JP2015204499A - Communication system, access point device, server device, gateway device, and communication method - Google Patents

Communication system, access point device, server device, gateway device, and communication method Download PDF

Info

Publication number
JP2015204499A
JP2015204499A JP2014082275A JP2014082275A JP2015204499A JP 2015204499 A JP2015204499 A JP 2015204499A JP 2014082275 A JP2014082275 A JP 2014082275A JP 2014082275 A JP2014082275 A JP 2014082275A JP 2015204499 A JP2015204499 A JP 2015204499A
Authority
JP
Japan
Prior art keywords
address information
access point
opposite
point device
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014082275A
Other languages
Japanese (ja)
Other versions
JP5830128B2 (en
Inventor
悠輝 伊勢
Yuki Ise
悠輝 伊勢
剛 寶満
Takeshi Homan
剛 寶満
真也 崎野
Shinya Sakino
真也 崎野
正樹 南
Masaki Minami
正樹 南
貴司 八木
Takashi Yagi
貴司 八木
正和 東
Masakazu Azuma
正和 東
雄紀 花澤
Yuki Hanazawa
雄紀 花澤
勝希 明石
Katsuki Akashi
勝希 明石
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone West Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone West Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Nippon Telegraph and Telephone West Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014082275A priority Critical patent/JP5830128B2/en
Publication of JP2015204499A publication Critical patent/JP2015204499A/en
Application granted granted Critical
Publication of JP5830128B2 publication Critical patent/JP5830128B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a communication system that enables devices at both ends of a communication path to reliably obtain IP addresses of the respective opposite devices when a secure communication path is established.SOLUTION: A communication system includes an access point device and a server device. The access point device comprises: means for transmitting an acquisition request for address information on an opposite device to the server device; means for receiving the address information on the opposite device transmitted by the server device in response to the acquisition request; and means for establishing a secret communication path to the opposite device on the basis of the address information on the opposite device. The server device comprises: means for storing the address information on the opposite device to which the access point device should connect; and means that refers to the address information storage means, identifies the address information on the opposite device, and transmits the address information as a response to the acquisition request to the access point device when the acquisition request for the address information on the opposite device is received from the access point device.

Description

本発明は、セキュアな通信路を確立する通信システム、アクセスポイント装置、サーバ装置、ゲートウェイ装置及び通信方法に関する。   The present invention relates to a communication system, an access point device, a server device, a gateway device, and a communication method for establishing a secure communication path.

従来から、セキュア通信の構成および設定に関する情報を配布して、セキュリティ保護されたネットワークを安全に構成することが知られている(例えば、特許文献1参照)。ネットワークを安全に構成するために、特許文献1では、サーバ装置が、ネットワークに接続される情報処理装置と通信可能とされており、認証済の情報処理装置のアドレスと、認証済の情報処理装置間でセキュリティ保護された通信を確立可能にするための通信設定情報とを記憶手段に記憶する。アドレスを通知してきた情報処理装置を、通知されたアドレスを記憶手段に記憶させ、認証済の情報処理装置として登録する。そして、ネットワークに接続される情報処理装置に認証済の情報処理装置のアドレスと通信設定情報とを配布することによってセキュリティ保護されたネットワークを安全に構成することができる。   Conventionally, it is known to securely configure a secure network by distributing information related to the configuration and setting of secure communication (see, for example, Patent Document 1). In order to configure the network safely, in Patent Document 1, the server device can communicate with the information processing device connected to the network, and the address of the authenticated information processing device and the authenticated information processing device. And communication setting information for enabling establishment of secure communication between the storage means. The information processing apparatus that has notified the address is stored in the storage means and the registered information processing apparatus is authenticated. Then, by distributing the address of the authenticated information processing apparatus and the communication setting information to the information processing apparatus connected to the network, a security-protected network can be configured safely.

特開2008−276686号公報JP 2008-276686 A

ところで、近年は公衆無線アクセスポイント(以下、アクセスポイントをAPと称する)の普及に伴い、宅内だけでなく様々な場所においてWi−Fi(登録商標、以下同様)などの公衆無線LANの利用シーンが増えつつある。図18は、公衆無線LANの利用形態の一例を示す図である。図18に示す利用形態においては、単一の公衆無線APに複数のユーザが帰属し通信することが予想される。そのため、悪意のあるユーザ(オーナー)が公衆無線APを運用している場合、ゲストユーザの通信が悪意のあるユーザによって傍受されてしまう恐れがある。   By the way, in recent years, with the spread of public wireless access points (hereinafter referred to as APs), public wireless LAN usage scenes such as Wi-Fi (registered trademark, the same applies hereinafter) are being used not only in homes but also in various places. It is increasing. FIG. 18 is a diagram illustrating an example of a usage form of a public wireless LAN. In the usage form shown in FIG. 18, it is expected that a plurality of users belong to a single public wireless AP and communicate. Therefore, when a malicious user (owner) operates a public wireless AP, there is a possibility that the guest user's communication may be intercepted by the malicious user.

このような問題を解決するためには、APと対向する装置(例えば、Wi−Fi GW(ゲートウェイ))との間にIPsec(Security Architecture for Internet Protocol)等のセキュアな通信路を確立してセキュアな通信を行うことが有効である。IPsecは、通信路の両端の装置のいずれからでも確立することが可能である。   In order to solve such a problem, a secure communication path such as IPsec (Security Architecture for Internet Protocol) is established between an AP and a device facing the AP (for example, Wi-Fi GW (gateway)). Effective communication is effective. IPsec can be established from any of the devices at both ends of the communication path.

しかしながら、IPsecを用いてセキュアな通信路を確立する場合、対向する装置のIPアドレスを取得しなければならない。図19、図20は、APとWi−Fi GW(ワイファイゲートウェイ)との間にセキュアな通信路を確立する場合のネットワーク構成を示す図である。例えば、APがイニシエータとなってWi−Fi GWとの間でIPsecによる通信路を確立する場合、APが認証サーバによって認証された後に、Wi−Fi GWに接続されるIPsec終端ルータのIPアドレスを取得する必要がある(図19参照)。また、Wi−Fi GWがイニシエータとなってAPとの間でIPsecによる通信路を確立する場合、APが認証サーバによって認証された後に、Wi−Fi GWに接続されるIPsec終端ルータがAPのIPアドレスを取得する必要がある(図20参照)。なお、IPsec終端ルータは、Wi−Fi GWに含まれている場合もある。   However, when establishing a secure communication path using IPsec, the IP address of the opposite device must be acquired. 19 and 20 are diagrams illustrating a network configuration in the case where a secure communication path is established between an AP and a Wi-Fi GW (Wi-Fi gateway). For example, when establishing an IPsec communication path with the Wi-Fi GW using the AP as an initiator, after the AP is authenticated by the authentication server, the IP address of the IPsec termination router connected to the Wi-Fi GW is set. It needs to be acquired (see FIG. 19). In addition, when the Wi-Fi GW serves as an initiator to establish an IPsec communication path with the AP, after the AP is authenticated by the authentication server, the IPsec termination router connected to the Wi-Fi GW is the IP of the AP. An address needs to be acquired (see FIG. 20). Note that the IPsec termination router may be included in the Wi-Fi GW.

このように、図19、図20に示すネットワーク構成においては、APとWi−Fi GWとの間にセキュアな通信路を確立する場合、セキュアな通信路を介して対向する装置のIPアドレスを取得する必要がある。従来技術によるネットワーク構成にあっては、簡単に対向する装置のIPアドレスを取得することができないという問題がある。   As described above, in the network configuration shown in FIGS. 19 and 20, when a secure communication path is established between the AP and the Wi-Fi GW, the IP address of the opposite device is acquired through the secure communication path. There is a need to. In the network configuration according to the prior art, there is a problem that the IP address of the opposite device cannot be easily obtained.

本発明は、このような事情に鑑みてなされたもので、セキュアな通信路を確立する場合に、通信路の両端の装置において、対向する装置のIPアドレスを確実に取得することができる通信システム、アクセスポイント装置、サーバ装置、ゲートウェイ装置及び通信方法を提供することを目的とする。   The present invention has been made in view of such circumstances, and in establishing a secure communication path, a communication system that can reliably acquire the IP addresses of the opposing apparatuses in the apparatuses at both ends of the communication path. An object is to provide an access point device, a server device, a gateway device, and a communication method.

本発明は、ユーザ端末を通信ネットワークに接続するアクセスポイント装置と、サーバ装置とを含む通信システムであって、前記アクセスポイント装置は、対向装置のアドレス情報の取得要求を前記サーバ装置に対して送信する取得要求送信手段と、前記取得要求に応じて、前記サーバ装置が送信した前記対向装置のアドレス情報と受信するアドレス情報受信手段と、前記対向装置のアドレス情報に基づき、前記対向装置に対して秘匿通信路を確立する通信路確立手段とを備え、前記サーバ装置は、前記アクセスポイント装置が接続すべき前記対向装置のアドレス情報を記憶するアドレス情報記憶手段と、前記アクセスポイント装置から前記対向装置のアドレス情報の取得要求を受信した際に、前記アドレス情報記憶手段を参照して、前記対向装置のアドレス情報を特定し、該アドレス情報を前記取得要求の応答として前記アクセスポイント装置に対して送信するアドレス情報送信手段とを備えることを特徴とする。   The present invention is a communication system including an access point device that connects a user terminal to a communication network, and a server device, and the access point device transmits an address information acquisition request of the opposite device to the server device. Based on the address information of the opposing device, the address information receiving means for receiving the address information of the opposing device transmitted by the server device in response to the acquisition request, and the address information of the opposing device. Communication path establishing means for establishing a secret communication path, wherein the server device stores address information of the opposing device to which the access point device is to be connected, and the access point device to the opposing device. When the address information acquisition request is received, the address information storage means is referred to Identify the address information of the apparatus, characterized by comprising an address information transmitting means for transmitting to the access point device the address information as a response to the acquisition request.

本発明は、前記対向装置のアドレス情報の取得要求は、所定のタイミングで送信することを特徴とする。   The present invention is characterized in that the address information acquisition request of the opposite apparatus is transmitted at a predetermined timing.

本発明は、前記対向装置のアドレス情報の取得要求は、前記サーバ装置が前記ユーザ端末の認証を行う際の認証要求に含み、前記対向装置のアドレス情報は、前記認証要求に対する認証結果の情報に含むことを特徴とする。   According to the present invention, the address information acquisition request of the opposing device is included in an authentication request when the server device authenticates the user terminal, and the address information of the opposing device is included in the authentication result information for the authentication request. It is characterized by including.

本発明は、ユーザ端末を通信ネットワークに接続するアクセスポイント装置と、アクセスポイント装置を前記通信ネットワークに接続するゲートウェイ装置と、サーバ装置とを含む通信システムであって、前記アクセスポイント装置は、前記ユーザ端末の認証要求に自己のアドレス情報を含めて前記サーバ装置に対して送信する認証要求送信手段を備え、前記サーバ装置は、前記ユーザ端末の認証時において、DHCPにより前記ゲートウェイ装置と連携する際に、前記アクセスポイント装置のアドレス情報を前記ゲートウェイに送信するアドレス情報送信手段を備え、前記ゲートウェイ装置は、前記サーバ装置から前記アクセスポイント装置のアドレス情報を受信するアドレス情報受信手段と、前記アクセスポイント装置のアドレス情報に基づき、前記アクセスポイントに対して秘匿通信路を確立する通信路確立手段とを備えることを特徴とする。   The present invention is a communication system including an access point device that connects a user terminal to a communication network, a gateway device that connects an access point device to the communication network, and a server device, wherein the access point device includes the user Authentication request transmission means for transmitting the terminal authentication request including its own address information to the server device is provided, and the server device is configured to cooperate with the gateway device by DHCP at the time of authentication of the user terminal. Address information transmitting means for transmitting address information of the access point device to the gateway, the gateway device receiving address information of the access point device from the server device, and the access point device Address information Hazuki, characterized in that it comprises a communication path establishment means for establishing a secret communication channel to the access point.

本発明は、ユーザ端末を通信ネットワークに接続するアクセスポイント装置と、前記アクセスポイント装置が接続すべき対向装置のアドレス情報を記憶するアドレス情報記憶手段と、前記アクセスポイント装置から前記対向装置のアドレス情報の取得要求を受信した際に、前記アドレス情報記憶手段を参照して、前記対向装置のアドレス情報を特定し、該アドレス情報を前記取得要求の応答として前記アクセスポイント装置に対して送信するアドレス情報送信手段とを備えるサーバ装置とを含む通信システムにおける前記アクセスポイント装置であって、前記対向装置のアドレス情報の取得要求を前記サーバ装置に対して送信する取得要求送信手段と、前記取得要求に応じて、前記サーバ装置が送信した前記対向装置のアドレス情報と受信するアドレス情報受信手段と、前記対向装置のアドレス情報に基づき、前記対向装置に対して秘匿通信路を確立する通信路確立手段とを備えることを特徴とする。   The present invention provides an access point device for connecting a user terminal to a communication network, address information storage means for storing address information of a counter device to which the access point device is to be connected, and address information of the counter device from the access point device Address information for identifying the address information of the opposing device with reference to the address information storage means and transmitting the address information to the access point device as a response to the acquisition request when the acquisition request is received An access point device in a communication system including a server device including a transmission unit, an acquisition request transmission unit that transmits an acquisition request for address information of the opposite device to the server device, and responding to the acquisition request And receiving the address information of the opposite device transmitted by the server device. Address information receiving means, based on the address information of the opposite device, characterized by comprising a communication path establishment means for establishing a secret communication path to the opposite apparatus.

本発明は、ユーザ端末を通信ネットワークに接続するために、対向装置のアドレス情報の取得要求をサーバ装置に対して送信する取得要求送信手段と、前記取得要求に応じて、前記サーバ装置が送信した前記対向装置のアドレス情報と受信するアドレス情報受信手段と、前記対向装置のアドレス情報に基づき、前記対向装置に対して秘匿通信路を確立する通信路確立手段とを備えるアクセスポイント装置と、前記サーバ装置とを含む通信システムにおける前記サーバ装置であって、前記アクセスポイント装置が接続すべき前記対向装置のアドレス情報を記憶するアドレス情報記憶手段と、前記アクセスポイント装置から前記対向装置のアドレス情報の取得要求を受信した際に、前記アドレス情報記憶手段を参照して、前記対向装置のアドレス情報を特定し、該アドレス情報を前記取得要求の応答として前記アクセスポイント装置に対して送信するアドレス情報送信手段とを備えることを特徴とする。   In the present invention, in order to connect a user terminal to a communication network, an acquisition request transmission unit that transmits an acquisition request for address information of a counter device to a server device, and the server device transmits the request in response to the acquisition request An access point device comprising: address information of the opposite device; address information receiving means for receiving; and communication path establishment means for establishing a secret communication path for the opposite device based on the address information of the opposite device; and the server An address information storage means for storing address information of the opposing device to be connected to the access point device, and acquisition of the address information of the opposing device from the access point device When the request is received, the address information storage means is referred to and the address of the opposing device is referred to. Identify distribution, characterized by comprising an address information transmitting means for transmitting to the access point device the address information as a response to the acquisition request.

本発明は、ユーザ端末を通信ネットワークに接続するために、前記ユーザ端末の認証要求に自己のアドレス情報を含めてサーバ装置に対して送信する認証要求送信手段を備えるアクセスポイント装置と、アクセスポイント装置を前記通信ネットワークに接続するために、前記アクセスポイント装置のアドレス情報を受信するアドレス情報受信手段と、前記アクセスポイント装置のアドレス情報に基づき、前記アクセスポイントに対して秘匿通信路を確立する通信路確立手段とを備えるゲートウェイ装置と、サーバ装置とを含む通信システムにおける前記サーバ装置であって、前記ユーザ端末の認証時において、DHCPにより前記ゲートウェイ装置と連携する際に、前記アクセスポイント装置のアドレス情報を前記ゲートウェイに送信するアドレス情報送信手段を備えることを特徴とする。   The present invention relates to an access point device comprising an authentication request transmitting means for transmitting a user terminal including its own address information to a server device in order to connect the user terminal to a communication network, and an access point device For connecting to the communication network, an address information receiving means for receiving address information of the access point device, and a communication path for establishing a secret communication path for the access point based on the address information of the access point device An address information of the access point device when cooperating with the gateway device by DHCP at the time of authentication of the user terminal, the server device in a communication system including a gateway device comprising an establishing means and a server device Sent to the gateway Characterized in that it comprises the less information transmitting means.

本発明は、ユーザ端末を通信ネットワークに接続するために、前記ユーザ端末の認証要求に自己のアドレス情報を含めてサーバ装置に対して送信する認証要求送信手段を備えるアクセスポイント装置と、アクセスポイント装置を前記通信ネットワークに接続するゲートウェイ装置と、前記ユーザ端末の認証時において、DHCPにより前記ゲートウェイ装置と連携する際に、前記アクセスポイント装置のアドレス情報を前記ゲートウェイに送信するアドレス情報送信手段を備えるサーバ装置とを含む通信システムにおける前記ゲートウェイ装置であって、前記サーバ装置から前記アクセスポイント装置のアドレス情報を受信するアドレス情報受信手段と、前記アクセスポイント装置のアドレス情報に基づき、前記アクセスポイントに対して秘匿通信路を確立する通信路確立手段とを備えることを特徴とする。   The present invention relates to an access point device comprising an authentication request transmitting means for transmitting a user terminal including its own address information to a server device in order to connect the user terminal to a communication network, and an access point device And a gateway device that connects to the communication network and a server comprising address information transmitting means for transmitting address information of the access point device to the gateway when cooperating with the gateway device by DHCP at the time of authentication of the user terminal An address information receiving means for receiving address information of the access point device from the server device, and the access point based on the address information of the access point device. Secret Characterized in that it comprises a communication path establishment means for establishing a communication path.

本発明は、ユーザ端末を通信ネットワークに接続するアクセスポイント装置と、前記アクセスポイント装置が接続すべき前記対向装置のアドレス情報を記憶するアドレス情報記憶手段を備えるサーバ装置とを含む通信システムが行う通信方法であって、前記アクセスポイント装置が、対向装置のアドレス情報の取得要求を前記サーバ装置に対して送信する取得要求送信ステップと、前記サーバ装置が、前記アクセスポイント装置から前記対向装置のアドレス情報の取得要求を受信した際に、前記アドレス情報記憶手段を参照して、前記対向装置のアドレス情報を特定し、該アドレス情報を前記取得要求の応答として前記アクセスポイント装置に対して送信するアドレス情報送信ステップと、前記アクセスポイント装置が、前記取得要求に応じて、前記サーバ装置が送信した前記対向装置のアドレス情報と受信するアドレス情報受信ステップと、前記アクセスポイント装置が、前記対向装置のアドレス情報に基づき、前記対向装置に対して秘匿通信路を確立する通信路確立ステップとを有することを特徴とする。   The present invention provides communication performed by a communication system including an access point device that connects a user terminal to a communication network, and a server device that includes address information storage means for storing address information of the opposite device to which the access point device is to be connected. An acquisition request transmission step in which the access point apparatus transmits an acquisition request for address information of the opposing apparatus to the server apparatus, and the server apparatus transmits address information of the opposing apparatus from the access point apparatus. Address information for identifying the address information of the opposing device with reference to the address information storage means and transmitting the address information to the access point device as a response to the acquisition request when the acquisition request is received A transmission step, and the access point device responds to the acquisition request. , Address information receiving step of receiving and address information of the opposite device transmitted by the server device, and communication in which the access point device establishes a secret communication path to the opposite device based on the address information of the opposite device And a path establishing step.

本発明は、ユーザ端末を通信ネットワークに接続するアクセスポイント装置と、アクセスポイント装置を前記通信ネットワークに接続するゲートウェイ装置と、サーバ装置とを含む通信システムが行う通信方法であって、前記アクセスポイント装置が、前記ユーザ端末の認証要求に自己のアドレス情報を含めて前記サーバ装置に対して送信する認証要求送信ステップと、前記サーバ装置が、前記ユーザ端末の認証時において、DHCPにより前記ゲートウェイ装置と連携する際に、前記アクセスポイント装置のアドレス情報を前記ゲートウェイに送信するアドレス情報送信ステップと、前記ゲートウェイ装置が、前記サーバ装置から前記アクセスポイント装置のアドレス情報を受信するアドレス情報受信ステップと、前記ゲートウェイ装置が、前記アクセスポイント装置のアドレス情報に基づき、前記アクセスポイントに対して秘匿通信路を確立する通信路確立ステップとを有することを特徴とする。   The present invention is a communication method performed by a communication system including an access point device that connects a user terminal to a communication network, a gateway device that connects the access point device to the communication network, and a server device, the access point device An authentication request transmission step of transmitting the authentication request of the user terminal including its own address information to the server device, and the server device cooperates with the gateway device by DHCP at the time of authentication of the user terminal. An address information transmitting step of transmitting address information of the access point device to the gateway, an address information receiving step of receiving the address information of the access point device from the server device, and the gateway Equipment Based on said address information of the access point device, and having a communication path establishment step of establishing a secret communication channel to the access point.

本発明によれば、対向する装置のアドレスを取得することにより、セキュアな通信路を確立することができるため、ゲストユーザが公衆無線LANを利用する際、AP所有者による通信傍受の心配なくセキュアな通信が可能になるという効果が得られる。   According to the present invention, a secure communication path can be established by acquiring the address of the opposite device, so that when a guest user uses a public wireless LAN, there is no worry of communication interception by the AP owner. The effect that it becomes possible to communicate.

本発明の一実施形態の構成を示すブロック図である。It is a block diagram which shows the structure of one Embodiment of this invention. 図1に示す通信システムの詳細な構成を示すブロック図である。It is a block diagram which shows the detailed structure of the communication system shown in FIG. 第1の方法によるアドレス取得方法を示す説明図である。It is explanatory drawing which shows the address acquisition method by a 1st method. 図1、2に示す通信システムの動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the communication system shown in FIG. 図2に示すAP1の処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of AP1 shown in FIG. 図2に示す認証サーバ4の処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of the authentication server 4 shown in FIG. 第2の方法によるアドレス取得方法を示す説明図である。It is explanatory drawing which shows the address acquisition method by a 2nd method. 第3の方法によるアドレス取得方法を示す説明図である。It is explanatory drawing which shows the address acquisition method by a 3rd method. 第4の方法によるアドレス取得方法を示す説明図である。It is explanatory drawing which shows the address acquisition method by the 4th method. 図1、2に示す通信システムの動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the communication system shown in FIG. 図2に示すAP1の処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of AP1 shown in FIG. 図2に示す接続先情報サーバ5の処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of the connecting point information server 5 shown in FIG. 第5の方法によるアドレス取得方法を示す説明図である。It is explanatory drawing which shows the address acquisition method by the 5th method. 図1、2に示す通信システムの動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the communication system shown in FIG. 図2に示すAP1の処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of AP1 shown in FIG. 図2に示す認証サーバ4の処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of the authentication server 4 shown in FIG. 図2に示すWi−Fi GW6の処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of Wi-Fi GW6 shown in FIG. 公衆無線LANの利用形態の一例を示す図である。It is a figure which shows an example of the utilization form of public wireless LAN. APとWi−Fi GWとの間にセキュアな通信路を確立する場合のネットワーク構成を示す図である。It is a figure which shows the network structure in the case of establishing a secure communication path between AP and Wi-Fi GW. APとWi−Fi GWとの間にセキュアな通信路を確立する場合のネットワーク構成を示す図である。It is a figure which shows the network structure in the case of establishing a secure communication path between AP and Wi-Fi GW.

以下、図面を参照して、本発明の一実施形態による通信システムを説明する。図1は同実施形態の構成を示すブロック図である。この図において、符号1は、セキュアな通信路を確立する際の一方の終端となるAPである。符号2は、Wi−Fiを使用した無線LANを介してAP1との間で通信を行うユーザ端末である。符号3は、AP1が接続されるネットワークである。   Hereinafter, a communication system according to an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing the configuration of the embodiment. In this figure, reference numeral 1 denotes an AP serving as one end when establishing a secure communication path. Reference numeral 2 denotes a user terminal that performs communication with the AP 1 via a wireless LAN using Wi-Fi. Reference numeral 3 denotes a network to which AP1 is connected.

符号4は、ネットワーク3内に接続され、ユーザ端末2の認証を行う認証サーバである。符号5は、ネットワーク3内に接続され、ユーザ端末2に対して接続先情報を提供する接続先情報サーバである。符号6は、ネットワーク3に接続され、セキュアな通信路を確立する際の他方の終端となるWi−Fi GWである。符号7は、ユーザ端末2を接続すべき接続先であるISP(Internet Services Provider )である。ユーザ端末2は、ISP7を介して、インターネットに接続されることになる。   Reference numeral 4 denotes an authentication server that is connected to the network 3 and authenticates the user terminal 2. Reference numeral 5 denotes a connection destination information server that is connected in the network 3 and provides connection destination information to the user terminal 2. Reference numeral 6 denotes a Wi-Fi GW that is connected to the network 3 and serves as the other end when establishing a secure communication path. Reference numeral 7 denotes an ISP (Internet Services Provider) which is a connection destination to which the user terminal 2 is connected. The user terminal 2 is connected to the Internet via the ISP 7.

次に、図2を参照して、図1に示す通信システムの詳細な構成を説明する。図2は、図1に示す通信システムの詳細な構成を示すブロック図である。この図において、接続先情報サーバ5は、認証サーバ4内に構築されているものとする。ここでは、AP1、認証サーバ4及びWi−Fi GW6の詳細な構成を説明する。図2において、符号11は、セキュアな通信路を確立するセキュリティ機能部であり、IPsecの終端処理を行うIPsec終端機能部111を備えている。   Next, the detailed configuration of the communication system shown in FIG. 1 will be described with reference to FIG. FIG. 2 is a block diagram showing a detailed configuration of the communication system shown in FIG. In this figure, it is assumed that the connection destination information server 5 is built in the authentication server 4. Here, detailed configurations of the AP 1, the authentication server 4, and the Wi-Fi GW 6 will be described. In FIG. 2, reference numeral 11 denotes a security function unit that establishes a secure communication path, and includes an IPsec termination function unit 111 that performs IPsec termination processing.

符号12は、認証サーバに問い合わせることにより行うユーザ端末2の認証をRadius機能部である。符号121は、ユーザ端末2の認証を行う認証機能部である。符号122は、接続先情報サーバ5から接続先情報を取得する接続先情報取得機能部である。符号123は、ユーザ端末2の認証結果の情報を記憶する認証結果データベース(DB)である。符号13は、Wi−Fi GW6または認証サーバ4との間を接続するWAN IF(インタフェース)である。符号14は、ユーザ端末2との間を接続するWLAN IF(インタフェース)である。   Reference numeral 12 denotes a Radius function unit that authenticates the user terminal 2 by making an inquiry to the authentication server. Reference numeral 121 denotes an authentication function unit that authenticates the user terminal 2. Reference numeral 122 denotes a connection destination information acquisition function unit that acquires connection destination information from the connection destination information server 5. Reference numeral 123 denotes an authentication result database (DB) that stores information on the authentication result of the user terminal 2. Reference numeral 13 denotes a WAN IF (interface) that connects the Wi-Fi GW 6 or the authentication server 4. Reference numeral 14 denotes a WLAN IF (interface) that connects the user terminal 2.

符号41は、接続先URI(Uniform Resource Identifier)を記憶する接続先URIデータベース(DB)である。符号42は、AP1との間を接続するWAN IF(インタフェース)である。符号61は、セキュアな通信路を確立するセキュリティ機能部であり、IPsecの終端処理を行うIPsec終端機能部611を備えている。符号62は、ISP7との間を接続するWAN IF(インタフェース)である。符号63は、AP1との間を接続するWAN IF(インタフェース)である。   Reference numeral 41 denotes a connection destination URI database (DB) that stores a connection destination URI (Uniform Resource Identifier). Reference numeral 42 denotes a WAN IF (interface) for connecting to the AP1. Reference numeral 61 denotes a security function unit that establishes a secure communication path, and includes an IPsec termination function unit 611 that performs IPsec termination processing. Reference numeral 62 denotes a WAN IF (interface) that connects the ISP 7. Reference numeral 63 denotes a WAN IF (interface) for connecting to the AP1.

なお、IPsec終端機能部611は、別装置で接続されていてもよい。また、接続先情報サーバ5は認証サーバ4とは別に設置されてもよい。   Note that the IPsec termination function unit 611 may be connected by a separate device. Further, the connection destination information server 5 may be installed separately from the authentication server 4.

<第1の方法>
次に、第1の方法によるアドレス取得方法を説明する。図3は、第1の方法によるアドレス取得方法を示す説明図である。第1の方法は、認証結果通知に使用する“Radius Access Accept”に着目し、認証サーバ4がAP1に返す認証結果の情報にWi−Fi GW6の終端アドレスを付与することで、AP1の対向装置であるWi−Fi GW6のIPアドレスをAP1に通知する。認証サーバ4は、認証結果のRadiusパケットのアトリビュートにWi−Fi GW6のアドレス情報を付与することで、AP1がIPsecによってセキュアな通信路を確立する際に接続先となるアドレスを知ることが可能となる。 <First method>
Next, an address acquisition method according to the first method will be described. FIG. 3 is an explanatory diagram showing an address acquisition method according to the first method. The first method pays attention to “Radius Access Accept” used for authentication result notification, and assigns the end address of Wi-Fi GW 6 to the authentication result information returned from authentication server 4 to AP 1, thereby opposing device of AP 1. The IP address of Wi-Fi GW6 is notified to AP1. The authentication server 4 can add the address information of the Wi-Fi GW 6 to the attribute of the Radius packet of the authentication result, so that the AP 1 can know the address that becomes the connection destination when establishing a secure communication path by IPsec. Become.

図3に示す下図は、Radius Access Acceptの書式を示す図である。タグが「1」である情報は、Wi−Fi GW6を接続するための情報であり、トンネル先アドレスの通知、トンネルタイプの指定、転送プロトコル指定、複数トンネル情報の優先度の情報からなる。タグが「2」である情報は、IPsecの終端アドレスの情報であり、同様に、トンネル先アドレスの通知、トンネルタイプの指定、転送プロトコル指定、複数トンネル情報の優先度の情報からなる。AP1は、タグが「2」である情報からIPsecの終端アドレスを取得して、IPsecによるセキュアな通信路を確立する。   The lower diagram shown in FIG. 3 is a diagram showing the format of the Radius Access Accept. Information whose tag is “1” is information for connecting the Wi-Fi GW 6 and includes notification of a tunnel destination address, designation of a tunnel type, designation of a transfer protocol, and priority information of multiple tunnel information. Information whose tag is “2” is information on the end address of IPsec, and similarly includes notification of a tunnel destination address, designation of a tunnel type, designation of a transfer protocol, and priority information of multiple tunnel information. AP1 acquires the IPsec end address from the information whose tag is “2”, and establishes a secure communication path by IPsec.

次に、図4を参照して、図1、2に示す通信システムの動作を説明する。図4は、図1、2に示す通信システムの動作を示すシーケンス図である。まず、ユーザ端末2がAP1に帰属する(ステップS1)と、ユーザ端末2は、AP1に対して、ユーザ認証を要求する(ステップS2)。これを受けて、認証機能部121は、認証サーバ4に対して、Radius Access Request(認証要求)を送信する(ステップS3)。この認証要求には、ユーザ端末のID、パスワード、MACアドレスが含まれる。   Next, the operation of the communication system shown in FIGS. 1 and 2 will be described with reference to FIG. FIG. 4 is a sequence diagram showing an operation of the communication system shown in FIGS. First, when the user terminal 2 belongs to AP1 (step S1), the user terminal 2 requests user authentication from the AP1 (step S2). In response to this, the authentication function unit 121 transmits a Radius Access Request (authentication request) to the authentication server 4 (step S3). This authentication request includes the user terminal ID, password, and MAC address.

次に、認証サーバ4は、ユーザ端末2の認証を行い、その結果をRadius Access Accept (認証結果)としてAP1へ返す(ステップS4)。この認証結果には、前述したように、終端アドレスが含まれている。この認証結果を受信することにより、AP1は、IPsecによる通信路確立のための終端アドレスを取得することができる。続いて、AP1と認証サーバ4は、Radius Accounting Request(START)/Responseのやり取りを行う(ステップS5)。   Next, the authentication server 4 authenticates the user terminal 2 and returns the result to the AP 1 as a Radius Access Accept (authentication result) (step S4). As described above, the authentication result includes the end address. By receiving this authentication result, AP1 can acquire a termination address for establishing a communication path by IPsec. Subsequently, the AP 1 and the authentication server 4 exchange Radius Accounting Request (START) / Response (step S5).

次に、AP1は、Wi−Fi GW6との間に以下の処理動作(ステップS6〜S18)によってIPsecによる通信路を確立する。このとき、取得した終端アドレスを使用して、IPsecによる通信路の確立を行う。IPsecによる通信路を確立する動作は、公知の動作であるため、ここでは、簡単に説明する。まず、IPsec終端機能部111は、ISAKMP−SA提案を送信する(ステップS6)。これを受けて、IPsec終端機能部611は、ISAKMP−SA選択を返す(ステップS7)。   Next, the AP 1 establishes a communication path by IPsec with the Wi-Fi GW 6 by the following processing operation (steps S6 to S18). At this time, a communication path is established by IPsec using the acquired termination address. Since the operation for establishing a communication path by IPsec is a known operation, it will be briefly described here. First, the IPsec termination function unit 111 transmits an ISAKMP-SA proposal (step S6). In response to this, the IPsec termination function unit 611 returns ISAKMP-SA selection (step S7).

次に、IPsec終端機能部111は、鍵情報交換を行う(ステップS8)。また、IPsec終端機能部611は、鍵情報交換を行う(ステップS9)。続いて、IPsec終端機能部111は、ID/認証情報通知を行う(ステップS10)。また、IPsec終端機能部611は、ID/認証情報通知を行う(ステップS11)。   Next, the IPsec termination function unit 111 performs key information exchange (step S8). The IPsec termination function unit 611 exchanges key information (step S9). Subsequently, the IPsec termination function unit 111 performs ID / authentication information notification (step S10). In addition, the IPsec termination function unit 611 performs ID / authentication information notification (step S11).

次に、IPsec終端機能部111は、NOTIFICATION(Initial−contact)を送信する(ステップS12)。また、IPsec終端機能部611は、NOTIFICATION(Initial−contact)を送信する(ステップS13)。続いて、IPsec終端機能部111は、IP−sec SAの提案、SPI値通知、IDデータ通知及び認証情報通知を行う(ステップS14)。また、IPsec終端機能部611は、IP−sec SAの提案、SPI値通知、IDデータ通知及び認証情報通知を行う(ステップS15)。   Next, the IPsec termination function unit 111 transmits NOTIFICATION (Initial-contact) (step S12). Also, the IPsec termination function unit 611 transmits NOTIFICATION (Initial-contact) (step S13). Subsequently, the IPsec termination function unit 111 performs IP-sec SA proposal, SPI value notification, ID data notification, and authentication information notification (step S14). Further, the IPsec termination function unit 611 performs IP-sec SA proposal, SPI value notification, ID data notification, and authentication information notification (step S15).

次に、IPsec終端機能部111は、秘密鍵生成を行う(ステップS16)。また、IPsec終端機能部611は、秘密鍵生成を行う(ステップS17)。そして、IPsec終端機能部111とIPsec終端機能部611は、IKE(認証情報の通知)を行う(ステップS18)。この処理動作によって、AP1とWi−Fi GW6との間にIPsecによる通信路が確立したことになる。そして、AP1とWi−Fi GW6は、暗号化されたデータ通信を開始する(ステップS19)。   Next, the IPsec termination function unit 111 performs secret key generation (step S16). Also, the IPsec termination function unit 611 generates a secret key (step S17). Then, the IPsec termination function unit 111 and the IPsec termination function unit 611 perform IKE (notification of authentication information) (step S18). With this processing operation, a communication path by IPsec is established between AP1 and Wi-Fi GW6. And AP1 and Wi-Fi GW6 start the encrypted data communication (step S19).

次に、図5、図6に示すフローチャートを参照して、図1、2に示す通信システムの動作を説明する。図5は、図2に示すAP1の処理動作を示すフローチャートである。図6は、図2に示す認証サーバ4の処理動作を示すフローチャートである。まず、ユーザ端末2がAP1に帰属する(ステップS21)と、AP1は、認証を開始する(ステップS22)。そして、AP1は、認証要求を認証サーバ4に送信する。   Next, operations of the communication system shown in FIGS. 1 and 2 will be described with reference to flowcharts shown in FIGS. FIG. 5 is a flowchart showing the processing operation of AP1 shown in FIG. FIG. 6 is a flowchart showing the processing operation of the authentication server 4 shown in FIG. First, when the user terminal 2 belongs to AP1 (step S21), AP1 starts authentication (step S22). Then, the AP 1 transmits an authentication request to the authentication server 4.

これを受けて、認証サーバ4は、AP1からの認証要求を受信する(ステップS31)。認証サーバ4は、認証確認を行い(ステップS32)、確認OKであれば、接続先URI DB41からAP1が接続するアドレスを判定する(ステップS33)。そして、認証サーバ4は、接続先アドレスを付与し、認証結果をAP1に返す(ステップS34)。一方、認証確認に結果が、確認NGであれば、接続先アドレスを付与せず認証結果(失敗)をAP1に返す(ステップS35)。   In response to this, the authentication server 4 receives an authentication request from the AP 1 (step S31). The authentication server 4 performs authentication confirmation (step S32). If the confirmation is OK, the authentication server 4 determines an address to which the AP 1 is connected from the connection destination URI DB 41 (step S33). Then, the authentication server 4 gives a connection destination address and returns an authentication result to the AP 1 (step S34). On the other hand, if the result of the authentication confirmation is confirmation NG, the connection destination address is not given and the authentication result (failure) is returned to AP1 (step S35).

次に、AP1は、認証サーバ4から認証結果を受信する(ステップS24)。そして、AP1は、認証結果を確認し(ステップS25)、OKであれば、対象アドレスにIPsec未確立かを判定する(ステップS26)。未確立であれば、AP1は、IPsecを確立する(ステップS27)。一方、確立済である場合は、ステップS27の処理をスキップする。   Next, AP1 receives the authentication result from the authentication server 4 (step S24). And AP1 confirms an authentication result (step S25), and if it is OK, it will be determined whether IPsec is not established in a target address (step S26). If not established, AP1 establishes IPsec (step S27). On the other hand, if it has been established, the process of step S27 is skipped.

次に、AP1は、ユーザ端末2に対して、DHCP(Dynamic Host Configuration Protocol)払い出しを行う(ステップS28)。そして、AP1は、データ通信を開始する(ステップS29)。一方、認証結果が、NGの場合は、認証に失敗する(ステップS30)。   Next, AP1 pays out DHCP (Dynamic Host Configuration Protocol) to the user terminal 2 (step S28). And AP1 starts data communication (step S29). On the other hand, if the authentication result is NG, the authentication fails (step S30).

このように、認証結果の中に終端アドレスを含めるようにしたため、セキュアな通信路を確立する場合に、通信路の両端の装置において、対向する装置のIPアドレスを確実に取得することができる。   As described above, since the end address is included in the authentication result, when establishing a secure communication path, the devices at both ends of the communication path can reliably acquire the IP addresses of the opposing apparatuses.

<第2の方法>
次に、第2の方法によるアドレス取得方法を説明する。図7は、第2の方法によるアドレス取得方法を示す説明図である。第2の方法は、第1の方法と同様に、認証結果通知に使用する“Radius Access Accept”に着目し、認証結果にWi−Fi GW6の終端アドレスを付与することでAP1に通知する。ただし、第1の方法と異なり、任意の項目を設定できる“Ex−User−Prefix”のアトリビュート内に、アドレス情報を付与することで、AP1がIPsecの接続先となる終端アドレスを知ることが可能となる。 <Second method>
Next, an address acquisition method according to the second method will be described. FIG. 7 is an explanatory diagram showing an address acquisition method according to the second method. Similar to the first method, the second method pays attention to “Radius Access Accept” used for the authentication result notification, and notifies the AP 1 by giving the end address of the Wi-Fi GW 6 to the authentication result. However, unlike the first method, AP1 can know the end address that is the connection destination of IPsec by adding address information in the attribute of “Ex-User-Prefix” that can set any item. It becomes.

図7に示す下図は、Radius Access Acceptの書式を示す図である。第2の方法では、Vender Specific(26)を使用して、IPsecの終端アドレスを通知する。AP1は、この情報からIPsecの終端アドレスを取得して、IPsecによるセキュアな通信路を確立する。   The lower diagram shown in FIG. 7 is a diagram showing the format of the Radius Access Accept. In the second method, the end address of IPsec is notified using Vender Specific (26). AP1 acquires the IPsec end address from this information, and establishes a secure communication path by IPsec.

第2の方法は、第1の方法と比べ、タグを使用しないため、アトリビュート数を削減でき、処理を軽減することができる。   Compared to the first method, the second method does not use a tag, so the number of attributes can be reduced and processing can be reduced.

なお、第2の方法を用いた場合の処理動作は、図4〜図6に示す処理動作(第1の方法を用いた場合の処理動作)と同様であるため、ここでは詳細な説明を省略する。   The processing operation when the second method is used is the same as the processing operation shown in FIGS. 4 to 6 (processing operation when the first method is used), and thus detailed description thereof is omitted here. To do.

<第3の方法>
次に、第3の方法によるアドレス取得方法を説明する。図8は、第3の方法によるアドレス取得方法を示す説明図である。第3の方法は、第1、第2の方法と同様に、認証結果通知に使用する“Radius Access Accept”に着目し、認証結果にWi−Fi GW6の終端アドレスを付与することでAP1に通知する。ただし、第1の方法と異なり、任意の項目を設定できる“Ex−User−Prefix”のアトリビュート内に、アドレス情報を付与することで、APがIPsecの接続先となるアドレスを知ることが可能となる。 <Third method>
Next, an address acquisition method according to the third method will be described. FIG. 8 is an explanatory diagram showing an address acquisition method according to the third method. As in the first and second methods, the third method pays attention to “Radius Access Accept” used for notification of the authentication result, and notifies the AP 1 by giving the end address of the Wi-Fi GW 6 to the authentication result. To do. However, unlike the first method, by adding address information in the attribute of “Ex-User-Prefix” in which an arbitrary item can be set, it is possible for the AP to know the address to which the IPsec is connected. Become.

第3の方法は、図8の下図に示すように、Vender Specific(26)のみを使用して、トンネル接続先及びIPsecの終端アドレスの双方を通知する。   In the third method, as shown in the lower diagram of FIG. 8, only the Vender Specific (26) is used to notify both the tunnel connection destination and the IPsec end address.

第3の方法は、第1、第2の方法と比べ、タグを使用しないため、アトリビュート数を削減でき、処理を軽減することができる。   Compared to the first and second methods, the third method does not use a tag, so the number of attributes can be reduced and processing can be reduced.

なお、第3の方法を用いた場合の処理動作は、図4〜図6に示す処理動作(第1の方法を用いた場合の処理動作)と同様であるため、ここでは詳細な説明を省略する。   The processing operation when the third method is used is the same as the processing operation shown in FIGS. 4 to 6 (processing operation when the first method is used), and thus detailed description thereof is omitted here. To do.

<第4の方法>
次に、第4の方法によるアドレス取得方法を説明する。図9は、第4の方法によるアドレス取得方法を示す説明図である。第4の方法は、第1〜第3の方法とは異なり、認証時ではなく、接続先情報サーバ5が予めIPsec終端アドレスをAP1に通知しておく。第4の方法では、起動時等のタイミングであらかじめ接続先情報サーバ5がRadiusパケットを使ってIPsec終端アドレスを通知しておく。 <Fourth method>
Next, an address acquisition method according to the fourth method will be described. FIG. 9 is an explanatory diagram showing an address acquisition method according to the fourth method. Unlike the first to third methods, the fourth method is not at the time of authentication, but the connection destination information server 5 notifies the AP 1 of the IPsec end address in advance. In the fourth method, the connection destination information server 5 notifies the IPsec end address in advance using a Radius packet at a timing such as startup.

第4の方法は、図9の下図に示すように、Vender Specific(26)のみを使用して、IPsecの終端アドレスを通知する。   In the fourth method, as shown in the lower diagram of FIG. 9, only the Vender Specific (26) is used to notify the end address of IPsec.

次に、図10を参照して、図1、2に示す通信システムが第4の方法を用いて終端アドレスの取得を行う動作を説明する。図10は、図1、2に示す通信システムの動作を示すシーケンス図である。この図において、図4に示す動作と同一の部分には同一の符号を付し、その説明を簡単に行う。この図に示す動作が図4に示す動作と異なる点は、ステップS41、S42の処理動作が追加されている点である。   Next, with reference to FIG. 10, an operation in which the communication system shown in FIGS. 1 and 2 acquires a termination address using the fourth method will be described. FIG. 10 is a sequence diagram showing an operation of the communication system shown in FIGS. In this figure, the same parts as those shown in FIG. The operation shown in this figure is different from the operation shown in FIG. 4 in that processing operations in steps S41 and S42 are added.

まず、接続先情報取得機能部122は、接続先情報サーバ5に対して、接続先情報要求(Radius Access Request(IPsec接続先情報取得))を送信する(ステップS41)。これを受けて、接続先情報サーバ5は、接続先URI DB41から接続先アドレスを読み出し、この接続先アドレスを含む返答(Radius Access Accept(接続先情報返答))をAP1へ返す(ステップS42)。この動作によって、終端アドレスを取得することができる。   First, the connection destination information acquisition function unit 122 transmits a connection destination information request (Radius Access Request (IPsec connection destination information acquisition)) to the connection destination information server 5 (step S41). In response to this, the connection destination information server 5 reads the connection destination address from the connection destination URI DB 41, and returns a response including this connection destination address (Radius Access Accept (connection destination information response)) to the AP 1 (step S42). With this operation, the end address can be acquired.

次に、ユーザ端末2がAP1に帰属する(ステップS1)と、ユーザ端末2は、AP1に対して、ユーザ認証を要求する(ステップS2)。これを受けて、認証機能部121は、認証サーバ4に対して、Radius Access Request(認証要求)を送信する(ステップS3)。この認証要求には、ユーザ端末のID、パスワード、MACアドレスが含まれる。   Next, when the user terminal 2 belongs to AP1 (step S1), the user terminal 2 requests user authentication from the AP1 (step S2). In response to this, the authentication function unit 121 transmits a Radius Access Request (authentication request) to the authentication server 4 (step S3). This authentication request includes the user terminal ID, password, and MAC address.

次に、認証サーバ4は、ユーザ端末2の認証を行い、その結果をRadius Access Accept (認証結果)としてAP1へ返す(ステップS4)。この認証結果には、前述したように、終端アドレスが含まれている。この認証結果を受信することにより、AP1は、IPsecによる通信路確立のための終端アドレスを取得することができる。続いて、AP1と認証サーバ4は、Radius Accounting Request(START)/Responseのやり取りを行う(ステップS5)。   Next, the authentication server 4 authenticates the user terminal 2 and returns the result to the AP 1 as a Radius Access Accept (authentication result) (step S4). As described above, the authentication result includes the end address. By receiving this authentication result, AP1 can acquire a termination address for establishing a communication path by IPsec. Subsequently, the AP 1 and the authentication server 4 exchange Radius Accounting Request (START) / Response (step S5).

次に、AP1は、Wi−Fi GW6との間に以下の処理動作(ステップS6〜S18)によってIPsecによる通信路を確立する。このとき、取得した終端アドレスを使用して、IPsecによる通信路の確立を行う。IPsecによる通信路を確立する動作は、公知の動作であるため、ここでは、簡単に説明する。まず、IPsec終端機能部111は、ISAKMP−SA提案を送信する(ステップS6)。これを受けて、IPsec終端機能部611は、ISAKMP−SA選択を返す(ステップS7)。   Next, the AP 1 establishes a communication path by IPsec with the Wi-Fi GW 6 by the following processing operation (steps S6 to S18). At this time, a communication path is established by IPsec using the acquired termination address. Since the operation for establishing a communication path by IPsec is a known operation, it will be briefly described here. First, the IPsec termination function unit 111 transmits an ISAKMP-SA proposal (step S6). In response to this, the IPsec termination function unit 611 returns ISAKMP-SA selection (step S7).

次に、IPsec終端機能部111は、鍵情報交換を行う(ステップS8)。また、IPsec終端機能部611は、鍵情報交換を行う(ステップS9)。続いて、IPsec終端機能部111は、ID/認証情報通知を行う(ステップS10)。また、IPsec終端機能部611は、ID/認証情報通知を行う(ステップS11)。   Next, the IPsec termination function unit 111 performs key information exchange (step S8). The IPsec termination function unit 611 exchanges key information (step S9). Subsequently, the IPsec termination function unit 111 performs ID / authentication information notification (step S10). In addition, the IPsec termination function unit 611 performs ID / authentication information notification (step S11).

次に、IPsec終端機能部111は、NOTIFICATION(Initial−contact)を送信する(ステップS12)。また、IPsec終端機能部611は、NOTIFICATION(Initial−contact)を送信する(ステップS13)。続いて、IPsec終端機能部111は、IP−sec SAの提案、SPI値通知、IDデータ通知及び認証情報通知を行う(ステップS14)。また、IPsec終端機能部611は、IP−sec SAの提案、SPI値通知、IDデータ通知及び認証情報通知を行う(ステップS15)。   Next, the IPsec termination function unit 111 transmits NOTIFICATION (Initial-contact) (step S12). Also, the IPsec termination function unit 611 transmits NOTIFICATION (Initial-contact) (step S13). Subsequently, the IPsec termination function unit 111 performs IP-sec SA proposal, SPI value notification, ID data notification, and authentication information notification (step S14). Further, the IPsec termination function unit 611 performs IP-sec SA proposal, SPI value notification, ID data notification, and authentication information notification (step S15).

次に、IPsec終端機能部111は、秘密鍵生成を行う(ステップS16)。また、IPsec終端機能部611は、秘密鍵生成を行う(ステップS17)。そして、IPsec終端機能部111とIPsec終端機能部611は、IKE(認証情報の通知)を行う(ステップS18)。この処理動作によって、AP1とWi−Fi GW6との間にIPsecによる通信路が確立したことになる。そして、AP1とWi−Fi GW6は、暗号化されたデータ通信を開始する(ステップS19)。   Next, the IPsec termination function unit 111 performs secret key generation (step S16). Also, the IPsec termination function unit 611 generates a secret key (step S17). Then, the IPsec termination function unit 111 and the IPsec termination function unit 611 perform IKE (notification of authentication information) (step S18). With this processing operation, a communication path by IPsec is established between AP1 and Wi-Fi GW6. And AP1 and Wi-Fi GW6 start the encrypted data communication (step S19).

次に、図11、図12に示すフローチャートを参照して、図1、2に示す通信システムが第4の方法を用いて終端アドレスを取得する動作を説明する。図11は、図2に示すAP1の処理動作を示すフローチャートである。図12は、図2に示す接続先情報サーバ5の処理動作を示すフローチャートである。まず、AP1は、接続契機のタイミング(ステップS51)において、接続先情報要求を接続先情報サーバ5に対して送信する(ステップS52)。接続契機タイミングは、AP起動時や、1日1回のタイミングなど、何らかの接続契機を指定可能である。   Next, the operation of the communication system shown in FIGS. 1 and 2 for obtaining the end address using the fourth method will be described with reference to the flowcharts shown in FIGS. FIG. 11 is a flowchart showing the processing operation of AP1 shown in FIG. FIG. 12 is a flowchart showing the processing operation of the connection destination information server 5 shown in FIG. First, AP1 transmits a connection destination information request to the connection destination information server 5 at a connection trigger timing (step S51) (step S52). The connection trigger timing can specify any connection trigger such as when the AP is activated or once a day.

これを受けて、接続先情報サーバ5は、AP1から接続先要求を受信する(ステップS71)。続いて、接続先情報サーバ5は、接続先URI DB41からAP1が接続するアドレスを判定する(ステップS72)。そして、接続先情報サーバ5は、接続先アドレスを付与して、要求に対する返答をAP1に返す(ステップS73)。これを受けて、AP1は、接続先情報サーバ5からアドレス情報を受信する(ステップS53)。   Receiving this, the connection destination information server 5 receives a connection destination request from AP1 (step S71). Subsequently, the connection destination information server 5 determines an address to which the AP 1 is connected from the connection destination URI DB 41 (step S72). Then, the connection destination information server 5 assigns a connection destination address and returns a response to the request to the AP 1 (step S73). In response, AP1 receives address information from the connection destination information server 5 (step S53).

次に、ユーザ端末2がAP1に帰属する(ステップS54)と、AP1は、認証要求を認証サーバ4に送信する(ステップS55)。ここでの認証サーバ4の処理動作は、図6に示す処理動作と同様である。そして、AP1は、認証サーバ4から認証結果を受信する(ステップS56)。そして、AP1は、認証結果を確認し(ステップS57)、OKであれば、対象アドレスにIPsec未確立かを判定する(ステップS58)。未確立であれば、AP1は、IPsecを確立する(ステップS59)。一方、確立済である場合は、ステップS27の処理をスキップする。   Next, when the user terminal 2 belongs to AP1 (step S54), AP1 transmits an authentication request to the authentication server 4 (step S55). The processing operation of the authentication server 4 here is the same as the processing operation shown in FIG. And AP1 receives an authentication result from the authentication server 4 (step S56). And AP1 confirms an authentication result (step S57), and if it is OK, it will be determined whether IPsec is not established in a target address (step S58). If not established, AP1 establishes IPsec (step S59). On the other hand, if it has been established, the process of step S27 is skipped.

次に、AP1は、ユーザ端末2に対して、DHCP(Dynamic Host Configuration Protocol)払い出しを行う(ステップS60)。そして、AP1は、データ通信を開始する(ステップS61)。一方、認証結果が、NGの場合は、認証に失敗する(ステップS62)。   Next, AP1 issues a Dynamic Host Configuration Protocol (DHCP) to the user terminal 2 (step S60). And AP1 starts data communication (step S61). On the other hand, if the authentication result is NG, the authentication fails (step S62).

このように、予めアドレスを取得しておくようにしたため、認証の度にアドレスを送信する必要がなくなり、処理の負荷を低減することができる。   As described above, since the address is acquired in advance, it is not necessary to transmit the address every time authentication is performed, and the processing load can be reduced.

<第5の方法>
次に、第5の方法によるアドレス取得方法を説明する。図13は、第5の方法によるアドレス取得方法を示す説明図である。第5の方法は、Wi−Fi GW6がAP1のアドレスを取得する方法である。第5の方法では、DHCPによる認証サーバ4との連携時に、接続先であるAP1のアドレスをWi−Fi GW6に通知する。ユーザ認証に使用するRadiusアクセス要求のパラメータに着目し、AP1のIPアドレスを通知した際に、認証サーバ4は付与したWi−Fi GW6に対して、AP1のIPアドレスを通知する。 <Fifth method>
Next, an address acquisition method according to the fifth method will be described. FIG. 13 is an explanatory diagram showing an address acquisition method according to the fifth method. The fifth method is a method in which the Wi-Fi GW 6 acquires the address of the AP1. In the fifth method, at the time of cooperation with the authentication server 4 by DHCP, the address of the AP 1 that is the connection destination is notified to the Wi-Fi GW 6. Paying attention to the parameter of the Radius access request used for user authentication, when notifying the IP address of AP1, the authentication server 4 notifies the assigned Wi-Fi GW 6 of the IP address of AP1.

第5の方法は、図13の下図に示すように、AP1は、NAS−IPv6−Address(95)を使用して、自己のIPアドレス(IPsecの終端アドレス)を認証サーバ4に通知する。   In the fifth method, as shown in the lower diagram of FIG. 13, the AP 1 notifies the authentication server 4 of its own IP address (IPsec end address) using NAS-IPv6-Address (95).

これにより、Wi−Fi GW6はAP1のIPsec終端アドレスを知ることが可能となる。   Thereby, the Wi-Fi GW 6 can know the IPsec end address of AP1.

次に、図14を参照して、図1、2に示す通信システムの動作を説明する。図14は、図1、2に示す通信システムの動作を示すシーケンス図である。この図において、図4に示す動作と同一の部分には同一の符号を付し、その説明を簡単に行う。この図に示す動作が図4に示す動作と異なる点は、ステップS81、S82の処理動作が追加されている点である。   Next, the operation of the communication system shown in FIGS. 1 and 2 will be described with reference to FIG. FIG. 14 is a sequence diagram showing an operation of the communication system shown in FIGS. In this figure, the same parts as those shown in FIG. The operation shown in this figure is different from the operation shown in FIG. 4 in that processing operations in steps S81 and S82 are added.

まず、ユーザ端末2がAP1に帰属する(ステップS1)と、ユーザ端末2は、AP1に対して、ユーザ認証を要求する(ステップS2)。これを受けて、認証機能部121は、認証サーバ4に対して、Radius Access Request(認証要求)を送信する(ステップS3)。この認証要求には、ユーザ端末のID、パスワード、MACアドレス、AP1のIPアドレスが含まれる。   First, when the user terminal 2 belongs to AP1 (step S1), the user terminal 2 requests user authentication from the AP1 (step S2). In response to this, the authentication function unit 121 transmits a Radius Access Request (authentication request) to the authentication server 4 (step S3). This authentication request includes the user terminal ID, password, MAC address, and AP1 IP address.

次に、認証サーバ4は、ユーザ端末2の認証を行い、その結果をRadius Access Accept (認証結果)としてAP1へ返す(ステップS4)。続いて、AP1と認証サーバ4は、Radius Accounting Request(START)/Responseのやり取りを行う(ステップS5)。   Next, the authentication server 4 authenticates the user terminal 2 and returns the result to the AP 1 as a Radius Access Accept (authentication result) (step S4). Subsequently, the AP 1 and the authentication server 4 exchange Radius Accounting Request (START) / Response (step S5).

次に、AP1は、Wi−Fi GW6に対してDHCP要求を送信する(ステップS81)。このとき、認証サーバ4は、Wi−Fi GW6に対して、AP1のIPアドレス情報を通知する(ステップS82)。この動作によって、Wi−Fi GW6は、AP1のIPアドレスを取得することができる。   Next, AP1 transmits a DHCP request to Wi-Fi GW6 (step S81). At this time, the authentication server 4 notifies the Wi-Fi GW 6 of the IP address information of AP1 (step S82). With this operation, the Wi-Fi GW 6 can acquire the IP address of the AP 1.

次に、AP1は、Wi−Fi GW6との間に以下の処理動作(ステップS6〜S18)によってIPsecによる通信路を確立する。このとき、取得した終端アドレスを使用して、IPsecによる通信路の確立を行う。IPsecによる通信路を確立する動作は、公知の動作であるため、ここでは、簡単に説明する。まず、IPsec終端機能部111は、ISAKMP−SA提案を送信する(ステップS6)。これを受けて、IPsec終端機能部611は、ISAKMP−SA選択を返す(ステップS7)。   Next, the AP 1 establishes a communication path by IPsec with the Wi-Fi GW 6 by the following processing operation (steps S6 to S18). At this time, a communication path is established by IPsec using the acquired termination address. Since the operation for establishing a communication path by IPsec is a known operation, it will be briefly described here. First, the IPsec termination function unit 111 transmits an ISAKMP-SA proposal (step S6). In response to this, the IPsec termination function unit 611 returns ISAKMP-SA selection (step S7).

次に、IPsec終端機能部111は、鍵情報交換を行う(ステップS8)。また、IPsec終端機能部611は、鍵情報交換を行う(ステップS9)。続いて、IPsec終端機能部111は、ID/認証情報通知を行う(ステップS10)。また、IPsec終端機能部611は、ID/認証情報通知を行う(ステップS11)。   Next, the IPsec termination function unit 111 performs key information exchange (step S8). The IPsec termination function unit 611 exchanges key information (step S9). Subsequently, the IPsec termination function unit 111 performs ID / authentication information notification (step S10). In addition, the IPsec termination function unit 611 performs ID / authentication information notification (step S11).

次に、IPsec終端機能部111は、NOTIFICATION(Initial−contact)を送信する(ステップS12)。また、IPsec終端機能部611は、NOTIFICATION(Initial−contact)を送信する(ステップS13)。続いて、IPsec終端機能部111は、IP−sec SAの提案、SPI値通知、IDデータ通知及び認証情報通知を行う(ステップS14)。また、IPsec終端機能部611は、IP−sec SAの提案、SPI値通知、IDデータ通知及び認証情報通知を行う(ステップS15)。   Next, the IPsec termination function unit 111 transmits NOTIFICATION (Initial-contact) (step S12). Also, the IPsec termination function unit 611 transmits NOTIFICATION (Initial-contact) (step S13). Subsequently, the IPsec termination function unit 111 performs IP-sec SA proposal, SPI value notification, ID data notification, and authentication information notification (step S14). Further, the IPsec termination function unit 611 performs IP-sec SA proposal, SPI value notification, ID data notification, and authentication information notification (step S15).

次に、IPsec終端機能部111は、秘密鍵生成を行う(ステップS16)。また、IPsec終端機能部611は、秘密鍵生成を行う(ステップS17)。そして、IPsec終端機能部111とIPsec終端機能部611は、IKE(認証情報の通知)を行う(ステップS18)。この処理動作によって、AP1とWi−Fi GW6との間にIPsecによる通信路が確立したことになる。そして、AP1とWi−Fi GW6は、暗号化されたデータ通信を開始する(ステップS19)。   Next, the IPsec termination function unit 111 performs secret key generation (step S16). Also, the IPsec termination function unit 611 generates a secret key (step S17). Then, the IPsec termination function unit 111 and the IPsec termination function unit 611 perform IKE (notification of authentication information) (step S18). With this processing operation, a communication path by IPsec is established between AP1 and Wi-Fi GW6. And AP1 and Wi-Fi GW6 start the encrypted data communication (step S19).

次に、図15、図16、図17に示すフローチャートを参照して、図1、2に示す通信システムが第5の方法を用いて終端アドレスを取得する動作を説明する。図15は、図2に示すAP1の処理動作を示すフローチャートである。図16は、図2に示す認証サーバ4の処理動作を示すフローチャートである。図17は、図2に示すWi−Fi GW6の処理動作を示すフローチャートである。   Next, the operation of the communication system shown in FIGS. 1 and 2 for obtaining the end address using the fifth method will be described with reference to the flowcharts shown in FIGS. FIG. 15 is a flowchart showing the processing operation of AP1 shown in FIG. FIG. 16 is a flowchart showing the processing operation of the authentication server 4 shown in FIG. FIG. 17 is a flowchart showing the processing operation of the Wi-Fi GW 6 shown in FIG.

まず、ユーザ端末2がAP1に帰属する(ステップS91)と、AP1は、認証を開始する(ステップS92)。AP1は、ユーザ端末2の認証要求を認証サーバ4に送信する(ステップS93)。これを受けて、認証サーバ4は、AP1からの認証要求を受信する(ステップS111)。続いて、認証サーバ4は、認証確認を行い(ステップS112)、確認OKであれば、接続先URI DB41からAP1が接続するアドレスを判定する(ステップS113)。そして、認証サーバ4は、認証結果(成功)をAP1に返す(ステップS114)。一方、確認NGである場合、認証サーバ4は、認証結果(失敗)をAP1に返す(ステップS115)。   First, when the user terminal 2 belongs to AP1 (step S91), AP1 starts authentication (step S92). AP1 transmits an authentication request for user terminal 2 to authentication server 4 (step S93). In response to this, the authentication server 4 receives an authentication request from the AP 1 (step S111). Subsequently, the authentication server 4 performs authentication confirmation (step S112). If the confirmation is OK, the authentication server 4 determines an address to which the AP 1 is connected from the connection destination URI DB 41 (step S113). Then, the authentication server 4 returns an authentication result (success) to the AP 1 (step S114). On the other hand, in the case of confirmation NG, the authentication server 4 returns an authentication result (failure) to the AP 1 (step S115).

次に、AP1は、認証サーバ4から認証結果(成功または失敗)を受信する(ステップS94)。そして、AP1は、認証結果を確認する(ステップS95)。認証結果がNGの場合、AP1は、認証に失敗する(ステップS101)。一方、認証がOKの場合、AP1は、ユーザ端末2のDHCP要求をWi−Fi GW6に送信する(ステップS96)。これを受けて、Wi−Fi GW6は、AP1からユーザ端末2のDHCP要求を受信する(ステップS121)。   Next, AP1 receives the authentication result (success or failure) from the authentication server 4 (step S94). And AP1 confirms an authentication result (step S95). If the authentication result is NG, AP1 fails to authenticate (step S101). On the other hand, when the authentication is OK, AP1 transmits the DHCP request of user terminal 2 to Wi-Fi GW 6 (step S96). In response, the Wi-Fi GW 6 receives the DHCP request of the user terminal 2 from the AP 1 (step S121).

次に、Wi−Fi GW6は、認証サーバ4に対してDHCP要求元(ユーザ端末2)の認証確認要求を送信する(ステップS122)。認証サーバ4は、Wi−Fi GW6からDHCP要求を受信する(ステップS116)。認証サーバ4は、認証確認を行う(ステップS117)。確認OKであれば、認証サーバ4は、接続先アドレスを付与し、認証結果をWi−Fi GW6に返す(ステップS118)。一方、確認NGであれば、認証サーバ4は、認証結果(失敗)をWi−Fi GW6に返す(ステップS119)。   Next, the Wi-Fi GW 6 transmits an authentication confirmation request of the DHCP requester (user terminal 2) to the authentication server 4 (step S122). The authentication server 4 receives a DHCP request from the Wi-Fi GW 6 (step S116). The authentication server 4 performs authentication confirmation (step S117). If the confirmation is OK, the authentication server 4 assigns the connection destination address and returns the authentication result to the Wi-Fi GW 6 (step S118). On the other hand, if it is confirmed NG, the authentication server 4 returns an authentication result (failure) to the Wi-Fi GW 6 (step S119).

次に、Wi−Fi GW6は、認証確認を行う(ステップS123)。確認NGであれば、Wi−Fi GW6は、認証結果(失敗)をAP1に返す(ステップS128)。一方、確認OKであれば、Wi−Fi GW6は、AP1に対してIPsecによる通信路の確立を要求する(ステップS124)。これを受けて、AP1は、Wi−Fi GW6からIPsecに通信路の確立要求を受信し(ステップS97)、Wi−Fi GW6との間でIPsecによる通信路の確立を行う(ステップS98)。これと並行して、Wi−Fi GW6は、IPsecによる通信路の確立を行う(ステップS125)。   Next, the Wi-Fi GW 6 performs authentication confirmation (step S123). If it is confirmed NG, the Wi-Fi GW 6 returns an authentication result (failure) to the AP 1 (step S128). On the other hand, if the confirmation is OK, the Wi-Fi GW 6 requests the AP 1 to establish a communication path by IPsec (step S124). In response, AP1 receives a communication path establishment request from Wi-Fi GW 6 to IPsec (step S97), and establishes a communication path by IPsec with Wi-Fi GW 6 (step S98). In parallel with this, the Wi-Fi GW 6 establishes a communication path by IPsec (step S125).

次に、Wi−Fi GW6は、DHCPを払い出し、AP1へ送信する(ステップS126)。これを受けて、AP1は、Wi−Fi GW6からDHCPの払い出しを受信する(ステップS99)。そして、AP1とWi−Fi GW6は、データ通信を開始する(ステップS100、S127)。   Next, the Wi-Fi GW 6 pays out DHCP and transmits it to the AP 1 (step S126). In response to this, AP1 receives the DHCP payout from Wi-Fi GW6 (step S99). And AP1 and Wi-Fi GW6 start data communication (step S100, S127).

このように、DHCP後の認証サーバ4との連携時に、AP1のアドレスをWi−Fi GW6に通知するようにしたため、Wi−Fi GW6は、AP1の終端アドレスを取得することができる。   As described above, since the address of AP1 is notified to the Wi-Fi GW 6 at the time of cooperation with the authentication server 4 after DHCP, the Wi-Fi GW 6 can acquire the termination address of the AP1.

以上説明したように、AP側あるいはWi−Fi GW側のどちらがイニシエータとなってもAP1あるいはWi−Fi GW6が対向装置のアドレスを取得することにより、セキュアな通信路を確立することができるため、ゲストユーザが公衆無線LANを利用する際、AP所有者による通信傍受の心配なくセキュアな通信が可能となる。   As described above, since either the AP side or the Wi-Fi GW side becomes the initiator, the AP 1 or the Wi-Fi GW 6 can establish a secure communication path by acquiring the address of the opposite device. When a guest user uses a public wireless LAN, secure communication is possible without worrying about communication interception by the AP owner.

なお、図2における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりアドレス取得処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。   The program for realizing the function of the processing unit in FIG. 2 is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read into the computer system and executed to perform address acquisition processing. You may go. Here, the “computer system” includes an OS and hardware such as peripheral devices. The “computer system” includes a WWW system having a homepage providing environment (or display environment). The “computer-readable recording medium” refers to a storage device such as a flexible medium, a magneto-optical disk, a portable medium such as a ROM and a CD-ROM, and a hard disk incorporated in a computer system. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.

また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。   The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, what is called a difference file (difference program) may be sufficient.

セキュアな通信路を確立する場合に、通信路の両端の装置において、対向する装置のIPアドレスを確実に取得することが不可欠な用途にも適用できる。   When establishing a secure communication path, the present invention can also be applied to applications where it is indispensable to reliably acquire the IP address of the opposite apparatus in the apparatuses at both ends of the communication path.

1・・・AP(アクセスポイント)、2・・・ユーザ端末、3・・・ネットワーク、4・・・認証サーバ、5・・・接続先情報サーバ、6・・・Wi−Fi GW(ワイファイゲートウェイ)、7・・・ISP   DESCRIPTION OF SYMBOLS 1 ... AP (access point), 2 ... User terminal, 3 ... Network, 4 ... Authentication server, 5 ... Connection destination information server, 6 ... Wi-Fi GW (Wi-Fi gateway) ), 7 ... ISP

Claims (10)

ユーザ端末を通信ネットワークに接続するアクセスポイント装置と、サーバ装置とを含む通信システムであって、
前記アクセスポイント装置は、
対向装置のアドレス情報の取得要求を前記サーバ装置に対して送信する取得要求送信手段と、
前記取得要求に応じて、前記サーバ装置が送信した前記対向装置のアドレス情報と受信するアドレス情報受信手段と、
前記対向装置のアドレス情報に基づき、前記対向装置に対して秘匿通信路を確立する通信路確立手段とを備え、
前記サーバ装置は、
前記アクセスポイント装置が接続すべき前記対向装置のアドレス情報を記憶するアドレス情報記憶手段と、
前記アクセスポイント装置から前記対向装置のアドレス情報の取得要求を受信した際に、前記アドレス情報記憶手段を参照して、前記対向装置のアドレス情報を特定し、該アドレス情報を前記取得要求の応答として前記アクセスポイント装置に対して送信するアドレス情報送信手段とを備える
ことを特徴とする通信システム。 A communication system including an access point device for connecting a user terminal to a communication network, and a server device,
The access point device is
An acquisition request transmitting means for transmitting an address information acquisition request of the opposite device to the server device;
In response to the acquisition request, address information receiving means for receiving the address information of the opposite device transmitted by the server device, and
Communication path establishment means for establishing a secret communication path for the opposite device based on the address information of the opposite device;
The server device
Address information storage means for storing address information of the opposite device to which the access point device is to be connected;
When receiving the address information acquisition request of the opposite device from the access point device, the address information storage unit is referred to identify the address information of the opposite device, and the address information is used as a response to the acquisition request. An address information transmitting means for transmitting to the access point device. 前記対向装置のアドレス情報の取得要求は、所定のタイミングで送信することを特徴とする請求項1に記載の通信システム。   The communication system according to claim 1, wherein the address information acquisition request of the opposite device is transmitted at a predetermined timing. 前記対向装置のアドレス情報の取得要求は、前記サーバ装置が前記ユーザ端末の認証を行う際の認証要求に含み、
前記対向装置のアドレス情報は、前記認証要求に対する認証結果の情報に含む
ことを特徴とする請求項1に記載の通信システム。 The acquisition request for the address information of the opposite device is included in the authentication request when the server device authenticates the user terminal,
The communication system according to claim 1, wherein the address information of the opposite device is included in information of an authentication result for the authentication request. ユーザ端末を通信ネットワークに接続するアクセスポイント装置と、アクセスポイント装置を前記通信ネットワークに接続するゲートウェイ装置と、サーバ装置とを含む通信システムであって、
前記アクセスポイント装置は、
前記ユーザ端末の認証要求に自己のアドレス情報を含めて前記サーバ装置に対して送信する認証要求送信手段を備え、
前記サーバ装置は、
前記ユーザ端末の認証時において、DHCPにより前記ゲートウェイ装置と連携する際に、前記アクセスポイント装置のアドレス情報を前記ゲートウェイに送信するアドレス情報送信手段を備え、
前記ゲートウェイ装置は、
前記サーバ装置から前記アクセスポイント装置のアドレス情報を受信するアドレス情報受信手段と、
前記アクセスポイント装置のアドレス情報に基づき、前記アクセスポイント装置に対して秘匿通信路を確立する通信路確立手段とを備える
ことを特徴とする通信システム。 A communication system including an access point device for connecting a user terminal to a communication network, a gateway device for connecting an access point device to the communication network, and a server device,
The access point device is
An authentication request transmitting means for transmitting to the server device including its own address information in the authentication request of the user terminal;
The server device
At the time of authentication of the user terminal, when cooperating with the gateway device by DHCP, an address information transmitting means for transmitting address information of the access point device to the gateway is provided,
The gateway device is
Address information receiving means for receiving address information of the access point device from the server device;
A communication path establishing means for establishing a secret communication path for the access point device based on the address information of the access point device. ユーザ端末を通信ネットワークに接続するアクセスポイント装置と、前記アクセスポイント装置が接続すべき対向装置のアドレス情報を記憶するアドレス情報記憶手段と、前記アクセスポイント装置から前記対向装置のアドレス情報の取得要求を受信した際に、前記アドレス情報記憶手段を参照して、前記対向装置のアドレス情報を特定し、該アドレス情報を前記取得要求の応答として前記アクセスポイント装置に対して送信するアドレス情報送信手段とを備えるサーバ装置とを含む通信システムにおける前記アクセスポイント装置であって、
前記対向装置のアドレス情報の取得要求を前記サーバ装置に対して送信する取得要求送信手段と、
前記取得要求に応じて、前記サーバ装置が送信した前記対向装置のアドレス情報と受信するアドレス情報受信手段と、
前記対向装置のアドレス情報に基づき、前記対向装置に対して秘匿通信路を確立する通信路確立手段と
を備えることを特徴とするアクセスポイント装置。 An access point device for connecting a user terminal to a communication network, an address information storage unit for storing address information of a counter device to which the access point device is to be connected, and an acquisition request for the address information of the counter device from the access point device An address information transmitting means for identifying address information of the opposite device when receiving the address information and transmitting the address information to the access point device as a response to the acquisition request; The access point device in a communication system including a server device comprising:
An acquisition request transmitting means for transmitting an acquisition request for the address information of the opposite device to the server device;
In response to the acquisition request, address information receiving means for receiving the address information of the opposite device transmitted by the server device, and
An access point device comprising: communication path establishment means for establishing a secret communication path for the opposite device based on address information of the opposite device. ユーザ端末を通信ネットワークに接続するために、対向装置のアドレス情報の取得要求をサーバ装置に対して送信する取得要求送信手段と、前記取得要求に応じて、前記サーバ装置が送信した前記対向装置のアドレス情報と受信するアドレス情報受信手段と、前記対向装置のアドレス情報に基づき、前記対向装置に対して秘匿通信路を確立する通信路確立手段とを備えるアクセスポイント装置と、前記サーバ装置とを含む通信システムにおける前記サーバ装置であって、
前記アクセスポイント装置が接続すべき前記対向装置のアドレス情報を記憶するアドレス情報記憶手段と、
前記アクセスポイント装置から前記対向装置のアドレス情報の取得要求を受信した際に、前記アドレス情報記憶手段を参照して、前記対向装置のアドレス情報を特定し、該アドレス情報を前記取得要求の応答として前記アクセスポイント装置に対して送信するアドレス情報送信手段と
を備えることを特徴とするサーバ装置。 In order to connect the user terminal to the communication network, an acquisition request transmitting unit that transmits an acquisition request for the address information of the opposite device to the server device, and the opposite device transmitted by the server device in response to the acquisition request. An access point device comprising: address information; receiving address information receiving means; and communication path establishing means for establishing a secret communication path for the opposing device based on the address information of the opposing device; and the server device The server device in a communication system,
Address information storage means for storing address information of the opposite device to which the access point device is to be connected;
When receiving the address information acquisition request of the opposite device from the access point device, the address information storage unit is referred to identify the address information of the opposite device, and the address information is used as a response to the acquisition request. Address information transmitting means for transmitting to the access point device. ユーザ端末を通信ネットワークに接続するために、前記ユーザ端末の認証要求に自己のアドレス情報を含めてサーバ装置に対して送信する認証要求送信手段を備えるアクセスポイント装置と、アクセスポイント装置を前記通信ネットワークに接続するために、前記アクセスポイント装置のアドレス情報を受信するアドレス情報受信手段と、前記アクセスポイント装置のアドレス情報に基づき、前記アクセスポイント装置に対して秘匿通信路を確立する通信路確立手段とを備えるゲートウェイ装置と、サーバ装置とを含む通信システムにおける前記サーバ装置であって、
前記ユーザ端末の認証時において、DHCPにより前記ゲートウェイ装置と連携する際に、前記アクセスポイント装置のアドレス情報を前記ゲートウェイに送信するアドレス情報送信手段を備えることを特徴とするサーバ装置。 In order to connect a user terminal to a communication network, an access point device comprising authentication request transmission means for transmitting the user terminal authentication request including its own address information to a server device, and an access point device connected to the communication network Address information receiving means for receiving address information of the access point apparatus, and communication path establishment means for establishing a secret communication path for the access point apparatus based on the address information of the access point apparatus. The server device in a communication system including a gateway device and a server device,
A server device comprising: address information transmitting means for transmitting address information of the access point device to the gateway when cooperating with the gateway device by DHCP during authentication of the user terminal. ユーザ端末を通信ネットワークに接続するために、前記ユーザ端末の認証要求に自己のアドレス情報を含めてサーバ装置に対して送信する認証要求送信手段を備えるアクセスポイント装置と、アクセスポイント装置を前記通信ネットワークに接続するゲートウェイ装置と、前記ユーザ端末の認証時において、DHCPにより前記ゲートウェイ装置と連携する際に、前記アクセスポイント装置のアドレス情報を前記ゲートウェイに送信するアドレス情報送信手段を備えるサーバ装置とを含む通信システムにおける前記ゲートウェイ装置であって、
前記サーバ装置から前記アクセスポイント装置のアドレス情報を受信するアドレス情報受信手段と、
前記アクセスポイント装置のアドレス情報に基づき、前記アクセスポイント装置に対して秘匿通信路を確立する通信路確立手段と
を備えることを特徴とするゲートウェイ装置。 In order to connect a user terminal to a communication network, an access point device comprising authentication request transmission means for transmitting the user terminal authentication request including its own address information to a server device, and an access point device connected to the communication network And a server device comprising address information transmission means for transmitting address information of the access point device to the gateway when cooperating with the gateway device by DHCP at the time of authentication of the user terminal. The gateway device in a communication system,
Address information receiving means for receiving address information of the access point device from the server device;
A gateway device comprising: a communication path establishment means for establishing a secret communication path for the access point device based on address information of the access point device. ユーザ端末を通信ネットワークに接続するアクセスポイント装置と、前記アクセスポイント装置が接続すべき前記対向装置のアドレス情報を記憶するアドレス情報記憶手段を備えるサーバ装置とを含む通信システムが行う通信方法であって、
前記アクセスポイント装置が、対向装置のアドレス情報の取得要求を前記サーバ装置に対して送信する取得要求送信ステップと、
前記サーバ装置が、前記アクセスポイント装置から前記対向装置のアドレス情報の取得要求を受信した際に、前記アドレス情報記憶手段を参照して、前記対向装置のアドレス情報を特定し、該アドレス情報を前記取得要求の応答として前記アクセスポイント装置に対して送信するアドレス情報送信ステップと、
前記アクセスポイント装置が、前記取得要求に応じて、前記サーバ装置が送信した前記対向装置のアドレス情報と受信するアドレス情報受信ステップと、
前記アクセスポイント装置が、前記対向装置のアドレス情報に基づき、前記対向装置に対して秘匿通信路を確立する通信路確立ステップと
を有することを特徴とする通信方法。 A communication method performed by a communication system including an access point device that connects a user terminal to a communication network and a server device that includes address information storage means for storing address information of the opposite device to which the access point device is to be connected. ,
The access point device transmits an acquisition request for address information of the opposite device to the server device;
When the server device receives the address information acquisition request of the opposite device from the access point device, the server device refers to the address information storage unit, identifies the address information of the opposite device, and stores the address information in the address information An address information transmission step for transmitting to the access point device as a response to the acquisition request;
In response to the acquisition request, the access point device receives the address information of the opposite device transmitted by the server device and an address information receiving step for receiving the information.
The communication method comprising: a communication path establishing step in which the access point apparatus establishes a secret communication path for the opposite apparatus based on the address information of the opposite apparatus. ユーザ端末を通信ネットワークに接続するアクセスポイント装置と、アクセスポイント装置を前記通信ネットワークに接続するゲートウェイ装置と、サーバ装置とを含む通信システムが行う通信方法であって、
前記アクセスポイント装置が、前記ユーザ端末の認証要求に自己のアドレス情報を含めて前記サーバ装置に対して送信する認証要求送信ステップと、
前記サーバ装置が、前記ユーザ端末の認証時において、DHCPにより前記ゲートウェイ装置と連携する際に、前記アクセスポイント装置のアドレス情報を前記ゲートウェイに送信するアドレス情報送信ステップと、
前記ゲートウェイ装置が、前記サーバ装置から前記アクセスポイント装置のアドレス情報を受信するアドレス情報受信ステップと、
前記ゲートウェイ装置が、前記アクセスポイント装置のアドレス情報に基づき、前記アクセスポイント装置に対して秘匿通信路を確立する通信路確立ステップと
を有することを特徴とする通信方法。 A communication method performed by a communication system including an access point device that connects a user terminal to a communication network, a gateway device that connects the access point device to the communication network, and a server device,
An authentication request transmission step in which the access point device transmits an authentication request of the user terminal to the server device including its own address information;
An address information transmission step of transmitting address information of the access point device to the gateway when the server device cooperates with the gateway device by DHCP at the time of authentication of the user terminal;
An address information receiving step in which the gateway device receives address information of the access point device from the server device;
The communication method comprising: a communication path establishing step in which the gateway apparatus establishes a secret communication path for the access point apparatus based on address information of the access point apparatus.
JP2014082275A 2014-04-11 2014-04-11 COMMUNICATION SYSTEM, ACCESS POINT DEVICE, SERVER DEVICE, GATEWAY DEVICE, AND COMMUNICATION METHOD Active JP5830128B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014082275A JP5830128B2 (en) 2014-04-11 2014-04-11 COMMUNICATION SYSTEM, ACCESS POINT DEVICE, SERVER DEVICE, GATEWAY DEVICE, AND COMMUNICATION METHOD

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014082275A JP5830128B2 (en) 2014-04-11 2014-04-11 COMMUNICATION SYSTEM, ACCESS POINT DEVICE, SERVER DEVICE, GATEWAY DEVICE, AND COMMUNICATION METHOD

Publications (2)

Publication Number Publication Date
JP2015204499A true JP2015204499A (en) 2015-11-16
JP5830128B2 JP5830128B2 (en) 2015-12-09

Family

ID=54597728

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014082275A Active JP5830128B2 (en) 2014-04-11 2014-04-11 COMMUNICATION SYSTEM, ACCESS POINT DEVICE, SERVER DEVICE, GATEWAY DEVICE, AND COMMUNICATION METHOD

Country Status (1)

Country Link
JP (1) JP5830128B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107733757A (en) * 2017-10-19 2018-02-23 杭州迪普科技股份有限公司 A kind of method and device based on third party application access Wi Fi networks
CN111885598A (en) * 2020-06-02 2020-11-03 普联国际有限公司 Event sending realization system and method of Wi-Fi equipment

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012509621A (en) * 2008-11-17 2012-04-19 クゥアルコム・インコーポレイテッド Remote access to local network through security gateway
JP2012533970A (en) * 2009-07-20 2012-12-27 ゼットティーイー(ユーエスエー)インコーポレーテッド Discovery of femto access security gateway in wireless communication
US20130097418A1 (en) * 2011-10-17 2013-04-18 Yogesh Bhatt Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network
WO2013175671A1 (en) * 2012-05-24 2013-11-28 日本電気株式会社 Service control apparatus, relay apparatus, femtocell base station, communication system, control method, and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012509621A (en) * 2008-11-17 2012-04-19 クゥアルコム・インコーポレイテッド Remote access to local network through security gateway
JP2012533970A (en) * 2009-07-20 2012-12-27 ゼットティーイー(ユーエスエー)インコーポレーテッド Discovery of femto access security gateway in wireless communication
US20130097418A1 (en) * 2011-10-17 2013-04-18 Yogesh Bhatt Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network
WO2013175671A1 (en) * 2012-05-24 2013-11-28 日本電気株式会社 Service control apparatus, relay apparatus, femtocell base station, communication system, control method, and program

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107733757A (en) * 2017-10-19 2018-02-23 杭州迪普科技股份有限公司 A kind of method and device based on third party application access Wi Fi networks
CN107733757B (en) * 2017-10-19 2020-07-07 杭州迪普科技股份有限公司 Method and device for accessing Wi-Fi network based on third-party application program
CN111885598A (en) * 2020-06-02 2020-11-03 普联国际有限公司 Event sending realization system and method of Wi-Fi equipment

Also Published As

Publication number Publication date
JP5830128B2 (en) 2015-12-09

Similar Documents

Publication Publication Date Title
TWI576718B (en) Method, apparatus, system and non-transitory computer-readable storage medium for providing secured network access
US20160269176A1 (en) Key Configuration Method, System, and Apparatus
JP5587512B2 (en) Method and apparatus for enabling data transmission between a mobile device and a static destination address
JP2002314549A (en) User authentication system and user authentication method used for the same
JP2007097010A (en) Access support apparatus and gateway apparatus
US10367864B2 (en) Electronic device and method for controlling electronic device
EP2617174A1 (en) Secure association
US20210234835A1 (en) Private cloud routing server connection mechanism for use in a private communication architecture
CN113542389A (en) Private cloud routing server connection mechanism for private communication architecture
WO2009082950A1 (en) Key distribution method, device and system
JP2016053967A (en) Relay device, radio communication system, and radio communication method
JP5830128B2 (en) COMMUNICATION SYSTEM, ACCESS POINT DEVICE, SERVER DEVICE, GATEWAY DEVICE, AND COMMUNICATION METHOD
EP3319277B1 (en) Provision of access to a network
JP2009217722A (en) Authentication processing system, authentication device, management device, authentication processing method, authentication processing program and management processing program
JP6056970B2 (en) Information processing apparatus, terminal, information processing system, and information processing method
WO2014201783A1 (en) Encryption and authentication method, system and terminal for ad hoc network
Nguyen et al. An SDN-based connectivity control system for Wi-Fi devices
US9231932B2 (en) Managing remote telephony device configuration
US20220385638A1 (en) Private Matter Gateway Connection Mechanism for Use in a Private Communication Architecture
JP4775154B2 (en) COMMUNICATION SYSTEM, TERMINAL DEVICE, PROGRAM, AND COMMUNICATION METHOD
JP5319575B2 (en) Communication method and communication system
US11683292B2 (en) Private cloud routing server connection mechanism for use in a private communication architecture
WO2015004744A1 (en) Authentication device, authentication method, and program
JP5920891B2 (en) Communication service authentication / connection system and method thereof
CN110024443B (en) Method for pairing with a gateway

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151002

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151020

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151023

R150 Certificate of patent or registration of utility model

Ref document number: 5830128

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250