FI121617B - Vierailevan käyttäjän pääsy verkkoon - Google Patents

Vierailevan käyttäjän pääsy verkkoon Download PDF

Info

Publication number
FI121617B
FI121617B FI20075571A FI20075571A FI121617B FI 121617 B FI121617 B FI 121617B FI 20075571 A FI20075571 A FI 20075571A FI 20075571 A FI20075571 A FI 20075571A FI 121617 B FI121617 B FI 121617B
Authority
FI
Finland
Prior art keywords
visitor
identifier
address
network
portal
Prior art date
Application number
FI20075571A
Other languages
English (en)
Swedish (sv)
Other versions
FI20075571A0 (fi
FI20075571A (fi
Inventor
Jarkko Jaervinen
Veli Pirttilae
Panu Lehti
Original Assignee
Elisa Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Elisa Oyj filed Critical Elisa Oyj
Priority to FI20075571A priority Critical patent/FI121617B/fi
Publication of FI20075571A0 publication Critical patent/FI20075571A0/fi
Priority to EP08787715.5A priority patent/EP2179561B1/en
Priority to PCT/FI2008/050442 priority patent/WO2009022052A1/en
Publication of FI20075571A publication Critical patent/FI20075571A/fi
Application granted granted Critical
Publication of FI121617B publication Critical patent/FI121617B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

VIERAILEVAN KÄYTTÄJÄN PÄÄSY VERKKOON
Esillä oleva keksintö liittyy yleisesti ratkaisuihin, joilla vieraileva käyttäjä pääsee 5 päätelaitteellaan internetiin.
Jo useiden vuosien ajan internetiin on voinut päästä kiinteiden päätelaitteiden lisäksi myös langattomilla päätelaitteilla. Eri internet-operaattorit tarjoavat nykyään useita eri pääsymekanismeja, joilla käyttäjä voi päästä internetiin.
10
Kuvio 1 esittää erästä esimerkkiä. Siinä internet-käyttäjän langattomat päätelaitteet (esim. kannettavat tietokoneet) 101 ja 102 ovat yhteydessä langattoman lähiverkon (esim. WLAN) 10 kautta tukiasemaan 30. Tukiasema voi olla modeemilaitteessa (esim. ADSL-modeemi), josta on yhteys 35 internetiin 50. 15
Langattomat lähiverkot voi tyypillisesti konfiguroida niin, että niihin rekisteröityminen joko vaatii jonkinlaisen salasanan tai sitten ei. Jälkimmäisessä tapauksessa on tapana kutsua verkkoa avoimeksi.
20 Esillä olevassa keksinnössä esitetään uusi ratkaisu, jonka avulla vieraileva käyttäjä voi päästä käyttämään internetiä avoimen langattoman lyhyen kantaman verkon kautta.
Keksinnön erään ensimmäisen aspektin mukaisesti toteutetaan menetelmä 25 langattoman lyhyen kantaman verkon vierailijan päästämiseksi internetiin järjestelmässä, jossa langattoman lyhyen kantaman verkon tukiaseman haltijan oma liikenne internetiin on eriytetty vierailijan liikenteestä, jossa menetelmässä: poimitaan vierailevan päätelaitteen lähettämä paketti pääsyportaalissa, joka paketti identifioi lähettäjän osoitteen, 30 valitaan tai luodaan tunniste, joka kohdistuu tai kohdistetaan mainittuun osoitteeseen, luodaan verkkosivu, jolla tunniste näytetään vierailijalle, vastaanotetaan tunniste vierailijalta matkaviestinverkon kautta, ja 2 avataan pääsyportaalista tunnisteen kohdistamalle osoitteelle pääsy internetiin.
Vierailijoiden liikenne voidaan ohjata omassa verkossaan tietoturvallisesti eriytettynä varsinaisen laitteen omistajan liikenteestä.
5
Keksinnön eräässä suoritusmuodossa näytetään tunnisteen näyttämisen yhteydessä myös ohjeet, minne tai mihin numeroon tunniste täytyy lähettää. Vierailija voi lähettää tunnisteen matkaviestinverkkoon sopivassa viestissä, esimerkiksi lyhytsanomaviestissä (tai tarkemmin tekstiviestissä).
10
Keksinnön eräässä suoritusmuodossa vierailijan liikenteelle toteutetaan pääsyportaalissa NAT-toiminto (network address translation), jossa vierailevan laitteen harmaa IP-osoite muutetaan julkiseksi IP-osoitteeksi.
15 Eräässä suoritusmuodossa vierailijan liikenne tunneloidaan mainitun langattoman lyhyen kantaman verkon tukiaseman ja pääsyportaalin välillä, jolloin tunnelointi voidaan toteuttaa esimerkiksi VPN-yhteydellä (virtual private network), joka toimii NAT traversal -toimintamoodissa. Tunnelointiprotokollana voidaan käyttää esimerkiksi IPSec-protokollaa tai muuta soveltuvaa tunnelointiprotokollaa. 20 Tunnelointiprotokollia ovat muun muassa PPTP/PPP/L2TP.
Keksinnön eräässä suoritusmuodossa langaton lyhyen kantaman verkko on Wippies WLAN-verkko.
25 Keksinnön erään suoritusmuodon mukaisessa menetelmässä vieraileva käyttäjä voi tekstiviestillä avata pääsyn internetiin (esim. VVLAN-verkon kautta). Eräässä tällaisessa suoritusmuodossa vierailijalle generoidaan tunniste ns. pääsyportaaliin (eng. captive portal). Lähettämällä tunnisteen tekstiviestillä oikeaan numeroon vierailija pääsee automaattisesti liikennöimään internetiin. Tässä tapauksessa 30 käyttäjä ei tarvitse tekstiviestin lisäksi käyttäjätunnusta tai salasanoja, jolloin a utenti koi nti prosessi helpottuu käyttäjän kannalta merkittävästi.
Käyttäjätunnistusmenetelmä itsessään on verkkoriippumaton, eli käyttäjä voi periaatteessa olla minkä tahansa matkapuhelinoperaattorin verkossa tekstiviestiä 3 lähettäessään.
Keksinnön erään toisen aspektin mukaisesti toteutetaan pääsyportaali langattoman lyhyen kantaman verkon vierailijan päästämiseksi internetiin 5 järjestelmässä, jossa langattoman lyhyen kantaman verkon tukiaseman haltijan oma liikenne internetiin on eriytetty vierailijan liikenteestä, joka pääsyportaali käsittää: välineet vierailevan päätelaitteen lähettämän paketin poimimiseksi, joka paketti identifioi lähettäjän osoitteen, 10 välineet tunnisteen valitsemiseksi tai luomiseksi, ja kohdistamiseksi mainittuun osoitteeseen, välineet verkkosivun luomiseksi, jolla verkkosivulla tunniste näytetään vierailijalle, välineet tunnisteen vastaanottamiseksi vierailijalta matkaviestinverkon kautta, ja välineet internet-pääsyn avaamiseksi tunnisteen kohdistamalle osoitteelle.
15 Pääsyportaali tarkoittaa tässä yhteydessä laitetta tai palvelinta, jossa pääsyportaalitoiminnallisuus on toteutettu.
Keksinnön erään kolmannen aspektin mukaisesti toteutetaan järjestelmä 20 patenttivaatimuksen 19 mukaisesti.
Keksinnön erään neljännen aspektin mukaisesti toteutetaan tietokoneohjelma, joka käsittää tietokoneella suoritettavissa olevan ohjelmakoodin, joka suoritettaessa ohjaa tietokoneistetun laitteiston toteuttamaan 25 pääsyportaalitoiminnallisuuden, jolla suoritetaan ensimmäisen aspektin mukainen menetelmä.
Neljännen aspektin mukainen tietokoneohjelma voi käsittää ohjelmakoodia, joka voidaan suorittaa esimerkiksi millä tahansa seuraavista: yleiskäyttöinen 30 prosessori, mikroprosessori, sovelluskohtainen integroitu piiri ja digitaalinen signaaliprosessori. Ohjelmakoodi voi olla suoritettavissa esimerkiksi linux-koneessa.
4
Esillä olevan keksinnön joitakin suoritusmuotoja on kuvattu tai kuvataan vain keksinnön joidenkin aspektien yhteydessä. Vastaavat suoritusmuodot ovat kuitenkin pääsääntöisesti sovellettavissa myös muihin aspekteihin.
5 Keksintöä kuvataan nyt esimerkinomaisesti viitaten oheisiin piirustuksiin, joissa:
Kuvio 1 esittää tunnetun tekniikan mukaista järjestelmää,
Kuvio 2 esittää keksinnön erään suoritusmuodon mukaista järjestelmää,
Kuvio 3 esittää menetelmää ja järjestelmää vierailijoiden tunnistamiseksi ja 10 internet-pääsyn avaamiseksi keksinnön erään suoritusmuodon mukaisesti, ja
Kuvio 4 on lohkokaavio laitteesta, joka käsittää keksinnön erään suoritusmuodon mukaisen pääsyportaalitoiminnallisuuden.
15 Kuvioissa on käytetty samoja viitenumerolta viittaamaan samoihin asioihin tai elementteihin. Kuvio 1 on käsitelty yllä tunnetun tekniikan yhteydessä.
Kuvio 2 esittää keksinnön erään suoritusmuodon mukaista järjestelmää. Kuten kuviossa 1, tässäkin langattomat päätelaitteet (esim. kannettavat tietokoneet 101 20 ja 102) ovat yhteydessä langattoman lyhyen kantaman verkon (esim. WLAN) 10 kautta tukiasemaan 30. Tukiasemasta 30 on kiinteä yhteys (esim. ADSL-yhteys) 35 internetiin 50. Tukiasema 30 on sijoitettu määrättyyn tilaan, esimerkiksi tukiaseman omistajan kotiin. Tukiasema 30 voi tarjota joukon aliverkkoja. Aliverkko 10 on tukiaseman omistajan yksityinen aliverkko, jonka kautta päätelaitteiden 101 25 ja 102 liikenne ohjataan. Aliverkko 20 puolestaan on avoin aliverkosta 1 erillinen verkko (aliverkoissa käytetään eri SSID-tunnisteita), jonka kautta tukiaseman alueella vierailevat muut päätelaitteet 201 ja 202 voivat olla yhteydessä tukiasemaan 30. Vierailijoiden liikenne siis ohjataan omassa verkossaan tietoturvallisesti eriytettynä varsinaisen laitteen omistajan verkosta.
Esimerkkinä palvelusta, joka käyttää edellä kuvatunlaista järjestelmää, mainitaan Wippies, jossa langattoman lähiverkon (WLAN) tukiaseman omistaja voi käyttää Internet-yhteyttään usealla tietokoneella tai millä tahansa sopivalla WLAN- 30 5 laitteella. Samalla on mahdollista jakaa osa Internet-yhteydestä lähistöllä mahdollisesti vierailevien muiden VVippies-käyttäjien kanssa.
Wippies on tietoturvallinen tapa jakaa osa omasta yhteydestä muille Wippies-5 käyttäjille. Wippies on suunniteltu siten, että jos omistaja tarvitsee kaistaa itse, vierailijat eivät estä omistajaa käyttämästä tarvitsemaansa yhteyttä. Vierailevat Wippies-käyttäjät käyttävät omistajan yksityisestä verkosta (aliverkko 10) eriytettyä omaa langatonta Wippies-lähiverkkoa (aliverkko 20).
10 Kuviossa 2 esitetyssä esimerkissä tukiaseman omistajan (tai haltijan) päätelaitteet 101 ja 102 siis käyttävät yhteyttä 35 liikennöidäkseen internetiin 50. Vierailevien avoimeen verkkoon 20 kytkeytyneiden vierailijoiden liikenne sen sijaan ohjataan tukiasemasta 30 virtuaaliyhteydellä tunneliin (esim. IPSec VPN-tunneli) 34, jonka toinen päätepiste on tukiasema 30 ja toinen päätepiste verkossa oleva palvelin 40, 15 joka on yhteydessä internetiin 50. Virtuaaliyhteyden tunneloitu liikenne kulkee kuitenkin tyypillisesti samaa fyysistä yhteyttä kuin omistajankin liikenne, vaikkakin omistajan liikenteestä eriytettynä. Palvelinlaitteisto käsittää pääsyportaalin (eng. captive portal) 42, jota voidaan myös nimittää liikenteen kaappausportaaliksi ja jonka toimintaa selostetaan jäljempänä. Palvelinlaitteisto käsittää lisäksi 20 tyypillisesti virtuaaliyhteyksien keskittimen, esimerkiksi kuviossa 2 esitetyssä VPN-tapauksessa VPN-keskittimen 41, joka toimii eri VPN-yhteyksien kerääjänä ja virtuaaliyhteyden tunnelin toisena päätepisteenä. Pääsyportaali 42 ja VPN-keskitin 41 voidaan toteuttaa samassa tai eri laitteissa.
25 Kuvio 3 esittää menetelmää ja järjestelmää vierailijoiden tunnistamiseksi ja internet-pääsyn avaamiseksi keksinnön erään suoritusmuodon mukaisesti. Ei-rajoittavana esimerkkinä käytetään aliverkossa 20 vierailevaa päätelaitetta 202 ja Wippies-palvelua.
30 Kun asiakas (vierailija) tulee päätelaitteineen (esim. kannettava tietokone, matkaviestin tai muu WLAN-laite) Wippies-vierailijaverkon 20 alueelle, laitteiden välinen kommunikointi on mahdollista. Vierailijaverkko on avoin verkko, joten päätelaitteen 202 on tyypillisesti aina mahdollista ottaa siihen yhteys.
6
Yhteydenotossa päätelaite 202 pyytää sopivalla protokollalla (esim. DHCP-protokollalla) verkko-osoitetta (esim. IP-osoitetta). Tukiasema 30 antaa päätelaitteelle IP-osoitteen. IP-osoite voi olla yksi pääsyportaalin 42 tukiasemalle 30 etukäteen jakamista harmaista IP-osoitteista, joka on uniikki osoite 5 pääsyportaalin 42 valvomassa verkossa (verkko pääsyportaalista 42 päätelaitteen 202 suuntaan).
Kun päätelaite 202 pyrkii liikennöimään internetiin, tukiasema avaa VPN-tunnelin 34 käyttäjän kannalta automaattisesti, jolloin kaikki vierailijan liikenne ohjautuu 10 automaattisesti VPN-keskittimen 41 kautta pääsyportaalille 42. Kun päätelaite 202 siis yrittää liikennöidä internetiin 50 (esim. yrittää avata yhteyden johonkin www-palveluun), pääsyportaali 42 poimii kaikki lähetetyt paketit ja kääntää yhteyden kirjautumissivulle (pääsyportaali 42 avaa päätelaitteeseen 202 kirjautumissivun) eikä päästä asiakkaan liikennettä eteenpäin ennen kirjautumista.
15
Kirjautuminen suoritetaan sopivan matkaviestinverkkoon lähetettävän viestin, esimerkiksi tekstiviestin tai muun lyhytsanoman avulla (seuraavassa käytetään tekstiviestiä esimerkkinä). Pääsyportaalin generoimalla sivulla näytetään vierailijalle tunniste. Lisäksi sivulle voi olla kirjattu lyhyt ohjeistus, mihin numeroon 20 tunnisteen voi lähettää esimerkiksi tekstiviestinä. Pääsyportaali 42 voi toteutuksesta riippuen käyttää tunnisteita eri tavoilla. Pääsyportaalilla 42 voi esimerkiksi olla määrätty määrä tunnisteita ns. tunnistepoolissa, josta pääsyportaali 42 voi valita tunnisteen kirjautumissivulle. Vaihtoehtoisesti pääsyportaali 42 voi generoida tunnisteen aina tarvittaessa. Tunniste voidaan 25 generoida esimerkiksi vierailijan IP-osoitteesta, sen perusteella tai muulla tavalla. Tietty tunniste on voitu jo aikaisemmin linkittää vastaamaan tiettyä pääsyportaalin hallitseman verkon harmaata IP-osoitetta. Vaihtoehtoisesti linkitys voidaan tehdä dynaamisesti tunnistetta valittaessa/generoitaessa. Vielä vaihtoehtoisesti tunniste voidaan näyttää vierailijalle epäsuorasti. Tässä tapauksessa oikeaa tunnistetta ei 30 näytetä kirjoitettuna vierailijalle vaan ainoastaan näytetään vihje, jonka perusteella vierailija tietää tunnisteen ja osaa lähettää sen viestin mukana matkaviestinverkkoon.
7
Saatuaan tunnisteen vierailija lähettää tunnisteen tekstiviestillä (esim. päätelaitteellaan 202 tai toisella päätelaitteella (esim. solukkoverkon matkapuhelin/-viestin 302)) ennalta määrättyyn tai kirjautumissivun näyttämään numeroon. Tekstiviesti kulkee solukkomatkapuhelinverkkoon 80.
5 Matkapuhelinverkko on yhteydessä 84 järjestelmään, joka käsittää pääsyportaalin 42. Tekstiviesti (tai toteutuksesta riippuen sen sisältö tai pelkästään tieto siitä, että oikea tunniste on lähetetty matkaviestinverkkoon 80 (näissäkin tapauksissa voidaan ajatella, että tunniste kulkee pääsyportaalille 42)) kulkee yhteyden 84 kautta pääsyportaalille 42, joka tulkitsee, mihin IP-osoitteeseen tunniste liittyy 10 (vastaavuus aiemmin tallennettu portaaliin 42). Tämän jälkeen pääsyportaali 42 avaa kyseiselle IP-osoitteelle pääsyn internetiin 50. Vierailijan liikenne ohjataan VPN-tunnelin 34 ja palvelimen 40 kautta internetiin 50. Kun yhteys internetiin 50 on avattu, asiakas voi päätelaitteellaan 202 normaalisti käyttää internetiä 50. Pääsyportaali 42 suorittaa tyypillisesti NAT-toiminnon päälaitteelta 202 tuleville 15 paketeille ja sille meneville paketeille. Internetiin päin liikkuvissa paketeissa vierailijan harmaa IP-osoite tyypillisesti korvataan pääsyportaalin 42 julkisella IP-osoitteella. Toiseen suuntaan kulkevissa paketeissa julkinen IP-osoite korvataan harmaalla IP-osoitteella. Jos virtuaaliyhteyden tunneli joutuu kulkemaan muun NAT:n (esim. ADSL-modeemin tms. palomuurilaitteen) yli pääsyportaalin 42 20 hallitsemassa verkossa, käytetään tunneloinnissa erään suoritusmuodon mukaisesti NAT Traversal -toimintatapaa tai vastaavaa.
Määrätyn ajan kuluttua, pääsyportaali 42 voi sulkea pääsyn internetiin 50 ja generoida taas uuden tunnisteen sivulle, jonka lähettämällä pääsyn voi avata 25 uudelleen.
Kuviossa 4 esitetään lohkokaavio pääsyportaalilaitteesta tai palvelimesta, joka käsittää pääsyportaalitoiminnallisuuden. Laite 40 käsittää prosessorin 401 laitteen toiminnan ohjaamiseksi ja muistin 402, joka käsittää tietokoneohjelman/-30 ohjelmiston 403. Tietokoneohjelmisto 403 voi käsittää ohjeita prosessorille laitteen 40 ohjaamiseksi, kuten esimerkiksi käyttöjärjestelmän ja eri sovelluksia. Lisäksi tietokoneohjelmisto 403 käsittää ohjelmakoodin, jolla tuotetaan pääsyportaalitoiminnallisuus. Muisti 402 käsittää toteutuksesta riippuen 8 tietokannan tai vastaavan tietovaraston 404 keksinnön tietyissä suoritusmuodoissa käytettävien tunnisteiden ja niitä vastaavien IP-osoitteiden tallentamiseen.
Lisäksi laite 40 käsittää input/output yksikön 405, joka tarjoaa rajapinnan 5 solukkomatkaviestinverkon kanssa viestimiseen. Tätä kautta vastaanotetaan esimerkiksi vierailijan matkaviestinverkkoon 80 lähettämä tunniste. Rajapinta voi olla esimerkiksi langallinen yhteys. Laite voi käsittää myös VPN-keskittimen 41, jota kautta liikennöidään tunneloidusti langattoman lyhyen kantaman verkon tukiaseman 30 kanssa.
10
Edellä esitetty selitys tarjoaa ei-rajoittavia esimerkkejä keksinnön joistakin suoritusmuodoista. Alan ammattimiehelle on selvää, että keksintö ei kuitenkaan rajoitu esitettyihin yksityiskohtiin vaan, että keksintö voidaan toteuttaa myös muilla ekvivalenttisilla tavoilla. On esimerkiksi ymmärrettävä, että esitetyissä 15 menetelmissä yksittäisten menetelmävaiheiden järjestystä voidaan muuttaa ja että joitakin vaiheita voidaan toistaa useita kertoja tai jättää kokonaan pois. Selityksessä esitetyt protokollat on esitetty esimerkkeinä. On myös ymmärrettävä, että tässä dokumentissa termit käsittää ja sisältää ovat avoimia ilmaisuja eikä niitä ole tarkoitettu rajoittaviksi.
20
Lisäksi esitettyjen suoritusmuotojen joitakin piirteitä voidaan hyödyntää ilman muiden piirteiden käyttöä. Edellä esitettyä selitystä täytyy pitää sellaisenaan vain keksinnön periaatteita kuvaavana selityksenä eikä keksintöä rajoittavana. Keksinnön suojapiiriä rajoittavat vain oheistetut patenttivaatimukset.

Claims (16)

  1. 9
  2. 1. Menetelmä langattoman lyhyen kantaman verkon vierailijan (202) päästämiseksi internetiin (50) järjestelmässä, tunnettu siitä, että langattoman 5 lyhyen kantaman verkon tukiaseman (30) haltijan oma liikenne internetiin on eriytetty vierailijan liikenteestä, ja jossa menetelmässä: poimitaan vierailevan päätelaitteen (202) lähettämä paketti pääsyportaalissa (42), joka paketti identifioi lähettäjän osoitteen, valitaan tai luodaan tunniste, joka kohdistuu tai kohdistetaan mainittuun 10 osoitteeseen, luodaan verkkosivu, jolla mainittu tunniste näytetään vierailijalle (202), vastaanotetaan mainittu tunniste vierailijalta matkaviestinverkon (80) kautta, ja avataan pääsyportaalista (42) mainitun tunnisteen kohdistamalle osoitteelle 15 pääsy internetiin (50).
  3. 2. Vaatimuksen 1 mukainen menetelmä, jossa näytetään tunnisteen näyttämisen yhteydessä myös ohjeet, minne tai mihin numeroon tunniste täytyy lähettää. 20
  4. 3. Vaatimuksen 1 tai 2 mukainen menetelmä, jossa vierailijan lähettämä tunniste kulkee matkaviestinverkkoon (80) lyhytsanomaviestissä.
  5. 4. Minkä tahansa edeltävän vaatimuksen mukainen menetelmä, jossa mainittu 25 lähettäjän osoite on vierailevan laitteen (202) harmaa IP-osoite.
  6. 5. Vaatimuksen 4 mukainen menetelmä, jossa vierailijan liikenteelle toteutetaan pääsyportaalissa NAT-toiminto (network address translation), jossa vierailevan laitteen (202) harmaa IP-osoite muutetaan julkiseksi IP-osoitteeksi. 30
  7. 6. Minkä tahansa edeltävän vaatimuksen mukainen menetelmä, jossa vierailijan (202) liikenne tunneloidaan (34) mainitun langattoman lyhyen kantaman verkon tukiaseman (30) ja pääsyportaalin (42) välillä. 10
  8. 7. Vaatimuksen 6 mukainen menetelmä, jossa tunnelointi (34) toteutetaan VPN-yhteydellä, joka toimii NAT traversal -toimintamoodissa.
  9. 8. Vaatimuksen 6 tai 7 mukainen menetelmä, jossa tunnelointi (34) toteutetaan VPN IPSec -tunnelilla.
  10. 9. Minkä tahansa edeltävän vaatimuksen mukainen menetelmä, jossa langaton lyhyen kantaman verkko on Wippies VVLAN-verkko. 10
  11. 10. Pääsyportaali langattoman lyhyen kantaman verkon vierailijan (202) päästämiseksi internetiin järjestelmässä, tunnettu siitä, että langattoman lyhyen kantaman verkon tukiaseman (30) haltijan oma liikenne internetiin (50) on eriytetty vierailijan liikenteestä, ja joka pääsyportaali (42) käsittää: 15 välineet (401) vierailevan päätelaitteen (202) lähettämän paketin poimimiseksi, joka paketti identifioi lähettäjän osoitteen, välineet (401) tunnisteen valitsemiseksi tai luomiseksi, ja kohdistamiseksi mainittuun osoitteeseen, välineet (401) verkkosivun luomiseksi, jolla verkkosivulla mainittu tunniste 20 näytetään vierailijalle (202), välineet (405) mainitun tunnisteen vastaanottamiseksi vierailijalta (202) matkaviestinverkon (80) kautta, ja välineet (401) internet-pääsyn avaamiseksi mainitun tunnisteen kohdistamalle osoitteelle. 25 11 .Vaatimuksen 10 mukainen pääsyportaali, joka on konfiguroitu näyttämään tunnisteen näyttämisen yhteydessä myös ohjeet, minne tai mihin numeroon tunniste täytyy lähettää. 30 12.Vaatimuksen 10 tai 11 mukainen pääsyportaali, jossa vierailijan lähettämä tunniste kulkee matkaviestinverkkoon (80) lyhytsanomaviestissä. 1 Minkä tahansa vaatimuksen 10-12 mukainen pääsyportaali, jossa mainittu 11 lähettäjän osoite on vierailevan laitteen (202) harmaa IP-osoite.
  12. 14. Vaatimuksen 13 mukainen pääsyportaali, joka on konfiguroitu toteuttamaan vierailijan liikenteelle NAT-toiminnon (network address translation), jossa 5 vierailevan laitteen (202) harmaa IP-osoite muutetaan julkiseksi IP-osoitteeksi.
  13. 15. Minkä tahansa vaatimuksen 10-14 mukainen pääsyportaali, joka on konfiguroitu mainitun langattoman lyhyen kantaman verkon tukiaseman (30) ja pääsyportaalin (42) välisen vierailijan liikenteen tunnelointiin (34). 10
  14. 16. Vaatimuksen 15 mukainen pääsyportaali, jossa tunnelointi (34) toteutetaan VPN-yhteydellä, joka toimii NAT traversal -toimintamoodissa.
  15. 17. Vaatimuksen 15 tai 16 pääsyportaali, jossa tunnelointi (34) toteutetaan VPN 15 IPSec-tunnelilla.
  16. 18. Minkä tahansa vaatimuksen 10-17 mukainen pääsyportaali, jossa langaton lyhyen kantaman verkko on Wippies WLAN-verkko. 20 19. Järjestelmä, joka käsittää langattoman lyhyen kantaman verkon tukiaseman (30) sekä minkä tahansa vaatimuksen 10-18 mukaisen pääsyportaalin (42). 20.Tietokoneohjelma, joka käsittää tietokoneella suoritettavissa olevan ohjelmakoodin, joka suoritettaessa ohjaa tietokoneistetun laitteiston toteuttamaan 25 pääsyportaalitoiminnallisuuden, jolla suoritetaan minkä tahansa vaatimuksen 1-9 mukainen menetelmä. 12
FI20075571A 2007-08-15 2007-08-15 Vierailevan käyttäjän pääsy verkkoon FI121617B (fi)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FI20075571A FI121617B (fi) 2007-08-15 2007-08-15 Vierailevan käyttäjän pääsy verkkoon
EP08787715.5A EP2179561B1 (en) 2007-08-15 2008-07-22 Network access for a visiting user
PCT/FI2008/050442 WO2009022052A1 (en) 2007-08-15 2008-07-22 Network access for a visiting user

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20075571 2007-08-15
FI20075571A FI121617B (fi) 2007-08-15 2007-08-15 Vierailevan käyttäjän pääsy verkkoon

Publications (3)

Publication Number Publication Date
FI20075571A0 FI20075571A0 (fi) 2007-08-15
FI20075571A FI20075571A (fi) 2009-02-16
FI121617B true FI121617B (fi) 2011-01-31

Family

ID=38468737

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20075571A FI121617B (fi) 2007-08-15 2007-08-15 Vierailevan käyttäjän pääsy verkkoon

Country Status (3)

Country Link
EP (1) EP2179561B1 (fi)
FI (1) FI121617B (fi)
WO (1) WO2009022052A1 (fi)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2405678A1 (en) 2010-03-30 2012-01-11 British Telecommunications public limited company System and method for roaming WLAN authentication
EP2373075A1 (en) 2010-03-30 2011-10-05 British Telecommunications public limited company System and method for WLAN traffic monitoring

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002019593A2 (en) * 2000-08-30 2002-03-07 Telefonaktiebolaget Lm Ericsson (Publ) End-user authentication independent of network service provider
GB2367213B (en) * 2000-09-22 2004-02-11 Roke Manor Research Access authentication system
EP1320236A1 (en) * 2001-12-12 2003-06-18 Markport Limited Access control for network services for authenticating a user via separate link
WO2006042213A2 (en) * 2004-10-06 2006-04-20 Sybase 365 Inc. System and method for message-based access
US8677125B2 (en) * 2005-03-31 2014-03-18 Alcatel Lucent Authenticating a user of a communication device to a wireless network to which the user is not associated with
JP2007102778A (ja) * 2005-10-04 2007-04-19 Forval Technology Inc ユーザ認証システムおよびその方法

Also Published As

Publication number Publication date
WO2009022052A1 (en) 2009-02-19
EP2179561B1 (en) 2018-09-05
FI20075571A0 (fi) 2007-08-15
EP2179561A4 (en) 2013-11-06
EP2179561A1 (en) 2010-04-28
FI20075571A (fi) 2009-02-16

Similar Documents

Publication Publication Date Title
US8910300B2 (en) Secure tunneling platform system and method
CA2688122C (en) Home base station
US7616597B2 (en) System and method for integrating mobile networking with security-based VPNs
CN102316093B (zh) 用于移动设备的双模式多服务vpn网络客户端
EP2559205B1 (en) Method for providing prefixes indicative of mobility properties in a network environment
EP2512094B1 (en) Dynamic assignment of home agent and home address in wireless communications
US8374158B2 (en) Method for interfacing a second communication network comprising an access node with a first communication network comprising a contact node
EP2111020A1 (en) A computer communication system for communication via public networks
US20040266420A1 (en) System and method for secure mobile connectivity
CN105100095A (zh) 移动终端应用程序安全交互方法及装置
CN103517377B (zh) 无线网络访问方法、Wifi接入点及终端
CN1478232A (zh) 用于安全网络移动性的系统和方法
KR101640209B1 (ko) 휴대 모바일 가상사설망 서비스 지원장치 및 그 방법
KR20070064427A (ko) 네트워크에서 데이터 패킷을 동적으로 필터링하기 위한방법 및 시스템
US20090019281A1 (en) Secure host network address configuration
FI121617B (fi) Vierailevan käyttäjän pääsy verkkoon
CN104426735B (zh) 一种建立虚拟专用网络连接的方法及装置
US20190386953A1 (en) Method for Transmitting at Least One IP Data Packet, Related System and Computer Program Product
KR20170017860A (ko) 네트워크 vpn 기반의 네트워크 가상화 시스템
JP3575369B2 (ja) アクセスルーティング方法及びアクセス提供システム
JP4470641B2 (ja) Vpn管理サーバ、vpn設定システム、方法及びvpn管理サーバ用プログラム
KR20160119549A (ko) 네트워크 vpn 기반의 네트워크 가상화 시스템
Miyakawa et al. Yet another mobility support for the Internet
Terao et al. A shared secure server for multiple closed networks
Abdalla et al. WLAN Integrated with GPRS Network Securely

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 121617

Country of ref document: FI