JP2005142848A - 無線lanシステム、およびその通信制御方法、ならびにアクセスポイント - Google Patents
無線lanシステム、およびその通信制御方法、ならびにアクセスポイント Download PDFInfo
- Publication number
- JP2005142848A JP2005142848A JP2003377284A JP2003377284A JP2005142848A JP 2005142848 A JP2005142848 A JP 2005142848A JP 2003377284 A JP2003377284 A JP 2003377284A JP 2003377284 A JP2003377284 A JP 2003377284A JP 2005142848 A JP2005142848 A JP 2005142848A
- Authority
- JP
- Japan
- Prior art keywords
- client
- access point
- wireless lan
- authentication
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】 セキュリティを高めると共に認証サーバとネットワークの負担を軽減し、無線LANに接続されるクライアントを認証する無線LANシステムを実現する。
【解決手段】 アクセスポイント3が、クライアント2の認証をするための認証情報をキャッシュメモリに記憶、および参照して、認証サーバ1に代わって無線LAN5へのアクセス要求をしてきたクライアント2の認証を実行するのでアクセスポイント3と認証サーバ1との間でセキュリティ情報の伝送が削減され、セキュリティが向上すると共に認証サーバ1とネットワーク4の負担が軽減した無線LANシステムが実現できる。
【選択図】 図1
【解決手段】 アクセスポイント3が、クライアント2の認証をするための認証情報をキャッシュメモリに記憶、および参照して、認証サーバ1に代わって無線LAN5へのアクセス要求をしてきたクライアント2の認証を実行するのでアクセスポイント3と認証サーバ1との間でセキュリティ情報の伝送が削減され、セキュリティが向上すると共に認証サーバ1とネットワーク4の負担が軽減した無線LANシステムが実現できる。
【選択図】 図1
Description
本発明は、無線LANシステム、およびその通信制御方法、ならびにアクセスポイントに関する。
パーソナルコンピュータ等を無線LANを介してインターネットや企業内LAN等のネットワークに接続するネットワークが増えている。一方、これら無線LANの無線区間における盗聴、なりすましも増え、これらの第3者による不正アクセスを防ぐため、無線LANに接続するクライアント(無線端末)の認証、またクライアントとアクセスポイント(無線親局)との間の通信で暗号化などを行う。
その代表例として、WEP(Wired Equivalent Protocol)があり、アクセスポイントにアクセスできるクライアントをクライアントのESSID(Enhanced Service Set−Identifier)によるフィルタ(弁別)と暗号化による認証を行っている。そして、ユーザの利便性を増すために認証の成功、不成功の通知を行う方法が考案されている(例えば、この特許文献1参照。)。
しかし、WEPによる認証方法や暗号化通信は、セキュリティが不足するため、セキュリティを更に向上するための認証サーバをネットワーク上に設けて認証サーバとクライアントとの間で認証情報を交換し、アクセスポイントから上位のネットワークへのアクセスを許可する方法の導入が図られている。
IEEE802.1xは、現在標準化が進められている認証手続きであって、認証サーバとクライアントとの間で公開鍵による認証など高度な認証手段が可能になる。しかし、無線LANでは、クライアントと認証サーバが認証手続きの通信を行うために、アクセスポイントで一度、無線通信から、ケーブル伝送へのメディア変換が行われる。また、高度な認証を行うほどアクセスポイントと認証サーバとの間で送受信する認証情報のデータ量が多くなり、アクセス要求から接続完了まで時間がかかったり、認証サーバが接続されているネットワークのスループットの低下を招くことなどが問題になってきた。
特開2002―314529号公報 (第11ページ、第1図)
IEEE802.1x(Institute of Electrical and Electronics Engineers Port based network access control)
IEEE802.1xは、現在標準化が進められている認証手続きで様々な高度な認証手段が可能になるが、無線LANのアクセスポイントと認証サーバとの間で送受信する認証情報のデータ量が増えるので、アクセス要求から接続完了まで時間がかかったり、ネットワーク上でのデータのスループット低下を来すなどの問題があった。
本発明は上記問題を解決するためになされたもので、セキュリティを高めると共に認証サーバとネットワークの負担を軽減し、無線LANにアクセスするクライアントの認証をする無線LANシステムを実現することを目的とする。
上記目的を達成するために、本発明の無線LANシステムは、ネットワークに接続される1つ、又は複数の無線LANのアクセスポイントと、前記無線LANの前記アクセスポイントと通信する1つ、又は複数のクライアントと、前記ネットワークに接続される認証サーバと、からなる無線LANシステムであって、前記クライアントは、固有の識別子が割り当てられ、前記認証サーバは、前記クライアントの前記識別子と認証情報とを記憶し、前記アクセスポイントを介して前記クライアントとの間で前記認証情報を送受信して前記クライアントに前記ネットワークにアクセス権が有るか否かを認証し、前記無線LANのアクセスポイントは、前記認証情報を一時記憶するキャッシュメモリと、前記無線LANを介して前記ネットワークとの間で行う前記クライアントの通信を制御する制御手段とを備え、前記制御手段は、前記クライアントから前記ネットワークへの接続要求を受信すると、前記クライアントの識別子を判読すると共に前記認証情報を前記キャッシュメモリから読み出し、前記認証サーバに代わり、前記接続要求をしたクライアントとの間で前記認証情報を送受信して前記クライアントに前記ネットワークへのアクセス権が有るか否かの認証をすることを特徴とする。
また、本発明の無線LANシステムの通信制御方法は、ネットワークに接続されるサーバが、前記ネットワークに接続された無線LANのアクセスポイントを介して、前記アクセスポイントにアクセスする固有の識別子を割り当てられたクライアントを認証する無線LANシステムの通信制御方法であって、前記認証サーバは、前記各クライアントの前記識別子と認証情報を記憶し、前記アクセスポイントを介して前記クライアントから接続要求を受信すると、前記識別子と前記記憶した認証情報を照合して前記接続要求をしたクライアントとの間で前記認証情報を送受信することにより前記クライアントが前記ネットワークへのアクセス権が有るか否かの認証を行い、前記無線LANのアクセスポイントは、前記認証サーバが記憶する前記認証情報のうち、自装置に接続要求を行う前記クライアントの前記認証情報を一時記憶するキャッシュメモリと、前記無線LANを介して前記ネットワークとの間で行う前記クライアントの通信を制御する制御手段とを具備し、前記制御手段は、前記クライアントから前記ネットワークへの接続要求を受信すると、前記クライアントの識別子を判読し、その判読した識別子に対応した前記クライアントの前記認証情報が前記キャッシュメモリに記憶されている場合は、前記認証サーバに代わり、前記接続要求をしたクライアントとの間で前記認証情報を送受信して前記クライアントが前記ネットワークへのアクセス権が有るか否かの認証を行うことを特徴とする。
本発明によれば、アクセスポイントが、認証サーバがクライアントの認証するのに用いるものと同じ認証情報をキャッシュメモリに記憶して、認証サーバに代わって無線LANにアクセス要求してきたクライアントの認証を実行するのでネットワーク上での認証情報の伝送が削減されてセキュリティが向上すると共に、認証サーバとネットワークの負担を軽減してクライアントを認証する無線LANシステムが実現できる。
以下、図面を参照して本発明を説明する。
以下、図面を参照して本発明の実施の形態を説明する。
図1は、本発明の無線LANシステムの実施例の1例の構成図である。
図1において、無線LANシステムは、認証サーバ1、クライアント2(#1〜#n)、アクセスポイント3(#1〜#n)、および認証サーバ1とアクセスポイント3(#1〜#n)が接続されているネットワーク4から構成される。また、アクセスポイント3(例えば、(#1)とクライアント2(例えば、(#1)、(#2))との間の通信により無線LAN5(#1〜#n)が構成される。
図2は、クライアント2とアクセスポイント3との間で送受信される無線パケットのフォーマットを示す図で、無線LANの国際標準IEEE802.11に準じている。
図2において無線パケットは、PLCPプリアンブルとPLCPヘッダ、およびMACヘッダmhとデータフレームdf、およびエラー制御のFCSフレームとから構成される。
PLCPプリアンブルとPLCPヘッダは、物理的接続条件を設定するもので無線パケットの同期確立や伝送速度の設定に使用される。クライアント2と認証サーバ1、およびアクセスポイント3との間の認証に係わる情報やデータは、MACヘッダmhとデータフレームdfに設定される。
クライアント2のMACアドレス、およびESSID等はMACヘッダmhに設定され、クライアント2の認証に係わる認証サーバと送受信する手順、認証パスワードに付いての情報とデータ、またメッセージデータ等は、データフレームdfに設定される。
また、ネットワーク4では、この無線パケットに類似のフレーム構成を持つLANパケットが、例えば、アクセスポイント3と認証サーバ1等との間で伝送される。無線パケットは、このLANパケットをデータフレームdfにカプセル化したものであって、両者は、PLCPヘッダの詳細構造や伝送速度が異なる。
無線パケットのMACヘッダmhには、無線パケットの無線LANにおける送信元と宛先のアドレスとして、クライアント2(例えば、(#1))とアクセスポイント3(例えば、(#1))のMACアドレスが設定される。そして無線パケットのデータフレームdfには、認証を受けるクライアント2(#1)のMACアドレスと認証先の認証サーバ1のMACアドレスが送信元と宛先(言い換えると、認証関係)のアドレスとして設定されている。
LANパケットでは、MACヘッダmhにネットワーク4における送信元と宛先のアドレスとしてアクセスポイント3(#1)のMACアドレスと認証サーバ1のMACアドレスとが設定され、データフレームdfにクライアント2(#1)のMACアドレスと認証先の認証サーバ1のMACアドレスが認証関係のアドレスとして設定されている。
図3、図4は、それぞれクライアント2、アクセスポイント3の機能構成を示すブロック図である。
図3において、クライアント2は、無線端末21とパーソナルコンピュータ27の組合せからなるユーザ端末である。無線端末21は、内部でバス接続された端末インタフェース22、MAC処理部24、RF部23、制御部25、メモリ26を備えている。
無線端末21は、無線LANカードが代表的であり、パーソナルコンピュータ27とPCカードバス、100Base―T等の規格による端末インタフェース22を介してアクセスポイントとの間で通信する信号を送受信する。
端末インタフェース22で受信したパーソナルコンピュータ27からのパケットはMAC処理部24に送信され、制御部25がMAC処理部32を制御してRF部23が送信する無線パケットの構成に組み立てて(フォーマット変換して)、RF部23からアクセスポイント3へ送信される。
また、メモリ26は、無線端末21が無線パケットを送受信するためのプログラムや、クライアント2、即ち、無線端末21のMACアドレス、識別子、認証情報、例えば、ESSID、暗号鍵情報等が記憶される。これらの記憶された識別子や情報等は、アクセスポイント3に送信される無線パケットにMAC処理部23で各々所定のMACヘッダmh、およびデータフレームdfに設定される。
無線端末21は、無線LANカードの様にパーソナルコンピュータ27に一体化して組み込まれており、クライアント2は無線端末21とパーソナルコンピュータ27が不可分で有ることが大半である。以下、必要が無い限り本発明の実施例のクライアント2の動作説明にあたっては、無線端末21の内部構成の詳細な動作説明は省略し、クライアント2として纏めて動作説明を行う。
RF部23がアクセスポイント3から無線パケットを受信すると、そのパケットはMAC処理部24に送信され、制御部25は、それをLANパケットのフォーマットに変換する制御をMAC処理部24に行い、そのフォーマット変換されたLANパケットを端末インタフェース22を介してパーソナルコンピュータ27に送信する。
制御部25は、MAC処理部24が送受信する信号を監視し、パーソナルコンピュータ27から、ネットワーク4への接続要求が有ると認証サーバ1との間で必要な認証情報をメモリ26から読み出して認証手続きを行う信号送受信の制御を行う。例えば、クライアント2(#1)のMACアドレスを送信したり、認証サーバ1からアクセスポイント3を介して認証のために暗号化された試験データの送受信要求があるとその認証のための暗号化処理を制御する。
図4において、アクセスポイント3は、内部でバス接続されたネットワークインタフェース31、MAC処理部32、RF部33、CPU34、メモリ35、キャッシュメモリ36を備えている。
アクセスポイント3は、100Base―T等の規格によるネットワークインタフェース22を介してネットワーク4との間で信号を送受信し、クライアント2と認証サーバ1との間で認証に係わる中継通信を行う。また、アクセスポイント3は、後述の条件下で認証サーバ1に代わって、ネットワーク4に接続された、例えば、ホストコンピュータ(図1には、図示せず。)等との通信を行うためにネットワーク4への接続要求を行ったクライアント2の認証を行う。
CPU34は、クライアント2がアクセスポイント3を介してネットワークにアクセスする通信を制御する制御手段である。
RF部33は、クライアント2から受信した無線パケットをMAC処理部32に送信し、CPU34は、MAC処理部32を制御して、その無線パケットのMACヘッダmhとデータフレームdfをLANパケットのフォーマットに変換する。CPU34は、そのLANパケットを更にネットワークインタフェース31を介してネットワーク4に接続された認証サーバ1等の装置等に送信する制御を行う。
一方、ネットワークインタフェース31で受信した認証サーバ1からのLANパケットはMAC処理部32に送信され、CPU34は、MAC処理部32を制御してMACヘッダmh、およびデータフレームdfの内容を変換設定することによってそのLANパケットを無線パケットのフォーマットに変換して、RF部33からアクセスポイント3へ送信する制御を行う。
また、CPU34は、アクセスポイント3が認証サーバ1に代わってクライアント2を認証する場合、認証サーバ1のミラーとなってその認証手順を制御する。この制御は、メモリ35で記憶されたプログラムおよび、キャッシュメモリ36に記憶された認証情報を参照して実行される。
認証に必要なクライアント2のMACアドレス、および識別子等の認証情報は、予め、キャッシュメモリ36に設定されるか、又は、CPU34がMAC処理部32を通過するパケットを監視してMACアドレスや識別子を読出すか、もしくは、CPU34が認証サーバ1から自装置に通知された認証情報を読出して取得したデータがキャッシュメモリ36に設定される。
メモリ35には、CPU34が無線パケットをクライアント2との間で送受信したり、ネットワーク4との間で無線パケットをLANパケットのフォーマットに変換して送受信する通信制御、および認証制御等のプログラム、ならびにそれらのプログラムの実行に係わる諸データが記憶されている。例えば、アクセスポイント3のMACアドレス、ESSID、およびクライアント2との間の無線通信の盗聴防止の暗号鍵情報(後述の認証用の暗号鍵ではない)等が記憶され、CPU34は、それらの記憶データを参照して、MAC処理部32で無線パケットをLANパケットにフォーマット変換する制御を行う。
キャッシュメモリ36は、本発明の実施例における無線LANシステムのアクセスポイント3の特有な機能構成要素であって、認証サーバ1が記憶している各クライアント2(#1〜#n)のうち、自装置にアクセスする可能性のあるクライアント2についての認証情報を一時的に記憶する。その記憶データは、例えば、ネットワーク4にアクセス権限があるクライアント2の識別子、ユーザ情報(ユーザIDパスワード等)、認証に用いる暗号情報、認証手順に係わるプログラム等である。
図5は、本発明の実施例に係わる無線LANシステムにおける認証手順を説明するフローチャートである。
図5において、左側のフローは、アクセスポイント3の動作手順を示し、右側のフローは、認証サーバ1の動作手順を示す。
認証サーバ1は、ネットワーク4にアクセス(接続)権のあるクライアント2の認証情報のデータがその内部メモリに初期設定されている。この初期設定は、例えば、認証サーバ1のキーボード(図示せず。)等の入力装置等により所定の設定情報を入力すればよい。または、別途準備された認証情報のデータを内部メモリにダウンロードすることによって行われてもよい(ステップs10−1)。
また、アクセスポイント3(ここでは、(#1)とする。)は、予め自装置への接続要求が想定されるクライアント2(#1〜#n)についての認証情報を初期設定によりキャッシュメモリ36に記憶する。この初期設定は、メモリライタによってデータを書き込まれたキャッシュ用のメモリデバイスをアクセスポイント3(#1)の回路に取り付けるか、また不正アクセスが無い環境の下で、アクセスポイント3(#1)がパーソナルコンピュータのキーボード等の入力装置等から所定の設定情報を入力してキャッシュメモリ36に書き込む等の方法によって行われる(ステップs10)。
アクセスポイント3のキャッシュメモリ36に設定される認証情報は、認証サーバ1の内部メモリが記憶している認証情報の一部であって、テーブル化されている。
図6は、キャッシュメモリ36に設定された認証情報のテーブルの1例である。
図6のテーブルにおいて認証情報は、各クライアント2(ここでは、(#1)とする。)の識別子として、MACアドレス(識別子は、当該クライアントを特定できる装置名称、装置番号等であるが以下の説明では、MACアドレスによって説明する。)、ESSID「qazwsx」、認証情報として、認証に使用される「ユーザIDパスワード」、「暗号方式」、「暗号鍵A」、「暗号鍵B」が設定され、このMACアドレスに対応した接続情報として「接続回数」、「接続時間」、「最終接続時刻」、「プライオリティ」「順位」が付属データとして記憶されている。
これらの付属データは、「接続情報」としてアクセスポイント3のCPU34が、認証サーバ1に代わって認証を行った各クライアント2毎に「接続回数」、「接続時間」、および「最終接続時間」データを取得し、そのデータをキャッシュメモリ36に記憶したものである。また、「接続情報」には、これらの取得したデータを基に複数のクライアント2について認証作業を行う優先度を持たせたり、キャッシュしたデータの記憶条件等を定めた「プライオリティ」、「順位」が初期設定されている。
