JP2004537125A - 無線アクセスのシステム、方法、信号、及びコンピュータプログラム製品 - Google Patents
無線アクセスのシステム、方法、信号、及びコンピュータプログラム製品 Download PDFInfo
- Publication number
- JP2004537125A JP2004537125A JP2003515977A JP2003515977A JP2004537125A JP 2004537125 A JP2004537125 A JP 2004537125A JP 2003515977 A JP2003515977 A JP 2003515977A JP 2003515977 A JP2003515977 A JP 2003515977A JP 2004537125 A JP2004537125 A JP 2004537125A
- Authority
- JP
- Japan
- Prior art keywords
- wireless
- client
- authentication
- security protocol
- server type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
別の無線クライアントサーバ型のインターネットワーキングのセキュリティプロトコルのインフラを必要とすることなく、プライベートのデータベースとアプリケーションに安全に無線アクセスすることを提供するシステム、方法、信号、及びコンピュータプログラム製品である。無線装置(201)は、ハイパーテキスト転送プロトコル(HTTP)メッセージを介して無線アクセスサービスプロバイダ(205)と通信し、無線アクセスサービスプロバイダ(205)とセキュアネットワーク(204)は、無線装置(201)のRADIUS認証を実行する。
Description
【0001】
[関連する出願の相互参照]
本出願は、米国特許商標局に2001年7月24日に出願された“無線アクセスのシステム、方法、及びコンピュータプログラム製品(WIRELESS ACCESS SYSTEM, METHOD AND COMPUTER PROGRAM PRODUCT)”という題名の同一出願人による同時係属中の米国仮特許出願番号第60/307,172と、米国特許商標局に2001年8月27日に出願された“無線アクセスのシステム、方法、及びコンピュータプログラム製品(WIRELESS ACCESS SYSTEM, METHOD AND COMPUTER PROGRAM PRODUCT)”という題名の同一出願人による同時係属中の米国仮特許出願番号第60/314,656号の優先権を主張し、双方の全ての内容が参照として取り込まれる。
[発明の背景]
[技術分野]
本発明は、プライベートのデータベースとアプリケーションに安全に無線アクセスすることを提供するシステム、方法、信号、及びコンピュータプログラム製品に関するものである。特に、本発明は、プライベートネットワークのための別個の無線のセキュリティ/認証のインフラを必要とすることなく、無線装置のプライベートネットワークに安全にアクセスすることを提供することに関するものである。
[背景技術の説明]
外部のコンピュータ装置が会社のネットワークに接続されるときは常に、そのネットワークはセキュリティ侵害を更に受けやすくなりがちである。ネットワーク管理者は、侵入に対して保護するためのツールをほとんど残されていない。最新のセキュリティシステムは、一般に特定のハードウェアを必要とする、又はわずかの製品と互換性があるのみである。この問題は、多くのアクセスポイントを有する大規模のネットワークにおいて悪化する。
【0002】
この問題に対処するために、ルーセント・テクノロジー(Lucent Technologies)のインターネットワーキングシステム(InterNetworking System)が、認証ダイヤルインユーザサービス、あるいはRADIUSと呼ばれる分散型セキュリティ解決法を開発した。RADIUSは、ネットワーク化されたマルチユーザ環境において、認証、課金、及びアクセス制御を制御するために構成されたクライアントサーバ型のインターネットワーキングのセキュリティプロトコルの例である。RADIUSは、特定のハードウェアを必要としないセキュリティに対する方法に基づくソフトウェアプロトコルを提供する。分散されたセキュリティは、ユーザ認証及び許可を通信プロセスから分離し、ユーザ認証データのための単一の中央のロケーションを作る。RADIUSプロトコルは、1997年4月の日付のインターネット技術標準化タスクフォース(IETF)のインターネット規約(RFC)2138と、1997年4月の日付のRFC2139に規定されており、双方の全ての内容が参照として取り込まれる。RADIUSは、W.Richard Stevensによるプロトコル(Protocol)(1994)と、Pete LoshinによるTCP/IP明瞭解説(TCP/IP Clearly Explained)第3版において示されるTCP/IPにおいて定義されたTCP/IPのアプリケーション層のプロトコルであり、双方の内容が参照として取り込まれる。
【0003】
IETFによって以前に規定された分散されたセキュリティのモデルに基づき、RADIUSは、オープンで拡張性のあるクライアント/サーバのセキュリティシステムを提供する。RADIUSサーバは、サードパーティのセキュリティ製品又は独自のセキュリティシステムと容易に連動するのに適する。これまでは、多くの形式の通信サーバ又はネットワークハードウェアがRADIUSクライアントのプロトコルに対応し、RADIUSサーバと通信が可能である。RADIUSは広く受け入れられた遠隔認証プロトコルになっている。
【0004】
RADIUSは、権限のないアクセスに対してシステムを安全にする分散されたセキュリティのシステムに対応する。RADIUS認証に基づくシステムは、RADIUS認証サーバとRADIUSクライアントを含む。従来のRADIUSシステムにおいて、ユーザ認証とネットワークサービスアクセス情報は、RADIUS認証サーバに位置する。RADIUSは、ユーザの要求条件に基づく多様な形式の前記情報に対応する。RADIUSは、例えばUNIX(登録商標)のパスワードファイルや、ネットワーク情報サービス(NIS)や、別に維持されているRADIUSデータベースに対して、一般的な形式でユーザを認証する。RADIUS準拠の通信サーバはRADIUSクライアントとRADIUSサーバを接続するように動作する。RADIUSクライアントは、RADIUS認証要求をRADIUSサーバに送信し、RADIUSサーバによって返送された応答で動作する。
【0005】
RADIUSは、クライアントとサーバ間で一連の特別に形式化されたメッセージを含むプロトコルを通じて、ユーザの認証をするために用いられる。RADIUSユーザが認証されると、RADIUSクライアントは、適切なネットワークサービスへのアクセスをそのRADIUSユーザに提供する。
【0006】
図1は、インターネット上で認証を提供する例示的な従来のRADIUSシステムの相互作用の図である。図の要素107によって示される時間の経過によって示される通り、図におけるイベントの順は上から下に流れる。図1に示す通り、インターネットサービスプロバイダ(ISP)102のアクセスポイント(POP)103にダイヤルすることにより、エンドユーザ101がセッションを開始する。その後、ISPのPOP103は、エンドユーザ101が身分を証明することを要求する109。それに応答して、エンドユーザ101は、例えばユーザIDとパスワードとアクセスサーバの識別子を提供する110。その後、ISPのPOP103は、ユーザ認証情報を含むRADIUSアクセス要求メッセージ111をRADIUSサーバであるその独自のISP認証サーバ104に送信し、応答を待つ117。RADIUSアクセス要求メッセージ111において提供されたユーザ認証情報に基づき、ISP認証サーバ104は、エンドユーザ101がアクセスサービスプロバイダ105のユーザであることを認識する。アクセスサービスプロバイダ105は、この例において、会社の内部のセキュアネットワーク(例えばXYZ会社106)への遠隔のエンドユーザ101のアクセスを管理するサードパーティである。ファイバーリンク・コミュニケーションズ会社(FIBERLINK COMMUNICATIONS CORPORATION)が、前記の形式のサービスを提供する会社の例である。従って、ISP認証サーバ104がユーザ識別情報を含むRADIUSアクセス要求メッセージ113をアクセスサービスプロバイダ105に送信し、応答を待つ116。RADIUSアクセス要求メッセージ113において提供されたユーザ識別情報に基づき、アクセスサービスプロバイダ105は、エンドユーザ101がXYZ会社106のユーザであることを認識する。それ故に、アクセスサービスプロバイダ105は、ユーザ識別情報を含むRADIUSアクセス要求メッセージ114をXYZ会社106に送信し、応答を待つ115。その後、XYZ会社106が、前記特定のエンドユーザ101へのRADIUS認証を実行し、RADIUSアクセス許可又はRADIUSアクセス拒否メッセージ115をアクセスサービスプロバイダ105に返信し、それがRADIUSアクセス許可又はRADIUSアクセス拒否メッセージ116をISP認証サーバ104に転送し、次にそれがRADIUSアクセス許可又はRADIUSアクセス拒否メッセージ117をISPのPOP103に転送し、対応するアクセス許可/アクセス拒否状態メッセージ118を生成し、エンドユーザ101に送信する。
【0007】
前述の機能に関する制限は、無線のユーザとそのアプリケーションに容易に対応しないということである。無線装置(例えば、個人情報端末(PDA)や無線のラップトップ)は、人気のある生産性向上ツールになっており、携帯性を考えると、遠隔ロケーションからセキュアネットワーク上のアプリケーションとデータベースにアクセスする望ましいツールになっている。一般的に、アクセスは、無線ネットワークプロバイダを通じてアクセスされるインターネットを介する。無線ネットワークプロバイダはISPが提供するサービスを提供しないため、遠隔無線装置からRADIUS認証された通信を有する機能が制限される。従って、無線遠隔アクセスの利便性を提供することと、セキュアネットワークを維持することとの間に均衡が作られる。
【0008】
この問題に対する1つの提案された解決法は、無線ユーザと無線データサービスと無線サービスで用いられる通信技術の要求に合わせた並列認証を提供することである。しかし、組織において1つ以上の認証データベースを維持することは、従業者又は他の許可されたユーザが到着、出発、又はアクセス状態を変更すると、複数のデータベースを更新しなければならない情報セキュリティ要員にとって管理上の負担になる。更に、1つ以上の認証データベースを維持することは、異なるパスワードを維持し、無線及び非無線のアクセスの異なる情報セキュリティ技術について訓練を受ける必要があり得るユーザにとって操作上の不快になる。更に、ネットワークに多くの経路が提供さればされるほど、セキュリティ侵害又は故障が多く生じる。
[発明の概要]
本発明者は、アクセスされるネットワークに要求されるセキュリティのレベルを妥協することなく、無線装置への安全なアクセスを提供する必要があることを認識した。本発明者は、多くの無線装置が限られた処理能力を有しているため、無線装置でRADIUS機能を提供することは受け入れることのできる解決法ではないことを更に認識した。本発明の発明者は、無線装置からの非RADIUS認証メッセージをRAIDUS認証メッセージに変換する機能を提供することによって、無線装置を認証するために既存のRADIUS認証インフラが用いられ得ることを認識した。
【0009】
従って、本発明の1つの目的は、それ自体にRADIUS機能を有さない無線装置にRADIUS認証を提供するシステムと装置と通信プロトコルと方法を提供することである。
【0010】
本発明の更なる目的は、統合された無線/非無線のセキュリティインフラを維持するための方法と通信プロトコルを提供することである。
【0011】
前述と他の目的が本発明によって取り組まれ、それは、無線装置からセキュアネットワークへのアクセスを認証し、課金し、制御する新規なシステムと方法と信号とコンピュータプログラム製品を含む。セキュアネットワークへの遠隔アクセスを要求する無線装置は、無線アクセスサービスプロバイダに認証の要求を送信する。無線アクセスサービスプロバイダは、前記要求を受信し、正規の認証要求を作り、又はセキュアネットワークの認証システムに従って無線装置から生じた認証要求を中継し、セキュアネットワークに認証要求を転送する。最終的な認証要求は正規の要求であるため、非無線の遠隔ユーザと同じように、同じセキュリティインフラを用いる同じ方法でセキュアネットワークが無線ユーザを処理する。認証要求の結果は、正規の認証プロトコルを介してセキュアネットワークから無線サービスプロバイダに送信される。無線アクセスサービスプロバイダは、その結果を無線装置に互換性のある形式に変換し、最後に対応するアクセス許可/拒否状態メッセージを生成し、無線通信リンク上で無線装置に送信する。
【0012】
本発明の一実施例において、無線装置は、ハイパーテキスト転送プロトコル(HTTP)メッセージを介して無線アクセスサービスプロバイダと通信し、無線アクセスサービスプロバイダとセキュアネットワークは無線ユーザのためのRADIUS認証を実行する。
【0013】
本発明の一実施例において、無線アクセスサービスプロバイダは、無線装置のためのセキュアネットワークへの遠隔アクセスを管理するサービスを提供するサードパーティである。
【0014】
本発明の他の実施例において、無線アクセスサービスプロバイダは、遠隔無線ユーザを有する組織のセキュリティ環境内に収容される。
[好ましい実施例の詳細な説明]
本発明の更に完全な認知とその多くの付随する利点が、添付の図面と共に検討される次の詳細な説明を参照することによって更に良く理解されることと同様に、容易に得られる。
【0015】
図を参照すると、図2は、本発明の一実施例による相互に作用する多様な要素を示すハイレベルなシステム図である。図2に示す通り、システムは、例えばPDAのような無線装置201を含む。無線装置201は、無線トランシーバー202とデータセンター203を通じて、例えばインターネットのようなIPネットワーク204へのアクセスを得る。本発明の背景で説明したとおり、無線ユーザ201は、インターネットサービスプロバイダ(ISP)のアクセスポイント(POP)を通じてインターネットへのアクセスを得るのではなく、データセンター203を介して直接アクセスを得る。データセンター203は、例えばIPパケットを作り、IPネットワーク204と無線装置201との間の仲介としての役割をする。
【0016】
図の要素209はセキュアネットワークへの遠隔アクセスを管理するサービスを提供するサービスプロバイダを表す。例えば、図の要素209は、XYZ会社210のセキュアネットワークへの遠隔アクセスを管理するサービスを提供するファイバーリンク・コミュニケーションズ会社(FIBERLINK COMMUNICATIONS CORPORATION)を表す場合がある。XYZ会社210のアクセスネットワークへのアクセスは、RADIUS認証データベース208にアクセスするRADIUS認証サーバ207によって制御される。本発明の背景で説明したとおり、RADIUSは広く受け入れられた遠隔認証プロトコルである。しかし、本発明は決してRADIUSに基づく実現に限定されるものではないことがわかる。逆に、本発明の概念は、何らかの認証プロトコルに同等に適用可能である。
【0017】
RADIUSプロトコルは、RADIUSクライアントがRADIUSサーバと通信し、認証プロセスを実行することを要求する。それ故に、RADIUSクライアントは、RADIUSメッセージを受信し、分析するだけでなく、RADIUSサーバに送信され得るRADIUSメッセージを作ることができなければならない。従って、クライアントアプリケーションはこの必須の処理を実行する必要がある。本発明者によって認識された通り、RADIUSクライアントの処理の負担を一般的な無線装置に設置することは望ましくない。わかる通り、PDAのような一般的な無線装置は、限られた処理能力を有しており、RADIUSのようなインフラのアプリケーションより、ユーザアプリケーションに処理能力を割り当てることが更に望ましい。
【0018】
RADIUSクライアントの要求を処理することが、例えばXYZ会社210のセキュアネットワークへの遠隔アクセスを管理するサービスを提供するサードパーティ209にゆだねられることを認識したのは本発明者である。従って、図2に示す通り、無線アクセスサービスプロバイダ205は、無線ユーザ201からのアクセスを認証するRADIUSクライアントとしての役割をする。更に詳細に以下に説明するとおり、無線アクセスサービスプロバイダ205は、無線ユーザ201の代わりにRADIUS認証サーバ207でRADIUS認証を実行する変換器としての役割をする。本発明の一実施例において、無線ユーザ201は、例えばハイパーテキスト転送プロトコル(HTTP)メッセージを用いてIPネットワーク204を介して、無線アクセスサービスプロバイダ205と通信する。HTTPはPDAやラップトップコンピュータのような無線装置で広く対応されており、無線ユーザ201に追加の負担をかけない。従って、無線アクセスサービスプロバイダ205は、無線エンドユーザ201からのHTTPメッセージに含まれた認証の要求を、XYZ会社210のRADIUS認証サーバ207でRADUIS認証を起動するために用いられるRADIUS認証要求に変換する。前記RADIUS認証要求は、IPネットワーク204を介してXYZ会社210のRADIUS認証サーバ207に送信される。更に、他のRADIUSメッセージ、例えばRADIUSアカウントの開始/終了メッセージが、IPネットワーク204を介して無線アクセスサービスプロバイダ205からXYZ会社210のRADIUS認証サーバ207に送信され得る。また、セッション開始、セッション終了、又はセッションタイムアウトのメッセージが、IPネットワーク204を介して、無線アクセスサービスプロバイダ205と、無線ユーザ210と、無線アプリケーションゲートウェイ206の間で交換され得る。
【0019】
本発明者はまた、RADIUSクライアントの要求を処理することが、例えばXYZ会社内に置かれた無線認証の専用の別の装置にゆだねられ、IPネットワーク204を介してXYZ会社210のRADIUS認証サーバ207と通信するように構成されることを認識した。このように、他の実施例において、無線アクセスサービスプロバイダ205は、XYZ会社210の区域内に置かれ、IPネットワーク204を介して、RADIUS認証サーバ207と無線ユーザ201と無線アプリケーションゲートウェイ206と通信するように構成される。この他の実施例において、無線アクセスサービスプロバイダ205は、XYZ会社210のプライベートIPネットワークを介して、RADIUS認証サーバ207と無線アプリケーションゲートウェイ206と通信し、無線アクセスサービスプロバイダ205は、例えばインターネットのような外部のネットワークで無線ユーザ201と通信する。この他の実施例において、無線アクセスサービスプロバイダ205と無線アプリケーションゲートウェイ206の双方が同じコンピュータで動くコンピュータプログラムとして実現され、この場合には2つのコンピュータプログラムが通信するためにIPネットワークが必要ないことを、その技術に熟練した人は認識するだろう。
【0020】
図3は、無線エンドユーザ301のRADIUS認証を実行するときに送信される多様なメッセージを示す相互作用の図である。図の要素305によって示される時間の経過によって示される通り、図におけるイベントの順は上から下に流れる。図3に示す通り、無線ネットワークプロバイダ302に連絡することによって306、無線エンドユーザ301がセッションを開始する。無線ネットワークプロバイダ302は、無線エンドユーザ301が有効なユーザであるかどうかを判断し、そうである場合は、発呼者が無線ネットワークサービスプロバイダ302のユーザとして認証されたことを示すメッセージ307を無線エンドユーザ301に送信する。無線エンドユーザ301がセキュアネットワークへのアクセスを希望する場合は、無線エンドユーザ301は、無線アクセスサービスプロバイダ303に認証要求308を送信する。本発明の一実施例において、無線エンドユーザ301からの認証要求メッセージは、例えば無線エンドユーザのユーザ識別子とパスワードとIPアドレスとを含み得る。前述の通り、本発明の一実施例において、無線アクセスサービスプロバイダ303は、XYZ会社304のセキュアネットワークへの遠隔アクセスを管理するサービスをXYZ会社304に提供するサードパーティである。本発明の他の実施例において、無線アクセスサービスプロバイダ303は、XYZ会社304の内部のインフラの一部である。
【0021】
図3を続けて、無線アクセスサービスプロバイダ303による認証要求の受信により、無線アクセスサービスプロバイダは、XYZ会社304のRADIUSサーバとのRADIUS認証セッションを起動するために用いられるRADIUSメッセージを生成する。XYZ会社のセキュアネットワークへのアクセスを要求するRADIUSメッセージ309は、認証要求メッセージ308にエンドユーザ301から送信された情報を含む。
【0022】
RADIUS認証要求メッセージ309の受信により、XYZ会社304のセキュアネットワークに存在するRADIUSサーバは、RADIUS認証データベースにアクセスすることにより、無線エンドユーザ301を認証することを試みる。その後、XYZ会社304のRADIUS認証サーバは、アクセスが許可された、又は拒否されたことを示すRADIUSメッセージ310を無線アクセスサービスプロバイダ303に返信する。無線アクセスサービスプロバイダは、XYZ会社304から受信したRADIUSメッセージ310を解釈し、無線エンドユーザ301に認証結果を返信する非RADIUSメッセージ311を生成する。前述の通り、無線エンドユーザ301と無線アクセスサービスプロバイダとの間の通信は、本発明の一実施例においてHTTPメッセージである。
【0023】
XYZ会社304の観点からは、無線エンドユーザ301は、インターネットサービスプロバイダを通じてXYZ会社304のセキュアネットワークにアクセスを要求する一般的なダイヤルインのユーザとは異ならない。従って、本発明者によって認識された通り、他の遠隔のユーザによって用いられる同じ認証インフラを利用して、無線エンドユーザ301が認証され得る。
【0024】
図4は、本発明の一実施例による無線エンドユーザのRADIUS認証を実行する場合の例示的なメッセージフローを示すブロック図である。図4に示す通り、無線ユーザは、無線ユーザのユーザIDとパスワードとIPアドレスを含むHTTPメッセージ401をデータセンター402に送信する。データセンター402は、認証要求情報を含むTCP/IPパケット403を生成し、そのTCP/IPパケットを例えばインターネットに配置する。そのTCP/IPパケットは、無線アクセスサービスプロバイダ404に経路を定められる。無線アクセスサービスプロバイダ404は、HTTPメッセージを認証要求として認識し、認証要求情報をユーザIDとパスワードとIPアドレスを含むRADIUSメッセージ405に再構成する。RADIUSメッセージ405は、TCP/IPパケットとしてXYZ会社のRADIUS認証サーバ406に送信される。XYZ会社のRADIUS認証サーバ406はRADIUSメッセージ405を分析し、RADIUS認証データベースに対してRADIUS認証を実行し、前記特定の無線ユーザについてアクセスが許可又は拒否されるべきかどうかを判断する。前記判断が行われると、XYZ会社のRADIUS認証サーバは、アクセスが許可又は拒否されたこと407を示すRADIUSメッセージを生成する。RADIUS認証状態メッセージ407は、TCP/IPメッセージとして無線アクセスサービスプロバイダ408に送信される。無線アクセスサービスプロバイダ408は、RADIUSメッセージの意図された受信者が無線ユーザであることを認識し、それ故に、RADIUSメッセージをHTTPメッセージ409に再構成し、TCP/IPメッセージとしてデータセンター410に返信される。その後、データセンター410は、適切なHTTPメッセージ411を無線ユーザに送信する。図4からわかるとおり、外部の世界とXYZ会社との間の相互作用は、RADIUSプロトコルに完全に固執しており、それ故にXYZ会社の認証インフラに遠隔の無線ユーザの対応を可能にする特定の要求が設けられない。
【0025】
図5は、本発明の一実施例による統合されたRADIUS/非RADIUS認証プロセスのフローチャートである。この例において、無線アクセスサービスプロバイダは、XYZ会社への遠隔アクセスを管理するサービスを提供するサードパーティである。図5に示す通り、S501で処理が始まり、認証要求が無線アクセスサービスプロバイダによって受信される。処理はステップS502に進み、認証要求がRADIUSパケットであるかどうかが判断される。要求がRADIUSパケットである場合(すなわち、ステップS502において“yes”である場合)、処理はステップS504に進み、RADIUSパケットがXYZ会社の社内認証サーバに転送される。他方、認証要求がRADIUSパケットでないことが判断された場合(すなわち、ステップS502において“no”である場合)、処理はステップS503に進み、認証要求がRADIUSメッセージとして再構成される。認証要求がRADIUSメッセージとして再構成されると、処理は前述のステップS504に進み、RADIUSパケットがXYZ会社の社内認証サーバに転送される。
【0026】
その後、処理はステップS505に進み、XYZ会社のRADIUS認証サーバがユーザの認証を試みてRADIUS認証データベースにクエリを行う。処理はステップS506に進み、ユーザが認証されたかどうかが判断される。ユーザが認証された場合(すなわち、ステップS506で“yes”の場合)、処理はステップS507に進み、XYZ会社のRADIUS認証サーバからサードパーティの無線アクセスサービスプロバイダに確認メッセージが送信される。他方、ユーザが認証されない場合(すなわち、ステップS506で“no”の場合)、処理はステップS508に進み、XYZ会社のRADIUS認証サーバが、サードパーティの無線アクセスサービスプロバイダに認証失敗メッセージを送信する。
【0027】
ステップS507又はステップS508のいずれかにおいて認証状態メッセージがサードパーティの無線アクセスサービスプロバイダに送信された後、処理はステップS509に進み、エンドユーザが無線クライアントであるかどうかをサードパーティの無線アクセスサービスプロバイダが判断する。認証を要求しているエンドユーザが無線クライアントであると判断された場合(すなわち、ステップS509で“no”の場合)、処理はステップS510に進み、認証要求を起動したRADIUSクライアントにRADIUS認証結果メッセージが戻される。認証結果メッセージがRADIUSクライアントに送信された後に、処理が終了する。
【0028】
他方、エンドユーザが無線クライアントであると判断された場合(すなわち、ステップS509で“yes”の場合)、処理はステップS511に進み、サードパーティの無線アクセスサービスプロバイダは、RADIUSメッセージからの認証結果メッセージを、無線エンドユーザと互換性のあるメッセージに再構成する。サードパーティの無線アクセスサービスプロバイダが認証結果メッセージを再構成した後に、処理はステップS512に進み、再構成された認証結果メッセージが非RADIUSのエンドユーザに送信される。認証結果が送信された後に処理は終了する。
【0029】
図6は、無線アクセスサービスプロバイダ607がXYZ会社614の外部に位置する、本発明の一実施例に対応した統合されたRADIUS/非RADIUS認証システムのハイレベルなシステム図である。統合されたRADIUS/非RADIUS認証システムにおいて、何らかの遠隔装置(無線ネットワークデータセンター603と無線トランシーバー602を介して通信する無線装置601、又はISP606を介して通信する非無線装置605のいずれか)は、XYZ614の内部に置かれたセキュアアプリケーションと通信が可能である。無線ネットワークデータセンター603とISP606の双方は、IPネットワーク604を介してXYZ会社にIPトラヒックを中継するように構成される。
【0030】
無線装置によって提供されるユーザ情報とパスワードに基づき、無線アクセスサービスプロバイダ607によってRADIUS認証要求メッセージが、IPネットワーク604を介してXYZ会社614に置かれたRADIUS認証サーバ608に再構成される(遠隔装置が無線装置601の場合)、又は中継される(無線装置が非無線装置である場合)。RADIUS認証サーバ608は、認証要求メッセージに含まれる情報をRADIUS認証データベース609と照合し、IPネットワーク604を介してRADIUS認証許可メッセージ又はRADIUS認証拒否メッセージのいずれかで無線アクセスサービスプロバイダ607に応答する。更に、ユーザのアカウントが有効及び失効になると、無線アクセスサービスプロバイダ607とRADIUS認証サーバ608はIPネットワーク604を介してRADIUSアカウントメッセージを交換する。
【0031】
オプションで、無線アクセスサービスプロバイダ607は、無線セッションが終了したことを判断し、それによって遠隔装置(例えば、無線装置601又は非無線装置605)及び対応するゲートウェイ装置(例えば、無線アプリケーションゲートウェイ601又は非無線アプリケーションゲートウェイ617)に通知するタイマーを動作するように構成され得る。遠隔装置(すなわち、無線装置601又は非無線装置605)と対応するゲートウェイ装置(すなわち、無線アプリケーションゲートウェイ610又は非無線アプリケーションゲートウェイ617)との間の実際のトラヒックは、対応するパス(すなわち、無線データパス616と非無線データパス615)上でIPネットワーク604を介して交換される。異なるアクセス装置に異なるアクセス権限を提供することも可能である(例えば、無線装置601を使用する場合にユーザAは第1のセキュアアプリケーション611にアクセスすることを許可される場合があり、非無線装置605を使用する場合にユーザAは第1のセキュアアプリケーション611と第2のセキュアアプリケーション612と第3のセキュアアプリケーション613にアクセスすることを許可される場合がある)。他の実施例において、統合された無線/非無線の認証環境は、IPネットワーク604を介して無線装置601と無線アプリケーションゲートウェイ610とRADIUS認証サーバ608と通信を行う、XYZ会社614の区域内に無線アクセスサービスプロバイダ607を含み得る。この実施例において、無線アクセスサービスプロバイダ607は、XYZ会社614のプライベートIPネットワークを介してRADIUS認証サーバ608と無線アプリケーションゲートウェイ610と通信し、無線アクセスサービスプロバイダ607は、例えばインターネットのような外部のネットワーク上で無線ユーザ601と通信する。前記他の実施例において、無線アクセスサービスプロバイダ607と無線アプリケーションゲートウェイ610が同じコンピュータで動くコンピュータプログラムとして実現され、この場合には2つのコンピュータプログラムが通信するためにIPネットワークが必要ないことを、その技術に熟練した人は認識するだろう。
【0032】
図7は、本発明の第1又は第2の実施例のいずれかが実現され得るコンピュータシステム1201のブロック図である。コンピュータシステム1201は、バス1202又は情報を通信する他の通信手段と、バス1202につなげられ、情報を処理するプロセッサ1203を含む。コンピュータシステム1201はまた、ランダムアクセスメモリ(RAM)又は他の動的ストレージ装置(例えば、ダイナミックRAM(DRAM)や、スタティックRAM(SRAM)や、シンクロナスDRAM(SDRAM))のような、バス1202につなげられ、プロセッサ1203によって実行される情報と命令を保存するメインメモリ1204を含む。更に、メインメモリ1204は、プロセッサ1203による命令の実行中に一時的な変数又は中間情報を保存するために用いられ得る。コンピュータシステム1201は、バス1202につなげられ、プロセッサ1203のための静的な情報と命令を保存する読み取り専用メモリ(ROM)1205又は他の静的ストレージ装置(例えば、プログラム可能ROM(PROM)や、消去可能PROM(EPROM)や、電子的消去可能PROM(EEPROM))を更に含む。
【0033】
コンピュータシステム1201はまた、バス1202につなげられ、磁気ハードディスクや取り外し可能媒体ドライブ(例えば、フロッピー(登録商標)ディスクドライブや、読み取り専用コンパクトディスクドライブや、読み取り/書き込みコンパクトディスクドライブや、コンパクトディスク・ジュークボックスや、テープドライブや、光磁気ディスク)のように、情報と命令を保存する1つ以上のストレージ装置を制御するディスクコントローラ1206を含む。ストレージ装置は、適切な装置インタフェース(例えば、小型コンピュータ用周辺機器インタフェース(SCSI)や、統合デバイスエレクトロニクス(Integrated device electronics)(IDE)や、拡張IDE(E−IDE)や、ダイレクトメモリアクセス(DMA)や、ウルトラDMA(ultra−DMA))を用いてコンピュータシステム1201に追加され得る。
【0034】
コンピュータシステム1201はまた、特定目的論理素子(例えば、特定用途向け集積回路(ASIC))又は構成可能論理素子(例えば、単純プログラム可能論理素子(SPLD)や、統合プログラム可能論理素子(CPLD)や、フィールド・プログラマブル・ゲート・アレイ(field programmable gate array)(FPGA))を含み得る。
【0035】
コンピュータシステム1201はまた、バス1202につなげられ、陰極線管(CRT)のように、コンピュータユーザに情報を表示するディスプレイ1201を制御するディスプレイコントローラ1209を含み得る。コンピュータシステムは、キーボード1211やポインティング装置1212のように、コンピュータユーザと相互作用し、プロセッサ1203に情報を提供する入力装置を含む。ポインティング装置1212は、例えばマウス、トラックボール、又は命令情報とコマンド選択をプロセッサ1203に通信し、ディスプレイ1210のカーソルの動きを制御するポインティングスティックである場合がある。更に、プリンタは、コンピュータシステム1201によって保存又は生成されたデータの印刷されたリストを提供し得る。
【0036】
コンピュータシステム1201は、メインメモリ1204のようなメモリに含まれる1つ以上の命令の1つ以上のシーケンスを実行するプロセッサ1203に応じて、本発明の処理ステップの一部又は全てを実行する。前記の命令は、ハードディスク1207又は取り外し可能媒体ドライブ1208のような他のコンピュータ読み取り可能媒体から、メインメモリ1204に読み込まれ得る。多重処理構成の1つ以上のプロセッサもまた、メインメモリ1204に含まれる命令のシーケンスを実行するために用いられ得る。他の実施例において、配線回路がソフトウェア命令の代わりに、又はそれと共に用いられ得る。従って、実施例は、ハードウェア回路とソフトウェアの何らかの特定の組み合わせに限定されない。
【0037】
前述の通り、コンピュータシステム1201は、本発明の教示に従ってプログラムされた命令を保持し、ここで説明されたデータ構造、テーブル、レコード、又は他のデータを含むための少なくとも1つのコンピュータ読み取り可能媒体又はメモリを含む。コンピュータ読み取り可能媒体の例は、コンパクトディスク、ハードディスク、フロッピー(登録商標)ディスク、テープ、光磁気ディスク、PROM(EPROM、EEPROM、フラッシュPROM)、DRAM、SRAM、SDRAM、又は何らかの他の磁気媒体、コンパクトディスク(例えばCD−ROM)、又は何らかの他の光媒体、パンチカード、紙テープ、又は穴のパターンを備えた他の物理媒体、搬送波(後述する)、又はコンピュータが読み取り可能な何らかの他の媒体である。
【0038】
コンピュータ読み取り可能媒体の何らかの1つ又は組み合わせに保存されると、本発明は、コンピュータシステム1201を制御し、本発明を実現する装置又は装置群を駆動し、コンピュータシステム1201が人間のユーザと相互作用することを可能にするソフトウェアを含む。前記のソフトウェアは、デバイス・ドライバと、オペレーティングシステムと、開発ツールを含む場合があり、それらに限定されない。前記のコンピュータ読み取り可能媒体は、本発明を実現する際に実行される処理の全て又は一部(処理が分散されている場合)を実行するための本発明のコンピュータプログラム製品を更に含む。
【0039】
本発明のコンピュータコードは、スクリプトと、インタープリタ可能プログラムと、ダイナミックリンクライブラリ(DLL)と、Java(登録商標)のクラスと、完全な実行可能プログラムを含み、それらに限定されない何らかのインタープリタ可能又は実行可能コードの仕組みである場合がある。更に、本発明の処理の一部は、更に良い性能、信頼性、及び/又はコストのために分散され得る。
【0040】
ここで用いられる“コンピュータ読み取り可能媒体”という言葉は、プロセッサ1203に実行のための命令を提供することに関与する何らかの媒体を参照する。コンピュータ読み取り可能媒体は、不揮発性媒体と、揮発性媒体と、送信媒体を含み、それらに限定されない多様な形式をとる場合がある。不揮発性媒体は、例えばハードディスク1207のような光学ディスクや、磁気ディスクや、光磁気ディスク、又は取り外し可能媒体ドライブ1208を含む。揮発性媒体は、メインメモリ1204のようなダイナミックメモリを含む。送信媒体は、バス1202を構成する線を含む同軸ケーブルと銅線と光ファイバーを含む。送信媒体はまた、電波中に生成されたものや、赤外線データ通信のような、音波又は光波の形式をとる場合がある。
【0041】
多様な形式のコンピュータ読み取り可能媒体が、実行のためのプロセッサ1203の1つ以上の命令の1つ以上のシーケンスを実行することに含まれ得る。例えば、命令は最初に遠隔コンピュータの磁気ディスクで処理され得る。遠隔コンピュータは、本発明の全て又は一部を実行する命令をダイナミックメモリにロードし、モデムを用いて電話線上で命令を送信し得る。コンピュータシステム1201の方のモデムは、電話線でデータを受信し、赤外線送信機を用いてデータを赤外線信号に変換し得る。バス1202につなげられた赤外線検出器が赤外線信号で運ばれたデータを受信し、データをバス1202に置く。バス1202は、データをメインメモリ1204に運び、そこからプロセッサ1203が命令を取り出し、実行する。メインメモリ1204によって受信された命令は、プロセッサ1203による実行の前又は後のいずれかに、オプションでストレージ装置1207又は1208に保存され得る。
【0042】
コンピュータシステム1201はまた、バス1202につながれた通信インタフェース1213を含む。通信インタフェース1213は、ゲートウェイ装置1299につながる双方向データ通信を提供する。例えば、通信インタフェース1213は、何らかのパケット交換LANに取り付けられたネットワークインタフェースカードである場合がある。他の例として、通信インタフェース1213は、非同期デジタル加入者回線(ADSL)カード、デジタル総合サービス網(ISDN)カード、又は対応する形式の通信線へのデータ通信接続を提供するモデムである場合がある。前記の何らかの実現において、通信インタフェース1213は、多様な形式の情報を表すデジタルのデータストリームを運ぶ電気の又は電磁気の若しくは光学の信号を送受信する。
【0043】
ネットワークリンク1214は、一般的に1つ以上のネットワークを通じて他のデータ装置にデータ通信を提供する。例えば、ネットワークリンク1214は、ローカルネットワーク(例えばLAN)を通じて、又はサービスプロバイダによって運営される装置を通じて、他のコンピュータに接続を提供し、それは通信ネットワーク1216を通じて通信サービスを提供する。ローカルネットワーク1214と通信ネットワーク1216は、例えばデジタルのデータストリームを運ぶ電気の又は電磁気の若しくは光学の信号と、関連する物理レイヤ(例えば、CAT5ケーブル、同軸ケーブル、光ファイバー等)を用いる。多様なネットワークを通じた信号と、ネットワークリンク1214上の及び通信インタフェース1213を通じた信号は、デジタルデータをコンピュータシステム1201に運び、及びそれから運び、ベースバンド信号又は搬送波信号に実現され得る。ベースバンド信号は、デジタルデータのビットのストリームを記述する変調されていない電気パルスとしてデジタル信号を伝達し、前記“ビット”という言葉は、広く符号を意味するものと解釈され、各符号は、少なくとも1つの情報ビットを伝達する。デジタルデータはまた、導電性媒体で伝搬される、又は伝搬媒体を通じて電磁気波として送信される振幅、位相、及び/又は周波数の移動で適合させた信号等で、搬送波を変調するために用いられ得る。従って、デジタルデータは、“有線”通信チャネルを通じて変調されていないベースバンドのデータとして送信され得る、及び/又は搬送波を変調することによってベースバンドと異なる所定の周波数帯域で送信され得る。
【0044】
前述の実施例に関する命令、パラメータ、参照データは、ソフトウェア及び/ファームウェアにコード化され得る。
【0045】
前述の教示を踏まえて、明らかに、本発明の多数の改良と変更が可能である。従って、ここで特別に説明した以外の方法で本発明が実行され得ることは、特許請求の範囲内であることがわかる。
【図面の簡単な説明】
【0046】
【図1】ユーザにおける遠隔ダイヤルの従来の認証プロセスを示す相互作用の図である。
【図2】本発明の一実施例のハイレベルなシステム図である。
【図3】本発明の一実施例による遠隔無線装置の認証を示す相互作用の図である。
【図4】本発明の一実施例によるメッセージフローを示すブロック図である。
【図5】本発明の一実施例による統合された無線/非無線の認証プロセスのフローチャートである。
【図6】本発明の一実施例のハイレベルなシステム図である。
【図7】本発明の1つ以上の実施例を制御するためにプログラムされた例示的なコンピュータ装置のシステム図である。
[関連する出願の相互参照]
本出願は、米国特許商標局に2001年7月24日に出願された“無線アクセスのシステム、方法、及びコンピュータプログラム製品(WIRELESS ACCESS SYSTEM, METHOD AND COMPUTER PROGRAM PRODUCT)”という題名の同一出願人による同時係属中の米国仮特許出願番号第60/307,172と、米国特許商標局に2001年8月27日に出願された“無線アクセスのシステム、方法、及びコンピュータプログラム製品(WIRELESS ACCESS SYSTEM, METHOD AND COMPUTER PROGRAM PRODUCT)”という題名の同一出願人による同時係属中の米国仮特許出願番号第60/314,656号の優先権を主張し、双方の全ての内容が参照として取り込まれる。
[発明の背景]
[技術分野]
本発明は、プライベートのデータベースとアプリケーションに安全に無線アクセスすることを提供するシステム、方法、信号、及びコンピュータプログラム製品に関するものである。特に、本発明は、プライベートネットワークのための別個の無線のセキュリティ/認証のインフラを必要とすることなく、無線装置のプライベートネットワークに安全にアクセスすることを提供することに関するものである。
[背景技術の説明]
外部のコンピュータ装置が会社のネットワークに接続されるときは常に、そのネットワークはセキュリティ侵害を更に受けやすくなりがちである。ネットワーク管理者は、侵入に対して保護するためのツールをほとんど残されていない。最新のセキュリティシステムは、一般に特定のハードウェアを必要とする、又はわずかの製品と互換性があるのみである。この問題は、多くのアクセスポイントを有する大規模のネットワークにおいて悪化する。
【0002】
この問題に対処するために、ルーセント・テクノロジー(Lucent Technologies)のインターネットワーキングシステム(InterNetworking System)が、認証ダイヤルインユーザサービス、あるいはRADIUSと呼ばれる分散型セキュリティ解決法を開発した。RADIUSは、ネットワーク化されたマルチユーザ環境において、認証、課金、及びアクセス制御を制御するために構成されたクライアントサーバ型のインターネットワーキングのセキュリティプロトコルの例である。RADIUSは、特定のハードウェアを必要としないセキュリティに対する方法に基づくソフトウェアプロトコルを提供する。分散されたセキュリティは、ユーザ認証及び許可を通信プロセスから分離し、ユーザ認証データのための単一の中央のロケーションを作る。RADIUSプロトコルは、1997年4月の日付のインターネット技術標準化タスクフォース(IETF)のインターネット規約(RFC)2138と、1997年4月の日付のRFC2139に規定されており、双方の全ての内容が参照として取り込まれる。RADIUSは、W.Richard Stevensによるプロトコル(Protocol)(1994)と、Pete LoshinによるTCP/IP明瞭解説(TCP/IP Clearly Explained)第3版において示されるTCP/IPにおいて定義されたTCP/IPのアプリケーション層のプロトコルであり、双方の内容が参照として取り込まれる。
【0003】
IETFによって以前に規定された分散されたセキュリティのモデルに基づき、RADIUSは、オープンで拡張性のあるクライアント/サーバのセキュリティシステムを提供する。RADIUSサーバは、サードパーティのセキュリティ製品又は独自のセキュリティシステムと容易に連動するのに適する。これまでは、多くの形式の通信サーバ又はネットワークハードウェアがRADIUSクライアントのプロトコルに対応し、RADIUSサーバと通信が可能である。RADIUSは広く受け入れられた遠隔認証プロトコルになっている。
【0004】
RADIUSは、権限のないアクセスに対してシステムを安全にする分散されたセキュリティのシステムに対応する。RADIUS認証に基づくシステムは、RADIUS認証サーバとRADIUSクライアントを含む。従来のRADIUSシステムにおいて、ユーザ認証とネットワークサービスアクセス情報は、RADIUS認証サーバに位置する。RADIUSは、ユーザの要求条件に基づく多様な形式の前記情報に対応する。RADIUSは、例えばUNIX(登録商標)のパスワードファイルや、ネットワーク情報サービス(NIS)や、別に維持されているRADIUSデータベースに対して、一般的な形式でユーザを認証する。RADIUS準拠の通信サーバはRADIUSクライアントとRADIUSサーバを接続するように動作する。RADIUSクライアントは、RADIUS認証要求をRADIUSサーバに送信し、RADIUSサーバによって返送された応答で動作する。
【0005】
RADIUSは、クライアントとサーバ間で一連の特別に形式化されたメッセージを含むプロトコルを通じて、ユーザの認証をするために用いられる。RADIUSユーザが認証されると、RADIUSクライアントは、適切なネットワークサービスへのアクセスをそのRADIUSユーザに提供する。
【0006】
図1は、インターネット上で認証を提供する例示的な従来のRADIUSシステムの相互作用の図である。図の要素107によって示される時間の経過によって示される通り、図におけるイベントの順は上から下に流れる。図1に示す通り、インターネットサービスプロバイダ(ISP)102のアクセスポイント(POP)103にダイヤルすることにより、エンドユーザ101がセッションを開始する。その後、ISPのPOP103は、エンドユーザ101が身分を証明することを要求する109。それに応答して、エンドユーザ101は、例えばユーザIDとパスワードとアクセスサーバの識別子を提供する110。その後、ISPのPOP103は、ユーザ認証情報を含むRADIUSアクセス要求メッセージ111をRADIUSサーバであるその独自のISP認証サーバ104に送信し、応答を待つ117。RADIUSアクセス要求メッセージ111において提供されたユーザ認証情報に基づき、ISP認証サーバ104は、エンドユーザ101がアクセスサービスプロバイダ105のユーザであることを認識する。アクセスサービスプロバイダ105は、この例において、会社の内部のセキュアネットワーク(例えばXYZ会社106)への遠隔のエンドユーザ101のアクセスを管理するサードパーティである。ファイバーリンク・コミュニケーションズ会社(FIBERLINK COMMUNICATIONS CORPORATION)が、前記の形式のサービスを提供する会社の例である。従って、ISP認証サーバ104がユーザ識別情報を含むRADIUSアクセス要求メッセージ113をアクセスサービスプロバイダ105に送信し、応答を待つ116。RADIUSアクセス要求メッセージ113において提供されたユーザ識別情報に基づき、アクセスサービスプロバイダ105は、エンドユーザ101がXYZ会社106のユーザであることを認識する。それ故に、アクセスサービスプロバイダ105は、ユーザ識別情報を含むRADIUSアクセス要求メッセージ114をXYZ会社106に送信し、応答を待つ115。その後、XYZ会社106が、前記特定のエンドユーザ101へのRADIUS認証を実行し、RADIUSアクセス許可又はRADIUSアクセス拒否メッセージ115をアクセスサービスプロバイダ105に返信し、それがRADIUSアクセス許可又はRADIUSアクセス拒否メッセージ116をISP認証サーバ104に転送し、次にそれがRADIUSアクセス許可又はRADIUSアクセス拒否メッセージ117をISPのPOP103に転送し、対応するアクセス許可/アクセス拒否状態メッセージ118を生成し、エンドユーザ101に送信する。
【0007】
前述の機能に関する制限は、無線のユーザとそのアプリケーションに容易に対応しないということである。無線装置(例えば、個人情報端末(PDA)や無線のラップトップ)は、人気のある生産性向上ツールになっており、携帯性を考えると、遠隔ロケーションからセキュアネットワーク上のアプリケーションとデータベースにアクセスする望ましいツールになっている。一般的に、アクセスは、無線ネットワークプロバイダを通じてアクセスされるインターネットを介する。無線ネットワークプロバイダはISPが提供するサービスを提供しないため、遠隔無線装置からRADIUS認証された通信を有する機能が制限される。従って、無線遠隔アクセスの利便性を提供することと、セキュアネットワークを維持することとの間に均衡が作られる。
【0008】
この問題に対する1つの提案された解決法は、無線ユーザと無線データサービスと無線サービスで用いられる通信技術の要求に合わせた並列認証を提供することである。しかし、組織において1つ以上の認証データベースを維持することは、従業者又は他の許可されたユーザが到着、出発、又はアクセス状態を変更すると、複数のデータベースを更新しなければならない情報セキュリティ要員にとって管理上の負担になる。更に、1つ以上の認証データベースを維持することは、異なるパスワードを維持し、無線及び非無線のアクセスの異なる情報セキュリティ技術について訓練を受ける必要があり得るユーザにとって操作上の不快になる。更に、ネットワークに多くの経路が提供さればされるほど、セキュリティ侵害又は故障が多く生じる。
[発明の概要]
本発明者は、アクセスされるネットワークに要求されるセキュリティのレベルを妥協することなく、無線装置への安全なアクセスを提供する必要があることを認識した。本発明者は、多くの無線装置が限られた処理能力を有しているため、無線装置でRADIUS機能を提供することは受け入れることのできる解決法ではないことを更に認識した。本発明の発明者は、無線装置からの非RADIUS認証メッセージをRAIDUS認証メッセージに変換する機能を提供することによって、無線装置を認証するために既存のRADIUS認証インフラが用いられ得ることを認識した。
【0009】
従って、本発明の1つの目的は、それ自体にRADIUS機能を有さない無線装置にRADIUS認証を提供するシステムと装置と通信プロトコルと方法を提供することである。
【0010】
本発明の更なる目的は、統合された無線/非無線のセキュリティインフラを維持するための方法と通信プロトコルを提供することである。
【0011】
前述と他の目的が本発明によって取り組まれ、それは、無線装置からセキュアネットワークへのアクセスを認証し、課金し、制御する新規なシステムと方法と信号とコンピュータプログラム製品を含む。セキュアネットワークへの遠隔アクセスを要求する無線装置は、無線アクセスサービスプロバイダに認証の要求を送信する。無線アクセスサービスプロバイダは、前記要求を受信し、正規の認証要求を作り、又はセキュアネットワークの認証システムに従って無線装置から生じた認証要求を中継し、セキュアネットワークに認証要求を転送する。最終的な認証要求は正規の要求であるため、非無線の遠隔ユーザと同じように、同じセキュリティインフラを用いる同じ方法でセキュアネットワークが無線ユーザを処理する。認証要求の結果は、正規の認証プロトコルを介してセキュアネットワークから無線サービスプロバイダに送信される。無線アクセスサービスプロバイダは、その結果を無線装置に互換性のある形式に変換し、最後に対応するアクセス許可/拒否状態メッセージを生成し、無線通信リンク上で無線装置に送信する。
【0012】
本発明の一実施例において、無線装置は、ハイパーテキスト転送プロトコル(HTTP)メッセージを介して無線アクセスサービスプロバイダと通信し、無線アクセスサービスプロバイダとセキュアネットワークは無線ユーザのためのRADIUS認証を実行する。
【0013】
本発明の一実施例において、無線アクセスサービスプロバイダは、無線装置のためのセキュアネットワークへの遠隔アクセスを管理するサービスを提供するサードパーティである。
【0014】
本発明の他の実施例において、無線アクセスサービスプロバイダは、遠隔無線ユーザを有する組織のセキュリティ環境内に収容される。
[好ましい実施例の詳細な説明]
本発明の更に完全な認知とその多くの付随する利点が、添付の図面と共に検討される次の詳細な説明を参照することによって更に良く理解されることと同様に、容易に得られる。
【0015】
図を参照すると、図2は、本発明の一実施例による相互に作用する多様な要素を示すハイレベルなシステム図である。図2に示す通り、システムは、例えばPDAのような無線装置201を含む。無線装置201は、無線トランシーバー202とデータセンター203を通じて、例えばインターネットのようなIPネットワーク204へのアクセスを得る。本発明の背景で説明したとおり、無線ユーザ201は、インターネットサービスプロバイダ(ISP)のアクセスポイント(POP)を通じてインターネットへのアクセスを得るのではなく、データセンター203を介して直接アクセスを得る。データセンター203は、例えばIPパケットを作り、IPネットワーク204と無線装置201との間の仲介としての役割をする。
【0016】
図の要素209はセキュアネットワークへの遠隔アクセスを管理するサービスを提供するサービスプロバイダを表す。例えば、図の要素209は、XYZ会社210のセキュアネットワークへの遠隔アクセスを管理するサービスを提供するファイバーリンク・コミュニケーションズ会社(FIBERLINK COMMUNICATIONS CORPORATION)を表す場合がある。XYZ会社210のアクセスネットワークへのアクセスは、RADIUS認証データベース208にアクセスするRADIUS認証サーバ207によって制御される。本発明の背景で説明したとおり、RADIUSは広く受け入れられた遠隔認証プロトコルである。しかし、本発明は決してRADIUSに基づく実現に限定されるものではないことがわかる。逆に、本発明の概念は、何らかの認証プロトコルに同等に適用可能である。
【0017】
RADIUSプロトコルは、RADIUSクライアントがRADIUSサーバと通信し、認証プロセスを実行することを要求する。それ故に、RADIUSクライアントは、RADIUSメッセージを受信し、分析するだけでなく、RADIUSサーバに送信され得るRADIUSメッセージを作ることができなければならない。従って、クライアントアプリケーションはこの必須の処理を実行する必要がある。本発明者によって認識された通り、RADIUSクライアントの処理の負担を一般的な無線装置に設置することは望ましくない。わかる通り、PDAのような一般的な無線装置は、限られた処理能力を有しており、RADIUSのようなインフラのアプリケーションより、ユーザアプリケーションに処理能力を割り当てることが更に望ましい。
【0018】
RADIUSクライアントの要求を処理することが、例えばXYZ会社210のセキュアネットワークへの遠隔アクセスを管理するサービスを提供するサードパーティ209にゆだねられることを認識したのは本発明者である。従って、図2に示す通り、無線アクセスサービスプロバイダ205は、無線ユーザ201からのアクセスを認証するRADIUSクライアントとしての役割をする。更に詳細に以下に説明するとおり、無線アクセスサービスプロバイダ205は、無線ユーザ201の代わりにRADIUS認証サーバ207でRADIUS認証を実行する変換器としての役割をする。本発明の一実施例において、無線ユーザ201は、例えばハイパーテキスト転送プロトコル(HTTP)メッセージを用いてIPネットワーク204を介して、無線アクセスサービスプロバイダ205と通信する。HTTPはPDAやラップトップコンピュータのような無線装置で広く対応されており、無線ユーザ201に追加の負担をかけない。従って、無線アクセスサービスプロバイダ205は、無線エンドユーザ201からのHTTPメッセージに含まれた認証の要求を、XYZ会社210のRADIUS認証サーバ207でRADUIS認証を起動するために用いられるRADIUS認証要求に変換する。前記RADIUS認証要求は、IPネットワーク204を介してXYZ会社210のRADIUS認証サーバ207に送信される。更に、他のRADIUSメッセージ、例えばRADIUSアカウントの開始/終了メッセージが、IPネットワーク204を介して無線アクセスサービスプロバイダ205からXYZ会社210のRADIUS認証サーバ207に送信され得る。また、セッション開始、セッション終了、又はセッションタイムアウトのメッセージが、IPネットワーク204を介して、無線アクセスサービスプロバイダ205と、無線ユーザ210と、無線アプリケーションゲートウェイ206の間で交換され得る。
【0019】
本発明者はまた、RADIUSクライアントの要求を処理することが、例えばXYZ会社内に置かれた無線認証の専用の別の装置にゆだねられ、IPネットワーク204を介してXYZ会社210のRADIUS認証サーバ207と通信するように構成されることを認識した。このように、他の実施例において、無線アクセスサービスプロバイダ205は、XYZ会社210の区域内に置かれ、IPネットワーク204を介して、RADIUS認証サーバ207と無線ユーザ201と無線アプリケーションゲートウェイ206と通信するように構成される。この他の実施例において、無線アクセスサービスプロバイダ205は、XYZ会社210のプライベートIPネットワークを介して、RADIUS認証サーバ207と無線アプリケーションゲートウェイ206と通信し、無線アクセスサービスプロバイダ205は、例えばインターネットのような外部のネットワークで無線ユーザ201と通信する。この他の実施例において、無線アクセスサービスプロバイダ205と無線アプリケーションゲートウェイ206の双方が同じコンピュータで動くコンピュータプログラムとして実現され、この場合には2つのコンピュータプログラムが通信するためにIPネットワークが必要ないことを、その技術に熟練した人は認識するだろう。
【0020】
図3は、無線エンドユーザ301のRADIUS認証を実行するときに送信される多様なメッセージを示す相互作用の図である。図の要素305によって示される時間の経過によって示される通り、図におけるイベントの順は上から下に流れる。図3に示す通り、無線ネットワークプロバイダ302に連絡することによって306、無線エンドユーザ301がセッションを開始する。無線ネットワークプロバイダ302は、無線エンドユーザ301が有効なユーザであるかどうかを判断し、そうである場合は、発呼者が無線ネットワークサービスプロバイダ302のユーザとして認証されたことを示すメッセージ307を無線エンドユーザ301に送信する。無線エンドユーザ301がセキュアネットワークへのアクセスを希望する場合は、無線エンドユーザ301は、無線アクセスサービスプロバイダ303に認証要求308を送信する。本発明の一実施例において、無線エンドユーザ301からの認証要求メッセージは、例えば無線エンドユーザのユーザ識別子とパスワードとIPアドレスとを含み得る。前述の通り、本発明の一実施例において、無線アクセスサービスプロバイダ303は、XYZ会社304のセキュアネットワークへの遠隔アクセスを管理するサービスをXYZ会社304に提供するサードパーティである。本発明の他の実施例において、無線アクセスサービスプロバイダ303は、XYZ会社304の内部のインフラの一部である。
【0021】
図3を続けて、無線アクセスサービスプロバイダ303による認証要求の受信により、無線アクセスサービスプロバイダは、XYZ会社304のRADIUSサーバとのRADIUS認証セッションを起動するために用いられるRADIUSメッセージを生成する。XYZ会社のセキュアネットワークへのアクセスを要求するRADIUSメッセージ309は、認証要求メッセージ308にエンドユーザ301から送信された情報を含む。
【0022】
RADIUS認証要求メッセージ309の受信により、XYZ会社304のセキュアネットワークに存在するRADIUSサーバは、RADIUS認証データベースにアクセスすることにより、無線エンドユーザ301を認証することを試みる。その後、XYZ会社304のRADIUS認証サーバは、アクセスが許可された、又は拒否されたことを示すRADIUSメッセージ310を無線アクセスサービスプロバイダ303に返信する。無線アクセスサービスプロバイダは、XYZ会社304から受信したRADIUSメッセージ310を解釈し、無線エンドユーザ301に認証結果を返信する非RADIUSメッセージ311を生成する。前述の通り、無線エンドユーザ301と無線アクセスサービスプロバイダとの間の通信は、本発明の一実施例においてHTTPメッセージである。
【0023】
XYZ会社304の観点からは、無線エンドユーザ301は、インターネットサービスプロバイダを通じてXYZ会社304のセキュアネットワークにアクセスを要求する一般的なダイヤルインのユーザとは異ならない。従って、本発明者によって認識された通り、他の遠隔のユーザによって用いられる同じ認証インフラを利用して、無線エンドユーザ301が認証され得る。
【0024】
図4は、本発明の一実施例による無線エンドユーザのRADIUS認証を実行する場合の例示的なメッセージフローを示すブロック図である。図4に示す通り、無線ユーザは、無線ユーザのユーザIDとパスワードとIPアドレスを含むHTTPメッセージ401をデータセンター402に送信する。データセンター402は、認証要求情報を含むTCP/IPパケット403を生成し、そのTCP/IPパケットを例えばインターネットに配置する。そのTCP/IPパケットは、無線アクセスサービスプロバイダ404に経路を定められる。無線アクセスサービスプロバイダ404は、HTTPメッセージを認証要求として認識し、認証要求情報をユーザIDとパスワードとIPアドレスを含むRADIUSメッセージ405に再構成する。RADIUSメッセージ405は、TCP/IPパケットとしてXYZ会社のRADIUS認証サーバ406に送信される。XYZ会社のRADIUS認証サーバ406はRADIUSメッセージ405を分析し、RADIUS認証データベースに対してRADIUS認証を実行し、前記特定の無線ユーザについてアクセスが許可又は拒否されるべきかどうかを判断する。前記判断が行われると、XYZ会社のRADIUS認証サーバは、アクセスが許可又は拒否されたこと407を示すRADIUSメッセージを生成する。RADIUS認証状態メッセージ407は、TCP/IPメッセージとして無線アクセスサービスプロバイダ408に送信される。無線アクセスサービスプロバイダ408は、RADIUSメッセージの意図された受信者が無線ユーザであることを認識し、それ故に、RADIUSメッセージをHTTPメッセージ409に再構成し、TCP/IPメッセージとしてデータセンター410に返信される。その後、データセンター410は、適切なHTTPメッセージ411を無線ユーザに送信する。図4からわかるとおり、外部の世界とXYZ会社との間の相互作用は、RADIUSプロトコルに完全に固執しており、それ故にXYZ会社の認証インフラに遠隔の無線ユーザの対応を可能にする特定の要求が設けられない。
【0025】
図5は、本発明の一実施例による統合されたRADIUS/非RADIUS認証プロセスのフローチャートである。この例において、無線アクセスサービスプロバイダは、XYZ会社への遠隔アクセスを管理するサービスを提供するサードパーティである。図5に示す通り、S501で処理が始まり、認証要求が無線アクセスサービスプロバイダによって受信される。処理はステップS502に進み、認証要求がRADIUSパケットであるかどうかが判断される。要求がRADIUSパケットである場合(すなわち、ステップS502において“yes”である場合)、処理はステップS504に進み、RADIUSパケットがXYZ会社の社内認証サーバに転送される。他方、認証要求がRADIUSパケットでないことが判断された場合(すなわち、ステップS502において“no”である場合)、処理はステップS503に進み、認証要求がRADIUSメッセージとして再構成される。認証要求がRADIUSメッセージとして再構成されると、処理は前述のステップS504に進み、RADIUSパケットがXYZ会社の社内認証サーバに転送される。
【0026】
その後、処理はステップS505に進み、XYZ会社のRADIUS認証サーバがユーザの認証を試みてRADIUS認証データベースにクエリを行う。処理はステップS506に進み、ユーザが認証されたかどうかが判断される。ユーザが認証された場合(すなわち、ステップS506で“yes”の場合)、処理はステップS507に進み、XYZ会社のRADIUS認証サーバからサードパーティの無線アクセスサービスプロバイダに確認メッセージが送信される。他方、ユーザが認証されない場合(すなわち、ステップS506で“no”の場合)、処理はステップS508に進み、XYZ会社のRADIUS認証サーバが、サードパーティの無線アクセスサービスプロバイダに認証失敗メッセージを送信する。
【0027】
ステップS507又はステップS508のいずれかにおいて認証状態メッセージがサードパーティの無線アクセスサービスプロバイダに送信された後、処理はステップS509に進み、エンドユーザが無線クライアントであるかどうかをサードパーティの無線アクセスサービスプロバイダが判断する。認証を要求しているエンドユーザが無線クライアントであると判断された場合(すなわち、ステップS509で“no”の場合)、処理はステップS510に進み、認証要求を起動したRADIUSクライアントにRADIUS認証結果メッセージが戻される。認証結果メッセージがRADIUSクライアントに送信された後に、処理が終了する。
【0028】
他方、エンドユーザが無線クライアントであると判断された場合(すなわち、ステップS509で“yes”の場合)、処理はステップS511に進み、サードパーティの無線アクセスサービスプロバイダは、RADIUSメッセージからの認証結果メッセージを、無線エンドユーザと互換性のあるメッセージに再構成する。サードパーティの無線アクセスサービスプロバイダが認証結果メッセージを再構成した後に、処理はステップS512に進み、再構成された認証結果メッセージが非RADIUSのエンドユーザに送信される。認証結果が送信された後に処理は終了する。
【0029】
図6は、無線アクセスサービスプロバイダ607がXYZ会社614の外部に位置する、本発明の一実施例に対応した統合されたRADIUS/非RADIUS認証システムのハイレベルなシステム図である。統合されたRADIUS/非RADIUS認証システムにおいて、何らかの遠隔装置(無線ネットワークデータセンター603と無線トランシーバー602を介して通信する無線装置601、又はISP606を介して通信する非無線装置605のいずれか)は、XYZ614の内部に置かれたセキュアアプリケーションと通信が可能である。無線ネットワークデータセンター603とISP606の双方は、IPネットワーク604を介してXYZ会社にIPトラヒックを中継するように構成される。
【0030】
無線装置によって提供されるユーザ情報とパスワードに基づき、無線アクセスサービスプロバイダ607によってRADIUS認証要求メッセージが、IPネットワーク604を介してXYZ会社614に置かれたRADIUS認証サーバ608に再構成される(遠隔装置が無線装置601の場合)、又は中継される(無線装置が非無線装置である場合)。RADIUS認証サーバ608は、認証要求メッセージに含まれる情報をRADIUS認証データベース609と照合し、IPネットワーク604を介してRADIUS認証許可メッセージ又はRADIUS認証拒否メッセージのいずれかで無線アクセスサービスプロバイダ607に応答する。更に、ユーザのアカウントが有効及び失効になると、無線アクセスサービスプロバイダ607とRADIUS認証サーバ608はIPネットワーク604を介してRADIUSアカウントメッセージを交換する。
【0031】
オプションで、無線アクセスサービスプロバイダ607は、無線セッションが終了したことを判断し、それによって遠隔装置(例えば、無線装置601又は非無線装置605)及び対応するゲートウェイ装置(例えば、無線アプリケーションゲートウェイ601又は非無線アプリケーションゲートウェイ617)に通知するタイマーを動作するように構成され得る。遠隔装置(すなわち、無線装置601又は非無線装置605)と対応するゲートウェイ装置(すなわち、無線アプリケーションゲートウェイ610又は非無線アプリケーションゲートウェイ617)との間の実際のトラヒックは、対応するパス(すなわち、無線データパス616と非無線データパス615)上でIPネットワーク604を介して交換される。異なるアクセス装置に異なるアクセス権限を提供することも可能である(例えば、無線装置601を使用する場合にユーザAは第1のセキュアアプリケーション611にアクセスすることを許可される場合があり、非無線装置605を使用する場合にユーザAは第1のセキュアアプリケーション611と第2のセキュアアプリケーション612と第3のセキュアアプリケーション613にアクセスすることを許可される場合がある)。他の実施例において、統合された無線/非無線の認証環境は、IPネットワーク604を介して無線装置601と無線アプリケーションゲートウェイ610とRADIUS認証サーバ608と通信を行う、XYZ会社614の区域内に無線アクセスサービスプロバイダ607を含み得る。この実施例において、無線アクセスサービスプロバイダ607は、XYZ会社614のプライベートIPネットワークを介してRADIUS認証サーバ608と無線アプリケーションゲートウェイ610と通信し、無線アクセスサービスプロバイダ607は、例えばインターネットのような外部のネットワーク上で無線ユーザ601と通信する。前記他の実施例において、無線アクセスサービスプロバイダ607と無線アプリケーションゲートウェイ610が同じコンピュータで動くコンピュータプログラムとして実現され、この場合には2つのコンピュータプログラムが通信するためにIPネットワークが必要ないことを、その技術に熟練した人は認識するだろう。
【0032】
図7は、本発明の第1又は第2の実施例のいずれかが実現され得るコンピュータシステム1201のブロック図である。コンピュータシステム1201は、バス1202又は情報を通信する他の通信手段と、バス1202につなげられ、情報を処理するプロセッサ1203を含む。コンピュータシステム1201はまた、ランダムアクセスメモリ(RAM)又は他の動的ストレージ装置(例えば、ダイナミックRAM(DRAM)や、スタティックRAM(SRAM)や、シンクロナスDRAM(SDRAM))のような、バス1202につなげられ、プロセッサ1203によって実行される情報と命令を保存するメインメモリ1204を含む。更に、メインメモリ1204は、プロセッサ1203による命令の実行中に一時的な変数又は中間情報を保存するために用いられ得る。コンピュータシステム1201は、バス1202につなげられ、プロセッサ1203のための静的な情報と命令を保存する読み取り専用メモリ(ROM)1205又は他の静的ストレージ装置(例えば、プログラム可能ROM(PROM)や、消去可能PROM(EPROM)や、電子的消去可能PROM(EEPROM))を更に含む。
【0033】
コンピュータシステム1201はまた、バス1202につなげられ、磁気ハードディスクや取り外し可能媒体ドライブ(例えば、フロッピー(登録商標)ディスクドライブや、読み取り専用コンパクトディスクドライブや、読み取り/書き込みコンパクトディスクドライブや、コンパクトディスク・ジュークボックスや、テープドライブや、光磁気ディスク)のように、情報と命令を保存する1つ以上のストレージ装置を制御するディスクコントローラ1206を含む。ストレージ装置は、適切な装置インタフェース(例えば、小型コンピュータ用周辺機器インタフェース(SCSI)や、統合デバイスエレクトロニクス(Integrated device electronics)(IDE)や、拡張IDE(E−IDE)や、ダイレクトメモリアクセス(DMA)や、ウルトラDMA(ultra−DMA))を用いてコンピュータシステム1201に追加され得る。
【0034】
コンピュータシステム1201はまた、特定目的論理素子(例えば、特定用途向け集積回路(ASIC))又は構成可能論理素子(例えば、単純プログラム可能論理素子(SPLD)や、統合プログラム可能論理素子(CPLD)や、フィールド・プログラマブル・ゲート・アレイ(field programmable gate array)(FPGA))を含み得る。
【0035】
コンピュータシステム1201はまた、バス1202につなげられ、陰極線管(CRT)のように、コンピュータユーザに情報を表示するディスプレイ1201を制御するディスプレイコントローラ1209を含み得る。コンピュータシステムは、キーボード1211やポインティング装置1212のように、コンピュータユーザと相互作用し、プロセッサ1203に情報を提供する入力装置を含む。ポインティング装置1212は、例えばマウス、トラックボール、又は命令情報とコマンド選択をプロセッサ1203に通信し、ディスプレイ1210のカーソルの動きを制御するポインティングスティックである場合がある。更に、プリンタは、コンピュータシステム1201によって保存又は生成されたデータの印刷されたリストを提供し得る。
【0036】
コンピュータシステム1201は、メインメモリ1204のようなメモリに含まれる1つ以上の命令の1つ以上のシーケンスを実行するプロセッサ1203に応じて、本発明の処理ステップの一部又は全てを実行する。前記の命令は、ハードディスク1207又は取り外し可能媒体ドライブ1208のような他のコンピュータ読み取り可能媒体から、メインメモリ1204に読み込まれ得る。多重処理構成の1つ以上のプロセッサもまた、メインメモリ1204に含まれる命令のシーケンスを実行するために用いられ得る。他の実施例において、配線回路がソフトウェア命令の代わりに、又はそれと共に用いられ得る。従って、実施例は、ハードウェア回路とソフトウェアの何らかの特定の組み合わせに限定されない。
【0037】
前述の通り、コンピュータシステム1201は、本発明の教示に従ってプログラムされた命令を保持し、ここで説明されたデータ構造、テーブル、レコード、又は他のデータを含むための少なくとも1つのコンピュータ読み取り可能媒体又はメモリを含む。コンピュータ読み取り可能媒体の例は、コンパクトディスク、ハードディスク、フロッピー(登録商標)ディスク、テープ、光磁気ディスク、PROM(EPROM、EEPROM、フラッシュPROM)、DRAM、SRAM、SDRAM、又は何らかの他の磁気媒体、コンパクトディスク(例えばCD−ROM)、又は何らかの他の光媒体、パンチカード、紙テープ、又は穴のパターンを備えた他の物理媒体、搬送波(後述する)、又はコンピュータが読み取り可能な何らかの他の媒体である。
【0038】
コンピュータ読み取り可能媒体の何らかの1つ又は組み合わせに保存されると、本発明は、コンピュータシステム1201を制御し、本発明を実現する装置又は装置群を駆動し、コンピュータシステム1201が人間のユーザと相互作用することを可能にするソフトウェアを含む。前記のソフトウェアは、デバイス・ドライバと、オペレーティングシステムと、開発ツールを含む場合があり、それらに限定されない。前記のコンピュータ読み取り可能媒体は、本発明を実現する際に実行される処理の全て又は一部(処理が分散されている場合)を実行するための本発明のコンピュータプログラム製品を更に含む。
【0039】
本発明のコンピュータコードは、スクリプトと、インタープリタ可能プログラムと、ダイナミックリンクライブラリ(DLL)と、Java(登録商標)のクラスと、完全な実行可能プログラムを含み、それらに限定されない何らかのインタープリタ可能又は実行可能コードの仕組みである場合がある。更に、本発明の処理の一部は、更に良い性能、信頼性、及び/又はコストのために分散され得る。
【0040】
ここで用いられる“コンピュータ読み取り可能媒体”という言葉は、プロセッサ1203に実行のための命令を提供することに関与する何らかの媒体を参照する。コンピュータ読み取り可能媒体は、不揮発性媒体と、揮発性媒体と、送信媒体を含み、それらに限定されない多様な形式をとる場合がある。不揮発性媒体は、例えばハードディスク1207のような光学ディスクや、磁気ディスクや、光磁気ディスク、又は取り外し可能媒体ドライブ1208を含む。揮発性媒体は、メインメモリ1204のようなダイナミックメモリを含む。送信媒体は、バス1202を構成する線を含む同軸ケーブルと銅線と光ファイバーを含む。送信媒体はまた、電波中に生成されたものや、赤外線データ通信のような、音波又は光波の形式をとる場合がある。
【0041】
多様な形式のコンピュータ読み取り可能媒体が、実行のためのプロセッサ1203の1つ以上の命令の1つ以上のシーケンスを実行することに含まれ得る。例えば、命令は最初に遠隔コンピュータの磁気ディスクで処理され得る。遠隔コンピュータは、本発明の全て又は一部を実行する命令をダイナミックメモリにロードし、モデムを用いて電話線上で命令を送信し得る。コンピュータシステム1201の方のモデムは、電話線でデータを受信し、赤外線送信機を用いてデータを赤外線信号に変換し得る。バス1202につなげられた赤外線検出器が赤外線信号で運ばれたデータを受信し、データをバス1202に置く。バス1202は、データをメインメモリ1204に運び、そこからプロセッサ1203が命令を取り出し、実行する。メインメモリ1204によって受信された命令は、プロセッサ1203による実行の前又は後のいずれかに、オプションでストレージ装置1207又は1208に保存され得る。
【0042】
コンピュータシステム1201はまた、バス1202につながれた通信インタフェース1213を含む。通信インタフェース1213は、ゲートウェイ装置1299につながる双方向データ通信を提供する。例えば、通信インタフェース1213は、何らかのパケット交換LANに取り付けられたネットワークインタフェースカードである場合がある。他の例として、通信インタフェース1213は、非同期デジタル加入者回線(ADSL)カード、デジタル総合サービス網(ISDN)カード、又は対応する形式の通信線へのデータ通信接続を提供するモデムである場合がある。前記の何らかの実現において、通信インタフェース1213は、多様な形式の情報を表すデジタルのデータストリームを運ぶ電気の又は電磁気の若しくは光学の信号を送受信する。
【0043】
ネットワークリンク1214は、一般的に1つ以上のネットワークを通じて他のデータ装置にデータ通信を提供する。例えば、ネットワークリンク1214は、ローカルネットワーク(例えばLAN)を通じて、又はサービスプロバイダによって運営される装置を通じて、他のコンピュータに接続を提供し、それは通信ネットワーク1216を通じて通信サービスを提供する。ローカルネットワーク1214と通信ネットワーク1216は、例えばデジタルのデータストリームを運ぶ電気の又は電磁気の若しくは光学の信号と、関連する物理レイヤ(例えば、CAT5ケーブル、同軸ケーブル、光ファイバー等)を用いる。多様なネットワークを通じた信号と、ネットワークリンク1214上の及び通信インタフェース1213を通じた信号は、デジタルデータをコンピュータシステム1201に運び、及びそれから運び、ベースバンド信号又は搬送波信号に実現され得る。ベースバンド信号は、デジタルデータのビットのストリームを記述する変調されていない電気パルスとしてデジタル信号を伝達し、前記“ビット”という言葉は、広く符号を意味するものと解釈され、各符号は、少なくとも1つの情報ビットを伝達する。デジタルデータはまた、導電性媒体で伝搬される、又は伝搬媒体を通じて電磁気波として送信される振幅、位相、及び/又は周波数の移動で適合させた信号等で、搬送波を変調するために用いられ得る。従って、デジタルデータは、“有線”通信チャネルを通じて変調されていないベースバンドのデータとして送信され得る、及び/又は搬送波を変調することによってベースバンドと異なる所定の周波数帯域で送信され得る。
【0044】
前述の実施例に関する命令、パラメータ、参照データは、ソフトウェア及び/ファームウェアにコード化され得る。
【0045】
前述の教示を踏まえて、明らかに、本発明の多数の改良と変更が可能である。従って、ここで特別に説明した以外の方法で本発明が実行され得ることは、特許請求の範囲内であることがわかる。
【図面の簡単な説明】
【0046】
【図1】ユーザにおける遠隔ダイヤルの従来の認証プロセスを示す相互作用の図である。
【図2】本発明の一実施例のハイレベルなシステム図である。
【図3】本発明の一実施例による遠隔無線装置の認証を示す相互作用の図である。
【図4】本発明の一実施例によるメッセージフローを示すブロック図である。
【図5】本発明の一実施例による統合された無線/非無線の認証プロセスのフローチャートである。
【図6】本発明の一実施例のハイレベルなシステム図である。
【図7】本発明の1つ以上の実施例を制御するためにプログラムされた例示的なコンピュータ装置のシステム図である。
Claims (31)
- クライアントサーバ型のインターネットワーキングのセキュリティプロトコルを介してセキュアアプリケーションにアクセスする無線装置を提供する方法であって、
ネットワーク化されたマルチユーザ環境において、認証の制御と課金の実行とアクセス制御の提供のうちの少なくとも1つを行うように構成され、
前記無線装置から無線ネットワークにアクセスするステップと、
前記無線装置から、ユーザ識別及び認証情報を処理するように構成された無線アクセスサービス機構に、ユーザ識別及び認証情報を送信するステップと、
無線アクセスサービス機構によって、前記ユーザ識別及び認証情報に基づき、クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証要求メッセージを作るステップと、
前記無線アクセスサービス機構から、クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証を実行するように構成されたクライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証装置に、前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証要求メッセージを送信するステップと
を有する方法。 - 請求項1に記載の方法であって、
前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルがRADIUSからなる方法。 - 請求項2に記載の方法であって、
前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証要求メッセージを送信するステップが、直接接続とローカルネットワークのうちの1つを介して送信することを含む方法。 - 請求項3に記載の方法であって、
前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証装置によって前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証要求メッセージを処理し、
直接接続とローカルネットワークのうちの1つを介して、前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証装置から、前記無線アクセスサービス機構に、クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証許可メッセージとクライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証拒否メッセージのうちの少なくとも1つを送信することを更に有する方法。 - 請求項4に記載の方法であって、
前記無線アクセスサービス機構でクライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証許可メッセージを処理し、
直接接続とローカルネットワークのうちの1つを介して、前記無線アクセスサービス機構から、前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証装置に、クライアントサーバ型のインターネットワーキングのセキュリティプロトコルのアクセス課金開始メッセージを送信し、
直接接続とローカルネットワークのうちの1つを介して、前記無線アクセスサービス機構から、無線ゲートウェイ装置にセッション開始メッセージを送信し、
前記無線アクセスサービス機構から、前記無線装置に、無線認証許可メッセージを送信することを更に有する方法。 - 請求項5に記載の方法であって、
前記無線アクセスサービス機構で無線タイミングパラメータを作るために、前記無線装置と前記無線ゲートウェイ装置との間の接続時間を計り、
前記無線タイミングパラメータが所定のタイミング値を超えた場合に、前記無線アクセスサービス機構から、前記無線ゲートウェイ装置と前記無線装置のうちの少なくとも1つに、セッション終了通知を送信することを更に有する方法。 - 請求項5に記載の方法であって、
直接接続とローカルネットワークのうちの1つを介して、前記アクセスサービス機構から、前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証装置に、クライアントサーバ型のインターネットワーキングのセキュリティプロトコルのアクセス認証課金終了メッセージを送信することを更に有する方法。 - 請求項6に記載の方法であって、
直接接続とローカルネットワークのうちの1つを介して、前記アクセスサービス機構から、前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証装置に、クライアントサーバ型のインターネットワーキングのセキュリティプロトコルのアクセス認証課金終了メッセージを送信することを更に有する方法。 - 請求項4に記載の方法であって、
前記無線アクセスサービス機構でクライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証拒否メッセージを処理し、
前記無線アクセスサービス機構から、前記無線装置に、無線認証拒否メッセージを送信することを更に有する方法。 - 請求項2に記載の方法であって、
前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証要求メッセージを送信する前記ステップが、グローバルネットワークを介して送信することを含む方法。 - 請求項10に記載の方法であって、
前記無線アクセスサービス機構でクライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証許可メッセージを処理し、
グローバルネットワークを介して、前記無線サービス機構から無線ゲートウェイ装置にセッション開始メッセージを送信し、
前記無線アクセスサービス機構から前記無線装置に無線認証許可メッセージを送信し、
グローバルネットワークを介して、前記無線アクセスサービス機構から、前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証装置に、クライアントサーバ型のインターネットワーキングのセキュリティプロトコルのアクセス認証課金開始メッセージを送信することを更に有する方法。 - 請求項11に記載の方法であって、
前記無線アクセスサービス機構で無線タイミングパラメータを作るために、前記無線装置と前記無線ゲートウェイ装置との間の接続時間を計り、
前記無線タイミングパラメータが所定のタイミング値を超えた場合に、前記無線アクセスサービス機構から、前記無線ゲートウェイ装置と前記無線装置のうちの少なくとも1つに、セッション終了通知を送信することを更に有する方法。 - 請求項11に記載の方法であって、
グローバルネットワークを介して、前記無線アクセスサービス機構から、前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証装置に、クライアントサーバ型のインターネットワーキングのセキュリティプロトコルのアクセス認証課金終了メッセージを送信することを更に有する方法。 - 請求項12に記載の方法であって、
グローバルネットワークを介して、前記無線アクセスサービス機構から、前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証装置に、クライアントサーバ型のインターネットワーキングのセキュリティプロトコルのアクセス認証課金終了メッセージを送信することを更に有する方法。 - 請求項10に記載の方法であって、
前記無線アクセスサービス機構でクライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証拒否メッセージを処理し、
前記無線アクセスサービス機構から、前記無線装置に、無線認証拒否メッセージを送信することを更に有する方法。 - クライアントサーバ型のインターネットワーキングのセキュリティプロトコルを介してセキュアアプリケーションに無線装置をインタフェース接続するように構成されたシステムであって、
ネットワーク化されたマルチユーザ環境において、認証の制御と課金の実行とアクセス制御の提供のうちの少なくとも1つを行うように構成され、
無線接続媒体を介して、無線サービスプロバイダに接続された前記無線装置と、
グローバル通信ネットワークを介して、前記無線サービスプロバイダに接続された無線アクセスサービス機構であって、無線認証プロトコルとクライアントサーバ型のインターネットワーキングのセキュリティプロトコルとの間を変換するように構成された無線アクセスサービス機構と、
前記無線アクセスサービス機構に接続されたクライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証装置と
を有するシステム。 - 請求項16に記載のシステムであって、
前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルがRADIUSからなるシステム。 - 請求項17に記載のシステムであって、
前記無線アクセスサービス機構に接続された無線ゲートウェイ装置と、
前記無線ゲートウェイ装置に接続されたセキュアアプリケーションと
を更に有するシステム。 - 請求項17に記載のシステムであって、
前記無線アクセスサービス機構と前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証装置が、直接接続とローカルネットワークのうちの1つによって接続されるシステム。 - 請求項17に記載のシステムであって、
前記無線アクセスサービス機構と前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証装置が、グローバルネットワークによって接続されるシステム。 - 請求項18に記載のシステムであって、
前記無線アクセスサービス機構と前記無線ゲートウェイ装置が、直接接続とローカルネットワークのうちの1つによって接続されるシステム。 - 請求項18に記載のシステムであって、
前記無線アクセスサービス機構と前記無線ゲートウェイ装置が、グローバルネットワークによって接続されるシステム。 - クライアントサーバ型のインターネットワーキングのセキュリティプロトコルを介して少なくとも1つのセキュアアプリケーションに少なくとも1つの無線クライアントアプリケーションをインタフェース接続するように構成された装置であって、
ネットワーク化されたマルチユーザ環境において、認証の制御と課金の実行とアクセス制御の提供のうちの少なくとも1つを行うように構成され、
無線認証プロトコルをクライアントサーバ型のインターネットワーキングのセキュリティプロトコルに変換し、クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証装置でクライアントサーバ型のインターネットワーキングのセキュリティプロトコル認証メッセージを交換するように構成された無線アクセスサービス機構を有する装置。 - 請求項23に記載の装置であって、
前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルがRADIUSからなる装置。 - 請求項24に記載の装置であって、
前記無線アクセスサービス機構が、無線ゲートウェイ装置と前記無線装置のうちの少なくとも1つにセッション開始メッセージを送信するように更に構成された装置。 - 請求項24に記載の装置であって、
前記無線アクセスサービス機構が、前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証装置に、クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証課金開始メッセージとクライアントサーバ型のインターネットワーキングのセキュリティプロトコルの認証課金終了メッセージのうちの少なくとも1つを送信するように更に構成された装置。 - 請求項24に記載の装置であって、
前記無線アクセスサービス機構が、無線アプリケーションのセッションの時間を計り、無線ゲートウェイ装置と無線装置のうちの少なくとも1つにセッション時間終了メッセージを送信するように更に構成された装置。 - 少なくとも1つのセキュアアプリケーションに少なくとも1つの無線クライアントアプリケーションをインタフェース接続するように構成されたシステムであって、
セキュアな無線接続を作るようにセキュアプライベートネットワークに無線クライアント装置を接続する手段であって、前記無線クライアント装置が、無線認証情報を作るように構成され、ネットワーク化されたマルチユーザ環境において、認証の制御と課金の実行とアクセス制御の提供のうちの少なくとも1つを行うように構成されたクライアントサーバ型のインターネットワーキングのセキュリティプロトコル情報に基づいて、前記セキュアプライベートネットワークがアクセスを管理するように構成された手段と、
前記無線認証情報を前記クライアントサーバ型のセキュリティプロトコルの認証情報に変換する手段と、
前記セキュアな無線接続を開始し、管理し、終了する手段と
を有するシステム。 - 請求項28に記載のシステムであって、
前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルがRADIUSからなるシステム。 - 無線認証メッセージをクライアントサーバ型のインターネットワーキングのセキュリティプロトコルのメッセージに変換し、クライアントサーバ型のインターネットワーキングのセキュリティプロトコルの装置でクライアントサーバ型のインターネットワーキングのセキュリティプロトコルメッセージを交換するように構成されたソフトウェアのユニットとファームウェアのユニットのうちの少なくとも1つを有するコンピュータプログラム製品。
- 請求項30に記載のコンピュータプログラム製品であって、
前記クライアントサーバ型のインターネットワーキングのセキュリティプロトコルがRADIUSからなるコンピュータプログラム製品。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US30717201P | 2001-07-24 | 2001-07-24 | |
| US31465601P | 2001-08-27 | 2001-08-27 | |
| PCT/US2002/023490 WO2003010669A1 (en) | 2001-07-24 | 2002-07-24 | Wireless access system, method, signal, and computer program product |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004537125A true JP2004537125A (ja) | 2004-12-09 |
Family
ID=26975580
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003515977A Pending JP2004537125A (ja) | 2001-07-24 | 2002-07-24 | 無線アクセスのシステム、方法、信号、及びコンピュータプログラム製品 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7712128B2 (ja) |
| EP (1) | EP1410212B1 (ja) |
| JP (1) | JP2004537125A (ja) |
| WO (1) | WO2003010669A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017507592A (ja) * | 2014-02-07 | 2017-03-16 | オラクル・インターナショナル・コーポレイション | モバイルクラウドサービスアーキテクチャ |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003029916A2 (en) * | 2001-09-28 | 2003-04-10 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
| US7469294B1 (en) * | 2002-01-15 | 2008-12-23 | Cisco Technology, Inc. | Method and system for providing authorization, authentication, and accounting for a virtual private network |
| US20040107274A1 (en) * | 2002-12-03 | 2004-06-03 | Mastrianni Steven J. | Policy-based connectivity |
| US7225263B1 (en) * | 2002-12-04 | 2007-05-29 | Cisco Technology, Inc. | Method and apparatus for retrieving access control information |
| US8272037B2 (en) * | 2003-03-14 | 2012-09-18 | Thomson Licensing | Flexible WLAN access point architecture capable of accommodating different user devices |
| KR100577390B1 (ko) * | 2003-04-16 | 2006-05-10 | 삼성전자주식회사 | 인증을 위한 네트워크 장치와 시스템 및 상기 장치를이용한 네트워크 장치 인증방법 |
| US8571222B1 (en) | 2003-08-13 | 2013-10-29 | Verizon Corporate Services Group Inc. | System and method for wide area wireless connectivity to the internet |
| FR2861934B1 (fr) * | 2003-10-30 | 2006-01-27 | Wavecom | Procede et dispositif d'acces a un terminal serveur mobile d'un premier reseau de communication au moyen d'un terminal client d'un autre reseau de communication. |
| US7533407B2 (en) | 2003-12-16 | 2009-05-12 | Microsoft Corporation | System and methods for providing network quarantine |
| US8005476B2 (en) | 2004-04-16 | 2011-08-23 | Broadcom Corporation | Providing access dependent services via a broadband access gateway |
| US20050267954A1 (en) * | 2004-04-27 | 2005-12-01 | Microsoft Corporation | System and methods for providing network quarantine |
| KR100820669B1 (ko) * | 2004-06-16 | 2008-04-10 | 엘지전자 주식회사 | 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치 |
| US20060085850A1 (en) * | 2004-10-14 | 2006-04-20 | Microsoft Corporation | System and methods for providing network quarantine using IPsec |
| CN100563156C (zh) * | 2005-02-05 | 2009-11-25 | 华为技术有限公司 | 实现用户信息同步及对用户终端鉴权的方法 |
| US20070047477A1 (en) * | 2005-08-23 | 2007-03-01 | Meshnetworks, Inc. | Extensible authentication protocol over local area network (EAPOL) proxy in a wireless network for node to node authentication |
| US7526677B2 (en) * | 2005-10-31 | 2009-04-28 | Microsoft Corporation | Fragility handling |
| US20070117593A1 (en) * | 2005-11-22 | 2007-05-24 | Nextel Communications, Inc. | System and method for detection and notification of improper access of a wireless device |
| US7827545B2 (en) * | 2005-12-15 | 2010-11-02 | Microsoft Corporation | Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy |
| US20070198525A1 (en) * | 2006-02-13 | 2007-08-23 | Microsoft Corporation | Computer system with update-based quarantine |
| US7793096B2 (en) * | 2006-03-31 | 2010-09-07 | Microsoft Corporation | Network access protection |
| US9225684B2 (en) | 2007-10-29 | 2015-12-29 | Microsoft Technology Licensing, Llc | Controlling network access |
| JP5559882B2 (ja) * | 2009-07-20 | 2014-07-23 | ゼットティーイー(ユーエスエー)インコーポレーテッド | 無線通信におけるフェムトアクセスセキュリティゲートウェイの発見 |
| JP2011164837A (ja) * | 2010-02-08 | 2011-08-25 | Nomura Research Institute Ltd | 認証システムおよび認証方法 |
| US20110202592A1 (en) * | 2010-02-16 | 2011-08-18 | Justin Hart | Use of Multiple Connections to Extend RADIUS Identifier Space |
| CN105359482B (zh) * | 2013-03-14 | 2019-09-13 | 阿普塞拉公司 | 用于作为服务基础设施的平台中透明注入策略的系统和方法 |
| US9679243B2 (en) | 2013-03-14 | 2017-06-13 | Apcera, Inc. | System and method for detecting platform anomalies through neural networks |
| EP3070901A1 (en) * | 2015-03-16 | 2016-09-21 | Alcatel Lucent | Communication device authentication in small cell network |
| US11290455B2 (en) * | 2019-05-30 | 2022-03-29 | Palo Alto Networks, Inc. | Network entity id AAA |
| EP4028871A4 (en) * | 2019-09-11 | 2023-10-11 | ARRIS Enterprises LLC | PASSPHASE AND POLICY-BASED DEVICE-INDEPENDENT AUTHENTICATION |
| CN111131276B (zh) * | 2019-12-27 | 2022-03-25 | 腾讯科技(深圳)有限公司 | 一种认证方法、装置、设备及介质 |
| US11076289B1 (en) | 2020-01-08 | 2021-07-27 | Bank Of America Corporation | AI-based multi-mode wireless access protocol (MMWAP) |
| CN115022071A (zh) * | 2022-06-22 | 2022-09-06 | 湖北天融信网络安全技术有限公司 | 一种认证服务器的网络接入控制方法及系统 |
Family Cites Families (54)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5666411A (en) | 1994-01-13 | 1997-09-09 | Mccarty; Johnnie C. | System for computer software protection |
| JPH07299053A (ja) * | 1994-04-29 | 1995-11-14 | Arch Dev Corp | コンピュータ診断支援方法 |
| US5732074A (en) * | 1996-01-16 | 1998-03-24 | Cellport Labs, Inc. | Mobile portable wireless communication system |
| US5673322A (en) | 1996-03-22 | 1997-09-30 | Bell Communications Research, Inc. | System and method for providing protocol translation and filtering to access the world wide web from wireless or low-bandwidth networks |
| US6061650A (en) | 1996-09-10 | 2000-05-09 | Nortel Networks Corporation | Method and apparatus for transparently providing mobile network functionality |
| US5987611A (en) | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
| US6151628A (en) | 1997-07-03 | 2000-11-21 | 3Com Corporation | Network access methods, including direct wireless to internet access |
| US6012100A (en) | 1997-07-14 | 2000-01-04 | Freegate Corporation | System and method of configuring a remotely managed secure network interface |
| SE512717C2 (sv) | 1997-10-13 | 2000-05-02 | Abb Ab | Stator för en roterande elektrisk maskin, förfarande vid tillverkning av en stator jämte en roterande elektrisk maskin innefattande en stator |
| US6377982B1 (en) * | 1997-10-14 | 2002-04-23 | Lucent Technologies Inc. | Accounting system in a network |
| US6185609B1 (en) | 1997-10-24 | 2001-02-06 | Sun Microsystems, Inc. | Method, apparatus and program to provide client access to a management information service residing on a server in a computer network system |
| US6081508A (en) | 1998-02-25 | 2000-06-27 | Indus River Networks, Inc. | Remote computer communication |
| US6453035B1 (en) | 1998-03-02 | 2002-09-17 | Stentor Resource Centre Inc. | Method and apparatus for providing virtual private network services over public switched telephone network |
| EP0949788B1 (en) | 1998-04-10 | 2006-03-22 | Sun Microsystems, Inc. | Network access authentication system |
| US6751729B1 (en) | 1998-07-24 | 2004-06-15 | Spatial Adventures, Inc. | Automated operation and security system for virtual private networks |
| US6311275B1 (en) | 1998-08-03 | 2001-10-30 | Cisco Technology, Inc. | Method for providing single step log-on access to a differentiated computer network |
| US6470453B1 (en) | 1998-09-17 | 2002-10-22 | Cisco Technology, Inc. | Validating connections to a network system |
| US6654891B1 (en) | 1998-10-29 | 2003-11-25 | Nortel Networks Limited | Trusted network binding using LDAP (lightweight directory access protocol) |
| US6493349B1 (en) | 1998-11-13 | 2002-12-10 | Nortel Networks Limited | Extended internet protocol virtual private network architectures |
| US6253327B1 (en) | 1998-12-02 | 2001-06-26 | Cisco Technology, Inc. | Single step network logon based on point to point protocol |
| US6760444B1 (en) * | 1999-01-08 | 2004-07-06 | Cisco Technology, Inc. | Mobile IP authentication |
| US6694437B1 (en) | 1999-06-22 | 2004-02-17 | Institute For Information Technology | System and method for on-demand access concentrator for virtual private networks |
| JP3570310B2 (ja) | 1999-10-05 | 2004-09-29 | 日本電気株式会社 | 無線lanシステムにおける認証方法と認証装置 |
| US6785823B1 (en) | 1999-12-03 | 2004-08-31 | Qualcomm Incorporated | Method and apparatus for authentication in a wireless telecommunications system |
| WO2001071567A1 (en) * | 2000-03-20 | 2001-09-27 | At & T Corp. | Method for dynamically displaying brand information in a user interface |
| US6766453B1 (en) | 2000-04-28 | 2004-07-20 | 3Com Corporation | Authenticated diffie-hellman key agreement protocol where the communicating parties share a secret key with a third party |
| US6874139B2 (en) | 2000-05-15 | 2005-03-29 | Interfuse Technology Corporation | Method and system for seamless integration of preprocessing and postprocessing functions with an existing application program |
| US20050154885A1 (en) | 2000-05-15 | 2005-07-14 | Interfuse Technology, Inc. | Electronic data security system and method |
| US6732270B1 (en) | 2000-10-23 | 2004-05-04 | Motorola, Inc. | Method to authenticate a network access server to an authentication server |
| US7249374B1 (en) * | 2001-01-22 | 2007-07-24 | Cisco Technology, Inc. | Method and apparatus for selectively enforcing network security policies using group identifiers |
| US7185364B2 (en) | 2001-03-21 | 2007-02-27 | Oracle International Corporation | Access system interface |
| US6778498B2 (en) | 2001-03-20 | 2004-08-17 | Mci, Inc. | Virtual private network (VPN)-aware customer premises equipment (CPE) edge router |
| US7150035B2 (en) | 2001-03-20 | 2006-12-12 | General Instrument Corporation | Path sealed software object conditional access control |
| JP3695397B2 (ja) | 2001-04-10 | 2005-09-14 | トヨタ自動車株式会社 | 内燃機関の排気浄化装置 |
| US20020199203A1 (en) | 2001-05-18 | 2002-12-26 | John Duffy | Switched digital video gateway |
| US20040107360A1 (en) | 2002-12-02 | 2004-06-03 | Zone Labs, Inc. | System and Methodology for Policy Enforcement |
| US7024693B2 (en) | 2001-11-13 | 2006-04-04 | Sun Microsystems, Inc. | Filter-based attribute value access control |
| US20030135611A1 (en) | 2002-01-14 | 2003-07-17 | Dean Kemp | Self-monitoring service system with improved user administration and user access control |
| JP4252771B2 (ja) | 2002-06-25 | 2009-04-08 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 無線端末、無線端末管理装置及び位置登録補助装置 |
| US8150951B2 (en) | 2002-07-10 | 2012-04-03 | Cisco Technology, Inc. | System and method for communicating in a loadbalancing environment |
| US6850943B2 (en) | 2002-10-18 | 2005-02-01 | Check Point Software Technologies, Inc. | Security system and methodology for providing indirect access control |
| US8230497B2 (en) | 2002-11-04 | 2012-07-24 | Hewlett-Packard Development Company, L.P. | Method of identifying software vulnerabilities on a computer system |
| US7853984B2 (en) | 2002-12-11 | 2010-12-14 | Authorize.Net Llc | Methods and systems for authentication |
| US7814021B2 (en) | 2003-01-23 | 2010-10-12 | Verdasys, Inc. | Managed distribution of digital assets |
| US7536456B2 (en) | 2003-02-14 | 2009-05-19 | Preventsys, Inc. | System and method for applying a machine-processable policy rule to information gathered about a network |
| US8201256B2 (en) | 2003-03-28 | 2012-06-12 | Trustwave Holdings, Inc. | Methods and systems for assessing and advising on electronic compliance |
| US20040221174A1 (en) | 2003-04-29 | 2004-11-04 | Eric Le Saint | Uniform modular framework for a host computer system |
| US20050033596A1 (en) | 2003-06-26 | 2005-02-10 | Tummolo John F. | Web-accessible, single-tier host-server-side computer programming application and the backend supporting business processes that represent a turnkey solution to "enable the turnkey activation of affordable, private, secure, scalable, sophisticated and extensible hierarchical communication networks for a plurality of American communities comprised of a plurality of members who may use any internet service provider (ISP) and who may use any relevant web browsing client in any relevant PC operating system to access the capability." |
| US7346922B2 (en) | 2003-07-25 | 2008-03-18 | Netclarity, Inc. | Proactive network security system to protect against hackers |
| JP2005196728A (ja) | 2003-12-11 | 2005-07-21 | Nec Corp | セキュリティ検証システム、装置、方法、およびセキュリティ検証用プログラム |
| US20050132225A1 (en) | 2003-12-16 | 2005-06-16 | Glenn Gearhart | Method and system for cyber-security vulnerability detection and compliance measurement (CDCM) |
| US20050138408A1 (en) | 2003-12-22 | 2005-06-23 | International Business Machines Corporation | Autonomic self-configuring alternate operating system environment which includes personalization |
| US7594121B2 (en) | 2004-01-22 | 2009-09-22 | Sony Corporation | Methods and apparatus for determining an identity of a user |
| US7673326B2 (en) | 2004-02-04 | 2010-03-02 | Microsoft Corporation | System and method utilizing clean groups for security management |
-
2002
- 2002-07-24 WO PCT/US2002/023490 patent/WO2003010669A1/en active Application Filing
- 2002-07-24 EP EP02756620.7A patent/EP1410212B1/en not_active Expired - Lifetime
- 2002-07-24 JP JP2003515977A patent/JP2004537125A/ja active Pending
- 2002-07-24 US US10/483,984 patent/US7712128B2/en not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017507592A (ja) * | 2014-02-07 | 2017-03-16 | オラクル・インターナショナル・コーポレイション | モバイルクラウドサービスアーキテクチャ |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1410212B1 (en) | 2016-04-13 |
| WO2003010669A9 (en) | 2004-04-29 |
| US20050254651A1 (en) | 2005-11-17 |
| EP1410212A1 (en) | 2004-04-21 |
| US7712128B2 (en) | 2010-05-04 |
| WO2003010669A1 (en) | 2003-02-06 |
| EP1410212A4 (en) | 2009-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2004537125A (ja) | 無線アクセスのシステム、方法、信号、及びコンピュータプログラム製品 | |
| KR100800339B1 (ko) | 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템 | |
| US9432359B2 (en) | Registration and network access control | |
| EP2643955B1 (en) | Methods for authorizing access to protected content | |
| US7984157B2 (en) | Persistent and reliable session securely traversing network components using an encapsulating protocol | |
| US10943198B2 (en) | Method and system for enabling data usage accounting through a relay | |
| US7340525B1 (en) | Method and apparatus for single sign-on in a wireless environment | |
| US7587751B2 (en) | Method and apparatus for automatically re-validating multiple clients of an authentication system | |
| EP2692166B1 (en) | Authentication method and system | |
| JP7205044B2 (ja) | ネットワーク通信に関する改善 | |
| JP2007503136A (ja) | デジタル通信を容易にするためのシステム、方法、装置およびコンピュータプログラム | |
| US9100390B1 (en) | Method and system for enrolling and authenticating computing devices for data usage accounting | |
| WO2002089407A2 (en) | Accounting in peer-to-peer data communication networks | |
| KR101490549B1 (ko) | 웹 광고 서비스를 위한 무선 인터넷 접속 인증 방법 | |
| JP2022133817A (ja) | 通信システム、通信管理方法、及びプログラム | |
| JP2004179770A (ja) | アクセス制御方法、システム、およびプログラムとその記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050706 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081209 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090309 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090728 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091130 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20091130 |