Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5217837B2 - Radio relay apparatus and attribution management method - Google Patents
[go: Go Back, main page]

JP5217837B2 - Radio relay apparatus and attribution management method - Google Patents

Radio relay apparatus and attribution management method Download PDF

Info

Publication number
JP5217837B2
JP5217837B2 JP2008244151A JP2008244151A JP5217837B2 JP 5217837 B2 JP5217837 B2 JP 5217837B2 JP 2008244151 A JP2008244151 A JP 2008244151A JP 2008244151 A JP2008244151 A JP 2008244151A JP 5217837 B2 JP5217837 B2 JP 5217837B2
Authority
JP
Japan
Prior art keywords
authentication
wireless
wireless terminal
attribution
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008244151A
Other languages
Japanese (ja)
Other versions
JP2010081031A (en
Inventor
直克 横坂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nakayo Telecommunications Inc
Original Assignee
Nakayo Telecommunications Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nakayo Telecommunications Inc filed Critical Nakayo Telecommunications Inc
Priority to JP2008244151A priority Critical patent/JP5217837B2/en
Publication of JP2010081031A publication Critical patent/JP2010081031A/en
Application granted granted Critical
Publication of JP5217837B2 publication Critical patent/JP5217837B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

本発明は、無線中継装置に関し、特にIEEE 802.1x認証に対応した無線アクセスポイントの帰属管理技術に関する。   The present invention relates to a wireless relay device, and more particularly to a wireless access point attribution management technique compatible with IEEE 802.1x authentication.

無線LAN端末が無線アクセスポイントを介してネットワークに接続するためには、無線LAN端末が、無線アクセスポイントに対して正規の端末であることを証明し、この無線アクセスポイントに帰属する必要がある。この証明には、一般に、RADIUSサーバを使用して、証明書での認証を行うIEEE 802.1x認証が用いられる。   In order for a wireless LAN terminal to connect to a network via a wireless access point, it is necessary to prove that the wireless LAN terminal is a legitimate terminal with respect to the wireless access point and to belong to this wireless access point. For this certification, IEEE 802.1x authentication is generally used in which authentication is performed with a certificate using a RADIUS server.

しかし、IEEE 802.1x認証の認証処理には1秒程度の時間がかかるとされており、無線LAN端末が通話中などリアルタイム通信中である場合には、音声が途切れるといった問題が生じる。   However, the authentication process of IEEE 802.1x authentication is supposed to take about 1 second, and there is a problem that the sound is interrupted when the wireless LAN terminal is in real-time communication such as during a call.

この問題の解決策として、事前認証という技術がある(非特許文献1)。事前認証において、無線LAN端末は、帰属先の無線アクセスポイントに帰属すると、周辺の無線アクセスポイントを検出する。そして、帰属先の無線アクセスポイントを介して、周辺の無線アクセスポイント各々とIEEE 802.1x認証を行い、この認証により生成されたPMK(Pairwise Master Key)を周辺の無線アクセスポイント各々と共有する(PMKキャッシュ)。それから、無線LAN端末は、帰属中の無線アクセスポイントから他の無線アクセスポイントにハンドオーバする際に、ハンドオーバ先の無線アクセスポイントと共有しているPMKを確認することで、IEEE 802.1x認証を省略し、ハンドオーバ先の無線アクセスポイントに帰属する。
「IEEE Std 802.11i(TM)−2004」、IEEE、2004年7月23日、p.69−71
As a solution to this problem, there is a technique called pre-authentication (Non-Patent Document 1). In the pre-authentication, when the wireless LAN terminal belongs to the wireless access point to which the wireless LAN terminal belongs, the wireless LAN terminal detects surrounding wireless access points. Then, IEEE 802.1x authentication is performed with each neighboring wireless access point via the belonging wireless access point, and a PMK (Pairwise Master Key) generated by this authentication is shared with each neighboring wireless access point ( PMK cash). Then, when the wireless LAN terminal performs handover from the belonging wireless access point to another wireless access point, the wireless LAN terminal confirms the PMK shared with the handover destination wireless access point, thereby omitting the IEEE 802.1x authentication. And belong to the wireless access point of the handover destination.
“IEEE Std 802.11i (TM) -2004”, IEEE, July 23, 2004, p. 69-71

しかしながら、事前認証を利用する場合、無線LAN端末が帰属中の無線アクセスポイントからハンドオーバする都度、無線LAN端末およびハンドオーバ先の無線アクセスポイント間で共有しているPMKを確認するために無線通信エリア上をPMKが飛び交う。このため、PMKが傍受される可能性がある。この場合、不正な端末が、傍受したPMKを使って、事前認証済みの無線LAN端末に成り済まし、無線LANアクセスポイントに帰属できてしまう。   However, when using pre-authentication, every time handover is performed from the wireless access point to which the wireless LAN terminal belongs, in order to confirm the PMK shared between the wireless LAN terminal and the wireless access point of the handover destination, PMK flies over. For this reason, PMK may be intercepted. In this case, an unauthorized terminal impersonates a pre-authenticated wireless LAN terminal using the intercepted PMK and can belong to the wireless LAN access point.

本発明は上記事情に鑑みてなされたものであり、本発明の目的は、事前認証のセキュリティをさらに向上させることができる技術を提供することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a technique capable of further improving the security of pre-authentication.

上記課題を解決するために、本発明では、通話中の無線端末が帰属中の無線中継装置からハンドオーバした場合にのみ、事前認証の結果を利用した認証処理を行う。無線端末が帰属中の無線中継装置からハンドオーバした場合でも、この無線端末が通話中でないならば(待機中ならば)、この無線端末とハンドオーバ先の無線中継装置との間で事前認証済みか否かにかかわらず、通常の認証処理を行う。   In order to solve the above problems, in the present invention, authentication processing using the result of pre-authentication is performed only when a wireless terminal in a call is handed over from the wireless relay apparatus to which it belongs. Even if the wireless terminal is handed over from the wireless relay device to which it belongs, if this wireless terminal is not in a call (if it is on standby), whether or not pre-authentication has been performed between this wireless terminal and the wireless relay device that is the handover destination Regardless, normal authentication processing is performed.

例えば、本発明は、事前認証機能を備えた無線端末をネットワークに接続する無線中継装置であって、
前記無線端末に対して、認証サーバを用いた第一の認証処理を行う第一認証処理手段と、
前記無線端末に対して、前記第一の認証処理によって得られた認証情報を用いた第二の認証処理を行う第二認証処理手段と、
前記ネットワークを介して前記無線端末から事前認証要求を受信した場合に、前記第一認証処理手段に、当該無線端末に対して前記第一の認証処理を実施させる事前認証処理手段と、
前記第一の認証処理によって認証済みの前記無線端末を管理する認証済管理手段と、
前記無線端末の自無線中継装置への帰属を管理する帰属管理手段と、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末から受信した事前認証要求を、前記ネットワークを介して他の無線中継装置に中継する事前認証要求中継手段と、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末の通話状態を判断する通話状態判断手段と、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末の帰属が解除される場合に、当該無線端末の通話状態前記通話状態判断手段により「通話中」と判断されているならば、当該無線端末の識別情報を含むハンドオーバ通知を前記ネットワークを介して他の無線中継装置に送信するハンドオーバ通知手段と、を有し、
前記帰属管理手段は、
前記無線端末から帰属要求を受信した場合に、当該無線端末が前記認証済管理手段に管理されており、且つ当該無線端末の識別情報を含む前記ハンドオーバ通知を受信済みであるならば、前記第二認証処理手段に、当該無線端末に対して前記第二の認証処理を実施させて、当該無線端末を自無線中継装置へ帰属させ、当該無線端末が前記認証済管理手段に管理されていないか、あるいは当該無線端末の識別情報を含む前記ハンドオーバ通知を未受信であるならば、前記第一認証処理手段に、当該無線端末に対して前記第一の認証処理を実施させて、当該無線端末を自無線中継装置へ帰属させ、
前記無線端末から帰属解除要求を受信した場合に、当該無線端末の自無線中継装置への帰属を解除する。
For example, the present invention is a wireless relay device for connecting a wireless terminal having a pre-authentication function to a network,
A first authentication processing means for performing a first authentication process using an authentication server for the wireless terminal;
A second authentication processing means for performing a second authentication process using the authentication information obtained by the first authentication process on the wireless terminal;
When a pre-authentication request is received from the wireless terminal via the network, the first authentication processing unit causes the wireless terminal to perform the first authentication process,
Authenticated management means for managing the wireless terminal authenticated by the first authentication process;
Attribution management means for managing attribution of the wireless terminal to the own wireless relay device;
Pre-authentication request relay means for relaying the pre-authentication request received from the wireless terminal belonging to the own wireless relay apparatus by the belonging management means to another wireless relay apparatus via the network;
A call state determining means for determining a call state of the wireless terminal belonging to the own wireless relay device by the belonging management means ;
When said by attribution management means belonging of the wireless terminal in the belonging to the radio relay apparatus is released, if the call state of the wireless terminal is determined to be "busy" by the call state determination unit, a handover notification including the identification information of the wireless terminal has a handover notification means for sending to another wireless relay apparatus via the network,
The attribution management means is
When receiving the attribution request from the wireless terminal, if the wireless terminal is managed by the authenticated management means and the handover notification including the identification information of the wireless terminal has been received, the second the authentication processing means, the by carrying out the second authentication processing for the wireless terminal, the wireless terminal is assigned to the wireless relay apparatus, whether the wireless terminal is not managed in the authenticated management means, Alternatively, if the handover notification including the identification information of the wireless terminal has not been received, the first authentication processing unit is caused to perform the first authentication processing on the wireless terminal so that the wireless terminal is automatically Be attributed to the wireless relay device,
When an attribution cancellation request is received from the wireless terminal, the attribution of the wireless terminal to the own wireless relay device is canceled.

ここで、例えば、前記第一の認証処理は、RADIUSサーバを用いて行われるIEEE 802.1x認証に従った認証処理であり、前記第二の認証処理は、IEEE 802.1x認証により得られるPMKキャッシュを前記認証情報として利用した認証処理である。 Here, for example, the first authentication process is an authentication process according to IEEE 802.1x authentication performed by using a RADIUS server , and the second authentication process is a PMK obtained by IEEE 802.1x authentication. This is an authentication process using a cache as the authentication information .

本発明によれば、無線端末が帰属中の無線中継装置からハンドオーバした場合でも、この無線端末が通話中でないならば(待機中ならば)、この無線端末とハンドオーバ先の無線中継装置との間で事前認証済みか否かにかかわらず、通常の認証処理が行われる。このため、不正な端末が無線端末およびハンドオーバ先の無線中継装置間の事前認証の際に傍受した情報を使って、この無線端末に成り済ましてハンドオーバ先の無線中継装置に帰属することはできない。したがって、ハンドオーバ時における通話の音切れ防止といった事前認証の利点を保持しつつ、事前認証のセキュリティを向上させることができる。   According to the present invention, even when a handover is performed from a radio relay apparatus to which a radio terminal belongs, if the radio terminal is not in a call (if it is in a standby state), the radio terminal and the radio relay apparatus that is the handover destination Regardless of whether or not pre-authentication has been completed, normal authentication processing is performed. For this reason, an unauthorized terminal cannot impersonate this wireless terminal using the information intercepted during the pre-authentication between the wireless terminal and the handover destination wireless relay apparatus, and cannot belong to the handover destination wireless relay apparatus. Therefore, it is possible to improve the security of the pre-authentication while maintaining the advantage of the pre-authentication such as prevention of sound interruption of the call during the handover.

以下、本発明の実施の形態について説明する。   Embodiments of the present invention will be described below.

図1は、本発明の一実施の形態に係る無線アクセスポイント1を含む無線通信システムの概略図である。   FIG. 1 is a schematic diagram of a wireless communication system including a wireless access point 1 according to an embodiment of the present invention.

図示するように、無線通信システムは、本実施の形態に係る複数の無線アクセスポイント(AP)1と、事前認証機能を備えた無線LAN端末2と、無線アクセスポイント1による無線LAN端末2の認証に利用されるRADIUSサーバ3と、無線アクセスポイント1およびRADIUSサーバ3を相互接続するLAN4と、LAN4をWAN6に接続するためのルータ5と、を有する。   As illustrated, the wireless communication system includes a plurality of wireless access points (AP) 1 according to the present embodiment, a wireless LAN terminal 2 having a pre-authentication function, and authentication of the wireless LAN terminal 2 by the wireless access point 1. A RADIUS server 3 that is used in the network, a LAN 4 that interconnects the wireless access point 1 and the RADIUS server 3, and a router 5 that connects the LAN 4 to the WAN 6.

無線アクセスポイント1は、無線LAN端末2から事前認証要求を受信した場合に、この無線LAN端末2に対して、RADIUSサーバ3を利用したIEEE 802.1x認証を行う。   When the wireless access point 1 receives a pre-authentication request from the wireless LAN terminal 2, the wireless access point 1 performs IEEE 802.1x authentication using the RADIUS server 3 for the wireless LAN terminal 2.

また、無線アクセスポイント1は、無線LAN端末2から帰属要求を受信した場合に、この無線LAN端末2がIEEE 802.1x認証によって認証済みであり、且つこの無線LAN端末2のMACアドレスを含むハンドオーバ通知を受信済みであるならば、この無線LAN端末2に対して、PMKキャッシュを利用した認証処理を行う。そして、認証成立後に、この無線LAN端末2を自無線アクセスポイント1に帰属させ、この無線LAN端末2をLAN4に接続する。一方、この無線LAN端末2のMACアドレスを含むハンドオーバ通知を未受信であるならば、この無線LAN端末2がIEEE 802.1x認証済みであるか否かにかかわらず、この無線LAN端末2に対して、RADIUSサーバ3を利用したIEEE 802.1x認証を行う。そして、認証成立後に、この無線LAN端末2を自無線アクセスポイント1に帰属させ、この無線LAN端末2をLAN4に接続する。   Further, when the wireless access point 1 receives the attribution request from the wireless LAN terminal 2, the wireless LAN terminal 2 is authenticated by the IEEE 802.1x authentication and includes the MAC address of the wireless LAN terminal 2. If the notification has been received, the wireless LAN terminal 2 is subjected to an authentication process using the PMK cache. After the authentication is established, the wireless LAN terminal 2 is attributed to the own wireless access point 1 and the wireless LAN terminal 2 is connected to the LAN 4. On the other hand, if the handover notification including the MAC address of the wireless LAN terminal 2 has not been received, regardless of whether or not the wireless LAN terminal 2 has been authenticated by IEEE 802.1x, Then, IEEE 802.1x authentication using the RADIUS server 3 is performed. After the authentication is established, the wireless LAN terminal 2 is attributed to the own wireless access point 1 and the wireless LAN terminal 2 is connected to the LAN 4.

また、無線アクセスポイント1は、無線LAN端末2から帰属解除要求を受信した場合に、この無線LAN端末2の自無線アクセスポイント1への帰属を解除して、この無線LAN端末2をLAN4から切断する。また、この際、この無線LAN端末2が通話中であるならば、この無線LAN端末2のMACアドレスを含むハンドオーバ通知をLAN4に送信する。   Further, when the wireless access point 1 receives the attribution cancellation request from the wireless LAN terminal 2, the wireless access point 1 cancels the attribution of the wireless LAN terminal 2 to the own wireless access point 1 and disconnects the wireless LAN terminal 2 from the LAN 4. To do. At this time, if the wireless LAN terminal 2 is busy, a handover notification including the MAC address of the wireless LAN terminal 2 is transmitted to the LAN 4.

図2は、無線アクセスポイント1の概略構成図である。   FIG. 2 is a schematic configuration diagram of the wireless access point 1.

図示するように、無線アクセスポイント1は、有線通信部101と、無線通信部102と、認証処理部103と、事前認証処理部104と、認証済管理部105と、帰属管理部106と、中継部107と、通話状態判定部108と、ハンドオーバ通知送受信部109と、認証無効通知送受信部110と、を有する。   As illustrated, the wireless access point 1 includes a wired communication unit 101, a wireless communication unit 102, an authentication processing unit 103, a pre-authentication processing unit 104, an authenticated management unit 105, an attribution management unit 106, and a relay. Unit 107, call state determination unit 108, handover notification transmission / reception unit 109, and authentication invalid notification transmission / reception unit 110.

有線通信部101は、LAN4を介して他の通信機器(他の無線アクセスポイント1、RADIUSサーバ3、ルータ5等)と通信するためインターフェースである。   The wired communication unit 101 is an interface for communicating with other communication devices (another wireless access point 1, a RADIUS server 3, a router 5, etc.) via the LAN 4.

無線通信部102は、無線LANを介して無線LAN端末2と通信するためインターフェースである。   The wireless communication unit 102 is an interface for communicating with the wireless LAN terminal 2 via the wireless LAN.

認証処理部103は、無線LAN端末2に対する認証処理を行う。図示するように、認証処理部103は、802.1x認証処理部1031と、PMKキャッシュ認証処理部1032と、を有する。   The authentication processing unit 103 performs authentication processing for the wireless LAN terminal 2. As illustrated, the authentication processing unit 103 includes an 802.1x authentication processing unit 1031 and a PMK cache authentication processing unit 1032.

802.1x認証処理部1031は、RADIUSサーバ3を利用して、無線LAN端末2に対してIEEE 802.1x認証を行う。PMKキャッシュ認証処理部1032は、前もって実施しておいたIEEE 802.1x認証(事前認証)により無線LAN端末2と共有したPMKを確認することにより、無線LAN端末2を認証する。   The 802.1x authentication processing unit 1031 performs the IEEE 802.1x authentication for the wireless LAN terminal 2 using the RADIUS server 3. The PMK cache authentication processing unit 1032 authenticates the wireless LAN terminal 2 by confirming the PMK shared with the wireless LAN terminal 2 by the IEEE 802.1x authentication (pre-authentication) performed in advance.

事前認証処理部104は、他の無線アクセスポイント1を介して無線LAN端末2より受信した事前認証要求に従い、この無線LAN端末2に対するIEEE 802.1x認証を802.1x認証処理部1031に実施させる(事前認証)。   The pre-authentication processing unit 104 causes the 802.1x authentication processing unit 1031 to perform IEEE 802.1x authentication for the wireless LAN terminal 2 in accordance with the pre-authentication request received from the wireless LAN terminal 2 via the other wireless access point 1. (Pre-authentication).

認証済管理部105は、認証済管理テーブル(TB)1051を用いて、802.1x認証処理部1031によるIEEE 802.1x認証済みの無線LAN端末2の状態を管理する。   The authenticated management unit 105 uses the authenticated management table (TB) 1051 to manage the state of the wireless LAN terminal 2 that has been authenticated by IEEE 802.1x by the 802.1x authentication processing unit 1031.

図3(A)は、認証済管理テーブル1051の登録内容例を模式的に表した図である。図示するように、認証済管理テーブル1051には、802.1x認証処理部1031によるIEEE 802.1x認証済みである無線LAN端末2毎にレコード10510が登録される。レコード10510は、無線LAN端末2のMACアドレス(認証済端末アドレス)を登録するフィールド10511と、このMACアドレスを含むハンドオーバ通知の受信状態を登録するフィールド10512と、を有する。   FIG. 3A is a diagram schematically illustrating an example of registered contents of the authenticated management table 1051. As shown in the figure, a record 10510 is registered in the authenticated management table 1051 for each wireless LAN terminal 2 that has been IEEE 802.1x authenticated by the 802.1x authentication processing unit 1031. The record 10510 has a field 10511 for registering the MAC address (authenticated terminal address) of the wireless LAN terminal 2 and a field 10512 for registering the reception state of the handover notification including this MAC address.

帰属管理部106は、無線LAN端末2より受信した帰属要求および帰属解除要求に従い、自無線アクセスポイント1への無線LAN端末2の帰属および帰属解除を制御する。また、帰属管理部106は、帰属管理テーブル(TB)1061を用いて、自無線アクセスポイント1に帰属中の無線LAN端末2の状態を管理する。   The attribution management unit 106 controls the attribution and attribution cancellation of the wireless LAN terminal 2 to the own wireless access point 1 in accordance with the attribution request and attribution cancellation request received from the wireless LAN terminal 2. Further, the belonging management unit 106 manages the state of the wireless LAN terminal 2 belonging to the own wireless access point 1 using the belonging management table (TB) 1061.

図3(B)は、帰属管理テーブル1061の登録内容例を模式的に表した図である。図示するように、帰属管理テーブル1061には、帰属中の無線LAN端末2毎にレコード10610が登録される。レコード10610は、無線LAN端末2のMACアドレス(帰属端末アドレス)を登録するフィールド10611と、この無線LAN端末2の通話状態を登録するフィールド10612と、フィールド10612に登録されている通話状態の更新日時を登録するフィールド10613と、を有する。   FIG. 3B is a diagram schematically showing an example of registered contents of the attribution management table 1061. As shown in the figure, a record 10610 is registered in the attribution management table 1061 for each wireless LAN terminal 2 that is belonging. The record 10610 includes a field 10611 for registering the MAC address (assigned terminal address) of the wireless LAN terminal 2, a field 10612 for registering the call state of the wireless LAN terminal 2, and the update date / time of the call state registered in the field 10612. And a field 10613 for registering.

中継部107は、自無線アクセスポイント1に帰属している無線LAN端末2とLAN4との間のデータのやり取りを中継する。   The relay unit 107 relays data exchange between the wireless LAN terminal 2 belonging to the own wireless access point 1 and the LAN 4.

通話状態判定部108は、通話状態判定テーブル(TB)1081を用いて、自無線アクセスポイント1に帰属中である無線LAN端末2の通話状態を判定する。また、無線LAN端末2の通話状態が変更された場合に、変更後の通話状態を帰属管理部106に通知する。   The call state determination unit 108 uses the call state determination table (TB) 1081 to determine the call state of the wireless LAN terminal 2 belonging to the own wireless access point 1. Further, when the call state of the wireless LAN terminal 2 is changed, the changed call state is notified to the attribution management unit 106.

図3(C)は、通話状態判定テーブル1081の登録内容例を模式的に表した図である。図示するように、通話状態判定テーブル1081には、帰属中の無線LAN端末2毎にレコード10810が登録される。レコード10810は、無線LAN端末2のMACアドレス(帰属端末アドレス)を登録するフィールド10811と、この無線LAN端末2の通話中タイマのタイマ値を登録するフィールド10812と、を有する。ここで、通話中タイマは、時間の経過とともにタイマ値を減少させる。また、通話中タイマのタイマ値は、この通話中タイマに対応する無線LAN端末2を送信元あるいは送信先とするRTPパケットが中継される毎に、デフォルト値(例えば100ms)に更新される。   FIG. 3C is a diagram schematically showing an example of registered contents of the call state determination table 1081. As shown in the figure, a record 10810 is registered in the call state determination table 1081 for each wireless LAN terminal 2 that belongs. The record 10810 has a field 10811 for registering the MAC address (attribute terminal address) of the wireless LAN terminal 2 and a field 10812 for registering the timer value of the busy timer of the wireless LAN terminal 2. Here, the busy timer decreases the timer value as time elapses. The timer value of the busy timer is updated to a default value (for example, 100 ms) every time an RTP packet having the wireless LAN terminal 2 corresponding to the busy timer as a transmission source or transmission destination is relayed.

ハンドオーバ通知送受信部109は、他の無線アクセスポイント1が送信したハンドオーバ通知を、LAN4を介して受信して認証済管理部105に知らせる。また、ハンドオーバ通知送受信部109は、通話中の無線LAN端末2が自無線アクセスポイント1から帰属解除された場合に、この無線LAN端末2のMACアドレスを含むハンドオーバ通知をLAN4に送信する。   The handover notification transmission / reception unit 109 receives the handover notification transmitted by another wireless access point 1 via the LAN 4 and notifies the authenticated management unit 105 of the handover notification. Further, when the wireless LAN terminal 2 in a call is released from the own wireless access point 1, the handover notification transmission / reception unit 109 transmits a handover notification including the MAC address of the wireless LAN terminal 2 to the LAN 4.

認証無効通知送受信部110は、他の無線アクセスポイント1が送信した認証無効通知を、LAN4を介して受信して認証済管理部105に知らせる。また、認証無効通知送受信部110は、待機中の無線LAN端末2が自無線アクセスポイント1から強制的に帰属解除された場合に、この無線LAN端末2のMACアドレスを含む認証無効通知をLAN4に送信する。   The authentication invalid notification transmission / reception unit 110 receives the authentication invalid notification transmitted by another wireless access point 1 via the LAN 4 and notifies the authenticated management unit 105 of the notification. Further, when the standby wireless LAN terminal 2 is forcibly released from its own wireless access point 1, the authentication invalidity notification transmission / reception unit 110 sends an authentication invalidity notification including the MAC address of the wireless LAN terminal 2 to the LAN 4. Send.

図4は、無線アクセスポイント1の動作を説明するためのフロー図である。   FIG. 4 is a flowchart for explaining the operation of the wireless access point 1.

事前認証処理部104は、有線通信部101を介して、他の無線アクセスポイント1経由で無線LAN端末2から事前認証要求を受信すると(S10でYES)、後述する事前認証処理を実施する(S11)。   When the pre-authentication processing unit 104 receives a pre-authentication request from the wireless LAN terminal 2 via the other wireless access point 1 via the wired communication unit 101 (YES in S10), the pre-authentication processing is performed (S11). ).

帰属管理部106は、無線通信部102を介して、無線LAN端末2から帰属要求を受信すると(S12でYES)、後述する帰属処理を実施する(S13)。また、帰属管理部106は、無線通信部102を介して、無線LAN端末2から帰属解除要求を受信すると(S14でYES)、後述する帰属解除処理を実施する(S15)。   When the attribution management unit 106 receives an attribution request from the wireless LAN terminal 2 via the wireless communication unit 102 (YES in S12), the attribution management unit 106 performs attribution processing described later (S13). When the attribution management unit 106 receives an attribution cancellation request from the wireless LAN terminal 2 via the wireless communication unit 102 (YES in S14), the attribution management unit 106 performs an attribution cancellation process described later (S15).

ハンドオーバ通知送受信部109は、有線通信部101を介して、他の無線アクセスポイント1からハンドオーバ通知を受信すると(S16でYES)、このハンドオーバ通知を認証済管理部105に通知する。これを受けて、認証済管理部105は、認証済管理テーブル1051から、このハンドオーバ通知に含まれているMACアドレスがフィールド10511に登録されているレコード10510を検索する。そして、このレコード10510のフィールド10512に登録されているハンドオーバ通知受信状態を「受信済」に更新する(S17)。   When the handover notification transmission / reception unit 109 receives a handover notification from another wireless access point 1 via the wired communication unit 101 (YES in S16), the handover notification transmission / reception unit 109 notifies the authenticated management unit 105 of this handover notification. In response to this, the authenticated management unit 105 searches the authenticated management table 1051 for a record 10510 in which the MAC address included in this handover notification is registered in the field 10511. Then, the handover notification reception state registered in the field 10512 of the record 10510 is updated to “Received” (S17).

認証無効通知送受信部110は、有線通信部101を介して、他の無線アクセスポイント1から認証無効通知を受信すると(S18でYES)、この認証無効通知を認証済管理部105に通知する。これを受けて、認証済管理部105は、認証済管理テーブル1051から、この認証無効通知に含まれているMACアドレスがフィールド10511に登録されているレコード10510を検索する。そして、このレコード10510を削除する(S19)。   When receiving the authentication invalidity notification from another wireless access point 1 via the wired communication unit 101 (YES in S18), the authentication invalidity notification transmitting / receiving unit 110 notifies the authenticated management unit 105 of this authentication invalidity notification. In response to this, the authenticated management unit 105 searches the authenticated management table 1051 for a record 10510 in which the MAC address included in the authentication invalidation notification is registered in the field 10511. Then, this record 10510 is deleted (S19).

帰属管理部106は、帰属管理テーブル1061に帰属中の無線LAN端末2のレコード10610がある場合(S20でYES)、通話状態判定部108と連携して、後述する帰属中処理を実施する(S21)。   If there is a record 10610 of the wireless LAN terminal 2 that is belonging to the attribution management table 1061 (YES in S20), the attribution management unit 106 performs the attribution process described later in cooperation with the call state determination unit 108 (S21). ).

図5(A)は、図4の事前認証処理(S11)を説明するためのフロー図である。   FIG. 5A is a flowchart for explaining the pre-authentication process (S11) of FIG.

先ず、事前認証処理部104は、有線通信部101を介して他の無線アクセスポイント1経由で無線LAN端末2から受信した事前認証要求を認証処理部103に通知する。これを受けて、802.1x認証処理部1031は、RADIUSサーバ3と連携して、この無線LAN端末2に対するIEEE 802.1x認証を実施する(S1101)。   First, the pre-authentication processing unit 104 notifies the authentication processing unit 103 of a pre-authentication request received from the wireless LAN terminal 2 via another wireless access point 1 via the wired communication unit 101. In response to this, the 802.1x authentication processing unit 1031 performs IEEE 802.1x authentication for the wireless LAN terminal 2 in cooperation with the RADIUS server 3 (S1101).

その結果、IEEE 802.1x認証が成立したならば(S1102でYES)、802.1x認証処理部1031は、このIEEE 802.1x認証によって事前認証要求元の無線LAN端末2と共有(PMKキャッシュ)されたPMKを、この無線LAN端末2のMACアドレスに対応付けてPMKキャッシュ認証処理部1032に登録する(S1103)。   As a result, if IEEE 802.1x authentication is established (YES in S1102), the 802.1x authentication processing unit 1031 is shared with the wireless LAN terminal 2 that is the pre-authentication request source by this IEEE 802.1x authentication (PMK cache). The PMK thus registered is registered in the PMK cache authentication processing unit 1032 in association with the MAC address of the wireless LAN terminal 2 (S1103).

また、802.1x認証処理部1031は、認証済管理部105に、この無線LAN端末2のMACアドレスを含むレコード追加指示を通知する。これを受けて、認証済管理部105は、認証済管理テーブル1051に新たなレコード10510を追加し、このレコード10510のフィールド10511に、認証済端末アドレスとしてこの無線LAN端末2のMACアドレスを、フィールド10512に、ハンドオーバ通知受信状態として「未受信」を登録する(S1104)。   Further, the 802.1x authentication processing unit 1031 notifies the authenticated management unit 105 of a record addition instruction including the MAC address of the wireless LAN terminal 2. In response to this, the authenticated management unit 105 adds a new record 10510 to the authenticated management table 1051, and stores the MAC address of the wireless LAN terminal 2 as the authenticated terminal address in the field 10511 of the record 10510. In 10512, “not received” is registered as a handover notification reception state (S1104).

一方、IEEE 802.1x認証が不成立ならば(S1102でNO)、事前認証要求元の無線LAN端末2にエラーメッセージを送信するなどの所定のエラー処理を行う(S1105)。   On the other hand, if IEEE 802.1x authentication is not established (NO in S1102), predetermined error processing such as sending an error message to the pre-authentication request source wireless LAN terminal 2 is performed (S1105).

図6は、図4の帰属処理(S13)を説明するためのフロー図である。   FIG. 6 is a flowchart for explaining the attribution process (S13) of FIG.

先ず、帰属管理部106は、無線通信部102を介して無線LAN端末2から受信した帰属要求を認証処理部103に通知する。これを受けて、認証処理部103は、この無線LAN端末2のMACアドレスを認証済管理部105に通知する。認証済管理部105は、このMACアドレスがフィールド10511に登録されているレコード10510が認証済管理テーブル1051に登録されているか否かを調べることにより、この無線LAN端末2がIEEE 802.1x認証済であるか否かを調べる(S1301)。   First, the attribution management unit 106 notifies the authentication processing unit 103 of the attribution request received from the wireless LAN terminal 2 via the wireless communication unit 102. In response to this, the authentication processing unit 103 notifies the authenticated management unit 105 of the MAC address of the wireless LAN terminal 2. The authenticated management unit 105 checks whether or not the record 10510 in which the MAC address is registered in the field 10511 is registered in the authenticated management table 1051, so that the wireless LAN terminal 2 is IEEE 802.1x authenticated. Is checked (S1301).

帰属要求元の無線LAN端末2がIEEE 802.1x認証済である場合(S1301でYES)、認証済管理部105は、この無線LAN端末2のMACアドレスがフィールド10511に登録されているレコード10510のフィールド10512を調べることにより、この無線LAN端末2のMACアドレスを含むハンドオーバ通知を受信済であるか否かを調べる(S1302)。   If the wireless LAN terminal 2 that is the attribution request source has been IEEE 802.1x authenticated (YES in S1301), the authenticated management unit 105 stores the MAC address of the wireless LAN terminal 2 in the record 10510 registered in the field 10511. By examining the field 10512, it is examined whether or not the handover notification including the MAC address of the wireless LAN terminal 2 has been received (S1302).

帰属要求元の無線LAN端末2のMACアドレスを含むハンドオーバ通知を受信済である場合(S1302でYES)、認証済管理部105は、認証処理部103に、PMKキャッシュ認証の対象であることを通知する。これを受けて、PMKキャッシュ認証処理部1032は、PMKキャッシュ認証を実施する。すなわち、帰属要求に含まれているPMKが、帰属要求元の無線LAN端末2のMACアドレスに対応付けられて予め登録されているPMKと一致するか否かを判断することにより、この無線LAN端末2の認証を行う(S1303)。   When the handover notification including the MAC address of the wireless LAN terminal 2 that is the attribution request source has been received (YES in S1302), the authenticated management unit 105 notifies the authentication processing unit 103 that it is a target of PMK cache authentication. To do. In response to this, the PMK cache authentication processing unit 1032 performs PMK cache authentication. That is, by determining whether or not the PMK included in the attribution request matches the PMK registered in advance in association with the MAC address of the attribution request source wireless LAN terminal 2, this wireless LAN terminal 2 authentication is performed (S1303).

その結果、PMKキャッシュ認証が成立したならば(S1304でYES)、PMKキャッシュ認証処理部1032は、帰属管理部106に帰属許可を通知する。これを受けて、帰属管理部106は、帰属管理テーブル1061に新たなレコード10610を追加し、このレコード10610のフィールド10611に、帰属端末アドレスとしてこの無線LAN端末2のMACアドレスを、フィールド10612に通話状態「待機中」を、そしてフィールド10613に、更新日時として現在日時を登録する。また、帰属管理部106は、通話状態判定テーブル1081に新たなレコード10810を追加し、このレコード10810のフィールド10811に、帰属端末アドレスとしてこの無線LAN端末2のMACアドレスを、そしてフィールド10812に、通話中タイマとして所定のタイマ値(例えば「残り0ms」)を登録する(S1309)。   As a result, if PMK cache authentication is established (YES in S1304), the PMK cache authentication processing unit 1032 notifies the attribution management unit 106 of attribution permission. In response, the attribution management unit 106 adds a new record 10610 to the attribution management table 1061, calls the field 10611 of this record 10610 with the MAC address of this wireless LAN terminal 2 as the attribution terminal address, and calls the field 10612. The state “waiting” is registered, and the current date / time is registered in the field 10613 as the update date / time. In addition, the attribution management unit 106 adds a new record 10810 to the call state determination table 1081, the MAC address of the wireless LAN terminal 2 as the belonging terminal address in the field 10811 of this record 10810, and the call in the field 10812. A predetermined timer value (for example, “remaining 0 ms”) is registered as a middle timer (S1309).

その後、帰属管理部106は、中継部107を制御して、帰属要求元の無線LAN端末2の帰属処理を行う。これにより、中継部107は、帰属要求元の無線LAN端末2をLAN4に接続して、この無線LAN端末2とLAN4との間の中継を開始する(S1310)。なお、無線LAN端末2は、帰属先の無線アクセスポイント1に帰属すると、周辺の無線アクセスポイント1を検出し、帰属先の無線アクセスポイント1を介して、周辺の無線アクセスポイント1各々に事前認証要求を送信する。事前認証要求を受信した無線アクセスポイント1は、他の無線アクセスポイント1を介して、事前認証要求元の無線LAN端末2に対する事前認証を実施する。   Thereafter, the attribution management unit 106 controls the relay unit 107 to perform the attribution process of the wireless LAN terminal 2 that is the attribution request source. As a result, the relay unit 107 connects the wireless LAN terminal 2 as the attribution request source to the LAN 4 and starts relaying between the wireless LAN terminal 2 and the LAN 4 (S1310). When the wireless LAN terminal 2 belongs to the assigned wireless access point 1, the wireless LAN terminal 2 detects the surrounding wireless access point 1 and pre-authenticates to each surrounding wireless access point 1 via the assigned wireless access point 1. Send a request. The wireless access point 1 that has received the pre-authentication request performs pre-authentication on the pre-authentication request source wireless LAN terminal 2 via the other wireless access point 1.

さて、帰属要求元の無線LAN端末2がIEEE 802.1x認証済でない場合(S1301でNO)、あるいは、帰属要求元の無線LAN端末2のMACアドレスを含むハンドオーバ通知を未受信である場合(S1302でNO)、認証済管理部105は、認証処理部103に、IEEE 802.1x認証の対象であることを通知する。これを受けて、802.1x認証処理部1031は、RADIUSサーバ3と連携して、この無線LAN端末2に対するIEEE 802.1x認証を実施する(S1305)。   When the wireless LAN terminal 2 as the attribution request source is not IEEE 802.1x authenticated (NO in S1301), or when the handover notification including the MAC address of the wireless LAN terminal 2 as the attribution request source has not been received (S1302). NO), the authenticated management unit 105 notifies the authentication processing unit 103 that it is subject to IEEE 802.1x authentication. In response to this, the 802.1x authentication processing unit 1031 performs IEEE 802.1x authentication for the wireless LAN terminal 2 in cooperation with the RADIUS server 3 (S1305).

その結果、IEEE 802.1x認証が成立したならば(S1306でYES)、802.1x認証処理部1031は、このIEEE 802.1x認証によって帰属要求元の無線LAN端末2と共有(PMKキャッシュ)されたPMKを、この無線LAN端末2のMACアドレスに対応付けてPMKキャッシュ認証処理部1032に登録する(S1307)。   As a result, if IEEE 802.1x authentication is established (YES in S1306), the 802.1x authentication processing unit 1031 is shared (PMK cache) with the wireless LAN terminal 2 that is the attribution request source by the IEEE 802.1x authentication. The PMK is registered in the PMK cache authentication processing unit 1032 in association with the MAC address of the wireless LAN terminal 2 (S1307).

また、802.1x認証処理部1031は、認証済管理部105に、この無線LAN端末2のMACアドレスを含むレコード追加指示を通知する。これを受けて、認証済管理部105は、認証済管理テーブル1051に新たなレコード10510を追加し、このレコード10510のフィールド10511に、認証済端末アドレスとしてこの無線LAN端末2のMACアドレスを、フィールド10512に、ハンドオーバ通知受信状態として「未受信」を登録する(S1308)。   Further, the 802.1x authentication processing unit 1031 notifies the authenticated management unit 105 of a record addition instruction including the MAC address of the wireless LAN terminal 2. In response to this, the authenticated management unit 105 adds a new record 10510 to the authenticated management table 1051, and stores the MAC address of the wireless LAN terminal 2 as the authenticated terminal address in the field 10511 of the record 10510. In 10512, “not received” is registered as a handover notification reception state (S1308).

さらに、802.1x認証処理部1031は、帰属管理部106に帰属許可を通知する。これを受けて、帰属管理部106は、帰属管理テーブル1061に新たなレコード10610を追加し、このレコード10610のフィールド10611に、帰属端末アドレスとしてこの無線LAN端末2のMACアドレスを、フィールド10612に通話状態「待機中」を、そしてフィールド10613に、更新日時として現在日時を登録する。また、帰属管理部106は、通話状態判定テーブル1081に新たなレコード10810を追加し、このレコード10810のフィールド10811に、帰属端末アドレスとしてこの無線LAN端末2のMACアドレスを、そしてフィールド10812に、通話中タイマとして所定のタイマ値を登録する(S1309)。   Further, the 802.1x authentication processing unit 1031 notifies the attribution management unit 106 of the attribution permission. In response, the attribution management unit 106 adds a new record 10610 to the attribution management table 1061, calls the field 10611 of this record 10610 with the MAC address of this wireless LAN terminal 2 as the attribution terminal address, and calls the field 10612. The state “waiting” is registered, and the current date / time is registered in the field 10613 as the update date / time. In addition, the attribution management unit 106 adds a new record 10810 to the call state determination table 1081, the MAC address of the wireless LAN terminal 2 as the belonging terminal address in the field 10811 of this record 10810, and the call in the field 10812. A predetermined timer value is registered as a middle timer (S1309).

その後、帰属管理部106は、中継部107を制御して、帰属要求元の無線LAN端末2の帰属処理を行う。これにより、中継部107は、帰属要求元の無線LAN端末2をLAN4に接続して、この無線LAN端末2とLAN4との間の中継を開始する(S1310)。なお、上述したように、無線LAN端末2は、帰属先の無線アクセスポイント1に帰属すると、周辺の無線アクセスポイント1を検出し、帰属先の無線アクセスポイント1を介して、周辺の無線アクセスポイント1各々に事前認証要求を送信する。そして、事前認証要求を受信した無線アクセスポイント1は、他の無線アクセスポイント1を介して、事前認証要求元の無線LAN端末2に対する事前認証を実施する。   Thereafter, the attribution management unit 106 controls the relay unit 107 to perform the attribution process of the wireless LAN terminal 2 that is the attribution request source. As a result, the relay unit 107 connects the wireless LAN terminal 2 as the attribution request source to the LAN 4 and starts relaying between the wireless LAN terminal 2 and the LAN 4 (S1310). As described above, when the wireless LAN terminal 2 belongs to the assigned wireless access point 1, the wireless LAN terminal 2 detects the surrounding wireless access point 1 and passes through the assigned wireless access point 1. 1 Send a pre-authentication request to each. Then, the wireless access point 1 that has received the pre-authentication request performs pre-authentication on the wireless LAN terminal 2 that is the pre-authentication request source via the other wireless access point 1.

一方、PMKキャッシュ認証が不成立の場合(S1304でNO)、またはIEEE 802.1x認証が不成立の場合(S1306でNO)、認証処理部103は帰属管理部106に帰属拒否を通知する。これを受けて帰属管理部106は、帰属要求元の無線LAN端末2にエラーメッセージを送信するなどの所定のエラー処理を行う(S1311)。   On the other hand, if the PMK cache authentication is not established (NO in S1304) or the IEEE 802.1x authentication is not established (NO in S1306), the authentication processing unit 103 notifies the attribution management unit 106 of attribution rejection. In response, the attribution management unit 106 performs predetermined error processing such as sending an error message to the wireless LAN terminal 2 that is the attribution request source (S1311).

図5(B)は、図4の帰属解除処理(S15)を説明するためのフロー図である。   FIG. 5B is a flowchart for explaining the attribution release process (S15) of FIG.

先ず、帰属管理部106は、帰属解除要求元の無線LAN端末2のMACアドレスがフィールド10611に登録されているレコード10610を帰属管理テーブル1061から検索する。そして、検索したレコード10610のフィールド10612に登録されている通話状態を調べる(S1501)。   First, the attribution management unit 106 searches the attribution management table 1061 for a record 10610 in which the MAC address of the wireless LAN terminal 2 that is the attribution cancellation request source is registered in the field 10611. Then, the call state registered in the field 10612 of the retrieved record 10610 is checked (S1501).

この通話状態が「待機中」の場合(S1501でNO)、帰属管理部106は、この検索したレコード10610を帰属管理テーブル1061から削除する。また、帰属解除要求元の無線LAN端末2のMACアドレスがフィールド10811に登録されているレコード10810を通話状態判定テーブル1081から検索し、検索したレコード10810を通話状態判定テーブル1081から削除する(S1503)。   When the call state is “standby” (NO in S1501), the attribution management unit 106 deletes the retrieved record 10610 from the attribution management table 1061. Further, the record 10810 in which the MAC address of the wireless LAN terminal 2 as the attribution cancellation request source is registered in the field 10811 is searched from the call state determination table 1081, and the searched record 10810 is deleted from the call state determination table 1081 (S1503). .

一方、通話状態が「通話中」の場合(S1501でYES)、帰属管理部106は、ハンドオーバ通知送受信部109に、帰属解除要求元の無線LAN端末2のMACアドレスを通知して、ハンドオーバ通知の送信を指示する。これを受けて、ハンドオーバ通知送受信部109は、この無線LAN端末2のMACアドレスを含むハンドオーバ通知を、有線通信部101を介して、LAN4にブロードキャストまたはマルチキャストで送信する(S1502)。それから、帰属管理部106は、検索したレコード10610を帰属管理テーブル1061から削除する。また、帰属解除要求元の無線LAN端末2のMACアドレスがフィールド10811に登録されているレコード10810を通話状態判定テーブル1081から検索し、検索したレコード10810を通話状態判定テーブル1081から削除する(S1503)。   On the other hand, when the call state is “busy” (YES in S1501), the attribution management unit 106 notifies the handover notification transmission / reception unit 109 of the MAC address of the wireless LAN terminal 2 that is the attribution cancellation request source, and performs handover notification. Instruct to send. In response to this, the handover notification transmission / reception unit 109 transmits a handover notification including the MAC address of the wireless LAN terminal 2 to the LAN 4 by broadcast or multicast via the wired communication unit 101 (S1502). Then, the attribution management unit 106 deletes the retrieved record 10610 from the attribution management table 1061. Further, the record 10810 in which the MAC address of the wireless LAN terminal 2 as the attribution cancellation request source is registered in the field 10811 is searched from the call state determination table 1081, and the searched record 10810 is deleted from the call state determination table 1081 (S1503). .

さて、帰属管理部106は、帰属解除要求元の無線LAN端末2のレコード10610、10810を削除したならば、中継部107を制御して、この無線LAN端末2の帰属解除処理を行う。これにより、中継部107は、帰属解除要求元の無線LAN端末2をLAN4から切断して、この無線LAN端末2とLAN4との間の中継を終了する(S1504)。   When the attribution management unit 106 deletes the records 10610 and 10810 of the wireless LAN terminal 2 that is the attribution cancellation request source, the attribution management unit 106 controls the relay unit 107 to perform the attribution cancellation processing of the wireless LAN terminal 2. As a result, the relay unit 107 disconnects the wireless LAN terminal 2 that is the attribution cancellation request source from the LAN 4, and ends the relay between the wireless LAN terminal 2 and the LAN 4 (S1504).

図7は、図4の帰属中処理(S21)を説明するためのフロー図である。   FIG. 7 is a flowchart for explaining the belonging process (S21) of FIG.

通話状態判定部108は、中継部107で中継されるフレームを監視し、このフレームにRTPパケットが格納されているか否かを調べる。そして、RTPパケットが格納されているフレームを検出すると(S2101でYES)、このフレームの送信元あるいは送信先である無線LAN端末2のMACアドレスがフィールド10811に登録されているレコード10810を通話状態判定テーブル1081から検索し、このレコード10810のフィールド10812に登録されている通話中タイマのタイマ値をデフォルト値(例えば100ms)に更新する(S2102)。なお、上述したように、通話中タイマは、時間の経過とともにタイマ値を減少させる。   The call state determination unit 108 monitors a frame relayed by the relay unit 107 and checks whether or not an RTP packet is stored in this frame. When a frame in which the RTP packet is stored is detected (YES in S2101), the call state determination is performed on the record 10810 in which the MAC address of the wireless LAN terminal 2 that is the transmission source or transmission destination of this frame is registered in the field 10811. The table 1081 is searched, and the timer value of the busy timer registered in the field 10812 of this record 10810 is updated to a default value (for example, 100 ms) (S2102). Note that, as described above, the busy timer decreases the timer value as time elapses.

次に、通話状態判定部108は、このフレームの送信元あるいは送信先である無線LAN端末2のMACアドレスがフィールド10611に登録されているレコード10610を帰属管理テーブル1061から検索し、このレコード10610のフィールド10612に登録されている通話状態を調べる。そして、通話状態が「通話中」でないならば(S2103でNO)、このレコード10610のフィールド10612に登録されている通話状態を「通話中」に変更するとともに、フィールド10613に登録されている更新日時を現在日時に更新する(S2104)。   Next, the call state determination unit 108 searches the attribution management table 1061 for the record 10610 in which the MAC address of the wireless LAN terminal 2 that is the transmission source or transmission destination of this frame is registered in the field 10611. The call state registered in the field 10612 is checked. If the call state is not “busy” (NO in S2103), the call state registered in the field 10612 of this record 10610 is changed to “busy” and the update date / time registered in the field 10613 is updated. Is updated to the current date and time (S2104).

また、通話状態判定部108は、通話状態判定テーブル1081を監視しており、フィールド10812に登録されている通話中タイマのタイマ値が「残り0ms」となっている、つまりタイムアウトしているレコード10810があるか否かを、例えば定期的に調べる。そして、フィールド10812に登録されている通話中タイマのタイマ値がタイムアウトしているレコード10810を検出すると(S2105でYES)、このレコード10810のフィールド10811に登録されているMACアドレスを特定する。それから、通話状態判定部108は、この特定したMACアドレスがフィールド10611に登録されているレコード10610を帰属管理テーブル1061から検索し、このレコード10610のフィールド10612に登録されている通話状態を調べる。そして、通話状態が「待機中」でないならば(S2106でNO)、このレコード10610のフィールド10612に登録されている通話状態を「待機中」に変更するとともに、フィールド10613に登録されている更新日時を現在日時に更新する(S2107)。一方、フィールド10612に登録されている通話状態が「待機中」であるならば(S2106でYES)、S2108に進む。   In addition, the call state determination unit 108 monitors the call state determination table 1081, and the timer value of the busy timer registered in the field 10812 is “remaining 0 ms”, that is, the record 10810 that has timed out. For example, periodically check whether there is any. When a record 10810 in which the timer value of the busy timer registered in the field 10812 has timed out is detected (YES in S2105), the MAC address registered in the field 10811 of the record 10810 is specified. Then, the call state determination unit 108 searches the attribution management table 1061 for the record 10610 in which the identified MAC address is registered in the field 10611, and checks the call state registered in the field 10612 of the record 10610. If the call state is not “standby” (NO in S2106), the call state registered in the field 10612 of this record 10610 is changed to “standby” and the update date / time registered in the field 10613 is updated. Is updated to the current date and time (S2107). On the other hand, if the call state registered in the field 10612 is “standby” (YES in S2106), the process proceeds to S2108.

S2108において、帰属管理部106は、このレコード10610のフィールド10613に登録されている更新日時から所定時間T(例えば3分)を経過しているか否かを調べる。更新日時から所定時間Tを経過しているならば(S2108でYES)、このレコード10610のフィールド10611に登録されているMACアドレスがフィールド10511に登録されているレコード10510を認証済管理テーブル1051から検索して、このレコード10510のフィールド10512に登録されているハンドオーバ通知受信状態をさらに調べる(S2108A)。そして、このハンドオーバ通知受信状態が「受信済」ならば(S2108AでYES)、このレコード10610のフィールド10611に登録されているMACアドレスにより特定される無線LAN端末2の自無線アクセスポイント1への帰属を強制的に解除する(S2109〜S2112)。   In S2108, the attribution management unit 106 checks whether or not a predetermined time T (for example, 3 minutes) has elapsed from the update date and time registered in the field 10613 of the record 10610. If the predetermined time T has elapsed since the update date and time (YES in S2108), the authenticated management table 1051 is searched for the record 10510 in which the MAC address registered in the field 10611 of this record 10610 is registered in the field 10511. The handover notification reception state registered in the field 10512 of this record 10510 is further examined (S2108A). If the handover notification reception state is “received” (YES in S2108A), the wireless LAN terminal 2 identified by the MAC address registered in the field 10611 of the record 10610 belongs to the own wireless access point 1 Is forcibly released (S2109 to S2112).

具体的には、先ず、帰属管理部106は、このレコード10610を帰属管理テーブル1061から削除する。また、強制帰属解除の対象となる無線LAN端末2のMACアドレスがフィールド10811に登録されているレコード10810を通話状態判定テーブル1081から検索し、検索したレコード10810を通話状態判定テーブル1081から削除する(S2109)。   Specifically, the attribution management unit 106 first deletes this record 10610 from the attribution management table 1061. Further, the record 10810 in which the MAC address of the wireless LAN terminal 2 to be forcibly removed is registered in the field 10811 is searched from the call state determination table 1081, and the searched record 10810 is deleted from the call state determination table 1081 ( S2109).

次に、帰属管理部106は、認証無効通知送受信部110に対して、強制帰属解除の対象となる無線LAN端末2のMACアドレスを含む認証無効指示を通知する。これを受けて、認証無効通知送受信部110は、強制帰属解除の対象となる無線LAN端末2のMACアドレスを含む認証無効通知を生成し、有線通信部101を介して、予め登録されている近隣の無線アクセスポイント1に送信する(S2110)。   Next, the attribution management unit 106 notifies the authentication invalidity notification transmission / reception unit 110 of an authentication invalidation instruction including the MAC address of the wireless LAN terminal 2 that is subject to forced attribution cancellation. In response to this, the authentication invalidity notification transmission / reception unit 110 generates an authentication invalidity notification including the MAC address of the wireless LAN terminal 2 to be subject to forced attribution cancellation, and is registered in advance via the wired communication unit 101. Is transmitted to the wireless access point 1 (S2110).

それから、認証無効通知送受信部110は、強制帰属解除の対象となる無線LAN端末2のMACアドレスを含む認証済みレコードの削除指示を認証済管理部105に通知する。これを受けて、認証済管理部105は、強制帰属解除の対象となる無線LAN端末2のMACアドレスがフィールド10511に登録されているレコード10510を認証済管理テーブル1051から検索し、検索したレコード10510を認証済管理テーブル1051から削除する(S2111)。   Then, the authentication invalid notification transmission / reception unit 110 notifies the authenticated management unit 105 of an instruction to delete the authenticated record including the MAC address of the wireless LAN terminal 2 that is the target of forced attribution cancellation. In response to this, the authenticated management unit 105 searches the authenticated management table 1051 for the record 10510 in which the MAC address of the wireless LAN terminal 2 that is the target of forced attribution cancellation is registered in the field 10511, and the searched record 10510 Is deleted from the authenticated management table 1051 (S2111).

その後、帰属管理部106は、中継部107を制御して、強制帰属解除の対象となる無線LAN端末2の帰属解除処理を行う。これにより、中継部107は、強制帰属解除の対象となる無線LAN端末2をLAN4から切断して、この無線LAN端末2とLAN4との間の中継を終了する(S2112)。   Thereafter, the attribution management unit 106 controls the relay unit 107 to perform attribution cancellation processing of the wireless LAN terminal 2 that is a target of forced attribution cancellation. As a result, the relay unit 107 disconnects the wireless LAN terminal 2 subject to forced attribution cancellation from the LAN 4 and ends the relay between the wireless LAN terminal 2 and the LAN 4 (S2112).

次に、図1に示す無線通信システムの動作例を説明する。   Next, an operation example of the wireless communication system shown in FIG. 1 will be described.

図8および図9は、図1に示す無線通信システムの動作を説明するためのシーケンス図である。なお、ここでは、図1に示す2つの無線アクセスポイント1を互いに区別するために、一方を無線アクセスポイント(a)1とし、他方を無線アクセスポイント(b)1としている。   8 and 9 are sequence diagrams for explaining the operation of the wireless communication system shown in FIG. Here, in order to distinguish the two wireless access points 1 shown in FIG. 1 from each other, one is a wireless access point (a) 1 and the other is a wireless access point (b) 1.

先ず、図8において、無線LAN端末2は、無線アクセスポイント(a)1の無線通信エリアに侵入すると、無線アクセスポイント(a)1に帰属要求を送信する(S31)。   First, in FIG. 8, when the wireless LAN terminal 2 enters the wireless communication area of the wireless access point (a) 1, it transmits an attribution request to the wireless access point (a) 1 (S31).

これを受けて、無線アクセスポイント(a)1は、RADIUSサーバ3と連携して、無線LAN端末2に対してIEEE 802.1x認証を実施する(S32)。そして、認証成立後、この無線LAN端末2のレコード10510を認証済管理テーブル1051に追加するとともに(S33)、この無線LAN端末2のレコード10610を帰属管理テーブル1061に追加する(S34)。そして、この無線LAN端末2を無線アクセスポイント(a)1に帰属させる。   In response to this, the wireless access point (a) 1 performs IEEE 802.1x authentication for the wireless LAN terminal 2 in cooperation with the RADIUS server 3 (S32). After the authentication is established, the record 10510 of the wireless LAN terminal 2 is added to the authenticated management table 1051 (S33), and the record 10610 of the wireless LAN terminal 2 is added to the attribution management table 1061 (S34). Then, the wireless LAN terminal 2 is assigned to the wireless access point (a) 1.

次に、無線LAN端末2は、無線アクセスポイント(a)1に帰属すると、無線アクセスポイント(b)1を検出する。そして、帰属先の無線アクセスポイント(a)1を介して、無線アクセスポイント(b)1に事前認証要求を送信する(S35)。   Next, when the wireless LAN terminal 2 belongs to the wireless access point (a) 1, it detects the wireless access point (b) 1. Then, a pre-authentication request is transmitted to the wireless access point (b) 1 via the assigned wireless access point (a) 1 (S35).

これを受けて、無線アクセスポイント(b)1は、RADIUSサーバ3と連携して、無線LAN端末2に対してIEEE 802.1x認証を実施する(S36)。そして、認証成立後、この無線LAN端末2のレコード10510を認証済管理テーブル1051に追加する(S37)。   In response to this, the wireless access point (b) 1 performs IEEE 802.1x authentication for the wireless LAN terminal 2 in cooperation with the RADIUS server 3 (S36). Then, after the authentication is established, the record 10510 of this wireless LAN terminal 2 is added to the authenticated management table 1051 (S37).

ここで、無線LAN端末2は、ユーザから発信操作を受け付けると、通話相手(例えばWAN6側の電話端末)と呼制御処理を行って、通話相手との間に通話路を確立する(S39)。そして、この通話路を介して通話(RTPパケットの送受)を開始する(S40)。   Here, when the wireless LAN terminal 2 accepts the call operation from the user, the wireless LAN terminal 2 performs a call control process with the other party (for example, the telephone terminal on the WAN 6 side) and establishes a communication path with the other party (S39). Then, a call (transmission / reception of RTP packet) is started via this call path (S40).

さて、無線アクセスポイント(a)1は、自無線アクセスポイント(a)1を介して、無線LAN端末2と通話相手との間でRTPパケットの送受が行われている期間中、この無線LAN端末2の通話状態を「通話中」と判定する(S41)。   The wireless access point (a) 1 is connected to the wireless LAN terminal during a period in which the RTP packet is transmitted and received between the wireless LAN terminal 2 and the communication partner via the wireless access point (a) 1. 2 is determined to be “busy” (S41).

次に、無線LAN端末2は、ユーザの移動に伴って無線アクセスポイント(a)1の無線通信エリアから離脱すると、無線アクセスポイント(a)1に帰属解除要求を送信する(S42)。   Next, when the wireless LAN terminal 2 leaves the wireless communication area of the wireless access point (a) 1 as the user moves, the wireless LAN terminal 2 transmits an attribution cancellation request to the wireless access point (a) 1 (S42).

これを受けて、無線アクセスポイント(a)1は、帰属解除要求元の無線LAN端末2の通話状態が「通話中」であることを確認して、この無線LAN端末2のMACアドレスを含むハンドオーバ通知を生成する。そして、このハンドオーバ通知を送信する(S43)。また、無線アクセスポイント(a)1は、帰属管理テーブル1061から、この無線LAN端末2のレコード10610を削除する(S44)。そして、この無線LAN端末2の無線アクセスポイント(a)1への帰属を解除する。   In response to this, the wireless access point (a) 1 confirms that the call state of the wireless LAN terminal 2 that is the attribution cancellation request source is “busy”, and performs handover including the MAC address of the wireless LAN terminal 2 Generate a notification. Then, this handover notification is transmitted (S43). Further, the wireless access point (a) 1 deletes the record 10610 of this wireless LAN terminal 2 from the attribution management table 1061 (S44). Then, the wireless LAN terminal 2 is released from belonging to the wireless access point (a) 1.

一方、無線アクセスポイント(b)1は、無線アクセスポイント(a)1からハンドオーバ通知を受信するとハンドオーバ通知に含まれているMACアドレスのレコード10510を認証済管理テーブル1051から特定し、このレコード10510のハンドオーバ通知受信状態を「受信済」に変更する(S45)。   On the other hand, when the wireless access point (b) 1 receives the handover notification from the wireless access point (a) 1, the wireless access point (b) 1 specifies the MAC address record 10510 included in the handover notification from the authenticated management table 1051. The handover notification reception state is changed to “received” (S45).

次に、図9において、無線LAN端末2は、ユーザの移動に伴って無線アクセスポイント(b)1の無線通信エリアに侵入すると、無線アクセスポイント(b)1に帰属要求を送信する(S46)。   Next, in FIG. 9, when the wireless LAN terminal 2 enters the wireless communication area of the wireless access point (b) 1 as the user moves, the wireless LAN terminal 2 transmits an attribution request to the wireless access point (b) 1 (S46). .

これを受けて、無線アクセスポイント(b)1は、認証済管理テーブル1051により、この無線LAN端末2が事前認証(IEEE 802.1x認証)済みであることを確認し、この無線LAN端末2に対して、事前認証により取得したPMKを用いてPMKキャッシュ認証を実施する(S47)。そして、認証成立後、この無線LAN端末2のレコード10610を帰属管理テーブル1061に追加する(S48)。これにより、この無線LAN端末2を無線アクセスポイント(b)1に帰属させる。この結果、この無線LAN端末2と通話相手との通話(RTPパケットの送受)は、無線アクセスポイント(b)1を介して行われる。   In response to this, the wireless access point (b) 1 confirms that the wireless LAN terminal 2 has been pre-authenticated (IEEE 802.1x authentication) based on the authenticated management table 1051, and On the other hand, PMK cache authentication is performed using the PMK acquired by pre-authentication (S47). After the authentication is established, the record 10610 of the wireless LAN terminal 2 is added to the attribution management table 1061 (S48). Thereby, the wireless LAN terminal 2 is attributed to the wireless access point (b) 1. As a result, a call (transmission / reception of RTP packet) between the wireless LAN terminal 2 and the other party is performed via the wireless access point (b) 1.

さて、無線アクセスポイント(b)1は、自無線アクセスポイント(b)1を介して、無線LAN端末2と通話相手との間でRTPパケットの送受が行われている期間中、この無線LAN端末2の通話状態を「通話中」と判定する(S49)。   The wireless access point (b) 1 is connected to the wireless LAN terminal during a period in which RTP packets are transmitted and received between the wireless LAN terminal 2 and the other party of communication via the wireless access point (b) 1. 2 is determined as “busy” (S49).

ここで、無線LAN端末2は、ユーザから切断操作を受け付けると(S50)、通話相手と呼制御処理を行って通話相手との通話路を切断し、通話(RTPパケットの送受)を終了する(S51)。   Here, when receiving a disconnection operation from the user (S50), the wireless LAN terminal 2 performs a call control process with the call partner to cut the call path with the call partner and ends the call (transmission / reception of the RTP packet) ( S51).

さて、無線アクセスポイント(b)1は、自無線アクセスポイント(b)1を介して、無線LAN端末2と通話相手との間で行われていたRTPパケットの送受が終了すると、この無線LAN端末2の通話状態を「待機中」と判定する(S52)。そして、所定時間T以上、通話状態「待機中」が継続すると、無線アクセスポイント(b)1は、帰属管理テーブル1061から、この無線LAN端末2のレコード10610を削除する(S53)。そして、この無線LAN端末2の無線アクセスポイント(b)1への帰属を強制的に解除する。   When the wireless access point (b) 1 completes transmission / reception of the RTP packet between the wireless LAN terminal 2 and the communication partner via the own wireless access point (b) 1, 2 is determined to be “standby” (S52). When the call state “standby” continues for a predetermined time T or longer, the wireless access point (b) 1 deletes the record 10610 of the wireless LAN terminal 2 from the belonging management table 1061 (S53). Then, the wireless LAN terminal 2 is forcibly released from belonging to the wireless access point (b) 1.

それから、無線アクセスポイント(b)1は、認証済管理テーブル1051から、この無線LAN端末2のレコード10510を削除するとともに(S54)、無線アクセスポイント(a)1に、この無線LAN端末1のMACアドレスを含む認証無効通知を送信する(S55)。   Then, the wireless access point (b) 1 deletes the record 10510 of the wireless LAN terminal 2 from the authenticated management table 1051 (S54), and the wireless access point (a) 1 sends the MAC of the wireless LAN terminal 1 to it. An authentication invalidation notification including the address is transmitted (S55).

そして、無線アクセスポイント(a)1は、無線アクセスポイント(b)1から認証無効通知を受信すると、認証済管理テーブル1051から、この認証無効通知に含まれているMACアドレスを持つ無線LAN端末2のレコード10510を削除する(S54)。   When the wireless access point (a) 1 receives the authentication invalidity notification from the wireless access point (b) 1, the wireless LAN terminal 2 having the MAC address included in the authentication invalidation notification is obtained from the authenticated management table 1051. The record 10510 is deleted (S54).

以上、本発明の一実施の形態を説明した。   The embodiment of the present invention has been described above.

本実施の形態において、通話中の無線LAN端末2が帰属中の無線アクセスポイント1から他の無線アクセスポイント1にハンドオーバした場合にのみ、ハンドオーバ先の無線アクセスポイント1において事前認証(IEEE 802.1x認証)の結果を利用したPMKキャッシュ認証が実施される。無線LAN端末2が帰属中の無線アクセスポイント1からハンドオーバした場合でも、この無線LAN端末2が通話中でない(待機中)ならば、この無線LAN端末2とハンドオーバ先の無線アクセスポイント1との間で事前認証済みか否かにかかわらず、IEEE 802.1x認証が実施される。   In the present embodiment, pre-authentication (IEEE 802.1x) is performed at the handover destination wireless access point 1 only when a handover is made from the wireless access point 1 to which the wireless LAN terminal 2 in communication belongs to another wireless access point 1. PMK cache authentication is performed using the result of authentication. Even when the wireless LAN terminal 2 is handed over from the wireless access point 1 to which the wireless LAN terminal 2 belongs, if the wireless LAN terminal 2 is not in a call (standby), the wireless LAN terminal 2 and the wireless access point 1 that is the handover destination are connected. Regardless of whether or not pre-authentication has been performed, IEEE 802.1x authentication is performed.

このため、不正な端末が無線LAN端末2およびハンドオーバ先の無線アクセスポイント1間の事前認証の際に傍受したPMKを使って、この無線LAN端末2に成り済ましてハンドオーバ先の無線アクセスポイント1に帰属することはできない。したがって、本実施の形態によれば、ハンドオーバ時における通話の音切れ防止といった事前認証の利点を保持しつつ、事前認証のセキュリティを向上させることができる。   For this reason, an unauthorized terminal impersonates the wireless LAN terminal 2 using the PMK intercepted during the pre-authentication between the wireless LAN terminal 2 and the handover destination wireless access point 1, and belongs to the handover destination wireless access point 1. I can't do it. Therefore, according to the present embodiment, it is possible to improve the security of pre-authentication while maintaining the advantage of pre-authentication such as prevention of sound interruption of a call at the time of handover.

また、本実施の形態において、無線アクセスポイント1は、帰属中の無線LAN端末2を送信先あるいは送信元とするRTPパケットを監視することで、この無線LAN端末2の通話状態を判断する。このため、無線アクセスポイント1は、無線LAN端末2の通話状態判定のために、この無線LAN端末2が送受する呼制御メッセージを監視して特定する必要がない。したがって、本実施の形態によれば、比較的簡易な構成で通話状態を判定することができる。   In the present embodiment, the wireless access point 1 determines the call state of the wireless LAN terminal 2 by monitoring RTP packets having the wireless LAN terminal 2 to which it belongs as a transmission destination or transmission source. For this reason, the wireless access point 1 does not need to monitor and specify a call control message transmitted / received by the wireless LAN terminal 2 in order to determine the call state of the wireless LAN terminal 2. Therefore, according to the present embodiment, the call state can be determined with a relatively simple configuration.

また、本実施の形態において、無線アクセスポイント1は、自無線アクセスポイント1に帰属中の無線LAN端末2であって、所定時間以上「待機中」と判断されている無線LAN端末2がある場合、この無線LAN端末2の自無線アクセスポイント1への帰属を強制解除するとともに、この無線LAN端末2のMACアドレスを含む認証無効通知をLAN4に送信する。また、無線アクセスポイント1は、自無線アクセスポイント1への帰属が強制解除された無線LAN端末2、および他の無線アクセスポイント1から受信した認証無効通知に含まれているMACアドレスにより特定される無線LAN端末2を、IEEE 802.1x認証による認証がなされていないものとして管理対象から外す。したがって、本実施の形態によれば、事前認証の結果がいつまでも無線アクセスポイント1に残ってしまい、無線アクセスポイント1の記憶エリアを圧迫するのを防止できる。   In the present embodiment, the wireless access point 1 is a wireless LAN terminal 2 belonging to the own wireless access point 1 and has been determined to be “standby” for a predetermined time or more. The wireless LAN terminal 2 is forcibly released from belonging to its own wireless access point 1 and transmits an authentication invalidity notification including the MAC address of the wireless LAN terminal 2 to the LAN 4. The wireless access point 1 is specified by the MAC address included in the authentication invalidity notification received from the wireless LAN terminal 2 that has been forcibly released from its own wireless access point 1 and from another wireless access point 1. The wireless LAN terminal 2 is removed from the management target as being not authenticated by the IEEE 802.1x authentication. Therefore, according to the present embodiment, it is possible to prevent the result of the pre-authentication from remaining in the wireless access point 1 forever and squeezing the storage area of the wireless access point 1.

なお、本発明は上記の実施の形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。   In addition, this invention is not limited to said embodiment, Many deformation | transformation are possible within the range of the summary.

例えば、上記の実施の形態において、図2に示す無線アクセスポイント1の構成は、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)などの集積ロジックICによりハード的に実行されるものでもよいし、あるいはDSP(Digital Signal Processor)などの計算機によりソフトウエア的に実行されるものでもよい。または、CPU、メモリ、HDD、DVD−ROM等の補助記憶装置、およびモデム等の通信インターフェースを備えたPC(Personal Computer)等の汎用コンピュータにおいて、CPUが所定のプログラムを補助記憶装置からメモリ上にロードして実行することで実現されるものでもよい。   For example, in the above embodiment, the configuration of the wireless access point 1 shown in FIG. 2 may be implemented by an integrated logic IC such as an application specific integrated circuit (ASIC) or a field programmable gate array (FPGA). Alternatively, it may be executed by software by a computer such as a DSP (Digital Signal Processor). Alternatively, in a general purpose computer such as a PC (Personal Computer) equipped with an auxiliary storage device such as a CPU, memory, HDD, DVD-ROM, and a communication interface such as a modem, the CPU loads a predetermined program from the auxiliary storage device onto the memory. It may be realized by loading and executing.

また、上記の実施の形態は、通常認証および事前認証として、IEEE 802.1x認証を用い、事前認証の結果を利用した認証としてPMKキャッシュ認証を用いている。しかし、本発明はこれに限定されない。無線LAN端末2が帰属中の無線アクセスポイント1から他の無線アクセスポイント1にハンドオーバした場合でも、この無線LAN端末2が通話中でない(待機中)ならば、この無線LAN端末2とハンドオーバ先の無線アクセスポイント1との間で第一の認証済みか否かにかかわらず、第一の認証が実施され、通話中の無線LAN端末2が帰属中の無線アクセスポイント1から他の無線アクセスポイント1にハンドオーバした場合にのみ、ハンドオーバ先の無線アクセスポイント1において実施済みである第一の認証の結果を利用した第二の認証が実施されるものであればよい。   In the above embodiment, IEEE 802.1x authentication is used as normal authentication and pre-authentication, and PMK cache authentication is used as authentication using the result of pre-authentication. However, the present invention is not limited to this. Even when a handover is performed from the wireless access point 1 to which the wireless LAN terminal 2 belongs to another wireless access point 1, if the wireless LAN terminal 2 is not in a call (waiting), the wireless LAN terminal 2 and the handover destination Regardless of whether or not the first authentication is completed with the wireless access point 1, the first authentication is performed, and the wireless access point 1 to which the wireless LAN terminal 2 in communication belongs belongs to another wireless access point 1. It is only necessary that the second authentication using the result of the first authentication that has already been performed at the handover destination wireless access point 1 is performed only when the handover is performed.

また、上記の実施の形態では、無線LAN端末2をLAN4に接続する無線アクセスポイント1に本発明を適用した場合を例にとり説明した。しかし、本発明はこれに限定されない。本発明は、携帯電話機やPHSを公衆網等に接続する無線基地局にも同様に適用できる。   In the above embodiment, the case where the present invention is applied to the wireless access point 1 that connects the wireless LAN terminal 2 to the LAN 4 has been described as an example. However, the present invention is not limited to this. The present invention can be similarly applied to a radio base station that connects a mobile phone or a PHS to a public network or the like.

図1は、本発明の一実施の形態に係る無線アクセスポイント1を含む無線通信システムの概略図である。FIG. 1 is a schematic diagram of a wireless communication system including a wireless access point 1 according to an embodiment of the present invention. 図2は、無線アクセスポイント1の概略構成図である。FIG. 2 is a schematic configuration diagram of the wireless access point 1. 図3(A)は、認証済管理テーブル1051の登録内容例を模式的に表した図であり、図3(B)は、帰属管理テーブル1061の登録内容例を模式的に表した図であり、そして、図3(C)は、通話状態判定テーブル1081の登録内容例を模式的に表した図である。3A is a diagram schematically illustrating an example of registered contents of the authenticated management table 1051, and FIG. 3B is a diagram schematically illustrating an example of registered contents of the attribution management table 1061. FIG. 3C is a diagram schematically showing an example of registered contents of the call state determination table 1081. 図4は、無線アクセスポイント1の動作を説明するためのフロー図である。FIG. 4 is a flowchart for explaining the operation of the wireless access point 1. 図5(A)は、図4の事前認証処理(S11)を説明するためのフロー図であり、図5(B)は、図4の帰属解除処理(S15)を説明するためのフロー図である。5A is a flowchart for explaining the pre-authentication process (S11) of FIG. 4, and FIG. 5B is a flowchart for explaining the attribution release process (S15) of FIG. is there. 図6は、図4の帰属処理(S13)を説明するためのフロー図である。FIG. 6 is a flowchart for explaining the attribution process (S13) of FIG. 図7は、図4の帰属中処理(S21)を説明するためのフロー図である。FIG. 7 is a flowchart for explaining the belonging process (S21) of FIG. 図8は、図1に示す無線通信システムの動作を説明するためのシーケンス図である。FIG. 8 is a sequence diagram for explaining the operation of the wireless communication system shown in FIG. 図9は、図1に示す無線通信システムの動作を説明するためのシーケンス図である。FIG. 9 is a sequence diagram for explaining the operation of the wireless communication system shown in FIG.

符号の説明Explanation of symbols

1:無線アクセスポイント、2:無線LAN端末、3:RADIUSサーバ、4:LAN、5:ルータ、6:WAN、101:有線通信部、102:無線通信部、103:認証処理部、104:事前認証処理部、105:認証済管理部、106:帰属管理部、107:中継部、108:通話状態判定部、109:ハンドオーバ通知送受信部、110:認証無効通知送受信部、1031:802.1x認証処理部、1032:PMKキャッシュ認証処理部、1051:認証済管理テーブル、1061:帰属管理テーブル、1081:通話状態判定テーブル   1: wireless access point, 2: wireless LAN terminal, 3: RADIUS server, 4: LAN, 5: router, 6: WAN, 101: wired communication unit, 102: wireless communication unit, 103: authentication processing unit, 104: advance Authentication processing unit 105: Authenticated management unit 106: Attribution management unit 107: Relay unit 108: Call state determination unit 109: Handover notification transmission / reception unit 110: Authentication invalid notification transmission / reception unit 1031: 802.1x authentication Processing unit, 1032: PMK cache authentication processing unit, 1051: authenticated management table, 1061: attribution management table, 1081: call state determination table

Claims (5)

事前認証機能を備えた無線端末をネットワークに接続する無線中継装置であって、
前記無線端末に対して、認証サーバを用いた第一の認証処理を行う第一認証処理手段と、
前記無線端末に対して、前記第一の認証処理によって得られた認証情報を用いた第二の認証処理を行う第二認証処理手段と、
前記ネットワークを介して前記無線端末から事前認証要求を受信した場合に、前記第一認証処理手段に、当該無線端末に対して前記第一の認証処理を実施させる事前認証処理手段と、
前記第一の認証処理によって認証済みの前記無線端末を管理する認証済管理手段と、
前記無線端末の自無線中継装置への帰属を管理する帰属管理手段と、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末から受信した事前認証要求を、前記ネットワークを介して他の無線中継装置に中継する事前認証要求中継手段と、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末の通話状態を判断する通話状態判断手段と、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末の帰属が解除される場合に、当該無線端末の通話状態前記通話状態判断手段により「通話中」と判断されているならば、当該無線端末の識別情報を含むハンドオーバ通知を前記ネットワークを介して他の無線中継装置に送信するハンドオーバ通知手段と、を有し、
前記帰属管理手段は、
前記無線端末から帰属要求を受信した場合に、当該無線端末が前記認証済管理手段に管理されており、且つ当該無線端末の識別情報を含む前記ハンドオーバ通知を受信済みであるならば、前記第二認証処理手段に、当該無線端末に対して前記第二の認証処理を実施させて、当該無線端末を自無線中継装置へ帰属させ、当該無線端末が前記認証済管理手段に管理されていないか、あるいは当該無線端末の識別情報を含む前記ハンドオーバ通知を未受信であるならば、前記第一認証処理手段に、当該無線端末に対して前記第一の認証処理を実施させて、当該無線端末を自無線中継装置へ帰属させ、
前記無線端末から帰属解除要求を受信した場合に、当該無線端末の自無線中継装置への帰属を解除する
ことを特徴とする無線中継装置。
A wireless relay device for connecting a wireless terminal having a pre-authentication function to a network,
A first authentication processing means for performing a first authentication process using an authentication server for the wireless terminal;
A second authentication processing means for performing a second authentication process using the authentication information obtained by the first authentication process on the wireless terminal;
When a pre-authentication request is received from the wireless terminal via the network, the first authentication processing unit causes the wireless terminal to perform the first authentication process,
Authenticated management means for managing the wireless terminal authenticated by the first authentication process;
Attribution management means for managing attribution of the wireless terminal to the own wireless relay device;
Pre-authentication request relay means for relaying the pre-authentication request received from the wireless terminal belonging to the own wireless relay apparatus by the belonging management means to another wireless relay apparatus via the network;
A call state determining means for determining a call state of the wireless terminal belonging to the own wireless relay device by the belonging management means ;
When said by attribution management means belonging of the wireless terminal in the belonging to the radio relay apparatus is released, if the call state of the wireless terminal is determined to be "busy" by the call state determination unit, a handover notification including the identification information of the wireless terminal has a handover notification means for sending to another wireless relay apparatus via the network,
The attribution management means is
When receiving the attribution request from the wireless terminal, if the wireless terminal is managed by the authenticated management means and the handover notification including the identification information of the wireless terminal has been received, the second the authentication processing means, the by carrying out the second authentication processing for the wireless terminal, the wireless terminal is assigned to the wireless relay apparatus, whether the wireless terminal is not managed in the authenticated management means, Alternatively, if the handover notification including the identification information of the wireless terminal has not been received, the first authentication processing unit is caused to perform the first authentication processing on the wireless terminal so that the wireless terminal is automatically Be attributed to the wireless relay device,
A wireless relay device, wherein upon receiving an attribution cancellation request from the wireless terminal, the attribution of the wireless terminal to the own wireless relay device is canceled.
請求項1に記載の無線中継装置であって、
前記通話状態判断手段は、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末を送信先あるいは送信元とするRTPパケットを監視することで、当該無線端末の通話状態を判断する
ことを特徴とする無線中継装置。
The wireless relay device according to claim 1,
The call state determination means includes:
The radio relay apparatus characterized in that the state of communication of the radio terminal is determined by monitoring RTP packets having the radio terminal belonging to the radio relay apparatus belonging to the own radio relay apparatus as a transmission destination or a transmission source by the attribution management means .
請求項1又は2に記載の無線中継装置であって、
前記帰属管理手段は、
前記帰属管理手段により自無線中継装置に帰属中の前記無線端末であって、前記通話状態判断手段により所定時間以上「待機中」と判断されている前記無線端末がある場合、当該無線端末の自無線中継装置への帰属を強制解除するとともに、当該無線端末の識別情報を含む認証無効通知を、前記ネットワークを介して他の無線中継装置に送信し、
前記認証済管理手段は、
前記帰属管理手段により自無線中継装置への帰属が強制解除された前記無線端末、あるいは前記ネットワークを介して他の無線中継装置から受信した前記認証無効通知に含まれている識別情報により特定される前記無線端末を、前記第一の認証処理による認証がなされていないものとして管理対象から外す
ことを特徴とする無線中継装置。
The wireless relay device according to claim 1 or 2,
The attribution management means is
If there is the wireless terminal belonging to the own wireless relay device by the belonging management means and the wireless terminal has been determined to be “standby” for a predetermined time or more by the call state determining means, Forcibly canceling attribution to the wireless relay device, and sending an authentication invalidity notification including identification information of the wireless terminal to another wireless relay device via the network,
The authenticated management means includes
Identified by the identification information included in the authentication invalidation notification received from the wireless terminal whose membership to the wireless relay device is forcibly released by the membership management means or from another wireless relay device via the network The wireless relay device according to claim 1, wherein the wireless terminal is excluded from a management target on the assumption that authentication by the first authentication processing is not performed.
請求項1乃至3の何れか一項に記載の無線中継装置であって、
前記第一の認証処理は、RADIUSサーバを用いて行われるIEEE 802.1x認証に従った認証処理であり、
前記第二の認証処理は、IEEE 802.1x認証によって得られたPMKキャッシュを前記認証情報として利用した認証処理である
ことを特徴とする無線中継装置。
The wireless relay device according to any one of claims 1 to 3,
The first authentication process is an authentication process in accordance with IEEE 802.1x authentication performed using a RADIUS server ,
The wireless authentication device according to claim 2, wherein the second authentication process is an authentication process using a PMK cache obtained by IEEE 802.1x authentication as the authentication information .
無線中継装置が、事前認証機能を備えた無線端末をネットワークに接続するための帰属管理方法であって、
前記ネットワークを介して前記無線端末から事前認証要求を受信した場合に、当該無線端末に対して、認証サーバを用いた第一の認証処理を実施し、
前記無線端末から帰属要求を受信した場合に、当該無線端末が前記事前認証要求に基づく第一の認証処理によって認証済みであり、且つ当該無線端末の識別情報を含むハンドオーバ通知を受信済みであるならば、当該無線端末に対して、前記事前認証要求に基づく第一の認証処理によって得られた認証情報を用いた第二の認証処理を実施して、当該無線端末を自無線中継装置へ帰属させ、一方、当該無線端末が前記事前認証要求に基づく第一の認証処理によって認証されていないか、あるいは当該無線端末の識別情報を含む前記ハンドオーバ通知を未受信であるならば、当該無線端末に対して前記第一の認証処理を実施して、当該無線端末を自無線中継装置へ帰属させ、
自無線中継装置に帰属中の前記無線端末から前記事前認証要求を受信した場合に、前記ネットワークを介して他の無線中継装置に中継し、
前記無線端末から帰属解除要求を受信した場合に、当該無線端末の自無線中継装置への帰属を解除するとともに、当該無線端末が通話中であるならば、当該無線端末の識別情報を含む前記ハンドオーバ通知を、前記ネットワークを介して他の無線中継装置に送信する
ことを特徴とする帰属管理方法。
A wireless relay device is an attribution management method for connecting a wireless terminal having a pre-authentication function to a network,
When a pre-authentication request is received from the wireless terminal via the network, a first authentication process using an authentication server is performed on the wireless terminal,
If the wireless terminal has been authenticated by the first authentication process based on the pre-authentication request and has received a handover notification including identification information of the wireless terminal when receiving the attribution request from the wireless terminal For example, the second authentication process using the authentication information obtained by the first authentication process based on the pre-authentication request is performed on the wireless terminal, and the wireless terminal is attributed to the own wireless relay apparatus. On the other hand, if the wireless terminal is not authenticated by the first authentication process based on the pre-authentication request or if the handover notification including the identification information of the wireless terminal has not been received, the wireless terminal The first authentication process is performed for the wireless terminal to belong to the own wireless relay device,
When the pre-authentication request is received from the wireless terminal belonging to the own wireless relay device, relay to another wireless relay device via the network,
In the case of receiving an attribution cancellation request from the wireless terminal, the handover of the wireless terminal to the own wireless relay device is canceled, and if the wireless terminal is in a call, the handover including identification information of the wireless terminal assignment management method characterized by sending a notification, to another wireless relay apparatus via the network.
JP2008244151A 2008-09-24 2008-09-24 Radio relay apparatus and attribution management method Expired - Fee Related JP5217837B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008244151A JP5217837B2 (en) 2008-09-24 2008-09-24 Radio relay apparatus and attribution management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008244151A JP5217837B2 (en) 2008-09-24 2008-09-24 Radio relay apparatus and attribution management method

Publications (2)

Publication Number Publication Date
JP2010081031A JP2010081031A (en) 2010-04-08
JP5217837B2 true JP5217837B2 (en) 2013-06-19

Family

ID=42211020

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008244151A Expired - Fee Related JP5217837B2 (en) 2008-09-24 2008-09-24 Radio relay apparatus and attribution management method

Country Status (1)

Country Link
JP (1) JP5217837B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015070571A (en) * 2013-09-30 2015-04-13 サイレックス・テクノロジー株式会社 Radio base station device, control method for radio base station device, and program
JP6775928B2 (en) 2015-08-27 2020-10-28 横河電機株式会社 Wireless relay equipment, control devices, wireless communication systems, and entry methods

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4367284B2 (en) * 2004-08-06 2009-11-18 三菱電機株式会社 HANDOVER METHOD, MOBILE COMMUNICATION SYSTEM, AND ACCESS POINT
JP2007194848A (en) * 2006-01-18 2007-08-02 Mitsubishi Electric Corp Mobile wireless terminal authentication method for wireless LAN system
JP4584234B2 (en) * 2006-11-30 2010-11-17 Necインフロンティア株式会社 Wireless LAN handover system and method

Also Published As

Publication number Publication date
JP2010081031A (en) 2010-04-08

Similar Documents

Publication Publication Date Title
US10728757B2 (en) Security implementation method, related apparatus, and system
US10477441B2 (en) Method and apparatus to enable multiple wireless connections
EP3585107A1 (en) Multi-access management implementation method and device, and computer storage medium
KR102284317B1 (en) Communication method, core network device and access network device
JP6123009B1 (en) User apparatus, base station, and connection establishment method
KR101886748B1 (en) Mme reselection method and mme
CN114223232B (en) Communication method and related equipment
CN103582044A (en) Switching control method and device
WO2020220888A1 (en) Handover processing method and apparatus
US20240179661A1 (en) Deregistration Method and Communication Apparatus
JP5436345B2 (en) Wireless LAN setting method and system using portable terminal
JP4659864B2 (en) Communication system, authentication server, and communication method
JP6153168B2 (en) Connection authentication method, system and terminal
JP5217837B2 (en) Radio relay apparatus and attribution management method
WO2024067619A1 (en) Communication method and communication apparatus
WO2022247812A1 (en) Authentication method, communication device, and system
CN112788684B (en) A method and system for improving terminal networking quality
JP2006041594A (en) Mobile communication system and authentication method of mobile terminal
CN118764925A (en) Session network control method, device, equipment, storage medium and computer program product
CN101577634B (en) Network-quitting method, network side management device and network system of multi-host system
CN110062427B (en) Trusted service management method and device supporting wireless network switching and electronic equipment
CN102984700A (en) Security information storage apparatus, and authentication method and system
CN121151980A (en) A communication method and device, storage medium, and computer program product
WO2025031182A1 (en) Communication method and communication apparatus
CN119946893A (en) Communication method, device, equipment and system in wireless local area network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110705

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121120

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121219

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130218

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160315

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5217837

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160315

Year of fee payment: 3

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees