以下に添付図面を参照して、通信システム、通信方法、通信装置およびプログラムの実施形態を詳細に説明する。
(第1の実施形態)
図1は、第1の実施形態に適用可能なネットワークシステムの一例の構成を示す。図1において、ネットワークシステム1aは、各情報機器11a、11b、11c、…と、管理サーバ12と、通信制御装置20aと、ホスト端末32とを含み、これら各情報機器11a、11b、11c、…と、通信制御装置20aと、ホスト端末32とがネットワーク10に互いに通信可能に接続されて構成される。
通信制御装置20aは、認証用アクセスポイント(AP)40とゲスト用AP41とが接続される。認証用AP40およびゲスト用AP41は、それぞれゲスト端末30により無線通信によりアクセスされる。認証用AP40およびゲスト用AP41は、通信制御装置20aに対してケーブルを介して接続される機器でもよいし、通信制御装置20aが備えるUSB(Universal Serial Bus)といったインタフェースのコネクタなどに直接的に接続して用いるドングルとして構成されていてもよい。
また、通信制御装置20aに対して、近距離通信装置21が設けられる。近距離通信装置21は、無線LANよりも通信可能距離が短い通信方式により無線通信を行う。例えば、近距離通信装置21の通信方式として、数m以内といった、比較的近距離間での無線通信を行う通信規格であるBluetooth(登録商標)を適用することができる。Bluetooth(登録商標)では、電波到達距離の異なる3種類のクラスが規定されており、各クラスにおける電波到達距離の目安は、クラス3では最大1m、クラス2では最大10m、クラス1では最大100mとされている。第1の実施形態では、近距離通信装置21として、例えばクラス3のBluetooth(登録商標)を適用すると好ましい。
第1の実施形態では、近距離通信装置21は、通信制御装置20aとの間で通信を行わない。そのため、近距離通信装置21は、通信制御装置20aに装着されている必要はなく、通信制御装置20aの近傍にあればよい。一例として、近距離通信装置21をUSBドングルの構成とし、通信制御装置20aが備えるUSBコネクタに装着して、このUSBコネクタを介して電源のみを通信制御装置20aから供給されるようにすることが考えられる。
近距離通信装置21に適用可能な通信方式は、Bluetooth(登録商標)に限らず、指向性および通信可能距離が無線LANに対して制限がある通信方式であれば、他の通信方式であってもよい。例えば、近距離通信装置21の通信方式として、数cm乃至1m程度の極短距離の通信を行うNFC(Near Field radio Communication)を適用することができる。近距離通信装置21の通信方式として赤外線通信を適用してもよい。さらに、近距離通信装置21の通信方式として、音波、可視光などを用いた通信方式を適用することも可能である。
また、近距離通信装置21は、後述する、ゲスト端末30が認証用AP40に接続するための接続情報を予め記憶したROM(Read Only Memory)を備え、ROMに記憶された接続情報を、近距離無線通信によりブロードキャストする。
ネットワーク10は、例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)をプロトコルとして用いて通信を行うネットワークシステムであって、企業など組織体内で閉じた構成とされる組織内LANである。管理サーバ12は、ネットワーク10に接続可能なユーザの情報と、ネットワーク10に接続される各情報機器11a、11b、11c、…の情報とを管理する。管理サーバ12に管理されるユーザ情報は、少なくともユーザ名とパスワードとを含む。管理サーバ12にユーザ情報が登録されたユーザを、以下、ホストユーザと呼ぶ。また、管理サーバ12に管理される機器情報は、少なくとも、機器に与えられた名前と、機器のネットワーク10上でのIPアドレスと、機器の種類を示す情報とを含む。
なお、図1の例では、情報機器11a、11bおよび11cは、それぞれ電子黒板(IWB)、プロジェクタおよびMFP(Multi Function Printer)となっている。ネットワーク10に接続される情報機器は、これらIWB、プロジェクタおよびMFPに限定されない。
認証用AP40およびゲスト用AP41は、例えばIEEE(Institute of Electrical and Electronics Engineers) 802.11規格に準拠した無線LANによるアクセスポイントであるものとする。以下、このIEEE 802.11規格に準拠した無線LANを、IEEE 802.11機器に関する業界団体であるWi−Fi(登録商標) Allianceによる相互接続性の認定の名称であるWi−Fi(登録商標)と呼ぶ。
ここで、認証用AP40は、Wi−Fi(登録商標)による接続において、暗号化鍵の受け渡しなどの認証処理を行うこと無く接続可能なアクセスポイントである。一方、ゲスト用AP41は、認証処理により認証された端末装置のみがWi−Fi(登録商標)による接続が可能とされるアクセスポイントである。例えば、ゲスト用AP41は、Wi−Fi Alliance(登録商標)が推奨するWPA(Wi-Fi Protected Access)2 Personal(登録商標)の暗号化方式に従い暗号化された情報の通信を行う。
ゲスト端末30は、認証用AP40を介した通信では、ネットワーク10との間での通信は行えない。ゲスト端末30は、ゲスト用AP41を介することで、ネットワーク10との間で通信を行うことができる。すなわち、ゲスト用AP41は、ゲスト端末30と無線LANによる通信を行う第1の通信部である。
ホスト端末32は、ホストユーザが使用する端末装置であり、ゲスト端末30は、組織体外のユーザ(以下、ゲストユーザと呼ぶ)が使用する端末装置である。ゲスト端末30は、近距離通信装置21に適用される通信方式と対応する近距離無線通信手段を備え、近距離通信装置21から送信される接続情報に基づき、認証用AP40との間で接続を確立する。また、通信制御装置20aは、ゲスト端末30のネットワーク10への接続を制御する。
このような構成において、ゲスト端末30は、ネットワーク10との間での通信を行いたい場合、先ず、ゲスト端末30は、近距離通信装置21から送信された接続情報を受信し、受信した接続情報に基づき認証用AP40との間の接続を確立する、ゲスト端末30は、認証用AP40と間の接続が確立すると、この認証用AP40を介してネットワークシステム1aと通信して認証処理を行う。ゲスト端末30は、この認証処理による認証が成功した場合に、ゲスト用AP41を介した通信により、ネットワーク10との間での通信が可能となる。
より具体的には、ゲスト端末30は、先ず、ゲスト端末30が備える近距離無線通信手段を用いて、近距離通信装置21から送信される接続情報を受信する。接続情報は、例えば、認証用AP40のSSID(Service Set Identifier)を含む。ゲスト端末30は、受信した接続情報を用いて認証用AP40との間の、無線LANによる接続を確立させる。
ゲスト端末30は、認証用AP40との間で無線LANによる接続が確立されると、認証用AP40を介して通信制御装置20aと通信を行う。通信制御装置20aは、この通信に応じて、認証情報を入力するための認証画面をゲスト端末30に送信する。ゲスト端末30において、ゲスト端末30を操作するゲストユーザは、この認証画面に対して所定の認証情報を入力し、入力された認証情報を認証用AP40を介して通信制御装置20aに送信する。
通信制御装置20aは、ゲスト端末30から送信された認証情報をホスト端末32に送信する。ホスト端末32は、通信制御装置20aから送信された認証情報を表示デバイスに表示させる。ホスト端末32を使用するホストユーザは、この認証情報の表示を確認して、ホスト端末32に対してゲスト端末30を認証する操作を行う。この操作に応じて、ホスト端末32は、認証結果を通信制御装置20aに送信する。通信制御装置20aは、この認証結果に応じて、ゲスト用AP41に接続するための接続情報を、ゲスト端末30から取得可能な状態とする。
ゲスト端末30は、通信制御装置20aから接続情報を取得することで、ゲスト用AP41と通信を行うことが可能となり、これにより、ゲスト用AP41を介してネットワーク10と通信を行うことが可能となる。例えば、ゲスト端末30は、ネットワーク10を介して各情報機器11a、11b、11c、…と通信を行い、各情報機器11a、11b、11c、に対して画像の表示や印刷などを実行させることができる。
(第1の実施形態に係るより具体的な構成)
図2は、第1の実施形態に適用可能な通信制御装置20aの一例の構成を示す。図2において、通信制御装置20aは、CPU(Central Processing Unit)201と、ROM(Read Only Memory)202と、RAM(Random Access Memory)203と、ストレージ204と、通信I/F205と、データI/F206とを備え、これら各部が、バス200を介して互いに通信可能に接続される。ストレージ204は、情報を不揮発的に記憶可能な記憶媒体であり、ハードディスクドライブや不揮発性の半導体メモリ(フラッシュメモリなど)を用いることができる。
CPU201は、ストレージ204やROM202に予め記憶されたプログラムに従い、RAM203をワークメモリとして用いて、この通信制御装置20a全体の動作を制御する。通信I/F205は、CPU201の指示に従い、ネットワーク10との通信を制御する。データI/F206は、他の機器とデータの送受信を行うためのインタフェースであって、例えばUSB(Universal Serial Bus)を適用することができる。これに限らず、データI/F206としてBluetooth(登録商標)といった比較的近距離を対象とした無線通信によりデータ送受信を行うインタフェースをデータI/F206として用いてもよい。
通信制御装置20aは、このように、一般的なコンピュータを用いて構成することができる。勿論、通信制御装置20aは、ユーザ入力を受け付ける入力デバイスや、ユーザに対して情報を提示する表示デバイスをさらに備えてもよい。また、通信制御装置20aは、1台のコンピュータで構成するのに限らず、複数のコンピュータを分散的に動作させて構成してもよい。
なお、認証用AP40およびゲスト用AP41は、例えばデータI/F206に接続される。一例として、認証用AP40およびゲスト用AP41をUSBドングルとして構成し、データI/F206に接続することができる。このとき、認証用AP40およびゲスト用AP41は、それぞれ独立したハードウェアで構成してもよいし、共通のハードウェアで構成してもよい。認証用AP40およびゲスト用AP41を共通のハードウェアで構成する場合には、認証用AP40およびゲスト用AP41の機能をCPU201上で動作するプログラムにより切り替えることが可能である。また、認証用AP40およびゲスト用AP41を、それぞれ通信I/F205に接続するようにしてもよい。
近距離通信装置21は、例えば通信制御装置20aの近傍に配置され、通信制御装置20aの内部の各構成との通信は行わない。これに限らず、近距離通信装置21がUSBによる接続が可能に構成され、また、データI/F206が電源供給機能付きのUSBコネクタを備える場合、近距離通信装置21をこのUSBコネクタに接続して近距離通信装置21に対して電源を供給するようにしてもよい。さらに、近距離通信装置21を、通信制御装置20aの内部に設けてもよい。
図3は、第1の実施形態に係る通信制御装置20aの機能を説明するための一例の機能ブロック図である。図3において、通信制御装置20aは、全体制御部211と、接続誘導部212と、認証・接続制御部213と、通信制御部214とを含む。これら全体制御部211、接続誘導部212、認証・接続制御部213および通信制御部214は、CPU201上で動作するプログラムにより構成される。これに限らず、全体制御部211、接続誘導部212、認証・接続制御部213および通信制御部214の一部または全部を、互いに協働して動作するハードウェアにより構成してもよい。
なお、第1の実施形態では、近距離通信装置21は、通信制御装置20aの各機能に対して独立している。
全体制御部211は、通信制御装置20aの各機能を全体的に制御する。接続誘導部212は、任意の宛先(URL(Uniform Resource Locator))への通信を、特定の宛先に強制的に誘導する。ここで、任意の宛先は、ネットワーク10上の各情報機器11a、11b、11c、…に対する宛先を含む。接続誘導部212としては、既知のキャプティブポータル(Captive Portal)の技術を適用することができる。キャプティブポータルは、HTTP(Hypertext Transfer Protocol)クライアントがネットワークを利用する際に、ネットワーク上の特定のWebサイトへの参照を強制する技術である。
また接続誘導部212は、DHCP(Dynamic Host Configuration Protocol)の機能を備え、要求に応じて対象の機器などにIPアドレスを割り当てることができる。
通信制御部214は、通信I/F205による通信を制御する、第2の通信部である。認証・接続制御部213は、通信制御部214、認証用AP40およびゲスト用AP41間での通信経路の制御を行う接続制御部としての機能を備える。また、認証・接続制御部213は、認証用AP40を介してなされる認証処理を制御する認証部としての機能も備える。
これら全体制御部211、接続誘導部212、認証・接続制御部213および通信制御部214は、例えばストレージ204上に記憶され、CPU201上で動作する通信プログラムにより実現される。この通信プログラムは、インストール可能な形式また実行可能な形式のファイルでCD(Compact Disk)、フレキシブルディスク(FD)、DVD(Digital Versatile Disk)などのコンピュータで読み取り可能な記録媒体に記録されて提供される。
また、第1の実施形態の通信制御装置20aで実行される通信プログラムを、インターネットなどのネットワークに接続されたコンピュータ上に格納し、当該ネットワークを介してダウンロードさせることにより提供するように構成してもよい。また、第1の実施形態の通信制御装置20aで実行されるプログラムをインターネットなどのネットワークを経由して提供または配布するように構成してもよい。さらに、第1の実施形態の通信プログラムを、ROM202などに予め組み込んで提供するように構成してもよい。
さらに、通信制御装置20aは、例えばネットワーク上の情報を閲覧するためのブラウザアプリケーション(以下、ブラウザと呼ぶ)が搭載されるものとし、接続誘導部212、認証・接続制御部213および通信制御部214の各機能を、このブラウザ上で実現してもよい。一例として、ブラウザは、通信制御装置20aによりネットワークを介してアクセスしたサーバから提供されるプログラムに従い、これら接続誘導部212、認証・接続制御部213および通信制御部214の機能を実現することができる。なお、全体制御部211は、この通信制御装置20aの全体の動作を制御するプログラムであるOS(Operating System)上で実現される機能である。
第1の実施形態の通信制御装置20aで実行される通信プログラムは、上述した各部(全体制御部211、接続誘導部212、認証・接続制御部213および通信制御部214)を含むモジュール構成となっている。実際のハードウェアとしては、CPU201がストレージ204やROM202などの記憶媒体から当該通信プログラムを読み出して実行することにより、上述した各部がRAM203などの主記憶装置上にロードされ、全体制御部211、接続誘導部212、認証・接続制御部213および通信制御部214が主記憶装置上に生成されるようになっている。
図4は、第1の実施形態に適用可能なゲスト端末30の一例の構成を示す。ゲスト端末30は、例えば一般的なコンピュータにより構成され、CPU301と、ROM302と、RAM303と、表示デバイス304と、ストレージ305と、入力デバイス306と、データI/F307と、通信I/F308と、近距離通信I/F309とを備え、これら各部がバス300により互いに通信可能に接続される。ストレージ305は、例えばハードディスクドライブやフラッシュメモリといった、情報を不揮発的に記憶可能な記憶媒体である。CPU301は、ストレージ305やROM302に予め記憶されたプログラムに従い、RAM303をワークメモリとして用いて、このゲスト端末30の全体の動作を制御する。
表示デバイス304は、例えばLCD(Liquid Crystal Display)による表示素子と、CPU301により生成された表示制御信号に従い表示素子を駆動する駆動部とを含む。入力デバイス306は、例えば表示デバイス304と一体的に形成されたタッチパネルであって、手指などが接触した位置に応じた信号を出力する入力素子と、入力素子から出力された信号をCPU301が解釈可能な情報に変換する入力制御部とを含む。入力デバイス306は、タッチパネルに限られず、マウスなどのポインティングデバイスと、キーボードとにより構成してもよい。
データI/F307は、外部の機器との間でデータの送受信を行うためのインタフェースであって、例えばUSBを適用することができる。通信I/F308は、CPU301の指示に従い、Wi−Fi(登録商標)による無線通信を制御する。近距離通信I/F309は、CPU301の指示に従い、上述した近距離通信装置21の通信方式と対応する通信方式による近距離無線通信を制御する。
なお、ホスト端末32は、ゲスト端末30から近距離通信装置21を省略した構成にて実現できるので、ここでの説明を省略する。
図5は、第1の実施形態に係るゲスト端末30の機能を説明するための一例の機能ブロック図である。図5において、ゲスト端末30は、入力部311と、表示部312と、全体制御部313と、通信制御部314と、近距離通信部315とを含む。これら入力部311、表示部312、全体制御部313、通信制御部314および近距離通信部315は、CPU301上で動作するプログラムにより構成される。これに限らず、入力部311、表示部312、全体制御部313、通信制御部314および近距離通信部315を、互いに協働して動作するハードウェア回路により構成してもよい。
さらに、入力部311、表示部312、通信制御部314および近距離通信部315を、ゲスト端末30に搭載されるブラウザ上で実現することも可能である。一例として、ブラウザは、ゲスト端末30によりネットワークを介してアクセスしたサーバから提供されるプログラムに従い、これら入力部311、表示部312、通信制御部314および近距離通信部315の機能を実現することができる。また、全体制御部313は、このゲスト端末30の全体の動作を制御するプログラムであるOS(Operating System)上で実現される機能である。
入力部311は、入力デバイス306に対する入力を受け付け、入力により指定された位置に従った処理を行う。表示部312は、表示デバイス304に表示させるための表示制御情報を生成する。通信制御部314は、通信I/F308を制御して無線LANによる通信を行う第3の通信部である。全体制御部313は、ゲスト端末30の各機能を全体的に制御する。近距離通信部315は、近距離通信I/F309を制御して近距離無線通信を受信する第4の通信部である。近距離通信部315は、受信した情報を全体制御部313や通信制御部314に渡す。
図6は、第1の実施形態に適用可能なホスト端末32の機能を説明するための一例の機能ブロック図である。図6において、ホスト端末32は、入力部321と、表示部322と、全体制御部323とを含む。これら入力部321、表示部322および全体制御部323は、ホスト端末32が備えるCPU上で動作するプログラムにより構成される。
上述のゲスト端末30と同様に、ホスト端末32にもブラウザが搭載され、入力部321および表示部322の機能は、ブラウザ上で実現される。これら入力部321および表示部322の機能は、ゲスト端末30における入力部311および表示部312の機能と同等なので、ここでの詳細な説明を省略する。また、全体制御部323の機能は、ホスト端末32に搭載されるOS上で実現される機能である。この全体制御部323の機能も、上述したゲスト端末30における全体制御部313の機能と同等なので、ここでの詳細な説明を省略する。
これに限らず、入力部321、表示部322および全体制御部323を、ホスト端末32に搭載されたアプリケーションプログラムにより構成してもよいし、これらを互いに協働して動作するハードウェアにより構成してもよい。
(第1の実施形態に係る認証処理)
次に、第1の実施形態に係る、ゲスト端末30の認証処理の例について、より詳細に説明する。ゲスト端末30の認証処理を行うに当たり、ゲスト端末30の通信環境を予め設定する。例えば、ネットワークシステム1aのシステム管理者は、ネットワーク10に接続される管理端末から、ゲスト端末30の通信環境を設定するための通信管理画面を用いてゲスト端末30の通信環境を設定する。図7は、この通信管理画面の一例を示す。
図7において、通信管理画面420は、領域421および423と、設定ボタン424およびキャンセルボタン425とを含む。領域421では、入力部4210が含まれ、ゲスト端末30に対する無線通信に関する設定および表示が行われる。領域421において、無線LANおよび近距離無線が有効とされている。これらの設定は、別途で予め設定される。
領域421において、入力部4210は、ゲスト端末30用の無線LANの設定をランダム設定するか否かを指定する。入力部4210において、ランダム設定を指定することで、例えば、通信制御装置20aは、ゲスト用AP41に接続する際に用いる接続設定ファイルのファイル名を、ゲスト端末30の接続毎にランダムに生成することができる。これにより、ゲスト用AP41を介した通信のセキュリティを向上させることができる。これに限らず、ゲスト用AP41に接続する際に用いるパスワードを、ゲスト端末30の接続毎にランダムに生成することもできる。
領域423は、入力部4231〜4236が含まれ、管理者権限が設定される。入力部4231は、無線LANによるネットワーク10への接続をゲスト端末30に許可するか否かを設定する。
入力部4232は、WPS(登録商標:Wi-Fi Protected Setup)やキャプティブポータルを利用したゲスト端末30のアクセスに対する許可権限を与える対象を指定する。例えば、入力部4232において「招待者」を指定することで、ゲストユーザをネットワークシステム1aに招待したホストユーザを、許可権限を与える対象とする。この場合、具体的には、ホスト端末32からネットワークシステム1aにログインしたホストユーザに対して許可権限を与えることになる。
この入力部4232では、ゲスト端末30のアクセスに対する許可権限を与える対象を、複数のアクセスレベルから選択することができる。一例として、第1のアクセスレベルを、ゲストユーザに対して各情報機器11a、11b、11c、…の利用を一時的に許可するアクセス権限のレベル(図7の例「招待者」)とする。また、第1のアクセスレベルより高い第2のアクセスレベルを、ネットワーク10の設定やゲスト用AP41による無線LANの設定などを変更可能なアクセス権限のレベル(例えば「運用者」)とする。入力部4232において、これら「招待者」および「運用者」から、ゲスト端末30のアクセスに対する許可権限を与える対象を選択する。
入力部4233は、ゲスト端末30の近距離無線通信によるネットワーク10への簡単セットアップを許可するか否かを設定する。
入力部4234は、ゲスト端末30がゲスト用AP41に接続を開始してからの、接続時間の上限を設定する。入力部4235は、ゲスト端末30のネットワーク10への接続を、時間で終了させるか否かを設定する。例えば、ネットワークシステム1aは、入力部4235において「する」が設定された場合、ゲスト端末30がゲスト用AP41に接続開始してからの接続時間が、入力部4234にて設定された上限に達した場合に、ゲスト端末30に対するネットワーク10への接続を終了させる。
入力部4236は、ネットワーク10に接続したゲスト端末30が利用可能な機器の登録を、ネットワークシステム1aの管理者に限定するか否かを設定する。入力部4236において、「しない」を指定することで、利用可能機器登録を、ホスト端末32からネットワークシステム1aにログインしたホストユーザからも実行可能とすることができる。
設定ボタン424は、上述のように通信管理画面420に対して設定された各設定内容を、ネットワークシステム1aに設定する。例えば、管理端末は、設定ボタン424に対する操作に応じて、通信管理画面420に対して設定された各設定内容を、管理サーバ12に登録する。キャンセルボタン425は、通信管理画面420に対してなされた各設定をキャンセルし、この通信管理画面420を閉じる。
次に、第1の実施形態に係る、ゲスト端末30のネットワーク10への接続処理の例について、図8のシーケンス図を用いてより詳細に説明する。なお、図8において、上述した図1および図3と共通する部分には同一の符号を付して、詳細な説明を省略する。図8において、無線LAN制御モジュール220は、通信制御装置20aに含まれる機能であって、認証用AP40およびゲスト用AP41の動作を制御する。無線LAN制御モジュール220は、通信制御装置20aのCPU201上で動作するプログラムにより実現される。
図8のシーケンス図による処理の開始に先立って、ホストユーザからゲストユーザに対して、ホストユーザがゲストユーザを認証するための認証情報が何らかの方法で伝えられる。第1の実施形態では、ホストユーザ本人からゲストユーザ本人に対して、認証情報が直接的に通知される。認証情報を通知する方法は、特に限定されず、口頭でもよいし、メモなどでもよい。認証情報を、電子メールなどを用いて通知してもよい。認証情報の通知は、ゲスト端末30がネットワーク10に接続する毎に行うようにすると、好ましい。
また、ホスト端末32は、予め、ネットワーク10に対して通信可能に接続されているものとする。
図8において、ステップS90で、近距離通信装置21が通信先との接続を確立させるための信号をブロードキャストする(ステップS90)。ゲスト端末30が近距離通信装置21による通信可能距離範囲内に入ると、近距離通信装置21から送信された信号がゲスト端末30に受信される。ゲスト端末30は、受信された信号に基づき、近距離通信部315により、近距離通信装置21との間で接続確立処理を実行する。この接続確立処理により、近距離通信装置21とゲスト端末30との間での通信が可能となる(ステップS91)。
近距離通信装置21は、ゲスト端末30との間での通信が可能となると、近距離通信装置21が備えるROMに予め記憶された接続情報がゲスト端末30に送信される(ステップS92)。ゲスト端末30は、近距離通信部315により、近距離通信装置21から送信された接続情報を受信する。近距離通信部315は、受信した接続情報を通信制御部314に渡す。通信制御部314は、近距離通信部315から渡された接続情報に従い無線LANの通信設定を行う(ステップS93)。接続情報は、例えば、認証用AP40のSSIDを含む。
ステップS100で、ホスト端末32は、ホストユーザの操作に従い通信制御装置20aにログインする。例えば、ホスト端末32は、ホストユーザの操作に従い通信制御装置20aにアクセスする。通信制御装置20aは、ホスト端末32に対して、通信制御装置20aにログインするためのログイン画面を送信する。図9は、第1の実施形態に適用可能なログイン画面の一例を示す。図9において、ログイン画面400は、それぞれユーザ名およびパスワードを入力するための入力部401および402と、通信制御装置20aに対してログインを要求するためのログインボタン403と、ログイン処理をキャンセルするキャンセルボタン404とを備える。
ホスト端末32は、通信制御装置20aから送信されたログイン画面400を、表示部322により表示デバイス上に表示させる。ホストユーザは、ホスト端末32に表示されたログイン画面400に従いユーザ名およびパスワードを入力し、ログインボタン403を操作する。ホスト端末32は、このログインボタン403の操作に応じて、入力されたユーザ名およびパスワードを認証情報として通信制御装置20aに送信する。通信制御装置20aは、ホスト端末32から送信された認証情報に対して認証処理を行う。
例えば、通信制御装置20aは、ホスト端末32から送信された認証情報を管理サーバ12に渡す。管理サーバ12は、通信制御装置20aから渡された認証情報と一致する認証情報が登録されているか否かを判定し、登録されていると判定した場合に、認証成功を通信制御装置20aに通知する。
このとき、管理サーバ12は、通信制御装置20aから渡された認証情報に基づき、当該認証情報に係るユーザの権限が、図7の入力部4232で選択されたアクセスレベルに対応するか否かを確認することができる。管理サーバ12は、例えば、認証情報に係るユーザの権限が、図7の入力部4232で選択されたアクセスレベルに対応すると確認した場合に、認証が成功したと判定する。
通信制御装置20aは、管理サーバ12から認証成功の通知を受け取ると、ステップS101で、ホスト端末32に対してホスト用画面を送信する。ホスト用画面は、ゲスト端末30に利用可能とさせる情報機器を登録するための利用機器登録画面を含む。通信制御装置20aは、ホスト端末32に対して、ホスト用画面と共に、ホスト用画面において諸設定および登録に用いるための情報を送信する。
一例として、通信制御装置20aは、ストレージ204などに予め記憶された、通信管理画面において通信環境を設定するための各情報を、ホスト用画面と共にホスト端末32に送信する。さらに、通信制御装置20aは、管理サーバ12から、利用機器登録画面において情報機器を選択するための情報機器のリストを取得し、取得した情報機器リストを、ホスト用画面と共にホスト端末32に送信する。
ホスト端末32は、表示部322により、ステップS101で通信制御装置20aから送信されたホスト用画面を表示デバイス上に表示させる。ホスト端末32は、このホスト用画面に従いステップS102で入力された設定情報および登録情報を、通信制御装置20aに送信する(ステップS103)。
図10は、第1の実施形態に係るホスト用画面に含まれる、ゲスト端末30から利用可能な機器を登録するための利用機器登録画面410の例を示す。例えば、上述した図7の通信管理画面420の入力部4236において、「しない」が指定された場合に、この利用機器登録画面410がホスト端末32に表示される。利用機器登録画面410は、選択ボタン411a〜411cおよび削除ボタン411dを含むボタン群411と、入力部412および413と、登録ボタン414とを含む。
選択ボタン411a〜411cは、例えば、それぞれ情報機器の名前、IPアドレスおよび機器種類から、利用可能機器を選択するためのボタンである。例えば、選択ボタン411aおよび411bは、それぞれ情報機器の名前およびIPアドレスに対して選択を行うため、情報機器を1つずつ選択することになる。一方、選択ボタン411cは、情報機器の種類に対して選択を行うため、種類が一致する複数の情報機器を一度に選択することができる。
一例として、ホスト端末32は、選択ボタン411aを操作することで、情報機器リストに含まれる各情報機器の名前のリストをドロップダウンリストなどにより表示させる。ホストユーザは、ホスト端末32を操作して、このリスト表示に基づき利用可能としたい情報機器の名前を選択する。選択された情報機器の名前は、選択状態とされる。情報機器の名前は、複数を選択することができる。
ホスト端末32は、登録ボタン414が操作されると、利用機器登録画面410において選択状態とされた情報機器を示す選択機器情報を、通信制御装置20aに送信する。通信制御装置20aにおいて、認証・接続制御部213は、ホスト端末32から送信された選択機器情報に従い、ゲスト用AP41に対する転送制御情報を設定する。
なお、上述では、情報機器の機器情報をリスト表示するように説明したが、これはこの例に限定されない。例えば、利用機器登録画面410において、情報機器を示すアイコン画像を表示させ、このアイコン画像を指定することで、利用可能としたい情報機器を選択するようにしてもよい。
図11は、第1の実施形態に係る、アイコン画像を用いた利用機器登録画面410’の例を示す。図11の例では、利用機器登録画面410’は、利用許可可能な情報機器11a、11bおよび11cが、アイコン画像11a’、11b’および11c’として表示されている。
ホスト端末32は、アイコン画像11a’、11b’および11c’のうち所望のアイコン画像が選択された後、登録ボタン414’が操作されると、選択されたアイコン画像に対応する情報機器の機器情報を通信制御装置20aに送信する。また、利用機器登録画面410’において、アイコン画像11a’、11b’および11c’のうち複数のアイコン画像を選択することができ、複数の情報機器の機器情報を通信制御装置20aに送信してもよい。
次に、ホスト端末32は、ホスト端末32に対する操作に応じて、認証用AP40の起動要求を通信制御装置20aに送信する(ステップS104)。通信制御装置20aは、この起動要求に応じて、無線LAN制御モジュール220に対して認証用AP40の起動を指示する(ステップS105)。無線LAN制御モジュール220は、この起動指示に応じて認証用AP40を起動させる(ステップS106)。
ホスト端末32は、認証用AP40の起動要求を送信した後に、認証・接続制御部213に対して、ゲスト端末30の認証を行うための認証画面を要求する(ステップS120)。この要求に応じて、認証・接続制御部213からホスト端末32に対して認証画面が送信される(ステップS121)。ホスト端末32は、この認証画面を受信して表示部322により表示デバイスに表示させる。認証画面の具体的な例については、後述する。
認証用AP40が起動された後に、ゲスト端末30による認証用AP40への、Wi−Fi(登録商標)による無線通信を用いた接続が行われる(ステップS107)。ここで、認証用AP40のSSIDは、上述したステップS90〜ステップS93の処理により、近距離通信装置21とゲスト端末30との間の近距離無線通信によりゲスト端末30が取得したものである。ゲスト端末30において、通信制御部314は、ステップS92で近距離通信部315が受信した接続情報を、認証用AP40に送信する通信制御を行う。なお、認証用AP40は、WEP(Wired Equivalent Privacy)キーなどを用いた暗号化を行わなくてもよい。
このように、第1の実施形態では、ゲスト端末30は、認証用AP40のSSIDを近距離無線通信により予め取得している。そのため、ゲストユーザは、SSIDのマニュアル入力や、複数のアクセスポイントからの認証用AP40の選択といった操作を行うこと無く、ゲスト端末30と認証用AP40との接続を確立させることができる。
ゲスト端末30は、認証用AP40との接続が確立されると、IPアドレス要求を送信し、ゲスト端末30のネットワーク10におけるIPアドレスを要求する。このIPアドレス要求は、認証用AP40を介して通信制御装置20aの接続誘導部212に受信される(ステップS108、ステップS109)。接続誘導部212は、このIPアドレス要求に応じてIPアドレスを生成し、生成したIPアドレスをゲスト端末30に配布する(ステップS110、ステップS111)。ゲスト端末30は、通信制御装置20aから配布されたIPアドレスを、自身のIPアドレスとして記憶する。
次に、例えばゲストユーザの操作に応じて、ゲスト端末30から任意のURLに対するHTTP(Hypertext Transfer Protocol)によるアクセスが実行されるものとする(ステップS130)。ゲスト端末30から送信された、任意のURLに対するアクセス要求は、通信制御装置20aに受信され、接続誘導部212に取得される(ステップS131)。接続誘導部212は、取得したアクセス要求を認証・接続制御部213に渡し、ゲスト端末30からのアクセスを、強制的に認証・接続制御部213に誘導する(ステップS132)。
認証・接続制御部213は、接続誘導部212から誘導されて渡されたアクセス要求に応じて、認証情報入力画面をゲスト端末30に送信する。認証・接続制御部213から送信された認証情報入力画面は、認証用AP40を介してゲスト端末30に受信される(ステップS133、ステップS134)。
ゲスト端末30は、認証・接続制御部213から送信された認証情報入力画面を表示部312により表示デバイス304に表示させる。ゲストユーザは、ゲスト端末30を操作して、この認証情報入力画面に対して認証情報を入力する(ステップS135)。ここでゲストユーザが入力する認証情報は、上述した、図8のシーケンス図による処理に先立ってホストユーザから通知された認証情報である。
図12は、第1の実施形態に係る、ゲスト端末30の表示デバイス304に表示される認証情報入力画面の例を示す。図12において、認証情報入力画面430は、情報表示領域4301と、入力領域4302とを備える。情報表示領域4301は、例えば、ゲスト端末30の現在のネットワークシステム1aにおける現在のステータスと、この認証情報入力画面430に係る現在の処理を示す情報とが表示される。
入力領域4302は、例えばゲスト端末30の入力デバイス306に対する操作に応じて描画を行う描画領域4310と、送信ボタン4311と、クリアボタン4312とを備える。ゲストユーザは、描画領域4310に対して、ホストユーザから予め通知された認識情報に基づく描画を行う。描画の内容は、ゲストユーザとホストユーザとの間で認識が共有できれば特に限定されず、絵でもよいし、文字や記号でもよい。送信ボタン4311が操作されると、例えば描画領域4310に描画された認証情報(認証画像)がゲスト端末30から送信される(ステップS136)。
なお、認証情報入力画面430において、クリアボタン4312を操作することで、描画領域4310の描画内容を消去することができる。また、描画領域4310は、描画により認証情報を入力する入力方式に限られず、例えば文字列により認証情報を入力するようにしてもよい。
ゲスト端末30から送信された認証情報(認証画像)は、認証用AP40を介して認証・接続制御部213に受信される(ステップS137)。認証・接続制御部213は、受信した認証情報を、ホスト端末32に送信する(ステップS138)。ホスト端末32は、受信した認証情報を、ステップS121で認証・接続制御部213から取得した認証画面に表示させる(ステップS139)。
図13は、第1の実施形態に係る、ホスト端末32に表示される認証画面の一例を示す。図13において、認証画面440は、情報表示領域4401と、認証領域4402とを備える。情報表示領域4401は、ゲスト端末30のネットワーク10へのアクセスに対する設定情報などが表示される。
認証領域4402は、端末情報表示部4405と、認証情報表示部4406と、認証ボタン4407と、接続情報表示部4408とを備える。端末情報表示部4405は、認証対象のゲスト端末30の情報(IPアドレスなど)が表示される。認証情報表示部4406は、ゲスト端末30から送信された認証情報(認証画像)が表示される。認証ボタン4407は、認証対象のゲスト端末30を認証するためのボタンである。接続情報表示部4408は、ゲスト端末30の接続状態を表示する。
例えば、ホストユーザが、認証情報表示部4406に表示される認証情報(認証画像)に応じて認証ボタン4407を操作すると、ホスト端末32は、ゲスト端末30の認証を示す認証OK通知を認証・接続制御部213に送信する(ステップS140)。認証・接続制御部213は、ホスト端末32から認証OK通知を受信すると、ゲスト端末30がゲスト用AP41に接続するために用いる接続情報を含む接続情報ファイルを生成する。
認証・接続制御部213は、例えば、ゲスト用AP41のSSIDと、暗号化鍵(PSK)とを含む接続情報ファイル作成し、この接続情報ファイルのファイル名をランダムに生成する。認証・接続制御部213は、このランダムに生成されたファイル名を含む、接続情報ファイルのネットワーク10上での位置を示すURLを、認証用AP40を介してゲスト端末30に送信する(ステップS141、ステップS142)。
ゲスト端末30は、認証・接続制御部213から送信されたURLを受信すると、受信したURLに従い、ゲスト用AP41に接続するための接続情報ファイルを、認証用AP40を介して認証・接続制御部213に要求する(ステップS150、ステップS151)。認証・接続制御部213は、この要求に応じて、接続情報ファイルを認証用AP40を介してゲスト端末30に送信し、接続情報ファイルをゲスト端末30に配布する(ステップS152、ステップS153)。ゲスト端末30は、認証・接続制御部213から送信された接続情報ファイルを自身にインストールして、接続情報を設定する(ステップS154)。
ホスト端末32は、上述のステップS140で認証ボタン4407が操作された後に、さらにホストユーザのホスト端末32に対する操作により認証用AP40の終了指示がなされると、認証用AP40の終了要求を認証・接続制御部213に送信する(ステップS160)。認証・接続制御部213は、この終了要求に応じて、無線LAN制御モジュール220に対して、認証用AP40の終了を指示する(ステップS161)。無線LAN制御モジュール220は、この終了指示に応じて認証用AP40の動作を終了させる(ステップS162)。
ゲスト端末30は、認証用AP40の動作終了に伴い認証用AP40との接続が切断されたことを認識し、認証用AP40の終了を確認する(ステップS163)。認証用AP40の終了確認後、ゲスト端末30は、ステップS154で設定された接続情報に従い、ゲスト用AP41に接続する(ステップS170)。これにより、ゲスト端末30は、ネットワーク10へのアクセスが可能となる。
このように、第1の実施形態では、ゲスト端末30から任意の宛先に対するアクセスを認証・接続制御部213に強制的に誘導し、認証・接続制御部213からゲスト端末30に、認証情報の入力画面を送信している。そして、ゲスト端末30とネットワーク10との接続を許可するか否かを、ゲストユーザが認証情報入力画面に入力した、予め通知した認証情報に基づき、ホストユーザが判定するようにしている。そのため、ゲスト端末30を容易にネットワーク10に接続することができる。また、ネットワーク10に対する組織体外からの悪意による侵入を抑止することができる。また、第1の実施形態では、ゲスト端末30とネットワーク10との接続を許可するか否かを、ホストユーザが判定するようにしているため、ゲスト端末30に対する接続可否の制御を、アクセスポイントなどの設定を変更すること無く行うことが可能である。
(第1の実施形態の第1の変形例)
次に、第1の実施形態の第1の変形例について説明する。図14は、第1の実施形態の第1の変形例に係るネットワークシステムの一例の構成を示す。なお、図14において、上述の図1と共通する部分には同一の符号を付して、詳細な説明を省略する。
図14において、第1の実施形態の第1の変形例に係るネットワークシステム1bは、ホスト端末32が無線LANにより、ホスト用AP42を介して通信制御装置20bに接続される。ホスト用AP42は、通信制御装置20bにおける認証・接続制御部213にさらに接続される。また、ホスト端末32は、WPA2 Personalなどに規定される暗号化方式に従いホスト用AP42との間の通信を行う。ゲスト端末30のネットワーク10への接続処理は、図8を用いて説明した第1の実施形態に係る接続処理と同様であるので、ここでの説明を省略する。
(第1の実施形態の第2の変形例)
次に、第1の実施形態の第2の変形例について説明する。図15は、第1の実施形態の第2の変形例に係るネットワークシステムの一例の構成を示す。なお、図15において、上述の図1と共通する部分には同一の符号を付して、詳細な説明を省略する。
図15において、第1の実施形態の第2の変形例に係るネットワークシステム1cは、ゲスト端末30が通信を行う認証用AP40’およびゲスト用AP41’と、ホスト端末32が通信を行うホスト用AP42’とがネットワーク10に接続されている。この場合、上述した第1の実施形態の第1の変形例と同様に、ホスト端末32は、WPA2 Personalなどに規定される暗号化方式に従いホスト用AP42’との間の通信を行う。通信制御装置20cは、近距離通信装置21が設けられる。また、通信制御装置20cは、ネットワーク10を介して認証用AP40’、ゲスト用AP41’およびホスト用AP42’との間での通信を行う。
また、ゲスト端末30は、図8を用いて説明した第1の実施形態に係る接続処理と同様に、WPA2 Personalによる暗号化を行わない通信により認証用AP40’に接続して認証用AP40’を介して認証処理を行う。そして、ゲスト端末30は、認証成功後に、WPA2 Personalによる暗号化方式に従いゲスト用AP41’を介してネットワーク10との通信を行う。
これら第1の実施形態の第1の変形例および第2の変形例に係る構成によっても、ゲスト端末30から任意の宛先に対するアクセスを認証・接続制御部213に強制的に誘導してゲスト端末30に認証情報の入力画面を表示させ、ゲスト端末30の認証の可否を、ゲストユーザが認証情報入力画面に入力した予め通知した認証情報に基づきホストユーザが判定するようにしている。そのため、ゲスト端末30を容易にネットワーク10に接続することができ、また、ネットワーク10に対する組織体外からの悪意による侵入を抑止することができる。さらに、第1の実施形態の各変形例では、ゲスト端末30とネットワーク10との接続を許可するか否かを、ホストユーザが判定するようにしているため、ゲスト端末30に対する接続可否の制御を、アクセスポイントなどの設定を変更すること無く行うことが可能である。
(第1の実施形態の第3の変形例)
次に、第1の実施形態の第3の変形例について説明する。上述した第1の実施形態による通信制御装置20上で実行される各機能は、SDN(Software-Defined Network)の概念に基づき構成することができる。ここで、SDNについて概略的に説明する。
従来、組織体内で閉じた構成の組織内LANなどのネットワーク環境は、各ベンダが提供するLANスイッチや無線LANアクセスポイントの設定・運用を熟知した専任の担当者が構築するのが一般的であった。このようなネットワーク環境は、ベンダのソリューションによる認証手段や運用方法しか提供されない、所謂「ベンダロックイン」の状態であり、組織体が自在に認証手段や運用方法を設定することが困難であった。
これに対して、近年では、ユーザである組織体が独自のネットワークを構築できるようにするため、ネットワーク上のデータの動きをソフトウェアだけで制御可能とするSDNと呼ばれる概念が注目されている。このSDNに関連して、注目を集めている代表的な構成技術要素として「ネットワークの仮想化」と、その仮想化されたネットワーク上での通信を制御する手法(プロトコル)の一つでありベンダに依存しないオープンな仕様である「OpenFlow」とがある。
ネットワークの仮想化は、例えば、一つの物理インタフェースを複数に(若しくは複数の物理インタフェースを一つに)見せるような仮想インタフェース技術や、仮想インタフェースを接続中継する仮想スイッチ技術などに至る、複数の構成要素を含む技術の集合体である。ネットワーク仮想化は、物理ネットワーク機器と仮想ネットワーク部品、プロトコル技術の組合せによって、物理的なネットワーク構成から論理的なネットワーク構成を仮想的に分離し、物理構成に縛られない柔軟なネットワーク構成を実現する。
OpenFlowは、通信をエンド・ツー・エンドのフローとして捉えて、そのフロー単位に経路制御、負荷分散、最適化などを行うことができる。具体的には、OpenFlowは、データ通信経路の中継機器などにおいて自立分散的に各データパケットを解析して転送するのではなく、集中制御型に変えることで実現する。
OpenFlowでは、データの解析と転送先判断および決定制御とを行う「コントロール・プレーン」と、単なるパケットの物理的な伝送を担う部分である「データ・プレーン」とを分離する。OpenFlowでは、コントロール・プレーンを司るOFC(OpenFlowコントローラ)が転送ルールを指示し、データ・プレーンを担うOFS(OpenFlowスイッチ)は、OFCの指示に従ってパケットの転送を行う。より具体的には、OFSは、OFCが追加および書き換えを行う、OFSが持つフローテーブルに従って、パケットの転送を行う。この仕組みを用いることで、上述したネットワークの仮想化を制御するためのツールなどとしてOpenFlowを活用できる。
図16は、第1の実施形態の第3の変形例に係る通信制御装置の機能を示す一例の機能ブロック図である。図16において、通信制御装置20’は、第1の実施形態に係る例えば通信制御装置20aを、SDNの概念を適用して構成した場合の例である。なお、第1の実施形態の第3の変形例では、上述した第1の実施形態の第1の変形例に係るネットワークシステム1bを適用可能である。これに限らず、第1の実施形態の第3の変形例に、上述した第1の実施形態に係るネットワークシステム1aを適用させてもよい。
図16において、通信制御装置20’は、Webサーバ部2000と、コントローラ2001と、RADIUSサーバ部2002と、キャプティブポータル部2003と、I/O部2004と、スイッチ部2005とを含む。これらWebサーバ部2000、コントローラ2001、RADIUSサーバ部2002、キャプティブポータル部2003、I/O部2004およびスイッチ部2005は、CPU201上で動作するプログラムにより構成される。
また、図16において、認証用AP40”、ゲスト用AP41”およびホスト用AP42”は、それぞれWi−Fi(登録商標)に対応したアクセスポイントである。これら認証用AP40”、ゲスト用AP41”およびホスト用AP42”は、それぞれ独立したハードウェアにより構成してもよいし、プログラムにより仮想的に構成してもよい。この場合、例えば、通信制御装置20’において、CPU201が、1つの無線LANのアクセスポイントに対して、認証用AP40”、ゲスト用AP41”およびホスト用AP42”のSSIDをプログラムに従い切り替える。有線LAN部43は、通信制御装置20’とネットワーク10との間の通信を制御する。
また、第1の実施形態の第3の変形例においても、上述の第1の実施形態と同様に、通信制御装置20’に対して、近距離無線通信を行う近距離通信装置21が設けられる。この場合においても、近距離通信装置21は、通信制御装置20’の各機能に対して独立している。また、近距離通信装置21は、上述と同様に、例えばクラス3のBluetooth(登録商標)を適用すると好ましい。
図16において、認証用AP40”およびゲスト用AP41”は、それぞれ第1の実施形態に係る認証用AP40およびゲスト用AP41に対応する。すなわち、認証用AP40”は、WPA2 Personalなどによる暗号化無しでゲスト端末30と通信を行い、ゲスト用AP41”は、例えばWPA2 Personalに規定される暗号化方式に従いゲスト端末30と通信を行う。また、図16において、ホスト用AP42”は、第1の実施形態の第1の変形例のホスト用AP42に対応し、WPA2 Personalに規定される暗号化方式に従いホスト端末32と通信を行う。
また、近距離通信装置21は、ゲスト端末30が認証用AP40”に接続するための接続情報を、近距離通信装置21が備えるROMに予め記憶し、ROMに記憶された接続情報を、近距離無線通信によりブロードキャストする。
図16において、Webサーバ部2000は、例えばゲスト用AP41”およびホスト用AP42”を介してゲスト端末30およびホスト端末32それぞれとHTTPに従った通信を行い、ゲスト端末30およびホスト端末32に対してそれぞれWebページを提供することができる。RADIUSサーバ部2002は、例えばホスト端末32やゲスト端末30の認証処理を行う。
図16において、キャプティブポータル部2003は、例えば第1の実施形態における接続誘導部212に対応し、受信したパケットを特定の宛先に強制的に誘導する機能と、DHCP機能とを備える。Webサーバ部2000、コントローラ2001およびRADIUSサーバ部2002は、それぞれ第1の実施形態における認証・接続制御部213に含まれる。コントローラ2001は、上述したOFCの機能は、例えばコントローラ2001により実現される。I/O部2004は、入力されたデータの経路を、例えば当該データに付加される宛先を示す情報に従い制御する。
スイッチ部2005は、ゲスト用AP41”、ホスト用AP42”および有線LAN部43が接続される。スイッチ部2005は、上述したOFSに対応し、フローテーブルと、仮想ブリッジの機能とを含む。仮想ブリッジは、有線LAN部43により接続されるネットワーク10と、ゲスト用AP41”およびホスト用AP42”による無線LAN通信との間でパケットの中継を行うブリッジを、プログラムにより仮想的に実現する。スイッチ部2005は、例えばコントローラ2001によりフローテーブルに書き込まれた、処理対象となるパケットの条件と当該パケットの転送先を示す情報とを含む転送制御情報に従い、中継するパケットの振る舞いを制御する。
次に、第1の実施形態の第3の変形例に係る、ゲスト端末30のネットワーク10への接続処理の例について、上述した図8のシーケンス図を参照しながら説明する。第1の実施形態の第3の変形例においても、図8のステップS90〜ステップS93の処理に従い、近距離通信装置21とゲスト端末30の近距離通信部315との間で接続確立処理がなされ、接続が確立すると、近距離通信装置21から近距離通信部315に対して接続情報が送信される。近距離通信部315は、受信した接続情報を、通信制御部314に設定する。これにより、認証用AP40”が起動された際に、ゲスト端末30と認証用AP40”との間の通信が可能となる。
ホスト端末32は、RADIUSサーバ部2002による認証が成功すると(図8のステップS100〜ステップS103)、認証用AP40”の起動をコントローラ2001に対して要求する(図8のステップS104)。コントローラ2001は、この要求に応じて認証用AP40”を起動させる(図8のステップS105、ステップS106)。
また、ホスト端末32は、通信制御装置20’に対して認証画面を要求する(図8のステップS120)。この認証画面要求は、ホスト用AP42”を介してスイッチ部2005に入力される。スイッチ部2005は、コントローラ2001により、フローテーブルにホスト端末32とWebサーバ部2000との間で、ゲスト用AP41”を介してパケット転送可能とする転送制御情報が書き込まれている。スイッチ部2005は、この転送制御情報に従い、ホスト用AP42”から入力された認証画面要求をWebサーバ部2000に渡す(図8のステップS121)。
一方、ゲスト端末30は、起動された認証用AP40”に、ステップS93で設定された接続情報を用いて接続し(図8のステップS107)、通信制御装置20’に対してIPアドレスを要求する(図8のステップS108、ステップS109)。このIPアドレス要求は、キャプティブポータル部2003に受け取られる。
キャプティブポータル部2003は、受け取ったIPアドレス要求に応じてIPアドレスを発行し、認証用AP40”を介してゲスト端末30に送信し、ゲスト端末30に対してIPアドレスを配布する(図8のステップS110、ステップS111)。
この時点でゲスト端末30から通信制御装置20’に対して、任意のURLでのHTTPによるアクセスが実行された場合、アクセス要求は、認証用AP40”からキャプティブポータル部2003に渡される(図8のステップS130、ステップS131)。キャプティブポータル部2003は、渡されたアクセス要求を、I/O部2004を介してWebサーバ部2000に渡す(図8のステップS132)。Webサーバ部2000は、渡されたアクセス要求に応じて、例えば図12を用いて説明したような認証情報入力画面を、ゲスト端末30に送信する(図8のステップS133、ステップS134)。
ゲスト端末30は、認証情報入力画面に従い入力された認証情報を通信制御装置20’に送信する(図8のステップS136)。認証情報は、認証用AP40”に受け取られ、認証用AP40”からキャプティブポータル部2003を介してWebサーバ部2000に渡される(図8のステップS137)。Webサーバ部2000は、渡された認証情報を、スイッチ部2005に入力する。スイッチ部2005は、フローテーブルに書き込まれた転送制御情報に従い、入力された認証情報を、ホスト用AP42”を介してホスト端末32に送信する(図8のステップS138)。ホスト端末32は、認証情報を受信し、受信した認証情報を既に取得した認証画面に表示させる(図8のステップS139)。
ホスト端末32において、認証画面に表示された認証情報に対してユーザ操作などにより認証がなされると、認証OK情報を送信する(図8のステップS140)。認証OK通知は、ホスト用AP42”からスイッチ部2005に渡され、スイッチ部2005により、フローテーブルに書き込まれた転送制御情報に従い、認証OK通知がWebサーバ部2000に渡される。Webサーバ部2000は、認証OK通知に応じて、例えばゲスト用AP41”のSSIDと、暗号化鍵とを含む接続情報ファイルを作成し、この接続情報ファイルのファイル名をランダムに生成するWebサーバ部2000は、このランダムに生成されたファイル名を含む、接続情報ファイルのネットワーク10上での位置を示すURLを、認証用AP40”を介してゲスト端末30に送信する(ステップS141、ステップS142)。
ゲスト端末30は、通信制御装置20’から送信されたURLに従い、ゲスト用AP41”に接続するための接続情報ファイルを、認証用AP40”を介して通信制御装置20’に要求する(図8のステップS150)。この要求は、キャプティブポータル部2003に渡され、キャプティブポータル部2003からWebサーバ部2000に渡される(図8のステップS152)。Webサーバ部2000は、この要求に応じて、接続情報ファイルを認証用AP40”を介してゲスト端末30に送信する(図8のステップS152、ステップS153)。これにより、接続情報ファイルが通信制御装置20’からゲスト端末30に配布される。ゲスト端末30は、通信制御装置20’から送信された接続情報ファイルを自身にインストールして、接続情報を設定する(図8のステップS154)。
また、ホスト端末32は、認証OK通知の送信後、ホストユーザのホスト端末32に対する操作により認証用AP40”の終了指示がなされると、認証用AP40”の終了要求を送信する。この終了要求は、Webサーバ部2000、I/O部2004およびキャプティブポータル部2003を介して認証用AP40”に受信され、認証用AP40”の機能が停止される(図8のステップS160〜ステップS162)。
ゲスト端末30は、認証用AP40”の終了を確認すると(図8のステップS163)、ステップS154で設定された接続情報に従い、ゲスト用AP41”に接続する(図8のステップS170)。また、通信制御装置20’において、コントローラ2001は、スイッチ部2005のフローテーブルに、ゲスト端末30とネットワーク10との間で、ゲスト用AP41”および有線LAN部43を介してパケット転送可能とする転送制御情報が書き込まれている。これにより、ゲスト端末30は、通信制御装置20’を介してのネットワーク10へのアクセスが可能となる。
なお、第1の実施形態の第3の変形例では、ゲスト端末30とWebサーバ部2000との間でなされる各通信(図8のステップS130〜ステップS153)のうち、少なくとも接続情報ファイルの配布に関する各通信(例えば図8のステップS141〜ステップS153)は、保護された通信により行うことが望ましい。例えば、ゲスト端末30とWebサーバ部2000との間でなされる、接続情報ファイルの配布に関する各通信を、HTTPS(Hypertext Transfer Protocol Secure)を通信プロトコルとして用いて行う。接続情報ファイルの配布に関する各通信をHTTPSを用いて行うことで、接続情報ファイルの配布をよりセキュアに実行できる。
第1の実施形態の第3の変形例によれば、上述した第1の実施形態による構成にOpenFlowを適用しているため、ゲスト端末30とネットワーク10との接続を許可するか否かを、組織体外の人(ゲストユーザ)が入力した、予め通知した認証情報に基づき、組織体内の人(ホストユーザ)が判定するシステムを、より柔軟且つ容易に構成することが可能である。
(第2の実施形態)
第2の実施形態について説明する。第2の実施形態は、ゲスト端末30のネットワーク10への接続を制御する通信制御装置が、第1の実施形態で説明したような近距離無線通信を行う近距離通信装置を備える例である。
第2の実施形態では、通信制御装置は、無線LANの接続を確立させるための接続情報を、通信制御装置が備える近距離通信装置による近距離無線通信を用いてゲスト端末30に渡す。ゲスト端末30は、この接続情報を用いて通信制御装置との間で無線LANによる接続を確立させ、通信制御装置は、無線LANによる接続が確立されたゲスト端末30に対して、ネットワーク10への接続を許可する。
ゲスト端末30は、通信制御装置に対して近距離無線通信の通信可能範囲(例えば略1m以内)まで接近することで、通信制御装置との間での無線LANによる接続が確立される。そのため、ゲスト端末30を用いるゲストユーザは、接続先のアクセスポイントの選択、指定を行うこと無く、目的の通信制御装置との間で無線LANによる通信を行うことができ、それによりネットワーク10に接続可能となる。
また、ゲスト端末30が通信制御装置との無線LANによる接続を確立するためには、ゲスト端末30が通信制御装置の直近にある必要がある。そのため、ホストユーザは、ゲスト端末30を操作するゲストユーザが目前にいる状態で、ゲストユーザに対してネットワーク10への接続を提供することになり、ゲストユーザの認証処理を実行することと同等の効果が得られる。
図17は、第2の実施形態に係るネットワークシステムの一例の構成を示す。なお、図17において、上述した図1と共通する部分には同一の符号を付して、詳細な説明を省略する。
図17に示されるネットワークシステム1dにおいて、通信制御装置20dは、近距離無線通信を行う近距離通信装置21’を内蔵する(第5の通信部)。近距離通信装置21’は、近距離無線通信によりゲスト端末30との間の接続を確立し、接続が確立されたゲスト端末30に対して、当該ゲスト端末30がゲスト用AP41に接続するために用いる接続情報を送信する。通信制御装置20dは、近距離通信装置21’が接続情報を送信したことに伴い、ゲスト用AP41とネットワーク10とを接続する。
ゲスト端末30は、通信制御装置20dの近距離通信装置21’から送信された接続情報を用いてゲスト用AP41との間の接続を確立する。ゲスト用AP41は、近距離通信装置21’が接続情報を送信したことに伴い、ネットワーク10と接続されている。そのため、ゲスト端末30は、ゲスト用AP41と無線LANによる通信を行い、ネットワーク10にアクセすることが可能となる。
このように、第2の実施形態に係るネットワークシステム1dでは、ゲスト端末30は、通信制御装置20dとの間で近距離無線通信による通信を確立することで、ゲスト用AP41を介してネットワーク10にアクセすることが可能となる。したがって、第1の実施形態に係るネットワーク10で用いた認証用AP40と、ホスト端末32とを省略することができる。
図18は、第2の実施形態に係る通信制御装置の一例の構成を示す。なお、図18において、上述した図2と共通する部分には同一の符号を付して、詳細な説明を省略する。
図18に示されるように、第2の実施形態に係る通信制御装置20dは、図2に示した第1の実施形態に係る通信制御装置20aに対して、近距離無線通信を制御する近距離通信I/F207が追加されている。近距離通信I/F207は、バス200に接続され、通信制御装置20dを構成する他の各部とバス200を介して互いに通信可能とされている。ここでは、近距離通信I/F207は、通信方式として、上述したBluetooth(登録商標)のクラス3が適用されるものとする。
近距離通信I/F207に適用可能な通信方式は、Bluetooth(登録商標)に限らず、指向性および通信可能距離が無線LANに対して制限がある通信方式であれば、NFCや赤外線通信など他の通信方式であってもよい。また、図18では、近距離通信I/F207が通信制御装置20dに内蔵されるように示したが、これはこの例に限定されない。例えば、近距離通信I/F207は、USBドングルの構成とし、通信制御装置20dが備えるUSBコネクタに装着して用いるようにしてもよい。
図19は、第2の実施形態に係る通信制御装置20dの機能を説明するための一例の機能ブロック図である。なお、図19において、上述した図3と共通する部分には同一の符号を付して、詳細な説明を省略する。
図19に示されるように、第2の実施形態に係る通信制御装置20dは、全体制御部211と、接続制御部213’と、通信制御部214と、近距離通信部215とを含む。すなわち、第2の実施形態に係る通信制御装置20dは、図3に示した第1の実施形態に係る通信制御装置20aに対して、近距離通信部215が追加され、接続誘導部212が省略された構成となっている。また、接続制御部213’は、第1の実施形態に係る認証・接続制御部213に対して、認証機能が省略されたものとなっている。これら全体制御部211、接続制御部213’、通信制御部214および近距離通信部215は、CPU201上で動作するプログラムにより構成される。
近距離通信部215は、近距離通信I/F207を制御して近距離無線通信を行う。また、近距離通信部215は、近距離無線通信による通信の結果を接続制御部213’に通知する。接続制御部213’は、通信制御部214およびゲスト用AP41間での通信経路の制御を行う接続制御部としての機能を備える。
なお、第2の実施形態では、ゲスト端末30の構成は、図4および図5を用いて説明した構成と略同一の構成を適用可能なので、ここでの説明を省略する。
次に、第2の実施形態に係る、ゲスト端末30のネットワーク10への接続処理の例について、図20のシーケンス図を用いてより詳細に説明する。なお、図20において、上述した図5、図17〜図19と共通する部分には同一の符号を付して、詳細な説明を省略する。また、図20では、説明のため、ゲスト用AP41が通信制御装置20dに含まれているように示している。
以下では、近距離通信部215および315に適用される近距離無線通信が、Bluetooth(登録商標)を低消費電力化したBluetooth(登録商標) Low Energyであるものとして説明する。
ステップS200〜ステップS202で、通信制御装置20dとゲスト端末30との間で、Bluetooth(登録商標)に規定されるペアリング処理が実行される。より具体的には、ステップS200で、通信制御装置20dは、近距離通信部215により、接続先を探索するために、自機を示す情報を通知する。ゲスト端末30は、通信制御装置20dと近距離通信可能な距離範囲内にあり、且つ、近距離通信部315が探索可能状態になっている場合、この通知を受信する(ステップS201)。
ゲスト端末30は、近距離通信部315により、通信制御装置20dが近距離通信部215により送信した通知を受信すると、受信した通知に応答して、通信制御装置20dに対して接続要求を送信する(ステップS202)。この接続要求が通信制御装置20dに受信されると、近距離通信部215および近距離通信部315により、通信制御装置20dとゲスト端末30との間で、近距離無線通信による接続確立処理が実行される(ステップS203)。
近距離通信部215および近距離通信部315により、通信制御装置20dとゲスト端末30との間の近距離無線通信による接続が確立されると、通信制御装置20dは、近距離通信部215により、ゲスト端末30に対して、ゲスト端末30が通信制御部20dと無線LANを介した通信を行うために用いる接続情報を送信する(ステップS204)。ゲスト端末30は、この接続情報を受信する。ゲスト端末30において、近距離通信部315は、受信した接続情報を、無線LANによる通信の制御を行う通信制御部314に渡す(ステップS205)。
なお、接続情報は、例えば、通信制御装置20dに接続されるゲスト用AP41の識別情報およびパスワードを含む。ゲスト用AP41の識別情報およびパスワードのより具体的な例としては、例えば通信方式がWPA2 Personalである場合、ESSID(Extended Service Set ID)およびPSK(Pre-Shared Key)となる。
また、通信制御装置20dにおいて、近距離通信部215は、ステップS203で近距離通信部315との接続が確立すると、接続制御部213’に、ゲスト用AP41と通信制御部214とを接続するように要求する(ステップS206)。接続制御部213’は、この要求に応じて、ゲスト用AP41と通信制御部214とを通信可能に接続する。なお、図20の例では、ステップS206の処理がステップS204の処理の後に実行されるように示しているが、これはこの例に限定されず、ステップS206の処理は、ステップS203とステップS204との間に実行してもよい。
通信制御部314は、ステップS205で近距離通信部315から渡された接続情報を用いて、ゲスト用AP41との間の無線LANによる接続を確立させる(ステップS207)。通信制御部314とゲスト用AP41との間の接続が確立されると、ゲスト端末30とゲスト用AP41との間で相互に通信が可能となる(ステップS208)。ここで、上述のステップS206の接続要求により、ゲスト用AP41と通信制御部214とが通信可能に接続されているため、ゲスト端末30は、通信制御部314により、ゲスト用AP41、接続制御部213’および通信制御部214を介してネットワーク10と接続される(ステップS209〜ステップS211)。
このように、第2の実施形態によれば、通信制御装置20dの近距離通信部215による通信可能範囲にゲスト端末30が入ることで、ゲスト端末30がゲスト用AP41との間で無線LANによる接続を確立するための接続情報が、近距離無線通信により、通信制御装置20dからゲスト端末30に送信される。接続情報を送信するための近距離無線通信の通信可能範囲を、例えば通信制御装置20dの近距離無線通信による通信位置から1m以内程度の範囲とすることで、ゲスト用AP41の選択操作を行うこと無く、特定のゲスト端末30を選択的にネットワーク10に接続させることが可能である。
(第2の実施形態の変形例)
第2の実施形態の変形例について説明する。第2の実施形態の変形例は、第2の実施形態による通信制御装置20d上で実行される各機能を、上述したSDNの概念に基づき構成した例である。
図21は、第2の実施形態の変形例に係る通信制御装置の機能を示す一例の機能ブロック図である。なお、図21において、上述の図16と共通する部分については同一の符号を付して、詳細な説明を省略する。なお、第2の実施形態の変形例では、上述した第2の実施形態に係るネットワークシステム1dを適用可能である。
図21において、通信制御装置20”は、図16で示した通信制御装置20’に対して、認証用AP40”およびホスト用AP42’と、キャプティブポータル部2003とが省略されている。また、通信制御装置20”は、図16の通信制御装置20’に対して、近距離通信部2010が追加されている。近距離通信部2010は、図19の近距離通信部215に対応するもので、近距離無線通信により、ゲスト端末30がゲスト用AP41”に接続するために用いる接続情報を、近距離無線通信により送信することができる。
また、図21において、スイッチ部2005’は、図19の接続制御部213’に対応し、近距離通信部2010からの接続要求に応じて、中継するパケットの振る舞いを制御することができる。例えば、スイッチ部2005’は、図20のステップS206で近距離通信部2010から受信した接続要求に従い、ゲスト用AP41”から供給されるパケットの転送先を示す情報を、有線LAN部43およびネットワーク10を介して接続される機器を転送先とするように書き換える。
このような構成において、通信制御装置20”の近距離通信部2010と、ゲスト端末30の近距離通信部315との間で、図20のステップS200〜ステップS203の処理が実行され、近距離通信部2010と近距離通信部315との間の近距離無線通信による接続が確立される。近距離通信部2010は、ゲスト端末30に対して、ゲスト端末30がゲスト用AP41”と接続するための接続情報を送信する(図20のステップS204)。接続情報は、ゲスト端末30に受信される。ゲスト端末30において近距離通信部315は、受信された接続情報を通信制御部314に渡す(図20のステップS205)。
通信制御部314は、近距離通信部315から渡された接続情報を用いて、ゲスト用AP41”との無線LANによる接続を確立する(図20のステップS207)。これにより、ゲスト端末30は、ゲスト用AP41”、スイッチ部2005’および有線LAN部43を介してネットワーク10に接続でき、ネットワーク10上の機器との間で通信を行うことが可能となる(ステップS208〜ステップS211)。
第2の実施形態の変形例によれば、上述した第1の実施形態による構成にOpenflowを第2の実施形態に適用させているため、ゲスト用AP41”の選択操作を行うこと無く、特定のゲスト端末30を選択的にネットワーク10に接続可能とするシステムを、より柔軟且つ容易に構成することができる。
(第2の実施形態の他の変形例)
なお、上述した第2の実施形態に対して、第1の実施形態の第1の変形例で説明したネットワークシステム1bや、第1の実施形態の第2の変形例で説明したネットワークシステム1cを適用することも可能である。
なお、上述の各実施形態は、本発明の好適な実施の例ではあるがこれに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変形による実施が可能である。