JP2007318748A - ノーマディック・インターネット - Google Patents

ノーマディック・インターネット Download PDF

Info

Publication number
JP2007318748A
JP2007318748A JP2007128998A JP2007128998A JP2007318748A JP 2007318748 A JP2007318748 A JP 2007318748A JP 2007128998 A JP2007128998 A JP 2007128998A JP 2007128998 A JP2007128998 A JP 2007128998A JP 2007318748 A JP2007318748 A JP 2007318748A
Authority
JP
Japan
Prior art keywords
traffic
guest
host
access
access point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007128998A
Other languages
English (en)
Inventor
Robin Johannes Nico Clements
ロビン・ヨハネス・ニコ・クレメンツ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke KPN NV
Original Assignee
Koninklijke KPN NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke KPN NV filed Critical Koninklijke KPN NV
Publication of JP2007318748A publication Critical patent/JP2007318748A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】 ゲスト・トラフィックをホスト・トラフィックから分離した、共有インターネット・アクセス・システムを開示する。
【解決手段】 本発明は、ホストおよびゲスト双方のための共有インターネット・アクセスに関し、ホストはホットスポットを運営または所有する。サービス・プロバイダに向かう通信経路において、ゲストからのトラフィックをサービス提供ホストから分離し、IP番号の割り当ておよび監理に関して、サービス・プロバイダによって別個に扱われる。
【選択図】 図2

Description

本発明は、共有インターネット・アクセスに関する。
共有インターネット・アクセスのためのシステムがいくつか知られている。これらのシステムに基づくサービスは、例えば、"Hotspots van KPN"および"T-Mobile HotSpot"である。これらのシステムは、ホスト・ユーザが所有および/または運営するアクセス・ポイントを通じて、ゲスト・ユーザがインターネットにアクセスすることができるという態様を共有する。ホスト・ユーザは、彼のインターネット・アクセスをゲスト・ユーザと共有することにより、ゲスト・ユーザにインターネット・アクセスを許容する。
従来技術の共有インターネット・アクセス・システムは、ゲストによる共有インターネット・アクセスの悪意の使用または誤用の場合、ホストにとって問題が生ずる虞れがある。ホストはサービス・プロバイダおよびネットワーク・プロバイダとの契約について責任があるので、ホストは、接続の悪意の使用および/または誤用についても責任を負うことになる。この結果、悪意の使用および/または誤用が続くと、サービス・プロバイダおよび/またはネットワーク・プロバイダによって接続解除されることになる。
本発明の目的は、従来技術の前述のそしてその他の欠点を解消することである。
本発明は、ゲスト・トラフィックをホスト・トラフィックから分離する共有インターネット・アクセス・システムを開示する。
本発明の一態様によれば、ゲスト・トラフィックおよびホスト・トラフィックには、サービス・プロバイダ・プラットフォームに進入する際に、異なる通信経路を割り当て、ゲスト・トラフィックによるサービス・プロバイダ・プラットフォームへのアクセスは、最初はウォール・ガーデン(walled garden)のような被制御領域に限定される。被制御領域は、サービス・プロバイダ・プラットフォームの一部であり、例えば、ゲスト・トラフィックおよびゲスト・セッションのゲスト・ユーザ認証および監理のためのサーバおよびデータベースを備えている。ゲスト・トラフィックは、許可がうまくいくまで、最初の内は被制御領域に収容される。許可がうまくいった後、ゲスト・トラフィックは、サービス・プロバイダ・プラットフォーム、およびインターネットへのアクセスも許される。
本発明の一態様によれば、ゲスト・トラフィックの監理は、ホスト・トラフィックの監理から分離される。これは、共有インターネット接続の悪意の使用および/または誤用の場合、セッション終了後の調査に有用である。
本発明の別の態様によれば、ゲスト・トラフィックおよびホスト・トラフィックの分離は、ゲスト・トラフィック・フローにおける以下の項目の1つにおいて実施することができる。
第1の選択肢として、ゲスト・トラフィックおよびホスト・トラフィックは、コア・ネットワークおよびサービス・プロバイダ・プラットフォームの間にあるインターフェースにおいて分離することができる。
第2の選択肢として、ゲスト・トラフィックは、トンネルに進入する前に、コア・ネットワークにおいて、ホスト・トラフィックから分離することができる。
更に別の選択肢として、ゲスト・トラフィックは、コア・ネットワークに進入する前に、アクセス・ネットワークにおいて、ホスト・トラフィックから分離することができる。
別の選択肢として、ゲスト・トラフィックは、アクセス・ネットワークに進入する前に、アクセス・ポイントまたはホスト・ネットワークにおいて、ホスト・トラフィックから分離することができる。
本発明の一態様によれば、ゲスト・トラフィックおよびホスト・トラフィックの分離は、例えば、IPパケット・ヘッダにおける5−タプルのような、レイヤ3プロトコル情報に基づく。
本発明の別の態様によれば、ゲスト・トラフィックおよびホスト・トラフィックの分離は、例えば、MACアドレスのような、レイヤ2プロトコル情報に基づく。MACアドレスのようなハードウェア関連情報に基づく分離は、セキュリティの理由からは最も有用であると言える。
本発明が開示するウォール・ガーデン(被制御領域)は、サーバおよび/またはデータベースを備えている。前記サーバおよび/またはデータベースは、許可サービスおよび/またはIPアドレスの割り当ておよび/または監理サービスを行う。
本発明の一態様として、ゲスト・トラフィックに対するIPアドレスの割り当ては、ウォール・ガーデン内にあるサーバによって行われる。一例として、このことはDHCPサーバを用いて実現できる。本発明によれば、ゲスト・トラフィックに割り当てられるIPアドレスの監理は、前記ウォール・ガーデン内にある監理サーバおよび監理データベースによって行われる。ゲスト・トラフィックに割り当てられるIPアドレスは、一時的な一意のIPアドレスである。この一時的な一意のIPアドレスは、特定のゲスト・トラフィックおよび関連するゲスト・ユーザに、ある時間期間だけ割り当てられ、監理サーバおよび/またはIPアドレス割り当てサーバにおいて構成される。この時間期間は、セッション時間(即ち、ゲストが共有インターネット・アクセスにログ・オンしたときから、ゲストがログ・オフしてアクセスを終了したときまでの時間)から最大限度(例えば、12時間または3日)まで変化することができる。これは、例えば、不正または違法なコンテンツ給送のような、インターネット誤用事象後のような、イベント後における分析に最も有用である。
本発明は、更に、ウォール・ガーデン内部のサーバによる、例えば、ウェルカム・ページまたは許可ページを介したゲスト・ユーザの許可も開示する。ゲスト・トラフィックは、IPアドレス割り当ての後、このページにリダイレクトされる。許可に成功した後でなければ、ゲスト・トラフィック(したがって、ゲスト・ユーザ)は、ウォール・ガーデンからサービス・プロバイダ・プラットフォームおよびインターネットへの流出を許されない。許可が不成功の場合、関連するゲスト・トラフィックは、ウォール・ガーデン内のサーバ上にあるエラー・ページにリダイレクトされる。エラー・ページは、エラー・メッセージおよび/またはヘルプ情報を表示する。
本発明の一態様によれば、ログインおよびセッション監理は、ウォール・ガーデン内部のサーバによって維持される。このログインおよびセッション監理は、割り当てられた一時的IPアドレス、ゲスト・セッションの開始時刻および終了時刻、ならびにその他のユーザの詳細のような、ゲスト・ユーザに関連付けられる。
更に、本発明は、ゲスト・ユーザによる許可成功の場合における動的DNS登録も開示する。これは、ゲストが動作させるウェブ・サーバに有用である。何故なら、ウェブ・サーバは、ゲスト・ユーザ・セッションによってインターネットからアドレス可能であることが必要であるからである。
更に、本発明は、ゲスト・トラフィックに割り当てたIP番号を、ホスト・トラフィックに割り当てたIP番号とは別個に維持するシステムを開示する。この別個により、ホスト・ユーザからのほぼ「信頼できるトラフィック」とゲスト・ユーザに関連する「ノーマディック・トラフィック」との間で、監理サーバおよび監理データベースにおける分割が可能になる。このシステムは、例えば、セキュリティ・チェック、監理、報告および監視の目的のために、ゲスト・トラフィックの処理を分離することを可能にする。処理の分離は、例えば、セキュリティ上の理由または法的な傍受のために、ゲスト・トラフィックに対してより詳細なおよび/またはより厳格な尺度を適用する際に有用である。
本発明の別の態様によれば、ホスト・ユーザのリストをアクセス・ポイントにおいて維持する。このリストは、ホスト・ユーザとしてアクセス・ポイントにアクセスすることを許されたホスト・クライアント・デバイスの識別情報を収容する。識別情報は、MACアドレスまたはシリアル・ナンバーのように、ハードウェアに関するものとすることができる。また、識別情報は、IPアドレスのような、プロトコルに関するものとすることもできる。このリストは、アクセス・ポイントにおいてアクセス・ポイントの所有者/運営者によって管理インターフェースを介して、またはリモートに通信ネットワークを介して管理することができる。後者の場合、通信ネットワークを介したリスト管理は、アクセス・ポイントの所有者/運営者またはホットスポット・サービス・プロバイダのような第三者のいずれかによる、ホスト・ユーザ・リストのリモート管理を可能とする。この選択肢によって、アクセス・ポイント所有者/運営者だけの代わりに、他のユーザ、例えば、ホットスポット・サービス・プロバイダの全登録ユーザによるアクセス・ポイントへのホスト・ユーザ・アクセスが可能となる。この場合、クライアント・デバイスはホットスポット・サービス・プロバイダによってユーザに供給することもでき、そのデバイスの識別情報は、リモートにアクセス・ポイントにおけるホスト・ユーザ・リストに入力することができる。リモートの入力の後、これらのクライアント・デバイスは、更新したホスト・ユーザ・リストに基づいて、アクセス・ポイントによってホスト・クライアント・デバイスとして検出可能となる。
本発明を教示するという趣旨にしたがって、本発明の方法および装置の好適な実施形態について次に説明する。尚、本発明のその他の代替実施形態および等価実施形態も着想可能であり、本発明の真の趣旨から逸脱することなく、実用化することができ、本発明の範囲は、添付した特許請求の範囲の最終的に付与されるものによってのみ限定されることは、当業者には明白であろう。
図1において、従来技術の共有インターネット・アクセス・システムを示す。このシステムでは、クライアント(10)は、種々のインターネット・ユーザが動作させている。ユーザは、アクセス・ポイントを所有および/または運営するホスト、および1つ以上のゲストの双方になることができる。ゲストのことを、ノーマディック・インターネット・ユーザまたはモバイル・インターネット・ユーザと呼ぶこともある。ユーザ・クライアント(10)は、ホスト・ネットワーク(20)を介して、アクセス・ポイント(21、22、23、24)と通信する。ホスト・ネットワークは、イーサネット(登録商標)またはHomePlugのような有線ネットワーク、あるいはWiFi、Bluetooth、HomeRF、またはUltra Wideband(UWB)のような無線ネットワークとすることができる。また、アクセス・ポイントは、アクセス・ネットワーク(30)にも接続されており、これを介して、通信はコア・ネットワーク(40)に流入する。コア・ネットワークでは、ユーザからのインターネット・トラフィック全てが結集され、トンネル(41)を介してサービス・プロバイダに向けて送出される。その選択は、Radiusのような許可サーバ(43)および/またはユーザ・プロファイル・データベース(42)によって決定される。この目的のために、ユーザ・プロファイル・データベース(42)は、例えば、契約帯域幅、サービス・プロバイダ加入、サービス品質パラメータ、およびネットワーク動作態様に用いられるその他の情報というような、ホスト関連情報を収容する。
従来技術のシステムにおける典型的な動作では、ホストは、例えば、アクセス・ポイントをオンに切り換えることによって、ネットワーク上におけるログ・オンを制御する。ホストがネットワークにログ・オンすると、許可要求が、ログ・オン情報と共に許可サーバ(43)に送られる。通例、許可要求はアクセス・ポイント(21、22、23、24)によって送られるが、これはユーザ・クライアント(10)によって行われてもよい。許可サーバは要求を処理し、成功した場合、ユーザ・トラフィックに対してしかるべきトンネル(41)を選択し、正(positive)の応答をアクセス・ポイント(またはクライアント)に送る。この応答には、IPアドレス割り当てサーバ(DHCPのような)が割り当てたIPアドレスが含まれる。トンネルの選択は、ログ・オン情報および/またはユーザ・プロファイル・データベース(42)内にあるその他のホスト関連情報に基づく。従来技術のシステムにおける別の動作には、ネットワーク運営者の許可サーバ(43)とサービス・プロバイダ・プラットフォーム(54)における許可サーバとの組み合わせを必要とする場合がある。この場合、ネットワーク・プロバイダの許可サーバ(43)は、許可要求を、サービス・プロバイダ・プラットフォームにおける許可サーバに転送する。サービス・プロバイダ・プラットフォームにおける許可サーバは、要求を処理し、ネットワーク許可サーバ(43)に応答する。応答が正である場合、許可サーバ(43)によってトンネル(41)がユーザ・トラフィックに割り当てられ、正の応答がユーザに送られる。その時点から、全てのユーザ・トラフィックはトンネル(41)を介して給送されることになる。ユーザ・トラフィックはホスト・トラフィックおよびゲスト・トラフィックを含む。
コア・ネットワークは、ユーザ・トラフィックをサービス・プロバイダ・プラットフォーム(50)に「配信」する。サービス・プロバイダ・プラットフォームは、インターネット(60)に対するアクセスを供給するが、サーバ(52、53)によって他のサービスもサービス・プロバイダ・ネットワーク(51)を介して供給することができる。サービス・プロバイダが供給するその他のサービスには、アプリケーション・レベルにおいて追加のユーザ許可を要求する場合もある。この許可は、サービス・プロバイダ・ネットワークにおける許可サーバ(54)およびユーザ・データベース(55)を備えている。
図2は、現在開示している発明による実施形態を示す。
図2に示すような実施形態では、ゲスト・トラフィックは、アクセス・ポイントにおいてホスト・トラフィックから分離される。
ゲスト・トラフィックおよびホスト・トラフィックの分離は、ユーザ・クライアントのMACアドレスに基づく。このハードウェア関連情報に基づく分離によって、高レベルのセキュリティが得られる。ゲスト・トラフィックは、ホスト・ネットワークにおいて明確に隔離することができ、これによってセキュリティを向上させ、例えば、システムにとって、ホストおよびその他のゲストに対する識別(identity)およびコンテンツの保護に有益となることができる。
トラフィックの分離は、アクセス・ポイントにおけるホスト・ユーザのリストに基づく。このリストは、ホスト・クライアント・デバイスの識別情報を収容し、これらにホスト・ユーザとしてアクセス・ポイントにアクセスすることを許可する。クライアント・デバイスは、当該クライアント・デバイスの識別情報が、ホスト・ユーザ・リストに格納されている識別情報と対応する場合、ホスト・ユーザと分類される。
識別情報は、MACアドレスまたはシリアル・ナンバーのように、ハードウェアに関連付けることができる。また、識別情報は、IPアドレスのように、プロトコルに関連付けることもできる。
ホスト・ユーザ・リストは、アクセス・ポイントにおいて、アクセス・ポイントの所有者または運営者によって、管理インターフェースを介して管理することができる。この管理インターフェースは、アクセス・ポイントに対する既知の「クライアント・アクセス制御」インターフェースへの追加として実施することができる。また、ホスト・ユーザ・リストの管理は、通信ネットワークを介してリモートに行うことができる。この動作モードによって、アクセス・ポイントの所有者/運営者、またはホットスポット・サービス・プロバイダのような第三者のいずれかによる、ホスト・ユーザ・リストのリモート管理が可能となる。
共有インターネット・アクセスのためのアクセス・ポイントにおいてホスト・ユーザ・リストをリモート管理することにより、アクセス・ポイント所有者/運営者のみ以外のユーザ、例えば、ホットスポット・サービス・プロバイダの登録ユーザ全員による、アクセス・ポイントへのホスト・ユーザ・アクセスが可能となる。この場合、クライアント・デバイスの識別情報は、アクセス・ポイントにおいてホスト・ユーザ・リストにリモートに入力される。クライアント・デバイスも、ホットスポット・サービス・プロバイダによってユーザに供給することができる。識別情報のリモート入力の後、更新されたホスト・ユーザ・リストに基づいて、対応するクライアント・デバイスが、アクセス・ポイントによって、ホスト・クライアントとして検出可能となる。
分離はホスト・ネットワークにおいて実現されるので、ホスト及びゲストのトラフィックは、1対1の通信経路を通じて、サービス・プロバイダに向けて分離することができる。これは、本発明によるシステムの好ましい動作モードである。しかしながら、
−アクセス・ネットワーク(3)に進入する前、
−コア・ネットワークにおいて、トンネル(2)に進入する前、
−コア・ネットワークとサービス・プロバイダ・プラットフォーム(1)との間にあるインターフェースにおいて、
というように、ゲスト・トラフィックおよびホスト・トラフィックに対する別の分離点も想起することができ、実施に移すことができる。
MACアドレスに基づく分離の代案として、ゲスト・トラフィックおよびホスト・トラフィックの分離は、IPパケット・ヘッダ内にある5−タプル(5-tupple)における1つ以上の要素というような、他のレイヤ2プロトコル情報、またはレイヤ3プロトコル情報に基づくこともできる。尚、ゲスト・トラフィックおよびホスト・トラフィックの分離のためには、種々の実施態様が可能であり、本発明が開示する実施形態例は、単なる一例であることを意図しており、種々の実施態様は、サービス・プロバイダ・プラットフォームにおいてゲスト・トラフィックおよびホスト・トラフィックを別個に扱えるようにするという結果を共有することは、当業者には認められよう。
ネットワークへログ・オンする際、例えば、アクセス・ポイントをオンに切り換えたとき、許可サーバ(43)は、異なるトンネルを、コア・ネットワークを通じてホスト・トラフィックおよびゲスト・トラフィックに割り当てる。図2に示す実施形態では、ホスト・トラフィックはトンネル41を介して給送され、ゲスト・トラフィックはトンネル42を介して送出されている。
尚、トンネルによるコア・ネットワークを通じたトラフィックの給送は、例えば、GREトンネリング、MPLS、仮想チャネルおよび/またはVPNのような、種々の技法を用いて実施可能であることは当業者には認められよう。これら種々の技法は、種々のユーザ所在地から結集した多数のユーザに対して、サービス・プロバイダ・プラットフォームへの固定通信経路を、これらのユーザのみに供給するという態様を共有する。
ネットワーク・ログ・オンを完了するには、ホストIPアドレスをアクセス・ポイントに送ることが含まれ、このホストIPアドレスは、ホスト・トラフィックを送出するために、アクセス・ポイントが保持する。ホストIPアドレスは、ネットワーク・プロバイダによって、許可サーバ43を介して、またはサービス・プロバイダからのIPアドレス割り当てによって割り当てられ、許可サーバ54のような、ウォール・ガーデン(walled garden)外部の許可およびIPアドレス割り当てを行うサーバが関与する。
ゲスト・トラフィックにIPアドレスを割り当てる際、常に、ウォール・ガーデン内部の許可サーバ(57)が関与する。ゲストがログ・オンすると、アクセス・ポイントは許可要求を、ウォール・ガーデン内部の許可サーバ(57)に送るか、または許可要求をネットワーク許可サーバ(43)に送り、ネットワーク許可サーバ(43)がこの要求をウォール・ガーデン内部にある許可サーバ(57)に転送する。許可サーバ(57)は一時的な一意のIPアドレスをゲストに返送し、このIPアドレスはウォール・ガーデン内部のIPアドレス割り当てサーバから読み出され、割り当てられたIPアドレスに関する全てのトラフィックが許可サーバに向けてリダイレクトされる。
サービス・プロバイダ・プラットフォームに到達すると、ホスト・トラフィックには、到達時に、サーバ(52、53)およびインターネット(60)へのアクセスが付与される。しかしながら、ゲスト・トラフィックは、最初はウォール・ガーデン、即ち、許可サーバに制限される。ウォール・ガーデンとは、サービス・プロバイダ・プラットフォームの隔離部分であり、サーバと、ゲスト・ユーザ認証ならびにゲスト・トラフィックおよびゲスト・セッションの監理のためのデータベースを備えている。ゲスト・トラフィックは、許可に成功した後でなければ、ウォール・ガーデンからの流出、即ち、サーバ(52、53)およびインターネットへのアクセスが許されない。
ゲスト・トラフィックの監理は、ホスト・トラフィックの監理から分離されている。これは、例えば、共有インターネット接続の悪意の使用または誤用の場合、セッション後の調査に有用である。ゲスト・トラフィックの監理には、ゲスト・ユーザ情報、割り当てられた一時的IPアドレス、ゲスト・セッションの開始時刻および終了時刻、ならびにその他のユーザの詳細を要する。
ゲスト・トラフィックに割り当てられるIPアドレスは、一時的な一意のIPアドレスである。一時的な一意のIPアドレスは、パブリックIPアドレスまたはプライベートIPアドレスとすることができる。後者の場合、ゲスト・トラフィックがインターネット間で送受されるときに、ネットワーク・アドレス変換が行われる。一時的な一意のIPアドレスは、特定のゲスト・トラフィックおよび関連するゲスト・ユーザに、ある時間期間だけ割り当てられ、監理サーバおよび/またはIPアドレス割り当てサーバにおいて構成される。時間期間は、セッション時間(即ち、ゲストが共有インターネット・アクセスにログ・オンしたときから、ゲストがログ・オフしアクセスを終了したときまでの時間)から最大限度(例えば、12時間または3日)まで変化することができる。これは、例えば、(不正または違法なコンテンツ給送のような)インターネット誤用事象後のような、イベント後の分析に有用である。この目的のために、サービス・プロバイダは、ウォール・ガーデン内部の監理サーバおよび監理データベースによって、過去におけるいずれの時点におけるゲスト・トラフィックに関するゲスト・ユーザ情報でも追跡することができる。
過去における特定の時点における特定のゲスト・トラフィックを、特定のゲスト・ユーザに関連付けることができる。これにより、悪意のインターネット使用即ちインターネットの誤用を特定のゲストに関連付ける手段を設け、更にゲストによる悪意のあるインターネット使用即ちインターネットの誤用を、ホストによる共有インターネット接続の正常な使用から隔離する機会も得られる。これは、
−法的遮断。サービス・プロバイダは特定のゲストのトラフィックを遮断することができる。
−スパムやウィルスのソースの隔離
−帯域幅使用、公正使用方針監視、
−違法なコンテンツ・トラフィック隔離、
−ゲスト・トラフィックの別個料金請求、
というような多数の理由から、非常に有用であると言える。
この目的のために、ゲスト・トラフィックおよびホスト・トラフィックに割り当てられるIPアドレス(またはIP番号)も、ホスト・トラフィックに割り当てられるIP番号とは別個に維持する。
ゲスト・トラフィックおよびホスト・トラフィックの分離監理を適用した結果、問題の隔離が著しく向上し、例えば、違法なコンテンツ給送の結果として、サービス・プロバイダがホストを切断することが必要になる状況が大幅に減少し、または解消することもある。これにより、ホストおよびその他のゲスト・ユーザ双方に対するサービスが改善する。
別の利点は、ホストが所有するアクセス・ポイントから発信するゲスト・トラフィックに基づいて、ホストに対するキック・バック料金のような、新たな革新的料金請求方法を適用できることである。
ウォール・ガーデン内部の許可サーバによるゲストの許可には、ウェルカム・ページまたは許可ページを介してアクセス可能であり、ゲスト・トラフィックは、IPアドレス割り当て後に、このページにリダイレクトされる。図3のフロー・チャートに示すように、許可に成功した後でなければ、ゲスト・トラフィック(したがって、ゲスト・ユーザ)は、ウォール・ガーデンからサービス・プロバイダ・プラットフォーム(52、53)内部のサーバおよびインターネットへの流出が許されない。許可に失敗した場合、関連するゲスト・トラフィックは、ウォール・ガーデン内部のサーバ上にあるエラー・ページにリダイレクトされる。エラー・ページは、エラー・メッセージおよびヘルプ情報を表示する。
許可に成功した後、データベース内にあるゲスト・ユーザ情報に基づいて動的DNS登録を行う。これによって、ゲストはウェブ・サーバを動作させることができ、ゲストがログ・インに成功した後、インターネットからウェブ・サーバにアドレス可能になる。
図面に示す実施形態例を参照しながら、本発明について更に詳しく説明する。
図1は、従来技術による共有インターネット・アクセス・システムを示す。 図2は、本発明の実施形態例を示す。 図3は、本発明による実施形態例のプロセス・フローを表すフロー・チャートを示す。
符号の説明
10 クライアント
20 ホスト・ネットワーク
21、22、23、24 アクセス・ポイント
30 アクセス・ネットワーク
40 通信コア・ネットワーク
41 トンネル
42 ユーザ・プロファイル・データベース
43 許可サーバ
50 サービス・プロバイダ・プラットフォーム
51 サービス・プロバイダ・ネットワーク
52、53 サーバ
54 許可サーバ
55 ユーザ・データベース
60 インターネット

Claims (33)

  1. インターネット・アクセス・システムであって、
    −ホスト・クライアント・デバイスおよびゲスト・クライアント・デバイスと通信可能なアクセス・ポイントと、
    −前記ホスト・クライアント・デバイスに対して第1組のアクセス能力を提供し、前記ゲスト・クライアント・デバイスに対して第2組のアクセス能力を提供するように構成されているサービス・プロバイダ・コンピュータと、
    −前記アクセス・ポイントと前記サービス・プロバイダ・コンピュータとの間において通信を可能にするネットワークと、
    を備えており、
    前記ネットワークは、前記ホスト・クライアント・デバイスからのホスト・トラフィックのための第1トンネル接続と、前記ゲスト・クライアント・デバイスからのゲスト・トラフィックのための第2トンネル接続とを有し、
    前記アクセス・ポイントは、前記ホスト・クライアント・デバイスおよびゲスト・クライアント・デバイスによって前記アクセス・ポイントに伝達されるプロトコル情報に基づいて、前記ホスト・クライアント・デバイスのトラフィックを前記第1トンネルに割り当て、前記ゲスト・クライアント・デバイスのトラフィックを前記第2トンネルに割り当てるように構成されている、インターネット・アクセス・システム。
  2. 請求項1記載のシステムにおいて、前記ゲスト・クライアント・デバイスに対する前記第2組のアクセス能力は、前記サービス・プロバイダ・プラットフォームにおける被制御領域へのアクセスを制限する、システム。
  3. 請求項1または2記載のシステムにおいて、ゲスト・トラフィックの許可および/または監理を、ホスト・トラフィックの許可および/または監理から分離した、システム。
  4. 請求項1から3までのいずれか1項に記載のシステムにおいて、コア・ネットワークとサービス・プロバイダ・プラットフォームとの間にある前記インターフェースにおいて、ゲスト・トラフィックをホスト・トラフィックから分離する、システム。
  5. 請求項1から3までのいずれか1項に記載のシステムにおいて、前記トンネルに進入する前に、前記コア・ネットワークにおいてゲスト・トラフィックをホスト・トラフィックから分離する、システム。
  6. 請求項1から3までのいずれか1項に記載のシステムにおいて、前記コア・ネットワークに進入する前に、前記アクセス・ネットワークにおいてゲスト・トラフィックをホスト・トラフィックから分離する、システム。
  7. 請求項1から3までのいずれか1項に記載のシステムにおいて、前記アクセス・ネットワークに進入する前に、前記アクセス・ポイントにおいてゲスト・トラフィックをホスト・トラフィックから分離する、システム。
  8. 請求項1から3までのいずれか1項に記載のシステムにおいて、前記アクセス・ネットワークに進入する前に、前記ホスト・ネットワークにおいてゲスト・トラフィックをホスト・トラフィックから分離する、システム。
  9. 前述の請求項のいずれか1項に記載のシステムにおいて、ホスト・クライアント・デバイスおよびゲスト・クライアント・デバイスからのトラフィックのトンネルへの前記割り当ては、レイヤ3プロトコル情報に基づく、システム。
  10. 請求項9記載のシステムにおいて、前記レイヤ3プロトコル情報は、IPパケット・ヘッダにおける5−タプルを備えている、システム。
  11. 前述の請求項のいずれか1項に記載のシステムにおいて、ホスト・クライアント・デバイスおよびゲスト・クライアント・デバイスからのトラフィックのトンネルへの前記割り当ては、レイヤ2プロトコル情報に基づく、システム。
  12. 請求項11記載のシステムにおいて、前記レイヤ2プロトコル情報は、MACアドレスを備えている、システム。
  13. 請求項2から12までのいずれか1項に記載のシステムにおいて、前記サーバ・プロバイダ・プラットフォームの被制御領域は、ウォール・ガーデンを備えている、システム。
  14. 請求項13記載のシステムにおいて、ウォール・ガーデンは、サーバおよび/またはデータベースを備えている、システム。
  15. 請求項14記載のシステムにおいて、前記ウォール・ガーデン内にある前記サーバは、許可システムおよび/または監理システムを備えている、システム。
  16. 請求項15記載のシステムにおいて、ゲスト・トラフィックに対するIPアドレスの割り当ては、前記ウォール・ガーデン内にあるサーバによって行われる、システム。
  17. 前述の請求項のいずれか1項に記載のシステムにおいて、ゲスト・トラフィックに対するIPアドレスの監理は、前記サービス・プロバイダ・プラットフォーム内にある監理サーバおよび監理データベースによって、ホスト・トラフィックの監理とは別個に行われる、システム。
  18. 前述の請求項のいずれか1項に記載のシステムにおいて、ゲスト・トラフィックには一時的な一意のIPアドレスを割り当てる、システム。
  19. 請求項18記載のシステムにおいて、ログインの前に、前記ウォール・ガーデン内にある1つ以上のサーバにおける許可ページまたはウェルカム・ページにゲスト・トラフィックをリダイレクトする、システム。
  20. 請求項19記載のシステムにおいて、前記ウォール・ガーデン内における1つ以上の許可サーバが、ゲスト・ユーザに対してユーザ許可を行う、システム。
  21. 請求項20記載のシステムにおいて、許可に失敗した場合、ゲスト・トラフィックを前記ウォール・ガーデン内のサーバ上にあるエラー・ページにリダイレクトする、システム。
  22. 請求項21記載のシステムにおいて、ユーザ許可に成功した場合、ゲスト・トラフィックの前記ウォール・ガーデンからの流出を許容する、システム。
  23. 請求項22記載のシステムにおいて、前記ゲスト・ユーザに関連して、前記ウォール・ガーデン内における1つ以上のサーバ上に、ログインおよびセッション監理を維持する、システム。
  24. 請求項23記載のシステムにおいて、前記ログイン監理は、一時的IPアドレス、ゲスト・ログイン・セッションの開始時刻および終了時刻、ならびにその他のユーザの詳細を備えている、システム。
  25. 請求項22記載のシステムにおいて、許可成功の場合、動的DNS登録を行う、システム。
  26. 前出の請求項のいずれか1項に記載のシステムにおいて、ゲスト・トラフィックに割り当てられるIP番号を、ホスト・トラフィックに割り当てられるIP番号とは別個に維持する、システム。
  27. 請求項25記載のシステムにおいて、ゲスト・トラフィックの監理を、ホスト・トラフィックの監理から分離する、システム。
  28. 請求項1記載のアクセス・ポイントであって、ホスト・ユーザのリストを備えており、アクセスを求めるクライアント・デバイスの前記識別情報が、前記ホスト・ユーザ・リストにおけるエントリの前記識別情報と対応する場合、ホスト・ユーザとしてクライアント・デバイスへのアクセスを許容する、アクセス・ポイント。
  29. 請求項27記載のアクセス・ポイントにおいて、前記識別情報は、ハードウェア関連情報を備えている、アクセス・ポイント。
  30. 請求項28記載のアクセス・ポイントにおいて、前記ハードウェア関連情報は、MACアドレスまたはシリアル・ナンバーを備えている、アクセス・ポイント。
  31. 請求項27記載のアクセス・ポイントにおいて、前記識別情報は、プロトコル関連情報を備えている、アクセス・ポイント。
  32. 請求項30記載のアクセス・ポイントにおいて、前記プロトコル関連情報は、IPアドレスを備えている、アクセス・ポイント。
  33. 請求項27から31までに記載のアクセス・ポイントにおいて、前記ホスト・ユーザ・リストをリモートに管理する、アクセス・ポイント。
JP2007128998A 2006-05-16 2007-05-15 ノーマディック・インターネット Pending JP2007318748A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP06010038A EP1858217A1 (en) 2006-05-16 2006-05-16 Shared Internet access

Publications (1)

Publication Number Publication Date
JP2007318748A true JP2007318748A (ja) 2007-12-06

Family

ID=36975593

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007128998A Pending JP2007318748A (ja) 2006-05-16 2007-05-15 ノーマディック・インターネット

Country Status (4)

Country Link
US (1) US20070268878A1 (ja)
EP (1) EP1858217A1 (ja)
JP (1) JP2007318748A (ja)
CN (1) CN101079778A (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004034229A2 (en) 2002-10-10 2004-04-22 Rocksteady Networks, Inc. System and method for providing access control
US7624438B2 (en) 2003-08-20 2009-11-24 Eric White System and method for providing a secure connection between networked computers
US7590728B2 (en) * 2004-03-10 2009-09-15 Eric White System and method for detection of aberrant network behavior by clients of a network access gateway
US7610621B2 (en) 2004-03-10 2009-10-27 Eric White System and method for behavior-based firewall modeling
US7665130B2 (en) 2004-03-10 2010-02-16 Eric White System and method for double-capture/double-redirect to a different location
US7509625B2 (en) * 2004-03-10 2009-03-24 Eric White System and method for comprehensive code generation for system management
US8543710B2 (en) 2004-03-10 2013-09-24 Rpx Corporation Method and system for controlling network access
US7873060B2 (en) 2008-10-18 2011-01-18 Fortinet, Inc. Accelerating data communication using tunnels
US20110153790A1 (en) * 2009-12-18 2011-06-23 Electronics And Telecommunications Research Institute Open access point, terminal and internet service providing method thereof
US8976724B2 (en) * 2010-04-20 2015-03-10 Zomm, Llc Method and system for repackaging wireless data
CN102547892B (zh) * 2010-12-20 2014-12-10 大唐移动通信设备有限公司 一种游牧数据接入系统、装置及数据传输方法
EP2687035A1 (en) 2011-03-18 2014-01-22 Smith Micro Software, Inc. Managing tethered data traffic over a hotspot network
US10148550B1 (en) 2011-10-04 2018-12-04 Juniper Networks, Inc. Methods and apparatus for a scalable network with efficient link utilization
US9118687B2 (en) 2011-10-04 2015-08-25 Juniper Networks, Inc. Methods and apparatus for a scalable network with efficient link utilization
US9667485B2 (en) * 2011-10-04 2017-05-30 Juniper Networks, Inc. Methods and apparatus for a self-organized layer-2 enterprise network architecture
US8804620B2 (en) 2011-10-04 2014-08-12 Juniper Networks, Inc. Methods and apparatus for enforcing a common user policy within a network
US9407457B2 (en) 2011-10-04 2016-08-02 Juniper Networks, Inc. Apparatuses for a wired/wireless network architecture
CN104618873B (zh) * 2015-01-15 2018-11-30 腾讯科技(深圳)有限公司 接入点信息分享方法和装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006121704A (ja) * 2004-10-21 2006-05-11 Lucent Technol Inc 分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6760775B1 (en) * 1999-03-05 2004-07-06 At&T Corp. System, method and apparatus for network service load and reliability management
AU773884B2 (en) * 1999-11-03 2004-06-10 Cisco Technology, Inc. Distributed network communication system which enables multiple network providers to use a common distributed network infrastructure
US20040044789A1 (en) * 2002-03-11 2004-03-04 Seabridge Ltd. Dynamic service-aware aggregation of PPP sessions over variable network tunnels
US8077732B2 (en) * 2005-11-14 2011-12-13 Cisco Technology, Inc. Techniques for inserting internet protocol services in a broadband access network
US9397856B2 (en) * 2005-12-02 2016-07-19 Ca, Inc. Virtual tunnel network router
US8843657B2 (en) * 2006-04-21 2014-09-23 Cisco Technology, Inc. Using multiple tunnels by in-site nodes for securely accessing a wide area network from within a multihomed site

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006121704A (ja) * 2004-10-21 2006-05-11 Lucent Technol Inc 分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ

Also Published As

Publication number Publication date
US20070268878A1 (en) 2007-11-22
CN101079778A (zh) 2007-11-28
EP1858217A1 (en) 2007-11-21

Similar Documents

Publication Publication Date Title
JP2007318748A (ja) ノーマディック・インターネット
US10455403B2 (en) Virtual mobility anchor for network sharing
US9654962B2 (en) System and method for WLAN roaming traffic authentication
US9112909B2 (en) User and device authentication in broadband networks
JP4270888B2 (ja) Wlan相互接続におけるサービス及びアドレス管理方法
CA2600760C (en) Security for mobile devices in a wireless network
RU2518186C2 (ru) Обработка трафика локального непосредственного соединенения в домашней базовой станции
JP4754964B2 (ja) 無線網制御装置及び無線網制御システム
JP4555235B2 (ja) ネットワーク装置、無線ネットワークの使用方法及び無線ネットワーク・セキュリティ方法
US9577984B2 (en) Network initiated alerts to devices using a local connection
CN107819732B (zh) 用户终端访问本地网络的方法和装置
US20050114490A1 (en) Distributed virtual network access system and method
EP1575238A1 (en) IP mobility in mobile telecommunications system
US8611358B2 (en) Mobile network traffic management
MXPA05011093A (es) Tecnicas para ofrecer accesos sin interrupcion en puntos de trabajo corporativos para usuarios huespedes y para usuarios locales.
EP2606663A1 (en) A system and method for wi-fi roaming
WO2012024204A2 (en) A system and method for maintaining a communication session
EP2373075A1 (en) System and method for WLAN traffic monitoring
CN104253798A (zh) 一种网络安全监控方法和系统
JP2004289257A (ja) ネットワーク認証装置及びネットワーク認証システム
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
KR101690498B1 (ko) 스위치에 네트워크를 설정하는 방법, 이를 사용한 스위치 및 컴퓨터 판독 가능한 기록매체
EP1858223A1 (en) Shared Internet access
KR101712922B1 (ko) 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치
JP4802238B2 (ja) ローカルネットワーク相互接続における移動端末に対してネットワークに基づくトンネルを設定する方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091113

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100617