JP2008263445A - 接続設定システム、認証装置、無線端末、及び接続設定方法 - Google Patents

接続設定システム、認証装置、無線端末、及び接続設定方法 Download PDF

Info

Publication number
JP2008263445A
JP2008263445A JP2007105123A JP2007105123A JP2008263445A JP 2008263445 A JP2008263445 A JP 2008263445A JP 2007105123 A JP2007105123 A JP 2007105123A JP 2007105123 A JP2007105123 A JP 2007105123A JP 2008263445 A JP2008263445 A JP 2008263445A
Authority
JP
Japan
Prior art keywords
wireless terminal
authentication
information
communication
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007105123A
Other languages
English (en)
Inventor
Yoshiyuki Yamazaki
祥之 山崎
Yukihiro Shigemasa
幸寛 重政
Masaki Yamashina
正樹 山階
Mayumi Aoki
真由美 青木
Masatomo Takechi
真知 武市
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Docomo Technology Inc
Original Assignee
Docomo Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Docomo Technology Inc filed Critical Docomo Technology Inc
Priority to JP2007105123A priority Critical patent/JP2008263445A/ja
Publication of JP2008263445A publication Critical patent/JP2008263445A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】無線端末が無線LANシステムに接続して他の装置と通信するのに必要な、無線端末における設定情報の設定や更新の作業を、無線端末の数に関わらず容易に行う。
【解決手段】無線端末10は、認証情報をオープン無線伝送路20及びオープンVLAN50を介して設定配信装置60に送信する無線通信部11を有し、設定配信装置60は、認証情報に基づいて無線端末10とサーバ80との間の通信を許可するか否かを判定する認証処理部63と、セキュア無線伝送路30及びセキュアVLAN70を介した当該通信に必要な設定を示す設定情報を無線端末10に送信するプロトコル処理部66と、を有し、無線端末10は、設定配信装置60から受信した設定情報に基づくセキュア無線伝送路30及びセキュアVLAN70を介したサーバ80との間の通信を行う。
【選択図】図2

Description

本発明は、無線端末が情報処理装置と通信を行う際に、当該無線端末が認証装置により認証される場合における、接続設定システム、認証装置、無線端末、及び接続設定方法に関する。
企業などにおける基幹情報処理システムやVoIP(Voice over Internet Protocol)システムでは、データ通信や音声通信などの各種通信を可能とするために、IP(Internet Protocol)ネットワークを用いたIP通信が普及している。これに伴い、IP通信機能を有する通信端末の利用数が増加している。このため、各システム内の機密情報へのアクセスを制御して利便性を高めつつ、なりすましなどによる不正アクセスを防止してセキュリティを高めるといった高機能化の要請が高まっている。
例えば、下記の特許文献1に開示されたネットワークシステムでは、まず、スイッチが有するポートに物理接続された通信端末のそれぞれについて認証を実行する。そして、認証結果に基づく制御信号を、Radius(Remote Authentication Dial In User Service)サーバからスイッチに出力させる。この制御信号により、通信端末のそれぞれは、認証結果に基づくネットワークに論理接続することが可能となる。このようにすることで、認証情報に基づいてアクセスを制御して利便性を確保しつつ、不正アクセスを防止してセキュリティを確保している。また、スイッチにおけるポート単位での契約、管理、各種サービスの提供を可能としている。
特許第3746782号公報
上記の特許文献1に開示された技術では、どの通信端末を特定のネットワークに接続可能とするかを指示する制御信号を、Radiusサーバからスイッチに出力させる必要がある。ここで、スイッチに物理接続させる通信端末が多数となった場合、通信端末のそれぞれに対するこの出力作業の作業量は膨大になる。更に、一度完了した設定の更新を行う場合、再度、上記の出力作業が必要となる。このため、出力や設定更新の作業のための管理が煩雑となってしまい、通信端末の管理者およびユーザにとって利便性が低いという問題がある。
また、上記以外の従来の技術においても、端末の管理者およびユーザにとって利便性が低いという問題がある。どの端末を接続可能とするかを制御する従来の技術における端末とサーバとの関係を、図1を用いて説明する。図1は、従来の技術を用いた無線LAN(Local Area Network)システムにおける、端末とサーバとの関係を説明する説明図である。携帯電話機やパソコンなどの無線端末91は、セキュア無線伝送路93を介して無線アクセスポイント94と通信接続することができ、更に、セキュアLAN97を介してWebサーバ98や業務用サーバ99などと通信接続することができる。ただし、Webサーバ98や業務用サーバ99などのサーバと通信接続可能な端末は、通常、予め決められている。
ここで、この無線LANシステムでは、セキュリティを確保するため、無線端末91のそれぞれに対してセキュア接続用プロファイルを設定する必要がある。セキュア接続用プロファイルとは、無線端末91が、セキュア無線伝送路93を介して無線アクセスポイント94と通信接続するために必要な、無線区間を暗号化する暗号化キーなどのプロファイルのことである。セキュア接続用プロファイルに示された情報が設定された無線端末91だけが、セキュア無線伝送路93を介して無線アクセスポイント94と通信接続することができる。
しかしながら、無線アクセスポイント94と通信接続させる無線端末91が多数となった場合、端末のそれぞれに対する上記プロファイルの設定作業の作業量は膨大になる。更に、一度完了したプロファイル設定の更新を行う場合、無線アクセスポイント94だけでなく、端末のそれぞれに対する上記プロファイルの更新作業が必要となる。このため、設定や更新の作業のための管理が煩雑となってしまい、端末の管理者およびユーザにとって利便性が低いという問題がある。
そこで、本発明は、上記問題点を解決するためになされたものであり、無線端末が無線LANシステムに接続して他の装置と通信するのに必要な、無線端末における設定情報の設定や更新の作業を、無線端末の数に関わらず容易に行うことが可能な、接続設定システム、認証装置、無線端末、及び接続設定方法を提供することを目的とする。
上記目的を達成するために、本発明に係る接続設定システムは、無線端末と、無線端末からの情報を処理する情報処理装置と、無線端末が情報処理装置と通信するために必要な認証を行う認証装置と、を備える接続設定システムであって、無線端末は、情報処理装置と通信するために必要な認証情報を、第一ネットワークを介して認証装置に送信する端末送信手段を有し、認証装置は、無線端末から受信した認証情報に基づいて、無線端末と情報処理装置との間の通信を許可するか否かを判定する装置判定手段と、当該通信を許可すると判定された場合、第二ネットワークを介した当該無線端末と当該情報処理装置との間の通信に必要な設定を示す設定情報を、無線端末に送信する装置送信手段と、を有し、無線端末は、認証装置から受信した設定情報に基づく第二ネットワークを介した情報処理装置との間の通信を行う、ことを特徴とする。
本発明に係る接続設定システムでは、まず、無線端末が、上記の認証情報を第一ネットワークを介して認証装置に送信し、認証装置が、この認証情報に基づいて、上記の通信を許可するか否かを判定する。次に、当該通信を許可すると判定された場合、第二ネットワークを介した当該通信に必要な設定を示す設定情報を、認証装置が無線端末に送信する。そして、無線端末は、この設定情報に基づく第二ネットワークを介した情報処理装置との間の通信を行う。このように、最初に、無線端末による認証情報の送信が第一ネットワークを介して行われると、最終的に、無線端末が情報処理装置と第二ネットワークを介して通信するのに必要な設定が無線端末に対して行われる。これにより、無線端末が無線LANシステムに接続して他の装置である情報処理装置と通信するのに必要な、無線端末における設定情報の設定や更新の作業を、無線端末の数に関わらず容易に行うことが可能となる。
上記目的を達成するために、本発明に係る認証装置は、無線端末からの情報を処理する情報処理装置と無線端末とが通信するために必要な認証を行う認証装置であって、情報処理装置と通信するために必要な認証情報を、第一ネットワークを介して無線端末から受信する装置受信手段と、認証情報に基づいて、無線端末と情報処理装置との間の通信を許可するか否かを判定する装置判定手段と、当該通信を許可すると判定された場合、第二ネットワークを介した当該無線端末と当該情報処理装置との間の通信に必要な設定を示す設定情報を、無線端末に送信して、設定情報に基づく第二ネットワークを介した情報処理装置との間の通信を無線端末に許可する装置送信手段と、を備えることを特徴とする。
本発明に係る認証装置では、まず、上記の認証情報を第一ネットワークを介して無線端末から受信し、この認証情報に基づいて、上記の通信を許可するか否かを判定する。次に、当該通信を許可すると判定された場合、第二ネットワークを介した当該通信に必要な設定を示す設定情報を、認証装置が無線端末に送信する。そして、無線端末は、この設定情報に基づく第二ネットワークを介した情報処理装置との間の通信を行う。このように、最初に、無線端末による認証情報の送信が第一ネットワークを介して行われると、最終的に、無線端末が情報処理装置と第二ネットワークを介して通信するのに必要な設定が無線端末に対して行われる。これにより、無線端末が無線LANシステムに接続して他の装置である情報処理装置と通信するのに必要な、無線端末における設定情報の設定や更新の作業を、無線端末の数に関わらず容易に行うことが可能となる。
上記目的を達成するために、本発明に係る無線端末は、自端末からの情報を処理する情報処理装置と通信するために必要な認証が認証装置により行われる無線端末であって、情報処理装置と通信するために必要な認証情報を、第一ネットワークを介して認証装置に送信して、認証情報に基づいて、自端末と情報処理装置との間の通信を許可するか否かを認証装置に判定させる端末送信手段と、当該通信を許可すると判定された場合、第二ネットワークを介した自端末と当該情報処理装置との間の通信に必要な設定を示す設定情報を、認証装置から受信する端末受信手段と、設定情報に基づく第二ネットワークを介した情報処理装置との間の通信を行う端末実行手段と、を備えることを特徴とする。
本発明に係る無線端末では、まず、無線端末が、上記の認証情報を第一ネットワークを介して認証装置に送信し、認証装置が、この認証情報に基づいて、上記の通信を許可するか否かを判定する。次に、当該通信を許可すると判定された場合、第二ネットワークを介した当該通信に必要な設定を示す設定情報を、認証装置が無線端末に送信する。そして、無線端末は、この設定情報に基づく第二ネットワークを介した情報処理装置との間の通信を行う。このように、最初に、無線端末による認証情報の送信が第一ネットワークを介して行われると、最終的に、無線端末が情報処理装置と第二ネットワークを介して通信するのに必要な設定が無線端末に対して行われる。これにより、無線端末が無線LANシステムに接続して他の装置である情報処理装置と通信するのに必要な、無線端末における設定情報の設定や更新の作業を、無線端末の数に関わらず容易に行うことが可能となる。
また、無線端末は、端末受信手段により受信された設定情報を格納する端末格納手段を更に備え、端末実行手段は、端末送信手段により認証情報が第一ネットワークを介して認証装置に送信される前に、端末格納手段に格納された設定情報に基づく第二ネットワークを介した情報処理装置との間の通信を試行するのも好ましい。これにより、端末格納手段に格納された設定情報がまだ有効である場合、認証装置による認証処理を省略することができるため、無線端末が無線LANシステムに接続して他の装置である情報処理装置と通信するまでの時間を短縮することができる。
上記目的を達成するために、本発明に係る接続設定方法は、無線端末と、無線端末からの情報を処理する情報処理装置と、無線端末が情報処理装置と通信するために必要な認証を行う認証装置と、を備える接続設定システムにより行われる接続設定方法であって、情報処理装置と通信するために必要な認証情報を、第一ネットワークを介して認証装置に無線端末が送信する端末送信ステップと、無線端末から受信した認証情報に基づいて、無線端末と情報処理装置との間の通信を許可するか否かを認証装置が判定する装置判定ステップと、当該通信を許可すると判定された場合、第二ネットワークを介した当該無線端末と当該情報処理装置との間の通信に必要な設定を示す設定情報を、無線端末に認証装置が送信する装置送信ステップと、認証装置から受信した設定情報に基づく第二ネットワークを介した情報処理装置との間の通信を無線端末が行う端末実行ステップと、を有することを特徴とする。
本発明に係る接続設定方法では、まず、無線端末が、上記の認証情報を第一ネットワークを介して認証装置に送信し、認証装置が、この認証情報に基づいて、上記の通信を許可するか否かを判定する。次に、当該通信を許可すると判定された場合、第二ネットワークを介した当該通信に必要な設定を示す設定情報を、認証装置が無線端末に送信する。そして、無線端末は、この設定情報に基づく第二ネットワークを介した情報処理装置との間の通信を行う。このように、最初に、無線端末による認証情報の送信が第一ネットワークを介して行われると、最終的に、無線端末が情報処理装置と第二ネットワークを介して通信するのに必要な設定が無線端末に対して行われる。これにより、無線端末が無線LANシステムに接続して他の装置である情報処理装置と通信するのに必要な、無線端末における設定情報の設定や更新の作業を、無線端末の数に関わらず容易に行うことが可能となる。
本発明によれば、無線端末が無線LANシステムに接続して他の装置と通信するのに必要な、無線端末における設定情報の設定や更新の作業を、無線端末の数に関わらず容易に行うことが可能な、接続設定システム、認証装置、無線端末、及び接続設定方法を提供することができる。
以下、添付図面を参照しながら本発明の好適な実施形態を説明する。なお、図面の説明において同一要素には同一符号を付し、重複する説明を省略する。
(1)接続設定システムの構成
まず、本実施形態である接続設定システムについて、図2を用いて説明する。図2は、無線端末の接続設定を行う接続設定システムの構成を説明するための説明図である。接続設定システム100は、無線端末10と、オープン無線伝送路20と、セキュア無線伝送路30と、無線アクセスポイント40と、オープンVLAN(Virtual Local Area Network)50(第一ネットワーク)と、設定配信装置60(認証装置)と、セキュアVLAN70(第二ネットワーク)と、Webサーバ80(情報処理装置)と、業務用サーバ90(情報処理装置)と、を備えて構成されている。ここでは、無線端末は4つあるとして説明するが、無線端末の数は特に限定されない。
ここで、無線端末10は、オープン無線伝送路20を介して無線アクセスポイント40と通信接続することができ、更に、無線アクセスポイント40及びオープンVLAN50を介して設定配信装置60と通信接続することができる。また、後述の設定が行われた無線端末10は、セキュア無線伝送路30を介して無線アクセスポイント40と通信接続することができ、更に、無線アクセスポイント40及びセキュアVLAN70を介してWebサーバ80や業務用サーバ90と通信接続することができる。
無線端末10は、自端末から送信した情報を処理するWebサーバ80や業務用サーバ90と通信を行う端末である。この通信に必要な認証は、設定配信装置60と通信を行うことにより行われる。無線端末10は、無線アクセスポイント40を介して設定配信装置60やWebサーバ80や業務用サーバ90と通信を行うことができるように、無線IP通信機能を有している。無線端末10は、例えば、携帯電話機やパソコンやPDAなどといった、無線アクセスポイント40と無線IP通信が可能な端末である。無線端末10は、オープン無線伝送路20又はセキュア無線伝送路30を介して無線アクセスポイント40と通信接続する。無線端末10の物理的構成および機能的構成については、後述する。
オープン無線伝送路20は、無線端末10と無線アクセスポイント40との間で、暗号化されていない情報が伝送されるオープンな(即ち、ANY接続が許可された)無線通信路である。オープン無線伝送路20では、オープンVLAN50に対応した設定となっている。なお、ANY接続の許可とは、無線端末10がESSID(Extended Service Set Identifier)を指定しない状態で、無線アクセスポイント40と通信接続することを許可することを意味する。このため、無線端末10は、暗号化されていない情報が伝送されるノンセキュアな状態の無線空間を経由した、無線アクセスポイント40との通信接続を行うことができる。
セキュア無線伝送路30は、無線端末10と無線アクセスポイント40との間で、暗号化された情報が伝送されるセキュアな(即ち、ANY接続が拒否された)無線通信路である。セキュア無線伝送路30では、セキュアVLAN70に対応した設定となっている。なお、ANY接続の拒否とは、無線端末10がESSIDを指定しない状態で、無線アクセスポイント40と通信接続することを拒否することを意味する。このため、無線端末10が、暗号化された情報が伝送されるセキュアな状態の無線空間を経由した、無線アクセスポイント40との通信接続を行うには、後述の設定情報に示されたESSIDを指定して無線アクセスポイント40と通信接続する必要がある。
無線アクセスポイント40は、無線端末10が設定配信装置60やWebサーバ80や業務用サーバ90と通信接続するために用いられる通信中継点である。無線アクセスポイント40は、オープンVLAN50を介してノンセキュアな状態で設定配信装置60と接続されており、また、セキュアVLAN70を介してセキュアな状態でWebサーバ80や業務用サーバ90と接続されている。無線アクセスポイント40は、オープンVLAN50に接続されるオープン無線伝送路20と、セキュアVLAN70に接続されるセキュア無線伝送路30など、複数の無線伝送路を提供する。
オープンVLAN50は、無線アクセスポイント40と設定配信装置60とをノンセキュアな状態で接続するLANである。オープンVLAN50は、オープン無線伝送路20に対応した設定となっている。
設定配信装置60は、無線端末10とWebサーバ80や業務用サーバ90とが通信するために必要な認証を行う装置である。この通信に必要な認証は、無線端末10と通信を行うことにより行われる。設定配信装置60は、ホストコンピュータやサーバなどといった、コンピュータとして構成されている。設定配信装置60は、オープンVLAN50及び無線アクセスポイント40を介して無線端末10と通信接続する。設定配信装置60の物理的構成および機能的構成については、後述する。
セキュアVLAN70は、無線アクセスポイント40とWebサーバ80や業務用サーバ90とをセキュアな状態で接続するLANである。設定配信装置60の認証処理によって、Webサーバ80や業務用サーバ90との通信が許可された無線端末10だけが、当該通信を行うことができる。セキュアVLAN70は、セキュア無線伝送路30に対応した設定となっている。
Webサーバ80は、無線端末10から送信された要求情報に応じて、応答情報を生成する処理を行って、無線端末10に送信するサーバである。例えば、Webサーバ80は、所定のサイトのURL情報を無線端末10から受信すると、当該サイトのコンテンツファイルを無線端末10に送信する。
業務用サーバ90は、無線端末10から送信されたリクエスト情報に応じて、リプライ情報を生成する処理を行って、無線端末10に送信するサーバである。例えば、業務用サーバ90は、所定の計算を依頼する情報を無線端末10から受信すると、当該計算の結果に関する情報を無線端末10に送信する。
(2)無線端末の構成
引き続き、本実施形態である無線端末10の構成について、図2〜図4を用いて説明する。図3は、無線端末10のハードウェア構成を示す構成図であり、図4は、無線端末10に実装されたソフトウェアブロックを示すソフトウェアブロック図である。図3に示すように、無線端末10は、CPU101、RAM102、ROM103、操作部104、無線通信部105、ディスプレイ106、及びアンテナ107等のハードウェアにより構成されている。これらの構成要素が動作することにより、以下に説明する各機能が発揮される。
また、図4に示すように、無線端末10において、第1ブロック1001としてNIC(Network Interface Card)−driverが、第2ブロック1002としてIP socketが、第3ブロック1003としてTCP/UDPが、第4ブロック1004として上記ブロック1001〜1003を含むkernelが、第5ブロック1005として端末情報送受信プロトコルaが、第6ブロック1006として端末管理アプリケーションt及び設定情報(即ち、無線LAN接続プロファイル)が実装されている。ここで、IP socketスタックやTCP/UDPスタックは、通常の端末や装置が備えるプロトコルスタックであり、これらが利用される。なお、端末情報送受信プロトコルaは、無線端末10と設定配信装置60との間で情報を送受信するために利用されるプロトコルである。また、端末管理アプリケーションtは、図2に示す機能的な構成要素を含むアプリケーションである。
また、図2に示すように、無線端末10は、機能的な構成要素として、無線通信部11(端末送信手段)、プロトコル処理部12(端末受信手段)、アプリケーション処理部13(端末実行手段)、設定情報格納部14(端末格納手段)、認証情報格納部15、及び端末制御部16を有している。無線通信部11は、認証情報を、オープン無線伝送路20、無線アクセスポイント40、オープンVLAN50の順に経由させて設定配信装置60に送信する部分である。認証情報とは、Webサーバ80や業務用サーバ90と通信するために必要な認証を行うために必要な情報である。これにより、認証情報に基づいて、無線端末10と設定配信装置60との間の通信を許可するか否かが、設定配信装置60によって判定される。
プロトコル処理部12は、設定配信装置60によって無線端末10との間の通信が許可されると判定された場合、設定情報(即ち、無線LAN接続プロファイル)を設定配信装置60から受信して処理する部分である。プロトコル処理部12は、設定情報を設定配信装置60から受信するために、設定配信装置60と無線端末10との間で用いられる通信プロトコルを処理する。この設定情報は、セキュア無線伝送路30、無線アクセスポイント40、セキュアVLAN70を介した無線端末10とWebサーバ80や業務用サーバ90との間の通信に必要な設定を示す設定情報である。
アプリケーション処理部13は、設定情報に基づく、セキュア無線伝送路30、無線アクセスポイント40、セキュアVLAN70を介して、Webサーバ80や業務用サーバ90との間の通信を行う部分である。
また、アプリケーション処理部13は、無線通信部11が認証情報を設定配信装置60に送信する前に、設定情報格納部14に格納された設定情報に基づく、Webサーバ80や業務用サーバ90との間の通信接続を試行(チャレンジ)する。設定情報に基づく通信接続の試行は、アプリケーション処理部13が、この設定情報に基づいて、セキュア無線伝送路30を介して無線アクセスポイント40に通信接続するのが可能か否かを試す通信試行情報を、無線アクセスポイント40に送信することにより行われる。ここで、この通信試行情報に応答する応答情報(即ち、Ack信号)が無線アクセスポイント40から得られれば、セキュアVLAN70上のサーバに通信接続するのが可能となる。ここで、この設定情報に基づく通信が不可能であった場合には、無線通信部11が、認証情報を、オープン無線伝送路20、無線アクセスポイント40、オープンVLAN50の順に経由させて設定配信装置60に送信する。即ち、設定情報に基づくセキュアな通信が不可能であった場合には、無線通信部11が、認証情報をオープンな通信によって設定配信装置60に送信して、認証を要求する。
設定情報格納部14は、プロトコル処理部12により受信された設定情報を格納する部分である。設定情報格納部14に格納された設定情報は、アプリケーション処理部13により抽出されて、セキュアな通信路を介したWebサーバ80や業務用サーバ90との間の通信の試行に用いられる。
認証情報格納部15は、無線通信部11が設定配信装置60に送信する認証情報を格納する部分である。設定配信装置60によって認証情報の送信が要求されると、認証情報格納部15に格納された認証情報が、無線通信部11によって設定配信装置60に送信される。
端末制御部16は、無線端末10全体の動作などを制御する部分である。
(3)設定配信装置の構成
引き続き、本実施形態である設定配信装置60の構成について、図2、図5、図6を用いて説明する。図5は、設定配信装置60のハードウェア構成を示す構成図であり、図6は、設定配信装置60に実装されたソフトウェアブロックを示すソフトウェアブロック図である。図5に示すように、設定配信装置60は、CPU(Central Processing Unit)601、主記憶装置であるRAM(Random Access Memory)602及びROM(Read Only Memory)603、通信を行うための通信モジュール604、並びにハードディスク等の補助記憶装置605等のハードウェアを備えるコンピュータとして構成される。これらの構成要素が動作することにより、設定配信装置60の機能が発揮される。
また、図6に示すように、設定配信装置60において、第1ブロック6001としてNIC(Network Interface Card)−driverが、第2ブロック6002としてIP socketが、第3ブロック6003としてTCP/UDPが、第4ブロック6004として上記ブロック6001〜6003を含むkernelが、第5ブロック6005として端末情報送受信プロトコルaが、第6ブロック6006として端末管理アプリケーションs及び設定情報(即ち、無線LAN接続プロファイル)が、第7ブロック6007としてhttpが、第8ブロック6008としてweb browserが実装されている。また、端末管理アプリケーションsは、図2に示す機能的な構成要素を含むアプリケーションである。
また、図2に示すように、設定配信装置60は、機能的な構成要素として、装置受信部61(装置受信手段)、AP情報蓄積部62、認証処理部63(装置判定手段)、利用者情報格納部64、設定情報格納部65、プロトコル処理部66(装置送信手段)、及び装置制御部67を有している。装置受信部61は、認証情報を、オープン無線伝送路20、無線アクセスポイント40、オープンVLAN50の順に経由させて無線端末10から受信する部分である。
AP情報蓄積部62は、無線アクセスポイント40の設置位置やIPアドレスといった無線アクセスポイント40に関するAP情報を蓄積しておく部分である。このAP情報は、後述の認証処理部63による判定処理の際に用いられる。例えば、無線端末10がセキュア無線伝送路30への接続を要求する経路が正当なものかを判定するために、このAP情報は用いられる。
認証処理部63は、認証情報および上記のAP情報に基づいて、無線端末10と設定配信装置60との間の通信を許可するか否かを判定する部分である。認証処理部63は、セキュア無線伝送路30への接続を要求する無線端末10の正当性を判定する。
利用者情報格納部64は、上記の認証によってセキュア無線伝送路30への接続が許可される無線端末10のユーザに関するユーザ情報を、格納する部分である。
設定情報格納部65は、上記の認証によって、セキュア無線伝送路30への接続が許可された無線端末10に対して送信される設定情報(即ち、無線LAN接続プロファイル)を格納する部分である。この設定情報が無線端末10に設定されることにより、無線端末10は、セキュア無線伝送路30、無線アクセスポイント40を経由してセキュアVLAN70へ接続することが可能になる。また、設定情報格納部65は、セキュア無線伝送路30に接続された無線端末10に対して提供される、リッチサービス用のネットワーク機器の設定などに関する情報や、Webサーバ80や業務用サーバ90に接続する際に必要な情報(例えばアドレス情報)も格納している。
プロトコル処理部66は、上記の認証によって無線端末10がセキュア無線伝送路30への接続が許可されると、設定情報を無線端末10に送信する際のプロトコル処理を行う部分である。これにより、設定情報は無線端末10に送信される。
装置制御部67は、設定配信装置60全体の動作などを制御する部分である。
(4)接続設定システムで実行される処理
引き続き、本実施形態である接続設定システム100で実行される処理(接続設定方法)について、図7を用いて説明する。図7は、接続設定システム100で実行される処理の流れを説明するためのシーケンス図である。
まず、無線端末10では、電源がオンされる(S01)と、セキュア無線伝送路30を介した無線アクセスポイント40への通信接続がアプリケーション処理部13によって試行(チャレンジ)される(S02)。このセキュア無線伝送路30は、セキュアVLAN70に対応しており、無線アクセスポイント40によって提供される伝送路である。通信接続の試行の際は、設定情報格納部14に格納された設定情報(即ち、無線LAN接続プロファイル)がアプリケーション処理部13によって抽出される。そして、この設定情報に基づいて、上記の通信試行情報を無線アクセスポイント40に送信することにより、上記の試行が行われる。このようにして、セキュア無線伝送路30への通信接続が試行される。
ここで、セキュア無線伝送路30への通信接続が可能だったか否かがアプリケーション処理部13によって判定される(S03)。無線端末10が設定配信装置60から予め、セキュア無線伝送路30に接続するための有効な設定情報(即ち、無線LAN接続プロファイル)の配信を受けていれば、所定時間内に応答情報(即ち、Ack信号)が得られるため、セキュア無線伝送路30への通信接続が可能だったことが検出される。そして、無線端末10は、直ちにセキュアVLAN70への通信接続が可能になり、Webサーバ80や業務用サーバ90と通信ができるようになる(S14)。
一方、無線端末10がWebサーバ80や業務用サーバ90と通信接続可能な通常のロケーションとは別のロケーションにおいて、無線端末10がセキュア無線伝送路30に接続しようとした場合や、通常のロケーションであってもセキュリティ強度を向上させるために上記の設定情報(即ち、無線LAN接続プロファイル)が定期的に変更されるセキュア無線伝送路30に無線端末10が接続しようとした場合には、ステップS03では、所定時間内に応答情報(即ち、Ack信号)が得られず、セキュア無線伝送路30への通信接続が不可能だったことが検出される。この場合、無線端末10の無線通信部11が、既知の無線LANプロファイルを用いて、ANY接続可能なオープン無線伝送路を提供する無線アクセスポイントをスキャンする(S04)。この結果、無線アクセスポイント40が検出されたとする。
次に、端末制御部16が無線アクセスポイント40に接続することによって、無線端末10にIPアドレスが付与される。IPアドレスの付与後、端末制御部16がオープンVLAN50に接続されているDNS(Domain Name System)サーバ(図示せず)に問い合わせるか、又は無線端末10にプリセット(即ち、予め記憶)されている情報を端末制御部16が参照するか、によって、設定配信装置60のIPアドレスなどに関するアドレス情報を端末制御部16が取得する。このアドレス情報に基づいて、オープン無線伝送路20への通信接続がアプリケーション処理部13によって試行(チャレンジ)される(S05)。この通信接続の試行は、オープン無線伝送路20を介して無線アクセスポイント40に通信接続するのが可能か否かを試す通信試行情報を無線アクセスポイント40に送信することにより行われる。所定時間内に応答情報(即ち、Ack信号)が得られて、この接続の試行は成功するため、この試行後、端末制御部16が、無線アクセスポイント40を介して設定配信装置60に対して、Webサーバ80や業務用サーバ90への通信接続を要求する要求信号を送信する(S06)。
これに対して、設定配信装置60では、無線アクセスポイント40を介して上記の通信接続の要求を行ってきた無線端末10の正当性を判定する(S07)。具体的には、認証処理部63が、AP情報蓄積部62に蓄積されたAP情報に基づいて、この無線アクセスポイント40が正当なアクセスポイントであるか否かを判定する。正当であると判定された場合には、装置制御部67が、認証情報の送信を要求する要求情報を、無線アクセスポイント40を介して無線端末10へ送信する(S08)。
ここで、無線端末10がどの無線アクセスポイント40を経由して通信接続の要求を行ってきたかが、認証処理部63によって検出される。このため、複数の無線アクセスポイント毎に、既知の無線LANプロファイルが異なる場合であっても、無線端末10が接続している無線アクセスポイント40に応じた既知の無線LANプロファイルの配信を設定配信装置60が行うことができる。
ステップS08で、無線端末10が、設定配信装置60から要求情報を受信すると、認証情報格納部15に格納されている認証情報が、無線通信部11によって抽出される。そして、無線通信部11が、この認証情報を、ANY接続が許可されたオープン無線伝送路20を介して設定配信装置60に送信する(S09、端末送信ステップ)。ここで、認証処理部63が、利用者情報格納部64に予め格納されているユーザ情報に基づいて、無線端末10の正当性の判定を行う(S10、装置判定ステップ)。このユーザ情報は、上記の認証によってセキュア無線伝送路30への接続が許可される無線端末10のユーザに関する情報である。
ここで、無線端末10が正当であると判定された場合、プロトコル処理部12とプロトコル処理部66との間で、設定情報(即ち、無線LAN接続プロファイル)の無線端末10への配信のためのネゴシエーションが行われる(S11)。このネゴシエーションによって、無線端末10と設定配信装置60との間で、設定情報の配信のためのパスが確立される。そして、設定配信装置60から無線端末10に対して、オープンVLAN50、無線アクセスポイント40、オープン無線伝送路20の順に経由させて設定情報が配信される(S12、装置送信ステップ)。
ここで、接続設定システム100のセキュリティ強度向上のため、Webサーバ80や業務用サーバ90のアドレス情報などを、無線端末10側には持たせずに定期的に変更する場合には、設定情報(即ち、無線LAN接続プロファイル)だけでなく、設定情報格納部65に格納されている、Webサーバ80や業務用サーバ90に接続する際に必要な情報(例えばアドレス情報)も併せて同時に、無線端末10に配信することも可能である。
設定情報(即ち、無線LAN接続プロファイル)の配信を受けた無線端末10は、この設定情報を設定情報格納部14に格納する。更に、端末制御部16が、この設定情報を無線通信部11に渡して、この設定情報に基づく無線アクセスポイント40への接続を指示する。これにより、セキュア無線伝送路30を介した無線アクセスポイント40への通信接続がアプリケーション処理部13によって試行(チャレンジ)される(S13)。所定時間内に応答情報(即ち、Ack信号)が得られて、セキュア無線伝送路30へのアクセスが可能になると、アプリケーション処理部13が、設定配信装置60から配信された設定情報に示されるWebサーバ80や業務用サーバ90のアドレス情報に基づいて、セキュアVLAN70上に存在するWebサーバ80や業務用サーバ90など各種サーバに通信接続する(S14、端末実行ステップ)。そして、このタイミングで、Webサーバ80や業務用サーバ90による、通信アプリケーションサービスの提供が可能となる。
以上のように、本発明に係る接続設定システム100、設定配信装置60、無線端末10、及び接続設定方法では、まず、無線端末10が、上記の認証情報を、オープンVLAN50を介して設定配信装置60に送信する。そして、設定配信装置60が、この認証情報に基づいて、上記の通信を許可するか否かを判定する。次に、当該通信を許可すると判定された場合、セキュアVLAN70を介した当該通信に必要な設定を示す設定情報を、設定配信装置60が無線端末10に送信する。そして、無線端末10は、この設定情報に基づいて、セキュアVLAN70を介したWebサーバ80や業務用サーバ90との間の通信を行う。
このように、最初に、無線端末10による認証情報の送信がオープンVLAN50を介して行われると、最終的に、無線端末10がWebサーバ80や業務用サーバ90とセキュアVLAN70を介して通信するのに必要な設定が、無線端末10に対して行われる。これにより、無線端末10が無線LANシステムに接続してWebサーバ80や業務用サーバ90と通信するのに必要な、無線端末10における設定情報の設定や更新の作業を、無線端末10の数に関わらず容易に行うことが可能となる。また、無線端末10は、拠点やポリシーの異なるロケーション間をまたがった通信接続が要求された場合であっても、認証成功後であれば、セキュアなネットワークへの接続ができる。また、無線端末10のユーザは、メンテナンスフリーで、通信接続サービスを受けることができる。更に、システムの導入および運用に必要なコストを削減することができる。
また、アプリケーション処理部13は、プロトコル処理部12により認証情報が設定配信装置60に送信される前に、設定情報格納部14に格納された設定情報に基づくセキュアVLAN70を介したWebサーバ80や業務用サーバ90との間の通信を試行する。これにより、設定情報格納部14に格納された設定情報がまだ有効である場合、設定配信装置60による認証処理を省略することができるため、無線端末10が無線LANシステムに接続してWebサーバ80や業務用サーバ90と通信するまでの時間を短縮することができる。
また、どの通信端末をセキュアVLAN70へ接続させるかという認証処理は設定配信装置60で行われ、セキュアVLAN70への接続に必要な設定情報は接続を要求してきた無線端末10へ認証成功後に配信することにより、セキュアVLAN70への接続が可能となる。この点で、上記の特許文献1のように、ネットワーク上のスイッチへ接続に必要な制御信号を出力する方式とは、異なる。
また、上記の特許文献1の方式では、特定のMACアドレスを有する端末に対するVLANへのポートの開閉をRadiusサーバから制御する場合に、コンフィグ情報を配信するか、スイッチのコンフィグ情報をTelnetを用いて書き換えることになる。このため、Radiusサーバ側で常にスイッチの構成(即ち、ポート数の増減など)を意識してコンフィグ情報を作成する必要がある。一方、本発明に係る接続設定システム100、設定配信装置60、無線端末10、及び接続設定方法のように、無線端末10に直接、設定情報を与える場合には、無線アクセスポイントや各種LANなどのネットワーク側の構成を意識する必要がなく、管理を簡易に実現できるという利点がある。
更に、特許文献1の方式では、スイッチの設定の確認などのために、Radiusサーバ側で設定確認などのためのプログラムを作成する必要があり、スイッチの機材などを更改や更新した場合にはそれらの管理プログラムを作成しなおす必要がある。一方、本発明に係る接続設定システム100、設定配信装置60、無線端末10、及び接続設定方法の場合、設定配信装置60と無線端末10との間で、自動で直接、設定情報の送受信が可能であるため、ネットワーク側の更改や更新を意識する必要がなく、容易にネットワークの設定を更改や更新できる利点がある。
更に、特許文献1の方式では、有線での常時接続あるいはWLAN(Wireless LAN)であってもMACレイヤでの接続は許容しつつ、IPレイヤでの接続を制御している。一方、本発明に係る接続設定システム100、設定配信装置60、無線端末10、及び接続設定方法の場合、VLANと無線チャネル(即ち、無線伝送路)を対応させておき、オープンなVLANに対応した無線チャネルにはANY接続が可能としておくが、各種サービスが提供されるセキュアなVLANに対応した無線チャネルへの接続はMACレイヤでの接続情報を設定配信装置60から配信されない限り通信接続は不可能である。MACレイヤでの制御は、IPレイヤでの制御に比較してセキュリティが高く、また運用上発生し得る人的要因によりポートの設定ミスが発生したため本来は許可されない無線端末の通信接続を許可しまうなどの問題の発生を未然に防ぐことができるという利点がある。
従来の技術を用いた無線LANシステムにおける、端末とサーバとの関係を説明する説明図である。 本発明の実施形態における接続設定システムの構成を説明するための説明図である。 実施形態における無線端末のハードウェア構成を示す構成図である。 実施形態における無線端末に実装されたソフトウェアブロックを示すソフトウェアブロック図である。 実施形態における設定配信装置のハードウェア構成を示す構成図である。 実施形態における設定配信装置に実装されたソフトウェアブロックを示すソフトウェアブロック図である。 実施形態における接続設定システムで実行される処理の流れを説明するためのシーケンス図である。
符号の説明
10,91…無線端末、11…無線通信部、12…プロトコル処理部、13…アプリケーション処理部、14…設定情報格納部、15…認証情報格納部、16…端末制御部、20…オープン無線伝送路、30,93…セキュア無線伝送路、40,94…無線アクセスポイント、50…オープンVLAN、60…設定配信装置、61…装置受信部、62…AP情報蓄積部、63…認証処理部、64…利用者情報格納部、65…設定情報格納部、66…プロトコル処理部、67…装置制御部、70…セキュアVLAN、80,98…Webサーバ、90,99…業務用サーバ、97…セキュアLAN、100…接続設定システム、104…操作部、105…無線通信部、106…ディスプレイ、107…アンテナ、604…通信モジュール、605…補助記憶装置。

Claims (5)

  1. 無線端末と、前記無線端末からの情報を処理する情報処理装置と、前記無線端末が前記情報処理装置と通信するために必要な認証を行う認証装置と、を備える接続設定システムであって、
    前記無線端末は、
    前記情報処理装置と通信するために必要な認証情報を、第一ネットワークを介して前記認証装置に送信する端末送信手段を有し、
    前記認証装置は、
    前記無線端末から受信した前記認証情報に基づいて、前記無線端末と前記情報処理装置との間の通信を許可するか否かを判定する装置判定手段と、
    当該通信を許可すると判定された場合、第二ネットワークを介した当該無線端末と当該情報処理装置との間の通信に必要な設定を示す設定情報を、前記無線端末に送信する装置送信手段と、を有し、
    前記無線端末は、前記認証装置から受信した前記設定情報に基づく前記第二ネットワークを介した前記情報処理装置との間の通信を行う、
    ことを特徴とする接続設定システム。
  2. 無線端末からの情報を処理する情報処理装置と前記無線端末とが通信するために必要な認証を行う認証装置であって、
    前記情報処理装置と通信するために必要な認証情報を、第一ネットワークを介して前記無線端末から受信する装置受信手段と、
    前記認証情報に基づいて、前記無線端末と前記情報処理装置との間の通信を許可するか否かを判定する装置判定手段と、
    当該通信を許可すると判定された場合、第二ネットワークを介した当該無線端末と当該情報処理装置との間の通信に必要な設定を示す設定情報を、前記無線端末に送信して、前記設定情報に基づく前記第二ネットワークを介した前記情報処理装置との間の通信を前記無線端末に許可する装置送信手段と、
    を備えることを特徴とする認証装置。
  3. 自端末からの情報を処理する情報処理装置と通信するために必要な認証が認証装置により行われる無線端末であって、
    前記情報処理装置と通信するために必要な認証情報を、第一ネットワークを介して前記認証装置に送信して、前記認証情報に基づいて、自端末と前記情報処理装置との間の通信を許可するか否かを前記認証装置に判定させる端末送信手段と、
    当該通信を許可すると判定された場合、第二ネットワークを介した自端末と当該情報処理装置との間の通信に必要な設定を示す設定情報を、前記認証装置から受信する端末受信手段と、
    前記設定情報に基づく前記第二ネットワークを介した前記情報処理装置との間の通信を行う端末実行手段と、
    を備えることを特徴とする無線端末。
  4. 前記端末受信手段により受信された前記設定情報を格納する端末格納手段を更に備え、
    前記端末実行手段は、前記端末送信手段により前記認証情報が前記第一ネットワークを介して前記認証装置に送信される前に、前記端末格納手段に格納された前記設定情報に基づく前記第二ネットワークを介した前記情報処理装置との間の通信を試行する、
    ことを特徴とする、請求項3に記載の無線端末。
  5. 無線端末と、前記無線端末からの情報を処理する情報処理装置と、前記無線端末が前記情報処理装置と通信するために必要な認証を行う認証装置と、を備える接続設定システムにより行われる接続設定方法であって、
    前記情報処理装置と通信するために必要な認証情報を、第一ネットワークを介して前記認証装置に前記無線端末が送信する端末送信ステップと、
    前記無線端末から受信した前記認証情報に基づいて、前記無線端末と前記情報処理装置との間の通信を許可するか否かを前記認証装置が判定する装置判定ステップと、
    当該通信を許可すると判定された場合、第二ネットワークを介した当該無線端末と当該情報処理装置との間の通信に必要な設定を示す設定情報を、前記無線端末に前記認証装置が送信する装置送信ステップと、
    前記認証装置から受信した前記設定情報に基づく前記第二ネットワークを介した前記情報処理装置との間の通信を前記無線端末が行う端末実行ステップと、
    を有することを特徴とする接続設定方法。
JP2007105123A 2007-04-12 2007-04-12 接続設定システム、認証装置、無線端末、及び接続設定方法 Pending JP2008263445A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007105123A JP2008263445A (ja) 2007-04-12 2007-04-12 接続設定システム、認証装置、無線端末、及び接続設定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007105123A JP2008263445A (ja) 2007-04-12 2007-04-12 接続設定システム、認証装置、無線端末、及び接続設定方法

Publications (1)

Publication Number Publication Date
JP2008263445A true JP2008263445A (ja) 2008-10-30

Family

ID=39985605

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007105123A Pending JP2008263445A (ja) 2007-04-12 2007-04-12 接続設定システム、認証装置、無線端末、及び接続設定方法

Country Status (1)

Country Link
JP (1) JP2008263445A (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012182679A (ja) * 2011-03-01 2012-09-20 Nec Access Technica Ltd ホームゲートウェイ装置、ホームゲートウェイ装置制御方法およびその制御用プログラム
JP2014103484A (ja) * 2012-11-19 2014-06-05 Nakayo Telecommun Inc 無線アクセスポイント、無線通信端末、および無線通信端末の無線アクセスポイントへの接続制御方法
WO2014148448A1 (ja) * 2013-03-22 2014-09-25 ヤマハ株式会社 無線ネットワークシステム、端末管理装置、無線中継装置、および通信方法
JP2015053674A (ja) * 2013-09-06 2015-03-19 富士通株式会社 パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント
JP2015084463A (ja) * 2013-10-25 2015-04-30 株式会社日立製作所 情報収集システムおよびセンサ端末、通信端末ならびに端末接続制御方法
JP2016528844A (ja) * 2014-05-31 2016-09-15 華為技術有限公司Huawei Technologies Co.,Ltd. ネットワーク接続方法、ホットスポット端末及び管理端末
JP2018530038A (ja) * 2015-08-05 2018-10-11 フェイスブック,インク. デバイス・クラウドの管理

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012182679A (ja) * 2011-03-01 2012-09-20 Nec Access Technica Ltd ホームゲートウェイ装置、ホームゲートウェイ装置制御方法およびその制御用プログラム
JP2014103484A (ja) * 2012-11-19 2014-06-05 Nakayo Telecommun Inc 無線アクセスポイント、無線通信端末、および無線通信端末の無線アクセスポイントへの接続制御方法
WO2014148448A1 (ja) * 2013-03-22 2014-09-25 ヤマハ株式会社 無線ネットワークシステム、端末管理装置、無線中継装置、および通信方法
JP2014187453A (ja) * 2013-03-22 2014-10-02 Yamaha Corp 無線ネットワークシステム、端末管理装置、および無線中継装置
JP2015053674A (ja) * 2013-09-06 2015-03-19 富士通株式会社 パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント
JP2015084463A (ja) * 2013-10-25 2015-04-30 株式会社日立製作所 情報収集システムおよびセンサ端末、通信端末ならびに端末接続制御方法
US9712946B2 (en) 2013-10-25 2017-07-18 Hitachi, Ltd. Information-gathering system, sensor terminal, communication terminal and terminal connection control method
JP2016528844A (ja) * 2014-05-31 2016-09-15 華為技術有限公司Huawei Technologies Co.,Ltd. ネットワーク接続方法、ホットスポット端末及び管理端末
US10616232B2 (en) 2014-05-31 2020-04-07 Huawei Technologies Co., Ltd. Network connection method, hotspot terminal and management terminal
US11310239B2 (en) 2014-05-31 2022-04-19 Huawei Technologies Co., Ltd. Network connection method, hotspot terminal and management terminal
JP2018530038A (ja) * 2015-08-05 2018-10-11 フェイスブック,インク. デバイス・クラウドの管理

Similar Documents

Publication Publication Date Title
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
JP4777729B2 (ja) 設定情報配布装置、方法、プログラム及び媒体
US7809354B2 (en) Detecting address spoofing in wireless network environments
CN105027529B (zh) 用于验证对网络资源的用户接入的方法和设备
EP2372971A1 (en) Method and system for authenticating a point of access
EP1641210A1 (en) Configuration information distribution apparatus and configuration information reception program
US20110016309A1 (en) Cryptographic communication system and gateway device
EP1760945A2 (en) Wireless LAN security system and method
KR20000016949A (ko) 이동성장치의국소서비스에대한액세스제어를제공하기위한방법및장치
EP3143780B1 (en) Device authentication to capillary gateway
EP2846586A1 (en) A method of accessing a network securely from a personal device, a personal device, a network server and an access point
JP2005530457A (ja) 通信システムにおける認証
EP2898654B1 (en) Method and device for securely accessing a web service
JP2008263445A (ja) 接続設定システム、認証装置、無線端末、及び接続設定方法
EP1779595B1 (en) Method for enrolling a user terminal in a wireless local area network
US20150249639A1 (en) Method and devices for registering a client to a server
CN105763517A (zh) 一种路由器安全接入和控制的方法及系统
WO2021002180A1 (ja) 中継方法、中継システム、及び中継用プログラム
Nguyen et al. An SDN‐based connectivity control system for Wi‐Fi devices
JP4775154B2 (ja) 通信システム、端末装置、プログラム、及び、通信方法
KR100901279B1 (ko) 챕 챌린지 메시지를 이용한 네트워크 액세스 인증 방법 및시스템.
JP4619059B2 (ja) 端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム
JP2008048212A (ja) 無線通信システム、無線基地局装置、無線端末装置、無線通信方法、及びプログラム
JP4584776B2 (ja) ゲートウェイ装置およびプログラム