さて、図5に戻り、アクセスポイント3(#1)は、クライアント2(#1)から接続要求の無線パケットを受信する。アクセスポイント3(#1)のCPU34はMAC処理部32を監視してMACヘッダmhにアクセスポイント3(#1)に接続して良いESSID(ここでは、「qazwsx」とする。)が設定されていることを確認するとフィルタ結果は良い(フィルタOK)と判断して(ステップs2がYes)、アクセスポイント3(#1)は、クライアント2(#1)との間で認証のための手続きを開始する。
このESSIDによる弁別手順はフィルタと呼ばれ、アクセスポイント3が通信相手以外のクライアント2からの接続要求が有った場合にアクセス処理を行わないで負荷を少なくするものであって、本来は認証を目的にしたものではないが認証の前処理として利用される。
(認証サーバでクライアントを認証する認証手順)
最初に本発明の実施例における認証手順の基本動作である認証サーバ1がクライアント2を認証する手順を説明する。
最初に本発明の実施例における認証手順の基本動作である認証サーバ1がクライアント2を認証する手順を説明する。
アクセスポイント3(#1)のCPU34は、認証サーバ1に代わって認証手続きを開始するか否かを判断するためにCPU34の負荷状態を自己モニタする。そして、所定の負荷率、例えば50%以上である場合には、認証を代行する余裕がCPU34に無いので代行モードでないと判断する(ステップs12がNo)。
そして、通常通り認証サーバ1で認証を実施するため、更にMAC処理部32がクライアント2(#1)からの無線パケットをLANパケットに変換し、ネットワーク4を介して認証サーバ1へ送信する制御を行う(ステップs12−1)。
認証サーバ1は、受信したLANパケットのデータフレームdfから接続要求をしてきたクライアントのMACアドレス「00:11:22:33:44:55」を判読する。そして、キャッシュメモリのテーブルと照合して「00:11:22:33:44:55」がテーブルに記載されている(ステップs13がYes)と、内部メモリの認証情報を参照して認証を行う手順を実施する。そして、認証するとアクセスポイント3(#1)にその認証通知を送信し(ステップs15)、それを受信したアクセスポイント3(#1)は、クライアント2(#1)にアクセス許可の通知を送信する(ステップs8―2)。
図7は、本発明の実施例に係わる無線LANシステムにおける認証手順を示すシーケンス図であって、図5におけるステップs11、s13の手順およびs15の内部手順に相当する。
図7において、クライアント2(#1)は、認証サーバ1との間で認証手続きを行いネットワーク4へのアクセス(接続)許可を取得するためにクライアント2(#1)は、接続要求の無線パケット、即ち、MACヘッダmhにMACアドレス「00:11:22:33:44:55」とESSID(例えば、「qazwsx」)を設定した無線パケットをアクセスポイント3(#1)に送信する(ステップs1)。
アクセスポイント3(#1)は、クライアント2(#1)から接続要求の無線パケットを受信すると、CPU34がMAC処理部32のパケットを監視しているのでクライアント2のMACアドレス「00:11:22:33:44:55」、およびESSID「qazwsx」をMACヘッダmhから判読する。そして、それがメモリ35に設定されているESSID「qazwsx」と照合して一致していると、MACアドレス「00:11:22:33:44:55」のクライアントは、アクセスポイント3(#1)にアクセスするグループに属したクライアント2であると判断する。
即ち、CPU34は、クライアント2(#1)をフィルタ結果が良い(フィルタOK)と判断するとクライアント2(#1)に対して更に認証手続きを行うための送信許可のコマンド「A」をデータフレームdfに設定した無線パケットを生成して返送する(ステップs2)。
なお、このフィルタ動作は、通常アクセスポイント3(#1)が実施するが、必要で有れば、更に認証情報としてアクセスポイント3(#1)は、そのデータを中継して認証サーバ1へその接続要求を送信(ステップs1−1)して、認証サーバ1が送信許可をアクセスポイント3(#1)を介してクライアント2(#1)に返信(ステップs2−1)しても良い。
この送信許可のコマンド「A」が設定された無線パケットを受信したクライアント2(#1)では、制御部25が送信許可のコマンド「A」を判読して認証サーバ1との間で認証手続きを行うため、認証に必要なユーザ情報(例えば、MACアドレスの「00:11:22:33:44:55」と認証要求コマンド「C」をMACヘッダmhに、およびユーザIDパスワード「P1」をデータフレームdfに設定する。)を設定した認証要求の無線パケットを生成しする。そしてその認証要求の無線パケットをアクセスポイント3(#1)を介して認証サーバ1に送信する(ステップs3)。
なお、クライアント2と認証サーバ1との間で行われる認証方法や手順はEAP−TLS(Extend Authentication Protocol Transport Layer Security)はじめ各種のものが提案され適用可能だが、ここでは理解を容易にするため、手順が簡単なクライアント2と認証サーバ1との間で秘密鍵を用いた認証手続きの例によって説明する。
アクセスポイント3(#1)は、この無線パケットを受信すると、CPU34が認証要求コマンド「C」、MACアドレス「00:11:22:33:44:55」、およびユーザIDパスワード「P1」をデータフレームdfに設定したLANパケットに変換設定する制御をMAC処理部32に行い、そのLANパケットをネットワーク4を介して認証サーバ1に送信する(ステップs4)。
認証サーバ1は、受信したLANパケットのMACヘッダmhとデータフレームdfの内容を読み出す。そして、予め内部メモリに記憶しているMACアドレス「00:11:22:33:44:55」、およびユーザIDパスワード「P1」と受信したMACアドレス「#1」、およびユーザパスワード「P1」とが一致すると、アクセスポイント3(#1)を介してクライアント2(#1)へ送信継続コマンド「CQ」を送信し(ステップs5)する。
認証サーバ1は、引き続いてユーザIDパスワード「P1」と対応した認証のための暗号鍵「AK1」で、例えば「DES」(Data Encryption Standard)の暗号化方法により暗号化(スクランブル)した試験パタンデータをデータフレームdfに設定した認証試験用のLANパケットをアクセスポイント3(#1)を介してクライアント2(#1)へ送信する(ステップs6)。なお、ステップ5とステップ6は1つに纏められたパケット送信手順であっても良い。
アクセスポイント3(#1)は、この2つのLANパケットを受信すると、それらを無線パケットに変換してクライアント2(#1)へ送信する。
クライアント2(#1)では、制御部25が送信継続コマンド「CQ」を受信すると(ステップs5−2)、認証試験の準備のために暗号鍵「AK1」をメモリ26から読み出して待機する。そして、認証試験用のパケットを受信する(ステップs6−2)と制御部25は、スクランブルされた試験パタンデータを「AK1」で平文に一度復元する。
更に制御部25は、この平文の試験パタンデータをメモリ26から読み出したユーザIDパスワード「P1」に対応する暗号化鍵「AK2」で暗号化(スクランブル)し、そのスクランブルされた試験パタンデータをデータフレームdfに設定した認証応答用の無線パケットを生成する。そして、そのパケットをアクセスポイント3(#1)を介して認証サーバ1へ送信する(ステップs7−2)。
アクセスポイント3(#1)では、認証応答用の無線パケットをLANパケットに変換し、その認証応答用のLANパケットを認証サーバ1に送信する。認証サーバ1は、この認証応答用のLANパケットを受信する(ステップs7)と、MACアドレス「00:11:22:33:44:55」を判読して、そのユーザIDパスワード「P1」に対応した暗号鍵「AK2」を内部メモリから読み出す。そして暗号鍵「AK2」によってスクランブルされた試験パタンデータを平文に復元し、送信したパタンデータと比較し両者が一致すると、認証関係があるものでなければ暗号通信はできないので、クライアント2(#1)にアクセス権が有ると判断して認証する。そして認証サーバ1は、アクセス許可の応答「AR」をアクセスポイント3(#1)を介してクライアント2(#1)に送信する(ステップs8)。
クライアント2(#1)は、このアクセス許可の応答「AR」を受信する(ステップs8−2)と、それ以降はアクセスポイント3(#1)を介してネットワーク4に接続されている所望のホストコンピュータ等へログオンして通信を行うことが可能になる(ステップs9)。
(アクセスポイントが認証サーバを代行して認証を行う場合の動作手順)
アクセスポイント3が、認証サーバ1に代わってクライアント2を認証する動作手順を以下に説明する。
アクセスポイント3が、認証サーバ1に代わってクライアント2を認証する動作手順を以下に説明する。
図7におけるステップs4からs8の手順は、認証手続きのサブルーチンsrであってアクセスポイント3が認証サーバ1の代行をして認証手続きを行う場合、アクセスポイント3のCPU34は、認証サーバ1のミラーとしてこのサブルーチンsrの認証手順を実行する。この時、CPU34は、MAC処理部32でクライアント2との間で認証情報を送受信する通信を折り返し、CPU34が認証手続きを行う。そして、キャッシュメモリ36、またはメモリ35にはCPU34が認証サーバ1のミラーとして機能して認証サブルーチンsrを実行するための認証用の暗号化のアルゴリズム、および「AK1」、「AK2」等の暗号鍵情報や、ユーザID、パスワードの情報等が設定されている。
さて、図5において、アクセスポイント3(#1)は、クライアント2(#1)から送信要求を受信したときにCPU34の負荷率が50%以下である(ステップs12がYes)と、アクセスポイント3(#1)が認証サーバ1の代理になって認証手順を実行できると判断する。
図8は、アクセスポイントが認証サブルーチンsrを実行してクライアントを認証している場合の無線LANシステムの認証シーケンスを示す図である。
図8において、アクセスポイント3(#1)のCPU34は、クライアント2(#1)との間のESSIDによるフィルタ結果が良ければ送信許可をする(ステップs2)。
引き続き、CPU34は、クライアント2(#1)から受信した無線パケットのMACアドレス「00:11:22:33:44:55」を判読してキャッシュメモリ36のテーブルと照合し、そのMACアドレスがテーブルに記載されていると続けてクライアント2(#1)についての認証サブルーチンsrを開始する。
アクセスポイント3(#1)のCPU34がクライアント2(#1)を認証した場合、アクセスポイント3は、クライアント2(#1)にアクセス許可を通知すると共に、認証サーバ1にクライアント2(#1)にアクセス許可を行った通知する(ステップs8−3)。
もし、認証サーバ1がこの通知を必要としなければこのアクセス許可通知を行う手順は省略されても良い。
ここで再び図5に戻り、アクセスポイント3(#1)が受信した無線パケットがクライアント2(#2)からの接続要求であって、フィルタ結果が良い(フィルタOK)にも拘わらず、そこに設定されたMACアドレス「00:00:11:22:33:44」がキャッシュメモリ36に記載されていなかったとする(ステップs12−2がNo)。
するとCPU34は、更に認証サーバ1による認証が必要と判断して通常の認証手続きを行うために、受信した無線パケットをLANパケットに変換して認証サーバ1に送信する(ステップs12−1)。また、アクセスポイント3(#1)は、クライアント2(#2)のMACアドレス「00:00:11:22:33:44」をキャッシュメモリ36にキャッシュ(一時記憶)する(ステップs19)。
認証サーバ1は、このパケットを受信すると図5のステップs13以降の手順を実行する。そして、認証する(ステップs13がYes、ステップs15)と、認証通知と内部メモリに記憶していたクライアント2(#2)を認証するために必要な認証情報をアクセスポイント3(#1)に送信する(ステップs15)。
そしてアクセスポイント3(#1)のCPU34は、このクライアント2(#2)のMACアドレス「00:00:11:22:33:44」に対応する認証情報をキャッシュメモリ36にコピー(記憶)(ステップs21)し、再びクライアント2(#2)から接続要求を受信すると、このキャッシュされた認証情報を利用して認証手順を実行する。コピーされる認証情報は、図6に示されるユーザパスワード、認証鍵情報等である。
また、アクセスポイント3(#1)は、認証通知を受信するとクライアント2(#1)にアクセス許可の通知を送信する(ステップs8―2)。
一方、認証サーバ1は、クライアント2(#2)のMACアドレス「00:00:11:22:33:44」のMACアドレスが内部メモリに設定されていないか(ステップs13がNo)、または、認証できないと判断した場合は、クライアント2(#2)の認証否定をアクセスポイント3(#1)に送信する(ステップs14)。
すると、アクセスポイント3(#1)は、キャッシュメモリ36からクライアント2(#2)のMACアドレス「00:00:11:22:33:44」、およびそれに対応してキャッシュしていたデータをクリヤ(消去)する(ステップs22)。
(アクセスポイントが代行認証を行う場合の応用例)
アクセスポイント3は、以上の様な認証手順により認証サーバ1に代わってクライアント2の代行認証を実行するので認証サーバ1やネットワーク4の負荷やトラフィックを軽減できる。また、認証情報がネットワーク4の上を流れることを減らすので、無線LANシステムのセキュリティ向上の効果がある。
アクセスポイント3は、以上の様な認証手順により認証サーバ1に代わってクライアント2の代行認証を実行するので認証サーバ1やネットワーク4の負荷やトラフィックを軽減できる。また、認証情報がネットワーク4の上を流れることを減らすので、無線LANシステムのセキュリティ向上の効果がある。
しかし、アクセスポイント3のキャッシュメモリ36には記憶容量に制限があるので、キャッシュメモリ36がキャッシュするクライアント2の数を制限をしたり、また所定の時間が経過した情報はクリヤした方がセキュリティ上好ましい。本発明の実施例においては、キャッシュメモリ36の利用形態を様々に変えた代行モードの応用動作が可能である。
図9は、アクセスポイント3が、クライアント2にプライオリティを設けて、プライオリティを満たしたクライアント2だけを代行認証する場合の動作手順を示すフローチャートである。
第1の応用例は、アクセスポイント3がネットワークへのアクセス度が高い、即ち、利用回数、もしくは、利用時間が長い順にクライアント2をプライオリティの高いクライアント2(ここでは、(#1)とする。)として設定し、代行認証を行う相手とし、プライオリティの低いクライアント2(ここでは、(#4)とする。)を通常通り認証サーバ1が認証を行う例である。このプライオリティの設定例は、図6(a)のテーブルで示されている。
図9において、アクセスポイント3(#1)がクライアント2(#1)から接続要求の無線パケットを受信し、MACアドレス「00:11:22:33:44:55」を判読しキャッシュメモリ36(図6(a)のテーブル)を参照して接続回数が、「1024」回であることを判読する。そして「プライオリティ」を参照すると「1」となっており、「順位」が「1」であることを判読する。するとアクセスポイント3(#1)は、クライアント2(#1)の認証手続きをサーバ1に代わって開始する(図9のステップs12−3がYes)。
一方アクセスポイント3(#1)がクライアント2(ここでは、(#4)とする。)から接続要求の無線パケットを受信し、MACアドレス「00:13:24:35:46:57」を判読すると図6(a)のキャッシュメモリ36のテーブルを参照して接続回数が、「621」回であることを判読する。そして「プライオリティ」を参照すると「2」となっており、「順位」が「4」であることを判読する。ここで、「プライオリティ」「2」は、優先度が低く設定され、所定のプライオリティに該当しないクライアントであると判断される(図9のステップs12−3がNo)。
また、アクセスポイント3は、クライアント2(#4)の認証を認証サーバ1に実行させるため、受信した無線パケットのフォーマットをLANパケットに変換して認証サーバ1に送信する(図9のステップs12−1)。
このプライオリティに対して認証を認証サーバ1で行うかアクセスポイント3で行うかの判断基準は、上記の様な基準でも良いが、更にCPU34の負荷率と連動するものであっても良い。例えば、プライオリティ「2」については、CPU34の負荷が40%以下の場合は認証サーバ1が認証を通常通り行うことがアクセスポイント3のメモリ35に記憶された認証手順のプログラムに設定され、プライオリティ「1」では、負荷率が60%以下の場合に認証をアクセスポイント3で行う様に設定されるものである。
また、上記説明ではプライオリティを接続回数によって設定しているが、接続回数の代わりに接続時間の長いものに高いプライオリティを設定しても良い。
また、第2の応用例として、図6(b)の様に、接続回数が多いクライアント2が逆にプライオリティが下がる例である。図6(b)では、プライオリティ「1」はクライアント2(#3)と(#4)で、プライオリティ「2」はクライアント2(#1)と(#2)である。この第2の応用例では、例えば、アクセスポイント3(#1)はクライアント2(#1)から接続要求の無線パケットを受信した場合、もしCPU34の負荷率が40%を超えていた(図9でステップs12−3がNo)場合、その無線パケットはLANパケットに変換されて(図9でステップs12−1)認証は、認証サーバ1が行う。
このプライオリティ設定は、接続回数が多いか、それとも一定の回数(例えば、900回以上)を超えると、なりすましを防ぐために一度キャッシュメモリ36が記憶する認証情報をクリヤして、改めて、認証サーバ1が当該クライアント2(ここでは、(#1)と(#2)とする。)を認証する方法としても良い。このクリヤは、所定の回数になると自動的に実行されるか、または、接続時間が予め定めた所定の時間を超過すると、CPU34がキャッシュメモリ36のリセット制御を行い、所定の回数または、時間を超えて接続しているクライアント2(#1)、(#2)のキャッシュ内容をクリヤ、又は書き換えを行う。
クリヤする場合は、該当するクライアントのMACアドレス、ESSIDを含めて記憶内容を全てクリヤ(消去)してもよい。書き換えの場合は、該当するクライアントのMACアドレス、ESSIDは保存され、認証情報と接続情報がクリヤ、又は、書き換えられる。
例えば、この書き換えを行う際には、認証サーバから、「暗号鍵A」、「暗号鍵B」の再設定を促す案内がクライアント2(#1)に通知され、クライアント2(#1)は、初期設定と同様にその暗号鍵等の再設定を行う様にする。このクリヤ、又は、書き換え処理によってそのアクセスポイント3に関するセキュリティが向上する。
また、上記説明ではプライオリティを接続回数によって設定しているが、接続回数の代わりに接続時間の短いものに高いプライオリティを設定しても良い。
第3の応用例として、図6(c)の様に、最終接続時刻からの経過時間か短い方のクライアント2がプライオリティを高くなる例である。図6(c)では、プライオリティ「1」が設定されているのはクライアント2(#3)と(#4)で、プライオリティ「2」が設定されているのはクライアント2(#1)と(#2)である。このプライオリティ設定は、最終接続時刻から所定の時間(ここでは、10時間以上とする。)が経過すると認証情報の陳腐化を防ぐために一度キャッシュメモリ36が記憶する認証情報をクリヤ、又は、書き換えをして、改めて、認証サーバ1が当該クライアント2(ここでは、(#1)、(#2)とする。)の認証を行う方法である。
このプライオリティに従ってクライアント2を選別して認証を行う手順、およびクリヤ、又は、書き換えの実施内容は、第2の応用例と同様である。
本発明のプライオリティの設定方法や基準については、以上の実施例、応用例に制限されることなく、プライオリティ設定に対応して、認証を実行する装置を設定したり、又キャッシュメモリ36の内容をクリヤしたり、又は書き換えるものであれば良い。
1 認証サーバ
2 クライアント
3 アクセスポイント
31ネットワークインタフェース
32 MAC処理部
33 RF部
34 CPU
35 メモリ
36 キャッシュメモリ
4 ネットワーク
5 無線LAN
sr 認証サブルーチン
2 クライアント
3 アクセスポイント
31ネットワークインタフェース
32 MAC処理部
33 RF部
34 CPU
35 メモリ
36 キャッシュメモリ
4 ネットワーク
5 無線LAN
sr 認証サブルーチン
Claims (19)
- ネットワークに接続される1つ、又は複数の無線LANのアクセスポイントと、
前記無線LANの前記アクセスポイントと通信する1つ、又は複数のクライアントと、
前記ネットワークに接続される認証サーバと、
からなる無線LANシステムであって、
前記クライアントは、
固有の識別子が割り当てられ、
前記認証サーバは、
前記クライアントの前記識別子と認証情報とを記憶し、前記アクセスポイントを介して前記クライアントとの間で前記認証情報を送受信して前記クライアントに前記ネットワークへのアクセス権が有るか否かを認証し、
前記無線LANのアクセスポイントは、
前記認証情報を一時記憶するキャッシュメモリと、
前記無線LANを介して前記ネットワークとの間で行う前記クライアントの通信を制御する制御手段とを備え、
前記制御手段は、前記クライアントから前記ネットワークへの接続要求を受信すると、前記クライアントの識別子を判読すると共に前記認証情報を前記キャッシュメモリから読み出し、前記認証サーバに代わり、前記接続要求をしたクライアントとの間で前記認証情報を送受信して前記クライアントに前記ネットワークへのアクセス権が有るか否かの認証をすることを特徴とする無線LANシステム。 - ネットワークに接続されるサーバが、前記ネットワークに接続された無線LANのアクセスポイントを介して、前記アクセスポイントにアクセスする固有の識別子を割り当てられたクライアントを認証する無線LANシステムの通信制御方法であって、
前記認証サーバは、
前記各クライアントの前記識別子と認証情報を記憶し、
前記アクセスポイントを介して前記クライアントから接続要求を受信すると、前記識別子と前記記憶した認証情報を照合して前記接続要求をしたクライアントとの間で前記認証情報を送受信することにより前記クライアントが前記ネットワークへのアクセス権が有るか否かの認証を行い、
前記無線LANのアクセスポイントは、
前記認証サーバが記憶する前記認証情報のうち、自装置に接続要求を行う前記クライアントの前記認証情報を一時記憶するキャッシュメモリと、
前記無線LANを介して前記ネットワークとの間で行う前記クライアントの通信を制御する制御手段とを具備し、
前記制御手段は、前記クライアントから前記ネットワークへの接続要求を受信すると、前記クライアントの識別子を判読し、その判読した識別子に対応した前記クライアントの前記認証情報が前記キャッシュメモリに記憶されている場合は、前記認証サーバに代わり、前記接続要求をしたクライアントとの間で前記認証情報を送受信して前記クライアントに前記ネットワークへのアクセス権が有るか否かの認証を行うことを特徴とする無線LANシステムの通信制御方法。 - 前記制御手段は、
前記判読した識別子に対応した前記クライアントの前記認証情報が前記キャッシュメモリに記憶されていない場合は、前記接続要求を前記認証サーバに送信し、
前記認証サーバは、
前記接続要求をしたクライアントとの間で前記アクセスポイントを介して前記認証情報を送受信して前記クライアントに前記ネットワークまたは、および前記無線LANへのアクセス権が有るか否かの認証を行い、
前記クライアントにアクセス権が有ることを認証した場合、前記クライアントの前記認証情報を前記アクセスポイントに送信し、
前記アクセスポイントは前記送信された認証情報を受信してその認証情報を前記認証されたクライアントの認証情報として前記キャッシュメモリに記憶する
ことを特徴とする請求項2に記載の無線LANシステムの通信制御方法。 - 前記アクセスポイントは、
前記制御手段であるCPUの動作の負荷率が予め定められた負荷率より低い場合に、前記認証サーバに代わり、前記クライアントが前記ネットワークまたは、および前記無線LANへのアクセス権が有るか否かの認証を行うことを特徴とする請求項2に記載の無線LANシステムの通信制御方法。 - 前記キャッシュメモリは、
前記認証情報に含まれる前記複数のクライアントの各識別子を記憶するとともに、
各識別子に対応した前記クライアントを認証してアクセスを許可した接続回数、通信の接続時間、最終接続時刻を記憶し、
前記制御手段は、
前記記憶された前記接続回数、前記通信の接続時間、前記最終接続時刻の少なくとも1つをパラメータにして前記クライアントを認証する優先度を設定し、
前記クライアントから接続要求があった場合、前記設定された優先度を満たす前記クライアントのみ、前記アクセスポイントが前記接続要求を行う前記クライアントの認証を行い、
それ以外の場合は、前記認証サーバが前記接続要求を行う前記クライアントの認証を行うよう制御することを特徴とする請求項2に記載の無線LANシステムの通信制御方法。 - 前記優先度は、
前記制御手段であるCPUの動作の予め定めた負荷率に対応して前記アクセスポイントが前記接続要求を行う前記クライアントの認証を行う様に設定されていることを特徴とする請求項5に記載の無線LANシステムの通信制御方法。 - 前記優先度は、
前記接続回数が多いかまたは、前記通信の接続時間が長いほど高く設定されていることを特徴とする請求項5に記載の無線LANシステムの通信制御方法。 - 前記優先度は、
前記接続回数が少ないか、または、前記通信の接続時間が短いほど高く設定されていることを特徴とする請求項5に記載の無線LANシステムの通信制御方法。 - 前記優先度は、
前記最終接続時刻からの経過時間が短いほど高く設定されていることを特徴とする請求項5に記載の無線LANシステムの通信制御方法。 - 前記キャッシュメモリは、
前記認証情報に含まれる前記複数のクライアントの各識別子を記憶するとともに、
各識別子に対応した前記クライアントを認証してアクセスを許可した接続回数、通信の接続時間、最終接続時刻を記憶し、
予め前記キャッシュメモリに設定された前記接続回数、前記接続時間から超過するか、又は最終の前記接続時刻から所定の時間を経過したクライアントに対応して記憶された内容がクリヤされるか、又は書き換えられることを特徴とする請求項2記載の無線LANシステムの通信制御方法。 - ネットワークに接続されたサーバが、前記ネットワークに接続された無線LANのアクセスポイントを介して、前記アクセスポイントにアクセスする固有の識別子を割り当てられたクライアントを認証する無線LANシステムのアクセスポイントであって、
前記無線LANの各アクセスポイントは、
自装置を介して接続要求を行う前記クライアントの前記認証情報を一時記憶するキャッシュメモリと、
前記無線LANを介して前記ネットワークとの間で行う前記クライアントの通信を制御する制御手段とを備え、
前記制御手段は、前記クライアントから前記無線ネットワークへの接続要求を受信すると、前記クライアントの識別子を判読し、
前記判読した識別子に対応した前記クライアントの前記認証情報が前記キャッシュメモリに記憶されている場合は、前記認証サーバに代わり、前記接続要求をしたクライアントとの間で前記認証情報を送受信して前記クライアントに前記ネットワークへのアクセス権が有るか否かの認証をすることを特徴とする無線LANシステムのアクセスポイント。 - 前記制御手段は、
前記クライアントから前記無線LANへの接続要求を受信すると、前記クライアントの識別子を判読し、
前記判読した識別子に対応した前記クライアントの前記認証情報が前記キャッシュメモリに記憶されていない場合は、前記接続要求を前記認証サーバに送信し、
前記認証サーバが、前記接続要求のあった前記クライアントにアクセス権があると認証した場合に、前記認証サーバから自アクセスポイントに送信された前記クライアントの前記認証情報を受信し、
前記受信した認証情報を前記認証されたクライアントの認証情報として前記キャッシュメモリに記憶することを特徴とする請求項11に記載の無線LANシステムのアクセスポイント。 - 前記アクセスポイントは、
前記制御手段であるCPUの動作の負荷率が予め定めた負荷率より低い場合に前記認証サーバに代わり、前記クライアントが前記ネットワーク、又は、および前記無線LANへのアクセス権が有るか否かの認証を行うことを特徴とする請求項11に記載の無線LANシステムのアクセスポイント。 - 前記キャッシュメモリは、
前記認証情報に含まれる前記複数のクライアントの各識別子を記憶するとともに、
各識別子に対応したクライアントを認証してアクセスを許可した接続回数、通信の接続時間、最終接続時刻を記憶し、
前記制御手段は、
前記記憶された前記接続回数、前記通信の接続時間、前記最終接続時刻の少なくとも1つをパラメータにしてクライアントを認証する優先度を設定し、
前記クライアントから接続要求があった場合、前記設定された優先度を満たす前記クライアントのみ、前記アクセスポイントが前記接続要求を行う前記クライアントの認証を行い、
それ以外の場合は、前記認証サーバが前記接続要求を行う前記クライアントの認証を行うよう制御することを特徴とする請求項11に記載の無線LANシステムのアクセスポイント。 - 前記優先度は、
前記制御手段であるCPUの動作に予め定められた負荷率に対応して前記アクセスポイントが前記接続要求を行う前記クライアントの認証を行う様に設定されていることを特徴とする請求項14に記載の無線LANシステムのアクセスポイント。 - 前記優先度は、
前記接続回数が多いか、又は、前記通信の接続時間が長いほど高く設定されていることを特徴とする請求項14に記載の無線LANシステムのアクセスポイント。 - 前記優先度は、
前記接続回数が少ないか、又は、前記通信の接続時間が短いほど高く設定されていることを特徴とする請求項14に記載の無線LANシステムのアクセスポイント。 - 前記優先度は、
前記最終接続時刻からの経過時間が短いほど高く設定されていることを特徴とする請求項5に記載の無線LANシステムのアクセスポイント。 - 前記キャッシュメモリは、
前記認証情報に含まれる前記複数のクライアントの各識別子を記憶するとともに、
各識別子に対応したクライアントを認証してアクセスを許可した接続回数、通信の接続時間、最終接続時刻を記憶し、
予め前記キャッシュメモリに設定された前記接続回数、前記接続時間から超過するか、又は最終の前記接続時刻から所定の時間を経過したクライアントに対応して記憶された内容がクリヤされるか、又は書き換えられることを特徴とする請求項11記載の無線LANシステムのアクセスポイント。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003377284A JP2005142848A (ja) | 2003-11-06 | 2003-11-06 | 無線lanシステム、およびその通信制御方法、ならびにアクセスポイント |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003377284A JP2005142848A (ja) | 2003-11-06 | 2003-11-06 | 無線lanシステム、およびその通信制御方法、ならびにアクセスポイント |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005142848A true JP2005142848A (ja) | 2005-06-02 |
Family
ID=34688060
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003377284A Pending JP2005142848A (ja) | 2003-11-06 | 2003-11-06 | 無線lanシステム、およびその通信制御方法、ならびにアクセスポイント |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005142848A (ja) |
Cited By (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007053674A (ja) * | 2005-08-19 | 2007-03-01 | Nec Corp | 通信システム、ノード、認証サーバ、通信方法及びそのプログラム |
JP2007088728A (ja) * | 2005-09-21 | 2007-04-05 | Freescale Semiconductor Inc | 接続管理システム、接続管理プログラム及び接続管理方法 |
JP2008026932A (ja) * | 2006-07-18 | 2008-02-07 | Murata Mach Ltd | デジタル複合機 |
WO2008050765A1 (fr) * | 2006-10-24 | 2008-05-02 | Ihc Corp. | Système d'authentification individuelle |
JP2008129956A (ja) * | 2006-11-22 | 2008-06-05 | Konica Minolta Business Technologies Inc | 画像形成装置における認証システム及び認証方法 |
JP2008136170A (ja) * | 2006-10-30 | 2008-06-12 | Fujitsu Ltd | 通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラム |
JP2009515444A (ja) * | 2005-11-10 | 2009-04-09 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 移動体通信ネットワークにおける配置 |
EP2071883A2 (en) | 2007-12-14 | 2009-06-17 | Funai Electric Co., Ltd. | Apparatus, method, program and recording medium for protecting data in a wireless communication terminal |
JP2010033325A (ja) * | 2008-07-29 | 2010-02-12 | Konica Minolta Business Technologies Inc | 認証装置、認証システム、認証方法、認証プログラムおよび記録媒体 |
WO2010046985A1 (ja) * | 2008-10-23 | 2010-04-29 | 富士通株式会社 | 認証システム、認証プログラム、認証サーバおよび副認証サーバ |
JP2010160553A (ja) * | 2009-01-06 | 2010-07-22 | Fuji Xerox Co Ltd | 認証装置、認証システム及びプログラム |
JP2010245839A (ja) * | 2009-04-06 | 2010-10-28 | Olympus Corp | 情報通信端末 |
JP2011055319A (ja) * | 2009-09-03 | 2011-03-17 | Nec Corp | 移動通信システム、移動管理装置および移動管理制御方法 |
JP2012014278A (ja) * | 2010-06-29 | 2012-01-19 | Lenovo Singapore Pte Ltd | コンピュータへのアクセス方法およびコンピュータ |
JP2012043076A (ja) * | 2010-08-17 | 2012-03-01 | Nec Corp | 認証システム、認証方法 |
EP2434423A1 (en) | 2010-09-27 | 2012-03-28 | Fujitsu Limited | Biometric authentication system, biometric authentication server, method and program thereof |
JP2013122555A (ja) * | 2011-12-12 | 2013-06-20 | Furuno Electric Co Ltd | 無線中継装置及び接続情報表示方法 |
JP2014007634A (ja) * | 2012-06-26 | 2014-01-16 | Kddi Corp | ユーザ所有のアクセスポイントに第三者の無線端末を接続させる認証方法、アクセスポイント及びプログラム |
JP2014048950A (ja) * | 2012-08-31 | 2014-03-17 | Kddi Corp | 認証方法並びにサーバ及び認証システム |
JP2014127098A (ja) * | 2012-12-27 | 2014-07-07 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ配信システム、及びコンテンツ配信方法 |
JP2014140101A (ja) * | 2013-01-21 | 2014-07-31 | Nec Access Technica Ltd | 無線lan接続システム、無線lan接続方法および無線lan接続プログラム |
JP2014171090A (ja) * | 2013-03-04 | 2014-09-18 | Buffalo Inc | 無線中継装置、無線中継方法、および、クライアント装置 |
JP2014215802A (ja) * | 2013-04-25 | 2014-11-17 | ビッグローブ株式会社 | モバイルネットワーク接続システム、及びモバイルネットワーク接続方法 |
EP3048830A1 (en) * | 2015-01-23 | 2016-07-27 | Alcatel Lucent | Method, system and computer program product of wireless user device authentication in a wireless network |
US9503971B2 (en) | 2012-06-13 | 2016-11-22 | Kyocera Corporation | Client terminal device, access-point selection method, and wireless LAN system |
JP2017034689A (ja) * | 2016-09-14 | 2017-02-09 | Kddi株式会社 | ユーザ所有のアクセスポイントに第三者の無線端末を接続させる認証方法、アクセスポイント及びプログラム |
JP2017034690A (ja) * | 2016-09-14 | 2017-02-09 | Kddi株式会社 | ユーザ所有のアクセスポイントに第三者の無線端末を接続させる認証方法、アクセスポイント及びプログラム |
JP2017041889A (ja) * | 2016-09-14 | 2017-02-23 | Kddi株式会社 | ユーザ所有のアクセスポイントに第三者の無線端末を接続させる認証方法、アクセスポイント及びプログラム |
JP2017046238A (ja) * | 2015-08-27 | 2017-03-02 | 横河電機株式会社 | 無線中継機器、制御装置、無線通信システム、及び参入方法 |
JP2017518701A (ja) * | 2014-06-03 | 2017-07-06 | クアルコム,インコーポレイテッド | 高速初期リンクセットアップ中の認証のためのシステム、方法、および装置 |
JP2018530038A (ja) * | 2015-08-05 | 2018-10-11 | フェイスブック,インク. | デバイス・クラウドの管理 |
JP2021108460A (ja) * | 2015-12-14 | 2021-07-29 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ装置、ネットワークシステム及び攻撃検知方法 |
JP7452366B2 (ja) | 2020-10-06 | 2024-03-19 | 富士通株式会社 | アクセス制御装置、アクセス制御方法及びアクセス制御プログラム |
-
2003
- 2003-11-06 JP JP2003377284A patent/JP2005142848A/ja active Pending
Cited By (45)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007053674A (ja) * | 2005-08-19 | 2007-03-01 | Nec Corp | 通信システム、ノード、認証サーバ、通信方法及びそのプログラム |
JP4722641B2 (ja) * | 2005-09-21 | 2011-07-13 | フリースケール セミコンダクター インコーポレイテッド | 接続管理システム、接続管理プログラム及び接続管理方法 |
JP2007088728A (ja) * | 2005-09-21 | 2007-04-05 | Freescale Semiconductor Inc | 接続管理システム、接続管理プログラム及び接続管理方法 |
US8526960B2 (en) | 2005-11-10 | 2013-09-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Node B-control-proxy |
JP2009515444A (ja) * | 2005-11-10 | 2009-04-09 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 移動体通信ネットワークにおける配置 |
JP2008026932A (ja) * | 2006-07-18 | 2008-02-07 | Murata Mach Ltd | デジタル複合機 |
JP4618205B2 (ja) * | 2006-07-18 | 2011-01-26 | 村田機械株式会社 | デジタル複合機 |
WO2008050765A1 (fr) * | 2006-10-24 | 2008-05-02 | Ihc Corp. | Système d'authentification individuelle |
JP2008269556A (ja) * | 2006-10-24 | 2008-11-06 | Ihc:Kk | 個人認証システム |
JP2008136170A (ja) * | 2006-10-30 | 2008-06-12 | Fujitsu Ltd | 通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラム |
JP2008129956A (ja) * | 2006-11-22 | 2008-06-05 | Konica Minolta Business Technologies Inc | 画像形成装置における認証システム及び認証方法 |
EP2071883A2 (en) | 2007-12-14 | 2009-06-17 | Funai Electric Co., Ltd. | Apparatus, method, program and recording medium for protecting data in a wireless communication terminal |
US8832796B2 (en) | 2007-12-14 | 2014-09-09 | Funai Electric Co., Ltd. | Wireless communication terminal, method for protecting data in wireless communication terminal, program for having wireless communication terminal protect data, and recording medium storing the program |
JP2010033325A (ja) * | 2008-07-29 | 2010-02-12 | Konica Minolta Business Technologies Inc | 認証装置、認証システム、認証方法、認証プログラムおよび記録媒体 |
US9246911B2 (en) | 2008-07-29 | 2016-01-26 | Konica Minolta Business Technologies, Inc. | Authentication apparatus, authentication system, authentication method, and recording medium having authentication program recorded thereon |
JP4618344B2 (ja) * | 2008-07-29 | 2011-01-26 | コニカミノルタビジネステクノロジーズ株式会社 | 認証装置、認証システム、認証方法、認証プログラムおよび記録媒体 |
JP5408140B2 (ja) * | 2008-10-23 | 2014-02-05 | 富士通株式会社 | 認証システム、認証サーバおよび認証方法 |
WO2010046985A1 (ja) * | 2008-10-23 | 2010-04-29 | 富士通株式会社 | 認証システム、認証プログラム、認証サーバおよび副認証サーバ |
US8782760B2 (en) | 2008-10-23 | 2014-07-15 | Fujitsu Limited | Authentication system, authentication server, and sub-authentication server |
JP2010160553A (ja) * | 2009-01-06 | 2010-07-22 | Fuji Xerox Co Ltd | 認証装置、認証システム及びプログラム |
JP2010245839A (ja) * | 2009-04-06 | 2010-10-28 | Olympus Corp | 情報通信端末 |
JP2011055319A (ja) * | 2009-09-03 | 2011-03-17 | Nec Corp | 移動通信システム、移動管理装置および移動管理制御方法 |
JP2012014278A (ja) * | 2010-06-29 | 2012-01-19 | Lenovo Singapore Pte Ltd | コンピュータへのアクセス方法およびコンピュータ |
JP2012043076A (ja) * | 2010-08-17 | 2012-03-01 | Nec Corp | 認証システム、認証方法 |
EP2434423A1 (en) | 2010-09-27 | 2012-03-28 | Fujitsu Limited | Biometric authentication system, biometric authentication server, method and program thereof |
US8782758B2 (en) | 2010-09-27 | 2014-07-15 | Fujitsu Limited | Biometric authentication system, biometric authentication server, method and program thereof |
JP2013122555A (ja) * | 2011-12-12 | 2013-06-20 | Furuno Electric Co Ltd | 無線中継装置及び接続情報表示方法 |
US9503971B2 (en) | 2012-06-13 | 2016-11-22 | Kyocera Corporation | Client terminal device, access-point selection method, and wireless LAN system |
JP2014007634A (ja) * | 2012-06-26 | 2014-01-16 | Kddi Corp | ユーザ所有のアクセスポイントに第三者の無線端末を接続させる認証方法、アクセスポイント及びプログラム |
JP2014048950A (ja) * | 2012-08-31 | 2014-03-17 | Kddi Corp | 認証方法並びにサーバ及び認証システム |
JP2014127098A (ja) * | 2012-12-27 | 2014-07-07 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ配信システム、及びコンテンツ配信方法 |
JP2014140101A (ja) * | 2013-01-21 | 2014-07-31 | Nec Access Technica Ltd | 無線lan接続システム、無線lan接続方法および無線lan接続プログラム |
JP2014171090A (ja) * | 2013-03-04 | 2014-09-18 | Buffalo Inc | 無線中継装置、無線中継方法、および、クライアント装置 |
JP2014215802A (ja) * | 2013-04-25 | 2014-11-17 | ビッグローブ株式会社 | モバイルネットワーク接続システム、及びモバイルネットワーク接続方法 |
JP2017518701A (ja) * | 2014-06-03 | 2017-07-06 | クアルコム,インコーポレイテッド | 高速初期リンクセットアップ中の認証のためのシステム、方法、および装置 |
EP3048830A1 (en) * | 2015-01-23 | 2016-07-27 | Alcatel Lucent | Method, system and computer program product of wireless user device authentication in a wireless network |
JP2018530038A (ja) * | 2015-08-05 | 2018-10-11 | フェイスブック,インク. | デバイス・クラウドの管理 |
US10264617B2 (en) | 2015-08-27 | 2019-04-16 | Yokogawa Electric Corporation | Wireless relay device, control device, wireless communication system, and joining method |
JP2017046238A (ja) * | 2015-08-27 | 2017-03-02 | 横河電機株式会社 | 無線中継機器、制御装置、無線通信システム、及び参入方法 |
JP2021108460A (ja) * | 2015-12-14 | 2021-07-29 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ装置、ネットワークシステム及び攻撃検知方法 |
US11469921B2 (en) | 2015-12-14 | 2022-10-11 | Panasonic Intellectual Property Corporation Of America | Security device, network system, and fraud detection method |
JP2017041889A (ja) * | 2016-09-14 | 2017-02-23 | Kddi株式会社 | ユーザ所有のアクセスポイントに第三者の無線端末を接続させる認証方法、アクセスポイント及びプログラム |
JP2017034690A (ja) * | 2016-09-14 | 2017-02-09 | Kddi株式会社 | ユーザ所有のアクセスポイントに第三者の無線端末を接続させる認証方法、アクセスポイント及びプログラム |
JP2017034689A (ja) * | 2016-09-14 | 2017-02-09 | Kddi株式会社 | ユーザ所有のアクセスポイントに第三者の無線端末を接続させる認証方法、アクセスポイント及びプログラム |
JP7452366B2 (ja) | 2020-10-06 | 2024-03-19 | 富士通株式会社 | アクセス制御装置、アクセス制御方法及びアクセス制御プログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2005142848A (ja) | 無線lanシステム、およびその通信制御方法、ならびにアクセスポイント | |
JP5008395B2 (ja) | 異なるユーザ装置を収容可能なフレキシブルwlanアクセスポイントアーキテクチャ | |
JP4777729B2 (ja) | 設定情報配布装置、方法、プログラム及び媒体 | |
JP5199405B2 (ja) | 通信システムにおける認証 | |
US7042988B2 (en) | Method and system for managing data traffic in wireless networks | |
US7480933B2 (en) | Method and apparatus for ensuring address information of a wireless terminal device in communications network | |
US20090100262A1 (en) | Apparatus and method for detecting duplication of portable subscriber station in portable internet system | |
JP2009508403A (ja) | 準拠性に基づくダイナミックネットワーク接続 | |
US20090064291A1 (en) | System and method for relaying authentication at network attachment | |
JP2002314549A (ja) | ユーザ認証システム及びそれに用いるユーザ認証方法 | |
JP2005525740A (ja) | シームレスな公衆無線ローカル・エリア・ネットワーク・ユーザ認証 | |
US8069473B2 (en) | Method to grant access to a data communication network and related devices | |
WO2006024969A1 (en) | Wireless local area network authentication method | |
US7076653B1 (en) | System and method for supporting multiple encryption or authentication schemes over a connection on a network | |
JP3515551B2 (ja) | 無線データ通信の中継機能を有する電子機器 | |
US20040010713A1 (en) | EAP telecommunication protocol extension | |
US20150249639A1 (en) | Method and devices for registering a client to a server | |
JP4031489B2 (ja) | 通信端末および通信端末制御方法 | |
JPWO2007138663A1 (ja) | ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置 | |
CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
US8051464B2 (en) | Method for provisioning policy on user devices in wired and wireless networks | |
JP2005167580A (ja) | 無線lanシステムにおけるアクセス制御方法と装置 | |
JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
US8607058B2 (en) | Port access control in a shared link environment | |
CN114765805A (zh) | 一种通信方法、网络设备、基站及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20050415 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050606 |