[go: up one dir, main page]

JP2006041961A - 通信システム、認証装置、基地局装置、端末装置及びそれらに用いるアクセス制御方法 - Google Patents

通信システム、認証装置、基地局装置、端末装置及びそれらに用いるアクセス制御方法 Download PDF

Info

Publication number
JP2006041961A
JP2006041961A JP2004219457A JP2004219457A JP2006041961A JP 2006041961 A JP2006041961 A JP 2006041961A JP 2004219457 A JP2004219457 A JP 2004219457A JP 2004219457 A JP2004219457 A JP 2004219457A JP 2006041961 A JP2006041961 A JP 2006041961A
Authority
JP
Japan
Prior art keywords
access control
authentication
base station
control information
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004219457A
Other languages
English (en)
Inventor
Takahiro Kakumaru
貴洋 角丸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004219457A priority Critical patent/JP2006041961A/ja
Publication of JP2006041961A publication Critical patent/JP2006041961A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】 基地局を介してデータ通信を行う全てのユーザに対して一律のアクセス制御のみではなく、ユーザ毎においても異なるアクセス制御を行うことが可能な通信システムを提供する。
【解決手段】 無線基地局1は無線端末装置2−1,2−2からの接続ネゴシエーション要求に応じて接続ネゴシエーションを行い、接続ネゴシエーション完了後、無線端末装置2−1,2−2に対してネットワーク接続のための認証を開始する。無線基地局1はネットワーク接続のための認証装置3による認証結果に伴い、無線端末装置2−1,2−2毎のアクセス制限を行う。アクセス制限に関する情報は認証装置3からの認証成功要求とともに無線基地局1で受信され、無線基地局1が受信した値を基に認証された無線端末装置2−1,2−2からのデータ通信を制御する。
【選択図】 図1

Description

本発明は通信システム、認証装置、基地局装置、端末装置、ゲートウェイ装置及びそれらに用いるアクセス制御方法並びにそのプログラムに関し、特に無線LAN(Local Area Network)におけるセキュリティに関する。
近年、無線LANセキュリティの脆弱性が指摘されている。つまり、無線LANに用いられるWEP(Wired Equivalent Privacy)キーによって暗号化されたデータも解析されてしまう可能性があると同時に、WEPキーが解析されることによって、無線LANを介するすべてのデータ通信まで解析されてしまう危険性があることが指摘されている。
これらの危険性をできるだけ排除するためには、IEEE(Institute of Electrical and Electronic Engineers)802.1X認証という無線基地局を介してのデータ通信のためにユーザ認証が必要であり(例えば、非特許文献1参照)、また無線LANでのデータ暗号化のための暗号化キーを動的に生成及び定期的に変更するという方法が用いられているケースが多々見られるようになってきている。
このIEEE802.1Xでは、ユーザ認証を行うために、接続しようとしている無線端末装置のユーザを認証装置においてもしくは無線基地局において判断することが可能である。もしくは、セキュリティ上の観点から、ユーザ名を隠蔽している場合においても、認証装置においては当然ユーザを判断することが可能であり、無線基地局においては接続しようとしているユーザの所属するドメイン名を判断する値をユーザID(識別情報)に含むことで、そのドメイン名を判断することが可能である。尚、ユーザの所属するドメイン名はレルムと呼ばれているので、以下、レムルと表記する。
また、インタネット利用の急増に伴い、無線によるインタネットアクセスのニーズが増大しており、無線局免許を要せず、配線がいらない、廉価で手軽にLANを構築することができる小電力データ通信システムをはじめとする2.4GHz帯等を使用する無線LANシステムの利用が進んでいる。
一方、ネットワークに接続された機器に対するアクセスを制限する方法としては、当該ネットワーク内に、ユーザ毎に機器単位のアクセス許可情報を持つ管理テーブルを設け、このアクセス許可情報に基づいて、操作させたくない機器に対するアクセスを制限する方法が提案されている(例えば、特許文献1参照)。
また、他のアクセスを制限する方法としては、ネットワークレベルの認証情報に個人レベルの認証情報を付加した認証情報及び個人レベルのアクセス制御情報をネットワークレベル認証サーバに保持し、利用者端末の認証結果にアクセス制御情報を付加してゲートウェイ装置に転送し、利用者端末からの情報サーバへのアクセスをアクセス制御情報に基づいてゲートウェイ装置が制御する方法が提案されている(例えば、特許文献2参照)。
特開2001−251312号公報 特開2003−087332号公報 "6.Principles of operation"("Port−Based Network Access Control",IEEE802.1X,pp7−13,2001年6月14日)
上述した従来の伝送媒体に無線を利用した無線LANシステムでは、無線区間を暗号化するための仕組みとしてWEPキーによる暗号化が定義されているが、最近、WEPキーを使用することによる無線LANセキュリティの脆弱性が指定されている。この脆弱性を解決する方法としては、ネットワーク接続のための認証、例えば無線端末装置が無線基地局を介するデータ通信を行う際にユーザ認証を必要とする方法(IEEE802.1X認証)が広まり始めている。
また、従来の無線LANシステムでは、IEEE802.1Xを使用することによって、無線基地局に接続する全ての無線端末装置が使用していた同一の暗号鍵を、各無線端末装置毎に及び無線基地局に接続する毎に別々の暗号鍵を自動的に割り当てられる。そのため、従来の無線LANシステムでは、セキュリティの向上を図ることが可能となっている。特に、企業での無線LANシステムの利用等においてはIEEE802.1Xを使用することが必須の機能であると考えられる。
さらに、従来の無線LANシステムでは、接続してきた無線端末装置に対する接続可否に関して、IEEE802.1Xの認証結果によって行うことが可能である。しかしながら、認証された無線端末装置からの無線基地局を介するデータ通信の内容や通信相手によってアクセス権情報に基づいたフィルタリングにてアクセス制限を行うためには、別途ファイアウォール機能の役割となるゲートウェイ装置を設置し、アクセス権情報を個別に設定する必要がある。特許文献2の技術も、この方法と同様に、別途ファイアウォール機能の役割となるゲートウェイ装置を設置する必要がある。
さらにまた、従来の無線LANシステムでは、接続元無線端末装置のIPアドレス等をキーとして、ゲートウェイ装置においてアクセス制限を行うことが可能であるが、ユーザ毎にアクセス制限を行おうとした場合、別途何らかの認証機構を必要としなければならないという問題もある。
上記のアクセス制限の要求としては、授業中や講演中等における電話の使用を不可としたり、ある特定のユーザに対してアクセス可能とするが、他のユーザに対してはアクセス不可としたい場合等さまざまな状況において必要となることが考えられる。この問題は上記の特許文献1の技術でも解決することができない。
企業内においては、各拠点や各部署等において多数の無線基地局が設置されたり、公衆無線LANスポット接続サービス等のように無線LANシステムを利用したサービスが多数の場所で見られるようになっている。しかしながら、それぞれの多数の場所においてアクセス制限を行うために、ユーザ毎もしくは無線端末装置毎にアクセス権情報を設定することは容易ではない。
また、上記の認証機構は、無線端末装置から無線基地局及びゲートウェイ装置を介してLAN回線もしくはWAN(Wide Area Network)回線へ接続する際のデータ通信を制限する機構であり、ネットワーク接続を使用しない無線端末装置内の機能に関してはまったく制御することができない。
そこで、本発明の目的は上記の問題点を解消し、基地局を介してデータ通信を行う全てのユーザに対して一律のアクセス制御のみではなく、ユーザ毎においても異なるアクセス制御を行うことができる通信システム、認証装置、基地局装置、端末装置、ゲートウェイ装置及びそれらに用いたアクセス制御方法並びにそのプログラムを提供することにある。
本発明による通信システムは、端末装置から基地局装置を介してネットワーク接続する際に認証装置による認証を必要とする通信システムであって、前記認証と連携して前記端末装置に対する認証成功通知とともに前記端末装置に対するアクセス制御情報を前記基地局装置に通知する手段を前記認証装置に備えている。
本発明による認証装置は、端末装置から基地局装置を介してネットワーク接続する際に前記端末装置に対する認証を行う認証装置であって、前記認証と連携して前記端末装置に対する認証成功通知とともに前記端末装置に対するアクセス制御情報を前記基地局装置に通知する手段を備えている。
本発明による基地局装置は、ネットワーク接続する際に認証装置による認証を必要とする端末装置を当該認証結果に応じて前記ネットワークへの接続を行う基地局装置であって、前記認証装置からの認証成功通知とともに通知される前記端末装置に対するアクセス制御情報に基づいて前記端末装置毎のデータの通過/破棄のフィルタリング機能を保持する手段を備えている。
本発明による端末装置は、基地局装置を介してネットワーク接続する際に認証装置による認証を必要とする端末装置であって、前記基地局装置から通知されたアクセス制御情報に基づいてアプリケーション毎のデータの通過/破棄のフィルタリング機能を保持する手段を備えている。
本発明によるゲートウェイ装置は、端末装置から基地局装置を介してネットワーク接続する際に認証装置による認証を必要とする通信システムにおいて、前記基地局装置と前記ネットワークとの間に配設されたゲートウェイ装置であって、前記認証装置から通知されたアクセス制御情報に基づいて前記端末装置毎のデータの通過/破棄のフィルタリング機能を保持する手段を備えている。
本発明によるアクセス制御方法は、端末装置から基地局装置を介してネットワーク接続する際に認証装置による認証を必要とする通信システムに用いられるアクセス制御方法であって、前記認証装置側に、前記認証と連携して前記端末装置に対する認証成功通知とともに前記端末装置に対するアクセス制御情報を前記基地局装置に通知する処理を備えている。
本発明によるアクセス制御方法のプログラムは、端末装置から基地局装置を介してネットワーク接続する際に認証装置による認証を必要とする通信システムに用いられるアクセス制御方法のプログラムであって、前記認証装置のコンピュータに、前記認証と連携して前記端末装置に対する認証成功通知とともに前記端末装置に対するアクセス制御情報を前記基地局装置に通知する処理を実行させている。
すなわち、本発明の通信システムは、ユーザ毎に接続している基地局を介してやりとりされるデータの種類によってアクセス権を与える場合において、基地局を介してデータをやり取りするに当たりユーザ認証を必要とする状況におけるユーザID(識別情報)を用いて、例えばIEEE(Institute of Electrical and Electronic Engineers)802.1X認証のユーザIDを用いて解決しようとするものである。
本発明の通信システムでは、認証装置において保持するユーザIDに対応するアクセス権情報のリストからユーザ認証時に該ユーザに対応するアクセス権情報を取り出し、認証装置から基地局への認証成功通知とともに、アクセス権情報を基地局へ通知することによって、基地局においてアクセス制限を行うことが可能となる。
あるいは、本発明の通信システムでは、基地局において保持するユーザIDに対応するアクセス権情報のリストから基地局が認証成功したユーザに対応するアクセス権情報を取得してアクセス制限を行うことが可能である。
ここでのアクセス制限とは、例えば、TCP/IP(Transmission Consrol Protocol/Internet Protocol)パケットのヘッダを検査し、条件を満たしたパケットのみを通過させる機能であり、発信元及び転送先のIPアドレスやポート番号やパケットの種類[TCP,UDP(User Datagram Protocol),ICMP(Internt Control Message Protocl)]等の情報やパケットの転送方向等の条件を基に、通過/破棄を行うことである。
また、ユーザID毎のみではなく、レルム(ユーザの所属するドメイン名)毎にアクセス権を与えたり、さらにグループを作成し、レルム毎にグループに所属させたり、ユーザ毎にグループに所属させることで、グループ毎にアクセス権を与えるといったことが可能となる。
さらに、本発明の通信システムでは、認証装置において、または基地局において、ユーザ毎に設定されるアクセス権に関する情報を基地局から端末装置へ通知することによって、端末装置において該当機能を使用不可とすることも可能となる。
本発明では、LAN回線またはWAN回線に接続して伝送媒体に無線を利用した無線基地局と、LAN回線またはWAN回線に無線基地局を介して伝送媒体に無線を利用して接続する無線端末装置と、LAN回線またはWAN回線に接続して無線基地局を介した無線端末装置からの認証要求を処理する認証装置とから構成されている。
無線端末装置は無線基地局を介して接続するためにユーザ認証もしくは相互認証を必要とする無線ネットワークシステムにおいて、ユーザ認証によって認証された無線端末装置毎に無線端末装置から無線基地局を介してやりとりされるLAN回線またはWAN回線へのデータ通信を無線基地局においてデータ通信内容に応じて通信を制限することによって、ユーザIDをキーとして無線基地局を介するデータ通信を内容によって制限することが可能となる。
また、本発明では、無線基地局におけるアクセス制御情報を無線端末装置へ通知することによって、無線端末装置内においてアクセス制御情報に沿って機能を制限することが可能となる。
本発明は、以下に述べるような構成及び動作とすることによって、無線基地局を介してデータ通信を行う全てのユーザに対して一律のアクセス制御のみではなく、ユーザ毎においても異なるアクセス制御を行うことができるという効果が得られる。
次に、本発明の実施例について図面を参照して説明する。図1は本発明の第1の実施例による無線通信システムの構成を示すブロック図である。図1において、本発明の第1の実施例による無線通信システムはLAN(Local Area Network)回線またはWAN(Wide Area Network)回線100に接続された無線基地局1と、無線基地局1を介して伝送媒体に無線を利用してネットワークに接続する無線端末装置2−1,2−2とを配置し、音声や動画等、その他様々なデータ通信を提供する無線ネットワークのシステム構成としている。
つまり、本発明の第1の実施例による無線通信システムは無線基地局1と、無線端末装置2−1,2−2と、無線基地局1とLAN回線またはWAN回線100で接続された認証装置3と、無線基地局1とLAN回線またはWAN回線100で接続されたユーザ登録データベース装置4と、LAN回線またはWAN回線100に接続された端末装置5とから構成されている。
無線基地局1は無線端末装置2−1と端末装置5との間でのデータ通信及び無線端末装置2−2と端末装置5との間でのデータ通信を中継する動作を行っている。
無線基地局1は無線端末装置2−1,2−2からの接続ネゴシエーション要求に応じて接続ネゴシエーションを行い、接続ネゴシエーション完了後、無線端末装置2−1,2−2に対してネットワーク接続のための認証を開始する。無線基地局1はネットワーク接続のための認証結果に伴い、無線端末装置2−1,2−2毎のアクセス制限を行うことが可能である。
アクセス制限に関する情報は認証装置3からの認証成功要求とともに無線基地局1で受信され、無線基地局1が受信した値を基に認証された無線端末装置2−1,2−2からのデータ通信を制御することで、以後、無線端末装置2−1,2−2のアクセス制御を行う。
無線端末装置2−1,2−2は無線基地局1を介してLAN回線またはWAN回線100に接続された端末装置5とインタネットプロトコル〔IP〕を用いて通信が可能である。しかしながら、無線端末装置2−1,2−2はデータ通信が可能となる前に、無線基地局1と無線物理層を用いて接続ネゴシエーションを行い、接続ネゴシエーション完了後、IEEE(Institute of Electrical and Electronic Engineers)802.1X(上記の非特許文献1参照)によるユーザ認証を必要とし、ユーザ認証完了後、本ネットワークの一端末として動作する。
IEEE802.1X認証時には、ユーザID及びパスワードを必要とするかもしれないし、保持している自身のユーザ証明書を用いるかもしれない。どちらを使用するかはネットワーク接続のための認証時に選択される認証方式しだいである。
認証装置3は無線端末装置2−1,2−2が無線基地局1と接続ネゴシエーション後にネットワーク接続のための認証を行う際に、無線基地局1に代わって無線端末装置2−1,2−2の認証を行う。認証装置3は無線基地局1からのユーザ認証要求に応じて、無線端末装置2−1,2−2のユーザ認証を自身で保持しているユーザ情報を利用し、もしくはユーザ登録データベース装置4と通信することで行い、ユーザ認証結果を無線基地局1へ伝える。
認証装置3はユーザ認証結果が成功である場合、自身で保持する該ユーザに対するアクセス制御情報を一緒に無線基地局1へ通知する。認証装置3は無線基地局1と認証に関する通信及びユーザに対するアクセス制御情報の通知を行い、ユーザ情報の認証に関する通信をユーザ登録データベース装置4と行う。認証装置3は、ネットワーク接続のための認証方式によっては、無線端末装置2−1,2−2から渡される証明書を検証することによってユーザ認証を行う。
ユーザ登録データベース装置4は無線端末装置2−1,2−2を使用しているユーザのアカウント及びパスワードを管理している。この機能は認証装置3内に含まれるかもしれない。
図2は図1の認証装置3の構成を示すブロック図である。図3において、認証装置3は設定インタフェース部31と、ユーザ情報記憶部32と、パラメータ記憶部33と、通信制御部34と、有線通信インタフェース部35と、記録媒体36とから構成されている。
設定インタフェース部31はユーザ情報記憶部32及びパラメータ記憶部33に設定されている情報の確認・設定を行うことを可能にする。WEBブラウザ経由によるアクセスやシリアルポート接続によるコマンドライン入力等を可能にする。
ユーザ情報記憶部32は無線端末装置2−1,2−2に対するユーザ認証時に必要となるユーザ名及び典型的にはパスワードの組を保持している。ユーザ情報記憶部32は、ネットワーク接続のための認証方式によっては、無線端末装置2−1,2−2から渡される証明書を検証する時に使用するルートCA(Certificate Authority:認証局)証明書に関する情報を保持するかもしれない。
ユーザ情報記憶部32は通信制御部34によって無線基地局1から受信するユーザ認証要求に対しての認証可否の判断の際に使用される。ユーザ情報記憶部32の値は、設定インタフェース部31によって設定・変更される。
パラメータ記憶部33はユーザ情報記憶部32に登録されているユーザに対する各種パラメータを保持している。各種パラメータとは、ユーザが現在認証されようとしている無線基地局1を介して認証後にデータ通信を行うことができる種類に関する値を含む。パラメータ記憶部33は通信制御部34によって、認証可とされたユーザに対するアクセス制御に関する情報を取得する際に使用される。パラメータ記憶部33の値は設定インタフェース部31によって設定・変更される。
通信制御部34は有線通信インタフェース部35より受信する無線基地局1からのユーザ認証要求の処理を行う。通信制御部34は受信したユーザ認証要求に応じて、ユーザ情報をユーザ情報記憶部32から取得し、認証の可否を判断する。ユーザ情報はLAN回線またはWAN回線100に接続するユーザ登録データベース装置4から取得するかもしれない。
通信制御部34はユーザ認証要求からユーザ承認の判断まで、ネットワーク接続のための認証方式によって、無線基地局1との複数回のやり取りが発生するかもしれない。
通信制御部34は認証不可と判断した場合、認証不可であることを無線基地局1へ通知し、認証可と判断した場合、該ユーザに対するアクセス制御情報をパラメータ記憶部33から取得し、アクセス制御情報と認証可であることとを無線基地局1へ一緒に通知する。認証可であることを通知する際に一緒にアクセス制御情報を通知する点が、従来の認証装置とは異なる点である。
有線通信インタフェース部35はLAN回線またはWAN回線100に接続しており、通信制御部34から受け取ったデータをLAN回線またはWAN回線100へ送信する処理を行う。また、有線通信インタフェース部35は受信したデータを通信制御部34へ渡す処理を行う。
IEEE802.1X認証時には、典型的には無線基地局1と通信が行われ、またLAN回線またはWAN回線100で接続されている端末装置5との通信の際にも使用される。
認証装置3が図示せぬCPU(中央処理装置)及びRAM(リードオンリメモリ)を含むコンピュータの場合、CPUは記録媒体36に格納されたプログラムを実行することで、上述した各部の処理を実現する。
図3は図1の無線基地局1の構成を示すブロック図である。図3において、無線基地局1は有線通信インタフェース部11と、アクセス制御情報記憶部12と、アクセス制御部13と、通信制御部14と、無線通信インタフェース部15と、記録媒体16とから構成されている。
有線通信インタフェース部11はLAN回線またはWAN回線100に接続しており,通信制御部14から受け取ったデータをLAN回線またはWAN回線100で送信する処理を行う。また、有線通信インタフェース部11は受信したデータを通信制御部14へ渡す処理を行う。
有線通信インタフェース部11はネットワーク接続のための認証時に、認証装置3との通信を行い、また有線側に接続されている端末装置5との通信の際にも用いられる。
アクセス制御情報記憶部12は通信制御部14からアクセス制御情報が設定され、アクセス制御部13からデータの通過/破棄の判断を行う際に読出される。アクセス制御部13は通信制御部14からアクセス制御情報記憶部12に対して設定されるアクセス制御情報に基づき、通信制御部14から渡されるデータの通過/破棄を行う動作を行う。
通信制御部14は有線通信インタフェース部11からのデータまたは無線通信インタフェース部15からのデータを、送信先に応じて有線通信インタフェース部11または無線通信インタフェース部15から送信するための制御を行う。また、通信制御部14は無線端末装置2−1,2−2とのネゴシエーション処理も行う。
通信制御部14は無線端末装置2−1,2−2からネゴシエーション要求を受けると、オーセンティケーション・アソシエーション動作を完了させる。通信制御部14はアソシエーション動作の完了後、ネットワーク接続のための認証を開始する。
通信制御部14はネットワーク接続のための認証を開始すると、典型的には無線端末装置2−1,2−2に対してEAP(Extensible Authentication Protocol) Request/Identityを送信し、無線端末装置2−1,2−2からの応答であるEAP Response/Identityを受信する。
通信制御部14は受信したEAP Response/Identityからユーザ名を判断し、認証装置3に対してユーザ認証要求を送信する。通信制御部14は認証装置3から認証結果を受信すると、認証可否を無線端末装置2−1,2−2へ通知する。通信制御部14は、ネットワーク接続のための認証方式によっては、認証要求を送信してから認証結果を受信するまでに複数の認証データのやりとりが無線端末装置2−1,2−2と認証装置3との間で発生するかもしれない。
通信制御部14は無線端末装置2−1,2−2からの認証データを認証装置3に転送する動作を行う。通信制御部14は認証可であることを認証装置3から通知された場合、認証結果通知と一緒に認証装置3から通知されるアクセス制御情報をアクセス制御情報記憶部12へ設定する。
以後、認証されたユーザによって無線基地局1を介してやり取りされるデータ通信に対しては、通信制御部14から一度アクセス制御部13を介した動作が行う。認証データに関しては、アクセス制御部13を介さず、直接LAN回線またはWAN回線100へと接続される。
無線通信インタフェース部15は通信制御部14から受け取ったデータを無線で送信する処理を行う。また、無線通信インタフェース部15は受信したデータを通信制御部14へ渡す処理を行う。無線通信インタフェース部15は、主に、無線端末装置2−1,2−2との通信の際に用いられる。
本実施例では、無線基地局1における構成で、アクセス制御情報記憶部12及びアクセス制御部13が設けられている。アクセス制御情報記憶部12には、無線基地局1を介してデータ通信を開始するに当たって行う必要のあるIEEE802.1X認証を成功裡に完了した際に、認証装置3から通知されるアクセス制御情報が記憶されている。
無線基地局1にて中継される無線端末装置2−1,2−2のデータは、無線基地局1において各IEEE802.1X認証後に各々にて設定されるアクセス制御情報に基づき、アクセス制御部13でフィルタリングされることによって、データ通信内容が制御される。これによって、本実施例では、ネットワーク接続のための認証と連携してユーザ毎のデータ通信によるアクセス制限が可能となる。
また、本実施例では、アクセス制御情報を無線基地局1から無線端末装置2−1,2−2へと通知することによって、無線端末装置2−1,2−2内でアプリケーション毎の機能のアクセス制限を行うことが可能となる。
無線基地局1が図示せぬCPU及びRAMを含むコンピュータの場合、CPUは記録媒体16に格納されたプログラムを実行することで、上述した各部の処理を実現する。
図4は図2のパラメータ記憶部33の構成例を示す図である。図4において、パラメータ記憶部33はパラメータ(330)としてユーザ名“ALICE”のアクセス制御情報(331)と、ユーザ名“BOB”のアクセス制御情報(332)と、ユーザ名“CHARLIE”のアクセス制御情報(333)とを保持している。
また、それらパラメータ(330)の機能としては電話(334)、TV(テレビ)電話(335)、メール(336)、ブラウザ(337)があり、それぞれに対応して使用可否(「○」または「×」)を保持している。
図5(a)は本発明の第1の実施例によるアクセス制御情報フォーマットの構成例を示す図であり、図5(b)は本発明の第1の実施例による属性値フォーマットの構成例を示す図である。図5(a)において、アクセス制御情報フォーマットAは「属性番号(26番) Vendor−Specific」(A1)と、属性長(A2)と、値(ベンダID)(A3)と、値(A4)とから構成されている。図5(b)において、属性値フォーマットBは各々「属性番号」と「属性長」と「値」とからなる複数の組で構成されている。
図6(a)は本発明の第1の実施例による独自属性一覧を示す図であり、図6(b)は本発明の第1の実施例による各属性の値を示す図である。図6(a)において、独自属性一覧Cの属性C1は#が「1」で、属性の名前が「電話」で、属性値が「ENUM」であり、属性C2は#が「2」で、属性の名前が「TV電話」で、属性値が「ENUM」であり、属性C3は#が「3」で、属性の名前が「メール」で、属性値が「ENUM」であり、属性C4は#が「4」で、属性の名前が「ブラウザ」で、属性値が「ENUM」である。
図6(b)において、各属性値に対応する値Dの属性D10の行D11には#として「1」が、値の名前として「電話OK」が、対応する属性の属性番号として「1」がそれぞれ保持されており、行D12には#として「2」が、値の名前として「電話NG」が、対応する属性の属性番号として「1」がそれぞれ保持されている。
属性D20の行D21には#として「1」が、値の名前として「TV電話OK」が、対応する属性の属性番号として「2」がそれぞれ保持されており、行D22には#として「2」が、値の名前として「TV電話NG」が、対応する属性の属性番号として「2」がそれぞれ保持されている。
属性D30の行D31には#として「1」が、値の名前として「メールOK」が、対応する属性の属性番号として「3」がそれぞれ保持されており、行D32には#として「2」が、値の名前として「メールNG」が、対応する属性の属性番号として「3」がそれぞれ保持されている。
属性D40の行D41には#として「1」が、値の名前として「プラウザOK」が、対応する属性の属性番号として「4」がそれぞれ保持されており、行D42には#として「2」が、値の名前として「ブラウザNG」が、対応する属性の属性番号として「4」がそれぞれ保持されている。
図7は本発明の第1の実施例による無線通信システムの動作を示すシーケンスチャートであり、図8は図3の無線基地局1の動作を示すフローチャートである。これら図1〜図8を参照して本発明の第1の実施例による無線通信システムの動作について説明する。尚、図8に示す処理は無線基地局1を構成するコンピュータのCPUが記録媒体16のプログラムをRAMに移して実行することで実現される。
無線基地局1を介して無線端末装置2−1がLAN回線またはWAN回線100に接続して通信を行うには、まず、無線端末装置2−1と無線基地局1との間でネゴシエーションを行う(図7のa1、図8ステップS1)。
無線基地局1は無線端末装置2−1からのオーセンティケーションフレームを無線通信インタフェース部15から通信制御部14にて受信すると、オープン認証にて無線端末装置2−1を認証し、通信制御部14は成功裡で認証結果をオーセンティケーションフレームにて無線通信インタフェース部15から無線端末装置2−1へ送信する。
次に、無線基地局1は無線端末装置2−1からのアソシエーション要求フレームを受信すると、アソシエーション応答を無線端末装置2−1へ送信することで無線基地局1と無線端末装置2−1との間のアソシエーションが完了する。以後、無線端末装置2−1からのデータは無線通信インタフェース部15を介し通信制御部14で処理され、また無線端末装置2−1へのデータは無線通信インタフェース部15を介して送信される。
アソシエーションが完了すると、次にネットワーク接続のための認証が開始される(図7のa2、図8ステップS2)。ネットワーク接続のための認証では、無線基地局1から無線端末装置2−1へEAP Request/Identityが送信される。無線基地局1は無線端末装置2−1から“ALICE”のようにユーザ名を含む形式でメッセージを受信する。受信したユーザ名を使用して無線基地局1は認証装置3との通信を行うことで完了させる。必要に応じて認証データは無線端末装置2−1と認証装置3との間で転送される。
無線基地局1は成功裡な認証結果とともに、該ユーザに対するアクセス制御情報を認証装置3から受け取ると(図8ステップS3,S4)、アクセス制御情報記憶部12に対して受信したアクセス制御情報を設定する(図7のa3、図8ステップS5)。また、無線基地局1は認証可否を無線端末装置2−1へ通知する(図7のa4、図8ステップS6)。
以後、無線基地局1は、無線基地局1を介する該ユーザからのデータ及び該ユーザへのデータを一度アクセス制御部13へ渡し、アクセス制御部13から返ってきたデータを有線通信インタフェース部11もしくは無線通信インタフェース部15から送信する動作を行う(図7のa5,a6,a7、図8ステップS7,S8)。
さらに、認証装置3から無線基地局1へと通知されるアクセス制御情報と、無線基地局1内のアクセス制御部13の動作とについて、図4〜図6を参照して説明する。
図4においては、認証装置3におけるパラメータ記憶部33の構成例を示している。尚、パラメータ記憶部33の値は予め保持されていてもよいし、設定インタフェース部31から設定してもよい。
パラメータ記憶部33にはユーザ名と、ユーザ名に対応する機能一覧とが記載されている。例えば、機能として電話(334)、TV電話(335)、メール(336)、ブラウザ(337)が定義されており、ユーザ“ALICE”の例の場合、「電話OK」、「TV電話OK」、「メールOK」、「ブラウザOK」と定義されている。
図5においては、認証装置3から無線基地局1に、認証結果通知とともに通知されるアクセス制御情報のフォーマット例を示している。IEEE802.1Xでは無線基地局1と認証装置3との間のプロトコルに規定されたものはないが、一般的には、RADIUS(Remote Authentication Dial In User Sevice)というプロトコルが使用される。
アクセス制御情報フォーマットAはそのRADIUSプロトコルの中の1つである属性値「26」として定義されているベンダ独自の属性を運ぶための属性値を使用する。アクセス制御情報フォーマットAの中の値A4の値において、属性値フォーマットBに示すように属性値、長さ、値の繰り返しで記述されるフォーマットとし、図6に示すような独自属性一覧Cを定義し、「電話」、「TV電話」、「メール」、「ブラウザ」等に対する値を通知するために使用する。
各属性値に対応する値Dにおいて、各属性値と値の内容とを定義し、独自属性番号C及び各属性値に対応する値Dを認証装置3及び無線基地局1において予め保持しておき、実際の認証装置3から無線基地局1へアクセス制御情報通知の際に、属性値番号と属性値とをペアで通知することによって実現する。
独自属性一覧Cにおける属性値として、「整数(INTERGER)」、「選択肢(ENUM)」、「文字列(STRING)」、「テキスト(TEXT)」、「IPアドレス(IPADDR)」、「時刻(TIME)」等の属性型があり、様々な形式の属性値を通知することが可能である。
上記の“ALICE”の例の場合、属性番号「1」に対して属性の値「1」を、属性番号「2」に対して属性の値「1」を、属性番号「3」に対して属性の値「1」を、属性番号「4」に対して属性の値「1」をそれぞれセットすることで、認証装置3から無線基地局1へ通知することが可能となる。
無線基地局1はアクセス制御情報を受け取ると、そのアクセス制御情報を無線通信インタフェース部15から通信制御部14に渡し、通信制御部14によってアクセス制御情報記憶部12に設定する(図8ステップS4,S5)。アクセス制御情報記憶部12においては、該ユーザに対するアクセス制御情報として通信制御部14から設定された値を記憶しておく。
ここで、該ユーザを“ALICE”とし、無線端末装置2−1からLAN回線またはWAN回線100で接続される端末装置5とのデータ通信を行う場合の動作について説明する。
無線端末装置2−1から端末装置5へのデータは無線基地局1を介して転送されることになるが、この時、無線基地局1は通信制御部14において、いったんそのデータをアクセス制御部13へ渡す(図8ステップS7)。データが渡されたアクセス制御部13は該ユーザに対するアクセス制御情報をアクセス制御情報記憶部12から取得し、そのデータを通過させるか、破棄させるかの判断を行う。
例えば、データがWEBブラウザからのデータであったとすると、アクセス制御情報記憶部12から取得したアクセス制御情報が“ALICE”に対するブラウザでのアクセスがOKとなっているので、通過させると判断し、そのまま通信制御部14へデータを受け渡す(図7のa5)。
データをWEBブラウザからであると判断する例としては、送信先ポート番号もしくは送信元ポート番号を基に判断することができる。また、LAN回線またはWAN回線100で接続される端末装置5から無線端末装置2−1へのデータも、上記と同様に、無線基地局1において通信制御部14を通過する際に一度アクセス制御部13に渡され、通過/破棄の判断がなされ、通過と判断された時のみ無線端末装置2−1へと無線基地局1から送信される(図7のa5,a6,a7)。
このように、本実施例では、無線端末装置2−1,2−2が無線基地局1を介してデータ通信を行うために最初に行うIEEE802.1X認証の結果によって、認証装置3から無線基地局1に対して該ユーザに対するアクセス制御情報を通知し、自動的に無線基地局1において該ユーザに対するアクセス制御を行うため、無線端末装置2−1,2−2においてユーザ認証の動作を複数行うことなしに、無線基地局1を介するデータ通信においてユーザ毎に異なったアクセス制御情報を設定することができる。そのため、本実施例では、無線基地局1を介してデータ通信を行う全てのユーザに一律なアクセス制御のみではなく、ユーザ毎においても異なるアクセス制御を行うことができる。
また、本実施例では、認証装置3がユーザ認証結果とともに該ユーザに対するアクセス制御情報を無線基地局1に対して通知することによって、複数の無線基地局が存在する場合でも、認証装置3にのみユーザに対するアクセス制御情報を設定するのみでよいので、複数の無線基地局が存在する場合でも、各無線基地局に対するユーザ毎の設定を容易にすることができる。
さらに、本実施例では、無線基地局1におけるユーザ毎のアクセス制御に関する設定を、認証装置3側の設定のみで、無線端末装置2−1,2−2によらず、自由に変更することができるので、無線基地局1を介してデータ通信を行う際に、ネットワーク接続のための認証対応の無線端末装置2−1,2−2であれば、特別の装置が不要となる。そのため、本実施例では、ネットワーク接続のための認証に対応の無線端末装置全てにおいて使用することができる。
さらにまた、本実施例では、無線基地局1と認証装置3との間のデータのやり取りに、認証に使用される標準のプロトコルにおけるベンダ独自属性を使用しているので、無線基地局1と認証装置3との間に、認証に使用される標準のプロトコルを扱うことができる認証プロキシ装置を複数設置することが可能である。そのため、本実施例では、認証装置3を分散させることが可能である。
尚、本実施例では、図4において、認証装置3におけるパラメータ記憶部33としてユーザ名と対応する機能についての情報を保持し、無線基地局1へ通知する例について説明したが、これはレルム毎にアクセス制御情報を保持していてもよい。この場合、ユーザ認証要求を受信した認証装置3は、要求に含まれる「ALICE@REALM」や、「REALM¥ALICE」等の形式で記述されるユーザIDに含まれるレルムから、ユーザの所属するレルムを判断し、レルム毎に設定されたアクセス制御情報をパラメータ記憶部33から取り出し、無線基地局1へ通知することによって、レルム毎でのアクセス制御が可能となる。
本実施例では、図4において、認証装置3におけるパラメータ記憶部33としてユーザ名と対応する機能についての情報を保持し、無線基地局1へ通知する例について説明したが、これは経由する無線基地局1毎にアクセス制御情報を保持していてもよい。この場合、ユーザ認証要求に含まれる「NAS−Identifier」、「NAS−IP−Address」、「Called−Station−Id」等から判断し、無線基地局1毎に設定されたアクセス制御情報をパラメータ記憶部33から取り出し、無線基地局1へ通知することによって、無線基地局1毎でのアクセス制御が可能となる。
また、本実施例では、グループを認証装置3において定義し、グループ毎にアクセス制御情報を保持し、レルム毎にグループに所属させたり、ユーザ毎にグループに所属させたり、無線基地局1毎にグループに所属させることによって、グループ毎でのアクセス制御も可能となる。
本実施例では、図6において、例えば属性として、「電話」、「TV電話」、「メール」、「ブラウザ」を定義しているが、これら以外にもネットワークを使用する機能であれば、制限なく記述することが可能である。
また、本実施例出は、図6において、属性に対する属性の値の例として「OK」、「NG」のみを定義しているが、電話の例でいうと「着信のみOK」やメールの例でいうと「メール受信のみOK」、「メール送信のみOK」等の属性の値を定義することで、無線基地局1において詳細なアクセス制御を行うことが可能となる。
この場合、無線基地局1における詳細なアクセス制御方法としては、電話の例でいうと呼制御のデータのやり取りから判断し、着信については通過させるが、発信は通過させないとしたり、メールの例でいうとPOP(Post Office Protocol)等のメール受信に使用するプロトコルは通過させるが、SMTP(Simple Mail Transfer Protocol )のようにメール送信に使用するプロトコルは通過させない等とすることによって実現することができる。
本実施例では、図5において、認証装置3から無線基地局1へアクセス制御情報を通知するためのアクセス制御フォーマットAを定義し、実際に属性と属性の値との組の属性値フォーマットBとして属性番号、属性長、値とAVP(Attribute Value Pair)ペアの繰り返しによって実現しているが、属性値フォーマットBをXML(eXtensible Mark−up Language)フォーマットでの記述方式“<Attribute><Number>1</Number><Value>2</Value></Attribute>”の繰り返しによる記述に置き換えることで、属性の値の解釈に既存のXMLパーサ(XML変換ソフトウェア)を利用することも可能である。
本実施例では、認証装置3で決定したユーザ毎、もしくはレルム毎、あるいはグループ毎のアクセス制御情報を無線基地局1へ通知し、無線基地局1においてアクセス制御を行うため、無線端末装置2−1,2−2においては実際に行われているアクセス制御に関する情報を得ることができない。
そのため、無線端末装置2−1,2−2と無線基地局1との間でIPによる通信が開始された後、無線端末装置2−1,2−2から無線基地局1へWEBアクセスする等することによって、現在、該無線端末装置2−1,2−2になされている無線基地局1でのアクセス制御に関する情報を表示させるようにすることで、ユーザにわかるようにすることも可能である。
本実施例では、図3において、無線基地局1でアクセス制御部13が通信制御部14から一度データを受け取り、データの通過/破棄の判断後に、通信制御部14にデータを渡す流れになっているが、アクセス制御部13が通信制御部14と有線通信インタフェース部11または無線通信インタフェース部15との間に位置することで、通信制御部14から受け取ったデータを直接有線通信インタフェース部11もしくは無線通信インタフェース部15から送受信するようにすることも可能である。
図9は本発明の第2の実施例による無線基地局の構成を示すブロック図である。図9において、本発明の第2の実施例による無線基地局6は設定インタフェース部61とパラメータ記憶部62と記録媒体63とを追加した以外は図3に示す本発明の第1の実施例と同様の構成となっており、同一構成要素には同一符号を付してある。
図9においては、本発明の第1の実施例における無線基地局1に、認証装置3における設定インタフェース部31及びパラメータ記憶部33の機能を追加した機能構成を示している。但し、通信制御部14は図3に示す通信制御部14の動作とは一部異なっている。
設定インタフェース部61はパラメータ記憶部62に設定されている情報の確認・設定を行うことを可能とし、WEBブラウザ経由によるアクセスやシリアルポート接続によるコマンドライン入力等を可能としている。
パラメータ記憶部62はIEEE802.1X認証を成功裡に完了し、無線基地局6を介してデータ通信を行うユーザに対する各種パラメータを保持している。各種パラメータとは、ユーザが現在認証されようとしている無線基地局6を介して認証後にデータ通信を行うことができる種類に関する値を含む。
パラメータ記憶部62は通信制御部14によって、認証可とされたユーザに対するアクセス制御に関する情報を取得する際に使用される。パラメータ記憶部62の値は設定インタフェース部61によって設定・変更される。
通信制御部14は基本的な機能が上述した本発明の第1の実施例と同様であるが、以下の機能を持っている点で異なる。本発明の第1の実施例においては、ネットワーク接続のための認証において認証可であることを認証装置3から通知された場合、認証結果通知と一緒に通知されるアクセス制御情報をアクセス制御情報記憶部12へ設定している。
これに対し、本実施例では、認証可とされたユーザに対するアクセス制御情報を無線基地局6において設定されている値をパラメータ記憶部62から取得し、該ユーザに対するアクセス制御情報が存在する場合、無線基地局6において設定されているアクセス制御情報にてアクセス制御情報記憶部12へ設定する。以後、認証されたユーザによって無線基地局6を介してやり取りされるデータ通信は通信制御部14から一度アクセス制御部13へと渡される動作を行う。
認証データに関しては、アクセス制御部13を介さず、直接、LAN回線またはWAN回線100に接続されるという2点に関しては、本発明の第1の実施例における動作と同様である。
ここで、パラメータ記憶部62の内容を図4に示すパラメータ記憶部33と同様とし、属性値と属性の値とが図6に示す内容と同様として、本実施例の動作について説明する。
本実施例が上述した本発明の第1の実施例と異なる点は、設定インタフェース部61及びパラメータ記憶部62の機能を追加したことと、通信制御部14での認証されたユーザに対するアクセス制御情報を決定することとが異なる。そこで、これらの異なる点についてのみ説明する。尚、パラメータ記憶部62に記憶される値は予め保持されていてもよいし、設定インタフェース部61から設定してもよい。
パラメータ記憶部62にはユーザ名と、ユーザ名に対応する機能一覧とが記載されている。例えば、機能として電話(334)、TV電話(335)、メール(336)、ブラウザ(337)が定義されており、ユーザ“ALICE”の例の場合、「電話OK」、「TV電話OK」、「メールOK」、「ブラウザOK」と定義されている。
通信制御部14の動作は認証装置3から該ユーザに対する承認とともに該ユーザに対するアクセス制御情報を受け取るところまでは、上述した本発明の第1の実施例と同様である。本発明の第1の実施例では、アクセス制御情報をそのままアクセス制御情報記憶部12に設定しているが、本実施例では、認証されたユーザに対するアクセス制御情報をパラメータ記憶部62から取得し、存在する場合にそちらをアクセス制御情報記憶部12へ設定する動作を行う点で、本発明の第1の実施例とは異なる。
本実施例では、設定インタフェース部61及びパラメータ記憶部62を設けることによって、認証装置3のみで設定していたユーザに対するアクセス制御情報が無線基地局6においても設定可能となり、ある特定の場所において使用して欲しくない特定の機能を無線基地局6においてアクセス制御に反映することが可能になるという効果が得られる。
また、認証装置3から通知されるアクセス制御情報と無線基地局6におけるアクセス制御情報のマージ方法について、本実施例では無線基地局6におけるアクセス制御情報で上書きしているが、認証装置3がアクセス制御情報を通知する際に属性値の中に「上書きNG」、「上書きOK」等の属性を付けることによって、無線基地局6において上書き可/不可とすることができるようにしてもよい。
また、本実施例出は、機能において「OK」であるものを「NG」にすることは可能だが、「NG」のものを「OK」に上書きすることはできない等のルールを決めることも可能である。
さらに、本実施例では、上述した本発明の第1の実施例と同様に、グループを無線基地局6において定義し、グループ毎にアクセス制御情報を保持し、レルム毎にグループに所属させたり、ユーザ毎にグループに所属させることによって、グループ毎でのアクセス制御も可能とすることもできる。尚、本実施例は、上述した本発明の第1の実施例と組み合わせて利用することも可能である。
次に、本発明の第3の実施例について説明する。本発明の第3の実施例による無線基地局は図9に示す本発明の第2の実施例による無線基地局6と同様の構成となっているが、通信制御部14の動作が上記の本発明の第2の実施例とは一部異なる。
本実施例での無線基地局の通信制御部14は、該ユーザ認証要求を認証装置3に行う時点で該ユーザに対するアクセス制御情報をパラメータ記憶部62から取得し、該ユーザ認証要求を送信する際に一緒に、予め図5に示すアクセス制御情報フォーマットで認証装置3に送信する点で異なる。
図5に示すアクセス制御情報フォーマットは、上述した本発明の第1の実施例でのフォーマットと同様である。この場合、通信制御部14の動作は認証完了後に、認証装置3から通知されるアクセス制御情報を本発明の第1の実施例における通信制御部14の動作のように、そのままアクセス制御情報記憶部12へ設定してもよいし、本発明の第2の実施例における通信制御部14の動作のように、無線基地局6におけるアクセス制御情報と組み合わせてアクセス制御情報記憶部12へ設定してもよい。
図2において、本発明の第3の実施例による認証装置は、上述した本発明の第1の実施例の認証装置3の構成と同様であるが、通信制御部34の動作が本発明の第1の実施例とは一部異なる。
本実施例での認証装置は、該ユーザに対する成功裡の認証結果を通知する際に、予め無線基地局6からユーザ認証要求時に送付されているアクセス制御情報と、認証装置で保持しているアクセス制御情報とのどちらを通知するか、もしくはどのようにマージして通知するかを判断する処理が追加されている点で本発明の第1の実施例とは異なる。
本実施例では、予め認証しようとしているユーザに対する無線基地局6において希望するアクセス制御情報を認証装置へ通知する機能を設けており、これによって、認証されたユーザに対する認証装置からのアクセス制御情報と無線基地局6に設定されているアクセス制御情報とのマージに関する設定を無線基地局6において必要とすることなく、無線基地局6における希望を反映させることができるという効果が得られる。また、本実施例は上記の本発明の第1及び第2の実施例各々と組み合わせて利用することも可能である。
図10は本発明の第4の実施例による無線端末装置の構成を示すブロック図である。図10において、無線端末装置7は通信アプリケーション部71と、アクセス制御部72と、アクセス制御情報記憶部73と、通信制御部74と、無線通信インタフェース部75と、ユーザインタフェース部76と、記録媒体77とから構成されている。通信アプリケーション部71には1つまたは複数の通信アプリケーション711,712を含んでいる。
本実施例は無線端末装置7の機能構成において、アクセス制御部72とアクセス制御情報記憶部73とを有する点で、図示せぬ通常の無線端末装置の機能構成とは異なる。
通信アプリケーション部71は無線端末装置7内におけるデータ通信を利用するアプリケーションを表しており、図示せぬ外部端末とやり取りされるデータは通信制御部74に渡され、無線通信インタフェース部75から送信される。また、無線通信インタフェース部75から受信したデータは通信制御部74へと渡され、さらに通信アプリケーション部71へと渡されることによって、外部とのデータ通信を行う。尚、通信アプリケーション部71はユーザインタフェース部76からの起動または終了の指示によって、アプリケーションの起動または終了を行う。
アクセス制御部72は通信制御部74からアクセス制御情報記憶部73に対して設定されるアクセス制御情報に基づき、通信制御部74から渡されるデータの通過/破棄の動作を行う。アクセス制御情報記憶部73は通信制御部74からアクセス制御情報が設定され、アクセス制御部72からデータの通過/破棄の判断を行う際に読出される。
通信制御部74は通信アプリケーション部71からのデータを無線通信インタフェース部75から送信するための制御を行う。また、通信制御部74は無線通信インタフェース部75からのデータを、送信先に応じて通信アプリケーション部71に渡す制御を行う。さらに、通信制御部74は無線基地局とのネゴシエーション処理も行う。
通信制御部74は無線基地局を介してデータ通信を行うために、無線基地局にネゴシエーション要求を送信することによって、オーセンティケーション・アソシエーション動作を完了させる。通信制御部74はアソシエーション動作の完了後、ネットワーク接続のための認証を開始するために、典型的にはEAPOL−Startと呼ばれるIEEE802.1X認証を開始するためのデータを送信する。
ネットワーク接続のための認証が開始されると、通信制御部74は、典型的には無線基地局からEAP Request/Identityを受信し、無線基地局へEAP Response/Identityを自身のユーザ名を含めて送信する。無線基地局より認証結果を受信することで、ネットワーク接続のための認証は完了する。
ネットワーク接続のための認証方式によっては、認証要求を送信してから認証結果を受信するまでに複数の認証データのやりとりが無線端末装置7と認証装置との間で発生するかもしれない。通信制御部74は受信する認証データに対して必要な処理をし、応答する動作を行う。
認証可であることを無線基地局より通知された場合、通信制御部74は次に無線基地局と暗号化のための鍵に関するやり取りを行い、無線基地局との間で使用する暗号鍵及び無線基地局配下の無線端末装置との間で共有する暗号鍵が設定されることで、暗号化通信が可能となる。暗号化通信が可能となった後、通信制御部74は無線基地局より通知されるアクセス制御情報をアクセス制御情報記憶部73に設定する。
以後、本実施例による無線端末装置7から送受信されるデータは、通信制御部74から一度アクセス制御部72へと渡される動作を行う。認証データに関しては、アクセス制御部72を介さず、直接LAN回線またはWAN回線と接続される。
無線通信インタフェース部75は通信制御部74から受け取ったデータを無線で送信する処理を行う。また、無線通信インタフェース部75は受信したデータを通信制御部74へと渡す処理を行い、主に無線基地局との通信の際に用いられる。
ユーザインタフェース部76は通信アプリケーション部71の各アプリケーションに対して、起動や終了の指示を行う。また、例えば、ユーザインタフェース部76はメニュー表示等によって現在実行可能なアプリケーションのリスト等を表示させ、ユーザが実行したいアプリケーションを選択することによって起動させることも可能である。
無線端末装置7が図示せぬCPU及びRAMを含むコンピュータの場合、CPUは記録媒体77に格納されたプログラムを実行することで、上述した各部の処理を実現する。
また、図示していないが、本発明の第4の実施例による無線基地局は、上述した本発明の第2の実施例における無線基地局6の構成と同様であるが、アクセス制御情報を無線端末装置7へ通知する点で異なる。この図10を参照して本実施例の動作について説明する。
無線端末装置7と無線基地局6との間で接続ネゴシエーションを行い、その後ネットワーク接続のための認証を行うところまでは、上述した本発明の第2の実施例と同様である。図9に示す無線基地局6で該ユーザに対するアクセス制御情報をアクセス制御情報記憶部12へ設定するのではなく、無線端末装置7へ送信する動作を行う点で、本実施例は上記の本発明の第2の実施例とは異なる。
この時、無線基地局6から無線端末装置7に対して送信する際のフォーマット例として、IEEE802.1Xでの無線端末装置と無線基地局間でIEEE802.1X認証データや暗号化鍵に関するデータをやりとりするEAPOL(EAP over LANs)フレームが存在するが、その中で、EAPOLのパケットタイプとして新たにEAPOL−EXT(拡張)を定義し、パケットボディ部には、図5に示すようなアクセス制御フォーマットを定義したものを使用する。
このアクセス制御情報を無線端末装置7に対して安全に送付するために、ネットワーク接続のための認証の結果、無線基地局6及び無線端末装置7の両方で共有される暗号鍵を用いて暗号化して送信する。例えば、IEEE802.1X認証の結果、共有される暗号鍵を使用して暗号化したが、鍵配布に用いられるプロトコルのように、IEEE802.1X認証におけるTLS(Transport Layer Security)において共有される鍵を利用し、属性に関する部分を暗号化して送信する方法でもよい。
無線端末装置7は受信したアクセス制御情報をアクセス制御情報記憶部73に設定する。通信制御部74は通信アプリケーション部71からのデータ、もしくは通信アプリケーション部71へのデータを一度アクセス制御部72へ渡し、アクセス制御部72において通過/破棄の判断がなされ、通過した時のみ通信制御部74へと渡され、無線通信インタフェース部75から無線基地局6へ送信される、もしくは通信アプリケーション部71へ渡される。無線端末装置7内でユーザインタフェース部76によって起動され、実行中の通信アプリケーション71によってデータ通信は発生する。
本実施例では、無線基地局6において該ユーザに対するアクセス制御情報を無線端末装置7へ通知する機能を設け、無線端末装置7においてアクセス制御部72及びアクセス制御情報記憶部73を設けることによって、無線端末装置7内でのアクセス制御を可能とすることができるという効果が得られる。また、本実施例は上述した本発明の第1〜第3の実施例各々と組み合わせて利用することが可能である。
図11は本発明の第5の実施例による無線端末装置の構成を示すブロック図である。図11において、本発明の第5の実施例による無線端末装置8はアプリケーション部81及び記憶媒体82を追加した以外は図10に示す本発明の第4の実施例による無線端末装置7の構成と同様となっており、同一構成要素には同一符号を付してある。
上述した本発明の第4の実施例では、通信アプリケーション711,712のみであるが、本実施例では通信アプリケーション812のみではなく、ネットワークを使用しないアプリケーション811をも含む点で上記の本発明の第4の実施例とは異なる。
また、本実施例では、ユーザインタフェース部76とアプリケーション部81との間にアクセス制御部72が位置する点で、上記の本発明の第4の実施例とは大きく異なり、このアクセス制御部72の動作についても上記の本発明の第4の実施例とは異なる。以下、上記の本発明の第4の実施例と異なる機能及び動作についてのみ説明する。
アプリケーション部81は無線端末装置8内におけるアプリケーションを表しており、ユーザインタフェース部76からの起動または終了の指示をアクセス制御部72を介して通知されることによって、アプリケーション811の起動または終了を行う。
データ通信を利用する通信アプリケーション812は、図示せぬ外部端末とやり取りされるデータが通信制御部74に渡され、無線通信インタフェース部75から送信される際に用いられる。また、無線通信インタフェース部75から受信したデータが通信制御部74へと渡され、通信アプリケーション812へと渡されることによって、外部端末とのデータ通信が行われる。
アクセス制御部72はアクセス制御情報記憶部73からアクセス制御情報を取得し、取得した値によってユーザインタフェース部76から実行可能なアプリケーション811の制限を行い、アプリケーション811の実行可/不可の制御を行うことを可能とする。
通信制御部74は無線基地局より受信したアクセス制御情報をアクセス制御情報記憶部73へと設定するところまでの処理は上述した本発明の第4の実施例と同様であるが、通信アプリケーション812から渡されたデータをアクセス制御部72を介さずに無線通信インタフェース部75を介して送信する、及び無線通信インタフェース部75から受信したデータをアクセス制御部72を介さずに通信アプリケーション812へ渡す点で異なる。
ユーザインタフェース部76はアクセス制御部72を介してアプリケーション811に対して起動・終了等の指示を行う。例えば、ユーザインタフェース部76はメニュー表示等によって現在実行可能なアプリケーションのリスト等を表示させ、ユーザが実行したいアプリケーションを選択することによって起動させることも可能である。
無線端末装置8が図示せぬCPU及びRAMを含むコンピュータの場合、CPUは記録媒体82に格納されたプログラムを実行することで、上述した各部の処理を実現する。
以下、本実施例の動作について説明する。無線端末装置8において、無線基地局とデータ通信を行うためにネゴシエーションを行い、その後、ネットワーク接続のための認証を開始し、暗号鍵が無線端末装置8及び無線基地局において設定され、アクセス制御情報が無線基地局から通知され、通信制御部74からアクセス制御情報記憶部73に設定するまでの動作は、上述した本発明の第4の実施例の動作と同様である。
アクセス制御部72はアクセス制御情報記憶部73からアクセス制御情報を取得し、その値によってユーザインタフェース部76からアプリケーション811に対する起動要求をブロックする。または、アクセス制御部72からユーザインタフェース部76に対してアクセス制御情報を渡し、ユーザインタフェース部76において該アプリケーションを選択不可とする動作等を行い、該アプリケーションを実行不可とする動作を行う。
例えば、上述したユーザ名“BOB”の例について述べると、図4に示すように、アクセス制御情報記憶部73には「電話NG」、「TV電話NG」、「メールOK」、「ブラウザOK」と記憶される。アクセス制御部72はアクセス制御情報をユーザインタフェース部76へと通知する。ユーザインタフェース部76において、例えば、メニュー表示等でメール、ブラウザの選択が可能であるが、電話、TV電話を選択不可とすることによって、実行可能なアプリケーションと実行不可のアプリケーションとを実現することが可能となる。
以後、実行された通信アプリケーションにおけるデータ通信において、通信制御部74は無線通信インタフェース部75から受信したデータを通信アプリケーション812へ、またはその逆の動作を行うことによってデータ通信が行われる。
本実施例では、ユーザインタフェース部76とアプリケーション部81との間にアクセス制御部72を設けることによって、ネットワークを使用しない無線端末装置8内のアプリケーション811においてもアクセス制御を可能とすることができるという効果が得られる。また、本実施例は上記の本発明の第1〜第4の実施例各々と組み合わせて利用することが可能である。
図12は本発明の第6の実施例による無線端末装置の構成を示すブロック図である。図12において、本発明の第6の実施例による無線端末装置9は上記の本発明の第5の実施例と同様の構成となっているが、アクセス制御部72においてアプリケーション部81とやり取りを行う点で、その動作が一部異なる。また、アプリケーション部81において、アクセス制御に関する機能を持つ点で前途の実施例とは異なる。以下、前途の実施例と動作の異なる構成部分について説明する。
アプリケーション部81は無線端末装置9内におけるアプリケーション811を表しており、ユーザインタフェース部76からの起動または終了の指示を通知されることによって、アプリケーション811の起動または終了を行う。アプリケーション部81はアクセス制御部72からアクセス制御情報を受け取り、受け取ったアクセス制御情報にしたがって動作する点が上記の本発明の第5の実施例と異なる点である。
データ通信を利用する通信アプリケーション812は外部端末とやり取りされるデータを通信制御部74に渡し、無線通信インタフェース部75から送信される。また、無線通信インタフェース部75から受信したデータは通信制御部74に渡され、通信アプリケーション812へと渡されることによって、外部端末とのデータ通信を行う。
アクセス制御部72はアクセス制御情報記憶部73からアクセス制御情報を取得し、取得したアクセス制御情報を各アプリケーション811に対応したアクセス制御情報を各々のアプリケーション811に対して設定する。
ユーザインタフェース部76はアプリケーション部81の各々のアプリケーション811に対して、起動や終了の指示を行う。また、例えば、ユーザインタフェース部76はメニュー表示等によって現在実行可能なアプリケーションのリスト等を表示させ、ユーザが実行したいアプリケーションを選択することによって起動させることも可能である。
無線端末装置9が図示せぬCPU及びRAMを含むコンピュータの場合、CPUは記録媒体91に格納されたプログラムを実行することで、上述した各部の処理を実現する。
図13は本発明の第6の実施例による独自属性一覧を示す図であり、図14は本発明の第6の実施例による各属性の値を示す図である。図13において、独自属性一覧Eの属性E1は#が「1」で、属性の名前が「電話」で、属性値が「ENUM」であり、属性E2は#が「2」で、属性の名前が「TV電話」で、属性値が「ENUM」であり、属性E3は#が「3」で、属性の名前が「メール」で、属性値が「ENUM」であり、属性E4は#が「4」で、属性の名前が「ブラウザ」で、属性値が「ENUM」であり、属性E5は#が「5」で、属性の名前が「カメラ」で、属性値が「ENUM」であり、属性E6は#が「6」で、属性の名前が「ビデオ」で、属性値が「ENUM」であり、属性E7は#が「7」で、属性の名前が「録音」で、属性値が「ENUM」である。
図14において、各属性値に対応する値Fの属性F10の行F11には#として「1」が、値の名前として「電話OK」が、対応する属性の属性番号として「1」がそれぞれ保持され、行F12には#として「2」が、値の名前として「電話NG」が、対応する属性の属性番号として「1」がそれぞれ保持され、行F13には#として「3」が、値の名前として「着信OK/発信NG」が、対応する属性の属性番号として「1」がそれぞれ保持されている。
属性F20の行F21には#として「1」が、値の名前として「TV電話OK」が、対応する属性の属性番号として「2」がそれぞれ保持され、行F22には#として「2」が、値の名前として「TV電話NG」が、対応する属性の属性番号として「2」がそれぞれ保持され、行F23には#として「3」が、値の名前として「着信OK/発信NG」が、対応する属性の属性番号として「2」がそれぞれ保持されている。
属性F30の行F31には#として「1」が、値の名前として「メールOK」が、対応する属性の属性番号として「3」がそれぞれ保持され、行F32には#として「2」が、値の名前として「メールNG」が、対応する属性の属性番号として「3」がそれぞれ保持され、行F33には#として「3」が、値の名前として「受信OK/送信NG」が、対応する属性の属性番号として「3」がそれぞれ保持され、行F34には#として「4」が、値の名前として「保存メールBOX閲覧のみOK」が、対応する属性の属性番号として「3」がそれぞれ保持されている。
属性F40の行F41には#として「1」が、値の名前として「プラウザOK」が、対応する属性の属性番号として「4」がそれぞれ保持され、行F42には#として「2」が、値の名前として「ブラウザNG」が、対応する属性の属性番号として「4」がそれぞれ保持され、行F43には#として「3」が、値の名前として「閲覧OK/保存NG」が、対応する属性の属性番号として「4」がそれぞれ保持され、行F44には#として「4」が、値の名前として「閲覧OK/印刷NG」が、対応する属性の属性番号として「4」がそれぞれ保持されている。
属性F50の行F51には#として「1」が、値の名前として「カメラOK」が、対応する属性の属性番号として「5」がそれぞれ保持され、行F52には#として「2」が、値の名前として「カメラNG」が、対応する属性の属性番号として「5」がそれぞれ保持され、行F53には#として「3」が、値の名前として「撮影OK/保存NG」が、対応する属性の属性番号として「5」がそれぞれ保持され、行F54には#として「4」が、値の名前として「撮影OK/転送NG」が、対応する属性の属性番号として「5」がそれぞれ保持されている。
図15は本発明の第6の実施例によるパラメータ記憶部の構成例を示す図である。図15において、パラメータ記憶部21はパラメータ(210)としてユーザ名“ALICE”のアクセス制御情報(211)と、ユーザ名“BOB”のアクセス制御情報(212)と、ユーザ名“CHARLIE”のアクセス制御情報(213)とを保持している。
また、それらパラメータ(210)の機能としては電話(214)、TV電話(215)、メール(216)、ブラウザ(217)、カメラ(218)、ビデオ(219)、録音(220)があり、それぞれに対応して属性番号を保持している。
以下、本実施例の動作について説明する。無線端末装置9において、無線基地局とデータ通信を行うためにネゴシエーションを行い、その後、ネットワーク接続のための認証を開始し、暗号鍵が無線端末装置9及び無線基地局において設定され、アクセス制御情報が無線基地局から通知され、通信制御部74からアクセス制御情報記憶部73へ設定されるまでの動作は、上述した本発明の第4及び第5の実施例の動作と同様である。
アクセス制御部72はアクセス制御情報記憶部73からアクセス制御情報を取得し、取得したアクセス制御情報から各アプリケーション811毎に設定を取り出し、各々のアプリケーション811に設定する。
例えば、無線端末装置9、無線基地局及び認証装置において図13に示す属性一覧E及び図14に示す各属性の値Fが定義された一覧を予め保持しているものとし、該ユーザがユーザ名“BOB”とし、認証装置において図15に示すようにユーザ毎の各機能に対するアクセス制御情報に関するパラメータ(210)を保持し、ユーザ名“BOB”が認証された結果、ユーザ名“BOB”に対するアクセス制御情報(212)が無線端末装置9へ通知され、無線端末装置9においてアクセス制御情報記憶部73へ記憶される情報がアクセス制御情報(212)であった場合の動作について説明する。
アクセス制御部72はアクセス制御情報記憶部73から取得した値を機能毎にアプリケーション811に対して設定を行う。つまり、電話アプリケーションに対しては#が「3」の「着信OK/発信NG」を、TV電話アプリケーションに対しては#が「3」の「着信OK/ 発信NG」を、メールアプリケーションに対しては#が「1」の「メールOK」を、ブラウザアプリケーションに対しては#が「3」の「閲覧OK/保存NG」を、カメラアプリケーションに対しては3が「2」の「カメラNG」を、ビデオアプリケーションに対しては#が「2」の「ビデオNG」(図14に図示せず)を、録音アプリケーションに対しては#が「2」の「録音NG」(図14に図示せず)を各々設定する。
設定された各アプリケーションは設定されたアクセス制御にしたがった動作を行うことによって、ネットワークを利用する/しないアプリケーションに関わらず、またアプリケーション毎に起動可/不可のみではなく、詳細なアクセス制御を行う。
本実施例では、アクセス制御部72から各アプリケーションに対してアクセス制御情報を設定することを可能とすることによって、無線端末装置9内における各アプリケーション毎に詳細なアクセス制御を可能とすることができるという効果が得られる。また、本実施例は上述した本発明の第1〜第5の実施例各々と組み合わせて利用することが可能である。
図16は本発明の第7の実施例による無線通信システムのシステム構成を示すブロック図である。図16において、本発明の第7の実施例では、上述した本発明の第1〜第6の実施例の無線通信システムのシステム構成例において無線基地局1を介してLAN回線またはWAN回線100に接続する端末装置5とデータ通信をやり取りする無線端末装置2−1,2−1との間にゲートウェイ装置40を設ける点で、本発明の第1〜第6の実施例各々と異なっている。
ゲートウェイ装置40はファイアウォールと呼ばれ、例えばTCP/IP(Transmission Consrol Protocol/Internet Protocol)パケットのヘッダを検査し、条件を満たしたパケットのみを通過させる機能である。
また、ゲートウェイ装置40は発信元及び転送先のIP(Internet Protocol)アドレスやポート番号やパケットの種類[TCP,UDP(User Datagram Protocol),ICMP(Internt Control Message Protocl)]等の情報やパケットの転送方向等の条件を基に、通過/破棄を行う。
上記の条件はゲートウェイ装置40の外部の装置から設定され、さらにユーザ毎、レルム毎、グループ毎等の動的にアクセス制御情報が設定可能という特徴を備えている。
認証装置3は上述した本発明の第1〜第6の実施例各々では、無線端末装置2−1,2−2に対する認証成功の通知とともに、アクセス制御情報を無線基地局1へ通知しているのが、本実施例では、認証成功の通知を無線基地局1へ通知するが、認証装置3がアクセス制御情報をゲートウェイ装置40へ通知する点において異なる。
以下、本実施例の動作について説明する。無線基地局1を介してLAN回線またはWAN回線100に接続する端末装置5とデータ通信を行うために、無線端末装置2−1,2−2と無線基地局1との間で接続ネゴシエーションを行い、その後、ネットワーク接続のための認証を行うところまでは上述した本発明の第1〜第6の実施例各々と同様の動作となっている。
認証が成功すると、認証装置3は無線基地局1へ認証成功を通知することによって、無線端末装置2−1,2−2は無線基地局1を介してのデータ通信が可能となる。
次に、上述した本発明の第1〜第6の実施例各々において、認証装置3から無線基地局1へ通知していた認証に成功した無線端末装置2−1,2−2に対するアクセス制御情報を、認証装置3がゲートウェイ装置40へと通知する点が、本実施例と上述した本発明の第1〜第6の実施例各々とが異なる点である。
ゲートウェイ装置40は該無線端末装置2−1,2−2に対するアクセス制御情報を受信すると、以後、アクセス制御情報を基に該無線端末装置2−1,2−2のデータ通信をフィルタリングする動作を行う。
本実施例では、無線基地局1とLAN回線またはWAN回線100に接続するための通信路との間にゲートウェイ装置を設けることによって、特別な無線基地局を必要とせずに、アクセス制御を可能とすることができるという効果が得られる。また、本実施例は上述した本発明の第1〜第6の実施例各々と組み合わせて利用することが可能である。
また、本実施例は無線端末装置2−1,2−2と無線基地局1との間で伝送媒体に無線を利用したシステムにおいて記述しているが、伝送媒体に有線を利用した場合でも、有線基地局と有線端末装置との間でデータ通信を行う場合にネットワーク接続のための認証を必要とするシステムにおいても、本発明のアクセス制御方法が適応可能である。
本発明は、無線LANや有線LANの端末装置または基地局において、無線LANによるデータ通信を行う前にネットワーク接続のための認証が必要となる装置に適用可能である。
本発明の第1の実施例による無線通信システムの構成を示すブロック図である。 図1の認証装置の構成を示すブロック図である。 図1の無線基地局の構成を示すブロック図である。 図2のパラメータ記憶部の構成例を示す図である。 (a)は本発明の第1の実施例によるアクセス制御情報フォーマットの構成例を示す図、(b)は本発明の第1の実施例による属性値フォーマットの構成例を示す図である。 (a)は本発明の第1の実施例による独自属性一覧を示す図、(b)は本発明の第1の実施例による各属性の値を示す図である。 本発明の第1の実施例による無線通信システムの動作を示すシーケンスチャートである。 図3の無線基地局の動作を示すフローチャートである。 本発明の第2の実施例による無線基地局の構成を示すブロック図である。 本発明の第4の実施例による無線端末装置の構成を示すブロック図である。 本発明の第5の実施例による無線端末装置の構成を示すブロック図である。 本発明の第6の実施例による無線端末装置の構成を示すブロック図である。 本発明の第6の実施例による独自属性一覧を示す図である。 本発明の第6の実施例による各属性の値を示す図である。 本発明の第6の実施例によるパラメータ記憶部の構成例を示す図である。 本発明の第7の実施例による無線通信システムのシステム構成を示すブロック図である。
符号の説明
1,6 無線基地局
2−1,2−2,7,8,9 無線端末装置
3 認証装置
4 ユーザ登録データベース装置
5 端末装置
11,35 有線通信インタフェース部
12,73 アクセス制御情報記憶部
13,72 アクセス制御部
14,34,74 通信制御部
15 無線通信インタフェース部
16,36,63,77,
82,91 記録媒体
22,33,62 パラメータ記憶部
31,61 設定インタフェース部
32 ユーザ情報記憶部
40 ゲートウェイ装置
71 通信アプリケーション部
75 無線通信インタフェース部
76 ユーザインタフェース部
81 アプリケーション部
100 LAN回線またはWAN回線
711,712,812 通信アプリケーション
811 アプリケーション

Claims (64)

  1. 端末装置から基地局装置を介してネットワーク接続する際に認証装置による認証を必要とする通信システムであって、前記認証と連携して前記端末装置に対する認証成功通知とともに前記端末装置に対するアクセス制御情報を前記基地局装置に通知する手段を前記認証装置に有することを特徴とする通信システム。
  2. 前記アクセス制御情報を通知する手段は、前記アクセス制御情報として前記端末装置におけるアプリケーションに対する起動可/不可の情報を通知することを特徴とする請求項1記載の通信システム。
  3. 前記アクセス制御情報を通知する手段は、前記アクセス制御情報として前記端末装置におけるアプリケーション毎に異なる詳細なアクセス制御情報を通知することを特徴とする請求項1記載の通信システム。
  4. 前記認証装置は、複数のアクセス制御情報を管理することを特徴とする請求項2または請求項3記載の通信システム。
  5. 前記認証装置は、前記端末装置からの認証要求より得られる情報と連携して動的に前記端末装置に対するアクセス制御情報を変更することを特徴とする請求項4記載の通信システム。
  6. 前記認証要求より得られる情報として、前記端末装置のユーザ名と連携して動的に前記端末装置に対するアクセス制御情報を変更することを特徴とする請求項5記載の通信システム。
  7. 前記認証要求より得られる情報として、前記端末装置のユーザ名に含まれる当該端末装置が所属するドメイン名と連携して動的に前記端末装置に対するアクセス制御情報を変更することを特徴とする請求項5記載の通信システム。
  8. 前記認証要求より得られる情報として、前記端末装置がデータ通信を行おうと試みている基地局装置と連携して動的に当該端末装置に対するアクセス制御情報を変更することを特徴とする請求項5記載の通信システム。
  9. 前記認証要求より得られる情報として、前記認証装置において前記認証のユーザ単位、前記端末装置が所属するドメイン名単位、前記基地局装置単位で所属するグループ単位を定義し、当該グループ単位で保持するアクセス制御情報を利用して動的に前記端末装置に対するアクセス制御情報を変更することを特徴とする請求項5記載の通信システム。
  10. 前記認証装置から通知されたアクセス制御情報に基づいて前記端末装置毎のデータの通過/破棄のフィルタリング機能を保持する手段を前記基地局装置に含むことを特徴とする請求項6から請求項9のいずれか記載の通信システム。
  11. 前記基地局装置において設定した前記端末装置毎のアクセス制御情報に基づいて前記端末装置毎のデータの通過/破棄のフィルタリング機能を保持する手段を前記基地局装置に含むことを特徴とする請求項6から請求項9のいずれか記載の通信システム。
  12. 前記基地局装置は、自装置で設定した前記端末装置に対するアクセス制御情報を予め前記認証装置へ通知しておくことを特徴とする請求項11記載の通信システム。
  13. 前記基地局装置は、前記認証装置から通知されたアクセス制御情報と自装置において設定されたアクセス制御情報とのどちらを基に前記フィルタリング機能を提供するかを判断することを特徴とする請求項10または請求項11記載の通信システム。
  14. 前記基地局装置は、前記認証装置から通知されるアクセス制御情報における各項目に対してその内容の変更可及び不可のいずれかの情報を付加して前記フィルタリング機能の提供の有無の判断基準とすることを特徴とする請求項13記載の通信システム。
  15. 前記基地局装置は、前記アクセス制御情報を前記端末装置へ通知することを特徴とする請求項10から請求項14のいずれか記載の通信システム。
  16. 前記端末装置は、前記基地局装置から通知されたアクセス制御情報に基づいてアプリケーション毎のデータの通過/破棄のフィルタリング機能を保持することを特徴とする請求項15記載の通信システム。
  17. 前記端末装置は、前記基地局装置から通知されたアクセス制御情報に基づいてアプリケーション毎に少なくとも対応するメニューによるユーザインタフェースから起動可/不可とすることを特徴とする請求項15記載の通信システム。
  18. 前記端末装置は、前記基地局装置から通知されたアクセス制御情報に基づいてアプリケーション毎に個別の詳細なアクセス制御情報を設定することで、自装置内のアプリケーションにおける使用可能な機能を制御することを特徴とする請求項15記載の通信システム。
  19. 前記基地局装置と前記ネットワークとの間に配設されたゲートウェイ装置に、前記認証装置から通知されたアクセス制御情報に基づいて前記端末装置毎のデータの通過/破棄のフィルタリング機能を保持する手段を含むことを特徴とする請求項6から請求項9のいずれか記載の通信システム。
  20. 前記端末装置は、前記基地局装置を介して伝送媒体に無線を利用して接続することを特徴とする請求項1から請求項19のいずれか記載の通信システム。
  21. 端末装置から基地局装置を介してネットワーク接続する際に前記端末装置に対する認証を行う認証装置であって、前記認証と連携して前記端末装置に対する認証成功通知とともに前記端末装置に対するアクセス制御情報を前記基地局装置に通知する手段を有することを特徴とする認証装置。
  22. 前記アクセス制御情報を通知する手段は、前記アクセス制御情報として前記端末装置におけるアプリケーションに対する起動可/不可の情報を通知することを特徴とする請求項21記載の認証装置。
  23. 前記アクセス制御情報を通知する手段は、前記アクセス制御情報として前記端末装置におけるアプリケーション毎に異なる詳細なアクセス制御情報を通知することを特徴とする請求項21記載の認証装置。
  24. 複数のアクセス制御情報を管理することを特徴とする請求項22または請求項23記載の認証装置。
  25. 前記端末装置からの認証要求より得られる情報と連携して動的に前記端末装置に対するアクセス制御情報を変更することを特徴とする請求項24記載の認証装置。
  26. 前記認証要求より得られる情報として、前記端末装置のユーザ名と連携して動的に前記端末装置に対するアクセス制御情報を変更することを特徴とする請求項25記載の認証装置。
  27. 前記認証要求より得られる情報として、前記端末装置のユーザ名に含まれる当該端末装置が所属するドメイン名と連携して動的に前記端末装置に対するアクセス制御情報を変更することを特徴とする請求項25記載の認証装置。
  28. 前記認証要求より得られる情報として、前記端末装置がデータ通信を行おうと試みている基地局装置と連携して動的に当該端末装置に対するアクセス制御情報を変更することを特徴とする請求項25記載の認証装置。
  29. 前記認証要求より得られる情報として、前記認証のユーザ単位、前記端末装置が所属するドメイン名単位、前記基地局装置単位で所属するグループ単位を定義し、当該グループ単位で保持するアクセス制御情報を利用して動的に前記端末装置に対するアクセス制御情報を変更することを特徴とする請求項25記載の認証装置。
  30. 前記端末装置が前記基地局装置を介して伝送媒体に無線を利用して接続することを特徴とする請求項21から請求項29のいずれか記載の認証装置。
  31. ネットワーク接続する際に認証装置による認証を必要とする端末装置を当該認証結果に応じて前記ネットワークへの接続を行う基地局装置であって、前記認証装置からの認証成功通知とともに通知される前記端末装置に対するアクセス制御情報に基づいて前記端末装置毎のデータの通過/破棄のフィルタリング機能を保持する手段を有することを特徴とする基地局装置。
  32. ネットワーク接続する際に認証装置による認証を必要とする端末装置を当該認証結果に応じて前記ネットワークへの接続を行う基地局装置であって、自装置にて設定した前記端末装置毎のアクセス制御情報に基づいて前記端末装置毎のデータの通過/破棄のフィルタリング機能を保持する手段を有することを特徴とする基地局装置。
  33. 自装置で設定した前記端末装置に対するアクセス制御情報を予め前記認証装置へ通知しておくことを特徴とする請求項32記載の基地局装置。
  34. 前記認証装置から通知されたアクセス制御情報と自装置において設定されたアクセス制御情報とのどちらを基に前記フィルタリング機能を提供するかを判断することを特徴とする請求項31または請求項32記載の基地局装置。
  35. 前記認証装置から通知されるアクセス制御情報における各項目に対してその内容の変更可及び不可のいずれかの情報を付加して前記フィルタリング機能の提供の有無の判断基準とすることを特徴とする請求項34記載の基地局装置。
  36. 前記アクセス制御情報を前記端末装置へ通知することを特徴とする請求項31から請求項35のいずれか記載の基地局装置。
  37. 前記端末装置が自装置を介して伝送媒体に無線を利用して接続することを特徴とする請求項31から請求項36のいずれか記載の基地局装置。
  38. 基地局装置を介してネットワーク接続する際に認証装置による認証を必要とする端末装置であって、前記基地局装置から通知されたアクセス制御情報に基づいてアプリケーション毎のデータの通過/破棄のフィルタリング機能を保持する手段を有することを特徴とする端末装置。
  39. 前記基地局装置から通知されたアクセス制御情報に基づいてアプリケーション毎に少なくとも対応するメニューによるユーザインタフェースから起動可/不可とすることを特徴とする請求項38記載の端末装置。
  40. 前記基地局装置から通知されたアクセス制御情報に基づいてアプリケーション毎に個別の詳細なアクセス制御情報を設定することで、自装置内のアプリケーションにおける使用可能な機能を制御することを特徴とする請求項38記載の端末装置。
  41. 前記基地局装置を介して伝送媒体に無線を利用して接続することを特徴とする請求項38から請求項40のいずれか記載の端末装置。
  42. 端末装置から基地局装置を介してネットワーク接続する際に認証装置による認証を必要とする通信システムにおいて、前記基地局装置と前記ネットワークとの間に配設されたゲートウェイ装置であって、前記認証装置から通知されたアクセス制御情報に基づいて前記端末装置毎のデータの通過/破棄のフィルタリング機能を保持する手段を有することを特徴とするゲートウェイ装置。
  43. 前記端末装置が前記基地局装置を介して伝送媒体に無線を利用して接続することを特徴とする請求項42記載のゲートウェイ装置。
  44. 端末装置から基地局装置を介してネットワーク接続する際に認証装置による認証を必要とする通信システムに用いられるアクセス制御方法であって、前記認証装置側に、前記認証と連携して前記端末装置に対する認証成功通知とともに前記端末装置に対するアクセス制御情報を前記基地局装置に通知する処理を有することを特徴とするアクセス制御方法。
  45. 前記アクセス制御情報を通知する処理は、前記アクセス制御情報として前記端末装置におけるアプリケーションに対する起動可/不可の情報を通知することを特徴とする請求項44記載のアクセス制御方法。
  46. 前記アクセス制御情報を通知する処理は、前記アクセス制御情報として前記端末装置におけるアプリケーション毎に異なる詳細なアクセス制御情報を通知することを特徴とする請求項44記載のアクセス制御方法。
  47. 前記認証装置が複数のアクセス制御情報を管理することを特徴とする請求項45または請求項46記載のアクセス制御方法。
  48. 前記認証装置が前記端末装置からの認証要求より得られる情報と連携して動的に前記端末装置に対するアクセス制御情報を変更することを特徴とする請求項47記載のアクセス制御方法。
  49. 前記認証要求より得られる情報として、前記端末装置のユーザ名と連携して動的に前記端末装置に対するアクセス制御情報を変更することを特徴とする請求項48記載のアクセス制御方法。
  50. 前記認証要求より得られる情報として、前記端末装置のユーザ名に含まれる当該端末装置が所属するドメイン名と連携して動的に前記端末装置に対するアクセス制御情報を変更することを特徴とする請求項48記載のアクセス制御方法。
  51. 前記認証要求より得られる情報として、前記端末装置がデータ通信を行おうと試みている基地局装置と連携して動的に当該端末装置に対するアクセス制御情報を変更することを特徴とする請求項48記載のアクセス制御方法。
  52. 前記認証要求より得られる情報として、前記認証装置において前記認証のユーザ単位、前記端末装置が所属するドメイン名単位、前記基地局装置単位で所属するグループ単位を定義し、当該グループ単位で保持するアクセス制御情報を利用して動的に前記端末装置に対するアクセス制御情報を変更することを特徴とする請求項48記載のアクセス制御方法。
  53. 前記基地局装置が、前記認証装置から通知されたアクセス制御情報に基づいて前記端末装置毎のデータの通過/破棄のフィルタリング機能を保持することを特徴とする請求項49から請求項52のいずれか記載のアクセス制御方法。
  54. 前記基地局装置が、前記基地局装置において設定した前記端末装置毎のアクセス制御情報に基づいて前記端末装置毎のデータの通過/破棄のフィルタリング機能を保持することを特徴とする請求項49から請求項52のいずれか記載のアクセス制御方法。
  55. 前記基地局装置が、前記基地局装置で設定した前記端末装置に対するアクセス制御情報を予め前記認証装置へ通知しておくことを特徴とする請求項54記載のアクセス制御方法。
  56. 前記基地局装置が、前記認証装置から通知されたアクセス制御情報と前記基地局装置において設定されたアクセス制御情報とのどちらを基に前記フィルタリング機能を提供するかを判断することを特徴とする請求項53または請求項54記載のアクセス制御方法。
  57. 前記基地局装置が、前記認証装置から通知されるアクセス制御情報における各項目に対してその内容の変更可及び不可のいずれかの情報を付加して前記フィルタリング機能の提供の有無の判断基準とすることを特徴とする請求項56記載のアクセス制御方法。
  58. 前記基地局装置が、前記アクセス制御情報を前記端末装置へ通知することを特徴とする請求項53から請求項57のいずれか記載のアクセス制御方法。
  59. 前記端末装置が、前記基地局装置から通知されたアクセス制御情報に基づいてアプリケーション毎のデータの通過/破棄のフィルタリング機能を保持することを特徴とする請求項58記載のアクセス制御方法。
  60. 前記端末装置が、前記基地局装置から通知されたアクセス制御情報に基づいてアプリケーション毎に少なくとも対応するメニューによるユーザインタフェースから起動可/不可とすることを特徴とする請求項58記載のアクセス制御方法。
  61. 前記端末装置が、前記基地局装置から通知されたアクセス制御情報に基づいてアプリケーション毎に個別の詳細なアクセス制御情報を設定することで、前記端末装置内のアプリケーションにおける使用可能な機能を制御することを特徴とする請求項58記載のアクセス制御方法。
  62. 前記基地局装置と前記ネットワークとの間に配設されたゲートウェイ装置が、前記認証装置から通知されたアクセス制御情報に基づいて前記端末装置毎のデータの通過/破棄のフィルタリング機能を保持することを特徴とする請求項49から請求項52のいずれか記載のアクセス制御方法。
  63. 前記端末装置が、前記基地局装置を介して伝送媒体に無線を利用して接続することを特徴とする請求項44から請求項62のいずれか記載のアクセス制御方法。
  64. 端末装置から基地局装置を介してネットワーク接続する際に認証装置による認証を必要とする通信システムに用いられるアクセス制御方法のプログラムであって、前記認証装置のコンピュータに、前記認証と連携して前記端末装置に対する認証成功通知とともに前記端末装置に対するアクセス制御情報を前記基地局装置に通知する処理を実行させるためのプログラム。
JP2004219457A 2004-07-28 2004-07-28 通信システム、認証装置、基地局装置、端末装置及びそれらに用いるアクセス制御方法 Pending JP2006041961A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004219457A JP2006041961A (ja) 2004-07-28 2004-07-28 通信システム、認証装置、基地局装置、端末装置及びそれらに用いるアクセス制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004219457A JP2006041961A (ja) 2004-07-28 2004-07-28 通信システム、認証装置、基地局装置、端末装置及びそれらに用いるアクセス制御方法

Publications (1)

Publication Number Publication Date
JP2006041961A true JP2006041961A (ja) 2006-02-09

Family

ID=35906467

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004219457A Pending JP2006041961A (ja) 2004-07-28 2004-07-28 通信システム、認証装置、基地局装置、端末装置及びそれらに用いるアクセス制御方法

Country Status (1)

Country Link
JP (1) JP2006041961A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007214978A (ja) * 2006-02-10 2007-08-23 Fumitaka Murayama 対象者管理システム
JP2008219750A (ja) * 2007-03-07 2008-09-18 Oki Electric Ind Co Ltd 無線lan通信装置
JP2009534952A (ja) * 2006-04-20 2009-09-24 クゥアルコム・インコーポレイテッド 複数のネットワーク間の無線ハンドオフ
JP2010074768A (ja) * 2008-09-22 2010-04-02 Nec Access Technica Ltd 無線簡易設定システム、無線簡易設定方法、及び無線簡易設定プログラム
WO2012026086A1 (ja) * 2010-08-26 2012-03-01 日本電気株式会社 通信システム、該通信システムにおける情報処理装置とフェムト基地局並びにその制御方法と制御プログラム、及びフェムト基地局への情報送信方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003030138A (ja) * 2001-07-11 2003-01-31 Mitsubishi Electric Corp インターネット接続システム、管理サーバ装置、インターネット接続方法およびその方法をコンピュータに実行させるプログラム
JP2003199170A (ja) * 2001-12-28 2003-07-11 J-Phone Co Ltd 情報通信端末の機能制御方法、端末制御装置及び情報通信端末
JP2003319455A (ja) * 2002-04-23 2003-11-07 Canon Inc 通信システム、管理サーバおよびその制御方法ならびにプログラム
JP2004021686A (ja) * 2002-06-18 2004-01-22 Toshiba Corp 認証処理システム、認証処理装置、プログラム及び認証処理方法
JP2004072682A (ja) * 2002-08-09 2004-03-04 Canon Inc 無線接続方法、無線接続システムおよびアクセスポイント装置
JP2004078503A (ja) * 2002-08-15 2004-03-11 Internatl Business Mach Corp <Ibm> ネットワークシステム、ネットワークサーバ、情報処理装置、プログラム、及びデータ生成方法
JP2004135061A (ja) * 2002-10-10 2004-04-30 Toshiba Corp ネットワークシステム、情報処理装置、中継器およびネットワークシステムの構築方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003030138A (ja) * 2001-07-11 2003-01-31 Mitsubishi Electric Corp インターネット接続システム、管理サーバ装置、インターネット接続方法およびその方法をコンピュータに実行させるプログラム
JP2003199170A (ja) * 2001-12-28 2003-07-11 J-Phone Co Ltd 情報通信端末の機能制御方法、端末制御装置及び情報通信端末
JP2003319455A (ja) * 2002-04-23 2003-11-07 Canon Inc 通信システム、管理サーバおよびその制御方法ならびにプログラム
JP2004021686A (ja) * 2002-06-18 2004-01-22 Toshiba Corp 認証処理システム、認証処理装置、プログラム及び認証処理方法
JP2004072682A (ja) * 2002-08-09 2004-03-04 Canon Inc 無線接続方法、無線接続システムおよびアクセスポイント装置
JP2004078503A (ja) * 2002-08-15 2004-03-11 Internatl Business Mach Corp <Ibm> ネットワークシステム、ネットワークサーバ、情報処理装置、プログラム、及びデータ生成方法
JP2004135061A (ja) * 2002-10-10 2004-04-30 Toshiba Corp ネットワークシステム、情報処理装置、中継器およびネットワークシステムの構築方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007214978A (ja) * 2006-02-10 2007-08-23 Fumitaka Murayama 対象者管理システム
JP2009534952A (ja) * 2006-04-20 2009-09-24 クゥアルコム・インコーポレイテッド 複数のネットワーク間の無線ハンドオフ
JP2012075117A (ja) * 2006-04-20 2012-04-12 Qualcomm Inc 複数のネットワーク間の無線ハンドオフ
US8275377B2 (en) 2006-04-20 2012-09-25 Qualcomm Incorporated Wireless handoffs between multiple networks
JP2008219750A (ja) * 2007-03-07 2008-09-18 Oki Electric Ind Co Ltd 無線lan通信装置
JP2010074768A (ja) * 2008-09-22 2010-04-02 Nec Access Technica Ltd 無線簡易設定システム、無線簡易設定方法、及び無線簡易設定プログラム
WO2012026086A1 (ja) * 2010-08-26 2012-03-01 日本電気株式会社 通信システム、該通信システムにおける情報処理装置とフェムト基地局並びにその制御方法と制御プログラム、及びフェムト基地局への情報送信方法
CN103069884A (zh) * 2010-08-26 2013-04-24 日本电气株式会社 通信系统、信息处理设备和其中的毫微微基站、控制通信系统、信息处理设备和其中的毫微微基站的方法和程序、以及向毫微微基站发送信息的方法
JP5626348B2 (ja) * 2010-08-26 2014-11-19 日本電気株式会社 通信システム、該通信システムにおける情報処理装置とフェムト基地局並びにその制御方法と制御プログラム、及びフェムト基地局への情報送信方法
US9237504B2 (en) 2010-08-26 2016-01-12 Nec Corporation Communication system, information processing device and femto base station therein, method and program for controlling the sames, and method of transmitting information to femto base station
CN103069884B (zh) * 2010-08-26 2016-12-07 日本电气株式会社 信息处理设备和毫微微基站
US9973996B2 (en) 2010-08-26 2018-05-15 Nec Corporation Communication system, information processing device and femto base station therein, method and program for controlling the same, and method of transmitting information to femto base station

Similar Documents

Publication Publication Date Title
US7673146B2 (en) Methods and systems of remote authentication for computer networks
US7441043B1 (en) System and method to support networking functions for mobile hosts that access multiple networks
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
US7788705B2 (en) Fine grained access control for wireless networks
JP4340626B2 (ja) シームレスな公衆無線ローカル・エリア・ネットワーク・ユーザ認証
Chen et al. Extensible authentication protocol (EAP) and IEEE 802.1 x: tutorial and empirical experience
JP2002314549A (ja) ユーザ認証システム及びそれに用いるユーザ認証方法
JPWO2008146395A1 (ja) ネットワーク中継装置、通信端末及び暗号化通信方法
WO2006134476A1 (en) Management of access control in wireless networks
JP2007097010A (ja) 接続支援装置およびゲートウェイ装置
US20060046693A1 (en) Wireless local area network (WLAN) authentication method, WLAN client and WLAN service node (WSN)
US20220394474A1 (en) Methods and systems for segmenting computing devices in a network
CN102461265A (zh) 位置确定的网络访问
CN114143788B (zh) 一种基于msisdn实现5g专网认证控制的方法和系统
EP1760945A2 (en) Wireless LAN security system and method
CN101637003A (zh) 用于为无线紧急服务进行认证的系统和方法
Nife et al. New SDN-oriented authentication and access control mechanism
JP2008028600A (ja) ゲートウェイ装置、接続制御装置及びネットワーク接続システム
JP2006041961A (ja) 通信システム、認証装置、基地局装置、端末装置及びそれらに用いるアクセス制御方法
JP2004295166A (ja) リモートアクセスシステムおよびリモートアクセス方法
JP4630296B2 (ja) ゲートウェイ装置および認証処理方法
Nguyen et al. An SDN‐based connectivity control system for Wi‐Fi devices
JP5141096B2 (ja) 取得したネットワークの接続情報を利用したファイルの自動暗号化装置、その方法及びそのプログラム
JP2007006248A (ja) リモートアクセス方法、およびリモートアクセスシステム
JP4009273B2 (ja) 通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070611

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100112

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100518