[go: up one dir, main page]

JP4000111B2 - 通信装置および通信方法 - Google Patents

通信装置および通信方法 Download PDF

Info

Publication number
JP4000111B2
JP4000111B2 JP2003422395A JP2003422395A JP4000111B2 JP 4000111 B2 JP4000111 B2 JP 4000111B2 JP 2003422395 A JP2003422395 A JP 2003422395A JP 2003422395 A JP2003422395 A JP 2003422395A JP 4000111 B2 JP4000111 B2 JP 4000111B2
Authority
JP
Japan
Prior art keywords
terminal
authentication
network
level
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003422395A
Other languages
English (en)
Other versions
JP2005184463A (ja
Inventor
佳道 谷澤
真孝 後藤
吉彦 柏尾
雅裕 高木
尚久 渋谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003422395A priority Critical patent/JP4000111B2/ja
Priority to US10/973,472 priority patent/US7443983B2/en
Publication of JP2005184463A publication Critical patent/JP2005184463A/ja
Application granted granted Critical
Publication of JP4000111B2 publication Critical patent/JP4000111B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、無線LANシステムに関する。
無線LANはネットワークシステムの可用性、柔軟性を大幅に向上させるものであるが、無線であるが故のセキュリティ対策が必須となる。無線LANにアクセスするクライアントを制限するためには、クライアントがアクセスポイントに接続要求をする際に、アクセスポイントがそのクライアントを認証する仕組みが必要である。
クライアントを認証するためのサーバである認証サーバを別途用意して、クライアント、アクセスポイント、認証サーバの三者間で認証を行う方式はIEEE802.1xとしてIEEEで標準化されており、この方式が一般に使われている。
現在、ホットスポットなどの公共環境に無線LANシステムを設置する試みが多くなされている。ホットスポット環境においては、クライアントは不特定多数であるため、ホットスポットサービスを提供すべきクライアントであるか否かを判断するための認証に対する重要度は高い。
また、不特定多数のクライアントに対する認証結果によりネットワークアクセスの可否だけを決定するのではなく、クライアントに複数のレベルを与え、クライアント毎に、異なったサービスを提供したいという要求が生じうる。例えば、未登録のクライアント、登録済みのクライアント、課金済みのクライアントのそれぞれに対して提供するサービスを切替えることが考えられる。
課金済みのクライアントが登録済みクライアント用のサービスや、未登録クライアント用のサービスを受けるなど、クライアント自身のレベルに対応するサービスへのアクセスだけでなく、より下位のレベルで提供されるサービスへのアクセスを許可することも考えられる。
例えば、ユーザの認証レベルに応じて携帯電話機から各電子機器へのアクセスを制限する技術がある(例えば、特許文献1参照)。
また、スケジュール管理システムにおいて、認証レベルに応じてスケジュール情報へのアクセス権を制限する技術がある(例えば、特許文献2参照)。
特開2002−232597公報 特開2002−288394公報
従来の無線LANシステムのアクセスポイントは唯一のネットワークに接続し、認証されたクライアントのみが、当該アクセスポイントを介して当該ネットワークを通じて通信が行えるようになっていた。
従って、従来の無線LANシステムのアクセスポイントでは、無線接続してきた各クライアントが、セキュリティレベルが異なり、それに伴いサービス等も異なる複数のネットワークのうち当該クライアントに応じたネットワークを通じて通信を行うことはできなかった。例えば、アクセスポイントが接続するネットワークは唯一であるため、認証の成功したクライアントと認証の失敗したクライアントを別々のネットワークへ接続するサービスや、クライアントを認証し、その認証結果に応じて異なるサービスを提供することは困難であった。
そこで、本発明は、上記問題点に鑑み、複数のネットワークのそれぞれに予め定められたセキュリティ性を維持しながら、クライアントの当該複数のネットワークのうちのいずれか1つへのアクセスを容易にしかも柔軟に行うことができる通信装置を提供することを目的とする。
本発明の通信装置は、端末と無線接続するとともに、異なる複数のセキュリティレベルのうちの1つであって最もセキュリティレベルの低い第1のセキュリティレベルの第1のネットワークと前記複数のセキュリティレベルのうちの他の1つである第2のセキュリティレベルの第2のネットワークとを含む前記複数のセキュリティレベルのそれぞれに対応する複数のネットワークに接続された通信装置であって、端末識別子と、前記複数のネットワークのうちの1つであって当該端末識別子に対応する端末がアクセス可能なネットワークのセキュリティレベルと、当該端末が当該セキュリティレベルに対応するネットワークにアクセスする際に必要なアクセス情報とを1組とする複数の登録データを記憶する第1の記憶手段と、少なくとも前記第2のセキュリティレベルに対応する暗号アルゴリズムを記憶する第2の記憶手段と、前記通信装置に無線接続した第1の端末から、第1の端末識別子と第1のアクセス情報を受信する第1の受信手段と、前記第1の端末の認証結果と前記第1の端末識別子と前記第1のアクセス情報とに基づき、前記第1のセキュリティレベルと、前記複数の登録データのうち前記端末識別子が前記第1の端末識別子であり前記アクセス情報が前記第1のアクセス情報である第1の登録データに含まれる前記第2のセキュリティレベルとのうちのいずれか1一方を選択する選択手段と、前記選択手段で前記第2のセキュリティレベルが選択されたとき、前記第1の端末から送信されたデータを前記暗号アルゴリズムを用いて復号して前記第2のネットワークへ出力するとともに、前記第2のネットワークから受信した前記第1の端末宛てのデータを前記暗号アルゴリズムを用いて暗号化して当該第1の端末へ送信する第1の手段と、前記選択手段で前記第1のセキュリティレベルが選択されたとき、前記第1の端末から送信されたデータを前記第1のネットワークへ出力するとともに、前記第1のネットワークから受信した前記第1の端末宛てのデータを当該第1の端末へ送信する第2の手段とを具備したことを特徴とする。
本願発明の通信方法は、端末と、第1のセキュリティレベルの第1のネットワークと当該第1のセキュリティレベルよりセキュリティレベルの高い第2のセキュリティレベルの第2のネットワークとを含む、セキュリティレベルがそれぞれ異なる複数のネットワークのうちの1つとの間の通信方法であって、端末識別子と、前記複数のネットワークのうちの1つであって当該端末識別子に対応する端末がアクセス可能なネットワークのセキュリティレベルと、当該端末が当該セキュリティレベルに対応するネットワークにアクセスする際に必要なアクセス情報とを1組とする複数の登録データを第1の記憶手段に記憶する第1のステップと、少なくとも前記第2のセキュリティレベルに対応する暗号アルゴリズムを第2の記憶手段に記憶する第2のステップと、第1の端末から、第1の端末識別子と第1のアクセス情報を受信する第3のステップと、前記第1の端末の認証結果と前記第1の端末識別子と前記第1のアクセス情報とに基づき、前記第1のセキュリティレベルと、前記複数の登録データのうち前記端末識別子が前記第1の端末識別子であり前記アクセス情報が前記第1のアクセス情報である第1の登録データに含まれる前記第2のセキュリティレベルとのうちのいずれか1一方を選択する第4のステップと、前記第4のステップで前記第2のセキュリティレベルが選択されたとき、前記第1の端末から送信されたデータを前記暗号アルゴリズムを用いて復号して前記第2のネットワークへ出力するとともに、前記第2のネットワークから受信した前記第1の端末宛てのデータを前記暗号アルゴリズムを用いて暗号化して当該第1の端末へ送信する第5のステップと、前記第4のステップで前記第1のセキュリティレベルが選択されたとき、前記第1の端末から送信されたデータを前記第1のネットワークへ出力するとともに、前記第1のネットワークから受信した前記第1の端末宛てのデータを当該第1の端末へ送信する第6のステップとを有することを特徴とする。
本発明によれば、複数のネットワークのそれぞれに予め定められたセキュリティ性を維持しながら、クライアントの当該複数のネットワークのうちのいずれか1つへのアクセスを容易にしかも柔軟に行うことができる。
本発明の実施形態にかかる無線LANシステムついて説明する前に、従来の無線LANシステムについて簡単に説明する。なお、ここでは、IEEE802.1xを例にとり説明する。
図1は、従来の無線LANシステムの構成例を示したものである。アクセスポイント100は複数(例えば、ここでは3つの)クライアント端末111〜113を例えば、有線のネットワーク101へと接続するための機器である。認証サーバ102は、アクセスポイント100を経由してネットワーク101へのアクセスを許可するクライアントを認証するためのサーバである。各クライアントは無線通信機能を持ち、アクセスポイント100を経由してネットワーク101へとアクセスする端末である。
図2は、アクセスポイント100の構成例を示したものである。アクセスポイント100は、大きく分けて無線LAN制御部121、パケット判断部122、認証部126、データベース部125、ブリッジ部123、ネットワークインタフェース部(ネットワークI/F部)124から構成されている。
無線LAN制御部121は、クライアント端末との間の無線通信区間においてパケットの送受信を行うためのものである。パケット判断部122は、無線LAN制御部121で受信されたパケットがクライアント認証用のパケットであるか否かを判断するものである。認証部126はクライアントの認証を行うものである。データベース部125は、アクセスポイントが認証したクライアント端末の識別子(例えばMACアドレス)とアクセスポイントと当該クライアントとの間の通信に使用する暗号鍵とを対応させて保持するものである。ブリッジ部123は、無線LAN制御部121とネットワークI/F部124との間でパケットを転送するためのものである。ネットワークI/F部124は、ネットワーク101との間でパケットを送受信するためのものである。
無線LAN制御部121は、無線インタフェース部(無線I/F部)121a、暗号制御部121b、内部ポートw0から構成される。無線I/F部121aは、クライアント端末との間に無線通信路を確立したり、当該無線通信路を通じてパケットを送受信するためのものである。暗号制御部121bは、クライアン端末から受信した暗号化パケットの復号化および、クライアント端末へ送信するパケットの暗号化を行うものである。内部ポートw0は無線LAN制御部121からパケットを出力するためのものである。ネットワークI/F部124はネットワーク101に接続するためのインタフェースである。ブリッジ部123は、無線LAN制御部121の内部ポートw0から出力され、パケット判断部122を経由したパケットをネットワークI/F部124へ転送するためのものである。
このような構成において、まずクライアント端末とアクセスポイント100との間で無線の通信路を確立する。次に、クライアント端末とアクセスポイント100と認証サーバ102との間で様々なやり取りがなされ、認証が終了すると、認証のプロセスでやりとりした情報などを基に、クライアント端末とアクセスポイント100がそれぞれ同一の暗号鍵を作る。この暗号鍵を用いて、クライアント端末とアクセスポイント100との間の無線区間で送受信されるパケットは暗号化される。
無線I/F部121aで受信したパケットは暗号制御部121bに転送される。暗号制御部121bはパケットが暗号化されていれば復号化を行う。復号化の際には、パケットの送信元クライアント端末が使用する暗号化鍵の情報をデータベース部125に問い合わせて取得する。暗号制御部121bは、パケットを内部ポートw0からパケット判断部122へと転送する。パケット判断部122は内部ポートw0から転送されてきたパケットが認証用パケットであるか否かを判断する。パケットが認証用パケットであると判断した場合、パケット判断部122は当該パケットを認証部126へと転送する。認証用パケットではないと判断した場合はブリッジ部123へと転送する。
認証部126はパケット判断部122からクライアントの認証用パケットを受け取ると、認証サーバ102宛てのパケットを作成し、認証サーバ102へ送信すべくブリッジ部123へ出力する。一方、認証部126は、ネットワークI/F部124、ブリッジ部123を介して受け取った認証サーバ102からのクライアント宛の認証用パケットを内部ポートw0へ出力する。認証が終了した後、認証部126は対象となるクライアントが使用する暗号鍵をデータベース部125に登録する。
ブリッジ部123は、内部ポートw0とネットワークI/F部124とを関連づけている。すなわち、内部ポートw0からパケット判断部122を経由して入力されたパケットや認証部126から転送されたパケットをネットワークI/F部124へと転送する。また、ネットワークI/F部124から入力されたパケットをパケット判断部122を経由し、認証部126及び内部ポートw0へと転送する。
このように、従来のアクセスポイント100は1つのネットワーク101に接続され、当該ネットワーク101に接続するためにネットワークI/F部124を唯1つ有していた。また、無線LAN制御部121では、クライアント端末からのパケットをネットワーク101へ出力し、ネットワーク101から受信されたクライアント端末宛てのパケットを無線LAN制御部121へ入力するための唯1つの内部ポートw0を有し、内部ポートw0とネットワークI/F部124とを関連づけるためのブリッジ部123を唯1つ有していた。
次に、本発明の実施形態にかかる無線LANシステムについて説明する。
図3は、本実施形態に係る無線LANシステムの構成例を示したもので、アクセスポイント1と当該アクセスポイント1に無線接続する複数(ここでは、例えば3台)のクライアント端末3a〜3cと、アクセスポイント1に認証用ネットワーク5を介して接続し、アクセスポイント1に無線接続した各クライアント端末(のユーザ)との間の認証手続きを行う認証サーバ2とからなり、アクセスポイント1には、種別の異なる複数(例えば、ここでは5つ)のネットワーク11〜15が接続されている。ネットワーク11〜15は、例えば、有線のネットワークである。
ネットワーク11〜15は、クライアントへのサービス内容等がそれぞれ異なり、そのため、セキュリティレベルがそれぞれ異なる。この違いから、通信速度や通信プロトコル、物理層ネットワーク等が異なっていてもよい。ここでは、ネットワーク11〜15のこのような種別の違いを、ここでは、セキュリティレベルの違いで区別する。ネットワーク11〜15は、セキュリティレベルがそれぞれ「レベル0」〜「レベル4」に対応する。この数値が高いほどセキュリティレベルが高いことを表す。レベル0ネットワーク11は、アクセスポイント1に無線接続したクライアント端末であるなら、たとえ、認証の失敗したクライアント端末でも、アクセス可能のネットワークである。レベルの値が高くなればなるほど、当該ネットワークにアクセス可能なクライアント端末が限られてくる。また、レベル1ネットワーク12〜レベル4ネットワーク15のいずれかにアクセス可能なクライアント端末は、当該アクセス可能なネットワークのレベルよりも下のレベルのネットワークにもアクセス可能である。例えば、レベル1ネットワーク12にアクセス可能なクライアント端末は、レベル0ネットワーク11にもアクセス可能であり、最もレベルの高いレベル4ネットワーク15にアクセス可能なクライアント端末は、全レベルのネットワーク11〜15にアクセス可能である。
複数のクライアント端末のそれぞれには、当該クライアント端末のユーザからの指定や、当該ユーザの所属や支払い済みの金額等などに応じて、上記のようなレベルの異なる複数のネットワークのうちアクセス可能なネットワークのレベルが定められている。
例えば、「レベル2」が定められているクライアント端末は、レベル0〜レベル2ネットワーク11〜13へアクセス可能である。
認証サーバ2には、図5に示すように、各クライアント端末について、当該クライアント端末がアクセス可能なネットワークのレベルが記憶されている。すなわち、図5に示すように、各クライアント端末の識別子(例えば、当該クライアント端末のMACアドレス)ととともに、当該クライアント端末がアクセス可能なネットワークのレベルと、当該ネットワークにアクセスする際に必要なアクセス情報として例えばパスワードが記憶されている。
ここでは、例えば、クライアントに予め定められたレベル値が高ければ、それよりレベルの小さいネットワークもアクセス可能であるから、複数のレベルのネットワークにアクセスすることのできるクライアント端末も存在する。従って、図5のテーブルでは、複数のレベルのネットワークにアクセス可能なクライアント端末には、当該複数のレベルのネットワークにそれぞれ対応する複数のパスワードが記憶されている。当該クライアント端末は、これら複数のパスワードのうちの所望のネットワークに対応するパスワードを用いることにより、当該クライアント端末がアクセス可能な複数のレベルのネットワークのうちの1つの所望のネットワークからサービスを受けることができる。
図3の説明に戻り、アクセスポイント1は、当該アクセスポイント1に無線接続したクライアント端末を、複数のネットワーク11〜15のうちのいずれか1つであって、当該クライアント端末がアクセス可能なレベルのネットワークに接続するための通信装置である。
認証サーバ2は、アクセスポイント1を経由してネットワークへのアクセスを許可するクライアント端末を認証するためのサーバである。図1に示したように、従来の認証サーバ102は、アクセスポイント100からの問い合わせに対して、クライアント端末の認証の可否を答えるのみであった。
一方、図3に示す本実施形態の認証サーバ2は、認証対象のクライアント端末との間で認証に必要な情報のやり取りを(アクセスポイント1を介して)行い、認証対象のクライアント端末の認証処理を行い、認証結果と、クライアント端末から受け取ったクライアント識別子(MACアドレス)、パスワードなどや、図5に示したテーブルを参照して、当該クライアント端末を接続するネットワークのレベルを選択する。そして、認証結果(失敗あるいは成功)とともに、当該レベルを認証用ネットワーク5を介してアクセスポイント1の認証部23へに通知する。
クライアント端末3a〜3cは、無線通信機能を持ち、アクセスポイント1を経由してネットワーク11〜15のうちの当該クライアント端末がアクセス可能なネットワーク上の通信相手との間でパケットの送受信を行う。以下、各クライアント端末3a〜3cに共通し、それぞれを区別する必要がない場合には、クライアント端末3と呼ぶことにする。
クライアント端末3は、認証サーバ2との間の認証が成功すると、当該クライアント端末3が複数のネットワークにアクセス可能であるときには、そのうち、認証サーバ2との認証の際に用いたパスワードにより指定したレベルのネットワークへアクセスすることができる。なお、クライアント端末3のクライアント識別子(MACアドレス)、パスワード、レベルなどが、認証サーバ2に登録されていないときや、当該クライアント端末3の認証が失敗したときには、当該クライアント端末3はレベル0ネットワーク11とであれば通信することができる。
認証サーバ1は、クライアント端末3から送られてきたクライアント識別子とパスワードと、図5に示したテーブルに登録され、当該クライアントに予め定められたアクセス可能なネットワークのレベルと、当該クライアント端末3の認証結果とから、レベル0と当該パスワードに対応するレベルとのうちのいずれか一方を選択する。
認証が成功し、クライアントから送信されたパスワードに対応するレベルが図5のテーブルに登録されている場合には、認証サーバ2は、認証結果(成功)とクライアント端末3から送信された上記パスワードに対応するレベルとをアクセスポイント1へ返す。認証が失敗した場合、クライアント識別子やパスワードが図5のテーブルに登録されていない場合には、認証サーバ2は、認証結果(失敗)とレベル0とをアクセスポイント1へ返す。
アクセスポイント1(後述する認証部23)では、アクセスポイント1とクライアント端末3との間で送受信されるデータを暗号化する際に用いる暗号化方式であって、認証サーバ2から通知されたレベル(レベル1〜レベル4)に対応する暗号化方式を選択し、さらに、当該選択された暗号化方式に対応する暗号鍵を生成する。選択された暗号化方式と生成された暗号鍵は当該クライアント3へ通知される。
図4は、アクセスポイント1の構成例を示したものである。アクセスポイント1は、大きく分けて、無線部LAN制御部21、パケット判断部22、認証部23、データベース部24、ブリッジ部br0〜br4、ネットワークインタフェース部(ネットワークI/F部)eth0〜eth5から構成されている。
アクセスポイント1は、前述したように、認証サーバ2の接続されている認証用ネットワーク5と、レベル0〜レベル4のそれぞれに対応するネットワーク11〜15に接続されている。ネットワークI/F部eth0〜eth5は、それぞれ、ネットワーク11〜15と認証用ネットワーク5を接続し、これら各ネットワークとの間でパケットの送受信を行うためのものである。
なお、認証用ネットワーク5のレベルは、レベル4よりも高いレベル5が設定されており、セキュリティレベルの最も高いネットワークである。認証用ネットワーク5はネットワークI/F部eth5に接続され、ネットワークI/F部eth5を介して、アクセスポイント1は認証サーバ2へアクセスする。なお、認証用ネットワーク5へは、クライアント端末3からのアクセスは起こらない。クライアント端末3からは認証用ネットワーク5へのアクセスは不可能と予め設定されている。
無線LAN制御部21は、クライアント端末との間の無線区間においてパケットの送受信を行うためのものである。ネットワーク5、ネットワーク11〜15のそれぞれに対応する5つのレベルにそれぞれ対応する5つの内部ポートw0〜w4を有する。
パケット判断部22は無線LAN制御部21の内部ポートw0から出力された(未認証(まだ認証結果の得られていない)クライアント端末3から送信された)パケットが、当該クライアント端末3の認証に必要な情報が含まれている認証用パケットであるか否かを判断するものである。
認証部23はクライアント端末3の認証を行うために、クライアント端末3との間で認証用パケットの送受信を行うとともに、認証サーバ2との間で認証用パケットの送受信を行う。さらに、認証の結果、認証サーバ2から通知された認証結果やレベルを基に、アクセスポイント1とクライアント端末3との間で送受信されるデータを暗号化する際に用いる暗号化方式であって、認証サーバ2から通知されたレベルに対応する暗号化方式を選択する。認証部23は、例えば、図8に示すようなテーブルを記憶する。
図8に示すテーブルには、レベル別に予め定められた暗号化方式の識別子が登録されている。例えば、レベルが高いほど暗号強度が高い暗号化方式が対応付けている。また、レベル0の場合には、アクセスポイント1とクライアント3との間の無線区間は暗号化しないので、当該レベル0に対応する暗号化方式はない。
認証部23は、認証サーバ2から通知されたレベルに対応する暗号化方式の識別子を図8に示したテーブルから読みとる。そして、認証部23は、この暗号化方式に対応する暗号鍵を生成する、認証部23は、乱数発生器をもち、この乱数発生器で当該暗号化方式に用いることが可能な乱数を発生し、それを暗号鍵とする。暗号化方式の識別子と生成された暗号鍵は認証対象であったクライアント3へ通知すべく、当該暗号化方式の識別子と暗号鍵と当該暗号鍵の識別子を含むパケットを内部ポートw0へ出力する。また、認証サーバ2から通知されたレベルと暗号化方式の識別子と暗号鍵とその識別子(keyID)は、図6に示すように、クライアント端末3のクライアント識別子(MACアドレス)とともに、データベース部24に登録する。
データベース部24には、アクセスポイント1に無線接続されているクライアント端末3識別するためのクライアント識別子(MACアドレス)と、当該クライアント端末3に与えられた暗号鍵とその識別子(KeyID)、暗号化方式の識別子、この暗号鍵を用いて通信するネットワークのレベルなどが、認証サーバとの間の認証処理が終了するたびに、認証部126により図6に示したように登録される。
ブリッジ部br0〜br4は、無線LAN制御部21の5つの内部ポートw0〜w4と、ネットワークI/F部eth0〜eth4とを対応付けて、無線LAN制御部21とネットワークi/F部eth0〜eth4との間でパケットの転送を行う。ブリッジ部br0は、内部ポートw0とネットワークI/F部eth0とを対応付け、ブリッジ部br1は、内部ポートw1とネットワークI/F部eth1とを対応付け、ブリッジ部br2は、内部ポートw2とネットワークI/F部eth2とを対応付け、ブリッジ部br3は、内部ポートw3とネットワークI/F部eth3とを対応付け、ブリッジ部br4は、内部ポートw4とネットワークI/F部eth4とを対応付ける。
図7は、クライアント端末3からアクセスポイント1へ送信されるパケット(フレーム)のデータ構成例を示したものである。図7に示すデータ構成は、大きく分けてヘッダ部201とボディ部202とフレームチェックシーケンス(FCS)部203とから構成されている。ボディ部202には、IV(initialization vector)、データ本体、ICV(integrity check value)が含まれており、IVには2ビットの上記KeyIDが含まれている。データ本体とICVとが認証の結果得られた暗号鍵を用いて暗号化される。暗号化ヘッダ部201の「802.11ヘッダ」には、1ビットのWEP(wired equivalent privacy)があり、このWEPにより、データ本体とICVとが暗号化されているか否かが表されている。当該パケットの送信元であるクライアントのアドレス、すなわち、MACアドレスは、802.11ヘッダに含まれている。このMACアドレスと、KeyIDとから、当該パケットの送信元のクライアント端末が一意に識別することができる。
次に、無線LAN制御部21の内部構成について説明する。
無線LAN制御部21は、無線I/F部31、暗号制御部32、内部ポートw0〜w4から構成されている。
無線I/F部31は、クライアント端末3との間に無線通信路を確立したり、当該無線通信路を通じてパケットを送受信するためのものである。
無線I/F部31で受信されたパケットは、暗号制御部32へ転送される。暗号制御部32は、データベース部24に記憶された図6に示すようなテーブルを参照して(テーブルに記憶されている暗号鍵や暗号化方式を用いて)、クライアン端末3から受信した暗号化パケットの復号化、クライアント端末3へ送信するパケットの暗号化を行うものである。クライアント端末3から送信されてきたパケットが暗号化されていない場合には、(図7のWEPビットが「暗号化なし」を表しているとき)、当該パケットを内部ポートw0から出力する。暗号化されているパケット(図7のWEPビットが「暗号化あり」を表しているとき)に対しては、当該パケットに含まれる送信元クライアント端末3のMACアドレスとKeyIDとをキーに、図6に示したテーブルから、レベルと暗号鍵と暗号化方式の識別子を読み出す。そして、当該暗号鍵と、暗号化方式の識別子に対応する暗号化方式のアルゴリズムを用いて暗号化部分を復号する。さらに、図7の「802.11ヘッダ」を「802.3ヘッダ」に置き換える。そして、このパケットを当該読み出されたレベルに対応する内部ポート(w1〜w4のいずれか)へ出力する。
なお、暗号制御部32には異なる複数の暗号化方式のアルゴリズムが記憶されており、これらのうち、上記暗号化方式の識別子に対応する暗号化方式を用いて暗号化、復号化を行う。
内部ポートw0から出力されたパケットは、パケット判断部22へ入力する。パケット判断部22は、入力されたパケットが認証用パケット(認証サーバ2へ送信すべき情報やメッセージなどが含まれているパケット)であるか否かを判断する。当該パケットが認証用パケットであると判断した場合には、当該パケットを認証部23へ出力する。認証用パケットではないと判断した場合は、ブリッジ部br0へ出力する。
認証部23は、パケット判断部22からクライアントからの認証用パケットを受け取ると、認証サーバ2へ送信するクライアント認証のための認証用パケットを作成し、認証サーバ2へ送信すべく、当該作成した認証用パケットをネットワークI/F部eth5へ出力する。一方、ネットワークI/F部eth5から入力した認証サーバ2からのパケットがクライアント端末3の認証用パケット(認証サーバ2から送信され、クライアント端末3が受信すべき情報やメッセージなどが含まれているパケット)であるときには、当該パケットからクライアント端末3宛ての認証用パケット(クライアント端末3が受信すべき情報やメッセージなどが含まれているパケット)を作成し、クライアント端末3へ送信すべく、当該作成したパケットを内部ポートw0へ出力する。
ブリッジ部br0は、無線LAN制御部21の内部ポートw0とネットワークI/F部eth0とを関連づけている。内部ポートw0からパケット判断部22を経由してブリッジ部br0に入力されたパケットや、認証部23から出力されて、パケット判断部22を経由しブリッジ部br0に入力されたパケットはネットワークI/F部eth0へと出力される。一方、ネットワークI/F部eth0からブリッジ部br0に入力したパケットは、パケット判断部22を経由し、認証部23及び内部ポートw0へと転送される。
ブリッジ部br1、br2、br3、br4は、それぞれ、無線LAN制御部21の内部ポートw1、w2、w3、w4をネットワークI/F部eth1、eth2、eth3、eth4へと対応づけており、これらの間でパケットを転送するためのものである。
ネットワークI/F部eth0はレベル0ネットワーク11に接続されている。ネットワークI/F部eth1、eth2、eth3、eth4は、レベル1ネットワーク12、レベル2ネットワーク13、レベル3ネットワーク14、レベル4ネットワーク15へそれぞれ接続されている。ネットワークI/F部eth5は認証用ネットワーク5へ接続されている。
次に、図9を参照して、クライアント端末3aとアクセスポイント1と認証サーバ2との間の処理動作について説明する。
(ステップd1)クライアント端末3aとアクセスポイント1の無線LAN制御部21との間でアソシエーションを確立し、クライアント端末3aがアクセスポイント1に無線接続する。
(ステップd2)クライアント端末3aはアクセスポイント1に対してクライアント認証要求パケットを送信する。なお、このパケットのボディ部202のデータ部分には、当該クライアント端末3が希望する(当該クライアント端末3で動作可能な)認証プロトコルのリスト(ここには、認証プロトコルがユーザの希望する順序で記述されている)が含まれている。さらに、前述したように、当該クライアント認証要求パケットのヘッダ部201内には、当該クライアント端末3aのクライアント識別子(MACアドレス)Aが含まれている。当該クライアント認証要求パケットはアクセスポイント1の無線LAN制御部21で受信される。当該クライアント認証要求パケットは、クライアント端末3aから送信された上記認証用パケットであるので(暗号化されていない)、内部ポートw0から出力され、パケット判定部22から認証部23へと転送される。
(ステップd3)認証部23はこれを受け取ると、認証サーバ2に対し、クライアント端末3aの認証プロトコルの開始を要求するためサーバ認証要求パケットを作成し、認証サーバ2へ送信すべく、ネットワークI/F部eth5へ渡す。当該サーバ認証要求パケットは、ネットワークI/F部eth5から認証用ネットワーク5を通じて認証サーバ2へ送信される。なお、サーバ認証要求パケットのヘッダ部201には、認証を要求しているクライアント端末3aのクライアント識別子(MACアドレス)「A」が含まれていることはもちろんのこと、ボディ部202のデータ部分には、上記認証プロトコルのリストが含まれている。
(ステップd4)サーバ認証要求パケットを受信した認証サーバ2は、当該サーバ認証要求パケットに含まれるクライアント識別子「A」を認証対象として識別する。以後、クライアント端末3a、認証サーバ2、及びアクセスポイント1の三者によるクライアント認証プロトコルが動作する。
この認証プロトコルで、クライアント端末3aからは、例えば、当該クライアント端末3aが希望するサービスを受けたいネットワーク(例えば、レベル2ネットワーク13であるとする)に対応するパスワード「A003」がアクセスポイント1を介して認証サーバ2へ渡される。
ここで、ステップd4の認証プロトコルの処理について一例を挙げて説明する。認証プロトコルには複数の種類があり、認証プロトコルの種類によって、そのシーケンスは異なる。例えば、IEEE802.1xで使われる認証方式はEAP(extensible authentication protocol)と呼ばれるものであるが、EAPにはEAP−TTLSやPEAP、EAP−TLSなどの何種類かの方法がある。クライアント端末3と認証サーバ2との間の認証方式は、それらのうちのいずれであってもよい。
ここでは、例えばEAP−MD5というハッシュを用いた認証プロトコルを例として説明する。このプロトコルはクライアント端末3aと認証サーバ2の2者間で行われ、シーケンスは以下の通りとなる。
(ステップe1)認証開始に先立ち、認証サーバ2は、サーバ認証要求パケットに含まれていた認証プロトコルのリスト(以下、第1のリストと呼ぶ)と、認証サーバ2自身が当該クライアント端末3aに対して許可する認証プロトコルのリスト(以下、第2のリストと呼ぶ)より、利用する認証プロトコルを決定する。第2のリストは、例えば、当該クライアント端末3aに予め定められたレベルに対応する認証プロトコルを記述したものである。レベルが高ければ、第2のリストにはより強度の高い認証プロトコルが含まれている。
認証サーバ2は、第1のリストと第2のリストとをつき合わせて、例えば、両者に共通に含まれている認証プロトコルであって、その中で、より強度が高く、しかもユーザからの希望順位がより高い認証プロトコルを選択する。ここで、認証サーバ2はEAP−MD5プロトコルを選択したとする。なお、利用可能な認証プロトコルが存在しない場合、ステップSd4の処理は終了し、認証サーバ2はアクセスポイント1の認証部23に対して、認証が失敗した旨を通知する。
(ステップe2)認証サーバ2は、ある乱数を作成する。
(ステップe3)認証サーバ2は、当該乱数を含むEAP−MD5チャレンジメッセージをクライアント端末3aへ送信すべく、当該メッセージを含む認証用パケットを認証部23へ送信する。認証部23では、当該パケットから当該メッセージを取出し、当該メッセージを含むクライアント端末3a宛ての認証用パケットを生成する。当該生成されたパケットはアクセスポイント1からクライアント端末3aへ送信される。
(ステップe4)クライアント端末3aは、EAP−MD5チャレンジメッセージを受信することで、認証プロトコルとして、EAP−MD5が選択されたと判断する。クライアント端末3aは、EAP−MD5メッセージに含まれる乱数と、自身が保持するパスワード「A003」を掛け合わせ、ハッシュ値を計算する。そして、このハッシュ値を含むレスポンスメッセージを作成する。
(ステップe5)このレスポンスメッセージをボディ部202に含む認証用パケットは、アクセスポイント1へ送信され、アクセスポイント1では、当該認証用パケットを当該無線LAN制御部21で受信すると、内部ポートw0、パケット判定部22を経て認証部23へ渡される。認証部23では、当該認証用パケットからレスポンスメッセージ取出し、当該メッセージを含む認証サーバ2宛ての認証用パケットを作成し、それを認証サーバ2へ送信する。
(ステップe6)レスポンスメッセージ含む認証用パケットを受信した認証サーバ2は、図8に示したテーブルからステップd3で受け取ったクライアント識別子「A」にとともに登録されている複数のパスワードを読み出し、そのそれぞれと、ステップe2で生成した乱数とを掛け合わせて、複数のハッシュ値を算出する。
(ステップe7)次に、受信したレスポンスメッセージに含まれるハッシュ値をステップe6で算出した複数のハッシュ値のそれぞれと比較する。これら複数のハッシュ値のなかに、レスポンスメッセージに含まれていたハッシュ値と一致するものがあれば、認証が成功したと判断する。そして、一致したハッシュ値に対応するパスワードに対応付けて図8に示したテーブルに記憶されているレベル(すなわち、ここでは「レベル2」)を読み出す。
算出された複数のハッシュ値のなかに、レスポンスメッセージに含まれていたハッシュ値と一致するものがなければ、認証が失敗したと判断する。
(ステップd5)認証プロトコルを用いた認証の結果、認証サーバ2にて認証対象がクライアント端末3aであることが認証されると(認証が成功すると)、認証サーバ2はアクセスポイント1の認証部23に対して、認証成功の旨と「レベル2」を通知するためのメッセージを含むパケットを送信する。このメッセージには、クライアント端末3aのクライアント識別子「A」、認証が成功した旨、及び当該クライアント端末3aからパスワードにて指定された「レベル2」が含まれている。
また、認証が失敗した場合にもその旨と、さらに「レベル0」を通知するためのメッセージを含むパケットを認証部23へ送信する。
(ステップd6)認証部23は、当該パケットを受け取ると、クライアント端末3aが認証されたことと「レベル2」を認識する。認証部23は、認証されたクライアント端末3aとの無線通信区間を暗号化するための暗号化方式であって、「レベル2」に対応する暗号化方式の識別子(ここでは「方式B」)を図8に示したテーブルから得る、さらに、当該暗号化方式に利用可能な暗号鍵「Ked1」を生成する。
(ステップd7)そして、データベース部24に、クライアント端末3aのクライアント識別子「A」とともに、暗号化方式「方式B」と暗号鍵「Ked1」と当該暗号鍵の識別子(KeyID)「kID1」を登録する。
(ステップd8)認証部23は、クライアント端末に対して、認証が成功した旨と暗号化方式「方式B」と暗号鍵「Ked1」とそのKeyIDを通知するための認証用パケットを作成し、当該認証用パケットをクライアント端末3aへ送信すべく、内部ポートw0へ出力する。内部ポートw0に入力した当該認証用パケットは、無線LAN制御部21を通じてクライアント端末3aへ送信される。
(ステップd9)クライアント端末3aで当該パケットが受信された後は、クライアント端末3aとアクセスポイント1との間の無線通信区間の通信は、当該通知された暗号鍵で暗号化されたパケットが送受信されることになる。
クライアント端末3aから送信されたレベル2ネットワーク13上のシステム宛の(暗号化された)パケットは、アクセスポイント1の無線I/F制御部31で受信されて、暗号制御部32において当該受信されたパケットの暗号化部分が復号される。その際用いられる暗号方式と復号鍵は、認証部23がステップd7でデータベース部24に当該クライアント端末3aのクライアント識別子「A」に対応付けて登録した暗号方式「方式B」と暗号鍵である。すなわち、暗号制御部32は、当該受信されたパケットに含まれる当該クライアント端末3aのクライアント識別子「A」とKeyID「KID1」をキーに、データベース部125からレベル「レベル2」と暗号鍵「Ked1」と暗号化方式の識別子「方式B」を取得する。そして、当該暗号化方式と暗号鍵を用いて当該受信されたオアケットの暗号化部分を復号する。復号した後、図7の「802.11ヘッダ」を「802.3ヘッダ」に置き換えて、レベル2に対応する内部ポートw2へ出力する。その後、当該パケットは、レベル2に対応するブリッジ部br2とネットワークI/F部eth2を経由して、レベル2ネットワーク13上の通信相手であるシステムへと送信される。
一方、レベル2ネットワーク13上のクライアント端末3aの通信相手のシステムがクライアント端末3a宛に送信するパケットは、アクセスポイント1のネットワークI/F部eth2、ブリッジ部br2を経由して無線LAN制御部21に至る。この場合、当該パケットは、内部ポートw2から無線LAN制御部21へ入力する。
暗号制御部32では、パケットが5つの内部ポートw0〜w4のうちのどこから入力されたのかに基づき、当該パケットの送信先のクライアント端末に対応するレベルを認識する。例えば、暗号制御部33は、内部ポートw2からパケットが入力した場合には、当該パケットの送信先のクライアント端末のレベルが「レベル2」であることを認識する。また、暗号制御部32は、当該内部ポートw2から入力したパケットのヘッダ部201に含まれる宛先アドレスからクライアント端末3aのクライアント識別子であるMACアドレス「A」を得る。この得られたクライアント識別子「A」と、認識されたレベル「レベル2」とをキーに、暗号制御部32はデータベース部24から、これらに対応つけて記憶されている暗号鍵「Ked1」と暗号化方式の識別子「方式B」を取得する。そして、この暗号鍵「Ked1」と暗号化方式「方式B」とを用いて、内部ポートw2から入力したパケットの暗号化すべき部分を暗号化する。暗号化されたパケットは、無線I/F部31からクライアント端末3aへと送信される。
次に、アクセスポイント1のパケット転送方法について詳細に説明する。
図10は、アクセスポイント1の無線LAN制御部21の詳細構成と、クライアント端末3から送信されたパケットの受信時の無線LAN制御部21内におけるデータの流れを示したものである。図11は、同じくアクセスポイント1の無線LAN制御部21の詳細構成と、クライアント端末3へのパケットの送信時の無線LAN制御部21内におけるデータの流れを示したものである。
無線LAN制御部21は、前述したように、無線I/F部31、暗号制御部32及び内部ポートw0〜w4から構成されている。
暗号制御部32は、図10、11に示すように、暗号化判断部32a、暗号化・復号化部32b、振分部32cから構成されている。
暗号化判断部32aは、受信したパケットが暗号化されているか否かを判断する。暗号化されているか否かは、図7の無線LANフレームの802.11ヘッダに含まれるWEPビットを参照することで判断できる。暗号化・復号化部32bは、無線通信の送信時におけるパケットの暗号化、及び無線通信の受信時におけるパケットの復号を行うものである。暗号化・復号化に用いる暗号鍵の識別子KeyIDは、クライアント端末3から送信されるパケット中に含まれている(図7参照)。
無線LAN制御部21の無線I/F部31で受信したパケットは暗号制御部32を経由して内部ポートw0〜w4のいずれかへ転送される。内部ポートw0へ転送されたパケットはパケット判断部22へと至り、それ以外の内部ポートへ転送されたパケットはブリッジ部へと至る。
暗号制御部32の暗号化・復号化部32bは、データベース部24に接続され、パケットの送信元のクライアント端末3から送信されてきたパケットに含まれるクライアント識別子(MACアドレス)と上記KeyIDとを基に、データベース部24にアクセスして、当該クライアント端末3が使用する暗号鍵や暗号化方式の識別子を取得する。
ここで、図12に示すフローチャートを参照して、クライアント端末3とアクセスポイント1との間の無線通信においてアクセスポイント1でのパケット受信時の処理動作について説明する。
クライアント端末3が送信したパケットは、まず無線I/F部31で受信される。無線I/F部31は受信したパケットは暗号制御部32の暗号化判断部32aへと転送される(ステップS1)。暗号化判断部32aは、受信したパケットが暗号化されているか否かを判断する。暗号化されているものは暗号化・復号化部32bに転送し、暗号化されていないものは、非暗号化パケットとしてそのまま内部ポートw0経由でパケット判断部22へと転送する(ステップS2)。
暗号化・復号化部32bでは、まず、受信したパケットに含まれる送信元アドレス(AMCアドレス)及びKeyIDを基に、データベース部24からレベルと暗号化に使用している暗号鍵と暗号化方式の識別子を取得する(ステップS3)。暗号化・復号化部32bは、当該取得した暗号鍵を用いて当該受信パケットの暗号化部分を復号し(ステップS4)、それを振分部32cへと転送する。これと同時に、暗号化・復号化部32bは、当該取得したレベルを振分部32cへ通知する。
振分部32cは、受け取ったパケットの「802.11ヘッダ」を「802.3ヘッダ」に置き換える。そして、このパケットを当該通知されたレベルに対応する内部ポート(w1〜w4のいずれか)へ出力する(ステップS5)。
内部ポートから出力されたパケットは、当該内部ポートと同じレベルのブリッジ部、ネットワークI/F部へと順次転送されて、当該レベルのネットワークへ出力される(ステップS6)。
パケット判断部22は、無線LAN制御部21の内部ポートw0から出力されたパケットを受け取り、当該パケットがクライアント端末3の認証用パケットであると判断した場合には、これを認証部23へと転送する(ステップS7)。
認証部23は、受け取ったパケットから認証サーバ2へ送るべき情報やメッセージを取出し、取出した情報やメッセージなどを含む認証サーバ2宛ての認証用パケットを新たに作成する(ステップS8)。そして、この新たに作成されたパケットは、ネットワークI/F部eth5から認証サーバ2へ送信される(ステップS9)。
一方、パケット判断部22は、内部ポートw0から受け取ったパケットが認証用パケットではないと判断した場合(ステップS7)、当該パケットは、レベル0ネットワーク11へ出力すべきパケットであるので、ステップS10へ進み、当該パケットをブリッジ部br0へと転送する。
ステップS10では、ブリッジ部br0で受け取られたパケットは、ネットワークI/F部eth0からレベル0ネットワーク11上のシステムへと送信される。
次に、図13に示すフローチャートに従って、クライアント端末3とアクセスポイント1との間の無線通信においてアクセスポイント1でのパケット送信時の処理動作について図11を参照して説明する。
まず、レベル0ネットワーク11上のシステムから、例えばクライアント端末3a宛てのパケット送信時の処理動作について説明する。
レベル0ネットワーク11上のシステムからのパケットは、ネットワークI/F部eth0で受信される(ステップS11)。ネットワークI/F部eth0で受信されたパケットは、ブリッジ部br0とパケット判断部22を経由して、内部ポートw0へ転送される(ステップS12)。
内部ポートw0に入力されたパケット(クライアント端末への送信パケット)は、(暗号化する必要がないので)暗号制御部32の暗号化判断部32aを通過して、さらに、無線I/F部31を経由し、暗号化されずに未認証のクライアント端末3aへと送信される(ステップS13、ステップS16)。
次に、レベル2ネットワーク13上のシステムから、例えばクライアント端末3a宛てのパケット送信時の処理動作について説明する。なお、ここでは、レベル2の場合を例にとり説明するが、レベル1、レベル3、レベル4の場合も同様である。
レベル0ネットワーク13上のシステムからのパケットは、ネットワークI/F部eth2で受信される(ステップS11)。ネットワークI/F部eth2で受信されたパケットは、ブリッジ部br2へ転送される。ブリッジ部br2は、当該パケットを内部ポートw2へ転送する(ステップS12)。
内部ポートw2から無線LAN制御部21に入力されたクライアント端末3a宛ての送信パケットは、まず、暗号制御部32の振分部32cに入力される。振分部32cは、当該パケットが内部ポートw2から入力されたので、当該パケットに対応するレベルが「レベル2」であることを認識する。振分部32cは、受け取ったパケットの「802.3ヘッダ」を「802.11ヘッダ」に置き換える。そして、このパケットを暗号化・復号化部32bへと転送する。この際、当該パケットに対応するレベル、すなわち、この場合「レベル2」を暗号化・復号化部32bへ出力する。
暗号化・復号化部32bでは、振分部32cから受け取ったパケットに含まれる宛先アドレス(MACアドレス)「A」と、同じく振分部32cから通知されたレベル「レベル2」を基に、データベース部24から、これらに対応する暗号化方式の識別子を暗号鍵を得る(ステップS14)。ここでは、暗号化方式の識別子「方式B」、暗号鍵「Ked1」を得る。暗号化・復号化部32bは、当該取得した暗号化方式と暗号化鍵を用いてクライアント端末3aに送信すべきパケットを暗号化し、暗号化されたパケット(暗号化パケット)を暗号化判断部32aへ転送する(ステップS15)。
暗号化判断部32aは、暗号化パケットを無線I/F部31を経由してクライアント端末3aへと送信する(ステップS16)。
次に、アクセスポイント1が認証サーバ2から認証用ネットワーク13を通じて、例えばクライアント端末3a宛ての認証用パケットを受信したときのアクセスポイント1の処理動作について、図13に示すフローチャートを参照して説明する。
認証サーバ2から送信される認証用パケットは、ネットワークI/F部eth5で受信される(ステップS17)。そして、当該受信されたパケットは、認証部23へ渡される。認証部23では、当該受信したパケットから、クライアント端末3aが受信すべき情報やメッセージ取出し、取出した情報やメッセージなどを含むクライアント端末3a宛ての認証用パケットを新たに作成する(ステップS18)。この新たなに作成されたパケットは、内部ポートw0から無線LAN制御部21に入力し、暗号化判断部32aを通過して、無線I/F部31を経由し、(暗号化されずに)クライアント端末3aへと送信される(ステップS16)。
以上説明したように、上記実施形態によれば、アクセスポイント1に認証用ネットワーク5及び、レベルの異なる複数種類のネットワーク11〜15を接続し、アクセスポイント1に無線接続してきたクライアント端末3の認証可否及びレベルを、認証用ネットワーク5を通じて認証サーバ2に問い合わせる。認証サーバ2では、クライアント端末3の認証結果と、当該クライアント端末3に予め定められたレベルと、当該クライアント端末3からの要求(パスワード)に基づき、当該クライアント端末3に対するレベルを選択する。
アクセスポイント1は、当該選択されたレベルが「レベル0」以外のレベルであるときには、当該レベルに対応する暗号化方式と暗号鍵を当該クライアント端末3に対して通知する。クライアント端末3が当該暗号化方式と暗号鍵を用いて暗号化したデータをクライアント識別子と当該暗号鍵の識別子(KeyID)とともにアクセスポイント1へ送信すると、アクセスポイント1は、クライアント識別子と当該暗号鍵の識別子とから当該レベルを認識し、受け取った暗号化データを当該暗号化方式と暗号鍵を用いて復号し、複数の内部ポートw0〜w4のうち当該レベルに対応する内部ポートから、当該レベルに対応するブリッジ部を経て、当該レベルに対応するネットワークI/F部から当該レベルに対応するネットワークへと送信される。
一方、アクセスポイント1は、当該選択されたレベルが「レベル0」であるときには、無線区間を暗号化する必要はないため、暗号化方式や暗号鍵を当該クライアント端末3へ通知しない。そして、アクセスポイント1は、クライアント端末3から暗号化されていないデータを受信すると、(WEPビットの値から)当該受信データは暗号化されていないことを認識し、レベル0であることを認識する。従って当該受信データは、内部ポートw0からブリッジ部br0を経て、ネットワークI/F部eth0からレベル0ネットワーク11へと送信される。
上記実施形態によれば、認証サーバ2で、クライアント端末3から送られてきたクライアント識別子とパスワードと、図5に示したテーブルに登録され、当該クライアント3に予め定められたアクセス可能なネットワークのレベルと、当該クライアント端末3の認証結果とから、レベル0と当該パスワードに対応するレベルとのうちのいずれか一方を選択することにより、クライアント端末3に予め定められたレベルとクライアント端末3の正当性とクライアント端末3から送られてくるパスワードに対応するレベルとを加味して、最適なネットワークのレベル(レベル0あるいはパスワードに対応するレベル)を選択することができる。従って、アクセスポイント1に接続された複数のネットワークのそれぞれに予め定められたセキュリティ性を維持しつつ、クライアント端末3の複数のネットワークのうちのいずれか1つへのアクセスを容易にしかも柔軟に行うことができる。
また、アクセスポイント1は、クライアント端末3からの受信データを、当該クライアント端末3の認証結果とレベルに応じて異なる内部ポート(w0〜w4)からのデータとして扱う事が可能となり、各ネットワークI/F部eth0〜eth4をそのレベルに応じて異なるネットワークへと接続することで、クライアント端末の認証結果とレベルに応じて異なるサービスを提供できる。
また、認証サーバ2をクライアント端末3がアクセス可能なネットワーク11〜15とは異なる認証用ネットワーク5上に配置することで、認証システムのセキュリティ耐性が向上する。これらにより、認証結果(認証の成功、失敗)に応じてクライアントに対して異なるレベルのサービスを提供する無線LANシステムが実現できる。
なお、図4では、アクセスポイント1は、5つのレベルのネットワーク11〜15に接続し、これらネットワークの5つのレベル(レベル0〜レベル4)に対応して、5つの内部ポートw0〜w4と、5つのブリッジ部br0〜br4と、5つのネットワークI/F部eth0〜eth4を有していた。しかし、レベルの数は5つに限るものではなく、いくつあってもよい。例えば、アクセスポイント1は、図14に示すように、レベル0とレベル1の2つのネットワークに接続し、レベル1のネットワークにアクセスする場合には、無線区間で暗号化を行い、レベル0のネットワークにアクセスする場合には、無線区間で暗号化を行わないとする。この場合、アクセスポイント1は、ネットワークの2つレベル(レベル0〜レベル1)に応じて、2つの内部ポートw0、w1と、2つのブリッジ部br0、br1と、2つのネットワークI/F部eth0、eth1を有している。
図14に示した構成においても、図4に示した構成の場合の説明と同様であり、図4に示した構成の場合と同様の効果が得られる。
また、図3では、認証サーバ2がアクセスポイント2に認証用ネットワーク5を介して接続されているが、認証サーバ2とアクセスポイント1とを一体化した構成であってもよい。
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
1つのネットワークに接続されたアクセスポイントを含む無線LANシステムの全体構成を示した図。 図1のアクセスポイントの構成例を示した図。 本発明の実施形態に係る無線LANシステムの全体構成を示した図。 図3のアクセスポイントの構成例を示した図。 認証サーバに記憶されたテーブルの一例を示した図。 アクセスポイントのデータベース部に記憶されたテーブルの一例を示した図。 無線LANシステムで送受信されるパケットのデータ構成例を示した図。 暗号制御部に記憶されるテーブルの一例を示した図。 クライアント端末とアクセスポイントと認証サーバとの間の処理動作について説明するための図。 無線LAN制御部の詳細構成と、クライアント端末から送信されたパケットの受信時の無線LAN制御部内におけるデータの流れを示した図。 無線LAN制御部の詳細構成と、クライアント端末へのパケットの送信時の無線LAN制御部内におけるデータの流れを示した図。 クライアント端末とアクセスポイントとの間の無線通信において、アクセスポイントでのパケット受信時の処理動作について説明するためのフローチャート。 クライアント端末とアクセスポイントとの間の無線通信において、アクセスポイントでのパケット送信時の処理動作について説明するためのフローチャート。 アクセスポイントの他の構成例を示した図。
符号の説明
1…アクセスポイント、2…認証サーバ、3a〜3c…クライアント端末、5…認証用ネットワーク、11…レベル0ネットワーク、12…レベル1ネットワーク、13…レベル2ネットワーク、14…レベル3ネットワーク、15…レベル4ネットワーク、21…無線LAN制御部、22…パケット判断部、23…認証部、24…データベース部、w0〜w4…内部ポート、br0〜br4…ブリッジ部、eth0〜eth5…ネットワークI/F部。

Claims (9)

  1. 異なる複数のセキュリティレベルをもつ複数のネットワークのそれぞれに接続する複数のネットワークインタフェース部と、
    端末と無線接続して該端末との間で通信を行う無線インタフェース部と、
    前記無線インタフェース部に接続するとともに、前記複数のネットワークインタフェース部のそれぞれに対応する複数のポートを有し、該複数のポートを介して前記複数のネットワークインタフェース部に接続する制御部と、
    前記端末に対する、前記ネットワークへの接続認証を行い、前記複数のセキュリティレベルのうち前記端末がアクセス可能なネットワークのセキュリティレベルを決定する決定部と、
    前記端末の端末識別子と、該端末に対し前記決定部で決定されたセキュリティレベルとを記憶する第1の記憶部と、
    異なる複数の暗号アルゴリズムを記憶する第2の記憶部と、
    を含み、
    前記制御部は、
    前記端末から送信された暗号化送信データが前記無線インタフェース部から入力されると、前記複数の暗号アルゴリズムのうち、該端末のセキュリティレベルの高さに対応する暗号アルゴリズムを用いて該暗号化送信データを復号し、送信データを得る復号手段と、
    前記復号手段で得られた送信データを、前記複数のポートのうち前記端末のセキュリティレベルに対応するネットワークに接続するネットワークインタフェース部のポートへ出力する第1の出力手段と、
    前記複数のポートのうちの1つから、該ポートに接続されたネットワークインタフェース部で受信された前記端末宛ての送信データが入力されたとき、前記複数の暗号アルゴリズムのうち、該ポートに対応するセキュリティレベルの高さに対応する暗号アルゴリズムを用いて、該端末宛ての送信データを暗号化し、得られてた前記端末宛ての暗号化送信データを前記無線インタフェース部へ出力する暗号化手段と、
    を含む通信装置。
  2. 前記決定部は、
    前記端末のセキュリティレベルに対し予め定められた暗号アルゴリズムで用いる暗号鍵を生成する生成手段と、
    前記端末のセキュリティレベルに対し予め定められた暗号アルゴリズムの識別子及び前記暗号鍵を前記端末へ通知する手段と、
    をさらに含み、
    前記第1の記憶部は、前記暗号鍵をさらに記憶し、
    前記無線インタフェース部から入力された前記端末からの暗号化送信データは、前記通知された暗号アルゴリズム及び暗号鍵を用いて暗号化されていることを特徴とする請求項1記載の通信装置。
  3. 前記制御部は、
    前記端末から送信された暗号化送信データを含むパケットが前記無線インタフェース部から入力されると、該パケット中の該端末が要求するセキュリティレベルを示す情報を基に、前記第1の記憶部から前記端末がアクセス可能なネットワークのセキュリティレベル求めるとともに、前記第2の記憶部から該セキュリティレベルの高さに対応する暗号アルゴリズムを求める手段、
    をさらに含む請求項1記載の通信装置。
  4. 前記決定部は、
    前記複数のネットワークのうちの1つに接続された認証サーバとの間で前記端末の認証処理に必要な情報を送受信することにより、前記認証サーバから前記端末の認証結果と、前記端末のセキュリティレベルとを得る認証手段、
    をさらに含むことを特徴とする請求項2記載の通信装置。
  5. 前記決定部は、
    前記認証結果が失敗の場合には、前記端末のセキュリティレベルとして、前記複数のセキュリティレベルのうち、暗号アルゴリズムが定められていない最低レベルのセキュリティレベルを決定することを特徴とする請求項3記載の通信装置。
  6. 前記複数のセキュリティレベルのうち最低レベルのセキュリティレベルは、前記端末と前記無線インタフェース部との間の暗号化通信が不要なセキュリティレベルであり、
    前記制御部は、
    前記無線インタフェース部から入力された前記端末からの送信データが暗号化されていないとき、該送信データを、前記複数のポートのうち前記最低レベルのネットワークに接続するネットワークインタフェース部のポートへ出力する第2の出力手段と、
    前記複数のポートのうち、前記最低レベルのネットワークに接続するネットワークインタフェース部のポートから、該ネットワークインタフェース部で受信された前記端末宛てのデータが入力されたとき、該データを前記無線インタフェース部へ出力する第3の出力手段と、
    をさらに含むことを特徴とする請求項1記載の通信装置。
  7. 前記第2の記憶部は、前記複数のセキュリティレベルから前記最低レベルのセキュリティレベルを除いた各セキュリティレベルの高さに応じて暗号強度が異なる複数の暗号アルゴリズムを記憶することを特徴とする請求項6記載の通信装置。
  8. 前記認証サーバは、
    前記複数のセキュリティレベルのうち前記端末に予め定められた1または複数のセキュリティレベルと、各セキュリティレベルを特定するためのパスワードとを前記端末識別子に対応付けて登録されたテーブルを記憶し、
    前記認証結果が成功の場合に、前記認証手段で得られる前記端末のセキュリティレベルは、前記テーブル上の前記端末から送信されたパスワードに対応するセキュリティレベルであり、
    前記認証結果が失敗の場合に、前記認証手段で得られる前記端末のセキュリティレベルは、前記複数のセキュリティレベルのうち最低レベルのセキュリティレベルであることを特徴とする請求項4記載の通信装置。
  9. 前記認証サーバと、前記複数のネットワークのうち最もセキュリティレベルが高く、かつ前記端末によるアクセスが不可能なネットワークを介して接続することを特徴とする請求項記載の通信装置。
JP2003422395A 2003-12-19 2003-12-19 通信装置および通信方法 Expired - Fee Related JP4000111B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2003422395A JP4000111B2 (ja) 2003-12-19 2003-12-19 通信装置および通信方法
US10/973,472 US7443983B2 (en) 2003-12-19 2004-10-27 Communication apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003422395A JP4000111B2 (ja) 2003-12-19 2003-12-19 通信装置および通信方法

Publications (2)

Publication Number Publication Date
JP2005184463A JP2005184463A (ja) 2005-07-07
JP4000111B2 true JP4000111B2 (ja) 2007-10-31

Family

ID=34675321

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003422395A Expired - Fee Related JP4000111B2 (ja) 2003-12-19 2003-12-19 通信装置および通信方法

Country Status (2)

Country Link
US (1) US7443983B2 (ja)
JP (1) JP4000111B2 (ja)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4000111B2 (ja) 2003-12-19 2007-10-31 株式会社東芝 通信装置および通信方法
GB0404444D0 (en) * 2004-02-27 2004-09-01 Bae Sys Defence Sys Ltd Secure computer communication
JP4074283B2 (ja) * 2004-09-28 2008-04-09 株式会社東芝 通信装置、通信システム及び通信方法
CN100583759C (zh) * 2004-12-13 2010-01-20 华为技术有限公司 实现不同认证控制设备间同步认证的方法
US7990998B2 (en) * 2004-12-22 2011-08-02 Qualcomm Incorporated Connection setup using flexible protocol configuration
WO2006084960A1 (fr) * 2005-02-10 2006-08-17 France Telecom Systeme de selection automatique d’authentification
US7979692B1 (en) * 2005-06-01 2011-07-12 Teleport Systems, Inc. Device-to-device and client server based video monitoring and video teleconferencing/server networking technology for remote monitoring
JP4933156B2 (ja) * 2005-07-29 2012-05-16 株式会社リコー 画像撮影装置
US20070064660A1 (en) * 2005-09-16 2007-03-22 Qi Emily H Techniques for enhanced transition from access point to access point by a mobile wireless device
US8001584B2 (en) * 2005-09-30 2011-08-16 Intel Corporation Method for secure device discovery and introduction
BRPI0518895A2 (pt) 2005-10-26 2008-12-16 Thomson Licensing sistema e mÉtodo para distribuir serviÇos de satÉlite em méltiplos nÍveis de seguranÇa
JP2007280221A (ja) * 2006-04-10 2007-10-25 Fujitsu Ltd 認証ネットワークシステム
US7966489B2 (en) * 2006-08-01 2011-06-21 Cisco Technology, Inc. Method and apparatus for selecting an appropriate authentication method on a client
JP2008109205A (ja) * 2006-10-23 2008-05-08 Tokai Rika Co Ltd 暗号通信装置
US8250360B2 (en) * 2006-11-29 2012-08-21 The Boeing Company Content based routing with high assurance MLS
US8533789B1 (en) 2006-12-12 2013-09-10 Emc Corporation User management for repository manager
US7702787B1 (en) * 2006-12-12 2010-04-20 Emc Corporation Configurable user management
US10776489B2 (en) 2007-03-06 2020-09-15 Unisys Corporation Methods and systems for providing and controlling cryptographic secure communications terminal operable to provide a plurality of desktop environments
JP4909875B2 (ja) * 2007-11-27 2012-04-04 アラクサラネットワークス株式会社 パケット中継装置
JP5067866B2 (ja) * 2008-01-08 2012-11-07 キヤノン株式会社 通信装置及び制御方法
JP5169461B2 (ja) * 2008-05-12 2013-03-27 株式会社リコー セキュリティパラメータ配布装置及びセキュリティパラメータ配布方法
US8910255B2 (en) * 2008-05-27 2014-12-09 Microsoft Corporation Authentication for distributed secure content management system
JP5213563B2 (ja) * 2008-07-23 2013-06-19 株式会社日立国際電気 ネットワーク処理装置
JP5396102B2 (ja) * 2009-02-27 2014-01-22 パナソニック株式会社 ネットワークシステム
US8571520B1 (en) 2010-03-09 2013-10-29 Sprint Communications Company L.P. Notifying a wireless communication system about previously registered wireless communication systems
US11030305B2 (en) 2010-10-04 2021-06-08 Unisys Corporation Virtual relay device for providing a secure connection to a remote device
JP5414654B2 (ja) * 2010-11-08 2014-02-12 株式会社Nttドコモ ユーザ認証装置及びユーザ認証方法
US20130007867A1 (en) * 2011-06-30 2013-01-03 Cisco Technology, Inc. Network Identity for Software-as-a-Service Authentication
US8949938B2 (en) 2011-10-27 2015-02-03 Cisco Technology, Inc. Mechanisms to use network session identifiers for software-as-a-service authentication
JP5602124B2 (ja) * 2011-12-29 2014-10-08 株式会社大和総研ビジネス・イノベーション スマートフォンを利用したネットワークシステム
WO2013187709A1 (en) * 2012-06-13 2013-12-19 Samsung Electronics Co., Ltd. Method and system for securing control packets and data packets in a mobile broadband network environment
US9152781B2 (en) 2012-08-09 2015-10-06 Cisco Technology, Inc. Secure mobile client with assertions for access to service provider applications
JP6149385B2 (ja) * 2012-11-29 2017-06-21 ブラザー工業株式会社 画像処理システム,画像処理装置,および情報処理装置
JP6386680B2 (ja) * 2015-03-03 2018-09-05 ワンダーヘルス, エルエルシー.Wonderhealth, Llc. 機械読み取り可能な識別子において暗号化されたデータへのアクセス制御
US10505891B2 (en) * 2015-04-02 2019-12-10 Nicira, Inc. Security policy selection for machines with dynamic addresses
CN106302369A (zh) * 2015-06-11 2017-01-04 杭州海康威视数字技术股份有限公司 一种网络监控设备的远程激活方法、装置及远程激活系统
US10116441B1 (en) * 2015-06-11 2018-10-30 Amazon Technologies, Inc. Enhanced-security random data
CN107925869A (zh) * 2015-08-17 2018-04-17 诺基亚通信公司 用于蜂窝物联网的安全性过程
US11265249B2 (en) * 2016-04-22 2022-03-01 Blue Armor Technologies, LLC Method for using authenticated requests to select network routes
US11689925B2 (en) * 2017-09-29 2023-06-27 Plume Design, Inc. Controlled guest access to Wi-Fi networks
JP6919523B2 (ja) * 2017-11-22 2021-08-18 大日本印刷株式会社 セキュアエレメント、クライアント端末、情報処理方法及び情報処理プログラム
DE102018200820A1 (de) 2018-01-18 2019-07-18 Volkswagen Aktiengesellschaft Steuerungssystem für ein Kraftfahrzeug, Verfahren zum Betreiben des Steuerungssystems sowie Kraftfahrzeug mit einem derartigen Steuerungssystem
JP7234699B2 (ja) * 2019-03-05 2023-03-08 ブラザー工業株式会社 アプリケーションプログラムおよび情報処理装置
US11610012B1 (en) * 2019-11-26 2023-03-21 Gobeep, Inc. Systems and processes for providing secure client controlled and managed exchange of data between parties
KR102757446B1 (ko) * 2022-11-11 2025-01-21 펜타시큐리티 주식회사 선박 네트워크의 차등 보안 서비스를 위한 사용자 인증 기반 패킷 분류 방법 및 장치

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09130397A (ja) 1995-11-02 1997-05-16 Mitsubishi Electric Corp 移動データ通信装置
US6889328B1 (en) 1999-05-28 2005-05-03 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for secure communication
JP2001177514A (ja) 1999-12-17 2001-06-29 Ntt Docomo Inc 通信方法および通信装置
JP2002232597A (ja) 2001-01-30 2002-08-16 Indigo Corp セキュリティシステム
JP2002288394A (ja) 2001-03-26 2002-10-04 Nec Fielding Ltd スケジュール管理システムおよび管理方法
JP2003229848A (ja) 2002-02-04 2003-08-15 Minolta Co Ltd ネットワークシステムにおける暗号通信装置および方法
JP4000111B2 (ja) 2003-12-19 2007-10-31 株式会社東芝 通信装置および通信方法

Also Published As

Publication number Publication date
US20050135625A1 (en) 2005-06-23
JP2005184463A (ja) 2005-07-07
US7443983B2 (en) 2008-10-28

Similar Documents

Publication Publication Date Title
JP4000111B2 (ja) 通信装置および通信方法
US11228442B2 (en) Authentication method, authentication apparatus, and authentication system
US7325133B2 (en) Mass subscriber management
EP1484856B1 (en) Method for distributing encryption keys in wireless lan
CN105554747B (zh) 无线网络连接方法、装置及系统
JP4619788B2 (ja) Wlan相互接続における識別情報の保護方法
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证系统和方法
JP4649513B2 (ja) 無線携帯インターネットシステムの認証方法及び関連キー生成方法
US8295489B2 (en) Method for sharing a link key in a ZigBee network and a communication system therefor
KR20180095873A (ko) 무선 네트워크 접속 방법 및 장치, 및 저장 매체
JP2002247047A (ja) セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
JP2010158030A (ja) セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置
JP2003005641A (ja) 無線lanシステムにおける認証方法と認証装置
CN103621127A (zh) 使用信标消息的无线认证
US8442527B1 (en) Cellular authentication for authentication to a service
JP2008547304A (ja) 無線携帯インターネットシステム用の認証キー識別子の割り当て方法
EP1933498B1 (en) Method, system and device for negotiating about cipher key shared by ue and external equipment
US20060206616A1 (en) Decentralized secure network login
WO2009101848A1 (ja) 処理分散システム、認証サーバ、分散サーバ及び処理分散方法
KR100749846B1 (ko) 무선 휴대 인터넷 시스템의 mac 계층에서 보안 기능을 구현하기 위한 장치 및 이를 이용한 인증 방법
JP2006109449A (ja) 認証された無線局に暗号化キーを無線で提供するアクセスポイント
JP5388088B2 (ja) 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。
JPH11331181A (ja) ネットワーク端末認証装置
JP4677784B2 (ja) 集合型宅内ネットワークにおける認証方法及びシステム
JPH09326789A (ja) 携帯無線端末間通信における相手認証方法及びシステム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070417

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070515

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070713

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070807

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070810

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100817

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100817

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110817

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110817

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120817

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees