CN102209359B - 通信中继用装置及方法 - Google Patents
通信中继用装置及方法 Download PDFInfo
- Publication number
- CN102209359B CN102209359B CN201110078820.9A CN201110078820A CN102209359B CN 102209359 B CN102209359 B CN 102209359B CN 201110078820 A CN201110078820 A CN 201110078820A CN 102209359 B CN102209359 B CN 102209359B
- Authority
- CN
- China
- Prior art keywords
- grant decision
- mentioned
- relay
- order
- connection grant
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/02—Communication route or path selection, e.g. power-based or shortest path routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B7/00—Radio transmission systems, i.e. using radiation field
- H04B7/14—Relay systems
- H04B7/15—Active relay systems
- H04B7/155—Ground-based stations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明涉及一种通信中继用的装置及方法,本发明中,通过多个特定的连接许可判断方法来进行是否允许无线通信装置与不同于该无线通信装置的其它通信装置之间的通信中继的连接许可判断,在通过多个连接许可判断方法中的至少一个方法获得了肯定的判断结果的情况下,允许中继并在经连接许可判断而允许中继时,执行中继。
Description
技术领域
本发明涉及一种通信中继用的装置及方法。
背景技术
以往,进行无线通信以将无线通信装置连接到网络上的接入点作为进行数据通信的网络***的一部分而被利用。为了防止正式用户以外的用户接入(也被称为“未授权接入(unauthorized access)”),接入点将无线通信装置连接到网络上之前,先判断是否允许该连接。可以采用多种方法来进行这样的判断。例如,可采用对无线通信装置使用固有地址(例如,所谓MAC地址(Media Access Control address,介质访问控制地址))的方法。此外,也可以采用使用预先在接入点与无线通信装置之间登记的共同键(密码)的方法(例如,WPA-PSK(Wi-Fi Protected Access-pre-shared key,Wi-Fi保护访问-预共享密钥)、WPA2-PSK)。此外,也采用使用接入点以外的认证服务器的方法(例如,WPA2-EAP(Extensible AuthenticationProtocol,扩展认证协议))(关于上述技术,例如参照日本专利第4218934号公报)。
接入点用预先确定了的方法来进行判断。在用该判断方法获得了肯定的判断结果时,接入点将无线通信装置连接到网络上。在未获得肯定的判断结果时,接入点不将无线通信装置连接到网络上。因此,在因某些原因而未能获得肯定的判断结果时,即使无线通信装置为正式用户的装置,接入点也不允许该无线通信装置连接到网络上。作为上述原因,例如可列举出:接入点与认证服务器之间的通信路径上的通信障碍、用户进行了错误的设定等。因而,有可能因各种原因而使正式用户的使用方便性降低。
发明内容
本发明的目的在于:提供一种解决上述课题的至少一部分,并减小正式用户的使用方便性降低的可能性的技术。
本发明用于中继装置,为了实现上述目的,该中继装置包括:无线接口,用于与无线通信装置进行无线通信;通信接口,用于连接通信线路,该通信线路用于与不同于无线通信装置的其它通信装置之间的通信;连接许可判断部,通过多个特定的连接许可判断方法来进行是否允许无线通信装置与其它通信装置之间的通信中继的连接许可判断,在通过多个连接许可判断方法中的至少1个方法获得了肯定的判断结果的情况下,允许中继;以及中继执行部,在连接许可判断部允许中继时,该中继执行部执行中继。
根据该结构,即使在由于某些原因而不能通过1个连接许可判断方法获取肯定的判断结果的情况下,中继装置若通过其它连接许可判断方法来获取肯定的判断结果,则仍然允许中继,从而能够减小正式用户的使用方便性降低的可能性。
也可以是,连接许可判断部按照预先设定的顺序使用多个连接许可判断方法,优选的是,连接许可判断部通过按照安全性从高到低的顺序使用多个连接许可判断方法,来进行连接许可判断。
根据该结构,连接许可判断部按照安全性从高到低的顺序使用多个连接许可判断方法,能够避免不必要地使用安全性等级低的连接许可判断方法,并且能够减小正式用户的使用方便性降低的可能性。
也可以是,中继装置还具备使用顺序分配部,该使用顺序分配部按照用户的指示来将使用顺序分别分配给多个连接许可判断方法中的每一个;连接许可判断部通过按照使用顺序分配部所分配的使用顺序使用多个连接许可判断方法,来进行上述连接许可判断。
根据该结构,由于连接许可判断部按照根据用户的指示而分配了的使用顺序使用多个连接许可判断方法,所以能够降低由于先使用用户不希望的方法而造成问题的可能性,并减小正式用户的使用方便性降低的可能性。例如,能够降低获取连接许可判断结果所需的时间变长的可能性。
并且,也可以是,中继装置还具备标识符获取部,该标识符获取部从请求中继的无线通信装置获取用于识别无线通信装置的用户的用户标识符;使用顺序分配部按照用户的指示,将使用顺序与用户标识符建立对应关系,并将使用顺序分配给多个连接许可判断方法中的每一个;连接许可判断部通过按照与标识符获取部所获取的用户标识符具有对应关系的使用顺序使用多个连接许可判断方法,来进行连接许可判断。
根据该结构,由于使用顺序分配部将使用顺序与用户标识符建立对应关系并分配使用顺序,连接许可判断部按照与用户标识符具有对应关系的使用顺序使用多个连接许可判断方法,所以即使在每个用户所希望的使用顺序不同的情况下,中继装置仍然能够进行适合于各个用户的希望的连接许可判断。
并且,也可以是,中继装置还具备:标识符获取部,从请求中继的无线通信装置获取用户标识符;以及个别使用顺序分配部,将使用顺序与用户标识符建立对应关系,并将该使用顺序分别分配给多个连接许可判断方法中的每一个,并且,连接许可判断部通过按照与所获取的用户标识符具有对应关系的使用顺序使用多个连接许可判断方法,来进行连接许可判断,个别使用顺序分配部为了以后的连接许可判断,而在上述使用顺序中反映出在上述多个连接许可判断方法中是哪个方法获得了肯定的判断结果。
根据该结构,个别使用顺序分配部在使用顺序中反映出是哪个方法获得了肯定的判断结果,从而能够按照适合于用户所利用的无线通信装置的顺序使用多个连接许可判断方法。
并且,也可以是,中继装置还具备:使用顺序输出部,将表示分别分配给多个连接许可判断方法中的每一个的使用顺序的信息输出到中继装置的外部,以提供给其它中继装置;以及使用顺序获取部,从中继装置的外部获取表示由其它中继装置分配的使用顺序的信息,连接许可判断部通过按照使用顺序获取部所获取的使用顺序使用多个连接许可判断方法,来进行连接许可判断。
根据该结构,由于多个中继装置能够共享使用顺序,所以多个中继装置中的任意一个都将同样的使用方便性提供给用户。
此外,本发明适用于通信中继用的方法,为了实现上述目的,该方法通过多个特定的连接许可判断方法来进行是否允许无线通信装置与不同于无线通信装置的其它通信装置之间的通信中继的连接许可判断,在通过多个连接许可判断方法中的至少1个方法获得了肯定的判断结果情况下,允许中继;在经连接许可判断而允许中继时,执行中继。
此外,本发明能够以如下各种形态实现:即,例如,通信的中继方法及中继装置、含有中继装置的网络***、用于实现它们的方法或装置的功能的计算机程序以及记录有该计算机程序的记录媒体等。
附图说明
图1是表示本发明的第一实施方式的网络***1000的图。
图2是表示第一实施方式中的中继装置100的结构的方框图。
图3(A)是表示图2所示的许可判断方法目录数据310的一例的图。
图3(B)是表示图2所示的许可判断方法目录数据310的其它例子的图。
图3(C)是表示图2所示的许可判断方法目录数据310的其它例子的图。
图4是表示第一实施方式所涉及的连接许可判断的顺序的流程图。
图5是表示第一实施方式所涉及的连接许可判断的其它顺序的流程图。
图6是表示第一实施方式所涉及的显示在客户机702的显示器上的设定画面的一例的示意图。
图7是表示本发明的第二实施方式中的中继装置的结构的方框图。
图8是表示本发明的第三实施方式中的中继装置的结构的方框图。
图9是表示本发明的第四实施方式中的中继装置的结构的方框图。
图10是表示本发明的第五实施方式中的包括中继装置的网络***1002的示意图。
具体实施方式
下面,对本发明的实施方式进行说明。
