JP4584776B2 - ゲートウェイ装置およびプログラム - Google Patents
ゲートウェイ装置およびプログラム Download PDFInfo
- Publication number
- JP4584776B2 JP4584776B2 JP2005169824A JP2005169824A JP4584776B2 JP 4584776 B2 JP4584776 B2 JP 4584776B2 JP 2005169824 A JP2005169824 A JP 2005169824A JP 2005169824 A JP2005169824 A JP 2005169824A JP 4584776 B2 JP4584776 B2 JP 4584776B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- wireless lan
- authentication
- client terminal
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims description 160
- 238000012545 processing Methods 0.000 claims description 135
- 238000000034 method Methods 0.000 claims description 72
- 238000012546 transfer Methods 0.000 claims description 35
- 230000005764 inhibitory process Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 description 37
- 230000005540 biological transmission Effects 0.000 description 20
- 238000009826 distribution Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 230000004044 response Effects 0.000 description 8
- 238000001914 filtration Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
Images
Description
したがって、パケット通信開始時には、無線LAN通信方式における無線LANクライアント端末に対するレイヤ2(OSI参照モデル)での認証処理と、ゲートウェイ装置における無線LANクライアント端末に対するレイヤ3(OSI参照モデル)での認証処理の2つの認証処理が行われる(例えば、非特許文献1など参照)。
まず、無線LANクライアント端末が無線LANアクセスポイント装置に対してIEEE802.1X認証手順にしたがった認証要求を送信し、この認証要求を受信した無線LANアクセスポイント装置が認証サーバに対して認証要求を送信する。これに応じて認証サーバから認証成功という認証応答を受信した場合、無線LANアクセスポイント装置は、その無線LANクライアント端末について認証成功とする。
このようにしてIDおよびパスワードの正当性が確認された場合、ゲートウェイ装置は無線LANクライアント端末について認証成功とし、無線LANクライアント端末とホスト間の通信を許可する。
したがって、無線LANアクセスポイント装置での通信可否を判断するためにIEEE802.1X認証手順にしたがったレイヤ2での認証処理と、ゲートウェイ装置での通信可否を判断するために無線LANクライアント端末のIDおよびパスワードを用いたレイヤ3での認証処理とを別個に行う場合と比較して、パケット通信開始までに時間を大幅に短縮できるとともに、利用者の操作負担を軽減できる。
[第1の実施の形態]
まず、図1を参照して、本発明の第1の実施の形態にかかるゲートウェイ装置について説明する。図1は、本発明の第1の実施の形態にかかるゲートウェイ装置が適用される無線LANシステムの構成を示すブロック図である。
この無線LANシステムは、ゲートウェイ装置1、無線LANクライアント端末2、無線LANアクセスポイント装置3、スイッチ4、認証サーバ装置5、IPアドレス割当装置6、ルータ7、相手先ホスト装置8、およびパケット通信網9から構成されている。
無線LANアクセスポイント装置3は、無線通信機能を有するパケット転送装置からなり、無線区間を介して無線LANクライアント端末2を収容する機能と、無線LANクライアント端末2で送受信するパケットを相互に転送する機能と、IEEE802.1X認証手順にしたがった認証処理を行う機能とを有している。
相手先ホスト装置8は、パケット通信機能を有するサーバ装置からなり、パケット通信網9を介してパケット通信を行う機能と、このパケット通信により接続された無線LANクライアント端末2などの通信端末に対して各種情報通信サービスを提供する機能とを有している。
IPアドレス割当装置6は、パケット通信機能を有するサーバ装置からなり、認証サーバ装置5での認証が得られた無線LANクライアント端末2に対して、パケット通信網9を介したパケット通信に用いるIPアドレスの割当処理を行う機能を有している。
ルータ7は、レイヤ3(OSI参照モデル)でのスイッチング処理を行うパケット転送装置であり、認証サーバ装置5やIPアドレス割当装置6をゲートウェイ装置1に接続する際、必要に応じて用いられる。
次に、図2を参照して、本発明の第1の実施の形態にかかるゲートウェイ装置の構成について詳細に説明する。図2は、本発明の第1の実施の形態にかかるゲートウェイ装置の構成を示すブロック図である。
このゲートウェイ装置1には、パケット受信部11、フィルタ処理部12、パケット処理部13、フィルタ制御部15、ルーティング処理部16、およびパケット送信部17が設けられている。またパケット処理部13は、パケット受信処理部13A、認証情報取得部13B、IP情報取得部13C、およびパケット送信処理部13Dから構成されている。
例えばIEEE802.1X認証手順としてEAP−TTLS(Extensible Authentication Protocol−Tunneled Transport Layer Security)方式を用いる場合、無線LANクライアント端末2との間についてはこのTLSトンネルを介して制御用パケットにより認証情報や認証結果がやり取りされる。また、認証サーバ装置5とは認証用パケットを用いてこれら認証情報や認証結果がやり取りされる。
パケット送信部17は、専用回路部からなり、IP情報取得部13C、パケット送信処理部13D、およびルーティング処理部16から引き渡された各種パケットを、無線LANアクセスポイント装置3、認証サーバ装置5、IPアドレス割当装置6、およびパケット通信網9へそれぞれ送信する機能を有している。
次に、図3を参照して、本発明の第1の実施の形態にかかるゲートウェイ装置の動作として、フィルタ処理部12におけるパケット振り分け動作について詳細に説明する。図3は、フィルタ処理部でのパケット振り分け処理を示すフローチャートである。
また、当該パケットが認証サーバ装置5から送信された認証処理のための制御用パケットである場合(ステップ102:YES)、そのパケットを認証情報取得部13Bに引き渡し(ステップ103)、一連のパケット振り分け処理を終了する。
また、当該パケットの送信元アドレスあるいは送信先アドレスがフィルタ制御部からフィルタをオープンするように指定されたアドレスである場合(ステップ106:YES)、そのパケットをパケット送信部17に引き渡し(ステップ107)、一連のパケット振り分け処理を終了する。
また、当該パケットが上記の4つの条件のいずれにも合致しないパケットの場合(ステップ106:NO)、そのパケットを廃棄し(ステップ108)、一連のパケット振り分け処理を終了する。
次に、図4および図5を参照して、本発明の第1の実施の形態にかかるゲートウェイ装置のパケット通信制御動作について詳細に説明する。図4は、本発明の第1の実施の形態にかかるゲートウェイ装置のパケット通信制御動作を示すシーケンス図である。図5は、本発明の第1の実施の形態にかかるゲートウェイ装置のパケット通信制御動作(続き)を示すシーケンス図である。以下では、IEEE802.1X認証手順としてEAP−TTLS方式を用いる場合を例として説明する。
これに応じて無線LANクライアント端末2から送信されたEAPレスポンスに応じて(ステップ110)、無線LANアクセスポイント装置3は、Radiusアクセスリクエストを制御用パケットによりゲートウェイ装置1へ送信する(ステップ111)。
この後、パケット受信処理部13Aは、TLS手順の開始を通知するRadiusアクセスチャレンジの内容をパケット送信処理部13Dへ引き渡し、パケット送信部17から無線LANアクセスポイント装置3に対して送信する(ステップ113)。
これにより、無線LANクライアント端末2と無線LANアクセスポイント装置3の間で用いる暗号鍵(WEPキー)を両者で共有することになる。
ゲートウェイ装置1は、無線LANクライアント端末2からのDHCP手順に応じた制御用パケットを受信し、フィルタ処理部12によりルーティング処理部16を介してパケット送信部17からIPアドレス割当装置6へ転送する。また、IPアドレス割当装置6からのDHCP手順に応じた制御用パケットを受信し、フィルタ処理部12によりルーティング処理部16を介してパケット送信部17から無線LANクライアント端末2へ転送する。
したがって、無線LANアクセスポイント装置での通信可否を判断するためにIEEE802.1X認証手順にしたがったレイヤ2での認証処理と、ゲートウェイ装置での通信可否を判断するために無線LANクライアント端末のIDおよびパスワードを用いたレイヤ3での認証処理とを別個に行う場合と比較して、パケット通信開始までに時間を大幅に短縮できるとともに、利用者の操作負担を軽減できる。
次に、図8を参照して、本発明の第2の実施の形態にかかるゲートウェイ装置について説明する。図8は、第2の実施の形態にかかるゲートウェイ装置の構成を示すブロック図であり、図2と同じまたは同等部分には同一符号を付してある。
前述の図2と比較して、通信相手先情報14Bが追加されている。この通信相手先情報14Bは、無線LANクライアント端末2がゲートウェイ装置1を介してパケット通信可能な相手先を情報を示す情報であり、記憶部に予め格納されている。なお、このほかの構成については、第1の実施の形態と同様であり、ここでの詳細な説明は省略する。
図9は、アドレス情報を用いた通信相手先情報の構成例である。ここでは、グループごとに、無線LANクライアント端末2が接続可能な相手先ホスト装置8を示す通信相手先情報として、相手先ホスト装置8のIPアドレスさらにはそのポート番号からなるアドレス情報が1つ以上設定されている。
なお、通信相手先情報14Bについては、これらアドレス情報やポート番号に限定されるものではなく、他の情報を用いてもよい。また、通信相手先情報14Bは1種類だけ用いてもよく、例えばアドレス番号とポート番号など複数の組み合わせてもよい。
フィルタ制御部15は、図5のステップ153においてフィルタポリシー情報を生成する際、当該無線LANクライアント端末2のクライアント情報14Aからグループ番号を取得して、そのグループに対応する通信相手先情報14を参照し、フィルタポリシー情報を生成する。
Claims (6)
- 無線LANクライアント端末を収容する無線LANアクセスポイント装置、相手先ホスト装置が接続されているパケット通信網、前記無線LANクライアント端末について認証処理を行う認証サーバ装置、および前記認証処理の認証成功後に前記無線LANクライアント端末による前記パケット通信網を介したパケット通信で用いる端末IPアドレスのアドレス割当処理を行うIPアドレス割当装置に接続されて、前記認証処理の結果に応じて前記無線LANクライアント端末によるパケット通信の可否を制御するゲートウェイ装置であって、
前記無線LANクライアント端末に対するパケット通信制御に用いる各種情報を記憶する記憶部と、
前記無線LANクライアント端末もしくは前記無線LANアクセスポイント装置と前記認証サーバ装置および前記IPアドレス割当装置との間で前記認証処理や前記アドレス割当処理で用いる各種制御用パケットを相互に転送し、前記認証処理で用いる前記制御用パケットから前記無線LANクライアント端末に関する端末識別情報および前記認証処理の認証結果を取得して前記記憶部へ格納し、前記認証処理の認証成功に応じた前記無線LANアクセスポイント装置でのパケット転送許可後に行われた前記アドレス割当処理で用いる前記制御用パケットから、前記無線LANクライアント端末に割り当てられた前記端末IPアドレスを取得して前記記憶部へ格納するパケット処理部と、
前記無線LANクライアント端末と前記相手先ホスト装置との間のパケット通信でやり取りする通信用パケットを相互に転送する際、前記記憶部の前記端末識別情報、前記認証結果、および前記IP端末アドレスから生成したフィルタポリシー情報に基づいて、前記通信用パケットに含まれている当該無線LANクライアント端末の端末識別情報および端末IPアドレスに応じた転送可否制御を行うフィルタ処理部と
を備えることを特徴とするゲートウェイ装置。 - 請求項1に記載のゲートウェイ装置において、
前記パケット処理部は、前記無線LANアクセスポイント装置からの制御用パケットから当該無線LANクライアント端末に固有の端末識別情報を取得し前記記憶部へ格納する端末識別情報取得部と、前記認証サーバ装置からの制御用パケットから前記無線LANクライアント端末に対する認証結果を取得して前記記憶部へ格納する認証情報取得部と、前記IPアドレス割当装置からのアドレス通知用のための制御用パケットから前記端末IPアドレスを取得して前記記憶部へ格納するIPアドレス取得部とを有する
ことを特徴とするゲートウェイ装置。 - 請求項1に記載のゲートウェイ装置において、
前記パケット処理部は、前記無線LANアクセスポイント装置からの制御用パケットから前記認証処理のための認証情報を取得し前記認証サーバ装置で用いる認証用パケットに格納して転送し、前記認証サーバ装置からの認証用パケットから認証結果を取得し制御用パケットに格納して転送する
ことを特徴とするゲートウェイ装置。 - 請求項1に記載のゲートウェイ装置において、
前記フィルタ処理部は、前記端末識別情報または端末IPアドレスが一致しない場合、当該通信用パケットを破棄することを特徴とするゲートウェイ装置。 - 請求項1に記載のゲートウェイ装置において、
前記記憶部は、前記無線LANクライアント端末が通信可能な相手先ホスト装置を示す通信相手先情報を記憶し、
前記フィルタ処理部は、前記通信用パケットに含まれている通信相手先情報と前記記憶部の通信相手先情報とを比較し、その比較結果に応じて当該通信用パケットの転送可否制御を行う
ことを特徴とするゲートウェイ装置。 - 無線LANクライアント端末を収容する無線LANアクセスポイント装置、相手先ホスト装置が接続されているパケット通信網、前記無線LANクライアント端末について認証処理を行う認証サーバ装置、および前記認証処理の認証成功後に前記無線LANクライアント端末による前記パケット通信網を介したパケット通信で用いる端末IPアドレスのアドレス割当処理を行うIPアドレス割当装置に接続されて、前記認証処理の結果に応じて前記無線LANクライアント端末によるパケット通信の可否を制御するゲートウェイ装置のコンピュータに、
前記無線LANクライアント端末に対するパケット通信制御に用いる各種情報を記憶部で記憶する記憶ステップと、
前記無線LANクライアント端末もしくは前記無線LANアクセスポイント装置と前記認証サーバ装置および前記IPアドレス割当装置との間で前記認証処理や前記アドレス割当処理で用いる各種制御用パケットを相互に転送する制御用パケット転送ステップと、
前記認証処理で用いる前記制御用パケットから前記無線LANクライアント端末に関する端末識別情報および前記認証処理の認証結果を取得して前記記憶部へ格納し、前記認証処理の認証成功に応じた前記無線LANアクセスポイント装置でのパケット転送許可後に行われた前記アドレス割当処理で用いる前記制御用パケットから、前記無線LANクライアント端末に割り当てられた前記端末IPアドレスを取得して前記記憶部へ格納するパケット処理ステップと、
前記無線LANクライアント端末と前記相手先ホスト装置との間のパケット通信でやり取りする通信用パケットを相互に転送するフィルタ処理ステップと、
前記記憶部の前記端末識別情報、前記認証結果、および前記IP端末アドレスから生成したフィルタポリシー情報に基づいて、前記通信用パケットに含まれている当該無線LANクライアント端末の端末識別情報および端末IPアドレスに応じた転送可否制御を行う転送可否制御ステップと
を実行させるプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005169824A JP4584776B2 (ja) | 2005-06-09 | 2005-06-09 | ゲートウェイ装置およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005169824A JP4584776B2 (ja) | 2005-06-09 | 2005-06-09 | ゲートウェイ装置およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006345302A JP2006345302A (ja) | 2006-12-21 |
JP4584776B2 true JP4584776B2 (ja) | 2010-11-24 |
Family
ID=37641909
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005169824A Active JP4584776B2 (ja) | 2005-06-09 | 2005-06-09 | ゲートウェイ装置およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4584776B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5153480B2 (ja) * | 2008-06-27 | 2013-02-27 | 三菱電機株式会社 | ゲートウェイ装置およびパケットフィルタリング方法 |
JP6106558B2 (ja) * | 2013-08-30 | 2017-04-05 | アラクサラネットワークス株式会社 | 通信システム及び認証スイッチ |
CN110650076B (zh) | 2018-06-26 | 2021-12-24 | 华为技术有限公司 | Vxlan的实现方法,网络设备和通信系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003324457A (ja) * | 2002-05-01 | 2003-11-14 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御装置、方法、プログラムおよび記録媒体 |
JP2005051436A (ja) * | 2003-07-31 | 2005-02-24 | Canon Inc | ネットワーク機器 |
-
2005
- 2005-06-09 JP JP2005169824A patent/JP4584776B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003324457A (ja) * | 2002-05-01 | 2003-11-14 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御装置、方法、プログラムおよび記録媒体 |
JP2005051436A (ja) * | 2003-07-31 | 2005-02-24 | Canon Inc | ネットワーク機器 |
Also Published As
Publication number | Publication date |
---|---|
JP2006345302A (ja) | 2006-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7673146B2 (en) | Methods and systems of remote authentication for computer networks | |
JP4713338B2 (ja) | セルラ通信システムにおいて再認証を可能にする方法および装置 | |
AU2003243680B2 (en) | Key generation in a communication system | |
JP4701172B2 (ja) | リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法 | |
US8335490B2 (en) | Roaming Wi-Fi access in fixed network architectures | |
US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
US7788705B2 (en) | Fine grained access control for wireless networks | |
US8509440B2 (en) | PANA for roaming Wi-Fi access in fixed network architectures | |
US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
US20090063851A1 (en) | Establishing communications | |
KR101002799B1 (ko) | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 | |
EP1755271B1 (en) | A method for realizing the synchronous authentication among the different authentication control devices | |
US20070269048A1 (en) | Key generation in a communication system | |
WO2014117525A1 (zh) | 静态用户终端认证处理方法及装置 | |
JP2011141877A (ja) | 通信システムにおける認証 | |
JP2006524017A (ja) | 公的認証サーバで無線lanアクセスを制御するidマッピング機構 | |
JP2006086907A (ja) | 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム | |
KR100707805B1 (ko) | 사용자 및 인증자별로 제어할 수 있는 인증 시스템 | |
US20040010713A1 (en) | EAP telecommunication protocol extension | |
WO2007022731A1 (fr) | Procede, systeme et equipement de negociation de cle de cryptage dans une trame de verification universelle amelioree | |
WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
JP3792648B2 (ja) | 無線lanの高速認証方式及び高速認証方法 | |
JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
KR100527632B1 (ko) | Ad-hoc 네트워크의 게이트웨이에서 사용자 인증시스템 및 그 방법 | |
KR100527631B1 (ko) | Ad-hoc 네트워크의 단말기에서 사용자 인증 시스템및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071204 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100125 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100413 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100611 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100831 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100902 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4584776 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130910 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140910 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |