JP2016051268A - Authentication system, authentication server, client device, and authentication method - Google Patents
Authentication system, authentication server, client device, and authentication method Download PDFInfo
- Publication number
- JP2016051268A JP2016051268A JP2014175316A JP2014175316A JP2016051268A JP 2016051268 A JP2016051268 A JP 2016051268A JP 2014175316 A JP2014175316 A JP 2014175316A JP 2014175316 A JP2014175316 A JP 2014175316A JP 2016051268 A JP2016051268 A JP 2016051268A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- access point
- client device
- certificate
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 27
- 230000005540 biological transmission Effects 0.000 claims description 73
- 238000004891 communication Methods 0.000 claims description 64
- 230000004044 response Effects 0.000 claims description 6
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 abstract description 4
- 230000006399 behavior Effects 0.000 description 39
- 238000012545 processing Methods 0.000 description 25
- 238000010586 diagram Methods 0.000 description 22
- 230000009471 action Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 10
- 230000004048 modification Effects 0.000 description 10
- 238000012986 modification Methods 0.000 description 10
- 238000001514 detection method Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 239000000969 carrier Substances 0.000 description 4
- 239000000523 sample Substances 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、複数の事業者に跨ってアクセスポイントを開放した場合の、クライアント装置の認証に関する。 The present invention relates to authentication of a client device when an access point is opened across a plurality of business operators.
Wi−Fi(登録商標)等の無線LAN(Local Area Network)サービスを提供するために、商業施設(例えば、商店や駅、空港、ホテル)等の人が訪れる場所には、アクセスポイントが設置されている。この無線LANサービスを利用することのできるユーザは、自身のクライアント装置をアクセスポイントに接続させて、インターネット経由で提供されるサービスを利用することができる。複数の事業者の無線LANサービスを利用する場合は、通常、事業者毎に、クライアント装置の認証に使用される認証情報や、サーバの認証に使用する証明書等の情報がクライアント装置に設定される。 In order to provide a wireless local area network (LAN) service such as Wi-Fi (registered trademark), an access point is installed in a place visited by a person such as a commercial facility (for example, a store, a station, an airport, or a hotel). ing. A user who can use this wireless LAN service can use a service provided via the Internet by connecting his client device to an access point. When using wireless LAN services of a plurality of business operators, authentication information used for client device authentication and information such as a certificate used for server authentication are usually set in the client device for each business operator. The
このような従来方式に対して、特許文献1には、キャリアが異なる複数のアクセスポイントに、ユーザの無線端末装置が共通の認証情報(共通認証情報)を用いて接続する技術が開示されている。この共通認証情報は、例えば、802.1x+EAPでのIDやパスワード、証明書情報を含む。非特許文献1には、大規模災害発生時に、公衆無線LANの無料開放の目的で、SSID(Service Set Identifier)を事業者間で共通にすることや、ユーザ認証及び暗号化を行わないことが記載されている。
In contrast to such a conventional method,
認証用のIDやパスワードは、例えば、言語的な意味を持たない文字列で構成されることがあり、ユーザがすぐに思い出して設定するのが困難な場合がある。よって、特許文献1に記載の技術では、共通認証情報が事前に設定されていない場合、無線端末装置の近くにアクセスポイントが存在しても、ユーザは、この無線端末装置をこのアクセスポイントに接続させて、サービスを利用することができない場合がある。例えば、災害の発生時に緊急の通信を要する場合にも同様となり、特許文献1に記載の技術では、ユーザビリティの観点で望ましくない場合がある。
The authentication ID and password may be composed of, for example, a character string that has no linguistic meaning, and may be difficult for the user to remember and set immediately. Therefore, in the technique described in
非特許文献1に記載の技術では、災害発生時に公衆無線LANが無料開放されたときには、ユーザ認証が省略されるため、ユーザは、クライアント装置をアクセスポイントに接続させてサービスを利用しやすくなる。しかし、悪意のある人物によって、事業者間で共通のSSIDを発信するアクセスポイントが偽装して設置された場合、クライアント装置が誤ってこの偽装アクセスポントに接続する可能性がある。これにより、ユーザの知らぬ間にクライアント装置の情報が漏洩してしまうおそれがある。
これに対し、本発明の目的は、複数の事業者に跨ってアクセスポイントが開放された場合に、ユーザビリティを確保しつつ、偽装されたアクセスポイントにクライアント装置が接続するのを防止することである。
In the technique described in Non-Patent
In contrast, an object of the present invention is to prevent a client device from connecting to a camouflaged access point while ensuring usability when an access point is opened across a plurality of operators. .
上述した課題を解決するため、本発明の認証システムは、複数の事業者の前記事業者毎に管理される認証サーバと、前記認証サーバとネットワークを介して接続され、クライアント装置が接続するアクセスポイントとを備える認証システムであって、前記アクセスポイントは、当該アクセスポイントに固有の第1の識別子と、前記複数の事業者で共通の第2の識別子とを発信可能であり、前記認証サーバは、前記複数の事業者で共通に使用される第1の証明書を記憶する記憶部と、前記アクセスポイントが前記第2の識別子を発信している場合に、前記クライアント装置が接続したときには、記憶された前記第1の証明書を、当該アクセスポイントへ送信する証明書送信部と、前記クライアント装置により受信された前記第1の証明書が、前記第1の証明書に対応する第2の証明書を用いて正当と判定された場合には、当該クライアント装置により送信された認証情報を、前記アクセスポイントを介して受信する認証情報受信部と、前記第2の識別子を発信している前記アクセスポイントを介して、前記認証情報を受信した場合には、当該認証情報によらないで、前記クライアント装置の認証に成功したと判定するクライアント認証部とを有する。 In order to solve the above-described problem, an authentication system of the present invention includes an authentication server managed for each of a plurality of business operators, an access point connected to the authentication server via a network and connected to a client device. The access point is capable of transmitting a first identifier unique to the access point and a second identifier common to the plurality of operators, and the authentication server includes: A storage unit that stores a first certificate that is used in common by the plurality of providers, and when the client device is connected when the access point is transmitting the second identifier, is stored. A certificate transmitting unit that transmits the first certificate to the access point; and the first certificate received by the client device An authentication information receiving unit that receives the authentication information transmitted by the client device via the access point when it is determined to be valid using the second certificate corresponding to the first certificate; A client authentication unit that determines that the authentication of the client device has succeeded without relying on the authentication information when the authentication information is received via the access point transmitting the second identifier; Have
本発明の認証システムにおいて、前記第2の識別子を発信している前記アクセスポイントへの前記クライアント装置の接続の履歴に基づいて、当該クライアント装置のユーザの行動情報を管理する行動管理装置と接続されてもよい。
この認証システムにおいて、前記アクセスポイントとして、第1のアクセスポイントと、第2のアクセスポイントとがあり、前記第1のアクセスポイント及び第2のアクセスポイントが前記第2の識別子を発信している場合に、所定の条件を満たしたときには、前記第1のアクセスポイントが前記第2の識別子の発信を継続する一方で、前記第2のアクセスポイントが前記第2の識別子の発信を停止させて前記第1の識別子を発信してもよい。
In the authentication system of the present invention, connected to an action management apparatus that manages action information of a user of the client apparatus based on a history of connection of the client apparatus to the access point that is transmitting the second identifier. May be.
In this authentication system, there are a first access point and a second access point as the access points, and the first access point and the second access point transmit the second identifier. In addition, when the predetermined condition is satisfied, the first access point continues to transmit the second identifier, while the second access point stops transmitting the second identifier and One identifier may be transmitted.
本発明の認証システムにおいて、前記第2の識別子の発信条件を満たしたと判定した場合には、前記アクセスポイントに前記第2の識別子を発信させる発信制御部を備える。
この認証システムにおいて、前記発信制御部は、前記ネットワークの状態、又は前記クライアント装置が接続可能な他の通信回線の状態が、所定の状態になったことが検知された場合に、前記発信条件を満たしたと判定してもよい。
これらの認証システムにおいて、前記発信制御部は、前記アクセスポイントへの前記クライアント装置の接続状況が、所定の状態になったことが検知された場合に、前記発信条件を満たしたと判定してもよい。
The authentication system of the present invention includes a transmission control unit that causes the access point to transmit the second identifier when it is determined that the transmission condition of the second identifier is satisfied.
In this authentication system, the transmission control unit sets the transmission condition when it is detected that the state of the network or the state of another communication line to which the client device can be connected is a predetermined state. You may determine with having satisfy | filled.
In these authentication systems, the transmission control unit may determine that the transmission condition is satisfied when it is detected that the connection status of the client device to the access point is in a predetermined state. .
本発明の認証サーバは、複数の事業者の前記事業者毎に管理され、クライアント装置が接続するアクセスポイントとネットワークを介して接続された認証サーバであって、前記複数の事業者で共通に使用される第1の証明書を記憶する記憶部と、前記アクセスポイントが前記複数の事業者で共通の識別子を発信している場合に、前記クライアント装置が接続したときには、記憶された前記第1の証明書を、当該アクセスポイントへ送信する証明書送信部と、前記クライアント装置により受信された前記第1の証明書が、前記第1の証明書に対応する第2の証明書を用いて正当と判定された場合には、当該クライアント装置により送信された認証情報を、前記アクセスポイントを介して受信する認証情報受信部と、前記識別子を発信している前記アクセスポイントを介して、前記認証情報を受信した場合には、当該認証情報によらないで、前記クライアント装置の認証に成功したと判定するクライアント認証部とを備える。 The authentication server of the present invention is an authentication server that is managed for each of a plurality of business operators and is connected to an access point to which a client device is connected via a network, and is commonly used by the plurality of business operators. And the first certificate stored when the client device is connected when the access point transmits a common identifier among the plurality of operators. The certificate transmission unit that transmits the certificate to the access point and the first certificate received by the client device are valid using the second certificate corresponding to the first certificate. If determined, an authentication information receiving unit that receives the authentication information transmitted by the client device via the access point, and before transmitting the identifier Via an access point, when receiving the authentication information, without depending on the authentication information, and a said the determining client authentication unit succeeds in authentication of the client device.
本発明のクライアント装置は、上記いずれかの認証システムが備える前記アクセスポイントに接続するクライアント装置であって、前記第2の証明書を記憶する記憶部と、前記第1の識別子及び前記第2の識別子を受信した場合には、当該第2の識別子を発信した前記アクセスポイントへ認証を要求する認証要求部と、前記認証の要求に応じて前記認証サーバにより送信された前記第1の証明書を、前記アクセスポイントから受信する証明書受信部と、記憶された前記第2の証明書を用いて、受信された前記第1の証明書が正当かどうかを判定するサーバ認証部と、受信された前記第1の証明書が正当と判定された場合には、前記認証情報を、前記アクセスポイントへ送信する認証情報送信部とを備える。 A client device according to the present invention is a client device connected to the access point provided in any one of the authentication systems, wherein the storage unit stores the second certificate, the first identifier, and the second When an identifier is received, an authentication request unit that requests authentication to the access point that has transmitted the second identifier, and the first certificate transmitted by the authentication server in response to the authentication request A certificate receiving unit that receives from the access point, a server authentication unit that uses the stored second certificate to determine whether the received first certificate is valid, and And an authentication information transmitting unit configured to transmit the authentication information to the access point when the first certificate is determined to be valid.
本発明の認証方法は、複数の事業者の前記事業者毎に管理される認証サーバと、前記認証サーバとネットワークを介して接続され、クライアント装置が接続するアクセスポイントとにより実現される認証方法であって、前記アクセスポイントが、前記複数の事業者で共通の識別子を発信するステップと、前記認証サーバが、前記アクセスポイントが前記識別子を発信している場合に、前記クライアント装置が接続したときには、記憶した前記複数の事業者で共通に使用される第1の証明書を、当該アクセスポイントへ送信するステップと、前記認証サーバが、前記クライアント装置により受信された前記第1の証明書が、前記第1の証明書に対応する第2の証明書を用いて正当と判定された場合には、当該クライアント装置により送信された認証情報を、前記アクセスポイントを介して受信するステップと、前記認証サーバが、前記識別子を発信している前記アクセスポイントを介して、前記認証情報を受信した場合には、当該認証情報によらないで、前記クライアント装置の認証に成功したと判定するステップとを有する。 The authentication method of the present invention is an authentication method realized by an authentication server managed for each of a plurality of operators, and an access point connected to the authentication server via a network and connected to a client device. The access point transmits a common identifier among the plurality of operators, and when the client device connects when the authentication server transmits the identifier, Transmitting the stored first certificate that is used in common by the plurality of operators to the access point; and the authentication server receives the first certificate received by the client device, If it is determined to be valid using the second certificate corresponding to the first certificate, it is sent by the client device. Receiving the authentication information via the access point, and when the authentication server receives the authentication information via the access point transmitting the identifier, it does not depend on the authentication information. And determining that the client device has been successfully authenticated.
本発明によれば、複数の事業者に跨ってアクセスポイントが開放された場合に、ユーザビリティを確保しつつ、偽装されたアクセスポイントにクライアント装置が接続するのを防止することができる。 ADVANTAGE OF THE INVENTION According to this invention, when an access point is opened ranging over a some provider, it can prevent that a client apparatus connects to the camouflaged access point, ensuring usability.
以下、図面を参照して本発明の実施形態を説明する。
[第1実施形態]
図1は、本発明の第1実施形態に係る通信システム1の全体構成を示す図である。
図1に示すように、通信システム1は、認証システム2A,2Bと、複数のクライアント装置30とを含む。認証システム2Aは、事業者Aによって管理、運用され、クライアント装置30を認証するための認証システムである。認証システム2Bは、事業者Aとは異なる事業者Bによって管理、運用され、クライアント装置30を認証するための認証システムである。事業者A,Bは、ここでは、無線LANサービスを提供する通信事業者(通信キャリア)である。無線LANサービスは、ここではWi−Fiの規格に対応している。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[First Embodiment]
FIG. 1 is a diagram showing an overall configuration of a
As shown in FIG. 1, the
クライアント装置30は、Wi−Fiの規格に準拠した無線通信を行う無線通信装置である。クライアント装置30は、例えばタブレット型コンピュータ又はスマートフォンであるが、携帯電話機、ノート型パソコン、PDA(Personal Digital Assistant)、携帯型ゲーム機、携帯型音楽プレーヤ等の無線通信装置であってもよい。図1に示すクライアント装置30Aは、ここでは、事業者Aとサービスの利用契約を結び、事業者Bとはサービスの利用契約を結んでいないユーザによって使用されるものとする。クライアント装置30Bは、ここでは事業者Bとサービスの利用契約を結び、事業者Aとはサービスの利用契約を結んでいないユーザによって使用されるものとする。
なお、図1には、認証システム2として、認証システム2A,2Bの2つが示されているが、事業者が異なる3つ以上の認証システム2が存在してもよい。また、図1には、クライアント装置30A,30Bが1台ずつ示されているが、実際には多数存在する。
The
Although two
認証システム2Aは、認証サーバ10Aと、複数のアクセスポイント20A(20A−1〜20A−3)と、AP(Access Point)制御装置40Aとを備える。認証サーバ10A、複数のアクセスポイント20A、及びAP制御装置40Aの各々は、ネットワークNWAに接続する。ネットワークNWAは、IEEE802.11規格に準拠したネットワーク(Wi−Fiネットワーク)である。
なお、図1には、複数のアクセスポイント20Aのうち、アクセスポイント20A−1〜20A−3の3台が示されているが、実際には多数存在する。
The
FIG. 1 shows three
認証サーバ10Aは、RADIUS(Remote Authentication Dial-in User Service)サーバに相当し、事業者Aによって管理される。認証サーバ10Aは、アクセスポイント20Aに接続したクライアント装置30を認証する。複数のアクセスポイント20Aの各々は、商業施設等の人が訪れる場所に設置され、各場所にホットスポットを形成する。アクセスポイント20Aは、認証サーバ10Aによってクライアント装置30のユーザが認証された場合には、このクライアント装置30を、インターネット回線INTへ接続させる。複数のアクセスポイント20Aの各々は、所定の暗号化方式(例えばWEP又はWPA/WPA2)に基づいて、クライアント装置30と無線通信を行う。
The
AP制御装置40Aは、複数のアクセスポイント20Aの各々のSSID(例えば、ESSID(Extended SSID))の発信を制御する装置である。AP制御装置40Aは、ここでは、各アクセスポイント20Aに対して、固有SSIDと共通SSIDとを選択的に発信させる。固有SSIDは、複数のアクセスポイント20Aの各々に割り当てられた、アクセスポイント20Aに固有のSSID(第1の識別子)である。固有SSIDは、例えば、他のアクセスポイント20の固有SSIDと重複しないように、各アクセスポイント20Aに設定される。共通SSIDは、複数の事業者(ここでは事業者Aと事業者B)で共通のSSID(第2の識別子)である。複数のアクセスポイント20Aの各々が発信する共通SSID、及び、後述する複数のアクセスポイント20Bの各々が発信する共通SSIDは、同一である。
The
AP制御装置40Aは、平常時には、クライアント装置30Aに無線LANサービスを提供する目的で、各アクセスポイント20Aに固有SSIDを発信させる。そして、或る規模以上の災害(例えば地震)が発生した場合には、複数の事業者に跨って、各アクセスポイント20Aを解放する。この際、AP制御装置40Aは、クライアント装置30A以外のクライアント装置(本実施形態では、クライアント装置30B)にも、無線LANサービスを提供する目的で、各アクセスポイント20Aに共通SSIDを発信させる。AP制御装置40Aは、災害の発生地域に存在するアクセスポイント20Aに、共通SSIDを発信させる。
なお、AP制御装置40Aによる災害の発生状況の特定方法は、特に問わない。AP制御装置40Aは、例えば、気象庁のコンピュータ装置から提供されるデータを用いて災害の発生状況を特定してもよいし、事業者Aにおいて手動入力された情報を用いて災害の発生状況を特定してもよい。
The
In addition, the identification method of the disaster occurrence state by the
認証システム2Bは、認証サーバ10Bと、複数のアクセスポイント20B(20B−1〜20B−3)と、AP制御装置40Bとを備える。認証システム2Bに含まれる各要素は、認証システム2Aに関する上記説明の符号の「A」と「B」を逆にした読み替えにより、説明することができる。以下の説明では、認証システム2Aに含まれる要素と、認証システム2Bに含まれる要素との各々を特に区別する必要のないときは、符号に含まれる「A」又は「B」を省略することがある。
次に、認証サーバ10、アクセスポイント20及びクライアント装置30の構成を説明する。
The
Next, the configuration of the
図2は、認証サーバ10のハードウェア構成を示す図である。図2に示すように、認証サーバ10は、制御部11と、通信部12と、記憶部13とを備える。
制御部11は、CPU(Central Processing Unit)、ROM(Read Only Memory)及びRAM(Random Access Memory)を備えたマイクロコンピュータである。CPUは、ROMに記憶されたプログラム又は記憶部13に記憶されたプログラムを、RAMに読み出して実行することにより、認証サーバ10の各部を制御する。通信部12は、例えばモデムを備え、ネットワークNWに接続して通信する。通信部12は、制御部11の制御の下で、アクセスポイント20との間でデータの送受信を行う。
FIG. 2 is a diagram illustrating a hardware configuration of the
The
記憶部13は、例えばハードディスク装置を備え、制御部11により実行されるプログラム、サーバ証明書CE1,CE2及び認証情報DB(Data Base)131を記憶する。
サーバ証明書CE1は、各事業者に対して発行された証明書(電子証明書)である。認証サーバ10Aが記憶するサーバ証明書CE1は、事業者Aに対して発行され、認証サーバ10Bが記憶するサーバ証明書CE1は、事業者Bに対して発行されたものである。サーバ証明書CE2は、事業者Aと事業者Bとで共通に使用される証明書(第1の証明書)である。サーバ証明書CE1,CE2は、公開鍵暗号化方式における公開鍵や所定の認証局の署名を含む。
The storage unit 13 includes, for example, a hard disk device, and stores programs executed by the
The server certificate CE1 is a certificate (electronic certificate) issued to each business operator. The server certificate CE1 stored in the
認証情報DB131は、クライアント装置30を認証するための認証情報が登録されたデータベースである。認証サーバ10Aの認証情報DB131には、クライアント装置30Aを認証するための認証情報が登録され、認証サーバ10Bの認証情報DB131には、クライアント装置30Bを認証するための認証情報が登録されている。認証情報は、ここでは、ユーザIDとパスワードとの組み合わせである。
The
図3は、アクセスポイント20のハードウェア構成を示す図である。図3に示すように、アクセスポイント20は、制御部21と、中継部22と、記憶部23と、発信部24とを備える。
制御部21は、CPU、ROM及びRAMを備えたマイクロコンピュータである。CPUは、ROMに記憶されたプログラム又は記憶部23に記憶されたプログラムを、RAMに読み出して実行することにより、アクセスポイント20の各部を制御する。中継部22は、制御部21の制御の下で、通信プロトコルの変換等を行い、ネットワークNWに接続された各装置と、クライアント装置30との間で行われるデータの送受信を中継する中継処理を行う。記憶部23は、例えばハードディスク装置を備え、制御部21により実行されるプログラムや、発信すべき固有SSIDや共通SSIDを特定する情報を含む。発信部24は、無線通信回路及びアンテナを備え、制御部21の制御の下で、固有SSID及び共通SSID(ビーコン)を発信する。
FIG. 3 is a diagram illustrating a hardware configuration of the
The
図4は、クライアント装置30のハードウェア構成を示す図である。図4に示すように、クライアント装置30は、制御部31と、UI(User Interface)部32と、通信部33と、記憶部34とを備える。
制御部31は、CPU、ROM及びRAMを備えたマイクロコンピュータである。CPUは、ROMに記憶されたプログラム又は記憶部34に記憶されたプログラムを、RAMに読み出して実行することにより、クライアント装置30の各部を制御する。UI部32は、各種の画像を表示する表示部と、ユーザにより操作される操作部とを備えたユーザインタフェースである。通信部33は、無線通信回路及びアンテナを備え、ネットワークNWに接続して通信する。通信部33は、制御部31の制御の下で、アクセスポイント20との間でデータの送受信を行う。
FIG. 4 is a diagram illustrating a hardware configuration of the
The
記憶部34は、例えばEEPROM(Electronically Erasable and Programmable ROM)又はフラッシュメモリを備え、各種のデータを記憶する。記憶部34は、制御部31により実行されるプログラム、サーバ証明書CE3,CE4及び認証情報U1,U2を記憶する。
サーバ証明書CE3は、各事業者に対して発行された証明書である。クライアント装置30Aが記憶するサーバ証明書CE3は、認証サーバ10Aが記憶するサーバ証明書CE1に対応する証明書である。クライアント装置30Bが記憶するサーバ証明書CE3は、認証サーバ10Bのサーバ証明書CE1に対応する証明書である。サーバ証明書CE4は、事業者Aと事業者Bとで共通に使用される証明書(第2の証明書)である。サーバ証明書CE4は、サーバ証明書CE2に対応する証明書である。サーバ証明書CE4は、ここでは、クライアント装置30の製造段階等で、記憶部34に記憶される(即ちプリセットされている)。サーバ証明書CE3,CE4は、公開鍵暗号化方式における公開鍵や、所定の認証局の署名を含む。
The
The server certificate CE3 is a certificate issued to each business operator. The server certificate CE3 stored in the
認証情報U1は、固有SSIDに対応付けられた認証情報である。認証情報U1は、例えば、認証情報DB131に登録された認証情報と一致するように設定された文字列で表される。認証情報U2は、共通SSIDに対応付けられた認証情報で、ユーザにより任意に設定された文字列、又は、クライアント装置30の製造段階等で記憶部34に記憶された(即ちプリセットされた)文字列で表される。即ち、認証情報U2は、認証情報DB131によらないで設定されてよいが、その理由については後で説明する。
The authentication information U1 is authentication information associated with the unique SSID. For example, the authentication information U1 is represented by a character string set to match the authentication information registered in the
次に、認証システム2で行われるクライアント装置30の認証について説明する。以下、平常時に行われる<I:固有SSID発信時の認証>と、災害発生時に行われる<II:共通SSID発信時の認証>とを説明する。認証システム2では、EAP認証プロトコルの一種である、EAP−TTLS(Transport Layer Security)又はPEAP(Protected EAP)の方式に従って認証が行われる。
Next, authentication of the
<I:固有SSID発信時の認証>
図5は、認証システム2の固有SSID発信時の認証に関する機能構成を示すブロック図である。
アクセスポイント20のSSID発信部201は、AP制御装置40から、固有SSIDの発信を制御する発信制御信号を受信する(A)。この発信制御信号の受信に応じて、SSID発信部201は、固有SSIDを発信する(B)。
<I: Authentication when sending unique SSID>
FIG. 5 is a block diagram showing a functional configuration related to authentication when the
The
クライアント装置30のSSID受信部301は、接続したアクセスポイント20から、SSID発信部201が発信した固有SSIDを受信し、これを認証要求部302に供給する(C)。固有SSIDが受信されると、認証要求部302は、受信された固有SSIDを発信したアクセスポイント20へ認証を要求する(D)。
アクセスポイント20の中継処理部202は、クライアント装置30から、認証要求部302が行った認証要求を受け付ける(即ち受信する)と、これを認証サーバ10へ送信する(E)。この認証要求は、例えば、アクセスポイント20が発信した固有SSIDを含む。
The
When the
認証サーバ10の認証要求受付部101は、中継処理部202が送信した認証要求を受け付けて、これを証明書送信部102に供給する。認証要求が受け付けられると、証明書送信部102は、受信された固有SSIDに応じて、サーバ証明書CE1を、アクセスポイント20へ送信する(G)。サーバ証明書CE1は、固有SSIDを受信した際に送信するように予め決められている。
アクセスポイント20の中継処理部202は、証明書送信部102が送信したサーバ証明書CE1を受信すると、これをクライアント装置30へ送信する(H)。
The authentication
When the
クライアント装置30の証明書受信部303は、中継処理部202が送信したサーバ証明書CE1を受信すると、これをサーバ認証部304に供給する(I)。
サーバ認証部304は、受信されたサーバ証明書CE1と、記憶部34に記憶されたサーバ証明書CE3とに基づいて、サーバ認証を行う。サーバ認証部304は、受信されたサーバ証明書CE1自体、又はルート認証局の証明書(ルート証明書)を用いて、サーバ証明書CE1を識別する。サーバ認証のアルゴリズムは公知のアルゴリズムでよく、サーバ認証部304は、サーバ証明書CE3に含まれる公開鍵を用いて、サーバ証明書CE1に含まれる認証局の署名の正当性を検証するとよい。
サーバ認証部304は、サーバ認証に成功したかどうかを判定し、判定結果を認証情報送信部305に通知する(J)。
Upon receiving the server certificate CE1 transmitted from the
The
The
認証情報送信部305は、サーバ認証部304によりサーバ認証に成功したと判定された場合には、記憶部34に記憶され、固有SSIDに対応付けられた認証情報U1を、アクセスポイント20へ送信する(K)。認証情報送信部305は、サーバ認証に失敗したと判定された場合には、認証情報U1を送信しない。
アクセスポイント20の中継処理部202は、認証情報送信部305により送信された認証情報U1を受信すると、これを認証サーバ10へ送信する(L)。
なお、EAP−TTLSやPEAPの方式に従った認証では、認証サーバ10とクライアント装置30とがTLSのトンネルを張り、このトンネル内で認証が行われる。認証サーバ10とクライアント装置30とが、アクセスポイント20を介して、認証情報を送受信する場合には、このトンネルが使用される。また、認証情報の送受信に先立ち、クライアント装置30は、受信したサーバ証明書CE1を用いて暗号化した共通鍵を認証サーバ10に送信し、認証サーバ10は、受信した共通鍵を、記憶したサーバ証明書CE1に紐づく秘密鍵で復号する。認証情報の送受信は、この共通鍵を用いた暗号化通信により行われる。後述する<II:共通SSID発信時の認証>においても、サーバ証明書CE2に基づいて同様の処理が行われる。
If the
When the
In the authentication according to the EAP-TTLS or PEAP method, the
クライアント認証部103は、中継処理部202が送信した認証情報U1を受信すると、受信された認証情報U1に基づいて、クライアント認証を行う。クライアント認証部103は、固有SSIDを発信しているアクセスポイント20を介して、認証情報が受信された場合には、受信された認証情報が、認証情報DB131に登録されているかどうかを判定する。クライアント認証部103は、認証情報U1が認証情報DB131に登録されている場合には、クライアント認証に成功したと判定し、認証情報U1が認証情報DB131に登録されていない場合には、クライアント認証に失敗したと判定する。
クライアント認証部103は、クライアント認証に成功したと判定した場合には、成功の旨を通知する成功通知を、アクセスポイント20へ送信する(M)。
中継処理部202は、クライアント認証部103が送信した成功通知を受信すると、これをクライアント装置30へ送信する(N)。
その後、アクセスポイント20は、受信した成功通知に基づいて、認証に成功したクライアント装置30をインターネット回線INTへ接続させる。
Upon receiving the authentication information U1 transmitted from the
When the
Upon receiving the success notification transmitted by the
Thereafter, the
以上のとおり、平常時(即ち固有SSIDの発信時)には、事業者毎に異なるサーバ証明書CE1,CE3に基づいて行われるサーバ認証、及び、認証情報U1が認証情報DB131に登録されているかどうかを判定するクライアント認証の成功が、認証サーバ10における認証の成功の条件となる。よって、認証サーバ10Aは、クライアント装置30Aの認証に成功することはあるが、クライアント装置30Bの認証には成功しない。また、認証サーバ10Bは、クライアント装置30Bの認証に成功することはあるが、クライアント装置30Aの認証には成功しない。
As described above, in normal times (that is, when a unique SSID is transmitted), whether server authentication performed based on server certificates CE1 and CE3 that are different for each provider and authentication information U1 are registered in the
<II:共通SSID発信時の認証>
図6は、認証システム2の共通SSID発信時の認証に関する機能構成を示すブロック図である。
アクセスポイント20のSSID発信部201は、AP制御装置40から、共通SSIDの発信を制御する発信制御信号を受信する(A)。この発信制御信号の受信に応じて、SSID発信部201は、共通SSIDを発信する(B)。
<II: Authentication when sending common SSID>
FIG. 6 is a block diagram showing a functional configuration related to authentication when the
The
クライアント装置30のSSID受信部301は、接続したアクセスポイント20から、SSID発信部201が発信した共通SSIDを受信し、これを認証要求部302に供給する(C)。共通SSIDが受信されると、認証要求部302は、受信された共通SSIDを発信したアクセスポイント20へ認証を要求する(D)。
アクセスポイント20の中継処理部202は、認証要求部302が行った認証要求を受け付けると、これを認証サーバ10へ送信する(E)。この認証要求は、例えば、アクセスポイント20が発信した共通SSIDを含む。
The
When receiving the authentication request made by the
認証サーバ10の認証要求受付部101は、中継処理部202が送信した認証要求を受け付けて、これを証明書送信部102に供給する。認証要求が受け付けられると、証明書送信部102は、受信された共通SSIDに応じて、サーバ証明書CE2を、アクセスポイント20へ送信する(G)。サーバ証明書CE2は、共通SSIDを受信した際に送信するように、予め決められている。
アクセスポイント20の中継処理部202は、証明書送信部102が送信したサーバ証明書CE2を受信すると、これをクライアント装置30へ送信する(H)。
The authentication
When the
クライアント装置30の証明書受信部303は、中継処理部202が送信したサーバ証明書CE2を受信すると、これをサーバ認証部304に供給する(I)。
サーバ認証部304は、受信されたサーバ証明書CE2と、記憶部34に記憶されたサーバ証明書CE4とに基づいて、サーバ認証を行う。サーバ認証部304は、前述したアルゴリズムと同様、サーバ証明書CE4に含まれる公開鍵を用いて、サーバ証明書CE2に含まれる認証局の署名の正当性を検証する。
サーバ認証部304は、サーバ認証に成功したかどうかを判定し、判定結果を認証情報送信部305に通知する(J)。
Upon receiving the server certificate CE2 transmitted from the
The
The
認証情報送信部305は、サーバ認証部304によりサーバ認証に成功したと判定された場合には、記憶部34に記憶され、共通SSIDに対応付けられた認証情報U2を、アクセスポイント20へ送信する(K)。認証情報送信部305は、サーバ認証に失敗したと判定された場合には、認証情報U2を送信しない。
アクセスポイント20の中継処理部202は、認証情報送信部305により送信された認証情報U2を受信すると、これを認証サーバ10へ送信する(L)。
If the
When the
クライアント認証部103は、中継処理部202が送信した認証情報U2を受信すると、受信された認証情報U2に基づいて、クライアント認証を行う。クライアント認証部103は、共通SSIDを発信しているアクセスポイント20を介して、認証情報を受信した場合には、当該認証情報によらないで、クライアント認証に成功したと判定する。即ち、クライアント認証部103は、認証情報U2のユーザID及びパスワードがどのように設定されていても、クライアント認証に成功したと判定する。
クライアント認証部103は、クライアント認証に成功したと判定した場合には、成功の旨を通知する成功通知を、アクセスポイント20へ送信する(M)。
中継処理部202は、クライアント認証部103が送信した成功通知を受信すると、これをクライアント装置30へ送信する(N)。
アクセスポイント20は、受信した成功通知に基づいて、認証に成功したクライアント装置30をインターネット回線INTへ接続させる。
Upon receiving the authentication information U2 transmitted from the
When the
Upon receiving the success notification transmitted by the
Based on the received success notification, the
以上のとおり、災害発生時(即ち共通SSIDの発信時)に、アクセスポイント20が複数の事業者に跨って開放された場合には、サーバ認証は、事業者Aと事業者Bとで共通のサーバ証明書CE2,CE4に基づいて行われる。このため、クライアント装置30Aが、認証システム2Bのアクセスポイント20Bに接続した場合や、クライアント装置30Bが、認証システム2Aのアクセスポイント20Aに接続した場合にも、サーバ認証に成功する。他方、悪意のある人物によって、共通SSIDを発信する偽装アクセスポイントが設置された場合であっても、この人物はサーバ証明書CE2に紐づく秘密鍵を有しないので、クライアント装置30がこの偽装アクセスポイントに接続できない。
As described above, when the
更に、クライアント認証は、任意に設定された認証情報U2の使用によって成功する。このため、ユーザが認証用のユーザIDやパスワードを覚えていなくとも、クライアント認証は成功する。よって、災害の発生時に緊急の通信を要する場合において、クライアント装置30がアクセスポイント20に接続してサービスを利用できない事態が発生しにくくなり、ユーザビリティが改善される。
Furthermore, the client authentication is successful by using arbitrarily set authentication information U2. For this reason, even if the user does not remember the user ID and password for authentication, the client authentication is successful. Therefore, when urgent communication is required when a disaster occurs, it becomes difficult for the
また、認証システム2によれば、従来方式のEAP認証プロトコルを改変しなくとも、クライアント装置30の認証を行うことができる。ただし、固有SSIDの発信時の認証、及び共通SSIDの発信時の認証は、EAP−TTLS又はPEAPに限られず、EAP−SIMやEAP−AKA等の別のEAP認証プロトコルに基づいて行われてもよい。例えば、EAP−SIMやEAP−AKAでは、認証情報がクライアント装置30にプリセットされることが多いので、ユーザは認証情報を手動で設定しなくてもよい。また、固有SSIDの発信時の認証は、Web認証方式等の、更に別の認証方式に基づいて行われてもよい。
Further, according to the
[第2実施形態]
本実施形態では、共通SSIDの発信時のサービスの提供に関する実施例を説明する。以下の説明において、上述した第1実施形態と同じ要素については同じ符号を付して表し、その説明を省略又は簡略化する。
[Second Embodiment]
In the present embodiment, an example relating to provision of a service when a common SSID is transmitted will be described. In the following description, the same elements as those in the first embodiment described above are denoted by the same reference numerals, and the description thereof is omitted or simplified.
図7は、本発明の第2実施形態に係る通信システム3の全体構成を示す図である。
図7に示すように、通信システム3は、認証システム2A,2Bと、複数のクライアント装置30(30A,30B)と、ネットワークNWA,NWBに接続された行動管理サーバ50とを備える。行動管理サーバ50は、クライアント装置30によるアクセスポイント20と接続され、当該接続の履歴に基づいて、クライアント装置30のユーザの行動情報を管理する行動管理装置である。行動管理サーバ50は、ユーザの行動情報を、当該ユーザの安否確認の目的で、他者のクライアント装置30に提供する機能を有する。
FIG. 7 is a diagram showing an overall configuration of the
As shown in FIG. 7, the
図8は、行動管理サーバ50のハードウェア構成を示す図である。図8に示すように、行動管理サーバ50は、制御部51と、通信部52と、記憶部53とを備える。
制御部51は、CPU、ROM及びRAMを備えたマイクロコンピュータである。CPUは、ROMに記憶されたプログラム又は記憶部53に記憶されたプログラムを、RAMに読み出して実行することにより、行動管理サーバ50の各部を制御する。通信部52は、例えばモデムを備え、ネットワークNWA及びNWBの各々と接続して通信する。通信部52は、制御部51の制御の下で、アクセスポイント20又はAP制御装置40との間でデータの送受信を行う。記憶部53は、例えばハードディスク装置を備え、制御部51により実行されるプログラム、及び行動管理DB(Data Base)531を記憶する。行動管理DB531は、クライアント装置30毎に、ユーザの行動を管理するための情報が格納されるデータベースである。
FIG. 8 is a diagram illustrating a hardware configuration of the
The
図9は、行動管理DB531の構成例を示す図である。
図9に示すように、行動管理DB531は、クライアント装置30を一意に識別する識別子であるクライアントIDに対応付けて、AP情報と接続日時情報とを含む接続履歴情報が格納される。AP情報は、クライアント装置30が接続したアクセスポイント20の識別子である。AP情報は、ここでは、アクセスポイント20の符号を用いて表される。接続日時情報は、クライアント装置30がアクセスポイント20に接続した日時を表す。
FIG. 9 is a diagram illustrating a configuration example of the
As illustrated in FIG. 9, the
図10は、通信システム3の行動管理に関するシーケンス図である。以下では、図9に示す情報が行動管理DB531に格納されるときの通信システム3の動作を説明する。このため、図10には、クライアント装置30Aが、アクセスポイント20A−1,20B−2に接続する場合の動作が示されている。
アクセスポイント20A−1,20B−2は、それぞれAP制御装置40A,40Bから受信した発信制御信号に応じて、共通SSIDの発信を開始する(ステップS1)。
ここで、クライアント装置30Aのユーザが、アクセスポイント20A−1のホットスポットを訪れたとする。そして、クライアント装置30Aが、アクセスポイント20A−1からSSIDを受信し(ステップS2)、認証サーバ10Aによりクライアント認証に成功したと判定されたとする(ステップS3)。ステップS3の処理は、図6を参照して説明したクライアント装置30の認証に関する機能により実現される。
FIG. 10 is a sequence diagram relating to behavior management of the
The access points 20A-1 and 20B-2 start transmitting the common SSID in response to the transmission control signals received from the
Here, it is assumed that the user of the
クライアント装置30Aの制御部31は、アクセスポイント20A−1を介して成功通知を受信すると、ユーザの行動情報の管理を要求する行動管理要求を、通信部33を介して、アクセスポイント20A−1へ送信する(ステップS4)。行動管理要求は、例えば、クライアント装置30AのクライアントID「MID−A」を含む。行動管理要求を受け付けると、アクセスポイント20A−1の制御部21は、クライアント装置30Aの接続の履歴を特定する情報として、受け付けた行動管理要求に含まれるクライアントID「MID−A」と、自装置のAP情報「20A−1」とを、中継部22を介して行動管理サーバ50へ送信する(ステップS5)。行動管理サーバ50の制御部51は、通信部52を介してアクセスポイント20A−1から受信した、クライアントID「MID−A」と、AP情報「20A−1」と、これらの情報の受信日時を示す接続日時情報(ここでは「2014/7/1 10:00:00」)とを対応付けて、行動管理DB531に格納し、これを更新する(ステップS6)。
なお、接続日時情報は、行動管理サーバ50による情報の受信日時によって特定されるのではなく、アクセスポイント20A−1が、クライアント装置30Aの接続日時の情報を送信することによって特定されてもよい。
When the
Note that the connection date / time information is not specified by the information reception date / time by the
次に、クライアント装置30Aのユーザが、アクセスポイント20B−2のホットスポットを訪れると、通信システム3では、図10のステップS7〜S11の処理ステップが実行される。ステップS7〜S11の各処理は、ステップS2〜S6の処理の説明から容易に類推できるはずである。ステップS11では、行動管理サーバ50の制御部51は、アクセスポイント20B−2から受信した、クライアントID「MID−A」と、AP情報「20B−2」と、これらの情報の受信日時を示す接続日時情報(ここでは「2014/7/1 11:05:03」)とを対応付けて、行動管理DB531に格納し、これを更新する。
Next, when the user of the
以上の動作を繰り返していくことにより、行動管理サーバ50は、クライアント装置30のアクセスポイント20への接続履歴に基づいて、ユーザが訪れたホットスポット、即ち災害時の行動を管理する。行動管理サーバ50は、所定のクライアント装置30から、クライアントIDを指定した安否確認の要求を受け付けた場合には、行動管理DB531において当該クライアントIDに対応付けられた接続履歴情報に基づいて、ユーザの行動情報を送信する。
By repeating the above operation, the
ところで、災害の発生時から時間が経過するにつれて、ユーザの置かれる状況が改善(復旧)し、全てのアクセスポイント20で共通SSIDを発信させる必要がなくなることがある。この場合であっても、ユーザの行動管理を引き続き行うことができるように、通信システム3では、一部のアクセスポイント20を固有SSIDの発信に戻す一方で、他のアクセスポイント20では共通SSIDの発信を継続させてもよい。ここで、アクセスポイント20A−1が訪れる人の数がさほど多くない場所に設置され、アクセスポイント20B−2が訪れる人の数が多い場所(例えばランドマーク)に設置されている場合を考える。この場合、通信システム3では、図11のシーケンス図に示すように、クライアント装置30のユーザの行動管理が行われる。
By the way, as time elapses from the time of the occurrence of the disaster, the situation where the user is placed may be improved (recovered), and it may not be necessary to transmit a common SSID at all the access points 20. Even in this case, the
図11に示すように、アクセスポイント20A−1の制御部21は、AP制御装置40Aから受信された発信制御信号に応じて、共通SSIDの発信を停止させ(ステップS12)、固有SSIDの発信を開始させる(ステップS13)。この場合、クライアント装置30Aが固有SSIDを受信して(ステップS14)、認証サーバ10Aによる認証に成功した場合であっても(ステップS15)、クライアント装置30Aにより行動管理要求は送信されない。他方、アクセスポイント20B−2は共通SSIDを発信し続けているので、アクセスポイント20B−2のホットスポットをユーザが訪れた場合は、ステップS16〜S20の処理が実行されて、行動管理サーバ50の行動管理DB531が更新される。ステップS16〜S20の各処理は、ステップS2〜S6の処理の説明から容易に類推できるはずである。
なお、通信システム3において、固有SSIDの発信に戻すアクセスポイント20と、共通SSIDを継続して発信するアクセスポイント20とは、上述したとおり設置場所を考慮して決められる例に限られず、他の規則に基づいて決められてもよい。また、通信システム3では、災害発生時からの経過時間に応じて、共通SSIDを発信するアクセスポイント20が段階的に減らしてもよい。
As shown in FIG. 11, the
In the
以上の説明では、クライアント装置30が行動管理要求を送信する構成であったが、この構成に限られない。例えば、行動管理サーバ50は、クライアント装置30の認証時に、アクセスポイント20が認証サーバ10に付与する情報から、ユーザの行動管理のための情報(例えば、アクセスポイント20の情報やクライアント30のMACアドレス等)を取得し、ユーザの行動情報を管理してもよい。また、行動管理サーバ50は、AP制御装置40からユーザの行動情報の管理のための情報を取得してもよい。
In the above description, the
[第3実施形態]
上述した第1実施形態の通信システム1では、或る規模以上の災害が発生したことを条件に、共通SSIDの発信が開始されていた。これに対し、本実施形態の通信システムでは、災害の発生に限られず、所定の事象が発生したことを条件として、共通SSIDの発信が開始される。以下の説明において、上述した第1実施形態と同じ要素については同じ符号を付して表し、その説明を省略又は簡略化する。本実施形態の通信システム1の全体構成は、図1に示す構成と同じでよい。ただし、AP制御装置40の構成及び動作が、上述した第1実施形態と相違する。
[Third Embodiment]
In the
図12は、本実施形態のAP制御装置40のハードウェア構成を示す図である。図12に示すように、AP制御装置40は、制御部41と、通信部42と、事象検知部43とを備える。
制御部41は、CPU、ROM及びRAMを備えたマイクロコンピュータである。CPUは、ROMに記憶されたプログラムに記憶されたプログラムを、RAMに読み出して実行することにより、AP制御装置40の各部を制御する。制御部41は、共通SSIDの発信条件を満たしたと判定した場合には、共通SSIDの発信を開始させる発信制御信号を、通信部42を介してアクセスポイント20に送信する(即ち発信制御部)。通信部42は、例えばモデムを備え、ネットワークNWに接続して通信する。通信部42は、制御部41の制御の下で、アクセスポイント20との間でデータの送受信を行う。
FIG. 12 is a diagram illustrating a hardware configuration of the
The
事象検知部43は、共通SSIDの発信条件を満たしたかどうかを判定するための所定の事象を検知する。この事象の具体例として、以下の(1)〜(3)がある。
(1)ネットワークNWの状態
制御部41は、例えば、ネットワークNWの状態が、所定の状態になったことが事象検知部43により検知された場合に、発信条件を満たしたと判定する。ネットワークNWの状態としては、例えば、ネットワークNWのトラヒック量がある。ネットワークNWのトラヒック量が多い場合、災害の発生等を原因として、多くのクライアント装置30がネットワークNW経由の通信を行ったと推定することができる。そこで、制御部41は、事象検知部43によりネットワークNWのトラヒック量を検知し、このトラヒック量が閾値になったと判定した場合には、発信条件を満たしたと判定する。
ネットワークNWのトラヒック量の増大は、災害発生以外にも、花火や初詣等の所定のイベントが開催される等、所定の場所での人の混雑度合いが高くなった場合にも発生し得る。この場合、AP制御装置40は、人が多く集まった場所において、無線LANサービスを利用しやすい環境を作り出す目的で、共通SSIDを発信することとなる。
The
(1) State of network NW The
In addition to the occurrence of a disaster, an increase in the traffic volume of the network NW may also occur when the degree of congestion of a person at a predetermined place becomes high, such as when a predetermined event such as fireworks or a first event is held. In this case, the
(2)クライアント装置30が接続可能な他の通信回線の状態
制御部41は、例えば、クライアント装置30が接続可能な他の通信回線の状態が、所定の状態になったことが事象検知部43により検知された場合に、発信条件を満たしたと判定する。クライアント装置30が接続可能な他の通信回線として、例えば、3G回線等の移動通信網がある。この通信回線のトラヒック量が多い場合、又は故障等の異常が発生した場合には、当該通信回線を介した通信に支障を来たす可能性がある。そこで、制御部41は、クライアント装置30が接続可能な他の通信回線のトラヒック量が閾値になったと判定した場合、又は異常が発生したと判定した場合には、発信条件を満たしたと判定する。これにより、クライアント装置30は、ネットワークNW以外の通信回線に接続して通信できない場合であっても、ネットワークNW経由で通信することができる。
(2) State of other communication line to which
(3)アクセスポイント20とクライアント装置30との通信状況
制御部41は、例えば、アクセスポイント20とクライアント装置30との通信状況が、所定の状態になったことが事象検知部43により検知された場合に、発信条件を満たしたと判定する。
アクセスポイント20とクライアント装置30との通信状況として、例えば、当該アクセスポイント20と通信する海外のユーザのクライアント装置30の数がある。海外のユーザのクライアント装置30は、移動通信網等のネットワークNW以外の通信回線に接続して通信できない可能性がある。そこで、制御部41は、海外のユーザのクライアント装置30の接続数又はプローブ数(即ち、プローブ応答をしたクライアント装置30の数)が閾値以上になったアクセスポイント20については、共通SSIDを発信させる。海外のユーザのクライアント装置30を検知するための方法の一例として、事象検知部43は、クライアント装置30からMACアドレスを取得して、製造メーカを特定することにより、海外のユーザのクライアント装置30を検知する。別の方法として、クライアント装置30が使用される国や地域を識別するIDが記憶部34に記憶されている場合には、事象検知部43は、このIDをクライアント装置30から取得して、海外のユーザのクライアント装置30を検知してもよい。
(3) Communication status between
Examples of the communication status between the
アクセスポイント20とクライアント装置30との通信状況の別の例として、アクセスポイント20における混雑度の指標となる状況がある。例えば、アクセスポイント20における、クライアント装置30の接続数又はプローブ数(総数)である。この場合、制御部41は、混雑度、即ちクライアント装置30の接続数又はプローブ数が閾値になったアクセスポイント20については、共通SSIDを発信させる。
As another example of the communication status between the
以上説明した事象と発信条件との関係は、あくまで一例である。例えば、制御部41は、アクセスポイント20が設置された位置を検知して、この位置が発信条件を満たしているかどうかを判定してもよい。例えば、制御部41は、飛行機等の所定の乗物に設置されたアクセスポイント20については、発信条件を満たしていると判定する。また、また、制御部41は、現在日時を検知して、検知した日時が発信条件を満たしているかどうかを判定してもよい。例えば、制御部41は、検知した日時が、トラヒック量が増大しやすい所定の日時に合致する場合には、発信条件を満たしていると判定する。
なお、制御部41は、上述した2以上の事象を検知して、検知した事象に基づいて共通SSIDの発信を制御してもよい。
The relationship between the event and the transmission condition described above is merely an example. For example, the
The
[変形例]
本発明は、上述した実施形態と異なる形態で実施することが可能である。本発明は、例えば、以下のような形態で実施することも可能である。また、以下に示す変形例は、各々を適宜に組み合わせてもよい。
(変形例1)
クライアント装置30は、共通SSIDと固有SSIDとを同時期に受信した場合には、共通SSIDを発信したアクセスポイント20に、優先的に接続してもよい。その理由は、クライアント装置30が、共通SSIDを発信したアクセスポイント20に接続した方が、この接続に関してユーザの負担が軽減されると考えられるからである。例えば、クライアント装置30のユーザが、災害発生地域とそれ以外の地域との境界付近に居る場合には、このクライアント装置30は、共通SSIDと固有SSIDとを同時期に受信する可能性がある。
この変形例において、クライアント装置30の認証要求部302(図6参照)は、SSID受信部301により共通SSID及び固有SSIDが同時期に受信された場合には、共通SSIDを発信したアクセスポイント20へ認証を要求する。即ち、認証要求部302は、固有SSIDを発信したアクセスポイント20へ認証を要求しない。認証要求部302は、ユーザによる接続相手のアクセスポイント20を指定する操作なしに、認証を要求してもよい。クライアント装置30が実現する他の機能は、上述した第1実施形態と同じでよい。
[Modification]
The present invention can be implemented in a form different from the above-described embodiment. The present invention can also be implemented in the following forms, for example. Further, the following modifications may be combined as appropriate.
(Modification 1)
When the
In this modification, the authentication request unit 302 (see FIG. 6) of the
(変形例2)
上述した各実施形態では、認証サーバ10は、固有SSID発信時の認証と、共通SSID発信時の認証との両方を行っていた。これに代えて、認証サーバ10が、共通SSID発信時の認証を行い、別途設けられた固有SSID発信時用の認証サーバが、固有SSID発信時の認証を行ってもよい。この場合、認証サーバ10は、図6を用いて説明した機能を実現する一方で、図5を用いて説明した機能を実現しない。
この変形例において、アクセスポイント20は、共通SSIDを発信しているときに、クライアント装置30からデータを受信した場合には、認証サーバ10にデータを中継し、固有SSIDを発信しているときに、クライアント装置30からデータを受信した場合には、固有SSID発信時用の認証サーバにデータを中継するように、発信しているSSIDに応じて、データの中継経路を切り替えるとよい。この中継経路を切り替える機能を有しない場合には、アクセスポイント20は、クライアント装置30からのデータを、認証サーバ10と、固有SSID発信時用の認証サーバとの両方に中継する。この場合、認証サーバ10は、データを中継したアクセスポイント20が共通SSIDを発信している場合には、認証に関わる処理を行う一方で、アクセスポイント20が固有SSIDを発信している場合には、認証に関わる処理を行わないようにする。
(Modification 2)
In each of the above-described embodiments, the
In this modification, the
(変形例3)
上述した各実施形態では、アクセスポイント20は、固有SSIDと共通SSIDとを選択的に発信していた。これに代えて、アクセスポイント20は、固有SSIDの発信を継続的に行い、共通SSIDを発信する場合には、固有SSIDと共通SSIDとの両方を同時に発信してもよい。この変形例において、クライアント装置30は、上述した変形例1で説明した方法で、共通SSIDを発信するアクセスポイント20に優先的に接続してもよい。
アクセスポイント20は、AP制御装置40の機能を有してもよい。即ち、アクセスポイント20は、自機の機能により共通SSIDを発信すべき条件を満たしたと判定した場合には、共通SSIDを発信し、その条件を満たさなくなったと判定した場合には、共通SSIDの発信を停止させる。
上述した各実施形態では、無線LANサービスは、Wi−Fiの規格に準拠していたが、WiMAX(登録商標)等の他の規格に準拠していてもよい。よって、本発明の識別子(第1の識別子又は第2の識別子)もSSIDに限られない。
本発明の認証システムで使用される共通SSIDは、1つに限られず、2つ以上存在していてもよい。
また、上記事項以外にも、上述した実施形態で説明した構成及び動作(装置間でやり取りされるデータを含む。)の一部が変形又は省略されてもよい。
(Modification 3)
In each embodiment described above, the
The
In each embodiment described above, the wireless LAN service conforms to the Wi-Fi standard, but may conform to other standards such as WiMAX (registered trademark). Therefore, the identifier (the first identifier or the second identifier) of the present invention is not limited to the SSID.
The common SSID used in the authentication system of the present invention is not limited to one, and two or more common SSIDs may exist.
In addition to the above items, some of the configurations and operations (including data exchanged between apparatuses) described in the above-described embodiments may be modified or omitted.
(変形例4)
上述した各実施形態の各装置が実現する各機能は、1又は複数のハードウェア回路により実現されてもよいし、1又は複数のプログラムを演算装置が実行することにより実現されてよいし、これらの組み合わせにより実現されてもよい。各装置の機能がプログラムを用いて実現される場合、このプログラムは、磁気記録媒体(磁気テープ、磁気ディスク(HDD(Hard Disk Drive)、FD(Flexible Disk))等)、光記録媒体(光ディスク等)、光磁気記録媒体、半導体メモリ等のコンピュータ読取可能な記録媒体に記憶した状態で提供されてもよいし、ネットワークを介して配信されてもよい。また、本発明は、認証サーバとアクセスポイントとにより実現される認証方法としても把握し得る。
(Modification 4)
Each function realized by each device of each embodiment described above may be realized by one or a plurality of hardware circuits, or may be realized by an arithmetic device executing one or a plurality of programs, or these It may be realized by a combination of When the function of each device is realized using a program, this program can be a magnetic recording medium (magnetic tape, magnetic disk (HDD (Hard Disk Drive), FD (Flexible Disk), etc.)), optical recording medium (optical disk, etc.). ), May be provided in a state of being stored in a computer-readable recording medium such as a magneto-optical recording medium or a semiconductor memory, or may be distributed via a network. The present invention can also be understood as an authentication method realized by an authentication server and an access point.
1,3…通信システム、2,2A,2B…認証システム、10,10A,10B…認証サーバ、101…認証要求受付部、102…証明書送信部、103…クライアント認証部、11,21,31,41,51…制御部、12,33,42,52…通信部、13,23,34,43,53…記憶部、131…認証情報DB、20,20A,20B…アクセスポイント、201…SSID発信部、202…中継処理部、22…中継部、24…発信部、30,30A,30B…クライアント装置、301…SSID受信部、302…認証要求部、303…証明書受信部、304…サーバ認証部、305…認証情報送信部、32…UI部、40,40A,40B…AP制御装置、50…行動管理サーバ、531…行動管理DB
DESCRIPTION OF
Claims (9)
前記認証サーバとネットワークを介して接続され、クライアント装置が接続するアクセスポイントと
を備える認証システムであって、
前記アクセスポイントは、
当該アクセスポイントに固有の第1の識別子と、前記複数の事業者で共通の第2の識別子とを発信可能であり、
前記認証サーバは、
前記複数の事業者で共通に使用される第1の証明書を記憶する記憶部と、
前記アクセスポイントが前記第2の識別子を発信している場合に、前記クライアント装置が接続したときには、記憶された前記第1の証明書を、当該アクセスポイントへ送信する証明書送信部と、
前記クライアント装置により受信された前記第1の証明書が、当該第1の証明書に対応する第2の証明書を用いて正当と判定された場合には、当該クライアント装置により送信された認証情報を、前記アクセスポイントを介して受信する認証情報受信部と、
前記第2の識別子を発信している前記アクセスポイントを介して、前記認証情報を受信した場合には、当該認証情報によらないで、前記クライアント装置の認証に成功したと判定するクライアント認証部と
を有する認証システム。 An authentication server managed for each of the plurality of companies;
An authentication system comprising: an access point connected to the authentication server via a network and connected to a client device;
The access point is
A first identifier unique to the access point and a second identifier common to the plurality of operators can be transmitted;
The authentication server is
A storage unit for storing a first certificate used in common by the plurality of operators;
When the access point is transmitting the second identifier and the client device is connected, a certificate transmission unit that transmits the stored first certificate to the access point;
If the first certificate received by the client device is determined to be valid using the second certificate corresponding to the first certificate, the authentication information transmitted by the client device An authentication information receiving unit for receiving via the access point;
A client authentication unit that determines that the authentication of the client device has succeeded without relying on the authentication information when the authentication information is received via the access point transmitting the second identifier; Having an authentication system.
ことを特徴とする請求項1に記載の認証システム。 The mobile device is connected to a behavior management device that manages behavior information of a user of the client device based on a history of connection of the client device to the access point that is transmitting the second identifier. Item 4. The authentication system according to Item 1.
前記第1のアクセスポイント及び第2のアクセスポイントが前記第2の識別子を発信している場合に、所定の条件を満たしたときには、前記第1のアクセスポイントが前記第2の識別子の発信を継続する一方で、前記第2のアクセスポイントが前記第2の識別子の発信を停止させて前記第1の識別子を発信する
ことを特徴とする請求項2に記載の認証システム。 As the access point, there is a first access point and a second access point,
When the first access point and the second access point transmit the second identifier and the predetermined condition is satisfied, the first access point continues to transmit the second identifier. On the other hand, the authentication system according to claim 2, wherein the second access point stops the transmission of the second identifier and transmits the first identifier.
を備えることを特徴とする請求項1に記載の認証システム。 The authentication system according to claim 1, further comprising: a transmission control unit that causes the access point to transmit the second identifier when it is determined that the transmission condition of the second identifier is satisfied.
前記ネットワークの状態、又は前記クライアント装置が接続可能な他の通信回線の状態が、所定の状態になったことが検知された場合に、前記発信条件を満たしたと判定する
ことを特徴とする請求項4に記載の認証システム。 The transmission control unit
The state of the network or the state of another communication line to which the client apparatus can be connected is determined to satisfy the transmission condition when it is detected that the state is a predetermined state. 4. The authentication system according to 4.
前記アクセスポイントと前記クライアント装置との通信状況が、所定の状態になったことが検知された場合に、前記発信条件を満たしたと判定する
ことを特徴とする請求項4又は請求項5に記載の認証システム。 The transmission control unit
6. The method according to claim 4, wherein when it is detected that a communication state between the access point and the client device is in a predetermined state, it is determined that the transmission condition is satisfied. Authentication system.
前記複数の事業者で共通に使用される第1の証明書を記憶する記憶部と、
前記アクセスポイントが前記複数の事業者で共通の識別子を発信している場合に、前記クライアント装置が接続したときには、記憶された前記第1の証明書を、当該アクセスポイントへ送信する証明書送信部と、
前記クライアント装置により受信された前記第1の証明書が、当該第1の証明書に対応する第2の証明書を用いて正当と判定された場合には、当該クライアント装置により送信された認証情報を、前記アクセスポイントを介して受信する認証情報受信部と、
前記識別子を発信している前記アクセスポイントを介して、前記認証情報を受信した場合には、当該認証情報によらないで、前記クライアント装置の認証に成功したと判定するクライアント認証部と
を備える認証サーバ。 An authentication server that is managed for each provider of a plurality of providers and is connected to an access point to which a client device is connected via a network,
A storage unit for storing a first certificate used in common by the plurality of operators;
When the client device is connected when the access point is transmitting a common identifier among the plurality of operators, a certificate transmission unit that transmits the stored first certificate to the access point When,
If the first certificate received by the client device is determined to be valid using the second certificate corresponding to the first certificate, the authentication information transmitted by the client device An authentication information receiving unit for receiving via the access point;
An authentication unit comprising: a client authentication unit that determines that the authentication of the client device has succeeded without relying on the authentication information when the authentication information is received via the access point transmitting the identifier server.
前記第2の証明書を記憶する記憶部と、
前記第1の識別子及び前記第2の識別子を受信した場合には、当該第2の識別子を発信した前記アクセスポイントへ認証を要求する認証要求部と、
前記認証の要求に応じて前記認証サーバにより送信された前記第1の証明書を、前記アクセスポイントから受信する証明書受信部と、
記憶された前記第2の証明書を用いて、受信された前記第1の証明書が正当かどうかを判定するサーバ認証部と、
受信された前記第1の証明書が正当と判定された場合には、前記認証情報を、前記アクセスポイントへ送信する認証情報送信部と
を備えるクライアント装置。 A client device connected to the access point included in the authentication system according to any one of claims 1 to 6,
A storage unit for storing the second certificate;
When the first identifier and the second identifier are received, an authentication request unit that requests authentication to the access point that has transmitted the second identifier;
A certificate receiving unit that receives from the access point the first certificate transmitted by the authentication server in response to the authentication request;
A server authentication unit that determines whether the received first certificate is valid by using the stored second certificate;
A client device comprising: an authentication information transmission unit that transmits the authentication information to the access point when the received first certificate is determined to be valid.
前記アクセスポイントが、前記複数の事業者で共通の識別子を発信するステップと、
前記認証サーバが、前記アクセスポイントが前記識別子を発信している場合に、前記クライアント装置が接続したときには、記憶した前記複数の事業者で共通に使用される第1の証明書を、当該アクセスポイントへ送信するステップと、
前記認証サーバが、前記クライアント装置により受信された前記第1の証明書が、当該第1の証明書に対応する第2の証明書を用いて正当と判定された場合には、当該クライアント装置により送信された認証情報を、前記アクセスポイントを介して受信するステップと、
前記認証サーバが、前記識別子を発信している前記アクセスポイントを介して、前記認証情報を受信した場合には、当該認証情報によらないで、前記クライアント装置の認証に成功したと判定するステップと
を有する認証方法。 An authentication method that is realized by an authentication server managed for each of a plurality of operators, and an access point connected to the authentication server via a network and connected to a client device,
The access point transmitting a common identifier among the plurality of operators;
When the client device is connected when the access point is transmitting the identifier, the authentication server uses the stored first certificate that is commonly used by the plurality of operators as the access point. Sending to
If the authentication server determines that the first certificate received by the client device is valid using the second certificate corresponding to the first certificate, the client device Receiving the transmitted authentication information via the access point;
A step of determining that the authentication of the client device is successful without relying on the authentication information when the authentication server receives the authentication information via the access point transmitting the identifier; An authentication method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014175316A JP6290044B2 (en) | 2014-08-29 | 2014-08-29 | Authentication system, authentication server, client device, and authentication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014175316A JP6290044B2 (en) | 2014-08-29 | 2014-08-29 | Authentication system, authentication server, client device, and authentication method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016051268A true JP2016051268A (en) | 2016-04-11 |
JP6290044B2 JP6290044B2 (en) | 2018-03-07 |
Family
ID=55658738
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014175316A Active JP6290044B2 (en) | 2014-08-29 | 2014-08-29 | Authentication system, authentication server, client device, and authentication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6290044B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018056898A (en) * | 2016-09-30 | 2018-04-05 | Necプラットフォームズ株式会社 | Access point, user terminal, communication control method, and communication control program |
JP2020501421A (en) * | 2016-12-06 | 2020-01-16 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | Improved public information system |
CN111052203A (en) * | 2017-09-26 | 2020-04-21 | Kddi株式会社 | Operation management method, operation management device, and operation management program |
CN111212426A (en) * | 2020-01-10 | 2020-05-29 | 中国联合网络通信集团有限公司 | Terminal access method, terminal, micro base station and access system |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006085719A (en) * | 2004-09-17 | 2006-03-30 | Fujitsu Ltd | Setting information distribution device, authentication setting transfer device, method, program, medium and setting information receiving program |
JP2007104245A (en) * | 2005-10-04 | 2007-04-19 | Ntt Docomo Inc | System and method for acquiring position of mobile terminal |
JP2007150633A (en) * | 2005-11-25 | 2007-06-14 | Tamura Seisakusho Co Ltd | Wireless lan access point, ip address management method using the same, and management program |
JP2008228089A (en) * | 2007-03-14 | 2008-09-25 | Nippon Telegr & Teleph Corp <Ntt> | Device, method, and program for selecting communication connection system |
JP2011197864A (en) * | 2010-03-18 | 2011-10-06 | Brother Industries Ltd | Controlling device and computer program |
US20140029512A1 (en) * | 2012-07-26 | 2014-01-30 | Stmicroelectronics, Inc. | Single-ssid and dual-ssid enhancements |
JP2014138204A (en) * | 2013-01-15 | 2014-07-28 | Kddi Corp | Wireless lan connection automation method, wireless lan connection automation system, and wireless lan access point device |
-
2014
- 2014-08-29 JP JP2014175316A patent/JP6290044B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006085719A (en) * | 2004-09-17 | 2006-03-30 | Fujitsu Ltd | Setting information distribution device, authentication setting transfer device, method, program, medium and setting information receiving program |
JP2007104245A (en) * | 2005-10-04 | 2007-04-19 | Ntt Docomo Inc | System and method for acquiring position of mobile terminal |
JP2007150633A (en) * | 2005-11-25 | 2007-06-14 | Tamura Seisakusho Co Ltd | Wireless lan access point, ip address management method using the same, and management program |
JP2008228089A (en) * | 2007-03-14 | 2008-09-25 | Nippon Telegr & Teleph Corp <Ntt> | Device, method, and program for selecting communication connection system |
JP2011197864A (en) * | 2010-03-18 | 2011-10-06 | Brother Industries Ltd | Controlling device and computer program |
US20140029512A1 (en) * | 2012-07-26 | 2014-01-30 | Stmicroelectronics, Inc. | Single-ssid and dual-ssid enhancements |
JP2014138204A (en) * | 2013-01-15 | 2014-07-28 | Kddi Corp | Wireless lan connection automation method, wireless lan connection automation system, and wireless lan access point device |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018056898A (en) * | 2016-09-30 | 2018-04-05 | Necプラットフォームズ株式会社 | Access point, user terminal, communication control method, and communication control program |
JP2020501421A (en) * | 2016-12-06 | 2020-01-16 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | Improved public information system |
US11140537B2 (en) | 2016-12-06 | 2021-10-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Public information system |
CN111052203A (en) * | 2017-09-26 | 2020-04-21 | Kddi株式会社 | Operation management method, operation management device, and operation management program |
CN111052203B (en) * | 2017-09-26 | 2022-09-06 | Kddi株式会社 | Operation management method, operation management device, and operation management program |
US11678294B2 (en) | 2017-09-26 | 2023-06-13 | Kddi Corporation | Operation management method, operation management device, and operation management program |
CN111212426A (en) * | 2020-01-10 | 2020-05-29 | 中国联合网络通信集团有限公司 | Terminal access method, terminal, micro base station and access system |
Also Published As
Publication number | Publication date |
---|---|
JP6290044B2 (en) | 2018-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3552418B1 (en) | Wireless network authorization using a trusted authenticator | |
US20240048985A1 (en) | Secure password sharing for wireless networks | |
JP6668407B2 (en) | Terminal authentication method and apparatus used in mobile communication system | |
RU2636679C2 (en) | Communication control device, authentication device, central control device and communication system | |
JP5497646B2 (en) | System and method for wireless network selection | |
CN104956638A (en) | Restricted certificate enrollment for unknown devices in hotspot networks | |
CN101610241A (en) | A kind of mthods, systems and devices of binding authentication | |
CN102209359A (en) | Communication relay device and communication relay method | |
CN109922474A (en) | Trigger the method and relevant device of network authentication | |
JP6290044B2 (en) | Authentication system, authentication server, client device, and authentication method | |
JP2007116509A (en) | Communication terminal, program, communication system, and method for outputting security information | |
JP2012531822A (en) | System and method for obtaining network credentials | |
CN112512048B (en) | Mobile network access system, method, storage medium and electronic device | |
JP2012531111A (en) | System and method for locating via a network | |
JP2023519997A (en) | Method and communication apparatus for securing terminal parameter updates | |
CN113543121A (en) | Protection method for updating terminal parameter and communication device | |
JP6182421B2 (en) | Relay device, communication system, communication method, and program | |
JP4777693B2 (en) | Authentication system, terminal device, authentication device, and authentication method | |
JP2013206005A (en) | Portable gateway having access restriction function | |
JP2010074481A (en) | Lan system, terminal device, utilization application device, and user account acquiring method | |
JP2015139090A (en) | Radio connection device, method for controlling radio connection device, and network system | |
JP6075885B2 (en) | Authentication system and online sign-up control method | |
JP2020017032A (en) | User authorization method for core network system including authorization device and service device | |
JP6334275B2 (en) | Authentication device, authentication method, authentication program, and authentication system | |
JP2006020088A (en) | Automatic connection method of network, apparatus for automatically connecting to network, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170215 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171205 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180130 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180207 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6290044 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |