JP6177266B2 - 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム - Google Patents

無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム Download PDF

Info

Publication number
JP6177266B2
JP6177266B2 JP2015047702A JP2015047702A JP6177266B2 JP 6177266 B2 JP6177266 B2 JP 6177266B2 JP 2015047702 A JP2015047702 A JP 2015047702A JP 2015047702 A JP2015047702 A JP 2015047702A JP 6177266 B2 JP6177266 B2 JP 6177266B2
Authority
JP
Japan
Prior art keywords
authentication
wireless communication
communication terminal
identification information
authentication control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015047702A
Other languages
English (en)
Other versions
JP2016167238A (ja
Inventor
榎本 敦之
敦之 榎本
大介 染谷
大介 染谷
雅文 川関
雅文 川関
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Biglobe Inc
Original Assignee
Biglobe Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Biglobe Inc filed Critical Biglobe Inc
Priority to JP2015047702A priority Critical patent/JP6177266B2/ja
Publication of JP2016167238A publication Critical patent/JP2016167238A/ja
Application granted granted Critical
Publication of JP6177266B2 publication Critical patent/JP6177266B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラムに関する。
近年、無線LANを使用してインターネットに接続できる環境を提供する公衆無線LANサービスが既に知られている。このシステムは、インターネットに接続された無線LANのアクセスポイント(以下「AP」という。)を例えば飲食店、ホテル、駅、又は空港などに配置し、無線LAN機能を持つノートパソコン等の無線通信端末の接続を可能とするものである。
また、上記の公衆無線LANサービスにおいては、無線LANのアクセスポイントに接続しようとする無線通信端末を使用するユーザの実在性、信頼性、正当性を保障するための認証が行われ、そのユーザ認証に際し、無線通信端末に搭載されたSIM(Subsciber Identity Module)カードを使用する方式も既に知られている。
SIMカードを使用した認証(以下「SIM認証」という。)においては、無線通信端末に搭載されたSIMカードに保持されている加入者識別番号(International Mobile Subsciber Identity、以下「IMSI」という。)を利用することによって、加入者が誰かを特定している。
IMSIは、通常15桁の数字で構成され、最初の3桁が国を表すMCC(Mobile Country Code)、続く2〜3桁が無線通信事業者の識別番号を表すMNC(Mobile Network Code)、残りの桁が個人を識別する識別番号を表すMSIN(Mobile Station Identification Number)となっている。
上述したSIM認証を使用した認証技術が、例えば特許文献1や特許文献2に記載されている。
特開2013−149096号公報 特許第3897034号公報
ところで、近年、携帯電話などの無線通信インフラを提供元となる事業者(Mobile Network Operator、以下「MNO」という。)から借り受け、独自の通信サービスを提供する仮想移動体通信事業者(Mobile Virtual Network Operator、以下「MVNO」という。)が登場してきている。
そして、MVNOは、スマートフォン等を使用するためのSIMカードをMNOから仕入れ、これをユーザに販売している。ユーザは、MVNOから購入したSIMカードを自身のスマートフォンに挿し込み、MVNOがMNOから借り受けた無線通信インフラ下においてスマートフォンを利用する。
ここで、MVNOから提供されたSIMカードを使用して公衆無線LANサービスの提供を受ける際にも、SIM認証を要することは言うまでもない。そして、MVNOから提供されたSIMカードには、MNOを示すMCCやMNCが含まれているため、認証要求が、MNOが管理する認証サーバに行くことになる。しかし、MVNOが、公衆無線LANサービスを提供するためのインフラ設備を、SIMカードを提供するMNO以外の他の公衆無線LAN事業者から借り受けるような場合において、この他事業者とMNOとの間で契約関係がない場合、MNOから提供されたSIMカードを用いて、MNO以外の他事業者が提供する公衆無線LAN設備により無線通信を利用しようとしても、公衆無線LAN事業者からみると、契約関係のないMNOのユーザが認証要求を行っているように見えてしまうため、認証要求を拒否せざるを得ない。このため、たとえMVNOと公衆無線LAN事業者の間に契約があったとしても、当該端末によるSIM認証は失敗し、当該端末は公衆無線LANへの接続が許可されないことになってしまう。
本発明は、このような実情に鑑みてなされたものであって、公衆無線LANインフラの利用契約を、SIMカードに記録されたMCC/MNCで示される事業者(MNO等)とは別の事業者(MVNO等)が有している場合であっても、ユーザがSIMカードを用いて公衆無線LANインフラのユーザ認証を容易に行うことを目的とする。
上記の課題を解決するため、本発明の無線通信端末認証制御装置は、仮想移動体通信事業者が提供する認証媒体を用いてネットワークに接続する無線通信端末のユーザ認証を制御する無線通信端末認証制御装置であって、ネットワークへの接続を許可する無線通信端末のユーザ識別情報を記憶する認証情報管理手段と、無線通信端末に搭載されている認証媒体に含まれるユーザ識別情報が認証情報管理手段に記憶されているか否かを判定し、当該ユーザ識別情報が認証情報管理手段に記憶されていると判定したとき、無線通信端末のネットワークへの接続を許可する制御手段と、を備えることを特徴とする。
本発明によれば、公衆無線LANインフラの利用契約を、SIMカードに記録されたMCC/MNCで示される事業者(MNO等)とは別の事業者(MVNO等)が有している場合であっても、ユーザがSIMカードを用いて公衆無線LANインフラのユーザ認証を容易に行うことが可能となる。
本発明の第1実施形態における無線通信端末認証制御装置を含む無線通信制御システムの概略構成図である。 本発明の第1実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第1実施形態におけるIMSIを記憶するデータベースの一例である。 本発明の第1実施形態におけるアクセスポイントのセッション管理部で管理される情報を示す模式図である。 本発明の実施形態における端末の無線通信接続要求から通信許可までの概略手順を示すフローチャートである。 本発明の第1実施形態における処理手順を示すフローチャートである。 本発明の第1実施形態における概略処理シーケンスである。 本発明の第2実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第2実施形態における処理手順を示すフローチャートである。 本発明の第2実施形態における概略処理シーケンスである。 本発明の第3実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第3実施形態におけるIMSIとMVNOの宛先情報とを対応させて記憶するデータベースの一例である。 本発明の第3実施形態におけるIMSIを記憶する末端データベースの一例である。 本発明の第3実施形態における処理手順を示すフローチャートである。 本発明の第3実施形態における概略処理シーケンスである。 本発明の第4実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第4実施形態における事業者情報記憶する事業者データベースの一例である。 本発明の第4実施形態における処理手順を示すフローチャートである。 本発明の第4実施形態における概略処理シーケンスである。 本発明の第5実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第5実施形態におけるIMSIとユーザID及び認証パスワードとを対応させて記憶するデータベースの一例である。 本発明の第5実施形態における処理手順を示すフローチャートである。 本発明の第5実施形態における概略処理シーケンスである。 本発明の第6実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第6実施形態におけるIMSIの一部とMVNOの宛先情報とを対応させて記憶するデータベースの一例である。 本発明の第6実施形態における処理手順を示すフローチャートである。 本発明の第7実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第7実施形態におけるIMSIと利用制限情報とを対応させて記憶するデータベースの一例である。 本発明の第7実施形態における利用制限情報が反映されたセッション管理部で管理される情報を示す模式図である。 本発明の第8実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第8実施形態における処理手順を示すフローチャートである。 本発明の第8実施形態における概略処理シーケンスである。
本発明の実施形態における無線通信端末認証制御装置について図を用いて以下説明する。なお、各図中、同一又は相当する部分には同一の符号を付しており、その重複説明は適宜に簡略化乃至省略する。なお、本実施形態における無線通信端末の認証処理については、無線LAN通信における認証処理を例に説明するが、無線LAN通信に限定されず、無線ネットワークを介した機器同士の相互接続に際して利用されるその他の認証処理に適用されるものであってよい。なお、以下に説明する実施形態における各装置は、その機能を実現するため、例えばCPU、RAM、ROM、HDD、各種インタフェース、無線通信アンテナ等のハードウェア構成を適宜必要に応じて必要なだけ有していることは言うまでもない。
[第1実施形態]
本発明の第1実施形態における無線通信端末認証制御装置を含む無線通信制御システムの概略について図1を参照して説明する。本システムは、無線通信端末10と、AP20と、無線通信端末認証制御装置30と、認証情報管理装置40と、出荷システム50によって構成されている。無線通信端末10は、無線LAN通信を用いて、AP20と接続し、後述する認証制御の後、AP20を介してインターネットと接続する装置である。図1では、無線通信端末10は、AP20に対して1つ接続されているが、複数の無線通信端末10が接続されても構わない。AP20は、無線通信端末10と無線LAN通信を用いて接続し、無線通信端末10をインターネットに接続するアクセスポイントである。図1では、AP20は、無線通信端末認証制御装置30に対して1つ接続されているが、複数あっても構わない。
無線通信端末10は、端末無線通信部11と、端末認証要求部12と、認証媒体としてのSIMカード13と、アプリケーション実行部14を備える。
端末無線通信部11は、無線ネットワークを介してAP無線通信部21と接続し、端末認証後はAP無線通信部21を介してインターネットから、例えばアプリケーション実行部14で処理するデータを取得する。
端末認証要求部12は、端末認証のためSIMカード13に格納されるユーザ識別情報としてのIMSIや、無線通信端末10固有のMACアドレスを取得して端末無線通信部11に渡す。SIMカード13は、MVNOがMNOから仕入れたものが無線通信端末10のSIMスロットに挿入される。なお、本発明における認証媒体はSIMカードに限定されないが、ユーザ識別情報を格納することができる媒体であればよい。
AP20は、AP無線通信部21と、端末認証サーバ22と、接続認証要求部23と、セッション管理部24を備える。AP無線通信部21は、端末無線通信部11を介して無線通信端末10からIMSIやMACアドレスを取得する。端末認証サーバ22は、端末無線通信部11を介して取得したIMSIを管理する。接続認証要求部23は、端末認証サーバ22がIMSIを取得したことを受けて無線通信端末認証制御装置30に接続認証要求を送信する。セッション管理部24は、AP無線通信部21を介してMACアドレスを取得し、MACアドレスに対応付けて、無線通信端末10の通信可否を示す通信許可フラグを記憶する。セッション管理部24は、MACアドレスが管理情報に記憶されて、かつ、通信許可フラグが「1」になるまでは、当該MACアドレスの無線通信端末10に対して、AP20によるインターネットとの接続を許可しない。
例えばRadius Proxyに代表されるような無線通信端末認証制御装置30は、無線通信端末10を使用するユーザの認証を制御する。詳細は図2を用いて後述するが、AP20の接続認証要求部23から接続認証要求を受信し、所定の認証サーバから受け取った認証結果をAP20の接続認証要求部23に返信する。また、接続認証要求に含まれる宛先で指定される通信事業者の認証制御管理装置に接続認証要求を振り分ける役割を担う。接続認証要求にはユーザ識別情報が含まれ、ユーザ識別情報にIMSIが含まれる構成となっている。
認証情報管理装置40は、無線通信端末のユーザ認証に用いる認証情報を管理する認証情報管理手段であり、IMSIを記憶する記憶部として機能する。なお、認証情報管理装置40は、SIMカード13に記憶されるIMSIを少なくともSIMカード13がユーザに提供される前に記憶することが好ましい。具体的には、出荷システム50によりSIMカード13がユーザに出荷されるのと略同時に認証情報管理装置40に記憶されることが好ましい。
出荷システム50は、SIMカードをユーザあるいはSIMカードの販売店に出荷するシステムであり、SIMカードが出荷されるとき、SIMカードに割り当てられたIMSIを認証情報管理装置40に登録する。
次に、第1実施形態における無線通信端末認証制御装置30について図2を参照して説明する。無線通信端末認証制御装置30は、無線通信端末10のユーザ識別情報が認証情報管理装置40に記憶されているか否かを判定し、当該ユーザ識別情報が認証情報管理装置40に記憶されていると判定したとき、無線通信端末10の無線ネットワークへの接続を許可する。
無線通信端末認証制御装置30は、ユーザ識別情報であるIMSIが認証情報管理装置40に記憶されていると判定したとき、無線通信端末10の無線ネットワークへの接続を許可する接続許可メッセージを接続認証要求部23を介してAP20に送信する。他方、無線通信端末認証制御装置30は、IMSIが認証情報管理装置40に記憶されていないと判定したとき、無線通信端末10の無線ネットワークへの接続を拒否する接続拒否メッセージを接続認証要求部23を介してAP20に送信する。
次に、第1実施形態における認証情報管理装置40に記憶されるIMSIの例について図3を参照して説明する。ここでは、IMSIとして例えば「429011234567890」、「310150123456789」、「310410736067599」、「440101234567890」が認証情報管理装置40に記憶されている。無線通信端末認証制御装置30は、接続認証要求に含まれるユーザ識別情報が認証情報管理装置40に記憶されているこれらのIMSIと一致するか否かを判定する。
次に、第1実施形態におけるセッション管理部24で管理、記憶される管理情報の例について図4を参照して説明する。セッション管理部24は、無線通信端末10固有の番号であるMACアドレス、内部プロセスID、通信許可状態を対応させて記憶する。内部プロセスIDは、接続認証要求部23が接続認証要求を行う毎に発行されるユニークな任意の文字列である。通信許可状態は「1」又は「0」で表され、「1」は無線通信端末10の問合せが完了して通信が許可されている状態を示し、「0」は問合せ受付中又は通信が拒否されている状態を示している。なお、通信が拒否された場合に「0」の状態を例えば数分間保持しておくことが好ましい。これにより無線通信端末10による複数回の問合せが集中するのを防ぐことが可能となる。
ここでは、上段のMACアドレス「00004c001234」、PIDが「12345」に対する通信許可が「1」となっており、中段のMACアドレス「abcdef123456」、PID「23456」に対する通信許可が「0」となっており、下段のMACアドレス「123456abcdef」、PID「34567」に対する通信許可が「0」となっているが、一例であることは言うまでもない。
次に、本実施形態における無線通信端末10のインターネットへの無線通信接続要求から通信許可までの概略手順について図5を参照して説明する。
無線通信端末10がAP20に対し端末無線通信部11を介して自端末のMACアドレスを含む無線通信接続要求を行う(ステップS01)。
AP20は無線通信接続要求に含まれている無線通信端末10のMACアドレスを取得し、記憶されている管理情報に当該MACアドレスが登録されているか確認し(ステップS02)、管理情報に通信許可として登録されていれば(ステップS02、YES)、無線通信端末10をインターネットに接続する(ステップS03)。また、登録されていなければ(ステップS02、NO)、AP20は、ユーザ識別情報を含むSIMカード情報を無線通信端末10から取得し(ステップS04)、ユーザ識別情報を含む接続認証要求を無線通信端末認証制御装置30に送信する(ステップS05)。
無線通信端末認証制御装置30は、接続認証要求に含まれるユーザ識別情報に「wlan」が含まれるか否か、または、IMSIがDBに記憶されているか否かの判定結果(ステップS06)により、認証に関する制御処理を行い、認証処理の結果を基に接続可否判定結果のメッセージを返答する。例えば、ユーザ識別情報に「wlan」が含まれかつIMSIがDBに記憶されている場合、もしくは、ユーザ識別情報に「wlan」が含まれておらずかつリクエストを転送したドメインによる認証結果が認証OKであった場合は、接続可と判定し(ステップS06、YES)、接続許可メッセージを返答する(ステップS07)。他方、ユーザ識別情報に「wlan」が含まれかつIMSIがDBに記憶されていない場合、もしくは、ユーザ識別情報に「wlan」が含まれておらずかつリクエストを転送したドメインによる認証結果が認証NGであった場合は、接続不可と判定し(ステップS06、NO)、接続拒否メッセージを返答する(ステップS08)。認証に関する制御処理とそれに基づく接続可否の判定は、図6等で詳細に説明する。
AP20は、接続可否判定結果を基に、無線通信端末10のインターネットとの通信を許可(ステップS09)、または拒否する(ステップS010)。AP20は、接続許可メッセージを受信した場合、管理情報の無線通信端末10のMACアドレスを通信許可として登録する(ステップS011)。
次に、第1実施形態における無線通信端末認証制御装置30が接続認証要求を受信し、接続可否判定結果のメッセージを送信するまでの処理手順について図6を参照して説明する。まず、無線通信端末認証制御装置30は、AP20の接続認証要求部23から接続認証要求と共にユーザ識別情報を受信する(ステップS1)。
次に、無線通信端末認証制御装置30は、接続認証要求に含まれるユーザ識別情報の@以降に示されるドメイン名の先頭部分に「wlan」の表記があるか否かを確認する(ステップS2)。
無線通信端末認証制御装置30は、上記ドメイン名の先頭部分に「wlan」の表記があることを確認したとき(ステップS2、YES)、接続認証要求に含まれるユーザ識別情報からIMSIを抽出する(ステップS3)。他方、無線通信端末認証制御装置30は、上記ドメイン名の先頭部分に「wlan」の表記がないことを確認したとき(ステップS2、YES)、少なくとも「wlan」の表記を含まないドメイン名で示される宛先(ユーザ認証制御を管理するMNO等の所定の通信事業者)に接続認証要求を転送する(ステップS6)。
ステップS3以降、次に無線通信端末認証制御装置30は、抽出したIMSIが認証情報管理装置40(図示の便宜上「DB」としている。図5以降に示す処理手順を示す各図においても同じ。)に記憶されているか否かを確認する(ステップS4)。そして、無線通信端末認証制御装置30は、抽出したIMSIが認証情報管理装置40に記憶されていると判定したとき(ステップS4、YES)、接続許可メッセージを接続認証要求部23に送信する(ステップS5)。他方、無線通信端末認証制御装置30は、抽出したIMSIが認証情報管理装置40に記憶されていないと判定したとき(ステップS4、NO)、接続拒否メッセージを接続認証要求部23に送信する(ステップS7)。
次に、本実施形態における無線通信端末10のインターネットへの無線通信接続要求から通信許可までの概略手順について図7を参照して説明する。ここでは、予め、出荷システム50により、ユーザに出荷したSIMカード13のIMSIが認証情報管理装置40に記憶されてあり、AP20のセッション管理部24に記憶される管理情報には、無線通信端末10のMACアドレスが登録されていないものとする。まず、無線通信端末10がAP20に対し端末無線通信部11を介して自端末のMACアドレスを含む無線通信接続要求を行う[1]。
次に、AP20はAP無線通信部21に無線通信接続要求を受信すると、AP20のセッション管理部24は、AP無線通信部21を介して、無線通信接続要求に含まれている無線通信端末10のMACアドレスを取得し、記憶されている管理情報に当該MACアドレスが通信許可として登録されているか確認する。セッション管理部24は、無線通信端末10のMACアドレスが管理情報に登録されていれば、無線通信端末10をインターネットに接続し、登録されていなければ、接続認証要求部23にSIMカード情報を用いた認証を求める。ここでは、管理情報にはMACアドレスが登録されていないので、セッション管理部24は図4で説明した内部プロセスIDを発行し、管理情報に無線通信端末10のMACアドレスに対応付けて登録する。また、このとき、セッション管理部24はまだ無線通信端末10の通信を許可していないため、通信許可状態は「0」として、上記同様に無線通信端末10のMACアドレスと内部プロセスIDに対応付けて管理情報に登録する。そして、セッション管理部24は発行した内部プロセスIDとともに接続認証要求部23に認証を求める。
接続認証要求部23は端末認証サーバ22に対して認証を求める。端末認証サーバ22は、AP無線通信部21を介して、無線通信端末10に、SIMカード情報の取得要求(例:EAP−Request/Identity)を送信する。端末無線通信部11にSIMカード情報の取得要求を受信すると、無線通信端末10の端末認証要求部12は、無線通信端末10に搭載されているSIMカード13からIMSIと通信事業者を特定する通信事業者情報等を取得し、IMSIと通信事業者情報を示すドメイン名とを組み合わせたユーザ識別情報(例:1440101234567890@wlan.mnc10.mcc440. 3gppnetwork.org 「440101234567890」はIMSIの例、「440」はMCCの例、「10」はMNCの例、「1234567890」は加入者番号の例、「3gppnetwork.org」の部分は3GPP標準で規定されたSIM認証を用いる場合の標準ドメイン名の例)を生成し、ユーザ識別情報を含むSIMカード情報を端末無線通信部11を介して、AP無線通信部21に送信する。なお、このユーザ識別情報は、User−Name属性、EAP−Response/Identity属性、もしくはEAP−Response/SIM/Start属性等のメッセージとして、無線通信端末10からAP20へ送信される。
AP20のAP無線通信部21は、端末無線通信部11よりユーザ識別情報を含むSIMカード情報を受信すると、これを端末認証サーバ22に渡す。端末認証サーバ22は、これら情報を接続認証要求部23に渡す。接続認証要求部23は、取得したSIMカード情報に含まれるユーザ識別情報を含む接続認証要求を無線通信端末認証制御装置30に送信する[2]。
無線通信端末認証制御装置30は、接続認証要求を受信すると、接続認証要求に含まれるユーザ識別情報からIMSIを抽出し、IMSIが認証情報管理装置40に記憶されているかどうかを問合せる[3]。認証情報管理装置40は、IMSIを記憶しているか否かの判定結果を無線通信端末認証制御装置30に返答する。ここでは、認証情報管理装置40に無線通信端末10のIMSIは記憶されているので、記憶有の判定結果を無線通信端末認証制御装置30に返答する[4]。無線通信端末認証制御装置30は、問い合わせした判定結果を基に、接続可否判定結果のメッセージをAP20に返答する。ここでは、記憶有の判定結果を基に、接続許可メッセージを返答する[5]。
AP20の接続認証要求部23は、接続認証要求に対する回答として、無線通信端末認証制御装置30から接続可否判定結果のメッセージを受信する。ここでは、認証情報管理装置40に無線通信端末10のIMSIは記憶されているので、接続認証要求部23は無線通信端末10のインターネットへの接続が許可された旨の接続許可メッセージを受信する。
セッション管理部24は、接続許可メッセージを受信すると、管理情報に、接続許可メッセージに含まれる内部プロセスIDに対応する通信許可状態を「1」として変更登録し、通信許可状態を「1」としたMACアドレスの無線通信端末10については、インターネットと無線通信端末10との通信の送受信を許可する[6]。また、セッション管理部24は、接続認証要求部23に、無線通信端末10のインターネットへの接続が拒否された旨の接続拒否メッセージを受信した場合は、管理情報の通信許可状態は「0」のままとし、AP無線通信部21を介して無線通信端末10に接続拒否を通知する。
その後、無線通信端末10は、AP20を介したインターネットへの無線通信を開始する[7]。
以上、第1実施形態によれば、公衆無線LANインフラの利用契約を、SIMカードに記録されたMCC/MNCで示される事業者(MNO等)とは別の事業者(MVNO等)が有している場合であっても、無線通信事業者であるMNOが提供元であるSIMカードのユーザ識別情報(IMSI)を認証情報管理装置40に記憶し、記憶されたIMSIとAP2にインターネットへの接続を要求する無線通信端末10から取得したIMSIとを照合することにより、ユーザがユーザ認証を簡易に行うことが可能となる。
[第2実施形態]
次に、本発明の第2実施形態における無線通信端末認証制御装置30を含む無線通信制御システムの概略構成について図8を参照して説明する。なお、第1実施形態と同様の構成についての説明は省略し、第2実施形態において初めて登場する構成を主として説明する。
第2実施形態においては、無線通信端末認証制御装置30が、認証情報管理装置40にIMSIが記憶されていないと判定した場合の、その後の処理が第1実施形態と異なる。すなわち、第2実施形態では、無線通信端末認証制御装置30は、IMSIが認証情報管理装置40に記憶されていないと判定したとき、認証情報管理装置40にIMSIが記憶されていないと判定された接続認証要求を、その接続認証要求に含まれる本来のユーザ識別情報のドメイン名で示されるユーザ認証制御を管理するMNO等の所定の通信事業者の認証制御管理装置へ転送する。
図8では、A社認証サーバ61及びA社認証データベース62(以下「A社認証DB」という。)、B社認証サーバ71及びB社認証データベース72(以下「B社認証DB」という。)が所定の通信事業者の認証制御管理装置に相当する。これ以降、「データベース」を含む構成要素の各名称においては、全てその略称である「DB」にて表記するものとする。
第2実施形態における無線通信端末認証制御装置30が接続認証要求を受信し、接続可否判定結果のメッセージを送信するまでの処理手順について図9を参照して説明する。なお、第1実施形態の図6で説明した処理手順と重複する手順については説明を省略する。すなわち、第2実施形態においては、ステップS4において、無線通信端末認証制御装置30が、IMSIが認証情報管理装置40に記憶されていないと判定した場合(ステップS4、NO)以降の処理が第1実施形態と異なっており、この場合は、接続認証要求に含まれるユーザ識別情報のドメイン名で示されるA社認証サーバ61又はB社認証サーバ71に接続認証要求が転送される(ステップS16)。
次に、第2実施形態における無線通信処理の概略手順について図10を参照して説明する。なお、第1実施形態の図7で示した手順と重複する手順については説明を省略する。つまり、ここでは、第1実施形態で説明した場合と異なり、認証情報管理装置40にIMSIが記憶されていないこととする。第2実施形態は、認証情報管理装置40がIMSIを記憶しているか否かの判定結果を無線通信端末認証制御装置30に返答する[4]以降の手順が第1実施形態と異なる。
まず、認証情報管理装置40は、無線通信端末10のIMSIは記憶されていないので、記憶無しの判定結果を無線通信端末認証制御装置30に返答する。無線通信端末認証制御装置30は、記憶無しの判定結果を受信すると、接続認証要求に含まれるユーザ識別情報のドメイン名で示されるA社認証サーバ61又はB社認証サーバ71に接続認証要求を転送し、判定の問い合わせをする[11]。そして、A社認証サーバ61又はB社認証サーバ71はA社認証DB62又はB社認証DB72に問い合わせて、接続認証要求に含まれるユーザ識別情報に基づいて認証処理を行い[12]、A社認証DB62又はB社認証DB72からその認証の判定結果を受け取り[13]、判定結果を無線通信端末認証制御装置30に返答する[14]。無線通信端末認証制御装置30は、問い合わせした判定結果を基に接続可否判定結果のメッセージをAP20に返答する[5]。これ以降の手順は第1の実施形態の図7の[6]以降と同様である。
以上、第2実施形態によれば、IMSIが認証情報管理装置40に記憶されていない場合でも、認証処理がMNOにおいて実施されるため、公衆無線LAN事業者とMVNO事業者との間に利用契約がない場合でも、公衆無線LAN事業者とMNO事業者との間に利用契約があれば、ユーザ認証が行われずにユーザが無線通信サービスを受けられないような状況を回避することが可能となる。
[第3実施形態]
次に、本発明の第3実施形態における無線通信端末認証制御装置30を含む無線通信制御システムの概略構成について図11を参照して説明する。なお、第1実施形態及び第2実施形態と同様の構成についての説明は省略し、第3実施形態において初めて登場する構成を主として説明する。
第3実施形態においては、認証情報管理装置400の役割が第1実施形態等と異なり、さらに、認証処理をMVNOの末端認証制御管理装置にて行う点が特徴となっている。つまり、認証情報管理装置400は、MVNOによるユーザ認証制御を管理する末端認証制御管理装置の宛先情報と、SIMカードに記憶されるユーザ識別情報とを対応させて記憶している。
また、無線通信端末認証制御装置30は、IMSIが認証情報管理装置400に記憶されていると判定したとき、認証情報管理装置400に記憶されていると判定したIMSIを含む接続認証要求を、そのIMSIに対応して記憶された宛先情報で示される末端認証制御管理装置に転送する。図11に示すC社認証サーバ83、末端DB82及び出荷システム81、並びに、D社認証サーバ93、末端DB92、及び出荷システム91が末端認証制御管理装置に相当する。
次に、第3実施形態における認証情報管理装置400に記憶されるIMSIと宛先情報との対応関係の一例について図12を参照して説明する。ここでは、IMSI「440101234567890」に対応して宛先「MVNO−C」が記憶され、IMSI「440100123456789」に対応して宛先「MVNO−D」が記憶され、IMSI「440100736067599」に対応して宛先「MVNO−D」が記憶され、IMSI「440101234567890」に対応して宛先「MVNO−C」が記憶されている。つまり、無線通信端末認証制御装置30は、IMSIに対応する宛先をこれらを参照して特定し、特定した宛先で示されるMVNOの末端認証制御管理装置に接続認証要求を転送すればよい。
次に、第3実施形態における末端DB82又は末端DB92に記憶されるIMSIの一例について図13を参照して説明する。第3実施形態における末端DB82及び末端DB92は、第1実施形態における認証情報管理装置40と同等の機能を有するものであるが、末端DB82及び末端DB92は第1実施形態とは、その設置場所が異なっている。つまり、第3実施形態では、MVNOに設置される点が第1実施形態と大きく異なっている。なお、図13におけるIMSIの例は第1実施形態において説明した図3のIMSIと同様であるため説明を省略する。
次に、第3実施形態における処理手順について図14を参照して説明する。なお、第1実施形態の図6や第2実施形態の図9で説明した処理手順と重複する手順については説明を省略する。すなわち、第3実施形態では、ステップS4で無線通信端末認証制御装置30が、IMSIが認証情報管理装置400に記憶されていると判定した(ステップS4、YES)後の手順が第1実施形態などと異なる。
その後、無線通信端末認証制御装置30は、認証情報管理装置400に記憶されていると判定したIMSIに対応して記憶される宛先で示されるMVNOの末端認証制御管理装置に接続認証要求を転送する(ステップS21)。
その後、末端認証制御管理装置における各社末端DBにIMSIが記憶されているか否かを各社認証サーバが判定し(ステップS22)、各社末端DBにIMSIが記憶されていると判定したとき(ステップS22、YES)、各社認証サーバは接続許可メッセージを無線通信端末認証制御装置30に送信する(ステップS23)。他方、各社末端DBにIMSIが記憶されていないと判定したとき(ステップS22、NO)、各社認証サーバは接続拒否メッセージを無線通信端末認証制御装置30に送信する(ステップS24)。
次に、第3実施形態における無線通信処理の概略手順について図15を参照して説明する。なお、第1実施形態の図7で示した手順と重複する手順については説明を省略する。つまり、ここでは、認証情報管理装置400にIMSIが記憶されていることが無線通信端末認証制御装置30に返答された[4]以降の手順が第1実施形態と異なる。なお、本図では、図10において示してあったA社認証サーバ61及びA社認証DB62、並びにB社認証サーバ71及びB社認証DB72を除外しているが、図示上の便宜のためであり、第3実施形態がこれらの構成を含まないという趣旨ではない。ここで、C社の末端DB82又はD社の末端DB92には、無線通信接続要求を送信した無線通信端末10のIMSIが記憶されていることとする。
無線通信端末認証制御装置30は、認証情報管理装置400に記憶されたIMSIに対応する宛先情報で特定される末端認証制御管理装置に含まれるC社認証サーバ83又はD社認証サーバ93に接続認証要求を転送する[21]。C社認証サーバ83又はD社認証サーバ93は、末端DB82又は末端DB92にIMSIが記憶されているか否かを判定し[22]、判定結果を得る[23]。ここでは、末端DB82又は末端DB92には、無線通信端末10のIMSIが記憶されているので、認証OKの判定結果を得る。その後、C社認証サーバ83又はD社認証サーバ93は得た認証OKの判定結果を無線通信端末認証制御装置30に返答する[24]。無線通信端末認証制御装置30は、判定結果を基に、接続可否判定結果のメッセージをAP20に返答する[5]。ここでは、認証OKの判定結果を基に、接続許可メッセージをAP20に返答する。これ以降の手順は、第1の実施形態の[6]以降と同様である。
以上、第3実施形態によれば、無線通信端末認証制御装置30において接続認証要求に含まれるIMSIに対応したMVNOの末端認証制御管理装置を特定して、特定された末端認証制御管理装置に接続認証要求を振り分け、末端認証制御管理装置において受け付けた接続認証要求に含まれるIMSIを基に認証制御を行っているため、MVNOにおいて確実かつ容易な認証処理が可能となるとともに、無線通信端末認証制御装置30においては接続認証要求の転送先を振り分ける処理だけで済むため、処理負荷が軽くなるというメリットがある。
なお、第3実施形態においては、認証情報管理装置400、並びに末端DB82及び末端DB92にIMSIが記憶されることになるが、末端DB側にIMSIを記憶しないようにしてもよい。例えば、利用料金の上限や許容通信データ量などが設定されているといった利用制限がかけられたユーザに割り当てられたIMSIを末端DBに記憶しないことで、MVNO側における利用制限処理を容易に行うことが可能となる。また、例えば、ユーザが無線通信端末を紛失したり、盗難に遭ったりした場合における一時的な利用制限を迅速かつ容易に行うことが可能となる。
[第4実施形態]
次に、本発明の第4実施形態における無線通信端末認証制御装置30を含む無線通信制御システムの概略構成について図16を参照して説明する。なお、第1実施形態等と重複する説明は省略し、第4実施形態において初めて登場する構成を主として説明する。
第4実施形態は、第2実施形態の構成に事業者DB41を追加した点が特徴となっている。すなわち、第4実施形態では、所定の通信事業者を識別する事業者識別情報を記憶する事業者識別情報記憶手段としての事業者DB41をさらに備えている。そして、無線通信端末認証制御装置30は、IMSIに含まれる事業者識別情報が事業者DB41に記憶されているとき、そのIMSIが認証情報管理装置40に記憶されているか否かを判定する。
事業者DB41に記憶される事業者識別情報の例について図17を参照して説明する。ここでは、事業者識別情報として「MCC」と「MNC」を表す5桁から6桁の数字からなる文字列を採用している。例えば、上段の「44010」は「440」がMCC、「10」が所定の事業者を示すものである。また、下段の「310410」は「310」がMCC、「410」が所定の事業者を示すものである。無線通信端末認証制御装置30は、IMSIを抽出したとき、まずはこの事業者DB41を参照して、認証情報管理装置40にIMSIが記憶されているか否かを判定する必要があるか否かを確認する。
次に、第4実施形態における処理手順について図18を参照して説明する。なお、第2実施形態の図9で説明した処理手順と重複する手順については説明を省略する。すなわち、第4実施形態では、ステップS3でIMSIを抽出した後の手順が第2実施形態と異なる。
無線通信端末認証制御装置30は、抽出したIMSIに含まれる「MCC」「MNC」からなる文字列が事業者DB41に記憶されているか否かを判定する(ステップS31)。そして、無線通信端末認証制御装置30は、「MCC」「MNC」からなる文字列が事業者DB41に記憶されていると判定したとき(ステップS31、YES)、IMSIが認証情報管理装置40に記憶されているか否かを判定する(ステップS32)。
無線通信端末認証制御装置30が、IMSIが認証情報管理装置40に記憶されていると判定したとき(ステップS32、YES)、接続許可メッセージをAP20に送信する(ステップS33)。他方、無線通信端末認証制御装置30が、抽出したIMSIに含まれる「MCC」「MNC」からなる文字列が事業者DB41に記憶されていないと判定したとき(ステップS31、NO)、無線通信端末認証制御装置30は、接続認証要求に含まれるドメイン名で示されるA社認証サーバ61又はB社認証サーバ71に接続認証要求を転送する(ステップS34)。
第4実施形態における無線通信処理の概略手順について図19を参照して説明する。なお、第2実施形態の図10で示した手順と重複する手順については説明を省略する。つまり、ここでは、無線通信端末認証制御装置30がIMSIを抽出した[2]以降の手順が第2実施形態と異なっている。ここでは、第2実施形態で説明した場合と異なり、認証情報管理装置40に無線通信端末10のIMSIが記憶されており、事業者DB41にIMSIから抽出した事業者識別情報「44010」が記憶されているとする。なお、ここでは、A社認証サーバ61及びA社認証DB62、並びにB社認証サーバ71及びB社認証DB72は、図示の便宜上省略している。
無線通信端末認証制御装置30は、事業者DB41にIMSIから抽出した事業者識別情報「MCC=440」「MNC=10」が記憶されているか否かを判定する[31]。ここでは、事業者DB41に事業者識別情報「MCC=440」「MNC=10」が記憶されているので、事業者識別情報有りと判定する。無線通信端末認証制御装置30は、判定結果を得た[32]後、その判定結果が、事業者識別情報有りであったので、IMSIが認証情報管理装置40に記憶されているか否かを判定する[33]。ここでは、認証情報管理装置40に無線通信端末10のIMSIが記憶されているので、無線通信端末認証制御装置30は、記憶有の判定結果を得る[34]。この記憶有の判定結果を得た以降の手順は、第1の実施形態の図7の[5]以降と同様である。
以上、第4実施形態によれば、まず無線通信端末認証制御装置30が、抽出したIMSIのうち事業者識別情報「MCC」「MNC」を確認し、これが事業者DB41に記憶されているか否かを判定し、事業者識別情報「MCC」「MNC」が事業者DB41に記憶されているときのみ、IMSIが認証情報管理装置40に記憶されているか否かを判定する処理を行い、事業者識別情報「MCC」「MNC」が事業者DB41に記憶されていないと判定したときは、認証情報管理装置40を確認する処理を行うことなく、接続認証要求に含まれるドメイン名で示される宛先にその接続認証要求を転送するので、認証情報管理装置40に記憶されている加入者が数十万人分のIMSI全桁を常に確認する必要がなくなり、検索負荷を軽減することが可能となる。
[第5実施形態]
次に、本発明の第5実施形態における無線通信端末認証制御装置30を含む無線通信制御システムの概略構成について図20を参照して説明する。なお、第3実施形態等と重複する説明は省略し、第5実施形態において初めて登場する構成を主として説明する。第5実施形態においては、E社認証サーバ201及びE社認証DB202、並びにF社認証サーバ301及びF社認証DB302をMVNOの認証制御管理装置として追加している。なお、図示の便宜上、A社認証サーバ61及びA社認証DB62、並びにB社認証サーバ71及びB社認証DB72は省略している。
第3実施形態における認証情報管理装置40がIMSI及びこれに対応する宛先情報を記憶していたものであるのに対し、第5実施形態においては、認証情報管理装置410が、IMSI、並びにこれに対応してMVNOの末端認証制御管理装置における認証に用いるユーザID及び認証パスワードを記憶する点が特徴となっている。
すなわち、第5実施形態における認証情報管理装置410は、SIMカードに記憶されるIMSIに基づいて、MVNOによるユーザ認証制御を管理する末端認証制御管理装置におけるユーザ認証に用いるユーザIDと認証パスワードを生成し、生成されたユーザID及び認証パスワードをIMSIに対応させて記憶する。そして、無線通信端末認証制御装置30は、抽出したIMSIが認証情報管理装置410に記憶されていると判定したとき、認証情報管理装置410に記憶された、抽出したIMSIに対応するユーザID及び認証パスワードを、ユーザIDに含まれる宛先情報で示されるMVNOの末端認証制御管理装置に転送する。
次に、第5実施形態における認証情報管理装置410に記憶されるIMSI並びにこれに対応したユーザID及び認証パスワードの一例について図21を参照して説明する。
ここでは、IMSI「440101234567890」に対応してユーザID「440101234567890@MVNO−E.jp」及び認証パスワード「vwxyz12345」が記憶され、IMSI「440100123456789」に対応してユーザID「0123456789@MVNO−F.jp」及び認証パスワード「Abcd12345」が記憶され、IMSI「440100736067599」に対応してユーザID「736067599@MVNO−F.jp」及び認証パスワード「98765asdfg」が記憶され、IMSI「440101234567890」に対応してユーザID「440101234567891@MVNO−E.jp」及び認証パスワード「qwertyuiop」が認証情報管理装置410に記憶されている。なお、これらが一例であることは言うまでもない。無線通信端末認証制御装置30は、認証情報管理装置410に記憶されたこれらの情報を元に特定したMVNOの末端認証制御管理装置に接続認証要求を転送する。
次に、第5実施形態における処理手順について図22を参照して説明する。なお、第3実施形態の図14で説明した処理手順と重複する手順については説明を省略する。すなわち、第5実施形態では、ステップS4で無線通信端末認証制御装置30が認証情報管理装置410にIMSIが記憶されていると判定した後の手順が第3実施形態と異なる。ここで、E社認証DB202又はF社認証DB302には、無線通信接続要求を送信した無線通信端末10を使用するユーザ(又はIMSI)に対応するユーザIDと認証パスワードが記憶されていることとする。
無線通信端末認証制御装置30は、認証情報管理装置410でIMSIに対応して記憶されたユーザIDに、接続認証要求に含まれるユーザ識別情報を変換する(ステップS41)。そして、無線通信端末認証制御装置30は、変換されたユーザIDに含まれるドメイン名で示される宛先情報で特定されるMVNOの末端認証制御管理装置にユーザIDを含む接続認証要求を転送する(ステップS42)。
第5実施形態における無線通信処理の概略手順について図23を参照して説明する。なお、第3実施形態の図15で示した手順と重複する手順については説明を省略する。つまり、ここでは、無線通信端末認証制御装置30がIMSIを抽出した[2]以降の手順が第3実施形態と異なっている。
無線通信端末認証制御装置30は、認証情報管理装置410にIMSIが記憶されていると判定した[41]後、認証情報管理装置410にて無線通信端末10のIMSIに対応して記憶されたユーザID及び認証パスワードを受け取る[42]。無線通信端末認証制御装置30は、受け取ったユーザIDに含まれるドメイン名で示される宛先情報で特定されるE社認証サーバ201又はF社認証サーバ301に、ユーザ識別情報をユーザIDに変換し、ユーザIDと認証パスワードとを含む接続認証要求を、ユーザID及び認証パスワードと共に転送する[43]。
E社認証サーバ201又はF社認証サーバ301は、E社認証DB202又はF社認証DB302を参照し、転送された接続認証要求に含まれるユーザID及び認証パスワードを用いて、無線通信接続要求を送信した無線通信端末10を使用するユーザのユーザ認証を実行し[44]、認証の判定結果を得る[45]。ここでは、E社認証DB202又はF社認証DB302には、ユーザIDと認証パスワードとが記憶されているので、認証OKの判定結果を得る。その後、E社認証サーバ201又はF社認証サーバ301は、認証OKの認証結果を無線通信端末認証制御装置30に返答する[46]。無線通信端末認証制御装置30は、接続認証要求の判定結果を基に、接続可否判定結果のメッセージをAP20に返答する[5]。ここでは、認証OKの判定結果を基に、接続許可メッセージをAP20に返答する。これ以降は第3の実施形態の図15と同様である。
以上、第5実施形態によれば、認証情報管理装置40においてIMSIから変換されたユーザID及び認証パスワードを、接続認証要求と共にMVNOの末端認証制御管理装置に転送し、MVNOの末端認証制御管理装置において、転送されたユーザID及び認証パスワードを使用したユーザ認証制御を行うため、MVNO事業者はSIMカードの存在を意識することなく、従来からのIDとパスワードを用いた認証制御管理装置を用いて、ユーザ認証を簡易に行うことが可能となる。
[第6実施形態]
次に、本発明の第6実施形態における無線通信端末認証制御装置30を含む無線通信制御システムの概略構成について図24を参照して説明する。なお、第3実施形態等と重複する説明は省略し、第6実施形態において初めて登場する構成を主として説明する。
第3実施形態における認証情報管理装置40がIMSIを構成する全桁を記憶していたものであるのに対し、第6実施形態においては、認証情報管理装置420が、IMSIを構成する数桁を記憶する点が特徴となっている。
すなわち、第6実施形態における認証情報管理装置420は、MVNOによるユーザ認証制御を管理する末端認証制御管理装置の宛先情報と、SIMカードに記憶されるIMSIに含まれる一部の文字列とを対応させて記憶する。そして、無線通信端末認証制御装置30は、抽出したIMSIに含まれる一部の文字列が認証情報管理装置420に記憶されていると判定したとき、認証情報管理装置420に記憶されていると判定された文字列を含むIMSIを含む接続認証要求を、文字列に対応して記憶された宛先情報で示されるMVNOの末端認証制御管理装置に転送する。
次に、第6実施形態における認証情報管理装置420に記憶されるIMSIの一部及び宛先情報の一例について図25を参照して説明する。なお、ここでは、IMSIの一部を「MCC+MNC+MSINの先頭2桁」の計7桁又は8桁としているが、これに限定されない。
ここでは、IMSIの一部「4401005」に対応して宛先情報「MVNO−C」が記憶され、IMSIの一部「4401004」に対応して宛先情報「MVNO−D」が記憶され、IMSIの一部「4401004」に対応して宛先情報「MVNO−D」が記憶され、IMSIの一部「4401005」に対応して宛先情報「MVNO−C」が記憶されている。なお、これらが一例であることは言うまでもない。
次に、第6実施形態における処理手順について図26を参照して説明する。なお、第3実施形態の図14で説明した処理手順と重複する手順については説明を省略する。すなわち、第6実施形態では、ステップS3で無線通信端末認証制御装置30がIMSIを抽出した後の手順が第3実施形態と異なっている。
無線通信端末認証制御装置30は、抽出したIMSIの一部が認証情報管理装置420に記憶されているか否かを判定する(ステップS51)。無線通信端末認証制御装置30が、IMSIの一部が認証情報管理装置420に記憶されていると判定したとき(ステップS51、YES)、IMSIの一部に対応して記憶された宛先情報で示されるMVNOの末端認証制御管理装置に接続認証要求を転送する(ステップS52)。他方、無線通信端末認証制御装置30が、IMSIの一部が認証情報管理装置420に記憶されていないと判定したとき(ステップS51、NO)、接続認証要求に含まれるドメイン名で示される宛先情報で特定されるMNOの認証制御管理装置に接続認証要求が転送される(ステップS53)。ステップS52以降の手順は、第3実施形態の図14のステップS22と同様である。なお、第6実施形態における無線通信処理の概略手順については、第3実施形態において説明した図14の手順と同様であるため、図示及び説明を省略する。
以上、第6実施形態によれば、認証情報管理装置420において、数十万人分のIMSIを構成する全桁を確認する必要もなくなるため、検索の負荷が軽減されるという効果がある。
[第7実施形態]
次に、本発明の第7実施形態における無線通信端末認証制御装置30を含む無線通信制御システムの概略構成について図27を参照して説明する。なお、第1実施形態等と重複する説明は省略し、第7実施形態において初めて登場する構成を主として説明する。
第7実施形態においては、認証情報管理装置430がIMSIだけでなく、所定の条件で無線通信端末の利用を制限する利用制限情報を記憶する点が第1実施形態等と異なっている。
すなわち、第7実施形態における認証情報管理装置430は、SIMカードに記憶されるIMSIと、SIMカードを用いた無線通信端末10の無線ネットワークを介した通信サービスの利用を制限する利用制限情報とを対応させて記憶する。そして、第7実施形態における無線通信端末認証制御装置30は、接続認証要求に含まれる無線通信端末10のIMSIが、認証情報管理装置430に記憶されていた場合、AP20に、IMSIに対応して認証情報管理装置430に記憶されている利用制限情報を送信する。
次に、認証情報管理装置430に記憶されるIMSI及び利用制限情報について図28を参照して説明する。ここでは、利用制限情報として、無線通信端末10を使用する際の「最大速度」、「時間帯」、「データ量」、「回線種別」、「アプリ種別」を採用しているが、これら以外の利用制限情報であってもよい。なお、図27における「ALL」は制限なしであることを意味する。
図28においては、上段から、IMSI「440101234567890」に対応して、全ての利用制限情報が「ALL」として記憶され、IMSI「440100123456789」に対応して最大速度「1.0Mbps」、時間帯「14−16」、データ量「2.5Gb」、回線種別「WPAonly」、アプリ種別「動画サイト禁止」が記憶され、IMSI「440100736067599」に対応して最大速度「ALL」、時間帯「9−11/14−17」、データ量「ALL」、回線種別「ALL」、アプリ種別「ALL」が記憶され、IMSI「440101234567890」に対応して最大速度「10.0Mbps」、時間帯「ALL」、データ量「ALL」、回線種別「EAPonly」、アプリ種別「SNSのみ」が記憶されている。無線通信端末認証制御装置30は、AP20から接続認証要求を受信した際、接続認証要求に含まれるユーザ識別情報から抽出したIMSIが認証情報管理装置430に記憶されていた場合、当該IMSIに対応するこれらの利用制限情報をAP20へ送信する。
次に、AP20のセッション管理部24で管理される管理情報の例について図29を参照して説明する。本図は、第1実施形態の図4に、無線通信端末認証制御装置30から送信された利用制限情報を対応する無線通信端末10のMACアドレスに加えたものであるため、ここでの詳細な説明は省略する。つまり、接続認証要求を行った無線通信端末10に割り当てられたMACアドレスに対応して、その接続認証要求から抽出したIMSIに対応して記憶された利用制限情報を、AP20が無線通信端末認証制御装置30から受信して、記憶する。
以上、第7実施形態によれば、AP20は、認証制御の際、無線通信端末認証制御装置30から利用制限情報を受信して、これをセッション管理部24において記憶することにより、ユーザ認証だけでなく、ユーザ毎に個別に利用制限をかけることが可能となる。
[第8実施形態]
次に、本発明の第8実施形態における無線通信端末認証制御装置30を含む無線通信制御システムの概略構成について図30を参照して説明する。なお、第3実施形態等と重複する説明は省略し、第8実施形態において初めて登場する構成を主として説明する。
第8実施形態においては、認証制御においてMVNOの末端認証制御管理装置とMNOの認証制御管理装置の両方を用いる点を特徴とする。図30は、第3実施形態における図11に、A社認証サーバ61及びA社認証DB62、並びにB社認証サーバ71及びB社認証DB72を加えたものである(ただし、これらは第3実施形態において図示上の便宜により省略していたにすぎない)。第8実施形態では、無線通信端末認証制御装置30’が第3実施形態等における無線通信端末認証制御装置30と異なる機能を有する。
すなわち、無線通信端末認証制御装置30’は、認証情報管理装置400に記憶されていると判定したIMSIを含む接続認証要求を、IMSIに対応して記憶された宛先情報で示されるMVNOの末端認証制御管理装置に転送し、末端認証制御管理装置において転送されたIMSIが認証される。その後、無線通信端末認証制御装置30’は、接続認証要求に含まれる宛先情報で示されるユーザ認証制御を管理するMNOの認証制御管理装置に末端認証制御管理装置で認証されたIMSIを含む接続認証要求を転送する。
第8実施形態における認証情報管理装置400及び末端DBにIMSI等が記憶されることについては第3実施形態と同様であるため説明を省略する。
次に、第8実施形態における処理手順について図31を参照して説明する。なお、第3実施形態の図14で説明した処理手順と重複する手順については説明を省略する。すなわち、第8実施形態では、ステップS21で、無線通信端末認証制御装置30により、認証情報管理装置400にIMSIが記憶されていると判定された後、記憶されたIMSIに対応した宛先情報で特定されるMVNOの末端認証制御管理装置に接続認証要求が転送された後の手順が第3実施形態と異なっている。
宛先情報で特定されたMVNOの末端認証制御管理装置は、接続認証要求に含まれるIMSIについて認証がOKかNGかを判定する(ステップS61)。末端認証制御管理装置において認証OKと判定されたとき(ステップS61、YES)、その判定結果を受けた無線通信端末認証制御装置30は、次に、接続認証要求に含まれるドメイン名で示される宛先情報で特定されるMNOの認証制御管理装置に接続認証要求を転送する(ステップS62)。他方、末端認証制御管理装置において認証NGと判定されたとき(ステップS61、NO)、無線通信端末認証制御装置30は接続拒否メッセージをAP20に送信する(ステップS65)。
一方、接続認証要求を受信したMNOの認証制御管理装置は、接続認証要求に含まれるIMSIについて認証がOKかNGかを判定する(ステップS63)。認証制御管理装置において認証OKと判定されたとき(ステップS63、YES)、無線通信端末認証制御装置30は接続許可メッセージをAP20に送信する。他方、認証制御管理装置において認証NGと判定されたとき(ステップS63、NO)、無線通信端末認証制御装置30は接続拒否メッセージをAP20に送信する(ステップS65)。
第8実施形態における無線通信処理の概略手順について図32を参照して説明する。なお、第3実施形態の図15で示した手順と重複する手順については説明を省略する。つまり、ここでは、無線通信端末認証制御装置30により、認証情報管理装置400にIMSIが記憶されているか否かが判定された[4]後の手順が第3実施形態等と異なっている。ここで、A社認証DB62又はB社認証DB72に無線通信端末10のIMSIが記憶されているものとする。
無線通信端末認証制御装置30は、認証情報管理装置400にIMSIが記憶されていると判定した場合に、記憶されたIMSIに対応する宛先情報で特定されるMVNOの末端認証制御管理装置であるC社認証サーバ83又はD社認証サーバ93に接続認証要求を転送する[51]。
C社認証サーバ83又はD社認証サーバ93は、C社末端DB82又はD社末端DB92にIMSIが記憶されているか否かを判定し[52]、判定結果を得る[53]。その後、C社認証サーバ83又はD社認証サーバ93は得た判定結果を無線通信端末認証制御装置30に返答する[54]。ここでは、末端DB82又は末端DB92には、無線通信端末10のIMSIが記憶されているので、認証OKの判定結果を得る。
その後、無線通信端末認証制御装置30は、C社認証サーバ83又はD社認証サーバ93から認証OKの判定結果を受信すると、接続認証要求に含まれるユーザ識別情報のドメイン名で示されるA社認証サーバ61又はB社認証サーバ71に接続認証要求を転送する[55]。そして、A社認証サーバ61又はB社認証サーバ71はA社認証DB62又はB社認証DB72を参照してIMSIに基づいた認証制御を行い[56]、認証結果を受け取る[57]。ここでは、A社認証DB62又はB社認証DB72に無線通信端末10のIMSIが記憶されているので、A社認証サーバ61又はB社認証サーバ71は、認証OKの判定結果を無線通信端末認証制御装置30に返答する[58]。無線通信端末認証制御装置30は、判定結果を基に、接続可否判定結果のメッセージをAP20に返答する[5]。ここでは、認証OKの判定結果を基に、接続許可メッセージをAP20に返答する。これ以降は第3の実施形態の図15と同様である。
以上、第8実施形態によれば、MVNOの末端認証制御管理装置およびMNOの認証制御管理装置の両方に認証処理をさせるため、本人認証の確実性を向上させることが可能になる。なお、上述した第8実施形態の説明においては、MVNOの末端認証制御管理装置に先に認証処理をさせ、その後にMNOの認証制御管理装置に認証させることとしているが、これに限定されず、MNOの認証制御管理装置に先に認証処理をさせ、その後にMVNOの末端認証制御管理装置に認証処理をさせることとしてもよい。
なお、上述する各実施の形態は、本発明の好適な実施の形態であり、本発明の要旨を逸脱しない範囲内において種々変更実施が可能である。例えば、上述した本実施形態における各処理を、ハードウェア、又は、ソフトウェア、あるいは、両者の複合構成を用いて実行することも可能である。
なお、ソフトウェアを用いて処理を実行する場合には、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれているコンピュータ内のメモリにインストールして実行させることが可能である。あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。
10 無線通信端末
11 端末無線通信部
12 端末認証要求部
13 SIMカード
14 アプリケーション実行部
20 AP
21 AP無線通信部
22 端末認証サーバ
23 接続認証要求部
24 セッション管理部
30 無線通信端末認証制御装置
40、400、410、420、430 認証情報管理装置
41 事業者DB
50 出荷システム
61 A社認証サーバ
62 A社認証DB
71 B社認証サーバ
72 B社認証DB
81、91 出荷システム
82、92 末端DB
83 C社認証サーバ
93 D社認証サーバ
201 E社認証サーバ
202 E社認証DB202
301 F社認証サーバ
302 F社認証DB

Claims (10)

  1. 通信事業者から仕入れ仮想移動体通信事業者が提供する認証媒体を用いて、前記通信事業者のネットワークとは通信方式の異なる無線通信ネットワークのアクセスポイントからネットワークに接続する無線通信端末の認証を制御する認証制御システムであって、
    前記アクセスポイントと、
    前記ネットワークへの接続を許可する前記無線通信端末のユーザ識別情報を記憶する認証情報管理装置と、
    前記無線通信端末に搭載されている認証媒体に含まれるユーザ識別情報が前記認証情報管理装置に記憶されているか否かを判定する認証制御装置と、
    を備え、
    前記アクセスポイントは、
    前記ネットワークへの接続を許可した前記無線通信端末の端末識別情報を記憶する記憶手段を備え、
    前記無線通信端末の前記ネットワークへの無線通信接続要求に含まれる端末識別情報が前記記憶手段に記憶されているか否かを判定し、当該端末識別情報が前記記憶手段に記憶されていないと判定したとき、前記無線通信端末から前記ユーザ識別情報を取得し、前記ユーザ識別情報を含む接続認証要求を前記認証制御装置に送信し、
    前記認証制御装置は、
    前記接続認証要求を受信した場合、受信した前記接続認証要求に含まれる当該ユーザ識別情報が前記認証情報管理装置に記憶されているか否かを判定し、前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信し、
    前記アクセスポイントは、
    前記認証制御装置から前記接続可否判定結果として接続許可を受信した場合、接続許可と判定された前記無線通信端末の端末識別情報を前記記憶手段に記憶し、前記無線通信端末を前記ネットワークへ接続することを特徴とする無線通信端末認証制御システム。
  2. 前記認証制御装置は、
    前記ユーザ識別情報が前記認証情報管理装置に記憶されていると判定したとき、前記無線通信端末の前記ネットワークへの接続を許可する接続許可を前記アクセスポイントに送信し、
    前記ユーザ識別情報が前記認証情報管理装置に記憶されていないと判定したとき、前記認証情報管理装置にユーザ識別情報が記憶されていないと判定された接続認証要求を、該接続認証要求に含まれる宛先情報で示されるユーザ認証制御を管理する所定の通信事業者の認証制御管理装置へ転送し、前記所定の通信事業者の認証制御管理装置から受信した認証の判定結果を基に前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信することを特徴とする請求項1記載の無線通信端末認証制御システム
  3. 前記認証情報管理装置は、前記仮想移動体通信事業者によるユーザ認証制御を管理する末端認証制御管理装置の宛先情報と、前記認証媒体に記憶されるユーザ識別情報とを対応させて記憶し、
    前記認証制御装置は、前記ユーザ識別情報が前記認証情報管理装置に記憶されていると判定したとき、前記認証情報管理装置に記憶されていると判定されたユーザ識別情報を含む接続認証要求を、該ユーザ識別情報に対応して記憶された宛先情報で示される前記末端認証制御管理装置に転送し、前記末端認証制御管理装置から受信した認証の判定結果を基に前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信することを特徴とする請求項1記載の無線通信端末認証制御システム
  4. 所定の通信事業者を識別する事業者識別情報を記憶する事業者識別情報記憶装置をさらに備え、
    前記認証制御装置は、前記ユーザ識別情報に含まれる事業者識別情報が前記事業者識別情報記憶装置に記憶されているとき、該ユーザ識別情報が前記認証情報管理装置に記憶されているか否かを判定することを特徴とする請求項1又は2に記載の無線通信端末認証制御システム
  5. 前記認証情報管理装置は、前記認証媒体に記憶されるユーザ識別情報に基づいて、前記仮想移動体通信事業者によるユーザ認証制御を管理する末端認証制御管理装置におけるユーザ認証に用いるユーザIDと認証パスワードを生成し、該生成されたユーザID及び認証パスワードを前記ユーザ識別情報に対応させて記憶し、
    前記認証制御装置は、前記ユーザ識別情報が前記認証情報管理装置に記憶されていると判定したとき、前記認証情報管理装置に記憶された、前記ユーザ識別情報に対応するユーザID及び認証パスワードを、該ユーザIDに含まれる宛先情報で示される前記末端認証制御管理装置に転送し、前記末端認証制御管理装置から受信した認証の判定結果を基に前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信することを特徴とする請求項に記載の無線通信端末認証制御システム
  6. 前記認証情報管理装置は、前記仮想移動体通信事業者によるユーザ認証制御を管理する末端認証制御管理装置の宛先情報と、前記認証媒体に記憶されるユーザ識別情報に含まれる一部の文字列とを対応させて記憶し、
    前記認証制御装置は、前記ユーザ識別情報に含まれる一部の文字列が前記認証情報管理装置に記憶されていると判定したとき、前記認証情報管理装置に記憶されていると判定された前記文字列を含むユーザ識別情報を含む接続認証要求を、前記文字列に対応して記憶された宛先情報で示される前記末端認証制御管理装置に転送し、前記末端認証制御管理装置から受信した認証の判定結果を基に前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信することを特徴とする請求項1に記載の無線通信端末認証制御システム
  7. 前記認証制御装置は、前記認証情報管理装置に記憶されていると判定したユーザ識別情報を含む接続認証要求を、該ユーザ識別情報に対応して記憶された宛先情報で示される前記末端認証制御管理装置に転送し、前記末端認証制御管理装置において前記転送されたユーザ識別情報が認証された後、前記接続認証要求に含まれる宛先情報で示されるユーザ認証制御を管理する所定の通信事業者の認証制御管理装置に前記末端認証制御管理装置で認証されたユーザ識別情報を含む接続認証要求を転送し、前記所定の通信事業者の認証制御管理装置から受信した認証の判定結果を基に前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信することを特徴とする請求項3、5、6の何れか1項に記載の無線通信端末認証制御システム
  8. 前記認証媒体とはSIMカードであり、
    前記認証情報管理装置に記憶されたユーザ識別情報は、前記仮想移動体通信事業者が通信事業者から仕入れユーザに提供したSIMカードに記憶されるユーザ識別情報が出荷システムにより登録されたものであることを特徴とする請求項1から7の何れか1項に記載の無線通信端末認証制御システム。
  9. 前記通信事業者のネットワークとは携帯電話のネットワークであり、前記通信方式の異なる無線通信ネットワークとは無線LANであり、
    前記認証制御装置は、前記接続認証要求を受信した場合、受信した前記接続認証要求に含まれる当該ユーザ識別情報に無線LANを示す情報が含まれているか否か確認し、
    当該ユーザ識別情報に無線LANを示す情報が含まれている場合、当該ユーザ識別情報が前記認証情報管理装置に記憶されているか否かを判定し、
    当該ユーザ識別情報に無線LANを示す情報が含まれていない場合、当該ユーザ識別情報に含まれる宛先を基に、所定の通信事業者の認証制御管理装置へ前記接続認証要求を転送することを特徴とする請求項1から8の何れか1項に記載の無線通信端末認証制御システム。
  10. 通信事業者から仕入れ仮想移動体通信事業者が提供する認証媒体を用いて、前記通信事業者のネットワークとは通信方式の異なる無線通信ネットワークのアクセスポイントからネットワークに接続する無線通信端末の認証を制御し、前記アクセスポイントと、前記ネットワークへの接続を許可する前記無線通信端末のユーザ識別情報を記憶する認証情報管理装置と、前記無線通信端末に搭載されている認証媒体に含まれるユーザ識別情報が前記認証情報管理装置に記憶されているか否かを判定する認証制御装置と、を備える認証制御システムが行う無線通信端末認証制御方法であって、
    前記アクセスポイントが、前記ネットワークへの接続を許可した前記無線通信端末の端末識別情報を記憶するステップと、
    前記アクセスポイントが、前記無線通信端末の前記ネットワークへの無線通信接続要求に含まれる端末識別情報が当該アクセスポイントに記憶されているか否かを判定し、当該端末識別情報が当該アクセスポイントに記憶されていないと判定したとき、前記無線通信端末から前記ユーザ識別情報を取得し、前記ユーザ識別情報を含む接続認証要求を前記認証制御装置に送信するステップと、
    前記認証制御装置が、前記接続認証要求を受信した場合、受信した前記接続認証要求に含まれる当該ユーザ識別情報が前記認証情報管理装置に記憶されているか否かを判定し、前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信するステップと、
    前記アクセスポイントが、前記認証制御装置から前記接続可否判定結果として接続許可を受信した場合、接続許可と判定された前記無線通信端末の端末識別情報を当該アクセスポイントに記憶し、前記無線通信端末を前記ネットワークへ接続するステップと、を含むことを特徴とする無線通信端末認証制御方法。
JP2015047702A 2015-03-10 2015-03-10 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム Active JP6177266B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015047702A JP6177266B2 (ja) 2015-03-10 2015-03-10 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015047702A JP6177266B2 (ja) 2015-03-10 2015-03-10 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2017134422A Division JP6503420B2 (ja) 2017-07-10 2017-07-10 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム

Publications (2)

Publication Number Publication Date
JP2016167238A JP2016167238A (ja) 2016-09-15
JP6177266B2 true JP6177266B2 (ja) 2017-08-09

Family

ID=56897638

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015047702A Active JP6177266B2 (ja) 2015-03-10 2015-03-10 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム

Country Status (1)

Country Link
JP (1) JP6177266B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6934762B2 (ja) * 2017-07-04 2021-09-15 株式会社ソラコム 機器をリモートで管理するための装置、方法及びそのためのプログラム
JP6503420B2 (ja) * 2017-07-10 2019-04-17 ビッグローブ株式会社 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム
JP7232366B1 (ja) 2022-03-29 2023-03-02 Kddi株式会社 情報処理装置、情報処理システム及び情報処理方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2943694B2 (ja) * 1996-05-10 1999-08-30 日本電気株式会社 データ登録方式およびデータ検索方式
JP3769533B2 (ja) * 2002-11-29 2006-04-26 Necインフロンティア株式会社 無線lan通信方法及びシステム
JP5186106B2 (ja) * 2006-12-20 2013-04-17 ソフトバンクモバイル株式会社 サービス提供システム、サービス提供方法、およびサービス提供プログラム
JP5289104B2 (ja) * 2009-03-05 2013-09-11 三菱電機株式会社 認証先選定システム
JP4769317B2 (ja) * 2009-07-29 2011-09-07 株式会社エヌ・ティ・ティ・ドコモ 交換機、メッセージ送信システム及びメッセージ送信方法
JP5319456B2 (ja) * 2009-08-20 2013-10-16 キヤノン株式会社 通信システム、その制御方法、基地局装置及びプログラム
JP5573113B2 (ja) * 2009-11-09 2014-08-20 日本電気株式会社 認証代行サーバ装置、認証代行方法及びプログラム
JP2011175394A (ja) * 2010-02-24 2011-09-08 Fujifilm Corp シングル・サインオン・システムを構成するウェブ・サーバならびにその動作制御方法およびその動作制御プログラム
GB2494710B (en) * 2011-09-19 2015-06-24 Truphone Ltd Managing mobile device identities
JP5645891B2 (ja) * 2012-07-30 2014-12-24 ビッグローブ株式会社 ソフトウェア提供システム、ポータルサーバ、提供サーバ、認証方法、提供方法およびプログラム
JP6028559B2 (ja) * 2012-12-20 2016-11-16 凸版印刷株式会社 端末装置、及びサービス機能実装方法
JP2015019154A (ja) * 2013-07-09 2015-01-29 日商エレクトロニクス株式会社 加入者情報管理方法、加入者情報管理システム及びセンサデータ収集システム

Also Published As

Publication number Publication date
JP2016167238A (ja) 2016-09-15

Similar Documents

Publication Publication Date Title
CN110800331B (zh) 网络验证方法、相关设备及系统
EP3319293B1 (en) Cross-terminal login-free method and device
US9197639B2 (en) Method for sharing data of device in M2M communication and system therefor
US8677451B1 (en) Enabling seamless access to a domain of an enterprise
US8196188B2 (en) Systems and methods for providing network credentials
CN101032142B (zh) 通过接入网单一登录访问服务网络的装置和方法
CN101836474B (zh) 自配置小型基站
US8191124B2 (en) Systems and methods for acquiring network credentials
CN105052184B (zh) 控制用户设备对服务接入的方法、设备及控制器
US9113332B2 (en) Method and device for managing authentication of a user
US20150103678A1 (en) Identification of user home system in a distributed environment
CN108293055A (zh) 用于认证到移动网络的方法、设备和系统以及用于将设备认证到移动网络的服务器
CN102857517B (zh) 认证方法、宽带远程接入服务器以及认证服务器
JP6177266B2 (ja) 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム
KR101357669B1 (ko) 위치 기반 네트워크 접속 시스템 및 방법
JP6503420B2 (ja) 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム
CN107135506A (zh) 一种portal认证方法、装置及系统
KR102393500B1 (ko) 로그인 시스템 및 인증 방법
US11108832B2 (en) Network component selection based on device identifier
CN109863790A (zh) 蜂窝网络辅助的wlan发现和选择
WO2016090927A1 (zh) 实现共享waln管理的方法、系统及wlan共享注册服务器
WO2016061980A1 (zh) 实现wlan共享的方法、系统和wlan共享注册服务器
US10165126B2 (en) Method for securing a transaction between a mobile terminal and a server of a service provider through a platform
CN110784447B (zh) 跨协议实现无感知认证的方法
CN113015095A (zh) 一种匹配终端与upf的方法及系统

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20161212

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170404

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170524

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170613

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170711

R150 Certificate of patent or registration of utility model

Ref document number: 6177266

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250