JP2004513538A - 近距離無線ネットワーク環境におけるロケーション非依存型パケットルーティング及びセキュア・アクセス - Google Patents

近距離無線ネットワーク環境におけるロケーション非依存型パケットルーティング及びセキュア・アクセス Download PDF

Info

Publication number
JP2004513538A
JP2004513538A JP2002526060A JP2002526060A JP2004513538A JP 2004513538 A JP2004513538 A JP 2004513538A JP 2002526060 A JP2002526060 A JP 2002526060A JP 2002526060 A JP2002526060 A JP 2002526060A JP 2004513538 A JP2004513538 A JP 2004513538A
Authority
JP
Japan
Prior art keywords
fam
address
packet
port
ham
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002526060A
Other languages
English (en)
Inventor
ネヴェス,リチャード ケント
シンガル,サンディープ キシャン
アナンド,ランガチャリ
ゴパール,アジェイ サラート
パク,ヨンホ
Original Assignee
リーフエッジ,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by リーフエッジ,インコーポレイテッド filed Critical リーフエッジ,インコーポレイテッド
Publication of JP2004513538A publication Critical patent/JP2004513538A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2521Translation architectures other than single NAT servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2539Hiding addresses; Keeping addresses anonymous
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5084Providing for device mobility
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/12Mobility data transfer between location registers or mobility servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Semiconductor Integrated Circuits (AREA)

Abstract

本発明は、無線ネットワーク環境において、クライアント装置をこの環境内で途切れることなく移動させることができるロケーション非依存型パケットルーティング及びセキュア・アクセスを提供する方法、システム及びコンピュータプログラム命令である。各クライアント装置(330)は、一定のアドレスを使用する。クライアント(330)及びサーバからは気付かれないアドレス変換処理は、装置が環境内を動き回るとき自動的に実行され、クライアントは一方の支援アクセスポイントから別の支援アクセスポイントへ効率的に移動できる。クライアント装置との間で送信されるパケットは、対外(フォーリン)アドレス・マスカレード器、即ち、FAM(340)を通過する。装置からの外向きパケット(350a)はFAMによって宛先サーバ(300)へ転送される。サーバからの内向きパケット(360a)は、装置のホーム・アドレス・マスカレード器、即ち、HAM(310)に送信され、次に、FAMへ転送され、FAMはそのパケット(360c)を装置へ送信する。ローミング調整器(320)は、HAM及びFAMの接続性及び発見と、コネクション移動を可能にさせる。

Description

【0001】
〔関連出願へのクロスリファレンス〕
本発明は、同一出願人によって譲受された、2000年8月11日に出願された米国特許出願第09/637,742号(発明の名称「近距離無線ネットワーク環境におけるシームレス・ユーザ移動方法(Enabling Seamless User Mobility in a Short−Range Wireless Networking Environment”))に関連する。この関連出願は参考のため引用される。
【0002】
〔技術分野〕
本発明は、コンピュータネットワークに係り、特に、近距離無線コンピューティング装置を用いてシームレス(途切れることの無い)接続性及びローミングを可能にする方法、システム、及び、コンピュータプログラム命令に関する。
【0003】
〔背景〕
近年、様々な近距離無線ネットワーク通信技術、特に、IEEE 802.11及びブルートゥース(Bluetooth)が登場し、携帯型装置(例えば、ラップトップ、携帯電話、個人情報端末(即ち、PDA)など)が相互に通信し、広域ネットワーク環境と通信できるようになっている。IEEE 802.11は、米国電気電子技術者協会の規格であり、1997年に無線ローカルエリア・ネットワーク(即ち、無線LAN)、シグナリング、及び、プロトコルに関して承認された。802.11規格は、周波数ホッピング方式拡散スペクトル無線、直接シーケンス方式拡散スペクトル無線、及び、赤外線伝送を取り扱う。Bluetoothは、電気通信とコンピューティングを統一することを目指した近距離無線接続性のための仕様である。これらの仕様に関するもっと詳細な情報は、それぞれ、インターネット上のwww.ieee.org及びwww.bluetooth.comで調べることができる。
【0004】
この環境内でのホスト移動性の問題は従来から公知であり、幾つかの手法(ソリューション)がこの問題を解決するため明らかにされている。これらの手法の中には、モバイルIP(インターネット・プロトコル)、エンド・ツー・エンドTCP(伝送制御プロトコル)、及び、HAWAII(ハンドオフ・アウェア・ワイヤレス・アクセス・インターネット・インフラストラクチャ)システムが含まれる。これらの各手法は、ロケーション非依存型パケットルーティング及びセキュア・アクセスに関するそれらの制限及び欠点の簡単な要約と共に次に説明される。
【0005】
モバイルIP環境の場合、各装置は、ホームネットワーク上の固定ホーム・エージェント(HA)に割当てられる。装置が動き回るとき、以下のステップ(1)〜(4)が行われる。(1)装置は、リモートネットワーク上のフォーリン・エージェント(FA)を見つけ、FAとの間に通信リンクを確立し、FAにHAの識別情報(アイデンティティ)を付与する。(2)FAは、HAとのハンドシェイクを開始する。(3)クライアントに向けられたパケットはHAによって受信され、HAはパケットをFAへ進め、FAはパケットを装置へ転送する。(4)クライアントによって生成されたパケットは、FAによって横取りされ(途中で遮られ)、FAはパケットをHAへ進め、HAはパケットを対象とする宛先へ転送する。しかし、FAがHA経由でパケットを送信するのではなく、対象とする宛先へパケットを直接送信できるようにするためモバイルIPに最適化が行われる。
【0006】
しかし、モバイルIPには、多数の欠点及び制限がある。IPインサイドIPの通過(トンネル化)には、付加的なヘッダ素材をパケットに追加することが必要であり、また、(付加的なIPヘッダ素材に対し)少なくとも新しいIPヘッダのチェックサムの再計算が必要である。これらの演算のため、HA及び/又はFAで余分なメモリアクセスが必要になる。ある種のオペレーティングシステムの場合、チェックサム計算は増分的ではない(したがって、IPヘッダの全てのバイトへのアクセスが必要になる。)。一部のオペレーティングシステムの場合、ヘッダ素材の追加は、パケット全体を新しいバッファへコピーすることが必要であり、パケットのあらゆるバイトへアクセスすることが必要である。HAとPAの間のパケットの通過は、パケットサイズを増加させる。このため、帯域消費量が増加し、元のIPパケットの付加的なフラグメント及び再組立が必要である(本質的に新しいパケット損失条件が導入される。)。したがって、トンネル化は、性能劣化を引き起こす。更に、HAとFAの間のトンネル化は、ルーティングを非効率にする。なぜならば、全ての内向きパケットは、パケットの送信元と宛先が物理的に直ぐ近くのネットワークに置かれている場合でも、2台のホストの間でルーティングされなければならないからである。
【0007】
モバイルIPは、クライアント装置に負荷と制約を課する。クライアントは、FAを発見できるようにするため付加的なソフトウェアをインストールしなければならない。特定のクライアントは、同時には一つのFAとしか通信できなないように制限される。即ち、多数のFAの間で負荷を分配する機構が存在しない。FAが故障した場合、クライアントに関する全ての状態情報は失われ、クライアントは、そのネットワーク接続性の全てを再確立しなければならない。さらに、全てのクライアントは、公然と経由することができる(グローバル、大域的)IPアドレスに割当てられる。現在のインターネットの場合、このようなアドレスは著しく制限されているので、これは、特に、多数のモバイル作業者を含む大規模機関の場合に、困難な限界を意味する。
【0008】
Alex SnoerenとHari Balakrishnanによって提案されたエンド・ツー・エンドTCP再マッピング手法は、論文:”An End−to−End Approach to Host Mobility”, Proceedings of Mobicom 2000, 2000年8月発行に詳細に記載されている。モバイルIPの限界を認識することによって、Alex SnoerenとHari Balakrishnanは、確立されたコネクションをクライアントの新しいIPアドレスに再マッピングすることができる付加的な機構をTCPに追加することによって、途切れることのない移動性が実現され得ることを示唆している。このようにして、クライアントが動き回るとき、クライアントは、新しいIPアドレスを自由に取得し、その結果として、クライアントの確定していないコネクションの全てを再割当する。この手法の場合、TCP/IPコネクションは、ローミング中の装置(動的なIPアドレスを備えている)とサーバとの間で、直接的に機能する。装置が動き回り、新しいIPアドレスを取得するときは、何時でも、装置のアドレスが変更されたことをサーバへ通知するためTCP/IPリンクを介してメッセージが送信される。
【0009】
この手法には多数の欠点がある。この手法は、全てのクライアント及びサーバ上のTCP実施態様に変更を加えることが必要である。装置のIPアドレスを認識しているアプリケーションは、装置が動き回るときに生じるIPアドレス変更を知り、処理するように変更しなければならない。この手法は、ユーザ・データグラム・プロトコル(UDP)/IPベースの通信には不都合である。最後に、システムは、遠隔ホストがクライアントの現在のIPアドレスについて知ることができるように動的ドメイン名サービス(DDNS)に依拠するが、残念ながら、DDNSは、未だ完全には配備されていない。
【0010】
HAWAIIシステムは、インターネット上でhttp://www.ietf.orgから入手可能である、R. Ramjee外によるインターネット文書”IP micro−mobility support using HAWAII”, 2000年7月7日に記載されている。HAWAIIは、ユーザが単一の管理ドメイン内をより効率的に動き回ることができるようにするため最適化されたモバイルIPである。ユーザが管理ドメインに移動するとき、通常の形式でローカルFAと関係が確立される。管理ドメイン内では、ローミングは、FAが装置との間でパケットを送受できるように、ルータ及びホストルーティングテーブルを動的に更新することによって実現される。
【0011】
この手法は、モバイルIPの場合と比較して、FA−HAセットアップを削減し、オーバーヘッドを取り除く。なぜならば、FAは頻繁に変化することがなく、FAは、ユーザがFAによってサポートされた管理ドメイン内を移動する限り、固定されたままの状態を保つからである。モバイルIPと同様に、HAWAII技術は、クライアントから送信されたパケットのための外へ向かう「トライアングル」ルーティングを除外することができる(但し、クライアントへ送信されたパケットに対してはこのようにはならない。なぜならば、クライアントの公開アドレスは、インターネットを介してHAへルーティグされるからである。)。
【0012】
しかし、HAWAII技術は、ルータを更新するため付加的なオーバーヘッドを取り込む(このことは、多数の管理ドメインでは実現不能であるか、若しくは、許容されない。)。また、HAWAII技術は、モバイルIPに関連した計算性能、帯域幅、及び、信頼性の問題を解決しない。
【0013】
ホスト移動性のための既存の手法は、(1)無線アクセス環境を介して有線ネットワークへアクセスしているユーザはどのユーザであるか、及び、(2)このユーザが通信している相手のサーバはどのサーバであるか、に関するポリシーを実施するための機構(メカニズム)を提供しない、という点で著しく制限される。
【0014】
既存のセキュリティ機構は、二つの大まかなカテゴリーに分類される。第1のカテゴリーは、リンク・レベルの暗号化であり、第2のカテゴリーは、セキュアIPトンネル化である。次に、これらの各技術について説明する。
【0015】
リンク・レベル暗号化は、データが無線ネットワークを介して平文で伝送されないことを保証するため使用される。802.11環境の場合、WEP(ワイヤレス・イクゥイバレント・プライバシー)は、クライアントと無線アクセスポイントとの間で暗号化を行えるように規定される。典型的な実施形態の場合、システム管理者は、認証された全ユーザに配布される鍵を定める。ユーザは、この鍵を用いてクライアントを設定し、この鍵は、次に、装置がネットワークへのアクセスを許可されていることを証明するため、アクセスポイントへ提示される。このハンドシェイクが終了すると、セッション鍵が確立され、クライアントとアクセスポイントの間の以降のトラヒックは暗号化される。この暗号化は、無線カードのハードウェア内に組み込まれる。同様の機構は、ブルートゥース(Bluetooth)環境にも存在する。
【0016】
このリンク・レベルのセキュリティ技術には幾つかの限界がある。第1に、このセキュリティ技術は、匿名性である。即ち、アクセスポイント(及びネットワーク)は、実際にネットワークを使用しているユーザを判定することができない。したがって、ユーザベースのフィルタリング及びルーティングのポリシーを強制する方法がない。更に、この技術は扱い難い。WEP鍵は、長さが1024ビットであり、ユーザにこの情報のタイプ入力を求めると、ユーザは間違える傾向がある。ユーザにこの鍵が供給されると、ユーザは、ネットワークアクセスを拒絶されることが無くなる。先に認証されたユーザがネットワークへのアクセス権を取得することを防止するため、管理者は、新しい鍵を作成し、全てのアクセスポイントのプログラムをやり直し、現在認証されている全てのユーザに自分のWEP鍵を更新するように通知する必要がある。多数の設備において、これは非現実的である。
【0017】
このリンク・レベルの技術を使用する代替案は、無線クライアントと、アクセスポイントに連結されたルータとの間にセキュアIPトンネルを構築する。このジャンルの手法は、3Comコーポレーションによって公表されている(http://www.3com.com/news/releases/pr00/jul0500a.htmlを参照のこと。)。この特定の手法では、ユーザは、ユーザ名及びパスワードをルータへ与え、ルータはユーザを認証する。次に、MPPE(マイクロソフト・ポイント・ツー・ポイント暗号化)リンクがクライアントとルータの間に確立される。このようにして、ユーザは、全てのパケットが無線ネットワーク上で暗号化される。
【0018】
しかし、この技術は、無線アクセスハードウェア装置に設けられたハードウェア暗号化能力を巧く利用することが出来ない。なぜならば、暗号化機能は、リンク・レベルに存在するからである。更に、ネットワーク管理者は、ネットワーク上でアクセス制御又はフィルタリングポリシーを実施するために、この機構を使用できない。このようなフィルタリングは、ルータ自体に統合することが可能ではあるが、全てのクライアントがルータと安全なトンネルを確立することを保証する機構は存在しない。ルータをあらゆる無線アクセスポイントへ直接連結することによって、フィルタリング手法を実現することが可能である(その結果として、ルータは、到来する内向きトラヒック及び出て行く外向きトラヒックの全てのトラヒックを横取りすることが可能である。)。しかし、この後者の解決手法は、著しい配線の負担を課すので、実行不可能である。
【0019】
したがって、従来技術の制限を解決し、ホスト移動性をサポートする技術が求められている。
【0020】
〔発明の概要〕
本発明は、近距離無線コンピューティングネットワークにおけるホスト移動性をサポートする方法、システム、及び、コンピュータプログラム命令を対象とする。開示されたルーティング技術は、基礎となるルーティング基盤設備(インフラストラクチャー)の最大性能及びスループットを提供し、パケットのネットワーク待ち時間を最低限に抑え、最大限のコンフィギュレーション柔軟性を与える。更に、開示されたセキュア・アクセス技術は、ユーザ毎のアクセス制御とトラヒックフィルタリングポリシーが容易、かつ、効率的に実施される安全な管理されたネットワーク環境を提供する。これらの技術を使用することにより、クライアント装置は、固定装置アドレスを使用して、(建物内のネットワークのような)無線ネットワークを途切れること無く移動することが可能である。
【0021】
本発明によれば、各ネットワークコネクションは、ホーム・エージェント・マスカレード器(HAM)に関連付けられる。ローミング中の装置は、フォーリン・エージェント・マスカレード器(FAM)で通信し、FAMは、アクティブ・コネクション毎にHAMと通信する。クライアント装置が各アクティブ・コネクションに対して異なるHAMを使用できるようにすることによって、ローミング中の装置に対するHAMは、コネクションが確立されたときにクライアントが存在していた実際のロケーションの非常に近くに設置され得る。コネクションが長続きせず、コネクションの進行中にユーザが実際には動き回らない場合、従来技術で要求されたタイプのはっきりしないルーティング・パスを構築する必要が無く、装置は、単純に(近隣の)HAMを使用する。実際上、殆どのコネクションは、(例えば、インターネットくからの要求を行うため)長続きしない傾向があるので、開示された技術は、特に、有利である。コネクションが長続きする状況の場合(或いは、永続することが期待される場合)、HAM機能をもっと集中したロケーションに配置する技術が規定される。
【0022】
FAMがパケットルーティングを行う必要がある新しい装置の存在を知るのに伴って、コネクション状態は各FAMに次第に取り込まれるので、システムの全体的な性能が更に改良される。
【0023】
効率的かつ漸進的なハンドオフ処理技術が規定される。得られたシステムは、非常に拡張性があり、高性能を発揮する。
【0024】
これらのルーティング技術を補完するため、近距離無線ネットワーク環境においてユーザ中心のリンク・レベル・セキュリティを保証するセキュリティ機構が開示される。開示された機構は、ユーザベースの認証をサポートする間に、並びに、各エンドポイント(終点)のハードウェアによって提供された既存の暗号機能を利用する間に、ポリシー駆動型パケットフィルタリングが行えるようにさせる。
【0025】
〔発明の詳細な説明〕
次に、本発明の好ましい一実施例が表された添付図面を参照して本発明をより十分に説明する。図面中、同じ番号は同じ要素を表す。
【0026】
本発明は、本発明の一実施例による方法、装置(システム)、並びに、一つ以上のコンピュータ読み取り可能な媒体に具現化されたコンピュータプログラム命令のフローチャートを参照して説明される。当業者に明らかであるように、これらのフローチャートは、本発明の好ましい一実施例が実施される態様の単なる例示であり、開示された発明の概念から逸脱すること無く、(例えば、ある種の場合には、操作の順序を入れ替えることにより、或いは、操作を結合することにより)フローチャートに例示されたロジックに変更を加えることが可能である。
【0027】
本発明は、当業者に周知であるネットワーク・アドレス変換(NAT)を使用することに基づいている。NATを使用することにより、特定のクライアントのネットワーク・アドレスを他のアドレスを用いてマスカレードすることが可能になる。この機能は、従来的に、企業ネットワーク内の多数の秘密クライアントアドレスを、より少数の公開された外から見えるアドレスを使用してインターネットに公表することができるようにするため使用されている。これにより、取得すべきグローバルIPアドレスの数が減少し、ネットワークのセキュリティが強化される。
【0028】
このマスカレードを実現するため、NATを提供する装置はアドレス変換テーブルを保持する。アドレス変換テーブルは、図1に示されるように、確立された各コネクションに対して1個のエントリーをもつ。コネクションが確立されたとき(例えば、TCP SYNメッセージが送信されたとき)、NATホストは、クライアントホストとサーバホストのアドレス及びポートに対応したエントリーをテーブルに設定する。NATホストは、更に、マスカレードIPアドレス及びポートを割当てる。これらは、コネクションの継続中にクライアントホストの公開されたアドレス及びポートである。(かくして、第1のサーバと通信する特定のクライアントに対し、第1のマスカレードアドレス及びポートが使用され、一方、このクライアントが別のサーバと通信する場合、異なるマスカレードアドレス及びポートが使用される。)
NATの動作は図2に示されている。クライアント205から(クライアントのアドレス及びポート番号に設定された送信元IPアドレス、並びに、サーバのアドレス及びポート番号に設定された宛先IPアドレスを使用して)特定のコネクション上で送信された外向きのパケットは、マスカレードアドレス及びマスカレードポート番号を使用して送信された場合、NAT215から転送される(ステップ220)。したがって、サーバ225は、このマスカレードアドレス及びポート番号を備えたクライアントと通信していることを確信する。かくして、マスカレードアドレス及びマスカレードポートを宛先とするサーバ225からの任意の内向きパケットは、クライアント205の実際のクライアントアドレス及びクライアントポートに向けられている場合、NAT215によって転送される(ステップ240)。
【0029】
図3には、本発明におけるシステムの論理コンポーネントが示されている。論理コンポーネントは、(1)装置330と、(2)ホーム・アドレス・マスカレード器(HAM)310と、(3)フォーリン・アドレス・マスカレード器(FAM)340と、(4)ローミング・コーディネーター(調整器)(320)と、(5)アプリケーションサーバ300とを含む。次に、本発明に関連した各コンポーネントについて説明する。
【0030】
本発明と共に使用される装置330(ラップトップ型コンピュータ、ハンドヘルド型コンピュータ、PDA、携帯電話機など)は、各々に通信機能(好ましくは、近距離無線通信機能)が備えられている。通信設備は、802.11、Bluetooth、HomeRF、或いは、(将来開発されるであろう)同等の技術のようなテクノロジーを含む。ネットワーク機能は装置に組み込まれる。或いは、ネットワーク機能は、例えば、(PCMCIA、即ち、パーソナル・コンピュータ・メモリ・カード国際協会カードのような)プラグイン・カード、又は、ドングル(USB、即ち、ユニバーサル・シリアル・バスのポートやRS232のポートに取り付けられるプラグイン装置)の装着のような他の方式で利用可能であるが、これらの方式に限定されるものではない。
【0031】
クライアント装置330との間で送受される全てのパケットは、FAM340を通過する。装置からの外向きパケット350aは、FAMによって宛先サーバ300へ転送される(ステップ350b)。これに対して、サーバ300からの内向きパケットは、最初に装置のHAM310へ送信され(ステップ360a)、次に、FAM340へ転送される(ステップ360b)。FAM340は、この内向きパケットを装置330へ送信する(ステップ360c)。
【0032】
好ましい実施例において、HAM310は、特定のクライアント装置とサーバ間の各コネクションに固定的に割当てられる(但し、装置のHAMは後で詳述するように変更されるかもしれない。)。ルーティングをサポートするため、HAMは、HAM変換レコードを利用する(図5に関して後述される。)。好ましい実施例において、HAMは、ネットワークアクセスポイント、ルータ、若しくは、ブリッジに組み込まれるが、後述するように、HAMは、中央サーバ、若しくは、その他のホストに組み込んでも構わない。
【0033】
好ましい実施例において、FAM340は、装置と通信する第1の(ブリッジ形ではない)ネットワーク素子である。装置との間で送受されるパケットはFAMを通る必要がある。好ましくは、FAMは、ネットワークアクセスポイント又はLANルータに組み込まれる(他の実施例では、全てのクライアントがFAM使用可能なブリッジと通信するならば、FAM設備はブリッジに設置される。)。FAMは、装置が動き回るのに伴って変化する。ルーティングをサポートするため、FAMは、FAM変換レコードを利用する(図4を参照して説明される。)。好ましくは、初期FAMは、後述のように装置用のHAMの役割を実行するが、このことは本発明の必須要件ではない。
【0034】
アプリケーションサーバ300は、装置が通信する相手側のエンドポイントである。コネクションの期間中、エンドポイントは固定される。或いは、アプリケーションサーバ自体は、専用のFAM及びHAMを備えたモバイル装置でもよい。そのためには、固定の公開されたルーティング可能なアドレスを周知のサービスのためのマスカレードアドレスとして使用することが必要である。
【0035】
ローミング調整器320は、HAMとFAMの接続性及び発見、並びに、コネクション移動(即ち、ハンドオフ)を可能にさせる。好ましい実施例において、ローミング調整器は、システム内の様々なネットワークアクセスポイントにネットワーク接続されたサーバコンピュータに組み込まれる。
【0036】
本発明によれば、HAM及びFAMは、ネットワーク・アドレス変換の概念に基づく技術を使用して、ロケーション非依存型パケットルーティングを可能にさせる。これを実現するため、HAM及びFAMは、サポートするコネクション毎に、夫々、HAM変換レコード及びFAM変換レコードを保持する。以下で説明するように、HAM変換レコードは、HAM変換テーブルに集合的に蓄積され、FAM変換レコードは、FAM変換テーブルに集合的に蓄積される。
【0037】
本発明の好ましい一実施例で使用されるFAM変換レコードのフォーマットは図4に示されている。FAM変換テーブルは、外向きパケットがHAMによって割当てられたマスカレードアドレス及びマスカレードポートから出て来た場合に、FAMがクライアントからのコネクション上の外向きパケットを書き換えさせる。クライアントからのパケットの受信時に(図3のステップ350aを参照)、クライアント(送信元)及びサーバ(宛先)のアドレス及びポート番号は、対応したFAM変換レコードを検索するため(好ましくはインデックスとして)使用され、FAM変換レコードに保存されたマスカレードアドレス及びポート番号は、クライアントの実際のアドレス及びポート番号の代わりに使用される(図6を参照してより詳細に説明される)。FAM変換レコードは、適合したFAMアドレス及びポート番号(従って、マスカレードアドレス及びポート番号)をもつ保存されたレコードを検索し、FAMの代わりに宛先としてクライアントを使用することにより(図7を参照して後で詳述される)、FAMが内向きパケットをクライアントアドレス及びポートに転送できるようにさせる(ステップ360cを参照)。
【0038】
尚、図4、5及び8に示された例示的なテーブルフォーマットは、プロトコル識別子のためのエントリーを含むが、この情報はオプション的であり、多数のプロトコル(例えば、TCPとUDPの両方)をサポートするシステムの場合に限り要求される。また、テーブルは、本発明の概念から逸脱すること無く、図4、5及び8に示されたフィールドよりも多数のフィールドを収容し得ることに注意する必要がある。
【0039】
本発明の好ましい実施例で使用されるHAM変換レコードのフォーマットは図5に示されている。これらのHAM変換レコードは、HAMが内向きパケットを適当なFAMへ転送できるようにさせる。この適当なFAMは、次に、パケットをクライアントへ転送可能である。サーバから内向きパケットを受信した後(ステップ360aを参照のこと)、HAMは、マスカレードアドレス及びポート番号を使用し、パケットに含まれるアドレス及びポート番号と一致するサーバアドレス及びポート番号を有するHAM変換レコードを検索する。HAM変換レコードに保存されたFAMアドレス及びポートは、マスカレードアドレス及びポートの代わりに使用され、パケットはこのFAMへ転送される(ステップ360bを参照せよ)。
【0040】
図5には示されていないが、HAM変換レコードの代替的な実施例は、オプション的に、(1)コネクションに関連し、HAMがコネクションのためのマスカレードアドレス及びポート番号を割当てたときにHAMが認識している実際のクライアントアドレス及びクライアントポート、及び/又は、(2)各エントリー内の多数のFAMアドレス及びFAMポートを含む。
【0041】
多数のFAMアドレス及びポートは、二つのケースで存在する。第一に、クライアントが一方のFAMから別のFAMへ移動するとき、多数のFAMが一時的にこのコネクションと関連付けられる。更に、クライアントは、静止しているときでも、多数のネットワークアクセスポイント又はルータと同時に通信する能力を備えている。クライアントは、多数のアクセスポイントと関係を確立し、これらのアクセスポイントを経由してネットワークとの間でパケットを送受する。したがって、多数のFAMが特定のコネクションに対して存在し、全てのFAMはパケットをクライアントへ転送する能力を備えている。特定のパケットをルーティングするため二つ以上のFAMを利用可能である場合、HAMは、(例えば、ランダムにFAMを選択する技術を含む)競合解消技術を使用して、利用可能なFAMからFAMを選択する。これらの競合解消技術は本発明の一部を形成しない。好ましくは、多数のFAMの存在は、図6を参照して後述されるように、コネクション・ルーティング・テーブルのエントリーからも知ることができる。
【0042】
図6には、本発明の好ましい一実施例に従って、クライアントからサーバへパケットが伝送される状況を示すフローチャートである。この処理は、図3のステップ350a及び350bに対応する。ステップ600において、クライアントは、送信元がクライアントのIPアドレス及びポートであり、宛先がサーバのIPアドレス及びポートであるIPパケットを送信する。このパケットは、既に確立されたコネクションのパケットでもよく、或いは、(TCP SYN、或いは、UDPストリームの最初のパケットのような)接続要求パケットでもよい。このパケットは、クライアントの現在のFAMへ達するリンク上で伝送される。FAMのMACアドレスは、宛先MACアドレスとしてパケットに設けられる。このMACアドレスは、アドレス・リゾリューション・プロトコル、即ち、ARPのような従来技術を使用してクライアントへ知らされる。或いは、ブロードキャストMACアドレスが使用される。ステップ610において、FAMは、パケットを受信し、パケットから、送信元アドレス及びポートと、宛先アドレス及びポートを抽出する。ステップ620において、FAMは、FAM変換レコードを検索するため、FAM変換テーブルにアクセスする(図4を参照のこと)。FAM変換テーブルのクライアントアドレス及びポートとサーバアドレス及びポートは、ステップ610で抽出された送信元アドレス及びポートと、宛先アドレス及びポートと一致する。
【0043】
ステップ630において、適合するFAM変換レコードが発見されたかどうかを判定する。ステップ630の判定結果が否定的である場合、ステップ670で、FAMは、当該クライアントと当該サーバの間に既にコネクションが存在するかどうかを判定し、そのコネクションためのFAM変換レコードを確立するため、ルーティング調整器に連絡を取る(この処理は図10に詳細化されている。)。判定ステップ675において、FAM変換レコードが作成されたかどうかを判定する。判定ステップ675に対する回答が否定的である場合、このパケットは、(潜在的な)新しいコネクションを表現し、(FAMがHAMを兼ねることを試みる)図9に示されたフローに従って処理される(ステップ680)。処理はステップ690へ進み、FAM変換レコードが作成済みであるかどうかが判定される。判定ステップ690への回答が否定的である場合、パケットは廃棄され、処理はステップ695で終了する。代替的な実施例では、判定ステップ690におけるチェックは回避され、処理はそのままステップ695へ進んで終了し、パケットは常に廃棄される。この代替的な実施例は、クライアントの接続要求パケットを廃棄するが、クライアントに組み込まれたプロトコルは、典型的に、この廃棄されたパケットを検出し、そのパケットを再送信する。再送信されたパケットは、フローチャートに示されたロジックによって適切な方法で自動的に処理される。
【0044】
判定ステップ630に対する回答が肯定的である場合(即ち、FAMがこのコネクションについて既に知っているとき)、判定ステップ675に対する回答が肯定的である場合(即ち、既にルーティング調整器が認識し、このFAMと連絡を取り始めたローミング装置である場合)、又は、判定ステップ690に対する回答が肯定的である場合(即ち、この装置のための新しいコネクションである場合)、このパケットのための有効なFAM変換レコードが見つけられる(又は生成される)。制御はステップ640へ進み、マスカレードアドレス及びポートは、FAM変換レコードから抽出される。ステップ650において、これらのアドレスは、送信元アドレス及びポートとしてパケットに挿入され(即ち、代用される)、ステップ660において、書き換えられたパケットがネットワークで伝送される。処理はステップ695で終了する。
【0045】
このように、クライアントによって送信されたパケットはサーバへ転送されるので、サーバから見た送信元は、実際のクライアントのアドレス及びポートではなく、マスカレードアドレス及びポートである。更に、本発明のFAMの範囲内のアドレス変換技術は、これらの外向きパケットを効率的に処理することが可能である。
【0046】
図7には、本発明の好ましい一実施例により、サーバから送信されたパケットがクライアントへ配信される状況を説明するフローチャートが示されている。これは、図3のステップ360a、360b及び360cに対応する。ステップ700において、サーバはIPパケットを送信する。このIPパケットの送信元アドレス及びポートはサーバを指定し、宛先アドレス及びポートはコネクションに関連付けられたマスカレードアドレス及びポートを指定する。サーバはマスカレードアドレス及びポートを使用する。その理由は、クライアントによって生成された全てのパケットがこのアドレス及びポートを使用するためFAMによって書き換えられ(図6を参照せよ)、サーバはこのアドレス及びポートが通信相手のクライアントのアドレス及びポートであると確信するからである。
【0047】
ステップ705において、このパケットは、対応したコネクションのためのHAMによって受信され、HAMは送信元(サーバ)アドレス及びポートと宛先(マスカレード)アドレス及びポートをパケットから抽出する。図9を参照して後述されるように、HAMは、マスカレードアドレス及びポートを生成する役割を担い、その結果として、マスカレードアドレス及びポートへ送信されたパケットは、通常のIPルーティング手段を介してHAMに到達する。ステップ710において、HAMは、パケットからのサーバアドレス及びポートとマスカレードアドレス及びポートに適合したHAM変換レコードを見つけるため(図5を参照せよ)、HAM変換テーブルを検索する。判定ステップ715において、HAM変換レコードが発見されたかどうかが判定される。判定ステップ715に対する回答が否定的である場合、HAMは、サーバとクライアントの間のコネクションに関連付けられないので、ステップ785において、パケットは廃棄される。処理は、ステップ795で終了する。
【0048】
好ましい実施例のフローチャートでは、種々のエラー状況において単にパケットを廃棄することが記述され、これらのエラー状況は、典型的に、クライアントが活発に移動し、テーブルがそのクライアントの新しいロケーションを反映させるために未だ更新されていない状況に対応する。クライアント側のプロトコルのスタックにおける上位レイヤは、典型的に、廃棄されたパケットを検出し、従来技術による改善策を講じる。一実施形態は、これらの廃棄されたパケットに関する情報を記録するように選定する。特に、ステップ715からステップ785への移行が行われたとき、情報を記録することが望ましい。なぜならば、このような移行は、典型的に起こるべきではなく、サービス拒否攻撃を意味するからである。或いは、このような移行は、クライアントが故障したこと、HAM若しくは最近のFAMに通知しないでドメインを離れたこと、又は、UDPベースのHAM変換レコードの削除を誘発するタイムアウトが発生したことだけを理由として生じる。
【0049】
更に図7を参照するに、判定ステップ715での判定結果が肯定的である場合、HAMはこのマスカレードクライアントについての知識があり、判定ステップ720において、獲得されたHAM変換レコードが空(ニル)ではないFAMアドレス及びポートを収容するかどうかが判定される。HAMがマスカレードクライアントを現時点で取り扱っているFAMがどれであるかについて知識を持たないとき、HAM変換レコードのFAM情報は空である。判定ステップ720に対する回答が否定的である場合(即ち、FAMの割当がなされていない場合)、ステップ725において、FAMアドレス及びポートが、図12に示されたアルゴリズムに従ってルーティング調整器から取得される。FAMアドレス及びポートは、図10のフローに従って(ステップ1010〜1050を参照せよ)、初期的にFAMによってルーティング調整器へ供給される。判定ステップ730において、FAMアドレス及びポートがこの処理を通じて取得されたかどうかが判定される。判定ステップ730における結果が否定的である場合、クライアントは、現時点で何れのFAMとも関連付けられていない。制御はステップ785へ進み、パケットは廃棄され、処理はステップ795で終了する。
【0050】
代替的な実施例では、HAMは、ステップ725に示されるように、ルーティング調整器へ問い合わせを実行しない方を選択する。HAMが直近の期間内に同じコネクション上で類似した問い合わせを実行した場合(ここで、この期間は、固定した設定値でもよく、或いは、コネクションがFAMと関連付けられること無く継続している長さに基づいて動的に判定される)、この場合、HAMはステップ730へ進み、ルーティング調整器から応答を受信していないかのように動作する。この代替的な実施例は高頻度のトラヒックが現在受信範囲外にあるクライアント用のコネクションに到達するとき、HAM及びルーティング調整器の負荷を軽減する。
【0051】
更に図7を参照するに、判定ステップ720への回答が肯定的である場合(即ち、HAM変換レコードに空ではないFAMエントリーが存在する場合)、又は、判定ステップ730への回答が肯定的である場合(即ち、FAM情報がルーティング調整器から獲得された場合)、HAMは、有効なHAM変換レコード、及び、空ではないFAMアドレス及びポートを見つける。FAMがステップ725においてルーティング調整器を介して識別されたとき、図12の処理は、後で使用するこのFAM情報を記憶するため、HAM変換レコードを変更する(ステップ1250を参照せよ)。ステップ735において、HAMは、HAM変換レコードで検出されたFAMアドレス及びポートと一致するように宛先アドレスを書き換える。ステップ740において、書き換えられたパケットは、FAMに向けてネットワーク上を伝送される。ステップ745において、FAMはパケットを受信し、サーバ(送信元)アドレス及びポートと、FAM(宛先)アドレス及びポートをパケットから抽出する。ステップ750で、FAMは、ステップ745で抽出されたサーバアドレス及びポートとFAMアドレス及びポートに適合するFAM変換レコードを見つけるため、FAM変換テーブルを検索する。判定ステップ755において、適合したFAM変換レコードが発見されたかどうかを判定する。判定ステップ755に対する回答が否定的である場合、クライアントはこのFAMに関連付けられることがなくなり、パケットは廃棄され(ステップ790)、処理はステップ795で終了する。
【0052】
図7に関して説明を続けると、判定ステップ755に対する回答が肯定的である場合、クライアントは、このFAMを使用し続け、ステップ760で、FAMは、FAM変換レコードで見つけられたクライアントアドレス及びポートと一致するようにパケットの宛先アドレスを書き換える。ステップ765において、書き換えられたパケットは、宛先がクライアントである外向きリンク上を伝送される。この処理はステップ790で終了する。
【0053】
このようにして、サーバは、マスカレードアドレスへ向けてトラヒックを送り、HAM及びFAMは、協働して、パケットをクライアントの現在ロケーションへルーティングする。クライアントが移動し、現在のコネクションのため先に使用されたFAMとは異なる別のFAMによって取り扱われるようになった場合、新しいFAMは、(ルーティング調整器と協働する)HAMによって自動的かつ効率的に見つけられる。更に、NAT技術を適用することによって、HAM及びFAMの性能は最大限に活用され、従来技術のモバイルホスト解決方式の場合に持ち込まれた付加的なパケット損、フラグメント化、及び、エラー状態は、除去される。
【0054】
コネクションが確立されたとき(例えば、TCPコネクション又はUDPストリームの最初のパケットがクライアントとサーバの間で送信されたとき)、セットアップ処理が実行され、HAMが割当てられ、初期FAMが指定される。尚、UDPコネクションは、クライアントアドレス及びポートとサーバアドレス及びポートの間で伝送されるUDPパケットのシーケンスとして定義される。UDPはコネクションレス型であるため、このコネクションは間接的であり、好ましい実施例によれば、あるタイムスロット期間に亘ってトラヒックがコネクション上を送信されなくなると、コネクションは終了する。ユーザがネットワークを動いて回るとき、コネクションは、ユーザの近くに配置された別のFAMに関連付けられる必要がある。このローミングは、FAMが指定されることを要求し、(図7を参照した上述のNATサービスを提供するため)FAMがコネクション用のマスカレードアドレス及びポートについての知識をもつことを要求し、FAMがコネクション用のアドレス及びポートを割当てることを要求し、コネクションのためのFAMのアドレスと割当てられたポートに関してHAMに通知されることを要求する。HAM変換レコード及びFAM変換レコードの内容を確定し保持するこれらの変更は、ルーティング調整器を用いて調整される。コネクションセットアップ及びローミングに係る機能は、以下で図8乃至13を参照して説明する。
【0055】
ルーティング調整器はコネクションテーブルを保持し、コネクションテーブルには、アクティブなTCP又はUDPコネクション毎に1個のコネクションテーブルレコードが収容される。図8は、本発明の好ましい一実施例によるコネクションテーブルレコードのフォーマットの一例の説明図である。コネクションテーブルレコードは、クライアントとサーバのアドレス及びポート、マスカレードアドレス及びポート、並びに、HAMの識別情報(例えば、ネットワーク・アドレス)を収容する。更に、各コネクションテーブルレコードは、0個若しくは1個以上のFAMレコードを含み、各FAMレコードは、FAM識別情報(例えば、ネットワーク・アドレス)と、FAMによってコネクションに割当てられたアドアドレス及びポートを含む。コネクションテーブルレコードは、多数のFAMレコードを含む場合もあり、FAMレコードは、クライアントがそのコネクションでパケットを送信するため現在使用しているFAM毎に1個ずつ設けられる。これに対して、既に説明した状況では、2個以上のFAMが特定のコネクションに付与されている。
【0056】
図9には、本発明の好ましい一実施例により、パケットがクライアントによってサーバへ最初に送信されたときにコネクションが確立される状況を説明するフローチャートが示されている。図6に示されている通り、この処理は、FAMがクライアントによって送信されたパケットを受信し、FAMが、固有のFAM変換テーブル内でFAM変換レコードを見つけられないか、又は、ルーティング調整器に連絡を取ることによってもFAM変換レコードを見つけられない場合に行われる。ステップ900では、この新しいコネクションのためのHAMとしての機能を果たすホストが判定される。好ましい実施例では、HAMの役割は、最初に外向きパケットを受信し、処理したホスト(即ち、FAM)によって行われる。しかし、代替的な実施例では、HAMの役割は、ルーティング調整器若しくはその他の固定ホストによって行われる。或いは、別のホスト(例えば、ユーザの通常のロケーションの近傍、ユーザのオフィス、又は、ユーザの専用管理ドメインに設置されている可能性が高いホスト)を選択してもよく、その場合、動的な要因が使用される。このような動的な要因の値は、従来技術を使用して見つけられる。例えば、MACアドレスは、蓄積されたテーブル内でユーザと関連付けられるか、又は、ユーザは、認証若しくはリンク確立処理中に送信された情報から識別される。ユーザの識別情報は、動的な選択処理の際に使用することができるエントリーを収容したコンフィギュレーションテーブル若しくは優先テーブルを調べるために使用される。コネクションを最初に承諾したFAM以外のHAMを指定するための判定は、例えば、アクセスポイント上でのCPU負荷若しくはネットワーク負荷を軽減するために、管理ポリシーに応じて行われる。或いは、アクセスポイントが故障し、若しくは、スイッチがオフにされた場合に状態が失われる危険性を緩和するため、永続的なコネクションを中央サーバへ移す方が好都合である。このHAM割当ポリシーは、コネクションが使用しているネットワークポートに基づいて行われる。例えば、TELNETポート(ポート23)へのコネクションは、ルーティング調整器へ自動的に渡される。
【0057】
判定ステップ910において、指定されたHAMホストがローカルホストであるかどうかが判定される。判定ステップ910における回答が否定的である場合、ステップ980で、指定されたHAMホストは、コネクションのためのクライアントとサーバのアドレス及びポートが通知される。HAMホストは、この通知の受信後、図9のアルゴリズムを実行する。HAMホストへの通知後、処理は、ステップ990で終了する。このリダイレクトHAMは、クライアントのFAMになり、次に、通常の方法で(図10のアルゴリズムに従って)ルーティング調整器からクライアントのためのマスカレード情報の知識を得る。
【0058】
尚、リダイレクトされたホストによる図9の後続の呼び出しは、異なるHAMホストの選択を可能にさせる。一実施態様における選択ポリシーは、無限ループに入ることなく終了することが保証されるべきである。本発明のハンドオフポリシーは大域的に管理されているので、無限ループは出現しない。
【0059】
判定ステップ910における回答が肯定的である場合、処理はステップ920へ続き、ローカルHAMホストは、クライアントとサーバの間でのコネクションのためのマスカレードアドレス及びポートを選択する。マスカレードアドレスは、従来技術の既存IPルーティング技術に従って、パケットをこのローカルHAMホストへ運ぶアドレスでなければならない。ポートは、他のアクティブなコネクションと共有すべきでない。好ましい実施例によれば、先行のコネクションが終了した後にある期間が経過するまで、ポートは新しいコネクションによって再使用されない。これにより、先行のコネクションからの旧いパケットが新しいコネクションに偶然にルーティングされる可能性が減少する。好ましくは、マスカレードアドレスは、HAM自体の公開アドレスであり、唯一性(独自性)が独自ポート番号の選択によって付与されるべきである.或いは、HAMは多数の公開アドレスを保有する場合があり、HAMは全ての公開アドレスからポート番号を割当てる。この代替的な解決手法は、付加的な拡張性を付与する。より広範囲のアドレスとポートの組合せが割当のため利用可能であるため、より多くのコネクションをサポートすることができる。更に、HAMが多重処理ホストである場合、多重マスカレードアドレスの使用によって、異なるプロセッサを各アドレスに割当てることが可能になる。
【0060】
ステップ930において、HAMは、新しいコネクションに関する知識をルーティング調整器に通知する(クライアントアドレス及びポート、サーバアドレス及びポート、マスカレードアドレス及びポート、並びに、HAM識別情報を与える)。ステップ935において、この通知の受信後に、ルーティング調整器は、コネクションに対するコネクションテーブルレコードを確立する。ここで、このコネクションテーブルレコードには、最初、FAMレコードが収容されていない。ステップ940において、HAMは、コネクションに対してHAM変換レコードを作成し、レコードをローカルHAM変換テーブルに挿入する。上述の通り、好ましい実施例のHAM変換テーブルレコードは、送信元のクライアントのアドレス及びポートを収容しないが、代替的な実施例では、この情報も保持される。FAMアドレス及びポートは、この新たに作成されたレコード内で空(ニル)に設定される。制御はステップ950へ渡され、ローカルHAMホストは、それ自体で、(図10のロジックに従って)コネクションのためのFAMとして確立する。
【0061】
図10を参照するに、アクセスポイント(又は、ルータ若しくはブリッジ)が、FAM変換レコードが存在しないコネクション上でクライアントからパケットを最初に受信するときに行われるステップの好ましい一実施例を説明するフローチャートが示されている。このような状況が出現するのは、例えば、クライアントが動き回り、クライアントが、既に確立され、異なるFAMを使用していたコネクション上でパケットを送信するときである。図6に示されるように、FAMは、FAM変換レコードを作成し、次に、パケットを転送する際にこのFAM変換テーブルを使用するため、マスカレードアドレス及びポートに関する情報を受信しなければならない。コネクションは既に確立されているので、HAMは、マスカレードアドレス及びポートと共に、既に割当てられている。この状況は、初期FAMを設定するため、新しいコネクションの場合にも生ずる(この場合、図10は図9から呼び出される)。
【0062】
ステップ1000において、FAMは、クライアントとサーバの間にこのコネクションのためのFAMアドレス及びポート番号を割当てる。割当てられたアドレスは、可能性のある任意のHAMからFAMホストへネットワークでルーティング可能でなければならない。FAMアドレスとポートの組合せは、FAMホストがFAM若しくはHAMとしての機能を果たす他のコネクションに、割当済みであってはならない。好ましくは、FAMアドレスは、FAM自体のアドレスであり、独自ポート番号の選択によって唯一性(独自性)が与えられるべきである。或いは、FAMは、多数のアドレスを保有し、全てのアドレスからポート番号を割当てる。この代替的な手法は、付加的な拡張性を提供する。より広範囲のアドレスとポートの組合せが割当のため利用可能であるので、より多くのコネクションをサポートすることができる。更に、FAMが多重処理ホストである場合、多数のFAMアドレスの使用によって、異なるプロセッサを各アドレスに割当てることが可能になる。
【0063】
生成されたFAMアドレスとポートの組合せは、ルーティング調整器へ通知され、次に、HAMに通知される(図7を参照のこと)。FAMアドレス及びポートは、コネクションに固有であるため、FAMは、クライアントを宛先とするパケットに適用されるべき正しいFAM変換レコードを識別するため、すなわち、使用すべきクライアントアドレス及びポートを識別するため、その組合せを使用することができる。好ましい実施例において、サーバのアドレス及びポートと、FAMのアドレス及びポートの両方は、偽のパケットがクライアントへ転送されないことを保証するため、FAMがそのFAM変換レコードにアクセスするときにチェックされる(クライアントは、典型的に、このようなパケットを受信した場合には、このようなパケットを単に廃棄する)。しかし、FAMアドレスが固定であることがわかっている場合、代替的な一実施例では、専用のFAM変換テーブル内でのFAMアドレスの保持及び/又は比較が省かれる。
【0064】
ステップ1010において、FAMは、現在のFAMになるための要求をルーティング調整器へ送信する。この要求には、クライアント側アドレス及びポートと、サーバ側アドレス及びポートと、FAM識別情報と、FAM側アドレス及びポートとが含まれる。クライアント側アドレス及びポートと、サーバ側アドレス及びポートは、図6のステップ610において、クライアントによって送信されたパケットからFAMによって抽出されている。ステップ1020において、ルーティング調整器は、FAM要求を受信し、そのパラメータを抽出する。ルーティング調整器は、次に、コネクションテーブルから、クライアント側アドレス及びポートとサーバ側アドレス及びポートがこのコネクションのためにFAMによって与えられたクライアント側アドレス及びポートとサーバ側アドレス及びポートと一致するコネクションテーブルレコードを検索する(ステップ1030)。判定ステップ1040において、適合したコネクションテーブルレコードが発見されたかどうかを判定する。
【0065】
図10に関する説明を続けると、判定ステップ1040に対する回答が否定的である場合、本発明によれば、このコネクションは、このクライアントとサーバの間の既存コネクションではないので、要求が拒絶された旨の通知がFAMへ返信される(ステップ1070)。ステップ1080において、FAMは、この要求中で与えられたFAM側アドレス及びポートの割当を取り消し、処理はステップ1090で終了する。
【0066】
更に図10を参照するに、判定ステップ1040の判定結果が肯定的である場合、ルーティング調整器は、新しいFAMレコードをコネクションテーブルレコードに追加する(ステップ1050)。このFAMレコードは、ステップ1010で送信されたFAM要求に与えられたFAM識別情報とFAM側アドレス及びポートとを含む。一つ以上のFAMレコードがコネクションテーブルレコードに既に存在する場合、ルーティング調整器は、本発明が実施される特定のシステムに最も適合した順序で、この新しいFAMレコードを挿入する。例えば、新しいFAMレコードは、FIFO(先入れ先出し)順に収容され、或いは、クライアントが近い将来に使用する可能性が最も高いFAMの予測のようなポリシーに基づく順序で収容される(この情報は、本発明の一部を形成しない履歴解析技術を使用して判定してもよい。)。
【0067】
ステップ1060において、ルーティング調整器は、FAMへ返信し、HAM識別情報(例えば、そのネットワーク・アドレス)と、このコネクションに関連付けられたマスカレードアドレス及びポートと、を供給する。ステップ1065において、FAMは、ルーティング調整器の応答を受信し、ルーティング調整器によって与えられたFAM変換レコードを作成する。この処理は、次に、ステップ1090で終了する。HAMは、クライアントのマスカレードアドレス及びポートを宛先とするパケットの受信後に、図7のロジックに従って、この新しいFAMについての知識を動的に取得し、そのパケットを適当なFAMへ自動的に転送する。
【0068】
図9及び10には、夫々、HAM割当処理の特定の実施例、及び、FAM変換レコード作成処理の特定の実施例が示されているが、代替的な実施例は、開示された本発明の概念を逸脱すること無く、これらの処理を異なる態様で実現する。例えば、図10の処理は、FAMとルーティング調整器の間の2段階の要求として再実現可能である。第1の要求において、FAMは、コネクションが存在するかどうか(即ち、HAMがルーティング調整器にコネクションに関して通知済みであるかどうか)の判定をルーティング調整器に要求する。第2の要求において、FAMは、コネクションに割当てるべきFAM側アドレス及びポートを供与する。このように、FAMは、コネクションテーブルレコードの存在が確実になるまでは、FAM側アドレス及びポートを割当てる必要が無い(これにより、割当取消ステップ1080を取り除くことができる。)。
【0069】
図6(ステップ670)に示されるように、図10の処理は、コネクションが既に存在するかどうかを判定するため、最初にFAMによって実行される(もし存在するならば、そのためのFAM変換レコードを設定する。)。コネクションが既設ではない場合(即ち、ステップ675における判定の結果が否定的である場合)、図9の処理は、HAMを確定(及び、新しいコネクションテーブルレコードを作成)するため実行される。代替的な実施例は、図10の処理が図9の処理の直前に実行されるとき、シーケンスを最適化する。例えば、コネクションテーブルレコードがFAM要求に対して存在しないと判定された場合(即ち、ステップ1040における判定の結果が否定的である場合)、ルーティング調整器は、HAM確立要求としてFAM要求の処理を直ちに開始することができる。この場合、要求元FAMは、コネクションのためのHAMとして指定される。この代替的な処理は、図11に示されている。ステップ1100、1110、1120、1130、1140、1150、1160、1165及び1190のシーケンスは、図10の通常の処理パスと一致する。しかし、(ステップ1040に対応した)判定ステップ1140において、ルーティング調整器が、そのコネクションのためのコネクションテーブルレコードは存在しないと判定した場合、制御はステップ1170へ移る。ルーティング調整器は、このコネクションは新しいコネクションであるため、FAMになることを要求されたホストは、実際にはこのコネクションのためのHAMとして指定されるべきである、と判定する。与えられたFAM側アドレス及びポートは、そのコネクションのためのマスカレードアドレス及びポートになり、コネクションテーブルレコードが作成される。ステップ1175において、要求元FAMは、コネクションのため指定されたHAMになったことを通知される。ステップ1180において、要求元FAM(現在のHAM)は、コネクションのためのHAM変換レコードを作成する。この処理は、新たに登録されたコネクションのためのローカルFAM変換レコードを確立するために、ステップ1185からステップ1100へ戻る。
【0070】
本発明の更に別の代替的な実施例において、図10の処理は、FAMとHAMの間の直接的な通信として再実現される。これを実現するため、ルーティング調整器は、(図9の処理に従って)新しいコネクションテーブルレコードが作成されたときには、HAMの識別情報を放送しなければならない。この手法は、付加的なネットワーク帯域消費とHAM上の付加的な負荷を犠牲にして、ルーティング調整器上の処理負荷を軽減する。
【0071】
図12を参照するに、HAMがコネクションと関連付けられた現在のFAM側アドレス及びポートに関する情報を検索する状況を説明するフローチャートが示されている。サーバからパケットを受信したHAMは、このパケットの転送先のFAMを知る必要がある。この処理は、HAMがサーバ側アドレス及びポート番号、並びに、マスカレードアドレス及びポート番号に一致するFAM変換レコードを保有するとき、図7のステップ725から呼び出されるが、そのレコード内のFAM側アドレス及びポートは、ニル(空)値に設定される。ステップ1200において、HAMは、ルーティング調整器に要求を発行する。この要求には、マスカレードアドレス及びポートが含まれる。或いは、HAM変換レコードがクライアント側アドレス及びポートを含む場合、HAMは、最初に、内向きパケット用のクライアント側アドレス及びポートを決定し、その情報とサーバ側アドレス及びポートを、マスカレードアドレス及びポートの代わりに、或いは、マスカレードアドレス及びポートに加えて供給することができる。ステップ1210において、ルーティング調整器は、HAM要求を受信し、その要求からパラメータを抽出する。ルーティング調整器は、次に、コネクションテーブルから、マスカレードアドレス及びポート(この情報が得られた場合には、サーバ側アドレス及びポート、並びに、クライアント側アドレス及びポート)がHAMによって提供されたマスカレードアドレス及びポートに一致するコネクションテーブルレコードを検索する(ステップ1220)。好ましくは、ルーティング調整器は、コネクションテーブルに索引を付けるための鍵として、マスカレードアドレス及びポートを使用するが、サーバ情報及びクライアント情報を使用しても構わない。マスカレード情報だけを使用して一致したレコードを見つけたとき、ルーティング調整器は、好ましくは、サーバ側アドレス及びポートを抽出された値に対して確認する。不一致は、パケットの著しい遅延、返答攻撃、或いは、不正パケットのようなエラー状態を表す。
【0072】
判定ステップ1230で、一致したコネクションテーブルレコードが発見されたかどうかが判定される。
【0073】
図12に関して更に説明すると、判定ステップ1230に対する回答が否定的である場合、エラーが発生しているので、ステップ1280において、エラーメッセージがHAMへ返信される。ステップ1285において、HAMはエラー応答を受信する。この処理はステップ1295で終了する。同図には示されていないが、HAMは、オプションとして、このエラーを処理するため様々な操作を実行できることが分かる。例えば、HAMは、コネクションに対応するHAM変換レコードを削除し、図9に示された手続に従ってHAMとして再確立する場合がある。
【0074】
図12に関して説明を続けると、判定ステップ1230への回答が肯定的である場合(即ち、ルーティング調整器がこのコネクションについて知識を有する場合)、ステップ1240において、ルーティング調整器は、HAMに対する応答メッセージを生成する。この応答メッセージは、コネクションテーブルレコードに収納されているFAMレコードのリストを格納する。ステップ1250において、HAMは、応答メッセージを受信し、受信したFAMアドレス及びポート(もし存在するならば)を反映させるため、HAM変換レコードを更新する。処理は、ステップ1295で終了する。
【0075】
好ましくは、ルーティング調整器がステップ1220の処理中に二つ以上のFAMレコードを検出した場合、このような全てのエントリーは、ステップ1240でHAMへ通知される。HAMは、そのHAM変換レコードを更新するため、(例えば、インプリメンテーション固有のポリシーに基づいて)これらのエントリーのうちの一つ若しくは全部を使用する。或いは、ルーティング調整器は、インプリメンテーション固有ポリシーのような選択アルゴリズムを使用して、見つけられたFAMレコードの一部の部分集合を選択し、ステップ1240でこの部分集合を送信する。この代替的な技術を使用するとき、ルーティング調整器は、HAMに対して公開されているFAMを選択的に制御することが可能である。
【0076】
好ましい実施例において、HAMは、必要に応じて、漸進的に(即ち、図7のステップ720から図12の技術を呼び出すことによって)FAMアドレス及びポート割当に関する知識を取得する。しかし、本発明の代替的な実施例において、ルーティング調整器は、FAM情報を適切なHAMへ直接的に送信することを開始(プッシュ)する。例えば、図10に示された処理の終了後(ここで、新しいFAMレコードは、ステップ1050で、図9のステップ930においてHAMからの通知の際に最初に作成されたコネクションテーブルレコードに追加され)、ルーティング調整器は、新しいFAMに関する情報をHAMへ直ちに通知する場合がある。本発明の他の代替的な実施例の場合、ルーティング調整器は、FAM更新情報を一時的に記憶し、多数のFAM更新情報を一つの通知の中に収容する。この通知は、ユニキャスト、マルチキャスト、或いは、ブロードキャストされる。本発明の更に別の実施例の場合、HAMが特定のコネクションについてのFAM情報を要求するとき、ルーティング調整器は、応答として、HAMが管理している他のコネクションに対して発生した他の関連したFAM更新情報についての情報を供給するように選択する。
【0077】
クライアントがFAMと通信しなくなった場合、そのFAMは、HAMによって更なるパケットが自分宛にルーティングされないことを保証する必要がある。さもなければ、これらのパケットは、確実に失われる(図7のステップ790を参照のこと。)。図13を参照するに、クライアントがFAMとの通信を終了するときに行われるステップの好ましい一実施例が示されている。このコネクション終了は明示的である(例えば、この通信リンクレベルで送信された「終了」メッセージ、「シャットダウン」メッセージ、又は、「切断」メッセージのような形式によって引き起こされる。)。ステップ1300において、FAMは、ルーティング調整器へ通知を送信する。このメッセージは、クライアントアドレス及びFAM識別情報を含む。ステップ1310において、ルーティング調整器は、通知を受信し、収容されているパラメータを抽出する。判定ステップ1320において、FAM通知に与えられたクライアントアドレスと一致するクライアントアドレスをもち、FAM通知に与えられたFAM識別子と一致するFAM識別子を有するFAMレコードと関連付けられているコネクションテーブルレコードが存在するかどうかが判定される。この判定ステップ1320の判定結果が否定的である場合、ルーティング調整器は、クライアントを見つけ出すための要求のためこのFAMを使用することがなく、処理はステップ1390で終了する。
【0078】
図13に関して説明を続けると、判定ステップ1320への回答が肯定的である場合、ステップ1330において、ルーティング調整器は、コネクションテーブルレコードからFAMレコードを削除する(このFAMレコードのFAM識別子は、FAM通知内のFAM識別子と一致する。)。ステップ1340において、ルーティング調整器は、好ましくは、コネクションテーブルレコードに関連付けられたHAMへ通知を送信する。この通知は、マスカレードアドレス及びポートと、FAMアドレス及びポートを含む。HAM変換レコードがクライアントアドレス及びポートを保持する他の実施例では、この通知は、マスカレード情報の代わりに、或いは、マスカレード情報に加えて、サーバアドレス及びポートとクライアントアドレス及びポートを含む。ステップ1350において、HAMは、この通知を受信し、パラメータを抽出する。HAMは、通知に含まれるマスカレードアドレス及びポートに対応する(もし与えられているならば、サーバアドレス及びポートとクライアントアドレス及びポートにも対応する)HAM変換レコードを検索する(ステップ1360)。判定ステップ1370において、HAMが、与えられたFAMアドレス及びポートを収容した一致するHAM変換レコードを発見したかどうかが判定される。判定ステップ1370に対する回答が肯定的である場合、ステップ1380において、与えられたFAMアドレス及びポートが獲得されたHAM変換レコードから削除される(即ち、フィールドは空にセットされる。)。次に、制御は判定ステップ1320へ戻る。判定ステップ1370に対する回答が否定的である場合、HAM変換テーブルに対する更新情報は不要であり、制御はステップ1320へ戻る。尚、代替的な実施例では、HAMは、指定されたコネクションに対してHAM変換レコードが発見されなかった場合、付加的な動作を行うことがある。例えば、HAMは、ルーティング調整器が対応したコネクションテーブルレコードをそのコネクションテーブルから削除することを要求する。このような最適化の実現法は、当業者にとって明らかである。
【0079】
このようにして、クライアントがFAMとの接続を断つとき、ルーティング調整器は、クライアント側コネクションがオープンであるために、HAMがFAMへパケットを転送し続けないことを保証する。
【0080】
HAMがコネクションに割当てられた後、そのHAMは、クライアントが外向きパケットを送信し、内向きパケットを受信するために現在使用中のFAMとは無関係に、そのコネクションに対する内向きパケットをルーティングし続ける。しかし、ある種の状況では、HAMの役割を別のホスト(例えば、別のアクセスポイント又はルーティング調整器)へ移すことが必要になる。例えば、HAMが故障するか、若しくは、取り外されたとき、別のホストは、このHAMによって前に取り扱われていたコネクションの責任を担う必要がある。この移譲は、コネクションの性質が変化し、代替的なHAMによって供給することだけが可能である付加的なCPU又はネットワーク帯域リソースを要求する場合にも適切である。この移譲を実現するため、新しいHAMは、HAMとしての役割を担うことが想定されるコネクション毎に以下のステップを実行する。
【0081】
第一に、新しいHAMは、未だマスカレードIPアドレスを引き継いでいないならば、マスカレードIPアドレスを引き継ぐ。このIPアドレスの引き継ぎは、マスカレードIPアドレスへ送信されたパケットが新しいHAMホストへルーティングされることを保証する。このIPアドレス引き継ぎ処理は、従来技術において十分に確立されている。新しいHAMが旧いHAMと同じLANに存在する場合、IPアドレスが新しいHAMのLANアドレスに関連付けられるように新しいARP更新情報を送信するだけでよい。新しいHAMが異なるLANに存在する場合、ルーティングテーブルを更新する必要がある。
【0082】
第二に、新しいHAMは、コネクションに対するHAM変換レコードを確立する。これは、移譲されたコネクションに対応するコネクションテーブルレコードから必要な情報を取得することによって行われる。FAMレコードがコネクションテーブルレコードと関連付けられている場合、新しいHAM変換レコードはFAM情報を収容する必要がある。図9及び10のアルゴリズムは、ルーティング調整器から要求された情報を獲得するためオプションとして使用される。
【0083】
最後に第三に、新しいHAMは、パケットを現在のFAMへ転送する方式を決定するため、HAM変換レコードを使用することにより、コネクションのための新しいHAMとして動作し始める。
【0084】
図6及び7と図9乃至13に記載されたフローチャートは、直列的な動作のストリームとして示されているが、代替的な実施例では、殆どのステップは、並列に行われる。例えば、メッセージ送信は、非同期通信を使用して行われるので、送信元は、応答を待ち受けることなく、直ちに処理を継続することが可能である。このことは、特に、通知情報が送信されるときに当てはまる。
【0085】
ここまでは、本発明は、ネットワークトラヒックを送受する特定のユーザを識別するための手段を設けることなく、かつ、特定のクライアントとの間に生成されたトラヒックをフィルタリングする手段を設けることなく説明した。次に、図14を参照して、本発明を実施する管理されたネットワーク環境を説明する。クライアント認証モジュール1405はクライアント1400に統合され、サーバ認証モジュール1425はアクセスポイント1420に統合される。クライアントがアクセスポイントと最初に通信するとき(かつ、有効セッション鍵が二つのリンクエンドポイント間に予め存在しない場合)、クライアント認証モジュールは、ユーザの認証資格(例えば、ユーザ名及びパスワード)を付与するため、サーバ認証モジュールと通信する(ステップ1415)。ユーザが(従来技術を使用する認証サーバ1450によって)認証されたとき(ステップ1445)、サーバ認証モジュール及びクライアント認証モジュールは、リンクレベルの暗号化を可能にするためセッション鍵を取り決める。好ましい実施例において、この鍵は、サーバ認証モジュールによって、或いは、認証サーバによって、クライアントへ与えられる。しかし、代替的な実施例では、アクセスポイントは、マスター鍵(例えば、WEP鍵)をクライアントへ配布し、クライアント及びアクセスポイントは、次に、標準的な方法で、マスター鍵を使用してセッション鍵を取り決める。このようにして、クライアントは、ユーザ名及びパスワードに従って認証され、この認証は、クライアント1410及びアクセスポイントハードウェア1430に組み込まれた暗号化機能を有効に活かすリンクレベルの暗号化の準備を可能にさせる。
【0086】
認証が行われた後、サーバ認証モジュールは、クライアントのMACアドレス、セッション鍵、及び、ユーザ名を、セキュア・チャネルを介して、ルーティング調整器1460へ供給する(ステップ1455)。ルーティング調整器は、これらをルックアップテーブルに格納する。このルックアップテーブルは、セッション鍵を、クライアントが通信を開始する任意の新しいアクセスポイントへ提供するため使用され、かつ、ルックアップテーブルは、フィルタリングモジュール1435が特定のクライアント装置のユーザを識別し、次に、そのユーザに適用する適当なフィルタリングポリシーを決定できるようにするため使用される。
【0087】
更に図14を参照すると、フィルタリングモジュール1435は、アクセスポイント1420に組み込まれ、クライアント1400との間の内向きトラヒックと外向きトラヒックの全てを受信する。これまでに知られていないMACアドレスを含むパケットがこのフィルタリングモジュールに到達したとき、フィルタリングモジュールは、ユーザの識別情報を決定し、そのユーザ用のフィルタリングポリシーのリストを獲得するため、ルーティング調整器へ要求を発行する。これらのポリシーは、内向きトラヒック及び外向きトラヒックを適切に遮断するため適用される。この技術を使用して、本発明は、アクセス制御およびパケットフィルタリングポリシーを簡単かつ効率的に実現することができる。
【0088】
図15を参照するに、本発明の好ましい一実施例に従って、安全な管理されたリンクを確立するため実行されるステップを説明するフローチャートが示されている。ステップ1500において、クライアントが特定のアクセスポイントとの通信用の有効なリンクレベルの鍵を保有しないことが判定される。この判定は、クライアントが現時点で鍵を保有しない場合、或いは、アクセスポイントが現在の鍵は無効であることをクライアントへ報せた場合になされる。鍵を拒絶する前に、アクセスポイントは、オプションとして、クライアントMACアドレスに対して現在有効なセッション鍵を判定するため、ルーティング調整器と通信してもよい。
【0089】
ステップ1510において、クライアント認証モジュールは、ユーザ資格をサーバ認証モジュールへ供給するため呼び出される。サーバ認証モジュールは、これらの資格を受信し(ステップ1520)、認証サーバへ供給する。ステップ1530において、サーバ認証モジュールは、認証サーバから要求を受信する。ステップ1540において、認証サーバの応答が肯定的であったかどうかが判定される。
【0090】
判定ステップ1540における結果が否定的である場合、ステップ1590において、サーバ認証モジュールが認証を拒絶し、処理は、リンク鍵を確定すること無く、ステップ1595で終了する。
【0091】
判定ステップ1540における結果が肯定的である場合、ステップ1550へ進み、サーバ認証モジュールは、クライアントからの認証要求を承認し、肯定的な応答をクライアント認証モジュールへ送信する。ステップ1560において、セッション鍵がクライアント認証モジュールとサーバ認証モジュールの間で取り決められる(鍵の値を取り決める処理が行われる。)。この処理は、次に、二つの並列パスに分かれる。一方のパスはクライアント側の動作に対応し、もう一方のパスはアクセスポイント側の動作に対応する。ステップ1570aにおいて、クライアント認証モジュールは、取り決められたセッション鍵をクライアント暗号化ハードウェアに供給し、次に、クライアント暗号化ハードウェアは、アクセスポイントを経由して送信されたパケットを暗号化及び復号化するためこのセッション鍵を使用する。クライアント側の処理は、ステップ1595で終了する。アクセスポイント側では、ステップ1570bにおいて、サーバ認証モジュールが取り決められたセッション鍵をサーバ暗号化ハードウェアに供給し、サーバ暗号化ハードウェアは、クライアントへ送信されたパケットを暗号化及び復号化するためこのセッション鍵を使用する。ステップ1580bにおいて、サーバ認証モジュールは、図14のステップ1455に関して先に説明したルックアップテーブルに記憶されるべきクライアントMACアドレス、セッション鍵、及び、ユーザ名をルーティング調整器に供給する。この処理はステップ1595で終了する。
【0092】
本発明の代替的な実施例において、システムは、TCP経由のコネクション及び(前述の)UDP経由のコネクションのような多種類のコネクションをサポートする。この場合、上述の殆どの伝送情報はプロトコル識別子を含む必要があり、テーブル検索は、アドレス及びポートの他にプロトコルIDを考慮する必要がある。このタイプのマルチプロトコルサポートを実現するためにフローチャートを変更する方式は、当業者に明らかであろう。
【0093】
本発明の代替的な実施例では、アドレスとポートの組合せをハッシュ若しくは符号化するように設計的に選択される。この符号化によって、情報のメモリサイズが減少し、様々なテーブルのサイズが縮小し、検索処理の性能が向上する。情報をハッシュ若しくは符号化するこのような方法は、従来技術において周知であり、本発明の状況の範囲内でのこれらの方法の用法、当業者にとって明白であろう。
【0094】
上述の通り、本発明は、従来技術のホスト移動性の解決手法よりも多数の点で優れている。本発明を用いる場合、ロケーション非依存型パケットルーティング及びセキュア・アクセスを実現するために、クライアント装置又はサーバ上のオペレーティングシステム、ネットワーク用ソフトウェア、或いは、アプリケーションに変更を加える必要がない。ローミング中の装置のためのパケットルーティングは、ネットワーク・アドレス変換技術を使用することによって非常に効率的に実現され、クライアント装置は、現在ロケーションとは無関係に、単一の装置アドレスだけを使用することができるようになる。間接的な、又は、トライアンギュラー式ルーティングは、短期間のコネクション、及び/又は、モバイル式ではないコネクションに対して回避される。一部のIPヘッダ情報はルーティングされたパケットに再書込みされ、IPチェックサムの再計算は、(例えば、従来技術において知られているように、変更されたフィールドのビット単位の比較だけを実行することによって)簡単かつ効率的に実行され得る。HAM割当は従来技術のように全体的に行われるのではなく、コネクション単位で実行されるので、負荷の平衡化は容易に行われる。HAMは、必要に応じて、性能を更に最適化するため動的に再割当される。コネクション・ハンドオフは、クライアント及びサーバには気付かれない。HAM機能をアクセスポイントに設置することによって分散型実施形態な実現され、HAM機能をルーティング調整器に設置することによって集中型実施形態が実現される。ユーザ識別情報は明示的に決定され、ユーザとの間で送受されるパケットをフィルタ処理する機能が得られる。ユーザ認証は、安全なリンクを確立するため、クライアント側及びアクセスポイント側で既存の暗号化ハードウェアの使用を持続する。
【0095】
関連した発明は、アクセスポイントの集合を含むシステムを規定する。IPアドレスは、これらのアクセスポイント及びコアサーバによって装置へ割当てられる。このシステムは、この時点で装置が使用しているアクセスポイントがどのアクセスポイントであるかとは無関係に、IPアドレスが固定されることを保証する技術と、ユーザ・ロケーション情報をアプリケーションに公表する技術と、を含む。本発明の実施形態は、オプションとして、関連した発明の実施形態と組み合わせることができ、本発明において規定されたルーティング調整器、及び、関連した発明におけるコアサーバは、動的アドレスを割当て、ユーザ・ロケーション追跡を取り扱う等のコアの役割を実行し、パケットを装置へルーティングするルーティング調整器の役割を実行する単一のエンティティ(実体)として実現される。
【0096】
上記の好ましい一実施例の説明は、本発明を例示することを目的とするものであり、本発明を制限するために構成されたものではない。好ましい一実施例を説明したが、当業者には明らかであるように、開示された本発明の新規性のある事項及び効果から著しく逸脱することなく、この好ましい実施例に多数の変更を加えることが可能である。したがって、このような全ての変更は、本発明の範囲に含まれることが意図されており、本発明は、特許請求の範囲に記載された事項とそれらの均等物だけによって制限される。
【図面の簡単な説明】
【図1】
従来技術で使用されるようなネットワーク・アドレス変換(NAT)テーブルのフォーマットの説明図である。
【図2】
従来技術のNATシステムにより使用される変換技術の説明図である。
【図3】
本発明の好ましい一実施例によるシステムにおける論理コンポーネントの説明図である。
【図4】
本発明の好ましい一実施例によるフォーリン・アドレス・マスカレード・テーブルのフォーマットの説明図である。
【図5】
本発明の好ましい一実施例によるホーム・アドレス・マスカレード・テーブルのフォーマットの説明図である。
【図6】
本発明の好ましい一実施例によるクライアントによって送信されたパケットが宛先サーバへ配布されるロジックを説明するフローチャートである。
【図7】
本発明の好ましい一実施例によるサーバによって送信されたパケットがクライアントへ配布されるロジックを説明するフローチャートである。
【図8】
本発明の好ましい一実施例によるルーティング調整器によって保持されるコネクションテーブルのフォーマットの説明図である。
【図9】
本発明の好ましい一実施例による新しいコネクションの確立を処理するロジックを説明するフローチャートである。
【図10】
本発明の好ましい一実施例により、パケットが既存コネクションを動き回る装置又は新しいコネクションを確立する装置に到達したときに呼び出されるロジックを説明するフローチャートである。
【図11】
図10のロジックの代わりに使用されるロジックを説明するフローチャートである。
【図12】
本発明の好ましい一実施例により、クライアント装置の変化するロケーションが動的に突き止められるロジックを説明するフローチャートである。
【図13】
本発明の好ましい一実施例により、クライアントへ向けられたパケットがこのクライアントと関連しなくなったルーティング装置へ送信されることを阻止するため使用されるロジックを説明するフローチャートである。
【図14】
本発明の好ましい一実施例による安全な管理された環境、及び、ユーザ認証を行うため使用されるフィルタリング技術を説明する図である。
【図15】
本発明の好ましい一実施例により安全なリンクが確立されるロジックを説明するフローチャートである。

Claims (50)

  1. 近距離無線ネットワーク環境においてロケーション非依存型パケットルーティングを可能にさせる方法であって、
    固定クライアントアドレスによって識別され、近距離無線ネットワーク環境で通信するための近距離無線通信機能を具備した1台以上の携帯型クライアント装置を準備する手順と、
    近距離無線ネットワーク環境を介してクライアント装置と通信するように装備された1台以上のアプリケーションサーバを準備する手順と、
    選択された1台のクライアント装置から選択された1台のアプリケーションサーバへパケットを送信する手順と、
    送信されたパケットをフォーリン・アドレス・マスカレード器(FAM)で受信する手順と、
    FAMによって、FAM変換レコードにアクセスする手順と、
    FAMによって、送信されたパケットのクライアントアドレス及びポートを、FAM変換レコードにアクセスする手順により獲得されたマスカレードアドレス及びポートで置き換えるため、ネットワーク・アドレス変換を適用し、修正パケットを作成する手順と、
    FAMによって、修正パケットを選択されたアプリケーションサーバへ転送する手順と、
    を有する方法。
  2. クライアントアドレスは固定クライアントアドレスであり、
    FAM変換レコードは、固定クライアントアドレス及びポートと、サーバアドレス及びポートと、マスカレードアドレス及びポートとを含む、
    請求項1記載の方法。
  3. 各コネクションテーブルレコードがクライアントアドレス及びポートと、サーバアドレス及びポートと、マスカレードアドレス及びポートとにより構成されている複数のコネクションテーブルレコードを維持するルーティング調整器を準備する手順を更に有する請求項2記載の方法。
  4. FAMによって、選択されたクライアント装置が暗号化のための有効なセッション鍵を保有しないことを判定する手順と、
    FAMによって、選択されたクライアント装置のユーザについてのユーザ資格を取得する手順と、
    FAMによって、認証サーバと連絡を取ることによってユーザ資格を認証する手順と、
    ユーザ資格を認証する手順が認証に成功して終了したとき、有効なセッション鍵を確立する手順と、
    選択されたクライアント装置及びFAMによって、選択されたクライアント装置とFAMの間のリンクを介して伝送されたパケットを暗号化するため確立されたセッション鍵を使用する手順と、
    を更に有する請求項1記載の方法。
  5. パケットを暗号化するため確立されたセッション鍵を使用する手順は、パケット暗号化を実行するため、選択されたクライアント装置及びFAMのハードウェア暗号化コンポーネントを使用する手順を含む、請求項4記載の方法。
  6. ルーティング調整器によって、クライアント・メディア・アクセス制御(MAC)アドレス、確立されたセッション鍵、及び、ユーザ識別情報を保持する手順を更に有する請求項5記載の方法。
  7. フィルタリングモジュールによって、特定のMACアドレスに関連したユーザ識別情報を取得するためルーティング調整器に問い合わせをする手順と、
    フィルタリングモジュールによって、入って来る内向きパケット及び出て行く外向きパケットをフィルタリングするためユーザ識別情報を使用する手順と、
    を更に有する請求項6記載の方法。
  8. 特定のクライアント装置が異なるFAMへ移動するとき、特定のクライアント装置の特定のMACアドレスに関連した確立されたセッション鍵を取得するため、ルーティング調整器に問い合わせをする手順と、
    取得されたセッション鍵を異なるFAMへ供給する手順と、
    を更に有する請求項6記載の方法。
  9. 近距離無線ネットワーク環境においてロケーション非依存型パケットルーティングを可能にさせる方法であって、
    固定クライアントアドレスによって識別され、近距離無線ネットワーク環境で通信するための近距離無線通信機能を具備した1台以上の携帯型クライアント装置を準備する手順と、
    近距離無線ネットワーク環境を介してクライアント装置と通信するように装備された1台以上のアプリケーションサーバを準備する手順と、
    選択された1台のアプリケーションサーバから選択された1台のクライアント装置へパケットを送信する手順と、
    送信されたパケットをホーム・アドレス・マスカレード器(HAM)で受信する手順と、
    HAMによって、HAM変換レコードにアクセスする手順と、
    HAMによって、送信されたパケットのマスカレードアドレス及びポートを、HAM変換レコードにアクセスする手順により獲得されたフォーリン・アドレス・マスカレード(FAM)アドレス及びポートで置き換えるため、ネットワーク・アドレス変換を適用し、第1の修正パケットを作成する手順と、
    HAMによって、第1の修正パケットを選択されたFAMへ転送する手順と、
    転送されたパケットをFAMで受信する手順と、
    FAMによって、FAM変換レコードにアクセスする手順と、
    FAMによって、転送されたパケットのFAMアドレス及びポートを、FAM変換レコードにアクセスする手順により獲得されたクライアントアドレス及びポートで置き換えるため、ネットワーク・アドレス変換を適用し、第2の修正パケットを作成する手順と、
    FAMによって、第2の修正パケットを選択されたクライアント装置へ転送する手順と、
    を有する方法。
  10. クライアントアドレスは固定クライアントアドレスであり、
    FAM変換レコードは、固定クライアントアドレス及びポートと、サーバアドレス及びポートと、マスカレードアドレス及びポートと、を含む、
    請求項9記載の方法。
  11. クライアントアドレスは固定クライアントアドレスであり、
    FAM変換レコードは、固定クライアントアドレス及びポートと、マスカレードアドレス及びポートと、FAMアドレス及びポートと、を含む、
    請求項9記載の方法
  12. クライアントアドレスは固定クライアントアドレスであり、
    FAM変換レコードは、固定クライアントアドレス及びポートと、マスカレードアドレス及びポートと、FAMアドレス及びポートと、を含み、
    HAM変換レコードは、クライアントアドレス及びポートと、マスカレードアドレス及びポートと、FAMアドレス及びポートと、を含む、
    請求項9記載の方法。
  13. 各コネクションテーブルレコードがクライアントアドレス及びポートと、サーバアドレス及びポートと、マスカレードアドレス及びポートと、ホーム・アドレス・マスカレード(HAM)アドレス及びポートと、0個以上のFAMレコードとにより構成されている複数のコネクションテーブルレコードを維持するルーティング調整器を準備する手順を更に有する請求項10記載の方法。
  14. 選択されたコネクションテーブルレコード中でクライアントアドレス及びポートによって識別された選択されたクライアント装置と通信するため、FAMがFAMの能力に関する通知をルーティング調整器へ送信するとき、FAMレコードを選択されたコネクションテーブルレコードに挿入する手順を更に有する、請求項13記載の方法。
  15. HAMが新しいコネクションに関してルーティング調整器へ通知するとき、各コネクションテーブルレコードを作成する手順を更に有する請求項13記載の方法。
  16. HAMが特定のクライアント装置から外向きパケットを受信し、特定のクライアント装置に対して一致するHAM変換レコードは存在しないとき(1)、又は、FAM変換レコードが当該特定のクライアント装置に対して作成され得ないとき(2)、通知を送信する手順を更に有する請求項15記載の方法。
  17. FAMが特定のコネクションに参加する特定のクライアント装置と通信する能力についての通知をルーティング調整器に送信し、先行のコネクションテーブルレコードが特定のコネクションに対して存在しないとき、コネクションテーブルレコードを作成する手順を更に有する請求項13記載の方法。
  18. 特定のHAMによって、ルーティング調整器から0個以上のFAMレコードを受信する手順を更に有する請求項13記載の方法。
  19. FAMレコードがルーティング調整器によって作成されたとき、ルーティング調整器から特定のHAMへ0個以上のFAMレコードを送信する手順を更に有する請求項18記載の方法。
  20. 特定のHAMが特定のサーバから特定のマスカレードアドレス及びポートを宛先とするパケットを受信したとき、特定のHAMによって、FAMレコードを要求する手順を更に有する請求項18記載の方法。
  21. ルーティング調整器が対応したFAMから通知を受信したとき、ルーティング調整器によって、1個以上のコネクションテーブルレコードからFAMレコードを削除する手順を更に有する請求項13記載の方法。
  22. 通知は対応したクライアント装置を識別し、
    対応したFAMが対応したクライアント装置と通信できなくなったとき、対応したFAMから通知を送信する手順を更に有する、
    請求項21記載の方法。
  23. 対応したクライアント装置から直接的なリンク終了メッセージが受信されたときに対応したFAMによって通知が開始される、請求項22記載の方法。
  24. 対応したクライアント装置との活動の欠如に起因した間接的なリンク終了の際に、対応したFAMによって通知が開始される、請求項22記載の方法。
  25. コネクションテーブルレコードで識別された対応したHAMに、対応したFAMレコードが削除された旨を通知する手順を更に有する請求項21記載の方法。
  26. 近距離無線ネットワーク環境においてロケーション非依存型パケットルーティングを可能にさせる方法であって、
    固定クライアントアドレスによって識別され、近距離無線ネットワーク環境で通信するための近距離無線通信機能を具備した1台以上の携帯型クライアント装置を準備する手順と、
    近距離無線ネットワーク環境を介してクライアント装置と通信するように装備された1台以上のアプリケーションサーバを準備する手順と、
    選択された1台のクライアント装置から選択された1台のアプリケーションサーバへ第1のパケットを送信する手順と、
    を有し、
    第1のパケットを送信する手順は、
    パケット送信元として固定クライアントアドレス及びクライアントポートを使用し、パケット宛先として選択されたアプリケーションサーバのアドレス及びポートを使用して、選択されたクライアント装置から第1のパケットを送信する手順と、
    送信されたパケットをフォーリン・アドレス・マスカレード器(FAM)で受信する手順と、
    FAMによって、FAM変換レコードにアクセスする手順と、
    FAMによって、送信された第1のパケットの固定クライアントアドレス及びクライアントポートを、FAM変換レコードにアクセスする手順により獲得されたマスカレードアドレス及びポートで置き換えるため、ネットワーク・アドレス変換を適用し、第1の修正パケットを作成する手順と、
    FAMによって、第1の修正パケットを選択されたアプリケーションサーバへ転送する手順と、
    を含み、
    選択されたアプリケーションサーバから選択されたクライアント装置へ第2のパケットを送信する手順を更に有し、
    第2のパケットを送信する手順は、
    パケット送信元として選択されたアプリケーションサーバのアドレス及びポートを使用し、パケット宛先としてマスカレードアドレス及びポートを使用して、選択されたアプリケーションサーバから第2のパケットを送信する手順と、
    送信された第2のパケットをホーム・アドレス・マスカレード器(HAM)で受信する手順と、
    HAMによって、HAM変換レコードにアクセスする手順と、
    HAMによって、送信された第2のパケットのマスカレードアドレス及びポートを、HAM変換レコードにアクセスする手順により獲得されたフォーリン・アドレス・マスカレード(FAM)アドレス及びポートで置き換えるため、ネットワーク・アドレス変換を適用し、第2の修正パケットを作成する手順と、
    HAMによって、第2の修正パケットを、FAM、又は、FAMになる別の動的に決定されたFAMへ転送する手順と、
    転送された第2の修正パケットをFAMで受信する手順と、
    FAMによって、FAM変換レコードに再アクセスする手順と、
    FAMによって、転送された第2の修正パケットのFAMアドレス及びポートを、FAM変換レコードに再アクセスする手順により獲得された固定クライアントアドレス及びポートで置き換えるため、ネットワーク・アドレス変換を適用し、第3の修正パケットを作成する手順と、
    FAMによって、第3の修正パケットを選択されたクライアント装置へ転送する手順と、
    を含む、
    方法。
  27. FAM変換レコードは、固定クライアントアドレス及びクライアントポートと、サーバアドレス及びポートと、マスカレードアドレス及びポートと、FAMアドレス及びポートと、により構成され、
    HAM変換レコードは、クライアントアドレス及びポートと、マスカレードアドレス及びポートと、FAMアドレス及びポートと、により構成される、
    請求項26記載の方法。
  28. 各コネクションテーブルレコードがクライアントアドレス及びポートと、サーバアドレス及びポートと、マスカレードアドレス及びポートと、ホーム・アドレス・マスカレード(HAM)アドレス及びポートと、0個以上のFAMレコードとにより構成されている複数のコネクションテーブルレコードを維持するルーティング調整器を準備する手順を更に有する請求項26記載の方法。
  29. 選択されたコネクションテーブルレコード中でクライアントアドレス及びポートによって識別された選択されたクライアント装置と通信するため、FAMがFAMの能力に関する通知をルーティング調整器へ送信するとき、FAMレコードを選択されたコネクションテーブルレコードに挿入する手順を更に有する請求項28記載の方法。
  30. FAMが選択されたクライアント装置から外向きパケットを受信し、選択されたクライアント装置に対して一致するFAM変換レコードが存在しないとき、通知を送信する手順を更に有する請求項29記載の方法。
  31. HAMが新しいコネクションに関してルーティング調整器へ通知するとき、各コネクションテーブルレコードを作成する手順を更に有する請求項28記載の方法。
  32. HAMが特定のクライアント装置から外向きパケットを受信し、特定のクライアント装置に対して一致するHAM変換レコードは存在しないとき(1)、又は、FAM変換レコードが当該特定のクライアント装置に対して作成され得ないとき(2)、通知を送信する手順を更に有する請求項31記載の方法。
  33. FAMが特定のコネクションに参加する特定のクライアント装置と通信する能力についての通知をルーティング調整器に送信し、先行のコネクションテーブルレコードが特定のコネクションに対して存在しないとき、コネクションテーブルレコードを作成する手順を更に有する請求項28記載の方法。
  34. 特定のHAMによって、ルーティング調整器から0個以上のFAMレコードを受信する手順を更に有する請求項28記載の方法。
  35. FAMレコードがルーティング調整器によって作成されたとき、ルーティング調整器から特定のHAMへ0個以上のFAMレコードを送信する手順を更に有する請求項34記載の方法。
  36. 特定のHAMが特定のサーバから特定のマスカレードアドレス及びポートを宛先とするパケットを受信したとき、特定のHAMによって、FAMレコードを要求する手順を更に有する請求項34記載の方法。
  37. ルーティング調整器が対応したFAMから通知を受信したとき、ルーティング調整器によって、1個以上のコネクションテーブルレコードからFAMレコードを削除する手順を更に有する請求項28記載の方法。
  38. 通知は対応したクライアント装置を識別し、
    対応したFAMが対応したクライアント装置と通信できなくなったとき、対応したFAMから通知を送信する手順を更に有する、
    請求項37記載の方法。
  39. 対応したクライアント装置から直接的なリンク終了メッセージが受信されたときに対応したFAMによって通知が開始される、請求項38記載の方法。
  40. 対応したクライアント装置との活動の欠如に起因した間接的なリンク終了の際に、対応したFAMによって通知が開始される、請求項38記載の方法。
  41. コネクションテーブルレコードで識別された対応したHAMに、対応したFAMレコードが削除された旨を通知する手順を更に有する請求項37記載の方法。
  42. 近距離無線ネットワーク環境においてロケーション非依存型パケットルーティングを可能にさせる方法であって、
    クライアント装置によって、第1のアプリケーションサーバへ第1のコネクションを確立する手順と、
    第1のコネクションを第1のホーム・アドレス・マスカレード器(HAM)へ割当てる手順と、
    クライアント装置によって、第2のアプリケーションサーバへ第2のコネクションを確立する手順と、
    第2のコネクションを、第1のHAMとは別個の第2のHAMへ割当てる手順と、
    を有する方法。
  43. 近距離無線ネットワーク環境においてロケーション非依存型パケットルーティングを可能にさせるシステムであって、
    固定クライアントアドレスによって識別され、近距離無線ネットワーク環境で通信するための近距離無線通信機能を具備した1台以上の携帯型クライアント装置と、
    近距離無線ネットワーク環境を介してクライアント装置と通信するように装備された1台以上のアプリケーションサーバと、
    フォーリン・アドレス・マスカレード器(FAM)を介してパケットを転送することにより固定クライアントアドレスの代わりに選択されたクライアント装置に対するマスカレードアドレス及びポートを使用して、選択された1台のクライアント装置から選択された1台のアプリケーションサーバへパケットを送信する手段と、
    ホーム・アドレス・マスカレード器(HAM)と、FAM、又は、FAMになることが動的に決定される別のFAMとを介して応答パケットを転送することによりマスカレードアドレス及びポートを使用して、選択されたアプリケーションサーバから選択されたクライアント装置へ応答パケットを送信する手段と、
    を有するシステム。
  44. パケットを送信する手段は、
    送信されたパケットをFAMで受信する手段と、
    FAMによって、FAM変換レコードにアクセスする手段と、
    FAMによって、送信されたパケットのクライアントアドレス及びポートを、FAM変換レコードにアクセスする手段により獲得されたマスカレードアドレス及びポートで置き換えるため、ネットワーク・アドレス変換を適用し、修正パケットを作成する手段と、
    FAMによって、修正パケットを選択されたアプリケーションサーバへ転送する手段と、
    を含む、
    請求項43記載のシステム。
  45. 応答パケットを送信する手段は、
    選択されたアプリケーションサーバから選択されたクライアント装置へ応答パケットを送信し、
    送信された応答パケットをHAMで受信し、
    HAMによって、HAM変換レコードにアクセスし、
    HAMによって、送信された応答パケットのマスカレードアドレス及びポートを、HAM変換レコードにアクセスすることにより獲得されたFAMアドレス及びポートで置き換えるため、ネットワーク・アドレス変換を適用し、第1の修正応答パケットを作成し、
    HAMによって、第1の修正応答パケットをFAMへ転送し、
    転送されたパケットをFAMで受信し、
    FAMによって、FAM変換レコードにアクセスし、
    FAMによって、転送されたパケットのFAMアドレス及びポートを、FAM変換レコードにアクセスすることにより獲得された固定クライアントアドレス及びクライアントポートで置き換えるため、ネットワーク・アドレス変換を適用し、第2の修正応答パケットを作成し、
    FAMによって、第2の修正応答パケットを選択されたクライアント装置へ転送する、
    請求項43記載のシステム。
  46. FAMによって、選択されたクライアント装置が暗号化のための有効なセッション鍵を保有しないことを判定する手段と、
    FAMによって、選択されたクライアント装置のユーザについてのユーザ資格を取得する手段と、
    FAMによって、認証サーバと連絡を取ることによってユーザ資格を認証する手段と、
    ユーザ資格を認証する手段が認証に成功したとき、有効なセッション鍵を確立する手段と、
    確立したセッション鍵を選択されたクライアント装置のハードウェアコンポーネント及びFAMのハードウェアコンポーネントに供給する手段と、
    選択されたクライアント装置とFAMの間のリンクを介して伝送されたパケットを暗号化するため、ハードウェアコンポーネントによって、供給されたセッション鍵を使用する手段と、
    を更に有する請求項43記載のシステム。
  47. 一つ以上のコンピュータ読み取り可能な媒体に格納され、近距離無線ネットワーク環境においてロケーション非依存型パケットルーティングを可能にさせるため適合したコンピュータプログラムであって、
    固定クライアントアドレスによって識別され、近距離無線ネットワーク環境で通信するための近距離無線通信機能を具備した1台以上の携帯型クライアント装置にアクセスする機能と、
    近距離無線ネットワーク環境を介してクライアント装置と通信するように装備された1台以上のアプリケーションサーバにアクセスする機能と、
    フォーリン・アドレス・マスカレード器(FAM)を介してパケットを転送することにより固定クライアントアドレスの代わりに選択されたクライアント装置に対するマスカレードアドレス及びポートを使用して、選択された1台のクライアント装置から選択された1台のアプリケーションサーバへパケットを送信する機能と、
    ホーム・アドレス・マスカレード器(HAM)と、FAM、又は、FAMになることが動的に決定される別のFAMとを介して応答パケットを転送することによりマスカレードアドレス及びポートを使用して、選択されたアプリケーションサーバから選択されたクライアント装置へ応答パケットを送信する機能と、
    を実現させるためのコンピュータプログラム命令を含むコンピュータプログラム。
  48. パケットを送信する機能を実現させるためのコンピュータプログラム命令は、
    送信されたパケットをFAMで受信する機能と、
    FAMによって、FAM変換レコードにアクセスする機能と、
    FAMによって、送信されたパケットのクライアントアドレス及びポートを、FAM変換レコードにアクセスする機能により獲得されたマスカレードアドレス及びポートで置き換えるため、ネットワーク・アドレス変換を適用し、修正パケットを作成する機能と、
    FAMによって、修正パケットを選択されたアプリケーションサーバへ転送する機能と、
    を実現させるためのコンピュータプログラム命令を含む、
    請求項47記載のコンピュータプログラム。
  49. 応答パケットを送信する機能を実現させるためのコンピュータプログラム命令は、
    選択されたアプリケーションサーバから選択されたクライアント装置へ応答パケットを送信する機能と、
    送信された応答パケットをHAMで受信する機能と、
    HAMによって、HAM変換レコードにアクセスする機能と、
    HAMによって、送信された応答パケットのマスカレードアドレス及びポートを、HAM変換レコードにアクセスする機能により獲得されたFAMアドレス及びポートで置き換えるため、ネットワーク・アドレス変換を適用し、第1の修正応答パケットを作成する機能と、
    HAMによって、第1の修正応答パケットをFAMへ転送する機能と、
    転送されたパケットをFAMで受信する機能と、
    FAMによって、FAM変換レコードにアクセスする機能と、
    FAMによって、転送されたパケットのFAMアドレス及びポートを、FAM変換レコードにアクセスすることにより獲得された固定クライアントアドレス及びクライアントポートで置き換えるため、ネットワーク・アドレス変換を適用し、第2の修正応答パケットを作成する機能と、
    FAMによって、第2の修正応答パケットを選択されたクライアント装置へ転送する機能と、
    を実現させるためのコンピュータプログラム命令を含む、
    請求項47記載のコンピュータプログラム。
  50. FAMによって、選択されたクライアント装置が暗号化のための有効なセッション鍵を保有しないことを判定する機能と、
    FAMによって、選択されたクライアント装置のユーザについてのユーザ資格を取得する機能と、
    FAMによって、認証サーバと連絡を取ることによってユーザ資格を認証する機能と、
    ユーザ資格を認証する機能が認証に成功したとき、有効なセッション鍵を確立する機能と、
    確立したセッション鍵を選択されたクライアント装置のハードウェアコンポーネント及びFAMのハードウェアコンポーネントに供給する機能と、
    選択されたクライアント装置とFAMの間のリンクを介して伝送されたパケットを暗号化するため、ハードウェアコンポーネントによって、供給されたセッション鍵を使用する機能と、
    を実現させるためのコンピュータプログラム命令を更に有する請求項47記載のコンピュータプログラム。
JP2002526060A 2000-09-08 2001-08-27 近距離無線ネットワーク環境におけるロケーション非依存型パケットルーティング及びセキュア・アクセス Pending JP2004513538A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/657,745 US6691227B1 (en) 2000-09-08 2000-09-08 Location-independent packet routing and secure access in a short-range wireless networking environment
PCT/US2001/026520 WO2002021768A2 (en) 2000-09-08 2001-08-27 Location-independent packet routing and secure access in a short-range wireless networking environment

Publications (1)

Publication Number Publication Date
JP2004513538A true JP2004513538A (ja) 2004-04-30

Family

ID=24638503

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2002526060A Pending JP2004513538A (ja) 2000-09-08 2001-08-27 近距離無線ネットワーク環境におけるロケーション非依存型パケットルーティング及びセキュア・アクセス
JP2002526093A Expired - Fee Related JP4727126B2 (ja) 2000-09-08 2001-08-27 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2002526093A Expired - Fee Related JP4727126B2 (ja) 2000-09-08 2001-08-27 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供

Country Status (10)

Country Link
US (4) US6691227B1 (ja)
EP (2) EP1340337B1 (ja)
JP (2) JP2004513538A (ja)
CN (1) CN1316796C (ja)
AT (1) ATE484141T1 (ja)
AU (2) AU2001288394B2 (ja)
CA (1) CA2419853C (ja)
DE (1) DE60143216D1 (ja)
IL (3) IL154723A0 (ja)
WO (1) WO2002021768A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008507929A (ja) * 2004-07-23 2008-03-13 サイトリックス システムズ, インコーポレイテッド プライベートネットワークへの遠隔アクセスを安全にする方法およびシステム
JP2014045245A (ja) * 2012-08-24 2014-03-13 Nippon Telegraph & Telephone West Corp 中継装置及びその運用方法

Families Citing this family (189)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8266266B2 (en) 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US8713641B1 (en) 1998-12-08 2014-04-29 Nomadix, Inc. Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US7194554B1 (en) 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US6857009B1 (en) * 1999-10-22 2005-02-15 Nomadix, Inc. System and method for network access without reconfiguration
US6453687B2 (en) * 2000-01-07 2002-09-24 Robertshaw Controls Company Refrigeration monitor unit
US6947401B2 (en) * 2000-03-08 2005-09-20 Telefonaktiebolaget Lm Ericsson (Publ) Hierarchical mobility management for wireless networks
US20010054060A1 (en) * 2000-06-16 2001-12-20 Fillebrown Lisa A. Personal wireless network
US8386557B2 (en) * 2000-06-16 2013-02-26 Enfora, Inc. Method for supporting a personal wireless network
WO2002009458A2 (en) * 2000-07-24 2002-01-31 Bluesocket, Inc. Method and system for enabling seamless roaming in a wireless network
US7146636B2 (en) * 2000-07-24 2006-12-05 Bluesocket, Inc. Method and system for enabling centralized control of wireless local area networks
US6732270B1 (en) * 2000-10-23 2004-05-04 Motorola, Inc. Method to authenticate a network access server to an authentication server
US11467856B2 (en) * 2002-12-12 2022-10-11 Flexiworld Technologies, Inc. Portable USB device for internet access service
US7126937B2 (en) * 2000-12-26 2006-10-24 Bluesocket, Inc. Methods and systems for clock synchronization across wireless networks
US7609668B1 (en) * 2000-12-28 2009-10-27 Cisco Technology, Inc. Distribution of packets to foreign agents using multicast protocols
US6940835B2 (en) * 2000-12-28 2005-09-06 Nortel Networks Limited Application-level mobility support in communications network
US7031275B1 (en) * 2000-12-28 2006-04-18 Utstarcom, Inc. Address management for mobile nodes
US7440572B2 (en) * 2001-01-16 2008-10-21 Harris Corportation Secure wireless LAN device and associated methods
US7299007B2 (en) * 2001-02-01 2007-11-20 Ack Venture Holdings, Llc Mobile computing and communication
WO2002065705A2 (en) * 2001-02-09 2002-08-22 Quadriga Technology Limited Method and apparatus for distributing data
US20020136226A1 (en) * 2001-03-26 2002-09-26 Bluesocket, Inc. Methods and systems for enabling seamless roaming of mobile devices among wireless networks
US20020143946A1 (en) * 2001-03-28 2002-10-03 Daniel Crosson Software based internet protocol address selection method and system
DE60101549T2 (de) * 2001-04-06 2004-09-23 Swatch Ag System und Verfahren zum Zugriff auf Informationen und/oder Daten im Internet
JP4075318B2 (ja) * 2001-04-18 2008-04-16 株式会社日立製作所 プロトコル変換方法,及びアドレス変換サーバ
JP2002314549A (ja) * 2001-04-18 2002-10-25 Nec Corp ユーザ認証システム及びそれに用いるユーザ認証方法
US7320027B1 (en) * 2001-05-14 2008-01-15 At&T Corp. System having generalized client-server computing
US20020178365A1 (en) * 2001-05-24 2002-11-28 Shingo Yamaguchi Method and system for controlling access to network resources based on connection security
US20050198379A1 (en) * 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
WO2002103547A1 (en) * 2001-06-15 2002-12-27 Advanced Network Technology Laboratories Pte Ltd. Computer networks
US7283526B2 (en) * 2001-07-19 2007-10-16 International Business Machines Corporation Method and system for providing a symmetric key for more efficient session identification
GB2378010A (en) * 2001-07-27 2003-01-29 Hewlett Packard Co Mulit-Domain authorisation and authentication
WO2003029916A2 (en) * 2001-09-28 2003-04-10 Bluesocket, Inc. Method and system for managing data traffic in wireless networks
US20030073439A1 (en) * 2001-10-17 2003-04-17 Wenzel Peter W. Home agent redundancy in a cellular system
US7321784B2 (en) * 2001-10-24 2008-01-22 Texas Instruments Incorporated Method for physically updating configuration information for devices in a wireless network
US20030084287A1 (en) * 2001-10-25 2003-05-01 Wang Huayan A. System and method for upper layer roaming authentication
US7711819B2 (en) * 2001-10-31 2010-05-04 Fujitsu Limited Load balancer
US20080148350A1 (en) * 2006-12-14 2008-06-19 Jeffrey Hawkins System and method for implementing security features and policies between paired computing devices
FR2833123B1 (fr) * 2001-12-03 2004-01-23 France Telecom Procede de gestion d'une communication avec des moyens de fourniture d'un service a serveurs multiples
US7930756B1 (en) 2001-12-12 2011-04-19 Crocker Steven Toye Multi-level cryptographic transformations for securing digital assets
US7260555B2 (en) 2001-12-12 2007-08-21 Guardian Data Storage, Llc Method and architecture for providing pervasive security to digital assets
US10033700B2 (en) 2001-12-12 2018-07-24 Intellectual Ventures I Llc Dynamic evaluation of access rights
USRE41546E1 (en) 2001-12-12 2010-08-17 Klimenty Vainstein Method and system for managing security tiers
US7380120B1 (en) * 2001-12-12 2008-05-27 Guardian Data Storage, Llc Secured data format for access control
US7921450B1 (en) 2001-12-12 2011-04-05 Klimenty Vainstein Security system using indirect key generation from access rules and methods therefor
US7562232B2 (en) * 2001-12-12 2009-07-14 Patrick Zuili System and method for providing manageability to security information for secured items
US7921288B1 (en) 2001-12-12 2011-04-05 Hildebrand Hal S System and method for providing different levels of key security for controlling access to secured items
US7921284B1 (en) 2001-12-12 2011-04-05 Gary Mark Kinghorn Method and system for protecting electronic data in enterprise environment
US10360545B2 (en) 2001-12-12 2019-07-23 Guardian Data Storage, Llc Method and apparatus for accessing secured electronic data off-line
US7681034B1 (en) 2001-12-12 2010-03-16 Chang-Ping Lee Method and apparatus for securing electronic data
US8006280B1 (en) 2001-12-12 2011-08-23 Hildebrand Hal S Security system for generating keys from access rules in a decentralized manner and methods therefor
US7178033B1 (en) 2001-12-12 2007-02-13 Pss Systems, Inc. Method and apparatus for securing digital assets
US7565683B1 (en) * 2001-12-12 2009-07-21 Weiqing Huang Method and system for implementing changes to security policies in a distributed security system
US8065713B1 (en) 2001-12-12 2011-11-22 Klimenty Vainstein System and method for providing multi-location access management to secured items
JP3870081B2 (ja) * 2001-12-19 2007-01-17 キヤノン株式会社 通信システム及びサーバ装置、ならびに制御方法及びそれを実施するためのコンピュータプログラム、該コンピュータプログラムを格納する記憶媒体
US7950066B1 (en) 2001-12-21 2011-05-24 Guardian Data Storage, Llc Method and system for restricting use of a clipboard application
US8176334B2 (en) 2002-09-30 2012-05-08 Guardian Data Storage, Llc Document security system that permits external users to gain access to secured files
US7451222B2 (en) * 2002-02-13 2008-11-11 Gateway Inc. Client-centered WEP settings on a LAN
CN1268093C (zh) * 2002-03-08 2006-08-02 华为技术有限公司 无线局域网加密密钥的分发方法
US20030200455A1 (en) * 2002-04-18 2003-10-23 Chi-Kai Wu Method applicable to wireless lan for security control and attack detection
US7748045B2 (en) 2004-03-30 2010-06-29 Michael Frederick Kenrich Method and system for providing cryptographic document retention with off-line access
US20050071657A1 (en) * 2003-09-30 2005-03-31 Pss Systems, Inc. Method and system for securing digital assets using time-based security criteria
US8613102B2 (en) 2004-03-30 2013-12-17 Intellectual Ventures I Llc Method and system for providing document retention using cryptography
US20030204562A1 (en) * 2002-04-29 2003-10-30 Gwan-Hwan Hwang System and process for roaming thin clients in a wide area network with transparent working environment
KR100464755B1 (ko) * 2002-05-25 2005-01-06 주식회사 파수닷컴 이메일 주소와 하드웨어 정보를 이용한 사용자 인증방법
US7305429B2 (en) * 2002-06-10 2007-12-04 Utstarcom, Inc. Method and apparatus for global server load balancing
JP3564117B2 (ja) 2002-07-01 2004-09-08 株式会社バッファロー 無線lan装置
US7293289B1 (en) 2002-09-10 2007-11-06 Marvell International Ltd. Apparatus, method and computer program product for detection of a security breach in a network
US7512810B1 (en) 2002-09-11 2009-03-31 Guardian Data Storage Llc Method and system for protecting encrypted files transmitted over a network
KR100479260B1 (ko) * 2002-10-11 2005-03-31 한국전자통신연구원 무선 데이터의 암호 및 복호 방법과 그 장치
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
TWI220344B (en) * 2002-10-23 2004-08-11 Winbond Electronics Corp Manufacture and method for accelerating network address translation
US20040098479A1 (en) * 2002-10-25 2004-05-20 General Instrument Corporation Method for using different packet type and port options values in an IP measurement protocol packet from those used to process the packet
US7894355B2 (en) * 2002-10-25 2011-02-22 General Instrument Corporation Method for enabling non-predetermined testing of network using IP measurement protocol packets
US7836310B1 (en) 2002-11-01 2010-11-16 Yevgeniy Gutnik Security system that uses indirect password-based encryption
US7716737B2 (en) * 2002-11-04 2010-05-11 Riverbed Technology, Inc. Connection based detection of scanning attacks
US7827272B2 (en) * 2002-11-04 2010-11-02 Riverbed Technology, Inc. Connection table for intrusion detection
US7774839B2 (en) * 2002-11-04 2010-08-10 Riverbed Technology, Inc. Feedback mechanism to minimize false assertions of a network intrusion
US7461404B2 (en) * 2002-11-04 2008-12-02 Mazu Networks, Inc. Detection of unauthorized access in a network
US8191136B2 (en) * 2002-11-04 2012-05-29 Riverbed Technology, Inc. Connection based denial of service detection
US20050033989A1 (en) * 2002-11-04 2005-02-10 Poletto Massimiliano Antonio Detection of scanning attacks
JP2004159112A (ja) * 2002-11-06 2004-06-03 Ntt Docomo Inc 通信制御システム、通信制御方法、これらに用いて好適なルーティング制御装置及びルータ装置
GB2395091A (en) 2002-11-06 2004-05-12 Nokia Corp Connection set-up to facilitate global mobile communications roaming over a packet switching network
US7346772B2 (en) * 2002-11-15 2008-03-18 Cisco Technology, Inc. Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure
US7660980B2 (en) * 2002-11-18 2010-02-09 Liquidware Labs, Inc. Establishing secure TCP/IP communications using embedded IDs
US20040095913A1 (en) * 2002-11-20 2004-05-20 Nokia, Inc. Routing optimization proxy in IP networks
US7437167B2 (en) * 2002-12-10 2008-10-14 Steve Gene Kartchner Apparatus, system, and method for locating a transceiver using RF communications and radio services
US7908401B2 (en) 2002-12-12 2011-03-15 Flexiworld Technology, Inc. Method and device for wireless communication between computing devices
US7890990B1 (en) 2002-12-20 2011-02-15 Klimenty Vainstein Security system with staging capabilities
US20040203910A1 (en) * 2002-12-31 2004-10-14 International Business Machines Corporation Spatial boundary admission control for wireless networks
US7023847B2 (en) * 2003-01-15 2006-04-04 Thomson Licensing Network address translation based mobility management
US9166867B2 (en) 2003-01-27 2015-10-20 Qualcomm Incorporated Seamless roaming
US7623892B2 (en) 2003-04-02 2009-11-24 Palm, Inc. System and method for enabling a person to switch use of computing devices
EP1618598A4 (en) 2003-04-11 2008-07-16 Flexiworld Technologies Inc AUTORUN FOR AN INTEGRATED MEMORY COMPONENT
KR100577390B1 (ko) * 2003-04-16 2006-05-10 삼성전자주식회사 인증을 위한 네트워크 장치와 시스템 및 상기 장치를이용한 네트워크 장치 인증방법
US7142851B2 (en) * 2003-04-28 2006-11-28 Thomson Licensing Technique for secure wireless LAN access
KR100513863B1 (ko) * 2003-04-29 2005-09-09 삼성전자주식회사 호스트의 이동성을 지원할 수 있는 무선 근거리 네트워크시스템 및 그의 동작방법
WO2004107131A2 (en) * 2003-05-28 2004-12-09 Caymas Systems, Inc. Policy based network address translation
US8707034B1 (en) 2003-05-30 2014-04-22 Intellectual Ventures I Llc Method and system for using remote headers to secure electronic files
JP4095501B2 (ja) * 2003-06-25 2008-06-04 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ装置、無線アクセスポイント、無線ネットワークを介した電源投入方法、フレーム聴取方法、フレーム送信方法、およびプログラム
US7730543B1 (en) 2003-06-30 2010-06-01 Satyajit Nath Method and system for enabling users of a group shared across multiple file security systems to access secured files
US7703140B2 (en) * 2003-09-30 2010-04-20 Guardian Data Storage, Llc Method and system for securing digital assets using process-driven security policies
US8127366B2 (en) 2003-09-30 2012-02-28 Guardian Data Storage, Llc Method and apparatus for transitioning between states of security policies used to secure electronic documents
US20050086531A1 (en) * 2003-10-20 2005-04-21 Pss Systems, Inc. Method and system for proxy approval of security changes for a file security system
CA2545496C (en) * 2003-11-11 2012-10-30 Citrix Gateways, Inc. Virtual private network with pseudo server
US7978716B2 (en) * 2003-11-24 2011-07-12 Citrix Systems, Inc. Systems and methods for providing a VPN solution
US20050138371A1 (en) * 2003-12-19 2005-06-23 Pss Systems, Inc. Method and system for distribution of notifications in file security systems
US20050152343A1 (en) * 2004-01-08 2005-07-14 Bala Rajagopalan Method and system for providing cellular voice, data and messaging services over IP networks
US7774834B1 (en) 2004-02-18 2010-08-10 Citrix Systems, Inc. Rule generalization for web application entry point modeling
US7890996B1 (en) * 2004-02-18 2011-02-15 Teros, Inc. Using statistical analysis to generate exception rules that allow legitimate messages to pass through application proxies and gateways
US8166554B2 (en) * 2004-02-26 2012-04-24 Vmware, Inc. Secure enterprise network
US8024779B2 (en) 2004-02-26 2011-09-20 Packetmotion, Inc. Verifying user authentication
US8214875B2 (en) * 2004-02-26 2012-07-03 Vmware, Inc. Network security policy enforcement using application session information and object attributes
US7941827B2 (en) * 2004-02-26 2011-05-10 Packetmotion, Inc. Monitoring network traffic by using a monitor device
US9584522B2 (en) 2004-02-26 2017-02-28 Vmware, Inc. Monitoring network traffic by using event log information
US8140694B2 (en) * 2004-03-15 2012-03-20 Hewlett-Packard Development Company, L.P. Method and apparatus for effecting secure communications
US8554889B2 (en) * 2004-04-21 2013-10-08 Microsoft Corporation Method, system and apparatus for managing computer identity
US7757074B2 (en) 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network
US8739274B2 (en) * 2004-06-30 2014-05-27 Citrix Systems, Inc. Method and device for performing integrated caching in a data communication network
US8495305B2 (en) 2004-06-30 2013-07-23 Citrix Systems, Inc. Method and device for performing caching of dynamically generated objects in a data communication network
DE102004031945A1 (de) * 2004-06-30 2006-03-09 Deutsche Thomson-Brandt Gmbh Verfahren zur Bereitstellung einer Tabelle stationsspezifischer Informationen in einem Netzwerk verteilter Stationen sowie Netzwerkstation für die Durchführung des Verfahrens
US7707427B1 (en) * 2004-07-19 2010-04-27 Michael Frederick Kenrich Multi-level file digests
EP1771998B1 (en) * 2004-07-23 2015-04-15 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
AU2005272779B2 (en) 2004-08-13 2010-06-10 Citrix Systems, Inc. A method for maintaining transaction integrity across multiple remote access servers
CN1588919B (zh) * 2004-09-30 2010-05-05 西安西电捷通无线网络通信有限公司 移动节点自适应选择最优路径的通信方法
US8145908B1 (en) 2004-10-29 2012-03-27 Akamai Technologies, Inc. Web content defacement protection system
JP2006129355A (ja) * 2004-11-01 2006-05-18 Internatl Business Mach Corp <Ibm> 情報処理装置、データ伝送システム、データ伝送方法、および該データ伝送方法を情報処理装置に対して実行させるためのプログラム
US9454657B2 (en) * 2004-12-03 2016-09-27 Bce Inc. Security access device and method
US7917944B2 (en) 2004-12-13 2011-03-29 Alcatel Lucent Secure authentication advertisement protocol
US7853242B2 (en) * 2004-12-20 2010-12-14 Research In Motion Limited Bypass routing to a mobile device
TW200622744A (en) * 2004-12-20 2006-07-01 Inst Information Industry Public wireless local area network roaming identity recognition method
US7990998B2 (en) * 2004-12-22 2011-08-02 Qualcomm Incorporated Connection setup using flexible protocol configuration
US7346340B2 (en) * 2004-12-23 2008-03-18 Spyder Navigations L.L.C. Provision of user policy to terminal
US7810089B2 (en) * 2004-12-30 2010-10-05 Citrix Systems, Inc. Systems and methods for automatic installation and execution of a client-side acceleration program
US8954595B2 (en) * 2004-12-30 2015-02-10 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP buffering
US8549149B2 (en) * 2004-12-30 2013-10-01 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing
US8700695B2 (en) * 2004-12-30 2014-04-15 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP pooling
US8706877B2 (en) * 2004-12-30 2014-04-22 Citrix Systems, Inc. Systems and methods for providing client-side dynamic redirection to bypass an intermediary
WO2006074853A1 (de) * 2005-01-14 2006-07-20 Siemens Aktiengesellschaft Verfahren und anordnung zum verwerfen eintreffender nachrichten mit nicht übereinstimmender identifizierungsinformation im anschluss an portbezogene zugangskontrolle
CA2594983A1 (en) * 2005-01-24 2006-08-03 Citrix Systems, Inc. Systems and methods for performing caching of dynamically generated objects in a network
US8255456B2 (en) 2005-12-30 2012-08-28 Citrix Systems, Inc. System and method for performing flash caching of dynamically generated objects in a data communication network
US7701956B2 (en) * 2005-02-28 2010-04-20 Arris Group, Inc. Method and system for using a transfer agent for translating a configuration file
US8255681B2 (en) * 2005-03-10 2012-08-28 Ibahn General Holdings Corporation Security for mobile devices in a wireless network
US8117340B2 (en) * 2005-04-25 2012-02-14 Microsoft Corporation Trans-network roaming and resolution with web services for devices
US7681231B2 (en) * 2005-06-10 2010-03-16 Lexmark International, Inc. Method to wirelessly configure a wireless device for wireless communication over a secure wireless network
US7627124B2 (en) * 2005-09-22 2009-12-01 Konica Minolta Technology U.S.A., Inc. Wireless communication authentication process and system
US7849309B1 (en) 2005-12-09 2010-12-07 At&T Intellectual Property Ii, L.P. Method of securing network access radio systems
US7238754B1 (en) * 2005-12-12 2007-07-03 Equistar Chemicals, Lp Solid state process to modify the melt characteristics of polyethylene resins and products
US8301839B2 (en) * 2005-12-30 2012-10-30 Citrix Systems, Inc. System and method for performing granular invalidation of cached dynamically generated objects in a data communication network
US7921184B2 (en) * 2005-12-30 2011-04-05 Citrix Systems, Inc. System and method for performing flash crowd caching of dynamically generated objects in a data communication network
US8356171B2 (en) 2006-04-26 2013-01-15 Cisco Technology, Inc. System and method for implementing fast reauthentication
US8327008B2 (en) 2006-06-20 2012-12-04 Lenovo (Singapore) Pte. Ltd. Methods and apparatus for maintaining network addresses
JP4267008B2 (ja) * 2006-07-28 2009-05-27 Necインフロンティア株式会社 クライアント・サーバ分散システム、サーバ装置、クライアント装置及びそれらに用いるクライアント間rtp暗号方法
KR100749720B1 (ko) * 2006-08-18 2007-08-16 삼성전자주식회사 다중 인증 정책을 지원하는 접속노드 장치 및 방법
US8051464B2 (en) * 2006-12-19 2011-11-01 Avenda Systems, Inc. Method for provisioning policy on user devices in wired and wireless networks
US8307415B2 (en) * 2007-05-09 2012-11-06 Microsoft Corporation Safe hashing for network traffic
US8525954B2 (en) * 2007-06-27 2013-09-03 General Electric Company Three-dimensional display article
US8332896B2 (en) 2007-07-05 2012-12-11 Coherent Logix, Incorporated Transmission of multimedia streams to mobile devices with cross stream association
US8358705B2 (en) 2007-07-05 2013-01-22 Coherent Logix, Incorporated Transmission of multimedia streams to mobile devices with uncoded transport tunneling
US8347339B2 (en) * 2007-07-05 2013-01-01 Coherent Logix, Incorporated Transmission of multimedia streams to mobile devices with variable training information
US8130747B2 (en) 2007-08-06 2012-03-06 Blue Coat Systems, Inc. System and method of traffic inspection and stateful connection forwarding among geographically dispersed network appliances organized as clusters
JP4840306B2 (ja) * 2007-09-18 2011-12-21 富士通株式会社 通信抑制方法、通信抑制装置、および通信抑制プログラム
CN103974247B (zh) * 2007-12-11 2019-04-30 爱立信电话股份有限公司 生成蜂窝无线电系统中的无线电基站密钥的方法和设备
US8179859B2 (en) * 2008-02-21 2012-05-15 Wang Ynjiun P Roaming encoded information reading terminal
JP5283925B2 (ja) 2008-02-22 2013-09-04 キヤノン株式会社 通信装置、通信装置の通信方法、プログラム、記憶媒体
US8191785B2 (en) * 2009-03-05 2012-06-05 Hand Held Products, Inc. Encoded information reading terminal operating in infrastructure mode and ad-hoc mode
CN101631113B (zh) * 2009-08-19 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种有线局域网的安全访问控制方法及其系统
CN101635710B (zh) * 2009-08-25 2011-08-17 西安西电捷通无线网络通信股份有限公司 一种基于预共享密钥的网络安全访问控制方法及其系统
CN102196494A (zh) * 2010-03-12 2011-09-21 正文科技股份有限公司 无线网络系统及相关的无线路由电路
US8798610B2 (en) * 2010-03-26 2014-08-05 Intel Corporation Method and apparatus for bearer and server independent parental control on smartphone, managed by the smartphone
US9444620B1 (en) * 2010-06-24 2016-09-13 F5 Networks, Inc. Methods for binding a session identifier to machine-specific identifiers and systems thereof
US8719449B2 (en) 2010-11-29 2014-05-06 Telefonaktiebolaget L M Ericsson (Publ) Identification of a private device in a public network
JP5709497B2 (ja) * 2010-12-07 2015-04-30 キヤノン株式会社 通信装置、通信装置の制御方法およびプログラム
US20130166910A1 (en) * 2011-12-22 2013-06-27 Broadcom Corporation Revocable Security System and Method for Wireless Access Points
US9201938B2 (en) * 2012-05-21 2015-12-01 Sap Se Parameter driven data format conversion in client/server architectures
US9397950B2 (en) * 2012-11-01 2016-07-19 Telefonaktiebolaget Lm Ericsson (Publ) Downlink service path determination for multiple subscription based services in provider edge network
CN103413086B (zh) * 2013-08-23 2016-08-10 杭州华三通信技术有限公司 一种解决可信移动存储介质安全漫游的方法及装置
KR102234979B1 (ko) * 2013-11-07 2021-04-02 삼성전자주식회사 무선 통신 시스템에서 이동성 관리를 위한 장치 및 방법
US9241269B1 (en) * 2014-07-10 2016-01-19 Sprint Communications Company L.P. Method to identify a customer on a Wi-Fi network
US9762483B2 (en) 2015-03-06 2017-09-12 Telefonaktiebolaget Lm Ericsson (Publ) BNG / subscriber management integrated, FIB based, per subscriber, opt-in opt-out, multi application service chaining solution via subscriber service chaining nexthop and meta IP lookup
CN105184121A (zh) * 2015-09-02 2015-12-23 上海繁易电子科技有限公司 一种通过远程服务器的硬件授权系统和方法
US10200396B2 (en) 2016-04-05 2019-02-05 Blackberry Limited Monitoring packet routes
US11063758B1 (en) 2016-11-01 2021-07-13 F5 Networks, Inc. Methods for facilitating cipher selection and devices thereof
EP3563544B1 (en) * 2016-12-30 2021-10-13 British Telecommunications Public Limited Company Automatic device pairing
US11190942B2 (en) 2016-12-30 2021-11-30 British Telecommunications Public Limited Company Automatic pairing of devices to wireless networks
EP3563598B1 (en) 2016-12-30 2021-11-03 British Telecommunications Public Limited Company Automatic pairing of devices to wireless networks
US11310201B2 (en) * 2018-10-23 2022-04-19 Akamai Technologies, Inc. Network security system with enhanced traffic analysis based on feedback loop
US10939471B2 (en) 2019-06-13 2021-03-02 David E. Newman Managed transmission of wireless DAT messages
US11206092B1 (en) 2020-11-13 2021-12-21 Ultralogic 5G, Llc Artificial intelligence for predicting 5G network performance
US11212831B1 (en) 2020-12-04 2021-12-28 Ultralogic 5G, Llc Rapid uplink access by modulation of 5G scheduling requests
DE202022101794U1 (de) 2022-04-04 2023-02-13 Kuldeep Agnihotri Auf künstlicher Intelligenz basierendes System zur Adressierung der Datenschutz- und Sicherheitsaspekte von drahtlosen Netzwerken

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1155326A (ja) * 1997-08-05 1999-02-26 Toshiba Corp 移動ip通信システム、移動ip通信方法、ルータ、端末管理サーバ
JP2001274834A (ja) * 2000-03-27 2001-10-05 Mitsubishi Electric Corp 通信方法、通信システム、通信装置、及び記録媒体

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BE896466A (fr) * 1983-04-14 1983-08-01 Applic De La Chemie De L Elect Dispositif permettant de solidariser entre eux deux chassis metalliques contigus appartenant a des niveaux differents
US4840004A (en) * 1988-07-21 1989-06-20 Ting Raymond M L Externally drained wall joint design
US5181200A (en) 1990-10-29 1993-01-19 International Business Machines Corporation Handoff method and apparatus for mobile wireless workstation
EP0589522B1 (en) 1992-09-25 1997-03-05 Koninklijke Philips Electronics N.V. Cathode-ray tube
GB9508696D0 (en) * 1995-04-28 1995-06-14 At & T Corp Method for connecting roaming stations in a source routed bridged local area network
US5835061A (en) 1995-06-06 1998-11-10 Wayport, Inc. Method and apparatus for geographic-based communications service
US5752193A (en) * 1995-09-01 1998-05-12 Motorola, Inc. Method and apparatus for communicating in a wireless communication system
JPH09130397A (ja) * 1995-11-02 1997-05-16 Mitsubishi Electric Corp 移動データ通信装置
US5737318A (en) * 1995-12-27 1998-04-07 Philips Electronics North America Corporation Method for initializing a wireless, packet-hopping network
US5751704A (en) * 1996-03-01 1998-05-12 Lucent Technologies Inc. Technique for minimizing the variance of interference in packetized interference-limited wireless communication systems
US5850444A (en) * 1996-09-09 1998-12-15 Telefonaktienbolaget L/M Ericsson (Publ) Method and apparatus for encrypting radio traffic in a telecommunications network
US6249252B1 (en) 1996-09-09 2001-06-19 Tracbeam Llc Wireless location using multiple location estimators
CA2221948A1 (en) 1996-12-30 1998-06-30 Lucent Technologies Inc. System and method for achieving handover in wireless lan by buffering data at subsequent access point
US6351646B1 (en) 1997-06-23 2002-02-26 Telefonaktiebolaget Lm Ericsson Software HLR architecture
JP3009876B2 (ja) * 1997-08-12 2000-02-14 日本電信電話株式会社 パケット転送方法および該方法に用いる基地局
US6377982B1 (en) * 1997-10-14 2002-04-23 Lucent Technologies Inc. Accounting system in a network
US6421714B1 (en) 1997-10-14 2002-07-16 Lucent Technologies Efficient mobility management scheme for a wireless internet access system
US6535493B1 (en) 1998-01-15 2003-03-18 Symbol Technologies, Inc. Mobile internet communication protocol
FI980291A (fi) 1998-02-09 1999-08-10 Nokia Mobile Phones Ltd Liikkuva internetpääsy
US6353614B1 (en) * 1998-03-05 2002-03-05 3Com Corporation Method and protocol for distributed network address translation
JP3587984B2 (ja) * 1998-06-04 2004-11-10 株式会社日立製作所 移動通信システム、パケットゲートウェイ装置、位置情報管理方法、および、位置情報通知方法
US6195705B1 (en) * 1998-06-30 2001-02-27 Cisco Technology, Inc. Mobile IP mobility agent standby protocol
JP2002522955A (ja) * 1998-08-03 2002-07-23 オーパスウエーブ ネットワークス インコーポレイテッド パケットデータおよびipボイス/マルチメディアサービスをサポートするプラグ・アンド・プレイ・ワイヤレスアーキテクチャ
JP2000102072A (ja) * 1998-09-21 2000-04-07 Nippon Telegr & Teleph Corp <Ntt> 移動通信方法、移動通信装置及び移動通信プログラムを記録した記録媒体
US6606323B1 (en) 1998-12-31 2003-08-12 At&T Corp. Mobile MAC protocol for LAN-coupled devices interconnected by an ATM wide area network
US6418130B1 (en) * 1999-01-08 2002-07-09 Telefonaktiebolaget L M Ericsson (Publ) Reuse of security associations for improving hand-over performance
SE514264C2 (sv) 1999-05-07 2001-01-29 Ericsson Telefon Ab L M Ett kommunikationssystem
US6549625B1 (en) 1999-06-24 2003-04-15 Nokia Corporation Method and system for connecting a mobile terminal to a database
WO2001006734A2 (en) 1999-07-16 2001-01-25 3Com Corporation Mobile internet protocol (ip) networking with home agent and/or foreign agent functions distributed among multiple devices
US6493539B1 (en) 1999-07-28 2002-12-10 Lucent Technologies Inc. Providing an accurate timing source for locating the geographical position of a mobile
AU7694000A (en) 1999-10-08 2001-04-23 Telefonaktiebolaget Lm Ericsson (Publ) Wide area network mobility for ip based networks
US6650902B1 (en) 1999-11-15 2003-11-18 Lucent Technologies Inc. Method and apparatus for wireless telecommunications system that provides location-based information delivery to a wireless mobile unit
GB2359220A (en) 2000-02-03 2001-08-15 Orange Personal Comm Serv Ltd Handover in accordance with a network policy
US6430395B2 (en) 2000-04-07 2002-08-06 Commil Ltd. Wireless private branch exchange (WPBX) and communicating between mobile units and base stations
US6526275B1 (en) 2000-04-24 2003-02-25 Motorola, Inc. Method for informing a user of a communication device where to obtain a product and communication system employing same
US6907017B2 (en) 2000-05-22 2005-06-14 The Regents Of The University Of California Mobility management in wireless internet protocol networks
WO2002009458A2 (en) 2000-07-24 2002-01-31 Bluesocket, Inc. Method and system for enabling seamless roaming in a wireless network
US6633761B1 (en) 2000-08-11 2003-10-14 Reefedge, Inc. Enabling seamless user mobility in a short-range wireless networking environment
WO2002049298A1 (en) 2000-12-14 2002-06-20 Powerhouse Technology, Inc. Circuit switched cellulat network to internet calling
US7299192B2 (en) 2001-02-28 2007-11-20 Luttrell Tammy C Process, system, and computer executable program on a storage medium for recording patient treatment by progress toward identified goals
US20030139180A1 (en) 2002-01-24 2003-07-24 Mcintosh Chris P. Private cellular network with a public network interface and a wireless local area network extension

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1155326A (ja) * 1997-08-05 1999-02-26 Toshiba Corp 移動ip通信システム、移動ip通信方法、ルータ、端末管理サーバ
JP2001274834A (ja) * 2000-03-27 2001-10-05 Mitsubishi Electric Corp 通信方法、通信システム、通信装置、及び記録媒体

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008507929A (ja) * 2004-07-23 2008-03-13 サイトリックス システムズ, インコーポレイテッド プライベートネットワークへの遠隔アクセスを安全にする方法およびシステム
JP2014045245A (ja) * 2012-08-24 2014-03-13 Nippon Telegraph & Telephone West Corp 中継装置及びその運用方法

Also Published As

Publication number Publication date
EP1971105A1 (en) 2008-09-17
EP1340337B1 (en) 2010-10-06
CA2419853C (en) 2010-11-09
US20040086123A1 (en) 2004-05-06
US7113599B2 (en) 2006-09-26
AU8839401A (en) 2002-03-22
CA2419853A1 (en) 2002-03-14
EP1340337A2 (en) 2003-09-03
US6691227B1 (en) 2004-02-10
IL154719A (en) 2008-06-05
IL154723A0 (en) 2003-10-31
JP2004519117A (ja) 2004-06-24
JP4727126B2 (ja) 2011-07-20
IL154723A (en) 2010-06-16
US20020032855A1 (en) 2002-03-14
US6851050B2 (en) 2005-02-01
DE60143216D1 (de) 2010-11-18
CN1316796C (zh) 2007-05-16
US20060276209A1 (en) 2006-12-07
AU2001288394B2 (en) 2005-06-23
WO2002021768A3 (en) 2003-06-12
CN1537374A (zh) 2004-10-13
ATE484141T1 (de) 2010-10-15
EP1971105B1 (en) 2012-08-15
WO2002021768A2 (en) 2002-03-14

Similar Documents

Publication Publication Date Title
JP4727126B2 (ja) 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
AU2001288394A1 (en) Location-independent packet routing and secure access in a short-range wireless networking environment
US7028183B2 (en) Enabling secure communication in a clustered or distributed architecture
US7042879B2 (en) Method and apparatus for transferring a communication session
KR100999761B1 (ko) Wlan 상호접속에서의 서비스 및 어드레스 관리 시스템및 방법
US8104081B2 (en) IP security with seamless roaming and load balancing
CN110140415B (zh) 使用无线设备的wlan连接
US7779152B2 (en) Establishing communication tunnels
US20070153794A1 (en) Method and Apparatus for Transferring a Communicaton Session
JP5804439B2 (ja) Id/ロケータ分離ベースのネットワークにおいてネームレジストリ,ネットワークアクセスおよびデータ通信を安全に行う方法
US20130182651A1 (en) Virtual Private Network Client Internet Protocol Conflict Detection
US20100135301A1 (en) Mobility in ip without mobile ip
US20110296027A1 (en) Host identity protocol server address configuration
JP4253520B2 (ja) ネットワーク認証装置及びネットワーク認証システム
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
CA2419865C (en) Providing secure network access for short-range wireless computing devices
AU2001286799A1 (en) Providing secure network access for short-range wireless computing devices
IPSECME Internet-Draft Francetelecom-Orange Intended status: Standards Track K. Pentikousis Expires: August 18, 2013 Huawei Technologies February 14, 2013

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080822

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110104

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110323

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110330

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110719