CN107533601A - 通信系统、通信方法和计算机程序 - Google Patents

Abstract

一种通信系统包括：第一通信单元，被配置为与终端装置通信；认证单元，被配置为响应于来自终端装置的接入，发送用于输入认证信息的认证屏幕；连接引导单元，被配置将从终端装置经由第一通信单元进行的并且被寻址到任何目的地的通信连接到认证单元；显示单元，被配置为显示输入到认证屏幕并且由终端装置输出的认证信息，所述终端装置已经通过连接引导单元连接到认证单元并且认证屏幕已经被发送到所述终端装置；以及连接控制单元，被配置为根据显示单元的显示，根据由输入单元所接收的用户输入允许终端装置经由第二通信单元到网络的连接。

Description

通信系统、通信方法和计算机程序

技术领域

本发明涉及通信系统、通信方法和计算机程序。

背景技术

近年来，通常的实践是，利用在诸如公司的组织内部建立的局域网(LAN)，在组织中使用的各个信息设备与诸如多功能外围装置(MFP)和投影仪装置的各个设备经由包括无线LAN的LAN与彼此连接。在组织内部建立的这种LAN被称为组织内LAN。通常，当组织外部的信息设备连接到组织内LAN时，在信息设备的连接的时候执行认证处理，如果认证成功，则使得连接到组织内LAN的各种设备从信息设备可用。

用于促进连接到无线LAN的认证处理的已知技术包括Wi-Fi(注册商标)保护设置(Wi-Fi Protected Setup，WPS)和AirStation单触式安全系统(AirStation One-TouchSecure System，AOSS(注册商标))。此外，专利文献1公开了一种技术，其中接入点建立与无线终端的通信并且发送用于在非限制状态下执行安全通信的设置程序，然后将状态改变为限制状态，从而使能够容易地设置无线终端上的设置信息。

发明内容

技术问题

当组织外部的访客用户所拥有的信息设备被连接到组织中的LAN时，有时期望根据在直接应对访客用户的组织中的主机用户的意图灵活地控制对于连接到访客用户的信息设备的许可。然而，对发明人已知的典型技术具有不便之处，因为尽管访客用户能够被容易地连接，但主机用户不能容易地控制连接的许可。

例如，为了控制连接的许可，主机用户需要执行操作以改变接入点上的设置。为此，当存在大量的应该对其单独地控制是否允许连接的访客用户时，操作可能是非常麻烦的。

鉴于前述情况，已经做出本发明，且本发明具有使组织外部的用户的信息设备能够容易地被连接到该组织的内部网络、同时维持安全性的目标。

技术方案

一种通信系统包括第一通信单元、第二通信单元、认证单元、连接引导单元、显示单元、输入单元和连接控制单元。第一通信单元被配置为与终端装置通信。第二通信单元被配置为经由网络通信。认证单元被配置为响应于来自终端装置的接入，发送用于输入认证信息的认证屏幕。连接引导单元被配置将从终端装置经由第一通信单元进行的并且被寻址到任何目的地的通信连接到认证单元。显示单元被配置为显示输入到认证屏幕并且由终端装置输出的认证信息，该终端装置已经通过连接引导单元连接到认证单元并且已经被发送了认证屏幕。输入单元被配置为接收用户输入。连接控制单元被配置为根据显示单元的显示，按照由输入单元所接收的用户输入允许终端装置经由第二通信单元到网络的连接。

发明的有益效果

本发明具有能够将组织外部的用户的信息处理设备容易地连接到该组织的内部网络、同时维持安全性的效果。

附图说明

图1是示出可应用于第一实施例的网络系统的示例性配置的框图。

图2是示出可应用于第一实施例的通信控制设备的示例性配置的框图。

图3是示出根据第一实施例的通信控制装置的功能的示例性功能框图。

图4是示出可应用于第一实施例的访客终端的示例性配置的框图。

图5是示出根据第一实施例的访客终端的功能的示例性功能框图。

图6是示出可应用于第一实施例的主机终端的功能的示例性功能框图。

图7是示出根据第一实施例的将要用于从管理终端设置访客终端的通信环境的通信管理屏幕的示例的视图。

图8是示出根据第一实施例的将访客终端连接到网络的处理的示例的序列图。

图9是示出主机终端使用以登录到通信控制装置的登录屏幕的示例的视图。

图10是示出根据第一实施例的将要用于登记从访客终端可用的设备的可用设备登记屏幕的示例的视图。

图11是示出使用图标图像的根据第一实施例的可用设备登记屏幕的示例的视图。

图12是示出根据第一实施例的在访客终端上显示的认证信息输入屏幕的示例的视图。

图13是示出根据第一实施例的在主机终端上显示的认证屏幕的示例的视图。

图14是示出根据第一实施例的第一修改的网络系统的示例性配置的框图。

图15是示出根据第一实施例的第二修改的网络系统的示例性配置的框图。

图16是示出根据第二实施例的通信控制装置的功能的示例性功能框图。

具体实施方式

以下参考附图详细描述了通信系统、通信方法和计算机程序的实施例。

(第一实施例)

图1示出了可应用于第一实施例的网络系统的示例性配置。在图1中，网络系统1a包括信息设备11a、信息设备11b、信息设备11c、……、管理服务器12、通信控制装置20和主机终端32。信息设备11a、信息设备11b、信息设备11c、……、通信控制装置20、和主机终端32被连接到网络10以便可与彼此通信。此外，认证接入点(access point，AP)40和访客AP 41被连接到通信控制装置20。认证AP 40和访客AP 41由访客终端30通过无线通信分开接入。

网络10例如是利用被用作协议的传输控制协议/因特网协议(TCP/IP)与之进行通信的网络系统，并且是专门在诸如公司的组织内建立的组织内LAN。管理服务器12管理关于被允许连接到网络10的用户的信息、以及关于连接到网络10的各个信息设备11a、信息设备11b、信息设备11c、...的信息。由管理服务器12管理的用户信息至少包括用户名和口令。用户信息被登记在管理服务器12中的用户在下文被称为主机用户。由管理服务器12管理的设备信息至少包括被给予设备的名称、设备在网络10上的IP地址、以及指示设备种类的信息。

在图1的示例中，信息设备11a、信息设备11b和信息设备11c分别是交互式白板(IWB)、投影仪、和多功能打印机(MFP)。将要连接到网络10的信息设备不限于这些设备，即IWB、投影机和MFP。

认证AP 40和访客AP 41是基于例如IEEE(电气和电子工程师协会)802.11标准的无线LAN中的接入点。在下文中，基于该IEEE 802.11标准的无线LAN被称为Wi-Fi(注册商标)，其是指示相互连接性被作为与IEEE 802.11设备有关的行业组的Wi-Fi(注册商标)联盟认证的名称。

这里，认证AP 40是在经由Wi-Fi(注册商标)的连接中没有执行诸如发送加密密钥的任何认证处理的情况下允许设备连接到的接入点。另一方面，访客AP 41是仅允许通过认证处理而认证过的终端装置经由Wi-Fi(注册商标)连接到的接入点。例如，访客AP 41执行对根据由Wi-Fi联盟(注册商标)推荐的Wi-Fi保护接入(Wi-Fi Protected Access，WPA(注册商标))2Personal下的加密方案进行加密的信息的通信。

访客终端30不能通过经由认证AP 40的通信与网络10通信。访客终端30能够通过经由访客AP 41的通信与网络10通信。也就是说，认证AP 40和访客AP 41分别是由访客终端30用于进行通信的第一通信单元和第二通信单元。

主机终端32是主机用户使用的终端装置，并且访客终端30是组织外部的用户(在下文称为访客用户)使用的终端装置。通信控制装置20控制访客终端30到网络10的连接。

通过此配置，访客终端30在尝试与网络10通信时首先经由认证AP 40与网络系统1a通信，以经历认证处理。只有在通过此认证处理的认证成功之后，访客终端30可以通过经由访客AP 41的通信而与网络10通信。

更具体地，访客终端30首先连接到认证AP 40，以经由认证AP 40与通信控制装置20通信。响应于此通信，通信控制装置20将用于输入认证信息的认证屏幕发送到访客终端30。在访客终端30上，操作访客终端30的访客用户向认证屏幕输入一定的认证信息，以经由认证AP 40将输入的认证信息发送到通信控制装置20。

通信控制装置20将从访客终端30发送的认证信息发送到主机终端32。主机终端32使显示设备显示从通信控制装置20发送的认证信息。使用主机终端32的主机用户查看这样显示的认证信息，并且对主机终端32执行操作以确定是否认证访客终端30。响应于此操作，主机终端32将认证结果发送到通信控制装置20。响应于该认证结果，通信控制装置20呈现可从访客终端30获取的用于连接到访客AP 41的连接信息。

访客终端30从通信控制装置20获取该连接信息，因此使访客终端30能够与访客AP41通信，从而使访客终端30能够经由访客AP 41与网络10通信。例如，使访客终端30能够经由网络10与各个信息设备11a、11b、11c等进行通信，从而使得各个信息设备11a、11b、11c等执行图像显示和打印。

(根据第一实施例的更具体的配置)

图2示出了可应用于第一实施例的通信控制装置20的示例性配置。在图2中，通信控制装置20包括中央处理单元(CPU)201、只读存储器(ROM)202、随机存取存储器(RAM)203、储存器204、通信接口(I/F)205和数据I/F 206。这些各个组件经由总线200连接到彼此，以便可与彼此通信。储存器204是能够以非易失性方式在其中存储信息的存储介质，并且能够通过使用硬盘驱动器或者非易失性半导体存储器(诸如闪存)来实施。

CPU 201根据预先存储在储存器204和ROM 202中的计算机程序利用被用作工作存储器的RAM 203来控制通信控制装置20的整个操作。通信I/F 205根据来自CPU 201的指令控制与网络10的通信。数据I/F 206是用于向其它设备发送数据并且从其它设备接收数据的接口，例如，通用串行总线(USB)可以被应用于实施数据I/F 206。数据I/F 206不限于这样实施，并且可以使用通过覆盖相对短距离的无线通信来执行数据的发送和接收的诸如蓝牙(注册商标)的接口作为数据I/F 206来实施。

因此，可以利用一般的计算机来配置通信控制装置20。显然，通信控制装置20还可以包括接收用户输入的输入设备、以及向用户展示信息的显示设备。此外，通信控制装置20不限于仅用一台计算机来配置，并且可以利用以分布式方式操作的多台计算机来配置。

认证AP 40和访客AP 41被连接到例如数据I/F 206。在一个示例中，认证AP 40和访客AP 41可以被配置为USB加密狗(dongle)并被连接到数据I/F 206。在这种情况下，认证AP 40和访客端AP 41可以被配置为独立的硬件或者被配置为共享硬件。当认证AP 40和访客AP 41被配置为共享硬件时，可以通过在CPU 201上运行的计算机程序来实施在认证AP40和访客AP 41的功能之间的切换。可替换地，认证AP 40和访客AP 41可以被单独地连接到通信I/F 205。

图3是示出根据第一实施例的通信控制装置20的功能的示例性功能框图。在图3中，通信控制装置20包括总体控制单元211、连接引导单元212、认证/连接控制单元213和通信控制单元214。这些总体控制单元211、连接引导单元212、认证/连接控制单元213和通信控制单元214由在CPU 201上运行的计算机程序所构建。该总体控制单元211、连接引导单元212、认证/连接控制单元213和通信控制单元214不限于这样构建，并且可以部分地或完全地由与彼此协作操作的各硬件来构建。

总体控制单元211共同地控制通信控制装置20的功能。连接引导单元212将寻址到任何目的地(统一资源定位符(URL))的通信强制地向特定目的地引导。这里，期望的目的地的示例包括与处于网络10上的信息设备11a、11b、11c等相对应的目的地。关于连接引导单元212，可以应用称为强制网络门户(Captive Portal)的已知技术。强制网络门户是一种当使用网络时、迫使超文本传输协议(HTTP)客户端查阅该网络上的特定网站的技术。

此外，连接引导单元212具有动态主机配置协议(DHCP)功能，并且可以响应于请求而向目标设备等分配IP地址。

通信控制单元214控制由通信I/F 205执行的通信。认证/连接控制单元213具有控制通信控制单元214、认证AP 40和访客AP 41之间的通信路由的连接控制单元的功能。此外，认证/连接控制单元213具有控制经由认证AP 40执行的认证处理的认证单元的功能。

这些总体控制单元211、连接引导单元212、认证/连接控制单元213、和通信控制单元214由例如存储在储存器204上并在CPU 201上运行的认证控制程序来实施。此认证控制程序作为可安装或可执行格式的文件被记录在诸如光盘(CD)、柔性盘(FD)或数字多功能盘(DVD)的计算机可读记录介质中，并且被提供。

可替换地，将要由第一实施例中的通信控制装置20执行的认证控制程序可以被配置为被存储在连接到诸如因特网的网络的计算机上、经由网络被下载并且被提供。可替换地，将要由第一实施例中的通信控制装置20执行的计算机程序可以被配置为经由诸如因特网的网络来被提供或分发。进一步可替换地，第一实施例中的认证控制程序可以被配置为预先被嵌入在ROM 202等中并且被提供。

将要由第一实施例中的通信控制装置20执行的认证控制程序以包括上述单元(总体控制单元211、连接引导单元212、认证/连接控制单元213和通信控制单元214)的模块而配置。建立实际硬件使得：CPU 201从诸如储存器204或ROM 202的存储介质中读取出认证控制程序，并执行该程序以将上述单元加载到诸如RAM 203的主存储单元上；并且可以在该主存储单元上生成总体控制单元211、连接引导单元212、认证/连接控制单元213和通信控制单元214。

图4示出了可应用于第一实施例的访客终端30的示例性配置。访客终端30由例如通用计算机构建，并且包括CPU 301、ROM 302、RAM 303、显示设备304、储存器305、输入设备306、数据I/F 307和通信I/F 308，这些单元经由总线300连接以便与彼此通信。储存器305是能够以非易失性方式存储信息的存储介质，并且其示例包括硬盘驱动器和闪存。CPU 301根据预先存储在储存器305或ROM 302中的计算机程序，在将RAM 303用作工作存储器的同时，控制访客终端30的整体操作。

显示设备304包括例如与液晶显示器(LCD)相关联的显示元件、以及根据由CPU301生成的显示控制信号来驱动显示元件的驱动单元。例如，输入设备306是与显示设备304一体地形成的触摸面板，并且包括：输出与由手指等触摸的位置相对应的信号的输入元件；以及将从输入元件输入的信号转换为可向CPU 301解释的信息的输入控制单元。输入设备306不限于是触摸面板，并且也可以利用诸如鼠标的指向设备和键盘来构建。

数据I/F 307是用于向外部设备发送数据并且从外部设备接收数据的接口，并且例如可以应用USB、蓝牙(注册商标)等。通信I/F 308根据CPU 301的指令控制基于Wi-Fi(注册商标)的无线通信。

主机终端32可以以与访客终端30类似的配置来实施，并且这里省略其描述。

图5是示出根据第一实施例的访客终端30的功能的示例性功能框图。在图5中，访客终端30包括输入单元311、显示单元312、总体控制单元313和通信控制单元314。这些输入单元311、显示单元312、总体控制单元313和通信控制单元314由在CPU 301上运行的计算机程序来构建。

输入单元311接收给予输入设备306的输入，并根据由该输入指定的位置来执行处理。显示单元312生成用于在显示设备304上显示的显示控制信息。通信控制单元314控制通信I/F 308以进行与访客终端的认证有关的通信。总体控制单元313共同地控制访客终端30的功能。

这里，访客终端30包括例如用于在网络上浏览信息的浏览器应用(在下文称为浏览器)。例如，输入单元311、显示单元312和通信控制单元314是在此浏览器上实施的功能。在一个示例中，浏览器可以根据从由访客终端30经由网络接入的服务器提供的计算机程序来实施这些输入单元311、显示单元312和通信控制单元314的功能。总体控制单元313是在作为控制访客终端30的整个操作的计算机程序的操作系统(OS)上实施的功能。

输入单元311、显示单元312、总体控制单元313和通信控制单元314不限于这样构建，并且可以由安装在访客终端30中的应用程序来构建，或者由与彼此协作操作的各硬件来构建。

图6是示出可应用于第一实施例的主机终端32的功能的示例性功能框图。在图6中，主机终端32包括输入单元321、显示单元322和总体控制单元323。这些输入单元321、显示单元322和总体控制单元323由包含在机终端32中的CPU上运行的计算机程序来构建。

如在上述访客终端30的情况下，主机终端32包括浏览器，并且输入单元321和显示单元322的功能在浏览器上实施。这些输入单元321和显示单元322的功能与访客终端30中的输入单元311和显示单元312的功能相同，并且这里省略其详细描述。总体控制单元323的功能是在安装在主机终端32中的OS上实施的功能。总体控制单元323的功能也与上述访客终端30中的总体控制单元313的功能相同，并且这里省略其详细描述。

输入单元321、显示单元322、总体控制单元323不限于这样构建，并且可以从安装在主机终端32中的应用程序来构建，或者由与彼此协作操作的各硬件来构建。

(根据第一实施例的认证处理)

接下来，进一步详细地描述根据第一实施例的应用于访客终端30的认证处理的示例。在执行对于访客终端30的认证处理之前设置访客终端30的通信环境。例如，网络系统1a的系统管理员使用用于设置访客终端30的通信环境的通信管理屏幕，从连接到网络10的管理终端设置访客终端30的通信环境。图7示出了通信管理屏幕的示例。

在图7中，通信管理屏幕420包含区域421、区域422和区域423、设置按钮424和取消按钮425。在区域421中，包含输入部分4210，实施关于终端30的无线通信的设置和显示。在区域421中，已经使得无线LAN和近场无线通信可用。这些设置是分开地提前设置的。

在区域421中，输入部分4210被用来指定是否随机地设置用于访客终端30的无线LAN的设置。使用输入部分4210来指定这些设置被随机地设置，例如通信控制装置20可以在每次访客终端30连接到访客AP 41时，随机地生成在与访客AP 41连接时使用的连接设置文件的文件名。因此，能搞提高经由访客AP 41的通信的安全性。可替换地，在每次访客终端30连接时可以随机地生成在连接到访客AP 41时将要使用的口令。

在区域422中，包含输入部分4221至4223，设置关于访客AP 41的固定连接信息。输入部分4221设置对于访客AP 41的服务集标识符(SSID)。输入部分4222被用来指定将被应用于访客AP 41以实施安全设置的认证方案和加密方案。输入部分4223设置作为用于访客AP 41的加密密钥的预共享密钥(Pre-Shared Key，PSK)。

在区域423中，包含输入部分4231至4236，设置管理特权。输入部分4231设置是否允许访客终端30经由无线LAN连接到网络10。

输入部分4232被用来指定用户，该用户被给予了对于通过访客终端30使用Wi-Fi保护设置(WPS(注册商标))或者强制网络门户的接入授予许可的权限。例如，输入部分4232被用来指定“邀请者”，从而指定已经邀请访客用户到网络系统1a的主机用户作为被给予授予许可的权限的用户。在这种情况下，具体地，向已经从主机终端32登录到网络系统1a的主机用户给予授予许可的权限。

利用此输入部分4232，可以为被给予对于通过访客终端30的接入授予许可的权限的用户选择多个接入级别中的一个。在一个示例中，第一接入级别被定义为表示用于临时允许访客用户使用各个信息设备11a、信息设备11b、信息设备11c等的接入权限的级别(图7的示例中的“邀请者”)。此外，高于第一接入级别的第二接入级别被定义为表示用于允许改变网络10的设置、使用访客AP 41对无线LAN的设置等等的接入权限的级别(例如，“操作者”)。利用该输入部分4232，选择“邀请者”和“操作者”的这些选项中的任一个作为对于通过访客终端30的接入授予许可的权限的用户。

输入部分4233设置是否允许访客终端30经由近场无线通信经历对网络10的简化的设置处理。

输入部分4234设置从访客终端30到访客AP 41的连接开始起的连接时间的上限。输入部分4235基于时间设置是否终止访客终端30到网络10的连接。例如，当输入部分4235设置为“是”时，当从访客终端30到访客AP 41的连接开始起的连接时间达到由输入部分4234所设置的上限时，网络系统1a终止访客终端30到网络10的连接。

输入部分4236设置登记连接到网络10的访客终端30可用的设备的用户是否被限制为网络系统1a的管理员。当在输入部分4236中指定“否”时，使得已经从主机终端32登录到网络系统1a的主机用户也能够登记可用设备。

设置按钮424用于在网络系统1a上设置如上所述的在通信管理屏幕420上进行的具体设置。例如，响应于设置按钮424上的操作，管理终端在管理服务器12中登记在通信管理屏幕420上进行的具体设置。取消按钮425用于取消在通信管理屏幕420上进行的具体设置并关闭此通信管理屏幕420。

接下来，通过使用图8中的序列图更详细地描述根据第一实施例的用于访客终端30到网络10的连接的处理的示例。在图8中与上述图1和图3中相同的组件被分配相同的参考符号，并省略其详细描述。在图8中，无线LAN控制模块215是包含在通信控制装置20中的功能，并且控制认证AP 40和访客AP 41的操作。无线LAN控制模块215由在通信控制装置20中的CPU 201上运行的计算机程序来实施。

在根据图8中的序列图的处理开始之前，主机用户使用某种方法，向访客用户通知将用于主机用户认证访客用户的认证信息。在第一实施例中，主机用户直接向访客用户通知识别信息。用于识别信息的通知的方法不受限制，并且可以是口头通信或注释。电子邮件等可以用于识别信息的通知。优选地，在每次访客终端30连接到网络10时，进行识别信息的通知。

假定主机终端32已预先连接到网络10。

在步骤S100中，主机终端32根据主机用户的操作登录到通信控制装置20中。例如，主机终端32根据主机用户的操作接入通信控制装置20。通信控制装置20向主机终端32发送将用于登录到通信控制装置20中的登录屏幕。图9示出了登录屏幕的示例。在图9中，此登录屏幕400包括：分别将用于输入用户名和密码的输入部分401和输入部分402；将用于请求登录到通信控制装置20的登录按钮403；以及用于取消登录处理的取消按钮404。

主机终端32使得显示单元322在显示设备上显示从通信控制装置20发送的登录屏幕400。主机用户根据主机终端32上显示的登录屏幕400输入用户名和密码，并操作登录按钮403。响应于登录按钮403的此操作，主机终端32将输入的用户名和密码作为认证信息发送到通信控制装置20。通信控制装置20执行对从主机终端32发送的认证信息的认证处理。

例如，通信控制装置20将从主机终端32发送的认证信息发送到管理服务器12。管理服务器12确定是否登记了与从通信控制装置20发送的认证信息相同的认证信息。如果确定登记了这样的认证信息，则管理服务器12向通信控制装置20通知认证成功。

此时，管理服务器12可以基于从通信控制装置20发送的认证信息来确认与认证信息相对应的用户的权限是否对应于在图7中的输入部分4232中选择的接入级别。例如，如果确认对于该认证信息的用户的权限对应于在图7中的输入部分4232中选择的接入级别，则管理服务器12确定认证成功。

在从管理服务器12接收到认证成功的通知时，通信控制装置20在步骤S101向主机终端32发送主机屏幕。主机屏幕包括用于登记将使得对访客终端30可用的信息设备的可用设备登记屏幕。通信控制装置20向主机终端32不仅发送主机屏幕，而且还发送用于通过主机屏幕进行各种设置和登记的信息。

在一个示例中，通信控制装置20向主机终端32不仅发送主机屏幕，而且还发送预先存储在储存器204中并且将用于通过通信管理屏幕设置通信环境的各种信息。另外，通信控制装置20从管理服务器12获取用于通过可用设备登记屏幕选择信息设备的信息设备的列表，并且除了主机屏幕之外，还向主机终端32发送所获取的信息设备的列表。

在步骤S101，主机终端32致使显示单元322在显示设备上显示从通信控制装置20发送的主机屏幕。在步骤S102，主机终端32向通信控制装置20发送根据主机屏幕输入的设置信息和登记信息(步骤S103)。

图10示出了包含在根据第一实施例的主机屏幕中的、并且用于登记从访客终端30可用的设备的可用设备登记屏幕410的示例。例如，当在上述图7中的通信管理屏幕420上的输入部分4236中指定“否”时，此可用设备登记屏幕410被显示在主机终端32上。可用设备登记屏幕410包含：包括选择按钮411a至选择按钮411c和删除按钮411d的按钮组411；输入部分412和413；和登记按钮414。

选择按钮411a至选择按钮411c例如是用于分别基于信息设备的名称、IP地址和设备种类来选择可用设备的按钮。例如，利用选择按钮411a和选择按钮411b，分别基于名称和IP地址来进行选择，并且一次选择一个信息设备。另一方面，利用选择按钮411c，基于信息设备的种类来进行选择，并且一次可以选择属于相同种类的多个信息设备。

在一个示例中，随着选择按钮411a被操作，主机终端32以下拉列表的形式显示包含在信息设备列表中的各个信息设备的名称的列表。基于此列表的显示，主机用户操作主机终端32以选择期望使得可用的任何信息设备的名称。所选择的信息设备的名称被设置为所选择的状态。可以选择多个信息设备的名称。

当登记按钮414被操作时，主机终端32向通信控制装置20发送指示在可用设备登记屏幕410上被设置为一个或多个所选择的状态的一个或多个信息设备的所选设备信息。在通信控制装置20中，认证/连接控制单元213根据从主机终端32发送的所选设备信息来设置访客AP 41的传递控制信息。

虽然前面描述了以列表的形式显示信息设备的设备信息，但是该方法不限于此示例。例如，利用指示显示在可用设备登记屏幕410上的信息设备的图标图像，这些图标图像中的相应的一个可以被指定以选择期望使得可用的信息设备。

图11示出了采用图标图像的根据第一实施例的可用设备登记屏幕410’的示例。在图11的示例中，在可用设备登记屏幕410’中，以图标图像11a’、图标图像11b’和图标图像11c’的形式显示可以被允许使用的信息设备11a、信息设备11b和信息设备11c。

在从图标图像11a’、图标图像11b’和图标图像11c’中选择所期望的图标图像之后，当登记按钮414’被操作时，主机终端32向通信控制装置20发送关于与所选择的图标图像相对应的信息设备的设备信息。此外，可以从可用设备登记屏幕410’上的图标图像11a’、11b’和11c’中选择多个图标图像，并且主机终端32可以向通信控制装置20发送关于多个信息设备的设备信息。

随后，响应于在主机终端32上执行的操作，主机终端32向通信控制装置20发送认证AP 40的激活的请求(步骤S104)。响应于此激活的请求，通信控制装置20指令无线LAN控制模块215激活认证AP 40(步骤S105)。响应于此激活指令，无线LAN控制模块215激活认证AP 40(步骤S106)。

在发送认证AP 40的激活的请求之后，主机终端32请求认证/连接控制单元213提供将用于认证访客终端30的认证屏幕(步骤S120)。响应于该请求，从认证/连接控制单元213向主机终端32发送认证屏幕(步骤S121)。主机终端32接收此认证屏幕，并且使得显示单元322在显示设备上显示认证屏幕。稍后将描述认证屏幕的具体示例。

在认证AP 40的激活之后，访客终端30经由无线通信使用Wi-Fi(注册商标)连接到认证AP 40(步骤S107)。这里，主机用户已经提前向访客用户通知了认证AP 40的SSID。认证AP 40不需要使用有线等效加密(Wired Equivalent Privacy，WEP)密钥来执行加密。

例如，访客用户操作访客终端30以从可连接设备中选择认证AP 40；然后将访客终端30已经被通知的认证AP40的SSID输入到在访客终端30上显示的认证AP 40的登录屏幕；以及然后向认证AP 40发送该输入的SSID。以这种方式，在访客终端30和认证AP 40之间执行认证处理，从而建立访客终端30与认证AP 40之间的连接。

当建立了到认证AP 40的连接时，访客终端30发送IP地址请求，从而请求访客终端30在网络10上的IP地址。由通信控制装置20中的连接引导单元212经由认证AP 40接收此IP地址请求(步骤S108和步骤S109)。连接引导单元212响应于此IP地址请求而生成IP地址，并且向访客终端30提供所生成的IP地址(步骤S110和步骤S111)。访客终端30在其中存储从通信控制装置20提供的IP地址作为访客终端30的IP地址。

随后，例如响应于正在被访客用户操作，访客终端30使用超文本传输协议(HTTP)执行对任何URL的接入(步骤S130)。从访客终端30发送的对所期望URL的接入请求被通信控制装置20接收，并且被连接引导单元212获取。连接引导单元212向认证/连接控制单元213发送所获取的接入请求，从而将来自访客终端30的接入强制地引导到认证/连接控制单元213(步骤S132)。

响应于从连接引导单元212引导并发送的接入请求，认证/连接控制单元213向访客终端30发送认证信息输入屏幕。从认证/连接控制单元213发送的认证信息输入屏幕由访客终端30经由认证AP 40所接收(步骤S133、步骤S134)。

访客终端30使得显示单元312在显示设备304上显示从认证/连接控制单元213发送的认证信息输入屏幕。访客用户操作访客终端30以向此认证信息输入屏幕输入认证信息(步骤S135)。这里由访客用户输入的认证信息是在根据图8中的前述序列图的处理之前主机用户已经通知的认证信息。

图12示出了根据第一实施例的访客终端30的显示设备304上显示的认证信息输入屏幕的示例。在图12中，认证信息输入屏幕430包括信息显示区域4301和输入区域4302。在信息显示区域4301中，显示例如当前网络系统1a中的访客终端30的当前状态以及指示与此认证信息输入屏幕430有关的当前处理的信息。

输入区域4302包含例如绘画区域4310、发送按钮4311和清除按钮4312。在绘画区域4310中，根据对访客终端30的输入设备306的操作执行绘画。访客用户基于主机用户已经提前通知的认证信息在绘画区域4310中执行绘制。绘画的内容不受限制，只要访客用户和主机用户可以共享内容是什么的识别，并且可以是图画、(一个或多个)字符或(一个或多个)符号。响应于发送按钮4311的操作，从访客终端30发送例如在绘画区域4310中绘制的认证信息(认证图像)(步骤S136)。

可以通过在认证信息输入屏幕430上操作清除按钮4312来擦除绘画区域4310中的绘制的内容。绘画区域4310不限于在其中通过绘画输入认证信息的输入方法，并且例如可以以字符串的形式输入认证信息。

由认证/连接控制单元213经由认证AP 40接收从访客终端30发送的认证信息(认证图像)(步骤S137)。认证/连接控制单元213将所接收到的认证信息发送到主机终端32(步骤S138)。主机终端32在步骤S121从认证/连接控制单元213接收到的认证屏幕上显示所接收到的认证信息显示(步骤S139)。

图13示出了根据第一实施例的在主机终端32上显示的认证屏幕的示例。在图13中，认证屏幕440包括信息显示区域4401和认证区域4402。在信息显示区域4401中，显示例如关于用于访客终端30到网络10的接入的设置的信息。

认证区域4402包括终端信息显示部分4405、认证信息显示部分4406、认证按钮4407和连接信息显示部分4408。在终端信息显示部4405中，显示关于经历认证的访客终端30的信息(诸如IP地址)。在认证信息显示部4406中，显示从访客终端30发送的认证信息(认证图像)。认证按钮4407是将用于认证经历认证的访客终端30的按钮。连接信息显示部分4408指示访客终端30的连接状态。

例如，当响应于在认证信息显示部分4406上显示的认证信息(认证图像)，主机用户操作认证按钮4407时，主机终端32向认证/连接控制单元213发送指示访客终端30已被认证的认证OK通知(步骤S140)。在从主机终端32接收到认证OK通知时，认证/连接控制单元213生成包含要由访客终端30使用以连接到访客AP 41的连接信息的连接信息文件。

认证/连接控制单元213产生对于访客AP 41的SSID和包含加密密钥(PSK)的连接信息文件，然后例如随机地生成此连接信息文件的文件名。认证/连接控制单元213经由认证AP 40将包含此随机生成的文件名并且指示在网络10上的连接信息文件的位置的URL发送到访客终端30(步骤S141和步骤S142)。

响应于接收到从认证/连接控制单元213发送的URL，访客终端30根据所接收的URL经由认证AP 40，请求认证/连接控制单元213提供将用于连接到访客AP 41的连接信息文件(步骤S150，步骤S151)。响应于此请求，认证/连接控制单元213经由认证AP 40将连接信息文件发送到访客终端30，从而向访客终端30提供该连接信息文件(步骤S152和步骤S153)。访客终端30将从认证/连接控制单元213发送的连接信息文件安装在访客终端30自身中以设置连接信息(步骤S154)。

当在上述步骤S140中操作认证按钮4407之后，通过由主机用户在主终端32上的进一步操作来提供终止认证AP 40的指令时，主机终端32向认证/连接控制单元213发送终止认证AP 40的请求(步骤S160)。响应于此终止请求，认证/连接控制单元213指令无线LAN控制模块215以终止认证AP 40(步骤S161)。响应于此终止指令，无线LAN控制模块215终止认证AP 40的操作(步骤S162)。

响应于认证AP 40的操作的终止，访客终端30识别与认证AP 40的连接已经断开，从而确认认证AP 40已经终止(步骤S163)。在确认认证AP 40已被终止之后，访客终端30根据在步骤S154处设置的连接信息连接到访客AP 41(步骤S170)。以这种方式，使访客终端30能够接入到网络10。

在第一实施例中，从访客终端30到任何目的地的接入被强制地引导到认证/连接控制单元213，并且认证信息输入屏幕从认证/连接控制单元213被发送到访客终端30。随后，主机用户基于访客用户已经提前被通知的并且已经输入到认证信息输入屏幕的认证信息来确定是否允许访客终端30到网络10的连接。因此，访客终端30可以容易地连接到网络10。此外，可以防止从组织外部到网络10的恶意进入。另外，在第一实施例中，主机用户确定是否允许访客终端30连接到网络10，并且因此能够在不改变接入点等的设置的情况下控制是否允许访客终端30的连接。

(第一实施例的第一修改)

接下来描述第一实施例的第一修改。图14示出了根据第一实施例的第一修改的网络系统的示例性配置。在图14中与上述图1中相同的组件被分配相同的参考符号，并省略其详细描述。

在图14中，在根据第一实施例的第一修改的网络系统1b中，经由主机AP 42通过使用无线LAN将主机终端32连接到通信控制装置20。主机AP 42进一步被连接到通信控制装置20中的认证/连接控制单元213。主机终端32根据例如WPA2Personal中指定的加密方案执行与主机AP 42的通信。用于访客终端30到网络10的连接的处理与根据使用图8所描述的第一实施例的连接处理相同，并且这里省略其详细描述。

(第一实施例的第二修改)

接下来描述第一实施例的第二修改。图15示出了根据第一实施例的第二修改的网络系统的示例性配置。在图15中与上述图1中相同的组件被分配相同的参考符号，并省略其详细描述。

在图15中，在根据第一实施例的第二修改的网络系统1c中，访客终端30与其通信的认证AP 40’和访客AP 41’、以及主机终端32与其通信的主机AP 42’被连接到网络10。在这种情况下，以与前述第一实施例的第一修改相同的方式，主机终端32根据例如WPA2Personal中指定的加密方案与主机AP 42’通信。

另外，如在根据使用图8所描述的第一实施例的连接处理的情况下，访客终端30在通过其中不执行基于WPA2Personal的加密的通信来连接到认证AP 40’的同时，经由认证AP40执行认证处理。随后，在被成功认证之后，访客终端30在基于WPA2Personal的加密方案下经由访客AP 41’与网络10通信。

第一实施例的第一修改和第一实施例的第二修改还被配置为使得：从访客终端30到任何目的地的接入可以被强制地引导到认证/连接控制单元213，以使得访客终端30显示认证信息输入屏幕；以及主机用户基于访客用户已经被提前通知的并且已经输入到认证信息输入屏幕的认证信息来确定是否认证访客终端30。因此，访客终端30可以容易地连接到网络10，同时可以防止从组织外部到网络10的恶意进入。另外，在第一实施例的每个单独的修改中，主机用户确定是否允许访客终端30连接到网络10，并且因此使得能够在不改变接入点等的设置的情况下控制是否允许访客终端30的连接。

(第二实施例)

接下来描述第二实施例。根据上述第一实施例的将要在通信控制装置20上执行的功能可以基于软件定义网络(Software-Defined Network，SDN)的概念而配置。这里，示意地描述SDN。

专门在组织内部建立的组织内LAN等的网络环境由熟知关于由各种供应商提供的LAN交换机和无线LAN接入点的设置和操作的专门负责人来构建，已经是普遍的实践。这种网络环境被构建成所谓的“供应商锁定状态”，在该状态中不提供除了基于来自供应商的解决方案的认证机制和操作过程以外的认证机制和操作过程。在这种网络环境中，因此组织已经难以自由设置认证机制和操作过程。

关于此不便，作为使组织作为用户能够构建唯一网络的方式，近年来被称为SDN的概念已经引起关注，其使能仅利用软件来控制通过网络的数据交换。结合此SDN，已经引起关注的代表性组成技术要素包括“网络的虚拟化”和“OpenFlow”，“OpenFlow”是用于通过这样虚拟化的网络来控制通信的一种方案(协议)并且具有独立于供应商的开放规范。

网络虚拟化是包括多个构成要素的技术的集合，这些构成元素包括例如使一个物理接口看起来是多个接口(或使多个物理接口看起来是一个接口)的虚拟接口技术、以及用于中继和连接虚拟接口的虚拟交换机技术。网络虚拟化使用物理网络机器、虚拟网络组件和协议技术的组合来虚拟地将逻辑网络配置与物理网络配置分离，以实施没有物理配置的灵活的网络配置。

OpenFlow将通信视为端到端的流，并且允许以这种流为单位的路由控制、负载分发、优化。具体地，通过对中央控制的系统的改变而不是以自主分布式的方式分析和传递中继设备等中的数据分组来实施OpenFlow。

OpenFlow从“控制平面”分离作为处理简单物理传递分组的部分的“数据平面，该控制平面分析数据、确定传递目的地以及控制确定。在OpenFlow中，控制该控制平面的OpenFlow控制器(OFC)提供关于传递规则的指令，以及处理该数据平面的OpenFlow交换机(OFS)根据来自OFC的指令传递分组。更具体地，OFS根据流表来传递分组，OFC对该流表进行添加和改变，并且该流表由OFS保留。使用此机制使OpenFlow能够被用作控制前述网络虚拟化的工具。

图16是示出根据第二实施例的通信控制装置的功能的示例性功能框图。在图16中，通信控制装置20’是在其中通过应用SDN的概念来配置根据第一实施例的通信控制装置20的情况的示例。根据上述第一实施例的第一修改的网络系统1b可应用于第二实施例。可替换地，根据第一实施例的网络系统1a可以被应用于第二实施例。

在图16中，通信控制装置20’包括Web服务器单元2000、控制器2001、RADIUS服务器单元2002、强制网络门户单元2003、I/O单元2004和交换机单元2005。这些Web服务器单元2000、控制器2001、RADIUS服务器单元2002、强制网络门户单元2003、I/O单元2004和交换机单元2005由在CPU 201上运行的计算机程序来构建。

此外，在图16中，认证AP 40”、访客AP 41”和主机AP 42”是各个Wi-Fi(注册商标)兼容的接入点。这些认证AP 40”、访客AP 41”和主机AP 42”可以由独立的硬件单独地构建，或者可以由计算机程序虚拟地构建。在这种情况下，例如，在通信控制装置20中，由CPU 201根据计算机程序对于在一个无线LAN中的一个接入点将认证AP 40”、访客AP 41”和主机AP42”的SSID从一个切换到另一个。有线LAN单元43控制通信控制装置20’和网络10之间的通信。

在图16中，认证AP 40”和访客AP 41”分别对应于根据第一实施例的认证AP 40和访客AP 41。也就是说，认证AP 40”与访客终端30通信而无需在如WPA2Personal的这种方案下的加密，并且访客AP 41”根据例如WPA2 Personal中指定的加密方案与访客终端30通信。此外，在图16中，主机AP 42”对应于第一实施例的第一修改中的主机AP 42，并且根据WPA2Personal中指定的加密方案与主机终端32通信。

在图16中，Web服务器单元2000可以例如通过遵照HTTP经由访客AP 41”和主机AP42”分别与访客终端30和主机终端32通信来向访客终端30和主机终端32提供网页。RADIUS服务器单元2002例如对主机终端32和访客终端30执行认证处理。

在图16中，强制网络门户单元2003对应于第一实施例中的连接引导单元212，并且具有例如将接收到的分组强制地引导到特定目的地的功能以及DHCP功能。Web服务器单元2000、控制器2001和RADIUS服务器单元2002各自被包含在第一实施例的认证/连接控制单元213中。关于控制器2001，前述OFC的功能可以例如由控制器2001来实施。I/O单元2004根据例如附加到输入数据并指示目的地的信息来控制该输入数据的路由。

访客AP 41”、主机AP 42”和有线LAN单元43被连接到交换机单元2005。交换机单元2005对应于前述OFS，并且具有流表和作为虚拟桥的功能。虚拟桥虚拟地以计算机程序的形式实施在通过有线LAN单元43连接的网络10和使用访客AP 41”和主机AP 42”的无线LAN通信之间中继分组的桥。交换机单元2005例如根据由控制器2001写入流表中的传递控制信息来控制被中继的每个分组的行为。传递控制信息包含经历处理的分组和此分组的传递目的地的情况。

接下来，参照图8中的前述序列图来描述根据第二实施例的用于将访客终端30连接到网络10的处理的示例。如果通过RADIUS服务器单元2002的认证成功(图8中的步骤S100到步骤S103)，则主机终端32请求控制器2001激活认证AP 40”(图8中的步骤S104)。控制器2001响应于此请求激活认证AP 40(图8中的步骤S105和步骤S106)。

然后，主机终端32请求通信控制装置20’提供认证屏幕(图8中的步骤S120)。经由主机AP 42”将此认证屏幕请求输入到交换机单元2005。在交换机单元2005中，由控制器2001将传递控制信息写入流表中。传递控制信息使能够经由主机AP 42”在主机终端32与Web服务器单元2000之间进行分组传递。根据此传递控制信息，交换机单元2005将从主机AP42”输入的认证屏幕请求发送到Web服务器单元2000(图8中的步骤S121)。

另一方面，访客终端30连接到这样激活的认证AP 40”(图8中的步骤S107)，并且请求通信控制装置20’提供IP地址(图8中的步骤S108和步骤S109)。此IP地址请求由强制网络门户单元2003接收。

强制网络门户单元2003响应于所接收的IP地址请求发出IP地址，并且经由认证AP40”将该IP地址发送到访客终端30，从而向访客终端30提供IP地址(图8中的步骤S110和步骤S111)。

当在此时间点执行基于HTTP使用任何URL从访客终端30到通信控制装置20’的接入时，将接入请求从认证AP 40”发送到强制网络门户单元2003(图8中的步骤S130和步骤S131)。强制网络门户单元2003经由I/O单元2004将所发送的接入请求发送到Web服务器单元2000(图8中的步骤S132)。Web服务器单元2000响应于所发送的接入请求将例如使用图12所述的认证信息输入屏幕发送到访客终端30(图8中的步骤S133和步骤S134)。

访客终端30将根据认证信息输入屏幕输入的认证信息发送到通信控制装置20’(图8的步骤S136)。该认证信息由认证AP 40”接收，并且从认证AP 40”经由强制网络门户单元2003被发送到Web服务器单元2000(图8中的步骤S137)。Web服务器单元2000将所发送的认证信息输入到交换机单元2005。根据写入流表的传递控制信息，交换机单元2005经由主机AP 41”将所输入的认证信息发送到主机终端32(图8中的步骤S138)。主机终端32接收该认证信息，并且将所接收到的认证信息显示在已经获取的认证屏幕上(图8的步骤S139)。

当针对显示在认证屏幕上的认证信息通过用户的操作进行认证时，主机终端32发送认证OK信息(图8中的步骤S140)。认证OK通知从主机AP 42”被发送到交换机单元2005，并且该认证OK通知由交换机单元2005根据写在流表中的传递控制信息发送到Web服务器单元2000。响应于认证OK通知，Web服务器单元2000产生包含例如访客AP 41”的SSID和加密密钥的连接信息文件，并且随机地生成此连接信息文件的文件名。网络服务器单元2000经由认证AP40”向访客终端30发送指示在网络10上的包含此随机生成的文件名的连接信息文件的位置的URL(步骤S141和步骤S142)。

根据从通信控制装置20’所发送的URL，访客终端30经由认证AP 40”请求通信控制装置20’提供将用于连接到访客AP 41”的连接信息文件(图8中的步骤S150)。此请求被发送到强制网络门户单元2003，然后从强制网络门户单元2003被发送到Web服务器单元2000(图8中的步骤S152)。响应于此请求，Web服务器单元2000经由认证AP 40”将连接信息文件发送到访客终端30(图8中的步骤S152和步骤S153)。因此，连接信息文件从通信控制装置20’被递送到访客终端30。访客终端30将从通信控制装置20’发送的连接信息文件安装在访客终端30自身中以设置连接信息(图8中的步骤S154)。

当在认证OK通知的发送之后通过由主机用户在主终端32上的操作来提供终止认证AP 40的指令时，主机终端32发送终止认证AP 40”的请求。此终止请求由认证AP 40”经由Web服务器单元2000、I/O单元2004和强制网络门户单元2003所接收，使得认证AP 40”停止工作(图8中的步骤S160至步骤S162)。

在确认认证AP 40”已经终止(图8中的步骤S163)之后，访客终端30根据在步骤S154中设置的连接信息连接到访客AP 41”(图8中的步骤S170)。这里，在通信控制装置20’中，使能够在访客终端30与网络10之间经由访客AP 41”和有线LAN单元43进行分组传递的传递控制信息被写入控制器2001中的交换机单元2005的流表中。因此，使访客终端30能够经由通信控制装置20’接入网络10。

在第二实施例中，优选的是，通过保护的通信至少进行与在访客端终端30与Web服务器单元2000之间进行的通信(步骤S130到图8中的步骤S153)的连接信息文件的递送有关的通信(例如，图8中的步骤S141到步骤S153)。例如，利用被用作通信协议的超文本传输协议安全(HTTPS)来进行在访客终端30与Web服务器单元2000之间进行的并且与连接信息文件的递送有关的通信。通过使用HTTPS进行与连接信息文件的递送有关的通信可以更安全地执行连接信息文件的递送。

在第二实施例中，OpenFlow被应用于根据第一实施例的前述配置。组织中的人(主机用户)基于组织外部的人(访客用户)已经提前通知并且该人已经输入的认证信息所利用的来确定是否允许访客终端30连接到网络10的系统可以被更灵活并且更容易地配置。

参考符号列表

1a、1b、1c 网络系统

10 网络

11a、11b、11c 信息设备

12 管理服务器

20、20’ 通信控制装置

30 访客终端

32 主机终端

40、40’、40” 认证AP

41、41’、41” 访客AP

42、42’、42” 主机AP

43 有线LAN单元

201、301 CPU

204、305 储存器

212 连接引导单元

213 认证/连接控制单元

214 通信控制单元

215 无线LAN控制模块

304 显示设备

306 输入设备

311、321 输入单元

312、322 显示单元

400 登录屏幕

410 可用设备登记屏幕

420 通信管理屏幕

430 认证信息输入屏幕

440 认证屏幕

2000 Web服务器单元

2001 控制器

2002 RADIUS服务器单元

2003 强制网络门户单元

2004 I/O单元

2005 交换机单元

引用列表

专利文献

PTL 1：日本特开专利公开号2013-038498

Claims (10)

1.一种通信系统，包括：

第一通信单元，被配置为与终端装置通信；

第二通信单元，被配置为经由网络通信；

认证单元，被配置为响应于来自所述终端装置的接入，发送用于输入认证信息的认证屏幕；

连接引导单元，被配置为将从所述终端装置经由所述第一通信单元进行的并且被寻址到任何目的地的通信连接到所述认证单元；

显示单元，被配置为显示输入到所述认证屏幕并且由所述终端装置输出的所述认证信息，所述终端装置已经通过所述连接引导单元连接到所述认证单元，并且所述认证屏幕已经被发送到所述终端装置；

输入单元，被配置为接收用户输入；以及

连接控制单元，被配置为根据所述显示单元的显示，按照由所述输入单元所接收的用户输入允许所述终端装置经由所述第二通信单元到所述网络的连接。

2.根据权利要求1所述的通信系统，其中所述连接控制单元在从所述连接被允许时开始经过预先确定的时间之后终止经由所述第二通信单元的连接。

3.根据权利要求1或2所述的通信系统，其中所述认证单元以图像的形式发送用于输入所述认证信息的所述认证屏幕。

4.根据权利要求1至3中任一项所述的通信系统，其中所述认证单元按照指令来控制通过所述第一通信单元的通信的开始和终止。

5.根据权利要求1至4中任一项所述的通信系统，其中所述连接引导单元响应于由所述终端装置经由所述第一通信单元所做出的请求，向所述终端装置发送指示所述终端装置在所述网络上的位置的位置信息，并且将从所述位置信息进行的并且被寻址到任何目的地的通信连接到所述认证单元。

6.根据权利要求1至5中任一项所述的通信系统，其中每次所述连接被允许时，所述连接控制单元随机地生成经由所述第二通信单元的通信所需要的信息，并且将所述信息发送到其连接被允许的所述终端装置。

7.根据权利要求1至6中任一项所述的通信系统，其中所述连接控制单元能够从多个接入级别中为向所述输入单元提供用户输入的用户选择接入级别。

8.根据权利要求1至7中任一项所述的通信系统，其中所述连接控制单元通过受保护的通信来进行用于允许所述终端装置经由所述第二通信单元到所述网络的连接的通信。

9.一种通信方法，包括：

将从终端装置经由第一通信单元进行的并且被寻址到任何目的地的通信连接到认证单元；

由认证单元响应于来自所述终端装置的接入而发送用于输入认证信息的认证屏幕；

显示输入到所述认证屏幕并且由所述终端装置输出的所述认证信息，所述终端装置已经在连接时被连接到所述认证单元并且所述认证屏幕已经被发送到所述终端装置；以及

根据在显示时的显示，按照所接收的用户输入允许所述终端装置经由所述第二通信单元到所述网络的连接。

10.一种计算机程序，使得通信装置执行：

将从终端装置经由第一通信单元进行的并且被寻址到任何目的地的通信连接到认证单元；

由认证单元响应于来自所述终端装置的接入而发送用于输入认证信息的认证屏幕；

显示输入到所述认证屏幕并且由所述终端装置输出的所述认证信息，所述终端装置已经在连接时被连接到所述认证单元并且所述认证屏幕已经被发送到所述终端装置；以及

根据在显示时的显示，按照所接收的用户输入允许所述终端装置经由第二通信单元到所述网络的连接。