JP3973961B2 - Wireless network connection system, terminal device, remote access server, and authentication function device - Google Patents

Wireless network connection system, terminal device, remote access server, and authentication function device Download PDF

Info

Publication number
JP3973961B2
JP3973961B2 JP2002124088A JP2002124088A JP3973961B2 JP 3973961 B2 JP3973961 B2 JP 3973961B2 JP 2002124088 A JP2002124088 A JP 2002124088A JP 2002124088 A JP2002124088 A JP 2002124088A JP 3973961 B2 JP3973961 B2 JP 3973961B2
Authority
JP
Japan
Prior art keywords
wireless
access point
network
authentication
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2002124088A
Other languages
Japanese (ja)
Other versions
JP2003318922A (en
Inventor
紀雄 堺
百合子 牛山
正 日置
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone East Corp
Original Assignee
Nippon Telegraph and Telephone East Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone East Corp filed Critical Nippon Telegraph and Telephone East Corp
Priority to JP2002124088A priority Critical patent/JP3973961B2/en
Publication of JP2003318922A publication Critical patent/JP2003318922A/en
Application granted granted Critical
Publication of JP3973961B2 publication Critical patent/JP3973961B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は、ユーザの端末が無線アクセスポイントを介してネットワークへ接続する無線ネットワーク接続システムに関する。
【0002】
【従来の技術】
近年、無線LAN(Local Area Network)の普及に伴い、公共の施設などの人が集まる場所にインターネットに接続するための無線LANの親機(無線アクセスポイント)を設置し、個人が外出先からPCカードなどの無線LANの子機を取り付けたモバイルコンピュータを用いてこの無線AP(アクセスポイント)に接続することでインターネットへ接続できる、無線インターネット接続システムが提供されている。
【0003】
しかし、従来接続先のISP(インターネットプロバイダ)などは無線AP毎に固定であり、アクセスしてきた無線LANユーザは全てこの固定のISPに対して接続されてしまい、無線LANユーザ個人単位で接続先を選択することができなかった。よって、無線LANユーザは、ISP経由の接続が許容されていないネットワークや、インターネット上に公開されていない企業プライベートネットワーク等を利用できない場合があった。
【0004】
また、従来、無線インターネット接続システムの提供者は、無線APとインターネットとの間のアクセス回線を無線LANユーザが何人で共用しているかの状況が把握できなかった。よって、多くの無線LANユーザの同時使用によるスループットの低下を防ぐため、無線APを同時に使用可能な無線LANユーザ数を制限することが望ましかった。
【0005】
また、無線AP設置者が無線APの無線LANユーザを制限する場合、無線AP毎に無線LANユーザ個々の認証情報を設定しなければならなかった。これは、AP設置者にとって非常に煩雑であった。
【0006】
【発明が解決しようとする課題】
この発明は、このような事情を考慮してなされたもので、その目的は、無線LANユーザ毎に接続先ネットワークを指定することが可能であり、かつ、無線アクセスポイントが網の機能で無線LANユーザを認証できる無線ネットワーク接続システムを提供することにある。
【0007】
【課題を解決するための手段】
この発明は、上記の課題を解決すべくなされたもので、請求項1に記載の発明は、端末装置と、前記端末装置がアクセスする無線アクセスポイントと、前記端末装置を認証する無線LANユーザ認証サーバを備えた認証機能装置と、前記端末の指定したネットワークへのルーチングを行うリモートアクセスサーバとで構成される無線ネットワーク接続システムであって、前記端末装置は、前記無線アクセスポイントと無線により通信する無線通信手段と、当該端末装置の端末認証情報を、インターネットプロトコル網に設置された無線LANユーザ認証サーバへ送信する端末認証情報送信手段と、前記無線LANユーザ認証サーバから暗号鍵情報を受信し、前記無線通信手段の通信を暗号化する暗号化無線通信手段と、無線LANユーザ識別情報、及び、接続先ネットワークのネットワーク識別情報を含んだネットワークユーザ認証情報を、前記リモートアクセスサーバへ送出するネットワークユーザ認証情報送信手段と、前記リモートアクセスサーバへ送出したネットワークユーザ認証情報内のネットワーク識別情報により特定される接続先ネットワークの認証サーバにおいて、当該ネットワークユーザ認証情報による認証が成功した場合に割り当てられたIPアドレスにより、当該接続先ネットワークとの通信を行うネットワーク通信手段とを具備し、前記無線アクセスポイントは、複数の前記端末装置と無線で通信する無線通信手段と、リモートアクセスサーバと通信する通信手段と、前記無線通信手段と前記通信手段のインタフェースを相互に変換するインタフェース変換手段と、前記無線LANユーザ認証サーバから暗号鍵情報を受信し、前記無線通信手段の通信を暗号化する暗号化無線通信手段とを具備し、前記リモートアクセスサーバは、無線アクセスポイントと通信するためのインタフェースと、インターネットプロトコル網と通信するためのインタフェースを相互に変換するインタフェース変換手段と、前記端末装置から前記ネットワークユーザ認証情報を受信し、無線LANユーザ識別情報及びネットワーク識別情報と、ネットワークを収容する通信装置との対応付けを記憶する振り分けサーバから、受信した前記ネットワークユーザ認証情報に含まれる無線LANユーザ識別情報及びネットワーク識別情報に対応した通信装置の情報を取得し、取得した情報により示される通信装置へ受信した前記ネットワークユーザ認証情報送出するルーチング手段とを具備し、前記無線LANユーザ認証サーバは、端末装置の端末認証情報を記憶する無線LANユーザ認証情報データベースと、前記端末装置から端末認証情報を受信し、前記無線LANユーザ認証情報データベース内の端末認証情報により認証を行う端末装置認証手段と、前記端末装置認証手段が前記端末装置を認証した場合には、前記端末装置と無線アクセスポイントが暗号化通信を行うための暗号鍵情報を生成し、前記無線アクセスポイントと前記端末装置に通知する暗号鍵情報送信手段とを具備する、ことを特徴とする無線ネットワーク接続システムである。
【0008】
請求項2に記載の発明は、請求項1に記載の無線ネットワーク接続システムであって、前記認証機能装置は、さらに、無線アクセスポイント認証サーバを備え、前記無線アクセスポイントは、当該無線アクセスポイントの無線アクセスポイント認証情報を前記無線アクセスポイント認証サーバへ送信する認証情報送信手段を具備し、前記通信手段は、前記無線アクセスポイント認証サーバから割り当てられたIPアドレスを使用してインターネットプロトコルによる通信を確立し、前記無線アクセスポイント認証サーバは、無線アクセスポイントの無線アクセスポイント認証情報を記憶する無線アクセスポイント認証データベースと、前記無線アクセスポイント認証情報を受信し、前記無線アクセスポイント認証データベースにより認証を行う無線アクセスポイント認証手段と、前記無線アクセスポイント認証手段が前記無線アクセスポイントを認証した場合には、前記無線アクセスポイントへ割り当てるIPアドレスを送信するアドレス通知手段とを具備する、ことを特徴とする。
【0009】
請求項3に記載の発明は、請求項1または請求項2に記載の無線ネットワーク接続システムであって、前記リモートアクセスサーバは、無線アクセスポイントが接続を許容する端末装置の同時接続数を記憶する記憶手段と、無線アクセスポイントに接続している端末装置数をカウントする接続端末数カウント手段と、前記端末認証情報の送信元の端末装置がアクセスした無線アクセスポイントが接続している前記端末装置数が前記同時接続数以上の時には、前記端末装置の接続を拒否する同時接続数制御手段とを具備する、ことを特徴とする。
【0010】
請求項4に記載の発明は、請求項1〜請求項3のいずれかの項に記載の無線ネットワーク接続システムであって、前記認証機能装置は、さらに、カスコンサーバを備え、前記カンスコンサーバは、前記無線アクセスポイントの使用を許可する端末装置のリストを記憶するデータベースと、前記端末認証情報の送信元の端末装置がアクセスした無線アクセスポイントを前記端末装置が利用可能であるかを前記データベース内のリストにより判断し、前記無線LANユーザ認証サーバに通知する利用許可確認手段を具備し、前記無線LANユーザ認証サーバの端末装置認証手段は、前記カスコンサーバから通知された利用可否情報により前記端末装置の認証を行う、ことを特徴とする。
【0011】
請求項5に記載の発明は、無線アクセスポイントと無線により通信する無線通信手段と、当該端末装置の端末認証情報を、インターネットプロトコル網に設置された無線LANユーザ認証サーバへ送信する端末認証情報送信手段と、前記無線LANユーザ認証サーバから暗号鍵情報を受信し、前記無線通信手段の通信を暗号化する暗号化無線通信手段と、無線LANユーザ識別情報、及び、接続先ネットワークのネットワーク識別情報を含んだネットワークユーザ認証情報を、前記リモートアクセスサーバへ送出するネットワークユーザ認証情報送信手段と、前記リモートアクセスサーバへ送出したネットワークユーザ認証情報内のネットワーク識別情報により特定される接続先ネットワークの認証サーバにおいて、当該ネットワークユーザ認証情報による認証が成功した場合に割り当てられたIPアドレスにより、当該接続先ネットワークとの通信を行うネットワーク通信手段と、を具備することを特徴とする端末装置である。
【0014】
請求項に記載の発明は、無線アクセスポイントと通信するためのインタフェースと、インターネットプロトコル網と通信するためのインタフェースを相互に変換するインタフェース変換手段と、端末装置からネットワークユーザ認証情報を受信し、無線LANユーザ識別情報及びネットワーク識別情報と、ネットワークを収容する通信装置との対応付けを記憶する振り分けサーバから、受信した前記ネットワークユーザ認証情報に含まれる無線LANユーザ識別情報及び接続先ネットワークのネットワーク識別情報に対応した通信装置の情報を取得し、取得した情報により示される通信装置へ受信した前記ネットワークユーザ認証情報を送出するルーチング手段と、を具備することを特徴とするリモートアクセスサーバである。
【0015】
請求項に記載の発明は、端末装置を認証する無線LANユーザ認証サーバと、無線アクセスポイントを認証する無線アクセスポイント認証サーバと、カスコンサーバとを含んで構成される認証機能装置であって、前記無線アクセスポイント認証サーバは、端末装置の端末認証情報を記憶する無線LANユーザ認証情報データベースと、端末装置から端末認証情報を受信し、前記無線LANユーザ認証情報データベース内の端末認証情報により認証を行う端末装置認証手段と、前記端末装置認証手段が前記端末装置を認証した場合には、前記端末装置と無線アクセスポイントが暗号化通信を行うための暗号鍵情報を生成し、前記端末装置がアクセスする無線アクセスポイント及び前記端末装置に通知する暗号鍵情報送信手段と、を具備し、前記無線アクセスポイント認証サーバは、無線アクセスポイントの無線アクセスポイント認証情報を記憶する無線アクセスポイント認証データベースと、無線アクセスポイントから無線アクセスポイント認証情報を受信し、前記無線アクセスポイント認証データベースにより認証を行う無線アクセスポイント認証手段と、前記無線アクセスポイント認証手段が前記無線アクセスポイントを認証した場合には、前記無線アクセスポイントへ割り当てるIPアドレスを送信するアドレス通知手段と、を具備し、前記カスコンサーバは、無線アクセスポイントの使用を許可する端末装置のリストを記憶するデータベースと、前記端末認証情報の送信元の端末装置がアクセスした無線アクセスポイントを利用可能であるかを前記データベース内のリストにより判断し、前記無線LANユーザ認証サーバに通知する利用許可確認手段と、を具備し、前記無線LANユーザ認証サーバの端末装置認証手段は、前記カスコンサーバから通知された利用可否情報により前記端末装置の認証を行う、ことを特徴とする認証機能装置である。
【0018】
【発明の実施の形態】
以下、図面を参照し、この発明の実施の形態について説明する。図1は、この発明の一実施の形態による無線ネットワーク接続システムの構成を示す図である。
この図において、1はユーザの端末装置、1Cは端末装置1に装着された無線LANカード、2は無線アクセスポイント(以下、無線AP)である。この無線AP2は、無線アクセスポイント装置(以下、無線AP装置)2aと無線LANユーザ認証サーバ接続装置2bとから構成されている。3はリモートアクセスサーバ(以下、RAS)、4は認証機能である。この認証機能4は、網終端装置4a、無線アクセスポイント認証サーバ(以下、無線AP認証サーバ)4b、無線LANユーザ認証サーバ4c、カスコンサーバ4dから構成されている。また、5は振り分けサーバ、6−1、6−2は網終端装置、7−1、7−2は認証サーバである。
【0019】
無線LANユーザは端末装置1を所有しており、通信事業者の提供する無線ネットワーク接続の無線LANユーザサービスに加入し、無線LANユーザ自身を証明するための無線LANユーザ認証キーの配布を受ける。さらに無線LANユーザは、インターネットサービスプロバイダ(以下、ISP)の提供するインターネットサービスに加入するか、あるいは、一般企業の企業内ネットワークへのアクセス権限を保有している。そして、無線LANユーザの端末装置1は、ステップS21で示す様に接続先のネットワークを指定することで、不特定の無線AP設置者の設置する無線AP2を介してインターネットMあるいは企業内ネットワークLと接続する。
【0020】
無線AP設置者は、無線AP2を所有しており、無線ネットワーク接続のためのアクセスポイントを無線LANユーザへ提供するため、通信事業者の提供するAPのホストサービスに加入し、無線AP認証情報の配布を受ける。そして、無線LANユーザの端末装置1のアクセス要求を受け付け、インターネットMあるいは企業内ネットワークLへの接続を提供するため、通信事業者のIP網Nへ接続する。
【0021】
通信事業者は、IP網Nを保有し、IP網N上にRAS3、認証機能4、振り分けサーバ5、網終端装置6−1及び網終端装置6−2(以下、網終端装置6−1、網終端装置6−2を網終端装置6と記述する)を設置する。また、無線LANユーザによる無線ネットワーク接続を可能とする無線LANユーザサービスと、無線AP設置者が無線LANユーザに対し無線ネットワークへの接続を許容するホストサービスと、ISP及び一般企業へ網終端装置6を介した相互接続サービスを提供する。そして通信事業者は、無線AP2を介した無線LANユーザからのアクセス要求に対して、認証機能4における無線AP認証(ステップS22)及び無線LANユーザ認証(ステップS23)を実施する。その後、無線LANユーザが指定した接続先ネットワークが無線LANユーザを認証するための接続先認証情報を送出するとともに(ステップS24)、無線LANユーザが指定した接続先ネットワークであるISPや一般企業へルーチングする(ステップS25)。
【0022】
ISPは認証サーバ7−1を、一般企業は認証サーバ7−2を保有し、通信事業者の提供するIP網Nとの相互接続サービスを受ける。そして、ISPはインターネットMへのアクセスを実現するインターネットサービスを、また、一般企業は、企業内ネットワークLへの接続を無線LANユーザへ提供する。ISP及び一般企業は、通信事業者からルーチングされた無線LANユーザを認証することで、無線LANユーザとの通信を可能にする(ステップS26)。
【0023】
次に、各ノードについて説明する。
端末装置1は、例えばパーソナルコンピュータであり、無線LANカード1Cを制御する無線LANカード制御手段を有する。また、端末装置1は、PPP(Point to Point Protocol)などにより、TCP/IP(Transmission Control Protocol/Internet Protocol)による通信を実現するプロトコルを備える。さらに、端末装置1は、ユーザ認証サーバ7−1、ユーザ認証サーバ7−2(以下、ユーザ認証サーバ7−1、ユーザ認証サーバ7−2をユーザ認証サーバ7と記述する)におけるユーザ認証のためのネットワークユーザ認証情報を記憶している。
ネットワークユーザ認証情報は、
・ネットワーク接続用ユーザID(接続先ネットワークがユーザを識別するための情報)
・ネットワーク接続用パスワード(接続先ネットワークがユーザを認証するためのパスワード)
から構成される。
なお、ネットワーク接続用ユーザIDは、無線LANユーザIDの後ろに接続先ネットワークの識別名を「@」マーク以下に付けることで構成される。例えば、無線LANユーザIDが「user1」であり、接続先ネットワークの識別名が「aaa.aaa」であるネットワーク接続用ユーザID「user01@aaa.aaa」で示される。
【0024】
無線LANカード1Cは、無線AP2と通信するためのIEEE802.11bなどの無線方式による無線通信手段を備え、認証機能4における認証のための無線LANユーザ認証キーを記憶している。
無線LANユーザ認証キーは、
・無線LANユーザID(無線LANユーザを識別するための情報)
・デジタル証明書(第三者機関から発行され、無線LANユーザを認証する情報)
から構成される。
【0025】
無線AP2において、無線AP装置2aは、具体的には、CPUならびにメモリを含む周辺LSIで構成され、CPUがメモリに記録されたプログラムを読み出し逐次実行することにより、以下の機能を実現するものである。
無線アクセスポイント装置2aは、端末装置1と通信するためのIEEE802.11bなどの無線方式による無線通信手段を備える。また、TCP/IPによる通信を実現するプロトコルを備え、通信事業者からIPアドレスが割り当てられている。さらに、認証機能4と暗号化通信をするためのシークレットキーを記憶している。
【0026】
無線LANユーザ認証サーバ接続装置2bは、具体的には、CPUならびにメモリを含む周辺LSIで構成され、CPUがメモリに記録されたプログラムを読み出し逐次実行することにより、以下の機能を実現するものである。
無線LANユーザ認証サーバ接続装置2bは、RAS3と通信するためxDSL(Digital Subscriber Line)、ISDN(Integrated Services digital Network)などによる通信手段と、PPPなどによりTCP/IPによる通信を実現するプロトコルを備える。さらに、無線LANユーザ認証サーバ接続装置2bは、認証機能4における無線AP認証のための無線AP認証情報を記憶している。
無線AP認証情報は、
・無線APユーザID(無線APを識別するための情報)
・パスワード
から構成される。
【0027】
RAS3は、具体的には、CPUならびにメモリを含む周辺LSIで構成され、CPUがメモリに記録されたプログラムを読み出し逐次実行することにより、以下の機能を実現するものである。
RAS3は、無線LANユーザ認証サーバ接続装置2bと通信するためのxDSLやISDNなどによる通信手段を備え、さらに、TCP/IPによる通信を実現するプロトコルを備える。また、RAS3は、後述する振り分けサーバ5と連携して、端末装置1から送信されたデータをどこに転送するかのルーチングを決定する機能と、無線AP2に同時に接続可能な端末装置1の数を管理する機能を実現する。
【0028】
認証機能4は、無線LANユーザ及び無線APの認証機能を実現する。
この認証機能4において、網終端装置4aは具体的には、CPUならびにメモリを含む周辺LSIで構成され、CPUがメモリに記録されたプログラムを読み出し逐次実行することにより、以下の機能を実現するものである。
網終端装置4aは、IP網Nを終端し、認証機能4との接続を実現する相互接続機能を備える。また、網終端装置4aはTCP/IPによる通信を実現するプロトコルを備える。
【0029】
無線AP認証サーバ4bは、具体的には、CPUならびにメモリを含む周辺LSIで構成され、CPUがメモリに記録されたプログラムを読み出し逐次実行することにより、以下の機能を実現するものである。
無線AP認証サーバ4bは、TCP/IPによる通信を実現するプロトコルと、無線AP2を認証するための機能を備える。また、無線AP2を認証するための無線AP認証情報データベースを記憶している。
本実施の形態では、無線AP認証情報データベースには以下が記憶されている。

Figure 0003973961
ただし、シークレットキーは、無線AP装置2aと暗号化通信を行うために使用する情報である。
【0030】
無線LANユーザ認証サーバ4cは、具体的には、CPUならびにメモリを含む周辺LSIで構成され、CPUがメモリに記録されたプログラムを読み出し逐次実行することにより、以下の機能を実現するものである。
無線LANユーザ認証サーバ4cは、TCP/IPによる通信を実現するプロトコルと、端末装置1を認証するための機能と、端末装置1がアクセスした無線AP2を使用してよいかを判断する機能を備える。また、端末装置1を認証するための無線LANユーザ認証情報データベースを記憶している。
無線LANユーザ認証情報データベースは、
・無線LANユーザID
・デジタル証明書情報
からなるレコードで構成される。
また、上記のデジタル証明書情報は、
・デジタル証明書
・デジタル証明書の有効期限
・デジタル証明書の暗号化・復号化のためのアルゴリズム
・鍵長(デジタル証明書の暗号化・復号化に使用する鍵情報の長さ)
から構成される。
本実施の形態では、無線LANユーザ認証情報データベースは
・無線LANユーザID:user01
・デジタル証明書情報
と、
・無線LANユーザID:user02
・デジタル証明書情報
と、
・無線LANユーザID:user03
・デジタル証明書情報
等のレコードの組を記憶している。
【0031】
カスコンサーバ4dは、具体的には、CPUならびにメモリを含む周辺LSIで構成され、CPUがメモリに記録されたプログラムを読み出し逐次実行することにより、以下の機能を実現するものである。
カスコンサーバ4dは、TCP/IPによる通信を実現するプロトコルを備え、無線AP2が使用を許可するユーザを登録したデータベースを記憶している。そして、このデータベースにより、無線LANユーザ認証サーバ4cに対して端末装置1が無線AP2にアクセス可能か否かを判断するための情報を通知する機能を備える。
【0032】
振り分けサーバ5は、具体的には、CPUならびにメモリを含む周辺LSIで構成され、CPUがメモリに記録されたプログラムを読み出し逐次実行することにより、以下の機能を実現するものである。
振り分けサーバ5は、RAS3からの問合せにより端末装置1から受信した接続先ネットワーク(ISP/一般企業)の情報からルーチング先の網終端装置6を通知する機能と、TCP/IPによる通信を実現するプロトコルを備える。そして、ルーチング先を決定するための振り分け先データベースを記憶している。
振り分け先データベースは、
・ネットワーク接続用ユーザID
・IPアドレス(ルーチング先の網終端装置6のIPアドレス)
・振り分け先(網終端装置6の識別名)
のレコードの組から構成される。ただし、ネットワーク接続用ユーザIDの構成は、端末装置1が記憶しているネットワーク接続用ユーザIDと同じ構成である。
本実施の形態では、振り分け先データベースには、以下が記憶されている。
Figure 0003973961
【0033】
網終端装置6は、網終端装置4aと同様の機能を持つ。ただし、網終端装置装置6はネットワークの識別名を保有し、この識別名を持つ通信パケットを通過させて、インターネット網Mや企業内ネットワークLと相互接続機能を実現する。
【0034】
認証サーバ7は、具体的には、CPUならびにメモリを含む周辺LSIで構成され、CPUがメモリに記録されたプログラムを読み出し逐次実行することにより、以下の機能を実現するものである。
Cは、TCP/IPによる通信を実現するプロトコルを備え、端末装置1がインターネットMあるいは企業内ネットワークLへの接続することを許可するため認証を行うユーザ認証手段を備える。
【0035】
次に、端末装置1がインターネット網M/企業内ネットワークLへ接続する手順について説明する。図2は、端末装置1がインターネット網M/企業内ネットワークLへ接続する接続シーケンスを示す。
まず、無線LANユーザが端末装置1を操作することで、無線LANユーザとしての接続を要求する(ステップS40)。この場合、端末装置1は、無線LANユーザ認証情報(IF41)を送出する。無線LANユーザ認証情報(IF41)には、無線LANカード1Cの無線LANユーザキーに記憶されている無線LANユーザIDと、暗号化したデジタル証明書を設定する。
【0036】
無線AP2がこの無線LANユーザ認証情報(IF41)を受信した時に、まだ無線APの認証がなされていない場合には、無線AP2は無線AP認証サーバ4bに対して無線APとしての認証を要求することで無線AP認証手順が実行される(ステップS42)。なお、この無線AP認証手順については、後述する。
【0037】
続いて、無線AP2は後述するステップS42の無線AP認証手順で確立された暗号化通信により、受信した無線LANユーザ認証情報(IF41)を、無線LANユーザ認証情報(IF43)としてRAS3へ送信する。すると、RAS3は、この無線LANユーザからの接続が、無線AP設置者の設定した同時接続数の上限値の範囲内であるかを判断する(ステップS44)。なお、この同時接続数の判断の手順については、後述する。
【0038】
RAS3は、この無線LANユーザからの接続が、無線AP設置者の設定した同時接続数の上限値の範囲内であると判断した場合には、受信した無線LANユーザ認証情報(IF43)を無線LANユーザ認証サーバ4cに無線LANユーザ認証情報(IF45)として送信する。
【0039】
無線LANユーザ認証サーバ4cは、受信した無線LANユーザ認証情報(IF45)に含まれている無線LANユーザIDによって無線LANユーザ認証情報データベースを検索し、読み出したデジタル証明書の有効期限から、受信したデジタル証明書が有効であることを確認するとともに、鍵長及びアルゴリズムを使用して受信したデジタル証明書を復号化する。そして、無線LANユーザ認証情報データベースに記憶されているデジタル証明書と、復号化されたデジタル証明書を比較する。さらに、この無線LANユーザがアクセスした無線AP2を使用してよいかのアクセス権限を判断することにより端末装置1を認証する。なお、アクセス権限の有無の判断の手順については、後述する。そして、無線LANユーザ認証サーバ4cは、無線AP装置2aと端末装置1間の無線データの通信を保護するための暗号化通信で使用するためのキーであるWEP(Wire Equipment Privacy)キーを生成する(ステップS46)。
【0040】
無線LANユーザ認証サーバ4cは、認証許可を行い(IF47)、無線AP装置2a用及び端末装置1用のWEPキーを無線AP2へ送出する。認証許可(IF47)を受信した無線AP2は、受信した無線AP装置2aのWEPキーを無線AP装置2aに記憶する。そして、受信した端末装置1用のWEPキーを端末装置1に送付し(IF48)、端末装置1は受信した端末装置1用のWEPキーを記憶することにより、これ以降の端末装置1と無線AP装置2aの無線区間の暗号化通信が可能となる。
【0041】
次に端末装置1は、ネットワーク(インターネット網Mまたは企業内ネットワークL)への接続を要求する(ステップS51)。すなわち、端末装置1は、無線AP2を介してRAS3へネットワーク接続用ユーザIDとネットワーク識別用パスワードを設定したネットワーク認証情報(IF52)をPPPで送出する。
【0042】
ネットワーク認証情報(IF52)を受信したRAS3は、ネットワーク接続用ユーザIDからルーチング先の網終端装置6を決定する(ステップS54)。すなわち、RAS3は、振り分けサーバ5へネットワーク接続用ユーザIDを送信し、振り分けサーバ5は、受信したネットワーク接続用ユーザIDで振り分け先データベースを検索することにより、IPアドレス及び振り分け先を取得して、RAS3に返送する。例えば、ネットワーク認証情報(IF52)として設定されていたネットワーク接続用ユーザIDが、「user1@aaa.aaa」であった場合には、IPアドレス「10.x.x.x」と振り分け先「プロバイダA網終端装置」がRAS3へ通知される。
【0043】
RAS3はネットワーク認証情報(IF52)を、振り分けサーバ5から通知された振り分け先で示される網終端装置6へネットワーク認証情報(IF56)として送信し、網終端装置6はそのネットワーク認証情報(IF56)をさらに相互接続されるISP/一般企業の認証サーバ7へ転送する。認証サーバ7は、受信したネットワーク接続用ユーザID及びネットワーク接続用パスワードで無線LNAユーザを認証する(ステップS57)。
【0044】
認証サーバ7は、無線LANユーザを認証すると、端末装置1に割り当てるIPアドレスを端末装置1へ通知する(IF58;IPアドレスの割当)。IPアドレスを受信した端末装置1は、通知されたIPアドレスを使用してインターネットM/企業内ネットワークLとIP通信を実行する。
【0045】
無線LANユーザはネットワークとの通信を終了したいとき、ISPとの切断を要求するための操作を実行する(ステップS60)。すなわち、端末装置1は、ネットワークとの切断要求(IF61)を網終端装置6へ送出する。すると、網終端装置6は、切断処理(IF62)をRAS3へ送出し、RAS3は端末装置1に対して解放(IF63)を送出する。
端末装置1が、解放通知(IF63)を受信すると、以後、無線区間通信が解放される(ステップS64)。
【0046】
次に、図2のステップS42で実行される無線AP認証手順を説明する。図3は、無線AP認証のシーケンスを示す図である。
無線LANユーザ認証サーバ接続装置2bは自身の記憶している無線APユーザIDとパスワードを設定した無線AP認証情報(IF42−1)をPPPによりRAS3へ送出する。RAS3は、受信した無線AP認証情報を網終端装置4aへ転送する(IF42−1)。網終端装置4aは、その無線AP認証情報をさらに無線AP認証サーバ4bへ転送する(IF42−3)。
【0047】
無線AP認証サーバ4bは、この受信した無線AP認証情報(IF42−3)に含まれている無線APユーザIDで無線AP認証情報データベースを検索してパスワードとシークレットキーを読み出し、読み出したパスワードと受信したパスワードを照合して無線AP2を認証する。(ステップS42−4)。
例えば、無線LANユーザ認証サーバ接続装置2bが記憶している無線APユーザID「user1@aaa.aaa」とパスワード「pass01」を無線AP認証サーバ4bが受信した場合、無線AP認証サーバ4bは無線APユーザID「user1@aaa.aaa」で無線APデータベースを検索し、読み出されたパスワード「pass01」と、受信したパスワードを比較することで、無線AP2を認証する。そして、無線APユーザID「user1@aaa.aaa」に対応するシークレットキーを読み出す。
【0048】
無線AP2の認証が成功すると、無線LANユーザ認証サーバ接続装置2bのIP通信を可能とするために、無線AP認証サーバ4bは、無線LANユーザ認証サーバ接続装置2bに割り当てるIPアドレスと、無線AP装置2aと無線LANユーザ認証サーバ接続装置2bをIPアドレスでグループ化するためのネットマスクとから構成される無線AP接続情報を含んだ無線AP認証結果(IF42−5)を無線LANユーザ認証サーバ接続装置2bへ返送する。
無線LANユーザ認証サーバ接続装置2bはIPアドレスを取得するとともに、無線AP装置2aに記憶されているシークレットキーと無線AP認証サーバ4bが読み出したシークレットキーを用いて、認証機能4との暗号化通信を確立する。
【0049】
次に、図2のステップS44でRAS3が、無線LANユーザからの接続が無線AP設置者の設定した同時接続数の上限値の範囲内であるかを判断するための手順を説明する。図4は、RAS3への同時接続数の登録及びRAS3の同時接続数の判断の手順を示す図である。
まず、無線AP設置者は、自身の設置する無線APを同時に使用可能な無線LANユーザ数を通信事業者に申請し(ステップS44−1)、通信事業者は、RAS3に無線AP設置者が申請した無線LANユーザ数を登録する(ステップS44−2)。
すなわち、図において、無線AP設置者が無線AP2に同時接続の上限値として、例えば無線LNAユーザ数「2人」を通信事業者に申請すると(ステップS44−1)、RAS3には、無線LANユーザ認証サーバ接続装置2bに接続される物理回線に対して同時接続の上限値「2人」が登録され(ステップS44−2)、この同時接続の上限値内での無線LANユーザの同時接続を許可する。
RAS3は、無線LANユーザ認証情報(IF43)を受信して(図2)セッションを確立したときに無線AP設置者装置2の同時接続数が1増えたと認識し、切断処理(IF62)を受信して(図2)セッションを解放したときに同時接続数が1減ったと認識する。
【0050】
RAS3は、一人目、及び二人目の無線LANユーザから受信した無線LANユーザ認証情報(IF43)に対しては(図2)、登録される同時接続の上限値「2人」以下であるため無線AP2の使用を許可し、同時接続数を「2人」に更新する。しかし、三人目の無線LANユーザから無線LANユーザ認証情報(IF43)を受信した場合には、既に同時接続される端末装置1が「2人」であるため、接続を許可しない(ステップS44−3)。
【0051】
次に、図2のステップS46で無線LANユーザ認証サーバ4cが、無線LANユーザに対する無線APアクセス権限の有無を判断するための手順を説明する。図5は、無線LANユーザ認証サーバ4cへの無線LANユーザに対する無線APアクセス権限の有無の登録と判断の手順を示す図である。
まず、カスコンサーバ4dに、無線AP2の利用が可能なユーザが登録される(ステップS46−1)。すなわち、事前に割り当てていた無線AP装置2aのIPアドレスに対して、使用可能な無線LANユーザA及び無線LANユーザBの無線LANユーザIDをデータベースに記憶する。
【0052】
そして、無線LANユーザ認証サーバ4cが、無線LANユーザA/無線LANユーザBから無線LANユーザ認証情報(IF45)を受信すると無線LANユーザの認証処理において(ステップS46)(図2)、無線LANユーザA/無線LANユーザBの無線LANユーザIDと、無線LANユーザ認証情報(IF45)の送信元である無線AP装置2aのIPアドレスをカスコンサーバ4dへ送信する。すると、カスコンサーバ4dは、受信したIPアドレスによりデータベースを検索し、当該無線AP2を使用可能な無線LANユーザIDを読み出して、受信した無線LANユーザIDと照合する。無線LANユーザA/無線LANユーザBは、利用可能な無線LANユーザとして登録されているため、利用可の情報を無線LANユーザ認証サーバ4cに返送する。一方、無線LANユーザCからの無線LANユーザ認証キー(IF45)を受信した場合は(図2)、カスコンサーバ4dに無線LANユーザCが使用可能な無線LANユーザとして登録されていないため、利用不可の情報を無線LANユーザ認証サーバ4cに返送する。
【0053】
上記の手順により、無線LANユーザ認証サーバ4cは無線LANユーザA及び無線LANユーザBの接続を許可し、無線LANユーザCの接続を不可とする(ステップS46−2)。
なお、個々の無線LANユーザIDを登録する代わりに、無線LANユーザをユーザ群にクラス分けし、この無線LANユーザのクラスを使用して接続可否を判断することでもよい。
【0054】
なお、上述の端末装置1、無線アクセスポイント装置2a、無線LANユーザ認証サーバ接続装置2b、RAS3、網終端装置4a、無線AP認証サーバ4b、無線LANユーザ認証サーバ4c、カスコンサーバ4d、振り分けサーバ5、網終端装置6、及び、認証サーバ7は内部に、コンピュータシステムを有している。そして、上述した動作の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータシステムが読み出して実行することによって、上記処理が行われる。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウアを含むものである。
【0055】
また、「コンピュータ読み取り可能な記録媒体」とは、ROMの他に、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のシステムやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0056】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0057】
【発明の効果】
この発明によれば、無線LANユーザは、外出先で、無線AP設置者が設置した無線APの設置環境を意識することなく、無線LANにより任意のISPのインターネット及び企業内ネットワークに接続することが可能になる。
また、無線AP設置者は、1つのブロードバンドアクセス回線を複数人で共用している無線LANユーザ個人単位に、ISP/企業内ネットワーク等への接続を提供することが可能となる。
無線AP設置者は、ネットワークの認証機能を使用し、一元的に無線AP認証の管理ができる。
また、通信事業者等は、ブロードバンドアクセス回線を複数人で利用している無線LANユーザ個人単位での認証が可能になると共に、無線LANユーザからの接続に対し、無線LANユーザが任意に指定したネットワークへのルーチングが可能となるため、無線LAN利用ユーザ個人単位に無線ネットワーク接続のサービスメニューを設定することが可能となる。
【図面の簡単な説明】
【図1】 この発明の一実施の形態による無線通信システムの構成を示す図である。
【図2】 同実施の形態による端末装置1がインターネット網M/企業内ネットワークLへ接続する接続シーケンスを示す図である。
【図3】 同実施の形態による無線AP認証のシーケンスを示す図である。
【図4】 同実施の形態によるRAS3への同時接続数の登録及びRAS3の同時接続数の判断の手順を示すである。
【図5】 同実施の形態による無線LANユーザ認証サーバ4cへの無線LANユーザに対する無線APアクセス権限の有無の登録と判断の手順を示す図である。
【符号の説明】
1…端末装置
1C…無線LANカード
2…無線AP
2a…無線AP装置
2b…無線LANユーザ認証サーバ接続装置
3…RAS
4…認証機能
4a、6、6−1、6−2…網終端装置
4b…無線AP認証サーバ
4c…無線ユーザ認証サーバ
4d…カスコンサーバ
5…振り分けサーバ
7、7−1、7−2…認証サーバ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a wireless network connection system in which a user terminal connects to a network via a wireless access point.
[0002]
[Prior art]
In recent years, with the spread of wireless LAN (Local Area Network), a wireless LAN base unit (wireless access point) for connecting to the Internet is installed at a place where people gather such as public facilities, and an individual can use a PC from outside There is provided a wireless Internet connection system capable of connecting to the Internet by connecting to this wireless AP (access point) using a mobile computer equipped with a wireless LAN slave such as a card.
[0003]
However, the ISP (Internet provider) or the like of the conventional connection destination is fixed for each wireless AP, and all the accessing wireless LAN users are connected to this fixed ISP, and the connection destination is individually set for each wireless LAN user. Could not choose. Therefore, wireless LAN users may not be able to use networks that are not permitted to connect via ISP, corporate private networks that are not disclosed on the Internet, and the like.
[0004]
Conventionally, a provider of a wireless Internet connection system has not been able to grasp how many wireless LAN users share an access line between a wireless AP and the Internet. Therefore, in order to prevent a decrease in throughput due to simultaneous use of many wireless LAN users, it has been desired to limit the number of wireless LAN users who can use the wireless AP simultaneously.
[0005]
In addition, when the wireless AP installer restricts wireless LAN users of the wireless AP, authentication information for each wireless LAN user has to be set for each wireless AP. This was very cumbersome for the AP installer.
[0006]
[Problems to be solved by the invention]
The present invention has been made in view of such circumstances, and an object of the present invention is to specify a connection destination network for each wireless LAN user, and the wireless access point can function as a wireless LAN. An object of the present invention is to provide a wireless network connection system that can authenticate a user.
[0007]
[Means for Solving the Problems]
The present invention has been made to solve the above problems, and the invention according to claim 1 authenticates a terminal device, a wireless access point accessed by the terminal device, and the terminal device. Authentication function apparatus provided with wireless LAN user authentication server And a remote access server that performs routing to the network designated by the terminal, wherein the terminal device includes wireless communication means for wirelessly communicating with the wireless access point, and the terminal The terminal authentication information of the device is installed in the Internet protocol network Wireless LAN user authentication server Terminal authentication information transmitting means for transmitting to Wireless LAN user authentication server Encrypted wireless communication means for receiving encryption key information from the wireless communication means and encrypting communication of the wireless communication means; Wireless LAN user identification information and connection destination network Network user authentication information including network identification information The remote access server Network user authentication information transmitting means to be transmitted to, Connection destination specified by network identification information in network user authentication information sent to the remote access server network If authentication by the network user authentication information is successful on the authentication server Depending on the assigned IP address , The connection destination Network communication means for communicating with a network, wherein the wireless access point is a wireless communication means for wirelessly communicating with a plurality of the terminal devices, a communication means for communicating with a remote access server, and the wireless communication means, Interface converting means for mutually converting the interfaces of the communication means; and Wireless LAN user authentication server An encryption wireless communication means for receiving encryption key information from the wireless communication means and encrypting the communication of the wireless communication means, wherein the remote access server communicates with an interface for communicating with a wireless access point, and an Internet protocol network An interface conversion means for converting the interfaces for mutual use, and the terminal device From the distribution server that receives the network user authentication information and stores the association between the wireless LAN user identification information and the network identification information, and the communication device accommodating the network, Included in the received network user authentication information The communication device information corresponding to the wireless LAN user identification information and the network identification information is acquired, and the communication device indicated by the acquired information is received by the communication device. Network user authentication information The Send Do Routing means, and Wireless LAN user authentication server Stores the terminal authentication information of the terminal device Wireless LAN user authentication information database And receiving terminal authentication information from the terminal device, Terminal authentication information in the wireless LAN user authentication information database When the terminal device authenticating unit authenticates the terminal device and the terminal device authenticating unit authenticates the terminal device, the terminal device and the wireless access point generate encryption key information for performing encrypted communication, and the wireless A wireless network connection system comprising an access point and encryption key information transmission means for notifying the terminal device.
[0008]
The invention described in claim 2 is the wireless network connection system according to claim 1, The authentication function device further includes a wireless access point authentication server, The wireless access point transmits the wireless access point authentication information of the wireless access point to the wireless access point. Wireless access point authentication server Authentication information transmitting means for transmitting to the communication means, Wireless access point authentication server Establishing communication by Internet protocol using the IP address assigned by Wireless access point authentication server A wireless access point authentication database that stores wireless access point authentication information of a wireless access point; wireless access point authentication means that receives the wireless access point authentication information and performs authentication using the wireless access point authentication database; and When the access point authenticating unit authenticates the wireless access point, the access point authenticating unit includes an address notifying unit that transmits an IP address assigned to the wireless access point.
[0009]
A third aspect of the present invention is the wireless network connection system according to the first or second aspect, wherein the remote access server stores the number of simultaneous connections of terminal devices that the wireless access point allows connection to. Storage means, connected terminal number counting means for counting the number of terminal devices connected to the wireless access point, and the number of terminal devices connected to the wireless access point accessed by the terminal device that has transmitted the terminal authentication information And the simultaneous connection number control means for rejecting the connection of the terminal device when the number is equal to or more than the number of simultaneous connections.
[0010]
Invention of Claim 4 is a radio | wireless network connection system in any one of Claims 1-3, Comprising: The authentication function device further includes a cascon server, and the Wireless access point Use of Of terminal devices that allow access A database for storing Whether the terminal device can use the wireless access point accessed by the terminal device that is the transmission source of the terminal authentication information In the database Judging by the list, Wireless LAN user authentication server Including a use permission confirmation means for notifying Wireless LAN user authentication server The terminal device authentication means Cascon server Notified by Use The terminal device is authenticated based on the availability information.
[0011]
According to the fifth aspect of the present invention, wireless communication means for wirelessly communicating with a wireless access point and terminal authentication information of the terminal device are installed in an Internet protocol network. Wireless LAN user authentication server Terminal authentication information transmitting means for transmitting to Wireless LAN user authentication server Encrypted wireless communication means for receiving encryption key information from the wireless communication means and encrypting communication of the wireless communication means; Wireless LAN user identification information and connection destination network Network user authentication information including network identification information The remote access server Network user authentication information transmitting means to be transmitted to, Connection destination specified by network identification information in network user authentication information sent to the remote access server network If authentication by the network user authentication information is successful on the authentication server Depending on the assigned IP address , The connection destination And a network communication means for performing communication with the network.
[0014]
Claim 6 The invention described in An interface for communicating with a wireless access point, an interface converting means for mutually converting an interface for communicating with an Internet protocol network, network user authentication information from a terminal device, wireless LAN user identification information and network identification information And communication server information corresponding to the wireless LAN user identification information and the network identification information of the connection destination network included in the received network user authentication information from the distribution server that stores the association with the communication device accommodating the network. Routing means for acquiring and sending the received network user authentication information to the communication device indicated by the acquired information; A remote access server.
[0015]
Claim 7 The invention described in A wireless LAN user authentication server for authenticating a terminal device, a wireless access point authentication server for authenticating a wireless access point, and an authentication function device configured to include a cascon server, wherein the wireless access point authentication server includes: Store terminal authentication information of terminal device Wireless LAN user authentication information database And receiving terminal authentication information from the terminal device, Terminal authentication information in the wireless LAN user authentication information database The terminal device authenticating means for performing authentication by the terminal device, and when the terminal device authenticating means authenticates the terminal device, the terminal device and the wireless access point generate encryption key information for performing encrypted communication, and the terminal A wireless access point accessed by the device, and encryption key information transmitting means for notifying the terminal device The wireless access point authentication server receives a wireless access point authentication database that stores wireless access point authentication information of the wireless access point, and wireless access point authentication information from the wireless access point, and is authenticated by the wireless access point authentication database. A wireless access point authenticating means for performing, and, when the wireless access point authenticating means authenticates the wireless access point, an address notifying means for transmitting an IP address to be assigned to the wireless access point. Is a database that stores a list of terminal devices that are permitted to use a wireless access point, and whether or not the wireless access point that is accessed by the terminal device that is the transmission source of the terminal authentication information can be used. Use permission confirmation means for judging by a list and notifying the wireless LAN user authentication server, and the terminal device authentication means of the wireless LAN user authentication server is configured to use the terminal based on the availability information notified from the cascon server. Authenticate the device, It is characterized by Authentication function device It is.
[0018]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is a diagram showing a configuration of a wireless network connection system according to an embodiment of the present invention.
In this figure, 1 is a user terminal device, 1C is a wireless LAN card attached to the terminal device 1, and 2 is a wireless access point (hereinafter referred to as wireless AP). The wireless AP 2 includes a wireless access point device (hereinafter referred to as wireless AP device) 2a and a wireless LAN user authentication server connection device 2b. 3 is a remote access server (hereinafter referred to as RAS), and 4 is an authentication function. The authentication function 4 includes a network termination device 4a, a wireless access point authentication server (hereinafter referred to as wireless AP authentication server) 4b, a wireless LAN user authentication server 4c, and a cascon server 4d. Further, 5 is a distribution server, 6-1 and 6-2 are network termination devices, and 7-1 and 7-2 are authentication servers.
[0019]
The wireless LAN user owns the terminal device 1, subscribes to a wireless LAN user service for wireless network connection provided by a communication carrier, and receives a wireless LAN user authentication key for certifying the wireless LAN user. Furthermore, the wireless LAN user subscribes to an Internet service provided by an Internet service provider (hereinafter referred to as ISP), or has an access right to the corporate network of a general company. Then, the terminal device 1 of the wireless LAN user designates the connection destination network as shown in step S21, so that the wireless LAN user terminal device 1 can communicate with the Internet M or the corporate network L via the wireless AP 2 installed by an unspecified wireless AP installer. Connecting.
[0020]
The wireless AP installer owns the wireless AP 2 and subscribes to the AP host service provided by the communication carrier to provide an access point for wireless network connection to the wireless LAN user. Receive distribution. Then, the access request of the wireless LAN user's terminal device 1 is received, and in order to provide connection to the Internet M or the corporate network L, connection is made to the IP network N of the communication carrier.
[0021]
The communication carrier owns the IP network N, and the RAS 3, the authentication function 4, the distribution server 5, the network termination device 6-1 and the network termination device 6-2 (hereinafter referred to as network termination device 6-1, Network terminator 6-2 is described as network terminator 6). Also, a wireless LAN user service that enables wireless LAN users to connect to a wireless network, a host service that allows a wireless AP installer to connect to a wireless network, and a network termination device 6 to ISPs and general enterprises. Provides interconnection services via In response to an access request from a wireless LAN user via the wireless AP 2, the communication carrier performs wireless AP authentication (step S22) and wireless LAN user authentication (step S23) in the authentication function 4. Thereafter, the connection destination network specified by the wireless LAN user sends connection destination authentication information for authenticating the wireless LAN user (step S24), and is routed to the ISP or general company which is the connection destination network specified by the wireless LAN user. (Step S25).
[0022]
The ISP has the authentication server 7-1 and the general company has the authentication server 7-2, and receives an interconnection service with the IP network N provided by the communication carrier. The ISP provides the Internet service for realizing access to the Internet M, and the general company provides the wireless LAN user with a connection to the corporate network L. The ISP and the general company authenticate the wireless LAN user routed by the communication carrier, thereby enabling communication with the wireless LAN user (step S26).
[0023]
Next, each node will be described.
The terminal device 1 is a personal computer, for example, and has a wireless LAN card control means for controlling the wireless LAN card 1C. Further, the terminal device 1 includes a protocol that realizes communication by TCP / IP (Transmission Control Protocol / Internet Protocol) by PPP (Point to Point Protocol) or the like. Furthermore, the terminal device 1 is used for user authentication in the user authentication server 7-1 and the user authentication server 7-2 (hereinafter, the user authentication server 7-1 and the user authentication server 7-2 are described as the user authentication server 7). Network user authentication information is stored.
Network user authentication information
-Network connection user ID (information for identifying the user in the connection destination network)
-Network connection password (password for authenticating the user to the connected network)
Consists of
The network connection user ID is configured by attaching the identification name of the connection destination network below the “@” mark after the wireless LAN user ID. For example, it is indicated by a network connection user ID “user01@aaa.aaa” whose wireless LAN user ID is “user1” and whose connection destination network identification name is “aaa.aaa”.
[0024]
The wireless LAN card 1C includes wireless communication means using a wireless method such as IEEE802.11b for communicating with the wireless AP 2, and stores a wireless LAN user authentication key for authentication in the authentication function 4.
The wireless LAN user authentication key is
Wireless LAN user ID (information for identifying a wireless LAN user)
・ Digital certificate (information issued by a third party to authenticate wireless LAN users)
Consists of
[0025]
In the wireless AP 2, the wireless AP device 2a is specifically composed of a peripheral LSI including a CPU and a memory, and the CPU reads out and sequentially executes a program recorded in the memory, thereby realizing the following functions. is there.
The wireless access point device 2 a includes wireless communication means using a wireless method such as IEEE802.11b for communicating with the terminal device 1. In addition, a protocol for realizing TCP / IP communication is provided, and an IP address is assigned by a communication carrier. Furthermore, a secret key for performing encrypted communication with the authentication function 4 is stored.
[0026]
Specifically, the wireless LAN user authentication server connection device 2b is composed of a peripheral LSI including a CPU and a memory, and the CPU reads out and sequentially executes a program recorded in the memory, thereby realizing the following functions. is there.
The wireless LAN user authentication server connection device 2b includes communication means such as xDSL (Digital Subscriber Line) and ISDN (Integrated Services Digital Network) for communicating with the RAS 3, and a protocol that realizes TCP / IP communication using PPP or the like. Further, the wireless LAN user authentication server connection device 2 b stores wireless AP authentication information for wireless AP authentication in the authentication function 4.
Wireless AP authentication information
Wireless AP user ID (information for identifying wireless AP)
·password
Consists of
[0027]
Specifically, the RAS 3 is configured by a peripheral LSI including a CPU and a memory, and the CPU reads out and sequentially executes a program recorded in the memory, thereby realizing the following functions.
The RAS 3 includes communication means such as xDSL or ISDN for communicating with the wireless LAN user authentication server connection device 2b, and further includes a protocol that realizes communication using TCP / IP. In addition, the RAS 3 manages the function of determining where to transfer the data transmitted from the terminal device 1 in cooperation with the distribution server 5 described later, and the number of terminal devices 1 that can be connected to the wireless AP 2 at the same time. Realize the function to do.
[0028]
The authentication function 4 implements an authentication function for wireless LAN users and wireless APs.
In this authentication function 4, the network terminating device 4a is specifically composed of a peripheral LSI including a CPU and a memory, and the CPU reads out and sequentially executes a program recorded in the memory, thereby realizing the following functions. It is.
The network termination device 4 a has an interconnection function that terminates the IP network N and realizes connection with the authentication function 4. The network termination device 4a includes a protocol that realizes communication by TCP / IP.
[0029]
Specifically, the wireless AP authentication server 4b is configured by a peripheral LSI including a CPU and a memory, and the CPU reads and sequentially executes a program recorded in the memory, thereby realizing the following functions.
The wireless AP authentication server 4b has a protocol for realizing communication by TCP / IP and a function for authenticating the wireless AP2. In addition, a wireless AP authentication information database for authenticating the wireless AP 2 is stored.
In the present embodiment, the following is stored in the wireless AP authentication information database.
Figure 0003973961
However, the secret key is information used for performing encrypted communication with the wireless AP apparatus 2a.
[0030]
Specifically, the wireless LAN user authentication server 4c is configured by a peripheral LSI including a CPU and a memory, and the CPU reads out and sequentially executes a program recorded in the memory, thereby realizing the following functions.
The wireless LAN user authentication server 4c has a protocol for realizing communication by TCP / IP, a function for authenticating the terminal device 1, and a function for determining whether the wireless AP 2 accessed by the terminal device 1 can be used. . In addition, a wireless LAN user authentication information database for authenticating the terminal device 1 is stored.
The wireless LAN user authentication information database is
・ Wireless LAN user ID
・ Digital certificate information
Consists of records consisting of
The above digital certificate information
・ Digital certificate
・ Expiration date of digital certificate
・ Algorithm for digital certificate encryption / decryption
-Key length (length of key information used for digital certificate encryption / decryption)
Consists of
In this embodiment, the wireless LAN user authentication information database is
-Wireless LAN user ID: user01
・ Digital certificate information
When,
-Wireless LAN user ID: user02
・ Digital certificate information
When,
-Wireless LAN user ID: user03
・ Digital certificate information
A record set such as is stored.
[0031]
The cascon server 4d is specifically composed of a peripheral LSI including a CPU and a memory, and the CPU reads out and sequentially executes a program recorded in the memory, thereby realizing the following functions.
The cascon server 4d has a protocol that realizes communication by TCP / IP, and stores a database in which users authorized by the wireless AP 2 are registered. The database has a function of notifying the wireless LAN user authentication server 4c of information for determining whether or not the terminal device 1 can access the wireless AP 2.
[0032]
Specifically, the distribution server 5 is constituted by a peripheral LSI including a CPU and a memory, and the CPU reads out and sequentially executes a program recorded in the memory, thereby realizing the following functions.
The distribution server 5 has a function of notifying the destination network termination device 6 from the information of the connection destination network (ISP / general company) received from the terminal device 1 in response to the inquiry from the RAS 3, and a protocol for realizing communication by TCP / IP Is provided. A distribution destination database for determining a routing destination is stored.
The distribution destination database is
・ User ID for network connection
IP address (IP address of the network terminating device 6 that is the routing destination)
-Distribution destination (identification name of network termination device 6)
It consists of a set of records. However, the configuration of the network connection user ID is the same as that of the network connection user ID stored in the terminal device 1.
In the present embodiment, the following is stored in the distribution destination database.
Figure 0003973961
[0033]
The network termination device 6 has the same function as the network termination device 4a. However, the network terminating device 6 has a network identification name and passes a communication packet having this identification name, thereby realizing an interconnection function with the Internet network M or the corporate network L.
[0034]
Specifically, the authentication server 7 is composed of a peripheral LSI including a CPU and a memory. The CPU reads out and sequentially executes a program recorded in the memory, thereby realizing the following functions.
C includes a protocol for realizing communication by TCP / IP, and includes user authentication means for performing authentication to permit the terminal device 1 to connect to the Internet M or the corporate network L.
[0035]
Next, a procedure for connecting the terminal device 1 to the Internet network M / in-company network L will be described. FIG. 2 shows a connection sequence in which the terminal device 1 connects to the Internet network M / internal network L.
First, the wireless LAN user operates the terminal device 1 to request connection as a wireless LAN user (step S40). In this case, the terminal device 1 sends out wireless LAN user authentication information (IF41). In the wireless LAN user authentication information (IF41), the wireless LAN user ID stored in the wireless LAN user key of the wireless LAN card 1C and the encrypted digital certificate are set.
[0036]
When the wireless AP 2 has not been authenticated when the wireless AP 2 receives this wireless LAN user authentication information (IF41), the wireless AP 2 requests the wireless AP authentication server 4b to authenticate as a wireless AP. In step S42, the wireless AP authentication procedure is executed. The wireless AP authentication procedure will be described later.
[0037]
Subsequently, the wireless AP 2 transmits the received wireless LAN user authentication information (IF41) to the RAS 3 as wireless LAN user authentication information (IF43) by encrypted communication established in the wireless AP authentication procedure in step S42 described later. Then, the RAS 3 determines whether the connection from the wireless LAN user is within the range of the upper limit value of the number of simultaneous connections set by the wireless AP installer (step S44). The procedure for determining the number of simultaneous connections will be described later.
[0038]
If the RAS 3 determines that the connection from the wireless LAN user is within the upper limit value of the number of simultaneous connections set by the wireless AP installer, the RAS 3 uses the received wireless LAN user authentication information (IF43) as the wireless LAN. The wireless LAN user authentication information (IF45) is transmitted to the user authentication server 4c.
[0039]
The wireless LAN user authentication server 4c searches the wireless LAN user authentication information database by the wireless LAN user ID included in the received wireless LAN user authentication information (IF45), and receives it from the expiration date of the read digital certificate. Confirm that the digital certificate is valid, and decrypt the received digital certificate using the key length and algorithm. Then, the digital certificate stored in the wireless LAN user authentication information database is compared with the decrypted digital certificate. Further, the terminal device 1 is authenticated by determining an access authority as to whether or not the wireless AP 2 accessed by the wireless LAN user can be used. The procedure for determining whether or not there is an access authority will be described later. Then, the wireless LAN user authentication server 4c generates a WEP (Wire Equipment Privacy) key, which is a key used for encrypted communication for protecting wireless data communication between the wireless AP device 2a and the terminal device 1. (Step S46).
[0040]
The wireless LAN user authentication server 4c permits authentication (IF47), and sends WEP keys for the wireless AP device 2a and the terminal device 1 to the wireless AP2. The wireless AP 2 that has received the authentication permission (IF 47) stores the received WEP key of the wireless AP device 2a in the wireless AP device 2a. Then, the received WEP key for the terminal device 1 is sent to the terminal device 1 (IF48), and the terminal device 1 stores the received WEP key for the terminal device 1 so that the subsequent terminal device 1 and the wireless AP Encrypted communication in the wireless zone of the device 2a is possible.
[0041]
Next, the terminal device 1 requests connection to a network (Internet network M or corporate network L) (step S51). That is, the terminal device 1 sends the network authentication information (IF52) in which the network connection user ID and the network identification password are set to the RAS 3 via the wireless AP 2 by PPP.
[0042]
The RAS 3 that has received the network authentication information (IF 52) determines the destination network termination device 6 from the network connection user ID (step S54). That is, the RAS 3 transmits the network connection user ID to the distribution server 5, and the distribution server 5 searches the distribution destination database with the received network connection user ID to acquire the IP address and the distribution destination. Return to RAS3. For example, when the network connection user ID set as the network authentication information (IF52) is “user1@aaa.aaa”, the IP address “10.xxx” and the distribution destination “provider A network termination device” ”Is notified to RAS 3.
[0043]
The RAS 3 transmits the network authentication information (IF52) as network authentication information (IF56) to the network termination device 6 indicated by the distribution destination notified from the distribution server 5, and the network termination device 6 transmits the network authentication information (IF56). Further, it is transferred to the authentication server 7 of the ISP / general company to be interconnected. The authentication server 7 authenticates the wireless LNA user with the received network connection user ID and network connection password (step S57).
[0044]
When the authentication server 7 authenticates the wireless LAN user, the authentication server 7 notifies the terminal device 1 of an IP address to be assigned to the terminal device 1 (IF58; IP address assignment). The terminal device 1 that has received the IP address executes IP communication with the Internet M / internal network L using the notified IP address.
[0045]
When the wireless LAN user wants to end communication with the network, the wireless LAN user executes an operation for requesting disconnection from the ISP (step S60). That is, the terminal device 1 sends a network disconnection request (IF 61) to the network termination device 6. Then, the network terminating device 6 sends a disconnection process (IF62) to the RAS3, and the RAS3 sends a release (IF63) to the terminal device 1.
When the terminal device 1 receives the release notification (IF63), the wireless zone communication is released thereafter (step S64).
[0046]
Next, the wireless AP authentication procedure executed in step S42 in FIG. 2 will be described. FIG. 3 is a diagram showing a wireless AP authentication sequence.
The wireless LAN user authentication server connection device 2b sends the wireless AP authentication information (IF42-1) set with the wireless AP user ID and password stored therein to the RAS 3 by PPP. The RAS 3 transfers the received wireless AP authentication information to the network terminating device 4a (IF42-1). The network terminating device 4a further transfers the wireless AP authentication information to the wireless AP authentication server 4b (IF42-3).
[0047]
The wireless AP authentication server 4b searches the wireless AP authentication information database with the wireless AP user ID included in the received wireless AP authentication information (IF42-3), reads the password and secret key, and reads the received password and reception. The wireless AP 2 is authenticated by checking the password. (Step S42-4).
For example, when the wireless AP authentication server 4b receives the wireless AP user ID “user1@aaa.aaa” and the password “pass01” stored in the wireless LAN user authentication server connection device 2b, the wireless AP authentication server 4b The wireless AP database is searched by the user ID “user1@aaa.aaa”, and the wireless AP 2 is authenticated by comparing the read password “pass01” with the received password. Then, the secret key corresponding to the wireless AP user ID “user1@aaa.aaa” is read.
[0048]
When the wireless AP 2 authentication is successful, the wireless AP authentication server 4b includes an IP address assigned to the wireless LAN user authentication server connection device 2b and a wireless AP device in order to enable IP communication of the wireless LAN user authentication server connection device 2b. The wireless LAN user authentication server connection device includes a wireless AP authentication result (IF42-5) including wireless AP connection information composed of 2a and a netmask for grouping the wireless LAN user authentication server connection device 2b by IP address. Return to 2b.
The wireless LAN user authentication server connection device 2b obtains an IP address, and uses the secret key stored in the wireless AP device 2a and the secret key read by the wireless AP authentication server 4b to perform encrypted communication with the authentication function 4. Establish.
[0049]
Next, the procedure for RAS 3 to determine whether or not the connection from the wireless LAN user is within the range of the upper limit value of the simultaneous connection number set by the wireless AP installer in step S44 of FIG. FIG. 4 is a diagram illustrating a procedure for registering the number of simultaneous connections to RAS 3 and determining the number of simultaneous connections of RAS 3.
First, the wireless AP installer applies to the telecommunications carrier for the number of wireless LAN users who can use the wireless AP installed at the same time (step S44-1), and the telecommunications carrier applies to the RAS3 for the wireless AP installer. The number of wireless LAN users that have been registered is registered (step S44-2).
That is, in the figure, when the wireless AP installer applies to the communication carrier for the number of wireless LNA users “2” as the upper limit value of the simultaneous connection to the wireless AP 2 (step S44-1), the wireless LAN user is included in RAS3. The simultaneous connection upper limit “2 people” is registered for the physical line connected to the authentication server connection device 2b (step S44-2), and the wireless LAN user is allowed to connect simultaneously within the upper limit of the simultaneous connection. To do.
When RAS 3 receives the wireless LAN user authentication information (IF 43) (FIG. 2) and establishes a session, it recognizes that the number of simultaneous connections of the wireless AP installer apparatus 2 has increased by 1 and receives the disconnection process (IF 62). (FIG. 2), it is recognized that the number of simultaneous connections has decreased by 1 when the session is released.
[0050]
RAS 3 is wireless because the wireless LAN user authentication information (IF 43) received from the first and second wireless LAN users (FIG. 2) is less than or equal to the upper limit value “2 people” of registered simultaneous connections. The use of AP2 is permitted and the number of simultaneous connections is updated to “2 people”. However, when the wireless LAN user authentication information (IF43) is received from the third wireless LAN user, since the terminal devices 1 that are simultaneously connected are “two”, the connection is not permitted (step S44-3). ).
[0051]
Next, a procedure for the wireless LAN user authentication server 4c to determine whether or not there is a wireless AP access authority for the wireless LAN user in step S46 of FIG. 2 will be described. FIG. 5 is a diagram showing a procedure for registering and determining whether or not there is a wireless AP access authority for the wireless LAN user to the wireless LAN user authentication server 4c.
First, a user who can use the wireless AP 2 is registered in the Cascon server 4d (step S46-1). That is, the wireless LAN user IDs of the wireless LAN user A and the wireless LAN user B that can be used for the IP address of the wireless AP apparatus 2a assigned in advance are stored in the database.
[0052]
When the wireless LAN user authentication server 4c receives the wireless LAN user authentication information (IF45) from the wireless LAN user A / wireless LAN user B, in the wireless LAN user authentication process (step S46) (FIG. 2), the wireless LAN user The wireless LAN user ID of A / wireless LAN user B and the IP address of the wireless AP apparatus 2a that is the transmission source of the wireless LAN user authentication information (IF45) are transmitted to the cascon server 4d. Then, the cascon server 4d searches the database by the received IP address, reads the wireless LAN user ID that can use the wireless AP 2, and collates it with the received wireless LAN user ID. Since the wireless LAN user A / wireless LAN user B is registered as an available wireless LAN user, the availability information is returned to the wireless LAN user authentication server 4c. On the other hand, when the wireless LAN user authentication key (IF45) from the wireless LAN user C is received (FIG. 2), it cannot be used because the wireless LAN user C is not registered in the cascon server 4d as an available wireless LAN user. Is returned to the wireless LAN user authentication server 4c.
[0053]
By the above procedure, the wireless LAN user authentication server 4c permits the connection of the wireless LAN user A and the wireless LAN user B, and disables the connection of the wireless LAN user C (step S46-2).
Instead of registering individual wireless LAN user IDs, it is also possible to classify wireless LAN users into user groups and use this wireless LAN user class to determine whether or not connection is possible.
[0054]
The terminal device 1, the wireless access point device 2a, the wireless LAN user authentication server connection device 2b, the RAS 3, the network termination device 4a, the wireless AP authentication server 4b, the wireless LAN user authentication server 4c, the cascon server 4d, and the distribution server 5 described above. The network termination device 6 and the authentication server 7 have a computer system therein. The above-described operation process is stored in a computer-readable recording medium in the form of a program, and the computer system reads and executes this program to perform the above processing. The computer system referred to here includes an OS and hardware such as peripheral devices.
[0055]
In addition to ROM, “computer-readable recording medium” refers to a portable medium such as a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD-ROM, or a storage device such as a hard disk built in a computer system. That means. Furthermore, the “computer-readable recording medium” refers to a volatile memory (RAM) inside a computer system that becomes a client or a system when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.
[0056]
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.
[0057]
【The invention's effect】
According to the present invention, a wireless LAN user can connect to the Internet of an arbitrary ISP and a corporate network via a wireless LAN without being aware of the installation environment of the wireless AP installed by the wireless AP installer on the go. It becomes possible.
In addition, the wireless AP installer can provide a connection to an ISP / internal network or the like for each individual wireless LAN user who shares one broadband access line.
The wireless AP installer can manage the wireless AP authentication centrally using the network authentication function.
In addition, it is possible for a communication carrier or the like to perform authentication for each individual wireless LAN user who uses a broadband access line, and the wireless LAN user arbitrarily designates the connection from the wireless LAN user. Since routing to the network is possible, a service menu for wireless network connection can be set for each wireless LAN user.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration of a wireless communication system according to an embodiment of the present invention.
FIG. 2 is a diagram showing a connection sequence in which the terminal device 1 according to the embodiment connects to the Internet network M / enterprise network L.
FIG. 3 is a diagram showing a wireless AP authentication sequence according to the embodiment;
FIG. 4 shows a procedure for registering the number of simultaneous connections to RAS 3 and determining the number of simultaneous connections to RAS 3 according to the embodiment;
FIG. 5 is a diagram showing a procedure for registering and determining whether or not there is a wireless AP access authority for a wireless LAN user to the wireless LAN user authentication server 4c according to the embodiment;
[Explanation of symbols]
1 ... Terminal device
1C ... Wireless LAN card
2 ... Wireless AP
2a ... Wireless AP device
2b ... Wireless LAN user authentication server connection device
3 ... RAS
4. Authentication function
4a, 6, 6-1, 6-2... Network termination device
4b ... Wireless AP authentication server
4c ... Wireless user authentication server
4d ... Cascon server
5 ... Distribution server
7, 7-1, 7-2 ... authentication server

Claims (7)

端末装置と、前記端末装置がアクセスする無線アクセスポイントと、前記端末装置を認証する無線LANユーザ認証サーバを備えた認証機能装置と、前記端末の指定したネットワークへのルーチングを行うリモートアクセスサーバとで構成される無線ネットワーク接続システムであって、
前記端末装置は、
前記無線アクセスポイントと無線により通信する無線通信手段と、
当該端末装置の端末認証情報を、インターネットプロトコル網に設置された無線LANユーザ認証サーバへ送信する端末認証情報送信手段と、
前記無線LANユーザ認証サーバから暗号鍵情報を受信し、前記無線通信手段の通信を暗号化する暗号化無線通信手段と、
無線LANユーザ識別情報、及び、接続先ネットワークのネットワーク識別情報を含んだネットワークユーザ認証情報を、前記リモートアクセスサーバへ送出するネットワークユーザ認証情報送信手段と、
前記リモートアクセスサーバへ送出したネットワークユーザ認証情報内のネットワーク識別情報により特定される接続先ネットワークの認証サーバにおいて、当該ネットワークユーザ認証情報による認証が成功した場合に割り当てられたIPアドレスにより、当該接続先ネットワークとの通信を行うネットワーク通信手段とを具備し、
前記無線アクセスポイントは、
複数の前記端末装置と無線で通信する無線通信手段と、
リモートアクセスサーバと通信する通信手段と、
前記無線通信手段と前記通信手段のインタフェースを相互に変換するインタフェース変換手段と、
前記無線LANユーザ認証サーバから暗号鍵情報を受信し、前記無線通信手段の通信を暗号化する暗号化無線通信手段とを具備し、
前記リモートアクセスサーバは、
無線アクセスポイントと通信するためのインタフェースと、インターネットプロトコル網と通信するためのインタフェースを相互に変換するインタフェース変換手段と、
前記端末装置から前記ネットワークユーザ認証情報を受信し、無線LANユーザ識別情報及びネットワーク識別情報と、ネットワークを収容する通信装置との対応付けを記憶する振り分けサーバから、受信した前記ネットワークユーザ認証情報に含まれる無線LANユーザ識別情報及びネットワーク識別情報に対応した通信装置の情報を取得し、取得した情報により示される通信装置へ受信した前記ネットワークユーザ認証情報送出するルーチング手段とを具備し、
前記無線LANユーザ認証サーバは、
端末装置の端末認証情報を記憶する無線LANユーザ認証情報データベースと、
前記端末装置から端末認証情報を受信し、前記無線LANユーザ認証情報データベース内の端末認証情報により認証を行う端末装置認証手段と、
前記端末装置認証手段が前記端末装置を認証した場合には、前記端末装置と無線アクセスポイントが暗号化通信を行うための暗号鍵情報を生成し、前記無線アクセスポイントと前記端末装置に通知する暗号鍵情報送信手段とを具備する、
ことを特徴とする無線ネットワーク接続システム。A terminal device, a wireless access point that the terminal device accesses, an authentication function device including a wireless LAN user authentication server that authenticates the terminal device, and a remote access server that performs routing to a network designated by the terminal A wireless network connection system comprising:
The terminal device
Wireless communication means for wirelessly communicating with the wireless access point;
Terminal authentication information transmitting means for transmitting terminal authentication information of the terminal device to a wireless LAN user authentication server installed in the Internet protocol network;
Encrypted wireless communication means for receiving encryption key information from the wireless LAN user authentication server and encrypting communication of the wireless communication means;
Network user authentication information transmitting means for transmitting network user authentication information including wireless LAN user identification information and network identification information of a connection destination network to the remote access server ;
Wherein in the authentication server to connect to the network identified by network identification information in the remote network user authentication information sent to the access server, the IP address of the authentication by the network user authentication information is assigned if successful, the connection destination Network communication means for communicating with the network,
The wireless access point is
Wireless communication means for wirelessly communicating with a plurality of the terminal devices;
A communication means for communicating with the remote access server;
Interface conversion means for mutually converting the interface of the wireless communication means and the communication means;
Receiving encrypted key information from the wireless LAN user authentication server, and encrypting wireless communication means for encrypting communication of the wireless communication means,
The remote access server is
An interface conversion means for mutually converting an interface for communicating with a wireless access point and an interface for communicating with an Internet protocol network;
Included in the received network user authentication information from the distribution server that receives the network user authentication information from the terminal device and stores the association between the wireless LAN user identification information and the network identification information and the communication device accommodating the network. Routing information for acquiring communication device information corresponding to the wireless LAN user identification information and network identification information, and transmitting the received network user authentication information to the communication device indicated by the acquired information ,
The wireless LAN user authentication server includes:
A wireless LAN user authentication information database for storing terminal authentication information of the terminal device;
Terminal device authentication means for receiving terminal authentication information from the terminal device and authenticating with terminal authentication information in the wireless LAN user authentication information database ;
When the terminal device authentication unit authenticates the terminal device, the terminal device and the wireless access point generate encryption key information for performing encrypted communication, and notify the wireless access point and the terminal device Key information transmission means,
A wireless network connection system. 前記認証機能装置は、さらに、無線アクセスポイント認証サーバを備え、
前記無線アクセスポイントは、
当該無線アクセスポイントの無線アクセスポイント認証情報を前記無線アクセスポイント認証サーバへ送信する認証情報送信手段を具備し、
前記通信手段は、前記無線アクセスポイント認証サーバから割り当てられたIPアドレスを使用してインターネットプロトコルによる通信を確立し、
前記無線アクセスポイント認証サーバは、
無線アクセスポイントの無線アクセスポイント認証情報を記憶する無線アクセスポイント認証データベースと、
前記無線アクセスポイント認証情報を受信し、前記無線アクセスポイント認証データベースにより認証を行う無線アクセスポイント認証手段と、
前記無線アクセスポイント認証手段が前記無線アクセスポイントを認証した場合には、前記無線アクセスポイントへ割り当てるIPアドレスを送信するアドレス通知手段とを具備する、
ことを特徴とする請求項1に記載の無線ネットワーク接続システム。 The authentication function device further includes a wireless access point authentication server,
The wireless access point is
Comprising authentication information transmitting means for transmitting wireless access point authentication information of the wireless access point to the wireless access point authentication server ,
The communication means establishes communication by an Internet protocol using an IP address assigned from the wireless access point authentication server ,
The wireless access point authentication server is
A wireless access point authentication database for storing wireless access point authentication information of the wireless access point;
Wireless access point authentication means for receiving the wireless access point authentication information and authenticating with the wireless access point authentication database;
When the wireless access point authenticating means authenticates the wireless access point, the wireless access point authenticating means comprises an address notifying means for transmitting an IP address to be assigned to the wireless access point.
The wireless network connection system according to claim 1. 前記リモートアクセスサーバは、
無線アクセスポイントが接続を許容する端末装置の同時接続数を記憶する記憶手段と、
無線アクセスポイントに接続している端末装置数をカウントする接続端末数カウント手段と、
前記端末認証情報の送信元の端末装置がアクセスした無線アクセスポイントが接続している前記端末装置数が前記同時接続数以上の時には、前記端末装置の接続を拒否する同時接続数制御手段とを具備する、
ことを特徴とする請求項1または請求項2に記載の無線ネットワーク接続システム。The remote access server is
Storage means for storing the number of simultaneous connections of terminal devices that the wireless access point allows connection;
Connected terminal number counting means for counting the number of terminal devices connected to the wireless access point;
A simultaneous connection number control means for refusing connection of the terminal device when the number of the terminal devices connected to the wireless access point accessed by the terminal device that is the transmission source of the terminal authentication information is equal to or greater than the number of simultaneous connections; To
The wireless network connection system according to claim 1, wherein the wireless network connection system is a wireless network connection system. 前記認証機能装置は、さらに、カスコンサーバを備え、
前記カンスコンサーバは、
前記無線アクセスポイントの使用を許可する端末装置のリストを記憶するデータベースと、
前記端末認証情報の送信元の端末装置がアクセスした無線アクセスポイントを前記端末装置が利用可能であるかを前記データベース内のリストにより判断し、前記無線LANユーザ認証サーバに通知する利用許可確認手段を具備し、
前記無線LANユーザ認証サーバの端末装置認証手段は、前記カスコンサーバから通知された利用可否情報により前記端末装置の認証を行う、
ことを特徴とする請求項1〜請求項3のいずれかの項に記載の無線ネットワーク接続システム。 The authentication function device further includes a cascon server,
The Kanscon server is
A database that stores a list of terminal devices that are allowed to use the wireless access point ;
Use permission confirmation means for judging whether the terminal device can use the wireless access point accessed by the terminal device that is the transmission source of the terminal authentication information based on the list in the database and notifying the wireless LAN user authentication server. Equipped,
The terminal device authentication unit of the wireless LAN user authentication server performs authentication of the terminal device by availability information notified from the Kasukon server,
The wireless network connection system according to claim 1, wherein the wireless network connection system is a wireless network connection system. 無線アクセスポイントと無線により通信する無線通信手段と、
当該端末装置の端末認証情報を、インターネットプロトコル網に設置された無線LANユーザ認証サーバへ送信する端末認証情報送信手段と、
前記無線LANユーザ認証サーバから暗号鍵情報を受信し、前記無線通信手段の通信を暗号化する暗号化無線通信手段と、
無線LANユーザ識別情報、及び、接続先ネットワークのネットワーク識別情報を含んだネットワークユーザ認証情報を、前記リモートアクセスサーバへ送出するネットワークユーザ認証情報送信手段と、
前記リモートアクセスサーバへ送出したネットワークユーザ認証情報内のネットワーク識別情報により特定される接続先ネットワークの認証サーバにおいて、当該ネットワークユーザ認証情報による認証が成功した場合に割り当てられたIPアドレスにより、当該接続先ネットワークとの通信を行うネットワーク通信手段と、
を具備することを特徴とする端末装置。Wireless communication means for wirelessly communicating with a wireless access point;
Terminal authentication information transmitting means for transmitting terminal authentication information of the terminal device to a wireless LAN user authentication server installed in the Internet protocol network;
Encrypted wireless communication means for receiving encryption key information from the wireless LAN user authentication server and encrypting communication of the wireless communication means;
Network user authentication information transmitting means for transmitting network user authentication information including wireless LAN user identification information and network identification information of a connection destination network to the remote access server ;
Wherein in the authentication server to connect to the network identified by network identification information in the remote network user authentication information sent to the access server, the IP address of the authentication by the network user authentication information is assigned if successful, the connection destination Network communication means for communicating with the network;
A terminal device comprising: 無線アクセスポイントと通信するためのインタフェースと、インターネットプロトコル網と通信するためのインタフェースを相互に変換するインタフェース変換手段と、An interface conversion means for mutually converting an interface for communicating with a wireless access point and an interface for communicating with an Internet protocol network;
端末装置からネットワークユーザ認証情報を受信し、無線LANユーザ識別情報及びネットワーク識別情報と、ネットワークを収容する通信装置との対応付けを記憶する振り分けサーバから、受信した前記ネットワークユーザ認証情報に含まれる無線LANユーザ識別情報及び接続先ネットワークのネットワーク識別情報に対応した通信装置の情報を取得し、取得した情報により示される通信装置へ受信した前記ネットワークユーザ認証情報を送出するルーチング手段と、  Wireless network included in the received network user authentication information from the distribution server that receives the network user authentication information from the terminal device and stores the association between the wireless LAN user identification information and the network identification information and the communication device accommodating the network. Routing means for acquiring communication device information corresponding to the LAN user identification information and the network identification information of the connection destination network, and sending the received network user authentication information to the communication device indicated by the acquired information;
を具備することを特徴とするリモートアクセスサーバ。  A remote access server comprising: 端末装置を認証する無線LANユーザ認証サーバと、無線アクセスポイントを認証する無線アクセスポイント認証サーバと、カスコンサーバとを含んで構成される認証機能装置であって、
前記無線アクセスポイント認証サーバは、
端末装置の端末認証情報を記憶する無線LANユーザ認証情報データベースと、
端末装置から端末認証情報を受信し、前記無線LANユーザ認証情報データベース内の端末認証情報により認証を行う端末装置認証手段と、
前記端末装置認証手段が前記端末装置を認証した場合には、前記端末装置と無線アクセスポイントが暗号化通信を行うための暗号鍵情報を生成し、前記端末装置がアクセスする無線アクセスポイント及び前記端末装置に通知する暗号鍵情報送信手段と、
を具備し、
前記無線アクセスポイント認証サーバは、
無線アクセスポイントの無線アクセスポイント認証情報を記憶する無線アクセスポイント認証データベースと、
無線アクセスポイントから無線アクセスポイント認証情報を受信し、前記無線アクセスポイント認証データベースにより認証を行う無線アクセスポイント認証手段と、
前記無線アクセスポイント認証手段が前記無線アクセスポイントを認証した場合には、前記無線アクセスポイントへ割り当てるIPアドレスを送信するアドレス通知手段と、
を具備し、
前記カスコンサーバは、
無線アクセスポイントの使用を許可する端末装置のリストを記憶するデータベースと、
前記端末認証情報の送信元の端末装置がアクセスした無線アクセスポイントを利用可能であるかを前記データベース内のリストにより判断し、前記無線LANユーザ認証サーバに通知する利用許可確認手段と、
を具備し、
前記無線LANユーザ認証サーバの端末装置認証手段は、前記カスコンサーバから通知された利用可否情報により前記端末装置の認証を行う、
ことを特徴とする認証機能装置 An authentication function device configured to include a wireless LAN user authentication server for authenticating a terminal device, a wireless access point authentication server for authenticating a wireless access point, and a cascon server,
The wireless access point authentication server is
A wireless LAN user authentication information database for storing terminal authentication information of the terminal device;
Terminal device authentication means for receiving terminal authentication information from the terminal device and performing authentication with the terminal authentication information in the wireless LAN user authentication information database ;
When the terminal device authentication unit authenticates the terminal device, the terminal device and the wireless access point generate encryption key information for performing encrypted communication, and the terminal device accesses the wireless access point and the terminal Encryption key information transmitting means for notifying the device;
Equipped with,
The wireless access point authentication server is
A wireless access point authentication database for storing wireless access point authentication information of the wireless access point;
Wireless access point authentication means for receiving wireless access point authentication information from a wireless access point and performing authentication using the wireless access point authentication database;
When the wireless access point authenticating means authenticates the wireless access point, an address notifying means for transmitting an IP address assigned to the wireless access point;
Comprising
The Cascon server is
A database for storing a list of terminal devices permitted to use the wireless access point;
A use permission confirmation unit that determines whether a wireless access point accessed by a terminal device that is a transmission source of the terminal authentication information is usable from a list in the database, and notifies the wireless LAN user authentication server;
Comprising
The terminal device authentication means of the wireless LAN user authentication server authenticates the terminal device based on the availability information notified from the cascon server.
An authentication function device .
JP2002124088A 2002-04-25 2002-04-25 Wireless network connection system, terminal device, remote access server, and authentication function device Expired - Lifetime JP3973961B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002124088A JP3973961B2 (en) 2002-04-25 2002-04-25 Wireless network connection system, terminal device, remote access server, and authentication function device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002124088A JP3973961B2 (en) 2002-04-25 2002-04-25 Wireless network connection system, terminal device, remote access server, and authentication function device

Publications (2)

Publication Number Publication Date
JP2003318922A JP2003318922A (en) 2003-11-07
JP3973961B2 true JP3973961B2 (en) 2007-09-12

Family

ID=29539199

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002124088A Expired - Lifetime JP3973961B2 (en) 2002-04-25 2002-04-25 Wireless network connection system, terminal device, remote access server, and authentication function device

Country Status (1)

Country Link
JP (1) JP3973961B2 (en)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100401670C (en) * 2004-03-26 2008-07-09 中兴通讯股份有限公司 Allopatic access authentication method of mobile terminal of radio LAN
BRPI0511097A (en) * 2004-05-17 2007-12-26 Thomson Licensing methods and equipment for virtual private network access management for vpn clientless portable devices
JP4796754B2 (en) 2004-06-15 2011-10-19 日本電気株式会社 Network connection system and network connection method
JP2006025225A (en) * 2004-07-08 2006-01-26 Matsushita Electric Ind Co Ltd Communication system, key distribution controller, and wireless lan base station device
JP2006079213A (en) 2004-09-07 2006-03-23 Ntt Docomo Inc Relay device, authentication server, and authentication method
JP4689225B2 (en) * 2004-10-15 2011-05-25 パナソニック株式会社 Wireless network system, wireless terminal accommodating device, and communication device
JP4502393B2 (en) 2005-06-13 2010-07-14 キヤノン株式会社 Communication parameter sharing method and communication apparatus
KR101434613B1 (en) * 2006-09-18 2014-08-26 마벨 인터내셔널 리미티드 Establishment of ad-hoc networks between multiple devices
JP2007329951A (en) * 2007-07-17 2007-12-20 Matsushita Electric Ind Co Ltd Authentication server, network utilizing terminal, secondary terminal and communication method
JP5206981B2 (en) * 2009-03-30 2013-06-12 日本電気株式会社 Wireless network connection device, wireless network system, authentication server, connection method and program
JP5614770B2 (en) * 2010-07-30 2014-10-29 西日本電信電話株式会社 Network authentication method and service providing system
KR101132163B1 (en) * 2010-10-14 2012-05-08 주식회사 마스터소프트 Power Management System and Method Thereof
US20120182939A1 (en) * 2011-01-14 2012-07-19 Qualcomm Incorporated Telehealth wireless communication hub and service platform system
KR101913406B1 (en) * 2011-12-23 2018-10-31 주식회사 케이티 Device and method for managing terminal
JP5518145B2 (en) * 2012-08-08 2014-06-11 キヤノン株式会社 Communication parameter sharing method and communication apparatus
JP5769777B2 (en) * 2013-10-17 2015-08-26 キヤノン株式会社 Communication device, control method, and program
JP6422709B2 (en) * 2014-09-19 2018-11-14 株式会社ダイヘン Robot control system
WO2018033999A1 (en) * 2016-08-19 2018-02-22 アライドテレシスホールディングス株式会社 Connection permission/refusal determination device, method, program, and recording medium
KR101878713B1 (en) * 2017-03-29 2018-07-16 주식회사 와이스퀘어 Method and System For Connecting User Equipment with Network
JP2019050446A (en) * 2017-09-07 2019-03-28 株式会社アウトスタンディングテクノロジー Access control method and device thereof

Also Published As

Publication number Publication date
JP2003318922A (en) 2003-11-07

Similar Documents

Publication Publication Date Title
JP3973961B2 (en) Wireless network connection system, terminal device, remote access server, and authentication function device
KR100494558B1 (en) The method and system for performing authentification to obtain access to public wireless LAN
JP4666169B2 (en) Method of communication via untrusted access station
EP1504621B1 (en) Seamless user authentication in a public wireless local area network
CN101032142B (en) Means and methods for signal sign-on access to service network through access network
JP4394682B2 (en) Apparatus and method for single sign-on authentication via untrusted access network
US7665129B2 (en) Method and system for managing access authorization for a user in a local administrative domain when the user connects to an IP network
US7443983B2 (en) Communication apparatus and method
JP2006515486A (en) Method and apparatus for enabling re-authentication in a cellular communication system
JP2006524017A (en) ID mapping mechanism for controlling wireless LAN access with public authentication server
WO2005096644A1 (en) A method for establishing security association between the roaming subscriber and the server of the visited network
JP5536628B2 (en) Wireless LAN connection method, wireless LAN client, and wireless LAN access point
KR100763131B1 (en) Access and Registration Method for Public Wireless LAN Service
JP4987820B2 (en) Authentication system, connection control device, authentication device, and transfer device
US20030196107A1 (en) Protocol, system, and method for transferring user authentication information across multiple, independent internet protocol (IP) based networks
KR20040001329A (en) Network access method for public wireless LAN service
AU770479B2 (en) System and method for local policy enforcement for internet service providers
JP4472566B2 (en) Communication system and call control method
WO2015100874A1 (en) Home gateway access management method and system
JP2009217722A (en) Authentication processing system, authentication device, management device, authentication processing method, authentication processing program and management processing program
JPH11331181A (en) Network terminal authenticating device
WO2009155812A1 (en) Terminal access method, access management method, network equipment and communication system
JP5670926B2 (en) Wireless LAN access point terminal access control system and authorization server device
KR101049635B1 (en) Roaming Service between Public WLAN and Enterprise WLAN
JP2019003317A (en) Personal authentication device, personal authentication system, personal authentication program and personal authentication method

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20040220

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050214

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061204

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070213

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070605

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070613

R150 Certificate of patent or registration of utility model

Ref document number: 3973961

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100622

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110622

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110622

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130622

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140622

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term