JP6330445B2 - Communications system - Google Patents
Communications system Download PDFInfo
- Publication number
- JP6330445B2 JP6330445B2 JP2014085416A JP2014085416A JP6330445B2 JP 6330445 B2 JP6330445 B2 JP 6330445B2 JP 2014085416 A JP2014085416 A JP 2014085416A JP 2014085416 A JP2014085416 A JP 2014085416A JP 6330445 B2 JP6330445 B2 JP 6330445B2
- Authority
- JP
- Japan
- Prior art keywords
- access point
- network
- ssid
- event
- lan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
本発明は、災害などのイベント時における無線接続に関する。 The present invention relates to a wireless connection at an event such as a disaster.
災害が発生すると、大規模な通信障害が発生する場合がある。このような場合に、インターネット等の公衆通信網は、被災地における情報の収集や発信の手段として有効である。しかし、ユーザ宅に設置されたアクセスポイントは、セキュリティ確保のためパスワードが設定されている場合が多く、このままでは多くの人が利用することはできない。そこで、災害時に、家庭用LANに属するアクセスポイントを、公衆無線LANのアクセスポイントとして機能させる手法が知られている(例えば特許文献1)。 When a disaster occurs, a large-scale communication failure may occur. In such a case, a public communication network such as the Internet is effective as a means for collecting and transmitting information in the disaster area. However, the access point installed at the user's home is often set with a password to ensure security, and many people cannot use it as it is. Therefore, a method is known in which an access point belonging to a home LAN functions as a public wireless LAN access point during a disaster (for example, Patent Document 1).
本願発明が解決しようとする課題は、災害時に無線による公衆通信網への接続を開放しつつ、ネットワーク内のセキュリティを確保することである。このネットワークとは、災害時における公衆無線LANを実現するアクセスポイントが属するネットワークであり、例えば家庭用LANや社内LANである。上記先行技術文献の場合、インターネット接続を開放すると、ネットワーク内の情報に対して不特定のユーザがアクセスできる虞があり、セキュリティに問題があった。上記の課題は、災害の発生時に限られず、同様な問題が生じ得る他のイベントの発生時にも共通である。この他、装置の小型化や、低コスト化、省資源化、製造の容易化、使い勝手の向上等が望まれていた。 The problem to be solved by the present invention is to secure the security in the network while releasing the connection to the public communication network by radio in the event of a disaster. This network is a network to which an access point that realizes a public wireless LAN at the time of disaster belongs, and is, for example, a home LAN or an in-house LAN. In the case of the above-mentioned prior art documents, there is a possibility that an unspecified user can access information in the network when the Internet connection is opened, which causes a problem in security. The above problem is not limited to when a disaster occurs, but is common to other events that may cause similar problems. In addition, downsizing of the apparatus, cost reduction, resource saving, ease of manufacture, improvement in usability, and the like have been desired.
本発明は、先述の課題の少なくとも一部を解決するためのものであり、以下の形態として実現できる。 SUMMARY An advantage of some aspects of the invention is to solve at least a part of the problems described above, and the invention can be implemented as the following forms.
(1)本発明の一形態によれば、無線接続装置が提供される。この無線接続装置は、特定のセキュリティ情報により限定された無線ネットワークである第1ネットワークを形成する限定接続部と;イベント発生時において、通信装置を公衆通信網に接続するための無線ネットワークである第2ネットワークを、前記第1ネットワークと隔離して生成する公衆接続部とを備える。この形態によれば、イベント発生時に無線による公衆通信網への接続を開放しつつ、第1ネットワーク内のセキュリティを、特定のセキュリティ情報により確保できる。 (1) According to an aspect of the present invention, a wireless connection device is provided. The wireless connection device includes a limited connection unit that forms a first network that is a wireless network limited by specific security information; and a wireless network for connecting the communication device to a public communication network when an event occurs. And a public connection unit that generates two networks separately from the first network. According to this aspect, the security in the first network can be secured by the specific security information while releasing the connection to the public communication network by radio when an event occurs.
(2)上記形態において、前記特定のセキュリティ情報は、無線LAN通信における特定の暗号設定の情報である。この形態によれば、暗号設定によってセキュリティを確保できる。 (2) In the above aspect, the specific security information is specific encryption setting information in wireless LAN communication. According to this form, security can be ensured by encryption setting.
(3)上記形態において、前記公衆接続部は、前記第2ネットワークの識別子として、前記第1ネットワークの識別子と異なる識別子を用いる。この形態によれば、公衆接続部による接続が可能な状態であることが、第2ネットワークを利用しようとするユーザに分かりやすくなる。 (3) In the above embodiment, the public connection unit uses an identifier different from the identifier of the first network as the identifier of the second network. According to this aspect, it is easy for the user who wants to use the second network to know that the connection by the public connection unit is possible.
(4)上記形態において、前記公衆接続部は、前記第2ネットワークの隔離を仮想LANにより実現する。この形態によれば、公衆接続部の動作を、サーバ装置を用いずに実現できる。 (4) In the above embodiment, the public connection unit realizes isolation of the second network by a virtual LAN. According to this aspect, the operation of the public connection unit can be realized without using the server device.
(5)上記形態において、前記公衆通信網に接続されたサーバ装置と通信する1から3までの何れか一項に記載の無線接続装置であって;前記公衆接続部は、前記サーバ装置と確立した仮想プライベートネットワークによって、前記第2ネットワークの隔離を実現する。この形態によれば、公衆接続部の動作を、専用通信回線を用いずに実現できる。 (5) In the above aspect, the wireless connection device according to any one of 1 to 3 that communicates with a server device connected to the public communication network; the public connection unit is established with the server device The second network is isolated by the virtual private network. According to this aspect, the operation of the public connection unit can be realized without using a dedicated communication line.
(6)上記形態において、イベントの発生時か否かを前記サーバ装置に照会する照会部を備え;前記公衆接続部は、前記サーバ装置からの返信がイベントの発生時であることを示す場合に、前記第2ネットワークを生成する。この形態によれば、イベントの発生時か否かを無線接続装置が判断したり、無線接続装置のユーザが判断したりする必要がなくなる。 (6) In the above embodiment, an inquiry unit is provided for inquiring of the server device whether or not an event has occurred; and when the reply from the server device indicates that an event has occurred The second network is generated. According to this aspect, it is not necessary for the wireless connection device to determine whether an event has occurred or for the user of the wireless connection device to determine.
(7)上記形態において、前記イベントは、災害であり;前記照会部は、災害発生に伴う前記第2ネットワークの生成の要否を照会する。この形態によれば、災害時に第2ネットワークを生成できる。 (7) In the above aspect, the event is a disaster; the inquiry unit inquires whether or not the second network needs to be generated when a disaster occurs. According to this form, the second network can be generated at the time of a disaster.
(8)上記形態において、前記公衆接続部は、自装置がイベント発生地域に位置する場合に、前記第2ネットワークを生成する。この形態によれば、無線接続の開放を適切に実施できる。 (8) In the above aspect, the public connection unit generates the second network when the own device is located in the event occurrence area. According to this aspect, the wireless connection can be appropriately released.
(9)他の形態として、特定のセキュリティ情報により限定された無線ネットワークである第1ネットワークに属する無線接続装置と、公衆通信網に接続されたサーバ装置とを含む通信システムが提供される。この通信システムにおいて;前記無線接続装置は、イベントの発生時において、通信装置を前記サーバ装置経由で公衆通信網に接続するための無線ネットワークである第2ネットワークを、前記第1ネットワークと隔離して生成する。この形態によれば、イベントの発生時に無線による公衆通信網接続を開放しつつ、第1ネットワーク内のセキュリティを確保できる。 (9) As another embodiment, a communication system including a wireless connection device belonging to a first network that is a wireless network limited by specific security information and a server device connected to a public communication network is provided. In this communication system, the wireless connection device isolates the second network, which is a wireless network for connecting the communication device to the public communication network via the server device, from the first network when an event occurs. Generate. According to this aspect, it is possible to ensure security in the first network while releasing a wireless public network connection when an event occurs.
(10)上記形態において、前記サーバ装置は、前記第2ネットワークの生成を、前記無線接続装置に対して前記イベントの発生時に指示する指示部を備える。この形態によれば、イベントの発生時か否かを無線接続装置が判断したり、無線接続装置のユーザが判断したりする必要がなくなる。 (10) In the above aspect, the server device includes an instruction unit that instructs the wireless connection device to generate the second network when the event occurs. According to this aspect, it is not necessary for the wireless connection device to determine whether an event has occurred or for the user of the wireless connection device to determine.
(11)上記形態において、前記無線接続装置は、複数あり;前記複数の無線接続装置それぞれは、同一の識別子による前記第2ネットワークを生成する。この形態によれば、複数の無線接続装置に、公衆通信網への接続を、同一の識別子によって開放させることができる。 (11) In the above embodiment, there are a plurality of the wireless connection devices; each of the plurality of wireless connection devices generates the second network with the same identifier. According to this aspect, a plurality of wireless connection devices can be opened to the public communication network with the same identifier.
(12)上記形態において、前記指示部は、前記複数の無線接続装置のうち、予め定められたものに対して、前記指示を行う。この形態によれば、イベントの発生時の無線接続を実行させる無線接続装置を予め定めることができる。 (12) In the above aspect, the instruction unit issues the instruction to a predetermined one of the plurality of wireless connection devices. According to this aspect, it is possible to determine in advance a wireless connection device that executes wireless connection when an event occurs.
(13)上記形態において、前記サーバ装置は、複数あり;前記無線接続装置は、前記複数のサーバ装置の何れか1つを経由して、前記通信装置を前記公衆通信網に接続する。この形態によれば、サーバ装置が1つの場合に比べて冗長化できる。 (13) In the above embodiment, there are a plurality of the server devices; the wireless connection device connects the communication device to the public communication network via any one of the plurality of server devices. According to this embodiment, redundancy can be achieved as compared with the case of one server device.
本発明は、上記以外の種々の形態でも実現できる。例えば、無線接続方法、この方法を実現するためのプログラム、このプログラムを記憶した一時的でない記憶媒体等の形態で実現できる。或いは、サーバ装置として実現できる。 The present invention can be realized in various forms other than the above. For example, it can be realized in the form of a wireless connection method, a program for realizing the method, a non-temporary storage medium storing the program, and the like. Alternatively, it can be realized as a server device.
図1は、通信システム20と、通信システム20に関わる通信装置とを示す。通信システム20は、サーバ装置30a,30bと、無線接続装置としてのアクセスポイント40a,40b,40cとを含む。通信システム20は、VPN(仮想プライベートネットワーク)回線を形成(図4と共に後述)した通信装置によって構成される。以下、サーバ装置30a,30bを区別しない場合はサーバ装置30と呼び、アクセスポイント40a,40b,40cを区別しない場合はアクセスポイント40と呼ぶ。
FIG. 1 shows a
図1に示すように、アクセスポイント40a,41、ゲートウェイ装置50及びクライアント装置CLa,CLbは、LAN100を構成する。LAN100は、オフィス等に設置された社内LANである。LAN100は、これ以外の通信装置を含んでもよい。
As shown in FIG. 1, the
アクセスポイント41は、アクセスポイント40とは異なり、VPN回線を形成していないアクセスポイントである。但し、アクセスポイント40と、アクセスポイント41とにハードウェアの差異は無い。アクセスポイント41は、後述する初期設定処理によって、VPN回線を形成すると、アクセスポイント40として通信システム20に含まれる。通信システム20は、VPN回線を形成する機能を有しないアクセスポイント(図示しない)を含んでもよい。
Unlike the
アクセスポイント40b,40cは、LAN100以外のLANに属する。これらのLANは、社内LANや家庭内LANなどである。ゲスト装置GSは、スマートフォン等のモバイル通信端末である。ゲスト装置GSは、LAN100に属していないので、平時において、アクセスポイント40,41と無線接続することはできない。ここでいう平時とは、公衆通信網を生成するトリガとして定められた現象(以下「イベント」という)が発生していない状態のことである。本実施形態におけるイベントは、災害の発生と、会議場における通信インフラ設営との少なくとも何れかである。ここでいう災害とは、LAN100の位置を含む地域における自然現象(地震など)や人為的原因による大規模な災害のことである。このような災害は、通信障害を引き起こす場合がある。会議場における通信インフラ設営とは、会議への参加者(部外者)へ、企業内ネットワークとは切り離されたインターネット接続の無線LANインフラを、異なるSSIDにより提供するためのインフラ設営のことである。
The
アクセスポイント40a,41は、有線ケーブルを介してゲートウェイ装置50に接続される。ゲートウェイ装置50は、ルータとして機能する据え置き型の通信装置であり、インターネットINTと有線ケーブルを介して接続されている。
アクセスポイント40a,41に無線接続したクライアント装置CLa,CLbは、ゲートウェイ装置50を介して、インターネットINTに接続したり、相互にデータを送受信したりできる。
Client devices CLa and CLb wirelessly connected to the
サーバ装置30は、インターネットINTに接続されたVPNサーバである。サーバ装置30a,30bは、被災等の原因により同時に使用できなくなる確率を下げるために、互いに離れた場所に設置されている。
The
図2は、サーバ装置30の構成を機能的に示すブロック図である。サーバ装置30は、CPU310と、RAM330と、有線通信インターフェイス350と、ハードディスク360とを備える。これらの構成要素は、バスによって相互に接続されている。
FIG. 2 is a block diagram functionally showing the configuration of the
CPU310は、ハードディスク360に格納されているプログラムを実行することによって、サーバ装置30を制御する。CPU310は、後述する開放制御処理を実行することによって、指示部311(図5と共に後述)として機能する。
有線通信インターフェイス(I/F)350は、図示しないゲートウェイ装置を介してインターネットINTと接続される。有線通信インターフェイス350は、PHY/MACコントローラを含み、受信した信号の波形を整える他、受信した信号からMACフレームを取り出す。
A wired communication interface (I / F) 350 is connected to the Internet INT via a gateway device (not shown). The
図3は、アクセスポイント40の構成を機能的に示すブロック図である。アクセスポイント40は、CPU410と、RAM430と、無線通信インターフェイス440と、有線通信インターフェイス450と、フラッシュROM460とを備える。これらの構成要素は、バスによって相互に接続されている。
FIG. 3 is a block diagram functionally showing the configuration of the
CPU410は、フラッシュROM460に格納されているプログラムをRAM430に展開して実行することによって、限定接続部411として機能する。限定接続部411は、LAN用SSIDを用いて、平時であってもイベントの発生時であっても、LAN100内の無線LAN接続を実行する。LAN用SSIDは、接続に暗号化タイプと暗号キーとが必要である。この結果、LAN用SSIDによる無線ネットワークは、イベント発生時用SSID(後述)による無線ネットワークとは隔離される。
The
CPU410は、開放制御処理(図5)を実行することによって、照会部413及び公衆接続部415として機能する(図5と共に後述)。
The
無線通信インターフェイス440は、送受信回路を含み、アンテナを介して受信した電波の復調およびデータの生成、並びに、アンテナを介して送信する電波の生成および変調を行う。
The
有線通信インターフェイス450は、有線ケーブルを通じてゲートウェイ装置50と接続される。有線通信インターフェイス450は、PHY/MACコントローラを含み、受信した信号の波形を整える他、受信した信号からMACフレームを取り出す。
The
図4は、初期設定処理を示すシーケンス図である。この処理は、VPN回線を形成するために、平時に実行される。つまり、アクセスポイント41をアクセスポイント40に変更し、イベントの発生時に公衆無線LANのアクセスポイントとして機能させるために、平時に実行される処理である。
FIG. 4 is a sequence diagram showing the initial setting process. This process is executed in normal time to form a VPN line. That is, it is a process executed in normal time in order to change the
初めに、LAN100の管理者が、アクセスポイント41に設定情報を入力する(ステップS511)。設定情報とは、少なくとも何れか1つのサーバ装置30のIPアドレス、ID及びパスワード、並びに、アクセスポイント41の位置情報のことである。サーバ装置30aとサーバ装置30bとのIPアドレスをアクセスポイント41がそれぞれ登録しておけば、一方のサーバ装置30が接続できない場合の冗長性を高めることができる。例えば、一方へのVPN接続が失敗した際、自律的に、他方へのVPN接続を行うように制御されていてもよい。
First, the administrator of the
アクセスポイント41の位置情報とは、住所、郵便番号、緯度・経度などの少なくとも1つの情報である。位置情報は、イベントが発生した場合にアクセスポイント40がそのイベントに起因して公衆無線網を生成するべき地域(以下「イベント発生地域」という)に位置するかを判断するために用いられるので、ある程度の範囲が特定できる情報でよい。上記の入力は、アクセスポイント41と無線接続されたクライアント装置(例えばクライアント装置CLa)を用いて実行される。上記少なくとも何れか1つのサーバ装置30は、複数のサーバ装置30のなかから、LAN100の管理者によって選択される。選択されるサーバ装置30は、VPN回線が構築された後にサーバ装置30とアクセスポイント40とが同時に被災等の原因により同時に使用できなくなる可能性が低いものであることが好ましい。この可能性を低くするには、想定される災害の種類を考慮することが考えられる。例えば、地震であれば、アクセスポイント40から距離が離れているサーバ装置30や、地震が殆ど発生しない地域にあるサーバ装置30を選択することが考えられる。津波であれば、高台に位置するサーバ装置30を選択することが考えられる。
The location information of the
設定情報が入力されるアクセスポイント41は、災害時に機能する公衆無線LANに適したアクセスポイントとして管理者に選択されたものであることが好ましい。災害時に機能する公衆無線LANに適したアクセスポイントとは、例えば、1階に設置されているものや、道路の近くに設置されているもの、公共施設に設置されているもの、電波が広範囲に届きやすい条件のものなどが挙げられる。電波が届く範囲は、例えば、周囲の建物の形状に依存する。
The
アクセスポイント41は、上記の情報が入力されると、サーバ装置30に登録情報を送信する(ステップS524)。登録情報とは、アクセスポイント41のID、パスワード及び位置情報のことである。この位置情報は、ステップS511で入力されたものである。
When the above information is input, the
サーバ装置30は、受信した登録情報を記憶する(ステップS533)。続いてサーバ装置30は、記憶した登録情報を用いて、登録情報の送信元のアクセスポイント41と共にVPN回線を構築する(ステップS540)。VPN回線を構築に際しては、既知の通り、暗号キーの交換などが実行される。
The
本実施形態におけるVPN回線の形成には、L2TP(Layer 2 Tunneling Protocol)が用いられる。L2TPによれば、トンネリングによる通信が実行される。一方で、L2TP自身は、暗号化による秘密性や強力な認証を提供しない。但し、本実施形態におけるVPN回線は、ゲスト装置GSがインターネット接続をするためのものなので、一般的に、暗号化による秘密性までは必要とされない。 L2TP (Layer 2 Tunneling Protocol) is used for forming the VPN line in the present embodiment. According to L2TP, communication by tunneling is executed. On the other hand, L2TP itself does not provide confidentiality or strong authentication by encryption. However, since the VPN line in the present embodiment is for the guest device GS to connect to the Internet, generally, confidentiality by encryption is not required.
アクセスポイント40は、上記のようにVPN回線が構築された後でも、LAN用SSIDを用いて接続されたクライアント装置(例えばクライアント装置CLa)の場合、VPN回線を用いず、通常の回線によって接続する。後述するように、VPN接続によりインターネット接続を行うゲスト装置GSは、無線セキュリティが無いイベント発生時用SSIDに接続する。また、後述するように、アクセスポイント40,41はマルチSSIDに対応が可能で、平時のLAN用SSIDに加え、イベントが発生するとイベント発生時用SSIDが生成される。
Even after the VPN line is constructed as described above, the
上記の初期設定処理を複数のアクセスポイント41それぞれに実行させることによって、通信システム20が構築される。
The
図5は、開放制御処理を示すシーケンス図である。開放制御処理は、イベントの発生時における公衆無線LANを実現するための処理である。開放制御処理は、初期設定処理によってVPN回線を構築したことを契機に、アクセスポイント40が開始する。
FIG. 5 is a sequence diagram showing the opening control process. The opening control process is a process for realizing a public wireless LAN when an event occurs. The opening control process is started by the
初めに、アクセスポイント40の照会部413は、イベントが発生しているか否かを照会する(ステップS614)。照会先は、VPN回線の相手となっているサーバ装置30である。
First, the
照会されたサーバ装置30は、平時である場合、平時である旨を示す情報をアクセスポイント40に返信する(ステップS623)。ここでいう平時とは、照会元のアクセスポイント40の位置において、イベントが発生していないことを意味する。サーバ装置30は、照会元のアクセスポイント40の位置においてイベントが発生していることを示す情報がサーバ装置30に入力されていなければ、平時であるとみなす。
Inquired
照会部413は、平時である旨を示す情報を自装置が受信すると、所定間隔を空けて、再び同じ照会をする(ステップS614)。このように、アクセスポイント40の位置においてイベントが発生していることを示す情報がサーバ装置30に入力されていなければ、上記の照会と返信とが繰り返される。
When the self-device receives information indicating that it is normal, the
イベントが発生した場合、サーバ装置30の管理者は、サーバ装置30に発生地情報を入力する(ステップS639)。発生地情報とは、イベントが発生している地域が特定できる情報のことである。具体的には、郵便番号や電話番号などの行政区を特定する情報である。この他、緯度・経度によって特定される範囲などでもよい。さらに管理者等が保有する図示しない移動通信端末が入手するGPSによる位置情報が、無線LAN、Bluetooth(登録商標)、NFC等のインターフェイスを経由し、サーバ装置30で動作するアプリケーションへ通知されても良い。この場合、管理者が手動で位置情報を入力することなく、簡易に、かつ正確に、公衆通信網を生成するべき地域を自動的に入力し、特定することができる。
When the event occurs, the administrator of the
発生地情報が入力されたサーバ装置30の指示部311は、アクセスポイント40にイベント発生時用SSIDの生成を指示する(ステップS643)。具体的には、生成するSSID名を特定し、当該SSIDの生成指示を送信する。この場合、暗号設定は不要である。送信先となるアクセスポイント40は、VPN回線が構築されているアクセスポイント40のうち、イベント発生地域に位置するものである。つまり、サーバ装置30は、入力された発生地情報と、ハードディスク360に記憶している登録情報とを突き合わせてイベント発生地域に位置するアクセスポイント40を特定し、特定したアクセスポイント40に上記指示をする。なお、新たに生成するSSIDに暗号が必要な場合には、暗号化タイプと暗号キーとを、生成するSSIDに合わせて送信してもよい。暗号が不要な場合、暗号化タイプ領域をNullデータとして送信すればよい。
The
サーバ装置30は、登録情報に含まれる位置情報を、必要に応じて、発生地情報と対比可能なように変換する。例えば、郵便番号と電話番号とを対比できるように、郵便番号と電話番号とをそれぞれ行政区名に変換する。この変換は、郵便番号と電話番号とのそれぞれについて、特定可能な範囲(○○県□□市など)で実施する。イベント発生時用SSIDは、何れのアクセスポイント40によって使用されるものも同一である。
The
イベント発生時用SSIDを受信したアクセスポイント40は、受信したイベント発生時用SSIDを起動する(ステップS654)。つまり、公衆接続部415が、無線通信インターフェイス440に対し、受信した名称のSSIDを新たに生成すると共に、該当するSSIDについて、IEEE802.11に規定されたインフラストラクチャーモードにおけるアクセスポイント処理を起動する。アクセスポイント処理が起動されると、新たに生成したSSIDによるビーコンが生成される。
The
イベント発生時用SSIDを開放しているアクセスポイント40と無線通信できる範囲に位置するゲスト装置GSは、このアクセスポイント40に対して、イベント発生時用SSIDを用いた無線接続を要求する(ステップS661)。この無線接続は、SSIDに暗号がかかっていないため、当該SSIDへ無線通信装置がアソシエーションする場合、暗号タイプや暗号キーを必要とせず、暗号なしでの接続ができる。この無線接続の要求は、ゲスト装置GSのユーザからの指示に基づき実行される。ゲスト装置GSのユーザは、イベント発生時用SSIDによる無線接続が可能なことを、ゲスト装置GSの設定画面を通じて知ることができる。つまり、無線端末の無線LANアクセスポイント接続アプリケーションにおいて、接続可能なアクセスポイントのリストとして、SSIDの1つとして当該SSIDが表示されるため、ユーザはイベント発生時用SSIDが有効になっていることを知ることができる。イベント発生時用SSIDによれば公衆無線LANが利用できることは、事前に周知されているものとする。
The guest device GS located in a range where wireless communication can be performed with the
アクセスポイント40の公衆接続部415は、イベント発生時用SSIDによる無線接続を要求してきたゲスト装置GSと無線接続を確立する(ステップS674)。この確立は、IEEE802.11規格で開示されるインフラストラクチャーモードのステーションがアクセスポイントへ接続する方法を用いて実行される。
The
図6は、イベント発生時においてゲスト装置GSが無線接続される様子を示す。アクセスポイント40aは、イベント発生時用SSIDを用いて無線接続する場合、VPN回線を用いてインターネットINTに接続する。よって、ゲスト装置GSは、VPN回線を通じてインターネットINTに接続される。
FIG. 6 shows how the guest device GS is wirelessly connected when an event occurs. The
先述したように、VPN回線を用いた接続では、トンネリングによる通信が実行される。よって、ゲスト装置GSは、クライアント装置CLa,CLbから仮想的に隔離される。つまり、ゲスト装置GSは、アクセスポイント40aを介してクライアント装置CLaにアクセスしたり、アクセスポイント40aとゲートウェイ装置50とアクセスポイント41とを介してクライアント装置CLbにアクセスしたりすることはできない。この結果、LAN100内の情報は、ゲスト装置GSに対して秘匿される。
As described above, in connection using a VPN line, communication by tunneling is executed. Therefore, the guest device GS is virtually isolated from the client devices CLa and CLb. That is, the guest device GS cannot access the client device CLa via the
図5に示されるように、無線接続が確立された後、閉鎖処理が実行される。図7は、閉鎖処理を示すシーケンス図である。 As shown in FIG. 5, after the wireless connection is established, the closing process is executed. FIG. 7 is a sequence diagram illustrating the closing process.
まず、アクセスポイント40は、イベントが収束したか否かをサーバ装置30に照会する(ステップS714)。照会されたサーバ装置30は、照会元のアクセスポイント40の位置に対応する収束情報が入力されていなければ、又は、イベントが発生したままであれば、イベントが収束していない旨をアクセスポイント40に返信する(ステップS723)。収束情報とは、イベントが収束した地域を示す情報である。
First, the
アクセスポイント40の公衆接続部415は、イベントが収束していない旨を示す情報を自装置が受信すると、イベント発生時用SSIDの開放を継続する。この場合、ゲスト装置GSは、引き続きインターネット接続が利用できる(ステップS731)。
When the own device receives information indicating that the event has not converged, the
アクセスポイント40は、イベントが収束していない旨を示す情報を受信すると、イベント発生時用SSIDの開放を継続しつつ、所定間隔を空けて再び、上記収束の照会をする(ステップS714)。このようにしてアクセスポイント40は、アクセスポイント40の位置においてイベントが収束したという情報を取得するまで、公衆無線LANを実現する。
When the
サーバ装置30の管理者は、少なくとも一部の地域においてイベント発生時用SSIDを閉鎖すべきと判断した場合、その地域を示す収束情報をサーバ装置30に入力する(ステップS749)。収束情報が入力されたサーバ装置30は、収束情報に示される地域に位置するアクセスポイント40に対して、閉鎖するべきSSID名と、当該SSIDの閉鎖指示を送信する(ステップS753)。
When the administrator of the
閉鎖指示を受信したアクセスポイント40は、イベント発生時用SSIDを閉鎖する。具体的には、このアクセスポイント40は、イベント発生時用SSIDを利用した無線LANアクセスポイント機能を停止して(ステップS763)、ゲスト装置GSとの無線接続を切断する(ステップS773)。このようにして、アクセスポイント40は、自装置の位置を含む地域においてイベントが収束した場合、公衆無線LANを閉鎖する。
The
以上の実施形態によれば、少なくとも以下の効果を得ることができる。
(A)公衆無線LANを実現するか否かは、サーバ装置30の管理者が判断すればよいので、イベント発生地域にいる人が判断しなくてもよい。
(B)既に敷設されているLAN100による情報とは隔離して、新たな公衆無線LANネットワークを生成することができる。
(C)さらに、イベント発生地域に位置する複数のアクセスポイント40へ同じSSIDを使用させることで、必要とされる適切な範囲へ、公衆無線LANを提供できる。また、稼働できないアクセスポイントが発生する場合でも、少なくとも稼働可能な一部のアクセスポイントによって公衆無線LANを実現できる。
(D)ゲスト装置GSは、アクセスポイント40によるビーコンを検出し、接続可能なSSID一覧を得ることによって、公衆無線LANを利用できることを、ゲスト装置GSのユーザに通知できる。
(E)イベントの実情に合わせて、公衆無線LANを開放できる。つまり、イベントが発生した地域を指定して公衆無線LANを開放し、イベントが収束した地域を指定して公衆無線LANを閉鎖できる。
According to the above embodiment, at least the following effects can be obtained.
(A) Since it is only necessary for the administrator of the
(B) A new public wireless LAN network can be generated in isolation from information by the already installed
(C) Furthermore, by making the plurality of
(D) The guest device GS can notify the user of the guest device GS that the public wireless LAN can be used by detecting a beacon by the
(E) The public wireless LAN can be opened according to the actual situation of the event. That is, the public wireless LAN can be opened by designating the area where the event has occurred, and the public wireless LAN can be closed by designating the area where the event has converged.
本発明は、先述の実施形態や実施例、変形例に限られるものではなく、その趣旨を逸脱しない範囲において種々の構成で実現することができる。例えば、発明の概要の欄に記載した各形態中の技術的特徴に対応する実施形態、実施例、変形例中の技術的特徴は、先述の課題の一部または全部を解決するために、或いは、先述の効果の一部または全部を達成するために、適宜、差し替えや組み合わせを行うことが可能である。また、その技術的特徴が本明細書中に必須なものとして説明されていなければ、適宜、削除することが可能である。例えば、以下のものを挙げることができる。 The present invention is not limited to the above-described embodiments, examples, and modifications, and can be realized with various configurations without departing from the spirit of the present invention. For example, the technical features in the embodiments, examples, and modifications corresponding to the technical features in each form described in the summary section of the invention are for solving some or all of the above-described problems, or In order to achieve part or all of the effects described above, replacement or combination can be performed as appropriate. Further, if the technical feature is not described as essential in the present specification, it can be deleted as appropriate. For example, the following can be mentioned.
VPNを形成するためのプロトコルは、L2TP以外のものでもよい。例えば、PPTP(Point to Point Tunneling Protocol)、IPsec(Security Architecture for Internet Protocol)、L2TP/IPsec、或いは認証機能を有する他のプロトコルでもよい。 The protocol for forming the VPN may be other than L2TP. For example, PPTP (Point to Point Tunneling Protocol), IPsec (Security Architecture for Internet Protocol), L2TP / IPsec, or another protocol having an authentication function may be used.
VPN以外の手法で、平時に形成されているLANから隔離した無線ネットワークを形成してもよい。例えば、VLAN(Virtual Local Area Network:仮想LAN)を利用してもよい。VLANを利用する形態としては、例えば次のものが考えられる。新たなSSIDを生成する時、他のSSIDと異なるVLANのIDによるネットワークとする。さらにSSID毎に異なるIPのネットワークアドレスに設定しても良い。VLANを利用する場合、基本的にはLAN用SSIDによるネットワークと、イベント発生時用SSIDによるネットワークとは、異なるVLAN用IDを割り当て、アクセスポイントや上位スイッチングハブやルータにおいて、VLAN用ID毎に情報を隔離する。さらに、内部ゲートウェイまたはアクセスポイントが保有するDHCPサーバ機能をSSID毎に動作可能であり、LAN用SSIDで接続されるクライアント装置やサーバ装置と、イベント発生時用SSIDに接続されるクライアント装置やサーバ装置とは、異なるネットワークセグメントのIPアドレスを設定しても良い。この場合、VLAN用IDだけでなくIPネットワークとしても分離されるため、異なるSSIDに接続される装置間の相互通信はできない。具体的な手順は、次のものが例示される。 You may form the wireless network isolated from LAN currently formed at the normal time by methods other than VPN. For example, a VLAN (Virtual Local Area Network) may be used. As a form of using the VLAN, for example, the following can be considered. When a new SSID is generated, a network with a VLAN ID different from other SSIDs is used. Further, a different IP network address may be set for each SSID. When using a VLAN, basically, a network based on the SSID for LAN and a network based on the SSID for event occurrence are assigned different VLAN IDs, and information is provided for each VLAN ID at the access point, the upper switching hub, or the router. Isolate. Further, the DHCP server function possessed by the internal gateway or access point can be operated for each SSID, and the client device and server device connected by the SSID for LAN, and the client device and server device connected by the SSID for event occurrence The IP address of a different network segment may be set. In this case, since not only the VLAN ID but also the IP network is separated, mutual communication between devices connected to different SSIDs is not possible. Specific procedures are exemplified as follows.
LANの管理者は、イベントの発生を検出すると、アクセスポイントにイベント発生時用VLANの形成を指示する。この指示は、ウェブ設定画面を通じて(例えばチェックボックスにチェックを入れることで)実行する。VLANの設定については、サーバ装置からVPNを経由せず、指示だけを受け取ることにより、自動で行うことも可能である。指示を受けたアクセスポイントは、イベント発生時用VLANを公衆無線LANとして開放する。一方で、秘匿すべき情報を有するLAN内の通信は、別のVLANのIDを付与して管理する。つまり、秘匿すべき情報を有するLAN内の通信は、別のVLAN(限定接続用VLAN)によって実行される。限定接続用VLANは、イベント発生時用VLANと同時期に形成されてもよいし、イベントの発生以前から形成されていてもよい。限定接続用VLAN及びイベント発生時用VLANの接続には別々のSSIDが用いられ、イベント発生時用VLANに接続した通信装置を、限定接続用VLAN内にアクセスさせずにインターネットに接続する。このようにVLANにより分離する場合は、VLAN IDが異なるため、通信が隔離される。更にネットワークアドレスが異なる場合、IPによる通信が隔離される。この結果、社内LAN内または家庭用LAN内の秘匿すべき情報のセキュリティが確保される。 When detecting the occurrence of an event, the LAN administrator instructs the access point to create a VLAN for event occurrence. This instruction is executed through a web setting screen (for example, by checking a check box). The VLAN setting can be automatically performed by receiving only an instruction from the server apparatus without going through the VPN. Upon receiving the instruction, the access point opens the event occurrence VLAN as a public wireless LAN. On the other hand, communication within a LAN having information to be kept secret is managed by assigning another VLAN ID. That is, communication within a LAN having information to be kept secret is executed by another VLAN (limited connection VLAN). The limited connection VLAN may be formed at the same time as the event occurrence VLAN, or may be formed before the occurrence of the event. Separate SSIDs are used for connection between the limited connection VLAN and the event occurrence VLAN, and the communication device connected to the event occurrence VLAN is connected to the Internet without accessing the limited connection VLAN. Thus, when separating by VLAN, since VLAN ID differs, communication is isolated. Further, when the network address is different, communication by IP is isolated. As a result, the security of information to be concealed within the in-house LAN or the home LAN is ensured.
VLAN、VPNの何れについても、イベント発生時用SSIDは、上述のように、イベントの発生をトリガとして生成されても良いし、予めアクセスポイントにイベント発生時用SSIDが設定されており、無効設定されている状態であっても良い。無効設定がされている場合、管理者からの指示を受けた時に、無効になっていた対象SSIDを有効にし、対象SSIDによるIEEE802.11のインフラストラクチャーモードによるアクセスポイント機能を有効にする形態であっても良い。さらに、VLANやVPNの接続設定も予め設定されており、無効設定されている状態であっても良い。この場合、管理者からの指示を受けた時に、無効になっていたVLANやVPNの接続設定を有効とし、トリガに基づきイベント発生時用SSIDの生成だけでなく、当該SSIDに紐付いたVLANやVPNの設定が、既存のLAN用SSIDと分離して構築される形態であってもよい。 For both VLAN and VPN, the event occurrence SSID may be generated with the event occurrence as a trigger as described above, or the event occurrence SSID is set in advance at the access point, and is invalid. It may be in a state of being. When the invalid setting is made, when the instruction from the administrator is received, the invalid target SSID is validated, and the access point function by the IEEE 802.11 infrastructure mode by the target SSID is validated. May be. Furthermore, VLAN and VPN connection settings may be set in advance, and may be disabled. In this case, when an instruction from the administrator is received, the invalid VLAN or VPN connection setting is validated, and not only the generation of the SSID for event occurrence based on the trigger, but also the VLAN or VPN associated with the SSID May be configured separately from the existing LAN SSID.
VLAN、VPNの何れについても、新たに生成するSSIDは1つに限定されない。既にSSIDが生成されているアクセスポイントへ、さらに異なるSSIDの生成を指示してもよい。 For both VLAN and VPN, the newly generated SSID is not limited to one. An access point for which an SSID has already been generated may be instructed to generate a different SSID.
VPNに代えて、PPPoE(Point to Point Protocol over Ethernet)(Ethernetは登録商標)を用いて、LAN内の情報を秘匿してもよい。 Information in the LAN may be concealed using PPPoE (Point to Point Protocol over Ethernet) (Ethernet is a registered trademark) instead of VPN.
サーバ装置が、管理者の情報入力によらず、公衆無線LANの開放や閉鎖をアクセスポイントに指示してもよい。この場合、サーバ装置は、災害発生の検出、被災地の特定および災害の収束を、例えば、通信キャリアが設置する災害伝言板を用いて特定してもよい。 The server device may instruct the access point to open or close the public wireless LAN regardless of information input by the administrator. In this case, the server apparatus may specify the detection of the occurrence of the disaster, the identification of the disaster area, and the convergence of the disaster using, for example, a disaster message board installed by the communication carrier.
アクセスポイントは、サーバ装置に、公衆無線LANの開放や閉鎖の照会をしなくてもよい。この場合、サーバ装置は、照会の有無に関わらず、アクセスポイントに自発的に指示をしてもよい。或いは、アクセスポイントが、サーバ装置からの指示によらず、公衆無線LANの開放や閉鎖を実行してもよい。この場合、アクセスポイントは、災害発生の検出、被災地の特定および災害の収束を、例えば、電気通信事業者が設置する災害伝言板を用いて特定してもよい。或いは、LANの管理者が、アクセスポイントに公衆無線LANの開放や閉鎖を指示してもよい。 The access point does not need to make an inquiry to the server device for opening or closing the public wireless LAN. In this case, the server device may voluntarily give an instruction to the access point regardless of whether there is an inquiry. Alternatively, the access point may open or close the public wireless LAN without an instruction from the server device. In this case, the access point may specify the detection of the occurrence of the disaster, the identification of the disaster area, and the convergence of the disaster using, for example, a disaster message board installed by the telecommunications carrier. Alternatively, the LAN administrator may instruct the access point to open or close the public wireless LAN.
災害の発生を監視している範囲(例えば、日本国内全域)において、災害が発生した場合、通信システムに含まれる全アクセスポイントに、無線LANを開放させてもよい。この後、開放が不要と判断される地域から順次、無線LANを閉鎖してもよい。 When a disaster occurs in a range where the occurrence of the disaster is monitored (for example, all over Japan), the wireless LAN may be opened to all access points included in the communication system. Thereafter, the wireless LAN may be closed sequentially from areas where it is determined that opening is unnecessary.
登録情報(サーバ装置が記憶するアクセスポイントの情報)には、アクセスポイントが建物の何階に設置されているかを示す情報が含まれてもよい。サーバ装置は、この情報を用いて、例えば、地上に近いアクセスポイントを優先的に開放してもよい。 The registration information (access point information stored by the server device) may include information indicating on which floor of the building the access point is installed. For example, the server apparatus may preferentially open an access point close to the ground using this information.
アクセスポイントは、イベント発生時用SSIDを平時から記憶してもよい。この場合、管理者が設定情報としてアクセスポイントにイベント発生時用SSIDを入力してもよい。 The access point may store the SSID for event occurrence from normal time. In this case, the administrator may input the event occurrence SSID to the access point as setting information.
VPN回線を形成するサーバ装置は、イベント発生についての照会先になったり、イベント発生時用SSIDを送信したりするサーバ装置と同一の装置でなくてもよい。
アクセスポイント及びサーバ装置は、イベントが発生したことを契機に、VPN回線を形成してもよい。
The server device that forms the VPN line does not have to be the same device as the server device that serves as a reference for the occurrence of an event or transmits an SSID for event occurrence.
The access point and the server device may form a VPN line when an event occurs.
通信システムに含まれるアクセスポイントの数は1つでも複数でもよい。
通信システムに含まれるサーバ装置の数は1つでも複数でもよい。
接続先は、インターネットでなくてもよく、例えば、電気通信事業者や政府が用意した広域LANなどの公衆通信網でもよい。
サーバ装置に含まれる記憶媒体は、フラッシュROMなど他の記憶媒体でもよい。
One or more access points may be included in the communication system.
The number of server devices included in the communication system may be one or more.
The connection destination may not be the Internet, but may be a public communication network such as a wide area LAN prepared by a telecommunications carrier or the government.
The storage medium included in the server device may be another storage medium such as a flash ROM.
20…通信システム
30…サーバ装置
30a…サーバ装置
40…アクセスポイント
40a…アクセスポイント
40b…アクセスポイント
41…アクセスポイント
50…ゲートウェイ装置
310…CPU
311…指示部
350…有線通信インターフェイス
360…ハードディスク
410…CPU
411…限定接続部
413…照会部
415…公衆接続部
440…無線通信インターフェイス
450…有線通信インターフェイス
460…フラッシュROM
INT…インターネット
CLa…クライアント装置
CLb…クライアント装置
GS…ゲスト装置
DESCRIPTION OF
311:
411 ...
INT ... Internet CLa ... Client device CLb ... Client device GS ... Guest device
Claims (3)
前記無線接続装置は、イベントの発生時において、通信装置を前記サーバ装置経由で公衆通信網に接続するための無線ネットワークである第2ネットワークを、前記第1ネットワークと隔離して生成し、
前記サーバ装置は、前記第2ネットワークの生成を、前記無線接続装置に対して前記イベントの発生時に指示する指示部を備え、
前記無線接続装置は、複数あり、
前記複数の無線接続装置それぞれは、同一の識別子による前記第2ネットワークを生成する
通信システム。 A communication system including a wireless connection device belonging to a first network that is a wireless network limited by specific security information, and a server device connected to a public communication network,
The wireless connection device generates a second network, which is a wireless network for connecting a communication device to a public communication network via the server device, when the event occurs, separately from the first network ,
The server device includes an instruction unit that instructs generation of the second network to the wireless connection device when the event occurs ,
There are a plurality of the wireless connection devices,
Each of the plurality of wireless connection devices generates the second network with the same identifier.
請求項1に記載の通信システム。 The communication system according to claim 1 , wherein the instruction unit issues the instruction to a predetermined one of the plurality of wireless connection devices.
前記無線接続装置は、前記複数のサーバ装置の何れか1つを経由して、前記通信装置を前記公衆通信網に接続する
請求項1から請求項2までの何れか一項に記載の通信システム。 There are a plurality of the server devices,
The communication system according to any one of claims 1 to 2 , wherein the wireless connection device connects the communication device to the public communication network via any one of the plurality of server devices. .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014085416A JP6330445B2 (en) | 2014-04-17 | 2014-04-17 | Communications system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014085416A JP6330445B2 (en) | 2014-04-17 | 2014-04-17 | Communications system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015207811A JP2015207811A (en) | 2015-11-19 |
JP6330445B2 true JP6330445B2 (en) | 2018-05-30 |
Family
ID=54604343
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014085416A Active JP6330445B2 (en) | 2014-04-17 | 2014-04-17 | Communications system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6330445B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6664232B2 (en) * | 2016-02-18 | 2020-03-13 | 三菱電機株式会社 | Wireless LAN access system, router device, and access control method |
US20230156423A1 (en) | 2021-11-15 | 2023-05-18 | Cypress Semiconductor Corporation | Higher accuracy secure phase-based ranging and direction finding |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004364006A (en) * | 2003-06-05 | 2004-12-24 | Allied Telesis Holdings Kk | Roadside-vehicle communication system and communication method |
JP4740782B2 (en) * | 2006-03-30 | 2011-08-03 | 京セラ株式会社 | Communication system and portable radio communication device |
PL1850532T3 (en) * | 2006-04-29 | 2012-10-31 | Alcatel Lucent | Method of providing a guest terminal with emergency access over a WLAN |
JP4979675B2 (en) * | 2008-11-12 | 2012-07-18 | 日本電信電話株式会社 | Radio communication base station apparatus and radio communication system |
JP6056251B2 (en) * | 2012-08-01 | 2017-01-11 | 富士通株式会社 | Wireless communication apparatus, control method thereof, and control program |
-
2014
- 2014-04-17 JP JP2014085416A patent/JP6330445B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015207811A (en) | 2015-11-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA2413944C (en) | A zero-configuration secure mobility networking technique with web-base authentication method for large wlan networks | |
US7849499B2 (en) | Enterprise wireless local area network (LAN) guest access | |
KR102445355B1 (en) | Session management method and device for user groups | |
JP4913209B2 (en) | Method for providing emergency access to a WLAN to a guest terminal | |
EP2961131B1 (en) | Electronic communication systems and methods | |
US20150032861A1 (en) | Device Abstraction in Autonomous Wireless Local Area Networks | |
CN102651707B (en) | Automatic configuration method of wireless bridge | |
US10368338B2 (en) | Wireless device, network system and control method of wireless device | |
CN102172059A (en) | Handling of local breakout traffic in a home base station | |
JP2013526134A (en) | Establishing connectivity between relay nodes and configuration entities | |
US20220141176A1 (en) | Supporting dynamic host configuration protocol-based customer premises equipment in fifth generation wireline and wireless convergence | |
JP6245054B2 (en) | Network system and wireless connection device | |
JP2015033037A (en) | Wireless lan system | |
WO2014048373A1 (en) | Method and device for wireless information transmission | |
JP6329947B2 (en) | Method for configuring network nodes of a telecommunication network, telecommunication network, program, and computer program | |
WO2012169113A1 (en) | Base station device and communication method for base station device | |
JP6330445B2 (en) | Communications system | |
CN102457520A (en) | Communication device and relay method | |
JP5994867B2 (en) | Gateway, communication system, gateway control method, and computer program therefor | |
EP3993352A1 (en) | Supporting dynamic host configuration protocol-based customer premises equipment in fifth generation wireline and wireless convergence | |
CN106982427B (en) | Connection establishment method and device | |
CN109640350A (en) | The long-distance maintenance method and device of AP | |
WO2009103227A1 (en) | Method, device and system for sending initial configuration message to access point device | |
JP2004312257A (en) | Base station, repeating device and communication system | |
JP2016163178A (en) | Radio connection device and method for controlling radio connection device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161213 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170823 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170912 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171011 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180327 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180409 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6330445 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |