JP4689225B2 - Wireless network system, wireless terminal accommodating device, and communication device - Google Patents
Wireless network system, wireless terminal accommodating device, and communication device Download PDFInfo
- Publication number
- JP4689225B2 JP4689225B2 JP2004302103A JP2004302103A JP4689225B2 JP 4689225 B2 JP4689225 B2 JP 4689225B2 JP 2004302103 A JP2004302103 A JP 2004302103A JP 2004302103 A JP2004302103 A JP 2004302103A JP 4689225 B2 JP4689225 B2 JP 4689225B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication information
- wireless terminal
- authentication
- terminal accommodating
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、ネットワーク上に無線端末の認証を行う認証サーバが配置される無線ネットワークシステム、前記無線ネットワークシステムにおける通信ネットワークを構成する無線端末収容装置及び通信装置に関する。 The present invention relates to a wireless network system in which an authentication server for performing authentication of a wireless terminal on a network, a wireless terminal accommodating device and a communication device that constitute a communication network in the wireless network system.
ネットワーク上に無線端末の認証を行う認証サーバが配置される無線ネットワークシステムとしては、例えば、特許文献1に開示されたものが知られている。即ち、特許文献1では、ネットワーク上に認証サーバを有する無線LANシステムにおいて、クライアント端末が、最初にネットワークへの接続を行ったアクセスポイントとは異なるアクセスポイントの通信可能範囲に移動した場合に、移動先のアクセスポイントを介した通信が可能になるまでの時間を短縮したり、通信を可能にするための処理を削減したりすることを目的として、クライアント端末が第1のアクセスポイントを介してネットワークに接続することを既に許可された後、クライアント端末が第2のアクセスポイントの通信可能範囲に移動した場合には、クライアント端末は第2のアクセスポイントを介して所定の認証手続きを行うことなく、ネットワークに接続することが許可されるようにした通信システムが開示されている。
上記の特許文献に記載の技術では、アクセスポイント間を移動する端末が、移動後のアクセスポイントを通して認証サーバにIDとパスワードとを送信するので、一つの認証サーバに対し多数のアクセスポイントがぶら下がっている無線ネットワークシステムでは、次のような問題がある。 In the technology described in the above patent document, since a terminal that moves between access points transmits an ID and a password to the authentication server through the moved access point, a large number of access points are hung from one authentication server. The wireless network system has the following problems.
即ち、一つの認証サーバに多数の認証要求が同時に上がってくる構成であるので、認証サーバの負荷が重くなるおそれがある。また、ネットワークのエッジ付近にあるアクセスポイントを通しての認証要求の場合には、伝送遅延が問題になる。したがって、新しいアクセスポイントで暗号通信を開始できるまでに時間が掛かることが予想される。 That is, since a large number of authentication requests are simultaneously sent to one authentication server, there is a possibility that the load on the authentication server becomes heavy. In the case of an authentication request through an access point near the edge of the network, transmission delay becomes a problem. Therefore, it is expected that it will take time before the encrypted communication can be started at the new access point.
本発明は、かかる点に鑑みてなされたものであり、認証サーバの負荷の軽減と認証時間の短縮が図れ、かつ高い確率で新しいアクセスポイントから短時間内に暗号化通信が開始できる機構を備えた無線ネットワークシステム、無線端末収容装置及び通信装置を提供することを目的とする。 The present invention has been made in view of this point, and includes a mechanism that can reduce the load on the authentication server and the authentication time, and can start encrypted communication within a short time from a new access point with high probability. Another object of the present invention is to provide a wireless network system, a wireless terminal accommodating device, and a communication device.
かかる課題を解決するために、本発明に係る無線ネットワークシステムは、無線端末のアクセスポイントである複数の無線端末収容装置と、前記複数の無線端末収容装置を束ねて通信ネットワークを構成する多数の通信装置と、前記通信ネットワーク上に配置され前記無線端末収容装置に接続して暗号化通信を企図する無線端末の認証を行う認証サーバとを具備する無線ネットワークシステムにおいて、前記認証サーバは、前記無線端末収容装置に最初に接続した無線端末についての認証に成功したとき認証成功通知を送信する手段を具備し、無線端末が最初に接続した前記無線端末収容装置及びこの無線端末収容装置に前記認証成功通知を中継転送する経路に存在する前記通信装置は、それぞれ、前記認証成功通知から前記無線端末が用いる認証情報を取り出して保存する手段を具備する構成を採る。 In order to solve this problem, a wireless network system according to the present invention includes a plurality of wireless terminal accommodating devices that are access points of wireless terminals and a large number of communications that constitute a communication network by bundling the plurality of wireless terminal accommodating devices. In the wireless network system comprising: a device; and an authentication server arranged on the communication network and connected to the wireless terminal accommodating device to authenticate a wireless terminal intended for encrypted communication, the authentication server includes the wireless terminal Means for transmitting an authentication success notification when a wireless terminal first connected to the accommodating device is successfully authenticated, and the wireless terminal accommodating device to which the wireless terminal is first connected and the authentication success notification to the wireless terminal accommodating device; Are used by the wireless terminal from the authentication success notification, respectively. A configuration having a means for storing is taken out authentication information.
この構成によれば、無線端末が最初に認証サーバの認証を受けると、認証情報を通信ネットワーク内に保持することができる。 According to this configuration, when the wireless terminal is first authenticated by the authentication server, the authentication information can be held in the communication network.
本発明に係る無線ネットワークシステムは、上記の発明において、前記無線端末から認証要求を受けた移動先の無線端末収容装置は、認証情報取得要求を作成して前記通信ネットワークに送信し、前記通信ネットワークから受信した認証情報取得応答から前記無線端末が用いる認証情報を取り出して保存するとともに、前記無線端末に認証応答を送信する手段を具備し、前記移動先の無線端末収容装置が前記通信ネットワークに送信した前記認証情報取得要求を前記認証サーバに向けて中継転送する経路に存在する前記通信装置のうち前記無線端末が用いる認証情報を保時する通信装置は、前記認証情報取得応答を作成して前記移動先の無線端末収容装置に向けて送信する手段を具備する構成を採る。 The wireless network system according to the present invention is the wireless network system according to the present invention, wherein the destination wireless terminal accommodating apparatus that has received the authentication request from the wireless terminal creates an authentication information acquisition request and transmits the request to the communication network. The authentication information used by the wireless terminal is extracted from the authentication information acquisition response received from the wireless terminal, stored, and transmitted to the wireless network. The destination wireless terminal accommodating apparatus transmits the authentication response to the wireless network. The communication device that maintains the authentication information used by the wireless terminal among the communication devices that exist in the path for relaying and forwarding the authentication information acquisition request to the authentication server creates the authentication information acquisition response and A configuration including means for transmitting to the destination wireless terminal accommodating apparatus is adopted.
この構成によれば、移動してきた無線端末に必要な認証情報は、認証サーバからではなく、通信ネットワーク内から得ることができるので、認証サーバの処理負荷の軽減が図れる。また、アクセスポイントの位置による伝送遅延の問題も解消することができる。 According to this configuration, the authentication information necessary for the wireless terminal that has moved can be obtained from the communication network, not from the authentication server, so that the processing load on the authentication server can be reduced. In addition, the problem of transmission delay due to the position of the access point can be solved.
本発明に係る無線ネットワークシステムは、上記の発明において、前記認証情報取得応答を作成して送信した通信装置は、認証情報削除要求を作成して前記無線端末が最初に接続した無線端末収容装置に向けて送信する手段を具備し、前記無線端末が最初に接続した無線端末収容装置は、前記認証情報削除要求を受信して保持している認証情報を削除するとともに、認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した通信装置に向けて送信する手段を具備する構成を採る。 In the wireless network system according to the present invention, in the above invention, the communication device that has created and transmitted the authentication information acquisition response creates an authentication information deletion request, and the wireless device accommodating device to which the wireless terminal is first connected A wireless terminal accommodating apparatus that is first connected to the wireless terminal receives the authentication information deletion request, deletes the authentication information held therein, and creates an authentication information deletion response. The authentication information deletion request is generated and transmitted to the communication apparatus that has transmitted the request.
この構成によれば、移動前の無線端末収容装置が保持していた古い認証情報は削除することができる。 According to this configuration, old authentication information held by the wireless terminal accommodating apparatus before movement can be deleted.
本発明に係る無線ネットワークシステムは、上記の発明において、前記無線端末が最初に接続した無線端末収容装置が送信する認証情報削除応答を中継転送する経路に存在する通信装置のうち認証情報を保持する通信装置は、その保持する認証情報を削除する手段を具備する構成を採る。 In the wireless network system according to the present invention, in the above invention, the authentication information is held among communication devices existing in a path for relaying and forwarding an authentication information deletion response transmitted by the wireless terminal accommodating device to which the wireless terminal is first connected. The communication apparatus employs a configuration including means for deleting the authentication information held therein.
この構成によれば、通信ネットワーク内に保持した古い認証情報は削除することができる。 According to this configuration, old authentication information held in the communication network can be deleted.
本発明に係る無線ネットワークシステムは、上記の発明において、前記認証情報取得応答を作成して送信した通信装置は、認証情報削除要求を作成して前記無線端末が最初に接続した無線端末収容装置に向けて送信する手段を具備し、前記無線端末が最初に接続した無線端末収容装置は、前記認証情報削除要求を受信して認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した通信装置に向けて送信するとともに、保持している認証情報を一定時間経過後に削除する手段を具備する構成を採る。 In the wireless network system according to the present invention, in the above invention, the communication device that has created and transmitted the authentication information acquisition response creates an authentication information deletion request, and the wireless device accommodating device to which the wireless terminal is first connected A wireless terminal accommodating apparatus that is first connected to the wireless terminal, receives the authentication information deletion request, generates an authentication information deletion response, and generates and transmits the authentication information deletion request. And a means for deleting the authentication information held after elapse of a predetermined time.
この構成によれば、移動前の無線端末収容装置が保持していた古い認証情報は一定時間内保持した後に削除することができる。したがって、再度、アクセスするために戻ってきた場合に直ぐに認証情報が得られるようになる。 According to this configuration, the old authentication information held by the wireless terminal accommodating apparatus before moving can be deleted after being held for a certain period of time. Therefore, the authentication information can be obtained immediately when returning to access again.
本発明に係る無線ネットワークシステムは、上記の発明において、前記無線端末が最初に接続した無線端末収容装置が送信する認証情報削除応答を、前記認証情報削除要求を作成して送信した通信装置まで中継転送する経路に存在する通信装置のうち認証情報を保持する通信装置は、その保持する認証情報を一定時間経過後に削除する手段を具備する構成を採る。 In the wireless network system according to the present invention, in the above invention, the authentication information deletion response transmitted by the wireless terminal accommodating apparatus to which the wireless terminal is first connected is relayed to the communication apparatus that has generated and transmitted the authentication information deletion request. Of the communication devices that exist on the transfer path, the communication device that holds the authentication information employs a configuration that includes means for deleting the held authentication information after a predetermined time has elapsed.
この構成によれば、通信ネットワーク内に保持した古い認証情報は一定時間内保持した後に削除することができる。 According to this configuration, the old authentication information held in the communication network can be deleted after being held for a certain period of time.
本発明に係る無線ネットワークシステムは、上記の発明において、前記無線端末が最初に接続した無線端末収容装置は、保持している認証情報を削除するまでの一定時間を前記無線端末のアクセス状態に応じて変更する手段を具備する構成を採る。 In the wireless network system according to the present invention, in the above invention, the wireless terminal accommodating apparatus to which the wireless terminal is connected for the first time depends on an access state of the wireless terminal depending on an access state of the wireless terminal. The structure which comprises the means to change is taken.
この構成によれば、移動前の無線端末収容装置では、保持している古い認証情報を削除するまでの一定時間をユーザのアクセス状態(アクセス量やアクセス時間など)に応じて適切に設定することができる。 According to this configuration, in the wireless terminal accommodating apparatus before movement, a certain period of time until the old authentication information held is deleted is appropriately set according to the access state (access amount, access time, etc.) of the user. Can do.
本発明に係る無線ネットワークシステムは、上記の発明において、前記保持する認証情報を一定時間経過後に削除する通信装置は、その保持している認証情報を削除するまでの一定時間を前記無線端末のアクセス状態に応じて変更する手段を具備する構成を採る。 In the wireless network system according to the present invention as set forth in the invention described above, the communication device that deletes the held authentication information after a predetermined time has passed the predetermined time until the held authentication information is deleted. The structure which comprises the means to change according to a state is taken.
この構成によれば、通信ネットワークでは、保持している古い認証情報を削除するまでの一定時間をユーザのアクセス状態(アクセス量やアクセス時間など)に応じて適切に設定することができる。 According to this configuration, in the communication network, it is possible to appropriately set a certain period of time until the old authentication information held is deleted according to the access state (access amount, access time, etc.) of the user.
本発明に係る無線ネットワークシステムは、上記の発明において、前記認証情報取得応答を作成して送信した通信装置は、認証情報削除要求を作成して前記無線端末が最初に接続した無線端末収容装置に向けて送信する手段を具備し、前記無線端末が最初に接続した無線端末収容装置は、前記認証情報削除要求を受信して認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した通信装置に向けて送信するとともに、保持している認証情報を一定時間経過後に削除する手段を具備し、前記無線端末が最初に接続した無線端末収容装置が送信する認証情報削除応答を中継転送する経路に存在する通信装置は、その保持する認証情報を一定時間経過後に削除する手段を具備する場合において、認証情報を削除する一定時間は、無線端末収容装置では短く、通信装置では網の階層位置が上位に行くほど長くなるように設定されているという構成を採る。 In the wireless network system according to the present invention, in the above invention, the communication device that has created and transmitted the authentication information acquisition response creates an authentication information deletion request, and the wireless device accommodating device to which the wireless terminal is first connected A wireless terminal accommodating apparatus that is first connected to the wireless terminal, receives the authentication information deletion request, generates an authentication information deletion response, and generates and transmits the authentication information deletion request. The authentication information deletion response transmitted by the wireless terminal accommodating apparatus to which the wireless terminal is first connected is relayed and forwarded. When the communication device existing in the path to be deleted has a means for deleting the stored authentication information after a lapse of a certain time, the certain time for deleting the authentication information is Short in accommodating device, the communication device adopts a structure that hierarchical position of the network is set to be longer toward the upper.
この構成によれば、古い認証情報を保持するメモリ量を無線端末収容装置と通信装置の特性に応じて適正化を図ることができる。 According to this configuration, it is possible to optimize the amount of memory holding old authentication information according to the characteristics of the wireless terminal accommodating device and the communication device.
本発明に係る無線ネットワークシステムは、上記の発明において、無線端末収容装置では短く、通信装置では網の階層位置が上位に行くほど長くなるように設定されている認証情報を削除する前記一定時間を前記無線端末のアクセス状態に応じて変更する手段を具備する構成を採る。 The wireless network system according to the present invention is the wireless network system according to the present invention, wherein the predetermined time for deleting the authentication information set so as to be shorter as the wireless terminal accommodating device is longer and the communication device is higher as the hierarchical level of the network is higher. A configuration including means for changing according to the access state of the wireless terminal is adopted.
この構成によれば、古い認証情報を保持するメモリ量を無線端末収容装置と通信装置の特性に応じて適正化を図ることができるとともに、ユーザのアクセス状態に適切の対応することができる。 According to this configuration, it is possible to optimize the amount of memory that holds old authentication information according to the characteristics of the wireless terminal accommodating device and the communication device, and it is possible to appropriately cope with the access state of the user.
本発明に係る無線端末収容装置は、無線端末を認証する認証サーバが存在する無線ネットワークシステムにおいて、前記無線端末が接続するアクセスポイントである無線端末収容装置は、無線端末の識別子と認証情報とを関連付けて記憶する認証情報テーブルと、最初に接続した無線端末に対する認証手続きが成功したとき前記認証情報テーブルにその無線端末の識別子と認証情報とを関連付けて保存する手段とを具備する構成を採る。 In a wireless network system in which an authentication server for authenticating a wireless terminal exists, the wireless terminal accommodating device according to the present invention includes an identifier and authentication information of the wireless terminal as an access point to which the wireless terminal is connected. The authentication information table to be stored in association with each other and means for storing the authentication information and the identifier of the wireless terminal in association with the authentication information table when the authentication procedure for the first connected wireless terminal is successful are adopted.
この構成によれば、最初にアクセスされる無線端末収容装置では、無線端末と認証サーバとの間で行われた最初の認証手続きで得られた認証情報を保持することができる。 According to this configuration, the wireless terminal accommodating apparatus accessed first can hold the authentication information obtained by the first authentication procedure performed between the wireless terminal and the authentication server.
本発明に係る無線端末収容装置は、上記の発明において、配下に移動してきた無線端末からの認証要求に基づき認証情報取得要求を作成して前記認証サーバに向けて送信し、網側の通信装置から受信した認証情報取得応答から前記無線端末が用いる認証情報を取り出して前記認証情報テーブルに保存する手段と、前記無線端末に認証応答を送信する手段とを具備する構成を採る。 The wireless terminal accommodating apparatus according to the present invention is the above-described invention, wherein an authentication information acquisition request is generated based on an authentication request from a wireless terminal that has moved under its control, and is transmitted to the authentication server. The authentication information used by the wireless terminal is extracted from the authentication information used and the authentication information used by the wireless terminal is extracted and stored in the authentication information table, and the authentication response table is transmitted to the wireless terminal.
この構成によれば、無線端末収容装置は、配下に移動してきた無線端末に対して必要な認証情報を短時間内に与えることができる。 According to this configuration, the wireless terminal accommodating device can give necessary authentication information to the wireless terminal that has moved under the control within a short time.
本発明に係る無線端末収容装置は、上記の発明において、網側から認証情報削除要求を受信したとき、前記認証情報テーブルに保持している対応する認証情報を削除する手段と、認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した網側の通信装置に向けて送信する手段とを具備する構成を採る。 In the above invention, the wireless terminal accommodating apparatus according to the present invention, when receiving an authentication information deletion request from the network side, means for deleting the corresponding authentication information held in the authentication information table, and an authentication information deletion response And a means for transmitting to the communication device on the network side that has generated and transmitted the authentication information deletion request.
この構成によれば、アクセスしていた無線端末が居なくなった場合に、そのときに用いた認証情報を削除することができる。 According to this configuration, when there is no wireless terminal that has been accessed, the authentication information used at that time can be deleted.
本発明に係る無線端末収容装置は、上記の発明において、網側から認証情報削除要求を受信したとき、認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した網側の通信装置に向けて送信する手段と、前記認証情報テーブルに保持している対応する認証情報を一定時間経過後に削除する手段とを具備する構成を採る。 In the above invention, the wireless terminal accommodating apparatus according to the present invention creates an authentication information deletion response when an authentication information deletion request is received from the network side, and creates and transmits the authentication information deletion request. A configuration is adopted that includes means for transmitting to the apparatus and means for deleting the corresponding authentication information held in the authentication information table after a predetermined time has elapsed.
この構成によれば、アクセスしていた無線端末が居なくなった場合に、そのときに用いた認証情報を一定時間内保持することができる。 According to this configuration, when there is no wireless terminal that has been accessed, the authentication information used at that time can be held for a certain period of time.
本発明に係る無線端末収容装置は、上記の発明において、無線端末のアクセス状態を計測する手段と、前記認証情報テーブルに保持している対応する認証情報を削除するまでの一定時間を前記計測した無線端末のアクセス状態に応じて変更する手段とを具備する構成を採る。 In the above invention, the wireless terminal accommodating apparatus according to the present invention measures the access time of the wireless terminal and the predetermined time until the corresponding authentication information held in the authentication information table is deleted. And a means for changing according to the access state of the wireless terminal.
この構成によれば、無線端末収容装置では、ユーザのアクセス状態に応じて認証情報を削除するまでの一定時間を定めることができる。 According to this configuration, in the wireless terminal accommodating device, it is possible to determine a certain time until the authentication information is deleted according to the access state of the user.
本発明に係る無線端末収容装置は、上記の発明において、前記保持している認証情報を削除するまでの一定時間は、網側の通信装置での一定時間よりも短くなるように設定されているという構成を採る。 In the wireless terminal accommodating apparatus according to the present invention, in the above invention, the fixed time until the held authentication information is deleted is set to be shorter than the fixed time in the network side communication apparatus. The structure is taken.
この構成によれば、無線端末収容装置に搭載するメモリ量を減らすことができる。 According to this configuration, it is possible to reduce the amount of memory installed in the wireless terminal accommodating device.
本発明に係る通信装置は、無線端末を認証する認証サーバが存在する無線ネットワークシステムにおいて、前記無線端末が接続するアクセスポイントである複数の無線端末収容装置を束ねて通信ネットワークを構成する多数の通信装置は、それぞれ、無線端末識別子と認証情報と無線端末収容装置側ポートと認証サーバ側ポートとを関連付けて記憶する認証情報テーブルと、最初に接続した無線端末に対する認証手続きが成功したとき前記認証情報テーブルにその無線端末識別子と認証情報と各ポートとを関連付けて保存する手段とを具備する構成を採る。 The communication device according to the present invention is a wireless network system in which an authentication server for authenticating a wireless terminal is present, and a plurality of communications constituting a communication network by bundling a plurality of wireless terminal accommodating devices that are access points to which the wireless terminal is connected. Each of the devices includes an authentication information table that stores a wireless terminal identifier, authentication information, a wireless terminal accommodating device side port, and an authentication server side port in association with each other, and the authentication information when the authentication procedure for the first connected wireless terminal is successful. The table includes means for storing the wireless terminal identifier, authentication information, and each port in association with each other.
この構成によれば、無線端末が最初に認証サーバの認証を受けると、認証情報を通信ネットワーク内に保持することができる。 According to this configuration, when the wireless terminal is first authenticated by the authentication server, the authentication information can be held in the communication network.
本発明に係る通信装置は、上記の発明において、無線端末収容装置側ポートから受信した認証情報取得要求に含まれる無線端末識別子と一致する無線端末識別子が前記認証情報テーブルに存在するときは当該無線端末識別子に対応する認証情報を含ませた認証情報取得応答を作成し無線端末収容装置側ポートから送信する手段と、前記受信した認証情報取得要求に含まれる無線端末識別子と一致する無線端末識別子が前記認証情報テーブルに存在しないときは当該無線端末識別子と受信したポートとを対応付けて前記認証情報テーブルに保存し、その受信した認証情報取得要求を対応する認証サーバ側ポートから送信する手段と、認証サーバ側ポートから認証情報取得応答を受信したときその認証情報取得応答から認証情報を取得して前記認証情報テーブルに保存し、受信した前記認証情報取得応答を対応する無線端末収容装置側ポートから送信する手段とを具備する構成を採る。 In the communication device according to the present invention, in the above invention, when a wireless terminal identifier that matches a wireless terminal identifier included in the authentication information acquisition request received from the wireless terminal accommodating device side port exists in the authentication information table, Means for creating an authentication information acquisition response including authentication information corresponding to the terminal identifier and transmitting it from the wireless terminal accommodating apparatus side port; and a wireless terminal identifier that matches the wireless terminal identifier included in the received authentication information acquisition request Means for associating and storing the wireless terminal identifier and the received port in the authentication information table when not present in the authentication information table, and transmitting the received authentication information acquisition request from the corresponding authentication server side port; When an authentication information acquisition response is received from the authentication server side port, the authentication information is acquired from the authentication information acquisition response and the authentication information is received. Stored in the information table, adopts a configuration and means for transmitting the received the authentication information acquisition response from the corresponding radio terminal accommodating apparatus side port.
この構成によれば、無線端末が移動している状況下において、通信ネットワーク内の転送経路では、認証情報取得要求を網内に導く中継と、その中継過程で必要な認証情報を含む認証情報取得応答の作成と、その認証情報取得応答をアクセスポイントに導く中継と、その中継過程でその認証情報取得応答から認証情報を取得して保持することができる。 According to this configuration, in a situation where the wireless terminal is moving, on the transfer route in the communication network, the authentication information acquisition including the relay for guiding the authentication information acquisition request to the network and the authentication information necessary for the relay process is performed. It is possible to create a response, relay the authentication information acquisition response to the access point, and acquire and hold the authentication information from the authentication information acquisition response in the relay process.
本発明に係る通信装置は、上記の発明において、前記認証情報取得応答を作成して送信した後に、無線端末が最初に接続して認証手続きを行った無線端末収容装置に対する認証情報削除要求を作成し対応する無線端末収容装置側ポートから送信する手段と、認証サーバ側ポートから認証情報削除要求を受信したとき、その受信した認証情報削除要求を対応する無線端末収容装置側ポートから送信する手段と、無線端末収容装置側ポートから認証情報削除応答を受信した場合に、前記認証情報削除要求を作成して送信していない場合は、前記認証情報テーブルから該当する認証情報を削除し、その受信した認証情報削除応答を対応する認証サーバ側ポートから送信する手段とを具備する構成を採る。 In the above invention, the communication device according to the present invention creates an authentication information deletion request for the wireless terminal accommodating device to which the wireless terminal first connected and performed the authentication procedure after creating and transmitting the authentication information acquisition response Means for transmitting from the corresponding wireless terminal accommodating apparatus side port, and means for transmitting the received authentication information deletion request from the corresponding wireless terminal accommodating apparatus side port when receiving the authentication information deletion request from the authentication server side port; When the authentication information deletion response is received from the wireless terminal accommodating apparatus side port and the authentication information deletion request is not generated and transmitted, the corresponding authentication information is deleted from the authentication information table and received. And a means for transmitting an authentication information deletion response from the corresponding authentication server side port.
この構成によれば、無線端末が移動している状況下において、通信ネットワーク内の保持した古い認証情報は削除することができる。 According to this configuration, the old authentication information held in the communication network can be deleted under the situation where the wireless terminal is moving.
本発明に係る通信装置は、上記の発明において、前記認証情報取得応答を作成して送信した後に、無線端末が最初に接続して認証手続きを行った無線端末収容装置に対する認証情報削除要求を作成し対応する無線端末収容装置側ポートから送信する手段と、認証サーバ側ポートから認証情報削除要求を受信したとき、その受信した認証情報削除要求を対応する無線端末収容装置側ポートから送信する手段と、無線端末収容装置側ポートから認証情報削除応答を受信した場合において前記認証情報削除要求を作成して送信していない場合は、その受信した認証情報削除応答を対応する認証サーバ側ポートから送信し、一定時間経過後に前記認証情報テーブルから該当する認証情報を削除する手段とを具備する構成を採る。 In the above invention, the communication device according to the present invention creates an authentication information deletion request for the wireless terminal accommodating device to which the wireless terminal first connected and performed the authentication procedure after creating and transmitting the authentication information acquisition response Means for transmitting from the corresponding wireless terminal accommodating apparatus side port, and means for transmitting the received authentication information deletion request from the corresponding wireless terminal accommodating apparatus side port when receiving the authentication information deletion request from the authentication server side port; When the authentication information deletion response is received from the wireless terminal accommodating apparatus side port and the authentication information deletion request is not generated and transmitted, the received authentication information deletion response is transmitted from the corresponding authentication server side port. And a means for deleting the corresponding authentication information from the authentication information table after a predetermined time has elapsed.
この構成によれば、通信ネットワーク内の保持した古い認証情報は一定時間内保持した後に削除することができる。 According to this configuration, the old authentication information held in the communication network can be deleted after being held for a certain time.
本発明に係る通信装置は、上記の発明において、無線端末のアクセス状態を計測する手段と、認証情報を削除するまでの前記一定時間を前記計測した無線端末のアクセス状態に応じて変更する手段とを具備する構成を採る。 In the above invention, the communication device according to the present invention is a means for measuring the access state of the wireless terminal, and a means for changing the predetermined time until the authentication information is deleted according to the measured access state of the wireless terminal. The structure which comprises is taken.
この構成によれば、通信ネットワーク内の保持した古い認証情報を削除するまでの一定時間をユーザのアクセス状態に応じて適切に定めることができる。 According to this configuration, it is possible to appropriately determine a certain period of time until the old authentication information held in the communication network is deleted according to the access state of the user.
本発明によれば、認証サーバの負荷の軽減と認証時間の短縮が図れる。また、高い確率で新しいアクセスポイントから短時間内に暗号化通信が開始できるようになる。 According to the present invention, it is possible to reduce the load on the authentication server and shorten the authentication time. Also, encrypted communication can be started within a short time from a new access point with a high probability.
本発明の骨子は、無線端末が最初にアクセスポイントにアクセスするときに認証サーバとの間で行われる認証手続きで得られた認証情報を通信ネットワーク内に保持できるようにし、その後は、移動する無線端末に対する認証情報の付与は認証サーバを介さずにできるようにすることである。 The essence of the present invention is that the authentication information obtained by the authentication procedure performed with the authentication server when the wireless terminal accesses the access point for the first time can be held in the communication network, and then the moving wireless The provision of the authentication information to the terminal is to be able to be performed without going through the authentication server.
そして、上記の構成を採る場合に、通信ネットワーク内に保持する古い認証情報は削除できるようにすること、削除する場合に一定時間は保持すること、一定時間の保持後に削除する場合に網の階層配置位置に応じて保持時間に長短の差異を持たせること、更に、ユーザのアクセス状態(アクセス量やアクセス時間など)を考慮して保持時間に長短の差異を持たせることである。 In the case of adopting the above configuration, it is possible to delete old authentication information held in the communication network, hold for a certain time when deleting, and network hierarchy when deleting after holding for a certain time It is necessary to give a difference in holding time according to the arrangement position, and to give a difference in holding time in consideration of a user's access state (access amount, access time, etc.).
以下、本発明の実施の形態について図面を参照して詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
(実施の形態1)
図1は、本発明の実施の形態1に係る無線ネットワークシステムの構成を示すネットワーク図である。図1に示す無線ネットワークシステムは、当該システム内を移動する無線端末101のアクセスポイントである複数の無線端末収容装置102a、102b、102cと、複数の無線端末収容装置102a、102b、102cを束ねて通信ネットワークを構成する多数の通信装置103a、103b、103cと、その通信ネットワーク上に配置されアクセスポイントに接続した無線端末101の認証を行う認証サーバ104とを備えている。
(Embodiment 1)
FIG. 1 is a network diagram showing a configuration of a wireless network system according to
図1に示す例では、無線端末収容装置102a、102bは通信装置103aに接続され、無線端末収容装置102cは通信装置103bに接続され、通信装置103a、103bは通信装置103cに接続され、この通信装置103cに認証サーバ104が接続されている。
In the example shown in FIG. 1, the wireless terminal
図2は、図1に示す無線端末収容装置102a、102b、102cの構成例を示すブロック図である。各無線端末収容装置は、例えば図2に示すように、網側とパケットの送受信を行う網側送受信部201と、宅側(無線端末)とアンテナ部202を介してパケットの送受信を行う宅側送受信部203と、網側送受信部201と宅側送受信部203との間に在って網側送受信部201が網側から取り込んだパケットを暗号化して宅側送受信部203に転送し、宅側送受信部203が宅側(無線端末)から取り込んだパケットを復号化して網側送受信部201に転送する暗復号転送部204と、暗復号転送部204にて用いる暗復号用の認証情報を管理する認証情報テーブル205と、網側送受信部201が取り込んだ認証情報を認証情報テーブル205に書き込む取得処理と削除処理とを行う認証情報管理部206と、網側送受信部201が取り込んだ認証情報と認証情報テーブル205の登録内容とに基づき無線端末が最初にネットワークに接続するときの認証動作を処理する初期認証処理部207とを備えている。
FIG. 2 is a block diagram illustrating a configuration example of the wireless
図3は、無線端末収容装置102a、102b、102cが備える認証情報テーブル205の構成例を示す図である。認証情報テーブル205には、例えば図3に示すように、「端末識別子」と「認証情報」とが対応付けて登録されている。なお、認証情報は、無線端末101の認証及び通信の暗号化に必要な情報である。一般には、ユーザIDやパスワード、暗号鍵などを指す。
FIG. 3 is a diagram illustrating a configuration example of the authentication information table 205 included in the wireless
次に、図4は、図1に示す通信装置103a、103b、103cの構成例を示すブロック図である。各通信装置は、例えば図4に示すように、各方路においてパケットの送受信を行う複数の送受信部401−1〜401−nと、複数の送受信部401−1〜401−nからのパケットをまとめて上位(認証情報管理部404)に転送し、上位(認証情報管理部404)からのパケットを複数の送受信部401−1〜401−nの対応する送受信部に転送する転送部402と、端末毎の認証情報を格納する認証情報テーブル403と、転送部402と認証情報テーブル403との間に在って認証情報テーブル403への認証情報の追加と削除を行う認証情報管理部404とを備えている。
Next, FIG. 4 is a block diagram illustrating a configuration example of the
図5は、通信装置103a、103b、103cが備える認証情報テーブル403の構成例を示す図である。認証情報テーブル403には、例えば図5に示すように、「端末識別子」と、「認証情報」と、無線端末101がどちらのポートに存在するかを示す「配下ポート」と、認証サーバ方向のポートを示す「認証サーバへのポート」とが対応付けて登録されている。
FIG. 5 is a diagram illustrating a configuration example of the authentication information table 403 included in the
次に、以上のように構成される無線ネットワークシステムにおいて実施される認証動作について説明する。ここでは、無線端末が、(A)最初に接続する場合に行う認証動作(図6、図7)と、(B)移動先での接続時に行う認証動作(図8〜図11)と、(C)移動する際に認証をやり直す場合の動作(図12、図13)と、(D)無線端末収容装置及び通信装置の認証情報管理部の動作(図14〜図16)とをそれぞれ説明する。 Next, an authentication operation performed in the wireless network system configured as described above will be described. Here, (A) an authentication operation performed when the wireless terminal is connected for the first time (FIGS. 6 and 7), (B) an authentication operation performed when connecting at the movement destination (FIGS. 8 to 11), ( C) Operations when re-authenticating when moving (FIGS. 12 and 13) and (D) Operations of the authentication information management unit of the wireless terminal accommodating device and the communication device (FIGS. 14 to 16) will be described, respectively. .
(A)最初に接続する場合に行う認証動作(図6、図7)。図6は、最初に接続する場合に行う認証動作を説明するシーケンス図である。図7は、最初に接続する場合に行う認証動作による無線端末収容装置及び通信装置の認証情報テーブルのエントリ状態を説明するネットワーク図である。ここで用いる認証情報は、暗号鍵である。 (A) Authentication operation performed when connecting for the first time (FIGS. 6 and 7). FIG. 6 is a sequence diagram illustrating an authentication operation performed when first connecting. FIG. 7 is a network diagram for explaining an entry state of the authentication information table of the wireless terminal accommodating device and the communication device by the authentication operation performed when connecting for the first time. The authentication information used here is an encryption key.
図6では、無線端末601と無線端末収容装置602と通信装置603、604と認証サーバ605とが示されている。図6において、無線端末601は接続しようとする無線端末収容装置602との間でオープン認証方式での認証手続きを行う(手順T601)。このとき、既存のWEP(Wired Equivalent Privacy)認証との互換性を採るため、アソシエーション(Association)処理も併せて行う。
In FIG. 6, a
次いで、無線端末601は、無線端末収容装置602及び通信装置603、604を介して通信ネットワーク上の認証サーバ605との間で、IEEE標準ドキュメント802.1xに依る認証手続きを行い、認証サーバ605が無線端末601に対して認証を行う(手順T602)。認証サーバ605は、認証を終了すると認証情報を作成する(手順T603)。また、無線端末601は、認証情報を作成して保持する(手順T604)。
Next, the
認証サーバ605は、その作成した認証情報を含む認証成功通知を無線端末収容装置602に送信する(手順T605)。そのとき、転送路に存する通信装置604、603では、認証情報管理部404がその中継転送する認証成功通知を参照して「端末識別子」「認証情報(暗号鍵)」を認証情報テーブル403に格納し、またその認証成功通知の入力されたポートを「認証サーバへのポート」、出力されたポートを「配下ポート」として認証情報テーブル403に格納する(手順T606)。
The
無線端末収容装置602では、通信装置603を介して受信した認証成功通知を無線端末601に無線送信する(手順T607)と共に、認証情報管理部206がその認証成功通知を参照して「端末識別子」「認証情報(暗号鍵)」を認証情報テーブル205に格納する(手順T608)。これによって、無線端末601と無線端末収容装置602との間で、その認証情報を用いて暗号化通信の準備が行われ(手順T609)、終了すると暗号化通信が行われる(手順T610)。
In the wireless
このようにして最初の認証動作を行うことで、通信ネットワークでは、無線端末601と認証サーバ605との間での認証手続きを中継した無線端末収容装置602と通信装置603、604との各認証情報テーブルには、端末毎のエントリが設定されている状態になる。
By performing the first authentication operation in this way, in the communication network, each authentication information of the wireless
図1に示したネットワークの例で言えば、図7に示すように、無線端末101と認証サーバ104との間での最初の認証動作では、無線端末101が送信する認証要求701が通信ネットワーク(無線端末収容装置102a、通信装置103a、103cの転送路)を経由して認証サーバ104に伝達され、認証結果である認証応答702が通信ネットワーク(無線端末収容装置102a、通信装置103a、103cの転送路)を経由して無線端末101に伝達される。無線端末収容装置102aと通信装置103a、103cでは認証応答702を中継する過程で、認証応答702から認証情報を取り込むことができる。したがって、無線端末収容装置102aと通信装置103a、103cとの各認証情報テーブルには、端末毎の認証情報(暗号鍵)703、704、705がそれぞれ設定されている状態になる。
In the example of the network illustrated in FIG. 1, as illustrated in FIG. 7, in the first authentication operation between the
(B)移動先での接続時に行う認証動作(図8〜図11)。図8は、移動先での接続時に行う認証動作を説明するシーケンス図である(認証情報を保持する通信装置が比較的近い所に存する場合)。図9は、図8に示す認証動作による無線端末収容装置及び通信装置の認証情報テーブルのエントリ状態を説明するネットワーク図である。図10は、移動先での接続時に行う認証動作を説明するシーケンス図である(認証情報を保持する通信装置が比較的遠い所に存する場合)。図11は、図10に示す認証動作による無線端末収容装置及び通信装置の認証情報テーブルのエントリ状態を説明するネットワーク図である。ここで用いる認証情報は、暗号鍵である。 (B) Authentication operation performed at the time of connection at the destination (FIGS. 8 to 11). FIG. 8 is a sequence diagram for explaining an authentication operation performed at the time of connection at the movement destination (when a communication device holding authentication information is relatively close). FIG. 9 is a network diagram for explaining an entry state of the authentication information table of the wireless terminal accommodating device and the communication device by the authentication operation shown in FIG. FIG. 10 is a sequence diagram for explaining the authentication operation performed at the time of connection at the movement destination (when the communication device holding the authentication information is located in a relatively far place). FIG. 11 is a network diagram for explaining an entry state of the authentication information table of the wireless terminal accommodating device and the communication device by the authentication operation shown in FIG. The authentication information used here is an encryption key.
図8では、無線端末801と無線端末収容装置(移動前)802と無線端末収容装置(移動後)803と通信装置804、805と認証サーバ806とが示されている。そのうち、無線端末収容装置(移動後)803だけが認証情報(暗号鍵)を保持していないとしている。
In FIG. 8, a
図8において、無線端末801は、無線端末収容装置802との間で暗号化通信を行っている過程で(手順T801)、新しい無線端末収容装置803の配下に移動して接続を行い(手順T802)、移動後の無線端末収容装置803との間でオープン認証方式での認証処理を行うと(手順T803)、リアソシエーションリクエスト(ReassociationRequest:認証要求)を無線端末収容装置803に向けて無線送信する(手順T804)。
In FIG. 8, in the process of performing encrypted communication with the wireless terminal accommodating apparatus 802 (procedure T801), the
無線端末収容装置803では、リアソシエーションリクエストを受信すると、送信先を認証サーバ806とし、送信元を自無線端末収容装置803とし、ペイロードに無線端末801のMACアドレスを設定した認証情報取得要求を作成し、通信ネットワークに向けて送出する(手順T805)。
Upon receiving the reassociation request, the wireless
認証情報取得要求を最初に受信した通信装置804は、認証情報テーブル403を参照し、その受信した認証情報取得要求に含まれる端末識別子を元に管理している認証情報を検索する(手順T806)。今の例では、通信装置804は、無線端末801の認証情報(暗号鍵)を保持しているので、送信先を無線端末収容装置803とし、送信元を自通信装置804とし、ペイロードに無線端末801のMACアドレスと認証情報とを設定した認証情報取得応答を作成し、認証情報取得要求を受信したポートに向けて送出する(手順T807)。
The
認証情報取得応答を受信した無線端末収容装置803は、その受信した認証情報取得応答を参照して「端末識別子」「認証情報(暗号鍵)」を認証情報テーブル205に格納する(手順T808)と共に、リアソシエーションレスポンス(ReassociationResponse:
認証応答)を無線端末801に無線送信する(手順T809)。これによって、無線端末801と移動後の無線端末収容装置803との間で、その認証情報を用いて、暗号化通信の準備が行われ(手順T810)、終了すると暗号化通信が行われる(手順T811)。
The wireless
An authentication response is wirelessly transmitted to the wireless terminal 801 (procedure T809). As a result, preparation for encrypted communication is performed between the
今の例では、無線端末収容装置803は認証情報を保持してないが、直近上位の通信装置804が認証情報を保持している場合に、無線端末収容装置803の配下に無線端末801が移動してきた場合であるので、図7に示した例で言えば、無線端末101が無線端末収容装置102bの配下に移動してきた場合である。この場合には、図9に示すように無線端末収容装置102bが送信する認証情報取得要求901は直近上位の通信装置103aに受信され、通信装置103aから認証情報取得応答902が返送されてくる。これによって無線端末収容装置102bは、短期間内に認証情報(暗号鍵)903を保持し、移動してきた無線端末101との間で暗号化通信を開始することができる。
In this example, the wireless
図8では、認証情報取得要求を最初に受信した通信装置が無線端末の認証情報(暗号鍵)を保持している場合であるが、その最初に受信した通信装置が無線端末の認証情報を保持していない場合は、その通信装置は認証情報取得要求を認証情報テーブルの「認証サーバへのポート」に転送する。今の例では、認証サーバに到達する転送路に存在する通信装置の少なくとも1つの通信装置は認証情報を保持している。 In FIG. 8, the communication device that first receives the authentication information acquisition request holds the authentication information (encryption key) of the wireless terminal, but the communication device that receives the authentication information first holds the authentication information of the wireless terminal. If not, the communication device transfers the authentication information acquisition request to “port to authentication server” in the authentication information table. In the present example, at least one communication device existing in the transfer path that reaches the authentication server holds the authentication information.
したがって、その転送を繰り返し、認証情報が存在するところまで認証情報取得要求が転送され、認証情報を保持している通信装置から認証情報取得応答が転送されてくる。その一例が図10、図11に示されている。なお、認証情報取得応答を中継転送する通信装置では、認証情報を取り込んで記憶保持することが望ましいが、必ずしも中継転送する通信装置の全てが保持する必要はない。 Therefore, the transfer is repeated, the authentication information acquisition request is transferred to the place where the authentication information exists, and the authentication information acquisition response is transferred from the communication apparatus holding the authentication information. An example thereof is shown in FIGS. Note that in a communication device that relays and forwards an authentication information acquisition response, it is desirable to capture and store the authentication information, but it is not necessarily required to hold all of the communication devices that relay and transfer.
図10では、無線端末1001と無線端末収容装置(移動前)1002と無線端末収容装置(移動後)1003と通信装置1004、1005と認証サーバ1006とが示されている。そのうち、無線端末収容装置(移動後)1003と通信装置1004とが認証情報(暗号鍵)を保持していないとしている。
In FIG. 10, a
図10において、無線端末1001は、無線端末収容装置1002との間で暗号化通信を行っている過程で(手順T1001)、新しい無線端末収容装置1003の配下に移動して接続を行い(手順T1002)、移動後の無線端末収容装置1003との間でオープン認証方式での認証処理を行うと(手順T1003)、リアソシエーションリクエスト(ReassociationRequest:認証要求)を無線端末収容装置1003に向けて無線送信する(手順T1004)。
In FIG. 10, in the process of performing encrypted communication with the wireless terminal accommodating apparatus 1002 (procedure T1001), the
無線端末収容装置1003では、リアソシエーションリクエストを無線受信すると、送信先を認証サーバ1006とし、送信元を自無線端末収容装置1003とし、ペイロードに無線端末1001のMACアドレスを設定した認証情報取得要求を作成し、通信ネットワークに向けて送出する(手順T1005)。
When the wireless
認証情報取得要求を最初に受信した通信装置1004は、認証情報テーブル403を参照し、その受信した認証情報取得要求に含まれる端末識別子を元に管理している認証情報を検索する(手順T1006)。今の例では、通信装置1004は、無線端末1001の認証情報を保持していないので、その受信した認証情報取得要求を「認証サーバへのポート」への経路に転送する(手順T1007)。
The
認証情報取得要求を次に受信した通信装置1005は、認証情報テーブル403を参照し、その受信した認証情報取得要求に含まれる端末識別子を元に管理している認証情報を検索する(手順T1008)。今の例では、通信装置1005は、無線端末1001の認証情報(暗号鍵)を保持しているので、送信先を無線端末収容装置1003とし、送信元を自通信装置1005とし、ペイロードに無線端末1001のMACアドレスと認証情報(暗号鍵)とを設定した認証情報取得応答を作成し、認証情報取得要求を受信したポートに向けて送出する(手順T1009)。
The
認証情報取得応答を受信した通信装置1004は、その認証情報取得応答から認証情報(暗号鍵)等を認証情報テーブル403を取り込んで記憶保持する(手順T1010)と共に、その受信した認証情報取得応答を「配下ポート」への経路に送出する(手順T1011)。
The
認証情報取得応答を受信した無線端末収容装置1003は、その受信した認証情報取得応答を参照して「端末識別子」「認証情報(暗号鍵)」を認証情報テーブル205に格納する(手順T1012)と共に、リアソシエーションレスポンス(ReassociationResponse:認証応答)を無線端末1001に無線送信する(手順T1013)。これによって、無線端末1001と移動後の無線端末収容装置1003との間で、その認証情報を用いて、暗号化通信の準備が行われ(手順T1014)、終了すると暗号化通信が行われる(手順T1015)。
The wireless
今の例では、無線端末収容装置1003は認証情報を保持してないが、直近上位の通信装置1004も認証情報を保持していない場合に、無線端末収容装置1003の配下に無線端末1001が移動してきた場合であるので、図7に示した例で言えば、無線端末101が無線端末収容装置102bを経由して無線端末収容装置102cの配下に移動してきた場合である。この場合には、図11に示すように無線端末収容装置102cが送信する認証情報取得要求1101は、直近上位の通信装置103bが認証情報取得要求1102としてその上位の通信装置103cに転送し、通信装置103cから認証情報取得応答1103が通信装置103bに返送されてくる。通信装置103bは、受信した認証情報取得応答1103を認証情報取得応答1104として無線端末収容装置102cに転送し、併せて認証情報(暗号鍵)1105を保持する。
In this example, the wireless
これによって、無線端末収容装置102cの直近上位の通信装置103bが認証情報を保持していなくとも、認証サーバ104に至る経路の途中から認証情報取得応答が返送されてくるので、無線端末収容装置102cでは、比較的短期間内に認証情報(暗号鍵)1106を保持し、移動してきた無線端末101との間で暗号化通信を開始することができるようになる。
As a result, even if the communication device 103b immediately above the wireless
(C)移動する際に認証をやり直す場合の動作(図12、図13)。図12は、移動する際に認証をやり直す場合の動作を説明するシーケンス図である(認証情報を保持する通信装置が存在する場合)。図13は、移動する際に認証をやり直す場合の動作を説明するシーケンス図である(認証情報を保持する通信装置が存在しない場合)。ここで用いる認証情報は、ユーザIDやパスワードなど、暗号鍵以外で認証に必要な情報である。 (C) Operation for re-authentication when moving (FIGS. 12 and 13). FIG. 12 is a sequence diagram for explaining the operation when authentication is performed again when moving (when there is a communication apparatus holding authentication information). FIG. 13 is a sequence diagram for explaining the operation when authentication is performed again when moving (when there is no communication device holding authentication information). The authentication information used here is information necessary for authentication other than the encryption key, such as a user ID and a password.
図12では、無線端末1201と無線端末収容装置(移動前)1202と無線端末収容装置(移動後)1203と通信装置1204、1205と認証サーバ1206とが示されている。そして、認証情報(ユーザIDやパスワードなど)を、通信装置1204は保持せず通信装置1205が保持しているとしている。
In FIG. 12, a wireless terminal 1201, a wireless terminal accommodating apparatus (before movement) 1202, a wireless terminal accommodating apparatus (after movement) 1203,
図12において、無線端末1201は、無線端末収容装置1202との間で暗号化通信を行っている過程で(手順T1201)、新しい無線端末収容装置1203の配下に移動して接続を行い(手順T1202)、移動後の無線端末収容装置1203との間でオープン認証及びアソシエーション処理を行う(手順T1203)。終了すると、EAPOL:EAP−STARTフレームを無線送信する(手順T1204)。なお、EAPOL(Extensible Authentication Protocol Over LAN)は、IEEE標準ドキュメント802.1xに準拠した認証プロトコルである。
In FIG. 12, in the process of performing encrypted communication with the wireless terminal accommodating apparatus 1202 (procedure T1201), the wireless terminal 1201 moves under the new wireless
無線端末収容装置1203は、EAP−STARTフレームを無線受信すると、送信先を認証サーバ1206とし、送信元を自無線端末収容装置1203とし、ペイロードに無線端末1201のMACアドレスを設定した認証情報取得要求を作成し、通信ネットワークに向けて送出する(手順T1205)。
Upon receiving the EAP-START frame wirelessly, the wireless
認証情報取得要求を最初に受信した通信装置1204は、認証情報テーブル403を参照し、その受信した認証情報取得要求に含まれる端末識別子を元に管理している認証情報(ユーザIDやパスワードなど)を検索する(手順T1206)。今の例では、通信装置1204は、無線端末1201の認証情報(ユーザIDやパスワードなど)を保持していないので、その受信した認証情報取得要求を「認証サーバへのポート」への経路に転送する(手順T1207)。
The
認証情報取得要求を次に受信した通信装置1205は、認証情報テーブル403を参照し、その受信した認証情報取得要求に含まれる端末識別子を元に管理している認証情報(ユーザIDやパスワードなど)を検索する(手順T1208)。今の例では、通信装置1205は、無線端末1201の認証情報(ユーザIDやパスワードなど)を保持しているので、送信先を無線端末収容装置1203とし、送信元を自通信装置1205とし、ペイロードに無線端末1201のMACアドレスと認証情報(ユーザIDやパスワードなど)とを設定した認証情報取得応答を作成し、認証情報取得要求を受信したポートに向けて送出する(手順T1209)。
The
認証情報取得応答を受信した通信装置1204は、その認証情報取得応答から認証情報(ユーザIDやパスワードなど)を認証情報テーブル403に取り込んで記憶保持する(手順T1210)と共に、その受信した認証情報取得応答を「配下ポート」への経路に送出する(手順T1211)。
Receiving the authentication information acquisition response, the
認証情報取得応答を受信した無線端末収容装置1203は、その受信した認証情報取得応答を参照して「端末識別子」「認証情報(ユーザIDやパスワードなど)」を認証情報テーブル205に格納する(手順T1212)
The wireless
そして、無線端末収容装置1203は、認証情報取得応答から取得した認証情報(ユーザIDやパスワードなど)に基づき無線端末1201との間で、IEEE802.1xに規定される認証処理を行い、その認証処理が完了すると、暗号化通信のためのやり取りを行って暗号鍵を生成し、暗号化通信を開始する(手順T1213)。
Then, the wireless
図12では、認証情報取得要求を2番目の通信装置が無線端末の認証情報(ユーザIDやパスワードなど)を保持している場合であるが、その2番目に受信した通信装置も無線端末の認証情報(ユーザIDやパスワードなど)を保持していない場合は、その通信装置は認証情報取得要求を認証情報テーブルの「認証サーバへのポート」に転送する。今の例では、認証サーバに至る経路に存在する通信装置の少なくとも1つの通信装置は認証情報(ユーザIDやパスワードなど)を保持している。 In FIG. 12, the authentication information acquisition request is for the case where the second communication device holds the authentication information (user ID, password, etc.) of the wireless terminal, but the second received communication device also authenticates the wireless terminal. When information (user ID, password, etc.) is not held, the communication apparatus transfers an authentication information acquisition request to “port to authentication server” in the authentication information table. In the present example, at least one communication device of communication devices existing on the route to the authentication server holds authentication information (user ID, password, etc.).
したがって、その転送を繰り返し、認証情報が存在するところまで認証情報取得要求が転送され、認証情報(ユーザIDやパスワードなど)を保持している通信装置から認証情報取得応答が転送されてくる。なお、認証情報取得応答を中継転送する通信装置では、認証情報(ユーザIDやパスワードなど)を取り込んで記憶保持することが望ましいが、必ずしも中継転送する通信装置の全てが保持する必要はない。 Therefore, the transfer is repeated, the authentication information acquisition request is transferred to the place where the authentication information exists, and the authentication information acquisition response is transferred from the communication apparatus holding the authentication information (user ID, password, etc.). Note that in a communication device that relays and forwards an authentication information acquisition response, it is desirable to capture and store authentication information (such as a user ID and password), but it is not necessary for all of the communication devices that relay and forward.
換言すれば、認証サーバに至る経路に存在する通信装置の全てが認証情報(ユーザIDやパスワードなど)を保持していない場合は、図13に示すように、認証情報取得要求は認証サーバまで届くことになる。このケースは、主に初めて当該ネットワークにアクセスする無線端末が移動する場合に生ずる。この場合においても、認証情報取得応答を中継転送する通信装置では、認証情報(ユーザIDやパスワードなど)を取り込んで記憶保持することが望ましいが、必ずしも中継転送する通信装置の全てが保持する必要はない。 In other words, when all of the communication devices existing in the path to the authentication server do not hold the authentication information (user ID, password, etc.), the authentication information acquisition request reaches the authentication server as shown in FIG. It will be. This case mainly occurs when a wireless terminal accessing the network moves for the first time. Even in this case, in the communication device that relays and transfers the authentication information acquisition response, it is desirable to capture and store the authentication information (user ID, password, etc.), but it is not always necessary that all of the communication devices that relay and transfer hold the authentication information. Absent.
図13では、無線端末1301と無線端末収容装置(移動前)1302と無線端末収容装置(移動後)1303と通信装置1304、1305と認証サーバ1306とが示されている。
In FIG. 13, a
図13において、無線端末1301は、無線端末収容装置1302との間で暗号化通信を行っている過程で(手順T1301)、新しい無線端末収容装置1303の配下に移動して接続を行い(手順T1302)、移動後の無線端末収容装置1303との間でオープン認証及びアソシエーション処理を行うと(手順T1303)、EAPOL:EAP−STARTフレームを無線送信する(手順T1304)。
In FIG. 13, in the process of performing encrypted communication with the wireless terminal accommodating apparatus 1302 (procedure T1301), the
無線端末収容装置1303は、EAP−STARTフレームを無線受信すると、送信先を認証サーバ1306とし、送信元を自無線端末収容装置1303とし、ペイロードに無線端末1301のMACアドレスを設定した認証情報取得要求を作成し、通信ネットワークに向けて送出する(手順T1305)。
When the wireless
認証情報取得要求を最初に受信した通信装置1304は、認証情報テーブル403を参照し、その受信した認証情報取得要求に含まれる端末識別子を元に管理している認証情報(ユーザIDやパスワードなど)を検索する(手順T1306)。今の例では、通信装置1304は、無線端末1301の認証情報(ユーザIDやパスワードなど)を保持していないので、その受信した認証情報取得要求を「認証サーバへのポート」への経路に転送する(手順T1307)。
The
認証情報取得要求を次に受信した通信装置1305は、認証情報テーブル403を参照し、その受信した認証情報取得要求に含まれる端末識別子を元に管理している認証情報(ユーザIDやパスワードなど)を検索する(手順T1308)。今の例では、通信装置1305は、無線端末1301の認証情報(ユーザIDやパスワードなど)を保持していないので、その受信した認証情報取得要求を「認証サーバへのポート」への経路に転送する(手順T1309)。
The
認証サーバ1306は、認証情報取得要求を受信すると、そのパケットのペイロードにある端末のMACアドレスを元に、認証データベースから認証情報(ユーザIDやパスワードなど)を獲得する(手順T1310)。そして、送信先を無線端末収容装置1303とし、送信元を自認証サーバ1306とし、ペイロードに無線端末1301のMACアドレスと認証情報とを設定した認証情報取得応答を作成し、認証情報取得要求を受信したポートに向けて送出する(手順T1311)。
Upon receiving the authentication information acquisition request, the authentication server 1306 acquires authentication information (user ID, password, etc.) from the authentication database based on the MAC address of the terminal in the payload of the packet (procedure T1310). Then, the wireless terminal
認証情報取得応答を受信した通信装置1305は、その認証情報取得応答から認証情報(ユーザIDやパスワードなど)を認証情報テーブル403に取り込んで記憶保持する(手順T1312)と共に、その受信した認証情報取得応答を「配下ポート」への経路に送出する(手順T1313)。
Receiving the authentication information acquisition response, the
認証情報取得応答を受信した通信装置1304は、その認証情報取得応答から認証情報(ユーザIDやパスワードなど)を認証情報テーブル403に取り込んで記憶保持する(手順T1314)と共に、その受信した認証情報取得応答を「配下ポート」への経路に送出する(手順T1315)。
The
認証情報取得応答を受信した無線端末収容装置1303は、その受信した認証情報取得応答を参照して「端末識別子」「認証情報(ユーザIDやパスワードなど)」を認証情報テーブル205に格納する(手順T1316)
The wireless
そして、無線端末収容装置1303は、認証情報取得応答から取得した認証情報に基づき無線端末1301との間で、IEEE802.1xに規定される認証処理を行い、その認証処理が完了すると、暗号化通信のためのやり取りを行って暗号鍵を生成し、暗号化通信を開始する(手順T1317)。
Then, the wireless
(D)無線端末収容装置及び通信装置の認証情報管理部の動作(図14〜図16)。図14は、移動先での接続時に行う認証動作における無線端末収容装置の認証情報管理部の動作を説明するフローチャートである。図15は、移動先での接続時に行う認証動作における通信装置の認証情報管理部の認証情報取得要求受信に対する動作を説明するフローチャートである。図16は、移動先での接続時に行う認証動作における通信装置の認証情報管理部の認証情報取得応答受信に対する動作を説明するフローチャートである。なお、各図では、処理ステップは、STと略記している。 (D) Operation of the authentication information management unit of the wireless terminal accommodating device and the communication device (FIGS. 14 to 16). FIG. 14 is a flowchart for explaining the operation of the authentication information management unit of the wireless terminal accommodating apparatus in the authentication operation performed at the time of connection at the movement destination. FIG. 15 is a flowchart for explaining the operation for the authentication information acquisition request reception of the authentication information management unit of the communication apparatus in the authentication operation performed at the time of connection at the movement destination. FIG. 16 is a flowchart for explaining the operation for the authentication information acquisition response reception of the authentication information management unit of the communication apparatus in the authentication operation performed at the time of connection at the movement destination. In each figure, the processing step is abbreviated as ST.
図14において、無線端末収容装置の認証情報管理部206では、認証情報取得応答を受信すると(ST1401)、認証情報(暗号鍵、ユーザIDやパスワードなど)を取得し(ST1402)、それが新規の認証情報であるときは、認証情報テーブル205に追加して、既に該当端末の認証情報が存在するならば、取得した認証情報を上書きする(ST1403)。
In FIG. 14, upon receiving an authentication information acquisition response (ST1401), authentication
また、通信装置の認証情報管理部404での認証情報取得要求受信時の動作は、図15に示すようになる。図15において、通信装置の認証情報管理部404では、認証情報取得要求を受信した場合(ST1501)は、その認証情報取得要求のパケットから端末MACアドレスを取得し(ST1502)、認証情報テーブル403に端末MACアドレスに一致するエントリが存在するか否かを判断する(ST1503)。
Further, the operation when the authentication information acquisition request is received by the authentication
認証情報テーブル403に端末MACアドレスに一致するエントリが存在する場合は(ST1503:Yes)、認証情報テーブルのエントリ情報を元に、宛先を認証情報取得要求の送信元とし、送信元を自通信装置とし、ペイロードに端末識別子(端末MACアドレス)と認証情報(暗号鍵、ユーザIDやパスワードなど)とを設定した認証情報取得応答を作成し(ST1504)、認証情報取得要求を受信したポートに向けて認証情報取得応答を送信し(ST1505)、「配下ポート」を認証情報取得応答を送出したポート番号に書き換える(ST1506)。 If there is an entry that matches the terminal MAC address in the authentication information table 403 (ST1503: Yes), based on the entry information in the authentication information table, the destination is the transmission source of the authentication information acquisition request, and the transmission source is the own communication device. And creating an authentication information acquisition response in which the terminal identifier (terminal MAC address) and authentication information (encryption key, user ID, password, etc.) are set in the payload (ST1504), toward the port that received the authentication information acquisition request An authentication information acquisition response is transmitted (ST1505), and “subordinate port” is rewritten to the port number that transmitted the authentication information acquisition response (ST1506).
一方、認証情報テーブル403に端末MACアドレスに一致するエントリが存在しない場合は(ST1503:No)、その端末MACアドレスに対応するエントリを生成し、認証情報テーブル403に格納する(ST1507)。この時点では、認証情報テーブル403における「認証情報」の欄は空欄である。そして、受信した認証情報取得要求を「認証サーバへの経路」と同じポートに転送する(ST1508)。 On the other hand, if there is no entry matching the terminal MAC address in authentication information table 403 (ST1503: No), an entry corresponding to the terminal MAC address is generated and stored in authentication information table 403 (ST1507). At this point, the “authentication information” field in the authentication information table 403 is blank. Then, the received authentication information acquisition request is transferred to the same port as the “route to the authentication server” (ST1508).
また、通信装置の認証情報管理部404での認証情報取得応答受信時の動作は、図16に示すようになる。図16において、通信装置の認証情報管理部404では、認証情報取得応答を受信した場合は(ST1601)、その受信した認証情報取得応答から認証情報を取得し(ST1602)、端末MACアドレスに対応するエントリに取得した認証情報を設定する(ST1603)。そして、受信した認証情報取得応答を「配下ポート」に転送する(ST1604)。
Further, the operation when the authentication information acquisition response is received by the authentication
以上のように、本実施の形態1によれば、無線端末が新しい無線端末収容装置の配下に移動した場合は、認証情報(暗号鍵、ユーザIDやパスワードなど)を認証サーバから取得することなく、通信ネットワークを構成する通信装置から取得することができるので、認証のための時間が短縮でき、また認証サーバの負荷を軽減することができる。 As described above, according to the first embodiment, when a wireless terminal moves under the control of a new wireless terminal accommodating apparatus, authentication information (encryption key, user ID, password, etc.) is not acquired from the authentication server. Since it can be acquired from the communication devices constituting the communication network, the time for authentication can be shortened and the load on the authentication server can be reduced.
このとき、認証サーバへの経路において障害が起きたときも、既に認証情報が無線端末収容装置で保持されている可能性が高いので、耐障害性も向上する。 At this time, even when a failure occurs in the route to the authentication server, it is highly likely that the authentication information is already held in the wireless terminal accommodating device, so that the fault tolerance is improved.
また、移動前の無線端末収容装置を直接束ねている通信装置は、常にその無線端末に対応する認証情報を保持しているので、無線端末は移動先の新しい無線端末収容装置から高い確率で直ぐに認証情報が取得できるので、伝送遅延の問題は生じない。 In addition, since the communication device that directly bundles the wireless terminal accommodating devices before movement always holds the authentication information corresponding to the wireless terminal, the wireless terminal immediately has a high probability from the new wireless terminal accommodating device that is the moving destination. Since authentication information can be acquired, there is no problem of transmission delay.
(実施の形態2)
本発明の実施の形態2では、移動した無線端末の認証処理後に、移動前に通信ネットワーク内に保持した認証情報を削除する構成例が示されている(図17〜図24)。ここでは、本実施の形態2に関わる部分を中心に説明する。
(Embodiment 2)
図17は、本発明の実施の形態2として、移動前に通信ネットワーク内に保持した認証情報の削除処理を説明するネットワーク図である(その1)。図17では、図9にて説明したように無線端末101が無線端末収容装置102bの配下に移動した場合に、移動前の無線端末収容装置102aが保持している認証情報(暗号鍵)を削除する場合が示されている。
FIG. 17 is a network diagram for explaining a deletion process of authentication information held in a communication network before moving as a second embodiment of the present invention (part 1). In FIG. 17, when the
図17において、通信装置103aの認証情報テーブル403には、移動前の認証時に認証情報を保持した無線端末収容装置102aに対する配下ポートが登録されている。通信装置103aは、無線端末収容装置102bからの認証情報取得要求901に対して認証情報取得応答902を返送すると、送信先を移動前の無線端末収容装置102aとし、送信元を自通信装置103aとし、ペイロードに無線端末101のMACアドレスを設定した認証情報削除要求1701を作成し、認証情報テーブル403に保持している配下ポートから送信する。
In FIG. 17, in the authentication information table 403 of the communication device 103a, a subordinate port for the wireless terminal
無線端末収容装置102aは、認証情報削除要求1701を受信すると、認証情報テーブル205に登録してある無線端末101の認証情報1703を削除し、送信先に認証情報削除要求1701を送信した通信装置103aを設定し、送信元に自無線端末収容装置102aを設定し、ペイロードに無線端末101のMACアドレスを設定した認証情報削除応答1702を作成し、網側に送信する。この認証情報削除応答1702は通信装置103aに受信される。
Upon receiving the authentication information deletion request 1701, the wireless
次に、図18は、本発明の実施の形態2として、移動前に通信ネットワーク内に保持した認証情報の削除処理を説明するシーケンス図である(その2)。図18では、図10にて説明したように、無線端末1001が無線端末収容装置1003の配下に移動した場合に、途中の通信装置1004及び移動前の無線端末収容装置1002がそれぞれ保持している認証情報(暗号鍵)を削除する場合が示されている。
Next, FIG. 18 is a sequence diagram for explaining the deletion processing of the authentication information held in the communication network before moving as the second embodiment of the present invention (part 2). In FIG. 18, as described with reference to FIG. 10, when the
図18において、認証情報取得要求を2番目に受信して認証情報取得応答を送信した通信装置1005は、送信先を移動前の無線端末収容装置1002とし、送信元を自通信装置1005とし、ペイロードに無線端末101のMACアドレスを設定した認証情報削除要求を作成し、認証情報テーブル403に保持している配下ポートから送信する(手順T1801)。この認証情報削除要求は、下位の通信装置1004を経由して無線端末収容装置1002に受信される。
In FIG. 18, the
認証情報削除要求を受信した無線端末収容装置1002では、保持していた認証情報(暗号鍵)を削除し(手順T1802)、送信先に認証情報削除要求を送信した通信装置1005を設定し、送信元に自無線端末収容装置1002を設定し、ペイロードに無線端末1001のMACアドレスを設定した認証情報削除応答を作成し網側に送信する(手順T1803)。この認証情報削除応答は通信装置1004に受信される。
The wireless
通信装置1004は、認証情報削除応答を受信すると、保持していた認証情報(暗号鍵)を削除し(手順T1804)、その受信した認証情報削除応答を認証サーバへのポートに中継転送する(手順T1805)。つまり、無線端末収容装置1002が送信した認証情報削除応答は通信装置1004を経由して通信装置1005に受信され、削除処理の完了が認識される。
Upon receiving the authentication information deletion response, the
次に、図19は、図18に示す認証情報の削除処理による無線端末収容装置及び通信装置の認証情報テーブルのエントリ状態を説明するネットワーク図である。図19では、図11に示したネットワーク状態において、移動前の無線端末収容装置102b及び途中に存在する通信装置103aの認証情報テーブルにおいて削除処理が行われる場合が示されている。
Next, FIG. 19 is a network diagram for explaining an entry state of the authentication information table of the wireless terminal accommodating device and the communication device by the authentication information deleting process shown in FIG. FIG. 19 shows a case where deletion processing is performed in the authentication information tables of the wireless
図19において、通信装置103cは、通信装置103bが中継した無線端末収容装置102cからの認証情報取得要求1102に対して認証情報取得応答1103を返送すると、送信先を移動前の無線端末収容装置102bとし、送信元を自通信装置103cとし、ペイロードに無線端末101のMACアドレスを設定した認証情報削除要求1901を作成し、認証情報テーブル403に保持している配下ポートから送信する。
In FIG. 19, when the
下位の通信装置103aは、認証情報削除要求1901を認証情報削除要求1902として配下ポートに中継転送する。この認証情報削除要求1902は無線端末収容装置102bに受信される。
The lower-level communication device 103a relays and transfers the authentication information deletion request 1901 to the subordinate port as the authentication information deletion request 1902. This authentication information deletion request 1902 is received by the wireless
無線端末収容装置102bは、認証情報削除要求1902を受信すると、認証情報テーブル205に登録してある無線端末101の認証情報(暗号鍵)1903を削除し、送信先に認証情報削除要求1902を送信した通信装置103cを設定し、送信元に自無線端末収容装置102bを設定し、ペイロードに無線端末101のMACアドレスを設定した認証情報削除応答1904を作成し、網側に送信する。この認証情報削除応答1904は通信装置103aに受信される。
When receiving the authentication information deletion request 1902, the wireless
通信装置103aは、認証情報削除応答1904を受信すると、認証情報テーブル403に登録してある無線端末101の認証情報(暗号鍵)1905を削除すると共に、その受信した認証情報削除応答1904を認証情報削除応答1906として認証サーバへのポートに送出する。これによって、認証情報削除応答1906は通信装置103cに受信され、削除処理の完了が認識される。
Upon receiving the authentication information deletion response 1904, the communication apparatus 103a deletes the authentication information (encryption key) 1905 of the
次に、図20は、本発明の実施の形態2として、移動前に通信ネットワーク内に保持した認証情報の削除処理を説明するシーケンス図である(その3)。図20では、図12にて説明したように、無線端末1201が無線端末収容装置1203の配下に移動した場合に、途中の通信装置1204及び移動前の無線端末収容装置1202がそれぞれ保持している認証情報(ユーザIDやパスワードなど)を削除する場合が示されている。
Next, FIG. 20 is a sequence diagram for explaining the deletion processing of authentication information held in the communication network before moving as the second embodiment of the present invention (part 3). In FIG. 20, as described with reference to FIG. 12, when the wireless terminal 1201 moves under the wireless
図20において、認証情報取得要求を2番目に受信して認証情報取得応答を送信した通信装置1205は、送信先を移動前の無線端末収容装置1202とし、送信元を自通信装置1205とし、ペイロードに無線端末101のMACアドレスを設定した認証情報削除要求を作成し、認証情報テーブル403に保持している配下ポートから送信する(手順T2001)。この認証情報削除要求は、下位の通信装置1204を経由して無線端末収容装置1202に受信される。
In FIG. 20, the
認証情報削除要求を受信した無線端末収容装置1202では、保持していた認証情報(ユーザIDやパスワードなど)を削除し(手順T2002)、送信先に認証情報削除要求を送信した通信装置1205を設定し、送信元に自無線端末収容装置1202を設定し、ペイロードに無線端末1201のMACアドレスを設定した認証情報削除応答を作成し、網側に送信する(手順2003)。この認証情報削除応答は通信装置1204に受信される。
The wireless
通信装置1204は、認証情報削除応答を受信すると、保持していた認証情報(ユーザIDやパスワードなど)を削除し(手順T2004)、その受信した認証情報削除応答を認証サーバへのポートに中継転送する(手順T2005)。つまり、無線端末収容装置1202が送信した認証情報削除応答は通信装置1204を経由して通信装置1205に受信され、削除処理の完了が認識される。
Upon receiving the authentication information deletion response, the
次に、図21〜図24を参照して、移動前の無線端末収容装置及び通信装置での認証情報管理部の動作を説明する。図21は、無線端末収容装置の認証情報管理部での認証情報の削除処理動作を説明するフローチャートである。図21において、無線端末収容装置の認証情報管理部206では、認証情報削除要求を受け取ると(ST2101)、認証情報テーブル205から端末MACアドレスを対応付けているエントリを削除する(ST2102)。そして、認証情報削除応答を作成し網側送受信部201を通して網側に送出する(ST2103)。
Next, the operation of the authentication information management unit in the wireless terminal accommodating device and the communication device before movement will be described with reference to FIGS. FIG. 21 is a flowchart for explaining an authentication information deletion processing operation in the authentication information management unit of the wireless terminal accommodating apparatus. In FIG. 21, upon receiving an authentication information deletion request (ST2101), authentication
また、図22は、通信装置の認証情報管理部での認証情報取得要求受信時に行われる認証情報削除要求の生成処理動作を説明するフローチャートである。なお、図22では、図15に示した処理手順と同一ないしは同等である手順には同一の符号が付されている。ここで、実施の形態2に関わる部分を説明する。図22において、ST1505にて認証情報取得応答を送信すると、認証情報取得削除要求を作成して認証情報取得テーブル403の配下ポートから送信し(ST2201)、ST1506に進む。
FIG. 22 is a flowchart for explaining an authentication information deletion request generation processing operation performed when an authentication information acquisition request is received by the authentication information management unit of the communication apparatus. In FIG. 22, the same reference numerals are given to procedures that are the same as or equivalent to the processing procedures shown in FIG. Here, the part related to
また、図23は、認証情報削除要求を中継する通信装置の認証情報管理部での認証情報削除要求受信時に行われる転送処理動作を説明するフローチャートである。図23において、認証情報削除要求を受信すると(ST2301)、認証情報テーブル403のエントリの中で、認証情報削除要求の中の端末MACアドレスと一致するエントリの配下ポートにそのまま認証情報削除要求を転送する(ST2302)。 FIG. 23 is a flowchart for explaining a transfer processing operation performed when an authentication information deletion request is received by the authentication information management unit of the communication apparatus that relays the authentication information deletion request. 23, when the authentication information deletion request is received (ST2301), the authentication information deletion request is transferred as it is to the subordinate port of the entry that matches the terminal MAC address in the authentication information deletion request in the authentication information table 403. (ST2302).
また、図24は、通信装置の認証情報管理部での認証情報削除応答受信時に行われる転送処理動作を説明するフローチャートである。図24において、通信装置の認証情報管理部404では、認証情報削除応答を受信すると(ST2401)、自通信装置が認証情報削除要求を作成して発信したか否かを判断する(ST2402)。その結果、自通信装置は認証情報削除要求を発信していない場合は(ST2402:No)、その受信した認証情報削除応答を該当端末のエントリの「認証サーバへのポート」に転送する(ST2403)。その後、認証情報テーブル403から該当端末のエントリを削除する(ST2404)。自通信装置が認証情報削除要求を作成して発信した場合は(ST2402:Yes)、その認証情報削除応答の受信によって削除処理の終了を認識する。
FIG. 24 is a flowchart illustrating a transfer processing operation performed when an authentication information deletion response is received by the authentication information management unit of the communication apparatus. 24, when an authentication information deletion response is received (ST2401), authentication
以上のように、本実施の形態2によれば、古い経路の認証情報は常に削除するので、スケーラビリティの高いシステムが得られる。 As described above, according to the second embodiment, the authentication information of the old route is always deleted, so that a highly scalable system can be obtained.
(実施の形態3)
本発明の実施の形態3では、実施の形態2と同様に移動した無線端末の認証処理後に、移動前に通信ネットワーク内に保持した認証情報を削除するが、直ぐに削除するのではなく、一定時間経過後に削除する構成例が示されている(図25、図26)。ここでは、本実施の形態3に関わる部分を中心に説明する。図25は、本発明の実施の形態3として、移動前に通信ネットワーク内に保持した認証情報の削除処理を一定時間経過後に行う場合を説明するネットワーク図である。図26は、図25に示す一定時間経過後に認証情報の削除処理を行う場合を説明するシーケンス図である。
(Embodiment 3)
In the third embodiment of the present invention, the authentication information held in the communication network before the movement is deleted after the authentication processing of the wireless terminal that has moved as in the second embodiment. A configuration example of deleting after elapse is shown (FIGS. 25 and 26). Here, the description will focus on the part related to the third embodiment. FIG. 25 is a network diagram for explaining a case where the authentication information held in the communication network before moving is deleted after a predetermined time has passed as the third embodiment of the present invention. FIG. 26 is a sequence diagram illustrating a case where the authentication information deletion process is performed after the lapse of a predetermined time shown in FIG.
図25では、図11に示したネットワーク状態において、移動前の無線端末収容装置102b及び途中に存在する通信装置103aの認証情報テーブルにおける削除処理が一定時間経過後に行われる場合が示されている。
FIG. 25 shows a case where, in the network state shown in FIG. 11, the deletion process in the authentication information table of the wireless
図25において、通信装置103cは、通信装置103bが中継した無線端末収容装置102cからの認証情報取得要求1102に対して認証情報取得応答1103を返送すると、送信先を移動前の無線端末収容装置102bとし、送信元を自通信装置103cとし、ペイロードに無線端末101のMACアドレスを設定した認証情報削除要求2501を作成し、認証情報テーブル403に保持している配下ポートから送信する。
In FIG. 25, when the
下位の通信装置103aは、認証情報削除要求2501を認証情報削除要求2502として配下ポートに中継転送する。この認証情報削除要求2502は無線端末収容装置102bに受信される。
The lower-level communication device 103a relays and transfers the authentication information deletion request 2501 to the subordinate port as the authentication information deletion request 2502. This authentication information deletion request 2502 is received by the wireless
無線端末収容装置102bは、認証情報削除要求2502を受信すると、削除タイマをスタートさせる。そして、送信先に認証情報削除要求2502を送信した通信装置103cを設定し、送信元に自無線端末収容装置102bを設定し、ペイロードに無線端末101のMACアドレスを設定した認証情報削除応答2503を作成し、網側に送信する。この認証情報削除応答2503は通信装置103aに受信される。
When receiving the authentication information deletion request 2502, the wireless
無線端末収容装置102bでは、削除タイマがタイムアップするまでの一定時間内、認証情報テーブル205に登録してある無線端末101の認証情報(暗号鍵)2504は保持され、削除タイマが一定時間を計時してタイムアップすると、認証情報(暗号鍵)2504は削除される。
In the wireless
通信装置103aは、認証情報削除応答2503を受信すると、削除タイマをスタートさせるとともに、受信した認証情報削除応答2503を認証情報削除応答2505として認証サーバへのポートに送出する。これによって、認証情報削除応答2505は通信装置103cに受信される。
Upon receiving the authentication information deletion response 2503, the communication apparatus 103a starts a deletion timer and sends the received authentication information deletion response 2503 to the port to the authentication server as the authentication information deletion response 2505. As a result, the authentication information deletion response 2505 is received by the
通信装置103aでは、削除タイマがタイムアップするまでの一定時間内、認証情報テーブル403に登録してある無線端末101の認証情報(暗号鍵)2506は保持され、削除タイマが一定時間を計時してタイムアップすると、認証情報(暗号鍵)2506は削除される。
In the communication device 103a, the authentication information (encryption key) 2506 of the
次に、図26において、通信装置1005は、認証情報取得応答を認証情報取得要求が入力したポートから送信すると(手順T1009)、送信先を移動前の無線端末収容装置1002とし、送信元を自通信装置1005とし、ペイロードに無線端末101のMACアドレスを設定した認証情報削除要求を作成し、認証情報テーブル403に保持している配下ポートから送信する(手順T2601)。この認証情報削除要求は、通信装置1004を経由して移動前の無線端末収容装置1002に受信される。
Next, in FIG. 26, when the
無線端末収容装置1002では、認証情報削除要求を受信すると、削除タイマをスタートさせる(手順T2602)。そして、送信先に認証情報削除要求を送信した通信装置1005を設定し、送信元に自無線端末収容装置1002を設定し、ペイロードに無線端末101のMACアドレスを設定した認証情報削除応答を作成し、網側に送信する(手順T2603)。この認証情報削除応答は通信装置1004に受信される。
When receiving the authentication information deletion request, the wireless
無線端末収容装置1002では、削除タイマがタイムアップするまでの一定時間内、認証情報テーブル205に登録してある無線端末101の認証情報(暗号鍵)は保持され、削除タイマが一定時間を計時してタイムアップすると、認証情報(暗号鍵)は削除される(手順T2604)。
In the wireless
通信装置1004は、認証情報削除応答を受信すると、削除タイマをスタートさせる(手順T2605)。そして、受信した認証情報削除応答を認証サーバへのポートに送出する(手順T2606)。これによって、認証情報削除応答は通信装置1005に受信される。
Upon receiving the authentication information deletion response, the
通信装置1004では、削除タイマがタイムアップするまでの一定時間内、認証情報テーブル403に登録してある無線端末101の認証情報(暗号鍵)は保持され、削除タイマが一定時間を計時してタイムアップすると、認証情報(暗号鍵)は削除される(手順T2607)。
In the
次に、図27、図28を参照して移動前の無線端末収容装置及び通信装置の認証情報管理部での動作について説明する。図27は、移動前の無線端末収容装置の認証情報管理部での一定時間経過後に認証情報の削除処理を行う動作を説明するフローチャートである。図28は、通信装置の認証情報管理部での一定時間経過後に認証情報の削除処理を行う動作を説明するフローチャートである。 Next, operations in the authentication information management unit of the wireless terminal accommodating device and the communication device before movement will be described with reference to FIG. 27 and FIG. FIG. 27 is a flowchart for explaining an operation of performing authentication information deletion processing after a predetermined time has elapsed in the authentication information management unit of the wireless terminal accommodating apparatus before movement. FIG. 28 is a flowchart for explaining an operation of performing authentication information deletion processing after a predetermined time has elapsed in the authentication information management unit of the communication apparatus.
図27において、移動前の無線端末収容装置の認証情報管理部206では、認証情報削除要求を網側送受信部201から受け取ると(ST2701)、削除タイマをスタートさせ(ST2702)、認証情報削除応答を作成し、網側に送信する(ST2703)。そして、削除タイマがタイムアップするのを監視し(ST2704)、削除タイマがタイムアップすると(ST2704:Yes)、認証情報テーブル205から端末MACアドレスに対応するエントリを削除する(ST2705)。
In FIG. 27, when the authentication
図28において、通信装置の認証情報管理部404では、認証情報削除応答を受信すると(ST2801)、自通信装置が認証情報削除要求を作成して発信したか否かを判断する(ST2802)。その結果、自通信装置は認証情報削除要求を発信していない場合は(ST2802:No)、その受信した認証情報削除応答を該当端末のエントリの「認証サーバへのポート」に転送する(ST2803)。同時に、削除タイマをスタートさせる(ST2804)。そして、削除タイマがタイムアップするのを監視し(ST2805)、削除タイマがタイムアップすると(ST2805:Yes)、認証情報テーブル403から該当端末のエントリを削除する(ST2806)。自通信装置が認証情報削除要求を作成して発信した場合は(ST2802:Yes)、その認証情報削除応答の受信によって削除処理の終了を認識する。
In FIG. 28, when receiving an authentication information deletion response (ST2801), authentication
以上のように、本実施の形態3によれば、今までに接続していた無線端末収容装置及びその上位に接続されている通信装置に認証情報が一定期間内残っているので、その一定期間内に再び接続していた無線端末収容装置に戻るときは直ぐに認証情報が取得できるようになる。 As described above, according to the third embodiment, since authentication information remains within a certain period of time in the wireless terminal accommodating apparatus that has been connected so far and the communication apparatus that is connected to the wireless terminal accommodating apparatus. The authentication information can be acquired immediately when returning to the wireless terminal accommodating apparatus connected again.
(実施の形態4)
図29及び図30は、本発明の実施の形態4に係る無線ネットワークシステムにおける無線端末収容装置及び通信装置の構成を示すブロック図である。本実施の形態4では、無線端末収容装置では、図29に示すようにアクセス計測部2901が追加され、通信装置では、図30に示すようにアクセス計測部3001が追加されている。
(Embodiment 4)
29 and 30 are block diagrams showing configurations of a radio terminal accommodating device and a communication device in the radio network system according to
図31は、アクセス計測部2901、3001にて計測するユーザ毎のアクセス量を説明する図である。図31に示すように、アクセス計測部2901、3001では、例えばユーザ毎の最近1日のアクセス量[byte]をカウントして保持するようにしている。ここで、ユーザの区別は、全て端末のMACアドレスによって行う。すなわち、端末のMACアドレス毎に一定時間のアクセス量[byte]を測っている。なお、図31では、最近1日のアクセス量を例示しているが、メモリに余裕があれば計測時間を長くしてもよいし、余裕がなければ計測時間を短くしてもよい。
FIG. 31 is a diagram for explaining the access amount for each user measured by the
図32は、認証情報管理部206、404が保持する認証情報を削除するための削除タイマのタイマ時間(認証情報削除までの時間)と、アクセス計測部2901、3001にて計測するアクセス量との関係を説明する図である。
FIG. 32 is a diagram illustrating the relationship between the timer time of the deletion timer for deleting authentication information held by the authentication
実施の形態3では、一律に一定時間で削除していたが、本実施の形態4では、図32に示すように、アクセス量の多寡によってタイマ時間を変えることができる。例えば、図32に示すように、最近1日のアクセス量が2Mbyteを超える場合は、認証情報は削除されるまで24時間かかるが、10kbyte未満の場合には10分経過後に削除されることになる。なお、図31や図32では、アクセス量を基準にしているが、アクセス時間を元にしてもよい。 In the third embodiment, the data is deleted uniformly at a constant time. However, in the fourth embodiment, as shown in FIG. 32, the timer time can be changed depending on the amount of access. For example, as shown in FIG. 32, when the access amount of the most recent day exceeds 2 Mbytes, it takes 24 hours until the authentication information is deleted, but when it is less than 10 kbytes, it is deleted after 10 minutes. . In FIG. 31 and FIG. 32, the access amount is used as a reference, but it may be based on the access time.
以上のように、本実施の形態4によれば、あるアクセスポイントに多くアクセスしたユーザは、一旦そのアクセスポイントから離れても、そのアクセスポイントでは長時間認証情報を保持しておくことができるので、再びそのアクセスポイントにアクセスしたとき、認証情報を直ぐに取得できるようになる。 As described above, according to the fourth embodiment, a user who has frequently accessed a certain access point can hold authentication information for a long time even if the user has left the access point once. When the access point is accessed again, the authentication information can be obtained immediately.
また、今までにより多く接続していたユーザに対しては認証情報を長く保持し、接続があまりないユーザの認証情報を先に削除することができるので、システム全体として保持する認証情報を少なくしながら、ユーザが移動したときに直ぐに認証情報を取得できる確率を上げることができる。 In addition, authentication information for users who have been connected more than before can be retained for a long time, and authentication information for users who do not have much connection can be deleted first. However, it is possible to increase the probability that the authentication information can be acquired immediately when the user moves.
(実施の形態5)
本発明の実施の形態5では、無線端末収容装置及び通信装置がそれぞれ有する削除タイマのタイマ時間(認証情報削除までの時間)として、無線端末収容装置から網の上位に進むに連れて認証情報削除までの時間を長く設定する場合の構成例が示されている。
(Embodiment 5)
In the fifth embodiment of the present invention, authentication information is deleted as the timer time (time until authentication information is deleted) of each of the wireless terminal accommodating device and the communication device is advanced from the wireless terminal accommodating device to the higher level of the network. A configuration example in the case of setting a long time until is shown.
これは、最も多く設置する必要があるアクセスポイントである無線端末収容装置ではメモリ量を少なくしたいので、あまり多くの認証情報を保持しない方がよい。一方、より上位に置かれるスイッチである通信装置は、数が少ないので、メモリを沢山積んだハードウエアでもコストアップの要因は小さいことに着目したものである。 This is because the wireless terminal accommodating apparatus, which is the access point that needs to be installed most frequently, wants to reduce the amount of memory, so it is better not to hold too much authentication information. On the other hand, attention is paid to the fact that the number of communication devices, which are switches placed at a higher level, is small, so that the cost increase factor is small even with hardware having a large amount of memory.
具体的には、無線端末収容装置及び通信装置がそれぞれ有する削除タイマのタイマ時間(認証情報削除までの時間)を例えば図33に示すように設定する。図33は、本発明の実施の形態5として、無線端末収容装置及び通信装置の認証情報管理部が備える削除タイマのタイマ時間(認証情報削除までの時間)の関係を説明する図である。なお、図33において、第一通信装置とは、無線端末収容装置を直接収容している通信装置である。第二通信装置とは、第一通信装置を直接収容している通信装置である。
Specifically, for example, the timer time of the deletion timer (time until authentication information deletion) that each of the wireless terminal accommodating device and the communication device has is set as shown in FIG. FIG. 33 is a diagram for explaining the relationship of the timer times (time until authentication information deletion) of the deletion timer included in the authentication information management unit of the wireless terminal accommodating device and the communication device, as
図33に示すように、無線端末収容装置と第一通信装置と第二通信装置とでは、削除タイマのタイマ時間は異なり、無線端末収容装置が最も短い時間で削除され、第一通信装置、第二通信装置と順番に長く保持するように設定される。 As shown in FIG. 33, the wireless terminal accommodating device, the first communication device, and the second communication device have different timer times of the deletion timer, and the wireless terminal accommodating device is deleted in the shortest time. Two communication devices are set so as to keep long in order.
以上のように、本実施の形態5によれば、網の階層上位に配置する通信装置は無線端末収容装置に比べて長めに認証情報を保持するので、無線端末が移動したときに認証情報を直ぐ取得できる確率を上げることができる。 As described above, according to the fifth embodiment, the communication device arranged higher in the hierarchy of the network holds the authentication information longer than the wireless terminal accommodating device, so that the authentication information is stored when the wireless terminal moves. The probability that it can be acquired immediately can be increased.
また、無線端末収容装置では認証情報の保持時間を短くし、網側の通信装置では認証情報の保持時間を長めにしておくことで、システム全体として最も数の多い無線端末収容装置のメモリを少なくすることができ、実施の形態1から3の効果を得ながらシステム全体としてのコストを減らすことができる。 In addition, by shortening the authentication information holding time in the wireless terminal accommodating device and increasing the authentication information holding time in the network side communication device, the memory of the largest number of wireless terminal accommodating devices as a whole system is reduced. Therefore, the cost of the entire system can be reduced while obtaining the effects of the first to third embodiments.
(実施の形態6)
本発明の実施の形態6では、実施の形態4と実施の形態5とを組み合わせた構成例が示されている。図34に具体例を示してある。図34は、本発明の実施の形態6として、無線端末収容装置及び通信装置の認証情報管理部がそれぞれ備える削除タイマのタイマ時間(認証情報削除までの時間)と図29及び図30に示すアクセス計測部にて計測するアクセス量との関係を説明する図である。
(Embodiment 6)
In the sixth embodiment of the present invention, a configuration example in which the fourth embodiment and the fifth embodiment are combined is shown. A specific example is shown in FIG. FIG. 34 shows, as Embodiment 6 of the present invention, the timer time (time until authentication information deletion) of the authentication information management unit of the wireless terminal accommodating device and the communication device, and the access shown in FIGS. It is a figure explaining the relationship with the access amount measured in a measurement part.
図34に示すように、実施の形態4と同様に最近1日のアクセス量の多寡によってタイマ時間(認証情報削除までの時間)を変える。このとき、タイマ時間(認証情報削除までの時間)は、実施の形態5と同様に、無線端末収容装置では認証情報を削除するまでの時間を短くし、より網側に置かれる第一通信装置、第二通信装置では認証情報削除されるまでの時間を長くするのである。 As shown in FIG. 34, the timer time (time until deletion of authentication information) is changed according to the amount of access in the last day, as in the fourth embodiment. At this time, the timer time (time until authentication information deletion) is the same as in the fifth embodiment, in the wireless terminal accommodating device, the time until the authentication information is deleted is shortened, and the first communication device placed on the network side more. In the second communication device, the time until the authentication information is deleted is lengthened.
本実施の形態6によれば、最も多く設置されるアクセスポイントである無線端末収容装置では、メモリを少なくできるという実施の形態5の効果と、より多くアクセスするユーザに対して、すばやく認証情報を取得させるという実施の形態4の効果を併せ持つことができる。 According to the sixth embodiment, in the wireless terminal accommodating apparatus that is the most frequently installed access point, the effect of the fifth embodiment that the memory can be reduced and the authentication information can be quickly given to the user who accesses more. It is possible to have the effect of the fourth embodiment that acquisition is performed.
また、今までにより多く接続していたユーザに対して認証情報を長く保持し、接続があまりないユーザの認証情報を先に削除するという実施の形態4の方法と、無線端末収容装置では認証情報の保持時間を短くし、網側の通信装置では認証情報の保持時間を長めにしておくという実施の形態5の方法とを合わせ持つことで、システム全体としてのコストを減らしながら、ユーザが移動したときに直ぐに認証情報を取得できる確率を上げることができるようになる。
In addition, the method of
本発明は、認証サーバの負荷の軽減と認証時間の短縮を図り、かつ高い確率で新しいアクセスポイントから短時間内に暗号化通信を開始できるようにする無線ネットワークシステムを構築するのに好適である。 INDUSTRIAL APPLICABILITY The present invention is suitable for constructing a wireless network system that can reduce the load on the authentication server and shorten the authentication time and can start encrypted communication within a short time from a new access point with a high probability. .
101 無線端末
102a、102b、102c 無線端末収容装置
103a、103b、103c 通信装置
104 認証サーバ
201 網側送受信部
202 アンテナ部
203 宅側送受信部
204 暗復号転送部
205 認証情報テーブル
206 認証情報管理部
207 初期認証処理部
401−1〜401−n 送受信部
402 転送部
403 認証情報テーブル
404 認証情報管理部
2901、3001 アクセス計測部
DESCRIPTION OF
Claims (8)
前記認証サーバは、前記無線端末収容装置に最初に接続した無線端末についての認証に成功したとき認証成功通知を送信する手段を具備し、
無線端末が最初に接続した前記無線端末収容装置及びこの無線端末収容装置に前記認証成功通知を中継転送する経路に存在する前記通信装置は、それぞれ、前記認証成功通知から前記無線端末が用いる認証情報を取り出して保存する手段を具備し、
前記無線端末から認証要求を受けた移動先の無線端末収容装置は、認証情報取得要求を作成して前記通信ネットワークに送信し、前記通信ネットワークから受信した認証情報取得応答から前記無線端末が用いる認証情報を取り出して保存するとともに、前記無線端末に認証応答を送信する手段を具備し、
前記移動先の無線端末収容装置が前記通信ネットワークに送信した前記認証情報取得要求を前記認証サーバに向けて中継転送する経路に存在する前記通信装置のうち前記無線端末が用いる認証情報を保時する通信装置は、前記認証情報取得応答を作成して前記移動先の無線端末収容装置に向けて送信する手段と、認証情報削除要求を作成して前記無線端末が最初に接続した無線端末収容装置に向けて送信する手段とを具備し、
前記無線端末が最初に接続した無線端末収容装置は、前記認証情報削除要求を受信して認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した通信装置に向けて送信するとともに、保持している認証情報を一定時間経過後に削除する手段と、保持している認証情報を削除するまでの一定時間を前記無線端末のアクセス状態に応じて変更する手段とを具備することを特徴とする無線ネットワークシステム。 A plurality of wireless terminal accommodating devices that are access points of wireless terminals, a large number of communication devices that form a communication network by bundling the plurality of wireless terminal accommodating devices, and are arranged on the communication network and connected to the wireless terminal accommodating device In a wireless network system comprising an authentication server that authenticates a wireless terminal that intends encrypted communication,
The authentication server comprises means for transmitting an authentication success notification when the authentication of the wireless terminal first connected to the wireless terminal accommodating device is successful;
Authentication information used by the wireless terminal from the authentication success notification is respectively used for the wireless terminal accommodating device to which the wireless terminal is first connected and the communication device existing in the path for relaying and transferring the authentication success notification to the wireless terminal accommodating device. comprising a means for storing is taken out,
The destination wireless terminal accommodating apparatus that has received the authentication request from the wireless terminal creates an authentication information acquisition request and transmits it to the communication network, and the authentication used by the wireless terminal from the authentication information acquisition response received from the communication network Retrieving and storing information, and means for transmitting an authentication response to the wireless terminal,
The authentication information used by the wireless terminal among the communication devices existing in the path for relaying and forwarding the authentication information acquisition request transmitted by the destination wireless terminal accommodating device to the communication network to the authentication server is held. A communication device that creates the authentication information acquisition response and transmits the response to the destination wireless terminal accommodating device, and creates an authentication information deletion request to the wireless terminal accommodating device to which the wireless terminal first connected Means for transmitting to,
The wireless terminal accommodating apparatus to which the wireless terminal is first connected receives the authentication information deletion request, generates an authentication information deletion response, and transmits the authentication information deletion request to the communication apparatus that has generated and transmitted the authentication information deletion request. A means for deleting the stored authentication information after a lapse of a predetermined time; and a means for changing a predetermined time until the stored authentication information is deleted according to the access state of the wireless terminal. A wireless network system.
前記認証サーバは、前記無線端末収容装置に最初に接続した無線端末についての認証に成功したとき認証成功通知を送信する手段を具備し、
無線端末が最初に接続した前記無線端末収容装置及びこの無線端末収容装置に前記認証成功通知を中継転送する経路に存在する前記通信装置は、それぞれ、前記認証成功通知から前記無線端末が用いる認証情報を取り出して保存する手段を具備し、
前記無線端末から認証要求を受けた移動先の無線端末収容装置は、認証情報取得要求を作成して前記通信ネットワークに送信し、前記通信ネットワークから受信した認証情報取得応答から前記無線端末が用いる認証情報を取り出して保存するとともに、前記無線端末に認証応答を送信する手段を具備し、
前記移動先の無線端末収容装置が前記通信ネットワークに送信した前記認証情報取得要求を前記認証サーバに向けて中継転送する経路に存在する前記通信装置のうち前記無線端末が用いる認証情報を保時する通信装置は、前記認証情報取得応答を作成して前記移動先の無線端末収容装置に向けて送信する手段と、認証情報削除要求を作成して前記無線端末が最初に接続した無線端末収容装置に向けて送信する手段とを具備し、
前記無線端末が最初に接続した無線端末収容装置は、前記認証情報削除要求を受信して認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した通信装置に向けて送信するとともに、保持している認証情報を一定時間経過後に削除する手段とを具備し、
前記無線端末が最初に接続した無線端末収容装置が送信する認証情報削除応答を、前記認証情報削除要求を作成して送信した通信装置まで中継転送する経路に存在する通信装置のうち認証情報を保持する通信装置は、その保持する認証情報を一定時間経過後に削除する手段と、その保持している認証情報を削除するまでの一定時間を前記無線端末のアクセス状態に応じて変更する手段とを具備することを特徴とする無線ネットワークシステム。 A plurality of wireless terminal accommodating devices that are access points of wireless terminals, a large number of communication devices that form a communication network by bundling the plurality of wireless terminal accommodating devices, and are arranged on the communication network and connected to the wireless terminal accommodating device In a wireless network system comprising an authentication server that authenticates a wireless terminal that intends encrypted communication,
The authentication server comprises means for transmitting an authentication success notification when the authentication of the wireless terminal first connected to the wireless terminal accommodating device is successful;
Authentication information used by the wireless terminal from the authentication success notification is respectively used for the wireless terminal accommodating device to which the wireless terminal is first connected and the communication device existing in the path for relaying and transferring the authentication success notification to the wireless terminal accommodating device. Means for taking out and storing
The destination wireless terminal accommodating apparatus that has received the authentication request from the wireless terminal creates an authentication information acquisition request and transmits it to the communication network, and the authentication used by the wireless terminal from the authentication information acquisition response received from the communication network Retrieving and storing information, and means for transmitting an authentication response to the wireless terminal,
The authentication information used by the wireless terminal among the communication devices existing in the path for relaying and forwarding the authentication information acquisition request transmitted by the destination wireless terminal accommodating device to the communication network to the authentication server is held. A communication device that creates the authentication information acquisition response and transmits the response to the destination wireless terminal accommodating device, and creates an authentication information deletion request to the wireless terminal accommodating device to which the wireless terminal first connected Means for transmitting to,
The wireless terminal accommodating apparatus to which the wireless terminal is first connected receives the authentication information deletion request, generates an authentication information deletion response, and transmits the authentication information deletion request to the communication apparatus that has generated and transmitted the authentication information deletion request. And means for deleting the stored authentication information after a predetermined time,
Holds authentication information among communication devices that exist in the path for relaying and forwarding the authentication information deletion response transmitted by the wireless terminal accommodating device to which the wireless terminal is first connected to the communication device that created and transmitted the authentication information deletion request The communication device includes a unit that deletes the held authentication information after a predetermined time, and a unit that changes a predetermined time until the held authentication information is deleted according to the access state of the wireless terminal. A wireless network system.
前記認証サーバは、前記無線端末収容装置に最初に接続した無線端末についての認証に成功したとき認証成功通知を送信する手段を具備し、
無線端末が最初に接続した前記無線端末収容装置及びこの無線端末収容装置に前記認証成功通知を中継転送する経路に存在する前記通信装置は、それぞれ、前記認証成功通知から前記無線端末が用いる認証情報を取り出して保存する手段を具備し、
前記無線端末から認証要求を受けた移動先の無線端末収容装置は、認証情報取得要求を作成して前記通信ネットワークに送信し、前記通信ネットワークから受信した認証情報取得応答から前記無線端末が用いる認証情報を取り出して保存するとともに、前記無線端末に認証応答を送信する手段を具備し、
前記移動先の無線端末収容装置が前記通信ネットワークに送信した前記認証情報取得要求を前記認証サーバに向けて中継転送する経路に存在する前記通信装置のうち前記無線端末が用いる認証情報を保時する通信装置は、前記認証情報取得応答を作成して前記移動先の無線端末収容装置に向けて送信する手段と、認証情報削除要求を作成して前記無線端末が最初に接続した無線端末収容装置に向けて送信する手段とを具備し、
前記無線端末が最初に接続した無線端末収容装置は、前記認証情報削除要求を受信して認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した通信装置に向けて送信するとともに、保持している認証情報を一定時間経過後に削除する手段を具備し、
前記無線端末が最初に接続した無線端末収容装置が送信する認証情報削除応答を中継転送する経路に存在する通信装置は、その保持する認証情報を一定時間経過後に削除する手段を具備する場合において、
前記認証情報を削除する一定時間は、無線端末収容装置では短く、通信装置では網の階層位置が上位に行くほど長くなるように設定されていることを特徴とする無線ネットワークシステム。 A plurality of wireless terminal accommodating devices that are access points of wireless terminals, a large number of communication devices that form a communication network by bundling the plurality of wireless terminal accommodating devices, and are arranged on the communication network and connected to the wireless terminal accommodating device In a wireless network system comprising an authentication server that authenticates a wireless terminal that intends encrypted communication,
The authentication server comprises means for transmitting an authentication success notification when the authentication of the wireless terminal first connected to the wireless terminal accommodating device is successful;
Authentication information used by the wireless terminal from the authentication success notification is respectively used for the wireless terminal accommodating device to which the wireless terminal is first connected and the communication device existing in the path for relaying and transferring the authentication success notification to the wireless terminal accommodating device. Means for taking out and storing
The destination wireless terminal accommodating apparatus that has received the authentication request from the wireless terminal creates an authentication information acquisition request and transmits it to the communication network, and the authentication used by the wireless terminal from the authentication information acquisition response received from the communication network Retrieving and storing information, and means for transmitting an authentication response to the wireless terminal,
The authentication information used by the wireless terminal among the communication devices existing in the path for relaying and forwarding the authentication information acquisition request transmitted by the destination wireless terminal accommodating device to the communication network to the authentication server is held. A communication device that creates the authentication information acquisition response and transmits the response to the destination wireless terminal accommodating device, and creates an authentication information deletion request to the wireless terminal accommodating device to which the wireless terminal first connected Means for transmitting to ,
The wireless terminal accommodating apparatus to which the wireless terminal is first connected receives the authentication information deletion request, generates an authentication information deletion response, and transmits the authentication information deletion request to the communication apparatus that has generated and transmitted the authentication information deletion request. , Comprising means for deleting the stored authentication information after a certain period of time ,
In the case where the communication device existing in the route for relaying and forwarding the authentication information deletion response transmitted by the wireless terminal accommodating device to which the wireless terminal is first connected has a means for deleting the retained authentication information after elapse of a predetermined time ,
The wireless network system according to claim 1, wherein the predetermined time for deleting the authentication information is set to be short for the wireless terminal accommodating device and longer for the communication device as the hierarchical level of the network goes higher.
無線端末の識別子と認証情報とを関連付けて記憶する認証情報テーブルと、
最初に接続した無線端末に対する認証手続きが成功したとき前記認証情報テーブルにその無線端末の識別子と認証情報とを関連付けて保存する手段と、
網側から認証情報削除要求を受信したとき、認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した網側の通信装置に向けて送信する手段と、
前記認証情報テーブルに保持している対応する認証情報を一定時間経過後に削除する手段と、
無線端末のアクセス状態を計測する手段と、
前記認証情報テーブルに保持している対応する認証情報を削除するまでの一定時間を前記計測した無線端末のアクセス状態に応じて変更する手段と、
を具備することを特徴とする無線端末収容装置。 In a wireless network system in which an authentication server for authenticating a wireless terminal exists, a wireless terminal accommodating apparatus that is an access point to which the wireless terminal is connected ,
An authentication information table for storing the identifier and authentication information of the wireless terminal in association with each other;
Means for associating and storing the identifier and authentication information of the wireless terminal in the authentication information table when the authentication procedure for the first connected wireless terminal is successful;
Means for creating an authentication information deletion response when receiving an authentication information deletion request from the network side, and transmitting the authentication information deletion request to the network-side communication device that has transmitted,
Means for deleting the corresponding authentication information held in the authentication information table after a predetermined time;
Means for measuring the access state of the wireless terminal;
Means for changing a predetermined time until the corresponding authentication information held in the authentication information table is deleted according to the measured access state of the wireless terminal;
A wireless terminal accommodating apparatus comprising:
前記無線端末に認証応答を送信する手段と、を更に具備することを特徴とする請求項5記載の無線端末収容装置。 Authentication information used by the wireless terminal based on an authentication information acquisition response received from the network side communication device, which is generated and transmitted to the authentication server based on an authentication request from a wireless terminal that has moved under the control Means for taking out and storing in the authentication information table ;
Wireless terminal accommodating apparatus according to claim 5, wherein the further and means for transmitting an authentication response to the wireless terminal.
無線端末の識別子と認証情報とを関連付けて記憶する認証情報テーブルと、 An authentication information table for storing the identifier of the wireless terminal and the authentication information in association with each other;
最初に接続した無線端末に対する認証手続きが成功したとき前記認証情報テーブルにその無線端末の識別子と認証情報とを関連付けて保存する手段と、 Means for associating and storing the identifier and authentication information of the wireless terminal in the authentication information table when the authentication procedure for the first connected wireless terminal is successful;
網側から認証情報削除要求を受信したとき、認証情報削除応答を作成し、前記認証情報削除要求を作成して送信した網側の通信装置に向けて送信する手段と、 Means for creating an authentication information deletion response when receiving an authentication information deletion request from the network side, and transmitting the authentication information deletion request to the network-side communication device that has transmitted,
前記認証情報テーブルに保持している対応する認証情報を一定時間経過後に削除する手段とを備え、 Means for deleting the corresponding authentication information held in the authentication information table after a predetermined time,
前記保持している認証情報を削除するまでの一定時間は、網側の通信装置での一定時間よりも短くなるように設定されていることを特徴とする、 The fixed time until deleting the held authentication information is set to be shorter than the fixed time in the network side communication device,
ことを特徴とする無線端末収容装置。 A wireless terminal accommodating device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004302103A JP4689225B2 (en) | 2004-10-15 | 2004-10-15 | Wireless network system, wireless terminal accommodating device, and communication device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004302103A JP4689225B2 (en) | 2004-10-15 | 2004-10-15 | Wireless network system, wireless terminal accommodating device, and communication device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006115344A JP2006115344A (en) | 2006-04-27 |
JP4689225B2 true JP4689225B2 (en) | 2011-05-25 |
Family
ID=36383455
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004302103A Expired - Fee Related JP4689225B2 (en) | 2004-10-15 | 2004-10-15 | Wireless network system, wireless terminal accommodating device, and communication device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4689225B2 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2009031197A1 (en) * | 2007-09-03 | 2010-12-09 | 株式会社トリニティーセキュリティーシステムズ | Communication apparatus, authentication information acquisition method, connection request method, connection authentication method, authentication information acquisition program, connection request program, and connection authentication program |
JP5545127B2 (en) * | 2010-08-24 | 2014-07-09 | 日本電気株式会社 | Message exchange system, message exchange method, and message exchange program |
KR101868018B1 (en) | 2011-02-09 | 2018-06-18 | 삼성전자주식회사 | Method and apparatus for controlling connection between devices |
KR101378319B1 (en) * | 2012-05-21 | 2014-04-04 | (주)싸이버원 | Security processing system and method |
KR102028151B1 (en) * | 2017-04-07 | 2019-10-02 | 주식회사트러스트홀딩스 | Encryption method and system using authorization key of device |
KR102025758B1 (en) * | 2018-06-05 | 2019-11-05 | 삼성전자주식회사 | Method and apparatus for controlling connection between devices |
Citations (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000354031A (en) * | 1999-04-06 | 2000-12-19 | Mitsubishi Electric Corp | Common key sharing method |
JP2001111543A (en) * | 1999-10-07 | 2001-04-20 | Nec Corp | Cryptographic key update system of radio lan and updating method therefor |
JP2001312468A (en) * | 2000-04-28 | 2001-11-09 | Konami Co Ltd | Network connection control method and connection control system |
JP2001357017A (en) * | 2000-06-13 | 2001-12-26 | Pfu Ltd | Authentication processing system and charging processing system |
JP2002033764A (en) * | 2000-07-14 | 2002-01-31 | Fujitsu Ltd | Communication service providing system, mobile terminal equipment to be used for the same, address server device and router system |
JP2002125069A (en) * | 2000-10-16 | 2002-04-26 | Mitsubishi Electric Corp | Ip telephone system, radio ip telephone and radio lan base station |
JP2002124952A (en) * | 2000-10-12 | 2002-04-26 | Furukawa Electric Co Ltd:The | Approval method and system of wireless terminal in wireless network |
JP2002247023A (en) * | 2000-12-14 | 2002-08-30 | Furukawa Electric Co Ltd:The | Method for sharing session sharing key, method for certifying network terminal, network, terminal, and repeater |
JP2002247047A (en) * | 2000-12-14 | 2002-08-30 | Furukawa Electric Co Ltd:The | Session shared key sharing method, radio terminal authenticating method, radio terminal and base station device |
JP2003060656A (en) * | 2001-08-15 | 2003-02-28 | Allied Tereshisu Kk | Vlan constructing method in wireless lan, vlan packet processing program for wireless repeater, recording medium recording vlan packet processing program for wireless repeater, wireless repeater with vlan function and wireless vlan system |
JP2003188885A (en) * | 2001-12-19 | 2003-07-04 | Canon Inc | Communication system, server device, client device, method for controlling them, programs for performing them, and computer readable storage medium stored with the programs |
JP2003218954A (en) * | 2001-11-09 | 2003-07-31 | Docomo Communications Laboratories Usa Inc | Secure network access method |
JP2003259417A (en) * | 2002-03-06 | 2003-09-12 | Nec Corp | Radio lan system and access control method employing it |
JP2003318922A (en) * | 2002-04-25 | 2003-11-07 | Nippon Telegraph & Telephone East Corp | Wireless network access system, terminal, wireless access point, remote access server, and authentication server |
JP2004056427A (en) * | 2002-07-19 | 2004-02-19 | Sony Corp | Radio information transmission system, radio communications method, radio station and radio terminal equipment |
JP2004072633A (en) * | 2002-08-08 | 2004-03-04 | Hitachi Ltd | IPv6 NODE ACCOMMODATING METHOD AND IPv6 NODE ACCOMMODATING SYSTEM |
WO2004034645A1 (en) * | 2002-10-11 | 2004-04-22 | Matsushita Electric Industrial Co., Ltd. | Identification information protection method in wlan interconnection |
WO2004045173A1 (en) * | 2002-11-13 | 2004-05-27 | Fujitsu Limited | Network access control system |
JP2004208073A (en) * | 2002-12-25 | 2004-07-22 | Sony Corp | Radio communication system |
JP2004235890A (en) * | 2003-01-29 | 2004-08-19 | Canon Inc | Authentication method |
JP2004247857A (en) * | 2003-02-12 | 2004-09-02 | Toshiba Corp | Repeating device, authentication system, and program |
JP2004266516A (en) * | 2003-02-28 | 2004-09-24 | Matsushita Electric Ind Co Ltd | Network management server, communication terminal, edge switch device, program for communication, and network system |
JP2004343448A (en) * | 2003-05-15 | 2004-12-02 | Matsushita Electric Ind Co Ltd | Authentication system for wireless lan access |
JP2005117656A (en) * | 2003-10-03 | 2005-04-28 | Fujitsu Ltd | Apparatus, method, and medium for self-organization multi-hop wireless access network |
JP2005524341A (en) * | 2002-05-01 | 2005-08-11 | テレフォンアクチーボラゲット エル エム エリクソン(パブル) | SIM-based authentication and encryption system, apparatus and method for wireless local area network access |
JP2006502647A (en) * | 2002-10-08 | 2006-01-19 | ノキア コーポレイション | Method and system for establishing a connection through an access network |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3006504B2 (en) * | 1996-08-27 | 2000-02-07 | 日本電気株式会社 | Authentication method of wireless terminal in wireless network and wireless network |
-
2004
- 2004-10-15 JP JP2004302103A patent/JP4689225B2/en not_active Expired - Fee Related
Patent Citations (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000354031A (en) * | 1999-04-06 | 2000-12-19 | Mitsubishi Electric Corp | Common key sharing method |
JP2001111543A (en) * | 1999-10-07 | 2001-04-20 | Nec Corp | Cryptographic key update system of radio lan and updating method therefor |
JP2001312468A (en) * | 2000-04-28 | 2001-11-09 | Konami Co Ltd | Network connection control method and connection control system |
JP2001357017A (en) * | 2000-06-13 | 2001-12-26 | Pfu Ltd | Authentication processing system and charging processing system |
JP2002033764A (en) * | 2000-07-14 | 2002-01-31 | Fujitsu Ltd | Communication service providing system, mobile terminal equipment to be used for the same, address server device and router system |
JP2002124952A (en) * | 2000-10-12 | 2002-04-26 | Furukawa Electric Co Ltd:The | Approval method and system of wireless terminal in wireless network |
JP2002125069A (en) * | 2000-10-16 | 2002-04-26 | Mitsubishi Electric Corp | Ip telephone system, radio ip telephone and radio lan base station |
JP2002247023A (en) * | 2000-12-14 | 2002-08-30 | Furukawa Electric Co Ltd:The | Method for sharing session sharing key, method for certifying network terminal, network, terminal, and repeater |
JP2002247047A (en) * | 2000-12-14 | 2002-08-30 | Furukawa Electric Co Ltd:The | Session shared key sharing method, radio terminal authenticating method, radio terminal and base station device |
JP2003060656A (en) * | 2001-08-15 | 2003-02-28 | Allied Tereshisu Kk | Vlan constructing method in wireless lan, vlan packet processing program for wireless repeater, recording medium recording vlan packet processing program for wireless repeater, wireless repeater with vlan function and wireless vlan system |
JP2003218954A (en) * | 2001-11-09 | 2003-07-31 | Docomo Communications Laboratories Usa Inc | Secure network access method |
JP2003188885A (en) * | 2001-12-19 | 2003-07-04 | Canon Inc | Communication system, server device, client device, method for controlling them, programs for performing them, and computer readable storage medium stored with the programs |
JP2003259417A (en) * | 2002-03-06 | 2003-09-12 | Nec Corp | Radio lan system and access control method employing it |
JP2003318922A (en) * | 2002-04-25 | 2003-11-07 | Nippon Telegraph & Telephone East Corp | Wireless network access system, terminal, wireless access point, remote access server, and authentication server |
JP2005524341A (en) * | 2002-05-01 | 2005-08-11 | テレフォンアクチーボラゲット エル エム エリクソン(パブル) | SIM-based authentication and encryption system, apparatus and method for wireless local area network access |
JP2004056427A (en) * | 2002-07-19 | 2004-02-19 | Sony Corp | Radio information transmission system, radio communications method, radio station and radio terminal equipment |
JP2004072633A (en) * | 2002-08-08 | 2004-03-04 | Hitachi Ltd | IPv6 NODE ACCOMMODATING METHOD AND IPv6 NODE ACCOMMODATING SYSTEM |
JP2006502647A (en) * | 2002-10-08 | 2006-01-19 | ノキア コーポレイション | Method and system for establishing a connection through an access network |
WO2004034645A1 (en) * | 2002-10-11 | 2004-04-22 | Matsushita Electric Industrial Co., Ltd. | Identification information protection method in wlan interconnection |
WO2004045173A1 (en) * | 2002-11-13 | 2004-05-27 | Fujitsu Limited | Network access control system |
JP2004208073A (en) * | 2002-12-25 | 2004-07-22 | Sony Corp | Radio communication system |
JP2004235890A (en) * | 2003-01-29 | 2004-08-19 | Canon Inc | Authentication method |
JP2004247857A (en) * | 2003-02-12 | 2004-09-02 | Toshiba Corp | Repeating device, authentication system, and program |
JP2004266516A (en) * | 2003-02-28 | 2004-09-24 | Matsushita Electric Ind Co Ltd | Network management server, communication terminal, edge switch device, program for communication, and network system |
JP2004343448A (en) * | 2003-05-15 | 2004-12-02 | Matsushita Electric Ind Co Ltd | Authentication system for wireless lan access |
JP2005117656A (en) * | 2003-10-03 | 2005-04-28 | Fujitsu Ltd | Apparatus, method, and medium for self-organization multi-hop wireless access network |
Also Published As
Publication number | Publication date |
---|---|
JP2006115344A (en) | 2006-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8428264B2 (en) | Method and system for wireless connecting a mobile device to a service provider through a hosting wireless access node | |
JP3869392B2 (en) | User authentication method in public wireless LAN service system and recording medium storing program for causing computer to execute the method | |
US7437145B2 (en) | Wireless control apparatus, system, control method, and program | |
JP5027314B2 (en) | Enhanced technology to use core-based nodes for state transfer | |
JP4831066B2 (en) | AUTHENTICATION METHOD IN RADIO COMMUNICATION SYSTEM, RADIO TERMINAL DEVICE AND RADIO BASE STATION HAVING THE SAME, RADIO COMMUNICATION SYSTEM AND PROGRAM USING THE SAME | |
US8566590B2 (en) | Encryption information transmitting terminal | |
KR20070025366A (en) | System and method of security on wireless lan system | |
JPWO2006093161A1 (en) | Key distribution control device, radio base station device, and communication system | |
JP2008532114A (en) | Method and apparatus for optimal data transfer in a wireless communication system | |
US20170359326A1 (en) | Network-visitability detection | |
CN101606404B (en) | Movement managing system, home agent, mobile terminal managing method used for them, and its program | |
US11336434B2 (en) | Internet of things networking authentication system and method thereof | |
KR101359600B1 (en) | Method, device and system for obtaining local domain name | |
JP4689225B2 (en) | Wireless network system, wireless terminal accommodating device, and communication device | |
US8819790B2 (en) | Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment | |
JP4495049B2 (en) | Packet communication service system, packet communication service method, edge side gateway device, and center side gateway device | |
JP4071774B2 (en) | Encryption key distribution method and slave unit in wireless network | |
US20080077972A1 (en) | Configuration-less authentication and redundancy | |
US9871793B2 (en) | Diameter signaling for mobile IPv4 | |
JP2004266516A (en) | Network management server, communication terminal, edge switch device, program for communication, and network system | |
JP2011166375A (en) | Device, method, program and system for setting access control, and access control device | |
JP6610721B2 (en) | Storage device and program | |
KR100621124B1 (en) | Method for managing encryption key in wireless network and network apparatus using the same | |
JP5733645B2 (en) | Method, device, and system for obtaining a local domain name | |
EP1843541A1 (en) | A method of securing communication between an access network and a core network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071012 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101026 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101222 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110201 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110216 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140225 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |