JP5217837B2 - Radio relay apparatus and attribution management method - Google Patents
Radio relay apparatus and attribution management method Download PDFInfo
- Publication number
- JP5217837B2 JP5217837B2 JP2008244151A JP2008244151A JP5217837B2 JP 5217837 B2 JP5217837 B2 JP 5217837B2 JP 2008244151 A JP2008244151 A JP 2008244151A JP 2008244151 A JP2008244151 A JP 2008244151A JP 5217837 B2 JP5217837 B2 JP 5217837B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- wireless
- wireless terminal
- attribution
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000007726 management method Methods 0.000 title claims 17
- 238000000034 method Methods 0.000 claims description 44
- 230000008569 process Effects 0.000 claims description 41
- 238000004891 communication Methods 0.000 claims description 35
- 230000005540 biological transmission Effects 0.000 claims description 29
- 238000012544 monitoring process Methods 0.000 claims description 2
- 230000004044 response Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 13
- 230000008901 benefit Effects 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
本発明は、無線中継装置に関し、特にIEEE 802.1x認証に対応した無線アクセスポイントの帰属管理技術に関する。 The present invention relates to a wireless relay device, and more particularly to a wireless access point attribution management technique compatible with IEEE 802.1x authentication.
無線LAN端末が無線アクセスポイントを介してネットワークに接続するためには、無線LAN端末が、無線アクセスポイントに対して正規の端末であることを証明し、この無線アクセスポイントに帰属する必要がある。この証明には、一般に、RADIUSサーバを使用して、証明書での認証を行うIEEE 802.1x認証が用いられる。 In order for a wireless LAN terminal to connect to a network via a wireless access point, it is necessary to prove that the wireless LAN terminal is a legitimate terminal with respect to the wireless access point and to belong to this wireless access point. For this certification, IEEE 802.1x authentication is generally used in which authentication is performed with a certificate using a RADIUS server.
しかし、IEEE 802.1x認証の認証処理には1秒程度の時間がかかるとされており、無線LAN端末が通話中などリアルタイム通信中である場合には、音声が途切れるといった問題が生じる。 However, the authentication process of IEEE 802.1x authentication is supposed to take about 1 second, and there is a problem that the sound is interrupted when the wireless LAN terminal is in real-time communication such as during a call.
この問題の解決策として、事前認証という技術がある(非特許文献1)。事前認証において、無線LAN端末は、帰属先の無線アクセスポイントに帰属すると、周辺の無線アクセスポイントを検出する。そして、帰属先の無線アクセスポイントを介して、周辺の無線アクセスポイント各々とIEEE 802.1x認証を行い、この認証により生成されたPMK(Pairwise Master Key)を周辺の無線アクセスポイント各々と共有する(PMKキャッシュ)。それから、無線LAN端末は、帰属中の無線アクセスポイントから他の無線アクセスポイントにハンドオーバする際に、ハンドオーバ先の無線アクセスポイントと共有しているPMKを確認することで、IEEE 802.1x認証を省略し、ハンドオーバ先の無線アクセスポイントに帰属する。
しかしながら、事前認証を利用する場合、無線LAN端末が帰属中の無線アクセスポイントからハンドオーバする都度、無線LAN端末およびハンドオーバ先の無線アクセスポイント間で共有しているPMKを確認するために無線通信エリア上をPMKが飛び交う。このため、PMKが傍受される可能性がある。この場合、不正な端末が、傍受したPMKを使って、事前認証済みの無線LAN端末に成り済まし、無線LANアクセスポイントに帰属できてしまう。 However, when using pre-authentication, every time handover is performed from the wireless access point to which the wireless LAN terminal belongs, in order to confirm the PMK shared between the wireless LAN terminal and the wireless access point of the handover destination, PMK flies over. For this reason, PMK may be intercepted. In this case, an unauthorized terminal impersonates a pre-authenticated wireless LAN terminal using the intercepted PMK and can belong to the wireless LAN access point.
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、事前認証のセキュリティをさらに向上させることができる技術を提供することにある。 The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a technique capable of further improving the security of pre-authentication.
上記課題を解決するために、本発明では、通話中の無線端末が帰属中の無線中継装置からハンドオーバした場合にのみ、事前認証の結果を利用した認証処理を行う。無線端末が帰属中の無線中継装置からハンドオーバした場合でも、この無線端末が通話中でないならば(待機中ならば)、この無線端末とハンドオーバ先の無線中継装置との間で事前認証済みか否かにかかわらず、通常の認証処理を行う。 In order to solve the above problems, in the present invention, authentication processing using the result of pre-authentication is performed only when a wireless terminal in a call is handed over from the wireless relay apparatus to which it belongs. Even if the wireless terminal is handed over from the wireless relay device to which it belongs, if this wireless terminal is not in a call (if it is on standby), whether or not pre-authentication has been performed between this wireless terminal and the wireless relay device that is the handover destination Regardless, normal authentication processing is performed.
例えば、本発明は、事前認証機能を備えた無線端末をネットワークに接続する無線中継装置であって、
前記無線端末に対して、認証サーバを用いた第一の認証処理を行う第一認証処理手段と、
前記無線端末に対して、前記第一の認証処理によって得られた認証情報を用いた第二の認証処理を行う第二認証処理手段と、
前記ネットワークを介して前記無線端末から事前認証要求を受信した場合に、前記第一認証処理手段に、当該無線端末に対して前記第一の認証処理を実施させる事前認証処理手段と、
前記第一の認証処理によって認証済みの前記無線端末を管理する認証済管理手段と、
前記無線端末の自無線中継装置への帰属を管理する帰属管理手段と、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末から受信した事前認証要求を、前記ネットワークを介して他の無線中継装置に中継する事前認証要求中継手段と、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末の通話状態を判断する通話状態判断手段と、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末の帰属が解除される場合に、当該無線端末の通話状態が前記通話状態判断手段により「通話中」と判断されているならば、当該無線端末の識別情報を含むハンドオーバ通知を、前記ネットワークを介して他の無線中継装置に送信するハンドオーバ通知手段と、を有し、
前記帰属管理手段は、
前記無線端末から帰属要求を受信した場合に、当該無線端末が前記認証済管理手段に管理されており、且つ当該無線端末の識別情報を含む前記ハンドオーバ通知を受信済みであるならば、前記第二認証処理手段に、当該無線端末に対して前記第二の認証処理を実施させて、当該無線端末を自無線中継装置へ帰属させ、当該無線端末が前記認証済管理手段に管理されていないか、あるいは当該無線端末の識別情報を含む前記ハンドオーバ通知を未受信であるならば、前記第一認証処理手段に、当該無線端末に対して前記第一の認証処理を実施させて、当該無線端末を自無線中継装置へ帰属させ、
前記無線端末から帰属解除要求を受信した場合に、当該無線端末の自無線中継装置への帰属を解除する。
For example, the present invention is a wireless relay device for connecting a wireless terminal having a pre-authentication function to a network,
A first authentication processing means for performing a first authentication process using an authentication server for the wireless terminal;
A second authentication processing means for performing a second authentication process using the authentication information obtained by the first authentication process on the wireless terminal;
When a pre-authentication request is received from the wireless terminal via the network, the first authentication processing unit causes the wireless terminal to perform the first authentication process,
Authenticated management means for managing the wireless terminal authenticated by the first authentication process;
Attribution management means for managing attribution of the wireless terminal to the own wireless relay device;
Pre-authentication request relay means for relaying the pre-authentication request received from the wireless terminal belonging to the own wireless relay apparatus by the belonging management means to another wireless relay apparatus via the network;
A call state determining means for determining a call state of the wireless terminal belonging to the own wireless relay device by the belonging management means ;
When said by attribution management means belonging of the wireless terminal in the belonging to the radio relay apparatus is released, if the call state of the wireless terminal is determined to be "busy" by the call state determination unit, a handover notification including the identification information of the wireless terminal has a handover notification means for sending to another wireless relay apparatus via the network,
The attribution management means is
When receiving the attribution request from the wireless terminal, if the wireless terminal is managed by the authenticated management means and the handover notification including the identification information of the wireless terminal has been received, the second the authentication processing means, the by carrying out the second authentication processing for the wireless terminal, the wireless terminal is assigned to the wireless relay apparatus, whether the wireless terminal is not managed in the authenticated management means, Alternatively, if the handover notification including the identification information of the wireless terminal has not been received, the first authentication processing unit is caused to perform the first authentication processing on the wireless terminal so that the wireless terminal is automatically Be attributed to the wireless relay device,
When an attribution cancellation request is received from the wireless terminal, the attribution of the wireless terminal to the own wireless relay device is canceled.
ここで、例えば、前記第一の認証処理は、RADIUSサーバを用いて行われるIEEE 802.1x認証に従った認証処理であり、前記第二の認証処理は、IEEE 802.1x認証により得られるPMKキャッシュを前記認証情報として利用した認証処理である。 Here, for example, the first authentication process is an authentication process according to IEEE 802.1x authentication performed by using a RADIUS server , and the second authentication process is a PMK obtained by IEEE 802.1x authentication. This is an authentication process using a cache as the authentication information .
本発明によれば、無線端末が帰属中の無線中継装置からハンドオーバした場合でも、この無線端末が通話中でないならば(待機中ならば)、この無線端末とハンドオーバ先の無線中継装置との間で事前認証済みか否かにかかわらず、通常の認証処理が行われる。このため、不正な端末が無線端末およびハンドオーバ先の無線中継装置間の事前認証の際に傍受した情報を使って、この無線端末に成り済ましてハンドオーバ先の無線中継装置に帰属することはできない。したがって、ハンドオーバ時における通話の音切れ防止といった事前認証の利点を保持しつつ、事前認証のセキュリティを向上させることができる。 According to the present invention, even when a handover is performed from a radio relay apparatus to which a radio terminal belongs, if the radio terminal is not in a call (if it is in a standby state), the radio terminal and the radio relay apparatus that is the handover destination Regardless of whether or not pre-authentication has been completed, normal authentication processing is performed. For this reason, an unauthorized terminal cannot impersonate this wireless terminal using the information intercepted during the pre-authentication between the wireless terminal and the handover destination wireless relay apparatus, and cannot belong to the handover destination wireless relay apparatus. Therefore, it is possible to improve the security of the pre-authentication while maintaining the advantage of the pre-authentication such as prevention of sound interruption of the call during the handover.
以下、本発明の実施の形態について説明する。 Embodiments of the present invention will be described below.
図1は、本発明の一実施の形態に係る無線アクセスポイント1を含む無線通信システムの概略図である。
FIG. 1 is a schematic diagram of a wireless communication system including a
図示するように、無線通信システムは、本実施の形態に係る複数の無線アクセスポイント(AP)1と、事前認証機能を備えた無線LAN端末2と、無線アクセスポイント1による無線LAN端末2の認証に利用されるRADIUSサーバ3と、無線アクセスポイント1およびRADIUSサーバ3を相互接続するLAN4と、LAN4をWAN6に接続するためのルータ5と、を有する。
As illustrated, the wireless communication system includes a plurality of wireless access points (AP) 1 according to the present embodiment, a
無線アクセスポイント1は、無線LAN端末2から事前認証要求を受信した場合に、この無線LAN端末2に対して、RADIUSサーバ3を利用したIEEE 802.1x認証を行う。
When the
また、無線アクセスポイント1は、無線LAN端末2から帰属要求を受信した場合に、この無線LAN端末2がIEEE 802.1x認証によって認証済みであり、且つこの無線LAN端末2のMACアドレスを含むハンドオーバ通知を受信済みであるならば、この無線LAN端末2に対して、PMKキャッシュを利用した認証処理を行う。そして、認証成立後に、この無線LAN端末2を自無線アクセスポイント1に帰属させ、この無線LAN端末2をLAN4に接続する。一方、この無線LAN端末2のMACアドレスを含むハンドオーバ通知を未受信であるならば、この無線LAN端末2がIEEE 802.1x認証済みであるか否かにかかわらず、この無線LAN端末2に対して、RADIUSサーバ3を利用したIEEE 802.1x認証を行う。そして、認証成立後に、この無線LAN端末2を自無線アクセスポイント1に帰属させ、この無線LAN端末2をLAN4に接続する。
Further, when the
また、無線アクセスポイント1は、無線LAN端末2から帰属解除要求を受信した場合に、この無線LAN端末2の自無線アクセスポイント1への帰属を解除して、この無線LAN端末2をLAN4から切断する。また、この際、この無線LAN端末2が通話中であるならば、この無線LAN端末2のMACアドレスを含むハンドオーバ通知をLAN4に送信する。
Further, when the
図2は、無線アクセスポイント1の概略構成図である。
FIG. 2 is a schematic configuration diagram of the
図示するように、無線アクセスポイント1は、有線通信部101と、無線通信部102と、認証処理部103と、事前認証処理部104と、認証済管理部105と、帰属管理部106と、中継部107と、通話状態判定部108と、ハンドオーバ通知送受信部109と、認証無効通知送受信部110と、を有する。
As illustrated, the
有線通信部101は、LAN4を介して他の通信機器(他の無線アクセスポイント1、RADIUSサーバ3、ルータ5等)と通信するためインターフェースである。
The
無線通信部102は、無線LANを介して無線LAN端末2と通信するためインターフェースである。
The
認証処理部103は、無線LAN端末2に対する認証処理を行う。図示するように、認証処理部103は、802.1x認証処理部1031と、PMKキャッシュ認証処理部1032と、を有する。
The
802.1x認証処理部1031は、RADIUSサーバ3を利用して、無線LAN端末2に対してIEEE 802.1x認証を行う。PMKキャッシュ認証処理部1032は、前もって実施しておいたIEEE 802.1x認証(事前認証)により無線LAN端末2と共有したPMKを確認することにより、無線LAN端末2を認証する。
The 802.1x authentication processing unit 1031 performs the IEEE 802.1x authentication for the
事前認証処理部104は、他の無線アクセスポイント1を介して無線LAN端末2より受信した事前認証要求に従い、この無線LAN端末2に対するIEEE 802.1x認証を802.1x認証処理部1031に実施させる(事前認証)。
The
認証済管理部105は、認証済管理テーブル(TB)1051を用いて、802.1x認証処理部1031によるIEEE 802.1x認証済みの無線LAN端末2の状態を管理する。
The authenticated management unit 105 uses the authenticated management table (TB) 1051 to manage the state of the
図3(A)は、認証済管理テーブル1051の登録内容例を模式的に表した図である。図示するように、認証済管理テーブル1051には、802.1x認証処理部1031によるIEEE 802.1x認証済みである無線LAN端末2毎にレコード10510が登録される。レコード10510は、無線LAN端末2のMACアドレス(認証済端末アドレス)を登録するフィールド10511と、このMACアドレスを含むハンドオーバ通知の受信状態を登録するフィールド10512と、を有する。
FIG. 3A is a diagram schematically illustrating an example of registered contents of the authenticated management table 1051. As shown in the figure, a
帰属管理部106は、無線LAN端末2より受信した帰属要求および帰属解除要求に従い、自無線アクセスポイント1への無線LAN端末2の帰属および帰属解除を制御する。また、帰属管理部106は、帰属管理テーブル(TB)1061を用いて、自無線アクセスポイント1に帰属中の無線LAN端末2の状態を管理する。
The
図3(B)は、帰属管理テーブル1061の登録内容例を模式的に表した図である。図示するように、帰属管理テーブル1061には、帰属中の無線LAN端末2毎にレコード10610が登録される。レコード10610は、無線LAN端末2のMACアドレス(帰属端末アドレス)を登録するフィールド10611と、この無線LAN端末2の通話状態を登録するフィールド10612と、フィールド10612に登録されている通話状態の更新日時を登録するフィールド10613と、を有する。
FIG. 3B is a diagram schematically showing an example of registered contents of the attribution management table 1061. As shown in the figure, a
中継部107は、自無線アクセスポイント1に帰属している無線LAN端末2とLAN4との間のデータのやり取りを中継する。
The
通話状態判定部108は、通話状態判定テーブル(TB)1081を用いて、自無線アクセスポイント1に帰属中である無線LAN端末2の通話状態を判定する。また、無線LAN端末2の通話状態が変更された場合に、変更後の通話状態を帰属管理部106に通知する。
The call
図3(C)は、通話状態判定テーブル1081の登録内容例を模式的に表した図である。図示するように、通話状態判定テーブル1081には、帰属中の無線LAN端末2毎にレコード10810が登録される。レコード10810は、無線LAN端末2のMACアドレス(帰属端末アドレス)を登録するフィールド10811と、この無線LAN端末2の通話中タイマのタイマ値を登録するフィールド10812と、を有する。ここで、通話中タイマは、時間の経過とともにタイマ値を減少させる。また、通話中タイマのタイマ値は、この通話中タイマに対応する無線LAN端末2を送信元あるいは送信先とするRTPパケットが中継される毎に、デフォルト値(例えば100ms)に更新される。
FIG. 3C is a diagram schematically showing an example of registered contents of the call state determination table 1081. As shown in the figure, a
ハンドオーバ通知送受信部109は、他の無線アクセスポイント1が送信したハンドオーバ通知を、LAN4を介して受信して認証済管理部105に知らせる。また、ハンドオーバ通知送受信部109は、通話中の無線LAN端末2が自無線アクセスポイント1から帰属解除された場合に、この無線LAN端末2のMACアドレスを含むハンドオーバ通知をLAN4に送信する。
The handover notification transmission /
認証無効通知送受信部110は、他の無線アクセスポイント1が送信した認証無効通知を、LAN4を介して受信して認証済管理部105に知らせる。また、認証無効通知送受信部110は、待機中の無線LAN端末2が自無線アクセスポイント1から強制的に帰属解除された場合に、この無線LAN端末2のMACアドレスを含む認証無効通知をLAN4に送信する。
The authentication invalid notification transmission /
図4は、無線アクセスポイント1の動作を説明するためのフロー図である。
FIG. 4 is a flowchart for explaining the operation of the
事前認証処理部104は、有線通信部101を介して、他の無線アクセスポイント1経由で無線LAN端末2から事前認証要求を受信すると(S10でYES)、後述する事前認証処理を実施する(S11)。
When the
帰属管理部106は、無線通信部102を介して、無線LAN端末2から帰属要求を受信すると(S12でYES)、後述する帰属処理を実施する(S13)。また、帰属管理部106は、無線通信部102を介して、無線LAN端末2から帰属解除要求を受信すると(S14でYES)、後述する帰属解除処理を実施する(S15)。
When the
ハンドオーバ通知送受信部109は、有線通信部101を介して、他の無線アクセスポイント1からハンドオーバ通知を受信すると(S16でYES)、このハンドオーバ通知を認証済管理部105に通知する。これを受けて、認証済管理部105は、認証済管理テーブル1051から、このハンドオーバ通知に含まれているMACアドレスがフィールド10511に登録されているレコード10510を検索する。そして、このレコード10510のフィールド10512に登録されているハンドオーバ通知受信状態を「受信済」に更新する(S17)。
When the handover notification transmission /
認証無効通知送受信部110は、有線通信部101を介して、他の無線アクセスポイント1から認証無効通知を受信すると(S18でYES)、この認証無効通知を認証済管理部105に通知する。これを受けて、認証済管理部105は、認証済管理テーブル1051から、この認証無効通知に含まれているMACアドレスがフィールド10511に登録されているレコード10510を検索する。そして、このレコード10510を削除する(S19)。
When receiving the authentication invalidity notification from another
帰属管理部106は、帰属管理テーブル1061に帰属中の無線LAN端末2のレコード10610がある場合(S20でYES)、通話状態判定部108と連携して、後述する帰属中処理を実施する(S21)。
If there is a
図5(A)は、図4の事前認証処理(S11)を説明するためのフロー図である。 FIG. 5A is a flowchart for explaining the pre-authentication process (S11) of FIG.
先ず、事前認証処理部104は、有線通信部101を介して他の無線アクセスポイント1経由で無線LAN端末2から受信した事前認証要求を認証処理部103に通知する。これを受けて、802.1x認証処理部1031は、RADIUSサーバ3と連携して、この無線LAN端末2に対するIEEE 802.1x認証を実施する(S1101)。
First, the
その結果、IEEE 802.1x認証が成立したならば(S1102でYES)、802.1x認証処理部1031は、このIEEE 802.1x認証によって事前認証要求元の無線LAN端末2と共有(PMKキャッシュ)されたPMKを、この無線LAN端末2のMACアドレスに対応付けてPMKキャッシュ認証処理部1032に登録する(S1103)。
As a result, if IEEE 802.1x authentication is established (YES in S1102), the 802.1x authentication processing unit 1031 is shared with the
また、802.1x認証処理部1031は、認証済管理部105に、この無線LAN端末2のMACアドレスを含むレコード追加指示を通知する。これを受けて、認証済管理部105は、認証済管理テーブル1051に新たなレコード10510を追加し、このレコード10510のフィールド10511に、認証済端末アドレスとしてこの無線LAN端末2のMACアドレスを、フィールド10512に、ハンドオーバ通知受信状態として「未受信」を登録する(S1104)。
Further, the 802.1x authentication processing unit 1031 notifies the authenticated management unit 105 of a record addition instruction including the MAC address of the
一方、IEEE 802.1x認証が不成立ならば(S1102でNO)、事前認証要求元の無線LAN端末2にエラーメッセージを送信するなどの所定のエラー処理を行う(S1105)。
On the other hand, if IEEE 802.1x authentication is not established (NO in S1102), predetermined error processing such as sending an error message to the pre-authentication request source
図6は、図4の帰属処理(S13)を説明するためのフロー図である。 FIG. 6 is a flowchart for explaining the attribution process (S13) of FIG.
先ず、帰属管理部106は、無線通信部102を介して無線LAN端末2から受信した帰属要求を認証処理部103に通知する。これを受けて、認証処理部103は、この無線LAN端末2のMACアドレスを認証済管理部105に通知する。認証済管理部105は、このMACアドレスがフィールド10511に登録されているレコード10510が認証済管理テーブル1051に登録されているか否かを調べることにより、この無線LAN端末2がIEEE 802.1x認証済であるか否かを調べる(S1301)。
First, the
帰属要求元の無線LAN端末2がIEEE 802.1x認証済である場合(S1301でYES)、認証済管理部105は、この無線LAN端末2のMACアドレスがフィールド10511に登録されているレコード10510のフィールド10512を調べることにより、この無線LAN端末2のMACアドレスを含むハンドオーバ通知を受信済であるか否かを調べる(S1302)。
If the
帰属要求元の無線LAN端末2のMACアドレスを含むハンドオーバ通知を受信済である場合(S1302でYES)、認証済管理部105は、認証処理部103に、PMKキャッシュ認証の対象であることを通知する。これを受けて、PMKキャッシュ認証処理部1032は、PMKキャッシュ認証を実施する。すなわち、帰属要求に含まれているPMKが、帰属要求元の無線LAN端末2のMACアドレスに対応付けられて予め登録されているPMKと一致するか否かを判断することにより、この無線LAN端末2の認証を行う(S1303)。
When the handover notification including the MAC address of the
その結果、PMKキャッシュ認証が成立したならば(S1304でYES)、PMKキャッシュ認証処理部1032は、帰属管理部106に帰属許可を通知する。これを受けて、帰属管理部106は、帰属管理テーブル1061に新たなレコード10610を追加し、このレコード10610のフィールド10611に、帰属端末アドレスとしてこの無線LAN端末2のMACアドレスを、フィールド10612に通話状態「待機中」を、そしてフィールド10613に、更新日時として現在日時を登録する。また、帰属管理部106は、通話状態判定テーブル1081に新たなレコード10810を追加し、このレコード10810のフィールド10811に、帰属端末アドレスとしてこの無線LAN端末2のMACアドレスを、そしてフィールド10812に、通話中タイマとして所定のタイマ値(例えば「残り0ms」)を登録する(S1309)。
As a result, if PMK cache authentication is established (YES in S1304), the PMK cache
その後、帰属管理部106は、中継部107を制御して、帰属要求元の無線LAN端末2の帰属処理を行う。これにより、中継部107は、帰属要求元の無線LAN端末2をLAN4に接続して、この無線LAN端末2とLAN4との間の中継を開始する(S1310)。なお、無線LAN端末2は、帰属先の無線アクセスポイント1に帰属すると、周辺の無線アクセスポイント1を検出し、帰属先の無線アクセスポイント1を介して、周辺の無線アクセスポイント1各々に事前認証要求を送信する。事前認証要求を受信した無線アクセスポイント1は、他の無線アクセスポイント1を介して、事前認証要求元の無線LAN端末2に対する事前認証を実施する。
Thereafter, the
さて、帰属要求元の無線LAN端末2がIEEE 802.1x認証済でない場合(S1301でNO)、あるいは、帰属要求元の無線LAN端末2のMACアドレスを含むハンドオーバ通知を未受信である場合(S1302でNO)、認証済管理部105は、認証処理部103に、IEEE 802.1x認証の対象であることを通知する。これを受けて、802.1x認証処理部1031は、RADIUSサーバ3と連携して、この無線LAN端末2に対するIEEE 802.1x認証を実施する(S1305)。
When the
その結果、IEEE 802.1x認証が成立したならば(S1306でYES)、802.1x認証処理部1031は、このIEEE 802.1x認証によって帰属要求元の無線LAN端末2と共有(PMKキャッシュ)されたPMKを、この無線LAN端末2のMACアドレスに対応付けてPMKキャッシュ認証処理部1032に登録する(S1307)。
As a result, if IEEE 802.1x authentication is established (YES in S1306), the 802.1x authentication processing unit 1031 is shared (PMK cache) with the
また、802.1x認証処理部1031は、認証済管理部105に、この無線LAN端末2のMACアドレスを含むレコード追加指示を通知する。これを受けて、認証済管理部105は、認証済管理テーブル1051に新たなレコード10510を追加し、このレコード10510のフィールド10511に、認証済端末アドレスとしてこの無線LAN端末2のMACアドレスを、フィールド10512に、ハンドオーバ通知受信状態として「未受信」を登録する(S1308)。
Further, the 802.1x authentication processing unit 1031 notifies the authenticated management unit 105 of a record addition instruction including the MAC address of the
さらに、802.1x認証処理部1031は、帰属管理部106に帰属許可を通知する。これを受けて、帰属管理部106は、帰属管理テーブル1061に新たなレコード10610を追加し、このレコード10610のフィールド10611に、帰属端末アドレスとしてこの無線LAN端末2のMACアドレスを、フィールド10612に通話状態「待機中」を、そしてフィールド10613に、更新日時として現在日時を登録する。また、帰属管理部106は、通話状態判定テーブル1081に新たなレコード10810を追加し、このレコード10810のフィールド10811に、帰属端末アドレスとしてこの無線LAN端末2のMACアドレスを、そしてフィールド10812に、通話中タイマとして所定のタイマ値を登録する(S1309)。
Further, the 802.1x authentication processing unit 1031 notifies the
その後、帰属管理部106は、中継部107を制御して、帰属要求元の無線LAN端末2の帰属処理を行う。これにより、中継部107は、帰属要求元の無線LAN端末2をLAN4に接続して、この無線LAN端末2とLAN4との間の中継を開始する(S1310)。なお、上述したように、無線LAN端末2は、帰属先の無線アクセスポイント1に帰属すると、周辺の無線アクセスポイント1を検出し、帰属先の無線アクセスポイント1を介して、周辺の無線アクセスポイント1各々に事前認証要求を送信する。そして、事前認証要求を受信した無線アクセスポイント1は、他の無線アクセスポイント1を介して、事前認証要求元の無線LAN端末2に対する事前認証を実施する。
Thereafter, the
一方、PMKキャッシュ認証が不成立の場合(S1304でNO)、またはIEEE 802.1x認証が不成立の場合(S1306でNO)、認証処理部103は帰属管理部106に帰属拒否を通知する。これを受けて帰属管理部106は、帰属要求元の無線LAN端末2にエラーメッセージを送信するなどの所定のエラー処理を行う(S1311)。
On the other hand, if the PMK cache authentication is not established (NO in S1304) or the IEEE 802.1x authentication is not established (NO in S1306), the
図5(B)は、図4の帰属解除処理(S15)を説明するためのフロー図である。 FIG. 5B is a flowchart for explaining the attribution release process (S15) of FIG.
先ず、帰属管理部106は、帰属解除要求元の無線LAN端末2のMACアドレスがフィールド10611に登録されているレコード10610を帰属管理テーブル1061から検索する。そして、検索したレコード10610のフィールド10612に登録されている通話状態を調べる(S1501)。
First, the
この通話状態が「待機中」の場合(S1501でNO)、帰属管理部106は、この検索したレコード10610を帰属管理テーブル1061から削除する。また、帰属解除要求元の無線LAN端末2のMACアドレスがフィールド10811に登録されているレコード10810を通話状態判定テーブル1081から検索し、検索したレコード10810を通話状態判定テーブル1081から削除する(S1503)。
When the call state is “standby” (NO in S1501), the
一方、通話状態が「通話中」の場合(S1501でYES)、帰属管理部106は、ハンドオーバ通知送受信部109に、帰属解除要求元の無線LAN端末2のMACアドレスを通知して、ハンドオーバ通知の送信を指示する。これを受けて、ハンドオーバ通知送受信部109は、この無線LAN端末2のMACアドレスを含むハンドオーバ通知を、有線通信部101を介して、LAN4にブロードキャストまたはマルチキャストで送信する(S1502)。それから、帰属管理部106は、検索したレコード10610を帰属管理テーブル1061から削除する。また、帰属解除要求元の無線LAN端末2のMACアドレスがフィールド10811に登録されているレコード10810を通話状態判定テーブル1081から検索し、検索したレコード10810を通話状態判定テーブル1081から削除する(S1503)。
On the other hand, when the call state is “busy” (YES in S1501), the
さて、帰属管理部106は、帰属解除要求元の無線LAN端末2のレコード10610、10810を削除したならば、中継部107を制御して、この無線LAN端末2の帰属解除処理を行う。これにより、中継部107は、帰属解除要求元の無線LAN端末2をLAN4から切断して、この無線LAN端末2とLAN4との間の中継を終了する(S1504)。
When the
図7は、図4の帰属中処理(S21)を説明するためのフロー図である。 FIG. 7 is a flowchart for explaining the belonging process (S21) of FIG.
通話状態判定部108は、中継部107で中継されるフレームを監視し、このフレームにRTPパケットが格納されているか否かを調べる。そして、RTPパケットが格納されているフレームを検出すると(S2101でYES)、このフレームの送信元あるいは送信先である無線LAN端末2のMACアドレスがフィールド10811に登録されているレコード10810を通話状態判定テーブル1081から検索し、このレコード10810のフィールド10812に登録されている通話中タイマのタイマ値をデフォルト値(例えば100ms)に更新する(S2102)。なお、上述したように、通話中タイマは、時間の経過とともにタイマ値を減少させる。
The call
次に、通話状態判定部108は、このフレームの送信元あるいは送信先である無線LAN端末2のMACアドレスがフィールド10611に登録されているレコード10610を帰属管理テーブル1061から検索し、このレコード10610のフィールド10612に登録されている通話状態を調べる。そして、通話状態が「通話中」でないならば(S2103でNO)、このレコード10610のフィールド10612に登録されている通話状態を「通話中」に変更するとともに、フィールド10613に登録されている更新日時を現在日時に更新する(S2104)。
Next, the call
また、通話状態判定部108は、通話状態判定テーブル1081を監視しており、フィールド10812に登録されている通話中タイマのタイマ値が「残り0ms」となっている、つまりタイムアウトしているレコード10810があるか否かを、例えば定期的に調べる。そして、フィールド10812に登録されている通話中タイマのタイマ値がタイムアウトしているレコード10810を検出すると(S2105でYES)、このレコード10810のフィールド10811に登録されているMACアドレスを特定する。それから、通話状態判定部108は、この特定したMACアドレスがフィールド10611に登録されているレコード10610を帰属管理テーブル1061から検索し、このレコード10610のフィールド10612に登録されている通話状態を調べる。そして、通話状態が「待機中」でないならば(S2106でNO)、このレコード10610のフィールド10612に登録されている通話状態を「待機中」に変更するとともに、フィールド10613に登録されている更新日時を現在日時に更新する(S2107)。一方、フィールド10612に登録されている通話状態が「待機中」であるならば(S2106でYES)、S2108に進む。
In addition, the call
S2108において、帰属管理部106は、このレコード10610のフィールド10613に登録されている更新日時から所定時間T(例えば3分)を経過しているか否かを調べる。更新日時から所定時間Tを経過しているならば(S2108でYES)、このレコード10610のフィールド10611に登録されているMACアドレスがフィールド10511に登録されているレコード10510を認証済管理テーブル1051から検索して、このレコード10510のフィールド10512に登録されているハンドオーバ通知受信状態をさらに調べる(S2108A)。そして、このハンドオーバ通知受信状態が「受信済」ならば(S2108AでYES)、このレコード10610のフィールド10611に登録されているMACアドレスにより特定される無線LAN端末2の自無線アクセスポイント1への帰属を強制的に解除する(S2109〜S2112)。
In S2108, the
具体的には、先ず、帰属管理部106は、このレコード10610を帰属管理テーブル1061から削除する。また、強制帰属解除の対象となる無線LAN端末2のMACアドレスがフィールド10811に登録されているレコード10810を通話状態判定テーブル1081から検索し、検索したレコード10810を通話状態判定テーブル1081から削除する(S2109)。
Specifically, the
次に、帰属管理部106は、認証無効通知送受信部110に対して、強制帰属解除の対象となる無線LAN端末2のMACアドレスを含む認証無効指示を通知する。これを受けて、認証無効通知送受信部110は、強制帰属解除の対象となる無線LAN端末2のMACアドレスを含む認証無効通知を生成し、有線通信部101を介して、予め登録されている近隣の無線アクセスポイント1に送信する(S2110)。
Next, the
それから、認証無効通知送受信部110は、強制帰属解除の対象となる無線LAN端末2のMACアドレスを含む認証済みレコードの削除指示を認証済管理部105に通知する。これを受けて、認証済管理部105は、強制帰属解除の対象となる無線LAN端末2のMACアドレスがフィールド10511に登録されているレコード10510を認証済管理テーブル1051から検索し、検索したレコード10510を認証済管理テーブル1051から削除する(S2111)。
Then, the authentication invalid notification transmission /
その後、帰属管理部106は、中継部107を制御して、強制帰属解除の対象となる無線LAN端末2の帰属解除処理を行う。これにより、中継部107は、強制帰属解除の対象となる無線LAN端末2をLAN4から切断して、この無線LAN端末2とLAN4との間の中継を終了する(S2112)。
Thereafter, the
次に、図1に示す無線通信システムの動作例を説明する。 Next, an operation example of the wireless communication system shown in FIG. 1 will be described.
図8および図9は、図1に示す無線通信システムの動作を説明するためのシーケンス図である。なお、ここでは、図1に示す2つの無線アクセスポイント1を互いに区別するために、一方を無線アクセスポイント(a)1とし、他方を無線アクセスポイント(b)1としている。
8 and 9 are sequence diagrams for explaining the operation of the wireless communication system shown in FIG. Here, in order to distinguish the two
先ず、図8において、無線LAN端末2は、無線アクセスポイント(a)1の無線通信エリアに侵入すると、無線アクセスポイント(a)1に帰属要求を送信する(S31)。
First, in FIG. 8, when the
これを受けて、無線アクセスポイント(a)1は、RADIUSサーバ3と連携して、無線LAN端末2に対してIEEE 802.1x認証を実施する(S32)。そして、認証成立後、この無線LAN端末2のレコード10510を認証済管理テーブル1051に追加するとともに(S33)、この無線LAN端末2のレコード10610を帰属管理テーブル1061に追加する(S34)。そして、この無線LAN端末2を無線アクセスポイント(a)1に帰属させる。
In response to this, the wireless access point (a) 1 performs IEEE 802.1x authentication for the
次に、無線LAN端末2は、無線アクセスポイント(a)1に帰属すると、無線アクセスポイント(b)1を検出する。そして、帰属先の無線アクセスポイント(a)1を介して、無線アクセスポイント(b)1に事前認証要求を送信する(S35)。
Next, when the
これを受けて、無線アクセスポイント(b)1は、RADIUSサーバ3と連携して、無線LAN端末2に対してIEEE 802.1x認証を実施する(S36)。そして、認証成立後、この無線LAN端末2のレコード10510を認証済管理テーブル1051に追加する(S37)。
In response to this, the wireless access point (b) 1 performs IEEE 802.1x authentication for the
ここで、無線LAN端末2は、ユーザから発信操作を受け付けると、通話相手(例えばWAN6側の電話端末)と呼制御処理を行って、通話相手との間に通話路を確立する(S39)。そして、この通話路を介して通話(RTPパケットの送受)を開始する(S40)。
Here, when the
さて、無線アクセスポイント(a)1は、自無線アクセスポイント(a)1を介して、無線LAN端末2と通話相手との間でRTPパケットの送受が行われている期間中、この無線LAN端末2の通話状態を「通話中」と判定する(S41)。
The wireless access point (a) 1 is connected to the wireless LAN terminal during a period in which the RTP packet is transmitted and received between the
次に、無線LAN端末2は、ユーザの移動に伴って無線アクセスポイント(a)1の無線通信エリアから離脱すると、無線アクセスポイント(a)1に帰属解除要求を送信する(S42)。
Next, when the
これを受けて、無線アクセスポイント(a)1は、帰属解除要求元の無線LAN端末2の通話状態が「通話中」であることを確認して、この無線LAN端末2のMACアドレスを含むハンドオーバ通知を生成する。そして、このハンドオーバ通知を送信する(S43)。また、無線アクセスポイント(a)1は、帰属管理テーブル1061から、この無線LAN端末2のレコード10610を削除する(S44)。そして、この無線LAN端末2の無線アクセスポイント(a)1への帰属を解除する。
In response to this, the wireless access point (a) 1 confirms that the call state of the
一方、無線アクセスポイント(b)1は、無線アクセスポイント(a)1からハンドオーバ通知を受信するとハンドオーバ通知に含まれているMACアドレスのレコード10510を認証済管理テーブル1051から特定し、このレコード10510のハンドオーバ通知受信状態を「受信済」に変更する(S45)。
On the other hand, when the wireless access point (b) 1 receives the handover notification from the wireless access point (a) 1, the wireless access point (b) 1 specifies the
次に、図9において、無線LAN端末2は、ユーザの移動に伴って無線アクセスポイント(b)1の無線通信エリアに侵入すると、無線アクセスポイント(b)1に帰属要求を送信する(S46)。
Next, in FIG. 9, when the
これを受けて、無線アクセスポイント(b)1は、認証済管理テーブル1051により、この無線LAN端末2が事前認証(IEEE 802.1x認証)済みであることを確認し、この無線LAN端末2に対して、事前認証により取得したPMKを用いてPMKキャッシュ認証を実施する(S47)。そして、認証成立後、この無線LAN端末2のレコード10610を帰属管理テーブル1061に追加する(S48)。これにより、この無線LAN端末2を無線アクセスポイント(b)1に帰属させる。この結果、この無線LAN端末2と通話相手との通話(RTPパケットの送受)は、無線アクセスポイント(b)1を介して行われる。
In response to this, the wireless access point (b) 1 confirms that the
さて、無線アクセスポイント(b)1は、自無線アクセスポイント(b)1を介して、無線LAN端末2と通話相手との間でRTPパケットの送受が行われている期間中、この無線LAN端末2の通話状態を「通話中」と判定する(S49)。
The wireless access point (b) 1 is connected to the wireless LAN terminal during a period in which RTP packets are transmitted and received between the
ここで、無線LAN端末2は、ユーザから切断操作を受け付けると(S50)、通話相手と呼制御処理を行って通話相手との通話路を切断し、通話(RTPパケットの送受)を終了する(S51)。
Here, when receiving a disconnection operation from the user (S50), the
さて、無線アクセスポイント(b)1は、自無線アクセスポイント(b)1を介して、無線LAN端末2と通話相手との間で行われていたRTPパケットの送受が終了すると、この無線LAN端末2の通話状態を「待機中」と判定する(S52)。そして、所定時間T以上、通話状態「待機中」が継続すると、無線アクセスポイント(b)1は、帰属管理テーブル1061から、この無線LAN端末2のレコード10610を削除する(S53)。そして、この無線LAN端末2の無線アクセスポイント(b)1への帰属を強制的に解除する。
When the wireless access point (b) 1 completes transmission / reception of the RTP packet between the
それから、無線アクセスポイント(b)1は、認証済管理テーブル1051から、この無線LAN端末2のレコード10510を削除するとともに(S54)、無線アクセスポイント(a)1に、この無線LAN端末1のMACアドレスを含む認証無効通知を送信する(S55)。
Then, the wireless access point (b) 1 deletes the
そして、無線アクセスポイント(a)1は、無線アクセスポイント(b)1から認証無効通知を受信すると、認証済管理テーブル1051から、この認証無効通知に含まれているMACアドレスを持つ無線LAN端末2のレコード10510を削除する(S54)。
When the wireless access point (a) 1 receives the authentication invalidity notification from the wireless access point (b) 1, the
以上、本発明の一実施の形態を説明した。 The embodiment of the present invention has been described above.
本実施の形態において、通話中の無線LAN端末2が帰属中の無線アクセスポイント1から他の無線アクセスポイント1にハンドオーバした場合にのみ、ハンドオーバ先の無線アクセスポイント1において事前認証(IEEE 802.1x認証)の結果を利用したPMKキャッシュ認証が実施される。無線LAN端末2が帰属中の無線アクセスポイント1からハンドオーバした場合でも、この無線LAN端末2が通話中でない(待機中)ならば、この無線LAN端末2とハンドオーバ先の無線アクセスポイント1との間で事前認証済みか否かにかかわらず、IEEE 802.1x認証が実施される。
In the present embodiment, pre-authentication (IEEE 802.1x) is performed at the handover destination
このため、不正な端末が無線LAN端末2およびハンドオーバ先の無線アクセスポイント1間の事前認証の際に傍受したPMKを使って、この無線LAN端末2に成り済ましてハンドオーバ先の無線アクセスポイント1に帰属することはできない。したがって、本実施の形態によれば、ハンドオーバ時における通話の音切れ防止といった事前認証の利点を保持しつつ、事前認証のセキュリティを向上させることができる。
For this reason, an unauthorized terminal impersonates the
また、本実施の形態において、無線アクセスポイント1は、帰属中の無線LAN端末2を送信先あるいは送信元とするRTPパケットを監視することで、この無線LAN端末2の通話状態を判断する。このため、無線アクセスポイント1は、無線LAN端末2の通話状態判定のために、この無線LAN端末2が送受する呼制御メッセージを監視して特定する必要がない。したがって、本実施の形態によれば、比較的簡易な構成で通話状態を判定することができる。
In the present embodiment, the
また、本実施の形態において、無線アクセスポイント1は、自無線アクセスポイント1に帰属中の無線LAN端末2であって、所定時間以上「待機中」と判断されている無線LAN端末2がある場合、この無線LAN端末2の自無線アクセスポイント1への帰属を強制解除するとともに、この無線LAN端末2のMACアドレスを含む認証無効通知をLAN4に送信する。また、無線アクセスポイント1は、自無線アクセスポイント1への帰属が強制解除された無線LAN端末2、および他の無線アクセスポイント1から受信した認証無効通知に含まれているMACアドレスにより特定される無線LAN端末2を、IEEE 802.1x認証による認証がなされていないものとして管理対象から外す。したがって、本実施の形態によれば、事前認証の結果がいつまでも無線アクセスポイント1に残ってしまい、無線アクセスポイント1の記憶エリアを圧迫するのを防止できる。
In the present embodiment, the
なお、本発明は上記の実施の形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。 In addition, this invention is not limited to said embodiment, Many deformation | transformation are possible within the range of the summary.
例えば、上記の実施の形態において、図2に示す無線アクセスポイント1の構成は、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)などの集積ロジックICによりハード的に実行されるものでもよいし、あるいはDSP(Digital Signal Processor)などの計算機によりソフトウエア的に実行されるものでもよい。または、CPU、メモリ、HDD、DVD−ROM等の補助記憶装置、およびモデム等の通信インターフェースを備えたPC(Personal Computer)等の汎用コンピュータにおいて、CPUが所定のプログラムを補助記憶装置からメモリ上にロードして実行することで実現されるものでもよい。
For example, in the above embodiment, the configuration of the
また、上記の実施の形態は、通常認証および事前認証として、IEEE 802.1x認証を用い、事前認証の結果を利用した認証としてPMKキャッシュ認証を用いている。しかし、本発明はこれに限定されない。無線LAN端末2が帰属中の無線アクセスポイント1から他の無線アクセスポイント1にハンドオーバした場合でも、この無線LAN端末2が通話中でない(待機中)ならば、この無線LAN端末2とハンドオーバ先の無線アクセスポイント1との間で第一の認証済みか否かにかかわらず、第一の認証が実施され、通話中の無線LAN端末2が帰属中の無線アクセスポイント1から他の無線アクセスポイント1にハンドオーバした場合にのみ、ハンドオーバ先の無線アクセスポイント1において実施済みである第一の認証の結果を利用した第二の認証が実施されるものであればよい。
In the above embodiment, IEEE 802.1x authentication is used as normal authentication and pre-authentication, and PMK cache authentication is used as authentication using the result of pre-authentication. However, the present invention is not limited to this. Even when a handover is performed from the
また、上記の実施の形態では、無線LAN端末2をLAN4に接続する無線アクセスポイント1に本発明を適用した場合を例にとり説明した。しかし、本発明はこれに限定されない。本発明は、携帯電話機やPHSを公衆網等に接続する無線基地局にも同様に適用できる。
In the above embodiment, the case where the present invention is applied to the
1:無線アクセスポイント、2:無線LAN端末、3:RADIUSサーバ、4:LAN、5:ルータ、6:WAN、101:有線通信部、102:無線通信部、103:認証処理部、104:事前認証処理部、105:認証済管理部、106:帰属管理部、107:中継部、108:通話状態判定部、109:ハンドオーバ通知送受信部、110:認証無効通知送受信部、1031:802.1x認証処理部、1032:PMKキャッシュ認証処理部、1051:認証済管理テーブル、1061:帰属管理テーブル、1081:通話状態判定テーブル 1: wireless access point, 2: wireless LAN terminal, 3: RADIUS server, 4: LAN, 5: router, 6: WAN, 101: wired communication unit, 102: wireless communication unit, 103: authentication processing unit, 104: advance Authentication processing unit 105: Authenticated management unit 106: Attribution management unit 107: Relay unit 108: Call state determination unit 109: Handover notification transmission / reception unit 110: Authentication invalid notification transmission / reception unit 1031: 802.1x authentication Processing unit, 1032: PMK cache authentication processing unit, 1051: authenticated management table, 1061: attribution management table, 1081: call state determination table
Claims (5)
前記無線端末に対して、認証サーバを用いた第一の認証処理を行う第一認証処理手段と、
前記無線端末に対して、前記第一の認証処理によって得られた認証情報を用いた第二の認証処理を行う第二認証処理手段と、
前記ネットワークを介して前記無線端末から事前認証要求を受信した場合に、前記第一認証処理手段に、当該無線端末に対して前記第一の認証処理を実施させる事前認証処理手段と、
前記第一の認証処理によって認証済みの前記無線端末を管理する認証済管理手段と、
前記無線端末の自無線中継装置への帰属を管理する帰属管理手段と、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末から受信した事前認証要求を、前記ネットワークを介して他の無線中継装置に中継する事前認証要求中継手段と、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末の通話状態を判断する通話状態判断手段と、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末の帰属が解除される場合に、当該無線端末の通話状態が前記通話状態判断手段により「通話中」と判断されているならば、当該無線端末の識別情報を含むハンドオーバ通知を、前記ネットワークを介して他の無線中継装置に送信するハンドオーバ通知手段と、を有し、
前記帰属管理手段は、
前記無線端末から帰属要求を受信した場合に、当該無線端末が前記認証済管理手段に管理されており、且つ当該無線端末の識別情報を含む前記ハンドオーバ通知を受信済みであるならば、前記第二認証処理手段に、当該無線端末に対して前記第二の認証処理を実施させて、当該無線端末を自無線中継装置へ帰属させ、当該無線端末が前記認証済管理手段に管理されていないか、あるいは当該無線端末の識別情報を含む前記ハンドオーバ通知を未受信であるならば、前記第一認証処理手段に、当該無線端末に対して前記第一の認証処理を実施させて、当該無線端末を自無線中継装置へ帰属させ、
前記無線端末から帰属解除要求を受信した場合に、当該無線端末の自無線中継装置への帰属を解除する
ことを特徴とする無線中継装置。 A wireless relay device for connecting a wireless terminal having a pre-authentication function to a network,
A first authentication processing means for performing a first authentication process using an authentication server for the wireless terminal;
A second authentication processing means for performing a second authentication process using the authentication information obtained by the first authentication process on the wireless terminal;
When a pre-authentication request is received from the wireless terminal via the network, the first authentication processing unit causes the wireless terminal to perform the first authentication process,
Authenticated management means for managing the wireless terminal authenticated by the first authentication process;
Attribution management means for managing attribution of the wireless terminal to the own wireless relay device;
Pre-authentication request relay means for relaying the pre-authentication request received from the wireless terminal belonging to the own wireless relay apparatus by the belonging management means to another wireless relay apparatus via the network;
A call state determining means for determining a call state of the wireless terminal belonging to the own wireless relay device by the belonging management means ;
When said by attribution management means belonging of the wireless terminal in the belonging to the radio relay apparatus is released, if the call state of the wireless terminal is determined to be "busy" by the call state determination unit, a handover notification including the identification information of the wireless terminal has a handover notification means for sending to another wireless relay apparatus via the network,
The attribution management means is
When receiving the attribution request from the wireless terminal, if the wireless terminal is managed by the authenticated management means and the handover notification including the identification information of the wireless terminal has been received, the second the authentication processing means, the by carrying out the second authentication processing for the wireless terminal, the wireless terminal is assigned to the wireless relay apparatus, whether the wireless terminal is not managed in the authenticated management means, Alternatively, if the handover notification including the identification information of the wireless terminal has not been received, the first authentication processing unit is caused to perform the first authentication processing on the wireless terminal so that the wireless terminal is automatically Be attributed to the wireless relay device,
A wireless relay device, wherein upon receiving an attribution cancellation request from the wireless terminal, the attribution of the wireless terminal to the own wireless relay device is canceled.
前記通話状態判断手段は、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末を送信先あるいは送信元とするRTPパケットを監視することで、当該無線端末の通話状態を判断する
ことを特徴とする無線中継装置。 The wireless relay device according to claim 1,
The call state determination means includes:
The radio relay apparatus characterized in that the state of communication of the radio terminal is determined by monitoring RTP packets having the radio terminal belonging to the radio relay apparatus belonging to the own radio relay apparatus as a transmission destination or a transmission source by the attribution management means .
前記帰属管理手段は、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末であって、前記通話状態判断手段により所定時間以上「待機中」と判断されている前記無線端末がある場合、当該無線端末の自無線中継装置への帰属を強制解除するとともに、当該無線端末の識別情報を含む認証無効通知を、前記ネットワークを介して他の無線中継装置に送信し、
前記認証済管理手段は、
前記帰属管理手段により自無線中継装置への帰属が強制解除された前記無線端末、あるいは前記ネットワークを介して他の無線中継装置から受信した前記認証無効通知に含まれている識別情報により特定される前記無線端末を、前記第一の認証処理による認証がなされていないものとして管理対象から外す
ことを特徴とする無線中継装置。 The wireless relay device according to claim 1 or 2,
The attribution management means is
If there is the wireless terminal belonging to the own wireless relay device by the belonging management means and the wireless terminal has been determined to be “standby” for a predetermined time or more by the call state determining means, Forcibly canceling attribution to the wireless relay device, and sending an authentication invalidity notification including identification information of the wireless terminal to another wireless relay device via the network,
The authenticated management means includes
Identified by the identification information included in the authentication invalidation notification received from the wireless terminal whose membership to the wireless relay device is forcibly released by the membership management means or from another wireless relay device via the network The wireless relay device according to claim 1, wherein the wireless terminal is excluded from a management target on the assumption that authentication by the first authentication processing is not performed.
前記第一の認証処理は、RADIUSサーバを用いて行われるIEEE 802.1x認証に従った認証処理であり、
前記第二の認証処理は、IEEE 802.1x認証によって得られたPMKキャッシュを前記認証情報として利用した認証処理である
ことを特徴とする無線中継装置。 The wireless relay device according to any one of claims 1 to 3,
The first authentication process is an authentication process in accordance with IEEE 802.1x authentication performed using a RADIUS server ,
The wireless authentication device according to claim 2, wherein the second authentication process is an authentication process using a PMK cache obtained by IEEE 802.1x authentication as the authentication information .
前記ネットワークを介して前記無線端末から事前認証要求を受信した場合に、当該無線端末に対して、認証サーバを用いた第一の認証処理を実施し、
前記無線端末から帰属要求を受信した場合に、当該無線端末が前記事前認証要求に基づく第一の認証処理によって認証済みであり、且つ当該無線端末の識別情報を含むハンドオーバ通知を受信済みであるならば、当該無線端末に対して、前記事前認証要求に基づく第一の認証処理によって得られた認証情報を用いた第二の認証処理を実施して、当該無線端末を自無線中継装置へ帰属させ、一方、当該無線端末が前記事前認証要求に基づく第一の認証処理によって認証されていないか、あるいは当該無線端末の識別情報を含む前記ハンドオーバ通知を未受信であるならば、当該無線端末に対して前記第一の認証処理を実施して、当該無線端末を自無線中継装置へ帰属させ、
自無線中継装置に帰属中の前記無線端末から前記事前認証要求を受信した場合に、前記ネットワークを介して他の無線中継装置に中継し、
前記無線端末から帰属解除要求を受信した場合に、当該無線端末の自無線中継装置への帰属を解除するとともに、当該無線端末が通話中であるならば、当該無線端末の識別情報を含む前記ハンドオーバ通知を、前記ネットワークを介して他の無線中継装置に送信する
ことを特徴とする帰属管理方法。 A wireless relay device is an attribution management method for connecting a wireless terminal having a pre-authentication function to a network,
When a pre-authentication request is received from the wireless terminal via the network, a first authentication process using an authentication server is performed on the wireless terminal,
If the wireless terminal has been authenticated by the first authentication process based on the pre-authentication request and has received a handover notification including identification information of the wireless terminal when receiving the attribution request from the wireless terminal For example, the second authentication process using the authentication information obtained by the first authentication process based on the pre-authentication request is performed on the wireless terminal, and the wireless terminal is attributed to the own wireless relay apparatus. On the other hand, if the wireless terminal is not authenticated by the first authentication process based on the pre-authentication request or if the handover notification including the identification information of the wireless terminal has not been received, the wireless terminal The first authentication process is performed for the wireless terminal to belong to the own wireless relay device,
When the pre-authentication request is received from the wireless terminal belonging to the own wireless relay device, relay to another wireless relay device via the network,
In the case of receiving an attribution cancellation request from the wireless terminal, the handover of the wireless terminal to the own wireless relay device is canceled, and if the wireless terminal is in a call, the handover including identification information of the wireless terminal assignment management method characterized by sending a notification, to another wireless relay apparatus via the network.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008244151A JP5217837B2 (en) | 2008-09-24 | 2008-09-24 | Radio relay apparatus and attribution management method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008244151A JP5217837B2 (en) | 2008-09-24 | 2008-09-24 | Radio relay apparatus and attribution management method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010081031A JP2010081031A (en) | 2010-04-08 |
| JP5217837B2 true JP5217837B2 (en) | 2013-06-19 |
Family
ID=42211020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008244151A Expired - Fee Related JP5217837B2 (en) | 2008-09-24 | 2008-09-24 | Radio relay apparatus and attribution management method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5217837B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015070571A (en) * | 2013-09-30 | 2015-04-13 | サイレックス・テクノロジー株式会社 | Radio base station device, control method for radio base station device, and program |
| JP6775928B2 (en) | 2015-08-27 | 2020-10-28 | 横河電機株式会社 | Wireless relay equipment, control devices, wireless communication systems, and entry methods |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4367284B2 (en) * | 2004-08-06 | 2009-11-18 | 三菱電機株式会社 | HANDOVER METHOD, MOBILE COMMUNICATION SYSTEM, AND ACCESS POINT |
| JP2007194848A (en) * | 2006-01-18 | 2007-08-02 | Mitsubishi Electric Corp | Mobile wireless terminal authentication method for wireless LAN system |
| JP4584234B2 (en) * | 2006-11-30 | 2010-11-17 | Necインフロンティア株式会社 | Wireless LAN handover system and method |
-
2008
- 2008-09-24 JP JP2008244151A patent/JP5217837B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010081031A (en) | 2010-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10728757B2 (en) | Security implementation method, related apparatus, and system | |
| US10477441B2 (en) | Method and apparatus to enable multiple wireless connections | |
| EP3585107A1 (en) | Multi-access management implementation method and device, and computer storage medium | |
| KR102284317B1 (en) | Communication method, core network device and access network device | |
| JP6123009B1 (en) | User apparatus, base station, and connection establishment method | |
| KR101886748B1 (en) | Mme reselection method and mme | |
| CN114223232B (en) | Communication method and related equipment | |
| CN103582044A (en) | Switching control method and device | |
| WO2020220888A1 (en) | Handover processing method and apparatus | |
| US20240179661A1 (en) | Deregistration Method and Communication Apparatus | |
| JP5436345B2 (en) | Wireless LAN setting method and system using portable terminal | |
| JP4659864B2 (en) | Communication system, authentication server, and communication method | |
| JP6153168B2 (en) | Connection authentication method, system and terminal | |
| JP5217837B2 (en) | Radio relay apparatus and attribution management method | |
| WO2024067619A1 (en) | Communication method and communication apparatus | |
| WO2022247812A1 (en) | Authentication method, communication device, and system | |
| CN112788684B (en) | A method and system for improving terminal networking quality | |
| JP2006041594A (en) | Mobile communication system and authentication method of mobile terminal | |
| CN118764925A (en) | Session network control method, device, equipment, storage medium and computer program product | |
| CN101577634B (en) | Network-quitting method, network side management device and network system of multi-host system | |
| CN110062427B (en) | Trusted service management method and device supporting wireless network switching and electronic equipment | |
| CN102984700A (en) | Security information storage apparatus, and authentication method and system | |
| CN121151980A (en) | A communication method and device, storage medium, and computer program product | |
| WO2025031182A1 (en) | Communication method and communication apparatus | |
| CN119946893A (en) | Communication method, device, equipment and system in wireless local area network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110705 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121115 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121120 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121219 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130205 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130218 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160315 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5217837 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160315 Year of fee payment: 3 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |