JP2016051268A - Authentication system, authentication server, client device, and authentication method - Google Patents

Authentication system, authentication server, client device, and authentication method Download PDF

Info

Publication number
JP2016051268A
JP2016051268A JP2014175316A JP2014175316A JP2016051268A JP 2016051268 A JP2016051268 A JP 2016051268A JP 2014175316 A JP2014175316 A JP 2014175316A JP 2014175316 A JP2014175316 A JP 2014175316A JP 2016051268 A JP2016051268 A JP 2016051268A
Authority
JP
Japan
Prior art keywords
authentication
access point
client device
certificate
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014175316A
Other languages
Japanese (ja)
Other versions
JP6290044B2 (en
Inventor
懇辰 前嶋
Harunobu Maejima
懇辰 前嶋
徹也 稲垣
Tetsuya Inagaki
徹也 稲垣
小林 亮一
Ryoichi Kobayashi
亮一 小林
公博 大久保
Kimihiro Okubo
公博 大久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2014175316A priority Critical patent/JP6290044B2/en
Publication of JP2016051268A publication Critical patent/JP2016051268A/en
Application granted granted Critical
Publication of JP6290044B2 publication Critical patent/JP6290044B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

PROBLEM TO BE SOLVED: To prevent a client device from being connected to a disguised access point while securing usability when an access point is opened across a plurality of entrepreneurs.SOLUTION: An access point 20 is configured to transmit unique SSID(Service Set IDentifier) unique to own equipment and a common SSID common among a plurality of entrepreneurs. An authentication server 10 is configured to, when a client device 30 requests authentication, transmit a server certification CE2 to be commonly used by the plurality of entrepreneurs to the access point 20. The client device 30 is configured to, when determining that the server certificate CE2 received from the access point 20 is valid by using a server certificate CE4 corresponding to the server certificate CE2, transmit authentication information U2 to the access point 20. The authentication server 10 is configured to, when receiving the authentication information via the access point 20 which transmits the common SSID, determine that the authentication of the client device 30 has succeeded without depending on the authentication information.SELECTED DRAWING: Figure 6

Description

本発明は、複数の事業者に跨ってアクセスポイントを開放した場合の、クライアント装置の認証に関する。   The present invention relates to authentication of a client device when an access point is opened across a plurality of business operators.

Wi−Fi(登録商標)等の無線LAN(Local Area Network)サービスを提供するために、商業施設(例えば、商店や駅、空港、ホテル)等の人が訪れる場所には、アクセスポイントが設置されている。この無線LANサービスを利用することのできるユーザは、自身のクライアント装置をアクセスポイントに接続させて、インターネット経由で提供されるサービスを利用することができる。複数の事業者の無線LANサービスを利用する場合は、通常、事業者毎に、クライアント装置の認証に使用される認証情報や、サーバの認証に使用する証明書等の情報がクライアント装置に設定される。   In order to provide a wireless local area network (LAN) service such as Wi-Fi (registered trademark), an access point is installed in a place visited by a person such as a commercial facility (for example, a store, a station, an airport, or a hotel). ing. A user who can use this wireless LAN service can use a service provided via the Internet by connecting his client device to an access point. When using wireless LAN services of a plurality of business operators, authentication information used for client device authentication and information such as a certificate used for server authentication are usually set in the client device for each business operator. The

このような従来方式に対して、特許文献1には、キャリアが異なる複数のアクセスポイントに、ユーザの無線端末装置が共通の認証情報(共通認証情報)を用いて接続する技術が開示されている。この共通認証情報は、例えば、802.1x+EAPでのIDやパスワード、証明書情報を含む。非特許文献1には、大規模災害発生時に、公衆無線LANの無料開放の目的で、SSID(Service Set Identifier)を事業者間で共通にすることや、ユーザ認証及び暗号化を行わないことが記載されている。   In contrast to such a conventional method, Patent Document 1 discloses a technique in which a user's wireless terminal device is connected to a plurality of access points with different carriers using common authentication information (common authentication information). . The common authentication information includes, for example, an 802.1x + EAP ID, password, and certificate information. Non-Patent Document 1 states that, in the event of a large-scale disaster, there is no common use of SSID (Service Set Identifier) among operators for the purpose of free opening of public wireless LAN, and no user authentication and encryption are performed. Have been described.

再表2009/034624号Reissue 2009/034624

大規模災害発生時における公衆無線LANの無料開放に関するガイドライン いのちをつなぐ00000JAPAN 第1.0版、[online]、[平成26年8月1日検索]、インターネット(URL: http://www.wlan-business.org/info/pdf/Wi-Fi_Free_Guideline_v1.01_20140527.pdf)Guidelines for Free Opening of Public Wireless LAN in the Case of a Large-scale Disaster 00000JAPAN Version 1.0, [online], [August 1, 2014 Search] that connects life, Internet (URL: http: //www.wlan-business .org / info / pdf / Wi-Fi_Free_Guideline_v1.01_20140527.pdf)

認証用のIDやパスワードは、例えば、言語的な意味を持たない文字列で構成されることがあり、ユーザがすぐに思い出して設定するのが困難な場合がある。よって、特許文献1に記載の技術では、共通認証情報が事前に設定されていない場合、無線端末装置の近くにアクセスポイントが存在しても、ユーザは、この無線端末装置をこのアクセスポイントに接続させて、サービスを利用することができない場合がある。例えば、災害の発生時に緊急の通信を要する場合にも同様となり、特許文献1に記載の技術では、ユーザビリティの観点で望ましくない場合がある。   The authentication ID and password may be composed of, for example, a character string that has no linguistic meaning, and may be difficult for the user to remember and set immediately. Therefore, in the technique described in Patent Document 1, when the common authentication information is not set in advance, even if an access point exists near the wireless terminal device, the user connects the wireless terminal device to this access point. The service may not be available. For example, the same applies to cases where urgent communication is required when a disaster occurs, and the technique described in Patent Document 1 may not be desirable from the viewpoint of usability.

非特許文献1に記載の技術では、災害発生時に公衆無線LANが無料開放されたときには、ユーザ認証が省略されるため、ユーザは、クライアント装置をアクセスポイントに接続させてサービスを利用しやすくなる。しかし、悪意のある人物によって、事業者間で共通のSSIDを発信するアクセスポイントが偽装して設置された場合、クライアント装置が誤ってこの偽装アクセスポントに接続する可能性がある。これにより、ユーザの知らぬ間にクライアント装置の情報が漏洩してしまうおそれがある。
これに対し、本発明の目的は、複数の事業者に跨ってアクセスポイントが開放された場合に、ユーザビリティを確保しつつ、偽装されたアクセスポイントにクライアント装置が接続するのを防止することである。
In the technique described in Non-Patent Document 1, when the public wireless LAN is opened free of charge in the event of a disaster, user authentication is omitted, so that the user can easily use the service by connecting the client device to the access point. However, if an access point that transmits a common SSID between providers is impersonated and installed by a malicious person, there is a possibility that the client device will erroneously connect to this impersonation access point. As a result, the information on the client device may leak without the user's knowledge.
In contrast, an object of the present invention is to prevent a client device from connecting to a camouflaged access point while ensuring usability when an access point is opened across a plurality of operators. .

上述した課題を解決するため、本発明の認証システムは、複数の事業者の前記事業者毎に管理される認証サーバと、前記認証サーバとネットワークを介して接続され、クライアント装置が接続するアクセスポイントとを備える認証システムであって、前記アクセスポイントは、当該アクセスポイントに固有の第1の識別子と、前記複数の事業者で共通の第2の識別子とを発信可能であり、前記認証サーバは、前記複数の事業者で共通に使用される第1の証明書を記憶する記憶部と、前記アクセスポイントが前記第2の識別子を発信している場合に、前記クライアント装置が接続したときには、記憶された前記第1の証明書を、当該アクセスポイントへ送信する証明書送信部と、前記クライアント装置により受信された前記第1の証明書が、前記第1の証明書に対応する第2の証明書を用いて正当と判定された場合には、当該クライアント装置により送信された認証情報を、前記アクセスポイントを介して受信する認証情報受信部と、前記第2の識別子を発信している前記アクセスポイントを介して、前記認証情報を受信した場合には、当該認証情報によらないで、前記クライアント装置の認証に成功したと判定するクライアント認証部とを有する。   In order to solve the above-described problem, an authentication system of the present invention includes an authentication server managed for each of a plurality of business operators, an access point connected to the authentication server via a network and connected to a client device. The access point is capable of transmitting a first identifier unique to the access point and a second identifier common to the plurality of operators, and the authentication server includes: A storage unit that stores a first certificate that is used in common by the plurality of providers, and when the client device is connected when the access point is transmitting the second identifier, is stored. A certificate transmitting unit that transmits the first certificate to the access point; and the first certificate received by the client device An authentication information receiving unit that receives the authentication information transmitted by the client device via the access point when it is determined to be valid using the second certificate corresponding to the first certificate; A client authentication unit that determines that the authentication of the client device has succeeded without relying on the authentication information when the authentication information is received via the access point transmitting the second identifier; Have

本発明の認証システムにおいて、前記第2の識別子を発信している前記アクセスポイントへの前記クライアント装置の接続の履歴に基づいて、当該クライアント装置のユーザの行動情報を管理する行動管理装置と接続されてもよい。
この認証システムにおいて、前記アクセスポイントとして、第1のアクセスポイントと、第2のアクセスポイントとがあり、前記第1のアクセスポイント及び第2のアクセスポイントが前記第2の識別子を発信している場合に、所定の条件を満たしたときには、前記第1のアクセスポイントが前記第2の識別子の発信を継続する一方で、前記第2のアクセスポイントが前記第2の識別子の発信を停止させて前記第1の識別子を発信してもよい。
In the authentication system of the present invention, connected to an action management apparatus that manages action information of a user of the client apparatus based on a history of connection of the client apparatus to the access point that is transmitting the second identifier. May be.
In this authentication system, there are a first access point and a second access point as the access points, and the first access point and the second access point transmit the second identifier. In addition, when the predetermined condition is satisfied, the first access point continues to transmit the second identifier, while the second access point stops transmitting the second identifier and One identifier may be transmitted.

本発明の認証システムにおいて、前記第2の識別子の発信条件を満たしたと判定した場合には、前記アクセスポイントに前記第2の識別子を発信させる発信制御部を備える。
この認証システムにおいて、前記発信制御部は、前記ネットワークの状態、又は前記クライアント装置が接続可能な他の通信回線の状態が、所定の状態になったことが検知された場合に、前記発信条件を満たしたと判定してもよい。
これらの認証システムにおいて、前記発信制御部は、前記アクセスポイントへの前記クライアント装置の接続状況が、所定の状態になったことが検知された場合に、前記発信条件を満たしたと判定してもよい。
The authentication system of the present invention includes a transmission control unit that causes the access point to transmit the second identifier when it is determined that the transmission condition of the second identifier is satisfied.
In this authentication system, the transmission control unit sets the transmission condition when it is detected that the state of the network or the state of another communication line to which the client device can be connected is a predetermined state. You may determine with having satisfy | filled.
In these authentication systems, the transmission control unit may determine that the transmission condition is satisfied when it is detected that the connection status of the client device to the access point is in a predetermined state. .

本発明の認証サーバは、複数の事業者の前記事業者毎に管理され、クライアント装置が接続するアクセスポイントとネットワークを介して接続された認証サーバであって、前記複数の事業者で共通に使用される第1の証明書を記憶する記憶部と、前記アクセスポイントが前記複数の事業者で共通の識別子を発信している場合に、前記クライアント装置が接続したときには、記憶された前記第1の証明書を、当該アクセスポイントへ送信する証明書送信部と、前記クライアント装置により受信された前記第1の証明書が、前記第1の証明書に対応する第2の証明書を用いて正当と判定された場合には、当該クライアント装置により送信された認証情報を、前記アクセスポイントを介して受信する認証情報受信部と、前記識別子を発信している前記アクセスポイントを介して、前記認証情報を受信した場合には、当該認証情報によらないで、前記クライアント装置の認証に成功したと判定するクライアント認証部とを備える。   The authentication server of the present invention is an authentication server that is managed for each of a plurality of business operators and is connected to an access point to which a client device is connected via a network, and is commonly used by the plurality of business operators. And the first certificate stored when the client device is connected when the access point transmits a common identifier among the plurality of operators. The certificate transmission unit that transmits the certificate to the access point and the first certificate received by the client device are valid using the second certificate corresponding to the first certificate. If determined, an authentication information receiving unit that receives the authentication information transmitted by the client device via the access point, and before transmitting the identifier Via an access point, when receiving the authentication information, without depending on the authentication information, and a said the determining client authentication unit succeeds in authentication of the client device.

本発明のクライアント装置は、上記いずれかの認証システムが備える前記アクセスポイントに接続するクライアント装置であって、前記第2の証明書を記憶する記憶部と、前記第1の識別子及び前記第2の識別子を受信した場合には、当該第2の識別子を発信した前記アクセスポイントへ認証を要求する認証要求部と、前記認証の要求に応じて前記認証サーバにより送信された前記第1の証明書を、前記アクセスポイントから受信する証明書受信部と、記憶された前記第2の証明書を用いて、受信された前記第1の証明書が正当かどうかを判定するサーバ認証部と、受信された前記第1の証明書が正当と判定された場合には、前記認証情報を、前記アクセスポイントへ送信する認証情報送信部とを備える。   A client device according to the present invention is a client device connected to the access point provided in any one of the authentication systems, wherein the storage unit stores the second certificate, the first identifier, and the second When an identifier is received, an authentication request unit that requests authentication to the access point that has transmitted the second identifier, and the first certificate transmitted by the authentication server in response to the authentication request A certificate receiving unit that receives from the access point, a server authentication unit that uses the stored second certificate to determine whether the received first certificate is valid, and And an authentication information transmitting unit configured to transmit the authentication information to the access point when the first certificate is determined to be valid.

本発明の認証方法は、複数の事業者の前記事業者毎に管理される認証サーバと、前記認証サーバとネットワークを介して接続され、クライアント装置が接続するアクセスポイントとにより実現される認証方法であって、前記アクセスポイントが、前記複数の事業者で共通の識別子を発信するステップと、前記認証サーバが、前記アクセスポイントが前記識別子を発信している場合に、前記クライアント装置が接続したときには、記憶した前記複数の事業者で共通に使用される第1の証明書を、当該アクセスポイントへ送信するステップと、前記認証サーバが、前記クライアント装置により受信された前記第1の証明書が、前記第1の証明書に対応する第2の証明書を用いて正当と判定された場合には、当該クライアント装置により送信された認証情報を、前記アクセスポイントを介して受信するステップと、前記認証サーバが、前記識別子を発信している前記アクセスポイントを介して、前記認証情報を受信した場合には、当該認証情報によらないで、前記クライアント装置の認証に成功したと判定するステップとを有する。   The authentication method of the present invention is an authentication method realized by an authentication server managed for each of a plurality of operators, and an access point connected to the authentication server via a network and connected to a client device. The access point transmits a common identifier among the plurality of operators, and when the client device connects when the authentication server transmits the identifier, Transmitting the stored first certificate that is used in common by the plurality of operators to the access point; and the authentication server receives the first certificate received by the client device, If it is determined to be valid using the second certificate corresponding to the first certificate, it is sent by the client device. Receiving the authentication information via the access point, and when the authentication server receives the authentication information via the access point transmitting the identifier, it does not depend on the authentication information. And determining that the client device has been successfully authenticated.

本発明によれば、複数の事業者に跨ってアクセスポイントが開放された場合に、ユーザビリティを確保しつつ、偽装されたアクセスポイントにクライアント装置が接続するのを防止することができる。   ADVANTAGE OF THE INVENTION According to this invention, when an access point is opened ranging over a some provider, it can prevent that a client apparatus connects to the camouflaged access point, ensuring usability.

本発明の第1実施形態に係る通信システムの全体構成を示す図。1 is a diagram showing an overall configuration of a communication system according to a first embodiment of the present invention. 同実施形態の認証サーバのハードウェア構成を示すブロック図。The block diagram which shows the hardware constitutions of the authentication server of the embodiment. 同実施形態のアクセスポイントのハードウェア構成を示すブロック図。The block diagram which shows the hardware constitutions of the access point of the embodiment. 同実施形態のクライアント装置のハードウェア構成を示すブロック図。FIG. 2 is an exemplary block diagram illustrating a hardware configuration of the client apparatus according to the embodiment. 同実施形態の固有SSID発信時の認証に関する機能ブロック図。The functional block diagram regarding the authentication at the time of original SSID transmission of the embodiment. 同実施形態の共通SSID発信時の認証に関する機能ブロック図Functional block diagram related to authentication at the time of common SSID transmission of the embodiment 本発明の第2実施形態に係る通信システムの全体構成を示す図。The figure which shows the whole structure of the communication system which concerns on 2nd Embodiment of this invention. 同実施形態の行動管理サーバのハードウェア構成を示すブロック図。The block diagram which shows the hardware constitutions of the action management server of the embodiment. 同実施形態の行動管理DBの構成例を示す図。The figure which shows the structural example of action management DB of the embodiment. 同実施形態に係る通信システムの行動管理に関するシーケンス図。The sequence diagram regarding the action management of the communication system which concerns on the same embodiment. 同実施形態に係る通信システムの図10に続く処理を示すシーケンス図。The sequence diagram which shows the process following FIG. 10 of the communication system which concerns on the embodiment. 本発明の第3実施形態に係るAP制御装置のハードウェア構成を示すブロック図。The block diagram which shows the hardware constitutions of AP control apparatus which concerns on 3rd Embodiment of this invention.

以下、図面を参照して本発明の実施形態を説明する。
[第1実施形態]
図1は、本発明の第1実施形態に係る通信システム1の全体構成を示す図である。
図1に示すように、通信システム1は、認証システム2A,2Bと、複数のクライアント装置30とを含む。認証システム2Aは、事業者Aによって管理、運用され、クライアント装置30を認証するための認証システムである。認証システム2Bは、事業者Aとは異なる事業者Bによって管理、運用され、クライアント装置30を認証するための認証システムである。事業者A,Bは、ここでは、無線LANサービスを提供する通信事業者(通信キャリア)である。無線LANサービスは、ここではWi−Fiの規格に対応している。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[First Embodiment]
FIG. 1 is a diagram showing an overall configuration of a communication system 1 according to the first embodiment of the present invention.
As shown in FIG. 1, the communication system 1 includes authentication systems 2A and 2B and a plurality of client devices 30. The authentication system 2 </ b> A is an authentication system that is managed and operated by the operator A and authenticates the client device 30. The authentication system 2 </ b> B is an authentication system that is managed and operated by a business operator B different from the business operator A and authenticates the client device 30. Here, the carriers A and B are communication carriers (communication carriers) that provide a wireless LAN service. Here, the wireless LAN service corresponds to the Wi-Fi standard.

クライアント装置30は、Wi−Fiの規格に準拠した無線通信を行う無線通信装置である。クライアント装置30は、例えばタブレット型コンピュータ又はスマートフォンであるが、携帯電話機、ノート型パソコン、PDA(Personal Digital Assistant)、携帯型ゲーム機、携帯型音楽プレーヤ等の無線通信装置であってもよい。図1に示すクライアント装置30Aは、ここでは、事業者Aとサービスの利用契約を結び、事業者Bとはサービスの利用契約を結んでいないユーザによって使用されるものとする。クライアント装置30Bは、ここでは事業者Bとサービスの利用契約を結び、事業者Aとはサービスの利用契約を結んでいないユーザによって使用されるものとする。
なお、図1には、認証システム2として、認証システム2A,2Bの2つが示されているが、事業者が異なる3つ以上の認証システム2が存在してもよい。また、図1には、クライアント装置30A,30Bが1台ずつ示されているが、実際には多数存在する。
The client device 30 is a wireless communication device that performs wireless communication based on the Wi-Fi standard. The client device 30 is, for example, a tablet computer or a smartphone, but may be a wireless communication device such as a mobile phone, a notebook computer, a PDA (Personal Digital Assistant), a portable game machine, or a portable music player. Here, it is assumed that the client device 30A shown in FIG. 1 is used by a user who has signed a service usage contract with the business operator A and has not signed a service usage contract with the business operator B. Here, it is assumed that the client device 30B has a service usage contract with the business operator B and is used by a user who does not have a service usage contract with the business operator A.
Although two authentication systems 2A and 2B are shown as the authentication system 2 in FIG. 1, three or more authentication systems 2 with different operators may exist. FIG. 1 shows one client device 30A and one client device 30B, but there are actually many client devices 30A and 30B.

認証システム2Aは、認証サーバ10Aと、複数のアクセスポイント20A(20A−1〜20A−3)と、AP(Access Point)制御装置40Aとを備える。認証サーバ10A、複数のアクセスポイント20A、及びAP制御装置40Aの各々は、ネットワークNWAに接続する。ネットワークNWAは、IEEE802.11規格に準拠したネットワーク(Wi−Fiネットワーク)である。
なお、図1には、複数のアクセスポイント20Aのうち、アクセスポイント20A−1〜20A−3の3台が示されているが、実際には多数存在する。
The authentication system 2A includes an authentication server 10A, a plurality of access points 20A (20A-1 to 20A-3), and an AP (Access Point) control device 40A. Each of the authentication server 10A, the plurality of access points 20A, and the AP control device 40A is connected to the network NWA. The network NWA is a network (Wi-Fi network) compliant with the IEEE 802.11 standard.
FIG. 1 shows three access points 20A-1 to 20A-3 among a plurality of access points 20A, but there are actually many.

認証サーバ10Aは、RADIUS(Remote Authentication Dial-in User Service)サーバに相当し、事業者Aによって管理される。認証サーバ10Aは、アクセスポイント20Aに接続したクライアント装置30を認証する。複数のアクセスポイント20Aの各々は、商業施設等の人が訪れる場所に設置され、各場所にホットスポットを形成する。アクセスポイント20Aは、認証サーバ10Aによってクライアント装置30のユーザが認証された場合には、このクライアント装置30を、インターネット回線INTへ接続させる。複数のアクセスポイント20Aの各々は、所定の暗号化方式(例えばWEP又はWPA/WPA2)に基づいて、クライアント装置30と無線通信を行う。   The authentication server 10A corresponds to a RADIUS (Remote Authentication Dial-in User Service) server and is managed by the operator A. The authentication server 10A authenticates the client device 30 connected to the access point 20A. Each of the plurality of access points 20A is installed at a place visited by a person such as a commercial facility, and forms a hot spot at each place. When the user of the client device 30 is authenticated by the authentication server 10A, the access point 20A connects the client device 30 to the Internet line INT. Each of the plurality of access points 20A performs wireless communication with the client device 30 based on a predetermined encryption method (for example, WEP or WPA / WPA2).

AP制御装置40Aは、複数のアクセスポイント20Aの各々のSSID(例えば、ESSID(Extended SSID))の発信を制御する装置である。AP制御装置40Aは、ここでは、各アクセスポイント20Aに対して、固有SSIDと共通SSIDとを選択的に発信させる。固有SSIDは、複数のアクセスポイント20Aの各々に割り当てられた、アクセスポイント20Aに固有のSSID(第1の識別子)である。固有SSIDは、例えば、他のアクセスポイント20の固有SSIDと重複しないように、各アクセスポイント20Aに設定される。共通SSIDは、複数の事業者(ここでは事業者Aと事業者B)で共通のSSID(第2の識別子)である。複数のアクセスポイント20Aの各々が発信する共通SSID、及び、後述する複数のアクセスポイント20Bの各々が発信する共通SSIDは、同一である。   The AP control device 40A is a device that controls transmission of each SSID (for example, ESSID (Extended SSID)) of the plurality of access points 20A. Here, the AP control apparatus 40A selectively transmits a unique SSID and a common SSID to each access point 20A. The unique SSID is an SSID (first identifier) assigned to each of the plurality of access points 20A and unique to the access point 20A. For example, the unique SSID is set in each access point 20 </ b> A so as not to overlap with the unique SSID of another access point 20. The common SSID is an SSID (second identifier) common to a plurality of operators (here, the operator A and the operator B). The common SSID transmitted by each of the plurality of access points 20A and the common SSID transmitted by each of the plurality of access points 20B described later are the same.

AP制御装置40Aは、平常時には、クライアント装置30Aに無線LANサービスを提供する目的で、各アクセスポイント20Aに固有SSIDを発信させる。そして、或る規模以上の災害(例えば地震)が発生した場合には、複数の事業者に跨って、各アクセスポイント20Aを解放する。この際、AP制御装置40Aは、クライアント装置30A以外のクライアント装置(本実施形態では、クライアント装置30B)にも、無線LANサービスを提供する目的で、各アクセスポイント20Aに共通SSIDを発信させる。AP制御装置40Aは、災害の発生地域に存在するアクセスポイント20Aに、共通SSIDを発信させる。
なお、AP制御装置40Aによる災害の発生状況の特定方法は、特に問わない。AP制御装置40Aは、例えば、気象庁のコンピュータ装置から提供されるデータを用いて災害の発生状況を特定してもよいし、事業者Aにおいて手動入力された情報を用いて災害の発生状況を特定してもよい。
The AP control apparatus 40A causes each access point 20A to transmit a unique SSID for the purpose of providing a wireless LAN service to the client apparatus 30A during normal times. When a disaster (for example, an earthquake) of a certain scale or larger occurs, each access point 20A is released across a plurality of operators. At this time, the AP control device 40A causes each access point 20A to transmit a common SSID to the client device (in this embodiment, the client device 30B) other than the client device 30A in order to provide the wireless LAN service. The AP control device 40A transmits the common SSID to the access point 20A existing in the disaster occurrence area.
In addition, the identification method of the disaster occurrence state by the AP control device 40A is not particularly limited. For example, the AP control device 40A may specify a disaster occurrence state using data provided from a computer device of the Japan Meteorological Agency, or specify a disaster occurrence state using information manually input by the operator A May be.

認証システム2Bは、認証サーバ10Bと、複数のアクセスポイント20B(20B−1〜20B−3)と、AP制御装置40Bとを備える。認証システム2Bに含まれる各要素は、認証システム2Aに関する上記説明の符号の「A」と「B」を逆にした読み替えにより、説明することができる。以下の説明では、認証システム2Aに含まれる要素と、認証システム2Bに含まれる要素との各々を特に区別する必要のないときは、符号に含まれる「A」又は「B」を省略することがある。
次に、認証サーバ10、アクセスポイント20及びクライアント装置30の構成を説明する。
The authentication system 2B includes an authentication server 10B, a plurality of access points 20B (20B-1 to 20B-3), and an AP control device 40B. Each element included in the authentication system 2B can be described by replacing the symbols “A” and “B” in the above description regarding the authentication system 2A. In the following description, when it is not necessary to particularly distinguish each of the elements included in the authentication system 2A and the elements included in the authentication system 2B, “A” or “B” included in the reference may be omitted. is there.
Next, the configuration of the authentication server 10, the access point 20, and the client device 30 will be described.

図2は、認証サーバ10のハードウェア構成を示す図である。図2に示すように、認証サーバ10は、制御部11と、通信部12と、記憶部13とを備える。
制御部11は、CPU(Central Processing Unit)、ROM(Read Only Memory)及びRAM(Random Access Memory)を備えたマイクロコンピュータである。CPUは、ROMに記憶されたプログラム又は記憶部13に記憶されたプログラムを、RAMに読み出して実行することにより、認証サーバ10の各部を制御する。通信部12は、例えばモデムを備え、ネットワークNWに接続して通信する。通信部12は、制御部11の制御の下で、アクセスポイント20との間でデータの送受信を行う。
FIG. 2 is a diagram illustrating a hardware configuration of the authentication server 10. As shown in FIG. 2, the authentication server 10 includes a control unit 11, a communication unit 12, and a storage unit 13.
The control unit 11 is a microcomputer including a central processing unit (CPU), a read only memory (ROM), and a random access memory (RAM). The CPU controls each unit of the authentication server 10 by reading the program stored in the ROM or the program stored in the storage unit 13 into the RAM and executing it. The communication unit 12 includes a modem, for example, and communicates by connecting to the network NW. The communication unit 12 transmits / receives data to / from the access point 20 under the control of the control unit 11.

記憶部13は、例えばハードディスク装置を備え、制御部11により実行されるプログラム、サーバ証明書CE1,CE2及び認証情報DB(Data Base)131を記憶する。
サーバ証明書CE1は、各事業者に対して発行された証明書(電子証明書)である。認証サーバ10Aが記憶するサーバ証明書CE1は、事業者Aに対して発行され、認証サーバ10Bが記憶するサーバ証明書CE1は、事業者Bに対して発行されたものである。サーバ証明書CE2は、事業者Aと事業者Bとで共通に使用される証明書(第1の証明書)である。サーバ証明書CE1,CE2は、公開鍵暗号化方式における公開鍵や所定の認証局の署名を含む。
The storage unit 13 includes, for example, a hard disk device, and stores programs executed by the control unit 11, server certificates CE1 and CE2, and an authentication information DB (Data Base) 131.
The server certificate CE1 is a certificate (electronic certificate) issued to each business operator. The server certificate CE1 stored in the authentication server 10A is issued to the operator A, and the server certificate CE1 stored in the authentication server 10B is issued to the operator B. The server certificate CE2 is a certificate (first certificate) that is commonly used by the operator A and the operator B. The server certificates CE1 and CE2 include a public key in a public key encryption method and a signature of a predetermined certificate authority.

認証情報DB131は、クライアント装置30を認証するための認証情報が登録されたデータベースである。認証サーバ10Aの認証情報DB131には、クライアント装置30Aを認証するための認証情報が登録され、認証サーバ10Bの認証情報DB131には、クライアント装置30Bを認証するための認証情報が登録されている。認証情報は、ここでは、ユーザIDとパスワードとの組み合わせである。   The authentication information DB 131 is a database in which authentication information for authenticating the client device 30 is registered. Authentication information for authenticating the client device 30A is registered in the authentication information DB 131 of the authentication server 10A, and authentication information for authenticating the client device 30B is registered in the authentication information DB 131 of the authentication server 10B. Here, the authentication information is a combination of a user ID and a password.

図3は、アクセスポイント20のハードウェア構成を示す図である。図3に示すように、アクセスポイント20は、制御部21と、中継部22と、記憶部23と、発信部24とを備える。
制御部21は、CPU、ROM及びRAMを備えたマイクロコンピュータである。CPUは、ROMに記憶されたプログラム又は記憶部23に記憶されたプログラムを、RAMに読み出して実行することにより、アクセスポイント20の各部を制御する。中継部22は、制御部21の制御の下で、通信プロトコルの変換等を行い、ネットワークNWに接続された各装置と、クライアント装置30との間で行われるデータの送受信を中継する中継処理を行う。記憶部23は、例えばハードディスク装置を備え、制御部21により実行されるプログラムや、発信すべき固有SSIDや共通SSIDを特定する情報を含む。発信部24は、無線通信回路及びアンテナを備え、制御部21の制御の下で、固有SSID及び共通SSID(ビーコン)を発信する。
FIG. 3 is a diagram illustrating a hardware configuration of the access point 20. As illustrated in FIG. 3, the access point 20 includes a control unit 21, a relay unit 22, a storage unit 23, and a transmission unit 24.
The control unit 21 is a microcomputer including a CPU, a ROM, and a RAM. The CPU controls each unit of the access point 20 by reading the program stored in the ROM or the program stored in the storage unit 23 into the RAM and executing it. Under the control of the control unit 21, the relay unit 22 performs communication protocol conversion and the like, and performs relay processing for relaying data transmission / reception performed between each device connected to the network NW and the client device 30. Do. The storage unit 23 includes, for example, a hard disk device and includes a program executed by the control unit 21 and information for specifying a unique SSID and a common SSID to be transmitted. The transmission unit 24 includes a wireless communication circuit and an antenna, and transmits a unique SSID and a common SSID (beacon) under the control of the control unit 21.

図4は、クライアント装置30のハードウェア構成を示す図である。図4に示すように、クライアント装置30は、制御部31と、UI(User Interface)部32と、通信部33と、記憶部34とを備える。
制御部31は、CPU、ROM及びRAMを備えたマイクロコンピュータである。CPUは、ROMに記憶されたプログラム又は記憶部34に記憶されたプログラムを、RAMに読み出して実行することにより、クライアント装置30の各部を制御する。UI部32は、各種の画像を表示する表示部と、ユーザにより操作される操作部とを備えたユーザインタフェースである。通信部33は、無線通信回路及びアンテナを備え、ネットワークNWに接続して通信する。通信部33は、制御部31の制御の下で、アクセスポイント20との間でデータの送受信を行う。
FIG. 4 is a diagram illustrating a hardware configuration of the client device 30. As illustrated in FIG. 4, the client device 30 includes a control unit 31, a UI (User Interface) unit 32, a communication unit 33, and a storage unit 34.
The control unit 31 is a microcomputer including a CPU, a ROM, and a RAM. The CPU controls each unit of the client device 30 by reading the program stored in the ROM or the program stored in the storage unit 34 into the RAM and executing it. The UI unit 32 is a user interface including a display unit that displays various images and an operation unit operated by a user. The communication unit 33 includes a wireless communication circuit and an antenna, and communicates by connecting to the network NW. The communication unit 33 transmits / receives data to / from the access point 20 under the control of the control unit 31.

記憶部34は、例えばEEPROM(Electronically Erasable and Programmable ROM)又はフラッシュメモリを備え、各種のデータを記憶する。記憶部34は、制御部31により実行されるプログラム、サーバ証明書CE3,CE4及び認証情報U1,U2を記憶する。
サーバ証明書CE3は、各事業者に対して発行された証明書である。クライアント装置30Aが記憶するサーバ証明書CE3は、認証サーバ10Aが記憶するサーバ証明書CE1に対応する証明書である。クライアント装置30Bが記憶するサーバ証明書CE3は、認証サーバ10Bのサーバ証明書CE1に対応する証明書である。サーバ証明書CE4は、事業者Aと事業者Bとで共通に使用される証明書(第2の証明書)である。サーバ証明書CE4は、サーバ証明書CE2に対応する証明書である。サーバ証明書CE4は、ここでは、クライアント装置30の製造段階等で、記憶部34に記憶される(即ちプリセットされている)。サーバ証明書CE3,CE4は、公開鍵暗号化方式における公開鍵や、所定の認証局の署名を含む。
The storage unit 34 includes, for example, an EEPROM (Electronically Erasable and Programmable ROM) or a flash memory, and stores various data. The storage unit 34 stores programs executed by the control unit 31, server certificates CE3 and CE4, and authentication information U1 and U2.
The server certificate CE3 is a certificate issued to each business operator. The server certificate CE3 stored in the client device 30A is a certificate corresponding to the server certificate CE1 stored in the authentication server 10A. The server certificate CE3 stored in the client device 30B is a certificate corresponding to the server certificate CE1 of the authentication server 10B. The server certificate CE4 is a certificate (second certificate) that is commonly used by the operator A and the operator B. The server certificate CE4 is a certificate corresponding to the server certificate CE2. Here, the server certificate CE4 is stored (that is, preset) in the storage unit 34 at the manufacturing stage of the client device 30 or the like. The server certificates CE3 and CE4 include a public key in a public key encryption system and a signature of a predetermined certificate authority.

認証情報U1は、固有SSIDに対応付けられた認証情報である。認証情報U1は、例えば、認証情報DB131に登録された認証情報と一致するように設定された文字列で表される。認証情報U2は、共通SSIDに対応付けられた認証情報で、ユーザにより任意に設定された文字列、又は、クライアント装置30の製造段階等で記憶部34に記憶された(即ちプリセットされた)文字列で表される。即ち、認証情報U2は、認証情報DB131によらないで設定されてよいが、その理由については後で説明する。   The authentication information U1 is authentication information associated with the unique SSID. For example, the authentication information U1 is represented by a character string set to match the authentication information registered in the authentication information DB 131. The authentication information U2 is authentication information associated with the common SSID, a character string arbitrarily set by the user, or a character stored in the storage unit 34 (ie, preset) at the manufacturing stage of the client device 30 or the like. Represented by a column. That is, the authentication information U2 may be set without using the authentication information DB 131. The reason will be described later.

次に、認証システム2で行われるクライアント装置30の認証について説明する。以下、平常時に行われる<I:固有SSID発信時の認証>と、災害発生時に行われる<II:共通SSID発信時の認証>とを説明する。認証システム2では、EAP認証プロトコルの一種である、EAP−TTLS(Transport Layer Security)又はPEAP(Protected EAP)の方式に従って認証が行われる。   Next, authentication of the client device 30 performed in the authentication system 2 will be described. Hereinafter, <I: authentication at the time of transmitting a unique SSID> performed in normal times and <II: authentication at the time of transmitting a common SSID> performed at the time of a disaster will be described. In the authentication system 2, authentication is performed according to a method of EAP-TTLS (Transport Layer Security) or PEAP (Protected EAP), which is a kind of EAP authentication protocol.

<I:固有SSID発信時の認証>
図5は、認証システム2の固有SSID発信時の認証に関する機能構成を示すブロック図である。
アクセスポイント20のSSID発信部201は、AP制御装置40から、固有SSIDの発信を制御する発信制御信号を受信する(A)。この発信制御信号の受信に応じて、SSID発信部201は、固有SSIDを発信する(B)。
<I: Authentication when sending unique SSID>
FIG. 5 is a block diagram showing a functional configuration related to authentication when the authentication system 2 transmits a unique SSID.
The SSID transmitter 201 of the access point 20 receives a transmission control signal for controlling the transmission of the unique SSID from the AP control device 40 (A). In response to receiving this transmission control signal, the SSID transmission unit 201 transmits a unique SSID (B).

クライアント装置30のSSID受信部301は、接続したアクセスポイント20から、SSID発信部201が発信した固有SSIDを受信し、これを認証要求部302に供給する(C)。固有SSIDが受信されると、認証要求部302は、受信された固有SSIDを発信したアクセスポイント20へ認証を要求する(D)。
アクセスポイント20の中継処理部202は、クライアント装置30から、認証要求部302が行った認証要求を受け付ける(即ち受信する)と、これを認証サーバ10へ送信する(E)。この認証要求は、例えば、アクセスポイント20が発信した固有SSIDを含む。
The SSID receiving unit 301 of the client device 30 receives the unique SSID transmitted from the SSID transmitting unit 201 from the connected access point 20, and supplies this to the authentication requesting unit 302 (C). When the unique SSID is received, the authentication request unit 302 requests authentication to the access point 20 that has transmitted the received unique SSID (D).
When the relay processing unit 202 of the access point 20 receives (that is, receives) the authentication request made by the authentication requesting unit 302 from the client device 30, it transmits this to the authentication server 10 (E). This authentication request includes, for example, a unique SSID transmitted by the access point 20.

認証サーバ10の認証要求受付部101は、中継処理部202が送信した認証要求を受け付けて、これを証明書送信部102に供給する。認証要求が受け付けられると、証明書送信部102は、受信された固有SSIDに応じて、サーバ証明書CE1を、アクセスポイント20へ送信する(G)。サーバ証明書CE1は、固有SSIDを受信した際に送信するように予め決められている。
アクセスポイント20の中継処理部202は、証明書送信部102が送信したサーバ証明書CE1を受信すると、これをクライアント装置30へ送信する(H)。
The authentication request reception unit 101 of the authentication server 10 receives the authentication request transmitted by the relay processing unit 202 and supplies this to the certificate transmission unit 102. When the authentication request is accepted, the certificate transmission unit 102 transmits the server certificate CE1 to the access point 20 according to the received unique SSID (G). The server certificate CE1 is determined in advance to be transmitted when the unique SSID is received.
When the relay processing unit 202 of the access point 20 receives the server certificate CE1 transmitted by the certificate transmission unit 102, the relay processing unit 202 transmits this to the client device 30 (H).

クライアント装置30の証明書受信部303は、中継処理部202が送信したサーバ証明書CE1を受信すると、これをサーバ認証部304に供給する(I)。
サーバ認証部304は、受信されたサーバ証明書CE1と、記憶部34に記憶されたサーバ証明書CE3とに基づいて、サーバ認証を行う。サーバ認証部304は、受信されたサーバ証明書CE1自体、又はルート認証局の証明書(ルート証明書)を用いて、サーバ証明書CE1を識別する。サーバ認証のアルゴリズムは公知のアルゴリズムでよく、サーバ認証部304は、サーバ証明書CE3に含まれる公開鍵を用いて、サーバ証明書CE1に含まれる認証局の署名の正当性を検証するとよい。
サーバ認証部304は、サーバ認証に成功したかどうかを判定し、判定結果を認証情報送信部305に通知する(J)。
Upon receiving the server certificate CE1 transmitted from the relay processing unit 202, the certificate receiving unit 303 of the client device 30 supplies the server certificate CE1 to the server authentication unit 304 (I).
The server authentication unit 304 performs server authentication based on the received server certificate CE1 and the server certificate CE3 stored in the storage unit 34. The server authentication unit 304 identifies the server certificate CE1 by using the received server certificate CE1 itself or a root certificate authority certificate (root certificate). The server authentication algorithm may be a known algorithm, and the server authentication unit 304 may verify the validity of the signature of the certificate authority included in the server certificate CE1 using the public key included in the server certificate CE3.
The server authentication unit 304 determines whether the server authentication is successful, and notifies the authentication information transmission unit 305 of the determination result (J).

認証情報送信部305は、サーバ認証部304によりサーバ認証に成功したと判定された場合には、記憶部34に記憶され、固有SSIDに対応付けられた認証情報U1を、アクセスポイント20へ送信する(K)。認証情報送信部305は、サーバ認証に失敗したと判定された場合には、認証情報U1を送信しない。
アクセスポイント20の中継処理部202は、認証情報送信部305により送信された認証情報U1を受信すると、これを認証サーバ10へ送信する(L)。
なお、EAP−TTLSやPEAPの方式に従った認証では、認証サーバ10とクライアント装置30とがTLSのトンネルを張り、このトンネル内で認証が行われる。認証サーバ10とクライアント装置30とが、アクセスポイント20を介して、認証情報を送受信する場合には、このトンネルが使用される。また、認証情報の送受信に先立ち、クライアント装置30は、受信したサーバ証明書CE1を用いて暗号化した共通鍵を認証サーバ10に送信し、認証サーバ10は、受信した共通鍵を、記憶したサーバ証明書CE1に紐づく秘密鍵で復号する。認証情報の送受信は、この共通鍵を用いた暗号化通信により行われる。後述する<II:共通SSID発信時の認証>においても、サーバ証明書CE2に基づいて同様の処理が行われる。
If the server authentication unit 304 determines that the server authentication is successful, the authentication information transmission unit 305 transmits the authentication information U1 stored in the storage unit 34 and associated with the unique SSID to the access point 20. (K). If it is determined that the server authentication has failed, the authentication information transmitting unit 305 does not transmit the authentication information U1.
When the relay processing unit 202 of the access point 20 receives the authentication information U1 transmitted from the authentication information transmitting unit 305, it transmits this to the authentication server 10 (L).
In the authentication according to the EAP-TTLS or PEAP method, the authentication server 10 and the client device 30 establish a TLS tunnel, and authentication is performed in this tunnel. When the authentication server 10 and the client device 30 transmit / receive authentication information via the access point 20, this tunnel is used. Prior to transmission / reception of authentication information, the client device 30 transmits a common key encrypted using the received server certificate CE1 to the authentication server 10, and the authentication server 10 stores the received common key in the stored server. Decrypt with the private key associated with certificate CE1. Authentication information is transmitted and received by encrypted communication using this common key. Similar processing is performed based on the server certificate CE2 in <II: Authentication at the time of common SSID transmission> described later.

クライアント認証部103は、中継処理部202が送信した認証情報U1を受信すると、受信された認証情報U1に基づいて、クライアント認証を行う。クライアント認証部103は、固有SSIDを発信しているアクセスポイント20を介して、認証情報が受信された場合には、受信された認証情報が、認証情報DB131に登録されているかどうかを判定する。クライアント認証部103は、認証情報U1が認証情報DB131に登録されている場合には、クライアント認証に成功したと判定し、認証情報U1が認証情報DB131に登録されていない場合には、クライアント認証に失敗したと判定する。
クライアント認証部103は、クライアント認証に成功したと判定した場合には、成功の旨を通知する成功通知を、アクセスポイント20へ送信する(M)。
中継処理部202は、クライアント認証部103が送信した成功通知を受信すると、これをクライアント装置30へ送信する(N)。
その後、アクセスポイント20は、受信した成功通知に基づいて、認証に成功したクライアント装置30をインターネット回線INTへ接続させる。
Upon receiving the authentication information U1 transmitted from the relay processing unit 202, the client authentication unit 103 performs client authentication based on the received authentication information U1. When the authentication information is received via the access point 20 transmitting the unique SSID, the client authentication unit 103 determines whether the received authentication information is registered in the authentication information DB 131. When the authentication information U1 is registered in the authentication information DB 131, the client authentication unit 103 determines that the client authentication has been successful. When the authentication information U1 is not registered in the authentication information DB 131, the client authentication unit 103 performs the client authentication. Judge that it failed.
When the client authentication unit 103 determines that the client authentication is successful, the client authentication unit 103 transmits a success notification notifying the success to the access point 20 (M).
Upon receiving the success notification transmitted by the client authentication unit 103, the relay processing unit 202 transmits this notification to the client device 30 (N).
Thereafter, the access point 20 connects the client device 30 that has been successfully authenticated to the Internet line INT based on the received success notification.

以上のとおり、平常時(即ち固有SSIDの発信時)には、事業者毎に異なるサーバ証明書CE1,CE3に基づいて行われるサーバ認証、及び、認証情報U1が認証情報DB131に登録されているかどうかを判定するクライアント認証の成功が、認証サーバ10における認証の成功の条件となる。よって、認証サーバ10Aは、クライアント装置30Aの認証に成功することはあるが、クライアント装置30Bの認証には成功しない。また、認証サーバ10Bは、クライアント装置30Bの認証に成功することはあるが、クライアント装置30Aの認証には成功しない。   As described above, in normal times (that is, when a unique SSID is transmitted), whether server authentication performed based on server certificates CE1 and CE3 that are different for each provider and authentication information U1 are registered in the authentication information DB 131 Successful client authentication for determining whether or not is a condition for successful authentication in the authentication server 10. Therefore, the authentication server 10A may succeed in authenticating the client device 30A, but does not succeed in authenticating the client device 30B. The authentication server 10B may succeed in authenticating the client device 30B, but does not succeed in authenticating the client device 30A.

<II:共通SSID発信時の認証>
図6は、認証システム2の共通SSID発信時の認証に関する機能構成を示すブロック図である。
アクセスポイント20のSSID発信部201は、AP制御装置40から、共通SSIDの発信を制御する発信制御信号を受信する(A)。この発信制御信号の受信に応じて、SSID発信部201は、共通SSIDを発信する(B)。
<II: Authentication when sending common SSID>
FIG. 6 is a block diagram showing a functional configuration related to authentication when the authentication system 2 transmits a common SSID.
The SSID transmitter 201 of the access point 20 receives a transmission control signal for controlling the transmission of the common SSID from the AP control device 40 (A). In response to reception of this transmission control signal, the SSID transmission unit 201 transmits a common SSID (B).

クライアント装置30のSSID受信部301は、接続したアクセスポイント20から、SSID発信部201が発信した共通SSIDを受信し、これを認証要求部302に供給する(C)。共通SSIDが受信されると、認証要求部302は、受信された共通SSIDを発信したアクセスポイント20へ認証を要求する(D)。
アクセスポイント20の中継処理部202は、認証要求部302が行った認証要求を受け付けると、これを認証サーバ10へ送信する(E)。この認証要求は、例えば、アクセスポイント20が発信した共通SSIDを含む。
The SSID receiving unit 301 of the client device 30 receives the common SSID transmitted by the SSID transmitting unit 201 from the connected access point 20, and supplies this to the authentication requesting unit 302 (C). When the common SSID is received, the authentication request unit 302 requests authentication to the access point 20 that has transmitted the received common SSID (D).
When receiving the authentication request made by the authentication request unit 302, the relay processing unit 202 of the access point 20 transmits this to the authentication server 10 (E). This authentication request includes, for example, a common SSID transmitted by the access point 20.

認証サーバ10の認証要求受付部101は、中継処理部202が送信した認証要求を受け付けて、これを証明書送信部102に供給する。認証要求が受け付けられると、証明書送信部102は、受信された共通SSIDに応じて、サーバ証明書CE2を、アクセスポイント20へ送信する(G)。サーバ証明書CE2は、共通SSIDを受信した際に送信するように、予め決められている。
アクセスポイント20の中継処理部202は、証明書送信部102が送信したサーバ証明書CE2を受信すると、これをクライアント装置30へ送信する(H)。
The authentication request reception unit 101 of the authentication server 10 receives the authentication request transmitted by the relay processing unit 202 and supplies this to the certificate transmission unit 102. When the authentication request is accepted, the certificate transmission unit 102 transmits the server certificate CE2 to the access point 20 according to the received common SSID (G). The server certificate CE2 is determined in advance so as to be transmitted when the common SSID is received.
When the relay processing unit 202 of the access point 20 receives the server certificate CE2 transmitted by the certificate transmission unit 102, the relay processing unit 202 transmits this to the client device 30 (H).

クライアント装置30の証明書受信部303は、中継処理部202が送信したサーバ証明書CE2を受信すると、これをサーバ認証部304に供給する(I)。
サーバ認証部304は、受信されたサーバ証明書CE2と、記憶部34に記憶されたサーバ証明書CE4とに基づいて、サーバ認証を行う。サーバ認証部304は、前述したアルゴリズムと同様、サーバ証明書CE4に含まれる公開鍵を用いて、サーバ証明書CE2に含まれる認証局の署名の正当性を検証する。
サーバ認証部304は、サーバ認証に成功したかどうかを判定し、判定結果を認証情報送信部305に通知する(J)。
Upon receiving the server certificate CE2 transmitted from the relay processing unit 202, the certificate receiving unit 303 of the client device 30 supplies the server certificate CE2 to the server authentication unit 304 (I).
The server authentication unit 304 performs server authentication based on the received server certificate CE2 and the server certificate CE4 stored in the storage unit 34. The server authentication unit 304 verifies the validity of the signature of the certificate authority included in the server certificate CE2 using the public key included in the server certificate CE4 as in the algorithm described above.
The server authentication unit 304 determines whether the server authentication is successful, and notifies the authentication information transmission unit 305 of the determination result (J).

認証情報送信部305は、サーバ認証部304によりサーバ認証に成功したと判定された場合には、記憶部34に記憶され、共通SSIDに対応付けられた認証情報U2を、アクセスポイント20へ送信する(K)。認証情報送信部305は、サーバ認証に失敗したと判定された場合には、認証情報U2を送信しない。
アクセスポイント20の中継処理部202は、認証情報送信部305により送信された認証情報U2を受信すると、これを認証サーバ10へ送信する(L)。
If the server authentication unit 304 determines that the server authentication is successful, the authentication information transmission unit 305 transmits the authentication information U2 stored in the storage unit 34 and associated with the common SSID to the access point 20. (K). If it is determined that the server authentication has failed, the authentication information transmission unit 305 does not transmit the authentication information U2.
When the relay processing unit 202 of the access point 20 receives the authentication information U2 transmitted by the authentication information transmitting unit 305, the relay processing unit 202 transmits this to the authentication server 10 (L).

クライアント認証部103は、中継処理部202が送信した認証情報U2を受信すると、受信された認証情報U2に基づいて、クライアント認証を行う。クライアント認証部103は、共通SSIDを発信しているアクセスポイント20を介して、認証情報を受信した場合には、当該認証情報によらないで、クライアント認証に成功したと判定する。即ち、クライアント認証部103は、認証情報U2のユーザID及びパスワードがどのように設定されていても、クライアント認証に成功したと判定する。
クライアント認証部103は、クライアント認証に成功したと判定した場合には、成功の旨を通知する成功通知を、アクセスポイント20へ送信する(M)。
中継処理部202は、クライアント認証部103が送信した成功通知を受信すると、これをクライアント装置30へ送信する(N)。
アクセスポイント20は、受信した成功通知に基づいて、認証に成功したクライアント装置30をインターネット回線INTへ接続させる。
Upon receiving the authentication information U2 transmitted from the relay processing unit 202, the client authentication unit 103 performs client authentication based on the received authentication information U2. When the client authentication unit 103 receives the authentication information via the access point 20 that is transmitting the common SSID, the client authentication unit 103 determines that the client authentication is successful without depending on the authentication information. That is, the client authentication unit 103 determines that the client authentication is successful regardless of how the user ID and password of the authentication information U2 are set.
When the client authentication unit 103 determines that the client authentication is successful, the client authentication unit 103 transmits a success notification notifying the success to the access point 20 (M).
Upon receiving the success notification transmitted by the client authentication unit 103, the relay processing unit 202 transmits this notification to the client device 30 (N).
Based on the received success notification, the access point 20 connects the client device 30 that has been successfully authenticated to the Internet line INT.

以上のとおり、災害発生時(即ち共通SSIDの発信時)に、アクセスポイント20が複数の事業者に跨って開放された場合には、サーバ認証は、事業者Aと事業者Bとで共通のサーバ証明書CE2,CE4に基づいて行われる。このため、クライアント装置30Aが、認証システム2Bのアクセスポイント20Bに接続した場合や、クライアント装置30Bが、認証システム2Aのアクセスポイント20Aに接続した場合にも、サーバ認証に成功する。他方、悪意のある人物によって、共通SSIDを発信する偽装アクセスポイントが設置された場合であっても、この人物はサーバ証明書CE2に紐づく秘密鍵を有しないので、クライアント装置30がこの偽装アクセスポイントに接続できない。   As described above, when the access point 20 is opened across a plurality of operators when a disaster occurs (that is, when a common SSID is transmitted), the server authentication is common to the operators A and B. This is performed based on the server certificates CE2 and CE4. For this reason, server authentication is successful even when the client device 30A connects to the access point 20B of the authentication system 2B or when the client device 30B connects to the access point 20A of the authentication system 2A. On the other hand, even when a forged access point for transmitting a common SSID is installed by a malicious person, the person does not have a secret key associated with the server certificate CE2, so that the client device 30 performs this forged access. Cannot connect to the point.

更に、クライアント認証は、任意に設定された認証情報U2の使用によって成功する。このため、ユーザが認証用のユーザIDやパスワードを覚えていなくとも、クライアント認証は成功する。よって、災害の発生時に緊急の通信を要する場合において、クライアント装置30がアクセスポイント20に接続してサービスを利用できない事態が発生しにくくなり、ユーザビリティが改善される。   Furthermore, the client authentication is successful by using arbitrarily set authentication information U2. For this reason, even if the user does not remember the user ID and password for authentication, the client authentication is successful. Therefore, when urgent communication is required when a disaster occurs, it becomes difficult for the client device 30 to connect to the access point 20 to use the service, and usability is improved.

また、認証システム2によれば、従来方式のEAP認証プロトコルを改変しなくとも、クライアント装置30の認証を行うことができる。ただし、固有SSIDの発信時の認証、及び共通SSIDの発信時の認証は、EAP−TTLS又はPEAPに限られず、EAP−SIMやEAP−AKA等の別のEAP認証プロトコルに基づいて行われてもよい。例えば、EAP−SIMやEAP−AKAでは、認証情報がクライアント装置30にプリセットされることが多いので、ユーザは認証情報を手動で設定しなくてもよい。また、固有SSIDの発信時の認証は、Web認証方式等の、更に別の認証方式に基づいて行われてもよい。   Further, according to the authentication system 2, the client device 30 can be authenticated without modifying the conventional EAP authentication protocol. However, the authentication at the time of transmitting the unique SSID and the authentication at the time of transmitting the common SSID are not limited to EAP-TTLS or PEAP, and may be performed based on another EAP authentication protocol such as EAP-SIM or EAP-AKA. Good. For example, in EAP-SIM and EAP-AKA, authentication information is often preset in the client device 30, so the user does not need to set authentication information manually. Further, the authentication at the time of transmitting the unique SSID may be performed based on still another authentication method such as a Web authentication method.

[第2実施形態]
本実施形態では、共通SSIDの発信時のサービスの提供に関する実施例を説明する。以下の説明において、上述した第1実施形態と同じ要素については同じ符号を付して表し、その説明を省略又は簡略化する。
[Second Embodiment]
In the present embodiment, an example relating to provision of a service when a common SSID is transmitted will be described. In the following description, the same elements as those in the first embodiment described above are denoted by the same reference numerals, and the description thereof is omitted or simplified.

図7は、本発明の第2実施形態に係る通信システム3の全体構成を示す図である。
図7に示すように、通信システム3は、認証システム2A,2Bと、複数のクライアント装置30(30A,30B)と、ネットワークNWA,NWBに接続された行動管理サーバ50とを備える。行動管理サーバ50は、クライアント装置30によるアクセスポイント20と接続され、当該接続の履歴に基づいて、クライアント装置30のユーザの行動情報を管理する行動管理装置である。行動管理サーバ50は、ユーザの行動情報を、当該ユーザの安否確認の目的で、他者のクライアント装置30に提供する機能を有する。
FIG. 7 is a diagram showing an overall configuration of the communication system 3 according to the second embodiment of the present invention.
As shown in FIG. 7, the communication system 3 includes authentication systems 2A and 2B, a plurality of client devices 30 (30A and 30B), and a behavior management server 50 connected to the networks NWA and NWB. The behavior management server 50 is a behavior management device that is connected to the access point 20 by the client device 30 and manages the behavior information of the user of the client device 30 based on the connection history. The behavior management server 50 has a function of providing user behavior information to the client device 30 of another person for the purpose of confirming the safety of the user.

図8は、行動管理サーバ50のハードウェア構成を示す図である。図8に示すように、行動管理サーバ50は、制御部51と、通信部52と、記憶部53とを備える。
制御部51は、CPU、ROM及びRAMを備えたマイクロコンピュータである。CPUは、ROMに記憶されたプログラム又は記憶部53に記憶されたプログラムを、RAMに読み出して実行することにより、行動管理サーバ50の各部を制御する。通信部52は、例えばモデムを備え、ネットワークNWA及びNWBの各々と接続して通信する。通信部52は、制御部51の制御の下で、アクセスポイント20又はAP制御装置40との間でデータの送受信を行う。記憶部53は、例えばハードディスク装置を備え、制御部51により実行されるプログラム、及び行動管理DB(Data Base)531を記憶する。行動管理DB531は、クライアント装置30毎に、ユーザの行動を管理するための情報が格納されるデータベースである。
FIG. 8 is a diagram illustrating a hardware configuration of the behavior management server 50. As shown in FIG. 8, the behavior management server 50 includes a control unit 51, a communication unit 52, and a storage unit 53.
The control unit 51 is a microcomputer including a CPU, a ROM, and a RAM. The CPU controls each unit of the behavior management server 50 by reading the program stored in the ROM or the program stored in the storage unit 53 into the RAM and executing it. The communication unit 52 includes a modem, for example, and communicates with each of the networks NWA and NWB. The communication unit 52 transmits / receives data to / from the access point 20 or the AP control device 40 under the control of the control unit 51. The storage unit 53 includes a hard disk device, for example, and stores a program executed by the control unit 51 and an action management DB (Data Base) 531. The behavior management DB 531 is a database that stores information for managing user behavior for each client device 30.

図9は、行動管理DB531の構成例を示す図である。
図9に示すように、行動管理DB531は、クライアント装置30を一意に識別する識別子であるクライアントIDに対応付けて、AP情報と接続日時情報とを含む接続履歴情報が格納される。AP情報は、クライアント装置30が接続したアクセスポイント20の識別子である。AP情報は、ここでは、アクセスポイント20の符号を用いて表される。接続日時情報は、クライアント装置30がアクセスポイント20に接続した日時を表す。
FIG. 9 is a diagram illustrating a configuration example of the behavior management DB 531.
As illustrated in FIG. 9, the behavior management DB 531 stores connection history information including AP information and connection date information in association with a client ID that is an identifier for uniquely identifying the client device 30. The AP information is an identifier of the access point 20 to which the client device 30 is connected. Here, the AP information is represented using the code of the access point 20. The connection date and time information represents the date and time when the client device 30 connected to the access point 20.

図10は、通信システム3の行動管理に関するシーケンス図である。以下では、図9に示す情報が行動管理DB531に格納されるときの通信システム3の動作を説明する。このため、図10には、クライアント装置30Aが、アクセスポイント20A−1,20B−2に接続する場合の動作が示されている。
アクセスポイント20A−1,20B−2は、それぞれAP制御装置40A,40Bから受信した発信制御信号に応じて、共通SSIDの発信を開始する(ステップS1)。
ここで、クライアント装置30Aのユーザが、アクセスポイント20A−1のホットスポットを訪れたとする。そして、クライアント装置30Aが、アクセスポイント20A−1からSSIDを受信し(ステップS2)、認証サーバ10Aによりクライアント認証に成功したと判定されたとする(ステップS3)。ステップS3の処理は、図6を参照して説明したクライアント装置30の認証に関する機能により実現される。
FIG. 10 is a sequence diagram relating to behavior management of the communication system 3. Below, operation | movement of the communication system 3 when the information shown in FIG. 9 is stored in action management DB531 is demonstrated. For this reason, FIG. 10 shows an operation when the client device 30A connects to the access points 20A-1 and 20B-2.
The access points 20A-1 and 20B-2 start transmitting the common SSID in response to the transmission control signals received from the AP control devices 40A and 40B, respectively (step S1).
Here, it is assumed that the user of the client device 30A visits a hot spot of the access point 20A-1. Then, it is assumed that the client device 30A receives the SSID from the access point 20A-1 (step S2), and determines that the client authentication is successful by the authentication server 10A (step S3). The processing in step S3 is realized by the function related to authentication of the client device 30 described with reference to FIG.

クライアント装置30Aの制御部31は、アクセスポイント20A−1を介して成功通知を受信すると、ユーザの行動情報の管理を要求する行動管理要求を、通信部33を介して、アクセスポイント20A−1へ送信する(ステップS4)。行動管理要求は、例えば、クライアント装置30AのクライアントID「MID−A」を含む。行動管理要求を受け付けると、アクセスポイント20A−1の制御部21は、クライアント装置30Aの接続の履歴を特定する情報として、受け付けた行動管理要求に含まれるクライアントID「MID−A」と、自装置のAP情報「20A−1」とを、中継部22を介して行動管理サーバ50へ送信する(ステップS5)。行動管理サーバ50の制御部51は、通信部52を介してアクセスポイント20A−1から受信した、クライアントID「MID−A」と、AP情報「20A−1」と、これらの情報の受信日時を示す接続日時情報(ここでは「2014/7/1 10:00:00」)とを対応付けて、行動管理DB531に格納し、これを更新する(ステップS6)。
なお、接続日時情報は、行動管理サーバ50による情報の受信日時によって特定されるのではなく、アクセスポイント20A−1が、クライアント装置30Aの接続日時の情報を送信することによって特定されてもよい。
When the control unit 31 of the client device 30A receives the success notification via the access point 20A-1, the control unit 31 sends a behavior management request for requesting management of user behavior information to the access point 20A-1 via the communication unit 33. Transmit (step S4). The behavior management request includes, for example, the client ID “MID-A” of the client device 30A. Upon receiving the behavior management request, the control unit 21 of the access point 20A-1 uses the client ID “MID-A” included in the received behavior management request as information for specifying the connection history of the client device 30A, and the own device. The AP information “20A-1” is transmitted to the behavior management server 50 via the relay unit 22 (step S5). The control unit 51 of the behavior management server 50 receives the client ID “MID-A”, the AP information “20A-1”, and the reception date and time of these pieces of information received from the access point 20A-1 via the communication unit 52. The connection date and time information shown (here, “2014/7/1 10:00:00”) is associated and stored in the behavior management DB 531 and updated (step S6).
Note that the connection date / time information is not specified by the information reception date / time by the behavior management server 50, but may be specified by the access point 20A-1 transmitting the connection date / time information of the client device 30A.

次に、クライアント装置30Aのユーザが、アクセスポイント20B−2のホットスポットを訪れると、通信システム3では、図10のステップS7〜S11の処理ステップが実行される。ステップS7〜S11の各処理は、ステップS2〜S6の処理の説明から容易に類推できるはずである。ステップS11では、行動管理サーバ50の制御部51は、アクセスポイント20B−2から受信した、クライアントID「MID−A」と、AP情報「20B−2」と、これらの情報の受信日時を示す接続日時情報(ここでは「2014/7/1 11:05:03」)とを対応付けて、行動管理DB531に格納し、これを更新する。   Next, when the user of the client device 30A visits the hot spot of the access point 20B-2, the communication system 3 executes the processing steps of steps S7 to S11 in FIG. Each process of steps S7 to S11 should be easily analogized from the description of the processes of steps S2 to S6. In step S11, the control unit 51 of the behavior management server 50 receives the client ID “MID-A”, the AP information “20B-2” received from the access point 20B-2, and the connection date and time of receiving these pieces of information. The date and time information (here, “2014/7/1 11:05:03”) is associated with each other, stored in the behavior management DB 531, and updated.

以上の動作を繰り返していくことにより、行動管理サーバ50は、クライアント装置30のアクセスポイント20への接続履歴に基づいて、ユーザが訪れたホットスポット、即ち災害時の行動を管理する。行動管理サーバ50は、所定のクライアント装置30から、クライアントIDを指定した安否確認の要求を受け付けた場合には、行動管理DB531において当該クライアントIDに対応付けられた接続履歴情報に基づいて、ユーザの行動情報を送信する。   By repeating the above operation, the behavior management server 50 manages the hot spot visited by the user, that is, the behavior at the time of disaster, based on the connection history of the client device 30 to the access point 20. When the behavior management server 50 receives a safety confirmation request designating a client ID from a predetermined client device 30, the behavior management server 501 selects the user's ID based on the connection history information associated with the client ID in the behavior management DB 531. Send behavior information.

ところで、災害の発生時から時間が経過するにつれて、ユーザの置かれる状況が改善(復旧)し、全てのアクセスポイント20で共通SSIDを発信させる必要がなくなることがある。この場合であっても、ユーザの行動管理を引き続き行うことができるように、通信システム3では、一部のアクセスポイント20を固有SSIDの発信に戻す一方で、他のアクセスポイント20では共通SSIDの発信を継続させてもよい。ここで、アクセスポイント20A−1が訪れる人の数がさほど多くない場所に設置され、アクセスポイント20B−2が訪れる人の数が多い場所(例えばランドマーク)に設置されている場合を考える。この場合、通信システム3では、図11のシーケンス図に示すように、クライアント装置30のユーザの行動管理が行われる。   By the way, as time elapses from the time of the occurrence of the disaster, the situation where the user is placed may be improved (recovered), and it may not be necessary to transmit a common SSID at all the access points 20. Even in this case, the communication system 3 returns some access points 20 to the transmission of the unique SSID while the other access points 20 have the common SSID so that the user's behavior management can be continued. Transmission may be continued. Here, consider a case where the access point 20A-1 is installed in a place where the number of visitors is not so large, and the access point 20B-2 is installed in a place where the number of visitors is large (for example, a landmark). In this case, in the communication system 3, as shown in the sequence diagram of FIG. 11, the behavior management of the user of the client device 30 is performed.

図11に示すように、アクセスポイント20A−1の制御部21は、AP制御装置40Aから受信された発信制御信号に応じて、共通SSIDの発信を停止させ(ステップS12)、固有SSIDの発信を開始させる(ステップS13)。この場合、クライアント装置30Aが固有SSIDを受信して(ステップS14)、認証サーバ10Aによる認証に成功した場合であっても(ステップS15)、クライアント装置30Aにより行動管理要求は送信されない。他方、アクセスポイント20B−2は共通SSIDを発信し続けているので、アクセスポイント20B−2のホットスポットをユーザが訪れた場合は、ステップS16〜S20の処理が実行されて、行動管理サーバ50の行動管理DB531が更新される。ステップS16〜S20の各処理は、ステップS2〜S6の処理の説明から容易に類推できるはずである。
なお、通信システム3において、固有SSIDの発信に戻すアクセスポイント20と、共通SSIDを継続して発信するアクセスポイント20とは、上述したとおり設置場所を考慮して決められる例に限られず、他の規則に基づいて決められてもよい。また、通信システム3では、災害発生時からの経過時間に応じて、共通SSIDを発信するアクセスポイント20が段階的に減らしてもよい。
As shown in FIG. 11, the control unit 21 of the access point 20A-1 stops the transmission of the common SSID according to the transmission control signal received from the AP control apparatus 40A (step S12), and transmits the unique SSID. Start (step S13). In this case, even when the client device 30A receives the unique SSID (step S14) and succeeds in authentication by the authentication server 10A (step S15), the behavior management request is not transmitted by the client device 30A. On the other hand, since the access point 20B-2 continues to transmit the common SSID, when the user visits the hot spot of the access point 20B-2, the processes of steps S16 to S20 are executed, and the action management server 50 The behavior management DB 531 is updated. Each process of steps S16 to S20 should be easily analogized from the description of the processes of steps S2 to S6.
In the communication system 3, the access point 20 for returning to the transmission of the unique SSID and the access point 20 for continuously transmitting the common SSID are not limited to the examples determined in consideration of the installation location as described above. It may be determined based on rules. Further, in the communication system 3, the number of access points 20 that transmit the common SSID may be reduced stepwise in accordance with the elapsed time from the occurrence of the disaster.

以上の説明では、クライアント装置30が行動管理要求を送信する構成であったが、この構成に限られない。例えば、行動管理サーバ50は、クライアント装置30の認証時に、アクセスポイント20が認証サーバ10に付与する情報から、ユーザの行動管理のための情報(例えば、アクセスポイント20の情報やクライアント30のMACアドレス等)を取得し、ユーザの行動情報を管理してもよい。また、行動管理サーバ50は、AP制御装置40からユーザの行動情報の管理のための情報を取得してもよい。   In the above description, the client device 30 is configured to transmit an action management request, but is not limited to this configuration. For example, the behavior management server 50 uses the information that the access point 20 gives to the authentication server 10 at the time of authentication of the client device 30 (for example, information on the access point 20 or the MAC address of the client 30). Etc.), and user behavior information may be managed. Further, the behavior management server 50 may acquire information for managing user behavior information from the AP control device 40.

[第3実施形態]
上述した第1実施形態の通信システム1では、或る規模以上の災害が発生したことを条件に、共通SSIDの発信が開始されていた。これに対し、本実施形態の通信システムでは、災害の発生に限られず、所定の事象が発生したことを条件として、共通SSIDの発信が開始される。以下の説明において、上述した第1実施形態と同じ要素については同じ符号を付して表し、その説明を省略又は簡略化する。本実施形態の通信システム1の全体構成は、図1に示す構成と同じでよい。ただし、AP制御装置40の構成及び動作が、上述した第1実施形態と相違する。
[Third Embodiment]
In the communication system 1 according to the first embodiment described above, the transmission of the common SSID has been started on the condition that a disaster of a certain scale or larger has occurred. On the other hand, in the communication system according to the present embodiment, transmission of a common SSID is started on the condition that a predetermined event has occurred, without being limited to the occurrence of a disaster. In the following description, the same elements as those in the first embodiment described above are denoted by the same reference numerals, and the description thereof is omitted or simplified. The overall configuration of the communication system 1 of the present embodiment may be the same as the configuration shown in FIG. However, the configuration and operation of the AP control device 40 are different from those of the first embodiment described above.

図12は、本実施形態のAP制御装置40のハードウェア構成を示す図である。図12に示すように、AP制御装置40は、制御部41と、通信部42と、事象検知部43とを備える。
制御部41は、CPU、ROM及びRAMを備えたマイクロコンピュータである。CPUは、ROMに記憶されたプログラムに記憶されたプログラムを、RAMに読み出して実行することにより、AP制御装置40の各部を制御する。制御部41は、共通SSIDの発信条件を満たしたと判定した場合には、共通SSIDの発信を開始させる発信制御信号を、通信部42を介してアクセスポイント20に送信する(即ち発信制御部)。通信部42は、例えばモデムを備え、ネットワークNWに接続して通信する。通信部42は、制御部41の制御の下で、アクセスポイント20との間でデータの送受信を行う。
FIG. 12 is a diagram illustrating a hardware configuration of the AP control device 40 of the present embodiment. As illustrated in FIG. 12, the AP control device 40 includes a control unit 41, a communication unit 42, and an event detection unit 43.
The control unit 41 is a microcomputer including a CPU, a ROM, and a RAM. The CPU controls each unit of the AP control device 40 by reading the program stored in the program stored in the ROM into the RAM and executing the program. When it is determined that the common SSID transmission condition is satisfied, the control unit 41 transmits a transmission control signal for starting transmission of the common SSID to the access point 20 via the communication unit 42 (that is, a transmission control unit). The communication unit 42 includes a modem, for example, and communicates by connecting to the network NW. The communication unit 42 transmits / receives data to / from the access point 20 under the control of the control unit 41.

事象検知部43は、共通SSIDの発信条件を満たしたかどうかを判定するための所定の事象を検知する。この事象の具体例として、以下の(1)〜(3)がある。
(1)ネットワークNWの状態
制御部41は、例えば、ネットワークNWの状態が、所定の状態になったことが事象検知部43により検知された場合に、発信条件を満たしたと判定する。ネットワークNWの状態としては、例えば、ネットワークNWのトラヒック量がある。ネットワークNWのトラヒック量が多い場合、災害の発生等を原因として、多くのクライアント装置30がネットワークNW経由の通信を行ったと推定することができる。そこで、制御部41は、事象検知部43によりネットワークNWのトラヒック量を検知し、このトラヒック量が閾値になったと判定した場合には、発信条件を満たしたと判定する。
ネットワークNWのトラヒック量の増大は、災害発生以外にも、花火や初詣等の所定のイベントが開催される等、所定の場所での人の混雑度合いが高くなった場合にも発生し得る。この場合、AP制御装置40は、人が多く集まった場所において、無線LANサービスを利用しやすい環境を作り出す目的で、共通SSIDを発信することとなる。
The event detection unit 43 detects a predetermined event for determining whether or not the common SSID transmission condition is satisfied. Specific examples of this event include the following (1) to (3).
(1) State of network NW The control part 41 determines with satisfy | filling transmission conditions, for example, when the event detection part 43 detects that the state of the network NW became the predetermined | prescribed state. The state of the network NW includes, for example, the traffic amount of the network NW. When the traffic amount of the network NW is large, it can be estimated that many client devices 30 have performed communication via the network NW due to the occurrence of a disaster or the like. Therefore, the control unit 41 detects the traffic amount of the network NW by the event detection unit 43, and determines that the transmission condition is satisfied when it is determined that the traffic amount has reached a threshold value.
In addition to the occurrence of a disaster, an increase in the traffic volume of the network NW may also occur when the degree of congestion of a person at a predetermined place becomes high, such as when a predetermined event such as fireworks or a first event is held. In this case, the AP control device 40 transmits a common SSID for the purpose of creating an environment where the wireless LAN service can be easily used in a place where many people gather.

(2)クライアント装置30が接続可能な他の通信回線の状態
制御部41は、例えば、クライアント装置30が接続可能な他の通信回線の状態が、所定の状態になったことが事象検知部43により検知された場合に、発信条件を満たしたと判定する。クライアント装置30が接続可能な他の通信回線として、例えば、3G回線等の移動通信網がある。この通信回線のトラヒック量が多い場合、又は故障等の異常が発生した場合には、当該通信回線を介した通信に支障を来たす可能性がある。そこで、制御部41は、クライアント装置30が接続可能な他の通信回線のトラヒック量が閾値になったと判定した場合、又は異常が発生したと判定した場合には、発信条件を満たしたと判定する。これにより、クライアント装置30は、ネットワークNW以外の通信回線に接続して通信できない場合であっても、ネットワークNW経由で通信することができる。
(2) State of other communication line to which client device 30 can be connected The control unit 41 determines that the state of another communication line to which the client device 30 can be connected has become a predetermined state, for example. If the transmission condition is detected, it is determined that the transmission condition is satisfied. As another communication line to which the client device 30 can be connected, for example, there is a mobile communication network such as a 3G line. When the amount of traffic on this communication line is large, or when an abnormality such as a failure occurs, communication via the communication line may be hindered. Therefore, the control unit 41 determines that the transmission condition is satisfied when it is determined that the traffic amount of another communication line to which the client device 30 can be connected becomes a threshold value or when it is determined that an abnormality has occurred. As a result, the client device 30 can communicate via the network NW even when the client device 30 cannot communicate by connecting to a communication line other than the network NW.

(3)アクセスポイント20とクライアント装置30との通信状況
制御部41は、例えば、アクセスポイント20とクライアント装置30との通信状況が、所定の状態になったことが事象検知部43により検知された場合に、発信条件を満たしたと判定する。
アクセスポイント20とクライアント装置30との通信状況として、例えば、当該アクセスポイント20と通信する海外のユーザのクライアント装置30の数がある。海外のユーザのクライアント装置30は、移動通信網等のネットワークNW以外の通信回線に接続して通信できない可能性がある。そこで、制御部41は、海外のユーザのクライアント装置30の接続数又はプローブ数(即ち、プローブ応答をしたクライアント装置30の数)が閾値以上になったアクセスポイント20については、共通SSIDを発信させる。海外のユーザのクライアント装置30を検知するための方法の一例として、事象検知部43は、クライアント装置30からMACアドレスを取得して、製造メーカを特定することにより、海外のユーザのクライアント装置30を検知する。別の方法として、クライアント装置30が使用される国や地域を識別するIDが記憶部34に記憶されている場合には、事象検知部43は、このIDをクライアント装置30から取得して、海外のユーザのクライアント装置30を検知してもよい。
(3) Communication status between access point 20 and client device 30 In the control unit 41, for example, the event detection unit 43 detects that the communication status between the access point 20 and the client device 30 is in a predetermined state. If it is determined that the transmission condition is satisfied.
Examples of the communication status between the access point 20 and the client device 30 include the number of client devices 30 of overseas users who communicate with the access point 20. There is a possibility that the client device 30 of the overseas user cannot communicate by connecting to a communication line other than the network NW such as a mobile communication network. Therefore, the control unit 41 transmits a common SSID for the access point 20 in which the number of connections or the number of probes of the client device 30 of an overseas user (that is, the number of client devices 30 that made a probe response) is equal to or greater than a threshold value. . As an example of a method for detecting the client device 30 of an overseas user, the event detection unit 43 acquires the MAC address from the client device 30 and identifies the manufacturer, thereby identifying the client device 30 of the overseas user. Detect. As another method, when an ID for identifying the country or region in which the client device 30 is used is stored in the storage unit 34, the event detection unit 43 acquires this ID from the client device 30, and The user's client device 30 may be detected.

アクセスポイント20とクライアント装置30との通信状況の別の例として、アクセスポイント20における混雑度の指標となる状況がある。例えば、アクセスポイント20における、クライアント装置30の接続数又はプローブ数(総数)である。この場合、制御部41は、混雑度、即ちクライアント装置30の接続数又はプローブ数が閾値になったアクセスポイント20については、共通SSIDを発信させる。   As another example of the communication status between the access point 20 and the client device 30, there is a status that serves as an indicator of the degree of congestion at the access point 20. For example, the number of connections or the number of probes (total number) of the client device 30 at the access point 20. In this case, the control unit 41 transmits a common SSID for the access point 20 whose threshold is the degree of congestion, that is, the number of connections or the number of probes of the client device 30.

以上説明した事象と発信条件との関係は、あくまで一例である。例えば、制御部41は、アクセスポイント20が設置された位置を検知して、この位置が発信条件を満たしているかどうかを判定してもよい。例えば、制御部41は、飛行機等の所定の乗物に設置されたアクセスポイント20については、発信条件を満たしていると判定する。また、また、制御部41は、現在日時を検知して、検知した日時が発信条件を満たしているかどうかを判定してもよい。例えば、制御部41は、検知した日時が、トラヒック量が増大しやすい所定の日時に合致する場合には、発信条件を満たしていると判定する。
なお、制御部41は、上述した2以上の事象を検知して、検知した事象に基づいて共通SSIDの発信を制御してもよい。
The relationship between the event and the transmission condition described above is merely an example. For example, the control unit 41 may detect a position where the access point 20 is installed and determine whether or not this position satisfies a transmission condition. For example, the control unit 41 determines that the transmission condition is satisfied for the access point 20 installed in a predetermined vehicle such as an airplane. In addition, the control unit 41 may detect the current date and time and determine whether or not the detected date and time satisfies the transmission condition. For example, the control unit 41 determines that the transmission condition is satisfied when the detected date / time matches a predetermined date / time when the traffic volume is likely to increase.
The control unit 41 may detect two or more events described above and control the transmission of the common SSID based on the detected events.

[変形例]
本発明は、上述した実施形態と異なる形態で実施することが可能である。本発明は、例えば、以下のような形態で実施することも可能である。また、以下に示す変形例は、各々を適宜に組み合わせてもよい。
(変形例1)
クライアント装置30は、共通SSIDと固有SSIDとを同時期に受信した場合には、共通SSIDを発信したアクセスポイント20に、優先的に接続してもよい。その理由は、クライアント装置30が、共通SSIDを発信したアクセスポイント20に接続した方が、この接続に関してユーザの負担が軽減されると考えられるからである。例えば、クライアント装置30のユーザが、災害発生地域とそれ以外の地域との境界付近に居る場合には、このクライアント装置30は、共通SSIDと固有SSIDとを同時期に受信する可能性がある。
この変形例において、クライアント装置30の認証要求部302(図6参照)は、SSID受信部301により共通SSID及び固有SSIDが同時期に受信された場合には、共通SSIDを発信したアクセスポイント20へ認証を要求する。即ち、認証要求部302は、固有SSIDを発信したアクセスポイント20へ認証を要求しない。認証要求部302は、ユーザによる接続相手のアクセスポイント20を指定する操作なしに、認証を要求してもよい。クライアント装置30が実現する他の機能は、上述した第1実施形態と同じでよい。
[Modification]
The present invention can be implemented in a form different from the above-described embodiment. The present invention can also be implemented in the following forms, for example. Further, the following modifications may be combined as appropriate.
(Modification 1)
When the client device 30 receives the common SSID and the unique SSID at the same time, the client device 30 may preferentially connect to the access point 20 that has transmitted the common SSID. The reason is that it is considered that if the client device 30 is connected to the access point 20 that has transmitted the common SSID, the burden on the user is reduced with respect to this connection. For example, when the user of the client device 30 is near the boundary between the disaster occurrence region and the other region, the client device 30 may receive the common SSID and the unique SSID at the same time.
In this modification, the authentication request unit 302 (see FIG. 6) of the client device 30, when the common SSID and the unique SSID are received by the SSID reception unit 301 at the same time, to the access point 20 that has transmitted the common SSID. Require authentication. That is, the authentication request unit 302 does not request authentication from the access point 20 that has transmitted the unique SSID. The authentication request unit 302 may request authentication without an operation of designating the access point 20 of the connection partner by the user. Other functions realized by the client device 30 may be the same as those of the first embodiment described above.

(変形例2)
上述した各実施形態では、認証サーバ10は、固有SSID発信時の認証と、共通SSID発信時の認証との両方を行っていた。これに代えて、認証サーバ10が、共通SSID発信時の認証を行い、別途設けられた固有SSID発信時用の認証サーバが、固有SSID発信時の認証を行ってもよい。この場合、認証サーバ10は、図6を用いて説明した機能を実現する一方で、図5を用いて説明した機能を実現しない。
この変形例において、アクセスポイント20は、共通SSIDを発信しているときに、クライアント装置30からデータを受信した場合には、認証サーバ10にデータを中継し、固有SSIDを発信しているときに、クライアント装置30からデータを受信した場合には、固有SSID発信時用の認証サーバにデータを中継するように、発信しているSSIDに応じて、データの中継経路を切り替えるとよい。この中継経路を切り替える機能を有しない場合には、アクセスポイント20は、クライアント装置30からのデータを、認証サーバ10と、固有SSID発信時用の認証サーバとの両方に中継する。この場合、認証サーバ10は、データを中継したアクセスポイント20が共通SSIDを発信している場合には、認証に関わる処理を行う一方で、アクセスポイント20が固有SSIDを発信している場合には、認証に関わる処理を行わないようにする。
(Modification 2)
In each of the above-described embodiments, the authentication server 10 performs both authentication when transmitting a unique SSID and authentication when transmitting a common SSID. Instead, the authentication server 10 may perform authentication when a common SSID is transmitted, and a separately provided authentication server for transmitting a unique SSID may perform authentication when a unique SSID is transmitted. In this case, the authentication server 10 realizes the function described with reference to FIG. 6, but does not realize the function described with reference to FIG.
In this modification, the access point 20 relays data to the authentication server 10 and transmits a unique SSID when receiving data from the client device 30 while transmitting a common SSID. When data is received from the client device 30, the data relay route may be switched according to the transmitting SSID so as to relay the data to the authentication server for transmitting the unique SSID. When the access point 20 does not have the function of switching the relay path, the access point 20 relays the data from the client device 30 to both the authentication server 10 and the authentication server for transmitting the unique SSID. In this case, if the access point 20 that relayed the data transmits a common SSID, the authentication server 10 performs processing related to authentication, while the access point 20 transmits a unique SSID. Do not perform processing related to authentication.

(変形例3)
上述した各実施形態では、アクセスポイント20は、固有SSIDと共通SSIDとを選択的に発信していた。これに代えて、アクセスポイント20は、固有SSIDの発信を継続的に行い、共通SSIDを発信する場合には、固有SSIDと共通SSIDとの両方を同時に発信してもよい。この変形例において、クライアント装置30は、上述した変形例1で説明した方法で、共通SSIDを発信するアクセスポイント20に優先的に接続してもよい。
アクセスポイント20は、AP制御装置40の機能を有してもよい。即ち、アクセスポイント20は、自機の機能により共通SSIDを発信すべき条件を満たしたと判定した場合には、共通SSIDを発信し、その条件を満たさなくなったと判定した場合には、共通SSIDの発信を停止させる。
上述した各実施形態では、無線LANサービスは、Wi−Fiの規格に準拠していたが、WiMAX(登録商標)等の他の規格に準拠していてもよい。よって、本発明の識別子(第1の識別子又は第2の識別子)もSSIDに限られない。
本発明の認証システムで使用される共通SSIDは、1つに限られず、2つ以上存在していてもよい。
また、上記事項以外にも、上述した実施形態で説明した構成及び動作(装置間でやり取りされるデータを含む。)の一部が変形又は省略されてもよい。
(Modification 3)
In each embodiment described above, the access point 20 selectively transmits a unique SSID and a common SSID. Instead, the access point 20 may continuously transmit the unique SSID and simultaneously transmit both the unique SSID and the common SSID when transmitting the common SSID. In this modification, the client device 30 may preferentially connect to the access point 20 that transmits the common SSID by the method described in Modification 1 described above.
The access point 20 may have the function of the AP control device 40. That is, when the access point 20 determines that the condition for transmitting the common SSID is satisfied by the function of the own device, the access point 20 transmits the common SSID. When the access point 20 determines that the condition is not satisfied, the access point 20 transmits the common SSID. Stop.
In each embodiment described above, the wireless LAN service conforms to the Wi-Fi standard, but may conform to other standards such as WiMAX (registered trademark). Therefore, the identifier (the first identifier or the second identifier) of the present invention is not limited to the SSID.
The common SSID used in the authentication system of the present invention is not limited to one, and two or more common SSIDs may exist.
In addition to the above items, some of the configurations and operations (including data exchanged between apparatuses) described in the above-described embodiments may be modified or omitted.

(変形例4)
上述した各実施形態の各装置が実現する各機能は、1又は複数のハードウェア回路により実現されてもよいし、1又は複数のプログラムを演算装置が実行することにより実現されてよいし、これらの組み合わせにより実現されてもよい。各装置の機能がプログラムを用いて実現される場合、このプログラムは、磁気記録媒体(磁気テープ、磁気ディスク(HDD(Hard Disk Drive)、FD(Flexible Disk))等)、光記録媒体(光ディスク等)、光磁気記録媒体、半導体メモリ等のコンピュータ読取可能な記録媒体に記憶した状態で提供されてもよいし、ネットワークを介して配信されてもよい。また、本発明は、認証サーバとアクセスポイントとにより実現される認証方法としても把握し得る。
(Modification 4)
Each function realized by each device of each embodiment described above may be realized by one or a plurality of hardware circuits, or may be realized by an arithmetic device executing one or a plurality of programs, or these It may be realized by a combination of When the function of each device is realized using a program, this program can be a magnetic recording medium (magnetic tape, magnetic disk (HDD (Hard Disk Drive), FD (Flexible Disk), etc.)), optical recording medium (optical disk, etc.). ), May be provided in a state of being stored in a computer-readable recording medium such as a magneto-optical recording medium or a semiconductor memory, or may be distributed via a network. The present invention can also be understood as an authentication method realized by an authentication server and an access point.

1,3…通信システム、2,2A,2B…認証システム、10,10A,10B…認証サーバ、101…認証要求受付部、102…証明書送信部、103…クライアント認証部、11,21,31,41,51…制御部、12,33,42,52…通信部、13,23,34,43,53…記憶部、131…認証情報DB、20,20A,20B…アクセスポイント、201…SSID発信部、202…中継処理部、22…中継部、24…発信部、30,30A,30B…クライアント装置、301…SSID受信部、302…認証要求部、303…証明書受信部、304…サーバ認証部、305…認証情報送信部、32…UI部、40,40A,40B…AP制御装置、50…行動管理サーバ、531…行動管理DB DESCRIPTION OF SYMBOLS 1,3 ... Communication system, 2, 2A, 2B ... Authentication system, 10, 10A, 10B ... Authentication server, 101 ... Authentication request reception part, 102 ... Certificate transmission part, 103 ... Client authentication part, 11, 21, 31 , 41, 51 ... control unit, 12, 33, 42, 52 ... communication unit, 13, 23, 34, 43, 53 ... storage unit, 131 ... authentication information DB, 20, 20A, 20B ... access point, 201 ... SSID Transmission unit 202 ... Relay processing unit 22 ... Relay unit 24 ... Transmission unit 30, 30A, 30B ... Client device 301 ... SSID reception unit 302 ... Authentication request unit 303 ... Certificate reception unit 304 ... Server Authentication unit, 305 ... Authentication information transmission unit, 32 ... UI unit, 40, 40A, 40B ... AP control device, 50 ... Action management server, 531 ... Action management DB

Claims (9)

複数の事業者の前記事業者毎に管理される認証サーバと、
前記認証サーバとネットワークを介して接続され、クライアント装置が接続するアクセスポイントと
を備える認証システムであって、
前記アクセスポイントは、
当該アクセスポイントに固有の第1の識別子と、前記複数の事業者で共通の第2の識別子とを発信可能であり、
前記認証サーバは、
前記複数の事業者で共通に使用される第1の証明書を記憶する記憶部と、
前記アクセスポイントが前記第2の識別子を発信している場合に、前記クライアント装置が接続したときには、記憶された前記第1の証明書を、当該アクセスポイントへ送信する証明書送信部と、
前記クライアント装置により受信された前記第1の証明書が、当該第1の証明書に対応する第2の証明書を用いて正当と判定された場合には、当該クライアント装置により送信された認証情報を、前記アクセスポイントを介して受信する認証情報受信部と、
前記第2の識別子を発信している前記アクセスポイントを介して、前記認証情報を受信した場合には、当該認証情報によらないで、前記クライアント装置の認証に成功したと判定するクライアント認証部と
を有する認証システム。
An authentication server managed for each of the plurality of companies;
An authentication system comprising: an access point connected to the authentication server via a network and connected to a client device;
The access point is
A first identifier unique to the access point and a second identifier common to the plurality of operators can be transmitted;
The authentication server is
A storage unit for storing a first certificate used in common by the plurality of operators;
When the access point is transmitting the second identifier and the client device is connected, a certificate transmission unit that transmits the stored first certificate to the access point;
If the first certificate received by the client device is determined to be valid using the second certificate corresponding to the first certificate, the authentication information transmitted by the client device An authentication information receiving unit for receiving via the access point;
A client authentication unit that determines that the authentication of the client device has succeeded without relying on the authentication information when the authentication information is received via the access point transmitting the second identifier; Having an authentication system.
前記第2の識別子を発信している前記アクセスポイントへの前記クライアント装置の接続の履歴に基づいて、当該クライアント装置のユーザの行動情報を管理する行動管理装置と接続される
ことを特徴とする請求項1に記載の認証システム。
The mobile device is connected to a behavior management device that manages behavior information of a user of the client device based on a history of connection of the client device to the access point that is transmitting the second identifier. Item 4. The authentication system according to Item 1.
前記アクセスポイントとして、第1のアクセスポイントと、第2のアクセスポイントとがあり、
前記第1のアクセスポイント及び第2のアクセスポイントが前記第2の識別子を発信している場合に、所定の条件を満たしたときには、前記第1のアクセスポイントが前記第2の識別子の発信を継続する一方で、前記第2のアクセスポイントが前記第2の識別子の発信を停止させて前記第1の識別子を発信する
ことを特徴とする請求項2に記載の認証システム。
As the access point, there is a first access point and a second access point,
When the first access point and the second access point transmit the second identifier and the predetermined condition is satisfied, the first access point continues to transmit the second identifier. On the other hand, the authentication system according to claim 2, wherein the second access point stops the transmission of the second identifier and transmits the first identifier.
前記第2の識別子の発信条件を満たしたと判定した場合には、前記アクセスポイントに前記第2の識別子を発信させる発信制御部
を備えることを特徴とする請求項1に記載の認証システム。
The authentication system according to claim 1, further comprising: a transmission control unit that causes the access point to transmit the second identifier when it is determined that the transmission condition of the second identifier is satisfied.
前記発信制御部は、
前記ネットワークの状態、又は前記クライアント装置が接続可能な他の通信回線の状態が、所定の状態になったことが検知された場合に、前記発信条件を満たしたと判定する
ことを特徴とする請求項4に記載の認証システム。
The transmission control unit
The state of the network or the state of another communication line to which the client apparatus can be connected is determined to satisfy the transmission condition when it is detected that the state is a predetermined state. 4. The authentication system according to 4.
前記発信制御部は、
前記アクセスポイントと前記クライアント装置との通信状況が、所定の状態になったことが検知された場合に、前記発信条件を満たしたと判定する
ことを特徴とする請求項4又は請求項5に記載の認証システム。
The transmission control unit
6. The method according to claim 4, wherein when it is detected that a communication state between the access point and the client device is in a predetermined state, it is determined that the transmission condition is satisfied. Authentication system.
複数の事業者の前記事業者毎に管理され、クライアント装置が接続するアクセスポイントとネットワークを介して接続された認証サーバであって、
前記複数の事業者で共通に使用される第1の証明書を記憶する記憶部と、
前記アクセスポイントが前記複数の事業者で共通の識別子を発信している場合に、前記クライアント装置が接続したときには、記憶された前記第1の証明書を、当該アクセスポイントへ送信する証明書送信部と、
前記クライアント装置により受信された前記第1の証明書が、当該第1の証明書に対応する第2の証明書を用いて正当と判定された場合には、当該クライアント装置により送信された認証情報を、前記アクセスポイントを介して受信する認証情報受信部と、
前記識別子を発信している前記アクセスポイントを介して、前記認証情報を受信した場合には、当該認証情報によらないで、前記クライアント装置の認証に成功したと判定するクライアント認証部と
を備える認証サーバ。
An authentication server that is managed for each provider of a plurality of providers and is connected to an access point to which a client device is connected via a network,
A storage unit for storing a first certificate used in common by the plurality of operators;
When the client device is connected when the access point is transmitting a common identifier among the plurality of operators, a certificate transmission unit that transmits the stored first certificate to the access point When,
If the first certificate received by the client device is determined to be valid using the second certificate corresponding to the first certificate, the authentication information transmitted by the client device An authentication information receiving unit for receiving via the access point;
An authentication unit comprising: a client authentication unit that determines that the authentication of the client device has succeeded without relying on the authentication information when the authentication information is received via the access point transmitting the identifier server.
請求項1から請求項6のいずれか1項に記載の認証システムが備える前記アクセスポイントに接続するクライアント装置であって、
前記第2の証明書を記憶する記憶部と、
前記第1の識別子及び前記第2の識別子を受信した場合には、当該第2の識別子を発信した前記アクセスポイントへ認証を要求する認証要求部と、
前記認証の要求に応じて前記認証サーバにより送信された前記第1の証明書を、前記アクセスポイントから受信する証明書受信部と、
記憶された前記第2の証明書を用いて、受信された前記第1の証明書が正当かどうかを判定するサーバ認証部と、
受信された前記第1の証明書が正当と判定された場合には、前記認証情報を、前記アクセスポイントへ送信する認証情報送信部と
を備えるクライアント装置。
A client device connected to the access point included in the authentication system according to any one of claims 1 to 6,
A storage unit for storing the second certificate;
When the first identifier and the second identifier are received, an authentication request unit that requests authentication to the access point that has transmitted the second identifier;
A certificate receiving unit that receives from the access point the first certificate transmitted by the authentication server in response to the authentication request;
A server authentication unit that determines whether the received first certificate is valid by using the stored second certificate;
A client device comprising: an authentication information transmission unit that transmits the authentication information to the access point when the received first certificate is determined to be valid.
複数の事業者の前記事業者毎に管理される認証サーバと、前記認証サーバとネットワークを介して接続され、クライアント装置が接続するアクセスポイントとにより実現される認証方法であって、
前記アクセスポイントが、前記複数の事業者で共通の識別子を発信するステップと、
前記認証サーバが、前記アクセスポイントが前記識別子を発信している場合に、前記クライアント装置が接続したときには、記憶した前記複数の事業者で共通に使用される第1の証明書を、当該アクセスポイントへ送信するステップと、
前記認証サーバが、前記クライアント装置により受信された前記第1の証明書が、当該第1の証明書に対応する第2の証明書を用いて正当と判定された場合には、当該クライアント装置により送信された認証情報を、前記アクセスポイントを介して受信するステップと、
前記認証サーバが、前記識別子を発信している前記アクセスポイントを介して、前記認証情報を受信した場合には、当該認証情報によらないで、前記クライアント装置の認証に成功したと判定するステップと
を有する認証方法。
An authentication method that is realized by an authentication server managed for each of a plurality of operators, and an access point connected to the authentication server via a network and connected to a client device,
The access point transmitting a common identifier among the plurality of operators;
When the client device is connected when the access point is transmitting the identifier, the authentication server uses the stored first certificate that is commonly used by the plurality of operators as the access point. Sending to
If the authentication server determines that the first certificate received by the client device is valid using the second certificate corresponding to the first certificate, the client device Receiving the transmitted authentication information via the access point;
A step of determining that the authentication of the client device is successful without relying on the authentication information when the authentication server receives the authentication information via the access point transmitting the identifier; An authentication method.
JP2014175316A 2014-08-29 2014-08-29 Authentication system, authentication server, client device, and authentication method Active JP6290044B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014175316A JP6290044B2 (en) 2014-08-29 2014-08-29 Authentication system, authentication server, client device, and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014175316A JP6290044B2 (en) 2014-08-29 2014-08-29 Authentication system, authentication server, client device, and authentication method

Publications (2)

Publication Number Publication Date
JP2016051268A true JP2016051268A (en) 2016-04-11
JP6290044B2 JP6290044B2 (en) 2018-03-07

Family

ID=55658738

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014175316A Active JP6290044B2 (en) 2014-08-29 2014-08-29 Authentication system, authentication server, client device, and authentication method

Country Status (1)

Country Link
JP (1) JP6290044B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018056898A (en) * 2016-09-30 2018-04-05 Necプラットフォームズ株式会社 Access point, user terminal, communication control method, and communication control program
JP2020501421A (en) * 2016-12-06 2020-01-16 テレフオンアクチーボラゲット エルエム エリクソン(パブル) Improved public information system
CN111052203A (en) * 2017-09-26 2020-04-21 Kddi株式会社 Operation management method, operation management device, and operation management program
CN111212426A (en) * 2020-01-10 2020-05-29 中国联合网络通信集团有限公司 Terminal access method, terminal, micro base station and access system

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006085719A (en) * 2004-09-17 2006-03-30 Fujitsu Ltd Setting information distribution device, authentication setting transfer device, method, program, medium and setting information receiving program
JP2007104245A (en) * 2005-10-04 2007-04-19 Ntt Docomo Inc System and method for acquiring position of mobile terminal
JP2007150633A (en) * 2005-11-25 2007-06-14 Tamura Seisakusho Co Ltd Wireless lan access point, ip address management method using the same, and management program
JP2008228089A (en) * 2007-03-14 2008-09-25 Nippon Telegr & Teleph Corp <Ntt> Device, method, and program for selecting communication connection system
JP2011197864A (en) * 2010-03-18 2011-10-06 Brother Industries Ltd Controlling device and computer program
US20140029512A1 (en) * 2012-07-26 2014-01-30 Stmicroelectronics, Inc. Single-ssid and dual-ssid enhancements
JP2014138204A (en) * 2013-01-15 2014-07-28 Kddi Corp Wireless lan connection automation method, wireless lan connection automation system, and wireless lan access point device

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006085719A (en) * 2004-09-17 2006-03-30 Fujitsu Ltd Setting information distribution device, authentication setting transfer device, method, program, medium and setting information receiving program
JP2007104245A (en) * 2005-10-04 2007-04-19 Ntt Docomo Inc System and method for acquiring position of mobile terminal
JP2007150633A (en) * 2005-11-25 2007-06-14 Tamura Seisakusho Co Ltd Wireless lan access point, ip address management method using the same, and management program
JP2008228089A (en) * 2007-03-14 2008-09-25 Nippon Telegr & Teleph Corp <Ntt> Device, method, and program for selecting communication connection system
JP2011197864A (en) * 2010-03-18 2011-10-06 Brother Industries Ltd Controlling device and computer program
US20140029512A1 (en) * 2012-07-26 2014-01-30 Stmicroelectronics, Inc. Single-ssid and dual-ssid enhancements
JP2014138204A (en) * 2013-01-15 2014-07-28 Kddi Corp Wireless lan connection automation method, wireless lan connection automation system, and wireless lan access point device

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018056898A (en) * 2016-09-30 2018-04-05 Necプラットフォームズ株式会社 Access point, user terminal, communication control method, and communication control program
JP2020501421A (en) * 2016-12-06 2020-01-16 テレフオンアクチーボラゲット エルエム エリクソン(パブル) Improved public information system
US11140537B2 (en) 2016-12-06 2021-10-05 Telefonaktiebolaget Lm Ericsson (Publ) Public information system
CN111052203A (en) * 2017-09-26 2020-04-21 Kddi株式会社 Operation management method, operation management device, and operation management program
CN111052203B (en) * 2017-09-26 2022-09-06 Kddi株式会社 Operation management method, operation management device, and operation management program
US11678294B2 (en) 2017-09-26 2023-06-13 Kddi Corporation Operation management method, operation management device, and operation management program
CN111212426A (en) * 2020-01-10 2020-05-29 中国联合网络通信集团有限公司 Terminal access method, terminal, micro base station and access system

Also Published As

Publication number Publication date
JP6290044B2 (en) 2018-03-07

Similar Documents

Publication Publication Date Title
EP3552418B1 (en) Wireless network authorization using a trusted authenticator
US20240048985A1 (en) Secure password sharing for wireless networks
JP6668407B2 (en) Terminal authentication method and apparatus used in mobile communication system
RU2636679C2 (en) Communication control device, authentication device, central control device and communication system
JP5497646B2 (en) System and method for wireless network selection
CN104956638A (en) Restricted certificate enrollment for unknown devices in hotspot networks
CN101610241A (en) A kind of mthods, systems and devices of binding authentication
CN102209359A (en) Communication relay device and communication relay method
CN109922474A (en) Trigger the method and relevant device of network authentication
JP6290044B2 (en) Authentication system, authentication server, client device, and authentication method
JP2007116509A (en) Communication terminal, program, communication system, and method for outputting security information
JP2012531822A (en) System and method for obtaining network credentials
CN112512048B (en) Mobile network access system, method, storage medium and electronic device
JP2012531111A (en) System and method for locating via a network
JP2023519997A (en) Method and communication apparatus for securing terminal parameter updates
CN113543121A (en) Protection method for updating terminal parameter and communication device
JP6182421B2 (en) Relay device, communication system, communication method, and program
JP4777693B2 (en) Authentication system, terminal device, authentication device, and authentication method
JP2013206005A (en) Portable gateway having access restriction function
JP2010074481A (en) Lan system, terminal device, utilization application device, and user account acquiring method
JP2015139090A (en) Radio connection device, method for controlling radio connection device, and network system
JP6075885B2 (en) Authentication system and online sign-up control method
JP2020017032A (en) User authorization method for core network system including authorization device and service device
JP6334275B2 (en) Authentication device, authentication method, authentication program, and authentication system
JP2006020088A (en) Automatic connection method of network, apparatus for automatically connecting to network, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180130

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180207

R150 Certificate of patent or registration of utility model

Ref document number: 6290044

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250