[go: up one dir, main page]

JP4527553B2 - 携帯通信端末およびユーザ認証方法 - Google Patents

携帯通信端末およびユーザ認証方法 Download PDF

Info

Publication number
JP4527553B2
JP4527553B2 JP2005008924A JP2005008924A JP4527553B2 JP 4527553 B2 JP4527553 B2 JP 4527553B2 JP 2005008924 A JP2005008924 A JP 2005008924A JP 2005008924 A JP2005008924 A JP 2005008924A JP 4527553 B2 JP4527553 B2 JP 4527553B2
Authority
JP
Japan
Prior art keywords
communication
authentication
external device
monitoring
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005008924A
Other languages
English (en)
Other versions
JP2006197462A (ja
Inventor
キャッティシャイ サオワパー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Infrontia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Infrontia Corp filed Critical NEC Infrontia Corp
Priority to JP2005008924A priority Critical patent/JP4527553B2/ja
Publication of JP2006197462A publication Critical patent/JP2006197462A/ja
Application granted granted Critical
Publication of JP4527553B2 publication Critical patent/JP4527553B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、複数のコンピュータ端末をLAN(Local Area Network)で統合したネットワークシステム、特に、IEEE802.1x規格のユーザ認証技術を使用した無線LANシステムのセキュリティおよび通信品質に関連する技術に関する。
一般に、無線LANシステムにおいては、無線LANへの不正なアクセスおよび無線LANを経由した不正侵入を防ぐために、正当な移動局端末(ステーション:以下、単に「STA」と称す)に対してのみアクセスを許可する、といったアクセス制限が行われる。このようなアクセス制限では、通常、STAが無線LANにアクセスする際に、そのSTAを認証するためのプロセスが実行される。STAを認証する方法は様々であるが、実際には、IEEE802.1x規格のセキュリティシステムを使用されることが多い。
図5は、IEEE802.1x規格のセキュリティシステムの概念図である。図5を参照すると、このセキュリティシステムは、主な要素としてサプリカント(Supplicant)100、認証者(Authenticator)101、LAN102、サービス(Services)103および認証サーバ(Authentication Server)104を有する。
サプリカント100は、サービス103にアクセスする。認証者101は、サプリカント100に対して、サービス103へのアクセスを許可または不許可する。サービス103は、サプリカント100に対してサービスを提供する。認証サーバ104は、サプリカント100の認証を行う。LAN102は伝送媒体であり、サプリカント100、認証者101およびサービス103のそれぞれはLAN102を介して通信可能に接続されている。
サプリカント100は、ネットワーク上のサービスを利用するために、まず、認証者101を経由して認証サーバ104との間でEAP(Extended Authentication Protocol)パケットを交換する。次に、認証サーバ104は、サプリカント100から受信したEAPパケットに含まれている相手先に関する情報に基づいて、サプリカント100を認証する。なお、サプリカント100が、認証サーバ104を認証することも可能であるが、その認証の実行は任意である。
認証サーバ104におけるサプリカント100の認証が成功した場合は、認証者101が、サプリカント100に対して、サービス103へのアクセスを許可するとともに、認証後のデータ通信の際に必要とされる、データを暗号化するのに使用する暗号化キーを送付する。認証サーバ104におけるサプリカント100の認証が失敗した場合は、認証者101は、サプリカント100に対して、サービス103へのアクセスを許可しない。
図6に、上述のIEEE802.1x規格のセキュリティシステムを導入した一般的な無線LANシステムを示す。この無線LANシステムは、サプリカントであるSTA200、認証者である無線LANアクセスポイント(AP)201、サービスを実装したサーバ203、および認証サーバであるRADIUS(Remote Authentication Dial-in user service)サーバ204を有する。AP201は、LAN202(もしくはLAN202と別のLANまたはWAN(Wide Area Network)とからなる通信網)を介してサーバ203およびRADIUSサーバ204のそれぞれと接続されている。
通常、サプリカントがサービスにアクセスを試みるときに、認証プロセスが実施されるが、既に認証された、サービスへのアクセスが許可されているサプリカントに対しても、再度、認証プロセスが実行されることがある。例えば、IEEE802.1x規格では、セキュリティを強化するために、認証者が一定の時間間隔でサプリカントに対して認証を要求する、といった設定が、オプションの1つとして定められている。また、IEEE802.1x規格のセキュリティを導入した無線LANシステムでは、STAが、現在接続中のAPの通信エリアから隣接する別のAPの通信エリアへ移動する、いわゆるハンドオーバーが行われる度に、STAの認証が行われる。
認証プロセスの実行の開始から完了までの時間は、EAPの種類、ネットワークのトラヒック、ネットワークの構成などの要因に依存するが、数秒かかる場合が多い。このため、STAがデータ通信中に認証プロセスが実行された場合は、データ通信に大きな遅延が生じてしまう。この遅延は、VoIP(Voice-over-IP)などのリアルタイムアプリケーションにとっては、致命的であり、音声の品質を大きく悪化させる。この遅延を減らすために、様々な対策が提案されている。非特許文献1と非特許文献2は、それぞれPEAPとEAP−TTLSがEAP認証プロトコルとして使用された場合に、再認証のプロセスを簡略化する方法を提案している。再認証のプロセスが簡略化されることによって、再認証時に生じる遅延を減らすことができる。
IEEE802.1x規格のセキュリティを導入した無線LANシステムにおいて、通常は、ハンドオーバーする度に認証が行われる。ハンドオーバー時には、認証による遅延以外に、ハンドオーバー先のAPへの切り替え処理によって生じる遅延もあるため、総合的な遅延が大きい。また、ハンドオーバー時には、受信信号の電界強度が大概小さいので、データのロストが生じ易い。このため、ハンドオーバー時の方が、通常時よりも遅延が大きい。
上記の理由により、ハンドオーバーの度に認証プロセスを実行することは望ましくない。ハンドオーバー時の認証の問題を解決するために、非特許文献3に記載のものでは、STAが、接続中のAPおよび有線LANを介して、ハンドオーバー先のAPとの間で認証に必要なデータを交換することで、ハンドオーバーが行われる前に認証プロセスを完了しておく方法を導入している。
Protected EAP Protocol (PEAP) Version 2, IETF Internet-Draft, October 2003. EAP Tunneled TLS Authentication Protocol (EAP-TTLS), IETF Internet-Draft, February 2002. IEEE Standard for Information technology--Telecommunications and information exchange between system--Local and metropolitan area networks? Specific requirements--Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications--Amendment 6: Medium Access Control (MAC) Security Enhancements, IEE Std 802.11i-2004 Amendment to IEEE Std 802.11, 1999 Edition (Reaff 2003).
上述したように、IEEE802.1xセキュリティを導入した無線LANシステムでは、セキュリティを強化するために、STAに対して、一定の時間間隔で再認証を要求するように設定されることが多い。しかし、このような設定では、再認証プロセスが、STAの通信状態にかかわらず、指定された時間間隔で無条件に実行されてしまうため、再認証プロセスの実行に伴って発生する遅延によってアプリケーションの通信品質が大きく低下することになる。この問題を防止するには、以下の技術課題を解決する必要がある。
(1)音声や映像のようなリアルタイム性を要求されるデータが伝送される、VoIPなどのリアルタイムアプリケーションがSTA上で実行されているときに、再認証プロセスが実行されると、その再認証プロセスの実行に伴う遅延により、リアルタイムアプリケーションの通信品質が大きく低下してしまう。このため、リアルタイムアプリケーションが実行中の場合は、再認証プロセスの実行を回避することが望ましい。
(2)STAがノイズの多い環境下にある場合や受信信号のRSSI(Received Signal Strength Indicator)が小さい場合など、STAの通信状態が良好でない場合に、再認証プロセスが行われた場合は、その再認証プロセスにおける遅延は、STAの通信状態が良好な場合よりも大きい。このため、リアルタイムアプリケーションの実行中に再認証プロセスを実行する場合で、STAの通信状態が良好でない場合は、再認証プロセスの実行を回避することが望ましい。
(3)ネットワークのトラヒック量が多い場合も、上記(2)の課題と同様、再認証プロセスの実行に伴う遅延が大きくなるため、再認証プロセスの実行を回避することが望ましい。
上述した(1)〜(3)の課題を解決することのできるシステムはこれまで提案されていない。
本発明の目的は、上述した(1)〜(3)の課題を解決し、再認証による遅延が実行中アプリケーションの通信品質に与える影響を軽減することのできる、携帯通信端末、LANシステムおよびユーザ認証方法ならびにプログラムを提供することにある。
上記の目的を達成するために、本発明の一態様によれば、携帯通信端末(STAに対応する)が、外部装置との間でユーザ認証に必要な情報を送受信する認証処理部と、少なくとも所定のアプリケーション(リアルタイムアプリケーション)の実行の有無を定期的に監視する監視ユニットと、前記監視ユニットにて前記所定のアプリケーションが実行されていないことが検出された場合に、前記認証処理部に、前記ユーザ認証を再実行するための再認証セッションを開始させる制御ユニットとを有する。この構成によれば、リアルタイムアプリケーションが実行されていない期間に、認証処理部が再認証セッションを開始するので、再認証による遅延がリアルタイムアプリケーションの通信品質に影響を及ぼすことはない。これにより、上述した(1)の課題が解決される。
上記の本発明において、第1の所定期間にわたって前記所定のアプリケーションの実行を検出した場合は、前記監視ユニットが、前記外部装置との通信状態を第2の所定期間にわたって一定時間間隔で監視し、前記制御ユニットが、前記監視ユニットによる通信状態の監視結果に基づいて、前記外部装置との通信が良好か否かを判断し、良好と判断した場合に、前記認証処理部に前記再認証セッションを開始させるようにしてもよい。この構成によれば、リアルタイムアプリケーションの実行中に再認証プロセスが実行されるが、その再認証プロセスの実行は、外部装置との通信が良好なときにのみ行われる。これにより、上述した(2)および(3)の課題が解決される。
上記の場合、前記外部装置との通信状態として、前記所定のアプリケーションの通信路における通信品質、具体的には、前記所定のアプリケーションによる通信を提供するネットワーク層およびトランスポート層のそれぞれにおける通信品質を監視してもよい。所定のアプリケーションの通信路における通信品質に基づいて、ネットワークのトラヒック量を調べることができる。
また、前記外部装置との通信状態として、前記所定のアプリケーションの通信品質に加えて、前記外部装置からの受信信号の電界強度を監視してもよい。外部装置からの受信信号の電界強度に基づいて、STAがノイズの多い環境下にあるか否か、受信信号のRSSI(Received Signal Strength Indicator)が基準値より小さいか否かを調べることができる。
本発明によれば、STAが遅延の影響を受けにくい都合の良いタイミングで再認証セッションを開始するので、APまたは認証サーバにて設定された再認証の時刻に無条件に再認証が実行されることを回避することができる。
また、STA上でリアルタイムアプリケーションが使用されないときに再認証を行うようにしているため、VoIPなどのリアルタイムアプリケーションの通信品質を改善することができる。
次に、本発明の実施形態について図面を参照して説明する。
図1は、本発明の一実施形態である携帯通信端末の概略構成を示すブロック図である。この携帯通信端末は、既存の無線LANシステム、例えば図6に示した無線LANシステムのSTAに適用されるものであって、その主要部は、監視ユニット10、設定値入力ユニット11および制御ユニット12からなる。これらのユニット10〜11は、いずれもソフトウェアコンポーネントである。なお、図1には示されていないが、携帯通信端末は、外部装置である無線LANアクセスポイントとの間でユーザ認証に必要な情報を送受信する認証処理部、無線LANアクセスポイントとの間で無線通信を行う無線通信部、無線通信部にて受信される信号の電界強度を検出する電界強度検出部といった既存のSTAが備えている構成も有している。
監視ユニット10は、STAの無線LAN通信ソフトウェアコンポーネントから定期的に必要な情報を取得する。図1中、通信ソフトウェアモデル20は、無線LAN通信ソフトウェアコンポーネントに関するプロトコル定義モデルである。通信ソフトウェアモデル20は、アプリケーション層などの上位層に対応するコンポーネント21、トランスポート層およびネットワーク層に対応するコンポーネント22、IEEE802.11やIEEE802.1xなどのデータリンク層に対応するコンポーネント23、および物理層に対応するコンポーネント24からなる。
監視ユニット10は、コンポーネント21にてVoIP等のリアルタイムアプリケーションが実行されているか否かの監視を行う。また、監視ユニット10は、コンポーネント22からパケットの遅延などの通信品質を示す値を取得する。この取得した通信品質を示す値が予め設定された基準値を超えるか否かで、リアルタイムアプリケーションの通信品質が良好か否かを判断することができる。また、監視ユニット10は、コンポーネント23からSTAとAPがアソシエートされているか否かを示すアソシエート状態情報を取得する。さらに、監視ユニット10は、コンポーネント24から受信信号のRSSIまたは受信信号とノイズの比率(SN比)を取得する。RSSI値およびS/N値は、電界強度検出部にて検出される受信信号の電界強度から得られる。
設定値入力ユニット11は、ネットワーク上の各APにおける再認証要求の設定値の入力を受け付ける。
制御ユニット12は、監視ユニット10を含む各部の動作を制御する他、監視ユニット10がSTAの無線LAN通信ソフトウェアコンポーネントから取得した情報に基づいて、STAから再認証セッションを開始するか否かを判断する。STAから再認証セッションを開始すると判断した場合は、制御ユニット12は、IEEE802.11のソフトウェアコンポーネント23に対して、再認証を実行するように要求する。
次に、本実施形態のSTAの動作を具体的に説明する。図2に、制御ユニット12によって制御される監視ユニット10の動作を説明するためのタイムフレームを示す。図2に示す例では、監視ユニット10の動作は、時間軸上で4つのフェーズに分けられている。
図2において、tは時間を表す変数である。「t=0」は、前回の認証が完了した時点を示し、この時点がフェーズ1の開始時間とされる。T0はAPまたは認証サーバにて設定された再認証要求時間間隔を表す。再認証要求時間間隔は、予め設定値入力ユニット11にて登録する必要がある。設定値入力ユニット11にて再認証要求時間間隔を登録しなかった場合は、再認証要求時間間隔としてデフォルト値が使用される。このデフォルト値は、IEEE802.1x規格の場合であれば、APまたは認証サーバにて設定可能な再認証要求時間間隔の最小値であり、例えば3600秒である。
T1、T2、T3は、それぞれフェーズ2、フェーズ3、フェーズ4の開始時間を表し、
0<T1<T2<T3<T0
という条件を満足する変数である。具体的には、T1をT0/2、T2を(4・T0)/6、T3を(5・T0)/6とすることが望ましい。
X1、X2、X3は、それぞれフェーズ2、フェーズ3、フェーズ4におけるモニタリング間隔を表し、
X1<T2−T1
X2<T3−T2
X3<T0−T3
という条件を満足する変数である。具体的には、X1を(T2−T1)/n、X2を(T3−T2)/n、X3を(T0−T3)/nとすることが望ましい。ここで、nは各フェーズにおけるモニタリング回数に相当するものであって、2以上の整数である。
図3に、制御ユニット12の動作を説明するためのフローチャートを示す。以下、図1に示したSTAの動作を図2および図3を参照して説明する。
フェーズ1は、前回の認証完了の時点で開始され、T1の時間が経過した時点で終了する(図3のステップ300)。このフェーズ1では、監視ユニット10は、モニタリングを行わず、終了まで待機する。
制御ユニット12は、フェーズ1の開始時点で、自ユニット内またはSTA内に設けられたタイマーの値(時間t)をリセットする(図3のステップ316)。そして、制御ユニット12は、ステップ300(フェーズ1)の後、リセットしたタイマーによって計測される時間tが、
T1≦t<T2
という第1の条件を満たすか否かを判断する(図3のステップ301)。この第1の条件を満たすと判断した場合は、制御ユニット12は、監視ユニット10による以下のフェーズ2の動作を行わせる。
フェーズ2は、T1の時点で開始され、T2の時点で終了する。このフェーズ2では、監視ユニット10は、アソシエート状態および実行中のリアルタイムアプリケーションの有無をX1秒間隔でモニタリングする。
制御ユニット12は、フェーズ2での監視ユニット10によるモニタリングの結果に基づいて、まず、STAとAPがアソシエートされているか否かを判断する(図3のステップ302)。このステップ302で、STAとAPがアソシエートされていると判断した場合は、続いて、制御ユニット12は、STA内のリアルタイムアプリケーションが実行中か否かを判断する(図3のステップ303)。
ステップ303で、実行中のリアルタイムアプリケーションが存在しないと判断した場合は、制御ユニット12は、IEEE802.1xのソフトウェアコンポーネント23(認証処理部)に対して、APへ「EAPOL-START」パケットを送出するように要求する(図3のステップ305)。この要求に応じてコンポーネント23が「EAPOL-START」パケットをAPへ送出すると、STAとAPまたは認証サーバとの間で認証プロセスが実行される(図3のステップ315)。
ステップS302で、STAとAPがアソシエートされていないと判断した場合、または、ステップ303で、STA内に実行中のリアルタイムアプリケーションが存在すると判断した場合は、制御ユニット12は、X1秒間だけ待った後(図3のステップ304)、ステップ300の判断を再び実行する。
ステップ300で、第1の条件を満たさないと判断した場合は、制御ユニット12は、続いて、タイマーによって計測される時間tが、
T2≦t<T3
という第2の条件を満たすか否かを判断する(図3のステップ306)。この第2の条件を満たすと判断した場合は、制御ユニット12は、監視ユニット10による以下のフェーズ3の動作を行わせる。
フェーズ3は、T2の時点で開始され、T3の時点で終了する。このフェーズ3では、監視ユニット10によるモニタリングがX2秒間隔で実行される。この監視ユニット10によってモニタリングされるデータは、アソシエート状態、ネットワーク層とトランスポート層の通信品質を示す参考値(遅延、パケットロス、送受信のデータレートなど)、RSSI値またはS/N値であり、これらからリアルタイムアプリケーションの通信品質および外部装置(AP)との無線通信の状態が良好か否かを判断することができる。
制御ユニット12は、フェーズ3での監視ユニット10によるモニタリングの結果に基づいて、まず、STAとAPがアソシエートされているか否かを判断する(図3のステップ307)。このステップ307で、STAとAPがアソシエートされていると判断した場合は、続いて、制御ユニット12は、通信品質(QoS)の参考値をもとにしてネットワーク層とトランスポート層のトラヒックが良好であるか否かの判断(「pass」か「fail」かの判定)を行う(図3のステップ308)。このステップ308での判定結果が「pass」となった場合は、続いて、制御ユニット12は、RSSI値またはS/N値が基準値より大きいか否かの判断(「strong」か「weak」かの判定)を行う(図3のステップ308)。
ステップ309での判定結果が「strong」となった場合は、制御ユニット12は、上記ステップ305に移行し、IEEE802.1xのソフトウェアコンポーネント23に対して、APへ「EAPOL-START」パケットを送出するように要求する。
ステップS307で、STAとAPがアソシエートされていないと判断した場合、または、ステップ308での判定結果が「fail」となった場合、または、ステップ309での判定結果が「weak」となった場合は、制御ユニット12は、X2秒間だけ待った後(図3のステップ310)、ステップ306の判断を再び実行する。
ステップ306で、第2の条件を満たさないと判断した場合は、制御ユニット12は、続いて、タイマーによって計測される時間tが、
T3≦t<T0
という第3の条件を満たすか否かを判断する(図3のステップ311)。この第3の条件を満たすと判断した場合は、制御ユニット12は、監視ユニット10による以下のフェーズ4の動作を行わせる。
フェーズ4は、T3の時点で開始され、T0の時点で終了する。このフェーズ4では、監視ユニット10によるモニタリングがX3秒間隔で実行される。この監視ユニット10によってモニタリングされるデータは、アソシエート状態、RSSI値またはS/N値である。
制御ユニット12は、フェーズ4での監視ユニット10によるモニタリングの結果に基づいて、まず、STAとAPがアソシエートされているか否かを判断する(図3のステップ312)。このステップ312で、STAとAPがアソシエートされていると判断した場合は、続いて、制御ユニット12は、RSSI値またはS/N値が基準値より大きいか否かの判断(「strong」か「weak」かの判定)を行う(図3のステップ313)。
ステップ313での判定結果が「strong」となった場合は、上記ステップ305に移行し、制御ユニット12が、IEEE802.1xのソフトウェアコンポーネント23に対して、APへ「EAPOL-START」パケットを送出するように要求する。
ステップS312で、STAとAPがアソシエートされていないと判断した場合、または、ステップ313での判定結果が「weak」となった場合は、制御ユニット12は、X3秒間だけ待った後(図3のステップ314)、ステップ311の判断を再び実行する。
ステップ311で、第3の条件を満たさないと判断した場合(STAの通信状態が悪く、フェーズ3が終了しても認証が行われなかった場合)は、制御ユニット12は、上記ステップ316に戻ってタイマーのリセットを行う。
なお、フェーズ4が終了しても認証が行われなかった場合で、APの再認証要求時間間隔の値が登録されている場合は、フェーズ4が終了した時点(t=T0)で、APから再認証の要求がSTAへ送信されて再認証が行われるようにしてもよい。ただし、T0をデフォルト値の3600秒にした場合は、APからの再認証要求によって再認証を行う処理と、STAが自局にとって好都合なときに「EAPOL-START」パケットを送出して再認証を行う処理がともに実行される場合がある。
また、図3のフローチャートには示されていないが、リンクが切断し、再接続されたり、ハンドオーバーが生じしたり、APからの再認証要求があったりしたことによって認証が行われた場合は、フローチャート中のどの手順が実行されているかにかかわらず、ステップ316のタイマーのリセットブロックに戻る。
以上説明した本実施形態によれば、物理層の受信品質のみならず、実行中のリアルタイムアプリケーションの有無、そのリアルタイムアプリケーションによる通信を提供するネットワーク層およびトランスポート層のそれぞれにおける通信品質をそれぞれ監視し、その監視結果に基づいて、STA自身が遅延の影響を受けにくいタイミングで再認証セッションを開始するようになっているので、無線LANアクセスポイントにて設定された再認証時間間隔で再認証を行った場合に生じていた、再認証による遅延がリアルタイムアプリケーションに与える影響を軽減することができる。
また、リアルタイムアプリケーションのように遅延の影響を受けやすいアプリケーションが実行されていないときに優先的に再認証を実施するようになっているので、再認証による遅延がリアルタイムアプリケーションに与える影響をより効果的に軽減することができる。
さらに、リアルタイムアプリケーションが使用されているときに再認証を行わざるを得ない場合においても、再認証は通信状態が良好なときにのみ実行されるので、再認証による遅延がリアルタイムアプリケーションの品質に与える影響を抑制することができる。
さらに、フェーズ2、3のいずれにおいても再認証プロセスが実行されなかった場合には、フェーズ4で、ネットワーク層とトランスポート層の品質および実行中のリアルタイムアプリケーションの有無を監視せず、物理層の受信品質のみで再認証の実行を決めるようになっている。これにより、外部装置である無線LANアクセスポイントとの無線通信の状態が良好でない場合に再認証が実行されることを、可能な限り防止できるようになっている。
(他の実施形態)
有線LANシステムにおいても、無線LANシステムの場合と同様に、VoIPなどのリアルタイムアプリケーションが実行されているときに再認証が行われることを回避すべきである。また、ネットワークの負荷が大きくトランスポート層およびネットワーク層の通信品質が悪いときにも再認証が行われないようにすべきである。ここでは、本発明の他の実施形態のSTAとして、有線LANシステムに適用される携帯通信端末について説明する。
本他の実施形態のSTAの構成は、上述した実施形態のSTAの構成と基本的には同じであるが、一部の動作が異なる。有線LANシステムでは、STAはルータに代表されるネットワーク装置を介して有線LANに接続されるが、無線LANと異なり、STAとネットワーク装置とは通信ケーブルを介して接続されることから、物理層とデータリンク層が安定している。このため、本他の実施形態のSTAでは、これら物理層およびデータリンク層についてモニタリングを行って通信品質を確認する、といった動作は行われない。具体的には、本他の実施形態のSTAでは、監視ユニットが、図2に示したフェーズ1〜4のうち、フェーズ4を除くフェーズ1〜3の動作を行う。ただし、フェーズ3でモニタリングされるデータは、トランスポートそうおよびネットワーク層のQoSである。また、フェーズ2の開始時間T1、フェーズ3の開始時間T2は、
0<T1<T2<T0
という条件を満足するように設定される。また、モニタリング間隔X1、X2は、
X1<T2−T1
X2<T0−T2
という条件を満足するように設定される。
図4に、本他の実施形態のSTAの動作を説明するためのフローチャートを示す。フェーズ1、2までの動作は、図3に示した動作と同じである。フェーズ2で認証プロセスが実行されなかった場合は、制御ユニット12は、監視ユニット10による以下のフェーズ3の動作を行わせる。
フェーズ3は、T2の時点で開始され、T0の時点で終了する。このフェーズ3では、監視ユニット10によるモニタリングがX2秒間隔で実行される。この監視ユニット10によってモニタリングされるデータは、アソシエート状態、ネットワーク層とトランスポート層の通信品質を示す参考値(遅延、パケットロス、送受信のデータレートなど)である。
制御ユニット12は、フェーズ3での監視ユニット10によるモニタリングの結果に基づいて、まず、STAとAPがアソシエートされているか否かを判断する(ステップ307)。このステップ307で、STAとAPがアソシエートされていると判断した場合は、続いて、制御ユニット12は、通信品質(QoS)の参考値をもとにしてネットワーク層とトランスポート層のトラヒックが良好であるか否かの判断(「pass」か「fail」かの判定)を行う(ステップ308)。このステップ308での判定結果が「pass」となった場合は、制御ユニット12は、ステップ305に移行し、IEEE802.1xのソフトウェアコンポーネント23に対して、APへ「EAPOL-START」パケットを送出するように要求する。
ステップS307で、STAとAPがアソシエートされていないと判断した場合、または、ステップ308での判定結果が「fail」となった場合は、制御ユニット12は、X2秒間だけ待った後(ステップ310)、ステップ306の判断を再び実行する。
ステップ306で、第2の条件を満たさないと判断した場合は、制御ユニット12は、ステップ316に戻ってタイマーのリセットを行う。
以上の処理によれば、有線LANシステムにおいて、実行中リアルタイムアプリケーションの有無およびネットワーク層とトランスポート層の通信品質をモニタリングしてその結果をもとにして、APまたは認証サーバ(認証者)から再認証を要求される前に、STA(サプリカント)が都合の良いタイミングで再認証を行うことができ、再認証による遅延問題を回避することができる。
以上説明した本発明における再認証の動作は基本的にソフトウェアで実現可能であり、新規なハードウェアを用いることなく、既存のIEEE802.1x規格の無線LANに容易に適用することができる。
また、本発明によれば、再認証による遅延の問題を解決するためにセキュリティレベルを落とすことがない、という利点もある。なお、本発明を適用せずに、単にAPにてIEEE802.1xの再認証機能を無効にして再認証が無条件に実行されることを防止するだけでは、セキュリティレベルを低下する結果となる。
なお、本発明の各実施形態で説明した構成および動作は本発明の一例であり、適宜、変更することが可能である。例えば、図3において、フェーズ4に対応する処理を省略することも可能である。また、フェーズ3に対応する処理において、ステップ309を省略してもよい。ただし、この場合は、リアルタイムアプリケーションの通信品質が良い状態で再認証を行うことはできるものの、ステップ309を省略したことで、無線LANアクセスポイントとの無線通信状態が悪い状態で再認証が行われる場合がある。
また、本発明のSTAは、ノート型のパーソナルコンピュータに代表されるコンピュータ端末より構成される。予め用意されたプログラムにしたがってコンピュータが動作することで、各実施形態で説明したような再認証の動作を実行することができる。
本発明の一実施形態である携帯通信端末の概略構成を示すブロック図である。 図1に示す携帯通信端末のモニタリング動作を説明するためのタイムフレーム図である。 図1に示す携帯通信端末の再認証の処理を説明するためのフローチャートである。 本他の実施形態である携帯通信端末の再認証の処理を説明するためのフローチャートである。 IEEE802.1x規格のセキュリティシステムの概念図である。 IEEE802.1x規格のセキュリティシステムを導入した一般的な無線LANシステムの構成を示すブロック図である。
符号の説明
10 監視ユニット
11 設定値入力ユニット
12 制御ユニット
20 通信ソフトウェアモデル
21〜24 コンポーネント

Claims (24)

  1. 外部装置との間でユーザ認証に必要な情報を送受信する認証処理部と、
    少なくとも所定のアプリケーションの実行の有無を定期的に監視する監視ユニットと、
    前記監視ユニットにて前記所定のアプリケーションが実行されていないことが検出された場合に、前記認証処理部に、前記ユーザ認証を再実行するための再認証セッションを開始させる制御ユニットとを有する携帯通信端末。
  2. 前記監視ユニットは、第1の所定期間にわたって前記所定のアプリケーションの実行を検出した場合は、前記外部装置との通信状態を一定時間間隔で監視し、
    前記制御ユニットは、前記監視ユニットによる通信状態の監視結果に基づいて、前記外部装置との通信が良好か否かを判断し、良好と判断した場合に、前記認証処理部に前記再認証セッションを開始させる、請求項1に記載の携帯通信端末。
  3. 前記監視ユニットは、前記外部装置との通信状態として、少なくとも前記所定のアプリケーションの通信路における通信品質を監視する、請求項2に記載の携帯通信端末。
  4. 前記通信品質が、前記所定のアプリケーションによる通信を提供するネットワーク層およびトランスポート層のそれぞれにおける通信品質である、請求項3に記載の携帯通信端末。
  5. 前記外部装置との通信が無線通信であり、該無線通信を行う無線通信部と、
    前記無線通信部にて受信される信号の電界強度を検出する電界強度検出部とをさらに有し、
    前記監視ユニットは、前記外部装置との通信状態として、前記無線通信部にて検出される電界強度をさらに監視する、請求項3または4に記載の携帯通信端末。
  6. 前記監視ユニットは、前記制御ユニットが第2の所定期間内に前記外部装置との通信が良好であると判断できない場合は、前記無線通信部にて検出される電界強度を一定の時間間隔でさらに監視し、
    前記制御ユニットは、前記監視ユニットによる前記電界強度の監視結果に基づいて、前記外部装置との無線通信が良好か否かを判断し、良好と判断した場合に、前記認証処理部に前記再認証セッションを開始させる、請求項5に記載の携帯通信端末。
  7. 携帯通信端末と、
    前記携帯通信端末をLANに接続するためのネットワーク装置とを有し、
    前記携帯通信端末は、
    前記ネットワーク装置との間でユーザ認証に必要な情報を送受信する認証処理部と、
    少なくとも所定のアプリケーションの実行の有無を定期的に監視する監視ユニットと、
    前記監視ユニットにて前記所定のアプリケーションが実行されていないことが検出された場合に、前記認証処理部に、前記ユーザ認証を再実行するための再認証セッションを開始させる制御ユニットとを有するLANシステム。
  8. 前記監視ユニットは、第1の所定期間にわたって前記所定のアプリケーションの実行を検出した場合は、外部装置との通信状態を一定の時間間隔で監視し、
    前記制御ユニットは、前記監視ユニットによる通信状態の監視結果に基づいて、前記ネットワーク装置との通信が良好か否かを判断し、良好と判断した場合に、前記認証処理部に前記再認証セッションを開始させる、請求項7に記載のLANシステム。
  9. 前記監視ユニットは、前記外部装置との通信状態として、少なくとも前記所定のアプリケーションの通信路における通信品質を監視する、請求項8に記載のLANシステム。
  10. 前記通信品質が、前記所定のアプリケーションによる通信を提供するネットワーク層およびトランスポート層のそれぞれにおける通信品質である、請求項9に記載のLANシステム。
  11. 前記ネットワーク装置が無線LANアクセスポイントであり、
    前記携帯通信端末は、
    前記無線LANアクセスポイントとの間で無線通信を行う無線通信部と、
    前記無線通信部にて受信される信号の電界強度を検出する電界強度検出部とをさらに有し、
    前記監視ユニットは、前記ネットワーク装置との通信状態として、前記無線通信部にて検出される電界強度をさらに監視する、請求項9または10に記載のLANシステム。
  12. 前記監視ユニットは、前記制御ユニットが第2の所定期間内に前記ネットワーク装置との通信が良好であると判断できない場合は、前記無線通信部にて検出される電界強度を一定の時間間隔でさらに監視し、
    前記制御ユニットは、前記監視ユニットによる前記電界強度の監視結果に基づいて、前記無線LANアクセスポイントとの無線通信が良好か否かを判断し、良好と判断した場合に、前記認証処理部に前記再認証セッションを開始させる、請求項11に記載のLANシステム。
  13. 外部装置との間でユーザ認証に必要な情報を送受信する携帯通信端末において行われるユーザ再認証方法であって、
    少なくとも所定のアプリケーションの実行の有無を定期的に監視する第1のステップと、
    前記第1のステップでの監視において前記所定のアプリケーションが実行されていないことが検出された場合に、前記ユーザ認証を再実行するための再認証セッションを開始する第2のステップとを含むユーザ再認証方法。
  14. 前記第1のステップでの監視において第1の所定期間にわたって前記所定のアプリケーションの実行を検出した場合は、前記外部装置との通信状態を一定の時間間隔で監視する第3のステップと、
    前記第3のステップでの監視結果に基づいて、前記外部装置との通信が良好か否かを判断する第4のステップと、
    前記第4のステップで良好と判断した場合に、前記再認証セッションを開始する第5のステップとを含む、請求項13に記載のユーザ再認証方法。
  15. 前記第3のステップは、前記外部装置との通信状態として少なくとも前記所定のアプリケーションの通信路における通信品質を監視するステップを含む、請求項14に記載のユーザ再認証方法。
  16. 前記通信品質が、前記所定のアプリケーションによる通信を提供するネットワーク層およびトランスポート層のそれぞれにおける通信品質である、請求項15に記載のユーザ再認証方法。
  17. 前記外部装置との通信が無線通信であり、
    前記第3のステップは、前記外部装置との通信状態として前記外部装置からの受信信号の電界強度を一定の時間間隔で検出するステップをさらに含む、請求項15に記載のユーザ再認証方法。
  18. 前記第4のステップで第2の所定期間内に前記外部装置との通信が良好であると判断できない場合は、前記外部装置からの受信信号の電界強度を一定の時間間隔でさらに監視する第6のステップと、
    前記第6のステップでの監視結果に基づいて、前記外部装置との無線通信が良好か否かを判断する第7のステップと、
    前記第6のステップで良好と判断した場合に、前記再認証セッションを開始する第8のステップとを含む、請求項14に記載のユーザ再認証方法。
  19. 外部装置との間でユーザ認証に必要な情報を送受信する携帯通信端末において用いられるプログラムであって、
    少なくとも所定のアプリケーションの実行の有無を定期的に監視する第1の処理と、
    前記第1の処理での監視において前記所定のアプリケーションが実行されていないことが検出された場合に、前記ユーザ認証を再実行するための再認証セッションを開始する第2の処理とを前記携帯通信端末のコンピュータに実行させるプログラム。
  20. 前記第1の処理での監視において第1の所定期間にわたって前記所定のアプリケーションの実行を検出した場合は、前記外部装置との通信状態を一定の時間間隔で監視する第3の処理と、
    前記第3の処理での監視結果に基づいて、前記外部装置との通信が良好か否かを判断する第4の処理と、
    前記第4の処理で良好と判断した場合に、前記再認証セッションを開始する第5の処理とを前記携帯通信端末のコンピュータにさらに実行させる、請求項19に記載のプログラム。
  21. 前記第3の処理は、前記外部装置との通信状態として少なくとも前記所定のアプリケーションの通信路における通信品質を監視する処理を含む、請求項20に記載のプログラム。
  22. 前記通信品質が、前記所定のアプリケーションによる通信を提供するネットワーク層およびトランスポート層のそれぞれにおける通信品質である、請求項21に記載のプログラム。
  23. 前記外部装置との通信が無線通信であり、
    前記第3の処理は、前記外部装置との通信状態として前記外部装置からの受信信号の電界強度を一定時間間隔で検出する処理をさらに含む、請求項21に記載のプログラム。
  24. 前記第4の処理で第2の所定期間内に前記外部装置との通信が良好であると判断できない場合は、前記外部装置からの受信信号の電界強度を一定の時間間隔でさらに監視する第6の処理と、
    前記第6の処理での監視結果に基づいて、前記外部装置との無線通信が良好か否かを判断する第7の処理と、
    前記第6の処理で良好と判断した場合に、前記再認証セッションを開始する第8の処理とを前記携帯通信端末のコンピュータにさらに実行させる、請求項20に記載のプログラム。
JP2005008924A 2005-01-17 2005-01-17 携帯通信端末およびユーザ認証方法 Expired - Fee Related JP4527553B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005008924A JP4527553B2 (ja) 2005-01-17 2005-01-17 携帯通信端末およびユーザ認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005008924A JP4527553B2 (ja) 2005-01-17 2005-01-17 携帯通信端末およびユーザ認証方法

Publications (2)

Publication Number Publication Date
JP2006197462A JP2006197462A (ja) 2006-07-27
JP4527553B2 true JP4527553B2 (ja) 2010-08-18

Family

ID=36803140

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005008924A Expired - Fee Related JP4527553B2 (ja) 2005-01-17 2005-01-17 携帯通信端末およびユーザ認証方法

Country Status (1)

Country Link
JP (1) JP4527553B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090047964A1 (en) 2007-08-17 2009-02-19 Qualcomm Incorporated Handoff in ad-hoc mobile broadband networks
US20090046644A1 (en) * 2007-08-17 2009-02-19 Qualcomm Incorporated Service set manager for ad hoc mobile service provider
US8644206B2 (en) 2007-08-17 2014-02-04 Qualcomm Incorporated Ad hoc service provider configuration for broadcasting service information
US9179367B2 (en) 2009-05-26 2015-11-03 Qualcomm Incorporated Maximizing service provider utility in a heterogeneous wireless ad-hoc network
JP7750077B2 (ja) * 2021-12-15 2025-10-07 ヤマハ株式会社 無線通信装置、通信制御方法、およびプログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4169534B2 (ja) * 2002-06-12 2008-10-22 日本電信電話株式会社 モバイル通信サービスシステム
JP2004343448A (ja) * 2003-05-15 2004-12-02 Matsushita Electric Ind Co Ltd 無線lanアクセス認証システム
US7353381B2 (en) * 2003-06-03 2008-04-01 Microsoft Corporation Supplicant and authenticator intercommunication mechanism independent of underlying data link and physical layer protocols
JP2005011245A (ja) * 2003-06-20 2005-01-13 Furukawa Electric Co Ltd:The 受信者認証方法、そのネットワーク間接続装置および受信者認証システム

Also Published As

Publication number Publication date
JP2006197462A (ja) 2006-07-27

Similar Documents

Publication Publication Date Title
EP1958365B1 (en) Network client validation of network management frames
EP3120515B1 (en) Improved end-to-end data protection
EP3408988B1 (en) Method and apparatus for network access
US8316430B2 (en) Preventing network traffic blocking during port-based authentication
US8555340B2 (en) Method and apparatus for determining authentication capabilities
EP1900170B1 (en) Short authentication procedure in wireless data communications networks
US8312278B2 (en) Access authentication method applying to IBSS network
US8701160B2 (en) Network security HTTP negotiation method and related devices
RU2587417C2 (ru) Системы и способы для аутентификации
JP2025515724A (ja) 通信ネットワークに参加する方法
US20050132214A1 (en) Authentication for transmission control protocol
US9380633B2 (en) Method and system for WLAN connection control
JP4527553B2 (ja) 携帯通信端末およびユーザ認証方法
JP5399509B2 (ja) 通信システムにおける競り下げ攻撃の防止
US9602493B2 (en) Implicit challenge authentication process
CN110062427A (zh) 支持无线网络切换的可信服务管理方法以及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071217

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100426

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100511

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100603

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130611

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4527553

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees