JP2012134703A - Wireless lan connection method, wireless lan client, and wireless lan access point - Google Patents

Wireless lan connection method, wireless lan client, and wireless lan access point Download PDF

Info

Publication number
JP2012134703A
JP2012134703A JP2010284194A JP2010284194A JP2012134703A JP 2012134703 A JP2012134703 A JP 2012134703A JP 2010284194 A JP2010284194 A JP 2010284194A JP 2010284194 A JP2010284194 A JP 2010284194A JP 2012134703 A JP2012134703 A JP 2012134703A
Authority
JP
Japan
Prior art keywords
wireless lan
server
connection
access point
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010284194A
Other languages
Japanese (ja)
Other versions
JP5536628B2 (en
Inventor
Takeshi Kubo
健 久保
Hiroto Noisshiki
裕人 野一色
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2010284194A priority Critical patent/JP5536628B2/en
Publication of JP2012134703A publication Critical patent/JP2012134703A/en
Application granted granted Critical
Publication of JP5536628B2 publication Critical patent/JP5536628B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To allow a user to connect to a wireless LAN access point without performing user authentication through a Web.SOLUTION: The wireless LAN connection methods include: a step in which the wireless LAN access point advertises a provision of a connection service; a step in which the wireless LAN client which has received the advertisement requests a server for the connection service using second connection means; a step in which the server authenticates the wireless LAN client which has requested the connection service and requests the wireless LAN access point to accept the wireless LAN client; a step in which the wireless LAN access point permits the server to accept the wireless LAN client; a step in which the server notifies an acceptance permission of the wireless LAN access point of the wireless LAN client; and a step in which the wireless LAN client connects to the wireless LAN access point.

Description

本発明は、無線LAN(IEEE 802.11シリーズ)接続方法に関する。無線LANは、IEEE802.11シリーズとして標準化されている。シリーズの中にはIEEE802.11a/b/g/nなどが含まれるが、これらの違いは使用する周波数帯や変調方式の違いであり、その結果として伝送速度が異なる(非特許文献1)。   The present invention relates to a wireless LAN (IEEE 802.11 series) connection method. The wireless LAN is standardized as the IEEE 802.11 series. The series includes IEEE802.11a / b / g / n, etc., but these differences are differences in the frequency band and modulation method used, resulting in different transmission rates (Non-Patent Document 1).

無線LANクライアントが無線LANアクセスポイントに接続するためには、無線LANクライアントは、ESSIDや暗号鍵などを事前に知っておき、さらに場合によっては、無線LANアクセスポイントにMACアドレスを登録しておかなければならない(MACアドレスフィルタリングを用いる場合)。   In order for a wireless LAN client to connect to a wireless LAN access point, the wireless LAN client must know the ESSID and encryption key in advance, and in some cases, register a MAC address in the wireless LAN access point. (If MAC address filtering is used).

公衆無線LANサービスと呼ばれるサービスの中には、事前にユーザにESSIDや暗号鍵を通知しておき、無線LANクライアントが無線LANアクセスポイントに接続したときに、さらにWebでの認証を行わせるものもある。また場合によっては、暗号化を一切行わず、ESSIDを解放し(非ステルスモードでブロードキャストし)、無線LANアクセスポイントへの接続は誰でも自由に行わせ、インターネットアクセスは上記のようにWeb認証にて行うものもある。   Some services called public wireless LAN services notify the user in advance of the ESSID and encryption key, and when the wireless LAN client connects to the wireless LAN access point, further web authentication is performed. is there. In some cases, encryption is not performed, ESSID is released (broadcast in non-stealth mode), anyone can freely connect to a wireless LAN access point, and Internet access is performed by Web authentication as described above. There are also things to do.

また、スマートフォン等の携帯電話は、専用の回線(現在主流の第3世代ではCDMA−2000やWCDMA方式を用いる)による通信(音声通信やパケット通信)機能の他に、無線LAN機能を搭載したものが多く存在する。また、パソコンなども同様に、無線LAN機能の他に、携帯電話網(CDMA−2000やWCDMA方式の他WiMAXなどもある)への接続機能を併せ持つものも存在する。   In addition, mobile phones such as smartphones are equipped with a wireless LAN function in addition to a communication (voice communication or packet communication) function using a dedicated line (the CDMA-2000 or WCDMA system is currently used in the third-generation mainstream). There are many. Similarly, some personal computers and the like have a function of connecting to a mobile phone network (there is also WiMAX other than CDMA-2000 and WCDMA systems) in addition to the wireless LAN function.

IEEE802.11 IEEEComputer SocietyIEEE 802.11 IEEE Computer Society IEEE802.1X IEEEComputer SocietyIEEE802.1X IEEE Computer Society

上記スマートフォン等の携帯電話、およびパソコンのようなクライアント端末が、携帯電話網と無線LANへの接続機能を持つ場合を主に考える。携帯電話網は一般に広いカバレッジエリアを持ち、ほとんどすべての場所で通信可能である。一方無線LANは、通信速度は携帯網に比べて速いものの、アクセスポイントが設置された場所のすぐそば(たかだか100m以内程度)でしか接続できない。通信速度の観点、無線帯域の効率的利用の観点からも、携帯電話網と無線LANの両方に接続可能であれば、無線LANに接続した方がよいと考えられる。   Consider a case where a mobile phone such as a smartphone and a client terminal such as a personal computer have a function of connecting to a mobile phone network and a wireless LAN. The mobile phone network generally has a wide coverage area and can communicate in almost any place. On the other hand, although the wireless LAN has a higher communication speed than the mobile network, it can be connected only near the place where the access point is installed (at most within about 100 m). From the viewpoint of communication speed and efficient use of the wireless band, it is considered better to connect to the wireless LAN if it can be connected to both the cellular phone network and the wireless LAN.

例えば、自宅のようにクライアント自身に無線LANの設定を行える場合は、携帯電話網から無線LANへの接続切り替えは自動的に行える。しかし、公衆無線LANに接続しようとすれば、多くの場合ユーザはWeb画面にユーザIDやパスワードを入力しなければならない。さらには、公衆無線LANではなく、全くの個人的に設置された無線LANアクセスポイントがあったとしても、それを勝手に利用することなどはできなかった。クライアントの認証技術としては、IEEE 802.1Xとして標準化された手法がある。これは、RADIUSなどの一般的な認証サーバを利用して、クライアントが正しいユーザかどうかを無線LANへ接続手続きの前段階で行い、暗号鍵を発行するという方法である。しかしこの手法では、無線LANアクセスポイントを認証することができないため、個人宅など通信事業者が設置したものではない無線LANアクセスポイントでこのIEEE802.1Xを利用することは困難である。   For example, when a client can set a wireless LAN, such as at home, the connection switching from the cellular phone network to the wireless LAN can be automatically performed. However, in order to connect to a public wireless LAN, in many cases, the user must enter a user ID and password on the Web screen. Furthermore, even if there is a wireless LAN access point that is not a public wireless LAN but is installed personally, it cannot be used without permission. As a client authentication technique, there is a method standardized as IEEE 802.1X. This is a method in which a general authentication server such as RADIUS is used to determine whether the client is a correct user before the connection procedure to the wireless LAN and to issue an encryption key. However, since this method cannot authenticate the wireless LAN access point, it is difficult to use IEEE 802.1X at a wireless LAN access point that is not installed by a communication carrier such as a private house.

したがって、本発明は、近くに存在するあらゆる無線LANアクセスポイントに接続することを可能とし、しかもWebによるユーザ認証を行わずにこれ実現する接続方法、無線LANクライアント、および無線LANアクセスポイントを提供することを目的とする。また、無線LANアクセスポイントの設置者は事前に特別な登録をすることなく、他人に対して無線LANの接続性を提供し、携帯電話事業者からそれに対して支払いを受けることも可能にする。   Therefore, the present invention provides a connection method, a wireless LAN client, and a wireless LAN access point that can connect to any nearby wireless LAN access point and that can be realized without performing user authentication via the Web. For the purpose. Also, the installer of the wireless LAN access point can provide wireless LAN connectivity to others and receive payment from the mobile phone operator without special registration in advance.

上記目的を実現するため本発明による無線LAN接続方法は、無線LANで無線LANアクセスポイントと通信するための第1の接続手段と、サーバと通信するための第2の接続手段とを有する無線LANクライアントと、前記サーバと通信するためのサーバ接続手段を有する無線LANアクセスポイントと、前記無線LANアクセスポイントおよび前記無線LANクライアントと通信するためのネットワーク接続手段を有するサーバとを備える無線LANシステムにおいて、前記無線LANクライアントが、前記無線LANアクセスポイントに接続するための無線LAN接続方法であって、前記無線LANアクセスポイントが、接続サービスの提供を広告する広告ステップと、前記広告を受信した前記無線LANクライアントが、前記第2の接続手段で前記サーバに前記接続サービスを要求する接続要求ステップと、前記サーバが、前記要求を行った無線LANクライアントを認証し、前記無線LANアクセスポイントに、前記無線LANクライアントの受け入れを要求する受け入れ要求ステップと、前記無線LANアクセスポイントが、前記サーバに、前記無線LANクライアントの受け入れを許可する受け入れ許可ステップと、前記サーバが、前記無線LANクライアントに、前記無線LANアクセスポイントの受け入れ許可を通知する接続要求応答ステップと、前記無線LANクライアントが、前記無線LANアクセスポイントに接続する接続ステップとを含む。   In order to achieve the above object, a wireless LAN connection method according to the present invention includes a first connection means for communicating with a wireless LAN access point in a wireless LAN, and a second connection means for communicating with a server. In a wireless LAN system comprising a client, a wireless LAN access point having server connection means for communicating with the server, and a server having network connection means for communicating with the wireless LAN access point and the wireless LAN client, A wireless LAN connection method for the wireless LAN client to connect to the wireless LAN access point, wherein the wireless LAN access point advertises provision of a connection service, and the wireless LAN that has received the advertisement The second client A connection requesting step of requesting the connection service to the server by connection means; and an acceptance requesting the wireless LAN access point to accept the wireless LAN client by authenticating the wireless LAN client that has made the request. A request step, an acceptance permission step in which the wireless LAN access point permits the server to accept the wireless LAN client, and the server notifies the wireless LAN client of permission to accept the wireless LAN access point. A connection request response step, and a connection step in which the wireless LAN client connects to the wireless LAN access point.

また、前記受け入れ要求ステップで、前記無線LANクライアントを認証後、前記サーバが、前記無線LANアクセスポイントに接続サービスの提供を確認する確認ステップと、前記無線LANアクセスポイントが、前記サーバを前記サーバの公開鍵で認証し、前記接続サービスの提供の確認を応答する応答ステップとをさらに含むことも好ましい。   In the acceptance requesting step, after authenticating the wireless LAN client, the server confirms the provision of a connection service to the wireless LAN access point, and the wireless LAN access point connects the server to the server. It is also preferable to further include a response step of authenticating with a public key and responding with confirmation of the provision of the connection service.

また、前記接続ステップの後、前記無線LANクライアントが、前記第1の接続手段で前記サーバに接続し、前記サーバに、前記無線LANアクセスポイントとの接続完了を通知する接続完了ステップをさらに含むことも好ましい。   Further, after the connection step, the wireless LAN client further includes a connection completion step of connecting to the server by the first connection means and notifying the server of completion of connection with the wireless LAN access point. Is also preferable.

また、前記無線LANクライアントが、前記接続要求ステップおよび前記接続完了ステップで、確認用乱数を前記サーバに送信し、前記サーバが、前記接続要求ステップで送信された確認用乱数と前記接続完了ステップで送信された確認用乱数を比較するステップをさらに含むことも好ましい。   The wireless LAN client transmits a confirmation random number to the server in the connection request step and the connection completion step, and the server transmits the confirmation random number and the connection completion step transmitted in the connection request step. It is preferable that the method further includes a step of comparing the transmitted confirmation random numbers.

また、前記無線LANアクセスポイントは、前記広告ステップで、前記サーバ接続手段のIPアドレスおよびポート番号を含むESSIDを用いて前記広告を行い、前記無線LANクライアントは、前記接続要求ステップまたは前記確認ステップで、前記IPアドレスおよび前記ポート番号を前記サーバに送信し、前記サーバは、前記受け入れ要求ステップで、前記IPアドレスおよび前記ポート番号を用いて、前記無線LANアクセスポイントに接続することも好ましい。   The wireless LAN access point performs the advertisement using an ESSID including an IP address and a port number of the server connection means in the advertisement step, and the wireless LAN client performs the connection request step or the confirmation step. The IP address and the port number are transmitted to the server, and the server preferably connects to the wireless LAN access point using the IP address and the port number in the acceptance request step.

また、前記サーバは、前記受け入れ要求ステップで、前記認証を前記無線LANクライアントのユーザ名とパスワード、または証明書で行うことも好ましい。   In the acceptance requesting step, the server preferably performs the authentication with the user name and password of the wireless LAN client or a certificate.

また、前記無線LANアクセスポイントは、前記受け入れ許可ステップで、無線LAN接続のためのESSID、無線LAN暗号鍵および暗号種別を前記サーバに送信し、前記サーバは、前記接続要求応答ステップで、前記ESSID、前記無線LAN暗号鍵および前記暗号種別を前記無線LANクライアントに通知し、前記無線LANクライアントは、前記接続ステップで、前記ESSID、前記無線LAN暗号鍵および前記暗号種別を用いて前記無線LANアクセスポイントに接続することも好ましい。   The wireless LAN access point transmits an ESSID, a wireless LAN encryption key, and an encryption type for wireless LAN connection to the server in the acceptance permission step, and the server transmits the ESSID in the connection request response step. , Notifying the wireless LAN client of the wireless LAN encryption key and the encryption type, and the wireless LAN client uses the ESSID, the wireless LAN encryption key and the encryption type in the connection step, It is also preferable to connect to.

また、前記無線LANクライアントが、前記接続要求ステップで前記第1の接続手段のMACアドレスを送信し、前記サーバが、前記受け入れ要求ステップで前記MACアドレスを送信し、前記無線LANアクセスポイントが、前記受け入れ許可ステップで前記MACアドレスを登録することも好ましい。   Also, the wireless LAN client transmits the MAC address of the first connection means in the connection request step, the server transmits the MAC address in the acceptance request step, and the wireless LAN access point It is also preferable to register the MAC address in the acceptance permission step.

また、前記サーバから前記無線LANアクセスポイントへの通信は、前記サーバの公開鍵で暗号化され、前記無線LANアクセスポイントから前記サーバへの通信は、前記サーバの秘密鍵で暗号化されることも好ましい。   In addition, communication from the server to the wireless LAN access point is encrypted with the public key of the server, and communication from the wireless LAN access point to the server is encrypted with the secret key of the server. preferable.

また、前記第2の接続手段は、携帯電話網に接続する手段であり、前記サーバ接続手段および前記ネットワーク接続手段は、インターネットに接続する手段であることも好ましい。   The second connection means is preferably means for connecting to a mobile phone network, and the server connection means and the network connection means are preferably means for connecting to the Internet.

上記目的を実現するため本発明による無線LANクライアントは、無線LANで無線LANアクセスポイントと通信するための第1の接続手段と、サーバと通信するための第2の接続手段とを備え、前記第1の接続手段で、前記無線LANアクセスポイントから接続サービス提供の広告を受信し、前記第2の接続手段で、前記サーバに前記接続サービスを要求し、前記第2の接続手段で、前記サーバから受け入れ許可を受信し、前記第1の接続手段で、前記無線LANアクセスポイントに接続する。   In order to achieve the above object, a wireless LAN client according to the present invention comprises first connection means for communicating with a wireless LAN access point over a wireless LAN, and second connection means for communicating with a server. 1 connection means receives a connection service providing advertisement from the wireless LAN access point, the second connection means requests the server for the connection service, and the second connection means receives the connection service from the server. An acceptance permission is received, and the first connection means connects to the wireless LAN access point.

上記目的を実現するため本発明による無線LANアクセスポイントは、サーバと通信するためのサーバ接続手段と、無線LAN接続手段とを備え、前記無線LAN接続手段で接続サービスの提供を広告し、前記接続サービスを受信した無線LANクライアントからの要求を、前記サーバ接続手段で前記サーバから受信し、前記無線LANクライアントの受け入れ許可を、前記サーバに送信し、前記無線LAN接続手段が、前記無線LANクライアントに接続サービスを提供する。   In order to achieve the above object, a wireless LAN access point according to the present invention comprises server connection means for communicating with a server and wireless LAN connection means, advertises provision of a connection service through the wireless LAN connection means, and connects the connection. A request from the wireless LAN client that received the service is received from the server by the server connection means, and an acceptance permission of the wireless LAN client is transmitted to the server, and the wireless LAN connection means sends the request to the wireless LAN client. Provide connection services.

本発明により、未知の無線LANアクセスポイントに対して、クライアントはその無線LANアクセスポイントに関する事前知識がなくても、Web経由のパスワード等を行わずに接続することが可能になる。この場合、無線LANの低レベル(MAC層)の改修が不要である。   According to the present invention, it becomes possible for a client to connect to an unknown wireless LAN access point without performing a password or the like via the Web without prior knowledge about the wireless LAN access point. In this case, it is not necessary to modify the low level (MAC layer) of the wireless LAN.

また、無線LANアクセスポイントの設置者は、事前に通信事業者と契約を結んでいる必要がない。さらに、無線LANアクセスポイントの設置者は、事前に情報(IPアドレス、ポート番号、ESSID、暗号鍵)を通信事業者に登録しておく必要がない。   In addition, the installer of the wireless LAN access point does not need to have a contract with the communication carrier in advance. Furthermore, the installer of the wireless LAN access point does not need to register information (IP address, port number, ESSID, encryption key) in advance with the communication carrier.

また、携帯電話の通信事業者(サーバ設置者)は、無線LANアクセスポイントがクライアントを収容したことに対する対価を支払うための情報を収集できる。   In addition, a mobile phone carrier (server installer) can collect information for paying for the wireless LAN access point accommodating the client.

本発明のネットワーク構成の例を示す。2 shows an example of a network configuration of the present invention. 本発明のAP、クライアントとサーバのブロック図を示す。The block diagram of AP of this invention, a client, and a server is shown. クライアント接続時のシーケンスを示す。The sequence at the time of client connection is shown.

本発明を実施するための最良の実施形態について、以下では図面を用いて詳細に説明する。図1は、本発明のネットワーク構成の例を示す。本発明は、通常の無線LANの仕組みと同様に、無線LANアクセスポイント1(以下、AP)と無線LANクライアント2(以下、クライアント)を備えている。また、本発明では、さらにサーバ3、NATルータ4および携帯電話基地局5を備えている。   The best mode for carrying out the present invention will be described in detail below with reference to the drawings. FIG. 1 shows an example of the network configuration of the present invention. The present invention includes a wireless LAN access point 1 (hereinafter referred to as AP) and a wireless LAN client 2 (hereinafter referred to as client) in the same manner as a normal wireless LAN mechanism. The present invention further includes a server 3, a NAT router 4, and a mobile phone base station 5.

図2は、本発明のAP、クライアントとサーバのブロック図を示す。図2aは、AP1のブロック図を示し、AP1は、無線LAN接続部11、サーバ接続部12、サービス情報保持部13を備える。   FIG. 2 shows a block diagram of the AP, client and server of the present invention. FIG. 2 a shows a block diagram of AP 1, which includes a wireless LAN connection unit 11, a server connection unit 12, and a service information holding unit 13.

無線LAN接続部11は、クライアント2と無線LANで接続する手段であり、サーバ接続部12はインターネットを介してサーバ3と接続する手段である。サービス情報保持部13は、本願発明の接続方法を提供するため、AP1が所持する情報であり、
・ESSID
・暗号鍵
・サービス情報
−サービス名
−サーバの公開鍵、
−AP識別子(サーバから割り振られる識別子)
−支払いを受けるのに必要な情報(口座番号など)
・自身に到達可能なグローバルIPアドレス
・ポート番号
・最大ユーザ数
・最大接続時間
・クライアントリスト
−MACアドレスと接続開始時刻
を保持している。 The wireless LAN connection unit 11 is a unit that connects to the client 2 via a wireless LAN, and the server connection unit 12 is a unit that connects to the server 3 via the Internet. The service information holding unit 13 is information held by the AP 1 in order to provide the connection method of the present invention,
・ ESSID
-Encryption key / Service information-Service name-Server public key,
-AP identifier (identifier allocated from the server)
-Information necessary to receive payment (account number, etc.)
-Global IP address that can be reached by itself-Port number-Maximum number of users-Maximum connection time-Client list-Holds MAC address and connection start time.

AP1のクライアントリストは、現在接続中のクライアントを管理する。最大ユーザ数と最大接続時間は、このクライアントリストに追加できるクライアント数および各クライアントのexpire(満期)までの時間を指す。このリストはMACアドレスフィルタリングの削除に用いる(リストエントリがexpireしたときに、同時にMACアドレスフィルタリングの該当エントリを削除し、該MACアドレスを有するクライアントの接続を遮断する)。従って、MACアドレスフィルタリングを利用しないときは、クライアントリストや最大数、接続時間の設定はほとんど意味をなさない。   The client list of AP1 manages clients that are currently connected. The maximum number of users and the maximum connection time indicate the number of clients that can be added to the client list and the time until each client expires. This list is used to delete MAC address filtering (when a list entry expires, the corresponding entry of MAC address filtering is deleted at the same time, and a client having the MAC address is disconnected). Therefore, when MAC address filtering is not used, setting of the client list, maximum number, and connection time makes little sense.

図2bは、クライアント2のブロック図を示し、クライアント2は、無線LAN接続部21、携帯電話網接続部22、サーバ情報保持部23を備える。   FIG. 2 b shows a block diagram of the client 2, and the client 2 includes a wireless LAN connection unit 21, a mobile phone network connection unit 22, and a server information holding unit 23.

クライアント2は、無線LANへの接続機能である無線LAN接続部21の他に、携帯電話網(携帯網)への接続機能である携帯電話網接続部22を持つものとする。重要なのは、これから接続しようとするAP1とは全く独立に、サーバ3へ通信する手段を持っていることである。本発明ではそれを携帯網としている。   The client 2 is assumed to have a mobile phone network connection unit 22 which is a connection function to a mobile phone network (mobile network) in addition to the wireless LAN connection unit 21 which is a connection function to the wireless LAN. What is important is that it has a means for communicating with the server 3 completely independently of the AP 1 to be connected. In the present invention, it is a mobile network.

サーバ情報保持部23は、
・ユーザ名
・パスワード
・サービス名
・サーバアドレス(サーバのIPアドレス)
・サーバポート(サーバのポート番号)
・サーバの公開鍵
を保持している。 The server information holding unit 23
-User name-Password-Service name-Server address (server IP address)
-Server port (server port number)
• Holds the server's public key.

図2cは、サーバ3のブロック図を示し、サーバ3は、ネットワーク接続部31、クライアント情報保持部32、課金情報データベース33を備える。   FIG. 2 c shows a block diagram of the server 3, which includes a network connection unit 31, a client information holding unit 32, and a billing information database 33.

ネットワーク接続部31は、インターネットに接続され、ここを経由してAP1、クライアント2と通信することが可能である。特にAP1には、直接またはNATルータ4を介して、接続することが可能である。   The network connection unit 31 is connected to the Internet, and can communicate with the AP 1 and the client 2 via the network connection unit 31. In particular, it is possible to connect to the AP 1 directly or via the NAT router 4.

サーバ3のクライアント情報保持部32は、
・クライアント情報
−ユーザ名、パスワード
−確認用乱数(接続が完了したことを確認するための情報)
を保持している。 The client information holding unit 32 of the server 3
-Client information-User name, password-Random number for confirmation (Information for confirming that connection is completed)
Holding.

NATルータ4は、AP1が設置されたネットワークのゲートウェイルータを指し、例えば家庭に設置されたブロードバンドルータなどである。なお、NATルータ4の存在は本発明に必須の構成ではない(AP1がグローバルアドレスを持つのなら不要)。NATルータ4が設置されている場合には、AP1が設置されたネットワークはプライベートアドレスを持ち、NATルータ4はNATやNAPTなどアドレス変換機能を持っているものとする。従って、NATルータ4にはグローバルアドレス(インターネット側)とプライベートアドレス(AP側)が設定されており、AP1が持つ「自身に到達可能はグローバルIPアドレス」とはNATルータ4のグローバルアドレスを指す。さらに、NATルータ4はポートマッピング機能によって、インターネット側のグローバルアドレス宛のパケットは、その宛先ポート番号ごとにプライベートアドレス側のどのホストに転送するかを設定できるものとする。なお本発明では、このポートマッピング機能は、プライベートアドレス側のネットワークから送られるUPnPメッセージ(Universal Plug and Playメッセージ)によって制御できるものとする。また、AP1は、UPnPメッセージを利用して、NATルータ4が持つグローバルアドレスを知ることもできるものとする。もちろん、ポートマッピングおよびグローバルアドレスは、手動でNATルータ4から情報を取得してAP1に設定しておいてもよい。   The NAT router 4 refers to a gateway router of the network where the AP 1 is installed, and is, for example, a broadband router installed at home. Note that the presence of the NAT router 4 is not essential for the present invention (not necessary if the AP 1 has a global address). When the NAT router 4 is installed, it is assumed that the network in which the AP 1 is installed has a private address, and the NAT router 4 has an address conversion function such as NAT and NAPT. Accordingly, a global address (Internet side) and a private address (AP side) are set in the NAT router 4, and “a global IP address that can be reached by AP 1” indicates a global address of the NAT router 4. Further, the NAT router 4 can set to which host on the private address side a packet addressed to the global address on the Internet side is forwarded for each destination port number by the port mapping function. In the present invention, this port mapping function can be controlled by a UPnP message (Universal Plug and Play message) sent from the network on the private address side. Further, it is assumed that the AP 1 can know the global address of the NAT router 4 using the UPnP message. Of course, the port mapping and the global address may be manually acquired from the NAT router 4 and set in the AP 1.

携帯電話基地局5は、クライアント2の携帯電話網接続部22が携帯網に接続するための基地局である。この基地局はインターネットに接続され、クライアント1がサーバ3と携帯網を経由して接続することを可能とする。   The mobile phone base station 5 is a base station for the mobile phone network connection unit 22 of the client 2 to connect to the mobile network. This base station is connected to the Internet, and allows the client 1 to connect to the server 3 via the mobile network.

通信事業者とクライアントおよびAPの関係を説明する。通信事業者とは、例えば携帯電話サービスや公衆無線LANを提供する事業者を指す。クライアントは、少なくとも1社のサービスに加入している。複数社のサービスに加入していたとしても、以下ではいずれか1社のサービスを利用するものとする。   A relationship between the communication carrier, the client, and the AP will be described. The communication carrier refers to, for example, a carrier that provides a mobile phone service or a public wireless LAN. The client subscribes to at least one company's service. Even if you have subscribed to the services of multiple companies, the service of any one company will be used below.

本発明では、APに様々なクライアントが接続する。しかし、無制限にすべてのクライアントの接続を許すわけではなく、APの管理者があらかじめ受け入れを許可する通信事業者を決めておき、その通信事業者のサービスに加入しているクライアントのみがそのAPに接続できるようにする。さらに本発明では、クライアントを収容してくれたAPに対して、そのクライアントが加入している通信事業者から対価を支払うことを想定する(実際に課金をするかしない、定額制、従量制など課金の方法は本発明の範囲外である)。   In the present invention, various clients connect to the AP. However, not all clients are allowed to connect indefinitely. The AP administrator decides in advance a communication carrier that is allowed to accept, and only clients who subscribe to the service of that carrier are allowed to access that AP. Enable connection. Furthermore, in the present invention, it is assumed that the AP that accommodates the client pays the consideration from the telecommunications carrier to which the client subscribes (whether or not to actually charge, flat rate system, pay-per-use system, etc.) Billing methods are outside the scope of the present invention).

APがどの通信事業者のクライアントの接続を受け入れるかは、サービス情報で決まる。つまり、AP管理者は、受け入れを許可する通信事業者のサービス名(通信事業者を識別するためのID)および支払いを受ける際に必要な情報(直接的に銀行口座に振り込むことを念頭に置くなら口座番号やカード番号を、またAP管理者もその通信事業者のユーザである場合には加入者番号でもよい)を事前にAPに設定しておく。2回目以降のアクセス時に処理を簡略化するために、初回のAPからのアクセス時にサーバ(通信事業者)から識別番号を払い出し、それもサービス情報に記録する。サービス情報には、複数のサービス名等の組を設定することも可能である。またこの場合には、サービス名毎にESSIDや暗号鍵(暗号方式も含む)を設定することを可能とする。サービス名としては、どこの通信事業者にも属さない(つまりスタンドアロンな)APとしてのサービスについてのサービス名も設定できるものとする。   It is determined by the service information which communication carrier's client accepts the AP. In other words, the AP administrator keeps in mind that the service name (ID for identifying the carrier) of the carrier that permits acceptance and information necessary for receiving payment (direct transfer to the bank account) Then, the account number and card number are set in advance in the AP, and the AP manager may be a subscriber number if the AP manager is also a user of the carrier. In order to simplify the processing at the second and subsequent accesses, an identification number is issued from the server (communication carrier) at the first access from the AP, and this is also recorded in the service information. A set of a plurality of service names or the like can be set in the service information. In this case, an ESSID and an encryption key (including an encryption method) can be set for each service name. As the service name, it is also possible to set a service name for a service as an AP that does not belong to any communication carrier (that is, a stand-alone).

AP管理者は、事前に通信事業者と契約を結んでおく必要はなく、クライアント受け入れの度に必要な情報をやり取りするのみである。ただし、どの通信事業者のクライアントに対して無線LANの接続性を提供するかは事前に決めておかなければならず、そのためには、サービス名およびサーバの公開鍵を入手しておかなければならない(例えば通信事業者がホームページにこれらの情報をアップしておき、AP管理者が希望する通信事業者からこれらの情報をダウンロードして設定すればよい)。   The AP administrator does not need to make a contract with the communication carrier in advance, and only exchanges necessary information every time a client is accepted. However, it is necessary to determine in advance which carrier's clients will be provided with wireless LAN connectivity, and in order to do so, the service name and the public key of the server must be obtained. (For example, a telecommunications carrier may upload these information on a homepage and download and set these information from a telecommunications carrier desired by the AP administrator).

なお、クライアントは、本発明による無線LAN接続サービスを利用したい場合には、自身が加入する通信事業者のサービス名とサーバのIPアドレス、サーバのポート番号を知っておく必要がある。   When the client wants to use the wireless LAN connection service according to the present invention, it is necessary for the client to know the service name of the telecommunications carrier to which the client subscribes, the IP address of the server, and the port number of the server.

図3は、クライアント接続時のシーケンスを示す。本図を参照して、クライアントの接続手順を以下に示す。なお前述の通り、APは自分自身がグローバルアドレスを持っているか、またはそのAPにインターネット側から到達するためのポートマッピングの情報(NATルータのグローバルアドレスとポート番号)を知っているものとする。   FIG. 3 shows a sequence at the time of client connection. With reference to this figure, the client connection procedure is shown below. As described above, it is assumed that the AP has a global address or knows port mapping information (NAT router global address and port number) for reaching the AP from the Internet side.

(1)広告
まず、APは定期的に接続サービスを提供していることを広告する。本発明では、次のようにESSIDを用いて広告する。なお、前述の通りAPは複数のESSIDを保持し広告できるものと仮定する。 (1) Advertising First, the AP periodically advertises that it provides a connection service. In the present invention, advertisement is performed using ESSID as follows. As described above, it is assumed that the AP can hold and advertise a plurality of ESSIDs.

APが広告のために用いるESSIDは、サービス、グローバルIPアドレス、および待ち受けポート番号を含む。例えば、「SERVICE:100.99.98.97:1234」のようにする。このESSIDはセミコロンで区切られた3つの部分からなる。1番目のSERVICEは、本発明によるサービスを提供していることを示す文字列であり、すべてのAPおよびクライアントが共通して知っている(もちろん別の文字列でもよい)。2番目は、APに到達可能なグローバルIPアドレス、3番目はAPの待ち受けポート番号である。上記の例では、サーバは、宛先アドレス100.99.98.97、宛先ポート1234にパケットを送信することで、そのAPにパケットを到達させることができる。   The ESSID that the AP uses for advertisement includes a service, a global IP address, and a listening port number. For example, “SERVICE: 100.99.98.97: 1234”. This ESSID consists of three parts separated by a semicolon. The first SERVICE is a character string indicating that a service according to the present invention is provided, and is commonly known by all APs and clients (may be another character string, of course). The second is a global IP address that can reach the AP, and the third is the listening port number of the AP. In the above example, the server can cause the packet to reach the AP by transmitting the packet to the destination address 100.99.98.97 and the destination port 1234.

(2)接続登録要求
APから広告を受け取ったクライアントは、サーバに接続登録要求メッセージを送り、そのクライアントがAPに接続できるよう設定を依頼する。ただし、例えば自宅のAPなど既知のAPで接続があらかじめ許可されているAPからの広告であれば以降の手順は不要であり、IEEE802.11等で規定された通常の接続を行えばいい。既知のAPではなかった場合、登録要求メッセージを携帯網経由でサーバに送付する。接続登録要求メッセージは以下の情報を含む。
・ユーザ名
・パスワード
・サービス名
・MACアドレス
・APアドレス
・APポート番号
・確認用乱数 (2) Connection Registration Request A client that has received an advertisement from an AP sends a connection registration request message to the server and requests setting so that the client can connect to the AP. However, for example, if the advertisement is from an AP whose connection is permitted in advance by a known AP such as a home AP, the subsequent procedure is unnecessary, and a normal connection defined by IEEE 802.11 or the like may be performed. If it is not a known AP, a registration request message is sent to the server via the mobile network. The connection registration request message includes the following information.
・ User name ・ Password ・ Service name ・ MAC address ・ AP address ・ AP port number ・ Random number for confirmation

ユーザ名とパスワードは、クライアントが通信事業者に登録している情報であり、通信事業者(サーバ)が正しくクライアントを識別できるものであればよい。従ってユーザ名とパスワードでなくとも、例えば証明書でもよい。サーバ(通信事業者)は、まずそのクライアントが本発明の無線LAN接続サービスに加入しているかどうかを確認する。   The user name and password are information registered by the client with the communication carrier, and may be any information that allows the communication carrier (server) to correctly identify the client. Therefore, for example, a certificate may be used instead of the user name and password. The server (communication carrier) first checks whether the client subscribes to the wireless LAN connection service of the present invention.

サービス名は、サーバがそれをチェックし、不正なサービス名(その通信事業者が指定していない文字列)だった場合には、要求を破棄する(接続登録失敗メッセージをクライアントに返答し、手順を終了する)。   The service name is checked by the server, and if it is an invalid service name (a character string not specified by the carrier), the request is discarded (a connection registration failure message is returned to the client, and the procedure is Exit).

MACアドレスはクライアントの無線LANインタフェースのMACアドレスであり、後の手順でサーバからAPに送る「受け入れ要求」にそのまま格納され、この時点ではこれらの情報は特に処理されない。   The MAC address is the MAC address of the wireless LAN interface of the client, and is stored as it is in the “accept request” sent from the server to the AP in a later procedure. At this point, these pieces of information are not particularly processed.

APアドレスとAPポート番号は、(1)の広告に含まれていた情報である。   The AP address and the AP port number are information included in the advertisement (1).

確認用乱数は、後の登録完了メッセージ(図3の(7))で用いられる情報である。サーバは該当するクライアント情報にこの確認用乱数を登録する。   The confirmation random number is information used in a later registration completion message ((7) in FIG. 3). The server registers this confirmation random number in the corresponding client information.

なお、接続要求(図3の(2))〜接続登録応答(図3の(5))までは1つのセッションであり、サーバはどのクライアントに接続登録応答メッセージを返すべきか等を管理しておかなければならない。またクライアントは、APアドレス、APポート番号、確認用乱数および後に取得するAP識別番号などを、当該APから切断するまで保持しておかなければならない。   The connection request ((2) in FIG. 3) to the connection registration response ((5) in FIG. 3) is one session, and the server manages to which client the connection registration response message should be returned. I have to leave. The client must retain the AP address, the AP port number, the confirmation random number, the AP identification number acquired later, and the like until disconnected from the AP.

(3)AP登録要求・AP登録応答
本発明では、通信事業者から無線LAN接続を提供したAP管理者への支払いが発生することを想定している(実際に支払いをするかどうかは本発明の範囲外である)。そのため、通信事業者はAPを正しく認識し、また実際に正しく無線LANの接続を提供したかを確認しなければならない。AP登録要求・AP登録応答(図3の(3a)、(3b))はそれを実現するためのメッセージである。 (3) AP registration request / AP registration response In the present invention, it is assumed that payment is made from the communication carrier to the AP administrator who provided the wireless LAN connection (whether or not the payment is actually made depends on the present invention). Is out of range). Therefore, the telecommunications carrier must confirm whether the AP is correctly recognized and whether the wireless LAN connection is actually provided correctly. The AP registration request / AP registration response ((3a) and (3b) in FIG. 3) is a message for realizing this.

(3a)AP登録要求
サーバは、クライアントから受け取った接続登録要求メッセージの中の、APアドレス、APポート番号を宛先アドレス、宛先ポートとしてAP登録要求メッセージを送信する。AP登録要求メッセージは以下の情報を含む。
・サービス名
・サーバ証明書(サーバの公開鍵で確認する) (3a) AP registration request The server transmits an AP registration request message with the AP address and AP port number as the destination address and destination port in the connection registration request message received from the client. The AP registration request message includes the following information.
-Service name-Server certificate (confirm with server public key)

サービス名は、通信事業者を識別するための識別子である。APはサービス情報の中から該当するサービス名が存在するかを確認する。もし存在しなければ、APはその通信事業者のクライアントに対して無線LANの接続性を提供しないので、AP登録応答で「接続拒否」を返す。   The service name is an identifier for identifying the communication carrier. The AP confirms whether the corresponding service name exists from the service information. If the AP does not exist, the AP does not provide wireless LAN connectivity to the client of the carrier, and therefore returns “connection rejection” in the AP registration response.

サーバ証明書は、このAP登録要求メッセージが本物のサーバから送られたものかを確認するために用いる。APはサーバ証明書を確認し、正しければ以降の手順を進める。不正であれば、これ以上何も処理しない(応答も返さない)。   The server certificate is used for confirming whether the AP registration request message is sent from a real server. The AP confirms the server certificate, and if it is correct, proceeds with the subsequent procedures. If it is invalid, no further processing is performed (no response is returned).

(3b)AP登録応答
次に、APは自身の情報をサーバに登録するために、AP登録応答メッセージをサーバに送る。AP登録応答メッセージは以下の情報を含む。
・ステータス
・サーバ公開鍵による暗号化
−AP識別番号(もし持っていなければ空にしておく)
−支払いを受けるのに必要なID (3b) AP registration response Next, the AP sends an AP registration response message to the server in order to register its information with the server. The AP registration response message includes the following information.
・ Encryption with status server public key-AP identification number (leave it empty if you do not have one)
-ID required to receive payment

ステータスとは、登録要求を受け入れるか、却下するかを表すステータスコードである。却下の場合は、以降の情報を格納する必要はない。   The status is a status code indicating whether the registration request is accepted or rejected. In the case of rejection, it is not necessary to store the subsequent information.

AP識別番号と支払いを受けるのに必要なID情報は、まとめてサーバの公開鍵(APが事前に保有している)で暗号化する。サーバは対応する秘密鍵を持っているので、解読することができる。これによって、不正なサーバに対してID情報が漏れることを防ぐ。   The AP identification number and ID information necessary for receiving payment are collectively encrypted with the server's public key (held in advance by the AP). Since the server has a corresponding private key, it can be decrypted. This prevents the ID information from leaking to an unauthorized server.

AP識別番号は、後述する受け入れ要求に含まれる情報である。つまり、同じ通信事業者から2回目以降AP登録要求があった場合には、AP識別番号を付加することで、サーバがAPに関する情報を検索するのを簡略化できる。   The AP identification number is information included in an acceptance request described later. That is, when there is an AP registration request for the second time or more from the same communication carrier, it is possible to simplify the server searching for information on the AP by adding the AP identification number.

支払いを受けるのに必要なIDは、(2)でも述べたように、そのAP管理者が実際に支払いを受けるのに必要な情報である。サーバはこの情報を課金データベースに登録する。もし新規の登録(AP識別番号が空)の場合には、新たにAP識別番号を発行する(AP識別子は、課金データベースのエントリの番号など、該当エントリへのアクセスを容易にするものであればよい)。   The ID necessary for receiving the payment is information necessary for the AP administrator to actually receive the payment, as described in (2). The server registers this information in the accounting database. If it is a new registration (AP identification number is empty), a new AP identification number is issued (if the AP identifier facilitates access to the entry, such as the entry number of the accounting database) Good).

(4)受け入れ要求・受け入れ許可(受け入れ却下)
(4a)受け入れ要求
サーバは、クライアントが検知したAPに対して受け入れ要求メッセージを送付する。このメッセージの宛先には、APアドレスとAPポート番号を指定する。受け入れ要求メッセージは以下の情報を含む。
・サービス名
・サーバ秘密鍵による暗号化
−AP識別番号
−MACアドレス (4) Acceptance request / acceptance permission (acceptance rejection)
(4a) Acceptance request The server sends an acceptance request message to the AP detected by the client. An AP address and an AP port number are designated as the destination of this message. The acceptance request message includes the following information.
・ Encryption with service name and server secret key -AP identification number -MAC address

サーバは受け入れ要求メッセージの中の、AP識別子とMACアドレスをまとめて秘密鍵で暗号化する。受け入れ要求メッセージを受信したAPは、まずサービス名をチェックし、対応するサーバの公開鍵で暗号化された部分を解読し、AP識別番号とMACアドレスを得る。正しくメッセージが解読できたということは、正しいサーバから送られてきたメッセージだということがわかる。もし不正なサーバだった(正しく解読できなかった)場合には、メッセージを破棄する(応答も送らない)。   The server encrypts the AP identifier and the MAC address in the acceptance request message together with a secret key. The AP that has received the acceptance request message first checks the service name, decrypts the part encrypted with the public key of the corresponding server, and obtains the AP identification number and MAC address. The fact that the message was correctly decoded indicates that the message was sent from the correct server. If the server is invalid (it could not be decrypted correctly), the message is discarded (no response is sent).

APはAP識別番号が未登録ならサービス情報の該当するサービス名に対応づけて登録する。   If the AP identification number is not registered, the AP registers it in association with the corresponding service name in the service information.

次にAPは取得したMACアドレスを、MACアドレスフィルタリング(許可)に設定する(もちろん、MACアドレスフィルタリングを設定しなくても良い)。さらに、クライアントリストに新たなクライアントとしてMACアドレスと現在時刻を登録する(重複していれば時刻のみ更新する)。   Next, the AP sets the acquired MAC address in MAC address filtering (permission) (of course, MAC address filtering need not be set). Further, the MAC address and the current time are registered as new clients in the client list (only the time is updated if there is a duplicate).

(4b)受け入れ許可(受け入れ却下)
そして、APは受け入れ許可メッセージをサーバに応答する。受け入れ許可メッセージは以下の情報を含む。
・ステータス
・サーバ公開鍵による暗号化
−AP識別番号
−ESSID
−無線LAN暗号鍵情報(暗号方式の種別と暗号鍵)
−最大接続時間
−IPアドレス (4b) Acceptance acceptance (acceptance rejection)
Then, the AP responds to the server with an acceptance permission message. The acceptance permission message includes the following information.
-Encryption with status server public key-AP identification number-ESSID
-Wireless LAN encryption key information (type of encryption method and encryption key)
-Maximum connection time-IP address

ステータスとは、クライアントを受け入れるか、受け入れを拒否するか(またその理由)を表すステータスコードである。却下の場合は、以降の情報のうちIPアドレスのみを格納する。   The status is a status code indicating whether the client is accepted or rejected (and the reason). In the case of rejection, only the IP address is stored among the subsequent information.

ステータス以外の情報は、まとめてサーバの公開鍵(APが事前に保有しているはず)で暗号化する。サーバは対応する秘密鍵を持っているので、解読することができる。これによって、情報が不必要に漏れることを防ぐ。得られた情報のうち、ESSIDと暗号鍵情報、最大接続時間は、次の接続登録応答メッセージにそのまま格納される。IPアドレスは、接続登録応答メッセージの宛先アドレスである。   Information other than the status is collectively encrypted with the server's public key (which the AP should have in advance). Since the server has a corresponding private key, it can be decrypted. This prevents information from leaking unnecessarily. Among the obtained information, the ESSID, the encryption key information, and the maximum connection time are stored as they are in the next connection registration response message. The IP address is a destination address of the connection registration response message.

なお、クライアントリストに最大数のクライアントが登録され、これ以上受け入れることができない場合は受け入れ却下メッセージをサーバに返す。受け入れ却下メッセージには、IPアドレスだけを格納する。   If the maximum number of clients are registered in the client list and cannot be accepted any more, an acceptance rejection message is returned to the server. Only the IP address is stored in the acceptance rejection message.

(5)接続登録応答
サーバは、APから受け入れ許可メッセージを受け取ると、その内容を接続登録応答として携帯網経由でクライアントに返す。サーバは、セッションを正しく管理していれば、どのクライアントに接続登録応答メッセージを送ればよいかわかるはずである。登録応答メッセージは以下の情報を含む。
・ステータス
・AP識別番号
・ESSID
・無線LAN暗号鍵情報
・最大接続時間 (5) Connection Registration Response When the server receives an acceptance permission message from the AP, the server returns the content as a connection registration response to the client via the mobile network. If the server manages the session correctly, it should know which client to send the connection registration response message to. The registration response message includes the following information.
・ Status ・ AP identification number ・ ESSID
・ Wireless LAN encryption key information ・ Maximum connection time

ステータスはAPが接続を受け入れたかどうかを表すステータスコードであり、却下された場合には、ESSID以降の情報は格納しない。   The status is a status code indicating whether or not the AP has accepted the connection. When the AP is rejected, information after the ESSID is not stored.

クライアントは、得られたESSIDと暗号鍵を用いてAPに接続する。また、AP識別番号は、APから切断するまで保持しておく。   The client connects to the AP using the obtained ESSID and encryption key. Further, the AP identification number is retained until disconnected from the AP.

(6)無線LAN接続
APへの接続は、IEEE802.11等で規定されている通常の手順で行う。 (6) Wireless LAN connection Connection to the AP is performed according to a normal procedure defined by IEEE 802.11 or the like.

(7)接続完了
APへの接続が完了すると、クライアントはAP経由で接続完了メッセージをサーバに送る。接続完了メッセージは以下の情報を含む。
・サーバ公開鍵による暗号化
−ユーザID
−AP識別番号
−確認用乱数 (7) Connection completion When the connection to the AP is completed, the client sends a connection completion message to the server via the AP. The connection completion message includes the following information.
-Encryption with server public key-User ID
-AP identification number-Random number for confirmation

上記メッセージはサーバの公開鍵で暗号化する。従って、正しいサーバしか解読できない。   The above message is encrypted with the public key of the server. Therefore, only correct servers can be decrypted.

確認用乱数は、接続登録要求メッセージ(2)にて、携帯網を経由してやり取りされた情報であるため、APはそれを知らないはずである。   Since the confirmation random number is information exchanged via the mobile network in the connection registration request message (2), the AP should not know it.

サーバは、ユーザIDを元にクライアント情報を調べ、受信した確認用乱数と、クライアント情報にすでに登録されていた確認用乱数が等しいかをチェックする。等しければ、そのAP識別番号のAPが正しく無線LAN接続を提供したことを確認でき、課金を開始する(課金データベースに接続開始時刻などを登録する)。   The server checks the client information based on the user ID and checks whether the received confirmation random number is equal to the confirmation random number already registered in the client information. If they are equal, it can be confirmed that the AP of the AP identification number has correctly provided the wireless LAN connection, and charging is started (the connection start time and the like are registered in the charging database).

(8)APからの離脱
クライアントが接続中のAPから離脱する場合、すなわちAPとの接続が切れて他のAPや携帯通信網へ接続した場合、クライアントはサーバ経由でAPにその旨を通知する。
クライアントからサーバへの接続解除要求メッセージは以下の情報を含む。
・MACアドレス
・サービス名
・APアドレス
・APポート番号
・AP識別子 (8) Leave from AP When a client leaves a connected AP, that is, when the connection with the AP is disconnected and another AP or mobile communication network is connected, the client notifies the AP via the server to that effect. .
The connection release request message from the client to the server includes the following information.
-MAC address-Service name-AP address-AP port number-AP identifier

これらの情報は、接続登録要求メッセージを送る際に用いたものと同じものである。従って前述の通りAPアドレス、APポート番号およびAP識別子の情報は接続解除が完了するまで(または別のAPに接続するまで)保持しておく必要がある。   These pieces of information are the same as those used when sending the connection registration request message. Therefore, as described above, the AP address, AP port number, and AP identifier information must be retained until the connection release is completed (or until another AP is connected).

この情報を受け取ったサーバは、課金データベースの該当APについてのエントリに接続が終了したことを記録する。   The server receiving this information records that the connection is completed in the entry for the corresponding AP in the accounting database.

(8)解除要求
サーバからAPへの解除要求メッセージは以下の情報を含む。
・サービス名
・サーバ秘密鍵による暗号化
−MACアドレス (8) Release request The release request message from the server to the AP includes the following information.
・ Encryption with service name and server secret key-MAC address

APはサービス名を元にサーバの公開鍵を取得し、それを用いて暗号を解読する。解読に成功すればMACアドレスを得るので、クライアントリストから該当するMACアドレスのエントリを削除するとともに、MACアドレスフィルタリングのエントリも削除する。   The AP acquires the server's public key based on the service name, and decrypts the code using it. If the decryption is successful, the MAC address is obtained. Therefore, the corresponding MAC address entry is deleted from the client list, and the MAC address filtering entry is also deleted.

なお、万一このような登録削除の手順が行われなくても、クライアントリスの各エントリは一定時間でexpireするため、永遠にエントリが残ることはない(クライアントリストからエントリを消すときに、必ずMACアドレスフィルタリングからもエントリを削除する)。   Even if the registration deletion procedure is not performed, each entry of the client list is expired in a certain time, so that the entry does not remain forever (Be sure to delete an entry from the client list. Delete entries from MAC address filtering as well).

再接続(接続更新)を行う場合
クライアントは、接続開始から接続登録応答メッセージで指定された最大接続時間が過ぎる前に、再度接続手順を行うことで、接続を更新できる(どのタイミングで再接続するかは任意)。 When performing reconnection (connection update) The client can update the connection by performing the connection procedure again before the maximum connection time specified in the connection registration response message has passed since the start of connection (reconnecting at any timing) Is optional).

また、以上述べた実施形態は全て本発明を例示的に示すものであって限定的に示すものではなく、本発明は他の種々の変形態様および変更態様で実施することができる。従って本発明の範囲は特許請求の範囲およびその均等範囲によってのみ規定されるものである。   Moreover, all the embodiments described above are illustrative of the present invention and are not intended to limit the present invention, and the present invention can be implemented in other various modifications and changes. Therefore, the scope of the present invention is defined only by the claims and their equivalents.

1 無線LANアクセスポイント(AP)
11 無線LAN接続部
12 サーバ接続部
13 サービス情報保持部
2 無線LANクライアント(クライアント)
21 無線LAN接続部
22 携帯電話網接続部
23 サーバ情報保持部
3 サーバ
31 ネットワーク接続部
32 クライアント情報保持部
33 課金情報データベース
4 NATルータ
5 携帯電話基地局 1 Wireless LAN access point (AP)
DESCRIPTION OF SYMBOLS 11 Wireless LAN connection part 12 Server connection part 13 Service information holding part 2 Wireless LAN client (client)
DESCRIPTION OF SYMBOLS 21 Wireless LAN connection part 22 Mobile telephone network connection part 23 Server information holding part 3 Server 31 Network connection part 32 Client information holding part 33 Accounting information database 4 NAT router 5 Mobile telephone base station

Claims (12)

無線LANで無線LANアクセスポイントと通信するための第1の接続手段と、サーバと通信するための第2の接続手段とを有する無線LANクライアントと、
前記サーバと通信するためのサーバ接続手段を有する無線LANアクセスポイントと、
前記無線LANアクセスポイントおよび前記無線LANクライアントと通信するためのネットワーク接続手段を有するサーバと、
を備える無線LANシステムにおいて、
前記無線LANクライアントが、前記無線LANアクセスポイントに接続するための無線LAN接続方法であって、
前記無線LANアクセスポイントが、接続サービスの提供を広告する広告ステップと、
前記広告を受信した前記無線LANクライアントが、前記第2の接続手段で前記サーバに前記接続サービスを要求する接続要求ステップと、
前記サーバが、前記要求を行った無線LANクライアントを認証し、前記無線LANアクセスポイントに、前記無線LANクライアントの受け入れを要求する受け入れ要求ステップと、
前記無線LANアクセスポイントが、前記サーバに、前記無線LANクライアントの受け入れを許可する受け入れ許可ステップと、
前記サーバが、前記無線LANクライアントに、前記無線LANアクセスポイントの受け入れ許可を通知する接続要求応答ステップと、
前記無線LANクライアントが、前記無線LANアクセスポイントに接続する接続ステップと、
を含むことを特徴とする無線LAN接続方法。 A wireless LAN client having a first connection means for communicating with a wireless LAN access point in a wireless LAN, and a second connection means for communicating with a server;
A wireless LAN access point having server connection means for communicating with the server;
A server having network connection means for communicating with the wireless LAN access point and the wireless LAN client;
In a wireless LAN system comprising:
A wireless LAN connection method for the wireless LAN client to connect to the wireless LAN access point,
An advertising step in which the wireless LAN access point advertises provision of a connection service;
The wireless LAN client that has received the advertisement makes a connection request step for requesting the connection service to the server by the second connection means;
An acceptance request step for authenticating the wireless LAN client making the request and requesting the wireless LAN access point to accept the wireless LAN client;
An acceptance permission step in which the wireless LAN access point allows the server to accept the wireless LAN client;
A connection request response step in which the server notifies the wireless LAN client of acceptance of the wireless LAN access point;
A connection step in which the wireless LAN client connects to the wireless LAN access point;
A wireless LAN connection method comprising: 前記受け入れ要求ステップで、前記無線LANクライアントを認証後、
前記サーバが、前記無線LANアクセスポイントに接続サービスの提供を確認する確認ステップと、
前記無線LANアクセスポイントが、前記サーバを前記サーバの公開鍵で認証し、前記接続サービスの提供の確認を応答する応答ステップと、
をさらに含むことを特徴とする請求項1に記載の無線LAN接続方法。 In the acceptance request step, after authenticating the wireless LAN client,
A confirmation step in which the server confirms the provision of a connection service to the wireless LAN access point;
A response step in which the wireless LAN access point authenticates the server with the public key of the server and responds with confirmation of provision of the connection service;
The wireless LAN connection method according to claim 1, further comprising: 前記接続ステップの後、
前記無線LANクライアントが、前記第1の接続手段で前記サーバに接続し、前記サーバに、前記無線LANアクセスポイントとの接続完了を通知する接続完了ステップをさらに含むことを特徴とする請求項1または2に記載の無線LAN接続方法。 After the connecting step,
The wireless LAN client further includes a connection completion step of connecting to the server by the first connection means and notifying the server of completion of connection with the wireless LAN access point. The wireless LAN connection method according to 2. 前記無線LANクライアントが、前記接続要求ステップおよび前記接続完了ステップで、確認用乱数を前記サーバに送信し、
前記サーバが、前記接続要求ステップで送信された確認用乱数と前記接続完了ステップで送信された確認用乱数を比較するステップをさらに含むことを特徴とする請求項3に記載の無線LAN接続方法。 The wireless LAN client transmits a confirmation random number to the server in the connection request step and the connection completion step,
4. The wireless LAN connection method according to claim 3, further comprising the step of comparing the confirmation random number transmitted in the connection requesting step with the confirmation random number transmitted in the connection completion step. 前記無線LANアクセスポイントは、前記広告ステップで、前記サーバ接続手段のIPアドレスおよびポート番号を含むESSIDを用いて前記広告を行い、
前記無線LANクライアントは、前記接続要求ステップで、前記IPアドレスおよび前記ポート番号を前記サーバに送信し、
前記サーバは、前記受け入れ要求ステップまたは前記確認ステップで、前記IPアドレスおよび前記ポート番号を用いて、前記無線LANアクセスポイントに接続することを特徴とする請求項1から4のいずれか1項に記載の無線LAN接続方法。 The wireless LAN access point performs the advertisement using an ESSID including an IP address and a port number of the server connection means in the advertisement step,
The wireless LAN client transmits the IP address and the port number to the server in the connection request step,
5. The server according to claim 1, wherein the server connects to the wireless LAN access point using the IP address and the port number in the acceptance requesting step or the confirmation step. 6. Wireless LAN connection method. 前記サーバは、前記受け入れ要求ステップで、前記認証を前記無線LANクライアントのユーザ名とパスワード、または証明書で行うことを特徴とする請求項1から5のいずれか1項に記載の無線LAN接続方法。   The wireless LAN connection method according to any one of claims 1 to 5, wherein the server performs the authentication with a user name and password of the wireless LAN client or a certificate in the acceptance requesting step. . 前記無線LANアクセスポイントは、前記受け入れ許可ステップで、無線LAN接続のためのESSID、無線LAN暗号鍵および暗号種別を前記サーバに送信し、
前記サーバは、前記接続要求応答ステップで、前記ESSID、前記無線LAN暗号鍵および前記暗号種別を前記無線LANクライアントに通知し、
前記無線LANクライアントは、前記接続ステップで、前記ESSID、前記無線LAN暗号鍵および前記暗号種別を用いて前記無線LANアクセスポイントに接続することを特徴とする請求項1から6のいずれか1項に記載の無線LAN接続方法。 The wireless LAN access point transmits an ESSID, a wireless LAN encryption key, and an encryption type for wireless LAN connection to the server in the acceptance permission step,
In the connection request response step, the server notifies the wireless LAN client of the ESSID, the wireless LAN encryption key, and the encryption type,
The wireless LAN client connects to the wireless LAN access point using the ESSID, the wireless LAN encryption key, and the encryption type in the connection step, according to any one of claims 1 to 6. The wireless LAN connection method described. 前記無線LANクライアントが、前記接続要求ステップで前記第1の接続手段のMACアドレスを送信し、
前記サーバが、前記受け入れ要求ステップで前記MACアドレスを送信し、
前記無線LANアクセスポイントが、前記受け入れ許可ステップで前記MACアドレスを登録することを特徴とする請求項1から7のいずれか1項に記載の無線LAN接続方法。 The wireless LAN client transmits the MAC address of the first connection means in the connection request step;
The server sends the MAC address in the accept request step;
The wireless LAN connection method according to claim 1, wherein the wireless LAN access point registers the MAC address in the accepting permission step. 前記サーバから前記無線LANアクセスポイントへの通信は、前記サーバの公開鍵で暗号化され、
前記無線LANアクセスポイントから前記サーバへの通信は、前記サーバの秘密鍵で暗号化されることを特徴とする請求項1から8のいずれか1項に記載の無線LAN接続方法。 Communication from the server to the wireless LAN access point is encrypted with the public key of the server,
The wireless LAN connection method according to any one of claims 1 to 8, wherein communication from the wireless LAN access point to the server is encrypted with a secret key of the server. 前記第2の接続手段は、携帯電話網に接続する手段であり、
前記サーバ接続手段および前記ネットワーク接続手段は、インターネットに接続する手段であることを特徴とする請求項1から9のいずれか1項に記載の無線LAN接続方法。 The second connection means is means for connecting to a mobile phone network;
10. The wireless LAN connection method according to claim 1, wherein the server connection unit and the network connection unit are units for connecting to the Internet. 無線LANで無線LANアクセスポイントと通信するための第1の接続手段と、
サーバと通信するための第2の接続手段と、
を備え、前記第1の接続手段で、前記無線LANアクセスポイントから接続サービス提供の広告を受信し、前記第2の接続手段で、前記サーバに前記接続サービスを要求し、前記第2の接続手段で、前記サーバから受け入れ許可を受信し、前記第1の接続手段で、前記無線LANアクセスポイントに接続することを特徴とする無線LANクライアント。 First connection means for communicating with a wireless LAN access point over a wireless LAN;
A second connection means for communicating with the server;
The first connection means receives an advertisement for providing a connection service from the wireless LAN access point, the second connection means requests the connection service from the server, and the second connection means The wireless LAN client receives an acceptance permission from the server and connects to the wireless LAN access point by the first connection means. サーバと通信するためのサーバ接続手段と、
無線LAN接続手段と、
を備え、前記無線LAN接続手段で接続サービスの提供を広告し、前記接続サービスを受信した無線LANクライアントからの要求を、前記サーバ接続手段で前記サーバから受信し、前記無線LANクライアントの受け入れ許可を、前記サーバに送信し、前記無線LAN接続手段が、前記無線LANクライアントに接続サービスを提供することを特徴とする無線LANアクセスポイント。 Server connection means for communicating with the server;
Wireless LAN connection means;
The wireless LAN connection means advertises the provision of a connection service, receives a request from the wireless LAN client that has received the connection service from the server, and grants permission to accept the wireless LAN client. The wireless LAN access point transmits to the server, and the wireless LAN connection means provides a connection service to the wireless LAN client.
JP2010284194A 2010-12-21 2010-12-21 Wireless LAN connection method, wireless LAN client, and wireless LAN access point Expired - Fee Related JP5536628B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010284194A JP5536628B2 (en) 2010-12-21 2010-12-21 Wireless LAN connection method, wireless LAN client, and wireless LAN access point

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010284194A JP5536628B2 (en) 2010-12-21 2010-12-21 Wireless LAN connection method, wireless LAN client, and wireless LAN access point

Publications (2)

Publication Number Publication Date
JP2012134703A true JP2012134703A (en) 2012-07-12
JP5536628B2 JP5536628B2 (en) 2014-07-02

Family

ID=46649790

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010284194A Expired - Fee Related JP5536628B2 (en) 2010-12-21 2010-12-21 Wireless LAN connection method, wireless LAN client, and wireless LAN access point

Country Status (1)

Country Link
JP (1) JP5536628B2 (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5349665B1 (en) * 2012-09-28 2013-11-20 ソフトバンクモバイル株式会社 Terminal, control method thereof, and control program
WO2014148448A1 (en) * 2013-03-22 2014-09-25 ヤマハ株式会社 Wireless network system, terminal management device, wireless relay device, and communications method
JP2015008358A (en) * 2013-06-24 2015-01-15 Kddi株式会社 Management device and program
JP2015041951A (en) * 2013-08-23 2015-03-02 株式会社バッファロー Radio communication system, radio connection device, method and computer program
CN105850183A (en) * 2014-08-21 2016-08-10 华为技术有限公司 Wireless network access control method, device and system
JP2018501746A (en) * 2015-10-29 2018-01-18 シャオミ・インコーポレイテッド Connection establishment method, apparatus, program, and recording medium
JP2018511244A (en) * 2015-03-17 2018-04-19 クアルコム,インコーポレイテッド Apparatus and method for sponsored connectivity to a wireless network using application specific network access credentials
US10349453B2 (en) 2017-01-23 2019-07-09 Casio Computer Co., Ltd. Communication apparatus, communication system, communication method and recording medium
CN114189857A (en) * 2017-05-11 2022-03-15 无线通信与技术公司 Gateway and method implemented by gateway

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002078307A1 (en) * 2001-03-26 2002-10-03 Ntt Docomo, Inc. Method and apparatus for providing communication service
JP2003264868A (en) * 2002-03-11 2003-09-19 Mitsubishi Electric Corp Mobile communication apparatus, communication apparatus management unit, mobile communication network/near distant wireless coordination system, communication method for the mobile communication apparatus, communication apparatus management method, mobile communication network/near distance wireless coordination method, program performed by computer, and computer-readable recording medium for recording program performed by the computer
JP2004274359A (en) * 2003-03-07 2004-09-30 Ntt Docomo Inc Communication network system, communication terminal device, authenticating device, authentication server and electronic authentication method
JP2006074295A (en) * 2004-08-31 2006-03-16 Sharp Corp Communications apparatus, function-selecting method thereof, communications system, application start up program, application software, and recording medium
JP2007043259A (en) * 2005-08-01 2007-02-15 Nec Corp Mobile phone terminal of wireless lan built-in type, mobile phone system, and personal information protection method
JP2007306312A (en) * 2006-05-11 2007-11-22 Nippon Telegraph & Telephone East Corp Radio communication connecting system
JP2009267882A (en) * 2008-04-25 2009-11-12 Kyocera Corp Communication system, communication method, wireless communication terminal and base station
JP2010250429A (en) * 2009-04-13 2010-11-04 Olympus Corp Charging and/or authentication management method

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002078307A1 (en) * 2001-03-26 2002-10-03 Ntt Docomo, Inc. Method and apparatus for providing communication service
JP2003264868A (en) * 2002-03-11 2003-09-19 Mitsubishi Electric Corp Mobile communication apparatus, communication apparatus management unit, mobile communication network/near distant wireless coordination system, communication method for the mobile communication apparatus, communication apparatus management method, mobile communication network/near distance wireless coordination method, program performed by computer, and computer-readable recording medium for recording program performed by the computer
JP2004274359A (en) * 2003-03-07 2004-09-30 Ntt Docomo Inc Communication network system, communication terminal device, authenticating device, authentication server and electronic authentication method
JP2006074295A (en) * 2004-08-31 2006-03-16 Sharp Corp Communications apparatus, function-selecting method thereof, communications system, application start up program, application software, and recording medium
JP2007043259A (en) * 2005-08-01 2007-02-15 Nec Corp Mobile phone terminal of wireless lan built-in type, mobile phone system, and personal information protection method
JP2007306312A (en) * 2006-05-11 2007-11-22 Nippon Telegraph & Telephone East Corp Radio communication connecting system
JP2009267882A (en) * 2008-04-25 2009-11-12 Kyocera Corp Communication system, communication method, wireless communication terminal and base station
JP2010250429A (en) * 2009-04-13 2010-11-04 Olympus Corp Charging and/or authentication management method

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5349665B1 (en) * 2012-09-28 2013-11-20 ソフトバンクモバイル株式会社 Terminal, control method thereof, and control program
US10575177B2 (en) 2013-03-22 2020-02-25 Yamaha Corporation Wireless network system, terminal management device, wireless relay device, and communications method
WO2014148448A1 (en) * 2013-03-22 2014-09-25 ヤマハ株式会社 Wireless network system, terminal management device, wireless relay device, and communications method
JP2015008358A (en) * 2013-06-24 2015-01-15 Kddi株式会社 Management device and program
JP2015041951A (en) * 2013-08-23 2015-03-02 株式会社バッファロー Radio communication system, radio connection device, method and computer program
CN105850183A (en) * 2014-08-21 2016-08-10 华为技术有限公司 Wireless network access control method, device and system
US11184770B2 (en) 2014-08-21 2021-11-23 Huawei Technologies Co., Ltd. Wireless network access control method, device, and system
US11765587B2 (en) 2014-08-21 2023-09-19 Huawei Technologies Co., Ltd. Wireless network access control method, device, and system
US20170273009A1 (en) * 2014-08-21 2017-09-21 Huawei Technologies Co., Ltd. Wireless network access control method, device, and system
CN111556497B (en) * 2014-08-21 2022-06-10 华为技术有限公司 Wireless network access control method, device and system
US10448317B2 (en) 2014-08-21 2019-10-15 Huawei Technologies Co., Ltd. Wireless network access control method, device, and system
JP2017526291A (en) * 2014-08-21 2017-09-07 華為技術有限公司Huawei Technologies Co.,Ltd. Wireless network access control method, apparatus, and system
CN111556497A (en) * 2014-08-21 2020-08-18 华为技术有限公司 Wireless network access control method, device and system
JP2018511244A (en) * 2015-03-17 2018-04-19 クアルコム,インコーポレイテッド Apparatus and method for sponsored connectivity to a wireless network using application specific network access credentials
US10291608B2 (en) 2015-10-29 2019-05-14 Xiaomi Inc. Method and device for establishing wireless connection
JP2018501746A (en) * 2015-10-29 2018-01-18 シャオミ・インコーポレイテッド Connection establishment method, apparatus, program, and recording medium
US10349453B2 (en) 2017-01-23 2019-07-09 Casio Computer Co., Ltd. Communication apparatus, communication system, communication method and recording medium
CN114189857A (en) * 2017-05-11 2022-03-15 无线通信与技术公司 Gateway and method implemented by gateway
CN114189857B (en) * 2017-05-11 2023-11-28 无线通信与技术公司 Gateway and method implemented by gateway

Also Published As

Publication number Publication date
JP5536628B2 (en) 2014-07-02

Similar Documents

Publication Publication Date Title
JP5536628B2 (en) Wireless LAN connection method, wireless LAN client, and wireless LAN access point
JP3869392B2 (en) User authentication method in public wireless LAN service system and recording medium storing program for causing computer to execute the method
CN110800331B (en) Network verification method, related equipment and system
CN107409137B (en) For using application specific network insertion voucher to the device and method by guarantee connectivity of wireless network
US8091116B2 (en) Communication system and method
JP4666169B2 (en) Method of communication via untrusted access station
US8145193B2 (en) Session key management for public wireless LAN supporting multiple virtual operators
CN103416082B (en) Method for being authenticated using safety element to distant station
EP2425646B1 (en) Network access nodes
EP2347625B1 (en) Communication system and method
WO2009152749A1 (en) A binding authentication method, system and apparatus
JP2011024065A (en) Cryptographic communication system and gateway device
US20110055409A1 (en) Method For Network Connection
JP2015503303A (en) Secure communication system and communication method
JP2008042862A (en) Wireless lan communication system, method thereof and program
CN111132305B (en) Method for 5G user terminal to access 5G network, user terminal equipment and medium
CN114070597B (en) Private network cross-network authentication method and device
WO2008148348A1 (en) Communication method, system, and home bs
JP2006229265A (en) Gateway system
JP5670926B2 (en) Wireless LAN access point terminal access control system and authorization server device
JP7076050B1 (en) Devices, methods and programs for providing communication services to access IP networks
JP7076051B1 (en) Devices, methods and programs for providing communication services to access IP networks
JP2013026819A (en) Access point

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130408

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20130524

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130603

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130823

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140403

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140423

R150 Certificate of patent or registration of utility model

Ref document number: 5536628

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140424

LAPS Cancellation because of no payment of annual fees