JP2003318922A - Wireless network access system, terminal, wireless access point, remote access server, and authentication server - Google Patents
Wireless network access system, terminal, wireless access point, remote access server, and authentication serverInfo
- Publication number
- JP2003318922A JP2003318922A JP2002124088A JP2002124088A JP2003318922A JP 2003318922 A JP2003318922 A JP 2003318922A JP 2002124088 A JP2002124088 A JP 2002124088A JP 2002124088 A JP2002124088 A JP 2002124088A JP 2003318922 A JP2003318922 A JP 2003318922A
- Authority
- JP
- Japan
- Prior art keywords
- wireless
- access point
- authentication
- wireless access
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、ユーザの端末が
無線アクセスポイントを介してネットワークへ接続する
無線ネットワーク接続システムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a wireless network connection system in which a user terminal connects to a network via a wireless access point.
【0002】[0002]
【従来の技術】近年、無線LAN(Local Area Networ
k)の普及に伴い、公共の施設などの人が集まる場所に
インターネットに接続するための無線LANの親機(無
線アクセスポイント)を設置し、個人が外出先からPC
カードなどの無線LANの子機を取り付けたモバイルコ
ンピュータを用いてこの無線AP(アクセスポイント)
に接続することでインターネットへ接続できる、無線イ
ンターネット接続システムが提供されている。2. Description of the Related Art In recent years, a wireless LAN (Local Area Network)
With the spread of k), a wireless LAN base unit (wireless access point) for connecting to the Internet will be installed in places where people gather, such as public facilities, and individuals will be able to use PCs from outside.
Use this wireless AP (access point) by using a mobile computer with a wireless LAN cordless handset such as a card attached.
There is a wireless Internet connection system that can connect to the Internet by connecting to.
【0003】しかし、従来接続先のISP(インターネ
ットプロバイダ)などは無線AP毎に固定であり、アク
セスしてきた無線LANユーザは全てこの固定のISP
に対して接続されてしまい、無線LANユーザ個人単位
で接続先を選択することができなかった。よって、無線
LANユーザは、ISP経由の接続が許容されていない
ネットワークや、インターネット上に公開されていない
企業プライベートネットワーク等を利用できない場合が
あった。However, conventionally, the ISP (Internet provider) or the like at the connection destination is fixed for each wireless AP, and all the wireless LAN users who have accessed are fixed ISPs.
However, it was not possible to select a connection destination for each individual wireless LAN user. Therefore, a wireless LAN user may not be able to use a network that is not allowed to connect via the ISP or a corporate private network that is not open to the public on the Internet.
【0004】また、従来、無線インターネット接続シス
テムの提供者は、無線APとインターネットとの間のア
クセス回線を無線LANユーザが何人で共用しているか
の状況が把握できなかった。よって、多くの無線LAN
ユーザの同時使用によるスループットの低下を防ぐた
め、無線APを同時に使用可能な無線LANユーザ数を
制限することが望ましかった。Further, conventionally, a provider of a wireless Internet connection system has not been able to grasp how many wireless LAN users share an access line between a wireless AP and the Internet. Therefore, many wireless LANs
In order to prevent a decrease in throughput due to simultaneous use by users, it has been desired to limit the number of wireless LAN users who can simultaneously use the wireless AP.
【0005】また、無線AP設置者が無線APの無線L
ANユーザを制限する場合、無線AP毎に無線LANユ
ーザ個々の認証情報を設定しなければならなかった。こ
れは、AP設置者にとって非常に煩雑であった。Further, the wireless AP installer sets the wireless L of the wireless AP.
When restricting AN users, it is necessary to set authentication information for each wireless LAN user for each wireless AP. This was very cumbersome for AP installers.
【0006】[0006]
【発明が解決しようとする課題】この発明は、このよう
な事情を考慮してなされたもので、その目的は、無線L
ANユーザ毎に接続先ネットワークを指定することが可
能であり、かつ、無線アクセスポイントが網の機能で無
線LANユーザを認証できる無線ネットワーク接続シス
テムを提供することにある。SUMMARY OF THE INVENTION The present invention has been made in consideration of such circumstances, and its purpose is to provide a wireless L
It is an object of the present invention to provide a wireless network connection system in which a connection destination network can be designated for each AN user and a wireless access point can authenticate a wireless LAN user with a network function.
【0007】[0007]
【課題を解決するための手段】この発明は、上記の課題
を解決すべくなされたもので、請求項1に記載の発明
は、端末装置と、前記端末装置がアクセスする無線アク
セスポイントと、前記無線アクセスポイント及び前記端
末装置を認証する認証サーバと、前記端末の指定したネ
ットワークへのルーチングを行うリモートアクセスサー
バとで構成される無線ネットワーク接続システムであっ
て、前記端末装置は、前記無線アクセスポイントと無線
により通信する無線通信手段と、当該端末装置の端末認
証情報を、インターネットプロトコル網に設置された認
証サーバへ送信する端末認証情報送信手段と、前記認証
サーバから暗号鍵情報を受信し、前記無線通信手段の通
信を暗号化する暗号化無線通信手段と、ネットワーク識
別情報を含んだネットワークユーザ認証情報を、ネット
ワークのユーザ認証機能へ送出するネットワークユーザ
認証情報送信手段と、前記ネットワークユーザ認証機能
から割り当てられたIPアドレスにより前記ネットワー
クとの通信を行うネットワーク通信手段とを具備し、前
記無線アクセスポイントは、複数の前記端末装置と無線
で通信する無線通信手段と、リモートアクセスサーバと
通信する通信手段と、前記無線通信手段と前記通信手段
のインタフェースを相互に変換するインタフェース変換
手段と、前記認証サーバから暗号鍵情報を受信し、前記
無線通信手段の通信を暗号化する暗号化無線通信手段と
を具備し、前記リモートアクセスサーバは、無線アクセ
スポイントと通信するためのインタフェースと、インタ
ーネットプロトコル網と通信するためのインタフェース
を相互に変換するインタフェース変換手段と、前記端末
装置から受信した前記ネットワークユーザ認証情報に含
まれるネットワーク識別情報を基に、接続先ネットワー
クを収容する通信装置を判断してネットワークユーザ認
証情報の送出先を決定するルーチング手段とを具備し、
前記認証サーバは、端末装置の端末認証情報を記憶する
端末認証データベースと、前記端末装置から端末認証情
報を受信し、前記端末認証データベースにより認証を行
う端末装置認証手段と、前記端末装置認証手段が前記端
末装置を認証した場合には、前記端末装置と無線アクセ
スポイントが暗号化通信を行うための暗号鍵情報を生成
し、前記無線アクセスポイントと前記端末装置に通知す
る暗号鍵情報送信手段とを具備する、ことを特徴とする
無線ネットワーク接続システムである。The present invention has been made to solve the above problems, and the invention according to claim 1 is a terminal device, a wireless access point accessed by the terminal device, and A wireless network connection system comprising a wireless access point and an authentication server for authenticating the terminal device, and a remote access server for routing to a network designated by the terminal, wherein the terminal device is the wireless access point. Wireless communication means for wirelessly communicating with the terminal device, terminal authentication information transmitting means for transmitting the terminal authentication information of the terminal device to an authentication server installed in an internet protocol network, and encryption key information received from the authentication server, An encrypted wireless communication means for encrypting the communication of the wireless communication means and a network including the network identification information. The network user authentication information transmitting means for transmitting the work user authentication information to the user authentication function of the network; and the network communication means for communicating with the network by the IP address assigned from the network user authentication function, The wireless access point includes a wireless communication unit that wirelessly communicates with the plurality of terminal devices, a communication unit that communicates with a remote access server, and an interface conversion unit that mutually converts the interfaces of the wireless communication unit and the communication unit. Encryption remote communication means for receiving encryption key information from the authentication server and encrypting communication of the wireless communication means, wherein the remote access server has an interface for communicating with a wireless access point, and an internet protocol. To communicate with the web Interface conversion means for converting interfaces to each other, and based on the network identification information included in the network user authentication information received from the terminal device, a communication device accommodating the connection destination network is determined and the network user authentication information is transmitted. And routing means for determining the destination,
The authentication server includes a terminal authentication database that stores terminal authentication information of a terminal device, a terminal device authentication unit that receives the terminal authentication information from the terminal device, and performs authentication using the terminal authentication database, and the terminal device authentication unit. When the terminal device is authenticated, the terminal device and the wireless access point generate encryption key information for performing encrypted communication, and the wireless access point and an encryption key information transmission unit for notifying the terminal device are provided. A wireless network connection system comprising:
【0008】請求項2に記載の発明は、請求項1に記載
の無線ネットワーク接続システムであって、前記無線ア
クセスポイントは、前記無線アクセスポイントは、当該
無線アクセスポイントの無線アクセスポイント認証情報
を前記認証サーバへ送信する認証情報送信手段とを具備
し、前記通信手段は、前記認証サーバから割り当てられ
たIPアドレスを使用してインターネットプロトコルに
よる通信を確立し、前記認証サーバは、無線アクセスポ
イントの無線アクセスポイント認証情報を記憶する無線
アクセスポイント認証データベースと、前記無線アクセ
スポイント認証情報を受信し、前記無線アクセスポイン
ト認証データベースにより認証を行う無線アクセスポイ
ント認証手段と、前記無線アクセスポイント認証手段が
前記無線アクセスポイントを認証した場合には、前記無
線アクセスポイントへ割り当てるIPアドレスを送信す
るアドレス通知手段とを具備する、ことを特徴とする。The invention described in claim 2 is the wireless network connection system according to claim 1, wherein the wireless access point, the wireless access point, and the wireless access point authentication information of the wireless access point. Authentication means for transmitting to an authentication server, wherein the communication means establishes communication according to the Internet protocol using the IP address assigned by the authentication server, and the authentication server is a wireless access point wireless. A wireless access point authentication database that stores access point authentication information, a wireless access point authentication unit that receives the wireless access point authentication information, and authenticates with the wireless access point authentication database, and the wireless access point authentication unit is the wireless access When authenticating the Into comprises a address notification means for sending the IP address assigned to the wireless access point, characterized in that.
【0009】請求項3に記載の発明は、請求項1または
請求項2に記載の無線ネットワーク接続システムであっ
て、前記リモートアクセスサーバは、無線アクセスポイ
ントが接続を許容する端末装置の同時接続数を記憶する
記憶手段と、無線アクセスポイントに接続している端末
装置数をカウントする接続端末数カウント手段と、前記
端末認証情報の送信元の端末装置がアクセスした無線ア
クセスポイントが接続している前記端末装置数が前記同
時接続数以上の時には、前記端末装置の接続を拒否する
同時接続数制御手段とを具備する、ことを特徴とする。A third aspect of the present invention is the wireless network connection system according to the first or second aspect, wherein the remote access server allows the wireless access point to allow simultaneous connection of terminal devices. A connection means for storing the number, a connecting terminal number counting means for counting the number of terminal devices connected to the wireless access point, and a wireless access point accessed by the terminal device that is the transmission source of the terminal authentication information. When the number of terminal devices is equal to or more than the number of simultaneous connections, the device further comprises a simultaneous connection number control means for rejecting the connection of the terminal devices.
【0010】請求項4に記載の発明は、請求項1〜請求
項3のいずれかの項に記載の無線ネットワーク接続シス
テムであって、前記認証サーバは、前記無線アクセスポ
イントが接続を許可する端末装置のリストと、前記端末
認証情報の送信元の端末装置がアクセスした無線アクセ
スポイントを前記端末装置が利用可能であるかを前記リ
ストにより判断し、前記端末装置認証手段に通知する利
用許可確認手段を具備し、前記端末装置認証手段は、前
記利用許可確認手段から通知された接続可否情報により
前記端末装置の認証を行う、ことを特徴とする。The invention according to claim 4 is the wireless network connection system according to any one of claims 1 to 3, wherein the authentication server is a terminal to which the wireless access point permits connection. A list of devices and a use permission confirmation means for judging whether or not the wireless access point accessed by the terminal device as the transmission source of the terminal authentication information is available for the terminal device, and notifying the terminal device authentication means. The terminal device authenticating means authenticates the terminal device according to the connection availability information notified from the usage permission confirming means.
【0011】請求項5に記載の発明は、無線アクセスポ
イントと無線により通信する無線通信手段と、当該端末
装置の端末認証情報を、インターネットプロトコル網に
設置された認証サーバへ送信する端末認証情報送信手段
と、前記認証サーバから暗号鍵情報を受信し、前記無線
通信手段の通信を暗号化する暗号化無線通信手段と、ネ
ットワーク識別情報を含んだネットワークユーザ認証情
報を、ネットワークのユーザ認証機能へ送出するネット
ワークユーザ認証情報送信手段と、前記ネットワークユ
ーザ認証機能から割り当てられたIPアドレスにより前
記ネットワークとの通信を行うネットワーク通信手段
と、を具備することを特徴とする端末装置である。According to a fifth aspect of the present invention, wireless communication means for wirelessly communicating with a wireless access point, and terminal authentication information transmission for transmitting the terminal authentication information of the terminal device to an authentication server installed in the Internet protocol network. Means, an encryption wireless communication means for receiving encryption key information from the authentication server, and encrypting communication of the wireless communication means, and network user authentication information including network identification information, to a user authentication function of the network. And a network communication unit that communicates with the network by using an IP address assigned by the network user authentication function.
【0012】請求項6に記載の発明は、複数の端末装置
と無線で通信する無線通信手段と、リモートアクセスサ
ーバと通信する通信手段と、前記無線通信手段と前記通
信手段のインタフェースを相互に変換するインタフェー
ス変換手段と、認証サーバから暗号鍵情報を受信し、前
記無線通信手段の通信を暗号化する暗号化無線通信手段
と、を具備することを特徴とする無線アクセスポイント
である。According to a sixth aspect of the present invention, a wireless communication means for wirelessly communicating with a plurality of terminal devices, a communication means for communicating with a remote access server, and an interface between the wireless communication means and the communication means are mutually converted. And an encryption wireless communication unit that receives encryption key information from an authentication server and encrypts communication of the wireless communication unit.
【0013】請求項7に記載の発明は、請求項6に記載
の無線アクセスポイントであって、当該無線アクセスポ
イントの無線アクセスポイント認証情報を前記認証サー
バへ送信する認証情報送信手段を具備し、前記通信手段
は、前記認証サーバから割り当てられたIPアドレスを
使用してインターネットプロトコルによる通信を確立、
ことを特徴とする。The invention according to claim 7 is the wireless access point according to claim 6, further comprising authentication information transmitting means for transmitting the wireless access point authentication information of the wireless access point to the authentication server. The communication means establishes communication by Internet protocol using the IP address assigned by the authentication server,
It is characterized by
【0014】請求項8に記載の発明は、無線アクセスポ
イントと通信するためのインタフェースと、インターネ
ットプロトコル網と通信するためのインタフェースを相
互に変換するインタフェース変換手段と、無線アクセス
ポイントが接続を許容する端末装置の同時接続数を記憶
する記憶手段と、無線アクセスポイントに接続している
端末装置数をカウントする接続端末数カウント手段と、
前記端末認証情報を送信した端末装置がアクセスした無
線アクセスポイントの接続している前記端末装置数が、
前記同時接続数以上の時には、前記端末装置の接続を拒
否する同時接続数制御手段と、を具備することを特徴と
するリモートアクセスサーバである。According to an eighth aspect of the present invention, an interface for communicating with a wireless access point and an interface converting means for mutually converting an interface for communicating with an internet protocol network, and the wireless access point permit connection. Storage means for storing the number of simultaneously connected terminal devices; connected terminal number counting means for counting the number of terminal devices connected to the wireless access point;
The number of terminal devices connected to the wireless access point accessed by the terminal device that transmitted the terminal authentication information,
A remote access server comprising: a simultaneous connection number control means for rejecting the connection of the terminal device when the number of simultaneous connections is equal to or more.
【0015】請求項9に記載の発明は、端末装置の端末
認証情報を記憶する端末認証データベースと、端末装置
から端末認証情報を受信し、前記端末認証データベース
により認証を行う端末装置認証手段と、前記端末装置認
証手段が前記端末装置を認証した場合には、前記端末装
置と無線アクセスポイントが暗号化通信を行うための暗
号鍵情報を生成し、前記端末装置がアクセスする無線ア
クセスポイント及び前記端末装置に通知する暗号鍵情報
送信手段と、を具備することを特徴とする認証サーバで
ある。According to a ninth aspect of the present invention, there is provided a terminal authentication database for storing terminal authentication information of the terminal device, and terminal device authentication means for receiving the terminal authentication information from the terminal device and authenticating with the terminal authentication database. When the terminal device authenticating unit authenticates the terminal device, the terminal device and the wireless access point generate encryption key information for performing encrypted communication, and the wireless access point and the terminal accessed by the terminal device. And a cryptographic key information transmitting unit for notifying the device.
【0016】請求項10に記載の発明は、請求項9に記
載の認証サーバであって、無線アクセスポイントの無線
アクセスポイント認証情報を記憶する無線アクセスポイ
ント認証データベースと、無線アクセスポイントから無
線アクセスポイント認証情報を受信し、前記無線アクセ
スポイント認証データベースにより認証を行う無線アク
セスポイント認証手段と、前記無線アクセスポイント認
証手段が前記無線アクセスポイントを認証した場合に
は、前記無線アクセスポイントへ割り当てるIPアドレ
スを送信するアドレス通知手段と、を具備することを特
徴とする。The invention according to claim 10 is the authentication server according to claim 9, wherein a wireless access point authentication database for storing wireless access point authentication information of the wireless access point and a wireless access point to wireless access point. A wireless access point authenticating unit that receives authentication information and authenticates with the wireless access point authentication database, and an IP address to be assigned to the wireless access point when the wireless access point authenticating unit authenticates the wireless access point. And an address notifying means for transmitting.
【0017】請求項11に記載の発明は、請求項9また
は請求項10に記載の認証サーバであって、無線アクセ
スポイントが接続を許可する端末装置のリストと、前記
端末認証情報の送信元の端末装置がアクセスした無線ア
クセスポイントを利用可能であるかを前記リストにより
判断し、前記端末装置認証手段に通知する利用許可確認
手段を具備し、前記端末装置認証手段は、前記利用許可
確認手段のから通知された接続可否情報により前記端末
装置の認証を行う、ことを特徴とする。The invention according to claim 11 is the authentication server according to claim 9 or 10, wherein a list of terminal devices permitted to be connected by the wireless access point and a transmission source of the terminal authentication information. It is provided with a use permission confirmation means for determining whether the wireless access point accessed by the terminal device can be used from the list and notifying the terminal device authentication means, wherein the terminal device authentication means is The terminal device is authenticated based on the connection availability information notified from the terminal device.
【0018】[0018]
【発明の実施の形態】以下、図面を参照し、この発明の
実施の形態について説明する。図1は、この発明の一実
施の形態による無線ネットワーク接続システムの構成を
示す図である。この図において、1はユーザの端末装
置、1Cは端末装置1に装着された無線LANカード、
2は無線アクセスポイント(以下、無線AP)である。
この無線AP2は、無線アクセスポイント装置(以下、
無線AP装置)2aと無線LANユーザ認証サーバ接続
装置2bとから構成されている。3はリモートアクセス
サーバ(以下、RAS)、4は認証機能である。この認
証機能4は、網終端装置4a、無線アクセスポイント認
証サーバ(以下、無線AP認証サーバ)4b、無線LA
Nユーザ認証サーバ4c、カスコンサーバ4dから構成
されている。また、5は振り分けサーバ、6−1、6−
2は網終端装置、7−1、7−2は認証サーバである。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is a diagram showing a configuration of a wireless network connection system according to an embodiment of the present invention. In this figure, 1 is a terminal device of a user, 1C is a wireless LAN card attached to the terminal device 1,
Reference numeral 2 is a wireless access point (hereinafter, wireless AP).
This wireless AP 2 is a wireless access point device (hereinafter,
The wireless AP device) 2a and the wireless LAN user authentication server connection device 2b. Reference numeral 3 is a remote access server (hereinafter referred to as RAS), and 4 is an authentication function. The authentication function 4 includes a network terminating device 4a, a wireless access point authentication server (hereinafter, wireless AP authentication server) 4b, and a wireless LA.
It is composed of an N user authentication server 4c and a cascon server 4d. Also, 5 is a distribution server, 6-1 and 6-
2 is a network terminator, and 7-1 and 7-2 are authentication servers.
【0019】無線LANユーザは端末装置1を所有して
おり、通信事業者の提供する無線ネットワーク接続の無
線LANユーザサービスに加入し、無線LANユーザ自
身を証明するための無線LANユーザ認証キーの配布を
受ける。さらに無線LANユーザは、インターネットサ
ービスプロバイダ(以下、ISP)の提供するインター
ネットサービスに加入するか、あるいは、一般企業の企
業内ネットワークへのアクセス権限を保有している。そ
して、無線LANユーザの端末装置1は、ステップS2
1で示す様に接続先のネットワークを指定することで、
不特定の無線AP設置者の設置する無線AP2を介して
インターネットMあるいは企業内ネットワークLと接続
する。The wireless LAN user owns the terminal device 1, subscribes to the wireless LAN user service of the wireless network connection provided by the communication carrier, and distributes the wireless LAN user authentication key for certifying the wireless LAN user himself. Receive. Further, the wireless LAN user subscribes to an internet service provided by an internet service provider (hereinafter, referred to as ISP) or has an access right to a corporate network of a general enterprise. Then, the terminal device 1 of the wireless LAN user operates in step S2.
By specifying the network of the connection destination as shown in 1,
It connects to the Internet M or the corporate network L via the wireless AP 2 installed by an unspecified wireless AP installer.
【0020】無線AP設置者は、無線AP2を所有して
おり、無線ネットワーク接続のためのアクセスポイント
を無線LANユーザへ提供するため、通信事業者の提供
するAPのホストサービスに加入し、無線AP認証情報
の配布を受ける。そして、無線LANユーザの端末装置
1のアクセス要求を受け付け、インターネットMあるい
は企業内ネットワークLへの接続を提供するため、通信
事業者のIP網Nへ接続する。The wireless AP installer owns the wireless AP 2, and in order to provide the wireless LAN user with an access point for connecting to the wireless network, he / she subscribes to the host service of the AP provided by the communication carrier, Receive authentication information. Then, the access request of the terminal device 1 of the wireless LAN user is accepted, and in order to provide the connection to the Internet M or the corporate network L, the wireless LAN user is connected to the IP network N of the communication carrier.
【0021】通信事業者は、IP網Nを保有し、IP網
N上にRAS3、認証機能4、振り分けサーバ5、網終
端装置6−1及び網終端装置6−2(以下、網終端装置
6−1、網終端装置6−2を網終端装置6と記述する)
を設置する。また、無線LANユーザによる無線ネット
ワーク接続を可能とする無線LANユーザサービスと、
無線AP設置者が無線LANユーザに対し無線ネットワ
ークへの接続を許容するホストサービスと、ISP及び
一般企業へ網終端装置6を介した相互接続サービスを提
供する。そして通信事業者は、無線AP2を介した無線
LANユーザからのアクセス要求に対して、認証機能4
における無線AP認証(ステップS22)及び無線LA
Nユーザ認証(ステップS23)を実施する。その後、
無線LANユーザが指定した接続先ネットワークが無線
LANユーザを認証するための接続先認証情報を送出す
るとともに(ステップS24)、無線LANユーザが指
定した接続先ネットワークであるISPや一般企業へル
ーチングする(ステップS25)。The telecommunications carrier owns the IP network N, and the RAS 3, the authentication function 4, the distribution server 5, the network terminating device 6-1 and the network terminating device 6-2 (hereinafter referred to as the network terminating device 6) on the IP network N. -1, the network terminating device 6-2 is described as the network terminating device 6)
Set up. In addition, a wireless LAN user service that enables a wireless network connection by a wireless LAN user,
The wireless AP installer provides a host service that allows wireless LAN users to connect to a wireless network, and an interconnection service via the network terminating device 6 to ISPs and general companies. Then, the communication carrier responds to the access request from the wireless LAN user via the wireless AP 2 with the authentication function 4
AP authentication (step S22) and wireless LA in
N user authentication (step S23) is performed. afterwards,
The connection destination network designated by the wireless LAN user sends connection destination authentication information for authenticating the wireless LAN user (step S24), and also routes to the connection destination network designated by the wireless LAN user, the ISP or a general company ( Step S25).
【0022】ISPは認証サーバ7−1を、一般企業は
認証サーバ7−2を保有し、通信事業者の提供するIP
網Nとの相互接続サービスを受ける。そして、ISPは
インターネットMへのアクセスを実現するインターネッ
トサービスを、また、一般企業は、企業内ネットワーク
Lへの接続を無線LANユーザへ提供する。ISP及び
一般企業は、通信事業者からルーチングされた無線LA
Nユーザを認証することで、無線LANユーザとの通信
を可能にする(ステップS26)。The ISP has the authentication server 7-1 and the general enterprise has the authentication server 7-2, and the IP provided by the communication carrier.
Receive interconnection service with network N. The ISP provides the Internet service for realizing the access to the Internet M, and the general company provides the wireless LAN user with the connection to the in-company network L. ISPs and general companies use wireless LA routed from telecommunications carriers.
By authenticating the N user, communication with the wireless LAN user is enabled (step S26).
【0023】次に、各ノードについて説明する。端末装
置1は、例えばパーソナルコンピュータであり、無線L
ANカード1Cを制御する無線LANカード制御手段を
有する。また、端末装置1は、PPP(Point to Point
Protocol)などにより、TCP/IP(Transmission
ControlProtocol/Internet Protocol)による通信を実
現するプロトコルを備える。さらに、端末装置1は、ユ
ーザ認証サーバ7−1、ユーザ認証サーバ7−2(以
下、ユーザ認証サーバ7−1、ユーザ認証サーバ7−2
をユーザ認証サーバ7と記述する)におけるユーザ認証
のためのネットワークユーザ認証情報を記憶している。
ネットワークユーザ認証情報は、
・ネットワーク接続用ユーザID(接続先ネットワーク
がユーザを識別するための情報)
・ネットワーク接続用パスワード(接続先ネットワーク
がユーザを認証するためのパスワード)
から構成される。なお、ネットワーク接続用ユーザID
は、無線LANユーザIDの後ろに接続先ネットワーク
の識別名を「@」マーク以下に付けることで構成され
る。例えば、無線LANユーザIDが「user1」であ
り、接続先ネットワークの識別名が「aaa.aaa」である
ネットワーク接続用ユーザID「user01@aaa.aaa」で示
される。Next, each node will be described. The terminal device 1 is, for example, a personal computer, and a wireless L
It has a wireless LAN card control means for controlling the AN card 1C. In addition, the terminal device 1 uses a PPP (Point to Point).
TCP / IP (Transmission
It is equipped with a protocol that realizes communication by ControlProtocol / Internet Protocol. Further, the terminal device 1 includes a user authentication server 7-1 and a user authentication server 7-2 (hereinafter, user authentication server 7-1 and user authentication server 7-2.
Network authentication information for user authentication in the user authentication server 7).
The network user authentication information consists of: a network connection user ID (information for the connection destination network to identify the user), and a network connection password (password for the connection destination network to authenticate the user). User ID for network connection
Consists of the wireless LAN user ID followed by the identification name of the destination network under the "@" mark. For example, the wireless LAN user ID is “user1”, and the identification name of the connection destination network is “aaa.aaa”, which is indicated by the network connection user ID “user01@aaa.aaa”.
【0024】無線LANカード1Cは、無線AP2と通
信するためのIEEE802.11bなどの無線方式に
よる無線通信手段を備え、認証機能4における認証のた
めの無線LANユーザ認証キーを記憶している。無線L
ANユーザ認証キーは、
・無線LANユーザID(無線LANユーザを識別する
ための情報)
・デジタル証明書(第三者機関から発行され、無線LA
Nユーザを認証する情報)
から構成される。The wireless LAN card 1C is provided with a wireless communication means by a wireless system such as IEEE802.11b for communicating with the wireless AP 2, and stores a wireless LAN user authentication key for authentication in the authentication function 4. Wireless L
The AN user authentication key includes: -Wireless LAN user ID (information for identifying a wireless LAN user) -Digital certificate (issued by a third-party organization, wireless LA
N user authentication information).
【0025】無線AP2において、無線AP装置2a
は、具体的には、CPUならびにメモリを含む周辺LS
Iで構成され、CPUがメモリに記録されたプログラム
を読み出し逐次実行することにより、以下の機能を実現
するものである。無線アクセスポイント装置2aは、端
末装置1と通信するためのIEEE802.11bなど
の無線方式による無線通信手段を備える。また、TCP
/IPによる通信を実現するプロトコルを備え、通信事
業者からIPアドレスが割り当てられている。さらに、
認証機能4と暗号化通信をするためのシークレットキー
を記憶している。In the wireless AP 2, the wireless AP device 2a
Is a peripheral LS including a CPU and a memory.
The CPU implements the following functions by reading the program recorded in the memory and sequentially executing it. The wireless access point device 2a includes a wireless communication means for communicating with the terminal device 1 by a wireless system such as IEEE802.11b. Also, TCP
/ IP is provided with a protocol for realizing communication, and an IP address is assigned by a communication carrier. further,
The secret key for performing encrypted communication with the authentication function 4 is stored.
【0026】無線LANユーザ認証サーバ接続装置2b
は、具体的には、CPUならびにメモリを含む周辺LS
Iで構成され、CPUがメモリに記録されたプログラム
を読み出し逐次実行することにより、以下の機能を実現
するものである。無線LANユーザ認証サーバ接続装置
2bは、RAS3と通信するためxDSL(Digital Su
bscriber Line)、ISDN(Integrated Services dig
ital Network)などによる通信手段と、PPPなどによ
りTCP/IPによる通信を実現するプロトコルを備え
る。さらに、無線LANユーザ認証サーバ接続装置2b
は、認証機能4における無線AP認証のための無線AP
認証情報を記憶している。無線AP認証情報は、
・無線APユーザID(無線APを識別するための情
報)
・パスワード
から構成される。Wireless LAN user authentication server connection device 2b
Is a peripheral LS including a CPU and a memory.
The CPU implements the following functions by reading the program recorded in the memory and sequentially executing the program. The wireless LAN user authentication server connection device 2b communicates with the RAS 3 so that the xDSL (Digital Sustain
bscriber Line), ISDN (Integrated Services dig)
It has a communication means such as an ital network) and a protocol for realizing communication by TCP / IP such as PPP. Furthermore, the wireless LAN user authentication server connection device 2b
Is a wireless AP for authenticating a wireless AP in the authentication function 4.
It stores the authentication information. The wireless AP authentication information is composed of: a wireless AP user ID (information for identifying the wireless AP) and a password.
【0027】RAS3は、具体的には、CPUならびに
メモリを含む周辺LSIで構成され、CPUがメモリに
記録されたプログラムを読み出し逐次実行することによ
り、以下の機能を実現するものである。RAS3は、無
線LANユーザ認証サーバ接続装置2bと通信するため
のxDSLやISDNなどによる通信手段を備え、さら
に、TCP/IPによる通信を実現するプロトコルを備
える。また、RAS3は、後述する振り分けサーバ5と
連携して、端末装置1から送信されたデータをどこに転
送するかのルーチングを決定する機能と、無線AP2に
同時に接続可能な端末装置1の数を管理する機能を実現
する。Specifically, the RAS 3 is composed of a peripheral LSI including a CPU and a memory, and realizes the following functions by the CPU reading and sequentially executing a program recorded in the memory. The RAS 3 includes a communication unit such as xDSL or ISDN for communicating with the wireless LAN user authentication server connection device 2b, and further includes a protocol for realizing TCP / IP communication. Further, the RAS 3 manages the function of determining where to transfer the data transmitted from the terminal device 1 and the number of the terminal devices 1 that can be simultaneously connected to the wireless AP 2, in cooperation with the distribution server 5 described later. Realize the function to do.
【0028】認証機能4は、無線LANユーザ及び無線
APの認証機能を実現する。この認証機能4において、
網終端装置4aは具体的には、CPUならびにメモリを
含む周辺LSIで構成され、CPUがメモリに記録され
たプログラムを読み出し逐次実行することにより、以下
の機能を実現するものである。網終端装置4aは、IP
網Nを終端し、認証機能4との接続を実現する相互接続
機能を備える。また、網終端装置4aはTCP/IPに
よる通信を実現するプロトコルを備える。The authentication function 4 realizes the authentication function of the wireless LAN user and the wireless AP. In this authentication function 4,
Specifically, the network terminating device 4a is composed of a peripheral LSI including a CPU and a memory, and the CPU reads and sequentially executes a program recorded in the memory to realize the following functions. The network terminator 4a is an IP
It has an interconnection function that terminates the network N and realizes connection with the authentication function 4. Further, the network terminating device 4a has a protocol for realizing communication by TCP / IP.
【0029】無線AP認証サーバ4bは、具体的には、
CPUならびにメモリを含む周辺LSIで構成され、C
PUがメモリに記録されたプログラムを読み出し逐次実
行することにより、以下の機能を実現するものである。
無線AP認証サーバ4bは、TCP/IPによる通信を
実現するプロトコルと、無線AP2を認証するための機
能を備える。また、無線AP2を認証するための無線A
P認証情報データベースを記憶している。本実施の形態
では、無線AP認証情報データベースには以下が記憶さ
れている。
無線APユーザID パスワード シークレットキー
user1@aaa.aaa pass01
user2@bbb.bbb pass02
user3@ccc.ccc pass03
: :
ただし、シークレットキーは、無線AP装置2aと暗号
化通信を行うために使用する情報である。The wireless AP authentication server 4b, specifically,
Consists of a peripheral LSI including a CPU and memory, C
The following functions are realized by the PU reading the program recorded in the memory and sequentially executing it.
The wireless AP authentication server 4b has a protocol for realizing communication by TCP / IP and a function for authenticating the wireless AP 2. In addition, the wireless A for authenticating the wireless AP 2
It stores the P authentication information database. In the present embodiment, the following is stored in the wireless AP authentication information database. Wireless AP user ID password secret key user1@aaa.aaa pass01 user2@bbb.bbb pass02 user3@ccc.ccc pass03 :: However, the secret key is the information used to perform encrypted communication with the wireless AP device 2a. .
【0030】無線LANユーザ認証サーバ4cは、具体
的には、CPUならびにメモリを含む周辺LSIで構成
され、CPUがメモリに記録されたプログラムを読み出
し逐次実行することにより、以下の機能を実現するもの
である。無線LANユーザ認証サーバ4cは、TCP/
IPによる通信を実現するプロトコルと、端末装置1を
認証するための機能と、端末装置1がアクセスした無線
AP2を使用してよいかを判断する機能を備える。ま
た、端末装置1を認証するための無線LANユーザ認証
情報データベースを記憶している。無線LANユーザ認
証情報データベースは、
・無線LANユーザID
・デジタル証明書情報
からなるレコードで構成される。また、上記のデジタル
証明書情報は、
・デジタル証明書
・デジタル証明書の有効期限
・デジタル証明書の暗号化・復号化のためのアルゴリズ
ム
・鍵長(デジタル証明書の暗号化・復号化に使用する鍵
情報の長さ)
から構成される。本実施の形態では、無線LANユーザ
認証情報データベースは
・無線LANユーザID:user01
・デジタル証明書情報
と、
・無線LANユーザID:user02
・デジタル証明書情報
と、
・無線LANユーザID:user03
・デジタル証明書情報
等のレコードの組を記憶している。The wireless LAN user authentication server 4c is specifically composed of a peripheral LSI including a CPU and a memory, and realizes the following functions by the CPU reading and sequentially executing a program recorded in the memory. Is. The wireless LAN user authentication server 4c uses TCP /
It has a protocol for realizing communication by IP, a function for authenticating the terminal device 1, and a function for determining whether to use the wireless AP 2 accessed by the terminal device 1. It also stores a wireless LAN user authentication information database for authenticating the terminal device 1. The wireless LAN user authentication information database is composed of records including: wireless LAN user ID and digital certificate information. In addition, the above digital certificate information is: -Digital certificate-Expiration date of digital certificate-Algorithm for encryption / decryption of digital certificate-Key length (Use for encryption / decryption of digital certificate Key information length). In the present embodiment, the wireless LAN user authentication information database is: wireless LAN user ID: user01, digital certificate information, wireless LAN user ID: user02, digital certificate information, wireless LAN user ID: user03, digital Stores a set of records such as certificate information.
【0031】カスコンサーバ4dは、具体的には、CP
Uならびにメモリを含む周辺LSIで構成され、CPU
がメモリに記録されたプログラムを読み出し逐次実行す
ることにより、以下の機能を実現するものである。カス
コンサーバ4dは、TCP/IPによる通信を実現する
プロトコルを備え、無線AP2が使用を許可するユーザ
を登録したデータベースを記憶している。そして、この
データベースにより、無線LANユーザ認証サーバ4c
に対して端末装置1が無線AP2にアクセス可能か否か
を判断するための情報を通知する機能を備える。Specifically, the cascon server 4d is a CP.
CPU composed of peripheral LSI including U and memory
The following functions are realized by reading out the program recorded in the memory and sequentially executing it. The cascon server 4d includes a protocol that realizes communication by TCP / IP, and stores a database in which the users permitted to use the wireless AP 2 are registered. Then, by using this database, the wireless LAN user authentication server 4c
Is provided with a function of notifying the terminal device 1 of information for determining whether or not the terminal device 1 can access the wireless AP 2.
【0032】振り分けサーバ5は、具体的には、CPU
ならびにメモリを含む周辺LSIで構成され、CPUが
メモリに記録されたプログラムを読み出し逐次実行する
ことにより、以下の機能を実現するものである。振り分
けサーバ5は、RAS3からの問合せにより端末装置1
から受信した接続先ネットワーク(ISP/一般企業)
の情報からルーチング先の網終端装置6を通知する機能
と、TCP/IPによる通信を実現するプロトコルを備
える。そして、ルーチング先を決定するための振り分け
先データベースを記憶している。振り分け先データベー
スは、
・ネットワーク接続用ユーザID
・IPアドレス(ルーチング先の網終端装置6のIPア
ドレス)
・振り分け先(網終端装置6の識別名)
のレコードの組から構成される。ただし、ネットワーク
接続用ユーザIDの構成は、端末装置1が記憶している
ネットワーク接続用ユーザIDと同じ構成である。本実
施の形態では、振り分け先データベースには、以下が記
憶されている。
ネットワーク接続用ユーザID IPアドレス 振り分け先
user01@aaa.aaa 10.x.x.x プロバイダA網終端装置
user01@bbb.bbb 10.x.x.y プロバイダB網終端装置
user01@ccc.ccc 10.x.x.z プロバイダC網終端装置
: : :The distribution server 5 is specifically a CPU
In addition, the CPU is configured by a peripheral LSI including a memory, and the CPU reads and sequentially executes a program recorded in the memory to realize the following functions. The distribution server 5 responds to the inquiry from the RAS 3 by the terminal device 1
Destination network (ISP / general enterprise) received from
It has a function of notifying the network terminating device 6 of the routing destination from the information of 1. and a protocol for realizing communication by TCP / IP. The distribution destination database for determining the routing destination is stored. The distribution destination database is composed of a set of records of a user ID for network connection, an IP address (IP address of the network terminating device 6 at the routing destination), and a distribution destination (identification name of the network terminating device 6). However, the network connection user ID has the same configuration as the network connection user ID stored in the terminal device 1. In the present embodiment, the distribution destination database stores the following. User ID for network connection IP address distribution destination user01@aaa.aaa 10.xxx Provider A network terminating device user01@bbb.bbb 10.xxy Provider B network terminating device user01@ccc.ccc 10.xxz Provider C network terminating device :: :
【0033】網終端装置6は、網終端装置4aと同様の
機能を持つ。ただし、網終端装置装置6はネットワーク
の識別名を保有し、この識別名を持つ通信パケットを通
過させて、インターネット網Mや企業内ネットワークL
と相互接続機能を実現する。The network terminating device 6 has the same function as the network terminating device 4a. However, the network terminating device 6 holds the identification name of the network, and passes the communication packet having this identification name to the Internet network M or the corporate network L.
And realize the interconnection function.
【0034】認証サーバ7は、具体的には、CPUなら
びにメモリを含む周辺LSIで構成され、CPUがメモ
リに記録されたプログラムを読み出し逐次実行すること
により、以下の機能を実現するものである。Cは、TC
P/IPによる通信を実現するプロトコルを備え、端末
装置1がインターネットMあるいは企業内ネットワーク
Lへの接続することを許可するため認証を行うユーザ認
証手段を備える。Specifically, the authentication server 7 is composed of a peripheral LSI including a CPU and a memory, and realizes the following functions by the CPU reading and sequentially executing a program recorded in the memory. C is TC
A protocol for realizing communication by P / IP is provided, and a user authentication unit for performing authentication to permit the terminal device 1 to connect to the Internet M or the corporate network L is provided.
【0035】次に、端末装置1がインターネット網M/
企業内ネットワークLへ接続する手順について説明す
る。図2は、端末装置1がインターネット網M/企業内
ネットワークLへ接続する接続シーケンスを示す。ま
ず、無線LANユーザが端末装置1を操作することで、
無線LANユーザとしての接続を要求する(ステップS
40)。この場合、端末装置1は、無線LANユーザ認
証情報(IF41)を送出する。無線LANユーザ認証
情報(IF41)には、無線LANカード1Cの無線L
ANユーザキーに記憶されている無線LANユーザID
と、暗号化したデジタル証明書を設定する。Next, the terminal device 1 is connected to the Internet network M /
A procedure for connecting to the corporate network L will be described. FIG. 2 shows a connection sequence in which the terminal device 1 connects to the Internet network M / company network L. First, a wireless LAN user operates the terminal device 1,
Request a connection as a wireless LAN user (step S
40). In this case, the terminal device 1 sends the wireless LAN user authentication information (IF41). The wireless LAN user authentication information (IF41) includes the wireless L of the wireless LAN card 1C.
Wireless LAN user ID stored in the AN user key
And set the encrypted digital certificate.
【0036】無線AP2がこの無線LANユーザ認証情
報(IF41)を受信した時に、まだ無線APの認証が
なされていない場合には、無線AP2は無線AP認証サ
ーバ4bに対して無線APとしての認証を要求すること
で無線AP認証手順が実行される(ステップS42)。
なお、この無線AP認証手順については、後述する。When the wireless AP 2 receives this wireless LAN user authentication information (IF41), if the wireless AP has not been authenticated yet, the wireless AP 2 authenticates the wireless AP authentication server 4b as a wireless AP. By making the request, the wireless AP authentication procedure is executed (step S42).
The wireless AP authentication procedure will be described later.
【0037】続いて、無線AP2は後述するステップS
42の無線AP認証手順で確立された暗号化通信によ
り、受信した無線LANユーザ認証情報(IF41)
を、無線LANユーザ認証情報(IF43)としてRA
S3へ送信する。すると、RAS3は、この無線LAN
ユーザからの接続が、無線AP設置者の設定した同時接
続数の上限値の範囲内であるかを判断する(ステップS
44)。なお、この同時接続数の判断の手順について
は、後述する。Then, the wireless AP 2 performs step S described later.
The wireless LAN user authentication information (IF41) received by the encrypted communication established by the wireless AP authentication procedure 42.
As the wireless LAN user authentication information (IF43)
Send to S3. Then, RAS3 will use this wireless LAN.
It is determined whether the connection from the user is within the upper limit of the number of simultaneous connections set by the wireless AP installer (step S).
44). The procedure for determining the number of simultaneous connections will be described later.
【0038】RAS3は、この無線LANユーザからの
接続が、無線AP設置者の設定した同時接続数の上限値
の範囲内であると判断した場合には、受信した無線LA
Nユーザ認証情報(IF43)を無線LANユーザ認証
サーバ4cに無線LANユーザ認証情報(IF45)と
して送信する。When the RAS 3 determines that the connection from the wireless LAN user is within the upper limit of the number of simultaneous connections set by the wireless AP installer, the received wireless LA is received.
The N user authentication information (IF43) is transmitted to the wireless LAN user authentication server 4c as wireless LAN user authentication information (IF45).
【0039】無線LANユーザ認証サーバ4cは、受信
した無線LANユーザ認証情報(IF45)に含まれて
いる無線LANユーザIDによって無線LANユーザ認
証情報データベースを検索し、読み出したデジタル証明
書の有効期限から、受信したデジタル証明書が有効であ
ることを確認するとともに、鍵長及びアルゴリズムを使
用して受信したデジタル証明書を復号化する。そして、
無線LANユーザ認証情報データベースに記憶されてい
るデジタル証明書と、復号化されたデジタル証明書を比
較する。さらに、この無線LANユーザがアクセスした
無線AP2を使用してよいかのアクセス権限を判断する
ことにより端末装置1を認証する。なお、アクセス権限
の有無の判断の手順については、後述する。そして、無
線LANユーザ認証サーバ4cは、無線AP装置2aと
端末装置1間の無線データの通信を保護するための暗号
化通信で使用するためのキーであるWEP(Wire Equip
ment Privacy)キーを生成する(ステップS46)。The wireless LAN user authentication server 4c searches the wireless LAN user authentication information database by the wireless LAN user ID included in the received wireless LAN user authentication information (IF45), and determines the expiration date of the read digital certificate. Confirm that the received digital certificate is valid, and use the key length and algorithm to decrypt the received digital certificate. And
The digital certificate stored in the wireless LAN user authentication information database is compared with the decrypted digital certificate. Further, the terminal device 1 is authenticated by determining the access authority to use the wireless AP 2 accessed by the wireless LAN user. The procedure for determining whether or not the user has access authority will be described later. Then, the wireless LAN user authentication server 4c is a key used for encrypted communication for protecting wireless data communication between the wireless AP device 2a and the terminal device WEP (Wire Equip).
ment Privacy) key is generated (step S46).
【0040】無線LANユーザ認証サーバ4cは、認証
許可を行い(IF47)、無線AP装置2a用及び端末
装置1用のWEPキーを無線AP2へ送出する。認証許
可(IF47)を受信した無線AP2は、受信した無線
AP装置2aのWEPキーを無線AP装置2aに記憶す
る。そして、受信した端末装置1用のWEPキーを端末
装置1に送付し(IF48)、端末装置1は受信した端
末装置1用のWEPキーを記憶することにより、これ以
降の端末装置1と無線AP装置2aの無線区間の暗号化
通信が可能となる。The wireless LAN user authentication server 4c permits the authentication (IF47) and sends the WEP keys for the wireless AP device 2a and the terminal device 1 to the wireless AP 2. The wireless AP 2 that has received the authentication permission (IF47) stores the received WEP key of the wireless AP device 2a in the wireless AP device 2a. Then, the received WEP key for the terminal device 1 is sent to the terminal device 1 (IF48), and the terminal device 1 stores the received WEP key for the terminal device 1, so that the subsequent terminal device 1 and the wireless AP are stored. The encrypted communication in the wireless section of the device 2a becomes possible.
【0041】次に端末装置1は、ネットワーク(インタ
ーネット網Mまたは企業内ネットワークL)への接続を
要求する(ステップS51)。すなわち、端末装置1
は、無線AP2を介してRAS3へネットワーク接続用
ユーザIDとネットワーク識別用パスワードを設定した
ネットワーク認証情報(IF52)をPPPで送出す
る。Next, the terminal device 1 requests a connection to the network (Internet network M or company network L) (step S51). That is, the terminal device 1
Sends the network authentication information (IF52) in which the network connection user ID and the network identification password are set to the RAS 3 via the wireless AP 2 by PPP.
【0042】ネットワーク認証情報(IF52)を受信
したRAS3は、ネットワーク接続用ユーザIDからル
ーチング先の網終端装置6を決定する(ステップS5
4)。すなわち、RAS3は、振り分けサーバ5へネッ
トワーク接続用ユーザIDを送信し、振り分けサーバ5
は、受信したネットワーク接続用ユーザIDで振り分け
先データベースを検索することにより、IPアドレス及
び振り分け先を取得して、RAS3に返送する。例え
ば、ネットワーク認証情報(IF52)として設定され
ていたネットワーク接続用ユーザIDが、「user1@aaa.
aaa」であった場合には、IPアドレス「10.x.x.x」と
振り分け先「プロバイダA網終端装置」がRAS3へ通
知される。Upon receiving the network authentication information (IF52), the RAS 3 determines the network terminator 6 to which routing is to be performed based on the user ID for network connection (step S5).
4). That is, the RAS 3 transmits the network connection user ID to the distribution server 5, and the distribution server 5
Acquires the IP address and the distribution destination by searching the distribution destination database with the received network connection user ID, and returns the IP address and the distribution destination to the RAS 3. For example, the user ID for network connection set as the network authentication information (IF52) is "user1 @ aaa.
If it is “aaa”, the IP address “10.xxx” and the distribution destination “provider A network terminating device” are notified to the RAS 3.
【0043】RAS3はネットワーク認証情報(IF5
2)を、振り分けサーバ5から通知された振り分け先で
示される網終端装置6へネットワーク認証情報(IF5
6)として送信し、網終端装置6はそのネットワーク認
証情報(IF56)をさらに相互接続されるISP/一
般企業の認証サーバ7へ転送する。認証サーバ7は、受
信したネットワーク接続用ユーザID及びネットワーク
接続用パスワードで無線LNAユーザを認証する(ステ
ップS57)。RAS3 is network authentication information (IF5
2) to the network terminating device 6 indicated by the distribution destination notified from the distribution server 5 to the network authentication information (IF5
6), the network terminating device 6 transfers the network authentication information (IF56) to the authentication server 7 of the ISP / general enterprise which is further interconnected. The authentication server 7 authenticates the wireless LNA user with the received network connection user ID and network connection password (step S57).
【0044】認証サーバ7は、無線LANユーザを認証
すると、端末装置1に割り当てるIPアドレスを端末装
置1へ通知する(IF58;IPアドレスの割当)。I
Pアドレスを受信した端末装置1は、通知されたIPア
ドレスを使用してインターネットM/企業内ネットワー
クLとIP通信を実行する。Upon authenticating the wireless LAN user, the authentication server 7 notifies the terminal device 1 of the IP address to be allocated to the terminal device 1 (IF58; IP address allocation). I
The terminal device 1 that has received the P address executes IP communication with the Internet M / company network L using the notified IP address.
【0045】無線LANユーザはネットワークとの通信
を終了したいとき、ISPとの切断を要求するための操
作を実行する(ステップS60)。すなわち、端末装置
1は、ネットワークとの切断要求(IF61)を網終端
装置6へ送出する。すると、網終端装置6は、切断処理
(IF62)をRAS3へ送出し、RAS3は端末装置
1に対して解放(IF63)を送出する。端末装置1
が、解放通知(IF63)を受信すると、以後、無線区
間通信が解放される(ステップS64)。When the wireless LAN user wants to end the communication with the network, he or she executes an operation for requesting disconnection with the ISP (step S60). That is, the terminal device 1 sends a disconnection request (IF 61) to the network to the network terminating device 6. Then, the network terminating device 6 sends a disconnection process (IF62) to the RAS3, and the RAS3 sends a release (IF63) to the terminal device 1. Terminal device 1
However, when the release notification (IF63) is received, the wireless section communication is released thereafter (step S64).
【0046】次に、図2のステップS42で実行される
無線AP認証手順を説明する。図3は、無線AP認証の
シーケンスを示す図である。無線LANユーザ認証サー
バ接続装置2bは自身の記憶している無線APユーザI
Dとパスワードを設定した無線AP認証情報(IF42
−1)をPPPによりRAS3へ送出する。RAS3
は、受信した無線AP認証情報を網終端装置4aへ転送
する(IF42−1)。網終端装置4aは、その無線A
P認証情報をさらに無線AP認証サーバ4bへ転送する
(IF42−3)。Next, the wireless AP authentication procedure executed in step S42 of FIG. 2 will be described. FIG. 3 is a diagram showing a wireless AP authentication sequence. The wireless LAN user authentication server connection device 2b stores the wireless AP user I stored in itself.
Wireless AP authentication information (IF42 with D and password set
-1) is sent to RAS3 by PPP. RAS3
Transfers the received wireless AP authentication information to the network terminating device 4a (IF42-1). The network terminating device 4a uses the wireless A
The P authentication information is further transferred to the wireless AP authentication server 4b (IF42-3).
【0047】無線AP認証サーバ4bは、この受信した
無線AP認証情報(IF42−3)に含まれている無線
APユーザIDで無線AP認証情報データベースを検索
してパスワードとシークレットキーを読み出し、読み出
したパスワードと受信したパスワードを照合して無線A
P2を認証する。(ステップS42−4)。例えば、無
線LANユーザ認証サーバ接続装置2bが記憶している
無線APユーザID「user1@aaa.aaa」とパスワード「p
ass01」を無線AP認証サーバ4bが受信した場合、無
線AP認証サーバ4bは無線APユーザID「user1@aa
a.aaa」で無線APデータベースを検索し、読み出され
たパスワード「pass01」と、受信したパスワードを比較
することで、無線AP2を認証する。そして、無線AP
ユーザID「user1@aaa.aaa」に対応するシークレット
キーを読み出す。The wireless AP authentication server 4b searches the wireless AP authentication information database with the wireless AP user ID included in the received wireless AP authentication information (IF42-3), reads the password and the secret key, and reads them. Check the password and the received password to confirm wireless A
Authenticate P2. (Step S42-4). For example, the wireless AP user ID “user1@aaa.aaa” and the password “p stored in the wireless LAN user authentication server connection device 2b are stored.
When the wireless AP authentication server 4b receives "ass01", the wireless AP authentication server 4b determines that the wireless AP user ID "user1 @ aa".
The wireless AP 2 is authenticated by searching the wireless AP database with “a.aaa” and comparing the read password “pass01” with the received password. And wireless AP
The secret key corresponding to the user ID "user1@aaa.aaa" is read.
【0048】無線AP2の認証が成功すると、無線LA
Nユーザ認証サーバ接続装置2bのIP通信を可能とす
るために、無線AP認証サーバ4bは、無線LANユー
ザ認証サーバ接続装置2bに割り当てるIPアドレス
と、無線AP装置2aと無線LANユーザ認証サーバ接
続装置2bをIPアドレスでグループ化するためのネッ
トマスクとから構成される無線AP接続情報を含んだ無
線AP認証結果(IF42−5)を無線LANユーザ認
証サーバ接続装置2bへ返送する。無線LANユーザ認
証サーバ接続装置2bはIPアドレスを取得するととも
に、無線AP装置2aに記憶されているシークレットキ
ーと無線AP認証サーバ4bが読み出したシークレット
キーを用いて、認証機能4との暗号化通信を確立する。When the wireless AP 2 is successfully authenticated, the wireless LA
To enable the IP communication of the N user authentication server connection device 2b, the wireless AP authentication server 4b assigns the IP address to the wireless LAN user authentication server connection device 2b, the wireless AP device 2a and the wireless LAN user authentication server connection device. A wireless AP authentication result (IF42-5) including wireless AP connection information composed of a netmask for grouping 2b by IP address is returned to the wireless LAN user authentication server connection device 2b. The wireless LAN user authentication server connection device 2b acquires an IP address and uses the secret key stored in the wireless AP device 2a and the secret key read by the wireless AP authentication server 4b to perform encrypted communication with the authentication function 4. Establish.
【0049】次に、図2のステップS44でRAS3
が、無線LANユーザからの接続が無線AP設置者の設
定した同時接続数の上限値の範囲内であるかを判断する
ための手順を説明する。図4は、RAS3への同時接続
数の登録及びRAS3の同時接続数の判断の手順を示す
図である。まず、無線AP設置者は、自身の設置する無
線APを同時に使用可能な無線LANユーザ数を通信事
業者に申請し(ステップS44−1)、通信事業者は、
RAS3に無線AP設置者が申請した無線LANユーザ
数を登録する(ステップS44−2)。すなわち、図に
おいて、無線AP設置者が無線AP2に同時接続の上限
値として、例えば無線LNAユーザ数「2人」を通信事
業者に申請すると(ステップS44−1)、RAS3に
は、無線LANユーザ認証サーバ接続装置2bに接続さ
れる物理回線に対して同時接続の上限値「2人」が登録
され(ステップS44−2)、この同時接続の上限値内
での無線LANユーザの同時接続を許可する。RAS3
は、無線LANユーザ認証情報(IF43)を受信して
(図2)セッションを確立したときに無線AP設置者装
置2の同時接続数が1増えたと認識し、切断処理(IF
62)を受信して(図2)セッションを解放したときに
同時接続数が1減ったと認識する。Then, in step S44 of FIG.
However, a procedure for determining whether the connection from the wireless LAN user is within the upper limit of the number of simultaneous connections set by the wireless AP installer will be described. FIG. 4 is a diagram showing a procedure of registering the number of simultaneous connections to the RAS 3 and determining the number of simultaneous connections of the RAS 3. First, the wireless AP installer requests the number of wireless LAN users who can simultaneously use the wireless AP installed by itself from the communication carrier (step S44-1).
The number of wireless LAN users applied by the wireless AP installer is registered in RAS3 (step S44-2). That is, in the figure, when the wireless AP installer applies to the communication carrier, for example, the number of wireless LNA users "2" as the upper limit value of simultaneous connection to the wireless AP 2 (step S44-1), the wireless LAN user is added to the RAS 3. The upper limit value "2" of simultaneous connection is registered for the physical line connected to the authentication server connection device 2b (step S44-2), and the simultaneous connection of the wireless LAN users is permitted within this upper limit value of simultaneous connection. To do. RAS3
Recognizes that the number of simultaneous connections of the wireless AP installer apparatus 2 has increased by 1 when the wireless LAN user authentication information (IF43) is received (FIG. 2) and the session is established, and the disconnection process (IF
When 62) is received (FIG. 2) and the session is released, it is recognized that the number of simultaneous connections has decreased by 1.
【0050】RAS3は、一人目、及び二人目の無線L
ANユーザから受信した無線LANユーザ認証情報(I
F43)に対しては(図2)、登録される同時接続の上
限値「2人」以下であるため無線AP2の使用を許可
し、同時接続数を「2人」に更新する。しかし、三人目
の無線LANユーザから無線LANユーザ認証情報(I
F43)を受信した場合には、既に同時接続される端末
装置1が「2人」であるため、接続を許可しない(ステ
ップS44−3)。RAS3 is the first and second wireless L
Wireless LAN user authentication information (I
For F43) (FIG. 2), since the registered maximum number of simultaneous connections is “2 people” or less, use of the wireless AP 2 is permitted, and the number of simultaneous connections is updated to “2 people”. However, the wireless LAN user authentication information (I
If F43) is received, the connection is not permitted because the number of the terminal devices 1 that are already simultaneously connected is “two” (step S44-3).
【0051】次に、図2のステップS46で無線LAN
ユーザ認証サーバ4cが、無線LANユーザに対する無
線APアクセス権限の有無を判断するための手順を説明
する。図5は、無線LANユーザ認証サーバ4cへの無
線LANユーザに対する無線APアクセス権限の有無の
登録と判断の手順を示す図である。まず、カスコンサー
バ4dに、無線AP2の利用が可能なユーザが登録され
る(ステップS46−1)。すなわち、事前に割り当て
ていた無線AP装置2aのIPアドレスに対して、使用
可能な無線LANユーザA及び無線LANユーザBの無
線LANユーザIDをデータベースに記憶する。Next, in step S46 of FIG.
A procedure for the user authentication server 4c to determine whether or not the wireless LAN user has wireless AP access authority will be described. FIG. 5 is a diagram showing a procedure of registration and determination of presence / absence of wireless AP access authority for a wireless LAN user in the wireless LAN user authentication server 4c. First, a user who can use the wireless AP 2 is registered in the cascon server 4d (step S46-1). That is, the wireless LAN user IDs of the wireless LAN user A and the wireless LAN user B that can be used are stored in the database with respect to the IP address of the wireless AP device 2a that is assigned in advance.
【0052】そして、無線LANユーザ認証サーバ4c
が、無線LANユーザA/無線LANユーザBから無線
LANユーザ認証情報(IF45)を受信すると無線L
ANユーザの認証処理において(ステップS46)(図
2)、無線LANユーザA/無線LANユーザBの無線
LANユーザIDと、無線LANユーザ認証情報(IF
45)の送信元である無線AP装置2aのIPアドレス
をカスコンサーバ4dへ送信する。すると、カスコンサ
ーバ4dは、受信したIPアドレスによりデータベース
を検索し、当該無線AP2を使用可能な無線LANユー
ザIDを読み出して、受信した無線LANユーザIDと
照合する。無線LANユーザA/無線LANユーザB
は、利用可能な無線LANユーザとして登録されている
ため、利用可の情報を無線LANユーザ認証サーバ4c
に返送する。一方、無線LANユーザCからの無線LA
Nユーザ認証キー(IF45)を受信した場合は(図
2)、カスコンサーバ4dに無線LANユーザCが使用
可能な無線LANユーザとして登録されていないため、
利用不可の情報を無線LANユーザ認証サーバ4cに返
送する。The wireless LAN user authentication server 4c
Receives the wireless LAN user authentication information (IF45) from the wireless LAN user A / wireless LAN user B, the wireless L
In the AN user authentication process (step S46) (FIG. 2), the wireless LAN user IDs of the wireless LAN user A / wireless LAN user B and the wireless LAN user authentication information (IF
45) The IP address of the wireless AP device 2a which is the transmission source of 45) is transmitted to the cascon server 4d. Then, the cascon server 4d searches the database by the received IP address, reads out the wireless LAN user ID that can use the wireless AP 2, and compares the wireless LAN user ID with the received wireless LAN user ID. Wireless LAN user A / Wireless LAN user B
Is registered as an available wireless LAN user, the available information is sent to the wireless LAN user authentication server 4c.
Return to. On the other hand, the wireless LA from the wireless LAN user C
When the N user authentication key (IF45) is received (FIG. 2), the wireless LAN user C is not registered as a usable wireless LAN user in the cascon server 4d.
The unusable information is returned to the wireless LAN user authentication server 4c.
【0053】上記の手順により、無線LANユーザ認証
サーバ4cは無線LANユーザA及び無線LANユーザ
Bの接続を許可し、無線LANユーザCの接続を不可と
する(ステップS46−2)。なお、個々の無線LAN
ユーザIDを登録する代わりに、無線LANユーザをユ
ーザ群にクラス分けし、この無線LANユーザのクラス
を使用して接続可否を判断することでもよい。According to the above procedure, the wireless LAN user authentication server 4c permits the wireless LAN user A and the wireless LAN user B to connect, and disables the wireless LAN user C to connect (step S46-2). In addition, individual wireless LAN
Instead of registering the user ID, the wireless LAN users may be classified into user groups and the class of the wireless LAN users may be used to determine whether the connection is possible.
【0054】なお、上述の端末装置1、無線アクセスポ
イント装置2a、無線LANユーザ認証サーバ接続装置
2b、RAS3、網終端装置4a、無線AP認証サーバ
4b、無線LANユーザ認証サーバ4c、カスコンサー
バ4d、振り分けサーバ5、網終端装置6、及び、認証
サーバ7は内部に、コンピュータシステムを有してい
る。そして、上述した動作の過程は、プログラムの形式
でコンピュータ読み取り可能な記録媒体に記憶されてお
り、このプログラムをコンピュータシステムが読み出し
て実行することによって、上記処理が行われる。ここで
いうコンピュータシステムとは、OSや周辺機器等のハ
ードウアを含むものである。The terminal device 1, the wireless access point device 2a, the wireless LAN user authentication server connection device 2b, the RAS 3, the network terminating device 4a, the wireless AP authentication server 4b, the wireless LAN user authentication server 4c, the cascon server 4d, The distribution server 5, the network terminating device 6, and the authentication server 7 have a computer system inside. The above-described process of operation is stored in a computer-readable recording medium in the form of a program, and the computer system reads and executes the program to perform the above-described processing. The computer system mentioned here includes an OS and hardware such as peripheral devices.
【0055】また、「コンピュータ読み取り可能な記録
媒体」とは、ROMの他に、磁気ディスク、光磁気ディ
スク、CD−ROM、DVD−ROM等の可搬媒体、コ
ンピュータシステムに内蔵されるハードディスク等の記
憶装置のことをいう。さらに「コンピュータ読み取り可
能な記録媒体」とは、インターネット等のネットワーク
や電話回線等の通信回線を介してプログラムが送信され
た場合のシステムやクライアントとなるコンピュータシ
ステム内部の揮発性メモリ(RAM)のように、一定時
間プログラムを保持しているものも含むものとする。The term "computer-readable recording medium" means, in addition to a ROM, a portable medium such as a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD-ROM, a hard disk incorporated in a computer system, or the like. A memory device. Further, the "computer-readable recording medium" is a volatile memory (RAM) inside a computer system which is a system or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those that hold the program for a certain period of time are also included.
【0056】また、上記プログラムは、このプログラム
を記憶装置等に格納したコンピュータシステムから、伝
送媒体を介して、あるいは、伝送媒体中の伝送波により
他のコンピュータシステムに伝送されてもよい。ここ
で、プログラムを伝送する「伝送媒体」は、インターネ
ット等のネットワーク(通信網)や電話回線等の通信回
線(通信線)のように情報を伝送する機能を有する媒体
のことをいう。また、上記プログラムは、前述した機能
の一部を実現するためのものであっても良い。さらに、
前述した機能をコンピュータシステムにすでに記録され
ているプログラムとの組み合わせで実現できるもの、い
わゆる差分ファイル(差分プログラム)であっても良
い。Further, the above program may be transmitted from a computer system having the program stored in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the "transmission medium" for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the program may be a program for realizing some of the functions described above. further,
It may be a so-called difference file (difference program) that can realize the above-mentioned functions in combination with a program already recorded in the computer system.
【0057】[0057]
【発明の効果】この発明によれば、無線LANユーザ
は、外出先で、無線AP設置者が設置した無線APの設
置環境を意識することなく、無線LANにより任意のI
SPのインターネット及び企業内ネットワークに接続す
ることが可能になる。また、無線AP設置者は、1つの
ブロードバンドアクセス回線を複数人で共用している無
線LANユーザ個人単位に、ISP/企業内ネットワー
ク等への接続を提供することが可能となる。無線AP設
置者は、ネットワークの認証機能を使用し、一元的に無
線AP認証の管理ができる。また、通信事業者等は、ブ
ロードバンドアクセス回線を複数人で利用している無線
LANユーザ個人単位での認証が可能になると共に、無
線LANユーザからの接続に対し、無線LANユーザが
任意に指定したネットワークへのルーチングが可能とな
るため、無線LAN利用ユーザ個人単位に無線ネットワ
ーク接続のサービスメニューを設定することが可能とな
る。According to the present invention, a wireless LAN user can use a wireless LAN to make an arbitrary I-location when he / she is out, without being aware of the installation environment of the wireless AP installed by the wireless AP installer.
It becomes possible to connect to the SP's Internet and corporate network. Further, the wireless AP installer can provide a connection to the ISP / intracorporate network or the like for each individual wireless LAN user who shares one broadband access line with a plurality of people. The wireless AP installer can centrally manage the wireless AP authentication by using the authentication function of the network. In addition, communication carriers can authenticate individual wireless LAN users who are using a broadband access line, and wireless LAN users arbitrarily specify the connection from wireless LAN users. Since the network can be routed, a wireless network connection service menu can be set for each individual user of the wireless LAN.
【図1】 この発明の一実施の形態による無線通信シス
テムの構成を示す図である。FIG. 1 is a diagram showing a configuration of a wireless communication system according to an embodiment of the present invention.
【図2】 同実施の形態による端末装置1がインターネ
ット網M/企業内ネットワークLへ接続する接続シーケ
ンスを示す図である。FIG. 2 is a diagram showing a connection sequence in which the terminal device 1 according to the embodiment connects to the Internet network M / intra-company network L.
【図3】 同実施の形態による無線AP認証のシーケン
スを示す図である。FIG. 3 is a diagram showing a sequence of wireless AP authentication according to the same embodiment.
【図4】 同実施の形態によるRAS3への同時接続数
の登録及びRAS3の同時接続数の判断の手順を示すで
ある。FIG. 4 shows a procedure of registering the number of simultaneous connections to RAS3 and determining the number of simultaneous connections of RAS3 according to the same embodiment.
【図5】 同実施の形態による無線LANユーザ認証サ
ーバ4cへの無線LANユーザに対する無線APアクセ
ス権限の有無の登録と判断の手順を示す図である。FIG. 5 is a diagram showing a procedure of registration and determination of presence / absence of wireless AP access authority for a wireless LAN user in the wireless LAN user authentication server 4c according to the same embodiment.
1…端末装置 1C…無線LANカード 2…無線AP 2a…無線AP装置 2b…無線LANユーザ認証サーバ接続装置 3…RAS 4…認証機能 4a、6、6−1、6−2…網終端装置 4b…無線AP認証サーバ 4c…無線ユーザ認証サーバ 4d…カスコンサーバ 5…振り分けサーバ 7、7−1、7−2…認証サーバ 1 ... Terminal device 1C ... Wireless LAN card 2 ... Wireless AP 2a ... Wireless AP device 2b ... Wireless LAN user authentication server connection device 3 ... RAS 4 ... Authentication function 4a, 6, 6-1, 6-2 ... Network terminating device 4b ... Wireless AP authentication server 4c ... Wireless user authentication server 4d ... Cascon server 5 ... distribution server 7, 7-1, 7-2 ... Authentication server
───────────────────────────────────────────────────── フロントページの続き (72)発明者 日置 正 東京都新宿区西新宿三丁目19番2号 東日 本電信電話株式会社内 Fターム(参考) 5J104 AA07 AA16 EA15 KA01 KA02 MA01 PA07 5K030 GA15 HC14 HD06 HD09 JL01 KA01 KA07 LB15 5K033 AA08 DA17 DB12 DB16 DB18 EC03 ─────────────────────────────────────────────────── ─── Continued front page (72) Inventor Tadashi Hioki 3-19-2 Nishishinjuku, Shinjuku-ku, Tokyo Tohnichi Inside Telegraph and Telephone Corporation F term (reference) 5J104 AA07 AA16 EA15 KA01 KA02 MA01 PA07 5K030 GA15 HC14 HD06 HD09 JL01 KA01 KA07 LB15 5K033 AA08 DA17 DB12 DB16 DB18 EC03
Claims (11)
る無線アクセスポイントと、前記無線アクセスポイント
及び前記端末装置を認証する認証サーバと、前記端末の
指定したネットワークへのルーチングを行うリモートア
クセスサーバとで構成される無線ネットワーク接続シス
テムであって、 前記端末装置は、 前記無線アクセスポイントと無線により通信する無線通
信手段と、 当該端末装置の端末認証情報を、インターネットプロト
コル網に設置された認証サーバへ送信する端末認証情報
送信手段と、 前記認証サーバから暗号鍵情報を受信し、前記無線通信
手段の通信を暗号化する暗号化無線通信手段と、 ネットワーク識別情報を含んだネットワークユーザ認証
情報を、ネットワークのユーザ認証機能へ送出するネッ
トワークユーザ認証情報送信手段と、 前記ネットワークユーザ認証機能から割り当てられたI
Pアドレスにより前記ネットワークとの通信を行うネッ
トワーク通信手段とを具備し、 前記無線アクセスポイントは、 複数の前記端末装置と無線で通信する無線通信手段と、 リモートアクセスサーバと通信する通信手段と、 前記無線通信手段と前記通信手段のインタフェースを相
互に変換するインタフェース変換手段と、 前記認証サーバから暗号鍵情報を受信し、前記無線通信
手段の通信を暗号化する暗号化無線通信手段とを具備
し、 前記リモートアクセスサーバは、 無線アクセスポイントと通信するためのインタフェース
と、インターネットプロトコル網と通信するためのイン
タフェースを相互に変換するインタフェース変換手段
と、 前記端末装置から受信した前記ネットワークユーザ認証
情報に含まれるネットワーク識別情報を基に、接続先ネ
ットワークを収容する通信装置を判断してネットワーク
ユーザ認証情報の送出先を決定するルーチング手段とを
具備し、 前記認証サーバは、 端末装置の端末認証情報を記憶する端末認証データベー
スと、 前記端末装置から端末認証情報を受信し、前記端末認証
データベースにより認証を行う端末装置認証手段と、 前記端末装置認証手段が前記端末装置を認証した場合に
は、前記端末装置と無線アクセスポイントが暗号化通信
を行うための暗号鍵情報を生成し、前記無線アクセスポ
イントと前記端末装置に通知する暗号鍵情報送信手段と
を具備する、 ことを特徴とする無線ネットワーク接続システム。1. A terminal device, a wireless access point accessed by the terminal device, an authentication server for authenticating the wireless access point and the terminal device, and a remote access server for routing to a network designated by the terminal. A wireless network connection system comprising: a wireless communication means for wirelessly communicating with the wireless access point; and terminal authentication information of the terminal device to an authentication server installed in an internet protocol network. The terminal authentication information transmitting means for transmitting, the encryption wireless communication means for receiving the encryption key information from the authentication server and encrypting the communication of the wireless communication means, and the network user authentication information including network identification information User authentication sent to the user authentication function of A multicast transmission unit, the allocated from the network user authentication function I
Network communication means for communicating with the network by a P address, the wireless access point, wireless communication means for wirelessly communicating with the plurality of terminal devices, communication means for communicating with a remote access server, and The wireless communication means and the interface conversion means for mutually converting the interface of the communication means; and an encryption wireless communication means for receiving encryption key information from the authentication server and encrypting communication of the wireless communication means, The remote access server includes an interface for communicating with a wireless access point, an interface converting unit for mutually converting an interface for communicating with an internet protocol network, and the network user authentication information received from the terminal device. Based on network identification information A routing unit that determines a destination of the network user authentication information by determining a communication device that accommodates the connection destination network, the authentication server stores a terminal authentication information of the terminal device, and a terminal authentication database, Terminal authentication means that receives terminal authentication information from a terminal and authenticates it with the terminal authentication database; and if the terminal authentication means authenticates the terminal, the terminal and the wireless access point encrypt. A wireless network connection system, comprising: encryption key information transmitting means for generating encryption key information for communication and notifying the wireless access point and the terminal device.
情報を前記認証サーバへ送信する認証情報送信手段を具
備し、 前記通信手段は、前記認証サーバから割り当てられたI
Pアドレスを使用してインターネットプロトコルによる
通信を確立し、 前記認証サーバは、 無線アクセスポイントの無線アクセスポイント認証情報
を記憶する無線アクセスポイント認証データベースと、 前記無線アクセスポイント認証情報を受信し、前記無線
アクセスポイント認証データベースにより認証を行う無
線アクセスポイント認証手段と、 前記無線アクセスポイント認証手段が前記無線アクセス
ポイントを認証した場合には、前記無線アクセスポイン
トへ割り当てるIPアドレスを送信するアドレス通知手
段とを具備する、 ことを特徴とする請求項1に記載の無線ネットワーク接
続システム。2. The wireless access point comprises authentication information transmitting means for transmitting the wireless access point authentication information of the wireless access point to the authentication server, and the communication means is I assigned by the authentication server.
The communication by the Internet protocol is established using the P address, the authentication server receives a wireless access point authentication information and a wireless access point authentication database that stores wireless access point authentication information of a wireless access point, And a wireless access point authenticating unit that authenticates with the access point authentication database; and an address notifying unit that transmits an IP address to be assigned to the wireless access point when the wireless access point authenticating unit authenticates the wireless access point. The wireless network connection system according to claim 1, wherein:
接続数を記憶する記憶手段と、 無線アクセスポイントに接続している端末装置数をカウ
ントする接続端末数カウント手段と、 前記端末認証情報の送信元の端末装置がアクセスした無
線アクセスポイントが接続している前記端末装置数が前
記同時接続数以上の時には、前記端末装置の接続を拒否
する同時接続数制御手段とを具備する、 ことを特徴とする請求項1または請求項2に記載の無線
ネットワーク接続システム。3. The remote access server, the wireless access point storage means for storing the number of simultaneous connection of the terminal device to which the wireless access point is allowed to connect, and the number of connected terminals counting the number of terminal devices connected to the wireless access point. And a number of simultaneous connections control means for rejecting the connection of the terminal device when the number of the terminal devices connected to the wireless access point accessed by the terminal device as the transmission source of the terminal authentication information is equal to or more than the number of the simultaneous connections. The wireless network connection system according to claim 1 or 2, further comprising:
リストと、 前記端末認証情報の送信元の端末装置がアクセスした無
線アクセスポイントを前記端末装置が利用可能であるか
を前記リストにより判断し、前記端末装置認証手段に通
知する利用許可確認手段を具備し、 前記端末装置認証手段は、前記利用許可確認手段から通
知された接続可否情報により前記端末装置の認証を行
う、 ことを特徴とする請求項1〜請求項3のいずれかの項に
記載の無線ネットワーク接続システム。4. The authentication server can use a list of terminal devices to which the wireless access point permits connection, and a wireless access point accessed by a terminal device that is a sender of the terminal authentication information. It is determined by the list based on the list, and includes a usage permission confirmation means for notifying the terminal device authentication means, wherein the terminal device authentication means authenticates the terminal device based on the connection availability information notified from the usage permission confirmation means. The wireless network connection system according to claim 1, wherein the wireless network connection system is performed.
する無線通信手段と、 当該端末装置の端末認証情報を、インターネットプロト
コル網に設置された認証サーバへ送信する端末認証情報
送信手段と、 前記認証サーバから暗号鍵情報を受信し、前記無線通信
手段の通信を暗号化する暗号化無線通信手段と、 ネットワーク識別情報を含んだネットワークユーザ認証
情報を、ネットワークのユーザ認証機能へ送出するネッ
トワークユーザ認証情報送信手段と、 前記ネットワークユーザ認証機能から割り当てられたI
Pアドレスにより前記ネットワークとの通信を行うネッ
トワーク通信手段と、 を具備することを特徴とする端末装置。5. A wireless communication unit that wirelessly communicates with a wireless access point, a terminal authentication information transmission unit that transmits the terminal authentication information of the terminal device to an authentication server installed in an Internet protocol network, and the authentication server Encrypted wireless communication means for receiving encryption key information and encrypting communication of the wireless communication means, and network user authentication information transmission means for transmitting network user authentication information including network identification information to a network user authentication function And the I assigned from the network user authentication function.
A network communication unit that communicates with the network by using a P address, and a terminal device.
信手段と、 リモートアクセスサーバと通信する通信手段と、 前記無線通信手段と前記通信手段のインタフェースを相
互に変換するインタフェース変換手段と、 認証サーバから暗号鍵情報を受信し、前記無線通信手段
の通信を暗号化する暗号化無線通信手段と、 を具備することを特徴とする無線アクセスポイント。6. A wireless communication unit that wirelessly communicates with a plurality of terminal devices, a communication unit that communicates with a remote access server, an interface conversion unit that mutually converts the interfaces of the wireless communication unit and the communication unit, and authentication. A wireless access point, comprising: encryption wireless communication means for receiving encryption key information from a server and encrypting communication of the wireless communication means.
スポイント認証情報を前記認証サーバへ送信する認証情
報送信手段を具備し、 前記通信手段は、前記認証サーバから割り当てられたI
Pアドレスを使用してインターネットプロトコルによる
通信を確立する、 ことを特徴とする請求項6に記載の無線アクセスポイン
ト。7. An authentication information transmitting unit for transmitting wireless access point authentication information of the wireless access point to the authentication server, wherein the communication unit is an I assigned from the authentication server.
The wireless access point according to claim 6, wherein the P address is used to establish communication according to the Internet protocol.
インタフェースと、インターネットプロトコル網と通信
するためのインタフェースを相互に変換するインタフェ
ース変換手段と、 無線アクセスポイントが接続を許容する端末装置の同時
接続数を記憶する記憶手段と、 無線アクセスポイントに接続している端末装置数をカウ
ントする接続端末数カウント手段と、 前記端末認証情報を送信した端末装置がアクセスした無
線アクセスポイントの接続している前記端末装置数が、
前記同時接続数以上の時には、前記端末装置の接続を拒
否する同時接続数制御手段と、 を具備することを特徴とするリモートアクセスサーバ。8. An interface conversion means for mutually converting an interface for communicating with a wireless access point and an interface for communicating with an Internet protocol network, and the number of simultaneous connections of terminal devices to which the wireless access point permits connection. Storage means for storing, connection terminal number counting means for counting the number of terminal devices connected to the wireless access point, and the terminal device connected to the wireless access point accessed by the terminal device that transmitted the terminal authentication information Number,
A remote access server comprising: a simultaneous connection number control means for rejecting the connection of the terminal device when the number of simultaneous connections is equal to or more than the above.
認証データベースと、 端末装置から端末認証情報を受信し、前記端末認証デー
タベースにより認証を行う端末装置認証手段と、 前記端末装置認証手段が前記端末装置を認証した場合に
は、前記端末装置と無線アクセスポイントが暗号化通信
を行うための暗号鍵情報を生成し、前記端末装置がアク
セスする無線アクセスポイント及び前記端末装置に通知
する暗号鍵情報送信手段と、 を具備することを特徴とする認証サーバ。9. A terminal authentication database that stores terminal authentication information of a terminal device, a terminal device authentication unit that receives the terminal authentication information from the terminal device, and authenticates with the terminal authentication database; When the terminal device is authenticated, it generates encryption key information for the terminal device and the wireless access point to perform encrypted communication, and the wireless access point accessed by the terminal device and the encryption key information to notify the terminal device. An authentication server comprising: a transmission unit.
ポイント認証情報を記憶する無線アクセスポイント認証
データベースと、 無線アクセスポイントから無線アクセスポイント認証情
報を受信し、前記無線アクセスポイント認証データベー
スにより認証を行う無線アクセスポイント認証手段と、 前記無線アクセスポイント認証手段が前記無線アクセス
ポイントを認証した場合には、前記無線アクセスポイン
トへ割り当てるIPアドレスを送信するアドレス通知手
段と、 を具備することを特徴とする請求項9に記載の認証サー
バ。10. A wireless access point authentication database that stores wireless access point authentication information of a wireless access point, and a wireless access point that receives wireless access point authentication information from the wireless access point and performs authentication by the wireless access point authentication database. 10. An authentication unit, and an address notification unit for transmitting an IP address to be assigned to the wireless access point when the wireless access point authentication unit authenticates the wireless access point. The listed authentication server.
る端末装置のリストと、 前記端末認証情報の送信元の端末装置がアクセスした無
線アクセスポイントを利用可能であるかを前記リストに
より判断し、前記端末装置認証手段に通知する利用許可
確認手段を具備し、 前記端末装置認証手段は、前記利用許可確認手段のから
通知された接続可否情報により前記端末装置の認証を行
う、 ことを特徴とする請求項9または請求項10に記載の認
証サーバ。11. A list of terminal devices to which a wireless access point permits connection, and whether the wireless access point accessed by the terminal device that is the source of the terminal authentication information is available is determined from the list, and the terminal is determined. It is provided with a use permission confirmation means for notifying a device authentication means, and the terminal device authentication means authenticates the terminal device according to the connection availability information notified from the use permission confirmation means. 9. The authentication server according to claim 9 or 10.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002124088A JP3973961B2 (en) | 2002-04-25 | 2002-04-25 | Wireless network connection system, terminal device, remote access server, and authentication function device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002124088A JP3973961B2 (en) | 2002-04-25 | 2002-04-25 | Wireless network connection system, terminal device, remote access server, and authentication function device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003318922A true JP2003318922A (en) | 2003-11-07 |
| JP3973961B2 JP3973961B2 (en) | 2007-09-12 |
Family
ID=29539199
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002124088A Expired - Lifetime JP3973961B2 (en) | 2002-04-25 | 2002-04-25 | Wireless network connection system, terminal device, remote access server, and authentication function device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3973961B2 (en) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006006321A1 (en) * | 2004-07-08 | 2006-01-19 | Matsushita Electric Industrial Co., Ltd. | Communication system, key distribution control device, and radio lan base station device |
| JP2006079213A (en) * | 2004-09-07 | 2006-03-23 | Ntt Docomo Inc | Relay device, authentication server, and authentication method |
| JP2006115344A (en) * | 2004-10-15 | 2006-04-27 | Matsushita Electric Ind Co Ltd | Radio network system, radio terminal housing device and communication equipment |
| JP2006352281A (en) * | 2005-06-13 | 2006-12-28 | Canon Inc | Communication apparatus and communication parameter setting method thereof |
| JP2007329951A (en) * | 2007-07-17 | 2007-12-20 | Matsushita Electric Ind Co Ltd | Authentication server, network utilizing terminal, secondary terminal and communication method |
| JP2007538470A (en) * | 2004-05-17 | 2007-12-27 | トムソン ライセンシング | Method for managing access to a virtual private network of a portable device without a VPN client |
| CN100401670C (en) * | 2004-03-26 | 2008-07-09 | 中兴通讯股份有限公司 | Allopatic access authentication method of mobile terminal of radio LAN |
| JP2010504055A (en) * | 2006-09-18 | 2010-02-04 | マーベル インターナショナル リミテッド | Ad hoc network construction between many devices |
| JP2010233159A (en) * | 2009-03-30 | 2010-10-14 | Nec Corp | Wireless network connection apparatus, wireless network system, authentication server, connection method, and program |
| US7853990B2 (en) | 2004-06-15 | 2010-12-14 | Nec Corporation | Network connection system, network connection method, and switch used therefor |
| JP2012034170A (en) * | 2010-07-30 | 2012-02-16 | Nippon Telegraph & Telephone West Corp | Network authentication method and service providing system |
| JP2012227968A (en) * | 2012-08-08 | 2012-11-15 | Canon Inc | Communication parameter sharing method, and communication device |
| JP2013526797A (en) * | 2010-10-14 | 2013-06-24 | マスターソフト コーポレーション リミテッド | Remote power management system and method |
| JP2014067422A (en) * | 2013-10-17 | 2014-04-17 | Canon Inc | Communication device, control method, and program |
| JP2016060016A (en) * | 2014-09-19 | 2016-04-25 | 株式会社ダイヘン | Robot control system and radio communication connection establishment method of robot control system |
| JP2016167873A (en) * | 2011-01-14 | 2016-09-15 | クアルコム,インコーポレイテッド | Remote health care wireless communication hub device and service platform system |
| WO2018033999A1 (en) * | 2016-08-19 | 2018-02-22 | アライドテレシスホールディングス株式会社 | Connection permission/refusal determination device, method, program, and recording medium |
| KR101878713B1 (en) * | 2017-03-29 | 2018-07-16 | 주식회사 와이스퀘어 | Method and System For Connecting User Equipment with Network |
| KR101913406B1 (en) * | 2011-12-23 | 2018-10-31 | 주식회사 케이티 | Device and method for managing terminal |
| JP2019050446A (en) * | 2017-09-07 | 2019-03-28 | 株式会社アウトスタンディングテクノロジー | Access control method and device thereof |
-
2002
- 2002-04-25 JP JP2002124088A patent/JP3973961B2/en not_active Expired - Lifetime
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100401670C (en) * | 2004-03-26 | 2008-07-09 | 中兴通讯股份有限公司 | Allopatic access authentication method of mobile terminal of radio LAN |
| JP2007538470A (en) * | 2004-05-17 | 2007-12-27 | トムソン ライセンシング | Method for managing access to a virtual private network of a portable device without a VPN client |
| US7853990B2 (en) | 2004-06-15 | 2010-12-14 | Nec Corporation | Network connection system, network connection method, and switch used therefor |
| WO2006006321A1 (en) * | 2004-07-08 | 2006-01-19 | Matsushita Electric Industrial Co., Ltd. | Communication system, key distribution control device, and radio lan base station device |
| JP2006079213A (en) * | 2004-09-07 | 2006-03-23 | Ntt Docomo Inc | Relay device, authentication server, and authentication method |
| US8024776B2 (en) | 2004-09-07 | 2011-09-20 | Ntt Docomo, Inc. | Relay device, authentication server, and authentication method |
| JP2006115344A (en) * | 2004-10-15 | 2006-04-27 | Matsushita Electric Ind Co Ltd | Radio network system, radio terminal housing device and communication equipment |
| JP4689225B2 (en) * | 2004-10-15 | 2011-05-25 | パナソニック株式会社 | Wireless network system, wireless terminal accommodating device, and communication device |
| JP2006352281A (en) * | 2005-06-13 | 2006-12-28 | Canon Inc | Communication apparatus and communication parameter setting method thereof |
| US9544929B2 (en) | 2005-06-13 | 2017-01-10 | Canon Kabushiki Kaisha | Communication apparatus and communication parameter configuration method thereof |
| JP4502393B2 (en) * | 2005-06-13 | 2010-07-14 | キヤノン株式会社 | Communication parameter sharing method and communication apparatus |
| US10015830B2 (en) | 2005-06-13 | 2018-07-03 | Canon Kabushiki Kaisha | Communication apparatus and communication parameter configuration method thereof |
| US8638689B2 (en) | 2005-06-13 | 2014-01-28 | Canon Kabushiki Kaisha | Communication apparatus and communication parameter configuration method thereof |
| US9301328B2 (en) | 2005-06-13 | 2016-03-29 | Canon Kabushiki Kaisha | Communication apparatus and communication parameter configuration method thereof |
| JP2010504055A (en) * | 2006-09-18 | 2010-02-04 | マーベル インターナショナル リミテッド | Ad hoc network construction between many devices |
| JP2007329951A (en) * | 2007-07-17 | 2007-12-20 | Matsushita Electric Ind Co Ltd | Authentication server, network utilizing terminal, secondary terminal and communication method |
| JP2010233159A (en) * | 2009-03-30 | 2010-10-14 | Nec Corp | Wireless network connection apparatus, wireless network system, authentication server, connection method, and program |
| JP2012034170A (en) * | 2010-07-30 | 2012-02-16 | Nippon Telegraph & Telephone West Corp | Network authentication method and service providing system |
| JP2013526797A (en) * | 2010-10-14 | 2013-06-24 | マスターソフト コーポレーション リミテッド | Remote power management system and method |
| JP2016167873A (en) * | 2011-01-14 | 2016-09-15 | クアルコム,インコーポレイテッド | Remote health care wireless communication hub device and service platform system |
| US10230783B2 (en) | 2011-01-14 | 2019-03-12 | Qualcomm Incorporated | Telehealth wireless communication hub device and service platform system |
| KR101913406B1 (en) * | 2011-12-23 | 2018-10-31 | 주식회사 케이티 | Device and method for managing terminal |
| JP2012227968A (en) * | 2012-08-08 | 2012-11-15 | Canon Inc | Communication parameter sharing method, and communication device |
| JP2014067422A (en) * | 2013-10-17 | 2014-04-17 | Canon Inc | Communication device, control method, and program |
| JP2016060016A (en) * | 2014-09-19 | 2016-04-25 | 株式会社ダイヘン | Robot control system and radio communication connection establishment method of robot control system |
| WO2018033999A1 (en) * | 2016-08-19 | 2018-02-22 | アライドテレシスホールディングス株式会社 | Connection permission/refusal determination device, method, program, and recording medium |
| KR101878713B1 (en) * | 2017-03-29 | 2018-07-16 | 주식회사 와이스퀘어 | Method and System For Connecting User Equipment with Network |
| JP2019050446A (en) * | 2017-09-07 | 2019-03-28 | 株式会社アウトスタンディングテクノロジー | Access control method and device thereof |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3973961B2 (en) | 2007-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4666169B2 (en) | Method of communication via untrusted access station | |
| JP2003318922A (en) | Wireless network access system, terminal, wireless access point, remote access server, and authentication server | |
| CA2371329C (en) | Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices | |
| KR100494558B1 (en) | The method and system for performing authentification to obtain access to public wireless LAN | |
| JP4299102B2 (en) | Wireless network handoff encryption key | |
| US6772331B1 (en) | Method and apparatus for exclusively pairing wireless devices | |
| US6980660B1 (en) | Method and apparatus for efficiently initializing mobile wireless devices | |
| US8417218B2 (en) | SIM based authentication | |
| US7443983B2 (en) | Communication apparatus and method | |
| US8091116B2 (en) | Communication system and method | |
| KR20050116817A (en) | An identity mapping mechanism in wlan access control with public authentication servers | |
| JP5192077B2 (en) | Secret communication method using VPN, system thereof, program thereof, and recording medium of program | |
| MX2007012852A (en) | Session key management for public wireless lan supporting multiple virtual operators . | |
| JP5536628B2 (en) | Wireless LAN connection method, wireless LAN client, and wireless LAN access point | |
| JP2006109449A (en) | Access point that wirelessly provides encryption key to authenticated wireless station | |
| JP2015503303A (en) | Secure communication system and communication method | |
| JPH11331181A (en) | Network terminal authenticating device | |
| JP4793024B2 (en) | User authentication method, authentication server and system | |
| JP6056970B2 (en) | Information processing apparatus, terminal, information processing system, and information processing method | |
| US6961851B2 (en) | Method and apparatus for providing communications security using a remote server | |
| AU6329900A (en) | System and method for local policy enforcement for internet service providers | |
| JP2006140694A (en) | Information processing apparatus, user management system, and program | |
| JP2001069175A (en) | Method and device for session information management | |
| WO2009155812A1 (en) | Terminal access method, access management method, network equipment and communication system | |
| KR101049635B1 (en) | Roaming Service between Public WLAN and Enterprise WLAN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040220 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050214 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061204 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061212 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070213 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070605 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070613 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3973961 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100622 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110622 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110622 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120622 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120622 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130622 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140622 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |