【0001】
【発明の属する技術分野】
本発明は、無線によるスポットインターネット接続サービスなどのIPネットワークへの接続に際し、ディジタルカメラ、ディジタルビデオカメラ、インターネットカメラサーバなど、通信パラメータを設定するためのマンマシンインターフェースが貧弱な機器に対する、ネットワーク認証の代行に関するものである。
【0002】
【従来の技術】
従来の無線ネットワーク認証処理に関しては、ネットワークサービス提供者が指定した各種パラメータを無線クライアント端末側で記憶しておき、無線通信のリンクを形成時に記憶しておいたパラメータを用いて認証処理を行うのが一般的であった。
【0003】
無線クライアント端末のローミング(例えば、特許文献1参照。)や、加入者認証サーバの負荷の軽減(例えば、特許文献2参照。)、又は認証サーバ自身のセキュリテイ確保(例えば、特許文献3参照。)を目的に無線ネットワーク認証処理を、他の認証サーバが代行する手法が提案されているが、何れの場合も認証に用いる各種パラメータは、ネットワークサービス提供者が指定し、無線クライアント端末側で内部に記憶する構成となっている。
【0004】
【特許文献1】
特開平10−70540号公報
【特許文献2】
特開平10−13956号公報
【特許文献3】
特開2001−273257号公報
【発明が解決しようとする課題】
しかしながら、上記従来例では、以下のような問題点があった。
【0005】
ネットワーク接続サービスを提供する無線ネットワークを統括する認証サーバ内に、全ての接続無線クライアント端末に対する認証のためのパラメータを記憶させておく必要はなくなったが、無線クライアント端末側には、少なくとも1つ以上のネットワーク接続サービス提供者が割り当てた識別情報を記憶しておく必要があり、ディジタルカメラ、ビデオカメラ、インターネットカメラサーバなど通信パラメータを設定するためのマンマシンインターフェースが貧弱な機器で、無線によるスポットインターネット接続サービスを享受しようとする場合、煩雑操作手順によるパラメータの設定や、専用冶具、パーソナルコンピュータなどの接続によるパラメータの設定、或いは各種記憶媒体の装着によるパラメータ情報のコピーなどが必要であった。このため、パラメータ設定操作に際してユーザに多大な負担をかけていた。
【0006】
本発明は、上記課題を解決するためになされたもので、無線端末からの所定のネットワークへの接続要求時に、その無線端末に割当てられた機器識別情報によって認証処理を行うことを目的とする。
【0007】
【課題を解決するための手段】
上記目的を達成するために、本発明は、無線通信装置に対して所定のネットワークへの接続サービスを提供する接続サービスにおける認証方法であって、前記無線通信装置が前記所定のネットワークへの接続を要求する際に認証を行う場合は、認証に用いる情報に応じて、前記接続サービス提供者とは異なる前記無線通信装置の提供者に認証代行を依頼することを特徴とする。
【0008】
【発明の実施の形態】
以下、本発明に係る無線スポット接続サービスにおける認証システムの実施の形態について、図面を参照しながら説明する。
【0009】
無線スポット接続サービスにおける認証システムの実施形態として、無線通信媒体にIEEE802.11系の無線IPネットワークを採用し、認証システムにIEEE802.1x系の認証システムを採用した無線スポット接続サービスにて、サービス利用者の認証を無線クライアント端末のベンダが代行する例を示す。
【0010】
特に、加入者情報設定のための操作インターフェースの乏しいディジタルカメラなどのノンPC機器を無線クライアント端末として利用し、その端末からの接続要求の際に、無線スポット接続サービスにおける認証システムを用いてノンPC機器ベンダが認証処理を代行する認証システムの構成及び認証代行処理について説明する。
【0011】
[第1の実施形態]
図1は、第1の実施形態の無線通信対応ディジタルカメラをクライアント端末とした無線スポット接続サービスにおける認証システムの概念図である。図1において、10は無線スポット接続サービスのサービスエリアである。11は接続サービスにおいて接続対象とする広域バックボードネットワークである。100は無線通信対応ディジタルカメラである。101はこのスポットサービスエリア10を統括するアクセスポイントである。102は無線接続クライアントユーザの認証を行うスポットサービス提供者認証サーバである。そして、103は無線接続されたクライアント機器の認証を行う機器ベンダ認証サーバである。
【0012】
図2は、無線通信対応ディジタルカメラの機能構成を示すブロック図である。図2において、200はシステムバスである。201は撮像部であり、CCDによって光学的に撮像した被写体の映像を電気信号に変換して出力する。202は映像処理部であり、撮像部201から出力された映像信号に所定の処理を施す。203は無線メディアアクセス処理部であり、送信するディジタル信号を無線で送信するために変調すると共に後述するRF部によって受信した信号を検波し、ディジタル信号に変換する。204はRF部であり、無線メディアアクセス処理部203からの変調された送信データを無線送信可能な形式に変換してアンテナに送ると共に、アンテナによって無線受信した情報より変調されたデータを取り出し、無線メディアアクセス処理部203へ出力する。
【0013】
205はCPUであり、不揮発性メモリに格納されたプログラム及びデータに従ってディジタルカメラを制御する。206はフラッシュROMであり、起動時のプログラムやディジタルカメラの制御プログラム及びデータを記憶するメモリである。207はLCDなどで構成される表示部であり、ディジタルカメラ本体の状態や撮像した映像が表示される。208は表示処理部であり、表示部207に表示するデータを処理する。209はRAMであり、CPU205が各種処理を実行時に使用されるワークエリアやテーブルなどが定義されたメモリである。210は操作部であり、ディジタルカメラへの指示や各種設定を行うためのキーを備えている。211はシステムコントローラであり、操作部210を制御するコントローラである。212はメモリカードインターフェース(I/F)であり、213のメモリカードへのアクセス(書き込み/読み出し)を制御する。尚、メモリカード213は、ディジタルカメラに着脱自在に接続され、撮像した映像信号などが記憶される。214はオーディオインターフェース(I/F)であり、215はUSBインターフェース(I/F)である。
