JP2006115344A - 無線ネットワークシステム、無線端末収容装置及び通信装置 - Google Patents

無線ネットワークシステム、無線端末収容装置及び通信装置 Download PDF

Info

Publication number
JP2006115344A
JP2006115344A JP2004302103A JP2004302103A JP2006115344A JP 2006115344 A JP2006115344 A JP 2006115344A JP 2004302103 A JP2004302103 A JP 2004302103A JP 2004302103 A JP2004302103 A JP 2004302103A JP 2006115344 A JP2006115344 A JP 2006115344A
Authority
JP
Japan
Prior art keywords
authentication information
wireless terminal
authentication
terminal accommodating
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004302103A
Other languages
English (en)
Other versions
JP4689225B2 (ja
Inventor
Satoshi Iino
聡 飯野
Hiroshi Ishida
寛史 石田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2004302103A priority Critical patent/JP4689225B2/ja
Publication of JP2006115344A publication Critical patent/JP2006115344A/ja
Application granted granted Critical
Publication of JP4689225B2 publication Critical patent/JP4689225B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】 認証サーバの負荷の軽減と認証時間の短縮が図れ、かつ高い確率で新しいアクセスポイントから短時間内に暗号化通信が開始できるようにすること。
【解決手段】 無線端末101と認証サーバ104との間での認証要求701と認証応答702とを用いた最初の認証動作は、無線端末収容装置102a、通信装置103a、103cの転送路を経由して行われる。無線端末収容装置102aと通信装置103a、103cとの各認証情報テーブルには、端末毎の認証情報703、704、705がそれぞれ設定されている状態になる。これによって、無線端末101が無線端末収容装置102bの配下に移動した場合に、無線端末101に必要な認証情報は、認証サーバ104からではなく、通信装置103a、103c等から取得することができる。
【選択図】 図7

Description

本発明は、ネットワーク上に無線端末の認証を行う認証サーバが配置される無線ネットワークシステム、前記無線ネットワークシステムにおける通信ネットワークを構成する無線端末収容装置及び通信装置に関する。
ネットワーク上に無線端末の認証を行う認証サーバが配置される無線ネットワークシステムとしては、例えば、特許文献1に開示されたものが知られている。即ち、特許文献1では、ネットワーク上に認証サーバを有する無線LANシステムにおいて、クライアント端末が、最初にネットワークへの接続を行ったアクセスポイントとは異なるアクセスポイントの通信可能範囲に移動した場合に、移動先のアクセスポイントを介した通信が可能になるまでの時間を短縮したり、通信を可能にするための処理を削減したりすることを目的として、クライアント端末が第1のアクセスポイントを介してネットワークに接続することを既に許可された後、クライアント端末が第2のアクセスポイントの通信可能範囲に移動した場合には、クライアント端末は第2のアクセスポイントを介して所定の認証手続きを行うことなく、ネットワークに接続することが許可されるようにした通信システムが開示されている。
特開2003−188885号公報
上記の特許文献に記載の技術では、アクセスポイント間を移動する端末が、移動後のアクセスポイントを通して認証サーバにIDとパスワードとを送信するので、一つの認証サーバに対し多数のアクセスポイントがぶら下がっている無線ネットワークシステムでは、次のような問題がある。
即ち、一つの認証サーバに多数の認証要求が同時に上がってくる構成であるので、認証サーバの負荷が重くなるおそれがある。また、ネットワークのエッジ付近にあるアクセスポイントを通しての認証要求の場合には、伝送遅延が問題になる。したがって、新しいアクセスポイントで暗号通信を開始できるまでに時間が掛かることが予想される。
本発明は、かかる点に鑑みてなされたものであり、認証サーバの負荷の軽減と認証時間の短縮が図れ、かつ高い確率で新しいアクセスポイントから短時間内に暗号化通信が開始できる機構を備えた無線ネットワークシステム、無線端末収容装置及び通信装置を提供することを目的とする。
かかる課題を解決するために、本発明に係る無線ネットワークシステムは、無線端末のアクセスポイントである複数の無線端末収容装置と、前記複数の無線端末収容装置を束ねて通信ネットワークを構成する多数の通信装置と、前記通信ネットワーク上に配置され前記無線端末収容装置に接続して暗号化通信を企図する無線端末の認証を行う認証サーバとを具備する無線ネットワークシステムにおいて、前記認証サーバは、前記無線端末収容装置に最初に接続した無線端末についての認証に成功したとき認証成功通知を送信する手段を具備し、無線端末が最初に接続した前記無線端末収容装置及びこの無線端末収容装置に前記認証成功通知を中継転送する経路に存在する前記通信装置は、それぞれ、前記認証成功通知から前記無線端末が用いる認証情報を取り出して保存する手段を具備する構成を採る。
この構成によれば、無線端末が最初に認証サーバの認証を受けると、認証情報を通信ネットワーク内に保持することができる。
本発明に係る無線ネットワークシステムは、上記の発明において、前記無線端末から認証要求を受けた移動先の無線端末収容装置は、認証情報取得要求を作成して前記通信ネットワークに送信し、前記通信ネットワークから受信した認証情報取得応答から前記無線端末が用いる認証情報を取り出して保存するとともに、前記無線端末に認証応答を送信する手段を具備し、前記移動先の無線端末収容装置が前記通信ネットワークに送信した前記認証情報取得要求を前記認証サーバに向けて中継転送する経路に存在する前記通信装置のうち前記無線端末が用いる認証情報を保時する通信装置は、前記認証情報取得応答を作成して前記移動先の無線端末収容装置に向けて送信する手段を具備する構成を採る。
この構成によれば、移動してきた無線端末に必要な認証情報は、認証サーバからではなく、通信ネットワーク内から得ることができるので、認証サーバの処理負荷の軽減が図れる。また、アクセスポイントの位置による伝送遅延の問題も解消することができる。
本発明に係る無線ネットワークシステムは、上記の発明において、前記認証情報取得応答を作成して送信した通信装置は、認証情報削除要求を作成して前記無線端末が最初に接続した無線端末収容装置に向けて送信する手段を具備し、前記無線端末が最初に接続した無線端末収容装置は、前記認証情報削除要求を受信して保持している認証情報を削除するとともに、認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した通信装置に向けて送信する手段を具備する構成を採る。
この構成によれば、移動前の無線端末収容装置が保持していた古い認証情報は削除することができる。
本発明に係る無線ネットワークシステムは、上記の発明において、前記無線端末が最初に接続した無線端末収容装置が送信する認証情報削除応答を中継転送する経路に存在する通信装置のうち認証情報を保持する通信装置は、その保持する認証情報を削除する手段を具備する構成を採る。
この構成によれば、通信ネットワーク内に保持した古い認証情報は削除することができる。
本発明に係る無線ネットワークシステムは、上記の発明において、前記認証情報取得応答を作成して送信した通信装置は、認証情報削除要求を作成して前記無線端末が最初に接続した無線端末収容装置に向けて送信する手段を具備し、前記無線端末が最初に接続した無線端末収容装置は、前記認証情報削除要求を受信して認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した通信装置に向けて送信するとともに、保持している認証情報を一定時間経過後に削除する手段を具備する構成を採る。
この構成によれば、移動前の無線端末収容装置が保持していた古い認証情報は一定時間内保持した後に削除することができる。したがって、再度、アクセスするために戻ってきた場合に直ぐに認証情報が得られるようになる。
本発明に係る無線ネットワークシステムは、上記の発明において、前記無線端末が最初に接続した無線端末収容装置が送信する認証情報削除応答を、前記認証情報削除要求を作成して送信した通信装置まで中継転送する経路に存在する通信装置のうち認証情報を保持する通信装置は、その保持する認証情報を一定時間経過後に削除する手段を具備する構成を採る。
この構成によれば、通信ネットワーク内に保持した古い認証情報は一定時間内保持した後に削除することができる。
本発明に係る無線ネットワークシステムは、上記の発明において、前記無線端末が最初に接続した無線端末収容装置は、保持している認証情報を削除するまでの一定時間を前記無線端末のアクセス状態に応じて変更する手段を具備する構成を採る。
この構成によれば、移動前の無線端末収容装置では、保持している古い認証情報を削除するまでの一定時間をユーザのアクセス状態(アクセス量やアクセス時間など)に応じて適切に設定することができる。
本発明に係る無線ネットワークシステムは、上記の発明において、前記保持する認証情報を一定時間経過後に削除する通信装置は、その保持している認証情報を削除するまでの一定時間を前記無線端末のアクセス状態に応じて変更する手段を具備する構成を採る。
この構成によれば、通信ネットワークでは、保持している古い認証情報を削除するまでの一定時間をユーザのアクセス状態(アクセス量やアクセス時間など)に応じて適切に設定することができる。
本発明に係る無線ネットワークシステムは、上記の発明において、前記認証情報取得応答を作成して送信した通信装置は、認証情報削除要求を作成して前記無線端末が最初に接続した無線端末収容装置に向けて送信する手段を具備し、前記無線端末が最初に接続した無線端末収容装置は、前記認証情報削除要求を受信して認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した通信装置に向けて送信するとともに、保持している認証情報を一定時間経過後に削除する手段を具備し、前記無線端末が最初に接続した無線端末収容装置が送信する認証情報削除応答を中継転送する経路に存在する通信装置は、その保持する認証情報を一定時間経過後に削除する手段を具備する場合において、認証情報を削除する一定時間は、無線端末収容装置では短く、通信装置では網の階層位置が上位に行くほど長くなるように設定されているという構成を採る。
この構成によれば、古い認証情報を保持するメモリ量を無線端末収容装置と通信装置の特性に応じて適正化を図ることができる。
本発明に係る無線ネットワークシステムは、上記の発明において、無線端末収容装置では短く、通信装置では網の階層位置が上位に行くほど長くなるように設定されている認証情報を削除する前記一定時間を前記無線端末のアクセス状態に応じて変更する手段を具備する構成を採る。
この構成によれば、古い認証情報を保持するメモリ量を無線端末収容装置と通信装置の特性に応じて適正化を図ることができるとともに、ユーザのアクセス状態に適切の対応することができる。
本発明に係る無線端末収容装置は、無線端末を認証する認証サーバが存在する無線ネットワークシステムにおいて、前記無線端末が接続するアクセスポイントである無線端末収容装置は、無線端末の識別子と認証情報とを関連付けて記憶する認証情報テーブルと、最初に接続した無線端末に対する認証手続きが成功したとき前記認証情報テーブルにその無線端末の識別子と認証情報とを関連付けて保存する手段とを具備する構成を採る。
この構成によれば、最初にアクセスされる無線端末収容装置では、無線端末と認証サーバとの間で行われた最初の認証手続きで得られた認証情報を保持することができる。
本発明に係る無線端末収容装置は、上記の発明において、配下に移動してきた無線端末からの認証要求に基づき認証情報取得要求を作成して前記認証サーバに向けて送信し、網側の通信装置から受信した認証情報取得応答から前記無線端末が用いる認証情報を取り出して前記認証情報テーブルに保存する手段と、前記無線端末に認証応答を送信する手段とを具備する構成を採る。
この構成によれば、無線端末収容装置は、配下に移動してきた無線端末に対して必要な認証情報を短時間内に与えることができる。
本発明に係る無線端末収容装置は、上記の発明において、網側から認証情報削除要求を受信したとき、前記認証情報テーブルに保持している対応する認証情報を削除する手段と、認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した網側の通信装置に向けて送信する手段とを具備する構成を採る。
この構成によれば、アクセスしていた無線端末が居なくなった場合に、そのときに用いた認証情報を削除することができる。
本発明に係る無線端末収容装置は、上記の発明において、網側から認証情報削除要求を受信したとき、認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した網側の通信装置に向けて送信する手段と、前記認証情報テーブルに保持している対応する認証情報を一定時間経過後に削除する手段とを具備する構成を採る。
この構成によれば、アクセスしていた無線端末が居なくなった場合に、そのときに用いた認証情報を一定時間内保持することができる。
本発明に係る無線端末収容装置は、上記の発明において、無線端末のアクセス状態を計測する手段と、前記認証情報テーブルに保持している対応する認証情報を削除するまでの一定時間を前記計測した無線端末のアクセス状態に応じて変更する手段とを具備する構成を採る。
この構成によれば、無線端末収容装置では、ユーザのアクセス状態に応じて認証情報を削除するまでの一定時間を定めることができる。
本発明に係る無線端末収容装置は、上記の発明において、前記保持している認証情報を削除するまでの一定時間は、網側の通信装置での一定時間よりも短くなるように設定されているという構成を採る。
この構成によれば、無線端末収容装置に搭載するメモリ量を減らすことができる。
本発明に係る通信装置は、無線端末を認証する認証サーバが存在する無線ネットワークシステムにおいて、前記無線端末が接続するアクセスポイントである複数の無線端末収容装置を束ねて通信ネットワークを構成する多数の通信装置は、それぞれ、無線端末識別子と認証情報と無線端末収容装置側ポートと認証サーバ側ポートとを関連付けて記憶する認証情報テーブルと、最初に接続した無線端末に対する認証手続きが成功したとき前記認証情報テーブルにその無線端末識別子と認証情報と各ポートとを関連付けて保存する手段とを具備する構成を採る。
この構成によれば、無線端末が最初に認証サーバの認証を受けると、認証情報を通信ネットワーク内に保持することができる。
本発明に係る通信装置は、上記の発明において、無線端末収容装置側ポートから受信した認証情報取得要求に含まれる無線端末識別子と一致する無線端末識別子が前記認証情報テーブルに存在するときは当該無線端末識別子に対応する認証情報を含ませた認証情報取得応答を作成し無線端末収容装置側ポートから送信する手段と、前記受信した認証情報取得要求に含まれる無線端末識別子と一致する無線端末識別子が前記認証情報テーブルに存在しないときは当該無線端末識別子と受信したポートとを対応付けて前記認証情報テーブルに保存し、その受信した認証情報取得要求を対応する認証サーバ側ポートから送信する手段と、認証サーバ側ポートから認証情報取得応答を受信したときその認証情報取得応答から認証情報を取得して前記認証情報テーブルに保存し、受信した前記認証情報取得応答を対応する無線端末収容装置側ポートから送信する手段とを具備する構成を採る。
この構成によれば、無線端末が移動している状況下において、通信ネットワーク内の転送経路では、認証情報取得要求を網内に導く中継と、その中継過程で必要な認証情報を含む認証情報取得応答の作成と、その認証情報取得応答をアクセスポイントに導く中継と、その中継過程でその認証情報取得応答から認証情報を取得して保持することができる。
本発明に係る通信装置は、上記の発明において、前記認証情報取得応答を作成して送信した後に、無線端末が最初に接続して認証手続きを行った無線端末収容装置に対する認証情報削除要求を作成し対応する無線端末収容装置側ポートから送信する手段と、認証サーバ側ポートから認証情報削除要求を受信したとき、その受信した認証情報削除要求を対応する無線端末収容装置側ポートから送信する手段と、無線端末収容装置側ポートから認証情報削除応答を受信した場合に、前記認証情報削除要求を作成して送信していない場合は、前記認証情報テーブルから該当する認証情報を削除し、その受信した認証情報削除応答を対応する認証サーバ側ポートから送信する手段とを具備する構成を採る。
この構成によれば、無線端末が移動している状況下において、通信ネットワーク内の保持した古い認証情報は削除することができる。
本発明に係る通信装置は、上記の発明において、前記認証情報取得応答を作成して送信した後に、無線端末が最初に接続して認証手続きを行った無線端末収容装置に対する認証情報削除要求を作成し対応する無線端末収容装置側ポートから送信する手段と、認証サーバ側ポートから認証情報削除要求を受信したとき、その受信した認証情報削除要求を対応する無線端末収容装置側ポートから送信する手段と、無線端末収容装置側ポートから認証情報削除応答を受信した場合において前記認証情報削除要求を作成して送信していない場合は、その受信した認証情報削除応答を対応する認証サーバ側ポートから送信し、一定時間経過後に前記認証情報テーブルから該当する認証情報を削除する手段とを具備する構成を採る。
この構成によれば、通信ネットワーク内の保持した古い認証情報は一定時間内保持した後に削除することができる。
本発明に係る通信装置は、上記の発明において、無線端末のアクセス状態を計測する手段と、認証情報を削除するまでの前記一定時間を前記計測した無線端末のアクセス状態に応じて変更する手段とを具備する構成を採る。
この構成によれば、通信ネットワーク内の保持した古い認証情報を削除するまでの一定時間をユーザのアクセス状態に応じて適切に定めることができる。
本発明によれば、認証サーバの負荷の軽減と認証時間の短縮が図れる。また、高い確率で新しいアクセスポイントから短時間内に暗号化通信が開始できるようになる。
本発明の骨子は、無線端末が最初にアクセスポイントにアクセスするときに認証サーバとの間で行われる認証手続きで得られた認証情報を通信ネットワーク内に保持できるようにし、その後は、移動する無線端末に対する認証情報の付与は認証サーバを介さずにできるようにすることである。
そして、上記の構成を採る場合に、通信ネットワーク内に保持する古い認証情報は削除できるようにすること、削除する場合に一定時間は保持すること、一定時間の保持後に削除する場合に網の階層配置位置に応じて保持時間に長短の差異を持たせること、更に、ユーザのアクセス状態(アクセス量やアクセス時間など)を考慮して保持時間に長短の差異を持たせることである。
以下、本発明の実施の形態について図面を参照して詳細に説明する。
(実施の形態1)
図1は、本発明の実施の形態1に係る無線ネットワークシステムの構成を示すネットワーク図である。図1に示す無線ネットワークシステムは、当該システム内を移動する無線端末101のアクセスポイントである複数の無線端末収容装置102a、102b、102cと、複数の無線端末収容装置102a、102b、102cを束ねて通信ネットワークを構成する多数の通信装置103a、103b、103cと、その通信ネットワーク上に配置されアクセスポイントに接続した無線端末101の認証を行う認証サーバ104とを備えている。
図1に示す例では、無線端末収容装置102a、102bは通信装置103aに接続され、無線端末収容装置102cは通信装置103bに接続され、通信装置103a、103bは通信装置103cに接続され、この通信装置103cに認証サーバ104が接続されている。
図2は、図1に示す無線端末収容装置102a、102b、102cの構成例を示すブロック図である。各無線端末収容装置は、例えば図2に示すように、網側とパケットの送受信を行う網側送受信部201と、宅側(無線端末)とアンテナ部202を介してパケットの送受信を行う宅側送受信部203と、網側送受信部201と宅側送受信部203との間に在って網側送受信部201が網側から取り込んだパケットを暗号化して宅側送受信部203に転送し、宅側送受信部203が宅側(無線端末)から取り込んだパケットを復号化して網側送受信部201に転送する暗復号転送部204と、暗復号転送部204にて用いる暗復号用の認証情報を管理する認証情報テーブル205と、網側送受信部201が取り込んだ認証情報を認証情報テーブル205に書き込む取得処理と削除処理とを行う認証情報管理部206と、網側送受信部201が取り込んだ認証情報と認証情報テーブル205の登録内容とに基づき無線端末が最初にネットワークに接続するときの認証動作を処理する初期認証処理部207とを備えている。
図3は、無線端末収容装置102a、102b、102cが備える認証情報テーブル205の構成例を示す図である。認証情報テーブル205には、例えば図3に示すように、「端末識別子」と「認証情報」とが対応付けて登録されている。なお、認証情報は、無線端末101の認証及び通信の暗号化に必要な情報である。一般には、ユーザIDやパスワード、暗号鍵などを指す。
次に、図4は、図1に示す通信装置103a、103b、103cの構成例を示すブロック図である。各通信装置は、例えば図4に示すように、各方路においてパケットの送受信を行う複数の送受信部401−1〜401−nと、複数の送受信部401−1〜401−nからのパケットをまとめて上位(認証情報管理部404)に転送し、上位(認証情報管理部404)からのパケットを複数の送受信部401−1〜401−nの対応する送受信部に転送する転送部402と、端末毎の認証情報を格納する認証情報テーブル403と、転送部402と認証情報テーブル403との間に在って認証情報テーブル403への認証情報の追加と削除を行う認証情報管理部404とを備えている。
図5は、通信装置103a、103b、103cが備える認証情報テーブル403の構成例を示す図である。認証情報テーブル403には、例えば図5に示すように、「端末識別子」と、「認証情報」と、無線端末101がどちらのポートに存在するかを示す「配下ポート」と、認証サーバ方向のポートを示す「認証サーバへのポート」とが対応付けて登録されている。
次に、以上のように構成される無線ネットワークシステムにおいて実施される認証動作について説明する。ここでは、無線端末が、(A)最初に接続する場合に行う認証動作(図6、図7)と、(B)移動先での接続時に行う認証動作(図8〜図11)と、(C)移動する際に認証をやり直す場合の動作(図12、図13)と、(D)無線端末収容装置及び通信装置の認証情報管理部の動作(図14〜図16)とをそれぞれ説明する。
(A)最初に接続する場合に行う認証動作(図6、図7)。図6は、最初に接続する場合に行う認証動作を説明するシーケンス図である。図7は、最初に接続する場合に行う認証動作による無線端末収容装置及び通信装置の認証情報テーブルのエントリ状態を説明するネットワーク図である。ここで用いる認証情報は、暗号鍵である。
図6では、無線端末601と無線端末収容装置602と通信装置603、604と認証サーバ605とが示されている。図6において、無線端末601は接続しようとする無線端末収容装置602との間でオープン認証方式での認証手続きを行う(手順T601)。このとき、既存のWEP(Wired Equivalent Privacy)認証との互換性を採るため、アソシエーション(Association)処理も併せて行う。
次いで、無線端末601は、無線端末収容装置602及び通信装置603、604を介して通信ネットワーク上の認証サーバ605との間で、IEEE標準ドキュメント802.1xに依る認証手続きを行い、認証サーバ605が無線端末601に対して認証を行う(手順T602)。認証サーバ605は、認証を終了すると認証情報を作成する(手順T603)。また、無線端末601は、認証情報を作成して保持する(手順T604)。
認証サーバ605は、その作成した認証情報を含む認証成功通知を無線端末収容装置602に送信する(手順T605)。そのとき、転送路に存する通信装置604、603では、認証情報管理部404がその中継転送する認証成功通知を参照して「端末識別子」「認証情報(暗号鍵)」を認証情報テーブル403に格納し、またその認証成功通知の入力されたポートを「認証サーバへのポート」、出力されたポートを「配下ポート」として認証情報テーブル403に格納する(手順T606)。
無線端末収容装置602では、通信装置603を介して受信した認証成功通知を無線端末601に無線送信する(手順T607)と共に、認証情報管理部206がその認証成功通知を参照して「端末識別子」「認証情報(暗号鍵)」を認証情報テーブル205に格納する(手順T608)。これによって、無線端末601と無線端末収容装置602との間で、その認証情報を用いて暗号化通信の準備が行われ(手順T609)、終了すると暗号化通信が行われる(手順T610)。
このようにして最初の認証動作を行うことで、通信ネットワークでは、無線端末601と認証サーバ605との間での認証手続きを中継した無線端末収容装置602と通信装置603、604との各認証情報テーブルには、端末毎のエントリが設定されている状態になる。
図1に示したネットワークの例で言えば、図7に示すように、無線端末101と認証サーバ104との間での最初の認証動作では、無線端末101が送信する認証要求701が通信ネットワーク(無線端末収容装置102a、通信装置103a、103cの転送路)を経由して認証サーバ104に伝達され、認証結果である認証応答702が通信ネットワーク(無線端末収容装置102a、通信装置103a、103cの転送路)を経由して無線端末101に伝達される。無線端末収容装置102aと通信装置103a、103cでは認証応答702を中継する過程で、認証応答702から認証情報を取り込むことができる。したがって、無線端末収容装置102aと通信装置103a、103cとの各認証情報テーブルには、端末毎の認証情報(暗号鍵)703、704、705がそれぞれ設定されている状態になる。
(B)移動先での接続時に行う認証動作(図8〜図11)。図8は、移動先での接続時に行う認証動作を説明するシーケンス図である(認証情報を保持する通信装置が比較的近い所に存する場合)。図9は、図8に示す認証動作による無線端末収容装置及び通信装置の認証情報テーブルのエントリ状態を説明するネットワーク図である。図10は、移動先での接続時に行う認証動作を説明するシーケンス図である(認証情報を保持する通信装置が比較的遠い所に存する場合)。図11は、図10に示す認証動作による無線端末収容装置及び通信装置の認証情報テーブルのエントリ状態を説明するネットワーク図である。ここで用いる認証情報は、暗号鍵である。
図8では、無線端末801と無線端末収容装置(移動前)802と無線端末収容装置(移動後)803と通信装置804、805と認証サーバ806とが示されている。そのうち、無線端末収容装置(移動後)803だけが認証情報(暗号鍵)を保持していないとしている。
図8において、無線端末801は、無線端末収容装置802との間で暗号化通信を行っている過程で(手順T801)、新しい無線端末収容装置803の配下に移動して接続を行い(手順T802)、移動後の無線端末収容装置803との間でオープン認証方式での認証処理を行うと(手順T803)、リアソシエーションリクエスト(ReassociationRequest:認証要求)を無線端末収容装置803に向けて無線送信する(手順T804)。
無線端末収容装置803では、リアソシエーションリクエストを受信すると、送信先を認証サーバ806とし、送信元を自無線端末収容装置803とし、ペイロードに無線端末801のMACアドレスを設定した認証情報取得要求を作成し、通信ネットワークに向けて送出する(手順T805)。
認証情報取得要求を最初に受信した通信装置804は、認証情報テーブル403を参照し、その受信した認証情報取得要求に含まれる端末識別子を元に管理している認証情報を検索する(手順T806)。今の例では、通信装置804は、無線端末801の認証情報(暗号鍵)を保持しているので、送信先を無線端末収容装置803とし、送信元を自通信装置804とし、ペイロードに無線端末801のMACアドレスと認証情報とを設定した認証情報取得応答を作成し、認証情報取得要求を受信したポートに向けて送出する(手順T807)。
認証情報取得応答を受信した無線端末収容装置803は、その受信した認証情報取得応答を参照して「端末識別子」「認証情報(暗号鍵)」を認証情報テーブル205に格納する(手順T808)と共に、リアソシエーションレスポンス(ReassociationResponse:
認証応答)を無線端末801に無線送信する(手順T809)。これによって、無線端末801と移動後の無線端末収容装置803との間で、その認証情報を用いて、暗号化通信の準備が行われ(手順T810)、終了すると暗号化通信が行われる(手順T811)。
今の例では、無線端末収容装置803は認証情報を保持してないが、直近上位の通信装置804が認証情報を保持している場合に、無線端末収容装置803の配下に無線端末801が移動してきた場合であるので、図7に示した例で言えば、無線端末101が無線端末収容装置102bの配下に移動してきた場合である。この場合には、図9に示すように無線端末収容装置102bが送信する認証情報取得要求901は直近上位の通信装置103aに受信され、通信装置103aから認証情報取得応答902が返送されてくる。これによって無線端末収容装置102bは、短期間内に認証情報(暗号鍵)903を保持し、移動してきた無線端末101との間で暗号化通信を開始することができる。
図8では、認証情報取得要求を最初に受信した通信装置が無線端末の認証情報(暗号鍵)を保持している場合であるが、その最初に受信した通信装置が無線端末の認証情報を保持していない場合は、その通信装置は認証情報取得要求を認証情報テーブルの「認証サーバへのポート」に転送する。今の例では、認証サーバに到達する転送路に存在する通信装置の少なくとも1つの通信装置は認証情報を保持している。
したがって、その転送を繰り返し、認証情報が存在するところまで認証情報取得要求が転送され、認証情報を保持している通信装置から認証情報取得応答が転送されてくる。その一例が図10、図11に示されている。なお、認証情報取得応答を中継転送する通信装置では、認証情報を取り込んで記憶保持することが望ましいが、必ずしも中継転送する通信装置の全てが保持する必要はない。
図10では、無線端末1001と無線端末収容装置(移動前)1002と無線端末収容装置(移動後)1003と通信装置1004、1005と認証サーバ1006とが示されている。そのうち、無線端末収容装置(移動後)1003と通信装置1004とが認証情報(暗号鍵)を保持していないとしている。
図10において、無線端末1001は、無線端末収容装置1002との間で暗号化通信を行っている過程で(手順T1001)、新しい無線端末収容装置1003の配下に移動して接続を行い(手順T1002)、移動後の無線端末収容装置1003との間でオープン認証方式での認証処理を行うと(手順T1003)、リアソシエーションリクエスト(ReassociationRequest:認証要求)を無線端末収容装置1003に向けて無線送信する(手順T1004)。
無線端末収容装置1003では、リアソシエーションリクエストを無線受信すると、送信先を認証サーバ1006とし、送信元を自無線端末収容装置1003とし、ペイロードに無線端末1001のMACアドレスを設定した認証情報取得要求を作成し、通信ネットワークに向けて送出する(手順T1005)。
認証情報取得要求を最初に受信した通信装置1004は、認証情報テーブル403を参照し、その受信した認証情報取得要求に含まれる端末識別子を元に管理している認証情報を検索する(手順T1006)。今の例では、通信装置1004は、無線端末1001の認証情報を保持していないので、その受信した認証情報取得要求を「認証サーバへのポート」への経路に転送する(手順T1007)。
認証情報取得要求を次に受信した通信装置1005は、認証情報テーブル403を参照し、その受信した認証情報取得要求に含まれる端末識別子を元に管理している認証情報を検索する(手順T1008)。今の例では、通信装置1005は、無線端末1001の認証情報(暗号鍵)を保持しているので、送信先を無線端末収容装置1003とし、送信元を自通信装置1005とし、ペイロードに無線端末1001のMACアドレスと認証情報(暗号鍵)とを設定した認証情報取得応答を作成し、認証情報取得要求を受信したポートに向けて送出する(手順T1009)。
認証情報取得応答を受信した通信装置1004は、その認証情報取得応答から認証情報(暗号鍵)等を認証情報テーブル403を取り込んで記憶保持する(手順T1010)と共に、その受信した認証情報取得応答を「配下ポート」への経路に送出する(手順T1011)。
認証情報取得応答を受信した無線端末収容装置1003は、その受信した認証情報取得応答を参照して「端末識別子」「認証情報(暗号鍵)」を認証情報テーブル205に格納する(手順T1012)と共に、リアソシエーションレスポンス(ReassociationResponse:認証応答)を無線端末1001に無線送信する(手順T1013)。これによって、無線端末1001と移動後の無線端末収容装置1003との間で、その認証情報を用いて、暗号化通信の準備が行われ(手順T1014)、終了すると暗号化通信が行われる(手順T1015)。
今の例では、無線端末収容装置1003は認証情報を保持してないが、直近上位の通信装置1004も認証情報を保持していない場合に、無線端末収容装置1003の配下に無線端末1001が移動してきた場合であるので、図7に示した例で言えば、無線端末101が無線端末収容装置102bを経由して無線端末収容装置102cの配下に移動してきた場合である。この場合には、図11に示すように無線端末収容装置102cが送信する認証情報取得要求1101は、直近上位の通信装置103bが認証情報取得要求1102としてその上位の通信装置103cに転送し、通信装置103cから認証情報取得応答1103が通信装置103bに返送されてくる。通信装置103bは、受信した認証情報取得応答1103を認証情報取得応答1104として無線端末収容装置102cに転送し、併せて認証情報(暗号鍵)1105を保持する。
これによって、無線端末収容装置102cの直近上位の通信装置103bが認証情報を保持していなくとも、認証サーバ104に至る経路の途中から認証情報取得応答が返送されてくるので、無線端末収容装置102cでは、比較的短期間内に認証情報(暗号鍵)1106を保持し、移動してきた無線端末101との間で暗号化通信を開始することができるようになる。
(C)移動する際に認証をやり直す場合の動作(図12、図13)。図12は、移動する際に認証をやり直す場合の動作を説明するシーケンス図である(認証情報を保持する通信装置が存在する場合)。図13は、移動する際に認証をやり直す場合の動作を説明するシーケンス図である(認証情報を保持する通信装置が存在しない場合)。ここで用いる認証情報は、ユーザIDやパスワードなど、暗号鍵以外で認証に必要な情報である。
図12では、無線端末1201と無線端末収容装置(移動前)1202と無線端末収容装置(移動後)1203と通信装置1204、1205と認証サーバ1206とが示されている。そして、認証情報(ユーザIDやパスワードなど)を、通信装置1204は保持せず通信装置1205が保持しているとしている。
図12において、無線端末1201は、無線端末収容装置1202との間で暗号化通信を行っている過程で(手順T1201)、新しい無線端末収容装置1203の配下に移動して接続を行い(手順T1202)、移動後の無線端末収容装置1203との間でオープン認証及びアソシエーション処理を行う(手順T1203)。終了すると、EAPOL:EAP−STARTフレームを無線送信する(手順T1204)。なお、EAPOL(Extensible Authentication Protocol Over LAN)は、IEEE標準ドキュメント802.1xに準拠した認証プロトコルである。
無線端末収容装置1203は、EAP−STARTフレームを無線受信すると、送信先を認証サーバ1206とし、送信元を自無線端末収容装置1203とし、ペイロードに無線端末1201のMACアドレスを設定した認証情報取得要求を作成し、通信ネットワークに向けて送出する(手順T1205)。
認証情報取得要求を最初に受信した通信装置1204は、認証情報テーブル403を参照し、その受信した認証情報取得要求に含まれる端末識別子を元に管理している認証情報(ユーザIDやパスワードなど)を検索する(手順T1206)。今の例では、通信装置1204は、無線端末1201の認証情報(ユーザIDやパスワードなど)を保持していないので、その受信した認証情報取得要求を「認証サーバへのポート」への経路に転送する(手順T1207)。
認証情報取得要求を次に受信した通信装置1205は、認証情報テーブル403を参照し、その受信した認証情報取得要求に含まれる端末識別子を元に管理している認証情報(ユーザIDやパスワードなど)を検索する(手順T1208)。今の例では、通信装置1205は、無線端末1201の認証情報(ユーザIDやパスワードなど)を保持しているので、送信先を無線端末収容装置1203とし、送信元を自通信装置1205とし、ペイロードに無線端末1201のMACアドレスと認証情報(ユーザIDやパスワードなど)とを設定した認証情報取得応答を作成し、認証情報取得要求を受信したポートに向けて送出する(手順T1209)。
認証情報取得応答を受信した通信装置1204は、その認証情報取得応答から認証情報(ユーザIDやパスワードなど)を認証情報テーブル403に取り込んで記憶保持する(手順T1210)と共に、その受信した認証情報取得応答を「配下ポート」への経路に送出する(手順T1211)。
認証情報取得応答を受信した無線端末収容装置1203は、その受信した認証情報取得応答を参照して「端末識別子」「認証情報(ユーザIDやパスワードなど)」を認証情報テーブル205に格納する(手順T1212)
そして、無線端末収容装置1203は、認証情報取得応答から取得した認証情報(ユーザIDやパスワードなど)に基づき無線端末1201との間で、IEEE802.1xに規定される認証処理を行い、その認証処理が完了すると、暗号化通信のためのやり取りを行って暗号鍵を生成し、暗号化通信を開始する(手順T1213)。
図12では、認証情報取得要求を2番目の通信装置が無線端末の認証情報(ユーザIDやパスワードなど)を保持している場合であるが、その2番目に受信した通信装置も無線端末の認証情報(ユーザIDやパスワードなど)を保持していない場合は、その通信装置は認証情報取得要求を認証情報テーブルの「認証サーバへのポート」に転送する。今の例では、認証サーバに至る経路に存在する通信装置の少なくとも1つの通信装置は認証情報(ユーザIDやパスワードなど)を保持している。
したがって、その転送を繰り返し、認証情報が存在するところまで認証情報取得要求が転送され、認証情報(ユーザIDやパスワードなど)を保持している通信装置から認証情報取得応答が転送されてくる。なお、認証情報取得応答を中継転送する通信装置では、認証情報(ユーザIDやパスワードなど)を取り込んで記憶保持することが望ましいが、必ずしも中継転送する通信装置の全てが保持する必要はない。
換言すれば、認証サーバに至る経路に存在する通信装置の全てが認証情報(ユーザIDやパスワードなど)を保持していない場合は、図13に示すように、認証情報取得要求は認証サーバまで届くことになる。このケースは、主に初めて当該ネットワークにアクセスする無線端末が移動する場合に生ずる。この場合においても、認証情報取得応答を中継転送する通信装置では、認証情報(ユーザIDやパスワードなど)を取り込んで記憶保持することが望ましいが、必ずしも中継転送する通信装置の全てが保持する必要はない。
図13では、無線端末1301と無線端末収容装置(移動前)1302と無線端末収容装置(移動後)1303と通信装置1304、1305と認証サーバ1306とが示されている。
図13において、無線端末1301は、無線端末収容装置1302との間で暗号化通信を行っている過程で(手順T1301)、新しい無線端末収容装置1303の配下に移動して接続を行い(手順T1302)、移動後の無線端末収容装置1303との間でオープン認証及びアソシエーション処理を行うと(手順T1303)、EAPOL:EAP−STARTフレームを無線送信する(手順T1304)。
無線端末収容装置1303は、EAP−STARTフレームを無線受信すると、送信先を認証サーバ1306とし、送信元を自無線端末収容装置1303とし、ペイロードに無線端末1301のMACアドレスを設定した認証情報取得要求を作成し、通信ネットワークに向けて送出する(手順T1305)。
認証情報取得要求を最初に受信した通信装置1304は、認証情報テーブル403を参照し、その受信した認証情報取得要求に含まれる端末識別子を元に管理している認証情報(ユーザIDやパスワードなど)を検索する(手順T1306)。今の例では、通信装置1304は、無線端末1301の認証情報(ユーザIDやパスワードなど)を保持していないので、その受信した認証情報取得要求を「認証サーバへのポート」への経路に転送する(手順T1307)。
認証情報取得要求を次に受信した通信装置1305は、認証情報テーブル403を参照し、その受信した認証情報取得要求に含まれる端末識別子を元に管理している認証情報(ユーザIDやパスワードなど)を検索する(手順T1308)。今の例では、通信装置1305は、無線端末1301の認証情報(ユーザIDやパスワードなど)を保持していないので、その受信した認証情報取得要求を「認証サーバへのポート」への経路に転送する(手順T1309)。
認証サーバ1306は、認証情報取得要求を受信すると、そのパケットのペイロードにある端末のMACアドレスを元に、認証データベースから認証情報(ユーザIDやパスワードなど)を獲得する(手順T1310)。そして、送信先を無線端末収容装置1303とし、送信元を自認証サーバ1306とし、ペイロードに無線端末1301のMACアドレスと認証情報とを設定した認証情報取得応答を作成し、認証情報取得要求を受信したポートに向けて送出する(手順T1311)。
認証情報取得応答を受信した通信装置1305は、その認証情報取得応答から認証情報(ユーザIDやパスワードなど)を認証情報テーブル403に取り込んで記憶保持する(手順T1312)と共に、その受信した認証情報取得応答を「配下ポート」への経路に送出する(手順T1313)。
認証情報取得応答を受信した通信装置1304は、その認証情報取得応答から認証情報(ユーザIDやパスワードなど)を認証情報テーブル403に取り込んで記憶保持する(手順T1314)と共に、その受信した認証情報取得応答を「配下ポート」への経路に送出する(手順T1315)。
認証情報取得応答を受信した無線端末収容装置1303は、その受信した認証情報取得応答を参照して「端末識別子」「認証情報(ユーザIDやパスワードなど)」を認証情報テーブル205に格納する(手順T1316)
そして、無線端末収容装置1303は、認証情報取得応答から取得した認証情報に基づき無線端末1301との間で、IEEE802.1xに規定される認証処理を行い、その認証処理が完了すると、暗号化通信のためのやり取りを行って暗号鍵を生成し、暗号化通信を開始する(手順T1317)。
(D)無線端末収容装置及び通信装置の認証情報管理部の動作(図14〜図16)。図14は、移動先での接続時に行う認証動作における無線端末収容装置の認証情報管理部の動作を説明するフローチャートである。図15は、移動先での接続時に行う認証動作における通信装置の認証情報管理部の認証情報取得要求受信に対する動作を説明するフローチャートである。図16は、移動先での接続時に行う認証動作における通信装置の認証情報管理部の認証情報取得応答受信に対する動作を説明するフローチャートである。なお、各図では、処理ステップは、STと略記している。
図14において、無線端末収容装置の認証情報管理部206では、認証情報取得応答を受信すると(ST1401)、認証情報(暗号鍵、ユーザIDやパスワードなど)を取得し(ST1402)、それが新規の認証情報であるときは、認証情報テーブル205に追加して、既に該当端末の認証情報が存在するならば、取得した認証情報を上書きする(ST1403)。
また、通信装置の認証情報管理部404での認証情報取得要求受信時の動作は、図15に示すようになる。図15において、通信装置の認証情報管理部404では、認証情報取得要求を受信した場合(ST1501)は、その認証情報取得要求のパケットから端末MACアドレスを取得し(ST1502)、認証情報テーブル403に端末MACアドレスに一致するエントリが存在するか否かを判断する(ST1503)。
認証情報テーブル403に端末MACアドレスに一致するエントリが存在する場合は(ST1503:Yes)、認証情報テーブルのエントリ情報を元に、宛先を認証情報取得要求の送信元とし、送信元を自通信装置とし、ペイロードに端末識別子(端末MACアドレス)と認証情報(暗号鍵、ユーザIDやパスワードなど)とを設定した認証情報取得応答を作成し(ST1504)、認証情報取得要求を受信したポートに向けて認証情報取得応答を送信し(ST1505)、「配下ポート」を認証情報取得応答を送出したポート番号に書き換える(ST1506)。
一方、認証情報テーブル403に端末MACアドレスに一致するエントリが存在しない場合は(ST1503:No)、その端末MACアドレスに対応するエントリを生成し、認証情報テーブル403に格納する(ST1507)。この時点では、認証情報テーブル403における「認証情報」の欄は空欄である。そして、受信した認証情報取得要求を「認証サーバへの経路」と同じポートに転送する(ST1508)。
また、通信装置の認証情報管理部404での認証情報取得応答受信時の動作は、図16に示すようになる。図16において、通信装置の認証情報管理部404では、認証情報取得応答を受信した場合は(ST1601)、その受信した認証情報取得応答から認証情報を取得し(ST1602)、端末MACアドレスに対応するエントリに取得した認証情報を設定する(ST1603)。そして、受信した認証情報取得応答を「配下ポート」に転送する(ST1604)。
以上のように、本実施の形態1によれば、無線端末が新しい無線端末収容装置の配下に移動した場合は、認証情報(暗号鍵、ユーザIDやパスワードなど)を認証サーバから取得することなく、通信ネットワークを構成する通信装置から取得することができるので、認証のための時間が短縮でき、また認証サーバの負荷を軽減することができる。
このとき、認証サーバへの経路において障害が起きたときも、既に認証情報が無線端末収容装置で保持されている可能性が高いので、耐障害性も向上する。
また、移動前の無線端末収容装置を直接束ねている通信装置は、常にその無線端末に対応する認証情報を保持しているので、無線端末は移動先の新しい無線端末収容装置から高い確率で直ぐに認証情報が取得できるので、伝送遅延の問題は生じない。
(実施の形態2)
本発明の実施の形態2では、移動した無線端末の認証処理後に、移動前に通信ネットワーク内に保持した認証情報を削除する構成例が示されている(図17〜図24)。ここでは、本実施の形態2に関わる部分を中心に説明する。
図17は、本発明の実施の形態2として、移動前に通信ネットワーク内に保持した認証情報の削除処理を説明するネットワーク図である(その1)。図17では、図9にて説明したように無線端末101が無線端末収容装置102bの配下に移動した場合に、移動前の無線端末収容装置102aが保持している認証情報(暗号鍵)を削除する場合が示されている。
図17において、通信装置103aの認証情報テーブル403には、移動前の認証時に認証情報を保持した無線端末収容装置102aに対する配下ポートが登録されている。通信装置103aは、無線端末収容装置102bからの認証情報取得要求901に対して認証情報取得応答902を返送すると、送信先を移動前の無線端末収容装置102aとし、送信元を自通信装置103aとし、ペイロードに無線端末101のMACアドレスを設定した認証情報削除要求1701を作成し、認証情報テーブル403に保持している配下ポートから送信する。
無線端末収容装置102aは、認証情報削除要求1701を受信すると、認証情報テーブル205に登録してある無線端末101の認証情報1703を削除し、送信先に認証情報削除要求1701を送信した通信装置103aを設定し、送信元に自無線端末収容装置102aを設定し、ペイロードに無線端末101のMACアドレスを設定した認証情報削除応答1702を作成し、網側に送信する。この認証情報削除応答1702は通信装置103aに受信される。
次に、図18は、本発明の実施の形態2として、移動前に通信ネットワーク内に保持した認証情報の削除処理を説明するシーケンス図である(その2)。図18では、図10にて説明したように、無線端末1001が無線端末収容装置1003の配下に移動した場合に、途中の通信装置1004及び移動前の無線端末収容装置1002がそれぞれ保持している認証情報(暗号鍵)を削除する場合が示されている。
図18において、認証情報取得要求を2番目に受信して認証情報取得応答を送信した通信装置1005は、送信先を移動前の無線端末収容装置1002とし、送信元を自通信装置1005とし、ペイロードに無線端末101のMACアドレスを設定した認証情報削除要求を作成し、認証情報テーブル403に保持している配下ポートから送信する(手順T1801)。この認証情報削除要求は、下位の通信装置1004を経由して無線端末収容装置1002に受信される。
認証情報削除要求を受信した無線端末収容装置1002では、保持していた認証情報(暗号鍵)を削除し(手順T1802)、送信先に認証情報削除要求を送信した通信装置1005を設定し、送信元に自無線端末収容装置1002を設定し、ペイロードに無線端末1001のMACアドレスを設定した認証情報削除応答を作成し網側に送信する(手順T1803)。この認証情報削除応答は通信装置1004に受信される。
通信装置1004は、認証情報削除応答を受信すると、保持していた認証情報(暗号鍵)を削除し(手順T1804)、その受信した認証情報削除応答を認証サーバへのポートに中継転送する(手順T1805)。つまり、無線端末収容装置1002が送信した認証情報削除応答は通信装置1004を経由して通信装置1005に受信され、削除処理の完了が認識される。
次に、図19は、図18に示す認証情報の削除処理による無線端末収容装置及び通信装置の認証情報テーブルのエントリ状態を説明するネットワーク図である。図19では、図11に示したネットワーク状態において、移動前の無線端末収容装置102b及び途中に存在する通信装置103aの認証情報テーブルにおいて削除処理が行われる場合が示されている。
図19において、通信装置103cは、通信装置103bが中継した無線端末収容装置102cからの認証情報取得要求1102に対して認証情報取得応答1103を返送すると、送信先を移動前の無線端末収容装置102bとし、送信元を自通信装置103cとし、ペイロードに無線端末101のMACアドレスを設定した認証情報削除要求1901を作成し、認証情報テーブル403に保持している配下ポートから送信する。
下位の通信装置103aは、認証情報削除要求1901を認証情報削除要求1902として配下ポートに中継転送する。この認証情報削除要求1902は無線端末収容装置102bに受信される。
無線端末収容装置102bは、認証情報削除要求1902を受信すると、認証情報テーブル205に登録してある無線端末101の認証情報(暗号鍵)1903を削除し、送信先に認証情報削除要求1902を送信した通信装置103cを設定し、送信元に自無線端末収容装置102bを設定し、ペイロードに無線端末101のMACアドレスを設定した認証情報削除応答1904を作成し、網側に送信する。この認証情報削除応答1904は通信装置103aに受信される。
通信装置103aは、認証情報削除応答1904を受信すると、認証情報テーブル403に登録してある無線端末101の認証情報(暗号鍵)1905を削除すると共に、その受信した認証情報削除応答1904を認証情報削除応答1906として認証サーバへのポートに送出する。これによって、認証情報削除応答1906は通信装置103cに受信され、削除処理の完了が認識される。
次に、図20は、本発明の実施の形態2として、移動前に通信ネットワーク内に保持した認証情報の削除処理を説明するシーケンス図である(その3)。図20では、図12にて説明したように、無線端末1201が無線端末収容装置1203の配下に移動した場合に、途中の通信装置1204及び移動前の無線端末収容装置1202がそれぞれ保持している認証情報(ユーザIDやパスワードなど)を削除する場合が示されている。
図20において、認証情報取得要求を2番目に受信して認証情報取得応答を送信した通信装置1205は、送信先を移動前の無線端末収容装置1202とし、送信元を自通信装置1205とし、ペイロードに無線端末101のMACアドレスを設定した認証情報削除要求を作成し、認証情報テーブル403に保持している配下ポートから送信する(手順T2001)。この認証情報削除要求は、下位の通信装置1204を経由して無線端末収容装置1202に受信される。
認証情報削除要求を受信した無線端末収容装置1202では、保持していた認証情報(ユーザIDやパスワードなど)を削除し(手順T2002)、送信先に認証情報削除要求を送信した通信装置1205を設定し、送信元に自無線端末収容装置1202を設定し、ペイロードに無線端末1201のMACアドレスを設定した認証情報削除応答を作成し、網側に送信する(手順2003)。この認証情報削除応答は通信装置1204に受信される。
通信装置1204は、認証情報削除応答を受信すると、保持していた認証情報(ユーザIDやパスワードなど)を削除し(手順T2004)、その受信した認証情報削除応答を認証サーバへのポートに中継転送する(手順T2005)。つまり、無線端末収容装置1202が送信した認証情報削除応答は通信装置1204を経由して通信装置1205に受信され、削除処理の完了が認識される。
次に、図21〜図24を参照して、移動前の無線端末収容装置及び通信装置での認証情報管理部の動作を説明する。図21は、無線端末収容装置の認証情報管理部での認証情報の削除処理動作を説明するフローチャートである。図21において、無線端末収容装置の認証情報管理部206では、認証情報削除要求を受け取ると(ST2101)、認証情報テーブル205から端末MACアドレスを対応付けているエントリを削除する(ST2102)。そして、認証情報削除応答を作成し網側送受信部201を通して網側に送出する(ST2103)。
また、図22は、通信装置の認証情報管理部での認証情報取得要求受信時に行われる認証情報削除要求の生成処理動作を説明するフローチャートである。なお、図22では、図15に示した処理手順と同一ないしは同等である手順には同一の符号が付されている。ここで、実施の形態2に関わる部分を説明する。図22において、ST1505にて認証情報取得応答を送信すると、認証情報取得削除要求を作成して認証情報取得テーブル403の配下ポートから送信し(ST2201)、ST1506に進む。
また、図23は、認証情報削除要求を中継する通信装置の認証情報管理部での認証情報削除要求受信時に行われる転送処理動作を説明するフローチャートである。図23において、認証情報削除要求を受信すると(ST2301)、認証情報テーブル403のエントリの中で、認証情報削除要求の中の端末MACアドレスと一致するエントリの配下ポートにそのまま認証情報削除要求を転送する(ST2302)。
また、図24は、通信装置の認証情報管理部での認証情報削除応答受信時に行われる転送処理動作を説明するフローチャートである。図24において、通信装置の認証情報管理部404では、認証情報削除応答を受信すると(ST2401)、自通信装置が認証情報削除要求を作成して発信したか否かを判断する(ST2402)。その結果、自通信装置は認証情報削除要求を発信していない場合は(ST2402:No)、その受信した認証情報削除応答を該当端末のエントリの「認証サーバへのポート」に転送する(ST2403)。その後、認証情報テーブル403から該当端末のエントリを削除する(ST2404)。自通信装置が認証情報削除要求を作成して発信した場合は(ST2402:Yes)、その認証情報削除応答の受信によって削除処理の終了を認識する。
以上のように、本実施の形態2によれば、古い経路の認証情報は常に削除するので、スケーラビリティの高いシステムが得られる。
(実施の形態3)
本発明の実施の形態3では、実施の形態2と同様に移動した無線端末の認証処理後に、移動前に通信ネットワーク内に保持した認証情報を削除するが、直ぐに削除するのではなく、一定時間経過後に削除する構成例が示されている(図25、図26)。ここでは、本実施の形態3に関わる部分を中心に説明する。図25は、本発明の実施の形態3として、移動前に通信ネットワーク内に保持した認証情報の削除処理を一定時間経過後に行う場合を説明するネットワーク図である。図26は、図25に示す一定時間経過後に認証情報の削除処理を行う場合を説明するシーケンス図である。
図25では、図11に示したネットワーク状態において、移動前の無線端末収容装置102b及び途中に存在する通信装置103aの認証情報テーブルにおける削除処理が一定時間経過後に行われる場合が示されている。
図25において、通信装置103cは、通信装置103bが中継した無線端末収容装置102cからの認証情報取得要求1102に対して認証情報取得応答1103を返送すると、送信先を移動前の無線端末収容装置102bとし、送信元を自通信装置103cとし、ペイロードに無線端末101のMACアドレスを設定した認証情報削除要求2501を作成し、認証情報テーブル403に保持している配下ポートから送信する。
下位の通信装置103aは、認証情報削除要求2501を認証情報削除要求2502として配下ポートに中継転送する。この認証情報削除要求2502は無線端末収容装置102bに受信される。
無線端末収容装置102bは、認証情報削除要求2502を受信すると、削除タイマをスタートさせる。そして、送信先に認証情報削除要求2502を送信した通信装置103cを設定し、送信元に自無線端末収容装置102bを設定し、ペイロードに無線端末101のMACアドレスを設定した認証情報削除応答2503を作成し、網側に送信する。この認証情報削除応答2503は通信装置103aに受信される。
無線端末収容装置102bでは、削除タイマがタイムアップするまでの一定時間内、認証情報テーブル205に登録してある無線端末101の認証情報(暗号鍵)2504は保持され、削除タイマが一定時間を計時してタイムアップすると、認証情報(暗号鍵)2504は削除される。
通信装置103aは、認証情報削除応答2503を受信すると、削除タイマをスタートさせるとともに、受信した認証情報削除応答2503を認証情報削除応答2505として認証サーバへのポートに送出する。これによって、認証情報削除応答2505は通信装置103cに受信される。
通信装置103aでは、削除タイマがタイムアップするまでの一定時間内、認証情報テーブル403に登録してある無線端末101の認証情報(暗号鍵)2506は保持され、削除タイマが一定時間を計時してタイムアップすると、認証情報(暗号鍵)2506は削除される。
次に、図26において、通信装置1005は、認証情報取得応答を認証情報取得要求が入力したポートから送信すると(手順T1009)、送信先を移動前の無線端末収容装置1002とし、送信元を自通信装置1005とし、ペイロードに無線端末101のMACアドレスを設定した認証情報削除要求を作成し、認証情報テーブル403に保持している配下ポートから送信する(手順T2601)。この認証情報削除要求は、通信装置1004を経由して移動前の無線端末収容装置1002に受信される。
無線端末収容装置1002では、認証情報削除要求を受信すると、削除タイマをスタートさせる(手順T2602)。そして、送信先に認証情報削除要求を送信した通信装置1005を設定し、送信元に自無線端末収容装置1002を設定し、ペイロードに無線端末101のMACアドレスを設定した認証情報削除応答を作成し、網側に送信する(手順T2603)。この認証情報削除応答は通信装置1004に受信される。
無線端末収容装置1002では、削除タイマがタイムアップするまでの一定時間内、認証情報テーブル205に登録してある無線端末101の認証情報(暗号鍵)は保持され、削除タイマが一定時間を計時してタイムアップすると、認証情報(暗号鍵)は削除される(手順T2604)。
通信装置1004は、認証情報削除応答を受信すると、削除タイマをスタートさせる(手順T2605)。そして、受信した認証情報削除応答を認証サーバへのポートに送出する(手順T2606)。これによって、認証情報削除応答は通信装置1005に受信される。
通信装置1004では、削除タイマがタイムアップするまでの一定時間内、認証情報テーブル403に登録してある無線端末101の認証情報(暗号鍵)は保持され、削除タイマが一定時間を計時してタイムアップすると、認証情報(暗号鍵)は削除される(手順T2607)。
次に、図27、図28を参照して移動前の無線端末収容装置及び通信装置の認証情報管理部での動作について説明する。図27は、移動前の無線端末収容装置の認証情報管理部での一定時間経過後に認証情報の削除処理を行う動作を説明するフローチャートである。図28は、通信装置の認証情報管理部での一定時間経過後に認証情報の削除処理を行う動作を説明するフローチャートである。
図27において、移動前の無線端末収容装置の認証情報管理部206では、認証情報削除要求を網側送受信部201から受け取ると(ST2701)、削除タイマをスタートさせ(ST2702)、認証情報削除応答を作成し、網側に送信する(ST2703)。そして、削除タイマがタイムアップするのを監視し(ST2704)、削除タイマがタイムアップすると(ST2704:Yes)、認証情報テーブル205から端末MACアドレスに対応するエントリを削除する(ST2705)。
図28において、通信装置の認証情報管理部404では、認証情報削除応答を受信すると(ST2801)、自通信装置が認証情報削除要求を作成して発信したか否かを判断する(ST2802)。その結果、自通信装置は認証情報削除要求を発信していない場合は(ST2802:No)、その受信した認証情報削除応答を該当端末のエントリの「認証サーバへのポート」に転送する(ST2803)。同時に、削除タイマをスタートさせる(ST2804)。そして、削除タイマがタイムアップするのを監視し(ST2805)、削除タイマがタイムアップすると(ST2805:Yes)、認証情報テーブル403から該当端末のエントリを削除する(ST2806)。自通信装置が認証情報削除要求を作成して発信した場合は(ST2802:Yes)、その認証情報削除応答の受信によって削除処理の終了を認識する。
以上のように、本実施の形態3によれば、今までに接続していた無線端末収容装置及びその上位に接続されている通信装置に認証情報が一定期間内残っているので、その一定期間内に再び接続していた無線端末収容装置に戻るときは直ぐに認証情報が取得できるようになる。
(実施の形態4)
図29及び図30は、本発明の実施の形態4に係る無線ネットワークシステムにおける無線端末収容装置及び通信装置の構成を示すブロック図である。本実施の形態4では、無線端末収容装置では、図29に示すようにアクセス計測部2901が追加され、通信装置では、図30に示すようにアクセス計測部3001が追加されている。
図31は、アクセス計測部2901、3001にて計測するユーザ毎のアクセス量を説明する図である。図31に示すように、アクセス計測部2901、3001では、例えばユーザ毎の最近1日のアクセス量[byte]をカウントして保持するようにしている。ここで、ユーザの区別は、全て端末のMACアドレスによって行う。すなわち、端末のMACアドレス毎に一定時間のアクセス量[byte]を測っている。なお、図31では、最近1日のアクセス量を例示しているが、メモリに余裕があれば計測時間を長くしてもよいし、余裕がなければ計測時間を短くしてもよい。
図32は、認証情報管理部206、404が保持する認証情報を削除するための削除タイマのタイマ時間(認証情報削除までの時間)と、アクセス計測部2901、3001にて計測するアクセス量との関係を説明する図である。
実施の形態3では、一律に一定時間で削除していたが、本実施の形態4では、図32に示すように、アクセス量の多寡によってタイマ時間を変えることができる。例えば、図32に示すように、最近1日のアクセス量が2Mbyteを超える場合は、認証情報は削除されるまで24時間かかるが、10kbyte未満の場合には10分経過後に削除されることになる。なお、図31や図32では、アクセス量を基準にしているが、アクセス時間を元にしてもよい。
以上のように、本実施の形態4によれば、あるアクセスポイントに多くアクセスしたユーザは、一旦そのアクセスポイントから離れても、そのアクセスポイントでは長時間認証情報を保持しておくことができるので、再びそのアクセスポイントにアクセスしたとき、認証情報を直ぐに取得できるようになる。
また、今までにより多く接続していたユーザに対しては認証情報を長く保持し、接続があまりないユーザの認証情報を先に削除することができるので、システム全体として保持する認証情報を少なくしながら、ユーザが移動したときに直ぐに認証情報を取得できる確率を上げることができる。
(実施の形態5)
本発明の実施の形態5では、無線端末収容装置及び通信装置がそれぞれ有する削除タイマのタイマ時間(認証情報削除までの時間)として、無線端末収容装置から網の上位に進むに連れて認証情報削除までの時間を長く設定する場合の構成例が示されている。
これは、最も多く設置する必要があるアクセスポイントである無線端末収容装置ではメモリ量を少なくしたいので、あまり多くの認証情報を保持しない方がよい。一方、より上位に置かれるスイッチである通信装置は、数が少ないので、メモリを沢山積んだハードウエアでもコストアップの要因は小さいことに着目したものである。
具体的には、無線端末収容装置及び通信装置がそれぞれ有する削除タイマのタイマ時間(認証情報削除までの時間)を例えば図33に示すように設定する。図33は、本発明の実施の形態5として、無線端末収容装置及び通信装置の認証情報管理部が備える削除タイマのタイマ時間(認証情報削除までの時間)の関係を説明する図である。なお、図33において、第一通信装置とは、無線端末収容装置を直接収容している通信装置である。第二通信装置とは、第一通信装置を直接収容している通信装置である。
図33に示すように、無線端末収容装置と第一通信装置と第二通信装置とでは、削除タイマのタイマ時間は異なり、無線端末収容装置が最も短い時間で削除され、第一通信装置、第二通信装置と順番に長く保持するように設定される。
以上のように、本実施の形態5によれば、網の階層上位に配置する通信装置は無線端末収容装置に比べて長めに認証情報を保持するので、無線端末が移動したときに認証情報を直ぐ取得できる確率を上げることができる。
また、無線端末収容装置では認証情報の保持時間を短くし、網側の通信装置では認証情報の保持時間を長めにしておくことで、システム全体として最も数の多い無線端末収容装置のメモリを少なくすることができ、実施の形態1から3の効果を得ながらシステム全体としてのコストを減らすことができる。
(実施の形態6)
本発明の実施の形態6では、実施の形態4と実施の形態5とを組み合わせた構成例が示されている。図34に具体例を示してある。図34は、本発明の実施の形態6として、無線端末収容装置及び通信装置の認証情報管理部がそれぞれ備える削除タイマのタイマ時間(認証情報削除までの時間)と図29及び図30に示すアクセス計測部にて計測するアクセス量との関係を説明する図である。
図34に示すように、実施の形態4と同様に最近1日のアクセス量の多寡によってタイマ時間(認証情報削除までの時間)を変える。このとき、タイマ時間(認証情報削除までの時間)は、実施の形態5と同様に、無線端末収容装置では認証情報を削除するまでの時間を短くし、より網側に置かれる第一通信装置、第二通信装置では認証情報削除されるまでの時間を長くするのである。
本実施の形態6によれば、最も多く設置されるアクセスポイントである無線端末収容装置では、メモリを少なくできるという実施の形態5の効果と、より多くアクセスするユーザに対して、すばやく認証情報を取得させるという実施の形態4の効果を併せ持つことができる。
また、今までにより多く接続していたユーザに対して認証情報を長く保持し、接続があまりないユーザの認証情報を先に削除するという実施の形態4の方法と、無線端末収容装置では認証情報の保持時間を短くし、網側の通信装置では認証情報の保持時間を長めにしておくという実施の形態5の方法とを合わせ持つことで、システム全体としてのコストを減らしながら、ユーザが移動したときに直ぐに認証情報を取得できる確率を上げることができるようになる。
本発明は、認証サーバの負荷の軽減と認証時間の短縮を図り、かつ高い確率で新しいアクセスポイントから短時間内に暗号化通信を開始できるようにする無線ネットワークシステムを構築するのに好適である。
本発明の実施の形態1に係る無線ネットワークシステムの構成を示すネットワーク図 図1に示す無線端末収容装置の構成例を示すブロック図 図2に示す認証情報テーブルの構成例を示す図 図1に示す通信装置の構成例を示すブロック図 図4に示す認証情報テーブルの構成例を示す図 最初に接続する場合に行う認証動作を説明するシーケンス図 最初に接続する場合に行う認証動作による無線端末収容装置及び通信装置の認証情報テーブルのエントリ状態を説明するネットワーク図 移動先での接続時に行う認証動作を説明するシーケンス図(認証情報を保持する通信装置が比較的近い所に存する場合) 図8に示す認証動作による無線端末収容装置及び通信装置の認証情報テーブルのエントリ状態を説明するネットワーク図 移動先での接続時に行う認証動作を説明するシーケンス図(認証情報を保持する通信装置が比較的遠い所に存する場合) 図10に示す認証動作による無線端末収容装置及び通信装置の認証情報テーブルのエントリ状態を説明するネットワーク図 移動する際に認証をやり直す場合の動作を説明するシーケンス図(認証情報を保持する通信装置が存在する場合) 移動する際に認証をやり直す場合の動作を説明するシーケンス図(認証情報を保持する通信装置が存在しない場合) 移動先での接続時に行う認証動作における無線端末収容装置の認証情報管理部の動作を説明するフローチャート 移動先での接続時に行う認証動作における通信装置の認証情報管理部の認証情報取得要求受信に対する動作を説明するフローチャート 移動先での接続時に行う認証動作における通信装置の認証情報管理部の認証情報取得応答受信に対する動作を説明するフローチャート 本発明の実施の形態2として、移動前に通信ネットワーク内に保持した認証情報の削除処理を説明するネットワーク図(その1) 本発明の実施の形態2として、移動前に通信ネットワーク内に保持した認証情報の削除処理を説明するシーケンス図(その2) 図18に示す認証情報の削除処理による無線端末収容装置及び通信装置の認証情報テーブルのエントリ状態を説明するネットワーク図 本発明の実施の形態2として、移動前に通信ネットワーク内に保持した認証情報の削除処理を説明するシーケンス図(その3) 無線端末収容装置の認証情報管理部での認証情報の削除処理動作を説明するフローチャート 通信装置の認証情報管理部での認証情報取得要求受信時に行われる認証情報削除要求の生成処理動作を説明するフローチャート 通信装置の認証情報管理部での認証情報削除要求受信時に行われる転送処理動作を説明するフローチャート 通信装置の認証情報管理部での認証情報削除応答受信時に行われる転送処理動作を説明するフローチャート 本発明の実施の形態3として、移動前に通信ネットワーク内に保持した認証情報の削除処理を一定時間経過後に行う場合を説明するネットワーク図 図25に示す一定時間経過後に認証情報の削除処理を行う場合を説明するシーケンス図 移動前の無線端末収容装置の認証情報管理部での一定時間経過後に認証情報の削除処理を行う動作を説明するフローチャート 通信装置の認証情報管理部での一定時間経過後に認証情報の削除処理を行う動作を説明するフローチャート 本発明の実施の形態4に係る無線ネットワークシステムにおける無線端末収容装置の構成を示すブロック図 本発明の実施の形態4に係る無線ネットワークシステムにおける通信装置の構成を示すブロック図 図29及び図30に示すアクセス計測部にて計測するユーザ毎のアクセス量を説明する図 図29及び図30に示す認証情報管理部が備える削除タイマのタイマ時間(認証情報削除までの時間)と図29及び図30に示すアクセス計測部にて計測するアクセス量との関係を説明する図 本発明の実施の形態5として、無線端末収容装置及び通信装置の認証情報管理部がそれぞれ備える削除タイマのタイマ時間(認証情報削除までの時間)の関係を説明する図 本発明の実施の形態6として、無線端末収容装置及び通信装置の認証情報管理部がそれぞれ備える削除タイマのタイマ時間(認証情報削除までの時間)と図29及び図30に示すアクセス計測部にて計測するアクセス量との関係を説明する図
符号の説明
101 無線端末
102a、102b、102c 無線端末収容装置
103a、103b、103c 通信装置
104 認証サーバ
201 網側送受信部
202 アンテナ部
203 宅側送受信部
204 暗復号転送部
205 認証情報テーブル
206 認証情報管理部
207 初期認証処理部
401−1〜401−n 送受信部
402 転送部
403 認証情報テーブル
404 認証情報管理部
2901、3001 アクセス計測部

Claims (22)

  1. 無線端末のアクセスポイントである複数の無線端末収容装置と、前記複数の無線端末収容装置を束ねて通信ネットワークを構成する多数の通信装置と、前記通信ネットワーク上に配置され前記無線端末収容装置に接続して暗号化通信を企図する無線端末の認証を行う認証サーバとを具備する無線ネットワークシステムにおいて、前記認証サーバは、前記無線端末収容装置に最初に接続した無線端末についての認証に成功したとき認証成功通知を送信する手段を具備し、無線端末が最初に接続した前記無線端末収容装置及びこの無線端末収容装置に前記認証成功通知を中継転送する経路に存在する前記通信装置は、それぞれ、前記認証成功通知から前記無線端末が用いる認証情報を取り出して保存する手段を具備することを特徴とする無線ネットワークシステム。
  2. 前記無線端末から認証要求を受けた移動先の無線端末収容装置は、認証情報取得要求を作成して前記通信ネットワークに送信し、前記通信ネットワークから受信した認証情報取得応答から前記無線端末が用いる認証情報を取り出して保存するとともに、前記無線端末に認証応答を送信する手段を具備し、前記移動先の無線端末収容装置が前記通信ネットワークに送信した前記認証情報取得要求を前記認証サーバに向けて中継転送する経路に存在する前記通信装置のうち前記無線端末が用いる認証情報を保時する通信装置は、前記認証情報取得応答を作成して前記移動先の無線端末収容装置に向けて送信する手段を具備することを特徴とする請求項1記載の無線ネットワークシステム。
  3. 前記認証情報取得応答を作成して送信した通信装置は、認証情報削除要求を作成して前記無線端末が最初に接続した無線端末収容装置に向けて送信する手段を具備し、前記無線端末が最初に接続した無線端末収容装置は、前記認証情報削除要求を受信して保持している認証情報を削除するとともに、認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した通信装置に向けて送信する手段を具備することを特徴とする請求項2記載の無線ネットワークシステム。
  4. 前記無線端末が最初に接続した無線端末収容装置が送信する認証情報削除応答を中継転送する経路に存在する通信装置のうち認証情報を保持する通信装置は、その保持する認証情報を削除する手段を具備することを特徴とする請求項3記載の無線ネットワークシステム。
  5. 前記認証情報取得応答を作成して送信した通信装置は、認証情報削除要求を作成して前記無線端末が最初に接続した無線端末収容装置に向けて送信する手段を具備し、前記無線端末が最初に接続した無線端末収容装置は、前記認証情報削除要求を受信して認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した通信装置に向けて送信するとともに、保持している認証情報を一定時間経過後に削除する手段を具備することを特徴とする請求項2記載の無線ネットワークシステム。
  6. 前記無線端末が最初に接続した無線端末収容装置が送信する認証情報削除応答を、前記認証情報削除要求を作成して送信した通信装置まで中継転送する経路に存在する通信装置のうち認証情報を保持する通信装置は、その保持する認証情報を一定時間経過後に削除する手段を具備することを特徴とする請求項5記載の無線ネットワークシステム。
  7. 前記無線端末が最初に接続した無線端末収容装置は、保持している認証情報を削除するまでの一定時間を前記無線端末のアクセス状態に応じて変更する手段を具備することを特徴とする請求項5記載の無線ネットワークシステム。
  8. 前記保持する認証情報を一定時間経過後に削除する通信装置は、その保持している認証情報を削除するまでの一定時間を前記無線端末のアクセス状態に応じて変更する手段を具備することを特徴とする請求項6記載の無線ネットワークシステム。
  9. 前記認証情報取得応答を作成して送信した通信装置は、認証情報削除要求を作成して前記無線端末が最初に接続した無線端末収容装置に向けて送信する手段を具備し、前記無線端末が最初に接続した無線端末収容装置は、前記認証情報削除要求を受信して認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した通信装置に向けて送信するとともに、保持している認証情報を一定時間経過後に削除する手段を具備し、前記無線端末が最初に接続した無線端末収容装置が送信する認証情報削除応答を中継転送する経路に存在する通信装置は、その保持する認証情報を一定時間経過後に削除する手段を具備する場合において、認証情報を削除する一定時間は、無線端末収容装置では短く、通信装置では網の階層位置が上位に行くほど長くなるように設定されていることを特徴とする請求項2記載の無線ネットワークシステム。
  10. 無線端末収容装置では短く、通信装置では網の階層位置が上位に行くほど長くなるように設定されている認証情報を削除する前記一定時間を前記無線端末のアクセス状態に応じて変更する手段を具備することを特徴とする請求項9記載の無線ネットワークシステム。
  11. 無線端末を認証する認証サーバが存在する無線ネットワークシステムにおいて、前記無線端末が接続するアクセスポイントである無線端末収容装置は、無線端末の識別子と認証情報とを関連付けて記憶する認証情報テーブルと、最初に接続した無線端末に対する認証手続きが成功したとき前記認証情報テーブルにその無線端末の識別子と認証情報とを関連付けて保存する手段と、を具備することを特徴とする無線端末収容装置。
  12. 配下に移動してきた無線端末からの認証要求に基づき認証情報取得要求を作成して前記認証サーバに向けて送信し、網側の通信装置から受信した認証情報取得応答から前記無線端末が用いる認証情報を取り出して前記認証情報テーブルに保存する手段と、前記無線端末に認証応答を送信する手段とを具備することを特徴とする請求項11記載の無線端末収容装置。
  13. 網側から認証情報削除要求を受信したとき、前記認証情報テーブルに保持している対応する認証情報を削除する手段と、認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した網側の通信装置に向けて送信する手段とを具備することを特徴とする請求項11記載の無線端末収容装置。
  14. 網側から認証情報削除要求を受信したとき、認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した網側の通信装置に向けて送信する手段と、前記認証情報テーブルに保持している対応する認証情報を一定時間経過後に削除する手段とを具備することを特徴とする請求項11記載の無線端末収容装置。
  15. 無線端末のアクセス状態を計測する手段と、前記認証情報テーブルに保持している対応する認証情報を削除するまでの一定時間を前記計測した無線端末のアクセス状態に応じて変更する手段と、を具備することを特徴とする請求項14記載の無線端末収容装置。
  16. 前記保持している認証情報を削除するまでの一定時間は、網側の通信装置での一定時間よりも短くなるように設定されていることを特徴とする請求項14又は請求項15記載の無線端末収容装置。
  17. 無線端末を認証する認証サーバが存在する無線ネットワークシステムにおいて、前記無線端末が接続するアクセスポイントである複数の無線端末収容装置を束ねて通信ネットワークを構成する多数の通信装置は、それぞれ、無線端末識別子と認証情報と無線端末収容装置側ポートと認証サーバ側ポートとを関連付けて記憶する認証情報テーブルと、最初に接続した無線端末に対する認証手続きが成功したとき前記認証情報テーブルにその無線端末識別子と認証情報と各ポートとを関連付けて保存する手段と、を具備することを特徴とする通信装置。
  18. 無線端末収容装置側ポートから受信した認証情報取得要求に含まれる無線端末識別子と一致する無線端末識別子が前記認証情報テーブルに存在するときは当該無線端末識別子に対応する認証情報を含ませた認証情報取得応答を作成し無線端末収容装置側ポートから送信する手段と、前記受信した認証情報取得要求に含まれる無線端末識別子と一致する無線端末識別子が前記認証情報テーブルに存在しないときは当該無線端末識別子と受信したポートとを対応付けて前記認証情報テーブルに保存し、その受信した認証情報取得要求を対応する認証サーバ側ポートから送信する手段と、認証サーバ側ポートから認証情報取得応答を受信したときその認証情報取得応答から認証情報を取得して前記認証情報テーブルに保存し、受信した前記認証情報取得応答を対応する無線端末収容装置側ポートから送信する手段と、を具備することを特徴とする請求項17記載の通信装置。
  19. 前記認証情報取得応答を作成して送信した後に、無線端末が最初に接続して認証手続きを行った無線端末収容装置に対する認証情報削除要求を作成し対応する無線端末収容装置側ポートから送信する手段と、認証サーバ側ポートから認証情報削除要求を受信したとき、その受信した認証情報削除要求を対応する無線端末収容装置側ポートから送信する手段と、無線端末収容装置側ポートから認証情報削除応答を受信した場合に、前記認証情報削除要求を作成して送信していない場合は、前記認証情報テーブルから該当する認証情報を削除し、その受信した認証情報削除応答を対応する認証サーバ側ポートから送信する手段と、を具備することを特徴とする請求項18記載の通信装置。
  20. 前記認証情報取得応答を作成して送信した後に、無線端末が最初に接続して認証手続きを行った無線端末収容装置に対する認証情報削除要求を作成し対応する無線端末収容装置側ポートから送信する手段と、認証サーバ側ポートから認証情報削除要求を受信したとき、その受信した認証情報削除要求を対応する無線端末収容装置側ポートから送信する手段と、無線端末収容装置側ポートから認証情報削除応答を受信した場合において前記認証情報削除要求を作成して送信していない場合は、その受信した認証情報削除応答を対応する認証サーバ側ポートから送信し、一定時間経過後に前記認証情報テーブルから該当する認証情報を削除する手段と、を具備することを特徴とする請求項18記載の通信装置。
  21. 無線端末のアクセス状態を計測する手段と、認証情報を削除するまでの前記一定時間を前記計測した無線端末のアクセス状態に応じて変更する手段と、を具備することを特徴とする特徴とする請求項20記載の通信装置。
  22. 認証情報を削除するまでの前記一定時間は、無線端末収容装置側では短く、網の階層位置が上位に向かうほどに長くなるように設定されていることを特徴とする特徴とする請求項20又は請求項21記載の通信装置。
JP2004302103A 2004-10-15 2004-10-15 無線ネットワークシステム、無線端末収容装置及び通信装置 Expired - Fee Related JP4689225B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004302103A JP4689225B2 (ja) 2004-10-15 2004-10-15 無線ネットワークシステム、無線端末収容装置及び通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004302103A JP4689225B2 (ja) 2004-10-15 2004-10-15 無線ネットワークシステム、無線端末収容装置及び通信装置

Publications (2)

Publication Number Publication Date
JP2006115344A true JP2006115344A (ja) 2006-04-27
JP4689225B2 JP4689225B2 (ja) 2011-05-25

Family

ID=36383455

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004302103A Expired - Fee Related JP4689225B2 (ja) 2004-10-15 2004-10-15 無線ネットワークシステム、無線端末収容装置及び通信装置

Country Status (1)

Country Link
JP (1) JP4689225B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009031197A1 (ja) * 2007-09-03 2009-03-12 Trinity Security Systems, Inc. 通信装置、認証情報取得方法、接続要求方法、接続認証方法、認証情報取得プログラム、接続要求プログラムおよび接続認証プログラム
JP2012048284A (ja) * 2010-08-24 2012-03-08 Nec Corp メッセージ交換システム、メッセージ交換方法およびメッセージ交換プログラム
KR101378319B1 (ko) * 2012-05-21 2014-04-04 (주)싸이버원 보안처리시스템 및 방법
JP2017077027A (ja) * 2011-02-09 2017-04-20 サムスン エレクトロニクス カンパニー リミテッド 機器間連結制御方法及びその装置
KR20180066890A (ko) * 2018-06-05 2018-06-19 삼성전자주식회사 기기간 연결 제어 방법 및 그 장치
JP2020513169A (ja) * 2017-04-07 2020-04-30 株式会社トラストホールディングスTrusst Holdings Inc. 装置認証キーを利用したデータ暗号化方法およびシステム

Citations (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1070540A (ja) * 1996-08-27 1998-03-10 Nec Corp 無線ネットワークにおける無線端末の認証方法および無線ネットワーク
JP2000354031A (ja) * 1999-04-06 2000-12-19 Mitsubishi Electric Corp 共通鍵共有方法
JP2001111543A (ja) * 1999-10-07 2001-04-20 Nec Corp 無線lanの暗号鍵更新システム及びその更新方法
JP2001312468A (ja) * 2000-04-28 2001-11-09 Konami Co Ltd ネットワーク接続制御方法及び接続制御システム
JP2001357017A (ja) * 2000-06-13 2001-12-26 Pfu Ltd 認証処理システム及び課金処理システム
JP2002033764A (ja) * 2000-07-14 2002-01-31 Fujitsu Ltd 通信サービス提供システム、並びに通信サービス提供システムにおいて使用される移動端末装置、アドレスサーバ装置、およびルータ装置
JP2002125069A (ja) * 2000-10-16 2002-04-26 Mitsubishi Electric Corp Ip電話システム、無線ip電話機および無線lan基地局
JP2002124952A (ja) * 2000-10-12 2002-04-26 Furukawa Electric Co Ltd:The 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム
JP2002247047A (ja) * 2000-12-14 2002-08-30 Furukawa Electric Co Ltd:The セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
JP2002247023A (ja) * 2000-12-14 2002-08-30 Furukawa Electric Co Ltd:The セッション共有鍵共有方法、ネットワーク端末認証方法、ネットワーク端末および中継装置
JP2003060656A (ja) * 2001-08-15 2003-02-28 Allied Tereshisu Kk 無線lanにおけるvlan構築方法、無線中継機用vlanパケット処理プログラム、無線中継機用vlanパケット処理プログラムを記録した記録媒体、vlan機能を有する無線中継機及び無線vlanシステム
JP2003188885A (ja) * 2001-12-19 2003-07-04 Canon Inc 通信システム及びサーバ装置及びクライアント装置、ならびにそれらを制御するための方法及びそれらを実施するためのプログラム及びそれらのプログラムをコンピュータ読み出し可能に記憶した記憶媒体
JP2003218954A (ja) * 2001-11-09 2003-07-31 Docomo Communications Laboratories Usa Inc 安全なネットワークアクセス方法
JP2003259417A (ja) * 2002-03-06 2003-09-12 Nec Corp 無線lanシステム及びそれに用いるアクセス制御方法
JP2003318922A (ja) * 2002-04-25 2003-11-07 Nippon Telegraph & Telephone East Corp 無線ネットワーク接続システム、端末装置、無線アクセスポイント、リモートアクセスサーバ及び認証サーバ
JP2004056427A (ja) * 2002-07-19 2004-02-19 Sony Corp 無線情報伝送システム及び無線通信方法、無線局、無線端末装置
JP2004072633A (ja) * 2002-08-08 2004-03-04 Hitachi Ltd IPv6ノード収容方法およびIPv6ノード収容システム
WO2004034645A1 (ja) * 2002-10-11 2004-04-22 Matsushita Electric Industrial Co., Ltd. Wlan相互接続における識別情報の保護方法
WO2004045173A1 (ja) * 2002-11-13 2004-05-27 Fujitsu Limited ネットワークアクセス制御システム
JP2004208073A (ja) * 2002-12-25 2004-07-22 Sony Corp 無線通信システム
JP2004235890A (ja) * 2003-01-29 2004-08-19 Canon Inc 認証方法
JP2004247857A (ja) * 2003-02-12 2004-09-02 Toshiba Corp 中継装置、認証システム及びプログラム
JP2004266516A (ja) * 2003-02-28 2004-09-24 Matsushita Electric Ind Co Ltd ネットワーク管理サーバ、通信端末、エッジスイッチ装置、通信用プログラム並びにネットワークシステム
JP2004343448A (ja) * 2003-05-15 2004-12-02 Matsushita Electric Ind Co Ltd 無線lanアクセス認証システム
JP2005117656A (ja) * 2003-10-03 2005-04-28 Fujitsu Ltd 自己組織化マルチホップ無線アクセスネットワーク用の装置、方法及び媒体
JP2005524341A (ja) * 2002-05-01 2005-08-11 テレフォンアクチーボラゲット エル エム エリクソン(パブル) 無線ローカルエリアネットワークアクセスにおけるsimベース認証および暗号化システム、装置および方法
JP2006502647A (ja) * 2002-10-08 2006-01-19 ノキア コーポレイション アクセスネットワークを通じて接続を確立するための方法及びシステム

Patent Citations (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1070540A (ja) * 1996-08-27 1998-03-10 Nec Corp 無線ネットワークにおける無線端末の認証方法および無線ネットワーク
JP2000354031A (ja) * 1999-04-06 2000-12-19 Mitsubishi Electric Corp 共通鍵共有方法
JP2001111543A (ja) * 1999-10-07 2001-04-20 Nec Corp 無線lanの暗号鍵更新システム及びその更新方法
JP2001312468A (ja) * 2000-04-28 2001-11-09 Konami Co Ltd ネットワーク接続制御方法及び接続制御システム
JP2001357017A (ja) * 2000-06-13 2001-12-26 Pfu Ltd 認証処理システム及び課金処理システム
JP2002033764A (ja) * 2000-07-14 2002-01-31 Fujitsu Ltd 通信サービス提供システム、並びに通信サービス提供システムにおいて使用される移動端末装置、アドレスサーバ装置、およびルータ装置
JP2002124952A (ja) * 2000-10-12 2002-04-26 Furukawa Electric Co Ltd:The 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム
JP2002125069A (ja) * 2000-10-16 2002-04-26 Mitsubishi Electric Corp Ip電話システム、無線ip電話機および無線lan基地局
JP2002247047A (ja) * 2000-12-14 2002-08-30 Furukawa Electric Co Ltd:The セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
JP2002247023A (ja) * 2000-12-14 2002-08-30 Furukawa Electric Co Ltd:The セッション共有鍵共有方法、ネットワーク端末認証方法、ネットワーク端末および中継装置
JP2003060656A (ja) * 2001-08-15 2003-02-28 Allied Tereshisu Kk 無線lanにおけるvlan構築方法、無線中継機用vlanパケット処理プログラム、無線中継機用vlanパケット処理プログラムを記録した記録媒体、vlan機能を有する無線中継機及び無線vlanシステム
JP2003218954A (ja) * 2001-11-09 2003-07-31 Docomo Communications Laboratories Usa Inc 安全なネットワークアクセス方法
JP2003188885A (ja) * 2001-12-19 2003-07-04 Canon Inc 通信システム及びサーバ装置及びクライアント装置、ならびにそれらを制御するための方法及びそれらを実施するためのプログラム及びそれらのプログラムをコンピュータ読み出し可能に記憶した記憶媒体
JP2003259417A (ja) * 2002-03-06 2003-09-12 Nec Corp 無線lanシステム及びそれに用いるアクセス制御方法
JP2003318922A (ja) * 2002-04-25 2003-11-07 Nippon Telegraph & Telephone East Corp 無線ネットワーク接続システム、端末装置、無線アクセスポイント、リモートアクセスサーバ及び認証サーバ
JP2005524341A (ja) * 2002-05-01 2005-08-11 テレフォンアクチーボラゲット エル エム エリクソン(パブル) 無線ローカルエリアネットワークアクセスにおけるsimベース認証および暗号化システム、装置および方法
JP2004056427A (ja) * 2002-07-19 2004-02-19 Sony Corp 無線情報伝送システム及び無線通信方法、無線局、無線端末装置
JP2004072633A (ja) * 2002-08-08 2004-03-04 Hitachi Ltd IPv6ノード収容方法およびIPv6ノード収容システム
JP2006502647A (ja) * 2002-10-08 2006-01-19 ノキア コーポレイション アクセスネットワークを通じて接続を確立するための方法及びシステム
WO2004034645A1 (ja) * 2002-10-11 2004-04-22 Matsushita Electric Industrial Co., Ltd. Wlan相互接続における識別情報の保護方法
WO2004045173A1 (ja) * 2002-11-13 2004-05-27 Fujitsu Limited ネットワークアクセス制御システム
JP2004208073A (ja) * 2002-12-25 2004-07-22 Sony Corp 無線通信システム
JP2004235890A (ja) * 2003-01-29 2004-08-19 Canon Inc 認証方法
JP2004247857A (ja) * 2003-02-12 2004-09-02 Toshiba Corp 中継装置、認証システム及びプログラム
JP2004266516A (ja) * 2003-02-28 2004-09-24 Matsushita Electric Ind Co Ltd ネットワーク管理サーバ、通信端末、エッジスイッチ装置、通信用プログラム並びにネットワークシステム
JP2004343448A (ja) * 2003-05-15 2004-12-02 Matsushita Electric Ind Co Ltd 無線lanアクセス認証システム
JP2005117656A (ja) * 2003-10-03 2005-04-28 Fujitsu Ltd 自己組織化マルチホップ無線アクセスネットワーク用の装置、方法及び媒体

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009031197A1 (ja) * 2007-09-03 2009-03-12 Trinity Security Systems, Inc. 通信装置、認証情報取得方法、接続要求方法、接続認証方法、認証情報取得プログラム、接続要求プログラムおよび接続認証プログラム
JP2012048284A (ja) * 2010-08-24 2012-03-08 Nec Corp メッセージ交換システム、メッセージ交換方法およびメッセージ交換プログラム
JP2017077027A (ja) * 2011-02-09 2017-04-20 サムスン エレクトロニクス カンパニー リミテッド 機器間連結制御方法及びその装置
US11075898B2 (en) 2011-02-09 2021-07-27 Samsung Electronics Co., Ltd. Method and apparatus for controlling connection between devices
KR101378319B1 (ko) * 2012-05-21 2014-04-04 (주)싸이버원 보안처리시스템 및 방법
JP2020513169A (ja) * 2017-04-07 2020-04-30 株式会社トラストホールディングスTrusst Holdings Inc. 装置認証キーを利用したデータ暗号化方法およびシステム
KR20180066890A (ko) * 2018-06-05 2018-06-19 삼성전자주식회사 기기간 연결 제어 방법 및 그 장치
KR102025758B1 (ko) * 2018-06-05 2019-11-05 삼성전자주식회사 기기간 연결 제어 방법 및 그 장치

Also Published As

Publication number Publication date
JP4689225B2 (ja) 2011-05-25

Similar Documents

Publication Publication Date Title
JP3869392B2 (ja) 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体
JP5027314B2 (ja) 状態転送にコアベースのノードを使用するよう拡張された技術
US7729331B2 (en) Home terminal apparatus and communication system
US7680878B2 (en) Apparatus, method and computer software products for controlling a home terminal
US7437145B2 (en) Wireless control apparatus, system, control method, and program
US20120045060A1 (en) method and system for wireless connecting a mobile device to a service provider through a hosting wireless access node
US10419411B2 (en) Network-visitability detection
US8566590B2 (en) Encryption information transmitting terminal
US20090028101A1 (en) Authentication method in a radio communication system, a radio terminal device and radio base station using the method, a radio communication system using them, and a program thereof
EP1760945A2 (en) Wireless LAN security system and method
JPWO2006093161A1 (ja) 鍵配信制御装置、無線基地局装置および通信システム
PT1552646E (pt) Método e aparelho de permissão de nova autenticação num sistema de comunicação celular
JP2008299588A (ja) ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法
US11336434B2 (en) Internet of things networking authentication system and method thereof
KR101359600B1 (ko) 로컬 도메인 네임을 취득하기 위한 방법, 장치 및 시스템
JP2005020112A (ja) ネットワーク設定システム、管理装置、端末装置及びネットワーク設定方法
JP4689225B2 (ja) 無線ネットワークシステム、無線端末収容装置及び通信装置
JP4071774B2 (ja) 無線ネットワークにおける暗号鍵の配送方法および子機
JP2007049503A (ja) パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置
JP2006245831A (ja) 通信方法、通信システム、認証サーバ、および移動機
US20080077972A1 (en) Configuration-less authentication and redundancy
JP6610721B2 (ja) ストレージデバイス及びプログラム
KR100621124B1 (ko) 무선 네트워크에서의 암호키 관리 방법 및 이를 이용한네트워크 장치
KR101207319B1 (ko) IEEE 802.1x 인증 시스템, 이를 이용하는 암호 관리 방법 및 인증 방법
JP5733645B2 (ja) ローカルドメイン名を取得するための方法、デバイス、およびシステム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071012

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101026

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110201

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110216

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140225

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees