、
    前記認証判定ブリッジ部は、前記端末から無線LANアクセスポイントを通して受信されるパケットの種別を判定し、認証パケットであれば前記基幹側LANを通じて前記認証サーバに認証パケットを転送するパケット種別判定手段と、
    この判定手段で認証パケットと判定されたとき、この認証パケットから前記端末のMACアドレスを含む必要な端末情報を取り出してエントリを作成し、また前記認証サーバから送られてくる認証結果を含む応答パケットから認証成功か失敗かを判定する認証判定手段と、
    この認証判定手段で作成されたエントリ情報を管理する端末情報管理手段と、
    前記認証判定手段で認証成功と判定され、かつ前記エントリ情報が存在する場合、前記端末にバケットデータの通信許可を付与し、前記認証失敗と判定された場合、前記エントリ情報を削除するブリッジ処理手段とを備えたことを特徴とする認証判定ブリッジ。
  6. 請求項1ないし請求項5の何れか一項に記載の認証判定ブリッジにおいて、
    前記認証判定手段又は認証判定ブリッジ部は、少なくとも前記端末と前記認証サーバとの間で決定された特定のフォーマットに従ったパケットのみを取得し、認証要求のあった端末の必要な端末情報を取り出してエントリを作成し管理することを特徴とする認証判定ブリッジ。
  7. 認証要求機能を有する端末から無線LANアクセスポイントを通して受信されるパケットを基幹側LANに接続される認証サーバに転送し、この認証サーバから送られてくる応答パケットから認証判定を行うコンピュータに、
    前記受信パケットの種別を判定し、認証パケットであれば前記基幹側LANを通じて前記認証サーバに転送するパケット種別判定機能と、この判定機能によって認証パケットと判定されたとき、当該認証パケットから前記端末の必要な端末情報を取り出してエントリを作成し、また前記認証サーバから送られてくる認証結果を含む応答パケットから認証成功か失敗かを判定する認証判定機能と、この認証判定機能により認証成功と判定され、かつ前記エントリ情報が存在する場合、前記端末によるパケットデータの通信許可を付与する機能と、前記認証失敗と判定された場合、前記エントリ情報を削除する機能とを実現させることを特徴とするプログラム。
  8. 端末アクセス側LANに接続され、認証要求機能をもつ端末から所定の認証設定時間毎に送信してくるパケットを中継する無線LANアクセスポイントと、
    基幹側LANに接続され、パケットの認証処理を行う認証サーバと、
    前記無線LANアクセスポイントを通して受信されるパケットの種別を判定し、パケットの種別が認証パケットの場合には前記認証サーバに転送するとともに、この認証サーバからの応答パケットから認証の成功・失敗を判定し、成功とする判定結果に基づいて前記端末にパケットデータの転送を許可する認証判定ブリッジとを備えたことを特徴とする無線LAN通信システム。
  9. 請求項8に記載する無線LAN通信システムにおいて、
    前記無線LANアクセスポイントと前記認証判定ブリッジとを一体構成としたことを特徴とする無線LAN通信システム。
  10. 認証要求機能を有する端末から端末アクセス側LANに接続される無線LANアクセスポイントを通して送られてくるパケットを受信するステップと、
    このステップで受信されるパケットの種別を判定し、パケット種別が認証パケットの場合には基幹側LANに接続される認証サーバに転送するステップと、
    この認証サーバからの応答パケットから認証の成功・失敗を判定し、成功とする判定結果に基づいて前記端末によるパケットデータの通信を許可するステップとを有することを特徴とする無線LAN通信方法。
  11. 認証要求機能を有する端末から端末アクセス側LANに接続される無線LANアクセスポイントを通して送られてくるパケットを受信するステップと、
    このステップで受信されるパケットの種別を判定し、認証パケットであれば、当該認証パケットを基幹側LANを通じて認証サーバに転送するステップと、
    前記認証パケットから前記端末のMACアドレスを含む必要な端末情報を取り出してエントリを作成し管理し、また前記認証サーバから認証結果を含む応答パケットを受けて認証成功か失敗かを判定する認証判定ステップと、
    このステップで認証成功と判定され、かつ前記エントリ情報が存在する場合、前記端末にデータ通信許可を付与し、前記認証失敗と判定された場合、前記エントリ情報を削除するステップと、
    前記端末と前記認証サーバとの間で定期的に行われるパケットの認証時間を監視し、当該認証時間が予め設定されている認証設定時間を超過した時、既に管理されているエントリ情報を消去し、前記端末によるパケットの通信を拒否するステップとを有することを特徴とする無線LAN通信方法。
JP2003318371A 2003-09-10 2003-09-10 認証判定ブリッジ Expired - Fee Related JP3825773B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003318371A JP3825773B2 (ja) 2003-09-10 2003-09-10 認証判定ブリッジ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003318371A JP3825773B2 (ja) 2003-09-10 2003-09-10 認証判定ブリッジ

Publications (2)

Publication Number Publication Date
JP2005086656A true JP2005086656A (ja) 2005-03-31
JP3825773B2 JP3825773B2 (ja) 2006-09-27

Family

ID=34417669

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003318371A Expired - Fee Related JP3825773B2 (ja) 2003-09-10 2003-09-10 認証判定ブリッジ

Country Status (1)

Country Link
JP (1) JP3825773B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009031848A (ja) * 2007-07-24 2009-02-12 Fujitsu Ltd 認証転送装置
JP2009130838A (ja) * 2007-11-27 2009-06-11 Alaxala Networks Corp パケット中継装置
US8087069B2 (en) 2005-06-13 2011-12-27 Nokia Corporation Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA)
US8353011B2 (en) 2005-06-13 2013-01-08 Nokia Corporation Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8087069B2 (en) 2005-06-13 2011-12-27 Nokia Corporation Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA)
US8353011B2 (en) 2005-06-13 2013-01-08 Nokia Corporation Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA)
JP2009031848A (ja) * 2007-07-24 2009-02-12 Fujitsu Ltd 認証転送装置
JP2009130838A (ja) * 2007-11-27 2009-06-11 Alaxala Networks Corp パケット中継装置

Also Published As

Publication number Publication date
JP3825773B2 (ja) 2006-09-27

Similar Documents

Publication Publication Date Title
JP4071966B2 (ja) 無線ネットワーククライアントに対し認証されたアクセスを提供する有線ネットワークとその方法
US7788705B2 (en) Fine grained access control for wireless networks
US7673146B2 (en) Methods and systems of remote authentication for computer networks
US7441043B1 (en) System and method to support networking functions for mobile hosts that access multiple networks
JP4555235B2 (ja) ネットワーク装置、無線ネットワークの使用方法及び無線ネットワーク・セキュリティ方法
US7174564B1 (en) Secure wireless local area network
AU2008213766B2 (en) Method and system for registering and verifying the identity of wireless networks and devices
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
US7480933B2 (en) Method and apparatus for ensuring address information of a wireless terminal device in communications network
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
US20090019539A1 (en) Method and system for wireless communications characterized by ieee 802.11w and related protocols
JP2009508403A (ja) 準拠性に基づくダイナミックネットワーク接続
JP2006085719A (ja) 設定情報配布装置、認証設定転送装置、方法、プログラム、媒体及び設定情報受信プログラム
JP2006086907A (ja) 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム
US20130283050A1 (en) Wireless client authentication and assignment
US9270652B2 (en) Wireless communication authentication
KR100707805B1 (ko) 사용자 및 인증자별로 제어할 수 있는 인증 시스템
US20080244716A1 (en) Telecommunication system, telecommunication method, terminal thereof, and remote access server thereof
JP2007006248A (ja) リモートアクセス方法、およびリモートアクセスシステム
KR100819942B1 (ko) 유무선 네트워크의 검역 및 정책기반 접속제어 방법
JP3825773B2 (ja) 認証判定ブリッジ
EP1836559B1 (en) Apparatus and method for traversing gateway device using a plurality of batons
JP2012060357A (ja) 移動体システムのリモートアクセス制御方法
JP4584776B2 (ja) ゲートウェイ装置およびプログラム
KR100459935B1 (ko) 공중 무선 랜 서비스 망에서의 사용자 인증방법

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051109

A131 Notification of reasons for refusal

Effective date: 20051115

Free format text: JAPANESE INTERMEDIATE CODE: A131

A521 Written amendment

Effective date: 20060116

Free format text: JAPANESE INTERMEDIATE CODE: A523

A131 Notification of reasons for refusal

Effective date: 20060322

Free format text: JAPANESE INTERMEDIATE CODE: A131

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060519

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060627

A61 First payment of annual fees (during grant procedure)

Effective date: 20060630

Free format text: JAPANESE INTERMEDIATE CODE: A61

LAPS Cancellation because of no payment of annual fees