【0014】
次に、無線通信対応ディジタルカメラ100の不揮発記憶部であるフラッシュROM206やメモリカード213にクライアントユーザ認証のためのユーザ識別情報の記憶操作をユーザが実施していない場合に、無線スポット接続サービスにおけるネットワーク接続認証処理をクライアント機器の機器ベンダ認証サーバ103が代行する例を、図3、図10、図11に示すシーケンスチャート、及び図4〜図9に示すフローチャートを用いて説明する。
【0015】
上述の無線通信対応ディジタルカメラ100が、無線スポット接続サービスのサービスエリア10内で無線通信媒体を経由してのネットワーク接続を開始する場合、先ず無線アクセスポイント101との間で無線区間のコネクションを確立(300)した後、バックボードネットワーク11の該当通信ポートをクローズし、無線通信対応ディジタルカメラ100のバックボードネットワーク11へのアクセスをブロックされた状態(301)にして、スポットサービス提供者との間でバックボードネットワーク11へのアクセス権付与の妥当性をチェックする認証処理を起動する。
【0016】
尚、本実施形態では、前記無線通信対応ディジタルカメラ100にIEEE802.1xEAP(Extensible Authentication Protocol)のサプリカント制御機能を具備しており、当該サプリカントのトリガで認証処理を開始するようにEAP Over LANStartメッセージ(302)を無線アクセスポイント101へ送信する。
【0017】
このEAP Over LAN Startメッセージを受付けた無線アクセスポイント101は、EAP−Request/Identityメッセージ(303)を無線通信対応ディジタルカメラ100に返送する。
【0018】
次に、このEAP− Request/Identity メッセージ(303)を受付けた無線通信対応ディジタルカメラ100は、自己の不揮発記憶部206、213を参照し、自己にサービス提供者が割当てたサービス加入者識別情報を検索する。その結果、サービス加入者識別情報が存在すれば、その識別情報を用いて、EAP−Response/Identity メッセージ(304)を返送し、IEEE802.1xEAPの認証処理を開始する。この処理は、従来の手法であるので、本実施形態では記載しない。また、存在しなければ、自己にユニークに割当てられた機器識別用の識別情報(本実施形態では機器に割当てられるMACアドレスを例に説明するが、無線呼出符号や機器シリアル番号でも良い)を、認証用のサービス加入者識別情報として用いて、EAP−Response/Identity メッセージ(304)を返送し、IEEE802.1xEAPの認証処理を開始する。
【0019】
上述のEAP−Response/Identity メッセージ(304)を受付けた無線アクセスポイント101は、無線通信対応ディジタルカメラ100毎にユニークに割当てられた機器識別用の識別情報を用いて、RADIUS−Access Requestメッセージ(305)をスポットサービス認証サーバ102に送信する。
【0020】
一方、このRADIUS−Access Requestメッセージ(305)を受付けたスポットサービス認証サーバ102は、図4に示す接続要求者の判定処理を起動する。
【0021】
まず、ログイン(ネットワークへの接続)を要求するユーザの識別情報を確認(S401)し、その識別情報が、スポットサービス提供者がサービス加入者に割当てたものであるのかの判定(S402)を行う。ここで、スポットサービス提供者が割当てたものでない場合、その識別情報(本実施形態では、機器に割当てられるMACアドレス)より無線通信対応ディジタルカメラ100のベンダを特定(S404)し、当該ベンダに対応する機器認証サーバのアドレスを検索(S405)する。次に、対応する機器ベンダの認証サーバ103を検出した場合には、当該機器ベンダの認証サーバ103にRADIUS−Access Requestメッセージ(306)を転送(S407)し、その機器ベンダ認証サーバ103による代行認証完了待ちタイマをセットしてスタート(S408)させ、1処理単位を終了する。
【0022】
また、上述した識別情報が、スポットサービス提供者がサービス加入者に割当てたものである場合及び、対応する機器ベンダの認証サーバを検出できなかった場合は、当該スポットサービス認証サーバ102自身でRADIUS( Remote Authentication Dial In User Service )認証処理の開始(S403)を指示し、1処理単位を終了する。
【0023】
一方、スポットサービス認証サーバ102から転送されたRADIUS−Access Requestメッセージ(306)を受付けた機器ベンダ認証サーバ103は、上述した識別情報(本実施形態では、機器に割当てられるMACアドレス)より無線通信対応ディジタルカメラ100の機器情報を特定し、その機器認証のために用いるワンタイムパスワードチャレンジ情報を生成する。そして、そのワンタイムパスワードチャレンジ情報をパラメータ情報として、RADIUS−Access Challengeメッセージ(307)を、スポットサービス認証サーバ102へ返送する。
【0024】
次に、機器ベンダ認証サーバ103からRADIUS−Access Challengeメッセージ(307)を受信したスポットサービス認証サーバ102は、そのメッセージの宛先を認証対象の無線通信対応ディジタルカメラ100に変更(S501)し、スポットサービスアクセスポイント101にRADIUS−Access Challengeメッセージ(308)を転送(S502)する。
【0025】
スポットサービス認証サーバ102からRADIUS−Access Challengeメッセージ(308)を受信したスポットサービスアクセスポイント101は、ワンタイムパスワードチャレンジ情報をパラメータ情報としてEAP−Requestメッセージ(309)を生成し、無線通信対応ディジタルカメラ100に送信する。
【0026】
ワンタイムパスワードチャレンジ情報を読み出した、無線通信対応ディジタルカメラ100は、機器ベンダが予め規定し、機器内部(206、213など)に記憶させてあるアルゴリズムに従い、そのワンタイムパスワードチャレンジ情報からワンタイムパスワードレスポンス情報を演算し、当該ワンタイムパスワードレスポンス情報をパラメータ情報として、EAP−Responseメッセージ(310)をスポットサービスアクセスポイント101へ返送する。
【0027】
無線通信対応ディジタルカメラ100からEAP−Responseメッセージ(310)を受信したスポットサービスアクセスポイント101は、ワンタイムパスワードレスポンス情報をパラメータ情報として、RADIUS−Access Request メッセージ(311)を生成し、スポットサービス認証サーバ102に送信する。
【0028】
次に、スポットサービスアクセスポイント101からRADIUS−Access Request メッセージ(311)を受信したスポットサービス認証サーバ102は、そのメッセージの宛先を変更(S601)し、対応する機器ベンダの認証サーバ103へRADIUS−Access Requestメッセージ(312)を転送(S602)する。
【0029】
一方、スポットサービス認証サーバ102からRADIUS−Access Request メッセージ(312)を受信した機器ベンダ認証サーバ103は、そのメッセージよりワンタイムパスワードレスポンス情報を読出し、その情報の妥当性から機器認証処理を行い、機器認証に成功した場合はRADIUS−Access−Acceptメッセージ(313)を、また失敗した場合にはRADIUS−Failureメッセージを、スポットサービス認証サーバ102に送信する。
【0030】
また、機器認証に成功した場合は、今回の認証に関わる情報(認証の有効期限、一時サービス利用者としての登録の有無等)を併せて、スポットサービス認証サーバ102に通知する。
【0031】
次に、機器ベンダ認証サーバ103からRADIUS−Access−Acceptメッセージ(313)を受信したスポットサービス認証サーバ102は、ユーザ認証の有効期限と識別情報とを一時サービス加入者として登録(S701)する。そして、メッセージの宛先を変更(S702)し、スポットサービスアクセスポイント101にRADIUS−Access−Acceptメッセージ(314)を転送し、代行認証完了待ちタイマをクリア(S704)する。
【0032】
スポットサービス認証サーバ102からRADIUS−Access Acceptメッセージ(314)を受信したスポットサービスアクセスポイント101は、EAP−Successメッセージ(315)を生成し、認証の成功を、RADIUS−Access Acceptメッセージ(314)の情報要素内データ暗号化用共通鍵情報の格納エリアより情報を抽出し、抽出した情報をパラメータとしたEAP Over LAN−Key メッセージを生成し、今後のユニキャスト無線通信回線にて利用する暗号化の共通鍵(WEP鍵)を、無線通信対応ディジタルカメラ100に送信する。
【0033】
このメッセージの送信後は、通信ポートをオープン(317)し、無線通信対応ディジタルカメラ100のバックボードネットワーク11へのアクセスを解除する。
【0034】
尚、スポットサービス認証サーバ102は、機器ベンダ認証サーバ103に代行認証を依頼(RADIUS Access Requestメッセージ を送信)した後に、規定時間以内に代行認証の完了(RADIUS Access Accept の受信)が無い場合、上述の代行処理待ちタイマがタイムアップする。また、このタイムアップの際には、スポットサービス認証サーバ102にて加入者認証(RADIUS認証)の失敗事象が起きた場合と同一の処理を起動(S801)し、スポットサービスアクセスポイント101に認証の失敗を通知し、スポットサービスアクセスポイント101の通信ポートをクローズした状態で無線通信対応ディジタルカメラ100のネットワーク11へのアクセスをブロックする。
【0035】
上述した処理により、無線通信対応ディジタルカメラ100の利用者は、無線スポットサービス提供者の付与するネットワーク接続の際に、認証処理において必要な利用者識別情報を機器内に記憶させることなく、無線スポットサービスのネットワークへの接続(ログイン)が可能となる。
【0036】
[第2の実施形態]
次に、図面を参照しながら本発明に係る第2の実施形態を詳細に説明する。
【0037】
第2の実施形態における認証システムの構成は第1の実施形態と同様であり、その説明は省略する。
【0038】
第1の実施形態にて記載の機器ベンダ認証サーバ103から通知された、記憶している認証に関わる情報(代行認証の有効期限、一時サービス利用者としての登録の有無等)に従って無線アクセスポイント101が規定の時間間隔(RADIUS認証有効期間間隔、図10に示す1001、図11に示す1101)で実行する、ネットワーク接続中(ログイン中)のユーザ認証が起動される際のシーケンスチャートを図10、図11に示す。
【0039】
図10は、スポットサービス認証サーバに、無線通信ディジタルカメラのMACアドレスが一時サービス利用者として登録されている際のシーケンスであり、機器ベンダ認証サーバへの認証代行処理は起動されないため、ネットワーク接続(ログイン)のためのオーバーヘッドの短縮が可能である。
【0040】
また、一時サービス利用者の代行有効期限の満了時刻後は、一時サービス利用者としての識別情報が抹消(S901)され、スポットサービス認証サーバ102に、当該無線通信ディジタルカメラ100のMACアドレスが一時サービス利用者として登録されていないので、図11に示すシーケンスのように、機器ベンダ認証サーバ103への認証代行処理が再度起動される。そして、第1の実施形態で説明した処理と同様の認証代行処理が再度行われ、機器ベンダサーバ側の意思によって今後のネットワーク接続(ログイン)の可否を決定することが可能となる。
【0041】
今回の無線通信対応ディジタルカメラのケースでは、利用者が機器ベンダ経由でネットワークプリントサービスや、機器ベンダのネットワークストレージサービスを規定ポイント以上利用したユーザは再度代行認証期間を延長する等の様々なユーザサービスを提供することが可能となる。
【0042】
[他の実施形態]
第1及び第2の実施形態においては、無線クライアント端末の例として、無線スポットIPネットワークサービス対応のディジタルカメラに内蔵した例を示したが、ディジタルビデオカメラ、インターネットカメラサーバ、プリンタなどに内蔵した場合や、これらの機器の汎用インターフェース(PCカードスロット、メモリカードスロット、USBインターフェースなど)に無線通信ユニットにて接続される場合においても、前述したようなパラメータ設定のためのマンマシンインターフェースが貧弱な機器を無線スポットIPネットワークサービスに対応させ、機器におけるネットワーク識別情報の入力という面倒な操作からユーザを解放することが可能である。
【0043】
以上説明した実施形態によれば、無線クライアント端末にユーザが事前に通信パラメータを設定している場合はもちろん、通信パラメータを設定していない場合にも、無線クライアント端末ベンダが機器認証を行い、その認証結果をユーザ認証の代替として無線スポット接続サービス提供者に提供することで、通信パラメータを設定していないユーザに対しても無線スポット接続サービスを提供することが可能となる。
【0044】
また、無線クライアント端末ベンダが機器認証を行った結果、成功した場合、無線スポット接続サービス提供者の利用者認証サーバがそのユーザをサービスの一時利用者として登録し、一定期間、機器認識の時の識別情報を一時利用者識別情報とみなし、一定期間、利用者認証サーバを司る。
【0045】
これにより、機器認証サーバの認証処理に関する負荷の軽減が可能となると共に、当該無線スポット接続サービスを利用して機器認証サーバを統括するサービス提供者の提供する有償付加サービス(プリントアウト、電子情報格納等)を利用する機器への認証代行期間の延長等、機器認証サービス提供者にも新たなビジネスモデルを提供することが可能となる。
【0046】
尚、本発明は複数の機器(例えば、ホストコンピュータ,インターフェース機器,リーダ,プリンタなど)から構成されるシステムに適用しても、1つの機器からなる装置(例えば、複写機,ファクシミリ装置など)に適用しても良い。
【0047】
また、本発明の目的は前述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記録媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(CPU若しくはMPU)が記録媒体に格納されたプログラムコードを読出し実行することによっても、達成されることは言うまでもない。
【0048】
この場合、記録媒体から読出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコードを記憶した記録媒体は本発明を構成することになる。
【0049】
このプログラムコードを供給するための記録媒体としては、例えばフロッピー(登録商標)ディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,磁気テープ,不揮発性のメモリカード,ROMなどを用いることができる。
【0050】
また、コンピュータが読出したプログラムコードを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0051】
更に、記録媒体から読出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部又は全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0052】
【発明の効果】
以上説明したように、本発明によれば、無線端末からの所定のネットワークへの接続要求時に、その無線端末に割当てられた機器識別情報によって認証処理を行うことにより、無線端末を使用するユーザの利便性を向上させることが可能となる。
【図面の簡単な説明】
【図1】第1の実施形態での無線通信対応ディジタルカメラをクライアント端末とした無線スポット接続サービスにおける認証システムの概念図である。
【図2】無線通信対応ディジタルカメラの機能構成を示すブロック図である。
【図3】無線通信対応ディジタルカメラの無線スポット接続サービス接続処理時の機器ベンダ認証サーバによる代行認証シーケンスを示す図である。
【図4】スポットサービス認証サーバのRADIUS−Access Requestメッセージを受付時の処理を示すフローチャートである。
【図5】スポットサービス認証サーバのRADIUS−Access Challengeメッセージを受付時の処理を示すフローチャートである。
【図6】スポットサービス認証サーバのRADIUS−Access Requestメッセージを受付時の処理を示すフローチャートである。
【図7】スポットサービス認証サーバのRADIUS−Access Acceptメッセージを受付時の処理を示すフローチャートである。
【図8】スポットサービス認証サーバの代行認証待ちタイマタイムアップ時の処理を示すフローチャートである。
【図9】スポットサービス認証サーバのユーザ認証の有効期限満了時の処理を示すフローチャートである。
【図10】第2の実施形態による一時サービス加入者としての登録情報あり時の代行認証シーケンスを示す図である。
【図11】第2の実施形態による一時サービス加入者としての登録情報なし時の代行認証シーケンスを示す図である。
【符号の説明】
10 スポットサービスエリア
11 接続対象IP広域ネットワーク
100 無線通信対応ディジタルカメラ
101 アクセスポイント
102 スポットサービス提供者認証サーバ
103 機器ベンダ認証サーバ[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention provides a network authentication method for devices such as digital cameras, digital video cameras, and Internet camera servers that have poor man-machine interfaces for setting communication parameters when connecting to an IP network such as a wireless spot internet connection service. It is about agency.
[0002]
[Prior art]
With regard to the conventional wireless network authentication processing, various parameters specified by the network service provider are stored on the wireless client terminal side, and the authentication processing is performed using the parameters stored when forming the wireless communication link. Was common.
[0003]
Roaming of wireless client terminals (for example, see Patent Document 1), reduction of the load on the subscriber authentication server (for example, see Patent Document 2), or security of the authentication server itself (for example, see Patent Document 3). A method has been proposed in which another authentication server performs the wireless network authentication processing on behalf of the purpose. In any case, various parameters used for authentication are specified by the network service provider and are internally stored on the wireless client terminal side. It is configured to memorize.
[0004]
[Patent Document 1]
JP-A-10-70540 [Patent Document 2]
Japanese Patent Application Laid-Open No. 10-13956 [Patent Document 3]
JP 2001-273257 A [Problems to be Solved by the Invention]
However, the conventional example has the following problems.
[0005]
It is no longer necessary to store parameters for authentication for all connected wireless client terminals in an authentication server that controls a wireless network that provides a network connection service, but the wireless client terminal side has at least one or more parameters. It is necessary to store the identification information assigned by the network connection service provider of this type, and it is a device with poor man-machine interface for setting communication parameters such as digital camera, video camera, Internet camera server, etc. To enjoy the connection service, it is necessary to set parameters by complicated operation procedures, set parameters by connecting dedicated jigs, personal computers, etc., or copy parameter information by installing various storage media. Was Tsu. For this reason, a heavy burden is imposed on the user during the parameter setting operation.
[0006]
The present invention has been made to solve the above-described problem, and has as its object to perform an authentication process based on device identification information assigned to a wireless terminal when the wireless terminal requests connection to a predetermined network.
[0007]
[Means for Solving the Problems]
In order to achieve the above object, the present invention is an authentication method in a connection service for providing a wireless communication device with a connection service to a predetermined network, wherein the wireless communication device establishes a connection to the predetermined network. When performing authentication at the time of the request, according to the information used for authentication, a request is made to perform authentication on behalf of a provider of the wireless communication device different from the connection service provider.
[0008]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, an embodiment of an authentication system in a wireless spot connection service according to the present invention will be described with reference to the drawings.
[0009]
As an embodiment of the authentication system in the wireless spot connection service, a service is used in a wireless spot connection service in which an IEEE 802.11 wireless IP network is adopted as a wireless communication medium and an IEEE 802.1x authentication system is adopted as an authentication system. An example in which a vendor of a wireless client terminal performs proxy authentication of a client.
[0010]
In particular, a non-PC device such as a digital camera having a poor operation interface for setting subscriber information is used as a wireless client terminal, and when a connection request is made from the terminal, a non-PC device using an authentication system in a wireless spot connection service is used. The configuration of an authentication system in which a device vendor performs authentication processing and the authentication proxy processing will be described.
[0011]
[First Embodiment]
FIG. 1 is a conceptual diagram of an authentication system in a wireless spot connection service using a wireless communication-compatible digital camera according to the first embodiment as a client terminal. In FIG. 1, reference numeral 10 denotes a service area of the wireless spot connection service. Reference numeral 11 denotes a wide area backboard network to be connected in the connection service. Reference numeral 100 denotes a digital camera compatible with wireless communication. An access point 101 controls the spot service area 10. Reference numeral 102 denotes a spot service provider authentication server that authenticates a wireless connection client user. Reference numeral 103 denotes a device vendor authentication server that authenticates wirelessly connected client devices.
[0012]
FIG. 2 is a block diagram showing a functional configuration of the digital camera supporting wireless communication. In FIG. 2, reference numeral 200 denotes a system bus. An imaging unit 201 converts an image of a subject optically captured by a CCD into an electric signal and outputs the electric signal. Reference numeral 202 denotes a video processing unit, which performs a predetermined process on a video signal output from the imaging unit 201. A wireless media access processing unit 203 modulates a digital signal to be transmitted for wireless transmission, detects a signal received by an RF unit described later, and converts the signal into a digital signal. Reference numeral 204 denotes an RF unit which converts the modulated transmission data from the wireless media access processing unit 203 into a format capable of wireless transmission and sends the converted data to an antenna, and extracts modulated data from information wirelessly received by the antenna, and Output to the media access processing unit 203.
[0013]
A CPU 205 controls the digital camera according to programs and data stored in the nonvolatile memory. Reference numeral 206 denotes a flash ROM, which is a memory for storing a startup program, a digital camera control program, and data. Reference numeral 207 denotes a display unit including an LCD or the like, which displays the state of the digital camera main body and captured images. A display processing unit 208 processes data to be displayed on the display unit 207. Reference numeral 209 denotes a RAM in which a work area, a table, and the like used when the CPU 205 executes various processes are defined. An operation unit 210 includes keys for instructing the digital camera and performing various settings. Reference numeral 211 denotes a system controller, which is a controller that controls the operation unit 210. A memory card interface (I / F) 212 controls access (write / read) to the memory card 213. Note that the memory card 213 is detachably connected to the digital camera, and stores a captured video signal and the like. 214 is an audio interface (I / F), and 215 is a USB interface (I / F).
[0014]
Next, when the user does not store the user identification information for the client user authentication in the flash ROM 206 or the memory card 213 which is the nonvolatile storage unit of the wireless communication compatible digital camera 100, the network in the wireless spot connection service is used. An example in which the device vendor authentication server 103 of the client device performs the connection authentication process will be described with reference to the sequence charts shown in FIGS. 3, 10, and 11, and the flowcharts shown in FIGS.
[0015]
When the above-described wireless communication compatible digital camera 100 starts a network connection via a wireless communication medium in the service area 10 of the wireless spot connection service, first, a connection in a wireless section is established with the wireless access point 101. After (300), the corresponding communication port of the backboard network 11 is closed, and the access of the digital camera 100 for wireless communication to the backboard network 11 is blocked (301), and the communication with the spot service provider is started. Starts an authentication process for checking the validity of granting the access right to the backboard network 11.
[0016]
In the present embodiment, the wireless communication-compatible digital camera 100 has a supplicant control function of IEEE 802.1x EAP (Extensible Authentication Protocol), and the EAP Over LANStart is configured to start an authentication process by a trigger of the supplicant. A message (302) is transmitted to the wireless access point 101.
[0017]
The wireless access point 101 that has received the EAP Over LAN Start message returns an EAP-Request / Identity message (303) to the digital camera 100 supporting wireless communication.
[0018]
Next, the wireless communication-compatible digital camera 100 that has received the EAP-Request / Identity message (303) refers to its own non-volatile storage units 206 and 213, and stores the service subscriber identification information assigned by the service provider to itself. Search for. As a result, if the service subscriber identification information is present, the EAP-Response / Identity message (304) is returned using the identification information, and the IEEE 802.1x EAP authentication process is started. Since this processing is a conventional method, it is not described in the present embodiment. If it does not exist, identification information for device identification uniquely assigned to itself (in the present embodiment, a MAC address assigned to a device will be described as an example, but a radio call code or a device serial number may be used). An EAP-Response / Identity message (304) is returned using the service subscriber identification information for authentication, and the IEEE 802.1x EAP authentication process is started.
[0019]
The wireless access point 101 that has received the above-described EAP-Response / Identity message (304) uses the RADIUS-Access Request message (305) using the device identification information uniquely assigned to each wireless communication-compatible digital camera 100. ) To the spot service authentication server 102.
[0020]
On the other hand, upon receiving the RADIUS-Access Request message (305), the spot service authentication server 102 activates the connection requester determination process shown in FIG.
[0021]
First, the identification information of the user who requests the login (connection to the network) is confirmed (S401), and it is determined whether the identification information is assigned to the service subscriber by the spot service provider (S402). . If not assigned by the spot service provider, the vendor of the wireless communication compatible digital camera 100 is specified based on the identification information (in this embodiment, the MAC address assigned to the device) (S404) and the corresponding vendor is identified. The address of the device authentication server to be searched is searched (S405). Next, when the authentication server 103 of the corresponding device vendor is detected, a RADIUS-Access Request message (306) is transferred to the authentication server 103 of the device vendor (S407), and proxy authentication by the device vendor authentication server 103 is performed. The completion waiting timer is set and started (S408), and one processing unit is ended.
[0022]
When the above-mentioned identification information is assigned by the spot service provider to the service subscriber and when the authentication server of the corresponding device vendor cannot be detected, the spot service authentication server 102 itself uses RADIUS ( An instruction to start a Remote Authentication Dial In User Service (Authentication) process (S403) is issued, and one processing unit ends.
[0023]
On the other hand, the device vendor authentication server 103 that has received the RADIUS-Access Request message (306) transferred from the spot service authentication server 102 uses the above-described identification information (in this embodiment, the MAC address assigned to the device) to support wireless communication. The device information of the digital camera 100 is specified, and one-time password challenge information used for the device authentication is generated. Then, a RADIUS-Access Challenge message (307) is returned to the spot service authentication server 102 using the one-time password challenge information as parameter information.
[0024]
Next, upon receiving the RADIUS-Access Challenge message (307) from the device vendor authentication server 103, the spot service authentication server 102 changes the destination of the message to the wireless communication-compatible digital camera 100 to be authenticated (S501). The RADIUS-Access Challenge message (308) is transferred to the access point 101 (S502).
[0025]
The spot service access point 101, which has received the RADIUS-Access Challenge message (308) from the spot service authentication server 102, generates an EAP-Request message (309) using the one-time password challenge information as parameter information, and generates the EAP-Request message (309). Send to
[0026]
After reading the one-time password challenge information, the digital camera 100 corresponding to the wireless communication reads the one-time password challenge information from the one-time password challenge information according to an algorithm defined in advance by the device vendor and stored in the device (206, 213, etc.). The response information is calculated, and an EAP-Response message (310) is returned to the spot service access point 101 using the one-time password response information as parameter information.
[0027]
The spot service access point 101 that has received the EAP-Response message (310) from the wireless communication-compatible digital camera 100 generates a RADIUS-Access Request message (311) using the one-time password response information as parameter information, and generates a spot service authentication server. Send to 102.
[0028]
Next, the spot service authentication server 102 that has received the RADIUS-Access Request message (311) from the spot service access point 101 changes the destination of the message (S601), and sends the RADIUS-Access to the authentication server 103 of the corresponding device vendor. The request message (312) is transferred (S602).
[0029]
On the other hand, the device vendor authentication server 103 that has received the RADIUS-Access Request message (312) from the spot service authentication server 102 reads out the one-time password response information from the message, performs device authentication processing based on the validity of the information, and performs device authentication. If the authentication is successful, a RADIUS-Access-Accept message (313) is sent to the spot service authentication server 102, and if the authentication is failed, a RADIUS-Failure message is sent to the spot service authentication server 102.
[0030]
If the device authentication has succeeded, the spot service authentication server 102 is notified together with information related to the current authentication (expiration date of authentication, presence / absence of registration as a temporary service user, etc.).
[0031]
Next, the spot service authentication server 102 that has received the RADIUS-Access-Accept message (313) from the device vendor authentication server 103 registers the expiration date of user authentication and identification information as a temporary service subscriber (S701). Then, the destination of the message is changed (S702), the RADIUS-Access-Accept message (314) is transferred to the spot service access point 101, and the proxy authentication completion waiting timer is cleared (S704).
[0032]
The spot service access point 101, which has received the RADIUS-Access Accept message (314) from the spot service authentication server 102, generates an EAP-Success message (315), and reports the success of the authentication as information in the RADIUS-Access Accept message (314). Information is extracted from the storage area of the common key information for encrypting data within the element, an EAP Over LAN-Key message is generated using the extracted information as a parameter, and the common encryption used in the future unicast wireless communication line is used. The key (WEP key) is transmitted to the digital camera 100 supporting wireless communication.
[0033]
After transmitting this message, the communication port is opened (317), and the access to the backboard network 11 of the wireless communication-compatible digital camera 100 is released.
[0034]
If the spot service authentication server 102 requests the device vendor authentication server 103 for proxy authentication (sends a RADIUS Access Request message), and if the proxy authentication is not completed (reception of RADIUS Access Accept) within a specified time, the above-described processing is performed. The proxy processing wait timer times out. When the time is up, the same processing as when a failure event of subscriber authentication (RADIUS authentication) occurs in the spot service authentication server 102 is started (S801), and the spot service access point 101 is authenticated. A failure is notified, and access to the network 11 of the wireless communication-compatible digital camera 100 is blocked with the communication port of the spot service access point 101 closed.
[0035]
By the above-described processing, the user of the wireless communication-compatible digital camera 100 can store the user identification information required for the authentication processing without storing the user identification information in the device at the time of network connection provided by the wireless spot service provider. The service can be connected (logged in) to the network.
[0036]
[Second embodiment]
Next, a second embodiment according to the present invention will be described in detail with reference to the drawings.
[0037]
The configuration of the authentication system according to the second embodiment is the same as that of the first embodiment, and a description thereof will be omitted.
[0038]
The wireless access point 101 according to the stored information on authentication (expiration date of proxy authentication, presence or absence of registration as a temporary service user, etc.) notified from the device vendor authentication server 103 described in the first embodiment. FIG. 10 shows a sequence chart when user authentication during network connection (login) is started, which is executed at a specified time interval (radius authentication valid period interval, 1001 shown in FIG. 10 and 1101 shown in FIG. 11). As shown in FIG.
[0039]
FIG. 10 is a sequence when the MAC address of the wireless communication digital camera is registered as a temporary service user in the spot service authentication server. Since the proxy processing to the device vendor authentication server is not activated, the network connection ( Login)).
[0040]
After the expiration time of the temporary service user's proxy expiration date, the identification information of the temporary service user is deleted (S901), and the spot service authentication server 102 transmits the MAC address of the wireless communication digital camera 100 to the temporary service. Since the user is not registered as a user, the authentication undertaking process for the device vendor authentication server 103 is started again as in the sequence shown in FIG. Then, the same authentication substituting process as the process described in the first embodiment is performed again, and it is possible to determine whether or not future network connection (login) is possible according to the intention of the device vendor server.
[0041]
In the case of this digital camera compatible with wireless communication, users who use the network print service via the device vendor or the network storage service of the device vendor for more than the specified points will be able to use various user services such as extending the proxy authentication period again. Can be provided.
[0042]
[Other embodiments]
In the first and second embodiments, as an example of the wireless client terminal, an example in which the wireless client terminal is built in a digital camera compatible with a wireless spot IP network service has been described. However, when the wireless client terminal is built in a digital video camera, an Internet camera server, a printer, or the like. Also, even when connected to a general-purpose interface (PC card slot, memory card slot, USB interface, or the like) of these devices by a wireless communication unit, the devices having poor man-machine interfaces for parameter setting as described above are poor. Can correspond to the wireless spot IP network service, and the user can be released from the troublesome operation of inputting the network identification information in the device.
[0043]
According to the embodiment described above, the wireless client terminal vendor performs device authentication, not only when the user has set the communication parameters in advance on the wireless client terminal but also when the communication parameters have not been set, and the By providing the authentication result to the wireless spot connection service provider as an alternative to the user authentication, it is possible to provide the wireless spot connection service even to a user who has not set communication parameters.
[0044]
If the wireless client terminal vendor succeeds in performing device authentication, the user authentication server of the wireless spot connection service provider registers the user as a temporary user of the service, and when the device is recognized for a certain period of time, It regards the identification information as temporary user identification information and manages the user authentication server for a certain period.
[0045]
This makes it possible to reduce the load on the authentication processing of the device authentication server, and to provide additional services (printout, electronic information storage, etc.) provided by a service provider who controls the device authentication server using the wireless spot connection service. Etc.), it is possible to provide a new business model to a device authentication service provider, such as extending the period of authentication on behalf of a device using the same.
[0046]
Even if the present invention is applied to a system including a plurality of devices (for example, a host computer, an interface device, a reader, a printer, and the like), the present invention is applied to an apparatus (for example, a copier, a facsimile device, and the like) including one device. May be applied.
[0047]
Further, an object of the present invention is to supply a recording medium in which a program code of software for realizing the functions of the above-described embodiments is recorded to a system or an apparatus, and a computer (CPU or MPU) of the system or apparatus stores the recording medium in the recording medium. Needless to say, this can also be achieved by reading and executing the program code thus read.
[0048]
In this case, the program code itself read from the recording medium realizes the functions of the above-described embodiment, and the recording medium storing the program code constitutes the present invention.
[0049]
As a recording medium for supplying the program code, for example, a floppy (registered trademark) disk, hard disk, optical disk, magneto-optical disk, CD-ROM, CD-R, magnetic tape, nonvolatile memory card, ROM, or the like is used. be able to.
[0050]
When the computer executes the readout program code, not only the functions of the above-described embodiments are realized, but also an OS (Operating System) running on the computer based on the instruction of the program code. It goes without saying that a case where some or all of the actual processing is performed and the functions of the above-described embodiments are realized by the processing is also included.
[0051]
Further, after the program code read from the recording medium is written into a memory provided in a function expansion board inserted into the computer or a function expansion unit connected to the computer, the function expansion is performed based on the instruction of the program code. It goes without saying that a CPU or the like provided in the board or the function expansion unit performs part or all of the actual processing, and the processing realizes the functions of the above-described embodiments.
[0052]
【The invention's effect】
As described above, according to the present invention, when a wireless terminal requests connection to a predetermined network, authentication processing is performed using device identification information assigned to the wireless terminal, thereby enabling a user who uses the wireless terminal to perform authentication processing. It is possible to improve convenience.
[Brief description of the drawings]
FIG. 1 is a conceptual diagram of an authentication system in a wireless spot connection service using a digital camera supporting wireless communication according to a first embodiment as a client terminal.
FIG. 2 is a block diagram illustrating a functional configuration of a digital camera supporting wireless communication.
FIG. 3 is a diagram illustrating a proxy authentication sequence performed by a device vendor authentication server during a wireless spot connection service connection process of a digital camera supporting wireless communication.
FIG. 4 is a flowchart illustrating a process when the spot service authentication server receives a RADIUS-Access Request message.
FIG. 5 is a flowchart illustrating a process when the spot service authentication server receives a RADIUS-Access Challenge message.
FIG. 6 is a flowchart showing a process when the spot service authentication server receives a RADIUS-Access Request message.
FIG. 7 is a flowchart illustrating a process when the spot service authentication server receives a RADIUS-Access Accept message.
FIG. 8 is a flowchart showing a process performed when a proxy authentication waiting timer of a spot service authentication server expires.
FIG. 9 is a flowchart showing a process at the time of expiration of the user authentication of the spot service authentication server.
FIG. 10 is a diagram showing a proxy authentication sequence when there is registration information as a temporary service subscriber according to the second embodiment.
FIG. 11 is a diagram illustrating a proxy authentication sequence when there is no registration information as a temporary service subscriber according to the second embodiment.
[Explanation of symbols]
Reference Signs List 10 Spot service area 11 IP wide area network 100 to be connected Digital camera 101 compatible with wireless communication Access point 102 Spot service provider authentication server 103 Equipment vendor authentication server
