JP2006203300A - 転送装置、アクセス可否判定方法およびプログラム - Google Patents

転送装置、アクセス可否判定方法およびプログラム Download PDF

Info

Publication number
JP2006203300A
JP2006203300A JP2005010079A JP2005010079A JP2006203300A JP 2006203300 A JP2006203300 A JP 2006203300A JP 2005010079 A JP2005010079 A JP 2005010079A JP 2005010079 A JP2005010079 A JP 2005010079A JP 2006203300 A JP2006203300 A JP 2006203300A
Authority
JP
Japan
Prior art keywords
address
wireless terminal
authentication
physical address
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005010079A
Other languages
English (en)
Inventor
Masataka Goto
真孝 後藤
Yoshihiko Kayao
吉彦 柏尾
Masahiro Takagi
雅裕 高木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2005010079A priority Critical patent/JP2006203300A/ja
Priority to US11/269,813 priority patent/US20060161770A1/en
Publication of JP2006203300A publication Critical patent/JP2006203300A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • H04W48/04Access restriction performed under specific conditions based on user or terminal location or mobility data, e.g. moving direction, speed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

【課題】 ユーザの手間を少なくしつつ通信の健全性をチェックする。
【解決手段】この通信システムのAP4は、端末5から受信される電波の到来方向より端末5の位置情報を取得するアンテナ46と、取得した位置情報と、端末5から認証サーバ2にアクセスする際に受信された認証情報に含まれる端末5のMACアドレスとを対応させてMACアドレス−位置情報管理テーブル30に登録し、認証後、端末5がLAN1上の機器にアクセスする際に、MACアドレス−位置情報管理テーブル30に記憶されているMACアドレスと位置情報に基づいてアクセス可否を判定する位置チェック機能43とを備える。
【選択図】図1

Description

本発明は、例えば無線LANなどで用いられるアクセスポイント、ルータ、ブリッジ、リピータ、スイッチングハブなどの転送装置、アクセス可否判定方法およびプログラムに関する。
IEEE 802.1Xは、OSI参照モデルの7つの階層のうち、データリンク層でユーザ認証を行う通信プロトコルである。
認証装置と無線端末とをアクセスポイントなどの中継装置およびLANなどのネットワークを介して接続した通信システムにおいて、IEEE802.1Xでは、端末から認証装置に受信された認証要求情報に含まれるユーザID、パスワードなどのユーザ認証情報を基に認証装置がユーザ認証処理を実行することで、そのユーザ認証情報の送信元の端末(機器)のMACアドレスを正当と認める。
現在のユーザ認証方法に用いられるユーザ認証情報は、ユーザID、パスワードが主流であり、ユーザがネットワークにアクセスを開始する際の認証以外でも、事ある毎に、ユーザID、パスワードの入力が求められるため、ユーザとしては、これらのユーザ認証情報をいちいち入力するのが至って面倒であるという問題もある。
一方、悪意のユーザによるユーザ詐称(成りすまし)の技術も向上しており、ユーザID、パスワードだけのユーザ認証には限界がある。
そこで、近年では、ユーザ認証時に端末のIPアドレスの認証を加えた技術も考案されている(例えば特許文献1参照)。
特開2002-84306号公報
しかしながら、IPアドレスは、DHCPサーバが自動的に割り当てる(付与する)以外に、手操作によるIPアドレスの付与も可能であり、例えば認証後のIPアドレスを用いてネットワークを利用するなどの不正行為が行われる可能性があり、ネットワークを利用するユーザの正当性を確認する上で必ずしも安全とは言えない。
本発明はこのような課題を解決するためになされたもので、ユーザの手間が少なく通信の健全性をチェックすることのできる転送装置、アクセス可否判定方法およびプログラムを提供することを目的としている。
上記した目的を達成するために、本発明の転送装置は、認証装置にネットワークを介して接続され、無線端末が無線通信により前記ネットワーク上の前記認証装置およびその他の機器にアクセスするための転送装置において、前記無線端末の物理アドレスとIPアドレスとを対応付けて記憶するアドレス記憶手段と、前記無線端末から前記認証装置にアクセスする際の認証情報に含まれる前記無線端末の物理アドレスを前記アドレス記憶手段に登録する手段と、前記無線端末に付与されたIPアドレスの正当性を、前記無線端末から受信された物理アドレスと前記アドレス記憶手段に記憶されている物理アドレスとを比較して検査するアドレス検査手段と、前記アドレス検査手段により正当性が確認されたIPアドレスを前記アドレス記憶手段の該当物理アドレスに対応させて登録する手段と、認証後、前記無線端末から前記ネットワーク上の機器へアクセスする際に、前記アドレス記憶手段に記憶されている物理アドレスとIPアドレスとの対応状況に基づいてアクセス可否を判定する判定手段とを具備したことを特徴とする。
本発明の転送装置は、認証装置にネットワークを介して接続され、無線端末が無線通信により前記ネットワーク上の前記認証装置およびその他の機器にアクセスするための転送装置において、前記無線端末の物理アドレスと前記無線端末の位置情報とを対応付けて記憶する位置アドレス記憶手段と、前記無線端末から受信される電波の到来方向より前記無線端末の位置情報を取得する位置情報取得手段と、前記位置情報取得手段により取得された位置情報と、前記無線端末から前記認証装置にアクセスする際に受信された認証情報に含まれる前記無線端末の物理アドレスとを対応させて前記位置アドレス記憶手段に登録する手段と、認証後、前記無線端末から前記ネットワーク上の機器にアクセスする際に、前記位置アドレス記憶手段に記憶されている物理アドレスと位置情報に基づいてアクセス可否を判定する判定手段とを具備したことを特徴とする。
本発明の転送装置は、認証装置にネットワークを介して接続され、無線端末が無線通信により前記ネットワーク上の前記認証装置およびその他の機器にアクセスするための転送装置において、前記無線端末の物理アドレスとIPアドレスとを対応付けて記憶するアドレス記憶手段と、前記無線端末の物理アドレスと位置情報とを対応付けて記憶する位置アドレス記憶手段と、前記無線端末から前記認証装置にアクセスする際に受信された認証情報に含まれる前記無線端末の物理アドレスを前記アドレス記憶手段に登録する手段と、前記無線端末に対して前記IPアドレス付与装置に付与されたIPアドレスの正当性を、前記無線端末から受信された物理アドレスと前記アドレス記憶手段に記憶されている物理アドレスとを比較して検査するアドレス検査手段と、前記アドレス検査手段により正当性が確認されたIPアドレスを該当物理アドレスに対応させて前記アドレス記憶手段に登録する手段と、前記無線端末から受信される電波の到来方向より前記無線端末の位置情報を取得する位置情報取得手段と、前記位置情報取得手段により取得された位置情報と、前記無線端末の物理アドレスとを前記位置アドレス記憶手段に対応させて登録する手段と、認証後、前記無線端末から前記ネットワーク上の機器にアクセスする際に、前記位置アドレス記憶手段に記憶されている物理アドレスと位置情報との対応状況、および/または前記アドレス記憶手段に記憶されている物理アドレスとIPアドレスとの対応状況に基づいてアクセス可否を判定する判定手段とを具備したことを特徴とする。
本発明のアクセス可否判定方法は、無線端末が転送装置を介してネットワークに接続された認証装置とその他の機器にアクセスする際のアクセス可否判定方法において、前記無線端末から前記認証装置にアクセスする際の認証情報に含まれる前記無線端末の物理アドレスを前記転送装置に登録するステップと、前記無線端末に対して前記IPアドレス付与装置に付与されたIPアドレスの正当性を、前記無線端末から受信された物理アドレスと前記転送装置に記憶されている物理アドレスと比較して検査するステップと、検査により正当性が確認されたIPアドレスを該当物理アドレスに対応させて前記転送装置に登録するステップと、認証後、前記無線端末から前記ネットワーク上の機器へアクセスする際に、前記転送装置に記憶されている物理アドレスとIPアドレスとの対応状況に基づいてアクセス可否を判定するステップとを具備したことを特徴とする。
本発明のアクセス可否判定方法は、無線端末が転送装置を介してネットワークに接続された認証装置とその他の機器にアクセスする際のアクセス可否判定方法において、前記無線端末から前記転送装置に受信される電波の到来方向より前記無線端末の位置情報を取得するステップと、取得された位置情報と前記無線端末から前記認証装置にアクセスする際に受信された認証情報に含まれる前記無線端末の物理アドレスとを対応させて前記転送装置に登録するステップと、認証後、前記無線端末から前記ネットワーク上の機器にアクセスする際に、前記転送装置に記憶されている物理アドレスと位置情報に基づいてアクセス可否を判定するステップとを有することを特徴とする。
本発明のアクセス可否判定方法は、無線端末が転送装置を介してネットワークに接続された認証装置とその他の機器にアクセスする際のアクセス可否判定方法において、前記無線端末から前記認証装置にアクセスする際に受信された認証情報に含まれる前記無線端末の物理アドレスを前記転送装置に登録するステップと、前記無線端末に付与されたIPアドレスの正当性を、前記無線端末から受信された物理アドレスと前記転送装置に記憶されている物理アドレスとを比較して検査するステップと、検査により正当性が確認されたIPアドレスを該当物理アドレスに対応させて前記転送装置に登録するステップと、前記無線端末から受信される電波の到来方向より前記無線端末の位置情報を取得するステップと、取得された位置情報と前記無線端末の物理アドレスとを対応させて前記転送装置に登録するステップと、認証後、前記無線端末から前記ネットワーク上の機器にアクセスする際に、前記転送装置に記憶されている物理アドレスと位置情報との対応状況、および/または物理アドレスとIPアドレスとの対応状況に基づいてアクセス可否を判定するステップとを有することを特徴とする。
