JP6503420B2 - 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム - Google Patents

無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム Download PDF

Info

Publication number
JP6503420B2
JP6503420B2 JP2017134422A JP2017134422A JP6503420B2 JP 6503420 B2 JP6503420 B2 JP 6503420B2 JP 2017134422 A JP2017134422 A JP 2017134422A JP 2017134422 A JP2017134422 A JP 2017134422A JP 6503420 B2 JP6503420 B2 JP 6503420B2
Authority
JP
Japan
Prior art keywords
authentication
wireless communication
communication terminal
stored
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017134422A
Other languages
English (en)
Other versions
JP2017195632A (ja
Inventor
榎本 敦之
敦之 榎本
大介 染谷
大介 染谷
雅文 川関
雅文 川関
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Biglobe Inc
Original Assignee
Biglobe Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Biglobe Inc filed Critical Biglobe Inc
Priority to JP2017134422A priority Critical patent/JP6503420B2/ja
Publication of JP2017195632A publication Critical patent/JP2017195632A/ja
Application granted granted Critical
Publication of JP6503420B2 publication Critical patent/JP6503420B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラムに関する。
近年、無線LANを使用してインターネットに接続できる環境を提供する公衆無線LANサービスが既に知られている。このシステムは、インターネットに接続された無線LANのアクセスポイント(以下「AP」という。)を例えば飲食店、ホテル、駅、又は空港などに配置し、無線LAN機能を持つノートパソコン等の無線通信端末の接続を可能とするものである。
また、上記の公衆無線LANサービスにおいては、無線LANのアクセスポイントに接続しようとする無線通信端末を使用するユーザの実在性、信頼性、正当性を保障するための認証が行われ、そのユーザ認証に際し、無線通信端末に搭載されたSIM(Subsciber Identity Module)カードを使用する方式も既に知られている。
SIMカードを使用した認証(以下「SIM認証」という。)においては、無線通信端末に搭載されたSIMカードに保持されている加入者識別番号(International Mobile Subsciber Identity、以下「IMSI」という。)を利用することによって、加入者が誰かを特定している。
IMSIは、通常15桁の数字で構成され、最初の3桁が国を表すMCC(Mobile Country Code)、続く2〜3桁が無線通信事業者の識別番号を表すMNC(Mobile Network Code)、残りの桁が個人を識別する識別番号を表すMSIN(Mobile Station Identification Number)となっている。
上述したSIM認証を使用した認証技術が、例えば特許文献1や特許文献2に記載されている。
特開2013−149096号公報 特許第3897034号公報
ところで、近年、携帯電話などの無線通信インフラを提供元となる事業者(Mobile Network Operator、以下「MNO」という。)から借り受け、独自の通信サービスを提供する仮想移動体通信事業者(Mobile Virtual Network Operator、以下「MVNO」という。)が登場してきている。
そして、MVNOは、スマートフォン等を使用するためのSIMカードをMNOから仕入れ、これをユーザに販売している。ユーザは、MVNOから購入したSIMカードを自身のスマートフォンに挿し込み、MVNOがMNOから借り受けた無線通信インフラ下においてスマートフォンを利用する。
ここで、MVNOから提供されたSIMカードを使用して公衆無線LANサービスの提供を受ける際にも、SIM認証を要することは言うまでもない。そして、MVNOから提供されたSIMカードには、MNOを示すMCCやMNCが含まれているため、認証要求が、MNOが管理する認証サーバに行くことになる。しかし、MVNOが、公衆無線LANサービスを提供するためのインフラ設備を、SIMカードを提供するMNO以外の他の公衆無線LAN事業者から借り受けるような場合において、この他事業者とMNOとの間で契約関係がない場合、MNOから提供されたSIMカードを用いて、MNO以外の他事業者が提供する公衆無線LAN設備により無線通信を利用しようとしても、公衆無線LAN事業者からみると、契約関係のないMNOのユーザが認証要求を行っているように見えてしまうため、認証要求を拒否せざるを得ない。このため、たとえMVNOと公衆無線LAN事業者の間に契約があったとしても、当該端末によるSIM認証は失敗し、当該端末は公衆無線LANへの接続が許可されないことになってしまう。
本発明は、このような実情に鑑みてなされたものであって、公衆無線LANインフラの利用契約を、SIMカードに記録されたMCC/MNCで示される事業者(MNO等)とは別の事業者(MVNO等)が有している場合であっても、ユーザがSIMカードを用いて公衆無線LANインフラのユーザ認証を容易に行うことを目的とする。
上記の課題を解決するため、本発明の無線通信端末認証制御装置は、仮想移動体通信事業者が提供する認証媒体を用いてネットワークに接続する無線通信端末のユーザ認証を制御する無線通信端末認証制御装置であって、ネットワークへの接続を許可する無線通信端末のユーザ識別情報を記憶する認証情報管理手段と、無線通信端末に搭載されている認証媒体に含まれるユーザ識別情報が認証情報管理手段に記憶されているか否かを判定し、当該ユーザ識別情報が認証情報管理手段に記憶されていると判定したとき、無線通信端末のネットワークへの接続を許可する制御手段と、を備えることを特徴とする。
本発明によれば、公衆無線LANインフラの利用契約を、SIMカードに記録されたMCC/MNCで示される事業者(MNO等)とは別の事業者(MVNO等)が有している場合であっても、ユーザがSIMカードを用いて公衆無線LANインフラのユーザ認証を容易に行うことが可能となる。
本発明の第1実施形態における無線通信端末認証制御装置を含む無線通信制御システムの概略構成図である。 本発明の第1実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第1実施形態におけるIMSIを記憶するデータベースの一例である。 本発明の第1実施形態におけるアクセスポイントのセッション管理部で管理される情報を示す模式図である。 本発明の実施形態における端末の無線通信接続要求から通信許可までの概略手順を示すフローチャートである。 本発明の第1実施形態における処理手順を示すフローチャートである。 本発明の第1実施形態における概略処理シーケンスである。 本発明の第2実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第2実施形態における処理手順を示すフローチャートである。 本発明の第2実施形態における概略処理シーケンスである。 本発明の第3実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第3実施形態におけるIMSIとMVNOの宛先情報とを対応させて記憶するデータベースの一例である。 本発明の第3実施形態におけるIMSIを記憶する末端データベースの一例である。 本発明の第3実施形態における処理手順を示すフローチャートである。 本発明の第3実施形態における概略処理シーケンスである。 本発明の第4実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第4実施形態における事業者情報記憶する事業者データベースの一例である。 本発明の第4実施形態における処理手順を示すフローチャートである。 本発明の第4実施形態における概略処理シーケンスである。 本発明の第5実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第5実施形態におけるIMSIとユーザID及び認証パスワードとを対応させて記憶するデータベースの一例である。 本発明の第5実施形態における処理手順を示すフローチャートである。 本発明の第5実施形態における概略処理シーケンスである。 本発明の第6実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第6実施形態におけるIMSIの一部とMVNOの宛先情報とを対応させて記憶するデータベースの一例である。 本発明の第6実施形態における処理手順を示すフローチャートである。 本発明の第7実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第7実施形態におけるIMSIと利用制限情報とを対応させて記憶するデータベースの一例である。 本発明の第7実施形態における利用制限情報が反映されたセッション管理部で管理される情報を示す模式図である。 本発明の第8実施形態における無線通信端末認証制御装置の機能ブロック図である。 本発明の第8実施形態における処理手順を示すフローチャートである。 本発明の第8実施形態における概略処理シーケンスである。
本発明の実施形態における無線通信端末認証制御装置について図を用いて以下説明する。なお、各図中、同一又は相当する部分には同一の符号を付しており、その重複説明は適宜に簡略化乃至省略する。なお、本実施形態における無線通信端末の認証処理については、無線LAN通信における認証処理を例に説明するが、無線LAN通信に限定されず、無線ネットワークを介した機器同士の相互接続に際して利用されるその他の認証処理に適用されるものであってよい。なお、以下に説明する実施形態における各装置は、その機能を実現するため、例えばCPU、RAM、ROM、HDD、各種インタフェース、無線通信アンテナ等のハードウェア構成を適宜必要に応じて必要なだけ有していることは言うまでもない。
[第1実施形態]
本発明の第1実施形態における無線通信端末認証制御装置を含む無線通信制御システムの概略について図1を参照して説明する。本システムは、無線通信端末10と、AP20と、無線通信端末認証制御装置30と、認証情報管理装置40と、出荷システム50によって構成されている。無線通信端末10は、無線LAN通信を用いて、AP20と接続し、後述する認証制御の後、AP20を介してインターネットと接続する装置である。図1では、無線通信端末10は、AP20に対して1つ接続されているが、複数の無線通信端末10が接続されても構わない。AP20は、無線通信端末10と無線LAN通信を用いて接続し、無線通信端末10をインターネットに接続するアクセスポイントである。図1では、AP20は、無線通信端末認証制御装置30に対して1つ接続されているが、複数あっても構わない。
無線通信端末10は、端末無線通信部11と、端末認証要求部12と、認証媒体としてのSIMカード13と、アプリケーション実行部14を備える。
端末無線通信部11は、無線ネットワークを介してAP無線通信部21と接続し、端末認証後はAP無線通信部21を介してインターネットから、例えばアプリケーション実行部14で処理するデータを取得する。
端末認証要求部12は、端末認証のためSIMカード13に格納されるユーザ識別情報としてのIMSIや、無線通信端末10固有のMACアドレスを取得して端末無線通信部11に渡す。SIMカード13は、MVNOがMNOから仕入れたものが無線通信端末10のSIMスロットに挿入される。なお、本発明における認証媒体はSIMカードに限定されないが、ユーザ識別情報を格納することができる媒体であればよい。
AP20は、AP無線通信部21と、端末認証サーバ22と、接続認証要求部23と、セッション管理部24を備える。AP無線通信部21は、端末無線通信部11を介して無線通信端末10からIMSIやMACアドレスを取得する。端末認証サーバ22は、端末無線通信部11を介して取得したIMSIを管理する。接続認証要求部23は、端末認証サーバ22がIMSIを取得したことを受けて無線通信端末認証制御装置30に接続認証要求を送信する。セッション管理部24は、AP無線通信部21を介してMACアドレスを取得し、MACアドレスに対応付けて、無線通信端末10の通信可否を示す通信許可フラグを記憶する。セッション管理部24は、MACアドレスが管理情報に記憶されて、かつ、通信許可フラグが「1」になるまでは、当該MACアドレスの無線通信端末10に対して、AP20によるインターネットとの接続を許可しない。
例えばRadius Proxyに代表されるような無線通信端末認証制御装置30は、無線通信端末10を使用するユーザの認証を制御する。詳細は図2を用いて後述するが、AP20の接続認証要求部23から接続認証要求を受信し、所定の認証サーバから受け取った認証結果をAP20の接続認証要求部23に返信する。また、接続認証要求に含まれる宛先で指定される通信事業者の認証制御管理装置に接続認証要求を振り分ける役割を担う。接続認証要求にはユーザ識別情報が含まれ、ユーザ識別情報にIMSIが含まれる構成となっている。
認証情報管理装置40は、無線通信端末のユーザ認証に用いる認証情報を管理する認証情報管理手段であり、IMSIを記憶する記憶部として機能する。なお、認証情報管理装置40は、SIMカード13に記憶されるIMSIを少なくともSIMカード13がユーザに提供される前に記憶することが好ましい。具体的には、出荷システム50によりSIMカード13がユーザに出荷されるのと略同時に認証情報管理装置40に記憶されることが好ましい。
出荷システム50は、SIMカードをユーザあるいはSIMカードの販売店に出荷するシステムであり、SIMカードが出荷されるとき、SIMカードに割り当てられたIMSIを認証情報管理装置40に登録する。
次に、第1実施形態における無線通信端末認証制御装置30について図2を参照して説明する。無線通信端末認証制御装置30は、無線通信端末10のユーザ識別情報が認証情報管理装置40に記憶されているか否かを判定し、当該ユーザ識別情報が認証情報管理装置40に記憶されていると判定したとき、無線通信端末10の無線ネットワークへの接続を許可する。
無線通信端末認証制御装置30は、ユーザ識別情報であるIMSIが認証情報管理装置40に記憶されていると判定したとき、無線通信端末10の無線ネットワークへの接続を許可する接続許可メッセージを接続認証要求部23を介してAP20に送信する。他方、無線通信端末認証制御装置30は、IMSIが認証情報管理装置40に記憶されていないと判定したとき、無線通信端末10の無線ネットワークへの接続を拒否する接続拒否メッセージを接続認証要求部23を介してAP20に送信する。
次に、第1実施形態における認証情報管理装置40に記憶されるIMSIの例について図3を参照して説明する。ここでは、IMSIとして例えば「429011234567890」、「310150123456789」、「310410736067599」、「440101234567890」が認証情報管理装置40に記憶されている。無線通信端末認証制御装置30は、接続認証要求に含まれるユーザ識別情報が認証情報管理装置40に記憶されているこれらのIMSIと一致するか否かを判定する。
次に、第1実施形態におけるセッション管理部24で管理、記憶される管理情報の例について図4を参照して説明する。セッション管理部24は、無線通信端末10固有の番号であるMACアドレス、内部プロセスID、通信許可状態を対応させて記憶する。内部プロセスIDは、接続認証要求部23が接続認証要求を行う毎に発行されるユニークな任意の文字列である。通信許可状態は「1」又は「0」で表され、「1」は無線通信端末10の問合せが完了して通信が許可されている状態を示し、「0」は問合せ受付中又は通信が拒否されている状態を示している。なお、通信が拒否された場合に「0」の状態を例えば数分間保持しておくことが好ましい。これにより無線通信端末10による複数回の問合せが集中するのを防ぐことが可能となる。
ここでは、上段のMACアドレス「00004c001234」、PIDが「12345」に対する通信許可が「1」となっており、中段のMACアドレス「abcdef123456」、PID「23456」に対する通信許可が「0」となっており、下段のMACアドレス「123456abcdef」、PID「34567」に対する通信許可が「0」となっているが、一例であることは言うまでもない。
次に、本実施形態における無線通信端末10のインターネットへの無線通信接続要求から通信許可までの概略手順について図5を参照して説明する。
無線通信端末10がAP20に対し端末無線通信部11を介して自端末のMACアドレスを含む無線通信接続要求を行う(ステップS01)。
AP20は無線通信接続要求に含まれている無線通信端末10のMACアドレスを取得し、記憶されている管理情報に当該MACアドレスが登録されているか確認し(ステップS02)、管理情報に通信許可として登録されていれば(ステップS02、YES)、無線通信端末10をインターネットに接続する(ステップS03)。また、登録されていなければ(ステップS02、NO)、AP20は、ユーザ識別情報を含むSIMカード情報を無線通信端末10から取得し(ステップS04)、ユーザ識別情報を含む接続認証要求を無線通信端末認証制御装置30に送信する(ステップS05)。
無線通信端末認証制御装置30は、接続認証要求に含まれるユーザ識別情報に「wlan」が含まれるか否か、または、IMSIがDBに記憶されているか否かの判定結果(ステップS06)により、認証に関する制御処理を行い、認証処理の結果を基に接続可否判定結果のメッセージを返答する。例えば、ユーザ識別情報に「wlan」が含まれかつIMSIがDBに記憶されている場合、もしくは、ユーザ識別情報に「wlan」が含まれておらずかつリクエストを転送したドメインによる認証結果が認証OKであった場合は、接続可と判定し(ステップS06、YES)、接続許可メッセージを返答する(ステップS07)。他方、ユーザ識別情報に「wlan」が含まれかつIMSIがDBに記憶されていない場合、もしくは、ユーザ識別情報に「wlan」が含まれておらずかつリクエストを転送したドメインによる認証結果が認証NGであった場合は、接続不可と判定し(ステップS06、NO)、接続拒否メッセージを返答する(ステップS08)。認証に関する制御処理とそれに基づく接続可否の判定は、図6等で詳細に説明する。
AP20は、接続可否判定結果を基に、無線通信端末10のインターネットとの通信を許可(ステップS09)、または拒否する(ステップS010)。AP20は、接続許可メッセージを受信した場合、管理情報の無線通信端末10のMACアドレスを通信許可として登録する(ステップS011)。
次に、第1実施形態における無線通信端末認証制御装置30が接続認証要求を受信し、接続可否判定結果のメッセージを送信するまでの処理手順について図6を参照して説明する。まず、無線通信端末認証制御装置30は、AP20の接続認証要求部23から接続認証要求と共にユーザ識別情報を受信する(ステップS1)。
次に、無線通信端末認証制御装置30は、接続認証要求に含まれるユーザ識別情報の@以降に示されるドメイン名の先頭部分に「wlan」の表記があるか否かを確認する(ステップS2)。
無線通信端末認証制御装置30は、上記ドメイン名の先頭部分に「wlan」の表記があることを確認したとき(ステップS2、YES)、接続認証要求に含まれるユーザ識別情報からIMSIを抽出する(ステップS3)。他方、無線通信端末認証制御装置30は、上記ドメイン名の先頭部分に「wlan」の表記がないことを確認したとき(ステップS2、YES)、少なくとも「wlan」の表記を含まないドメイン名で示される宛先(ユーザ認証制御を管理するMNO等の所定の通信事業者)に接続認証要求を転送する(ステップS6)。
ステップS3以降、次に無線通信端末認証制御装置30は、抽出したIMSIが認証情報管理装置40(図示の便宜上「DB」としている。図5以降に示す処理手順を示す各図においても同じ。)に記憶されているか否かを確認する(ステップS4)。そして、無線通信端末認証制御装置30は、抽出したIMSIが認証情報管理装置40に記憶されていると判定したとき(ステップS4、YES)、接続許可メッセージを接続認証要求部23に送信する(ステップS5)。他方、無線通信端末認証制御装置30は、抽出したIMSIが認証情報管理装置40に記憶されていないと判定したとき(ステップS4、NO)、接続拒否メッセージを接続認証要求部23に送信する(ステップS7)。
次に、本実施形態における無線通信端末10のインターネットへの無線通信接続要求から通信許可までの概略手順について図7を参照して説明する。ここでは、予め、出荷システム50により、ユーザに出荷したSIMカード13のIMSIが認証情報管理装置40に記憶されてあり、AP20のセッション管理部24に記憶される管理情報には、無線通信端末10のMACアドレスが登録されていないものとする。まず、無線通信端末10がAP20に対し端末無線通信部11を介して自端末のMACアドレスを含む無線通信接続要求を行う[1]。
次に、AP20はAP無線通信部21に無線通信接続要求を受信すると、AP20のセッション管理部24は、AP無線通信部21を介して、無線通信接続要求に含まれている無線通信端末10のMACアドレスを取得し、記憶されている管理情報に当該MACアドレスが通信許可として登録されているか確認する。セッション管理部24は、無線通信端末10のMACアドレスが管理情報に登録されていれば、無線通信端末10をインターネットに接続し、登録されていなければ、接続認証要求部23にSIMカード情報を用いた認証を求める。ここでは、管理情報にはMACアドレスが登録されていないので、セッション管理部24は図4で説明した内部プロセスIDを発行し、管理情報に無線通信端末10のMACアドレスに対応付けて登録する。また、このとき、セッション管理部24はまだ無線通信端末10の通信を許可していないため、通信許可状態は「0」として、上記同様に無線通信端末10のMACアドレスと内部プロセスIDに対応付けて管理情報に登録する。そして、セッション管理部24は発行した内部プロセスIDとともに接続認証要求部23に認証を求める。
接続認証要求部23は端末認証サーバ22に対して認証を求める。端末認証サーバ22は、AP無線通信部21を介して、無線通信端末10に、SIMカード情報の取得要求(例:EAP−Request/Identity)を送信する。端末無線通信部11にSIMカード情報の取得要求を受信すると、無線通信端末10の端末認証要求部12は、無線通信端末10に搭載されているSIMカード13からIMSIと通信事業者を特定する通信事業者情報等を取得し、IMSIと通信事業者情報を示すドメイン名とを組み合わせたユーザ識別情報(例:1440101234567890@wlan.mnc10.mcc440. 3gppnetwork.org 「440101234567890」はIMSIの例、「440」はMCCの例、「10」はMNCの例、「1234567890」は加入者番号の例、「3gppnetwork.org」の部分は3GPP標準で規定されたSIM認証を用いる場合の標準ドメイン名の例)を生成し、ユーザ識別情報を含むSIMカード情報を端末無線通信部11を介して、AP無線通信部21に送信する。なお、このユーザ識別情報は、User−Name属性、EAP−Response/Identity属性、もしくはEAP−Response/SIM/Start属性等のメッセージとして、無線通信端末10からAP20へ送信される。
AP20のAP無線通信部21は、端末無線通信部11よりユーザ識別情報を含むSIMカード情報を受信すると、これを端末認証サーバ22に渡す。端末認証サーバ22は、これら情報を接続認証要求部23に渡す。接続認証要求部23は、取得したSIMカード情報に含まれるユーザ識別情報を含む接続認証要求を無線通信端末認証制御装置30に送信する[2]。
無線通信端末認証制御装置30は、接続認証要求を受信すると、接続認証要求に含まれるユーザ識別情報からIMSIを抽出し、IMSIが認証情報管理装置40に記憶されているかどうかを問合せる[3]。認証情報管理装置40は、IMSIを記憶しているか否かの判定結果を無線通信端末認証制御装置30に返答する。ここでは、認証情報管理装置40に無線通信端末10のIMSIは記憶されているので、記憶有の判定結果を無線通信端末認証制御装置30に返答する[4]。無線通信端末認証制御装置30は、問い合わせした判定結果を基に、接続可否判定結果のメッセージをAP20に返答する。ここでは、記憶有の判定結果を基に、接続許可メッセージを返答する[5]。
AP20の接続認証要求部23は、接続認証要求に対する回答として、無線通信端末認証制御装置30から接続可否判定結果のメッセージを受信する。ここでは、認証情報管理装置40に無線通信端末10のIMSIは記憶されているので、接続認証要求部23は無線通信端末10のインターネットへの接続が許可された旨の接続許可メッセージを受信する。
セッション管理部24は、接続許可メッセージを受信すると、管理情報に、接続許可メッセージに含まれる内部プロセスIDに対応する通信許可状態を「1」として変更登録し、通信許可状態を「1」としたMACアドレスの無線通信端末10については、インターネットと無線通信端末10との通信の送受信を許可する[6]。また、セッション管理部24は、接続認証要求部23に、無線通信端末10のインターネットへの接続が拒否された旨の接続拒否メッセージを受信した場合は、管理情報の通信許可状態は「0」のままとし、AP無線通信部21を介して無線通信端末10に接続拒否を通知する。
その後、無線通信端末10は、AP20を介したインターネットへの無線通信を開始する[7]。
以上、第1実施形態によれば、公衆無線LANインフラの利用契約を、SIMカードに記録されたMCC/MNCで示される事業者(MNO等)とは別の事業者(MVNO等)が有している場合であっても、無線通信事業者であるMNOが提供元であるSIMカードのユーザ識別情報(IMSI)を認証情報管理装置40に記憶し、記憶されたIMSIとAP2にインターネットへの接続を要求する無線通信端末10から取得したIMSIとを照合することにより、ユーザがユーザ認証を簡易に行うことが可能となる。
[第2実施形態]
次に、本発明の第2実施形態における無線通信端末認証制御装置30を含む無線通信制御システムの概略構成について図8を参照して説明する。なお、第1実施形態と同様の構成についての説明は省略し、第2実施形態において初めて登場する構成を主として説明する。
第2実施形態においては、無線通信端末認証制御装置30が、認証情報管理装置40にIMSIが記憶されていないと判定した場合の、その後の処理が第1実施形態と異なる。すなわち、第2実施形態では、無線通信端末認証制御装置30は、IMSIが認証情報管理装置40に記憶されていないと判定したとき、認証情報管理装置40にIMSIが記憶されていないと判定された接続認証要求を、その接続認証要求に含まれる本来のユーザ識別情報のドメイン名で示されるユーザ認証制御を管理するMNO等の所定の通信事業者の認証制御管理装置へ転送する。
図8では、A社認証サーバ61及びA社認証データベース62(以下「A社認証DB」という。)、B社認証サーバ71及びB社認証データベース72(以下「B社認証DB」という。)が所定の通信事業者の認証制御管理装置に相当する。これ以降、「データベース」を含む構成要素の各名称においては、全てその略称である「DB」にて表記するものとする。
第2実施形態における無線通信端末認証制御装置30が接続認証要求を受信し、接続可否判定結果のメッセージを送信するまでの処理手順について図9を参照して説明する。なお、第1実施形態の図6で説明した処理手順と重複する手順については説明を省略する。すなわち、第2実施形態においては、ステップS4において、無線通信端末認証制御装置30が、IMSIが認証情報管理装置40に記憶されていないと判定した場合(ステップS4、NO)以降の処理が第1実施形態と異なっており、この場合は、接続認証要求に含まれるユーザ識別情報のドメイン名で示されるA社認証サーバ61又はB社認証サーバ71に接続認証要求が転送される(ステップS16)。
次に、第2実施形態における無線通信処理の概略手順について図10を参照して説明する。なお、第1実施形態の図7で示した手順と重複する手順については説明を省略する。つまり、ここでは、第1実施形態で説明した場合と異なり、認証情報管理装置40にIMSIが記憶されていないこととする。第2実施形態は、認証情報管理装置40がIMSIを記憶しているか否かの判定結果を無線通信端末認証制御装置30に返答する[4]以降の手順が第1実施形態と異なる。
まず、認証情報管理装置40は、無線通信端末10のIMSIは記憶されていないので、記憶無しの判定結果を無線通信端末認証制御装置30に返答する。無線通信端末認証制御装置30は、記憶無しの判定結果を受信すると、接続認証要求に含まれるユーザ識別情報のドメイン名で示されるA社認証サーバ61又はB社認証サーバ71に接続認証要求を転送し、判定の問い合わせをする[11]。そして、A社認証サーバ61又はB社認証サーバ71はA社認証DB62又はB社認証DB72に問い合わせて、接続認証要求に含まれるユーザ識別情報に基づいて認証処理を行い[12]、A社認証DB62又はB社認証DB72からその認証の判定結果を受け取り[13]、判定結果を無線通信端末認証制御装置30に返答する[14]。無線通信端末認証制御装置30は、問い合わせした判定結果を基に接続可否判定結果のメッセージをAP20に返答する[5]。これ以降の手順は第1の実施形態の図7の[6]以降と同様である。
以上、第2実施形態によれば、IMSIが認証情報管理装置40に記憶されていない場合でも、認証処理がMNOにおいて実施されるため、公衆無線LAN事業者とMVNO事業者との間に利用契約がない場合でも、公衆無線LAN事業者とMNO事業者との間に利用契約があれば、ユーザ認証が行われずにユーザが無線通信サービスを受けられないような状況を回避することが可能となる。
[第3実施形態]
次に、本発明の第3実施形態における無線通信端末認証制御装置30を含む無線通信制御システムの概略構成について図11を参照して説明する。なお、第1実施形態及び第2実施形態と同様の構成についての説明は省略し、第3実施形態において初めて登場する構成を主として説明する。
第3実施形態においては、認証情報管理装置400の役割が第1実施形態等と異なり、さらに、認証処理をMVNOの末端認証制御管理装置にて行う点が特徴となっている。つまり、認証情報管理装置400は、MVNOによるユーザ認証制御を管理する末端認証制御管理装置の宛先情報と、SIMカードに記憶されるユーザ識別情報とを対応させて記憶している。
また、無線通信端末認証制御装置30は、IMSIが認証情報管理装置400に記憶されていると判定したとき、認証情報管理装置400に記憶されていると判定したIMSIを含む接続認証要求を、そのIMSIに対応して記憶された宛先情報で示される末端認証制御管理装置に転送する。図11に示すC社認証サーバ83、末端DB82及び出荷システム81、並びに、D社認証サーバ93、末端DB92、及び出荷システム91が末端認証制御管理装置に相当する。
次に、第3実施形態における認証情報管理装置400に記憶されるIMSIと宛先情報との対応関係の一例について図12を参照して説明する。ここでは、IMSI「440101234567890」に対応して宛先「MVNO−C」が記憶され、IMSI「440100123456789」に対応して宛先「MVNO−D」が記憶され、IMSI「440100736067599」に対応して宛先「MVNO−D」が記憶され、IMSI「440101234567890」に対応して宛先「MVNO−C」が記憶されている。つまり、無線通信端末認証制御装置30は、IMSIに対応する宛先をこれらを参照して特定し、特定した宛先で示されるMVNOの末端認証制御管理装置に接続認証要求を転送すればよい。
次に、第3実施形態における末端DB82又は末端DB92に記憶されるIMSIの一例について図13を参照して説明する。第3実施形態における末端DB82及び末端DB92は、第1実施形態における認証情報管理装置40と同等の機能を有するものであるが、末端DB82及び末端DB92は第1実施形態とは、その設置場所が異なっている。つまり、第3実施形態では、MVNOに設置される点が第1実施形態と大きく異なっている。なお、図13におけるIMSIの例は第1実施形態において説明した図3のIMSIと同様であるため説明を省略する。
次に、第3実施形態における処理手順について図14を参照して説明する。なお、第1実施形態の図6や第2実施形態の図9で説明した処理手順と重複する手順については説明を省略する。すなわち、第3実施形態では、ステップS4で無線通信端末認証制御装置30が、IMSIが認証情報管理装置400に記憶されていると判定した(ステップS4、YES)後の手順が第1実施形態などと異なる。
その後、無線通信端末認証制御装置30は、認証情報管理装置400に記憶されていると判定したIMSIに対応して記憶される宛先で示されるMVNOの末端認証制御管理装置に接続認証要求を転送する(ステップS21)。
その後、末端認証制御管理装置における各社末端DBにIMSIが記憶されているか否かを各社認証サーバが判定し(ステップS22)、各社末端DBにIMSIが記憶されていると判定したとき(ステップS22、YES)、各社認証サーバは接続許可メッセージを無線通信端末認証制御装置30に送信する(ステップS23)。他方、各社末端DBにIMSIが記憶されていないと判定したとき(ステップS22、NO)、各社認証サーバは接続拒否メッセージを無線通信端末認証制御装置30に送信する(ステップS24)。
次に、第3実施形態における無線通信処理の概略手順について図15を参照して説明する。なお、第1実施形態の図7で示した手順と重複する手順については説明を省略する。つまり、ここでは、認証情報管理装置400にIMSIが記憶されていることが無線通信端末認証制御装置30に返答された[4]以降の手順が第1実施形態と異なる。なお、本図では、図10において示してあったA社認証サーバ61及びA社認証DB62、並びにB社認証サーバ71及びB社認証DB72を除外しているが、図示上の便宜のためであり、第3実施形態がこれらの構成を含まないという趣旨ではない。ここで、C社の末端DB82又はD社の末端DB92には、無線通信接続要求を送信した無線通信端末10のIMSIが記憶されていることとする。
無線通信端末認証制御装置30は、認証情報管理装置400に記憶されたIMSIに対応する宛先情報で特定される末端認証制御管理装置に含まれるC社認証サーバ83又はD社認証サーバ93に接続認証要求を転送する[21]。C社認証サーバ83又はD社認証サーバ93は、末端DB82又は末端DB92にIMSIが記憶されているか否かを判定し[22]、判定結果を得る[23]。ここでは、末端DB82又は末端DB92には、無線通信端末10のIMSIが記憶されているので、認証OKの判定結果を得る。その後、C社認証サーバ83又はD社認証サーバ93は得た認証OKの判定結果を無線通信端末認証制御装置30に返答する[24]。無線通信端末認証制御装置30は、判定結果を基に、接続可否判定結果のメッセージをAP20に返答する[5]。ここでは、認証OKの判定結果を基に、接続許可メッセージをAP20に返答する。これ以降の手順は、第1の実施形態の[6]以降と同様である。
以上、第3実施形態によれば、無線通信端末認証制御装置30において接続認証要求に含まれるIMSIに対応したMVNOの末端認証制御管理装置を特定して、特定された末端認証制御管理装置に接続認証要求を振り分け、末端認証制御管理装置において受け付けた接続認証要求に含まれるIMSIを基に認証制御を行っているため、MVNOにおいて確実かつ容易な認証処理が可能となるとともに、無線通信端末認証制御装置30においては接続認証要求の転送先を振り分ける処理だけで済むため、処理負荷が軽くなるというメリットがある。
なお、第3実施形態においては、認証情報管理装置400、並びに末端DB82及び末端DB92にIMSIが記憶されることになるが、末端DB側にIMSIを記憶しないようにしてもよい。例えば、利用料金の上限や許容通信データ量などが設定されているといった利用制限がかけられたユーザに割り当てられたIMSIを末端DBに記憶しないことで、MVNO側における利用制限処理を容易に行うことが可能となる。また、例えば、ユーザが無線通信端末を紛失したり、盗難に遭ったりした場合における一時的な利用制限を迅速かつ容易に行うことが可能となる。
[第4実施形態]
次に、本発明の第4実施形態における無線通信端末認証制御装置30を含む無線通信制御システムの概略構成について図16を参照して説明する。なお、第1実施形態等と重複する説明は省略し、第4実施形態において初めて登場する構成を主として説明する。
第4実施形態は、第2実施形態の構成に事業者DB41を追加した点が特徴となっている。すなわち、第4実施形態では、所定の通信事業者を識別する事業者識別情報を記憶する事業者識別情報記憶手段としての事業者DB41をさらに備えている。そして、無線通信端末認証制御装置30は、IMSIに含まれる事業者識別情報が事業者DB41に記憶されているとき、そのIMSIが認証情報管理装置40に記憶されているか否かを判定する。
事業者DB41に記憶される事業者識別情報の例について図17を参照して説明する。ここでは、事業者識別情報として「MCC」と「MNC」を表す5桁から6桁の数字からなる文字列を採用している。例えば、上段の「44010」は「440」がMCC、「10」が所定の事業者を示すものである。また、下段の「310410」は「310」がMCC、「410」が所定の事業者を示すものである。無線通信端末認証制御装置30は、IMSIを抽出したとき、まずはこの事業者DB41を参照して、認証情報管理装置40にIMSIが記憶されているか否かを判定する必要があるか否かを確認する。
次に、第4実施形態における処理手順について図18を参照して説明する。なお、第2実施形態の図9で説明した処理手順と重複する手順については説明を省略する。すなわち、第4実施形態では、ステップS3でIMSIを抽出した後の手順が第2実施形態と異なる。
無線通信端末認証制御装置30は、抽出したIMSIに含まれる「MCC」「MNC」からなる文字列が事業者DB41に記憶されているか否かを判定する(ステップS31)。そして、無線通信端末認証制御装置30は、「MCC」「MNC」からなる文字列が事業者DB41に記憶されていると判定したとき(ステップS31、YES)、IMSIが認証情報管理装置40に記憶されているか否かを判定する(ステップS32)。
無線通信端末認証制御装置30が、IMSIが認証情報管理装置40に記憶されていると判定したとき(ステップS32、YES)、接続許可メッセージをAP20に送信する(ステップS33)。他方、無線通信端末認証制御装置30が、抽出したIMSIに含まれる「MCC」「MNC」からなる文字列が事業者DB41に記憶されていないと判定したとき(ステップS31、NO)、無線通信端末認証制御装置30は、接続認証要求に含まれるドメイン名で示されるA社認証サーバ61又はB社認証サーバ71に接続認証要求を転送する(ステップS34)。
第4実施形態における無線通信処理の概略手順について図19を参照して説明する。なお、第2実施形態の図10で示した手順と重複する手順については説明を省略する。つまり、ここでは、無線通信端末認証制御装置30がIMSIを抽出した[2]以降の手順が第2実施形態と異なっている。ここでは、第2実施形態で説明した場合と異なり、認証情報管理装置40に無線通信端末10のIMSIが記憶されており、事業者DB41にIMSIから抽出した事業者識別情報「44010」が記憶されているとする。なお、ここでは、A社認証サーバ61及びA社認証DB62、並びにB社認証サーバ71及びB社認証DB72は、図示の便宜上省略している。
無線通信端末認証制御装置30は、事業者DB41にIMSIから抽出した事業者識別情報「MCC=440」「MNC=10」が記憶されているか否かを判定する[31]。ここでは、事業者DB41に事業者識別情報「MCC=440」「MNC=10」が記憶されているので、事業者識別情報有りと判定する。無線通信端末認証制御装置30は、判定結果を得た[32]後、その判定結果が、事業者識別情報有りであったので、IMSIが認証情報管理装置40に記憶されているか否かを判定する[33]。ここでは、認証情報管理装置40に無線通信端末10のIMSIが記憶されているので、無線通信端末認証制御装置30は、記憶有の判定結果を得る[34]。この記憶有の判定結果を得た以降の手順は、第1の実施形態の図7の[5]以降と同様である。
以上、第4実施形態によれば、まず無線通信端末認証制御装置30が、抽出したIMSIのうち事業者識別情報「MCC」「MNC」を確認し、これが事業者DB41に記憶されているか否かを判定し、事業者識別情報「MCC」「MNC」が事業者DB41に記憶されているときのみ、IMSIが認証情報管理装置40に記憶されているか否かを判定する処理を行い、事業者識別情報「MCC」「MNC」が事業者DB41に記憶されていないと判定したときは、認証情報管理装置40を確認する処理を行うことなく、接続認証要求に含まれるドメイン名で示される宛先にその接続認証要求を転送するので、認証情報管理装置40に記憶されている加入者が数十万人分のIMSI全桁を常に確認する必要がなくなり、検索負荷を軽減することが可能となる。
[第5実施形態]
次に、本発明の第5実施形態における無線通信端末認証制御装置30を含む無線通信制御システムの概略構成について図20を参照して説明する。なお、第3実施形態等と重複する説明は省略し、第5実施形態において初めて登場する構成を主として説明する。第5実施形態においては、E社認証サーバ201及びE社認証DB202、並びにF社認証サーバ301及びF社認証DB302をMVNOの認証制御管理装置として追加している。なお、図示の便宜上、A社認証サーバ61及びA社認証DB62、並びにB社認証サーバ71及びB社認証DB72は省略している。
第3実施形態における認証情報管理装置40がIMSI及びこれに対応する宛先情報を記憶していたものであるのに対し、第5実施形態においては、認証情報管理装置410が、IMSI、並びにこれに対応してMVNOの末端認証制御管理装置における認証に用いるユーザID及び認証パスワードを記憶する点が特徴となっている。
すなわち、第5実施形態における認証情報管理装置410は、SIMカードに記憶されるIMSIに基づいて、MVNOによるユーザ認証制御を管理する末端認証制御管理装置におけるユーザ認証に用いるユーザIDと認証パスワードを生成し、生成されたユーザID及び認証パスワードをIMSIに対応させて記憶する。そして、無線通信端末認証制御装置30は、抽出したIMSIが認証情報管理装置410に記憶されていると判定したとき、認証情報管理装置410に記憶された、抽出したIMSIに対応するユーザID及び認証パスワードを、ユーザIDに含まれる宛先情報で示されるMVNOの末端認証制御管理装置に転送する。
次に、第5実施形態における認証情報管理装置410に記憶されるIMSI並びにこれに対応したユーザID及び認証パスワードの一例について図21を参照して説明する。
ここでは、IMSI「440101234567890」に対応してユーザID「440101234567890@MVNO−E.jp」及び認証パスワード「vwxyz12345」が記憶され、IMSI「440100123456789」に対応してユーザID「0123456789@MVNO−F.jp」及び認証パスワード「Abcd12345」が記憶され、IMSI「440100736067599」に対応してユーザID「736067599@MVNO−F.jp」及び認証パスワード「98765asdfg」が記憶され、IMSI「440101234567890」に対応してユーザID「440101234567891@MVNO−E.jp」及び認証パスワード「qwertyuiop」が認証情報管理装置410に記憶されている。なお、これらが一例であることは言うまでもない。無線通信端末認証制御装置30は、認証情報管理装置410に記憶されたこれらの情報を元に特定したMVNOの末端認証制御管理装置に接続認証要求を転送する。
次に、第5実施形態における処理手順について図22を参照して説明する。なお、第3実施形態の図14で説明した処理手順と重複する手順については説明を省略する。すなわち、第5実施形態では、ステップS4で無線通信端末認証制御装置30が認証情報管理装置410にIMSIが記憶されていると判定した後の手順が第3実施形態と異なる。ここで、E社認証DB202又はF社認証DB302には、無線通信接続要求を送信した無線通信端末10を使用するユーザ(又はIMSI)に対応するユーザIDと認証パスワードが記憶されていることとする。
無線通信端末認証制御装置30は、認証情報管理装置410でIMSIに対応して記憶されたユーザIDに、接続認証要求に含まれるユーザ識別情報を変換する(ステップS41)。そして、無線通信端末認証制御装置30は、変換されたユーザIDに含まれるドメイン名で示される宛先情報で特定されるMVNOの末端認証制御管理装置にユーザIDを含む接続認証要求を転送する(ステップS42)。
第5実施形態における無線通信処理の概略手順について図23を参照して説明する。なお、第3実施形態の図15で示した手順と重複する手順については説明を省略する。つまり、ここでは、無線通信端末認証制御装置30がIMSIを抽出した[2]以降の手順が第3実施形態と異なっている。
無線通信端末認証制御装置30は、認証情報管理装置410にIMSIが記憶されていると判定した[41]後、認証情報管理装置410にて無線通信端末10のIMSIに対応して記憶されたユーザID及び認証パスワードを受け取る[42]。無線通信端末認証制御装置30は、受け取ったユーザIDに含まれるドメイン名で示される宛先情報で特定されるE社認証サーバ201又はF社認証サーバ301に、ユーザ識別情報をユーザIDに変換し、ユーザIDと認証パスワードとを含む接続認証要求を、ユーザID及び認証パスワードと共に転送する[43]。
E社認証サーバ201又はF社認証サーバ301は、E社認証DB202又はF社認証DB302を参照し、転送された接続認証要求に含まれるユーザID及び認証パスワードを用いて、無線通信接続要求を送信した無線通信端末10を使用するユーザのユーザ認証を実行し[44]、認証の判定結果を得る[45]。ここでは、E社認証DB202又はF社認証DB302には、ユーザIDと認証パスワードとが記憶されているので、認証OKの判定結果を得る。その後、E社認証サーバ201又はF社認証サーバ301は、認証OKの認証結果を無線通信端末認証制御装置30に返答する[46]。無線通信端末認証制御装置30は、接続認証要求の判定結果を基に、接続可否判定結果のメッセージをAP20に返答する[5]。ここでは、認証OKの判定結果を基に、接続許可メッセージをAP20に返答する。これ以降は第3の実施形態の図15と同様である。
以上、第5実施形態によれば、認証情報管理装置40においてIMSIから変換されたユーザID及び認証パスワードを、接続認証要求と共にMVNOの末端認証制御管理装置に転送し、MVNOの末端認証制御管理装置において、転送されたユーザID及び認証パスワードを使用したユーザ認証制御を行うため、MVNO事業者はSIMカードの存在を意識することなく、従来からのIDとパスワードを用いた認証制御管理装置を用いて、ユーザ認証を簡易に行うことが可能となる。
[第6実施形態]
次に、本発明の第6実施形態における無線通信端末認証制御装置30を含む無線通信制御システムの概略構成について図24を参照して説明する。なお、第3実施形態等と重複する説明は省略し、第6実施形態において初めて登場する構成を主として説明する。
第3実施形態における認証情報管理装置40がIMSIを構成する全桁を記憶していたものであるのに対し、第6実施形態においては、認証情報管理装置420が、IMSIを構成する数桁を記憶する点が特徴となっている。
すなわち、第6実施形態における認証情報管理装置420は、MVNOによるユーザ認証制御を管理する末端認証制御管理装置の宛先情報と、SIMカードに記憶されるIMSIに含まれる一部の文字列とを対応させて記憶する。そして、無線通信端末認証制御装置30は、抽出したIMSIに含まれる一部の文字列が認証情報管理装置420に記憶されていると判定したとき、認証情報管理装置420に記憶されていると判定された文字列を含むIMSIを含む接続認証要求を、文字列に対応して記憶された宛先情報で示されるMVNOの末端認証制御管理装置に転送する。
次に、第6実施形態における認証情報管理装置420に記憶されるIMSIの一部及び宛先情報の一例について図25を参照して説明する。なお、ここでは、IMSIの一部を「MCC+MNC+MSINの先頭2桁」の計7桁又は8桁としているが、これに限定されない。
ここでは、IMSIの一部「4401005」に対応して宛先情報「MVNO−C」が記憶され、IMSIの一部「4401004」に対応して宛先情報「MVNO−D」が記憶され、IMSIの一部「4401004」に対応して宛先情報「MVNO−D」が記憶され、IMSIの一部「4401005」に対応して宛先情報「MVNO−C」が記憶されている。なお、これらが一例であることは言うまでもない。
次に、第6実施形態における処理手順について図26を参照して説明する。なお、第3実施形態の図14で説明した処理手順と重複する手順については説明を省略する。すなわち、第6実施形態では、ステップS3で無線通信端末認証制御装置30がIMSIを抽出した後の手順が第3実施形態と異なっている。
無線通信端末認証制御装置30は、抽出したIMSIの一部が認証情報管理装置420に記憶されているか否かを判定する(ステップS51)。無線通信端末認証制御装置30が、IMSIの一部が認証情報管理装置420に記憶されていると判定したとき(ステップS51、YES)、IMSIの一部に対応して記憶された宛先情報で示されるMVNOの末端認証制御管理装置に接続認証要求を転送する(ステップS52)。他方、無線通信端末認証制御装置30が、IMSIの一部が認証情報管理装置420に記憶されていないと判定したとき(ステップS51、NO)、接続認証要求に含まれるドメイン名で示される宛先情報で特定されるMNOの認証制御管理装置に接続認証要求が転送される(ステップS53)。ステップS52以降の手順は、第3実施形態の図14のステップS22と同様である。なお、第6実施形態における無線通信処理の概略手順については、第3実施形態において説明した図14の手順と同様であるため、図示及び説明を省略する。
以上、第6実施形態によれば、認証情報管理装置420において、数十万人分のIMSIを構成する全桁を確認する必要もなくなるため、検索の負荷が軽減されるという効果がある。
[第7実施形態]
次に、本発明の第7実施形態における無線通信端末認証制御装置30を含む無線通信制御システムの概略構成について図27を参照して説明する。なお、第1実施形態等と重複する説明は省略し、第7実施形態において初めて登場する構成を主として説明する。
第7実施形態においては、認証情報管理装置430がIMSIだけでなく、所定の条件で無線通信端末の利用を制限する利用制限情報を記憶する点が第1実施形態等と異なっている。
すなわち、第7実施形態における認証情報管理装置430は、SIMカードに記憶されるIMSIと、SIMカードを用いた無線通信端末10の無線ネットワークを介した通信サービスの利用を制限する利用制限情報とを対応させて記憶する。そして、第7実施形態における無線通信端末認証制御装置30は、接続認証要求に含まれる無線通信端末10のIMSIが、認証情報管理装置430に記憶されていた場合、AP20に、IMSIに対応して認証情報管理装置430に記憶されている利用制限情報を送信する。
次に、認証情報管理装置430に記憶されるIMSI及び利用制限情報について図28を参照して説明する。ここでは、利用制限情報として、無線通信端末10を使用する際の「最大速度」、「時間帯」、「データ量」、「回線種別」、「アプリ種別」を採用しているが、これら以外の利用制限情報であってもよい。なお、図27における「ALL」は制限なしであることを意味する。
図28においては、上段から、IMSI「440101234567890」に対応して、全ての利用制限情報が「ALL」として記憶され、IMSI「440100123456789」に対応して最大速度「1.0Mbps」、時間帯「14−16」、データ量「2.5Gb」、回線種別「WPAonly」、アプリ種別「動画サイト禁止」が記憶され、IMSI「440100736067599」に対応して最大速度「ALL」、時間帯「9−11/14−17」、データ量「ALL」、回線種別「ALL」、アプリ種別「ALL」が記憶され、IMSI「440101234567890」に対応して最大速度「10.0Mbps」、時間帯「ALL」、データ量「ALL」、回線種別「EAPonly」、アプリ種別「SNSのみ」が記憶されている。無線通信端末認証制御装置30は、AP20から接続認証要求を受信した際、接続認証要求に含まれるユーザ識別情報から抽出したIMSIが認証情報管理装置430に記憶されていた場合、当該IMSIに対応するこれらの利用制限情報をAP20へ送信する。
次に、AP20のセッション管理部24で管理される管理情報の例について図29を参照して説明する。本図は、第1実施形態の図4に、無線通信端末認証制御装置30から送信された利用制限情報を対応する無線通信端末10のMACアドレスに加えたものであるため、ここでの詳細な説明は省略する。つまり、接続認証要求を行った無線通信端末10に割り当てられたMACアドレスに対応して、その接続認証要求から抽出したIMSIに対応して記憶された利用制限情報を、AP20が無線通信端末認証制御装置30から受信して、記憶する。
以上、第7実施形態によれば、AP20は、認証制御の際、無線通信端末認証制御装置30から利用制限情報を受信して、これをセッション管理部24において記憶することにより、ユーザ認証だけでなく、ユーザ毎に個別に利用制限をかけることが可能となる。
[第8実施形態]
次に、本発明の第8実施形態における無線通信端末認証制御装置30を含む無線通信制御システムの概略構成について図30を参照して説明する。なお、第3実施形態等と重複する説明は省略し、第8実施形態において初めて登場する構成を主として説明する。
第8実施形態においては、認証制御においてMVNOの末端認証制御管理装置とMNOの認証制御管理装置の両方を用いる点を特徴とする。図30は、第3実施形態における図11に、A社認証サーバ61及びA社認証DB62、並びにB社認証サーバ71及びB社認証DB72を加えたものである(ただし、これらは第3実施形態において図示上の便宜により省略していたにすぎない)。第8実施形態では、無線通信端末認証制御装置30’が第3実施形態等における無線通信端末認証制御装置30と異なる機能を有する。
すなわち、無線通信端末認証制御装置30’は、認証情報管理装置400に記憶されていると判定したIMSIを含む接続認証要求を、IMSIに対応して記憶された宛先情報で示されるMVNOの末端認証制御管理装置に転送し、末端認証制御管理装置において転送されたIMSIが認証される。その後、無線通信端末認証制御装置30’は、接続認証要求に含まれる宛先情報で示されるユーザ認証制御を管理するMNOの認証制御管理装置に末端認証制御管理装置で認証されたIMSIを含む接続認証要求を転送する。
第8実施形態における認証情報管理装置400及び末端DBにIMSI等が記憶されることについては第3実施形態と同様であるため説明を省略する。
次に、第8実施形態における処理手順について図31を参照して説明する。なお、第3実施形態の図14で説明した処理手順と重複する手順については説明を省略する。すなわち、第8実施形態では、ステップS21で、無線通信端末認証制御装置30により、認証情報管理装置400にIMSIが記憶されていると判定された後、記憶されたIMSIに対応した宛先情報で特定されるMVNOの末端認証制御管理装置に接続認証要求が転送された後の手順が第3実施形態と異なっている。
宛先情報で特定されたMVNOの末端認証制御管理装置は、接続認証要求に含まれるIMSIについて認証がOKかNGかを判定する(ステップS61)。末端認証制御管理装置において認証OKと判定されたとき(ステップS61、YES)、その判定結果を受けた無線通信端末認証制御装置30は、次に、接続認証要求に含まれるドメイン名で示される宛先情報で特定されるMNOの認証制御管理装置に接続認証要求を転送する(ステップS62)。他方、末端認証制御管理装置において認証NGと判定されたとき(ステップS61、NO)、無線通信端末認証制御装置30は接続拒否メッセージをAP20に送信する(ステップS65)。
一方、接続認証要求を受信したMNOの認証制御管理装置は、接続認証要求に含まれるIMSIについて認証がOKかNGかを判定する(ステップS63)。認証制御管理装置において認証OKと判定されたとき(ステップS63、YES)、無線通信端末認証制御装置30は接続許可メッセージをAP20に送信する。他方、認証制御管理装置において認証NGと判定されたとき(ステップS63、NO)、無線通信端末認証制御装置30は接続拒否メッセージをAP20に送信する(ステップS65)。
第8実施形態における無線通信処理の概略手順について図32を参照して説明する。なお、第3実施形態の図15で示した手順と重複する手順については説明を省略する。つまり、ここでは、無線通信端末認証制御装置30により、認証情報管理装置400にIMSIが記憶されているか否かが判定された[4]後の手順が第3実施形態等と異なっている。ここで、A社認証DB62又はB社認証DB72に無線通信端末10のIMSIが記憶されているものとする。
無線通信端末認証制御装置30は、認証情報管理装置400にIMSIが記憶されていると判定した場合に、記憶されたIMSIに対応する宛先情報で特定されるMVNOの末端認証制御管理装置であるC社認証サーバ83又はD社認証サーバ93に接続認証要求を転送する[51]。
C社認証サーバ83又はD社認証サーバ93は、C社末端DB82又はD社末端DB92にIMSIが記憶されているか否かを判定し[52]、判定結果を得る[53]。その後、C社認証サーバ83又はD社認証サーバ93は得た判定結果を無線通信端末認証制御装置30に返答する[54]。ここでは、末端DB82又は末端DB92には、無線通信端末10のIMSIが記憶されているので、認証OKの判定結果を得る。
その後、無線通信端末認証制御装置30は、C社認証サーバ83又はD社認証サーバ93から認証OKの判定結果を受信すると、接続認証要求に含まれるユーザ識別情報のドメイン名で示されるA社認証サーバ61又はB社認証サーバ71に接続認証要求を転送する[55]。そして、A社認証サーバ61又はB社認証サーバ71はA社認証DB62又はB社認証DB72を参照してIMSIに基づいた認証制御を行い[56]、認証結果を受け取る[57]。ここでは、A社認証DB62又はB社認証DB72に無線通信端末10のIMSIが記憶されているので、A社認証サーバ61又はB社認証サーバ71は、認証OKの判定結果を無線通信端末認証制御装置30に返答する[58]。無線通信端末認証制御装置30は、判定結果を基に、接続可否判定結果のメッセージをAP20に返答する[5]。ここでは、認証OKの判定結果を基に、接続許可メッセージをAP20に返答する。これ以降は第3の実施形態の図15と同様である。
以上、第8実施形態によれば、MVNOの末端認証制御管理装置およびMNOの認証制御管理装置の両方に認証処理をさせるため、本人認証の確実性を向上させることが可能になる。なお、上述した第8実施形態の説明においては、MVNOの末端認証制御管理装置に先に認証処理をさせ、その後にMNOの認証制御管理装置に認証させることとしているが、これに限定されず、MNOの認証制御管理装置に先に認証処理をさせ、その後にMVNOの末端認証制御管理装置に認証処理をさせることとしてもよい。
なお、上述する各実施の形態は、本発明の好適な実施の形態であり、本発明の要旨を逸脱しない範囲内において種々変更実施が可能である。例えば、上述した本実施形態における各処理を、ハードウェア、又は、ソフトウェア、あるいは、両者の複合構成を用いて実行することも可能である。
なお、ソフトウェアを用いて処理を実行する場合には、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれているコンピュータ内のメモリにインストールして実行させることが可能である。あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。
10 無線通信端末
11 端末無線通信部
12 端末認証要求部
13 SIMカード
14 アプリケーション実行部
20 AP
21 AP無線通信部
22 端末認証サーバ
23 接続認証要求部
24 セッション管理部
30 無線通信端末認証制御装置
40、400、410、420、430 認証情報管理装置
41 事業者DB
50 出荷システム
61 A社認証サーバ
62 A社認証DB
71 B社認証サーバ
72 B社認証DB
81、91 出荷システム
82、92 末端DB
83 C社認証サーバ
93 D社認証サーバ
201 E社認証サーバ
202 E社認証DB202
301 F社認証サーバ
302 F社認証DB

Claims (10)

  1. 通信事業者から仕入れ仮想移動体通信事業者が提供する認証媒体を用いて、前記通信事業者のネットワークとは異なる無線通信ネットワークのアクセスポイントからネットワークに接続する無線通信端末の認証を制御する無線通信端末認証制御装置であって、
    前記ネットワークへの接続を許可する前記無線通信端末のユーザ識別情報を記憶する認証情報管理装置に、前記アクセスポイントが前記無線通信端末から取得した前記無線通信端末に搭載されている認証媒体に含まれるユーザ識別情報が記憶されているか否かを判定する制御手段と、
    を備え、
    前記制御手段は、前記ネットワークへの接続を要求にする前記無線通信端末の端末識別情報が前記アクセスポイントに記憶されていないときに前記アクセスポイントから送信される前記ユーザ識別情報を含む接続認証要求を受信した場合、受信した前記接続認証要求に含まれる当該ユーザ識別情報が前記認証情報管理装置に記憶されているか否かを判定し、前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信することを特徴とする無線通信端末認証制御装置。
  2. 前記制御手段は、
    前記ユーザ識別情報が前記認証情報管理装置に記憶されていると判定したとき、前記無線通信端末の前記ネットワークへの接続を許可する接続許可を前記アクセスポイントに送信し、
    前記ユーザ識別情報が前記認証情報管理装置に記憶されていないと判定したとき、前記認証情報管理装置にユーザ識別情報が記憶されていないと判定された接続認証要求を、該接続認証要求に含まれる宛先情報で示されるユーザ認証制御を管理する所定の通信事業者の認証制御管理装置へ転送し、前記所定の通信事業者の認証制御管理装置から受信した認証の判定結果を基に前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信することを特徴とする請求項1記載の無線通信端末認証制御装置。
  3. 前記認証情報管理装置に、前記仮想移動体通信事業者によるユーザ認証制御を管理する末端認証制御管理装置の宛先情報と、前記認証媒体に記憶されるユーザ識別情報と対応付けられて記憶されており
    前記制御手段は、前記ユーザ識別情報が前記認証情報管理装置に記憶されていると判定したとき、前記認証情報管理装置に記憶されていると判定されたユーザ識別情報を含む接続認証要求を、該ユーザ識別情報に対応して記憶された宛先情報で示される前記末端認証制御管理装置に転送し、前記末端認証制御管理装置から受信した認証の判定結果を基に前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信することを特徴とする請求項1に記載の無線通信端末認証制御装置。
  4. 前記制御手段は、所定の通信事業者を識別する事業者識別情報を記憶する事業者識別情報記憶装置に、前記ユーザ識別情報に含まれる事業者識別情報が記憶されているとき、該ユーザ識別情報が前記認証情報管理装置に記憶されているか否かを判定することを特徴とする請求項1又は2に記載の無線通信端末認証制御装置。
  5. 前記認証情報管理装置に、前記認証媒体に記憶されるユーザ識別情報に基づいて、前記仮想移動体通信事業者によるユーザ認証制御を管理する末端認証制御管理装置におけるユーザ認証に用いるユーザID及び認証パスワード前記ユーザ識別情報に対応付けられて記憶されており
    前記制御手段は、前記ユーザ識別情報が前記認証情報管理装置に記憶されていると判定したとき、前記認証情報管理装置に記憶された、前記ユーザ識別情報に対応するユーザID及び認証パスワードを、該ユーザIDに含まれる宛先情報で示される前記末端認証制御管理装置に転送し、前記末端認証制御管理装置から受信した認証の判定結果を基に前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信することを特徴とする請求項1に記載の無線通信端末認証制御装置。
  6. 前記認証情報管理装置に、前記仮想移動体通信事業者によるユーザ認証制御を管理する末端認証制御管理装置の宛先情報と、前記認証媒体に記憶されるユーザ識別情報に含まれる一部の文字列と対応付けられて記憶されており
    前記制御手段は、前記ユーザ識別情報に含まれる一部の文字列が前記認証情報管理装置に記憶されていると判定したとき、前記認証情報管理装置に記憶されていると判定された前記文字列を含むユーザ識別情報を含む接続認証要求を、前記文字列に対応して記憶された宛先情報で示される前記末端認証制御管理装置に転送し、前記末端認証制御管理装置から受信した認証の判定結果を基に前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信することを特徴とする請求項1に記載の無線通信端末認証制御装置。
  7. 前記認証情報管理装置に、前記認証媒体に記憶されるユーザ識別情報と、前記認証媒体を用いた前記無線通信端末の前記ネットワークを介した通信サービスの利用を制限する利用制限情報と対応付けられて記憶されており
    制御手段は、前記ネットワークへの接続認証要求を受信した際、受信した前記接続認証要求に含まれる当該ユーザ識別情報が前記認証情報管理装置に記憶されている場合、当該ユーザ識別情報に対応する前記利用制限情報を前記アクセスポイントに送信することを特徴とする請求項1から6の何れか1項に記載の無線通信端末認証制御装置。
  8. 前記制御手段は、前記認証情報管理装置に記憶されていると判定したユーザ識別情報を含む接続認証要求を、該ユーザ識別情報に対応して記憶された宛先情報で示される前記末端認証制御管理装置に転送し、前記末端認証制御管理装置において前記転送されたユーザ識別情報が認証された後、前記接続認証要求に含まれる宛先情報で示されるユーザ認証制御を管理する所定の通信事業者の認証制御管理装置に前記末端認証制御管理装置で認証されたユーザ識別情報を含む接続認証要求を転送し、前記所定の通信事業者の認証制御管理装置から受信した認証の判定結果を基に前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信することを特徴とする請求項3、5、6の何れか1項に記載の無線通信端末認証制御装置。
  9. 通信事業者から仕入れ仮想移動体通信事業者が提供する認証媒体を用いて、前記通信事業者のネットワークとは異なる無線通信ネットワークのアクセスポイントからネットワークに接続する無線通信端末の認証を制御する無線通信端末認証制御装置の制御方法であって、
    前記ネットワークへの接続を要求にする前記無線通信端末の端末識別情報が前記アクセスポイントに記憶されていないときに、前記無線通信端末から取得した前記無線通信端末に搭載されている認証媒体に含まれるユーザ識別情報を含む接続認証要求を、前記アクセスポイントから受信するステップと、
    受信した前記接続認証要求に含まれる当該ユーザ識別情報が、前記ネットワークへの接続を許可する前記無線通信端末のユーザ識別情報を記憶する認証情報管理装置に記憶されているか否かを判定するステップと、
    前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信するステップと、
    を含むことを特徴とする制御方法。
  10. 通信事業者から仕入れ仮想移動体通信事業者が提供する認証媒体を用いて、前記通信事業者のネットワークとは異なる無線通信ネットワークのアクセスポイントからネットワークに接続する無線通信端末の認証を制御する無線通信端末認証制御装置に実行させるプログラムであって、
    前記ネットワークへの接続を要求にする前記無線通信端末の端末識別情報が前記アクセスポイントに記憶されていないときに、前記無線通信端末から取得した前記無線通信端末に搭載されている認証媒体に含まれるユーザ識別情報を含む接続認証要求を、前記アクセスポイントから受信する手順と、
    受信した前記接続認証要求に含まれる当該ユーザ識別情報が、前記ネットワークへの接続を許可する前記無線通信端末のユーザ識別情報を記憶する認証情報管理装置に記憶されているか否かを判定する手順と、
    前記無線通信端末の前記ネットワークへの接続可否を判定した結果である接続可否判定結果を前記アクセスポイントへ送信する手順と、
    を含むことを特徴とするプログラム。
JP2017134422A 2017-07-10 2017-07-10 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム Active JP6503420B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017134422A JP6503420B2 (ja) 2017-07-10 2017-07-10 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017134422A JP6503420B2 (ja) 2017-07-10 2017-07-10 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2015047702A Division JP6177266B2 (ja) 2015-03-10 2015-03-10 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム

Publications (2)

Publication Number Publication Date
JP2017195632A JP2017195632A (ja) 2017-10-26
JP6503420B2 true JP6503420B2 (ja) 2019-04-17

Family

ID=60156538

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017134422A Active JP6503420B2 (ja) 2017-07-10 2017-07-10 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム

Country Status (1)

Country Link
JP (1) JP6503420B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6828963B2 (ja) * 2018-03-30 2021-02-10 Necプラットフォームズ株式会社 通信ネットワークシステム、個別認証情報設定方法および個別認証情報設定プログラム
JP6928697B1 (ja) * 2020-07-27 2021-09-01 Kddi株式会社 認証装置及び認証方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5319456B2 (ja) * 2009-08-20 2013-10-16 キヤノン株式会社 通信システム、その制御方法、基地局装置及びプログラム
JP2015019154A (ja) * 2013-07-09 2015-01-29 日商エレクトロニクス株式会社 加入者情報管理方法、加入者情報管理システム及びセンサデータ収集システム
JP5925737B2 (ja) * 2013-08-05 2016-05-25 西日本電信電話株式会社 無線lanシステム
JP6177266B2 (ja) * 2015-03-10 2017-08-09 ビッグローブ株式会社 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム

Also Published As

Publication number Publication date
JP2017195632A (ja) 2017-10-26

Similar Documents

Publication Publication Date Title
CN110800331B (zh) 网络验证方法、相关设备及***
CN112423301B (zh) 专网注册管理方法和amf网元
US11863543B2 (en) Network device proximity-based authentication
US9197639B2 (en) Method for sharing data of device in M2M communication and system therefor
CN104767715B (zh) 网络接入控制方法和设备
US9113332B2 (en) Method and device for managing authentication of a user
WO2016155298A1 (zh) 一种中继ue接入控制方法及装置
CN108293055A (zh) 用于认证到移动网络的方法、设备和***以及用于将设备认证到移动网络的服务器
WO2018045983A1 (zh) 信息处理方法、装置以及网络***
JP6177266B2 (ja) 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム
CN113473569B (zh) 应用服务器的发现方法及相关装置
JP6503420B2 (ja) 無線通信端末認証制御装置、無線通信端末認証制御システム、無線通信端末認証制御方法、及び、プログラム
KR101357669B1 (ko) 위치 기반 네트워크 접속 시스템 및 방법
CN107135506A (zh) 一种portal认证方法、装置及***
CN109863790A (zh) 蜂窝网络辅助的wlan发现和选择
US11108832B2 (en) Network component selection based on device identifier
JP2003318939A (ja) 通信システムおよびその制御方法
CN105592454A (zh) 实现wlan共享的方法、***和wlan共享注册服务器
CN113015095A (zh) 一种匹配终端与upf的方法及***
CN106572077A (zh) 一种门户认证方法及装置
KR100821168B1 (ko) 교환장치에서의 인증 벡터를 이용한 인증 방법 및 그교환장치
CN111542055B (zh) 信息交互方法、装置、设备及计算机可读存储介质
CN113079505B (zh) 用户认证方法、核心网侧设备及计算机可读存储介质
KR20180089051A (ko) 무선 랜 자동 등록 시스템
CN100490378C (zh) 一种无线网格下的无线设备安全认证方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180821

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181017

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190319

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190325

R150 Certificate of patent or registration of utility model

Ref document number: 6503420

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250