JP2010503319A - ネットワーク信用証明書を獲得するためのシステムおよび方法 - Google Patents
ネットワーク信用証明書を獲得するためのシステムおよび方法 Download PDFInfo
- Publication number
- JP2010503319A JP2010503319A JP2009527412A JP2009527412A JP2010503319A JP 2010503319 A JP2010503319 A JP 2010503319A JP 2009527412 A JP2009527412 A JP 2009527412A JP 2009527412 A JP2009527412 A JP 2009527412A JP 2010503319 A JP2010503319 A JP 2010503319A
- Authority
- JP
- Japan
- Prior art keywords
- network
- credential
- credential request
- request response
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Abstract
【課題】 ネットワーク・アクセスについてのネットワーク信用証明書を獲得するための例示的な方法およびシステムが述べられる。この例示的な方法は、通信ネットワーク上のネットワーク・デバイスからネットワーク構成情報を受信すること、信用証明書要求を生成すること、信用証明書要求を信用証明書サーバに、ネットワーク・デバイスの標準プロトコルを介して送信すること、信用証明書要求応答を受信すること、および信用証明書要求応答からのネットワーク信用証明書を、通信ネットワークにアクセスするためにネットワーク・デバイスに提供することを包含する。
Description
本発明は、概して通信ネットワークへのアクセスに関する。より詳細に述べれば、本発明は、無線通信ネットワークの自動アクセスに関する。
情報にアクセスするためのネットワークの使用の増加は、多様な活動のための通信ネットワークへのより大きな依存を結果として招いた。この依存には、ネットワーク・アクセスが遍在することになろうという期待のふくらみが付属する。モバイル・ユーザのためのネットワーク・アクセスは、特に、無線テクノロジにおける改善によって強化されてきた。多様なセルラ(たとえば、GSM、CDMA、およびそれらの類)、ワイファイ(Wi‐Fi)(すなわちIEEE 802.11)、ワイマックス(WiMAX)(すなわちIEEE 802.16)、およびそのほかのテクノロジが、潜在的ネットワーク・ユーザのための広範なアクセス・オプションを可能にした。多くの無線アクセス・ポイントまたは『ホットスポット』は、局所的な地理的領域でのみアクセス可能であり、場合によっては、特定のビジネスまたはそのほかのアドレス程度にまで狭められる。加えて、戦略的に配置されたホットスポットは、人々の多様なグループのための公衆または専用ネットワーク・アクセスを提供することができる。
ホットスポットの所有者または管理者は、しばしば、ユーザのアクセスを可能にするためにパスワードおよびその類を要求する。その結果として、複数のホットスポットのユーザは、多数のパスワードをストアし、記憶し、またはそのほかの方法で管理しなければならないことがある。多くのユーザは、ホットスポットへのアクセスに使用するラップトップ・コンピュータ上に自分のパスワードをストアすることがある。しかしながら、ホットスポットにアクセスする能力のあるすべてのデバイスがラップトップ・コンピュータではなく、現在は、携帯電話、携帯情報端末(PDA)、および多くのそのほかのデバイスが、無線アクセスの能力を有する。残念ながらしばしばユーザは、デバイス上にパスワードを入力すること、またはデバイス内にパスワードをストアすることを容易になし得ない。たとえば、無線アクセスの能力のあるいくつかのデバイスは、キーボードを有していないことがある。デバイスがキーボードを含む場合であっても、当該キーボードは、しばしば小さく、しかも機能の限られたものであることがあり、指先の器用さが限られたユーザにとっては特にそうなる。
ユーザがラップトップ・コンピュータ上にパスワードをストアするとき、そのユーザは最初にラップトップ・コンピュータに近づき、かつ当該コンピュータ内に正しいパスワードをストアしなければならない。パスワードの変更時には、そのユーザに、そのコンピュータ内におけるパスワードの更新が要求される。加えて、デバイス内にユーザ名およびパスワードをストアさせることは、当該デバイスの紛失または盗難があった場合にセキュリティ問題を呈示する。
さらに、ユーザは、通常、ネットワーク・アクセスを獲得するために、パスワード、ユーザ名を入力し、またウェブ・サイトを渡り歩くことが要求される。このプロセスは、時間を要し、かつユーザが誤った情報を入力することがあり、またデータの再入力が強要される。
ユーザがパスワードをマニュアル入力するときは、難しいパスワードをあまり記憶しようとしない。その結果、単純なパスワードアクセスおよび暗号化されないアクセスがハッキングを受けやすく、そのユーザのネットワーク・アクセス、ホットスポット、および/またはそのユーザの個人情報を危険にさらすことがある。さらに、ユーザの単純なパスワードがハッキングされるか、または単純に推測された場合には、そのユーザのネットワーク・アクセスが盗まれることもある。
ネットワーク・アクセスについてのネットワーク信用証明書を獲得するための例示的な方法およびシステムが述べられている。この例示的な方法は、通信ネットワーク上のネットワーク・デバイスからネットワーク構成情報を受信すること、信用証明書要求を生成すること、信用証明書要求を信用証明書サーバに、ネットワーク・デバイスの標準プロトコルを介して送信すること、信用証明書要求応答を受信すること、および信用証明書要求応答からのネットワーク信用証明書を、通信ネットワークにアクセスするためにネットワーク・デバイスに提供することを包含する。
さらにこの方法は、信用証明書要求を暗号化すること、信用証明書要求応答を復号化(平文化)すること、および信用証明書要求をディジタル署名することを包含できる。標準プロトコルは、DNSオーバー・ユーザ・データグラム・プロトコル(UDP)とすることができる。さらに、信用証明書要求は、ディジタル・デバイス識別子(DDID)およびネットワーク構成情報のうちの少なくともいくつかに基づくことができる場所(ロケーション)識別子を包含できる。
信用証明書要求応答は、当該信用証明書要求応答をキャッシュさせないコマンドを包含できる。信用証明書要求応答からの信用証明書を提供することは、ネットワーク・アクセス・ページを分析すること、およびネットワーク・アクセス・ページ内のフォーム情報を書き込むことを包含できる。
ネットワーク信用証明書を獲得するための例示的なシステムは、ネットワーク・モジュール、信用証明書要求モジュール、信用証明書エンジン、およびネットワーク・アクセス・エンジンを包含できる。ネットワーク・モジュールは、通信ネットワーク上のネットワーク・デバイスからネットワーク構成情報を受信するべく、かつネットワーク・デバイスの標準プロトコルを介して信用証明書要求を信用証明書サーバに送信するべく構成できる。信用証明書要求モジュールは、信用証明書要求を生成するべく構成できる。信用証明書エンジンは、信用証明書要求応答を受信するべく構成できる。ネットワーク・アクセス・エンジンは、信用証明書要求応答からのネットワーク信用証明書を、通信ネットワークにアクセスするためにネットワーク・デバイスに提供するべく構成できる。
例示的なコンピュータ可読媒体は、その上にプログラムを収録しているものとすることができる。当該プログラムは、ネットワーク信用証明書を獲得するための方法を実行するためにプロセッサによって実行可能であるとすることができる。当該方法は、通信ネットワーク上のネットワーク・デバイスからネットワーク構成情報を受信すること、信用証明書要求を生成すること、信用証明書要求を信用証明書サーバに、ネットワーク・デバイスの標準プロトコルを介して送信すること、信用証明書要求応答を受信すること、および信用証明書要求応答からのネットワーク信用証明書を、通信ネットワークにアクセスするためにネットワーク・デバイスに提供することを包含できる。
本発明の実施態様は、ネットワーク信用証明書を獲得するためのシステムおよび方法を提供する。例示的な実施態様においては、ディジタル・デバイスがユーザに関連付けされる。アクセス・コントローラ(たとえば、ホットスポット・アクセス・ポイントに関連付けされる)が、ディジタル・デバイスに、ホットスポットを使用し、通信ネットワークにアクセスするために、認証、またはそのほかの方法でのネットワーク信用証明書(たとえば、ユーザ名およびパスワード)の提供を要求する。ディジタル・デバイスとネットワーク・デバイスの間における接続のネゴシエーションの後であるが、信用証明書が提供される前に、ディジタル・デバイスは、標準プロトコルを使用して信用証明書要求をネットワーク・デバイスに対して送信することができる。信用証明書サーバは、信用証明書要求を受信し、通信ネットワークにアクセスする正しい信用証明書を識別する。信用証明書サーバは、信用証明書要求応答とともにネットワーク信用証明書をディジタル・デバイスに返送することができ、続いてそれが、通信ネットワークへのアクセスを獲得するネットワーク信用証明書を提供する。1つの実施態様においては、通信ネットワークがインターネットを包含する。
図1は、本発明の実施態様が実施されることのある環境100の概略図を図解している。例示的な実施態様においては、ユーザが、ディジタル・デバイス102を伴ってホットスポットに入る。ディジタル・デバイス102は、ネットワーク・デバイス104を介した標準プロトコルとして信用証明書要求を自動的に送信できる。その信用証明書要求は、信用証明書サーバ116に転送されることがあり、それが、その信用証明書要求の中に含められている情報に基づいて、ディジタル・デバイス102に信用証明書要求応答を返送する。この信用証明書要求応答は、ディジタル・デバイス102が、通信ネットワーク114へのアクセスを獲得するべくネットワーク・デバイス104、認証サーバ108、またはアクセス・コントローラ112に提供することができるネットワーク信用証明書を含む。
多様な実施態様においては、ホットスポットが、ネットワーク・デバイス104、認証サーバ108、DNSサーバ110、およびアクセス・コントローラ112を含み、それらはローカル・エリア・ネットワーク106(たとえば『ウォールド・ガーデン』)に結合される。ネットワーク・デバイス104は、ディジタル・デバイス102が、ローカル・エリア・ネットワーク106を介して認証サーバ108、DNSサーバ110、およびアクセス・コントローラ112と通信することを可能にするアクセス・ポイントを包含できる。ディジタル・デバイス102は、ラップトップ、携帯電話、カメラ、携帯情報端末、またはそのほかの任意のコンピューティング・デバイスを包含できる。認証サーバ108は、通信ネットワーク114にわたる通信にアクセスすることをディジタル・デバイス102に許可する前にディジタル・デバイス102にネットワーク信用証明書を要求するサーバである。ネットワーク信用証明書は、ユーザ名、パスワード、およびログイン・プロシージャ情報を包含できる。DNSサーバ110は、ローカル・エリア・ネットワーク106にわたってDNSサービスを提供し、かつ通信ネットワーク114を横切ってほかのDNSサーバ(図示せず)に要求を中継することができる。アクセス・コントローラ112は、ネットワーク・デバイス104に機能的に結合されたデバイスと通信ネットワーク114に結合されたデバイスの間における通信を可能にできるルータまたはブリッジ等のアクセス・デバイスである。
図1内のホットスポットは、ローカル・エリア・ネットワーク106に結合された別々のサーバを図示しているが、当業者は、ローカル・エリア・ネットワーク106に結合される任意数のデバイス(たとえば、サーバ、ディジタル・デバイス、アクセス・コントローラ、およびネットワーク・デバイス)が存在できることを認識するであろう。いくつかの実施態様においては、ローカル・エリア・ネットワーク106がオプションとなる。1つの例においては、認証サーバ108、DNSサーバ110、およびアクセス・コントローラ112が、ネットワーク・デバイス104に直接結合される。多様な実施態様においては、認証サーバ108、DNSサーバ110、およびアクセス・コントローラ112が、1つまたは複数のサーバまたは1つまたは複数のディジタル・デバイス内に結合されることもある。さらに、図1は、無線アクセスを図示しているが、ディジタル・デバイス102が無線または有線(テン・ベース・ティ(10baseT)等)を介してネットワーク・デバイス104に結合されることもある。
通信ネットワーク114にアクセスするために、認証サーバ108が、ホットスポットへのアクセスのための1つまたは複数のネットワーク信用証明書の提供をディジタル・デバイス102に要求することがある。ネットワーク信用証明書は、たとえば、当該ホットスポットに関連付けされたアカウントのためのユーザ名およびパスワードを包含できる。代替実施態様においては、ユーザ名およびパスワードのほかのネットワーク信用証明書が利用されることがある。
例示的な実施態様によれば、ディジタル・デバイス102が信用証明書サーバ116から動的にネットワーク信用証明書を獲得できる。ディジタル・デバイス102は、ディジタル・デバイス102の(またはディジタル・デバイス102のユーザの)アイデンティティおよびネットワーク・デバイス104についての詳細(たとえば、ネットワーク・デバイス104またはワイファイ(Wi‐Fi)サービス・プロバイダの名前)を包含する信用証明書要求を、信用証明書サーバ116に送信できる。
1つの例においては、ディジタル・デバイス102がホットスポットに入るとき、ネットワーク・デバイス104は、たとえばDHCP(ダイナミック・ホスト・コンフィグレーション・プロトコル)を介してDNSクエリの提出ができる提出先のIPアドレスを提供できる。信用証明書要求は、標準プロトコルとしてフォーマットできる。ある例においては、信用証明書要求をDNS要求としてフォーマットできる。信用証明書要求は、ネットワーク・インフラストラクチャ(たとえばアクセス・コントローラ112)が要求をブロックすることがないように、標準レコード型を包含するテキスト・レコード要求(たとえば、TXT)とすることができる。
いくつかの実施態様においては、信用証明書要求がDNSサーバ110によって受信され、それがその信用証明書要求を、ネットワーク信用証明書のための信用証明書サーバ116に転送することができる。例示的な実施態様においては、信用証明書サーバ116が、ルックアップを実行して適正なネットワーク信用証明書(1つまたは複数)を決定し、DNSサーバ110に返送することができ、それが当該ネットワーク信用証明書を転送して要求しているディジタル・デバイス102に返す。多様な実施態様においては、適正なネットワーク信用証明書(1つまたは複数)が、信用証明書要求の送信と同じ経路を介して信用証明書サーバ116からディジタル・デバイス102に送信される。
信用証明書サーバ116におけるネットワーク信用証明書の決定および提供のためのプロセスに関するより詳細は、参照によってこれに援用される、2007年9月6日に出願された『システム・アンド・メソッド・フォア・プロバイディング・ネットワーク・クレデンシャルズ(System and Method for Providing Network Credentials)』と題された同時係属の米国特許出願第__号の中に提供されている。図1の中では1つのDNSサーバ110だけが図示されているが、信用証明書要求が信用証明書サーバ116によって受信される前に、限定ではないがDNSサーバを含む任意数のサーバを通って転送されることがある。ほかの実施態様においては、信用証明書要求が、ネットワーク・デバイス104から信用証明書サーバ116に直接転送される。
いくつかの実施態様においては、信用証明書サーバ116からの信用証明書要求応答が、ユーザ名、パスワード、および/またはログイン・プロシージャ情報を包含できる。ログイン・プロシージャ情報は、たとえば、HTMLのフォーム要素名、提出URL、または提出プロトコルを包含できる。いくつかの実施態様においては、ネットワーク信用証明書応答が、ディジタル・デバイス102に返送される前に信用証明書サーバ116によって、ディジタル・デバイス102に関連付けされた暗号鍵を使用して暗号化されることがある。
ディジタル・デバイス102がネットワーク信用証明書応答を受信した後は、ディジタル・デバイス102が、(ネットワーク信用証明書応答から取得された)ネットワーク信用証明書を認証応答の中でネットワーク・デバイス104に提出できる。例示的な実施態様においては、認証応答が、検証のために認証サーバ108に転送されることがある。いくつかの実施態様においては、認証サーバ108が、AAAサーバまたはラディウス(RADIUS)サーバを包含できる。ネットワーク・アクセスを獲得するためのプロセスに関するより詳細な内容が、参照によってこれに援用される、2007年9月6日に出願された『システム・アンド・メソッド・フォア・オブテインニング・ネットワーク・アクセス(System and Method for Obtaining Network Access)』と題された同時係属の米国特許出願第__号の中に提供されている。
注意される必要があるが、図1は例示である。代替実施態様が、より多くの、より少ない、または機能的に等価の構成要素を包含することがあるが、それもこの実施態様の範囲内である。たとえば、手前で論じたとおり、多様なサーバ(たとえば、DNSサーバ110、信用証明書サーバ116、および認証サーバ108)の機能が、1つまたは2つのサーバに結合されることがある。つまり仮に、たとえば、認証サーバ108およびDNSサーバ110が同一のサーバを構成できるとすれば、認証サーバ108、DNSサーバ110、およびアクセス・コントローラ112の機能性を単一のデバイスに結合することができる。
図2は、例示的なディジタル・デバイスのブロック図である。ディジタル・デバイス102は、認証モジュール200、ネットワーク・モジュール202、信用証明書要求モジュール204、信用証明書エンジン206、暗号化/復号化モジュール208、DDID(ディジタル・データ・インターフェース・デバイス)ストレージ210、およびネットワーク・アクセス・エンジン212を包含する。モジュールは、個別に、または組み合わせでソフトウエア、ハードウエア、ファームウエア、または回路を包含できる。
認証モジュール200は、信用証明書要求に対してセキュリティを提供し、信用証明書要求応答を認証し、かつディジタル・デバイス102と認証サーバ108の間における安全な通信を確立するべく構成できる。多様な実施態様においては、認証モジュール200が、信用証明書要求をディジタル署名することによって信用証明書要求にセキュリティを提供する。1つの例では、信用証明書要求が、信用証明書サーバ116と共有される暗号鍵を使用して署名される。
認証モジュール200は、信用証明書サーバ116から受信された信用証明書要求応答を、暗号鍵(たとえば、共有された暗号鍵)を用いて当該信用証明書要求応答を復号化(平文化)することによって認証できる。いくつかの実施態様においては、暗号化/復号化モジュール208が信用証明書要求応答を復号化する。
多様な実施態様においては、認証モジュール200が、乱数値(すなわち、ナンス値)を生成すること、および信用証明書要求内にその値を含めることもできる。信用証明書要求応答が受信されたとき、当該信用証明書要求応答からナンスを取得し、信用証明書要求応答の追加の認証を行うべく信用証明書要求内に含められた乱数値と比較することができる。
ネットワーク・モジュール202は、通信ネットワーク114にアクセスするために動作を実行するべく構成できる。いくつかの実施態様においては、ネットワーク・モジュール202がホットスポットへのアクセスに関連付けされた通信の受信および送信ができる。1つの例では、ネットワーク・モジュール202が、ディジタル・デバイス102およびネットワーク・デバイス104を介した初期接続をネゴシエートする。
いくつかの実施態様においては、ネットワーク・モジュール202が、通信ネットワーク114のサーチを実行できる。たとえば、ディジタル・デバイス102がホットスポットに入るとき、ネットワーク・モジュール214が通信ネットワーク114との接続を試行できる。ディジタル・デバイス102が通信ネットワーク114にアクセスできない場合、ここで述べられている本発明の実施態様を実施できることがある。
信用証明書要求モジュール204は、信用証明書要求の生成および送信ができる。信用証明書要求は、標準プロトコルとすることができる。1つの例においては、信用証明書要求がUDPプロトコルになる。
多様な実施態様において、信用証明書要求モジュール204が、ネットワーク・デバイス104からネットワーク・デバイス識別子を取得する。1つの例では、ネットワーク・デバイス識別子が、当該ネットワーク・デバイスのサービス・セット識別子(SSID)である。ネットワーク・デバイス識別子は、その後、信用証明書要求内に含めることができる。代替として、信用証明書要求モジュール204は、ネットワーク・デバイス104によって提供されるネットワーク・アクセス・ページからサービス・プロバイダを識別できる。信用証明書要求モジュール204は、その後、当該サービス・プロバイダ識別子を信用証明書要求内に提供できる。
ネットワーク・アクセス・ページは、認証サーバ108から受信されたウェブ・ページまたは情報(たとえば、XMLタグ)を包含できる。ネットワーク・アクセス・ページに応答して、ディジタル・デバイス102は、ネットワーク・アクセスを獲得するべく情報(たとえば、ネットワーク信用証明書または応答)を認証サーバ108に提供できる。1つの例では、ネットワーク・アクセス・ページが、認証サーバ108および/またはネットワーク・デバイス104からディジタル・デバイス102によって受信されたいくつかのウェブ・ページを包含する。別の例においては、ネットワーク・アクセス・ページが、1つまたは複数のタグまたはウェブ・ページおよびタグの組み合わせを包含する。
信用証明書要求モジュール204は、また、ディジタル・デバイス識別子(DDID)および/またはユーザ識別子を信用証明書要求内に含めることができる。多様な実施態様においては、DDIDがMACアドレス、一意的な識別子、またはそのほかの、ディジタル・デバイス102を識別する任意の識別子を包含できる。ユーザ識別子は、ディジタル・デバイス102の所有者またはユーザを識別する任意の識別子(たとえば、ユーザ名またはパスコード)とすることが可能である。
例示的な信用証明書エンジン206は、信用証明書要求応答を受信すること、およびネットワーク信用証明書を取得することができる。いくつかの実施態様においては、信用証明書要求応答が暗号化/復号化モジュール208によって復号化され、認証モジュール200によってナンス認証される。
上で論じたとおり、取得されたネットワーク信用証明書が、ログイン・プロシージャ情報を包含することがある。1つの例においては、信用証明書が、ユーザ名およびパスワードを含み、それらが、認証サーバ108から取得されたフォーム内に提供される。いくつかの実施態様においては、ログイン・プロシージャ情報が、信用証明書エンジン206に、完成されたフォームを認証サーバ108に提出する前に、正しい信用証明書を用いてフォーム内の特定のフィールドを埋めることを指示できる。当業者は認識するであろうが、認証サーバ108に信用証明書を提供する多くの方法がある。認証サーバに信用証明書を提供するプロセスは、2007年9月6日に出願された『システムズ・アンド・メソッズ・フォア・オブテインニング・ネットワーク・アクセス(Systems and Methods for Obtaining Network Access)』と題された同時係属の米国特許出願第__号の中でさらに論じられている。
暗号化/復号化モジュール208は、ディジタル・デバイス102によって送信/受信される通信の暗号化または復号化を行うべく構成される。いくつかの実施態様においては、信用証明書要求応答が、信用証明書サーバ116によって暗号化されることがある。これらの実施態様では、暗号化/復号化モジュール208が信用証明書要求応答を復号化することになる。多様な実施態様においては、暗号化/復号化モジュール208が、ディジタル・デバイス102と認証サーバ108の間に安全な通信を確立できる。1つの例において暗号化/復号化モジュール208は、SSLおよびhttpsを介してディジタル・デバイス102と認証サーバ108の間に安全な通信を確立できる。注意される必要があるが、いくつかの実施態様によれば暗号化/復号化モジュール208をオプションにできる。
DDIDストレージ210は、DDIDをストアする。DDIDは、DDIDストレージ210から、信用証明書要求が生成されるときに信用証明書要求モジュール204によって取得されることがある。DDIDストレージ210は、オプションにできる(たとえば、DDIDがディジタル・デバイス102のMACアドレスのとき)。DDIDストレージ210は、また、ディジタル・デバイス102の所有者またはユーザ、または信用証明書サーバ116に関連付けされたアカウントの所有者を識別するユーザ識別子も包含できる。いくつかの実施態様においては、ユーザ識別子が、信用証明書サーバ116上のアカウントに関連付けされたユーザの識別子を包含する。
例示的なネットワーク・アクセス・エンジン212は、認証要求を受信し、ネットワーク・デバイス104に認証応答を提供してネットワーク信用証明書を包含するべく構成できる。
図3は、ディジタル・デバイス102にネットワーク・アクセスを提供するための例示的なプロセスのフローチャートである。ディジタル・デバイス102が最初にホットスポット内に入るとき、ディジタル・デバイス102(たとえばネットワーク・モジュール214)が、ステップ300においてローカル・エリア・ネットワーク106についてのスキャンを行うことができる。そのスキャンの結果として、ネットワーク・デバイス104は、ステップ302においてネットワーク構成情報を提供できる。ネットワーク構成情報は、DNSサーバ110にアクセスするための1つまたは複数のIPアドレスを包含できる。
ステップ304においては、信用証明書要求がディジタル・デバイス102によって生成される。図2に関連して上で論じたとおり、信用証明書要求モジュール240が信用証明書要求を生成できる。その後に続き、手前でネットワーク・デバイス104から受信したIPアドレスのうちの1つを使用して、ステップ306において信用証明書要求をDNSサーバ110に送信できる。
その信用証明書要求に基づいて、ステップ308において、信用証明書サーバ116がDNSサーバ110によって識別される。DNSサーバ110は、信用証明書要求を信用証明書サーバ116に転送する。DNSサーバ110が、ローカルでDNS要求を解決できないときは、その信用証明書要求が通信ネットワーク114上の別のDNSサーバに転送され、その後それが信用証明書サーバ116にその信用証明書要求を転送することができる。信用証明書要求は、ステップ310において、直接または通信ネットワーク114上のほかの1つまたは複数のDNSサーバを通じて間接的に信用証明書サーバ116に転送される。
信用証明書サーバ116は、ステップ312において、必要とされているネットワーク信用証明書を信用証明書要求に基づいて識別する。たとえば、信用証明書要求は、ディジタル・デバイス102についての識別子(すなわち、DDID)をはじめ、ホットスポットについての識別子(たとえば、オペレータ等のサービス・プロバイダ)を包含できる。識別子は、信用証明書サーバ116において、適正なネットワーク信用証明書を決定するべくその種の識別子のテーブルと比較できる。その後ステップ314において信用証明書要求応答が生成され、ステップ316においてDNSサーバ110に中継される。DNSサーバ110は、この信用証明書要求応答を、ステップ318においてディジタル・デバイスに転送する。
ディジタル・デバイス102は、その後ステップ320において、信用証明書要求応答からネットワーク信用証明書を取得できる。例示的な実施態様においては、取得モジュール224が、信用証明書要求応答を分析して、それの中に埋め込まれているネットワーク信用証明書を取得することになる。
その後ステップ322において、ネットワーク・デバイス104にネットワーク信用証明書を提供できる。ネットワーク・デバイスに(およびその後に続いて認証サーバ108に)ネットワーク信用証明書を提供するための例示的な方法は、2007年9月6日に出願された『システムズ・アンド・メソッズ・フォア・オブテインニング・ネットワーク・アクセス(Systems and Methods for Obtaining Network Access)』と題された同時係属の米国特許出願第__号の中で論じられている。ネットワーク信用証明書を検証すると、ネットワーク・デバイス104がステップ324においてディジタル・デバイス102にネットワーク・アクセスを提供する。
ここで図4を参照すると、例示的な信用証明書要求400がより詳細に示されている。例示的な実施態様によれば、要求モジュール220が、信用証明書要求400を生成できる。1つの実施態様においては、信用証明書要求400を、場所識別子402、シーケンス識別子404、署名406、DDID 408、サービス・セット識別子(SSID)410、およびバージョン識別子412を包含する構造を有するDNS文字列とすることができる。
オプションの場所識別子402は、ディジタル・デバイス102、ネットワーク・デバイス104、認証サーバ108、またはアクセス・コントローラ112の物理的、または地理上の場所を示すことができる。多様な実施態様において場所識別子402は、信用証明書サーバ116によって、ホットスポットの使用量、ディジタル・デバイス102のユーザをはじめ、ディジタル・デバイス102を追跡するべく使用されることがある。
シーケンス識別子404は、ログインが成功であるか否かを決定するべく、その後に続く信用証明書サーバ116への要求との対応に使用される任意の番号または番号のセットを包含できる。すなわちシーケンス識別子404は、相関メカニズムを提供し、それによって信用証明書サーバ116によるログイン・プロセスの検証ができる。
例示的な実施態様においては、署名406が、なりすましの防止に使用される暗号署名を包含する。ディジタル・デバイス102からの要求の署名406は、信用証明書サーバ116によって検証される。署名406が有効でなければ、信用証明書サーバ116によってその要求が退けられる。
DDID 408は、ディジタル・デバイス102の一意的な識別子を包含する。たとえばDDID 408は、ディジタル・デバイス102のMACアドレスまたはそのほかの任意の普遍的に一意的な識別子を包含できる。例示的な実施態様においては、DDIDが、DDIDストレージ210から検索される。
SSID 410は、ネットワーク・アクセス・ポイントまたはワイファイ(Wi‐Fi)サービス・プロバイダの識別子を包含する。たとえばSSID 410は、サービス・プロバイダの名前またはネットワーク・デバイス104を操作する場所の名前を包含できる。
バージョン識別子412は、信用証明書要求400のプロトコルまたはフォーマットを識別できる。たとえばディジタル・デバイス102が信用証明書要求400を生成し、かつ多数の異なるフォーマットでデータを組織化できる。それぞれの異なるフォーマットは、異なるバージョン識別子と関連付けできる。いくつかの実施態様においては、信用証明書エンジン206およびネットワーク・アクセス・エンジン212の構成要素が、更新され、再構成され、または時間を経て変更されることがあり、それが信用証明書要求400の構造に影響を及ぼすことがある。結果として信用証明書サーバ116が、異なってフォーマットされた複数の信用証明書要求400を受信することがあり得る。信用証明書サーバ116は、それぞれのバージョン識別子に基づいて、それぞれの信用証明書要求からの必要な情報にアクセスできる。
図5は、ネットワーク信用証明書を獲得するための例示的な方法のフローチャートである。ステップ502においては、ディジタル・デバイス102が、ネットワーク構成情報を受信する。1つの例では、ネットワーク・モジュール202が、ネットワーク・デバイス104を介して利用可能な無線ネットワークをサーチし、かつ探し出す。ネットワーク・モジュール202が、ネットワーク・デバイス104との接続をネゴシエートする。ネゴシエーションの間、ネットワーク・モジュール202がネットワーク構成情報を受信することがある。ネットワーク構成情報は、ネットワーク・デバイス104およびDNSサーバ110についての識別子を包含できる。1つの例においては、ネゴシエーションの間にネットワーク・モジュール202が、(たとえば、DNSサーバ110についての)DNSサーバIPアドレスを受信する。ネットワーク・モジュール202は、認証サーバ108に関連付けされたサービス・プロバイダの識別子も受信することがある(たとえば、Tモバイル(T‐mobile))。
ステップ504においては、ディジタル・デバイス102が信用証明書要求を生成する。多様な実施態様において、信用証明書要求モジュール204が信用証明書要求を生成する。信用証明書要求は、シーケンス識別子、DDID、およびSSIDを包含できる。多様な実施態様において、信用証明書要求モジュール204がナンスを生成し、暗号鍵を用いて信用証明書要求をディジタル署名する。
ステップ506においては、ディジタル・デバイス102が、標準プロトコルを使用して信用証明書要求を送信する。ネットワーク・デバイス104は、その信用証明書要求を受信し、かつ通信ネットワーク114に転送できる。多様な実施態様においては、ネットワーク・デバイス104が、認証サーバ108、DNSサーバ110、またはアクセス・コントローラ112に信用証明書要求を提供でき、それもまた当該信用証明書要求を転送できる。
信用証明書サーバ116は、信用証明書要求を受信できる。多様な実施態様においては、信用証明書サーバ116が、暗号鍵を用いてディジタル署名を復号化し、ディジタル署名を認証する。信用証明書サーバ116は、続いてその信用証明書要求内に含められた情報に基づいて適正なネットワーク信用証明書を識別できる。ネットワーク信用証明書は、信用証明書要求応答内に組み込むことができ、ディジタル・デバイス102に返送される。
ステップ508においては、ディジタル・デバイス102が、信用証明書要求応答を受信し、ネットワーク信用証明書を取得する。1つの例では、信用証明書エンジン206が信用証明書要求応答を受信し、かつ認証する。信用証明書要求応答が認証された場合には、ネットワーク信用証明書が、当該信用証明書要求応答から取得される。
ステップ510においては、ディジタル・デバイス102が、通信ネットワーク114に対するネットワーク・アクセスを獲得するべくネットワーク信用証明書をネットワーク・デバイス104に提供する。1つの例では、信用証明書エンジン206が認証サーバ108から1つまたは複数のフォームを取得し、1つまたは複数の信用証明書を用いて当該フォームを埋め、完成されたフォームを認証サーバ108に提供する。別の例においては、信用証明書エンジン206が必要時にネットワーク信用証明書を認証サーバ108に提供する。認証サーバ108によってネットワーク信用証明書が受信されると、認証サーバ108は、ディジタル・デバイス102と通信ネットワーク114の間の通信を許可できる。1つの例では、認証サーバ108がアクセス・コントローラ112に、通信の許可を命令する。
図6は、ネットワーク信用証明書を獲得するための例示的な方法の別のフローチャートである。ステップ602においては、ディジタル・デバイス102がネットワーク構成情報を受信する。ステップ604においては、ディジタル・デバイス102が、ネットワークの連結性をテストする。たとえば、ネットワーク・デバイス104を通じて接続がネゴシエートされた後に、ネットワーク・モジュール202が、ウェブ・サイトへの接続を試行できる。それに応答して、認証サーバ108またはアクセス・コントローラ112が、試行された接続を、ネットワーク信用証明書を要求するネットワーク・アクセス・ページにリダイレクトできる。多様な実施態様において、信用証明書要求モジュール204が、認証サーバ108に関連付けされたサービス・プロバイダを、ネットワーク・アクセス・ページを通じて識別できる。
ステップ606においては、ディジタル・デバイス102が信用証明書要求を生成する。多様な実施態様において、信用証明書要求は、ディジタル・デバイス102に関連付けされたユーザを識別するDDIDおよびネットワーク・アクセス・ポイント(たとえばネットワーク・デバイス104、認証サーバ108、またはサービス・プロバイダ)を識別するSSIDを包含する。信用証明書要求は、また、シーケンス識別子およびバージョン識別子も包含できる。
ステップ608においては、ディジタル・デバイス102が、信用証明書要求にディジタル署名する。多様な実施態様では、ナンスが生成されてディジタル署名の中に含められる。1つの例においては、信用証明書要求が暗号鍵(たとえば、ペアの鍵のうちの1つまたは信用証明書サーバ116と共有される暗号鍵)を用いて暗号化される。
ステップ610においては、ディジタル・デバイス102が、信用証明書要求を信用証明書サーバ116に標準プロトコルを介して送信する。1つの例では、信用証明書要求が、ネットワーク構成情報の中で受信されたDNSサーバIPアドレスによって識別されたDNSサーバ110に送信される。いくつかの実施態様では、DNSサーバ110が、当該信用証明書要求をローカルに解決できないDNS要求として扱い、その信用証明書要求を別のDNSサーバに通信ネットワーク114を介して転送する。最終的に、信用証明書サーバ116が転送された信用証明書要求を受信できる。
信用証明書サーバ116は、信用証明書要求内のディジタル署名の認証およびナンスの取得を行うことができる。信用証明書サーバ116は、その後、信用証明書サーバ116内に含められているDDIDおよびSSIDを使用して信用証明書サーバ116内に含められているレコードから正しいネットワーク信用証明書の決定および検索を行うことができる。その後に続いて、信用証明書サーバ116が、ナンスおよびネットワーク信用証明書を含む信用証明書要求応答を生成する。当該信用証明書要求応答は、暗号鍵(たとえば、鍵ペアのうちの1つの暗号鍵または共有された暗号鍵)を使用して暗号化される。多様な実施態様では、暗号化された信用証明書要求応答が、信用証明書要求内においてディジタル・デバイス102から受信されたナンスを含む。その後、信用証明書要求応答がディジタル・デバイス102に返送される。
信用証明書サーバ116は、シーケンス識別子をストアできる。多様な実施態様では、シーケンス識別子を使用して、ディジタル・デバイス102が通信ネットワーク114へのアクセスの獲得に成功したか否かを決定できる。さらに、信用証明書要求応答は、信用証明書要求応答をキャッシュ不用とするコマンドを包含できる。このキャッシュ不用コマンドに応答して、中間DNSサーバ(すなわち、信用証明書サーバ116とディジタル・デバイス102の間において信用証明書要求応答を中継するDNSサーバ)は、当該信用証明書要求応答をキャッシュしない。いくつかの実施態様においては、このコマンドに応答して、ディジタル・デバイス102が、信用証明書要求応答のキャッシュまたはDNSライブラリの更新を行わないことがある。
信用証明書サーバ116が信用証明書要求応答を生成するプロセスは、2007年9月6日に出願された『システムズ・アンド・メソッズ・フォア・オブテインニング・ネットワーク・アクセス(Systems and Methods for Obtaining Network Access)』と題された同時係属の米国特許出願第__号の中でさらに論じられている。
ステップ612においては、ディジタル・デバイス102が信用証明書サーバ116から信用証明書要求応答を受信する。ステップ614においては、ディジタル・デバイス102が当該信用証明書要求応答を復号化する。1つの例では、ディジタル・デバイス102が、暗号鍵を使用して信用証明書要求応答を復号化し、その信用証明書要求応答からナンスを取得する。
ステップ616においては、ディジタル・デバイス102が信用証明書要求応答を認証する。多様な実施態様においてディジタル・デバイス102は、信用証明書要求応答の復号化の成功に基づいて真正を決定する。いくつかの実施態様では、信用証明書要求応答から取得されたナンスが、生成されて信用証明書要求内に含められたナンスと比較され、信用証明書要求応答の追加の認証が行われる。
信用証明書要求応答が認証されると、ディジタル・デバイス102は、ステップ618において信用証明書要求応答からネットワーク信用証明書を取得する。ステップ620においては、ディジタル・デバイス102が、ネットワーク・アクセスと関連付けされた認証要件を識別する。
多様な実施態様では、ディジタル・デバイス102が、正しい情報およびネットワーク信用証明書を決定して認証サーバ108に提供する。1つの例においてディジタル・デバイス102は、認証サーバ108から1つまたは複数のネットワーク・アクセス・ページを検索する。ディジタル・デバイス102は、認証サーバからの正しいネットワーク・アクセス・ページにアクセスし、かつ自動的に選択を行うことができる。1つの例では、ディジタル・デバイス102が自動的に選択をアクティベートできる(たとえば、ネットワーク・アクセス・ページ内のボタン、チェック・ボックス、および選択ラジオ・ボタンをアクティベートする)。自動選択は、信用証明書エンジンによる選択に基づくことができる。たとえば信用証明書エンジンは、認証サーバから検索されたフォーム(1つまたは複数)の識別および自動選択のための実行可能インストラクションの提供を行うことができるフォーム・ライブラリ(図示せず)にアクセスできる。信用証明書エンジンは、また、信用証明書要求応答から取得されたネットワーク信用証明書内に含められていたインストラクションに基づいて選択をアクティベートすることもある。当業者は認識するであろうが、選択を自動的に行うことができる多くの方法が存在し得る。
ほかの実施態様においては、ディジタル・デバイス102が、最初にネットワーク・アクセス・ページを取得することなく、認証サーバ108に送信する適正な情報を決定できる。認証サーバ108に送信する適正な情報の決定は、ネットワーク・デバイス104、認証サーバ108、またはサービス・プロバイダを識別するインストラクションを基礎にできる。
ステップ622においては、ディジタル・デバイス102が、認証要件に従ってネットワーク・アクセスのためのネットワーク信用証明書を提供する。多様な実施態様では、ディジタル・デバイス102が、ネットワーク信用証明書からのユーザ名、パスワード、アカウント番号、またはそれらの類を認証サーバ108に提供する。認証サーバ108がディジタル・デバイス102を認証した後は、認証サーバ108が、アクセス・コントローラ112に、ディジタル・デバイス102と通信ネットワーク114の間の通信アクセスを許可するべく命令できる。
多様な実施態様においては、ネットワーク信用証明書が、ネットワーク・アクセス・ページ内のオプションを単純にアクティベートするべくディジタル・デバイス102に指示するログイン・プロシージャ情報を包含する。1つの例では、ネットワーク・アクセス・ページが、単純にサービスの期間および条件からなるとすることができる。ディジタル・デバイス102がネットワーク・アクセスを獲得するためには、ネットワーク・アクセス・ページ内における単一の選択がアクティベートされなければならない(『提出』ボタンまたはユーザが期間および条件に合意したことの表示等)。少なくとも部分的にログイン・プロシージャ情報に準じてディジタル・デバイス102は、自動的に正しい選択を行い、かつパスワードまたはユーザ名等の信用証明書をさらに提供することなくネットワーク・アクセスを獲得できる。当業者によって認識されるであろうが、ログイン・プロシージャ情報に基づいて1つまたは複数の選択が自動的に行われるようにできる。
さらに、1つまたは複数のユーザ名、1つまたは複数のパスワード、および1つまたは複数のログイン・プロシージャ情報の任意の組み合わせがネットワーク信用証明書内に含められることがある。いくつかの実施態様では、ネットワーク信用証明書がユーザ名を含むことができる。ほかの実施態様では、ネットワーク信用証明書がパスワードを含むことができる。
ステップ624においては、ディジタル・デバイス102がネットワークの連結性をテストしてネットワーク・アクセスを確認する。1つの例では、ディジタル・デバイス102が信用証明書サーバ116に関連付けされたウェブ・サイト(たとえば、信用証明書サーバ116がウェブ・サーバとして機能できる)への接続を試行する。いくつかの実施態様では、クエリまたはコマンドが、以前に信用証明書要求内において提出されたシーケンス識別子を含む。ネットワーク・アクセスが成功した場合には、信用証明書サーバ116が、当該クエリまたはコマンドを受信し、シーケンス識別子を取得できる。信用証明書サーバ116は、その後、そのネットワーク・アクセスが成功したことを確認できる。
図7は、例示的なディジタル・デバイスのブロック図である。ディジタル・デバイス102は、プロセッサ700、メモリ・システム702、ストレージ・システム704、I/Oインターフェース706、通信ネットワーク・インターフェース708、およびディスプレイ・インターフェース710を包含する。プロセッサ700は、実行可能インストラクション(たとえばプログラム)を実行するべく構成される。いくつかの実施態様ではプロセッサ700が、実行可能インストラクションを処理する能力のある回路または任意のプロセッサを包含する。
メモリ・システム702は、データをストアするべく構成された任意のメモリである。メモリ・システム702のいくつかの例は、RAMまたはROM等のストレージ・デバイスである。メモリ・システム702は、RAMキャッシュを包含することが可能である。多様な実施態様においては、データがメモリ・システム702内にストアされる。メモリ・システム702内のデータは、クリアされるか、または最終的にストレージ・システム704に転送されることがある。
ストレージ・システム704は、データの取得およびストアを行うべく構成された任意のストレージである。ストレージ・システム704のいくつかの例は、フラッシュ・ドライブ、ハード・ドライブ、光学ドライブ、および/または磁気テープである。いくつかの実施態様においては、ディジタル・デバイス102が、RAMの形でメモリ・システム702を、かつフラッシュ・データの形でストレージ・システム704を含む。メモリ・システム702およびストレージ・システム704は、ともに、プロセッサ700を含むコンピュータ・プロセッサによって実行可能なインストラクションまたはプログラムをストアできるコンピュータ可読媒体を構成する。
オプションの入力/出力(I/O)インターフェース706は、ユーザから入力を受け取り、データを出力する任意のデバイスである。オプションのディスプレイ・インターフェース710は、グラフィクスおよびデータをディスプレイに出力するべく構成された任意のデバイスである。1つの例においては、ディスプレイ・インターフェース710がグラフィック・アダプタになる。認識されるであろうが、すべてのディジタル・デバイス102が、I/Oインターフェース806またはディスプレイ・インターフェース810のうちのいずれも包含するわけではない。
通信ネットワーク・インターフェース(コム・ネットワーク・インターフェース)708は、リンク712を介してネットワーク(たとえば、ローカル・エリア・ネットワーク106および通信ネットワーク114)に結合することが可能である。通信ネットワーク・インターフェース708は、たとえばイーサネット接続、シリアル接続、パラレル接続、またはATA接続を介した通信をサポートできる。また通信ネットワーク・インターフェース708は、無線通信(たとえば、802.11a/b/g/n、ワイマックス(WiMax))もサポートできる。当業者には明らかとなろうが、通信ネットワーク・インターフェース708は、多くの有線および無線標準をサポートすることが可能である。
上で述べた機能および構成要素は、ストレージ媒体上にストアされるインストラクションからなるとすることができる。それらのインストラクションは、プロセッサによって取得され、実行されることが可能である。インストラクションのいくつかの例は、ソフトウエア、プログラム・コード、およびファームウエアである。ストレージ媒体のいくつかの例は、メモリ・デバイス、テープ、ディスク、集積回路、およびサーバである。インストラクションは、プロセッサによって実行されるとき、当該プロセッサに、本発明の実施態様と調和して動作することを指示するべく機能する。当業者は、インストラクション、プロセッサ(1つまたは複数)、およびストレージ媒体について熟知している。
以上、例示的な実施態様を参照して本発明を述べてきた。当業者には明らかとなろうが、より広い本発明の範囲から逸脱することなしに多様な修正が許され、かつそのほかの実施態様を使用することが可能である。したがって、例示的な実施態様に対するそれらの、およびそのほかの変形は、本発明によって保護されるべく意図されている。
102 ディジタル・デバイス、104 ネットワーク・デバイス、106 ローカル・エリア・ネットワーク、108 認証サーバ、110 DNSサーバ、112 アクセス・コントローラ、114 通信ネットワーク、116 信用証明書サーバ、200 認証モジュール、202 ネットワーク・モジュール、204 信用証明書要求モジュール、206 信用証明書エンジン、208 暗号化/復号化モジュール、210 DDIDストレージ、212 ネットワーク・アクセス・エンジン。
Claims (24)
- ネットワーク信用証明書を獲得するための方法であって、
通信ネットワーク上のネットワーク・デバイスからネットワーク構成情報を受信するステップと、
信用証明書要求を生成するステップと、
前記信用証明書要求を信用証明書サーバに、前記ネットワーク・デバイスの標準プロトコルを介して送信するステップと、
信用証明書要求応答を受信するステップと、
前記通信ネットワークにアクセスするために前記ネットワーク・デバイスに、前記信用証明書要求応答からのネットワーク信用証明書を提供するステップと、
を包含する方法。 - さらに、前記信用証明書要求を暗号化するステップとを包含する、請求項1に記載の方法。
- さらに、前記信用証明書要求応答を復号化するステップとを包含する、請求項1に記載の方法。
- さらに、前記信用証明書要求をディジタル署名するステップとを包含する、請求項1に記載の方法。
- 前記標準プロトコルはDNSである、請求項1に記載の方法。
- 前記信用証明書要求は場所識別子を包含する、請求項1に記載の方法。
- 前記場所識別子は、前記ネットワーク構成情報のうちの少なくともいくつかに基づく、請求項6に記載の方法。
- 前記信用証明書要求応答は、前記信用証明書要求応答をキャッシュさせないコマンドを包含する、請求項1に記載の方法。
- 前記信用証明書要求応答からの前記信用証明書を提供する前記ステップは、ネットワーク・アクセス・ページを分析すること、および前記ネットワーク・アクセス・ページ内のフォーム情報を書き込むことを包含する、請求項1に記載の方法。
- 前記ネットワーク・デバイスの前記標準プロトコルは、ユーザ・データグラム・プロトコル(UDP)である、請求項1に記載の方法。
- 前記信用証明書要求は、ディジタル・デバイス識別子を包含する、請求項1に記載の方法。
- ネットワーク信用証明書を獲得するためのシステムであって、
通信ネットワーク上のネットワーク・デバイスからネットワーク構成情報を受信するべく、かつ前記ネットワーク・デバイスの標準プロトコルを介して信用証明書要求を信用証明書サーバに送信するべく構成されたネットワーク・モジュール、
前記信用証明書要求を生成するべく構成された信用証明書要求モジュール、
信用証明書要求応答を受信するべく構成された信用証明書エンジン、および
前記通信ネットワークにアクセスするために前記ネットワーク・デバイスに、前記信用証明書要求応答からのネットワーク信用証明書の提供をするべく構成されたネットワーク・アクセス・エンジン、
を包含するシステム。 - さらに、前記信用証明書要求を暗号化するべく構成された暗号化/復号化モジュールを包含する、請求項12に記載のシステム。
- さらに、前記信用証明書要求応答を復号化するべく構成された暗号化/復号化モジュールを包含する、請求項12に記載のシステム。
- さらに、前記信用証明書要求をディジタル署名するべく構成された暗号化/復号化モジュールを包含する、請求項12に記載のシステム。
- 前記標準プロトコルはDNSである、請求項12に記載のシステム。
- 前記信用証明書要求は場所識別子を包含する、請求項12に記載のシステム。
- 前記場所識別子は、前記ネットワーク構成情報のうちの少なくともいくつかに基づく、請求項17に記載のシステム。
- 前記信用証明書要求応答は、前記信用証明書要求応答をキャッシュさせないコマンドを包含する、請求項12に記載のシステム。
- 前記信用証明書要求応答からの前記信用証明書の提供は、ネットワーク・アクセス・ページを分析するべく、かつ前記ネットワーク・アクセス・ページ内のフォーム情報を書き込むべく構成された前記ネットワーク・アクセス・エンジンを包含する、請求項12に記載のシステム。
- 前記ネットワーク・デバイスの前記標準プロトコルは、ユーザ・データグラム・プロトコル(UDP)である、請求項12に記載のシステム。
- 前記信用証明書要求は、ディジタル・デバイス識別子を包含する、請求項12に記載のシステム。
- プロセッサにより実行をできるプログラムであって、その実行をされると、ネットワーク信用証明書を獲得する次の方法、すなわち:
通信ネットワーク上のネットワーク・デバイスからネットワーク構成情報を受信するステップと、
信用証明書要求を生成するステップと、
前記信用証明書要求を信用証明書サーバに標準プロトコルを介して送信するステップと、
信用証明書要求応答を受信するステップと、
前記信用証明書要求応答からのネットワーク信用証明書を、前記通信ネットワークにアクセスするために前記ネットワーク・デバイスに提供するステップと
を含む方法
が実施されるプログラムを記憶したコンピュータ可読媒体。 - 前記標準プロトコルはDNSである、請求項23に記載のコンピュータ可読媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US82475606P | 2006-09-06 | 2006-09-06 | |
| US60/824,756 | 2006-09-06 | ||
| PCT/US2007/019464 WO2008030527A2 (en) | 2006-09-06 | 2007-09-06 | Systems and methods for acquiring network credentials |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2010503319A true JP2010503319A (ja) | 2010-01-28 |
| JP2010503319A5 JP2010503319A5 (ja) | 2010-10-28 |
| JP5276593B2 JP5276593B2 (ja) | 2013-08-28 |
Family
ID=39157841
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009527410A Expired - Fee Related JP5368307B2 (ja) | 2006-09-06 | 2007-09-06 | ネットワーク信用証明書を提供するシステムおよび方法 |
| JP2009527412A Expired - Fee Related JP5276593B2 (ja) | 2006-09-06 | 2007-09-06 | ネットワーク信用証明書を獲得するためのシステムおよび方法 |
| JP2009527411A Expired - Fee Related JP5276592B2 (ja) | 2006-09-06 | 2007-09-06 | ネットワーク・アクセスを獲得するためのシステムおよび方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009527410A Expired - Fee Related JP5368307B2 (ja) | 2006-09-06 | 2007-09-06 | ネットワーク信用証明書を提供するシステムおよび方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009527411A Expired - Fee Related JP5276592B2 (ja) | 2006-09-06 | 2007-09-06 | ネットワーク・アクセスを獲得するためのシステムおよび方法 |
Country Status (3)
| Country | Link |
|---|---|
| EP (3) | EP2062130A4 (ja) |
| JP (3) | JP5368307B2 (ja) |
| WO (3) | WO2008030527A2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011530960A (ja) * | 2008-08-14 | 2011-12-22 | マイクロソフト コーポレーション | 機器とステーションの関連付けのためのプロトコル |
| JP2012515956A (ja) * | 2009-01-16 | 2012-07-12 | デバイススケープ・ソフトウェア・インコーポレーテッド | 強化されたスマートクライアントサポートのためのシステム及びその方法 |
| US8769612B2 (en) | 2008-08-14 | 2014-07-01 | Microsoft Corporation | Portable device association |
| US10447705B2 (en) | 2008-08-14 | 2019-10-15 | Microsoft Technology Licensing, Llc | Cloud-based device information storage |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5270947B2 (ja) * | 2008-04-01 | 2013-08-21 | キヤノン株式会社 | 通信システムの制御方法、無線通信装置、基地局、管理装置、プログラムおよび記録媒体 |
| US8825876B2 (en) | 2008-07-17 | 2014-09-02 | Qualcomm Incorporated | Apparatus and method for mobile virtual network operator (MVNO) hosting and pricing |
| JP5632380B2 (ja) * | 2008-10-13 | 2014-11-26 | デバイススケープ・ソフトウェア・インコーポレーテッド | ネットワークを識別するためのシステム及び方法 |
| GB2464553B (en) | 2008-10-22 | 2012-11-21 | Skype | Controlling a connection between a user terminal and an access node connected to a communication network |
| GB2464552B (en) * | 2008-10-22 | 2012-11-21 | Skype | Authentication system and method for authenticating a user terminal with an access node providing restricted access to a communication network |
| US9883271B2 (en) | 2008-12-12 | 2018-01-30 | Qualcomm Incorporated | Simultaneous multi-source audio output at a wireless headset |
| JP2017526291A (ja) | 2014-08-21 | 2017-09-07 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 無線ネットワークアクセス制御方法、装置、およびシステム |
| WO2016173621A1 (en) * | 2015-04-28 | 2016-11-03 | Telecom Italia S.P.A. | Method and system for authenticating users in public wireless networks |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002530930A (ja) * | 1998-11-19 | 2002-09-17 | アルコット システムズ インコーポレイテッド | ローミング中のユーザに認証信用証明を安全に配布するための方法および装置 |
| US20030188201A1 (en) * | 2002-03-28 | 2003-10-02 | International Business Machines Corporation | Method and system for securing access to passwords in a computing network environment |
| JP2005286783A (ja) * | 2004-03-30 | 2005-10-13 | Hitachi Software Eng Co Ltd | 無線lan接続方法および無線lanクライアントソフトウェア |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6263446B1 (en) * | 1997-12-23 | 2001-07-17 | Arcot Systems, Inc. | Method and apparatus for secure distribution of authentication credentials to roaming users |
| US6233577B1 (en) * | 1998-02-17 | 2001-05-15 | Phone.Com, Inc. | Centralized certificate management system for two-way interactive communication devices in data networks |
| JP2003196241A (ja) * | 2001-12-25 | 2003-07-11 | Dainippon Printing Co Ltd | ユーザー認証情報設定装置およびクライアントコンピュータ |
| EP2375690B1 (en) * | 2002-03-01 | 2019-08-07 | Extreme Networks, Inc. | Locating devices in a data network |
| JP3791464B2 (ja) * | 2002-06-07 | 2006-06-28 | ソニー株式会社 | アクセス権限管理システム、中継サーバ、および方法、並びにコンピュータ・プログラム |
| US20040003081A1 (en) * | 2002-06-26 | 2004-01-01 | Microsoft Corporation | System and method for providing program credentials |
| JP2004310581A (ja) * | 2003-04-09 | 2004-11-04 | Nec Corp | ネットワーク接続方法およびネットワークシステム |
| JP2004320593A (ja) * | 2003-04-18 | 2004-11-11 | Sony Computer Entertainment Inc | 通信管理システムおよび方法 |
| WO2004097590A2 (en) * | 2003-04-29 | 2004-11-11 | Azaire Networks Inc. | Method and system for providing sim-based roaming over existing wlan public access infrastructure |
| US7467402B2 (en) * | 2004-08-24 | 2008-12-16 | Whitehat Security, Inc. | Automated login session extender for use in security analysis systems |
| US7603700B2 (en) * | 2004-08-31 | 2009-10-13 | Aol Llc | Authenticating a client using linked authentication credentials |
| US20060130140A1 (en) * | 2004-12-14 | 2006-06-15 | International Business Machines Corporation | System and method for protecting a server against denial of service attacks |
-
2007
- 2007-09-06 WO PCT/US2007/019464 patent/WO2008030527A2/en active Application Filing
- 2007-09-06 WO PCT/US2007/019462 patent/WO2008030525A2/en active Application Filing
- 2007-09-06 EP EP07837823A patent/EP2062130A4/en not_active Withdrawn
- 2007-09-06 JP JP2009527410A patent/JP5368307B2/ja not_active Expired - Fee Related
- 2007-09-06 WO PCT/US2007/019463 patent/WO2008030526A2/en active Application Filing
- 2007-09-06 EP EP07837824A patent/EP2060050A4/en not_active Withdrawn
- 2007-09-06 EP EP07837822A patent/EP2062129A4/en not_active Withdrawn
- 2007-09-06 JP JP2009527412A patent/JP5276593B2/ja not_active Expired - Fee Related
- 2007-09-06 JP JP2009527411A patent/JP5276592B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002530930A (ja) * | 1998-11-19 | 2002-09-17 | アルコット システムズ インコーポレイテッド | ローミング中のユーザに認証信用証明を安全に配布するための方法および装置 |
| US20030188201A1 (en) * | 2002-03-28 | 2003-10-02 | International Business Machines Corporation | Method and system for securing access to passwords in a computing network environment |
| JP2005286783A (ja) * | 2004-03-30 | 2005-10-13 | Hitachi Software Eng Co Ltd | 無線lan接続方法および無線lanクライアントソフトウェア |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011530960A (ja) * | 2008-08-14 | 2011-12-22 | マイクロソフト コーポレーション | 機器とステーションの関連付けのためのプロトコル |
| US8769612B2 (en) | 2008-08-14 | 2014-07-01 | Microsoft Corporation | Portable device association |
| US10447705B2 (en) | 2008-08-14 | 2019-10-15 | Microsoft Technology Licensing, Llc | Cloud-based device information storage |
| JP2012515956A (ja) * | 2009-01-16 | 2012-07-12 | デバイススケープ・ソフトウェア・インコーポレーテッド | 強化されたスマートクライアントサポートのためのシステム及びその方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2062129A4 (en) | 2011-03-16 |
| EP2062129A2 (en) | 2009-05-27 |
| WO2008030525A3 (en) | 2008-07-31 |
| JP5276593B2 (ja) | 2013-08-28 |
| WO2008030526A3 (en) | 2008-07-17 |
| EP2062130A4 (en) | 2011-03-16 |
| JP2010503318A (ja) | 2010-01-28 |
| WO2008030527A3 (en) | 2008-09-25 |
| JP2010503317A (ja) | 2010-01-28 |
| JP5276592B2 (ja) | 2013-08-28 |
| EP2062130A2 (en) | 2009-05-27 |
| EP2060050A2 (en) | 2009-05-20 |
| JP5368307B2 (ja) | 2013-12-18 |
| WO2008030526A2 (en) | 2008-03-13 |
| WO2008030527A2 (en) | 2008-03-13 |
| WO2008030525A2 (en) | 2008-03-13 |
| EP2060050A4 (en) | 2011-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8191124B2 (en) | Systems and methods for acquiring network credentials | |
| JP5276593B2 (ja) | ネットワーク信用証明書を獲得するためのシステムおよび方法 | |
| US8196188B2 (en) | Systems and methods for providing network credentials | |
| US8554830B2 (en) | Systems and methods for wireless network selection | |
| US8194589B2 (en) | Systems and methods for wireless network selection based on attributes stored in a network database | |
| US9326138B2 (en) | Systems and methods for determining location over a network | |
| US8743778B2 (en) | Systems and methods for obtaining network credentials | |
| US8549588B2 (en) | Systems and methods for obtaining network access | |
| EP2206400B1 (en) | Systems and methods for wireless network selection | |
| US20120204231A1 (en) | User identity management for permitting interworking of a bootstrapping architecture and a shared identity service | |
| EP2676399A1 (en) | Systems and methods for network curation | |
| JP2004164576A (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法およびユーザ認証システム、ならびに記録媒体 | |
| EP2443562B1 (en) | Systems and methods for determining location over a network | |
| JP2012531822A (ja) | ネットワーク信用証明書を取得するためのシステム及び方法 | |
| US8321671B2 (en) | Method and apparatus for client-driven profile update in an enterprise wireless network | |
| KR102171377B1 (ko) | 로그인 제어 방법 | |
| JP2017139026A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
| JP2015111440A (ja) | 信頼できる認証およびログオンのための方法および装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100906 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100906 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110906 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120518 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120529 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120829 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120905 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121129 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130423 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130517 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5276593 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |