WLANアクセス認証に基づくサービスアクセス方法、システム及び装置
本出願はWLANアクセス認証に基づくサービスアクセス方法を開示し、当該方法は、端末がWLANアクセス認証を行う過程に、WLANポータルサーバがWLANアクセス認証に成功した端末に1Cookieを送信するステップと、前記WLANアクセス認証に成功した端末がアプリケーション・システムのサービスへのアクセスを請求する際、前記アプリケーション・システムと関連するサービス認証センターが、前記端末における第1Cookieにより、前記端末がWLANアクセス認証に成功したことを確認するステップと、前記関連するサービス認証センターが、前記第1Cookieにより、前記端末の端末IDトークンを取得するステップと、前記関連するサービス認証センターが、取得した前記端末IDトークンを前記アプリケーション・システムに送信するステップと、前記アプリケーション・システムが、前記端末IDトークンにより前記端末にサービスへのアクセスを提供するステップとを備える。上記方法によれば、端末がWLANアクセス認証に成功した後に、サービス認証せずに複数のアプリケーション・システムが提供するサービにスアクセスすることができ、ユーザー体験を改善し、アプリケーション・システムシステムオーバーヘッドを低減できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線通信分野に関し、特にWLAN(Wireless Local Area Network、即ち、無線LAN)アクセス認証に基づくサービスアクセス方法、システム及び装置に関する。
【背景技術】
【0002】
無線通信技術の発展と社会情報化の高まりとともに、WLANにより付加価値サービスを提供するアプリケーション・システムへのアクセスが日々求めてられている一方、サービスへのアクセスを提供できるアプリケーション・システムもますます多くなっている。
【0003】
図1は、端末11と、接続先(Access Point、APと略称)12と、接続コントローラ(Access Controller、ACと略称)13と、アクセス認証サーバ14及びポータル(Portal)サーバ15とを備えるWLANアクセス認証システム1の構造を示すイメージ図である。システム1において、接続先12は端末11の無線接続に用いられ、接続コントローラ13は端末11のWLANへの接続プロセスを制御する。接続コントローラ13、アクセス認証サーバ14とポータルサーバ15は端末11に対するアクセス認証を協力遂行できる。本出願人の出願中の中国特許出願第200610169785.0(公開番号:CN101212297A)には、上記WLANアクセス認証方法を詳細に説明し、また当該出願を参考にして内容の全てを本発明に取り込んでいるため、ここでは、説明を省略する。
【0004】
図2は、端末が一度サービス認証を受けるだけで、複数のアプリケーション・システムのサービスをアクセスできるシングルサインオン(Single Sign On)システム2を示すイメージ図である。システム2は、アプリケーション・システムと、サービス認証センターと端末データベースを備え、アプリケーション・システムは、それぞれ第1層サービス認証センター23と第2層サービス認証センター24と関連する、第1層アプリケーション・システム21と第2層アプリケーション・システム22に分ける。アプリケーション・システムは関連するサービス認証センターにより求める端末IDトークンを取得して、端末IDトークンにより端末にサービスへのアクセスを提供する。各第2層サービス認証センター24は、複数の端末情報を記録する端末データベース25と関連する。まだ公開されていない本出願人の中国特許出願第200810116578.8号には、当該シングルサインオン方法が詳細に記載されているが、本発明は当該出願を参考にして、その内容の全てを取り込んだため、ここでは、説明を省略する。
【0005】
しかしなから、上記WLANアクセス認証とシングルサインオン・システムのサービス認証がそれぞれ独立しているため、端末はWLANアクセス認証を受けた後、サービス認証をさらに少なくとも一回を受けないと、アプリケーション・システムが提供するサービスをアクセスできなくなる。このような認証の繰り返しがユーザー体験に影響を及ぼすだけではなく、アプリケーション・システムがサービス認証に要する端末データを記憶するため、システムオーバーヘッドが大きくなってしまう。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、上記のようなかかる点に鑑みてなされたものであり、本発明者らは、従来技術の重複認証問題を解決するため、WLANアクセス認証に基づくサービスアクセス方法を提供する。本出願にかかる一つの実施形態によれば、WLANアクセス認証に基づくサービスにアクセスする方法は、端末がWLANアクセス認証を行う間に、WLANポータルサーバはWLANアクセス認証に成功した端末に第1Cookieを送信するステップと、前記WLANアクセス認証に成功した端末がアプリケーション・システムのサービスへのアクセスを請求する際、上記アプリケーション・システムと関連するサービス認証センターは上記端末における第1Cookieにより、上記端末がWLANアクセス認証に成功したことを確認するステップと、上記関連するサービス認証センターが第1Cookieにより上記端末の端末IDトークンを取得するステップと、上記関連するサービス認証センターが取得した上記端末IDトークンを上記アプリケーション・システムに送信するステップと、及び上記アプリケーション・システムが上記端末IDトークンにより端末にサービスへのアクセスを提供するステップとを備える。
【課題を解決するための手段】
【0007】
本出願にかかる無線LAN(WLAN)アクセス認証に基づくサービスアクセスシステムは、
端末がWLANアクセス認証を行う過程において、WLANアクセス認証に成功した端末に第1Cookieを送信するWLANポータルサーバと、
WLANアクセス認証に成功した端末がアプリケーション・システムのサービスへのアクセスを請求する際、上記端末における第1Cookieにより、上記端末がWLANアクセス認証に成功したことを確認し、上記第1Cookieにより、上記端末の端末IDトークンを取得し、取得した上記端末IDトークンを上記アプリケーション・システムに送信する関連するサービス認証センターと、
上記端末IDトークンにより上記端末にサービスへのアクセスを提供するアプリケーション・システムとを備える。
【0008】
本出願にかかる無線LAN(WLAN)アクセス認証に基づくサービスアクセス装置は、
上記端末における第1Cookieにより、端末がWLANアクセス認証に成功したことを確認する確認モジュールと、
上記第1Cookieにより、上記端末の端末IDトークンを取得する取得モジュールと、
取得した上記端末IDトークンを上記アプリケーション・システムに送信する第1送信モジュールとを備え、
上記第1Cookieは、上記端末がWLANアクセス認証を受ける間、WLANポータルサーバがWLANアクセス認証に成功した端末に送信するものである。
【0009】
本出願にかかる無線LAN(WLAN)アクセス認証に基づくサービスアクセス装置は、
端末がWLANアクセス認証を行う過程、WLANアクセス認証に成功した端末により第1Cookieを生成する生成モジュールと、
WLANアクセス認証に成功した端末に第1Cookieを送信し、端末がアプリケーション・システムにサービスへのアクセスを請求する際、上記第1Cookieにより、上記端末の端末IDトークンを取得する第2送信モジュールとを備える。
【発明の効果】
【0010】
上述した方法によれば、端末がWLANアクセス認証に成功した後、サービス認証せずに複数のアプリケーション・システムが提供するサービスをアクセスでき、ユーザー体験を改善し、アプリケーション・システムのシステムオーバーヘッドを低減させることができる。
【図面の簡単な説明】
【0011】
【図1】WLANアクセス認証システムの構造を示すイメージ図。
【図2】シングルサインオン・システムの構造を示すイメージ図。
【図3】本出願の第1実施形態にかかるWLANアクセス認証に基づくサービスアクセス方法のブロック図。
【図4】本出願の第2実施形態にかかるWLANアクセス認証に基づくサービスアクセス方法のブロック図。
【図5】本出願の第3実施形態にかかるWLANアクセス認証に基づくサービスアクセス方法のブロック図。
【図6】本出願の第4実施形態にかかるWLANアクセス認証にかかるサービスアクセス方法のブロック図。
【図7】本出願の第5実施形態にかかるWLANアクセス認証にかかるサービスアクセス方法のブロック図。
【図8】本出願にかかる実際応用シナリオを例示するWLANアクセス認証にかかるサービスアクセス方法の処理ブロック図。
【図9】本出願にかかる他の実際応用シナリオを例示するWLANアクセス認証にかかるサービスアクセス方法の処理ブロック図。
【図10】本出願の第1実施形態にかかるWLANアクセス認証にかかるサービスアクセス方法のブロック図。
【図11】本出願の第2実施形態にかかるWLANアクセス認証にかかるサービスアクセス方法のブロック図。
【図12】本出願の第3実施形態にかかるWLANアクセス認証にかかるサービスアクセス方法のブロック図。
【図13】本出願の第4実施形態にかかるWLANアクセス認証にかかるサービスアクセス方法のブロック図。
【図14】本出願にかかる実際応用シナリオを例示するWLANアクセス認証にかかるサービスアクセス方法の処理ブロック図。
【図15】本出願にかかる無線LAN(WLAN)アクセス認証にかかるサービスアクセスシステムの構造を示すイメージ図。
【図16】本出願にかかる無線LAN(WLAN)アクセス認証にかかるサービスアクセス装置の構造を示すイメージ図。
【図17】本出願にかかる他の無線LAN(WLAN)アクセス認証にかかるサービスアクセス装置の構造を示すイメージ図。
【発明を実施するための形態】
【0012】
以下、本発明の実施の形態について、添付図面を参照して詳細に説明する。ただし、実施の形態において、同一機能を有する構成には同一符号を付し、重複する説明は省略する。
本出願によれば、端末があるアプリケーション・システムサービスへのアクセスを請求する際、端末がすでにWLANアクセス認証に成功したとすれば、アプリケーション・システムは、当該端末と相関連するサービス認証センターにより端末IDトークンを取得できる。ここで、端末IDトークンに基づいて端末にサービスへのアクセスを提供することができるので、サービス認証が必須ではなくなる。端末IDトークンは、アプリケーション・システムが端末にサービスへのアクセスを提供するのに必要とする情報であり、端末のMSISDN(Mobile Station international ISDN number)、料金情報等の例が挙げられることが、当業者にとって、明らかである。
【0013】
従来のWLAN接続方法によれば、ポータルサーバが端末にアクセス認証結果ページを送信できる。本出願にかかる一つの実施形態において、端末がWLANアクセス認証に成功した際、ポータルサーバは、端末にアクセス認証結果ページを送信する以外、端末にCookieも送信する。Cookieは端末に記憶されたテキストファイルであり、また、ポータルサーバにより端末に送信したCookieの内容としては端末識別子及びアクセス認証成功識別子が含まれる。本出願には、端末識別子は端末身分を確認できる唯一の識別コードであり、端末のMSISDNなどを例として挙げることができる。アクセス認証成功識別子は、端末がWLANアクセス認証に成功したことを確認する各種の情報であってもよいが、本発明を制限しない例を挙げるとポータルサーバの名称またはアドレスなどのポータルサーバ識別子がある。ポータルサーバは、Cookieのアクセス認証結果を表すページとともに端末に送信できるし、アクセス認証結果ページを送信する前後にCookieを単独的に端末に送信することもできることは、当業者として、理解できる。
【0014】
以下、図3〜図7を参考にして、本出願に係るWLANアクセス認証に基づくサービスアクセス方法を説明する。この内、サービスへのアクセスを提供するシステムは図2に示す2層フレームワークである。図3〜図7に示す方法のステップ1(図3におけるステップ301、図4におけるステップ401、図5におけるステップ501、図6におけるステップ601及び図7におけるステップ701)は、上記のようなポータルサーバがWLANアクセス認証に成功した端末にCookieを送信するステップであっても良い。ここで、端末がアプリケーション・システムにサービスへのアクセス請求を送信後、当該アプリケーション・システムに端末IDトークンの有無を検出し、端末IDトークンを有していれば、直ちに端末にサービスへのアクセスを提供することになることも理解できる。そのため、アプリケーション・システムにサービスへのアクセスを請求した端末の端末IDトークンがない場合のみ、図3〜図7に示す方法におけるポータルサーバがWLANアクセス認証に成功した端末にCookieを送信するステップ1後の各ステップを実施する。
【0015】
図3に示す本出願の第1実施形態に係る方法において、ステップ301後、端末がアプリケーション・システムサービスに対してアクセスを請求する際、当該アプリケーション・システムと関連するサービス認証センターは、端末におけるCookieにより、端末がWLANアクセス認証に成功したか否かを判定する(ステップ302)。この際、アプリケーション・システムはサービスへのアクセス請求先を当該アプリケーション・システムと関連するサービス認証センターに変更する。例えば、端末が第1層アプリケーション・システムのサービスをアクセスしようとすれば、第1層サービス認証センターは、当該端末がWLANアクセス認証に成功したか否かを判定し、一方、端末が第2層アプリケーション・システムのサービスにアクセスしようとする場合、当該第2層アプリケーション・システムと関連する第2層サービス認証センターにより当該端末がWLANアクセス認証に成功したか否かを判定する。前述のように、端末がWLANアクセス認証を受ける間、ポータルサーバは、WLANアクセス認証に成功した端末に端末識別子とアクセス認証成功識別子のCookieを送信する。そのため、サービス認証センターは、端末におけるCookieに含まれるアクセス認証成功識別子により、当該端末がWLANアクセス認証に成功したことを確認できる。
【0016】
そして、サービス認証センターは、Cookieにより、所要の端末IDトークンを取得する(ステップ303)。サービス認証センターは、端末IDトークンを受信して、それをアプリケーション・システムに送信する(ステップ304)。アプリケーション・システムは、端末IDトークンにより端末にサービスへのアクセスを提供する(ステップ305)。ここで、理解すべきことは、サービス認証センターがアプリケーション・システムに端末IDトークンを送信するステップ304においては、アプリケーション・システムが当該端末に所要のサービスへのアクセスを容易に提供するために、端末IDトークンは、まず、サービス認証センターにより端末に送信して、さらに、端末によりアプリケーション・システムに送信しても良い。
【0017】
図4に示す本出願にかかる第2の実施形態においては、ポータルサーバがステップ401でWLANアクセス認証に成功した端末にCookieを送信する。サービス認証センターが、端末におけるCookieにより端末がWLANアクセス認証に成功したことを確認(ステップ402)した後、サービス認証センターはCookieにより端末IDトークンを取得する下記の方法を利用することもでき、即ち、サービス認証センターはCookieから端末識別子取得して、端末識別子により、端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求する(ステップ403)。サービス認証センターは端末IDトークンを受信後、それをアプリケーション・システムに送信し(ステップ404)、アプリケーション・システムは、端末IDトークンにより端末にサービスへのアクセスを提供する(ステップ405)。
【0018】
前述のように、いずれかの第2層サービス認証センターは、複数の端末情報を記録する端末データベースと関連する。本出願において、端末がある第2層サービス認証センターに「属する」とは、端末の情報が当該第2層サービス認証センターと関連する端末データベースに記録されることを指す。端末が属する第2層サービス認証センターに端末IDトークンの提供を請求する前に、サービス認証センターは、端末がどちらの第2層サービス認証センターに属するのかをまず判断すべきである。サービス認証センターは、従来の各種方法を利用して、Cookieから取得した端末識別子により当該端末が属する第2層サービス認証センターを確認できるが、記載簡潔のため、本出願は判定方法を詳細に説明しない。サービス認証センターが端末識別子を端末が属する第2層サービス認証センターに送信するして端末IDトークンを請求する。こうすることにより、端末が属する第2層サービス認証センターは、端末識別子により対応する端末IDトークンを取得して、それをサービス認証センターに送信する。端末が属する第2層サービス認証センターは、端末識別子により、各種の従来方法で、自身と関連する端末データベースを検出して端末IDトークンを取得することは、当業者にとって明らかであるため、これ以上を説明しない。
【0019】
また、1つの選択肢として、サービス認証センターは端末IDトークンを記憶することができる。その場合、図4に示すステップ403において、サービス認証センターは、Cookieから端末識別子を取得後、当該端末識別子に対応する端末IDトークンがローカルに記憶しているか否かをまず判定し、ローカルに記憶していなければ、端末識別子に基づいて端末が属する第2層サービス認証センターに端末IDトークンの提供を請求し、また、IDトークンを取得した後にそれをローカルに記憶する。一方、ローカルに記憶していれば、端末が属する第2層サービス認証センターに端末IDトークンの提供を請求するステップを省略できる。例えば、サービス認証センターに端末IDトークンテーブルを配置して端末IDトークンを記憶する。ここで、理解すべきことは、端末IDトークンテーブルにおいて、端末識別子を各端末IDトークンの索引情報とし、言い換えると、端末IDトークンテーブルに端末識別子と端末IDトークンの対応関係を記録しておくことができる。そのため、サービス認証センターは、端末識別子を利用し、端末IDトークンテーブルを検出することにより対応する端末IDトークンを取得できる。
【0020】
セキュリティー性を高めるため、ポータルサーバより端末に送信したCookieは暗号化された端末識別子を含めても良いが、そうすると、サービス認証センターがCookieにおける暗号化された端末識別子を復号しないと端末識別子を取得できなくなってしまい、当業者が端末識別子の暗号化と復号のための各種の暗号化システムに取り組む必要がある。1つの具体的な実施例としては、対称鍵暗号化アルゴリズムを利用でき、即ち、ポータルサーバとサービス認証センターは共に1つの暗号化鍵Kaを共有する。具体的に、WLANアクセス認証に成功した端末におけるCookieにはポータルサーバが暗号化鍵Kaで端末識別子を暗号化した暗号文が含まれ、サービス認証センターは、当該Cookieを取得した後、暗号化鍵Kaで暗号化された端末識別子を復号させて正確な端末識別子を取得する。ここで、各種の対称鍵暗号化アルゴリズムを利用することができ、例えば、DESアルゴリズム、3-DESアルゴリズム、AESアルゴリズム等がある。一方、他の具体的な実施例の1つとしては、非対称鍵暗号化アルゴリズムも利用できる。即ち、WLANアクセス認証に成功した端末におけるCookieにはポータルサーバが共有鍵Kpで端末識別子を暗号化した後の暗号文が含まれ、サービス認証センターは、当該Cookieを取得した後、自身の私有鍵Ksで暗号化された端末識別子を復号できる。ここで、各種の非対称鍵暗号化アルゴリズム、例えば、RSAアルゴリズム、ELGMALアルゴリズム、ECCアルゴリズム等を利用できる。
【0021】
端末識別子を暗号化した後にCookieに追加することによりある程度のセキュリティーを高めることができるが、反射攻撃(Replay attack)という恐れがあるため、これは本出願に係る1つの実施例により解決できる。具体的には、サービス認証センターは、Cookieから端末識別子を取得した後に、端末識別子を記憶し、かつ、各端末識別子毎に端末識別子の索引を割り当てる。この場合に、サービス認証センターは、端末に修正したCookieを送信してその前にポータルサーバにより提供されたCookieを入れ替える。当該修正したCookieは、サービス認証センターの識別子(例えば、当該サービス認証センターの名称、アドレス等の情報)及び端末識別子と対応する端末識別子の索引を含めることが可能である。前述のように、サービス認証センターがアプリケーション・システムに端末IDトークンを送信するステップの間、まずサービス認証センターより端末IDトークンを端末に送信し、さらに端末よりアプリケーション・システムに送信しても良い。そのため、サービス認証センターが端末IDトークンを端末を経由してアプリケーション・システムに送信する間、修正したCookieを端末に送信して元のCookieを入れ替える。こうすることにより、端末が別のアプリケーション・システムのサービスへのアクセスを請求する際、当該別のアプリケーション・システムと関連するサービス認証センターは修正したCookieに含まれたサービス認証センターにおける識別子と端末識別子の索引により、サービス認証センター識別子が示すサービス認証センターに端末識別子の索引を送信して、サービス認証センター識別子が示すサービス認証センターは、端末識別子の索引により対応する端末識別子を取得して、所要の端末IDトークンを取得する。前述のように、サービス認証センターにおいて端末IDトークンテーブルを設置して端末IDトークンを記憶する場合、端末IDトークンテーブルは、端末識別子に対応する端末識別子の索引の項目を追加記録するように改編できる。そのため、修正したCookieにおけるサービス認証センター識別子が示すサービス認証センターは端末識別子の索引により端末IDトークンテーブルを検出し、対応する端末IDトークンが検出できなかった場合、端末IDトークンテーブルから対応する端末識別子を取得して、端末識別子により所要の端末IDトークンを取得する。こうすることにより、端末識別子を含むCookieは、端末のWLANアクセス認証に成功した後に、初めてサービスへのアクセスを請求する際のみに利用できるため、反射攻撃を防ぐことができる。
【0022】
サービス認証センターと端末が属する第2層サービス認証センターの間と、サービス認証センター及び関連するアプリケーション・システムの間でセキュリティー伝送チャネルを設置して端末識別子及び/または端末IDトークンの伝送を施すことができると理解できる。一例として、上記のセキュリティー伝送チャネルは、SSLセキュリティートンネルのようなVPN(Virtual Private Network、バーチャル・プライベート・ネットワーク)であっても良い。
【0023】
図5と図6は本出願の第3と第4実施形態にかかるWLANアクセス認証に基づくサービスアクセス方法を示すイメージ図である。そのうち、第2層サービス認証センターは、端末が属する第2層サービス認証センターに対して端末IDトークンを請求することではなく、第1層サービス認証センターを経由して端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求する。これで、異なる第2層サービス認証センター間の相互接続が起因となる網状アクセス状況を避けられ、情報混乱を防ぐ可能となる。
【0024】
以下、詳しく説明する。ポータルサーバはWLANアクセス認証に成功した端末にCookieを送信し(図5に示すステップ501、図6に示すステップ601)、サービス認証センターは端末におけるCookieにより端末がWLANアクセス認証に成功したことを確認する(図5に示すステップ502、図6に示すステップ602)。その後、サービス認証センターの所属層が第1層であるか第2層(図5に示すステップ503、図6に示すステップ603)であるかを判定する。サービス認証センターが第1層サービス認証センターであると判定すれば、第1層サービス認証センターは、Cookieから端末識別子を取得して、端末識別子により、端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求する(図5に示すステップ504、図6に示すステップ604)。一方、サービス認証センターが第2層サービス認証センターであると判定する場合、図5に示す方法は、図6に示す方法の処理と若干異なる。
【0025】
サービス認証センターが第2層サービス認証センターであると判定する場合、図5に示すように、第2層サービス認証センターは、Cookieから端末識別子を取得後、端末識別子を第1層サービス認証センターに送信し(ステップ505)、そして、第1層サービス認証センターは、端末識別子により、端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求し(ステップ506)、かつ、端末IDトークンを請求する第2層サービス認証センターは端末IDトークンを送信する(ステップ507)。一方、図6に示すように、第2層サービス認証センターは、Cookieを第1層サービス認証センターに送信し(ステップ605)、第1層サービス認証センターは、Cookieから端末識別子を取得して、端末識別子により端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求し(ステップ606)、かつ、端末IDトークンを請求する第2層サービス認証センターに端末IDトークンを送信する(ステップ607)。これにより、図5に示す方法には、第2層サービス認証センターがCookieから端末識別子を取得することを担当するが、図6に示す方法には、第1層サービス認証センターがCookieから端末識別子を取得することが分かる。
【0026】
サービス認証センターが端末IDトークンを受信した後に、図5に示す方法と図6に示す方法は、同様の処理を実行する。詳しくは、サービス認証センターは端末IDトークンをアプリケーション・システムに送信し(図5に示すステップ508、図6に示すステップ608)、アプリケーション・システムは、端末IDトークンにより、端末にサービスへのアクセスを提供する(図5に示すステップ509、図6に示すステップ609)。
【0027】
選択的に、サービス認証センターは、端末IDトークンを記憶しても良いし、前述のように、端末識別子と端末IDトークンの対応関係が記録している端末IDトークンテーブルを配置しても良い。こうすることより、図5に示すステップ503または図6に示すステップ603において、確認サービス認証センターが第1層サービス認証センターであると判定すれば、第1層サービス認証センターは、Cookieから端末識別子を取得した後、まず、所要の端末IDトークンが第1層サービス認証センター・ローカルに記憶されているか否かを判定し、記憶されていなければ、端末識別子により端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求する。記憶されていると判定すれば、端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求するプロセスを省略する。
また、サービス認証センターが第2層サービス認証センターである場合、図5に示す方法において、当該第2層サービス認証センターは、Cookieから端末識別子を取得後に、所要の端末IDトークンがそのローカルに記憶されているか否かを判定でき、記憶されていると判定すれば、その後の第1層サービス認証センターを経由して、端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求するプロセスを省略できる。また、図6に示す方法において、第1層サービス認証センターは、第2層サービス認証センターのCookieから端末識別子を取得した後、所要の端末IDトークンがもう第1層サービス認証センターに記憶されていると判定すれば、端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求するプロセスを省略する。
【0028】
また、これに類似するセキュリティー伝送チャネルを配置することで端末識別子及び/または端末IDトークンの伝送を実施できる。例えば、セキュリティー伝送チャネルが、SSLセキュリティートンネルのようなVPNの一例を挙げられる。
【0029】
一つの実施例において、WLANポータルサーバより端末に送信したCookieに、暗号化された端末識別子が含まれる可能である。ここで理解すべきことは、端末識別子が暗号化された場合に、図6に示す方法では、第1層サービス認証センターがCookieから端末識別子を取得するため、第2層サービス認証センターには復号するときにひつような暗号化鍵Ka(対称鍵暗号化アルゴリズム)または私有鍵Ks(非対称鍵暗号化アルゴリズム)か記憶されなくても良いということになり、第2層サービス認証センターのデータ記憶容量と計算容量を低減させることができる。
【0030】
図5と図6に示す方法においては、サービス認証センターが端末に修正したCookieを送信して、その前のポータルサーバより提供したCookieを入れ替えるステップをさらに備えることができ、修正したCookieにサービス認証センター識別子及び端末識別子と対応する端末識別子の索引が含まれることは理解できる。ここで説明すべきことは、図6に示す方法には、サービス認証センターがもし第2層サービス認証センターであれば、第1層サービス認証センターよりCookieにおける端末識別子を取得するが、第1層サービス認証センターが第2層サービス認証センターに端末IDトークンを送信する際に、端末識別子を第2層サービス認証センターに送信できる。そのため、サービス認証センターは、端末識別子を取得した後に、端末識別子を記憶し、かつ、各端末識別子毎に端末識別子の索引を割り当てる。
【0031】
上記の図3〜図6を参照して説明した方法においては、サービス認証センターは端末IDトークンを取得した後、それをアプリケーション・システムに送信する。一つの選択肢として、サービス認証センターが例えば端末IDトークンテーブルを配置するような手段により記憶された端末IDトークンを取得する場合、サービス認証センターが記憶された各端末IDトークンに対して対応する端末IDトークン番号を設置することができる。図7には当該実施形態にかかる方法を示した。ポータルサーバがWLANアクセス認証に成功した端末にCookieを送信するステップ701と、サービス認証センターが端末におけるCookieにより端末がWLANアクセス認証に成功したことを確認するステップ702と、サービス認証センターが端末IDトークンを取得したステップ703以後に、サービス認証センターは、端末IDトークンをアプリケーション・システムに直接送信せず、端末IDトークンを記憶する。例えば、端末IDトークンを端末IDトークンテーブルに記憶し、かつ、それに対応する端末IDトークン番号も配置する。そのため、サービス認証センターがアプリケーション・システムに送信するものは端末IDトークン番号(ステップ704)であり、端末IDトークンを直接送信することではない。アプリケーション・システムは、端末IDトークン番号を受信した後、サービス認証センターとの間で設置されたセキュリティー伝送チャネルにより、サービス認証センターに端末IDトークン番号を提供し、その後、サービス認証センターが端末IDトークンテーブルから対応する端末IDトークンを検出して、上記セキュリティー伝送チャネルを再び経由して端末IDトークンをアプリケーション・システムに送信する(ステップ705)。一例として、サービス認証センターとアプリケーション・システムの間で、SSLセキュリティートンネルのようなVPNを設置することにより端末IDトークンを送信できる。アプリケーション・システムは、端末IDトークンを取得後に、端末IDトークンにより端末にサービスへのアクセスを提供できる(ステップ706)。
【0032】
前述にて説明したように、アプリケーション・システムが端末に所要のサービスへのアクセスの提供を容易にさせるため、サービス認証センターは、端末IDトークンを、端末を経由してアプリケーション・システムに送信することもできる。しかしながら、通常の場合、サービス認証センターと端末間の伝送チャネル及び端末とアプリケーション・システム間の伝送チャネルのセキュリティー性が弱いため、端末IDトークンの伝送には端末IDトークン窃盗等の危険が隠されている。しかし、図7に示す方法によれば、サービス認証センターが端末を経由してアプリケーション・システムに送信する情報は端末IDトークン番号であり、また、端末IDトークンはセキュリティー伝送チャネルで伝送するため、セキュリティーを改善できる。
分かりやすくするため、以下図8と図9とを参照しながら、二つの具体的な応用シナリオの例を挙げて、本出願の実施例にかかるWLANアクセス認証に基づくサービスアクセス方法の詳しい処理プロセスを説明する。
【0033】
図8は、端末aが、WLANアクセス認証後に第1層アプリケーション・システムAにアクセスする一例のシナリオを示すものである。ここで、第1層アプリケーション・システムAは第1層サービス認証センター1と関連し、第2層サービス認証センター2は端末aの情報が記録された端末データベースBと関連し、即ち、端末aは第2層サービス認証センター2に帰属する。端末aのWLANアクセス認証プロセスにおいて、WLANポータルサーバは、WLANアクセス認証に成功した端末aに、アクセス認証成功識別子と暗号化された端末識別子が含まれたCookieを送信する。
【0034】
以下、図8に示す処理プロセスを説明する
ステップ801において、端末aは、第1層アプリケーション・システムAにサービスへのアクセスを請求する。
ステップ802において、第1層アプリケーション・システムAは、端末aの端末IDトークンの有無を検出し、端末aの端末IDトークンを検出できれば、ステップ814に入る。
ステップ803において、第1層アプリケーション・システムAは、端末aのサービスへのアクセス請求先を第1層サービス認証センター1にリダイレクトする。
ステップ804において、第1層サービス認証センター1は、端末aにおけるCookieのアクセス認証成功識別子の有無により、端末aがWLANアクセス認証に成功したか否かを判定し、WLANアクセス認証に成功したと判定すれば、Cookieにおける暗号化された端末識別子を復号して、端末識別子を取得する。そして、端末識別子を記憶し、かつ、それに対応する端末識別子の索引を配置し、一方、WLANアクセス認証に成功できなかったと判定すれば、端末aのWLANアクセス認証プロセスを実行する。
ステップ805において、第1層サービス認証センター1は、第2層サービス認証センター2との間にセキュリティー伝送チャネルを設置して、第2層サービス認証センター2に端末識別子を送信して、端末IDトークンを請求する。
ステップ806において、第2層サービス認証センター2は、端末データベースBに端末IDトークンを請求する。
ステップ807において、端末データベースBは、第2層サービス認証センター2に端末IDトークンを送信する。
ステップ808において、第2層サービス認証センター2は、ステップ805で設置したセキュリティー伝送チャネルを介して、第1層サービス認証センター1に端末IDトークンを送信する。
ステップ809において、第1層サービス認証センター1は、端末IDトークンを記憶し、端末IDトークンに端末IDトークン番号を設定し、第1層サービス認証センター1の識別子と端末識別子の索引が含まれる新しいCookieを生成する。
ステップ810において、第1層サービス認証センター1は、端末aのサービスへのアクセス請求先を第1層アプリケーション・システムAにリダイレクトし、具体的には、第1層アプリケーション・システムAに端末IDトークン番号を送信し、端末aに新しいCookieを送信することによりその前にポータルサーバが提供したCookieを入れ替える。
ステップ811において、第1層アプリケーション・システムAは、第1層サービス認証センター1との間にセキュリティー伝送チャネルを設置して、第1層サービス認証センター1に端末IDトークン番号を送信して端末IDトークンを請求する。
ステップ812において、第1層サービス認証センター1は、端末IDトークン番号により端末IDトークンを取得する。
ステップ813において、第1層サービス認証センター1は、ステップ811で設置したセキュリティー伝送チャネルにより第1層アプリケーション・システムAに端末IDトークンを送信する。
ステップ814において、第1層アプリケーション・システムAは、端末IDトークンにより端末aにサービスへのアクセスを提供する。
【0035】
図9は、端末aがWLANアクセス認証をした後に第2層アプリケーション・システムA'にアクセスする一例のシナリオを示すものである。ここで、第2層アプリケーション・システムA'は第2層サービス認証センター3と関連し、第2層サービス認証センター3は第1層サービス認証センター1と関連する。第2層サービス認証センター2は、端末aの情報が記録された端末データベースBと関連し、即ち、端末aは第2層サービス認証センター2に帰属する。端末aのWLANアクセス認証プロセスにおいて、WLANポータルサーバは、WLANアクセス認証に成功した端末aに、アクセス認証成功識別子と暗号化された端末識別子のCookieを送信する。
【0036】
以下、図9に示す処理プロセスを説明する。
ステップ901において、端末aは、第2層アプリケーション・システムA'に対してサービスへのアクセスを請求する。
ステップ902において、第2層アプリケーション・システムA'は、端末aの端末IDトークンの有無を検出し、端末aの端末IDトークンを検出できれば、ステップ917に入る。
ステップ903において、第2層アプリケーション・システムA'は、端末aのサービスへのアクセス請求先を第2層サービス認証センター3にリダイレクトする。
ステップ904において、第2層サービス認証センター3は、端末aにおけるCookieのアクセス認証成功識別子の有無により、端末aがWLANアクセス認証に成功したか否かを判定し、WLANアクセス認証に成功できなかったと判定すれば、端末aのWLANアクセス認証プロセスを実行する。
ステップ905において、第2層サービス認証センター3は、第1層サービス認証センター1にCookieを送信して、第1層サービス認証センター1に対して端末IDトークンの提供を請求する。
ステップ906において、第1層サービス認証センター1は、Cookieにおける暗号化された端末識別子を復号して、端末識別子を取得し、端末識別子を記憶する。
ステップ907において、第1層サービス認証センター1と第2層サービス認証センター2との間にセキュリティー伝送チャネルが設置され、第1層サービス認証センター1は、第2層サービス認証センター2に端末識別子を送信して、端末IDトークンを請求する。
ステップ908において、第2層サービス認証センター2は、端末データベースBに端末IDトークン請求を送信する。
ステップ909において、端末データベースBは、第2層サービス認証センター2に端末IDトークンを送信する。
ステップ910において、第2層サービス認証センター2は、ステップ907で設置されたセキュリティー伝送チャネルを介し、第1層サービス認証センター1に端末IDトークンを送信する。
ステップ911において、第1層サービス認証センター1は、第2層サービス認証センター3に端末IDトークンと端末識別子を送信する。
ステップ912において、第2層サービス認証センター3は、端末IDトークンと端末識別子を記憶し、端末IDトークンに端末IDトークン番号を設定し、端末識別子に端末識別子の索引を配置して、第2層サービス認証センター3の識別子と端末識別子の索引が含まれる新しいCookieを生成する。
ステップ913において、第2層サービス認証センター3は、端末aのサービスへのアクセス請求を第2層アプリケーション・システムA'にリダイレクトし、具体的には、第2層アプリケーション・システムA'に端末IDトークン番号を送信し、端末aに新しいCookieを送信して前にポータルサーバが提供したCookieを入れ替える。
ステップ914において、第2層アプリケーション・システムA'は、第2層サービス認証センター3との間でセキュリティー伝送チャネルを設置し、第2層サービス認証センター3に端末IDトークン番号を送信して端末IDトークンを請求する。
ステップ915において、第2層サービス認証センター3は、端末IDトークン番号により端末IDトークンを取得する。
ステップ916において、第2層サービス認証センター3は、ステップ914で設置されたセキュリティー伝送チャネルにより第2層アプリケーション・システムA'に端末IDトークンを送信する。
ステップ917において、第2層アプリケーション・システムA'は、端末IDトークンにより端末aにサービスへのアクセスを提供する。
【0037】
本出願において、端末からあるアプリケーション・システムサービスに対するアクセス請求が送信される際、端末がWLANアクセス認証に成功した場合、アプリケーション・システムが関連するサービス認証センターにより端末IDトークンを取得するプロセスにおいて、当該関連するサービス認証センターは、WLANポータルサーバにより端末IDトークンを取得でき、そして、サーバで当該端末の端末IDトークンを取得後に、端末IDトークンにより端末にサービスへのアクセスを提供でき、サービス認証をする必要がない。また、端末IDトークンは、アプリケーション・システムが端末にサービスへのアクセスを提供するために所要の情報であり、例えば、端末のMSISDN(Mobile Station international ISDN number)、料金情報等を含められるものであることは、当業者とって、明らかである。
【0038】
また、従来のWLAN接続方法においては、ポータルサーバは、端末にアクセス認証結果ページを送信できる。本出願にかかる一つの実施形態によれば、ポータルサーバは、端末がWLANアクセス認証に成功した際に、端末にアクセス認証結果ページ以外に、Cookieも送信できる。Cookieは端末に記憶されたテキストファイルであり、ポータルサーバより端末に送信したCookieの内容は、アクセス認証成功識別子を含むことができる。アクセス認証成功識別子は、端末がWLANアクセス認証に成功したことを確認できるいろんな情報であり、本発明を制限しない一例としては、ポータルサーバの名称またはアドレス等のようなWLANポータルサーバ識別子があり得る。また、ポータルサーバが端末に送信したCookieは、当該端末の端末識別子の索引をさらに含むことができる。本出願においては、端末識別子は端末身分を確認できる唯一の識別コードであり、端末のMSISDNの例を挙げられる。また、端末識別子の索引は、ポータルサーバが端末識別子を確認するための情報を指す。一つの実施例として、ポータルサーバには端末識別子テーブルが設置されており、ここで、各端末識別子毎にそれぞれ一つの端末識別子の索引が対応しており、このようにして、ポータルサーバは、端末識別子の索引により、端末識別子テーブルを検出して対応する端末識別子を取得する。ポータルサーバは、端末がWLANアクセス認証を受ける間に端末識別子を取得できるので、ポータルサーバは、端末識別子を取得した後に、端末識別子テーブルに端末識別子と端末識別子の索引の対応関係を追加できることが理解できる。
【0039】
そのため、WLANアクセス認証に成功した端末にアクセス認証成功識別子と端末識別子の索引を含むCookieが記憶されている。ポータルサーバは、Cookieを、アクセス認証結果ページとともに端末に送信しても良いし、アクセス認証結果ページを送信する前後に端末に送信しても良いと理解できる。
【0040】
以下、図10〜図13を参照しながら、本出願にかかるWLANアクセス認証に基づくサービスアクセス方法を説明する。ここで、サービスへのアクセスを提供するシステムは、図2に示す2層フレームワークを利用する。図10〜図13に示す方法におけるステップ1(図10におけるステップ1001、図11におけるステップ1101、図12におけるステップ1201及び図13におけるステップ1301)らは、全て前述のような、ポータルサーバがWLANアクセス認証に成功した端末にCookieを送信するステップである。端末がアプリケーション・システムにサービスへのアクセス請求を送信した後、アプリケーション・システムは当該アプリケーション・システムに端末IDトークンが既に存在しているか否かを検出し、既に存在すれば、端末にサービスへのアクセスを直ちに提供できることが理解できる。このため、アプリケーション・システムにサービスへのアクセスを請求する端末の端末IDトークンが存在しない場合のみ、図10〜図13に示す方法におけるステップ1後の各ステップを実行する。
【0041】
図10に示す本出願の第1実施形態にかかる方法において、ステップ1001後に、端末がアプリケーション・システムサービスに対するアクセス請求を送信する際、当該アプリケーション・システムと関連するサービス認証センターは、端末におけるCookieにより端末がWLANアクセス認証に成功したか否かを判定できる(ステップ1002)。この際、アプリケーション・システムは、サービスへのアクセス請求先を当該アプリケーション・システムと関連するサービス認証センターにリダイレクトする。例えば、端末の所望するアクセス先が第1層アプリケーション・システムにサービスであれば、当該第1層アプリケーション・システムと関連する第1層サービス認証センターにより当該端末がWLANアクセス認証に成功したか否かを判定し、また、端末の所望するアクセスが第2層アプリケーション・システムのサービスであれば、当該第2層アプリケーション・システムと関連する第2層サービス認証センターにより当該端末がWLANアクセス認証に成功したか否かを判定する。前述のように、Cookieが、例えばアクセス認証成功識別子と端末識別子の索引を含むことが可能であるため、サービス認証センターは、例えば端末におけるCookieに含まれたアクセス認証成功識別子により、当該端末がWLANアクセス認証に成功したことを確認できる。
【0042】
その後、サービス認証センターはCookieによりポータルサーバに対して請求し、そして、ポータルサーバにより端末IDトークンを提供する(ステップ1003)。サービス認証センターは、端末IDトークンを受信した後に、それをアプリケーション・システムに送信し(ステップ1004)、アプリケーション・システムは、端末IDトークンにより端末にサービスへのアクセスを提供する(ステップ1005)。ここで理解すべきことは、サービス認証センターがアプリケーション・システムに端末IDトークンを送信するステップ1004において、アプリケーション・システムが当該端末に所要のサービスへのアクセスの提供を容易にするために、サービス認証センターは、端末IDトークンをまず端末に送信して、そして端末によりアプリケーション・システムに送信することもできる。
【0043】
サービス認証センターとポータルサーバとの間、及びサービス認証センターとアプリケーション・システムとの間でセキュリティー伝送チャネルを設置して端末識別子と端末IDトークンを伝送することもできると理解できる。一例として、端末識別子と端末IDトークンを伝送する際、サービス認証センターとポータルサーバの間、及びサービス認証センターとアプリケーション・システムの間でVPN(Virtual Private Network)を設置しても良い。例えば、SSLセキュリティートンネルを設置する。
【0044】
図11に示す本出願にかかる第2実施形態によれば、ステップ1101後、サービス認証センターは、端末におけるCookieにより端末がWLANアクセス認証に成功したことを確認し(ステップ1102)、サービス認証センターは、Cookieから端末識別子の索引を取得して、ポータルサーバに端末識別子の索引を送信して端末IDトークンを請求する(ステップ1103)。前述のように、ポータルサーバが端末に送信したCookieには当該端末の端末識別子の索引を含むことができ、かつ、ポータルサーバは、端末識別子の索引と、端末識別子に対応する関係が記録された端末識別子テーブルを配置・保守する。そのため、ポータルサーバは、受信したサービス認証センターからの端末識別子の索引により、端末識別子テーブルを検出することを通じて対応する端末識別子を取得し、端末識別子により端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求し、取得した端末IDトークンを請求を送信したサービス認証センターに送信する(ステップ1104)。サービス認証センターは、端末IDトークンを取得した後、それをアプリケーション・システムに送信し(ステップ1105)、アプリケーション・システムは、端末IDトークンにより端末にサービスへのアクセスを提供する(ステップ1106)。
【0045】
前述のように、各第2層サービス認証センターは、複数の端末情報が記録された端末データベースと関連する。本出願においては、端末がある第2層サービス認証センターに「帰属」するとは、端末の情報が当該第2層サービス認証センターと関連する端末データベースに記録されたということを指す。端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求する前に、ポータルサーバは、端末が具体的にどちらの第2層サービス認証センターに帰属するのかを判定できる。当業者は各種の従来方法を利用して、ポータルサーバが端末識別子により当該端末が帰属する第2層サービス認証センターを確認できるようにするが、本出願ではこれ以上説明しない。ポータルサーバが端末が属する第2層サービス認証センターに端末IDトークンを請求する際、端末識別子を当該第2層サービス認証センターに送信しても良い。こうすることにより、第2層サービス認証センターは、端末識別子により対応する端末IDトークンを取得でき、それをポータルサーバに送信する。第2層サービス認証センターが端末識別子により、様々な従来方法を利用して、関連する端末データベースを検出して端末IDトークンを取得することは、当業者にとって明らかであるのでここでは説明を省略する。
【0046】
図11に示す方法における選択できる方法として、図12には本出願の第3実施形態にかかる方法を示した。ここで、ポータルサーバは、端末IDトークンを記憶し、かつ、前に説明した端末識別子の索引と端末識別子の対応関係が記録された端末識別子テーブルを拡張して、当該テープルに記憶された端末IDトークンと端末識別子の対応関係を記録する。そして、ポータルサーバは端末識別子により、拡張した端末識別子テーブルを検出することにより、対応する端末IDトークンを取得する。以下図12に示す方法のステップを詳しく説明する。
【0047】
まず、ポータルサーバはWLANアクセス認証に成功した端末にCookieを送信し(ステップ1201)、その後、サービス認証センターは端末におけるCookieによりサービスへのアクセスを請求した端末がWLANアクセス認証に成功したことを確認し(ステップ1202)、Cookieから端末識別子の索引を取得してポータルサーバに送信することにより端末IDトークンを請求する(ステップ1203)。図12に示す方法におけるステップ1204では、ポータルサーバは、受信した端末識別子の索引により対応する端末識別子を取得して、かつ端末識別子によりポータルサーバローカルには全ての対応する端末IDトークンが記憶されたか否かを判定する。ここで理解すべきことは、ポータルサーバは上記の拡張した端末識別子テーブルを検出することにより対応する端末IDトークンが記憶されたか否かを判定できる(ステップ1204)。ポータルサーバローカルに対応する端末IDトークンが記憶されたと判定すれば、端末IDトークンをサービス認証センターに送信し(ステップ1205)、一方、ポータルサーバローカルに対応する端末IDトークンが記憶されていないと判定すれば、端末識別子により端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求し、端末IDトークンを取得した後、それを当該端末IDトークンを請求したサービス認証センターに送信した以外に、端末IDトークンをポータルサーバローカルに記憶する(ステップ1206)。サービス認証センターが端末IDトークンを取得した後、それをアプリケーション・システムに送信し(ステップ1207)、 アプリケーション・システムは端末IDトークンにより端末にサービスへのアクセスを提供する(ステップ1208)。ここで理解すべきことは、ポータルサーバは、端末IDトークンを記憶するたびに、拡張した端末識別子テーブルにおける端末IDトークンと端末識別子の対応関係を更新することである。
【0048】
また、図11と図12に示す方法において、サービス認証センターとポータルサーバの間と、ポータルサーバと端末が属する第2層サービス認証センターの間と、サービス認証センターとアプリケーション・システムの間でセキュリティー伝送チャネルを設置することにより端末識別子と端末IDトークンを伝送できると理解できる。上記の内容を示す一例として、端末識別子と端末IDトークンを伝送する際、サービス認証センターとポータルサーバの間と、ポータルサーバと端末が属する第2層サービス認証センターの間、及びサービス認証センターとアプリケーション・システムの間でVPN、例えばSSLセキュリティートンネルを設置する。
【0049】
上記のように図10〜図12を参照しながら説明した方法において、サービス認証センターはポータルサーバにより端末IDトークンを取得した後、それをアプリケーション・システムに送信する。一つの選択肢として、サービス認証センターは取得した端末IDトークンを記憶することができる。例えば、端末IDトークンテーブルを配置して、各端末IDトークン毎に対応する端末IDトークン番号を設定する。図13は当該実施形態にかかる方法を示した。端末のWLANアクセス認証プロセスにおいて、ポータルサーバがWLANアクセス認証に成功した端末にCookieを送信する(ステップ1301)。続けて、サービス認証センターでは、端末におけるCookieにより端末がWLANアクセス認証に成功したことを確認し(ステップ1302)、ポータルサーバがサービス認証センターにより提供した端末IDトークンの請求を受信して、サービス認証センターに端末IDトークン(ステップ1303)を送信した後、サービス認証センターは、アプリケーション・システムに端末IDトークンを直ちに送信せず、端末IDトークンを記憶し、例えば、端末IDトークンテーブルに記憶して、かつ端末IDトークンに対応する端末IDトークン番号を設定する。そのため、サービス認証センターがアプリケーション・システムに送信するのは端末IDトークン番号であり(ステップ1304)、端末IDトークンを直ちに送信するわけではない。アプリケーション・システムは、端末IDトークン番号を受信した後、サービス認証センターとの間でセキュリティー伝送チャネルを設置して、サービス認証センターに端末IDトークン番号を提供し、サービス認証センターにより端末IDトークンテーブルから対応する端末IDトークンを検出して、上記セキュリティー伝送チャネルを再び介して端末IDトークンをアプリケーション・システムに送信(ステップ1305)。上記の内容を示す例として、サービス認証センターとアプリケーション・システムの間でSSLセキュリティートンネルのようにVPNを設置して端末IDトークンを伝送しても良い。アプリケーション・システムは、端末IDトークンを取得した後、端末IDトークンにより端末にサービスへのアクセスを提供する(ステップ1306)。
【0050】
前述のように、アプリケーション・システムが当該端末に所要のサービスへのアクセスの提供を容易にするため、サービス認証センターは、端末IDトークンを、端末を経由してアプリケーション・システムに送信できる。しかしながら、通常の場合、サービス認証センターと端末間の伝送チャネル、及び端末とアプリケーション・システム間の伝送チャネルのセキュリティー性が弱いため、端末IDトークンの伝送に端末IDトークンが窃盗される危険がある。一方、図13に示す方法では、サービス認証センターが端末を経由してアプリケーション・システムに送信した情報は、端末IDトークン番号のみであり、また、端末IDトークンはセキュリティー伝送チャネルで伝送させるため、セキュリティー性を改善した。
【0051】
理解しやすくするため、以下、図14を参照して、具体的な実施場面を例示することにより、本出願の実施例にかかるWLANアクセス認証に基づくサービスアクセスする方法の詳細な処理プロセスを説明する。
【0052】
図14に示す具体的な例において、アプリケーション・システムAとサービス認証センター1は関連しており、ここで、アプリケーション・システムAは、第1層アプリケーション・システムまたは第2層アプリケーション・システムであることができ、それに応じて、サービス認証センター1は第1層サービス認証センターまたは第2層サービス認証センターであることができる。第2層サービス認証センター2は端末aの情報を記録する端末データベースBと関連し、言い換えると、端末aは第2層サービス認証センター2に帰属する。ポータルサーバPは、端末aがWLANアクセス認証に成功した場合、端末aにアクセス認証成功識別子と端末識別子の索引が含まれるCookieを送信することができ、また、端末IDトークンを記憶できる。
【0053】
以下、図14に示す具体例によりフローチャートを説明する。
ステップ1401において、端末aは、アプリケーション・システムAに対してサービスへのアクセス請求を送信する。
ステップ1402において、アプリケーション・システムAは、端末aの端末IDトークンの有無を検出し、端末aの端末IDトークンがあると検出すれば、ステップ1418に入る。
ステップ1403において、アプリケーション・システムAは、端末aのサービスへのアクセス請求先をサービス認証センター1にリダイレクトする。
ステップ1404において、サービス認証センター1は、端末aにおけるCookieにアクセス認証成功識別子の有無により、端末aがWLANアクセス認証に成功したか否かを判定し、WLANアクセス認証に成功しなかったと判定すれば、端末aのWLANアクセス認証プロセスを実行する。
ステップ1405において、サービス認証センター1とポータルサーバPの間ではセキュリティー伝送チャネルを設置して、ポータルサーバPに、Cookieから取得した端末識別子の索引を送信して端末IDトークンを請求する。
ステップ1406において、ポータルサーバPは、端末識別子の索引に対応する端末識別子により、自身のローカルに端末aの端末IDトークンが記憶されたか否かを判定し、端末IDトークンが記憶されたと判定すれば、ステップ1412を実行する。
ステップ1407において、ポータルサーバPと第2層サービス認証センター2の間にセキュリティー伝送チャネルを設置して、第2層サービス認証センター2に端末IDトークン請求を送信する。
ステップ1408において、第2層サービス認証センター2は、端末データベースBに端末IDトークン請求を送信する。
ステップ1409において、端末データベースBは、第2層サービス認証センター2に端末IDトークンを送信する。
ステップ1410において、第2層サービス認証センター2は、ステップ1407で設置したセキュリティー伝送チャネルにより端末IDトークンをポータルサーバPに送信する。
ステップ1411において、ポータルサーバPは、取得した端末IDトークンを自身のローカルに記憶する。
ステップ1412において、ポータルサーバPは、ステップ1405で設置したセキュリティー伝送チャネルにより端末IDトークンをサービス認証センター1に送信する。
ステップ1413において、サービス認証センター1は、取得した端末IDトークンを記憶して、端末IDトークンに端末IDトークン番号を設定する。
ステップ1414において、サービス認証センター1は、端末aのサービスへのアクセス請求先をアプリケーション・システムAにリダイレクトし、この間、アプリケーション・システムAに端末IDトークン番号を送信する。
ステップ1415において、アプリケーション・システムAとサービス認証センター1の間でセキュリティー伝送チャネルを設置して、サービス認証センター1に端末IDトークン番号を送信して端末IDトークンを請求する。
ステップ1416において、サービス認証センター1は、端末IDトークン番号により端末IDトークンを取得する。
ステップ1417において、サービス認証センター1は、ステップ1415で設置したセキュリティー伝送チャネルによりアプリケーション・システムAに端末IDトークンを送信する。
ステップ1418において、アプリケーション・システムAは、端末IDトークンにより端末aにサービスへのアクセスを提供する。
【0054】
図15は、本出願にかかる無線LAN(WLAN)アクセス認証に基づくサービスへのアクセスシステムの構造を示すイメージ図である。上記システムは、WLANポータルサーバ150と、端末151と、関連するサービス認証センター152と、アプリケーション・システム153とを備える。以下、当該システムの構成をそれぞれ説明する。
WLANポータルサーバ150は、端末がWLANアクセス認証を受ける間、WLANアクセス認証に成功した端末に第1Cookieを送信することに用いる。
端末151は、WLANポータルサーバが送信した第1Cookieを受信することに用いる。
関連するサービス認証センター152は、WLANアクセス認証に成功した端末がアプリケーション・システムのサービスへのアクセスを請求する際、上記端末における第1Cookieにより、上記端末がWLANアクセス認証に成功したことを確認し、上記第1Cookieにより、上記端末の端末IDトークンを取得して、取得した上記端末IDトークンを上記アプリケーション・システム153に送信することに用いる。
アプリケーション・システム153は、上記端末IDトークンにより上記端末にサービスへのアクセスを提供することに用いる。
【0055】
また、上記関連するサービス認証センター152は、上記第1Cookieから端末識別子を取得して、上記端末識別子により、上記端末が属する第2層サービス認証センターに上記端末IDトークンの提供を請求する。
【0056】
上記関連するサービス認証センターが第2層サービス認証センターである場合、上記システムは、第1層サービス認証センター154をさらに備える。
【0057】
上記関連するサービス認証センター152は、具体的に、上記第1層サービス認証センター154を経由して、上記端末IDトークンを取得することに用いる。
【0058】
上記第1層サービス認証センター154は、第1Cookieにより、端末が属する第2層サービス認証センターに、上記関連するサービス認証センター152に上記端末IDトークンを提供することを請求する。
【0059】
上記関連するサービス認証センターが第2層サービス認証センターである場合、上記関連するサービス認証センターは、具体的に、第1Cookieを第1層サービス認証センター154に送信することに用いる。
【0060】
上記第1層サービス認証センター154は、具体的に、第1Cookieから端末識別子を取得して、上記端末識別子により、端末が属する第2層サービス認証センターに対して上記端末IDトークンの提供を請求し、かつ、上記関連するサービス認証センター152に上記端末IDトークンと上記端末識別子を送信する。
【0061】
上記関連するサービス認証センター152は、第1層サービス認証センター154により送信した端末識別子を受信した後、上記端末識別子を記憶し、上記端末識別子に端末識別子の索引を割り当て、端末に上記関連するサービス認証センター152の識別子と端末識別子の索引が含まれる第2Cookieを送信して上記第1Cookieを入れ替えることにさらに用いる。
【0062】
上記関連するサービス認証センター152が第2層サービス認証センターである場合、上記関連するサービス認証センター152は、具体的に、第1Cookieから端末識別子を取得して、上記端末識別子を第1層サービス認証センター154に送信する。
【0063】
上記第1層サービス認証センター154は、具体的に、上記端末識別子により、端末が属する第2層サービス認証センターに対して、上記端末IDトークンの提供を請求し、かつ、上記関連するサービス認証センター154に上記端末IDトークンを送信する。
【0064】
上記関連するサービス認証センター152は、第1Cookieから端末識別子を取得した後、上記端末識別子を記憶し、上記端末識別子に端末識別子の索引を割り当て、上記端末に上記関連するサービス認証センター152に識別子と上記端末識別子の索引が含まれる第2Cookieを送信して上記第1Cookieを入れ替えることにさらに用いる。
【0065】
上記関連するサービス認証センター152は、上記第1CookieによりWLANポータルサーバに対して請求し、WLANポータルサーバにより上記端末の端末IDトークンを取得することにさらに用いる。
【0066】
上記WLANポータルサーバ150は、上記端末の端末IDトークンを取得し、かつ、上記端末IDトークンを上記関連するサービス認証センター152に送信することにさらに用いる。
【0067】
上記WLANポータルサーバ150は、端末識別子の索引と端末識別子の対応関係が記録され端末識別子テーブルを配置・保守することにさらに用いる。
【0068】
上記WLANポータルサーバ150は、具体的に、上記関連するサービス認証センター152が送信した端末識別子の索引により、端末識別子テーブルから上記端末識別子の索引に対応する端末識別子を取得し、対応する上記端末識別子により上記端末が属する第2層サービス認証センターに対して上記端末の端末IDトークンの提供を請求して、取得した上記端末IDトークンを上記関連するサービス認証センター152に送信することに用いる。ここでの、上記端末識別子の索引は、上記関連するサービス認証センター152が上記第1Cookieから取得したものである。
【0069】
上記WLANポータルサーバ150は、また、端末IDトークン、端末識別子が記憶されたテーブルを、端末IDトークンと端末識別子の対応関係をさらに含めることに用いる。
【0070】
上記WLANポータルサーバ150は、具体的に、上記関連するサービス認証センター152が送信した端末識別子の索引により、端末識別子テーブルを検出することに通じて上記端末識別子を取得し、ローカルに上記端末識別子に対応する端末IDトークンが記憶されていない場合、上記端末識別子により端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求して、取得した上記端末IDトークンをローカルに記憶し、上記関連するサービス認証センター152に送信する。ローカルに上記端末識別子に対応する端末IDトークンが記憶された場合、対応する上記端末IDトークンを上記関連するサービス認証センター152に送信することに用いる。ここでの、上記端末識別子の索引は上記関連するサービス認証センター152が上記第1Cookieから取得したものである。
【0071】
上記関連するサービス認証センター152は、上記WLANポータルサーバ150及びアプリケーション・システム153との間でそれぞれセキュリティー伝送通路を設置し、セキュリティー伝送通路を設置することにより上記端末IDトークンを伝送することにさらに用いる。
【0072】
上記関連するサービス認証センター152は、端末IDトークンを記憶し、かつ、各端末IDトークン毎に対応する端末IDトークン番号を設定することにさらに用いる。
【0073】
上記関連するサービス認証センター152は、具体的に、アプリケーション・システム153に端末IDトークン番号を送信して、上記アプリケーション・システム153が送信した端末IDトークン番号により、端末IDトークンを請求し、上記アプリケーション・システム153との間で設置したセキュリティー伝送通路を通じて、上記端末IDトークン番号に対応する端末IDトークンを上記アプリケーション・システム153送信することにさらに用いる。
【0074】
図16は本発明の無線LAN(WLAN)アクセス認証にかかるサービスアクセス装置の構造を示すイメージ図である。上記装置は、確認モジュール161と、取得モジュール162と、第1送信モジュール163とを備える。以下、それぞれの構造に対して説明する。
確認モジュール161は、上記端末における第1Cookieにより、端末がWLANアクセス認証に成功したことを確認することに用いる。ここで、上記第1Cookieは、上記端末がWLANアクセス認証を受ける間では、WLANポータルサーバがWLANアクセス認証に成功した端末に送信したものである。
取得モジュール162は、上記第1Cookieにより、上記端末の端末IDトークンを取得することに用いる。
第1送信モジュール163は、取得した上記端末IDトークンを上記アプリケーション・システムに送信することに用いる。
【0075】
また、上記取得モジュール162は、
上記第1Cookieから端末識別子を取得する第1取得手段1621と、
上記端末識別子により請求上記端末が属する第2層サービス認証センターに対して上記端末IDトークンの提供を請求する第2取得手段1622とを備える。
【0076】
上記装置は、
第1Cookieから上記端末識別子を取得した後、上記端末識別子を記憶し、上記端末識別子に端末識別子の索引を割り当て、上記端末に上記関連するサービス認証センターの識別子と上記端末識別子の索引が含まれる第2Cookieを送信する記憶送信モジュール164をさらに備える。
【0077】
上記取得モジュール162は、具体的に、上記第1CookieによりWLANポータルサーバに対して請求し、WLANポータルサーバにより上記端末の端末IDトークンを取得することに用いる。
【0078】
上記記憶送信モジュール164は、取得した上記端末の端末IDトークンを取得し、かつ、各端末IDトークン毎に対応する端末IDトークン番号を設定することにさらに用いる。
【0079】
上記装置において、
上記第1送信モジュール163は、アプリケーション・システムに端末IDトークン番号を送信し、上記アプリケーション・システムが送信した端末IDトークン番号により端末IDトークンを請求し、上記アプリケーション・システムとの間で設置したセキュリティー伝送通路により、上記端末IDトークン番号に対応する端末IDトークンを上記アプリケーション・システムに送信することにさらに用いる。
【0080】
図17は、本出願にかかる無線LAN(WLAN)アクセス認証に基づくサービスアクセス装置の構造を示すイメージ図である。
上記装置は、
端末がWLANアクセス認証を受ける間、WLANアクセス認証に成功した端末により第1Cookieを生成する生成モジュール171と、
WLANアクセス認証に成功した端末に第1Cookieを送信し、端末がアプリケーション・システムのサービスへのアクセスを請求する際、上記第1Cookieにより、上記端末の端末IDトークンを取得する第2送信モジュール172とを備える。
【0081】
上記装置は、
関連するサービス認証センターが送信した請求により、上記端末IDトークンを取得する第2取得モジュール173をさらに備える。
【0082】
上記装置は、
端末識別子の索引と端末識別子の対応関係が記録された端末識別子テーブルを配置・記憶する記憶モジュール174をさらに備える。
【0083】
第2取得モジュール173は、
上記関連するサービス認証センターが送信した端末識別子の索引により、端末識別子テーブルから上記端末識別子の索引に対応する端末識別子を取得する識別子取得手段1731と、
対応する上記端末識別子により上記端末が属する第2層サービス認証センターに対して上記端末の端末IDトークンの提供を請求し、第2送信モジュール172により取得した上記端末IDトークンを上記関連するサービス認証センターに送信するトークン取得手段1732とをさらに備える。
ここでの、上記端末識別子の索引は、上記関連するサービス認証センターが上記第1Cookieから取得したものである。
【0084】
上記記憶モジュール174は、端末IDトークンを記憶し、また、端末識別子テーブルに端末IDトークンと端末識別子の対応関係を含めることにさらに用いる。、
【0085】
上記装置において、
上記識別子取得手段1731は、上記関連するサービス認証センターが送信した端末識別子の索引により、端末識別子テーブルを検出することで、上記端末識別子を取得することにさらに用いる。ここでの、上記端末識別子の索引は、上記関連するサービス認証センターが上記第1Cookieから取得したものである。
上記トークン取得手段1732は、ローカルに上記端末識別子に対応する端末IDトークンが記憶されなかった場合、上記端末識別子により端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求して、取得した上記端末IDトークンをローカルに記憶して、上記第2送信モジュール172に上記関連するサービス認証センターに送信し、ローカルに上記端末識別子に対応する端末IDトークンが記憶された場合、対応する上記端末IDトークンを上記第2送信モジュール172により上記関連するサービス認証センターに送信することににさらに用いる。
【0086】
本明細書では上記した実施形態を参照して本発明を詳しく説明したが、当業者により、上記した技術的な解決手段を改造し、またはその中の一部の技術要素を置換することもできる。そのような改造と置換は本発明の各実施形態の技術の範囲から逸脱するとは見なされない。
【技術分野】
【0001】
本発明は、無線通信分野に関し、特にWLAN(Wireless Local Area Network、即ち、無線LAN)アクセス認証に基づくサービスアクセス方法、システム及び装置に関する。
【背景技術】
【0002】
無線通信技術の発展と社会情報化の高まりとともに、WLANにより付加価値サービスを提供するアプリケーション・システムへのアクセスが日々求めてられている一方、サービスへのアクセスを提供できるアプリケーション・システムもますます多くなっている。
【0003】
図1は、端末11と、接続先(Access Point、APと略称)12と、接続コントローラ(Access Controller、ACと略称)13と、アクセス認証サーバ14及びポータル(Portal)サーバ15とを備えるWLANアクセス認証システム1の構造を示すイメージ図である。システム1において、接続先12は端末11の無線接続に用いられ、接続コントローラ13は端末11のWLANへの接続プロセスを制御する。接続コントローラ13、アクセス認証サーバ14とポータルサーバ15は端末11に対するアクセス認証を協力遂行できる。本出願人の出願中の中国特許出願第200610169785.0(公開番号:CN101212297A)には、上記WLANアクセス認証方法を詳細に説明し、また当該出願を参考にして内容の全てを本発明に取り込んでいるため、ここでは、説明を省略する。
【0004】
図2は、端末が一度サービス認証を受けるだけで、複数のアプリケーション・システムのサービスをアクセスできるシングルサインオン(Single Sign On)システム2を示すイメージ図である。システム2は、アプリケーション・システムと、サービス認証センターと端末データベースを備え、アプリケーション・システムは、それぞれ第1層サービス認証センター23と第2層サービス認証センター24と関連する、第1層アプリケーション・システム21と第2層アプリケーション・システム22に分ける。アプリケーション・システムは関連するサービス認証センターにより求める端末IDトークンを取得して、端末IDトークンにより端末にサービスへのアクセスを提供する。各第2層サービス認証センター24は、複数の端末情報を記録する端末データベース25と関連する。まだ公開されていない本出願人の中国特許出願第200810116578.8号には、当該シングルサインオン方法が詳細に記載されているが、本発明は当該出願を参考にして、その内容の全てを取り込んだため、ここでは、説明を省略する。
【0005】
しかしなから、上記WLANアクセス認証とシングルサインオン・システムのサービス認証がそれぞれ独立しているため、端末はWLANアクセス認証を受けた後、サービス認証をさらに少なくとも一回を受けないと、アプリケーション・システムが提供するサービスをアクセスできなくなる。このような認証の繰り返しがユーザー体験に影響を及ぼすだけではなく、アプリケーション・システムがサービス認証に要する端末データを記憶するため、システムオーバーヘッドが大きくなってしまう。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、上記のようなかかる点に鑑みてなされたものであり、本発明者らは、従来技術の重複認証問題を解決するため、WLANアクセス認証に基づくサービスアクセス方法を提供する。本出願にかかる一つの実施形態によれば、WLANアクセス認証に基づくサービスにアクセスする方法は、端末がWLANアクセス認証を行う間に、WLANポータルサーバはWLANアクセス認証に成功した端末に第1Cookieを送信するステップと、前記WLANアクセス認証に成功した端末がアプリケーション・システムのサービスへのアクセスを請求する際、上記アプリケーション・システムと関連するサービス認証センターは上記端末における第1Cookieにより、上記端末がWLANアクセス認証に成功したことを確認するステップと、上記関連するサービス認証センターが第1Cookieにより上記端末の端末IDトークンを取得するステップと、上記関連するサービス認証センターが取得した上記端末IDトークンを上記アプリケーション・システムに送信するステップと、及び上記アプリケーション・システムが上記端末IDトークンにより端末にサービスへのアクセスを提供するステップとを備える。
【課題を解決するための手段】
【0007】
本出願にかかる無線LAN(WLAN)アクセス認証に基づくサービスアクセスシステムは、
端末がWLANアクセス認証を行う過程において、WLANアクセス認証に成功した端末に第1Cookieを送信するWLANポータルサーバと、
WLANアクセス認証に成功した端末がアプリケーション・システムのサービスへのアクセスを請求する際、上記端末における第1Cookieにより、上記端末がWLANアクセス認証に成功したことを確認し、上記第1Cookieにより、上記端末の端末IDトークンを取得し、取得した上記端末IDトークンを上記アプリケーション・システムに送信する関連するサービス認証センターと、
上記端末IDトークンにより上記端末にサービスへのアクセスを提供するアプリケーション・システムとを備える。
【0008】
本出願にかかる無線LAN(WLAN)アクセス認証に基づくサービスアクセス装置は、
上記端末における第1Cookieにより、端末がWLANアクセス認証に成功したことを確認する確認モジュールと、
上記第1Cookieにより、上記端末の端末IDトークンを取得する取得モジュールと、
取得した上記端末IDトークンを上記アプリケーション・システムに送信する第1送信モジュールとを備え、
上記第1Cookieは、上記端末がWLANアクセス認証を受ける間、WLANポータルサーバがWLANアクセス認証に成功した端末に送信するものである。
【0009】
本出願にかかる無線LAN(WLAN)アクセス認証に基づくサービスアクセス装置は、
端末がWLANアクセス認証を行う過程、WLANアクセス認証に成功した端末により第1Cookieを生成する生成モジュールと、
WLANアクセス認証に成功した端末に第1Cookieを送信し、端末がアプリケーション・システムにサービスへのアクセスを請求する際、上記第1Cookieにより、上記端末の端末IDトークンを取得する第2送信モジュールとを備える。
【発明の効果】
【0010】
上述した方法によれば、端末がWLANアクセス認証に成功した後、サービス認証せずに複数のアプリケーション・システムが提供するサービスをアクセスでき、ユーザー体験を改善し、アプリケーション・システムのシステムオーバーヘッドを低減させることができる。
【図面の簡単な説明】
【0011】
【図1】WLANアクセス認証システムの構造を示すイメージ図。
【図2】シングルサインオン・システムの構造を示すイメージ図。
【図3】本出願の第1実施形態にかかるWLANアクセス認証に基づくサービスアクセス方法のブロック図。
【図4】本出願の第2実施形態にかかるWLANアクセス認証に基づくサービスアクセス方法のブロック図。
【図5】本出願の第3実施形態にかかるWLANアクセス認証に基づくサービスアクセス方法のブロック図。
【図6】本出願の第4実施形態にかかるWLANアクセス認証にかかるサービスアクセス方法のブロック図。
【図7】本出願の第5実施形態にかかるWLANアクセス認証にかかるサービスアクセス方法のブロック図。
【図8】本出願にかかる実際応用シナリオを例示するWLANアクセス認証にかかるサービスアクセス方法の処理ブロック図。
【図9】本出願にかかる他の実際応用シナリオを例示するWLANアクセス認証にかかるサービスアクセス方法の処理ブロック図。
【図10】本出願の第1実施形態にかかるWLANアクセス認証にかかるサービスアクセス方法のブロック図。
【図11】本出願の第2実施形態にかかるWLANアクセス認証にかかるサービスアクセス方法のブロック図。
【図12】本出願の第3実施形態にかかるWLANアクセス認証にかかるサービスアクセス方法のブロック図。
【図13】本出願の第4実施形態にかかるWLANアクセス認証にかかるサービスアクセス方法のブロック図。
【図14】本出願にかかる実際応用シナリオを例示するWLANアクセス認証にかかるサービスアクセス方法の処理ブロック図。
【図15】本出願にかかる無線LAN(WLAN)アクセス認証にかかるサービスアクセスシステムの構造を示すイメージ図。
【図16】本出願にかかる無線LAN(WLAN)アクセス認証にかかるサービスアクセス装置の構造を示すイメージ図。
【図17】本出願にかかる他の無線LAN(WLAN)アクセス認証にかかるサービスアクセス装置の構造を示すイメージ図。
【発明を実施するための形態】
【0012】
以下、本発明の実施の形態について、添付図面を参照して詳細に説明する。ただし、実施の形態において、同一機能を有する構成には同一符号を付し、重複する説明は省略する。
本出願によれば、端末があるアプリケーション・システムサービスへのアクセスを請求する際、端末がすでにWLANアクセス認証に成功したとすれば、アプリケーション・システムは、当該端末と相関連するサービス認証センターにより端末IDトークンを取得できる。ここで、端末IDトークンに基づいて端末にサービスへのアクセスを提供することができるので、サービス認証が必須ではなくなる。端末IDトークンは、アプリケーション・システムが端末にサービスへのアクセスを提供するのに必要とする情報であり、端末のMSISDN(Mobile Station international ISDN number)、料金情報等の例が挙げられることが、当業者にとって、明らかである。
【0013】
従来のWLAN接続方法によれば、ポータルサーバが端末にアクセス認証結果ページを送信できる。本出願にかかる一つの実施形態において、端末がWLANアクセス認証に成功した際、ポータルサーバは、端末にアクセス認証結果ページを送信する以外、端末にCookieも送信する。Cookieは端末に記憶されたテキストファイルであり、また、ポータルサーバにより端末に送信したCookieの内容としては端末識別子及びアクセス認証成功識別子が含まれる。本出願には、端末識別子は端末身分を確認できる唯一の識別コードであり、端末のMSISDNなどを例として挙げることができる。アクセス認証成功識別子は、端末がWLANアクセス認証に成功したことを確認する各種の情報であってもよいが、本発明を制限しない例を挙げるとポータルサーバの名称またはアドレスなどのポータルサーバ識別子がある。ポータルサーバは、Cookieのアクセス認証結果を表すページとともに端末に送信できるし、アクセス認証結果ページを送信する前後にCookieを単独的に端末に送信することもできることは、当業者として、理解できる。
【0014】
以下、図3〜図7を参考にして、本出願に係るWLANアクセス認証に基づくサービスアクセス方法を説明する。この内、サービスへのアクセスを提供するシステムは図2に示す2層フレームワークである。図3〜図7に示す方法のステップ1(図3におけるステップ301、図4におけるステップ401、図5におけるステップ501、図6におけるステップ601及び図7におけるステップ701)は、上記のようなポータルサーバがWLANアクセス認証に成功した端末にCookieを送信するステップであっても良い。ここで、端末がアプリケーション・システムにサービスへのアクセス請求を送信後、当該アプリケーション・システムに端末IDトークンの有無を検出し、端末IDトークンを有していれば、直ちに端末にサービスへのアクセスを提供することになることも理解できる。そのため、アプリケーション・システムにサービスへのアクセスを請求した端末の端末IDトークンがない場合のみ、図3〜図7に示す方法におけるポータルサーバがWLANアクセス認証に成功した端末にCookieを送信するステップ1後の各ステップを実施する。
【0015】
図3に示す本出願の第1実施形態に係る方法において、ステップ301後、端末がアプリケーション・システムサービスに対してアクセスを請求する際、当該アプリケーション・システムと関連するサービス認証センターは、端末におけるCookieにより、端末がWLANアクセス認証に成功したか否かを判定する(ステップ302)。この際、アプリケーション・システムはサービスへのアクセス請求先を当該アプリケーション・システムと関連するサービス認証センターに変更する。例えば、端末が第1層アプリケーション・システムのサービスをアクセスしようとすれば、第1層サービス認証センターは、当該端末がWLANアクセス認証に成功したか否かを判定し、一方、端末が第2層アプリケーション・システムのサービスにアクセスしようとする場合、当該第2層アプリケーション・システムと関連する第2層サービス認証センターにより当該端末がWLANアクセス認証に成功したか否かを判定する。前述のように、端末がWLANアクセス認証を受ける間、ポータルサーバは、WLANアクセス認証に成功した端末に端末識別子とアクセス認証成功識別子のCookieを送信する。そのため、サービス認証センターは、端末におけるCookieに含まれるアクセス認証成功識別子により、当該端末がWLANアクセス認証に成功したことを確認できる。
【0016】
そして、サービス認証センターは、Cookieにより、所要の端末IDトークンを取得する(ステップ303)。サービス認証センターは、端末IDトークンを受信して、それをアプリケーション・システムに送信する(ステップ304)。アプリケーション・システムは、端末IDトークンにより端末にサービスへのアクセスを提供する(ステップ305)。ここで、理解すべきことは、サービス認証センターがアプリケーション・システムに端末IDトークンを送信するステップ304においては、アプリケーション・システムが当該端末に所要のサービスへのアクセスを容易に提供するために、端末IDトークンは、まず、サービス認証センターにより端末に送信して、さらに、端末によりアプリケーション・システムに送信しても良い。
【0017】
図4に示す本出願にかかる第2の実施形態においては、ポータルサーバがステップ401でWLANアクセス認証に成功した端末にCookieを送信する。サービス認証センターが、端末におけるCookieにより端末がWLANアクセス認証に成功したことを確認(ステップ402)した後、サービス認証センターはCookieにより端末IDトークンを取得する下記の方法を利用することもでき、即ち、サービス認証センターはCookieから端末識別子取得して、端末識別子により、端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求する(ステップ403)。サービス認証センターは端末IDトークンを受信後、それをアプリケーション・システムに送信し(ステップ404)、アプリケーション・システムは、端末IDトークンにより端末にサービスへのアクセスを提供する(ステップ405)。
【0018】
前述のように、いずれかの第2層サービス認証センターは、複数の端末情報を記録する端末データベースと関連する。本出願において、端末がある第2層サービス認証センターに「属する」とは、端末の情報が当該第2層サービス認証センターと関連する端末データベースに記録されることを指す。端末が属する第2層サービス認証センターに端末IDトークンの提供を請求する前に、サービス認証センターは、端末がどちらの第2層サービス認証センターに属するのかをまず判断すべきである。サービス認証センターは、従来の各種方法を利用して、Cookieから取得した端末識別子により当該端末が属する第2層サービス認証センターを確認できるが、記載簡潔のため、本出願は判定方法を詳細に説明しない。サービス認証センターが端末識別子を端末が属する第2層サービス認証センターに送信するして端末IDトークンを請求する。こうすることにより、端末が属する第2層サービス認証センターは、端末識別子により対応する端末IDトークンを取得して、それをサービス認証センターに送信する。端末が属する第2層サービス認証センターは、端末識別子により、各種の従来方法で、自身と関連する端末データベースを検出して端末IDトークンを取得することは、当業者にとって明らかであるため、これ以上を説明しない。
【0019】
また、1つの選択肢として、サービス認証センターは端末IDトークンを記憶することができる。その場合、図4に示すステップ403において、サービス認証センターは、Cookieから端末識別子を取得後、当該端末識別子に対応する端末IDトークンがローカルに記憶しているか否かをまず判定し、ローカルに記憶していなければ、端末識別子に基づいて端末が属する第2層サービス認証センターに端末IDトークンの提供を請求し、また、IDトークンを取得した後にそれをローカルに記憶する。一方、ローカルに記憶していれば、端末が属する第2層サービス認証センターに端末IDトークンの提供を請求するステップを省略できる。例えば、サービス認証センターに端末IDトークンテーブルを配置して端末IDトークンを記憶する。ここで、理解すべきことは、端末IDトークンテーブルにおいて、端末識別子を各端末IDトークンの索引情報とし、言い換えると、端末IDトークンテーブルに端末識別子と端末IDトークンの対応関係を記録しておくことができる。そのため、サービス認証センターは、端末識別子を利用し、端末IDトークンテーブルを検出することにより対応する端末IDトークンを取得できる。
【0020】
セキュリティー性を高めるため、ポータルサーバより端末に送信したCookieは暗号化された端末識別子を含めても良いが、そうすると、サービス認証センターがCookieにおける暗号化された端末識別子を復号しないと端末識別子を取得できなくなってしまい、当業者が端末識別子の暗号化と復号のための各種の暗号化システムに取り組む必要がある。1つの具体的な実施例としては、対称鍵暗号化アルゴリズムを利用でき、即ち、ポータルサーバとサービス認証センターは共に1つの暗号化鍵Kaを共有する。具体的に、WLANアクセス認証に成功した端末におけるCookieにはポータルサーバが暗号化鍵Kaで端末識別子を暗号化した暗号文が含まれ、サービス認証センターは、当該Cookieを取得した後、暗号化鍵Kaで暗号化された端末識別子を復号させて正確な端末識別子を取得する。ここで、各種の対称鍵暗号化アルゴリズムを利用することができ、例えば、DESアルゴリズム、3-DESアルゴリズム、AESアルゴリズム等がある。一方、他の具体的な実施例の1つとしては、非対称鍵暗号化アルゴリズムも利用できる。即ち、WLANアクセス認証に成功した端末におけるCookieにはポータルサーバが共有鍵Kpで端末識別子を暗号化した後の暗号文が含まれ、サービス認証センターは、当該Cookieを取得した後、自身の私有鍵Ksで暗号化された端末識別子を復号できる。ここで、各種の非対称鍵暗号化アルゴリズム、例えば、RSAアルゴリズム、ELGMALアルゴリズム、ECCアルゴリズム等を利用できる。
【0021】
端末識別子を暗号化した後にCookieに追加することによりある程度のセキュリティーを高めることができるが、反射攻撃(Replay attack)という恐れがあるため、これは本出願に係る1つの実施例により解決できる。具体的には、サービス認証センターは、Cookieから端末識別子を取得した後に、端末識別子を記憶し、かつ、各端末識別子毎に端末識別子の索引を割り当てる。この場合に、サービス認証センターは、端末に修正したCookieを送信してその前にポータルサーバにより提供されたCookieを入れ替える。当該修正したCookieは、サービス認証センターの識別子(例えば、当該サービス認証センターの名称、アドレス等の情報)及び端末識別子と対応する端末識別子の索引を含めることが可能である。前述のように、サービス認証センターがアプリケーション・システムに端末IDトークンを送信するステップの間、まずサービス認証センターより端末IDトークンを端末に送信し、さらに端末よりアプリケーション・システムに送信しても良い。そのため、サービス認証センターが端末IDトークンを端末を経由してアプリケーション・システムに送信する間、修正したCookieを端末に送信して元のCookieを入れ替える。こうすることにより、端末が別のアプリケーション・システムのサービスへのアクセスを請求する際、当該別のアプリケーション・システムと関連するサービス認証センターは修正したCookieに含まれたサービス認証センターにおける識別子と端末識別子の索引により、サービス認証センター識別子が示すサービス認証センターに端末識別子の索引を送信して、サービス認証センター識別子が示すサービス認証センターは、端末識別子の索引により対応する端末識別子を取得して、所要の端末IDトークンを取得する。前述のように、サービス認証センターにおいて端末IDトークンテーブルを設置して端末IDトークンを記憶する場合、端末IDトークンテーブルは、端末識別子に対応する端末識別子の索引の項目を追加記録するように改編できる。そのため、修正したCookieにおけるサービス認証センター識別子が示すサービス認証センターは端末識別子の索引により端末IDトークンテーブルを検出し、対応する端末IDトークンが検出できなかった場合、端末IDトークンテーブルから対応する端末識別子を取得して、端末識別子により所要の端末IDトークンを取得する。こうすることにより、端末識別子を含むCookieは、端末のWLANアクセス認証に成功した後に、初めてサービスへのアクセスを請求する際のみに利用できるため、反射攻撃を防ぐことができる。
【0022】
サービス認証センターと端末が属する第2層サービス認証センターの間と、サービス認証センター及び関連するアプリケーション・システムの間でセキュリティー伝送チャネルを設置して端末識別子及び/または端末IDトークンの伝送を施すことができると理解できる。一例として、上記のセキュリティー伝送チャネルは、SSLセキュリティートンネルのようなVPN(Virtual Private Network、バーチャル・プライベート・ネットワーク)であっても良い。
【0023】
図5と図6は本出願の第3と第4実施形態にかかるWLANアクセス認証に基づくサービスアクセス方法を示すイメージ図である。そのうち、第2層サービス認証センターは、端末が属する第2層サービス認証センターに対して端末IDトークンを請求することではなく、第1層サービス認証センターを経由して端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求する。これで、異なる第2層サービス認証センター間の相互接続が起因となる網状アクセス状況を避けられ、情報混乱を防ぐ可能となる。
【0024】
以下、詳しく説明する。ポータルサーバはWLANアクセス認証に成功した端末にCookieを送信し(図5に示すステップ501、図6に示すステップ601)、サービス認証センターは端末におけるCookieにより端末がWLANアクセス認証に成功したことを確認する(図5に示すステップ502、図6に示すステップ602)。その後、サービス認証センターの所属層が第1層であるか第2層(図5に示すステップ503、図6に示すステップ603)であるかを判定する。サービス認証センターが第1層サービス認証センターであると判定すれば、第1層サービス認証センターは、Cookieから端末識別子を取得して、端末識別子により、端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求する(図5に示すステップ504、図6に示すステップ604)。一方、サービス認証センターが第2層サービス認証センターであると判定する場合、図5に示す方法は、図6に示す方法の処理と若干異なる。
【0025】
サービス認証センターが第2層サービス認証センターであると判定する場合、図5に示すように、第2層サービス認証センターは、Cookieから端末識別子を取得後、端末識別子を第1層サービス認証センターに送信し(ステップ505)、そして、第1層サービス認証センターは、端末識別子により、端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求し(ステップ506)、かつ、端末IDトークンを請求する第2層サービス認証センターは端末IDトークンを送信する(ステップ507)。一方、図6に示すように、第2層サービス認証センターは、Cookieを第1層サービス認証センターに送信し(ステップ605)、第1層サービス認証センターは、Cookieから端末識別子を取得して、端末識別子により端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求し(ステップ606)、かつ、端末IDトークンを請求する第2層サービス認証センターに端末IDトークンを送信する(ステップ607)。これにより、図5に示す方法には、第2層サービス認証センターがCookieから端末識別子を取得することを担当するが、図6に示す方法には、第1層サービス認証センターがCookieから端末識別子を取得することが分かる。
【0026】
サービス認証センターが端末IDトークンを受信した後に、図5に示す方法と図6に示す方法は、同様の処理を実行する。詳しくは、サービス認証センターは端末IDトークンをアプリケーション・システムに送信し(図5に示すステップ508、図6に示すステップ608)、アプリケーション・システムは、端末IDトークンにより、端末にサービスへのアクセスを提供する(図5に示すステップ509、図6に示すステップ609)。
【0027】
選択的に、サービス認証センターは、端末IDトークンを記憶しても良いし、前述のように、端末識別子と端末IDトークンの対応関係が記録している端末IDトークンテーブルを配置しても良い。こうすることより、図5に示すステップ503または図6に示すステップ603において、確認サービス認証センターが第1層サービス認証センターであると判定すれば、第1層サービス認証センターは、Cookieから端末識別子を取得した後、まず、所要の端末IDトークンが第1層サービス認証センター・ローカルに記憶されているか否かを判定し、記憶されていなければ、端末識別子により端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求する。記憶されていると判定すれば、端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求するプロセスを省略する。
また、サービス認証センターが第2層サービス認証センターである場合、図5に示す方法において、当該第2層サービス認証センターは、Cookieから端末識別子を取得後に、所要の端末IDトークンがそのローカルに記憶されているか否かを判定でき、記憶されていると判定すれば、その後の第1層サービス認証センターを経由して、端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求するプロセスを省略できる。また、図6に示す方法において、第1層サービス認証センターは、第2層サービス認証センターのCookieから端末識別子を取得した後、所要の端末IDトークンがもう第1層サービス認証センターに記憶されていると判定すれば、端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求するプロセスを省略する。
【0028】
また、これに類似するセキュリティー伝送チャネルを配置することで端末識別子及び/または端末IDトークンの伝送を実施できる。例えば、セキュリティー伝送チャネルが、SSLセキュリティートンネルのようなVPNの一例を挙げられる。
【0029】
一つの実施例において、WLANポータルサーバより端末に送信したCookieに、暗号化された端末識別子が含まれる可能である。ここで理解すべきことは、端末識別子が暗号化された場合に、図6に示す方法では、第1層サービス認証センターがCookieから端末識別子を取得するため、第2層サービス認証センターには復号するときにひつような暗号化鍵Ka(対称鍵暗号化アルゴリズム)または私有鍵Ks(非対称鍵暗号化アルゴリズム)か記憶されなくても良いということになり、第2層サービス認証センターのデータ記憶容量と計算容量を低減させることができる。
【0030】
図5と図6に示す方法においては、サービス認証センターが端末に修正したCookieを送信して、その前のポータルサーバより提供したCookieを入れ替えるステップをさらに備えることができ、修正したCookieにサービス認証センター識別子及び端末識別子と対応する端末識別子の索引が含まれることは理解できる。ここで説明すべきことは、図6に示す方法には、サービス認証センターがもし第2層サービス認証センターであれば、第1層サービス認証センターよりCookieにおける端末識別子を取得するが、第1層サービス認証センターが第2層サービス認証センターに端末IDトークンを送信する際に、端末識別子を第2層サービス認証センターに送信できる。そのため、サービス認証センターは、端末識別子を取得した後に、端末識別子を記憶し、かつ、各端末識別子毎に端末識別子の索引を割り当てる。
【0031】
上記の図3〜図6を参照して説明した方法においては、サービス認証センターは端末IDトークンを取得した後、それをアプリケーション・システムに送信する。一つの選択肢として、サービス認証センターが例えば端末IDトークンテーブルを配置するような手段により記憶された端末IDトークンを取得する場合、サービス認証センターが記憶された各端末IDトークンに対して対応する端末IDトークン番号を設置することができる。図7には当該実施形態にかかる方法を示した。ポータルサーバがWLANアクセス認証に成功した端末にCookieを送信するステップ701と、サービス認証センターが端末におけるCookieにより端末がWLANアクセス認証に成功したことを確認するステップ702と、サービス認証センターが端末IDトークンを取得したステップ703以後に、サービス認証センターは、端末IDトークンをアプリケーション・システムに直接送信せず、端末IDトークンを記憶する。例えば、端末IDトークンを端末IDトークンテーブルに記憶し、かつ、それに対応する端末IDトークン番号も配置する。そのため、サービス認証センターがアプリケーション・システムに送信するものは端末IDトークン番号(ステップ704)であり、端末IDトークンを直接送信することではない。アプリケーション・システムは、端末IDトークン番号を受信した後、サービス認証センターとの間で設置されたセキュリティー伝送チャネルにより、サービス認証センターに端末IDトークン番号を提供し、その後、サービス認証センターが端末IDトークンテーブルから対応する端末IDトークンを検出して、上記セキュリティー伝送チャネルを再び経由して端末IDトークンをアプリケーション・システムに送信する(ステップ705)。一例として、サービス認証センターとアプリケーション・システムの間で、SSLセキュリティートンネルのようなVPNを設置することにより端末IDトークンを送信できる。アプリケーション・システムは、端末IDトークンを取得後に、端末IDトークンにより端末にサービスへのアクセスを提供できる(ステップ706)。
【0032】
前述にて説明したように、アプリケーション・システムが端末に所要のサービスへのアクセスの提供を容易にさせるため、サービス認証センターは、端末IDトークンを、端末を経由してアプリケーション・システムに送信することもできる。しかしながら、通常の場合、サービス認証センターと端末間の伝送チャネル及び端末とアプリケーション・システム間の伝送チャネルのセキュリティー性が弱いため、端末IDトークンの伝送には端末IDトークン窃盗等の危険が隠されている。しかし、図7に示す方法によれば、サービス認証センターが端末を経由してアプリケーション・システムに送信する情報は端末IDトークン番号であり、また、端末IDトークンはセキュリティー伝送チャネルで伝送するため、セキュリティーを改善できる。
分かりやすくするため、以下図8と図9とを参照しながら、二つの具体的な応用シナリオの例を挙げて、本出願の実施例にかかるWLANアクセス認証に基づくサービスアクセス方法の詳しい処理プロセスを説明する。
【0033】
図8は、端末aが、WLANアクセス認証後に第1層アプリケーション・システムAにアクセスする一例のシナリオを示すものである。ここで、第1層アプリケーション・システムAは第1層サービス認証センター1と関連し、第2層サービス認証センター2は端末aの情報が記録された端末データベースBと関連し、即ち、端末aは第2層サービス認証センター2に帰属する。端末aのWLANアクセス認証プロセスにおいて、WLANポータルサーバは、WLANアクセス認証に成功した端末aに、アクセス認証成功識別子と暗号化された端末識別子が含まれたCookieを送信する。
【0034】
以下、図8に示す処理プロセスを説明する
ステップ801において、端末aは、第1層アプリケーション・システムAにサービスへのアクセスを請求する。
ステップ802において、第1層アプリケーション・システムAは、端末aの端末IDトークンの有無を検出し、端末aの端末IDトークンを検出できれば、ステップ814に入る。
ステップ803において、第1層アプリケーション・システムAは、端末aのサービスへのアクセス請求先を第1層サービス認証センター1にリダイレクトする。
ステップ804において、第1層サービス認証センター1は、端末aにおけるCookieのアクセス認証成功識別子の有無により、端末aがWLANアクセス認証に成功したか否かを判定し、WLANアクセス認証に成功したと判定すれば、Cookieにおける暗号化された端末識別子を復号して、端末識別子を取得する。そして、端末識別子を記憶し、かつ、それに対応する端末識別子の索引を配置し、一方、WLANアクセス認証に成功できなかったと判定すれば、端末aのWLANアクセス認証プロセスを実行する。
ステップ805において、第1層サービス認証センター1は、第2層サービス認証センター2との間にセキュリティー伝送チャネルを設置して、第2層サービス認証センター2に端末識別子を送信して、端末IDトークンを請求する。
ステップ806において、第2層サービス認証センター2は、端末データベースBに端末IDトークンを請求する。
ステップ807において、端末データベースBは、第2層サービス認証センター2に端末IDトークンを送信する。
ステップ808において、第2層サービス認証センター2は、ステップ805で設置したセキュリティー伝送チャネルを介して、第1層サービス認証センター1に端末IDトークンを送信する。
ステップ809において、第1層サービス認証センター1は、端末IDトークンを記憶し、端末IDトークンに端末IDトークン番号を設定し、第1層サービス認証センター1の識別子と端末識別子の索引が含まれる新しいCookieを生成する。
ステップ810において、第1層サービス認証センター1は、端末aのサービスへのアクセス請求先を第1層アプリケーション・システムAにリダイレクトし、具体的には、第1層アプリケーション・システムAに端末IDトークン番号を送信し、端末aに新しいCookieを送信することによりその前にポータルサーバが提供したCookieを入れ替える。
ステップ811において、第1層アプリケーション・システムAは、第1層サービス認証センター1との間にセキュリティー伝送チャネルを設置して、第1層サービス認証センター1に端末IDトークン番号を送信して端末IDトークンを請求する。
ステップ812において、第1層サービス認証センター1は、端末IDトークン番号により端末IDトークンを取得する。
ステップ813において、第1層サービス認証センター1は、ステップ811で設置したセキュリティー伝送チャネルにより第1層アプリケーション・システムAに端末IDトークンを送信する。
ステップ814において、第1層アプリケーション・システムAは、端末IDトークンにより端末aにサービスへのアクセスを提供する。
【0035】
図9は、端末aがWLANアクセス認証をした後に第2層アプリケーション・システムA'にアクセスする一例のシナリオを示すものである。ここで、第2層アプリケーション・システムA'は第2層サービス認証センター3と関連し、第2層サービス認証センター3は第1層サービス認証センター1と関連する。第2層サービス認証センター2は、端末aの情報が記録された端末データベースBと関連し、即ち、端末aは第2層サービス認証センター2に帰属する。端末aのWLANアクセス認証プロセスにおいて、WLANポータルサーバは、WLANアクセス認証に成功した端末aに、アクセス認証成功識別子と暗号化された端末識別子のCookieを送信する。
【0036】
以下、図9に示す処理プロセスを説明する。
ステップ901において、端末aは、第2層アプリケーション・システムA'に対してサービスへのアクセスを請求する。
ステップ902において、第2層アプリケーション・システムA'は、端末aの端末IDトークンの有無を検出し、端末aの端末IDトークンを検出できれば、ステップ917に入る。
ステップ903において、第2層アプリケーション・システムA'は、端末aのサービスへのアクセス請求先を第2層サービス認証センター3にリダイレクトする。
ステップ904において、第2層サービス認証センター3は、端末aにおけるCookieのアクセス認証成功識別子の有無により、端末aがWLANアクセス認証に成功したか否かを判定し、WLANアクセス認証に成功できなかったと判定すれば、端末aのWLANアクセス認証プロセスを実行する。
ステップ905において、第2層サービス認証センター3は、第1層サービス認証センター1にCookieを送信して、第1層サービス認証センター1に対して端末IDトークンの提供を請求する。
ステップ906において、第1層サービス認証センター1は、Cookieにおける暗号化された端末識別子を復号して、端末識別子を取得し、端末識別子を記憶する。
ステップ907において、第1層サービス認証センター1と第2層サービス認証センター2との間にセキュリティー伝送チャネルが設置され、第1層サービス認証センター1は、第2層サービス認証センター2に端末識別子を送信して、端末IDトークンを請求する。
ステップ908において、第2層サービス認証センター2は、端末データベースBに端末IDトークン請求を送信する。
ステップ909において、端末データベースBは、第2層サービス認証センター2に端末IDトークンを送信する。
ステップ910において、第2層サービス認証センター2は、ステップ907で設置されたセキュリティー伝送チャネルを介し、第1層サービス認証センター1に端末IDトークンを送信する。
ステップ911において、第1層サービス認証センター1は、第2層サービス認証センター3に端末IDトークンと端末識別子を送信する。
ステップ912において、第2層サービス認証センター3は、端末IDトークンと端末識別子を記憶し、端末IDトークンに端末IDトークン番号を設定し、端末識別子に端末識別子の索引を配置して、第2層サービス認証センター3の識別子と端末識別子の索引が含まれる新しいCookieを生成する。
ステップ913において、第2層サービス認証センター3は、端末aのサービスへのアクセス請求を第2層アプリケーション・システムA'にリダイレクトし、具体的には、第2層アプリケーション・システムA'に端末IDトークン番号を送信し、端末aに新しいCookieを送信して前にポータルサーバが提供したCookieを入れ替える。
ステップ914において、第2層アプリケーション・システムA'は、第2層サービス認証センター3との間でセキュリティー伝送チャネルを設置し、第2層サービス認証センター3に端末IDトークン番号を送信して端末IDトークンを請求する。
ステップ915において、第2層サービス認証センター3は、端末IDトークン番号により端末IDトークンを取得する。
ステップ916において、第2層サービス認証センター3は、ステップ914で設置されたセキュリティー伝送チャネルにより第2層アプリケーション・システムA'に端末IDトークンを送信する。
ステップ917において、第2層アプリケーション・システムA'は、端末IDトークンにより端末aにサービスへのアクセスを提供する。
【0037】
本出願において、端末からあるアプリケーション・システムサービスに対するアクセス請求が送信される際、端末がWLANアクセス認証に成功した場合、アプリケーション・システムが関連するサービス認証センターにより端末IDトークンを取得するプロセスにおいて、当該関連するサービス認証センターは、WLANポータルサーバにより端末IDトークンを取得でき、そして、サーバで当該端末の端末IDトークンを取得後に、端末IDトークンにより端末にサービスへのアクセスを提供でき、サービス認証をする必要がない。また、端末IDトークンは、アプリケーション・システムが端末にサービスへのアクセスを提供するために所要の情報であり、例えば、端末のMSISDN(Mobile Station international ISDN number)、料金情報等を含められるものであることは、当業者とって、明らかである。
【0038】
また、従来のWLAN接続方法においては、ポータルサーバは、端末にアクセス認証結果ページを送信できる。本出願にかかる一つの実施形態によれば、ポータルサーバは、端末がWLANアクセス認証に成功した際に、端末にアクセス認証結果ページ以外に、Cookieも送信できる。Cookieは端末に記憶されたテキストファイルであり、ポータルサーバより端末に送信したCookieの内容は、アクセス認証成功識別子を含むことができる。アクセス認証成功識別子は、端末がWLANアクセス認証に成功したことを確認できるいろんな情報であり、本発明を制限しない一例としては、ポータルサーバの名称またはアドレス等のようなWLANポータルサーバ識別子があり得る。また、ポータルサーバが端末に送信したCookieは、当該端末の端末識別子の索引をさらに含むことができる。本出願においては、端末識別子は端末身分を確認できる唯一の識別コードであり、端末のMSISDNの例を挙げられる。また、端末識別子の索引は、ポータルサーバが端末識別子を確認するための情報を指す。一つの実施例として、ポータルサーバには端末識別子テーブルが設置されており、ここで、各端末識別子毎にそれぞれ一つの端末識別子の索引が対応しており、このようにして、ポータルサーバは、端末識別子の索引により、端末識別子テーブルを検出して対応する端末識別子を取得する。ポータルサーバは、端末がWLANアクセス認証を受ける間に端末識別子を取得できるので、ポータルサーバは、端末識別子を取得した後に、端末識別子テーブルに端末識別子と端末識別子の索引の対応関係を追加できることが理解できる。
【0039】
そのため、WLANアクセス認証に成功した端末にアクセス認証成功識別子と端末識別子の索引を含むCookieが記憶されている。ポータルサーバは、Cookieを、アクセス認証結果ページとともに端末に送信しても良いし、アクセス認証結果ページを送信する前後に端末に送信しても良いと理解できる。
【0040】
以下、図10〜図13を参照しながら、本出願にかかるWLANアクセス認証に基づくサービスアクセス方法を説明する。ここで、サービスへのアクセスを提供するシステムは、図2に示す2層フレームワークを利用する。図10〜図13に示す方法におけるステップ1(図10におけるステップ1001、図11におけるステップ1101、図12におけるステップ1201及び図13におけるステップ1301)らは、全て前述のような、ポータルサーバがWLANアクセス認証に成功した端末にCookieを送信するステップである。端末がアプリケーション・システムにサービスへのアクセス請求を送信した後、アプリケーション・システムは当該アプリケーション・システムに端末IDトークンが既に存在しているか否かを検出し、既に存在すれば、端末にサービスへのアクセスを直ちに提供できることが理解できる。このため、アプリケーション・システムにサービスへのアクセスを請求する端末の端末IDトークンが存在しない場合のみ、図10〜図13に示す方法におけるステップ1後の各ステップを実行する。
【0041】
図10に示す本出願の第1実施形態にかかる方法において、ステップ1001後に、端末がアプリケーション・システムサービスに対するアクセス請求を送信する際、当該アプリケーション・システムと関連するサービス認証センターは、端末におけるCookieにより端末がWLANアクセス認証に成功したか否かを判定できる(ステップ1002)。この際、アプリケーション・システムは、サービスへのアクセス請求先を当該アプリケーション・システムと関連するサービス認証センターにリダイレクトする。例えば、端末の所望するアクセス先が第1層アプリケーション・システムにサービスであれば、当該第1層アプリケーション・システムと関連する第1層サービス認証センターにより当該端末がWLANアクセス認証に成功したか否かを判定し、また、端末の所望するアクセスが第2層アプリケーション・システムのサービスであれば、当該第2層アプリケーション・システムと関連する第2層サービス認証センターにより当該端末がWLANアクセス認証に成功したか否かを判定する。前述のように、Cookieが、例えばアクセス認証成功識別子と端末識別子の索引を含むことが可能であるため、サービス認証センターは、例えば端末におけるCookieに含まれたアクセス認証成功識別子により、当該端末がWLANアクセス認証に成功したことを確認できる。
【0042】
その後、サービス認証センターはCookieによりポータルサーバに対して請求し、そして、ポータルサーバにより端末IDトークンを提供する(ステップ1003)。サービス認証センターは、端末IDトークンを受信した後に、それをアプリケーション・システムに送信し(ステップ1004)、アプリケーション・システムは、端末IDトークンにより端末にサービスへのアクセスを提供する(ステップ1005)。ここで理解すべきことは、サービス認証センターがアプリケーション・システムに端末IDトークンを送信するステップ1004において、アプリケーション・システムが当該端末に所要のサービスへのアクセスの提供を容易にするために、サービス認証センターは、端末IDトークンをまず端末に送信して、そして端末によりアプリケーション・システムに送信することもできる。
【0043】
サービス認証センターとポータルサーバとの間、及びサービス認証センターとアプリケーション・システムとの間でセキュリティー伝送チャネルを設置して端末識別子と端末IDトークンを伝送することもできると理解できる。一例として、端末識別子と端末IDトークンを伝送する際、サービス認証センターとポータルサーバの間、及びサービス認証センターとアプリケーション・システムの間でVPN(Virtual Private Network)を設置しても良い。例えば、SSLセキュリティートンネルを設置する。
【0044】
図11に示す本出願にかかる第2実施形態によれば、ステップ1101後、サービス認証センターは、端末におけるCookieにより端末がWLANアクセス認証に成功したことを確認し(ステップ1102)、サービス認証センターは、Cookieから端末識別子の索引を取得して、ポータルサーバに端末識別子の索引を送信して端末IDトークンを請求する(ステップ1103)。前述のように、ポータルサーバが端末に送信したCookieには当該端末の端末識別子の索引を含むことができ、かつ、ポータルサーバは、端末識別子の索引と、端末識別子に対応する関係が記録された端末識別子テーブルを配置・保守する。そのため、ポータルサーバは、受信したサービス認証センターからの端末識別子の索引により、端末識別子テーブルを検出することを通じて対応する端末識別子を取得し、端末識別子により端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求し、取得した端末IDトークンを請求を送信したサービス認証センターに送信する(ステップ1104)。サービス認証センターは、端末IDトークンを取得した後、それをアプリケーション・システムに送信し(ステップ1105)、アプリケーション・システムは、端末IDトークンにより端末にサービスへのアクセスを提供する(ステップ1106)。
【0045】
前述のように、各第2層サービス認証センターは、複数の端末情報が記録された端末データベースと関連する。本出願においては、端末がある第2層サービス認証センターに「帰属」するとは、端末の情報が当該第2層サービス認証センターと関連する端末データベースに記録されたということを指す。端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求する前に、ポータルサーバは、端末が具体的にどちらの第2層サービス認証センターに帰属するのかを判定できる。当業者は各種の従来方法を利用して、ポータルサーバが端末識別子により当該端末が帰属する第2層サービス認証センターを確認できるようにするが、本出願ではこれ以上説明しない。ポータルサーバが端末が属する第2層サービス認証センターに端末IDトークンを請求する際、端末識別子を当該第2層サービス認証センターに送信しても良い。こうすることにより、第2層サービス認証センターは、端末識別子により対応する端末IDトークンを取得でき、それをポータルサーバに送信する。第2層サービス認証センターが端末識別子により、様々な従来方法を利用して、関連する端末データベースを検出して端末IDトークンを取得することは、当業者にとって明らかであるのでここでは説明を省略する。
【0046】
図11に示す方法における選択できる方法として、図12には本出願の第3実施形態にかかる方法を示した。ここで、ポータルサーバは、端末IDトークンを記憶し、かつ、前に説明した端末識別子の索引と端末識別子の対応関係が記録された端末識別子テーブルを拡張して、当該テープルに記憶された端末IDトークンと端末識別子の対応関係を記録する。そして、ポータルサーバは端末識別子により、拡張した端末識別子テーブルを検出することにより、対応する端末IDトークンを取得する。以下図12に示す方法のステップを詳しく説明する。
【0047】
まず、ポータルサーバはWLANアクセス認証に成功した端末にCookieを送信し(ステップ1201)、その後、サービス認証センターは端末におけるCookieによりサービスへのアクセスを請求した端末がWLANアクセス認証に成功したことを確認し(ステップ1202)、Cookieから端末識別子の索引を取得してポータルサーバに送信することにより端末IDトークンを請求する(ステップ1203)。図12に示す方法におけるステップ1204では、ポータルサーバは、受信した端末識別子の索引により対応する端末識別子を取得して、かつ端末識別子によりポータルサーバローカルには全ての対応する端末IDトークンが記憶されたか否かを判定する。ここで理解すべきことは、ポータルサーバは上記の拡張した端末識別子テーブルを検出することにより対応する端末IDトークンが記憶されたか否かを判定できる(ステップ1204)。ポータルサーバローカルに対応する端末IDトークンが記憶されたと判定すれば、端末IDトークンをサービス認証センターに送信し(ステップ1205)、一方、ポータルサーバローカルに対応する端末IDトークンが記憶されていないと判定すれば、端末識別子により端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求し、端末IDトークンを取得した後、それを当該端末IDトークンを請求したサービス認証センターに送信した以外に、端末IDトークンをポータルサーバローカルに記憶する(ステップ1206)。サービス認証センターが端末IDトークンを取得した後、それをアプリケーション・システムに送信し(ステップ1207)、 アプリケーション・システムは端末IDトークンにより端末にサービスへのアクセスを提供する(ステップ1208)。ここで理解すべきことは、ポータルサーバは、端末IDトークンを記憶するたびに、拡張した端末識別子テーブルにおける端末IDトークンと端末識別子の対応関係を更新することである。
【0048】
また、図11と図12に示す方法において、サービス認証センターとポータルサーバの間と、ポータルサーバと端末が属する第2層サービス認証センターの間と、サービス認証センターとアプリケーション・システムの間でセキュリティー伝送チャネルを設置することにより端末識別子と端末IDトークンを伝送できると理解できる。上記の内容を示す一例として、端末識別子と端末IDトークンを伝送する際、サービス認証センターとポータルサーバの間と、ポータルサーバと端末が属する第2層サービス認証センターの間、及びサービス認証センターとアプリケーション・システムの間でVPN、例えばSSLセキュリティートンネルを設置する。
【0049】
上記のように図10〜図12を参照しながら説明した方法において、サービス認証センターはポータルサーバにより端末IDトークンを取得した後、それをアプリケーション・システムに送信する。一つの選択肢として、サービス認証センターは取得した端末IDトークンを記憶することができる。例えば、端末IDトークンテーブルを配置して、各端末IDトークン毎に対応する端末IDトークン番号を設定する。図13は当該実施形態にかかる方法を示した。端末のWLANアクセス認証プロセスにおいて、ポータルサーバがWLANアクセス認証に成功した端末にCookieを送信する(ステップ1301)。続けて、サービス認証センターでは、端末におけるCookieにより端末がWLANアクセス認証に成功したことを確認し(ステップ1302)、ポータルサーバがサービス認証センターにより提供した端末IDトークンの請求を受信して、サービス認証センターに端末IDトークン(ステップ1303)を送信した後、サービス認証センターは、アプリケーション・システムに端末IDトークンを直ちに送信せず、端末IDトークンを記憶し、例えば、端末IDトークンテーブルに記憶して、かつ端末IDトークンに対応する端末IDトークン番号を設定する。そのため、サービス認証センターがアプリケーション・システムに送信するのは端末IDトークン番号であり(ステップ1304)、端末IDトークンを直ちに送信するわけではない。アプリケーション・システムは、端末IDトークン番号を受信した後、サービス認証センターとの間でセキュリティー伝送チャネルを設置して、サービス認証センターに端末IDトークン番号を提供し、サービス認証センターにより端末IDトークンテーブルから対応する端末IDトークンを検出して、上記セキュリティー伝送チャネルを再び介して端末IDトークンをアプリケーション・システムに送信(ステップ1305)。上記の内容を示す例として、サービス認証センターとアプリケーション・システムの間でSSLセキュリティートンネルのようにVPNを設置して端末IDトークンを伝送しても良い。アプリケーション・システムは、端末IDトークンを取得した後、端末IDトークンにより端末にサービスへのアクセスを提供する(ステップ1306)。
【0050】
前述のように、アプリケーション・システムが当該端末に所要のサービスへのアクセスの提供を容易にするため、サービス認証センターは、端末IDトークンを、端末を経由してアプリケーション・システムに送信できる。しかしながら、通常の場合、サービス認証センターと端末間の伝送チャネル、及び端末とアプリケーション・システム間の伝送チャネルのセキュリティー性が弱いため、端末IDトークンの伝送に端末IDトークンが窃盗される危険がある。一方、図13に示す方法では、サービス認証センターが端末を経由してアプリケーション・システムに送信した情報は、端末IDトークン番号のみであり、また、端末IDトークンはセキュリティー伝送チャネルで伝送させるため、セキュリティー性を改善した。
【0051】
理解しやすくするため、以下、図14を参照して、具体的な実施場面を例示することにより、本出願の実施例にかかるWLANアクセス認証に基づくサービスアクセスする方法の詳細な処理プロセスを説明する。
【0052】
図14に示す具体的な例において、アプリケーション・システムAとサービス認証センター1は関連しており、ここで、アプリケーション・システムAは、第1層アプリケーション・システムまたは第2層アプリケーション・システムであることができ、それに応じて、サービス認証センター1は第1層サービス認証センターまたは第2層サービス認証センターであることができる。第2層サービス認証センター2は端末aの情報を記録する端末データベースBと関連し、言い換えると、端末aは第2層サービス認証センター2に帰属する。ポータルサーバPは、端末aがWLANアクセス認証に成功した場合、端末aにアクセス認証成功識別子と端末識別子の索引が含まれるCookieを送信することができ、また、端末IDトークンを記憶できる。
【0053】
以下、図14に示す具体例によりフローチャートを説明する。
ステップ1401において、端末aは、アプリケーション・システムAに対してサービスへのアクセス請求を送信する。
ステップ1402において、アプリケーション・システムAは、端末aの端末IDトークンの有無を検出し、端末aの端末IDトークンがあると検出すれば、ステップ1418に入る。
ステップ1403において、アプリケーション・システムAは、端末aのサービスへのアクセス請求先をサービス認証センター1にリダイレクトする。
ステップ1404において、サービス認証センター1は、端末aにおけるCookieにアクセス認証成功識別子の有無により、端末aがWLANアクセス認証に成功したか否かを判定し、WLANアクセス認証に成功しなかったと判定すれば、端末aのWLANアクセス認証プロセスを実行する。
ステップ1405において、サービス認証センター1とポータルサーバPの間ではセキュリティー伝送チャネルを設置して、ポータルサーバPに、Cookieから取得した端末識別子の索引を送信して端末IDトークンを請求する。
ステップ1406において、ポータルサーバPは、端末識別子の索引に対応する端末識別子により、自身のローカルに端末aの端末IDトークンが記憶されたか否かを判定し、端末IDトークンが記憶されたと判定すれば、ステップ1412を実行する。
ステップ1407において、ポータルサーバPと第2層サービス認証センター2の間にセキュリティー伝送チャネルを設置して、第2層サービス認証センター2に端末IDトークン請求を送信する。
ステップ1408において、第2層サービス認証センター2は、端末データベースBに端末IDトークン請求を送信する。
ステップ1409において、端末データベースBは、第2層サービス認証センター2に端末IDトークンを送信する。
ステップ1410において、第2層サービス認証センター2は、ステップ1407で設置したセキュリティー伝送チャネルにより端末IDトークンをポータルサーバPに送信する。
ステップ1411において、ポータルサーバPは、取得した端末IDトークンを自身のローカルに記憶する。
ステップ1412において、ポータルサーバPは、ステップ1405で設置したセキュリティー伝送チャネルにより端末IDトークンをサービス認証センター1に送信する。
ステップ1413において、サービス認証センター1は、取得した端末IDトークンを記憶して、端末IDトークンに端末IDトークン番号を設定する。
ステップ1414において、サービス認証センター1は、端末aのサービスへのアクセス請求先をアプリケーション・システムAにリダイレクトし、この間、アプリケーション・システムAに端末IDトークン番号を送信する。
ステップ1415において、アプリケーション・システムAとサービス認証センター1の間でセキュリティー伝送チャネルを設置して、サービス認証センター1に端末IDトークン番号を送信して端末IDトークンを請求する。
ステップ1416において、サービス認証センター1は、端末IDトークン番号により端末IDトークンを取得する。
ステップ1417において、サービス認証センター1は、ステップ1415で設置したセキュリティー伝送チャネルによりアプリケーション・システムAに端末IDトークンを送信する。
ステップ1418において、アプリケーション・システムAは、端末IDトークンにより端末aにサービスへのアクセスを提供する。
【0054】
図15は、本出願にかかる無線LAN(WLAN)アクセス認証に基づくサービスへのアクセスシステムの構造を示すイメージ図である。上記システムは、WLANポータルサーバ150と、端末151と、関連するサービス認証センター152と、アプリケーション・システム153とを備える。以下、当該システムの構成をそれぞれ説明する。
WLANポータルサーバ150は、端末がWLANアクセス認証を受ける間、WLANアクセス認証に成功した端末に第1Cookieを送信することに用いる。
端末151は、WLANポータルサーバが送信した第1Cookieを受信することに用いる。
関連するサービス認証センター152は、WLANアクセス認証に成功した端末がアプリケーション・システムのサービスへのアクセスを請求する際、上記端末における第1Cookieにより、上記端末がWLANアクセス認証に成功したことを確認し、上記第1Cookieにより、上記端末の端末IDトークンを取得して、取得した上記端末IDトークンを上記アプリケーション・システム153に送信することに用いる。
アプリケーション・システム153は、上記端末IDトークンにより上記端末にサービスへのアクセスを提供することに用いる。
【0055】
また、上記関連するサービス認証センター152は、上記第1Cookieから端末識別子を取得して、上記端末識別子により、上記端末が属する第2層サービス認証センターに上記端末IDトークンの提供を請求する。
【0056】
上記関連するサービス認証センターが第2層サービス認証センターである場合、上記システムは、第1層サービス認証センター154をさらに備える。
【0057】
上記関連するサービス認証センター152は、具体的に、上記第1層サービス認証センター154を経由して、上記端末IDトークンを取得することに用いる。
【0058】
上記第1層サービス認証センター154は、第1Cookieにより、端末が属する第2層サービス認証センターに、上記関連するサービス認証センター152に上記端末IDトークンを提供することを請求する。
【0059】
上記関連するサービス認証センターが第2層サービス認証センターである場合、上記関連するサービス認証センターは、具体的に、第1Cookieを第1層サービス認証センター154に送信することに用いる。
【0060】
上記第1層サービス認証センター154は、具体的に、第1Cookieから端末識別子を取得して、上記端末識別子により、端末が属する第2層サービス認証センターに対して上記端末IDトークンの提供を請求し、かつ、上記関連するサービス認証センター152に上記端末IDトークンと上記端末識別子を送信する。
【0061】
上記関連するサービス認証センター152は、第1層サービス認証センター154により送信した端末識別子を受信した後、上記端末識別子を記憶し、上記端末識別子に端末識別子の索引を割り当て、端末に上記関連するサービス認証センター152の識別子と端末識別子の索引が含まれる第2Cookieを送信して上記第1Cookieを入れ替えることにさらに用いる。
【0062】
上記関連するサービス認証センター152が第2層サービス認証センターである場合、上記関連するサービス認証センター152は、具体的に、第1Cookieから端末識別子を取得して、上記端末識別子を第1層サービス認証センター154に送信する。
【0063】
上記第1層サービス認証センター154は、具体的に、上記端末識別子により、端末が属する第2層サービス認証センターに対して、上記端末IDトークンの提供を請求し、かつ、上記関連するサービス認証センター154に上記端末IDトークンを送信する。
【0064】
上記関連するサービス認証センター152は、第1Cookieから端末識別子を取得した後、上記端末識別子を記憶し、上記端末識別子に端末識別子の索引を割り当て、上記端末に上記関連するサービス認証センター152に識別子と上記端末識別子の索引が含まれる第2Cookieを送信して上記第1Cookieを入れ替えることにさらに用いる。
【0065】
上記関連するサービス認証センター152は、上記第1CookieによりWLANポータルサーバに対して請求し、WLANポータルサーバにより上記端末の端末IDトークンを取得することにさらに用いる。
【0066】
上記WLANポータルサーバ150は、上記端末の端末IDトークンを取得し、かつ、上記端末IDトークンを上記関連するサービス認証センター152に送信することにさらに用いる。
【0067】
上記WLANポータルサーバ150は、端末識別子の索引と端末識別子の対応関係が記録され端末識別子テーブルを配置・保守することにさらに用いる。
【0068】
上記WLANポータルサーバ150は、具体的に、上記関連するサービス認証センター152が送信した端末識別子の索引により、端末識別子テーブルから上記端末識別子の索引に対応する端末識別子を取得し、対応する上記端末識別子により上記端末が属する第2層サービス認証センターに対して上記端末の端末IDトークンの提供を請求して、取得した上記端末IDトークンを上記関連するサービス認証センター152に送信することに用いる。ここでの、上記端末識別子の索引は、上記関連するサービス認証センター152が上記第1Cookieから取得したものである。
【0069】
上記WLANポータルサーバ150は、また、端末IDトークン、端末識別子が記憶されたテーブルを、端末IDトークンと端末識別子の対応関係をさらに含めることに用いる。
【0070】
上記WLANポータルサーバ150は、具体的に、上記関連するサービス認証センター152が送信した端末識別子の索引により、端末識別子テーブルを検出することに通じて上記端末識別子を取得し、ローカルに上記端末識別子に対応する端末IDトークンが記憶されていない場合、上記端末識別子により端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求して、取得した上記端末IDトークンをローカルに記憶し、上記関連するサービス認証センター152に送信する。ローカルに上記端末識別子に対応する端末IDトークンが記憶された場合、対応する上記端末IDトークンを上記関連するサービス認証センター152に送信することに用いる。ここでの、上記端末識別子の索引は上記関連するサービス認証センター152が上記第1Cookieから取得したものである。
【0071】
上記関連するサービス認証センター152は、上記WLANポータルサーバ150及びアプリケーション・システム153との間でそれぞれセキュリティー伝送通路を設置し、セキュリティー伝送通路を設置することにより上記端末IDトークンを伝送することにさらに用いる。
【0072】
上記関連するサービス認証センター152は、端末IDトークンを記憶し、かつ、各端末IDトークン毎に対応する端末IDトークン番号を設定することにさらに用いる。
【0073】
上記関連するサービス認証センター152は、具体的に、アプリケーション・システム153に端末IDトークン番号を送信して、上記アプリケーション・システム153が送信した端末IDトークン番号により、端末IDトークンを請求し、上記アプリケーション・システム153との間で設置したセキュリティー伝送通路を通じて、上記端末IDトークン番号に対応する端末IDトークンを上記アプリケーション・システム153送信することにさらに用いる。
【0074】
図16は本発明の無線LAN(WLAN)アクセス認証にかかるサービスアクセス装置の構造を示すイメージ図である。上記装置は、確認モジュール161と、取得モジュール162と、第1送信モジュール163とを備える。以下、それぞれの構造に対して説明する。
確認モジュール161は、上記端末における第1Cookieにより、端末がWLANアクセス認証に成功したことを確認することに用いる。ここで、上記第1Cookieは、上記端末がWLANアクセス認証を受ける間では、WLANポータルサーバがWLANアクセス認証に成功した端末に送信したものである。
取得モジュール162は、上記第1Cookieにより、上記端末の端末IDトークンを取得することに用いる。
第1送信モジュール163は、取得した上記端末IDトークンを上記アプリケーション・システムに送信することに用いる。
【0075】
また、上記取得モジュール162は、
上記第1Cookieから端末識別子を取得する第1取得手段1621と、
上記端末識別子により請求上記端末が属する第2層サービス認証センターに対して上記端末IDトークンの提供を請求する第2取得手段1622とを備える。
【0076】
上記装置は、
第1Cookieから上記端末識別子を取得した後、上記端末識別子を記憶し、上記端末識別子に端末識別子の索引を割り当て、上記端末に上記関連するサービス認証センターの識別子と上記端末識別子の索引が含まれる第2Cookieを送信する記憶送信モジュール164をさらに備える。
【0077】
上記取得モジュール162は、具体的に、上記第1CookieによりWLANポータルサーバに対して請求し、WLANポータルサーバにより上記端末の端末IDトークンを取得することに用いる。
【0078】
上記記憶送信モジュール164は、取得した上記端末の端末IDトークンを取得し、かつ、各端末IDトークン毎に対応する端末IDトークン番号を設定することにさらに用いる。
【0079】
上記装置において、
上記第1送信モジュール163は、アプリケーション・システムに端末IDトークン番号を送信し、上記アプリケーション・システムが送信した端末IDトークン番号により端末IDトークンを請求し、上記アプリケーション・システムとの間で設置したセキュリティー伝送通路により、上記端末IDトークン番号に対応する端末IDトークンを上記アプリケーション・システムに送信することにさらに用いる。
【0080】
図17は、本出願にかかる無線LAN(WLAN)アクセス認証に基づくサービスアクセス装置の構造を示すイメージ図である。
上記装置は、
端末がWLANアクセス認証を受ける間、WLANアクセス認証に成功した端末により第1Cookieを生成する生成モジュール171と、
WLANアクセス認証に成功した端末に第1Cookieを送信し、端末がアプリケーション・システムのサービスへのアクセスを請求する際、上記第1Cookieにより、上記端末の端末IDトークンを取得する第2送信モジュール172とを備える。
【0081】
上記装置は、
関連するサービス認証センターが送信した請求により、上記端末IDトークンを取得する第2取得モジュール173をさらに備える。
【0082】
上記装置は、
端末識別子の索引と端末識別子の対応関係が記録された端末識別子テーブルを配置・記憶する記憶モジュール174をさらに備える。
【0083】
第2取得モジュール173は、
上記関連するサービス認証センターが送信した端末識別子の索引により、端末識別子テーブルから上記端末識別子の索引に対応する端末識別子を取得する識別子取得手段1731と、
対応する上記端末識別子により上記端末が属する第2層サービス認証センターに対して上記端末の端末IDトークンの提供を請求し、第2送信モジュール172により取得した上記端末IDトークンを上記関連するサービス認証センターに送信するトークン取得手段1732とをさらに備える。
ここでの、上記端末識別子の索引は、上記関連するサービス認証センターが上記第1Cookieから取得したものである。
【0084】
上記記憶モジュール174は、端末IDトークンを記憶し、また、端末識別子テーブルに端末IDトークンと端末識別子の対応関係を含めることにさらに用いる。、
【0085】
上記装置において、
上記識別子取得手段1731は、上記関連するサービス認証センターが送信した端末識別子の索引により、端末識別子テーブルを検出することで、上記端末識別子を取得することにさらに用いる。ここでの、上記端末識別子の索引は、上記関連するサービス認証センターが上記第1Cookieから取得したものである。
上記トークン取得手段1732は、ローカルに上記端末識別子に対応する端末IDトークンが記憶されなかった場合、上記端末識別子により端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求して、取得した上記端末IDトークンをローカルに記憶して、上記第2送信モジュール172に上記関連するサービス認証センターに送信し、ローカルに上記端末識別子に対応する端末IDトークンが記憶された場合、対応する上記端末IDトークンを上記第2送信モジュール172により上記関連するサービス認証センターに送信することににさらに用いる。
【0086】
本明細書では上記した実施形態を参照して本発明を詳しく説明したが、当業者により、上記した技術的な解決手段を改造し、またはその中の一部の技術要素を置換することもできる。そのような改造と置換は本発明の各実施形態の技術の範囲から逸脱するとは見なされない。
【特許請求の範囲】
【請求項1】
端末が無線ローカルエリアネットワーク(WLAN)アクセス認証を行う過程において、WLANポータルサーバがWLANアクセス認証に成功した端末に第1Cookieを送信するステップと、
前記WLANアクセス認証に成功した端末がアプリケーション・システムのサービスへのアクセスを請求する際、前記アプリケーション・システムと関連するサービス認証センターは、前記端末における第1Cookieにより、前記端末がWLANアクセス認証に成功したことを確認するステップと、
前記関連するサービス認証センターは、前記第1Cookieにより、前記端末の端末IDトークンを取得するステップと、
前記関連するサービス認証センターは、取得した前記端末IDトークンを前記アプリケーション・システムに送信するステップと、
前記アプリケーション・システムは、前記端末IDトークンにより前記端末にサービスへのアクセスを提供するステップと
を備えることを特徴とするWLANアクセス認証に基づくサービスアクセス方法。
【請求項2】
前記第1Cookieは、アクセス認証成功識別子と端末識別子とを含むことを特徴とする請求項1記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項3】
前記第1Cookieに含まれる端末識別子は暗号化されたものであることを特徴とする請求項2記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項4】
前記関連するサービス認証センターは、前記第1Cookieにより、前記端末の端末IDトークンを取得するテップは、
前記関連するサービス認証センターが前記第1Cookieから端末識別子を取得するステップと、
前記端末識別子により前記端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求するステップと
を備えることを特徴とする請求項2または3に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項5】
前記関連するサービス認証センターが第1Cookieから前記端末識別子を取得した後に、前記端末識別子を記憶するステップと、
前記端末識別子に端末識別子の索引を割り当て、前記端末に前記関連するサービス認証センターの識別子と前記端末識別子の索引が含まれる第2Cookieを送信して前記第1Cookieを入れ替えるステップと
をさらに備えることを特徴とする請求項4に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項6】
前記関連するサービス認証センターが第2層サービス認証センターであれば、前記端末識別子により前記端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求するステップは、
前記関連するサービス認証センターは、第1層サービス認証センターを経由し、第1Cookieにより端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求するステップ
を備えることを特徴とする請求項4に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項7】
前記関連するサービス認証センターが第2層サービス認証センターであれば、前記第1Cookieにより端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求するステップは、
第1層サービス認証センターは、前記関連するサービス認証センターが送信した第1Cookieを受信するステップと、
前記第1層サービス認証センターは、第1Cookierから端末識別子を取得し、前記端末識別子により端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求し、かつ、前記関連するサービス認証センターに前記端末IDトークンと前記端末識別子を送信するステップと
を備えることを特徴とする請求項6に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項8】
前記関連するサービス認証センターは、第1層サービス認証センターが送信した端末識別子を受信した後に、前記端末識別子を記憶するステップと、
前記端末識別子に端末識別子の索引を割り当て、前記端末に前記関連するサービス認証センターの識別子と前記端末識別子の索引が含まれる第2Cookieを送信して前記第1Cookieを入れ替えるステップと
を備えることを特徴とする請求項7に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項9】
前記関連するサービス認証センターが第2層サービス認証センターであれば、前記第1Cookieにより端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求するステップは、
第1層サービス認証センターは、前記関連するサービス認証センターが送信した、第1Cookieから取得した端末識別子を受信するステップと、
前記第1層サービス認証センターは、前記端末識別子に基づき端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求し、かつ前記関連するサービス認証センターに前記端末IDトークンを送信するステップと
を備えることを特徴とする請求項6に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項10】
前記関連するサービス認証センターは、第1Cookieから端末識別子を取得した後に、前記端末識別子を記憶するステップと、
前記端末識別子に端末識別子の索引を割り当て、前記端末に前記関連するサービス認証センターの識別子と前記端末識別子の索引が含まれる第2Cookieを送信して前記第1Cookieを入れ替えるステップと
を備えることを特徴とする請求項9に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項11】
前記関連するサービス認証センターが、前記第1Cookieにより、前記端末の端末IDトークンを取得するステップは、
前記関連するサービス認証センターは、前記第1CookieによりWLANポータルサーバに対して請求を送信し、WLANポータルサーバは、前記端末の端末IDトークンを取得するステップ
を備えることを特徴とする請求項1に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項12】
前記第1Cookieは、アクセス認証成功識別子と端末識別子の索引を含むことを特徴とする請求項11に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項13】
前記WLANポータルサーバは、端末識別子の索引と端末識別子の対応関係が記録された端末識別子テーブルを設定・保守することを特徴とする請求項12に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項14】
前記WLANポータルサーバが前記端末の端末IDトークンを取得するステップは、
前記WLANポータルサーバは、前記関連するサービス認証センターが送信した端末識別子の索引に基づき、保守している端末識別子テーブルから前記端末識別子の索引に対応する端末識別子を取得するステップと、
前記WLANポータルサーバは、対応する端末識別子に基づき前記端末が属する第2層サービス認証センターに対して前記端末の端末IDトークンの提供を請求し、取得した前記端末IDトークンを前記関連するサービス認証センターに送信するステップと
を備え、
前記端末識別子の索引は前記関連するサービス認証センターが前記第1Cookieから取得したものである
ことを特徴とする請求項13に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項15】
前記WLANポータルサーバには端末IDトークンが記憶されており、端末識別子テーブルは端末IDトークンと端末識別子の対応関係をさらに含むことを特徴とする請求項13に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項16】
前記WLANポータルサーバにより前記端末の端末IDトークンを取得するステップは、
前記WLANポータルサーバは、前記関連するサービス認証センターが送信した端末識別子の索引に基づき、端末識別子テーブルを検出することにより前記端末識別子の索引に対応する端末識別子を取得するステップと、
WLANポータルサーバローカルに前記端末識別子に対応する端末IDトークンを記憶していなければ、WLANポータルサーバは、前記端末識別子に基づき端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求し、取得した前記端末IDトークンをローカルに記憶し、かつ、前記端末IDトークンを前記関連するサービス認証センターに送信するステップと、
WLANポータルサーバローカルに前記端末識別子に対応する端末IDトークンを記憶していれば、WLANポータルサーバは、対応する前記端末IDトークンを前記関連するサービス認証センターに送信するステップと
を備え、
前記端末識別子の索引は、前記関連するサービス認証センターが前記第1Cookieから取得したものである
ことを特徴とする請求項15に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項17】
前記WLANポータルサーバと前記端末が属する第2層サービス認証センターの間でセキュリティー伝送チャネルを設置して、設置した前記セキュリティー伝送通路により前記端末IDトークンを伝送することを特徴とする請求項14或いは16に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項18】
前記関連するサービス認証センターと前記WLANポータルサーバの間、及び前記関連するサービス認証センターと前記アプリケーション・システムの間でセキュリティー伝送通路を設置し、設置したセキュリティー伝送通路により前記端末IDトークンを伝送することを特徴とする請求項11に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項19】
前記関連するサービス認証センターは、取得した前記端末の端末IDトークンを記憶し、かつ、各端末IDトークンごとに対応する端末IDトークン番号を設定するステップ
をさらに備えることを特徴とする請求項1に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項20】
前記関連するサービス認証センターが取得した前記端末IDトークンを前記アプリケーション・システムに送信するステップは、
前記関連するサービス認証センターは、アプリケーション・システムに端末IDトークン番号を送信するステップと、
前記関連するサービス認証センターは、前記アプリケーション・システムから送信された端末IDトークンを請求するための端末IDトークン番号に基づき、前記アプリケーション・システムとの間で設置されたセキュリティー伝送通路により、前記端末IDトークン番号に対応する端末IDトークンを前記アプリケーション・システムに送信するステップと
を備えることを特徴とする請求項19に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項21】
WLANアクセス認証に基づくサービスアクセスシステムであって、
端末がWLANアクセス認証を行う過程において、WLANアクセス認証に成功した端末に第1Cookieを送信するWLANポータルサーバと、
WLANアクセス認証に成功した端末がアプリケーション・システムのサービスへのアクセスを請求する際、前記端末における第1Cookieに基づき、前記端末がWLANアクセス認証に成功したことを確認し、前記第1Cookieにより、前記端末の端末IDトークンを取得し、取得した前記端末IDトークンを前記アプリケーション・システムに送信する関連するサービス認証センターと、
を備え、
前記アプリケーション・システムは、前記端末IDトークンに基づき前記端末にサービスへのアクセスを提供する
ことを特徴とするWLANアクセス認証に基づくサービスアクセスシステム。
【請求項22】
前記関連するサービス認証センターは、前記第1Cookieから端末識別子を取得して、前記端末識別子に基づき前記端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求することを特徴とする請求項21に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項23】
前記関連するサービス認証センターが第2層サービス認証センターである場合、第1層サービス認証センター
をさらに備え、
前記関連するサービス認証センターは、前記第1層サービス認証センターを経由して、前記端末IDトークンを取得し、
前記第1層サービス認証センターは、第1Cookieにより端末が属する第2層サービス認証センターに、前記関連するサービス認証センターに前記端末IDトークンを提供することを、請求する
ことを特徴とする請求項22に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項24】
前記関連するサービス認証センターが第2層サービス認証センターである場合、前記関連するサービス認証センターは、第1Cookieを第1層サービス認証センターに送信し、
前記第1層サービス認証センターは、第1Cookieから端末識別子を取得し、前記端末識別子に基づき端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求し、かつ、前記関連するサービス認証センターに前記端末IDトークンと前記端末識別子を送信する
ことを特徴とする請求項23に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項25】
前記関連するサービス認証センターは、さらに第1層サービス認証センターが送信した端末識別子を受信した後に、前記端末識別子を記憶し、前記端末識別子に端末識別子の索引を割り当て、端末に前記関連するサービス認証センターの識別子と端末識別子の索引を含んだ第2Cookieを送信して前記第1Cookieを入れ替える
ことを特徴とする請求項24に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項26】
前記関連するサービス認証センターが第2層サービス認証センターである場合、前記関連するサービス認証センターは、第1Cookieから端末識別子を取得して、前記端末識別子を第1層サービス認証センターに送信し、
前記第1層サービス認証センターは、前記端末識別子に基づき端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求し、前記関連するサービス認証センターに前記端末IDトークンを送信する
ことを特徴とする請求項22に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項27】
前記関連するサービス認証センターはさらに、第1Cookieから端末識別子を取得した後に、前記端末識別子を記憶し、前記端末識別子に端末識別子の索引を割り当て、前記端末に前記関連するサービス認証センターの識別子と前記端末識別子の索引を含んだ第2Cookieを送信して前記第1Cookieを入れ替える
ことを特徴とする請求項22或いは26に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項28】
前記関連するサービス認証センターは、前記第1CookieによりWLANポータルサーバに対して請求を送信し、WLANポータルサーバにより前記端末の端末IDトークンを取得し、
前記WLANポータルサーバは、前記端末の端末IDトークンを取得して、かつ、前記端末IDトークンを前記関連するサービス認証センターに送信する
ことを特徴とする請求項21に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項29】
前記WLANポータルサーバは、さらに端末識別子の索引と端末識別子の対応関係が記録されている端末識別子テーブルを設定・保守することを特徴とする請求項28に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項30】
前記WLANポータルサーバは、前記関連するサービス認証センターが送信した端末識別子の索引に基づき、端末識別子テーブルから前記端末識別子の索引に対応する端末識別子を取得し、対応する前記端末識別子に基づき前記端末が属する第2層サービス認証センターに対して前記端末の端末IDトークンの提供を請求して、取得した前記端末IDトークンを前記関連するサービス認証センターに送信し、
前記端末識別子の索引は、前記関連するサービス認証センターが前記第1Cookieから取得したものである
ことを特徴とする請求項29に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項31】
前記WLANポータルサーバは、さらに端末IDトークンを記憶し、端末識別子テーブルは、端末IDトークンと端末識別子の対応関係をさらに含むことを特徴とする請求項29に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項32】
前記WLANポータルサーバは、前記関連するサービス認証センターが送信した端末識別子の索引に基づき、端末識別子テーブルを検索して前記端末識別子取得し、ローカルに前記端末識別子に対応する端末IDトークンが記憶されていない場合、前記端末識別子に基づき端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求して、取得した前記端末IDトークンをローカルに記憶し、前記関連するサービス認証センターに送信し、ローカルに前記端末識別子に対応する端末IDトークンが記憶されている場合、対応する前記端末IDトークンを前記関連するサービス認証センターに送信し、
前記端末識別子の索引は前記関連するサービス認証センターが前記第1Cookieから取得するものである
ことを特徴とする請求項31に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項33】
前記関連するサービス認証センターは、さらに前記WLANポータルサーバと、アプリケーション・システムとの間でセキュリティー伝送通路がそれぞれ設置され、設置されたセキュリティー伝送通路により前記端末IDトークンを伝送することを特徴とする請求項30或いは32に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項34】
前記関連するサービス認証センターは、さらに端末IDトークンを記憶し、各端末IDトークンごとに対応する端末IDトークン番号を設定し、
前記関連するサービス認証センターは、アプリケーション・システムに端末IDトークン番号を送信し、前記アプリケーション・システムが送信した端末IDトークンを請求するための端末IDトークン番号に基づき、前記アプリケーション・システムとの間で設置されたセキュリティー伝送通路により、前記端末IDトークン番号に対応する端末IDトークンを前記アプリケーション・システムに送信することを特徴とする請求項21に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項35】
前記端末における第1Cookieに基づき、端末がWLANアクセス認証に成功したことを確認する確認モジュールと、
前記第1Cookieに基づき、前記端末の端末IDトークンを取得する取得モジュールと、
取得した前記端末IDトークンを前記アプリケーション・システムに送信する第1送信モジュールと
を備え、
前記第1Cookieは、前記端末がWLANアクセス認証を行う過程において、WLANポータルサーバがWLANアクセス認証に成功した端末に送信したものである
ことを特徴とするWLANアクセス認証に基づくサービスアクセス装置。
【請求項36】
前記取得モジュールは、
前記第1Cookieから端末識別子を取得する第1取得手段と、
前記端末識別子に基づき前記端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求する第2取得手段と
を備えることを特徴とする請求項35に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項37】
第1Cookieから前記端末識別子を取得した後に、前記端末識別子を記憶し、前記端末識別子に端末識別子の索引を割り当て、前記端末に前記関連するサービス認証センターの識別子と前記端末識別子の索引を含んだ第2Cookieを送信する記憶送信モジュール
をさらに備えることを特徴とする請求項35に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項38】
前記取得モジュールは、前記第1CookieによりWLANポータルサーバに対して請求を送信し、WLANポータルサーバにより前記端末の端末IDトークンを取得することを特徴とする請求項35に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項39】
前記記憶送信モジュールはさらに、取得した前記端末の端末IDトークンを記憶し、かつ、各端末IDトークン毎に対応する端末IDトークン番号を設定することを特徴とする請求項35に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項40】
前記第1送信モジュールは、アプリケーション・システムに端末IDトークン番号を送信し、前記アプリケーション・システムが送信した端末IDトークンを請求するための端末IDトークン番号に基づき、前記アプリケーション・システムとの間で設置されたセキュリティー伝送通路により、前記端末IDトークン番号に対応する端末IDトークンを前記アプリケーション・システムに送信することを特徴とする請求項39に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項41】
端末がWLANアクセス認証を行う過程において、WLANアクセス認証に成功した端末に基づき第1Cookieを生成する生成モジュールと、
WLANアクセス認証に成功した端末に1Cookieを送信し、端末がアプリケーション・システムにサービスへのアクセスを請求する際に、前記第1Cookieにより、前記端末の端末IDトークンを取得する第2送信モジュールと
を備えることを特徴とするWLANアクセス認証に基づくサービスアクセス装置。
【請求項42】
関連するサービス認証センターが送信した請求に基づき、前記端末IDトークンを取得する第2取得モジュール
をさらに備えることを特徴とする請求項41に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項43】
端末識別子の索引と端末識別子の対応関係が記録されている端末識別子テーブルを設定・保守する記憶モジュール
をさらに備えることを特徴とする請求項41に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項44】
第2取得モジュールは、
前記関連するサービス認証センターが送信した端末識別子の索引に基づき、端末識別子テーブルから前記端末識別子の索引に対応する端末識別子を取得する識別子取得手段と、
対応する前記端末識別子に基づき前記端末が属する第2層サービス認証センターに対して前記端末の端末IDトークンの提供を請求し、取得した前記端末IDトークンを前記関連するサービス認証センターに送信するトークン取得手段と
を備え、
前記端末識別子の索引は前記関連するサービス認証センターが前記第1Cookieから取得したものである
ことを特徴とする請求項43に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項45】
前記記憶モジュールはさらに、端末IDトークンを記憶し、
端末識別子テーブルは、端末IDトークンと端末識別子の対応関係をさらに含むことを特徴とする請求項43に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項46】
前記識別子取得手段はさらに、前記関連するサービス認証センターが送信した端末識別子の索引に基づき、端末識別子テーブルを検索して前記端末識別子を取得し、前記端末識別子の索引は、前記関連するサービス認証センターが前記第1Cookieから取得したものであり、
前記トークン取得手段さらには、ローカルに前記端末識別子に対応する端末IDトークンが記憶されていない場合、前記端末識別子に基づき端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求し、取得した前記端末IDトークンをローカルに記憶し、かつ、前記関連するサービス認証センターに送信し、ローカルに前記端末識別子に対応する端末IDトークンが記憶している場合、対応する前記端末IDトークンを前記関連するサービス認証センターに送信することを特徴とする請求項45に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項1】
端末が無線ローカルエリアネットワーク(WLAN)アクセス認証を行う過程において、WLANポータルサーバがWLANアクセス認証に成功した端末に第1Cookieを送信するステップと、
前記WLANアクセス認証に成功した端末がアプリケーション・システムのサービスへのアクセスを請求する際、前記アプリケーション・システムと関連するサービス認証センターは、前記端末における第1Cookieにより、前記端末がWLANアクセス認証に成功したことを確認するステップと、
前記関連するサービス認証センターは、前記第1Cookieにより、前記端末の端末IDトークンを取得するステップと、
前記関連するサービス認証センターは、取得した前記端末IDトークンを前記アプリケーション・システムに送信するステップと、
前記アプリケーション・システムは、前記端末IDトークンにより前記端末にサービスへのアクセスを提供するステップと
を備えることを特徴とするWLANアクセス認証に基づくサービスアクセス方法。
【請求項2】
前記第1Cookieは、アクセス認証成功識別子と端末識別子とを含むことを特徴とする請求項1記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項3】
前記第1Cookieに含まれる端末識別子は暗号化されたものであることを特徴とする請求項2記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項4】
前記関連するサービス認証センターは、前記第1Cookieにより、前記端末の端末IDトークンを取得するテップは、
前記関連するサービス認証センターが前記第1Cookieから端末識別子を取得するステップと、
前記端末識別子により前記端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求するステップと
を備えることを特徴とする請求項2または3に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項5】
前記関連するサービス認証センターが第1Cookieから前記端末識別子を取得した後に、前記端末識別子を記憶するステップと、
前記端末識別子に端末識別子の索引を割り当て、前記端末に前記関連するサービス認証センターの識別子と前記端末識別子の索引が含まれる第2Cookieを送信して前記第1Cookieを入れ替えるステップと
をさらに備えることを特徴とする請求項4に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項6】
前記関連するサービス認証センターが第2層サービス認証センターであれば、前記端末識別子により前記端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求するステップは、
前記関連するサービス認証センターは、第1層サービス認証センターを経由し、第1Cookieにより端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求するステップ
を備えることを特徴とする請求項4に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項7】
前記関連するサービス認証センターが第2層サービス認証センターであれば、前記第1Cookieにより端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求するステップは、
第1層サービス認証センターは、前記関連するサービス認証センターが送信した第1Cookieを受信するステップと、
前記第1層サービス認証センターは、第1Cookierから端末識別子を取得し、前記端末識別子により端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求し、かつ、前記関連するサービス認証センターに前記端末IDトークンと前記端末識別子を送信するステップと
を備えることを特徴とする請求項6に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項8】
前記関連するサービス認証センターは、第1層サービス認証センターが送信した端末識別子を受信した後に、前記端末識別子を記憶するステップと、
前記端末識別子に端末識別子の索引を割り当て、前記端末に前記関連するサービス認証センターの識別子と前記端末識別子の索引が含まれる第2Cookieを送信して前記第1Cookieを入れ替えるステップと
を備えることを特徴とする請求項7に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項9】
前記関連するサービス認証センターが第2層サービス認証センターであれば、前記第1Cookieにより端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求するステップは、
第1層サービス認証センターは、前記関連するサービス認証センターが送信した、第1Cookieから取得した端末識別子を受信するステップと、
前記第1層サービス認証センターは、前記端末識別子に基づき端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求し、かつ前記関連するサービス認証センターに前記端末IDトークンを送信するステップと
を備えることを特徴とする請求項6に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項10】
前記関連するサービス認証センターは、第1Cookieから端末識別子を取得した後に、前記端末識別子を記憶するステップと、
前記端末識別子に端末識別子の索引を割り当て、前記端末に前記関連するサービス認証センターの識別子と前記端末識別子の索引が含まれる第2Cookieを送信して前記第1Cookieを入れ替えるステップと
を備えることを特徴とする請求項9に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項11】
前記関連するサービス認証センターが、前記第1Cookieにより、前記端末の端末IDトークンを取得するステップは、
前記関連するサービス認証センターは、前記第1CookieによりWLANポータルサーバに対して請求を送信し、WLANポータルサーバは、前記端末の端末IDトークンを取得するステップ
を備えることを特徴とする請求項1に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項12】
前記第1Cookieは、アクセス認証成功識別子と端末識別子の索引を含むことを特徴とする請求項11に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項13】
前記WLANポータルサーバは、端末識別子の索引と端末識別子の対応関係が記録された端末識別子テーブルを設定・保守することを特徴とする請求項12に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項14】
前記WLANポータルサーバが前記端末の端末IDトークンを取得するステップは、
前記WLANポータルサーバは、前記関連するサービス認証センターが送信した端末識別子の索引に基づき、保守している端末識別子テーブルから前記端末識別子の索引に対応する端末識別子を取得するステップと、
前記WLANポータルサーバは、対応する端末識別子に基づき前記端末が属する第2層サービス認証センターに対して前記端末の端末IDトークンの提供を請求し、取得した前記端末IDトークンを前記関連するサービス認証センターに送信するステップと
を備え、
前記端末識別子の索引は前記関連するサービス認証センターが前記第1Cookieから取得したものである
ことを特徴とする請求項13に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項15】
前記WLANポータルサーバには端末IDトークンが記憶されており、端末識別子テーブルは端末IDトークンと端末識別子の対応関係をさらに含むことを特徴とする請求項13に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項16】
前記WLANポータルサーバにより前記端末の端末IDトークンを取得するステップは、
前記WLANポータルサーバは、前記関連するサービス認証センターが送信した端末識別子の索引に基づき、端末識別子テーブルを検出することにより前記端末識別子の索引に対応する端末識別子を取得するステップと、
WLANポータルサーバローカルに前記端末識別子に対応する端末IDトークンを記憶していなければ、WLANポータルサーバは、前記端末識別子に基づき端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求し、取得した前記端末IDトークンをローカルに記憶し、かつ、前記端末IDトークンを前記関連するサービス認証センターに送信するステップと、
WLANポータルサーバローカルに前記端末識別子に対応する端末IDトークンを記憶していれば、WLANポータルサーバは、対応する前記端末IDトークンを前記関連するサービス認証センターに送信するステップと
を備え、
前記端末識別子の索引は、前記関連するサービス認証センターが前記第1Cookieから取得したものである
ことを特徴とする請求項15に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項17】
前記WLANポータルサーバと前記端末が属する第2層サービス認証センターの間でセキュリティー伝送チャネルを設置して、設置した前記セキュリティー伝送通路により前記端末IDトークンを伝送することを特徴とする請求項14或いは16に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項18】
前記関連するサービス認証センターと前記WLANポータルサーバの間、及び前記関連するサービス認証センターと前記アプリケーション・システムの間でセキュリティー伝送通路を設置し、設置したセキュリティー伝送通路により前記端末IDトークンを伝送することを特徴とする請求項11に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項19】
前記関連するサービス認証センターは、取得した前記端末の端末IDトークンを記憶し、かつ、各端末IDトークンごとに対応する端末IDトークン番号を設定するステップ
をさらに備えることを特徴とする請求項1に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項20】
前記関連するサービス認証センターが取得した前記端末IDトークンを前記アプリケーション・システムに送信するステップは、
前記関連するサービス認証センターは、アプリケーション・システムに端末IDトークン番号を送信するステップと、
前記関連するサービス認証センターは、前記アプリケーション・システムから送信された端末IDトークンを請求するための端末IDトークン番号に基づき、前記アプリケーション・システムとの間で設置されたセキュリティー伝送通路により、前記端末IDトークン番号に対応する端末IDトークンを前記アプリケーション・システムに送信するステップと
を備えることを特徴とする請求項19に記載のWLANアクセス認証に基づくサービスアクセス方法。
【請求項21】
WLANアクセス認証に基づくサービスアクセスシステムであって、
端末がWLANアクセス認証を行う過程において、WLANアクセス認証に成功した端末に第1Cookieを送信するWLANポータルサーバと、
WLANアクセス認証に成功した端末がアプリケーション・システムのサービスへのアクセスを請求する際、前記端末における第1Cookieに基づき、前記端末がWLANアクセス認証に成功したことを確認し、前記第1Cookieにより、前記端末の端末IDトークンを取得し、取得した前記端末IDトークンを前記アプリケーション・システムに送信する関連するサービス認証センターと、
を備え、
前記アプリケーション・システムは、前記端末IDトークンに基づき前記端末にサービスへのアクセスを提供する
ことを特徴とするWLANアクセス認証に基づくサービスアクセスシステム。
【請求項22】
前記関連するサービス認証センターは、前記第1Cookieから端末識別子を取得して、前記端末識別子に基づき前記端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求することを特徴とする請求項21に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項23】
前記関連するサービス認証センターが第2層サービス認証センターである場合、第1層サービス認証センター
をさらに備え、
前記関連するサービス認証センターは、前記第1層サービス認証センターを経由して、前記端末IDトークンを取得し、
前記第1層サービス認証センターは、第1Cookieにより端末が属する第2層サービス認証センターに、前記関連するサービス認証センターに前記端末IDトークンを提供することを、請求する
ことを特徴とする請求項22に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項24】
前記関連するサービス認証センターが第2層サービス認証センターである場合、前記関連するサービス認証センターは、第1Cookieを第1層サービス認証センターに送信し、
前記第1層サービス認証センターは、第1Cookieから端末識別子を取得し、前記端末識別子に基づき端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求し、かつ、前記関連するサービス認証センターに前記端末IDトークンと前記端末識別子を送信する
ことを特徴とする請求項23に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項25】
前記関連するサービス認証センターは、さらに第1層サービス認証センターが送信した端末識別子を受信した後に、前記端末識別子を記憶し、前記端末識別子に端末識別子の索引を割り当て、端末に前記関連するサービス認証センターの識別子と端末識別子の索引を含んだ第2Cookieを送信して前記第1Cookieを入れ替える
ことを特徴とする請求項24に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項26】
前記関連するサービス認証センターが第2層サービス認証センターである場合、前記関連するサービス認証センターは、第1Cookieから端末識別子を取得して、前記端末識別子を第1層サービス認証センターに送信し、
前記第1層サービス認証センターは、前記端末識別子に基づき端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求し、前記関連するサービス認証センターに前記端末IDトークンを送信する
ことを特徴とする請求項22に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項27】
前記関連するサービス認証センターはさらに、第1Cookieから端末識別子を取得した後に、前記端末識別子を記憶し、前記端末識別子に端末識別子の索引を割り当て、前記端末に前記関連するサービス認証センターの識別子と前記端末識別子の索引を含んだ第2Cookieを送信して前記第1Cookieを入れ替える
ことを特徴とする請求項22或いは26に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項28】
前記関連するサービス認証センターは、前記第1CookieによりWLANポータルサーバに対して請求を送信し、WLANポータルサーバにより前記端末の端末IDトークンを取得し、
前記WLANポータルサーバは、前記端末の端末IDトークンを取得して、かつ、前記端末IDトークンを前記関連するサービス認証センターに送信する
ことを特徴とする請求項21に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項29】
前記WLANポータルサーバは、さらに端末識別子の索引と端末識別子の対応関係が記録されている端末識別子テーブルを設定・保守することを特徴とする請求項28に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項30】
前記WLANポータルサーバは、前記関連するサービス認証センターが送信した端末識別子の索引に基づき、端末識別子テーブルから前記端末識別子の索引に対応する端末識別子を取得し、対応する前記端末識別子に基づき前記端末が属する第2層サービス認証センターに対して前記端末の端末IDトークンの提供を請求して、取得した前記端末IDトークンを前記関連するサービス認証センターに送信し、
前記端末識別子の索引は、前記関連するサービス認証センターが前記第1Cookieから取得したものである
ことを特徴とする請求項29に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項31】
前記WLANポータルサーバは、さらに端末IDトークンを記憶し、端末識別子テーブルは、端末IDトークンと端末識別子の対応関係をさらに含むことを特徴とする請求項29に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項32】
前記WLANポータルサーバは、前記関連するサービス認証センターが送信した端末識別子の索引に基づき、端末識別子テーブルを検索して前記端末識別子取得し、ローカルに前記端末識別子に対応する端末IDトークンが記憶されていない場合、前記端末識別子に基づき端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求して、取得した前記端末IDトークンをローカルに記憶し、前記関連するサービス認証センターに送信し、ローカルに前記端末識別子に対応する端末IDトークンが記憶されている場合、対応する前記端末IDトークンを前記関連するサービス認証センターに送信し、
前記端末識別子の索引は前記関連するサービス認証センターが前記第1Cookieから取得するものである
ことを特徴とする請求項31に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項33】
前記関連するサービス認証センターは、さらに前記WLANポータルサーバと、アプリケーション・システムとの間でセキュリティー伝送通路がそれぞれ設置され、設置されたセキュリティー伝送通路により前記端末IDトークンを伝送することを特徴とする請求項30或いは32に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項34】
前記関連するサービス認証センターは、さらに端末IDトークンを記憶し、各端末IDトークンごとに対応する端末IDトークン番号を設定し、
前記関連するサービス認証センターは、アプリケーション・システムに端末IDトークン番号を送信し、前記アプリケーション・システムが送信した端末IDトークンを請求するための端末IDトークン番号に基づき、前記アプリケーション・システムとの間で設置されたセキュリティー伝送通路により、前記端末IDトークン番号に対応する端末IDトークンを前記アプリケーション・システムに送信することを特徴とする請求項21に記載のWLANアクセス認証に基づくサービスアクセスシステム。
【請求項35】
前記端末における第1Cookieに基づき、端末がWLANアクセス認証に成功したことを確認する確認モジュールと、
前記第1Cookieに基づき、前記端末の端末IDトークンを取得する取得モジュールと、
取得した前記端末IDトークンを前記アプリケーション・システムに送信する第1送信モジュールと
を備え、
前記第1Cookieは、前記端末がWLANアクセス認証を行う過程において、WLANポータルサーバがWLANアクセス認証に成功した端末に送信したものである
ことを特徴とするWLANアクセス認証に基づくサービスアクセス装置。
【請求項36】
前記取得モジュールは、
前記第1Cookieから端末識別子を取得する第1取得手段と、
前記端末識別子に基づき前記端末が属する第2層サービス認証センターに対して前記端末IDトークンの提供を請求する第2取得手段と
を備えることを特徴とする請求項35に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項37】
第1Cookieから前記端末識別子を取得した後に、前記端末識別子を記憶し、前記端末識別子に端末識別子の索引を割り当て、前記端末に前記関連するサービス認証センターの識別子と前記端末識別子の索引を含んだ第2Cookieを送信する記憶送信モジュール
をさらに備えることを特徴とする請求項35に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項38】
前記取得モジュールは、前記第1CookieによりWLANポータルサーバに対して請求を送信し、WLANポータルサーバにより前記端末の端末IDトークンを取得することを特徴とする請求項35に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項39】
前記記憶送信モジュールはさらに、取得した前記端末の端末IDトークンを記憶し、かつ、各端末IDトークン毎に対応する端末IDトークン番号を設定することを特徴とする請求項35に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項40】
前記第1送信モジュールは、アプリケーション・システムに端末IDトークン番号を送信し、前記アプリケーション・システムが送信した端末IDトークンを請求するための端末IDトークン番号に基づき、前記アプリケーション・システムとの間で設置されたセキュリティー伝送通路により、前記端末IDトークン番号に対応する端末IDトークンを前記アプリケーション・システムに送信することを特徴とする請求項39に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項41】
端末がWLANアクセス認証を行う過程において、WLANアクセス認証に成功した端末に基づき第1Cookieを生成する生成モジュールと、
WLANアクセス認証に成功した端末に1Cookieを送信し、端末がアプリケーション・システムにサービスへのアクセスを請求する際に、前記第1Cookieにより、前記端末の端末IDトークンを取得する第2送信モジュールと
を備えることを特徴とするWLANアクセス認証に基づくサービスアクセス装置。
【請求項42】
関連するサービス認証センターが送信した請求に基づき、前記端末IDトークンを取得する第2取得モジュール
をさらに備えることを特徴とする請求項41に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項43】
端末識別子の索引と端末識別子の対応関係が記録されている端末識別子テーブルを設定・保守する記憶モジュール
をさらに備えることを特徴とする請求項41に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項44】
第2取得モジュールは、
前記関連するサービス認証センターが送信した端末識別子の索引に基づき、端末識別子テーブルから前記端末識別子の索引に対応する端末識別子を取得する識別子取得手段と、
対応する前記端末識別子に基づき前記端末が属する第2層サービス認証センターに対して前記端末の端末IDトークンの提供を請求し、取得した前記端末IDトークンを前記関連するサービス認証センターに送信するトークン取得手段と
を備え、
前記端末識別子の索引は前記関連するサービス認証センターが前記第1Cookieから取得したものである
ことを特徴とする請求項43に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項45】
前記記憶モジュールはさらに、端末IDトークンを記憶し、
端末識別子テーブルは、端末IDトークンと端末識別子の対応関係をさらに含むことを特徴とする請求項43に記載のWLANアクセス認証に基づくサービスアクセス装置。
【請求項46】
前記識別子取得手段はさらに、前記関連するサービス認証センターが送信した端末識別子の索引に基づき、端末識別子テーブルを検索して前記端末識別子を取得し、前記端末識別子の索引は、前記関連するサービス認証センターが前記第1Cookieから取得したものであり、
前記トークン取得手段さらには、ローカルに前記端末識別子に対応する端末IDトークンが記憶されていない場合、前記端末識別子に基づき端末が属する第2層サービス認証センターに対して端末IDトークンの提供を請求し、取得した前記端末IDトークンをローカルに記憶し、かつ、前記関連するサービス認証センターに送信し、ローカルに前記端末識別子に対応する端末IDトークンが記憶している場合、対応する前記端末IDトークンを前記関連するサービス認証センターに送信することを特徴とする請求項45に記載のWLANアクセス認証に基づくサービスアクセス装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公表番号】特表2013−503514(P2013−503514A)
【公表日】平成25年1月31日(2013.1.31)
【国際特許分類】
【出願番号】特願2012−525856(P2012−525856)
【出願日】平成22年8月31日(2010.8.31)
【国際出願番号】PCT/CN2010/001327
【国際公開番号】WO2011/022950
【国際公開日】平成23年3月3日(2011.3.3)
【出願人】(507142144)中国移▲動▼通信集▲団▼公司 (51)
【氏名又は名称原語表記】CHINA MOBILE COMMUNICATIONS CORPORATION
【Fターム(参考)】
【公表日】平成25年1月31日(2013.1.31)
【国際特許分類】
【出願日】平成22年8月31日(2010.8.31)
【国際出願番号】PCT/CN2010/001327
【国際公開番号】WO2011/022950
【国際公開日】平成23年3月3日(2011.3.3)
【出願人】(507142144)中国移▲動▼通信集▲団▼公司 (51)
【氏名又は名称原語表記】CHINA MOBILE COMMUNICATIONS CORPORATION
【Fターム(参考)】
[ Back to top ]