JP2004128886A - 接続情報供給装置、接続情報供給プログラム、認証情報供給装置、及び、認証情報供給プログラム - Google Patents

接続情報供給装置、接続情報供給プログラム、認証情報供給装置、及び、認証情報供給プログラム Download PDF

Info

Publication number
JP2004128886A
JP2004128886A JP2002290216A JP2002290216A JP2004128886A JP 2004128886 A JP2004128886 A JP 2004128886A JP 2002290216 A JP2002290216 A JP 2002290216A JP 2002290216 A JP2002290216 A JP 2002290216A JP 2004128886 A JP2004128886 A JP 2004128886A
Authority
JP
Japan
Prior art keywords
authentication
server
hot spot
digital camera
wireless
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2002290216A
Other languages
English (en)
Inventor
Norihiro Ikeda
池田 宣弘
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2002290216A priority Critical patent/JP2004128886A/ja
Publication of JP2004128886A publication Critical patent/JP2004128886A/ja
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】複数の事業者が提供する様々な認証方式を必要とするホットスポットを利用してネットワーク接続サービスを享受しようとする場合、IDとパスワードの入力、または、電子証明書の登録等、煩雑な操作が必要だった。
【解決手段】プロファイルサーバー106が、ホットスポットエリアを形成するアクセスポイントを介して接続される無線デジタルカメラ104の認証処理を実施し、その認証処理が完了すると、ホットスポットサービスの認証サーバー102bとの間の認証処理を、無線デジタルカメラ104が実施するための認証情報を、プロファイルサーバー106から無線デジタルカメラ104に提供する。
【選択図】    図1

Description

【0001】
【発明の属する技術分野】
本発明は、無線通信装置がホットスポットサービスに接続するための接続情報を供給する接続情報供給装置、接続情報供給プログラム、および、ホットスポットサービスの認証サーバーとの間で、無線通信装置が、認証処理を実施するための認証情報を、無線通信装置に提供する認証情報供給装置、認証情報供給プログラムに関する。
【0002】
【従来の技術】
近年、インターネットや無線LANシステムの普及に伴い、ホットスポットが増加している。これは、PDAやノートパソコンを使って空港、喫茶店、ハンバーガー店といった、人が集まりやすい場所にアクセスポイントを設置し、ワイヤレスでインターネットにアクセスできるサービスエリアを提供するものである。
【0003】
現在、無線LANシステムで、比較的強固なセキュリティとして利用されているものとして、WEP(Wired Equivalent Privacy)がある。WEPは無線アクセスポイントと無線クライアントで共有のキーを利用して通信データを暗号化しやり取りしているので、例え、盗聴されたとしても、暗号キーが破られない限り情報を解読することは不可能である。しかし、WEPの暗号化の方式では、論理的に、時間をかけると必ず暗号キーを解読することが出来るので、決して万全なセキュリティであるとはいえない。
【0004】
そこで、最近ではWEPに変わるセキュリティの仕組みとして、IEEE 802.1xとEAP(Extensible Authentication Protocol)が有力視されている。
【0005】
EAPは,複数の仕様がありホットスポットを提供する事業者によって異なっている。IDとパスワードを用いてログインするEAP−MD5に加え,シスコシステムズの独自仕様であるLEAP(EAP−Cisco),またCA(認証局)で発行される電子証明書を利用したEAP−TLS,そして一方向のサーバー認証のみだが,導入が容易であり,システム構成によって非常に高いセキュリティを実現できるEAP−TTLSが存在する。
【0006】
また、最近では、このホットスポットサービスを競技場などに展開し、デジタルカメラ等で撮影した画像をいち早く、リアルタイムに新聞社に送信するという実験サービスも行われている。
【0007】
このデジタルカメラの画像データは、ノートPCに一旦、取り込まれ、それから送信する方法が一般的であるが、最近では、ノートPCなどを使用せず、撮った画像をホットスポットなどで直接送信するためにデジタルカメラに無線LANユニットを結合した一体型の無線デジタルカメラが考案されている。
【0008】
【発明が解決しようとする課題】
しかしながら、上記のような複数の事業者が提供する様々な認証方式を必要とするホットスポットを利用してネットワーク接続サービスを享受しようとする場合、IDとパスワードの入力、または、電子証明書の登録等、煩雑な操作を必要とするため操作性の観点から好ましくない。
【0009】
ノートPCなどに比べ、入力手段など操作性で劣るデジタルカメラのような機器を無線クライアント端末に用いる場合には、特に、この問題が大きい。
【0010】
また、前記接続に必要な認証登録データを無線クライアント端末の記憶部に予め登録する方法もあるが、これでは、セキュリティの強化を目的としたホットスポットサービスの将来的な認証方式の変更、すなわちバージョンアップなどに対してその都度、登録データを変更する必要が生じ操作が煩雑となる。といった様々な問題点があった。
【0011】
【課題を解決するための手段】
上記目的を達成するために、複数の無線クライアント端末と無線通信リンクを確立し、ネットワークにおけるデータ搬送制御/経路選択機能を提供するアクセスポイントによりホットスポットエリアを形成し、前記アクセスポイントを介してネットワークに接続する前記無線クライアント端末との間で認証処理を実施する複数の認証サーバー端末と、データベース(DB)機能を有する複数のDBサーバー端末を収容するネットワークとを備える無線LANシステムにおいて、前記、DBサーバー端末の何れかが、任意のホットスポットサービスに接続するための固有の通信情報を前記ホットスポットサービス毎にプロファイルデータとして保存する機能を有するプロファイル(PF)サーバー端末を構成する手段と、前記、PFサーバー端末が、前記アクセスポイントを介して前記ネットワークに接続する前記無線クライアント端末との間で第1の認証処理を実施する手段と、前記第1の認証処理が完了した際に、前記無線クライアント端末が接続される前記ホットスポットサービスに対応する前記プロファイルデータを選択する手段と、前記無線クライアント端末に前記、構成されたプロファイルデータを送信する手段と、前記無線クライアント端末が、前記プロファイルデータを解析する手段と、前記解析の結果、該当する認証サーバー端末との間で接続を確立し第2の認証処理を実施する手段とを備えることを特徴とする。
【0012】
また、複数の無線クライアント端末と無線通信リンクを確立し、ネットワークにおけるデータ搬送制御/経路選択機能を提供するアクセスポイントによりホットスポットエリアを形成し、前記アクセスポイントを介してネットワークに接続する前記無線クライアント端末との間で認証処理を実施する複数の認証サーバー端末と、データベース(DB)機能を有する複数のDBサーバー端末を収容するネットワークとを備える無線LANシステムにおいて、前記、DBサーバー端末の何れかが、任意のホットスポットサービスに接続するための固有の通信情報を前記ホットスポットサービス毎にプロファイルデータとして保存する機能を有するプロファイル(PF)サーバー端末を構成する手段と、前記、PFサーバー端末が、前記アクセスポイントを介して前記ネットワークに接続する前記無線クライアント端末との間で第1の認証処理を実施する手段と、前記第1の認証処理が完了した際に、前記無線クライアント端末が接続される前記ホットスポットサービスに対応する前記認証サーバー端末に対して前記無線クライアント端末の接続を通知する手段と、前記認証サーバー端末が、前記接続の通知を受信した際に、前記固有の通信情報の一部を指定する旨、前記PFサーバー端末に対してメッセージ送信する手段と、前記PFサーバー端末が、前記通信情報の一部を指定したメッセージを解析し、プロファイルデータを選択する手段と、前記無線クライアント端末に前記、選択されたプロファイルデータを送信する手段と、前記無線クライアント端末が、前記プロファイルデータを解析する手段と、前記解析の結果、該当する認証サーバー端末との間で接続を確立し第2の認証処理を実施する手段とを備えることを特徴とする。
【0013】
【発明の実施の形態】
(第1の実施の形態)
図1は、本発明の実施の形態に係るシステム構成例である。
【0014】
同図において、認証サーバー端末102a、102b、102cと、データベース(DB)機能を有するDBサーバー端末103と、アクセスポイント105a、105b、105c、PF(プロファイル)サーバー端末106は、ネットワーク101に有線接続されている。アクセスポイント105a、105b、105cは、それぞれホットスポットA、B、Cに示すような無線LANのサービスエリアを提供し、認証サーバー端末102a、102b、102cとともに、ホットスポットを提供する事業者により設置される。アクセスポイント105a、105b、105cのそれぞれは、無線クライアント端末(無線通信装置)である無線デジタルカメラ104との間で無線通信リンクを確立し、ネットワークにおけるデータ搬送制御/経路選択機能を提供する。また、認証サーバー端末102a、102b、102cのそれぞれは、ネットワーク101内における無線デジタルカメラ104との間で認証処理に関する制御を行う。
【0015】
PFサーバー端末106は、各事業者が提供するホットスポットにおいてネットワークに接続される無線デジタルカメラ104と該当する認証サーバー端末102xとの間で用いられる認証手順等の固有の通信情報を、事業者毎、あるいは認証サーバー端末102a、102b、102c毎に、プロファイルデータとして管理格納する機能を備える。また、PFサーバー端末106は、無線通信装置である無線デジタルカメラ104がホットスポットサービスに接続するための接続情報を供給する接続情報供給装置、あるいは、ホットスポットサービスの認証サーバーとの間で、無線通信装置である無線デジタルカメラ104が、認証処理を実施するための認証情報を、無線デジタルカメラに提供する認証情報供給装置として、機能する。
【0016】
また、図2は、無線デジタルカメラ104がそれぞれのホットスポットを介してネットワーク101に接続される際に、各事業者によりサービス提供される設備(アクセスポイント105xと認証サーバー端末102x)とプロファイルデータの関係を説明した図であり、同図において、201は、A事業者用プロファイルデータあり、202は、事業者用プロファイルデータであり、203は、C事業者用プロファイルデータである。
【0017】
図3に、PFサーバー端末106の構成を示す。PFサーバー端末106は,CPU901と,ROM902と,RAM903と,ハードディスク(HD)907及びフロッピー(R)ディスク(FD)908のディスクコントローラ(DC)905と,ネットワークインターフェースカード(NIC)906とが,システムバス904を介して互いに通信可能に接続された構成としている。そして,ネットワークインターフェースカード906は,図1に示したネットワーク101を,システムバス904に接続する。
【0018】
CPU901は,ROM902あるいはHD907に記憶されたソフトウェア,あるいはFD908より供給されるソフトウェアを実行することで,システムバス904に接続された各構成部を制御する。すなわち,CPU901は,以下に説明する処理シーケンスに従った処理プログラムを,ROM902,あるいはHD907,あるいはFD908から読み出して実行することで,本実施形態での動作を実現するための制御を行う。
【0019】
なお、認証サーバー102b、DBサーバー103の構成も、図3と共通である。アクセスポイント105bは、図3の構成に加え、さらに、無線LANを接続するための無線LAN回路を備え、この無線LAN回路は、システムバス904に接続される。無線デジタルカメラ104は、図3の構成に加え、デジタルカメラとして動作するための撮影回路などを含むデジタルカメラ部を備え、さらに、ネットワークインターフェースカード906の代わりに、無線LANを接続するための無線LAN回路を備える。無線デジタルカメラ104では、このデジタルカメラ部、および、無線LAN回路は、システムバス904に接続される。
【0020】
以下、本発明の第1の実施形態における無線LANシステムについて、図1〜図10を用いて説明する。
【0021】
図4および図5は、第1の実施の形態における処理を説明するシーケンスチャート、図6は、無線デジタルカメラの処理を説明するフローチャート、図7は、アクセスポイントの処理を説明するフローチャート、図8は、認証サーバーの処理を説明するフローチャート、図9は、プロファイルサーバーの処理を説明するフローチャートである。例えば、図9のフローチャートは、CPU901が読み出すことができるように、ROM902,あるいはHD907,あるいはFD908が、記憶しているプログラムの一部を示す。他のフローチャートも、同様である。
【0022】
なお、図4、図5のシーケンス図内のメッセージは、本実施の形態に関する主なもののみ明記してあり、その他基本的なメッセージについては、一部省略してある。シーケンス図内のEAPは、(Extensible Authentication Protocol)、の略称であり、IEEE802.1Xで用いられる認証方式である。
【0023】
はじめに無線デジタルカメラ104が、ホットスポットBのサービスエリア内でネットワーク101への接続を検出すると[ステップS401:YES]、無線デジタルカメラ104は、ホットスポットBを構成するアクセスポイント105bとの間で、無線LANのプロトコルであるIEEE802.11のアソシエーション処理(M300)を実施する(ステップS402)。同様に、ホットスポットA,Cのエリア内でネットワーク101に接続する場合には、それぞれアクセスポイント105a,105cとアソシエーション処理(M300)を実施する(ステップS402)。一例としてここでは、ホットスポットBとアクセスポイント105bについて説明する。
【0024】
無線デジタルカメラ104は、アソシエーション処理(M300)がアクセスポイント105bとの間で未完了の場合[ステップS403:NO]、速やかに、アクセスポイント105bとの通信に対して切断処理を実行する(ステップS409)。
【0025】
アクセスポイント105bは、アソシエーション処理(M300)が開始すると、図7の処理をスタートし、アソシエーション処理(M300)が無線デジタルカメラ104との間で未完了の場合[ステップS501:NO]、速やかに無線デジタルカメラ104との通信に対して切断処理を実行する(ステップS510)。
【0026】
無線デジタルカメラ104は、アソシエーション処理(M300)が完了すると[ステップS403:YES]、プロファイルデータのダウンロード完了待ち(ステップS404)となる。
一方、アクセスポイント105bは、アソシエーション処理(M300)が完了すると[ステップS501:YES]、アソシエーション処理(M300)で取得した無線デジタルカメラ104の機器識別子であるMACを用いてPFサーバー端末106との間で、無線デジタルカメラ104の無線機器認証処理(M301)を実施する(ステップS502)。
【0027】
PFサーバー端末106は、無線機器認証処理(M301)が開始されると、図9の処理をスタートする。無線デジタルカメラ104のMACは、ネットワーク101上の所定位置またはPFサーバー端末106のRAM903に予め登録されており、PFサーバー端末106はこれを参照することにより、無線デジタルカメラ104の機器認証を行う。すなわち、PFサーバー端末106のCPU901は、ホットスポットエリアを形成するアクセスポイント105bを介して接続される無線通信装置である無線デジタルカメラ104の認証処理を実施する。
【0028】
PFサーバー端末106は、無線機器認証処理(M301)がアクセスポイント105bとの間で完了すると[ステップS701:YES]、予めRAM903に登録されている事業者別プロファイル管理テーブルを参照し、無線端末機器認証処理(M301)の相手であったホットスポット事業者Bのアクセスポイント105bの識別子(例えば、ネットワークアドレス(ネットワークのIPアドレス))をもとに、以下のホットスポット事業者Bに固有の通信情報をプロファイルデータとして構成し、無線デジタルカメラ104に送信する(M302)(ステップS702)。図10に、PFサーバー106がRAM903内に記憶している事業者別プロファイル管理テーブルを示す。
【0029】
ここで、ホットスポット事業者Bに固有の通信情報は、▲1▼ホットスポットID804(事業者BはB_HS002)、▲2▼ホットサービス提供事業者名称801、▲3▼事業者が提供する認証サーバー端末102bのネットワークアドレス802、▲4▼サポートする認証方式803(事業者BはEAP−TLS方式)およびその他の情報である。
【0030】
ここで、ホットスポット事業者Bに固有の通信情報は、その業者が提供するホットスポットサービスに接続するために固有の認証方式情報または認証手順情報803を含む。事業者別プロファイル管理テーブルは、この固有の通信情報であるプロファイルデータを認証サーバー端末毎に保存している。この事業者別プロファイル管理テーブルには、アクセスポイント識別子(例えば、ネットワークアドレス(ネットワークのIPアドレス))に対応して、上記の▲1▼〜▲4▼の情報が登録されている。
【0031】
すなわち、PFサーバー106は、無線通信装置である無線デジタルカメラ104がホットスポットサービスに接続するための接続情報を供給する接続情報供給装置、あるいは、ホットスポットサービスの認証サーバーとの間で、無線通信装置である無線デジタルカメラ104が、認証処理を実施するための認証情報を、無線デジタルカメラに提供する認証情報供給装置として機能し、無線機器認証処理(M301)が完了すると、無線デジタルカメラ104がホットスポットサービスBに接続するための接続情報、あるいは、ホットスポットサービスの認証サーバーとの間で、無線通信装置である無線デジタルカメラ104が、認証処理を実施するための認証情報であるプロファイルデータを、ネットワークインターフェースカード906から無線デジタルカメラ104に供給する。
【0032】
また、PFサーバー端末106は、無線機器認証処理(M301)がアクセスポイント105bとの間で未完了の場合[ステップS701:NO]、および無線デジタルカメラ104へのプロファイルデータのダウンロード(M302)処理が失敗した場合[ステップS703:NO]、速やかに、アクセスポイント105bおよび無線デジタルカメラ104との通信に対して切断処理を実行する(ステップS704)。
【0033】
同様にアクセスポイント105bは、無線機器認証処理(M301)がPFサーバー端末106との間で未完了の場合[ステップS502:NO]、速やかに無線デジタルカメラ104との通信に対して切断処理を実行する(ステップS510)。また、アクセスポイント105bは、無線機器認証処理(M301)がPFサーバー端末106との間で完了すると[ステップS502:YES]、EAP開始要求メッセージ待ち(ステップS503)になる。
【0034】
同様にまた、無線デジタルカメラ104は、プロファイルデータのダウンロード(M302)処理が所定の時間内に確立できない等、失敗した場合[ステップS404:NO]には、速やかに、PFサーバー端末106との通信に対して切断処理を実行する(ステップS409)。
【0035】
無線デジタルカメラ104は、プロファイルデータのダウンロード(M302)処理が完了した場合[ステップS404:YES]、プロファイルデータを解析し、プロファイルデータに指定された認証方式(例えば、EAP−TLS方式)に従い、以降アクセスポイント105bを介して、ホットスポットBのサービスエリアを提供する事業者により設置された認証サーバー端末102bとの間で、ホットスポットB固有の認証処理を実施する。すなわち、PFサーバー106から供給される接続情報であるプロファイルデータは、無線通信装置である無線デジタルカメラ104が、ホットスポットサービスBの認証サーバー102bとの間で、例えば、EAP−TLS方式に従った認証処理を実施するために用いる認証情報である。ホットスポットサービスBの認証サーバー102bのアドレスは、PFサーバー106からダウンロードされたプロファイルデータに含まれている。以下に、そのホットスポットB固有の認証処理の一例を説明する。
【0036】
はじめに無線デジタルカメラ104は、EAP開始要求メッセージ(M303)をアクセスポイント105bに送信し(ステップS405)、EAP要求メッセージ待ち(ステップS406)となる。
【0037】
アクセスポイント105bは、EAP開始要求メッセージ待ち(ステップS503)で、EAP開始要求メッセージ(M303)を受信すると[ステップS503:YES]、無線デジタルカメラ104の端末識別子(ID)の送信を依頼するEAP要求メッセージ(M304)を無線デジタルカメラ104に送信し(ステップS504)、EAP応答メッセージ待ち(ステップS505)となる。
【0038】
無線デジタルカメラ104は、前記IDの送信を依頼するEAP要求メッセージ(M304)を受信すると[ステップS406:YES]、無線デジタルカメラ104の端末識別子(ID)を含めたEAP応答メッセージ(M305)をアクセスポイント105bに送信し(ステップS407)、チャレンジレスポンス完了待ち(ステップS408)となる。なお、無線デジタルカメラ104からDBサーバー103にアクセスする場合、DBサーバー103のアドレスを、EAP応答メッセージ(M305)に含める。無線デジタルカメラ104からアクセスするDBサーバー103のアドレスが、予め、特定されている形態では、すなわち、DBサーバー103のアドレスが認証サーバー102bに予め登録されている形態では、DBサーバー103のアドレスを、EAP応答メッセージ(M305)に含めなくてもよい。ここで、EAP認証が完了しない場合[ステップS408:NO]、無線デジタルカメラ104は、アクセスポイント105bから受信するEAP要求メッセージ待ち(ステップS406)となり、ステップS406〜S408を繰り返す。
【0039】
アクセスポイント105bは、EAP応答メッセージ待ち(ステップS505)で、前記IDを含めたEAP応答メッセージ(M305)を受信すると[ステップS505:YES]、前記IDを含めたサーバーアクセス要求メッセージ(M306)を認証サーバー端末102bに送信し(ステップS506)、サーバーアクセス確認メッセージ受信待ち(ステップS507)となる。EAP応答メッセージにDBサーバー103のアドレスが含まれている形態では、サーバーアクセス要求メッセージ(M306)に、DBサーバー103のアドレスを含める。
【0040】
認証サーバー端末102bは、サーバーアクセス要求メッセージ待ち(ステップS601)で、IDを含めたサーバーアクセス要求メッセージ(M306)を受信すると[ステップS601:YES]、未だチャレンジテキストによるEAP認証が完了しない場合[ステップS602:NO]、チャレンジテキスト(以降CTと称する)#1を生成し、このCT#1を含んだサーバーアクセス確認メッセージ(M307)をアクセスポイント105bに送信する(ステップS603)。
【0041】
アクセスポイント105bは、サーバーアクセス確認メッセージ受信待ち(ステップS507)で、前記CT#1を含んだサーバーアクセス確認メッセージ(M307)を受信すると[ステップS507:YES]、前記CT#1を含んだEAP要求メッセージを(M308)を無線デジタルカメラ104に送信し(ステップS504)、EAP応答メッセージ待ち(ステップS505)となる。
【0042】
無線デジタルカメラ104は、前記CT#1を含んだEAP要求メッセージ(M308)を受信すると[ステップS406:YES]、前記CT#1を含めたEAP応答メッセージ(M309)をアクセスポイント105bに送信し(ステップS407)、EAP認証完了待ち(ステップS408)となる。ここで、EAP認証が完了しない場合[ステップS408:NO]、アクセスポイント105bから受信するEAP要求メッセージ待ち(ステップS406)となり、ステップS406〜S408を繰り返す。
【0043】
アクセスポイント105bは、EAP応答メッセージ待ち(ステップS505)で、前記CT#1を含めたEAP応答メッセージ(M309)を受信すると[ステップS505:YES]、前記CT#1を含めたサーバーアクセス要求メッセージ(M310)を認証サーバー端末102bに送信し(ステップS506)、次のチャレンジテキスト(CT#2)を含んだサーバーアクセス確認メッセージ受信待ち(ステップS507)となる。
【0044】
以降、認証サーバー端末102bにおいては、認証が完了[ステップS602:YES]するまでCT#nを生成し、前記CT#nを含んだサーバーアクセス確認メッセージ(M311)をアクセスポイント105bに送信し(ステップS603)、CT#nを含んだサーバーアクセス要求メッセージ待ち(ステップS601)となる前記処理を繰り返す。
【0045】
アクセスポイント105bは、サーバーアクセス確認メッセージ受信待ち(ステップS507)で、前記CT#nを含んだサーバーアクセス確認メッセージ(M311)を受信すると[ステップS507:YES]、前記CT#nを含んだEAP要求メッセージを(M312)を無線デジタルカメラ104に送信し(ステップS504)、EAP応答メッセージ待ち(ステップS505)となる。
【0046】
無線デジタルカメラ104は、CT#nを含んだEAP要求メッセージ(M312)を受信すると[ステップS406:YES]、前記CT#nを含めたEAP応答メッセージ(M313)をアクセスポイント105bに送信し(ステップS407)、EAP認証完了待ち(ステップS408)となる。ここで、EAP認証が完了しない場合[ステップS408:NO]、アクセスポイント105bから受信するEAP要求メッセージ待ち(ステップS406)となり、ステップS406〜S408を繰り返す。
【0047】
アクセスポイント105bは、EAP応答メッセージ待ち(ステップS505)で、前記CT#nを含めたEAP応答メッセージ(M313)を受信すると[ステップS505:YES]、前記CT#nを含めたサーバーアクセス要求メッセージ(M314)を認証サーバー端末102に送信し(ステップS506)、次のチャレンジテキスト(CT#n+1)を含んだサーバーアクセス確認メッセージ受信待ち(ステップS507)となる。また、チャレンジテキスト(CT#n+1)を含んだ前記サーバーアクセス確認メッセージを受信しなければ[ステップS507:NO]、サーバーアクセス許可メッセージ待ち(ステップS508)となり、ステップS504〜S508を繰り返す。少なくとも1回以上は前記チャレンジテキストを用いたEAP認証処理は実行される。
【0048】
認証サーバー端末102bは、CT#nを含めたサーバーアクセス要求メッセージ待ち(ステップS601)で、CT#nを含めたサーバーアクセス要求メッセージ(M314)を受信し[ステップS601:YES]、認証が完了すると[ステップS602:YES]、WEPキー情報を含んだサーバーアクセス許可メッセージ(M316)をアクセスポイント105bに送信し、サーバーアクセス要求(ID)(M306)において取得したDBサーバ端末103のアドレス(又は、認証サーバー102bに予め登録されているDBサーバ端末103のアドレス)を用いて、DBサーバ端末103に無線デジタルカメラ104の認証通知メッセージ(M315)を送信する(ステップS604)。
【0049】
アクセスポイント105bは、サーバーアクセス許可メッセージ受信待ち(ステップS508)で、前記WEPキー情報を含んだサーバーアクセス許可メッセージ(M316)を受信すると[ステップS508:YES]、EAP完了メッセージ(M317)を無線デジタルカメラ104に送信し、無線デジタルカメラ104のネットワーク101に対するアクセス解除の後、WEPキー情報を含めたEAP通知メッセージ(M318)を無線デジタルカメラ104に送信する(ステップS509)。
【0050】
以降、無線デジタルカメラ104は、送信サーバアドレスであるDBサーバ端末103との間でデータ通信状態(M319)となる。ここで、無線デジタルカメラ104とアクセスポイント105bとの間の無線区間は、前記通知されたWEPキーを用いて暗号化する。なお、無線デジタルカメラ104とDBサーバ端末103との間は、SSLなどの暗号通信プロトコルを用いて暗号化することができる。
【0051】
(第2の実施の形態)
以下、本発明の第2の実施形態における無線LANシステムについて、図1、図2、図3、図6、図7および図11〜図13を用いて説明する。
【0052】
図11は、第2の実施の形態における処理を説明するシーケンスチャート、図12は、プロファイルサーバーの処理を説明するフローチャート、図13は、認証サーバーの処理を説明するフローチャートである。なお、無線デジタルカメラの処理を説明するフローチャート、アクセスポイントの処理を説明するフローチャートは、それぞれ、図6、図7と共通である。
【0053】
はじめに無線デジタルカメラ104が、ホットスポットBのサービスエリア内でネットワーク101への接続を検出すると[ステップS401:YES]、無線デジタルカメラ104は、ホットスポットBを構成するアクセスポイント105bとの間で、無線LANのプロトコルであるIEEE802.11のアソシエーション処理(M300)を実施する(ステップS402)。
【0054】
無線デジタルカメラ104は、アソシエーション処理(M300)が完了すると[ステップS403:YES]、プロファイルデータのダウンロード完了待ち(ステップS404)となる。
【0055】
アクセスポイント105bは、アソシエーション処理(M300)が開始すると、図7の処理をスタートし、アソシエーション処理(M300)が完了すると[ステップS501:YES]、アソシエーション処理(M300)で取得した無線デジタルカメラ104の機器識別子であるMACを用いてPFサーバー端末106との間で無線機器認証処理(M301)を実施する(ステップS502)。
【0056】
PFサーバー端末106は、無線機器認証処理(M301)が開始されると、図12の処理をスタートする。無線デジタルカメラ104のMACは、ネットワーク101上の所定位置またはPFサーバー端末106のRAM903に予め登録されており、PFサーバー端末106はこれを参照することにより、無線デジタルカメラ104の機器認証を行う。すなわち、PFサーバー端末106のCPU901は、ホットスポットエリアを形成するアクセスポイント105bを介して接続される無線通信装置である無線デジタルカメラ104の認証処理を実施する。
【0057】
PFサーバー端末106は、無線機器認証処理(M301)がアクセスポイント105bとの間で完了すると[ステップS1001:YES]、予めRAM903に登録されている事業者別プロファイル管理テーブルを参照し、無線機器認証処理(M301)の相手であったアクセスポイント105bの識別子(ネットワークアドレス(ネットワークのIPアドレス))をもとに、ホットスポット事業者が設置する認証サーバー端末102bに対して機器接続通知メッセージ(M901)を送信する(ステップS1002)。なお、本形態の事業者別プロファウル管理テーブルには、認証サーバアドレスは含まれるが、認証方式の情報は含まれない。
【0058】
認証サーバー端末102bは、機器接続通知メッセージ(M901)を受信すると[ステップS1101:YES]、自身がサポートする認証方式を選択し、選択した認証方式情報を含めたEAP開始メッセージ(M902)をPFサーバー端末106に送信する(ステップS1102)。その後、無線デジタルカメラ104からのサーバーアクセス要求メッセージ受信待ち(ステップS1103)となる。
【0059】
PFサーバー端末106は、認証方式情報を含めたEAP開始メッセージ(M902)を受信すると、予めRAM903に登録されている事業者別プロファイル管理テーブルを参照し、アクセスポイント105bの識別子をもとに、以下のホットスポット事業者Bに固有の通信情報をプロファイルデータとして構成し、無線デジタルカメラ104に送信する(M302)(ステップS1004)。
【0060】
ここで、ホットスポット事業者Bに固有の通信情報は、▲1▼ホットスポットID804(事業者BはB_HS002)、▲2▼ホットサービス提供事業者名称801、▲3▼事業者が提供する認証サーバー端末102bのネットワークアドレス802、▲4▼サポートする認証方式803(認証サーバー端末102bが指定した認証方式であり、例えば、EAP−TLS方式)およびその他の情報である。これらの情報のうち、▲1▼、▲2▼、▲3▼は、PFサーバー端末106がRAM903に予め登録している情報であり、▲4▼の認証方式は、認証サーバー端末102bから指定された情報である。
【0061】
すなわち、PFサーバー106は、無線機器認証処理(M301)が完了すると、無線通信装置である無線デジタルカメラ104がホットスポットサービスBに接続するための接続情報、あるいは、ホットスポットサービスの認証サーバーとの間で、無線通信装置である無線デジタルカメラ104が、認証処理を実施するための認証情報であるプロファイルデータを、ネットワークインターフェースカード906から無線デジタルカメラ104に供給する。この接続情報であるプロファイルデータに含まれる認証方式は、ホットスポットサービスBの認証サーバー102bから指定された情報である。
【0062】
また、PFサーバー端末106は、無線機器認証処理(M301)がアクセスポイント105bとの間で未完了の場合[ステップS1001:NO]、およびプロファイルデータのダウンロード(M302)処理が失敗した場合[ステップS1005:NO]、速やかに、アクセスポイント105bおよび無線デジタルカメラ104との通信に対して切断処理を実行する(ステップS1006)。
【0063】
無線デジタルカメラ104は、プロファイルデータのダウンロード(M302)処理が完了した場合[ステップS404:YES]、プロファイルデータを解析し、通信情報に指定された認証方式に従い、以降、アクセスポイント105bを介して、ホットスポットBのサービスエリアを提供する事業者により設置された認証サーバー端末102bとの間でホットスポットB固有の認証処理(M303、M305)を実施する(ステップS405〜S408)。すなわち、PFサーバー106から供給される接続情報であるプロファイルデータは、無線通信装置である無線デジタルカメラ104が、ホットスポットサービスBの認証サーバー102bとの間で、例えば、EAP−TLS方式に従った認証処理を実施するために用いる認証情報である。
【0064】
以降、図11のシーケンスの続きは、図5と共通であり、無線デジタルカメラ104の処理は、第1の実施の形態で説明した通りである。
【0065】
また、認証サーバー端末102bが無線デジタルカメラ104の間で実施する認証処理ステップS1103〜S1106は、第1の実施の形態で説明したステップS601〜S604と同様であるので説明を省略する。
【0066】
さらに、アクセスポイント105bが、ステップS502でPFサーバー端末106との間で無線機器認証処理(M301)を実施した後の処理は、第1の実施の形態で説明した通りである。
【0067】
(その他の実施の形態)
前記第1、第2の実施の形態では、PFサーバー端末106が、予め登録されている事業者別プロファイル管理テーブルを参照し、アクセスポイント105bの識別子として、ネットワークアドレス(ネットワークのIPアドレス)をもとに、プロファイルデータを構成するように説明されていた。
【0068】
これに対して、他の実施の形態では、この識別情報であるアクセスポイント105bの識別子として、ホットスポットを特定可能な識別情報であるESSIDを使用する。例えば無線機器認証処理(M301)のシーケンス内で(あるいは、無線機器認証処理(M301)が完了した際に)、ホットスポットを特定可能な識別情報であるESSIDを、無線デジタルカメラ104からPFサーバー端末106に通知し、これをもとにホットスポットA、B,Cなどの事業者別にサポートする認証情報(例えば、認証方式の情報)を通知するプロファイルデータを構成する。
【0069】
なお、上記実施の形態においては無線LANのネットワークを一例として、無線クライアント端末(無線通信装置である無線デジタルカメラ)とデータベースサーバー端末の接続に伴う認証操作ならびにその方法について説明したが、本発明はこれに限ることなく、クライアント端末(無線通信装置)が無線伝送路を利用してネットワークに接続される形態を構成するものであれば、取扱う信号のアナログ/デジタルを問わず、いかなるシステムであっても適用可能である。すなわち、クライアント端末は、無線通信機能を有した装置であれば、無線デジタルカメラに限定されるものではない。その他、本発明はその要旨を逸脱しない範囲内で種々変形して実施することが可能であるものとする。
【0070】
【発明の効果】
以上説明したように、本発明によれば、ホットスポットを利用するための認証方式に関連する情報を保存しておき、ユーザーが、ホットスポットエリアを使用する際、使用するホットスポットの認証方式に対応する情報を無線通信装置にダウンロードすることにより、ユーザーにIDとパスワードの入力、または電子証明書等の諸情報の登録といったホットスポットを介してネットワークを利用するために必要である認証登録操作といった煩雑な作業を実施させること無く、ユーザー認証を行い、確実にDBサーバに接続することが可能となりイージーアクセスが実現される。
【0071】
また、セキュリティの強化を目的としたホットスポットサービスの将来的な認証方式の変更、すなわちバージョンアップなどに対してもその都度、登録データを変更する必要が無く、柔軟な対応が可能となる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係る無線LANシステムの構成図である。
【図2】デジタルカメラと各事業者別に提供される認証プロファイルの説明図である。
【図3】PFサーバー端末106の構成を示すブロック図である。
【図4】第1の実施の形態における処理を説明するシーケンスチャートである。
【図5】第1の実施の形態における処理を説明するシーケンスチャートである。
【図6】第1の実施の形態における無線デジタルカメラの処理を説明するフローチャートである。
【図7】第1の実施の形態におけるアクセスポイントの処理を説明するフローチャートである。
【図8】第1の実施の形態における認証サーバーの処理を説明するフローチャートである。
【図9】第1の実施の形態におけるプロファイルサーバーの処理を説明するフローチャートである。
【図10】第1の実施の形態におけるPFサーバーの事業者別プロファイル管理テーブルである。
【図11】第2の実施の形態における処理を説明するシーケンスチャートである。
【図12】第2の実施の形態におけるPFサーバーの処理を説明するフローチャートである。
【図13】第2の実施の形態における認証サーバーの処理を説明するフローチャートである。
【符号の説明】
102 認証サーバー端末
103 DBサーバー端末
104 無線デジタルカメラ
105 アクセスポイント
106 プロファイルサーバー端末

Claims (5)

  1. ホットスポットエリアを形成するアクセスポイントを介して接続される無線通信装置の認証処理を実施する認証処理実施手段と、
    前記認証処理が完了すると、前記無線通信装置がホットスポットサービスに接続するための接続情報を前記無線通信装置に供給する供給手段とを備えることを特徴とする接続情報供給装置。
  2. ホットスポットエリアを形成するアクセスポイントを介して接続される無線通信装置の認証処理を実施する認証処理実施手段と、
    前記認証処理が完了すると、ホットスポットサービスの認証サーバーとの間で、前記無線通信装置が、第2の認証処理を実施するための認証情報を、前記無線通信装置に提供する提供手段とを備えることを特徴とする認証情報供給装置。
  3. 前記供給手段は、前記ホットスポットサービスの認証サーバーから指定された情報を含む前記認証情報を前記無線通信装置に供給することを特徴とする請求項2記載の認証情報供給装置。
  4. ホットスポットエリアを形成するアクセスポイントを介して無線通信装置との間で認証処理を実施し、前記認証処理が完了すると、前記無線通信装置がホットスポットサービスに接続するための接続情報を前記無線通信装置に供給することを特徴とする接続情報供給プログラム、又は、該プログラムを記憶した記憶媒体。
  5. ホットスポットエリアを形成するアクセスポイントを介して接続される無線通信装置の認証処理を実施し、前記認証処理が完了すると、ホットスポットサービスの認証サーバーとの間で、前記無線通信装置が、第2の認証処理を実施するための認証情報を、前記無線通信装置に提供することを特徴とする認証情報供給プログラム、又は、該プログラムを記憶した記憶媒体。
JP2002290216A 2002-10-02 2002-10-02 接続情報供給装置、接続情報供給プログラム、認証情報供給装置、及び、認証情報供給プログラム Withdrawn JP2004128886A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002290216A JP2004128886A (ja) 2002-10-02 2002-10-02 接続情報供給装置、接続情報供給プログラム、認証情報供給装置、及び、認証情報供給プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002290216A JP2004128886A (ja) 2002-10-02 2002-10-02 接続情報供給装置、接続情報供給プログラム、認証情報供給装置、及び、認証情報供給プログラム

Publications (1)

Publication Number Publication Date
JP2004128886A true JP2004128886A (ja) 2004-04-22

Family

ID=32282167

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002290216A Withdrawn JP2004128886A (ja) 2002-10-02 2002-10-02 接続情報供給装置、接続情報供給プログラム、認証情報供給装置、及び、認証情報供給プログラム

Country Status (1)

Country Link
JP (1) JP2004128886A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008515310A (ja) * 2004-10-01 2008-05-08 ノキア コーポレイション 企業環境において移動ターミナルの同期サービスをコンテクスト的に開始する方法及びシステム
JP2008178069A (ja) * 2006-12-20 2008-07-31 Canon Inc 無線パラメータを管理する管理装置、管理装置の制御方法、当該制御方法をコンピュータに実行させるためのコンピュータプログラム
JP2009519515A (ja) * 2005-12-13 2009-05-14 ▲ホア▼▲ウェイ▼技術有限公司 サービスアカウントを保護するための方法、システム、及び装置
JP2011151541A (ja) * 2010-01-20 2011-08-04 Nec Infrontia Corp セキュリティ方式切替システム、セキュリティ方式切替方法及びそのプログラム
US8478991B2 (en) 2006-12-20 2013-07-02 Canon Kabushiki Kaisha Management apparatus for managing wireless parameter, control method for the management apparatus, and computer program for instructing computer to execute the control method

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008515310A (ja) * 2004-10-01 2008-05-08 ノキア コーポレイション 企業環境において移動ターミナルの同期サービスをコンテクスト的に開始する方法及びシステム
JP2009519515A (ja) * 2005-12-13 2009-05-14 ▲ホア▼▲ウェイ▼技術有限公司 サービスアカウントを保護するための方法、システム、及び装置
JP4880699B2 (ja) * 2005-12-13 2012-02-22 ▲ホア▼▲ウェイ▼技術有限公司 サービスアカウントを保護するための方法、システム、及び装置
US8732852B2 (en) 2005-12-13 2014-05-20 Huawei Technologies Co., Ltd. Method, system and apparatus for protecting service account
JP2008178069A (ja) * 2006-12-20 2008-07-31 Canon Inc 無線パラメータを管理する管理装置、管理装置の制御方法、当該制御方法をコンピュータに実行させるためのコンピュータプログラム
US8478991B2 (en) 2006-12-20 2013-07-02 Canon Kabushiki Kaisha Management apparatus for managing wireless parameter, control method for the management apparatus, and computer program for instructing computer to execute the control method
JP2011151541A (ja) * 2010-01-20 2011-08-04 Nec Infrontia Corp セキュリティ方式切替システム、セキュリティ方式切替方法及びそのプログラム

Similar Documents

Publication Publication Date Title
US10536856B2 (en) Communication control apparatus, system, and method therefor
JP3869392B2 (ja) 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体
JP4756865B2 (ja) セキュリティグループ管理システム
EP1554862B1 (en) Session key management for public wireless lan supporting multiple virtual operators
US7418591B2 (en) Network configuration method and communication system and apparatus
EP2372971A1 (en) Method and system for authenticating a point of access
US9143939B2 (en) Controlling device
US20060268743A1 (en) Information portable terminal apparatus and wireless communication system
US20090028101A1 (en) Authentication method in a radio communication system, a radio terminal device and radio base station using the method, a radio communication system using them, and a program thereof
KR101253352B1 (ko) 무선 분산 시스템의 단말 인증 방법
EP1760945A2 (en) Wireless LAN security system and method
US20040044904A1 (en) Communication system and management apparatus and method for restricting functions in communication system
JP2005051625A (ja) コンピュータ装置、無線lanシステム、プロファイルの更新方法、取得方法、およびプログラム
JP2003204338A (ja) 無線lanシステム、アクセス制御方法およびプログラム
CN103716865B (zh) 通信装置
JP5848467B2 (ja) 中継機、無線通信システムおよび無線通信方法
AU2018274707B2 (en) Improvements in and relating to network communications
JP4574122B2 (ja) 基地局、および、その制御方法
JP2004128886A (ja) 接続情報供給装置、接続情報供給プログラム、認証情報供給装置、及び、認証情報供給プログラム
CN104104816B (zh) 通信设备及其控制方法
JP2004282321A (ja) ネットワークシステム
JP2003244130A (ja) 会議システム
JP2009223389A (ja) 接続制御装置、接続制御方法及び接続制御プログラム
JP2008244945A (ja) 無線接続環境設定システム、無線接続環境設定サーバ、情報端末、及び、プログラム
JP2009027639A (ja) 通信接続プログラム、通信装置及び通信接続方法

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20060110