本発明のプログラムは、認証装置にネットワークを介して接続され、無線端末が無線通信により前記ネットワーク上の前記認証装置にアクセスして認証を行うためのパケット転送を行う転送装置に処理を実行させるプログラムにおいて、前記転送装置を、前記無線端末の物理アドレスとIPアドレスとを対応付けて記憶するアドレス記憶手段と、前記無線端末から前記認証装置にアクセスする際の認証情報に含まれる前記無線端末の物理アドレスを前記アドレス記憶手段に登録する手段と、前記無線端末に対して前記IPアドレス付与装置に付与されたIPアドレスの正当性を、前記無線端末から受信された物理アドレスと前記アドレス記憶手段に記憶されている物理アドレスとを比較して検査するアドレス検査手段と、前記アドレス検査手段により正当性が確認されたIPアドレスを前記アドレス記憶手段の該当物理アドレスに対応させて登録する手段と、認証後、前記無線端末から前記ネットワーク上の機器へアクセスする際に、前記アドレス記憶手段に記憶されている物理アドレスとIPアドレスとの対応状況に基づいてアクセス可否を判定する判定手段として機能させることを特徴とする。
本発明のプログラムは、認証装置にネットワークを介して接続され、無線端末が無線通信により前記ネットワーク上の前記認証装置にアクセスして認証を行うためのパケット転送を行う転送装置に処理を実行させるプログラムにおいて、前記転送装置を、前記無線端末の物理アドレスと前記無線端末の位置情報とを対応付けて記憶する位置アドレス記憶手段と、前記無線端末から受信される電波の到来方向より前記無線端末の位置情報を取得する位置情報取得手段と、前記位置情報取得手段により取得された位置情報と、前記無線端末から前記認証装置にアクセスする際に受信された認証情報に含まれる前記無線端末の物理アドレスとを対応させて前記位置アドレス記憶手段に登録する手段と、認証後、前記無線端末から前記ネットワーク上の機器にアクセスする際に、前記位置アドレス記憶手段に記憶されている物理アドレスと位置情報に基づいてアクセス可否を判定する判定手段として機能させることを特徴とする。
本発明のプログラムは、認証装置とネットワークを介して接続され、無線端末が無線通信により前記ネットワーク上の前記認証装置にアクセスして認証を行うためのパケット転送を行う転送装置に処理を実行させるプログラムにおいて、前記転送装置を、前記無線端末の物理アドレスとIPアドレスとを対応付けて記憶するアドレス記憶手段と、前記無線端末の物理アドレスと位置情報とを対応付けて記憶する位置アドレス記憶手段と、前記無線端末から前記認証装置にアクセスする際に受信された認証情報に含まれる前記無線端末の物理アドレスを前記アドレス記憶手段に登録する手段と、前記無線端末に対して付与されたIPアドレスの正当性を、前記無線端末から受信された物理アドレスと前記アドレス記憶手段に記憶されている物理アドレスとを比較して検査するアドレス検査手段と、前記アドレス検査手段により正当性が確認されたIPアドレスを該当物理アドレスに対応させて前記アドレス記憶手段に登録する手段と、前記無線端末から受信される電波の到来方向より前記無線端末の位置情報を取得する位置情報取得手段と、前記位置情報取得手段により取得された位置情報と、前記無線端末の物理アドレスとを前記位置アドレス記憶手段に対応させて登録する手段と、認証後、前記無線端末から前記ネットワーク上の機器にアクセスする際に、前記位置アドレス記憶手段に記憶されている物理アドレスと位置情報との対応状況、および/または前記アドレス記憶手段に記憶されている物理アドレスとIPアドレスとの対応状況に基づいてアクセス可否を判定する判定手段として機能させることを特徴とする。
本発明では、無線端末から認証装置にアクセスする際の認証情報に含まれる無線端末の物理アドレスを転送装置に登録しておき、無線端末に付与されたIPアドレスの正当性を、転送装置が、無線端末から受信された物理アドレスと予め記憶しておいた物理アドレスとを比較して検査する。そして、正当性が確認されたIPアドレスを物理アドレスに対応させて登録する。認証後、無線端末からネットワーク上の機器へアクセスする際に、転送装置は、記憶されている物理アドレスとIPアドレスとの対応状況に基づいてアクセス可否を判定する。つまり、無線端末から自動的に送信される物理アドレスとIPアドレス、および/または物理アドレスと位置情報といった異なる階層で取得した情報の組み合わせてアクセス可否判定を行う。これにより、ユーザは、ネットワークにアクセスするたびにユーザIDおよびパスワードなどのユーザ認証情報の入力が不要になる。
以上説明したように本発明によれば、ユーザの手間が少なく通信の健全性をチェックすることができる。
以下、本発明の実施の形態を図面を参照して詳細に説明する。
図1は本発明に係る第1実施形態の無線LAN通信システムの構成を示す図、図2は図1の無線LAN通信システムのAPに設定されているMACアドレス−IPアドレス管理テーブルを示す図、図3は図1の無線LAN通信システムのAPに設定されているMACアドレス−位置情報管理テーブルを示す図である。
図1に示すように、この第1実施形態の無線LAN通信システムは、転送装置の1つとしてのアクセスポイント4(以下AP4と称す)と無線端末の1つとしての端末5からなる無線LANネットワークと、AP4、認証サーバ2およびその他の機器(DHCPサーバ3など)を接続したLAN1などの有線ネットワークとから構成されている。
AP4は、有線側の通信機能であるEthernet I/F41、IPアドレスチェック機能42、位置チェック機能43、認証機能であるAuthenticator機能44、転送機能45、アンテナ46、無線側の通信機能である無線LAN I/F47などを有している。このAP4は、認証サーバ2にLAN1を介して接続されており、端末5が無線通信によりLAN1上の認証サーバ2およびDHCPサーバ3にアクセスするためのものである。Ethernetは、登録商標である。
AP4の各機能は、CPU、メモリ、通信用チップなどのハードウェアと、ファームウェアまたはオペレーティングシステムなどのソフトウェアが協動して実現する。
なお、IPアドレスチェック機能42、位置チェック機能43、アンテナ46などは、必要に応じてその機能を用いるものであり、すべての構成が必須とは限らない。AP4に上記の中の一部の機能が備えられている場合は、以降で述べる個別の機能のうち、関係する機能のみ実現できることになる。
IPアドレスチェック機能42は、メモリに設けられたアドレス記憶手段としてのMACアドレス−IPアドレス管理テーブル20(図2参照)と、このMACアドレス−IPアドレス管理テーブル20に基づいてIPアドレスとMACアドレスとの対応関係を管理及びチェックするチェック機能とからなる。
IPアドレスチェック機能42は、端末5から認証サーバ2にアクセスする際の認証情報に含まれる端末5のMACアドレスをMACアドレス−IPアドレス管理テーブル20に登録する手段として機能する。IPアドレスチェック機能42は、端末5に付与されたIPアドレスの正当性(矛盾がないかどうか)を、端末5から受信されたMACアドレスとMACアドレス−IPアドレス管理テーブル20に記憶されているMACアドレスとを比較して検査するアドレス検査手段として機能する。
IPアドレスチェック機能42は、MACアドレスの検査により正当性が確認されたIPアドレスをMACアドレス−IPアドレス管理テーブル20の該当MACアドレスに対応させて登録する手段としての機能する。
IPアドレスチェック機能42は、認証後、端末5からLAN1上の機器(DHCPサーバ3やその他の機器へ)へアクセスする際に、MACアドレス−IPアドレス管理テーブル20に記憶されているMACアドレスとIPアドレスとの対応状況に基づいてアクセス可否を判定する判定手段として機能する。MACアドレスとIPアドレスとの対応状況とは、互いのアドレスが対応しているか、MACアドレスしか登録されていないか、などといったことである。
図2に示すように、MACアドレス−IPアドレス管理テーブル20は、例えば端末のMACアドレス(00:00:03:00:00:01)に対して、IPアドレス(192.168.10.1)を対応させ、MACアドレス(00:00:03:00:00:02)に対して、IPアドレス(192.168.10.2)を対応させ、MACアドレス(00:00:03:00:00:03)に対して、IPアドレス(192.168.10.3)を対応させる、というように、個々の端末のMACアドレスとIPアドレスとの対応を保持するMACアドレス/IPアドレス対応関係記憶部である。
つまり、IPアドレスチェック機能42は、メモリに登録されたMACアドレスとIPアドレスとの対(組)を保持し、以後、MACアドレスとIPアドレスの対(組)が一致しているか否かにより通信の正当性を検査する機能を有している。
位置チェック機能43は、メモリに設けられた位置アドレス記憶手段としてのMACアドレス−位置情報管理テーブル30(図3参照)と、このMACアドレス−位置情報管理テーブル30に基づいて通信中の端末5の位置情報とMACアドレスとの対応関係を管理及びチェックするチェック機能とからなる。
位置チェック機能43は、位置情報取得手段により取得された位置情報と、端末5から認証サーバ2にアクセスする際に受信された認証情報に含まれる端末5のMACアドレスとを対応させてMACアドレス−位置情報管理テーブル30に登録する手段として機能する。
位置チェック機能43は、認証後、端末5がLAN1上の機器にアクセスする際に、MACアドレス−位置情報管理テーブル30に記憶されているMACアドレスと、取得した位置情報に基づいてアクセス可否を判定する判定手段として機能する。
図3に示すように、MACアドレス−位置情報管理テーブル30は、例えばMACアドレス(00:00:03:00:00)に対して、位置情報(X座標(xxxx)、Y座標(yyyy))を対応させる、というように、端末のMACアドレスと位置情報との対応を保持するMACアドレス/位置情報対応関係記憶部である。
つまり、位置チェック機能43は、メモリに登録されたMACアドレスと端末5の位置情報との対(組)をテーブルの形態で保持し、以後、MACアドレスと端末5の位置情報の対(組)が一致しているか否かにより通信の正当性を検査する機能である。
転送機能45は、一方の通信インタフェースで受信した通信パケットを他方の通信インタフェースから送信する機能であり、通信パケットの転送処理の際に通信パケットよりMACアドレス、IPアドレス、位置情報などを取得し、IPアドレスチェック機能42および位置チェック機能43へ通知し、それぞれのテーブルに登録する。
転送機能45は、転送機能として、複数の転送による通信パケットの重複転送を回避するための手順や、ループを回避するための手順などを含む機能を持つものもあるが、本発明では、その点についてはいずれの機能を用いてもよい。
Authenticator機能44は、IEEE802.1X認証やIEEE802.11i、Wi−Fi Protected Access(WPA)などのセキュリティ目的の認証機能の構成要素であり、LAN1上で自身に接続してくる端末5を暗号技術に基づくユーザの秘密情報で認証する機能である。
図1に示した第1実施形態の無線LAN通信システムおよび図8に示す第2実施形態の無線LAN通信システムでは、認証手順としてIEEE802.1X、および、それに準ずる認証手順を想定しており、認証は、端末5のSupplicant機能52、AP4のAuthenticator機能44、認証サーバ2の3者のハンドシェイクで実施される。
この場合、認証手順の最後に、認証サーバ2からAP4のAuthenticator機能44に承諾メッセージが受信されることで、Authenticator機能44は、端末5の接続要求を受け入れ、端末5との通信を開始する。
Authenticator機能44における認証方法は、上述の認証手順に限定したものではなく、端末5と同様の端末の認証に関して最終的な認証結果に基づいて接続の受け入れを行なえばよい。
このAP4には、上記ユーザ認証処理による端末の接続の可否判定機能に加え、AP4のメモリにはMACアドレス−IPアドレス管理テーブル20およびMACアドレス−位置情報管理テーブル30などのアドレス管理用のテーブルが設けられており、それぞれのテーブルに対して、IPアドレスチェック機能42または位置チェック機能43が、転送される通信パケットから得られるMACアドレス、IPアドレスおよび位置情報の登録と管理を行なう。
アンテナ46は、例えば複数の無指向性アンテナをアレイ状に並べたスマートアンテナなどが用いられており、それぞれの無指向性アンテナに入る信号を処理することで、到来波の方向を推定し、通信中の端末の位置情報を得ることができる。信号処理には、既知の例えばMUSIC(Multiple Signal Classification)法,またはESPRIT(Estimation of Signal Parameters via Rotational Invariance Techniqus)法などの到来波推定技術が利用されている。アンテナ46および無線LAN I/F47は、端末5から受信される電波の到来方向より端末5の位置情報を取得する位置情報取得手段として機能する。
端末5は、無線LAN I/F51とSupplicant機能52とを備えている。無線LAN I/F51は、無線LANを介してIPで通信を行なう装置である。Supplicant機能52は、認証サーバ2、AP4のAuthenticator機能44とのユーザ認証を実施する。
端末5の具体例としては、例えばコンピュータ(PC)やPersonal Digital Assistance(PDA)などが一般的である。PDAは、個人用の携帯情報端末であり、手のひらに収まるくらいの大きさの電子機器であり、PCのもつ機能のうちいくつかを実装したものをいう。PDAは、液晶表示装置や外部との接続端子を搭載し、電池や専用バッテリなどで駆動する。端末5は、特に用途や機能には制限はない。
以後、端末5の無線LAN I/F51のMACアドレスを、仮に00:00:39:01:02:03 として説明する。
認証サーバ2は、AP4のAuthenticator機能44、端末5のSupplicant機能52とで、端末5のユーザ認証を実施する認証サーバ2である。認証サーバ2としては、例えばRADIUSサーバなどが用いられているが、認証機能を備えるサーバであれば、他のサーバであっても良い。
DHCPサーバ3は、アドレス付与の要求(DHCP request)を送信してきた端末5に対してIPアドレスの自動的な割り付け(IPアドレス自動付与)とそれに関係するネットワーク設定情報の通知を行なうDHCP機能を持つサーバである。なお、端末5のIPアドレスは、端末5のアドレス設定画面からキー入力することでも付与できる。
以下、この無線LAN通信システムの動作を説明する。
この無線LAN通信システムの動作としては、端末5による無線LAN接続時の動作、端末5のIPアドレス設定時の動作、端末5のデータ通信中の動作などがあり、それぞれについて説明する。
まず、図4を参照して端末5による無線LAN接続時の動作について説明する。図4は端末5による無線LAN接続時の動作を示す通信シーケンス図である。
無線LAN接続の際には、端末5のSupplicant機能52、AP4のAuthenticator機能44、認証サーバ2の間で認証手順を行なう(S101,S102)。
認証手順では、端末5からの送信情報に少なくとも端末5のMACアドレスが含まれて送信され、それがAP4を通じて認証サーバ2へ転送される。
そして、3者間での認証が成功すると(S103)、Authenticator機能44は、認証時に端末5より取得した端末5の物理アドレスであるMACアドレスをIPアドレスチェック機能42と位置チェック機能43へ通知する(S104)。
そして、Authenticator機能44とSupplicant機能52との間で鍵交換手順を行ない(S105)、暗号鍵を生成する。その後、端末5の無線LAN I/F51とAP4のアンテナ46間で暗号通信が開始される(S106)。
つまり、Authenticator機能44は、認証成功と鍵交換手順の間に、転送機能45により転送される通信パケットから端末5のMACアドレスを取り出して(抽出して)、IPアドレスチェック機能42と位置チェック機能43へ通知する。
MACアドレスの通知には、当該端末5のMACアドレスである00:00:39:01:02:03 が含まれる。なお、AP4の機能構成上、IPアドレスチェック機能42および位置チェック機能43のうちいずれかがAP4に備えられていない場合、Authenticator機能44は、含まれている機能だけへMACアドレスを通知する。
Authenticator機能44からIPアドレスチェック機能42にMACアドレスが通知された時点では、そのMACアドレスに対応するIPアドレスの情報は、MACアドレス−IPアドレス管理テーブル20に保持されていないため、MACアドレス−IPアドレス管理テーブル20の情報としては、MACアドレスの欄のみに00:00:39:01:02:03というMACアドレスが入る状態となり、対応するIPアドレスが通知されるまでMACアドレス−IPアドレス管理テーブル20のIPアドレスの欄は空欄のままとなる。
位置チェック機能43も同様に、MACアドレスの通知を受けると、MACアドレスと位置情報の対応関係を保持するMACアドレス−位置情報管理テーブル30に登録するが、この時点では、当該MACアドレスの端末5の位置情報が受信されていないため、MACアドレスの欄のみに00:00:39:01:02:03というMACアドレスが入る状態となり、位置情報の欄は空欄のままとなる。
続いて、図5を参照して端末5のIPアドレス設定時の動作について説明する。図5はDHCPを用いた場合のIPアドレス登録動作を示す通信シーケンス図である。
LAN1上のDHCP機能を利用して端末5のIPアドレスを設定する場合、端末5は、LAN1上にDHCP機能が存在するかどうかを確かめるための要求(DHCP discover)を、AP4を通じてLAN1上のDHCPサーバ3へ送信する(S201,S202)。
DHCPサーバ3は、端末5からの要求(DHCP discover)が受信されると、要求元の端末5に対して、DHCP機能が存在する旨を申し出るための通知(DHCP offer)を返信する(S203,S204)。
DHCPサーバ3からの通知(DHCP offer)を受信した端末5は、IPアドレス設定要求(DHCP request)を、AP4を通じてLAN1上のDHCPサーバ3へ送信する(S205,S206)。
DHCPサーバ3は、端末5からのIPアドレス設定要求(DHCP request)が受信されると、DHCP機能により、自身が保有するIPアドレスの中から現在使用されていないIPアドレスを端末5用として動的に割り当て、そのメッセージ(DHCP ack)を端末5へ返信する(S207,S208)。
このようにして端末5は、AP4を中継したDHCPの手順を経てLAN1上のDHCPサーバ3によって付与されたIPアドレスと、それに関連するネットワーク設定の通知をAP4を通じて受ける。
この際、AP4では、転送機能45が、DHCPの最後のメッセージDHCP ackを端末5へ転送した後、当該端末5に関するIPアドレス登録メッセージを、IPアドレスチェック機能42に通知する(S209)。
IPアドレス登録メッセージには、端末5のMACアドレスと端末5に付与されたIPアドレスが含まれる。
DHCPサーバ3によって付与されたIPアドレスが例えば192.169.0.1 とすると、IPアドレス登録メッセージには、MACアドレスとして 00:00:39:01:02:03、IPアドレスとして 192.169.0.1か含まれることになる。
ここで、図6を参照してアドレス解決プロトコル(以下ARPと称す)を使用する場合のIPアドレス登録動作について説明する。図6はARPを使用する場合のIPアドレス登録動作を示す通信シーケンス図である。
上記IPアドレス設定動作によってIPアドレスが端末5に設定されたときに、端末5は、ARPリクエストを送信する(S301)。このときAP4の転送機能45は、端末5から受信したARPリクエストをLAN1へ転送した後、当該端末5に関するIPアドレス登録メッセージをIPアドレスチェック機能42に通知する(S302)。なお、IPアドレスの登録動作としては、DHCPを使用した場合とARPを使用した場合のどちらか一方でも、また両方を行なっても構わない。
IPアドレス登録メッセージを受け取ったIPアドレスチェック機能42は、メッセージに含まれる端末5のIPアドレスとMACアドレス−IPアドレス管理テーブル20内の情報とを比較して矛盾がないことを確認した後、当該端末5のMACアドレスに対応させて、メッセージに含まれていたIPアドレスを登録する。なお、矛盾とは、当該IPアドレスは、既に異なるMACアドレスに対応付けられていることを指す。さらに、管理者の設定により、当該MACアドレスには、既に異なるIPアドレスが対応付けられていることを矛盾と判定しても差し支えない。これは、一つの端末に複数のIPアドレスの設定を許さないことを意味している。
このIPアドレス登録動作によって、MACアドレス−IPアドレス管理テーブル20の、MACアドレス00:00:39:01:02:03についてIPアドレス192.169.0.1が登録されて対応付けられる。
また、一つの端末5に複数のIPアドレスの設定が許されているような管理者設定の場合は、1つのMACアドレス00:00:39:01:02:03について、複数のIPアドレス(第1IPアドレス192.169.0.1,第2IPアドレス192.169.0.101のように対応付けられる。
MACアドレス−IPアドレス管理テーブル20の、MACアドレスとIPアドレスの対応は、当該MACアドレスの端末5が無線LAN接続を解消するときに破棄される。
次に、図7を参照して端末5のデータ通信中の動作について説明する。図7は通信パケットの転送処理を示す通信シーケンス図である。
図7に示すように、端末5より無線のdata frameが送信され(S401)、それがAP4のアンテナ46および無線LAN I/F47によって受信されると、転送機能45によって、受信されたdata frameがEthernet I/F41よりLAN1へ転送される。
このように通信パケットを転送しているときに、転送機能45は、無線LAN I/F47により受信されたdata frameについて、アンテナ46が把握した送信元端末の位置の正当性を確認するために、位置チェック機能43に対して位置検査情報を送る(S402)。位置検査情報には、検査対象の端末である端末5のMACアドレス、検査対象の端末5の位置情報が含まれる。端末5のMACアドレスは、Data frameに含まれるヘッダ情報から転送機能45が取得する。端末5の位置情報は、アンテナ46の到来波推定の機能により転送機能45が取得する。
到来波推定の手法については、上述した既知の技術(MUSIC法またはESPRIT法など)のうちいずれかでよいが、位置情報が何らかの方法で数値化されている必要はある。
位置検査情報を受けとった位置チェック機能43は、MACアドレス−位置情報管理テーブル30の当該MACアドレスの位置情報の欄が空欄ならば、当該位置情報をMACアドレス−位置情報管理テーブル30に登録する。
MACアドレス−位置情報管理テーブル30の当該MACアドレスの位置情報が存在、つまり保持されている場合、位置チェック機能43は、位置情報に矛盾がないかを検査する(S403)。
位置情報の矛盾の検査の方法は、管理者によって設定されており、例えば端末5が移動しないことを運用の前提とした場合、位置チェック機能43は、位置情報が変化した場合に矛盾と判定する。
端末5が少々の移動を前提とした場合、位置チェック機能43は、MACアドレス−位置情報管理テーブル30内の位置情報と位置検査情報の位置情報との差分が予め自身に設定された閾値以上である場合に矛盾と判定する。
また、端末5が一定速度での移動を前提とした場合、位置チェック機能43は、MACアドレス−位置情報管理テーブル30内の位置情報を位置検査情報の位置情報で毎回更新しながら、MACアドレス−位置情報管理テーブル30の位置情報と位置検査情報の位置情報との差分を検査し、差分が自身に予め設定されていた閾値以上である場合に矛盾と判定する、などの判定方法があり、これらを組み合わせてもよい。
検査後に、位置チェック機能43は、位置検査結果として、MACアドレス、検査のOK/NGを返答する(S404)。
位置検査結果がOK、または位置チェック機能43がない場合、data frameは、転送機能45に渡される(S405)。
転送機能45は、位置検査結果がOKの場合、IPアドレス検査情報をIPアドレスチェック機能42に渡す(S406)。IPアドレス検査情報には、当該data frameに含まれる送信元である端末5のMACアドレス、IPアドレスが含まれている。
IPアドレス検査情報を受け取ったIPアドレスチェック機能42は、MACアドレス−IPアドレス管理テーブル20から当該MACアドレスのIPアドレスを把握し、IPアドレスの検査処理を行う(S407)。
この検査処理では、MACアドレス−IPアドレス管理テーブル20から得た当該IPアドレスが空欄であり、MACアドレス−IPアドレス管理テーブル20から得た当該IPアドレスに、IPアドレス検査情報内の当該IPアドレスが含まれない場合に矛盾と判定する。
IPアドレス検査処理を終えたIPアドレスチェック機能42は、検査結果を返答する(S408)。
次に、図8、図9を参照してIPアドレスチェック機能42または位置チェック機能43が検査処理した結果、NGと判定した場合について説明する。図8は位置チェック機能43が位置検査でNGと判定した場合の通信シーケンス図、図9はIPアドレスチェック機能42がIPアドレス検査処理でNGと判定した場合の通信シーケンス図である。
図8に示すように、端末5より送信されたdataframeがAP4のアンテナ46および無線LAN I/F47に受信されると(S501)、位置検査情報を位置チェック機能43に渡す(S502)。位置検査情報には、検査対象の端末である端末5のMACアドレス、検査対象の端末5の位置情報が含まれる。
位置チェック機能43は、位置検査情報を基に位置検査処理を実行し(S503)、検査結果としてNGを含めて無線LAN I/F47に応答する(S504)。
NGの検査結果を受け取った無線LAN I/F47は、当該data frameを破棄する、または当該端末5との接続を解消する、の両方または一方の動作を行う(S505)。
図9に示すように、端末5より無線のdata frameが送信され(S601)、それがAP4のアンテナ46および無線LAN I/F47によって受信されると、転送機能45によって、受信されたdata frameがEthernet I/F41よりLAN1へ転送される。
このように通信パケットを転送しているときに、転送機能45は、無線LAN I/F47により受信されたdata frameについて、アンテナ46が把握した送信元端末の位置の正当性を確認するために、位置チェック機能43に対して位置検査情報を送る(S602)。位置検査情報には、検査対象の端末である端末5のMACアドレス、検査対象の端末5の位置情報が含まれる。端末5のMACアドレスは、Data frameに含まれるヘッダ情報から転送機能45が取得する。端末5の位置情報は、アンテナ46の到来波推定の機能により転送機能45が取得する。
位置検査情報を受けとった位置チェック機能43は、MACアドレス−位置情報管理テーブル30の当該MACアドレスの位置情報の欄が空欄ならば、当該位置情報をMACアドレス−位置情報管理テーブル30に登録する。
MACアドレス−位置情報管理テーブル30の当該MACアドレスの位置情報が存在、つまり保持されている場合、位置チェック機能43は、位置情報に矛盾がないかを検査する(S603)。位置情報の矛盾の検査の方法については、図7の説明で示しており、ここでの説明は省略する。
検査後に、位置チェック機能43は、位置検査結果として、MACアドレス、検査のOK/NGを返答する(S604)。
位置検査結果がOK、または位置チェック機能43がない場合、data frameは、転送機能45に渡される(S605)。
転送機能45は、位置検査結果がOKの場合、IPアドレス検査情報をIPアドレスチェック機能42に渡す(S606)。IPアドレス検査情報には、当該data frameに含まれる送信元である端末5のMACアドレス、IPアドレスが含まれている。
IPアドレス検査情報を受け取ったIPアドレスチェック機能42は、MACアドレス−IPアドレス管理テーブル20から当該MACアドレスのIPアドレスを把握し、IPアドレスの検査処理を行う(S607)。
この検査処理では、MACアドレス−IPアドレス管理テーブル20から得た当該IPアドレスが空欄であり、MACアドレス−IPアドレス管理テーブル20から得た当該IPアドレスに、IPアドレス検査情報内の当該IPアドレスが含まれない場合に矛盾と判定する。
この場合、IPアドレス検査処理を終えたIPアドレスチェック機能42は、検査結果としてNGを転送機能45に返答する(S608)。
そして、NGの検査結果を受けとった転送機能45は、当該data frame破棄する、またはIPアドレスチェック機能42は、無線LAN I/F47に対して、当該端末5との接続を解消するための切断指示(当該端末5のMACアドレスを含む)を送る、の両方または一方の動作を行う(S609)。
このようにこの第1実施形態の無線LAN通信システムによれば、ユーザ認証と転送の機能を持ったAP4が、ユーザ認証時に得た信頼できる端末識別子(MACアドレス)を保持しておき、これを基に端末5の位置情報、上位プロトコルレイヤの端末識別子(IPアドレス)の少なくとも1つを検査することで、ユーザ認証のためのユーザID、パスワードなどの入力が不要になり、ユーザの手間が少なく通信の健全性をチェックできる。
また、OSI参照モデルのリンク層のIEEE 802.1Xユーザ認証で確認することで、ARPの整合性、IPヘッダとMACヘッダの整合性、アンテナ46から得られる位置情報とMACヘッダの整合性によって、通信の健全性をチェックすることができる。
すなわち、この無線LAN通信システムでは、ユーザの手間が少なく通信の健全性をチェックできると共に、IPアドレスの詐称によるネットワークへの不正アクセスを防止し、安全な通信を行うことができる。
なお、本発明は上記実施形態のみに限定されるものではない。
上記第1実施形態では、無線LAN通信システムのAP4に主な機能を持たせたが、図10に示すように、LAN1に接続したスイッチングハブ6にLAN1aを介してAP4aを接続すると共に,LAN1bを介してAP4bを接続するような無線LAN通信システム(第2実施形態)において、スイッチングハブ6に有線側の通信機能であるEthernet I/F61、IPアドレスチェック機能42、位置チェック機能43、認証機能であるAuthenticator機能44、転送機能45、個々のAPとの通信機能であるEthernet I/F62などを設け、スイッチングハブ6において上記第1実施形態と同様の動作を行っても良い。
検査対象の端末5の位置情報について、第1実施形態のように検査対象端末が無線端末の場合は、到来波推定が活用できるが、この第2実施形態では、スイッチングハブ6が位置を検査する対象の端末はAP4a,4bなどの有線で接続された端末の先にあるものである。
この場合、スイッチングハブ6に設けられている複数のEthernet I/F62のうち、通信パケットをどのEthernet I/F62で受信したかという情報で位置情報を代用し、どのEthernet I/F62かで端末の位置を特定する。
本発明にかかる第1実施形態の無線LAN通信システムの構成を示す図。 図1の無線LAN通信システムにおいて、APに記憶されているMACアドレス−IPアドレス管理テーブルを示す図。 図1の無線LAN通信システムにおいて、APに記憶されているMACアドレス−位置情報管理テーブルを示す図。 端末5による無線LAN接続時の動作を示す通信シーケンス図。 DHCPを用いた場合のIPアドレス登録動作を示す通信シーケンス図。 ARPを使用する場合のIPアドレス登録動作を示す通信シーケンス図。 通信パケットの転送処理を示す通信シーケンス図。 位置検査でNGと判定した場合の通信シーケンス図。 IPアドレス検査処理でNGと判定した場合の通信シーケンス図。 本発明にかかる第2実施形態の無線LAN通信システムの構成を示す図。
符号の説明
1…LAN、2…認証サーバ、3…DHCPサーバ、4…アクセスポイント(AP)、5…端末、6…スイッチングハブ、41,61,62…Ethernet I/F、42…IPアドレスチェック機能、43…位置チェック機能、44…Authenticator機能、46…アンテナ、45…転送機能、51…無線LAN I/F、52…Supplicant機能。

Claims (9)

  1. 認証装置にネットワークを介して接続され、無線端末が無線通信により前記ネットワーク上の前記認証装置およびその他の機器にアクセスするための転送装置において、
    前記無線端末の物理アドレスとIPアドレスとを対応付けて記憶するアドレス記憶手段と、
    前記無線端末から前記認証装置にアクセスする際の認証情報に含まれる前記無線端末の物理アドレスを前記アドレス記憶手段に登録する手段と、
    前記無線端末に付与されたIPアドレスの正当性を、前記無線端末から受信された物理アドレスと前記アドレス記憶手段に記憶されている物理アドレスとを比較して検査するアドレス検査手段と、
    前記アドレス検査手段により正当性が確認されたIPアドレスを前記アドレス記憶手段の該当物理アドレスに対応させて登録する手段と、
    認証後、前記無線端末から前記ネットワーク上の機器へアクセスする際に、前記アドレス記憶手段に記憶されている物理アドレスとIPアドレスとの対応状況に基づいてアクセス可否を判定する判定手段と
    を具備したことを特徴とする転送装置。
  2. 認証装置にネットワークを介して接続され、無線端末が無線通信により前記ネットワーク上の前記認証装置およびその他の機器にアクセスするための転送装置において、
    前記無線端末の物理アドレスと前記無線端末の位置情報とを対応付けて記憶する位置アドレス記憶手段と、
    前記無線端末から受信される電波の到来方向より前記無線端末の位置情報を取得する位置情報取得手段と、
    前記位置情報取得手段により取得された位置情報と、前記無線端末から前記認証装置にアクセスする際に受信された認証情報に含まれる前記無線端末の物理アドレスとを対応させて前記位置アドレス記憶手段に登録する手段と、
    認証後、前記無線端末から前記ネットワーク上の機器にアクセスする際に、前記位置アドレス記憶手段に記憶されている物理アドレスと位置情報に基づいてアクセス可否を判定する判定手段と
    を具備したことを特徴とする転送装置。
  3. 認証装置にネットワークを介して接続され、無線端末が無線通信により前記ネットワーク上の前記認証装置およびその他の機器にアクセスするための転送装置において、
    前記無線端末の物理アドレスとIPアドレスとを対応付けて記憶するアドレス記憶手段と、
    前記無線端末の物理アドレスと位置情報とを対応付けて記憶する位置アドレス記憶手段と、
    前記無線端末から前記認証装置にアクセスする際に受信された認証情報に含まれる前記無線端末の物理アドレスを前記アドレス記憶手段に登録する手段と、
    前記無線端末に対して前記IPアドレス付与装置に付与されたIPアドレスの正当性を、前記無線端末から受信された物理アドレスと前記アドレス記憶手段に記憶されている物理アドレスとを比較して検査するアドレス検査手段と、
    前記アドレス検査手段により正当性が確認されたIPアドレスを該当物理アドレスに対応させて前記アドレス記憶手段に登録する手段と、
    前記無線端末から受信される電波の到来方向より前記無線端末の位置情報を取得する位置情報取得手段と、
    前記位置情報取得手段により取得された位置情報と、前記無線端末の物理アドレスとを前記位置アドレス記憶手段に対応させて登録する手段と、
    認証後、前記無線端末から前記ネットワーク上の機器にアクセスする際に、前記位置アドレス記憶手段に記憶されている物理アドレスと位置情報との対応状況、および/または前記アドレス記憶手段に記憶されている物理アドレスとIPアドレスとの対応状況に基づいてアクセス可否を判定する判定手段と
    を具備したことを特徴とする転送装置。
  4. 無線端末が転送装置を介してネットワークに接続された認証装置とその他の機器にアクセスする際のアクセス可否判定方法において、
    前記無線端末から前記認証装置にアクセスする際の認証情報に含まれる前記無線端末の物理アドレスを前記転送装置に登録するステップと、
    前記無線端末に対して前記IPアドレス付与装置に付与されたIPアドレスの正当性を、前記無線端末から受信された物理アドレスと前記転送装置に記憶されている物理アドレスと比較して検査するステップと、
    検査により正当性が確認されたIPアドレスを該当物理アドレスに対応させて前記転送装置に登録するステップと、
    認証後、前記無線端末から前記ネットワーク上の機器へアクセスする際に、前記転送装置に記憶されている物理アドレスとIPアドレスとの対応状況に基づいてアクセス可否を判定するステップと
    を具備したことを特徴とするアクセス可否判定方法。
  5. 無線端末が転送装置を介してネットワークに接続された認証装置とその他の機器にアクセスする際のアクセス可否判定方法において、
    前記無線端末から前記転送装置に受信される電波の到来方向より前記無線端末の位置情報を取得するステップと、
    取得された位置情報と前記無線端末から前記認証装置にアクセスする際に受信された認証情報に含まれる前記無線端末の物理アドレスとを対応させて前記転送装置に登録するステップと、
    認証後、前記無線端末から前記ネットワーク上の機器にアクセスする際に、前記転送装置に記憶されている物理アドレスと位置情報に基づいてアクセス可否を判定するステップと
    を有することを特徴とするアクセス可否判定方法。
  6. 無線端末が転送装置を介してネットワークに接続された認証装置とその他の機器にアクセスする際のアクセス可否判定方法において、
    前記無線端末から前記認証装置にアクセスする際に受信された認証情報に含まれる前記無線端末の物理アドレスを前記転送装置に登録するステップと、
    前記無線端末に付与されたIPアドレスの正当性を、前記無線端末から受信された物理アドレスと前記転送装置に記憶されている物理アドレスとを比較して検査するステップと、
    検査により正当性が確認されたIPアドレスを該当物理アドレスに対応させて前記転送装置に登録するステップと、
    前記無線端末から受信される電波の到来方向より前記無線端末の位置情報を取得するステップと、
    取得された位置情報と前記無線端末の物理アドレスとを対応させて前記転送装置に登録するステップと、
    認証後、前記無線端末から前記ネットワーク上の機器にアクセスする際に、前記転送装置に記憶されている物理アドレスと位置情報との対応状況、および/または物理アドレスとIPアドレスとの対応状況に基づいてアクセス可否を判定するステップと
    を有することを特徴とするアクセス可否判定方法。
  7. 認証装置にネットワークを介して接続され、無線端末が無線通信により前記ネットワーク上の前記認証装置にアクセスして認証を行うためのパケット転送を行う転送装置に処理を実行させるプログラムにおいて、
    前記転送装置を、
    前記無線端末の物理アドレスとIPアドレスとを対応付けて記憶するアドレス記憶手段と、
    前記無線端末から前記認証装置にアクセスする際の認証情報に含まれる前記無線端末の物理アドレスを前記アドレス記憶手段に登録する手段と、
    前記無線端末に対して前記IPアドレス付与装置に付与されたIPアドレスの正当性を、前記無線端末から受信された物理アドレスと前記アドレス記憶手段に記憶されている物理アドレスとを比較して検査するアドレス検査手段と、
    前記アドレス検査手段により正当性が確認されたIPアドレスを前記アドレス記憶手段の該当物理アドレスに対応させて登録する手段と、
    認証後、前記無線端末から前記ネットワーク上の機器へアクセスする際に、前記アドレス記憶手段に記憶されている物理アドレスとIPアドレスとの対応状況に基づいてアクセス可否を判定する判定手段
    として機能させることを特徴とするプログラム。
  8. 認証装置にネットワークを介して接続され、無線端末が無線通信により前記ネットワーク上の前記認証装置にアクセスして認証を行うためのパケット転送を行う転送装置に処理を実行させるプログラムにおいて、
    前記転送装置を、
    前記無線端末の物理アドレスと前記無線端末の位置情報とを対応付けて記憶する位置アドレス記憶手段と、
    前記無線端末から受信される電波の到来方向より前記無線端末の位置情報を取得する位置情報取得手段と、
    前記位置情報取得手段により取得された位置情報と、前記無線端末から前記認証装置にアクセスする際に受信された認証情報に含まれる前記無線端末の物理アドレスとを対応させて前記位置アドレス記憶手段に登録する手段と、
    認証後、前記無線端末から前記ネットワーク上の機器にアクセスする際に、前記位置アドレス記憶手段に記憶されている物理アドレスと位置情報に基づいてアクセス可否を判定する判定手段
    として機能させることを特徴とするプログラム。
  9. 認証装置とネットワークを介して接続され、無線端末が無線通信により前記ネットワーク上の前記認証装置にアクセスして認証を行うためのパケット転送を行う転送装置に処理を実行させるプログラムにおいて、
    前記転送装置を、
    前記無線端末の物理アドレスとIPアドレスとを対応付けて記憶するアドレス記憶手段と、
    前記無線端末の物理アドレスと位置情報とを対応付けて記憶する位置アドレス記憶手段と、
    前記無線端末から前記認証装置にアクセスする際に受信された認証情報に含まれる前記無線端末の物理アドレスを前記アドレス記憶手段に登録する手段と、
    前記無線端末に対して付与されたIPアドレスの正当性を、前記無線端末から受信された物理アドレスと前記アドレス記憶手段に記憶されている物理アドレスとを比較して検査するアドレス検査手段と、
    前記アドレス検査手段により正当性が確認されたIPアドレスを該当物理アドレスに対応させて前記アドレス記憶手段に登録する手段と、
    前記無線端末から受信される電波の到来方向より前記無線端末の位置情報を取得する位置情報取得手段と、
    前記位置情報取得手段により取得された位置情報と、前記無線端末の物理アドレスとを前記位置アドレス記憶手段に対応させて登録する手段と、
    認証後、前記無線端末から前記ネットワーク上の機器にアクセスする際に、前記位置アドレス記憶手段に記憶されている物理アドレスと位置情報との対応状況、および/または前記アドレス記憶手段に記憶されている物理アドレスとIPアドレスとの対応状況に基づいてアクセス可否を判定する判定手段
    として機能させることを特徴とするプログラム。
JP2005010079A 2005-01-18 2005-01-18 転送装置、アクセス可否判定方法およびプログラム Pending JP2006203300A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005010079A JP2006203300A (ja) 2005-01-18 2005-01-18 転送装置、アクセス可否判定方法およびプログラム
US11/269,813 US20060161770A1 (en) 2005-01-18 2005-11-09 Network apparatus and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005010079A JP2006203300A (ja) 2005-01-18 2005-01-18 転送装置、アクセス可否判定方法およびプログラム

Publications (1)

Publication Number Publication Date
JP2006203300A true JP2006203300A (ja) 2006-08-03

Family

ID=36685330

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005010079A Pending JP2006203300A (ja) 2005-01-18 2005-01-18 転送装置、アクセス可否判定方法およびプログラム

Country Status (2)

Country Link
US (1) US20060161770A1 (ja)
JP (1) JP2006203300A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008072368A (ja) * 2006-09-13 2008-03-27 Fujitsu Ltd 中継装置、中継方法、および、中継プログラム
US8464360B2 (en) * 2007-01-15 2013-06-11 Konica Minolta Business Technologies, Inc. Information processing apparatus and image processing program

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2388498B (en) * 2002-05-07 2005-10-19 Nokia Corp Method and apparatus for ensuring address information of a wireless terminal device in communications network
US8195736B2 (en) 2006-08-08 2012-06-05 Opnet Technologies, Inc. Mapping virtual internet protocol addresses
JP5328141B2 (ja) * 2007-12-05 2013-10-30 キヤノン株式会社 通信装置、通信装置の制御方法、コンピュータプログラム
US8272039B2 (en) * 2008-05-02 2012-09-18 International Business Machines Corporation Pass-through hijack avoidance technique for cascaded authentication
CN101651537B (zh) * 2008-08-15 2013-07-10 上海贝尔阿尔卡特股份有限公司 一种在通信网络系统中进行分散式安全控制的方法和装置
CN102724172A (zh) * 2011-07-28 2012-10-10 北京天地互连信息技术有限公司 支持快速接入认证的系统和方法
CN102355668A (zh) * 2011-09-08 2012-02-15 深圳市融创天下科技股份有限公司 一种查找ap攻击者的方法、系统和终端设备
US9215234B2 (en) * 2012-01-24 2015-12-15 Hewlett Packard Enterprise Development Lp Security actions based on client identity databases
CN103716795B (zh) * 2012-10-09 2018-04-06 中兴通讯股份有限公司 一种无线网络安全接入方法、装置和系统
CN104581442B (zh) 2013-10-17 2019-09-27 南京中兴新软件有限责任公司 一种实现终端wifi对讲的方法及装置
EP3409630B1 (en) * 2017-06-02 2020-11-11 Otis Elevator Company Passenger conveyor performance rating system
US11038887B2 (en) * 2017-09-29 2021-06-15 Fisher-Rosemount Systems, Inc. Enhanced smart process control switch port lockdown
BR112020006080A2 (pt) * 2017-09-29 2020-09-29 Telefonica Digital España, S.L.U. método e servidor de comunicações para identificação e autenticação segura de um dispositivo para uma plataforma de internet

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3419627B2 (ja) * 1996-06-11 2003-06-23 株式会社日立製作所 ルータ装置
JP3529621B2 (ja) * 1997-05-12 2004-05-24 株式会社東芝 ルータ装置、データグラム転送方法及び通信システム
JP3233088B2 (ja) * 1998-01-22 2001-11-26 松下電器産業株式会社 指向性制御アンテナ装置
US20040213237A1 (en) * 2000-06-29 2004-10-28 Toshikazu Yasue Network authentication apparatus and network authentication system
US6907470B2 (en) * 2000-06-29 2005-06-14 Hitachi, Ltd. Communication apparatus for routing or discarding a packet sent from a user terminal
GB2388498B (en) * 2002-05-07 2005-10-19 Nokia Corp Method and apparatus for ensuring address information of a wireless terminal device in communications network
JP2004112727A (ja) * 2002-09-20 2004-04-08 Ntt Docomo Inc 移動通信制御システム、移動通信制御方法、これらに用いて好適なルータ装置、サーバ装置及びデータ構造
JP4164352B2 (ja) * 2002-12-10 2008-10-15 株式会社日立製作所 移動端末を収容できるパケット転送装置
JP2006067174A (ja) * 2004-08-26 2006-03-09 Fujitsu Ltd 制御プログラム、通信中継装置制御方法、通信中継装置及びシステム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008072368A (ja) * 2006-09-13 2008-03-27 Fujitsu Ltd 中継装置、中継方法、および、中継プログラム
US8159988B2 (en) 2006-09-13 2012-04-17 Fujitsu Limited Relay apparatus, relay method, and recording medium storing relay program
US8464360B2 (en) * 2007-01-15 2013-06-11 Konica Minolta Business Technologies, Inc. Information processing apparatus and image processing program

Also Published As

Publication number Publication date
US20060161770A1 (en) 2006-07-20

Similar Documents

Publication Publication Date Title
JP2006203300A (ja) 転送装置、アクセス可否判定方法およびプログラム
US10708780B2 (en) Registration of an internet of things (IoT) device using a physically uncloneable function
JP4583167B2 (ja) アクセスネットワーク間の相互接続における推移的認証・許可・課金
JP4347335B2 (ja) ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法
JP3742056B2 (ja) 無線ネットワークのアクセス認証技術
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
CN110800331A (zh) 网络验证方法、相关设备及系统
JP2002314549A (ja) ユーザ認証システム及びそれに用いるユーザ認証方法
JP2006086907A (ja) 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム
JP4592789B2 (ja) 通信制御装置、通信制御方法および通信制御処理プログラム
JP4987820B2 (ja) 認証システム、接続制御装置、認証装置および転送装置
KR20030053280A (ko) 공중 무선랜 서비스를 위한 망접속 및 서비스 등록 방법
JP4906581B2 (ja) 認証システム
US8819790B2 (en) Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment
JP2010062667A (ja) ネットワーク機器及びネットワークシステム
US8191153B2 (en) Communication system, server apparatus, information communication method, and program
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
JP2006041594A (ja) 移動通信システムおよび移動端末の認証方法
KR20070102830A (ko) 유무선 네트워크의 검역 및 정책기반 접속제어 방법
JP3678166B2 (ja) 無線端末の認証方法、無線基地局及び通信システム
JP2004078280A (ja) リモートアクセス仲介システム及び方法
JP4768547B2 (ja) 通信装置の認証システム
JP4584776B2 (ja) ゲートウェイ装置およびプログラム
US20110153819A1 (en) Communication system, connection apparatus, information communication method, and program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080318

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080729

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080922

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081104

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090414