JP2010503317A - ネットワーク信用証明書を提供するシステムおよび方法 - Google Patents

ネットワーク信用証明書を提供するシステムおよび方法 Download PDF

Info

Publication number
JP2010503317A
JP2010503317A JP2009527410A JP2009527410A JP2010503317A JP 2010503317 A JP2010503317 A JP 2010503317A JP 2009527410 A JP2009527410 A JP 2009527410A JP 2009527410 A JP2009527410 A JP 2009527410A JP 2010503317 A JP2010503317 A JP 2010503317A
Authority
JP
Japan
Prior art keywords
network
credential
credential request
digital device
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009527410A
Other languages
English (en)
Other versions
JP2010503317A5 (ja
JP5368307B2 (ja
Inventor
ウィン,サイモン
ゴードン,ジョン
Original Assignee
デバイススケープ・ソフトウェア・インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デバイススケープ・ソフトウェア・インコーポレーテッド filed Critical デバイススケープ・ソフトウェア・インコーポレーテッド
Publication of JP2010503317A publication Critical patent/JP2010503317A/ja
Publication of JP2010503317A5 publication Critical patent/JP2010503317A5/ja
Application granted granted Critical
Publication of JP5368307B2 publication Critical patent/JP5368307B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

ネットワーク信用証明書を提供する例示的な方法およびシステムが述べられる。この例示的な方法は、ネットワーク・デバイスを介してディジタル・デバイスから信用証明書要求を受け取ること、その信用証明書要求の中にある少なくとも一部の情報に基づいて、ネットワーク・レコードを識別すること、このネットワーク・レコードに基づいて、複数のネットワーク信用証明書から1つのネットワーク信用証明書を取得すること、および、複数のネットワーク信用証明書から取得されたネットワーク信用証明書含む信用証明書要求応答を、上記ディジタル・デバイスに送ることを含む。

Description

本発明は、一般に、通信ネットワークにアクセスすることに関する。さらに具体的に言えば、本発明は、無線通信ネットワークへの自動アクセスに関する。
ネットワークを使用して情報にアクセスすることの高まりから、様々な活動に対して、ネットワーク通信への依存度がさらに大きくなってきた。このような依存度とともに、ネットワーク・アクセスが至る所に存在するという期待が大きくなってくる。モバイル・ユーザ用のネットワーク・アクセスは、無線テクノロジの向上により、とりわけ高まってきた。様々なセルラ(例えば、GSM、CDMAなど)、ワイファイ(Wi−Fi)(すなわち、IEEE802.11)、ワイマックス(WiMAX)(すなわち、IEEE802.16)、および他のテクノロジにより、潜在的なネットワーク・ユーザに対して広範囲のアクセス・オプションが可能になってきた。多くの無線アクセス・ポイントすなわち「ホットスポット」は、現地の地理的区域(ときには、特定の勤務先住所または他の住所と同じくらい細かいこともある)とだけアクセス可能である。さらに、効果的に配置されたホットスポットは、種々のグループの人々に対して、公衆または専用ネットワーク・アクセスを実現できる。
ホットスポットの所有者または管理者は、ユーザ・アクセスが可能であるためには、パスワードなどを要求する。その結果、複数のホットスポットのユーザは、ストアしたり、覚えておくなどして、多数のパスワードを管理しなければならないことになる。多くのユーザは、ホットスポットにアクセスするのに用いるラップトップ・コンピュータ上に自分のパスワードをストアできる。しかしながら、ホットスポットにアクセスすることのできるデバイスがすべてラップトップ・コンピュータであるとは限らない。すなわち、携帯電話、携帯情報端末(PDA)、および他の多くのデバイスは、今では、無線アクセスに対応している。あいにく、ユーザは容易に、上記デバイスにパスワードを入力したり、あるいは、上記デバイスの中にパスワードをストアすることができない場合が多い。例えば、無線アクセスに対応している一部のデバイスは、キーボードを持たないことがある。デバイスがキーボードを含むときでも、キーボードはしばしば小さく、また、特に指先の器用さが乏しいユーザでは、キーボードの機能が限られることがある。
ユーザがラップトップ・コンピュータ上に自分のパスワードをストアするときには、ユーザは、まず最初にラップトップ・コンピュータにアクセスして、正しいパスワードをラップトップ・コンピュータの中にストアしなければならない。パスワードが変わると、ユーザは、ラップトップ・コンピュータに入っているパスワードを更新しなければならない。さらに、ユーザ名とパスワードをデバイスにストアさせることは、万一、デバイスが紛失したり、盗まれることになれば、セキュリティの問題をもたらす。
さらに、ユーザは、一般に、パスワード、ユーザ名を入力し、かつwebサイトを渡り歩いて、ネットワーク・アクセスを得なければならない。このようなプロセスは時間がかかり、また、ユーザは、誤った情報を入力して、データを再入力せざるを得なくなることがある。
ユーザがパスワードをマニュアル入力するときは、難しいパスワードを記憶しようとしない。その結果、簡単なパスワードでのアクセスは、ハッキングを受けやすく、したがって、ユーザのネットワーク・アクセス、ホットスポット、および/または、ユーザの個人情報を危うくすることがある。さらに、ユーザの簡単なパスワードがハッキングされるか、あるいは簡単に推測される場合には、ユーザのネットワーク・アクセスが盗まれることがある。
ネットワーク・アクセスに関してネットワーク信用証明書を提供する例示的な方法およびシステムが述べられる。この例示的な方法は、ネットワーク・デバイスを介してディジタル・デバイスから信用証明書要求を受け取ること、その信用証明書要求の中にある少なくとも一部の情報に基づいて、ネットワーク・レコードを識別すること、このネットワーク・レコードに基づいて、複数のネットワーク信用証明書から1つのネットワーク信用証明書を取得すること、および、複数のネットワーク信用証明書から取得されたネットワーク信用証明書含む信用証明書要求応答を、上記ディジタル・デバイスに送ることを含む。
この方法はさらに、信用証明書要求の復号化(平文化)、信用証明書要求の認証、および、信用証明書要求応答の暗号化を含み得る。この方法はさらに、ディジタル・デバイスに基づいて、暗号鍵の取得を含んでも良い。信用証明書要求は、ネットワーク・デバイスの標準プロトコルで受け取られる。この標準プロトコルはDNSである。
信用証明書要求は、場所(ロケーション)識別子を含に得る。この方法はさらに、ディジタル・デバイスから確認アクセス応答を受けることも含み得る。
ネットワーク信用証明書を提供する例示的なシステムは、信用証明書要求モジュールと信用証明書要求応答モジュールを含み得る。信用証明書要求モジュールは、ディジタル・デバイスから信用証明書要求を、ネットワーク・デバイスを介して受けるように構成される。信用証明書要求応答モジュールは、その信用証明書要求中の少なくとも一部の情報に基づいて、ネットワーク・レコードを識別し、そのネットワーク・レコードに基づいて、複数のネットワーク信用証明書から1つのネットワーク信用証明書を取得し、そのネットワーク信用証明書が含まれる信用証明書要求応答を上記ディジタル・デバイスに送るように構成される。
コンピュータ可読媒体にプログラムが記憶されていても良い。そのプログラムは、ネットワーク信用証明書を提供する方法を、プロセッサで実行できる。その方法は、ネットワーク・デバイスを介してディジタル・デバイスから信用証明書要求を受けること、その信用証明書要求の中にある少なくとも一部の情報に基づいて、ネットワーク・レコードを識別すること、このネットワーク・レコードに基づいて、複数のネットワーク信用証明書から1つのネットワーク信用証明書を取得すること、および、複数のネットワーク信用証明書から取得されたネットワーク信用証明書が含まれる信用証明書要求応答を、上記ディジタル・デバイスに送ることを含む。
本発明の実施態様を実施できる環境の概略図である。 例示的な信用証明書サーバのブロック図である。 ディジタル・デバイスにネットワーク・アクセスを提供する例示的なプロセスのフローチャートである。 例示的な信用証明書要求のブロック図である。 例示的な信用証明書要求応答のブロック図である。 ネットワーク信用証明書を提供する例示的な方法のフローチャートである。 ネットワーク信用証明書を提供する例示的な方法の別のフローチャートである。 ネットワーク信用証明書を受け取って、ストアする例示的な方法のフローチャートである。 例示的な信用証明書サーバのブロック図である。
本発明の実施態様は、ネットワーク信用証明書を提供するシステムおよび方法を提供する。例示的な実施態様では、信用証明書サーバは、ホットスポットでのディジタル・デバイスからネットワーク信用証明書の要求を受ける。この要求は、ホットスポットから信用証明書サーバに中継される標準プロトコルとしてフォーマットされ得る。信用証明書サーバは、この要求の中に入っている少なくとも一部の情報に基づいて、ネットワーク・レコードを識別して、このネットワーク・レコードと関連づけられるネットワーク信用証明書を上記ディジタル・デバイスに送る。ディジタル・デバイスは、ネットワーク信用証明書を受け取って、それらのネットワーク信用証明書をネットワーク・デバイスに提供して、ネットワーク・アクセスを得る。
図1は、本発明の実施態様を実施できる環境100の概略図を示している。例示的な実施態様では、ユーザは、ディジタル・デバイス102を用いて、ホットスポットに入る。ディジタル・デバイス102は、信用証明書要求を標準プロトコルとして、ネットワーク・デバイス104を介して自動的に送る。この信用証明書要求は、信用証明書サーバ116に転送される。信用証明書サーバ116は、信用証明書要求の中にある情報に基づいて、信用証明書要求応答をディジタル・デバイス102に送り返す。この信用証明書要求応答はネットワーク信用証明書を含み、そのネットワーク信用証明書は、ディジタル・デバイス102によって、通信ネットワーク114へのアクセスを得るために、ネットワーク・デバイス104、認証サーバ108、またはアクセス・コントローラ112へと提供され得る。
様々な実施態様では、ホットスポットは、ネットワーク・デバイス104、認証サーバ108、DNSサーバ110、アクセス・コントローラ112を含み、それらはローカル・エリア・ネットワーク106(例えば、『ウォールド・ガーデン』)に結合される。ネットワーク・デバイス104は、デジタル・デバイス102が、ローカル・エリア・ネットワーク106を介して認証サーバ108、DNSサーバ110、およびアクセス・コントローラ112と通信することを可能にするアクセス・ポイントを包含できる。ディジタル・デバイス102は、ラップトップ、携帯電話、カメラ、携帯情報端末(PDA)、または他の任意のコンピューティング・デバイスを含み得る。認証サーバ108は、ディジタル・デバイス102が通信ネットワーク114にアクセスする前に、ディジタル・デバイス102に対してネットワーク信用証明書を求めるサーバである。DNSサーバ110は、ローカル・エリア・ネットワーク106を介して、DNSサービスを提供する。DNSサーバ110は、通信ネットワーク114を横切って、他のDNSサーバ(図示されてない)に要求を中継することができる。アクセス・コントローラ112は、ネットワーク・デバイス104に動作可能に結合されたデバイスが、通信ネットワーク114に結合されたデバイスと通信できるようにするルーターまたはブリッジなどのアクセス・デバイスである。
図1中のホットスポットは、ローカル・エリア・ネットワーク106に結合された別々のサーバを示しているが、当業者であれば、ローカル・エリア・ネットワーク106に結合されたデバイス(例えば、サーバ、ディジタル・デバイス、アクセス・コントローラ、ネットワーク・デバイス)はいくつあってもよいことが理解されよう。いくつかの実施態様では、ローカル・エリア・ネットワーク106は省略可能である。一例では、認証サーバ108、DNSサーバ110、アクセス・コントローラ112は、ネットワーク・デバイス104にじかに結合される。様々な実施態様では、認証サーバ108、DNSサーバ110、アクセス・コントローラ112は、1つないし複数のサーバ中において又は1つないし複数のディジタル・デバイス中において組み合わされる。さらに、図1は無線アクセスを示しているが、ディジタル・デバイス102は、無線または有線(テン・ベース・ティ(10baseT)など)を介してネットワーク・デバイス104に結合され得る。
通信ネットワーク114にアクセスするためには、認証サーバ108は、ホットスポットにアクセスするための1つまたは複数のネットワーク信用証明書を提供するようにディジタル・デバイス102に対して求め得る。このネットワーク信用証明書は、例えば、このホットスポットと関連づけられるアカウント用のユーザ名とパスワードを含む。代替実施態様では、ユーザ名およびパスワード以外のネットワーク信用証明書が利用され得る。
例示的な実施態様により、ディジタル・デバイス102は、信用証明書サーバ116からネットワーク信用証明書を動的に獲得でき。ディジタル・デバイス102は、ディジタル・デバイス102(または、ディジタル・デバイス102のユーザ)のアイデンティティと、ネットワーク・デバイス104に関する詳細(例えば、ネットワーク・デバイス104またはワイファイ(Wi−Fi)サービス・プロバイダの名前)とを含む信用証明書要求を信用証明書サーバ116に送る。
一例では、ディジタル・デバイス102がホットスポットに入るときに、ネットワーク・デバイス104は、DNSクエリが提出されるIPアドレスを、例えばDHCP(Dynamic Host Configuration Protocol)を介して提供し得る。この信用証明書要求は標準プロトコルとしてフォーマットされる。一例では、信用証明書要求はDNS要求としてフォーマットされ得る。この信用証明書要求は、ネットワーク・インフラ(例えば、アクセス・コントローラ112)によりブロック(阻止)されないように、標準のレコード・タイプを含むテキスト・レコード要求(例えば、TXT)である。ネットワーク信用証明書を得るプロセスに関するさらに詳細な説明が、2007年9月6日に出願された「System and Method for Acquiring Network Credentials(ネットワーク信用証明書を得るシステムおよび方法)」と称する同時係属中の米国特許出願第____号に与えられており、これは、参照によって本明細書中に組み入れられている。
いくつかの実施態様では、信用証明書要求がDNSサーバ110で受け取られる。DNSサーバ110は、この信用証明書要求を信用証明書サーバ116に転送して、ネットワーク信用証明書を獲得し得る。例示的な実施態様では、信用証明書サーバ116は、ルックアップ(探索)を実施して、適正なネットワーク信用証明書(1つまたは複数)を決定し、そのネットワーク信用証明書をDNSサーバ110に送り返し得る。DNSサーバ110は、そのネットワーク信用証明書を、要求側のディジタル・デバイス102に転送して返す。様々な実施態様では、この適正なネットワーク信用証明書(1つまたは複数)は、信用証明書要求の伝送と同一の経路を介して、信用証明書サーバ116からディジタル・デバイス102に送られる。
図1中にはただ1つのDNSサーバ110が示されているが、信用証明書要求は、それが信用証明書サーバ116で受け取られる前に、DNSサーバを含む(ただし、DNSサーバには限定されない)任意の数のサーバを介して転送され得る。他の実施態様では、信用証明書要求は、ネットワーク・デバイス104から信用証明書サーバ116に直接に転送される。
いくつかの実施態様では、信用証明書サーバ116からの信用証明書要求応答は、ユーザ名、パスワード、および/または、ログイン・プロシージャ情報を含む。このログイン・プロシージャ情報は、例えば、HTMLフォーム要素名、提出URL、または提出プロトコルを含む。いくつかの実施態様では、ネットワーク信用証明書応答は、ディジタル・デバイス102に送り返す前に、ディジタル・デバイス102と関連づけられる暗号鍵を用いて、信用証明書サーバ116により暗号化される。
ディジタル・デバイス102がネットワーク信用証明書応答を受け取ると、ディジタル・デバイス102は、認証応答において、ネットワーク信用証明書(ネットワーク信用証明書応答から取得される)を、ネットワーク・デバイス104に提出(提示)する。例示的な実施態様では、認証応答は、認証サーバ108に転送されて、検証される。いくつかの実施態様では、認証サーバ108は、AAAサーバまたはRADIUSサーバを含む。ネットワーク・アクセスを得るプロセスに関するさらに詳細な説明が、2007年9月6日に出願された「System and Method for Obtaining Network Access(ネットワーク・アクセスを得るシステムおよび方法)」と称する同時係属中の米国特許出願第____号に与えられており、これは、参照によって本明細書中に組み入れられている。
図1は例示的なものであることに留意すべきである。代替実施態様は、さらに多いか、さらに少ないか、あるいは機能的に同等な構成要素を含み得るが、それでも、本実施態様の範囲内にある。例えば、前に説明されたように、様々なサーバ(例えば、DNSサーバ110、信用証明書サーバ116、認証サーバ108)の機能が組み合わされて、1つまたは2つのサーバとなり得る。すなわち、例えば、認証サーバ108とDNSサーバ110が同一サーバを含むか、あるいは、認証サーバ108、DNSサーバ110、アクセス・コントローラ112の機能が組み合わされて、単一のデバイスとされて良い。
図2は、例示的な信用証明書サーバ116のブロック図である。信用証明書サーバ116は、認証モジュール200、ネットワーク・モジュール202、信用証明書要求モジュール204、信用証明書要求応答モジュール206、暗号化/復号化モジュール208、ネットワーク・レコード記憶装置210、暗号鍵記憶装置212を含む。モジュールは、個々に、または組み合わせて、ソフトウェア、ハードウェア、ファームウェア、または回路を含む。
認証モジュール200は、信用証明書要求を認証して、信用証明書要求応答にセキュリティを与えるように構成される。様々な実施態様では、ディジタル・デバイス102は、暗号鍵(例えば、共用暗号鍵、または鍵ペアの一部である暗号鍵)を用いて、信用証明書要求を暗号化するか、あるいは信用証明書要求にディジタル署名をし得る。認証モジュール200は、暗号鍵記憶装置212から取得された適正な暗号鍵を用いて信用証明書要求を暗号化することで、信用証明書要求を認証する。一例では、ディジタル・デバイス102は、信用証明書要求のハッシュを生成して、このハッシュを、信用証明書要求の暗号化部分の中にストアする。認証モジュール200は、この信用証明書要求を復号化(平文化)して、信用証明書要求応答のハッシュを生成し、この生成されたハッシュを、信用証明書要求の中に入っているハッシュと比較することで、認証を行う。
他の実施態様では、ディジタル・デバイス102は、ナンス(nonce)(すなわち、ランダム値)を生成して、ナンスを、ディジタル署名された信用証明書要求の一部の中にストアできる。認証モジュール200は、ディジタル署名を復号化して、信用証明書要求を認証し、かつナンスを取得する。様々な実施態様では、信用証明書要求応答モジュール206が信用証明書要求応答(以下に述べられる)を生成するときに、認証モジュール200は、ナンスを、信用証明書要求応答の中に組み込む。次に、認証モジュール200または暗号化/復号化モジュール208は、信用証明書要求応答を暗号化する。ディジタル・デバイス102が、この信用証明書要求応答を復号化するときに、ディジタル・デバイス102は、この信用証明書要求応答からナンスを取得して、そのナンスを、信用証明書要求の中に送られたナンスと比較することで、さらなる認証を行う。
ネットワーク・モジュール202は、通信ネットワーク114を介して、信用証明書要求を受け取って、信用証明書要求応答を送るように構成される。
信用証明書要求モジュール204は、ネットワーク・モジュール202から信用証明書要求を受ける。この信用証明書要求は、標準プロトコルである。一例では、信用証明書要求は、UDPプロトコル(例えば、DNS)である。
例示的な実施態様では、信用証明書要求モジュール204は、信用証明書要求からDDIDおよびSSIDを取得する。DDIDは、ディジタル・デバイス102、ディジタル・デバイス102のユーザ、および/または、ネットワーク・レコードと関連づけられるユーザを識別(特定)する。SSIDは、ホットスポット、またはホットスポットのサービス・プロバイダ(すなわち、運営業者)を識別する。
信用証明書要求モジュール204または信用証明書要求応答モジュール206は、DDIDおよびSSIDに基づいて、ネットワーク・レコードを識別する。ネットワーク・レコードは、DDIDおよびSSIDと関連づけられる(直接または間接に(例えば、リレーショナル・データベース))レコードである。一例では、ネットワーク・レコードは、SSIDと関連づけられるホットスポットにて、DDIDと関連づけられるディジタル・デバイス102にネットワーク・アクセスを提供するのに必要なネットワーク信用証明書を含む。ネットワーク・レコードは、ネットワーク・レコード記憶装置210の中にストアされる。
信用証明書要求応答モジュール206は、信用証明書要求応答を生成できる。様々な実施態様では、信用証明書要求応答モジュール206は、DDIDおよびSSIDと関連づけられるネットワーク信用証明書をネットワーク・レコードから受け取る。いくつかの実施態様では、このネットワーク信用証明書は、クレジットカード番号を含む。一例では、ディジタル・デバイス102は、ネットワーク信用証明書を受け取って、クレジットカード番号を取得し、このクレジットカード番号を認証サーバ108に提供する。次に、いくつかの例では、認証サーバ108は、このクレジットカード番号と関連づけられるクレジットカードに料金をつけるか、あるいは、この情報を利用して、ネットワーク・アクセスを許す前にユーザの識別子を確認する。
さらに、様々な実施態様では、上記ネットワーク信用証明書は、ログイン・プロシージャ情報を含む。一例では、これらのネットワーク信用証明書は、ディジタル・デバイス102により認証サーバ108から取得されたフォーム(例えば、認証フォーム)の中に与えられることになっているユーザ名とパスワードを含む。いくつかの実施態様では、ログイン・プロシージャ情報は、このフォーム中の識別フィールドにネットワーク信用証明書を入れてから、この完成したフォームを認証サーバ108に提出するよう、ディジタル・デバイス102に指示する。当業者であれば、認証サーバ108に信用証明書を提供する方法は多数あることが理解されよう。認証サーバに信用証明書を提供するプロセスはさらに、2007年9月6日に出願された「System and Method for Obtaining Network Credentials(ネットワーク信用証明書を得るシステムおよび方法)」と称する同時係属中の米国特許出願第____号に説明されている。
信用証明書要求応答モジュール206または暗号化/復号化モジュール208は、DDIDまたは信用証明書要求と関連づけられる暗号鍵を用いて、信用証明書要求応答を暗号化する。一例では、信用証明書サーバ116は、1つまたは複数の共用暗号鍵をストアしている。それぞれの共用暗号鍵は、少なくとも1つのディジタル・デバイス102により共用される。信用証明書要求応答モジュール206は、ディジタル・デバイス102と関連づけられる共用暗号鍵を用いて、信用証明書要求応答を暗号化する(例えば、この共用暗号鍵は、DDIDと関連づけられる)。信用証明書要求応答モジュール206または暗号化/復号化モジュール208はまた、鍵ペアの一部である暗号鍵を用いて、信用証明書要求を暗号化することもある。暗号化/復号化モジュール208が信用証明書要求を暗号化する方法は多数ある。
暗号化/復号化モジュール208は、信用証明書要求を復号化し、また、信用証明書要求応答を暗号化する。前に説明されたように、暗号化/復号化モジュール208は、信用証明書要求へのディジタル署名を復号化する。一例では、暗号化/復号化モジュール208は、信用証明書要求の中に入っているDDIDと関連づけられる暗号鍵に基づいて、ディジタル署名を復号化する。暗号化/復号化モジュール208はまた、信用証明書要求応答を暗号化することもある。一例では、暗号化/復号化モジュール208は、DDIDと関連づけられる暗号鍵(例えば、共用暗号鍵、または鍵ペアの一部である暗号鍵)に基づいて、信用証明書要求応答を暗号化する。
様々な実施態様では、暗号化/復号化モジュール208は、ネットワーク・レコード記憶装置210の中に入っているネットワーク・レコードを暗号化して、暗号鍵記憶装置212を管理できる。暗号化/復号化モジュール208はまた、ネットワーク信用証明書をストアしながら、ディジタル・デバイスとのセキュアな通信(例えば、SSLやHTTPSを介して)を確立することもある。このようなプロセスはさらに図7に述べられる。いくつかの実施態様により、暗号化/復号化モジュール208は、省略可能なこともある。
ネットワーク・レコード記憶装置210と暗号鍵記憶装置212はそれぞれ、ネットワーク・レコードと暗号鍵をストアする。ネットワーク・レコード記憶装置210と暗号鍵記憶装置212は、1つまたは複数のデータベースを含む。一例では、ネットワーク・レコード記憶装置210は、ネットワーク・レコードをストアする。ネットワーク・レコードは、DDID、SSID、ネットワーク信用証明書を含む。ネットワーク・レコードはまた、ユーザがネットワーク・レコードにアクセスするか、ネットワーク・レコードを変更、更新するか、あるいは、ネットワーク・レコードを信用証明書サーバ116の中にストアするために、ユーザ名とパスワードを含む。
様々な実施態様では、ネットワーク・レコードにより、複数のディジタル・デバイス102が同一のネットワーク信用証明書を使用できることもある。一例では、ユーザは、複数のディジタル・デバイス102を所有する。それぞれが異なるディジタル・デバイス102と関連づけられる複数のDDIDは、同一のネットワーク・レコードに含まれる。いくつかの実施態様では、複数のデバイスが、1つまたは複数のネットワーク・レコードと関連づけられる場合があり、また、このような1つまたは複数のネットワーク・レコードが一人のユーザと関連づけられる。その結果、このユーザは、ディジタル・デバイス102をいくつでも使用して、ホットスポットに対してネットワーク信用証明書を取得する。当業者であれば、ネットワーク・レコード、および/または、ネットワーク・レコードに入っている情報をストアし、編成する(例えば、異なるデータ構造、データベース、レコード、編成方式、および/または、技法にて)ことのできる方法が多数あることが理解されよう。
図3は、ディジタル・デバイス102にネットワーク・アクセスを提供する例示的なプロセスのフローチャートである。ステップ300において、ディジタル・デバイス102が最初にホットスポットに入るときには、ディジタル・デバイス102は、ローカル・エリア・ネットワーク106をスキャンして調べる。ステップ302において、スキャンの結果、ネットワーク・デバイス104は、ネットワーク構成情報を提供する。このネットワーク構成情報は、DNSサーバ110にアクセスするための1つまたは複数のIPアドレスを含む。
ステップ304において、ディジタル・デバイス102により信用証明書要求が生成される。次に、ステップ306において、前にネットワーク・デバイス104から受け取ったIPアドレスの1つを用いて、上記信用証明書要求をDNSサーバ110に送る。
ステップ308において、信用証明書要求に基づいて、DNSサーバ110により信用証明書サーバ116が識別される。他の実施態様では、DNSサーバ110は、信用証明書要求を信用証明書サーバ116に転送する。DNSサーバ110が、DNS要求をローカルで解決できないときには、信用証明書要求が通信ネットワーク114上の別のDNSサーバに転送される(例えば、ポート53を介して)。次に、その別のDNSサーバは、信用証明書要求を信用証明書サーバ116に転送する。ステップ310において、この信用証明書要求は、通信ネットワーク114上の1つまたは複数の他のDNSサーバを通じて、直接に、または間接に信用証明書サーバ116に転送される。
ステップ312において、信用証明書サーバ116は、信用証明書要求に基づいて、必要とされるネットワーク信用証明書を識別する。例えば、この信用証明書要求は、ホットスポットSSID用の識別子(例えば、運営業者などのサービス・プロバイダ)だけでなく、ディジタル・デバイス102用の識別子(すなわち、DDID)も含む。これらの識別子は、信用証明書要求モジュール204または信用証明書要求応答モジュール206により、このような識別子のテーブル(例えば、ネットワーク・レコード)と比較されて、適正なネットワーク信用証明書を決定する。次に、ステップ314において、信用証明書要求応答モジュール206により信用証明書要求応答が生成され、ステップ316において、その信用証明書要求応答がDNSサーバ110に中継で返される。ステップ318において、DNSサーバ110は、信用証明書要求応答をディジタル・デバイスに転送して返す。
次に、ステップ320において、ディジタル・デバイス102は、信用証明書要求応答からネットワーク信用証明書を取得する。次に、ステップ322において、ネットワーク・デバイス104にネットワーク信用証明書を提供する。ステップ324において、ネットワーク信用証明書を検証した上で、ネットワーク・デバイス104は、ディジタル・デバイス102にネットワーク・アクセスを提供する。
次に、図4を参照すると、例示的な信用証明書要求400がさらに詳しく示されている。例示的な実施態様により、信用証明書要求モジュール204は、信用証明書要求400を生成する。一実施態様では、信用証明書要求400は、場所識別子402、シーケンス識別子404,署名406、DDID408,SSID(service set identifier)410、バージョン識別子412を含む構造を持っているDNS文字列であることもある。
オプションの場所識別子402は、ディジタル・デバイス102、ネットワーク・デバイス104、認証サーバ108、またはアクセス・コントローラ112の物理的または地理的な位置を示す。様々な実施態様では、場所識別子402は、ホットスポットの使用度、ディジタル・デバイス102だけでなくディジタル・デバイス102のユーザも追跡するために、信用証明書サーバ116で使用され得る。
シーケンス識別子404は、ログインがうまくいったかどうか判定するために、信用証明書サーバ116への次の要求に対応するのに用いられる任意の数または任意の組の数を含む。すなわち、シーケンス識別子404は、ログインのプロセスの検証を信用証明書サーバ116に行わせる相関機構を提供する。
例示的な実施態様では、署名406は、なりすましを防止するのに利用される暗号署名(すなわち、ディジタル署名)を含む。ディジタル・デバイス102からの要求への署名406は、信用証明書サーバ116により検証される。署名406が有効でない場合には、この要求は、信用証明書サーバ116により拒否される。
DDID408は、ディジタル・デバイス102の識別子を含む。例えば、DDID408は、MACアドレス、あるいは、ディジタル・デバイス102の他の任意の識別子を含む。
SSID410は、ネットワーク・アクセス・ポイントまたはワイファイ(Wi−Fi)サービス・プロバイダの識別子を含む。例えば、SSID410は、ワイファイ(Wi−Fi)サービス・プロバイダの名前、あるいは、ネットワーク・デバイス104を運営する現場(venue)の名前を含むことがある。
バージョン識別子412は、信用証明書要求400のプロトコルまたはフォーマットを識別できる。例えば、ディジタル・デバイス102は、信用証明書要求400を生成して、そのデータをいくつかの異なるフォーマットで編成する。異なるフォーマットはそれぞれ、異なるバージョン識別子と関連づけられる。いくつかの実施態様では、信用証明書要求応答モジュール206の構成要素は、更新されるか、再構成されるか、あるいは、徐々に変更されることがあり、このことは、信用証明書要求400の構造に影響を及ぼす。その結果、信用証明書サーバ116は、様々にフォーマットされている複数の信用証明書要求400を受け取る。信用証明書サーバ116は、それぞれのバージョン識別子に基づいて、それぞれの信用証明書要求からの所要の情報にアクセスする。
図5は、例示的な信用証明書要求応答のブロック図である。例示的な実施態様により、信用証明書要求応答モジュール206は、信用証明書要求応答500を生成できる。一実施態様では、信用証明書要求応答500は、暗号化テキスト502を含む。暗号化テキスト502は、オプションのナンス504と信用証明書情報506を含む。信用証明書情報506は、鍵/値ペア(508〜510)を含む。
前に説明されたように、信用証明書要求応答は、暗号化テキスト502を含むDNS応答としてフォーマットされ得る。暗号化テキスト502は、ネットワーク信用証明書(例えば、ユーザ名、パスワード、ログイン・プロシージャ情報)を含む。信用証明書要求応答500は、暗号化テキスト502を含むものとして示されているが、信用証明書要求応答500の中にあるテキストは、暗号化する必要はない。
暗号化テキスト502はナンスを含むことがある。ナンスは、前に説明されたように、信用証明書要求から取得される。信用証明書要求応答500がディジタル・デバイス102で受け取られると、ディジタル・デバイス102は、信用証明書要求応答500の中にあるナンスを、信用証明書要求の中で送られたナンスと比較して、認証を行う。図5では、ナンスは信用証明書要求応答500の中にあるものとして示されているが、ナンスは任意である。
信用証明書情報506は、ユーザ名、パスワード、ログイン・プロシージャ情報、または、これらを組み合わせたものを含む。信用証明書情報506は、鍵/値ペア(508〜510)を含む。信用証明書情報506の中には、鍵/値ペアがいくつあってもよい。鍵/値ペアは、ディジタル・デバイス102で受け取られて、変換される信用証明書情報を表す。信用証明書情報506は、例示目的でのみ、鍵/値ペアとして示されている。信用証明書情報506は、必ずしも鍵/値ペアには限定されない任意フォーマットの範囲内にあることもある。
図6は、ネットワーク信用証明書を提供する例示的な方法のフローチャートである。ステップ602において、信用証明書サーバ116は、ディジタル・デバイス102から信用証明書要求を受け取る。
様々な実施態様では、信用証明書サーバ116は、暗号鍵を用いてディジタル署名を暗号化し、認証する。次に、ステップ604において、信用証明書サーバ116は、ネットワーク・レコードの中に入っているDDIDおよびSSIDに基づいて、このネットワーク・レコードを識別する。一例では、信用証明書要求応答モジュール206は、信用証明書要求の中にあるDDIDと関連づけられる1つまたは複数のネットワーク・レコードを取得する。次に、信用証明書要求応答モジュール206は、取得されたネットワーク・レコード(1つまたは複数)の中にあるSSIDと関連づけられる少なくとも1つのネットワーク信用証明書を識別する。
ステップ606において、信用証明書要求応答モジュール206は、識別されたネットワーク信用証明書(1つまたは複数)を、上記選択されたネットワーク・レコードから取得する。一例では、信用証明書要求応答モジュール206は、ディジタル・デバイス102のユーザがネットワーク・アクセスを得るために認証サーバ108に提供しなければならないユーザ名とパスワードを識別する。ステップ608において、信用証明書要求応答モジュール206は、ディジタル・デバイス102に対して、ネットワーク信用証明書(例えば、ユーザ名、パスワード)を含む信用証明書要求応答を生成する。
いくつかの実施態様では、信用証明書要求応答モジュール206は、ネットワーク信用証明書の一部として、ログイン・プロシージャ情報を識別する。信用証明書要求応答モジュール206は、ネットワーク・レコード(例えば、SSIDと関連づけられるパスワードを含む同一ネットワーク・レコード)から、上記ログイン・プロシージャ情報を取得する。このログイン・プロシージャ情報は、ネットワーク・アクセスを得るためにディジタル・デバイス102が従うフォーム識別子と指示(例えば、パラメータ)を含む。一例では、ディジタル・デバイス102は、信用証明書要求応答の中にあるネットワーク信用証明書から、フォーム識別子と指示を取得する。ディジタル・デバイス102は、これらのフォーム識別子と指示に基づいて、認証サーバ108と入力データから受け取られたフォームを識別する。別の例では、ディジタル・デバイス102は、信用証明書要求応答の中に含まれるログイン・プロシージャ情報に基づいて、ネットワーク・アクセスを得るために、認証サーバ108に情報を提供する。認証サーバ108に情報を提供するプロセスはさらに、2007年9月6日に出願された「System and Method for Obtaining Network Access(ネットワーク・アクセスを得るシステムおよび方法)」と称する米国特許出願第____号に記載されている。
図7は、ネットワーク信用証明書を提供する例示的な方法の別のフローチャートである。ディジタル・デバイス102は、ネットワーク・デバイス104を介して、利用可能な無線ネットワークを探索し、見つけ出す。ステップ702において、ディジタル・デバイス102は、ホットスポットに接続している間に、ネットワーク構成情報を受け取る。ネットワーク構成情報は、ネットワーク・デバイス104またはDNSサーバ110用の識別子を含む。一例では、ディジタル・デバイス102は、接続プロセス中に、DNSサーバIPアドレス(例えば、DNSサーバ110用のもの)を受ける。
ステップ704において、ディジタル・デバイス102は、信用証明書要求を生成する。この信用証明書要求は、シーケンス識別子、DDID、SSIDを含む。ステップ706において、ディジタル・デバイス102は、随意にナンスを生成し、暗号鍵を用いて信用証明書要求にディジタル署名する。ステップ708において、ディジタル・デバイス102は、標準プロトコルとして、信用証明書要求を送る。ネットワーク・デバイス104は、信用証明書要求を受け取って、この信用証明書要求を通信ネットワーク114に転送する。様々な実施態様では、ネットワーク・デバイス104は、信用証明書要求をDNSサーバ110に提供することがあり、また、DNSサーバ110は、この信用証明書要求を信用証明書サーバ116に転送する。
例示的な実施態様では、信用証明書サーバ116の信用証明書要求モジュール204は信用証明書要求を受ける。信用証明書要求モジュール204は、信用証明書サーバ116の中にあるDDIDと関連づけられる暗号鍵を、暗号鍵記憶装置212から取得する。次に、信用証明書要求モジュール204は、信用証明書要求へのディジタル署名を復号化して、認証を行う。さらに、信用証明書要求モジュール204は、その信用証明書要求から、ナンスとシーケンス識別子を取得する。
次に、信用証明書サーバ116の信用証明書要求応答モジュール206は、DDIDおよびSSIDと関連づけられるネットワーク・レコードを、ネットワーク・レコード記憶装置210から取得できる。信用証明書要求応答モジュール206は、このネットワーク・レコードからネットワーク信用証明書を取得して、信用証明書要求応答を生成する。この信用証明書要求応答は、ネットワーク信用証明書とナンスを含む。暗号化/復号化モジュール208は、暗号鍵記憶装置212から取得されたDDIDと関連づけられる暗号鍵を用いて、その信用証明書要求応答を暗号化する。いくつかの実施態様では、この信用証明書要求応答は、標準プロトコル(例えば、DNS)としてフォーマットされる。
ステップ710において、ディジタル・デバイス102は、信用証明書要求応答を受け取る。次に、ステップ712において、ディジタル・デバイス102は、この信用証明書要求応答を認証する。一例では、ディジタル・デバイス102は、信用証明書要求にディジタル署名するのに使用されるものと同一の鍵を用いて、信用証明書要求応答を復号化する。ディジタル・デバイス102はさらに、信用証明書要求応答の中にあるナンスを取得して、そのナンスを、信用証明書要求の中で送られたナンスと比較して、さらなる認証を行う。ステップ714において、この信用証明書要求応答が本物であると判明した場合には、ディジタル・デバイス102は、信用証明書要求応答からネットワーク信用証明書を取得する。
ステップ716において、ディジタル・デバイス102は、ネットワーク・アクセスと関連づけられる認証要件を識別する。様々な実施態様では、ディジタル・デバイス102は、認証サーバ108に提供するのに適正な情報およびネットワーク信用証明書を決定する。一例では、ディジタル・デバイス102は、認証サーバ108から、1つまたは複数のネットワーク・アクセス・ページを取得する。ディジタル・デバイス102は、認証サーバ108からの適正なネットワーク・アクセス・ページにアクセスして、自動的に選択を行う。一例では、ディジタル・デバイス102は、その「選択」を自動的に行うようにできる(例えば、ネットワーク・アクセス・ページ内のボタンの起動、セレクト・ボックスのチェック、ラジオ・ボタンの選択)。
例えば、信用証明書要求応答モジュール206は、ネットワーク・アクセス・ページ内での自動選択のために、ディジタル・デバイス102に指示を与える。ここに説明されるように、ネットワーク・アクセス・ページは、認証サーバ108から取得された1つまたは複数のwebページ、1つまたは複数のタグ、あるいは、双方を組み合わせたものを含む。一例では、ディジタル・デバイス102に入っているソフトウェアは、ネットワーク・アクセス・ページ内のすべてのセレクト・ボックスを自動的にチェックする。次に、ディジタル・デバイス102は、ログイン・プロシージャ情報に基づいて、セレクト・ボックスのチェックを外す。当業者であれば、セレクトを自動的に行わせる方法が多数あるかもしれないことが理解されよう。他の実施態様では、ディジタル・デバイス102は、認証サーバ108からXMLタグを受け取る。ディジタル・デバイス102は、ログイン・プロシージャ情報の中にあるXMLタグおよび指示に基づく情報を認証サーバ108に提供して、ネットワーク・アクセスを得る。
ステップ718において、ディジタル・デバイス102は、ネットワーク信用証明書をネットワーク・デバイス104に提供して、通信ネットワーク114へのネットワーク・アクセスを得る。一例では、信用証明書要求応答モジュール206は、認証サーバ108から1つまたは複数のフォームを取得して、そのようなフォームに1つまたは複数のネットワーク信用証明書を入れ、これらの完成したフォームを認証サーバ108に提供する。別の例では、信用証明書要求応答モジュール206は、必要に応じて、ネットワーク信用証明書を認証サーバ108に提供する。ネットワーク信用証明書が認証サーバ108で受け取られると、認証サーバ108は、ディジタル・デバイス102と通信ネットワーク114との間で通信できるようにできる。一例では、認証サーバ108は、ディジタル・デバイス102が通信ネットワーク114にアクセスできるように、アクセス・コントローラ112に命じる。
次に、ディジタル・デバイス102は、ネットワークのコネクティビティ(接続性)をテストして、ネットワーク・アクセスを確かめ得る。一例では、ディジタル・デバイス102は、通信ネットワーク114が利用できるかどうか判定するために、信用証明書サーバ116に要求を送る。いくつかの実施態様では、そのクエリまたはコマンドは、前に信用証明書要求の中に提出されたシーケンス識別子を含む。ネットワーク・アクセスがうまくいった場合には、信用証明書サーバ116は、上記要求を受け取って、シーケンス識別子を取得することがある。次に、信用証明書サーバ116は、ネットワーク・アクセスがうまくいったことを確かめる。
図8は、ネットワーク信用証明書を受け取って、ストアする例示的な方法のフローチャートである。様々な実施態様では、ユーザは、ネットワーク・レコードを生成して、ネットワーク・レコードを信用証明書サーバ116の中にストアできる。例えば、信用証明書サーバ116は、ユーザがネットワーク・レコードを生成でき、ストアでき、更新でき、除去でき、変更できるようにするグラフィカル・ユーザ・インターフェース(GUI)を提供する信用証明書記憶モジュール(図示されてない)を含む。
ステップ802において、信用証明書サーバ116は、ユーザにネットワーク信用証明書要求フォームを提供する。一例では、信用証明書サーバ116は、インターネットを介して、1つまたは複数のwebページとして、ネットワーク信用証明書要求フォームをユーザに提供する。このネットワーク信用証明書要求フォームは、サービス・プロバイダの名前(例えば、運営業者の名前)および/またはSSIDと、ネットワーク信用証明書を受け取るように構成されている。
サービス・プロバイダの名前は、ホットスポット、ホットスポットに関係した1つまたは複数の構成要素(例えば、ネットワーク・デバイス104)、あるいは、ローカル・エリア・ネットワーク106のインフラを運営するエンティティ(実体)の名前を含む。いくつかの実施態様では、サービス・プロバイダの名前は、別のサービス・プロバイダ用の1つまたは複数のホットスポットを管理する組織体の名前を含む。一例では、ホットスポットが異なるサービス・プロバイダを持っていても、コーヒーショップや本屋は双方とも、第三者の管理者(third-party manager)を利用して、これらのホットスポットを管理できる。いくつかの実施態様では、ネットワーク信用証明書要求フォームは、この第三者の管理者の名前を受け取るように構成される。いくつかの実施態様では、サービス・プロバイダの名前は、ホットスポット・ネットワークへのアクセスを再販する組織体(例えば、アグリゲータ)の名前を含む。
ネットワーク信用証明書要求フォームはまた、ネットワーク・サービス選択として、SSIDも受け取り得る。一例では、ネットワーク信用証明書要求フォームは、ユーザが選択できる異なるサービス・プロバイダおよび/またはホットスポットのプルダウン・メニューを含む。例えば、ユーザは、ホットスポットとして、「スターバックス」、または「サンフランシスコ国際空港」を選択できる。ユーザには、このホットスポットの地理的位置などにさらなるオプションが与えられる。ユーザはまた、サービス・プロバイダも選択する。例えば、ユーザは、サービス・プロバイダとして、「T−Mobile」を選択する。次に、ネットワーク信用証明書要求フォームは、T−Mobileと関連づけられる1つまたは複数の様々なホットスポットの中からユーザが選択できるようにする。次に、このような「選択」(1つまたは複数)は、ネットワーク・レコードとしてストアされる。別法として、このような「選択」(1つまたは複数)と関連づけられるネットワーク・サービス識別子は、SSIDとして生成される。
さらに、ネットワーク信用証明書要求フォームは、ユーザからネットワーク信用証明書を受け取る。例えば、ユーザは、ネットワーク信用証明書要求フォームの中にあるネットワーク信用証明書として、ユーザ名、パスワード、パスコードを入力する。いくつかの実施態様では、ネットワーク信用証明書要求フォームがSSIDを受け取った後で、ネットワーク信用証明書要求フォームは、求められるタイプのネットワーク信用証明書を決定する。例えば、ネットワーク信用証明書要求フォームは、前にユーザにより選択された「サンフランシスコ国際空港」のホットスポットにてネットワークにアクセスするのに必要な情報を識別する。次に、ネットワーク信用証明書要求フォームは、このホットスポットにてネットワーク・アクセスを得るのに必要な情報(例えば、ユーザ名、パスワード)だけをユーザが入力できるようにするために、フィールドまたは選択を生成する。
信用証明書サーバ116はまた、ネットワーク信用証明書要求フォームを受け取る前に登録するよう、ユーザに求めることもある。登録中、ユーザは、サービス条件に同意して、カスタマー情報を入力しなければならない。カスタマー情報は、信用証明書サーバ116にアクセスして、ネットワーク信用証明書をストアするために、ユーザ名とパスワードを含む。オプションとして、カスタマー情報は、ユーザのアドレス、連絡先情報、および、信用証明書サーバ116が提供するサービスをユーザが利用するための支払いオプションを含む。
ステップ804において、信用証明書サーバ116は、ネットワーク信用証明書要求フォームを介して、カスタマー情報およびネットワーク・サービス選択を受け取る。ステップ806において、信用証明書サーバ116は、ネットワーク信用証明書を取得する。ステップ808において、信用証明書サーバ116は、カスタマー情報を受け取る。ステップ810において、信用証明書サーバ116は、上記ネットワーク信用証明書を、カスタマー情報、ネットワーク・サービス選択、ネットワーク信用証明書(1つまたは複数)と関連づけて、ネットワーク・レコードを生成する。次に、ステップ812において、このネットワーク・レコードをストアする。
いくつかの実施態様では、ユーザは、インターネットを介して、手動で信用証明書サーバ116にアクセスする。他の実施態様では、ユーザは、ネットワーク信用証明書ソフトウェアをダウンロードして、そのソフトウェアをディジタル・デバイス102にインストールする。ネットワーク信用証明書ソフトウェアは、ディジタル・デバイス102のDDIDを識別して、そのDDIDを信用証明書サーバ116に送る。他の実施態様では、ネットワーク信用証明書ソフトウェアは、ディジタル・デバイス102にプリインストールされる。ディジタル・デバイス102が最初に、ネットワーク信用証明書ソフトウェアを起動するときには、ネットワーク信用証明書ソフトウェアは、ディジタル・デバイス102のDDIDを識別して、そのDDIDを信用証明書サーバ116に送る。
ユーザは、SSIDをネットワーク信用証明書ソフトウェアに入力できる(例えば、サービス・プロバイダまたはホットスポットを識別する)。ユーザはまた、ネットワーク信用証明書もネットワーク信用証明書ソフトウェアの中に入力できる。ネットワーク信用証明書ソフトウェアがDDID、SSID、ネットワーク信用証明書を得た後で、ネットワーク信用証明書ソフトウェアは、その情報を信用証明書サーバ116にアップロードし、また、信用証明書サーバ116は、その情報をネットワーク・レコードの中にストアする。様々な実施態様では、ネットワーク信用証明書ソフトウェアは、信用証明書サーバ116からダウンロードされ得る。
図9は、例示的なディジタル・デバイスのブロック図である。信用証明書サーバ116は、プロセッサ900、メモリ・システム902、ストレージ・システム904、I/Oインターフェース906、通信ネットワーク・インターフェース908、ディスプレイ・インターフェース910を含む。プロセッサ900は、実行命令(例えば、プログラム)を実行するように構成されている。いくつかの実施態様では、プロセッサ900は、実行命令を処理できる回路または任意のプロセッサを含む。
メモリ・システム902は、データをストアするように構成された任意のメモリである。メモリ・システム902のいくつかの例として、RAMまたはROMなどの記憶素子がある。メモリ・システム902は、RAMキャッシュを含むこともある。様々な実施態様では、データは、メモリ・システム902の中にストアされる。メモリ・システム902の中にあるデータは、クリア(消去)されるか、あるいは、最終的にストレージ・システム904に移され得る。
ストレージ・システム904は、データを取得して、ストアするように構成された任意のストレージ(記憶装置)である。ストレージ・システム904のいくつかの例として、フラッシュ・ドライブ、ハード・ドライブ、光ドライブ、および/または磁気テープがある。いくつかの実施態様では、信用証明書サーバ116は、RAMの形式を取るメモリ・システム902と、フラッシュ・データの形式を取るストレージ・システム904とを含む。メモリ・システム902とストレージ・システム904は両方とも、プロセッサ900を含むコンピュータ・プロセッサにより実行できる命令またはプログラムをストアできるコンピュータ可読媒体を含む。
オプションの入出力(I/O)インターフェース906は、ユーザから入力を受け取って、データを出力する任意のデバイスである。オプションのディスプレイ・インターフェース910は、グラフィックスおよびデータをディスプレイに出力するように構成された任意のデバイスである。一例では、ディスプレイ・インターフェース910は、グラフィックス・アダプタである。すべてのディジタル・デバイス102が、I/Oインターフェース906か、ディスプレイ・インターフェース910のいずれかを含むとは限らないことが理解されよう。
通信ネットワーク・インターフェース(com.network interface)908は、リンク912を介して、ネットワーク(例えば、ローカル・エリア・ネットワーク106や通信ネットワーク114)に結合されることもある。通信ネットワーク・インターフェース908は、例えばEthernet接続、シリアル接続、パラレル接続、またはATA接続を介して、通信をサポートする。通信ネットワーク・インターフェース908はまた、無線通信(例えば、802.11 a/b/g/n、ワイマックス(WiMAX))もサポートする。通信ネットワーク・インターフェース908が、多数の有線標準や無線標準をサポートできることが、当業者には明らかになろう。
上述の機能および構成要素は、ストレージ媒体にストアされている命令から成ることもある。これらの命令は、プロセッサにより取得されて、実行される。命令のいくつかの例として、ソフトウェア、プログラム・コード、ファームウェアがある。ストレージ媒体のいくつかの例として、メモリ素子、テープ、ディスク、集積回路、サーバがある。これらの命令は、プロセッサにより実行されるときに機能を果たして、このプロセッサに本発明の実施態様に合わせて動作するよう指示する。当業者は、命令、プロセッサ(1つまたは複数)、ストレージ媒体に精通している。
本発明は、例示的な実施態様を参照して、上で説明されてきた。本発明のさらに広い範囲から逸脱しなければ、様々な変更を行うことができ、また、他の実施態様を利用できることが当業者には明らかになろう。それゆえ、例示的な実施態様における上記および他の変形例は、本発明の適用範囲に入ることになっている。
102 ディジタル・デバイス、104 ネットワーク・デバイス、106 ローカル・エリア・ネットワーク、108 認証サーバ、110 DNSサーバ、112 アクセス・コントローラ、114 通信ネットワーク、116 信用証明書サーバ、200 認証モジュール、202 ネットワーク・モジュール、204 信用証明書要求モジュール、206 信用証明書要求応答モジュール、208 暗号化/復号化モジュール、210 ネットワーク・レコード記憶装置、212 暗号鍵記憶装置。

Claims (23)

  1. ネットワーク信用証明書を提供する方法であって、
    ネットワーク・デバイスを介してディジタル・デバイスから信用証明書要求を受け取るステップと、
    前記信用証明書要求の中にある少なくとも一部の情報に基づいて、ネットワーク・レコードを識別するステップと、
    前記ネットワーク・レコードに基づいて、複数のネットワーク信用証明書から1つのネットワーク信用証明書を取得するステップと、
    前記複数のネットワーク信用証明書から取得されたネットワーク信用証明書含む信用証明書要求応答を、前記ディジタル・デバイスに送るステップと、
    を含む方法。
  2. 前記信用証明書要求を復号化するステップをさらに含む請求項1に記載の方法。
  3. 前記信用証明書要求を認証するステップをさらに含む請求項1に記載の方法。
  4. 前記信用証明書要求応答を暗号化するステップをさらに含む請求項1に記載の方法。
  5. 前記ディジタル・デバイスに基づいて、暗号鍵を取得するステップをさらに含む請求項4に記載の方法。
  6. 前記信用証明書要求が、前記ネットワーク・デバイスの標準プロトコルを使って受け取られる請求項1に記載の方法。
  7. 前記標準プロトコルがDNSである請求項6に記載の方法。
  8. 前記信用証明書要求を受け取るステップが、前記ネットワーク・デバイスのポート53を介して前記信用証明書要求を受け取るステップを含む請求項1に記載の方法。
  9. 前記信用証明書要求が場所識別子を含む請求項1に記載の方法。
  10. 前記ディジタル・デバイスから確認アクセス応答を受け取るステップをさらに含む請求項1に記載の方法。
  11. ネットワーク信用証明書を提供するシステムであって、
    ネットワーク・デバイスを介してディジタル・デバイスから信用証明書要求を受け取るように構成された信用証明書要求モジュールと、
    前記信用証明書要求の中にある少なくとも一部の情報に基づいて、ネットワーク・レコードを識別し、前記ネットワーク・レコードに基づいて、複数のネットワーク信用証明書から1つのネットワーク信用証明書を取得し、前記ネットワーク信用証明書含む信用証明書要求応答を前記ディジタル・デバイスに送るように構成された信用証明書要求応答モジュールと、
    を備えるシステム。
  12. 前記信用証明書要求を復号化するように構成された暗号化/復号化モジュールをさらに備える請求項11に記載のシステム。
  13. 前記信用証明書要求を認証するように構成された認証モジュールをさらに備える請求項11に記載のシステム。
  14. 前記信用証明書要求応答を暗号化するように構成された暗号化/復号化モジュールをさらに備える請求項11に記載のシステム。
  15. 前記プロセッサが、前記ディジタル・デバイスに基づいて、暗号鍵記憶装置から暗号鍵を取得する請求項14に記載のシステム。
  16. 前記信用証明書要求が、前記ネットワーク・デバイスの標準プロトコルを使って受け取られる請求項11に記載のシステム。
  17. 前記標準プロトコルがDNSである請求項16に記載のシステム。
  18. 前記信用証明書要求を受け取るように構成された信用証明書要求モジュールが、前記ネットワーク・デバイスのポート53を介して前記信用証明書要求を受け取るように構成された信用証明書要求モジュールを含む請求項16に記載のシステム。
  19. 前記信用証明書要求が場所識別子を含む請求項11に記載のシステム。
  20. プロセッサにより実行をできるプログラムであって、その実行をされると、ネットワーク信用証明書を提供する次の方法、すなわち:
    ネットワーク・デバイスを介してディジタル・デバイスから信用証明書要求を受け取るステップと、
    前記信用証明書要求の中にある少なくとも一部の情報に基づいて、ネットワーク・レコードを識別するステップと、
    前記ネットワーク・レコードに基づいて、複数のネットワーク信用証明書から1つのネットワーク信用証明書を取得するステップと、
    前記複数のネットワーク信用証明書から取得されたネットワーク信用証明書含む信用証明書要求応答を、前記ディジタル・デバイスに送るステップと、
    を含む方法
    が実施されるプログラムを記憶したコンピュータ可読媒体。
  21. 前記信用証明書要求が、前記ネットワーク・デバイスの標準プロトコルを使って受け取られる請求項20に記載のコンピュータ可読媒体。
  22. 前記標準プロトコルがDNSである請求項21に記載のコンピュータ可読媒体。
  23. 前記信用証明書要求を受け取るステップが、前記ネットワーク・デバイスのポート53を介して前記信用証明書要求を受け取るステップを含む請求項21に記載のコンピュータ可読媒体。
JP2009527410A 2006-09-06 2007-09-06 ネットワーク信用証明書を提供するシステムおよび方法 Expired - Fee Related JP5368307B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US82475606P 2006-09-06 2006-09-06
US60/824,756 2006-09-06
PCT/US2007/019462 WO2008030525A2 (en) 2006-09-06 2007-09-06 Systems and methods for providing network credentials

Publications (3)

Publication Number Publication Date
JP2010503317A true JP2010503317A (ja) 2010-01-28
JP2010503317A5 JP2010503317A5 (ja) 2011-11-04
JP5368307B2 JP5368307B2 (ja) 2013-12-18

Family

ID=39157841

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2009527411A Expired - Fee Related JP5276592B2 (ja) 2006-09-06 2007-09-06 ネットワーク・アクセスを獲得するためのシステムおよび方法
JP2009527410A Expired - Fee Related JP5368307B2 (ja) 2006-09-06 2007-09-06 ネットワーク信用証明書を提供するシステムおよび方法
JP2009527412A Expired - Fee Related JP5276593B2 (ja) 2006-09-06 2007-09-06 ネットワーク信用証明書を獲得するためのシステムおよび方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2009527411A Expired - Fee Related JP5276592B2 (ja) 2006-09-06 2007-09-06 ネットワーク・アクセスを獲得するためのシステムおよび方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2009527412A Expired - Fee Related JP5276593B2 (ja) 2006-09-06 2007-09-06 ネットワーク信用証明書を獲得するためのシステムおよび方法

Country Status (3)

Country Link
EP (3) EP2062129A4 (ja)
JP (3) JP5276592B2 (ja)
WO (3) WO2008030527A2 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5270947B2 (ja) 2008-04-01 2013-08-21 キヤノン株式会社 通信システムの制御方法、無線通信装置、基地局、管理装置、プログラムおよび記録媒体
US8825876B2 (en) 2008-07-17 2014-09-02 Qualcomm Incorporated Apparatus and method for mobile virtual network operator (MVNO) hosting and pricing
US8099761B2 (en) * 2008-08-14 2012-01-17 Microsoft Corporation Protocol for device to station association
US8769612B2 (en) 2008-08-14 2014-07-01 Microsoft Corporation Portable device association
US8943551B2 (en) 2008-08-14 2015-01-27 Microsoft Corporation Cloud-based device information storage
US8353007B2 (en) * 2008-10-13 2013-01-08 Devicescape Software, Inc. Systems and methods for identifying a network
US20100263022A1 (en) * 2008-10-13 2010-10-14 Devicescape Software, Inc. Systems and Methods for Enhanced Smartclient Support
GB2464553B (en) 2008-10-22 2012-11-21 Skype Controlling a connection between a user terminal and an access node connected to a communication network
GB2464552B (en) 2008-10-22 2012-11-21 Skype Authentication system and method for authenticating a user terminal with an access node providing restricted access to a communication network
US9883271B2 (en) 2008-12-12 2018-01-30 Qualcomm Incorporated Simultaneous multi-source audio output at a wireless headset
CN111510922B (zh) 2014-08-21 2022-07-22 华为技术有限公司 无线网络接入控制方法及设备、系统
WO2016173621A1 (en) * 2015-04-28 2016-11-03 Telecom Italia S.P.A. Method and system for authenticating users in public wireless networks

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030188201A1 (en) * 2002-03-28 2003-10-02 International Business Machines Corporation Method and system for securing access to passwords in a computing network environment
JP2004015530A (ja) * 2002-06-07 2004-01-15 Sony Corp アクセス権限管理システム、中継サーバ、および方法、並びにコンピュータ・プログラム
JP2004310581A (ja) * 2003-04-09 2004-11-04 Nec Corp ネットワーク接続方法およびネットワークシステム
JP2004320593A (ja) * 2003-04-18 2004-11-11 Sony Computer Entertainment Inc 通信管理システムおよび方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6263446B1 (en) * 1997-12-23 2001-07-17 Arcot Systems, Inc. Method and apparatus for secure distribution of authentication credentials to roaming users
US6233577B1 (en) * 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
ATE374490T1 (de) * 1998-11-19 2007-10-15 Arcot Systems Inc Verfahren und vorrichtung zur sicheren verteilung von authentifizierungsdaten an umherstreifende teilnehmer
JP2003196241A (ja) * 2001-12-25 2003-07-11 Dainippon Printing Co Ltd ユーザー認証情報設定装置およびクライアントコンピュータ
US7295556B2 (en) * 2002-03-01 2007-11-13 Enterasys Networks, Inc. Location discovery in a data network
US20040003081A1 (en) * 2002-06-26 2004-01-01 Microsoft Corporation System and method for providing program credentials
US20050114680A1 (en) * 2003-04-29 2005-05-26 Azaire Networks Inc. (A Delaware Corporation) Method and system for providing SIM-based roaming over existing WLAN public access infrastructure
JP2005286783A (ja) * 2004-03-30 2005-10-13 Hitachi Software Eng Co Ltd 無線lan接続方法および無線lanクライアントソフトウェア
US7467402B2 (en) * 2004-08-24 2008-12-16 Whitehat Security, Inc. Automated login session extender for use in security analysis systems
US7603700B2 (en) * 2004-08-31 2009-10-13 Aol Llc Authenticating a client using linked authentication credentials
US20060130140A1 (en) * 2004-12-14 2006-06-15 International Business Machines Corporation System and method for protecting a server against denial of service attacks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030188201A1 (en) * 2002-03-28 2003-10-02 International Business Machines Corporation Method and system for securing access to passwords in a computing network environment
JP2004015530A (ja) * 2002-06-07 2004-01-15 Sony Corp アクセス権限管理システム、中継サーバ、および方法、並びにコンピュータ・プログラム
JP2004310581A (ja) * 2003-04-09 2004-11-04 Nec Corp ネットワーク接続方法およびネットワークシステム
JP2004320593A (ja) * 2003-04-18 2004-11-11 Sony Computer Entertainment Inc 通信管理システムおよび方法

Also Published As

Publication number Publication date
WO2008030526A3 (en) 2008-07-17
WO2008030525A3 (en) 2008-07-31
JP2010503319A (ja) 2010-01-28
JP5276592B2 (ja) 2013-08-28
EP2060050A4 (en) 2011-03-16
WO2008030527A2 (en) 2008-03-13
WO2008030526A2 (en) 2008-03-13
EP2062129A4 (en) 2011-03-16
EP2062130A4 (en) 2011-03-16
JP2010503318A (ja) 2010-01-28
JP5368307B2 (ja) 2013-12-18
WO2008030525A2 (en) 2008-03-13
EP2062129A2 (en) 2009-05-27
EP2060050A2 (en) 2009-05-20
EP2062130A2 (en) 2009-05-27
WO2008030527A3 (en) 2008-09-25
JP5276593B2 (ja) 2013-08-28

Similar Documents

Publication Publication Date Title
JP5368307B2 (ja) ネットワーク信用証明書を提供するシステムおよび方法
US8196188B2 (en) Systems and methods for providing network credentials
US8191124B2 (en) Systems and methods for acquiring network credentials
US8554830B2 (en) Systems and methods for wireless network selection
US8194589B2 (en) Systems and methods for wireless network selection based on attributes stored in a network database
US9913303B2 (en) Systems and methods for network curation
US8743778B2 (en) Systems and methods for obtaining network credentials
US9529985B2 (en) Global authentication service using a global user identifier
TWI455559B (zh) 虛擬用戶識別模組
US8549588B2 (en) Systems and methods for obtaining network access
US9326138B2 (en) Systems and methods for determining location over a network
EP2206400B1 (en) Systems and methods for wireless network selection
US20150208238A1 (en) Terminal identity verification and service authentication method, system and terminal
JP2012531822A (ja) ネットワーク信用証明書を取得するためのシステム及び方法
JP2012531111A (ja) ネットワークを介して位置を特定するためのシステム及び方法
US8321671B2 (en) Method and apparatus for client-driven profile update in an enterprise wireless network

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100906

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100906

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110906

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121113

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130213

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130513

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130702

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130705

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130813

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130912

R150 Certificate of patent or registration of utility model

Ref document number: 5368307

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees