JP5813830B1 - Communications system - Google Patents
Communications system Download PDFInfo
- Publication number
- JP5813830B1 JP5813830B1 JP2014130744A JP2014130744A JP5813830B1 JP 5813830 B1 JP5813830 B1 JP 5813830B1 JP 2014130744 A JP2014130744 A JP 2014130744A JP 2014130744 A JP2014130744 A JP 2014130744A JP 5813830 B1 JP5813830 B1 JP 5813830B1
- Authority
- JP
- Japan
- Prior art keywords
- communication
- policy
- terminal device
- communication terminal
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
【課題】通信端末装置及び通信ネットワークの負荷を増大させることなく、通信ポリシー情報に基づいて無線LANの中継装置を介した通信を制御可能な通信端末装置、通信システム及びその方法を提供する。【解決手段】認証サーバ40は、利用者識別情報とアクセスポイント識別情報とを含む認証要求を通信端末装置10から受信し、利用者識別情報に基づいて利用者認証処理を行い、アクセスポイント識別情報を含むポリシー確認要求をポリシーサーバ50に送信し、アクセスポイント20に対する通信ポリシー情報をポリシーサーバ50から受信し、利用者認証処理の結果と通信ポリシー情報とに基づいて認証応答を通信端末装置10に送信する。ポリシーサーバ50はポリシー確認要求を認証サーバ40から受信し、アクセスポイント識別情報に基づいてアクセスポイント20に対する通信ポリシー情報又は接続可否情報を含むポリシー確認応答を認証サーバ40に送信する。【選択図】図3Provided are a communication terminal device, a communication system, and a method thereof capable of controlling communication via a wireless LAN relay device based on communication policy information without increasing the load on the communication terminal device and the communication network. An authentication server receives an authentication request including user identification information and access point identification information from a communication terminal device, performs user authentication processing based on the user identification information, and performs access point identification information. Is transmitted to the policy server 50, communication policy information for the access point 20 is received from the policy server 50, and an authentication response is sent to the communication terminal device 10 based on the result of the user authentication process and the communication policy information. Send. The policy server 50 receives the policy confirmation request from the authentication server 40, and transmits a policy confirmation response including communication policy information or connection availability information for the access point 20 to the authentication server 40 based on the access point identification information. [Selection] Figure 3
Description
本発明は、無線LANの中継装置を介して通信ネットワークに接続可能な通信端末装置及び通信システムに関するものである。 The present invention relates to a communication terminal device and a communication system that can be connected to a communication network via a wireless LAN relay device.
従来、無線LAN(Local Area Network)の通信機能を有する携帯電話機やスマートフォンなどの通信端末装置が知られている。利用者は通信端末装置に組み込まれた無線LANの通信機能を利用して、例えば街中のファーストフード店や駅の構内などに設置された無線LANの中継装置であるWi−Fi(登録商標)等のアクセスポイントにアクセスし、所定の認証処理の後、そのアクセスポイントを介してバックボーンの通信ネットワークに接続することができる。 Conventionally, a communication terminal device such as a mobile phone or a smartphone having a wireless LAN (Local Area Network) communication function is known. A user uses a wireless LAN communication function incorporated in a communication terminal device, for example, Wi-Fi (registered trademark), which is a wireless LAN relay device installed in a fast food restaurant or a station premises in a city. Access point, and after a predetermined authentication process, the access point can be connected to the backbone communication network.
上記無線LANの通信機能を有する通信端末装置は、その通信端末装置からアクセス可能なアクセスポイントの種別情報(例えば、ESSID:Extended Service Set Identifier)、通信経路確立処理時や認証処理時におけるタイムアウト時間、アクセス可能な受信信号強度(RSSI:Received Signal Strength Indicator)の閾値などを含む通信ポリシー情報が格納され、その通信ポリシー情報に基づいてアクセスポイントを介した通信が制御される。例えば、上記通信ポリシー情報に含まれる種別情報で指定された特定種類のアクセスポイント(例えば、特定の通信サービス提供業者のアクセスポイント)に対してのみアクセス可能に制御される。また、無線LANのアクセスポイントを介した通信ネットワーク側のゲートウェイとの通信開始時に計時を開始し、ゲートウェイにおける通信経路の確立前に所定のタイムアウト時間が経過したと判定した場合にはアクセスポイントとの接続を切断する携帯端末も知られている(特許文献1参照)。 The communication terminal device having the wireless LAN communication function includes access point type information accessible from the communication terminal device (for example, ESSID: Extended Service Set Identifier), a timeout time during communication path establishment processing and authentication processing, Communication policy information including a threshold of accessible received signal strength (RSSI) is stored, and communication via the access point is controlled based on the communication policy information. For example, it is controlled to be accessible only to a specific type of access point (for example, an access point of a specific communication service provider) designated by the type information included in the communication policy information. In addition, it starts timing when communication with the gateway on the communication network side via the access point of the wireless LAN is started, and when it is determined that a predetermined time-out period has elapsed before establishing the communication path in the gateway, A portable terminal that disconnects the connection is also known (see Patent Document 1).
上記通信端末装置に格納されている通信ポリシー情報は、例えば所定のサーバから通信ネットワークを介して定期的に通信端末装置に配信されることにより更新される。しかしながら、このように通信端末装置へ定期的に配信される通信ポリシー情報は、その通信端末装置がアクセスする可能性がある複数のアクセスポイントについて適用される比較的データサイズが大きな通信ポリシー情報であるため、通信ポリシー情報の配信によって通信ネットワークや通信端末装置における負荷が増大するおそれがある。 The communication policy information stored in the communication terminal device is updated by, for example, being periodically distributed from a predetermined server to the communication terminal device via a communication network. However, the communication policy information periodically distributed to the communication terminal device in this way is communication policy information having a relatively large data size applied to a plurality of access points that the communication terminal device may access. Therefore, there is a possibility that the load on the communication network and the communication terminal device may increase due to the distribution of the communication policy information.
本発明は以上の問題点に鑑みなされたものであり、その目的は、通信端末装置及び通信ネットワークにおける負荷を増大させることなく、通信ポリシー情報に基づいて無線LANの中継装置を介した通信を制御可能な通信端末装置及び通信システムを提供することである。 The present invention has been made in view of the above problems, and an object of the present invention is to control communication via a wireless LAN relay device based on communication policy information without increasing the load on the communication terminal device and the communication network. A communication terminal device and a communication system are provided.
本発明の一態様に係る通信システムは、無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に関する通信ポリシー情報を管理するポリシー管理装置と、を備え、前記認証処理装置は、通信端末装置の利用者を識別可能な利用者識別情報と該通信端末装置が接続する中継装置を識別可能な装置識別情報とを含む認証要求を該通信端末装置から受信する手段と、前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、前記装置識別情報を含むポリシー確認要求を前記ポリシー管理装置に送信する手段と、前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定された該中継装置への接続可否情報を含むポリシー確認応答を前記ポリシー管理装置から受信する手段と、前記利用者認証処理の結果と、前記ポリシー確認応答に含まれる前記通信ポリシー情報又は前記接続可否情報とに基づいて、前記認証要求に対する認証応答を前記通信端末装置に送信する手段と、を備え、前記ポリシー管理装置は、前記装置識別情報を含むポリシー確認要求を前記認証処理装置から受信する手段と、前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報を含むポリシー確認応答を、前記認証処理装置に送信する手段と、を備える。
前記通信システムにおいて、前記認証処理装置は、前記利用者認証処理が成功した場合に、前記ポリシー確認要求を前記ポリシー管理装置に送信し、前記利用者認証処理が失敗した場合に、前記ポリシー確認要求を前記ポリシー管理装置に送信しないようにしてもよい。
また、本発明の他の態様に係る通信システムは、無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に関する通信ポリシー情報を管理するポリシー管理装置と、を備え、前記認証処理装置は、前記通信ポリシー情報を記憶する手段と、前記ポリシー管理装置から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段と、通信端末装置の利用者を識別可能な利用者識別情報と該通信端末装置が接続する中継装置を識別可能な装置識別情報とを含む認証要求を該通信端末装置から受信する手段と、前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、前記利用者認証処理の結果と、前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報とを含む、前記認証要求に対する認証応答を前記通信端末装置に送信する手段と、を備え、前記ポリシー管理装置は、更新対象の通信ポリシー情報を前記認証処理装置に送信する手段を備える。
また、前記通信システムにおいて、前記認証要求は、前記通信端末装置の機種情報及び前記中継装置の種別情報の少なくとも一つを含んでもよい。
A communication system according to an aspect of the present invention is a communication system that can be connected to a communication network from a communication terminal device via a relay device of a wireless LAN, from the communication terminal device to the communication network via the relay device. An authentication processing device that executes authentication processing at the time of connection, and a policy management device that manages communication policy information related to communication between the communication terminal device and a communication network via the relay device, and the authentication processing device Means for receiving from the communication terminal device an authentication request including user identification information capable of identifying a user of the terminal device and device identification information capable of identifying a relay device connected to the communication terminal device; User authentication processing for determining whether or not communication via the relay device is permitted by the user of the communication terminal device based on the included user identification information Means for transmitting a policy confirmation request including the device identification information to the policy management device, communication policy information for the relay device, or information on whether or not to connect to the relay device determined based on the communication policy information Based on the means for receiving a policy confirmation response from the policy management device, the result of the user authentication process, and the communication policy information or the connection availability information included in the policy confirmation response. Means for transmitting an authentication response to the communication terminal device, wherein the policy management device receives a policy confirmation request including the device identification information from the authentication processing device, and searches based on the device identification information. Communication policy information for the relay device obtained in the above or the relay determined based on the communication policy information The policy acknowledgment including the connection permission information to the location, and means for transmitting to said authentication device.
In the communication system, the authentication processing device transmits the policy confirmation request to the policy management device when the user authentication processing is successful, and the policy confirmation request when the user authentication processing fails. May not be transmitted to the policy management apparatus.
A communication system according to another aspect of the present invention is a communication system connectable from a communication terminal device to a communication network via a wireless LAN relay device, and communicates from the communication terminal device via the relay device. An authentication processing device that executes authentication processing when connected to a network; and a policy management device that manages communication policy information related to communication between the communication terminal device and a communication network via the relay device, and the authentication processing device. Can identify means for storing the communication policy information, means for receiving communication policy information to be updated from the policy management apparatus, updating the stored communication policy information, and a user of the communication terminal apparatus An authentication request including the user identification information and the device identification information capable of identifying the relay device connected to the communication terminal device. Means for receiving from the user, and means for performing user authentication processing for determining whether or not communication via the relay device is permitted by a user of the communication terminal device based on user identification information included in the authentication request; and A result of user authentication processing, and communication policy information for the relay device obtained by searching based on the device identification information or connection permission information to the relay device determined based on the communication policy information, Means for transmitting an authentication response to the authentication request to the communication terminal device, and the policy management device comprises means for transmitting communication policy information to be updated to the authentication processing device.
In the communication system, the authentication request may include at least one of model information of the communication terminal device and type information of the relay device.
本発明の更に他の態様に係る通信システムは、無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置と、を備え、前記認証処理装置は、通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を、該通信端末装置から受信する手段と、前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、前記利用者認証処理の結果を含む認証応答を前記通信端末装置に送信する手段と、を備え、前記ポリシー管理装置は、前記通信端末装置が接続する中継装置を識別可能な装置識別情報を含むポリシー確認要求を該通信端末装置から受信する手段と、前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定された該中継装置への接続可否情報を含むポリシー確認応答を、前記通信端末装置に送信する手段と、を備える。
前記通信システムにおいて、前記ポリシー管理装置は、前記認証処理装置による前記利用者認証処理が成功した場合に、前記ポリシー確認要求を該通信端末装置から受信し、前記認証処理装置による前記利用者認証処理が失敗した場合に、前記ポリシー確認要求を該通信端末装置から受信しないようにしてもよい。
また、本発明の更に他の態様に係る通信システムは、無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置と、を備え、前記中継装置は、前記通信端末装置からアソシエーション要求を受信する手段と、前記アソシエーション要求に基づいて、当該中継装置を識別可能な装置識別情報を含むポリシー確認要求を前記ポリシー管理装置に送信する手段と、前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定された該中継装置への接続可否情報を含むポリシー確認応答を、前記ポリシー管理装置から受信する手段と、前記ポリシー確認応答に含まれる前記通信ポリシー情報又は前記接続可否情報を含むアソシエーション応答を、前記通信端末装置に送信する手段と、を備え、前記認証処理装置は、前記アソシエーション応答を受信した通信端末装置から、前記通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を受信する手段と、前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、前記利用者認証処理の結果を含む認証応答を前記通信端末装置に送信する手段と、を備え、前記ポリシー管理装置は、前記装置識別情報を含むポリシー確認要求を前記中継装置から受信する手段と、前記装置識別情報に基づいて検索した前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報を含むポリシー確認応答を、該中継装置に送信する手段と、を備える。
また、本発明の更に他の態様に係る通信システムは、無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置と、前記中継装置を管理する中継装置管理装置と、を備え、前記中継装置管理装置は、前記中継装置を介して前記通信端末装置からアソシエーション要求を受信する手段と、前記アソシエーション要求に基づいて、前記中継装置を識別可能な装置識別情報を含むポリシー確認要求を前記ポリシー管理装置に送信する手段と、前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定された該中継装置への接続可否情報を含むポリシー確認応答を、前記ポリシー管理装置から受信する手段と、前記ポリシー確認応答に含まれる前記通信ポリシー情報又は前記接続可否情報を含むアソシエーション応答を、前記中継装置を介して前記通信端末装置に送信する手段と、を備え、前記認証処理装置は、前記アソシエーション応答を受信した通信端末装置から、前記通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を受信する手段と、前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、前記利用者認証処理の結果を含む認証応答を前記通信端末装置に送信する手段と、を備え、前記ポリシー管理装置は、前記装置識別情報を含むポリシー確認要求を前記中継装置管理装置から受信する手段と、前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報を含むポリシー確認応答を、前記中継装置管理装置に送信する手段と、を備える。
また、前記通信システムにおいて、前記ポリシー確認要求は、前記通信端末装置の利用者を識別可能な利用者識別情報、前記通信端末装置の機種情報及び前記中継装置の種別情報の少なくとも一つを含んでもよい。
A communication system according to yet another aspect of the present invention is a communication system that can be connected to a communication network from a communication terminal device via a wireless LAN relay device, the communication terminal device via the relay device to the communication network. An authentication processing device that executes an authentication process when connected to a network, and a policy management device that manages communication policy information for communication between the communication terminal device and a communication network via the relay device, the authentication processing device comprising: A means for receiving from the communication terminal device an authentication request including user identification information capable of identifying a user of the communication terminal device, and based on the user identification information included in the authentication request, Means for performing user authentication processing for determining whether or not communication is permitted by the user via the relay device; and an authentication response including a result of the user authentication processing. Means for transmitting to the communication terminal device, wherein the policy management device receives from the communication terminal device a policy confirmation request including device identification information that can identify the relay device to which the communication terminal device is connected. A policy confirmation response including communication policy information for the relay device obtained by searching based on the device identification information or connection permission / inhibition information to the relay device determined based on the communication policy information; Means for transmitting to the apparatus.
In the communication system, the policy management device receives the policy confirmation request from the communication terminal device when the user authentication processing by the authentication processing device is successful, and the user authentication processing by the authentication processing device. May fail to receive the policy confirmation request from the communication terminal device.
A communication system according to still another aspect of the present invention is a communication system connectable from a communication terminal device to a communication network via a wireless LAN relay device, from the communication terminal device via the relay device. An authentication processing device that executes authentication processing when connected to a communication network; and a policy management device that manages communication policy information for communication between the communication terminal device and the communication network via the relay device, the relay device Means for receiving an association request from the communication terminal device, means for transmitting a policy confirmation request including device identification information capable of identifying the relay device to the policy management device based on the association request, and the relay Communication policy information for a device or the relay device determined based on the communication policy information Means for receiving a policy confirmation response including connection permission information from the policy management apparatus; and means for transmitting the communication policy information included in the policy confirmation response or an association response including the connection permission information to the communication terminal apparatus And the authentication processing device receives, from the communication terminal device that has received the association response, an authentication request including user identification information that can identify a user of the communication terminal device; and the authentication request Means for performing user authentication processing for determining whether or not communication via the relay device is permitted by the user of the communication terminal device based on the user identification information included in the authentication, and authentication including a result of the user authentication processing Means for transmitting a response to the communication terminal device, wherein the policy management device includes a policy confirmation request including the device identification information. A policy confirmation response including means for receiving from the relay device, and communication policy information for the relay device searched based on the device identification information or connection permission information to the relay device determined based on the communication policy information, Means for transmitting to the relay device.
A communication system according to still another aspect of the present invention is a communication system connectable from a communication terminal device to a communication network via a wireless LAN relay device, from the communication terminal device via the relay device. An authentication processing device that executes authentication processing when connected to a communication network, a policy management device that manages communication policy information for communication between the communication terminal device and the communication network via the relay device, and the relay device A relay device management device, wherein the relay device management device is configured to receive an association request from the communication terminal device via the relay device, and to identify the relay device based on the association request Means for transmitting a policy confirmation request including identification information to the policy management device; Communication policy information or means for receiving from the policy management device a policy confirmation response including information on whether or not to connect to the relay device determined based on the communication policy information, and the communication policy information included in the policy confirmation response Or means for transmitting an association response including the connection permission information to the communication terminal device via the relay device, wherein the authentication processing device receives the communication terminal from the communication terminal device that has received the association response. Means for receiving an authentication request including user identification information capable of identifying a user of the device, and the user of the communication terminal device via the relay device based on the user identification information included in the authentication request; A means for performing user authentication processing for determining whether communication is permitted; and an authentication response including a result of the user authentication processing. And the policy management device receives the policy confirmation request including the device identification information from the relay device management device, and is obtained by searching based on the device identification information. Means for transmitting to the relay device management apparatus a policy confirmation response including communication policy information for the relay device or information on whether or not to connect to the relay device determined based on the communication policy information.
In the communication system, the policy confirmation request may include at least one of user identification information that can identify a user of the communication terminal device, model information of the communication terminal device, and type information of the relay device. Good.
本発明の更に他の態様に係る通信システムは、無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置と、を備え、前記中継装置は、前記通信ポリシー情報を記憶する手段と、前記ポリシー管理装置から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段と、前記通信端末装置からアソシエーション要求を受信する手段と、前記アソシエーション要求に基づいて検索して得られた自身に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した自身への接続可否情報とを含むアソシエーション応答を、前記通信端末装置に送信する手段と、を備え、前記認証処理装置は、前記アソシエーション応答を受信した通信端末装置から、前記通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を受信する手段と、前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、前記利用者認証処理の結果を含む認証応答を前記通信端末装置に送信する手段と、を備え、前記ポリシー管理装置は、前記通信ポリシー情報を前記中継装置に送信する手段を備える。
本発明の更に他の態様に係る通信システムは、無線LANの中継装置を介して通信端末装置から通信ネットワークに接続可能な通信システムであって、前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置と、前記中継装置を管理する中継装置管理装置と、を備え、前記中継装置管理装置は、前記通信ポリシー情報を記憶する手段と、前記ポリシー管理装置から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段と、前記中継装置を介して前記通信端末装置からアソシエーション要求を受信する手段と、前記アソシエーション要求に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報とを含むアソシエーション応答を、前記中継装置を介して前記通信端末装置に送信する手段と、を備え、前記認証処理装置は、前記アソシエーション応答を受信した通信端末装置から、前記通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を受信する手段と、前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、前記利用者認証処理の結果を含む認証応答を、前記通信端末装置に送信する手段と、を備え、前記ポリシー管理装置は、前記通信ポリシー情報を前記中継装置管理装置に送信する手段を備える。
A communication system according to yet another aspect of the present invention is a communication system that can be connected to a communication network from a communication terminal device via a wireless LAN relay device, the communication terminal device via the relay device to the communication network. An authentication processing device that executes an authentication process when connected to a network, and a policy management device that manages communication policy information for communication between the communication terminal device and a communication network via the relay device, and the relay device includes: Means for storing the communication policy information; means for receiving the communication policy information to be updated from the policy management apparatus; updating the stored communication policy information; and means for receiving an association request from the communication terminal apparatus Communication policy information for itself obtained by searching based on the association request, or Means for transmitting to the communication terminal device an association response that includes connection permission / inhibition information determined based on the communication policy information, wherein the authentication processing device receives from the communication terminal device that has received the association response. Means for receiving an authentication request including user identification information capable of identifying the user of the communication terminal device, and the relay by the user of the communication terminal device based on the user identification information included in the authentication request Means for performing a user authentication process for determining whether or not to allow communication via a device; and a means for transmitting an authentication response including a result of the user authentication process to the communication terminal device. Means for transmitting the communication policy information to the relay device.
A communication system according to yet another aspect of the present invention is a communication system that can be connected to a communication network from a communication terminal device via a wireless LAN relay device, the communication terminal device via the relay device to the communication network. An authentication processing device that executes authentication processing when connected to a network, a policy management device that manages communication policy information for communication between the communication terminal device and a communication network via the relay device, and a relay device that manages the relay device A management device, wherein the relay device management device receives the communication policy information to be updated from the means for storing the communication policy information and the policy management device, and updates the stored communication policy information. Means for receiving an association request from the communication terminal device via the relay device; and An association response including communication policy information for the relay device obtained by searching based on a request for connection or connection permission information to the relay device determined based on the communication policy information, via the relay device, Means for transmitting to the communication terminal device, wherein the authentication processing device receives an authentication request including user identification information capable of identifying a user of the communication terminal device from the communication terminal device that has received the association response. Means for performing user authentication processing for determining whether communication via the relay device is permitted by a user of the communication terminal device based on user identification information included in the authentication request, and the user Means for transmitting an authentication response including a result of the authentication process to the communication terminal device, wherein the policy management device provides the communication policy information in advance. Comprising means for transmitting to the relay apparatus management apparatus.
前記通信システムにおいて、前記装置識別情報は、前記中継装置の1台ごとにユニークに設定された識別情報であってもよい。
また、前記通信システムにおいて、前記通信ポリシー情報は、前記通信端末装置からの接続が許可又は禁止された中継装置の識別情報、前記通信端末装置から前記中継装置への接続が許可又は禁止された時間帯、前記中継装置を介した通信経路確立処理時のタイムアウト時間、及び、前記中継装置に接続するときの前記通信端末装置における受信信号強度の閾値の少なくとも一つを含んでもよい。
また、前記通信システムにおいて、前記通信端末装置は、移動体通信ネットワークを介して通信する手段と、前記移動体通信ネットワークを介して外部の通信ネットワークと通信する第1の通信経路が確立された状態で、前記無線LANの中継装置を介して前記外部の通信ネットワークと通信する第2の通信経路を確立する処理を開始する手段と、前記中継装置に対する接続が許可された場合は、前記外部の通信ネットワークとの通信に優先的に使用する通信経路を前記第1の通信経路から前記第2の通信経路へ切り替え、前記中継装置に対する接続が拒否された場合は、前記外部の通信ネットワークとの通信に優先的に使用する通信経路を前記第1の通信経路に維持する手段と、を備えてもよい。
In the communication system, the device identification information may be identification information uniquely set for each of the relay devices.
Further, in the communication system, the communication policy information includes identification information of a relay device that is permitted or prohibited to connect from the communication terminal device, and a time that the connection from the communication terminal device to the relay device is permitted or prohibited. At least one of a band, a timeout time at the time of establishing a communication path via the relay device, and a threshold value of received signal strength at the communication terminal device when connecting to the relay device.
Further, in the communication system, the communication terminal device is in a state in which a means for communicating via a mobile communication network and a first communication path for communicating with an external communication network via the mobile communication network are established. And means for starting a process for establishing a second communication path for communicating with the external communication network via the wireless LAN relay device, and if the connection to the relay device is permitted, the external communication When the communication path preferentially used for communication with the network is switched from the first communication path to the second communication path, and connection to the relay device is rejected, communication with the external communication network is performed. And a means for maintaining a preferentially used communication path in the first communication path.
本発明の更に他の態様に係る通信端末装置は、無線LANの中継装置を介して通信ネットワークに接続可能な通信端末装置であって、前記中継装置を介した当該通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置に、当該通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を送信する手段と、前記利用者識別情報に基づいて行われた利用者認証処理の結果を含む認証応答を、前記認証処理装置から受信する手段と、前記中継装置を介した当該通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置に、当該通信端末装置が接続する中継装置を識別可能な装置識別情報を含むポリシー確認要求を送信する手段と、前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該中継装置への接続可否情報を含むポリシー確認応答を、前記ポリシー管理装置から受信する手段と、前記認証処理装置から受信した前記利用者認証処理の結果と、前記ポリシー管理装置から受信した前記通信ポリシー情報又は前記接続可否情報とに基づいて、前記中継装置に対する接続を制御する手段と、を備える。
前記通信端末装置において、前記認証処理装置による前記利用者認証処理が成功した場合に、前記ポリシー確認要求を前記ポリシー管理装置に送信し、前記認証処理装置による前記利用者認証処理が失敗した場合に、前記ポリシー確認要求を前記ポリシー管理装置に送信しないようにしてもよい。
A communication terminal device according to still another aspect of the present invention is a communication terminal device connectable to a communication network via a wireless LAN relay device, from the communication terminal device to the communication network via the relay device. Means for transmitting an authentication request including user identification information capable of identifying the user of the communication terminal device to an authentication processing device that executes authentication processing at the time of connection; and a user made based on the user identification information Means for receiving an authentication response including a result of the authentication processing from the authentication processing device, and a policy management device for managing communication policy information for communication between the communication terminal device and the communication network via the relay device; Means for transmitting a policy confirmation request including device identification information capable of identifying the relay device to which the terminal device is connected; and a search based on the device identification information. Means for receiving from the policy management device a policy confirmation response including communication policy information for the relay device or information on whether or not to connect to the relay device, and a result of the user authentication processing received from the authentication processing device; Means for controlling connection to the relay device based on the communication policy information or the connection availability information received from the policy management device.
In the communication terminal device, when the user authentication processing by the authentication processing device is successful, the policy confirmation request is transmitted to the policy management device, and when the user authentication processing by the authentication processing device is unsuccessful. The policy confirmation request may not be transmitted to the policy management apparatus.
本発明によれば、通信端末装置及び通信ネットワークにおける負荷を増大させることなく、通信ポリシー情報に基づいて無線LANの中継装置を介した通信を制御することができる。 According to the present invention, communication via a wireless LAN relay device can be controlled based on communication policy information without increasing the load on the communication terminal device and the communication network.
以下、図面を参照しながら本発明の実施形態について説明する。
図1は、本発明の一実施形態に係る通信システムの一例を示す概略構成図である。
本実施形態の通信システムでは、利用者の携帯電話機やスマートフォンなどの通信端末装置10が、ファストフード店や駅構内などに設けられた無線LANの中継装置(以下「アクセスポイント」という。)20の無線通信可能エリア20A内に位置するとき、無線LAN通信機能を有する通信端末装置10からアクセスポイント20を介して通信ネットワークに接続することができる。アクセスポイント20は、通信端末装置10と無線通信可能なWi−Fi(登録商標)などの無線LANの中継装置であり、バックボーンネットワーク30及びゲートウェイ(GW)35を介して、認証処理装置としての認証サーバ40、ポリシー管理装置としてのポリシーサーバ50、外部の通信ネットワークとしてのインターネット90等に接続されている。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a schematic configuration diagram showing an example of a communication system according to an embodiment of the present invention.
In the communication system according to the present embodiment, a
なお、図1では、1台の通信端末装置10について図示しているが、通信端末装置10は2台以上であってもよい。また、図1において、本実施形態の通信端末装置10は、セルラー方式の移動体通信ネットワークを介して通信可能な携帯電話機やスマートフォンなどの携帯可能な移動体通信端末であるが、通信ネットワークを介して通信可能なものであれば移動体通信端末以外の通信端末装置であってもよい。例えば、本実施形態の通信端末装置10は、ノートパソコンなどのパソコン装置、ゲーム機、タブレット端末、デジタルカメラ、プリンタ、書籍閲覧端末等の、通信機能を有する装置であってもよい。また、本実施形態の通信端末装置は、ネットワーク連携可能な家電(例えば、TV、冷蔵庫、録画機器)、時計や眼鏡などのウェアラブルデバイス、体重計や血圧計及びその他医療機器、ロボット等の、通信機能を有する装置であってもよい。
In FIG. 1, one
また、本実施形態の通信システムでは、通信端末装置10がマクロセルやスモールセルなどの移動体通信(以下「セルラー通信」ともいう。)のセル60A内に在圏するとき、第3世代(3G)、LTE(Long Term Evolution)、LTE−Advanced、第4世代(4G)、第5世代(5G)などの規格に準拠したセルラー通信のマクロセル基地局やスモールセル基地局などの基地局60を介して、セルラー通信機能を有する通信端末装置10から通信ネットワークに接続することができる。基地局60は、通信端末装置10と無線通信可能な中継装置であり、コアネットワーク70及びゲートウェイ(GW)75を介して、図示しない各種サーバやインターネット90等に接続されている。
In the communication system according to the present embodiment, when the
アクセスポイント20は、例えばIEEE802.11の規格に準拠したWi−Fiなどの無線LANの無線通信方式により、無線通信可能エリア20A内の通信端末装置10と無線通信し、通信端末装置10と通信ネットワークとの間の通信を中継することができる。
The
認証サーバ40は、通信サービスに加入している加入者の各種情報が格納された加入者データベース(DB)45が接続された、例えばRADIUS(Remote Authentication Dial In User Service)サーバである。認証サーバ40は、通加入者データベース45に格納されている情報を参照して、通信端末装置10から通信ネットワークに接続するときのWISPr(Wireless Internet Service Provider Roaming)認証やEAP(Extensible Authentication Protocol)認証などによる認証処理を行うサーバである。認証サーバ40は、ポリシーサーバ50と通信する機能を有する。また、認証サーバ40は、バックボーンネットワーク30及びゲートウェイ(GW)35を介してアクセスポイント20と通信する機能や、そのアクセスポイント20を介して通信端末装置10と通信する機能を有する。
The
加入者データベース45に格納されている情報は、例えば、利用者識別情報(利用者ID)、パスワード、加入者識別情報、氏名や住所などの利用者情報、利用可能なサービスに関する情報、使用している通信端末装置の情報などである。
Information stored in the
ポリシーサーバ50は、アクセスポイント20を介した通信端末装置10と通信ネットワークとの通信に関する通信ポリシー情報が格納されたポリシーデータベース(DB)55が接続され、複数のアクセスポイント20の通信ポリシー情報を管理するサーバである。ポリシーサーバ50は、認証サーバ40と通信する機能を有する。また、ポリシーサーバ50は、バックボーンネットワーク30及びゲートウェイ(GW)35を介してアクセスポイント20と通信する機能や、そのアクセスポイント20を介して通信端末装置10と通信する機能を有してもよい。
The
ポリシーサーバ50は、例えば認証サーバ40や通信端末装置10などの外部装置からの問い合わせを受けて、要求された通信ポリシー情報を提供する機能も有する。ポリシーサーバ50は、問い合わせ対象のアクセスポイント20に関する通信ポリシー情報そのものを提供せずに、その通信ポリシー情報に基づいて問い合わせ対象のアクセスポイント20への接続が可能か否かを判断し、その判断結果を含むアクセスポイント20への接続可否情報を提供するようにしてもよい。
The
ポリシーデータベース55に格納されている通信ポリシー情報は、例えば、アクセスポイント20の1台ごとにユニークに設定されたアクセスポイント識別情報(例えば、BSSID:Basic Service Set Identifier)、アクセスポイント20の種類を識別可能なアクセスポイント種別情報(例えば、ESSID:Extended Service Set Identifier )、通信端末装置10からアクセスポイント20への接続が許可又は禁止された時間帯、アクセスポイント20を介した通信経路確立処理時のタイムアウト時間、アクセスポイント20に接続するときの通信端末装置10における受信信号強度(例えば、RSSI:Received Signal Strength Indicator)の閾値などである。ポリシーサーバ50が通信ポリシー情報に関する問い合わせを通信端末装置10から受ける場合、ポリシーデータベース55に格納される通信ポリシー情報は、通信端末装置10の利用者に関する利用者識別情報(利用者ID)及びパスワードを含んでもよい。
The communication policy information stored in the
認証サーバ40、加入者データベース45、ポリシーサーバ50及びポリシーデータベース55はそれぞれ、例えば単一のコンピュータ装置で構成したり複数のコンピュータ装置を組み合わせて構成したりすることができ、予め組み込まれた所定のプログラムが実行されることにより、各種処理や制御を実行することができる。また、認証サーバ40及び加入者データベース45を1台のコンピュータ装置で構成し、ポリシーサーバ50及びポリシーデータベース55を1台のコンピュータ装置で構成してもよい。また、認証サーバ40、加入者データベース45、ポリシーサーバ50及びポリシーデータベース55を1台のコンピュータ装置で構成してもよい。
Each of the
本実施形態において、認証サーバ40及びポリシーサーバ50はそれぞれ、所定のプログラムが実行されることにより、次のような各手段としての機能を実現可能である。
In the present embodiment, each of the
例えば、認証サーバ40は、所定のプログラムが実行されることにより、次の(A401)〜(A411)に示す各手段として機能する。
(A401)通信端末装置10の利用者を識別可能な利用者識別情報(利用者ID)を含む認証要求、又は、利用者識別情報(利用者ID)と通信端末装置10が接続するアクセスポイント20を識別可能なアクセスポイント識別情報(例えば、BSSID)とを含む認証要求を、通信端末装置10から受信する手段。
(A402)認証要求に含まれる利用者識別情報(利用者ID)に基づいて、通信端末装置10の利用者によるアクセスポイント20を介した通信の許否を判断する利用者認証処理を行う手段。
(A403)アクセスポイント識別情報を含むポリシー確認要求をポリシーサーバ50に送信する手段。
(A404)アクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定されたアクセスポイント20への接続可否情報(例えば、0:接続不可、1:接続可のフラグデータ)を含むポリシー確認応答を、ポリシーサーバ50から受信する手段。
(A405)前記利用者認証処理の結果と、ポリシー確認応答に含まれる通信ポリシー情報又は接続可否情報とに基づいて、前記認証要求に対する認証応答を通信端末装置10に送信する手段。
(A406)前記利用者認証処理の結果を含む認証応答を通信端末装置10に送信する手段。
(A407)前記通信ポリシー情報を記憶する手段。
(A408)ポリシーサーバ50から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段。
(A409)アクセスポイント識別情報に基づいて、アクセスポイント20に対する通信ポリシー情報を検索して取得する手段。
(A410)アクセスポイント20に対する通信ポリシー情報に基づいて、アクセスポイント20への接続可否を判定する手段。
(A411)前記利用者認証処理の結果と、アクセスポイント識別情報に基づいて検索して得られたアクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定したアクセスポイント20への接続可否情報とを含む、前記認証要求に対する認証応答を、通信端末装置10に送信する手段。
For example, the
(A401) An authentication request including user identification information (user ID) that can identify a user of the
(A402) Means for performing user authentication processing for determining whether or not communication via the
(A403) Means for transmitting a policy confirmation request including access point identification information to the
(A404) Policy confirmation response including communication policy information for the
(A405) Means for transmitting an authentication response to the authentication request to the
(A406) Means for transmitting an authentication response including a result of the user authentication processing to the
(A407) Means for storing the communication policy information.
(A408) Means for receiving communication policy information to be updated from the
(A409) Means for searching and acquiring communication policy information for the
(A410) Means for determining whether or not connection to the
(A411) Communication policy information for the
一方、ポリシーサーバ50は、所定のプログラムが実行されることにより、次の(A501)〜(A505)の各手段として機能する。
(A501)アクセスポイント識別情報を含むポリシー確認要求を、認証サーバ40、通信端末装置10、アクセスポイント20又は後述のAP管理サーバ80から受信する手段。
(A502)ポリシー確認要求に含まれるアクセスポイント識別情報に基づいて、アクセスポイント20に対する通信ポリシー情報を検索して取得する手段。
(A503)アクセスポイント20に対する通信ポリシー情報に基づいてアクセスポイント20への接続可否を判定する手段。
(A504)ポリシー確認要求に含まれるアクセスポイント識別情報に基づいて検索して得られたアクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定したアクセスポイント20への接続可否情報を含むポリシー確認応答を、認証サーバ40、通信端末装置10、アクセスポイント20又は後述のAP管理サーバ80に送信する手段。
(A505)更新対象の通信ポリシー情報を、認証サーバ40、アクセスポイント20又は後述のAP管理サーバ80に送信する手段。
On the other hand, the
(A501) Means for receiving a policy confirmation request including access point identification information from the
(A502) Means for searching and acquiring communication policy information for the
(A503) Means for determining whether or not connection to the
(A504) A policy including communication policy information for the
(A505) Means for transmitting communication policy information to be updated to the
図2は、本発明の一実施形態に係る通信端末装置10のハードウェア構成の一例を示すブロック図である。本実施形態の通信端末装置10は、主制御部110と無線通信部111とベースバンド処理部112と音入出力部113と表示部114と操作手段としての操作部115とを備える。また、通信端末装置10は、装置本体に対して着脱可能な加入者情報記憶媒体であるICモジュールとしてのUSIM15が装着されている。
FIG. 2 is a block diagram illustrating an example of a hardware configuration of the
主制御部110は、MPU(Micro Processing Unit)やRAM、ROM等からなる記憶装置を備え、所定の基本OSやミドルウェア等のプログラムが実行されることにより、ベースバンド処理部112等の各部を制御したり、ソフトウェア構成上のネイティブプラットフォーム環境やアプリケーション実行環境を構築したりする。
The
主制御部110の記憶装置は、例えば、半導体メモリ、磁気ディスク装置、及び光ディスク装置のうちの少なくともいずれか一つを有する。この記憶装置は、各部での処理に用いられるドライバプログラム、オペレーティングシステムプログラム、アプリケーションプログラム、データ等を記憶する。例えば、記憶装置は、ドライバプログラムとして、IEEE802.11規格の無線通信方式や移動体通信(セルラー通信)の無線通信方式を実行する通信ドライバプログラム、操作部115を制御する入力デバイスドライバプログラム、表示部114を制御する出力デバイスドライバプログラム等を記憶する。また、記憶装置は、オペレーティングシステムプログラムとして、例えば、Android(登録商標)OS、iOS(登録商標)等の基本OSや、IEEE802.11規格の無線通信方式や移動体通信(セルラー通信)の無線通信方式での認証等を行う接続制御プログラム等を記憶する。また、記憶装置は、アプリケーションプログラムとして、ウェブ認証を行う認証プログラム、時間を計時する計時プログラム、ウェブページを取得及び表示するウェブブラウザプログラム、電子メールを送信及び受信する電子メールプログラム等を記憶する。また、記憶装置は、各種のテキストデータ、映像データ、画像データ等を記憶したり、所定の処理に係る一時的なデータを一時的に記憶したりしてもよい。また、記憶装置は、無線LANのアクセスポイントに接続するための各種情報を記憶している。
The storage device of the
無線通信部111は、無線LANのアクセスポイント20を介して通信する無線LAN通信手段及びセルラー通信の基地局60を介して通信する移動体通信手段として機能し、例えばシンセサイザ、周波数変換器,高周波増幅器、アンテナなどにより構成されている。無線通信部111は、アクセスポイント20との間でIEEE802.11等の所定の通信方式により無線通信するための高周波信号処理を実行したり、基地局60との間で3GやLTEなどの所定の通信方式により無線通信するための高周波信号処理を実行する。
The
ベースバンド処理部112は、他の携帯電話機等の通信端末装置や各種サーバとの間で音声通信やデータ送受信の通信を行うためのデジタル処理を実行する。このベースバンド処理部112と上記無線通信部111との間はD/A変換器やA/D変換器を介して接続されている。
The
音入出力部113は、マイク、スピーカ、音信号処理部等で構成されている。マイクから出力されるアナログの音声信号は、音信号処理部でデジタル信号に変換され、主制御部110やベースバンド処理部112等に送られる。スピーカは、音信号処理部でデジタル信号から変換されたアナログ信号が入力され、通話中の音声を出力したり、メールの着信音、電話の呼び出し音、音楽などを出力したりする。なお、スピーカは、通話中の音声を聞くための受話器用スピーカ(レシーバ)と、着信音や音楽などを出力する外部出力用スピーカとを別々に設けて構成してもいいし、これらの受話器用スピーカ及び外部出力用スピーカを兼用するように一つのスピーカで構成してもよい。
The sound input /
表示部114は、LCD(液晶ディスプレイ)や有機EL(Electro−Luminescence)ディスプレイ等で構成され、主制御部110からの指令に基づいて各種画像を表示する。例えば、表示部114は、Wi−Fi等の無線LAN接続の状況を示す画像を表示するようにしてもよい。
The
操作部115は、表示部114に組み込まれたタッチパネルや、各種の操作キーやボタン、電源ON/OFF手段としての電源スイッチなどで構成されている。この操作部115は、利用者が、通信端末装置10の本体電源をON/OFFしたり、通話開始、終話、メニュー選択、画面切り換え等を指示したり、情報を入力したりするときに用いられる。
The
また、通信端末装置10は、位置情報取得手段としてのGPS(Global Positioning System)部117、撮像手段としてのカメラ部118、センサー部119、電源供給手段としての電源供給部120、図示しない時計部等も備えている。
Further, the
GPS部117は、GPS受信モジュールやGPSアンテナ等で構成され、地球の周りに配置されている複数のGPS衛星から電波を受信し、その受信結果に基づいて通信端末装置10が位置する緯度、経度及び高度のデータを算出する。
The
カメラ部118は、レンズや撮像デバイス等で構成され、人物や風景等を撮影する時に用いられる。撮像デバイスとしては、CCD(Charge Coupled Device)カメラやCMOSカメラを用いることができる。
The
センサー部119は、加速度センサー及び/又は地磁気センサー等で構成されている。加速度センサーは、1軸の加速度センサーであっていいし、2軸や3軸等の複数軸の加速度センサーであってもよい。また、地磁気センサーも、1軸の地磁気センサーであっていいし、2軸や3軸等の複数軸の地磁気センサーであってもよい。このセンサー部119の出力に基づいて、通信端末装置10の位置、向き、姿勢及び動きを示すデータを算出することができる。また、センサー部119の出力に基づいて、所定高度における基準位置から利用者の通信端末装置10が移動したときの加速度データや地磁気データの時間変化の情報である履歴情報から、通信端末装置10が位置している高度、角度等を示すデータを算出することができる。
The
電源供給部120は、充電可能なバッテリー、バッテリーから各部に所定電圧の電力を供給する電力供給回路、バッテリーを充電する充電回路などを備えている。時計部はクロック回路等で構成され、正確な日時を計数し、各種情報の更新処理等のための時刻情報を生成する。
The
本実施形態において、通信端末装置10の主制御部110は、所定のプログラムが実行されることにより、他の無線通信部111などと協働して次のような各手段としての機能を実現可能である。
例えば、通信端末装置10の主制御部110は、所定のプログラムが実行されることにより、次の(A101)〜(A108)の各手段として機能する。
(A101)通信端末装置10の利用者を識別可能な利用者識別情報(利用者ID)を含む認証要求を認証サーバ40に送信する手段。
(A102)利用者識別情報(利用者ID)に基づいて行われた利用者認証処理の結果を含む認証応答を、認証サーバ40から受信する手段。
(A103)通信端末装置10が接続するアクセスポイント20を識別可能なアクセスポイント識別情報を含むポリシー確認要求をポリシーサーバ50に送信する手段。
(A104)アクセスポイント識別情報に基づいて検索して得られたアクセスポイント20に対する通信ポリシー情報又はアクセスポイント20への接続可否情報を含むポリシー確認応答を、ポリシーサーバ50から受信する手段。
(A105)認証サーバ40から受信した利用者認証処理の結果と、ポリシーサーバ50から受信した通信ポリシー情報又は接続可否情報とに基づいて、アクセスポイント20に対する接続を制御する手段。
(A106)移動体通信ネットワークを介して通信する手段。
(A107)移動体通信ネットワークを介してインターネット90等の外部の通信ネットワークと通信する第1の通信経路が確立された状態で、アクセスポイント20を介して外部の通信ネットワークと通信する第2の通信経路を確立する処理を開始する手段。
(A108)アクセスポイント20に対する接続が許可された場合は、外部の通信ネットワークとの通信に優先的に使用する通信経路を第1の通信経路から第2の通信経路へ切り替え、アクセスポイント20に対する接続が拒否された場合は、外部の通信ネットワークとの通信に優先的に使用する通信経路を第1の通信経路に維持する手段。
In the present embodiment, the
For example, the
(A101) A means for transmitting an authentication request including user identification information (user ID) that can identify a user of the
(A102) Means for receiving, from the
(A103) Means for transmitting a policy confirmation request including access point identification information capable of identifying the
(A104) Means for receiving, from the
(A105) Means for controlling connection to the
(A106) Means for communicating via a mobile communication network.
(A107) Second communication for communicating with an external communication network via the
(A108) When the connection to the
アクセスポイント20は、例えば、制御部と、所定の通信方式で通信端末装置10と無線LAN通信を行う第1の通信部と、コアネットワーク30及びGW35を介して各種サーバ40、50やインターネット90上の各種サーバと通信する第2の通信部とを備える。制御部は、例えばMPUやRAM、ROM等からなる記憶装置を備え、所定の基本OSやミドルウェア等のプログラムが実行されることにより、上記通信部等の各部を制御することができる。
The
本実施形態において、アクセスポイント20の制御部は、所定のプログラムが実行されることにより、他の通信部などと協働して次のような各手段としての機能を実現可能である。
例えば、アクセスポイント20の制御部は、所定のプログラムが実行されることにより、次の(A201)〜(A210)の各手段として機能する。
(A201)通信端末装置10からプローブ要求、認証要求及びアソシエーション要求を受信する手段。
(A202)アソシエーション要求に基づいて、アクセスポイント20(自身)を識別可能なアクセスポイント識別情報を含むポリシー確認要求をポリシーサーバ50に送信する手段。
(A203)アクセスポイント20(自身)に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定されたアクセスポイント20(自身)への接続可否情報を含むポリシー確認応答を、ポリシーサーバ50から受信する手段。
(A204)前記ポリシー確認応答に含まれる通信ポリシー情報又は接続可否情報を含むアソシエーション応答を、通信端末装置10に送信する手段。
(A205)通信端末装置10にプローブ応答及び認証要求を送信する手段。
(A206)通信ポリシー情報を記憶する手段。
(A207)ポリシーサーバ50から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段。
(A208)通信端末装置10から受信したアソシエーション要求に基づいて、アクセスポイント20(自身)に対する通信ポリシー情報を検索して取得する手段。
(A209)アクセスポイント20(自身)に対する通信ポリシー情報に基づいて、アクセスポイント20(自身)への接続可否を判定する手段。
(A210)アクセスポイント20(自身)に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定したアクセスポイント20(自身)への接続可否情報とを含むアソシエーション応答を、通信端末装置10に送信する手段。
In the present embodiment, the control unit of the
For example, the control unit of the
(A201) Means for receiving a probe request, an authentication request, and an association request from the
(A202) Means for transmitting a policy confirmation request including access point identification information capable of identifying the access point 20 (self) to the
(A203) Means for receiving, from the
(A204) Means for transmitting an association response including communication policy information or connection permission information included in the policy confirmation response to the
(A205) Means for transmitting a probe response and an authentication request to the
(A206) Means for storing communication policy information.
(A207) Means for receiving communication policy information to be updated from the
(A208) Means for searching and acquiring communication policy information for the access point 20 (self) based on the association request received from the
(A209) Means for determining whether or not to connect to the access point 20 (self) based on communication policy information for the access point 20 (self).
(A210) Means for transmitting, to the
図3は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の一例を示すシーケンス図である。
なお、以下の図3及び図4〜図6における動作シーケンスは、主制御部110の記憶装置等に記憶されているプログラムに基づいて、主に主制御部110等により、無線通信部111、ベースバンド処理部112、アクセスポイント20、ゲートウェイ35、認証サーバ40及びポリシーサーバ50と協働して実行される。
FIG. 3 is a sequence diagram illustrating an example of connection control of wireless LAN communication when the connection between the
The operation sequences in FIG. 3 and FIGS. 4 to 6 below are based on the program stored in the storage device or the like of the
通信端末装置10において無線LANへの接続がオンにされたことが検知されると、主制御部110は、記憶装置に記憶されているリストを参照し、接続対象のネットワークのアクセスポイント種別情報であるESSIDを一つ取得し、そのESSIDを含むプローブ要求をブロードキャストする(ステップS101)。
When the
通信端末装置10からプローブ要求を受信すると、アクセスポイント20は、プローブ要求に含まれるESSIDが自身のESSIDと同じであれば、通信端末装置10にプローブ応答を返信する(ステップS102)。プローブ応答には、アクセスポイント20のアクセスポイント識別情報であるBSSID、暗号方式、認証方式、通信速度等のパラメータが含まれる。
When the probe request is received from the
アクセスポイント20からプローブ応答を受信しなければ、通信端末装置10は、記憶装置から他のESSIDを一つ取得し、そのESSIDを含むプローブ要求をブロードキャストする。一方、アクセスポイント20からプローブ応答を受信すると、通信端末装置10は、プローブ応答に含まれるアクセスポイント識別情報であるBSSID、及び対応するESSIDを、記憶装置に格納する。
If the probe response is not received from the
次に、通信端末装置10は、プローブ応答を受信した後、自身のMAC(Media Access Control)アドレスの情報を含む認証要求をアクセスポイント20に送信する(ステップS103)。アクセスポイント20は、所定のアルゴリズムを用いて通信端末装置10を認証するか否かを決定し、その認証の結果を含む認証応答を返信する(ステップS104)。この認証は、例えば通信端末装置10のMACアドレスを識別子として行われる。
Next, after receiving the probe response, the
次に、通信端末装置10は、アクセスポイント20により認証されたことを確認した後、アクセスポイント20にアソシエーション(接続)要求を送信する(ステップS105)。アソシエーション要求には、アクセスポイント20のESSID、サポートレート、ポーリング利用要否等のパラメータが含まれる。アクセスポイント20は、通信端末装置10のMACアドレスが認証したMACアドレスであり、通信端末装置10から受信したアソシエーション要求に含まれるパラメータがすべて自身に対応していることを確認した後、接続許可する旨の情報を含むアソシエーション応答を通信端末装置10に送信する(ステップS106)。
Next, after confirming that the
以上のS101〜S106の処理により、通信ネットワークレベルで、通信端末装置10からアクセスポイント接続を介した無線LAN通信によるネットワーク接続の通信経路が確立される。この状態では、通信端末装置10は、バックボーンネットワーク30を介して認証サーバ40やポリシーサーバ50との間でデータフレームの送受信が可能になる。しかしながら、この時点ではまだ、ユーザが認証サーバ40により認証されておらず、アプリケーションのレベルで接続が完了していないため、ゲートウェイ35を介してインターネット90等に接続することができない。
Through the processes in S101 to S106 described above, a communication path for network connection by wireless LAN communication from the
次に、通信端末装置10は、例えばHTTP通信により所定URLのログインページを介して、ユーザIDとパスワードとBSSIDとを含む認証要求をアクセスポイント20に送信する(ステップS107)。なお、BSSIDは、通信端末装置10から送信する認証要求に含めずに、アクセスポイント20が認証サーバ40に転送する認証要求に付加するようにしてもよい。
Next, the
通信端末装置10から認証要求を受信すると、アクセスポイント20は、その認証要求をゲートウェイ35を介して認証サーバ40に送信する(ステップS108)。
When receiving the authentication request from the
アクセスポイント20から認証要求を受信すると、認証サーバ40は、認証要求に含まれるユーザIDとパスワードとについて加入者データベース45を参照してユーザ認証を行う(ステップS109)。このユーザ認証は、認証要求を送信してきた通信端末装置10の利用者が、上記ESSIDに対応するアクセスポイントを介した無線LAN通信を利用可能な利用者として予め登録された利用者であるかを確認する認証である。ユーザ認証に成功した場合には、BSSIDを含むポリシー確認要求をポリシーサーバ50に送信する(ステップS110)。
When receiving the authentication request from the
認証サーバ40からポリシー確認要求を受信すると、ポリシーサーバ50は、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS111)。ここで、上記検索して参照する通信ポリシー情報は、例えば、過去に接続エラーが生じた接続不可のアクセスポイントの一覧であるブラックリスト、又は、過去に接続エラーが生じていない接続可能なアクセスポイントの一覧であるホワイトリストなどの情報である(以下の接続制御例においても同様)。
When the policy confirmation request is received from the
次に、ポリシーサーバ50は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS112)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続可を示すフラグデータ「1」)を含むポリシー確認応答を、認証サーバ40に返信する(ステップS113)。
Next, the
ポリシーサーバ50からポリシー確認応答を受信すると、認証サーバ40は、ユーザ認証結果と、ポリシー確認応答に含まれる接続可否情報とに基づいて、ゲートウェイ35を介してアクセスポイント20に認証応答を送信する(ステップS114)。例えば、ユーザ認証が成功し、且つ、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定された接続可否情報を受信した場合、認証サーバ40は、認証処理に成功した旨を示す認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する(ステップS114)。そして、アクセスポイント20は、認証サーバ40から受信した認証応答を通信端末装置10に送信する(ステップS115)。
Upon reception of the policy confirmation response from the
なお、図3の例では、ポリシーサーバ50で接続可否判定を行っているが、認証サーバ40で接続可否判定を行ってもよい。この場合、ポリシーサーバ50は、認証サーバ40からポリシー確認要求を受信したとき、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を取り出す。そして、ポリシーサーバ50は、取り出した通信ポリシー情報を含むポリシー確認応答を認証サーバ40に返信する。認証サーバ40は、ポリシーサーバ50から受信した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。この判定結果と、ユーザ認証結果とに基づいて、認証サーバ40は、ゲートウェイ35を介してアクセスポイント20に認証応答を送信する。例えば、ユーザ認証が成功し、且つ、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、認証サーバ40は、認証処理に成功した旨を示す認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する。
In the example of FIG. 3, the
アクセスポイント20から上記認証応答を受信すると、通信端末装置10は、アプリケーションのレベルにおけるインターネット90への接続に優先的に使用される通信経路(以下「ネットワーク接続のデフォルト通信経路」という。)を、基地局60を介するセルラー通信の通信経路(第1の通信経路)から、アクセスポイント20を介する無線LAN通信の通信経路(第2の通信経路)に切り替える(ステップS116)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。
When receiving the authentication response from the
図4は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の一例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS201〜S211については、図3に示されるステップS101〜S111と同じであるので、それらの説明を省略する。
FIG. 4 is a sequence diagram showing an example of connection control for wireless LAN communication when the connection between the
ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照した後、ポリシーサーバ50は、その参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS212)。例えば、上記ブラックリストやホワイトリストにBSSIDが含まれているか否かを確認して判定する。ここで、ユーザ認証には成功したがアクセスポイント20のBSSIDが上記ブラックリストに含まれている(又は上記ホワイトリストに含まれていない)ためアクセスポイント20への接続不可と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続不可を示すフラグデータ「0」)を含むポリシー確認応答を、認証サーバ40に返信する(ステップS213)。
After searching the
ポリシーサーバ50からポリシー確認応答を受信すると、認証サーバ40は、ユーザ認証結果と、ポリシー確認応答に含まれる接続可否情報とに基づいて、認証処理に失敗した旨を示す認証エラーの認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する(ステップS214)。そして、アクセスポイント20は、認証サーバ40から受信した認証応答を通信端末装置10に送信する(ステップS215)。
Upon reception of the policy confirmation response from the
アクセスポイント20から認証応答を受信すると、通信端末装置10は、認証が失敗したことを確認した後、そのアクセスポイント20との接続処理を中止するための切断要求をアクセスポイント20に送信する(ステップS216)。すると、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。
Upon receiving the authentication response from the
以上、図3及び図4の無線LAN通信の接続制御例によれば、認証サーバ40が認証要求を受信したとき、ポリシーサーバ50にアクセスし、通信端末装置10からアクセスポイント20への接続可否判定の結果を取得し、その接続可否判定の結果を含む認証応答を通信端末装置10に送信している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
As described above, according to the connection control examples of the wireless LAN communication of FIGS. 3 and 4, when the
特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
In particular, for each of a plurality of access points that can roam with each other when the
また、図3及び図4の無線LAN通信の接続制御例によれば、通信端末装置10と認証サーバ40との間のシーケンスは従来と同様であるため、当該シーケンスにおいては既存処理を応用することができる。また、無線LAN通信の接続処理時において、通信量や処理時間のオーバヘッドを低く抑えることができるため、通信端末装置10の利用者の体感や操作性に変化がなく、従来と同様な体感や操作性で無線LAN通信を利用できる。
Further, according to the connection control examples of the wireless LAN communication shown in FIGS. 3 and 4, the sequence between the
また、図3及び図4の無線LAN通信の接続制御例によれば、通信端末装置10が認証サーバ40との間の認証処理に対応していれば、通信端末装置10への追加実装がなくても、通信ポリシー情報に基づくアクセスポイント20への接続制御(以下「ポリシー制御」という。)に対応していない通信端末装置に対しても分け隔てなく、認証時に通信ポリシー情報を適用できる。つまり、ポリシーサーバ50に格納される通信ポリシー情報は、例えば特定の通信端末装置への追加実装によりアップロードされた情報やネットワーク側で管理している情報を元に作成される場合があるが、それによって作成された通信ポリシー情報は、ポリシー制御に関する追加実装を行っていない通信端末装置にも、認証サーバ40との間の認証処理にさえ対応していれば適用できる。
Further, according to the connection control examples of the wireless LAN communication in FIGS. 3 and 4, if the
また、図3及び図4の無線LAN通信の接続制御例によれば、認証サーバ40から認証応答を受信するまで、セルラー通信の通信経路が維持されるため、認証処理に失敗した旨を示す認証エラーの認証応答を受信した場合でもネットワーク接続が切断されない。
Further, according to the connection control examples of the wireless LAN communication in FIGS. 3 and 4, since the communication path of the cellular communication is maintained until the authentication response is received from the
なお、図3及び図4の無線LAN通信の接続制御例において、認証サーバ40は、利用者認証処理が成功した場合にポリシー確認要求をポリシーサーバ50に送信し、利用者認証処理が失敗した場合にポリシー確認要求をポリシーサーバ50に送信しないように制御してもよい。この場合は、利用者認証処理が失敗した場合に、アクセスポイント20に対する通信ポリシー情報を確認する不要な確認処理を省略することで、認証サーバ40及びポリシーサーバ50における処理の負荷、及び、サーバ40,50間の通信回線や通信ネットワークにおける負荷を、低減することができる。
3 and 4, the
また、図3及び図4の無線LAN通信の接続制御例では、認証サーバ40がポリシーサーバ50から通信ポリシー情報を取得して接続対象のアクセスポイント20について接続可能か否かを判定しているが、ポリシーサーバ50が通信ポリシー情報に基づいて接続対象のアクセスポイント20について接続可能か否かを判定してもよい。この場合、ポリシーサーバ50で判定された接続対象のアクセスポイント20について接続可能か否かを示す接続可否情報が、ポリシーサーバ50から認証サーバ40に送信される。そして、認証サーバ40は、ポリシーサーバ50から受信した接続可否情報と、ユーザ認証結果とに基づいて、認証応答を通信端末装置10に送信する。ポリシーサーバ50から認証サーバ40へは、通信ポリシー情報そのものではなく、比較的データサイズが小さい接続可否情報が送信されるため、認証サーバ40とポリシーサーバ50との間の通信ネットワークの負荷の増大を防止できる。
3 and 4, the
なお、図3及び図4の無線LAN通信の接続制御例では、ユーザ認証(S109、S209)の後にポリシー検索及び接続可否判定(S111〜S113、S211〜S213)を行っているが、ポリシー検索及び接続可否判定の後にユーザ認証を行ってもよい。 In the wireless LAN communication connection control examples of FIGS. 3 and 4, the policy search and the connection possibility determination (S111 to S113, S211 to S213) are performed after the user authentication (S109, S209). User authentication may be performed after the connection possibility determination.
図5は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS301〜S309については、図3に示されるステップS101〜S109と同じであるので、それらの説明を省略する。
FIG. 5 is a sequence diagram showing another example of connection control of wireless LAN communication when the connection between the
図5中のステップS309においてユーザ認証に成功した場合、認証サーバ40は、ユーザ認証に成功した旨を示す認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する(ステップS310)。そして、アクセスポイント20は、認証サーバ40から受信した認証応答を通信端末装置10に送信する(ステップS311)。
If the user authentication is successful in step S309 in FIG. 5, the
アクセスポイント20から認証応答を受信すると、通信端末装置10は、ユーザ認証に成功したことを確認した後、例えばHTTP通信により、接続対象のアクセスポイント20のBSSIDを含むポリシー確認要求をアクセスポイント20に送信する(ステップS312)。なお、BSSIDは、通信端末装置10から送信するポリシー確認要求に含めずに、アクセスポイント20が認証サーバ40に転送するポリシー確認要求に付加するようにしてもよい。
When receiving the authentication response from the
通信端末装置10からポリシー確認要求を受信すると、アクセスポイント20は、そのポリシー確認要求をゲートウェイ35を介してポリシーサーバ50に送信する(ステップS313)。
When receiving the policy confirmation request from the
通信端末装置10からポリシー確認要求を受信すると、ポリシーサーバ50は、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS314)。
When receiving the policy confirmation request from the
次に、ポリシーサーバ50は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS315)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続可を示すフラグデータ「1」)を含むポリシー確認応答を、アクセスポイント20を介して通信端末装置10に返信する(ステップS316、317)。
Next, the
ポリシーサーバ50から、上記アクセスポイント20への接続が可能と判定した判定結果を含むポリシー確認応答を受信すると、通信端末装置10は、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS318)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。
When receiving a policy confirmation response including a determination result determined that connection to the
図6は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS401〜S417については、図5に示されるステップS301〜S317と同じであるので、それらの説明は省略する。
FIG. 6 is a sequence diagram illustrating another example of connection control for wireless LAN communication when connection between the
図6において、ポリシーサーバ50から、上記アクセスポイント20への接続が不可と判定した判定結果を含むポリシー確認応答を受信した場合、又は上記ユーザ認証に失敗した場合、通信端末装置10は、アクセスポイント20との接続処理を中止するための切断要求をアクセスポイント20に送信する(ステップS418)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。
In FIG. 6, when a policy confirmation response including a determination result determined that connection to the
以上、図5及び図6の無線LAN通信の接続制御例によれば、通信端末装置10が認証サーバ40からユーザ認証に成功した旨の認証応答を受信したとき、ポリシーサーバ50にアクセスし、通信端末装置10からアクセスポイント20への接続可否判定の結果を含むポリシー確認応答を受信し、その接続可否判定の結果に基づいて、アクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
As described above, according to the connection control examples of the wireless LAN communication of FIGS. 5 and 6, when the
特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
In particular, for each of a plurality of access points that can roam with each other when the
また、図5及び図6の無線LAN通信の接続制御例によれば、ポリシーサーバ50からポリシー確認応答を受信するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。
Further, according to the wireless LAN communication connection control examples of FIGS. 5 and 6, since the communication path of cellular communication is maintained until the policy confirmation response is received from the
また、図5及び図6の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。
Further, according to the connection control examples of the wireless LAN communication in FIGS. 5 and 6, since the process in the
また、図5及び図6の無線LAN通信の接続制御例によれば、ポリシーサーバ50から通信端末装置10へは、通信ポリシー情報そのものではなく、比較的データサイズが小さい接続可否情報が送信されるため、通信端末装置10とポリシーサーバ50との間の通信ネットワークの負荷の増大を防止できる。
Further, according to the connection control example of the wireless LAN communication in FIGS. 5 and 6, not the communication policy information itself but the connection availability information having a relatively small data size is transmitted from the
なお、図5及び図6の無線LAN通信の接続制御例において、認証サーバ40による利用者認証処理が成功した場合にポリシー確認要求を通信端末装置10からポリシーサーバ50に送信し、利用者認証処理が失敗した場合にポリシー確認要求を通信端末装置10からポリシーサーバ50に送信しないように制御してもよい。この場合は、認証サーバ40での利用者認証処理が失敗した場合に、通信端末装置10がポリシーサーバ50に対してアクセスポイント20に対する通信ポリシー情報を確認する不要な確認処理を省略することで、通信端末装置10及びポリシーサーバ50における処理の負荷、及び、それらの間の通信回線や通信ネットワークにおける負荷を、低減することができる。
5 and 6, when the user authentication process by the
また、図5及び図6の無線LAN通信の接続制御例では、ポリシーサーバ50が通信ポリシー情報に基づいて接続対象のアクセスポイント20について接続可能か否かを判定しているが、通信端末装置10がポリシーサーバ50から通信ポリシー情報を取得して接続対象のアクセスポイント20について接続可能か否かを判定してもよい。この場合、ポリシーサーバ50で検索されて取り出された、接続対象のアクセスポイント20を介した接続に関する通信ポリシー情報が、ポリシーサーバ50から通信端末装置10に送信される。そして、通信端末装置10は、ポリシーサーバ50から受信した通信ポリシー情報に基づいて、接続対象のアクセスポイント20について接続可能か否かを判定し、アクセスポイント20との接続を制御する。
5 and 6, the
また、図5及び図6の無線LAN通信の接続制御例において、ネットワーク通信における通信時間のオーバヘッドを考慮し、認証サーバ40でのユーザ認証処理に時間がかかった場合、例えば認証要求の送信から認証応答の受信までの時間が予め設定した閾値よりも長かった場合は、ポリシーサーバ50への問い合わせ(ポリシー確認要求の送信)を省略し、認証サーバ40でのユーザ認証の結果に基づいてアクセスポイント20との接続の制御を行ってもよい。これにより、ベストエフォートで無線LAN通信の接続処理を行うことができる。
Further, in the connection control examples of the wireless LAN communication of FIGS. 5 and 6, in consideration of the communication time overhead in the network communication, if it takes time for the user authentication processing in the
また、図5及び図6の無線LAN通信の接続制御例において、通信端末装置10からポリシーサーバ50への問い合わせ時(ポリシー確認要求の送信〜ポリシー確認応答の受信)のタイムアウト時間を短めに(例えば、認証サーバ40への認証処理時のタイムアウト時間よりも短めに)設定してもよい。通信端末装置10からポリシーサーバ50への問い合わせ時にタイムアウトになった場合は、認証サーバ40でのユーザ認証の結果に基づいてアクセスポイント20との接続の制御を行う。これにより、ベストエフォートで無線LAN通信の接続処理を行うことができる。
In the wireless LAN communication connection control examples of FIGS. 5 and 6, the timeout time at the time of inquiry from the
なお、図5及び図6の無線LAN通信の接続制御例では、ユーザ認証(S307〜S311、S407〜S411)の後にポリシー検索及び接続可否判定(S312〜S317、S412〜S417)を行っているが、ポリシー検索及び接続可否判定の後にユーザ認証を行ってもよい。 In the wireless LAN communication connection control examples of FIGS. 5 and 6, policy search and connection possibility determination (S312 to S317, S412 to S417) are performed after user authentication (S307 to S311, S407 to S411). The user authentication may be performed after the policy search and the connection possibility determination.
図7は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図である。図7の接続制御において、認証サーバ40は、ポリシーサーバ50と同様に、アクセスポイント20を介した通信端末装置10と通信ネットワークとの通信に関する通信ポリシー情報が格納されたポリシーデータベース(DB)を備えている。なお、この動作シーケンスのうち、ステップS504〜S512については、図3に示されるステップS101〜S109と同じであるので、それらの説明は省略する。
FIG. 7 is a sequence diagram illustrating still another example of connection control of wireless LAN communication when the connection between the
図7において、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新される(ステップS501)と、ポリシーサーバ50は、その更新された通信ポリシー情報に関するポリシー更新情報を認証サーバ40に送信する(ステップS502)。認証サーバ40は、ポリシーサーバ50から受信したポリシー更新情報に基づいて、ポリシーデータベース(DB)内の所定の通信ポリシー情報を更新する(ステップS503)。なお、認証サーバ40におけるポリシーデータベース(DB)の更新処理は、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新されたとき以外のタイミング、例えば、予め設定した所定の定期的なタイミングに行ってもよい。また、認証サーバ40におけるポリシーデータベース(DB)を、予め設定した所定のタイミングに、ポリシーサーバ50のポリシーデータベース(DB)55と同期させるようにしてもよい。
In FIG. 7, when the communication policy information stored in the policy database (DB) 55 of the
図7中のステップS512においてユーザ認証に成功した場合、認証サーバ40は、アクセスポイント20からの認証要求に含まれるBSSIDに基づいてポリシーデータベースを検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS513)。
If the user authentication is successful in step S512 in FIG. 7, the
次に、認証サーバ40は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS514)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、ユーザ認証に成功した旨の認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する(ステップS515)。アクセスポイント20は、認証サーバ40から受信した認証応答を通信端末装置10に送信する(ステップS516)。
Next, the
ユーザ認証に成功した旨の認証応答を受信すると、通信端末装置10は、通信経路切替処理を実行する(ステップS517)。具体的には、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。
When receiving the authentication response indicating that the user authentication is successful, the
図8は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS601〜S613については、図7に示されるステップS501〜S513と同じであるので、以下では説明を省略する。
FIG. 8 is a sequence diagram showing still another example of connection control for wireless LAN communication when connection between the
認証要求に含まれるBSSIDに基づいてポリシーデータベースを検索し、そのBSSIDに関する通信ポリシー情報を参照した後、認証サーバ40は、その参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS614)。例えば、上記ブラックリストやホワイトリストにBSSIDが含まれているか否かを確認して判定する。ここで、ユーザ認証には成功したがアクセスポイント20のBSSIDが上記ブラックリストに含まれている(又は上記ホワイトリストに含まれていない)ためアクセスポイント20への接続不可と判定した場合、その判定結果に基づいて、ユーザ認証に失敗した旨の認証応答を、アクセスポイント20を介して通信端末装置10に返信する(ステップS615、S616)。
After searching the policy database based on the BSSID included in the authentication request and referring to the communication policy information related to the BSSID, the
認証サーバ40からアクセスポイント20を介して認証応答を受信すると、通信端末装置10は、認証が失敗したことを確認した後、そのアクセスポイント20との接続処理の中止するための切断要求をアクセスポイント20に送信する(ステップS617)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。
Upon receiving an authentication response from the
以上、図7及び図8の無線LAN通信の接続制御例によれば、認証サーバ40が認証要求を受信したとき、自身のポリシーデータベースを参照して、通信端末装置10からアクセスポイント20への接続可否判定を行い、その接続可否判定の結果を含む認証応答を通信端末装置10に送信している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
As described above, according to the wireless LAN communication connection control examples of FIGS. 7 and 8, when the
特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
In particular, for each of a plurality of access points that can roam with each other when the
また、図7及び図8の無線LAN通信の接続制御例によれば、通信端末装置10と認証サーバ40との間のシーケンスは従来と同様であるため、当該シーケンスにおいては既存処理を応用することができる。また、無線LAN通信の接続処理時において、通信量や処理時間のオーバヘッドを低く抑えることができるため、通信端末装置10の利用者の体感や操作性に変化がなく、従来と同様な体感や操作性で無線LAN通信を利用できる。
Further, according to the connection control examples of the wireless LAN communication shown in FIGS. 7 and 8, the sequence between the
また、図7及び図8の無線LAN通信の接続制御例によれば、通信端末装置10が認証サーバ40との間の認証処理に対応していれば、通信端末装置10への追加実装がなくても、ポリシー制御に対応していない通信端末装置に対しても分け隔てなく、認証時に通信ポリシー情報を適用できる。つまり、認証サーバ40及びポリシーサーバ50に格納される通信ポリシー情報は、例えば特定の通信端末装置への追加実装によりアップロードされた情報やネットワーク側で管理している情報を元に作成される場合があるが、それによって作成された通信ポリシー情報は、ポリシー制御に関する追加実装を行っていない通信端末装置にも、認証サーバ40との間の認証処理にさえ対応していれば適用できる。
Further, according to the wireless LAN communication connection control examples of FIGS. 7 and 8, if the
また、図7及び図8の無線LAN通信の接続制御例によれば、認証サーバ40から認証応答を受信するまで、セルラー通信の通信経路が維持されるため、認証処理に失敗した旨を示す認証エラーの認証応答を受信した場合でもネットワーク接続が切断されない。
Further, according to the wireless LAN communication connection control examples of FIGS. 7 and 8, since the communication path of cellular communication is maintained until an authentication response is received from the
なお、図7及び図8の無線LAN通信の接続制御例では、ユーザ認証(S512、S612)の後にポリシー検索及び接続可否判定(S513〜S514、S613〜S614)を行っているが、ポリシー検索及び接続可否判定の後にユーザ認証を行ってもよい。 In the wireless LAN communication connection control example of FIGS. 7 and 8, policy search and connection possibility determination (S513 to S514, S613 to S614) are performed after user authentication (S512, S612). User authentication may be performed after the connection possibility determination.
図9は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS701〜S704については、図3に示されるステップS101〜S104と同じであるので、それらの説明は省略する。
FIG. 9 is a sequence diagram showing still another example of connection control of wireless LAN communication when the connection between the
図9において、通信端末装置10からアソシエーション要求を受信すると、アクセスポイント20は、自身のBSSIDを含むポリシー確認要求をポリシーサーバ50に送信する(ステップS706)。
In FIG. 9, when the association request is received from the
アクセスポイント20からポリシー確認要求を受信すると、ポリシーサーバ50は、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS707)。
When receiving the policy confirmation request from the
次に、ポリシーサーバ50は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS708)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続可を示すフラグデータ「1」)を含むポリシー確認応答を、アクセスポイント20に返信する(ステップS709)。
Next, the
ポリシーサーバ50からポリシー確認応答を受信すると、アクセスポイント20は、自身への接続を許可する旨の情報を含むアソシエーション応答を通信端末装置10に返信する(ステップS710)。
When receiving the policy confirmation response from the
なお、図9の例では、ポリシーサーバ50で接続可否判定を行っているが、アクセスポイント20で接続可否判定を行ってもよい。この場合、ポリシーサーバ50は、アクセスポイント20からポリシー確認要求を受信したとき、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を取り出す。そして、ポリシーサーバ50は、取り出した通信ポリシー情報を含むポリシー確認応答をアクセスポイント20に返信する。アクセスポイント20は、ポリシーサーバ50から受信した通信ポリシー情報に基づいて、通信端末装置10が自身に接続可能か否かを判定する。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。この判定結果に基づいて、アクセスポイント20は通信端末装置10にアソシエーション応答を送信する。例えば、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、アクセスポイント20は、接続を許可する旨を示すアソシエーション応答を通信端末装置10に送信する。
In the example of FIG. 9, the
アクセスポイント20から上記アソシエーション応答を受信すると、通信端末装置10は、認証サーバ40との間で認証処理(ステップS711〜S715)を実行した後、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS716)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。
Upon receiving the association response from the
図10は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS801〜S808については、図9に示されるステップS701〜S708と同じであるので、それらの説明は省略する。
FIG. 10 is a sequence diagram illustrating another example of connection control for wireless LAN communication when connection between the
図10において、ポリシーサーバ50から、上記アクセスポイント20への接続が不可と判定した判定結果を含むポリシー確認応答を受信した場合(ステップS809)、アクセスポイント20は、自身への接続を拒否する旨のアソシエーション応答を、通信端末装置10に送信する(ステップS810)。通信端末装置10は、アクセスポイント20から受信したアソシエーション応答に基づいて、アクセスポイント20への接続処理を中断する(ステップS811)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路に切り替えられない。
In FIG. 10, when a policy confirmation response including a determination result that it is determined that connection to the
以上、図9及び図10の無線LAN通信の接続制御例によれば、アクセスポイント20が通信端末装置10からアソシエーション要求を受信したとき、ポリシーサーバ50にアクセスし、通信端末装置10からアクセスポイント20への接続可否判定の結果を含むポリシー確認応答を受信し、その接続可否判定の結果に基づいて、アクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
9 and 10, according to the wireless LAN communication connection control example, when the
特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
In particular, for each of a plurality of access points that can roam with each other when the
また、図9及び図10の無線LAN通信の接続制御例によれば、ポリシーサーバ50からポリシー確認応答を受信するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。
Also, according to the wireless LAN communication connection control examples of FIGS. 9 and 10, since the communication path of cellular communication is maintained until the policy confirmation response is received from the
また、図9及び図10の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。
Further, according to the connection control examples of the wireless LAN communication in FIGS. 9 and 10, since the processing in the
また、図9及び図10の無線LAN通信の接続制御例によれば、ポリシーサーバ50からアクセスポイント20へは、通信ポリシー情報そのものではなく、比較的データサイズが小さい接続可否情報が送信されるため、アクセスポイント20とポリシーサーバ50との間の通信ネットワークの負荷の増大を防止できる。
Further, according to the connection control examples of the wireless LAN communication in FIGS. 9 and 10, not the communication policy information itself but the connection availability information having a relatively small data size is transmitted from the
図11は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図である。図11の接続制御において、アクセスポイント20は、ポリシーサーバ50と同様に、アクセスポイントを介した通信端末装置10と通信ネットワークとの通信に関する通信ポリシー情報が格納されたポリシーデータベース(DB)を備えている。なお、この動作シーケンスのうち、ステップS904〜S907については図3に示されるステップS101〜S104と同じであり、ステップS912〜S917については図9に示されるステップS711〜S716と同じであるので、それらの説明は省略する。
FIG. 11 is a sequence diagram showing still another example of connection control of wireless LAN communication when the connection between the
図11において、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新される(ステップS901)と、ポリシーサーバ50は、その更新された通信ポリシー情報に関するポリシー更新情報をアクセスポイント20に送信する(ステップS902)。アクセスポイント20は、ポリシーサーバ50から受信したポリシー更新情報に基づいて、ポリシーデータベース(DB)内の所定の通信ポリシー情報を更新する。なお、アクセスポイント20におけるポリシーデータベース(DB)の更新処理は、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新されたとき以外のタイミング、例えば、予め設定した所定の定期的なタイミングに行ってもよい。また、アクセスポイント20におけるポリシーデータベース(DB)を、予め設定した所定のタイミングに、ポリシーサーバ50のポリシーデータベース(DB)55と同期させるようにしてもよい。
In FIG. 11, when the communication policy information stored in the policy database (DB) 55 of the
図11中のステップS908においてアソシエーション要求を受信した場合、アクセスポイント20は、自身のBSSIDに基づいてポリシーデータベースを検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS909)。
When the association request is received in step S908 in FIG. 11, the
次に、アクセスポイント20は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント(自身)に接続可能か否かを判定する(ステップS910)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、自身のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ため自身のアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、自身への接続を許可する旨のアソシエーション応答を通信端末装置10に送信する(ステップS911)。
Next, the
アクセスポイント20から上記アソシエーション応答を受信すると、通信端末装置10は、認証サーバ40との間で認証処理(ステップS912〜S916)を実行した後、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS917)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。
Upon receiving the association response from the
図12は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS1001〜S1009については、図11に示されるステップS901〜S909と同じであるので、それらの説明は省略する。
FIG. 12 is a sequence diagram illustrating another example of connection control for wireless LAN communication when connection between the
図12において、自身への接続が不可と判定した場合(ステップS1010)、アクセスポイント20は、自身への接続を拒否する旨のアソシエーション応答を、通信端末装置10に送信する(ステップS1011)。通信端末装置10は、アクセスポイント20から受信したアソシエーション応答に基づいて、アクセスポイント20への接続処理を中断する(ステップS1012)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。
In FIG. 12, when it is determined that connection to itself is not possible (step S1010), the
以上、図11及び図12の無線LAN通信の接続制御例によれば、アクセスポイント20が通信端末装置10からアソシエーション要求を受信したとき、通信端末装置10から自身への接続可否を判定し、その判定の結果を反映したアソシエーション応答を通信端末装置10に送信することにより、通信端末装置10からアクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
11 and 12, when the
特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
In particular, for each of a plurality of access points that can roam with each other when the
また、図11及び図12の無線LAN通信の接続制御例によれば、アクセスポイント20からのアソシエーション応答(接続許可)に基づいてユーザ認証が完了するまで、又は、アクセスポイント20からのアソシエーション応答(接続拒否)に基づいて接続処理を中断するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。
Further, according to the connection control example of the wireless LAN communication of FIG. 11 and FIG. 12, until the user authentication is completed based on the association response (connection permission) from the
また、図11及び図12の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。
Further, according to the connection control examples of the wireless LAN communication in FIGS. 11 and 12, since the processing in the
図13は、本発明の他の実施形態に係る通信システムの一例を示す概略構成図である。なお、図13において、前述の図1と同様な部分については同じ符号を付し、説明を省略する。 FIG. 13 is a schematic configuration diagram illustrating an example of a communication system according to another embodiment of the present invention. In FIG. 13, the same parts as those in FIG.
図13の通信システムでは、前述の認証サーバ40及びポリシーサーバ50のほか、複数のアクセスポイント20を管理する中継装置管理装置としてのアクセスポイント管理サーバ(以下「AP管理サーバ」という。)80を備えている。AP管理サーバ80は、コアネットワーク30及びGW35を介して複数のアクセスポイント20それぞれと通信可能に構成され、各アクセスポイントの情報が格納されたアクセスポイントデータベース(AP DB)85が接続されている。
The communication system of FIG. 13 includes an access point management server (hereinafter referred to as “AP management server”) 80 as a relay device management apparatus that manages a plurality of
AP管理サーバ80は、例えば単一のコンピュータ装置で構成したり複数のコンピュータ装置を組み合わせて構成したりすることができ、予め組み込まれた所定のプログラムが実行されることにより、各種処理や制御を実行することができる。また、AP管理サーバ80及びアクセスポイントデータベース(AP DB)85を1台のコンピュータ装置で構成してもよい。
The
本実施形態において、AP管理サーバ80は、所定のプログラムが実行されることにより、次のような各手段としての機能を実現可能である。
In the present embodiment, the
例えば、AP管理サーバ80は、所定のプログラムが実行されることにより、次の(A801)〜(A809)に示す各手段として機能する。
(A801)アクセスポイント20を介して通信端末装置10からアソシエーション要求を受信する手段。
(A802)前記アソシエーション要求に基づいて、アクセスポイント20を識別可能なアクセスポイント識別情報を含むポリシー確認要求を、ポリシーサーバ50に送信する手段。
(A803)アクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定されたアクセスポイント20への接続可否情報を含むポリシー確認応答を、ポリシーサーバ50から受信する手段。
(A804)前記ポリシー確認応答に含まれる通信ポリシー情報又は接続可否情報を含むアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する手段。
(A805)通信ポリシー情報を記憶する手段。
(A806)ポリシーサーバ50から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段。
(A807)前記アソシエーション要求に含まれるアクセスポイント識別情報に基づいて、アクセスポイント20に対する通信ポリシー情報を検索して取得する手段。
(A808)アクセスポイント20に対する通信ポリシー情報に基づいてアクセスポイント20への接続可否を判定する手段。
(A809)前記アソシエーション要求に含まれるアクセスポイント識別情報に基づいて検索して得られたアクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定したアクセスポイント20への接続可否情報とを含むアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する手段。
For example, the
(A801) Means for receiving an association request from the
(A802) Means for transmitting a policy confirmation request including access point identification information capable of identifying the
(A803) Means for receiving, from the
(A804) Means for transmitting an association response including the communication policy information or connection permission information included in the policy confirmation response to the
(A805) Means for storing communication policy information.
(A806) Means for receiving communication policy information to be updated from the
(A807) Means for searching and acquiring communication policy information for the
(A808) Means for determining whether or not connection to the
(A809) communication policy information for the
図14は、図13の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の一例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS1101〜S1104については、図3に示されるステップS101〜S104と同じであり、ステップS1111〜S1116については、図9に示されるステップS711〜S716と同じであるので、それらの説明は省略する。
FIG. 14 is a sequence diagram illustrating an example of connection control of wireless LAN communication when the connection between the
図14において、通信端末装置10からアソシエーション要求を受信すると、アクセスポイント20は、自身のBSSIDを含むアソシエーション要求をAP管理サーバ80に送信する(ステップS1105)。AP管理サーバ80は、アソシエーション要求を受信すると、アクセスポイント20のBSSIDを含むポリシー確認要求をポリシーサーバ50に送信する(ステップS1106)。
In FIG. 14, when the association request is received from the
AP管理サーバ80からポリシー確認要求を受信すると、ポリシーサーバ50は、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS1107)。
When receiving the policy confirmation request from the
次に、ポリシーサーバ50は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS1108)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続可を示すフラグデータ「1」)を含むポリシー確認応答を、AP管理サーバ80に返信する(ステップS1109)。
Next, the
ポリシーサーバ50からポリシー確認応答を受信すると、AP管理サーバ80は、アクセスポイント20への接続を許可する旨の情報を含むアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する(ステップS1110)。
Upon reception of the policy confirmation response from the
なお、図14の例では、ポリシーサーバ50で接続可否判定を行っているが、AP管理サーバ80で接続可否判定を行ってもよい。この場合、ポリシーサーバ50は、AP管理サーバ80からポリシー確認要求を受信したとき、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を取り出す。そして、ポリシーサーバ50は、取り出した通信ポリシー情報を含むポリシー確認応答をAP管理サーバ80に返信する。AP管理サーバ80は、ポリシーサーバ50から受信した通信ポリシー情報に基づいて、通信端末装置10がアクセスポイント20に接続可能か否かを判定する。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。この判定結果に基づいて、AP管理サーバ80は、アクセスポイント20を介して通信端末装置10にアソシエーション応答を送信する。例えば、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、AP管理サーバ80は、アクセスポイント20を介して、接続を許可する旨を示すアソシエーション応答を通信端末装置10に送信する。
In the example of FIG. 14, the
アクセスポイント20を介してAP管理サーバ80から上記アソシエーション応答を受信すると、通信端末装置10は、認証サーバ40との間で認証処理(ステップS1111〜S1115)を実行した後、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS1116)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。
When the association response is received from the
図15は、図13の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の一例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS1201〜S1208については、図14に示されるステップS1101〜S1108と同じであるので、それらの説明は省略する。
FIG. 15 is a sequence diagram illustrating an example of connection control for wireless LAN communication when connection between the
図15において、ポリシーサーバ50から、上記アクセスポイント20への接続が不可と判定した判定結果を含むポリシー確認応答を受信した場合(ステップS1209)、AP管理サーバ80は、アクセスポイント20への接続を拒否する旨のアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する(ステップS1210)。通信端末装置10は、アクセスポイント20から受信したアソシエーション応答に基づいて、アクセスポイント20への接続処理を中断する(ステップS1211)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。
In FIG. 15, when receiving a policy confirmation response including a determination result determined that connection to the
以上、図14及び図15の無線LAN通信の接続制御例によれば、AP管理サーバ80がアクセスポイント20を介して通信端末装置10からアソシエーション要求を受信したとき、ポリシーサーバ50にアクセスし、通信端末装置10からアクセスポイント20への接続可否判定の結果を含むポリシー確認応答を受信し、その接続可否判定の結果に基づいて、アクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
14 and 15, when the
特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
In particular, for each of a plurality of access points that can roam with each other when the
また、図14及び図15の無線LAN通信の接続制御例によれば、通信端末装置10がAP管理サーバ80からアソシエーション応答を受信するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。
Further, according to the connection control examples of the wireless LAN communication in FIGS. 14 and 15, since the communication path of the cellular communication is maintained until the
また、図14及び図15の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。
Further, according to the connection control examples of the wireless LAN communication in FIGS. 14 and 15, since the process in the
また、図14及び図15の無線LAN通信の接続制御例によれば、ポリシーサーバ50からAP管理サーバ80へは、通信ポリシー情報そのものではなく、比較的データサイズが小さい接続可否情報が送信されるため、AP管理サーバ80とポリシーサーバ50との間の通信ネットワークの負荷の増大を防止できる。
Further, according to the connection control example of the wireless LAN communication of FIGS. 14 and 15, not the communication policy information itself but the connection availability information having a relatively small data size is transmitted from the
図16は、図13の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。図16の接続制御において、AP管理サーバ80は、ポリシーサーバ50と同様に、アクセスポイント20を介した通信端末装置10と通信ネットワークとの通信に関する通信ポリシー情報が格納されたポリシーデータベース(DB)を備えている。なお、この動作シーケンスのうち、ステップS1304〜S1307については図3に示されるステップS101〜S104と同じであり、ステップS1312〜S1317については図9に示されるステップS711〜S716と同じであるので、それらの説明は省略する。
FIG. 16 is a sequence diagram illustrating another example of connection control of wireless LAN communication when the connection between the
図16において、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新される(ステップS1301)と、ポリシーサーバ50は、その更新された通信ポリシー情報に関するポリシー更新情報をAP管理サーバ80に送信する(ステップS1302)。AP管理サーバ80は、ポリシーサーバ50から受信したポリシー更新情報に基づいて、ポリシーデータベース(DB)内の所定の通信ポリシー情報を更新する(ステップS1303)。なお、AP管理サーバ80におけるポリシーデータベース(DB)の更新処理は、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新されたとき以外のタイミング、例えば、予め設定した所定の定期的なタイミングに行ってもよい。また、AP管理サーバ80におけるポリシーデータベース(DB)を、予め設定した所定のタイミングに、ポリシーサーバ50のポリシーデータベース(DB)55と同期させるようにしてもよい。
In FIG. 16, when the communication policy information stored in the policy database (DB) 55 of the
図16中のステップS1308においてアソシエーション要求を受信した場合、AP管理サーバ80は、アクセスポイント20のBSSIDに基づいてポリシーデータベースを検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS1309)。
When the association request is received in step S1308 in FIG. 16, the
次に、AP管理サーバ80は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS1310)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続を許可する旨のアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する(ステップS1311)。
Next, the
AP管理サーバ80から上記アソシエーション応答を受信すると、通信端末装置10は、認証サーバ40との間で認証処理(ステップS1312〜S1316)を実行した後、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS1317)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。
Upon receiving the association response from the
図17は、図13の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS1401〜S1409については、図16に示されるステップS1301〜S1309と同じであるので、それらの説明は省略する。
FIG. 17 is a sequence diagram illustrating another example of connection control for wireless LAN communication when connection between the
図17において、アクセスポイント20への接続が不可と判定した場合(ステップS1410)、AP管理サーバ80は、アクセスポイント20への接続を拒否する旨のアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する(ステップS1411)。通信端末装置10は、AP管理サーバ80から受信したアソシエーション応答に基づいて、アクセスポイント20への接続処理を中断する(ステップS1412)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。
In FIG. 17, when it is determined that connection to the
以上、図16及び図17の無線LAN通信の接続制御例によれば、AP管理サーバ80が通信端末装置10からアソシエーション要求を受信したとき、通信端末装置10からアクセスポイント20への接続可否を判定し、その判定の結果を反映したアソシエーション応答を通信端末装置10に送信することにより、通信端末装置10からアクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
As described above, according to the connection control examples of the wireless LAN communication of FIGS. 16 and 17, when the
特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
In particular, for each of a plurality of access points that can roam with each other when the
また、図16及び図17の無線LAN通信の接続制御例によれば、AP管理サーバ80からのアソシエーション応答(接続許可)に基づいてユーザ認証が完了するまで、又は、AP管理サーバ80からのアソシエーション応答(接続拒否)に基づいて接続処理を中断するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。
Further, according to the wireless LAN communication connection control examples of FIGS. 16 and 17, until the user authentication is completed based on the association response (connection permission) from the
また、図16及び図17の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。
Further, according to the connection control examples of the wireless LAN communication shown in FIGS. 16 and 17, since the processing in the
以上、上記各実施形態によれば、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、最新の通信ポリシー情報に基づいて無線LANのアクセスポイント20を介した通信を制御することができる。
As described above, according to each of the above embodiments, communication via the wireless
なお、上記各実施形態の接続制御例(通信経路確立処理例)では、ポリシーサーバ50で管理されポリシーサーバ50に問い合わせられる通信ポリシー情報が、通信端末装置10からの接続が許可又は禁止されたアクセスポイント20を識別可能なアクセスポイント識別情報(例えばBSSID)のリスト(ホワイトリスト又はブラックリスト)の場合について説明したが、本発明は、他の通信ポリシー情報を用いて無線LAN接続制御を行う場合についても同様に適用できる。
In the connection control example (communication path establishment processing example) of each of the above embodiments, the communication policy information managed by the
例えば、無線LANの接続制御(通信経路確立処理)に用いる通信ポリシー情報は、通信端末装置10からアクセスポイント20への接続が許可又は禁止された時間帯、アクセスポイント20を介した通信経路確立処理時のタイムアウト時間、アクセスポイント20に接続するときの通信端末装置10における受信信号強度(RSSI)の閾値などの情報の少なくとも一つを含んでもよい。この場合、ポリシーデータベース55には、例えば、複数のアクセスポイントのアクセスポイント識別情報(例えばBSSID)に関連付けて、上記時間帯、タイムアウト時間、受信信号強度(RSSI)の閾値などが格納される。また、ポリシーサーバ50は、アクセスポイント識別情報(例えばBSSID)を含むポリシー確認要求を受信したとき、ポリシーデータベース55を参照して、当該アクセスポイント識別情報に関連付けられている上記時間帯、タイムアウト時間、受信信号強度(RSSI)の閾値などを含む通信ポリシー情報を取得する。そして、ポリシーサーバ50は、通信端末装置10からの接続が許可又は禁止されたアクセスポイントのアクセスポイント識別情報のリスト(ホワイトリスト又はブラックリスト)とともに、上記検索した通信ポリシー情報とを含むポリシー確認応答を、認証サーバ40又は通信端末装置10に送信する。このポリシー確認応答を受信した認証サーバ40及び通信端末装置10は、ポリシーサーバ50から受信したポリシー確認応答に含まれる上記アクセスポイント識別情報のリスト(ホワイトリスト又はブラックリスト)、上記時間帯、タイムアウト時間、受信信号強度などを含む通信ポリシー情報に基づいて、通信端末装置10から接続対象のアクセスポイントへの接続が可能か否かを判断することができる。
For example, the communication policy information used for wireless LAN connection control (communication route establishment processing) is a time zone during which connection from the
なお、本実施形態の図3〜図17の接続制御例(通信経路確立処理例)では、ポリシーサーバ50から認証サーバ40、通信端末装置10、アクセスポイント20又はAP管理サーバ80に送信されるポリシー確認応答が、アクセスポイントのアクセスポイント識別情報のリスト(ホワイトリスト又はブラックリスト)等の通信ポリシー情報を含む場合について説明したが、ポリシー確認応答は、次に示すようにアクセスポイントへの接続可否情報を含んでもよい。この場合、すなわち、ポリシーサーバ50は、通信端末装置10からの接続が許可又は禁止されたアクセスポイントのアクセスポイント識別情報のリスト(ホワイトリスト又はブラックリスト)、上記時間帯、タイムアウト時間、受信信号強度などの通信ポリシー情報に基づいて、通信端末装置10から接続対象のアクセスポイントへの接続が可能か否かを判断し、その判断結果であるアクセスポイントへの接続可否情報を含むポリシー確認応答を、認証サーバ40、通信端末装置10、アクセスポイント20又はAP管理サーバ80に送信してもよい。この場合は、認証サーバ40、通信端末装置10、アクセスポイント20及びAP管理サーバ80における処理の負荷、並びに、ポリシーサーバ50と認証サーバ40、通信端末装置10、アクセスポイント20及びAP管理サーバ80との間の通信回線や通信ネットワークの負荷を、低減することができる。
In the connection control examples (communication path establishment processing examples) of FIGS. 3 to 17 of the present embodiment, the policy transmitted from the
また、上記通信ポリシー情報は、個々のアクセスポイント20ごとに(BSSIDごとに)、アクセス可能な時間帯、曜日、シーズン(例えば、正月やクリスマスの期間)等を、アクセスポイント20への接続の可否を規定するように設定してもよい。ポリシーサーバ50は、例えば、判定を行うときの年月日、曜日、時間などの情報と、検索して参照した通信ポリシー情報とに基づいて、接続可否の判定を行う。この場合、個々のアクセスポイント20ごとに(BSSIDごとに)、通信ポリシー情報に規定された時間帯、曜日、シーズン(例えば、正月やクリスマスの期間)等に応じて、通信端末装置10によるアクセスポイント20を介した通信を制御することができる。
In addition, the communication policy information indicates whether each access point 20 (for each BSSID), accessible time zone, day of the week, season (for example, New Year or Christmas period), etc. can be connected to the
また、上記通信ポリシー情報は、通信端末装置10の機種ごとにアクセスポイント20への接続の可否を規定したり、アクセスポイント20の種別ごとにアクセスポイント20への接続の可否を規定したりするように設定してもよい。この場合は、通信端末装置10の機種ごとに又はアクセスポイント20の種別ごとに、通信端末装置10によるアクセスポイント20を介した通信を制御することができる。
Further, the communication policy information specifies whether or not connection to the
10 通信端末装置
20 無線LANのアクセスポイント
20A アクセスポイントの無線通信エリア
30 バックボーンネットワーク
35 ゲートウェイ
40 認証サーバ
45 加入者データベース
50 ポリシーサーバ
55 ポリシーデータベース
60 基地局
60A セル
70 コアネットワーク
75 ゲートウェイ
80 AP(アクセスポイント)管理サーバ
85 AP(アクセスポイント)データベース
90 インターネット
DESCRIPTION OF
Claims (10)
前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、
前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に関する通信ポリシー情報を管理するポリシー管理装置と、を備え、
前記認証処理装置は、
通信端末装置の利用者を識別可能な利用者識別情報と該通信端末装置が接続する中継装置を識別可能な装置識別情報とを含む認証要求を該通信端末装置から受信する手段と、
前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、
前記装置識別情報を含むポリシー確認要求を前記ポリシー管理装置に送信する手段と、
前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定された該中継装置への接続可否情報を含むポリシー確認応答を、前記ポリシー管理装置から受信する手段と、
前記利用者認証処理の結果と、前記ポリシー確認応答に含まれる前記通信ポリシー情報又は前記接続可否情報とに基づいて、前記認証要求に対する認証応答を前記通信端末装置に送信する手段と、を備え、
前記ポリシー管理装置は、
前記装置識別情報を含むポリシー確認要求を前記認証処理装置から受信する手段と、
前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報を含むポリシー確認応答を、前記認証処理装置に送信する手段と、を備えることを特徴とする通信システム。 A communication system connectable from a communication terminal device to a communication network via a wireless LAN relay device,
An authentication processing device that executes an authentication process when connected to the communication network from the communication terminal device via the relay device;
A policy management device that manages communication policy information related to communication between the communication terminal device and a communication network via the relay device;
The authentication processing device includes:
Means for receiving from the communication terminal device an authentication request including user identification information capable of identifying a user of the communication terminal device and device identification information capable of identifying a relay device connected to the communication terminal device;
Means for performing user authentication processing for determining whether communication via the relay device is permitted by a user of the communication terminal device based on user identification information included in the authentication request;
Means for transmitting a policy confirmation request including the device identification information to the policy management device;
Means for receiving, from the policy management device, a policy confirmation response including communication policy information for the relay device or information on whether or not to connect to the relay device determined based on the communication policy information;
Means for transmitting an authentication response to the authentication request to the communication terminal device based on the result of the user authentication process and the communication policy information or the connection availability information included in the policy confirmation response;
The policy management device includes:
Means for receiving a policy confirmation request including the device identification information from the authentication processing device;
A policy confirmation response including communication policy information for the relay device obtained by searching based on the device identification information or connection permission information to the relay device determined based on the communication policy information is sent to the authentication processing device. And means for transmitting.
前記認証処理装置は、
前記利用者認証処理が成功した場合に、前記ポリシー確認要求を前記ポリシー管理装置に送信し、
前記利用者認証処理が失敗した場合に、前記ポリシー確認要求を前記ポリシー管理装置に送信しない、ことを特徴とする通信システム。 The communication system of claim 1.
The authentication processing device includes:
When the user authentication process is successful, the policy confirmation request is transmitted to the policy management device,
A communication system, wherein the policy confirmation request is not transmitted to the policy management apparatus when the user authentication process fails.
前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、
前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に関する通信ポリシー情報を管理するポリシー管理装置と、を備え、
前記認証処理装置は、
前記通信ポリシー情報を記憶する手段と、
前記ポリシー管理装置から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段と、
通信端末装置の利用者を識別可能な利用者識別情報と該通信端末装置が接続する中継装置を識別可能な装置識別情報とを含む認証要求を該通信端末装置から受信する手段と、
前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、
前記利用者認証処理の結果と、前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報とを含む、前記認証要求に対する認証応答を前記通信端末装置に送信する手段と、を備え、
前記ポリシー管理装置は、更新対象の通信ポリシー情報を前記認証処理装置に送信する手段を備えることを特徴とする通信システム。 A communication system connectable from a communication terminal device to a communication network via a wireless LAN relay device,
An authentication processing device that executes an authentication process when connected to the communication network from the communication terminal device via the relay device;
A policy management device that manages communication policy information related to communication between the communication terminal device and a communication network via the relay device;
The authentication processing device includes:
Means for storing the communication policy information;
Means for receiving communication policy information to be updated from the policy management device, and updating the stored communication policy information;
Means for receiving from the communication terminal device an authentication request including user identification information capable of identifying a user of the communication terminal device and device identification information capable of identifying a relay device connected to the communication terminal device;
Means for performing user authentication processing for determining whether communication via the relay device is permitted by a user of the communication terminal device based on user identification information included in the authentication request;
A result of the user authentication process, and communication policy information for the relay device obtained by searching based on the device identification information, or connection permission / inhibition information to the relay device determined based on the communication policy information. And means for transmitting an authentication response to the authentication request to the communication terminal device,
The said policy management apparatus is provided with the means to transmit the communication policy information of update object to the said authentication processing apparatus, The communication system characterized by the above-mentioned.
前記認証要求は、前記通信端末装置の機種情報及び前記中継装置の種別情報の少なくとも一つを含むことを特徴とする通信システム。 The communication system according to any one of claims 1 to 3,
The communication request characterized in that the authentication request includes at least one of model information of the communication terminal device and type information of the relay device .
前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、
前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置と、
前記中継装置を管理する中継装置管理装置と、を備え、
前記中継装置管理装置は、
前記中継装置を介して前記通信端末装置からアソシエーション要求を受信する手段と、
前記アソシエーション要求に基づいて、前記中継装置を識別可能な装置識別情報を含むポリシー確認要求を前記ポリシー管理装置に送信する手段と、
前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定された該中継装置への接続可否情報を含むポリシー確認応答を、前記ポリシー管理装置から受信する手段と、
前記ポリシー確認応答に含まれる前記通信ポリシー情報又は前記接続可否情報を含むアソシエーション応答を、前記中継装置を介して前記通信端末装置に送信する手段と、を備え、
前記認証処理装置は、
前記アソシエーション応答を受信した通信端末装置から、前記通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を受信する手段と、
前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、
前記利用者認証処理の結果を含む認証応答を前記通信端末装置に送信する手段と、を備え、
前記ポリシー管理装置は、
前記装置識別情報を含むポリシー確認要求を前記中継装置管理装置から受信する手段と、
前記装置識別情報に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報を含むポリシー確認応答を、前記中継装置管理装置に送信する手段と、を備えることを特徴とする通信システム。 A communication system connectable from the communication terminal device to the communication network via a relay device for a continuously line LAN,
An authentication processing device that executes an authentication process when connected to the communication network from the communication terminal device via the relay device;
A policy management device that manages communication policy information for communication between the communication terminal device and a communication network via the relay device;
A relay device management device for managing the relay device,
The relay device management device
Means for receiving an association request from the communication terminal device via the relay device;
Means for transmitting a policy confirmation request including device identification information capable of identifying the relay device to the policy management device based on the association request;
Means for receiving, from the policy management device, a policy confirmation response including communication policy information for the relay device or information on whether or not to connect to the relay device determined based on the communication policy information;
Means for transmitting an association response including the communication policy information or the connectability information included in the policy confirmation response to the communication terminal device via the relay device,
The authentication processing device includes:
Means for receiving an authentication request including user identification information capable of identifying a user of the communication terminal device from the communication terminal device that has received the association response;
Means for performing user authentication processing for determining whether communication via the relay device is permitted by a user of the communication terminal device based on user identification information included in the authentication request;
Means for transmitting an authentication response including a result of the user authentication processing to the communication terminal device,
The policy management device includes:
Means for receiving a policy confirmation request including the device identification information from the relay device management device;
A policy confirmation response including communication policy information for the relay device obtained by searching based on the device identification information or connection permission / inhibition information to the relay device determined based on the communication policy information is transmitted to the relay device management device. And a means for transmitting to the communication system.
前記ポリシー確認要求は、前記通信端末装置の利用者を識別可能な利用者識別情報、前記通信端末装置の機種情報及び前記中継装置の種別情報の少なくとも一つを含むことを特徴とする通信システム The communication system of claim 5 ,
The policy confirmation request includes at least one of user identification information that can identify a user of the communication terminal device, model information of the communication terminal device, and type information of the relay device.
前記中継装置を介した前記通信端末装置から通信ネットワークへの接続時に認証処理を実行する認証処理装置と、
前記中継装置を介した前記通信端末装置と通信ネットワークとの通信に対する通信ポリシー情報を管理するポリシー管理装置と、
前記中継装置を管理する中継装置管理装置と、を備え、
前記中継装置管理装置は、
前記通信ポリシー情報を記憶する手段と、
前記ポリシー管理装置から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段と、
前記中継装置を介して前記通信端末装置からアソシエーション要求を受信する手段と、
前記アソシエーション要求に基づいて検索して得られた前記中継装置に対する通信ポリシー情報又は該通信ポリシー情報に基づいて判定した該中継装置への接続可否情報とを含むアソシエーション応答を、前記中継装置を介して前記通信端末装置に送信する手段と、を備え、
前記認証処理装置は、
前記アソシエーション応答を受信した通信端末装置から、前記通信端末装置の利用者を識別可能な利用者識別情報を含む認証要求を受信する手段と、
前記認証要求に含まれる利用者識別情報に基づいて、前記通信端末装置の利用者による前記中継装置を介した通信の許否を判断する利用者認証処理を行う手段と、
前記利用者認証処理の結果を含む認証応答を、前記通信端末装置に送信する手段と、を備え、
前記ポリシー管理装置は、前記通信ポリシー情報を前記中継装置管理装置に送信する手段を備えることを特徴とする通信システム。 A communication system connectable from a communication terminal device to a communication network via a wireless LAN relay device,
An authentication processing device that executes an authentication process when connected to the communication network from the communication terminal device via the relay device;
A policy management device that manages communication policy information for communication between the communication terminal device and a communication network via the relay device;
A relay device management device for managing the relay device,
The relay device management device
Means for storing the communication policy information;
Means for receiving communication policy information to be updated from the policy management device, and updating the stored communication policy information;
Means for receiving an association request from the communication terminal device via the relay device;
An association response including communication policy information for the relay device obtained by searching based on the association request or connection permission information to the relay device determined based on the communication policy information is transmitted via the relay device. Means for transmitting to the communication terminal device,
The authentication processing device includes:
Means for receiving an authentication request including user identification information capable of identifying a user of the communication terminal device from the communication terminal device that has received the association response;
Means for performing user authentication processing for determining whether communication via the relay device is permitted by a user of the communication terminal device based on user identification information included in the authentication request;
Means for transmitting an authentication response including a result of the user authentication processing to the communication terminal device,
The said policy management apparatus is equipped with a means to transmit the said communication policy information to the said relay apparatus management apparatus, The communication system characterized by the above-mentioned.
前記装置識別情報は、前記中継装置の1台ごとにユニークに設定された識別情報であることを特徴とする通信システム。 The communication system according to any one of claims 1 to 7 ,
The communication apparatus characterized in that the device identification information is identification information uniquely set for each of the relay devices.
前記通信ポリシー情報は、前記通信端末装置からの接続が許可又は禁止された中継装置の識別情報、前記通信端末装置から前記中継装置への接続が許可又は禁止された時間帯、前記中継装置を介した通信経路確立処理時のタイムアウト時間、及び、前記中継装置に接続するときの前記通信端末装置における受信信号強度の閾値の少なくとも一つを含むことを特徴とする通信システム。 The communication system according to any one of claims 1 to 8 ,
The communication policy information includes identification information of a relay device that is permitted or prohibited to connect from the communication terminal device, a time zone during which connection from the communication terminal device to the relay device is permitted or prohibited, and via the relay device. The communication system includes at least one of a timeout time at the time of communication path establishment processing and a threshold value of received signal strength at the communication terminal device when connecting to the relay device.
前記通信端末装置は、
移動体通信ネットワークを介して通信する手段と、
前記移動体通信ネットワークを介して外部の通信ネットワークと通信する第1の通信経路が確立された状態で、前記無線LANの中継装置を介して前記外部の通信ネットワークと通信する第2の通信経路を確立する処理を開始する手段と、
前記中継装置に対する接続が許可された場合は、前記外部の通信ネットワークとの通信に優先的に使用する通信経路を前記第1の通信経路から前記第2の通信経路へ切り替え、前記中継装置に対する接続が拒否された場合は、前記外部の通信ネットワークとの通信に優先的に使用する通信経路を前記第1の通信経路に維持する手段と、を備えることを特徴とする通信システム。 The communication system according to any one of claims 1 to 9 ,
The communication terminal device
Means for communicating via a mobile communication network;
With the first communication path communicating with the external communication network established through the mobile communication network, the second communication path communicating with the external communication network via the wireless LAN relay device is established. Means for initiating the establishment process;
When the connection to the relay device is permitted, the communication path used preferentially for communication with the external communication network is switched from the first communication path to the second communication path, and the connection to the relay apparatus is performed. And a means for maintaining, in the first communication path, a communication path that is preferentially used for communication with the external communication network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014130744A JP5813830B1 (en) | 2014-06-25 | 2014-06-25 | Communications system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014130744A JP5813830B1 (en) | 2014-06-25 | 2014-06-25 | Communications system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP5813830B1 true JP5813830B1 (en) | 2015-11-17 |
JP2016010072A JP2016010072A (en) | 2016-01-18 |
Family
ID=54595865
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014130744A Active JP5813830B1 (en) | 2014-06-25 | 2014-06-25 | Communications system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5813830B1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6627216B2 (en) * | 2014-12-25 | 2020-01-08 | 村田機械株式会社 | Wireless access point and wireless access system |
WO2019169679A1 (en) * | 2018-03-05 | 2019-09-12 | Oppo广东移动通信有限公司 | Terminal information transmission method and relevant products |
CN110830534B (en) * | 2018-08-10 | 2022-02-08 | 维沃移动通信有限公司 | Control method and communication device for LAN service |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009533982A (en) * | 2006-04-14 | 2009-09-17 | クゥアルコム・インコーポレイテッド | Method and apparatus for supporting quality of service in a communication system |
JP2010537574A (en) * | 2007-08-17 | 2010-12-02 | クゥアルコム・インコーポレイテッド | Access control of ad hoc small coverage base stations |
EP2547049A1 (en) * | 2010-05-25 | 2013-01-16 | Huawei Technologies Co., Ltd. | Method, system and corresponding apparatus for implementing policy and charging control |
JP2013074453A (en) * | 2011-09-28 | 2013-04-22 | Sharp Corp | Ue, andsf, mobile communication system, pgw, and communication method |
EP2642686A1 (en) * | 2012-03-20 | 2013-09-25 | British Telecommunications public limited company | Control of line power |
-
2014
- 2014-06-25 JP JP2014130744A patent/JP5813830B1/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009533982A (en) * | 2006-04-14 | 2009-09-17 | クゥアルコム・インコーポレイテッド | Method and apparatus for supporting quality of service in a communication system |
JP2010537574A (en) * | 2007-08-17 | 2010-12-02 | クゥアルコム・インコーポレイテッド | Access control of ad hoc small coverage base stations |
EP2547049A1 (en) * | 2010-05-25 | 2013-01-16 | Huawei Technologies Co., Ltd. | Method, system and corresponding apparatus for implementing policy and charging control |
JP2013074453A (en) * | 2011-09-28 | 2013-04-22 | Sharp Corp | Ue, andsf, mobile communication system, pgw, and communication method |
EP2642686A1 (en) * | 2012-03-20 | 2013-09-25 | British Telecommunications public limited company | Control of line power |
Also Published As
Publication number | Publication date |
---|---|
JP2016010072A (en) | 2016-01-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9060329B2 (en) | Methods and apparatus for use in facilitating communication for different types of wireless networks | |
CN111052780B (en) | SIM card authentication method and terminal | |
MXPA06005008A (en) | Mobile wireless presence and situation management system and method. | |
EP3634081A1 (en) | Session context deletion method and apparatus | |
CN107548129B (en) | Wireless communication apparatus, control method thereof, and computer-readable storage medium | |
US11715177B2 (en) | Information processing apparatus and method, electronic device and computer readable medium | |
EP2672761A1 (en) | Methods and apparatus for use in facilitating communication for different types of wireless networks | |
JP5813830B1 (en) | Communications system | |
KR20150056350A (en) | Electronic device and method for updating authentication information in electronic device | |
JP5844441B1 (en) | Communication terminal device and communication system | |
JP6145185B1 (en) | Communication terminal device | |
JP6177851B2 (en) | Service provision system | |
JP2017027207A (en) | Authentication system | |
JP5844440B1 (en) | Communication terminal device and communication system | |
WO2013127015A1 (en) | Methods and apparatus for use in facilitating wi-fi peer-to-peer (p2p) wireless networking | |
JP5656925B2 (en) | Network converter | |
US11902868B2 (en) | Device provisioning for association with a user or a user account | |
JP6127100B2 (en) | Communication terminal device and system | |
JP6534622B2 (en) | Communication terminal, communication system and communication method | |
JP5583168B2 (en) | Network converter | |
JP2016205865A (en) | Guiding system, mobile terminal, and program | |
JP6006752B2 (en) | Communication terminal device | |
JP5918312B2 (en) | Communication terminal device | |
EP2744247B1 (en) | Controlling connections to wireless networks | |
JP5270256B2 (en) | Data communication system and data communication method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150911 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150916 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5813830 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |