以下、図面を参照しながら本発明の実施形態について説明する。
図1は、本発明の一実施形態に係る通信システムの一例を示す概略構成図である。
本実施形態の通信システムでは、利用者の携帯電話機やスマートフォンなどの通信端末装置10が、ファストフード店や駅構内などに設けられた無線LANの中継装置(以下「アクセスポイント」という。)20の無線通信可能エリア20A内に位置するとき、無線LAN通信機能を有する通信端末装置10からアクセスポイント20を介して通信ネットワークに接続することができる。アクセスポイント20は、通信端末装置10と無線通信可能なWi−Fi(登録商標)などの無線LANの中継装置であり、バックボーンネットワーク30及びゲートウェイ(GW)35を介して、認証処理装置としての認証サーバ40、ポリシー管理装置としてのポリシーサーバ50、外部の通信ネットワークとしてのインターネット90等に接続されている。
なお、図1では、1台の通信端末装置10について図示しているが、通信端末装置10は2台以上であってもよい。また、図1において、本実施形態の通信端末装置10は、セルラー方式の移動体通信ネットワークを介して通信可能な携帯電話機やスマートフォンなどの携帯可能な移動体通信端末であるが、通信ネットワークを介して通信可能なものであれば移動体通信端末以外の通信端末装置であってもよい。例えば、本実施形態の通信端末装置10は、ノートパソコンなどのパソコン装置、ゲーム機、タブレット端末、デジタルカメラ、プリンタ、書籍閲覧端末等の、通信機能を有する装置であってもよい。また、本実施形態の通信端末装置は、ネットワーク連携可能な家電(例えば、TV、冷蔵庫、録画機器)、時計や眼鏡などのウェアラブルデバイス、体重計や血圧計及びその他医療機器、ロボット等の、通信機能を有する装置であってもよい。
また、本実施形態の通信システムでは、通信端末装置10がマクロセルやスモールセルなどの移動体通信(以下「セルラー通信」ともいう。)のセル60A内に在圏するとき、第3世代(3G)、LTE(Long Term Evolution)、LTE−Advanced、第4世代(4G)、第5世代(5G)などの規格に準拠したセルラー通信のマクロセル基地局やスモールセル基地局などの基地局60を介して、セルラー通信機能を有する通信端末装置10から通信ネットワークに接続することができる。基地局60は、通信端末装置10と無線通信可能な中継装置であり、コアネットワーク70及びゲートウェイ(GW)75を介して、図示しない各種サーバやインターネット90等に接続されている。
アクセスポイント20は、例えばIEEE802.11の規格に準拠したWi−Fiなどの無線LANの無線通信方式により、無線通信可能エリア20A内の通信端末装置10と無線通信し、通信端末装置10と通信ネットワークとの間の通信を中継することができる。
認証サーバ40は、通信サービスに加入している加入者の各種情報が格納された加入者データベース(DB)45が接続された、例えばRADIUS(Remote Authentication Dial In User Service)サーバである。認証サーバ40は、通加入者データベース45に格納されている情報を参照して、通信端末装置10から通信ネットワークに接続するときのWISPr(Wireless Internet Service Provider Roaming)認証やEAP(Extensible Authentication Protocol)認証などによる認証処理を行うサーバである。認証サーバ40は、ポリシーサーバ50と通信する機能を有する。また、認証サーバ40は、バックボーンネットワーク30及びゲートウェイ(GW)35を介してアクセスポイント20と通信する機能や、そのアクセスポイント20を介して通信端末装置10と通信する機能を有する。
加入者データベース45に格納されている情報は、例えば、利用者識別情報(利用者ID)、パスワード、加入者識別情報、氏名や住所などの利用者情報、利用可能なサービスに関する情報、使用している通信端末装置の情報などである。
ポリシーサーバ50は、アクセスポイント20を介した通信端末装置10と通信ネットワークとの通信に関する通信ポリシー情報が格納されたポリシーデータベース(DB)55が接続され、複数のアクセスポイント20の通信ポリシー情報を管理するサーバである。ポリシーサーバ50は、認証サーバ40と通信する機能を有する。また、ポリシーサーバ50は、バックボーンネットワーク30及びゲートウェイ(GW)35を介してアクセスポイント20と通信する機能や、そのアクセスポイント20を介して通信端末装置10と通信する機能を有してもよい。
ポリシーサーバ50は、例えば認証サーバ40や通信端末装置10などの外部装置からの問い合わせを受けて、要求された通信ポリシー情報を提供する機能も有する。ポリシーサーバ50は、問い合わせ対象のアクセスポイント20に関する通信ポリシー情報そのものを提供せずに、その通信ポリシー情報に基づいて問い合わせ対象のアクセスポイント20への接続が可能か否かを判断し、その判断結果を含むアクセスポイント20への接続可否情報を提供するようにしてもよい。
ポリシーデータベース55に格納されている通信ポリシー情報は、例えば、アクセスポイント20の1台ごとにユニークに設定されたアクセスポイント識別情報(例えば、BSSID:Basic Service Set Identifier)、アクセスポイント20の種類を識別可能なアクセスポイント種別情報(例えば、ESSID:Extended Service Set Identifier )、通信端末装置10からアクセスポイント20への接続が許可又は禁止された時間帯、アクセスポイント20を介した通信経路確立処理時のタイムアウト時間、アクセスポイント20に接続するときの通信端末装置10における受信信号強度(例えば、RSSI:Received Signal Strength Indicator)の閾値などである。ポリシーサーバ50が通信ポリシー情報に関する問い合わせを通信端末装置10から受ける場合、ポリシーデータベース55に格納される通信ポリシー情報は、通信端末装置10の利用者に関する利用者識別情報(利用者ID)及びパスワードを含んでもよい。
認証サーバ40、加入者データベース45、ポリシーサーバ50及びポリシーデータベース55はそれぞれ、例えば単一のコンピュータ装置で構成したり複数のコンピュータ装置を組み合わせて構成したりすることができ、予め組み込まれた所定のプログラムが実行されることにより、各種処理や制御を実行することができる。また、認証サーバ40及び加入者データベース45を1台のコンピュータ装置で構成し、ポリシーサーバ50及びポリシーデータベース55を1台のコンピュータ装置で構成してもよい。また、認証サーバ40、加入者データベース45、ポリシーサーバ50及びポリシーデータベース55を1台のコンピュータ装置で構成してもよい。
本実施形態において、認証サーバ40及びポリシーサーバ50はそれぞれ、所定のプログラムが実行されることにより、次のような各手段としての機能を実現可能である。
例えば、認証サーバ40は、所定のプログラムが実行されることにより、次の(A401)〜(A411)に示す各手段として機能する。
(A401)通信端末装置10の利用者を識別可能な利用者識別情報(利用者ID)を含む認証要求、又は、利用者識別情報(利用者ID)と通信端末装置10が接続するアクセスポイント20を識別可能なアクセスポイント識別情報(例えば、BSSID)とを含む認証要求を、通信端末装置10から受信する手段。
(A402)認証要求に含まれる利用者識別情報(利用者ID)に基づいて、通信端末装置10の利用者によるアクセスポイント20を介した通信の許否を判断する利用者認証処理を行う手段。
(A403)アクセスポイント識別情報を含むポリシー確認要求をポリシーサーバ50に送信する手段。
(A404)アクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定されたアクセスポイント20への接続可否情報(例えば、0:接続不可、1:接続可のフラグデータ)を含むポリシー確認応答を、ポリシーサーバ50から受信する手段。
(A405)前記利用者認証処理の結果と、ポリシー確認応答に含まれる通信ポリシー情報又は接続可否情報とに基づいて、前記認証要求に対する認証応答を通信端末装置10に送信する手段。
(A406)前記利用者認証処理の結果を含む認証応答を通信端末装置10に送信する手段。
(A407)前記通信ポリシー情報を記憶する手段。
(A408)ポリシーサーバ50から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段。
(A409)アクセスポイント識別情報に基づいて、アクセスポイント20に対する通信ポリシー情報を検索して取得する手段。
(A410)アクセスポイント20に対する通信ポリシー情報に基づいて、アクセスポイント20への接続可否を判定する手段。
(A411)前記利用者認証処理の結果と、アクセスポイント識別情報に基づいて検索して得られたアクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定したアクセスポイント20への接続可否情報とを含む、前記認証要求に対する認証応答を、通信端末装置10に送信する手段。
一方、ポリシーサーバ50は、所定のプログラムが実行されることにより、次の(A501)〜(A505)の各手段として機能する。
(A501)アクセスポイント識別情報を含むポリシー確認要求を、認証サーバ40、通信端末装置10、アクセスポイント20又は後述のAP管理サーバ80から受信する手段。
(A502)ポリシー確認要求に含まれるアクセスポイント識別情報に基づいて、アクセスポイント20に対する通信ポリシー情報を検索して取得する手段。
(A503)アクセスポイント20に対する通信ポリシー情報に基づいてアクセスポイント20への接続可否を判定する手段。
(A504)ポリシー確認要求に含まれるアクセスポイント識別情報に基づいて検索して得られたアクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定したアクセスポイント20への接続可否情報を含むポリシー確認応答を、認証サーバ40、通信端末装置10、アクセスポイント20又は後述のAP管理サーバ80に送信する手段。
(A505)更新対象の通信ポリシー情報を、認証サーバ40、アクセスポイント20又は後述のAP管理サーバ80に送信する手段。
図2は、本発明の一実施形態に係る通信端末装置10のハードウェア構成の一例を示すブロック図である。本実施形態の通信端末装置10は、主制御部110と無線通信部111とベースバンド処理部112と音入出力部113と表示部114と操作手段としての操作部115とを備える。また、通信端末装置10は、装置本体に対して着脱可能な加入者情報記憶媒体であるICモジュールとしてのUSIM15が装着されている。
主制御部110は、MPU(Micro Processing Unit)やRAM、ROM等からなる記憶装置を備え、所定の基本OSやミドルウェア等のプログラムが実行されることにより、ベースバンド処理部112等の各部を制御したり、ソフトウェア構成上のネイティブプラットフォーム環境やアプリケーション実行環境を構築したりする。
主制御部110の記憶装置は、例えば、半導体メモリ、磁気ディスク装置、及び光ディスク装置のうちの少なくともいずれか一つを有する。この記憶装置は、各部での処理に用いられるドライバプログラム、オペレーティングシステムプログラム、アプリケーションプログラム、データ等を記憶する。例えば、記憶装置は、ドライバプログラムとして、IEEE802.11規格の無線通信方式や移動体通信(セルラー通信)の無線通信方式を実行する通信ドライバプログラム、操作部115を制御する入力デバイスドライバプログラム、表示部114を制御する出力デバイスドライバプログラム等を記憶する。また、記憶装置は、オペレーティングシステムプログラムとして、例えば、Android(登録商標)OS、iOS(登録商標)等の基本OSや、IEEE802.11規格の無線通信方式や移動体通信(セルラー通信)の無線通信方式での認証等を行う接続制御プログラム等を記憶する。また、記憶装置は、アプリケーションプログラムとして、ウェブ認証を行う認証プログラム、時間を計時する計時プログラム、ウェブページを取得及び表示するウェブブラウザプログラム、電子メールを送信及び受信する電子メールプログラム等を記憶する。また、記憶装置は、各種のテキストデータ、映像データ、画像データ等を記憶したり、所定の処理に係る一時的なデータを一時的に記憶したりしてもよい。また、記憶装置は、無線LANのアクセスポイントに接続するための各種情報を記憶している。
無線通信部111は、無線LANのアクセスポイント20を介して通信する無線LAN通信手段及びセルラー通信の基地局60を介して通信する移動体通信手段として機能し、例えばシンセサイザ、周波数変換器,高周波増幅器、アンテナなどにより構成されている。無線通信部111は、アクセスポイント20との間でIEEE802.11等の所定の通信方式により無線通信するための高周波信号処理を実行したり、基地局60との間で3GやLTEなどの所定の通信方式により無線通信するための高周波信号処理を実行する。
ベースバンド処理部112は、他の携帯電話機等の通信端末装置や各種サーバとの間で音声通信やデータ送受信の通信を行うためのデジタル処理を実行する。このベースバンド処理部112と上記無線通信部111との間はD/A変換器やA/D変換器を介して接続されている。
音入出力部113は、マイク、スピーカ、音信号処理部等で構成されている。マイクから出力されるアナログの音声信号は、音信号処理部でデジタル信号に変換され、主制御部110やベースバンド処理部112等に送られる。スピーカは、音信号処理部でデジタル信号から変換されたアナログ信号が入力され、通話中の音声を出力したり、メールの着信音、電話の呼び出し音、音楽などを出力したりする。なお、スピーカは、通話中の音声を聞くための受話器用スピーカ(レシーバ)と、着信音や音楽などを出力する外部出力用スピーカとを別々に設けて構成してもいいし、これらの受話器用スピーカ及び外部出力用スピーカを兼用するように一つのスピーカで構成してもよい。
表示部114は、LCD(液晶ディスプレイ)や有機EL(Electro−Luminescence)ディスプレイ等で構成され、主制御部110からの指令に基づいて各種画像を表示する。例えば、表示部114は、Wi−Fi等の無線LAN接続の状況を示す画像を表示するようにしてもよい。
操作部115は、表示部114に組み込まれたタッチパネルや、各種の操作キーやボタン、電源ON/OFF手段としての電源スイッチなどで構成されている。この操作部115は、利用者が、通信端末装置10の本体電源をON/OFFしたり、通話開始、終話、メニュー選択、画面切り換え等を指示したり、情報を入力したりするときに用いられる。
また、通信端末装置10は、位置情報取得手段としてのGPS(Global Positioning System)部117、撮像手段としてのカメラ部118、センサー部119、電源供給手段としての電源供給部120、図示しない時計部等も備えている。
GPS部117は、GPS受信モジュールやGPSアンテナ等で構成され、地球の周りに配置されている複数のGPS衛星から電波を受信し、その受信結果に基づいて通信端末装置10が位置する緯度、経度及び高度のデータを算出する。
カメラ部118は、レンズや撮像デバイス等で構成され、人物や風景等を撮影する時に用いられる。撮像デバイスとしては、CCD(Charge Coupled Device)カメラやCMOSカメラを用いることができる。
センサー部119は、加速度センサー及び/又は地磁気センサー等で構成されている。加速度センサーは、1軸の加速度センサーであっていいし、2軸や3軸等の複数軸の加速度センサーであってもよい。また、地磁気センサーも、1軸の地磁気センサーであっていいし、2軸や3軸等の複数軸の地磁気センサーであってもよい。このセンサー部119の出力に基づいて、通信端末装置10の位置、向き、姿勢及び動きを示すデータを算出することができる。また、センサー部119の出力に基づいて、所定高度における基準位置から利用者の通信端末装置10が移動したときの加速度データや地磁気データの時間変化の情報である履歴情報から、通信端末装置10が位置している高度、角度等を示すデータを算出することができる。
電源供給部120は、充電可能なバッテリー、バッテリーから各部に所定電圧の電力を供給する電力供給回路、バッテリーを充電する充電回路などを備えている。時計部はクロック回路等で構成され、正確な日時を計数し、各種情報の更新処理等のための時刻情報を生成する。
本実施形態において、通信端末装置10の主制御部110は、所定のプログラムが実行されることにより、他の無線通信部111などと協働して次のような各手段としての機能を実現可能である。
例えば、通信端末装置10の主制御部110は、所定のプログラムが実行されることにより、次の(A101)〜(A108)の各手段として機能する。
(A101)通信端末装置10の利用者を識別可能な利用者識別情報(利用者ID)を含む認証要求を認証サーバ40に送信する手段。
(A102)利用者識別情報(利用者ID)に基づいて行われた利用者認証処理の結果を含む認証応答を、認証サーバ40から受信する手段。
(A103)通信端末装置10が接続するアクセスポイント20を識別可能なアクセスポイント識別情報を含むポリシー確認要求をポリシーサーバ50に送信する手段。
(A104)アクセスポイント識別情報に基づいて検索して得られたアクセスポイント20に対する通信ポリシー情報又はアクセスポイント20への接続可否情報を含むポリシー確認応答を、ポリシーサーバ50から受信する手段。
(A105)認証サーバ40から受信した利用者認証処理の結果と、ポリシーサーバ50から受信した通信ポリシー情報又は接続可否情報とに基づいて、アクセスポイント20に対する接続を制御する手段。
(A106)移動体通信ネットワークを介して通信する手段。
(A107)移動体通信ネットワークを介してインターネット90等の外部の通信ネットワークと通信する第1の通信経路が確立された状態で、アクセスポイント20を介して外部の通信ネットワークと通信する第2の通信経路を確立する処理を開始する手段。
(A108)アクセスポイント20に対する接続が許可された場合は、外部の通信ネットワークとの通信に優先的に使用する通信経路を第1の通信経路から第2の通信経路へ切り替え、アクセスポイント20に対する接続が拒否された場合は、外部の通信ネットワークとの通信に優先的に使用する通信経路を第1の通信経路に維持する手段。
アクセスポイント20は、例えば、制御部と、所定の通信方式で通信端末装置10と無線LAN通信を行う第1の通信部と、コアネットワーク30及びGW35を介して各種サーバ40、50やインターネット90上の各種サーバと通信する第2の通信部とを備える。制御部は、例えばMPUやRAM、ROM等からなる記憶装置を備え、所定の基本OSやミドルウェア等のプログラムが実行されることにより、上記通信部等の各部を制御することができる。
本実施形態において、アクセスポイント20の制御部は、所定のプログラムが実行されることにより、他の通信部などと協働して次のような各手段としての機能を実現可能である。
例えば、アクセスポイント20の制御部は、所定のプログラムが実行されることにより、次の(A201)〜(A210)の各手段として機能する。
(A201)通信端末装置10からプローブ要求、認証要求及びアソシエーション要求を受信する手段。
