JP5813830B1 - Communications system - Google Patents

Communications system Download PDF

Info

Publication number
JP5813830B1
JP5813830B1 JP2014130744A JP2014130744A JP5813830B1 JP 5813830 B1 JP5813830 B1 JP 5813830B1 JP 2014130744 A JP2014130744 A JP 2014130744A JP 2014130744 A JP2014130744 A JP 2014130744A JP 5813830 B1 JP5813830 B1 JP 5813830B1
Authority
JP
Japan
Prior art keywords
communication
policy
terminal device
communication terminal
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014130744A
Other languages
Japanese (ja)
Other versions
JP2016010072A (en
Inventor
土屋 仁
仁 土屋
隆文 岡庭
隆文 岡庭
聡 宮田
聡 宮田
明史 鎌田
明史 鎌田
輝哉 今川
輝哉 今川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
SoftBank Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SoftBank Corp filed Critical SoftBank Corp
Priority to JP2014130744A priority Critical patent/JP5813830B1/en
Application granted granted Critical
Publication of JP5813830B1 publication Critical patent/JP5813830B1/en
Publication of JP2016010072A publication Critical patent/JP2016010072A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】通信端末装置及び通信ネットワークの負荷を増大させることなく、通信ポリシー情報に基づいて無線LANの中継装置を介した通信を制御可能な通信端末装置、通信システム及びその方法を提供する。【解決手段】認証サーバ40は、利用者識別情報とアクセスポイント識別情報とを含む認証要求を通信端末装置10から受信し、利用者識別情報に基づいて利用者認証処理を行い、アクセスポイント識別情報を含むポリシー確認要求をポリシーサーバ50に送信し、アクセスポイント20に対する通信ポリシー情報をポリシーサーバ50から受信し、利用者認証処理の結果と通信ポリシー情報とに基づいて認証応答を通信端末装置10に送信する。ポリシーサーバ50はポリシー確認要求を認証サーバ40から受信し、アクセスポイント識別情報に基づいてアクセスポイント20に対する通信ポリシー情報又は接続可否情報を含むポリシー確認応答を認証サーバ40に送信する。【選択図】図3Provided are a communication terminal device, a communication system, and a method thereof capable of controlling communication via a wireless LAN relay device based on communication policy information without increasing the load on the communication terminal device and the communication network. An authentication server receives an authentication request including user identification information and access point identification information from a communication terminal device, performs user authentication processing based on the user identification information, and performs access point identification information. Is transmitted to the policy server 50, communication policy information for the access point 20 is received from the policy server 50, and an authentication response is sent to the communication terminal device 10 based on the result of the user authentication process and the communication policy information. Send. The policy server 50 receives the policy confirmation request from the authentication server 40, and transmits a policy confirmation response including communication policy information or connection availability information for the access point 20 to the authentication server 40 based on the access point identification information. [Selection] Figure 3

Description

本発明は、無線LANの中継装置を介して通信ネットワークに接続可能な通信端末装置及び通信システムに関するものである。   The present invention relates to a communication terminal device and a communication system that can be connected to a communication network via a wireless LAN relay device.

従来、無線LAN(Local Area Network)の通信機能を有する携帯電話機やスマートフォンなどの通信端末装置が知られている。利用者は通信端末装置に組み込まれた無線LANの通信機能を利用して、例えば街中のファーストフード店や駅の構内などに設置された無線LANの中継装置であるWi−Fi(登録商標)等のアクセスポイントにアクセスし、所定の認証処理の後、そのアクセスポイントを介してバックボーンの通信ネットワークに接続することができる。   Conventionally, a communication terminal device such as a mobile phone or a smartphone having a wireless LAN (Local Area Network) communication function is known. A user uses a wireless LAN communication function incorporated in a communication terminal device, for example, Wi-Fi (registered trademark), which is a wireless LAN relay device installed in a fast food restaurant or a station premises in a city. Access point, and after a predetermined authentication process, the access point can be connected to the backbone communication network.

上記無線LANの通信機能を有する通信端末装置は、その通信端末装置からアクセス可能なアクセスポイントの種別情報(例えば、ESSID:Extended Service Set Identifier)、通信経路確立処理時や認証処理時におけるタイムアウト時間、アクセス可能な受信信号強度(RSSI:Received Signal Strength Indicator)の閾値などを含む通信ポリシー情報が格納され、その通信ポリシー情報に基づいてアクセスポイントを介した通信が制御される。例えば、上記通信ポリシー情報に含まれる種別情報で指定された特定種類のアクセスポイント(例えば、特定の通信サービス提供業者のアクセスポイント)に対してのみアクセス可能に制御される。また、無線LANのアクセスポイントを介した通信ネットワーク側のゲートウェイとの通信開始時に計時を開始し、ゲートウェイにおける通信経路の確立前に所定のタイムアウト時間が経過したと判定した場合にはアクセスポイントとの接続を切断する携帯端末も知られている(特許文献1参照)。   The communication terminal device having the wireless LAN communication function includes access point type information accessible from the communication terminal device (for example, ESSID: Extended Service Set Identifier), a timeout time during communication path establishment processing and authentication processing, Communication policy information including a threshold of accessible received signal strength (RSSI) is stored, and communication via the access point is controlled based on the communication policy information. For example, it is controlled to be accessible only to a specific type of access point (for example, an access point of a specific communication service provider) designated by the type information included in the communication policy information. In addition, it starts timing when communication with the gateway on the communication network side via the access point of the wireless LAN is started, and when it is determined that a predetermined time-out period has elapsed before establishing the communication path in the gateway, A portable terminal that disconnects the connection is also known (see Patent Document 1).

上記通信端末装置に格納されている通信ポリシー情報は、例えば所定のサーバから通信ネットワークを介して定期的に通信端末装置に配信されることにより更新される。しかしながら、このように通信端末装置へ定期的に配信される通信ポリシー情報は、その通信端末装置がアクセスする可能性がある複数のアクセスポイントについて適用される比較的データサイズが大きな通信ポリシー情報であるため、通信ポリシー情報の配信によって通信ネットワークや通信端末装置における負荷が増大するおそれがある。   The communication policy information stored in the communication terminal device is updated by, for example, being periodically distributed from a predetermined server to the communication terminal device via a communication network. However, the communication policy information periodically distributed to the communication terminal device in this way is communication policy information having a relatively large data size applied to a plurality of access points that the communication terminal device may access. Therefore, there is a possibility that the load on the communication network and the communication terminal device may increase due to the distribution of the communication policy information.

本発明は以上の問題点に鑑みなされたものであり、その目的は、通信端末装置及び通信ネットワークにおける負荷を増大させることなく、通信ポリシー情報に基づいて無線LANの中継装置を介した通信を制御可能な通信端末装置及び通信システムを提供することである。   The present invention has been made in view of the above problems, and an object of the present invention is to control communication via a wireless LAN relay device based on communication policy information without increasing the load on the communication terminal device and the communication network. A communication terminal device and a communication system are provided.

本発明の一態様に係る通信システムは、無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に関する通信ポリシー情報を管理するポリシー管理装置と、を備え、前記認証処理装置は、通信端末装置の利用者を識別可能な利用者識別情報と該通信端末装置が接続する中継装置を識別可能な装置識別情報とを含む認証要求を該通信端末装置から受信する手段と、前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、前記装置識別情報を含むポリシー確認要求を前記ポリシー管理装置に送信する手段と、前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定された該中継装置への接続可否情報を含むポリシー確認応答を前記ポリシー管理装置から受信する手段と、前記利用者認証処理の結果と、前記ポリシー確認応答に含まれる前記通信ポリシー情報又は前記接続可否情報とに基づいて、前記認証要求に対する認証応答を前記通信端末装置に送信する手段と、を備え、前記ポリシー管理装置は、前記装置識別情報を含むポリシー確認要求を前記認証処理装置から受信する手段と、前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報を含むポリシー確認応答を、前記認証処理装置に送信する手段と、を備える。
前記通信システムにおいて、前記認証処理装置は、前記利用者認証処理が成功した場合に、前記ポリシー確認要求を前記ポリシー管理装置に送信し、前記利用者認証処理が失敗した場合に、前記ポリシー確認要求を前記ポリシー管理装置に送信しないようにしてもよい。
また、本発明の他の態様に係る通信システムは、無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に関する通信ポリシー情報を管理するポリシー管理装置と、を備え、前記認証処理装置は、前記通信ポリシー情報を記憶する手段と、前記ポリシー管理装置から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段と、通信端末装置の利用者を識別可能な利用者識別情報と該通信端末装置が接続する中継装置を識別可能な装置識別情報とを含む認証要求を該通信端末装置から受信する手段と、前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、前記利用者認証処理の結果と、前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報とを含む、前記認証要求に対する認証応答を前記通信端末装置に送信する手段と、を備え、前記ポリシー管理装置は、更新対象の通信ポリシー情報を前記認証処理装置に送信する手段を備える。
また、前記通信システムにおいて、前記認証要求は、前記通信端末装置の機種情報及び前記中継装置の種別情報の少なくとも一つを含んでもよい。 A communication system according to an aspect of the present invention is a communication system that can be connected to a communication network from a communication terminal device via a relay device of a wireless LAN, from the communication terminal device to the communication network via the relay device. An authentication processing device that executes authentication processing at the time of connection, and a policy management device that manages communication policy information related to communication between the communication terminal device and a communication network via the relay device, and the authentication processing device Means for receiving from the communication terminal device an authentication request including user identification information capable of identifying a user of the terminal device and device identification information capable of identifying a relay device connected to the communication terminal device; User authentication processing for determining whether or not communication via the relay device is permitted by the user of the communication terminal device based on the included user identification information Means for transmitting a policy confirmation request including the device identification information to the policy management device, communication policy information for the relay device, or information on whether or not to connect to the relay device determined based on the communication policy information Based on the means for receiving a policy confirmation response from the policy management device, the result of the user authentication process, and the communication policy information or the connection availability information included in the policy confirmation response. Means for transmitting an authentication response to the communication terminal device, wherein the policy management device receives a policy confirmation request including the device identification information from the authentication processing device, and searches based on the device identification information. Communication policy information for the relay device obtained in the above or the relay determined based on the communication policy information The policy acknowledgment including the connection permission information to the location, and means for transmitting to said authentication device.
In the communication system, the authentication processing device transmits the policy confirmation request to the policy management device when the user authentication processing is successful, and the policy confirmation request when the user authentication processing fails. May not be transmitted to the policy management apparatus.
A communication system according to another aspect of the present invention is a communication system connectable from a communication terminal device to a communication network via a wireless LAN relay device, and communicates from the communication terminal device via the relay device. An authentication processing device that executes authentication processing when connected to a network; and a policy management device that manages communication policy information related to communication between the communication terminal device and a communication network via the relay device, and the authentication processing device. Can identify means for storing the communication policy information, means for receiving communication policy information to be updated from the policy management apparatus, updating the stored communication policy information, and a user of the communication terminal apparatus An authentication request including the user identification information and the device identification information capable of identifying the relay device connected to the communication terminal device. Means for receiving from the user, and means for performing user authentication processing for determining whether or not communication via the relay device is permitted by a user of the communication terminal device based on user identification information included in the authentication request; and A result of user authentication processing, and communication policy information for the relay device obtained by searching based on the device identification information or connection permission information to the relay device determined based on the communication policy information, Means for transmitting an authentication response to the authentication request to the communication terminal device, and the policy management device comprises means for transmitting communication policy information to be updated to the authentication processing device.
In the communication system, the authentication request may include at least one of model information of the communication terminal device and type information of the relay device.

本発明の更に他の態様に係る通信システムは、無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置と、を備え、前記認証処理装置は、通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を、該通信端末装置から受信する手段と、前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、前記利用者認証処理の結果を含む認証応答を前記通信端末装置に送信する手段と、を備え、前記ポリシー管理装置は、前記通信端末装置が接続する中継装置を識別可能な装置識別情報を含むポリシー確認要求を該通信端末装置から受信する手段と、前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定された該中継装置への接続可否情報を含むポリシー確認応答を、前記通信端末装置に送信する手段と、を備える。
前記通信システムにおいて、前記ポリシー管理装置は、前記認証処理装置による前記利用者認証処理が成功した場合に、前記ポリシー確認要求を該通信端末装置から受信し、前記認証処理装置による前記利用者認証処理が失敗した場合に、前記ポリシー確認要求を該通信端末装置から受信しないようにしてもよい。
また、本発明の更に他の態様に係る通信システムは、無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置と、を備え、前記中継装置は、前記通信端末装置からアソシエーション要求を受信する手段と、前記アソシエーション要求に基づいて、当該中継装置を識別可能な装置識別情報を含むポリシー確認要求を前記ポリシー管理装置に送信する手段と、前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定された該中継装置への接続可否情報を含むポリシー確認応答を、前記ポリシー管理装置から受信する手段と、前記ポリシー確認応答に含まれる前記通信ポリシー情報又は前記接続可否情報を含むアソシエーション応答を、前記通信端末装置に送信する手段と、を備え、前記認証処理装置は、前記アソシエーション応答を受信した通信端末装置から、前記通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を受信する手段と、前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、前記利用者認証処理の結果を含む認証応答を前記通信端末装置に送信する手段と、を備え、前記ポリシー管理装置は、前記装置識別情報を含むポリシー確認要求を前記中継装置から受信する手段と、前記装置識別情報に基づいて検索した前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報を含むポリシー確認応答を、該中継装置に送信する手段と、を備える。
また、本発明の更に他の態様に係る通信システムは、無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置と、前記中継装置を管理する中継装置管理装置と、を備え、前記中継装置管理装置は、前記中継装置を介して前記通信端末装置からアソシエーション要求を受信する手段と、前記アソシエーション要求に基づいて、前記中継装置を識別可能な装置識別情報を含むポリシー確認要求を前記ポリシー管理装置に送信する手段と、前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定された該中継装置への接続可否情報を含むポリシー確認応答を、前記ポリシー管理装置から受信する手段と、前記ポリシー確認応答に含まれる前記通信ポリシー情報又は前記接続可否情報を含むアソシエーション応答を、前記中継装置を介して前記通信端末装置に送信する手段と、を備え、前記認証処理装置は、前記アソシエーション応答を受信した通信端末装置から、前記通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を受信する手段と、前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、前記利用者認証処理の結果を含む認証応答を前記通信端末装置に送信する手段と、を備え、前記ポリシー管理装置は、前記装置識別情報を含むポリシー確認要求を前記中継装置管理装置から受信する手段と、前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報を含むポリシー確認応答を、前記中継装置管理装置に送信する手段と、を備える。
また、前記通信システムにおいて、前記ポリシー確認要求は、前記通信端末装置の利用者を識別可能な利用者識別情報、前記通信端末装置の機種情報及び前記中継装置の種別情報の少なくとも一つを含んでもよい。 A communication system according to yet another aspect of the present invention is a communication system that can be connected to a communication network from a communication terminal device via a wireless LAN relay device, the communication terminal device via the relay device to the communication network. An authentication processing device that executes an authentication process when connected to a network, and a policy management device that manages communication policy information for communication between the communication terminal device and a communication network via the relay device, the authentication processing device comprising: A means for receiving from the communication terminal device an authentication request including user identification information capable of identifying a user of the communication terminal device, and based on the user identification information included in the authentication request, Means for performing user authentication processing for determining whether or not communication is permitted by the user via the relay device; and an authentication response including a result of the user authentication processing. Means for transmitting to the communication terminal device, wherein the policy management device receives from the communication terminal device a policy confirmation request including device identification information that can identify the relay device to which the communication terminal device is connected. A policy confirmation response including communication policy information for the relay device obtained by searching based on the device identification information or connection permission / inhibition information to the relay device determined based on the communication policy information; Means for transmitting to the apparatus.
In the communication system, the policy management device receives the policy confirmation request from the communication terminal device when the user authentication processing by the authentication processing device is successful, and the user authentication processing by the authentication processing device. May fail to receive the policy confirmation request from the communication terminal device.
A communication system according to still another aspect of the present invention is a communication system connectable from a communication terminal device to a communication network via a wireless LAN relay device, from the communication terminal device via the relay device. An authentication processing device that executes authentication processing when connected to a communication network; and a policy management device that manages communication policy information for communication between the communication terminal device and the communication network via the relay device, the relay device Means for receiving an association request from the communication terminal device, means for transmitting a policy confirmation request including device identification information capable of identifying the relay device to the policy management device based on the association request, and the relay Communication policy information for a device or the relay device determined based on the communication policy information Means for receiving a policy confirmation response including connection permission information from the policy management apparatus; and means for transmitting the communication policy information included in the policy confirmation response or an association response including the connection permission information to the communication terminal apparatus And the authentication processing device receives, from the communication terminal device that has received the association response, an authentication request including user identification information that can identify a user of the communication terminal device; and the authentication request Means for performing user authentication processing for determining whether or not communication via the relay device is permitted by the user of the communication terminal device based on the user identification information included in the authentication, and authentication including a result of the user authentication processing Means for transmitting a response to the communication terminal device, wherein the policy management device includes a policy confirmation request including the device identification information. A policy confirmation response including means for receiving from the relay device, and communication policy information for the relay device searched based on the device identification information or connection permission information to the relay device determined based on the communication policy information, Means for transmitting to the relay device.
A communication system according to still another aspect of the present invention is a communication system connectable from a communication terminal device to a communication network via a wireless LAN relay device, from the communication terminal device via the relay device. An authentication processing device that executes authentication processing when connected to a communication network, a policy management device that manages communication policy information for communication between the communication terminal device and the communication network via the relay device, and the relay device A relay device management device, wherein the relay device management device is configured to receive an association request from the communication terminal device via the relay device, and to identify the relay device based on the association request Means for transmitting a policy confirmation request including identification information to the policy management device; Communication policy information or means for receiving from the policy management device a policy confirmation response including information on whether or not to connect to the relay device determined based on the communication policy information, and the communication policy information included in the policy confirmation response Or means for transmitting an association response including the connection permission information to the communication terminal device via the relay device, wherein the authentication processing device receives the communication terminal from the communication terminal device that has received the association response. Means for receiving an authentication request including user identification information capable of identifying a user of the device, and the user of the communication terminal device via the relay device based on the user identification information included in the authentication request; A means for performing user authentication processing for determining whether communication is permitted; and an authentication response including a result of the user authentication processing. And the policy management device receives the policy confirmation request including the device identification information from the relay device management device, and is obtained by searching based on the device identification information. Means for transmitting to the relay device management apparatus a policy confirmation response including communication policy information for the relay device or information on whether or not to connect to the relay device determined based on the communication policy information.
In the communication system, the policy confirmation request may include at least one of user identification information that can identify a user of the communication terminal device, model information of the communication terminal device, and type information of the relay device. Good.

本発明の更に他の態様に係る通信システムは、無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置と、を備え、前記中継装置は、前記通信ポリシー情報を記憶する手段と、前記ポリシー管理装置から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段と、前記通信端末装置からアソシエーション要求を受信する手段と、前記アソシエーション要求に基づいて検索して得られた自身に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した自身への接続可否情報とを含むアソシエーション応答を、前記通信端末装置に送信する手段と、を備え、前記認証処理装置は、前記アソシエーション応答を受信した通信端末装置から、前記通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を受信する手段と、前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、前記利用者認証処理の結果を含む認証応答を前記通信端末装置に送信する手段と、を備え、前記ポリシー管理装置は、前記通信ポリシー情報を前記中継装置に送信する手段を備える。
本発明の更に他の態様に係る通信システムは、無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置と、前記中継装置を管理する中継装置管理装置と、を備え、前記中継装置管理装置は、前記通信ポリシー情報を記憶する手段と、前記ポリシー管理装置から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段と、前記中継装置を介して前記通信端末装置からアソシエーション要求を受信する手段と、前記アソシエーション要求に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報とを含むアソシエーション応答を、前記中継装置を介して前記通信端末装置に送信する手段と、を備え、前記認証処理装置は、前記アソシエーション応答を受信した通信端末装置から、前記通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を受信する手段と、前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、前記利用者認証処理の結果を含む認証応答を、前記通信端末装置に送信する手段と、を備え、前記ポリシー管理装置は、前記通信ポリシー情報を前記中継装置管理装置に送信する手段を備える。 A communication system according to yet another aspect of the present invention is a communication system that can be connected to a communication network from a communication terminal device via a wireless LAN relay device, the communication terminal device via the relay device to the communication network. An authentication processing device that executes an authentication process when connected to a network, and a policy management device that manages communication policy information for communication between the communication terminal device and a communication network via the relay device, and the relay device includes: Means for storing the communication policy information; means for receiving the communication policy information to be updated from the policy management apparatus; updating the stored communication policy information; and means for receiving an association request from the communication terminal apparatus Communication policy information for itself obtained by searching based on the association request, or Means for transmitting to the communication terminal device an association response that includes connection permission / inhibition information determined based on the communication policy information, wherein the authentication processing device receives from the communication terminal device that has received the association response. Means for receiving an authentication request including user identification information capable of identifying the user of the communication terminal device, and the relay by the user of the communication terminal device based on the user identification information included in the authentication request Means for performing a user authentication process for determining whether or not to allow communication via a device; and a means for transmitting an authentication response including a result of the user authentication process to the communication terminal device. Means for transmitting the communication policy information to the relay device.
A communication system according to yet another aspect of the present invention is a communication system that can be connected to a communication network from a communication terminal device via a wireless LAN relay device, the communication terminal device via the relay device to the communication network. An authentication processing device that executes authentication processing when connected to a network, a policy management device that manages communication policy information for communication between the communication terminal device and a communication network via the relay device, and a relay device that manages the relay device A management device, wherein the relay device management device receives the communication policy information to be updated from the means for storing the communication policy information and the policy management device, and updates the stored communication policy information. Means for receiving an association request from the communication terminal device via the relay device; and An association response including communication policy information for the relay device obtained by searching based on a request for connection or connection permission information to the relay device determined based on the communication policy information, via the relay device, Means for transmitting to the communication terminal device, wherein the authentication processing device receives an authentication request including user identification information capable of identifying a user of the communication terminal device from the communication terminal device that has received the association response. Means for performing user authentication processing for determining whether communication via the relay device is permitted by a user of the communication terminal device based on user identification information included in the authentication request, and the user Means for transmitting an authentication response including a result of the authentication process to the communication terminal device, wherein the policy management device provides the communication policy information in advance. Comprising means for transmitting to the relay apparatus management apparatus.

前記通信システムにおいて、前記装置識別情報は、前記中継装置の1台ごとにユニークに設定された識別情報であってもよい。
また、前記通信システムにおいて、前記通信ポリシー情報は、前記通信端末装置からの接続が許可又は禁止された中継装置の識別情報、前記通信端末装置から前記中継装置への接続が許可又は禁止された時間帯、前記中継装置を介した通信経路確立処理時のタイムアウト時間、及び、前記中継装置に接続するときの前記通信端末装置における受信信号強度の閾値の少なくとも一つを含んでもよい。
また、前記通信システムにおいて、前記通信端末装置は、移動体通信ネットワークを介して通信する手段と、前記移動体通信ネットワークを介して外部の通信ネットワークと通信する第1の通信経路が確立された状態で、前記無線LANの中継装置を介して前記外部の通信ネットワークと通信する第2の通信経路を確立する処理を開始する手段と、前記中継装置に対する接続が許可された場合は、前記外部の通信ネットワークとの通信に優先的に使用する通信経路を前記第1の通信経路から前記第2の通信経路へ切り替え、前記中継装置に対する接続が拒否された場合は、前記外部の通信ネットワークとの通信に優先的に使用する通信経路を前記第1の通信経路に維持する手段と、を備えてもよい。 In the communication system, the device identification information may be identification information uniquely set for each of the relay devices.
Further, in the communication system, the communication policy information includes identification information of a relay device that is permitted or prohibited to connect from the communication terminal device, and a time that the connection from the communication terminal device to the relay device is permitted or prohibited. At least one of a band, a timeout time at the time of establishing a communication path via the relay device, and a threshold value of received signal strength at the communication terminal device when connecting to the relay device.
Further, in the communication system, the communication terminal device is in a state in which a means for communicating via a mobile communication network and a first communication path for communicating with an external communication network via the mobile communication network are established. And means for starting a process for establishing a second communication path for communicating with the external communication network via the wireless LAN relay device, and if the connection to the relay device is permitted, the external communication When the communication path preferentially used for communication with the network is switched from the first communication path to the second communication path, and connection to the relay device is rejected, communication with the external communication network is performed. And a means for maintaining a preferentially used communication path in the first communication path.

本発明の更に他の態様に係る通信端末装置は、無線LANの中継装置を介して通信ネットワークに接続可能な通信端末装置であって、前記中継装置を介した当該通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置に、当該通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を送信する手段と、前記利用者識別情報に基づいて行われた利用者認証処理の結果を含む認証応答を、前記認証処理装置から受信する手段と、前記中継装置を介した当該通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置に、当該通信端末装置が接続する中継装置を識別可能な装置識別情報を含むポリシー確認要求を送信する手段と、前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該中継装置への接続可否情報を含むポリシー確認応答を、前記ポリシー管理装置から受信する手段と、前記認証処理装置から受信した前記利用者認証処理の結果と、前記ポリシー管理装置から受信した前記通信ポリシー情報又は前記接続可否情報とに基づいて、前記中継装置に対する接続を制御する手段と、を備える。
前記通信端末装置において、前記認証処理装置による前記利用者認証処理が成功した場合に、前記ポリシー確認要求を前記ポリシー管理装置に送信し、前記認証処理装置による前記利用者認証処理が失敗した場合に、前記ポリシー確認要求を前記ポリシー管理装置に送信しないようにしてもよい。 A communication terminal device according to still another aspect of the present invention is a communication terminal device connectable to a communication network via a wireless LAN relay device, from the communication terminal device to the communication network via the relay device. Means for transmitting an authentication request including user identification information capable of identifying the user of the communication terminal device to an authentication processing device that executes authentication processing at the time of connection; and a user made based on the user identification information Means for receiving an authentication response including a result of the authentication processing from the authentication processing device, and a policy management device for managing communication policy information for communication between the communication terminal device and the communication network via the relay device; Means for transmitting a policy confirmation request including device identification information capable of identifying the relay device to which the terminal device is connected; and a search based on the device identification information. Means for receiving from the policy management device a policy confirmation response including communication policy information for the relay device or information on whether or not to connect to the relay device, and a result of the user authentication processing received from the authentication processing device; Means for controlling connection to the relay device based on the communication policy information or the connection availability information received from the policy management device.
In the communication terminal device, when the user authentication processing by the authentication processing device is successful, the policy confirmation request is transmitted to the policy management device, and when the user authentication processing by the authentication processing device is unsuccessful. The policy confirmation request may not be transmitted to the policy management apparatus.

本発明によれば、通信端末装置及び通信ネットワークにおける負荷を増大させることなく、通信ポリシー情報に基づいて無線LANの中継装置を介した通信を制御することができる。   According to the present invention, communication via a wireless LAN relay device can be controlled based on communication policy information without increasing the load on the communication terminal device and the communication network.

本発明の一実施形態に係る通信システムの一例を示す概略構成図。1 is a schematic configuration diagram illustrating an example of a communication system according to an embodiment of the present invention. 本発明の一実施形態に係る通信端末装置のハードウェア構成の一例を示すブロック図。The block diagram which shows an example of the hardware constitutions of the communication terminal device which concerns on one Embodiment of this invention. 本実施形態の通信システムにおいて通信端末装置とアクセスポイントとの接続に成功する場合の無線LAN通信の接続制御の一例を示すシーケンス図。The sequence diagram which shows an example of connection control of wireless LAN communication when the connection of a communication terminal device and an access point is successful in the communication system of this embodiment. 本実施形態の通信システムにおいて通信端末装置とアクセスポイントとの接続に失敗する場合の無線LAN通信の接続制御の一例を示すシーケンス図。The sequence diagram which shows an example of connection control of wireless LAN communication when the connection of a communication terminal device and an access point fails in the communication system of this embodiment. 本実施形態の通信システムにおいて通信端末装置とアクセスポイントとの接続に成功する場合の無線LAN通信の接続制御の他の例を示すシーケンス図。The sequence diagram which shows the other example of connection control of wireless LAN communication when the connection of a communication terminal device and an access point is successful in the communication system of this embodiment. 本実施形態の通信システムにおいて通信端末装置とアクセスポイントとの接続に失敗する場合の無線LAN通信の接続制御の他の例を示すシーケンス図。The sequence diagram which shows the other example of connection control of wireless LAN communication when the connection of a communication terminal device and an access point fails in the communication system of this embodiment. 本実施形態の通信システムにおいて通信端末装置とアクセスポイントとの接続に成功する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図。The sequence diagram which shows the further another example of the connection control of wireless LAN communication when the connection of a communication terminal device and an access point is successful in the communication system of this embodiment. 本実施形態の通信システムにおいて通信端末装置とアクセスポイントとの接続に失敗する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図。The sequence diagram which shows the further another example of the connection control of wireless LAN communication when the connection of a communication terminal device and an access point fails in the communication system of this embodiment. 本実施形態の通信システムにおいて通信端末装置とアクセスポイントとの接続に成功する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図。The sequence diagram which shows the further another example of the connection control of wireless LAN communication when the connection of a communication terminal device and an access point is successful in the communication system of this embodiment. 本実施形態の通信システムにおいて通信端末装置とアクセスポイントとの接続に失敗する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図。The sequence diagram which shows the further another example of the connection control of wireless LAN communication when the connection of a communication terminal device and an access point fails in the communication system of this embodiment. 本実施形態の通信システムにおいて通信端末装置とアクセスポイントとの接続に成功する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図。The sequence diagram which shows the further another example of the connection control of wireless LAN communication when the connection of a communication terminal device and an access point is successful in the communication system of this embodiment. 本実施形態の通信システムにおいて通信端末装置とアクセスポイントとの接続に失敗する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図。The sequence diagram which shows the further another example of the connection control of wireless LAN communication when the connection of a communication terminal device and an access point fails in the communication system of this embodiment. 本発明の他の実施形態に係る通信システムの一例を示す概略構成図。The schematic block diagram which shows an example of the communication system which concerns on other embodiment of this invention. 図13の通信システムにおいて通信端末装置とアクセスポイントとの接続に成功する場合の無線LAN通信の接続制御の一例を示すシーケンス図。FIG. 14 is a sequence diagram illustrating an example of connection control for wireless LAN communication when a connection between a communication terminal device and an access point is successful in the communication system of FIG. 13. 図13の通信システムにおいて通信端末装置とアクセスポイントとの接続に失敗する場合の無線LAN通信の接続制御の一例を示すシーケンス図。FIG. 14 is a sequence diagram illustrating an example of connection control for wireless LAN communication when connection between a communication terminal device and an access point fails in the communication system of FIG. 13. 図13の実施形態の通信システムにおいて通信端末装置とアクセスポイントとの接続に成功する場合の無線LAN通信の接続制御の他の例を示すシーケンス図。FIG. 14 is a sequence diagram illustrating another example of connection control for wireless LAN communication when the connection between the communication terminal device and the access point is successful in the communication system according to the embodiment of FIG. 13. 図13の通信システムにおいて通信端末装置とアクセスポイントとの接続に失敗する場合の無線LAN通信の接続制御の他の例を示すシーケンス図。FIG. 14 is a sequence diagram illustrating another example of connection control for wireless LAN communication when connection between a communication terminal device and an access point fails in the communication system of FIG. 13.

以下、図面を参照しながら本発明の実施形態について説明する。
図1は、本発明の一実施形態に係る通信システムの一例を示す概略構成図である。
本実施形態の通信システムでは、利用者の携帯電話機やスマートフォンなどの通信端末装置10が、ファストフード店や駅構内などに設けられた無線LANの中継装置(以下「アクセスポイント」という。)20の無線通信可能エリア20A内に位置するとき、無線LAN通信機能を有する通信端末装置10からアクセスポイント20を介して通信ネットワークに接続することができる。アクセスポイント20は、通信端末装置10と無線通信可能なWi−Fi(登録商標)などの無線LANの中継装置であり、バックボーンネットワーク30及びゲートウェイ(GW)35を介して、認証処理装置としての認証サーバ40、ポリシー管理装置としてのポリシーサーバ50、外部の通信ネットワークとしてのインターネット90等に接続されている。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a schematic configuration diagram showing an example of a communication system according to an embodiment of the present invention.
In the communication system according to the present embodiment, a communication terminal device 10 such as a user's mobile phone or smartphone is a wireless LAN relay device (hereinafter referred to as “access point”) 20 provided in a fast food restaurant or a station premises. When located in the wireless communicable area 20A, the communication terminal device 10 having a wireless LAN communication function can be connected to the communication network via the access point 20. The access point 20 is a wireless LAN relay device such as Wi-Fi (registered trademark) that can wirelessly communicate with the communication terminal device 10, and authenticates as an authentication processing device via the backbone network 30 and the gateway (GW) 35. The server 40 is connected to a policy server 50 as a policy management apparatus, the Internet 90 as an external communication network, and the like.

なお、図1では、1台の通信端末装置10について図示しているが、通信端末装置10は2台以上であってもよい。また、図1において、本実施形態の通信端末装置10は、セルラー方式の移動体通信ネットワークを介して通信可能な携帯電話機やスマートフォンなどの携帯可能な移動体通信端末であるが、通信ネットワークを介して通信可能なものであれば移動体通信端末以外の通信端末装置であってもよい。例えば、本実施形態の通信端末装置10は、ノートパソコンなどのパソコン装置、ゲーム機、タブレット端末、デジタルカメラ、プリンタ、書籍閲覧端末等の、通信機能を有する装置であってもよい。また、本実施形態の通信端末装置は、ネットワーク連携可能な家電(例えば、TV、冷蔵庫、録画機器)、時計や眼鏡などのウェアラブルデバイス、体重計や血圧計及びその他医療機器、ロボット等の、通信機能を有する装置であってもよい。   In FIG. 1, one communication terminal apparatus 10 is illustrated, but two or more communication terminal apparatuses 10 may be provided. In FIG. 1, the communication terminal device 10 of this embodiment is a portable mobile communication terminal such as a mobile phone or a smartphone that can communicate via a cellular mobile communication network. As long as they can communicate with each other, a communication terminal device other than the mobile communication terminal may be used. For example, the communication terminal device 10 of the present embodiment may be a device having a communication function, such as a personal computer device such as a notebook computer, a game machine, a tablet terminal, a digital camera, a printer, or a book browsing terminal. In addition, the communication terminal device according to the present embodiment is a communication device such as a home appliance capable of network cooperation (for example, a TV, a refrigerator, a recording device), a wearable device such as a watch or glasses, a weight scale, a blood pressure monitor, other medical devices, a robot, or the like. It may be a device having a function.

また、本実施形態の通信システムでは、通信端末装置10がマクロセルやスモールセルなどの移動体通信(以下「セルラー通信」ともいう。)のセル60A内に在圏するとき、第3世代(3G)、LTE(Long Term Evolution)、LTE−Advanced、第4世代(4G)、第5世代(5G)などの規格に準拠したセルラー通信のマクロセル基地局やスモールセル基地局などの基地局60を介して、セルラー通信機能を有する通信端末装置10から通信ネットワークに接続することができる。基地局60は、通信端末装置10と無線通信可能な中継装置であり、コアネットワーク70及びゲートウェイ(GW)75を介して、図示しない各種サーバやインターネット90等に接続されている。   In the communication system according to the present embodiment, when the communication terminal device 10 is located in a cell 60A of mobile communication (hereinafter also referred to as “cellular communication”) such as a macro cell or a small cell, the third generation (3G) Through a base station 60 such as a macro cell base station or a small cell base station of cellular communication compliant with standards such as LTE (Long Term Evolution), LTE-Advanced, 4th generation (4G), and 5th generation (5G) The communication terminal device 10 having the cellular communication function can be connected to the communication network. The base station 60 is a relay device that can wirelessly communicate with the communication terminal device 10, and is connected to various servers (not shown), the Internet 90, and the like via a core network 70 and a gateway (GW) 75.

アクセスポイント20は、例えばIEEE802.11の規格に準拠したWi−Fiなどの無線LANの無線通信方式により、無線通信可能エリア20A内の通信端末装置10と無線通信し、通信端末装置10と通信ネットワークとの間の通信を中継することができる。   The access point 20 wirelessly communicates with the communication terminal device 10 in the wireless communicable area 20A by, for example, a wireless LAN wireless communication method such as Wi-Fi conforming to the IEEE 802.11 standard, and the communication terminal device 10 communicates with the communication network. It is possible to relay communication between

認証サーバ40は、通信サービスに加入している加入者の各種情報が格納された加入者データベース(DB)45が接続された、例えばRADIUS(Remote Authentication Dial In User Service)サーバである。認証サーバ40は、通加入者データベース45に格納されている情報を参照して、通信端末装置10から通信ネットワークに接続するときのWISPr(Wireless Internet Service Provider Roaming)認証やEAP(Extensible Authentication Protocol)認証などによる認証処理を行うサーバである。認証サーバ40は、ポリシーサーバ50と通信する機能を有する。また、認証サーバ40は、バックボーンネットワーク30及びゲートウェイ(GW)35を介してアクセスポイント20と通信する機能や、そのアクセスポイント20を介して通信端末装置10と通信する機能を有する。   The authentication server 40 is, for example, a RADIUS (Remote Authentication Dial In User Service) server to which a subscriber database (DB) 45 storing various information of subscribers who subscribe to the communication service is connected. The authentication server 40 refers to the information stored in the subscriber database 45 and refers to WISPr (Wireless Internet Service Provider Roaming) authentication or EAP (Extensible Authentication Protocol) authentication when the communication terminal device 10 is connected to the communication network. It is a server that performs the authentication process. The authentication server 40 has a function of communicating with the policy server 50. The authentication server 40 has a function of communicating with the access point 20 via the backbone network 30 and the gateway (GW) 35 and a function of communicating with the communication terminal device 10 via the access point 20.

加入者データベース45に格納されている情報は、例えば、利用者識別情報(利用者ID)、パスワード、加入者識別情報、氏名や住所などの利用者情報、利用可能なサービスに関する情報、使用している通信端末装置の情報などである。   Information stored in the subscriber database 45 includes, for example, user identification information (user ID), password, subscriber identification information, user information such as name and address, information on available services, Information on the communication terminal device that is in use.

ポリシーサーバ50は、アクセスポイント20を介した通信端末装置10と通信ネットワークとの通信に関する通信ポリシー情報が格納されたポリシーデータベース(DB)55が接続され、複数のアクセスポイント20の通信ポリシー情報を管理するサーバである。ポリシーサーバ50は、認証サーバ40と通信する機能を有する。また、ポリシーサーバ50は、バックボーンネットワーク30及びゲートウェイ(GW)35を介してアクセスポイント20と通信する機能や、そのアクセスポイント20を介して通信端末装置10と通信する機能を有してもよい。   The policy server 50 is connected to a policy database (DB) 55 that stores communication policy information related to communication between the communication terminal device 10 and the communication network via the access point 20, and manages communication policy information of a plurality of access points 20. Server. The policy server 50 has a function of communicating with the authentication server 40. The policy server 50 may have a function of communicating with the access point 20 via the backbone network 30 and the gateway (GW) 35 and a function of communicating with the communication terminal device 10 via the access point 20.

ポリシーサーバ50は、例えば認証サーバ40や通信端末装置10などの外部装置からの問い合わせを受けて、要求された通信ポリシー情報を提供する機能も有する。ポリシーサーバ50は、問い合わせ対象のアクセスポイント20に関する通信ポリシー情報そのものを提供せずに、その通信ポリシー情報に基づいて問い合わせ対象のアクセスポイント20への接続が可能か否かを判断し、その判断結果を含むアクセスポイント20への接続可否情報を提供するようにしてもよい。   The policy server 50 also has a function of providing requested communication policy information in response to an inquiry from an external device such as the authentication server 40 or the communication terminal device 10. The policy server 50 determines whether connection to the inquiry target access point 20 is possible based on the communication policy information without providing the communication policy information itself regarding the inquiry target access point 20, and the determination result. Information on whether or not the access point 20 can be connected to the access point 20 may be provided.

ポリシーデータベース55に格納されている通信ポリシー情報は、例えば、アクセスポイント20の1台ごとにユニークに設定されたアクセスポイント識別情報(例えば、BSSID:Basic Service Set Identifier)、アクセスポイント20の種類を識別可能なアクセスポイント種別情報(例えば、ESSID:Extended Service Set Identifier )、通信端末装置10からアクセスポイント20への接続が許可又は禁止された時間帯、アクセスポイント20を介した通信経路確立処理時のタイムアウト時間、アクセスポイント20に接続するときの通信端末装置10における受信信号強度(例えば、RSSI:Received Signal Strength Indicator)の閾値などである。ポリシーサーバ50が通信ポリシー情報に関する問い合わせを通信端末装置10から受ける場合、ポリシーデータベース55に格納される通信ポリシー情報は、通信端末装置10の利用者に関する利用者識別情報(利用者ID)及びパスワードを含んでもよい。   The communication policy information stored in the policy database 55 identifies, for example, access point identification information (for example, BSSID: Basic Service Set Identifier) uniquely set for each access point 20 and the type of the access point 20. Possible access point type information (for example, ESSID: Extended Service Set Identifier), a time zone during which connection from the communication terminal apparatus 10 to the access point 20 is permitted or prohibited, and a timeout at the time of communication path establishment processing via the access point 20 Time, a threshold value of received signal strength (for example, RSSI: Received Signal Strength Indicator) in the communication terminal device 10 when connecting to the access point 20. When the policy server 50 receives an inquiry about communication policy information from the communication terminal device 10, the communication policy information stored in the policy database 55 includes user identification information (user ID) and a password regarding the user of the communication terminal device 10. May be included.

認証サーバ40、加入者データベース45、ポリシーサーバ50及びポリシーデータベース55はそれぞれ、例えば単一のコンピュータ装置で構成したり複数のコンピュータ装置を組み合わせて構成したりすることができ、予め組み込まれた所定のプログラムが実行されることにより、各種処理や制御を実行することができる。また、認証サーバ40及び加入者データベース45を1台のコンピュータ装置で構成し、ポリシーサーバ50及びポリシーデータベース55を1台のコンピュータ装置で構成してもよい。また、認証サーバ40、加入者データベース45、ポリシーサーバ50及びポリシーデータベース55を1台のコンピュータ装置で構成してもよい。   Each of the authentication server 40, the subscriber database 45, the policy server 50, and the policy database 55 can be constituted by, for example, a single computer device or a combination of a plurality of computer devices. Various processes and control can be executed by executing the program. Further, the authentication server 40 and the subscriber database 45 may be configured by one computer device, and the policy server 50 and the policy database 55 may be configured by one computer device. Further, the authentication server 40, the subscriber database 45, the policy server 50, and the policy database 55 may be configured by one computer device.

本実施形態において、認証サーバ40及びポリシーサーバ50はそれぞれ、所定のプログラムが実行されることにより、次のような各手段としての機能を実現可能である。   In the present embodiment, each of the authentication server 40 and the policy server 50 can implement the following functions as means by executing a predetermined program.

例えば、認証サーバ40は、所定のプログラムが実行されることにより、次の(A401)〜(A411)に示す各手段として機能する。
(A401)通信端末装置10の利用者を識別可能な利用者識別情報(利用者ID)を含む認証要求、又は、利用者識別情報(利用者ID)と通信端末装置10が接続するアクセスポイント20を識別可能なアクセスポイント識別情報(例えば、BSSID)とを含む認証要求を、通信端末装置10から受信する手段。
(A402)認証要求に含まれる利用者識別情報(利用者ID)に基づいて、通信端末装置10の利用者によるアクセスポイント20を介した通信の許否を判断する利用者認証処理を行う手段。
(A403)アクセスポイント識別情報を含むポリシー確認要求をポリシーサーバ50に送信する手段。
(A404)アクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定されたアクセスポイント20への接続可否情報(例えば、0:接続不可、1:接続可のフラグデータ)を含むポリシー確認応答を、ポリシーサーバ50から受信する手段。
(A405)前記利用者認証処理の結果と、ポリシー確認応答に含まれる通信ポリシー情報又は接続可否情報とに基づいて、前記認証要求に対する認証応答を通信端末装置10に送信する手段。
(A406)前記利用者認証処理の結果を含む認証応答を通信端末装置10に送信する手段。
(A407)前記通信ポリシー情報を記憶する手段。
(A408)ポリシーサーバ50から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段。
(A409)アクセスポイント識別情報に基づいて、アクセスポイント20に対する通信ポリシー情報を検索して取得する手段。
(A410)アクセスポイント20に対する通信ポリシー情報に基づいて、アクセスポイント20への接続可否を判定する手段。
(A411)前記利用者認証処理の結果と、アクセスポイント識別情報に基づいて検索して得られたアクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定したアクセスポイント20への接続可否情報とを含む、前記認証要求に対する認証応答を、通信端末装置10に送信する手段。 For example, the authentication server 40 functions as each unit shown in the following (A401) to (A411) by executing a predetermined program.
(A401) An authentication request including user identification information (user ID) that can identify a user of the communication terminal apparatus 10, or an access point 20 at which the communication terminal apparatus 10 is connected to the user identification information (user ID). Means for receiving from the communication terminal device 10 an authentication request including access point identification information (for example, BSSID) that can be identified.
(A402) Means for performing user authentication processing for determining whether or not communication via the access point 20 by a user of the communication terminal device 10 is permitted based on user identification information (user ID) included in the authentication request.
(A403) Means for transmitting a policy confirmation request including access point identification information to the policy server 50.
(A404) Policy confirmation response including communication policy information for the access point 20 or information on whether or not to connect to the access point 20 determined based on the communication policy information (for example, 0: connection impossible, 1: connection possible flag data) Is received from the policy server 50.
(A405) Means for transmitting an authentication response to the authentication request to the communication terminal device 10 based on the result of the user authentication process and the communication policy information or connection availability information included in the policy confirmation response.
(A406) Means for transmitting an authentication response including a result of the user authentication processing to the communication terminal device 10.
(A407) Means for storing the communication policy information.
(A408) Means for receiving communication policy information to be updated from the policy server 50 and updating the stored communication policy information.
(A409) Means for searching and acquiring communication policy information for the access point 20 based on the access point identification information.
(A410) Means for determining whether or not connection to the access point 20 is possible based on communication policy information for the access point 20.
(A411) Communication policy information for the access point 20 obtained by searching based on the result of the user authentication process and the access point identification information, or information on whether or not to connect to the access point 20 determined based on the communication policy information Means for transmitting an authentication response to the authentication request to the communication terminal device 10.

一方、ポリシーサーバ50は、所定のプログラムが実行されることにより、次の(A501)〜(A505)の各手段として機能する。
(A501)アクセスポイント識別情報を含むポリシー確認要求を、認証サーバ40、通信端末装置10、アクセスポイント20又は後述のAP管理サーバ80から受信する手段。
(A502)ポリシー確認要求に含まれるアクセスポイント識別情報に基づいて、アクセスポイント20に対する通信ポリシー情報を検索して取得する手段。
(A503)アクセスポイント20に対する通信ポリシー情報に基づいてアクセスポイント20への接続可否を判定する手段。
(A504)ポリシー確認要求に含まれるアクセスポイント識別情報に基づいて検索して得られたアクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定したアクセスポイント20への接続可否情報を含むポリシー確認応答を、認証サーバ40、通信端末装置10、アクセスポイント20又は後述のAP管理サーバ80に送信する手段。
(A505)更新対象の通信ポリシー情報を、認証サーバ40、アクセスポイント20又は後述のAP管理サーバ80に送信する手段。 On the other hand, the policy server 50 functions as the following means (A501) to (A505) by executing a predetermined program.
(A501) Means for receiving a policy confirmation request including access point identification information from the authentication server 40, the communication terminal device 10, the access point 20, or the AP management server 80 described later.
(A502) Means for searching and acquiring communication policy information for the access point 20 based on the access point identification information included in the policy confirmation request.
(A503) Means for determining whether or not connection to the access point 20 is possible based on communication policy information for the access point 20.
(A504) A policy including communication policy information for the access point 20 obtained by searching based on the access point identification information included in the policy confirmation request or information on whether or not to connect to the access point 20 determined based on the communication policy information A means for transmitting a confirmation response to the authentication server 40, the communication terminal device 10, the access point 20, or the AP management server 80 described later.
(A505) Means for transmitting communication policy information to be updated to the authentication server 40, the access point 20, or the AP management server 80 described later.

図2は、本発明の一実施形態に係る通信端末装置10のハードウェア構成の一例を示すブロック図である。本実施形態の通信端末装置10は、主制御部110と無線通信部111とベースバンド処理部112と音入出力部113と表示部114と操作手段としての操作部115とを備える。また、通信端末装置10は、装置本体に対して着脱可能な加入者情報記憶媒体であるICモジュールとしてのUSIM15が装着されている。   FIG. 2 is a block diagram illustrating an example of a hardware configuration of the communication terminal device 10 according to an embodiment of the present invention. The communication terminal apparatus 10 according to the present embodiment includes a main control unit 110, a wireless communication unit 111, a baseband processing unit 112, a sound input / output unit 113, a display unit 114, and an operation unit 115 as an operation unit. The communication terminal device 10 is equipped with a USIM 15 as an IC module, which is a subscriber information storage medium that can be attached to and detached from the device body.

主制御部110は、MPU(Micro Processing Unit)やRAM、ROM等からなる記憶装置を備え、所定の基本OSやミドルウェア等のプログラムが実行されることにより、ベースバンド処理部112等の各部を制御したり、ソフトウェア構成上のネイティブプラットフォーム環境やアプリケーション実行環境を構築したりする。   The main control unit 110 includes a storage device including an MPU (Micro Processing Unit), a RAM, a ROM, and the like, and controls each unit such as the baseband processing unit 112 by executing a program such as a predetermined basic OS or middleware. Or build a native platform environment or application execution environment on the software configuration.

主制御部110の記憶装置は、例えば、半導体メモリ、磁気ディスク装置、及び光ディスク装置のうちの少なくともいずれか一つを有する。この記憶装置は、各部での処理に用いられるドライバプログラム、オペレーティングシステムプログラム、アプリケーションプログラム、データ等を記憶する。例えば、記憶装置は、ドライバプログラムとして、IEEE802.11規格の無線通信方式や移動体通信(セルラー通信)の無線通信方式を実行する通信ドライバプログラム、操作部115を制御する入力デバイスドライバプログラム、表示部114を制御する出力デバイスドライバプログラム等を記憶する。また、記憶装置は、オペレーティングシステムプログラムとして、例えば、Android(登録商標)OS、iOS(登録商標)等の基本OSや、IEEE802.11規格の無線通信方式や移動体通信(セルラー通信)の無線通信方式での認証等を行う接続制御プログラム等を記憶する。また、記憶装置は、アプリケーションプログラムとして、ウェブ認証を行う認証プログラム、時間を計時する計時プログラム、ウェブページを取得及び表示するウェブブラウザプログラム、電子メールを送信及び受信する電子メールプログラム等を記憶する。また、記憶装置は、各種のテキストデータ、映像データ、画像データ等を記憶したり、所定の処理に係る一時的なデータを一時的に記憶したりしてもよい。また、記憶装置は、無線LANのアクセスポイントに接続するための各種情報を記憶している。   The storage device of the main control unit 110 includes, for example, at least one of a semiconductor memory, a magnetic disk device, and an optical disk device. The storage device stores a driver program, an operating system program, an application program, data, and the like used for processing in each unit. For example, the storage device includes, as a driver program, a communication driver program that executes a wireless communication method of IEEE802.11 standard and a wireless communication method of mobile communication (cellular communication), an input device driver program that controls the operation unit 115, and a display unit An output device driver program for controlling 114 is stored. In addition, the storage device has, as an operating system program, for example, a basic OS such as Android (registered trademark) OS or iOS (registered trademark), a wireless communication method of IEEE 802.11 standard, or wireless communication of mobile communication (cellular communication). A connection control program for performing authentication and the like in the system is stored. The storage device also stores, as application programs, an authentication program that performs web authentication, a time measurement program that measures time, a web browser program that acquires and displays a web page, an e-mail program that transmits and receives e-mail, and the like. The storage device may store various text data, video data, image data, and the like, or temporarily store temporary data related to a predetermined process. The storage device stores various information for connecting to a wireless LAN access point.

無線通信部111は、無線LANのアクセスポイント20を介して通信する無線LAN通信手段及びセルラー通信の基地局60を介して通信する移動体通信手段として機能し、例えばシンセサイザ、周波数変換器,高周波増幅器、アンテナなどにより構成されている。無線通信部111は、アクセスポイント20との間でIEEE802.11等の所定の通信方式により無線通信するための高周波信号処理を実行したり、基地局60との間で3GやLTEなどの所定の通信方式により無線通信するための高周波信号処理を実行する。   The wireless communication unit 111 functions as a wireless LAN communication unit that communicates via a wireless LAN access point 20 and a mobile communication unit that communicates via a base station 60 for cellular communication. For example, a synthesizer, a frequency converter, and a high frequency amplifier It is composed of an antenna and the like. The wireless communication unit 111 executes high-frequency signal processing for wireless communication with the access point 20 using a predetermined communication method such as IEEE 802.11, or performs predetermined communication with the base station 60 such as 3G or LTE. High-frequency signal processing for wireless communication by a communication method is executed.

ベースバンド処理部112は、他の携帯電話機等の通信端末装置や各種サーバとの間で音声通信やデータ送受信の通信を行うためのデジタル処理を実行する。このベースバンド処理部112と上記無線通信部111との間はD/A変換器やA/D変換器を介して接続されている。   The baseband processing unit 112 performs digital processing for performing voice communication and data transmission / reception communication with communication terminal devices such as other mobile phones and various servers. The baseband processing unit 112 and the wireless communication unit 111 are connected via a D / A converter or an A / D converter.

音入出力部113は、マイク、スピーカ、音信号処理部等で構成されている。マイクから出力されるアナログの音声信号は、音信号処理部でデジタル信号に変換され、主制御部110やベースバンド処理部112等に送られる。スピーカは、音信号処理部でデジタル信号から変換されたアナログ信号が入力され、通話中の音声を出力したり、メールの着信音、電話の呼び出し音、音楽などを出力したりする。なお、スピーカは、通話中の音声を聞くための受話器用スピーカ(レシーバ)と、着信音や音楽などを出力する外部出力用スピーカとを別々に設けて構成してもいいし、これらの受話器用スピーカ及び外部出力用スピーカを兼用するように一つのスピーカで構成してもよい。   The sound input / output unit 113 includes a microphone, a speaker, a sound signal processing unit, and the like. The analog audio signal output from the microphone is converted into a digital signal by the sound signal processing unit and sent to the main control unit 110, the baseband processing unit 112, and the like. The speaker receives an analog signal converted from a digital signal by the sound signal processing unit, and outputs a voice during a call, or outputs a ringtone for a mail, a ringing tone for a telephone, music, or the like. The speaker may be configured by separately providing a receiver speaker (receiver) for listening to voice during a call and an external output speaker for outputting ringtones, music, etc. You may comprise with one speaker so that a speaker and an external output speaker may be combined.

表示部114は、LCD(液晶ディスプレイ)や有機EL(Electro−Luminescence)ディスプレイ等で構成され、主制御部110からの指令に基づいて各種画像を表示する。例えば、表示部114は、Wi−Fi等の無線LAN接続の状況を示す画像を表示するようにしてもよい。   The display unit 114 is configured by an LCD (liquid crystal display), an organic EL (Electro-Luminescence) display, or the like, and displays various images based on commands from the main control unit 110. For example, the display unit 114 may display an image indicating the state of wireless LAN connection such as Wi-Fi.

操作部115は、表示部114に組み込まれたタッチパネルや、各種の操作キーやボタン、電源ON/OFF手段としての電源スイッチなどで構成されている。この操作部115は、利用者が、通信端末装置10の本体電源をON/OFFしたり、通話開始、終話、メニュー選択、画面切り換え等を指示したり、情報を入力したりするときに用いられる。   The operation unit 115 includes a touch panel incorporated in the display unit 114, various operation keys and buttons, a power switch as a power ON / OFF unit, and the like. This operation unit 115 is used when the user turns on / off the main body power supply of the communication terminal device 10, instructs a call start / end, menu selection, screen switching, etc., or inputs information. It is done.

また、通信端末装置10は、位置情報取得手段としてのGPS(Global Positioning System)部117、撮像手段としてのカメラ部118、センサー部119、電源供給手段としての電源供給部120、図示しない時計部等も備えている。   Further, the communication terminal apparatus 10 includes a GPS (Global Positioning System) unit 117 as a position information acquisition unit, a camera unit 118 as an imaging unit, a sensor unit 119, a power supply unit 120 as a power supply unit, a clock unit (not shown), and the like. It also has.

GPS部117は、GPS受信モジュールやGPSアンテナ等で構成され、地球の周りに配置されている複数のGPS衛星から電波を受信し、その受信結果に基づいて通信端末装置10が位置する緯度、経度及び高度のデータを算出する。   The GPS unit 117 includes a GPS receiving module, a GPS antenna, and the like, receives radio waves from a plurality of GPS satellites arranged around the earth, and the latitude and longitude at which the communication terminal device 10 is located based on the reception result And altitude data.

カメラ部118は、レンズや撮像デバイス等で構成され、人物や風景等を撮影する時に用いられる。撮像デバイスとしては、CCD(Charge Coupled Device)カメラやCMOSカメラを用いることができる。   The camera unit 118 includes a lens, an imaging device, and the like, and is used when shooting a person, a landscape, and the like. As the imaging device, a CCD (Charge Coupled Device) camera or a CMOS camera can be used.

センサー部119は、加速度センサー及び/又は地磁気センサー等で構成されている。加速度センサーは、1軸の加速度センサーであっていいし、2軸や3軸等の複数軸の加速度センサーであってもよい。また、地磁気センサーも、1軸の地磁気センサーであっていいし、2軸や3軸等の複数軸の地磁気センサーであってもよい。このセンサー部119の出力に基づいて、通信端末装置10の位置、向き、姿勢及び動きを示すデータを算出することができる。また、センサー部119の出力に基づいて、所定高度における基準位置から利用者の通信端末装置10が移動したときの加速度データや地磁気データの時間変化の情報である履歴情報から、通信端末装置10が位置している高度、角度等を示すデータを算出することができる。   The sensor unit 119 includes an acceleration sensor and / or a geomagnetic sensor. The acceleration sensor may be a uniaxial acceleration sensor or a multi-axis acceleration sensor such as a biaxial or triaxial acceleration sensor. Further, the geomagnetic sensor may be a uniaxial geomagnetic sensor, or may be a multiaxial geomagnetic sensor such as a biaxial or a triaxial. Based on the output of the sensor unit 119, data indicating the position, orientation, posture, and movement of the communication terminal device 10 can be calculated. Further, based on the output of the sensor unit 119, the communication terminal device 10 determines whether or not the communication terminal device 10 is based on history information that is information on temporal changes in acceleration data and geomagnetic data when the user's communication terminal device 10 moves from a reference position at a predetermined altitude. Data indicating the altitude, angle, and the like that are located can be calculated.

電源供給部120は、充電可能なバッテリー、バッテリーから各部に所定電圧の電力を供給する電力供給回路、バッテリーを充電する充電回路などを備えている。時計部はクロック回路等で構成され、正確な日時を計数し、各種情報の更新処理等のための時刻情報を生成する。   The power supply unit 120 includes a rechargeable battery, a power supply circuit that supplies power of a predetermined voltage from the battery to each unit, a charging circuit that charges the battery, and the like. The clock unit includes a clock circuit and the like, counts accurate date and time, and generates time information for various information update processing and the like.

本実施形態において、通信端末装置10の主制御部110は、所定のプログラムが実行されることにより、他の無線通信部111などと協働して次のような各手段としての機能を実現可能である。
例えば、通信端末装置10の主制御部110は、所定のプログラムが実行されることにより、次の(A101)〜(A108)の各手段として機能する。
(A101)通信端末装置10の利用者を識別可能な利用者識別情報(利用者ID)を含む認証要求を認証サーバ40に送信する手段。
(A102)利用者識別情報(利用者ID)に基づいて行われた利用者認証処理の結果を含む認証応答を、認証サーバ40から受信する手段。
(A103)通信端末装置10が接続するアクセスポイント20を識別可能なアクセスポイント識別情報を含むポリシー確認要求をポリシーサーバ50に送信する手段。
(A104)アクセスポイント識別情報に基づいて検索して得られたアクセスポイント20に対する通信ポリシー情報又はアクセスポイント20への接続可否情報を含むポリシー確認応答を、ポリシーサーバ50から受信する手段。
(A105)認証サーバ40から受信した利用者認証処理の結果と、ポリシーサーバ50から受信した通信ポリシー情報又は接続可否情報とに基づいて、アクセスポイント20に対する接続を制御する手段。
(A106)移動体通信ネットワークを介して通信する手段。
(A107)移動体通信ネットワークを介してインターネット90等の外部の通信ネットワークと通信する第1の通信経路が確立された状態で、アクセスポイント20を介して外部の通信ネットワークと通信する第2の通信経路を確立する処理を開始する手段。
(A108)アクセスポイント20に対する接続が許可された場合は、外部の通信ネットワークとの通信に優先的に使用する通信経路を第1の通信経路から第2の通信経路へ切り替え、アクセスポイント20に対する接続が拒否された場合は、外部の通信ネットワークとの通信に優先的に使用する通信経路を第1の通信経路に維持する手段。 In the present embodiment, the main control unit 110 of the communication terminal apparatus 10 can implement the following functions as each means in cooperation with other wireless communication units 111 and the like by executing a predetermined program. It is.
For example, the main control unit 110 of the communication terminal device 10 functions as the following units (A101) to (A108) by executing a predetermined program.
(A101) A means for transmitting an authentication request including user identification information (user ID) that can identify a user of the communication terminal device 10 to the authentication server 40.
(A102) Means for receiving, from the authentication server 40, an authentication response including a result of user authentication processing performed based on user identification information (user ID).
(A103) Means for transmitting a policy confirmation request including access point identification information capable of identifying the access point 20 to which the communication terminal apparatus 10 is connected to the policy server 50.
(A104) Means for receiving, from the policy server 50, a policy confirmation response including communication policy information for the access point 20 obtained by searching based on the access point identification information or information on whether or not to connect to the access point 20.
(A105) Means for controlling connection to the access point 20 based on the result of the user authentication process received from the authentication server 40 and the communication policy information or connection permission information received from the policy server 50.
(A106) Means for communicating via a mobile communication network.
(A107) Second communication for communicating with an external communication network via the access point 20 in a state where a first communication path for communicating with an external communication network such as the Internet 90 via the mobile communication network is established. Means for starting the process of establishing a route.
(A108) When the connection to the access point 20 is permitted, the communication path used preferentially for communication with the external communication network is switched from the first communication path to the second communication path, and the connection to the access point 20 is performed. Means for maintaining the communication path preferentially used for communication with the external communication network in the first communication path when the communication is rejected.

アクセスポイント20は、例えば、制御部と、所定の通信方式で通信端末装置10と無線LAN通信を行う第1の通信部と、コアネットワーク30及びGW35を介して各種サーバ40、50やインターネット90上の各種サーバと通信する第2の通信部とを備える。制御部は、例えばMPUやRAM、ROM等からなる記憶装置を備え、所定の基本OSやミドルウェア等のプログラムが実行されることにより、上記通信部等の各部を制御することができる。   The access point 20 includes, for example, a control unit, a first communication unit that performs wireless LAN communication with the communication terminal device 10 using a predetermined communication method, and the various servers 40 and 50 and the Internet 90 via the core network 30 and the GW 35. A second communication unit that communicates with the various servers. The control unit includes a storage device including, for example, an MPU, a RAM, and a ROM, and can control each unit such as the communication unit by executing a program such as a predetermined basic OS or middleware.

本実施形態において、アクセスポイント20の制御部は、所定のプログラムが実行されることにより、他の通信部などと協働して次のような各手段としての機能を実現可能である。
例えば、アクセスポイント20の制御部は、所定のプログラムが実行されることにより、次の(A201)〜(A210)の各手段として機能する。
(A201)通信端末装置10からプローブ要求、認証要求及びアソシエーション要求を受信する手段。
(A202)アソシエーション要求に基づいて、アクセスポイント20(自身)を識別可能なアクセスポイント識別情報を含むポリシー確認要求をポリシーサーバ50に送信する手段。
(A203)アクセスポイント20(自身)に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定されたアクセスポイント20(自身)への接続可否情報を含むポリシー確認応答を、ポリシーサーバ50から受信する手段。
(A204)前記ポリシー確認応答に含まれる通信ポリシー情報又は接続可否情報を含むアソシエーション応答を、通信端末装置10に送信する手段。
(A205)通信端末装置10にプローブ応答及び認証要求を送信する手段。
(A206)通信ポリシー情報を記憶する手段。
(A207)ポリシーサーバ50から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段。
(A208)通信端末装置10から受信したアソシエーション要求に基づいて、アクセスポイント20(自身)に対する通信ポリシー情報を検索して取得する手段。
(A209)アクセスポイント20(自身)に対する通信ポリシー情報に基づいて、アクセスポイント20(自身)への接続可否を判定する手段。
(A210)アクセスポイント20(自身)に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定したアクセスポイント20(自身)への接続可否情報とを含むアソシエーション応答を、通信端末装置10に送信する手段。 In the present embodiment, the control unit of the access point 20 can implement the following functions as means in cooperation with other communication units and the like by executing a predetermined program.
For example, the control unit of the access point 20 functions as the following units (A201) to (A210) by executing a predetermined program.
(A201) Means for receiving a probe request, an authentication request, and an association request from the communication terminal device 10.
(A202) Means for transmitting a policy confirmation request including access point identification information capable of identifying the access point 20 (self) to the policy server 50 based on the association request.
(A203) Means for receiving, from the policy server 50, a policy confirmation response including communication policy information for the access point 20 (self) or information indicating whether or not the access point 20 (self) can be connected based on the communication policy information.
(A204) Means for transmitting an association response including communication policy information or connection permission information included in the policy confirmation response to the communication terminal device 10.
(A205) Means for transmitting a probe response and an authentication request to the communication terminal apparatus 10.
(A206) Means for storing communication policy information.
(A207) Means for receiving communication policy information to be updated from the policy server 50 and updating the stored communication policy information.
(A208) Means for searching and acquiring communication policy information for the access point 20 (self) based on the association request received from the communication terminal device 10.
(A209) Means for determining whether or not to connect to the access point 20 (self) based on communication policy information for the access point 20 (self).
(A210) Means for transmitting, to the communication terminal device 10, an association response including communication policy information for the access point 20 (self) or connection permission / inhibition information to the access point 20 (self) determined based on the communication policy information.

図3は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の一例を示すシーケンス図である。
なお、以下の図3及び図4〜図6における動作シーケンスは、主制御部110の記憶装置等に記憶されているプログラムに基づいて、主に主制御部110等により、無線通信部111、ベースバンド処理部112、アクセスポイント20、ゲートウェイ35、認証サーバ40及びポリシーサーバ50と協働して実行される。 FIG. 3 is a sequence diagram illustrating an example of connection control of wireless LAN communication when the connection between the communication terminal device 10 and the access point 20 is successful in the communication system of the present embodiment.
The operation sequences in FIG. 3 and FIGS. 4 to 6 below are based on the program stored in the storage device or the like of the main control unit 110, mainly by the main control unit 110, etc. It is executed in cooperation with the band processing unit 112, the access point 20, the gateway 35, the authentication server 40, and the policy server 50.

通信端末装置10において無線LANへの接続がオンにされたことが検知されると、主制御部110は、記憶装置に記憶されているリストを参照し、接続対象のネットワークのアクセスポイント種別情報であるESSIDを一つ取得し、そのESSIDを含むプローブ要求をブロードキャストする(ステップS101)。   When the communication terminal device 10 detects that the connection to the wireless LAN is turned on, the main control unit 110 refers to the list stored in the storage device, and uses the access point type information of the network to be connected. One ESSID is acquired, and a probe request including the ESSID is broadcast (step S101).

通信端末装置10からプローブ要求を受信すると、アクセスポイント20は、プローブ要求に含まれるESSIDが自身のESSIDと同じであれば、通信端末装置10にプローブ応答を返信する(ステップS102)。プローブ応答には、アクセスポイント20のアクセスポイント識別情報であるBSSID、暗号方式、認証方式、通信速度等のパラメータが含まれる。   When the probe request is received from the communication terminal apparatus 10, the access point 20 returns a probe response to the communication terminal apparatus 10 if the ESSID included in the probe request is the same as its own ESSID (step S102). The probe response includes parameters such as BSSID, which is access point identification information of the access point 20, an encryption method, an authentication method, and a communication speed.

アクセスポイント20からプローブ応答を受信しなければ、通信端末装置10は、記憶装置から他のESSIDを一つ取得し、そのESSIDを含むプローブ要求をブロードキャストする。一方、アクセスポイント20からプローブ応答を受信すると、通信端末装置10は、プローブ応答に含まれるアクセスポイント識別情報であるBSSID、及び対応するESSIDを、記憶装置に格納する。   If the probe response is not received from the access point 20, the communication terminal apparatus 10 acquires one other ESSID from the storage device and broadcasts a probe request including the ESSID. On the other hand, when receiving the probe response from the access point 20, the communication terminal device 10 stores the BSSID, which is the access point identification information included in the probe response, and the corresponding ESSID in the storage device.

次に、通信端末装置10は、プローブ応答を受信した後、自身のMAC(Media Access Control)アドレスの情報を含む認証要求をアクセスポイント20に送信する(ステップS103)。アクセスポイント20は、所定のアルゴリズムを用いて通信端末装置10を認証するか否かを決定し、その認証の結果を含む認証応答を返信する(ステップS104)。この認証は、例えば通信端末装置10のMACアドレスを識別子として行われる。   Next, after receiving the probe response, the communication terminal device 10 transmits an authentication request including information on its own MAC (Media Access Control) address to the access point 20 (step S103). The access point 20 determines whether or not to authenticate the communication terminal apparatus 10 using a predetermined algorithm, and returns an authentication response including the result of the authentication (step S104). This authentication is performed using, for example, the MAC address of the communication terminal device 10 as an identifier.

次に、通信端末装置10は、アクセスポイント20により認証されたことを確認した後、アクセスポイント20にアソシエーション(接続)要求を送信する(ステップS105)。アソシエーション要求には、アクセスポイント20のESSID、サポートレート、ポーリング利用要否等のパラメータが含まれる。アクセスポイント20は、通信端末装置10のMACアドレスが認証したMACアドレスであり、通信端末装置10から受信したアソシエーション要求に含まれるパラメータがすべて自身に対応していることを確認した後、接続許可する旨の情報を含むアソシエーション応答を通信端末装置10に送信する(ステップS106)。   Next, after confirming that the access terminal 20 has authenticated, the communication terminal apparatus 10 transmits an association (connection) request to the access point 20 (step S105). The association request includes parameters such as the ESSID of the access point 20, the support rate, and the necessity of polling use. The access point 20 confirms that the MAC address of the communication terminal device 10 is the authenticated MAC address, and all the parameters included in the association request received from the communication terminal device 10 correspond to itself, and then permits the connection. An association response including information to that effect is transmitted to communication terminal device 10 (step S106).

以上のS101〜S106の処理により、通信ネットワークレベルで、通信端末装置10からアクセスポイント接続を介した無線LAN通信によるネットワーク接続の通信経路が確立される。この状態では、通信端末装置10は、バックボーンネットワーク30を介して認証サーバ40やポリシーサーバ50との間でデータフレームの送受信が可能になる。しかしながら、この時点ではまだ、ユーザが認証サーバ40により認証されておらず、アプリケーションのレベルで接続が完了していないため、ゲートウェイ35を介してインターネット90等に接続することができない。   Through the processes in S101 to S106 described above, a communication path for network connection by wireless LAN communication from the communication terminal apparatus 10 via access point connection is established at the communication network level. In this state, the communication terminal device 10 can transmit and receive data frames with the authentication server 40 and the policy server 50 via the backbone network 30. However, at this point in time, the user has not been authenticated by the authentication server 40, and the connection has not been completed at the application level. Therefore, the user cannot connect to the Internet 90 or the like via the gateway 35.

次に、通信端末装置10は、例えばHTTP通信により所定URLのログインページを介して、ユーザIDとパスワードとBSSIDとを含む認証要求をアクセスポイント20に送信する(ステップS107)。なお、BSSIDは、通信端末装置10から送信する認証要求に含めずに、アクセスポイント20が認証サーバ40に転送する認証要求に付加するようにしてもよい。   Next, the communication terminal apparatus 10 transmits an authentication request including a user ID, a password, and a BSSID to the access point 20 via a login page with a predetermined URL by, for example, HTTP communication (step S107). The BSSID may be added to the authentication request transferred from the access point 20 to the authentication server 40 without being included in the authentication request transmitted from the communication terminal device 10.

通信端末装置10から認証要求を受信すると、アクセスポイント20は、その認証要求をゲートウェイ35を介して認証サーバ40に送信する(ステップS108)。   When receiving the authentication request from the communication terminal device 10, the access point 20 transmits the authentication request to the authentication server 40 via the gateway 35 (step S108).

アクセスポイント20から認証要求を受信すると、認証サーバ40は、認証要求に含まれるユーザIDとパスワードとについて加入者データベース45を参照してユーザ認証を行う(ステップS109)。このユーザ認証は、認証要求を送信してきた通信端末装置10の利用者が、上記ESSIDに対応するアクセスポイントを介した無線LAN通信を利用可能な利用者として予め登録された利用者であるかを確認する認証である。ユーザ認証に成功した場合には、BSSIDを含むポリシー確認要求をポリシーサーバ50に送信する(ステップS110)。   When receiving the authentication request from the access point 20, the authentication server 40 refers to the subscriber database 45 for user ID and password included in the authentication request, and performs user authentication (step S109). In this user authentication, whether the user of the communication terminal apparatus 10 that has transmitted the authentication request is a user registered in advance as a user who can use the wireless LAN communication via the access point corresponding to the ESSID. Authentication to be confirmed. If the user authentication is successful, a policy confirmation request including the BSSID is transmitted to the policy server 50 (step S110).

認証サーバ40からポリシー確認要求を受信すると、ポリシーサーバ50は、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS111)。ここで、上記検索して参照する通信ポリシー情報は、例えば、過去に接続エラーが生じた接続不可のアクセスポイントの一覧であるブラックリスト、又は、過去に接続エラーが生じていない接続可能なアクセスポイントの一覧であるホワイトリストなどの情報である(以下の接続制御例においても同様)。   When the policy confirmation request is received from the authentication server 40, the policy server 50 searches the policy database 55 based on the BSSID included in the policy confirmation request, and refers to the communication policy information related to the BSSID (step S111). Here, the communication policy information to be searched and referred to is, for example, a black list that is a list of connection points that cannot be connected in the past in which connection errors have occurred, or connectable access points that have not had connection errors in the past. This is information such as a white list that is a list of the above (the same applies to the following connection control examples).

次に、ポリシーサーバ50は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS112)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続可を示すフラグデータ「1」)を含むポリシー確認応答を、認証サーバ40に返信する(ステップS113)。   Next, the policy server 50 determines whether or not the communication terminal device 10 can connect to the access point 20 to be connected based on the referenced communication policy information (step S112). For example, it is determined by checking whether the BSSID of the access point 20 is included in the black list or the white list. If it is determined that the access point 20 can be connected because the BSSID of the access point 20 is not included in the black list (or included in the white list), an access is made based on the determination result. A policy confirmation response including information on whether or not to connect to the point 20 (for example, flag data “1” indicating that connection is possible) is returned to the authentication server 40 (step S113).

ポリシーサーバ50からポリシー確認応答を受信すると、認証サーバ40は、ユーザ認証結果と、ポリシー確認応答に含まれる接続可否情報とに基づいて、ゲートウェイ35を介してアクセスポイント20に認証応答を送信する(ステップS114)。例えば、ユーザ認証が成功し、且つ、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定された接続可否情報を受信した場合、認証サーバ40は、認証処理に成功した旨を示す認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する(ステップS114)。そして、アクセスポイント20は、認証サーバ40から受信した認証応答を通信端末装置10に送信する(ステップS115)。   Upon reception of the policy confirmation response from the policy server 50, the authentication server 40 transmits an authentication response to the access point 20 via the gateway 35 based on the user authentication result and the connectability information included in the policy confirmation response ( Step S114). For example, if the user authentication is successful and the BSSID of the access point 20 is not included in the black list (or included in the white list), it is determined that the connection to the access point 20 is possible. When the information is received, the authentication server 40 transmits an authentication response indicating that the authentication process has been successful to the access point 20 via the gateway 35 (step S114). And the access point 20 transmits the authentication response received from the authentication server 40 to the communication terminal device 10 (step S115).

なお、図3の例では、ポリシーサーバ50で接続可否判定を行っているが、認証サーバ40で接続可否判定を行ってもよい。この場合、ポリシーサーバ50は、認証サーバ40からポリシー確認要求を受信したとき、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を取り出す。そして、ポリシーサーバ50は、取り出した通信ポリシー情報を含むポリシー確認応答を認証サーバ40に返信する。認証サーバ40は、ポリシーサーバ50から受信した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。この判定結果と、ユーザ認証結果とに基づいて、認証サーバ40は、ゲートウェイ35を介してアクセスポイント20に認証応答を送信する。例えば、ユーザ認証が成功し、且つ、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、認証サーバ40は、認証処理に成功した旨を示す認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する。   In the example of FIG. 3, the policy server 50 determines whether or not connection is possible, but the authentication server 40 may determine whether or not connection is possible. In this case, when the policy server 50 receives the policy confirmation request from the authentication server 40, the policy server 50 searches the policy database 55 based on the BSSID included in the policy confirmation request, and extracts the communication policy information related to the BSSID. Then, the policy server 50 returns a policy confirmation response including the extracted communication policy information to the authentication server 40. Based on the communication policy information received from the policy server 50, the authentication server 40 determines whether or not the communication terminal device 10 can connect to the access point 20 to be connected. For example, it is determined by checking whether the BSSID of the access point 20 is included in the black list or the white list. Based on the determination result and the user authentication result, the authentication server 40 transmits an authentication response to the access point 20 via the gateway 35. For example, if the user authentication is successful and the BSSID of the access point 20 is not included in the black list (or included in the white list), it is determined that the connection to the access point 20 is possible. The server 40 transmits an authentication response indicating that the authentication process has been successful to the access point 20 via the gateway 35.

アクセスポイント20から上記認証応答を受信すると、通信端末装置10は、アプリケーションのレベルにおけるインターネット90への接続に優先的に使用される通信経路(以下「ネットワーク接続のデフォルト通信経路」という。)を、基地局60を介するセルラー通信の通信経路(第1の通信経路)から、アクセスポイント20を介する無線LAN通信の通信経路(第2の通信経路)に切り替える(ステップS116)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。   When receiving the authentication response from the access point 20, the communication terminal apparatus 10 uses a communication path (hereinafter referred to as “default communication path for network connection”) that is preferentially used for connection to the Internet 90 at the application level. The communication path (first communication path) for cellular communication via the base station 60 is switched to the communication path (second communication path) for wireless LAN communication via the access point 20 (step S116). As a result, the communication terminal device 10 can connect to the Internet 90 using the wireless LAN communication path preferentially.

図4は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の一例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS201〜S211については、図3に示されるステップS101〜S111と同じであるので、それらの説明を省略する。   FIG. 4 is a sequence diagram showing an example of connection control for wireless LAN communication when the connection between the communication terminal device 10 and the access point 20 fails in the communication system of the present embodiment. In this operation sequence, steps S201 to S211 are the same as steps S101 to S111 shown in FIG.

ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照した後、ポリシーサーバ50は、その参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS212)。例えば、上記ブラックリストやホワイトリストにBSSIDが含まれているか否かを確認して判定する。ここで、ユーザ認証には成功したがアクセスポイント20のBSSIDが上記ブラックリストに含まれている(又は上記ホワイトリストに含まれていない)ためアクセスポイント20への接続不可と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続不可を示すフラグデータ「0」)を含むポリシー確認応答を、認証サーバ40に返信する(ステップS213)。   After searching the policy database 55 based on the BSSID included in the policy confirmation request and referring to the communication policy information related to the BSSID, the policy server 50 determines that the communication terminal device 10 is to be connected based on the referred communication policy information. It is determined whether or not connection to the access point 20 is possible (step S212). For example, it is determined by checking whether or not BSSID is included in the black list or white list. Here, when the user authentication is successful but the BSSID of the access point 20 is included in the black list (or is not included in the white list), it is determined that connection to the access point 20 is impossible. Based on the result, a policy confirmation response including information on whether or not to connect to the access point 20 (for example, flag data “0” indicating that connection is not possible) is returned to the authentication server 40 (step S213).

ポリシーサーバ50からポリシー確認応答を受信すると、認証サーバ40は、ユーザ認証結果と、ポリシー確認応答に含まれる接続可否情報とに基づいて、認証処理に失敗した旨を示す認証エラーの認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する(ステップS214)。そして、アクセスポイント20は、認証サーバ40から受信した認証応答を通信端末装置10に送信する(ステップS215)。   Upon reception of the policy confirmation response from the policy server 50, the authentication server 40 sends an authentication error authentication response indicating that the authentication processing has failed based on the user authentication result and the connection availability information included in the policy confirmation response. It transmits to the access point 20 via the gateway 35 (step S214). And the access point 20 transmits the authentication response received from the authentication server 40 to the communication terminal device 10 (step S215).

アクセスポイント20から認証応答を受信すると、通信端末装置10は、認証が失敗したことを確認した後、そのアクセスポイント20との接続処理を中止するための切断要求をアクセスポイント20に送信する(ステップS216)。すると、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。   Upon receiving the authentication response from the access point 20, the communication terminal apparatus 10 confirms that the authentication has failed, and then transmits a disconnection request for stopping the connection process with the access point 20 to the access point 20 (step) S216). Then, the default communication path of the network connection is maintained as a communication path of cellular communication via the base station 60 and cannot be switched to wireless LAN communication via the access point 20. Therefore, when viewed from the user operating the communication terminal device 10, the network connection at the application level is not disconnected and the network connection can be used continuously. And convenience are improved.

以上、図3及び図4の無線LAN通信の接続制御例によれば、認証サーバ40が認証要求を受信したとき、ポリシーサーバ50にアクセスし、通信端末装置10からアクセスポイント20への接続可否判定の結果を取得し、その接続可否判定の結果を含む認証応答を通信端末装置10に送信している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。   As described above, according to the connection control examples of the wireless LAN communication of FIGS. 3 and 4, when the authentication server 40 receives the authentication request, the policy server 50 is accessed, and the communication terminal device 10 can determine whether or not to connect to the access point 20. And an authentication response including the result of the connection determination is transmitted to the communication terminal device 10. Therefore, the communication terminal device 10 needs to store communication policy information related to a plurality of access points in advance, or periodically download and update communication policy information related to the plurality of access points via a communication network. Absent. Therefore, communication via the access point 20 can be controlled based on the latest communication policy information for each individual access point (for each BSSID) without increasing the load on the communication terminal device 10 and the communication network. .

特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。   In particular, for each of a plurality of access points that can roam with each other when the communication terminal apparatus 10 is moving, the access point 20 is set for each individual access point (for each BSSID) based on the latest communication policy information. Communication can be controlled.

また、図3及び図4の無線LAN通信の接続制御例によれば、通信端末装置10と認証サーバ40との間のシーケンスは従来と同様であるため、当該シーケンスにおいては既存処理を応用することができる。また、無線LAN通信の接続処理時において、通信量や処理時間のオーバヘッドを低く抑えることができるため、通信端末装置10の利用者の体感や操作性に変化がなく、従来と同様な体感や操作性で無線LAN通信を利用できる。   Further, according to the connection control examples of the wireless LAN communication shown in FIGS. 3 and 4, the sequence between the communication terminal device 10 and the authentication server 40 is the same as the conventional one, and therefore existing processing is applied in the sequence. Can do. In addition, since the overhead of communication volume and processing time can be kept low at the time of wireless LAN communication connection processing, there is no change in the user experience and operability of the communication terminal device 10, and the same experience and operation as before. Wireless LAN communication can be used.

また、図3及び図4の無線LAN通信の接続制御例によれば、通信端末装置10が認証サーバ40との間の認証処理に対応していれば、通信端末装置10への追加実装がなくても、通信ポリシー情報に基づくアクセスポイント20への接続制御(以下「ポリシー制御」という。)に対応していない通信端末装置に対しても分け隔てなく、認証時に通信ポリシー情報を適用できる。つまり、ポリシーサーバ50に格納される通信ポリシー情報は、例えば特定の通信端末装置への追加実装によりアップロードされた情報やネットワーク側で管理している情報を元に作成される場合があるが、それによって作成された通信ポリシー情報は、ポリシー制御に関する追加実装を行っていない通信端末装置にも、認証サーバ40との間の認証処理にさえ対応していれば適用できる。   Further, according to the connection control examples of the wireless LAN communication in FIGS. 3 and 4, if the communication terminal device 10 supports the authentication process with the authentication server 40, there is no additional mounting on the communication terminal device 10. However, the communication policy information can be applied at the time of authentication without being divided even for communication terminal devices that do not support connection control to the access point 20 based on the communication policy information (hereinafter referred to as “policy control”). In other words, the communication policy information stored in the policy server 50 may be created based on information uploaded by additional mounting to a specific communication terminal device or information managed on the network side. The communication policy information created by the above can be applied to a communication terminal device that has not been additionally implemented with respect to policy control as long as it supports the authentication process with the authentication server 40.

また、図3及び図4の無線LAN通信の接続制御例によれば、認証サーバ40から認証応答を受信するまで、セルラー通信の通信経路が維持されるため、認証処理に失敗した旨を示す認証エラーの認証応答を受信した場合でもネットワーク接続が切断されない。   Further, according to the connection control examples of the wireless LAN communication in FIGS. 3 and 4, since the communication path of the cellular communication is maintained until the authentication response is received from the authentication server 40, the authentication indicating that the authentication process has failed. Even if an error authentication response is received, the network connection is not disconnected.

なお、図3及び図4の無線LAN通信の接続制御例において、認証サーバ40は、利用者認証処理が成功した場合にポリシー確認要求をポリシーサーバ50に送信し、利用者認証処理が失敗した場合にポリシー確認要求をポリシーサーバ50に送信しないように制御してもよい。この場合は、利用者認証処理が失敗した場合に、アクセスポイント20に対する通信ポリシー情報を確認する不要な確認処理を省略することで、認証サーバ40及びポリシーサーバ50における処理の負荷、及び、サーバ40,50間の通信回線や通信ネットワークにおける負荷を、低減することができる。   3 and 4, the authentication server 40 transmits a policy confirmation request to the policy server 50 when the user authentication process is successful, and the user authentication process fails. It may be controlled not to send a policy confirmation request to the policy server 50. In this case, when the user authentication process fails, an unnecessary confirmation process for confirming the communication policy information for the access point 20 is omitted, so that the processing load on the authentication server 40 and the policy server 50 and the server 40 , 50, the load on the communication line or communication network can be reduced.

また、図3及び図4の無線LAN通信の接続制御例では、認証サーバ40がポリシーサーバ50から通信ポリシー情報を取得して接続対象のアクセスポイント20について接続可能か否かを判定しているが、ポリシーサーバ50が通信ポリシー情報に基づいて接続対象のアクセスポイント20について接続可能か否かを判定してもよい。この場合、ポリシーサーバ50で判定された接続対象のアクセスポイント20について接続可能か否かを示す接続可否情報が、ポリシーサーバ50から認証サーバ40に送信される。そして、認証サーバ40は、ポリシーサーバ50から受信した接続可否情報と、ユーザ認証結果とに基づいて、認証応答を通信端末装置10に送信する。ポリシーサーバ50から認証サーバ40へは、通信ポリシー情報そのものではなく、比較的データサイズが小さい接続可否情報が送信されるため、認証サーバ40とポリシーサーバ50との間の通信ネットワークの負荷の増大を防止できる。   3 and 4, the authentication server 40 acquires communication policy information from the policy server 50 and determines whether or not the connection target access point 20 can be connected. The policy server 50 may determine whether or not the connection target access point 20 can be connected based on the communication policy information. In this case, connection enable / disable information indicating whether or not the connection target access point 20 determined by the policy server 50 can be connected is transmitted from the policy server 50 to the authentication server 40. Then, the authentication server 40 transmits an authentication response to the communication terminal device 10 based on the connectability information received from the policy server 50 and the user authentication result. Since the policy server 50 transmits not the communication policy information itself but the connection availability information having a relatively small data size, the communication network load between the authentication server 40 and the policy server 50 is increased. Can be prevented.

なお、図3及び図4の無線LAN通信の接続制御例では、ユーザ認証(S109、S209)の後にポリシー検索及び接続可否判定(S111〜S113、S211〜S213)を行っているが、ポリシー検索及び接続可否判定の後にユーザ認証を行ってもよい。   In the wireless LAN communication connection control examples of FIGS. 3 and 4, the policy search and the connection possibility determination (S111 to S113, S211 to S213) are performed after the user authentication (S109, S209). User authentication may be performed after the connection possibility determination.

図5は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS301〜S309については、図3に示されるステップS101〜S109と同じであるので、それらの説明を省略する。   FIG. 5 is a sequence diagram showing another example of connection control of wireless LAN communication when the connection between the communication terminal device 10 and the access point 20 is successful in the communication system of the present embodiment. In this operation sequence, steps S301 to S309 are the same as steps S101 to S109 shown in FIG.

図5中のステップS309においてユーザ認証に成功した場合、認証サーバ40は、ユーザ認証に成功した旨を示す認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する(ステップS310)。そして、アクセスポイント20は、認証サーバ40から受信した認証応答を通信端末装置10に送信する(ステップS311)。   If the user authentication is successful in step S309 in FIG. 5, the authentication server 40 transmits an authentication response indicating that the user authentication is successful to the access point 20 via the gateway 35 (step S310). And the access point 20 transmits the authentication response received from the authentication server 40 to the communication terminal device 10 (step S311).

アクセスポイント20から認証応答を受信すると、通信端末装置10は、ユーザ認証に成功したことを確認した後、例えばHTTP通信により、接続対象のアクセスポイント20のBSSIDを含むポリシー確認要求をアクセスポイント20に送信する(ステップS312)。なお、BSSIDは、通信端末装置10から送信するポリシー確認要求に含めずに、アクセスポイント20が認証サーバ40に転送するポリシー確認要求に付加するようにしてもよい。   When receiving the authentication response from the access point 20, the communication terminal apparatus 10 confirms that the user authentication is successful, and then sends a policy confirmation request including the BSSID of the access point 20 to be connected to the access point 20 by, for example, HTTP communication. Transmit (step S312). The BSSID may be added to the policy confirmation request transferred from the access point 20 to the authentication server 40 without being included in the policy confirmation request transmitted from the communication terminal device 10.

通信端末装置10からポリシー確認要求を受信すると、アクセスポイント20は、そのポリシー確認要求をゲートウェイ35を介してポリシーサーバ50に送信する(ステップS313)。   When receiving the policy confirmation request from the communication terminal device 10, the access point 20 transmits the policy confirmation request to the policy server 50 via the gateway 35 (step S313).

通信端末装置10からポリシー確認要求を受信すると、ポリシーサーバ50は、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS314)。   When receiving the policy confirmation request from the communication terminal device 10, the policy server 50 searches the policy database 55 based on the BSSID included in the policy confirmation request, and refers to the communication policy information related to the BSSID (step S314).

次に、ポリシーサーバ50は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS315)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続可を示すフラグデータ「1」)を含むポリシー確認応答を、アクセスポイント20を介して通信端末装置10に返信する(ステップS316、317)。   Next, the policy server 50 determines whether or not the communication terminal device 10 is connectable to the connection target access point 20 based on the referenced communication policy information (step S315). For example, it is determined by checking whether the BSSID of the access point 20 is included in the black list or the white list. If it is determined that the access point 20 can be connected because the BSSID of the access point 20 is not included in the black list (or included in the white list), an access is made based on the determination result. A policy confirmation response including information on whether or not to connect to the point 20 (for example, flag data “1” indicating that connection is possible) is returned to the communication terminal device 10 via the access point 20 (steps S316 and 317).

ポリシーサーバ50から、上記アクセスポイント20への接続が可能と判定した判定結果を含むポリシー確認応答を受信すると、通信端末装置10は、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS318)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。   When receiving a policy confirmation response including a determination result determined that connection to the access point 20 is possible from the policy server 50, the communication terminal apparatus 10 uses the default communication path of the network connection as a cellular communication via the base station 60. The communication path is switched to the communication path for wireless LAN communication via the access point 20 (step S318). As a result, the communication terminal device 10 can connect to the Internet 90 using the wireless LAN communication path preferentially.

図6は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS401〜S417については、図5に示されるステップS301〜S317と同じであるので、それらの説明は省略する。   FIG. 6 is a sequence diagram illustrating another example of connection control for wireless LAN communication when connection between the communication terminal device 10 and the access point 20 fails in the communication system according to the present embodiment. In this operation sequence, steps S401 to S417 are the same as steps S301 to S317 shown in FIG.

図6において、ポリシーサーバ50から、上記アクセスポイント20への接続が不可と判定した判定結果を含むポリシー確認応答を受信した場合、又は上記ユーザ認証に失敗した場合、通信端末装置10は、アクセスポイント20との接続処理を中止するための切断要求をアクセスポイント20に送信する(ステップS418)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。   In FIG. 6, when a policy confirmation response including a determination result determined that connection to the access point 20 is impossible from the policy server 50 or when the user authentication fails, the communication terminal device 10 A disconnection request for canceling the connection process with 20 is transmitted to the access point 20 (step S418). As a result, the default communication path for the network connection is maintained as a communication path for cellular communication via the base station 60 and cannot be switched to a communication path for wireless LAN communication via the access point 20. Therefore, when viewed from the user operating the communication terminal device 10, the network connection at the application level is not disconnected and the network connection can be used continuously. And convenience are improved.

以上、図5及び図6の無線LAN通信の接続制御例によれば、通信端末装置10が認証サーバ40からユーザ認証に成功した旨の認証応答を受信したとき、ポリシーサーバ50にアクセスし、通信端末装置10からアクセスポイント20への接続可否判定の結果を含むポリシー確認応答を受信し、その接続可否判定の結果に基づいて、アクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。   As described above, according to the connection control examples of the wireless LAN communication of FIGS. 5 and 6, when the communication terminal device 10 receives an authentication response indicating that the user authentication has been successful from the authentication server 40, the communication terminal device 10 accesses the policy server 50 to A policy confirmation response including the result of determining whether or not the terminal device 10 can be connected to the access point 20 is received, and the connection to the access point 20 is controlled based on the result of determining whether or not the connection is possible. Therefore, the communication terminal device 10 needs to store communication policy information related to a plurality of access points in advance, or periodically download and update communication policy information related to the plurality of access points via a communication network. Absent. Therefore, communication via the access point 20 can be controlled based on the latest communication policy information for each individual access point (for each BSSID) without increasing the load on the communication terminal device 10 and the communication network. .

特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。   In particular, for each of a plurality of access points that can roam with each other when the communication terminal apparatus 10 is moving, the access point 20 is set for each individual access point (for each BSSID) based on the latest communication policy information. Communication can be controlled.

また、図5及び図6の無線LAN通信の接続制御例によれば、ポリシーサーバ50からポリシー確認応答を受信するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。   Further, according to the wireless LAN communication connection control examples of FIGS. 5 and 6, since the communication path of cellular communication is maintained until the policy confirmation response is received from the policy server 50, the connection to the access point 20 is impossible. Even if it is judged, the network connection is not disconnected.

また、図5及び図6の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。   Further, according to the connection control examples of the wireless LAN communication in FIGS. 5 and 6, since the process in the authentication server 40 is the same as the conventional process, the modification of the authentication server 40 is unnecessary.

また、図5及び図6の無線LAN通信の接続制御例によれば、ポリシーサーバ50から通信端末装置10へは、通信ポリシー情報そのものではなく、比較的データサイズが小さい接続可否情報が送信されるため、通信端末装置10とポリシーサーバ50との間の通信ネットワークの負荷の増大を防止できる。   Further, according to the connection control example of the wireless LAN communication in FIGS. 5 and 6, not the communication policy information itself but the connection availability information having a relatively small data size is transmitted from the policy server 50 to the communication terminal device 10. Therefore, an increase in the load on the communication network between the communication terminal device 10 and the policy server 50 can be prevented.

なお、図5及び図6の無線LAN通信の接続制御例において、認証サーバ40による利用者認証処理が成功した場合にポリシー確認要求を通信端末装置10からポリシーサーバ50に送信し、利用者認証処理が失敗した場合にポリシー確認要求を通信端末装置10からポリシーサーバ50に送信しないように制御してもよい。この場合は、認証サーバ40での利用者認証処理が失敗した場合に、通信端末装置10がポリシーサーバ50に対してアクセスポイント20に対する通信ポリシー情報を確認する不要な確認処理を省略することで、通信端末装置10及びポリシーサーバ50における処理の負荷、及び、それらの間の通信回線や通信ネットワークにおける負荷を、低減することができる。   5 and 6, when the user authentication process by the authentication server 40 is successful, a policy confirmation request is transmitted from the communication terminal device 10 to the policy server 50, and the user authentication process is performed. Control may be performed so that a policy confirmation request is not transmitted from the communication terminal apparatus 10 to the policy server 50 when the process fails. In this case, when the user authentication process in the authentication server 40 fails, the communication terminal apparatus 10 omits an unnecessary confirmation process for confirming the communication policy information for the access point 20 with respect to the policy server 50. It is possible to reduce the processing load on the communication terminal device 10 and the policy server 50 and the load on the communication line or communication network between them.

また、図5及び図6の無線LAN通信の接続制御例では、ポリシーサーバ50が通信ポリシー情報に基づいて接続対象のアクセスポイント20について接続可能か否かを判定しているが、通信端末装置10がポリシーサーバ50から通信ポリシー情報を取得して接続対象のアクセスポイント20について接続可能か否かを判定してもよい。この場合、ポリシーサーバ50で検索されて取り出された、接続対象のアクセスポイント20を介した接続に関する通信ポリシー情報が、ポリシーサーバ50から通信端末装置10に送信される。そして、通信端末装置10は、ポリシーサーバ50から受信した通信ポリシー情報に基づいて、接続対象のアクセスポイント20について接続可能か否かを判定し、アクセスポイント20との接続を制御する。   5 and 6, the policy server 50 determines whether or not the connection target access point 20 can be connected based on the communication policy information. May acquire communication policy information from the policy server 50 and determine whether or not the access point 20 to be connected is connectable. In this case, the communication policy information relating to the connection through the connection target access point 20 retrieved by the policy server 50 is transmitted from the policy server 50 to the communication terminal device 10. Then, the communication terminal device 10 determines whether or not the access point 20 to be connected is connectable based on the communication policy information received from the policy server 50 and controls the connection with the access point 20.

また、図5及び図6の無線LAN通信の接続制御例において、ネットワーク通信における通信時間のオーバヘッドを考慮し、認証サーバ40でのユーザ認証処理に時間がかかった場合、例えば認証要求の送信から認証応答の受信までの時間が予め設定した閾値よりも長かった場合は、ポリシーサーバ50への問い合わせ(ポリシー確認要求の送信)を省略し、認証サーバ40でのユーザ認証の結果に基づいてアクセスポイント20との接続の制御を行ってもよい。これにより、ベストエフォートで無線LAN通信の接続処理を行うことができる。   Further, in the connection control examples of the wireless LAN communication of FIGS. 5 and 6, in consideration of the communication time overhead in the network communication, if it takes time for the user authentication processing in the authentication server 40, for example, the authentication request is transmitted to the authentication. If the time until the response is received is longer than a preset threshold value, the inquiry to the policy server 50 (transmission of the policy confirmation request) is omitted, and the access point 20 is based on the result of user authentication in the authentication server 40. You may control connection with. Thereby, connection processing of wireless LAN communication can be performed at best effort.

また、図5及び図6の無線LAN通信の接続制御例において、通信端末装置10からポリシーサーバ50への問い合わせ時(ポリシー確認要求の送信〜ポリシー確認応答の受信)のタイムアウト時間を短めに(例えば、認証サーバ40への認証処理時のタイムアウト時間よりも短めに)設定してもよい。通信端末装置10からポリシーサーバ50への問い合わせ時にタイムアウトになった場合は、認証サーバ40でのユーザ認証の結果に基づいてアクセスポイント20との接続の制御を行う。これにより、ベストエフォートで無線LAN通信の接続処理を行うことができる。   In the wireless LAN communication connection control examples of FIGS. 5 and 6, the timeout time at the time of inquiry from the communication terminal device 10 to the policy server 50 (transmission of policy confirmation request to reception of policy confirmation response) is shortened (for example, Alternatively, it may be set shorter than the time-out period during authentication processing to the authentication server 40. When a time-out occurs when the communication terminal device 10 makes an inquiry to the policy server 50, the connection with the access point 20 is controlled based on the result of user authentication in the authentication server 40. Thereby, connection processing of wireless LAN communication can be performed at best effort.

なお、図5及び図6の無線LAN通信の接続制御例では、ユーザ認証(S307〜S311、S407〜S411)の後にポリシー検索及び接続可否判定(S312〜S317、S412〜S417)を行っているが、ポリシー検索及び接続可否判定の後にユーザ認証を行ってもよい。   In the wireless LAN communication connection control examples of FIGS. 5 and 6, policy search and connection possibility determination (S312 to S317, S412 to S417) are performed after user authentication (S307 to S311, S407 to S411). The user authentication may be performed after the policy search and the connection possibility determination.

図7は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図である。図7の接続制御において、認証サーバ40は、ポリシーサーバ50と同様に、アクセスポイント20を介した通信端末装置10と通信ネットワークとの通信に関する通信ポリシー情報が格納されたポリシーデータベース(DB)を備えている。なお、この動作シーケンスのうち、ステップS504〜S512については、図3に示されるステップS101〜S109と同じであるので、それらの説明は省略する。   FIG. 7 is a sequence diagram illustrating still another example of connection control of wireless LAN communication when the connection between the communication terminal device 10 and the access point 20 is successful in the communication system according to the present embodiment. In the connection control of FIG. 7, similarly to the policy server 50, the authentication server 40 includes a policy database (DB) in which communication policy information regarding communication between the communication terminal device 10 and the communication network via the access point 20 is stored. ing. In this operation sequence, steps S504 to S512 are the same as steps S101 to S109 shown in FIG.

図7において、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新される(ステップS501)と、ポリシーサーバ50は、その更新された通信ポリシー情報に関するポリシー更新情報を認証サーバ40に送信する(ステップS502)。認証サーバ40は、ポリシーサーバ50から受信したポリシー更新情報に基づいて、ポリシーデータベース(DB)内の所定の通信ポリシー情報を更新する(ステップS503)。なお、認証サーバ40におけるポリシーデータベース(DB)の更新処理は、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新されたとき以外のタイミング、例えば、予め設定した所定の定期的なタイミングに行ってもよい。また、認証サーバ40におけるポリシーデータベース(DB)を、予め設定した所定のタイミングに、ポリシーサーバ50のポリシーデータベース(DB)55と同期させるようにしてもよい。   In FIG. 7, when the communication policy information stored in the policy database (DB) 55 of the policy server 50 is updated (step S501), the policy server 50 authenticates the policy update information related to the updated communication policy information. It transmits to the server 40 (step S502). The authentication server 40 updates predetermined communication policy information in the policy database (DB) based on the policy update information received from the policy server 50 (step S503). The update process of the policy database (DB) in the authentication server 40 is performed at a timing other than when the communication policy information stored in the policy database (DB) 55 of the policy server 50 is updated, for example, a predetermined predetermined value. You may go at regular timing. Further, the policy database (DB) in the authentication server 40 may be synchronized with the policy database (DB) 55 of the policy server 50 at a predetermined timing set in advance.

図7中のステップS512においてユーザ認証に成功した場合、認証サーバ40は、アクセスポイント20からの認証要求に含まれるBSSIDに基づいてポリシーデータベースを検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS513)。   If the user authentication is successful in step S512 in FIG. 7, the authentication server 40 searches the policy database based on the BSSID included in the authentication request from the access point 20, and refers to the communication policy information related to the BSSID (step). S513).

次に、認証サーバ40は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS514)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、ユーザ認証に成功した旨の認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する(ステップS515)。アクセスポイント20は、認証サーバ40から受信した認証応答を通信端末装置10に送信する(ステップS516)。   Next, the authentication server 40 determines whether or not the communication terminal device 10 can connect to the access point 20 to be connected based on the referenced communication policy information (step S514). For example, it is determined by checking whether the BSSID of the access point 20 is included in the black list or the white list. Here, when it is determined that the access point 20 can be connected because the BSSID of the access point 20 is not included in the black list (or included in the white list), the user is determined based on the determination result. An authentication response indicating that the authentication has succeeded is transmitted to the access point 20 via the gateway 35 (step S515). The access point 20 transmits the authentication response received from the authentication server 40 to the communication terminal device 10 (step S516).

ユーザ認証に成功した旨の認証応答を受信すると、通信端末装置10は、通信経路切替処理を実行する(ステップS517)。具体的には、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。   When receiving the authentication response indicating that the user authentication is successful, the communication terminal apparatus 10 executes a communication path switching process (step S517). Specifically, the default communication path for the network connection is switched from the communication path for cellular communication via the base station 60 to the communication path for wireless LAN communication via the access point 20. As a result, the communication terminal device 10 can connect to the Internet 90 using the wireless LAN communication path preferentially.

図8は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS601〜S613については、図7に示されるステップS501〜S513と同じであるので、以下では説明を省略する。   FIG. 8 is a sequence diagram showing still another example of connection control for wireless LAN communication when connection between the communication terminal device 10 and the access point 20 fails in the communication system of the present embodiment. In this operation sequence, steps S601 to S613 are the same as steps S501 to S513 shown in FIG.

認証要求に含まれるBSSIDに基づいてポリシーデータベースを検索し、そのBSSIDに関する通信ポリシー情報を参照した後、認証サーバ40は、その参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS614)。例えば、上記ブラックリストやホワイトリストにBSSIDが含まれているか否かを確認して判定する。ここで、ユーザ認証には成功したがアクセスポイント20のBSSIDが上記ブラックリストに含まれている(又は上記ホワイトリストに含まれていない)ためアクセスポイント20への接続不可と判定した場合、その判定結果に基づいて、ユーザ認証に失敗した旨の認証応答を、アクセスポイント20を介して通信端末装置10に返信する(ステップS615、S616)。   After searching the policy database based on the BSSID included in the authentication request and referring to the communication policy information related to the BSSID, the authentication server 40 determines that the communication terminal device 10 is connected to the connection target access based on the referred communication policy information. It is determined whether or not connection to the point 20 is possible (step S614). For example, it is determined by checking whether or not BSSID is included in the black list or white list. Here, when the user authentication is successful but the BSSID of the access point 20 is included in the black list (or is not included in the white list), it is determined that connection to the access point 20 is impossible. Based on the result, an authentication response to the effect that user authentication has failed is returned to the communication terminal device 10 via the access point 20 (steps S615 and S616).

認証サーバ40からアクセスポイント20を介して認証応答を受信すると、通信端末装置10は、認証が失敗したことを確認した後、そのアクセスポイント20との接続処理の中止するための切断要求をアクセスポイント20に送信する(ステップS617)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。   Upon receiving an authentication response from the authentication server 40 via the access point 20, the communication terminal apparatus 10 confirms that the authentication has failed, and then sends a disconnection request for canceling the connection processing with the access point 20 to the access point. 20 (step S617). As a result, the default communication path for the network connection is maintained as a communication path for cellular communication via the base station 60 and cannot be switched to a communication path for wireless LAN communication via the access point 20. Therefore, when viewed from the user operating the communication terminal device 10, the network connection at the application level is not disconnected and the network connection can be used continuously. And convenience are improved.

以上、図7及び図8の無線LAN通信の接続制御例によれば、認証サーバ40が認証要求を受信したとき、自身のポリシーデータベースを参照して、通信端末装置10からアクセスポイント20への接続可否判定を行い、その接続可否判定の結果を含む認証応答を通信端末装置10に送信している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。   As described above, according to the wireless LAN communication connection control examples of FIGS. 7 and 8, when the authentication server 40 receives the authentication request, the connection from the communication terminal device 10 to the access point 20 is referred to by referring to its own policy database. An authentication response including a result of the connection determination is transmitted to the communication terminal device 10. Therefore, the communication terminal device 10 needs to store communication policy information related to a plurality of access points in advance, or periodically download and update communication policy information related to the plurality of access points via a communication network. Absent. Therefore, communication via the access point 20 can be controlled based on the latest communication policy information for each individual access point (for each BSSID) without increasing the load on the communication terminal device 10 and the communication network. .

特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。   In particular, for each of a plurality of access points that can roam with each other when the communication terminal apparatus 10 is moving, the access point 20 is set for each individual access point (for each BSSID) based on the latest communication policy information. Communication can be controlled.

また、図7及び図8の無線LAN通信の接続制御例によれば、通信端末装置10と認証サーバ40との間のシーケンスは従来と同様であるため、当該シーケンスにおいては既存処理を応用することができる。また、無線LAN通信の接続処理時において、通信量や処理時間のオーバヘッドを低く抑えることができるため、通信端末装置10の利用者の体感や操作性に変化がなく、従来と同様な体感や操作性で無線LAN通信を利用できる。   Further, according to the connection control examples of the wireless LAN communication shown in FIGS. 7 and 8, the sequence between the communication terminal device 10 and the authentication server 40 is the same as the conventional one, so that the existing processing is applied in the sequence. Can do. In addition, since the overhead of communication volume and processing time can be kept low at the time of wireless LAN communication connection processing, there is no change in the user experience and operability of the communication terminal device 10, and the same experience and operation as before. Wireless LAN communication can be used.

また、図7及び図8の無線LAN通信の接続制御例によれば、通信端末装置10が認証サーバ40との間の認証処理に対応していれば、通信端末装置10への追加実装がなくても、ポリシー制御に対応していない通信端末装置に対しても分け隔てなく、認証時に通信ポリシー情報を適用できる。つまり、認証サーバ40及びポリシーサーバ50に格納される通信ポリシー情報は、例えば特定の通信端末装置への追加実装によりアップロードされた情報やネットワーク側で管理している情報を元に作成される場合があるが、それによって作成された通信ポリシー情報は、ポリシー制御に関する追加実装を行っていない通信端末装置にも、認証サーバ40との間の認証処理にさえ対応していれば適用できる。   Further, according to the wireless LAN communication connection control examples of FIGS. 7 and 8, if the communication terminal device 10 supports the authentication process with the authentication server 40, there is no additional mounting on the communication terminal device 10. However, communication policy information can be applied at the time of authentication without being divided even for communication terminal devices that do not support policy control. That is, the communication policy information stored in the authentication server 40 and the policy server 50 may be created based on, for example, information uploaded by additional mounting on a specific communication terminal device or information managed on the network side. However, the communication policy information created thereby can be applied to a communication terminal device that is not additionally implemented with respect to policy control as long as it can handle authentication processing with the authentication server 40.

また、図7及び図8の無線LAN通信の接続制御例によれば、認証サーバ40から認証応答を受信するまで、セルラー通信の通信経路が維持されるため、認証処理に失敗した旨を示す認証エラーの認証応答を受信した場合でもネットワーク接続が切断されない。   Further, according to the wireless LAN communication connection control examples of FIGS. 7 and 8, since the communication path of cellular communication is maintained until an authentication response is received from the authentication server 40, authentication indicating that the authentication process has failed. Even if an error authentication response is received, the network connection is not disconnected.

なお、図7及び図8の無線LAN通信の接続制御例では、ユーザ認証(S512、S612)の後にポリシー検索及び接続可否判定(S513〜S514、S613〜S614)を行っているが、ポリシー検索及び接続可否判定の後にユーザ認証を行ってもよい。   In the wireless LAN communication connection control example of FIGS. 7 and 8, policy search and connection possibility determination (S513 to S514, S613 to S614) are performed after user authentication (S512, S612). User authentication may be performed after the connection possibility determination.

図9は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS701〜S704については、図3に示されるステップS101〜S104と同じであるので、それらの説明は省略する。   FIG. 9 is a sequence diagram showing still another example of connection control of wireless LAN communication when the connection between the communication terminal apparatus 10 and the access point 20 is successful in the communication system of the present embodiment. In this operation sequence, steps S701 to S704 are the same as steps S101 to S104 shown in FIG.

図9において、通信端末装置10からアソシエーション要求を受信すると、アクセスポイント20は、自身のBSSIDを含むポリシー確認要求をポリシーサーバ50に送信する(ステップS706)。   In FIG. 9, when the association request is received from the communication terminal device 10, the access point 20 transmits a policy confirmation request including its own BSSID to the policy server 50 (step S706).

アクセスポイント20からポリシー確認要求を受信すると、ポリシーサーバ50は、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS707)。   When receiving the policy confirmation request from the access point 20, the policy server 50 searches the policy database 55 based on the BSSID included in the policy confirmation request, and refers to the communication policy information related to the BSSID (step S707).

次に、ポリシーサーバ50は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS708)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続可を示すフラグデータ「1」)を含むポリシー確認応答を、アクセスポイント20に返信する(ステップS709)。   Next, the policy server 50 determines whether or not the communication terminal device 10 can be connected to the access point 20 to be connected based on the referenced communication policy information (step S708). For example, it is determined by checking whether the BSSID of the access point 20 is included in the black list or the white list. If it is determined that the access point 20 can be connected because the BSSID of the access point 20 is not included in the black list (or included in the white list), an access is made based on the determination result. A policy confirmation response including information on whether or not to connect to the point 20 (for example, flag data “1” indicating that connection is possible) is returned to the access point 20 (step S709).

ポリシーサーバ50からポリシー確認応答を受信すると、アクセスポイント20は、自身への接続を許可する旨の情報を含むアソシエーション応答を通信端末装置10に返信する(ステップS710)。   When receiving the policy confirmation response from the policy server 50, the access point 20 returns an association response including information indicating that connection to the access point 20 is permitted to the communication terminal device 10 (step S710).

なお、図9の例では、ポリシーサーバ50で接続可否判定を行っているが、アクセスポイント20で接続可否判定を行ってもよい。この場合、ポリシーサーバ50は、アクセスポイント20からポリシー確認要求を受信したとき、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を取り出す。そして、ポリシーサーバ50は、取り出した通信ポリシー情報を含むポリシー確認応答をアクセスポイント20に返信する。アクセスポイント20は、ポリシーサーバ50から受信した通信ポリシー情報に基づいて、通信端末装置10が自身に接続可能か否かを判定する。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。この判定結果に基づいて、アクセスポイント20は通信端末装置10にアソシエーション応答を送信する。例えば、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、アクセスポイント20は、接続を許可する旨を示すアソシエーション応答を通信端末装置10に送信する。   In the example of FIG. 9, the policy server 50 determines whether or not connection is possible, but the access point 20 may determine whether or not connection is possible. In this case, when the policy server 50 receives a policy confirmation request from the access point 20, the policy server 50 searches the policy database 55 based on the BSSID included in the policy confirmation request, and extracts communication policy information related to the BSSID. Then, the policy server 50 returns a policy confirmation response including the extracted communication policy information to the access point 20. Based on the communication policy information received from the policy server 50, the access point 20 determines whether or not the communication terminal device 10 can be connected to itself. For example, it is determined by checking whether the BSSID of the access point 20 is included in the black list or the white list. Based on the determination result, the access point 20 transmits an association response to the communication terminal device 10. For example, when the BSSID of the access point 20 is not included in the black list (or is included in the white list), if it is determined that the connection to the access point 20 is possible, the access point 20 permits the connection. An association response indicating that is transmitted to the communication terminal device 10.

アクセスポイント20から上記アソシエーション応答を受信すると、通信端末装置10は、認証サーバ40との間で認証処理(ステップS711〜S715)を実行した後、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS716)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。   Upon receiving the association response from the access point 20, the communication terminal apparatus 10 executes an authentication process (steps S 711 to S 715) with the authentication server 40, and then sets the default communication path for the network connection to the base station 60. The communication path of the cellular communication via is switched to the communication path of the wireless LAN communication via the access point 20 (step S716). As a result, the communication terminal device 10 can connect to the Internet 90 using the wireless LAN communication path preferentially.

図10は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS801〜S808については、図9に示されるステップS701〜S708と同じであるので、それらの説明は省略する。   FIG. 10 is a sequence diagram illustrating another example of connection control for wireless LAN communication when connection between the communication terminal device 10 and the access point 20 fails in the communication system according to the present embodiment. In this operation sequence, steps S801 to S808 are the same as steps S701 to S708 shown in FIG.

図10において、ポリシーサーバ50から、上記アクセスポイント20への接続が不可と判定した判定結果を含むポリシー確認応答を受信した場合(ステップS809)、アクセスポイント20は、自身への接続を拒否する旨のアソシエーション応答を、通信端末装置10に送信する(ステップS810)。通信端末装置10は、アクセスポイント20から受信したアソシエーション応答に基づいて、アクセスポイント20への接続処理を中断する(ステップS811)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路に切り替えられない。   In FIG. 10, when a policy confirmation response including a determination result that it is determined that connection to the access point 20 is not possible is received from the policy server 50 (step S809), the access point 20 refuses connection to itself. The association response is transmitted to the communication terminal device 10 (step S810). The communication terminal apparatus 10 interrupts the connection process to the access point 20 based on the association response received from the access point 20 (step S811). Thereby, the default communication path for the network connection is maintained as the communication path for cellular communication via the base station 60 and cannot be switched to the communication path for wireless LAN communication via the access point 20.

以上、図9及び図10の無線LAN通信の接続制御例によれば、アクセスポイント20が通信端末装置10からアソシエーション要求を受信したとき、ポリシーサーバ50にアクセスし、通信端末装置10からアクセスポイント20への接続可否判定の結果を含むポリシー確認応答を受信し、その接続可否判定の結果に基づいて、アクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。   9 and 10, according to the wireless LAN communication connection control example, when the access point 20 receives the association request from the communication terminal device 10, the access point 20 accesses the policy server 50 and the access point 20 from the communication terminal device 10. A policy confirmation response including the result of connection permission / inhibition determination is received, and connection to the access point 20 is controlled based on the connection permission determination result. Therefore, the communication terminal device 10 needs to store communication policy information related to a plurality of access points in advance, or periodically download and update communication policy information related to the plurality of access points via a communication network. Absent. Therefore, communication via the access point 20 can be controlled based on the latest communication policy information for each individual access point (for each BSSID) without increasing the load on the communication terminal device 10 and the communication network. .

特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。   In particular, for each of a plurality of access points that can roam with each other when the communication terminal apparatus 10 is moving, the access point 20 is set for each individual access point (for each BSSID) based on the latest communication policy information. Communication can be controlled.

また、図9及び図10の無線LAN通信の接続制御例によれば、ポリシーサーバ50からポリシー確認応答を受信するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。   Also, according to the wireless LAN communication connection control examples of FIGS. 9 and 10, since the communication path of cellular communication is maintained until the policy confirmation response is received from the policy server 50, the connection to the access point 20 is impossible. Even if it is judged, the network connection is not disconnected.

また、図9及び図10の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。   Further, according to the connection control examples of the wireless LAN communication in FIGS. 9 and 10, since the processing in the authentication server 40 is the same as the conventional processing, the modification of the authentication server 40 is unnecessary.

また、図9及び図10の無線LAN通信の接続制御例によれば、ポリシーサーバ50からアクセスポイント20へは、通信ポリシー情報そのものではなく、比較的データサイズが小さい接続可否情報が送信されるため、アクセスポイント20とポリシーサーバ50との間の通信ネットワークの負荷の増大を防止できる。   Further, according to the connection control examples of the wireless LAN communication in FIGS. 9 and 10, not the communication policy information itself but the connection availability information having a relatively small data size is transmitted from the policy server 50 to the access point 20. The increase in the load on the communication network between the access point 20 and the policy server 50 can be prevented.

図11は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図である。図11の接続制御において、アクセスポイント20は、ポリシーサーバ50と同様に、アクセスポイントを介した通信端末装置10と通信ネットワークとの通信に関する通信ポリシー情報が格納されたポリシーデータベース(DB)を備えている。なお、この動作シーケンスのうち、ステップS904〜S907については図3に示されるステップS101〜S104と同じであり、ステップS912〜S917については図9に示されるステップS711〜S716と同じであるので、それらの説明は省略する。   FIG. 11 is a sequence diagram showing still another example of connection control of wireless LAN communication when the connection between the communication terminal device 10 and the access point 20 is successful in the communication system of the present embodiment. In the connection control of FIG. 11, as with the policy server 50, the access point 20 includes a policy database (DB) that stores communication policy information related to communication between the communication terminal device 10 and the communication network via the access point. Yes. In this operation sequence, steps S904 to S907 are the same as steps S101 to S104 shown in FIG. 3, and steps S912 to S917 are the same as steps S711 to S716 shown in FIG. Description of is omitted.

図11において、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新される(ステップS901)と、ポリシーサーバ50は、その更新された通信ポリシー情報に関するポリシー更新情報をアクセスポイント20に送信する(ステップS902)。アクセスポイント20は、ポリシーサーバ50から受信したポリシー更新情報に基づいて、ポリシーデータベース(DB)内の所定の通信ポリシー情報を更新する。なお、アクセスポイント20におけるポリシーデータベース(DB)の更新処理は、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新されたとき以外のタイミング、例えば、予め設定した所定の定期的なタイミングに行ってもよい。また、アクセスポイント20におけるポリシーデータベース(DB)を、予め設定した所定のタイミングに、ポリシーサーバ50のポリシーデータベース(DB)55と同期させるようにしてもよい。   In FIG. 11, when the communication policy information stored in the policy database (DB) 55 of the policy server 50 is updated (step S901), the policy server 50 accesses the policy update information related to the updated communication policy information. It transmits to the point 20 (step S902). The access point 20 updates predetermined communication policy information in the policy database (DB) based on the policy update information received from the policy server 50. The update process of the policy database (DB) in the access point 20 is performed at a timing other than when the communication policy information stored in the policy database (DB) 55 of the policy server 50 is updated, for example, a predetermined predetermined value. You may go at regular timing. Further, the policy database (DB) in the access point 20 may be synchronized with the policy database (DB) 55 of the policy server 50 at a predetermined timing set in advance.

図11中のステップS908においてアソシエーション要求を受信した場合、アクセスポイント20は、自身のBSSIDに基づいてポリシーデータベースを検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS909)。   When the association request is received in step S908 in FIG. 11, the access point 20 searches the policy database based on its own BSSID, and refers to the communication policy information related to the BSSID (step S909).

次に、アクセスポイント20は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント(自身)に接続可能か否かを判定する(ステップS910)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、自身のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ため自身のアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、自身への接続を許可する旨のアソシエーション応答を通信端末装置10に送信する(ステップS911)。   Next, the access point 20 determines whether or not the communication terminal device 10 is connectable to the connection target access point (self) based on the referenced communication policy information (step S910). For example, it is determined by checking whether the BSSID of the access point 20 is included in the black list or the white list. Here, when it is determined that the connection to the access point 20 is possible because its own BSSID is not included in the black list (or included in the white list), based on the determination result, An association response for permitting connection to is transmitted to the communication terminal device 10 (step S911).

アクセスポイント20から上記アソシエーション応答を受信すると、通信端末装置10は、認証サーバ40との間で認証処理(ステップS912〜S916)を実行した後、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS917)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。   Upon receiving the association response from the access point 20, the communication terminal device 10 executes an authentication process (steps S 912 to S 916) with the authentication server 40, and then sets the base station 60 as the default communication path for the network connection. The communication path of the cellular communication via the network is switched to the communication path of the wireless LAN communication via the access point 20 (step S917). As a result, the communication terminal device 10 can connect to the Internet 90 using the wireless LAN communication path preferentially.

図12は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS1001〜S1009については、図11に示されるステップS901〜S909と同じであるので、それらの説明は省略する。   FIG. 12 is a sequence diagram illustrating another example of connection control for wireless LAN communication when connection between the communication terminal device 10 and the access point 20 fails in the communication system according to the present embodiment. In this operation sequence, steps S1001 to S1009 are the same as steps S901 to S909 shown in FIG.

図12において、自身への接続が不可と判定した場合(ステップS1010)、アクセスポイント20は、自身への接続を拒否する旨のアソシエーション応答を、通信端末装置10に送信する(ステップS1011)。通信端末装置10は、アクセスポイント20から受信したアソシエーション応答に基づいて、アクセスポイント20への接続処理を中断する(ステップS1012)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。   In FIG. 12, when it is determined that connection to itself is not possible (step S1010), the access point 20 transmits an association response indicating that connection to itself is rejected to the communication terminal device 10 (step S1011). The communication terminal apparatus 10 interrupts the connection process to the access point 20 based on the association response received from the access point 20 (step S1012). As a result, the default communication path for the network connection is maintained as a communication path for cellular communication via the base station 60 and cannot be switched to a communication path for wireless LAN communication via the access point 20.

以上、図11及び図12の無線LAN通信の接続制御例によれば、アクセスポイント20が通信端末装置10からアソシエーション要求を受信したとき、通信端末装置10から自身への接続可否を判定し、その判定の結果を反映したアソシエーション応答を通信端末装置10に送信することにより、通信端末装置10からアクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。   11 and 12, when the access point 20 receives an association request from the communication terminal device 10, it determines whether the communication terminal device 10 can connect to itself, The connection from the communication terminal device 10 to the access point 20 is controlled by transmitting an association response reflecting the determination result to the communication terminal device 10. Therefore, the communication terminal device 10 needs to store communication policy information related to a plurality of access points in advance, or periodically download and update communication policy information related to the plurality of access points via a communication network. Absent. Therefore, communication via the access point 20 can be controlled based on the latest communication policy information for each individual access point (for each BSSID) without increasing the load on the communication terminal device 10 and the communication network. .

特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。   In particular, for each of a plurality of access points that can roam with each other when the communication terminal apparatus 10 is moving, the access point 20 is set for each individual access point (for each BSSID) based on the latest communication policy information. Communication can be controlled.

また、図11及び図12の無線LAN通信の接続制御例によれば、アクセスポイント20からのアソシエーション応答(接続許可)に基づいてユーザ認証が完了するまで、又は、アクセスポイント20からのアソシエーション応答(接続拒否)に基づいて接続処理を中断するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。   Further, according to the connection control example of the wireless LAN communication of FIG. 11 and FIG. 12, until the user authentication is completed based on the association response (connection permission) from the access point 20 or the association response from the access point 20 ( Since the communication path of the cellular communication is maintained until the connection process is interrupted based on (connection rejection), the network connection is not disconnected even when it is determined that connection to the access point 20 is impossible.

また、図11及び図12の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。   Further, according to the connection control examples of the wireless LAN communication in FIGS. 11 and 12, since the processing in the authentication server 40 is the same as the conventional processing, the modification of the authentication server 40 is unnecessary.

図13は、本発明の他の実施形態に係る通信システムの一例を示す概略構成図である。なお、図13において、前述の図1と同様な部分については同じ符号を付し、説明を省略する。   FIG. 13 is a schematic configuration diagram illustrating an example of a communication system according to another embodiment of the present invention. In FIG. 13, the same parts as those in FIG.

図13の通信システムでは、前述の認証サーバ40及びポリシーサーバ50のほか、複数のアクセスポイント20を管理する中継装置管理装置としてのアクセスポイント管理サーバ(以下「AP管理サーバ」という。)80を備えている。AP管理サーバ80は、コアネットワーク30及びGW35を介して複数のアクセスポイント20それぞれと通信可能に構成され、各アクセスポイントの情報が格納されたアクセスポイントデータベース(AP DB)85が接続されている。   The communication system of FIG. 13 includes an access point management server (hereinafter referred to as “AP management server”) 80 as a relay device management apparatus that manages a plurality of access points 20 in addition to the authentication server 40 and policy server 50 described above. ing. The AP management server 80 is configured to be able to communicate with each of the plurality of access points 20 via the core network 30 and the GW 35, and is connected to an access point database (AP DB) 85 in which information on each access point is stored.

AP管理サーバ80は、例えば単一のコンピュータ装置で構成したり複数のコンピュータ装置を組み合わせて構成したりすることができ、予め組み込まれた所定のプログラムが実行されることにより、各種処理や制御を実行することができる。また、AP管理サーバ80及びアクセスポイントデータベース(AP DB)85を1台のコンピュータ装置で構成してもよい。   The AP management server 80 can be configured by, for example, a single computer device or a combination of a plurality of computer devices, and can execute various processes and controls by executing a predetermined program installed in advance. Can be executed. In addition, the AP management server 80 and the access point database (AP DB) 85 may be configured by a single computer device.

本実施形態において、AP管理サーバ80は、所定のプログラムが実行されることにより、次のような各手段としての機能を実現可能である。   In the present embodiment, the AP management server 80 can implement the following functions as means by executing a predetermined program.

例えば、AP管理サーバ80は、所定のプログラムが実行されることにより、次の(A801)〜(A809)に示す各手段として機能する。
(A801)アクセスポイント20を介して通信端末装置10からアソシエーション要求を受信する手段。
(A802)前記アソシエーション要求に基づいて、アクセスポイント20を識別可能なアクセスポイント識別情報を含むポリシー確認要求を、ポリシーサーバ50に送信する手段。
(A803)アクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定されたアクセスポイント20への接続可否情報を含むポリシー確認応答を、ポリシーサーバ50から受信する手段。
(A804)前記ポリシー確認応答に含まれる通信ポリシー情報又は接続可否情報を含むアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する手段。
(A805)通信ポリシー情報を記憶する手段。
(A806)ポリシーサーバ50から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段。
(A807)前記アソシエーション要求に含まれるアクセスポイント識別情報に基づいて、アクセスポイント20に対する通信ポリシー情報を検索して取得する手段。
(A808)アクセスポイント20に対する通信ポリシー情報に基づいてアクセスポイント20への接続可否を判定する手段。
(A809)前記アソシエーション要求に含まれるアクセスポイント識別情報に基づいて検索して得られたアクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定したアクセスポイント20への接続可否情報とを含むアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する手段。 For example, the AP management server 80 functions as the following units (A801) to (A809) by executing a predetermined program.
(A801) Means for receiving an association request from the communication terminal device 10 via the access point 20.
(A802) Means for transmitting a policy confirmation request including access point identification information capable of identifying the access point 20 to the policy server 50 based on the association request.
(A803) Means for receiving, from the policy server 50, a policy confirmation response including communication policy information for the access point 20 or information on whether or not to connect to the access point 20 determined based on the communication policy information.
(A804) Means for transmitting an association response including the communication policy information or connection permission information included in the policy confirmation response to the communication terminal device 10 via the access point 20.
(A805) Means for storing communication policy information.
(A806) Means for receiving communication policy information to be updated from the policy server 50 and updating the stored communication policy information.
(A807) Means for searching and acquiring communication policy information for the access point 20 based on the access point identification information included in the association request.
(A808) Means for determining whether or not connection to the access point 20 is possible based on communication policy information for the access point 20.
(A809) communication policy information for the access point 20 obtained by searching based on the access point identification information included in the association request, or information on whether or not to connect to the access point 20 determined based on the communication policy information. A means for transmitting an association response to the communication terminal device 10 via the access point 20.

図14は、図13の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の一例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS1101〜S1104については、図3に示されるステップS101〜S104と同じであり、ステップS1111〜S1116については、図9に示されるステップS711〜S716と同じであるので、それらの説明は省略する。   FIG. 14 is a sequence diagram illustrating an example of connection control of wireless LAN communication when the connection between the communication terminal device 10 and the access point 20 is successful in the communication system of FIG. In this operation sequence, steps S1101 to S1104 are the same as steps S101 to S104 shown in FIG. 3, and steps S1111 to S1116 are the same as steps S711 to S716 shown in FIG. These descriptions are omitted.

図14において、通信端末装置10からアソシエーション要求を受信すると、アクセスポイント20は、自身のBSSIDを含むアソシエーション要求をAP管理サーバ80に送信する(ステップS1105)。AP管理サーバ80は、アソシエーション要求を受信すると、アクセスポイント20のBSSIDを含むポリシー確認要求をポリシーサーバ50に送信する(ステップS1106)。   In FIG. 14, when the association request is received from the communication terminal device 10, the access point 20 transmits an association request including its own BSSID to the AP management server 80 (step S1105). Upon receiving the association request, the AP management server 80 transmits a policy confirmation request including the BSSID of the access point 20 to the policy server 50 (step S1106).

AP管理サーバ80からポリシー確認要求を受信すると、ポリシーサーバ50は、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS1107)。   When receiving the policy confirmation request from the AP management server 80, the policy server 50 searches the policy database 55 based on the BSSID included in the policy confirmation request, and refers to the communication policy information related to the BSSID (step S1107).

次に、ポリシーサーバ50は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS1108)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続可を示すフラグデータ「1」)を含むポリシー確認応答を、AP管理サーバ80に返信する(ステップS1109)。   Next, the policy server 50 determines whether or not the communication terminal device 10 can connect to the access point 20 to be connected based on the referenced communication policy information (step S1108). For example, it is determined by checking whether the BSSID of the access point 20 is included in the black list or the white list. If it is determined that the access point 20 can be connected because the BSSID of the access point 20 is not included in the black list (or included in the white list), an access is made based on the determination result. A policy confirmation response including information on whether or not to connect to the point 20 (for example, flag data “1” indicating that connection is possible) is returned to the AP management server 80 (step S1109).

ポリシーサーバ50からポリシー確認応答を受信すると、AP管理サーバ80は、アクセスポイント20への接続を許可する旨の情報を含むアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する(ステップS1110)。   Upon reception of the policy confirmation response from the policy server 50, the AP management server 80 transmits an association response including information indicating that connection to the access point 20 is permitted to the communication terminal device 10 via the access point 20 (step). S1110).

なお、図14の例では、ポリシーサーバ50で接続可否判定を行っているが、AP管理サーバ80で接続可否判定を行ってもよい。この場合、ポリシーサーバ50は、AP管理サーバ80からポリシー確認要求を受信したとき、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を取り出す。そして、ポリシーサーバ50は、取り出した通信ポリシー情報を含むポリシー確認応答をAP管理サーバ80に返信する。AP管理サーバ80は、ポリシーサーバ50から受信した通信ポリシー情報に基づいて、通信端末装置10がアクセスポイント20に接続可能か否かを判定する。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。この判定結果に基づいて、AP管理サーバ80は、アクセスポイント20を介して通信端末装置10にアソシエーション応答を送信する。例えば、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、AP管理サーバ80は、アクセスポイント20を介して、接続を許可する旨を示すアソシエーション応答を通信端末装置10に送信する。   In the example of FIG. 14, the policy server 50 determines whether or not connection is possible, but the AP management server 80 may determine whether or not connection is possible. In this case, when the policy server 50 receives the policy confirmation request from the AP management server 80, the policy server 50 searches the policy database 55 based on the BSSID included in the policy confirmation request, and extracts the communication policy information related to the BSSID. Then, the policy server 50 returns a policy confirmation response including the extracted communication policy information to the AP management server 80. The AP management server 80 determines whether or not the communication terminal device 10 can connect to the access point 20 based on the communication policy information received from the policy server 50. For example, it is determined by checking whether the BSSID of the access point 20 is included in the black list or the white list. Based on the determination result, the AP management server 80 transmits an association response to the communication terminal device 10 via the access point 20. For example, if the BSSID of the access point 20 is not included in the black list (or is included in the white list) and it is determined that connection to the access point 20 is possible, the AP management server 80 determines that the access point 20 Then, an association response indicating that the connection is permitted is transmitted to the communication terminal device 10.

アクセスポイント20を介してAP管理サーバ80から上記アソシエーション応答を受信すると、通信端末装置10は、認証サーバ40との間で認証処理(ステップS1111〜S1115)を実行した後、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS1116)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。   When the association response is received from the AP management server 80 via the access point 20, the communication terminal device 10 executes authentication processing (steps S <b> 1111 to S <b> 1115) with the authentication server 40, and then performs default communication for the network connection. The route is switched from the communication route of cellular communication via the base station 60 to the communication route of wireless LAN communication via the access point 20 (step S1116). As a result, the communication terminal device 10 can connect to the Internet 90 using the wireless LAN communication path preferentially.

図15は、図13の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の一例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS1201〜S1208については、図14に示されるステップS1101〜S1108と同じであるので、それらの説明は省略する。   FIG. 15 is a sequence diagram illustrating an example of connection control for wireless LAN communication when connection between the communication terminal device 10 and the access point 20 fails in the communication system of FIG. In this operation sequence, steps S1201 to S1208 are the same as steps S1101 to S1108 shown in FIG.

図15において、ポリシーサーバ50から、上記アクセスポイント20への接続が不可と判定した判定結果を含むポリシー確認応答を受信した場合(ステップS1209)、AP管理サーバ80は、アクセスポイント20への接続を拒否する旨のアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する(ステップS1210)。通信端末装置10は、アクセスポイント20から受信したアソシエーション応答に基づいて、アクセスポイント20への接続処理を中断する(ステップS1211)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。   In FIG. 15, when receiving a policy confirmation response including a determination result determined that connection to the access point 20 is not possible from the policy server 50 (step S1209), the AP management server 80 establishes connection to the access point 20. An association response indicating rejection is transmitted to the communication terminal device 10 via the access point 20 (step S1210). The communication terminal apparatus 10 interrupts the connection process to the access point 20 based on the association response received from the access point 20 (step S1211). As a result, the default communication path for the network connection is maintained as a communication path for cellular communication via the base station 60 and cannot be switched to a communication path for wireless LAN communication via the access point 20. Therefore, when viewed from the user operating the communication terminal device 10, the network connection at the application level is not disconnected and the network connection can be used continuously. And convenience are improved.

以上、図14及び図15の無線LAN通信の接続制御例によれば、AP管理サーバ80がアクセスポイント20を介して通信端末装置10からアソシエーション要求を受信したとき、ポリシーサーバ50にアクセスし、通信端末装置10からアクセスポイント20への接続可否判定の結果を含むポリシー確認応答を受信し、その接続可否判定の結果に基づいて、アクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。   14 and 15, when the AP management server 80 receives an association request from the communication terminal device 10 via the access point 20, it accesses the policy server 50 and communicates. A policy confirmation response including the result of determining whether or not the terminal device 10 can be connected to the access point 20 is received, and the connection to the access point 20 is controlled based on the result of determining whether or not the connection is possible. Therefore, the communication terminal device 10 needs to store communication policy information related to a plurality of access points in advance, or periodically download and update communication policy information related to the plurality of access points via a communication network. Absent. Therefore, communication via the access point 20 can be controlled based on the latest communication policy information for each individual access point (for each BSSID) without increasing the load on the communication terminal device 10 and the communication network. .

特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。   In particular, for each of a plurality of access points that can roam with each other when the communication terminal apparatus 10 is moving, the access point 20 is set for each individual access point (for each BSSID) based on the latest communication policy information. Communication can be controlled.

また、図14及び図15の無線LAN通信の接続制御例によれば、通信端末装置10がAP管理サーバ80からアソシエーション応答を受信するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。   Further, according to the connection control examples of the wireless LAN communication in FIGS. 14 and 15, since the communication path of the cellular communication is maintained until the communication terminal apparatus 10 receives the association response from the AP management server 80, the access point 20 Even if it is determined that connection to the network is impossible, the network connection is not disconnected.

また、図14及び図15の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。   Further, according to the connection control examples of the wireless LAN communication in FIGS. 14 and 15, since the process in the authentication server 40 is the same as the conventional process, the modification of the authentication server 40 is unnecessary.

また、図14及び図15の無線LAN通信の接続制御例によれば、ポリシーサーバ50からAP管理サーバ80へは、通信ポリシー情報そのものではなく、比較的データサイズが小さい接続可否情報が送信されるため、AP管理サーバ80とポリシーサーバ50との間の通信ネットワークの負荷の増大を防止できる。   Further, according to the connection control example of the wireless LAN communication of FIGS. 14 and 15, not the communication policy information itself but the connection availability information having a relatively small data size is transmitted from the policy server 50 to the AP management server 80. Therefore, an increase in the load on the communication network between the AP management server 80 and the policy server 50 can be prevented.

図16は、図13の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。図16の接続制御において、AP管理サーバ80は、ポリシーサーバ50と同様に、アクセスポイント20を介した通信端末装置10と通信ネットワークとの通信に関する通信ポリシー情報が格納されたポリシーデータベース(DB)を備えている。なお、この動作シーケンスのうち、ステップS1304〜S1307については図3に示されるステップS101〜S104と同じであり、ステップS1312〜S1317については図9に示されるステップS711〜S716と同じであるので、それらの説明は省略する。   FIG. 16 is a sequence diagram illustrating another example of connection control of wireless LAN communication when the connection between the communication terminal device 10 and the access point 20 is successful in the communication system of FIG. In the connection control of FIG. 16, the AP management server 80, like the policy server 50, stores a policy database (DB) that stores communication policy information related to communication between the communication terminal device 10 and the communication network via the access point 20. I have. In this operation sequence, steps S1304 to S1307 are the same as steps S101 to S104 shown in FIG. 3, and steps S1312 to S1317 are the same as steps S711 to S716 shown in FIG. Description of is omitted.

図16において、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新される(ステップS1301)と、ポリシーサーバ50は、その更新された通信ポリシー情報に関するポリシー更新情報をAP管理サーバ80に送信する(ステップS1302)。AP管理サーバ80は、ポリシーサーバ50から受信したポリシー更新情報に基づいて、ポリシーデータベース(DB)内の所定の通信ポリシー情報を更新する(ステップS1303)。なお、AP管理サーバ80におけるポリシーデータベース(DB)の更新処理は、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新されたとき以外のタイミング、例えば、予め設定した所定の定期的なタイミングに行ってもよい。また、AP管理サーバ80におけるポリシーデータベース(DB)を、予め設定した所定のタイミングに、ポリシーサーバ50のポリシーデータベース(DB)55と同期させるようにしてもよい。   In FIG. 16, when the communication policy information stored in the policy database (DB) 55 of the policy server 50 is updated (step S1301), the policy server 50 displays the policy update information regarding the updated communication policy information as AP. It transmits to the management server 80 (step S1302). The AP management server 80 updates predetermined communication policy information in the policy database (DB) based on the policy update information received from the policy server 50 (step S1303). Note that the policy database (DB) update processing in the AP management server 80 is performed at a timing other than when the communication policy information stored in the policy database (DB) 55 of the policy server 50 is updated, for example, a preset predetermined value. You may go to the regular timing. Further, the policy database (DB) in the AP management server 80 may be synchronized with the policy database (DB) 55 of the policy server 50 at a predetermined timing set in advance.

図16中のステップS1308においてアソシエーション要求を受信した場合、AP管理サーバ80は、アクセスポイント20のBSSIDに基づいてポリシーデータベースを検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS1309)。   When the association request is received in step S1308 in FIG. 16, the AP management server 80 searches the policy database based on the BSSID of the access point 20 and refers to the communication policy information related to the BSSID (step S1309).

次に、AP管理サーバ80は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS1310)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続を許可する旨のアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する(ステップS1311)。   Next, the AP management server 80 determines whether or not the communication terminal device 10 can connect to the access point 20 to be connected based on the referenced communication policy information (step S1310). For example, it is determined by checking whether the BSSID of the access point 20 is included in the black list or the white list. If it is determined that the access point 20 can be connected because the BSSID of the access point 20 is not included in the black list (or included in the white list), an access is made based on the determination result. An association response for permitting connection to the point 20 is transmitted to the communication terminal apparatus 10 via the access point 20 (step S1311).

AP管理サーバ80から上記アソシエーション応答を受信すると、通信端末装置10は、認証サーバ40との間で認証処理(ステップS1312〜S1316)を実行した後、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS1317)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。   Upon receiving the association response from the AP management server 80, the communication terminal apparatus 10 executes an authentication process (steps S1312 to S1316) with the authentication server 40, and then sets the default communication path for the network connection to the base station 60. Is switched from the communication path of cellular communication via the wireless LAN to the communication path of wireless LAN communication via the access point 20 (step S1317). As a result, the communication terminal device 10 can connect to the Internet 90 using the wireless LAN communication path preferentially.

図17は、図13の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS1401〜S1409については、図16に示されるステップS1301〜S1309と同じであるので、それらの説明は省略する。   FIG. 17 is a sequence diagram illustrating another example of connection control for wireless LAN communication when connection between the communication terminal device 10 and the access point 20 fails in the communication system of FIG. In this operation sequence, steps S1401 to S1409 are the same as steps S1301 to S1309 shown in FIG.

図17において、アクセスポイント20への接続が不可と判定した場合(ステップS1410)、AP管理サーバ80は、アクセスポイント20への接続を拒否する旨のアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する(ステップS1411)。通信端末装置10は、AP管理サーバ80から受信したアソシエーション応答に基づいて、アクセスポイント20への接続処理を中断する(ステップS1412)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。   In FIG. 17, when it is determined that connection to the access point 20 is not possible (step S1410), the AP management server 80 sends an association response indicating that connection to the access point 20 is rejected via the access point 20 to the communication terminal. It transmits to the apparatus 10 (step S1411). The communication terminal device 10 interrupts the connection process to the access point 20 based on the association response received from the AP management server 80 (step S1412). As a result, the default communication path for the network connection is maintained as a communication path for cellular communication via the base station 60 and cannot be switched to a communication path for wireless LAN communication via the access point 20. Therefore, when viewed from the user operating the communication terminal device 10, the network connection at the application level is not disconnected and the network connection can be used continuously. And convenience are improved.

以上、図16及び図17の無線LAN通信の接続制御例によれば、AP管理サーバ80が通信端末装置10からアソシエーション要求を受信したとき、通信端末装置10からアクセスポイント20への接続可否を判定し、その判定の結果を反映したアソシエーション応答を通信端末装置10に送信することにより、通信端末装置10からアクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。   As described above, according to the connection control examples of the wireless LAN communication of FIGS. 16 and 17, when the AP management server 80 receives the association request from the communication terminal device 10, it is determined whether or not the communication terminal device 10 can connect to the access point 20. The connection from the communication terminal apparatus 10 to the access point 20 is controlled by transmitting an association response reflecting the determination result to the communication terminal apparatus 10. Therefore, the communication terminal device 10 needs to store communication policy information related to a plurality of access points in advance, or periodically download and update communication policy information related to the plurality of access points via a communication network. Absent. Therefore, communication via the access point 20 can be controlled based on the latest communication policy information for each individual access point (for each BSSID) without increasing the load on the communication terminal device 10 and the communication network. .

特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。   In particular, for each of a plurality of access points that can roam with each other when the communication terminal apparatus 10 is moving, the access point 20 is set for each individual access point (for each BSSID) based on the latest communication policy information. Communication can be controlled.

また、図16及び図17の無線LAN通信の接続制御例によれば、AP管理サーバ80からのアソシエーション応答(接続許可)に基づいてユーザ認証が完了するまで、又は、AP管理サーバ80からのアソシエーション応答(接続拒否)に基づいて接続処理を中断するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。   Further, according to the wireless LAN communication connection control examples of FIGS. 16 and 17, until the user authentication is completed based on the association response (connection permission) from the AP management server 80 or the association from the AP management server 80. Since the communication path of cellular communication is maintained until the connection process is interrupted based on the response (connection rejection), the network connection is not disconnected even when it is determined that the connection to the access point 20 is impossible.

また、図16及び図17の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。   Further, according to the connection control examples of the wireless LAN communication shown in FIGS. 16 and 17, since the processing in the authentication server 40 is the same as the conventional processing, the authentication server 40 does not need to be modified.

以上、上記各実施形態によれば、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、最新の通信ポリシー情報に基づいて無線LANのアクセスポイント20を介した通信を制御することができる。   As described above, according to each of the above embodiments, communication via the wireless LAN access point 20 can be controlled based on the latest communication policy information without increasing the load on the communication terminal device 10 and the communication network.

なお、上記各実施形態の接続制御例(通信経路確立処理例)では、ポリシーサーバ50で管理されポリシーサーバ50に問い合わせられる通信ポリシー情報が、通信端末装置10からの接続が許可又は禁止されたアクセスポイント20を識別可能なアクセスポイント識別情報(例えばBSSID)のリスト(ホワイトリスト又はブラックリスト)の場合について説明したが、本発明は、他の通信ポリシー情報を用いて無線LAN接続制御を行う場合についても同様に適用できる。   In the connection control example (communication path establishment processing example) of each of the above embodiments, the communication policy information managed by the policy server 50 and inquired of the policy server 50 is an access for which connection from the communication terminal device 10 is permitted or prohibited. The case of a list (white list or black list) of access point identification information (for example, BSSID) that can identify the point 20 has been described. However, the present invention relates to a case where wireless LAN connection control is performed using other communication policy information. Can be applied similarly.

例えば、無線LANの接続制御(通信経路確立処理)に用いる通信ポリシー情報は、通信端末装置10からアクセスポイント20への接続が許可又は禁止された時間帯、アクセスポイント20を介した通信経路確立処理時のタイムアウト時間、アクセスポイント20に接続するときの通信端末装置10における受信信号強度(RSSI)の閾値などの情報の少なくとも一つを含んでもよい。この場合、ポリシーデータベース55には、例えば、複数のアクセスポイントのアクセスポイント識別情報(例えばBSSID)に関連付けて、上記時間帯、タイムアウト時間、受信信号強度(RSSI)の閾値などが格納される。また、ポリシーサーバ50は、アクセスポイント識別情報(例えばBSSID)を含むポリシー確認要求を受信したとき、ポリシーデータベース55を参照して、当該アクセスポイント識別情報に関連付けられている上記時間帯、タイムアウト時間、受信信号強度(RSSI)の閾値などを含む通信ポリシー情報を取得する。そして、ポリシーサーバ50は、通信端末装置10からの接続が許可又は禁止されたアクセスポイントのアクセスポイント識別情報のリスト(ホワイトリスト又はブラックリスト)とともに、上記検索した通信ポリシー情報とを含むポリシー確認応答を、認証サーバ40又は通信端末装置10に送信する。このポリシー確認応答を受信した認証サーバ40及び通信端末装置10は、ポリシーサーバ50から受信したポリシー確認応答に含まれる上記アクセスポイント識別情報のリスト(ホワイトリスト又はブラックリスト)、上記時間帯、タイムアウト時間、受信信号強度などを含む通信ポリシー情報に基づいて、通信端末装置10から接続対象のアクセスポイントへの接続が可能か否かを判断することができる。   For example, the communication policy information used for wireless LAN connection control (communication route establishment processing) is a time zone during which connection from the communication terminal apparatus 10 to the access point 20 is permitted or prohibited, and communication route establishment processing via the access point 20. May include at least one of information such as a time-out time and a threshold value of received signal strength (RSSI) in the communication terminal device 10 when connecting to the access point 20. In this case, the policy database 55 stores, for example, the time zone, timeout time, received signal strength (RSSI) threshold value, and the like in association with access point identification information (for example, BSSID) of a plurality of access points. Further, when the policy server 50 receives a policy confirmation request including access point identification information (for example, BSSID), the policy server 50 refers to the policy database 55 and refers to the time zone, timeout time, Communication policy information including a threshold of received signal strength (RSSI) and the like are acquired. Then, the policy server 50 includes a list of access point identification information (white list or black list) of access points that are permitted or prohibited to connect from the communication terminal device 10 and a policy confirmation response including the retrieved communication policy information. Is transmitted to the authentication server 40 or the communication terminal device 10. The authentication server 40 and the communication terminal device 10 that have received this policy confirmation response receive the list (white list or black list) of the access point identification information included in the policy confirmation response received from the policy server 50, the time zone, and the timeout time. Based on the communication policy information including the received signal strength, it is possible to determine whether or not connection from the communication terminal apparatus 10 to the access point to be connected is possible.

なお、本実施形態の図3〜図17の接続制御例(通信経路確立処理例)では、ポリシーサーバ50から認証サーバ40、通信端末装置10、アクセスポイント20又はAP管理サーバ80に送信されるポリシー確認応答が、アクセスポイントのアクセスポイント識別情報のリスト(ホワイトリスト又はブラックリスト)等の通信ポリシー情報を含む場合について説明したが、ポリシー確認応答は、次に示すようにアクセスポイントへの接続可否情報を含んでもよい。この場合、すなわち、ポリシーサーバ50は、通信端末装置10からの接続が許可又は禁止されたアクセスポイントのアクセスポイント識別情報のリスト(ホワイトリスト又はブラックリスト)、上記時間帯、タイムアウト時間、受信信号強度などの通信ポリシー情報に基づいて、通信端末装置10から接続対象のアクセスポイントへの接続が可能か否かを判断し、その判断結果であるアクセスポイントへの接続可否情報を含むポリシー確認応答を、認証サーバ40、通信端末装置10、アクセスポイント20又はAP管理サーバ80に送信してもよい。この場合は、認証サーバ40、通信端末装置10、アクセスポイント20及びAP管理サーバ80における処理の負荷、並びに、ポリシーサーバ50と認証サーバ40、通信端末装置10、アクセスポイント20及びAP管理サーバ80との間の通信回線や通信ネットワークの負荷を、低減することができる。   In the connection control examples (communication path establishment processing examples) of FIGS. 3 to 17 of the present embodiment, the policy transmitted from the policy server 50 to the authentication server 40, the communication terminal device 10, the access point 20, or the AP management server 80. Although the case where the confirmation response includes communication policy information such as a list of access point identification information (white list or black list) of the access point has been described, the policy confirmation response includes information on whether or not the access point can be connected as shown below. May be included. In this case, that is, the policy server 50 includes a list (white list or black list) of access point identification information of access points that are permitted or prohibited to connect from the communication terminal device 10, the time zone, the timeout time, and the received signal strength. Based on the communication policy information such as, it is determined whether or not connection from the communication terminal device 10 to the access point to be connected is possible, and a policy confirmation response including the connection permission information to the access point that is the determination result, You may transmit to the authentication server 40, the communication terminal device 10, the access point 20, or the AP management server 80. In this case, the processing load on the authentication server 40, the communication terminal device 10, the access point 20 and the AP management server 80, and the policy server 50 and the authentication server 40, the communication terminal device 10, the access point 20 and the AP management server 80, It is possible to reduce the load on the communication line and the communication network.

また、上記通信ポリシー情報は、個々のアクセスポイント20ごとに(BSSIDごとに)、アクセス可能な時間帯、曜日、シーズン(例えば、正月やクリスマスの期間)等を、アクセスポイント20への接続の可否を規定するように設定してもよい。ポリシーサーバ50は、例えば、判定を行うときの年月日、曜日、時間などの情報と、検索して参照した通信ポリシー情報とに基づいて、接続可否の判定を行う。この場合、個々のアクセスポイント20ごとに(BSSIDごとに)、通信ポリシー情報に規定された時間帯、曜日、シーズン(例えば、正月やクリスマスの期間)等に応じて、通信端末装置10によるアクセスポイント20を介した通信を制御することができる。   In addition, the communication policy information indicates whether each access point 20 (for each BSSID), accessible time zone, day of the week, season (for example, New Year or Christmas period), etc. can be connected to the access point 20. May be set so as to prescribe. For example, the policy server 50 determines whether or not the connection is possible based on information such as date, day of the week, and time when performing the determination, and the communication policy information searched and referenced. In this case, for each access point 20 (for each BSSID), the access point by the communication terminal device 10 according to the time zone, day of the week, season (for example, New Year or Christmas period), etc., defined in the communication policy information. Communication via 20 can be controlled.

また、上記通信ポリシー情報は、通信端末装置10の機種ごとにアクセスポイント20への接続の可否を規定したり、アクセスポイント20の種別ごとにアクセスポイント20への接続の可否を規定したりするように設定してもよい。この場合は、通信端末装置10の機種ごとに又はアクセスポイント20の種別ごとに、通信端末装置10によるアクセスポイント20を介した通信を制御することができる。   Further, the communication policy information specifies whether or not connection to the access point 20 is possible for each model of the communication terminal device 10 or whether or not connection to the access point 20 is possible for each type of the access point 20. May be set. In this case, communication via the access point 20 by the communication terminal apparatus 10 can be controlled for each model of the communication terminal apparatus 10 or for each type of the access point 20.

10 通信端末装置
20 無線LANのアクセスポイント
20A アクセスポイントの無線通信エリア
30 バックボーンネットワーク
35 ゲートウェイ
40 認証サーバ
45 加入者データベース
50 ポリシーサーバ
55 ポリシーデータベース
60 基地局
60A セル
70 コアネットワーク
75 ゲートウェイ
80 AP(アクセスポイント)管理サーバ
85 AP(アクセスポイント)データベース
90 インターネット DESCRIPTION OF SYMBOLS 10 Communication terminal device 20 Wireless LAN access point 20A Access point wireless communication area 30 Backbone network 35 Gateway 40 Authentication server 45 Subscriber database 50 Policy server 55 Policy database 60 Base station 60A Cell 70 Core network 75 Gateway 80 AP (Access point) ) Management server 85 AP (access point) database 90 Internet

特開2014−14049号公報JP 2014-14049 A

Claims (10)

無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、
前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、
前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に関する通信ポリシー情報を管理するポリシー管理装置と、を備え、
前記認証処理装置は、
通信端末装置の利用者を識別可能な利用者識別情報と該通信端末装置が接続する中継装置を識別可能な装置識別情報とを含む認証要求を該通信端末装置から受信する手段と、
前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、
前記装置識別情報を含むポリシー確認要求を前記ポリシー管理装置に送信する手段と、
前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定された該中継装置への接続可否情報を含むポリシー確認応答を、前記ポリシー管理装置から受信する手段と、
前記利用者認証処理の結果と、前記ポリシー確認応答に含まれる前記通信ポリシー情報又は前記接続可否情報とに基づいて、前記認証要求に対する認証応答を前記通信端末装置に送信する手段と、を備え、
前記ポリシー管理装置は、
前記装置識別情報を含むポリシー確認要求を前記認証処理装置から受信する手段と、
前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報を含むポリシー確認応答を、前記認証処理装置に送信する手段と、を備えることを特徴とする通信システム。 A communication system connectable from a communication terminal device to a communication network via a wireless LAN relay device,
An authentication processing device that executes an authentication process when connected to the communication network from the communication terminal device via the relay device;
A policy management device that manages communication policy information related to communication between the communication terminal device and a communication network via the relay device;
The authentication processing device includes:
Means for receiving from the communication terminal device an authentication request including user identification information capable of identifying a user of the communication terminal device and device identification information capable of identifying a relay device connected to the communication terminal device;
Means for performing user authentication processing for determining whether communication via the relay device is permitted by a user of the communication terminal device based on user identification information included in the authentication request;
Means for transmitting a policy confirmation request including the device identification information to the policy management device;
Means for receiving, from the policy management device, a policy confirmation response including communication policy information for the relay device or information on whether or not to connect to the relay device determined based on the communication policy information;
Means for transmitting an authentication response to the authentication request to the communication terminal device based on the result of the user authentication process and the communication policy information or the connection availability information included in the policy confirmation response;
The policy management device includes:
Means for receiving a policy confirmation request including the device identification information from the authentication processing device;
A policy confirmation response including communication policy information for the relay device obtained by searching based on the device identification information or connection permission information to the relay device determined based on the communication policy information is sent to the authentication processing device. And means for transmitting. 請求項1の通信システムにおいて、
前記認証処理装置は、
前記利用者認証処理が成功した場合に、前記ポリシー確認要求を前記ポリシー管理装置に送信し、
前記利用者認証処理が失敗した場合に、前記ポリシー確認要求を前記ポリシー管理装置に送信しない、ことを特徴とする通信システム。 The communication system of claim 1.
The authentication processing device includes:
When the user authentication process is successful, the policy confirmation request is transmitted to the policy management device,
A communication system, wherein the policy confirmation request is not transmitted to the policy management apparatus when the user authentication process fails. 無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、
前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、
前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に関する通信ポリシー情報を管理するポリシー管理装置と、を備え、
前記認証処理装置は、
前記通信ポリシー情報を記憶する手段と、
前記ポリシー管理装置から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段と、
通信端末装置の利用者を識別可能な利用者識別情報と該通信端末装置が接続する中継装置を識別可能な装置識別情報とを含む認証要求を該通信端末装置から受信する手段と、
前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、
前記利用者認証処理の結果と、前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報とを含む、前記認証要求に対する認証応答を前記通信端末装置に送信する手段と、を備え、
前記ポリシー管理装置は、更新対象の通信ポリシー情報を前記認証処理装置に送信する手段を備えることを特徴とする通信システム。 A communication system connectable from a communication terminal device to a communication network via a wireless LAN relay device,
An authentication processing device that executes an authentication process when connected to the communication network from the communication terminal device via the relay device;
A policy management device that manages communication policy information related to communication between the communication terminal device and a communication network via the relay device;
The authentication processing device includes:
Means for storing the communication policy information;
Means for receiving communication policy information to be updated from the policy management device, and updating the stored communication policy information;
Means for receiving from the communication terminal device an authentication request including user identification information capable of identifying a user of the communication terminal device and device identification information capable of identifying a relay device connected to the communication terminal device;
Means for performing user authentication processing for determining whether communication via the relay device is permitted by a user of the communication terminal device based on user identification information included in the authentication request;
A result of the user authentication process, and communication policy information for the relay device obtained by searching based on the device identification information, or connection permission / inhibition information to the relay device determined based on the communication policy information. And means for transmitting an authentication response to the authentication request to the communication terminal device,
The said policy management apparatus is provided with the means to transmit the communication policy information of update object to the said authentication processing apparatus, The communication system characterized by the above-mentioned. 請求項1乃至3のいずれかの通信システムにおいて、
前記認証要求は、前記通信端末装置の機種情報及び前記中継装置の種別情報の少なくとも一つを含むことを特徴とする通信システム The communication system according to any one of claims 1 to 3,
The communication request characterized in that the authentication request includes at least one of model information of the communication terminal device and type information of the relay device . 線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、
前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、
前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置と、
前記中継装置を管理する中継装置管理装置と、を備え、
前記中継装置管理装置は、
前記中継装置を介して前記通信端末装置からアソシエーション要求を受信する手段と、
前記アソシエーション要求に基づいて、前記中継装置を識別可能な装置識別情報を含むポリシー確認要求を前記ポリシー管理装置に送信する手段と、
前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定された該中継装置への接続可否情報を含むポリシー確認応答を、前記ポリシー管理装置から受信する手段と、
前記ポリシー確認応答に含まれる前記通信ポリシー情報又は前記接続可否情報を含むアソシエーション応答を、前記中継装置を介して前記通信端末装置に送信する手段と、を備え、
前記認証処理装置は、
前記アソシエーション応答を受信した通信端末装置から、前記通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を受信する手段と、
前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、
前記利用者認証処理の結果を含む認証応答を前記通信端末装置に送信する手段と、を備え、
前記ポリシー管理装置は、
前記装置識別情報を含むポリシー確認要求を前記中継装置管理装置から受信する手段と、
前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報を含むポリシー確認応答を、前記中継装置管理装置に送信する手段と、を備えることを特徴とする通信システム。 A communication system connectable from the communication terminal device to the communication network via a relay device for a continuously line LAN,
An authentication processing device that executes an authentication process when connected to the communication network from the communication terminal device via the relay device;
A policy management device that manages communication policy information for communication between the communication terminal device and a communication network via the relay device;
A relay device management device for managing the relay device,
The relay device management device
Means for receiving an association request from the communication terminal device via the relay device;
Means for transmitting a policy confirmation request including device identification information capable of identifying the relay device to the policy management device based on the association request;
Means for receiving, from the policy management device, a policy confirmation response including communication policy information for the relay device or information on whether or not to connect to the relay device determined based on the communication policy information;
Means for transmitting an association response including the communication policy information or the connectability information included in the policy confirmation response to the communication terminal device via the relay device,
The authentication processing device includes:
Means for receiving an authentication request including user identification information capable of identifying a user of the communication terminal device from the communication terminal device that has received the association response;
Means for performing user authentication processing for determining whether communication via the relay device is permitted by a user of the communication terminal device based on user identification information included in the authentication request;
Means for transmitting an authentication response including a result of the user authentication processing to the communication terminal device,
The policy management device includes:
Means for receiving a policy confirmation request including the device identification information from the relay device management device;
A policy confirmation response including communication policy information for the relay device obtained by searching based on the device identification information or connection permission / inhibition information to the relay device determined based on the communication policy information is transmitted to the relay device management device. And a means for transmitting to the communication system. 請求項の通信システムにおいて、
前記ポリシー確認要求は、前記通信端末装置の利用者を識別可能な利用者識別情報、前記通信端末装置の機種情報及び前記中継装置の種別情報の少なくとも一つを含むことを特徴とする通信システム The communication system of claim 5 ,
The policy confirmation request includes at least one of user identification information that can identify a user of the communication terminal device, model information of the communication terminal device, and type information of the relay device. 無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、
前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、
前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置と、
前記中継装置を管理する中継装置管理装置と、を備え、
前記中継装置管理装置は、
前記通信ポリシー情報を記憶する手段と、
前記ポリシー管理装置から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段と、
前記中継装置を介して前記通信端末装置からアソシエーション要求を受信する手段と、
前記アソシエーション要求に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報とを含むアソシエーション応答を、前記中継装置を介して前記通信端末装置に送信する手段と、を備え、
前記認証処理装置は、
前記アソシエーション応答を受信した通信端末装置から、前記通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を受信する手段と、
前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、
前記利用者認証処理の結果を含む認証応答を、前記通信端末装置に送信する手段と、を備え、
前記ポリシー管理装置は、前記通信ポリシー情報を前記中継装置管理装置に送信する手段を備えることを特徴とする通信システム。 A communication system connectable from a communication terminal device to a communication network via a wireless LAN relay device,
An authentication processing device that executes an authentication process when connected to the communication network from the communication terminal device via the relay device;
A policy management device that manages communication policy information for communication between the communication terminal device and a communication network via the relay device;
A relay device management device for managing the relay device,
The relay device management device
Means for storing the communication policy information;
Means for receiving communication policy information to be updated from the policy management device, and updating the stored communication policy information;
Means for receiving an association request from the communication terminal device via the relay device;
An association response including communication policy information for the relay device obtained by searching based on the association request or connection permission information to the relay device determined based on the communication policy information is transmitted via the relay device. Means for transmitting to the communication terminal device,
The authentication processing device includes:
Means for receiving an authentication request including user identification information capable of identifying a user of the communication terminal device from the communication terminal device that has received the association response;
Means for performing user authentication processing for determining whether communication via the relay device is permitted by a user of the communication terminal device based on user identification information included in the authentication request;
Means for transmitting an authentication response including a result of the user authentication processing to the communication terminal device,
The said policy management apparatus is equipped with a means to transmit the said communication policy information to the said relay apparatus management apparatus, The communication system characterized by the above-mentioned. 請求項1乃至のいずれかの通信システムにおいて、
前記装置識別情報は、前記中継装置の1台ごとにユニークに設定された識別情報であることを特徴とする通信システム。 The communication system according to any one of claims 1 to 7 ,
The communication apparatus characterized in that the device identification information is identification information uniquely set for each of the relay devices. 請求項1乃至のいずれかの通信システムにおいて、
前記通信ポリシー情報は、前記通信端末装置からの接続が許可又は禁止された中継装置の識別情報、前記通信端末装置から前記中継装置への接続が許可又は禁止された時間帯、前記中継装置を介した通信経路確立処理時のタイムアウト時間、及び、前記中継装置に接続するときの前記通信端末装置における受信信号強度の閾値の少なくとも一つを含むことを特徴とする通信システム。 The communication system according to any one of claims 1 to 8 ,
The communication policy information includes identification information of a relay device that is permitted or prohibited to connect from the communication terminal device, a time zone during which connection from the communication terminal device to the relay device is permitted or prohibited, and via the relay device. The communication system includes at least one of a timeout time at the time of communication path establishment processing and a threshold value of received signal strength at the communication terminal device when connecting to the relay device. 請求項1乃至のいずれかの通信システムにおいて、
前記通信端末装置は、
移動体通信ネットワークを介して通信する手段と、
前記移動体通信ネットワークを介して外部の通信ネットワークと通信する第1の通信経路が確立された状態で、前記無線LANの中継装置を介して前記外部の通信ネットワークと通信する第2の通信経路を確立する処理を開始する手段と、
前記中継装置に対する接続が許可された場合は、前記外部の通信ネットワークとの通信に優先的に使用する通信経路を前記第1の通信経路から前記第2の通信経路へ切り替え、前記中継装置に対する接続が拒否された場合は、前記外部の通信ネットワークとの通信に優先的に使用する通信経路を前記第1の通信経路に維持する手段と、を備えることを特徴とする通信システム。 The communication system according to any one of claims 1 to 9 ,
The communication terminal device
Means for communicating via a mobile communication network;
With the first communication path communicating with the external communication network established through the mobile communication network, the second communication path communicating with the external communication network via the wireless LAN relay device is established. Means for initiating the establishment process;
When the connection to the relay device is permitted, the communication path used preferentially for communication with the external communication network is switched from the first communication path to the second communication path, and the connection to the relay apparatus is performed. And a means for maintaining, in the first communication path, a communication path that is preferentially used for communication with the external communication network.
JP2014130744A 2014-06-25 2014-06-25 Communications system Active JP5813830B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014130744A JP5813830B1 (en) 2014-06-25 2014-06-25 Communications system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014130744A JP5813830B1 (en) 2014-06-25 2014-06-25 Communications system

Publications (2)

Publication Number Publication Date
JP5813830B1 true JP5813830B1 (en) 2015-11-17
JP2016010072A JP2016010072A (en) 2016-01-18

Family

ID=54595865

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014130744A Active JP5813830B1 (en) 2014-06-25 2014-06-25 Communications system

Country Status (1)

Country Link
JP (1) JP5813830B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6627216B2 (en) * 2014-12-25 2020-01-08 村田機械株式会社 Wireless access point and wireless access system
WO2019169679A1 (en) * 2018-03-05 2019-09-12 Oppo广东移动通信有限公司 Terminal information transmission method and relevant products
CN110830534B (en) * 2018-08-10 2022-02-08 维沃移动通信有限公司 Control method and communication device for LAN service

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009533982A (en) * 2006-04-14 2009-09-17 クゥアルコム・インコーポレイテッド Method and apparatus for supporting quality of service in a communication system
JP2010537574A (en) * 2007-08-17 2010-12-02 クゥアルコム・インコーポレイテッド Access control of ad hoc small coverage base stations
EP2547049A1 (en) * 2010-05-25 2013-01-16 Huawei Technologies Co., Ltd. Method, system and corresponding apparatus for implementing policy and charging control
JP2013074453A (en) * 2011-09-28 2013-04-22 Sharp Corp Ue, andsf, mobile communication system, pgw, and communication method
EP2642686A1 (en) * 2012-03-20 2013-09-25 British Telecommunications public limited company Control of line power

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009533982A (en) * 2006-04-14 2009-09-17 クゥアルコム・インコーポレイテッド Method and apparatus for supporting quality of service in a communication system
JP2010537574A (en) * 2007-08-17 2010-12-02 クゥアルコム・インコーポレイテッド Access control of ad hoc small coverage base stations
EP2547049A1 (en) * 2010-05-25 2013-01-16 Huawei Technologies Co., Ltd. Method, system and corresponding apparatus for implementing policy and charging control
JP2013074453A (en) * 2011-09-28 2013-04-22 Sharp Corp Ue, andsf, mobile communication system, pgw, and communication method
EP2642686A1 (en) * 2012-03-20 2013-09-25 British Telecommunications public limited company Control of line power

Also Published As

Publication number Publication date
JP2016010072A (en) 2016-01-18

Similar Documents

Publication Publication Date Title
US9060329B2 (en) Methods and apparatus for use in facilitating communication for different types of wireless networks
CN111052780B (en) SIM card authentication method and terminal
MXPA06005008A (en) Mobile wireless presence and situation management system and method.
EP3634081A1 (en) Session context deletion method and apparatus
CN107548129B (en) Wireless communication apparatus, control method thereof, and computer-readable storage medium
US11715177B2 (en) Information processing apparatus and method, electronic device and computer readable medium
EP2672761A1 (en) Methods and apparatus for use in facilitating communication for different types of wireless networks
JP5813830B1 (en) Communications system
KR20150056350A (en) Electronic device and method for updating authentication information in electronic device
JP5844441B1 (en) Communication terminal device and communication system
JP6145185B1 (en) Communication terminal device
JP6177851B2 (en) Service provision system
JP2017027207A (en) Authentication system
JP5844440B1 (en) Communication terminal device and communication system
WO2013127015A1 (en) Methods and apparatus for use in facilitating wi-fi peer-to-peer (p2p) wireless networking
JP5656925B2 (en) Network converter
US11902868B2 (en) Device provisioning for association with a user or a user account
JP6127100B2 (en) Communication terminal device and system
JP6534622B2 (en) Communication terminal, communication system and communication method
JP5583168B2 (en) Network converter
JP2016205865A (en) Guiding system, mobile terminal, and program
JP6006752B2 (en) Communication terminal device
JP5918312B2 (en) Communication terminal device
EP2744247B1 (en) Controlling connections to wireless networks
JP5270256B2 (en) Data communication system and data communication method

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150911

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150916

R150 Certificate of patent or registration of utility model

Ref document number: 5813830

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250