JP2008028892A - 無線通信システム - Google Patents
無線通信システム Download PDFInfo
- Publication number
- JP2008028892A JP2008028892A JP2006201717A JP2006201717A JP2008028892A JP 2008028892 A JP2008028892 A JP 2008028892A JP 2006201717 A JP2006201717 A JP 2006201717A JP 2006201717 A JP2006201717 A JP 2006201717A JP 2008028892 A JP2008028892 A JP 2008028892A
- Authority
- JP
- Japan
- Prior art keywords
- address
- access point
- base station
- authentication
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】管理者の手を煩わせることなく、且つ、セキュリティレベルを低下させることなく新たな基地局の設置を適正に行う。
【解決手段】クライアント証明書情報によりクライアントとして証明され、新たに設置されるモバイルアクセスポイント3と、モバイルアクセスポイントがネットワークNに接続される際に、クライアント証明書情報に基づいてクライアントとして認証を行う認証サーバ5とを備えるIP電話システム100であって、アクセスポイントは、認証サーバによる認証完了後、無線LANを介してIP電話端末1が接続される際にネットワークのオーセンティケータとして機能する。
【選択図】図1
【解決手段】クライアント証明書情報によりクライアントとして証明され、新たに設置されるモバイルアクセスポイント3と、モバイルアクセスポイントがネットワークNに接続される際に、クライアント証明書情報に基づいてクライアントとして認証を行う認証サーバ5とを備えるIP電話システム100であって、アクセスポイントは、認証サーバによる認証完了後、無線LANを介してIP電話端末1が接続される際にネットワークのオーセンティケータとして機能する。
【選択図】図1
Description
本発明は、ネットワークに接続する端末の認証を行って、認証された端末のみネットワークに接続することができる無線通信システムに関する。
従来より、PCやIP電話機等の端末が無線LAN等のネットワークを介して接続されて通信を行う無線通信システムが知られている(例えば、特許文献1参照)。
また、近年では、社内LANなどのネットワークのセキュリティを向上させるため、このネットワークに接続する端末の認証を認証サーバが行い、認証された端末のみネットワークに接続することができるシステムが開発されている。
また、近年では、社内LANなどのネットワークのセキュリティを向上させるため、このネットワークに接続する端末の認証を認証サーバが行い、認証された端末のみネットワークに接続することができるシステムが開発されている。
ところで、上記の端末の認証規格としては、例えば、IEEE802.1X規格等が使用されている。このIEEE802.1X規格は有線/無線を問わない認証規格であり、有線LANでは、スイッチングハブ(SW)が認証装置(オーセンティケータ)となり、IEEE802.1Xのクライアント証明書を所持する端末(クライアント)が接続されたときのみ、スイッチングハブのポートを開けてクライアントが上記ネットワークに接続することを許可するようになっている。また、無線LANでは、アクセスポイント(AP)がオーセンティケータとなって、IEEE802.1Xのクライアント証明書を所持する無線端末が上記アクセスポイントに無線接続されたときのみ、上記ネットワークへ接続することを許可するようになっている。
特開2005−268936号公報
ところで、例えば、無線LAN(アクセスポイント)が設置されていない場所(例えば、会議室等)や、設置されていても無線LANの電波状況が悪いためにネットワークに繋がりにくい場所では、端末をネットワークに接続する場合に、端末の近くにアクセスポイントを設置する必要がある。また、スイッチングハブの有線LANポート数以上の多人数でネットワークに接続したい場合にあっても、同様である。
しかしながら、IEEE802.1Xで構築されるネットワークでは、下記の理由により、利用者が自由に任意の場所にアクセスポイントを設置することが困難となっている。
即ち、アクセスポイント(オーセンティケータ)を新たに設置する場合、事前に認証サーバにアクセスポイントのIPアドレスを登録する必要があるが、IPアドレスはサブネットの違いによって所定の設置場所ごとに異なる場合が多いため、管理者がアクセスポイントの設置場所ごとに認証サーバに登録しなければならず、その作業が煩雑であるといった問題がある。
即ち、アクセスポイント(オーセンティケータ)を新たに設置する場合、事前に認証サーバにアクセスポイントのIPアドレスを登録する必要があるが、IPアドレスはサブネットの違いによって所定の設置場所ごとに異なる場合が多いため、管理者がアクセスポイントの設置場所ごとに認証サーバに登録しなければならず、その作業が煩雑であるといった問題がある。
また、一般的なアクセスポイントを新たな場所に設置する場合、当該アクセスポイントが接続されるスイッチングハブ(オーセンティケータ)の所定の有線ポートをIEEE802.1Xの認証から除外しておかなければならなかった。
即ち、例えば、図22に示すように、IEEE802.1Xで構築されたネットワークにおいては、先ず、管理者は、有線LAN系の設定として、認証サーバに共有キーとスイッチングハブのIPアドレスとを関連付けて登録する(ステップS501)。さらに、管理者は、スイッチングハブに認証サーバに登録した共有キーと同一の共有キーを設定する(ステップS502)。これにより、当該ネットワークにおけるスイッチングハブの登録が完了する(ステップS503)。
その後、無線LAN系の設定として、管理者は、認証サーバに設定済みの共有キーとアクセスポイントのIPアドレスとを関連付けて登録する(ステップS504)。さらに、管理者は、アクセスポイントに認証サーバに登録した共有キーと同一の共有キーを設定する(ステップS505)。そして、管理者は、従来のアクセスポイントはクライアントとしてIEEE 802.1Xの認証を受けることができないので、当該アクセスポイントが接続されるスイッチングハブの所定の有線ポート(例えば、ポートA)をIEEE802.1Xの認証から除外するように設定する(ステップS506)。
そして、認証が除外された所定のポートにアクセスポイントを接続することで(ステップS507)、無線LANにアクセスポイントの登録が完了する(ステップS508)。なお、アクセスポイントを他の場所に移動する場合には、再度上記の無線LAN系の設定処理を行う必要がある。
しかしながら、上記のように所定の有線ポートを認証から除外すると、当該ポートに不正機器が接続される恐れがあることから、ネットワークのセキュリティレベルが低下してしまうといった問題ある。
即ち、例えば、図22に示すように、IEEE802.1Xで構築されたネットワークにおいては、先ず、管理者は、有線LAN系の設定として、認証サーバに共有キーとスイッチングハブのIPアドレスとを関連付けて登録する(ステップS501)。さらに、管理者は、スイッチングハブに認証サーバに登録した共有キーと同一の共有キーを設定する(ステップS502)。これにより、当該ネットワークにおけるスイッチングハブの登録が完了する(ステップS503)。
その後、無線LAN系の設定として、管理者は、認証サーバに設定済みの共有キーとアクセスポイントのIPアドレスとを関連付けて登録する(ステップS504)。さらに、管理者は、アクセスポイントに認証サーバに登録した共有キーと同一の共有キーを設定する(ステップS505)。そして、管理者は、従来のアクセスポイントはクライアントとしてIEEE 802.1Xの認証を受けることができないので、当該アクセスポイントが接続されるスイッチングハブの所定の有線ポート(例えば、ポートA)をIEEE802.1Xの認証から除外するように設定する(ステップS506)。
そして、認証が除外された所定のポートにアクセスポイントを接続することで(ステップS507)、無線LANにアクセスポイントの登録が完了する(ステップS508)。なお、アクセスポイントを他の場所に移動する場合には、再度上記の無線LAN系の設定処理を行う必要がある。
しかしながら、上記のように所定の有線ポートを認証から除外すると、当該ポートに不正機器が接続される恐れがあることから、ネットワークのセキュリティレベルが低下してしまうといった問題ある。
また、固定的に設置されたアクセスポイントが定期的に電波状況をチェックして不正アクセスポイントを検出する不正AP検出システムにおいては、利用者がアクセスポイントを任意の場所に設置すると、不正アクセスポイントとして取り扱われてしまうといった問題もある。
そこで、本発明の課題は、管理者の手を煩わせることなく、且つ、セキュリティレベルを低下させることなく新たな基地局の設置を適正に行うことができる無線通信システムを提供することである。
請求項1に記載の発明の無線通信システム(例えば、図1のIP電話システム100等)は、
ネットワークのクライアントとして証明され、新たに設置される基地局(例えば、図1のモバイルアクセスポイント3等)と、
前記基地局が前記ネットワークに接続される際に、前記クライアントとしての認証を行う認証サーバ(例えば、図1の認証サーバ5等)とを備え、
前記基地局は、前記認証サーバによる認証完了後、所定の無線通信回線を介して無線通信端末が接続される際に前記ネットワークのオーセンティケータとして機能することを特徴としている。
ネットワークのクライアントとして証明され、新たに設置される基地局(例えば、図1のモバイルアクセスポイント3等)と、
前記基地局が前記ネットワークに接続される際に、前記クライアントとしての認証を行う認証サーバ(例えば、図1の認証サーバ5等)とを備え、
前記基地局は、前記認証サーバによる認証完了後、所定の無線通信回線を介して無線通信端末が接続される際に前記ネットワークのオーセンティケータとして機能することを特徴としている。
請求項2に記載の発明は、請求項1に記載の無線通信システムにおいて、
前記基地局は、
前記認証サーバによる認証完了後、IPアドレスを取得するIPアドレス取得手段(例えば、図8のネットワーク通信部32等)と、
前記IPアドレス取得手段により取得した前記IPアドレスと当該基地局の識別情報を対応付けて、前記認証サーバとの間で共有され当該認証サーバとの通信の認証に用いられる共有情報と前記IPアドレスとの関連付け要求を前記認証サーバに送信する関連付け要求送信手段(例えば、図8のネットワーク通信部32等)とを備え、
前記認証サーバは、
前記共有情報と前記識別情報を関連付けて記憶する基地局情報記憶手段(例えば、図2の情報記憶部52等)と、
前記関連付け要求送信手段から送信されて受信した前記関連付け要求の前記識別情報に基づいて、前記IPアドレスと前記共有情報とを関連付けて前記基地局情報記憶手段に記憶させる関連付手段(例えば、図2の制御部54等)とを備えることを特徴としている。
前記基地局は、
前記認証サーバによる認証完了後、IPアドレスを取得するIPアドレス取得手段(例えば、図8のネットワーク通信部32等)と、
前記IPアドレス取得手段により取得した前記IPアドレスと当該基地局の識別情報を対応付けて、前記認証サーバとの間で共有され当該認証サーバとの通信の認証に用いられる共有情報と前記IPアドレスとの関連付け要求を前記認証サーバに送信する関連付け要求送信手段(例えば、図8のネットワーク通信部32等)とを備え、
前記認証サーバは、
前記共有情報と前記識別情報を関連付けて記憶する基地局情報記憶手段(例えば、図2の情報記憶部52等)と、
前記関連付け要求送信手段から送信されて受信した前記関連付け要求の前記識別情報に基づいて、前記IPアドレスと前記共有情報とを関連付けて前記基地局情報記憶手段に記憶させる関連付手段(例えば、図2の制御部54等)とを備えることを特徴としている。
請求項3に記載の発明は、請求項1に記載の無線通信システムにおいて、
前記基地局は、
基地局であることを証明する基地局証明書情報を記憶する証明書情報基地局記憶手段(例えば、図14の情報記憶部231等)と、
前記証明書情報基地局記憶手段に記憶された前記基地局証明書情報に基づいて、基地局認証要求を前記認証サーバに送信する認証要求送信手段(例えば、図14のネットワーク通信部232等)とを備え、
前記認証サーバは、
前記基地局証明書情報を記憶する証明書情報サーバ記憶手段(例えば、図13の情報記憶部252等)と、
前記認証要求送信手段から送信されて受信した前記基地局認証要求と、前記証明書情報サーバ記憶手段に記憶されている前記基地局証明書情報に基づいて、前記基地局の認証を行う基地局認証手段(例えば、図13の制御部254等)とを備えることを特徴としている。
前記基地局は、
基地局であることを証明する基地局証明書情報を記憶する証明書情報基地局記憶手段(例えば、図14の情報記憶部231等)と、
前記証明書情報基地局記憶手段に記憶された前記基地局証明書情報に基づいて、基地局認証要求を前記認証サーバに送信する認証要求送信手段(例えば、図14のネットワーク通信部232等)とを備え、
前記認証サーバは、
前記基地局証明書情報を記憶する証明書情報サーバ記憶手段(例えば、図13の情報記憶部252等)と、
前記認証要求送信手段から送信されて受信した前記基地局認証要求と、前記証明書情報サーバ記憶手段に記憶されている前記基地局証明書情報に基づいて、前記基地局の認証を行う基地局認証手段(例えば、図13の制御部254等)とを備えることを特徴としている。
請求項4に記載の発明は、請求項1に記載の無線通信システムにおいて、
前記認証サーバと前記基地局との情報通信を中継する中継器(例えば、図15の中継器7等)を備え、
前記基地局は、
前記認証サーバによる認証完了後、IPアドレスを取得するIPアドレス取得手段(例えば、図8のネットワーク通信部32等)と、
前記IPアドレス取得手段により取得した前記IPアドレスを前記中継器に送信するIPアドレス送信手段(例えば、図8のネットワーク通信部32等)とを備え、
前記中継器は、
前記IPアドレス送信手段から送信されて受信した前記IPアドレスと、前記認証サーバとの情報通信に用いられる変換IPアドレスとが関連付けられたIPアドレス変換テーブルを記憶する変換テーブル記憶手段(例えば、図18の情報記憶部72等)と、
前記変換テーブル記憶手段に記憶された前記IPアドレス変換テーブルの前記IPアドレス及び前記変換IPアドレスに基づいて、前記認証サーバと前記基地局との情報通信を中継する情報中継通信手段(例えば、図18の通信制御部73等)とを備えることを特徴としている。
前記認証サーバと前記基地局との情報通信を中継する中継器(例えば、図15の中継器7等)を備え、
前記基地局は、
前記認証サーバによる認証完了後、IPアドレスを取得するIPアドレス取得手段(例えば、図8のネットワーク通信部32等)と、
前記IPアドレス取得手段により取得した前記IPアドレスを前記中継器に送信するIPアドレス送信手段(例えば、図8のネットワーク通信部32等)とを備え、
前記中継器は、
前記IPアドレス送信手段から送信されて受信した前記IPアドレスと、前記認証サーバとの情報通信に用いられる変換IPアドレスとが関連付けられたIPアドレス変換テーブルを記憶する変換テーブル記憶手段(例えば、図18の情報記憶部72等)と、
前記変換テーブル記憶手段に記憶された前記IPアドレス変換テーブルの前記IPアドレス及び前記変換IPアドレスに基づいて、前記認証サーバと前記基地局との情報通信を中継する情報中継通信手段(例えば、図18の通信制御部73等)とを備えることを特徴としている。
請求項5に記載の発明は、請求項1〜4の何れか一項に記載の無線通信システムにおいて、
前記基地局は、
前記ネットワークに既に接続されている周辺基地局との電波干渉を回避するように、前記無線通信端末との接続条件を設定する接続条件設定手段(例えば、図8の接続条件設定部33等)を備えることを特徴としている。
前記基地局は、
前記ネットワークに既に接続されている周辺基地局との電波干渉を回避するように、前記無線通信端末との接続条件を設定する接続条件設定手段(例えば、図8の接続条件設定部33等)を備えることを特徴としている。
本発明によれば、新たに設置される基地局をネットワークのクライアントとして認証サーバにより自動的に認証することができるので、管理者の手を煩わせることなく、新たな基地局の設置を適正に行うことができる。さらに、基地局の認証後には、無線通信端末が接続される際に、当該基地局をネットワークのオーセンティケータとして機能させることができるので、ネットワークのセキュリティレベルを低下させることがなくなる。
以下に、本発明について、図面を用いて具体的な態様を説明する。ただし、発明の範囲は、図示例に限定されない。
図1は、本発明を適用した実施形態のIP電話システム100の概略構成を模式的に示した図である。
本実施形態のIP電話システム(無線通信システム)100は、例えば、新たに設置されるモバイルアクセスポイント(基地局)をネットワークのセキュリティレベルを低下させることなく当該ネットワークに接続するためのものである。
具体的には、例えば、図1に示すように、IP電話システム100は、IP電話端末(無線通信端末)1と無線接続されて通信を行う所定数(図1にあっては、一つのみ図示)の周辺アクセスポイント2と、新たに設置されるモバイルアクセスポイント3と、各アクセスポイント2、3が接続されるスイッチングハブ4と、ネットワークNに接続される端末をIEEE802.1X規格により認証する認証サーバ5と、この認証サーバ5により認証された端末にIPアドレスを付与するDHCPサーバ6等を備え、社内LAN等の所定のネットワークNを構築している。
本実施形態のIP電話システム(無線通信システム)100は、例えば、新たに設置されるモバイルアクセスポイント(基地局)をネットワークのセキュリティレベルを低下させることなく当該ネットワークに接続するためのものである。
具体的には、例えば、図1に示すように、IP電話システム100は、IP電話端末(無線通信端末)1と無線接続されて通信を行う所定数(図1にあっては、一つのみ図示)の周辺アクセスポイント2と、新たに設置されるモバイルアクセスポイント3と、各アクセスポイント2、3が接続されるスイッチングハブ4と、ネットワークNに接続される端末をIEEE802.1X規格により認証する認証サーバ5と、この認証サーバ5により認証された端末にIPアドレスを付与するDHCPサーバ6等を備え、社内LAN等の所定のネットワークNを構築している。
先ず、認証サーバ5について説明する。
図2は、認証サーバ5のブロック図である。
認証サーバ5は、例えば、RADIUS(Remote Authentication Dial In User Service)サーバ等が適用され、具体的には、図2に示すように、情報入力部51と、情報記憶部52と、通信制御部53と、制御部54等を備えて構成されている。
図2は、認証サーバ5のブロック図である。
認証サーバ5は、例えば、RADIUS(Remote Authentication Dial In User Service)サーバ等が適用され、具体的には、図2に示すように、情報入力部51と、情報記憶部52と、通信制御部53と、制御部54等を備えて構成されている。
情報入力部51は、例えば、図示は省略するが、管理者による所定操作に基づいて情報を入力するためのキーボードやマウス、FDやUSBメモリ等の情報記録媒体から情報を読み出して取得するFDドライブやUSBポート等の情報読取部などを備えている。
即ち、情報入力部51は、例えば、スイッチングハブ4のIPアドレスや当該スイッチングハブ4との間で共有されて通信の認証用の共有キー、モバイルアクセスポイント3のクライアント証明書情報(詳細後述)やMAC(Media Access Control)アドレスや当該アクセスポイントとの間で共有されて通信の認証用の共有キー等を入力するようになっている。
なお、共有キーは、例えば、通信の際のデータの暗号化やハッシュ値の計算に用いられるようになっており、これにより、セキュリティを確保することができるようになっている。
即ち、情報入力部51は、例えば、スイッチングハブ4のIPアドレスや当該スイッチングハブ4との間で共有されて通信の認証用の共有キー、モバイルアクセスポイント3のクライアント証明書情報(詳細後述)やMAC(Media Access Control)アドレスや当該アクセスポイントとの間で共有されて通信の認証用の共有キー等を入力するようになっている。
なお、共有キーは、例えば、通信の際のデータの暗号化やハッシュ値の計算に用いられるようになっており、これにより、セキュリティを確保することができるようになっている。
情報記憶部52は、例えば、HD(Hard Disk)ドライブ等から構成され、情報入力部51を介して入力された各種情報や、通信制御部53を介して受信した各種情報を記憶するものである。
具体的には、情報記憶部52は、例えば、情報入力部51を介して入力されたスイッチングハブ4のIPアドレスと共有キーとが関連付けられたスイッチングハブ情報52aを記憶(登録)するようになっている。
具体的には、情報記憶部52は、例えば、情報入力部51を介して入力されたスイッチングハブ4のIPアドレスと共有キーとが関連付けられたスイッチングハブ情報52aを記憶(登録)するようになっている。
また、情報記憶部52は、例えば、情報入力部51を介して入力されたクライアント証明書情報52bを記憶(登録)するようになっている。
ここで、クライアント証明書情報52bは、例えば、モバイルアクセスポイント3をIEEE802.1X規格のクライアントとして証明するものであり、具体的には、図3に示すように、証明書のバージョンである「バージョン情報」と、証明書を一意に識別するための番号を規定する「シリアル番号」と、発行者が証明書に署名する際に用いるアルゴリズムを規定する「署名アルゴリズム情報」と、証明書を発行した機関(CA)の名前を表す「発行認証局名」と、証明書の有効期間を規定する「有効期限」と、証明書の所有者の名前を表す「被発行者名」と、証明書の所有者の公開鍵に関する情報を表す「公開鍵情報」等から構成されている。
ここで、クライアント証明書情報52bは、例えば、モバイルアクセスポイント3をIEEE802.1X規格のクライアントとして証明するものであり、具体的には、図3に示すように、証明書のバージョンである「バージョン情報」と、証明書を一意に識別するための番号を規定する「シリアル番号」と、発行者が証明書に署名する際に用いるアルゴリズムを規定する「署名アルゴリズム情報」と、証明書を発行した機関(CA)の名前を表す「発行認証局名」と、証明書の有効期間を規定する「有効期限」と、証明書の所有者の名前を表す「被発行者名」と、証明書の所有者の公開鍵に関する情報を表す「公開鍵情報」等から構成されている。
また、情報記憶部52は、例えば、情報入力部51を介して入力されたモバイルアクセスポイント3のMACアドレス(識別情報)と共有キー(共有情報)を関連付けて記憶(登録)する基地局情報記憶手段を構成している。
さらに、情報記憶部52は、例えば、モバイルアクセスポイント3から送信され通信制御部53を介して受信した当該モバイルアクセスポイント3のIPアドレスが、MACアドレス及び共有キーと関連付けられた共有キー対応テーブルT1(図4参照)を記憶している。
さらに、情報記憶部52は、例えば、モバイルアクセスポイント3から送信され通信制御部53を介して受信した当該モバイルアクセスポイント3のIPアドレスが、MACアドレス及び共有キーと関連付けられた共有キー対応テーブルT1(図4参照)を記憶している。
通信制御部53は、例えば、ネットワークインターフェースカード(図示略)等を備え、有線LANを介して接続されたスイッチングハブ4との間、及びスイッチングハブ4を介してモバイルアクセスポイント3との間でデータのパケット通信を行うためのものである。
具体的には、通信制御部53は、例えば、モバイルアクセスポイント3から送信されたMACアドレスを含んだIPアドレス関連付け要求を受信したり、IPアドレスの関連付けの完了後に関連付け完了応答をモバイルアクセスポイント3に送信するようになっている。
具体的には、通信制御部53は、例えば、モバイルアクセスポイント3から送信されたMACアドレスを含んだIPアドレス関連付け要求を受信したり、IPアドレスの関連付けの完了後に関連付け完了応答をモバイルアクセスポイント3に送信するようになっている。
ここで、当該IP電話システム100において認証を行う為に使用されるパケットのパケット構造について図5〜図7を参照して説明する。
一般的な認証パケットのパケット構造は、例えば、図5に示すように、パケットの種別を規定する「識別コード」と、要求パケットと応答パケットを対応付けするための数値を規定する「識別子」と、パケットの長さ(オクテット)を表す「長さ」と、パスワードの隠蔽、応答パケットのデータの整合性の保証に利用される「認証符合」と、サービスの動作、詳しい設定を規定する「属性データ」等から構成されている。
ここで、「識別コード」は、例えば、「1」がアクセス要求を、また、「2」がアクセス許可を表すようになっており、「N」としてIPアドレス関連付け要求を規定し、「N+1」としてIPアドレス関連付け完了応答を規定するようになっている。
一般的な認証パケットのパケット構造は、例えば、図5に示すように、パケットの種別を規定する「識別コード」と、要求パケットと応答パケットを対応付けするための数値を規定する「識別子」と、パケットの長さ(オクテット)を表す「長さ」と、パスワードの隠蔽、応答パケットのデータの整合性の保証に利用される「認証符合」と、サービスの動作、詳しい設定を規定する「属性データ」等から構成されている。
ここで、「識別コード」は、例えば、「1」がアクセス要求を、また、「2」がアクセス許可を表すようになっており、「N」としてIPアドレス関連付け要求を規定し、「N+1」としてIPアドレス関連付け完了応答を規定するようになっている。
IPアドレス関連付け要求の属性データは、例えば、図6に示すように、属性の番号(例えば、Vendor Specific Attributeとしての「26」等)を規定する「属性番号」と、属性データの長さを表す「長さ」と、ベンダのID番号を規定する「ベンダID」と、IPアドレスに対するベンダ独自の属性番号を規定する「ベンダ属性番号(IP)」と、IPアドレスのデータ部分の長さを表す「長さ」と、IPアドレスのデータを規定する「属性の値」と、MACアドレスに対するベンダ独自の属性情報を規定する「ベンダ属性情報(MAC)」と、MACアドレスのデータ部分の長さを表す「長さ」と、MACアドレスのデータを規定する「属性の値」等から構成されている。
関連付け完了応答は、例えば、図7に示すように、属性の番号(例えば、Vendor Specific Attributeとしての「26」等)を規定する「属性番号」と、属性データの長さを表す「長さ」と、ベンダのID番号を規定する「ベンダID」と、応答用のベンダ独自の属性番号を規定する「ベンダ属性番号(Res)」と、応答のデータ部分の長さを表す「長さ」と、応答のデータ「OK」を規定する「属性の値」等から構成されている。
制御部54は、例えば、図示は省略するが、CPU、RAM、ROM等から構成されて、各部を統括的に制御するものである。
また、制御部54は、例えば、関連付手段として、モバイルアクセスポイント3から送信されて通信制御部53を介して受信したIPアドレス関連付け要求のMACアドレスに基づいて、モバイルアクセスポイント3のIPアドレスを共有キーと関連付けて情報記憶部52に記憶させるようになっている。具体的には、制御部54は、例えば、IPアドレス関連付け要求のMACアドレスと同一のMACアドレスと関連付けられて情報記憶部52に記憶されている共有キーと、IPアドレスとを関連付けて情報記憶部52の共有キー対応テーブルT1に記憶させるようになっている。
また、制御部54は、例えば、関連付手段として、モバイルアクセスポイント3から送信されて通信制御部53を介して受信したIPアドレス関連付け要求のMACアドレスに基づいて、モバイルアクセスポイント3のIPアドレスを共有キーと関連付けて情報記憶部52に記憶させるようになっている。具体的には、制御部54は、例えば、IPアドレス関連付け要求のMACアドレスと同一のMACアドレスと関連付けられて情報記憶部52に記憶されている共有キーと、IPアドレスとを関連付けて情報記憶部52の共有キー対応テーブルT1に記憶させるようになっている。
スイッチングハブ4は、例えば、LANケーブル等を介して認証サーバ5と接続され、さらに、アクセスポイント2、3が接続される所定数の有線ポート(図示略)を有している。
また、スイッチングハブ4は、例えば、所定の有線ポートに新たにモバイルアクセスポイント3が接続されてクライアントとして認証サーバ5により認証が行われる場合に、オーセンティケータとして機能して認証サーバ5とモバイルアクセスポイント3との間のデータの送受信を中継するようになっている。
さらに、スイッチングハブ4は、例えば、モバイルアクセスポイント3がクライアントとして認証されると、有線ポートを開けてモバイルアクセスポイント3がネットワークNに接続することを許可し、その後は、当該モバイルアクセスポイント3との関係においてスイッチとして機能するようになっている。
また、スイッチングハブ4は、例えば、所定の有線ポートに新たにモバイルアクセスポイント3が接続されてクライアントとして認証サーバ5により認証が行われる場合に、オーセンティケータとして機能して認証サーバ5とモバイルアクセスポイント3との間のデータの送受信を中継するようになっている。
さらに、スイッチングハブ4は、例えば、モバイルアクセスポイント3がクライアントとして認証されると、有線ポートを開けてモバイルアクセスポイント3がネットワークNに接続することを許可し、その後は、当該モバイルアクセスポイント3との関係においてスイッチとして機能するようになっている。
また、スイッチングハブ4は、認証サーバ5にオーセンティケータとして登録されるようになっている。そして、登録の際に必要なIPアドレス及び共有キーの設定方法としては、例えば、RS232Cケーブル等を介して所定のPCと接続して、PCのハイパーターミナルを開いて、機器専用のコマンドを入力して設定する方法や、スイッチングハブ4が既に社内LAN等に接続されている場合には、同一のLANにPCを接続して、PCのコマンドプロンプトを開いて、スイッチングハブ4にtelnetで接続した上で、機器専用のコマンドを入力して、設定する方法や、PCのWebブラウザを開いて、HTTPで接続した上で、HTML画面上で設定する方法等が挙げられる。
次に、モバイルアクセスポイント3について説明する。
図8は、モバイルアクセスポイント3のブロック図である。
モバイルアクセスポイント3としては、例えば、アクセスポイント(周辺アクセスポイント2)が既に接続されているネットワークNに新たに接続されるものであり、具体的には、図8に示すように、各種情報を記憶する情報記憶部31と、スイッチングハブ4に接続されてデータの送受信を行うネットワーク通信部32と、IP電話端末1との接続条件を設定する接続条件設定部33と、IP電話端末1と信号の送受信を行う端末通信部34と、これら各部を制御する制御部35等を備えている。
なお、周辺アクセスポイント2の具体的な構成については、モバイルアクセスポイント3と同様であり、その説明は省略するものとする。
図8は、モバイルアクセスポイント3のブロック図である。
モバイルアクセスポイント3としては、例えば、アクセスポイント(周辺アクセスポイント2)が既に接続されているネットワークNに新たに接続されるものであり、具体的には、図8に示すように、各種情報を記憶する情報記憶部31と、スイッチングハブ4に接続されてデータの送受信を行うネットワーク通信部32と、IP電話端末1との接続条件を設定する接続条件設定部33と、IP電話端末1と信号の送受信を行う端末通信部34と、これら各部を制御する制御部35等を備えている。
なお、周辺アクセスポイント2の具体的な構成については、モバイルアクセスポイント3と同様であり、その説明は省略するものとする。
情報記憶部31は、例えば、不揮発性の半導体メモリから構成され、設定入力された当該モバイルアクセスポイント3のクライアント証明書情報31aや、認証サーバ5との間で共有されて通信の認証用の共有キー等を記憶(登録)するものである。
クライアント証明書情報31aは、例えば、認証サーバ5に登録されたクライアント証明書情報52bものと同一のものであり、その詳細な説明は省略するものとする。
また、クライアント証明書情報31aや共有キーの入力(設定)方法としては、例えば、スイッチングハブ4の共有キーやIPアドレスの設定方法等を適用することができ、その詳細な説明は省略するものとする。
クライアント証明書情報31aは、例えば、認証サーバ5に登録されたクライアント証明書情報52bものと同一のものであり、その詳細な説明は省略するものとする。
また、クライアント証明書情報31aや共有キーの入力(設定)方法としては、例えば、スイッチングハブ4の共有キーやIPアドレスの設定方法等を適用することができ、その詳細な説明は省略するものとする。
ネットワーク通信部32は、例えば、ネットワークインターフェースカード(図示略)等を備え、スイッチングハブ4を介してネットワークNに接続された各種機器との間でデータのパケット通信を行うためのものである。
具体的には、ネットワーク通信部32は、例えば、認証サーバ5による認証完了後、スイッチングハブ4を介してDHCPサーバ6にIPアドレス取得要求を送信するようになっている。また、ネットワーク通信部32は、IPアドレス取得手段として、IPアドレス取得要求に対してDHCPサーバ6から送信されるIPアドレスを取得(受信)するようになっている。
具体的には、ネットワーク通信部32は、例えば、認証サーバ5による認証完了後、スイッチングハブ4を介してDHCPサーバ6にIPアドレス取得要求を送信するようになっている。また、ネットワーク通信部32は、IPアドレス取得手段として、IPアドレス取得要求に対してDHCPサーバ6から送信されるIPアドレスを取得(受信)するようになっている。
また、ネットワーク通信部32は、関連付け要求送信手段として、例えば、取得したIPアドレスと当該モバイルアクセスポイント3のMACアドレスを対応付けてIPアドレス関連付け要求を認証サーバ5にスイッチングハブ4を介して送信するようになっている。
さらに、ネットワーク通信部32は、例えば、認証サーバ5によるIPアドレスと共有キーの関連付けの完了後に、当該認証サーバ5の通信制御部53から送信される関連付け完了応答を受信するようになっている。
さらに、ネットワーク通信部32は、例えば、認証サーバ5によるIPアドレスと共有キーの関連付けの完了後に、当該認証サーバ5の通信制御部53から送信される関連付け完了応答を受信するようになっている。
接続条件設定部33は、接続条件設定手段として、ネットワークNに既に接続されている周辺アクセスポイント2との電波干渉を回避するように、IP電話端末1との接続条件を設定するためのものである。具体的には、接続条件設定部33は、例えば、周辺アクセスポイント2の電波状況を調べるために設定された所定の識別子「ESSID」(例えば、「AP_CHK」等)のプローブ要求を送信する。そして、接続条件設定部33は、例えば、プローブ要求に対する周辺アクセスポイント2からのプローブ応答を受信して、その受信レベルを取得する。当該動作処理は、全ての周波数「CH」(例えば、IEEE802.11bの場合、14「CH」等)について行なわれる(図9参照)。
そして、接続条件設定部33は、例えば、受信レベルが最も低い周波数「CH」を当該モバイルアクセスポイント3とIP電話端末1との無線通信に使用される周波数として設定する。例えば、図9にあっては、周波数として「5CH」が設定される。
また、接続条件設定部33は、例えば、使用周波数におけるプローブ応答の受信レベルに応じて、信号の出力レベルを設定するようになっている。即ち、接続条件設定部33は、使用周波数の受信レベルが低い場合には、周辺アクセスポイント2との電波干渉が少ないため信号の出力レベルを高くし、一方、受信レベルが高い場合には、周辺アクセスポイント2との電波干渉が生じ易いため信号の出力レベルを低くするように設定する。
なお、信号の出力レベルの高低は、例えば、受信レベルに応じて無段階に変動させても良いし、所定の閾値に対する高低を判定して、段階的に変動させるようにしても良い。
そして、接続条件設定部33は、例えば、受信レベルが最も低い周波数「CH」を当該モバイルアクセスポイント3とIP電話端末1との無線通信に使用される周波数として設定する。例えば、図9にあっては、周波数として「5CH」が設定される。
また、接続条件設定部33は、例えば、使用周波数におけるプローブ応答の受信レベルに応じて、信号の出力レベルを設定するようになっている。即ち、接続条件設定部33は、使用周波数の受信レベルが低い場合には、周辺アクセスポイント2との電波干渉が少ないため信号の出力レベルを高くし、一方、受信レベルが高い場合には、周辺アクセスポイント2との電波干渉が生じ易いため信号の出力レベルを低くするように設定する。
なお、信号の出力レベルの高低は、例えば、受信レベルに応じて無段階に変動させても良いし、所定の閾値に対する高低を判定して、段階的に変動させるようにしても良い。
端末通信部34は、例えば、IP電話端末1との間で無線リンクを確立して通信を行うものであり、IP電話端末1と信号の送受信を行うための送受信用アンテナ341を備えている。
具体的には、端末通信部34は、例えば、IP電話端末1から送信されるアソシエーション要求を送受信用アンテナ341により受信して、当該アソシエーション要求に対するアソシエーション応答をIP電話端末1に返信するようになっている。これにより、モバイルアクセスポイント3とIP電話端末1との間で無線リンクが確立する。
具体的には、端末通信部34は、例えば、IP電話端末1から送信されるアソシエーション要求を送受信用アンテナ341により受信して、当該アソシエーション要求に対するアソシエーション応答をIP電話端末1に返信するようになっている。これにより、モバイルアクセスポイント3とIP電話端末1との間で無線リンクが確立する。
制御部35は、例えば、図示は省略するが、CPU、RAM、ROM等から構成されて、各部を統括的に制御するものである。
次に、IP電話システム100による無線通信処理について図10及び図11を参照して説明する。
ここで、図10は、無線通信処理に係る動作の一例を示す図であり、図11は、モバイルアクセスポイント登録処理に係る動作の一例を示すである。
ここで、図10は、無線通信処理に係る動作の一例を示す図であり、図11は、モバイルアクセスポイント登録処理に係る動作の一例を示すである。
IP電話端末1をネットワークNに接続して無線通信を行う場合に、モバイルアクセスポイント3を新たに設置する必要がある場合、当該モバイルアクセスポイント3の登録を行う必要がある。
そこで、図10に示すように、モバイルアクセスポイント登録処理(MAP登録処理)を行う(ステップS1)。
以下に、モバイルアクセスポイント登録処理について図11を参照して詳細に説明する。
そこで、図10に示すように、モバイルアクセスポイント登録処理(MAP登録処理)を行う(ステップS1)。
以下に、モバイルアクセスポイント登録処理について図11を参照して詳細に説明する。
図11に示すように、先ず、有線LAN系の設定として、IEEE802.1X規格に対応したスイッチングハブ4の認証登録を行う。
即ち、管理者は、認証サーバ5の設定として、情報入力部51の所定操作に基づいてスイッチングハブ4のIPアドレス及びスイッチングハブ4との間で共有される共有キーを入力して、当該IPアドレスと共有キーを関連付けて登録する(ステップS101)。
また、管理者は、スイッチングハブ4の設定として、所定操作に基づいてスイッチングハブ4のIPアドレスを入力設定するとともに、認証サーバ5との間で共有される共有キーを入力設定する(ステップS102)。
これにより、IEEE802.1X規格に対応したスイッチングハブ4の登録が完了する(ステップS103)。
即ち、管理者は、認証サーバ5の設定として、情報入力部51の所定操作に基づいてスイッチングハブ4のIPアドレス及びスイッチングハブ4との間で共有される共有キーを入力して、当該IPアドレスと共有キーを関連付けて登録する(ステップS101)。
また、管理者は、スイッチングハブ4の設定として、所定操作に基づいてスイッチングハブ4のIPアドレスを入力設定するとともに、認証サーバ5との間で共有される共有キーを入力設定する(ステップS102)。
これにより、IEEE802.1X規格に対応したスイッチングハブ4の登録が完了する(ステップS103)。
次に、無線LAN系の設定として、IEEE802.1X規格に対応したモバイルアクセスポイント3の認証登録を行う。
即ち、管理者は、認証サーバ5の設定として、情報入力部51の所定操作に基づいてモバイルアクセスポイント3のクライアント証明書情報52bを登録するとともに、モバイルアクセスポイント3のMACアドレス及び当該モバイルアクセスポイント3との間で共有される共有キーを入力設定する(ステップS104)。
また、管理者は、モバイルアクセスポイント3の設定として、所定操作に基づいてモバイルアクセスポイント3のクライアント証明書情報31aを登録するとともに、認証サーバ5との間で共有される共有キーを入力設定する(ステップS105)。
即ち、管理者は、認証サーバ5の設定として、情報入力部51の所定操作に基づいてモバイルアクセスポイント3のクライアント証明書情報52bを登録するとともに、モバイルアクセスポイント3のMACアドレス及び当該モバイルアクセスポイント3との間で共有される共有キーを入力設定する(ステップS104)。
また、管理者は、モバイルアクセスポイント3の設定として、所定操作に基づいてモバイルアクセスポイント3のクライアント証明書情報31aを登録するとともに、認証サーバ5との間で共有される共有キーを入力設定する(ステップS105)。
そして、所定のユーザによって、スイッチングハブ4の所定の有線ポートにモバイルアクセスポイント3の接続ケーブル(図示略)が接続されると(ステップS106)、ネットワーク通信部32は、登録されたクライアント証明書情報31aに基づいてクライアント認証要求を認証サーバ5宛に送信する(ステップS107)。当該クライアント認証要求は、スイッチングハブ4により中継されて認証サーバ5に転送される。
認証サーバ5にあっては、スイッチングハブ4から転送されるクライアント認証要求を通信制御部53を介して受信すると、制御部54は、受信したクライアント認証要求と、情報記憶部52に記憶されているクライアント証明書情報52bに基づいてクライアントの認証を行って、認証の完了後、クライアント認証応答をモバイルアクセスポイント3宛に送信する(ステップS108)。そして、当該クライアント認証応答は、スイッチングハブ4により中継されてモバイルアクセスポイント3に転送される。
これにより、モバイルアクセスポイント3のIEEE802.1X規格に対応したクライアントとしての認証が完了して(ステップS109)、当該モバイルアクセスポイント3はネットワークNに接続することが可能となる。
認証サーバ5にあっては、スイッチングハブ4から転送されるクライアント認証要求を通信制御部53を介して受信すると、制御部54は、受信したクライアント認証要求と、情報記憶部52に記憶されているクライアント証明書情報52bに基づいてクライアントの認証を行って、認証の完了後、クライアント認証応答をモバイルアクセスポイント3宛に送信する(ステップS108)。そして、当該クライアント認証応答は、スイッチングハブ4により中継されてモバイルアクセスポイント3に転送される。
これにより、モバイルアクセスポイント3のIEEE802.1X規格に対応したクライアントとしての認証が完了して(ステップS109)、当該モバイルアクセスポイント3はネットワークNに接続することが可能となる。
続けて、モバイルアクセスポイント3は、スイッチングハブ4を介してDHCPサーバ6にIPアドレス取得要求を送信して、DHCPサーバ6からIPアドレスを取得する(ステップS110)。
次に、モバイルアクセスポイント3をオーセンティケータとして登録する処理を行う。
即ち、モバイルアクセスポイント3にあっては、ネットワーク通信部32は、IPアドレスと当該モバイルアクセスポイント3のMACアドレスを対応付けてIPアドレス関連付け要求をスイッチングハブ4を介して認証サーバ5に送信する(ステップS111)。
認証サーバ5にあっては、モバイルアクセスポイント3から送信されたIPアドレス関連付け要求を通信制御部53を介して受信すると、制御部54は、IPアドレス関連付け要求のMACアドレスと同一のMACアドレスと関連付けられて情報記憶部52に記憶されている共有キーと、IPアドレスとを関連付けて共有キー対応テーブルT1に記憶させる(ステップS112)。
そして、共有キーとIPアドレスの関連付けが完了すると、通信制御部53は、関連付け完了応答をスイッチングハブ4を介してモバイルアクセスポイント3に送信する(ステップS113)。
これにより、モバイルアクセスポイント3のIEEE802.1X規格に対応したネットワークNのアクセスポイントとしての登録が完了する(ステップS114)。
即ち、モバイルアクセスポイント3にあっては、ネットワーク通信部32は、IPアドレスと当該モバイルアクセスポイント3のMACアドレスを対応付けてIPアドレス関連付け要求をスイッチングハブ4を介して認証サーバ5に送信する(ステップS111)。
認証サーバ5にあっては、モバイルアクセスポイント3から送信されたIPアドレス関連付け要求を通信制御部53を介して受信すると、制御部54は、IPアドレス関連付け要求のMACアドレスと同一のMACアドレスと関連付けられて情報記憶部52に記憶されている共有キーと、IPアドレスとを関連付けて共有キー対応テーブルT1に記憶させる(ステップS112)。
そして、共有キーとIPアドレスの関連付けが完了すると、通信制御部53は、関連付け完了応答をスイッチングハブ4を介してモバイルアクセスポイント3に送信する(ステップS113)。
これにより、モバイルアクセスポイント3のIEEE802.1X規格に対応したネットワークNのアクセスポイントとしての登録が完了する(ステップS114)。
次に、図10に示すように、モバイルアクセスポイント3は、周辺アクセスポイント2の電波状況を調査する処理を行う。
即ち、接続条件設定部33は、周辺アクセスポイント2の電波状況を調べるために設定された所定の識別子「ESSID」のプローブ要求を送信して(ステップS2)、当該プローブ要求に対する周辺アクセスポイント2からのプローブ応答を受信する(ステップS3)。
そして、接続条件設定部33は、プローブ応答の受信レベルを取得して、受信レベルが最も低い周波数「CH」を当該モバイルアクセスポイント3とIP電話端末1との無線通信に使用される周波数として設定するとともに、使用周波数の受信レベルに応じて、信号の出力レベルを設定する(ステップS4)。
即ち、接続条件設定部33は、周辺アクセスポイント2の電波状況を調べるために設定された所定の識別子「ESSID」のプローブ要求を送信して(ステップS2)、当該プローブ要求に対する周辺アクセスポイント2からのプローブ応答を受信する(ステップS3)。
そして、接続条件設定部33は、プローブ応答の受信レベルを取得して、受信レベルが最も低い周波数「CH」を当該モバイルアクセスポイント3とIP電話端末1との無線通信に使用される周波数として設定するとともに、使用周波数の受信レベルに応じて、信号の出力レベルを設定する(ステップS4)。
その後、IP電話端末1がネットワークNに接続してデータ通信を行う場合に、IP電話端末1がアソシエーション要求を送信すると(ステップS5)、モバイルアクセスポイント3の端末通信部34は、アソシエーション要求を送受信用アンテナ341により受信して、当該アソシエーション要求に対するアソシエーション応答をIP電話端末1に返信することにより、モバイルアクセスポイント3とIP電話端末1との間で無線リンクが確立する(ステップS6)。
続けて、IP電話端末1の認証処理を行う。
ここで、IP電話端末1の認証は、認証サーバ5が行うようになっており、モバイルアクセスポイント3はオーセンティケータとして動作するようになっている。
即ち、IP電話端末1の認証処理において、IP電話端末1は、予め登録されているクライアント証明書情報に基づいてクライアント認証要求をモバイルアクセスポイント3を介して認証サーバ5宛に送信する(ステップS7)。
このとき、モバイルアクセスポイント3は、共有キーに基づいてハッシュ値の計算を行うようになっている。なお、当該共有キーは、IPアドレス関連付け要求によってIPアドレスとMACアドレスと関連付けられている。
ここで、IP電話端末1の認証は、認証サーバ5が行うようになっており、モバイルアクセスポイント3はオーセンティケータとして動作するようになっている。
即ち、IP電話端末1の認証処理において、IP電話端末1は、予め登録されているクライアント証明書情報に基づいてクライアント認証要求をモバイルアクセスポイント3を介して認証サーバ5宛に送信する(ステップS7)。
このとき、モバイルアクセスポイント3は、共有キーに基づいてハッシュ値の計算を行うようになっている。なお、当該共有キーは、IPアドレス関連付け要求によってIPアドレスとMACアドレスと関連付けられている。
認証サーバ5にあっては、スイッチングハブ4を介して送信されるクライアント認証要求(例えば、RADIUSパケット等)を通信制御部53を介して受信すると、制御部54は、IPアドレスから当該IPアドレスに対応する共有キーを選択して、共有キーに基づいてハッシュ値の計算を行い、ハッシュ値からクライアント証明書情報が改竄されていないことを確認して、クライアントの認証を行う。
続けて、認証サーバ5は、クライアント証明書情報に基づいて、PMK(Pairwise Master Key)を作成して(ステップS8)、当該PMKをIPアドレスの認証後にモバイルアクセスポイント3に送信する(ステップS9)。
また、認証サーバ5は、IP電話端末1の認証完了後に、クライアント認証応答をIP電話端末1宛に送信する(ステップS10)。
続けて、認証サーバ5は、クライアント証明書情報に基づいて、PMK(Pairwise Master Key)を作成して(ステップS8)、当該PMKをIPアドレスの認証後にモバイルアクセスポイント3に送信する(ステップS9)。
また、認証サーバ5は、IP電話端末1の認証完了後に、クライアント認証応答をIP電話端末1宛に送信する(ステップS10)。
また、IP電話端末1にあっては、ステップS7のクライアント認証要求の送信後に、PMKを作成する(ステップS11)。
これ以降、IP電話端末1とモバイルアクセスポイント3との間にて通信されるデータは、PMKを用いて暗号化されるようになっている。
また、IP電話端末1は、クライアント認証応答の受信後に、モバイルアクセスポイント3及び、スイッチングハブ4を介してDHCPサーバ6にIPアドレス取得要求を送信して、DHCPサーバ6からIPアドレスを取得する(ステップS12)。そして、IP電話端末1は、当該IPアドレスを用いてIEEE802.1Xで構築されたネットワークNに接続可能となる。
これ以降、IP電話端末1とモバイルアクセスポイント3との間にて通信されるデータは、PMKを用いて暗号化されるようになっている。
また、IP電話端末1は、クライアント認証応答の受信後に、モバイルアクセスポイント3及び、スイッチングハブ4を介してDHCPサーバ6にIPアドレス取得要求を送信して、DHCPサーバ6からIPアドレスを取得する(ステップS12)。そして、IP電話端末1は、当該IPアドレスを用いてIEEE802.1Xで構築されたネットワークNに接続可能となる。
また、モバイルアクセスポイント3は、IP電話端末1から送信される所定のIPアドレス宛のデータ、及び所定の端末からIP電話端末1宛に送信されるデータの中継を行う(ステップS13及びS14)。
以上のように、本実施形態のIP電話システム100によれば、新たに設置されるモバイルアクセスポイント3を、クライアント証明書情報に基づいてネットワークNのクライアントとして認証サーバ5により自動的に認証することができるので、アクセスポイントのIPアドレスの登録作業等により管理者の手を煩わせることなく、新たなモバイルアクセスポイント3の設置を適正に行うことができる。つまり、認証サーバ5に、モバイルアクセスポイント3のMACアドレスと共有キーを関連付けて記憶しておくことにより、モバイルアクセスポイント3からのIPアドレス関連付け要求のMACアドレスに基づいて、IPアドレスと共有キーとを関連付けて記憶することができ、これにより、サブネットが異なる場所に設置する場合等であってもモバイルアクセスポイント3のIPアドレスの登録作業を行う必要がなくなって、モバイルアクセスポイント3の設置作業を簡便に行うことができる。
さらに、モバイルアクセスポイント3の認証後には、IP電話端末1が無線LANに接続される際に、当該モバイルアクセスポイント3をネットワークNのオーセンティケータとして機能させることができるので、ネットワークNのセキュリティレベルを低下させることがなくなる。
さらに、モバイルアクセスポイント3の認証後には、IP電話端末1が無線LANに接続される際に、当該モバイルアクセスポイント3をネットワークNのオーセンティケータとして機能させることができるので、ネットワークNのセキュリティレベルを低下させることがなくなる。
また、モバイルアクセスポイント3の接続条件設定部33は、受信レベルが最も低い周波数「CH」を当該モバイルアクセスポイント3とIP電話端末1との無線通信に使用される周波数として設定して、使用周波数における受信レベルに応じて、信号の出力レベルを設定することができるので、IP電話端末1との接続条件を適正に設定することができ、周辺アクセスポイント2との電波干渉を回避することができる。
<変形例1>
以下に、変形例1のIP電話システムについて図12〜図14を参照して説明する。
図12は、本発明を適用した変形例1のIP電話システムによる無線通信処理に係る動作の一例を示す図である。また、図13は、変形例1のIP電話システムを構成する認証サーバ205のブロック図であり、図14は、変形例1のIP電話システムを構成するモバイルアクセスポイント203のブロック図である。
なお、変形例1のIP電話システムは、認証サーバ205及びモバイルアクセスポイント203の構成以外の点では上記実施形態と略同様であるので、同様の構成には同一の符号を付してその説明を省略する。
以下に、変形例1のIP電話システムについて図12〜図14を参照して説明する。
図12は、本発明を適用した変形例1のIP電話システムによる無線通信処理に係る動作の一例を示す図である。また、図13は、変形例1のIP電話システムを構成する認証サーバ205のブロック図であり、図14は、変形例1のIP電話システムを構成するモバイルアクセスポイント203のブロック図である。
なお、変形例1のIP電話システムは、認証サーバ205及びモバイルアクセスポイント203の構成以外の点では上記実施形態と略同様であるので、同様の構成には同一の符号を付してその説明を省略する。
変形例1のIP電話システムは、認証サーバ205によるモバイルアクセスポイント203の登録にて、当該モバイルアクセスポイント203がアクセスポイントであることを証明するアクセスポイント証明書情報252cを用いて行うようになっている。
即ち、図13に示すように、認証サーバ205の情報記憶部252(証明書情報サーバ記憶手段)には、アクセスポイント証明書情報(基地局証明書情報)252cが記憶されている。
ここで、アクセスポイント証明書情報252cは、例えば、クライアント証明書情報52bと同様に、情報入力部51を介して入力されるようになっている。また、アクセスポイント証明書情報252cの構成もクライアント証明書情報52b(図3参照)と略同様となっており、例えば、証明書のバージョンである「バージョン情報」と、証明書を一意に識別するための番号を規定する「シリアル番号」と、発行者が証明書に署名する際に用いるアルゴリズムを規定する「署名アルゴリズム情報」と、証明書を発行した機関(CA)の名前を表す「発行認証局名」と、証明書の有効期間を規定する「有効期限」と、証明書の所有者の名前を表す「被発行者名」と、証明書の所有者の公開鍵に関する情報を表す「公開鍵情報」等から構成されている。
即ち、図13に示すように、認証サーバ205の情報記憶部252(証明書情報サーバ記憶手段)には、アクセスポイント証明書情報(基地局証明書情報)252cが記憶されている。
ここで、アクセスポイント証明書情報252cは、例えば、クライアント証明書情報52bと同様に、情報入力部51を介して入力されるようになっている。また、アクセスポイント証明書情報252cの構成もクライアント証明書情報52b(図3参照)と略同様となっており、例えば、証明書のバージョンである「バージョン情報」と、証明書を一意に識別するための番号を規定する「シリアル番号」と、発行者が証明書に署名する際に用いるアルゴリズムを規定する「署名アルゴリズム情報」と、証明書を発行した機関(CA)の名前を表す「発行認証局名」と、証明書の有効期間を規定する「有効期限」と、証明書の所有者の名前を表す「被発行者名」と、証明書の所有者の公開鍵に関する情報を表す「公開鍵情報」等から構成されている。
また、認証サーバ205の制御部254は、基地局認証手段として、モバイルアクセスポイント3から送信され通信制御部53を介して受信したアクセスポイント認証要求と、情報記憶部252に記憶されているアクセスポイント証明書情報252cに基づいてアクセスポイントの認証を行うようになっている。
一方、モバイルアクセスポイント203の情報記憶部231(証明書情報基地局記憶手段)には、アクセスポイント証明書情報231bが記憶されている。
このアクセスポイント証明書情報231bは、例えば、認証サーバ205に登録されたアクセスポイント証明書情報252cと同一のものであり、その詳細な説明は省略するものとする。
また、アクセスポイント証明書情報231bの入力方法としては、例えば、クライアント証明書情報31aの入力方法と同様の方法等を適用することができ、その詳細な説明は省略するものとする。
このアクセスポイント証明書情報231bは、例えば、認証サーバ205に登録されたアクセスポイント証明書情報252cと同一のものであり、その詳細な説明は省略するものとする。
また、アクセスポイント証明書情報231bの入力方法としては、例えば、クライアント証明書情報31aの入力方法と同様の方法等を適用することができ、その詳細な説明は省略するものとする。
モバイルアクセスポイント203のネットワーク通信部232は、認証要求送信手段として、情報記憶部231に記憶されたアクセスポイント証明書情報231bに基づいてアクセスポイント認証要求を認証サーバ205に送信するようになっている。
次に、変形例1のIP電話システムによる無線通信処理のモバイルアクセスポイント登録処理について図12を参照して説明する。
モバイルアクセスポイント登録処理にあっては、図12に示すように、先ず、有線LAN系の設定として、IEEE802.1X規格に対応したスイッチングハブ4の認証登録を行う(ステップS101〜S103)。
次に、無線LAN系の設定として、IEEE802.1X規格に対応したモバイルアクセスポイント3の認証登録を行う。
即ち、管理者は、認証サーバ205の設定として、情報入力部51の所定操作に基づいてモバイルアクセスポイント203のクライアント証明書情報52b及びアクセスポイント証明書情報252cを登録する(ステップS204)。
また、管理者は、モバイルアクセスポイント203の設定として、所定操作に基づいてモバイルアクセスポイント203のクライアント証明書情報31a及びアクセスポイント証明書情報231bを登録する(ステップS205)。
即ち、管理者は、認証サーバ205の設定として、情報入力部51の所定操作に基づいてモバイルアクセスポイント203のクライアント証明書情報52b及びアクセスポイント証明書情報252cを登録する(ステップS204)。
また、管理者は、モバイルアクセスポイント203の設定として、所定操作に基づいてモバイルアクセスポイント203のクライアント証明書情報31a及びアクセスポイント証明書情報231bを登録する(ステップS205)。
そして、クライアント証明書情報52bに基づいて認証サーバ205によるモバイルアクセスポイント3のクライアントとしての認証が完了すると(ステップS106〜S109)、モバイルアクセスポイント203は、DHCPサーバ6からIPアドレスを取得する(ステップS110)。
その後、モバイルアクセスポイント203をオーセンティケータとして登録する処理において、モバイルアクセスポイント203のネットワーク通信部232は、アクセスポイント証明書情報231bに基づいてアクセスポイント認証要求をIPアドレスと対応付けて認証サーバ205に送信する(ステップS211)。
認証サーバ205にあっては、モバイルアクセスポイント203から送信されたアクセスポイント認証要求を通信制御部53を介して受信すると、制御部54は、受信したアクセスポイント認証要求と、情報記憶部252に記憶されているアクセスポイント証明書情報252cに基づいてアクセスポイントの認証を行って、認証の完了後、アクセスポイント認証応答をモバイルアクセスポイント203宛に送信する(ステップS212)。
認証サーバ205にあっては、モバイルアクセスポイント203から送信されたアクセスポイント認証要求を通信制御部53を介して受信すると、制御部54は、受信したアクセスポイント認証要求と、情報記憶部252に記憶されているアクセスポイント証明書情報252cに基づいてアクセスポイントの認証を行って、認証の完了後、アクセスポイント認証応答をモバイルアクセスポイント203宛に送信する(ステップS212)。
また、認証サーバ5の制御部54は、情報記憶部52に記憶されているアクセスポイント証明書情報252cに基づいて、モバイルアクセスポイント203との間で共有される共有キーを作成して、当該共有キーとIPアドレスを関連付けて共有キー対応テーブルT1に記憶させる(ステップS213)。
一方、モバイルアクセスポイント3の制御部35は、情報記憶部231に記憶されているアクセスポイント証明書情報231bに基づいて、認証サーバ205との間で共有される共有キーを作成して、当該共有キーを登録する(ステップS214)。
なお、認証サーバ205及びモバイルアクセスポイント203により同一のアクセスポイント証明書情報231b、252cに基づいて作成される共有キーは、例えば、同一のものとなっている。
これにより、モバイルアクセスポイント203のIEEE802.1X規格に対応したネットワークNのアクセスポイントとしての登録が完了する(ステップS215)。
一方、モバイルアクセスポイント3の制御部35は、情報記憶部231に記憶されているアクセスポイント証明書情報231bに基づいて、認証サーバ205との間で共有される共有キーを作成して、当該共有キーを登録する(ステップS214)。
なお、認証サーバ205及びモバイルアクセスポイント203により同一のアクセスポイント証明書情報231b、252cに基づいて作成される共有キーは、例えば、同一のものとなっている。
これにより、モバイルアクセスポイント203のIEEE802.1X規格に対応したネットワークNのアクセスポイントとしての登録が完了する(ステップS215)。
以上のように、変形例1のIP電話システムによれば、アクセスポイント証明書情報252cが登録されているクライアント(モバイルアクセスポイント3)のみIEEE802.1X規格に対応したネットワークN上でアクセスポイントとして認証されて、当該ネットワークNに接続することができるので、不正なアクセスポイントのネットワークNへの接続を好適に防止することができる。
なお、変形例1にあっては、モバイルアクセスポイント203にクライアント証明書情報31aとアクセスポイント証明書情報231bを登録するようにしたが、これらの証明内容を一つにまとめた証明書情報を登録するようにしても良い。
<変形例2>
以下に、変形例2のIP電話システム300について図15〜図21を参照して説明する。
図15は、本発明を適用した変形例2のIP電話システム300による無線通信処理に係る動作の一例を示す図である。
なお、変形例2のIP電話システム300は、中継器7を備える構成以外の点では上記実施形態と略同様であるので、同様の構成には同一の符号を付してその説明を省略する。
以下に、変形例2のIP電話システム300について図15〜図21を参照して説明する。
図15は、本発明を適用した変形例2のIP電話システム300による無線通信処理に係る動作の一例を示す図である。
なお、変形例2のIP電話システム300は、中継器7を備える構成以外の点では上記実施形態と略同様であるので、同様の構成には同一の符号を付してその説明を省略する。
変形例2のIP電話システム300は、認証サーバ305とモバイルアクセスポイント303との間のデータの送受信を中継器7により中継して行うようになっている。
即ち、図15に示すように、IP電話システム100は、認証サーバ305とアクセスポイントとのデータ通信を中継する中継器7を備えている。
即ち、図15に示すように、IP電話システム100は、認証サーバ305とアクセスポイントとのデータ通信を中継する中継器7を備えている。
先ず、認証サーバ305について図16及び図17を参照して説明する。
認証サーバ305は、例えば、IEEE802.1X規格に対応した一般的なものであり、図16に示すように、情報記憶部352には、クライアントの認証を行うための認証パケットの通信に係るIPアドレスと共有キーとが関連付けられた共有キーテーブルT2が記憶されている。
共有キーテーブルT2は、例えば、図17に示すように、所定のIPアドレス1〜Nと共有キー1〜Nがそれぞれ関連付けられたものである。
ここで、IPアドレス1〜Nは、例えば、中継器7によりモバイルアクセスポイント303との間のデータ通信が中継される際に使用される所定のIPアドレスとなっている。なお、中継器7によるデータの中継方法については、後述する。
認証サーバ305は、例えば、IEEE802.1X規格に対応した一般的なものであり、図16に示すように、情報記憶部352には、クライアントの認証を行うための認証パケットの通信に係るIPアドレスと共有キーとが関連付けられた共有キーテーブルT2が記憶されている。
共有キーテーブルT2は、例えば、図17に示すように、所定のIPアドレス1〜Nと共有キー1〜Nがそれぞれ関連付けられたものである。
ここで、IPアドレス1〜Nは、例えば、中継器7によりモバイルアクセスポイント303との間のデータ通信が中継される際に使用される所定のIPアドレスとなっている。なお、中継器7によるデータの中継方法については、後述する。
次に、中継器7について図18及び図19を参照して説明する。
中継器7は、例えば、図18及び図19に示すように、有線LANに接続され、情報入力部71と、情報記憶部72と、通信制御部73と、制御部74等を備えている。
中継器7は、例えば、図18及び図19に示すように、有線LANに接続され、情報入力部71と、情報記憶部72と、通信制御部73と、制御部74等を備えている。
情報入力部71は、例えば、認証サーバ305の情報入力部51と同様に、管理者による所定操作に基づいて情報を入力するためのキーボードやマウス、FDやUSBメモリ等の情報記録媒体から情報を読み出して取得するFDドライブやUSBポート等の情報読取部などを備えている。
そして、情報入力部71は、例えば、モバイルアクセスポイント303のMACアドレスや変換IPアドレス(例えば、IPアドレス1〜N等)等を入力するようになっている。
そして、情報入力部71は、例えば、モバイルアクセスポイント303のMACアドレスや変換IPアドレス(例えば、IPアドレス1〜N等)等を入力するようになっている。
情報記憶部72は、例えば、HDドライブ等から構成され、情報入力部71を介して入力された各種情報や、通信制御部73を介して受信した各種情報を記憶するものである。
具体的には、情報記憶部72は、例えば、情報入力部71を介して入力されたモバイルアクセスポイント303のMACアドレスと変換IPアドレス(例えば、IPアドレス1〜N等)とを関連付けて記憶(登録)するようになっている。
また、情報記憶部72は、変換テーブル記憶手段として、例えば、モバイルアクセスポイント303のネットワーク通信部(IPアドレス送信手段)32から送信され通信制御部73により受信した当該モバイルアクセスポイント303のIPアドレスと、認証サーバ305との情報通信に用いられる変換IPアドレスとが関連付けられたIPアドレス変換テーブルT3を記憶している(図19参照)。
IPアドレス変換テーブルT3は、例えば、図19に示すように、認証サーバ305とのデータ通信に用いられる「IPアドレス1」と「モバイルアクセスポイント303のIPアドレス」が関連付けられたものである。
具体的には、情報記憶部72は、例えば、情報入力部71を介して入力されたモバイルアクセスポイント303のMACアドレスと変換IPアドレス(例えば、IPアドレス1〜N等)とを関連付けて記憶(登録)するようになっている。
また、情報記憶部72は、変換テーブル記憶手段として、例えば、モバイルアクセスポイント303のネットワーク通信部(IPアドレス送信手段)32から送信され通信制御部73により受信した当該モバイルアクセスポイント303のIPアドレスと、認証サーバ305との情報通信に用いられる変換IPアドレスとが関連付けられたIPアドレス変換テーブルT3を記憶している(図19参照)。
IPアドレス変換テーブルT3は、例えば、図19に示すように、認証サーバ305とのデータ通信に用いられる「IPアドレス1」と「モバイルアクセスポイント303のIPアドレス」が関連付けられたものである。
通信制御部73は、例えば、ネットワークNに接続される各種機器とデータの送受信を行うものである。具体的には、通信制御部73は、例えば、モバイルアクセスポイント303から送信された中継器7宛のデータを受信して認証サーバ305に転送するとともに、認証サーバ305から送信された中継器7宛のデータを受信してモバイルアクセスポイント303に転送するものである。
即ち、通信制御部73は、情報中継通信手段として、情報記憶部72に記憶されているIPアドレス変換テーブルT3のIPアドレス及び変換IPアドレスに基づいて、認証サーバ305とモバイルアクセスポイント303とのデータ通信を中継するようになっている。
具体的には、モバイルアクセスポイント303から認証サーバ305にデータ送信する場合、モバイルアクセスポイント303が、受信者のIPアドレスを中継器7のIPアドレスとして中継器7にパケット送信すると、通信制御部73は、当該パケットを受信すると、情報記憶部72に記憶されているIPアドレス変換テーブルT3に送信者のIPアドレスが登録されているか否かを判定する。ここで、IPアドレスが登録されていると判定されると、通信制御部73は、送信者のIPアドレスをIPアドレス変換テーブルT3に基づいて変換IPアドレス「IPアドレス1」に変換するとともに、受信者のIPアドレスを認証サーバ305のIPアドレスに変更してパケット送信する。
一方、認証サーバ305からモバイルアクセスポイント303にデータ送信する場合、上記の処理と逆の処理を行って、即ち、認証サーバ305が、受信者のIPアドレスを中継器7のIPアドレスとして中継器7にパケット送信した場合、当該パケットを通信制御部73が受信すると、情報記憶部72に記憶されているIPアドレス変換テーブルT3に基づいて、受信者のIPアドレスを「モバイルアクセスポイント303のIPアドレス」に変換するとともに、受信者のIPアドレスを中継器7のIPアドレスに変換してパケット送信する。
即ち、通信制御部73は、情報中継通信手段として、情報記憶部72に記憶されているIPアドレス変換テーブルT3のIPアドレス及び変換IPアドレスに基づいて、認証サーバ305とモバイルアクセスポイント303とのデータ通信を中継するようになっている。
具体的には、モバイルアクセスポイント303から認証サーバ305にデータ送信する場合、モバイルアクセスポイント303が、受信者のIPアドレスを中継器7のIPアドレスとして中継器7にパケット送信すると、通信制御部73は、当該パケットを受信すると、情報記憶部72に記憶されているIPアドレス変換テーブルT3に送信者のIPアドレスが登録されているか否かを判定する。ここで、IPアドレスが登録されていると判定されると、通信制御部73は、送信者のIPアドレスをIPアドレス変換テーブルT3に基づいて変換IPアドレス「IPアドレス1」に変換するとともに、受信者のIPアドレスを認証サーバ305のIPアドレスに変更してパケット送信する。
一方、認証サーバ305からモバイルアクセスポイント303にデータ送信する場合、上記の処理と逆の処理を行って、即ち、認証サーバ305が、受信者のIPアドレスを中継器7のIPアドレスとして中継器7にパケット送信した場合、当該パケットを通信制御部73が受信すると、情報記憶部72に記憶されているIPアドレス変換テーブルT3に基づいて、受信者のIPアドレスを「モバイルアクセスポイント303のIPアドレス」に変換するとともに、受信者のIPアドレスを中継器7のIPアドレスに変換してパケット送信する。
制御部74は、例えば、図示は省略するが、CPU、RAM、ROM等から構成されて、各部を統括的に制御するものである。
次に、変形例2のIP電話システム300による無線通信処理について図20及び図21を参照して説明する。
ここで、図20は、無線通信処理に係る動作の一例を示す図であり、図21は、モバイルアクセスポイント登録処理に係る動作の一例を示すである。
ここで、図20は、無線通信処理に係る動作の一例を示す図であり、図21は、モバイルアクセスポイント登録処理に係る動作の一例を示すである。
図20に示すように、変形例2のIP電話システム300による無線通信処理にあっては、先ず、モバイルアクセスポイント登録処理を行う(ステップS30)。
以下、モバイルアクセスポイント登録処理について図21を参照して説明する。
以下、モバイルアクセスポイント登録処理について図21を参照して説明する。
モバイルアクセスポイント登録処理にあっては、図21に示すように、先ず、有線LAN系の設定として、IEEE802.1X規格に対応したスイッチングハブ4の認証登録を行う(ステップS101〜S103)。
次に、無線LAN系の設定として、IEEE802.1X規格に対応したモバイルアクセスポイント303の認証登録を行う。
即ち、管理者は、認証サーバ305の設定として、情報入力部71の所定操作に基づいてモバイルアクセスポイント303のクライアント証明書情報52bを登録するとともに、中継器7によるデータ通信の中継に用いられるIPアドレス1とモバイルアクセスポイント303との間で共有される共有キーを関連付けて設定する(ステップS304)。
また、管理者は、中継器7の設定として、所定操作に基づいてモバイルアクセスポイント303のMACアドレスと変換IPアドレス(IPアドレス1〜N)を関連付けて設定する(ステップS305)。
また、管理者は、モバイルアクセスポイント303の設定として、所定操作に基づいてモバイルアクセスポイント303のクライアント証明書情報31aを登録するとともに、認証サーバ305との間で共有される共有キーを入力設定する(ステップS306)。
即ち、管理者は、認証サーバ305の設定として、情報入力部71の所定操作に基づいてモバイルアクセスポイント303のクライアント証明書情報52bを登録するとともに、中継器7によるデータ通信の中継に用いられるIPアドレス1とモバイルアクセスポイント303との間で共有される共有キーを関連付けて設定する(ステップS304)。
また、管理者は、中継器7の設定として、所定操作に基づいてモバイルアクセスポイント303のMACアドレスと変換IPアドレス(IPアドレス1〜N)を関連付けて設定する(ステップS305)。
また、管理者は、モバイルアクセスポイント303の設定として、所定操作に基づいてモバイルアクセスポイント303のクライアント証明書情報31aを登録するとともに、認証サーバ305との間で共有される共有キーを入力設定する(ステップS306)。
そして、クライアント証明書情報31aに基づいて認証サーバ305によるモバイルアクセスポイント303のクライアントとしての認証が完了すると(ステップS106〜S109)、モバイルアクセスポイント303は、DHCPサーバ6からIPアドレスを取得する(ステップS110)。
次に、モバイルアクセスポイント303をオーセンティケータとして登録する処理を行う。
即ち、モバイルアクセスポイント303にあっては、ネットワーク通信部32は、IPアドレスと当該モバイルアクセスポイント303のMACアドレスを対応付けてIPアドレス関連付け要求をスイッチングハブ4を介して中継器7に送信する(ステップS311)。
中継器7にあっては、モバイルアクセスポイント303から送信されたIPアドレス関連付け要求を通信制御部73を介して受信すると、制御部74は、IPアドレス関連付け要求のMACアドレスと同一のMACアドレスと関連付けられて情報記憶部72に記憶されている変換IPアドレス(IPアドレス1〜N)とを関連付けて記憶させる(ステップS312)。
そして、変換IPアドレスとモバイルアクセスポイントのIPアドレスの関連付けが完了すると、通信制御部73は、関連付け完了応答をスイッチングハブ4を介してモバイルアクセスポイント303に送信する(ステップS313)。
これにより、モバイルアクセスポイント303のIEEE802.1X規格に対応したネットワークNのアクセスポイントとしての登録が完了する(ステップS314)。
即ち、モバイルアクセスポイント303にあっては、ネットワーク通信部32は、IPアドレスと当該モバイルアクセスポイント303のMACアドレスを対応付けてIPアドレス関連付け要求をスイッチングハブ4を介して中継器7に送信する(ステップS311)。
中継器7にあっては、モバイルアクセスポイント303から送信されたIPアドレス関連付け要求を通信制御部73を介して受信すると、制御部74は、IPアドレス関連付け要求のMACアドレスと同一のMACアドレスと関連付けられて情報記憶部72に記憶されている変換IPアドレス(IPアドレス1〜N)とを関連付けて記憶させる(ステップS312)。
そして、変換IPアドレスとモバイルアクセスポイントのIPアドレスの関連付けが完了すると、通信制御部73は、関連付け完了応答をスイッチングハブ4を介してモバイルアクセスポイント303に送信する(ステップS313)。
これにより、モバイルアクセスポイント303のIEEE802.1X規格に対応したネットワークNのアクセスポイントとしての登録が完了する(ステップS314)。
次に、図20に示すように、モバイルアクセスポイント303は、周辺アクセスポイント2の電波状況を調査する処理を行って、IP電話端末1との無線通信に使用される周波数と信号の出力レベルを設定する(ステップS2〜S4)。
その後、IP電話端末1がネットワークNに接続してデータ通信を行う場合に、IP電話端末1からのアソシエーション要求に対して、モバイルアクセスポイント303がアソシエーション応答することにより、モバイルアクセスポイント303とIP電話端末1との間で無線リンクが確立する(ステップS5及びS6)。
続けて、IP電話端末1の認証処理を行う。
ここで、IP電話端末1の認証は、認証サーバ305が行うようになっており、モバイルアクセスポイント303はオーセンティケータとして動作するようになっている。
即ち、IP電話端末1の認証処理において、IP電話端末1が、予め登録されているクライアント証明書情報に基づいてクライアント認証要求をモバイルアクセスポイント303に送信すると、モバイルアクセスポイント303は、クライアント認証要求を受信者のIPアドレスを中継器7のIPアドレスとして中継器7宛に送信する(ステップS37)。
中継器7にあっては、通信制御部73は、クライアント認証要求を受信すると、IPアドレス変換テーブルT3にモバイルアクセスポイント303のIPアドレスが登録されているか否かを判定して、当該IPアドレスをIPアドレス変換テーブルT3に基づいて変換IPアドレス「IPアドレス1」に変換するとともに、受信者のIPアドレスを認証サーバ305のIPアドレスに変更してパケット送信する(ステップS38)。
ここで、IP電話端末1の認証は、認証サーバ305が行うようになっており、モバイルアクセスポイント303はオーセンティケータとして動作するようになっている。
即ち、IP電話端末1の認証処理において、IP電話端末1が、予め登録されているクライアント証明書情報に基づいてクライアント認証要求をモバイルアクセスポイント303に送信すると、モバイルアクセスポイント303は、クライアント認証要求を受信者のIPアドレスを中継器7のIPアドレスとして中継器7宛に送信する(ステップS37)。
中継器7にあっては、通信制御部73は、クライアント認証要求を受信すると、IPアドレス変換テーブルT3にモバイルアクセスポイント303のIPアドレスが登録されているか否かを判定して、当該IPアドレスをIPアドレス変換テーブルT3に基づいて変換IPアドレス「IPアドレス1」に変換するとともに、受信者のIPアドレスを認証サーバ305のIPアドレスに変更してパケット送信する(ステップS38)。
認証サーバ305あっては、通信制御部53を介してクライアント認証要求を受信すると、制御部54は、クライアントの認証を行う。
また、制御部54は、クライアント証明書情報52bに基づいてPMKを作成して(ステップS8)、当該PMKをIPアドレスの認証後に中継器7に送信する。
また、制御部54は、クライアント証明書情報52bに基づいてPMKを作成して(ステップS8)、当該PMKをIPアドレスの認証後に中継器7に送信する。
中継器7にあっては、通信制御部73は、PMKを受信すると、情報記憶部72に記憶されているIPアドレス変換テーブルT3に基づいて、受信者のIPアドレスを「モバイルアクセスポイント303のIPアドレス」に変換するとともに、受信者のIPアドレスを中継器7のIPアドレスに変換してパケット送信する(ステップS39)。
また、認証サーバ305は、IP電話端末1の認証完了後に、クライアント認証応答を中継器7に送信する。
中継器7にあっては、通信制御部73は、クライアント認証応答を受信すると、情報記憶部72に記憶されているIPアドレス変換テーブルT3に基づいて、受信者のIPアドレスを「モバイルアクセスポイント303のIPアドレス」に変換するとともに、受信者のIPアドレスを中継器7のIPアドレスに変換してパケット送信する(ステップS40)。
中継器7にあっては、通信制御部73は、クライアント認証応答を受信すると、情報記憶部72に記憶されているIPアドレス変換テーブルT3に基づいて、受信者のIPアドレスを「モバイルアクセスポイント303のIPアドレス」に変換するとともに、受信者のIPアドレスを中継器7のIPアドレスに変換してパケット送信する(ステップS40)。
また、IP電話端末1にあっては、ステップS37のクライアント認証要求の送信後に、PMKを作成する(ステップS41)。これにより、IP電話端末1とモバイルアクセスポイント303との間にて通信されるデータは、PMKを用いて暗号化されるようになる。
さらに、IP電話端末1は、DHCPサーバ6からIPアドレスを取得して(ステップS12)、当該IPアドレスを用いてIEEE802.1Xで構築されたネットワークNに接続可能となる。
さらに、IP電話端末1は、DHCPサーバ6からIPアドレスを取得して(ステップS12)、当該IPアドレスを用いてIEEE802.1Xで構築されたネットワークNに接続可能となる。
また、モバイルアクセスポイント303は、IP電話端末1から送信される所定のIPアドレス宛のデータ、及び所定の端末からIP電話端末1宛に送信されるデータの中継を行う(ステップS13及びS14)。
以上のように、変形例2のIP電話システム300によれば、中継器7がIPアドレス変換テーブルT3のIPアドレス及び変換IPアドレスに基づいて、認証サーバ305とモバイルアクセスポイント303とのデータ通信を中継することができるので、認証サーバ305にIPアドレスと共有キーの関連付けという新しい機能を追加する必要がなくなって、一般の認証サーバであっても有効に活用することができる。
なお、本発明は、上記実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において、種々の改良並びに設計の変更を行っても良い。
例えば、上記実施形態では、無線通信システムとして、IP電話システム100、300を例示したが、これに限られるものではなく、ネットワークNに接続される端末の認証を行う構成のシステムであれば如何なるものであっても良い。
例えば、上記実施形態では、無線通信システムとして、IP電話システム100、300を例示したが、これに限られるものではなく、ネットワークNに接続される端末の認証を行う構成のシステムであれば如何なるものであっても良い。
また、モバイルアクセスポイント303をスイッチングハブ4の有線ポートに接続するようにしたが、これに限られるものではなく、例えば、モバイルアクセスポイント303を接続可能なアクセスポイントに無線接続するような構成としても良い。
さらに、上記実施形態では、ネットワークNとして、閉鎖的な通信ネットワークNである社内LANを例示したが、これに限られるものではなく、例えば、インターネット等に代表されるオープンな通信ネットワークであっても良い。
100、300 IP電話システム(無線通信システム)
1 IP電話端末(無線通信端末)
3、203、303 モバイルアクセスポイント(基地局)
231 情報記憶部(証明書情報基地局記憶手段)
32、232 ネットワーク通信部(IPアドレス取得手段、関連付け要求送信手段、認証要求送信手段)
33 接続条件設定部(接続条件設定手段)
4 スイッチングハブ
5 認証サーバ
52、252 情報記憶部(基地局情報記憶手段、証明書情報サーバ記憶手段)
54、254 制御部(関連付手段、基地局認証手段)
6 DHCPサーバ
7 中継器
72 情報記憶部(変換テーブル記憶手段)
73 通信制御部(情報中継通信手段)
1 IP電話端末(無線通信端末)
3、203、303 モバイルアクセスポイント(基地局)
231 情報記憶部(証明書情報基地局記憶手段)
32、232 ネットワーク通信部(IPアドレス取得手段、関連付け要求送信手段、認証要求送信手段)
33 接続条件設定部(接続条件設定手段)
4 スイッチングハブ
5 認証サーバ
52、252 情報記憶部(基地局情報記憶手段、証明書情報サーバ記憶手段)
54、254 制御部(関連付手段、基地局認証手段)
6 DHCPサーバ
7 中継器
72 情報記憶部(変換テーブル記憶手段)
73 通信制御部(情報中継通信手段)
Claims (5)
- ネットワークのクライアントとして証明され、新たに設置される基地局と、
前記基地局が前記ネットワークに接続される際に、前記クライアントとしての認証を行う認証サーバとを備え、
前記基地局は、前記認証サーバによる認証完了後、所定の無線通信回線を介して無線通信端末が接続される際に前記ネットワークのオーセンティケータとして機能することを特徴とする無線通信システム。 - 前記基地局は、
前記認証サーバによる認証完了後、IPアドレスを取得するIPアドレス取得手段と、
前記IPアドレス取得手段により取得した前記IPアドレスと当該基地局の識別情報を対応付けて、前記認証サーバとの間で共有され当該認証サーバとの通信の認証に用いられる共有情報と前記IPアドレスとの関連付け要求を前記認証サーバに送信する関連付け要求送信手段とを備え、
前記認証サーバは、
前記共有情報と前記識別情報を関連付けて記憶する基地局情報記憶手段と、
前記関連付け要求送信手段から送信されて受信した前記関連付け要求の前記識別情報に基づいて、前記IPアドレスと前記共有情報とを関連付けて前記基地局情報記憶手段に記憶させる関連付手段とを備えることを特徴とする請求項1に記載の無線通信システム。 - 前記基地局は、
基地局であることを証明する基地局証明書情報を記憶する証明書情報基地局記憶手段と、
前記証明書情報基地局記憶手段に記憶された前記基地局証明書情報に基づいて、基地局認証要求を前記認証サーバに送信する認証要求送信手段とを備え、
前記認証サーバは、
前記基地局証明書情報を記憶する証明書情報サーバ記憶手段と、
前記認証要求送信手段から送信されて受信した前記基地局認証要求と、前記証明書情報サーバ記憶手段に記憶されている前記基地局証明書情報に基づいて、前記基地局の認証を行う基地局認証手段とを備えることを特徴とする請求項1に記載の無線通信システム。 - 前記認証サーバと前記基地局との情報通信を中継する中継器を備え、
前記基地局は、
前記認証サーバによる認証完了後、IPアドレスを取得するIPアドレス取得手段と、
前記IPアドレス取得手段により取得した前記IPアドレスを前記中継器に送信するIPアドレス送信手段とを備え、
前記中継器は、
前記IPアドレス送信手段から送信されて受信した前記IPアドレスと、前記認証サーバとの情報通信に用いられる変換IPアドレスとが関連付けられたIPアドレス変換テーブルを記憶する変換テーブル記憶手段と、
前記変換テーブル記憶手段に記憶された前記IPアドレス変換テーブルの前記IPアドレス及び前記変換IPアドレスに基づいて、前記認証サーバと前記基地局との情報通信を中継する情報中継通信手段とを備えることを特徴とする請求項1に記載の無線通信システム。 - 前記基地局は、
前記ネットワークに既に接続されている周辺基地局との電波干渉を回避するように、前記無線通信端末との接続条件を設定する接続条件設定手段を備えることを特徴とする請求項1〜4の何れか一項に記載の無線通信システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006201717A JP2008028892A (ja) | 2006-07-25 | 2006-07-25 | 無線通信システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006201717A JP2008028892A (ja) | 2006-07-25 | 2006-07-25 | 無線通信システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008028892A true JP2008028892A (ja) | 2008-02-07 |
Family
ID=39119053
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006201717A Pending JP2008028892A (ja) | 2006-07-25 | 2006-07-25 | 無線通信システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008028892A (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100909070B1 (ko) | 2008-05-16 | 2009-07-23 | 주식회사 아이뉴정보통신 | 무선랜 및 모바일 패킷 서비스 기능을 가진 다중 모드 휴대단말장치를 이동 접속 장치 및 복합 단말 장치로 전환하는 방법 |
JP2010124265A (ja) * | 2008-11-20 | 2010-06-03 | Fujitsu Ltd | 無線基地局装置の構成データ設定方法、無線基地局制御装置及び無線基地局装置 |
WO2010100823A1 (ja) * | 2009-03-02 | 2010-09-10 | パナソニック株式会社 | 基地局装置及びセルidの設定方法 |
JP2011182335A (ja) * | 2010-03-03 | 2011-09-15 | Toshiba Corp | 認証方法、通信局、認証局及び端末 |
JP2013255219A (ja) * | 2012-06-05 | 2013-12-19 | ▲華▼▲為▼終端有限公司 | インターネットにアクセスする方法および装置 |
JP2016515369A (ja) * | 2013-03-15 | 2016-05-26 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 中継器展開のための認証 |
KR20170097739A (ko) * | 2014-12-22 | 2017-08-28 | 맥아피 인코퍼레이티드 | 신뢰된 실행 환경과 주변 디바이스들 사이의 신뢰 확립 |
KR101913406B1 (ko) * | 2011-12-23 | 2018-10-31 | 주식회사 케이티 | 단말 접속 관리 방법 및 장치 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004135061A (ja) * | 2002-10-10 | 2004-04-30 | Toshiba Corp | ネットワークシステム、情報処理装置、中継器およびネットワークシステムの構築方法 |
JP2005064783A (ja) * | 2003-08-11 | 2005-03-10 | Nec Corp | 公衆インターネット接続サービスシステムおよびアクセス回線接続装置 |
JP2005286782A (ja) * | 2004-03-30 | 2005-10-13 | Hitachi Software Eng Co Ltd | 無線lan環境提供システム |
-
2006
- 2006-07-25 JP JP2006201717A patent/JP2008028892A/ja active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004135061A (ja) * | 2002-10-10 | 2004-04-30 | Toshiba Corp | ネットワークシステム、情報処理装置、中継器およびネットワークシステムの構築方法 |
JP2005064783A (ja) * | 2003-08-11 | 2005-03-10 | Nec Corp | 公衆インターネット接続サービスシステムおよびアクセス回線接続装置 |
JP2005286782A (ja) * | 2004-03-30 | 2005-10-13 | Hitachi Software Eng Co Ltd | 無線lan環境提供システム |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100909070B1 (ko) | 2008-05-16 | 2009-07-23 | 주식회사 아이뉴정보통신 | 무선랜 및 모바일 패킷 서비스 기능을 가진 다중 모드 휴대단말장치를 이동 접속 장치 및 복합 단말 장치로 전환하는 방법 |
JP2010124265A (ja) * | 2008-11-20 | 2010-06-03 | Fujitsu Ltd | 無線基地局装置の構成データ設定方法、無線基地局制御装置及び無線基地局装置 |
WO2010100823A1 (ja) * | 2009-03-02 | 2010-09-10 | パナソニック株式会社 | 基地局装置及びセルidの設定方法 |
CN102293022A (zh) * | 2009-03-02 | 2011-12-21 | 松下电器产业株式会社 | 基站装置和小区id的设定方法 |
JP5453390B2 (ja) * | 2009-03-02 | 2014-03-26 | パナソニック株式会社 | 基地局装置及びセルidの設定方法 |
US10356609B2 (en) | 2009-03-02 | 2019-07-16 | Sun Patent Trust | Base station apparatus and method of setting cell ID |
JP2011182335A (ja) * | 2010-03-03 | 2011-09-15 | Toshiba Corp | 認証方法、通信局、認証局及び端末 |
US8635667B2 (en) | 2010-03-03 | 2014-01-21 | Kabushiki Kaisha Toshiba | Electronic apparatus and terminal |
KR101913406B1 (ko) * | 2011-12-23 | 2018-10-31 | 주식회사 케이티 | 단말 접속 관리 방법 및 장치 |
JP2013255219A (ja) * | 2012-06-05 | 2013-12-19 | ▲華▼▲為▼終端有限公司 | インターネットにアクセスする方法および装置 |
JP2016515369A (ja) * | 2013-03-15 | 2016-05-26 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 中継器展開のための認証 |
JP2017184241A (ja) * | 2013-03-15 | 2017-10-05 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 中継器展開のための認証 |
US9531543B2 (en) | 2013-03-15 | 2016-12-27 | Qualcomm Incorporated | Authentication for relay deployment |
JP2016518742A (ja) * | 2013-03-15 | 2016-06-23 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 中継器展開のための認証 |
KR20170097739A (ko) * | 2014-12-22 | 2017-08-28 | 맥아피 인코퍼레이티드 | 신뢰된 실행 환경과 주변 디바이스들 사이의 신뢰 확립 |
JP2018504076A (ja) * | 2014-12-22 | 2018-02-08 | マカフィー, エルエルシー | 信頼できる実行環境と周辺機器との間の信頼確立 |
US10404692B2 (en) | 2014-12-22 | 2019-09-03 | Mcafee, Llc | Trust establishment between a trusted execution environment and peripheral devices |
KR102048912B1 (ko) * | 2014-12-22 | 2019-11-27 | 맥아피, 엘엘씨 | 신뢰된 실행 환경과 주변 디바이스들 사이의 신뢰 확립 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10555176B2 (en) | System and method for automatically and securely registering an internet of things device | |
CN109889385B (zh) | 使网络装置与网络进行通信的方法 | |
US7174564B1 (en) | Secure wireless local area network | |
US11750382B2 (en) | Cloud based WiFi network setup for multiple access points | |
JP5030681B2 (ja) | 機器設定装置、ネットワーク機器、機器名設定方法および機器名設定プログラム | |
CN103634795B (zh) | 无线通信装置和方法 | |
JP2008028892A (ja) | 無線通信システム | |
US20140247941A1 (en) | Self-configuring wireless network | |
EP1513288A2 (en) | Method, apparatus, and program product for provisioning secure wireless sensors | |
WO2005046130A1 (ja) | 無線通信端末および接続情報設定方法 | |
JP2008515310A (ja) | 企業環境において移動ターミナルの同期サービスをコンテクスト的に開始する方法及びシステム | |
US20110055409A1 (en) | Method For Network Connection | |
KR20050033636A (ko) | 무선 네트워크의 장치를 위한 보안 시스템 | |
CN101006701A (zh) | 用于在无线通用即插即用(UPnP)网络中建立安全环境的方法和系统 | |
JP4405309B2 (ja) | アクセスポイント、無線lan接続方法、無線lan接続プログラムを記録した媒体および無線lanシステム | |
JP4642652B2 (ja) | 無線制御端末、無線通信システムおよび無線通信方法 | |
JP3865317B2 (ja) | 無線lan端末の無線lanへの参加制御方法および無線lan基地局装置並びに無線lan端末装置 | |
US20080117837A1 (en) | Method for setting wireless lan communication system and wireless lan access point | |
JP5388088B2 (ja) | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 | |
JP2011254402A (ja) | 通信装置および通信システム | |
CN111492358A (zh) | 设备认证 | |
JP2005184314A (ja) | 無線通信装置 | |
KR20210018387A (ko) | 무선 통신 시스템에서 무선 기기 등록 방법 및 장치 | |
JP2006314138A (ja) | 無線lan端末の無線lanへの参加制御方法及び無線lan基地局装置並びに無線lan端末装置 | |
JP4711342B2 (ja) | ネットワークシステム及びその認証方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090709 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111021 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111101 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120228 |