JP2008228089A - Device, method, and program for selecting communication connection system - Google Patents

Device, method, and program for selecting communication connection system Download PDF

Info

Publication number
JP2008228089A
JP2008228089A JP2007065583A JP2007065583A JP2008228089A JP 2008228089 A JP2008228089 A JP 2008228089A JP 2007065583 A JP2007065583 A JP 2007065583A JP 2007065583 A JP2007065583 A JP 2007065583A JP 2008228089 A JP2008228089 A JP 2008228089A
Authority
JP
Japan
Prior art keywords
digital certificate
communication connection
information
authentication
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007065583A
Other languages
Japanese (ja)
Other versions
JP4362138B2 (en
Inventor
Yoshitake Tajima
佳武 田島
Kenji Ota
賢治 太田
Yutaka Watanabe
裕 渡邉
Sukeaki Iwamura
相哲 岩村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007065583A priority Critical patent/JP4362138B2/en
Publication of JP2008228089A publication Critical patent/JP2008228089A/en
Application granted granted Critical
Publication of JP4362138B2 publication Critical patent/JP4362138B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To reduce a time until the completion of connection required as a result of trying to execute invalid authentication while facilitating management of profile information in the operation form of a network in which a profile and a digital certificate are distributed separately from each other. <P>SOLUTION: In a communication terminal 100, if there is a digital certificate matched with information of an issuance origin and an issuance destination of a digital certificate described in profile information when connecting to a network, it is configured to select a communication connection system that executes authentication by the digital certificate. If there is no digital certificate, it is configured to select a communication connection system that does not execute authentication by the digital certificate. By this, it is possible to reduce a time required until the completion of connection since a user, who does not need the authentication, is not required to execute a connection trial by using an invalid digital certificate unlike the conventional one. It is possible for a manager to issue a valid digital certificate only to each user who needs it and to distribute a profile with the same configuration to all the users. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、公衆無線LANサービスなどのネットワーク接続サービスにおいて、プロファイル情報に基づいてネットワークに接続する際の通信接続技術に関する。   The present invention relates to a communication connection technique for connecting to a network based on profile information in a network connection service such as a public wireless LAN service.

従来、ユーザが利用する接続設定情報としてデジタル証明書が含まれたプロファイルを配布し、ネットワーク接続制御を行うシステムがあった(例えば、特許文献1を参照)。プロファイルには認証のための情報として、認証方法やデジタル証明書などが含まれていた。
特開2006−324980号公報 Conventionally, there has been a system that distributes a profile including a digital certificate as connection setting information used by a user and performs network connection control (see, for example, Patent Document 1). The profile included authentication methods and digital certificates as information for authentication.
JP 2006-324980 A

しかしながら、従来の方式では、プロファイルにデジタル証明書を添付するため、ユーザが利用する接続方式に合わせてプロファイルを発行する場合、接続認証にデジタル証明書を使用するユーザと、使用しないユーザとで、利用可能な接続方式の異なるプロファイルを配布する必要があり、管理が煩雑であるという問題があった。   However, in the conventional method, since a digital certificate is attached to a profile, when a profile is issued according to a connection method used by a user, a user who uses a digital certificate for connection authentication and a user who does not use a connection certificate, There is a problem that it is necessary to distribute profiles having different connection methods, which is complicated to manage.

また、全てのユーザに対して、同一の接続方式が含まれたプロファイルを発行する場合、接続認証にデジタル証明書を使用しないユーザに対しては利用できないデジタル証明書を添付する、又は、ネットワーク側の認証サーバで拒絶するなどの対策を行うが、ユーザ側の接続制御では認証が成功する有効なプロファイル情報と区別できず、接続を試行し、認証失敗していた。また、デジタル証明書を発行する管理者とプロファイルを発行する管理者が独立に発行・配布を行うことができず、発行されたデジタル証明書をプロファイルに添付し配布する必要があり、運用が煩雑化する問題があった。   When issuing a profile that includes the same connection method for all users, attach a digital certificate that cannot be used for users who do not use a digital certificate for connection authentication, or on the network side. However, the user's connection control cannot distinguish it from valid profile information that succeeds in authentication, and the connection is attempted and authentication fails. Also, the administrator who issues the digital certificate and the administrator who issues the profile cannot issue / distribute independently, and it is necessary to attach the issued digital certificate to the profile and distribute it. There was a problem.

本発明は、上記問題点に鑑み、プロファイルとデジタル証明書とが分離して配布されるネットワークの運用形態においてプロファイル情報の管理を容易にしつつ無効な認証を試行することによる接続完了までの時間を低減することを課題とする。   In view of the above problems, the present invention reduces the time until connection is completed by trying invalid authentication while facilitating management of profile information in a network operation mode in which a profile and a digital certificate are distributed separately. The problem is to reduce.

第1の本発明に係る通信接続方式の選択装置は、複数の通信接続方式の設定情報が記述されたプロファイル情報を用いてネットワークに接続する通信端末における通信接続方式の選択装置であって、認証に使用するデジタル証明書を記憶しておく第1の記憶手段と、複数の通信接続方式のうちデジタル証明書による認証を行う通信接続方式の設定情報には使用するデジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を記憶しておく第2の記憶手段と、ネットワークに接続する際に、前記プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書の有無を受け付ける受付手段と、合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、そのデジタル証明書が無い場合にはデジタル証明書による認証を行わない通信接続方式を選択する選択手段と、を備えることを特徴とする。   A communication connection method selection device according to a first aspect of the present invention is a communication connection method selection device in a communication terminal connected to a network using profile information in which setting information of a plurality of communication connection methods is described. The first storage means for storing the digital certificate used for the communication, and the issuer and issuer of the digital certificate to be used for the setting information of the communication connection method for performing authentication using the digital certificate among a plurality of communication connection methods Second storage means for storing profile information in which at least one of the information is described; and a digital certificate matching the digital certificate information described in the profile information when connected to the network Select the communication connection method that performs authentication using the digital certificate if there is a matching digital certificate and the acceptance means that accepts the presence or absence, Characterized in that it comprises selecting means for selecting a communication connection method that does not perform authentication with digital certificates, the if barrel certificate no.

本発明にあっては、ネットワークに接続する際に、プロファイル情報に記述されたデジタル証明書の発行元及び発行先の情報に合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、そのデジタル証明書が無い場合には上記認証を行わない通信接続方式を選択する。これにより、上記認証が必要でないユーザは従来のように無効なデジタル証明書を用いて接続試行する必要がないので接続完了までの時間を短縮することができる。また、管理者は必要とするユーザのみに有効なデジタル証明書を発行し、全てのユーザに対して同一な構成のプロファイルを配布することができる。   In the present invention, when there is a digital certificate that matches the issuer and issuer information of the digital certificate described in the profile information when connecting to the network, the communication that performs authentication using the digital certificate When a connection method is selected and there is no digital certificate, a communication connection method that does not perform the authentication is selected. As a result, a user who does not need the above authentication does not need to attempt a connection using an invalid digital certificate as in the conventional case, and therefore, the time until the connection is completed can be shortened. In addition, the administrator can issue a digital certificate that is valid only to users who need it, and can distribute a profile having the same configuration to all users.

第2の本発明に係る通信接続方式の選択方法は、複数の通信接続方式の設定情報が記述されたプロファイル情報を用いてネットワークに接続する通信端末における通信接続方式の選択方法であって、認証に使用するデジタル証明書を第1の記憶手段に記憶しておくステップと、前記複数の通信接続方式のうちデジタル証明書による認証を行う通信接続方式の設定情報には使用するデジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を第2の記憶手段に記憶しておくステップと、受付手段により、前記ネットワークに接続する際に、前記プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書の有無を受け付けるステップと、選択手段により、前記合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、当該デジタル証明書が無い場合にはデジタル証明書による認証を行わない通信接続方式を選択するステップと、を有することを特徴とする。   A communication connection method selection method according to a second aspect of the present invention is a communication connection method selection method in a communication terminal connected to a network using profile information in which setting information of a plurality of communication connection methods is described. Storing a digital certificate to be used in the first storage means, and issuing a digital certificate to be used for setting information of a communication connection method for performing authentication using a digital certificate among the plurality of communication connection methods Storing the profile information in which at least one of the original information and the issue destination information is stored in the second storage means, and the digital certificate described in the profile information when connecting to the network by the accepting means Accepting the presence or absence of a digital certificate that matches the information in the certificate, and if the matching digital certificate exists by the selection means Selects the communication connection method of performing authentication by digital certificates, if the digital certificate is not characterized by having a step of selecting a communication connection method that does not perform authentication with a digital certificate, to.

第3の本発明に係る通信接続方式の選択プログラムは、複数の通信接続方式の設定情報が記述されたプロファイル情報を用いてネットワークに接続する通信端末に実行させる通信接続方式の選択プログラムであって、認証に使用するデジタル証明書を第1の記憶手段に記憶しておくステップと、前記複数の通信接続方式のうちデジタル証明書による認証を行う通信接続方式の設定情報には使用するデジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を第2の記憶手段に記憶しておくステップと、ネットワークに接続する際に、プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書の有無を受け付けるステップと、合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、そのデジタル証明書が無い場合にはデジタル証明書による認証を行わない通信接続方式を選択するステップと、を通信端末に実行させることを特徴とする。   A communication connection method selection program according to a third aspect of the present invention is a communication connection method selection program to be executed by a communication terminal connected to a network using profile information in which setting information of a plurality of communication connection methods is described. Storing a digital certificate used for authentication in the first storage means, and a digital certificate used for setting information of a communication connection method for performing authentication using a digital certificate among the plurality of communication connection methods Storing the profile information in which at least one of the issuer and issuer information is stored in the second storage means, and the digital certificate information described in the profile information when connecting to the network A step of accepting the presence or absence of a matching digital certificate and, if there is a matching digital certificate, the authentication by the digital certificate. Select a communication connection method of performing, if there is no its digital certificate, characterized in that to execute the steps of selecting a communication connection method that does not perform authentication with a digital certificate, to the communication terminal.

本発明によれば、プロファイルとデジタル証明書とが分離して配布されるネットワークの運用形態においてプロファイル情報の管理を容易にしつつ無効な認証を試行することによる接続完了までの時間を低減することができる。   According to the present invention, it is possible to reduce the time to complete connection by trying invalid authentication while facilitating management of profile information in a network operation mode in which profiles and digital certificates are distributed separately. it can.

以下、本発明の一実施の形態について、図面を用いて説明する。   Hereinafter, an embodiment of the present invention will be described with reference to the drawings.

図1は、一実施の形態に係る通信ネットワークシステム1の構成を示している。通信ネットワークシステム1は、通信端末100と、アクセスポイント200と、ネットワーク300と、認証サーバ400と、認証局(CA:Certificate Authority)500と、ネットワーク管理者が管理するプロファイル作成装置600と、を備えた構成を有している。   FIG. 1 shows a configuration of a communication network system 1 according to an embodiment. The communication network system 1 includes a communication terminal 100, an access point 200, a network 300, an authentication server 400, a certificate authority (CA) 500, and a profile creation device 600 managed by a network administrator. It has a configuration.

通信端末100は、プロファイルに記述された複数の通信接続方式を順に選択しながらネットワークへの接続を行う。プロファイルは、プロファイル作成装置600によって発行され、ネットワーク300で利用可能な複数の接続方式を特定するプロファイル情報が記述される。本実施の形態では、プロファイルとはプロファイル情報が記述されたファイルの実態として定義し、プロファイル情報とはプロファイルに記述されたデータとして定義する。   The communication terminal 100 connects to the network while sequentially selecting a plurality of communication connection methods described in the profile. The profile is issued by the profile creation apparatus 600 and describes profile information that identifies a plurality of connection methods that can be used in the network 300. In this embodiment, a profile is defined as the actual state of a file in which profile information is described, and profile information is defined as data described in the profile.

アクセスポイント200は、通信端末100を無線LAN(Local Area Network)で収容しネットワーク300と接続させる転送装置である。ここでは通信端末100と同一の無線LANのパラメータ(例えばESSID(Extended Service Set Identification)、WEP(Wired Equivalent Privacy)鍵等)が設定される。デジタル証明書を用いた接続認証においては、認証プロトコル(例えばIEEE802.1x EAP−TLS(Extensive Authentication Protocol-Transport Layer Security))の手順に基づいて、通信端末100と認証サーバ400との間で認証情報を転送し、接続制御を行う。   The access point 200 is a transfer device that accommodates the communication terminal 100 in a wireless local area network (LAN) and connects it to the network 300. Here, the same wireless LAN parameters as the communication terminal 100 (for example, ESSID (Extended Service Set Identification), WEP (Wired Equivalent Privacy) key, etc.) are set. In connection authentication using a digital certificate, authentication information between the communication terminal 100 and the authentication server 400 is based on an authentication protocol (for example, IEEE802.1x EAP-TLS (Extensive Authentication Protocol-Transport Layer Security)). Is transferred and connection control is performed.

認証局500は、認証局管理者によって管理され、ユーザ個人を認証するためのデジタル証明書を発行する。デジタル証明書は、通信端末を利用するユーザ個人を認証するための情報であり、ネットワーク接続を行う際に認証情報として使用される。ここでは例えばPKCS(Public Key Cryptography Standard)#12形式のデジタル証明書が使用される。デジタル証明書には、そのデジタル証明書を発行した発行元である認証局500を特定する文字列、発行先であるユーザを特定する文字列などの情報が記述される。発行されたデジタル証明書は安全性が確保された状態で配布される。   The certificate authority 500 is managed by a certificate authority administrator and issues a digital certificate for authenticating individual users. The digital certificate is information for authenticating the individual user who uses the communication terminal, and is used as authentication information when performing network connection. Here, for example, a digital certificate of PKCS (Public Key Cryptography Standard) # 12 format is used. The digital certificate describes information such as a character string that identifies the certificate authority 500 that issued the digital certificate and a character string that identifies the user that issued the digital certificate. The issued digital certificate is distributed in a secure state.

プロファイル作成装置600は、ネットワーク管理者によって管理され、ネットワーク300で利用可能な複数の接続方式が記述されたプロファイルを発行する。プロファイルにはネットワーク300で利用可能な複数の接続方式を特定するプロファイル情報が記述される。接続方式として無線LANのパラメータであるESSID、WEP鍵等の情報が記述される。IEEE802.1x EAP−TLSなどのデジタル証明書を用いた接続認証を行う接続方式に対してはデジタル証明書を特定する情報が記述される。発行されたプロファイルはネットワーク管理者によって配布される。プロファイル作成装置からネットワークを介して通信端末にダウンロードしてもよいし、あるいは記録媒体に記録された状態で配布されてもよい。   The profile creation apparatus 600 issues a profile that is managed by a network administrator and that describes a plurality of connection methods that can be used in the network 300. In the profile, profile information for specifying a plurality of connection methods usable in the network 300 is described. Information such as ESSID and WEP key, which are wireless LAN parameters, is described as a connection method. Information for specifying a digital certificate is described for a connection method for performing connection authentication using a digital certificate such as IEEE 802.1x EAP-TLS. The issued profile is distributed by the network administrator. You may download to a communication terminal via a network from a profile creation apparatus, or you may distribute in the state recorded on the recording medium.

認証サーバ400は、通信端末100がネットワーク300に接続する際の接続認証の判定を行う。   The authentication server 400 determines connection authentication when the communication terminal 100 connects to the network 300.

図2は、通信ネットワークシステム1におけるネットワークの構成を示している。同図に示すように、このネットワーク300ではネットワーク管理者によりIEEE802.1xEAP−TLSの認証有りの接続サービスと、認証を行わない接続サービスが提供されている。ネットワーク300には認証を行わない接続サービスに対応したアクセスポイント200aと、認証有りの接続サービスに対応した200bとが接続されている。ここではアクセスポイント200aとアクセスポイント200bは共にESSIDとして「Svc−a」が設定されている。アクセスポイント200aは、WEPとして暗号化の鍵となる文字列「Key−a」が設定されている。アクセスポイント200bは、認証サーバ400と通信して、ユーザからのユーザ認証情報を転送して、接続制御を行う。   FIG. 2 shows a network configuration in the communication network system 1. As shown in the figure, in this network 300, a network administrator provides a connection service with IEEE802.1xEAP-TLS authentication and a connection service without authentication. Connected to the network 300 are an access point 200a corresponding to a connection service that is not authenticated and a 200b corresponding to a connection service with authentication. Here, both the access point 200a and the access point 200b are set with “Svc-a” as the ESSID. In the access point 200a, a character string “Key-a” serving as an encryption key is set as WEP. The access point 200b communicates with the authentication server 400, transfers user authentication information from the user, and performs connection control.

図3のブロック図は、通信端末100の概略的な構成を示している。同図に示すように、通信端末100は、デジタル証明書記憶部101と、プロファイル情報記憶部102と、接続方式選択制御部103と、証明書検索制御部104と、証明書選択部105と、証明書利用履歴記録部106と、通信インターフェース部110とを備える。通信端末100はCPU(Central Processing Unit)、メモリ、通信インターフェース、表示装置、キー操作などを入力させる入力装置などのハードウェアを有するPC(Personal Computer)とする。接続方式選択制御部103及び証明書検索制御部104による処理は、CPUによって実行されるプログラムのモジュール等で実現される。デジタル証明書記憶部101、プロファイル情報記憶部102、及び証明書利用履歴記録部106はメモリで実現される。尚、本願発明の通信接続方式を選択する接続方式の選択処理については同図では破線で囲んだ各部により実現される。   The block diagram of FIG. 3 shows a schematic configuration of the communication terminal 100. As shown in the figure, the communication terminal 100 includes a digital certificate storage unit 101, a profile information storage unit 102, a connection method selection control unit 103, a certificate search control unit 104, a certificate selection unit 105, A certificate use history recording unit 106 and a communication interface unit 110 are provided. The communication terminal 100 is a PC (Personal Computer) having hardware such as a CPU (Central Processing Unit), a memory, a communication interface, a display device, and an input device for inputting key operations. Processing by the connection method selection control unit 103 and the certificate search control unit 104 is realized by a module of a program executed by the CPU. The digital certificate storage unit 101, the profile information storage unit 102, and the certificate use history recording unit 106 are realized by a memory. Note that the connection method selection processing for selecting the communication connection method of the present invention is realized by each part surrounded by a broken line in FIG.

デジタル証明書記憶部101は、第1の記憶手段として、デジタル証明書の情報を記憶しておく。プロファイル情報記憶部102は、第2の記憶手段として、デジタル証明書とは別個に配布され、デジタル証明書の発行元及び発行先の情報が記述されたプロファイル情報を記憶しておく。   The digital certificate storage unit 101 stores digital certificate information as a first storage unit. The profile information storage unit 102 stores, as second storage means, profile information that is distributed separately from the digital certificate and in which information on the issuer and issuer of the digital certificate is described.

接続方式選択制御部103は、プロファイル情報記憶部102からプロファイル情報を読み込み、デジタル証明書記憶部101のデジタル証明書の検索処理要求及び検索条件などの情報を証明書検索制御部104に送信する。ここでは受付手段として、プロファイル情報に記述されたデジタル証明書の発行元及び発行先の情報に合致するデジタル証明書の有無を検索結果として受け付ける機能すると共に、選択手段として、合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、そのデジタル証明書が無い場合にはデジタル証明書による認証を行わない通信接続方式を選択する。更に、通信インターフェース部110に対して選択した通信接続方式に基づいた通信接続制御を行う。   The connection method selection control unit 103 reads profile information from the profile information storage unit 102 and transmits information such as a digital certificate search processing request and search conditions in the digital certificate storage unit 101 to the certificate search control unit 104. In this case, the receiving unit functions as a search result to receive the presence / absence of a digital certificate that matches the issuer and issuer information of the digital certificate described in the profile information. If there is, a communication connection method that performs authentication using a digital certificate is selected. If there is no digital certificate, a communication connection method that does not perform authentication using a digital certificate is selected. Furthermore, communication connection control based on the selected communication connection method is performed for the communication interface unit 110.

証明書検索制御部104は、デジタル証明書記憶部101のデジタル証明書の検索を実行する。また、証明書選択部105へのデジタル証明書に関する情報のやり取りを行い、証明書利用履歴記録部106へのデジタル証明書の履歴情報の記憶・参照を行う。また検索した結果に基づいて利用すべきデジタル証明書の選択処理を行う。   The certificate search control unit 104 executes a search for a digital certificate in the digital certificate storage unit 101. In addition, exchange of information regarding the digital certificate to the certificate selection unit 105 is performed, and history information of the digital certificate is stored and referred to the certificate use history recording unit 106. In addition, the digital certificate to be used is selected based on the search result.

証明書選択部105は、証明書検索制御部104から通知された複数のデジタル証明書に関する情報をユーザに対して通知し、その中から1つのデジタル証明書の指定を受け付けて、指定情報を証明書検索制御部104に送信する。ここでは複数のデジタル証明書に関する情報を画面に表示する表示装置、及びユーザによる指定を受け付ける入力装置で実現される。   The certificate selection unit 105 notifies the user of information related to a plurality of digital certificates notified from the certificate search control unit 104, accepts designation of one digital certificate from the information, and proves the designation information. To the document search control unit 104. Here, it is realized by a display device that displays information on a plurality of digital certificates on a screen and an input device that accepts designation by a user.

証明書利用履歴記録部106は、第3の記憶手段として、証明書検索制御部104により選択されたデジタル証明書に記述された情報を履歴情報として記憶しておく。   The certificate use history recording unit 106 stores, as the third storage unit, information described in the digital certificate selected by the certificate search control unit 104 as history information.

通信インターフェース部110は、接続方式選択制御部103により選択された通信接続方式に従って通信接続処理を実行する。   The communication interface unit 110 executes communication connection processing according to the communication connection method selected by the connection method selection control unit 103.

次に、プロファイルの構成について図を用いて説明する。図4〜図5は通信端末100のプロファイル情報記憶部102に記憶されるプロファイル情報の例を示している。同図に示すように、プロファイルは、ネットワーク300を利用する全ユーザに対して同一の既定の構成として発行される。各値はユーザに対応して変更することもできる。またユーザ自身がプロファイル情報の一部を追加・変更・削除することもできる。   Next, the configuration of the profile will be described with reference to the drawings. 4 to 5 show examples of profile information stored in the profile information storage unit 102 of the communication terminal 100. FIG. As shown in the figure, the profile is issued to all users who use the network 300 as the same default configuration. Each value can be changed according to the user. Also, the user himself can add / change / delete part of the profile information.

プロファイルには複数の通信接続方式の設定情報が記述される。ここでは通信接続方式には、接続方式毎の管理用パラメータ(接続名、優先順位、接続形態)と、接続用パラメータ(ESDID,WEP,Issuer、Subject)が含まれる。ここでは接続方式として「接続名:接続A」と「接続名:接続B」の2種類が記述されている。   In the profile, setting information for a plurality of communication connection methods is described. Here, the communication connection method includes management parameters (connection name, priority order, connection form) and connection parameters (ESDID, WEP, Issuer, Subject) for each connection method. Here, two types of connection methods, “connection name: connection A” and “connection name: connection B” are described.

「優先順位」は、各接続方式を使用して接続を試行する順番を表し、小さい番号に対応した接続方式から順番に使用される。「接続形態」は、IEEE802.1x EAP−TLSの認証を行うかどうかを表している。「ESSID」はその接続方式で接続する無線LANアクセスポイントの識別子を表す。「WEP」は、そのアクセスポイントの暗号化の鍵となる文字列を表す。   The “priority” indicates the order of connection attempts using each connection method, and is used in order from the connection method corresponding to the smaller number. “Connection form” indicates whether or not IEEE 802.1x EAP-TLS authentication is performed. “ESSID” represents an identifier of a wireless LAN access point connected by the connection method. “WEP” represents a character string serving as a key for encryption of the access point.

ここで「Issuer」及び「Subject」はIEEE802.1x EAP−TLS認証でユーザが使用するデジタル証明書に記述された情報と同一の情報である。「Issuer」はそのデジタル証明書を発行した発行元である認証局を特定する文字列を表す。「Subject」はそのデジタル証明書の発行先であるユーザを特定する文字列を表す。   Here, “Issuer” and “Subject” are the same information as the information described in the digital certificate used by the user in the IEEE 802.1x EAP-TLS authentication. “Issuer” represents a character string that identifies the certificate authority that issued the digital certificate. “Subject” represents a character string that identifies the user to whom the digital certificate is issued.

次に、デジタル証明書の構成について図を用いて説明する。   Next, the configuration of the digital certificate will be described with reference to the drawings.

図6〜図8は通信端末100のデジタル証明書記憶部101に記憶されるデジタル証明書の例を示している。同図に示すように、デジタル証明書には、ここでは例えば一般的な公開鍵証明書の規格の1つであるX.509形式のデジタル証明書を利用する。デジタル証明書には以下の情報が記述される。シリアル番号は、1つの認証局から発行されたデジタル証明書で重複しないように付与された番号である。「Issuer」は、そのデジタル証明書を発行した発行元である認証局を表す文字列である。「Subject」は、デジタル証明書の発行先であるユーザ名を表す文字列である。   6 to 8 show examples of digital certificates stored in the digital certificate storage unit 101 of the communication terminal 100. FIG. As shown in the figure, the digital certificate includes, for example, X.1, which is one of general public key certificate standards. 509 format digital certificates are used. The following information is described in the digital certificate. The serial number is a number assigned so as not to be duplicated in a digital certificate issued by one certificate authority. “Issuer” is a character string that represents the certificate authority that issued the digital certificate. “Subject” is a character string representing a user name to which a digital certificate is issued.

このように、管理者はデジタル証明書を利用するユーザのみに有効なデジタル証明書を発行し、デジタル証明書を利用しないユーザに対しても同一な構成のプロファイル情報を配布する。これにより、全てのユーザに対して同一な構成のプロファイル情報を配布することができる。   In this way, the administrator issues a digital certificate that is valid only for users who use the digital certificate, and distributes profile information having the same configuration to users who do not use the digital certificate. Thereby, profile information having the same configuration can be distributed to all users.

次に、通信端末100がプロファイル情報を用いてネットワークに接続する動作について図9、図10を用いて具体的に説明する。図9のフローチャートは、主に接続方式選択制御部103による通信接続方式の選択処理の流れを示している。   Next, the operation of the communication terminal 100 connecting to the network using the profile information will be specifically described with reference to FIGS. The flowchart in FIG. 9 mainly shows a flow of communication connection method selection processing by the connection method selection control unit 103.

ステップ1:まず、最初のステップでは、現在のプロファイル順位を初期状態0に設定する(S1)。   Step 1: First, in the first step, the current profile order is set to the initial state 0 (S1).

ステップ2:次のステップでは、プロファイル情報記憶部102からプロファイル情報を読み込んで、プロファイル情報に記述された接続方式の「優先順位」を参照する。現在のプロファイル順位の次に大きな優先順位に該当する接続方式を選択する(S2)。   Step 2: In the next step, profile information is read from the profile information storage unit 102, and the “priority” of the connection method described in the profile information is referred to. A connection method corresponding to the next highest priority order of the current profile order is selected (S2).

ステップ3:次のステップでは、選択した接続方式の「接続形態」を参照して、「接続形態:認証無し」の場合には無線LAN(IEEE802.11)の接続処理を実行し、「接続形態:認証有り」の場合には証明書検索処理を実行すべく、証明書検索制御部104に検索処理の要求を送信する(S3)。
ステップ4:次のステップでは、証明書検索制御部104によりデジタル証明書記憶部101に保存されているデジタル証明書の検索が実行される。証明書検索処理の結果、接続方式選択制御部103は、証明書検索制御部104から検索条件に合致するデジタル証明書の有無に関する情報を受け付ける。証明書検索制御部104による証明書検索処理の詳細については後述する(S4)。 Step 3: In the next step, referring to the “connection form” of the selected connection method, in the case of “connection form: no authentication”, the wireless LAN (IEEE 802.11) connection process is executed, and “connection form” : If authentication is present, a request for search processing is transmitted to the certificate search control unit 104 to execute the certificate search processing (S3).
Step 4: In the next step, the certificate search control unit 104 searches for the digital certificate stored in the digital certificate storage unit 101. As a result of the certificate search process, the connection method selection control unit 103 receives information regarding the presence / absence of a digital certificate that matches the search condition from the certificate search control unit 104. Details of the certificate search processing by the certificate search control unit 104 will be described later (S4).

ステップ5:次のステップでは、該当するデジタル証明書が存在するという情報を受け付けた場合には、デジタル証明書による認証を行う通信接続方式を選択する。ここでは無線LAN接続(IEEE802.11、IEEE802.1x)処理を行う。IEEE802.1x接続処理のEAP−TLS認証ではステップ4で検索されたデジタル証明書を使用する。該当するデジタル証明書が存在しないという情報を受け付けた場合には、デジタル証明書による認証を行わない通信接続方式を選択すべく、ステップ2へ戻る。   Step 5: In the next step, when information indicating that the corresponding digital certificate exists is received, a communication connection method for performing authentication using the digital certificate is selected. Here, wireless LAN connection (IEEE 802.11, IEEE 802.1x) processing is performed. In the EAP-TLS authentication of the IEEE 802.1x connection process, the digital certificate retrieved in step 4 is used. If information indicating that the corresponding digital certificate does not exist is received, the process returns to step 2 to select a communication connection method that does not perform authentication using the digital certificate.

ステップ6:上記各無線LANの接続処理の結果、接続が正常に完了した場合には、接続を継続する。一方で、接続が正常に完了しなかった場合には、該当するデジタル証明書の履歴情報として後述のステップ48で保存された証明書値を消去してステップ2へ戻る。   Step 6: If the connection is normally completed as a result of the connection process of each wireless LAN, the connection is continued. On the other hand, if the connection is not normally completed, the certificate value stored in step 48 described later as the history information of the corresponding digital certificate is deleted, and the process returns to step 2.

次に、上記ステップ4における証明書検索制御部104によるデジタル証明書の検索処理について図10のフローチャートを用いて説明する。   Next, digital certificate search processing by the certificate search control unit 104 in step 4 will be described with reference to the flowchart of FIG.

ステップ40:最初のステップでは、検索に先立って、証明書利用履歴記録部106内に該当するデジタル証明書の履歴情報として保存された証明書値が存在するかどうかを判定する(S40)。   Step 40: In the first step, prior to the search, it is determined whether there is a certificate value stored as history information of the corresponding digital certificate in the certificate use history recording unit 106 (S40).

ステップ41:ステップ40で証明書値が存在する場合に、その証明書値と一致するデジタル証明書の有無を確認し、そのデジタル証明書が存在する場合には、検索結果を(1)としてそのデジタル証明書を選択する(S41)。   Step 41: If a certificate value exists in Step 40, the presence or absence of a digital certificate that matches the certificate value is confirmed. If the digital certificate exists, the search result is set as (1) A digital certificate is selected (S41).

ステップ42:ステップ40で証明書値が存在しない場合、又はステップ41で証明書値と一致するデジタル証明書が存在しない場合には以下の処理を行う(S42)。   Step 42: If there is no certificate value in step 40, or if there is no digital certificate that matches the certificate value in step 41, the following processing is performed (S42).

プロファイル情報を参照し、以下の検索条件i)、ii)に合致するデジタル証明書を検索する。i)プロファイル情報の「Issuer」に記述された文字列とデジタル証明書の「Issuer」に記述された文字列が一致する。ii)プロファイル情報の「Subject」に記述された文字列全体がデジタル証明書の「Subject」に記述された文字列に前方一致する。   Refer to the profile information and search for a digital certificate that meets the following search conditions i) and ii). i) The character string described in “Issuer” of the profile information matches the character string described in “Issuer” of the digital certificate. ii) The entire character string described in “Subject” of the profile information matches the character string described in “Subject” of the digital certificate.

ステップ43:検索の結果、一致したデジタル証明書の数を判定する。一致したデジタル証明書の数が0の場合検索結果を(0)とする。一致したデジタル証明書の数が1の場合検索結果を(1)として、そのデジタル証明書を選択する(S43)。   Step 43: The number of digital certificates that match as a result of the search is determined. If the number of matched digital certificates is 0, the search result is (0). If the number of matched digital certificates is 1, the search result is (1) and the digital certificate is selected (S43).

ステップ44,45:ステップ43で一致したデジタル証明書の数が2以上の場合は、複数のデジタル証明書に関する情報をユーザに通知して、ユーザに選択を要求する。ユーザからのデジタル証明書の指定を受け付ける(S44,S45)。   Steps 44 and 45: If the number of digital certificates matched in step 43 is two or more, the user is notified of information regarding a plurality of digital certificates, and the user is requested to select. A digital certificate designation from the user is accepted (S44, S45).

ステップ46、ステップ47:ユーザからの指定応答を受け付けて、指定されたデジタル証明書が存在する場合には、検索結果を(1)としてそのデジタル証明書を選択する。ユーザからの指定応答を受け付けないまま一定時間を経過した場合、および指定されたデジタル証明書が存在しない場合は、検索結果を(0)とする(S46,S47)。   Step 46 and Step 47: When a designated response from the user is received and the designated digital certificate exists, the digital certificate is selected with the search result as (1). If a predetermined time has passed without accepting a designated response from the user, and if the designated digital certificate does not exist, the search result is set to (0) (S46, S47).

ステップ48:上記ステップ43〜ステップ47の結果、検索結果が0の場合は証明書値を消去し、検索結果が1の場合は証明書値を保存する(S48)。   Step 48: If the search result is 0 as a result of step 43 to step 47, the certificate value is deleted, and if the search result is 1, the certificate value is saved (S48).

[第1の動作例]
次に、第1の動作例として、図4で示したプロファイル1を利用して、デジタル証明書が保存されていない状態の通信端末からネットワークへ接続する場合の動作について図9のフローチャートを参照しながら説明する。 [First operation example]
Next, as a first operation example, referring to the flowchart of FIG. 9 for the operation in the case of connecting to a network from a communication terminal in which a digital certificate is not stored using the profile 1 shown in FIG. While explaining.

ステップ1:最初のステップでは、現在のプロファイル順位を初期状態0「Pri0」に設定する。   Step 1: In the first step, the current profile order is set to the initial state 0 “Pri0”.

ステップ2:次のステップでは、プロファイル情報記憶部102からプロファイル情報を読み込んで、プロファイル情報に記述された「優先順位」を参照して、現在のプロファイル順位の次に大きな「優先順位:Pri1」に該当する接続方式「接続A」を選択する。   Step 2: In the next step, the profile information is read from the profile information storage unit 102, the "priority order" described in the profile information is referred to, and the "priority order: Pri1" next to the current profile order is set. Select the appropriate connection method “Connection A”.

ステップ3:次のステップでは、接続方式「接続A」は、「接続形態:認証有り」であるので証明書検索処理を実行すべく、証明書検索制御部104に検索処理の要求を送信する。
ステップ4:次のステップでは、証明書検索制御部104によりデジタル証明書記憶部101に保存されているデジタル証明書の検索が実行される。ここではデジタル証明書が保存されていないので、証明書検索処理の結果、条件に合致するデジタル証明書が存在しない旨の情報を受け付ける。 Step 3: In the next step, since the connection method “connection A” is “connection type: authenticated”, a request for search processing is transmitted to the certificate search control unit 104 in order to execute certificate search processing.
Step 4: In the next step, the certificate search control unit 104 searches for the digital certificate stored in the digital certificate storage unit 101. Here, since the digital certificate is not stored, information indicating that there is no digital certificate that matches the conditions is accepted as a result of the certificate search process.

ステップ5:次のステップでは、該当するデジタル証明書が存在しないという情報を受け付け、接続処理を実施せずステップ2へ戻る。   Step 5: In the next step, information that the corresponding digital certificate does not exist is accepted, and the process returns to Step 2 without performing the connection process.

ステップ2’において、次に大きい「優先順位:Pri2」の接続方式「接続B」が選択される。次のステップ3’では接続方式「接続B」は「接続形態:認証なし」であるので無線LAN接続処理が実施される。   In step 2 ′, the next highest “priority: Pri2” connection method “connection B” is selected. In the next step 3 ′, since the connection method “connection B” is “connection type: no authentication”, wireless LAN connection processing is performed.

ステップ6:このとき無線LANのパラメータ「ESSID:Svc−a」、「WEP鍵:Key−a」に合致するアクセスポイントが存在する場合、接続処理が完了し、接続を継続する。このような処理により、デジタル証明書を利用しないユーザは従来のように無効なデジタル証明書を用いて接続試行する必要がなくなるので接続完了までの時間を短縮することができる。   Step 6: At this time, if there is an access point that matches the parameters “ESSID: Svc-a” and “WEP key: Key-a” of the wireless LAN, the connection process is completed and the connection is continued. Such processing eliminates the need for a user who does not use a digital certificate to make a connection attempt using an invalid digital certificate as in the prior art, so the time until connection is completed can be reduced.

[第2の動作例]
次に、第2の動作例として、図4で示したプロファイル1を利用して、図6,7で示したデジタル証明書1,2が保存された状態の通信端末からネットワークへ接続する場合の動作について図9,図10のフローチャートを参照しながら説明する。 [Second operation example]
Next, as a second operation example, the profile 1 shown in FIG. 4 is used to connect to a network from a communication terminal in which the digital certificates 1 and 2 shown in FIGS. The operation will be described with reference to the flowcharts of FIGS.

ステップ1:まず、最初のステップでは、現在のプロファイル順位を初期状態0「Pri0」に設定する。   Step 1: First, in the first step, the current profile order is set to the initial state 0 “Pri0”.

ステップ2:次のステップでは、プロファイル情報記憶部102からプロファイル情報を読み込んで、プロファイル情報に記述された「優先順位」を参照して、現在のプロファイル順位の次に大きな「優先順位:Pri1」に該当する接続方式「接続A」を選択する。   Step 2: In the next step, the profile information is read from the profile information storage unit 102, the "priority order" described in the profile information is referred to, and the "priority order: Pri1" next to the current profile order is set. Select the appropriate connection method “Connection A”.

ステップ3:次のステップでは、接続方式「接続A」は、「接続形態:認証有り」であるので証明書検索処理を実行すべく、証明書検索制御部104に検索処理の要求を送信する。
ステップ4:次のステップでは、証明書検索制御部104によりデジタル証明書記憶部101に保存されているデジタル証明書の検索が実行される。 Step 3: In the next step, since the connection method “connection A” is “connection type: authenticated”, a request for search processing is transmitted to the certificate search control unit 104 in order to execute certificate search processing.
Step 4: In the next step, the certificate search control unit 104 searches for the digital certificate stored in the digital certificate storage unit 101.

ステップ40:ここではデジタル証明書の履歴情報は証明書利用履歴記録部106に保存されていないものとし、ステップ42へ進む。   Step 40: Here, it is assumed that the history information of the digital certificate is not stored in the certificate use history recording unit 106, and the process proceeds to Step 42.

ステップ42:証明書検索制御部104によるプロファイル情報と合致するデジタル証明書を検索するステップにおいて、プロファイル情報を参照し、以下の検索条件i)、ii)に合致する証明書を検索する。i)プロファイル1の「Issuer:Auth0」とデジタル証明書1の「Issuer:Auth0」が一致する。ここでデジタル証明書2の「Issuer:Auth1」は条件に一致しない。ii)プロファイル1の「Subject:Pref0−User0」の文字列全体がデジタル証明書1の「Subject:Pref0−User1」に前方一致する。   Step 42: In the step of searching for a digital certificate that matches the profile information by the certificate search control unit 104, the profile information is referenced to search for a certificate that matches the following search conditions i) and ii). i) “Issuer: Auth0” of profile 1 and “Issuser: Auth0” of digital certificate 1 match. Here, “Issuer: Auth1” of the digital certificate 2 does not match the condition. ii) The entire character string of “Subject: Pref0-User0” of profile 1 is forward-matched with “Subject: Pref0-User1” of digital certificate 1.

ステップ43:検索の結果、一致したデジタル証明書の数が1であるので、検索結果を(1)として、上記検索条件i)、ii)に合致したデジタル証明書1を選択する。   Step 43: As a result of the search, the number of matched digital certificates is 1, so that the search result is (1), and the digital certificate 1 that matches the search conditions i) and ii) is selected.

ステップ48:デジタル証明書1の証明書値「Issuer:Auth0、シリアル番号:12345678」を履歴情報として証明書利用履歴記録部106に保存する。   Step 48: The certificate value “Issuer: Auth0, serial number: 12345678” of the digital certificate 1 is stored in the certificate use history recording unit 106 as history information.

ステップ5:次のステップでは、該当するデジタル証明書が存在するという情報を受け付けて、デジタル証明書1による認証を行う通信接続方式を選択する。ここでは無線LAN接続(IEEE802.11、IEEE802.1x)処理を行い、ESSIDがSvc−aのアクセスポイントと無線LANのリンクを確立した後、IEEE802.1x接続処理のEAP−TLS認証においてステップ4で選択されたデジタル証明書1を用いて認証を行う。尚、認証情報は認証サーバで認証され、アクセスポイントが接続処理を行う。その結果。通信端末におけるネットワークへの接続処理が終了する。このように、デジタル証明書を利用するユーザはデジタル証明書を選択して接続試行する必要がなくなるので接続完了までの時間を短縮することができる。   Step 5: In the next step, information indicating that the corresponding digital certificate exists is received, and a communication connection method for performing authentication using the digital certificate 1 is selected. Here, after performing wireless LAN connection (IEEE802.11, IEEE802.1x) processing and establishing a wireless LAN link with an access point whose ESSID is Svc-a, in step 4 in EAP-TLS authentication of the IEEE802.1x connection processing. Authentication is performed using the selected digital certificate 1. The authentication information is authenticated by the authentication server, and the access point performs connection processing. as a result. The connection process to the network at the communication terminal ends. In this way, the user who uses the digital certificate does not need to select the digital certificate and try to connect, so the time until the connection is completed can be shortened.

[第3の動作例]
次に、第3の動作例として、図5で示したプロファイル2を利用して、図6,7,8で示したデジタル証明書1,2,3が保存された状態の通信端末からネットワークへ接続する場合の動作について図9,10のフローチャートを参照しながら説明する。 [Third operation example]
Next, as a third operation example, the profile 2 shown in FIG. 5 is used to transfer the digital certificate 1, 2, 3 shown in FIGS. 6, 7, and 8 from the communication terminal to the network. The operation for connection will be described with reference to the flowcharts of FIGS.

ステップ1:まず、最初のステップでは、現在のプロファイル順位を初期状態0「Pri0」に設定する。   Step 1: First, in the first step, the current profile order is set to the initial state 0 “Pri0”.

ステップ2:次のステップでは、プロファイル情報記憶部102からプロファイル情報を読み込んで、プロファイル情報に記述された「優先順位」を参照して、現在のプロファイル順位の次に大きな「優先順位:Pri1」に該当する接続方式「接続A」を選択する。   Step 2: In the next step, the profile information is read from the profile information storage unit 102, the "priority order" described in the profile information is referred to, and the "priority order: Pri1" next to the current profile order is set. Select the appropriate connection method “Connection A”.

ステップ3:次のステップでは、接続方式「接続A」は、「接続形態:認証有り」であるので証明書検索処理を実行すべく、証明書検索制御部104に検索処理の要求を送信する。
ステップ4:次のステップでは、証明書検索制御部104によりデジタル証明書記憶部101に保存されているデジタル証明書の検索が実行される。 Step 3: In the next step, since the connection method “connection A” is “connection type: authenticated”, a request for search processing is transmitted to the certificate search control unit 104 in order to execute certificate search processing.
Step 4: In the next step, the certificate search control unit 104 searches for the digital certificate stored in the digital certificate storage unit 101.

ステップ40:ここではデジタル証明書の履歴情報は証明書利用履歴記録部106に保存されていないものとし、ステップ42へ進む。   Step 40: Here, it is assumed that the history information of the digital certificate is not stored in the certificate use history recording unit 106, and the process proceeds to Step 42.

ステップ42:証明書検索制御部104によるプロファイル情報と合致するデジタル証明書を検索するステップにおいて、プロファイル情報を参照し、以下の検索条件i)、ii)に合致する証明書を検索する。i)プロファイル2の「Issuer:Auth0」とデジタル証明書1およびデジタル証明書3の「Issuer:Auth0」が一致する。ここでデジタル証明書2の「Issuer:Auth1」は条件に一致しない。ii)プロファイル2の「Subject:Pref0−User0」の文字列全体が、デジタル証明書1の「Subject:Pref0−User1」およびデジタル証明書3の「Subject:Pref0−User2」に前方一致する。   Step 42: In the step of searching for a digital certificate that matches the profile information by the certificate search control unit 104, the profile information is referenced to search for a certificate that matches the following search conditions i) and ii). i) “Issuer: Auth0” of profile 2 matches “Issuer: Auth0” of digital certificate 1 and digital certificate 3. Here, “Issuer: Auth1” of the digital certificate 2 does not match the condition. ii) The entire character string of “Subject: Pref0-User0” of profile 2 is forward-matched with “Subject: Pref0-User1” of digital certificate 1 and “Subject: Pref0-User2” of digital certificate 3.

ステップ43:検索の結果、デジタル証明書1およびデジタル証明書3の2つが一致したので、検索結果は(2)となる。   Step 43: Since the digital certificate 1 and the digital certificate 3 match as a result of the search, the search result is (2).

ステップ44,45:ステップ43で一致したデジタル証明書の数が2であるのでデジタル証明書1およびデジタル証明書3に関する情報をユーザに通知して、ユーザに選択を要求する。ユーザからのデジタル証明書の指定を受け付ける。ここでは一定時間内にユーザから例えばデジタル証明書3の指定を受け付けたとする。   Steps 44 and 45: Since the number of digital certificates matched in step 43 is 2, the user is notified of information related to the digital certificate 1 and the digital certificate 3, and the user is requested to select. Accepts a digital certificate specification from the user. Here, it is assumed that the designation of the digital certificate 3 is received from the user within a certain time.

ステップ46、ステップ47:指定されたデジタル証明書3は存在するので検索結果を(1)としてそのデジタル証明書3を選択する。   Step 46 and Step 47: Since the designated digital certificate 3 exists, the digital certificate 3 is selected with the search result as (1).

ステップ48:検索結果が(1)であるのでデジタル証明書3の証明書値(Issuer:Auth0、シリアル番号:345678)を履歴情報として証明書利用履歴記録部106に保存する。このように、プロファイル情報で指定される条件に合致するデジタル証明書が複数検索された場合においても認証に成功した証明書のみ、その履歴情報を保存しておく。これにより、繰り返しユーザが選択する操作が不要となり、誤ったデジタル証明書の選択による認証失敗を低減することが可能となる。   Step 48: Since the search result is (1), the certificate value (Issuer: Auth0, serial number: 345678) of the digital certificate 3 is stored in the certificate use history recording unit 106 as history information. As described above, even when a plurality of digital certificates that match the conditions specified by the profile information are searched, only the certificate that has been successfully authenticated stores the history information. This eliminates the need for repeated user selection operations, and reduces authentication failures due to incorrect digital certificate selection.

ステップ5:次のステップでは、デジタル証明書3による認証を行う通信接続方式を選択する。ここでは無線LAN接続(IEEE802.11、IEEE802.1x)処理を行い、ESSIDがSvc−aのアクセスポイントと無線LANのリンクを確立した後、IEEE802.1x接続処理のEAP−TLS認証においてステップ4で選択されたデジタル証明書3を用いて認証を行う。尚、認証情報は認証サーバで認証され、アクセスポイントが接続処理を行う。その結果。通信端末におけるネットワークへの接続処理が終了する。   Step 5: In the next step, a communication connection method for performing authentication using the digital certificate 3 is selected. Here, after performing wireless LAN connection (IEEE802.11, IEEE802.1x) processing and establishing a wireless LAN link with an access point whose ESSID is Svc-a, in step 4 in EAP-TLS authentication of the IEEE802.1x connection processing. Authentication is performed using the selected digital certificate 3. The authentication information is authenticated by the authentication server, and the access point performs connection processing. as a result. The connection process to the network at the communication terminal ends.

以上、動作例で示したように、本実施の形態によれば、通信端末100において、ネットワークに接続する際に、プロファイル情報に記述されたデジタル証明書の発行元及び発行先の情報に合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、そのデジタル証明書が無い場合には上記認証を行わない通信接続方式を選択する。これにより、上記認証が必要でないユーザは従来のように無効なデジタル証明書を用いて接続試行する必要がないので接続完了までの時間を短縮することができる。また、認証局管理者は必要とするユーザのみに有効なデジタル証明書を発行し、ネットワーク管理者は全てのユーザに対して同一な構成のプロファイルを配布することができる。   As described above, according to the present embodiment, when the communication terminal 100 is connected to the network, the communication terminal 100 matches the digital certificate issuer and issuer information described in the profile information. When there is a digital certificate, a communication connection method for performing authentication using the digital certificate is selected. When there is no digital certificate, a communication connection method for not performing the authentication is selected. As a result, a user who does not need the above authentication does not need to attempt a connection using an invalid digital certificate as in the conventional case, and therefore, the time until the connection is completed can be shortened. In addition, the certificate authority administrator issues a digital certificate that is valid only to the users who need it, and the network administrator can distribute the profile with the same configuration to all users.

よって、プロファイル情報とデジタル証明書とが分離して配布されるネットワークの運用形態においてプロファイル情報の管理を容易にしつつ無効な認証を試行することによる接続完了までの時間を低減することができる。   Therefore, in a network operation mode in which profile information and digital certificates are distributed separately, it is possible to reduce the time until connection is completed by trying invalid authentication while facilitating management of profile information.

尚、本実施の形態においては、通信端末100は、CPU、メモリ、通信インターフェース、表示装置、キー操作などを入力させる入力装置などのハードウェアを備えたPCとしたが、上記各部を備えた情報機器であればこれに限られるものではない。   In the present embodiment, the communication terminal 100 is a PC including hardware such as a CPU, a memory, a communication interface, a display device, an input device for inputting key operations, etc., but information including the above-described units. If it is an apparatus, it will not be restricted to this.

また、実施の形態においては、接続方式選択制御部103による通信接続方式の選択処理はCPUによって実行されるプログラムで実現されるようにしたが、上記処理を実行する専用のハードウェアで実現してもよい。   In the embodiment, the communication connection method selection processing by the connection method selection control unit 103 is realized by a program executed by the CPU. However, it is realized by dedicated hardware for executing the above processing. Also good.

一実施の形態に係る通信ネットワークのシステム構成図である。1 is a system configuration diagram of a communication network according to an embodiment. 上記通信システムにおけるネットワーク構成図である。It is a network block diagram in the said communication system. 上記通信システムにおいてネットワークに接続する通信端末の概略的な構成を示すブロック図である。It is a block diagram which shows schematic structure of the communication terminal connected to a network in the said communication system. 上記通信端末のプロファイル情報記憶部に記憶されるプロファイル情報の第1の例を示すチャート図である。It is a chart figure which shows the 1st example of the profile information memorize | stored in the profile information storage part of the said communication terminal. 上記通信端末のプロファイル情報記憶部に記憶されるプロファイル情報の第2の例を示すチャート図である。It is a chart figure which shows the 2nd example of the profile information memorize | stored in the profile information storage part of the said communication terminal. 上記通信端末のデジタル証明書記憶部に記憶されるデジタル証明書の第1の例を示すチャート図である。It is a chart figure which shows the 1st example of the digital certificate memorize | stored in the digital certificate memory | storage part of the said communication terminal. 上記通信端末のデジタル証明書記憶部に記憶されるデジタル証明書の第2の例を示すチャート図である。It is a chart figure which shows the 2nd example of the digital certificate memorize | stored in the digital certificate memory | storage part of the said communication terminal. 上記通信端末のデジタル証明書記憶部に記憶されるデジタル証明書の第3の例を示すチャート図である。It is a chart figure which shows the 3rd example of the digital certificate memorize | stored in the digital certificate memory | storage part of the said communication terminal. 上記通信端末における通信接続方式の選択処理を示すフローチャートである。It is a flowchart which shows the selection process of the communication connection system in the said communication terminal. 上記通信端末におけるデジタル証明書の検索処理を示すフローチャートである。It is a flowchart which shows the search process of the digital certificate in the said communication terminal.

符号の説明Explanation of symbols

1…通信ネットワークシステム
100…通信端末
101…デジタル証明書記憶部
102…プロファイル情報記憶部
103…接続方式選択制御部
104…証明書検索制御部
105…証明書選択部
106…証明書利用履歴記録部
110…通信インターフェース部
200…アクセスポイント
200a…アクセスポイント(認証無)
200b…アクセスポイント(認証有)
300…ネットワーク
400…認証サーバ
500…認証局(CA)
600…プロファイル作成装置 DESCRIPTION OF SYMBOLS 1 ... Communication network system 100 ... Communication terminal 101 ... Digital certificate memory | storage part 102 ... Profile information memory | storage part 103 ... Connection method selection control part 104 ... Certificate search control part 105 ... Certificate selection part 106 ... Certificate utilization log | history recording part 110: Communication interface unit 200 ... Access point 200a ... Access point (no authentication)
200b ... Access point (with authentication)
300 ... Network 400 ... Authentication server 500 ... Certificate Authority (CA)
600 ... Profile creation device

Claims (3)

複数の通信接続方式の設定情報が記述されたプロファイル情報を用いてネットワークに接続する通信端末における通信接続方式の選択装置であって、
認証に使用するデジタル証明書を記憶しておく第1の記憶手段と、
前記複数の通信接続方式のうちデジタル証明書による認証を行う通信接続方式の設定情報には使用するデジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を記憶しておく第2の記憶手段と、
前記ネットワークに接続する際に、前記プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書の有無を受け付ける受付手段と、
前記合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、当該デジタル証明書が無い場合にはデジタル証明書による認証を行わない通信接続方式を選択する選択手段と、
を備えることを特徴とする通信接続方式の選択装置。 A communication connection method selection device in a communication terminal connected to a network using profile information in which setting information of a plurality of communication connection methods is described,
First storage means for storing a digital certificate used for authentication;
Among the plurality of communication connection methods, setting information of a communication connection method that performs authentication using a digital certificate stores profile information in which at least one of the issuer and issuer information of the digital certificate to be used is described. A second storage means;
Accepting means for accepting the presence or absence of a digital certificate that matches the information of the digital certificate described in the profile information when connecting to the network;
Selection means for selecting a communication connection method for performing authentication using a digital certificate if there is a matching digital certificate, and selecting a communication connection method for not performing authentication using a digital certificate if there is no digital certificate. When,
A communication connection system selection device comprising: 複数の通信接続方式の設定情報が記述されたプロファイル情報を用いてネットワークに接続する通信端末における通信接続方式の選択方法であって、
認証に使用するデジタル証明書を第1の記憶手段に記憶しておくステップと、
前記複数の通信接続方式のうちデジタル証明書による認証を行う通信接続方式の設定情報には使用するデジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を第2の記憶手段に記憶しておくステップと、
受付手段により、前記ネットワークに接続する際に、前記プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書の有無を受け付けるステップと、
選択手段により、前記合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、当該デジタル証明書が無い場合にはデジタル証明書による認証を行わない通信接続方式を選択するステップと、
を有することを特徴とする通信接続方式の選択方法。 A communication connection method selection method in a communication terminal connected to a network using profile information in which setting information of a plurality of communication connection methods is described,
Storing a digital certificate used for authentication in the first storage means;
Among the plurality of communication connection methods, the communication connection method setting information for authentication using a digital certificate includes profile information in which at least one of the issuer and issuer information of the digital certificate to be used is described in the second storage. A step of memorizing the means;
A step of receiving presence / absence of a digital certificate that matches information of the digital certificate described in the profile information when connecting to the network by a receiving unit;
When there is a matching digital certificate, the selection unit selects a communication connection method for performing authentication using a digital certificate. When there is no digital certificate, a communication connection method for not performing authentication using a digital certificate is selected. A step to choose;
A method for selecting a communication connection method, characterized by comprising: 複数の通信接続方式の設定情報が記述されたプロファイル情報を用いてネットワークに接続する通信端末に実行させる通信接続方式の選択プログラムであって、
認証に使用するデジタル証明書を第1の記憶手段に記憶しておくステップと、
前記複数の通信接続方式のうちデジタル証明書による認証を行う通信接続方式の設定情報には使用するデジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を第2の記憶手段に記憶しておくステップと、
前記ネットワークに接続する際に、前記プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書の有無を受け付けるステップと、
前記合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、当該デジタル証明書が無い場合にはデジタル証明書による認証を行わない通信接続方式を選択するステップと、
を通信端末に実行させることを特徴とする通信接続方式の選択プログラム。 A communication connection method selection program to be executed by a communication terminal connected to a network using profile information in which setting information of a plurality of communication connection methods is described,
Storing a digital certificate used for authentication in the first storage means;
Among the plurality of communication connection methods, the communication connection method setting information for authentication using a digital certificate includes profile information in which at least one of the issuer and issuer information of the digital certificate to be used is described in the second storage. A step of memorizing the means;
Accepting the presence or absence of a digital certificate matching the digital certificate information described in the profile information when connecting to the network;
Selecting a communication connection method for performing authentication with a digital certificate if there is a matching digital certificate, and selecting a communication connection method for not performing authentication with a digital certificate if there is no such digital certificate; ,
A communication connection method selection program characterized by causing a communication terminal to execute.
JP2007065583A 2007-03-14 2007-03-14 COMMUNICATION CONNECTION SELECTION DEVICE, METHOD, AND PROGRAM Active JP4362138B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007065583A JP4362138B2 (en) 2007-03-14 2007-03-14 COMMUNICATION CONNECTION SELECTION DEVICE, METHOD, AND PROGRAM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007065583A JP4362138B2 (en) 2007-03-14 2007-03-14 COMMUNICATION CONNECTION SELECTION DEVICE, METHOD, AND PROGRAM

Publications (2)

Publication Number Publication Date
JP2008228089A true JP2008228089A (en) 2008-09-25
JP4362138B2 JP4362138B2 (en) 2009-11-11

Family

ID=39846135

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007065583A Active JP4362138B2 (en) 2007-03-14 2007-03-14 COMMUNICATION CONNECTION SELECTION DEVICE, METHOD, AND PROGRAM

Country Status (1)

Country Link
JP (1) JP4362138B2 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010158006A (en) * 2008-12-23 2010-07-15 Intel Corp Method for expanding security protocol of transport layer for improving power efficiency in radio security process
JP2010532596A (en) * 2007-06-11 2010-10-07 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Method and apparatus for certificate processing
KR20120009725A (en) * 2010-07-20 2012-02-02 에스케이 텔레콤주식회사 System and method for subscriber multi authentication
JP2016051268A (en) * 2014-08-29 2016-04-11 株式会社Nttドコモ Authentication system, authentication server, client device, and authentication method
JP2017515408A (en) * 2014-05-06 2017-06-08 クゥアルコム・インコーポレイテッドQualcomm Incorporated Techniques for network selection in unlicensed frequency bands.
CN112788098A (en) * 2019-11-11 2021-05-11 宝马股份公司 Communication module, vehicle and method for operating a communication module
CN115277927A (en) * 2015-04-30 2022-11-01 佳能株式会社 Communication apparatus, control method of communication apparatus, and storage medium

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010532596A (en) * 2007-06-11 2010-10-07 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Method and apparatus for certificate processing
JP2010158006A (en) * 2008-12-23 2010-07-15 Intel Corp Method for expanding security protocol of transport layer for improving power efficiency in radio security process
US8769257B2 (en) 2008-12-23 2014-07-01 Intel Corporation Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing
KR20120009725A (en) * 2010-07-20 2012-02-02 에스케이 텔레콤주식회사 System and method for subscriber multi authentication
KR101678401B1 (en) 2010-07-20 2016-11-23 에스케이텔레콤 주식회사 System and method for subscriber multi authentication
JP2017515408A (en) * 2014-05-06 2017-06-08 クゥアルコム・インコーポレイテッドQualcomm Incorporated Techniques for network selection in unlicensed frequency bands.
JP2016051268A (en) * 2014-08-29 2016-04-11 株式会社Nttドコモ Authentication system, authentication server, client device, and authentication method
CN115277927A (en) * 2015-04-30 2022-11-01 佳能株式会社 Communication apparatus, control method of communication apparatus, and storage medium
CN112788098A (en) * 2019-11-11 2021-05-11 宝马股份公司 Communication module, vehicle and method for operating a communication module

Also Published As

Publication number Publication date
JP4362138B2 (en) 2009-11-11

Similar Documents

Publication Publication Date Title
JP4173866B2 (en) Communication device
JP4362138B2 (en) COMMUNICATION CONNECTION SELECTION DEVICE, METHOD, AND PROGRAM
JP4714111B2 (en) Management computer, computer system and switch
JP4993733B2 (en) Cryptographic client device, cryptographic package distribution system, cryptographic container distribution system, and cryptographic management server device
JP5821325B2 (en) Image forming system
JP2008104030A (en) Portable terminal device, gateway device, remote control program, access limitation program, and data transfer system
US7540416B2 (en) Smart card authentication system with multiple card and server support
CN101981865B (en) Information processing apparatus, control method of the information processing apparatus
US20080077790A1 (en) Authentication system using electronic certificate
JP2005209181A (en) File management system and management method
JP4584276B2 (en) Digital certificate search apparatus, method and program
JP2006018399A (en) Information processor, information processing method and program
JP3833652B2 (en) Network system, server device, and authentication method
US7536550B2 (en) Image forming apparatus and control method for same
JP4611988B2 (en) Terminal device
CN108377500A (en) A kind of wifi network connection method, device and equipment
JP2005092614A (en) Biometrics system, program, and information storage medium
JP2007115226A (en) User authentication system
US20080256089A1 (en) Supporting multiple security mechanisms in a database driver
US20030163707A1 (en) Information management apparatus and method
EP2251816A1 (en) Content distribution system and content distribution method
JP3870946B2 (en) Wireless connection establishment method and system, and wireless device control terminal used therefor
JP2011191934A (en) Information processing apparatus, method for authenticating the same and program
JP2002208921A (en) Vpn data communication method and private network construction system
JP4641840B2 (en) Access control device, access control method, and program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090410

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090424

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090623

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090721

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090814

R150 Certificate of patent or registration of utility model

Ref document number: 4362138

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120821

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130821

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350