JP4362138B2 - 通信接続方式の選択装置、方法及びプログラム - Google Patents

通信接続方式の選択装置、方法及びプログラム Download PDF

Info

Publication number
JP4362138B2
JP4362138B2 JP2007065583A JP2007065583A JP4362138B2 JP 4362138 B2 JP4362138 B2 JP 4362138B2 JP 2007065583 A JP2007065583 A JP 2007065583A JP 2007065583 A JP2007065583 A JP 2007065583A JP 4362138 B2 JP4362138 B2 JP 4362138B2
Authority
JP
Japan
Prior art keywords
digital certificate
certificate
communication connection
digital
connection method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007065583A
Other languages
English (en)
Other versions
JP2008228089A (ja
Inventor
佳武 田島
賢治 太田
裕 渡邉
相哲 岩村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007065583A priority Critical patent/JP4362138B2/ja
Publication of JP2008228089A publication Critical patent/JP2008228089A/ja
Application granted granted Critical
Publication of JP4362138B2 publication Critical patent/JP4362138B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、公衆無線LANサービスなどのネットワーク接続サービスにおいて、プロファイル情報に基づいてネットワークに接続する際の通信接続技術に関する。
従来、ユーザが利用する接続設定情報としてデジタル証明書が含まれたプロファイルを配布し、ネットワーク接続制御を行うシステムがあった(例えば、特許文献1を参照)。プロファイルには認証のための情報として、認証方法やデジタル証明書などが含まれていた。
特開2006−324980号公報
しかしながら、従来の方式では、プロファイルにデジタル証明書を添付するため、ユーザが利用する接続方式に合わせてプロファイルを発行する場合、接続認証にデジタル証明書を使用するユーザと、使用しないユーザとで、利用可能な接続方式の異なるプロファイルを配布する必要があり、管理が煩雑であるという問題があった。
また、全てのユーザに対して、同一の接続方式が含まれたプロファイルを発行する場合、接続認証にデジタル証明書を使用しないユーザに対しては利用できないデジタル証明書を添付する、又は、ネットワーク側の認証サーバで拒絶するなどの対策を行うが、ユーザ側の接続制御では認証が成功する有効なプロファイル情報と区別できず、接続を試行し、認証失敗していた。また、デジタル証明書を発行する管理者とプロファイルを発行する管理者が独立に発行・配布を行うことができず、発行されたデジタル証明書をプロファイルに添付し配布する必要があり、運用が煩雑化する問題があった。
本発明は、上記問題点に鑑み、プロファイルとデジタル証明書とが分離して配布されるネットワークの運用形態においてプロファイル情報の管理を容易にしつつ無効な認証を試行することによる接続完了までの時間を低減することを課題とする。
第1の本発明に係る通信接続方式の選択装置は、複数の通信接続方式の設定情報が記述されたプロファイル情報を用いてネットワークに接続する通信端末における通信接続方式の選択装置であって、認証に使用するデジタル証明書を記憶しておく第1の記憶手段と、複数の通信接続方式のうちデジタル証明書による認証を行う通信接続方式の設定情報には使用するデジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を記憶しておく第2の記憶手段と、ネットワークに接続する際に、前記プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書の有無を受け付ける受付手段と、合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、そのデジタル証明書が無い場合にはデジタル証明書による認証を行わない通信接続方式を選択する選択手段と、を備えることを特徴とする。
本発明にあっては、ネットワークに接続する際に、プロファイル情報に記述されたデジタル証明書の発行元及び発行先の情報に合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、そのデジタル証明書が無い場合には上記認証を行わない通信接続方式を選択する。これにより、上記認証が必要でないユーザは従来のように無効なデジタル証明書を用いて接続試行する必要がないので接続完了までの時間を短縮することができる。また、管理者は必要とするユーザのみに有効なデジタル証明書を発行し、全てのユーザに対して同一な構成のプロファイルを配布することができる。
第2の本発明に係る通信接続方式の選択方法は、複数の通信接続方式の設定情報が記述されたプロファイル情報を用いてネットワークに接続する通信端末における通信接続方式の選択方法であって、認証に使用するデジタル証明書を第1の記憶手段に記憶しておくステップと、前記複数の通信接続方式のうちデジタル証明書による認証を行う通信接続方式の設定情報には使用するデジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を第2の記憶手段に記憶しておくステップと、受付手段により、前記ネットワークに接続する際に、前記プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書の有無を受け付けるステップと、選択手段により、前記合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、当該デジタル証明書が無い場合にはデジタル証明書による認証を行わない通信接続方式を選択するステップと、を有することを特徴とする。
第3の本発明に係る通信接続方式の選択プログラムは、複数の通信接続方式の設定情報が記述されたプロファイル情報を用いてネットワークに接続する通信端末に実行させる通信接続方式の選択プログラムであって、認証に使用するデジタル証明書を第1の記憶手段に記憶しておくステップと、前記複数の通信接続方式のうちデジタル証明書による認証を行う通信接続方式の設定情報には使用するデジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を第2の記憶手段に記憶しておくステップと、ネットワークに接続する際に、プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書の有無を受け付けるステップと、合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、そのデジタル証明書が無い場合にはデジタル証明書による認証を行わない通信接続方式を選択するステップと、を通信端末に実行させることを特徴とする。
本発明によれば、プロファイルとデジタル証明書とが分離して配布されるネットワークの運用形態においてプロファイル情報の管理を容易にしつつ無効な認証を試行することによる接続完了までの時間を低減することができる。
以下、本発明の一実施の形態について、図面を用いて説明する。
図1は、一実施の形態に係る通信ネットワークシステム1の構成を示している。通信ネットワークシステム1は、通信端末100と、アクセスポイント200と、ネットワーク300と、認証サーバ400と、認証局(CA:Certificate Authority)500と、ネットワーク管理者が管理するプロファイル作成装置600と、を備えた構成を有している。
通信端末100は、プロファイルに記述された複数の通信接続方式を順に選択しながらネットワークへの接続を行う。プロファイルは、プロファイル作成装置600によって発行され、ネットワーク300で利用可能な複数の接続方式を特定するプロファイル情報が記述される。本実施の形態では、プロファイルとはプロファイル情報が記述されたファイルの実態として定義し、プロファイル情報とはプロファイルに記述されたデータとして定義する。
アクセスポイント200は、通信端末100を無線LAN(Local Area Network)で収容しネットワーク300と接続させる転送装置である。ここでは通信端末100と同一の無線LANのパラメータ(例えばESSID(Extended Service Set Identification)、WEP(Wired Equivalent Privacy)鍵等)が設定される。デジタル証明書を用いた接続認証においては、認証プロトコル(例えばIEEE802.1x EAP−TLS(Extensive Authentication Protocol-Transport Layer Security))の手順に基づいて、通信端末100と認証サーバ400との間で認証情報を転送し、接続制御を行う。
認証局500は、認証局管理者によって管理され、ユーザ個人を認証するためのデジタル証明書を発行する。デジタル証明書は、通信端末を利用するユーザ個人を認証するための情報であり、ネットワーク接続を行う際に認証情報として使用される。ここでは例えばPKCS(Public Key Cryptography Standard)#12形式のデジタル証明書が使用される。デジタル証明書には、そのデジタル証明書を発行した発行元である認証局500を特定する文字列、発行先であるユーザを特定する文字列などの情報が記述される。発行されたデジタル証明書は安全性が確保された状態で配布される。
プロファイル作成装置600は、ネットワーク管理者によって管理され、ネットワーク300で利用可能な複数の接続方式が記述されたプロファイルを発行する。プロファイルにはネットワーク300で利用可能な複数の接続方式を特定するプロファイル情報が記述される。接続方式として無線LANのパラメータであるESSID、WEP鍵等の情報が記述される。IEEE802.1x EAP−TLSなどのデジタル証明書を用いた接続認証を行う接続方式に対してはデジタル証明書を特定する情報が記述される。発行されたプロファイルはネットワーク管理者によって配布される。プロファイル作成装置からネットワークを介して通信端末にダウンロードしてもよいし、あるいは記録媒体に記録された状態で配布されてもよい。
認証サーバ400は、通信端末100がネットワーク300に接続する際の接続認証の判定を行う。
図2は、通信ネットワークシステム1におけるネットワークの構成を示している。同図に示すように、このネットワーク300ではネットワーク管理者によりIEEE802.1xEAP−TLSの認証有りの接続サービスと、認証を行わない接続サービスが提供されている。ネットワーク300には認証を行わない接続サービスに対応したアクセスポイント200aと、認証有りの接続サービスに対応した200bとが接続されている。ここではアクセスポイント200aとアクセスポイント200bは共にESSIDとして「Svc−a」が設定されている。アクセスポイント200aは、WEPとして暗号化の鍵となる文字列「Key−a」が設定されている。アクセスポイント200bは、認証サーバ400と通信して、ユーザからのユーザ認証情報を転送して、接続制御を行う。
図3のブロック図は、通信端末100の概略的な構成を示している。同図に示すように、通信端末100は、デジタル証明書記憶部101と、プロファイル情報記憶部102と、接続方式選択制御部103と、証明書検索制御部104と、証明書選択部105と、証明書利用履歴記録部106と、通信インターフェース部110とを備える。通信端末100はCPU(Central Processing Unit)、メモリ、通信インターフェース、表示装置、キー操作などを入力させる入力装置などのハードウェアを有するPC(Personal Computer)とする。接続方式選択制御部103及び証明書検索制御部104による処理は、CPUによって実行されるプログラムのモジュール等で実現される。デジタル証明書記憶部101、プロファイル情報記憶部102、及び証明書利用履歴記録部106はメモリで実現される。尚、本願発明の通信接続方式を選択する接続方式の選択処理については同図では破線で囲んだ各部により実現される。
デジタル証明書記憶部101は、第1の記憶手段として、デジタル証明書の情報を記憶しておく。プロファイル情報記憶部102は、第2の記憶手段として、デジタル証明書とは別個に配布され、デジタル証明書の発行元及び発行先の情報が記述されたプロファイル情報を記憶しておく。
接続方式選択制御部103は、プロファイル情報記憶部102からプロファイル情報を読み込み、デジタル証明書記憶部101のデジタル証明書の検索処理要求及び検索条件などの情報を証明書検索制御部104に送信する。ここでは受付手段として、プロファイル情報に記述されたデジタル証明書の発行元及び発行先の情報に合致するデジタル証明書の有無を検索結果として受け付ける機能すると共に、選択手段として、合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、そのデジタル証明書が無い場合にはデジタル証明書による認証を行わない通信接続方式を選択する。更に、通信インターフェース部110に対して選択した通信接続方式に基づいた通信接続制御を行う。
証明書検索制御部104は、デジタル証明書記憶部101のデジタル証明書の検索を実行する。また、証明書選択部105へのデジタル証明書に関する情報のやり取りを行い、証明書利用履歴記録部106へのデジタル証明書の履歴情報の記憶・参照を行う。また検索した結果に基づいて利用すべきデジタル証明書の選択処理を行う。
証明書選択部105は、証明書検索制御部104から通知された複数のデジタル証明書に関する情報をユーザに対して通知し、その中から1つのデジタル証明書の指定を受け付けて、指定情報を証明書検索制御部104に送信する。ここでは複数のデジタル証明書に関する情報を画面に表示する表示装置、及びユーザによる指定を受け付ける入力装置で実現される。
証明書利用履歴記録部106は、第3の記憶手段として、証明書検索制御部104により選択されたデジタル証明書に記述された情報を履歴情報として記憶しておく。
通信インターフェース部110は、接続方式選択制御部103により選択された通信接続方式に従って通信接続処理を実行する。
次に、プロファイルの構成について図を用いて説明する。図4〜図5は通信端末100のプロファイル情報記憶部102に記憶されるプロファイル情報の例を示している。同図に示すように、プロファイルは、ネットワーク300を利用する全ユーザに対して同一の既定の構成として発行される。各値はユーザに対応して変更することもできる。またユーザ自身がプロファイル情報の一部を追加・変更・削除することもできる。
プロファイルには複数の通信接続方式の設定情報が記述される。ここでは通信接続方式には、接続方式毎の管理用パラメータ(接続名、優先順位、接続形態)と、接続用パラメータ(ESDID,WEP,Issuer、Subject)が含まれる。ここでは接続方式として「接続名:接続A」と「接続名:接続B」の2種類が記述されている。
「優先順位」は、各接続方式を使用して接続を試行する順番を表し、小さい番号に対応した接続方式から順番に使用される。「接続形態」は、IEEE802.1x EAP−TLSの認証を行うかどうかを表している。「ESSID」はその接続方式で接続する無線LANアクセスポイントの識別子を表す。「WEP」は、そのアクセスポイントの暗号化の鍵となる文字列を表す。
ここで「Issuer」及び「Subject」はIEEE802.1x EAP−TLS認証でユーザが使用するデジタル証明書に記述された情報と同一の情報である。「Issuer」はそのデジタル証明書を発行した発行元である認証局を特定する文字列を表す。「Subject」はそのデジタル証明書の発行先であるユーザを特定する文字列を表す。
次に、デジタル証明書の構成について図を用いて説明する。
図6〜図8は通信端末100のデジタル証明書記憶部101に記憶されるデジタル証明書の例を示している。同図に示すように、デジタル証明書には、ここでは例えば一般的な公開鍵証明書の規格の1つであるX.509形式のデジタル証明書を利用する。デジタル証明書には以下の情報が記述される。シリアル番号は、1つの認証局から発行されたデジタル証明書で重複しないように付与された番号である。「Issuer」は、そのデジタル証明書を発行した発行元である認証局を表す文字列である。「Subject」は、デジタル証明書の発行先であるユーザ名を表す文字列である。
このように、管理者はデジタル証明書を利用するユーザのみに有効なデジタル証明書を発行し、デジタル証明書を利用しないユーザに対しても同一な構成のプロファイル情報を配布する。これにより、全てのユーザに対して同一な構成のプロファイル情報を配布することができる。
次に、通信端末100がプロファイル情報を用いてネットワークに接続する動作について図9、図10を用いて具体的に説明する。図9のフローチャートは、主に接続方式選択制御部103による通信接続方式の選択処理の流れを示している。
ステップ1:まず、最初のステップでは、現在のプロファイル順位を初期状態0に設定する(S1)。
ステップ2:次のステップでは、プロファイル情報記憶部102からプロファイル情報を読み込んで、プロファイル情報に記述された接続方式の「優先順位」を参照する。現在のプロファイル順位の次に大きな優先順位に該当する接続方式を選択する(S2)。
ステップ3:次のステップでは、選択した接続方式の「接続形態」を参照して、「接続形態:認証無し」の場合には無線LAN(IEEE802.11)の接続処理を実行し、「接続形態:認証有り」の場合には証明書検索処理を実行すべく、証明書検索制御部104に検索処理の要求を送信する(S3)。
ステップ4:次のステップでは、証明書検索制御部104によりデジタル証明書記憶部101に保存されているデジタル証明書の検索が実行される。証明書検索処理の結果、接続方式選択制御部103は、証明書検索制御部104から検索条件に合致するデジタル証明書の有無に関する情報を受け付ける。証明書検索制御部104による証明書検索処理の詳細については後述する(S4)。
ステップ5:次のステップでは、該当するデジタル証明書が存在するという情報を受け付けた場合には、デジタル証明書による認証を行う通信接続方式を選択する。ここでは無線LAN接続(IEEE802.11、IEEE802.1x)処理を行う。IEEE802.1x接続処理のEAP−TLS認証ではステップ4で検索されたデジタル証明書を使用する。該当するデジタル証明書が存在しないという情報を受け付けた場合には、デジタル証明書による認証を行わない通信接続方式を選択すべく、ステップ2へ戻る。
ステップ6:上記各無線LANの接続処理の結果、接続が正常に完了した場合には、接続を継続する。一方で、接続が正常に完了しなかった場合には、該当するデジタル証明書の履歴情報として後述のステップ48で保存された証明書値を消去してステップ2へ戻る。
次に、上記ステップ4における証明書検索制御部104によるデジタル証明書の検索処理について図10のフローチャートを用いて説明する。
ステップ40:最初のステップでは、検索に先立って、証明書利用履歴記録部106内に該当するデジタル証明書の履歴情報として保存された証明書値が存在するかどうかを判定する(S40)。
ステップ41:ステップ40で証明書値が存在する場合に、その証明書値と一致するデジタル証明書の有無を確認し、そのデジタル証明書が存在する場合には、検索結果を(1)としてそのデジタル証明書を選択する(S41)。
ステップ42:ステップ40で証明書値が存在しない場合、又はステップ41で証明書値と一致するデジタル証明書が存在しない場合には以下の処理を行う(S42)。
プロファイル情報を参照し、以下の検索条件i)、ii)に合致するデジタル証明書を検索する。i)プロファイル情報の「Issuer」に記述された文字列とデジタル証明書の「Issuer」に記述された文字列が一致する。ii)プロファイル情報の「Subject」に記述された文字列全体がデジタル証明書の「Subject」に記述された文字列に前方一致する。
ステップ43:検索の結果、一致したデジタル証明書の数を判定する。一致したデジタル証明書の数が0の場合検索結果を(0)とする。一致したデジタル証明書の数が1の場合検索結果を(1)として、そのデジタル証明書を選択する(S43)。
ステップ44,45:ステップ43で一致したデジタル証明書の数が2以上の場合は、複数のデジタル証明書に関する情報をユーザに通知して、ユーザに選択を要求する。ユーザからのデジタル証明書の指定を受け付ける(S44,S45)。
ステップ46、ステップ47:ユーザからの指定応答を受け付けて、指定されたデジタル証明書が存在する場合には、検索結果を(1)としてそのデジタル証明書を選択する。ユーザからの指定応答を受け付けないまま一定時間を経過した場合、および指定されたデジタル証明書が存在しない場合は、検索結果を(0)とする(S46,S47)。
ステップ48:上記ステップ43〜ステップ47の結果、検索結果が0の場合は証明書値を消去し、検索結果が1の場合は証明書値を保存する(S48)。
[第1の動作例]
次に、第1の動作例として、図4で示したプロファイル1を利用して、デジタル証明書が保存されていない状態の通信端末からネットワークへ接続する場合の動作について図9のフローチャートを参照しながら説明する。
ステップ1:最初のステップでは、現在のプロファイル順位を初期状態0「Pri0」に設定する。
ステップ2:次のステップでは、プロファイル情報記憶部102からプロファイル情報を読み込んで、プロファイル情報に記述された「優先順位」を参照して、現在のプロファイル順位の次に大きな「優先順位:Pri1」に該当する接続方式「接続A」を選択する。
ステップ3:次のステップでは、接続方式「接続A」は、「接続形態:認証有り」であるので証明書検索処理を実行すべく、証明書検索制御部104に検索処理の要求を送信する。
ステップ4:次のステップでは、証明書検索制御部104によりデジタル証明書記憶部101に保存されているデジタル証明書の検索が実行される。ここではデジタル証明書が保存されていないので、証明書検索処理の結果、条件に合致するデジタル証明書が存在しない旨の情報を受け付ける。
ステップ5:次のステップでは、該当するデジタル証明書が存在しないという情報を受け付け、接続処理を実施せずステップ2へ戻る。
ステップ2’において、次に大きい「優先順位:Pri2」の接続方式「接続B」が選択される。次のステップ3’では接続方式「接続B」は「接続形態:認証なし」であるので無線LAN接続処理が実施される。
ステップ6:このとき無線LANのパラメータ「ESSID:Svc−a」、「WEP鍵:Key−a」に合致するアクセスポイントが存在する場合、接続処理が完了し、接続を継続する。このような処理により、デジタル証明書を利用しないユーザは従来のように無効なデジタル証明書を用いて接続試行する必要がなくなるので接続完了までの時間を短縮することができる。
[第2の動作例]
次に、第2の動作例として、図4で示したプロファイル1を利用して、図6,7で示したデジタル証明書1,2が保存された状態の通信端末からネットワークへ接続する場合の動作について図9,図10のフローチャートを参照しながら説明する。
ステップ1:まず、最初のステップでは、現在のプロファイル順位を初期状態0「Pri0」に設定する。
ステップ2:次のステップでは、プロファイル情報記憶部102からプロファイル情報を読み込んで、プロファイル情報に記述された「優先順位」を参照して、現在のプロファイル順位の次に大きな「優先順位:Pri1」に該当する接続方式「接続A」を選択する。
ステップ3:次のステップでは、接続方式「接続A」は、「接続形態:認証有り」であるので証明書検索処理を実行すべく、証明書検索制御部104に検索処理の要求を送信する。
ステップ4:次のステップでは、証明書検索制御部104によりデジタル証明書記憶部101に保存されているデジタル証明書の検索が実行される。
ステップ40:ここではデジタル証明書の履歴情報は証明書利用履歴記録部106に保存されていないものとし、ステップ42へ進む。
ステップ42:証明書検索制御部104によるプロファイル情報と合致するデジタル証明書を検索するステップにおいて、プロファイル情報を参照し、以下の検索条件i)、ii)に合致する証明書を検索する。i)プロファイル1の「Issuer:Auth0」とデジタル証明書1の「Issuer:Auth0」が一致する。ここでデジタル証明書2の「Issuer:Auth1」は条件に一致しない。ii)プロファイル1の「Subject:Pref0−User0」の文字列全体がデジタル証明書1の「Subject:Pref0−User1」に前方一致する。
ステップ43:検索の結果、一致したデジタル証明書の数が1であるので、検索結果を(1)として、上記検索条件i)、ii)に合致したデジタル証明書1を選択する。
ステップ48:デジタル証明書1の証明書値「Issuer:Auth0、シリアル番号:12345678」を履歴情報として証明書利用履歴記録部106に保存する。
ステップ5:次のステップでは、該当するデジタル証明書が存在するという情報を受け付けて、デジタル証明書1による認証を行う通信接続方式を選択する。ここでは無線LAN接続(IEEE802.11、IEEE802.1x)処理を行い、ESSIDがSvc−aのアクセスポイントと無線LANのリンクを確立した後、IEEE802.1x接続処理のEAP−TLS認証においてステップ4で選択されたデジタル証明書1を用いて認証を行う。尚、認証情報は認証サーバで認証され、アクセスポイントが接続処理を行う。その結果。通信端末におけるネットワークへの接続処理が終了する。このように、デジタル証明書を利用するユーザはデジタル証明書を選択して接続試行する必要がなくなるので接続完了までの時間を短縮することができる。
[第3の動作例]
次に、第3の動作例として、図5で示したプロファイル2を利用して、図6,7,8で示したデジタル証明書1,2,3が保存された状態の通信端末からネットワークへ接続する場合の動作について図9,10のフローチャートを参照しながら説明する。
ステップ1:まず、最初のステップでは、現在のプロファイル順位を初期状態0「Pri0」に設定する。
ステップ2:次のステップでは、プロファイル情報記憶部102からプロファイル情報を読み込んで、プロファイル情報に記述された「優先順位」を参照して、現在のプロファイル順位の次に大きな「優先順位:Pri1」に該当する接続方式「接続A」を選択する。
ステップ3:次のステップでは、接続方式「接続A」は、「接続形態:認証有り」であるので証明書検索処理を実行すべく、証明書検索制御部104に検索処理の要求を送信する。
ステップ4:次のステップでは、証明書検索制御部104によりデジタル証明書記憶部101に保存されているデジタル証明書の検索が実行される。
ステップ40:ここではデジタル証明書の履歴情報は証明書利用履歴記録部106に保存されていないものとし、ステップ42へ進む。
ステップ42:証明書検索制御部104によるプロファイル情報と合致するデジタル証明書を検索するステップにおいて、プロファイル情報を参照し、以下の検索条件i)、ii)に合致する証明書を検索する。i)プロファイル2の「Issuer:Auth0」とデジタル証明書1およびデジタル証明書3の「Issuer:Auth0」が一致する。ここでデジタル証明書2の「Issuer:Auth1」は条件に一致しない。ii)プロファイル2の「Subject:Pref0−User0」の文字列全体が、デジタル証明書1の「Subject:Pref0−User1」およびデジタル証明書3の「Subject:Pref0−User2」に前方一致する。
ステップ43:検索の結果、デジタル証明書1およびデジタル証明書3の2つが一致したので、検索結果は(2)となる。
ステップ44,45:ステップ43で一致したデジタル証明書の数が2であるのでデジタル証明書1およびデジタル証明書3に関する情報をユーザに通知して、ユーザに選択を要求する。ユーザからのデジタル証明書の指定を受け付ける。ここでは一定時間内にユーザから例えばデジタル証明書3の指定を受け付けたとする。
ステップ46、ステップ47:指定されたデジタル証明書3は存在するので検索結果を(1)としてそのデジタル証明書3を選択する。
ステップ48:検索結果が(1)であるのでデジタル証明書3の証明書値(Issuer:Auth0、シリアル番号:345678)を履歴情報として証明書利用履歴記録部106に保存する。このように、プロファイル情報で指定される条件に合致するデジタル証明書が複数検索された場合においても認証に成功した証明書のみ、その履歴情報を保存しておく。これにより、繰り返しユーザが選択する操作が不要となり、誤ったデジタル証明書の選択による認証失敗を低減することが可能となる。
ステップ5:次のステップでは、デジタル証明書3による認証を行う通信接続方式を選択する。ここでは無線LAN接続(IEEE802.11、IEEE802.1x)処理を行い、ESSIDがSvc−aのアクセスポイントと無線LANのリンクを確立した後、IEEE802.1x接続処理のEAP−TLS認証においてステップ4で選択されたデジタル証明書3を用いて認証を行う。尚、認証情報は認証サーバで認証され、アクセスポイントが接続処理を行う。その結果。通信端末におけるネットワークへの接続処理が終了する。
以上、動作例で示したように、本実施の形態によれば、通信端末100において、ネットワークに接続する際に、プロファイル情報に記述されたデジタル証明書の発行元及び発行先の情報に合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、そのデジタル証明書が無い場合には上記認証を行わない通信接続方式を選択する。これにより、上記認証が必要でないユーザは従来のように無効なデジタル証明書を用いて接続試行する必要がないので接続完了までの時間を短縮することができる。また、認証局管理者は必要とするユーザのみに有効なデジタル証明書を発行し、ネットワーク管理者は全てのユーザに対して同一な構成のプロファイルを配布することができる。
よって、プロファイル情報とデジタル証明書とが分離して配布されるネットワークの運用形態においてプロファイル情報の管理を容易にしつつ無効な認証を試行することによる接続完了までの時間を低減することができる。
尚、本実施の形態においては、通信端末100は、CPU、メモリ、通信インターフェース、表示装置、キー操作などを入力させる入力装置などのハードウェアを備えたPCとしたが、上記各部を備えた情報機器であればこれに限られるものではない。
また、実施の形態においては、接続方式選択制御部103による通信接続方式の選択処理はCPUによって実行されるプログラムで実現されるようにしたが、上記処理を実行する専用のハードウェアで実現してもよい。
一実施の形態に係る通信ネットワークのシステム構成図である。 上記通信システムにおけるネットワーク構成図である。 上記通信システムにおいてネットワークに接続する通信端末の概略的な構成を示すブロック図である。 上記通信端末のプロファイル情報記憶部に記憶されるプロファイル情報の第1の例を示すチャート図である。 上記通信端末のプロファイル情報記憶部に記憶されるプロファイル情報の第2の例を示すチャート図である。 上記通信端末のデジタル証明書記憶部に記憶されるデジタル証明書の第1の例を示すチャート図である。 上記通信端末のデジタル証明書記憶部に記憶されるデジタル証明書の第2の例を示すチャート図である。 上記通信端末のデジタル証明書記憶部に記憶されるデジタル証明書の第3の例を示すチャート図である。 上記通信端末における通信接続方式の選択処理を示すフローチャートである。 上記通信端末におけるデジタル証明書の検索処理を示すフローチャートである。
符号の説明
1…通信ネットワークシステム
100…通信端末
101…デジタル証明書記憶部
102…プロファイル情報記憶部
103…接続方式選択制御部
104…証明書検索制御部
105…証明書選択部
106…証明書利用履歴記録部
110…通信インターフェース部
200…アクセスポイント
200a…アクセスポイント(認証無)
200b…アクセスポイント(認証有)
300…ネットワーク
400…認証サーバ
500…認証局(CA)
600…プロファイル作成装置

Claims (3)

  1. 所定の通信接続方式を選択してネットワークに接続する通信端末における通信接続方式の選択装置であって、
    認証に使用するデジタル証明書を、当該デジタル証明書の発行元及び発行先に関連付けて記憶しておく第1の記憶手段と、
    優先順位に応じた複数の通信接続方式の設定情報が記述されたプロファイル情報であって、当該複数の通信接続方式のうちデジタル証明書による認証を行う通信接続方式の設定情報には使用するデジタル証明書の発行元及び発行先が記述された前記プロファイル情報を記憶しておく第2の記憶手段と、
    過去に選択されたデジタル証明書に記述された情報を履歴情報として保存しておく第3の記憶手段と、
    前記ネットワークに接続する際に、前記第2の記憶手段から前記プロファイル情報を読み出して、優先順位が高い順に通信接続方式を選択する選択手段と、
    選択された前記通信接続方式がデジタル証明書による認証を行う場合に、前記第1の記憶手段からデジタル証明書の検索を実行し、当該検索条件に合致するデジタル証明書の有無を受け付ける受付手段と、
    前記合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、当該デジタル証明書が無い場合にはデジタル証明書による認証を行わない通信接続方式を選択する選択手段と、を有し、
    前記受付手段は、
    前記第3の記憶手段に保存されている履歴情報に、デジタル証明書を識別する証明書値が存在するか否かを判定し、
    前記証明書値が存在する場合には、当該証明書値と一致するデジタル証明書の有無を前記第1の記憶手段から確認し、当該証明書値と一致するデジタル証明書が有る場合に、当該デジタル証明書を選択し、
    前記証明書値が存在しない場合、又は前記証明書値と一致するデジタル証明書が無い場合には、選択された通信接続方式の設定情報に記述されているデジタル証明書の発行元の値の全部に一致し、発行先の値の一部に一致するデジタル証明書を前記第1の記憶手段から検索して、一致したデジタル証明書数を判定し、前記デジタル証明書数が1の場合には、検索されたデジタル証明書を選択し、前記デジタル証明書数が2以上の場合には、検索された2以上のデジタル証明書のうち指定された一のデジタル証明書を選択することにより、前記デジタル証明書の検索を実行することを特徴とする通信接続方式の選択装置。
  2. 所定の通信接続方式を選択してネットワークに接続する通信端末における通信接続方式の選択方法であって、
    前記通信端末により、
    認証に使用するデジタル証明書を、当該デジタル証明書の発行元及び発行先に関連付けて第1の記憶手段に記憶しておく第1のステップと、
    優先順位に応じた複数の通信接続方式の設定情報が記述されたプロファイル情報であって、当該複数の通信接続方式のうちデジタル証明書による認証を行う通信接続方式の設定情報には使用するデジタル証明書の発行元及び発行先が記述された前記プロファイル情報を第2の記憶手段に記憶しておく第2のステップと、
    過去に選択されたデジタル証明書に記述された情報を履歴情報として第3の記憶手段に保存しておく第3のステップと、
    前記ネットワークに接続する際に、前記第2の記憶手段から前記プロファイル情報を読み出して、優先順位が高い順に通信接続方式を選択する第4のステップと、
    選択された前記通信接続方式がデジタル証明書による認証を行う場合に、前記第1の記憶手段からデジタル証明書の検索を実行し、当該検索条件に合致するデジタル証明書の有無を受け付ける第5のステップと、
    前記合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、当該デジタル証明書が無い場合にはデジタル証明書による認証を行わない通信接続方式を選択する第6のステップと、を有し、
    前記第5のステップは、
    前記第3の記憶手段に保存されている履歴情報に、デジタル証明書を識別する証明書値が存在するか否かを判定し、
    前記証明書値が存在する場合には、当該証明書値と一致するデジタル証明書の有無を前記第1の記憶手段から確認し、当該証明書値と一致するデジタル証明書が有る場合に、当該デジタル証明書を選択し、
    前記証明書値が存在しない場合、又は前記証明書値と一致するデジタル証明書が無い場合には、選択された通信接続方式の設定情報に記述されているデジタル証明書の発行元の値の全部に一致し、発行先の値の一部に一致するデジタル証明書を前記第1の記憶手段から検索して、一致したデジタル証明書数を判定し、前記デジタル証明書数が1の場合には、検索されたデジタル証明書を選択し、前記デジタル証明書数が2以上の場合には、検索された2以上のデジタル証明書のうち指定された一のデジタル証明書を選択することにより、前記デジタル証明書の検索を実行することを特徴とする通信接続方式の選択方法。
  3. 所定の通信接続方式を選択してネットワークに接続する通信端末における通信接続方式の選択プログラムであって、
    前記通信端末に、
    認証に使用するデジタル証明書を、当該デジタル証明書の発行元及び発行先に関連付けて第1の記憶手段に記憶しておく第1の手順と、
    優先順位に応じた複数の通信接続方式の設定情報が記述されたプロファイル情報であって、当該複数の通信接続方式のうちデジタル証明書による認証を行う通信接続方式の設定情報には使用するデジタル証明書の発行元及び発行先が記述された前記プロファイル情報を第2の記憶手段に記憶しておく第2の手順と、
    過去に選択されたデジタル証明書に記述された情報を履歴情報として第3の記憶手段に保存しておく第3の手順と、
    前記ネットワークに接続する際に、前記第2の記憶手段から前記プロファイル情報を読み出して、優先順位が高い順に通信接続方式を選択する第4の手順と、
    選択された前記通信接続方式がデジタル証明書による認証を行う場合に、前記第1の記憶手段からデジタル証明書の検索を実行し、当該検索条件に合致するデジタル証明書の有無を受け付ける第5の手順と、
    前記合致するデジタル証明書が有る場合にはデジタル証明書による認証を行う通信接続方式を選択し、当該デジタル証明書が無い場合にはデジタル証明書による認証を行わない通信接続方式を選択する第6の手順と、を実行させ、
    前記第5の手順は、
    前記第3の記憶手段に保存されている履歴情報に、デジタル証明書を識別する証明書値が存在するか否かを判定し、
    前記証明書値が存在する場合には、当該証明書値と一致するデジタル証明書の有無を前記第1の記憶手段から確認し、当該証明書値と一致するデジタル証明書が有る場合に、当該デジタル証明書を選択し、
    前記証明書値が存在しない場合、又は前記証明書値と一致するデジタル証明書が無い場合には、選択された通信接続方式の設定情報に記述されているデジタル証明書の発行元の値の全部に一致し、発行先の値の一部に一致するデジタル証明書を前記第1の記憶手段から検索して、一致したデジタル証明書数を判定し、前記デジタル証明書数が1の場合には、検索されたデジタル証明書を選択し、前記デジタル証明書数が2以上の場合には、検索された2以上のデジタル証明書のうち指定された一のデジタル証明書を選択することにより、前記デジタル証明書の検索を実行することを特徴とする通信接続方式の選択プログラム。
JP2007065583A 2007-03-14 2007-03-14 通信接続方式の選択装置、方法及びプログラム Active JP4362138B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007065583A JP4362138B2 (ja) 2007-03-14 2007-03-14 通信接続方式の選択装置、方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007065583A JP4362138B2 (ja) 2007-03-14 2007-03-14 通信接続方式の選択装置、方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2008228089A JP2008228089A (ja) 2008-09-25
JP4362138B2 true JP4362138B2 (ja) 2009-11-11

Family

ID=39846135

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007065583A Active JP4362138B2 (ja) 2007-03-14 2007-03-14 通信接続方式の選択装置、方法及びプログラム

Country Status (1)

Country Link
JP (1) JP4362138B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2168068B1 (en) * 2007-06-11 2015-08-26 Telefonaktiebolaget L M Ericsson (publ) Method and arrangement for certificate handling
US8769257B2 (en) 2008-12-23 2014-07-01 Intel Corporation Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing
KR101678401B1 (ko) * 2010-07-20 2016-11-23 에스케이텔레콤 주식회사 가입자 멀티인증 시스템 및 그 방법
US20150326612A1 (en) * 2014-05-06 2015-11-12 Qualcomm Incorporated Techniques for network selection in unlicensed frequency bands
JP6290044B2 (ja) * 2014-08-29 2018-03-07 株式会社Nttドコモ 認証システム、認証サーバ、クライアント装置及び認証方法
JP6525714B2 (ja) * 2015-04-30 2019-06-05 キヤノン株式会社 通信装置、通信装置の制御方法及びプログラム
DE102019130351B4 (de) * 2019-11-11 2022-05-05 Bayerische Motoren Werke Aktiengesellschaft Kommunikationsmodul, Fortbewegungsmittel und Verfahren zum Betreiben eines Kommunikationsmoduls

Also Published As

Publication number Publication date
JP2008228089A (ja) 2008-09-25

Similar Documents

Publication Publication Date Title
JP4362138B2 (ja) 通信接続方式の選択装置、方法及びプログラム
JP4173866B2 (ja) 通信装置
TW595184B (en) Wide area network, access authentication system using the network, connection device for bridging, terminal equipment in connection with connector and access authentication method
JP4518190B2 (ja) 情報処理装置、認証システム及びプログラム
JP4738791B2 (ja) サービス提供システム、サービス提供装置、サービス提供方法、サービス提供プログラム、及び記録媒体
JP5821325B2 (ja) 画像形成システム
WO2014073363A1 (ja) ネットワーク印刷システムおよびネットワーク印刷用プログラム
US7540416B2 (en) Smart card authentication system with multiple card and server support
EP3543891B1 (en) A computer implemented method and a system for tracking of certified documents lifecycle and computer programs thereof
JP2005209181A (ja) ファイル管理システム及び管理方法
JP4584276B2 (ja) デジタル証明書検索装置、方法及びプログラム
JP4611988B2 (ja) 端末装置
JP2006018399A (ja) 情報処理装置、情報処理方法およびプログラム
JP3833652B2 (ja) ネットワークシステム、サーバ装置、および認証方法
US7536550B2 (en) Image forming apparatus and control method for same
JP2007041632A (ja) コンテンツアクセス方法および振分装置
CN108377500A (zh) 一种wifi网络连接方法、装置和设备
JP5311999B2 (ja) 利用者情報管理装置、利用者登録管理システム、利用者情報管理方法及び利用者情報管理プログラム
US20030163707A1 (en) Information management apparatus and method
CN107995212A (zh) 一种认证方法及装置
JP3870946B2 (ja) 無線接続確立方法及びそのシステム並びにそれに用いる無線装置制御端末
JP2011191934A (ja) 情報処理装置、情報処理装置の認証方法及びプログラム
JP4641840B2 (ja) アクセス制御装置、アクセス制御方法、及びプログラム
JP3608508B2 (ja) 会員管理システム
JP6844788B2 (ja) 情報通信システム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090410

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090424

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090623

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090721

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090814

R150 Certificate of patent or registration of utility model

Ref document number: 4362138

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120821

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130821

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350