近年、WiFiなどの無線通信を介してネットワークに接続し、リモートオフィスなどにアクセスする機会が増えている。しかし、ネットワークを介した不正アクセスが横行し、より安全な通信手段の実現が必要とされている。
従来の無線通信では、1つの無線基地局(アクセスポイント)に接続される複数の無線端末は、同一のIPアドレスレンジを用いることが一般的である。その結果として、これら複数の無線端末間の通信はIPレイヤで接続され、IPレイヤで個々の無線端末を隔離できない。また、1つのアクセスポイントにおいて、複数の論理アクセスポイント識別子であるサービスセット識別子(SSID)を利用した場合であっても、一つのSSIDに接続する複数の無線端末間では、同一のIPアドレスやIPアドレスレンジが割り振られるため、やはり、IPレイヤで個々の無線端末を隔離することができない。
その結果、これら複数の無線端末は、論理的に分離されていないネットワークを介して通信を行うことになる。例えば、転送されるパケットの識別子を用いて、仮想回線相互間が分離されているだけである。このように、従来の無線通信では、同一の無線基地局を介して通信をする複数の無線端末間の通信を分離する仕組みは存在していない。また、無線基地局で利用できるIPアドレス数や、IPアドレスレンジを容易に増やせる仕組みは存在しない。このような技術的な状況が、無線通信の安全性に問題が生じる原因となっている。
本発明と関連する可能性がある先行技術文献をサーチしたところ、下記の3つの特許文献が発見された。しかし、特許文献1は、端末固有の識別子ではなく、呼の識別子を利用しているところが本発明とは異なる。また、特許文献1記載の発明は、IPアドレスや、IPアドレスレンジを払い出す仕組みを持っていない。また、特許文献2は、リング構成のネットワークに複数の無線基地局が接続され、その無線基地局間でATMなどを利用した論理回線(仮想回線)を構築する方法であり、本発明とは異なる。更に、特許文献3は、無線端末から仮想回線識別を受信し、OAMセルを利用して仮想回線を管理する仕組みであり、本発明とは異なっている。
また、公刊された文献ではないが、<http://www.connect802.com/download/aruba/AP-2E.pdf>では、米国アルバネットワークス社(Aruba Networks)から市販されている製品に関する説明がなされている。この文書には、全ての無線基地局から一元的にIPレベルのGREトンネルを利用して管理サーバ(コントローラ)にトンネルを構築する技術が記載されている。しかし、アルバネットワークス社のこの製品は、個々の無線端末毎に仮想回線を作る事はできない点で、本発明とは異なっている。
本発明は、上述した従来の無線通信における問題点を解決するために、APに接続する複数の無線端末がそれぞれ論理的に閉じた閉域ネットワークを構成できることを可能にすることによって、無線通信の安全性を向上させることを目的とする。
本発明によると、複数の通信端末がネットワークに接続する際にネットワークへのアクセスポイントとして機能する通信基地局であって、複数の通信端末のそれぞれを物理的に識別する物理アドレスに対応するネットワークアドレスが記憶されているデータベースと、複数の通信端末から受信された通信リクエストに応答して、通信リクエストに含まれているそれぞれの通信端末の物理アドレスに対応するネットワークアドレスをデータベースから取得し、取得されたネットワークアドレスを用いて複数の通信端末のそれぞれからネットワークを介する論理的に隔離された複数の通信回線を形成する通信制御手段と、を備えている通信基地局が提供される。
このような通信制御手段において、ネットワーク経路制御や通信回線の帯域制御の機能をネットワークスイッチなどのネットワーク装置から分離して、サーバなどのコントローラで一元管理する仕組みであるSDN(Software Defined Network)と称される技術が存在する。本発明でも、このSDNの技術を利用することが可能である。
また、本発明によると、上述した通信制御手段が、複数の通信端末のそれぞれに異なるIPアドレスまたはIPレンジを割り当てる手段を更に備えていることを特徴とする通信基地局が提供される。
更にまた、本発明によると、ネットワーク上に形成される複数の論理的通信回線をVXLANなどのレイヤ3で構成することにより、インターネットなどの広域IPネットワーク上に複数の論理的通信回線を形成する手段を更に備えていることを特徴とする通信基地局が提供される。
更にまた、本発明によると、ネットワーク上に形成される複数の論理的通信回線をVLANやMPLSなどのレイヤ2で構成することにより、複数の論理的通信回線を形成する手段を更に備えていることを特徴とする通信基地局が提供される。
更にまた、本発明によると、複数の通信端末と、複数の通信端末がネットワークに接続する際にネットワークへのアクセスポイントとして機能する複数の通信基地局と、複数の通信端末のそれぞれの物理アドレスと複数の通信基地局のそれぞれの識別データとの組に対応するネットワークアドレスが記憶されているデータベースと、複数の通信端末から受信された通信リクエストに応答して、通信リクエストに含まれているそれぞれの通信端末の物理アドレスとそれぞれの通信端末がアクセスしている通信基地局の識別データとに対応するネットワークアドレスをデータベースから取得し、取得されたネットワークアドレスを用いて複数の通信端末のそれぞれからネットワークを介する論理的に隔離された複数の通信回線を形成する通信制御手段と、を備えている通信システムが提供される。
本発明によると、複数の通信端末がネットワークに接続する際にネットワークへのアクセスポイントとして機能する通信基地局であって、複数の通信端末を物理的に識別する物理アドレスに対応するネットワークアドレスが記憶されているデータベースと、複数の通信端末のそれぞれからネットワークを介する論理的に隔離された複数の通信回線を形成する通信制御手段とを備えている通信基地局を制御する方法であって、通信制御手段が、複数の通信端末から受信された通信リクエストに応答して、通信リクエストに含まれているそれぞれの通信端末の物理アドレスに対応するネットワークアドレスをデータベースから取得するステップと、通信制御手段が、取得されたネットワークアドレスを用いて複数の通信端末のそれぞれから前記ネットワークを介する論理的に隔離された複数の通信回線を形成するステップと、を含む方法が提供される。
更にまた、本発明によると、上述した通信制御手段が、複数の通信端末のそれぞれに異なるIPアドレスまたはIPアドレスレンジを割り当てる手段を更に備えていることを特徴とする方法が提供される。
更にまた、本発明によると、上述した通信基地局が、ネットワーク上に形成される複数の論理的通信回線をVXLANなどのレイヤ3で構成することにより、インターネットなどの広域IPネットワーク上に複数の論理的通信回線を形成する手段を更に備えていることを特徴とする方法が提供される。
更にまた、本発明によると、上述した通信基地局が、ネットワーク上に形成される複数の論理的通信回線をVLANやMPLSなどのレイヤ2で構成することにより、複数の論理的通信回線を形成する手段を更に備えていることを特徴とする方法が提供される。
更にまた、本発明によると、複数の通信端末と、複数の通信端末がネットワークに接続する際にネットワークへのアクセスポイントとして機能する複数の通信基地局と、複数の通信端末のそれぞれの物理アドレスと複数の通信基地局のそれぞれの識別データとの組に対応するネットワークアドレスが記憶されているデータベースと、複数の通信端末のそれぞれからネットワークを介する論理的に隔離された複数の通信回線を形成する通信制御手段とを備えている通信システムを制御する方法であって、通信制御手段が、複数の通信端末のそれぞれから受信された通信リクエストに応答して、通信リクエストに含まれているそれぞれの通信端末の物理アドレスとそれぞれの通信端末がアクセスしている通信基地局の識別データとの組に対応するネットワークアドレスをデータベースから取得するステップと、通信制御手段が、取得されたネットワークアドレスを用いて複数の通信端末のそれぞれからネットワークを介する論理的に隔離された複数の通信回線を形成するステップと、を含む方法が提供される。
更にまた、本発明によると、上述した方法をコンピュータに実行させるコンピュータプログラムが提供される。
更にまた、本発明によると、上述したコンピュータプログラムが記憶されているコンピュータ可読な記憶媒体が提供される。
図1は、本発明の実施例1の構成を示すブロック図であり、2つの異なる無線端末ND1およびND2が、無線基地局APにアクセスし、ネットワークを経由して、サーバSV1およびSV2に接続する様子を概略的に示している。例えばノートPCやスマートホンである無線端末ND1およびND2は、同じ無線基地局APをネットワークへのアクセスポイントとして用い、ネットワークを経由して、2つの異なるサーバSV1およびSV2にそれぞれ接続される。本発明によると、無線端末ND1からサーバSV1への通信と無線端末ND1からサーバSV2への通信とを、論理的に分離することが可能である。以下では、どのような仕組みによって通信の論理的分離が可能になるのかについて、具体的な実施例を用いて説明する。
まず、無線端末ND1は、IEEE802.1aなどのWiFi通信(3GやLTEなどでも構わない)を用いて無線基地局APに通信リクエストを送信する。無線基地局APは、受信した通信リクエストから無線端末ND1を物理的に識別するMACアドレスを取得し、コントローラCTLに、無線基地局ND1の通信許可と、無線基地局ND1が利用できる仮想回線IDのネットワークアドレスとを求める。
コントローラCTLは、データベースDBを検索することにより、通信リクエストを送信してきた無線端末ND1の通信を許可すべきかどうか判断して、無線端末ND1の接続ネットワークアドレスNETADDR1を無線基地局APに返す。NETADDR1は、IPアドレスでも、MPLSなどのSIMヘッダでも構わない。無線基地局APは通信端末ND1にネットワークアドレスNETADDR1を与える。NETADDR1は、複数のネットワークアドレスで構成されるアドレスレンジの場合、そのアドレスレンジから一つのネットワークアドレスが、無線基地局APによって提供される。以上のようにして、無線基地局APは、無線端末ND1と同じネットワークアドレスレンジのSV1との間を接続する通信回路を構築し、無線端末ND1とサーバSV1とが通信できるようになる。この通信回路は予め作られていても構わない。同様に無線端末ND2はサーバSV2と通信出来るようになる。しかし、複数の無線端末と複数のサーバとの間の通信は相互に論理的に隔離されている。つまり、無線端末ND1やサーバSV1は、無線端末ND2やサーバSV2と通信することができない。
以上の処理をより詳細に説明する。コントローラCTLに接続された(または、内蔵された)データベースDBには、図2に示されているように、通信を許可する無線端末のMACアドレスと、そのMACアドレスを持つ無線端末が利用する仮想回線のネットワークアドレスと、無線基地局AP内で利用するポート番号とが予め格納されている。コントローラCTLは、MACアドレスをキーとしてデータベースDBを検索し、対応するネットワークアドレスとポート番号とを取得して、無線基地局APに与える。
また、仮想回線を利用して無線基地局APを介したネットワークを構成する場合には、図3に示されているように、データベースDBには、仮想回線を構成する通信プロトコル、その通信プロトコルで利用する仮想回線のネットワークアドレス(例えば、L2ネットワーク仮想化識別子)が予め管理されていることになる。無線基地局APによって、無線端末ND1が利用するIPアドレスまたはIPアドレスレンジが与えられる場合には、L3ネットワークアドレス範囲をDBで管理しておく。これにより、コントローラCTLは、無線端末ND1のMACアドレスに基づく無線基地局APからの問い合わせに対し、利用する仮想回線ID(仮想化識別子)やそのプロトコルの種類(仮想化プロトコル)を、更には、必要な場合には無線端末ND1に割り当てるIPアドレスレンジを、無線基地局APに送信する。
次に、コントローラCTLの機能とデータベースDBの構成との詳細を説明する。図4に示されているように、コントローラCTLは、フロー規制生成装置とフロー規制送信装置とを含む。データベースDBは、図2に示されている対応関係が格納されたMACアドレス・ネットワークアドレスデータベースと、図3に示されている対応関係が格納されたL3アドレス割当状態データベースとから構成される。
コントローラCTLは、無線基地局APからのMACアドレスに基づく問い合わせに対し、フロー規制生成装置により、無線端末ND1が利用できる通信(フロー)を制御する。具体的には、MACアドレス・ネットワークアドレスデータベースを利用し、該当するMACアドレスに対して仮想回線IDと無線基地局AP上で利用するポート情報とを生成する。コントローラCTLは、フロー規制送信装置を利用して生成したこれらの情報を、無線基地局APに送信する。
無線基地局APから無線端末ND1にIPアドレスまたはIPアドレスレンジを割り当てる必要がある場合には、コントローラCTLの中のフロー規制生成装置がL3アドレス割当状態データベースを検索して、無線端末ND1に割り当てるIPアドレスまたはIPアドレスレンジを決定し、フロー規制送信装置から無線基地局APに、割り当てられたIPアドレスまたはIPアドレスレンジを送信する。
次に、上記CTLより送信された情報に基づく無線基地局APの動作について説明する。図5は無線基地局APの構成図である。図5の右端にある有線ポートはサーバSV1やSV2に接続され、または、他のネットワーク装置を経由してサーバSV1およびSV2と通信する。無線基地局APは、制御ポートを介してコントローラCTLと接続され通信するが、必要に応じて、有線ポートを介してCTLと接続される場合もある。無線ポートは、WiFiなどの無線プロトコルを介して複数の無線端末ND1やND2と通信する。CTLより受信する仮想回線IDとポート番号は、フローDBに記録される。フローは、個々の無線端末が利用することになる仮想回線IDとポート番号とによって管理される。フローDBに記録された仮想回線IDに基づいて、L2ネットワーク仮想化装置により仮想回線が形成される。この際、有線ポートを出力ポートとして仮想回線が形成される。フローDBの構成は、図6に示されている。
コントローラCTLから受信するIPアドレスまたはIPアドレスレンジは、L3アドレス割当装置を介して個々の無線端末に割り当てられる。割り当てられたIPアドレスまたはIPアドレスレンジは無線端末で利用される。マッチング回路では、未知のMACアドレスを無線端末より受信した場合に、制御ポートを介してコントローラCTLに通信許可とフロー制御やIPアドレスの新たな割り当てを要求する。また、マッチング回路では、無線基地局APで管理されたフロー(フローDB内に記録されたフロー)に対して、個々の仮想回線とIPアドレスを接続する。これにより、個々の無線端末とそれぞれの無線端末に対応するサーバとの間で、論理的に隔離された通信環境の中で通信出来るようになり、通信セキュリティが格段に向上する。
なお、以上の説明では、無線基地局APを介してコントローラCTLから無線端末ND1やND2にIPアドレスまたはIPアドレスレンジを割り当てた。しかし、IPアドレスまたはIPアドレスレンジは、サーバSV1やSV2によって割り当てられてもよい。サーバによる割り当てがなされる場合には、サーバに、図7に示されたデータが予め格納されている。この場合、コントローラCTLから無線基地局APへはフロー情報である仮想回線のネットワークアドレスとポート情報とが送信され、無線端末とサーバとの間は、仮想回線を介して接続される。次に、無線端末からはDHCPなどのプロトコルを通じて、サーバに利用するIPアドレスの問い合わせを行い、サーバは、図7の情報を用いて、問い合わせに来た無線端末のMACアドレスに基づいてIPアドレスを払い出す。
以上で本発明による無線基地局APの動作の概略を説明したが、個別的な処理が図8のフローチャートに示されている。図8に示されているように、APでパケットを受信した場合、受信ポートが有線ポートからのものか、無線ポートからのものかを判定する。有線ポートからパケットを受信した場合には、宛先MACルールマッチング処理により通信先の無線端末のMACアドレスが登録されているかどうかを判断し、登録されてない場合には受信パケットを破棄する。一方で宛先MACルールマッチングに登録されている場合には、仮想ネットワークのヘッダを除去(仮想ネットワークのトンネルを除去)して、対象となる無線端末の無線ポートへパケットを送出する。
一方で、無線ポートからパケットを受信した場合には、送信元MACルールマッチングにより、既に登録されている場合には、アドレス要求パケット処理によりIPアドレスを割り当てる要求のパケットかどうかを判断し、IPアドレス要求のパケットであれば、アドレス割当処理にてIPアドレス、またはIPアドレスレンジを割り当てる。受信したパケットがアドレス要求パケットではない場合には、仮想ネットワーク回線にトンネリング処理するために、L2仮想化ヘッダ挿入し、有線ポートへパケットを送出する。
また、送信元MACルールマッチングにて、登録されていないパケットの場合には、コントローラCTLにMACアドレス問合せを実施し、フロールールを受信し、ルール種別にてルールの登録許可の場合には、ルールを登録し、ルール種別にてルール登録拒絶の場合には、パケットを破棄する。
また、IPアドレスを割り当てる際の処理フローチャートが図9に示されている。アクセスポイントAPからコントローラCTLにIPアドレス、またはIPアドレスレンジを要求する場合には、CTLにアドレス要求を出し、その結果としてCTLより返答受信する。返答受信した結果、IPアドレス、またはIPアドレスレンジの割当に成功した場合には、無線端末にアドレス割当の情報を送出する。IPアドレス、またはIPアドレスレンジの割当に失敗した場合には、パケット破棄処理により、無線端末への応答を中止したり、割当失敗を通知したりする。
更に、フロー設定とIPアドレスの問合せ処理のシーケンス図が図10に示されている。無線端末NDは、アクセスポイントAPに無線接続した後にアドレス要求をおこなう。APはNDのMACアドレスの情報を検索・認証キーとして、コントローラCTLにMAC問合せをおこない、CTLからAPにフロールールが送信される。フロールールはAP内で登録などの処理が行われる。続いてAPからCTLに対してアドレス要求を行い、CTLからAPに対してIPアドレス、またはIPアドレスレンジのアドレス割当てを行う。続いて、APからNDに対してIPアドレス、またはIPアドレスレンジのアドレス割当てを行う。続いてNDからサーバSVへのアクセス処理が開始され、APを介して仮想ネットワーク回線等を通してSVにサーバアクセス情報が送信される。SVからサーバアクセスに対するサーバレスポンスがAPに送信され、APはそのサーバレスポンスをNDに送信する。
以上は、図1のネットワーク構成に基づく実施例1について説明を行ったが、次に、図11に示されている異なるネットワーク構成の実施例2の場合について説明する。図11の構成と図1の構成との違いは、図11では、無線基地局APにネットワーク装置であるルータRTが接続され、サーバSV1やSV2がルータに接続されていることである。処理のシーケンスの違いは、CTLからRTに対して、RT上で設定するフロー情報である仮想回線のネットワークアドレスと利用するポート(必要に応じて仮想化プロトコルの種類の情報)が送信されることである。そして、APとRT間で仮想回線が形成されることである。
実施例2では、WiFi無線端末ND1が無線基地局APにWiFiまたは3GやLTE無線通信を利用して接続する。無線基地局APは無線通信を用いてND1の個体識別ID(MACアドレス)を取得し、APの制御システムCTLにMACアドレスを識別にした通信許可を問い合わせる。CTLはMACアドレス毎の通信許可を登録したデータベースDBを用いて通信許可を判断し、APとルータRT間の論理トンネルを作成しND1がリモートに位置するサーバSV1とEthernet(登録商標)などで接続できるようにする。このトンネルは予め作られていても構わない。Ethernetの代わりにVLANやATM回線レベルで接続するようにしても構わない。
EthernetレベルでND1とSV1が接続された後、SV1からND1に対してNETADDR1を払い出す。NETADDR1はIPアドレスでも、MPLSなどのSIMヘッダでも構わない。NETADDR1は、複数のネットワークアドレスで構成されるアドレスレンジの場合、そのアドレスレンジから一つのネットワークアドレスがAPにより払いださせる。このようにして、APはND1と同じネットワークアドレスレンジのSV1間を接続する通信回路を構築し、ND1はサーバSV1と通信できるようになる。同様に無線端末ND2はサーバSV2と通信出来るようになる。しかし、実施例1の場合と同様に、この実施例2でも、上記ND1とSV1は、ND2やSV2と通信することが出来ず、隔離される通信回路を構築できる。
なお、図12には、ルータRTの構成図が示されている。制御ポートを介してCTLよりフロー設定情報を受信し、スイッチDBに格納する。スイッチDBの構成は、図13に示されている。RTは複数のSVポートを具備している。L2ネットワーク仮想化装置は、APとの間で仮想回線を構成する。スイッチング回路は、APで管理されたフロー(フローDB内に記録されたフロー)に対して、個々の仮想回線とIPアドレスを接続する。これにより、個々の無線端末とサーバと間で論理的に隔離された通信環境の中での通信が可能になる。
図14には、実施例3が示されている。実施例2ではAPとRT間の論理トンネルがOSI上のレイヤ2であるEthernetやVLANやATMで構成されていたのと異なり、実施例3では、無線基地局APとルータRTとの間がVXLANやGREなどのレイヤ3で論理トンネルが構成されている。このように構成される場合であっても、本発明によると、個々の無線端末とサーバと間で論理的に隔離された通信環境の中での通信が可能になる。
図15には、実施例4が示されている。実施例4は、複数のAPと複数のRTで構成するネットワークにおいて、上記実施例2と3の機能を実現するものである。このように構成される場合であっても、本発明によると、個々の無線端末とサーバと間で論理的に隔離された通信環境の中での通信が可能になる。
以上は、平成25年4月4日に出願した特願2013−078487号(以下では、「先の出願」と称する)に記載されていた内容である。先の出願に記載された発明は、上述されているように、論理的に隔離された複数の通信回線を形成するために、通信基地局(アクセスポイント)にアクセスしている通信端末の物理アドレスを用いることを特徴としていた。しかし、発明者は、先の出願の後に、更なる研究開発活動を継続した。その成果として、発明者は、通信端末の物理アドレスに加えて、その通信端末がどのアクセスポイントにアクセスしているのかというアクセスポイントの識別データも同時に考慮することで、より柔軟なネットワークの構築が可能になることを見いだした。すなわち、端末情報とアクセスポイント情報との組合せを用いることにより、先の出願に記載されていた発明によって達成された作用効果に加えて、追加的な作用効果が得られることを見いだしたのである。以下では、その新たな実施例について説明したい。
図16には、本出願で追加する第5の実施例の概略的な構成が、ブロック図として示されている。ただし、図16は、第1の通信端末と第2の通信端末とが同一のアクセスポイントにアクセスする場合である。この場合、第1の端末ND1がアクセスポイントAPに接続すると、アクセスポイントAPは、第1の端末ND1のMACアドレスと自分自身であるアクセスポイントAPに関するデータとの組合せ情報を用いて、コントローラCTLに問い合わせる。コントローラCTLは、データベースDBから得られるND1とAPとの組合せ情報に基づいて、接続ネットワークNETADDR1をアクセスポイントAPに返す。そして、アクセスポイントAPは第1の端末ND1にNETADDR1のIPアドレスを与える。こうして、アクセスポイントAPを経由して第1の通信端末ND1と第1のサーバSV1との間を接続する通信回線が構築され、第1の通信端末ND1と第1のサーバSV1とが通信することが可能になる。第2の通信端末ND2についても同様である。このように、図16の場合には、単に、第1の通信端末ND1と第2の通信端末ND2とが区別されるだけでない。アクセスポイントAPにアクセスしている第1の通信端末ND1にはどのようなネットワークアドレスを与え、アクセスポイントAPにアクセスしている第2の通信端末ND2にはどのようなネットワークアドレスを与えるのか、が問題になる。例えば、もし、同じ第1の通信端末ND1であっても、別のアクセスポイントAP’にアクセスする場合には、別のネットワークアドレスが付与される可能性がある。
先の出願に記載された発明では、コントローラCTLに接続されたデータベースDBに格納されている通信端末のMACアドレスとネットワークアドレスとの対応関係が図2に示されていた。また、図3には、別のデータベースに格納されているネットワークアドレスに関する対応関係が示されていた。これに対して、アクセスポイントに関する情報も考慮する本実施例の場合の対応関係は、図17および図18に示されている。図17では、端末の物理アドレスの下に、アクセスポイントに関する情報が含まれている。アクセスポイント情報の具体例としては、IPアドレスやMACアドレスが考えられるし、それ以外の管理情報でもかまわない。図18は、図3と同一である。
次に、図19にも、本実施例の概略的な構成がブロック図として示されている。ただし、同じ実施例ではあるが、図19は図16と異なり、同じ2つの通信端末が別のアクセスポイントにアクセスする場合であり、本実施例の特徴的な作用効果をより明瞭にするための図解である。図19の構成では、第1の通信端末ND1が第1のアクセスポイントAP1に接続すると、第1のアクセスポイントAP1は、第1の通信端末ND1のMACアドレスと第1のアクセスポイントAP1に関するデータとの組合せ情報に基づいてコントローラCTLに問い合わせる。コントローラCTLは、データベースDBから得た第1の通信端末ND1と第1のアクセスポイントAP1との組合せに対応するネットワークアドレスをAP1に返す。第1のアクセスポイントとルータRTとは、このネットワークアドレスを用いて、第1の通信端末ND1と第1のサーバSV1との間を接続する通信回線を構築する。第1の通信端末ND1は第1のサーバSV1にIPアドレスの払い出し要求を送出するが、第1のサーバSV1は、その要求に応答して、ND1にIPアドレスを払い出す。
次に、同じ第1の通信端末ND1が、別のアクセスポイントである第2のアクセスポイントAP2に接続する場合である。この場合、第2のアクセスポイントAP2は、第1の通信端末ND1のMACアドレスと自分自身である第2のアクセスポイントAP1に関するデータとの組合せ情報に基づいてコントローラCTLに問い合わせる。コントローラCTLは、データベースDBから得た第1の通信端末ND1と第2のアクセスポイントAP2との組合せに対応するネットワークアドレスをAP2に返す。第2のアクセスポイントAP2とルータRTとは、このネットワークアドレスを用いて、第1の通信端末ND1と第2のサーバSV2との間を接続する通信回線を構築する。第1の通信端末ND1は第2のサーバSV2にIPアドレスの払い出し要求を送出し、その要求に応答して、第2のサーバSV2は第1の通信端末ND1にIPアドレスを払い出す。
次に、本実施例のように、通信端末の物理アドレスだけでなく、その通信端末のよって接続されているアクセスポイントに関するデータも考慮し、これら2つのデータの組に基づいてネットワークアドレスを決定することで、どのような効果が得られるかを、いくつかの例を挙げることによって説明する。
本実施例によると、第1に、従来では発見できなかった不正アクセスを発見できる。例えば、WiFiのアクセスポイントは、通信距離が一般的に20m程度であり、見晴らしが良い場合でも100m程度が限界である。そのために、ビル内のオフィスには、取締役室、応接室、実験室、営業会議室など、複数の箇所にアクセスポイントを設置する必要がある。例えば、実験エンジニアは1階の実験室に配置したアクセスポイントを経由する場合にのみ社内ネットワークにアクセスできる、というルールがある場合を想定しよう。この場合、実験エンジニアの端末であると称する端末から、5階の取締役室のアクセスポイント経由での通信要求があった場合には、拒絶する必要がある。この例では、(1)ユーザの端末ID(MACアドレスや個体識別番号(例えば、シリアル番号、IMEI、MEID、CDN、およびICCID)など)と、(2)アクセスポイントAPの識別データ(IPアドレス、MACアドレス、個体識別番号(例えば、シリアル番号、データパスID、ESSID、IMEI、MEID、CDN、およびICCID)など)との組合せを用いて、通信許可認証処理を行うことにより、不正アクセスを防止することが可能になる。なお、ここで挙げた端末およびアクセスポイントの識別データは、あくまでも例示であり、必要や状況に応じて別の識別データを用いることも可能である。また、アクセスポイント以外に、有線接続するL2スイッチや、L3スイッチの場合でも同様に不正アクセスを発見できる。
本実施例によると、第2に、先の出願に記載された発明では依然として通信が困難となる可能性のあるときでも、アクセス状態を改善できる。先の出願に記載された発明では、MACアドレスやシリアル番号などを用いて端末だけを識別している。したがって、端末を識別することを通じてネットワークへの接続を許可または拒絶する。つまり、その端末が現在どこにあるのかという場所を特定した制御はできないため、特定の場所だけからの接続を許可するという制御は不可能である。本実施例による端末とアクセスポイントとの組に基づく認証が可能であれば、ある通信端末について、特定の場所(アクセスポイント)だけからのアクセスを許可することができる。逆に、ある場所(アクセスポイント)への接続については、特定の通信端末だけ許可することも可能になる。
本実施例によると、第3に、ある企業や団体における個人の所属部署や担当の変更を、アクセス権限に適切に反映させることができる。例えば、ある企業のオフィスビルにおいて、開発1部(1階)と開発2部(9階)とが存在し、それぞれが、相互に競合関係にある顧客(ライバルの自動車製造会社A社およびB社)のシステムを開発しているとする。エンジニアSは、2013年12月末までは開発1部に所属しており、その期間は、1階に設置されたAPやL2/L3スイッチからしかネットワーク接続させない運用を行っていたとする。ところが、エンジニアSが2014年1月から開発2部に異動になった場合には、9階に設置されたAPやL2/L3スイッチからしかネットワーク接続させない運用に変更する必要がある。このような場合、本実施例によると、エンジニアXの所属組織と利用端末とを関連させて2つのデータの組として管理することになる。この管理により、所属組織の情報がコントローラ(CTL)に通知され、上記のアクセス権限の制御を適切に行うことができる。
先の出願に記載されていた発明では、通信端末の物理アドレスを利用して論理的に独立な通信回線の構築を可能にしていた。しかし、以上で説明したように、更にアクセスポイントに関するデータも考慮し、端末の物理アドレスとアクセスポイントデータとの組を用いてネットワークアドレスを決定するという特徴的な構成を採用することにより、更に多様な制御を可能にする柔軟な通信制御が可能になる。