JP2010233159A - 無線網接続装置、無線ネットワークシステム、認証サーバ、接続方法及びプログラム - Google Patents

無線網接続装置、無線ネットワークシステム、認証サーバ、接続方法及びプログラム Download PDF

Info

Publication number
JP2010233159A
JP2010233159A JP2009081142A JP2009081142A JP2010233159A JP 2010233159 A JP2010233159 A JP 2010233159A JP 2009081142 A JP2009081142 A JP 2009081142A JP 2009081142 A JP2009081142 A JP 2009081142A JP 2010233159 A JP2010233159 A JP 2010233159A
Authority
JP
Japan
Prior art keywords
terminal
connection
local network
network
wireless network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009081142A
Other languages
English (en)
Other versions
JP5206981B2 (ja
Inventor
Kazuhiro Okanoue
和広 岡ノ上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2009081142A priority Critical patent/JP5206981B2/ja
Publication of JP2010233159A publication Critical patent/JP2010233159A/ja
Application granted granted Critical
Publication of JP5206981B2 publication Critical patent/JP5206981B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】無線網接続装置が利用しうる無線回線帯域に即した適切な課金を容易に行うことができる技術を提供すること。
【解決手段】本発明は、少なくとも一以上の端末が接続されるローカル網を無線アクセス回線で接続するネットワークにおける前記ローカル網と前記無線アクセス回線とを接続する無線網接続装置であって、無線アクセス網に接続する認証シーケンスで、端末がローカル網に接続できる条件である端末接続条件を取得する認証クライアント部と、端末接続条件とローカル網における端末の接続状況とに基づいて、端末のローカル網への接続の可否を判断する端末接続制御部とを有することを特徴とする。
【選択図】図2

Description

本発明は、無線網接続装置、無線ネットワークシステム、認証サーバ、接続方法及びプログラムに関する。
ADSLやFTTHのような有線ブロードバンドアクセスでは、定額の回線料金で、ブロードバンドルータに代表されるアクセス網接続装置を介して、家庭内やリモートオフィスなどのローカル網の端末を収容する場合がほとんどである。このとき、アクセス網接続装置で、ネットワークアドレス変換(Network Address Translation, NAT)技術を用いると、アクセス回線への接続数を1として、ローカル網で複数の端末を収容することができる。
アクセス網接続装置は、例えば、図7のように構成される。図7において、1000、1001は入出力端子、1002、1003はメッセージ多重分離部、1100はローカル網接続判断部、1400は認証クライアント部、1500はその他の通信処理部である。
入出力端子1000は、イーサネット(登録商標)や無線LAN等で構成されるローカル網との間でメッセージをやり取りするために、ローカル網に対する送受信機に接続される。入出力端子1001は、無線アクセス回線との間でメッセージをやり取りするために、無線アクセス回線に対する送受信機に接続される。
メッセージ多重分離部1002は、ローカル網から受信する(1)ローカル網内の端末から送信される端末接続に関するメッセージと、(2)ローカル網内の端末以外のノードから送信される端末接続制御に関するメッセージと、(3)その他のメッセージとに分離する。そして、それぞれ、ローカル網接続判断部1100、端末接続制御部1300、その他の通信処理部1500に振り分ける。また、メッセージ多重分離部1002は、ローカル網接続判断部1100、端末接続制御部1300、その他の通信処理部1500からローカル網に送信されるメッセージを多重して、入出力端子1000に出力する。
メッセージ多重分離部1003は、アクセス網から受信する(1)ローカル網内の端末の認証に関するメッセージと、(2)アクセス網接続装置のアクセス網への接続制御に関するメッセージと、(3)その他のメッセージとに分離する。そして、それぞれ、ローカル網接続判断部1100、認証クライアント部1400、その他の通信処理部1500に振り分ける。また、メッセージ多重分離部1003は、ローカル網接続判断部1100、認証クライアント部1400、その他の通信処理部1500からアクセス網に送信されるメッセージを多重して、入出力端子1001に出力する。
アクセス網接続装置に電源が投入されると、まず、認証クライアント部1400がアクセス網への接続を行う。認証クライアント部1400は、例えば、RFC2516で定められるPPPoEで実現される。PPPoEは、ADSL回線や光ファイバを使った常時接続サービスなどで用いられる。アクセス網接続装置の識別子などを使った認証やIPアドレス割当など、アクセス網接続装置がアクセス網への接続に必要な制御を行う。アクセス網接続装置がアクセス網への接続が完了すると、ローカル網内の端末を接続させて収容することができる。
ローカル網内の端末接続に関しては、アクセス網接続装置内にセットされたMACアドレスを持つ端末のみ許可というようなセキュリティレベルは低いが簡易型のものや、外部の端末認証サーバを使うセキュリティレベルの高いものなど様々な方式がある。
外部の端末認証サーバを使うセキュリティレベルの高い方式を使う例としては、端末-端末認証サーバ間でやり取りする認証情報をアクセス網接続装置が中継することで、認証されておらずセキュリティレベルが低い端末とアクセス網接続装置との間、認証済みのセキュアなアクセス網接続装置と端末認証サーバとの間で転送方式を変更して端末の認証を行うIEEE 802.1Xに代表される方式を使う例がある(非特許文献1)。これは、ローカル網接続判断部1100が、認証情報の中継機能を持ち、端末の認証結果に基づいて、端末の接続可否を判断する。
このように、アクセス網接続装置の認証と端末接続制御が独立に行われている。このとき、ブロードバンドアクセス回線は端末間で共有することになり、端末数を増やすと端末当たりの帯域は下がることになる。これは、ブロードバンドアクセス事業者から見れば、多数の端末を接続するローカル網側の問題であり、感知する必要はない。また、ブロードバンドアクセス回線はアクセス網接続装置毎に設置されるため、他の回線に与える影響はない。
また、関連する技術として、特許文献1に記載された技術がある。この特許文献1の技術は、携帯電話端末が内線エリア内に位置するか公衆エリア内に位置するかを、外部のサーバが管理することにより、携帯電話事業者は携帯電話端末の使用実態に合わせた料金メニューを提供するものである。
2008−109558号公報
NPO日本ネットワークセキュリティ協会・2002年度相互接続ワーキンググループ, "802.1X 相互接続実験報告書", 2003/4/22, http://www.jnsa.org/houkoku2002/musenlan2002.pdf)
しかし、無線を介したブロードバンドアクセス回線の場合、無線回線はローカル網間で共有されるため、1つのローカル網に多数の端末が収容されると、そのローカル網の通信が無線回線の帯域を占有し、他のローカル網の通信に影響を与える可能性がある。さらに、有線ブロードバンドアクセスと同様に、定額の回線料金とすると、使った者勝ちという状況を生み、適切な課金を行うことができず、ローカル網間の公正な帯域利用が損なわれる可能性がある。
また、上述した特許文献1の技術は、従量課金にも対応できるという長所はあるものの、個々の端末の状態を管理する外部サーバの導入が求められ、システム構成が複雑になり、システム構築、運用コストが大きかった。
そこで、本発明は上記課題に鑑みて発明されたものであって、その目的は、システムに新たなサーバを設けず、無線網接続装置が利用しうる無線回線の帯域に即した段階的な課金を容易に行うことができる無線網接続装置、無線ネットワークシステム、認証サーバ、接続方法及びプログラムを提供することにある。
上記課題を解決する本発明は、少なくとも一以上の端末が接続されるローカル網を無線アクセス回線で接続するネットワークにおける前記ローカル網と前記無線アクセス回線とを接続する無線網接続装置であって、前記無線アクセス網に接続する認証シーケンスで、端末がローカル網に接続できる条件である端末接続条件を取得する認証クライアント部と、前記端末接続条件と前記ローカル網における端末の接続状況とに基づいて、端末の前記ローカル網への接続の可否を判断する端末接続制御部とを有することを特徴とする。
上記課題を解決する本発明は、少なくとも一以上の端末が接続されるローカル網を無線アクセス回線で接続する無線ネットワークシステムであって、ローカル網と無線アクセス回線とを接続する無線網接続装置と、前記無線網接続装置の無線アクセス回線への接続可否を認証する認証サーバとを有し、前記認証サーバは、前記無線網接続装置からの無線アクセス回線への接続許可の問い合わせに対して接続が許可された場合、接続許可信号とともに、端末がローカル網に接続できる条件である端末接続条件を送信する送信部を有し、前記無線網接続装置は、無線アクセス回線への接続許可を問い合わせ、前記接続許可信号とともに前記端末接続条件を受信する認証クライアント部と、前記端末接続条件と前記ローカル網における端末の接続状況とに基づいて、端末の前記ローカル網への接続の可否を判断する端末接続制御部とを有することを特徴とする。
上記課題を解決する本発明は、少なくとも一以上の端末が接続されるローカル網を無線アクセス回線で接続する無線ネットワークシステムにおける認証サーバであって、前記ローカル網と無線アクセス回線とを接続する無線網接続装置からの無線アクセス回線への接続許可の問い合わせに対して接続を許可する場合、接続許可信号とともに、端末がローカル網に接続できる条件である端末接続条件を送信する送信部を有することを特徴とする。
上記課題を解決する本発明は、少なくとも一以上の端末が接続されるローカル網を無線アクセス回線で接続する無線ネットワークシステムにおける端末接続方法であって、前記ローカル網と前記無線アクセス回線とを接続する無線網接続装置が、前記無線アクセス網に接続する認証シーケンスで、端末が前記ローカル網に接続できる条件である端末接続条件を取得し、前記無線網接続装置が、前記端末接続条件と前記ローカル網における端末の接続状況とに基づいて、端末の前記ローカル網への接続の可否を判断する
ことを特徴とする。
上記課題を解決する本発明は、少なくとも一以上の端末が接続されるローカル網を無線アクセス回線で接続するネットワークにおける前記ローカル網と前記無線アクセス回線とを接続する無線網接続装置のプログラムであって、前記無線アクセス網に接続する認証シーケンスで、ローカル網に接続できる条件である端末接続条件を取得する処理と、前記端末接続条件と前記ローカル網における端末の接続状況とに基づいて、端末の前記ローカル網への接続の可否を判断するローカル網端末接続処理とを無線網接続装置に実行させることを特徴とするプログラムである。
本発明によれば、システムに特別なサーバを立てことなく、通常行われる認証シーケンスを用いて、無線網接続装置が利用しうる無線回線の帯域に即した段階的な課金を実現し、無線回線帯域利用の公平性を高める制御を容易に行うことができる。
図1は本実施の形態のシステム構成図である。 図2は無線網接続装置11の構成例を示す系統図である。 図3はローカル網接続判断部110の構成例を示す系統図である。 図4は端末接続制御部120の構成例を示す系統図である。 図5は実施の形態の動作の概要示したシーケンス図である。 図6はローカル網内の端末の接続制御の動作のフローチャートである。 図7は関連技術を説明するための図である。 図8は第2の実施の形態の構成図である。 図9は第2の実施の形態の無線網接続装置の構成例を示す系統図である。 図10は第2の実施の形態の端末接続制御部の構成例を示す系統図である。 図11は第2の実施の形態の動作の概要示したシーケンス図である。
本発明の実施の形態を説明する。図1は本実施の形態のシステム構成図である。
図1において、10はローカル網、20は無線アクセス網、30はユーザデータセンター、13、14、15は端末、12はイーサネット(登録商標)、11は無線網接続装置、21は無線基地局、22及び32はルータ、23は無線アクセス網認証サーバ、24及び31はゲートウェイ、33はユーザ端末認証サーバである。
端末13〜15のユーザは、ユーザデータセンター30内に設置されている所定のサーバ(図示せず)との間で、アプリケーションデータの通信を行う。
ローカル網10は、3台の端末13〜15と無線網接続装置11とがイーサネット(登録商標)12で接続される構成である。
無線接続装置11は、無線アクセス回線を介して、無線アクセス網20内の無線基地局21と接続される。
また、無線アクセス網20には、ルータ22を介して、無線基地局21と、無線アクセス網認証サーバ23と、ゲートウェイ24とが接続されている。ゲートウェイ24は、対向するゲートウェイ31を介して、ユーザデータセンター30と無線アクセス網20とを接続する。
ユーザデータセンター30では、ルータ32を介して、ユーザ端末認証サーバ32とゲートウェイ31とが接続されている。
次に、無線網接続装置11の構成を詳細に説明する。図2は、無線網接続装置11の構成例を示す系統図である。
図2に示す如く、無線網接続装置11は、入出力端子100、101と、メッセージ多重分離部102、103と、ローカル網接続判断部110と、端末接続制御部120と、認証クライアント部140と、他の通信処理部150とを備える。
入出力端子100は、ローカル網10との間でメッセージをやり取りするために、ローカル網10に対する送受信機に接続される。入出力端子101は、無線アクセス網20との間でメッセージをやり取りするために、無線アクセス網20に対する送受信機に接続される。
メッセージ多重分離部102は、入出力端子100を介してローカル網10から送信されたメッセージを入力し、(1)ローカル網に接続される端末から送信される認証シーケンスに関するメッセージと、(2)前記認証シーケンスに関するメッセージ、端末接続制御に関するメッセージ以外のメッセージとに分離し、それぞれ、ローカル網接続判断部110、端末接続制御部120、その他の通信処理部150に供給する。また、メッセージ多重分離部102は、ローカル網接続判断部110、端末接続制御部120、その他の通信処理部150から供給されるローカル網10に接続される端末の認証シーケンスに関するメッセージ、ローカル網10内の機器に対する端末接続制御に関するメッセージ、上記以外のメッセージを入力し、これらを多重し、入出力端子100を介して、ローカル網10に対する送受信機に供給する。
メッセージ多重分離部103は、入出力端子101を介して無線アクセス網20から送信されたメッセージを入力し、(1)無線網接続装置11に関わる認証シーケンスのメッセージと、(2)ローカル網10に接続される端末に関わる認証シーケンスのメッセージと、(3)その他のメッセージとの3種類のメッセージを分離にする。そして、メッセージ多重分離部103は、それぞれ、認証クライアント部140、ローカル網接続判断部110、その他の通信処理150に供給する。また、メッセージ多重分離部103は、認証クライアント部140、ローカル網接続判断部110、その他の通信処理150から出力される(1)無線網接続装置11に関わる認証シーケンスのメッセージと、(2)ローカル網10に接続される端末に関わる認証シーケンスのメッセージと、(3)その他のメッセージとを入力し、これらを多重して入出力端子101を介して、無線アクセス網20に対する送受信機に出力する。
ローカル網接続判断部110は、メッセージ多重分離部102からローカル網10の端末からの認証要求が入力されると、端末接続制御部120に対して、端末接続可否問合せ信号を出力する。ローカル網接続判断部110は、図3に示す如く、入出力端子111、112、113と、接続判断部114と、認証メッセージ中継部115とを備える。端末からの接続要求メッセージは、入出力端子111を介して、接続判断部114に入力される。尚、接続要求メッセージには、端末の正当性を判断するユーザ端末認証サーバ33で認証するために必要な端末の識別子、ユーザ端末認証サーバ33の公開鍵と自身の秘密鍵等から生成される系列などが含まれる。接続判断部114は、入出力端子113を介して、端末接続可否問合せ信号を端末接続制御部120に対して出力する。
接続判断部114及び認証メッセージ中継部115は、端末接続制御部120によりローカル網10内の端末接続条件の判断がなされた場合、ユーザ端末認証サーバ33との間で、端末5の正当性の判断処理を行う。
接続判断部114は、端末接続可否問合せ信号の応答として、端末接続制御部120からの端末接続可否に応じて、端末接続許可信号又は端末接続拒否信号を受信する。端末接続拒否信号を受信すると、認証要求を送信したローカル網10の端末に対して接続拒否信号を送信する。一方、端末接続制御部120は、端末接続許可信号を受信すると、ローカル網10の端末に対する認証サーバ33との間で端末の認証シーケンスを中継する。認証シーケンスで得られる端末に対する認証サーバの認証結果に応じて、該端末に向けた端末接続要求許可又は拒否メッセージをメッセージ多重分離部102に出力する。また、接続拒否メッセージを出力したとき、端末接続制御部120に端末接続要求拒否信号を出力する。
接続判断部114は、ローカル網端末接続部110から端末接続要求信号を入力すると、認証クライアント部140から提供された端末接続条件を読み出し、端末接続要求信号に含まれる端末プロファイルおよび現在の端末接続状況とを勘案し、端末接続を受け入れるか否かを判断する。判断結果に基づき、ローカル網・端末接続部110に対して、端末接続許可信号もしくは端末接続拒否信号を出力する。
具体的には、端末接続制御部120は、図4に示す如く、入出力端子122、123と、端末接続状況処理部124と、端末接続状況記憶部125と、端末接続条件記憶部126とを備える。
端末接続状況処理部124は、入力端子122を介して認証クライアント部140から端末接続条件を入力し、端末接続条件記憶部126に記憶する。ここで、端末接続条件とは、ローカル網10に同時に接続可能な最大端末数、端末種別ごとのローカル網10に同時接続可能な最大端末数(例えば、PCは3台、電話は2台、ハンディ端末は5台など)等の端末数に限らず、ローカル網10内で全端末が使用できる最大総和帯域等や、ローカル網10に同時に接続可能な最大端末数を時間によって可変にする条件(例えば、8:00-20:00は5台、20:00-8:00は10台など)等でも良い。
また、端末接続状況処理部124は、端末接続条件と端末接続状況とを参照し、ローカル網10内での端末の接続判定を行う。更に、端末接続状況処理部124は、端末接続状況記憶部125に記憶されているローカル網10の端末接続状況の更新も行う。
認証クライアント部140は、無線アクセス網10に接続する無線網接続装置11が正当な装置であるか否かを判断し、接続の許可又は拒否を決める認証シーケンスの入出力を行う。接続が許可された場合には、認証シーケンスの中で定められる端末接続条件を端末接続制御部120に出力する。尚、認証クライアント部140は、無線網接続装置11の電源投入や無線網接続装置11がリセットされた場合、認証要求を出力して、認証シーケンスを起動する。また、無線アクセス網10から認証要求が送信された場合にも、認証シーケンスを起動する。
その他の通信処理部150は、ローカル網10内の端末を利用するユーザのデータメッセージなど、ローカル網接続判断部110、認証クライアント部140が扱わないメッセージの処理を行う。処理の例としては、ローカル網10内端末間のデータメッセージの折り返し処理、ローカル網10内の端末から無線アクセス網側へのメッセージの中継処理などがある。
次に、上述のように構成されたシステムの動作を説明する。図5は動作の概要示したシーケンス図である。尚、本説明では、無線アクセス網20とユーザデータセンター30とは、ゲートウェイ24、31を介して、既に接続されているものとする。そして、ローカル網10とユーザデータセンター30との間で通信を行うために、無線アクセス網20とローカル網10とを接続し、接続完了後、ローカル網10内の端末13〜15が接続する場合の動作を説明する。
まず、ローカル網10と無線アクセス網20を接続するために、無線網接続装置11の電源が投入される。電源が投入(図3中、電源ON)されると、無線網接続装置11の認証クライアント部140は無線アクセス網認証サーバ23に向けた無線網接続装置11の認証要求メッセージを送信する。このメッセージは、無線網接続装置11内のメッセージ多重分離部103、入出力端子101、無線回線、無線基地局21、ルータ22を介して、無線アクセス網認証サーバ23に送信される。無線網接続装置の認証要求メッセージには、該無線網接続装置の識別子、無線アクセス網認証サーバ23の公開鍵と自身の秘密鍵とから生成される系列など、無線アクセス網認証サーバ23が、無線網接続装置11が正当な装置であるか否かを判断するために必要な情報が含まれている。
無線アクセス網認証サーバ23は、無線網接続装置の認証要求メッセージに基づき、無線網接続装置11が正当であり接続を許可する場合は、無線網接続装置11に対して、無線網接続装置の認証成功メッセージを送信する。一方、接続を拒否する場合は、無線網接続装置11に対して、無線網接続装置の認証失敗メッセージを送信し、接続を拒否する。また、無線網接続装置の認証成功メッセージには、認証が成功したことを示す情報に加えて、無線網接続装置11を介して無線回線を利用できる端末に関する条件である端末接続条件も含まれている。本動作では、端末接続条件として、無線網接続装置11に同時接続可能な最大端末数を2とした場合について示す。
無線網接続装置の認証成功メッセージは、無線網接続装置11の認証クライアント部140に入力される。そして、無線網接続装置11の無線アクセス網20への接続が完了し、認証クライアント部140が、端末接続条件を端末接続制御部120に出力すると、ローカル網10内の端末接続が可能な状態になる。また、端末接続条件は、端末接続条件記憶部126に記憶される。
ここで、無線網接続装置11がこの状態になった後、図5に示すように、端末15、14、13の順番で電源が投入されると、各端末がローカル網10に接続するために、この順番で無線網接続装置11に対して接続要求メッセージが送信される。端末15からの接続要求メッセージは、無線網接続装置の入出力端子100、メッセージ多重分離部102を介して、ローカル網接続判断部110に入力される。
端末15からの接続要求メッセージは、ローカル網接続判断部110の入出力端子111を介して、接続判断部114に入力される。接続要求メッセージには、端末15の正当性を判断するため、ユーザ端末認証サーバ33での認証に必要な端末の識別子、ユーザ端末認証サーバ33の公開鍵と自身の秘密鍵から生成される系列などが含まれる。接続判断部114は、接続要求メッセージを受信すると、入出力端子113を介して、端末接続可否問合せ信号を端末接続制御部120に対して出力する。
端末接続可否問合せ信号は、端末接続制御部120の入出力端子123から端末接続状況処理部124に入力される。このとき、端末接続状況処理部124は、端末接続条件記憶部126に記憶されている端末接続条件と、端末接続状況記憶部125に記憶されている端末接続状況とを読み出す。本動作においては、端末接続状況は、現在のローカル網10に接続している端末数であり、この時点では、接続中の端末が存在しないため、0になっている。また、前述のように、本動作の端末接続条件は、同時接続可能な最大端末数=2である。端末接続状況処理部124では、端末接続可否問い合わせ信号は、新たな端末接続に対する問い合わせを示すものであり、この接続を許可した場合の状況を求める。
具体的には、
端末接続状況=端末接続状況+1
として、端末接続条件と比較する。この時点では、端末接続状況=1(0+1)、端末接続条件=2なので、この端末接続可否問合せ信号に対して、接続を許可しても端末接続条件を満たす。そこで、端末接続状況処理部124は、入出力端子123を介して、端末接続許可信号をローカル網接続判断部110に出力する。同時に、端末接続状況記憶部125に記憶される端末接続状況を更新する(0から1に更新する)。また、端末接続条件を満たさない場合は、端末接続拒否信号をローカル網接続判断部110に出力するだけで、端末接続状況記憶部125に記憶される端末接続状況の更新は行わない。
端末接続判断部114は、入出力端子113から端末接続許可信号が入力されると、端末15からの接続要求メッセージを認証メッセージ中継部115に出力する。認証メッセージ中継部115は、端末15の接続要求メッセージを認証要求メッセージとして、無線アクセス網20を介して、ユーザ端末認証サーバ33に向けて送信する。ユーザ端末認証サーバ33は、中継された端末15の認証要求メッセージに基づいて、端末15の正当性を判断する。
ユーザ端末認証サーバ33は、正当な端末であると判断された場合には端末認証成功メッセージ、判断されない場合は端末認証失敗メッセージを無線網接続装置11に送信する。端末認証成功メッセージ、端末認証失敗メッセージは、入出力端子112を介して認証メッセージ中継部115に供給され、それぞれ、接続要求を送信した端末向けの端末接続要求許可メッセージ、端末接続拒否メッセージとして、接続判断部114に出力される。
接続判断部114は、端末接続要求許可メッセージが入力されると、このメッセージを接続要求メッセージの送信元の端末15に向けて送信し、該端末の接続を許可する。一方、端末接続要求拒否メッセージが入力されると、このメッセージを接続要求メッセージの送信元の端末15に向けて送信し、該端末の接続を拒否するとともに、端末接続要求拒否信号として、入出力端子113を介して端末接続状況処理部124にも出力する。
端末接続状況処理部124は、端末接続状況記憶部125から端末接続状況を読み出し、
端末接続状況=端末接続状況−1
として更新する。これは、接続要求のあった端末に対して、先行的に接続状況を更新したが、端末認証サーバ33での認証が失敗し、結果的に接続を拒否することになったことに対する補正である。
図5のシーケンス図は、端末15は、ユーザ端末認証サーバ33は、正当な端末であると判断され、ローカル網10への接続が許可された場合を示している。端末15が接続した後、端末14にも電源投入され、ローカル網10に接続される。端末15に対する動作との違いは、端末15が接続されたときは端末接続状況記憶部125には1が記憶され、端末14が接続されたときは端末接続状況記憶部125には2が記憶されている点である。
さらに、端末13に電源投入され、端末15、14と同様に動作するが、端末接続制御部120の端末接続状況処理部124において、端末接続可否問合せ信号を処理する際、端末接続状況=3、端末接続条件=2となり、端末接続条件を満たさないことがわかる。このため、端末接続状況処理部124は、入出力端子123を介して、ローカル網接続判断部110の接続判断部114に対して、端末接続拒否信号を出力する。接続判断部114は、接続拒否信号が入力されると、端末接続拒否メッセージを端末13に送信し、端末13の接続を拒否する。
以上により、無線網接続装置11が無線アクセス網20への接続時に設定された端末接続条件を満たして、ローカル網10内の接続端末を制御することができる。
本実施の形態のポイントは、ローカル網接続判断部110、端末接続制御部120における端末接続条件に基づく、ローカル網内端末の接続制御にある。この動作のフローを図6に示す。
図6において、S10は端末接続要求受信ステップ、S20は端末接続条件確認ステップ、S30は端末接続条件判断ステップ、S40は端末認証サーバ問合せステップ、S50は端末認証結果判断ステップ、S60は端末接続許可ステップ、S70は端末接続拒否ステップである。
端末接続要求受信ステップS10では、無線網接続装置11がローカル網10内の端末から送信された端末接続要求メッセージを受信する。
接続端末条件確認ステップS20では、端末接続状況処理部124が、端末接続問い合わせ信号をトリガーとして、端末接続条件、端末接続状況を確認する。
確認した結果、端末接続条件判断ステップS30において、新たな端末の接続の可否を判断して、端末接続許可信号もしくは端末接続拒否信号を、接続判断部114に出力する。
端末接続許可信号が出力される場合は、端末認証サーバ問合せステップS40に進み、端末認証サーバ33に対して端末認証要求メッセージを送信する。
端末認証結果判断ステップS50では、端末認証サーバ33からの端末認証成功メッセージ、もしくは、端末認証失敗メッセージを受信し、認証結果に即して端末接続の許可又は拒否を判断する。このステップで端末接続が許可されると、端末接続許可ステップS60に進み、端末接続許可メッセージを端末に送信し、端末を接続する。
一方、端末接続が拒否されると、端末接続拒否ステップ70に進む。このステップは、端末接続条件判断ステップS30、もしくは、端末認証結果判断ステップ50で、端末接続が拒否された場合、端末に対して、端末接続拒否メッセージを送信して、端末接続を拒否する。
本発明の実施の形態によれば、無線アクセス網事業者の無線回線を介した網間接続において、無線網接続装置がアクセス網に接続するための認証シーケンスの中で収容できる端末条件を規定することで、認証サーバのパラメータ変更のみで無線網接続装置の動作を規定できる。これにより、システム側に特別なサーバを設けず、更に、システム側の認証サーバが端末の接続毎に端末の接続条件の処理を行う必要もなく、認証サーバに負荷をかけることもない。さらに、無線網接続装置が利用しうる無線回線帯域を事前に制御できるため、該装置の接続契約を柔軟化し、利用帯域に即した段階的な定額課金(例えば、10台までの端末接続なら5000円、20台までなら10000円というような段階的な課金)を容易に実現することができる。
尚、上述した実施の形態では、端末接続条件が、無線網接続装置が管理するローカル網に同時接続可能な最大端末数の場合を説明したが、これに限られない。
たとえば、端末の種別とその種別の端末がローカル網に同時接続可能な最大端末数であっても良い。この場合、認証サーバからの端末接続条件として、PC、電話端末、ハンディ端末のような端末種別と各種別の最大接続可能台数が伝えられる。端末からの認証要求メッセージの端末プロファイルに端末種別を入れ、端末接続制御部で、端末種別毎に接続可否の判断を行うようにする。
また、端末接続条件がローカル網内の端末が使用できる最大総和帯域であっても良い。この場合、認証サーバからの端末接続条件として、帯域幅で供給される。各端末種別で想定される帯域を定めておき、端末接続制御部で、その総和帯域を求めて、端末の接続可否を判断する。
また、認証サーバからの端末接続条件が時刻によって変化するものであっても良い。この場合、端末接続制御部がタイマーと複数の端末接続条件記憶部を持ち、時刻によって使う端末接続条件記憶部を切り替える。尚、端末接続条件がゆるい条件からきつい条件に変化した場合、接続時間が長い端末から切断するようにすれば良い。
更に、上述した実施の形態では、無線網接続装置から認証要求を送信する例を説明したが、認証サーバから認証要求を送信するように構成しても良い。無線網接続装置に対する端末接続条件が変更された場合など、認証サーバから認証要求を出すことで、迅速に、端末接続条件の変更できる。
第2の実施の形態を説明する。
第2の実施の形態は、複数の無線網接続装置でひとつのローカル網を形成する場合、無線網接続装置間で端末の接続に関してローミングを行う例である。
図8は第2の実施の形態のローカル網側のシステム構成図である。
図8において、200はローカル網、201, 202は無線網接続装置、210〜213は端末である。そして、無線網接続装置201と無線網接続装置202とでひとつのローカル網200を形成している。尚、無線網接続装置201と無線網接続装置202との間で、ローカル網200内のイーサネット(登録商標)などによる接続はないものとする。また、第1の実施の形態と同様な構成のものについては、詳細な説明を省略する。
次に、無線網接続装置201, 202の構成を説明する。図9は無線網接続装置201, 202の構成例を示す系統図である。
第2の実施の形態の無線網接続装置201, 202が第1の実施の形態の無線接続装置11と異なるところは、端末接続制御部120が端末接続制御部130に置き換わり、端末接続制御部130がメッセージ多重分離部103と接続されている点にある。端末接続制御部130は、端末接続制御部120の機能に加えて、無線網接続装置間のローミングの処理を行う。
端末接続制御部130は、図10に示す如く、入出力端子122、123、131と、端末接続状況処理部132と、端末接続状況記憶部125と、端末接続条件記憶部126とを備える。
入出力端子131はメッセージ多重分離部103と接続され、端末接続状況処理部132は他の無線網接続装置とローミングの処理を行う。また、端末接続条件記憶部126には、無線網接続装置が無線アクセス網(WAN)に接続する際、アクセス網認証サーバ23から同様に供給される端末接続条件と共に、同一ローカル網内に存在する他の無線網接続装置の識別子(IPアドレス)も記憶される。
次に、図11を用いて、第2の実施の形態の動作を説明する。
まず、無線網接続装置201が無線アクセス網(WAN)に接続する際、端末接続条件と共に、同一ローカル網内に存在する他の無線網接続装置202の識別子(IPアドレス)もアクセス網認証サーバ23から供給される。そして、同一ローカル網内に存在する他の無線網接続装置202の識別子は、端末接続条件とともに、端末接続制御部130に入力される。
端末接続条件を満たさない端末(図11では、端末211)からの接続要求がくると、WAN経由で、同一ローカル網内に存在する他の無線網接続装置202に対して、追加接続可否を問い合わせるための追加接続可否問合せメッセージをWAN経由で送信する。このメッセージのあて先となる他の無線網接続装置の識別子(IPアドレス)は、上述のように、無線網接続装置の認証時に、アクセス網認証サーバ23から供給されている。
無線網接続装置202がWAN経由で追加接続可否問合せメッセージを受信すると、端末接続状況記憶部125から端末接続状況を読み出し、現在の端末接続状況に判断する。そして、その結果に基づいて、追加可否応答メッセージで応答する。図10では、追加可能の場合を示している。
無線網接続装置201がWAN経由で追加可否応答メッセージを受信して、その内容が追加可能であれば、端末211に対して、接続拒否メッセージとともに、追加接続可能な他の無線網接続装置202の識別子も送信する。一方、追加不可であれば、接続拒否メッセージのみを送信する。
接続拒否メッセージとともに、追加接続可能な他の無線網接続装置の識別子も受信した端末211は、他の無線接続装置(図11では、無線網接続装置202)に対して、接続要求を行う。
このように、第2の実施の形態では、複数の無線網接続装置間でローミングすることにより、同一ローカル網中の無線資源を有効に活用することができる。
尚、上述の例では、同一ローカル網内に2個の無線網接続装置が存在する例を説明したがが、3個以上ある場合は、全ての他の無線網接続装置に追加接続可否問合せメッセージを送信し、追加可否応答メッセージで追加可能と応答した全ての無線網接続装置を、接続拒否メッセージと共に端末に送信するようにすれば良い。
また、上記の説明では、各部をハードウェアで構成したが、各部の動作を情報処理装置に実行させるプログラムでも実現できる。
以上好ましい実施の形態、実施例及び態様をあげて本発明を説明したが、本発明は必ずしも上記実施の形態及び態様に限定されるものではなく、その技術的思想の範囲内において様々に変形し実施することが出来る。
10 ローカル網
11 無線網接続装置
12 イーサネット(登録商標)
13、14、15 端末
20 無線アクセス網
21 無線基地局
22、32 ルータ
23 無線アクセス網認証サーバ
24、31 ゲートウェイ
30 ユーザデータセンター
33 ユーザ端末認証サーバ
100、101 入出力端子
102、103 メッセージ多重分離部
110 ローカル網接続判断部
120 端末接続制御部
140 認証クライアント部
150 他の通信処理部

Claims (15)

  1. 少なくとも一以上の端末が接続されるローカル網を無線アクセス回線で接続するネットワークにおける前記ローカル網と前記無線アクセス回線とを接続する無線網接続装置であって、
    前記無線アクセス網に接続する認証シーケンスで、端末がローカル網に接続できる条件である端末接続条件を取得する認証クライアント部と、
    前記端末接続条件と前記ローカル網における端末の接続状況とに基づいて、端末の前記ローカル網への接続の可否を判断する端末接続制御部と
    を有することを特徴とする無線網接続装置。
  2. 前記端末接続条件は、前記ローカル網に同時に接続できる最大端末数であることを特徴とする請求項1に記載の無線網接続装置。
  3. 前記端末接続条件は、端末種別毎の前記ローカル網に同時に接続できる最大端末数であることを特徴とする請求項1に記載の無線網接続装置。
  4. 前記端末接続条件は、時間帯別毎の前記ローカル網に同時に接続できる最大端末数であることを特徴とする請求項1に記載の無線網接続装置。
  5. 前記端末接続条件は、前記ローカル網に接続している全端末で使用できる総和帯域であることを特徴とする請求項1に記載の無線網接続装置。
  6. 複数の無線網接続装置により一つのローカル網を構成し、
    前記認証クライアント部は、認証シーケンスで、端末接続条件と共に他の無線網接続装置のアドレスを取得し、
    前記端末接続制御部は、
    前記端末接続条件と前記ローカル網における端末の接続状況とに基づいて、端末の前記ローカル網への接続の可否を判断し、判断の結果、端末接続条件を満たさない場合、同一ローカル網内に存在する他の無線網接続装置に対して、端末の接続の可否の問い合わせを行う手段と、
    前記他の無線網接続装置からの端末の接続の可否の問い合わせに対し、前記端末接続条件と前記ローカル網における端末の接続状況とに基づいて、端末の前記ローカル網への接続の可否を判断し、その結果を、前記他の無線網接続装置に通知する手段と、
    前記他の無線網接続装置からの端末の接続の可否の問い合わせの結果を受けて、端末に接続の可否を通知する手段とを有する
    ことを特徴とする請求項1から請求項5のいずれかに記載の無線網接続装置。
  7. 少なくとも一以上の端末が接続されるローカル網を無線アクセス回線で接続する無線ネットワークシステムであって、
    ローカル網と無線アクセス回線とを接続する無線網接続装置と、前記無線網接続装置の無線アクセス回線への接続可否を認証する認証サーバとを有し、
    前記認証サーバは、
    前記無線網接続装置からの無線アクセス回線への接続許可の問い合わせに対して接続が許可された場合、接続許可信号とともに、端末がローカル網に接続できる条件である端末接続条件を送信する送信部を有し、
    前記無線網接続装置は、
    無線アクセス回線への接続許可を問い合わせ、前記接続許可信号とともに前記端末接続条件を受信する認証クライアント部と、
    前記端末接続条件と前記ローカル網における端末の接続状況とに基づいて、端末の前記ローカル網への接続の可否を判断する端末接続制御部と
    を有する
    ことを特徴とする無線ネットワークシステム。
  8. 少なくとも一以上の端末が接続されるローカル網を無線アクセス回線で接続する無線ネットワークシステムにおける認証サーバであって、
    前記ローカル網と無線アクセス回線とを接続する無線網接続装置からの無線アクセス回線への接続許可の問い合わせに対して接続を許可する場合、接続許可信号とともに、端末がローカル網に接続できる条件である端末接続条件を送信する送信部を有することを特徴とする認証サーバ。
  9. 少なくとも一以上の端末が接続されるローカル網を無線アクセス回線で接続する無線ネットワークシステムにおける端末接続方法であって、
    前記ローカル網と前記無線アクセス回線とを接続する無線網接続装置が、前記無線アクセス網に接続する認証シーケンスで、端末が前記ローカル網に接続できる条件である端末接続条件を取得し、
    前記無線網接続装置が、前記端末接続条件と前記ローカル網における端末の接続状況とに基づいて、端末の前記ローカル網への接続の可否を判断する
    ことを特徴とする端末接続方法。
  10. 前記端末接続条件は、前記ローカル網に同時に接続できる最大端末数であることを特徴とする請求項9に記載の端末接続方法。
  11. 前記端末接続条件は、端末種別毎の前記ローカル網に同時に接続できる最大端末数であることを特徴とする請求項9に記載の端末接続方法。
  12. 前記端末接続条件は、時間帯別毎の前記ローカル網に同時に接続できる最大端末数であることを特徴とする請求項9に記載の端末接続方法。
  13. 前記端末接続条件は、前記ローカル網に接続している全端末で使用できる総和帯域であることを特徴とする請求項9に記載の端末接続方法。
  14. 複数の無線網接続装置により一つのローカル網を構成し、
    各無線網接続装置は、認証シーケンスで、端末接続条件と共に他の無線網接続装置のアドレスを取得し、
    端末に接続要求された無線網接続装置は、前記端末接続条件と前記ローカル網における端末の接続状況とに基づいて、端末の前記ローカル網への接続の可否を判断し、判断の結果、端末接続条件を満たさない場合、同一ローカル網内に存在する他の無線網接続装置に対して、端末の接続の可否の問い合わせを行い、
    他の無線網接続装置は、前記端末に接続要求された無線網接続装置からの端末の接続の可否の問い合わせに対し、前記端末接続条件と前記ローカル網における端末の接続状況とに基づいて、端末の前記ローカル網への接続の可否を判断し、その結果を、前記前記端末に接続要求された無線網接続装置に通知し、
    前記端末に接続要求された無線網接続装置は、前記端末の接続の可否の問い合わせの結果を受けて、前記端末に接続の可否を通知する
    ことを特徴とする請求項9から請求項13のいずれかに記載の端末接続方法。
  15. 少なくとも一以上の端末が接続されるローカル網を無線アクセス回線で接続するネットワークにおける前記ローカル網と前記無線アクセス回線とを接続する無線網接続装置のプログラムであって、
    前記無線アクセス網に接続する認証シーケンスで、ローカル網に接続できる条件である端末接続条件を取得する処理と、
    前記端末接続条件と前記ローカル網における端末の接続状況とに基づいて、端末の前記ローカル網への接続の可否を判断するローカル網端末接続処理と
    を無線網接続装置に実行させることを特徴とするプログラム。
JP2009081142A 2009-03-30 2009-03-30 無線網接続装置、無線ネットワークシステム、認証サーバ、接続方法及びプログラム Active JP5206981B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009081142A JP5206981B2 (ja) 2009-03-30 2009-03-30 無線網接続装置、無線ネットワークシステム、認証サーバ、接続方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009081142A JP5206981B2 (ja) 2009-03-30 2009-03-30 無線網接続装置、無線ネットワークシステム、認証サーバ、接続方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2010233159A true JP2010233159A (ja) 2010-10-14
JP5206981B2 JP5206981B2 (ja) 2013-06-12

Family

ID=43048516

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009081142A Active JP5206981B2 (ja) 2009-03-30 2009-03-30 無線網接続装置、無線ネットワークシステム、認証サーバ、接続方法及びプログラム

Country Status (1)

Country Link
JP (1) JP5206981B2 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09271063A (ja) * 1996-03-29 1997-10-14 Nec Corp 無線チャネル割り当て方式
JP2003318922A (ja) * 2002-04-25 2003-11-07 Nippon Telegraph & Telephone East Corp 無線ネットワーク接続システム、端末装置、無線アクセスポイント、リモートアクセスサーバ及び認証サーバ
JP2004289723A (ja) * 2003-03-25 2004-10-14 Fujitsu Ltd 無線lan対応ルータ装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09271063A (ja) * 1996-03-29 1997-10-14 Nec Corp 無線チャネル割り当て方式
JP2003318922A (ja) * 2002-04-25 2003-11-07 Nippon Telegraph & Telephone East Corp 無線ネットワーク接続システム、端末装置、無線アクセスポイント、リモートアクセスサーバ及び認証サーバ
JP2004289723A (ja) * 2003-03-25 2004-10-14 Fujitsu Ltd 無線lan対応ルータ装置

Also Published As

Publication number Publication date
JP5206981B2 (ja) 2013-06-12

Similar Documents

Publication Publication Date Title
EP3627793B1 (en) Session processing method and device
KR102092743B1 (ko) 사물 인터넷 단-대-단 서비스 계층의 서비스 품질 관리
JP2020523874A (ja) 通信ネットワークにおいてサービス経路を確立するための方法およびシステム
WO2015127852A1 (zh) 无线局域网隧道建立方法、装置及接入网系统
WO2012130085A1 (zh) 与网管系统建立连接的方法、设备及通信系统
EP2415226A1 (en) Mechanism for authentication and authorization for network and service access
CN101478576A (zh) 选择服务网络的方法、装置和系统
EP2583423B1 (en) Apparatus and method for configuring personal network using pn routing table
KR101319418B1 (ko) 정보 제공 방법, 홈 게이트웨이 및 홈 네트워크 시스템
WO2006077749A1 (ja) パケット制御装置、認証サーバ及び無線通信システム
WO2009026839A1 (en) Pana for roaming wi-fi access in fixed network architectures
JP2017528074A5 (ja)
CN104604295B (zh) 用于在无线通信系统中由服务器管理终端对资源的访问权限的方法及其设备
CN108966363A (zh) 一种连接建立方法及装置
US9118588B2 (en) Virtual console-port management
CN104541489A (zh) 用于配置电信网络的网络节点的方法、电信网络、程序及计算机程序产品
CN103906055A (zh) 业务数据分流方法及系统
JP2022114465A (ja) サービス開始方法及び通信システム
US8023483B2 (en) Communication management apparatus, communication control apparatus, and wireless communication system
WO2012023214A1 (en) Mediation server, communication device, and connecting method
JP5980733B2 (ja) モバイルトラフィックのオフロードシステム
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
Nguyen et al. An SDN-based connectivity control system for Wi-Fi devices
JP6231187B2 (ja) アクセスネットワークシステムにおけるwlanリソース管理
JP5206981B2 (ja) 無線網接続装置、無線ネットワークシステム、認証サーバ、接続方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120206

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130123

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130205

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160301

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5206981

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150