JP6163808B2 - 無線ネットワークシステム、端末管理装置、および無線中継装置 - Google Patents

無線ネットワークシステム、端末管理装置、および無線中継装置 Download PDF

Info

Publication number
JP6163808B2
JP6163808B2 JP2013059464A JP2013059464A JP6163808B2 JP 6163808 B2 JP6163808 B2 JP 6163808B2 JP 2013059464 A JP2013059464 A JP 2013059464A JP 2013059464 A JP2013059464 A JP 2013059464A JP 6163808 B2 JP6163808 B2 JP 6163808B2
Authority
JP
Japan
Prior art keywords
wireless
terminal
wireless terminal
network system
mac address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013059464A
Other languages
English (en)
Other versions
JP2014187453A (ja
Inventor
貴裕 浅野
貴裕 浅野
俊洋 木村
俊洋 木村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yamaha Corp
Original Assignee
Yamaha Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yamaha Corp filed Critical Yamaha Corp
Priority to JP2013059464A priority Critical patent/JP6163808B2/ja
Priority to CN201480017480.0A priority patent/CN105052177B/zh
Priority to PCT/JP2014/057206 priority patent/WO2014148448A1/ja
Priority to US14/778,921 priority patent/US10575177B2/en
Publication of JP2014187453A publication Critical patent/JP2014187453A/ja
Application granted granted Critical
Publication of JP6163808B2 publication Critical patent/JP6163808B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/14Relay systems
    • H04B7/15Active relay systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W16/00Network planning, e.g. coverage or traffic planning tools; Network deployment, e.g. resource partitioning or cells structures
    • H04W16/24Cell structures
    • H04W16/26Cell enhancers or enhancement, e.g. for tunnels, building shadow
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Description

この発明は、セキュリティホールを有していないこと等の予め定められたセキュリティポリシを満たす端末のみが無線ネットワークシステムに接続されるようにする技術に関する。
スマートフォンやタブレット端末などのスマートデバイスが急速に普及している。この種のスマートデバイスは、従来のPDA(Personal Digital Assistant)やノート型パソコンとは異なり、アプリケーションプログラムの実行機能や通信機能、撮像機能などの多様な機能を有している。このため、この種のスマートデバイスは、個人的な用途だけでなく、ユーザの業務遂行にも利用されることが多く、スマートデバイスの普及に伴ってBYOD(Bring Your Own Device)の導入が広がりつつある。具体的には、ユーザの勤務先の社屋内に敷設された社内ネットワークが無線LAN(Local Area Network)を含んでいる場合には、当該ユーザの所有するスマートデバイスを無線LANを介して社内ネットワークに接続し、当該ユーザの業務遂行に利用する、といった具合である。
BYODでは、社内ネットワークへのウィルスの侵入や機密漏えいを防ぐために、予め定められたセキュリティポリシを満たす端末装置に対してのみ社内ネットワークへの接続を許可することが一般的である。スマートデバイスの場合、社内ネットワークに含まれる無線LANを介してその社内ネットワークに接続することが一般的である。このため、スマートデバイスを対象とするBYODを実現するには、無線LANなどの無線ネットワークシステムに対応した検疫システムが必要となる。検疫システムとは、社内ネットワークに接続しようとする端末装置が予め定められたセキュリティポリシを満たしているかをチェックするためのシステムである。この種の検疫システムに関する先行技術としては特許文献1や非特許文献1に開示の技術が挙げられる。
特許文献1には、社内ネットワークをVLAN(Virtual Local Area Network)を用いて論理的に分割し、そのうちの1つに「検疫用VLAN」の役割を担わせることが記載されている。特許文献1に開示の技術によれば、社内ネットワークに端末装置を接続する際には、まず、検疫用VLANに接続してセキュリティポリシを満たすか否かをチェックし、セキュリティポリシを満たす場合には業務遂行用のVLANに接続することで私物端末の検疫が実現される。一方、非特許文献1には、接続先をリアルタイム監視する専用のソフトウェアを端末にインストールし、そして接続先が社内ネットワークであるか一般公衆回線などの他のネットワークであるかを識別し、その識別結果に応じて端末の通信設定等を切り替える(例えば、社内ネットワークに接続されている間は社外へのwebアクセスを禁止する等)ことで機密情報の漏えいを防止する技術が開示されている。
特開2006−331128号公報
日川佳三、"接続先ネットに応じ仕事と私用モードを切り替えるMDM、ベーシックが発表"、[online]、平成24年9月10日、株式会社 日経BP、平成25年3月21日検索、インターネット<URLhttp://itpro.nikkeibp.co.jp/article/NEWS/20120910/421722/>
特許文献1に開示の技術には、社内ネットワークを複数のVLANに分割する必要があるため、システムが複雑化するといった問題や、初期設定や運用のためのコストが増加するといった問題がある。一方、非特許文献1に開示の技術には、社内ネットワークに接続するまで端末の設定が切り替えられないため、不正な設定のままで社内ネットワークへの接続が為される虞があるといった問題がある。
本発明は上記課題に鑑みて為されたものであり、コストの大幅な増加を招くことなく、セキュリティポリシを満たす無線端末のみが社内ネットワークに接続されるようにする技術を提供することを目的とする。
上記課題を解決するために本発明は、無線中継装置と端末管理装置とを含む無線ネットワークシステムにおいて、前記端末管理装置は、当該無線ネットワークシステムとは異なる通信網を介して無線端末と通信し、当該無線端末が予め定められたセキュリティポリシを満たしているか否かを判定する判定手段と、前記セキュリティポリシを満たしていると前記判定手段により判定された無線端末へ前記無線中継装置に接続するための接続情報を送信して記憶させる接続情報送信手段と、を有することを特徴とする無線ネットワークシステム、を提供する。
本発明によれば、無線端末がセキュリティポリシを満たしているか否かが端末管理装置によって判定され、満たしている場合にのみ本発明の無線ネットワークシステムとは異なる通信網経由で端末管理装置から無線端末へ接続情報が送信される。ここで接続情報が無ければ無線端末は無線中継装置(具体的には、無線アクセスポイント装置)に接続することはできないのであるから、セキュリティポリシを満たさない無線端末の接続を確実に回避することができる。また、本発明によれば、無線端末がセキュリティポリシを満たすか否かを判定するための検疫用VLANを設ける必要もないため、コスト増加を招かない。したがって、無線端末を収容するための無線ネットワークシステムとして本発明の無線ネットワークシステムを用いて社内ネットワークを構築すれば、コストの大幅な増加を招くことなく、セキュリティポリシを満たす無線端末のみが当該社内ネットワークに接続されるようにすることを実現することができる。
より好ましい態様としては、無線ネットワークシステムのサービスエリア内に無線端末が入ったことを検知する検知装置を設け、端末管理装置には、当該検知装置により検知された無線端末を対象として判定手段による判定を行わせる態様が考えられる。このような態様によれば、無線ネットワークシステムのサービスエリアに無線端末が入り、当該無線ネットワークシステムへの接続が試みられる直前に当該無線端末の検疫を行うことができ、無線端末の検疫を周期的に行う場合に比較して無線端末のバッテリ消費を抑えることができる。また、さらに好ましい態様としては、無線中継装置に上記検知装置の役割を果たさせる態様が考えられる。例えば、上記無線中継装置が無線アクセスポイント装置である場合には、無線端末から発せられるプローブリクエストの受信を契機として自装置のサービスエリアに無線端末が入ったことを当該無線中継装置(無線アクセスポイント装置)に検知させるのである。このような態様によれば、無線中継装置とは別個に設けたセンサに上記検知装置の役割を担わせる態様に比較して当該センサを設けない分だけコストを低く抑えることができる。
より好ましい態様としては、無線中継装置に接続している無線端末と当該無線中継装置を介して通信して前記判定手段による判定を行う処理を端末管理装置に定期的に実行させ、セキュリティポリシを満たさなくなったと前記判定手段により判定されたことを契機として前記無線端末から前記接続情報を削除する処理を端末管理装置に実行させる態様も考えられる。このような態様によれば、無線中継装置に接続された後に無線端末の設定等が変更されるなどしてセキュリティホールが発生することを防止することができるからである。
また、上記課題を解決するために本発明は、無線中継装置を含む無線ネットワークシステムとは異なる通信網を介して無線端末と通信し、当該無線端末が予め定められたセキュリティポリシを満たしているか否かを判定する判定手段と、前記セキュリティポリシを満たしていると前記判定手段により判定された無線端末へ前記無線中継装置に接続するための接続情報を送信して記憶させる接続情報送信手段とを有することを特徴とする端末管理装置、を提供する。また、上記課題を解決するために本発明は、無線端末から受信したリクエストメッセージの電波強度が所定の閾値を上回っており、かつ前記無線端末の端末識別子が予め登録されたものである場合に当該端末識別子を上位装置へ通知する端末通知手段と、通信相手の無線端末を制限するためのフィルタを前記上位装置から指示に応じて更新する更新手段と、を有することを特徴とする無線中継装置を提供する。なお、上記無線中継装置が無線アクセスポイント装置である場合には、上記端末識別子の具体例としてMACアドレスを挙げることができ、また、上記フィルタの具体例としてMACアドレスフィルタを挙げることができる。
例えば、社内ネットワークに含まれる無線ネットワークシステムに、上記無線中継装置として機能する無線アクセスポイント装置と上記端末管理装置とを含めておくことでコストの大幅な増加を招くことなく、セキュリティポリシを満たす無線端末のみが当該無線ネットワークシステムを介して社内ネットワークに接続されるようにすることを実現することができる。
本発明の一実施形態の無線ネットワークシステム1の構成例を示す図である。 同無線ネットワークシステム1に含まれる無線アクセスポイント装置10の構成例を示す図である。 同無線ネットワークシステム1に含まれる端末管理装置50の構成例を示す図である。 同実施形態における通信シーケンスを示す図である。 同実施形態における通信シーケンスを示す図である。
以下、図面を参照しつつ、本発明の実施形態について説明する。
(A:構成)
図1は、本発明の一実施形態の無線ネットワークシステム1を含む通信システムの構成例を示すブロック図である。無線ネットワークシステム1は、例えば企業の社屋内に敷設された無線LANであり、当該社屋内に敷設された有線LAN(図1では図示略)とともに上記企業における社内ネットワークを形成する。図1に示すように、無線ネットワークシステム1は、無線アクセスポイント装置10−n(n=1〜N:Nは2以上の整数)、スイッチングハブ20、APコントローラ30、ルータ40、および端末管理装置50を含んでいる。なお、以下では、無線アクセスポイント装置10−n(n=1〜N)の各々を区別する必要がない場合には「無線アクセスポイント装置10」と表記する。
無線アクセスポイント装置10とAPコントローラ30は各々LANケーブルなどの信号線によりスイッチングハブ20に接続されている。無線アクセスポイント装置10−n(n=1〜N)の各々は、IEEE802.11等に規定されたプロトコルにしたがってスマートデバイスなどの無線端末を接続する装置である。本実施形態では、各無線アクセスポイント装置10−nは、各々の発する通信電波を充分な強度で受信可能な領域(以下、無線アクセスポイント装置のサービスエリア)によって無線ネットワークシステム1の敷設されている社屋内を被覆できるように当該社屋内の各所に配置されている。
図2は、無線アクセスポイント装置10の構成例を示す図である。図2に示すように無線アクセスポイント装置10は、制御部110、無線通信I/F部120、記憶部130、およびこれら構成要素間のデータ授受を仲介するバス140を含んでいる。制御部110はCPU(Central Processing Unit)である。制御部110は記憶部130(より正確には不揮発性記憶部134)に記憶されているプログラムを実行することで無線アクセスポイント装置10の制御中枢として機能する。無線通信I/F部120は、アンテナや変調回路・復調回路等を含んでおり(何れも図示略)、制御部110から受信したデータを変調して搬送波に重畳し、無線区間へ送出する一方、無線区間から受信した搬送波に重畳されているデータを復調して制御部110に与える。
記憶部130は、揮発性記憶部132と不揮発性記憶部134を含んでいる。揮発性記憶部132は例えばRAM(Random Access Memory)である。揮発性記憶部132は各種プログラムを実行する際のワークエリアとして制御部110によって利用される。不揮発性記憶部134は例えばEEPROM(Electrically Erasable Programmable
Read-Only Memory)である。不揮発性記憶部134には本実施形態の特徴を顕著に示す処理を制御部110に実行させるデータおよびプログラムが記憶されている。
不揮発性記憶部134に記憶されているデータの一例としては、上記企業の従業者の所有する私物の無線端末のうち、業務遂行にも使用する旨の申請の為された全ての無線端末のMACアドレスを表すデータの配列であるMACアドレスリストが挙げられる。また、不揮発性記憶部134に格納されているプログラムの一例としては、無線端末の発するプローブリクエストの受信を契機としてその送信元が自装置のサービスエリアに入ったことを検知し、当該無線端末が予め使用申請の為されたものである場合に当該無線端末のMACアドレスを上位装置(本実施形態では、APコントローラ30)へ通知する端末通知処理を制御部110に実行させる無線通信プログラムが挙げられる。また、無線通信プログラムにしたがって作動している制御部110は、一般的な無線アクセスポイント装置における場合と同様に、APコントローラ30から与えられる指示に応じてMACアドレスフィルタを更新する処理も実行する。
プローブリクエストとは、最寄の無線アクセスポイント装置に対してネットワーク識別子(例えば、ESSID)等のブロードキャストを促すために無線端末が送信する通信メッセージのことを言う。本実施形態の無線アクセスポイント装置10は、定期的なネットワーク識別子のブロードキャストを行わないことは勿論、上記プローブリクエストを受信してもネットワーク識別子等のブロードキャストを行わないように設定されている。これは、ネットワーク識別子が第三者等に漏えいすることに起因する不正アクセスを防止するためである。
APコントローラ30は、無線アクセスポイント装置10−n(n=1〜N)に割り当てるネットワーク識別子や各無線アクセスポイント装置10−nの使用周波数(チャネル)、各無線アクセスポイント装置10−nにおけるMACアドレスフィルタの設定を一元管理するための装置である。APコントローラ30は、無線アクセスポイント装置10−n毎に当該無線アクセスポイント装置10−nに接続している無線端末の端末識別子(当該無線端末を識別するための情報、本実施形態では、MACアドレス)を記憶し、無線アクセスポイント装置間の無線端末の移動(所謂ハンドオーバ)を検知する機能を有している。
スイッチングハブ20はルータ40に接続されており、このルータ40には端末管理装置50が接続されている。なお、無線ネットワークシステム1とともに社内ネットワークを形成する有線LANはスイッチングハブ20に接続されていても良く、また、ルータ40に接続されていても良い。図1に示すようにルータ40はインターネット2に接続されている。つまり、無線ネットワークシステム1はルータ40を介してインターネット2に接続されている。そして、インターネット2には例えば3GやLTE(Long Term Evolution)などの通信規格に準拠したモバイル網3が接続されている。
無線端末60は、上記企業の従業者の所有するスマートデバイスである。無線端末60は、モバイル網3の基地局(図示略)との間に無線通信リンクを確立してデータ通信する機能(以下、第1の無線通信機能)と、無線アクセスポイント装置10−n(n=1〜N)に接続してデータ通信する機能(以下、第2の無線通信機能)とを有している。これら2つの無線通信機能のうち、第2の無線通信機能についてはユーザの指示に応じたオン/オフの切り換えが可能であり、当該第2の無線通信機能をオンにすることをユーザにより指示されると、無線端末60は、前述したプローブリクエストを送信する。また、無線端末60には、端末管理装置50に付与されているホスト名を示す情報が予め記憶されており、当該ホスト名に基づいて端末管理装置50の通信アドレス(IPアドレス)を特定し、前述した第1の無線通信機能によりモバイル網3およびインターネット2経由で端末管理装置50とデータ通信する。
端末管理装置50は所謂MDM(Mobil Device Management)サーバである。図3は端末管理装置50の構成例を示す図である。図3に示すように端末管理装置50は、制御部510、通信I/F部520、記憶部530、およびこれら構成要素間のデータ授受を仲介するバス540を含んでいる。なお、端末管理装置50は上記各構成要素の他にも、運用管理者に各種操作を行わせるためのユーザI/F部や他の機器を接続するために外部機器I/F部等を有しているが、本実施形態の特徴との関連が薄いため図示および説明を省略する。
制御部510は、無線アクセスポイント装置10における制御部110と同様にCPUであり、記憶部530(より正確には不揮発性記憶部534)に記憶されているプログラムを実行することで端末管理装置50の制御中枢として機能する。通信I/F部520は例えばNICであり、LANケーブルなどの信号線を介してルータ40に接続されている。通信I/F部520は上記信号線を介してルータ40から受信したデータを制御部510に与える一方、制御部510から受け取ったデータを上記信号線を介して送出する。
記憶部530は、揮発性記憶部532と不揮発性記憶部534を含んでいる。揮発性記憶部532は例えばRAMである。揮発性記憶部532は各種プログラムを実行する際のワークエリアとして制御部510によって利用される。不揮発性記憶部534は例えばハードディスクである。不揮発性記憶部534には本実施形態の特徴を顕著に示す処理を制御部510に実行させるデータおよびプログラムが記憶されている。
不揮発性記憶部534に記憶されているデータの一例としては、上記企業におけるセキュリティポリシを表すデータ(以下、セキュリティポリシデータ)が挙げられる。セキュリティポリシデータの具体例としては、無線ネットワークシステム1に接続される端末装置にインストールされているべきOS(Operating System)およびアプリケーションソフトウェアの種類やバージョンを示すデータ、同端末装置にインストールされているべきではないアプリケーションソフトウェアを示すデータが挙げられる。詳細については後述するが、セキュリティポリシデータは、プローブリクエストの送信元の無線端末が上記セキュリティポリシを満たすか否かを判定する(すなわち、当該無線端末の検疫を行う)際に利用される。また、不揮発性記憶部534には、無線端末を無線アクセスポイント装置10へ接続する際に必要となる接続情報(無線ネットワークシステム1のネットワーク識別子、無線アクセスポイント装置10との無線通信にて使用する暗号化方法を示す情報およびその暗号化におけるセキュリティキーを示す情報等)も予め記憶されている(図3では図示略)。
不揮発性記憶部534に格納されているプログラムの一例としては、本実施形態の特徴を顕著に示す検疫処理を制御部510に実行させる検疫プログラムが挙げられる。詳細については重複を避けるために動作例において明らかにするが、当該検疫プログラムにしたがって作動している制御部510は、APコントローラ30からのMACアドレスの通知を契機として当該MACアドレスの示す無線端末とインターネット2およびモバイル網3を介して通信し、当該端末の状態を示す状態情報(インストールされているOSおよびアプリケーションソフトウェアの種類やバージョンを示すデータ)を取得し、セキュリティポリシデータの示すセキュリティポリシを満たすか否かを判定する判定手段として機能する。また、検疫プログラムにしたがって作動している制御部510は、セキュリティポリシを満たすと判定した無線端末に対して上記接続情報をインターネット2およびモバイル網3経由で送信し記憶させる接続情報送信手段としても機能する。
以上が無線ネットワークシステム1の構成である。
(B: 動作)
次いで、無線端末60のユーザが出社して業務に従事し、退社するまでの流れに沿って本実施形態の動作を説明する。
無線端末60は、ユーザにより無線通信機能をオンにする操作が行われると、前述したプローブリクエストを送信する(図4参照)。無線アクセスポイント装置10の制御部110は、無線端末60から送信されたプローブリクエストの受信を契機として自装置のサービスエリア内に無線端末60が入ったことを検知し、端末通知処理の実行を開始する。図4に示すように、制御部110は、まず、当該プローブリクエストが所定の条件A(すなわち、電波強度が所定の閾値を上回っていること、および送信元が事前に利用申請の為された無線端末であること)を満たすか否かを判定する(ステップSA110)。具体的には、プローブリクエストの送信元MACアドレスがMACアドレスリストに登録されている場合に制御部110は、事前に利用申請の為された無線端末であると判定する。そして、ステップSA110の判定結果が“Yes”である場合に、制御部110は、当該プローブリクエストの送信元MACアドレスをペイロード部に書き込んだフレーム(以下、MACアドレス通知フレーム)をAPコントローラ30へ送信する(ステップSA120)。
このようにして無線アクセスポイント装置10から送信されたMACアドレス通知フレームはスイッチングハブ20による中継を経てAPコントローラ30によって受信される。APコントローラ30は、受信したMACアドレス通知フレームに書き込まれているMACアドレスをスイッチングハブ20およびルータ40を介して端末管理装置50へ通知する(図4参照)。端末管理装置50の制御部510は、当該MACアドレスの通知を契機として検疫処理(ステップSA200)の実行を開始する。
図5は、検疫処理における通信の流れを示すシーケンスフローチャートである。図5に示すように、端末管理装置50の制御部510は、APコントローラ30から通知されたMACアドレスの示す装置(本動作例では、無線端末60)を相手装置としてインターネット2およびモバイル網3経由で通信コネクションを確立し、状態情報を取得する。次いで、制御部510は、無線端末60から取得した状態情報の示す状態が予め定められたセキュリティポリシ(すなわち、セキュリティポリシデータの示すセキュリティポリシ)を満たしているか否かを判定する(ステップSA210)。
そして、制御部510は、無線端末60の状態がセキュリティポリシを満たしている場合(ステップSA210の判定結果が“Yes”である場合)のみ、無線アクセスポイント装置10との間に無線通信コネクションを確立する際に必要となる接続情報をインターネット2およびモバイル網3経由で無線端末60へ宛てて送信し、記憶させる(ステップSA220)。加えて、制御部510は、APコントローラ30に対して無線端末60のMACアドレスを通知する(図5では図示略)。APコントローラ30は、端末管理装置50からMACアドレスを受け取ると、当該MACアドレスにより識別される端末の無線ネットワークシステム1への接続を許可するようにMACアドレスフィルタの更新することを指示する更新指示を無線アクセスポイント装置10−n(n=1〜N)の各々に与え、無線アクセスポイント装置10−n(n=1〜N)の各々は当該更新指示にしたがってMACアドレスフィルタを更新する。
無線端末60は、端末管理装置50から受信した接続情報を用いて最寄の無線アクセスポイント装置10に接続する。前述したように、無線アクセスポイント装置10においては無線端末60の接続を許可する旨のMACアドレスフィルタの設定が為されている。このため、無線端末60は、最寄の無線アクセスポイント装置10を介して無線ネットワークシステム1に接続される。これに対して、無線端末60の状態がセキュリティポリシを満たしていない場合には、端末管理装置50から無線端末60へ接続情報が送信されることはない。また、端末管理装置50からAPコントローラ30へ無線端末60のMACアドレスが通知されることはなく、無線端末60の接続が許可されるように無線アクセスポイント装置10のMACアドレスフィルタの更新が行われることはない。このため、無線端末60が無線ネットワークシステム1に接続されることはない。したがって、無線端末60が予め定められたセキュリティポリシを満たす場合にのみ無線ネットワークシステム1に接続され、セキュリティポリシを満たさない端末が無線ネットワークシステム1を介して社内ネットワークに接続されることを確実に防止することができる。なお、セキュリティポリシを満たさないために無線端末60が無線ネットワークシステム1に接続されない場合であっても、無線ネットワークシステム1とは異なる他の無線通信網(例えば、WI−FIなど)に接続することは勿論可能であり、このような他の無線通信網経由或いはモバイル網3経由でインタネット2にアクセスすることも勿論可能である。
上記の要領で無線端末60が無線ネットワークシステム1に接続されると、端末管理装置50の制御部510は、ルータ40、スイッチングハブ20および無線アクセスポイント装置10を介して無線端末60から状態情報を定期的に取得し、セキュリティポリシを満たしていることを確認する。そして、無線端末60の状態がセキュリティポリシを満たさなくなった場合には、制御部510は無線ネットワークシステム1の接続情報を無線端末60から削除し、さらに当該無線端末60のMACアドレスをAPコントローラ30へ通知し、当該無線端末60を接続対象から除外するように各無線アクセスポイント装置10のMACアドレスフィルタを再更新させる。セキュリティポリシを満たさなくなった無線端末が接続され続けることはセキュリティ確保の観点から好ましくなく、また、無線アクセスポイント装置への接続完了後に無線端末60の設定を変更するといった不正を防止するためである。
無線端末60のユーザが退社するなどして無線端末60が無線アクセスポイント装置10のサービスエリア外に移動し、接続が切断されると無線アクセスポイント装置10は当該無線端末60のMACアドレスをAPコントローラ30へ通知してハンドオーバの有無を問い合わせる。APコントローラ30は、当該無線端末60が他の無線アクセスポイント装置10にハンドオーバしているか否かを確認し、ハンドオーバしていない場合には当該無線端末60のMACアドレスを端末管理装置50に通知する。端末管理装置50の制御部510は、当該MACアドレスの示す無線端末とインターネット2およびモバイル網3経由で通信し、当該無線端末に記憶されている接続情報を削除する。これは、セキュリティポリシを満たすことを条件に配布した接続情報が不正利用されることを回避するためである。
ここで注目すべき点は、無線端末60が予め定められたセキュリティポリシを満たすか否かを判定するための検疫用VLANを別途設ける必要はなく、初期設定や運用のためのコストの増加が発生しないという点である。このように、本実施形態によれば、コストの大幅な増加を招くことなく、セキュリティポリシを満たす端末のみが社内ネットワークに接続されるようにすることを実現することができる。なお、上記実施形態では、セキュリティポリシによる保護の対象の社内ネットワークが無線ネットワークシステム1と有線LANとにより構成されている場合について説明したが、社内ネットワークが無線ネットワークシステム1のみで構成されていても勿論良い。
(C:変形)
以上本発明の実施形態について説明したが、この実施形態を以下のように変形しても勿論良い。
(1)上記実施形態では、無線ネットワークシステム1が敷設された社屋に無線端末60が入ったことを契機として当該無線端末60がセキュリティポリシを満たすか否かを判定し、セキュリティポリシを満たす場合に無線アクセスポイント装置10に接続する際に必要となる接続情報をインターネット2およびモバイル網3経由で端末管理装置50から無線端末60に与えた。しかし、無線端末60が上記社屋内に入る前に(換言すれば、無線アクセスポイント装置10により無線端末60が検知される前に)、無線端末60に接続情報を与えても良い。ただし、この場合は、無線端末60が予め定められたセキュリティポリシを満たすこと、およびその状態が継続していることを確認するために、インターネット2およびモバイル網3経由で無線端末60と端末管理装置50の通信を頻繁に行う必要があり、無線端末60のバッテリの消費が大きくなるという欠点がある。したがって、上記実施形態のように無線ネットワーク1が敷設された社屋に無線端末60が入ったことを契機として当該無線端末60がセキュリティポリシを満たすか否かを判定するようにすることが好ましい。
(2)上記実施形態では、無線ネットワークシステム1が敷設された社屋に無線端末60が入ったことを検知するセンサの役割を、無線ネットワークシステム1に無線端末を収容するための無線アクセスポイント装置10に兼ねさせた。しかし、上記実施形態に比較して余分な設備投資が必要となるという欠点はあるものの、無線ネットワークシステム1の敷設された社屋に無線端末60が入ったことを検知するセンサを無線アクセスポイント装置10とは別個に設けても勿論良い。
(3)上記実施形態では、APコントローラ30と端末管理装置50とを各々別個の装置として無線ネットワークシステム1を構成したが、両者を一体の装置として通信システムを構成しても勿論良い。この場合、APコントローラ30と端末管理装置50の両者の機能を兼ね備えた装置が無線アクセスポイント装置10に対する上位装置となる。また、上記実施形態では、事前に利用申請の為された無線端末であるか否かの判定を無線アクセスポイント装置に実行させたが、APコントローラ30に当該判定を行わせ、無線アクセスポイント装置には受信したプローブリクエストの電波強度が所定の閾値を上回っているか否かの判定のみを行わせるようにしても良い。
また、上記実施形態では、無線アクセスポイント装置10に、無線端末から受信したプローブリクエストの電波強度が所定の閾値を上回っており、かつ当該無線端末のMACアドレス(すなわち、当該無線端末の端末識別子が予め登録されたものである場合に当該MACアドレスを上位装置へ通知する端末通知処理と、MACアドレスフィルタを上記装置からの指示に応じて更新する処理を実行させた。しかし、これら各処理をスイッチングハブ20やルータ40に実行させても良い。例えば、ルータ40にこれら各処理を実行させる場合には、無線端末から送信されたリクエストメッセージ(例えば、相手装置に対して通信コネクションの確立を要求するSYNメッセージ)を受信したことを契機としてそのリクエストメッセージの電波強度を無線アクセスポイント装置から取得し、その電波強度が所定の閾値を上回っており、かつ前記無線端末の端末識別子(例えば、リクエストメッセージの送信元のIPアドレス)が予め登録されたものである場合に当該端末識別子を上位装置(端末管理装置50)へ通知する処理を実行する端末通知手段と、自装置を介して通信する無線端末を制限するためのフィルタ(例えば、IPアドレスに関するフィルタ)を当該上位装置から指示に応じて更新する処理を実行する更新手段とをルータ40に設ければ良い。また、ルータ40は無線アクセスポイント装置の機能を兼ね備えた無線ルータであっても良く、スイッチングハブ20についても無線アクセスポイント装置の機能を兼ね備えた無線スイッチングハブであっても良い。要は、無線端末とその通信相手との間の通信を中継する無線中継装置(無線アクセスポイント装置、無線スイッチングハブ、無線ルータなど)に、無線端末から受信したリクエストメッセージの電波強度が所定の閾値を上回っており、かつ前記無線端末の端末識別子が予め登録されたものである場合に当該端末識別子を上位装置へ通知する端末通知手段と、自装置を介して通信する無線端末を制限するためのフィルタを前記上位装置から指示に応じて更新する更新手段とを設ける態様であれば良い。
(4)上記実施形態では、本発明の端末管理装置特有の機能を端末管理装置50に実現させるプログラムが端末管理装置50の不揮発性記憶部534に予め記憶されていた。しかし、CD−ROMなどのコンピュータ読み取り可能な記録媒体に当該プログラムを書き込んで配布しても良く、また、インターネットなどの電気通信回線経由のダウンロードにより当該プログラムを配布しても良い。このようにして配布されるプログラムにしたがって一般的なコンピュータを作動させることで当該コンピュータを上記実施形態の端末管理装置として機能させることが可能になるからである。無線アクセスポイント装置10の不揮発性記憶部134に記憶されている無線通信プログラムについても同様である。
1…無線ネットワークシステム、2…インターネット、3…モバイル網、10−n(n=1〜N),10…無線アクセスポイント装置、20…スイッチングハブ、30…APコントローラ、40…ルータ、50…端末管理装置、60…無線端末、110,510…制御部、120…無線通信I/F部、520…通信I/F部、130,530…記憶部、132,532…揮発性記憶部、134,534…不揮発性記憶部、540…バス。

Claims (8)

  1. 無線中継装置と端末管理装置とを含む無線ネットワークシステムにおいて、
    前記端末管理装置は、
    当該無線ネットワークシステムとは異なる通信網を介して無線端末と通信し、当該無線端末が予め定められたセキュリティポリシを満たしているか否かを判定する判定手段と、
    前記セキュリティポリシを満たしていると前記判定手段により判定された無線端末へ前記無線中継装置に接続するための接続情報を送信して記憶させる一方、前記無線中継装置には当該無線端末のMACアドレスを送信し当該無線端末の接続を許可するようにMACアドレスフィルタを更新させる接続情報送信手段と、を有する
    ことを特徴とする無線ネットワークシステム。
  2. 前記無線ネットワークシステムのサービスエリア内に無線端末が入ったことを検知する検知装置を有し、
    前記端末管理装置は、
    前記無線ネットワークシステムのサービスエリア内に入ったことが前記検知装置により検知された無線端末を対象として前記判定手段による判定を行う
    ことを特徴とする請求項1に記載の無線ネットワークシステム。
  3. 前記無線中継装置が前記検知装置として機能することを特徴とする請求項2に記載の無線ネットワークシステム。
  4. 前記端末管理装置は、
    前記接続情報の送信先の無線端末から当該無線端末の状態を示す状態情報を定期的に取得し、前記セキュリティポリシを満たさなくなった場合には、前記接続情報を無線端末から削除し、当該無線端末を接続対象から除外するように前記無線中継装置にMACアドレスフィルタを更新させることを特徴とする請求項1〜3の何れか1項に記載の無線ネットワークシステム。
  5. 前記端末管理装置は、
    前記接続情報の送信先の無線端末と前記無線中継装置の接続が切断され、かつ他の無線中継装置にハンドオーバしていない場合には、当該無線端末から前記接続情報を削除することを特徴とする請求項1〜4の何れか1項に記載の無線ネットワークシステム。
  6. 無線中継装置を含む無線ネットワークシステムとは異なる通信網を介して無線端末と通信し、当該無線端末が予め定められたセキュリティポリシを満たしているか否かを判定する判定手段と、
    前記セキュリティポリシを満たしていると前記判定手段により判定された無線端末へ前記無線中継装置に接続するための接続情報を送信して記憶させる一方、前記無線中継装置には当該無線端末のMACアドレスを送信し当該無線端末の接続を許可するようにMACアドレスフィルタを更新させる接続情報送信手段と
    を有することを特徴とする端末管理装置。
  7. 無線端末から受信したリクエストメッセージの電波強度が所定の閾値を上回っており、かつ前記無線端末の端末識別子が予め登録されたものである場合に当該端末識別子を上位装置へ通知する端末通知手段と、
    自装置を介して通信する無線端末を制限するためのフィルタを前記上位装置から指示に応じて更新する更新手段と、
    を有することを特徴とする無線中継装置。
  8. 前記リクエストメッセージはプローブリクエストであり、前記端末識別子はMACアドレスであり、前記フィルタはMACアドレスフィルタであることを特徴とする請求項7に記載の無線中継装置。
JP2013059464A 2013-03-22 2013-03-22 無線ネットワークシステム、端末管理装置、および無線中継装置 Active JP6163808B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2013059464A JP6163808B2 (ja) 2013-03-22 2013-03-22 無線ネットワークシステム、端末管理装置、および無線中継装置
CN201480017480.0A CN105052177B (zh) 2013-03-22 2014-03-17 无线网络系统、终端管理装置、无线中继装置及通信方法
PCT/JP2014/057206 WO2014148448A1 (ja) 2013-03-22 2014-03-17 無線ネットワークシステム、端末管理装置、無線中継装置、および通信方法
US14/778,921 US10575177B2 (en) 2013-03-22 2014-03-17 Wireless network system, terminal management device, wireless relay device, and communications method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013059464A JP6163808B2 (ja) 2013-03-22 2013-03-22 無線ネットワークシステム、端末管理装置、および無線中継装置

Publications (2)

Publication Number Publication Date
JP2014187453A JP2014187453A (ja) 2014-10-02
JP6163808B2 true JP6163808B2 (ja) 2017-07-19

Family

ID=51580127

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013059464A Active JP6163808B2 (ja) 2013-03-22 2013-03-22 無線ネットワークシステム、端末管理装置、および無線中継装置

Country Status (4)

Country Link
US (1) US10575177B2 (ja)
JP (1) JP6163808B2 (ja)
CN (1) CN105052177B (ja)
WO (1) WO2014148448A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6550913B2 (ja) 2015-05-13 2019-07-31 富士通株式会社 通信システム
DE102015222308A1 (de) * 2015-11-12 2017-05-18 Volkswagen Aktiengesellschaft Vorrichtung, Verfahren und Computerprogramm zur Frequenzbandauswahl
JP6822180B2 (ja) * 2017-02-02 2021-01-27 セイコーエプソン株式会社 印刷装置、印刷装置の制御方法、及び、通信システム
US10701707B2 (en) * 2017-03-28 2020-06-30 Arris Enterprises Llc Allocation of wireless channels for preferred stations
CN107196837B (zh) * 2017-06-16 2020-06-16 四川省农业科学院服务中心 一种基于vlan划分运用的多数据业务综合组网的方法
CN111031545A (zh) * 2019-12-24 2020-04-17 Oppo广东移动通信有限公司 无线网络接入控制方法及装置、中继设备和电子设备

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5737691A (en) * 1995-07-14 1998-04-07 Motorola, Inc. System and method for allocating frequency channels in a two-way messaging network
US6957067B1 (en) * 2002-09-24 2005-10-18 Aruba Networks System and method for monitoring and enforcing policy within a wireless network
US7448067B2 (en) * 2002-09-30 2008-11-04 Intel Corporation Method and apparatus for enforcing network security policies
US7440573B2 (en) * 2002-10-08 2008-10-21 Broadcom Corporation Enterprise wireless local area network switching system
US7277547B1 (en) * 2002-10-23 2007-10-02 Sprint Spectrum L.P. Method for automated security configuration in a wireless network
JP2004310581A (ja) * 2003-04-09 2004-11-04 Nec Corp ネットワーク接続方法およびネットワークシステム
US20040213172A1 (en) * 2003-04-24 2004-10-28 Myers Robert L. Anti-spoofing system and method
JP2004336538A (ja) * 2003-05-09 2004-11-25 Ricoh Co Ltd 無線通信システム、情報処理端末及び赤外線通信装置
JP2005086471A (ja) * 2003-09-09 2005-03-31 Japan Telecom Co Ltd 通信制御方法、および、端末装置
WO2005032042A1 (en) * 2003-09-24 2005-04-07 Infoexpress, Inc. Systems and methods of controlling network access
JP4626741B2 (ja) * 2003-12-05 2011-02-09 日本電気株式会社 ネットワークへの接続参加受付システム、ネットワークヘのノード接続方法およびノードの設定方法
US8230480B2 (en) * 2004-04-26 2012-07-24 Avaya Inc. Method and apparatus for network security based on device security status
US20050266826A1 (en) * 2004-06-01 2005-12-01 Nokia Corporation Method for establishing a security association between a wireless access point and a wireless node in a UPnP environment
US7499438B2 (en) * 2005-01-13 2009-03-03 2Wire, Inc. Controlling wireless access to a network
US20060172736A1 (en) * 2005-02-01 2006-08-03 Intel Corporation Methods and apparatus for operating a wireless electronic device having a plurality of communication platforms
US7706778B2 (en) * 2005-04-05 2010-04-27 Assa Abloy Ab System and method for remotely assigning and revoking access credentials using a near field communication equipped mobile phone
JP2006331128A (ja) 2005-05-26 2006-12-07 Allied Telesis Holdings Kk 認証サーバ、認証方法、及び認証プログラム
JP4776283B2 (ja) * 2005-06-27 2011-09-21 株式会社ナカヨ通信機 無線lanシステムおよび通信方法
US7933584B2 (en) * 2005-10-15 2011-04-26 Huawei Technologies Co., Ltd. Method for implementing security update of mobile station and a correlative reacting system
US20070266422A1 (en) * 2005-11-01 2007-11-15 Germano Vernon P Centralized Dynamic Security Control for a Mobile Device Network
US7974249B2 (en) * 2006-03-01 2011-07-05 Dell Products L.P. Virtual access point for configuration of a LAN
EP2002634B1 (en) * 2006-03-27 2014-07-02 Telecom Italia S.p.A. System for enforcing security policies on mobile communications devices
US8719431B2 (en) * 2006-10-26 2014-05-06 Blackberry Limited Transient WLAN connection profiles
CN101262670B (zh) * 2007-03-09 2012-01-25 鸿富锦精密工业(深圳)有限公司 移动装置、通信系统及连线建立方法
JP4938520B2 (ja) 2007-03-22 2012-05-23 シャープ株式会社 デジタル放送受信機
JP2008263445A (ja) * 2007-04-12 2008-10-30 Docomo Technology Inc 接続設定システム、認証装置、無線端末、及び接続設定方法
CN100594690C (zh) 2007-05-22 2010-03-17 网御神州科技(北京)有限公司 一种安全网关中进行安全策略统一处理的方法及装置
JP5246112B2 (ja) * 2009-09-07 2013-07-24 ブラザー工業株式会社 無線通信装置とコンピュータプログラム
US8620270B2 (en) 2009-10-06 2013-12-31 Mosaid Technologies Incorporated System and method providing interoperability between cellular and other wireless systems
US8925042B2 (en) * 2010-04-30 2014-12-30 T-Mobile Usa, Inc. Connecting devices to an existing secure wireless network
US8699370B2 (en) * 2010-08-24 2014-04-15 Euclid, Inc. Method and apparatus for analysis of user traffic within a predefined area
US8359016B2 (en) * 2010-11-19 2013-01-22 Mobile Iron, Inc. Management of mobile applications
US8937534B2 (en) * 2010-12-08 2015-01-20 At&T Intellectual Property I, L.P. Remote control of electronic devices via mobile device
JP5536628B2 (ja) * 2010-12-21 2014-07-02 Kddi株式会社 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント
US8909247B2 (en) * 2011-11-08 2014-12-09 At&T Mobility Ii Llc Location based sharing of a network access credential

Also Published As

Publication number Publication date
US10575177B2 (en) 2020-02-25
JP2014187453A (ja) 2014-10-02
US20160050567A1 (en) 2016-02-18
WO2014148448A1 (ja) 2014-09-25
CN105052177B (zh) 2018-11-30
CN105052177A (zh) 2015-11-11

Similar Documents

Publication Publication Date Title
EP2561708B1 (en) Method and apparatus for determining access point service capabilities
JP6163808B2 (ja) 無線ネットワークシステム、端末管理装置、および無線中継装置
US8555364B2 (en) System and method for cloning a wi-fi access point
US8817788B2 (en) Wireless communication terminal, method, program, recording medium, and wireless communication system
US20170181213A1 (en) Wireless Internet System and Method
US9762389B2 (en) Moderation of network and access point selection in an IEEE 802.11 communication system
EP2263396B1 (en) Access through non-3gpp access networks
US7333481B1 (en) Method and system for disrupting undesirable wireless communication of devices in computer networks
US7710933B1 (en) Method and system for classification of wireless devices in local area computer networks
US20150040194A1 (en) Monitoring of smart mobile devices in the wireless access networks
US9479997B2 (en) Wireless access point
JP4989745B2 (ja) 通信を中継するための装置、方法、およびプログラム
EP3777270B1 (en) Network address policy information received in a pre-associated state
US20140282905A1 (en) System and method for the automated containment of an unauthorized access point in a computing network
US9794119B2 (en) Method and system for preventing the propagation of ad-hoc networks
US20080109890A1 (en) Selective auto-revocation of firewall security settings
JP6052692B1 (ja) セキュリティ管理方法、プログラム、およびセキュリティ管理システム
US8516567B2 (en) Distributed firewalling in a wireless communication network
JP2010016834A (ja) フィルタリング方法
WO2021041965A1 (en) Autonomous policy enforcement point configuration for role based access control
US8208902B2 (en) Communication system, authentication server, and communication method
WO2018188482A1 (zh) 连接建立方法及装置
JP2006217198A (ja) 複数のレイヤ2機能を備える無線基地局
JP2018137529A (ja) 無線通信システム、無線基地局、および、無線クライアント

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170207

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170410

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170523

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170605

R151 Written notification of patent or utility model registration

Ref document number: 6163808

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151