(A202)アソシエーション要求に基づいて、アクセスポイント20(自身)を識別可能なアクセスポイント識別情報を含むポリシー確認要求をポリシーサーバ50に送信する手段。
(A203)アクセスポイント20(自身)に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定されたアクセスポイント20(自身)への接続可否情報を含むポリシー確認応答を、ポリシーサーバ50から受信する手段。
(A204)前記ポリシー確認応答に含まれる通信ポリシー情報又は接続可否情報を含むアソシエーション応答を、通信端末装置10に送信する手段。
(A205)通信端末装置10にプローブ応答及び認証要求を送信する手段。
(A206)通信ポリシー情報を記憶する手段。
(A207)ポリシーサーバ50から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段。
(A208)通信端末装置10から受信したアソシエーション要求に基づいて、アクセスポイント20(自身)に対する通信ポリシー情報を検索して取得する手段。
(A209)アクセスポイント20(自身)に対する通信ポリシー情報に基づいて、アクセスポイント20(自身)への接続可否を判定する手段。
(A210)アクセスポイント20(自身)に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定したアクセスポイント20(自身)への接続可否情報とを含むアソシエーション応答を、通信端末装置10に送信する手段。
図3は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の一例を示すシーケンス図である。
なお、以下の図3及び図4〜図6における動作シーケンスは、主制御部110の記憶装置等に記憶されているプログラムに基づいて、主に主制御部110等により、無線通信部111、ベースバンド処理部112、アクセスポイント20、ゲートウェイ35、認証サーバ40及びポリシーサーバ50と協働して実行される。
通信端末装置10において無線LANへの接続がオンにされたことが検知されると、主制御部110は、記憶装置に記憶されているリストを参照し、接続対象のネットワークのアクセスポイント種別情報であるESSIDを一つ取得し、そのESSIDを含むプローブ要求をブロードキャストする(ステップS101)。
通信端末装置10からプローブ要求を受信すると、アクセスポイント20は、プローブ要求に含まれるESSIDが自身のESSIDと同じであれば、通信端末装置10にプローブ応答を返信する(ステップS102)。プローブ応答には、アクセスポイント20のアクセスポイント識別情報であるBSSID、暗号方式、認証方式、通信速度等のパラメータが含まれる。
アクセスポイント20からプローブ応答を受信しなければ、通信端末装置10は、記憶装置から他のESSIDを一つ取得し、そのESSIDを含むプローブ要求をブロードキャストする。一方、アクセスポイント20からプローブ応答を受信すると、通信端末装置10は、プローブ応答に含まれるアクセスポイント識別情報であるBSSID、及び対応するESSIDを、記憶装置に格納する。
次に、通信端末装置10は、プローブ応答を受信した後、自身のMAC(Media Access Control)アドレスの情報を含む認証要求をアクセスポイント20に送信する(ステップS103)。アクセスポイント20は、所定のアルゴリズムを用いて通信端末装置10を認証するか否かを決定し、その認証の結果を含む認証応答を返信する(ステップS104)。この認証は、例えば通信端末装置10のMACアドレスを識別子として行われる。
次に、通信端末装置10は、アクセスポイント20により認証されたことを確認した後、アクセスポイント20にアソシエーション(接続)要求を送信する(ステップS105)。アソシエーション要求には、アクセスポイント20のESSID、サポートレート、ポーリング利用要否等のパラメータが含まれる。アクセスポイント20は、通信端末装置10のMACアドレスが認証したMACアドレスであり、通信端末装置10から受信したアソシエーション要求に含まれるパラメータがすべて自身に対応していることを確認した後、接続許可する旨の情報を含むアソシエーション応答を通信端末装置10に送信する(ステップS106)。
以上のS101〜S106の処理により、通信ネットワークレベルで、通信端末装置10からアクセスポイント接続を介した無線LAN通信によるネットワーク接続の通信経路が確立される。この状態では、通信端末装置10は、バックボーンネットワーク30を介して認証サーバ40やポリシーサーバ50との間でデータフレームの送受信が可能になる。しかしながら、この時点ではまだ、ユーザが認証サーバ40により認証されておらず、アプリケーションのレベルで接続が完了していないため、ゲートウェイ35を介してインターネット90等に接続することができない。
次に、通信端末装置10は、例えばHTTP通信により所定URLのログインページを介して、ユーザIDとパスワードとBSSIDとを含む認証要求をアクセスポイント20に送信する(ステップS107)。なお、BSSIDは、通信端末装置10から送信する認証要求に含めずに、アクセスポイント20が認証サーバ40に転送する認証要求に付加するようにしてもよい。
通信端末装置10から認証要求を受信すると、アクセスポイント20は、その認証要求をゲートウェイ35を介して認証サーバ40に送信する(ステップS108)。
アクセスポイント20から認証要求を受信すると、認証サーバ40は、認証要求に含まれるユーザIDとパスワードとについて加入者データベース45を参照してユーザ認証を行う(ステップS109)。このユーザ認証は、認証要求を送信してきた通信端末装置10の利用者が、上記ESSIDに対応するアクセスポイントを介した無線LAN通信を利用可能な利用者として予め登録された利用者であるかを確認する認証である。ユーザ認証に成功した場合には、BSSIDを含むポリシー確認要求をポリシーサーバ50に送信する(ステップS110)。
認証サーバ40からポリシー確認要求を受信すると、ポリシーサーバ50は、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS111)。ここで、上記検索して参照する通信ポリシー情報は、例えば、過去に接続エラーが生じた接続不可のアクセスポイントの一覧であるブラックリスト、又は、過去に接続エラーが生じていない接続可能なアクセスポイントの一覧であるホワイトリストなどの情報である(以下の接続制御例においても同様)。
次に、ポリシーサーバ50は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS112)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続可を示すフラグデータ「1」)を含むポリシー確認応答を、認証サーバ40に返信する(ステップS113)。
ポリシーサーバ50からポリシー確認応答を受信すると、認証サーバ40は、ユーザ認証結果と、ポリシー確認応答に含まれる接続可否情報とに基づいて、ゲートウェイ35を介してアクセスポイント20に認証応答を送信する(ステップS114)。例えば、ユーザ認証が成功し、且つ、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定された接続可否情報を受信した場合、認証サーバ40は、認証処理に成功した旨を示す認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する(ステップS114)。そして、アクセスポイント20は、認証サーバ40から受信した認証応答を通信端末装置10に送信する(ステップS115)。
なお、図3の例では、ポリシーサーバ50で接続可否判定を行っているが、認証サーバ40で接続可否判定を行ってもよい。この場合、ポリシーサーバ50は、認証サーバ40からポリシー確認要求を受信したとき、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を取り出す。そして、ポリシーサーバ50は、取り出した通信ポリシー情報を含むポリシー確認応答を認証サーバ40に返信する。認証サーバ40は、ポリシーサーバ50から受信した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。この判定結果と、ユーザ認証結果とに基づいて、認証サーバ40は、ゲートウェイ35を介してアクセスポイント20に認証応答を送信する。例えば、ユーザ認証が成功し、且つ、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、認証サーバ40は、認証処理に成功した旨を示す認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する。
アクセスポイント20から上記認証応答を受信すると、通信端末装置10は、アプリケーションのレベルにおけるインターネット90への接続に優先的に使用される通信経路(以下「ネットワーク接続のデフォルト通信経路」という。)を、基地局60を介するセルラー通信の通信経路(第1の通信経路)から、アクセスポイント20を介する無線LAN通信の通信経路(第2の通信経路)に切り替える(ステップS116)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。
図4は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の一例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS201〜S211については、図3に示されるステップS101〜S111と同じであるので、それらの説明を省略する。
ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照した後、ポリシーサーバ50は、その参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS212)。例えば、上記ブラックリストやホワイトリストにBSSIDが含まれているか否かを確認して判定する。ここで、ユーザ認証には成功したがアクセスポイント20のBSSIDが上記ブラックリストに含まれている(又は上記ホワイトリストに含まれていない)ためアクセスポイント20への接続不可と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続不可を示すフラグデータ「0」)を含むポリシー確認応答を、認証サーバ40に返信する(ステップS213)。
ポリシーサーバ50からポリシー確認応答を受信すると、認証サーバ40は、ユーザ認証結果と、ポリシー確認応答に含まれる接続可否情報とに基づいて、認証処理に失敗した旨を示す認証エラーの認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する(ステップS214)。そして、アクセスポイント20は、認証サーバ40から受信した認証応答を通信端末装置10に送信する(ステップS215)。
アクセスポイント20から認証応答を受信すると、通信端末装置10は、認証が失敗したことを確認した後、そのアクセスポイント20との接続処理を中止するための切断要求をアクセスポイント20に送信する(ステップS216)。すると、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。
以上、図3及び図4の無線LAN通信の接続制御例によれば、認証サーバ40が認証要求を受信したとき、ポリシーサーバ50にアクセスし、通信端末装置10からアクセスポイント20への接続可否判定の結果を取得し、その接続可否判定の結果を含む認証応答を通信端末装置10に送信している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
また、図3及び図4の無線LAN通信の接続制御例によれば、通信端末装置10と認証サーバ40との間のシーケンスは従来と同様であるため、当該シーケンスにおいては既存処理を応用することができる。また、無線LAN通信の接続処理時において、通信量や処理時間のオーバヘッドを低く抑えることができるため、通信端末装置10の利用者の体感や操作性に変化がなく、従来と同様な体感や操作性で無線LAN通信を利用できる。
また、図3及び図4の無線LAN通信の接続制御例によれば、通信端末装置10が認証サーバ40との間の認証処理に対応していれば、通信端末装置10への追加実装がなくても、通信ポリシー情報に基づくアクセスポイント20への接続制御(以下「ポリシー制御」という。)に対応していない通信端末装置に対しても分け隔てなく、認証時に通信ポリシー情報を適用できる。つまり、ポリシーサーバ50に格納される通信ポリシー情報は、例えば特定の通信端末装置への追加実装によりアップロードされた情報やネットワーク側で管理している情報を元に作成される場合があるが、それによって作成された通信ポリシー情報は、ポリシー制御に関する追加実装を行っていない通信端末装置にも、認証サーバ40との間の認証処理にさえ対応していれば適用できる。
また、図3及び図4の無線LAN通信の接続制御例によれば、認証サーバ40から認証応答を受信するまで、セルラー通信の通信経路が維持されるため、認証処理に失敗した旨を示す認証エラーの認証応答を受信した場合でもネットワーク接続が切断されない。
なお、図3及び図4の無線LAN通信の接続制御例において、認証サーバ40は、利用者認証処理が成功した場合にポリシー確認要求をポリシーサーバ50に送信し、利用者認証処理が失敗した場合にポリシー確認要求をポリシーサーバ50に送信しないように制御してもよい。この場合は、利用者認証処理が失敗した場合に、アクセスポイント20に対する通信ポリシー情報を確認する不要な確認処理を省略することで、認証サーバ40及びポリシーサーバ50における処理の負荷、及び、サーバ40,50間の通信回線や通信ネットワークにおける負荷を、低減することができる。
また、図3及び図4の無線LAN通信の接続制御例では、認証サーバ40がポリシーサーバ50から通信ポリシー情報を取得して接続対象のアクセスポイント20について接続可能か否かを判定しているが、ポリシーサーバ50が通信ポリシー情報に基づいて接続対象のアクセスポイント20について接続可能か否かを判定してもよい。この場合、ポリシーサーバ50で判定された接続対象のアクセスポイント20について接続可能か否かを示す接続可否情報が、ポリシーサーバ50から認証サーバ40に送信される。そして、認証サーバ40は、ポリシーサーバ50から受信した接続可否情報と、ユーザ認証結果とに基づいて、認証応答を通信端末装置10に送信する。ポリシーサーバ50から認証サーバ40へは、通信ポリシー情報そのものではなく、比較的データサイズが小さい接続可否情報が送信されるため、認証サーバ40とポリシーサーバ50との間の通信ネットワークの負荷の増大を防止できる。
なお、図3及び図4の無線LAN通信の接続制御例では、ユーザ認証(S109、S209)の後にポリシー検索及び接続可否判定(S111〜S113、S211〜S213)を行っているが、ポリシー検索及び接続可否判定の後にユーザ認証を行ってもよい。
図5は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS301〜S309については、図3に示されるステップS101〜S109と同じであるので、それらの説明を省略する。
図5中のステップS309においてユーザ認証に成功した場合、認証サーバ40は、ユーザ認証に成功した旨を示す認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する(ステップS310)。そして、アクセスポイント20は、認証サーバ40から受信した認証応答を通信端末装置10に送信する(ステップS311)。
アクセスポイント20から認証応答を受信すると、通信端末装置10は、ユーザ認証に成功したことを確認した後、例えばHTTP通信により、接続対象のアクセスポイント20のBSSIDを含むポリシー確認要求をアクセスポイント20に送信する(ステップS312)。なお、BSSIDは、通信端末装置10から送信するポリシー確認要求に含めずに、アクセスポイント20が認証サーバ40に転送するポリシー確認要求に付加するようにしてもよい。
通信端末装置10からポリシー確認要求を受信すると、アクセスポイント20は、そのポリシー確認要求をゲートウェイ35を介してポリシーサーバ50に送信する(ステップS313)。
通信端末装置10からポリシー確認要求を受信すると、ポリシーサーバ50は、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS314)。
次に、ポリシーサーバ50は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS315)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続可を示すフラグデータ「1」)を含むポリシー確認応答を、アクセスポイント20を介して通信端末装置10に返信する(ステップS316、317)。
ポリシーサーバ50から、上記アクセスポイント20への接続が可能と判定した判定結果を含むポリシー確認応答を受信すると、通信端末装置10は、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS318)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。
図6は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS401〜S417については、図5に示されるステップS301〜S317と同じであるので、それらの説明は省略する。
図6において、ポリシーサーバ50から、上記アクセスポイント20への接続が不可と判定した判定結果を含むポリシー確認応答を受信した場合、又は上記ユーザ認証に失敗した場合、通信端末装置10は、アクセスポイント20との接続処理を中止するための切断要求をアクセスポイント20に送信する(ステップS418)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。
以上、図5及び図6の無線LAN通信の接続制御例によれば、通信端末装置10が認証サーバ40からユーザ認証に成功した旨の認証応答を受信したとき、ポリシーサーバ50にアクセスし、通信端末装置10からアクセスポイント20への接続可否判定の結果を含むポリシー確認応答を受信し、その接続可否判定の結果に基づいて、アクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
また、図5及び図6の無線LAN通信の接続制御例によれば、ポリシーサーバ50からポリシー確認応答を受信するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。
また、図5及び図6の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。
また、図5及び図6の無線LAN通信の接続制御例によれば、ポリシーサーバ50から通信端末装置10へは、通信ポリシー情報そのものではなく、比較的データサイズが小さい接続可否情報が送信されるため、通信端末装置10とポリシーサーバ50との間の通信ネットワークの負荷の増大を防止できる。
なお、図5及び図6の無線LAN通信の接続制御例において、認証サーバ40による利用者認証処理が成功した場合にポリシー確認要求を通信端末装置10からポリシーサーバ50に送信し、利用者認証処理が失敗した場合にポリシー確認要求を通信端末装置10からポリシーサーバ50に送信しないように制御してもよい。この場合は、認証サーバ40での利用者認証処理が失敗した場合に、通信端末装置10がポリシーサーバ50に対してアクセスポイント20に対する通信ポリシー情報を確認する不要な確認処理を省略することで、通信端末装置10及びポリシーサーバ50における処理の負荷、及び、それらの間の通信回線や通信ネットワークにおける負荷を、低減することができる。
また、図5及び図6の無線LAN通信の接続制御例では、ポリシーサーバ50が通信ポリシー情報に基づいて接続対象のアクセスポイント20について接続可能か否かを判定しているが、通信端末装置10がポリシーサーバ50から通信ポリシー情報を取得して接続対象のアクセスポイント20について接続可能か否かを判定してもよい。この場合、ポリシーサーバ50で検索されて取り出された、接続対象のアクセスポイント20を介した接続に関する通信ポリシー情報が、ポリシーサーバ50から通信端末装置10に送信される。そして、通信端末装置10は、ポリシーサーバ50から受信した通信ポリシー情報に基づいて、接続対象のアクセスポイント20について接続可能か否かを判定し、アクセスポイント20との接続を制御する。
また、図5及び図6の無線LAN通信の接続制御例において、ネットワーク通信における通信時間のオーバヘッドを考慮し、認証サーバ40でのユーザ認証処理に時間がかかった場合、例えば認証要求の送信から認証応答の受信までの時間が予め設定した閾値よりも長かった場合は、ポリシーサーバ50への問い合わせ(ポリシー確認要求の送信)を省略し、認証サーバ40でのユーザ認証の結果に基づいてアクセスポイント20との接続の制御を行ってもよい。これにより、ベストエフォートで無線LAN通信の接続処理を行うことができる。
また、図5及び図6の無線LAN通信の接続制御例において、通信端末装置10からポリシーサーバ50への問い合わせ時(ポリシー確認要求の送信〜ポリシー確認応答の受信)のタイムアウト時間を短めに(例えば、認証サーバ40への認証処理時のタイムアウト時間よりも短めに)設定してもよい。通信端末装置10からポリシーサーバ50への問い合わせ時にタイムアウトになった場合は、認証サーバ40でのユーザ認証の結果に基づいてアクセスポイント20との接続の制御を行う。これにより、ベストエフォートで無線LAN通信の接続処理を行うことができる。
なお、図5及び図6の無線LAN通信の接続制御例では、ユーザ認証(S307〜S311、S407〜S411)の後にポリシー検索及び接続可否判定(S312〜S317、S412〜S417)を行っているが、ポリシー検索及び接続可否判定の後にユーザ認証を行ってもよい。
図7は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図である。図7の接続制御において、認証サーバ40は、ポリシーサーバ50と同様に、アクセスポイント20を介した通信端末装置10と通信ネットワークとの通信に関する通信ポリシー情報が格納されたポリシーデータベース(DB)を備えている。なお、この動作シーケンスのうち、ステップS504〜S512については、図3に示されるステップS101〜S109と同じであるので、それらの説明は省略する。
図7において、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新される(ステップS501)と、ポリシーサーバ50は、その更新された通信ポリシー情報に関するポリシー更新情報を認証サーバ40に送信する(ステップS502)。認証サーバ40は、ポリシーサーバ50から受信したポリシー更新情報に基づいて、ポリシーデータベース(DB)内の所定の通信ポリシー情報を更新する(ステップS503)。なお、認証サーバ40におけるポリシーデータベース(DB)の更新処理は、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新されたとき以外のタイミング、例えば、予め設定した所定の定期的なタイミングに行ってもよい。また、認証サーバ40におけるポリシーデータベース(DB)を、予め設定した所定のタイミングに、ポリシーサーバ50のポリシーデータベース(DB)55と同期させるようにしてもよい。
図7中のステップS512においてユーザ認証に成功した場合、認証サーバ40は、アクセスポイント20からの認証要求に含まれるBSSIDに基づいてポリシーデータベースを検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS513)。
次に、認証サーバ40は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS514)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、ユーザ認証に成功した旨の認証応答を、ゲートウェイ35を介してアクセスポイント20に送信する(ステップS515)。アクセスポイント20は、認証サーバ40から受信した認証応答を通信端末装置10に送信する(ステップS516)。
ユーザ認証に成功した旨の認証応答を受信すると、通信端末装置10は、通信経路切替処理を実行する(ステップS517)。具体的には、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。
図8は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS601〜S613については、図7に示されるステップS501〜S513と同じであるので、以下では説明を省略する。
認証要求に含まれるBSSIDに基づいてポリシーデータベースを検索し、そのBSSIDに関する通信ポリシー情報を参照した後、認証サーバ40は、その参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS614)。例えば、上記ブラックリストやホワイトリストにBSSIDが含まれているか否かを確認して判定する。ここで、ユーザ認証には成功したがアクセスポイント20のBSSIDが上記ブラックリストに含まれている(又は上記ホワイトリストに含まれていない)ためアクセスポイント20への接続不可と判定した場合、その判定結果に基づいて、ユーザ認証に失敗した旨の認証応答を、アクセスポイント20を介して通信端末装置10に返信する(ステップS615、S616)。
認証サーバ40からアクセスポイント20を介して認証応答を受信すると、通信端末装置10は、認証が失敗したことを確認した後、そのアクセスポイント20との接続処理の中止するための切断要求をアクセスポイント20に送信する(ステップS617)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。
以上、図7及び図8の無線LAN通信の接続制御例によれば、認証サーバ40が認証要求を受信したとき、自身のポリシーデータベースを参照して、通信端末装置10からアクセスポイント20への接続可否判定を行い、その接続可否判定の結果を含む認証応答を通信端末装置10に送信している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
また、図7及び図8の無線LAN通信の接続制御例によれば、通信端末装置10と認証サーバ40との間のシーケンスは従来と同様であるため、当該シーケンスにおいては既存処理を応用することができる。また、無線LAN通信の接続処理時において、通信量や処理時間のオーバヘッドを低く抑えることができるため、通信端末装置10の利用者の体感や操作性に変化がなく、従来と同様な体感や操作性で無線LAN通信を利用できる。
また、図7及び図8の無線LAN通信の接続制御例によれば、通信端末装置10が認証サーバ40との間の認証処理に対応していれば、通信端末装置10への追加実装がなくても、ポリシー制御に対応していない通信端末装置に対しても分け隔てなく、認証時に通信ポリシー情報を適用できる。つまり、認証サーバ40及びポリシーサーバ50に格納される通信ポリシー情報は、例えば特定の通信端末装置への追加実装によりアップロードされた情報やネットワーク側で管理している情報を元に作成される場合があるが、それによって作成された通信ポリシー情報は、ポリシー制御に関する追加実装を行っていない通信端末装置にも、認証サーバ40との間の認証処理にさえ対応していれば適用できる。
また、図7及び図8の無線LAN通信の接続制御例によれば、認証サーバ40から認証応答を受信するまで、セルラー通信の通信経路が維持されるため、認証処理に失敗した旨を示す認証エラーの認証応答を受信した場合でもネットワーク接続が切断されない。
なお、図7及び図8の無線LAN通信の接続制御例では、ユーザ認証(S512、S612)の後にポリシー検索及び接続可否判定(S513〜S514、S613〜S614)を行っているが、ポリシー検索及び接続可否判定の後にユーザ認証を行ってもよい。
図9は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS701〜S704については、図3に示されるステップS101〜S104と同じであるので、それらの説明は省略する。
図9において、通信端末装置10からアソシエーション要求を受信すると、アクセスポイント20は、自身のBSSIDを含むポリシー確認要求をポリシーサーバ50に送信する(ステップS706)。
アクセスポイント20からポリシー確認要求を受信すると、ポリシーサーバ50は、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS707)。
次に、ポリシーサーバ50は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS708)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続可を示すフラグデータ「1」)を含むポリシー確認応答を、アクセスポイント20に返信する(ステップS709)。
ポリシーサーバ50からポリシー確認応答を受信すると、アクセスポイント20は、自身への接続を許可する旨の情報を含むアソシエーション応答を通信端末装置10に返信する(ステップS710)。
なお、図9の例では、ポリシーサーバ50で接続可否判定を行っているが、アクセスポイント20で接続可否判定を行ってもよい。この場合、ポリシーサーバ50は、アクセスポイント20からポリシー確認要求を受信したとき、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を取り出す。そして、ポリシーサーバ50は、取り出した通信ポリシー情報を含むポリシー確認応答をアクセスポイント20に返信する。アクセスポイント20は、ポリシーサーバ50から受信した通信ポリシー情報に基づいて、通信端末装置10が自身に接続可能か否かを判定する。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。この判定結果に基づいて、アクセスポイント20は通信端末装置10にアソシエーション応答を送信する。例えば、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、アクセスポイント20は、接続を許可する旨を示すアソシエーション応答を通信端末装置10に送信する。
アクセスポイント20から上記アソシエーション応答を受信すると、通信端末装置10は、認証サーバ40との間で認証処理(ステップS711〜S715)を実行した後、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS716)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。
図10は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS801〜S808については、図9に示されるステップS701〜S708と同じであるので、それらの説明は省略する。
図10において、ポリシーサーバ50から、上記アクセスポイント20への接続が不可と判定した判定結果を含むポリシー確認応答を受信した場合(ステップS809)、アクセスポイント20は、自身への接続を拒否する旨のアソシエーション応答を、通信端末装置10に送信する(ステップS810)。通信端末装置10は、アクセスポイント20から受信したアソシエーション応答に基づいて、アクセスポイント20への接続処理を中断する(ステップS811)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路に切り替えられない。
以上、図9及び図10の無線LAN通信の接続制御例によれば、アクセスポイント20が通信端末装置10からアソシエーション要求を受信したとき、ポリシーサーバ50にアクセスし、通信端末装置10からアクセスポイント20への接続可否判定の結果を含むポリシー確認応答を受信し、その接続可否判定の結果に基づいて、アクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
また、図9及び図10の無線LAN通信の接続制御例によれば、ポリシーサーバ50からポリシー確認応答を受信するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。
また、図9及び図10の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。
また、図9及び図10の無線LAN通信の接続制御例によれば、ポリシーサーバ50からアクセスポイント20へは、通信ポリシー情報そのものではなく、比較的データサイズが小さい接続可否情報が送信されるため、アクセスポイント20とポリシーサーバ50との間の通信ネットワークの負荷の増大を防止できる。
図11は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の更に他の例を示すシーケンス図である。図11の接続制御において、アクセスポイント20は、ポリシーサーバ50と同様に、アクセスポイントを介した通信端末装置10と通信ネットワークとの通信に関する通信ポリシー情報が格納されたポリシーデータベース(DB)を備えている。なお、この動作シーケンスのうち、ステップS904〜S907については図3に示されるステップS101〜S104と同じであり、ステップS912〜S917については図9に示されるステップS711〜S716と同じであるので、それらの説明は省略する。
図11において、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新される(ステップS901)と、ポリシーサーバ50は、その更新された通信ポリシー情報に関するポリシー更新情報をアクセスポイント20に送信する(ステップS902)。アクセスポイント20は、ポリシーサーバ50から受信したポリシー更新情報に基づいて、ポリシーデータベース(DB)内の所定の通信ポリシー情報を更新する。なお、アクセスポイント20におけるポリシーデータベース(DB)の更新処理は、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新されたとき以外のタイミング、例えば、予め設定した所定の定期的なタイミングに行ってもよい。また、アクセスポイント20におけるポリシーデータベース(DB)を、予め設定した所定のタイミングに、ポリシーサーバ50のポリシーデータベース(DB)55と同期させるようにしてもよい。
図11中のステップS908においてアソシエーション要求を受信した場合、アクセスポイント20は、自身のBSSIDに基づいてポリシーデータベースを検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS909)。
次に、アクセスポイント20は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント(自身)に接続可能か否かを判定する(ステップS910)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、自身のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ため自身のアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、自身への接続を許可する旨のアソシエーション応答を通信端末装置10に送信する(ステップS911)。
アクセスポイント20から上記アソシエーション応答を受信すると、通信端末装置10は、認証サーバ40との間で認証処理(ステップS912〜S916)を実行した後、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS917)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。
図12は、本実施形態の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS1001〜S1009については、図11に示されるステップS901〜S909と同じであるので、それらの説明は省略する。
図12において、自身への接続が不可と判定した場合(ステップS1010)、アクセスポイント20は、自身への接続を拒否する旨のアソシエーション応答を、通信端末装置10に送信する(ステップS1011)。通信端末装置10は、アクセスポイント20から受信したアソシエーション応答に基づいて、アクセスポイント20への接続処理を中断する(ステップS1012)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。
以上、図11及び図12の無線LAN通信の接続制御例によれば、アクセスポイント20が通信端末装置10からアソシエーション要求を受信したとき、通信端末装置10から自身への接続可否を判定し、その判定の結果を反映したアソシエーション応答を通信端末装置10に送信することにより、通信端末装置10からアクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
また、図11及び図12の無線LAN通信の接続制御例によれば、アクセスポイント20からのアソシエーション応答(接続許可)に基づいてユーザ認証が完了するまで、又は、アクセスポイント20からのアソシエーション応答(接続拒否)に基づいて接続処理を中断するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。
また、図11及び図12の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。
図13は、本発明の他の実施形態に係る通信システムの一例を示す概略構成図である。なお、図13において、前述の図1と同様な部分については同じ符号を付し、説明を省略する。
図13の通信システムでは、前述の認証サーバ40及びポリシーサーバ50のほか、複数のアクセスポイント20を管理する中継装置管理装置としてのアクセスポイント管理サーバ(以下「AP管理サーバ」という。)80を備えている。AP管理サーバ80は、コアネットワーク30及びGW35を介して複数のアクセスポイント20それぞれと通信可能に構成され、各アクセスポイントの情報が格納されたアクセスポイントデータベース(AP DB)85が接続されている。
AP管理サーバ80は、例えば単一のコンピュータ装置で構成したり複数のコンピュータ装置を組み合わせて構成したりすることができ、予め組み込まれた所定のプログラムが実行されることにより、各種処理や制御を実行することができる。また、AP管理サーバ80及びアクセスポイントデータベース(AP DB)85を1台のコンピュータ装置で構成してもよい。
本実施形態において、AP管理サーバ80は、所定のプログラムが実行されることにより、次のような各手段としての機能を実現可能である。
例えば、AP管理サーバ80は、所定のプログラムが実行されることにより、次の(A801)〜(A809)に示す各手段として機能する。
(A801)アクセスポイント20を介して通信端末装置10からアソシエーション要求を受信する手段。
(A802)前記アソシエーション要求に基づいて、アクセスポイント20を識別可能なアクセスポイント識別情報を含むポリシー確認要求を、ポリシーサーバ50に送信する手段。
(A803)アクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定されたアクセスポイント20への接続可否情報を含むポリシー確認応答を、ポリシーサーバ50から受信する手段。
(A804)前記ポリシー確認応答に含まれる通信ポリシー情報又は接続可否情報を含むアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する手段。
(A805)通信ポリシー情報を記憶する手段。
(A806)ポリシーサーバ50から更新対象の通信ポリシー情報を受信し、前記記憶している通信ポリシー情報を更新する手段。
(A807)前記アソシエーション要求に含まれるアクセスポイント識別情報に基づいて、アクセスポイント20に対する通信ポリシー情報を検索して取得する手段。
(A808)アクセスポイント20に対する通信ポリシー情報に基づいてアクセスポイント20への接続可否を判定する手段。
(A809)前記アソシエーション要求に含まれるアクセスポイント識別情報に基づいて検索して得られたアクセスポイント20に対する通信ポリシー情報又はその通信ポリシー情報に基づいて判定したアクセスポイント20への接続可否情報とを含むアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する手段。
図14は、図13の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の一例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS1101〜S1104については、図3に示されるステップS101〜S104と同じであり、ステップS1111〜S1116については、図9に示されるステップS711〜S716と同じであるので、それらの説明は省略する。
図14において、通信端末装置10からアソシエーション要求を受信すると、アクセスポイント20は、自身のBSSIDを含むアソシエーション要求をAP管理サーバ80に送信する(ステップS1105)。AP管理サーバ80は、アソシエーション要求を受信すると、アクセスポイント20のBSSIDを含むポリシー確認要求をポリシーサーバ50に送信する(ステップS1106)。
AP管理サーバ80からポリシー確認要求を受信すると、ポリシーサーバ50は、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS1107)。
次に、ポリシーサーバ50は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS1108)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続可否情報(例えば、接続可を示すフラグデータ「1」)を含むポリシー確認応答を、AP管理サーバ80に返信する(ステップS1109)。
ポリシーサーバ50からポリシー確認応答を受信すると、AP管理サーバ80は、アクセスポイント20への接続を許可する旨の情報を含むアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する(ステップS1110)。
なお、図14の例では、ポリシーサーバ50で接続可否判定を行っているが、AP管理サーバ80で接続可否判定を行ってもよい。この場合、ポリシーサーバ50は、AP管理サーバ80からポリシー確認要求を受信したとき、ポリシー確認要求に含まれるBSSIDに基づいてポリシーデータベース55を検索し、そのBSSIDに関する通信ポリシー情報を取り出す。そして、ポリシーサーバ50は、取り出した通信ポリシー情報を含むポリシー確認応答をAP管理サーバ80に返信する。AP管理サーバ80は、ポリシーサーバ50から受信した通信ポリシー情報に基づいて、通信端末装置10がアクセスポイント20に接続可能か否かを判定する。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。この判定結果に基づいて、AP管理サーバ80は、アクセスポイント20を介して通信端末装置10にアソシエーション応答を送信する。例えば、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、AP管理サーバ80は、アクセスポイント20を介して、接続を許可する旨を示すアソシエーション応答を通信端末装置10に送信する。
アクセスポイント20を介してAP管理サーバ80から上記アソシエーション応答を受信すると、通信端末装置10は、認証サーバ40との間で認証処理(ステップS1111〜S1115)を実行した後、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS1116)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。
図15は、図13の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の一例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS1201〜S1208については、図14に示されるステップS1101〜S1108と同じであるので、それらの説明は省略する。
図15において、ポリシーサーバ50から、上記アクセスポイント20への接続が不可と判定した判定結果を含むポリシー確認応答を受信した場合(ステップS1209)、AP管理サーバ80は、アクセスポイント20への接続を拒否する旨のアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する(ステップS1210)。通信端末装置10は、アクセスポイント20から受信したアソシエーション応答に基づいて、アクセスポイント20への接続処理を中断する(ステップS1211)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。
以上、図14及び図15の無線LAN通信の接続制御例によれば、AP管理サーバ80がアクセスポイント20を介して通信端末装置10からアソシエーション要求を受信したとき、ポリシーサーバ50にアクセスし、通信端末装置10からアクセスポイント20への接続可否判定の結果を含むポリシー確認応答を受信し、その接続可否判定の結果に基づいて、アクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
また、図14及び図15の無線LAN通信の接続制御例によれば、通信端末装置10がAP管理サーバ80からアソシエーション応答を受信するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。
また、図14及び図15の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。
また、図14及び図15の無線LAN通信の接続制御例によれば、ポリシーサーバ50からAP管理サーバ80へは、通信ポリシー情報そのものではなく、比較的データサイズが小さい接続可否情報が送信されるため、AP管理サーバ80とポリシーサーバ50との間の通信ネットワークの負荷の増大を防止できる。
図16は、図13の通信システムにおいて通信端末装置10とアクセスポイント20との接続に成功する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。図16の接続制御において、AP管理サーバ80は、ポリシーサーバ50と同様に、アクセスポイント20を介した通信端末装置10と通信ネットワークとの通信に関する通信ポリシー情報が格納されたポリシーデータベース(DB)を備えている。なお、この動作シーケンスのうち、ステップS1304〜S1307については図3に示されるステップS101〜S104と同じであり、ステップS1312〜S1317については図9に示されるステップS711〜S716と同じであるので、それらの説明は省略する。
図16において、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新される(ステップS1301)と、ポリシーサーバ50は、その更新された通信ポリシー情報に関するポリシー更新情報をAP管理サーバ80に送信する(ステップS1302)。AP管理サーバ80は、ポリシーサーバ50から受信したポリシー更新情報に基づいて、ポリシーデータベース(DB)内の所定の通信ポリシー情報を更新する(ステップS1303)。なお、AP管理サーバ80におけるポリシーデータベース(DB)の更新処理は、ポリシーサーバ50のポリシーデータベース(DB)55に格納されている通信ポリシー情報が更新されたとき以外のタイミング、例えば、予め設定した所定の定期的なタイミングに行ってもよい。また、AP管理サーバ80におけるポリシーデータベース(DB)を、予め設定した所定のタイミングに、ポリシーサーバ50のポリシーデータベース(DB)55と同期させるようにしてもよい。
図16中のステップS1308においてアソシエーション要求を受信した場合、AP管理サーバ80は、アクセスポイント20のBSSIDに基づいてポリシーデータベースを検索し、そのBSSIDに関する通信ポリシー情報を参照する(ステップS1309)。
次に、AP管理サーバ80は、上記参照した通信ポリシー情報に基づいて、通信端末装置10が接続対象のアクセスポイント20に接続可能か否かを判定する(ステップS1310)。例えば、上記ブラックリストやホワイトリストにアクセスポイント20のBSSIDが含まれているか否かを確認して判定する。ここで、アクセスポイント20のBSSIDが上記ブラックリストに含まれていない(又は上記ホワイトリストに含まれている)ためアクセスポイント20への接続が可能と判定した場合、その判定結果に基づいて、アクセスポイント20への接続を許可する旨のアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する(ステップS1311)。
AP管理サーバ80から上記アソシエーション応答を受信すると、通信端末装置10は、認証サーバ40との間で認証処理(ステップS1312〜S1316)を実行した後、上記ネットワーク接続のデフォルト通信経路を、基地局60を介するセルラー通信の通信経路から、アクセスポイント20を介する無線LAN通信の通信経路に切り替える(ステップS1317)。これにより、通信端末装置10は無線LAN通信の通信経路を優先的に使用してインターネット90に接続可能となる。
図17は、図13の通信システムにおいて通信端末装置10とアクセスポイント20との接続に失敗する場合の無線LAN通信の接続制御の他の例を示すシーケンス図である。なお、この動作シーケンスのうち、ステップS1401〜S1409については、図16に示されるステップS1301〜S1309と同じであるので、それらの説明は省略する。
図17において、アクセスポイント20への接続が不可と判定した場合(ステップS1410)、AP管理サーバ80は、アクセスポイント20への接続を拒否する旨のアソシエーション応答を、アクセスポイント20を介して通信端末装置10に送信する(ステップS1411)。通信端末装置10は、AP管理サーバ80から受信したアソシエーション応答に基づいて、アクセスポイント20への接続処理を中断する(ステップS1412)。これにより、上記ネットワーク接続のデフォルト通信経路は、基地局60を介するセルラー通信の通信経路に維持され、アクセスポイント20を介する無線LAN通信の通信経路へ切り替えられない。従って、通信端末装置10を操作するユーザから見た場合、アプリケーションのレベルでのネットワーク接続が切断されることがなく、そのネットワーク接続を継続して利用することができるので、通信端末装置10の操作性及び利便性が向上する。
以上、図16及び図17の無線LAN通信の接続制御例によれば、AP管理サーバ80が通信端末装置10からアソシエーション要求を受信したとき、通信端末装置10からアクセスポイント20への接続可否を判定し、その判定の結果を反映したアソシエーション応答を通信端末装置10に送信することにより、通信端末装置10からアクセスポイント20への接続を制御している。従って、通信端末装置10では、複数のアクセスポイントに関する通信ポリシー情報を予め格納したり、その複数のアクセスポイントに関する通信ポリシー情報を通信ネットワークを介して定期的に一括ダウンロードして更新したりする必要がない。よって、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
特に、通信端末装置10が移動しているときに互いにローミング可能な複数のアクセスポイントのそれぞれについても、個々のアクセスポイントごとに(BSSIDごとに)、最新の通信ポリシー情報に基づいてアクセスポイント20を介した通信を制御することができる。
また、図16及び図17の無線LAN通信の接続制御例によれば、AP管理サーバ80からのアソシエーション応答(接続許可)に基づいてユーザ認証が完了するまで、又は、AP管理サーバ80からのアソシエーション応答(接続拒否)に基づいて接続処理を中断するまで、セルラー通信の通信経路が維持されるため、アクセスポイント20への接続不可と判定された場合でもネットワーク接続が切断されない。
また、図16及び図17の無線LAN通信の接続制御例によれば、認証サーバ40での処理が従来と同様な処理であるため、認証サーバ40の改変が不要である。
以上、上記各実施形態によれば、通信端末装置10及び通信ネットワークにおける負荷を増大させることなく、最新の通信ポリシー情報に基づいて無線LANのアクセスポイント20を介した通信を制御することができる。
なお、上記各実施形態の接続制御例(通信経路確立処理例)では、ポリシーサーバ50で管理されポリシーサーバ50に問い合わせられる通信ポリシー情報が、通信端末装置10からの接続が許可又は禁止されたアクセスポイント20を識別可能なアクセスポイント識別情報(例えばBSSID)のリスト(ホワイトリスト又はブラックリスト)の場合について説明したが、本発明は、他の通信ポリシー情報を用いて無線LAN接続制御を行う場合についても同様に適用できる。
例えば、無線LANの接続制御(通信経路確立処理)に用いる通信ポリシー情報は、通信端末装置10からアクセスポイント20への接続が許可又は禁止された時間帯、アクセスポイント20を介した通信経路確立処理時のタイムアウト時間、アクセスポイント20に接続するときの通信端末装置10における受信信号強度(RSSI)の閾値などの情報の少なくとも一つを含んでもよい。この場合、ポリシーデータベース55には、例えば、複数のアクセスポイントのアクセスポイント識別情報(例えばBSSID)に関連付けて、上記時間帯、タイムアウト時間、受信信号強度(RSSI)の閾値などが格納される。また、ポリシーサーバ50は、アクセスポイント識別情報(例えばBSSID)を含むポリシー確認要求を受信したとき、ポリシーデータベース55を参照して、当該アクセスポイント識別情報に関連付けられている上記時間帯、タイムアウト時間、受信信号強度(RSSI)の閾値などを含む通信ポリシー情報を取得する。そして、ポリシーサーバ50は、通信端末装置10からの接続が許可又は禁止されたアクセスポイントのアクセスポイント識別情報のリスト(ホワイトリスト又はブラックリスト)とともに、上記検索した通信ポリシー情報とを含むポリシー確認応答を、認証サーバ40又は通信端末装置10に送信する。このポリシー確認応答を受信した認証サーバ40及び通信端末装置10は、ポリシーサーバ50から受信したポリシー確認応答に含まれる上記アクセスポイント識別情報のリスト(ホワイトリスト又はブラックリスト)、上記時間帯、タイムアウト時間、受信信号強度などを含む通信ポリシー情報に基づいて、通信端末装置10から接続対象のアクセスポイントへの接続が可能か否かを判断することができる。
なお、本実施形態の図3〜図17の接続制御例(通信経路確立処理例)では、ポリシーサーバ50から認証サーバ40、通信端末装置10、アクセスポイント20又はAP管理サーバ80に送信されるポリシー確認応答が、アクセスポイントのアクセスポイント識別情報のリスト(ホワイトリスト又はブラックリスト)等の通信ポリシー情報を含む場合について説明したが、ポリシー確認応答は、次に示すようにアクセスポイントへの接続可否情報を含んでもよい。この場合、すなわち、ポリシーサーバ50は、通信端末装置10からの接続が許可又は禁止されたアクセスポイントのアクセスポイント識別情報のリスト(ホワイトリスト又はブラックリスト)、上記時間帯、タイムアウト時間、受信信号強度などの通信ポリシー情報に基づいて、通信端末装置10から接続対象のアクセスポイントへの接続が可能か否かを判断し、その判断結果であるアクセスポイントへの接続可否情報を含むポリシー確認応答を、認証サーバ40、通信端末装置10、アクセスポイント20又はAP管理サーバ80に送信してもよい。この場合は、認証サーバ40、通信端末装置10、アクセスポイント20及びAP管理サーバ80における処理の負荷、並びに、ポリシーサーバ50と認証サーバ40、通信端末装置10、アクセスポイント20及びAP管理サーバ80との間の通信回線や通信ネットワークの負荷を、低減することができる。
また、上記通信ポリシー情報は、個々のアクセスポイント20ごとに(BSSIDごとに)、アクセス可能な時間帯、曜日、シーズン(例えば、正月やクリスマスの期間)等を、アクセスポイント20への接続の可否を規定するように設定してもよい。ポリシーサーバ50は、例えば、判定を行うときの年月日、曜日、時間などの情報と、検索して参照した通信ポリシー情報とに基づいて、接続可否の判定を行う。この場合、個々のアクセスポイント20ごとに(BSSIDごとに)、通信ポリシー情報に規定された時間帯、曜日、シーズン(例えば、正月やクリスマスの期間)等に応じて、通信端末装置10によるアクセスポイント20を介した通信を制御することができる。
また、上記通信ポリシー情報は、通信端末装置10の機種ごとにアクセスポイント20への接続の可否を規定したり、アクセスポイント20の種別ごとにアクセスポイント20への接続の可否を規定したりするように設定してもよい。この場合は、通信端末装置10の機種ごとに又はアクセスポイント20の種別ごとに、通信端末装置10によるアクセスポイント20を介した通信を制御することができる。