JP5536628B2 - 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント - Google Patents
無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント Download PDFInfo
- Publication number
- JP5536628B2 JP5536628B2 JP2010284194A JP2010284194A JP5536628B2 JP 5536628 B2 JP5536628 B2 JP 5536628B2 JP 2010284194 A JP2010284194 A JP 2010284194A JP 2010284194 A JP2010284194 A JP 2010284194A JP 5536628 B2 JP5536628 B2 JP 5536628B2
- Authority
- JP
- Japan
- Prior art keywords
- wireless lan
- connection
- server
- access point
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 35
- 238000004891 communication Methods 0.000 claims description 25
- 238000012790 confirmation Methods 0.000 claims description 18
- 238000001914 filtration Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 238000013507 mapping Methods 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Description
本発明は、無線LAN(IEEE 802.11シリーズ)接続方法に関する。無線LANは、IEEE802.11シリーズとして標準化されている。シリーズの中にはIEEE802.11a/b/g/nなどが含まれるが、これらの違いは使用する周波数帯や変調方式の違いであり、その結果として伝送速度が異なる(非特許文献1)。
無線LANクライアントが無線LANアクセスポイントに接続するためには、無線LANクライアントは、ESSIDや暗号鍵などを事前に知っておき、さらに場合によっては、無線LANアクセスポイントにMACアドレスを登録しておかなければならない(MACアドレスフィルタリングを用いる場合)。
公衆無線LANサービスと呼ばれるサービスの中には、事前にユーザにESSIDや暗号鍵を通知しておき、無線LANクライアントが無線LANアクセスポイントに接続したときに、さらにWebでの認証を行わせるものもある。また場合によっては、暗号化を一切行わず、ESSIDを解放し(非ステルスモードでブロードキャストし)、無線LANアクセスポイントへの接続は誰でも自由に行わせ、インターネットアクセスは上記のようにWeb認証にて行うものもある。
また、スマートフォン等の携帯電話は、専用の回線(現在主流の第3世代ではCDMA−2000やWCDMA方式を用いる)による通信(音声通信やパケット通信)機能の他に、無線LAN機能を搭載したものが多く存在する。また、パソコンなども同様に、無線LAN機能の他に、携帯電話網(CDMA−2000やWCDMA方式の他WiMAXなどもある)への接続機能を併せ持つものも存在する。
IEEE802.11 IEEEComputer Society
IEEE802.1X IEEEComputer Society
上記スマートフォン等の携帯電話、およびパソコンのようなクライアント端末が、携帯電話網と無線LANへの接続機能を持つ場合を主に考える。携帯電話網は一般に広いカバレッジエリアを持ち、ほとんどすべての場所で通信可能である。一方無線LANは、通信速度は携帯網に比べて速いものの、アクセスポイントが設置された場所のすぐそば(たかだか100m以内程度)でしか接続できない。通信速度の観点、無線帯域の効率的利用の観点からも、携帯電話網と無線LANの両方に接続可能であれば、無線LANに接続した方がよいと考えられる。
例えば、自宅のようにクライアント自身に無線LANの設定を行える場合は、携帯電話網から無線LANへの接続切り替えは自動的に行える。しかし、公衆無線LANに接続しようとすれば、多くの場合ユーザはWeb画面にユーザIDやパスワードを入力しなければならない。さらには、公衆無線LANではなく、全くの個人的に設置された無線LANアクセスポイントがあったとしても、それを勝手に利用することなどはできなかった。クライアントの認証技術としては、IEEE 802.1Xとして標準化された手法がある。これは、RADIUSなどの一般的な認証サーバを利用して、クライアントが正しいユーザかどうかを無線LANへ接続手続きの前段階で行い、暗号鍵を発行するという方法である。しかしこの手法では、無線LANアクセスポイントを認証することができないため、個人宅など通信事業者が設置したものではない無線LANアクセスポイントでこのIEEE802.1Xを利用することは困難である。
したがって、本発明は、近くに存在するあらゆる無線LANアクセスポイントに接続することを可能とし、しかもWebによるユーザ認証を行わずにこれ実現する接続方法、無線LANクライアント、および無線LANアクセスポイントを提供することを目的とする。また、無線LANアクセスポイントの設置者は事前に特別な登録をすることなく、他人に対して無線LANの接続性を提供し、携帯電話事業者からそれに対して支払いを受けることも可能にする。
上記目的を実現するため本発明による無線LAN接続方法は、無線LANで無線LANアクセスポイントと通信するための第1の接続手段と、携帯電話網でサーバと通信するための第2の接続手段とを有する無線LANクライアントと、前記サーバと通信するためのサーバ接続手段を有する無線LANアクセスポイントと、前記無線LANアクセスポイントおよび前記無線LANクライアントと通信するためのネットワーク接続手段を有するサーバとを備える無線LANシステムであり、前記無線LANクライアントが、前記無線LANアクセスポイントに接続するための無線LAN接続方法であって、前記無線LANアクセスポイントが、接続サービスの提供を広告する広告ステップと、前記広告を受信した前記無線LANクライアントが、前記第2の接続手段で前記サーバに前記接続サービスを要求する接続要求ステップと、前記サーバが、前記要求を行った無線LANクライアントを認証し、前記無線LANアクセスポイントに、前記無線LANクライアントの受け入れを要求する受け入れ要求ステップと、前記無線LANアクセスポイントが、前記サーバに、前記無線LANクライアントの受け入れを許可する受け入れ許可ステップと、前記サーバが、前記無線LANクライアントに、前記無線LANアクセスポイントの受け入れ許可を通知する接続要求応答ステップと、前記無線LANクライアントが、前記無線LANアクセスポイントに接続する接続ステップとを含む。
また、前記受け入れ要求ステップで、前記無線LANクライアントを認証後、前記サーバが、前記無線LANアクセスポイントに接続サービスの提供を確認する確認ステップと、前記無線LANアクセスポイントが、前記サーバを前記サーバの公開鍵で認証し、前記接続サービスの提供の確認を応答する応答ステップとをさらに含むことも好ましい。
また、前記接続ステップの後、前記無線LANクライアントが、前記第1の接続手段で前記サーバに接続し、前記サーバに、前記無線LANアクセスポイントとの接続完了を通知する接続完了ステップをさらに含むことも好ましい。
また、前記無線LANクライアントが、前記接続要求ステップおよび前記接続完了ステップで、確認用乱数を前記サーバに送信し、前記サーバが、前記接続要求ステップで送信された確認用乱数と前記接続完了ステップで送信された確認用乱数を比較するステップをさらに含むことも好ましい。
また、前記無線LANアクセスポイントは、前記広告ステップで、前記サーバ接続手段のIPアドレスおよびポート番号を含むESSIDを用いて前記広告を行い、前記無線LANクライアントは、前記接続要求ステップで、前記IPアドレスおよび前記ポート番号を前記サーバに送信し、前記サーバは、前記受け入れ要求ステップで、前記IPアドレスおよび前記ポート番号を用いて、前記無線LANアクセスポイントに接続することも好ましい。
また、前記サーバは、前記受け入れ要求ステップで、前記認証を前記無線LANクライアントのユーザ名とパスワード、または証明書で行うことも好ましい。
また、前記無線LANアクセスポイントは、前記受け入れ許可ステップで、無線LAN接続のためのESSID、無線LAN暗号鍵および暗号種別を前記サーバに送信し、前記サーバは、前記接続要求応答ステップで、前記ESSID、前記無線LAN暗号鍵および前記暗号種別を前記無線LANクライアントに通知し、前記無線LANクライアントは、前記接続ステップで、前記ESSID、前記無線LAN暗号鍵および前記暗号種別を用いて前記無線LANアクセスポイントに接続することも好ましい。
また、前記無線LANクライアントが、前記接続要求ステップで前記第1の接続手段のMACアドレスを送信し、前記サーバが、前記受け入れ要求ステップで前記MACアドレスを送信し、前記無線LANアクセスポイントが、前記受け入れ許可ステップで前記MACアドレスを登録することも好ましい。
また、前記サーバから前記無線LANアクセスポイントへの通信は、前記サーバの公開鍵で暗号化され、前記無線LANアクセスポイントから前記サーバへの通信は、前記サーバの秘密鍵で暗号化されることも好ましい。
また、前記サーバ接続手段および前記ネットワーク接続手段は、インターネットに接続する手段であることも好ましい。
上記目的を実現するため本発明による無線LANクライアントは、無線LANで無線LANアクセスポイントと通信するための第1の接続手段と、携帯電話網でサーバと通信するための第2の接続手段とを備え、前記第1の接続手段で、前記無線LANアクセスポイントから接続サービスの提供の広告を受信し、前記第2の接続手段で、前記サーバに前記接続サービスを要求し、前記第2の接続手段で、前記サーバから受け入れ許可を受信し、前記第1の接続手段で、前記無線LANアクセスポイントに接続する。
上記目的を実現するため本発明による無線LANアクセスポイントは、インターネットを介してサーバと通信するためのサーバ接続手段と、無線LAN接続手段とを備え、前記無線LAN接続手段で接続サービスの提供を広告し、前記接続サービスを受信した無線LANクライアントからの要求を、前記サーバ接続手段で前記サーバから受信し、前記無線LANクライアントの受け入れ許可を、前記サーバに送信し、前記無線LAN接続手段が、前記無線LANクライアントに接続サービスを提供する。
本発明により、未知の無線LANアクセスポイントに対して、クライアントはその無線LANアクセスポイントに関する事前知識がなくても、Web経由のパスワード等を行わずに接続することが可能になる。この場合、無線LANの低レベル(MAC層)の改修が不要である。
また、無線LANアクセスポイントの設置者は、事前に通信事業者と契約を結んでいる必要がない。さらに、無線LANアクセスポイントの設置者は、事前に情報(IPアドレス、ポート番号、ESSID、暗号鍵)を通信事業者に登録しておく必要がない。
また、携帯電話の通信事業者(サーバ設置者)は、無線LANアクセスポイントがクライアントを収容したことに対する対価を支払うための情報を収集できる。
本発明を実施するための最良の実施形態について、以下では図面を用いて詳細に説明する。図1は、本発明のネットワーク構成の例を示す。本発明は、通常の無線LANの仕組みと同様に、無線LANアクセスポイント1(以下、AP)と無線LANクライアント2(以下、クライアント)を備えている。また、本発明では、さらにサーバ3、NATルータ4および携帯電話基地局5を備えている。
図2は、本発明のAP、クライアントとサーバのブロック図を示す。図2aは、AP1のブロック図を示し、AP1は、無線LAN接続部11、サーバ接続部12、サービス情報保持部13を備える。
無線LAN接続部11は、クライアント2と無線LANで接続する手段であり、サーバ接続部12はインターネットを介してサーバ3と接続する手段である。サービス情報保持部13は、本願発明の接続方法を提供するため、AP1が所持する情報であり、
・ESSID
・暗号鍵
・サービス情報
−サービス名
−サーバの公開鍵、
−AP識別子(サーバから割り振られる識別子)
−支払いを受けるのに必要な情報(口座番号など)
・自身に到達可能なグローバルIPアドレス
・ポート番号
・最大ユーザ数
・最大接続時間
・クライアントリスト
−MACアドレスと接続開始時刻
を保持している。
・ESSID
・暗号鍵
・サービス情報
−サービス名
−サーバの公開鍵、
−AP識別子(サーバから割り振られる識別子)
−支払いを受けるのに必要な情報(口座番号など)
・自身に到達可能なグローバルIPアドレス
・ポート番号
・最大ユーザ数
・最大接続時間
・クライアントリスト
−MACアドレスと接続開始時刻
を保持している。
AP1のクライアントリストは、現在接続中のクライアントを管理する。最大ユーザ数と最大接続時間は、このクライアントリストに追加できるクライアント数および各クライアントのexpire(満期)までの時間を指す。このリストはMACアドレスフィルタリングの削除に用いる(リストエントリがexpireしたときに、同時にMACアドレスフィルタリングの該当エントリを削除し、該MACアドレスを有するクライアントの接続を遮断する)。従って、MACアドレスフィルタリングを利用しないときは、クライアントリストや最大数、接続時間の設定はほとんど意味をなさない。
図2bは、クライアント2のブロック図を示し、クライアント2は、無線LAN接続部21、携帯電話網接続部22、サーバ情報保持部23を備える。
クライアント2は、無線LANへの接続機能である無線LAN接続部21の他に、携帯電話網(携帯網)への接続機能である携帯電話網接続部22を持つものとする。重要なのは、これから接続しようとするAP1とは全く独立に、サーバ3へ通信する手段を持っていることである。本発明ではそれを携帯網としている。
サーバ情報保持部23は、
・ユーザ名
・パスワード
・サービス名
・サーバアドレス(サーバのIPアドレス)
・サーバポート(サーバのポート番号)
・サーバの公開鍵
を保持している。
・ユーザ名
・パスワード
・サービス名
・サーバアドレス(サーバのIPアドレス)
・サーバポート(サーバのポート番号)
・サーバの公開鍵
を保持している。
図2cは、サーバ3のブロック図を示し、サーバ3は、ネットワーク接続部31、クライアント情報保持部32、課金情報データベース33を備える。
ネットワーク接続部31は、インターネットに接続され、ここを経由してAP1、クライアント2と通信することが可能である。特にAP1には、直接またはNATルータ4を介して、接続することが可能である。
サーバ3のクライアント情報保持部32は、
・クライアント情報
−ユーザ名、パスワード
−確認用乱数(接続が完了したことを確認するための情報)
を保持している。
・クライアント情報
−ユーザ名、パスワード
−確認用乱数(接続が完了したことを確認するための情報)
を保持している。
NATルータ4は、AP1が設置されたネットワークのゲートウェイルータを指し、例えば家庭に設置されたブロードバンドルータなどである。なお、NATルータ4の存在は本発明に必須の構成ではない(AP1がグローバルアドレスを持つのなら不要)。NATルータ4が設置されている場合には、AP1が設置されたネットワークはプライベートアドレスを持ち、NATルータ4はNATやNAPTなどアドレス変換機能を持っているものとする。従って、NATルータ4にはグローバルアドレス(インターネット側)とプライベートアドレス(AP側)が設定されており、AP1が持つ「自身に到達可能はグローバルIPアドレス」とはNATルータ4のグローバルアドレスを指す。さらに、NATルータ4はポートマッピング機能によって、インターネット側のグローバルアドレス宛のパケットは、その宛先ポート番号ごとにプライベートアドレス側のどのホストに転送するかを設定できるものとする。なお本発明では、このポートマッピング機能は、プライベートアドレス側のネットワークから送られるUPnPメッセージ(Universal Plug and Playメッセージ)によって制御できるものとする。また、AP1は、UPnPメッセージを利用して、NATルータ4が持つグローバルアドレスを知ることもできるものとする。もちろん、ポートマッピングおよびグローバルアドレスは、手動でNATルータ4から情報を取得してAP1に設定しておいてもよい。
携帯電話基地局5は、クライアント2の携帯電話網接続部22が携帯網に接続するための基地局である。この基地局はインターネットに接続され、クライアント1がサーバ3と携帯網を経由して接続することを可能とする。
通信事業者とクライアントおよびAPの関係を説明する。通信事業者とは、例えば携帯電話サービスや公衆無線LANを提供する事業者を指す。クライアントは、少なくとも1社のサービスに加入している。複数社のサービスに加入していたとしても、以下ではいずれか1社のサービスを利用するものとする。
本発明では、APに様々なクライアントが接続する。しかし、無制限にすべてのクライアントの接続を許すわけではなく、APの管理者があらかじめ受け入れを許可する通信事業者を決めておき、その通信事業者のサービスに加入しているクライアントのみがそのAPに接続できるようにする。さらに本発明では、クライアントを収容してくれたAPに対して、そのクライアントが加入している通信事業者から対価を支払うことを想定する(実際に課金をするかしない、定額制、従量制など課金の方法は本発明の範囲外である)。
APがどの通信事業者のクライアントの接続を受け入れるかは、サービス情報で決まる。つまり、AP管理者は、受け入れを許可する通信事業者のサービス名(通信事業者を識別するためのID)および支払いを受ける際に必要な情報(直接的に銀行口座に振り込むことを念頭に置くなら口座番号やカード番号を、またAP管理者もその通信事業者のユーザである場合には加入者番号でもよい)を事前にAPに設定しておく。2回目以降のアクセス時に処理を簡略化するために、初回のAPからのアクセス時にサーバ(通信事業者)から識別番号を払い出し、それもサービス情報に記録する。サービス情報には、複数のサービス名等の組を設定することも可能である。またこの場合には、サービス名毎にESSIDや暗号鍵(暗号方式も含む)を設定することを可能とする。サービス名としては、どこの通信事業者にも属さない(つまりスタンドアロンな)APとしてのサービスについてのサービス名も設定できるものとする。
AP管理者は、事前に通信事業者と契約を結んでおく必要はなく、クライアント受け入れの度に必要な情報をやり取りするのみである。ただし、どの通信事業者のクライアントに対して無線LANの接続性を提供するかは事前に決めておかなければならず、そのためには、サービス名およびサーバの公開鍵を入手しておかなければならない(例えば通信事業者がホームページにこれらの情報をアップしておき、AP管理者が希望する通信事業者からこれらの情報をダウンロードして設定すればよい)。
なお、クライアントは、本発明による無線LAN接続サービスを利用したい場合には、自身が加入する通信事業者のサービス名とサーバのIPアドレス、サーバのポート番号を知っておく必要がある。
図3は、クライアント接続時のシーケンスを示す。本図を参照して、クライアントの接続手順を以下に示す。なお前述の通り、APは自分自身がグローバルアドレスを持っているか、またはそのAPにインターネット側から到達するためのポートマッピングの情報(NATルータのグローバルアドレスとポート番号)を知っているものとする。
(1)広告
まず、APは定期的に接続サービスを提供していることを広告する。本発明では、次のようにESSIDを用いて広告する。なお、前述の通りAPは複数のESSIDを保持し広告できるものと仮定する。
まず、APは定期的に接続サービスを提供していることを広告する。本発明では、次のようにESSIDを用いて広告する。なお、前述の通りAPは複数のESSIDを保持し広告できるものと仮定する。
APが広告のために用いるESSIDは、サービス、グローバルIPアドレス、および待ち受けポート番号を含む。例えば、「SERVICE:100.99.98.97:1234」のようにする。このESSIDはセミコロンで区切られた3つの部分からなる。1番目のSERVICEは、本発明によるサービスを提供していることを示す文字列であり、すべてのAPおよびクライアントが共通して知っている(もちろん別の文字列でもよい)。2番目は、APに到達可能なグローバルIPアドレス、3番目はAPの待ち受けポート番号である。上記の例では、サーバは、宛先アドレス100.99.98.97、宛先ポート1234にパケットを送信することで、そのAPにパケットを到達させることができる。
(2)接続登録要求
APから広告を受け取ったクライアントは、サーバに接続登録要求メッセージを送り、そのクライアントがAPに接続できるよう設定を依頼する。ただし、例えば自宅のAPなど既知のAPで接続があらかじめ許可されているAPからの広告であれば以降の手順は不要であり、IEEE802.11等で規定された通常の接続を行えばいい。既知のAPではなかった場合、登録要求メッセージを携帯網経由でサーバに送付する。接続登録要求メッセージは以下の情報を含む。
・ユーザ名
・パスワード
・サービス名
・MACアドレス
・APアドレス
・APポート番号
・確認用乱数
APから広告を受け取ったクライアントは、サーバに接続登録要求メッセージを送り、そのクライアントがAPに接続できるよう設定を依頼する。ただし、例えば自宅のAPなど既知のAPで接続があらかじめ許可されているAPからの広告であれば以降の手順は不要であり、IEEE802.11等で規定された通常の接続を行えばいい。既知のAPではなかった場合、登録要求メッセージを携帯網経由でサーバに送付する。接続登録要求メッセージは以下の情報を含む。
・ユーザ名
・パスワード
・サービス名
・MACアドレス
・APアドレス
・APポート番号
・確認用乱数
ユーザ名とパスワードは、クライアントが通信事業者に登録している情報であり、通信事業者(サーバ)が正しくクライアントを識別できるものであればよい。従ってユーザ名とパスワードでなくとも、例えば証明書でもよい。サーバ(通信事業者)は、まずそのクライアントが本発明の無線LAN接続サービスに加入しているかどうかを確認する。
サービス名は、サーバがそれをチェックし、不正なサービス名(その通信事業者が指定していない文字列)だった場合には、要求を破棄する(接続登録失敗メッセージをクライアントに返答し、手順を終了する)。
MACアドレスはクライアントの無線LANインタフェースのMACアドレスであり、後の手順でサーバからAPに送る「受け入れ要求」にそのまま格納され、この時点ではこれらの情報は特に処理されない。
APアドレスとAPポート番号は、(1)の広告に含まれていた情報である。
確認用乱数は、後の登録完了メッセージ(図3の(7))で用いられる情報である。サーバは該当するクライアント情報にこの確認用乱数を登録する。
なお、接続要求(図3の(2))〜接続登録応答(図3の(5))までは1つのセッションであり、サーバはどのクライアントに接続登録応答メッセージを返すべきか等を管理しておかなければならない。またクライアントは、APアドレス、APポート番号、確認用乱数および後に取得するAP識別番号などを、当該APから切断するまで保持しておかなければならない。
(3)AP登録要求・AP登録応答
本発明では、通信事業者から無線LAN接続を提供したAP管理者への支払いが発生することを想定している(実際に支払いをするかどうかは本発明の範囲外である)。そのため、通信事業者はAPを正しく認識し、また実際に正しく無線LANの接続を提供したかを確認しなければならない。AP登録要求・AP登録応答(図3の(3a)、(3b))はそれを実現するためのメッセージである。
本発明では、通信事業者から無線LAN接続を提供したAP管理者への支払いが発生することを想定している(実際に支払いをするかどうかは本発明の範囲外である)。そのため、通信事業者はAPを正しく認識し、また実際に正しく無線LANの接続を提供したかを確認しなければならない。AP登録要求・AP登録応答(図3の(3a)、(3b))はそれを実現するためのメッセージである。
(3a)AP登録要求
サーバは、クライアントから受け取った接続登録要求メッセージの中の、APアドレス、APポート番号を宛先アドレス、宛先ポートとしてAP登録要求メッセージを送信する。AP登録要求メッセージは以下の情報を含む。
・サービス名
・サーバ証明書(サーバの公開鍵で確認する)
サーバは、クライアントから受け取った接続登録要求メッセージの中の、APアドレス、APポート番号を宛先アドレス、宛先ポートとしてAP登録要求メッセージを送信する。AP登録要求メッセージは以下の情報を含む。
・サービス名
・サーバ証明書(サーバの公開鍵で確認する)
サービス名は、通信事業者を識別するための識別子である。APはサービス情報の中から該当するサービス名が存在するかを確認する。もし存在しなければ、APはその通信事業者のクライアントに対して無線LANの接続性を提供しないので、AP登録応答で「接続拒否」を返す。
サーバ証明書は、このAP登録要求メッセージが本物のサーバから送られたものかを確認するために用いる。APはサーバ証明書を確認し、正しければ以降の手順を進める。不正であれば、これ以上何も処理しない(応答も返さない)。
(3b)AP登録応答
次に、APは自身の情報をサーバに登録するために、AP登録応答メッセージをサーバに送る。AP登録応答メッセージは以下の情報を含む。
・ステータス
・サーバ公開鍵による暗号化
−AP識別番号(もし持っていなければ空にしておく)
−支払いを受けるのに必要なID
次に、APは自身の情報をサーバに登録するために、AP登録応答メッセージをサーバに送る。AP登録応答メッセージは以下の情報を含む。
・ステータス
・サーバ公開鍵による暗号化
−AP識別番号(もし持っていなければ空にしておく)
−支払いを受けるのに必要なID
ステータスとは、登録要求を受け入れるか、却下するかを表すステータスコードである。却下の場合は、以降の情報を格納する必要はない。
AP識別番号と支払いを受けるのに必要なID情報は、まとめてサーバの公開鍵(APが事前に保有している)で暗号化する。サーバは対応する秘密鍵を持っているので、解読することができる。これによって、不正なサーバに対してID情報が漏れることを防ぐ。
AP識別番号は、後述する受け入れ要求に含まれる情報である。つまり、同じ通信事業者から2回目以降AP登録要求があった場合には、AP識別番号を付加することで、サーバがAPに関する情報を検索するのを簡略化できる。
支払いを受けるのに必要なIDは、(2)でも述べたように、そのAP管理者が実際に支払いを受けるのに必要な情報である。サーバはこの情報を課金データベースに登録する。もし新規の登録(AP識別番号が空)の場合には、新たにAP識別番号を発行する(AP識別子は、課金データベースのエントリの番号など、該当エントリへのアクセスを容易にするものであればよい)。
(4)受け入れ要求・受け入れ許可(受け入れ却下)
(4a)受け入れ要求
サーバは、クライアントが検知したAPに対して受け入れ要求メッセージを送付する。このメッセージの宛先には、APアドレスとAPポート番号を指定する。受け入れ要求メッセージは以下の情報を含む。
・サービス名
・サーバ秘密鍵による暗号化
−AP識別番号
−MACアドレス
(4a)受け入れ要求
サーバは、クライアントが検知したAPに対して受け入れ要求メッセージを送付する。このメッセージの宛先には、APアドレスとAPポート番号を指定する。受け入れ要求メッセージは以下の情報を含む。
・サービス名
・サーバ秘密鍵による暗号化
−AP識別番号
−MACアドレス
サーバは受け入れ要求メッセージの中の、AP識別子とMACアドレスをまとめて秘密鍵で暗号化する。受け入れ要求メッセージを受信したAPは、まずサービス名をチェックし、対応するサーバの公開鍵で暗号化された部分を解読し、AP識別番号とMACアドレスを得る。正しくメッセージが解読できたということは、正しいサーバから送られてきたメッセージだということがわかる。もし不正なサーバだった(正しく解読できなかった)場合には、メッセージを破棄する(応答も送らない)。
APはAP識別番号が未登録ならサービス情報の該当するサービス名に対応づけて登録する。
次にAPは取得したMACアドレスを、MACアドレスフィルタリング(許可)に設定する(もちろん、MACアドレスフィルタリングを設定しなくても良い)。さらに、クライアントリストに新たなクライアントとしてMACアドレスと現在時刻を登録する(重複していれば時刻のみ更新する)。
(4b)受け入れ許可(受け入れ却下)
そして、APは受け入れ許可メッセージをサーバに応答する。受け入れ許可メッセージは以下の情報を含む。
・ステータス
・サーバ公開鍵による暗号化
−AP識別番号
−ESSID
−無線LAN暗号鍵情報(暗号方式の種別と暗号鍵)
−最大接続時間
−IPアドレス
そして、APは受け入れ許可メッセージをサーバに応答する。受け入れ許可メッセージは以下の情報を含む。
・ステータス
・サーバ公開鍵による暗号化
−AP識別番号
−ESSID
−無線LAN暗号鍵情報(暗号方式の種別と暗号鍵)
−最大接続時間
−IPアドレス
ステータスとは、クライアントを受け入れるか、受け入れを拒否するか(またその理由)を表すステータスコードである。却下の場合は、以降の情報のうちIPアドレスのみを格納する。
ステータス以外の情報は、まとめてサーバの公開鍵(APが事前に保有しているはず)で暗号化する。サーバは対応する秘密鍵を持っているので、解読することができる。これによって、情報が不必要に漏れることを防ぐ。得られた情報のうち、ESSIDと暗号鍵情報、最大接続時間は、次の接続登録応答メッセージにそのまま格納される。IPアドレスは、接続登録応答メッセージの宛先アドレスである。
なお、クライアントリストに最大数のクライアントが登録され、これ以上受け入れることができない場合は受け入れ却下メッセージをサーバに返す。受け入れ却下メッセージには、IPアドレスだけを格納する。
(5)接続登録応答
サーバは、APから受け入れ許可メッセージを受け取ると、その内容を接続登録応答として携帯網経由でクライアントに返す。サーバは、セッションを正しく管理していれば、どのクライアントに接続登録応答メッセージを送ればよいかわかるはずである。登録応答メッセージは以下の情報を含む。
・ステータス
・AP識別番号
・ESSID
・無線LAN暗号鍵情報
・最大接続時間
サーバは、APから受け入れ許可メッセージを受け取ると、その内容を接続登録応答として携帯網経由でクライアントに返す。サーバは、セッションを正しく管理していれば、どのクライアントに接続登録応答メッセージを送ればよいかわかるはずである。登録応答メッセージは以下の情報を含む。
・ステータス
・AP識別番号
・ESSID
・無線LAN暗号鍵情報
・最大接続時間
ステータスはAPが接続を受け入れたかどうかを表すステータスコードであり、却下された場合には、ESSID以降の情報は格納しない。
クライアントは、得られたESSIDと暗号鍵を用いてAPに接続する。また、AP識別番号は、APから切断するまで保持しておく。
(6)無線LAN接続
APへの接続は、IEEE802.11等で規定されている通常の手順で行う。
APへの接続は、IEEE802.11等で規定されている通常の手順で行う。
(7)接続完了
APへの接続が完了すると、クライアントはAP経由で接続完了メッセージをサーバに送る。接続完了メッセージは以下の情報を含む。
・サーバ公開鍵による暗号化
−ユーザID
−AP識別番号
−確認用乱数
APへの接続が完了すると、クライアントはAP経由で接続完了メッセージをサーバに送る。接続完了メッセージは以下の情報を含む。
・サーバ公開鍵による暗号化
−ユーザID
−AP識別番号
−確認用乱数
上記メッセージはサーバの公開鍵で暗号化する。従って、正しいサーバしか解読できない。
確認用乱数は、接続登録要求メッセージ(2)にて、携帯網を経由してやり取りされた情報であるため、APはそれを知らないはずである。
サーバは、ユーザIDを元にクライアント情報を調べ、受信した確認用乱数と、クライアント情報にすでに登録されていた確認用乱数が等しいかをチェックする。等しければ、そのAP識別番号のAPが正しく無線LAN接続を提供したことを確認でき、課金を開始する(課金データベースに接続開始時刻などを登録する)。
(8)APからの離脱
クライアントが接続中のAPから離脱する場合、すなわちAPとの接続が切れて他のAPや携帯通信網へ接続した場合、クライアントはサーバ経由でAPにその旨を通知する。
クライアントからサーバへの接続解除要求メッセージは以下の情報を含む。
・MACアドレス
・サービス名
・APアドレス
・APポート番号
・AP識別子
クライアントが接続中のAPから離脱する場合、すなわちAPとの接続が切れて他のAPや携帯通信網へ接続した場合、クライアントはサーバ経由でAPにその旨を通知する。
クライアントからサーバへの接続解除要求メッセージは以下の情報を含む。
・MACアドレス
・サービス名
・APアドレス
・APポート番号
・AP識別子
これらの情報は、接続登録要求メッセージを送る際に用いたものと同じものである。従って前述の通りAPアドレス、APポート番号およびAP識別子の情報は接続解除が完了するまで(または別のAPに接続するまで)保持しておく必要がある。
この情報を受け取ったサーバは、課金データベースの該当APについてのエントリに接続が終了したことを記録する。
(8)解除要求
サーバからAPへの解除要求メッセージは以下の情報を含む。
・サービス名
・サーバ秘密鍵による暗号化
−MACアドレス
サーバからAPへの解除要求メッセージは以下の情報を含む。
・サービス名
・サーバ秘密鍵による暗号化
−MACアドレス
APはサービス名を元にサーバの公開鍵を取得し、それを用いて暗号を解読する。解読に成功すればMACアドレスを得るので、クライアントリストから該当するMACアドレスのエントリを削除するとともに、MACアドレスフィルタリングのエントリも削除する。
なお、万一このような登録削除の手順が行われなくても、クライアントリスの各エントリは一定時間でexpireするため、永遠にエントリが残ることはない(クライアントリストからエントリを消すときに、必ずMACアドレスフィルタリングからもエントリを削除する)。
再接続(接続更新)を行う場合
クライアントは、接続開始から接続登録応答メッセージで指定された最大接続時間が過ぎる前に、再度接続手順を行うことで、接続を更新できる(どのタイミングで再接続するかは任意)。
クライアントは、接続開始から接続登録応答メッセージで指定された最大接続時間が過ぎる前に、再度接続手順を行うことで、接続を更新できる(どのタイミングで再接続するかは任意)。
また、以上述べた実施形態は全て本発明を例示的に示すものであって限定的に示すものではなく、本発明は他の種々の変形態様および変更態様で実施することができる。従って本発明の範囲は特許請求の範囲およびその均等範囲によってのみ規定されるものである。
1 無線LANアクセスポイント(AP)
11 無線LAN接続部
12 サーバ接続部
13 サービス情報保持部
2 無線LANクライアント(クライアント)
21 無線LAN接続部
22 携帯電話網接続部
23 サーバ情報保持部
3 サーバ
31 ネットワーク接続部
32 クライアント情報保持部
33 課金情報データベース
4 NATルータ
5 携帯電話基地局
11 無線LAN接続部
12 サーバ接続部
13 サービス情報保持部
2 無線LANクライアント(クライアント)
21 無線LAN接続部
22 携帯電話網接続部
23 サーバ情報保持部
3 サーバ
31 ネットワーク接続部
32 クライアント情報保持部
33 課金情報データベース
4 NATルータ
5 携帯電話基地局
Claims (12)
- 無線LANで無線LANアクセスポイントと通信するための第1の接続手段と、携帯電話網でサーバと通信するための第2の接続手段とを有する無線LANクライアントと、
前記サーバと通信するためのサーバ接続手段を有する無線LANアクセスポイントと、
前記無線LANアクセスポイントおよび前記無線LANクライアントと通信するためのネットワーク接続手段を有するサーバと、
を備える無線LANシステムであり、
前記無線LANクライアントが、前記無線LANアクセスポイントに接続するための無線LAN接続方法であって、
前記無線LANアクセスポイントが、接続サービスの提供を広告する広告ステップと、
前記広告を受信した前記無線LANクライアントが、前記第2の接続手段で前記サーバに前記接続サービスを要求する接続要求ステップと、
前記サーバが、前記要求を行った無線LANクライアントを認証し、前記無線LANアクセスポイントに、前記無線LANクライアントの受け入れを要求する受け入れ要求ステップと、
前記無線LANアクセスポイントが、前記サーバに、前記無線LANクライアントの受け入れを許可する受け入れ許可ステップと、
前記サーバが、前記無線LANクライアントに、前記無線LANアクセスポイントの受け入れ許可を通知する接続要求応答ステップと、
前記無線LANクライアントが、前記無線LANアクセスポイントに接続する接続ステップと、
を含むことを特徴とする無線LAN接続方法。 - 前記受け入れ要求ステップで、前記無線LANクライアントを認証後、
前記サーバが、前記無線LANアクセスポイントに接続サービスの提供を確認する確認ステップと、
前記無線LANアクセスポイントが、前記サーバを前記サーバの公開鍵で認証し、前記接続サービスの提供の確認を応答する応答ステップと、
をさらに含むことを特徴とする請求項1に記載の無線LAN接続方法。 - 前記接続ステップの後、
前記無線LANクライアントが、前記第1の接続手段で前記サーバに接続し、前記サーバに、前記無線LANアクセスポイントとの接続完了を通知する接続完了ステップをさらに含むことを特徴とする請求項1または2に記載の無線LAN接続方法。 - 前記無線LANクライアントが、前記接続要求ステップおよび前記接続完了ステップで、確認用乱数を前記サーバに送信し、
前記サーバが、前記接続要求ステップで送信された確認用乱数と前記接続完了ステップで送信された確認用乱数を比較するステップをさらに含むことを特徴とする請求項3に記載の無線LAN接続方法。 - 前記無線LANアクセスポイントは、前記広告ステップで、前記サーバ接続手段のIPアドレスおよびポート番号を含むESSIDを用いて前記広告を行い、
前記無線LANクライアントは、前記接続要求ステップで、前記IPアドレスおよび前記ポート番号を前記サーバに送信し、
前記サーバは、前記受け入れ要求ステップで、前記IPアドレスおよび前記ポート番号を用いて、前記無線LANアクセスポイントに接続することを特徴とする請求項1から4のいずれか1項に記載の無線LAN接続方法。 - 前記サーバは、前記受け入れ要求ステップで、前記認証を前記無線LANクライアントのユーザ名とパスワード、または証明書で行うことを特徴とする請求項1から5のいずれか1項に記載の無線LAN接続方法。
- 前記無線LANアクセスポイントは、前記受け入れ許可ステップで、無線LAN接続のためのESSID、無線LAN暗号鍵および暗号種別を前記サーバに送信し、
前記サーバは、前記接続要求応答ステップで、前記ESSID、前記無線LAN暗号鍵および前記暗号種別を前記無線LANクライアントに通知し、
前記無線LANクライアントは、前記接続ステップで、前記ESSID、前記無線LAN暗号鍵および前記暗号種別を用いて前記無線LANアクセスポイントに接続することを特徴とする請求項1から6のいずれか1項に記載の無線LAN接続方法。 - 前記無線LANクライアントが、前記接続要求ステップで前記第1の接続手段のMACアドレスを送信し、
前記サーバが、前記受け入れ要求ステップで前記MACアドレスを送信し、
前記無線LANアクセスポイントが、前記受け入れ許可ステップで前記MACアドレスを登録することを特徴とする請求項1から7のいずれか1項に記載の無線LAN接続方法。 - 前記サーバから前記無線LANアクセスポイントへの通信は、前記サーバの公開鍵で暗号化され、
前記無線LANアクセスポイントから前記サーバへの通信は、前記サーバの秘密鍵で暗号化されることを特徴とする請求項1から8のいずれか1項に記載の無線LAN接続方法。 - 前記サーバ接続手段および前記ネットワーク接続手段は、インターネットに接続する手段であることを特徴とする請求項1から9のいずれか1項に記載の無線LAN接続方法。
- 無線LANで無線LANアクセスポイントと通信するための第1の接続手段と、
携帯電話網でサーバと通信するための第2の接続手段と、
を備え、
前記第1の接続手段で、前記無線LANアクセスポイントから接続サービスの提供の広告を受信し、前記第2の接続手段で、前記サーバに前記接続サービスを要求し、前記第2の接続手段で、前記サーバから受け入れ許可を受信し、前記第1の接続手段で、前記無線LANアクセスポイントに接続することを特徴とする無線LANクライアント。 - インターネットを介してサーバと通信するためのサーバ接続手段と、
無線LAN接続手段と、
を備え、
前記無線LAN接続手段で接続サービスの提供を広告し、前記接続サービスを受信した無線LANクライアントからの要求を、前記サーバ接続手段で前記サーバから受信し、前記無線LANクライアントの受け入れ許可を、前記サーバに送信し、前記無線LAN接続手段が、前記無線LANクライアントに接続サービスを提供することを特徴とする無線LANアクセスポイント。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010284194A JP5536628B2 (ja) | 2010-12-21 | 2010-12-21 | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010284194A JP5536628B2 (ja) | 2010-12-21 | 2010-12-21 | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012134703A JP2012134703A (ja) | 2012-07-12 |
| JP5536628B2 true JP5536628B2 (ja) | 2014-07-02 |
Family
ID=46649790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010284194A Expired - Fee Related JP5536628B2 (ja) | 2010-12-21 | 2010-12-21 | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5536628B2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5349665B1 (ja) * | 2012-09-28 | 2013-11-20 | ソフトバンクモバイル株式会社 | 端末、その制御方法、及び制御プログラム |
| JP6163808B2 (ja) * | 2013-03-22 | 2017-07-19 | ヤマハ株式会社 | 無線ネットワークシステム、端末管理装置、および無線中継装置 |
| JP6099496B2 (ja) * | 2013-06-24 | 2017-03-22 | Kddi株式会社 | 管理装置及びプログラム |
| JP6326735B2 (ja) * | 2013-08-23 | 2018-05-23 | 株式会社バッファロー | 無線通信システム、無線接続装置、方法、コンピュータプログラム |
| WO2016026124A1 (zh) | 2014-08-21 | 2016-02-25 | 华为技术有限公司 | 无线网络接入控制方法及设备、系统 |
| US9755837B2 (en) * | 2015-03-17 | 2017-09-05 | Qualcomm Incorporated | Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials |
| CN105246074A (zh) | 2015-10-29 | 2016-01-13 | 小米科技有限责任公司 | 建立连接的方法及装置 |
| JP6874386B2 (ja) | 2017-01-23 | 2021-05-19 | カシオ計算機株式会社 | 通信機器、通信システム及び通信方法 |
| WO2018207027A2 (en) * | 2017-05-11 | 2018-11-15 | Airties Kablosuz Iletisim Sanayi Ve Dis Ticaret A.S. | Cloud based wifi network setup for multiple access points |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI260874B (en) * | 2001-03-26 | 2006-08-21 | Ntt Docomo Inc | Method and apparatus for providing communication service |
| JP4080224B2 (ja) * | 2002-03-11 | 2008-04-23 | 三菱電機株式会社 | 移動体通信装置及び通信装置管理装置及び移動体通信網/近距離無線連携システム及び移動体通信装置の通信方法及び通信装置管理方法及び移動体通信網/近距離無線連携方法及びコンピュータに実行させるためのプログラム及びコンピュータに実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP3964338B2 (ja) * | 2003-03-07 | 2007-08-22 | 株式会社エヌ・ティ・ティ・ドコモ | 通信ネットワークシステム、通信端末機、認証装置、認証サーバ、及び電子認証方法 |
| JP4339211B2 (ja) * | 2004-08-31 | 2009-10-07 | シャープ株式会社 | 通信装置および通信システム |
| JP4892884B2 (ja) * | 2005-08-01 | 2012-03-07 | 日本電気株式会社 | 無線lan内蔵型携帯電話端末、携帯電話システムおよびその個人情報保護方法 |
| JP2007306312A (ja) * | 2006-05-11 | 2007-11-22 | Nippon Telegraph & Telephone East Corp | 無線通信接続システム |
| JP5112161B2 (ja) * | 2008-04-25 | 2013-01-09 | 京セラ株式会社 | 通信システム、通信方法、無線通信端末及び基地局 |
| JP2010250429A (ja) * | 2009-04-13 | 2010-11-04 | Olympus Corp | 課金及び/又は認証管理方法 |
-
2010
- 2010-12-21 JP JP2010284194A patent/JP5536628B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012134703A (ja) | 2012-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5536628B2 (ja) | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| CN107409137B (zh) | 用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法 | |
| US8145193B2 (en) | Session key management for public wireless LAN supporting multiple virtual operators | |
| US8091116B2 (en) | Communication system and method | |
| JP4666169B2 (ja) | 信頼されないアクセス局を介した通信方法 | |
| EP2425646B1 (en) | Network access nodes | |
| EP2347625B1 (en) | Communication system and method | |
| WO2009152749A1 (zh) | 一种绑定认证的方法、系统和装置 | |
| JP2011024065A (ja) | 暗号化通信システム及びゲートウェイ装置 | |
| JP2015503303A (ja) | セキュリティで保護された通信システムおよび通信方法 | |
| US20110055409A1 (en) | Method For Network Connection | |
| JP2008042862A (ja) | 無線lan通信システム及びその方法並びにプログラム | |
| CN111132305B (zh) | 5g用户终端接入5g网络的方法、用户终端设备及介质 | |
| CN114070597B (zh) | 一种专网跨网认证方法及装置 | |
| JP2006229265A (ja) | ゲートウェイシステム | |
| JP5670926B2 (ja) | 無線lanのアクセスポイントの端末アクセス制御システム及び認可サーバ装置 | |
| WO2022270228A1 (ja) | Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム | |
| JP7076050B1 (ja) | Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム | |
| JP7076051B1 (ja) | Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム | |
| JP5589983B2 (ja) | アクセスポイント | |
| JP2003304254A (ja) | 無線通信システム、基地局、サーバ、情報処理プログラムおよび無線通信制御方法 | |
| JP6205391B2 (ja) | アクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130408 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20130524 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130603 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130823 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140205 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140403 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140423 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5536628 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140424 |
|
| LAPS | Cancellation because of no payment of annual fees |