JP2009153142A - 無線ネットワークノード装置及び無線基幹ネットワーク構築方法 - Google Patents

無線ネットワークノード装置及び無線基幹ネットワーク構築方法 Download PDF

Info

Publication number
JP2009153142A
JP2009153142A JP2008328410A JP2008328410A JP2009153142A JP 2009153142 A JP2009153142 A JP 2009153142A JP 2008328410 A JP2008328410 A JP 2008328410A JP 2008328410 A JP2008328410 A JP 2008328410A JP 2009153142 A JP2009153142 A JP 2009153142A
Authority
JP
Japan
Prior art keywords
wireless
snownet
network
node
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008328410A
Other languages
English (en)
Other versions
JP4696154B2 (ja
Inventor
Lusheng Ji
ジィ ルゥション
Jonathan Russell Agre
ラッセル アグレ ジョナサン
Arunesh Mishra
ミッシュラ アルネッシュ
Sohil Thakkar
タッカル ソーイル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JP2009153142A publication Critical patent/JP2009153142A/ja
Application granted granted Critical
Publication of JP4696154B2 publication Critical patent/JP4696154B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • H04W40/20Communication route or path selection, e.g. power-based or shortest path routing based on geographic position or location
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/24Connectivity information management, e.g. connectivity discovery or connectivity update
    • H04W40/26Connectivity information management, e.g. connectivity discovery or connectivity update for hybrid routing by combining proactive and reactive routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】自ら構成され、移動可能な、セキュア無線ネットワークサービスを移動ユーザに与える無線ネットワークシステムを提供する。
【解決手段】無線クライアント装置に対してローカルサービスを提供すると共に、無線基幹ネットワークの一部を構成して無線基幹サービスを提供することが可能な無線ネットワークノード装置である。無線基幹ネットワークの一部となるに先だって、前記無線基幹ネットワークより認証を受ける手段と、前記認証後に与えられる前記無線基幹ネットワークに参加するための鍵を使って、前記無線基幹ネットワークの通信をする手段と、無線クライアント装置に対してローカルサービスを提供する手段と、前記無線基幹ネットワークへ新たに参加する移動可能な無線ネットワークノード装置に対して認証者として動作する手段とを有する。
【選択図】図2

Description

本発明は、データネットワーキングに関連し、特に安全な移動可能な無線データネットワーキングに関連する。
現在の無線ローカルエリアネットワーク(WLAN)では、アクセスポイント(AP)が取り付けられている基幹ネットワークへの接続を得るために、移動クライアントはアクセスポイント(AP)に無線で接続する。基幹ネットワークは典型的には有線接続され、他の組織ネットワークに接続される。様々なWLAN通信規格の中で、IEEE802.11(「パート11:無線LAN媒体アクセス制御(MAC)及び物理層の仕様」,IEEE,1999及びその総ての変種を含む)が現在最も一般的である。
WLANアーキテクチャはネットワーク管理者に理想的であり、その管理者は、彼らの既存の有線キャンパス(campus)の境界を無線で拡張する若しくはネットワークを協同させる又は広範なキャンパス移動性支援を提供することを希望する。このアーキテクチャの下では、何らかのAPと直接的な無線連絡が維持される限り、移動クライアントはもはやネットワークケーブルや壁の給電ジャックに制限されない。ダイナミックホストコンフィギュレーションプロトコル(DHCP)のような多数の動的なコンフィギュレーションプロトコルのおかげで(R.Droms,“Dynamic Host Configuration Protocol,”RFC2131,March 1997)、移動クライアントは、ユーザコンフィギュレーションの適合化作業なしに又は殆どなしにWLANに容易に参入することができる。ユーザはAPの網羅する範囲内を自由に移動することができる。ユーザがAPのサービスエリアの境界を越えて移動する場合には、WLAN及び橋渡し又はブリッジプロトコルは、そのユーザに関するリンクレイヤ接続を更新し、進行中の通信セッションがハンドオフにより邪魔されず且つ現在の通信キャリア(無線周波数)が切り替わるようにする。
(関連出願)
本願は、2002年11月25日付けの、ラッシェン・ジ、ジョナサン・アグレ、アルネッシュ・ミシュラ及びソヒル・タッカー(Lusheng Ji,Jonathan Agre,Arunesh Mishra,and Sohil Takkar)による“METHODS AND APPRATUS FOR SECURE,PORTABLE,WIRELESS AND MULTI−HOP DATA NETWORKING−SECURE NOMADIC WIRELESS NETWORK(SNOWNET)”と題する番号60/428,700を有する仮出願による利益を享受し、35U.S.C.119の規定の下に、その開示内容は本願の参考に供せられる。
移動クライアントは無線ネットワーク接続の恩恵に浴することが可能であるが、他方において、WLANを配備(deploy)することは容易な作業ではない。APは、典型的には有線LANである基幹ネットワークにより相互接続される必要がある。従って、既存のネットワークインフラストラクチャにAPを接続するために、無線ケーブルがインストールされる必要がある。また、APに動作電源を供給するために電気配線が設けられる必要もある。加えて、APに関する場所又はロケーションを決定するために、WLAN設計者は、無線利用度を予測し、無線伝搬特性を判定するためにサイト測定内容を管理する必要がある。また、隣接する通信セル間の干渉を最小に維持するために、動作チャネルが各APに割り当てられる必要がある。配備後に、APの位置を変更することは更なるコストのかかる作業になる、というのは、ケーブル及びワイヤも変更される必要があるからである。利用するパターンが変化する場合に、その変化に合わせるためにWLANが頻繁に動的に再構成されるようにすることはできない。
既存のIEEE802.11WLAN回線に関する別の問題は、現在のセキュリティ機構にある。WLANでは、送信される全ビットがエアーにて伝搬され、そのエアーは、彼/彼女が無線信号範囲内に存在し且つWLAN無線信号を受信することの可能な無線装置を有するならば、誰でもアクセスできる開放的な通信媒体である。従って、重要なデータには暗号化が施され、意図される受信者のみがそのデータを再構成して理解できるようにしなければならない。
IEEE802.11規格は、データ保護については有線等価プライバシ(WEP:Wired Equivalency Privacy)プロトコルを使用する。WEPは、40ビットの共用される秘密鍵(又は後の形態では104ビット)を利用する。64ビット(又は後の規格では128ビット)のシード(seed)を作成するために、24ビットの初期ベクトル(IV)が共用鍵に連結される。そして、そのシードは、ランダムビットシーケンスを生成するために、RC4疑似乱数生成器(PRNG)に供給され、そのシーケンスはフレーム暗号鍵ストリームとして使用される。IVは総て暗号化されたデータフレーム用に変更され、RC4 PRNG用のシードがデータフレーム全体で異なるようにする。従って、各データフレームを暗号化する場合に異なるキーストリームが生成される。IVは各データフレーム内のクリアテキスト(clear text)として包含され、受信機は、受信したIVを共用鍵に連結し、RC4 PRNEシードを生成し、暗号解除キーストリームを算出する。しかしながら、限定されたIVサイズに起因して、2^24、即ち約1600万個のキーストリームしかない。所与の平均的データフレームのサイズ及びIEEE802.11で支持されている伝送レートに関し、多忙な又はビジーなAPはその個々のキーストリームスペースを直ぐに使い果たし、暗号化キーストリームを再利用することを強いられる。IVは各データフレームにてクリアテキストとして包含されるので、攻略者又はアタッカ(attacker)にとって、再利用されるキーストリームを認定することは比較的容易である。アタッカは、同じキーストリームで暗号化された暗号化テキストの断片を収集し、平文又はプレインテキストを攻略又は復元するために統計的な分析を実行する。また、攻略者は総ての可能なキーストリームについての辞書を構築することできる。この種の攻略者に対する脆弱性に加えて、セキュリティリサーチ関係者は、WEPプロトコルの他の弱点も指摘している(N.Borisov,I.Goldberg,and D.Wagner,“Intercepting Mobile Communications:The Insecurity of 802.11”,MOBICOM 2001,2001)。
また、IEEE802.11の認証手法は、その暗号化法の弱点に関連する既知の問題をも有する。IEEE802.11のAPは、承認されていないアクセスから保護するために2つの方法を与え、それらは:媒体アクセス制御(MAC)アドレスフィルタリングと、WEPベース共用鍵認証である。MACアドレスフィルタは、その宛先又はソースアドレスが事前に決めた「承認リスト(allowed list)」に列挙されていないデータフレーム総てを単に破棄する又はドロップする。しかしながら、MACアドレスは攻略者から容易に探知及び偽造され得るので、MACアドレスフィルタは非承認ネットワークアクセスに対して殆ど保護を与えない。共用鍵認証プロセスは、同一に共用されるが異なるIVと共にWEPを利用しながら、同一の試行内容又はチャレンジを暗号化する者(即ち、開始者及び応答者)双方を包含する。共用鍵認証アルゴリズムは、共用鍵を有する者に対するネットワークアクセスを認証するが、未承認者が共用鍵を復元できない場合にのみ有効である。しかしながら、破壊可能なWEPに関し、許容鍵認証は幻想でしかなくなる(実益が無くなる)。
IEEE802.1x(ポートベースネットワークアクセス制御)規格(“Port−Based Network Access Control”,IEEE,2001)は、構成の枠組み又はアーキテクチャのフレームワークを指定し、それはユーザ認証、ネットワークアクセス制御、及び動的鍵管理を与えるよう設計される。IEEE802.1xフレームワークの中では、システムは様々な特定の認証手法及びアルゴリズムを利用することができる。ユーザが認証されるか否かを判別するのに使用される実際のアルゴリズムは、解放されており、多数のアルゴリズムが利用可能である。IEEE802.11セキュリティ機構における弱点が露呈した後に、当局は、無線LANのセキュリティ問題を解決する手段又はソリューションとしてIEEE802.1xを速やかに採用するよう動いた。また、IEEEロバストセキュリティネットワーク(RSN)は、IEEE802.1x規格を重要な要素として包含している(802.11i,IEEE802.11タスクグループIは進行中のワーキングである)。
IEEE802.1xは、認証プロセス中のメッセージ交換に関するPPP拡張可能認証プロセス(EAP,L.Blunk and J.Vollbrecht,“PPP Extensible Authentication Protocol(EAP)”,RFC2284,March,1998)に準拠している。EAPは、ネットワークセキュリティソリューションに一般的なチャレンジ−応答通信パラダイムに基づいて設定される。当初はPPP接続用の認証方法として設計されたのであるが、それはまたイーサーネット、トークンリング、又はWLANのような広範囲にわたるLAN形態にも使用され得る。
以下は、802.1xベースの認証及び動的な暗号化の説明である。図1は、IEEE802.1x認証動作に関連する要素を示す。IEEE802.1xを利用するWLAN100では、クラアイント(要求者(supplicanti)としても知られる)102は、AP(又は認証者)104にアクセスサービスを要求する。APはそのクライアント102のために未承認ポートを開き、そのポートは要求者(クライアント)102からのEAPメッセージのみを受け入れる。この未承認ポートを利用して、要求者102はEAPメッセージを認証者104及び認証サーバ106と通信又は交換し、そのサーバは認証アルゴリズムを実行するバックエンドサーバである。認証アルゴリズムの終了時点で、認証サーバ106は、認証者104に「容認」又は「拒否」命令を返送する。「容認」メッセージを受信すると、APはそのクライアント102のために正規のネットワークアクセスポートを開き、そのクライアント102がそこを通じて通常のトラフィックを通信することを可能にする。
当該技術分野では、IEEE802.1dMACブリッジプロトコル(“パート3:媒体アクセス制御(MAC)ブリッジ”,IEEE,1998(IEEE802.1d);“パート3:媒体アクセス制御(MAC)ブリッジ−改定2:高速再構成”,IEEE,2001(IEEE802.1w))が知られている。
IEEE802.1dは、スパニングツリープロトコルを利用し、それは、ブリッジする装置のネットワーク内で転送するループを防ぎつつ、パケット転送トポロジを形成する方法である。任意的に接続されたネットワークにおいて、各ブリッジは複数のポートを包含する。これらのポートは多数のLAN要素又はセグメントに取り付けられる。ネットワークにおける全ブリッジの中で、1つのブリッジが、スパニングツリーの「根(root)」として機能する。これは、最高の優先度ブリッジ識別子を有するブリッジである(優先度識別子又はブリッジは、典型的にはブリッジのポートの中で最低のMACアドレスであるブリッジ固有のIDから導出される、又はネットワーク管理者によって構成される。)。
このプロトコルでは、各ブリッジは、その隣接するブリッジに以下の事項を報告するためにそのポート各々を使用し、その事項は:それ自身の身元、送信するポートの身元、送信ブリッジがルートであると想定しているブリッジの身元、及び送信ポートからルートブリッジに至る経路のコストである。各ブリッジは、それ自身がルートであると仮定して開始する。あるブリッジが、目下所有しているものより「良好な(better)」情報を受信すると、その新たに受信した情報に基づいてその情報を再度算出し、更新された制御メッセージを隣接するブリッジに送信する。考えられる「良好な情報」は、(より高い優先度識別子を有する)良好なルートであるブリッジ、ルートに至る短い経路、低コストのルート等のような情報を包含する。最終的に、情報伝送を通じて、総てのブリッジが実際のスパニングツリー形状又はトポロジを学び、それに従ってデータフレームを転送するようにそれらのポートを構成する。各ブリッジにおいて、ルートに最も近いポートは、「ルートポート(root port)」として知られる。各LAN要素では、そのルートに至る最短の経路を与え得るブリッジは、そのLAN要素に対する「指定されたブリッジ(designated bridge)」として知られる。
802.11規格は当該技術分野で知られている。
本発明では、無線クライアント装置に対してローカルサービスを提供すると共に、無線基幹ネットワークの一部を構成して無線基幹サービスを提供することが可能な無線ネットワークノード装置は、前記無線基幹ネットワークの一部となるに先だって認証を受ける手段と、前記認証後に与えられる前記無線基幹ネットワークに参加するための鍵を使って、前記無線基幹ネットワークの通信をする手段と、前記無線クライアント装置に対してローカルサービスを提供する手段と、前記無線基幹ネットワークへ新たに参加する移動可能な無線ネットワークノード装置に対して認証者として動作する手段とを有する。また、前記ローカルサービスを提供する手段は、前記無線クライアント装置に対して認証者として動作した後、認証された前記無線クライアント装置に対してローカルアクセスサービスを提供するように構成してよい。
また、本発明では、無線クライアント装置に対してローカルサービスを提供すると共に、無線基幹サービスを提供する無線基幹ネットワークの一部を構成することが可能な無線ネットワークノード装置は、前記無線基幹ネットワークの一部となる先だって認証を受けるステップと、前記認証後に与えられる前記無線基幹ネットワークに参加するための鍵を使って、前記無線基幹ネットワークの通信をするステップと、前記無線クライアント装置に対してローカルサービスを提供するステップと、前記無線基幹ネットワークへ新たに参加する移動可能な無線ネットワークノード装置に対して認証者として動作するステップとを有し、無線基幹ネットワーク構築方法を提供する。また、前記ローカルサービスを提供するステップは、前記無線クライアント装置に対して認証者として動作した後、認証された前記無線クライアント装置に対してローカルアクセスサービスを提供するステップを含むように構成してよい。
本発明の一態様は、自ら構成され、移動可能な、セキュア無線ネットワークサービスを移動ユーザに与える無線ネットワークシステムを提供する。
この態様は、自ら構成され、持ち運び可能な、セキュア無線ネットワークサービスを移動ユーザに与える装置により形成される、自ら構成され、移動可能な、ダイナミックなセキュアネットワークシステムにより達成されることが可能であり、そのシステムはセキュアノマディック無線ネットワーク(SNOWNET:Secure Nomadic Wireless Network)として言及される。そのような装置はスノーネット(SNOWNET)ノードとして言及される。
即ち、本発明は、セキュアノマディック無線ネットワーク(SNOWNET)として言及される、セキュアな、移動可能な、無線の複数ホップデータネットワーキング用の方法及び装置を与える。
主に、SNOWNETは、既存の通信及び電力インフラストラクチャによらず、任意の領域に速やかに配備され、承認済みの移動端末への安全な又はセキュアなネットワーク接続を与えることが可能である。特に、オペレーションフィールドにおけるSNOWNETノードの設置、それらへの電力供給、及び他のSNOWNETノードに接続するために各ノードに取り付けられる選択的に指向する外部アンテナ、等に対するインストールプロセスが削減され得る。隣接する装置の識別子、アドレス割り当て及びメッセージルータのようなコンフィギュレーションパラメータは、一群のそのようなSNOWNETノードの協同的な動作によって自律的に決定される。SNOWNETノード間の通信に加えて、SNOWNETノード及び移動クライアント間の通信も保護される。認証された装置(SNOWNETノード及び移動クライアント)のみが、アクセスし、SNOWNETノードによるサービスを受けることが可能になる。
セキュアな携帯用無線データネットワーキングの要請に応じて、本発明によるノマディック無線ネットワーク(SNOWNET)が提供される。セキュアなノマディック無線ネットワーク(SNOWNET)は、多数のローカルアクセスサービスエリアを相互接続する動的な無線基幹ネットワークに関する階層的ネットワークである。SNOWNETノードは、基幹ネットワークを提供するだけでなく、ローカルアクセスサービスを提供するために使用される。
SNOWNETは、ノード及び/又はクライアントの認証により、更にはデータの暗号化によりセキュリティを与える。
以下に明らかになる他の態様及び利点と共にそれらは、以下に充分に詳細に説明される構成及び動作の詳細にて開示され、及び各図を通じて同様な番号は同様な要素を示す、本願の一部をなす添付図面が参照される。
図2−10を参照しながら、本発明によるSNOWNETの構成、SNOWNETノードの機能及び設計事項、並びにSNOWNETノードにより実行されるプロトコルが説明される。
図2は、本発明によるSNOWNETシステムネットワーク300のアーキテクチャを示す。SNOWNETノード302の各々には、少なくとも1つのネットワークインターフェースが備えられ、そのインターフェースは同等な又はピア(peer)SNOWNETノード302間の通信に使用される。無線通信がそれらの間で確立され得る場合には、リンク304がSNOWNETノード302の間で動的に形成される。SNOWNETノード302及びそれらの間のリンクのみを包含するネットワークは、SNOWNET基幹ネットワーク306と呼ばれる。基幹通信用の各SNOWNETノード302に専用のインターフェースは、バックボーンインターフェース又は基幹インターフェースと呼ばれる。また、選択的な外部アンテナは、基幹インターフェースの通信範囲を拡張するために使用され得る。
図2に示されるように、各SNOWNETノード302は、そのカバレッジ領域内でクライアント310に対するクライアントカバレッジ308を与え、その領域にはクライアント無線装置が備えられる。これは、そのカバレッジ領域内のクライアント310にローカルアクセスサービスを与えるSNOWNETノード302として言及される。また、SNOWNETノード302に対して、SNOWNETノード302の有線通信インターフェースに接続された有線ローカルエリアネットワーク(LAN)を介する有線通信インターフェースを、クライアントに対する優先ローカルアクセスサービスに用意することも可能である。このトラフィックは、無線基幹ネットワークに転送され、2つの有線ネットワークを無線接続する。
SNOWNET基幹ネットワーク306を構成する多くの手法が存在する。最も柔軟性のある方法は、ピアトゥピアモードで走るSNOWNET300の基幹インターフェースにより使用される通信技法を構築することである。基幹インターフェースとしてIEEE802.11ネットワークインターフェースを利用する場合は、そのインターフェースは802.11アドホック(AdHoc)モードで動作すべきである。また、異なる基幹ネットワーク306コンフィギュレーションが存在する特殊な場合もある。例えば、基幹ネットワーク306が「星形又はスター」形態又はトポロジを形成する場合に、中央ノードの基幹インターフェースは、アクセスポイント(AP)として、及び他のノードはクライアントとして構成される。
基幹ネットワーク306の全リンク304に対して、同一のリンクトポロジを利用することは必須ではない。同一の技法による基幹インターフェースのノードは、部分的なバックボーンを形成する。部分的なバックボーンは、多数の部分的なバックボーンに同時に併存する様々な技法による多数のバックボーンと共に、ノード302により基幹ネットワーク全体306を共に形成するよう接続される。
基幹インターフェースに加えて、SNOWNETノード302には、典型的には、ローカルアクセスサービスを移動クライアント310に与えるための付加的なインターフェースが備えられる。図2では、3つ総てのSNOWNETノード302が、2重無線インターフェースを有し、一方は基幹通信用であり、他方はローカルアクセスサービス用である。ローカルサービスインターフェースは、IEEE802.3ネトワークインターフェース、APモードで走るIEEE802.11インターフェース、ブルートゥース等のような任意のLAN技法に準拠し得る。
また、あるSNOWNETノードは、残りの組織化ネットワーク、グローバルインターネットその他の外部ネットワークに接続する付加的なリンク312を有し得る。これらのノードは、SNOWNETゲートウエーと呼ばれ、インターネットや他の外部ネットワークに到達するためのSNOWNET300のゲートウエーとして動作する。これらのリンクは、例えば、固定グループネットワークに対するLANに接続されたイーサーネットケーブル、APに対する無線LANインターフェース、ポイントトゥポイントプロトコル(PPP)接続、又は3G広域無線通信インターフェース等のような様々なリンク技法を利用し得る。
あるSNOWNETノード302のインターフェースは、仮想的インターフェースでさえあり得る。例えば、別の目的に使用され得る複数の仮想的インターフェースを形成するために、物理的インターフェースが多重化又は時分割化される。例えば、本発明によるSNOWNETノード302は、同一のIEEE802.11インターフェースが、ある時間スロットで基幹インターフェースとして動作するようにアドホックモードで動作し且つ別の時間スロットでローカルアクセスサービスインターフェースとして動作するようにAPモードで動作するように、アルゴリズムが構築されることを可能にする。更に、SNOWNETノードは、APインターフェースの1つを基幹インターフェースに又はその逆に動的に変更し得る。
SNOWNET300における通信は、2つの段階に分けられ、それらは:基幹通信とローカルアクセス通信である。SNOWNETノード302はこれら2つのレベル間の通信を中継する。従って、異なるSNOWNETノード302からのローカルサービスを受信する2つのクライアントの間の一般的なイントラSNOWNET通信経路は、ソース移動クライアント310とソースクライアント310にサービス提供するSNOWNETノード302との間のリンク、多数のSNOWNET基幹リンク、及び宛先クライアント310とそのアクセスサービスSNOWNETノード302との間の最終的なリンクを包含し得る。宛先が別の外部ネットワークにあるならば、その通信経路は、そのネットワークに対するトラフィックを転送しているSNOWNETゲートウエーノードを包含する。
以下にSNOWNETノード302のハードウエアが説明される。図3は本発明によるSNOWNETノード302のハードウエアアーキテクチャを示す図である。
SNOWNETノード302の各々は、プロセッサ402と、システムメモリ(RAM)403と、ソフトウエアや認証内容及び鍵のようなセキュリティ関連データのためのデータ格納メモリ(フラッシュ)404と、1つ又はそれ以上のネットワークインターフェース406と、これらの要素を接続するシステムバス408とを備える組み込みシステムとして実現され得る。各ノード302は管理可能且つ携帯可能な形状要素を有することに加えて保護可能に収容される。選択的に、各ノード302には、無線ネットワークインターフェース406の通信範囲を拡張するための外部アンテナ410が備えられる。これらのネットワークインターフェース406は、ローカルな有線若しくは無線アクセス、無線バックボーンアクセス、又は有線若しくは無線ゲートウエーアクセスを与える。
SNOWNETノード302の構成内容は、ネットワークにおける具体的な用途に依存する。遠隔的な場所にある典型的なSNOWNETノード302は、2つの無線インターフェース406をゆうし:一方は基幹又はバックボーン用であり、他方はローカルアクセスサービス用である。SNOWNETゲートウエーノード302は、2つの無線ネットワークインターフェースに加えて、外部ネットワークに接続するための有線イーサーネットインターフェースのような第3のネットワークインターフェース406を有し得る。
SNOWNETノード302は持ち運び可能であるので、SNOWNETノード302は、主電源412としてのバッテリにより供給され得るDC電力を利用する。DC電源は、電気のコンセントからのAC変換器、充電装置、太陽エネルギ装置、自動車バッテリ装置、その他の電力発生装置から与えられ得ることが可能である。
所定の動作手順では、バッテリが唯一可能なエネルギ源である場合に、これらのノード302により形成される集合的なネットワークにとって、電源効率的であること及び電源に配慮することの双方が重要である。SNOWNETノード302は、可能である場合に、バッテリ電力を節約するために電源管理手順を実行する。
SNOWNETノード302におけるファイルシステム404は、暗号化されたファイルシステムである。データ格納部404に格納される総ての情報は暗号化される。ノード302が起動されると、オペレータは暗号解除キーをサプライヤに与える(即ち、スマートカード、USBキー等)。ノード302の起動シーケンスは、サプライヤからの暗号解除キーを見出し、ロードする。その後にのみファイルシステム404がアクセスされ得る。重要なオペレーションシステムファイルが暗号解除され、実行されるようにシステムメモリ403にロードされる。ノード302が、SNOWNETの認証及び鍵管理サーバ(後に詳述されるようなSNOWNET認証)から分離されている場合は、即ち、所定の期間の間に、サーバから鍵管理メッセージを受信しない場合は、自動的な電源遮断が実行される。SNOWNETノード302に関する他の不正侵入は、ノード302において物理的なセキュリティ方法で遮られる。
本発明による上記の特徴は、あるSNOWNETノード302に未承認ユーザが近寄ってきた場合に、SNOWNET300全体に対する危険性を減少させる。暗号解除キーサプライヤに有効な接続をすることなしに、SNOWNETノード302は動作せず、有効な暗号解除鍵サプライヤが現われない限り電源は落とされたままである。攻略者がSNOWNETノード302に対する電源を維持したとしても、ノード302は、そのタイムアウト手法を利用して、他のSNOWNETノード群から孤立されるであろう。
図4は、SNOWNETノード302のソフトウエア構成要素500を示す図である。SNOWNETノード302のソフトウエア構成要素500は、SNOWNETノード302各々のデータ格納メモリに格納される。
ソフトウエア構成要素500は、イーサーネット用のドライバ504、ホストAPモードにおける802.11ネットワークインターフェースカード(NIC)、アドホックモードにおける802.11NIC508を含む様々なネットワークインターフェースに対するオペレーティングシステム・カーネルスペース(kernel space)ドライバ502を包含する。他の総てのSNOWNET要素は、ユーザスペース510内に又は実効性を増進するためのカーネルスペース502内に常駐し得る。特に、ネットワークアドレス変換(NAT)モジュール532は、カーネルスペース内にあり、外部インターネットアドレスと内部SNOWNETアドレススペースとの間の変換を行なう。
2つの主要なSNOWNETモジュールとして、SNOWNETネットワークレイヤ512とSNOWNET API514がある。SNOWNETネットワークレイヤ内では、SNOWNETノード認証516及びSNOWNET配信/ブリッジ518の機能が実行される。クライアント装置アクセスサービスを与えるSNOWNETノードに関し、標準的なDHCPモジュールが、アドレスをクライアントに動的に割り当てるために包含される。SNOWNETアプリケーションプログラマインターフェース(API)514は、アプリケーション展開インターフェースを与え、他のアプリケーション520及びサービス522が低レベルの、配信テーブル情報(図9に示される)のようなSNOWNETの具体的な特徴部にアクセスできるようにする。SNOWNETネットワーク300で実現され得るアプリケーション例は、無線音声、ストリーミングデータ及びその他のネットワーク機能を包含する。一実施例では、APIが規定され、ネットワークレイヤ512及びクライアント認証モジュール526のために使用され、C言語によるプログラム呼出を含む。
SNOWNETネットワークレイヤ512は、SNOWNETノード302の他のミドルウエア要素についてのネットワークサービスとして実現される。これら選択的なSNOWNETミドルウエア要素は、サービス品質モジュール524と、サービスセキュリティモジュール524と、信用管理アルゴリズム530と、クライアント認証モジュール526とを包含し得る。サービス品質モジュール524は、各クライアントに与えられる通信帯域の割り当てを制御する。サービスのセキュリティ524は、クライアントの必要性に応じて付加的なセキュリティレベルを与える。信用管理アルゴリズムは、システムの初期ブーストラップに関する規則並びに未知のクライアント及びルータを許容する規則を取扱い、そのシステムの一部となるようにする。クライアント認証モジュール526は、クライアントを承認及び識別する802.1x指針又はポリシーを実行し、それは以下に更に説明される。
また、各SNOWNETノード302は、クライアントに関するセキュアローミングをサポートするモジュール528を含む。これは、クライアント310があるSNOWNETノードのローカルサービスエリアから別のノードのローカルサービスエリアに移動する場合に、クライアントの「信用及び信任状(trust and credential)」をあるSNOWNETノード302から別のものに転送するモジュールである。このモジュール528の支援を受けることで、クライアント310は、新たなローカルサービスエリア内で再び認証段階の総てを通過する必要はなくなる。そして、2つのSNOWNETノードによってサービス適用されるクライアント310間の時間差は比較的小さく、ハンドオーバは比較的円滑に行なわれる。
SNOWNETノード302は、RADIUSサーバ303のような選択的に認証サーバ534のホストを務め、そのサーバは、信用状の検査、鍵の生成、及び信用情報の格納に必要なもの総てを与える。
以下、802.1x、SNOWNETに対するPASS、ハンドオーバ中の認証及びセキュリティに関するSNOWNET実施態様を含む、本発明によるSNOWNETのセキュリティ特徴が説明される。
図5を参照しながら、IEEE802.1xに関する本SNOWNET実施例が説明される。
図5に示されるように、要求者(クライアント)310は、SNOWNETノード302のアクセスポイントインターフェースを通じてSNOWNET300にアクセスする。SNOWNETノード302は、認証者としての機能し、認証サーバ303と通信を行う。
SNOWNET300のネットワーク環境が、RADIUSサーバへの接続を許容するならば(C.Rigney,A.Rubens,W.Simpson,and Willlens,“Remote Authentication Dial in USER SERVICE(RADIUS)”,RFC2138,APRIL,1997)、SNOWNET300は既存の組織的RADIUSサーバを、後方認証サーバ303として使用する。そうでなければ、RADIUSサーバソフトウエアを走らせることで、あるSNOWNETノード302が、認証サーバ303として構成され得る。SNOWNET態様の前に、このノード303は、必要な認証総てをシステムメモリ404にダウンロードし、それが認証責務を遂行するようにする。そのような認証は、SNOWNETノード302に対するものに加えて、認証されるクライアントに対するものも包含する。システムメモリや実効性の高いCPUのような付加的なハードウエアリソースは、実効性を高めるために、認証サーバノード303にインストールされ得る。配備中に、RADIUSサーバノード303は、任意の他のSNOWNETノード302が起動され且つ他のSNOWNETノード302がオフされるまでアクティブにされ続ける以前に、アクティブにされる必要がある。
ローカルネットワークアクセスサービスを与えるSNOWNETノード302は、クライアント認証モジュール526を利用しながら、IEEE802.1xアーキテクチャにおける認証者として動作する。SNOWNETは、ウインドウズXPやXサプリカント等のような多くの既存の要求者機能と両立可能である。認証者機能を実行するために、SNOWNETノード302におけるクライアント認証モジュール526は、オープン1X認証者ソフトウエアを走らせ、これは802.1x認証者(open1x.orgにおけるワールドワイドウェブサイトにて、Open1X)526のオープンソース実行形態である。SNOWNETクライアント認証モジュール526は、移動クライアント及びネットワーク間相互の認証や、動的な鍵ローテーションのような付加的な機能を与えることで、標準規格IEEE802.1xセキュリティを強化する。移動クライアント310及びSNOWNETネットワーク300間の相互認証は、認証プロセスの良好な完了により支持され、クライアント310及びSNOWNETノード302双方が、公開鍵インフラストラクチャを用いて適切に識別された場合にのみそれが達成される。セキュリティ暗号鍵が周期的に変更される及びSNOWNETネットワーク300を通じて再配信されるダイナミックキーは、SNOWNET300によりサポートされる特徴の1つである。
以下、SNOWNET300におけるクライアント及びネットワーク相互認証手順の詳細が説明される。移動クライアント310及び認証SNOWNETノード302間のEAPハンドシェークの間に、クライアント310はEAP開始メッセージを送信し、SNOWNETノード302はユーザの身元を要求するEAPメッセージを返信する。クライアント310は、認証サーバ303の公開鍵と共に公開鍵暗号化機構を利用して暗号化された彼の認証内容を返信する。その後に、認証者302は、その暗号化された認証内容を認証サーバ303に転送する。認証サーバ303は、クライアント認証内容を確認し、その認証が有効ならば、認証サーバ303はそのクライアントに対するセッション鍵を生成し、クライアント310及び認証者303双方にそのセッション鍵を送信する。このセッション鍵を用いることで、AP302は、ローカル共用WEP鍵を暗号化し、暗号化された共用鍵をクライアント310に送信する。相互認証をサポートするために、認証サーバ303も、クライアント310の公開鍵を利用してSNOWNET300全体に対して認証内容を暗号化し、暗号化された認証内容をクライアント310に送信し、クライアント310もネットワーク300を認証することができるようにする。クライアント310がネットワーク認証を受け入れる場合は、クライアント310はローカル共用WEP鍵の暗号化を解除し、IEEE802.11装置への共用鍵を構築し、ネットワーク300へのアクセスを開始する。
同一のRADIUSサーバ303を用いると、SNOWNET300は、クライアント310及びAP302間の通信に使用される共用鍵を動的且つ周期的に更新できる。クライアント310がネットワーク300から分離している場合には、SNOWNET300は共用鍵を更新する必要はない、というのは、その時点で使用されている共用鍵は周期的なキーリフレッシュによって間もなく置換されるからである。
SNOWNETに対するPASSが以下に説明される。
前述のセクションでは、移動クライアント(要求者)310及び認証者302の間で認証及び暗号鍵管理がどのようにされるかに焦点を当てていた。このセクションでは、SNOWNETノード302の彼ら自身の中での認証及び鍵管理が説明される。
以下に説明されるPASSは、SNOWNETに対する増殖的認証法(Propagative Authentication Scheme for SNOWNET)を示す。
IEEE802.1xが典型的な802.11WLANに採用されている場合には、既存有線インフラストラクチャ(アクセスポイント及びアクセスポイントを相互接続するネットワークケーブルを含む)が暗に仮定されており、そこではアクセスポイント間のネットワークトポロジが静的であり、APは信用されるエンティティ(entitiy)である。従って、要求者(移動クライアント)及び認証者(AP)の役割は明確に区別され、APの認証に関する事項を持ち出す必要はない、というのは、それらは既にインストールされており、比較的安全な有線接続によって接続されているからである。
SNOWNET300では、基幹ネットワーク306は無線で動的であり、通常動作中に、新たなSNOWNETノード302が参入し、他者が基幹ネットワークを去ることを許容する。これら新たなノード302がネットワークアクセス及び認証サービスを正規の移動クライアント310に与える以前に、ノード302は先ず基幹ネットワーク306に認証される必要がある。言い換えれば、SNOWNETノード302自身も、SNOWNET300内で認証される必要がある。この新たな認証手法は、「SNOWNETに対する増殖的認証法」又はPASSと言及され、PASSモジュール516にて実行される。
PASSの1つの特徴は、各SNOWNETノード302によって演じられる二重の役割にある。SNOWNET基幹ネトワーク306の一部になるのに先立って、SNOWNETノード302は、IEEE802.1xフレームワークにおける要求者として動作する。SNOWNETノード302は、PASSモジュール516にて要求者であるのに必要な総てのソフトウエア、即ちSNOWNETノード302のリナックス(Linux)/BSD実施形態におけるX要求者(Xsupplicant)等を包含する。SNOWNETノード302は、任意の移動クライアント要求者と同じ手順に従い、それ自身と既存のSNOWNET300との間の相互認証段階を通過する(又はその段階に合格する)ようにする。良好な認証の後に、新たなSNOWNETノード302には、基幹ネットワーク306の共用通信鍵が与えられ、SNOWNETノードが基幹通信に参加できるようにする。
基幹ネットワーク306に認証された後でのみ、新たなSNOWNETノード302は、そのローカルクライアント310に対するネットワークアクセスサービスの提供を開始し得る。新たなSNOWNETノード302が更に処理を進めることが可能になる前に、その新たなSNOWNETノード302は、先ず、認証者ソフトウエアを利用してクライアント認証モジュール526の実行を開始することで、認証者になる必要がある。通常動作中は、各SNOWNETノード302は、ローカル移動クライアント310及び新たなSNOWNETノード302双方を認証する責務を有する。そして、セキュアな及び認証されるバックボーン306は、RADIUSサーバノード303を用いて追加的及び増殖的な形式で構築され;従ってその手順はSNOWNETに関する増殖的認証法(PASS)と呼ばれる。
認証されたSNOWNETノードは、基幹通信内容を暗号化するために同じ鍵を利用する。この共有される鍵は、クライアント−APセッション鍵と同じ形式で周期的に変更される。RADIUSサーバ303は、移動クライアント310用の鍵とは別の基幹通信に使用される共用される鍵を管理する。
以下に、ハンドオフ時の認証及びセキュリティが説明される。
移動クライアント310が、あるSNOWNETノード302のサービス領域から別のSNOWNETノード302のものに移動する場合に、移動クライアントが遮られないデータトラフィックを受信することを保証するために、いくつかの作業が実行される。
一般に、802.11WLANにてローミングする際には、生じる最初イベントはリンクレイヤハンドオフである。即ち、いくつかの事前に定められた契機的なイベント又は出来事の際に、移動クライアントとその現在のAPとの間の通信リンクは中断され、移動クライアントと新たなAPとの間の新たな通信リンクが確立される。そして、システムはネットワークレイヤハンドオフを実行する。即ち、移動クライアントは、新たなトポロジ的なアタッチメント(topological attachment)(その新たなAPに対する)を確立し、ネットワーク全体にその情報を伝送し、その移動クライアントからの/そこへのデータトラフィックが適切に向けられるようにする。このセクションでは、リンクレイヤハンドオフ時における、認証及びセキュリティに関連する事項が取り扱われている。以下のセクションでは、ネットワークレイヤハンドオフが説明される。
リンクレイヤハンドオフ動作の詳細は、リンクレイヤ技術に依存して異なる。今日のIEEE802.11WLAN技術の場合には、リンクレイヤハンドオフは、「中断−前−形成(break−before−make)」形式で行われる。移動クライアントが、その現在のAPからの信号品質が所定の閾値以下であることを見出すと、移動クライアントは良好な信号品質を有する新たなAPを発見しようとする。選択的に、移動クライアントは、現在のAPに抜け出ることを通知するためにその現在のAPに関連解除メッセージを送信し、その移動クライアント用に格納している任意の状態をAPが除去できるようにする。移動クライアントは全チャネルを走査又はスキャンし、利用可能なAP、その特性、及び新たな目標APの選択内容を決定する。
新たなAPが選択された後に、802.11規格は、新たなAPにより、その移動クライアント用の認証手順を指定する。しかしながら、上述したように、802.11での共用鍵の認証法は効果的ではない。一方、配備される多くの802.11システムは、移動クライアントがデフォルトによって認証されるオープンシステムである。
認証の後に、移動クライアントは、新たなAPに関連付け要求(Association Request)を送信することで、新たなAPに接続しようとする。関連付け要求を受信すると、APは関連付け応答を返送する。その要求が受け入れられるならば、この送とは、「成功」の値を含む。「成功」の関連付け応答を受信した後に、移動クライアントはメッセージを認証する。そして、新たな接続が確立され、移動クライアントは新たなAPを通じて送信及び受信をすることが可能になる。
同様に、SNOWNET300では、移動クライアント310は、あるSNOWNETノード302のアクセスサービスエリアから別のものにローミングする場合に、移動クライアント310は、スキャン、認証及び関連付けの機能を実行する。
SNOWNET300は、スキャンを完了するのに必要な時間を減らすために最適化された手法を使用する。移動クライアント310に対して全チャネルにわたってスキャンを実行する理由は、移動クライアント310は、どのSNOWNETノード302がその移動クライアント310の領域内で利用可能かを把握していないからである。移動クライアント310のネットワークインターフェースを混合モード(promiscuous mode)におくことは問題を解決しない、というのは、SNOWNETノード302は、クライアント302の現在のチャネルとは異なるチャネルで動作し、従って依然として聴き取れないからである。SNOWNET300では、クライアント310は、通常動作中でさえもスキャン動作を実行し、SNOWNETノード302近辺での利用可能性やそれらの属性を定常的に監視する。この監視スキャンは、遮られない進行中の通信の状況下でのみ行われ、バッテリ寿命に配慮を要する場合には実行されない。最近受信した近辺のSNOWNET302のそのようなリストを利用して、ハンドオフが必要とされる場合に、移動クライアント310は、それらSNOWNETノード302にのみフォーカスし、それらノードは「最近受信した(recently heard)」リストにおけるものであり、良好な信号品質を有する。従って、全チャネルスキャンの必要性が回避され、移動クライアント310が新たなサービスノード302を選択するのに要する時間が少なくなる。「最近受信した」リストが非常に最近に作成される場合には、移動クライアント310は、追加的なスキャンなしに、そのリストから直接的に新たなサービスノードを速やかに選択することができる。
SNOWNET300での関連付け手順は、現行の802.11規格が定めるものと同様であるため、ここでは詳細に説明しない。このセクションの焦点は、ローミングに関連する認証及び保全性又はセキュリティにある。
認証は、通信リソース及び処理リソース双方を必要とする長々しいプロセスである。従って、認証はハンドオフ中に行なわれないことが望ましい。本発明は、最小の遅延時間で新たなアクセスサービス領域の移動クライアント310に円滑且つ安全に再配置するところの認証及びセキュリティハンドオフ機構を包含する。その機構は公開鍵システムに準拠する。総てのSNOWNETノード302が、一方は公開的で一方は私的である1対の鍵を有するものとする。各SNOWNETノード302は、隣接する他のSNOWNETノード302の公開鍵を知っている。また、各移動クライアント310も、近辺のSNOWNETノード302の公開鍵を知っている。この性質は、事前のインストール又は外的公開鍵交換プロトコルによって具備される。
そのような認証及びセキュリティハンドオーバサービスが必要とされる場合に、移動クライアント310は、その現在のSNOWNETサービスノード302がチケット(ticket)を与えることを要求する必要がある。このチケットは、移動クライアントの身元及びその現在のアクセスサービスSNOWNETノードの身元のような情報を包含する。チケットは、そのチケットが発行された時間、有効期限(満了時)、セッション鍵、送信鍵、チェックサム等のような他のフィールドを包含する。また、チケットは、実際のフィールドの前及び後にいくつかのランダムパディングビットを含める。チケットは、その私的鍵を利用してSNOWNETノード302により暗号化される。そして、暗号化されたチケットは要求する移動クライアント310に送信される。このチケットの配信は、移動クライアント310及びその現在のSNOWNETサービスノード間に確立されたセキュリティ通信セッションを介するので、そのような配信は安全である。
選択的に、移動クライアント310が、公開鍵暗号化をサポートし、非対称暗号化を利用して暗号化されたメッセージの暗号化を解除する演算リソースを有するならば、SNOWNETノード302は、再び移動クライアントの公開鍵と共に既に暗号化されたチケットを暗号化する(SNOWNETノードの公開鍵と共に)。そのような2重に暗号化されたチケットを受信すると、移動クライアント310は、移動クライアントの私的鍵を利用してそのチケットの暗号化を解除し、チケットを格納する(サービスノードの公開鍵により依然として暗号化されている)。従って、そのようなチケットが第三者に捕捉された場合であっても、その第三者はチケットを暗号解除することができない。
移動クライアント310が新たなSNOWNETサービスノード302を選択した後に、移動クライアント310は、新たなSNOWNETノード302に再認証要求メッセージを送信する。このメッセージは、それ自身の身元、以前のサービスノードの身元、及び格納されているチケットを包含する。メッセージは、新たなサービスノードの公開鍵を利用して暗号化される。
そのような再認証メッセージを受信すると、新たなサービスノード302は先ず自身の私的鍵を利用してメッセージの暗号化を解除する。新たなサービスノード302は、以前のサービスノードの公開鍵を利用してメッセージに含まれているチケットの暗号化を解除する(以前のサービスノードの私的鍵で依然として暗号化されている)。チケットが有効であるならば、サービスノード302はその移動クライアント310に対する暫定的な通信セッション鍵を生成する。サービスノード302は、そのクライアント310に、再認証応答メッセージを「成功」フラグと共に返送する。メッセージはチケットに包含されるセッションキー送信キーで暗号化され、解放的又はオープンチャネルを通じて移動クライアント310に送信される。暫定的な通信セッション鍵を受信した後に、移動クライアント310は、新たなサービスノード302を通じてメッセージトラフィックを送信及び受信することができる。
暫定的な通信セッション鍵は短期間内でのみ有効である。暫定的な通信セッションキーが期限徒過した後は、移動クライアント310及び新たなサービスノード302間の通信に対して、暫定的な通信セッションキーの利用は許可されない。従って、暫定的な通信セッションキーの有効な時間枠又はウインドウ内で、移動クライアント310は、このセクションにて上述したような通常の移動クライアント認証手順を完了しなければならない。即ち、移動クライアントの信任状は、認証されるクライアント310に対するSNOWNET300のRADIUSサーバ303に送信されるのに必要である。RADIUSサーバ303により認証された後に、RADIUSサーバ303は、移動クライアント310及びサービスノード302間の通常形式の通信に対するセッションキーを発行及び管理することを開始する。
SNOWNETアドレッシング
SNOWNET内でデータがどのようにして転送されるかを説明する前に、どのようにしてアドレスが管理されるかを詳細に説明する。
SNOWNETノードは、複数の通信インターフェースを有し、その各々がインターフェースのハードウエアアドレスとして知られる、グローバルに又は全体的に固有の識別子を有する。そのようなアドレスは、互いにアドレス指定するインターフェースに関するインターフェース間のリンクレイヤ通信に使用される。リンクレイヤ通信は典型的には媒体アクセス制御(MAC)プロトコルにより取り扱われるので、ハードウエアアドレスも典型的にはMACアドレスとして言及される。様々なアドレス化規格の中で、IEEE802.3(イーサーネット)規格は最も広く受け入れられている。殆ど総ての新規MACプロトコル規格は、同じ48ビットアドレスフォーマットを採用する。MACアドレスは、製造業者によって通信インターフェースハードウエアに割り当てられ、それらはグローバルに固有であるので、それらは、それらのホスト装置の固有の識別子としても一般に使用される。1以上のインターフェース及び複数のMACアドレスを有するSNOWNETノードに関し、最低のMACアドレスが、SNOWNETノードの固有ノード識別子として使用される。
MACアドレスはグローバルに固有であるが、それらはハードウエア製造業者によって管理され及び組織されている。コンピュータ装置が全体的に(グローバルに)互いに通信するために、装置の製造業者ではなく、装置の設置場所に準拠した、より階層的に構成されたアドレス手法が使用される。また、各通信インターフェースには、インターネットプロトコル(IP)アドレスとして知られるネットワーク層アドレスが割り当てられる。各IPアドレスは、インターネット上のグローバルにアドレス指定可能な通信及び場所を見分ける。各IPアドレスは、ネットワークアドレス部とホストアドレス部とを有する。また、ネットワークアドレスは階層的に管理される。即ち、ネットワークは複数のサブネットワークに分割され、サブネットワークは更に小さなサブネットワークに分割され得る。また、グローバル配信構造も階層的である。最上位レベルでは、唯一のルータが、大きな自律的に管理されるネットワーク、即ち単一のインターネットサービスプロバイダ(ISP)のネットワークに対する配信項目又はルーティングエントリを有する。最低レベルでは、例えば、自律的に管理されるネットワーク内のルータは、そのネットワーク内のサブネットワークに対する配信項目を有するであろう。
ネットワークアドレスは番号及び長さによって指定される。その長さは、あるIPアドレス内でそのネットワークアドレスに対して(最上位ビットから)何ビット使用されるかを指定する。IPアドレスの残余のビットは、ネットワーク直野他のエンティティをアドレス指定するのに使用され得る。これらのアドレスは全体的にネットワーク(又はサブネットワーク)のアドレス空間として知られている。従って、ネットワークアドレスが短ければ短いほど、ネットワークは大型化することができ、及びネットワークのアドレス空間も大型化することが可能になる。
最少のサブネットワークは「ブロードキャストドメイン(broadcast domain)」として言及される、というのは、このレベルのみがMACアドレスFF:FF:FF:FF:FF:FFを実効的にするからである。装置はこのブロードキャストアドレスを用いてブロードキャストドメイン内の総ての装置と通信する。上述したように、IPアドレスは、リンクレイヤ通信を実行するために、MACアドレスに対応付けられる(マッピングされる)必要がある。IPアドレスとMACアドレス間のマッピングもブロードキャストドメイン内でのみ知られている、というのは、同一のブロードキャストドメイン内でのみ、IPアドレスとMACアドレスとの間の関連性を互いに問い合せるためにブロードキャストMACアドレスを、装置が使用できるからである。IP信号転送の観点からは、同一ブロードキャストドメイン内の総ての装置は、互いに1ホップしか離れていない。
後述するように、SNOWNETは2つの異なるデータ転送モードで動作し、それらは:ブリッジモードとルーティングモードである。アドレス管理はこれら2つのモードで別々に行なわれる。
SNOWNETがブリッジモードで動作する場合には、そのIPアドレス管理は非常に簡潔である。SNOWNET全体は単一のブロードキャストドメインである。SNOWNET装置及びクライアント装置の双方を含む総ての装置は、同一のIPアドレス空間を共用する。特殊なSNOWNETノードは、DHCPサーバとして構成され、ネットワーク全体のIPアドレスを管理する。そのノードは、クラアイント及びSNOWNETノード装置に貸し与える又はリースするためのアドレスの蓄えを有する。満了したリースのIPアドレスは、将来的な割り当て用にアドレスプールに戻ってくる。SNOWNETノード又はクラアイント装置である新たな装置が認証された後に、それはIPアドレス管理や、SNOWNET及びドメインネームサーバ(DNS)用のデフォルトルータのアドレスのような他の関連するIP通信パラメータ等を問い合せるDHCP要求を発行する。この要求は、DHCPサーバノードを含む、SNOWNET似合いの総ての装置にブロードキャストされる。他の総てのノードは、DHCPサーバノードを除いてその要求を無視し、DHCPサーバノードはそのIPアドレスプールから割り当てられたIPアドレスと共にその要求に応答する。他の要求されたパラメータもその応答メッセージに包含される。この応答は新たな装置に返送され、新たな装置はその割り当てられたIPアドレス及び他のパラメータを自身を構築するために使用し得る。
SNOWNETがルーティングモードで動作する場合には、アドレス管理はより複雑化する。SNOWNETは多数のサブネットワークに分割されるので、アドレスはSNOWNET全体に対する単一のエントリによって管理され得ない。典型的な構成は、ローカルアクセスサービスを与える各SNOWNETノードが、自身のサブネットワークを有し且つそれらサブネットワーク内でのアドレッシングを管理するものである。別々のサブネットワークアドレス空間は、SNOWNETノードの基幹インターフェースに割り当てられる。ルーティングモードSNOWNETの管理者は、別々の基幹サブネットワークのアドレス空間を形成する必要がある。
新たなSNOWNETノードがネットワークに受け入れられた後に、その新たなノードにアドレスが割り当てられる必要がある。これらのアドレスは、そのノードの基幹インターフェース用のアドレスと、そのサービスインターフェース用のアドレス空間を含む。このようなことは、分散形式でSNOWNETにより達成される。基幹インターフェース用のアドレス及びローカルサービスインターフェース用のアドレス空間を問い合せる認証者としてのSNOWNETノードに、新たなノードはアドレス要求を送信する。既知のアドレスとSNOWNETのアドレス空間に関する配信テーブルを参照することで、認証者ノードは、新たなノードに未使用のアドレス及びアドレス空間を割り当て、要求するノードにこれらの割り当て内容を返送する。
分散化の性質による問題に起因して、上記のアドレス割り当てはSNOWNET内で他のノードと依然としてコンフリクト又は衝突する虞がある。これは、ネットワーク全体でのアドレス利用に関する認証者の知識不足に起因する、又は同時に異なる認証者ノードからアドレスを要求する、同一SNOWNETの遠隔した部分における他の新規ノードが存在することに起因する。そのようなコンフリクトが起こり、後に検出されると、包含されるノードの識別子に基づいて解決される。より低いノード識別子を有するSNOWNETノードは、そのアドレスを維持することが可能であり、他者はそのアドレスを破棄し、アドレス要求及び選択の手順を再び進行させる。
IPアドレスの不足に起因して、管理者に一般的な実務は、彼の管理下のネットワーク内のコンピュータに対して「私的又はプライベートアドレス」を利用することである。これらのアドレスは、他のアドレスと同一フォーマットのIPアドレスである。しかし、それらは、同じプライベートネットワーク内の装置をアドレス指定するために、プライベートネットワーク内でのみ使用されるに過ぎない。そのようなアドレスはプライベートネットワーク外部では使用され得ない。従って、プライベートアドレスを有する装置は、真に「グローバルにアドレス可能」ではない。
プライベートネットワーク内の装置は、それらのプライベートネットワーク外部の装置と通信するためにそれらのプライベートアドレスを利用できない。また、異なるプライベートネットワークは同一のプライベートネットワークアドレス空間を更に利用できる、というのは、装置は、異なるプライベートネットワーク内の装置と通信するためにそれらのプライベートアドレスを使用しないからである。
この問題に対する解決手段は、ネットワークアドレス変換(NAT:Network Address Tranlation)として知られており、この技法では、プライベートネットワーク及びインターネット双方に接続するノードが、プライベートネットワーク内部の装置とプライベートネットワーク外部の装置との間の通信のために、ネットワークアドレス変換を実行する必要がある。NAT装置はプライベートアドレスと共にプライベートネットワークに接続される1つのインターフェースを有し、同一のプライベートネットワーク内の装置と通信できるようにする。また、同一のNAT装置は公的アドレスを有するインターフェースにも接続され、インターネット上の他の装置と通信できるようにする。
総てのアプリケーションレイヤ通信終点は、ネットワークレイヤアドレス(IPアドレス)とトランスポートレイヤアドレス(ユーザデータグラムプロトコル部又は伝送制御プロトコル部)とによって見分けられる。データパケットがプライベートアドレス装置から送信される場合に、それは先ずNAT装置に転送される。NAT装置は、そのNATテーブルの変換項目に、ソースノードのネットワークレイヤアドレスとトランスポートレイヤアドレスを記憶する。NAT装置は、ソースがこのデータパケットに対して自身により使用しているのと同一のトランスポートレイヤプロトコルの未使用ポートを割り当て、ソース装置のプライベートアドレス及びポート番号と共にテーブル内にそのポート番号を格納する。そして、データパケットのソースネットワークアドレス及びトランスポートアドレスを、それ自身の公的IPアドレス及び新たに割り当てられたポートに置換する。データパケットはその後に公的ネットワークインターフェース外に転送される。
通信の他端に対しては、その通信がNAT装置から発せられ、ANT装置の公的アドレス、ネットワークレイヤアドレス、及び宛先アドレスとしてのトランスポートレイヤアドレスを利用しながら、返答通信もNAT装置に宛てられるようにするであろう。内向又は上りの(in−bound)データパケットがNAT装置に到達した後に、その装置は、変換項目を見出し、その項目内でプライベートIPアドレス及びトランスポートレイヤアドレスを見出すために、宛先トランスポートレイヤアドレスを使用する。再び、NAT装置は、そのパケットの宛先ネットワークレイヤアドレス及びトランスポートレイヤアドレスを、変換項目内に保存されたものと置換し、そのプライベートネットワークインターフェースからパケットを転送し、実際の通信の終点に至るようにする。
上述したSNOWNETアドレシング法は、私的アドレス及び公的アドレスと共に動作し、SNOWNETの管理者が、SNOWNET用にどれほど多くのIPアドレスが利用可能であるかに依存して、方法を選択できるようにする。プライベートアドレスがSNOWNETに使用されている場合には、NAT機能を用いるためにゲートウエーSNOWNETノードが必要とされる。
データ転送
橋渡し(ブリッジング)及び配信(ルーティング)を含むSNOWNET300データ転送が説明される。
SNOWNET300は、基幹通信と、SNOWNETノード302及びその移動クライアント310間の通信とに関する独立した共用WEP鍵管理手順を利用することで、2つの別々のセキュリティレベルを与える。
ソースクライアント310から発するデータパケットは、このクライアント310にサービス提供するSNOWNETノード302の共用鍵から生成されたローカル暗号鍵を用いて暗号化される。パケットは、APインターフェースにて受信され、SNOWNETノード302により暗号解除される。パケットが基幹306にて送信される場合には、パケットは、共用基幹WEP鍵から生成した暗号鍵を利用してSNOWNETノード302により再び暗号化される。
SNOWNETノード302は以下の2つデータ転送モードの一方にて動作し、それらは:ブリッジングモードと、ルーティングモードである。以下、各モードが説明される。
ブリッジングモード
SNOWNETノード302がブリッジングモードで動作する場合に、SNOWNETノード302は、上述したIEEE802.1dMACブリッジプロトコルを実行する。SNOWNETノード302がブリッジングモードで動作する場合に、SNOWNETノード302は、「SNOWNETブリッジ」305として言及される。
SNOWNETブリッジ305は、基幹ネットワーク306内でそれらの転送形態を固形制するためにスパニングツリー(spanning tree)プロトコルを実行する。SNOWNET305に対するスパニングツリープロトコルは、修正されたIEEE802.1dプロトコルを組み込み、SNOWNETブリッジポートが物理的な及び仮想的なエンティティの混合であるようにする。SNOWNETブリッジのローカルサービスアクセスネットワークインターフェースは、SNOWNET305による物理的なポートとして考えられる。一方、基幹「ポート」は仮想的であり、各基幹ネットワークリンクに割り当てられた1つのポートがある。即ち、各仮想ポートは、隣接するブリッジにおけるローカル基幹インターフェース識別子及び基幹インターフェース識別子のペアの組合せで見分けられる。一実施例では、あるブリッジと総ての隣接するブリッジとの間の通信は、ブロードキャストリンクで行なうように、同一の物理的インターフェースを共用する。仮想的又は物理的な総てのポートは、SNOWNETノード302がスパニングツリープロトコルを開始する前に見分けられる。通常の動作中は、アクティブポートの状態又はステータスは、受動的なトラフィック受信及び能動的な検査の組合せにより定常的に監視される。ステータスが変わると、スパニングツリープロトコルの再構成動作が実行される。
SNOWNETブリッジ305がスパニングツリーを形成した後に、SNOWNETブリッジ305は学習段階及び転送段階に入る。学習段階(learning)では、各ブリッジ305は、終点MACアドレス各々がそこを通じて到達し得るポートを記憶する。
図6は、SNOWNET基幹ネットワーク306の頂上に形成されたスパニングツリーを利用するSNOWNETネットワーク300の例を示す。スパニングツリーは、SNOWNETブリッジ305として構成されたSNOWNETノード302を包含する。
図6に示されるように、SNOWNET基幹ネットワーク306はSNOWNETブリッジ305(B1,B2,B3)より成り、それらブリッジはクライアント(C1乃至C5)に対するローカルアクセスサービス(AP1,AP2,AP3)を与える。
図7は、SNOWNETブリッジテーブル400の内容である。図6の各SNOWNET305は、図7に示されるようなデータ格納メモリ404に格納されるSNOWNETブリッジテーブル400を包含する。図7のテーブル400は、トポロジ学習段階が完了した後に各ブリッジ305のテーブルに格納されるものを示す。IEEE802.1dにより指定されるような標準的なMACブリッジと比較すると、その相違点は、標準的なMACブリッジ中の「ポート」列がSNOWNETブリッジ305における2つの列(ローカルインターフェース及び隣接インターフェース)で置換されていることである。これら2つのアドレスは共に、論理又は物理何れかのSNOWNET「ブリッジポート」を区別する。
図8は、IEEE802.11データフレームアドレスフィールド内容と、「DSへ(To DS)」及び「DSから(From DS)」のフィールドの可能な値を示す。IEEE802.11標準規格は、「分散システム(DS)」のようなAP104を接続する基幹ネットワークと言及される。各データフレームに2つのビットがあり、それらは即ち「DSへ」のビット及び「DSから」のビットである。これらは共にデータフレームの伝搬方向及びプロトコルの動作モードを記述する。例えば、データフレームが、図6におけるAP1のようなアクセスポイント(AP)から図6におけるC1のようなクライアントに送信される場合に、「DSへ」のビットは偽で送信されるが「DSから」のビットは真で送信される。本発明によるSNOWNETネットワーク300は、図8の最初の3つの行を利用する。最初の3つの行は、アドホックモード通信、APからクライアントへの通信およびクライアントからAPへの通信のためのものである。第4の行は、SNOWNETブリッジ305により現在使用されていないAP間の通信を記述する。
IEEE802.11データフレーム各々において、4つのアドレスフィールドがある。これらのアドレスフィールドは、「DSから」及び「DSへ」のビット値による様々なアドレスを包含する。アドホックモードで動作する場合には、IEEE802.11データフレームは、3つのアドレスを包含し、それらは:宛先アドレス、ソースアドレス、及びIBSSのBSSIDである。データフレームにおける第4のアドレスは、アドホックモードデータ伝送では使用されない。そのようなデータフレームは、データフレームの「DSへ」及び「DSから」フィールド双方が0に設定されているか否かで区別される。本発明によるSNOWNETネットワーク300は、基幹306通信用にこのフォーマットを利用する。
データフレームが移動クライアントCから発する場合には、それらのアドレスフィールドは、802.11プロトコル標準規格によって指定されるように設定される。「DSへ」のフィールドは1に設定されるが、「DSから」のフィールドは0に設定される。第1のアドレスは、移動クライアントCが属するアクセスポイントのBSSIDであり、SNOWNETブリッジのローカルサービスアクセスインターフェースによってSNOWNET300が与えられる。第2フィールドは移動クライアント自身のアドレスを包含するが、第3アドレスは宛先クライアントC用のアドレスである。第4のアドレスは未使用に残される。本発明によるSNOWNETネットワーク300は、SNOWNETブリッジ305通信にクライアントC用のこのフォーマットを使用する。同様に、本発明によるSNOWNETネットワーク300は、標準的なAPからクライアントCへの形式(DSへ=0,DSから=1)を利用して、所属するクライアントCにフレームを配信し、再び第4アドレスを未使用に残す。
第1SNOWNETブリッジ305(B1)が、ブリッジB1に属していない(クライアントC5のような)装置宛のデータフレームを受信した後は、SNOWNETブリッジB1は、基幹ネットワーク306を通じて転送されるようにフレームを再構成する。本発明によるSNOWNETネットワーク300では、IEEE802.11標準規格は、第4のアドレスフィールドを用いることで修正され、データフレームを伝送するSNOWNETブリッジB1インターフェースのアドレスを保持するようにする。
SNOWNETブリッジ305は、そのローカルアクセスサービスに属するクライアントCに対するデータフレームを常に転送する。例えば、SNOWNETブリッジB2は、クライアントC2及びC3用のデータフレームを転送する。データフレームのソース(例えば、C2)及び宛先(例えば、C3)の双方がそのローカルネットワークアクセスサービスを利用している場合には、データフレームはローカルアクセスインターフェースを介して転送される。そうでなければ、データフレームは、ブリッジテーブル400における学習済みのMAC終点(エンドポイント)に従って、クライアントC3用に宛てられた隣接ブリッジ(例えば、B3)に転送される。
SNOWNETブリッジ(例えば、B2)により転送されたデータフレームを受信すると、SNOWNETブリッジ(例えば、B3)は、そのSNOWNETブリッジB3が、IEEE802.1dのフィルタ機構と同様な機構を利用してそのフレームを更に転送するか否かを決定する。(B2のようなデータフレームにおける第4のアドレスフィールドにより指定されるように、ブリッジがそこからデータフレームを受信している)以前の転送者がアクティブな隣接ブリッジとしてリストに掲げられており、データフレームの宛先及びソースがブリッジアドレスデータベースにより示されるものと異なるブリッジ側にある場合には(即ち、宛先及びソースが異なるポートを介して到達可能である)、SNOWNETブリッジB3はデータフレームを転送するのみである。データフレームが転送される以前に、ブリッジは、データフレーム内の第4のアドレスを、それ自身の送信インターフェースのアドレスに更新する。
宛先クライアントC5にアクセスサービスを提供するブリッジB3において、データフレームは、適切なフォーマットでデータフレームの「DSから」の形式に再び変換される。
上記のブリッジポート管理及びデータフレーム転送に関する別の実施例は、上述したアドホック形式の通信ではなく、802.11標準規格で規定される無線配信システム(WDS:Wireless Distribution System)リンクを利用するものである。WDSリンクは、同一無線チャネル上のAP間の管理者によって形成される静的なリンクであり、APがそのようなリンクを通じてデータを交換できるようにするものである。この場合には、SNOWNETブリッジは隣接するSNOWNETブリッジの身元を監視し、SNOWNETブリッジの接続状況が変化するにつれてWDSリンクを動的に形成及び/又は排除する。
ブリッジモードでSNOWNET300を動作させる利点は、ネットワークレイヤローミングや、インターネットプロトコル(IP)アドレス管理を簡易にすることである。典型的には、SNOWNET300全体が同一のIPアドレス空間を共有するので、各SNOWNETブリッジ305が、クライアントIPアドレスを管理することは必要とされない。SNOWNET300内のある専用のDHCPサーバはネットワーク300全体をまかなうことができる。クライアントCがあるAPカバレッジ領域から別のものに移動する場合には、そのIPアドレスを変更する必要はない。この状況の他の利点は、マルチキャスト及び他のリンクレイヤ管理プロトコルの簡易なサポートを含む。
ブリッジテーブル400(図7に示される)はホスト配信テーブル毎に対応するので、そのような方法は、SNOWNETネットワーク300のサイズが大きくなると充分に対処できない。加えて、展開ツリー転送形態は、データ転送経路の形態及び効率を制限する。場合によっては、通信する2つのクライアント間で最短の転送経路が使用できず、その理由は、(最短の)そのリンクが展開ツリーの一部を構成しないからである。このことはブロードキャスト環境では頻繁に起こる。最後に、ブリッジ305は、それらのアドレスデータベース400及び展開ツリーを、「鼓動又はハートビート」メッセージを周期的に交換することで更新する。基幹306トポロジが変わると、又はクライアントCがその所属するAPを変更すると、新たなトポロジ及び所属を反映する新たな状態をカバーする又は網羅するには、ネットワークにとって比較的長期間を要する。この遷移期間の間にデータパケットは喪失する虞がある。最悪の場合は、その更新が、トポロジの変化に追従できず、ネットワークが不安定化してしまう虞がある。
要するに、SNOWNETブリッジモードは比較的簡潔であるが、それは小規模の緩慢に動的に変化するSNOWNET300に特に適している。
しかしながら、ルーティングモードでSNOWNET300を利用すると、ブリッジングモードでの上述した問題を克服することができる。
ルーティングモード
SNOWNETノード302がルーティングモードで動作する場合に、SNOWNETノード302は、(階層化又はクラスタ化手法とは異なり)基幹ネットワーク306にフラット配信空間(flat routing space)を形成する。これらSNOWNETノード302は、ルーティングモードで動作する場合に、SNOWNETルータ305として言及される。この場合に、基幹ネットワーク306は、移動アドホックネットワーク(MANET:Mobile Adhoc Network)の変形として眺められ(ワールドワイドウェブにおける ietf.org/html.characters/manet−charter.html のIETF移動アドホックネットワーク(manet)ワーキンググループ)、MANET配信アルゴリズムでのリサーチ結果はSNOWNETルーティングに借用される(C.Perkins,E.Belding−Royer,and S.Das,“Adhoc On−Demand Distance Vector(AODV)Routing”,IETF Internet Draft“draft−ietf−manet−aodv−11.txt”,Work in Progress,June 2002;D.Johnson,D.Maltz,Y.Hu,and J.Jetcheva,“The Dynamic Source Routing Protocol for Mobile AdHoc Networks(DSR)”,IETF Internet Draft<draft−ietf−manet−dsr−07.txt>,Work in Progress,February 2002;等)。
しかしながら、SNOWNET300は、MANETのクラス又は階級内で重要な特殊な場合を表現する。SNOWNET300では、ネットワークにて移動体であり得る2つのエンティティ形式があり、それらは:クラアイント310及びSNOWNET302である。しかしながら、現在のMANETリサーチは、MANET全体をフラット配信空間として取扱い、MANETトポロジにおける構造はなく、各クライアントはデータ転送に等しく参加するノードである。一般的には、これは、ネットワーク中の総てのノードにおけるMANET機能をイネーブルにするという特殊な要請を課す。SNOWNETサービスデル300では、移動クライアント310における特殊な要請が制限され、ユーザが、ラップトップ、PDAその他の広範に利用可能な802.11bPCMCIAカードのような標準的なクライアント通信装置と共に商業的に入手可能な装置のような標準的な一般的な移動コンピュータを使用できるようにする。従って、MANETノードとしてクライアント及びSNOWNETノード302双方を構築することで、既存のMANETアプローチを直接的に適用することは、現実的な解決手段ではない。
SNOWNETルータ305と共に、ハイブリッドアプローチが導入される。このアプローチでは、SNOWNETルータ305のみがMANETノードとして構築され、MANET式配信アルゴリズムに関与する。総てのルータ基幹インターフェースは、同一のIPアドレス空間を共用し、配信プロトコルを実行し、それらの中で配信情報を交換する。最終的には、それらは任意の基幹ノードに至る経路を共に構築する。
SNOWNET配信及びMANET配信間の相違は、各ルータ305が、アドレスがそのルータのローカルクライアントに動的に割り当てられるマスク可能なアドレス空間セグメントに割り当てられることである。DHCPサーバソフトウエアは、ローカル移動クライアント用のIPアドレスを割り当てるために各ルータにインストールされる。配信情報交換の間に、彼ら自身のIPアドレスに対する通知に加えて、基幹ノードはそれらのローカルサービスサブネットにも通知する。言い換えれば、基幹ノードは、それらの到達可能なネットワークリストをこの情報に含めることで、それらのローカルサービスサブネットを代行する。この特殊な要請は、これらのプロキシサブネットを包含するためにSNOWNET配信プロトコルメッセージ中に付加的なフィールドを要求することで、「通常の」MANET配信プロトコル仕様に対する修正を要求する。このフィールドは、多数のエンティティを包含し、従ってそれは「プロキシリスト」として言及される。
ローミングをサポートするために、ローカルサービスサブネットに加えて、各SNOWNETルータ305は、多数の「地域外移動クライアント(foreign mobile client)」に対するプロキシサーバを与える責務を有し、その地域外クライアントは、そのルータに現在所属しているがそのルータのアドレス空間外のアドレスを有する移動クライアント310である。これら地域外クライアントアドレスの通知は、ローカルサービスサブネットと同様の方式で、プロキシリスト中の項目としてSNOWNET配信プロトコルメッセージに包含される。
各SNOWNETルータ305は、図9に示されるような配信テーブル500を保持する。配信テーブル500は、配信経路における次のホップする宛先である各自の移動ネットワークノード装置に対するローカルインターフェース及び隣接するインターフェースを指定する。
各配信テーブル500にて、2種類の経路項目があり、それらは:サブネット経路及びホスト経路である。前者は収集された経路項目であり、各項目は、ネットワークアドレス及びネットワークマスクの組合せとしての一般的なフォーマットで表現される、対応するアドレス空間内の全ホストについての経路を記述する。後者は、SNOWNETノードの基幹インターフェース又は地域外移動クライアントの何れかである特定の移動ノード302に向かう経路に対するものである。例示的配信テーブル500では、B1,B2,B3に対する項目はSNOWNETノード基幹インターフェースのためのホストルータであり、C5に対する項目は地域外クライアント用のホスト経路であり、AP1,AP2,AP3サブネットに対する項目はサブネット経路である。最長照合規則(longest matich rule)(W.Doeringer,G.Karjoth,and M.Nassehi,“Routing on longest−matching prefixes”,IEEE/ACM Transactions on Networking(TON),Vol.4,Issue 1,February,1996)が経路探索にて適用され得る。
クライアントCは、あるSNOWNETルータのサービスカバレッジ領域を移動し、別のSNOWNETルータ305のカバレッジ領域に移動する。SNOWNET300はクライアントローミングをサポートし、クライアントの帰属変化中に何らのデータ障害もないようにする。静的なコンピュータに対しては、IPアドレスは識別子且つロケーション指標の双方として与えられる。しかしながら、IPアドレスが移動クライアント310に割り当てられる場合には、これら2つの属性は、移動クライアントがその所属を帰る場合には互いに食い違うことになる。一実施例では、IPアドレスは同一であり、クライアントの身元の整合性が維持されるようにする。別の実施例では、クライアントは新たなアドレスを取得し、効果的な配信用にその現在のネットワークアクセス所属を反映させる。
SNOWNETルータ305は、併存する2種類のルータを許容することで、この問題を解決する。彼らの当初のSNOWNETルータに留まるようなクライアント310に関し、サブネットは、それらの経路を表現するサブネットに対して配信する。この種の個々のクライアント各々に特有の経路はない。当初のサブネットを立ち去り、他のルータにとって「地域外クライアント」となるようなクライアントに対しては、各配信テーブルがそれらの経路を明示的に列挙する。「地域外移動クライアント」をサポートすることに起因して、まだSNOWNET300内にいるとしても、そのクライアントにとって、現在の所属環境のアドレス空間内で新たなIPアドレスを取得する必要はない。
移動クライアント310が新たなサブネットに移動すると、移動クライアント310は、以前のルータ305に配信更新メッセージ600(図10に例示される)を転送することで、その新たな所属についてのことを以前のルータ305に通知する。
より具体的には、図10は、通知としても言及される配信更新メッセージ600を示し、移動クライアント310は、現在のサービスSNOWNETノードのアドレスについてのことを以前のサービスSNOWNETノード305に通知する。メッセージ600は、動作に含まれる三者の身元に加えて、クライアントの公開鍵及び以前のサービスSNOWNETノードのアドレスノードの公開鍵を用いて暗号化された認証内容のようなセキュリティ関連情報をも含む。
この通知600は、クライアントが以前のルータから抜ける時点と、新たなルータが基幹ネットワーク内の全配信テーブルに挿入される時点との間の期間又はギャップを短くする。この期間の間に、その移動クライアント310宛のデータパケットは、クライアントの以前のサービスルータ305に向けて配信され、以前のサービスルータ305はその移動クライアントに更にデータパケットを転送することができない。その通知により、以前のルータは、配信テーブル500総てが更新される前に、新たなルータ305にデータパケットを配信することができるようになる。そのような通知600は、そのギャップを総合的に除去するものではないが、クライアントが以前のルータから抜ける時点から、クラアイントの配信更新メッセージ600が以前のサービスルータに到着するまでの期間に対するギャップ期間を顕著に減少させる。移動クライアント310は、典型的には、隣接するカバレッジ領域間を移動するので、基幹ネットワーク306形態において、以前の及び現在のサービスルータ305は距離(又はリンクホップ数)の観点からは非常に接近している傾向にある。従って、その通知は比較的速やかに到着するであろう。各ルータ305は、データパケットがクライアントに配信されることができなかった場合に備えて、クライアント310用にデータパケットを選択的に一次記憶する又はキャッシュすることができる。クライアントの新規ルータ305についての通知600が到着すると、キャッシュされたデータバケットが新規ルータ305に転送される。また、そのような通知600を受信する場合に、クライアント310が以前ルータ305にて地域外クライアントであったならば、クライアント310は以前のルータの「地域外クライアント」リストから除去される。
SNOWNET300における地域外クライアントは、移動クライアント310が周知のモバイルIP(C.Perkins,“IP Mobility Support”,IETF RFC 2002,October,1996)に規定されているような地域外エージェントによってどのようにサービス提供されるかによって、ネットワークにより異なってサービス提供される。モバイルIPでは、移動クライアントがホームネットワーク以外のネットワークに所属する場合には、移動クライアントは、「地域外アドレス」と呼ばれるローカルなIPアドレスをその現在のネットワークから取得する。移動クライアントが現在所属しているネットワークは、「地域外ネットワーク」として言及される。移動クライアントは、ホームネットワークにてそのアドレスを常に維持している。このアドレスは、移動クライアントのホームアドレス又は永久的アドレスとして言及される。インターネット上の他のホストが移動クライアントと通信することを希望する場合は、それらは移動クライアントのホームアドレスを利用してそれらの通信のアドレシングを行なう。移動クライアントが地域外ネットワークにある場合には、ホームネットワーク、そのホームエージェントにおける項目又はエントリを利用して、到来するトラフィックを受信する。到来するトラフィックは、インターネットにより移動クライアントのホームネットワークに送付される。そして、ホームエージェントはその移動クライアント宛のパケットを取得し、新たなローカルアドレスを利用して、それらを移動クラアイントの現在のロケーションに転送する。この手法では、移動クライアントは、地域外ネットワークにおけるローカルアドレスをホームエージェントに報告する必要がある。2つのアドレス(ホームアドレス及び地域外アドレス)を同時に利用することで、モバイルIPは、所属及びアドレッシングの身元の間のコンフリクト又は問題を解決する。
本発明によるSNOWNET300では、移動クライアント310は新たなIPアドレスを受信する必要はない。移動クライアントが最初にSNOWNET300に入る場合に、その移動クライアントはSNOWNETノード302から関連付けられるIPアドレスを受信する。ネットワーク300は特定のホストにデータを転送することができるので、移動クライアントにとって、それが初期のノードと異なるSNOWNETノード302のカバレッジ領域に移動した場合に、新たな地域外アドレスを取得することを要しない。ネットワーク300は、その現在の所属を反映する移動クライアント用の経路をたどる。SNOWNET300はそのような機能を有する、というのは、それはモバイルIPn環境よりも充分に小さなスケールで動作するからである。SNOWNET300はこれら移動クライアントに対するネットワークにてパーホスト経路(per−host route)をインストールすることができる。一方、SNOWNET300はモバイルIPも容易にサポートすることができる。モバイルIP対応の移動クライアントは、そのSNOWNETアドレスを、地域外アドレスとしてそのホームエージェントに単に報告することができる。これは、SNOWNET300環境におけるモバイルIPの一層効率的な動作になる。
ここに開示したように、SNOWNETは移動ネットワークソリューションを構成し、それは無線ネットワークインターフェースを備えた装置を有する移動ユーザに安全且つ移動可能な無線ネットワークサービスを提供する。セキュアノマディック無線ネットワーク又はSNOWNETは、階層的アプローチを利用する。特定のSNOWNETノードは、ネットワーキングサービスが必要とされ且つ基幹ネットワークを形成する必要のある領域に配備される。と同時に、SNOWNETは正規の移動クライアントにローカルアクセスサービスを提供する。
本発明によるSNOWNETは、移動可能であり、既存のネットワークインフラストラクチャが存在しない環境に速やかに配備されることが可能である。SNOWNETは安全である。SNOWNETを用いることは、PASSアルゴリズムにおけるIEEE802.1xを拡張し、SNOWNET内で伝送される総てのトラフィックが高度に保護される。また、SNOWNETは、円滑且つ速やかな移動クライアントローミングをサポートするために、ハンドオフ中に認証及びセキュリティ内容を転送する機能強化された手法を提供する。最後に、SNOWNETは、メッセージを自動的に転送する2つの動作モードを提供し、異なるローカルサービスセルの間で滑らかな又はシームレスなローミングを提供する。
SNOWNETはいくつかの異なる態様で使用され得る。ここに説明したものは例である。SNOWNETは安全な高速配備可能なスタンドアローンネットワークインフラストラクチャとして設定され、信頼できるネットワーク環境が存在しない環境でも迅速なネットワークサービスを提供する。典型的な用途は、戦場のような状況、災害救助活動、科学的探索業務、ロボティクス用途等を包含する。SNOWNETはコスト効果的なマルチホップ無線LANとして導入され、任意の組織に対する無線ネットワークカバレッジを与えることが可能である。柔軟であり、マルチホップであり、自己組織的であり、自己形成的な無線バックボーンのSNOWNETは、ケーブル配線、インストレーション、及び保守等に関して顧客のコストを節約させる。また、SNOWNETは、スタブ(stub)ネットワークとして利用され、孤立したLANを組織的ネットワークに接続することも可能である。例えば、学校がSNOWNETを利用して、遠隔した建物に導入されているLANを既存のキャンパスネットワークに「接続(glue)」することが可能である。
上述した本発明の特徴は以下の事項を含む:
IEEE802.1x標準規格への拡張に準拠した、2段階の安全な移動可能な無線ルータネットワーク装置に対するSNOWNETアーキテクチャ。
存在するSNOWNETにルータを安全に付加する及び認証するPASSアルゴリズム。
基幹インターフェース及びローカルサービスネットワークにアドレスを割り当てるための、SNOWNET用の自己形成的なアドレス管理手法。
IEEE802.1d及び802.1wブリッジ標準規格に両立可能な動作を与える、IEEE802.11標準規格への修正を含む橋渡しプロトコル。
従来のMANET配信アルゴリズムに準拠したハイブリッド手法である新たな配信アルゴリズム。
SNOWNETの異なるサービスエリア間で移動クライアントに対する効果的案えっとワークレベルのローミングをサポートすること。
移動クライアントがSNOWNETの異なるサービスエリア間をローミングする場合に認証及びセキュリティの効率的なハンドオフを行なう機能強化された機構をサポートすること。
本システムは、磁気的及び光学的ディスク、RAM、ROM等のような永久的又は消去可能な格納部を包含し、その格納部に本発明によるプロセス及びデータ構造が格納又は配信され得る。また、本プロセスは、例えば、インターネットのようなネットワークを経由したダウロードによって配信され得る。
本発明に関する多くの特徴が詳細な説明により明らかになり、従って、本発明の真の精神及び範囲に含まれる本発明のそのような総ての特徴や利点が、特許請求の範囲によって網羅されることが意図される。更に、多くの修正や変形は当業者に直ちに理解され、図示及び説明された具体的な構成及び動作に本発明を限定することは意図されず、従って、適切な修正及び等価物総てが本発明の範疇にある。
以下、本発明により教示される手段を例示的に列挙する。
(付記1)
各々が無線クライアント装置より成る複数の移動クライアントコンピュータ装置と、
移動クライアントコンピュータ装置に無線基幹サービスを提供する無線基幹ネットワークとを備える無線ネットワークであって、
前記無線基幹ネットワークを形成する移動可能な無線ネットワークノード装置が、それら各自のカバレッジ領域内で移動クライアントコンピュータ装置に無線ローカルアクセスサービスを提供し、且つ他の移動クライアントコンピュータ装置に又は前記無線ネットワークと通信する他のネットワークとマルチホップ方式で移動クライアントコンピュータ装置の通信データを無線基幹ネットワーク上で転送及び配信する無線基幹サービスを提供することを特徴とする無線ネットワーク。
(付記2)
当該無線ネットワークがセキュアネットワークとして動作し、更に、認証サーバより成り、移動クライアントコンピュータ装置の通信が保全され、移動クライアントコンピュータ装置が認証プロトコル及び認証サーバを用いてネットワークによって認証されることを特徴とする付記1記載の無線ネットワーク。
(付記3)
前記移動可能な無線ネットワークノード装置の1つが、無線ネットワーク用の認証サーバとして構成されることを特徴とする付記2記載の無線ネットワーク。
(付記4)
前記認証サーバが、移動可能な無線ネットワークノード装置によりアクセスすることが可能な他の機器に属することを特徴とする付記2記載の無線ネットワーク。
(付記5)
前記移動可能な無線ネットワークノード装置が、認証プロトコル及び認証サーバを用いて無線ネットワークにより認証されることを特徴とする付記2記載の無線ネットワーク。
(付記6)
前記移動可能な無線ネットワークノード装置の1つが、ゲートウエーサービスを提供し、複数のインターフェースを有し、前記複数のインターフェースの1つが無線基幹ネットワークとの通信を提供し、前記複数のインターフェースの少なくとも1つが前記無線ネットワークと通信する他のネットワークとの通信を提供することを特徴とする付記1記載の無線ネットワーク。
(付記7)
前記移動可能な無線ネットワークノード装置の1つが、複数の無線インターフェースより成り、前記複数の無線インターフェースの少なくとも1つが移動クライアントコンピュータ装置にローカルアクセスサービスを提供し、前記複数の無線インターフェースの少なくとも1つが無線基幹サービスとの通信を与えることを特徴とする付記1記載の無線ネットワーク。
(付記8)
前記移動可能な無線ネットワークノード装置の各々が、ブリッジング及びルーティングの一方を通じて転送する通信を制御する内部テーブルを有し、前記無線ネットワークが、移動可能な無線ネットワークノード装置の無線ネットワーク内での移動と、無線ネットワークへの追加的な移動可能な無線ネットワークノード装置の導入と、現在の移動可能な無線ネットワークノード装置の削除又は不具合とを、移動可能な無線ネットワークノード装置にて実行されるブリッジング又はルーティングの何れかにより転送する通信を制御する内部テーブルを更新することで自動的且つ動的に調整することを特徴とする付記1記載の無線ネットワーク。
(付記9)
無線ネットワークが、追加的な移動可能な無線ネットワークノード装置と、無線ネットワークにて以前に認証された移動可能な無線ネットワークノード装置と、認証サーバとによって実行されるプロトコルを用いて、追加的な移動可能な無線ネットワークノード装置の無線ネットワークへの導入を認証することを特徴とする付記5記載の無線ネットワーク。
(付記10)
目下の無線ネットワークにおける認証された移動可能な無線ネットワークノード装置及び提供するローカルアクセスサービスが、認証者として機能し、認証サーバと共に、IEEE802.1x標準規格に準拠するプロトコルを用いて新規の移動クライアントコンピュータ装置を認証し、認証された移動クライアントコンピュータ装置からの通信データをただ転送することを特徴とする付記9記載の無線ネットワーク。
(付記11)
前記無線ネットワークが、無線基幹ネットワークを通じて伝送されるデータを暗号化するために、認証された移動可能な無線ネットワークノード装置総てに知られる共用秘密鍵を使用することを特徴とする付記9記載の無線ネットワーク。
(付記12)
認証された移動可能な無線ネットワークノード装置が、無線基幹ネットワークを通じて伝送されるデータを暗号化するために、認証サーバから新たな基幹セッション鍵を秘密裏に周期的に取得することを特徴とする付記11記載の無線ネットワーク。
(付記13)
前記認証サーバが、所定の期間内に無線ネットワーク通信に参入した認証された移動可能な無線ネットワークノード装置にのみ新規の基幹セッション鍵を与え、新規のセッション鍵を有する認証された移動可能な無線ネットワークノード装置のみが、無線基幹ネットワークで通信データを転送することを許可されることを特徴とする付記12記載の無線ネットワーク。
(付記14)
移動可能な無線ネットワークノード装置が、メモリに格納される情報を保護するために暗号化ファイルシステムを備えることを特徴とする付記1記載の無線ネットワーク。
(付記15)
前記無線ネットワークが、移動可能な無線ネットワークノード装置及び移動クライアントコンピュータ装置の間でインターネット形式のアドレス空間を共用することを特徴とする付記1記載の無線ネットワーク。
(付記16)
前記無線ネットワークが、移動可能な無線ネットワークノード装置及び移動クライアントコンピュータ装置の間でインターネット形式のアドレス空間を共用し、新規の移動可能な無線ネットワークノード装置が無線ネットワークに認証された後に、認証者として機能する移動可能な無線ネットワークノード装置が、基幹アドレスに加えて1つ又はそれ以上のアドレス空間セグメントを、無線ネットワークのアドレス空間から新規の移動可能な無線ネットワークノード装置に動的に割り当てることを特徴とする付記5記載の無線ネットワーク。
(付記17)
移動クライアントコンピュータ装置を認証した後に、移動可能な無線ネットワークノード装置が、移動可能な無線ネットワークノード装置における手順を使用して、移動可能な無線ネットワークノード装置の割当済みアドレス空間セグメントから、配信可能なアドレスを移動クライアントコンピュータ装置に与えることを特徴とする付記16記載の無線ネットワーク。
(付記18)
前記手順がDHCPより成ることを特徴とする付記17記載の無線ネットワーク。
(付記19)
移動可能な無線ネットワークノード装置が、移動可能な無線ネットワークノード装置に採用された安全な動的配信プロトコルを使用して、移動クライアントコンピュータ装置に代わって通信データを転送することを特徴とする付記8記載の無線ネットワーク。
(付記20)
移動可能な無線ネットワークノード装置が、安全な動的な展開ツリー橋渡しプロトコルを使用して、移動クライアントコンピュータ装置に代わって通信データを転送することを特徴とする付記8記載の無線ネットワーク。
(付記21)
橋渡しプロトコルが、それら現在のローカルに隣接する移動可能なノードの接続に準拠して、移動可能な無線ネットワークノードにより動的に形成及び削除されるWDSリンクに準拠することを特徴とする付記20記載の無線ネットワーク。
(付記22)
橋渡しを実行する移動可能な無線ネットワークノード装置が、ローカルインターフェースと、橋渡し経路における次のホップ宛先である移動可能な無線ネットワークノード装置に対する隣接インターフェースとを有するブリッジングテーブルを格納することを特徴とする付記20記載の無線ネットワーク。
(付記23)
橋渡しを実行する移動可能な無線ネットワークノード装置が、橋渡し更新ハートビートメッセージを周期的に交換することでそれらの橋渡しテーブルを更新することを特徴とする付記22記載の無線ネットワーク。
(付記24)
ルーティングを実行する移動可能な無線ネットワークノード装置が、無線ネットワークアドレスへのサブネット経路と、外部ネットワークアドレスにゲートウエーするサブネット経路と、それらの初期アクセスサービス移動可能ネットワークノードカバレッジエリアからローミングした移動クライアントコンピュータ装置に対するパーホスト経路との情報より成る配信テーブルを格納し、前記配信テーブルが、ローカルインターフェースと、配信経路における次のホップ宛先である各々の移動可能な無線ネットワークノード装置に対する隣接インターフェースとを定め、ルーティングを行なう移動可能な無線ネットワークノード装置が、配信更新ハートビートメッセージを周期的に交換することでそれらの配信テーブルを更新することを特徴とする付記19記載の無線ネットワーク。
(付記25)
移動可能な無線ネットワークノード装置の少なくとも1つが、無線ネットワークと通信する他のネットワークとのゲートウエーとして機能し、移動可能な無線ネットワークノード装置により周期的に実行される無線ネットワークルーティングプロトコルが、無線ネットワーク内の移動クライアントコンピュータ装置間の又はゲートウエーへの最短経路を自動的に決定することを特徴とする付記19記載の無線ネットワーク。
(付記26)
移動クライアントコンピュータ装置が、移動可能な無線ネットワークノード装置のあるカバレッジ領域から移動可能な無線ネットワークノード装置の別のものにローミングする場合に、移動可能な無線ネットワークノード装置が、それらの間で認証情報を転送し、新たな移動可能な無線ネットワークノード装置にて効率的に安全に速やかに認証及びローカルアクセスを行なうことを特徴とする付記5記載の無線ネットワーク。
(付記27)
移動可能な無線ネットワークノード装置のあるカバレッジ領域から移動可能な無線ネットワークノード装置の別のものにローミングする移動クライアントコンピュータ装置が同一のアドレスを維持し、ルーティングプロトコルが、移動可能な無線ネットワークノード装置の配信テーブルにおけるクライアント固有のアドレス項目を自動的に更新することによって、移動クライアントコンピュータ装置への通信データを効率的に配信し続けることを特徴とする付記24記載の無線ネットワーク。
(付記28)
移動可能な無線ネットワークノード装置が、それらのオペレーティングシステムを起動し、それらのネットワークアドレスを決定し、認証サーバに連絡し、暗号鍵及び承認を得て、それらの基幹無線ネットワーク及びローカルアクセスサービスチャネルを設定し、並びに隣接する移動可能な無線ネットワークノード装置を発見し且つ基幹無線ネットワークにおける通信転送経路を設立する動的なルーティング又はブリッジングプロトコルを起動することにより、無線ネットワークにて転送する通信のためにそれら自身を自動的に構成することを特徴とする付記5記載の無線ネットワーク。
(付記29)
移動可能な無線ネットワークノード装置の1つが、移動クライアントコンピュータ装置にローカルアクセスサービスを提供し、無線基幹ネットワークとの通信を提供する1つの無線インターフェースより成ることを特徴とする付記1記載の無線ネットワーク。
(付記30)
各々が無線クライアント装置を包含する複数の移動クライアントコンピュータ装置に無線ローカルアクセスサービスを提供する方法であって:
移動可能な無線ネットワークノード装置の無線基幹ネットワークを確立するステップ;
移動可能な無線ネットワークノード装置を互いに認証するステップ;
無線基幹ネットワークに対して移動クライアントコンピュータ装置を認証するステップ;
無線基幹ネットワークにより、移動クライアントコンピュータ装置に無線基幹ネットワークサービスを提供するステップ;
移動可能な無線ネットワークノード装置により、無線ネットワークノード装置各自のカバレッジ領域内の移動クライアントコンピュータ装置にローカルアクセスサービスを提供するステップ;
無線基幹ネットワークサービスにより、移動クライアントコンピュータ装置の通信データを、互いに又は前記無線ネットワークと通信する他のネットワークに、マルチホップ方式で無線基幹ネットワークを通じて転送及び配信するステップ;
より成ることを特徴とする方法。
(付記31)
更に:
無線ネットワークにより、追加的な移動可能な無線ネットワークノード装置と、目下の無線ネットワークに位置する以前に認証された移動可能な無線ネットワークノード装置と、認証サーバとによって実行されるプロトコルを利用して、無線基幹ネットワークに対する追加的な移動可能な無線ネットワークノード装置の参入を認証するステップより成ることを特徴とする付記30記載の方法。
(付記32)
各々が無線クライアント装置を包含する複数の移動クライアントコンピュータ装置に無線ローカルアクセスサービスを提供する機能を実行するコンピュータを制御するプログラムを格納するコンピュータ読み取り可能な媒体であって:
移動可能な無線ネットワークノード装置の無線基幹ネットワークを確立するステップ;
移動可能な無線ネットワークノード装置を互いに認証するステップ;
無線基幹ネットワークに対して移動クライアントコンピュータ装置を認証するステップ;
無線基幹ネットワークにより、移動クライアントコンピュータ装置に無線基幹ネットワークサービスを提供するステップ;
移動可能な無線ネットワークノード装置により、無線ネットワークノード装置各自のカバレッジ領域内の移動クライアントコンピュータ装置にローカルアクセスサービスを提供するステップ;
無線基幹ネットワークサービスにより、移動クライアントコンピュータ装置の通信データを、互いに又は前記無線ネットワークと通信する他のネットワークに、マルチホップ方式で無線基幹ネットワークを通じて転送及び配信するステップ;
を実行させるプログラムを格納することを特徴とするコンピュータ読み取り可能な媒体。
(付記33)
更に:
無線ネットワークにより、追加的な移動可能な無線ネットワークノード装置と、目下の無線ネットワークに位置する以前に認証された移動可能な無線ネットワークノード装置と、認証サーバとによって実行されるプロトコルを利用して、無線基幹ネットワークに対する追加的な移動可能な無線ネットワークノード装置の参入を認証するステップを実行させることを特徴とする付記32記載のコンピュータ読み取り可能な媒体。
(付記34)
各々が無線クライアント装置より成る複数の移動クライアントコンピュータ装置と、
各々が有線クライアント装置より成る複数の非移動型クライアントコンピュータ装置と、
移動クライアントコンピュータ装置に及び非移動型クライアントコンピュータ装置に無線基幹サービスを提供する無線基幹ネットワークとを備える無線ネットワークであって、
前記無線基幹ネットワークを形成する移動可能な無線ネットワークノード装置が、それら各自の移動可能な無線ネットワークノード装置に接続された有線クライアント装置に及び移動可能な無線ネットワークノード装置の各自のカバレッジ領域内の無線クライアント装置に無線ローカルアクセスサービスを提供し、且つ他の移動クライアントコンピュータ装置及び非移動型クライアントコンピュータ装置に又は前記無線ネットワークと通信する他のネットワークとマルチホップ方式で、移動クライアントコンピュータ装置及び非移動型クライアントコンピュータ装置の通信データを無線基幹ネットワーク上で転送及び配信する無線基幹サービスを提供することを特徴とする無線ネットワーク。
(付記35)
インターネットと、インターネット形式のアドレス空間を共用する無線ネットワークとを接続する移動可能なゲートウエーノード装置が設けられ、移動クライアント装置総て及び無線ネットワーク内の移動可能な無線ネットワークノード装置が、移動可能なゲートウエーノード装置によりインターネット上のホストと通信することが可能であることを特徴とする付記15記載の無線ネットワーク。
(付記36)
無線ネットワークが、「私的」インターネット形式のアドレス空間を共用し、移動可能なゲートウエーノード装置が、無線ネットワーク及びインターネット間の通信を可能にするために私的アドレス及び公的アドレス間の変換用のネットワークアドレス変換(NAT)を実行することを特徴とする付記35記載の無線ネットワーク。
(付記37)
認証者ノード装置の知る限りでは、動的なアドレス選択アルゴリズムが、新たに選択されるアドレスと既存の任意の移動可能なノード装置のアドレスとの間で一切衝突がないことを保証することを特徴とする付記16記載の無線ネットワーク。
(付記38)
問題の分散性に起因して、認証者ノード装置の知る限りにおいてネットワークの状態を正確に反映せず、選択されたアドレスが無線ネットワーク内の他の移動可能なノード装置と衝突する場合に、低位のノード識別子を有する移動可能なノード装置がそのアドレス選択を維持し、他の移動可能なノード装置はアドレスを再選択することを要することを特徴とする付記37記載の無線ネットワーク。
IEEE802.1xに関する無線ローカルエリアネットワーク(LAN)を示す図である。 本発明によるシステム構成を示す図である。 本発明によるSNOWNETノード302のハードウエアアーキテクチャを示す図である。 本発明によるノードのソフトウエア要素を示す図である。 IEEE802.1xに関するSNOWNET実施例を示す図である。 本発明によるSNOWNET展開ツリーを例示する図である。 SNOWNETブリッジテーブル内容を示す図表である。 IEEE802.11データフレームアドレスフィールド内容を示す図表である。 SNOWNET配信テーブル内容を示す図である。 配信する更新メッセージ内容を示す図である。
102 クライアント
104 アクセスポイント
106 認証サーバ
302 SNOWNETノード
303 認証サーバ
304 リンク
306 基幹ネットワーク
308 クライアントカバレッジ領域
310 ソース移動クライアント
402 プロセッサ
403 システムメモリ
404 データ格納メモリ
406 ネットワークインターフェース
408 システムバス
410 外部アンテナ
412 電源
502 カーネルスペース
504 イーサーネット
506 ホストAPモード
508 アドホックモード
510 ユーザスペース
512 SNOWNETネットワーク
514 SNOWNET API
516 PASS
518 SNOWNETルーティング/ブリッジング
520 アプリケーション
522 サービス
524 サービスの品質/セキュリティ
526 クライアント認証
528 セキュアローミング
534 認証サーバ

Claims (4)

  1. 無線クライアント装置に対してローカルサービスを提供すると共に、無線基幹ネットワークの一部を構成して無線基幹サービスを提供することが可能な無線ネットワークノード装置において、 無線基幹ネットワークの一部となるに先だって、前記無線基幹ネットワークより認証を受ける手段と、 前記認証後に与えられる前記無線基幹ネットワークに参加するための鍵を使って、前記無線基幹ネットワークの通信をする手段と、 無線クライアント装置に対してローカルサービスを提供する手段と、 前記無線基幹ネットワークへ新たに参加する移動可能な無線ネットワークノード装置に対して認証者として動作する手段とを有する無線ネットワークノード装置。
  2. 前記ローカルサービスを提供する手段は、無線クライアント装置に対して認証者として動作した後、認証された前記無線クライアント装置に対してローカルアクセスサービスを提供することを特徴とする請求項1に記載の無線ネットワークノード装置。
  3. 無線クライアント装置に対してローカルサービスを提供すると共に、無線基幹サービスを提供する無線基幹ネットワークの一部を構成することが可能な無線ネットワークノード装置において、 無線基幹ネットワークの一部となる先だって、前記無線基幹ネットワークより認証を受けるステップと、 前記認証後に与えられる前記無線基幹ネットワークに参加するための鍵を使って、前記無線基幹ネットワークの通信をするステップと、 無線クライアント装置に対してローカルサービスを提供するステップと、 前記無線基幹ネットワークへ新たに参加する移動可能な無線ネットワークノード装置に対して認証者として動作するステップとを有する無線基幹ネットワーク構築方法。
  4. 前記ローカルサービスを提供するステップは、無線クライアント装置に対して認証者として動作した後、認証された前記無線クライアント装置に対してローカルアクセスサービスを提供するステップを含むことを特徴とする請求項3に記載の無線基幹ネットワーク構築方法。
JP2008328410A 2002-11-25 2008-12-24 無線ネットワークノード装置及び無線基幹ネットワーク構築方法 Expired - Fee Related JP4696154B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US42870002P 2002-11-25 2002-11-25
US60/428700 2002-11-25
US10/463857 2003-06-18
US10/463,857 US7634230B2 (en) 2002-11-25 2003-06-18 Methods and apparatus for secure, portable, wireless and multi-hop data networking

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2003393906A Division JP2004180307A (ja) 2002-11-25 2003-11-25 セキュア移動体無線及びマルチホップデータネットワークのための方法及び装置

Publications (2)

Publication Number Publication Date
JP2009153142A true JP2009153142A (ja) 2009-07-09
JP4696154B2 JP4696154B2 (ja) 2011-06-08

Family

ID=32329262

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2003393906A Pending JP2004180307A (ja) 2002-11-25 2003-11-25 セキュア移動体無線及びマルチホップデータネットワークのための方法及び装置
JP2008210190A Expired - Fee Related JP4696149B2 (ja) 2002-11-25 2008-08-18 クライアント認証方法及びノード
JP2008328410A Expired - Fee Related JP4696154B2 (ja) 2002-11-25 2008-12-24 無線ネットワークノード装置及び無線基幹ネットワーク構築方法

Family Applications Before (2)

Application Number Title Priority Date Filing Date
JP2003393906A Pending JP2004180307A (ja) 2002-11-25 2003-11-25 セキュア移動体無線及びマルチホップデータネットワークのための方法及び装置
JP2008210190A Expired - Fee Related JP4696149B2 (ja) 2002-11-25 2008-08-18 クライアント認証方法及びノード

Country Status (3)

Country Link
US (3) US7634230B2 (ja)
JP (3) JP2004180307A (ja)
CN (2) CN101835147B (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011064858A1 (ja) 2009-11-26 2011-06-03 株式会社 東芝 無線認証端末
CN104041094A (zh) * 2011-10-10 2014-09-10 三星电子株式会社 云小区中的逻辑地址分配

Families Citing this family (142)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8751647B1 (en) 2001-06-30 2014-06-10 Extreme Networks Method and apparatus for network login authorization
US7404206B2 (en) * 2001-07-17 2008-07-22 Yottayotta, Inc. Network security devices and methods
KR100510127B1 (ko) * 2002-12-31 2005-08-25 삼성전자주식회사 무선랜 환경에서 핸드오버 방법 및 모바일 노드의핸드오버 장치
JP3938582B2 (ja) * 2003-02-19 2007-06-27 富士通株式会社 仮想lan構築装置
TWI241815B (en) * 2003-04-04 2005-10-11 Admtek Inc Frame transmission method of WLAN and data structure thereof
US7305459B2 (en) * 2003-04-28 2007-12-04 Firetide, Inc. Wireless service point networks
US7506370B2 (en) * 2003-05-02 2009-03-17 Alcatel-Lucent Usa Inc. Mobile security architecture
JP4095501B2 (ja) * 2003-06-25 2008-06-04 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ装置、無線アクセスポイント、無線ネットワークを介した電源投入方法、フレーム聴取方法、フレーム送信方法、およびプログラム
EP2391065B1 (en) * 2003-07-17 2013-02-13 InterDigital Technology Corporation Signaling method for WLAN network control
US7568107B1 (en) * 2003-08-20 2009-07-28 Extreme Networks, Inc. Method and system for auto discovery of authenticator for network login
US8554945B1 (en) * 2003-08-29 2013-10-08 Sprint Communications Company L.P. Cellular extension of wireless local area networks
JP4196801B2 (ja) * 2003-10-01 2008-12-17 株式会社日立製作所 無線システムおよび移動局
US7665126B2 (en) * 2003-12-17 2010-02-16 Microsoft Corporation Mesh networks with exclusion capability
US8744516B2 (en) * 2004-02-05 2014-06-03 Sri International Generic client for communication devices
DE602004029507D1 (de) * 2004-03-03 2010-11-18 Nat Inst Inf & Comm Tech Layer 2 switch netzwerksystem
US7684783B1 (en) * 2004-03-23 2010-03-23 Autocell Laboratories, Inc. System and method for authenticating devices in a wireless network
JP2005286779A (ja) * 2004-03-30 2005-10-13 Nec Corp 無線lanシステム
US8370917B1 (en) * 2004-04-23 2013-02-05 Rockstar Consortium Us Lp Security bridging
US7596808B1 (en) * 2004-04-30 2009-09-29 Tw Acquisition, Inc. Zero hop algorithm for network threat identification and mitigation
US8072949B2 (en) * 2004-05-07 2011-12-06 Panasonic Corporation Wireless node apparatus, and multihop wireless LAN system
US8437307B2 (en) * 2007-09-03 2013-05-07 Damaka, Inc. Device and method for maintaining a communication session during a network transition
EP1626537A1 (en) * 2004-08-11 2006-02-15 Iwatsu Electric Co., Ltd. Wireless LAN network system and a method for connecting access points thereof
WO2006029126A2 (en) * 2004-09-07 2006-03-16 Meshnetworks, Inc. System and method for associating different types of nodes with access point nodes in wireless network to route data in the wireless network
KR101024028B1 (ko) 2004-09-08 2011-03-22 삼성전자주식회사 애드 혹 네트워크에서 어드레스 할당 방법
GB0421610D0 (en) * 2004-09-29 2004-10-27 Dark Side Technologies Ltd Communication system
US20060067272A1 (en) * 2004-09-30 2006-03-30 Wang Huayan A Method and system for fast roaming of a mobile unit in a wireless network
US8166296B2 (en) * 2004-10-20 2012-04-24 Broadcom Corporation User authentication system
US8190124B2 (en) * 2004-10-22 2012-05-29 Broadcom Inc. Authentication in a roaming environment
AU2005297251B2 (en) * 2004-10-22 2009-08-13 Acano (Uk) Limited Certificate renewal
US8181017B2 (en) 2004-10-22 2012-05-15 Nds Limited Certificate renewal
JP2008518566A (ja) 2004-10-27 2008-05-29 メッシュネットワークス インコーポレイテッド 無線ネットワーク用のセキュリティを提供するシステムおよび方法
US20060133338A1 (en) * 2004-11-23 2006-06-22 Interdigital Technology Corporation Method and system for securing wireless communications
US7639681B2 (en) 2004-11-23 2009-12-29 Microsoft Corporation System and method for a distributed server for peer-to-peer networks
US20060215673A1 (en) * 2005-03-11 2006-09-28 Interdigital Technology Corporation Mesh network configured to autonomously commission a network and manage the network topology
ITMO20050061A1 (it) * 2005-03-15 2006-09-16 Mbo Technologies S R L Apparato portatile e metodo per la realizzazione e la gestione di una rete di comunicazione wireless.
US7366111B2 (en) * 2005-04-08 2008-04-29 Cisco Technology, Inc. Arrangement for providing optimized connections between peer routers in a tree-based ad hoc mobile network
FI20050393A0 (fi) * 2005-04-15 2005-04-15 Nokia Corp Avainmateriaalin vaihto
US8850194B2 (en) 2005-04-19 2014-09-30 Motorola Solutions, Inc. System and methods for providing multi-hop access in a communications network
US7653011B2 (en) 2005-05-31 2010-01-26 Cisco Technology, Inc. Spanning tree protocol for wireless networks
US7606178B2 (en) * 2005-05-31 2009-10-20 Cisco Technology, Inc. Multiple wireless spanning tree protocol for use in a wireless mesh network
US20060274695A1 (en) * 2005-06-03 2006-12-07 Nokia Corporation System and method for effectuating a connection to a network
JP2007005847A (ja) * 2005-06-21 2007-01-11 Alaxala Networks Corp ネットワークにおけるデータ伝送制御
WO2007000179A1 (en) * 2005-06-29 2007-01-04 Telecom Italia S.P.A. Short authentication procedure in wireless data communications networks
KR101298155B1 (ko) * 2005-07-21 2013-09-16 파이어타이드, 인코포레이티드 임의적으로 상호접속된 메쉬 네트워크들의 효율적 작동을가능케하는 방법
US20070047477A1 (en) * 2005-08-23 2007-03-01 Meshnetworks, Inc. Extensible authentication protocol over local area network (EAPOL) proxy in a wireless network for node to node authentication
DE102005040889A1 (de) * 2005-08-29 2007-03-15 Siemens Ag Verfahren und Anordnung zum sicheren Übertragen von Daten in einem ein Mehrsprungverfahren nutzenden Kommunikationssystem
JP2007104628A (ja) * 2005-09-07 2007-04-19 Nec Soft Ltd アドホック網の端末認証方法、端末認証システム、認証局、端末認証管理方法およびプログラム
FI122050B (fi) * 2005-09-15 2011-07-29 Network Services Finland Oy Langaton lähiverkko, adapteriyksikkö ja laitteisto
DE102005046742B4 (de) * 2005-09-29 2007-08-16 Siemens Ag Zugangselement und Verfahren zur Zugangskontrolle eines Netzelements
US8208811B2 (en) * 2005-12-12 2012-06-26 Verizon Business Global Llc Network with sourceless clients
US20070147620A1 (en) * 2005-12-28 2007-06-28 Heyun Zheng Method for encryption key management for use in a wireless mesh network
US8688856B2 (en) * 2006-01-24 2014-04-01 Novell, Inc. Techniques for managing a network delivery path of content via a key
FR2897222A1 (fr) * 2006-02-03 2007-08-10 Gemplus Sa Acces a distance a une memoire de masse et une memoire de securite dans un objet communicant portable
JP5363706B2 (ja) * 2006-02-13 2013-12-11 ヒル−ロム サービシーズ,インコーポレイティド 無線ベッド接続
US8023478B2 (en) * 2006-03-06 2011-09-20 Cisco Technology, Inc. System and method for securing mesh access points in a wireless mesh network, including rapid roaming
US7804807B2 (en) * 2006-08-02 2010-09-28 Motorola, Inc. Managing establishment and removal of security associations in a wireless mesh network
US8626946B2 (en) 2006-08-03 2014-01-07 Citrix Systems, Inc. Systems and methods for hierarchical global load balancing
CN101150839B (zh) * 2006-09-20 2011-04-06 西门子(中国)有限公司 无线局域网中的扫描方法及系统
TW200816768A (en) * 2006-09-21 2008-04-01 Interdigital Tech Corp Group-wise secret key generation
KR101366243B1 (ko) * 2006-12-04 2014-02-20 삼성전자주식회사 인증을 통한 데이터 전송 방법 및 그 장치
US20080194246A1 (en) * 2007-02-12 2008-08-14 Thierry Etienne Klein Apparatus and Method for Providing a Rapidly Deployable Wireless Network
US8111684B2 (en) * 2007-03-30 2012-02-07 Cisco Technology, Inc. Path shortening in a wireless mesh network
US8645976B2 (en) * 2007-05-03 2014-02-04 Qualcomm Incorporated Application programming interface (API) for restoring a default scan list in a wireless communications receiver
CN101316215B (zh) * 2007-05-29 2011-03-23 瀚讯网通股份有限公司 可携式无线路由装置与其运作方法
US8233905B2 (en) 2007-06-15 2012-07-31 Silver Spring Networks, Inc. Load management in wireless mesh communications networks
US8130700B2 (en) * 2007-06-15 2012-03-06 Silver Spring Networks, Inc. Method and system for providing network and routing protocols for utility services
US7769888B2 (en) * 2007-06-15 2010-08-03 Silver Spring Networks, Inc. Method and system for providing network and routing protocols for utility services
US8072951B2 (en) * 2007-06-15 2011-12-06 Silver Spring Networks, Inc. Method and system for providing routing protocols in a frequency hopping spread spectrum network
US8032746B2 (en) * 2007-06-19 2011-10-04 The University Of Texas At San Antonio Tamper-resistant communication layer for attack mitigation and reliable intrusion detection
US20080316951A1 (en) * 2007-06-20 2008-12-25 Motorola, Inc. Method for discovering a route to an intelligent access point (iap)
US20080317047A1 (en) * 2007-06-20 2008-12-25 Motorola, Inc. Method for discovering a route to a peer node in a multi-hop wireless mesh network
US8279870B2 (en) * 2007-08-01 2012-10-02 Silver Spring Networks, Inc. Method and system of routing in a utility smart-grid network
US8396009B2 (en) * 2007-08-21 2013-03-12 International Business Machines Corporation Method and apparatus for an adapter in a network device to discover its adapter name in a network system
US8127233B2 (en) * 2007-09-24 2012-02-28 Microsoft Corporation Remote user interface updates using difference and motion encoding
US8619877B2 (en) * 2007-10-11 2013-12-31 Microsoft Corporation Optimized key frame caching for remote interface rendering
US8121423B2 (en) * 2007-10-12 2012-02-21 Microsoft Corporation Remote user interface raster segment motion detection and encoding
US8106909B2 (en) * 2007-10-13 2012-01-31 Microsoft Corporation Common key frame caching for a remote user interface
KR101516637B1 (ko) * 2007-12-24 2015-05-06 엘지전자 주식회사 네트워킹 모듈이 구비된 단말기와 이를 이용한 데이터 전송방법
US20090172778A1 (en) * 2007-12-26 2009-07-02 Randall Stephens Rule-based security system and method
JP2009164785A (ja) * 2007-12-28 2009-07-23 Mitsubishi Electric Corp 通信制御方法および無線通信システム
CN101222772B (zh) * 2008-01-23 2010-06-09 西安西电捷通无线网络通信有限公司 一种基于id的无线多跳网络认证接入方法
TW200934171A (en) * 2008-01-24 2009-08-01 Asustek Comp Inc Method and system for setting domain name and network apparatus thereof
US20090193247A1 (en) * 2008-01-29 2009-07-30 Kiester W Scott Proprietary protocol tunneling over eap
US8027272B2 (en) * 2008-04-18 2011-09-27 Telefonaktiebolaget L M Ericsson (Publ) Auto-configuration and discovery of portable telecommunication system
US8539225B2 (en) * 2008-04-30 2013-09-17 Motorola Solutions, Inc. Method and device for dynamic deployment of trust bridges in an ad hoc wireless network
JP4894826B2 (ja) 2008-07-14 2012-03-14 ソニー株式会社 通信装置、通信システム、報知方法、及びプログラム
TWI364940B (en) * 2008-10-31 2012-05-21 Acer Inc Wireless transmission system and a method thereof
US9191263B2 (en) 2008-12-23 2015-11-17 Keyssa, Inc. Contactless replacement for cabled standards-based interfaces
US9219956B2 (en) 2008-12-23 2015-12-22 Keyssa, Inc. Contactless audio adapter, and methods
US9954579B2 (en) 2008-12-23 2018-04-24 Keyssa, Inc. Smart connectors and associated communications links
US9474099B2 (en) 2008-12-23 2016-10-18 Keyssa, Inc. Smart connectors and associated communications links
US8767587B1 (en) * 2009-01-21 2014-07-01 Cisco Technology, Inc. Exploratory linktrace operations in a computer network
US8095560B2 (en) * 2009-02-26 2012-01-10 Yahoo! Inc. Edge attribute aggregation in a directed graph
US8762518B2 (en) * 2009-07-10 2014-06-24 Telcordia Technologies, Inc. Program and method for adaptively maintaining a local peer group in a dynamic environment
JP5365442B2 (ja) * 2009-09-17 2013-12-11 富士通株式会社 中継局
KR20110064528A (ko) * 2009-12-08 2011-06-15 삼성전자주식회사 블루투스 디바이스의 데이터 전송 방법 및 장치
US8964625B2 (en) * 2009-12-31 2015-02-24 Verizon Patent And Licensing Inc. Dynamic wireless network apparatuses, systems, and methods
CN102479110B (zh) * 2010-11-23 2014-04-02 联想(北京)有限公司 电子设备和供电控制方法
US9031072B2 (en) * 2010-12-22 2015-05-12 Juniper Networks, Inc. Methods and apparatus to route fibre channel frames using reduced forwarding state on an FCOE-to-FC gateway
US9608939B2 (en) 2010-12-22 2017-03-28 Juniper Networks, Inc. Methods and apparatus to reduce forwarding state on an FCoE-to-FC gateway using port-specific MAC addresses
IL210169A0 (en) 2010-12-22 2011-03-31 Yehuda Binder System and method for routing-based internet security
KR20120071924A (ko) * 2010-12-23 2012-07-03 한국전자통신연구원 무선 메쉬 네트워크에서 노드의 이동성을 지원하는 방법
WO2012148115A2 (ko) * 2011-04-25 2012-11-01 고려대학교 산학협력단 센서 네트워크를 위한 기간망을 제어하는 장치 및 그 방법
CN102761410A (zh) * 2011-04-25 2012-10-31 中国移动通信集团安徽有限公司 计费话单采集处理方法和装置
JP5488642B2 (ja) * 2011-05-31 2014-05-14 株式会社バッファロー 可搬型ネットワーク接続装置及びその設定方法、並びに、コンピュータプログラム及び記録媒体
WO2013134847A1 (en) * 2012-03-16 2013-09-19 Research In Motion Limited System and method for managing data using tree structures
CN102647802A (zh) * 2012-03-28 2012-08-22 青岛海信移动通信技术股份有限公司 一种无线数据共享的方法及实现共享的终端
JPWO2013187233A1 (ja) * 2012-06-11 2016-02-04 ソニー株式会社 受信装置、受信方法、及び、プログラム
CN107888234B (zh) * 2012-09-14 2021-11-30 凯萨股份有限公司 用于对第一设备主机系统提供应用支持的方法及第一设备
US9979960B2 (en) 2012-10-01 2018-05-22 Microsoft Technology Licensing, Llc Frame packing and unpacking between frames of chroma sampling formats with different chroma resolutions
US9100988B2 (en) * 2012-10-22 2015-08-04 Motorola Solutions, Inc. Mobile repeater system based ad hoc trunked sites
KR102025754B1 (ko) * 2012-11-01 2019-09-26 삼성전자주식회사 와이파이 네트워크를 이용한 디바이스 연결 시스템 및 방법
US9277399B2 (en) * 2013-02-22 2016-03-01 Qualcomm Incorporated Systems and methods for reduced latency when establishing communication with a wireless communication system
US9215075B1 (en) 2013-03-15 2015-12-15 Poltorak Technologies Llc System and method for secure relayed communications from an implantable medical device
US10015720B2 (en) 2014-03-14 2018-07-03 GoTenna, Inc. System and method for digital communication between computing devices
CN203827016U (zh) * 2014-03-24 2014-09-10 惠州Tcl移动通信有限公司 一种带无线路由功能的车载充电器
US9917851B2 (en) 2014-04-28 2018-03-13 Sophos Limited Intrusion detection using a heartbeat
US10122753B2 (en) 2014-04-28 2018-11-06 Sophos Limited Using reputation to avoid false malware detections
WO2016053292A1 (en) 2014-09-30 2016-04-07 Hewlett Packard Enterprise Development Lp Advertising multiple service set identifiers
US9843928B2 (en) * 2014-10-30 2017-12-12 Motorola Solutions, Inc. Method and apparatus for connecting a communication device to a deployable network without compromising authentication keys
US20180288618A1 (en) * 2014-11-07 2018-10-04 Philips Lighting Holding B.V. Bootstrapping in a secure wireless network
CN105743670B (zh) 2014-12-09 2019-02-05 华为技术有限公司 访问控制方法、系统和接入点
IN2014MU04068A (ja) 2014-12-18 2015-06-05 Cyberoam Technologies Pvt Ltd
CN104579788B (zh) * 2015-01-21 2017-10-20 上海交通大学 一种分布式动态路由网络的错误定位方法
US9860745B2 (en) * 2015-02-23 2018-01-02 Qualcomm Incorporated Methods and apparatuses for NAN data link group formation and data frame address settings
US9602648B2 (en) 2015-04-30 2017-03-21 Keyssa Systems, Inc. Adapter devices for enhancing the functionality of other devices
US10455387B2 (en) 2015-05-13 2019-10-22 CyberReef Solutions Inc. Network-based Machine-to-Machine (M2M) private networking system
CN105187515B (zh) * 2015-08-18 2018-04-03 北京邮电大学 一种考虑终端能力的网络缓存方法
US9781750B2 (en) * 2015-08-25 2017-10-03 Laird Technologies, Inc. Automatic wireless mode switching
US10951652B1 (en) * 2016-01-21 2021-03-16 Amazon Technologies, Inc. Communication session resumption
US10033805B1 (en) 2016-03-11 2018-07-24 Juniper Networks, Inc. Spanning tree approach for global load balancing
US11265249B2 (en) * 2016-04-22 2022-03-01 Blue Armor Technologies, LLC Method for using authenticated requests to select network routes
US10154384B2 (en) * 2016-06-22 2018-12-11 Qualcomm Incorporated Systems and methods for back channel communication
US10368080B2 (en) 2016-10-21 2019-07-30 Microsoft Technology Licensing, Llc Selective upsampling or refresh of chroma sample values
CN108616884B (zh) * 2016-11-30 2022-01-07 上海掌门科技有限公司 用于无线接入点连接的方法与设备
CN107820243B (zh) * 2017-11-01 2021-08-13 东莞理工学院 一种无线多跳自组织网络加密密钥动态加载装置和方法
US10813169B2 (en) 2018-03-22 2020-10-20 GoTenna, Inc. Mesh network deployment kit
CA3107919A1 (en) 2018-07-27 2020-01-30 GoTenna, Inc. Vinetm: zero-control routing using data packet inspection for wireless mesh networks
CN108924955B (zh) * 2018-07-30 2021-12-14 山东大骋医疗科技有限公司 一种基于双链无线通信的ct数据传输与控制方法及装置
US10819676B1 (en) * 2019-05-22 2020-10-27 Verizon Patent And Licensing Inc. System and method of acquiring network-centric information for customer premises equipment (CPE) management
US11563642B2 (en) * 2019-10-15 2023-01-24 Rockwell Collins, Inc. Smart point of presence (SPOP) aircraft-based high availability edge network architecture
US11765052B1 (en) 2022-03-11 2023-09-19 T-Mobile Usa, Inc. User equipment hosting for customizable 5G services

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH098827A (ja) * 1995-06-15 1997-01-10 At & T Ipm Corp Atmネットワークにおいて移動体ユーザを追跡し位置決定する方法およびアーキテクチャおよび無線atmlanのためのアーキテクチャ
JP2002359881A (ja) * 2001-03-16 2002-12-13 Nippon Telegr & Teleph Corp <Ntt> ワイヤレス通信システム、制御局装置、基地局装置、およびワイヤレス通信システムの運用方法
JP2003249944A (ja) * 2002-02-21 2003-09-05 Nippon Telegr & Teleph Corp <Ntt> 無線アクセスネットワーク、無線マルチホップネットワーク、認証サーバ、基地局及び無線端末
JP2004523143A (ja) * 2000-09-26 2004-07-29 ランダラ ナット アクチボラゲット パケット・ベースの網でのモバイル装置用アクセス・ポイントと前記網での課金方法とシステム

Family Cites Families (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1995008232A1 (en) * 1993-09-14 1995-03-23 Chantilley Corporation Limited Apparatus for key distribution in an encryption system
JPH0983528A (ja) 1995-09-12 1997-03-28 Sharp Corp 無線ネットワーク
US8782199B2 (en) * 1997-10-14 2014-07-15 A-Tech Llc Parsing a packet header
JP3010157B1 (ja) 1998-08-28 2000-02-14 日本電信電話株式会社 無線パケット転送方法および該方法を用いた無線基地局
US6185612B1 (en) 1998-10-29 2001-02-06 Novell, Inc. Secure distribution and use of weighted network topology information
JP2000252992A (ja) 1999-02-25 2000-09-14 Nippon Telegr & Teleph Corp <Ntt> 無線アドホック端末
JP3489471B2 (ja) 1999-02-25 2004-01-19 日本電信電話株式会社 無線パケット転送方法
US6453159B1 (en) 1999-02-25 2002-09-17 Telxon Corporation Multi-level encryption system for wireless network
US7486952B1 (en) * 2000-02-09 2009-02-03 Alcatel-Lucent Usa Inc. Facilitated security for handoff in wireless communications
US6990075B2 (en) 2000-02-12 2006-01-24 Mrl Laboratories, Llc Scalable unidirectional routing with zone routing protocol extensions for mobile AD-HOC networks
JP3451233B2 (ja) 2000-02-24 2003-09-29 日本電信電話株式会社 マルチホップ無線ネットワークおよび無線局
US6975629B2 (en) * 2000-03-22 2005-12-13 Texas Instruments Incorporated Processing packets based on deadline intervals
JP2001313979A (ja) * 2000-04-28 2001-11-09 Oki Electric Ind Co Ltd 移動端末接続方法
EP1168754B1 (en) * 2000-06-26 2005-03-16 Alcatel Addressing scheme to be used in an IP-based radio access network
WO2002035794A2 (en) * 2000-10-26 2002-05-02 British Telecommunications Plc Telecommunications routing
US7155518B2 (en) * 2001-01-08 2006-12-26 Interactive People Unplugged Ab Extranet workgroup formation across multiple mobile virtual private networks
AU2002234258A1 (en) * 2001-01-22 2002-07-30 Sun Microsystems, Inc. Peer-to-peer network computing platform
US20020183038A1 (en) * 2001-05-31 2002-12-05 Palm, Inc. System and method for crediting an account associated with a network access node
CA2376987C (en) * 2001-03-16 2005-07-26 Nippon Telegraph And Telephone Corporation Wireless communication system using access points that can be freely set up by users
US7469230B2 (en) * 2001-03-21 2008-12-23 Qurio Holdings, Inc. Method and system for automatically distributing fees, including a reseller commission, during a digital file transaction
US7664119B2 (en) * 2001-03-30 2010-02-16 Intel Corporation Method and apparatus to perform network routing
US7397802B2 (en) 2001-07-19 2008-07-08 Nec Corporation Communications network with routing tables for establishing a path without failure by avoiding unreachable nodes
US7206294B2 (en) * 2001-08-15 2007-04-17 Meshnetworks, Inc. Movable access points and repeaters for minimizing coverage and capacity constraints in a wireless communications network and a method for using the same
US7069343B2 (en) 2001-09-06 2006-06-27 Avaya Technologycorp. Topology discovery by partitioning multiple discovery techniques
US6947768B2 (en) * 2001-09-28 2005-09-20 Kabushiki Kaisha Toshiba Base station apparatus and terminal apparatus
JP2003198568A (ja) 2001-10-16 2003-07-11 Sony Corp 送受信装置、送受信方法および送受信システム
US7181214B1 (en) * 2001-11-13 2007-02-20 Meshnetworks, Inc. System and method for determining the measure of mobility of a subscriber device in an ad-hoc wireless network with fixed wireless routers and wide area network (WAN) access points
JP3948277B2 (ja) * 2001-12-27 2007-07-25 富士ゼロックス株式会社 外部ネットワーク接続のための設定情報割当方法
CN1331326C (zh) * 2002-03-27 2007-08-08 北京长信嘉信息技术有限公司 数字家庭网络系统的通讯信号传输方法
US6925069B2 (en) * 2002-04-19 2005-08-02 Meshnetworks, Inc. Data network having a wireless local area network with a packet hopping wireless backbone
US7203487B2 (en) * 2002-04-22 2007-04-10 Intel Corporation Pre-notification of potential connection loss in wireless local area network
BRPI0215728B1 (pt) * 2002-05-01 2016-06-07 Ericsson Telefon Ab L M método para permitir uma autenticação baseada em sim, controlador de acesso, terminal sem fio e sistema de telecomunicação
US20060117113A1 (en) * 2002-05-16 2006-06-01 Elliott Brig B Rapidly deployable ad hoc network
US7155526B2 (en) * 2002-06-19 2006-12-26 Azaire Networks, Inc. Method and system for transparently and securely interconnecting a WLAN radio access network into a GPRS/GSM core network
US6879574B2 (en) * 2002-06-24 2005-04-12 Nokia Corporation Mobile mesh Ad-Hoc networking
US6850503B2 (en) * 2002-08-06 2005-02-01 Motorola, Inc. Method and apparatus for effecting a handoff between two IP connections for time critical communications
MXPA05001699A (es) * 2002-08-16 2005-07-22 Togewa Holding Ag Metodo y sistema para autentificacion gsm al navegar en wlan.
US7206934B2 (en) * 2002-09-26 2007-04-17 Sun Microsystems, Inc. Distributed indexing of identity information in a peer-to-peer network
JP4594591B2 (ja) 2002-12-27 2010-12-08 パナソニック株式会社 電気化学素子

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH098827A (ja) * 1995-06-15 1997-01-10 At & T Ipm Corp Atmネットワークにおいて移動体ユーザを追跡し位置決定する方法およびアーキテクチャおよび無線atmlanのためのアーキテクチャ
JP2004523143A (ja) * 2000-09-26 2004-07-29 ランダラ ナット アクチボラゲット パケット・ベースの網でのモバイル装置用アクセス・ポイントと前記網での課金方法とシステム
JP2002359881A (ja) * 2001-03-16 2002-12-13 Nippon Telegr & Teleph Corp <Ntt> ワイヤレス通信システム、制御局装置、基地局装置、およびワイヤレス通信システムの運用方法
JP2003249944A (ja) * 2002-02-21 2003-09-05 Nippon Telegr & Teleph Corp <Ntt> 無線アクセスネットワーク、無線マルチホップネットワーク、認証サーバ、基地局及び無線端末

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011064858A1 (ja) 2009-11-26 2011-06-03 株式会社 東芝 無線認証端末
CN104041094A (zh) * 2011-10-10 2014-09-10 三星电子株式会社 云小区中的逻辑地址分配
JP2014533004A (ja) * 2011-10-10 2014-12-08 サムスン エレクトロニクス カンパニー リミテッド クラウドセルにおける論理アドレス割当
CN104041094B (zh) * 2011-10-10 2018-09-21 三星电子株式会社 用于分配唯一逻辑地址的方法和主基站
US10244386B2 (en) 2011-10-10 2019-03-26 Samsung Electronics Co., Ltd. Logical address assignment in a cloud cell
US10531282B2 (en) 2011-10-10 2020-01-07 Samsung Electronics Co., Ltd. Logical address assignment in a cloud cell

Also Published As

Publication number Publication date
JP4696154B2 (ja) 2011-06-08
JP2004180307A (ja) 2004-06-24
US20080232338A1 (en) 2008-09-25
JP2009060604A (ja) 2009-03-19
JP4696149B2 (ja) 2011-06-08
US20040103275A1 (en) 2004-05-27
CN1503523A (zh) 2004-06-09
CN101835147A (zh) 2010-09-15
CN1503523B (zh) 2010-05-12
CN101835147B (zh) 2015-07-15
US20110099611A1 (en) 2011-04-28
US7634230B2 (en) 2009-12-15
US7881667B2 (en) 2011-02-01
US8688041B2 (en) 2014-04-01

Similar Documents

Publication Publication Date Title
JP4696154B2 (ja) 無線ネットワークノード装置及び無線基幹ネットワーク構築方法
US8630275B2 (en) Apparatus, method, and medium for self-organizing multi-hop wireless access networks
JP4578917B2 (ja) 自己組織化マルチホップ無線アクセスネットワーク用の装置、方法及び媒体
USRE42871E1 (en) Extranet workgroup formation across multiple mobile virtual private networks
JP4611289B2 (ja) 無線サービス・ポイント・ネットワーク
US7522731B2 (en) Wireless service points having unique identifiers for secure communication
CN101218796B (zh) 在无线局域网中支持层3漫游的无线交换机负载平衡的方法、系统和装置
JP2007515111A (ja) モバイル環境におけるdhcpプール共有メカニズム
CN101375563A (zh) 作为到接入网的移动终端设备的网关的移动站以及对移动站和移动终端设备进行网络登记的方法
WO2017197516A1 (en) Using wlan connectivity of a wireless device
US20120036560A1 (en) Topology based fast secured access
Jacob et al. Security of current Mobile IP solutions
Ji et al. On Providing Secure and Portable Wireless Data Networking Services: Architecture and Data Forwarding Mechanisms
Qazi et al. Securing wireless mesh networks with ticket-based authentication
Lee et al. Cross-layered architecture for securing IPv6 ITS communication: example of pseudonym change
WO2004100425A2 (en) Dynamic adaptive inter-layer control of wireless data communication networks
TWI616110B (zh) 區域網路後置傳輸管理系統和方法
Zhou et al. A Survey of Zero and Auto Configurations for Wireless Networks
Lee et al. Efficient Distributed Authentication Method with Local Proxy for Wireless Mesh Networks
Nagdiya et al. Secure Autoconfiguration in Mobile Ad hoc Networks using Rabin cryptosystem
Rónai et al. IST-2001-35125 (OverDRiVE) D07
Talpade et al. Standardization areas for securing ad hoc networks
Cirincione SECURITY OF CURRENT MOBILE IP SOLUTIONS

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110222

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110228

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140304

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees