JP4332000B2 - 統合無線認証システム - Google Patents
統合無線認証システム Download PDFInfo
- Publication number
- JP4332000B2 JP4332000B2 JP2003322622A JP2003322622A JP4332000B2 JP 4332000 B2 JP4332000 B2 JP 4332000B2 JP 2003322622 A JP2003322622 A JP 2003322622A JP 2003322622 A JP2003322622 A JP 2003322622A JP 4332000 B2 JP4332000 B2 JP 4332000B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- wireless
- lan
- unit
- ethernet frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は、電磁波を利用したインターネット接続において、耐妨害・侵入性を実現するための無線共用システムに関する。
近年、光ファイバ網が発達し、商業ビルを始め、居住マンションや一般住宅へ光ファイバが引かれている。従来は、光ファイバからルータまたはファイアウォールを介して、インターネットがイントラネットに繋がっている。最近は、光ファイバにかわって配線が不要な無線ルータが普及してきている。特に、無線LANは一般の住宅における利用が多く見られる。
無線LANの利点は、単にケーブルを引き回す手間が省けることだけでなく、無線が届く場所であれば原則的に何処でも利用できることにある。そのため、駅構内や喫茶店等の不特定多数の人が集まるところでは、無線LANとノートパソコンの組合せはインターネット利用の方法として適切な環境を提供しているといえる。
しかしながら、このような無線LANを利用するには、その無線LANの管理者が発行する、または、予め認めているID取得者のみが利用可能である(例えば特許文献1参照)。したがって、異なる管理の無線LANを利用するためには異なるIDが必要となり、位置透過性が特徴であるLANの有効性を生かすことが出来ない状態となっている。さらに、無線LANを一般的に提供している業者の設備がない一般住宅地では、各戸では無線LANが利用されている場合でも、一般的には他の人が使えない状況となっている。
たとえば、各無線ルータを誰でも利用できるように設定することは可能であるが、そうした場合、各無線ルータの所有者の機器構成等の情報が公開となり、接続機器の無断使用・ファイル等の覗きなどプライベートが守られない状況となる。このことがアクセスポイントの乱立をまねき、相互に干渉を発生させ不要な電波の発射をおこすため、周波数の有効利用を大きく妨げてきている。また、無線LAN使用者がインターネット内で迷惑行為を行った場合、外部からは無線ルータ所有者が行った行為と区別が付かず、迷惑行為の責任を追及するのは困難となる。
一方、無線通信は本質的には傍受される特質をもっていることは否めない。このために指向性を制御して不要な方向への電波の放射を抑圧する方法が考えられるが、本提案で考えている公衆無線LANシステムに適応するには、以下のような問題点を有する。
すなわち、無線において特定の方向に電波を放射するためにはアンテナや高周波ブロックのリソースを多く必要とし、全てのトラフィックに対して指向性制御を適応することは、無線ルータが大型化し経済的にも問題である。したがって、必要なセキュリティーレベルを判断し、アンテナや高周波ブロックのリソースを適応的にスケジューリングする必要がある。
ところが、このセキュリティーレベルの判断はアプリケーションと密接に関連するため、物理レベルに近いレイヤだけの情報では適切な判断を下すことができないという問題点がある。従って従来の技術では、問題となるセキュリティーレベルを判断した上で合理的にアンテナや高周波ブロックのリソースを配分することができず、公衆無線LANシステムの普及の大きな障害となっていた。
一方で、従来の無線周波数の管理はシステムごとに周波数を割り付ける、という方針のもとになされてきた。このため、アクセスポイントを設置したものが独占的にその周波数を使用することが起きている。このため、干渉局と共存できず、また認証などの重要な通信事項に対して有効な秘匿手段を提供できなかったという歴史的背景がある。そのため、独占的な電波の使用を排除し空間的にしかも適応的に周波数資源を管理し有効活用しようとする考えに基づく「アンテナ制御を含めた認証によるアクセスポイントの共用」という発想が必要である。しかし、これまでそのような技術が発表されたことはなかった。
この問題を解決するための一つの切り口としてアンテナシステムと認証システムを連携させる方法が考えられる。アンテナは、電波を空間に対して放射制御できる唯一の装置であり、電波の空間的分布を物理的に変更できる素子である。即ち、アンテナシステム以外のいかなる部分も空間に放射する電波の分布を制御することは出来ない。しかし、従来の技術ではアンテナシステムの制御は認証制御という上位のアプリケーションからの要求により適応的な制御がなされてはいなかった。
よって、従来の方法では、アプリケーションの要求からくるセキュリティーレベルを維持しつつ統合的な周波数資源の空間的高効率利用の実現が困難であり、将来のワイヤレス高速通信の大きな障害になっていた。即ち従来は、無線ルータ所有者の機器等のセキュリティと利便性を完全に確保しつつ、不特定多数に対する無線LANの利便性を追求する無線LANルータにより無線設備を共用し、周波数資源を共有することによりアクセスポイントの有効利用をはかることができないという問題点があった。
上記課題を解決するため、本発明の提供する統合無線認証システムは、各無線ルータの所有者の機器構成等のプライバシーを保護しつつ、各無線ルータの所有者以外の無線LAN使用者が当該各無線LANを利用してインターネットにアクセス可能とすることを目的とする。
また、本発明の統合無線認証システムは、無線LAN使用者が使用する使用電波の空間的、時間的、及び優先順序を管理するテーブル及び無線通信における当該通信相手の識別符号あるいは名称と電波の強さ、変調方式、方位角、仰角をテーブルとしてもつ統合無線認証システムを提供する。
更に本発明の統合無線認証システムは、無線通信システムに対して送受信もしくは送信または受信のどちらか一方を行うためのアンテナと無線周波数受信装置、あるいは無線周波数送信装置を、前記無線通信システムの送信と受信毎に使用電波の周波数、およびそれらの空間的な分布を制御する周波数ビーム空間割付制御機能を提供することを目的とする。
上記課題を解決するため、本発明の統合無線認証システムは、イーサネットフレームを受信する無線通信部と、前記無線通信部が受信したイーサネットフレームを認証するLAN認証部と、前記LAN認証部が認証に失敗したイーサネットフレームを該LAN認証部から受信し、該イーサネットフレームをIPカプセル化されたデータグラムとするVPN(Virtual Private Network)クライアントと、を備えた無線インターネット接続装置を含む。以下本明細書において、認証に失敗したイーサネットフレームをIPカプセル化したものを、IPカプセル化されたデータグラムという。
本発明の統合無線認証システムは、前記IPカプセル化されたデータグラムをインターネットを介して受信するVPNサーバと、前記VPNサーバから前記IPカプセル化されたデータグラムを送信可能な、インターネットと隔離されたVPNと、前記VPNを介して前記IPカプセル化されたデータグラムを受信し、これを前記イーサネットフレームへ変換し、該イーサネットフレームを公衆無線で利用可能の認証を実行する公衆無線認証部と、前記公衆無線認証部において認証に成功した前記イーサネットフレームを受信し、インターネットに接続する公衆無線ルータと、を備えたインターネット中継装置を含み得る。
本発明の統合無線認証システムは、前記無線通信部は高周波部又は無線信号処理部を備え、該高周波部又は無線信号処理部を外部装置から制御するためのインターネットプロトコルによる通信路は、前記公衆無線認証部が使用する通信路とは別に設けられることを特徴とする。
本発明の統合無線認証システムは、前記無線通信部はアンテナを有し、前記無線通信部の高周波部又は無線信号処理部を、前記インターネットプロトコルによる通信路を介して、前記外部装置により、前記アンテナの放射特性を遠隔的に制御することを特徴とする。
本発明の統合無線認証システムは、前記IPカプセル化されたデータグラムを適切なVPNへ送信するために、公衆無線で利用可能の前記公衆無線認証部の実行する認証の情報によって適切なVPNサーバアドレスが得られることを特徴とする。
本発明の統合無線認証システムは、前記公衆無線認証部の実行する認証によって無線利用者を特定することを特徴とする。
本発明の統合無線認証システムは、前記公衆無線認証部の実行する認証により、インターネットでの迷惑行為等利用者の責任と利用資源に応じた課金を可能とすることを特徴とする。
従って本発明の統合無線認証システムは、有線ネットワークを利用することが許可されていない無線LANクライアントのイーサネットフレームをインターネットに送信することが可能な統合無線認証システムであり、無線LANクライアントからインターネットに送信されたイーサネットフレームが必ずLAN認証装置あるいは公衆無線認証装置いずれかによって正当な利用者であることが認証によって保証され、公衆無線認証装置によって認証された利用者が行ったインターネット内での迷惑行為を無線ルータ所有者が行った行為と容易に区別でき、従って迷惑行為の責任の追及が可能となる。
本発明の統合無線認証システムは、前記IPカプセル化されたデータグラムの通過に対して、請求項1に記載のLAN認証部において認証に成功した内部フレームの通過を優先することを特徴とする。
即ち、本発明では、無線通信アクセスポイントが接続されている有線ネットワークを利用することが許可された無線LANクライアントのイーサネットフレーム送信をIPカプセル化されたデータグラムに対して優先し、利便性を保証する。
本発明の統合無線認証システムは、前記VPNクライアントにおいて、得られた適切なVPNサーバアドレスを期限付きに記録することを特徴とする。
本発明の統合無線認証システムは、前記LAN認証部が認証に成功したイーサネットフレームの通過を表示する内部フレーム表示部と、前記LAN認証部が認証に失敗したイーサネットフレームの通過を表示する外部フレーム表示部と、を具備するフレーム通過表示部を備えたフレーム通過表示装置を含み得る。
本発明の統合無線認証システムは、前記フレーム通過表示装置が更に、前記公衆無線認証部により認証されたイーサネットフレームにより通信中の局数を表示する局数表示部と、前記認証に成功したイーサネットフレームと認証に失敗したイーサネットフレームの割付け比率を変更することのできる比率変更手段と、を具備し得る。
従って本発明では、上記課題を解決するため、正当な有線LAN使用者でない者を認証した公衆無線認証装置と連結するVPNサーバをVPNクライアント装置に記録し、新たな認証作業への利用とその効率化とあいまって、VPNサーバの記録を時限的とすることにより公衆無線認証装置に認証された利用者による装置の専有化を防ぐと共に、当該利用者のプライバシーは守られる。
本発明の統合無線認証システムは、前記フレーム通過表示装置が更に、前記無線通信部に接続されたアンテナの向きを変更できる機構を具備し得る。
本発明の統合無線認証システムは、前記フレーム通過表示装置が更に、前記無線通信部に接続されたアンテナに平行に金属物を配置し、前記金属物と前記アンテナの相互の位置関係を変更するか、又は、前期位置関係を保ったまま前記アンテナと前記金属物の全体を回転あるいは角度の変更ができる機構を具備したことを特徴とする。前記金属物は金属板あるいは金属線であり得る。
本発明の統合無線認証システムは、前記フレーム通過表示装置が更に、前記内部フレーム及び外部フレームの割付け比率の設定値又は目標値となるよう前記無線通信部のアンテナの指向性制御を行うことを特徴とする。
即ち本発明の統合無線認証システムは、無線通信システムに対して送受信もしくは送信または受信の何れか一方を行うためのアンテナと無線周波数受信装置を備え、無線周波数送信装置を、上記無線通信システムの送信と受信毎に使用電波の周波数及び使用電波の空間的な分布を制御する周波数ビーム空間割付制御機能を備える。そして本発明の統合無線認証システムは、使用電波の空間的、時間的、および優先順序を管理するテーブルを備え、無線通信における当該通信相手の識別符号又は名称と電波の強さ、変調方式、方位角、仰角をテーブルとして有する。
従って本発明の統合無線認証システムは、送受信される無線周波数資源の分配管理を認証過程での要求条件を参照し、そのビーム制御および周波数資源の空間割り当てを行なうことができる。本発明の統合無線認証システムは、アプリケーションの要求に応じた認証過程における秘匿性を保ちつつ、有効な周波数資源の利用を図ることができる。
貸借有線LANの正規利用者の通信は無線通信部からLAN認証部へ送られ、そのままLAN内機器やインターネットに接続可能である。そうでない利用者通信はLAN認証部からVPNクライアント、ついで同サーバへ送られるのでLAN内機器に影響せず、LAN内機器等正規利用者のプライバシーは安全である。公衆無線認証装置で認証されれば、同通信はインターネットを利用可能である。さらに、認証過程の重要部分をアンテナ制御によって所望の局へ集中および対象外局へのビームの低減をおこない物理レベルでのセキュリティーを高めることができる。
以下に、本発明の統合無線認証システムの実施形態を図面を参照して説明する。
図1は本発明の第一の実施形態を示す統合無線認証システムのブロック図である。インターネット112にインターネット上のサーバ123が接続されていて、あるインターネット利用者が自身所有の有線LAN111をインターネットサービスを提供するブロードバンドルータ121を介してインターネット112に接続しているとする。またLAN内機器122は本来この利用者のみが専有して利用すべき機器であるとする。
本発明の統合無線認証システムを実施する機器は無線インターネット接続装置101と、インターネット中継装置102と、VPNサーバ表103と、からなる。それぞれ無線インターネット接続装置101は有線LAN111、インターネット中継装置102とVPNサーバ表103はインターネット112に接続されている。
有線LAN111の所有者あるいは所有者の許可を得た無線インターネット接続装置101の利用者(以下正当な有線LAN利用者と表記。)は、無線インターネット接続装置101を構成する無線通信部101aと、電磁波を用いて通信可能な無線LANクライアント100を用いてLAN内機器122あるいはインターネット上のサーバ123と通信を行い、そのサービスを享受することになる。正当な有線LAN利用者の用いる無線LANクライアント装置100はMACアドレス登録等の手法により認証可能であるとする。
正当な有線LAN利用者の無線LANクライアント装置100がIP(インターネットプロトコル)通信を行うことを考える。無線LANクライアント装置100のデータグラムは、通常通りイーサネット(R)のフレーム(以下イーサネットフレームと表記。)に乗せられて、無線通信部101aへ届く。無線通信部101aで受信されたイーサネットフレームは、無線インターネット接続装置101内部のLAN認証部101bに送られる。
LAN認証部101bでは、上記の方法でイーサネットフレームの認証を行い、認証に成功したものは直接有線LAN111へ送るものとする。これによって、正当な有線LAN利用者の無線LANクライアント装置100は通常通り有線LAN111と通信でき、従って、LAN内機器122のサービスを享受することができる。また、有線LAN111に接続されたブロードバンドルータ121を用いてインターネット112に接続でき、よってインターネット上のサーバ123のサービスを享受することもできる。尚、本発明においてルータはIPルータであれば、ブロードバンドルータ121に特に限定されるものではない。
正当な有線LAN利用者でない者(以下本明細書において、正当な有線LAN利用者以外の者を言う)の無線LANクライアント装置100のイーサネットフレームは、上記認証を成功させることはできない。ここでは認証に失敗したイーサネットフレームを破棄せずに、LAN認証部101bからVPNクライアント101cへ送り、ここで当イーサネットフレームGRE(Generic
Routing Encapsulation)等の手法でIPカプセル化し、特定のVPNサーバ102a宛のIPヘッダをつけるものとする。IPカプセル化によって当イーサネットフレームはデータグラムのデータ部となるため、これを有線LAN111へ送信しても他のLAN内機器122やインターネット上のサーバ123には到達できず、そのままブロードバンドルータ121を通じてVPNサーバ102aへ送信されることになる。
Routing Encapsulation)等の手法でIPカプセル化し、特定のVPNサーバ102a宛のIPヘッダをつけるものとする。IPカプセル化によって当イーサネットフレームはデータグラムのデータ部となるため、これを有線LAN111へ送信しても他のLAN内機器122やインターネット上のサーバ123には到達できず、そのままブロードバンドルータ121を通じてVPNサーバ102aへ送信されることになる。
以下、本明細書において、VPNクライアント101cとVPNサーバ102aの上記働きをトンネリングと称する。よって、正当な有線LAN利用者でない者の無線LANクライアント装置100がインターネット112に作用したり、ブロードバンドルータ121を介して直接インターネット上のサーバ123のサービスを利用することはありえない。
IPカプセル化されたデータグラムはVPNサーバ102aにより、インターネット112と隔離されたVPN(Virtual Private Network)113へ送信され、イーサフレームへ変換される。このイーサフレームをさらに公衆無線で利用可能かどうか公衆無線認証部102bで認証するものとする。以下、公衆無線認証部102bでの認証を公衆無線認証と称する。
認証機構や方式の原理は前述のLAN認証部101bと同様である。公衆無線認証できないイーサネットフレームは破棄し、認証済みイーサネットフレームのみを対象とし、そのデータグラムを公衆無線ルータ102cを通じてインターネット112へ送信する。これにより、インターネット112上のサーバ123へ到達可能なデータグラムは、LAN認証部101bあるいは公衆無線認証部102bのいずれかで必ず認証されていることが保証される。よって認証結果に応じて、インターネットでの迷惑行為等利用者の責任の追及と利用資源に応じた課金が可能となる。
VPNクライアント101cは同時に複数のVPNサーバ102aとトンネリングすることが可能であるので、複数のインターネット中継装置102を設置して、それぞれ異なった公衆無線認証を行うことができる。例えば組織ごとに組織構成員を認証するインターネット中継装置102を設置すれば、VPNクライアント101cは異なった組織の無線LANクライアント装置100の利用者それぞれに対して適切にトンネリングでき、従って組織ごとに認証された利用者が同時にインターネット接続を享受できる。
VPNサーバ表103は、複数の利用者それぞれについて公衆無線認証を行うべき対応表を保持するサーバであり、適切なVPNサーバ102aの識別子とVPNサーバ102aへのトンネリング方法を各VPNクライアント101cの要求に応じて提供するものである。ここで各VPNクライアント101cの要求とは、無線LANクライアント装置100のユーザを認証可能なVPNサーバ102aを探したいという要求である。
本発明においては、利用者や無線LANクライアント装置100は利用にあたって、LAN認証部101bに必ず認証情報を送信しなければならない。無線LANクライアント装置100の利用者が正当な有線LAN利用者でない場合、LAN認証部101bにどのような認証情報を送信しても認証を成功させることはあり得ないと考えられる。従って本発明ではLAN認証部101bに送信する認証情報として、公衆無線認証部102bで実行する認証の情報およびVPNサーバ表103を用いて認証可能なVPNサーバ102aの識別子とトンネリングの方法を得るための情報を結合した情報を送るものとする。これによって、LAN認証部101bでの認証が失敗した場合、LAN認証部101bに送信された結合情報を用いてVPNクライアント101cがVPNサーバ表103の表引きを行えば直ちに認証可能なVPNサーバ102aの識別子とトンネリングの方法が得られる。すなわち、IPカプセル化されたデータグラムを適切なVPN113へ送信するために公衆無線認証部102bの実行する認証の情報によって適切なVPNサーバアドレスを得るためには、VPNサーバ表103を用いて認証可能なVPNサーバ102aの識別子とトンネリングの方法を得るための情報を、公衆無線認証部102bで実行する認証の情報に含ませておけばよい。上述のような結合された認証情報の具体例を以下に説明する。
複数のVPNサーバ102aにて互いに同じ認証情報を用いないようにすれば、VPNサーバ表103の表引きによって認証可能なVPNサーバ102aの識別子とトンネリングの方法が得られる。まず、同じ認証情報を用いる例を以下に示す。
(例)
A大学VPNサーバ: 認証情報 nisimura
B大学VPNサーバ: 認証情報 nisimura
この例では、認証情報nisimura に対して複数のVPNサーバが対応しているため、認証情報だけでは一意にVPNサーバを定めることは出来ない。
(例)
A大学VPNサーバ: 認証情報 nisimura
B大学VPNサーバ: 認証情報 nisimura
この例では、認証情報nisimura に対して複数のVPNサーバが対応しているため、認証情報だけでは一意にVPNサーバを定めることは出来ない。
同じ認証情報を用いないようにするためにはさまざまな方法があるが、ここでは例えば1の手順で認証情報xを、2の手順で認証情報yを認証情報xに結合して認証情報y/xを作成する。
1. VPNサーバに一意な名前をつける。これは上記xの情報である。このとき名前xとVPNサーバ102aの対応はVPNサーバ表103に記録しておく。
(例)
A大学VPNサーバ: A’s
B大学VPNサーバ:B-u
2. 認証情報xにyを結合する。
(例)
A大学のnisimuraさんの認証情報: nisimura/A’s
B大学のnisimuraさんの認証情報: nisimura/B-u
以上二手順より、認証情報から一意にVPNサーバが特定できるような認証情報が構成できる。
1. VPNサーバに一意な名前をつける。これは上記xの情報である。このとき名前xとVPNサーバ102aの対応はVPNサーバ表103に記録しておく。
(例)
A大学VPNサーバ: A’s
B大学VPNサーバ:B-u
2. 認証情報xにyを結合する。
(例)
A大学のnisimuraさんの認証情報: nisimura/A’s
B大学のnisimuraさんの認証情報: nisimura/B-u
以上二手順より、認証情報から一意にVPNサーバが特定できるような認証情報が構成できる。
なお、以下のような変更、追加等を行っても、本発明の効果は同様である。
IPカプセル化の手法は例としてGREを挙げたが、EtherIPやIPv6-over-IPv4 configured tunnel等、VPNクライアント101cとVPNサーバ102a間でIPを用いてトンネリング可能な別手法を用いてもよい。
無線LANクライアント装置100と無線インターネット接続装置101間の通信、さらにトンネリングを介して無線LANクライアント装置100とVPN113の通信にはイーサネットフレームを利用したが、利用可能なパケット型データ通信方式であればパケットあるいはフレーム、あるいはデータグラムいずれを用いても同じ効果が得られる。特にデータグラムを用いる場合には、IPヘッダを書き換えて特定アドレスにデータグラムを送信するリダイレクト手法をトンネリングの代わりに利用してもよい。
VPN113はVPNサーバ102aと公衆無線認証部102b間でイーサネットフレームによるデータ通信ができれば十分で、データ通信を行う物理線かあるいはそれを模擬する別装置を用いても同じ効果が得られる。また、LAN認証部101bとVPNクライアント101cとはいずれも有線LAN111と接続されていればよく、その接続線は互いに分離していても共用しても構わない。
更に、VPNサーバ表103を利用するのはVPNクライアント101cのみであるので、VPNサーバ表103はVPNクライアント101cからアクセスできれば十分である。例えば各無線インターネット接続装置101専用のVPNサーバ表103が有線LAN111に接続されていてもよいし、無線インターネット接続装置101に内蔵されていてもよいし、無線LANクライアント装置100に内蔵されていてもよい。
LAN認証部101bや公衆無線認証部102bでの認証は、上記説明では各無線LANクライアント装置100のMACアドレスが世界唯一であることを利用して、事前登録したMACアドレスを持つイーサネットフレームのみを認証が成功したものとみなすことにしているが、他の方法でも本発明の効果は変わらない。例えばPoint-to-Point Protocol over Ethernet(R)のように、事前登録したIDとパスワードを接続時にユーザに入力させて認証を行う方式でも構わないし、IEEE802.1Xのような認証スキームを利用してもよい。
図2は本発明の上記実施形態とは別の実施形態を示す統合無線認証方式のブロック図であり、図1におけるVPNサーバ表103が無線インターネット接続装置101に内蔵されている場合の実施形態を表す。図2においては、インターネット212にインターネット上のサーバ223が接続されていて、あるインターネット利用者が自身所有の有線LAN211を、インターネットサービスを提供するブロードバンドルータ221を介してインターネット212に接続しているとする。またLAN内機器222は本来この利用者のみが専有して利用すべき機器であるとする。この時本発明を実施する機器は無線インターネット接続装置201とインターネット中継装置202からなり、それぞれ無線インターネット接続装置201は有線LAN211、インターネット中継装置202はインターネット212に接続されている。
正当な有線LAN利用者が無線インターネット接続装置201を構成する無線通信部201aと電磁波を用いて通信可能な無線LANクライアント装置200を用いてLAN内機器222あるいはインターネット上のサーバ223と通信を行い、そのサービスを享受する内容とその効果は本発明の上記実施形態と同じである。正当な有線LAN利用者の無線インターネット接続装置200のデータグラムはイーサネットフレームに乗せられて、無線通信部201aへ届き、無線インターネット接続装置201内部のLAN認証部201bで認証され、認証に成功したものは直接有線LAN211へ送られる。
正当な有線LAN利用者でない者の無線インターネット接続装置200のイーサネットフレームは上記認証に失敗するため、これをLAN認証部201bからVPNクライアント201cへ送ってIPカプセル化し、特定のVPNサーバ202a宛のIPヘッダをつける内容とその効果は本発明の上記実施形態と同じである。
IPカプセル化されたデータグラムを無線通信部201aにより、インターネット212と隔離されたVPN213へ送信し、変換したイーサネットフレームを公衆無線認証部202bで公衆無線認証し、認証済みイーサネットフレームのデータグラムのみを公衆無線ルータ202cを通じてインターネット212へ送信する内容とその効果は本発明の上記実施形態と同じである。
本発明の上記実施形態と同様、VPNクライアント201cは同時に複数のVPNサーバ202aとトンネリングすることが可能であるので、複数のインターネット中継装置202を設置して、それぞれ異なった公衆無線認証を行うことができる。また、VPNサーバ表201dは、複数の利用者それぞれについて公衆無線認証を行うべき対応表を保持し、適切なVPNサーバ202aの識別子とそのトンネリング方法をVPNクライアント201cの要求に応じて提供するものである。
以下、本発明の上記実施形態において、LAN認証部101b、201b、及び無線通信部101a、201aの具体的な実施例を図3〜図9を用いて説明する。
図3は本発明においてLAN認証部で認証されたイーサネットフレームをそうでないイーサネットフレームに優先して送受信する機構を説明する図である。図3は図1のLAN認証部101b又は図2のLAN認証部201bの内部を拡大したものである。すなわちLAN認証部300は三つの装置と二つの計測器からなり、図1の無線通信部101aあるいは図2の無線通信部201aと同じ働きを行う無線通信部321に接続されている。
また、ここで認証に失敗したイーサネットフレームを送信するVPNクライアントは図1のVPNクライアント101cあるいは図2のVPNクライアント201cと同じ働きを行うVPNクライアント322である。LAN認証部101b、201bの働きを実質的に行う装置をLAN認証器301と呼ぶ。すなわち301の働きは実施例1または2におけるLAN認証部101b、201bの働きと同じである。
LAN認証器301で認証されたイーサネットフレームは図1の有線LAN111、図2の有線LAN211と同様に有線LAN331へ送られる。LAN認証器301と有線LAN331との間のイーサネットフレーム量はトラフィックス計測器312で測定され、その測定結果は割付け比率制御装置302へ送られる。
同様にLAN認証器301は帯域制御装置303を介してVPNクライアント322と接続されており、LAN認証器301で認証に失敗したイーサネットフレームはVPNクライアント322へ送られる。LAN認証器301と帯域制御装置303との間のイーサネットフレーム量はトラフィックス計測器311で測定され、その測定結果は割付け比率制御装置302へ送られる。
本発明の第一の実施形態および第二の実施形態によればトラフィックス計測器312の測定結果が正当な利用者の通信量であり、トラフィックス計測器311の測定結果が正当な利用者でない者の通信量である。従って、両者の割合を勘案して後者が減少するように制御を行えば、LAN認証部で認証されたイーサネットフレームを認証されない(即ち、認証に失敗した)イーサネットフレームに優先して送受信することが可能となる。割付け比率制御装置302はその割合勘案を行うための制御装置であり、正当な利用者でない者の通信量は帯域制御装置303によって減少させることが可能である。従って正当な利用者の通信を優先させるためには、割付け比率制御装置302で帯域制御装置303を制御すればよい。帯域を制御する方法はClass Based Queuing、TCPレートコントロール、遅延やフレーム損失の挿入等を用いればよい。すなわち、無線インターネット接続装置において認証されたイーサネットフレームを優先することが可能となる。
なお、原理上通信路上に帯域制御装置303を挟めば帯域を制御することが可能であるので、帯域制御装置303の機能がVPNクライアント322あるいは図1のVPNサーバ102aあるいは図2のVPNサーバ202aに含まれていても、本発明の効果は変わらない。
図4は本発明の認証過程におけるアンテナ制御を説明する図である。図4における無線通信部401は図1における無線通信部101a及び図2における無線通信部201aに対応し、単数あるいは複数のアンテナ402、単数あるいは複数の高周波部403、無線信号処理部404とテーブル405によって構成される。指向性の制御を行うためには複数のアンテナを用いることが有利であることは自明である。高周波部403又は無線信号処理部401を外部装置から制御するためのインターネットプロトコルによる通信路は、図1及び図2に示す公衆無線認証部102b、202bが使用する通信路とは別に設けられる。無線通信部401はアンテナを有し、当該無線通信部401の高周波部403又は無線信号処理部404を、上記インターネットプロトコルによる通信路を介して、上記外部装置により、無線通信部401の有するアンテナの放射特性を遠隔的に制御する。
また、指向性の制御を無線通信において行うことも従来の技術で自明であるが、発明が解決しようとする課題で説明したように、従来の技術では無線LANルータ所有者の機器のセキュリティーと利便性を確保しつつ無線LANルータにより無線設備を共用し、周波数資源を共有することによりアクセスポイントの有効利用を図ることはできなかった。その理由はアンテナ制御とセキュリティーに関わる認証の過程が連動していなかった点である。
本発明ではアンテナで受信される無線信号の強度や頻度、パケット平均長および方位などの特徴をテーブル405に記憶しておく。LAN認証部は認証過程に関わるパケットが通過し、認証過程での重要度の識別が可能である。高周波部403では無線信号処理部404と協調して指向性の制御をおこなう。以下その手順を説明する。
アンテナ402では正当な有線LAN利用者とLANを貸借して使用する正当な有線LAN利用者でない者の両者の電波が受信されるが、本発明の無線LANシステムでは正当な有線LAN利用者でない者が発射する電波の頻度を直接的に制御することなくアンテナ402によって抑圧し、正当な有線LAN利用者のアクセスを有利となるよう制御をおこなう。このとき指向性の制御のための計算は時間の掛かるものがあるが、これは事前の電波の聴取と監視によりあらかじめサービスエリア内に存在する無線LANクライアントの電波の強度などの特徴をテーブル405に蓄積しておき、指向性制御のためのアダプティブ処理における初期値を決定するために利用する。
特に、重要な認証パケットを発射する場合には、当該無線LANクライアントの方向に主ビームを向ける指向性により通信する。また、あらかじめ取得してあるテーブルの蓄積結果にはLAN認証部で認証されず、正当な有線LAN利用者でない者の発射局に関わる電波の情報も記録される。また正当な有線LAN利用者でない者であって公衆無線認証部で認証されなかった利用者の発射局に関わる電波の情報も記録される。この記録により不適切局方向に認証過程での重要情報を与えないような指向性制御をおこなうことが可能となる。
一方で電波の干渉の状況は場所と周囲の無線局の電波の発射状況によって大きく異なっており、当該受信局の位置だけではなく、周囲の無線局のビーム形成の状態も、当該受信局が特定の電波を受信出来るか否かに大きな影響を与える。この点を鑑みると、信頼できる周囲の無線局とは電磁波の発射の一部の情報を共有することが、当該無線ゾーンでの周波数利用効率を高められる。ただし、この情報交換はあくまでも認証過程とは何らかの手段によって隔離された通信路であることがセキュリティー上のぞましい。このような通信路が確保できるときは、周囲にある複数の統合無線認証システムを利用した無線通信部が協調してビーム制御を行うことが可能である。
なお、このような指向性制御を常時行うことも可能であるが、これには次の2点によりその常時指向性制御をおこなうか否かが決められる。まず、常時指向性制御には無線信号処理部と高周波部のリソースを多く使用することになるという問題があり、その無線信号部と高周波部のハードウエアの規模とトラフィックに依存する。また前記不適切局の方向に適正な局が存在する場合に常時当該方向に抑圧指向性を形成するのは適切とは言いがたい。
本発明においては無線でのトラフィックの状況を把握できるだけでなく、無線通信部401はLAN認証部、VPNクライアント、VPNサーバ、公衆無線認証部と連携して認証過程の重要レベルを知りうる環境にある。従って、その重要レベルに応じたアンテナの指向性制御をセキュリティーを確保しながら行うことが可能である。これは本発明の大きな特徴であり、従来の技術では実現することが出来なかったものである。
第5図において、統合無線認証装置501は本発明の方式を用いた装置のパネルの実施例を示している。以下本明細書において、LAN認証部で認証されたイーサーネットフレームを内部フレームと、LAN認証部で認証に失敗したイーサーネットフレームを外部フレームという。
統合無線認証装置501のパネルには内部フレームの通過を表示する内部フレーム表示ランプ502(内部フレーム表示部)と、外部フレームの通過を表示する外部フレーム表示ランプ503(外部フレーム表示部)が具備されている。この表示装置により内部フレームと外部フレームの通過比率を直視的に把握することができる。
第6図に示す統合無線認証パネル600は、内部フレームのトラフィックと外部フレームのトラフィックの分配割付比率を設定する、内部トラフィックス割付け比率変化スイッチ603と外部トラフィックス割付け比率変化スイッチ604が設けられていることが特徴である。また公衆無線認証部により認証された通信を行っている無線LANクライアントの局数を表示する返信局数表示部602を具備することにより、本発明の統合無線認証システムを用いている無線設備の外部フレーム使用の割合を直視的に把握することができる。
第7図は統合無線認証パネル701を表し、アンテナ702の方向制御と内部フレーム通過表示装置703および外部フレーム通過表示装置704を組み合わせた例である。このような構成をもちいることでハードウエアの規模をおさえる条件のもとで、外部フレームのアクセスの条件を電波的に制限したい場合に、表示装置703及び704をみながら直視的に外部利用のアクセスの条件を設定できる。
第8図に示す統合無線認証装置801において、反射板804はアンテナ基部803上に立設された放射器802の回りに回転できるように保持されている。統合無線認証装置801は、図7に表す統合無線認証パネル701の内部フレーム通過表示装置703及び外部フレーム通過表示装置704を見ながら反射板804の放射器802に対する相対位置を変化させることにより、外部と内部のトラフィックの割合を変化させることができる。これにより実施例5で前述のような、外部フレームのアクセスの条件を電波的に制限することができる。尚、反射板804は線状であっても本発明の主旨を損ねることはない。
第9図は、第8図の統合無線認証装置801と同様、外部フレームのアクセスの条件を電波的に制限することができる、別のアンテナの具体的構造を有する統合無線認証装置901である。統合無線認証装置901はアンテナ902と、アンテナカバー903と、反射器又は導波器である904とから構成される。統合無線認証装置901は八木宇田アンテナの原理により、統合無線認証装置801と同様に手動によって適切および不適切無線LANクライアントを選択する設定を直視的に行なうことができる。
その他、本発明は、その主旨を逸脱しない範囲で当業者の知識に基づき種々の改良、修正、変更を加えた態様で実施できるものである。
本発明は、電磁波を利用したインターネット接続において、耐妨害・侵入性を実現するための無線共用システムに利用し得る。
100:無線LANクライアント装置
101:無線インターネット接続装置
101a:無線通信部
101b:LAN認証部
101c:VPNクライアント
102:インターネット中継装置
102a:VPNサーバ
102b:公衆無線認証部
102c:公衆無線ルータ
103:VPNサーバ表
111:有線LAN
112:インターネット
113:VPN
121:ブロードバンドルータ
122:LAN内機器
123:インターネット上のサーバ
200:無線LANクライアント装置
201:無線インターネット接続装置
201a:無線通信部
201b:LAN認証部
201c:VPNクライアント
201d:VPNサーバ表
202:インターネット中継装置
202a:VPNサーバ
202b:公衆無線認証部
202c:公衆無線ルータ
211:有線LAN
212:インターネット
213:VPN
221:ブロードバンドルータ
222:LAN内機器
223:インターネット上のサーバ
300:LAN認証部
301:LAN認証器
302:割付け比率制御装置
303:帯域制御装置
311:トラフィックス計測器
312:トラフィックス計測器
321:無線通信部
322:VPNクライアント
331:有線LAN
401:無線通信部
402:アンテナ
403:高周波部
404:無線信号処理部
405:テーブル
501:統合無線認証装置
502:内部フレーム表示ランプ(内部フレーム表示部)
503:外部フレーム表示ランプ(外部フレーム表示部)
600:統合無線認証パネル
601:パケット表示ランプ
602:返信局数表示部
603:内部トラフィックス割付け比率変化スイッチ
604:外部トラフィックス割付け比率変化スイッチ
701:統合無線認証パネル
702:アンテナ
703:内部フレーム通過表示装置
704:外部フレーム通過表示装置
801:統合無線認証装置
802:放射器
803:アンテナ基部
804:反射板(線)
901:統合無線認証装置
902:アンテナ
903:アンテナカバー
904:反射器(線)又は導波器(線)
101:無線インターネット接続装置
101a:無線通信部
101b:LAN認証部
101c:VPNクライアント
102:インターネット中継装置
102a:VPNサーバ
102b:公衆無線認証部
102c:公衆無線ルータ
103:VPNサーバ表
111:有線LAN
112:インターネット
113:VPN
121:ブロードバンドルータ
122:LAN内機器
123:インターネット上のサーバ
200:無線LANクライアント装置
201:無線インターネット接続装置
201a:無線通信部
201b:LAN認証部
201c:VPNクライアント
201d:VPNサーバ表
202:インターネット中継装置
202a:VPNサーバ
202b:公衆無線認証部
202c:公衆無線ルータ
211:有線LAN
212:インターネット
213:VPN
221:ブロードバンドルータ
222:LAN内機器
223:インターネット上のサーバ
300:LAN認証部
301:LAN認証器
302:割付け比率制御装置
303:帯域制御装置
311:トラフィックス計測器
312:トラフィックス計測器
321:無線通信部
322:VPNクライアント
331:有線LAN
401:無線通信部
402:アンテナ
403:高周波部
404:無線信号処理部
405:テーブル
501:統合無線認証装置
502:内部フレーム表示ランプ(内部フレーム表示部)
503:外部フレーム表示ランプ(外部フレーム表示部)
600:統合無線認証パネル
601:パケット表示ランプ
602:返信局数表示部
603:内部トラフィックス割付け比率変化スイッチ
604:外部トラフィックス割付け比率変化スイッチ
701:統合無線認証パネル
702:アンテナ
703:内部フレーム通過表示装置
704:外部フレーム通過表示装置
801:統合無線認証装置
802:放射器
803:アンテナ基部
804:反射板(線)
901:統合無線認証装置
902:アンテナ
903:アンテナカバー
904:反射器(線)又は導波器(線)
Claims (4)
- イーサネットフレームを受信する無線通信部と、
前記無線通信部が受信したイーサネットフレームを認証するLAN認証器を備えたLAN認証部と、
前記LAN認証部において、認証されたイーサネットフレームの通信量を計測するトラフィックス計測器と、
前記LAN認証部において、認証に失敗したイーサネットフレームの通信量を計測するトラフィックス計測器と、
前記認証に失敗したイーサネットフレームの帯域を制御する帯域制御装置と、
認証されたイーサネットフレームの通信量と認証に失敗したイーサネットフレームの通信量の割付け比率から、前記帯域制御装置を制御する割付け比率制御装置と、
前記LAN認証部が認証に失敗したイーサネットフレームを該LAN認証部から受信し、該イーサネットフレームをIPカプセル化されたデータグラムとし、該データグラムのIPヘッダをVPNサーバ宛のIPヘッダに書き換えるリダイレクト手法により送信するVPNクライアントと、
を備えた無線インターネット接続装置を含み、
前記IPカプセル化されたデータグラムをインターネットを介して受信するVPNサーバと、
前記VPNサーバから前記IPカプセル化されたデータグラムを送信可能な、インターネットと隔離されたVPNと、
前記VPNを介して前記IPカプセル化されたデータグラムを受信し、これを前記イーサネットフレームへ変換し、該イーサネットフレームを公衆無線で利用可能の認証を実行する公衆無線認証部と、
前記公衆無線認証部において認証に成功した前記イーサネットフレームを受信し、インターネットに接続する公衆無線ルータと、
を備えたインターネット中継装置を複数含み、LAN認証部および各公衆無線認証部で異なる認証をおこない、
前記帯域制御装置と割付け比率制御装置は、認証に失敗したイーサネットフレームの通過に対して、認証されたイーサネットフレームの通過を優先することを特徴とし、
前記無線通信部はアンテナ、高周波部、無線信号処理部、およびテーブルを備え、
前記テーブルには、サービスエリア内の無線LANクライアントの電波の特徴および情報が蓄積され、
前記テーブルを利用して高周波部と無線信号処理部がアンテナの指向性を制御し、
前記LAN認証部で認証をおこなうパケットが通過し、認証過程での重要度の識別をおこない、
前記アンテナの指向性の制御は、前記認証をおこなうパケットが発射する場合に、認証をおこなう無線LANクライアントの方向に主ビームを向け、かつ、前記割付け比率に応じて認証に失敗したイーサネットフレームの通信量を制限するようにおこない、
統合無線認証システム。 - 前記IPヘッダの書き換えられるデータグラムを適切なVPNへ送信するために、前記公衆無線認証部が実行する公衆無線で利用可能の認証の情報によって適切なVPNサーバアドレスが得られることを特徴とする請求項1に記載の統合無線認証システム。
- 前記公衆無線認証部の実行する認証によって無線利用者を特定することを特徴とする請求項2に記載の統合無線認証システム。
- 前記VPNクライアントにおいて、得られた請求項2に記載の適切なVPNサーバアドレスを期限付きに記録することを特徴とする請求項2または3に記載の統合無線認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003322622A JP4332000B2 (ja) | 2003-09-16 | 2003-09-16 | 統合無線認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003322622A JP4332000B2 (ja) | 2003-09-16 | 2003-09-16 | 統合無線認証システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005094184A JP2005094184A (ja) | 2005-04-07 |
| JP4332000B2 true JP4332000B2 (ja) | 2009-09-16 |
Family
ID=34453917
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003322622A Expired - Fee Related JP4332000B2 (ja) | 2003-09-16 | 2003-09-16 | 統合無線認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4332000B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE502005008978D1 (de) * | 2005-12-16 | 2010-03-25 | Siemens Ag | Verfahren zur Übertragung von auf dem Ethernet-Übertragungsprotokoll basierenden Datenpaketen zwischen zumindest einer mobilen Kommunkationseinheit und einem Kommunikationssystems |
| JP2008113213A (ja) * | 2006-10-30 | 2008-05-15 | Brains Corp | VoIP通話無線アクセスポイント用端末 |
-
2003
- 2003-09-16 JP JP2003322622A patent/JP4332000B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005094184A (ja) | 2005-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7342906B1 (en) | Distributed wireless network security system | |
| US7124197B2 (en) | Security apparatus and method for local area networks | |
| US7174564B1 (en) | Secure wireless local area network | |
| US7448076B2 (en) | Peer connected device for protecting access to local area networks | |
| JP4639195B2 (ja) | コンピュータ機器のローカルエリアネットワークに付随する選択空域をモニターする方法とシステム | |
| US7316031B2 (en) | System and method for remotely monitoring wireless networks | |
| US7913080B2 (en) | Setting information distribution apparatus, method, program, and medium, authentication setting transfer apparatus, method, program, and medium, and setting information reception program | |
| US5699513A (en) | Method for secure network access via message intercept | |
| US7496094B2 (en) | Method and system for allowing and preventing wireless devices to transmit wireless signals | |
| US20060114863A1 (en) | Method to secure 802.11 traffic against MAC address spoofing | |
| EP1502463B1 (en) | Method , apparatus and computer program product for checking the secure use of routing address information of a wireless terminal device in a wireless local area network | |
| US20020157007A1 (en) | User authentication system and user authentication method used therefor | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| JP3780282B2 (ja) | エリアネットワークにおけるセキュリティ | |
| US20020138635A1 (en) | Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations | |
| US20090119762A1 (en) | WLAN Access Integration with Physical Access Control System | |
| US6742039B1 (en) | System and method for connecting to a device on a protected network | |
| EP1284558B1 (en) | Method and apparatus for protecting electronic commerce sites from distributed denial-of-service attacks | |
| JP4332000B2 (ja) | 統合無線認証システム | |
| Schmid et al. | An access control architecture for microcellular wireless IPv6 networks | |
| KR20040004724A (ko) | 프록시 게이트웨이를 제공하는 무선랜 서비스 시스템 및그 방법 | |
| KR101821794B1 (ko) | 보안 ip 통신 서비스를 제공하기 위한 장치, 방법 및 통신 시스템 | |
| Wong | Performance investigation of secure 802.11 wireless LANs: Raising the security bar to which level? | |
| CN103002441A (zh) | 一种端到端的无线安全架构系统和方法 | |
| Macaulay | Hardening IEEE 802.11 wireless networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060915 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081212 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081219 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090219 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20090417 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090420 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20090420 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090604 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090619 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120626 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20180626 Year of fee payment: 9 |
|
| LAPS | Cancellation because of no payment of annual fees |