JP2005521329A - オートコンフィギュレーション構成を有する情報ルーティングデバイス - Google Patents
オートコンフィギュレーション構成を有する情報ルーティングデバイス Download PDFInfo
- Publication number
- JP2005521329A JP2005521329A JP2003579397A JP2003579397A JP2005521329A JP 2005521329 A JP2005521329 A JP 2005521329A JP 2003579397 A JP2003579397 A JP 2003579397A JP 2003579397 A JP2003579397 A JP 2003579397A JP 2005521329 A JP2005521329 A JP 2005521329A
- Authority
- JP
- Japan
- Prior art keywords
- network
- information
- isp
- autoconfiguration
- authentication protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 36
- 238000000034 method Methods 0.000 claims abstract description 20
- 230000004044 response Effects 0.000 description 12
- 238000012546 transfer Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 239000002360 explosive Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2858—Access network architectures
- H04L12/2859—Point-to-point connection between the data network and the subscribers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W56/00—Synchronisation arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本発明は、オートコンフィギュレーション構成を有する情報ルーティングデバイス(10)を使用して、第1のネットワーク(12)と第2のネットワーク(13)との間の通信を容易にする。オートコンフィギュレーション構成は、これらのネットワークが情報を転送する時にどの認証プロトコルを使用するかを交渉する。認証プロトコルの交渉が済むと、デバイス(10)はネットワーク間で転送される情報をインターセプトして保存する。この方法によって、このデバイスは、第2のネットワークへの結合時に、保存しておいた必要な情報を第2のネットワークに直接提供することによって、第1のネットワークをエミュレートすることができる。またこの逆も行える。
Description
発明の分野
本発明は、インターネットサービスプロバイダとパーソナルコンピュータとの間など、複数のネットワーク間の通信を容易にするための装置と方法とに関する。特に、本発明の装置は、第2のネットワークに問い合わせを行うときに、第1のネットワークをエミュレートすることによって、ネットワーク認証情報をインターセプトして保存するオートコンフィギュレーション構成を使用する。
本発明は、インターネットサービスプロバイダとパーソナルコンピュータとの間など、複数のネットワーク間の通信を容易にするための装置と方法とに関する。特に、本発明の装置は、第2のネットワークに問い合わせを行うときに、第1のネットワークをエミュレートすることによって、ネットワーク認証情報をインターセプトして保存するオートコンフィギュレーション構成を使用する。
発明の背景
インターネットは、相互接続されたコンピュータネットワーク群とこれらのコンピュータ群の相互通信を可能にするための関連プログラム群、プロトコル群、および標準からなる広範な地球的規模の集合体である。このインターネットのよく知られた用途の1つであるワールドワイドウェブ(「ウェブ」)は、さまざまなプロトコルと標準との組み合わせによって、広範なデジタルコンテンツ群へのインターネット経由のアクセスを可能にする。
インターネットは、相互接続されたコンピュータネットワーク群とこれらのコンピュータ群の相互通信を可能にするための関連プログラム群、プロトコル群、および標準からなる広範な地球的規模の集合体である。このインターネットのよく知られた用途の1つであるワールドワイドウェブ(「ウェブ」)は、さまざまなプロトコルと標準との組み合わせによって、広範なデジタルコンテンツ群へのインターネット経由のアクセスを可能にする。
インターネットの地球的規模という性質によって、ユーザはインターネットに接続されているどのコンピュータからでも、インターネットに接続されている他のコンピュータにアクセスすることができる。インターネットのこの基本的な特性は、ウェブ上でのコンテンツの公開が容易である点と相まって、通信媒体としてのインターネットの爆発的成長に大きく寄与している。
インターネットサービスプロバイダ(ISP)は、インターネットおよび他の関連サービスへのアクセスを個人および他の会社に提供する会社である。ISPは、サービス対象地域のための接続拠点(POP)をインターネット上に有するために必要な機器と通信回線アクセス権とを有する。パーソナルコンピュータ(PC)のユーザが正しいユーザ名とパスワードとをISPに提供したときに、このPCとISPとの間にダイヤルアップによるインターネット接続が開始されることもある。
ISPとパーソナルコンピュータ(PC)との間に接続を確立するには、一般に、ポイントツーポイントプロトコル(PPP)接続を使用する。基本的に、PPPは、コンピュータのインターネットプロトコル(IP)パケットをパッケージ化してサーバに転送するが、これらのパケットをインターネット上に置くこともできる。ポイントツーポイントリンク経由で通信を確立するには、事前にPPPリンクの各端がリンク制御プロトコル(LCP)パケットを送出する必要がある。LCPパケットは、一般的なコンフィギュレーションやパケットサイズ制限などの判定基準に基づき、ピアコンピュータのIDを受け入れるか、または拒否する。
LCPパケットがリンクを受け入れると、トラフィックをネットワーク上で転送できるようになる。インターネットにアクセスするためにPCが要求をISPに送信すると、ISPは正しいユーザ名とパスワードを提供させるためのチャレンジをこのPCに送る。正しい情報がISPに提供されたことを確認するために、さまざまな認証プロトコルを使用しうる。ユーザ名とパスワードとが認証されると、ISPはこのユーザにインターネットへのアクセスを許可する。ユーザのPCとISPとの間に接続を確立するには、一般に、ユーザ名とパスワードとをISPに提供する必要がある。
ISPからのチャレンジに対してユーザ名とパスワードとを提供しなければならないことに伴う不具合は、PCユーザが識別情報を入力しなければならないという負担であり、PCユーザ側に要求される労力と時間とが増えかねない。ISPからのチャレンジに対してネットワーク識別情報を提供しなければならないことに伴う別の不具合は、ローカルエリアネットワーク(LAN)内の複数のPCユーザが、マスタのユーザ名とパスワードとを知らないために、インターネットへのアクセスが拒否されうることである。これは一部の設定ではセキュリティ構成として好都合であるが、たとえば3台のコンピュータがある家では、1つのISPアカウントでインターネットアクセスを共有できることが望ましい場合もある。
これらの不具合を鑑みて、第1のネットワークが第2のネットワークに情報を要求したときに、この情報を第1のネットワークに自動的に提供することによって、ネットワーク間の情報転送を容易にするデバイスを提供することが望ましいであろう。
第2のネットワークへの結合時に第1のネットワークをエミュレートすることによって、ネットワーク認証情報をインターセプトして保存でき、また第1のネットワークへの結合時に第2のネットワークをエミュレートできるデバイスを提供することがさらに望ましいであろう。
また、デバイスが初期状態ではネットワーク認証情報を保持せず、ISPをエミュレートしてPCに問い合わせることによって、ネットワーク認証情報を取得できるデバイスを提供することが望ましいであろう。
また、PCユーザにネットワーク認証情報を入力させずに、ネットワーク認証情報をISPに自動的に提供することによって、PCをエミュレートできるデバイスを提供することが望ましいであろう。
発明の概要
上記を鑑みて、本発明の目的は、第1のネットワークが第2のネットワークに情報を要求したときに、この情報を第1のネットワークに自動的に提供することによって、ネットワーク間の情報転送を容易にするデバイスを提供することである。
上記を鑑みて、本発明の目的は、第1のネットワークが第2のネットワークに情報を要求したときに、この情報を第1のネットワークに自動的に提供することによって、ネットワーク間の情報転送を容易にするデバイスを提供することである。
本発明の別の目的は、第2のネットワークへの結合時に第1のネットワークをエミュレートすることによって、ネットワーク認証情報をインターセプトして保存でき、また第1のネットワークへの結合時に第2のネットワークをエミュレートできるデバイスを提供することである。
本発明のさらに別の目的は、初期状態ではネットワーク認証情報を保有せず、ISPをエミュレートしてPCに問い合わせることによって、ネットワーク認証情報を取得できるデバイスを提供することである。
本発明のさらに別の目的は、PCユーザにネットワーク認証情報を入力させず、ネットワーク認証情報をISPに自動的に提供することによってPCをエミュレートできるデバイスを提供することである。
本発明の上記およびその他の目的は、第1のネットワークと第2のネットワークとの間で通信を送受信しうるオートコンフィギュレーション構成を有するデバイスを提供することによって達成される。このデバイスは、ユーザの介入なしに、ネットワーク認証情報をインターセプトして保存するように構成される。
好適な一実施態様において、本発明の原理に従って構成されるデバイスは、単一のコンピュータまたはローカルエリアネットワーク(「LAN」)とインターネットなどのワイドエリアネットワーク(「WAN」)との間に介入するように構成され、LANがWANと通信するために必要なネットワーク認証情報をインターセプトして保存する。これを行うために、このデバイスはWANをエミュレートし、デバイス自身とLANとの間で通信プロトコルの交渉を試みることによって、暗号化されていないネットワーク識別情報と認証情報とを得る。この情報は、デバイスに保存され、その後WANとの通信時にデバイスが単一のコンピュータまたはLANをエミュレートするときに使用される。
この好適な実施態様において、オートコンフィギュレーションデバイスは、インターネットサービスプロバイダ(ISP)と通信するための第1のポートと、少なくとも1つのクライアントコンピュータを有するローカルエリアネットワーク(LAN)と通信するための第2のポートとを備える。アクセスを要求しているクライアントコンピュータに対してISPがチャレンジメッセージを発行すると、このクライアントコンピュータは要求された情報、たとえばユーザ名とパスワードとを提供する。オートコンフィギュレーションデバイスがISPとクライアントコンピュータとの間に介入すると、このオートコンフィギュレーションデバイスはユーザ名とパスワードとを含むレスポンスをインターセプトするが、このユーザ名とパスワードとは暗号化されていてもよい。オートコンフィギュレーションデバイスのソフトウェアアルゴリズムによって、オートコンフィギュレーションデバイスは、情報転送に使用する認証プロトコルに関して、クライアントコンピュータと交渉する。次に、このソフトウェアアルゴリズムによって、クライアントコンピュータは選択された認証プロトコル、好ましくはパスワード認証プロトコル(PAP)、で通信するが、PAPは暗号化されていないプロトコルである。
暗号化されていないプロトコルを使用して情報を送信するための交渉がオートコンフィギュレーションデバイスとクライアントコンピュータとの間で済むと、オートコンフィギュレーションデバイスはユーザ名とパスワードとをインターセプトし、この暗号化されていない情報を保存する。次に、オートコンフィギュレーションデバイスは、確定された暗号化プロトコルによってこの情報をISPに転送する。この暗号化プロトコルによって正しい情報を受信すると、ISPはこのユーザにインターネットへのアクセスを許可する。
インターネットへのアクセスを要求しているクライアントコンピュータに対してISPがチャレンジメッセージを次回発行すると、オートコンフィギュレーションデバイスはその通信をインターセプトし、要求された情報をISPに自動的に提供するが、このとき前回キャプチャして保存しておいた情報を提供すればよいので都合がよい。
このように、本発明のオートコンフィギュレーションデバイスは、第1のネットワークから問い合わせがあると、第2のネットワーク(LAN)をエミュレートする。たとえば、ISPがユーザ名とパスワードとを要求するチャレンジを発行すると、オートコンフィギュレーションデバイスは、保存されているユーザ名とパスワードとをISPに自動的に提供することによって、PCユーザをエミュレートする。さらにオートコンフィギュレーションデバイスは、第2のネットワークからのネットワーク識別情報と認証情報とをインターセプトして保存できるように、プロトコルの使用を交渉するときに第1のネットワーク(ISP)をエミュレートする。
本発明のオートコンフィギュレーションデバイスは、無線ネットワークなどの他のネットワーク間の情報転送を容易にするためにも同様に使用してよく、この場合は、これらのネットワークがデバイスとの通信に使用する認証プロトコルを交渉し、その後転送されてきた情報を保存し、この保存した情報を後で自動的に提供する。
本発明の他の特徴、および本発明の性質とさまざまな利点は、添付図面と好適な実施形態についての以下の詳細説明とから明らかになるであろう。
発明の詳細な説明
本発明は、複数のネットワーク間の情報転送を容易にするデバイスを対象とする。本発明の原理によると、本デバイスのソフトウェアアルゴリズムによって、本デバイスは、第2のネットワークへの結合時に第1のネットワークをエミュレートし、さらに第1のネットワークへの結合時に第2のネットワークをエミュレートする。この結果、第1のネットワークと第2のネットワークとは、オートコンフィギュレーションデバイスと通信できるので、相互に直接通信する必要がない。
本発明は、複数のネットワーク間の情報転送を容易にするデバイスを対象とする。本発明の原理によると、本デバイスのソフトウェアアルゴリズムによって、本デバイスは、第2のネットワークへの結合時に第1のネットワークをエミュレートし、さらに第1のネットワークへの結合時に第2のネットワークをエミュレートする。この結果、第1のネットワークと第2のネットワークとは、オートコンフィギュレーションデバイスと通信できるので、相互に直接通信する必要がない。
図1において、本発明に従って構成される装置は、少なくとも1つのマイクロプロセッサと、プログラムされ、筐体内のメモリに格納されるソフトウェアアルゴリズムとを有すオートコンフィギュレーションデバイス10を備える。オートコンフィギュレーションデバイス10は、たとえばインターネットサービスプロバイダ(ISP)12などの第1のネットワークと通信する伝送装置20に、第1のポート16で結合されることが好ましい。図1に示すように、伝送装置20は、ダイヤルアップモデム、ケーブルモデム、非対称デジタル加入者線(ADSL)、またはデジタル情報の送信に適した業界公知の他の手段でよい。
オートコンフィギュレーションデバイス10は、ローカルエリアネットワーク(LAN)13に、第2のポート17で結合されることが好ましい。1台または複数台のクライアントマシン14をLAN13に接続し、これらのクライアントマシンをオートコンフィギュレーションデバイス10と通信させてもよい。以下の図3に詳しく示すように、オートコンフィギュレーションデバイス10は、ISP12から問い合わせがあると、要求された情報をISP12に自動的に提供することによって、クライアントマシン14のいずれか1台をエミュレートするように構成される。たとえば、オートコンフィギュレーションデバイス10は、ユーザ名とパスワードとをISP12に自動的に提供するので、クライアントマシン14a〜14cのユーザは、このような情報を入力する必要がない。
図1にはインターネットへの適用が示されているが、オートコンフィギュレーションデバイス10は、無線ネットワークなどの他のネットワークとも併用しうることは言うまでもない。無線ネットワークで使用する場合は、伝送装置20とポート16および17とを省き、無線ネットワークとオートコンフィギュレーションデバイス10との間の通信の送信に、無線信号などの無線手段を使用してもよい。
図2を参照しながら、2つのネットワーク間での情報転送用のさまざまな認証プロトコルからなる階層について説明する。図2に示す認証プロトコル群は、この階層の最上位にある最もセキュアなプロトコルであるバーストモードプロトコル(BMP)から、最下位にある最もセキュアでないパスワード認証プロトコル(PAP)までを含む。BMPに関連付けられている認証構成は、この階層内で最もセキュアな暗号化を含むが、PAP認証は暗号化されない。
図2に示すいずれかの認証プロトコルを使用して第1のネットワークと第2のネットワークとの間の通信を可能にするには、両ネットワークに適合する接続を確立する必要がある。ネットワーク間に適合する接続を確立するには、リンク制御プロトコル(LCP)を使用するが、これはインターネットとのデータリンク接続を確立、構成、およびテストするプロトコルである。ポイントツーポイント(PPP)リンク経由で通信を確立するには、事前にPPPリンクの各端がLCPパケットを送出する必要がある。このLCPパケットは、リンク先ピアのIDを受け入れるか、または拒否し、パケットサイズ制限に合意し、一般的な不良コンフィギュレーションエラーを探す。LCPパケットがこのリンクを受け入れると、トラフィックをネットワーク上で転送できるようになる。たとえば図2において、ISP12のサーバPPP(PPPS)は、LCPパケットをクライアントコンピュータ14のクライアントPPP(PPPC)に送信する。次にPPPCはLCPパケットをPPPSに送り返す。クライアントコンピュータ14とISP12とが適合する場合は、接続を確立することができる。
図3を参照しながら、本発明のオートコンフィギュレーションデバイス10を使用して、少なくとも1つのクライアントコンピュータ14をエミュレートする方法を説明する。第1の認証ステップにおいて、クライアントコンピュータ14のいずれか1台、たとえばコンピュータ14c、のユーザは、接続要求をISP12に送信する。次に、ISP12のPPPSは、ユーザ名とパスワードとを要求する「チャレンジ」メッセージをクライアントコンピュータ14cに送る。このチャレンジメッセージは、図3でメッセージlaとして表されており、図2に示す認証プロトコルのどれを使用して送ってもよい。一般に、ISP12は、初めに認証用のユーザ名とパスワードとを要求するときに、最もセキュアな方法、つまりBMPを使用する。
図3に示すように、オートコンフィギュレーションデバイス10がISP12とLAN13との間に配置されている場合は、オートコンフィギュレーションデバイス10がチャレンジメッセージlaをクライアントコンピュータ14cに転送する。次に、クライアントコンピュータ14cは、ISP12から要求された情報、たとえばユーザ名とパスワードとを提供するように促されるが、これらの情報はコンピュータのメモリに保存しておいてもよい。クライアントコンピュータ14cは、チャレンジメッセージによって要求された情報を提供するために、レスポンス1bをISP12に送り返す。
ただし、本発明の原理によると、クライアントコンピュータ14cからのレスポンスlbは、オートコンフィギュレーションデバイス10によってインターセプトされる。具体的には、オートコンフィギュレーションデバイス10は、ISP12のPPPSをエミュレートするために、クライアントコンピュータ14cと通信するための認証プロトコルを交渉するソフトウェアアルゴリズムを少なくとも1つ有する。たとえば、レスポンスlbがクライアントコンピュータ14cからオートコンフィギュレーションデバイス10にBMPを使用してLCPパケットで送られてくると、オートコンフィギュレーションデバイス10は、BMPを使用した通信がPPPSと適合しないことを示す通信2aをクライアントコンピュータ14cのPPPCに中継することによって、ISP12のPPPSをエミュレートする。実際に、オートコンフィギュレーションデバイス10は、BMPによる通信をサポートできないことを示す信号をクライアントコンピュータ14cに送るので、PPPCとPPPSとの間にはBMPによる通信は一切確立されない。
上記のように、リンク制御プロトコル(LCP)がリンク先ピアのIDを受け入れ、不良コンフィギュレーションエラーが何もないことが確証された場合にのみ、PPPSとPPPCとは相互に通信することができる。プロトコルが高度に暗号化されているなどの理由により、一方のピアがリンク先ピアのプロトコルを認識しない場合は、そのピアは暗号化レベルがより低いプロトコルを使用して通信するように要求する。
オートコンフィギュレーションデバイス10がBMPによる通信をサポートしていないことを示すレスポンス2aを送信すると、クライアントコンピュータ14cは、別の認証プロトコルで通信を確立するために、レスポンス2bを送信する。たとえば、レスポンス2bで、暗号化レベルがBMPより低いMSCHAP2またはMSCHAP1を使用して通信を確立しようと試みてもよい。オートコンフィギュレーションデバイス10は、クライアントコンピュータ14cからの通信2bを同様にインターセプトし、ISP12のPPPSをエミュレートする。オートコンフィギュレーションデバイス10のソフトウェアアルゴリズムによって、デバイスはPPPSとPPPCとの間の通信をMSCHAP2またはMSCHAP1プロトコルではサポートできないことを示すLCPパケット3aをクライアントコンピュータ14cに送り返す。次に、クライアントコンピュータ14cは、レスポンス3bをLCPパケットで送信することによって、暗号化レベルがより低いCHAPなどのプロトコルで通信を確立しようとする。オートコンフィギュレーションデバイス10は、LCPパケット4aで同様にレスポンスを送り返すことによって、CHAPでの通信をサポートしていないISP12のPPPSをエミュレートする。
最後に、クライアントコンピュータ14cは、暗号化されていないPAPを使用してレスポンス4bをLCPパケットで送信する。オートコンフィギュレーションデバイス10のソフトウェアアルゴリズムは、クライアントコンピュータ14cが提供したこの暗号化されていない情報を受け入れ、記録する。このユーザ名とパスワードとを記録した後、オートコンフィギュレーションデバイス10はISP12に対して接続を要求する。次にオートコンフィギュレーションデバイス10は、このユーザ名とパスワードとを、図3に示す通信5によって、BMPで、つまりサポートされている最も高い暗号化レベルで、ISP12に中継する。
オートコンフィギュレーションデバイス10は、ISP12との接続を維持したままで、つまりISP12がデバイス10からの通信の受信を待ち受けているときに、クライアントコンピュータ14cからの識別情報をインターセプトするための交渉を行ってもよい。あるいは、オートコンフィギュレーションデバイス10がISP12から完全に切断されているとき、またはISP12との接続を確立する試みが何も行われていないときでも、オートコンフィギュレーションデバイス10は、クライアントコンピュータ14cからの識別情報を上記の方法でインターセプトしてよい。
ユーザ名とパスワードとがオートコンフィギュレーションデバイス10にひとたび保存されると、LAN13内のどのクライアントコンピュータ14でも、ユーザ名とパスワードとを問われずに、インターネットにアクセスできるようになる。LAN13内の次のユーザがインターネットへのアクセスを望むと、ISP12はユーザ名とパスワードとを要求する別のチャレンジメッセージを発行する。すると、オートコンフィギュレーションデバイス10は、保存されているユーザ名とパスワードとを、BMPで、つまりサポートされている最も高い暗号化レベルで、ISP12に自動的に送信する。この点において、オートコンフィギュレーションデバイス10は、ISP12からの問い合わせに対して、1台または複数台のクライアントコンピュータ14をエミュレートすることができる。
オートコンフィギュレーションデバイス10は、LAN13内のどのコンピュータ14がISP12と通信中であるかを追跡記録し、インターネット接続を複数のPC14a〜14c間で共有させることによって、ルータとしても機能することが好ましい。
ISP12がチャレンジメッセージlaをクライアントコンピュータ14cに発行した後のある期間ISP12とオートコンフィギュレーションデバイス10との間の回線を切断するように初めに要求しておくと、この回線をその期間切断しうることは注目すべき点である。上記のとおり、代わりに接続要求をISP12に対して行っておく必要はない。オートコンフィギュレーションデバイス10とクライアントコンピュータ14cとの間の認証プロトコルの交渉は、ISP12に接続せずに行ってもよい。オートコンフィギュレーションデバイス10は、クライアントコンピュータ14cからの暗号化されていない情報を記録すると、次にクライアントコンピュータ14cの代わりに、インターネットアクセスのための次の接続要求をISP12に対して開始する。この接続が行われると、オートコンフィギュレーションデバイスは、サポートされている最も高い暗号化レベルを使用して、記録した情報をISP12に提供する。
次に図4を参照しながら、オートコンフィギュレーションデバイス50をケーブルモデムと併用する方法を説明する。ケーブルモデム60は、動的ホスト構成プロトコル(DHCP)を使用する。DHCPプロトコルに従って、クライアントコンピュータ(DHCPC)は、暗号化されていないホストIDとドメイン名とを埋め込んだ要求を発行する。ISPがこの要求を受信し認証すると、DHCPサーバ(DHCPS)はIPアドレスとゲートウェイサーバ情報とをDHCPCに割り当てる。
本発明の原理によると、オートコンフィギュレーションデバイス50は、DHCPCから送られてきた要求から暗号化されていないホストIDとドメイン名とをキャプチャする。次にデバイス50は、このホストIDとドメイン名とを含むDHCPC要求をISPに対して生成する。また、デバイス50は、このホストIDとドメイン名とをローカルに保存する。ISPがこの要求を受信すると、DHCPSはIPアドレスとゲートウェイサーバ情報とをデバイス50に割り当てる。本発明の方法によると、上記の方法においては、オートコンフィギュレーションデバイス50はLAN53のクライアントコンピュータ群54に対してはDHCPSとして機能し、ISP52に対してはDHCPCとして機能する。
図5を参照しながら、本発明のオートコンフィギュレーションデバイスをネットワーク識別と併用する方法を説明する。図5において、本発明に従って提供されるオートコンフィギュレーションデバイス100は、第1のネットワーク103と第2のネットワーク105との間で送信される信号を受信するようになっている。第1のネットワーク103は、第1のネットワーク103に対応するネットワーク識別構成を有するIPセキュリティコンピュータ104を備え、第2のネットワーク105は、第2のネットワーク105に対応するネットワーク識別構成を有するIPセキュリティコンピュータ106を備える。図5において、たとえば第1のネットワーク103を会社の人事部に例え、第2のネットワーク105を会社の経理部に例えてもよい。
第1のネットワーク103と第2のネットワーク105との間の通信は、IPセキュリティコンピュータ104および106によって規制される。オートコンフィギュレーションデバイス100は、好ましくは図3に示すようなソフトウェアアルゴリズムを含み、IPセキュリティコンピュータ104と106との間で送信される通信を受信する。オートコンフィギュレーションデバイス100のアルゴリズムによって、IPセキュリティコンピュータ104および106はオートコンフィギュレーションデバイス100との初回の通信にPAPを使用するので、オートコンフィギュレーションデバイス100は各コンピュータの暗号化されていないネットワーク識別情報を記録することができる。その後、IPセキュリティコンピュータ104と106とが通信するたびに、オートコンフィギュレーションデバイス10は保存した情報をBMPで、つまりサポートされている最も高い暗号化レベルで、自動的に提供する。
第1のネットワーク103のコンピュータが第2のネットワーク105との通信を要求すると、オートコンフィギュレーションデバイス100がこの要求を受信し、必要な情報をサポートされている最も高い暗号化レベルでIPセキュリティコンピュータ106に自動的に提供するので都合がよい。この結果、ネットワーク103と105との間の接続が高速化されるばかりでなく、通信を行うための長い復号化プロセスがIPセキュリティコンピュータ104および106で不要になるので、IPセキュリティコンピュータ104および106のCPU性能が向上する。
記載の実施形態は本発明を制限するものではなく、説明を目的としたものであり、記載の実施形態以外の実施形態によっても本発明を実施しうることは、当業者には十分理解されるであろう。本願は、記載の実施形態から明らかな変形または変更、および添付請求項の範囲に含まれうる変形または変更も対象として含むことを意図している。
Claims (22)
- 第1のネットワークと第2のネットワークとの間の通信を容易にするための装置であり、
前記第1のネットワークと前記第2のネットワークとの間の通信を受信および送信するようにプログラムされているマイクロプロセッサを有するデバイスと、
暗号化されていない認証プロトコルの使用を交渉することによって前記第1のネットワークと前記第2のネットワークとの間で転送される情報をインターセプトして保存するように構成されている、前記マイクロプロセッサ用にプログラムされたルーチンと、を備える装置であって、
前記第2のネットワークが前記第1のネットワークへの接続要求を行う前または行った時に、前記第2のネットワークからの情報を自動的にインターセプトして保存するように前記デバイスがさらに構成される装置。 - 前記第1のネットワークが前記第2のネットワークに情報を要求した時に、前記保存した情報を前記第1のネットワークに自動的に提供するように前記デバイスがさらに構成される、請求項1に記載の装置。
- 前記第1のネットワークが前記第2のネットワークへの接続を要求する前または要求した時に、前記第1のネットワークからの情報を自動的にインターセプトして保存するように前記デバイスがさらに構成される、請求項1に記載の装置。
- 前記第2のネットワークが前記第1のネットワークに情報を要求した時に、前記保存した情報を前記第2のネットワークに自動的に提供するように前記デバイスがさらに構成される、請求項3に記載の装置。
- 前記第1のネットワークがインターネットサービスプロバイダである、請求項1に記載の装置。
- 前記第2のネットワークが少なくとも1台のコンピュータを含むローカルエリアネトワークである、請求項5に記載の装置。
- 前記デバイスと前記第2のネットワークとの間の通信にパスワード認証プロトコルの使用を前記ソフトウェアアルゴリズムが交渉する、請求項1に記載の装置。
- 前記ソフトウェアアルゴリズムがよりセキュアな認証プロトコルからよりセキュアでない認証プロトコルへと交渉するようになっている、請求項1に記載の装置。
- 前記デバイスが前記第1のネットワークと前記第2のネットワークとの間でケーブルモデムを使用して通信を行うようになっている、請求項1に記載の装置。
- 前記デバイスが前記第1のネットワークと前記第2のネットワークとの間でデジタル加入者線を使用して通信を行うようになっている、請求項1に記載の装置。
- 前記デバイスが前記第1のネットワークと前記第2のネットワークとの間でダイヤルアップモデムを使用して通信を行うようになっている、請求項1に記載の装置。
- 前記デバイスが前記第1のネットワークと前記第2のネットワークとの間で無線通信を行うようになっている、請求項1に記載の装置。
- 前記保存される情報がネットワーク識別情報または認証情報を含む、請求項1に記載の装置。
- 前記保存される情報がユーザ名とパスワードである、請求項13に記載の装置。
- 第1のネットワークと第2のネットワークとの間の通信を容易にする方法であって、
マイクロプロセッサと、前記マイクロプロセッサに関連付けられているメモリに保存される少なくとも1つのソフトウェアアルゴリズムと、を有するデバイスを提供するステップと、
前記第1のネットワークと前記第2のネットワークとの間の通信を可能にするために使用する認証プロトコルを交渉するために前記ソフトウェアアルゴリズムを使用するステップと、
前記第2のネットワークが前記第1のネットワークへの接続を要求する前または要求した時に、前記第2のネットワークから情報を取得するために前記デバイスを使用するステップと、を含む方法。 - 前記第1のネットワークが前記第2のネットワークからの情報を要求した時に、前記保存した情報を前記第1のネットワークに提供するために前記デバイスを使用するステップをさらに含む、請求項15に記載の方法。
- 前記第1のネットワークが前記第2のネットワークへの接続を要求する前または要求した時に、前記第1のネットワークから情報を取得するために前記デバイスを使用するステップをさらに含む、請求項15に記載の方法。
- 前記第2のネットワークが前記第1のネットワークに情報を要求した時に、前記保存した情報を前記第2のネットワークに提供するために前記デバイスを使用するステップをさらに含む、請求項17に記載の方法。
- 前記ソフトウェアアルゴリズムがよりセキュアな認証プロトコルからよりセキュアでない認証プロトコルへと交渉する、請求項15に記載の方法。
- 前記ソフトウェアアルゴリズムが前記デバイスと前記第2のネットワークとをパスワード認証プロトコルを使用して通信させる、請求項15に記載の方法。
- 前記保存される情報がネットワーク識別情報または認証情報を含む、請求項15に記載の方法。
- 前記保存される情報がユーザ名とパスワードである、請求項21に記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/104,737 US7096490B2 (en) | 2002-03-20 | 2002-03-20 | Information routing device having an auto-configuration feature |
| PCT/US2003/009080 WO2003081819A1 (en) | 2002-03-20 | 2003-03-20 | Information routing device having an auto-configuration feature |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005521329A true JP2005521329A (ja) | 2005-07-14 |
Family
ID=28040680
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003579397A Pending JP2005521329A (ja) | 2002-03-20 | 2003-03-20 | オートコンフィギュレーション構成を有する情報ルーティングデバイス |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7096490B2 (ja) |
| EP (1) | EP1502373A4 (ja) |
| JP (1) | JP2005521329A (ja) |
| KR (1) | KR20040102045A (ja) |
| CN (1) | CN1650554A (ja) |
| AU (1) | AU2003224765B2 (ja) |
| CA (1) | CA2479376C (ja) |
| WO (1) | WO2003081819A1 (ja) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7502929B1 (en) * | 2001-10-16 | 2009-03-10 | Cisco Technology, Inc. | Method and apparatus for assigning network addresses based on connection authentication |
| US7143435B1 (en) * | 2002-07-31 | 2006-11-28 | Cisco Technology, Inc. | Method and apparatus for registering auto-configured network addresses based on connection authentication |
| CN1166124C (zh) * | 2002-09-16 | 2004-09-08 | 联想(北京)有限公司 | 家庭网络中实现动态组网时的设备对等连接方法 |
| DE60203312T2 (de) * | 2002-12-20 | 2006-04-27 | Alcatel | Verfahren und Vorrichtung zur Authentifizierung eines Benutzers |
| US7770204B2 (en) * | 2003-09-30 | 2010-08-03 | Novell, Inc. | Techniques for securing electronic identities |
| KR100940814B1 (ko) * | 2003-10-11 | 2010-02-05 | 엘지전자 주식회사 | 네트워크 자동 설정 방법 |
| US20050102406A1 (en) * | 2003-11-07 | 2005-05-12 | Cisco Technology, Inc. | Automated configuration of a gateway |
| US7412542B1 (en) * | 2003-11-26 | 2008-08-12 | Microsoft Corporation | Bridging a gaming console with a wireless network |
| US8090807B2 (en) * | 2006-01-23 | 2012-01-03 | Lg Electronics Inc. | Home code setting method for home network system |
| US8064357B2 (en) * | 2006-02-06 | 2011-11-22 | At&T Intellectual Property I, L.P. | Methods, DSL modems, and computer program products for provisioning DSL service using downloaded username/password |
| US20080159302A1 (en) * | 2006-12-30 | 2008-07-03 | Arcsoft (Shanghai) Technology Company, Ltd | Network Communication Equipment with PPPoE Bridging Function |
| US8166558B2 (en) * | 2007-03-23 | 2012-04-24 | Universal Electronics Inc. | System and method for upgrading the functionality of a controlling device in a secure manner |
| US8181259B2 (en) * | 2007-03-23 | 2012-05-15 | Universal Electronics Inc. | System and method for upgrading the functionality of a controlling device via a secure portable adapter device |
| US9087427B2 (en) | 2007-09-27 | 2015-07-21 | Wayne Fueling Systems Llc | Conducting fuel dispensing transactions |
| WO2010057122A2 (en) * | 2008-11-16 | 2010-05-20 | Valens Semiconductor Ltd. | Self-configurable asymmetric communication link |
| US9871700B2 (en) * | 2008-11-16 | 2018-01-16 | Valens Semiconductor Ltd. | Methods and systems for changing topology of an asymmetric network |
| US8681961B2 (en) | 2011-04-18 | 2014-03-25 | Zetron, Inc. | Call center system with assisted-configuration and method of operation thereof |
| US9026163B2 (en) | 2012-03-31 | 2015-05-05 | Intel Corporation | Methods and arrangements to offload scans of a large scan list |
| US11122034B2 (en) | 2015-02-24 | 2021-09-14 | Nelson A. Cicchitto | Method and apparatus for an identity assurance score with ties to an ID-less and password-less authentication system |
| US11171941B2 (en) | 2015-02-24 | 2021-11-09 | Nelson A. Cicchitto | Mobile device enabled desktop tethered and tetherless authentication |
| US10142172B2 (en) | 2015-07-22 | 2018-11-27 | Facebook, Inc. | Internet service provider management platform |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5757924A (en) * | 1995-09-18 | 1998-05-26 | Digital Secured Networks Techolognies, Inc. | Network security device which performs MAC address translation without affecting the IP address |
| US5781550A (en) * | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
| US5864559A (en) * | 1996-08-23 | 1999-01-26 | Ascend Communications, Inc. | ISDN modem capable of self-configuring to use one of a variety of pre-programmed ISDN protocols |
| US6012088A (en) * | 1996-12-10 | 2000-01-04 | International Business Machines Corporation | Automatic configuration for internet access device |
| US6130892A (en) * | 1997-03-12 | 2000-10-10 | Nomadix, Inc. | Nomadic translator or router |
| US5931928A (en) * | 1997-05-07 | 1999-08-03 | 3Com Corporaton | System for ISDN terminal adapter DCE for automatically negotiating data compression with it's PPP peer when DTE is unable or unwilling to negotiate compression |
| US6460084B1 (en) * | 1997-08-28 | 2002-10-01 | Cisco Technology, Inc. | Forced network portal |
| US6289377B1 (en) * | 1997-11-10 | 2001-09-11 | General Instrument Corporation | Dynamic network configuration of a one-way adapter using a proxy agent that communicates with a resource server through a configured return path adapter |
| US6161133A (en) * | 1998-10-19 | 2000-12-12 | Lexton Systems, Inc. | Method and apparatus for configuration of an internet appliance |
| US6591306B1 (en) * | 1999-04-01 | 2003-07-08 | Nec Corporation | IP network access for portable devices |
| US7146505B1 (en) * | 1999-06-01 | 2006-12-05 | America Online, Inc. | Secure data exchange between date processing systems |
| US20020004935A1 (en) * | 2000-07-03 | 2002-01-10 | Huotari Allen Joseph | System for remote automated installation and configuration of digital subscriber line modems |
| JP2002077274A (ja) * | 2000-08-31 | 2002-03-15 | Toshiba Corp | ホームゲートウェイ装置、アクセスサーバ装置及び通信方法 |
-
2002
- 2002-03-20 US US10/104,737 patent/US7096490B2/en not_active Expired - Lifetime
-
2003
- 2003-03-20 EP EP03721452A patent/EP1502373A4/en not_active Withdrawn
- 2003-03-20 CA CA2479376A patent/CA2479376C/en not_active Expired - Lifetime
- 2003-03-20 JP JP2003579397A patent/JP2005521329A/ja active Pending
- 2003-03-20 WO PCT/US2003/009080 patent/WO2003081819A1/en active Application Filing
- 2003-03-20 KR KR10-2004-7014792A patent/KR20040102045A/ko not_active Application Discontinuation
- 2003-03-20 CN CNA038096404A patent/CN1650554A/zh active Pending
- 2003-03-20 AU AU2003224765A patent/AU2003224765B2/en not_active Ceased
Also Published As
| Publication number | Publication date |
|---|---|
| AU2003224765B2 (en) | 2008-05-01 |
| AU2003224765A1 (en) | 2003-10-08 |
| KR20040102045A (ko) | 2004-12-03 |
| CA2479376C (en) | 2016-06-21 |
| EP1502373A4 (en) | 2008-07-30 |
| CA2479376A1 (en) | 2003-10-02 |
| EP1502373A1 (en) | 2005-02-02 |
| US7096490B2 (en) | 2006-08-22 |
| CN1650554A (zh) | 2005-08-03 |
| US20030182548A1 (en) | 2003-09-25 |
| WO2003081819A1 (en) | 2003-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2005521329A (ja) | オートコンフィギュレーション構成を有する情報ルーティングデバイス | |
| US8082579B2 (en) | Access server and connection restriction method | |
| EP1130875B1 (en) | A home gateway with a data backup service | |
| US8117292B2 (en) | Server for routing connections between the server and a client machine | |
| US8484695B2 (en) | System and method for providing access control | |
| EP2291979B1 (en) | Remote access between upnp devices | |
| US10819761B2 (en) | Electronic device and method for controlling electronic device | |
| JP2006523412A (ja) | 公共のホット・スポットにおけるクライアント端末の自動設定 | |
| US20070124489A1 (en) | Nat access control with ipsec | |
| US20040168049A1 (en) | Method for encrypting data of an access virtual private network (VPN) | |
| JP2003110596A (ja) | データ通信サービス提供方法 | |
| JP3649438B2 (ja) | インターネット接続システム | |
| KR20070018196A (ko) | 원격에서의 국부망 액세스에 대한 보안을 확보하는 방법 및장치 | |
| JP2008010934A (ja) | ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体 | |
| JP2004228799A (ja) | ゲートウェイ装置及びネットワーク接続方法 | |
| JP4152753B2 (ja) | ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム | |
| Huawei Technologies Co., Ltd. | WAN Fundamentals | |
| Huawei Technologies Co., Ltd. yonghong. jiang@ huawei. com | PPP and PPPoE | |
| KR20070083109A (ko) | 전화 접속 네트워킹 설정 방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060317 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080403 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080414 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080702 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080709 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081208 |