专利名称:无线局域网接入认证系统的制作方法
技术领域:
本发明涉及无线LAN接入认证系统,其进行发/收无线信号的无线终端设备的接入认证。特别涉及在综合了多个无线LAN网络系统的网络系统中的无线LAN接入认证系统,该无线LAN网络系统具有通过传送所述无线信号的无线部分的无线终端设备接入的至少两个接入点部分。
背景技术:
近年来,在办公室或企业等局域网络系统和公共网络系统中,运用了这样的无线LAN网络系统其利用诸如IEEE802.11b的无线LAN标准。
在这样的无线LAN网络系统中,用ESSID或MAC地址来进行所述无线终端设备的接入认证,并由WEP(有线等效协议)来对通过无线部分传送的无线信号加密。
然而,这样的所述无线终端设备的接入认证和所述无线信号的加密被指出了安全的脆弱性。为此,最近,已构建了这样的网络系统,其用以下设备对所述无线信号进行加密,该设备通过使用IEEE802.1X(EAP可扩展认证协议)的RADIUS(异地认证拨入用户服务)服务器支持所述无线终端设备的接入认证和WEP密钥的动态分配。
另一方面,随着这样的网络系统的普及,为使用所述网络系统的用户实现更舒适地通信,在多个网络系统间所述无线终端设备达到顺利切换变得愈发必要。
作为实现提高该切换速度的现有的通信方式,提出了这样一种方式即,在所述用户的无线终端设备有切换可能的接入点部分事先建立所述无线终端设备的接入认证状态,并对所述无线终端设备切换期间的接入点部分取消接入认证的必要性(例如,参看“A study for a speedy handover in a radio LocalArea Network”2003 Institute of Electronics,Information and CommunicationEngineers General Assembly B-6-194)。
该现有的通信方式执行以下操作
(1)以该通信方式,当所述用户的无线终端设备初次到所述接入点部分登入时,在所述用户的无线终端设备和进行所述无线终端设备的接入认证的认证服务器间执行常规的接入认证。
(2)用户的无线终端设备已经登入的接入点部分和所述认证服务器将保持接入认证时的凭证(会话密钥),其后作为用户的无线终端设备通信用的认证头标。
(3)所述认证服务器从预先保持的接入点部分的地理信息中搜索用户的无线终端设备可能切换的接入点部分,并将所述会话密钥分配至相应的接入点部分。
(4)所述用户的无线终端设备可能切换的周边的接入点部分保持从所述认证服务器通知的会话密钥。
(5)在所述无线终端设备进行切换时,若由所述接入点部分保持的会话密钥和由所述无线终端设备保持的会话密钥匹配,则和所述用户的无线终端设备进行通信的接入点部分容许通信。
(6)检测到从用户的无线终端设备初次数据包通信的接入点部分将用户的无线终端设备的登入通知给所述认证服务器。
(7)所述认证服务器将所述会话密钥通知给所述用户的无线终端设备新进入的通信区中的接入点部分,并请求走出所述通信区的接入点部分释放所述会话密钥。
该通信方式对所述用户的无线终端设备有切换可能的接入点部分取消接入认证的必要性,以及使无线终端设备和接入点部分间的即刻通信成为可能。
作为所述无线LAN网络系统,这样的网络系统引人注目即,综合了例如内部无线LAN网络系统和公共无线LAN网络系统,并为在这些网络系统间移动的无线终端设备提供连续的无缝通信服务。像这样综合了多个无线LAN网络系统的网络系统的可能模式,是一种将所述认证服务器配置在与所述多个无线LAN网络系统通信的中心站,并以集中方式控制所述无线终端设备的网络系统。
这里,考虑这样的情形即,在所述中心站集中控制所述无线终端设备的网络系统中,所述无线终端设备在进行切换的多个无线LAN网络系统间移动至新的接入点部分。
在此情形中,每当所述无线终端设备所接入的接入点部分变化时,利用现有的IEEE802.1X的无线LAN接入认证系统需要在所述无线终端设备和所述中心站的认证服务器间交换认证编号(认证信号)。
为此,所述现有的无线LAN接入认证系统有这样的问题即,所述无线终端设备的接入认证和伴随着分配WEP密钥(即,为了对通过所述无线部分传送的无线信号进行加密的密钥)进行的接入认证过程增大了所述无线终端设备的切换所需时间,从而招致数据包丢失。
而且,所述现有的无线LAN接入认证系统有这样的问题由于每当所述无线终端设备在多个接入点部分间移动时进行的所述无线终端设备和所述中心站间的所述认证信号的交换,所述中心站和各无线LAN网络系统间的传送路径中的诸如认证信号的控制信号的比增大,从而无法有效利用传送路径的频带。
前述通信方式(参照“A study for a speedy handover in a radio Local AreaNetwork”2003 Institute of Electronics,Information and CommunicationEngineers General Assembly B-6-194)意在解决这一问题。
然而,如前所述,对这样的大规模网络系统应用该通信方式存在困难,该网络系统综合了多个无线LAN网络系统,并由所述中心站以集中方式控制用于所述无线终端设备的接入认证的用户ID和WEP密钥等。
即,当将所述通信方式应用于由所述中心站以集中方式控制用户ID及所述WEP密钥等的大规模网络系统时,为使所述无线终端设备能在所述多个无线LAN网络系统间无缝地移动,每当所述无线终端设备移动时,有必要将所述WEP密钥分配至各无线LAN网络系统的周边的接入点部分。
为此,即使采取了所述通信方式,该大规模网络系统也仍然要通过所述中心站和所述多个无线LAN网络系统的每个间的传送路径而频繁地交换诸如认证信号的控制信号。
而且,在所述通信方式中,所述中心站的所述认证服务器需要控制所述无线终端设备的位置信息及所述无线LAN网络系统的每个的接入点部分的地理信息。然而,所述中心站的所述认证服务器进行这样的各接入点部分的地理信息的控制,使得所述认证服务器的负荷进一步增大。
由于上述的原因,对前述的综合了多个无线LAN网络系统的大规模网络系统应用所述通信方式是极端困难的。
发明内容
本发明的目的在于提供一种无线LAN接入认证系统,其可缩短由中心站综合多个无线LAN网络系统并集中控制的多个无线LAN网络系统中的无线终端设备的接入认证的过程所要的时间,并可减低所述中心站和所述无线LAN网络系统的每个间的诸如认证信号的控制信号的数量。
为了达到上述目的,本发明的无线LAN接入认证系统是这样的网络系统中的无线LAN接入认证系统该网络系统设有多个无线LAN网络系统和以集中方式控制所述多个无线LAN网络系统的中心站,所述多个无线LAN网络系统的每个包括通过无线部分发/收无线信号的无线终端设备接入的至少两个接入点部分;和对所述各接入点部分间的数据信号及控制信号的发/收进行中继的网关设备,而所述中心站包括对所述多个无线LAN网络系统的网关设备间的数据信号及控制信号的发/收进行中继的中心站网关设备;和认证服务器,其进行接入了所述接入点部分的所述无线终端设备的接入认证,并将接入认证的所述无线终端设备进行通信的无线部分的加密所用的密钥分配至所述无线终端设备及所述接入点部分,所述无线LAN接入认证系统包括接入控制部分,其是为所述多个无线LAN网络系统的每个而配备的,并对自己的通信区内的所述无线终端设备至所述认证服务器的接入状况进行控制,以及当所述无线终端设备移至新的接入点部分的通信区时,检查所述无线终端设备至所述认证服务器有无接入;和密钥控制部分,其是为所述多个无线LAN网络系统的每个而配备的,对从所述认证服务器分配的密钥进行控制,并当所述接入控制部分确认已移动至其他接入点部分的通信区的所述无线终端设备已接入了所述认证服务器时,将所述无线终端设备进行通信的无线部分的密钥分配至所述无线终端设备及所述无线终端设备移至的新的接入点部分。
图1是示出了根据本发明的实施例1的无线LAN接入认证系统的结构的示意框图;图2是示出了根据本发明的实施例1的无线LAN接入认证系统中接入认证的工作的序列图;图3是示出了在根据本发明的实施例1的无线LAN接入认证系统中使用的各无线LAN网络系统的网关设备的结构的框图;图4是示出了根据本发明的实施例1的当在无线LAN接入认证系统中无线终端设备移动时接入认证的工作的序列图;图5是示出了在根据本发明的实施例2的无线LAN接入认证系统中使用的各无线LAN网络系统的网关设备的结构的框图;图6是示出了根据本发明的实施例2的当在无线LAN接入认证系统中无线终端设备移动时接入认证的工作的序列图;图7是示出了在根据本发明的实施例3的无线LAN接入认证系统中使用的无线终端设备的结构的框图;图8是示出了在根据本发明的实施例3的无线LAN接入认证系统中使用的无线终端设备的另一结构的框图。
具体实施例方式
本发明的精髓是由各无线LAN网络系统的接入控制部分来对无线终端设备至综合了多个无线LAN网络系统的中心站的认证服务器的接入状况进行控制,当确认已移动至新的接入点部分的通信区的该无线终端设备已接入了所述认证服务器时,由各无线LAN网络系统的密钥控制部分将无线部分的密钥分配至所述无线终端设备及所述无线终端设备移动所至的新的接入点部分。
以下,参照附图来详细说明本发明的实施例。但在以下的说明中,作为所述无线LAN网络系统的示例,将描述综合了内部无线LAN网络系统和公共无线LAN网络系统的网络系统。
(实施例1)图1是示出了这样的网络系统的结构的示意框图其使用根据本发明的实施例1的无线LAN接入认证系统。如图1所示,该网络系统包括中心站100、总局无线LAN网络系统110、支局无线LAN网络系统120及公共无线LAN网络系统130。
在图1中,中心站100集中式地控制总局无线LAN网络系统110、支局无线LAN网络系统120及公共无线LAN网络系统130。而且中心站100还包括中心站网关设备101和认证服务器102。
另一方面,总局无线LAN网络系统110包括总局网关设备111及总局接入点部分112、113、114。该总局无线LAN网络系统110使用诸如笔记型电脑、PDA及蜂窝电话机的无线终端设备115、116来进行通信。
而且,支局无线LAN网络系统120包括支局网关设备121、和支局接入点部分122、123、124。该支局无线LAN网络系统120使用诸如笔记型电脑、PDA及蜂窝电话机的无线终端设备125、126来进行通信。
而且,公共无线LAN网络系统130包括公共网关设备131、公共接入点部分132、133、134。该公共无线LAN网络系统130使用诸如笔记型电脑、PDA及蜂窝电话机的无线终端设备135、136来进行通信。
其次,使用根据实施例1的无线LAN接入认证系统构成的网络系统的每个设备的工作将使用图2所示的序列图来说明。
在图2中,当无线终端设备(这里假设是无线终端设备116)初次接入总局无线LAN网络系统110、支局无线LAN网络系统120或公共无线LAN网络系统130时,该无线终端设备将接入请求发至希望的接入点部分(这里假设是总局接入点部分114)。在通过无线部分至总局接入点部分114的接入完毕后,该无线终端设备116的接入用预定的认证过程被认证。
该认证过程是基于IEEE802.1X协议、由无线终端设备116经由总局无线LAN网络系统110的总局网关设备111及中心站100的中心站网关设备101而接入中心站100的认证服务器102来进行的。
在该认证过程中,如图2所示,总局接入点部分114从将接入请求发至总局接入点部分114的无线终端设备116请求ID。相应对ID的请求,无线终端设备116将含无线终端设备116的用户的用户ID的响应信号发送至总局接入点部分114。收到所述响应信号的总局接入点部分114将用于无线终端设备116的接入认证的认证信号发送至总局网关设备111。
这里,对于这样的情形进行了说明即,总局无线LAN网络系统110的无线终端设备116通过总局接入点部分114接入中心站100的认证服务器102,不过对于其他无线终端设备也可进行类似的工作。
网关设备111、121、131设置于网络系统中的各无线LAN网络系统110、120、130中,该网络系统使用根据本发明的实施例1的无线LAN接入认证系统,这些网关设备111、121、131具有下列结构。
图3是示出了具有网关设备111、121、131共同结构的网关设备的框图。
如图3所示,网关设备111、121、131的每个设有数据发/收部分301、转换部分302、转换部分303、数据发/收部分304、用户接入控制部分305及WEP密钥控制部分306。
这里,数据发/收部分301向/从与之通信的接入点部分进行数据的发/收。转换部分302选择对于数据发/收部分301的传送路径。转换部分303选择对于数据发/收部分304的传送路径。数据发/收部分304向/从与之通信的中心站网关设备进行数据的发/收。用户接入控制部分305控制与之通信的各无线终端设备的接入状况。WEP密钥控制部分306与被指定的无线终端设备关联而控制由认证服务器102分配的密钥(WEP密钥)。
网关设备(这里假设总局网关设备111)依例如响应信号(其含从接入点部分114送来的所述用户ID)而检查发出接入请求的无线终端设备(这里是无线终端设备116)的接入状况。这里,若发出接入请求的无线终端设备116是初次接入的初始接入的无线终端设备,则无线终端设备116在用户接入控制部分305注册为“无接入”。
在初始接入的情形中,网关设备111经由进行集中控制的中心站100的中心站网关设备101将所述响应信号传送至认证服务器102。
收到该响应信号的认证服务器102通过中心站网关设备101、网关设备111和接入点部分114与发出接入请求的无线终端设备116交换认证序列,以进行发出该接入请求的无线终端设备116的接入认证。
而且,当如前述发出接入请求的无线终端设备116的接入认证完毕,认证服务器102将WEP密钥(即,为了对无线部分的发/收数据进行加密的密钥)分配至该无线终端设备及各接入点部分。此时,网关设备111将接入认证完毕的无线终端设备116的用户ID注册在用户接入控制部分305,并控制接入认证完毕的无线终端设备116的接入状况。
另一方面,WEP密钥控制部分306使被分配的所述密钥(WEP密钥)与被分配的无线终端设备116关联,并保存接入认证完毕的无线终端设备116的WEP。已分配了WEP密钥的无线终端设备116和接入点部分114通信使用所述WEP密钥加密的无线部分的发/收数据。
其次,对于以下情形的工作做出说明即,经由无线LAN网络系统的接入点部分而进行通信的无线终端设备,其移动并进行接入认证,以便经由其他无线LAN网络系统的接入点部分来实行通信。
图4是示出了在接入点部分间移动的无线终端设备进行接入认证的情形的工作序列图。这里,假设所述无线LAN网络系统为总局无线LAN网络系统110而所述接入点部分为总局接入点部分114。而且,假设所述无线终端设备为无线终端设备116而所述其他无线LAN网络系统的接入点部分为支局无线LAN网络系统120的接入点部分124。
在图4中,移动的无线终端设备116从目的地区的新的接入点部分124检测信标(呼叫信号及载波),将接入请求发至该新的接入点部分124,并进行预定的无线部分的接入过程。
当该接入过程完毕时,该移动的无线终端设备116为了进行接入认证而从新的接入点部分124接收识别请求。响应该识别请求,无线终端设备116将含用户ID的响应信号发送至新的接入点部分124。
收到所述响应信号的接入点部分124将来自无线终端设备116的响应信号发送至网关设备121。网关设备121基于响应信号而由用户接入控制部分305检查发出接入请求的用户的无线终端设备116的接入状况,所述响应信号含从接入点部分124发送的用户ID,。
这里,若发出接入请求的用户的无线终端设备116已由前述初期接入而注册,则网关设备121通过WEP密钥控制部分306来搜索指定给发送接入请求的无线终端设备116的WEP密钥,并将预先注册的WEP密钥再分配至目的地区的新的接入点部分124和发送接入请求的无线终端设备116。
这样一来,分配了WEP密钥的无线终端设备116和接入点部分124通信使用再分配的所述WEP密钥加密的预定的无线部分的发/收数据。
用户接入控制部分305和WEP密钥控制部分306控制所述无线终端设备的接入状况和指定的WEP密钥,消去一定时间内未发出接入请求的无线终端设备对应的注册,以响应所述无线终端设备的电源关闭时或移动至其他域时等的该设备。
根据本发明的实施例1的无线LAN接入认证系统是这样的结构即对网关设备111、121、131的每个配备了控制所述用户的无线终端设备的接入状况和WEP密钥的用户接入控制部分305及WEP密钥控制部分306,但该用户接入控制部分305和WEP密钥控制部分306也可从所述网关设备分离,并对所述各无线LAN网络系统独立地配置。
这样,在根据本发明的实施例1的无线LAN接入认证系统中,配置于各无线LAN网络系统中的网关设备111、121、131可进行当接入新的接入点部分时的接入认证及WEP密钥的分配,从而可缩短伴随着所述终端设备的移动的接入认证过程所要的时间。
这样一来,根据本发明的实施例1的无线LAN接入认证系统中,可缩短所述无线终端设备的移动时要求的切换时间,以及大幅减少各无线LAN网络系统和中心站100间的认证信令数量,并有效利用传送路径的频带。
(实施例2)其次,参照附图来详细说明本发明的实施例2。
根据本发明的实施例2的无线LAN接入认证系统除了根据本发明的实施例1的无线LAN接入认证系统的功能外,还有对与之通信的无线终端设备的接入时间及通信数据包量进行计数的功能。
根据本实施例2的无线LAN接入认证系统,在与之通信的无线终端设备的接入时间或通信数据包量达到预定量时,对所述无线终端设备请求用中心站100的认证服务器102再认证和分配新的密钥。
图5示出了在根据本实施例2的无线LAN接入认证系统中使用的网关设备的结构。在根据本实施例2的无线LAN接入认证系统中使用的网关设备中将同一附图标记赋予与图3所示的网关设备300具有同一功能的组件,并省略其详细的说明。
如图5所示,在根据本实施例2的无线LAN接入认证系统中使用的网关设备500具有用户接入控制部分501代替本发明的实施例1中的用户接入控制部分305。该网关设备500的用户接入控制部分501设有接入时间控制部分502及通信数据包量控制部分503。接入时间控制部分502对与之通信的各无线终端设备的接入时间进行计数。而且,通信数据包量控制部分503对与之通信的各无线终端设备的通信数据包量进行计数。
其次,对达到根据本实施例2的无线LAN接入认证系统的无线终端设备的再认证及密钥的再分配的工作做出说明。图6是示出了达到根据本实施例2的无线LAN接入认证系统中无线终端设备(这里假设是无线终端设备116)的再认证和密钥的再分配的工作序列图。
在图6中,当发出接入请求的无线终端设备116与认证服务器102间的接入认证完毕时,无线终端设备116开始与希望的网络系统的通信。而且与此同时,网关设备500的接入时间控制部分502和通信数据包量控制部分503开始无线终端设备116的接入时间及数据包量的计数。
这里,例如当经由接入点部分114而进行通信的无线终端设备116移动并想要经由新的接入点部分124而进行通信时,被网关设备500的WEP密钥控制部分306控制的密钥(WEP密钥)被再分配至该移动的无线终端设备116和目的地区中的新的接入点部分124。这样一来,该移动的无线终端设备116使用与分配于初始接入认证时的密钥相同的密钥来进行通信。
然后,当由网关设备500的接入时间控制部分502或通信数据包量控制部分503计数的接入时间或通信数据包量达到预定量时,则网关设备500将请求中心站100的认证服务器102执行再认证和再分配密钥过程的信号通知给接入的无线终端设备116。
此时,由网关设备500的用户接入控制部分501控制的用户的无线终端设备116的接入状况的注册内容变更为表示再认证有必要的内容。而且,该无线LAN接入认证系统的通信模式被换成将从无线终端设备116发送的认证信号传送至中心站100的认证服务器102的模式。
这样一来,当接收请求再认证及所述密钥的再分配的信号的无线终端设备116将认证请求信号发送至接入点部分124时,开始图6所示的一系列认证序列。
当基于IEEE802.1X协议的预定的认证过程完毕时,则新的密钥(WEP密钥)由认证服务器102配给无线终端设备116和目的地区域的新的接入点部分124,而无线终端设备116和目的区域的新的接入点部分124通信使用新的密钥加密的发送数据。
而且,与此同时,网关设备500由WEP密钥控制部分306保存新的密钥,并由接入时间控制部分502及通信数据包量控制部分503开始无线终端设备116的接入时间及数据包量的计数。
这样一来,在根据本实施例2的无线LAN接入认证系统中,网关设备500的接入时间控制部分502和通信数据包量控制部分503可控制无线终端设备116的接入时间和数据包量。
然后,在接入的无线终端设备116的接入时间和数据包量达到预定量时,为了使用中心站100的认证服务器102执行接入认证的再认证和密钥的再分配过程,请求该无线终端设备116。
从而,按照根据本实施例2的无线LAN接入认证系统,每当接入的无线终端设备的接入时间和数据包量达到预定量时,更新在该无线终端设备和所述无线终端设备的接入点部分间使用的密钥(WEP密钥),于是可防止通过WEP密钥的破解等导致的不正当的无线终端设备的非法接入。
(实施例3)其次,参照附图来详细说明本发明的实施例3。
在根据本发明的实施例3的无线LAN接入认证系统中,各无线终端设备提供有SIM(用户识别模块)卡,其作为记录当由中心站100的认证服务器102对无线终端设备的接入进行认证时使用的ID信息的信息卡,从该SIM卡内提取用于前述接入认证的用户ID,并进行接入认证过程。
图7是示出了在根据本发明的实施例3的无线LAN接入认证系统中使用的无线终端设备的结构的框图。如图7所示,该无线终端设备700设有无线LAN I/F(无线LAN用的接入接口)701、SIM卡702、EAP客户机703及WEP客户机704。
在该无线终端设备700中,具有IEEE802.1X(EAP可扩展认证协议)功能的EAP客户机703与中心站100的认证服务器102交换认证信号。接着,使用记录于SIM卡702内的用户ID来执行IEEE802.1X的序列。
记录于SIM卡702内的用户ID也注册于中心站100的认证服务器102。而且,在由WEP客户机704接入认证后,无线终端设备700使用从认证服务器102指定的密钥来进行加密和解密。
图8是示出了根据本发明的实施例3的无线LAN接入认证系统中使用的无线终端设备的其他结构的框图。如图8所示,该无线终端设备800除图7所示的无线终端设备700的结构以外,还设有蜂窝无线I/F801和蜂窝认证客户机802。即,该无线终端设备800无线LAN I/F701即无线LAN用的接入接口外、还设有蜂窝无线I/F801,即,蜂窝无线接入接口。
在该无线终端设备800中,如图8所示,记录于SIM卡702的用户ID被给予EAP客户机703,并在无线LAN网络系统侧用于接入认证。
而且,在该无线终端设备800中,记录于SIM卡702的用户ID被给予进行蜂窝无线网络系统侧的认证的蜂窝认证客户机802,并也在所述蜂窝无线网络系统侧用于接入认证处。
这里,对于这样的情况做了说明即,安装于无线终端设备700或无线终端设备800中的SIM卡702的用户ID用于接入认证,但作为接入认证使用的用户信息,也可使用例如安装于第3代蜂窝电话机中的UIM(用户识别模块)卡中记录的用户信息来进行类似的认证过程。
按照根据本实施例3的无线LAN接入认证系统,即使在用户改变无线终端设备的类型时,也可不改变该用户的接入认证时的认证ID,并可能以集中方式控制所述用户的用户ID和计费,而对蜂窝无线网络系统和无线LAN网络系统这两种网络系统的接入认证和计费也可统一。
根据本发明的实施例的无线LAN接入认证系统是这样的网络系统中的无线LAN接入认证系统该网络系统包括多个无线LAN网络系统和以集中方式控制所述多个无线LAN网络系统的中心站,多个无线LAN网络系统的每个包括通过无线部分发/收无线信号的无线终端设备接入的至少两个接入点部分,和对所述各接入点部分间的数据信号及控制信号的发/收进行中继的网关设备,而所述中心站则包括对所述多个无线LAN网络系统的网关设备间的数据信号及控制信号的发/收进行中继的中心站网关设备,和认证服务器,其进行接入了所述接入点部分的所述无线终端设备的接入认证,并将接入认证的所述无线终端设备进行通信的无线部分的加密所用的密钥分配至所述无线终端设备及所述接入点部分,所述无线LAN接入认证系统包括接入控制部分,其是为所述多个无线LAN网络系统的每个而配备的,对自己的通信区内的所述无线终端设备至所述认证服务器的接入状况进行控制,并当所述无线终端设备移动至新的接入点部分的通信区时检查所述无线终端设备至所述认证服务器有无接入,和密钥控制部分,其是为所述多个无线LAN网络系统的每个而配备的,对从所述认证服务器分配的密钥进行控制,并当所述接入控制部分确认已移动至其他接入点部分的通信区的所述无线终端设备已接入了所述认证服务器时,将所述无线终端设备进行通信的无线部分的密钥分配至所述无线终端设备和所述无线终端设备移至的新的接入点部分。
在该结构中,当所述无线终端设备在预定的无线LAN网络内移动时,所述接入控制部分检查所述无线终端设备至所述认证服务器的接入状况。当确认该无线终端设备已接入了所述认证服务器时,所述密钥控制部分将所述密钥分配至所述无线终端设备和无线终端设备移至的新的接入点部分。当所述无线终端设备移至所述新的接入点部分时,容许被确认已经接入认证服务器的无线终端设备接入所希望的无线LAN网络而不与所述中心站的所述认证服务器交换任何认证信号。从而,该结构可缩短伴随着所述无线终端设备的移动的接入认证的认证过程所要的时间,使所述无线终端设备至新的接入点部分的切换容易进行,大幅减少各无线LAN网络系统和所述中心站间的控制信号的数量(认证信令数量),并实现传送路径中的频带的有效利用。
而且,在根据本发明的其他实施例的无线LAN接入认证系统中,所述接入控制部分和所述密钥控制部分配置于所述网关设备中。
根据该结构,由于所述接入控制部分和所述密钥控制部分配置于所述各无线LAN网络的各网关设备中,故可简化所述各无线LAN网络的结构。
在根据本发明的其他实施例的无线LAN接入认证系统中,所述接入控制部分包括控制部分,其对至少一个所述各无线终端设备的接入时间的接入量或通信数据包量进行控制,并在所述接入量达到预定量时,请求无线终端设备再认证。
根据该结构,当接入量达到预定量时,控制部分请求无线终端设备再认证,容许无线终端设备更新进行通信的无线部分的密钥。从而,该结构可防止由所述密钥的破解等导致的不正当的无线终端设备的非法接入。
在根据本发明的再一实施例的无线LAN接入认证系统中,所述无线终端设备设有记录ID信息的信息卡,而在无线终端设备的接入认证时使用作为认证ID的记录于所述信息卡的ID信息。
在该结构中,记录于所述无线终端设备的信息卡中(例如,SIM卡或UIM卡)的ID信息被用作无线终端设备的接入认证的认证ID。从而,根据该结构,即使当用户改变无线终端设备的类型时,也可阻止改变用户的接入认证时的认证ID,并以集中方式控制用户的用户ID和计费。
而且,根据本发明的再一实施例的无线LAN接入认证方法是网络系统中的无线LAN接入认证方法,该网络系统包括多个无线LAN网络系统和以集中方式控制所述多个无线LAN网络系统的中心站,所述多个无线LAN网络系统的每个包括通过无线部分发/收无线信号的无线终端设备接入的至少两个接入点部分,和对所述各接入点部分间的数据信号及控制信号的发/收进行中继的网关设备,而所述中心站包括对所述多个无线LAN网络系统的每个网关设备间的数据信号及控制信号的发/收进行中继的中心站网关设备,和认证服务器,其进行接入了所述接入点部分的所述无线终端设备的接入认证,并将接入认证的所述无线终端设备进行通信的无线部分的加密所用的密钥分配至所述无线终端设备及所述接入点部分,所述无线LAN接入认证方法包括接入控制步骤,其对所述各无线LAN网络系统内的所述无线终端设备至所述认证服务器的接入状况进行控制,并当所述无线终端设备移动至新的接入点部分的通信区时,检查所述无线终端设备至所述认证服务器的接入的有无;和密钥控制步骤,其对从所述认证服务器分配的密钥进行控制,并当在所述接入控制步骤中确认已移动至其他接入点部分的通信区的所述无线终端设备已接入所述认证服务器时,将所述无线终端设备进行通信的无线部分的密钥分配至所述无线终端设备和所述无线终端设备移至的新的接入点部分。
根据该方法,当所述无线终端设备在预定的无线LAN网络内移动时,在所述接入控制步骤中检查所述无线终端设备至所述认证服务器的接入状况。当确认该无线终端设备已接入所述认证服务器时,在所述密钥控制步骤中将所述密钥分配至所述无线终端设备和所述无线终端设备移至的新的接入点部分。这样,当移动到新的接入点部分而与中心站的认证服务器交换任何认证信号时,确认以这种方式接入所述认证服务器的所述无线终端设备许可接入希望的无线LAN网络系统。从而,根据该结构,可缩短伴随着所述无线终端设备的移动的接入认证的认证过程所要的时间,此外,该结构使所述无线终端设备至所述新的接入点部分的切换容易进行。而且,该结构可大幅减少诸如各无线LAN网络系统和所述中心站间的认证信号的控制信号的数量(认证信令数量)。此外,该结构可实现传送路径的频带的有效利用。
而且,根据本发明的再一实施例的认证服务器是配置于中心站的认证服务器,该中心站在这样的网络系统的无线LAN接入认证系统中进行无线终端设备的接入认证,即,该网络系统包括多个无线LAN网络系统和以集中方式控制多个无线LAN网络系统的中心站,所述多个无线LAN网络系统的每个包括通过无线部分发/收无线信号的无线终端设备接入的至少两个接入点部分,和对所述各接入点部分间的数据信号及控制信号的发/收进行中继的网关设备,而所述中心站包括对所述多个无线LAN网络系统的网关设备间的数据信号及控制信号的发/收进行中继的中心站网关设备,所述认证服务器包括接入认证部分,其进行当所述无线终端设备接入所述各无线LAN网络的预定的接入点部分时的接入认证;和密钥分配部分,其对各无线LAN网络的各网关设备一起分配所述无线终端设备所接入的无线部分的密钥。
根据该结构,可一起进行各无线终端设备接入期间的接入认证和所述无线部分的密钥的分配,以及还可将所述密钥分配至各无线LAN网络的各网关设备。
而且,根据本发明的再一实施例的网关设备是这样的网络系统的无线LAN接入认证系统的各无线LAN网络中的网关设备,即,该网络系统包括多个无线LAN网络系统和以集中方式控制所述多个无线LAN网络系统的中心站,所述多个无线LAN网络系统的每个包括通过无线部分发/收无线信号的无线终端设备接入的至少两个接入点部分,而所述中心站包括对所述多个无线LAN网络系统的网关设备间的数据信号及控制信号的发/收进行中继的中心站网关设备,和认证服务器,其进行接入了接入点部分的所述无线终端设备的接入认证,并将接入认证的所述无线终端设备进行通信的无线部分的加密所用的密钥分配至所述无线终端设备和所述接入点部分,所述网关设备包括发/收部分,其向/从中心站的中心站网关设备进行所述数据信号及所述控制信号的发/收,接入控制部分,其对各无线LAN网络内的所述无线终端设备至所述认证服务器的接入状况进行控制,并当无线终端设备移至新的接入点部分的通信区时,检查所述无线终端设备至所述认证服务器有无接入,和密钥控制部分,其对通过所述接入控制部分从所述认证服务器分配的所述密钥进行控制,并当确认已移动至其他接入点部分的通信区的无线终端设备已接入了认证服务器时,将无线终端设备进行通信的无线部分的密钥分配至所述无线终端设备和所述无线终端设备移至的新的接入点部分。
在该结构中,所述网关设备的接入控制部分对所述各无线LAN网络中的无线终端设备至所述认证服务器的接入状况进行控制。当所述无线终端设备移至新的接入点部分的通信区时,检查该无线终端设备至所述认证服务器有无接入。而且,当确认所述无线终端设备已接入了所述认证服务器时,网关设备可由所述密钥控制部分将所述无线部分的密钥分配至所述无线终端设备及所述无线终端设备移动所至的新的接入点部分。从而,根据该结构,可缩短伴随着所述无线终端设备的移动的接入认证的认证过程所要的时间,使所述无线终端设备至新的接入点部分的切换容易进行,大幅减少各无线LAN网络和所述中心站间的认证信令数量,并可实现传送路径的频带的有效利用。
而且,在根据本发明的再一实施例的网关设备中,所述接入控制部分包括控制部分,其对至少一个所述各无线终端设备的接入时间的接入量或通信数据包量进行控制,并在所述接入量达到预定量时,对所述无线终端设备请求再认证。
该结构容许控制部分在接入量达到预定量时,对所述无线终端设备请求再认证,而可更新该无线终端设备进行通信的无线部分的密钥。从而,该结构可防止由所述密钥的破解导致的不正当的无线终端设备的非法接入。
而且,根据本发明的再一实施例的无线终端设备是这样的网络系统的无线LAN接入认证系统中使用的无线终端设备,即,该网络系统包括多个无线LAN网络系统和以集中方式控制所述多个无线LAN网络系统的中心站,所述多个无线LAN网络系统的每个包括通过无线部分发/收无线信号的无线终端设备接入的至少两个接入点部分,和对所述各接入点部分间的数据信号及控制信号的发/收进行中继的网关设备,而中心站包括对所述多个无线LAN网络系统的网关设备间的数据信号及控制信号的发/收进行中继的中心站网关设备,和认证服务器,其进行已接入所述接入点部分的所述无线终端设备的接入认证,并将接入认证的所述无线终端设备进行通信的无线部分的加密所用的密钥分配至所述无线终端设备及所述接入点部分;所述无线终端设备包括信息卡,其中当由所述中心站的认证服务器进行接入认证时记录ID信息。
根据该结构,记录于所述无线终端设备的信息卡(例如,SIM卡或UIM卡)中的ID信息被用作所述无线终端设备的接入认证期间的认证ID。从而,即使当用户变更无线终端设备的类型时,该结构阻止用户的接入认证期间的认证ID改变,故可以集中方式控制用户的用户ID和计费。
本申请基于2003年5月15日申请的日本专利申请的2003-137830。其内容全部包含于此。
产业可利用性本发明适用于综合了多个无线LAN网络系统的网络系统中的无线终端设备的无线LAN接入认证系统,该无线LAN网络系统具有经由无线部分通过无线终端设备接入的至少两个接入点部分。
权利要求
1.一种网络系统中的无线LAN接入认证系统,该网络系统包括多个无线LAN网络系统和以集中方式控制多个无线LAN网络系统的中心站,所述多个无线LAN网络系统的每个包括通过无线部分发/收无线信号的无线终端设备接入的至少两个接入点部分;和对所述各接入点部分间的数据信号和控制信号的发/收进行中继的网关设备,所述中心站包括对所述多个无线LAN网络系统的网关设备间的数据信号和控制信号的发/收进行中继的中心站网关设备;和认证服务器,其对已接入所述接入点部分的所述无线终端设备进行接入认证,并将接入认证的无线终端设备进行通信的无线部分的加密所用的密钥分配至所述无线终端设备及所述接入点部分,所述无线LAN接入认证系统包括接入控制部分,其是为所述多个无线LAN网络系统的每个而配备的,以及对自己的通信区内的所述无线终端设备至所述认证服务器的接入状况进行控制,并当所述无线终端设备移至新的接入点部分的通信区时,检查所述无线终端设备至所述认证服务器有无接入,以及密钥控制部分,其是为所述多个无线LAN网络系统的每个而配备的,以及对从所述认证服务器分配的密钥进行控制,并当所述接入控制部分确认已移至其他接入点部分的通信区的所述无线终端设备接入了所述认证服务器时,将所述无线终端设备进行通信的无线部分的密钥分配至所述无线终端设备和所述无线终端设备移动所至区域中的新的接入点部分。
2.根据权利要求1所述的无线LAN接入认证系统,其中所述接入控制部分和所述密钥控制部分配置于所述网关设备中。
3.根据权利要求2所述的无线LAN接入认证系统,其中所述接入控制部分包括控制部分,其对至少一个所述无线终端设备的接入时间的接入量或通信数据包量进行控制,并在所述接入量达到预定量时,对所述无线终端设备请求再认证。
4.根据权利要求1所述的无线LAN接入认证系统,其中所述无线终端设备包括记录ID信息的信息卡,并使用记录于所述信息卡中的ID信息作为无线终端设备接入认证时的认证ID。
5.一种网络系统中的无线LAN接入认证方法,该网络系统包括多个无线LAN网络系统和以集中方式控制多个无线LAN网络系统的中心站,所述多个无线LAN网络系统的每个包括通过无线部分发/收无线信号的无线终端设备接入的至少两个接入点部分;和对所述各接入点部分间的数据信号和控制信号的发/收进行中继的网关设备,以及所述中心站包括对所述多个无线LAN网络系统的网关设备间的数据信号和控制信号的发/收进行中继的中心站网关设备;和认证服务器,其对已接入所述接入点部分的所述无线终端设备进行接入认证,并将接入认证的所述无线终端设备进行通信的无线部分的加密所用的密钥分配至所述无线终端设备及所述接入点部分;所述无线LAN接入认证方法包括接入控制步骤,其对所述各无线LAN网络系统内的无线终端设备至所述认证服务器的接入状况进行控制,并当所述无线终端设备移至新的接入点部分的通信区时,检查所述无线终端设备至所述认证服务器有无接入,以及密钥控制步骤,其对从所述认证服务器分配的密钥进行控制,并当在所述接入控制步骤确认已移至其他接入点部分的通信区的所述无线终端设备接入了所述认证服务器时,将所述无线终端设备进行通信的无线部分的密钥分配至所述无线终端设备及无线终端设备移动所至区域中的新的接入点部分。
6.一种配置于中心站的认证服务器,该中心站在网络系统的无线LAN接入认证系统中进行无线终端设备的接入认证,该网络系统包括多个无线LAN网络系统和以集中方式控制所述多个无线LAN网络系统的中心站,所述多个无线LAN网络系统的每个包括通过无线部分发/收无线信号的无线终端设备接入的至少两个接入点部分,和对所述各接入点部分间的数据信号和控制信号的发/收进行中继的网关设备,所述中心站包括对所述多个无线LAN网络系统的网关设备间的数据信号和控制信号的发/收进行中继的中心站网关设备,所述认证服务器包括接入认证部分,其进行当所述无线终端设备接入所述各无线LAN网络的预定的接入点部分时的接入认证,以及密钥分配部分,其对所述各无线LAN网络的各网关设备一起分配所述无线终端设备接入的无线部分的密钥。
7.一种网络系统中的无线LAN接入认证系统的各无线LAN网络的网关设备,该网络系统包括多个无线LAN网络系统和以集中方式控制所述多个无线LAN网络系统的中心站,所述多个无线LAN网络系统的每个包括通过无线部分发/收无线信号的无线终端设备接入的至少两个接入点部分,所述中心站包括对所述多个无线LAN网络系统的网关设备间的数据信号和控制信号的发/收进行中继的中心站网关设备;和认证服务器,其对接入了所述接入点部分的所述无线终端设备进行接入认证,并将接入认证的无线终端设备进行通信的无线部分的加密所用的密钥分配至所述无线终端设备和所述接入点部分,所述网关设备包括发/收部分,其向/从所述中心站的中心站网关设备进行所述数据信号和所述控制信号的发/收,接入控制部分,其对所述各无线LAN网络系统内的所述无线终端设备至所述认证服务器的接入状况进行控制,并当所述无线终端设备移至新的接入点部分的通信区时,检查所述无线终端设备至所述认证服务器有无接入,以及密钥控制部分,其对通过所述接入控制部分从所述认证服务器分配的所述密钥进行控制,并当确认已移至其他接入点部分的通信区的所述无线终端设备接入了所述认证服务器时,将所述无线终端设备进行通信的无线部分的密钥分配至所述无线终端设备和所述无线终端设备移至区域的新的接入点部分。
8.根据权利要求7所述的网关设备,其中所述接入控制部分包括控制部分,其对至少一个所述各无线终端设备的接入时间的接入量或通信数据包量进行控制,并在所述接入量达到预定量时,请求所述无线终端设备再认证。
9.一种网络系统的无线LAN接入认证系统中使用的无线终端设备,该网络系统包括多个无线LAN网络系统和以集中方式控制所述多个无线LAN网络系统的中心站,所述多个无线LAN网络系统的每个包括通过无线部分发/收无线信号的无线终端设备接入的至少两个接入点部分;和对所述各接入点部分间的数据信号和控制信号的发/收进行中继的网关设备,所述中心站包括对所述多个无线LAN网络系统的网关设备间的数据信号和控制信号的发/收进行中继的中心站网关设备;和认证服务器,其对接入了所述接入点部分的所述无线终端设备进行接入认证,并将接入认证的所述无线终端设备进行通信的无线部分的加密所用的密钥分配至所述无线终端设备和所述接入点部分,所述无线终端设备包括信息卡,其中当所述中心站的所述认证服务器进行接入认证时,记录ID信息。
全文摘要
一种无线LAN接入认证系统,其可缩短接入无线终端设备的认证过程所要的时间。在该无线LAN接入认证系统中,当请求接入的用户的无线终端设备(116)已经被最初的接入注册时,网关设备(111)通过WEP密钥管理部分(306)搜索分配给无线终端设备(116)的WEP密钥,并将预先注册的WEP密钥再分配给作为移向目的地的新的接入点部分(124)和无线终端设备(116)。在使用再分配的WEP密钥对预定的无线部分的发送/接收数据加密的同时,分配了WEP密钥的无线终端设备(116)和接入点部分(124)执行通信。
文档编号H04L12/56GK1682487SQ03821869
公开日2005年10月12日 申请日期2003年9月24日 优先权日2003年5月15日
发明者石井义一 申请人:松下电器产业株式会社