图1是表示本发明的第一实施方式的网络***1000的示意图。该网络***1000具备:中继装置100、与中继装置100通过端口P而连接的网络800、连接在网络800上的认证服务器802、和通过无线通信与中继装置100连接的客户机702及704。中继装置100和客户机702及704分别是依据IEEE(The Institute of Electrical and Electronics Engineers:美国电气和电子工程师协会)802.11规格的无线LAN(Local Area Network,无线局域网)通信设备。
本实施方式中,网络800是限定区域而构成的内部网络(例如,公司内部网络等LAN、提供因特网连接的因特网服务商(ISP)的网络等WAN(WideArea Network,广域网))。该网络800连接在未图示的因特网上。
中继装置100是所谓接入点(无线LAN的接入点)。中继装置100利用依据IEEE802.11规格的无线网络700,与客户机702及704进行无线通信,并将客户机702及704与网络800连接,从而使连接在该网络800上的其它各种通信装置(例如,未图示的Web服务器、电子邮件服务器、个人计算机)能够与客户机702,704进行通信。可以采用能够进行无线通信的任意通信装置作为客户机702及704(本实施方式中,客户机702及704分别为个人计算机)。此外,有关连接在无线网络700上的通信装置的种类,除了计算机,也可以是其它的任意种类(例如,电视机、摄像机及录像机等家用电器)。
认证服务器802是所谓RADIUS服务器(Remote Authentication Dial InUser Service,远程用户拨入认证***)。认证服务器802用于判断是否允许无线通信装置经由中继装置100连接到网络上(通信的中继)(以下,将该判断也称为“连接许可判断”)。
本实施方式中,认证服务器802具有第一认证处理部802a和第二认证处理部802b。第一认证处理部802a进行使用了MAC地址的认证(也被称为“MAC-RADIUS认证”)。MAC地址相当于第二层地址。第二层相当于所谓OSI(Open Systems Interconnection,开放***互连)参考模型的第二层(数据链路层)。第二认证处理部802b进行WPA2-EAP认证(依据Wi-Fi ProtectedAccess 2-Extensible Authentication Protocol、IEEE802.11i的认证)。
中继装置100响应来自无线通信装置(例如客户机702,以下只称为“通信装置”)的请求而进行连接许可判断。中继装置100通过向第一认证处理部802a询问判断结果,能够获得基于MAC-RADIUS方法的判断结果。此外,中继装置100通过向第二认证处理部802b询问判断结果,能够获得基于WPA2-EAP方法的判断结果。此外,中继装置100也可以不询问认证服务器802,而自行进行连接许可判断。例如,可以采用WPA-PSK(pre-shared key)方法和WPA2-PSK方法来作为这种许可判断方法。因而,中继装置100能够采用多种连接许可判断方法。
若连接许可判断的结果是肯定的,则中继装置100将通信装置(例如客户机702)连接在网络800上。这样一来,客户机702便能够经由网络800与多种通信装置进行通信。
图2是表示中继装置100的结构的方框图。中继装置100具有:用于进行无线通信的无线接口500、用于进行有线通信的通信接口510、用户接口400、控制中继装置100的控制部200以及存储多种信息的非易失存储器300。
用户接口400是用于让用户直接进行中继装置100的设定的接口,并包括操作部(例如,开关、按钮)和显示部(例如,电灯、液晶屏)。由用户所进行的设定被存储在非易失存储器300中。非易失存储器300是可以被写入的存储器。本实施方式中,非易失存储器300存储着用于中继装置100的动作的设定及固件等程序。例如,可以采用闪存(flash memory)作为非易失存储器300。非易失存储器300中存储有许可判断方法目录数据310、设定信息320以及程序302。
无线接口500进行利用了无线网络700的通信,其中,无线网络700是依据IEEE802.11规格的网络。无线网络700的规格可以是IEEE802.11a、b、g及n中的任意一个。此外,也可以采用IEEE802.11以外的规格。
通信接口510是用于连接依据IEEE802.3规格的通信线路的接口。本实施方式中,通信接口510有一个端口P,通信接口510经由端口P连接在网络800上。此外,设置在通信接口510上的端口的数量也可以在两个以上。此外,也可以采用IEEE802.3规格以外的任意规格来作为通信网络的规格。例如,也可以采用电力线通信(Power Line Communication:PLC)。此外,也可以用进行无线通信的接口来代替进行有线通信的接口。
控制部200是具有CPU(Central Processing Unit,中央处理器)202和存储器204(例如DRAM(Dynamic Random Access Memory,动态随机存取存储器)的计算机,该控制部200对中继装置100的各个部分进行控制。CPU202通过执行非易失存储器300所存储的程序302,来实现包括中继执行部210、连接许可判断部220以及无线网络控制部230的多种处理部的功能。以下,将“CPU按照程序执行某个处理部的功能”也表现为“该处理部执行处理”。
无线网络控制部230通过控制无线接口500,来形成采用无线通信的无线网络700。例如,无线网络控制部230设定所谓SSID(Service SetIdentifier,服务集标志符),并与SSID被设定为相同值的通信装置进行通信。因此,也可以说,无线网络700通过SSID而被识别。
中继执行部210对与通信用接口(无线接口500及通信接口510)连接的通信设备(例如,客户机702及未图示的其它中继装置)之间的通信进行中继。中继执行部210通过实现所谓路由功能(路由器或第三层交换机的功能),来进行通信中继。路由功能所需的信息(例如,路径信息(也称为路由表))被存储在非易失存储器300中(省略图示)。此外,中继执行部210也可以通过实现进行通信中继的其它功能(例如,所谓桥接功能(第二层交换器功能))来代替路由功能。此外,中继执行部210也可以只作为中继器(repeater)来动作。此外,第三层相当于OSI参考模型的第三层(网络层)。此外,无线接口500和通信接口510的整体相当于用来连接多个通信路径的通信路径接口。例如,通往客户机702的通信路径连接在无线接口500上,通往网络800的通信路径连接在通信接口510上。
连接许可判断部220执行连接许可判断。有关连接许可判断部220所执行的连接许可判断的具体内容,将在后面进行详细说明。如上所述那样,连接许可判断部220能够利用认证服务器802(图1)来执行连接许可判断,并且也能够不利用认证服务器802而自行执行连接许可判断。本实施方式中,连接许可判断部220通过按照预先确定的使用顺序使用多个连接许可判断方法,来进行连接许可判断。使用顺序由预先存储在非易失存储器300中的许可判断方法目录数据310来规定。
图3(A)~图3(C)是表示许可判断方法目录数据310(图2)的三个例子的图。图3(A)的许可判断方法目录数据310(以下,也称为第一例许可判断方法目录数据3i0A)和图3(B)的许可判断方法目录数据310(以下,也称为第二例许可判断方法目录数据310B)是假定能够使用两个许可判断方法而准备的目录数据。图3(C)的许可判断方法目录数据310(以下,也称为第三例许可判断方法目录数据310C)是假定能够使用三个判断方法而准备的目录数据。括弧内的数字表示使用顺序。
第一例许可判断方法目录数据310A规定了:第一个使用“WPA2-EAP方法”,第二个使用“MAC-RADIUS方法”。第二例许可判断方法目录数据310B规定了:第一个使用“WPA-PSK方法”,第二个使用“MAC-RADIUS方法”。第三例许可判断方法目录数据310C规定了:第一个使用“WPA2-EAP方法”,第二个使用“WPA-PSK方法”,第三个使用“MAC-RADIUS方法”。中继装置100的非易失存储器300中预先存储有一个许可判断方法目录数据310。
返回到图2,对连接许可判断方法进行详细说明。连接许可判断部220在使用WPA2-EAP方法的情况下,对通信装置与认证服务器802之间的各种数据进行中继(以下,将用客户机702作为通信装置来进行说明)。例如,被中继的数据是用于识别用户的用户标识符、证书数据、和所谓询问及应答(Challenge-response)。客户机702具有信息发送部702s,信息发送部702s经由中继装置100将认证用的信息(例如,用户标识符UID和证书数据AD)发送到认证服务器802。这样的信息发送部702s也被称为“请求者(supplicant)”。认证服务器802(第二认证处理部802b(图1))根据使用了所接收到的数据(信息)的认证处理,来判断是否允许该客户机702与网络连接(通信的中继),并将判断结果提供给中继装置100。有多种采用了EAP的认证方法,例如,EAP-TLS(EAP-Transport Layer Security,扩展认证协议-传输层安全)、EAP-TTLS(EAP-Tunneled TLS,扩展认证协议-隧道传输层安全)、及EAP-PEAP(Protected EAP,保护性EAP)。可以采用其中任何认证方法。
连接许可判断部220在使用MAC-RADIUS方法的情况下,利用从客户机702(通信装置)接收到的包(也称为帧)来获取通信装置的MAC地址,并将所获取的MAC地址发送到认证服务器802。认证服务器802(第一认证处理部802a(图1))参照预先设定的MAC地址目录(连接被允许的MAC地址目录),来检索所接收到的MAC地址。在发现了所接收到的MAC地址时,第一认证处理部802a将肯定的判断结果提供给中继装置100。在未能发现所接收到的MAC地址时,第一认证处理部802a将否定的判断结果提供给中继装置100。在采用MAC-RADIUS方法的情况下,客户机702不需要信息发送部702s。
连接许可判断部220在使用WPA-PSK方法(或WPA2-PSK方法)的情况下,利用预先存储在非易失存储器300中的预共享密钥PSK1,来进行连接许可判断。客户机702(通信装置)的信息发送部702s中也预先设定有用于连接许可判断的预共享密钥PSK2。连接许可判断部220与客户机702交换各种数据,并判定客户机702的预共享密钥PSK2是否与中继装置100的预共享密钥PSK1相一致。若一致,则连接许可判断部220获得肯定的判断结果。若不一致,则连接许可判断部220获得否定的判断结果。
图4是表示本实施方式中的连接许可判断的顺序的流程图。在许可判断方法目录数据310(图2及图3)中有两个许可判断方法的情况下,连接许可判断部220(图2)按照图4的流程图来进行连接许可判断。连接许可判断部220响应来自通信装置(例如,客户机702)的连接请求而开始判断处理。在最初的步骤S10中,使用许可判断方法目录数据310的使用顺序为第一的许可判断方法来获取暂时的判断结果。例如,在许可判断方法目录数据310为第一例许可判断方法目录数据310A(图3(A))的情况下,连接许可判断部220使用作为第一例许可判断方法目录数据310A的第一判断方法的“WPA2-EAP方法”。在许可判断方法目录数据310是第二例许可判断方法目录数据310B(图3(B))的情况下,连接许可判断部220使用作为第二例许可判断方法目录数据310B的第一判断方法的“WPA-PSK方法”。若所获得的暂时判断结果是肯定的结果,则连接许可判断部220不再使用其它(剩余的)许可判断方法而允许连接(中继)(步骤S40)。在此情况下,在下一个步骤S42中,中继执行部210将通信装置连接到网络上,并进行通信中继。这里,无线网络控制部230相应于获得了肯定的判断结果的连接许可判断方法来进行无线通信的加密。例如,在“WPA2-EAP方法”获得了肯定的判断结果时,无线网络控制部230按照“WPA2-EAP方法”来对通信进行加密。
若暂时的判断结果为否定的结果,则连接许可判断部220在下一个步骤S20中使用使用顺序为第二的许可判断方法来获取暂时的判断结果。例如,在许可判断方法目录数据310为第一例许可判断方法目录数据310A(图3(A))的情况下,连接许可判断部220使用“MAC-RADIUS方法”。在许可判断方法目录数据310为第二例许可判断方法目录数据310B(图3(B))的情况下,连接许可判断部220使用“MAC-RADIUS方法”。若所获得的暂时的判断结果为肯定的结果,则连接许可判断部220允许连接(中继)(步骤S40)。在此情况下,在下一个步骤S42中,中继执行部210将通信装置连接到网络上并进行通信中继。相反,若暂时的判断结果为否定,则连接许可判断部220拒绝连接(中继)(步骤S50)。在此情况下,中继执行部210不将通信装置连接到网络上,也不对通信装置的通信进行中继。
如上所述,本实施方式中,中继装置100的连接许可判断部220在通过许可判断方法目录数据310所规定的多个连接许可判断方法中的至少一个方法获得了肯定的判断结果的情况下,允许基于获得了该肯定的判断结果的连接许可判断方法的连接(中继)。因此,即使在由于某种原因而不能通过某个连接许可判断方法获得肯定的判断结果的情况下,只要连接许可判断部220通过其它连接许可判断方法获得了肯定的判断结果,则仍然允许连接(中继),从而能够减小正式用户的使用方便性降低的可能性。例如,有时用户在进行用于WPA2-EAP方法或WPA-PSK方法的设定时会出现差错(例如,用户向客户机702输入了不正确的用户名或者不正确的密码)。在此情况下,若连接许可判断部220按照第一例许可判断方法目录数据310A或第二例许可判断方法目录数据310B来进行连接许可判断,则能够通过第二个方法获得连接允许。这样一来,便能够减小正式用户的使用方便性降低的可能性。
图5是本实施方式中的连接许可判断的其它顺序的流程图。在许可判断方法目录数据310(图2、图3)中有三个许可判断方法的情况下,连接许可判断部220(图2)按照图5的流程图来进行连接许可判断(例如,许可判断方法目录数据310为第三例许可判断方法目录数据310C(图3(C))的情况)。与图4的流程图之间的区别仅仅在于增加了使用第三个许可判断方法的步骤S30。其它的步骤S10、S20、S40、S42及S50分别与标有与图4相同的符号的步骤相同。
连接许可判断部220在步骤S20中获得的暂时的判断结果为否定的结果时,执行步骤S30。该步骤S30中,连接许可判断部220使用使用顺序为第三的许可判断方法来获得暂时的判断结果。例如,在许可判断方法目录数据310为第三例许可判断方法目录数据310C(图3(C))的情况下,连接许可判断部220在步骤S10、S20及S30中,分别使用“WPA2-EAP方法”、“WPA-PSK方法”及“MAC-RADIUS方法”。若用哪一个方法都未能获得肯定的判断结果(步骤S30为否),则连接许可判断部220拒绝连接(中继)(步骤S50)。若通过一个方法获得了肯定的判断结果,则连接许可判断部220允许连接(中继)(步骤S40)。
此外,可以使用的连接许可判断方法的总数可以在四个以上。在此情况下,连接许可判断部220也按照预先确定的使用顺序使用多个连接许可判断方法。然后,连接许可判断部220在通过多个连接许可判断方法中的一个连接许可判断方法获得了肯定的判断结果时,允许连接(中继)。其结果,能够进一步减小正式用户的使用方便性降低的可能性。
此外,本实施方式中,连接许可判断部220(图2)按照规定的顺序使用多个连接许可判断方法,然后在获得了肯定的判断结果的时间点便不执行基于其它的连接许可判断方法的处理而结束连接许可判断(图4、图5)。因此,与始终要获得所有的连接许可判断方法的各个判断结果的情况相比,连接许可判断部220能够迅速地进行连接许可判断。另外,不管是否获得肯定的结果,都可以继续进行连接许可判断。在此情况下,例如,连接许可判断部220在基于一个或多个连接许可判断方法获得了肯定的判断结果的情况下,进行连接(中继)。
此外,安全性的等级(即,不正当连接的困难程度)会相应于连接许可判断方法而改变。例如,可以认为,利用动态地生成的值(例如,每次进行连接许可判断时所生成的随机数字)来进行连接许可判断的方法的安全性等级高于仅利用静态的值(例如,预先设定的密码)来进行连接许可判断的方法的安全性等级。具体而言,WPA2-EAP方法的安全性等级比MAC-RADIUS方法的安全性等级高。一般来说,循环地改变为了进行连接许可判断而提供给中继装置100的数据,以使未授权连接成功而需要的时间越长,安全性等级越高。例如,WPA2-EAP方法的安全性等级比WPA-PSK方法的安全性等级高,WPA-PSK方法的安全性等级比MAC-RADIUS方法的安全性等级高。此外,在多个连接许可判断方法间进行未授权连接成功所需时间的比较时,只要对使用了相同通信装置(例如,个人计算机)的循环试行所需的时间进行比较即可。一般来说,循环试行次数越多,循环的试行所需的时间越长。
这里,图3(A)~3(C)的各个例子中,预先设定为连接许可判断部220按照安全性等级从高到低的顺序使用多个连接许可判断方法。其结果,能够避免不必要地使用安全性等级低的连接许可判断方法的情况。例如,图3(A)的例子中,连接许可判断部220(图2)在可通过WPA2-EAP方法获得肯定的判断结果的情况下,不使用MAC-RADIUS方法。这样,由于连接许可判断部220优先使用安全性等级高的连接许可判断方法,所以即使在无线通信被试图窃听时,也能够降低由于采用安全性等级低的连接许可判断方法而引起无线通信被窃听的可能性。从而,能够避免采用了安全性等级低的连接许可判断方法时的未授权连接。
此外,本实施方式中,无线网络控制部230(图2)相应于获得了肯定的判断结果的连接许可判断方法而进行无线通信的加密(步骤S42:图4、图5)。一般来说,连接许可判断方法的安全性等级越高,相应于该连接许可判断方法的通信的密码强度越高。因此,连接许可判断部220优先使用安全性等级高的连接许可判断方法,便可提高无线通信的密码强度。此外,可以认为,在图3(A)~3(C)的各个例子中,连接许可判断部220按照无线通信的密码强度从高到低的顺序使用多个连接许可判断方法。
此外,本实施方式中,无线网络控制部230(图2)使用事先与获得了肯定的判断结果的连接许可判断方法建立了对应关系的方法(算法),来作为无线通信的加密方法(算法)。例如,无线网络控制部230使用用户从规定的多个方法中预先选择的方法。用户也可以对应每个连接许可判断方法来选择加密方法。加密方法的选择项目会根据连接许可判断方法而改变。例如,对于“WPA2-EAP方法”,TKIP(Temporal Key Integrity Protocol,暂时密钥集成协议)和AES(Advanced Encryption Standard,高级加密标准)可以成为选择项目。对于“WPA-PSK方法”,TKIP和AES也可以成为选择项目。对于“MAC-RADIUS方法”,“非加密通信”会成为选择项目。此外,除了用户的指示之外,无线网络控制部230也可以利用预先确定的方法。本实施方式中,加密方法的设定都被存储在非易失存储器300中(例如,设定信息320)。
密码强度根据加密方法而改变。例如,利用动态地生成的值(例如,在通信开始时或在通信中所生成的随机数字)来进行通信加密的方法的密码强度高于仅利用静态的值(例如,预先设定的密码)来进行通信加密的方法的密码强度。一般来说,循环地改变解密加密后的通信所需的数据(例如,加密键),以使解密未授权通信所需的时间越长,密码强度越高。在多个加密方法间进行密码强度的比较时,只要对使用了相同计算机的循环试行所需的时间进行比较即可。可以认为未加密的通信与加密后的任意通信相比其密码强度低。这里优选,连接许可判断部220按照无线通信的密码强度从高到低的顺序使用多个连接许可判断方法。例如,本实施方式中,对应于WPA2-EAP方法的密码强度比WPA-PSK方法的高,对应于WPA-PSK方法的密码强度比MAC-RADIUS方法的高。
此外,通信装置(例如,客户机702(图2))应提供给中继装置100的连接许可判断用的数据根据连接许可判断方法而不同。例如,“WPA2-EAP方法”所需的数据与“WPA-PSK方法”所需的数据不同。这里优选,通信装置按照与中继装置100中的连接许可判断方法的使用顺序相同的顺序,将连接许可判断所需的数据提供给中继装置100。例如,在中继装置100的许可判断方法目录数据310是第三例许可判断方法目录数据310C(图3(C))的情况下,通信装置最好是如下所述那样提供数据。即,通信装置首先将WPA2-EAP方法所需的数据提供给中继装置100。在连接未被允许时,通信装置将WPA-PSK方法所需的数据提供给中继装置100。
图6是示出了显示在客户机702的显示器上的设定画面的一例的示意图。该设定画面用于控制信息发送部702s的动作。用户一边观看图6中的设定画面一边对客户机702进行操作,便能进行包含设定档名称(profilename)、SSID(Service Set Identifier,服务集标识)及安全性方法的无线通信的设定。
图6所示的例子中,信息发送部702s将为进行无线通信而需要的设定整个作为一个设定档(profile)来管理。设定档名称用于确定该设定档的名称。SSID是用于识别无线网络700(图1、图2)的标识符。该例子中,该设定项目示出了所谓ESSID(Extended Service Set Identifier,扩展服务集标识符)。但是,该设定项目也可以示出接入点的所谓BSSID(Basic ServiceSet Identifier,基本服务集标识符)。安全性方法示出了连接许可判断的方法。用户可以设定多个方法。此外,用户可以指定各个方法的使用顺序。图6的例子中,登记了“WPA2-EAP方法”和“WPA-PSK方法”,其中,“WPA2-EAP方法”的使用顺序被设定为第一,“WPA-PSK方法”的使用顺序被设定为第二。用户对应于图3(C)的第三例许可判断方法目录数据310C而进行上述设定。
信息发送部702s按照所设定的设定档,请求中继装置100进行连接许可判断。图6的例子中,信息发送部702s首先将“WPA2-EAP方法”所需的数据提供给中继装置100(图2)。在连接未被允许时,信息发送部702s将“WPA-PSK方法”所需的数据提供给中继装置100。优选的是,如上所述那样,客户机702的信息发送部702s对应于中继装置100中的连接许可判断方法的使用顺序而将数据提供给中继装置100。
此外,通信装置(例如,客户机702)中用于设定多个连接许可判断方法各自的使用顺序的结构并不局限于图6所示的结构,也可以采用其它任意结构。例如,图6的例子中也可以是,一个连接许可判断方法对应于一个设定档。在此情况下,只要用户设定连接许可判断方法互不相同的多个设定档,并且对各个设定档设定使用顺序即可。
图7是表示本发明的第二实施方式中的中继装置的方框图。第二实施方式中的中继装置100A的硬件结构与图2所示的第一实施方式中的中继装置100的结构相同。以下,对中继装置100A的要素中与中继装置100的要素相同的要素标注相同的附图标记,并以不同之处为中心进行说明。图7仅仅示出了中继装置100A的结构的一部分。并且,省略了CPU202的功能(处理部)中的中继执行部210和无线网络控制部230的图示,并省略了存储在非易失存储器300中的数据中的设定信息320和程序(相当于程序302的控制用程序)的图示。此外,也可以用该中继装置100A来代替上述第一实施方式中的中继装置100。
与图2所示的第一实施方式不同,本实施方式的CPU202除了实现中继执行部210(未图示)、连接许可判断部220A及无线网络控制部230(未图示)的功能之外,还实现使用顺序分配部240的功能。此外,本实施方式中的连接许可判断部220A所进行的处理与图2所示的第一实施方式中的连接许可判断部220所进行的处理有所不同(详细情况将于后述)。
使用顺序分配部240按照用户的指示,将使用顺序分配给多个连接许可判断方法的每一个。图7的上部示出了使用顺序设定画面SS。用户对用户接口400的操作部(未图示)进行操作,使用顺序分配部240便将使用顺序设定画面SS显示在用户接口400的显示部(未图示)上(步骤S100)。用户通过操作用户接口400,能够选择进行连接许可判断时所使用的连接许可判断方法(安全性方法),然后,将使用顺序分配给所选择的连接许可判断方法。本实施方式中,用户选择“WPA-PSK方法”和“MAC-RADIUS方法”,然后将“WPA-PSK方法”的使用顺序设定为第一、“MAC-RADIUS方法”的使用顺序设定为第二。此外,用户可以从预先准备好的多个连接许可判断方法中,任意选择连接许可判断方法。例如,用户也可以选择其它方法(例如,“WPA2-EAP方法”)。用户进行设定结束操作,使用顺序分配部240便获取设定内容(步骤S110)。然后,使用顺序分配部240将所获取的设定内容作为许可判断方法目录数据310存储在非易失存储器300中(步骤S120)。
连接许可判断部220A与上述第一实施方式的连接许可判断部220进行相同的连接许可判断(图4、图5)。这里,连接许可判断部220A按照使用顺序分配部240所分配的使用顺序来使用多个连接许可判断方法。例如,下面说明在用户进行了图7所示的设定的状态下,通信装置(例如,客户机702)向中继装置100A请求连接(中继)的情况。在此情况下,连接许可判断部220A按照使用顺序分配部240所设定的许可判断方法目录数据310(使用顺序),来进行连接许可判断(步骤S130)。具体而言,连接许可判断部220A按照图4的流程图来进行连接许可判断。连接许可判断部220A在步骤S10、S20中分别使用“WPA-PSK方法”和“MAC-RADIUS方法”。
如上所述,第二实施方式中,使用顺序分配部240按照用户的指示,将使用顺序分配给多个连接许可判断方法的每一个,连接许可判断部220A通过按照使用顺序分配部240所分配的使用顺序使用多个连接许可判断方法,来进行连接许可判断。其结果,能够防止先使用用户不希望的方法。例如,用户可对通信装置(例如,客户机702)小心地进行特定的连接许可判断方法(例如,WPA2-EAP方法)用的设定。在此情况下,用户最好将该特定的连接许可判断方法的使用顺序设定为第一。这样一来,由于第一个连接许可判断方法能获得肯定的判断结果,所以获得连接许可判断结果所需的时间变长的可能性降低。此外,用户也可以将不需要对通信装置(例如,客户机702)进行设定的连接许可判断方法(例如,MAC-RADIUS方法)的使用顺序设定为第一。这样一来,用户不需要对通信装置进行连接许可判断用的设定,从而能使获得连接许可判断结果所需的时间变长的可能性降低。
此外,使用顺序分配部240(图7)也可以通过不利用用户接口400的其它方法来接受用户的指示。例如,使用顺序分配部240让与无线接口500(图2)或与通信接口510连接的终端显示设定用的网页,并按照经由该网页而被输入的用户指示,来进行设定。此外,使用顺序分配部240也可以按照经由与设置在中继装置100A中的管理用端口(未图示)连接的终端而被输入的用户的指示,来进行设定。此外,连接在无线接口500(图2)或通信接口510上的终端执行设定用的专用软件。
图8是表示本发明的第三实施方式中的中继装置的方框图。第三实施方式的中继装置100B的硬件结构与图2所示的第一实施方式的中继装置100的结构相同。以下,对中继装置100B的要素中与中继装置100的要素相同的要素标注相同的附图标记,并以不同之处为中心进行说明。图8仅仅示出了中继装置100B的结构的一部分。并且,省略了CPU202的功能(处理部)中的中继执行部210和无线网络控制部230的图示,并省略了存储在非易失存储器300中的数据中的设定信息320和程序(相当于程序302的控制用程序)的图示。此外,也可以用该中继装置100B来代替上述各个实施方式的中继装置100及100A。
与第一实施方式不同,本实施方式的CPU202除了实现中继执行部210(未图示)、连接许可判断部220B及无线网络控制部230(未图示)的功能之外,还实现个别使用顺序分配部242及用户ID获取部250的功能。此外,本实施方式中的连接许可判断部220B所进行的处理与第一实施方式中的连接许可判断部220所进行的处理及图7中的连接许可判断部220A所进行的处理有所不同(详细情况将于后述)。
本实施方式中的中继装置100B与图7所示的第二实施方式中的中继装置100A同样地按照用户的指示,来将使用顺序分配给多个连接许可判断方法中的每一个。但是,与第二实施方式不同之处在于:本实施方式中的中的继装置100B对每一个用户ID(用户标识符),管理连接许可判断方法与使用顺序之间的对应关系。
用户ID获取部250从请求连接(中继)的通信装置(例如,客户机702)获取用于识别该通信装置的用户的用户标识符。例如,用户ID获取部250也可以采用WPA2-EAP方法所使用的用户标识符来作为用户标识符。在此情况下,用户ID获取部250通过解析通信装置所提供的用于WPA2-EAP方法的手续的数据,能够获取用户标识符。此外,用户ID获取部250也可以采用通信装置的MAC地址来作为用户标识符。在此情况下,用户ID获取部250通过解析通信装置所提供的包的信息头,能够获取用户标识符。
个别使用顺序分配部242与图7所示的第二实施方式中的使用顺序分配部240同样地,按照用户的指示来将使用顺序分配给多个连接许可判断方法中的每一个。这里,除了连接许可判断方法与使用顺序之间的对应关系,用户还将包含用户标识符的指示提供给个别使用顺序分配部242。本实施方式示出了用户标识符为“USER1”的情况下的处理(步骤S200~S220)和用户标识符为“USER2”的情况下的处理(步骤S300~S320)。
用户将包含用户标识符(这里为USER1)的指示输入到用户接口400,个别使用顺序分配部242便将与该用户标识符具有对应关系的使用顺序设定画面SS1显示在用户接口400的显示部上(未图示)(步骤S200)。本实施方式中,用户将“WPA-PSK方法”的使用顺序设定为第一,“MAC-RADIUS方法”的使用顺序设定为第二。用户进行设定结束操作,个别使用顺序分配部242便获取设定内容(步骤S210)。然后,个别使用顺序分配部242使所获取的设定内容与用户标识符(USER1)建立对应关系,并将其存储在非易失存储器300中(步骤S220:许可判断方法目录数据311)。
在用户将包含其它用户标识符(例如,USER2)的指示输入到用户接口400时,同样地,个别使用顺序分配部242使其它许可判断方法目录数据312与用户标识符(USER2)建立对应关系,并将其存储在非易失存储器300中。这里,步骤S300、S310及S320分别与步骤S200、S210及S220相同。此外,本实施方式中,用户利用其它用户标识符(USER2)用的使用顺序设定画面SS2,将“MAC-RADIUS方法”的使用顺序设定为第一,“WPA-PSK方法”的使用顺序设定为第二。像这样,对于每个用户标识符,所使用的连接许可判断方法也可以互不相同。
连接许可判断部220B与图7所示的第二实施方式中的连接许可判断部220A同样地,按照由个别使用顺序分配部242所分配的使用顺序使用多个连接许可判断方法。但是,与第二实施方式中的连接许可判断部220A不同,连接许可判断部220B从用户ID获取部250获取用户标识符,并根据与所获取的用户标识符具有对应关系的许可判断方法目录数据,来进行连接许可判断。例如,假定客户机702的用户标识符为“USER1”,客户机704的用户标识符为“USER2”。当从客户机702接受了连接请求时,用户ID获取部250从客户机702获取用户标识符(USER1),并将所获取的用户标识符提供给连接许可判断部220B(步骤S230)。连接许可判断部220B按照与所获取的用户标识符(USER1)具有对应关系的许可判断方法目录数据311(使用顺序),来进行连接许可判断(步骤S240)。即使在从客户机704接受了连接请求的情况下,连接许可判断部220B也同样地按照与用户标识符(USER2)具有对应关系的许可判断方法目录数据312,来进行连接许可判断(步骤S330、S340分别与步骤S230、S240相同)。
如上所述,本实施方式中,个别使用顺序分配部242将使用顺序与用户标识符建立对应关系,并将使用顺序分配给多个连接许可判断方法的每一个,连接许可判断部220B按照与用户标识符具有对应关系的使用顺序使用多个连接许可判断方法,来进行连接许可判断。其结果,即使在每个用户所希望的使用顺序不同的情况下,中继装置100B仍然能够按照各个用户的希望来进行连接许可判断。此外,中继装置100B所管理的用户标识符的总数可以在3个以上。
此外,本实施方式中,个别使用顺序分配部242按照用户的指示来选择所使用的多个连接许可判断方法,然后,将使用顺序分配给所选择的多个连接许可判断方法的每一个。这样一来,即使在每个用户所希望的连接许可判断方法互不相同的情况下,中继装置100B仍然能够按照各个用户的希望来进行连接许可判断。
此外,与图7所示的第二实施方式相同,个别使用顺序分配部242从用户接受指示的方法并不局限于利用了用户接口400的方法,也可以采用其它各种方法。
图9是表示本发明的第四实施方式中的中继装置的方框图。本实施方式中的中继装置100C的硬件结构与图2中的中继装置100的结构相同。以下,对中继装置100C的要素中与中继装置100的要素相同的要素标注相同的附图标记,并以不同之处为中心进行说明。图9仅仅示出了中继装置100C的结构的一部分。并且,省略了CPU202的功能(处理部)中的中继执行部210和无线网络控制部230的图示,并省略了存储在非易失存储器300中的数据中的设定信息320和程序(相当于程序302的控制用程序)的图示。此外,也可以用该中继装置100C来代替上述各个实施方式中的中继装置100、100A及100B。
与图2所示的第一实施方式不同,本实施方式的CPU202除了实现中继执行部210(未图示)、连接许可判断部220C及无线网络控制部230(未图示)的功能之外,还实现个别使用顺序分配部244及用户ID获取部250的功能。此外,本实施方式中的连接许可判断部220C所进行的处理与第一实施方式中的连接许可判断部220所进行的处理、图7所示的第二实施方式中的连接许可判断部220A所进行的处理以及图8所示的第三实施方式中的连接许可判断部220B所进行的处理有所不同(详细情况将于后述)。
本实施方式中的中继装置100C与图8所示的第三实施方式中的中继装置100B同样地对于每一个用户标识符,管理连接许可判断方法与使用顺序之间的对应关系。但是,与第三实施方式不同之处在于:本实施方式中的中继装置100C更新许可判断方法目录数据,以使获得了肯定的判断结果的连接许可判断方法的使用顺序更早。
用户ID获取部250与第三实施方式中的用户ID获取部250相同。用户ID获取部250从通信装置获取用户标识符。
个别使用顺序分配部244对于每个用户标识符,将使用顺序分配给多个连接许可判断方法中的每一个。具体而言,个别使用顺序分配部244更新许可判断方法目录数据,以使获得了肯定的判断结果的连接许可判断方法的使用顺序更早。个别使用顺序分配部244对应于用户ID来进行该更新。图9示出了个别使用顺序分配部244更新客户机702(USER1)用的许可判断方法目录数据311的情形。
当从客户机702接受了连接请求时,用户ID获取部250从客户机702获取用户标识符(这里为USER1),并将所获取的用户标识符提供给连接许可判断部220C(步骤S400)。连接许可判断部220C按照与所获取的用户标识符(USER1)具有对应关系的许可判断方法目录数据311,来进行连接许可判断(步骤S410)。图9中的左上方的许可判断方法目录数据311a示出了此时间点的许可判断方法目录数据311。许可判断方法目录数据311a中,“WPA-PSK方法”的使用顺序被设定为第一,“MAC-RADIUS方法”的使用顺序被设定为第二。
这里,假设顺序为第一的“WPA-PSK方法”获得了否定的判断结果,顺序为第二的“MAC-RADIUS方法”获得了肯定的判断结果。连接许可判断部220C将获得了肯定的判断结果的连接许可判断方法是“MAC-RADIUS方法”的情况通知给个别使用顺序分配部244(步骤S420)。个别使用顺序分配部244更新许可判断方法目录数据311,以使该连接许可判断方法(MAC-RADIUS方法,以下也被称为“成功许可判断方法”)的使用顺序成为第一(步骤S430)。本实施方式中,个别使用顺序分配部244通过将比成功许可判断方法顺序在前的连接许可判断方法的使用顺序逐一推后,来更新许可判断方法目录数据311。图9的右上方示出了更新后的许可判断方法目录数据311b。该许可判断方法目录数据311b中,“WPA-PSK方法”的使用顺序被设定为第二,“MAC-RADIUS方法”的使用顺序被设定为第一。
当下次从客户机702接受了连接请求时,连接许可判断部220C按照更新后的许可判断方法目录数据311b来进行连接许可判断。一般来说,用户不会频繁地更新客户机702的设定。因此,这次连接许可判断中获得了肯定的判断结果的连接许可判断方法与上次连接许可判断中获得了肯定的判断结果的连接许可判断方法相同的可能性高。因此,连接许可判断部220C通过按照更新后的许可判断方法目录数据311b来进行连接许可判断,能够使获得连接许可判断结果所需的时间变长的可能性降低。
此外,也可以采用以下方法作为更新许可判断方法目录数据的方法:即能将多个连接许可判断方法中是哪个方法获得了肯定的判断结果这一情况反映于使用顺序的任何方法。这样一来,连接许可判断部220A能够按照适合于用户所利用的无线通信装置的顺序来使用多个连接许可判断方法。这里,“将多个连接许可判断方法中是哪个方法获得了肯定的判断结果这一情况反映于使用顺序”是指,执行能够将获得了肯定的判断结果的方法的使用顺序排前的任何处理。例如,也可以是,个别使用顺序分配部244将最前的使用顺序分配给获得了肯定的判断结果的方法。此外,也可以是,对于多个许可判断方法,个别使用顺序分配部244对获得了肯定的判断结果的次数越多的方法分配越前的使用顺序。
图10是本发明的第五实施方式中的包括有中继装置的网络***1002的示意图。该网络***1002包括网络800、连接在网络800上的两个中继装置100D1及100D2、以及连接在网络800上的LDAP(LightweightDirectory Access Protocol:轻量级目录访问协议)服务器804。
第二中继装置100D2的结构与第一中继装置100D1的结构相同。此外,中继装置100D1及100D2的硬件结构与图2所示的第一实施方式中的中继装置100的结构相同。以下,对中继装置100D1及100D2的要素中与中继装置100的要素相同的要素标注相同的附图标记,并以不同之处为中心进行说明。图10仅仅示出了中继装置100D1及100D2的结构的一部分。并且,省略了CPU202的功能(处理部)中的中继执行部210和无线网络控制部230的图示,并省略了存储在非易失存储器300中的数据中的设定信息320和程序(相当于程序302的控制用程序)的图示。此外,也可以用该中继装置100D1及100D2来代替上述各个实施方式中的中继装置100、100A、100B及100C。
本实施方式中的CPU202除了实现图9所示的第四实施方式中的CPU202所实现的处理部的功能之外,还实现使用顺序输出部260及使用顺序获取部262的功能。
本实施方式中,个别使用顺序分配部244与图9所示的第四实施方式中的中继装置100C同样地更新许可判断方法目录数据。使用顺序输出部260将更新后的许可判断方法目录数据发送给LDAP服务器804。使用顺序获取部262从LDAP服务器804获取更新后的许可判断方法目录数据,并将所获取的许可判断方法目录数据存储在非易失存储器300中。其结果,多个中继装置100D1及100D2能够共用更新后的许可判断方法目录数据。
图10示出了第二中继装置100D2经由LDAP服务器804获取由第一中继装置100D1所更新的许可判断方法目录数据311的情形。第一中继装置100D1响应来自客户机702的连接请求而进行连接许可判断,并更新许可判断方法目录数据311(步骤S600、S610、S620及S630)。这些步骤S600、S610、S620及S630分别与图9中的步骤S400、S410、S420及S430相同。
第一中继装置100D1的使用顺序输出部260相应于许可判断方法目录数据的更新,而将表示更新后的许可判断方法目录数据(这里为许可判断方法目录数据311)的数据和用户标识符(这里为USER1)发送到LDAP服务器804(步骤S640)。
LDAP服务器804是包括数据接收部804a、数据存储部804b及数据发送部804c的计算机。数据接收部804a将从中继装置100D1接收到的许可判断方法目录数据与用户标识符USER1建立对应关系,并将其存储在数据存储部804b中。数据发送部804c响应来自中继装置100D1的包含用户ID
USER1的请求而将与该用户ID USER1具有对应关系的许可判断方法目录数据提供给该中继装置100D1。数据存储部804b是硬盘驱动器(hard diskdrive)、闪存(flash memory)等的非易失存储器。但是,也可以采用易失存储器(例如,DRAM)作为数据存储部804b。
第二中继装置100D2的使用顺序获取部262从LDAP服务器804获取与用户标识符“USER1”具有对应关系的许可判断方法目录数据311(步骤S650)。此时,LDAP服务器804的数据发送部804c响应来自使用顺序获取部262的包含用户标识符的请求,而将与该用户标识符具有对应关系的许可判断方法目录数据(此时为许可判断方法目录数据311)发送给第二中继装置100D2(使用顺序获取部262)。然后,使用顺序获取部262将所获取的许可判断方法目录数据311存储在非易失存储器300中(步骤660)。在此状态下,若第二中继装置100D2从客户机702接受了连接请求,则第二中继装置100D2按照更新后的许可判断方法目录数据311来进行连接许可判断。
如此,本实施方式中,由于多个中继装置能够共用使用顺序,所以多个中继装置中的每一个都可以将同样的使用方便性提供给用户。此外,共用许可判断方法目录数据的中继装置的总数并不局限于两个,也可以在三个以上。此外,多个中继装置共用对每个用户标识符所设定的许可判断方法目录数据。其结果,多个中继装置中的每一个能够进行适合于多个用户中的每一个的连接许可判断。
此外,可以采用任意的定时来作为使用顺序获取部262获取许可判断方法目录数据的定时。例如,也可以是,在连接许可判断部220C进行连接许可判断的情况下,在执行该连接许可判断之前,使用顺序获取部262从LDAP服务器804获取用于连接许可判断的、与用户标识符有对应关系的许可判断方法目录数据。此外,也可以是,使用顺序获取部262从LDAP服务器804定期地获取数据。
此外,可以采用任意的定时来作为使用顺序输出部260输出许可判断方法目录数据的定时。例如,可以是,使用顺序输出部260相应于许可判断方法目录数据的更新而输出更新后的许可判断方法目录数据。此外,也可以是,使用顺序输出部260在接受了用户的指示后输出许可判断方法目录数据。
此外,发送许可判断方法目录数据的服务器并不局限于LDAP服务器804,也可以采用如下服务器:即,具有从中继装置接收表示使用顺序的信息(例如,许可判断方法目录数据)的接收部、存储所接收到的信息的存储部、以及将所存储的信息输出给中继装置的输出部的任意的服务器。此外,也可以不采用上述服务器,而使某个中继装置的使用顺序输出部260将更新后的许可判断方法目录数据直接发送给其它中继装置的使用顺序获取部262。
此外,本发明并不局限于上述各个实施方式,在不脱离本发明的宗旨的范围内,当然可以进行各种形式的实施,例如,也可以进行下面的变形。
也就是说,上述各个实施方式中,作为连接许可判断的方法不局限于上述方法,也可以采用其它任何方法。例如,也可以采用WPA2-PSK方法及WPA-EAP方法。
此外,中继装置也可以具有通过任意组合上述各个实施方式中的中继装置结构而获得的结构。例如,中继装置也可以具有在图2、图3中的中继装置100的结构上增加了图7中的使用顺序分配部240而获得的结构。在此情况下,连接许可判断部220(图2)只要按照图3所示的规定的许可判断方法目录数据310来进行连接许可判断即可。并且,如图7所示的第二实施方式那样,在使用顺序分配部240按照用户的指示来分配使用顺序的情况下,如图7中的连接许可判断部220A那样,连接许可判断部220(图2)只要按照更新后的许可判断方法目录数据310来进行连接许可判断即可。
此外,中继装置也可以具有在图2及图3中的中继装置100的结构上增加了图8中的个别使用顺序分配部242而获得的结构。在此情况下,连接许可判断部220(图2)按照图3所示的规定的许可判断方法目录数据310来进行连接许可判断。并且,对于许可判断方法目录数据被个别使用顺序分配部242(图8)设定了的用户标识符,如图8所示的第三实施方式的连接许可判断部220B那样,连接许可判断部220按照该设定了的许可判断方法目录数据来进行连接许可判断。
并且,中继装置也可以具有在图2及图3中的中继装置100的结构上增加了图8中的个别使用顺序分配部242及图9中的个别使用顺序分配部244而获得的结构。在此情况下,如图8所示的第三实施方式那样,个别使用顺序分配部242(图8)对于每个用户标识符,按照用户的指示来将使用顺序分配给多个连接许可判断方法中的每一个。并且,如图9所示的第四实施方式的个别使用顺序分配部244那样,个别使用顺序分配部242将多个连接许可判断方法中是哪个方法获得了肯定的判断结果这一情况反映于使用顺序。连接许可判断部220(图2)对于许可判断方法目录数据被个别使用顺序分配部242更新后的用户标识符,按照该更新后的许可判断方法目录数据来进行连接许可判断。对于许可判断方法目录数据未被个别使用顺序分配部242更新的用户标识符,连接许可判断部220按照图3所示的规定的许可判断方法目录数据来进行连接许可判断。
并且,中继装置也可以具有在图8中的中继装置100B的结构上增加了图9中的个别使用顺序分配部244而获得的结构。在此情况下,如图8所示的第三实施方式那样,对于每一个用户标识符,个别使用顺序分配部242(图8)按照用户的指示来将使用顺序分配给多个连接许可判断方法中的每一个。连接许可判断部220B按照个别使用顺序分配部242所分配的使用顺序来进行连接许可判断。并且,如图9所示的第四实施方式的个别使用顺序分配部244那样,个别使用顺序分配部242将多个连接许可判断方法中是哪个方法获得了肯定的判断结果这一情况反映于使用顺序。然后,如图9所示的第四实施方式中的连接许可判断部220C那样,连接许可判断部220B按照更新后的许可判断方法目录数据,来进行连接许可判断。
并且,中继装置也可以具有在图7中的中继装置100A的结构上增加了图10中的使用顺序输出部260及使用顺序获取部262而获得的结构。使用顺序输出部260(图10)相应于许可判断方法目录数据被使用顺序分配部240(图7)更新的情况,而将更新后的许可判断方法目录数据发送给LDAP服务器804。连接许可判断部220A(图7)按照被使用顺序分配部240更新后的许可判断方法目录数据来进行连接许可判断。使用顺序获取部262(图10)从LDAP服务器804获取新的许可判断方法目录数据,并将其存储在非易失存储器300中。此时,连接许可判断部220A(图7)与图10所示的第五实施方式中的连接许可判断部220C同样地,按照使用顺序获取部262所获取的许可判断方法目录数据,来进行连接许可判断。在此情况下,对于所有用户标识符,所共用的许可判断方法目录数据是共同的。也可以是,为了共用针对每个用户标识符的许可判断方法目录数据,中继装置具有在图8所示的第三实施方式中的中继装置100B的结构上增加了图10所示的第五实施方式中的使用顺序输出部260及使用顺序获取部262而获得的结构。
本实施方式中,中继装置可以如图2及图3所示的第一实施方式那样,在使用顺序被改变(更新)之前,按照规定的使用顺序来进行连接许可判断。这里,规定的使用顺序可以是任意的顺序。例如,也可以是规定的使用顺序与安全性高的顺序不同。
此外,上述各个实施方式中的中继装置的结构并不局限于上述结构(例如,图2中的结构),也可以采用其它各种结构。例如,也可以是,通信接口510不是依据IEEE802.3规格的接口,而是进行电力线通信(Power LineCommunication:PLC)的接口。此外,也可以是,通信接口510不是进行有线通信的接口,而是进行无线通信的接口。此外,也可以是,通信接口510分为外部网络用的接口和内部网络用的接口。此外,许可判断方法目录数据(例如,图2中的许可判断方法目录数据310)也可以被存储在易失存储器(例如,DRAM)中。一般来说,用于控制中继装置的数据(例如,图2中的设定信息320)可以被存储在易失存储器中。此外,网络***的结构并不局限于上述各个实施方式中的结构,也可以采用其它各种结构。例如,也可以是,图1所示的第一实施方式中的第一认证处理部802a和第二认证处理部802b利用互不相同的服务器装置来实现。这样一来,使网络能耐障碍(通信障碍、装置故障等)。此外,也可以是,多个网络连接在中继装置上。
并且,上述各个实施方式中,也可以将通过硬件来实现的结构的一部分置换成软件,相反,将通过软件来实现的结构的一部分或全部置换成硬件。例如,也可以将图2所示的第一实施方式中的连接许可判断部220的功能通过专用的硬件电路来实现。
此外,也可以是,在本发明的功能的一部分或全部通过软件来实现的情况下,以存储在计算机可读取的非暂时性记录媒体中的形式或暂时性记录媒体中的形式来提供该软件(计算机程序)。“计算机可读取的非暂时性记录媒体”不局限于软盘和CD-ROM那样的携带式记录媒体,还包括各种RAM及ROM等计算机内的内部存储装置和固定在计算机中的外部存储装置(如硬盘)等。计算机可读取的暂时性记录媒体可以包括,例如包含计算机可执行的源代码的传输信号的形式。
Claims (7)
1.一种中继装置,包括:
无线接口,用于与无线通信装置进行无线通信;
通信接口,用于连接通信线路,该通信线路用于与不同于上述无线通信装置的其它通信装置之间的通信;
连接许可判断部,通过多个特定的连接许可判断方法来进行是否允许上述无线通信装置与上述其它通信装置之间的通信中继的连接许可判断,在通过上述多个连接许可判断方法中的至少一个方法获得了肯定的判断结果的情况下,允许上述中继;以及
中继执行部,在上述连接许可判断部允许上述中继时,该中继执行部执行上述中继,
其中,该中继装置还具备使用顺序分配部,该使用顺序分配部按照用户的指示来将使用顺序分别分配给上述多个连接许可判断方法中的每一个,
其中,上述连接许可判断部能够通过按照上述使用顺序分配部所分配的使用顺序使用上述多个连接许可判断方法,来进行上述连接许可判断。
2.根据权利要求1所述的中继装置,其特征在于:
上述连接许可判断部还能够通过按照预先设定的顺序使用上述多个连接许可判断方法,来进行上述连接许可判断。
3.根据权利要求2所述的中继装置,其特征在于:
上述连接许可判断部能够通过按照安全性从高到低的顺序使用上述多个连接许可判断方法,来进行上述连接许可判断。
4.根据权利要求1所述的中继装置,其特征在于:
该中继装置还具备标识符获取部,该标识符获取部从请求上述中继的无线通信装置获取用于识别该无线通信装置的用户的用户标识符;
上述使用顺序分配部按照上述用户的指示,将上述使用顺序与用户标识符建立对应关系,并将上述使用顺序分配给上述多个连接许可判断方法中的每一个;
上述连接许可判断部能够通过按照与上述标识符获取部所获取的用户标识符具有对应关系的上述使用顺序使用上述多个连接许可判断方法,来进行上述连接许可判断。
5.根据权利要求1所述的中继装置,其特征在于,
该中继装置还具备:
标识符获取部:从请求上述中继的无线通信装置获取用于识别该无线通信装置的用户的用户标识符;以及
个别使用顺序分配部:将上述使用顺序与上述用户标识符建立对应关系,并将上述使用顺序分别分配给上述多个连接许可判断方法中的每一个,
上述连接许可判断部能够通过按照与上述所获取的用户标识符具有对应关系的上述使用顺序使用上述多个连接许可判断方法,来进行上述连接许可判断,
上述个别使用顺序分配部为了以后的上述连接许可判断,而在上述使用顺序中反映出在上述多个连接许可判断方法中是哪一个方法获得了肯定的判断结果。
6.根据权利要求1所述的中继装置,其特征在于,
该中继装置还具备:
使用顺序输出部,将表示分别分配给上述多个连接许可判断方法中的每一个的使用顺序的信息输出到上述中继装置的外部,以提供给其它中继装置;以及
使用顺序获取部,从上述中继装置的外部获取表示由其它中继装置分配的使用顺序的信息,
上述连接许可判断部能够通过按照上述使用顺序获取部所获取的上述使用顺序使用上述多个连接许可判断方法,来进行上述连接许可判断。
7.一种通信中继用的方法,其特征在于:该方法为,
通过多个特定的连接许可判断方法来进行是否允许无线通信装置与不同于上述无线通信装置的其它通信装置之间的通信中继的连接许可判断,在通过上述多个连接许可判断方法中的至少一个方法获得了肯定的判断结果的情况下,允许上述中继,
在经上述连接许可判断而允许上述中继时,执行上述中继,
其中,该方法还包括按照用户的指示来将使用顺序分别分配给上述多个连接许可判断方法中的每一个,
其中,通过按照所分配的使用顺序使用上述多个连接许可判断方法,来进行上述连接许可判断。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010077007A JP4977229B2 (ja) | 2010-03-30 | 2010-03-30 | 通信を中継するための装置、方法、およびプログラム |
| JP2010-077007 | 2010-03-30 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102209359A CN102209359A (zh) | 2011-10-05 |
| CN102209359B true CN102209359B (zh) | 2014-12-24 |
Family
ID=44697976
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110078820.9A Active CN102209359B (zh) | 2010-03-30 | 2011-03-28 | 通信中继用装置及方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8582476B2 (zh) |
| JP (1) | JP4977229B2 (zh) |
| CN (1) | CN102209359B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5732745B2 (ja) * | 2010-05-13 | 2015-06-10 | 富士通株式会社 | ネットワーク装置、認証方式決定方法および認証方式決定プログラム |
| JP5828090B2 (ja) * | 2011-04-20 | 2015-12-02 | パナソニックIpマネジメント株式会社 | 中継装置 |
| US20130003875A1 (en) * | 2011-06-30 | 2013-01-03 | Broadcom Corporation | Powerline communication device with multiple plc interface(s) |
| US8495714B2 (en) * | 2011-07-20 | 2013-07-23 | Bridgewater Systems Corp. | Systems and methods for authenticating users accessing unsecured wifi access points |
| US9504089B2 (en) * | 2012-05-14 | 2016-11-22 | Broadcom Corporation | System and method for wireless station bridging |
| JP5962261B2 (ja) * | 2012-07-02 | 2016-08-03 | 富士ゼロックス株式会社 | 中継装置 |
| US9203838B2 (en) * | 2012-10-31 | 2015-12-01 | Google Inc. | Providing network access to a device associated with a user account |
| US9634726B2 (en) | 2012-11-02 | 2017-04-25 | Google Inc. | Seamless tethering setup between phone and laptop using peer-to-peer mechanisms |
| WO2015023103A1 (ko) * | 2013-08-12 | 2015-02-19 | 주식회사 케이티 | 무선랜 시스템에서 데이터 전송 방법 및 장치 |
| CN104883682A (zh) * | 2014-02-27 | 2015-09-02 | 中兴通讯股份有限公司 | Wifi热点连接及选择方法、通信终端及*** |
| RU2568282C2 (ru) * | 2014-04-18 | 2015-11-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обеспечения отказоустойчивости антивирусной защиты, реализуемой в виртуальной среде |
| US9980304B2 (en) | 2015-04-03 | 2018-05-22 | Google Llc | Adaptive on-demand tethering |
| CN107040922B (zh) * | 2016-05-05 | 2019-11-26 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及*** |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1882128A (zh) * | 2005-05-23 | 2006-12-20 | 株式会社东芝 | 基站,无线通信***,计算机可读媒体以及基站控制方法 |
| WO2009011055A1 (ja) * | 2007-07-19 | 2009-01-22 | Panasonic Corporation | 無線端末装置、無線接続方法及びプログラム |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6891819B1 (en) * | 1997-09-05 | 2005-05-10 | Kabushiki Kaisha Toshiba | Mobile IP communications scheme incorporating individual user authentication |
| JP3983035B2 (ja) * | 2001-11-19 | 2007-09-26 | 富士通株式会社 | ユーザ端末認証プログラム |
| JP4218934B2 (ja) | 2002-08-09 | 2009-02-04 | キヤノン株式会社 | ネットワーク構築方法、無線通信システムおよびアクセスポイント装置 |
| JP2006221605A (ja) | 2005-01-14 | 2006-08-24 | Yamaha Corp | ファイルアクセス制御装置 |
| TWI493952B (zh) * | 2006-12-27 | 2015-07-21 | Signal Trust For Wireless Innovation | 基地台自行配置方法及裝置 |
| JP4594969B2 (ja) * | 2007-08-28 | 2010-12-08 | 株式会社バッファロー | 無線lan用アクセスポイント、プログラムおよび記録媒体 |
| JP5067866B2 (ja) * | 2008-01-08 | 2012-11-07 | キヤノン株式会社 | 通信装置及び制御方法 |
| JP4844611B2 (ja) * | 2008-09-30 | 2011-12-28 | ブラザー工業株式会社 | 無線通信装置、接続方法及びプログラム |
-
2010
- 2010-03-30 JP JP2010077007A patent/JP4977229B2/ja active Active
-
2011
- 2011-03-25 US US13/071,503 patent/US8582476B2/en active Active
- 2011-03-28 CN CN201110078820.9A patent/CN102209359B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1882128A (zh) * | 2005-05-23 | 2006-12-20 | 株式会社东芝 | 基站,无线通信***,计算机可读媒体以及基站控制方法 |
| WO2009011055A1 (ja) * | 2007-07-19 | 2009-01-22 | Panasonic Corporation | 無線端末装置、無線接続方法及びプログラム |
Non-Patent Citations (1)
| Title |
|---|
| JP特开2006-221605A 2006.08.24 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011211471A (ja) | 2011-10-20 |
| JP4977229B2 (ja) | 2012-07-18 |
| US8582476B2 (en) | 2013-11-12 |
| CN102209359A (zh) | 2011-10-05 |
| US20110243058A1 (en) | 2011-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102209359B (zh) | 通信中继用装置及方法 | |
| US8150372B2 (en) | Method and system for distributing data within a group of mobile units | |
| US8392712B1 (en) | System and method for provisioning a unique device credential | |
| KR100768290B1 (ko) | 무선 통신 네트워크의 보안 설정 방법, 보안 설정프로그램을 기록한 기록 매체, 무선 통신 네트워크 시스템및 클라이언트 장치 | |
| JP4652754B2 (ja) | セルラ・システムに関連付けられたセキュリティ値に基づく無線lanアクセス認証方法 | |
| JP2012054918A (ja) | Wi−fiアクセス方法、アクセスポイント、及びwi−fiアクセスシステム | |
| KR20040042247A (ko) | 공중 무선랜 서비스 시스템의 사용자 인증방법 및 시스템 | |
| EP2876855A1 (en) | Mobile wireless access and establishment of virtual private network | |
| CN104144463A (zh) | Wi-Fi网络接入方法和*** | |
| US12041452B2 (en) | Non-3GPP device access to core network | |
| US20240171982A1 (en) | Non-3gpp device acess to core network | |
| US20160278158A1 (en) | Methods for a link recovery of a wireless network and respective devices | |
| WO2018113113A1 (zh) | 一种双***终端wifi共享的方法和装置 | |
| EP1947818A1 (en) | A communication system and a communication method | |
| JP2016053967A (ja) | 中継機、無線通信システムおよび無線通信方法 | |
| JP5721183B2 (ja) | 無線lan通信システム、無線lan親機、通信接続確立方法、及びプログラム | |
| JP2019033458A (ja) | 通信装置、通信端末、通信システム、通信制御方法および通信制御プログラム | |
| JP6640949B2 (ja) | 接続情報送信装置、方法およびプログラム | |
| JP6571615B2 (ja) | 認証サーバ、振分装置、クライアント端末認証システム及びクライアント端末認証方法 | |
| US11412377B2 (en) | Method of configuring a multimedia device intended to be connected to an interconnection device | |
| CN117880805A (zh) | 智能设备的配网方法、装置和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent for invention or patent application | ||
| CB02 | Change of applicant information |
Address after: Aichi Applicant after: Buffalo Inc. Address before: Aichi Applicant before: Babbilu Inc. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: BABBILU INC. TO: BUFFALO CO., LTD. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |