JP2009525686A - クライアント証明書が認証サーバによって確認されている間のdhcpサーバによるアドレス割り当て - Google Patents
クライアント証明書が認証サーバによって確認されている間のdhcpサーバによるアドレス割り当て Download PDFInfo
- Publication number
- JP2009525686A JP2009525686A JP2008553302A JP2008553302A JP2009525686A JP 2009525686 A JP2009525686 A JP 2009525686A JP 2008553302 A JP2008553302 A JP 2008553302A JP 2008553302 A JP2008553302 A JP 2008553302A JP 2009525686 A JP2009525686 A JP 2009525686A
- Authority
- JP
- Japan
- Prior art keywords
- client
- server
- response
- access
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本発明は、無線ネットワークを介するクライアントとサーバとの間の通信に応答して、サーバからの第1のチャレンジに対するクライアントからの第1の応答、およびクライアントからの第2のチャレンジに対するサーバからの第2の応答に基づき、クライアントを認証することを終える前に、無線ネットワークへのアクセスを提供するためのアドレスをクライアントに割り当てることを求める。無線通信システムは、WiFi(登録商標)ネットワークに関連するアクセスポイントを介してWiFi(登録商標)ネットワークに対して移動デバイスを認証するためのクライアントモジュールを含む。認証の目的で、中間サーバは、サーバモジュールが、中間サーバを介したクライアントモジュールと、WiFi(登録商標)ネットワークに関連するサーバモジュールとの間の通知メッセージの交換に基づき、移動デバイスとWiFi(登録商標)ネットワークを互いに認証できるようにすることが可能である。
Description
本発明は、一般に遠隔通信に関し、より詳細には無線通信に関する。
多くの通信システムが、様々なタイプのサービスを無線デバイスのユーザに提供する。ある特定の無線サービスにおいて、無線通信ネットワークは、無線デバイスユーザが、単にテキストメッセージであること、あるいはデータおよび/またはビデオなどのマルチメディアコンテンツを含むことが可能なピアツーピアメッセージおよび/またはクライアント−サーバ間メッセージを交換できるようにすることが可能である。このメッセージ交換には、宛先に向けてメッセージを漸進的に進めるいくつかのネットワークルータ経由で、送信元デバイスとターゲットデバイスの間で接続を確立することが関わる。
とりわけ、ユーザの認証が、データ網または通信アクセス網に対するアクセス制御のために所望される。また、無線ユーザが、特に、妥当なネットワークの振りをするのに要求される技術が、特に、IEEE(Institute of Electrical and Electronics Engineers)802.11ベースのネットワークの場合、安価で、広く入手可能になっているので、ネットワークの認証を要求する可能性もある。認証プロセスは、特に、ユーザが進行中のセッションを有するハンドオーバ中、セキュアでなければならないが、高速でもなければならない。本発明は、これら2つの要件、すなわち、高速であることと、十分にセキュアであることの両方の間の良好なトレードオフであるソリューションを提供する。たとえば、DHCP(動的ホスト構成プロトコル)サーバ(通常、ゲートウェイ上、クライアントからのパケットが通過する最初のルータおよび/またはスイッチ上に配置される)が、接続しようと試みる可能性があるクライアントについてのアプリオリの知識をまったく有さない(企業ネットワークの場合にそうである可能性があるように)比較的大きいマルチドメインネットワークにおいて。DHCP(動的ホスト構成プロトコル)は、ネットワークに接続するデバイスへのIP(インターネットプロトコル)アドレスの割り当てを管理し、自動化するための通信プロトコルである。
一般に、無線LANは、ネットワークアダプタと通信して有線LANを拡張するAP(無線アクセスポイント)を含む。WiFi(登録商標)準拠の無線通信デバイスを有するユーザは、やはりIEEE802.11標準に基づく他の任意のブランドのクライアントハードウェアに対して、任意のタイプのアクセスポイントを使用することができる。Wireless Fidelityの省略であるWiFi(登録商標)という用語は、IEEE802.11aであるか、802.11bであるか、802.11gであるか、Dual Bandなどであるかに関わらず、任意のタイプのIEEE802.11標準ベースのデバイスまたはネットワークを指すように、WiFi(登録商標) Allianceによって広められている。WiFi(登録商標) Allianceは、IEEE802.11規格による無線ネットワーキング構成を推進する業界連合である。しかし、通常、同一のRF(無線周波数)信号、たとえば、802.11bもしくは802.11gの場合、2.4GHz、または802.11aの場合、5GHzを使用する任意のWiFi(登録商標)準拠の無線通信デバイスが、他の任意の無線通信デバイスに対して機能することが可能である。
しかし、使用される周波数範囲使用またはネットワークタイプに関わらず、無線通信デバイスのユーザにWANへのアクセスを許可するのに先立って、ユーザは、通常、認証される。したがって、展開されるほとんどのWiFi(登録商標)ホットスポットは、ユーザが、ユーザ名およびパスワードに基づいて認証されることを要求する。そのような認証に加えて、認証のための他のソリューションが、展開されることも可能であり、たとえば、とりわけ、IEEE802.1xに基づく認証プロセスも利用可能である。
物理的接続によって提供されるセキュリティを頼りにすることができない無線ネットワークにおけるネットワーク認証は、有線環境と比べて、はるかに困難である。たとえば、ホットスポットは、通常、ユーザのウェブベースの認証を使用し、すなわち、ユーザは、ユーザが最初にホットスポットに入った際にポップアップするWebページ上でユーザ名およびパスワードを入力しなければならない。普及してきている別の技術が、IEEE802.1xであり、IEEE802.1xは、EAPOL(EAP(Extensible Authentication Protocol)over LAN)プロトコルを使用して、所与のアクセスポイントに対するセキュアな、認証された関連を確立する。EAPは、当初、PPPベースの認証にて通常、使用されるダイヤルイン接続のために使用された。
認証の後、前述の方法のすべては、アドレス獲得も、通信が可能になる前に行われなければならないことで共通している。アドレス獲得は、通常、別の遅延を加えるDHCPを使用する。IETF(Internet Engineering Task Force)によって公表され、調整されるRFC(Request for Comments)ドキュメントが、非公式のインターネット標準を説明し、RFC2131が、本発明の説明において例示的に使用されるDHCPプロトコルを説明しているといった具合である。DHCP OFFERが、受信されるとすぐに、DHCP OFFERの中で見られるIPアドレスをクライアントが使用することを妨げるものは、DHCP規格の中に何も存在しないが、通常の現在の実施形態は、最終のDHCP応答が受信されるまで待つ。このアプローチは、不必要に制限的である。RFC3118が、DHCPメッセージに関する認証を説明する。DHCPメッセージに関する認証は、本発明を実施するのに要求されるメッセージおよびデータ交換を符号化する1つの可能なやり方を定義し、メッセージの完全性保護、および相互認証を可能にする。
Webベースの認証の1つの欠点は、そのような認証が、高速の認証を妨げるユーザ対話を要求することである(ユーザは、ユーザの証明書を入力するのに数秒かかる)。このプロセスが、自動化された場合でも(そうすることは、その場合、証明書が、ユーザのデバイス上に格納されなければならないので、セキュリティを危うくする)、このオプションは、可聴効果なしにVoIP(Voice over Internet Protocol)を維持するのに要求される100ミリ秒のハンドオーバ時間を実現することができない。
EAPベースの方法は、バックエンドAAAサーバへの1回または複数回の往復を要求し、この往復には、今日のネットワークにおいて数秒かかる。また、EAP−SIMなどのよりセキュアな方法のいくつかは、ユーザのデバイスにおけるSIMカードとの対話をやはり使用し、この対話が、さらなる遅延を加える。全体的なEAPベースのソリューションは、通常、最善で(現実的な状況において)2秒の認証を実現する。
RFC3118は、DHCPサーバが、すべてのクライアントに関するキーを有さなければならない、または取得することができなければならないことを規定する。すべてのクライアントに関するキーを、ネットワークにおける各DHCPサーバ上に格納することは、スケーリングがうまく行かず(管理しにくく)、必要に応じて、何らかのバックエンドネットワークにわたってクライアントキーを取得することは、セキュアではない。付録Aで説明される、各クライアントに関して秘密マスタキーを生成し、キー、K=MAC(MK、一意ID)を発行する技術は、DHCPサーバが、すべてのクライアントを前もって知っている小規模なネットワークだけに適用される。セクション9.2において、RFC3118規格は、「遅延された認証は、ドメイン間認証をサポートしない」(遅延された認証は、スケーリングがうまく行かないので)ことを示す。
以下に、本発明のいくつかの態様の基本的な理解をもたらすため、本発明の簡略化された概要を提示する。この概要は、本発明の網羅的な概略ではない。この概要は、本発明の重要な要素、もしくは不可欠な要素を特定すること、または本発明の範囲を線引きすることは意図していない。この概要の唯一の目的は、後段で説明するより詳細な説明の前置きとして、いくつかの概念を簡略化された形態で提示することである。
本発明は、前述の問題の1つまたは複数を克服すること、または少なくとも、それらの問題の影響を減らすことを目的とする。
本発明の一実施形態では、無線ネットワーク上の、無線ネットワークに関連するサーバへのアクセスを可能にするアドレスを有するクライアントを認証するための方法が提供される。一実施形態では、この方法は、無線ネットワークを介するクライアントとサーバとの間の通信に応答して、サーバからの第1のチャレンジに対するクライアントからの第1の応答、およびクライアントからの第2のチャレンジに対するサーバからの第2の応答に基づき、クライアントを認証することを終える前に、無線ネットワークへのアクセスを提供するためのアドレスをクライアントに割り当てることを求める。
別の実施形態では、WiFi(登録商標)ネットワークに対して、そのWiFi(登録商標)ネットワークに関連するサーバへのアクセスを可能にするアドレスを有するクライアントを認証する無線クライアント−サーバ通信システム。この無線クライアント−サーバ通信システムは、クライアントと、サーバとを含むことが可能である。クライアントは、無線ネットワークに関連するアクセスポイントを介して無線ネットワークに対して互いに認証するための命令を格納するクライアントモジュールを含む。サーバは、オーセンティケータを使用してクライアントと通信するように構成されることが可能であり、サーバは、無線ネットワークを介するクライアントとサーバとの間の通信に応答して、無線ネットワークに対してクライアントを互いに認証する命令を格納するサーバモジュールを含み、オーセンティケータは、サーバからの第1のチャレンジに対するクライアントからの第1の応答、およびクライアントからの第2のチャレンジに対するサーバからの第2の応答に基づき、クライアントを認証することを終える前に、WiFi(登録商標)ネットワークへのアクセスを提供するためのアドレスをクライアントに割り当てる。
さらに別の実施形態では、アクセス網に対して、そのアクセス網に関連するサーバへのアクセスを可能にするアドレスを有するクライアントを認証する無線クライアント−サーバ通信システムにおけるクライアント。このクライアントは、アクセス網を介するクライアントモジュールとサーバモジュールとの間の通信に応答して、サーバからの第1のチャレンジに対するクライアントからの第1の応答、およびクライアントからの第2のチャレンジに対するサーバからの第2の応答に基づき、クライアントを認証することを終える前に、アクセス網へのアクセスを提供するためのアドレスをクライアントに割り当てる中間サーバを介して、サーバモジュールに対して互いに認証するための命令を格納するクライアントモジュールを含む。
さらに別の実施形態において、アクセス網に対して、そのアクセス網に関連するサーバへのアクセスを可能にするアドレスを有するクライアントを認証する無線クライアント−サーバ通信システムにおけるサーバ。このサーバは、アクセス網を介するクライアントモジュールとサーバモジュールとの間の通信に応答して、サーバからの第1のチャレンジに対するクライアントからの第1の応答、およびクライアントからの第2のチャレンジに対するサーバからの第2の応答に基づき、クライアントを認証することを終える前に、アクセス網へのアクセスを提供するためのアドレスをクライアントに割り当てる中間サーバを介して、クライアントモジュールに対して互いに認証するための命令を格納するサーバモジュールを含む。
本発明は、同様の符号が同様の要素を識別する添付の図面と併せて解釈される、以下の説明を参照して理解されることが可能である。
本発明は、様々な変形形態および代替形態が可能であるが、本発明の特定の実施形態が、例として、図面に示され、本明細書で詳細に説明されている。しかし、特定の実施形態の本明細書における説明は、本発明を、開示される特定の形態に限定することは意図しておらず、それどころか、本発明は、特許請求の範囲によって定義される本発明の趣旨および範囲に含まれる、すべての変形形態、均等形態、および代替形態を範囲に含むものとされることを理解されたい。
本発明の例示的な実施形態を以下に説明する。簡明にするため、実際の実施形態のすべての特徴を本明細書で説明することはしない。もちろん、いずれのそのような実際の実施形態の開発においても、実施形態ごとに異なるシステム関連の制約、およびビジネス関連の制約の遵守などの、開発者の特定の目標を実現する、多数の実施形態特有の決定が行われることが可能であることが理解されよう。さらに、そのような開発の取り組みは、複雑で、時間がかかる可能性があるが、それでも、本開示を利用する当業者には、定常的な作業であることが可能であることを理解されたい。
一般に、無線ネットワーク上の、無線ネットワークに関連するサーバへのアクセスを可能にするアドレスを有するクライアントを認証するための方法および装置が、提供される。一実施形態では、方法は、無線ネットワークを介するクライアントとサーバとの間の通信に応答して、サーバからの第1のチャレンジに対するクライアントからの第1の応答、およびクライアントからの第2のチャレンジに対するサーバからの第2の応答に基づき、クライアントを認証することを終える前に、無線ネットワークへのアクセスを提供するためのアドレスをクライアントに割り当てることを求める。無線通信システムは、WiFi(登録商標)ネットワークに関連するアクセスポイントを介して、WiFi(登録商標)ネットワークに対して認証するための移動デバイスにおけるクライアントモジュールを含む。認証の目的で、中間サーバは、サーバモジュールが、中間サーバを介したクライアントモジュールとの通知メッセージの交換に基づき、クライアントモジュールに対して互いに認証できるようにすることが可能である。オファーが受信されるとすぐの、オファーからのIPアドレスの早期の受け入れまたは使用により、無線通信システムは、認証時間を短縮することができる。
図1を参照すると、本発明の一実施形態による、クライアント105とアクセス網100が互いに認証することができるアクセス網100が、概略で示される。WiFi(登録商標)ネットワークなどの無線ネットワーク上でクライアント105を互いに認証する目的で、アドレス110を有するアクセス網100が、AAA(認証、許可、アカウンティング)サーバなどのサーバ115へのアクセスを可能にすることができる。しかし、NAS(ネットワークアクセスサーバ)サーバまたはNASプロトコルによって所望される、これら3つのサービスは、論理的に独立であることが可能であり、別々に実施されることが可能である。さらに、そのようなネットワークアクセスサーバは、アクセス網100へのアクセスを提供する1つまたは複数のモデムを含んで、ユーザが、それらのモデムの1つに接続して、アクセス網100、アクセス網100にアクセスできるようにすることが可能である。
アクセス網100は、いずれのAAAサーバが、所与のドメインに属するかを特定し、(知られている場合)(ランダムな)client_challengeを生成するゲートウェイ122をさらに含むことが可能である。ゲートウェイ122は、クライアント105のためのアドレス110、たとえば、IPアドレスを選択することができ、そのアドレスを送り返す。ゲートウェイ122は、そのIPアドレスからの通信、およびそのIPアドレスへの通信を可能にすることができる(サーバ115、すなわち、AAAサーバに関する通常の応答時間より大きい時間制限のある期間にわたって)。また、ゲートウェイ122は、server_challengeおよびclient_challengeを含む、認証を求める要求を作成することもでき、その要求を適切なAAAサーバに送信する。
クライアント105を認証するのに、アクセス網100は、中間サーバ125を介してクライアント側通信120aおよびサーバ側通信120bを交換することができる。中間サーバ125の例は、DHCP(動的ホスト構成プロトコル)などの通信プロトコルを使用することができる。DHCPプロトコルを使用することにより、中間サーバ125は、アクセス網100におけるIP(インターネットプロトコル)アドレスなどのアドレス110の割り当てを自動化することができる。このようにして、DHCPプロトコルベースの中間サーバ125は、クライアント105が、アクセス網100に接続し、IPアドレスを自動的に割り当てられることを可能にすることができる。
クライアント105を認証する前にアクセス網100へのアクセスを提供するため、クライアント側通信120aとサーバ側通信120bの少なくともいずれかが、通信を開始することができ、中間サーバ125またはその逆などの、DHCPサーバが、アドレス110をクライアント105に割り当てることができる。
アクセス網100を介するクライアント105とサーバ115との間の通信に応答して、中間サーバ125は、クライアント105を認証することを終える前に、アクセス網100へのアクセスを提供するためのアドレス110をクライアント105に割り当てることができる。中間サーバ125は、サーバ115からの第1のチャレンジ135aに対するクライアント105からの第1の応答130a、およびクライアント105からの第2のチャレンジ135bに対するサーバ115からの第2の応答130bに基づき、クライアント105を認証することができる。
ゲートウェイ122は、クライアント105からの第1の応答130aをサーバ115からの第2の応答130bと比較することができる。その2つの応答が合致した場合、そのことは、クライアント105が、パスワードを知っていることを意味し、クライアント105は、認証される。ゲートウェイ122は、クライアント105のパスワードを知らないが、応答だけを知っている。ゲートウェイ122は、サーバ115から、応答がどのようなものであるべきかを知り、クライアント105が、その応答を実際に提供した場合、そのことは、クライアント105が有効であることを意味する。
AAAサーバなどのサーバ115は、クライアントの105、第1のチャレンジ135a、およびパスワード、ならびに他の情報ビットを計算する、またはダイジェスト化することができる。クライアント105は、所定の数の期間の後まで待ってから、アドレス110を使用することを始めることができ、クライアント105は、1つまたは複数のDHCPメッセージの中に埋め込まれるなどの、認証のためのチャレンジを予期しない。
この目的で、ゲートウェイ122は、認証サーバ115による認証を終えさえする前に、クライアント105に早期のアクセスを提供する責務を有するオーセンティケータ140を含むサーバ115を含むことが可能である。オーセンティケータ140は、クライアント105からの第1の応答130a、およびサーバ105からの第2の応答130bに基づき、クライアント105を認証することを終える前に、WiFi(登録商標)ネットワークへのアクセスを提供するためのアドレス110をクライアント105に割り当てることができる。オーセンティケータ140は、第1の応答130a、および第2の応答130bを受信して、前記第1の応答、および前記第2の応答130bに基づき、サーバ115に対してクライアント105を認証することを終えることができる。
サーバ115、すなわち、AAAサーバは、ユーザ名、パスワード、および他の関連情報を含む契約者情報のdB(データベース)150とインタフェースをとるサーバモジュール145を含むことが可能である。サーバモジュール145は、たとえば、無線ネットワークを介するクライアント105とサーバ115との間の通信に応答して、アクセス網100に対してクライアント105を互いに認証する命令を格納することができる。クライアント105を立証するため、データベース150は、契約者データベース内に格納されたクライアントパスワード、または他の秘密の指示を含むことが可能である。
一実施形態によれば、クライアント105は、たとえば、無線ネットワークに関連するAP(アクセスポイント)を介して、アクセス網100に対して互いに認証するための命令を格納するクライアントモジュール155を含むことが可能である。オーセンティケータ140を使用することにより、サーバ115は、クライアント105と通信し、認証をアドレス獲得と組み合わせることによって、まったく通信が可能でない期間を短縮するように構成されることが可能である。オーセンティケータ140は、サーバ115が、クライアント105の証明書を確認している間に、アクセス網100への早期のアクセスを可能にすることができる。オーセンティケータ140は、認証をアドレス獲得と組み合わせて、クライアント105が、DHCP要求への応答が受信されるまで待つ必要なしに、早期に発行されたIPアドレスなどのアドレス110を使用できるようにすることが可能である。
クライアント105が、最初に無線サービスエリアに入った際、相互チャレンジ−応答ベースの認証(この認証は、少なくとも3つのメッセージを常に要求する)の場合、オーセンティケータ140は、望ましくない、または前述した状況において効果的でない可能性がある。早期の受け入れを伴う高速の相互認証により、クライアント端末装置またはクライアントデバイスが、アクセス網100を使用することができるまでにかかる時間が短縮されることが可能である。そのような大幅に短縮された時間は、既存のセッションを有するハンドオーバ中に特に重要である。
認証は、相互であるため、すなわち、アクセス網100と通信するクライアント105、およびクライアント105と通信するアクセス網100の両方用であるため、クライアント105がオーセンティケータ140を含む一方でアクセス網100がオーセンティケータ140を含まない場合、認証シーケンスは、デフォルトのDHCP手続きにまで短縮されることが可能である。クライアント105は、それでも先に進むことが可能であり、それが、セキュアでない接続である(したがって、ユーザは、その場合、たとえば、VPN(仮想プライベートネットワーク)を使用することができる)ことを、場合により、ユーザに警告する。しかし、この状況は、中間サーバ125からのDHCP Offerメッセージが、client_challengeを含まない場合に、検出されることが可能である。
アクセス網110が、前述したとおり、相互認証をサポートするが、クライアント105は、相互認証をサポートしない場合、アクセス網100は、そのようなクライアントを、ポリシーに基づいて選択的に認証することができる。このことは、初期Discoverメッセージが、server_challengeを含まない場合に当てはまる。代替の認証、たとえば、Webベースの認証などが、代わりに使用されることが可能である。このようにして、オーセンティケータ140は、他の認証方法と共存することが可能である。一実施形態では、さらなる特徴には、Mobile−IP登録関連の情報を初期DHCP Offerに追加すること、およびQoS(サービス品質)ネゴシエーション関連のパラメータを初期DHCP Offerに追加することが含まれることが可能である。
図2を参照すると、本発明の一実施形態による、クライアント105と、DHCPサーバとして中間サーバ125を有するゲートウェイ122と、AAAサーバであるサーバ115との間のクライアント側通信120aおよびサーバ側通信120bが、示されている。ブロック200で、クライアント105が、server_challengeを生成し、そのserver_challengeをDHCP Discoverブロードキャスト[B]205と一緒に、ユーザ名および領域(たとえば、client@domain.com)に加えて、送信することができる。DHCPの場合、領域は、一例として、「siaddr」フィールドの中の公共IPアドレスを使用して実現されることが可能である。
ブロック210で、ゲートウェイ122は、所与のドメインにおいてDHCP Discoverブロードキャスト[B]205が属するAAAサーバ、すなわち、サーバ115を特定することができる。知られている場合、ゲートウェイ122は、client_challengeを生成することができる。また、ゲートウェイ122は、クライアント105に関するIPアドレスなどのアドレス110を選択することもでき、client_challengeを含め、このアドレス110を送り返す。ゲートウェイ122は、このIPアドレスからの通信、およびこのIPアドレスへの通信を可能にすることができる(たとえば、AAAサーバ115に関する通常の応答時間より大きい時間制限のある期間にわたって)。ゲートウェイ122は、server_challengeおよびclient_challengeを含む認証要求215を作成することができ、その要求215をAAAサーバ115に送信する。ゲートウェイ122は、RADIUSプロトコルまたはDiameterプロトコルに基づき、この通信を実現することができる。
ブロック220で、クライアント105が、このIPアドレスを受信することができ、このIPアドレスを即時に使用することを始める。さらに、クライアント105は、ゲートウェイ122から受信されたclient_challengeに、AAAサーバ115と共有される秘密(たとえば、パスワード)に基づいて応答を計算することにより、応答することができる(応答は、そのパスワード、およびそのチャレンジの、MD5またはSHA1のような何らかの暗号関数である)。この応答は、DHCP要求225の中でゲートウェイ122に送り返される。
ブロック230で、AAAサーバ115が、データベース150の中で、そのユーザをルックアップすることができる。AAAサーバ115は、クライアント105と共有される秘密に基づいて、client_challengeとserver_challengeの両方に関する応答を計算することができる。AAAサーバ115は、両方のチャレンジに対する認証応答235、およびユーザのセッションに関係のある他のパラメータでゲートウェイ122に応答することができる。そのユーザが、データベース150の中で見つからない場合、AAAサーバ115は、まったく応答しないことが可能である。
ブロック240で、ゲートウェイ122が、両方のチャレンジに対する認証応答235の中で両方の応答を受信すると、ゲートウェイ122は、それらの結果を比較することができる。client_challengeに対するクライアント105の応答が、サーバ115からの応答と合致した場合、クライアント105は、アクセス網100に対して認証されることに成功する。合致がない場合、またはサーバ115が、誤りを戻した場合、認証は、失敗し、ゲートウェイ122は、クライアント105に前に割り当てられたアドレス110からのトラフィック、およびアドレス110へのトラフィックのすべてをブロックする。IPアドレスが発行された際に開始されたタイマが、作動した場合、そのことは、AAAサーバ115からの失敗応答として扱われる。
成功の場合、ゲートウェイ122は、このタイマを停止し、DHCP応答[U]245をクライアント105に送り返して、割り当てられたIPアドレスを確定する。ゲートウェイ122は、server_challengeに対するサーバの応答、ならびに、割り当てられたQoSリソースおよびQoS限度、その他の構成パラメータなどの、AAAサーバ155によって提供された、所望される他のパラメータを含める。失敗の場合、ゲートウェイ122は、場合により、相互に認証することの失敗を示す理由コードと一緒に、DHCP拒否応答をクライアント105に送り返す。ブロック255で、クライアントは、ゲートウェイからDHCP応答[U]245を受信する。認証が成功した場合、クライアント105は、server_challengeに関する応答を計算し、サーバ115の応答が、その計算と合致することを立証することができる。合致しない場合、クライアント105は、そのアクセス網100が認証されないので、すべての通信を選択的に押さえることができる。代替として、クライアント105は、合致しないことを、セキュアな通信(VPN(仮想プライベートネットワーク)の使用などの)が望まれることの表れとして使用することができる。つまり、クライアント105は、自らリスクを負って、継続することができる。
図3を参照すると、本発明の一実施形態による、WiFi(登録商標)ネットワーク310に対して互いに認証するようにAAAサーバ115に結合された移動デバイス305を含む無線クライアント−サーバ通信システム300が、示されている。一実施形態では、移動デバイス305が、WiFi(登録商標)ネットワーク310を介してサーバ115に、WiFi(登録商標)ホットスポット315にログインする要求メッセージを送信することができる。つまり、IP(インターネットプロトコル)データパケットを交換するためのデータ接続が、所望されることが可能である。
従来のWiFi(登録商標)ネットワークは、2.4GHz(ギガヘルツ)範囲内のRF(無線周波数)を使用して、WiFi(登録商標)対応のコンピューティングデバイスまたは通信デバイスと、無線通信対応のネットワーク化されたデバイスを含む他のプロセッサベースのデバイスとの間でデータを伝送する。それぞれの無線通信対応のネットワーク化されたデバイスは、トランシーバを含む。WiFi(登録商標)ネットワークは、通常、コンピュータなどのWiFi(登録商標)対応のコンピューティングデバイスまたは通信デバイスと通信する無線ルータを含む。WiFi(登録商標)ネットワークの最も一般的な形態は、IEEE802.11x標準(xは、a、b、gなど)に基づく。地域的な規制に応じて、IEEE802.11標準は、2.4GHz周波数範囲内で14までのWiFi(登録商標)チャネルの使用を許す。
WiFi(登録商標)ホットスポット315は、WiFi(登録商標)ネットワーク310をサポートする複数のAP(アクセスポイント)320(1−n)を含むことが可能である。WiFi(登録商標)ネットワーク310に関連する複数のAP(アクセスポイント)320(1−n)は、インターネットなどのデータネットワークへのアクセスを提供することができる。許可されたユーザに無線サービスを提供するのに、移動デバイス305は、WiFi(登録商標)ネットワーク310に対してユーザを互いに認証することができる。つまり、通知メッセージが、無線接続330を介して移動デバイス305とWiFi(登録商標)ネットワーク310の間で交換されることが可能である。
無線クライアント−サーバ通信システム300の例には、UMTS(Universal Mobile Telecommunication System)プロトコルに基づく3G(第3世代)ネットワークが含まれるが、本発明は、マルチメディア通信、データ通信、光通信、および/または音声通信をサポートする他のシステムまたはプロトコルにも適用可能であり得ることを理解されたい。たとえば、CDMA(符号領域多元接続)、ならびにGSMネットワークのためのGPRS(汎用パケット無線サービス)のようなプロトコルが、使用されてもよい。つまり、しかし、図3の無線クライアント−サーバ通信システム300の構成は、例示的な性質のものであり、本発明の趣旨および範囲を逸脱することなく、無線クライアント−サーバ通信システム300の他の実施形態において、より少ない構成要素、またはさらなる構成要素が使用されてもよいことを理解されたい。
一実施形態によれば、無線クライアント−サーバ通信システム300は、インターネットを含むIP(インターネットプロトコル)ネットワーク、および公衆電話システム(PSTN)などの1つまたは複数のデータ網を含むことが可能である。無線クライアント−サーバ通信システム300において、WiFi(登録商標)ネットワーク120は、移動デバイス305とWiFi(登録商標)ネットワーク310との間の無線接続などの接続を確立するために、規制されていないスペクトルを使用する無線ネットワークプロトコルに基づくことが可能である。たとえば、無線接続を介して、ユーザは、音声、データ、およびビデオコンテンツを含む高速のマルチメディア情報を、しばしば、通信する。
移動デバイス305は、セルラー電話機、PDA(パーソナルデジタルアシスタント)、ラップトップコンピュータ、デジタルポケットベル、無線カード、およびWiFi(登録商標)ネットワーク310にアクセスすることができる他の任意のデバイスを含む移動端末装置などの、様々なデバイスのいずれかのデバイスの形態をとることができる。WiFi(登録商標)ネットワーク310は、たとえば、セルラーWANに関してなど、移動デバイス305と通信リンクを確立するために基地局とインタフェースをとることができる。アクセスポイント125は、1つのWLANを別のWLANから区別する一意ラベルであるSSID(サービスセット識別子)によって識別される複数の仮想ネットワークの提供をサポートすることができる。
移動デバイス305およびWiFi(登録商標)ネットワーク310を互いに認証することにより、無線クライアント−サーバ通信システム300におけるWiFi(登録商標)ユーザオーセンティケータ140aを含むアクセスポイントコントローラ340が、WiFi(登録商標)ホットスポット315において許可された多数のユーザに、アクセスポイント320(1)へのアクセスを提供することができる。もちろん、WiFi(登録商標)ホットスポット133は、ときとして、WiFi(登録商標)ネットワーク310と呼ばれる。認証プロセスには、無線通信デバイス115から要求メッセージ135を送信すること、およびWANからの無線接続などの無線接続130を介して応答メッセージを受信することが関わることが可能である。
一実施形態では、移動デバイス305は、WiFi(登録商標)クライアントモジュール345を含むことが可能である。WiFi(登録商標)クライアントモジュール345は、ソフトウェアプログラムまたはファームウェアなどの命令を含むことが可能である。WiFi(登録商標)クライアントモジュール345は、少なくとも部分的に、IEEE(Institute of Electrical and Electronics Engineers)802.11x標準、たとえば、x=a、b、gなどによって定義されることが可能である。
同様に、一実施形態によれば、アクセスポイント125は、WiFi(登録商標)トランシーバを含むことが可能である。WiFi(登録商標)ユーザオーセンティケータ140aは、ネットワーク認証を提供するためのソフトウェアプログラムまたはファームウェアなどの命令を含むことが可能である。サーバ115におけるサーバモジュール145aは、少なくとも部分的に、IEEE(Institute of Electrical and Electronics Engineers)802.11x標準によって定義されることが可能であり、ただし、x=a、b、gなどである。
無線クライアント−サーバ通信システム300内のユーザを相互認証するのに、WiFi(登録商標)クライアントモジュール345とサーバモジュール145aが、WiFi(登録商標)ユーザオーセンティケータ140aを協力して使用することができる。WiFi(登録商標)ホットスポット315空間に入ると、WiFi(登録商標)アクセスポイント320(1)を介するWiFi(登録商標)クライアントモジュール345とWiFi(登録商標)ユーザオーセンティケータ140aの間の通信が、一部の実施形態において、行われることが可能である。移動デバイス105は、WiFi(登録商標)ホットスポット315においてWiFi(登録商標)ネットワーク310に認証イベントを示すことができる。認証イベントは、ユーザが、WiFi(登録商標)ネットワーク310へのアクセスを所望する際に、さらに/または移動デバイス305が、WiFi(登録商標)ネットワーク310にアクセスするためにWiFi(登録商標)ホットスポット315と対話する際に、生成されることが可能である。
認証イベントに応答して、WiFi(登録商標)クライアントモジュール345は、サーバモジュール145aに関連するWiFi(登録商標)オーセンティケータ140aと対話して、移動デバイス305が、WiFi(登録商標)ネットワーク310に関連するアクセスポイント320(1)に接続することを可能にすることができる。
次に図4を参照すると、本発明の一実施形態による、図1に示されるアクセス網100上のクライアント105を認証する方法を実施するための様式化された図が、示されている。アドレス110を有するアクセス網100は、クライアント105にサーバ115への早期のアクセスを可能にすることができる。ブロック400で、図1に示されるアクセス網100上のクライアント105の相互認証が、中間サーバ125において可能にされることが可能である。アクセス網100に対してクライアント105を互いに認証するのに、クライアント105とサーバ115の間の中間サーバ125が、使用されることが可能である。クライアント105とサーバ115との間の接続通信に応答して、クライアント105とアクセス網100の少なくともいずれかが、相互認証プロトコルをサポートするかどうかを、オーセンティケータ140が判定することができる。
判定ブロック405は、クライアント105と、アクセス網100に関連する中間サーバ125との間の接続通信をできる。ブロック410で、ゲートウェイ122が、アクセス網100を介するクライアント105とサーバ115との間の通信120a、120bに応答して、サーバ115からの第1のチャレンジ135aに対するクライアント105からの第1の応答130a、およびクライアント105からの第2のチャレンジ135bに対するサーバ115からの第2の応答130bに基づき、クライアント105を認証することを終える前に、アクセス網100へのアクセスを提供するためのアドレス110をクライアント105に割り当てることができる。
ブロック415で、相互認証プロトコルをアクセス網100がサポートしないと判定したことに応答して、オーセンティケータ140は、ブロック420に示されるとおり、クライアントに関するデフォルトの認証を使用することができる。ブロック425aで、オーセンティケータ140は、サーバ115からの第1のチャレンジ135aに対するクライアント105からの第1の応答130aを受信することができる。ブロック425bで、オーセンティケータ140は、クライアント105からの第2のチャレンジ135bに対するサーバ115からの第2の応答130bを受信することができる。
アクセス網100上でクライアント105に提供されるアクセスを有効化するのに、オーセンティケータ140は、判定ブロック430で、サーバ115からクライアント105に関する証明書の指示を受信することができる。オーセンティケータ140は、ブロック435で、第1の応答、および第2の応答に基づき、サーバ115に対してクライアントを認証することを終えることができる。
クライアント105に関する証明書の指示を使用することにより、オーセンティケータ140は、WiFi(登録商標)ホットスポット315に関連するアクセスポイント320(1)へのアクセスを移動デバイス305に提供することができる。サーバ115からのクライアント105に関する証明書の指示が、アクセスを認証する場合、ブロック435で、オーセンティケータ140は、クライアント105を認証することを終えることができる。しかし、サーバ115からのクライアント105に関する証明書の指示が、アクセス網100を認証することに失敗した場合、オーセンティケータ140を拒否することにより、アクセス網100上のクライアント105へのアクセスが拒否されることが可能である。クライアント105が、相互認証プロトコルをサポートしないと判定したことに応答して、ブロック445で、オーセンティケータ140は、ブロック450に示されるとおり、所定のポリシーを使用して、クライアント105を認証することができる。
本発明のいくつかの部分、および対応する詳細な説明は、ソフトウェア、あるいはコンピュータメモリ内部のデータビットに対する操作のアルゴリズムおよび記号表現に関して提示される。これらの説明および表現は、当業者が、自らの作業の実質を他の当業者に効果的に伝える説明および表現である。本明細書で使用され、さらに、一般的に使用されるアルゴリズムとは、所望される結果をもたらす自己矛盾のない一連のステップであると考えられる。これらのステップは、物理量の物理的な操作を要求するステップである。通常、必然的にではないが、これらの量は、格納される、転送される、組み合わされる、比較される、またはそれ以外で操作されることが可能な光信号、電気信号、または磁気信号の形態をとる。ときとして、主に一般的な用法の理由で、これらの信号をビット、値、要素、シンボル、文字、項、数などと呼ぶことが好都合であることが分かっている。
しかし、これら、および類似する用語のすべては、適切な物理量に関連付けられるべきであり、単に、これらの量に付けられた便利なラベルに過ぎないことに留意されたい。特に明記しない限り、または説明から明らかなとおり、「処理すること」または「算定すること」または「計算すること」または「判定すること」または「表示すること」などの用語は、コンピュータシステムのレジスタおよびメモリの内部の物理的な電子的量として表されるデータを操作して、コンピュータシステムメモリもしくはコンピュータシステムレジスタ、または他のそのような情報格納デバイス、情報伝送デバイス、もしくは情報表示デバイスの内部の物理量として同様に表される他のデータに変換するコンピュータシステム、または類似した電子コンピューティングデバイスのアクションおよびプロセスを指す。
また、本発明のソフトウェアによって実施される態様は、通常、何らかの形態のプログラム記憶媒体上に符号化される、または何らかのタイプの伝送媒体を介して実施されることに留意されたい。プログラム記憶媒体は、磁気型(たとえば、フロッピー(登録商標)ディスクまたはハードディスク)または光学型(たとえば、コンパクトディスク読み取り専用メモリ、つまり、「CD ROM」)であることが可能であり、読み取り専用型であっても、ランダムアクセス型であってもよい。同様に、伝送媒体は、対より線、同軸ケーブル、光ファイバ、または当技術分野で知られている他の何らかの適切な伝送媒体であることが可能である。本発明は、いずれの所与の実施形態の、これらの態様によっても限定されない。
前述した本発明は、添付の図を参照して説明される。様々な構造、システム、およびデバイスが、当業者によく知られている詳細で本発明を分かりにくくしないように、単に説明の目的で図面に概略で示される。それでも、添付の図面は、本発明の説明的な例を表し、説明するように含められている。本明細書で使用される語および句は、当業者によるそれらの語および句の理解と合致する意味を有するように理解されて、解釈されるべきである。用語または句の特別な定義、すなわち、当業者によって理解される通常の慣習的な意味とは異なる定義が、本明細書における用語または句の一貫した用法によって暗示されることは、まったく意図していない。ある用語、またはある句が、特別な意味、すなわち、当業者によって理解される以外の意味を有することが意図される限り、そのような特別な定義は、その用語または句に関する、その特別な定義を直接に、明瞭に与える定義の仕方で、本明細書で明確に示される。
本発明は、本明細書で、遠隔通信ネットワーク環境において役立つものとして例示されたが、本発明は、他の接続された環境にも応用される。たとえば、前述したデバイスの2つ以上が、ハードケーブル配線、無線周波数信号(たとえば、802.11(a)、802.11(b)、802.11(g)、Bluetooth(登録商標)など)、赤外線結合、電話線およびモデムなどの、デバイス間接続を介して一緒に結合されることが可能である。本発明は、2つ以上のユーザが、互いに接続され、互いに通信することができる任意の環境において応用されることが可能である。
本明細書の様々な実施形態で示される様々なシステムレイヤ、ルーチン、またはモジュールは、実行可能な制御ユニットであることが可能であることが、当業者には理解されよう。これらの制御ユニットには、マイクロプロセッサ、マイクロコントローラ、デジタルシグナルプロセッサ、プロセッサカード(1つまたは複数のマイクロプロセッサまたはコントローラを含む)、または制御デバイスもしくはコンピューティングデバイス、ならびに1つまたは複数の記憶デバイス内に含まれる実行可能命令が含まれることが可能である。ストレージデバイスには、データおよび命令を格納するための1つまたは複数のマシン可読記憶媒体が含まれることが可能である。記憶媒体には、DRAMまたはSRAM(ダイナミックランダムアクセスメモリまたはスタティックランダムアクセスメモリ)、EPROM(消去可能なプログラマブル読み取り専用メモリ)、EEPROM(電気的に消去可能なプログラマブル読み取り専用メモリ)、およびフラッシュメモリなどの半導体メモリデバイス、固定ディスク、フロッピー(登録商標)ディスク、リムーバブルディスクなどの磁気ディスク、テープを含む他の磁気媒体、およびCD(コンパクトディスク)またはDVD(デジタルビデオディスク)などの光媒体を含む、様々な形態のメモリが含まれることが可能である。様々なシステムにおける様々なソフトウェアレイヤ、ソフトウェアルーチン、またはソフトウェアモジュールを構成する命令は、それぞれの記憶デバイスの中に格納されることが可能である。これらの命令は、それぞれの制御ユニットによって実行されると、プログラミングされた動作を、対応するシステムに実行させる。
以上に開示される特定の実施形態は、本発明が、本明細書の教示を利用する当業者には明白な、異なるが、均等な仕方で変形され、実施されることが可能であるので、単に例示的である。さらに、本明細書で示される構成または設計の詳細に対する限定は、特許請求の範囲に記載される以外、まったく意図されていない。したがって、以上に開示される特定の実施形態は、変更または変形されることが可能であり、すべてのそのような変種が、本発明の範囲および趣旨に含まれることが、明白である。したがって、本明細書で求められる保護は、特許請求の範囲に記載される。
Claims (10)
- 無線ネットワーク上の、前記無線ネットワークに関連するサーバへのアクセスを可能にするアドレスを有するクライアントを認証する方法であって、
前記無線ネットワークを介する前記クライアントと前記サーバとの間の通信に応答して、前記サーバからの第1のチャレンジに対する前記クライアントからの第1の応答、および前記クライアントからの第2のチャレンジに対する前記サーバからの第2の応答に基づき、前記クライアントを認証することを終える前に、前記無線ネットワークへのアクセスを提供するための前記アドレスを前記クライアントに割り当てることを含む、方法。 - 前記クライアントからの前記第1の応答を前記サーバからの前記第2の応答と比較すること、および
前記第1の応答が前記第2の応答と合致する場合、前記サーバに対して前記クライアントを認証することをさらに含む、請求項1に記載の方法。 - 前記第1の応答および前記第2の応答に基づき、前記サーバに対して前記クライアントを認証することを終えるように、前記サーバからの前記第1のチャレンジに対する前記クライアントからの前記第1の応答、および前記クライアントからの前記第2のチャレンジに対する前記サーバからの前記第2の応答を受信することを含む、請求項2に記載の方法。
- 前記サーバから前記第2の応答を受信することが、
前記無線ネットワーク上で前記クライアントに提供される前記アクセスを有効化するように、前記サーバから前記クライアントに関する証明書の指示を受信すること、
WiFi(登録商標)ホットスポットに関連するアクセスポイントへのアクセスを移動デバイスに提供するように、前記クライアントに関する証明書の前記指示を使用すること、
前記サーバからの前記クライアントに関する証明書の前記指示が、前記アクセスを認証した場合、前記クライアントを認証することを終えること、および
前記サーバからの前記クライアントに関する証明書の前記指示が、前記アクセスを認証することに失敗した場合、前記無線ネットワーク上で前記クライアントにアクセスを拒否することをさらに含む、請求項3に記載の方法。 - 前記クライアントと前記サーバの間の中間サーバにおいて、前記無線ネットワークに対して前記クライアントを互いに認証することを可能にすること、
前記クライアントと前記サーバとの間の接続通信に応答して、前記クライアントと前記無線ネットワークの少なくともいずれかが相互認証プロトコルをサポートするかどうかを判定すること、
前記無線ネットワークが前記相互認証プロトコルをサポートしないと判定したことに応答して、前記クライアントに関するデフォルトの認証を使用すること、および
前記クライアントが前記相互認証プロトコルをサポートしないと判定したことに応答して、所定のポリシーを使用して、前記クライアントを認証することをさらに含む、請求項1に記載の方法。 - WiFi(登録商標)ネットワークに対して、前記WiFi(登録商標)ネットワークに関連するサーバへのアクセスを可能にするアドレスを有するクライアントを認証する無線クライアント−サーバ通信システムであって、
前記無線ネットワークに関連するアクセスポイントを介して前記無線ネットワークに対して互いに認証するための命令を格納するクライアントモジュールを含むクライアントと、
オーセンティケータを使用して前記クライアントと通信するように構成されたサーバとを含み、前記サーバが、前記無線ネットワークを介する前記クライアントと前記サーバとの間の通信に応答して、前記無線ネットワークに対して前記クライアントを互いに認証する命令を格納するサーバモジュールを含み、前記オーセンティケータが、前記サーバからの第1のチャレンジに対する前記クライアントからの第1の応答、および前記クライアントからの第2のチャレンジに対する前記サーバからの第2の応答に基づき、前記クライアントを認証することを終える前に、前記WiFi(登録商標)ネットワークへのアクセスを提供するための前記アドレスを前記クライアントに割り当てる、システム。 - 前記オーセンティケータが、前記クライアントからの前記第1の応答を前記サーバからの前記第2の応答と比較し、前記第1の応答が前記第2の応答と合致する場合、前記サーバに対して前記クライアントを認証する、請求項6に記載の無線クライアント−サーバ通信システム。
- 前記オーセンティケータが、前記サーバからの前記第1のチャレンジに対する前記クライアントからの前記第1の応答、および前記クライアントからの前記第2のチャレンジに対する前記サーバからの前記第2の応答を受信して、前記第1の応答および前記第2の応答に基づき、前記サーバに対して前記クライアントを認証することを終える、請求項7に記載の無線クライアント−サーバ通信システム。
- アクセス網に対して、前記アクセス網に関連するサーバへのアクセスを可能にするアドレスを有するクライアントを認証する無線クライアント−サーバ通信システムにおけるクライアントであって、
前記アクセス網を介するクライアントモジュールとサーバモジュールとの間の通信に応答して、前記サーバからの第1のチャレンジに対する前記クライアントからの第1の応答、および前記クライアントからの第2のチャレンジに対する前記サーバからの第2の応答に基づき、前記クライアントを認証することを終える前に、前記アクセス網へのアクセスを提供するための前記アドレスを前記クライアントに割り当てる中間サーバを介して、前記サーバモジュールに対して互いに認証するための命令を格納するクライアントモジュールを含み、
前記クライアントが、移動デバイスであり、
前記アクセス網が、WiFi(登録商標)ネットワークである、クライアント。 - アクセス網に対して、前記アクセス網に関連するサーバへのアクセスを可能にするアドレスを有するクライアントを認証する無線クライアント−サーバ通信システムにおけるサーバであって、
前記アクセス網を介するクライアントモジュールとサーバモジュールとの間の通信に応答して、前記サーバからの第1のチャレンジに対する前記クライアントからの第1の応答、および前記クライアントからの第2のチャレンジに対する前記サーバからの第2の応答に基づき、前記クライアントを認証することを終える前に、前記アクセス網へのアクセスを提供するための前記アドレスを前記クライアントに割り当てる中間サーバを介して、前記クライアントモジュールに対して互いに認証するための命令を格納するサーバモジュールを含み、
前記サーバが、WiFi(登録商標)ネットワークに関連する認証サーバである、サーバ。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/344,522 US20070180499A1 (en) | 2006-01-31 | 2006-01-31 | Authenticating clients to wireless access networks |
| PCT/US2007/002495 WO2007089756A2 (en) | 2006-01-31 | 2007-01-29 | Address assignment by a dhcp server while client credentials are checked by an authentication server |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009525686A true JP2009525686A (ja) | 2009-07-09 |
Family
ID=38240225
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008553302A Pending JP2009525686A (ja) | 2006-01-31 | 2007-01-29 | クライアント証明書が認証サーバによって確認されている間のdhcpサーバによるアドレス割り当て |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20070180499A1 (ja) |
| EP (1) | EP1982501A2 (ja) |
| JP (1) | JP2009525686A (ja) |
| KR (1) | KR20080093431A (ja) |
| CN (1) | CN101379795A (ja) |
| WO (1) | WO2007089756A2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015118971A1 (ja) * | 2014-02-06 | 2015-08-13 | アプリックスIpホールディングス株式会社 | 通信システム |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7356539B2 (en) | 2005-04-04 | 2008-04-08 | Research In Motion Limited | Policy proxy |
| US7624181B2 (en) * | 2006-02-24 | 2009-11-24 | Cisco Technology, Inc. | Techniques for authenticating a subscriber for an access network using DHCP |
| US7853708B2 (en) * | 2006-02-24 | 2010-12-14 | Cisco Technology, Inc. | Techniques for replacing point to point protocol with dynamic host configuration protocol |
| US7809354B2 (en) * | 2006-03-16 | 2010-10-05 | Cisco Technology, Inc. | Detecting address spoofing in wireless network environments |
| US20070283142A1 (en) * | 2006-06-05 | 2007-12-06 | Microsoft Corporation | Multimode authentication using VOIP |
| US20080244262A1 (en) * | 2007-03-30 | 2008-10-02 | Intel Corporation | Enhanced supplicant framework for wireless communications |
| US8285875B2 (en) * | 2009-01-28 | 2012-10-09 | Juniper Networks, Inc. | Synchronizing resource bindings within computer network |
| US8555347B2 (en) * | 2009-12-22 | 2013-10-08 | Juniper Networks, Inc. | Dynamic host configuration protocol (DHCP) authentication using challenge handshake authentication protocol (CHAP) challenge |
| US8260902B1 (en) * | 2010-01-26 | 2012-09-04 | Juniper Networks, Inc. | Tunneling DHCP options in authentication messages |
| US8560658B2 (en) * | 2010-03-23 | 2013-10-15 | Juniper Networks, Inc. | Managing distributed address pools within network devices |
| EP2372971A1 (en) | 2010-03-30 | 2011-10-05 | British Telecommunications Public Limited Company | Method and system for authenticating a point of access |
| EP2383955B1 (en) * | 2010-04-29 | 2019-10-30 | BlackBerry Limited | Assignment and distribution of access credentials to mobile communication devices |
| US8838706B2 (en) | 2010-06-24 | 2014-09-16 | Microsoft Corporation | WiFi proximity messaging |
| US8631100B2 (en) | 2010-07-20 | 2014-01-14 | Juniper Networks, Inc. | Automatic assignment of hardware addresses within computer networks |
| US20120198080A1 (en) * | 2010-08-04 | 2012-08-02 | Yang Ju-Ting | Method of Performing Multiple Connection and Related Communication Device |
| US9319880B2 (en) | 2010-09-15 | 2016-04-19 | Intel Corporation | Reformatting data to decrease bandwidth between a video encoder and a buffer |
| US8782211B1 (en) | 2010-12-21 | 2014-07-15 | Juniper Networks, Inc. | Dynamically scheduling tasks to manage system load |
| DE102011110898A1 (de) | 2011-08-17 | 2013-02-21 | Advanced Information Processing Systems Sp. z o.o. | Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems, sowie zugehöriges Computersystem, Authentifizierungsserver und Kommunikationsgerät mit Authentifizierungsapplikation |
| JP5934364B2 (ja) | 2011-09-09 | 2016-06-15 | インテル コーポレイション | Soap−xml技術を使用したwi−fiホットスポットのための安全なオンラインサインアップ及び提供のためのモバイルデバイス及び方法 |
| WO2013090940A1 (en) * | 2011-12-16 | 2013-06-20 | Huawei Technologies Co., Ltd. | System and method for concurrent address allocation and authentication |
| US20130230036A1 (en) * | 2012-03-05 | 2013-09-05 | Interdigital Patent Holdings, Inc. | Devices and methods for pre-association discovery in communication networks |
| CN102665197B (zh) * | 2012-04-18 | 2015-11-25 | 深圳市天和荣视频技术有限公司 | 一种配置wifi设备的方法 |
| WO2014133588A1 (en) * | 2013-03-01 | 2014-09-04 | Intel Corporation | Techniques for establishing access to a local wireless network |
| CN103987075B (zh) * | 2014-05-29 | 2018-03-27 | 谷晓鹏 | 一种手机app添加上网设备的方法 |
| US9749353B1 (en) | 2015-03-16 | 2017-08-29 | Wells Fargo Bank, N.A. | Predictive modeling for anti-malware solutions |
| US9794265B1 (en) | 2015-03-16 | 2017-10-17 | Wells Fargo Bank, N.A. | Authentication and authorization without the use of supplicants |
| WO2017125265A1 (en) * | 2016-01-19 | 2017-07-27 | British Telecommunications Public Limited Company | Authentication of data transmission devices |
| KR101710901B1 (ko) * | 2016-03-29 | 2017-02-28 | (주)엘메카 | 환자의 상태 정보를 기초로 자율 구동되는 인공 지능형 의료용 석션기 및 인공 지능형 의료용 석션기의 제어 방법 |
| CN108432292A (zh) * | 2016-09-27 | 2018-08-21 | 华为技术有限公司 | 一种WiFi连接方法和设备 |
| WO2018164486A1 (ko) | 2017-03-08 | 2018-09-13 | 삼성전자주식회사 | 전자 장치 및 그의 무선 통신 연결 제어 방법 |
| CN107959930B (zh) * | 2017-11-20 | 2020-11-06 | 新华三技术有限公司 | 终端接入方法、装置、Lora服务器及Lora终端 |
| US10992637B2 (en) | 2018-07-31 | 2021-04-27 | Juniper Networks, Inc. | Detecting hardware address conflicts in computer networks |
| IL283346B2 (en) * | 2018-11-26 | 2024-04-01 | Forticode Ltd | Mutual authentication of computer systems on an insecure network |
| US11165744B2 (en) | 2018-12-27 | 2021-11-02 | Juniper Networks, Inc. | Faster duplicate address detection for ranges of link local addresses |
| US10931628B2 (en) | 2018-12-27 | 2021-02-23 | Juniper Networks, Inc. | Duplicate address detection for global IP address or range of link local IP addresses |
| US11246028B2 (en) | 2019-03-14 | 2022-02-08 | Cisco Technology, Inc. | Multiple authenticated identities for a single wireless association |
| US10965637B1 (en) | 2019-04-03 | 2021-03-30 | Juniper Networks, Inc. | Duplicate address detection for ranges of global IP addresses |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001071984A1 (en) * | 2000-03-20 | 2001-09-27 | At & T Corporation | Method and apparatus for coordinating a change in service provider between a client and a server with identity based service access management |
| WO2004084464A2 (en) * | 2003-03-14 | 2004-09-30 | Thomson Licensing | A flexible wlan access point architecture capable of accommodating different user devices |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0995288B1 (de) * | 1997-07-10 | 2008-02-20 | T-Mobile Deutschland GmbH | Verfahren und vorrichtung zur gegenseitigen authentisierung von komponenten in einem netz mit dem challenge-response-verfahren |
| US6918035B1 (en) * | 1998-07-31 | 2005-07-12 | Lucent Technologies Inc. | Method for two-party authentication and key agreement |
| US6304969B1 (en) * | 1999-03-16 | 2001-10-16 | Webiv Networks, Inc. | Verification of server authorization to provide network resources |
| AU4603100A (en) * | 1999-05-03 | 2000-11-17 | Nokia Corporation | Sim based authentication mechanism for dhcrv4/v6 messages |
| FI111208B (fi) * | 2000-06-30 | 2003-06-13 | Nokia Corp | Datan salauksen järjestäminen langattomassa tietoliikennejärjestelmässä |
| US7020773B1 (en) * | 2000-07-17 | 2006-03-28 | Citrix Systems, Inc. | Strong mutual authentication of devices |
| US6795709B2 (en) * | 2001-04-23 | 2004-09-21 | Telcordia Technologies, Inc. | Method and apparatus for dynamic IP address allocation for wireless cells |
| EP1523129B1 (en) * | 2002-01-18 | 2006-11-08 | Nokia Corporation | Method and apparatus for access control of a wireless terminal device in a communications network |
| BRPI0215728B1 (pt) * | 2002-05-01 | 2016-06-07 | Ericsson Telefon Ab L M | método para permitir uma autenticação baseada em sim, controlador de acesso, terminal sem fio e sistema de telecomunicação |
| US8630414B2 (en) * | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| US20080301298A1 (en) * | 2002-07-29 | 2008-12-04 | Linda Bernardi | Identifying a computing device |
| AU2003276588A1 (en) * | 2002-11-18 | 2004-06-15 | Nokia Corporation | Faster authentication with parallel message processing |
| US7512794B2 (en) * | 2004-02-24 | 2009-03-31 | Intersil Americas Inc. | System and method for authentication |
| US7421582B2 (en) * | 2004-05-28 | 2008-09-02 | Motorola, Inc. | Method and apparatus for mutual authentication at handoff in a mobile wireless communication network |
| US7760882B2 (en) * | 2004-06-28 | 2010-07-20 | Japan Communications, Inc. | Systems and methods for mutual authentication of network nodes |
| US7567804B1 (en) * | 2004-11-12 | 2009-07-28 | Sprint Spectrum L.P. | Method and system for establishing wireless IP connectivity |
-
2006
- 2006-01-31 US US11/344,522 patent/US20070180499A1/en not_active Abandoned
-
2007
- 2007-01-29 EP EP07762936A patent/EP1982501A2/en not_active Withdrawn
- 2007-01-29 CN CNA2007800039508A patent/CN101379795A/zh active Pending
- 2007-01-29 KR KR1020087018892A patent/KR20080093431A/ko not_active Application Discontinuation
- 2007-01-29 WO PCT/US2007/002495 patent/WO2007089756A2/en active Application Filing
- 2007-01-29 JP JP2008553302A patent/JP2009525686A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001071984A1 (en) * | 2000-03-20 | 2001-09-27 | At & T Corporation | Method and apparatus for coordinating a change in service provider between a client and a server with identity based service access management |
| WO2004084464A2 (en) * | 2003-03-14 | 2004-09-30 | Thomson Licensing | A flexible wlan access point architecture capable of accommodating different user devices |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015118971A1 (ja) * | 2014-02-06 | 2015-08-13 | アプリックスIpホールディングス株式会社 | 通信システム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101379795A (zh) | 2009-03-04 |
| KR20080093431A (ko) | 2008-10-21 |
| WO2007089756A3 (en) | 2007-10-18 |
| EP1982501A2 (en) | 2008-10-22 |
| WO2007089756A2 (en) | 2007-08-09 |
| US20070180499A1 (en) | 2007-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2009525686A (ja) | クライアント証明書が認証サーバによって確認されている間のdhcpサーバによるアドレス割り当て | |
| US7673146B2 (en) | Methods and systems of remote authentication for computer networks | |
| US10425808B2 (en) | Managing user access in a communications network | |
| CN106105134B (zh) | 用于改进端到端数据保护的方法和装置 | |
| US7194763B2 (en) | Method and apparatus for determining authentication capabilities | |
| US9825937B2 (en) | Certificate-based authentication | |
| EP2051432B1 (en) | An authentication method, system, supplicant and authenticator | |
| JP5199405B2 (ja) | 通信システムにおける認証 | |
| US8019082B1 (en) | Methods and systems for automated configuration of 802.1x clients | |
| KR100762644B1 (ko) | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 | |
| US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
| US20060019635A1 (en) | Enhanced use of a network access identifier in wlan | |
| US20090217048A1 (en) | Wireless device authentication between different networks | |
| WO2011017924A1 (zh) | 无线局域网的认证方法、系统、服务器和终端 | |
| US11277399B2 (en) | Onboarding an unauthenticated client device within a secure tunnel | |
| KR100527631B1 (ko) | Ad-hoc 네트워크의 단말기에서 사용자 인증 시스템및 그 방법 | |
| Gollier et al. | SSID Confusion: Making Wi-Fi Clients Connect to the Wrong Network | |
| Dunmore et al. | of Deliverable: Framework for the Support of IPv6 Wireless LANs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100128 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111226 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120313 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120814 |