JP3937331B2 - Frame communication network and authentication server - Google Patents

Frame communication network and authentication server Download PDF

Info

Publication number
JP3937331B2
JP3937331B2 JP2003031193A JP2003031193A JP3937331B2 JP 3937331 B2 JP3937331 B2 JP 3937331B2 JP 2003031193 A JP2003031193 A JP 2003031193A JP 2003031193 A JP2003031193 A JP 2003031193A JP 3937331 B2 JP3937331 B2 JP 3937331B2
Authority
JP
Japan
Prior art keywords
identifier
wireless
user
frame
virtual network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003031193A
Other languages
Japanese (ja)
Other versions
JP2004242180A (en
Inventor
政博 丸吉
佳武 田島
純一 村山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003031193A priority Critical patent/JP3937331B2/en
Publication of JP2004242180A publication Critical patent/JP2004242180A/en
Application granted granted Critical
Publication of JP3937331B2 publication Critical patent/JP3937331B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、グループ内で通信可能であるがグループ間では通信不可能な仮想網を形成するフレーム通信網及び当該フレーム通信網を構成する認証サーバに関し、特に、企業内や、ホットスポット等の屋外に設置される無線アクセスポイントを接続してVLAN(Virtual Local Area Network/仮想網)環境を提供するのに好適なフレーム通信網及び認証サーバに関するものである。
【0002】
【従来の技術】
従来、IEEE802.11で標準化されている無線LANの無線終端装置(無線アクセスポイント)に接続された無線ユーザ端末が通信を行うフレーム通信網において、同一の無線終端装置に接続される複数の無線ユーザ端末の通信を論理的に分割することが不可能であった。つまり、異なる仮想網に所属する複数の無線ユーザ端末が同一の無線終端装置に接続される場合には、これらの無線ユーザ端末間における通信は可能であるものの、所属する仮想網に対応して無線ユーザ端末を論理的に分割することは不可能であった。
【0003】
また、複数の無線終端装置をフレーム転送機能で収容し、無線終端装置毎に仮想網識別子を割り当てる技術では、同一の仮想網に所属する無線ユーザ端末は同一の無線終端装置に接続され、異なる仮想網に所属する無線ユーザ端末は異なる無線終端装置に接続される。従って、異なる仮想網に所属する無線ユーザ端末の通信を論理的に分離することは可能となるが、無線終端装置毎に固定的に仮想網識別子を割り当てる必要があるため、一つの仮想網につき一台の無線終端装置が必要となる。この場合、無線終端装置に割り当てられた仮想網に所属する無線ユーザ端末が一台も接続されていなくても、無線終端装置は当該仮想網により占有されることになる。
【0004】
このような仮想網を用いたフレーム通信網には、例えば、スイッチングハブにアドレスが登録されていないホストが通信を行う場合、スイッチングハブがデフォルトVLAN構成機能の有効性を判断し特定のVLANに当該ホストを参加させるものがある。また、VLANサーバが、プロトコルの種類等の情報からホストが属すべきVLANを決定することにより、VLANの自動振り分けを行う技術も開示されている(特許文献1参照)。
【0005】
また、ユーザ認証とQoS(サービス品質)提供とを統合した統合ポリシー実施サービスを提供するために、デバイスからユーザ情報及びデバイス情報を受信したデータ通信スイッチが、これらの情報に基づいて一つまたは複数のポリシーサーバからユーザ認証情報及びQoS情報を得ることにより、ネットワークインターフェースを使用可能にする技術が開示されている(特許文献2参照)。
【0006】
さらに、MAC(Media Access Control)アドレスベースVLANを形成するネットワーク管理装置において、当該装置が、新たに接続されたネットワーク機器のMACアドレスを受信し、MACアドレスとVLANグループとを対応させてMACアドレスをデータベースを格納することにより、ネットワーク管理者が予めMACアドレスを登録する必要がなく簡易にVLANを形成できる技術が開示されている(特許文献3参照)。
【0007】
【特許文献1】
特開平11−215152号公報(段落〔0018〕〔0019〕〔0038〕)
【特許文献2】
特開2002−223228号公報(段落〔0013〕〔0019〕〔0020〕〔0035〕)
【特許文献3】
特開2002−314573号公報(段落〔0026〕〔0037〕〔0038〕〔0039〕)
【0008】
【発明が解決しようとする課題】
このように、従来のフレーム通信網では、1台の無線終端装置に対して予め設定された一つの固定の仮想網が形成されるため、ユーザに対して提供可能な仮想網の数は、無線終端装置の数と同数に限られていた。このため、契約仮想網数のスケーラビリティの向上が困難であるという問題があった。
【0009】
本発明はこのような事情を考慮してなされたものであり、その目的は、仮想網を形成するフレーム通信網及び当該フレーム通信網を構成する認証サーバにおいて、複数の仮想網が無線終端装置を共有可能とし、契約仮想網数のスケーラビリティの向上を実現するフレーム通信網及び認証サーバを提供することにある。
【0010】
【課題を解決するための手段】
請求項1の発明は、ユーザ識別子を有する無線ユーザ端末と、前記複数の無線ユーザ端末と無線接続され、無線ユーザ端末からのユーザ認証要求を送信する無線終端装置と、前記複数の無線終端装置を収容し、ユーザ認証要求を受信して認証サーバに送信するとともに、該認証サーバから仮想網識別子を受信して前記無線ユーザ端末のユーザ識別子または前記無線終端装置が接続されているインターフェースポートに割り当てるフレーム転送装置と、前記複数のフレーム転送装置と接続され、前記ユーザ識別子毎に無線ユーザ端末が所属する仮想識別子を管理するユーザ情報テーブルを備え、前記無線ユーザ端末のユーザ認証を行い、ユーザ認証を許可する場合には仮想網識別子を前記フレーム転送装置に送信する認証サーバとを備え、前記仮想網識別子が同一となる複数の無線ユーザ端末間で通信を行うように論理的に分割したそれぞれの仮想網を形成し、前記フレーム転送装置が、前記無線ユーザ端末から送信されたユーザフレームを無線終端装置を介して受信し、該ユーザフレームに前記仮想網識別子を付加して転送するフレーム通信網において、前記無線終端装置は、自らの無線終端装置識別子と前記無線ユーザ端末のユーザ識別子とを含むユーザ認証要求フレームを生成して前記フレーム転送装置を介して認証サーバに送信する機能を有し、前記認証サーバは、無線終端装置識別子、該無線終端装置識別子に対応する仮想網識別子、及び前記無線終端装置識別子の無線終端装置と接続されている接続無線ユーザ端末数を有する無線終端装置識別子テーブルと、前記フレーム転送装置からユーザ認証要求フレームを受信し、該ユーザ認証要求フレーム、前記ユーザ情報テーブル及び前記無線終端装置識別子テーブルから仮想網識別子を抽出して、ユーザ認証の可否を決定する機能とを有することを特徴とするものである。これにより、無線終端装置は、当該無線終端装置に接続される無線ユーザ端末の要求に従って、自らの無線終端装置識別子を認証サーバに通知することが可能となる。また、認証サーバは、無線終端装置識別子テーブルを有することにより、無線終端装置識別子を持つ無線終端装置に割り当てられている仮想網識別子と、当該無線終端装置識別子に接続されている無線ユーザ端末の数とを管理することが可能となる。従って、無線終端装置に接続される無線ユーザ端末に応じて、自在に仮想網識別子を無線終端装置に割り当てることが可能となる。
【0011】
請求項2の発明は、請求項1に記載のフレーム通信網において、前記認証サーバは、前記ユーザ認証要求フレームのユーザ識別子を用いて前記ユーザ情報テーブルを検索して前記ユーザ識別子に対応する第1の仮想網識別子を抽出し、前記ユーザ認証要求フレームの無線終端装置識別子を用いて前記無線終端装置識別子テーブルを検索して前記無線終端装置識別子に対応する第2の仮想網識別子を抽出し、前記第1の仮想網識別子と第2の仮想網識別子とが一致する場合には、ユーザ認証を許可する機能を有することを特徴とするものである。これにより、無線ユーザ端末が所属する仮想網の仮想網識別子は既に当該無線終端装置識別子に割り当てられているとして、無線ユーザ端末の接続が可能となる。
【0012】
請求項3の発明は、請求項2に記載のフレーム通信網において、前記認証サーバは、前記第1の仮想網識別子と第2の仮想網識別子とが一致しない場合には、ユーザ認証を拒否する機能を有することを特徴とするものである。これにより、異なる仮想網に所属する無線ユーザ端末は、同一の無線終端装置に接続することが不可能となる。
【0013】
請求項4の発明は、請求項3に記載のフレーム通信網において、前記認証サーバは、前記第2の仮想網識別子を抽出する際に、前記無線終端装置識別子テーブルに無線終端装置識別子が存在しない場合には、ユーザ認証を許可するとともに、前記第1の仮想網識別子を当該無線終端装置識別子に括り付けて前記無線終端装置識別子テーブルに保持する機能を有することを特徴とするものである。これにより、無線終端装置に所定の仮想網識別子を割り当てることが可能となる。
【0014】
請求項5の発明は、請求項1から4のいずれか1項に記載のフレーム通信網において、前記認証サーバは、フレーム通信網から離脱する無線ユーザ端末と無線通信していた無線終端装置から、該無線終端装置の無線終端装置識別子を含むユーザ切断要求フレームを前記フレーム転送装置を介して受信し、該ユーザ切断要求フレームの無線終端装置識別子に対応する情報を前記無線終端装置識別子テーブルから削除する機能を有することを特徴とするものである。これにより、所定の仮想網識別子を割り当てていた無線終端装置を解放することが可能となる。
【0015】
請求項6の発明は、請求項4に記載のフレーム通信網において、前記認証サーバは、前記第1の仮想網識別子と第2の仮想網識別子とが一致する場合には、前記終端装置識別子テーブルにおける第2の仮想網識別子を検索した際の無線終端装置識別子に対応する接続無線ユーザ端末数を加算し、前記第2の仮想網識別子を抽出する際に、前記無線終端装置識別子テーブルに無線終端装置識別子が存在しない場合には、前記接続無線ユーザ端末数を1として保持し、ユーザ切断要求フレームを受信した場合には、無線終端装置識別子に対応する接続無線ユーザ端末数を減算し、該減算結果が0のときは前記無線終端装置識別子に対応する情報を無線終端装置識別子テーブルから削除する機能を有することを特徴とするものである。これにより、ユーザ認証の可否及びユーザ切断要求に応じて、無線終端装置に接続されている無線ユーザ端末の数を管理することが可能となる。
【0016】
請求項7の発明は、請求項6に記載のフレーム通信網において、前記フレーム転送装置は、認証サーバがユーザ切断要求フレームを受信して接続無線ユーザ端末数の減算結果が0の場合には、前記インターフェースポートに割り当てた仮想網識別子を解放し、前記減算結果が0でない場合には、前記仮想網識別子を維持することを特徴とするものである。
【0017】
請求項8の発明は、ユーザ識別子を有する無線ユーザ端末と、前記複数の無線ユーザ端末と無線接続され、無線終端装置識別子を有する無線終端装置と、前記複数の無線終端装置を収容し、前記無線接続された無線ユーザ端末のユーザ識別子または前記無線終端装置が接続されているインターフェースポートに割り当てた仮想網識別子を有し、該仮想網識別子が同一となる複数の無線ユーザ端末間で通信を行うように論理的に分割したそれぞれの仮想網を形成して前記無線ユーザ端末から送信されたユーザフレームを無線終端装置を介して受信し、該ユーザフレームに前記仮想網識別子を付加して転送するフレーム転送装置と、前記複数のフレーム転送装置と接続され、前記ユーザ識別子毎に無線ユーザ端末が所属する仮想識別子を管理するユーザ情報テーブルを備え、前記無線ユーザ端末のユーザ認証を行い、ユーザ認証を許可する場合には仮想網識別子を前記フレーム転送装置に送信する認証サーバとを備えるフレーム通信網における前記認証サーバであって、無線終端装置識別子、該無線終端装置識別子に対応する仮想網識別子、及び前記無線終端装置識別子の無線終端装置と接続されている接続無線ユーザ端末数を有する無線終端装置識別子テーブルと、前記無線ユーザ端末からのユーザ認証要求に従って、前記無線終端装置及びフレーム転送装置を介して、前記ユーザ識別子と無線終端装置識別子とを含むユーザ認証要求フレームを受信する機能と、該ユーザ認証要求フレーム、前記ユーザ情報テーブル及び前記無線終端装置識別子テーブルから仮想網識別子を抽出して、ユーザ認証の可否を決定する機能とを有することを特徴とするものである。
【0018】
請求項9の発明は、請求項8に記載の認証サーバにおいて、前記ユーザ認証要求フレームのユーザ識別子を用いて前記ユーザ情報テーブルを検索して前記ユーザ識別子に対応する第1の仮想網識別子を抽出し、前記ユーザ認証要求フレームの無線終端装置識別子を用いて前記無線終端装置識別子テーブルを検索して前記無線終端装置識別子に対応する第2の仮想網識別子を抽出し、前記第1の仮想網識別子と第2の仮想網識別子とが一致する場合には、ユーザ認証を許可する機能を有することを特徴とするものである。
【0019】
請求項10の発明は、請求項8に記載の認証サーバにおいて、前記第1の仮想網識別子と第2の仮想網識別子とが一致しない場合には、ユーザ認証を拒否する機能を有することを特徴とするものである。
【0020】
請求項11の発明は、請求項8に記載の認証サーバにおいて、前記第2の仮想網識別子を抽出する際に、前記無線終端装置識別子テーブルに無線終端装置識別子が存在しない場合には、ユーザ認証を許可するとともに、前記第1の仮想網識別子を当該無線終端装置識別子に括り付けて前記無線終端装置識別子テーブルに保持する機能を有することを特徴とするものである。
【0021】
請求項12の発明は、請求項8から11のいずれか1項に記載の認証サーバにおいて、フレーム通信網から離脱する無線ユーザ端末と無線通信していた無線終端装置から、該無線終端装置の無線終端装置識別子を含むユーザ切断要求フレームを前記フレーム転送装置を介して受信し、該ユーザ切断要求フレームの無線終端装置識別子に対応する情報を前記無線終端装置識別子テーブルから削除する機能を有することを特徴とするものである。
【0022】
請求項13の発明は、請求項11に記載の認証サーバにおいて、前記第1の仮想網識別子と第2の仮想網識別子とが一致する場合には、前記終端装置識別子テーブルにおける第2の仮想網識別子を検索した際の無線終端装置識別子に対応する接続無線ユーザ端末数を加算し、前記第2の仮想網識別子を抽出する際に、前記無線終端装置識別子テーブルに無線終端装置識別子が存在しない場合には、前記接続無線ユーザ端末数を1として保持し、ユーザ切断要求フレームを受信した場合には、無線終端装置識別子に対応する接続無線ユーザ端末数を減算し、該減算結果が0のときは前記無線終端装置識別子に対応する情報を無線終端装置識別子テーブルから削除する機能を有することを特徴とするものである。
【0023】
【発明の実施の形態】
以下、図面を参照して、本発明の実施の形態について説明する。
〔構成の説明〕
図1は、本発明の実施の形態に係るフレーム通信網の概略構成図である。本フレーム通信網は、無線ユーザ端末1−1〜4−2と、無線終端装置5−1〜6−2と、VLANスイッチであるフレーム転送装置7−1,7−2と、ユーザ認証要求を受け付けてVLAN情報を管理するRadiusサーバである認証サーバ8とを備える。フレーム転送装置7−1は、インターフェースを介して無線終端装置5−1、6−1及び認証サーバ8と接続され、フレーム転送装置7−2も、インターフェースを介して無線終端装置5−2、6−2及び認証サーバ8と接続される。また、フレーム転送装置7−1とフレーム転送装置7−2とはフレーム転送路9により接続される。尚、無線ユーザ端末1−1〜4−2、無線終端装置5−1〜6−2及び認証サーバ8は、それぞれ通信ネットワークの接続認証について規定するIEEE802.1x/EAP−TLS認証に対応している。
【0024】
無線終端装置5−1〜6−2は、無線ユーザ端末1−1〜4−2と無線通信を行う機能と、自己のMACアドレスを無線終端装置識別子として、フレーム転送装置7−1,7−2を介して認証サーバ8に通知する機能を有する。フレーム転送装置7−1,7−2は、無線終端装置5−1〜6−2と認証サーバ8との間で行われるRadius認証を中継する機能と、認証サーバ8から送信されるユーザ認証許可応答フレームに含まれるVLAN−ID(仮想網識別子)を、接続要求があった無線ユーザ端末1−1〜4−2の識別子または無線終端装置5−1〜6−2が接続されるインターフェースポートにマッピングする機能と、無線ユーザ端末1−1〜4−2が所属するVLANのVLAN−IDを転送フレームにタグ付けし、フレーム転送路9を介して互いにフレーム転送を行う機能とを有する。
【0025】
図2は、図1に示したフレーム通信網における認証サーバ8の内部構成図である。認証サーバ8は、VLANスイッチ接続部10と、802.1x処理部11と、無線終端装置識別子テーブル12とを備えている。VLANスイッチ接続部10は、フレーム転送装置7−1,7−2から送信されたユーザ認証要求フレーム及びユーザ切断要求フレームを受信して802.1x処理部11に転送する機能と、802.1x処理部11から送信されたユーザ認証許可応答フレーム、ユーザ認証拒否応答フレーム及びユーザ切断応答フレームを受信してフレーム転送装置7−1,7−2に送信する機能とを有する。802.1x処理部11は、「VLAN−ID」(Type:26)を整数型の属性形式で保持するdictionaryDB13と、ユーザID(ユーザ識別子)毎に、所属するVLANの情報を当該ユーザが所属するVLAN−IDの属性「VLAN−ID」の属性値として保持するusersDB14とを有する。尚、dictionaryDB及びusersDBについては、ユーザ認証のプロトコルの仕様を規定するRFC2138に詳細が記載されているため、ここでは説明を省略する。
【0026】
無線終端装置識別子テーブル12は、図3に示すように、無線終端装置識別子20、VLAN−ID21及びカウンタ22から構成され、既にVLAN−IDが割り当てられている無線終端装置識別子を無線終端装置識別子20に、無線終端装置識別子20に割り当てられているVLAN−IDをVLAN−ID21に、その無線終端装置識別子を持つ無線終端装置に対して接続されている無線ユーザ端末数をカウンタ22に、それぞれ保持する。
【0027】
802.1x処理部11は、VLANスイッチ接続部10からユーザ認証要求フレームを受信し、当該ユーザ認証要求フレームからユーザID及び無線終端装置識別子を抽出する機能と、ユーザIDからusersDB14に保持された当該ユーザが所属するVLAN−IDを抽出する機能と、無線終端装置識別子から無線終端装置識別子テーブル12を検索して、その無線終端装置識別子に対応するVLAN−IDを抽出する機能と、ユーザ認証の可否を決定する機能と、ユーザ認証を許可する場合にはユーザ認証許可応答フレームを生成し、拒否する場合にはユーザ認証拒否応答フレームを生成する機能と、当該ユーザ認証許可応答フレーム及びユーザ認証拒否応答フレームをVLANスイッチ接続部10に転送する機能とを有する。ここで、ユーザ認証の可否を決定する機能は、usersDB14から抽出したVLAN−IDと無線終端装置識別子テーブル12から抽出したVLAN−ID21とが一致した場合には認証を許可して接続無線ユーザ端末数を「1」加算し、一致しない場合には認証を拒否する。また、無線終端装置識別子テーブル12に該当する無線終端装置識別子が存在しない場合には、認証を許可してusersDB14から抽出したVLAN−IDを当該無線終端装置識別子に括り付け、接続無線ユーザ端末数を「1」として無線終端装置識別子テーブル12に保持する。尚、usersDB14の検索方法やユーザ認証応答フレームの生成方法については、RFC2138に詳細が記載されているため、ここでは説明を省略する。
【0028】
また、802.1x処理部11は、VLANスイッチ接続部10からユーザ切断要求フレームを受信し、当該ユーザ切断要求フレームから無線終端装置識別子を抽出する機能と、抽出した無線終端装置識別子を用いて無線終端装置識別子テーブル12を参照し、当該無線終端装置識別子のエントリのカウンタ22を「1」減算する機能と、当該カウンタ22が「0」になった場合には、当該無線終端装置識別子についての情報を無線終端装置識別子テーブル12から削除する機能と、ユーザ切断応答フレームを生成し、VLANスイッチ接続部10に転送する機能とを有する。
【0029】
〔動作の説明〕
図4は、図1に示したフレーム通信網の動作説明図である。無線ユーザ端末1−2を使用するユーザ1のユーザIDが「user1」に、無線ユーザ端末1−2を使用するユーザ1がアクセス権を持っているVLANのVLAN−IDが「A」に予め設定されているものとする。同様に、無線ユーザ端末2−2,3−2,4−2を使用するユーザ2,3,4のユーザIDがそれぞれ「user2」「user3」「user4」に、無線ユーザ端末2−2,3−2,4−2を使用するユーザ2,3,4がアクセス権を持っているVLANのVLAN−IDがそれぞれ「A」「B」「C」に設定されている。また、無線終端装置5−2のESS−IDは「ESS1」に、無線終端装置識別子はMACアドレス「mac1」に設定され、無線終端装置6−2のESS−IDは「ESS2」に、無線終端装置識別子はMACアドレス「mac2」に設定されている。
【0030】
さらに、無線ユーザ端末1−2,3−2を使用するユーザ1,3は、それぞれ既に認証されており、無線ユーザ端末1−2は無線終端装置5−2に、無線ユーザ端末3−2は無線終端装置6−2に接続されている。ユーザ1〜4は、無線終端装置5−2及び6−2を特定するために、無線終端装置5−2及び6−2のESS−IDを認識しているものとする。
【0031】
ユーザ1〜4は、無線ユーザ端末1−2〜4−2を用いて、無線終端装置5−2または6−2のESS−IDを指定し接続先の無線終端装置5−2または6−2を選択する。無線ユーザ端末1−2〜4−2は、無線終端装置5−2及び6−2に対してEAP認証を行い、ユーザIDを通知する。無線終端装置5−2及び6−2は、ユーザ認証要求フレームを認証サーバ8に送信する際に、自己の無線終端装置識別子を当該フレームに組み込む。フレーム転送装置7−2は、無線終端装置5−2及び6−2と認証サーバ8との間で行われるEAP−TLS認証を中継する。
【0032】
図5は、ユーザ2がユーザ認証要求を行う場合における認証サーバ8の動作説明図である。ユーザ認証要求フレームS0は、無線終端装置5−2からフレーム転送装置7−2を介して認証サーバ8に送信され、ユーザIDとして「user2」を、無線終端装置識別子として「mac1」を保持する。VLANスイッチ接続部10は、フレーム転送装置7−2から受信したユーザ認証要求フレームS0を802.1x処理部11に転送する。802.1x処理部11は、ユーザ認証要求フレームS0を受信すると、ユーザ認証要求フレームS0からユーザID「user2」を抽出し、当該ユーザID「user2」をキーとしてusersDB14を検索してユーザ2のVLAN−ID「A」を抽出する。また、ユーザ認証要求フレームS0から無線終端装置識別子「mac1」を抽出し、当該無線終端装置識別子「mac1」をキーとして無線終端装置識別子テーブル40を参照する。
【0033】
無線終端装置識別子テーブル40における無線終端装置識別子20のエントリ「mac1」にヒットし、当該エントリのVLAN−ID21「A」とユーザ2のVLAN−ID「A」とが一致するため、当該エントリのカウンタ22に「1」を加算し、無線終端装置識別子テーブル40を図9に示す無線終端装置識別子テーブル41に更新する。また、VLAN−ID「A」を組み込むことによりユーザ認証許可応答フレームS1を生成し、VLANスイッチ接続部10に転送する。VLANスイッチ接続部10は、802.1x処理部11から受信したユーザ認証許可応答フレームS1をフレーム転送装置7−2に転送する。そして、フレーム転送装置7−2は、ユーザ認証許可応答フレームS1を受信して、ユーザ認証許可応答フレームS1に付加されているVLAN−ID「A」を無線ユーザ端末2−2のユーザ識別子または無線終端装置5−2が接続されているインターフェースポートにマッピングする。
【0034】
この動作により、同一のVLAN−ID「A」のVLANに所属する無線ユーザ端末1−2及び2−2は、無線終端装置5−2を共有することができる。
【0035】
図6は、ユーザ4がユーザ認証要求を行う場合における認証サーバ8の動作説明図である。ユーザ認証要求フレームS0は、無線終端装置6−2からフレーム転送装置7−2を介して認証サーバ8に送信され、ユーザIDとして「user4」を、無線終端装置識別子として「mac2」を保持する。VLANスイッチ接続部10は、フレーム転送装置7−2から受信したユーザ認証要求フレームS0を802.1x処理部11に転送する。802.1x処理部11は、ユーザ認証要求フレームS0を受信すると、ユーザ認証要求フレームS0からユーザID「user4」を抽出し、当該ユーザID「user4」をキーとしてusersDB14を検索してユーザ4のVLAN−ID「C」を抽出する。また、ユーザ認証要求フレームS0から無線終端装置識別子「mac2」を抽出し、当該無線終端装置識別子「mac2」をキーとして無線終端装置識別子テーブル40を参照する。
【0036】
無線終端装置識別子テーブル40における無線終端装置識別子20のエントリ「mac2」にヒットし、当該エントリのVLAN−ID21「B」とユーザ4のVLAN−ID「C」とが一致しないため、ユーザ認証拒否応答フレームS2を生成し、VLANスイッチ接続部10に転送する。VLANスイッチ接続部10は、802.1x処理部11から受信したユーザ認証拒否応答フレームS2をフレーム転送装置7−2に転送する。
【0037】
この動作により、異なるVLAN−ID「B」,「C」のVLANにそれぞれ所属する無線ユーザ端末3−2,4−2は、無線終端装置6−2の共有を防ぐことができる。すなわち、無線ユーザ端末3−2,4−2は、同一の無線終端装置6−2に同時に無線接続されることがなくなり、フレーム通信網上において、VLAN−ID「B」に所属する無線ユーザ端末とVLAN−ID「C」に所属する無線ユーザ端末との間で通信不可能になる。つまり、所属するVLAN−IDが異なる無線ユーザ端末間において通信不可能となる。
【0038】
図7は、ユーザ3がユーザ切断要求を行う場合における認証サーバ8の動作説明図である。ユーザ切断要求フレームS3は、無線終端装置6−2からフレーム転送装置7−2を介して認証サーバ8に送信され、無線終端装置識別子として「mac2」を保持する。VLANスイッチ接続部10は、フレーム転送装置7−2から受信したユーザ切断要求フレームS3を802.1x処理部11に転送する。802.1x処理部11は、ユーザ切断要求フレームS3を受信すると、ユーザ切断要求フレームS3から無線終端装置識別子「mac2」を抽出し、当該無線終端装置識別子「mac2」をキーとして無線終端装置識別子テーブル41を参照する。
【0039】
無線終端装置識別子テーブル41における無線終端装置識別子20のエントリ「mac2」にヒットし、当該エントリのカウンタ22から「1」を減算すると、カウンタ22の値が「0」になるため当該エントリを削除し、無線終端装置識別子テーブル41を図9に示す無線終端装置識別子テーブル42に更新する。また、ユーザ切断応答フレームS4を生成し、VLANスイッチ接続部10に転送する。VLANスイッチ接続部10は、802.1x処理部11から受信したユーザ切断応答フレームS4をフレーム転送装置7−2に転送する。フレーム転送装置7−2は、無線ユーザ端末3−2のユーザ識別子または無線終端装置6−2が接続されているインターフェースポートにマッピングされたVLAN−ID「B」を解放する。尚、カウンタ22から「1」を減算した結果が「0」でなく、無線終端装置6−2に他の無線ユーザ端末が接続されている場合には、フレーム転送装置7−2は、無線終端装置6−2が接続されているインターフェースポートにマッピングされたVLAN−ID「B」を解放しないで維持する。
【0040】
この動作により、VLAN−ID「A」に所属する無線ユーザ端末3−2が占有していた無線終端装置6−2を解放することができる。
【0041】
図8は、ユーザ4がユーザ認証要求を行う場合における認証サーバ8の動作説明図である。ユーザ認証要求フレームS0は、無線終端装置6−2からフレーム転送装置7−2を介して認証サーバ8に送信され、ユーザIDとして「user4」を、無線終端装置識別子として「mac2」を保持する。VLANスイッチ接続部10は、フレーム転送装置7−2から受信したユーザ認証要求フレームS0を802.1x処理部11に転送する。802.1x処理部11は、ユーザ認証要求フレームS0を受信すると、ユーザ認証要求フレームS0からユーザID「user4」を抽出し、当該ユーザID「user4」をキーとしてusersDB14を検索してユーザ4のVLAN−ID「C」を抽出する。また、ユーザ認証要求フレームS0から無線終端装置識別子「mac2」を抽出し、当該無線終端装置識別子「mac2」をキーとして無線終端装置識別子テーブル42を参照する。
【0042】
無線終端装置識別子テーブル42における無線終端装置識別子20に「mac2」を値に持つエントリがヒットしないため、無線終端装置識別子「mac2」を無線終端装置識別子20とし、VLAN−ID「C」をVLAN−ID21とし、さらにカウンタ22の値を「1」としたエントリを生成し、無線終端装置識別子テーブル42を図9に示す無線終端装置識別子テーブル43に更新する。また、VLAN−ID「C」を組み込むことによりユーザ認証許可応答フレームS1を生成し、VLANスイッチ接続部10に転送する。VLANスイッチ接続部10は、802.1x処理部11から受信したユーザ認証許可応答フレームS1をフレーム転送装置7−2に転送する。そして、フレーム転送装置7−2は、ユーザ認証許可応答フレームS1を受信して、ユーザ認証許可応答フレームS1に付加されているVLAN−ID「C」を無線ユーザ端末4−2の識別子または無線終端装置6−2が接続されているインターフェースポートにマッピングする。
【0043】
この動作により、VLAN−ID「C」のVLANに所属するユーザ端末4−2を、新たに無線接続することができる。すなわち、無線ユーザ端末が一台も無線接続されていない無線終端装置6−2は、どのVLANに所属する無線ユーザ端末であっても無線接続することが可能となる。
【0044】
以上、実施の形態を挙げて説明したが、本発明は上記の実施の形態に限定されるものではなく、その要旨を逸脱しない範囲内において種々の変形が可能であり、本発明の目的を達し同等の効果を奏する範囲において、適宜変更して実装可能であることは勿論である。例えば、上記実施の形態においては、VLANスイッチであるフレーム転送装置の数が2、無線終端装置の数が4、無線ユーザ端末の数が8及びユーザの数が8から成るフレーム通信網の例にしたが、それぞれの数を制限するものではない。また、上記実施の形態においては、認証サーバをRadiusサーバとし、フレーム転送装置をVLANスイッチとし、認証方式をIEEE802.1x/EAP−TLS認証としたが、これに限るものではない。また、上記実施の形態においては、フレーム転送装置7−1,7−2と無線終端装置5−1〜6−2とを別々の装置としたが、それぞれに有する機能等を一つの装置に構成するようにしてもよい。
【0045】
【発明の効果】
以上説明したように、本発明によれば、認証サーバが、ユーザ認証要求フレームとユーザ情報テーブル及び無線終端装置識別子テーブルから仮想網識別子を抽出してユーザ認証の可否を決定し、フレーム転送装置が仮想網識別子を無線ユーザ端末のユーザ識別子または無線終端装置が接続されているインターフェースポートに割り当てるようにした。このため、無線終端装置に接続される無線ユーザ端末に応じて、自在に仮想網識別子を無線終端装置に割り当てることが可能となるから、無線終端装置を特定の仮想網に占有させることがなく、使用されていない無線終端装置をあらゆる仮想網に所属する無線ユーザ端末に対しても使用可能となる。従って、契約仮想網数のスケーラビリティの向上が可能となる。また、本発明によれば、既に無線ユーザ端末と接続されている無線終端装置は、当該無線ユーザ端末と同一の仮想網に所属する無線ユーザ端末からの接続要求しか受け付けないため、無線終端装置を異なる仮想網に所属する無線ユーザ端末により同時に共有させることがない。このため、フレーム通信網に接続された無線ユーザ端末において、異なる仮想網に所属する無線ユーザ端末の通信を論理的に分割することが可能となる。
【図面の簡単な説明】
【図1】 本発明の実施の形態に係るフレーム通信網の概略構成図である。
【図2】 図1に示したフレーム通信網における認証サーバ8の内部構成図である。
【図3】 無線終端装置識別子テーブル12の内部構成図である。
【図4】 図1に示したフレーム通信網の動作説明図である。
【図5】 ユーザ2がユーザ認証要求を行う場合における認証サーバ8の動作説明図である。
【図6】 ユーザ4がユーザ認証要求を行う場合における認証サーバ8の動作説明図である。
【図7】 ユーザ3がユーザ切断要求を行う場合における認証サーバ8の動作説明図である。
【図8】 ユーザ4がユーザ認証要求を行う場合における認証サーバ8の動作説明図である。
【図9】 無線終端装置識別子テーブル12の説明図である。
【符号の説明】
1〜4 ユーザ
1−1〜4−2 無線ユーザ端末
5−1〜6−2 無線終端装置
7−1,7−2 フレーム転送装置
8 認証サーバ
9 フレーム転送路
10 VLANスイッチ接続部
11 802.1x処理部
12,40,41,42,43 無線終端装置識別子テーブル
13 dictionaryDB
14 usersDB
20 無線終端装置識別子
21 VLAN−ID
22 カウンタ
S0 ユーザ認証要求フレーム
S1 ユーザ認証許可応答フレーム
S2 ユーザ認証拒否応答フレーム
S3 ユーザ切断要求フレーム
S4 ユーザ切断応答フレーム[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a frame communication network that forms a virtual network that can communicate within a group but cannot communicate between groups, and an authentication server that constitutes the frame communication network. The present invention relates to a frame communication network and an authentication server suitable for providing a VLAN (Virtual Local Area Network / virtual network) environment by connecting wireless access points installed in the network.
[0002]
[Prior art]
Conventionally, in a frame communication network in which wireless user terminals connected to wireless LAN wireless terminal devices (wireless access points) standardized by IEEE 802.11 communicate, a plurality of wireless users connected to the same wireless terminal device It was impossible to logically divide terminal communication. In other words, when a plurality of wireless user terminals belonging to different virtual networks are connected to the same wireless terminal device, communication between these wireless user terminals is possible, but wirelessly corresponding to the belonging virtual network. It was impossible to logically divide user terminals.
[0003]
Further, in the technique of accommodating a plurality of wireless termination devices with a frame transfer function and assigning a virtual network identifier to each wireless termination device, wireless user terminals belonging to the same virtual network are connected to the same wireless termination device, and different virtual termination devices are connected. Wireless user terminals belonging to the network are connected to different wireless terminal devices. Accordingly, it is possible to logically separate communication of wireless user terminals belonging to different virtual networks. However, since it is necessary to assign a virtual network identifier to each wireless terminal device in a fixed manner, there is one for each virtual network. Wireless terminal equipment is required. In this case, even if no wireless user terminal belonging to the virtual network assigned to the wireless terminal device is connected, the wireless terminal device is occupied by the virtual network.
[0004]
In a frame communication network using such a virtual network, for example, when a host whose address is not registered in the switching hub performs communication, the switching hub determines the validity of the default VLAN configuration function and applies to a specific VLAN. There are things that involve a host. In addition, a technique is disclosed in which a VLAN server automatically assigns VLANs by determining a VLAN to which a host should belong from information such as the type of protocol (see Patent Document 1).
[0005]
Further, in order to provide an integrated policy enforcement service that integrates user authentication and QoS (service quality) provision, one or more data communication switches that receive user information and device information from a device are based on the information. A technique for enabling use of a network interface by obtaining user authentication information and QoS information from a policy server is disclosed (see Patent Document 2).
[0006]
Further, in a network management device that forms a MAC (Media Access Control) address-based VLAN, the device receives the MAC address of the newly connected network device, associates the MAC address with the VLAN group, and sets the MAC address. A technique is disclosed in which a VLAN can be easily formed by storing a database without requiring a network administrator to register a MAC address in advance (see Patent Document 3).
[0007]
[Patent Document 1]
JP 11-215152 A (paragraphs [0018] [0019] [0038])
[Patent Document 2]
JP 2002-223228 A (paragraphs [0013] [0019] [0020] [0035])
[Patent Document 3]
JP 2002-314573 A (paragraphs [0026] [0037] [0038] [0039])
[0008]
[Problems to be solved by the invention]
As described above, in the conventional frame communication network, one fixed virtual network set in advance for one wireless terminal device is formed. Therefore, the number of virtual networks that can be provided to the user is wireless. It was limited to the same number of termination devices. For this reason, there is a problem that it is difficult to improve the scalability of the number of contract virtual networks.
[0009]
The present invention has been made in view of such circumstances, and an object of the present invention is to provide a frame communication network that forms a virtual network and an authentication server that forms the frame communication network. It is an object of the present invention to provide a frame communication network and an authentication server that can be shared and improve the scalability of the number of contract virtual networks.
[0010]
[Means for Solving the Problems]
The invention of claim 1 includes a wireless user terminal having a user identifier, a wireless terminal device wirelessly connected to the plurality of wireless user terminals and transmitting a user authentication request from the wireless user terminal, and the plurality of wireless terminal devices. A frame that is received, transmits a user authentication request to the authentication server, receives a virtual network identifier from the authentication server, and is assigned to the user identifier of the wireless user terminal or the interface port to which the wireless terminal device is connected A transfer device and a user information table that is connected to the plurality of frame transfer devices and manages a virtual identifier to which a wireless user terminal belongs for each user identifier, and performs user authentication of the wireless user terminal and permits user authentication And an authentication server for transmitting a virtual network identifier to the frame transfer device. Each virtual network is logically divided so that communication is performed between a plurality of wireless user terminals having the same virtual network identifier, and the frame transfer apparatus wirelessly transmits a user frame transmitted from the wireless user terminal. In a frame communication network that receives via a termination device and transfers the user frame with the virtual network identifier added, the wireless termination device includes its own wireless termination device identifier and the user identifier of the wireless user terminal A function of generating a user authentication request frame and transmitting it to an authentication server via the frame transfer device, the authentication server including a wireless terminal identifier, a virtual network identifier corresponding to the wireless terminal identifier, and the wireless A wireless terminating device identifier table having the number of connected wireless user terminals connected to the wireless terminating device of the terminating device identifier; Receiving a user authentication request frame from a transfer device, extracting a virtual network identifier from the user authentication request frame, the user information table, and the wireless terminal device identifier table, and determining whether or not user authentication is possible. It is a feature. As a result, the wireless terminal device can notify the authentication server of its own wireless terminal device identifier in accordance with a request from the wireless user terminal connected to the wireless terminal device. The authentication server has a wireless terminal identifier table, so that the virtual network identifier assigned to the wireless terminal having the wireless terminal identifier and the number of wireless user terminals connected to the wireless terminal identifier Can be managed. Therefore, it is possible to freely assign a virtual network identifier to the wireless terminal device according to the wireless user terminal connected to the wireless terminal device.
[0011]
According to a second aspect of the present invention, in the frame communication network according to the first aspect, the authentication server searches the user information table using a user identifier of the user authentication request frame and corresponds to the user identifier. The virtual network identifier is extracted, the wireless termination device identifier table is searched using the wireless termination device identifier of the user authentication request frame, and the second virtual network identifier corresponding to the wireless termination device identifier is extracted, In the case where the first virtual network identifier and the second virtual network identifier coincide with each other, a function of permitting user authentication is provided. As a result, the wireless user terminal can be connected on the assumption that the virtual network identifier of the virtual network to which the wireless user terminal belongs has already been assigned to the wireless terminal device identifier.
[0012]
According to a third aspect of the present invention, in the frame communication network according to the second aspect, the authentication server rejects user authentication when the first virtual network identifier and the second virtual network identifier do not match. It has a function. As a result, wireless user terminals belonging to different virtual networks cannot be connected to the same wireless terminal device.
[0013]
According to a fourth aspect of the present invention, in the frame communication network according to the third aspect, when the authentication server extracts the second virtual network identifier, there is no wireless terminal identifier in the wireless terminal identifier table. In this case, user authentication is permitted, and the first virtual network identifier is attached to the wireless termination device identifier and stored in the wireless termination device identifier table. This makes it possible to assign a predetermined virtual network identifier to the wireless terminal device.
[0014]
According to a fifth aspect of the present invention, in the frame communication network according to any one of the first to fourth aspects, the authentication server includes a wireless terminal device that is wirelessly communicating with a wireless user terminal that leaves the frame communication network. A user disconnection request frame including a wireless termination device identifier of the wireless termination device is received via the frame transfer device, and information corresponding to the wireless termination device identifier of the user disconnection request frame is deleted from the wireless termination device identifier table. It has a function. As a result, it is possible to release a wireless terminal device that has been assigned a predetermined virtual network identifier.
[0015]
According to a sixth aspect of the present invention, in the frame communication network according to the fourth aspect, when the first virtual network identifier and the second virtual network identifier match the authentication server, the termination device identifier table When the second virtual network identifier is retrieved, the number of connected wireless user terminals corresponding to the wireless termination device identifier is added and the second virtual network identifier is extracted. When the device identifier does not exist, the number of connected wireless user terminals is held as 1, and when the user disconnection request frame is received, the number of connected wireless user terminals corresponding to the wireless terminal device identifier is subtracted and the subtraction is performed. When the result is 0, the wireless terminal has a function of deleting information corresponding to the wireless terminal identifier from the wireless terminal identifier table. As a result, the number of wireless user terminals connected to the wireless terminal device can be managed in accordance with the availability of user authentication and the user disconnection request.
[0016]
According to a seventh aspect of the present invention, in the frame communication network according to the sixth aspect, when the authentication server receives a user disconnection request frame and the subtraction result of the number of connected wireless user terminals is 0, The virtual network identifier assigned to the interface port is released, and when the subtraction result is not 0, the virtual network identifier is maintained.
[0017]
According to an eighth aspect of the present invention, a wireless user terminal having a user identifier, a wireless terminal device wirelessly connected to the plurality of wireless user terminals and having a wireless terminal device identifier, the plurality of wireless terminal devices are accommodated, and the wireless Communication between a plurality of wireless user terminals having a user identifier of a connected wireless user terminal or a virtual network identifier assigned to an interface port to which the wireless terminal device is connected and having the same virtual network identifier Frame transfer in which each virtual network logically divided into two is formed, a user frame transmitted from the wireless user terminal is received via a wireless terminal device, and the virtual network identifier is added to the user frame and transferred. A virtual identifier to which a wireless user terminal belongs is managed for each user identifier connected to the device and the plurality of frame transfer devices The authentication server in the frame communication network includes a user information table, and performs user authentication of the wireless user terminal and transmits a virtual network identifier to the frame transfer apparatus when user authentication is permitted. A wireless termination device identifier, a virtual network identifier corresponding to the wireless termination device identifier, a wireless termination device identifier table having the number of connected wireless user terminals connected to the wireless termination device of the wireless termination device identifier, and the wireless A function of receiving a user authentication request frame including the user identifier and the wireless terminal device identifier via the wireless terminal device and the frame transfer device in accordance with a user authentication request from a user terminal, the user authentication request frame, the user Extract virtual network identifier from information table and wireless terminal identifier table It is characterized in that it has a function of determining whether the user authentication.
[0018]
The invention according to claim 9 is the authentication server according to claim 8, wherein the user information table is searched using the user identifier of the user authentication request frame to extract a first virtual network identifier corresponding to the user identifier. And searching the wireless terminal identifier table using the wireless terminal identifier of the user authentication request frame to extract a second virtual network identifier corresponding to the wireless terminal identifier, and the first virtual network identifier And the second virtual network identifier coincide with each other, it has a function of permitting user authentication.
[0019]
A tenth aspect of the invention is characterized in that, in the authentication server according to the eighth aspect, when the first virtual network identifier and the second virtual network identifier do not match, the user authentication is rejected. It is what.
[0020]
According to an eleventh aspect of the present invention, in the authentication server according to the eighth aspect, when the second virtual network identifier is extracted, if no wireless termination device identifier exists in the wireless termination device identifier table, user authentication is performed. And has a function of holding the first virtual network identifier in the wireless termination device identifier table by binding the first virtual network identifier to the wireless termination device identifier.
[0021]
According to a twelfth aspect of the present invention, in the authentication server according to any one of the eighth to eleventh aspects, the wireless terminal device wirelessly communicates with a wireless user terminal that leaves the frame communication network. A function of receiving a user disconnection request frame including an end device identifier via the frame transfer device and deleting information corresponding to the wireless end device identifier of the user disconnect request frame from the wireless end device identifier table. It is what.
[0022]
A thirteenth aspect of the present invention is the authentication server according to the eleventh aspect, in the case where the first virtual network identifier and the second virtual network identifier match, the second virtual network in the termination device identifier table. When the number of connected wireless user terminals corresponding to the wireless termination device identifier when the identifier is searched is added and the second virtual network identifier is extracted, the wireless termination device identifier does not exist in the wireless termination device identifier table Holds the number of connected wireless user terminals as 1, and when a user disconnection request frame is received, subtracts the number of connected wireless user terminals corresponding to the wireless terminal identifier, and when the subtraction result is 0 The wireless terminal has a function of deleting information corresponding to the wireless terminal identifier from the wireless terminal identifier table.
[0023]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings.
[Description of configuration]
FIG. 1 is a schematic configuration diagram of a frame communication network according to an embodiment of the present invention. This frame communication network includes wireless user terminals 1-1 to 4-2, wireless termination devices 5-1 to 6-2, frame transfer devices 7-1 and 7-2 that are VLAN switches, and user authentication requests. And an authentication server 8 that is a Radius server that receives and manages VLAN information. The frame transfer device 7-1 is connected to the wireless termination devices 5-1, 6-1 and the authentication server 8 via the interface, and the frame transfer device 7-2 is also connected to the wireless termination devices 5-2, 6 via the interface. -2 and the authentication server 8. The frame transfer device 7-1 and the frame transfer device 7-2 are connected by a frame transfer path 9. The wireless user terminals 1-1 to 4-2, the wireless terminal devices 5-1 to 6-2, and the authentication server 8 correspond to IEEE802.1x / EAP-TLS authentication that regulates connection authentication of a communication network. Yes.
[0024]
The wireless terminal devices 5-1 to 6-2 have the function of performing wireless communication with the wireless user terminals 1-1 to 4-2 and the frame transfer devices 7-1 and 7-using their own MAC addresses as wireless terminal device identifiers. 2 has a function of notifying the authentication server 8 via 2. The frame transfer apparatuses 7-1 and 7-2 have a function of relaying the Radius authentication performed between the wireless terminal apparatuses 5-1 to 6-2 and the authentication server 8, and a user authentication permission transmitted from the authentication server 8. The VLAN-ID (virtual network identifier) included in the response frame is assigned to the identifier of the wireless user terminal 1-1 to 4-2 that has made a connection request or the interface port to which the wireless termination devices 5-1 to 6-2 are connected. The mapping function and the function of tagging the VLAN-ID of the VLAN to which the wireless user terminals 1-1 to 4-2 belong to the transfer frame and transferring the frames to each other via the frame transfer path 9.
[0025]
FIG. 2 is an internal configuration diagram of the authentication server 8 in the frame communication network shown in FIG. The authentication server 8 includes a VLAN switch connection unit 10, an 802.1x processing unit 11, and a wireless termination device identifier table 12. The VLAN switch connection unit 10 receives the user authentication request frame and the user disconnection request frame transmitted from the frame transfer apparatuses 7-1 and 7-2, and transfers them to the 802.1x processing unit 11, and 802.1x processing A function of receiving the user authentication permission response frame, the user authentication rejection response frame, and the user disconnection response frame transmitted from the unit 11 and transmitting them to the frame transfer apparatuses 7-1 and 7-2. The 802.1x processing unit 11 includes a dictionary DB 13 that holds “VLAN-ID” (Type: 26) in an integer attribute format, and information on the VLAN to which the user belongs for each user ID (user identifier). A VLAN-ID attribute “VLAN-ID” and a usersDB 14 that holds it as an attribute value. The details of dictionaryDB and usersDB are described in RFC 2138 that defines the specification of the protocol for user authentication, and will not be described here.
[0026]
As shown in FIG. 3, the wireless termination device identifier table 12 includes a wireless termination device identifier 20, a VLAN-ID 21, and a counter 22. A wireless termination device identifier that has already been assigned a VLAN-ID is represented as a wireless termination device identifier 20. In addition, the VLAN-ID assigned to the wireless terminal identifier 20 is stored in the VLAN-ID 21, and the number of wireless user terminals connected to the wireless terminal having the wireless terminal identifier is stored in the counter 22. .
[0027]
The 802.1x processing unit 11 receives a user authentication request frame from the VLAN switch connection unit 10, extracts a user ID and a wireless terminal device identifier from the user authentication request frame, and the user ID stored in the usersDB 14 A function of extracting the VLAN-ID to which the user belongs, a function of searching the wireless terminal identifier table 12 from the wireless terminal identifier, and extracting a VLAN-ID corresponding to the wireless terminal identifier, and whether user authentication is possible A function for determining user authentication, a user authentication permission response frame is generated when user authentication is permitted, a user authentication rejection response frame is generated when rejected, and the user authentication permission response frame and user authentication rejection response And a function of transferring the frame to the VLAN switch connection unit 10. Here, the function for determining whether or not user authentication is possible is that if the VLAN-ID extracted from the usersDB 14 and the VLAN-ID 21 extracted from the wireless terminal identifier table 12 match, authentication is permitted and the number of connected wireless user terminals “1” is added, and if they do not match, authentication is rejected. If there is no corresponding wireless termination device identifier in the wireless termination device identifier table 12, the VLAN-ID extracted from the users DB 14 with authorization is attached to the wireless termination device identifier, and the number of connected wireless user terminals is calculated. This is stored in the wireless terminal identifier table 12 as “1”. Note that the search method of the usersDB 14 and the method of generating the user authentication response frame are described in detail in RFC 2138, and thus description thereof is omitted here.
[0028]
In addition, the 802.1x processing unit 11 receives a user disconnection request frame from the VLAN switch connection unit 10, extracts a wireless termination device identifier from the user disconnection request frame, and wirelessly using the extracted wireless termination device identifier. The function of decrementing the counter 22 of the entry of the wireless terminal device identifier by referring to the terminal device identifier table 12 and information about the wireless terminal device identifier when the counter 22 becomes “0” Is deleted from the wireless terminal device identifier table 12, and a user disconnect response frame is generated and transferred to the VLAN switch connection unit 10.
[0029]
[Description of operation]
FIG. 4 is a diagram for explaining the operation of the frame communication network shown in FIG. The user ID of the user 1 who uses the wireless user terminal 1-2 is set to “user1”, and the VLAN-ID of the VLAN to which the user 1 who uses the wireless user terminal 1-2 has access right is set to “A” in advance. It is assumed that Similarly, the user IDs of the users 2, 3 and 4 who use the wireless user terminals 2-2, 3-2 and 4-2 are “user2”, “user3” and “user4”, respectively. The VLAN-IDs of the VLANs to which the users 2, 3 and 4 who use -2, 4-2 have access rights are set to "A", "B" and "C", respectively. Further, the ESS-ID of the wireless terminal device 5-2 is set to “ESS1”, the wireless terminal device identifier is set to the MAC address “mac1”, and the ESS-ID of the wireless terminal device 6-2 is set to “ESS2”. The device identifier is set to the MAC address “mac2”.
[0030]
Further, the users 1 and 3 who use the wireless user terminals 1-2 and 3-2 are already authenticated, respectively, the wireless user terminal 1-2 is connected to the wireless terminal device 5-2, and the wireless user terminal 3-2 is connected to the wireless user terminal 3-2. It is connected to the wireless terminal device 6-2. It is assumed that the users 1 to 4 recognize the ESS-IDs of the wireless terminal devices 5-2 and 6-2 in order to specify the wireless terminal devices 5-2 and 6-2.
[0031]
The users 1 to 4 use the wireless user terminals 1-2 to 4-2 to specify the ESS-ID of the wireless termination device 5-2 or 6-2 and connect to the wireless termination device 5-2 or 6-2 as a connection destination. Select. The wireless user terminals 1-2 to 4-2 perform EAP authentication on the wireless terminal devices 5-2 and 6-2 and notify the user ID. When transmitting the user authentication request frame to the authentication server 8, the wireless terminal devices 5-2 and 6-2 incorporate their own wireless terminal device identifiers into the frame. The frame transfer device 7-2 relays the EAP-TLS authentication performed between the wireless terminal devices 5-2 and 6-2 and the authentication server 8.
[0032]
FIG. 5 is an explanatory diagram of the operation of the authentication server 8 when the user 2 makes a user authentication request. The user authentication request frame S0 is transmitted from the wireless terminal device 5-2 to the authentication server 8 via the frame transfer device 7-2, and holds “user2” as the user ID and “mac1” as the wireless terminal device identifier. The VLAN switch connection unit 10 transfers the user authentication request frame S0 received from the frame transfer device 7-2 to the 802.1x processing unit 11. Upon receiving the user authentication request frame S0, the 802.1x processing unit 11 extracts the user ID “user2” from the user authentication request frame S0, searches the usersDB 14 using the user ID “user2” as a key, and searches the user 2 VLAN. -Extract ID "A". Further, the wireless termination device identifier “mac1” is extracted from the user authentication request frame S0, and the wireless termination device identifier table 40 is referenced using the wireless termination device identifier “mac1” as a key.
[0033]
Since the entry “mac1” of the wireless terminal identifier 20 in the wireless terminal identifier table 40 is hit and the VLAN-ID 21 “A” of the entry matches the VLAN-ID “A” of the user 2, the counter of the entry “1” is added to 22 and the wireless terminal identifier table 40 is updated to the wireless terminal identifier table 41 shown in FIG. Further, the user authentication permission response frame S1 is generated by incorporating the VLAN-ID “A” and transferred to the VLAN switch connection unit 10. The VLAN switch connection unit 10 transfers the user authentication permission response frame S1 received from the 802.1x processing unit 11 to the frame transfer device 7-2. Then, the frame transfer device 7-2 receives the user authentication permission response frame S1, and uses the VLAN-ID “A” added to the user authentication permission response frame S1 as the user identifier or wireless of the wireless user terminal 2-2. Maps to the interface port to which the terminating device 5-2 is connected.
[0034]
With this operation, the wireless user terminals 1-2 and 2-2 belonging to the VLAN with the same VLAN-ID “A” can share the wireless terminal device 5-2.
[0035]
FIG. 6 is an operation explanatory diagram of the authentication server 8 when the user 4 makes a user authentication request. The user authentication request frame S0 is transmitted from the wireless terminal device 6-2 to the authentication server 8 via the frame transfer device 7-2, and holds “user4” as the user ID and “mac2” as the wireless terminal device identifier. The VLAN switch connection unit 10 transfers the user authentication request frame S0 received from the frame transfer device 7-2 to the 802.1x processing unit 11. Upon receiving the user authentication request frame S0, the 802.1x processing unit 11 extracts the user ID “user4” from the user authentication request frame S0, searches the usersDB 14 using the user ID “user4” as a key, and searches the user 4 VLAN. -Extract ID "C". Further, the wireless terminal device identifier “mac2” is extracted from the user authentication request frame S0, and the wireless terminal device identifier table 40 is referred to using the wireless terminal device identifier “mac2” as a key.
[0036]
Since the entry “mac2” of the wireless terminal identifier 20 in the wireless terminal identifier table 40 is hit and the VLAN-ID 21 “B” of the entry does not match the VLAN-ID “C” of the user 4, the user authentication rejection response A frame S2 is generated and transferred to the VLAN switch connection unit 10. The VLAN switch connection unit 10 transfers the user authentication rejection response frame S2 received from the 802.1x processing unit 11 to the frame transfer device 7-2.
[0037]
With this operation, the wireless user terminals 3-2 and 4-2 belonging to VLANs with different VLAN-IDs “B” and “C” can prevent the wireless terminal device 6-2 from being shared. That is, the wireless user terminals 3-2 and 4-2 are not simultaneously wirelessly connected to the same wireless terminal device 6-2, and are wireless user terminals belonging to VLAN-ID “B” on the frame communication network. And a wireless user terminal belonging to VLAN-ID “C” cannot be communicated. That is, communication is not possible between wireless user terminals to which different VLAN-IDs belong.
[0038]
FIG. 7 is an operation explanatory diagram of the authentication server 8 when the user 3 makes a user disconnect request. The user disconnection request frame S3 is transmitted from the wireless terminal device 6-2 to the authentication server 8 via the frame transfer device 7-2, and holds “mac2” as the wireless terminal device identifier. The VLAN switch connection unit 10 transfers the user disconnection request frame S3 received from the frame transfer device 7-2 to the 802.1x processing unit 11. Upon receiving the user disconnection request frame S3, the 802.1x processing unit 11 extracts the wireless termination device identifier “mac2” from the user disconnection request frame S3, and uses the wireless termination device identifier “mac2” as a key as a wireless termination device identifier table. 41 is referred to.
[0039]
When the entry “mac2” of the wireless terminal identifier 20 in the wireless terminal identifier table 41 is hit and “1” is subtracted from the counter 22 of the entry, the value of the counter 22 becomes “0”, and the entry is deleted. The wireless terminal identifier table 41 is updated to the wireless terminal identifier table 42 shown in FIG. Also, a user disconnection response frame S4 is generated and transferred to the VLAN switch connection unit 10. The VLAN switch connection unit 10 transfers the user disconnection response frame S4 received from the 802.1x processing unit 11 to the frame transfer device 7-2. The frame transfer device 7-2 releases the VLAN-ID “B” mapped to the user identifier of the wireless user terminal 3-2 or the interface port to which the wireless terminal device 6-2 is connected. When the result of subtracting “1” from the counter 22 is not “0” and another wireless user terminal is connected to the wireless terminal device 6-2, the frame transfer device 7-2 determines that the wireless terminal device The VLAN-ID “B” mapped to the interface port to which the device 6-2 is connected is maintained without being released.
[0040]
With this operation, the wireless terminal device 6-2 occupied by the wireless user terminal 3-2 belonging to the VLAN-ID “A” can be released.
[0041]
FIG. 8 is an operation explanatory diagram of the authentication server 8 when the user 4 makes a user authentication request. The user authentication request frame S0 is transmitted from the wireless terminal device 6-2 to the authentication server 8 via the frame transfer device 7-2, and holds “user4” as the user ID and “mac2” as the wireless terminal device identifier. The VLAN switch connection unit 10 transfers the user authentication request frame S0 received from the frame transfer device 7-2 to the 802.1x processing unit 11. Upon receiving the user authentication request frame S0, the 802.1x processing unit 11 extracts the user ID “user4” from the user authentication request frame S0, searches the usersDB 14 using the user ID “user4” as a key, and searches the user 4 VLAN. -Extract ID "C". Further, the wireless termination device identifier “mac2” is extracted from the user authentication request frame S0, and the wireless termination device identifier table 42 is referenced using the wireless termination device identifier “mac2” as a key.
[0042]
Since an entry having “mac2” as a value in the wireless terminal identifier 20 in the wireless terminal identifier table 42 does not hit, the wireless terminal identifier “mac2” is set as the wireless terminal identifier 20, and the VLAN-ID “C” is set as VLAN−. An entry with ID 21 and a counter 22 value of “1” is generated, and the wireless terminal identifier table 42 is updated to the wireless terminal identifier table 43 shown in FIG. Also, the user authentication permission response frame S1 is generated by incorporating the VLAN-ID “C” and transferred to the VLAN switch connection unit 10. The VLAN switch connection unit 10 transfers the user authentication permission response frame S1 received from the 802.1x processing unit 11 to the frame transfer device 7-2. Then, the frame transfer device 7-2 receives the user authentication permission response frame S1, and uses the VLAN-ID “C” added to the user authentication permission response frame S1 as the identifier of the wireless user terminal 4-2 or the wireless terminal. Mapping to the interface port to which the device 6-2 is connected.
[0043]
With this operation, the user terminal 4-2 belonging to the VLAN with the VLAN-ID “C” can be newly wirelessly connected. That is, the wireless terminal 6-2 to which no wireless user terminal is wirelessly connected can be wirelessly connected to any wireless user terminal belonging to any VLAN.
[0044]
Although the embodiments have been described above, the present invention is not limited to the above-described embodiments, and various modifications can be made without departing from the scope of the invention, and the object of the present invention is achieved. Of course, it can be changed and mounted as long as the same effect can be obtained. For example, in the above embodiment, an example of a frame communication network in which the number of frame transfer devices that are VLAN switches is 2, the number of wireless termination devices is 4, the number of wireless user terminals is 8, and the number of users is 8 is shown. However, it does not limit the number of each. In the above embodiment, the authentication server is a Radius server, the frame transfer apparatus is a VLAN switch, and the authentication method is IEEE 802.1x / EAP-TLS authentication. However, the present invention is not limited to this. In the above embodiment, the frame transfer devices 7-1 and 7-2 and the wireless termination devices 5-1 to 6-2 are separate devices, but the functions and the like possessed by each device are configured as one device. You may make it do.
[0045]
【The invention's effect】
As described above, according to the present invention, the authentication server extracts the virtual network identifier from the user authentication request frame, the user information table, and the wireless terminal device identifier table, determines whether or not user authentication is possible, and the frame transfer device A virtual network identifier is assigned to a user identifier of a wireless user terminal or an interface port to which a wireless terminal device is connected. Therefore, according to the wireless user terminal connected to the wireless termination device, it becomes possible to freely assign a virtual network identifier to the wireless termination device, so that the wireless termination device is not occupied by a specific virtual network, An unused wireless terminal device can be used for wireless user terminals belonging to any virtual network. Therefore, the scalability of the number of contract virtual networks can be improved. Further, according to the present invention, since the wireless terminal device already connected to the wireless user terminal accepts only connection requests from wireless user terminals belonging to the same virtual network as the wireless user terminal, the wireless terminal device is It is not shared by wireless user terminals belonging to different virtual networks at the same time. For this reason, in the wireless user terminal connected to the frame communication network, it is possible to logically divide the communication of the wireless user terminal belonging to different virtual networks.
[Brief description of the drawings]
FIG. 1 is a schematic configuration diagram of a frame communication network according to an embodiment of the present invention.
FIG. 2 is an internal block diagram of an authentication server 8 in the frame communication network shown in FIG.
FIG. 3 is an internal configuration diagram of a wireless termination device identifier table 12;
4 is an operation explanatory diagram of the frame communication network shown in FIG. 1. FIG.
FIG. 5 is an operation explanatory diagram of the authentication server 8 when a user 2 makes a user authentication request.
FIG. 6 is an operation explanatory diagram of the authentication server 8 when a user 4 makes a user authentication request.
7 is an operation explanatory diagram of the authentication server 8 when a user 3 makes a user disconnect request. FIG.
FIG. 8 is an operation explanatory diagram of the authentication server 8 when a user 4 makes a user authentication request.
FIG. 9 is an explanatory diagram of a wireless termination device identifier table 12;
[Explanation of symbols]
1-4 users
1-1 to 4-2 Wireless user terminal
5-1 to 6-2 Wireless terminator
7-1, 7-2 Frame transfer device
8 Authentication server
9 Frame transfer path
10 VLAN switch connection
11 802.1x processor
12, 40, 41, 42, 43 Wireless termination device identifier table
13 dictionaryDB
14 usersDB
20 Wireless termination device identifier
21 VLAN-ID
22 counter
S0 User authentication request frame
S1 User authentication permission response frame
S2 User authentication rejection response frame
S3 User disconnect request frame
S4 User disconnect response frame

Claims (13)

ユーザ識別子を有する無線ユーザ端末と、前記複数の無線ユーザ端末と無線接続され、無線ユーザ端末からのユーザ認証要求を送信する無線終端装置と、前記複数の無線終端装置を収容し、ユーザ認証要求を受信して認証サーバに送信するとともに、該認証サーバから仮想網識別子を受信して前記無線ユーザ端末のユーザ識別子または前記無線終端装置が接続されているインターフェースポートに割り当てるフレーム転送装置と、前記複数のフレーム転送装置と接続され、前記ユーザ識別子毎に無線ユーザ端末が所属する仮想識別子を管理するユーザ情報テーブルを備え、前記無線ユーザ端末のユーザ認証を行い、ユーザ認証を許可する場合には仮想網識別子を前記フレーム転送装置に送信する認証サーバとを備え、前記仮想網識別子が同一となる複数の無線ユーザ端末間で通信を行うように論理的に分割したそれぞれの仮想網を形成し、前記フレーム転送装置が、前記無線ユーザ端末から送信されたユーザフレームを無線終端装置を介して受信し、該ユーザフレームに前記仮想網識別子を付加して転送するフレーム通信網において、前記無線終端装置は、自らの無線終端装置識別子と前記無線ユーザ端末のユーザ識別子とを含むユーザ認証要求フレームを生成して前記フレーム転送装置を介して認証サーバに送信する機能を有し、前記認証サーバは、無線終端装置識別子、該無線終端装置識別子に対応する仮想網識別子、及び前記無線終端装置識別子の無線終端装置と接続されている接続無線ユーザ端末数を有する無線終端装置識別子テーブルと、前記フレーム転送装置からユーザ認証要求フレームを受信し、該ユーザ認証要求フレーム、前記ユーザ情報テーブル及び前記無線終端装置識別子テーブルから仮想網識別子を抽出して、ユーザ認証の可否を決定する機能とを有することを特徴とするフレーム通信網。A wireless user terminal having a user identifier; a wireless terminal device that is wirelessly connected to the plurality of wireless user terminals and transmitting a user authentication request from the wireless user terminal; and the plurality of wireless terminal devices are accommodated, and a user authentication request is received. Receiving and transmitting to the authentication server, receiving a virtual network identifier from the authentication server and assigning it to a user identifier of the wireless user terminal or an interface port to which the wireless terminal device is connected; and A user information table that is connected to a frame transfer apparatus and manages a virtual identifier to which a wireless user terminal belongs for each user identifier, and performs user authentication of the wireless user terminal, and a virtual network identifier when user authentication is permitted And an authentication server for transmitting to the frame transfer device, the virtual network identifier is the same Each virtual network is logically divided so as to perform communication among a plurality of wireless user terminals, and the frame transfer device receives a user frame transmitted from the wireless user terminal via a wireless termination device. In the frame communication network in which the virtual network identifier is added to the user frame and transferred, the wireless terminal device generates a user authentication request frame including its own wireless terminal device identifier and the user identifier of the wireless user terminal. And transmitting to the authentication server via the frame transfer device, the authentication server including a wireless terminal identifier, a virtual network identifier corresponding to the wireless terminal identifier, and a wireless terminal of the wireless terminal identifier A wireless termination device identifier table having the number of connected wireless user terminals connected to the device, and a user from the frame transfer device. A frame having a function of receiving an authentication request frame, extracting a virtual network identifier from the user authentication request frame, the user information table, and the wireless terminal identifier table and determining whether or not user authentication is possible; Communication network. 請求項1に記載のフレーム通信網において、前記認証サーバは、前記ユーザ認証要求フレームのユーザ識別子を用いて前記ユーザ情報テーブルを検索して前記ユーザ識別子に対応する第1の仮想網識別子を抽出し、前記ユーザ認証要求フレームの無線終端装置識別子を用いて前記無線終端装置識別子テーブルを検索して前記無線終端装置識別子に対応する第2の仮想網識別子を抽出し、前記第1の仮想網識別子と第2の仮想網識別子とが一致する場合には、ユーザ認証を許可する機能を有することを特徴とするフレーム通信網。2. The frame communication network according to claim 1, wherein the authentication server searches the user information table using a user identifier of the user authentication request frame and extracts a first virtual network identifier corresponding to the user identifier. The wireless termination device identifier table of the user authentication request frame is searched to extract a second virtual network identifier corresponding to the wireless termination device identifier, and the first virtual network identifier and A frame communication network having a function of permitting user authentication when the second virtual network identifier matches. 請求項2に記載のフレーム通信網において、前記認証サーバは、前記第1の仮想網識別子と第2の仮想網識別子とが一致しない場合には、ユーザ認証を拒否する機能を有することを特徴とするフレーム通信網。3. The frame communication network according to claim 2, wherein the authentication server has a function of rejecting user authentication when the first virtual network identifier and the second virtual network identifier do not match. Frame communication network. 請求項3に記載のフレーム通信網において、前記認証サーバは、前記第2の仮想網識別子を抽出する際に、前記無線終端装置識別子テーブルに無線終端装置識別子が存在しない場合には、ユーザ認証を許可するとともに、前記第1の仮想網識別子を当該無線終端装置識別子に括り付けて前記無線終端装置識別子テーブルに保持する機能を有することを特徴とするフレーム通信網。4. The frame communication network according to claim 3, wherein when the second virtual network identifier is extracted, the authentication server performs user authentication if a wireless termination device identifier does not exist in the wireless termination device identifier table. A frame communication network characterized by permitting and having the function of holding the first virtual network identifier in the wireless terminal identifier table by binding the first virtual network identifier to the wireless terminal identifier. 請求項1から4のいずれか1項に記載のフレーム通信網において、前記認証サーバは、フレーム通信網から離脱する無線ユーザ端末と無線通信していた無線終端装置から、該無線終端装置の無線終端装置識別子を含むユーザ切断要求フレームを前記フレーム転送装置を介して受信し、該ユーザ切断要求フレームの無線終端装置識別子に対応する情報を前記無線終端装置識別子テーブルから削除する機能を有することを特徴とするフレーム通信網。5. The frame communication network according to claim 1, wherein the authentication server transmits a wireless terminal of the wireless terminal device from a wireless terminal device wirelessly communicating with a wireless user terminal that leaves the frame communication network. 6. It has a function of receiving a user disconnection request frame including a device identifier via the frame transfer device, and deleting information corresponding to the wireless termination device identifier of the user disconnection request frame from the wireless termination device identifier table. Frame communication network. 請求項4に記載のフレーム通信網において、前記認証サーバは、前記第1の仮想網識別子と第2の仮想網識別子とが一致する場合には、前記終端装置識別子テーブルにおける第2の仮想網識別子を検索した際の無線終端装置識別子に対応する接続無線ユーザ端末数を加算し、前記第2の仮想網識別子を抽出する際に、前記無線終端装置識別子テーブルに無線終端装置識別子が存在しない場合には、前記接続無線ユーザ端末数を1として保持し、ユーザ切断要求フレームを受信した場合には、無線終端装置識別子に対応する接続無線ユーザ端末数を減算し、該減算結果が0のときは前記無線終端装置識別子に対応する情報を無線終端装置識別子テーブルから削除する機能を有することを特徴とするフレーム通信網。5. The frame communication network according to claim 4, wherein, when the first virtual network identifier matches the second virtual network identifier, the authentication server uses a second virtual network identifier in the termination device identifier table. When the number of connected wireless user terminals corresponding to the wireless termination device identifier at the time of the search is added and the second virtual network identifier is extracted, if the wireless termination device identifier does not exist in the wireless termination device identifier table Holds the number of connected wireless user terminals as 1 and subtracts the number of connected wireless user terminals corresponding to the wireless terminating device identifier when a user disconnection request frame is received, and when the subtraction result is 0, A frame communication network having a function of deleting information corresponding to a wireless terminal identifier from the wireless terminal identifier table. 請求項6に記載のフレーム通信網において、前記フレーム転送装置は、認証サーバがユーザ切断要求フレームを受信して接続無線ユーザ端末数の減算結果が0の場合には、前記インターフェースポートに割り当てた仮想網識別子を解放し、前記減算結果が0でない場合には、前記仮想網識別子を維持することを特徴とするフレーム通信網。7. The frame communication network according to claim 6, wherein when the authentication server receives the user disconnection request frame and the subtraction result of the number of connected wireless user terminals is 0, the frame transfer device is configured to assign the virtual port assigned to the interface port. A frame communication network which releases a network identifier and maintains the virtual network identifier when the subtraction result is not 0. ユーザ識別子を有する無線ユーザ端末と、前記複数の無線ユーザ端末と無線接続され、無線終端装置識別子を有する無線終端装置と、前記複数の無線終端装置を収容し、前記無線接続された無線ユーザ端末のユーザ識別子または前記無線終端装置が接続されているインターフェースポートに割り当てた仮想網識別子を有し、該仮想網識別子が同一となる複数の無線ユーザ端末間で通信を行うように論理的に分割したそれぞれの仮想網を形成して前記無線ユーザ端末から送信されたユーザフレームを無線終端装置を介して受信し、該ユーザフレームに前記仮想網識別子を付加して転送するフレーム転送装置と、前記複数のフレーム転送装置と接続され、前記ユーザ識別子毎に無線ユーザ端末が所属する仮想識別子を管理するユーザ情報テーブルを備え、前記無線ユーザ端末のユーザ認証を行い、ユーザ認証を許可する場合には仮想網識別子を前記フレーム転送装置に送信する認証サーバとを備えるフレーム通信網における前記認証サーバであって、無線終端装置識別子、該無線終端装置識別子に対応する仮想網識別子、及び前記無線終端装置識別子の無線終端装置と接続されている接続無線ユーザ端末数を有する無線終端装置識別子テーブルと、前記無線ユーザ端末からのユーザ認証要求に従って、前記無線終端装置及びフレーム転送装置を介して、前記ユーザ識別子と無線終端装置識別子とを含むユーザ認証要求フレームを受信する機能と、該ユーザ認証要求フレーム、前記ユーザ情報テーブル及び前記無線終端装置識別子テーブルから仮想網識別子を抽出して、ユーザ認証の可否を決定する機能とを有することを特徴とする認証サーバ。A wireless user terminal having a user identifier, a wireless terminal device wirelessly connected to the plurality of wireless user terminals and having a wireless terminal device identifier, and a plurality of wireless terminal devices accommodated and wirelessly connected to the wireless user terminal Each of the user identifiers or a virtual network identifier assigned to the interface port to which the wireless termination device is connected, logically divided so as to communicate between a plurality of wireless user terminals having the same virtual network identifier A frame transfer apparatus that forms a virtual network and receives a user frame transmitted from the wireless user terminal via a wireless termination device, adds the virtual network identifier to the user frame and transfers the frame, and the plurality of frames A user information table that is connected to a transfer device and manages a virtual identifier to which a wireless user terminal belongs for each user identifier An authentication server in a frame communication network comprising: an authentication server for performing user authentication of the wireless user terminal and transmitting a virtual network identifier to the frame transfer device when user authentication is permitted; A wireless terminal identifier table having an identifier, a virtual network identifier corresponding to the wireless terminal identifier, the number of connected wireless user terminals connected to the wireless terminal of the wireless terminal identifier, and a user from the wireless user terminal A function of receiving a user authentication request frame including the user identifier and the wireless terminal device identifier via the wireless terminal device and the frame transfer device in accordance with an authentication request; the user authentication request frame; the user information table; Whether to authenticate the user by extracting the virtual network identifier from the terminal device identifier table Authentication server; and a function of determining. 請求項8に記載の認証サーバにおいて、前記ユーザ認証要求フレームのユーザ識別子を用いて前記ユーザ情報テーブルを検索して前記ユーザ識別子に対応する第1の仮想網識別子を抽出し、前記ユーザ認証要求フレームの無線終端装置識別子を用いて前記無線終端装置識別子テーブルを検索して前記無線終端装置識別子に対応する第2の仮想網識別子を抽出し、前記第1の仮想網識別子と第2の仮想網識別子とが一致する場合には、ユーザ認証を許可する機能を有することを特徴とする認証サーバ。9. The authentication server according to claim 8, wherein the user authentication table is searched using the user identifier of the user authentication request frame to extract a first virtual network identifier corresponding to the user identifier, and the user authentication request frame The second wireless network identifier corresponding to the wireless terminal identifier is extracted by searching the wireless terminal identifier table using the wireless terminal identifier, and the first virtual network identifier and the second virtual network identifier are extracted. An authentication server characterized by having a function of permitting user authentication when and match. 請求項8に記載の認証サーバにおいて、前記第1の仮想網識別子と第2の仮想網識別子とが一致しない場合には、ユーザ認証を拒否する機能を有することを特徴とする認証サーバ。9. The authentication server according to claim 8, further comprising a function of rejecting user authentication when the first virtual network identifier and the second virtual network identifier do not match. 請求項8に記載の認証サーバにおいて、前記第2の仮想網識別子を抽出する際に、前記無線終端装置識別子テーブルに無線終端装置識別子が存在しない場合には、ユーザ認証を許可するとともに、前記第1の仮想網識別子を当該無線終端装置識別子に括り付けて前記無線終端装置識別子テーブルに保持する機能を有することを特徴とする認証サーバ。9. The authentication server according to claim 8, wherein when extracting the second virtual network identifier, if a wireless termination device identifier does not exist in the wireless termination device identifier table, user authentication is permitted and An authentication server having a function of binding one virtual network identifier to the wireless termination device identifier and holding it in the wireless termination device identifier table. 請求項8から11のいずれか1項に記載の認証サーバにおいて、フレーム通信網から離脱する無線ユーザ端末と無線通信していた無線終端装置から、該無線終端装置の無線終端装置識別子を含むユーザ切断要求フレームを前記フレーム転送装置を介して受信し、該ユーザ切断要求フレームの無線終端装置識別子に対応する情報を前記無線終端装置識別子テーブルから削除する機能を有することを特徴とする認証サーバ。12. The authentication server according to any one of claims 8 to 11, wherein a user disconnection including a wireless termination device identifier of the wireless termination device from a wireless termination device that is wirelessly communicating with a wireless user terminal that leaves the frame communication network. An authentication server having a function of receiving a request frame via the frame transfer device and deleting information corresponding to a wireless termination device identifier of the user disconnection request frame from the wireless termination device identifier table. 請求項11に記載の認証サーバにおいて、前記第1の仮想網識別子と第2の仮想網識別子とが一致する場合には、前記終端装置識別子テーブルにおける第2の仮想網識別子を検索した際の無線終端装置識別子に対応する接続無線ユーザ端末数を加算し、前記第2の仮想網識別子を抽出する際に、前記無線終端装置識別子テーブルに無線終端装置識別子が存在しない場合には、前記接続無線ユーザ端末数を1として保持し、ユーザ切断要求フレームを受信した場合には、無線終端装置識別子に対応する接続無線ユーザ端末数を減算し、該減算結果が0のときは前記無線終端装置識別子に対応する情報を無線終端装置識別子テーブルから削除する機能を有することを特徴とする認証サーバ。12. The authentication server according to claim 11, wherein when the first virtual network identifier and the second virtual network identifier match, the wireless at the time of searching for the second virtual network identifier in the termination device identifier table. When the number of connected wireless user terminals corresponding to the terminal device identifier is added and the second virtual network identifier is extracted, if the wireless terminal device identifier does not exist in the wireless terminal device identifier table, the connected wireless user When the number of terminals is held as 1 and a user disconnection request frame is received, the number of connected wireless user terminals corresponding to the wireless termination device identifier is subtracted, and when the subtraction result is 0, the wireless termination device identifier is supported. An authentication server having a function of deleting information to be deleted from the wireless terminal identifier table.
JP2003031193A 2003-02-07 2003-02-07 Frame communication network and authentication server Expired - Fee Related JP3937331B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003031193A JP3937331B2 (en) 2003-02-07 2003-02-07 Frame communication network and authentication server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003031193A JP3937331B2 (en) 2003-02-07 2003-02-07 Frame communication network and authentication server

Publications (2)

Publication Number Publication Date
JP2004242180A JP2004242180A (en) 2004-08-26
JP3937331B2 true JP3937331B2 (en) 2007-06-27

Family

ID=32957860

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003031193A Expired - Fee Related JP3937331B2 (en) 2003-02-07 2003-02-07 Frame communication network and authentication server

Country Status (1)

Country Link
JP (1) JP3937331B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006033431A (en) * 2004-07-16 2006-02-02 Matsushita Electric Ind Co Ltd Access point control system and access point control method
CN1953607B (en) * 2005-10-17 2012-01-25 株式会社日立制作所 A method and device for switch-over in mobile network communication

Also Published As

Publication number Publication date
JP2004242180A (en) 2004-08-26

Similar Documents

Publication Publication Date Title
JP5497901B2 (en) Anonymous communication method, registration method, message sending / receiving method and system
CN100594476C (en) Method and apparatus for realizing network access control based on port
JP4142015B2 (en) User identification system, user identification device, user identification method, address translation device, and program
JP4754964B2 (en) Radio network control apparatus and radio network control system
WO2011049355A2 (en) Method and apparatus for providing service using personal network
US20100165993A1 (en) Operator Managed Virtual Home Network
US8665849B2 (en) Methods and systems for implementing inter-network roam, querying and attaching network
JP5536628B2 (en) Wireless LAN connection method, wireless LAN client, and wireless LAN access point
JP2002118562A (en) Lan which permits authentification rejected terminal to have access under specific conditions
WO2011044808A1 (en) Method and system for tracing anonymous communication
EP2218214B1 (en) Network location service
JP2008066907A (en) Packet communication device
JP4202286B2 (en) VPN connection control method and system
JP4253520B2 (en) Network authentication device and network authentication system
JP2012070225A (en) Network relay device and transfer control system
JP3937331B2 (en) Frame communication network and authentication server
JP3678166B2 (en) Wireless terminal authentication method, wireless base station, and communication system
WO2018101452A1 (en) Communication method and relay apparatus
JP5937563B2 (en) Communication base station and control method thereof
JP4094485B2 (en) User terminal connection control method and connection control server
US9749201B2 (en) Method and system for monitoring locator/identifier separation network
JP3154679U (en) Relay device and network system
KR101364796B1 (en) A communication system
WO2012089027A1 (en) Method and device for external network interworking for user terminals with multiple access methods
KR100948184B1 (en) Authentication system in wireless local area network and method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050119

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070313

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070315

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110406

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120406

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130406

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140406

Year of fee payment: 7

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees