JP2013517718A - 公共設備においてネットワークにアクセスする方法及びシステム - Google Patents
公共設備においてネットワークにアクセスする方法及びシステム Download PDFInfo
- Publication number
- JP2013517718A JP2013517718A JP2012549235A JP2012549235A JP2013517718A JP 2013517718 A JP2013517718 A JP 2013517718A JP 2012549235 A JP2012549235 A JP 2012549235A JP 2012549235 A JP2012549235 A JP 2012549235A JP 2013517718 A JP2013517718 A JP 2013517718A
- Authority
- JP
- Japan
- Prior art keywords
- aid
- user
- asn
- network
- public facility
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本発明は公共設備においてネットワークにアクセスする方法及びシステムを提供する。該方法はアクセスサーバ(ASN)はユーザが公共設備において送信したネットワークアクセス要求メッセージを受信した後、該メッセージが認証センター(AC)に送信され、前記メッセージには少なくとも前記ユーザのアカウントナンバーとパスワードを含むステップ、前記ACは該アカウントナンバーとパスワードに対し、検証を行い、検証を通過すれば、ACは前記ユーザのアクセス身元識別子(AID)を前記ASNに送信するステップ、前記ASNは前記ユーザのAIDを受信して、且つ該AIDを前記公共設備にプッシュするステップ、前記公共設備は前記ユーザのAIDを仮想AIDとし、且つ前記仮想AIDを使用し、前記ユーザのメッセージを受発信するステップを含む。本発明は効果的に公共設備を介してネットワークをアクセスするユーザを追跡できる。
Description
本発明は移動通信分野とインターネット分野に関し、特に公共設備においてネットワークにアクセスする方法及びシステムに関する。
既存のインターネットプロトコル(IP)ネットワークでは、人々が公共設備においてネットワークにアクセスする時、直接に公共設備のIPアドレスを使用して他のユーザと通信するので、ネットワーク監督管理機関は公共設備においてネットワークにアクセスしたユーザに対し、追跡とトレーサビリティを行うことができなくなる。例えば、既存のネットワークにおいて、ネットワークを利用するにはID証明書を呈示する必要があるが、数多いネットバーでは依然として証明書の真偽を見分けられなく、法的な証明書がなくてもネットバーが提供してくれたある公共証明書でネットワークを利用することさえある。これはネットワーク監督管理機関の追跡とトレーサビリティに大きいな困難を与える。
そして、既存のネットワークにおいて、従来のIPアドレスはIDとロケーションの両義性が存在するため、ユーザが公共設備において自分の業務のアカウントナンバー、例えば、メール、ネット銀行等を登録することが可能となるが、ユーザネットワーク層IPと応用層の業務をバインドすることを実現できなく、アカウントナンバーが失われると、ユーザに大きいな損失を与えてしまう。従来のIP技術では、ユーザネットワーク層IPと応用層の業務をバインドすることを実現すれば、ユーザは公共設備においてネットワークにアクセスする時、ネットワーク層IPアドレスが異なることにより、自分の応用層の業務をアクセスできなくなる。ネットワーク監督管理機関にとって、アカウントナンバーとユーザIPをバインドできないことで、ユーザへの監督管理の強度も弱められた。
以上の内容を纏めると、現在の従来のIP技術は以下のような問題が存在する:
1、従来のIPアドレスはIDとロケーションの両義性が存在するため、監督管理機関は公共設備においてネットワークにアクセスしたユーザに対し、効果的に追跡とトレーサビリティを行えなく、安全方面の危険要素が存在した他に、違法と犯罪行為に打撃を与えることにも困難を齎し、
2、この以外に、従来のIPアドレスのIDとロケーションの両義性は更にユーザがネットワーク層IPと応用層の業務のバインドを利用できなくなるようにし、それにより、より効果的に応用層の業務の安全性を保証できなくなる。
1、従来のIPアドレスはIDとロケーションの両義性が存在するため、監督管理機関は公共設備においてネットワークにアクセスしたユーザに対し、効果的に追跡とトレーサビリティを行えなく、安全方面の危険要素が存在した他に、違法と犯罪行為に打撃を与えることにも困難を齎し、
2、この以外に、従来のIPアドレスのIDとロケーションの両義性は更にユーザがネットワーク層IPと応用層の業務のバインドを利用できなくなるようにし、それにより、より効果的に応用層の業務の安全性を保証できなくなる。
本発明が解決しようとする技術的な問題は公共設備においてネットワークにアクセスする方法及びシステムを提供し、身元識別子とロケーションが分離するネットワークにおいて公共設備においてネットワークにアクセスしたユーザに対して、効果的にトレーサビリティと追跡を行うことができることにある。
上記問題を解決するために、本発明は公共設備においてネットワークにアクセスする方法を提供し、身元識別子とロケーションを分離するネットワークに応用され、該方法は、
アクセスサーバ(ASN)はユーザが公共設備において送信したネットワークアクセス要求メッセージを受信した後、認証センター(AC)に送信し、前記ネットワークアクセス要求メッセージには少なくとも前記ユーザのアカウントナンバーとパスワードを含むこと、
前記ACは前記アカウントナンバーとパスワードの有効性を検証し、検証を通過すれば、前記ユーザのアクセス身元識別子(AID)を前記ASNに送信すること、及び、
前記ASNは前記ユーザのAIDを受信した後、前記公共設備にプッシュし、前記公共設備は前記ユーザのAIDを仮想AIDとし、且つ前記仮想AIDを使用し、前記ユーザのメッセージの受発信を行うことを含む。
アクセスサーバ(ASN)はユーザが公共設備において送信したネットワークアクセス要求メッセージを受信した後、認証センター(AC)に送信し、前記ネットワークアクセス要求メッセージには少なくとも前記ユーザのアカウントナンバーとパスワードを含むこと、
前記ACは前記アカウントナンバーとパスワードの有効性を検証し、検証を通過すれば、前記ユーザのアクセス身元識別子(AID)を前記ASNに送信すること、及び、
前記ASNは前記ユーザのAIDを受信した後、前記公共設備にプッシュし、前記公共設備は前記ユーザのAIDを仮想AIDとし、且つ前記仮想AIDを使用し、前記ユーザのメッセージの受発信を行うことを含む。
前記ASNは前記ユーザのAIDを受信した後、前記ユーザのAIDに対し、付着を行い、前記ユーザのAIDと前記ASNのルーティング識別子(RID)のマッピング関係を確立し、且つ前記ユーザの身元識別子とロケーション登録レジスタ(ILR)に報告することは好適である。
前記ASNは前記ユーザのAIDを受信した後、前記ユーザのAIDと前記公共設備のAIDのマッピングテーブルを確立することは好適である。
前記ASNは前記ユーザのAIDと前記公共設備のAIDのマッピングテーブルを確立するとともに、前記ユーザのAID属性を仮想AIDに設置し、前記仮想AIDをソースアドレス或は目的アドレスとするメッセージを受信すると、前記マッピングテーブルを検索することで、前記公共設備のAIDを得て、且つ前記公共設備に対し、流量統計や課金を行うことは好適である。
前記ASNは管理された公共設備が前記AC以外のユーザ或は設備をアクセスすることを禁止することは好適である。
前記ASNは以下のような方式を採用し、前記公共設備が前記AC以外のユーザ或は設備をアクセスすることを禁止することは好適である:
前記ASNは管理された公共設備のAIDに対し、記録を取り、
メッセージを受信する時、該メッセージのソースアドレスが記録を取ったAIDであり、且つ目的アドレスが前記ACのAIDではなければ、或は該メッセージの目的アドレスが記録を取ったAIDであり、且つソースアドレスが前記ACのAIDではなければ、該メッセージを捨てる。
前記ASNは管理された公共設備のAIDに対し、記録を取り、
メッセージを受信する時、該メッセージのソースアドレスが記録を取ったAIDであり、且つ目的アドレスが前記ACのAIDではなければ、或は該メッセージの目的アドレスが記録を取ったAIDであり、且つソースアドレスが前記ACのAIDではなければ、該メッセージを捨てる。
前記ユーザは前記公共設備においてネットワークにアクセスし、ネットワークにおいてオンライン状態をした後、当前記ユーザがオフラインする時、
前記ユーザは前記公共設備においてオフライン要求を送信し、前記ASNは該オフライン要求を前記ACに送信し、
前記ACは前記ユーザのネットワークにおけるオンライン状態を削除した後、前記ASNにオフライン要求応答を送信し、
前記ASNは前記ユーザの付着を削除し、且つ前記ILRに前記ユーザのAIDと前記ASNのRIDのマッピング関係を削除するように要求し、その同時に、前記ユーザのAIDと前記公共設備のAIDのマッピングテーブルを削除し、且つ前記オフライン要求応答を前記公共設備に送信し、及び
前記公共設備は前記オフライン要求応答を受信した後、前記ユーザの仮想AIDを削除することは好適である。
前記ユーザは前記公共設備においてオフライン要求を送信し、前記ASNは該オフライン要求を前記ACに送信し、
前記ACは前記ユーザのネットワークにおけるオンライン状態を削除した後、前記ASNにオフライン要求応答を送信し、
前記ASNは前記ユーザの付着を削除し、且つ前記ILRに前記ユーザのAIDと前記ASNのRIDのマッピング関係を削除するように要求し、その同時に、前記ユーザのAIDと前記公共設備のAIDのマッピングテーブルを削除し、且つ前記オフライン要求応答を前記公共設備に送信し、及び
前記公共設備は前記オフライン要求応答を受信した後、前記ユーザの仮想AIDを削除することは好適である。
前記ユーザのアカウントナンバーとパスワードはネットワーク管理者により、予め割り当てられ、或は、オンラインで個人ID情報を提出し、申し込んで得られ、且つ前記アカウントナンバーを割り当てる同時に、前記ユーザにバインドしたAIDを割り当てることは好適である。
前記方法は更に、
前記ASNはネットワークアクセス要求メッセージを受信した後、それが公共設備からのものであるか否かを判断し、該ネットワークアクセス要求メッセージが公共設備からのものでなければ、前記ASNは前記ネットワークアクセス要求メッセージを前記ACに送信し、且つ前記ACのネットワークアクセス応答を前記ネットワークアクセス要求メッセージの発起側に転送することは好適である。
前記ASNはネットワークアクセス要求メッセージを受信した後、それが公共設備からのものであるか否かを判断し、該ネットワークアクセス要求メッセージが公共設備からのものでなければ、前記ASNは前記ネットワークアクセス要求メッセージを前記ACに送信し、且つ前記ACのネットワークアクセス応答を前記ネットワークアクセス要求メッセージの発起側に転送することは好適である。
本発明は更に公共設備においてネットワークにアクセスするシステムを提供し、身元識別子とロケーションが分離するネットワークに応用され、該システムはアクセスサーバ(ASN)、公共設備と認証センター(AC)を含み、その中に、
前記ASNはユーザが公共設備において送信したネットワークアクセス要求メッセージを受信した後、前記ACに送信し、前記ネットワークアクセス要求メッセージには少なくとも前記ユーザのアカウントナンバーとパスワードを含み、且つ前記ACが送信した前記ユーザのアクセス身元識別子AIDを受信した後、前記公共設備にプッシュするように設置され、
前記ACはユーザのネットワークアクセス要求メッセージを受信した後、その中の前記アカウントナンバーとパスワードの有效性を検証し、検証を通過すれば、前記ユーザのAIDを前記ASNに送信するように設置され、
前記公共設備はユーザが入力したアカウントナンバーとパスワードに基づき、前記ASNにネットワークアクセス要求メッセージを送信し、且つ前記ASNがプッシュした前記ユーザのAIDを受信した後、前記ユーザのAIDを仮想AIDとし、前記仮想AIDを使用して前記ユーザのメッセージの受発信を行うように設置される。
前記ASNはユーザが公共設備において送信したネットワークアクセス要求メッセージを受信した後、前記ACに送信し、前記ネットワークアクセス要求メッセージには少なくとも前記ユーザのアカウントナンバーとパスワードを含み、且つ前記ACが送信した前記ユーザのアクセス身元識別子AIDを受信した後、前記公共設備にプッシュするように設置され、
前記ACはユーザのネットワークアクセス要求メッセージを受信した後、その中の前記アカウントナンバーとパスワードの有效性を検証し、検証を通過すれば、前記ユーザのAIDを前記ASNに送信するように設置され、
前記公共設備はユーザが入力したアカウントナンバーとパスワードに基づき、前記ASNにネットワークアクセス要求メッセージを送信し、且つ前記ASNがプッシュした前記ユーザのAIDを受信した後、前記ユーザのAIDを仮想AIDとし、前記仮想AIDを使用して前記ユーザのメッセージの受発信を行うように設置される。
前記システムは更に身元識別子とロケーション登録レジスタ(ILR)を含み、
前記ASNは更に、前記ユーザのAIDを受信した後、前記ユーザのAIDに対し、付着を行い、前記ユーザのAIDと前記ASNのルーティング識別子(RID)のマッピング関係を確立し、且つ前記ユーザのILRに報告するように設置され、
前記ILRは前記ユーザのAIDと前記ASNのRIDのマッピング関係を保存し、及び他のASNがユーザのAIDに基づいて発起したマッピング関係検索要求を受信した後、前記検索要求を発起するASNに前記ユーザのAIDが対応したRIDを返すように設置されることは好適である。
前記ASNは更に、前記ユーザのAIDを受信した後、前記ユーザのAIDに対し、付着を行い、前記ユーザのAIDと前記ASNのルーティング識別子(RID)のマッピング関係を確立し、且つ前記ユーザのILRに報告するように設置され、
前記ILRは前記ユーザのAIDと前記ASNのRIDのマッピング関係を保存し、及び他のASNがユーザのAIDに基づいて発起したマッピング関係検索要求を受信した後、前記検索要求を発起するASNに前記ユーザのAIDが対応したRIDを返すように設置されることは好適である。
前記ASNは更に、前記ユーザのAIDを受信した後、前記ユーザのAIDと前記公共設備のAIDのマッピングテーブルを確立するように設置されることは好適である。
前記ASNは更に、前記ユーザのAID属性を仮想AIDに設置し、前記仮想AIDをソースアドレスや目的アドレスとするメッセージを受信すると、前記マッピングテーブルを検索して前記公共設備のAIDを得て、且つ前記公共設備に対して、流量統計や課金を行うように設置されることは好適である。
前記ASNは更に管理された公共設備が前記AC以外のユーザ或は設備をアクセスすることを禁止することは好適である。
前記ASNは更に、ユーザのオフライン要求を受信した後、前記ACに送信し、及びオフライン要求応答を受信した後、前記ユーザの付着を解除し、且つ前記ILRに前記ユーザのAIDと前記ASNのRIDのマッピング関係を削除するように要求し、その同時に、前記ユーザのAIDと前記公共設備のAIDのマッピングテーブルを削除し、且つ前記オフライン要求応答を前記公共設備に送信するように設置され、
前記ACは更に、前記オフライン要求を受信した後、前記ユーザのネットワークにおけるオンライン状態を削除した後、前記ASNにオフライン要求応答を送信するように設置され、
前記公共設備は更に、前記オフライン要求応答を受信した後、前記ユーザの仮想AIDを削除するように設置されることは好適である。
前記ACは更に、前記オフライン要求を受信した後、前記ユーザのネットワークにおけるオンライン状態を削除した後、前記ASNにオフライン要求応答を送信するように設置され、
前記公共設備は更に、前記オフライン要求応答を受信した後、前記ユーザの仮想AIDを削除するように設置されることは好適である。
上記実施案は身元識別子とロケーションを分離するネットワークに基づき、ユーザAIDの全ネットワークにおける唯一性を利用し、ユーザが公共設備においてネットワークにアクセスすることを実現する。現在の従来のIPネットワークと比較し、上記実施案を採用し、十分に身元識別子とロケーション識別子を分離するネットワークの優位性を利用し、全ネットワークAIDが唯一である上で、公共設備においてネットワークにアクセスするユーザに対し、効果的に追跡とトレーサビリティを行うことができる。
既存従来のIPアドレスのIDとロケーションの両義性問題を解決するために、本発明は図1に示した身元識別子とロケーション分離ネットワーク(Subscriber Identifier & Locator Separation Network、SILSNと略称する)システムアーキテクチャを提供し、図1において、このSILSNシステムはアクセスサーバ(Access Service Node、ASNと略称する)、ユーザ(User)、認証センター(Authentication Center、ACと略称する)11、ID情報センター(Identifier Information Center、IICと略称する)12及び身元識別子とロケーション登録レジスタ(Identification & Location Register、ILRと略称する)13等からなる。
その中に、ASNは主にユーザのアクセスを担当し、且つ課金、切替等の機能を引き受け、ILRはユーザのロケーション登録とIDロケーション識別、及びロケーション検索機能を引き受けるように設置され、ACはユーザのアクセスを認証することを担当し、IICはユーザのID情報を保存することを担当する。
上記SILSNアーキテクチャネットワークにおいて、二種類の識別タイプがあり、即ち、アクセス身元識別子(Access Identifier、AIDと略称する)とルーティング識別子(Routing Identifier、RIDと略称する)。その中に、AIDはユーザの身元識別子であり、該識別子は該ユーザだけに割り当て使用され、且つ全ネットワークにおいて唯一であり、該身元識別子はネットワーク伝送において唯一的に変えなく、且つユーザがネットワークにおいて移動する時、該AIDも変えずに、全ネットワークで唯一である。ユーザとユーザの間に、それぞれの付着したASNのRIDを使用し、通信メッセージのルーティングを行う。なお、身元識別子とロケーション識別子は異なるSILSNアーキテクチャにおいて異なる名称を有してもよく、実質は同様である。
上記SILSNネットワークは以下通りの特徴を有し、即ち、該ネットワーク内の各々ユーザは厳格的な認証を通過するさえ、アクセスでき、ユーザが各種の業務で送信したデータパッケージにはいずれも同時に自分のAIDを載せ、且つユーザが送信した各々データパッケージはいずれもASN検証を通過しなければならない、ユーザの発信したデータパッケージが載せたのが自分のアクセス身元識別子であり、他のユーザAIDと偽り、ネットワークにアクセスするのをしないことを保証し、しかも該アクセス身元識別子はネットワークにおいて伝送する時、ずっと変えないように維持し、ユーザは移動や切替が発生する時、該識別子も変化しない。
図1の例示において、ユーザUser1とUser2はそれぞれ唯一的なアクセス身元識別子AID1とAID2が存在し、User1とUser2はそれぞれASN1とASN2を介してネットワークをアクセスする。その中に、User2は正常にネットワークをアクセスし、すなわち、自分のユーザ設備(User Equipment、UEと略称する)を使用してネットワークをアクセスし、そのUEのAIDはUser2が業務とバインドすることに用いられるAIDである。でも、User1は公共設備においてネットワークにアクセスし、公共設備のAIDはUser1が持ったAIDではないので、ユーザの応用業務とバインドできない。
上記提出したSILSNネットワークに応じ、該問題を解決するために、本発明の基本的な実現思想は以下の通りであり、つまり、ネットワーク管理者はユーザのアカウントナンバー、パスワードとAIDをACに記憶し、ユーザは自分のアカウントナンバーとパスワードを利用し、ネットワークをアクセスし、ACはユーザのアカウントナンバーとパスワードを認証し、ユーザは認証を通過した後、ACはユーザのAIDをASNと公共設備にプッシュし、次に、ユーザのアカウントナンバーにバインドしたAIDを仮想AIDとして、公共設備にバインドする。
そして、User1のAIDと応用業務のバインドを実現できるようになる。説明する必要のが、ユーザのアカウントナンバーネットワーク管理者が直接に割り当てることが可能であるが、ユーザが公共ネットワークで現時に個人情報を提出し、アカウントナンバーを申し込んでもよい。該アカウントナンバーが割り当てられる同時に、一つのAIDを割り当て、それにバインドする。
より具体的には、本発明は以下の方案を採用し、SILSNネットワークに基づいた公共設備においてネットワークにアクセスする問題を解決し、即ち、
ASNはユーザが公共設備において送信したネットワークアクセス要求メッセージを受信した後、ACに送信し、上記ネットワークアクセス要求メッセージには少なくとも上記ユーザのアカウントナンバーとパスワードを含み、
上記ACは上記アカウントナンバーとパスワードの有效性を検証し、検証を通過すれば、上記ユーザのAIDを上記ASNに送信し、
上記ASNは上記ユーザのAIDを上記公共設備にプッシュし、上記公共設備は上記ユーザのAIDを仮想AIDとし、上記仮想AIDを使用し、該ユーザのメッセージの受発信を行う。
ASNはユーザが公共設備において送信したネットワークアクセス要求メッセージを受信した後、ACに送信し、上記ネットワークアクセス要求メッセージには少なくとも上記ユーザのアカウントナンバーとパスワードを含み、
上記ACは上記アカウントナンバーとパスワードの有效性を検証し、検証を通過すれば、上記ユーザのAIDを上記ASNに送信し、
上記ASNは上記ユーザのAIDを上記公共設備にプッシュし、上記公共設備は上記ユーザのAIDを仮想AIDとし、上記仮想AIDを使用し、該ユーザのメッセージの受発信を行う。
更に、ACは上記アカウントナンバーとパスワードの有效性を検証した後、ネットワークアクセス応答メッセージをASNに送信し、且つ検証を通過すれば、上記ネットワークアクセス応答メッセージに上記ユーザのAIDを載せ、
ASNはAIDを含む上記ネットワークアクセス応答メッセージを受信した後、上記ユーザのAIDに対し、付着を行い、ユーザのAIDと自分のRIDマッピング関係を確立し、且つ上記ユーザのILRに報告し、しかも、上記ユーザと上記公共設備のAIDマッピングテーブルを確立する。
ASNはAIDを含む上記ネットワークアクセス応答メッセージを受信した後、上記ユーザのAIDに対し、付着を行い、ユーザのAIDと自分のRIDマッピング関係を確立し、且つ上記ユーザのILRに報告し、しかも、上記ユーザと上記公共設備のAIDマッピングテーブルを確立する。
更に、検証を通過すれば、ASNはまた上記ユーザのAIDの属性を仮想AIDに設置する。
更に、ユーザは公共設備においてアカウントナンバーとパスワードを入力することにより、ASNにネットワークアクセス要求メッセージを送信し、ネットワークアクセス要求メッセージには少なくとも上記ユーザのアカウントナンバーとパスワードを含み、
上記ASNは上記ネットワークアクセス要求が公共設備からのものであるか否かを判断し、公共設備からのものであれば、検証を通過したネットワークアクセス応答メッセージを受信した後、上記ユーザのAIDに対し、付着を行い、且つ上記ユーザと上記公共設備のAIDマッピングテーブルを確立し、公共設備からのものでなければ、ただACに転送して検証し、且つ受信したネットワークアクセス応答メッセージを上記ネットワークアクセス要求の発起側に転送してよい。
上記ASNは上記ネットワークアクセス要求が公共設備からのものであるか否かを判断し、公共設備からのものであれば、検証を通過したネットワークアクセス応答メッセージを受信した後、上記ユーザのAIDに対し、付着を行い、且つ上記ユーザと上記公共設備のAIDマッピングテーブルを確立し、公共設備からのものでなければ、ただACに転送して検証し、且つ受信したネットワークアクセス応答メッセージを上記ネットワークアクセス要求の発起側に転送してよい。
更に、ASNは公共設備がAC以外のユーザをアクセスすることを禁止する。
以下、図面と具体的な実施例を参考しながら、本発明を詳しく述べる。なお、本発明の内容は以下の実施例で説明可能であるが、以下の実施例に限らないものである。
図2はユーザがアカウントナンバーを使用し公共設備においてネットワークにアクセスする流れを示した。ユーザは自分のアカウントナンバーを使用し公共設備に入力し、且つパスワードを入力し、ネットワークにアクセスすることを申し込む。申し込み情報がACに送信して処理され、ACはアカウントナンバーに基づき検索してアカウントナンバーのパスワード及びAIDを得る。次に、ACは検索したアカウントナンバー情報でユーザが提交したアカウントナンバーとパスワードの正確度を検証することで、ユーザのネットワークアクセス要求を受信する可否を確認する。検証が成功すれば、ACはユーザのAIDをユーザが存在した公共設備にプッシュする。該流れは具体的に以下のステップを含み、即ち、
S200 において、Userは公共設備にアカウントナンバーとパスワードを入力し、ASNにネットワークアクセス要求情報を送信し、該ネットワークアクセス要求情報にはUserのアカウントナンバーとパスワードを含み、
この時、該メッセージのソースAIDは公共設備のAIDであり、目的AIDはACのAIDであり、
S210において、ASNは公共設備からのUserのネットワークアクセス要求メッセージを受信し、該メッセージをACに転送して処理し、
該ステップにおいて、ASNはネットワークアクセス要求メッセージが公共設備からのものであるか否かを判断する必要があり、公共設備からのものではなければ、例えば、普通の家庭ユーザがPC(Personal Computer、パーソナルコンピュータ)やUEを介すると、該ネットワークアクセス要求には自分のAIDを載せ、ASNはACに送信して検証を行い、ACのネットワークアクセス要求応答を受信した後、検証を通過すれば、ASNは直接に該ユーザのAIDに対して付着を行う。それが公共設備においてアクセスする区別はACがただ検証を通過するか否かの応答メッセージを返す必要があり、更に該ユーザのAIDをプッシュすることが不要で、ASNも該ユーザのAIDと公共設備のAIDのマッピングテーブルを確立する必要がない。
S200 において、Userは公共設備にアカウントナンバーとパスワードを入力し、ASNにネットワークアクセス要求情報を送信し、該ネットワークアクセス要求情報にはUserのアカウントナンバーとパスワードを含み、
この時、該メッセージのソースAIDは公共設備のAIDであり、目的AIDはACのAIDであり、
S210において、ASNは公共設備からのUserのネットワークアクセス要求メッセージを受信し、該メッセージをACに転送して処理し、
該ステップにおいて、ASNはネットワークアクセス要求メッセージが公共設備からのものであるか否かを判断する必要があり、公共設備からのものではなければ、例えば、普通の家庭ユーザがPC(Personal Computer、パーソナルコンピュータ)やUEを介すると、該ネットワークアクセス要求には自分のAIDを載せ、ASNはACに送信して検証を行い、ACのネットワークアクセス要求応答を受信した後、検証を通過すれば、ASNは直接に該ユーザのAIDに対して付着を行う。それが公共設備においてアクセスする区別はACがただ検証を通過するか否かの応答メッセージを返す必要があり、更に該ユーザのAIDをプッシュすることが不要で、ASNも該ユーザのAIDと公共設備のAIDのマッピングテーブルを確立する必要がない。
S220において、ACは公共設備からのUserネットワークアクセス要求情報を受信し、その中のアカウントナンバーとパスワードの有效性を検証し、例えば、要求情報におけるUserのアカウントナンバーとパスワードを抽出し、ACに記憶した対応したアカウントナンバーとパスワードを比較し、一致すれば、検証が成功し、そうではないと、検証が失敗し、
S230において、ACはASNにネットワークアクセス要求応答メッセージを送信し、メッセージにはUserのAIDを載せ、
S240において、ASNはACからのUserネットワークアクセス認証応答メッセージを受信した後、認証を通過すれば、UserのAIDに対し、付着を行い、ASN自分のRIDと<AID、RID>マッピング関係を確立し、その同時に、Userと公共設備に<AID、AID>形式のAIDマッピングテーブルを確立し、ASNがUserのAID属性をUser仮想AIDに設置することが選択可能であり、認証を通過しなければ、ASNは直接にACからのネットワークアクセス認証応答メッセージを転送し、
S250において、公共設備はネットワークアクセス認証応答メッセージを受信した後、認証を通過すれば、公共設備はUserのAIDを自分のシステムにおいて一つの仮想AIDとし、Userが公共設備に発生したネットワーク行為はすべて該仮想AIDをソースAIDとし、
例えば、Userはファイル伝送プロトコル(FTP)サーバをアクセスする時、送信したアクセス要求メッセージにおいて、ソースAIDが仮想AIDである。
S230において、ACはASNにネットワークアクセス要求応答メッセージを送信し、メッセージにはUserのAIDを載せ、
S240において、ASNはACからのUserネットワークアクセス認証応答メッセージを受信した後、認証を通過すれば、UserのAIDに対し、付着を行い、ASN自分のRIDと<AID、RID>マッピング関係を確立し、その同時に、Userと公共設備に<AID、AID>形式のAIDマッピングテーブルを確立し、ASNがUserのAID属性をUser仮想AIDに設置することが選択可能であり、認証を通過しなければ、ASNは直接にACからのネットワークアクセス認証応答メッセージを転送し、
S250において、公共設備はネットワークアクセス認証応答メッセージを受信した後、認証を通過すれば、公共設備はUserのAIDを自分のシステムにおいて一つの仮想AIDとし、Userが公共設備に発生したネットワーク行為はすべて該仮想AIDをソースAIDとし、
例えば、Userはファイル伝送プロトコル(FTP)サーバをアクセスする時、送信したアクセス要求メッセージにおいて、ソースAIDが仮想AIDである。
S260において、ASNはILRに該Userの<AID、RID>マッピング関係を報告し、
その中に、ユーザUserがASNと<AID、RID>マッピング関係を確立し、且つILRに報告する目的はUserが該ASNに付着されることを説明し、他のユーザとASNが該ユーザのAIDに基づき、ILRで検索して対応したRID情報を得ることに便利にし、更に、検索したRID情報に基づき、メッセージを該ASNに送信することにある。
その中に、ユーザUserがASNと<AID、RID>マッピング関係を確立し、且つILRに報告する目的はUserが該ASNに付着されることを説明し、他のユーザとASNが該ユーザのAIDに基づき、ILRで検索して対応したRID情報を得ることに便利にし、更に、検索したRID情報に基づき、メッセージを該ASNに送信することにある。
S270において、ILRは該Userの<AID、 RID>マッピング関係を記録或は更新した後、ASNにマッピング関係報告応答情報を返す。
その後、ILRは他のASNのユーザのマッピング関係を検索する要求を受け後、該ユーザのAIDが対応したRIDを検索側、即ち、検索要求を発起するASNに返す。
なお、上記ステップにおいて、S260とS270はS250の前に実現してもよく、実現する前後順序はASNの内部実現方法によって決まる。
図3に示したのはユーザが公共設備においてネットワークを利用するメッセージ転送流れである。ユーザが公共設備におけるネットワークを利用する行為とユーザが専用設備におけるネットワークを利用する行為とは基本的に一致し、ネットワーク管理者と監督管理機関のユーザの追跡とトレーサビリティに対する需要を満たし、その同時に、ユーザネットワーク層AIDと応用層の業務間のバインド問題を解決した。その相違点はASNが公共設備の流量を総計する必要があり、公共設備の管理を実現するようにする。該流れは具体的に、以下のステップを含み、即ち、
S300において、User1は公共設備においてUser2に通信要求メッセージを送信し、メッセージにおけるソースAIDは仮想AID(User1のAID)であり、
その中に、公共設備は自分のAIDを有する以外に、そのシステムは更に公共設備において成功にネットワークにアクセスするユーザがそのAIDを公共設備上に付着することを許容する。つまり、ユーザのAIDが公共設備に付着する時、公共設備がメッセージを受発信することに使用したAIDはいずれも該ユーザの仮想AIDであり、公共設備の自分のAIDではない。ユーザがネットワークからエグジットする時、仮想AIDも削除され、その後、公共設備がメッセージを受発信することに使用したAIDは自分のAIDになる。
S300において、User1は公共設備においてUser2に通信要求メッセージを送信し、メッセージにおけるソースAIDは仮想AID(User1のAID)であり、
その中に、公共設備は自分のAIDを有する以外に、そのシステムは更に公共設備において成功にネットワークにアクセスするユーザがそのAIDを公共設備上に付着することを許容する。つまり、ユーザのAIDが公共設備に付着する時、公共設備がメッセージを受発信することに使用したAIDはいずれも該ユーザの仮想AIDであり、公共設備の自分のAIDではない。ユーザがネットワークからエグジットする時、仮想AIDも削除され、その後、公共設備がメッセージを受発信することに使用したAIDは自分のAIDになる。
S310において、ASN1は公共設備からのメッセージを受信した後、ASNが設置したUserのAIDを付着した属性に基づき、検査してソースAIDが仮想AIDであることを得て、上記AIDでUser1と公共設備のAIDマッピングテーブルを検索し、検索して公共設備のAIDを得て、且つ公共設備に対し、流量統計を行い、
S320において、 ASN1はUser1の通信要求メッセージにおける目的AID、即ち、User2のAIDに基づき、ILRに検索し、対応したRID(ASN2のRID)を得て、且つASN1のRIDをソースRIDとし、ASN2のRIDを目的RIDとしてメッセージにカプセル化し、ルーティングしてASN2に転送してもよく、
S330において、 ASN2は上記メッセージを受信した後、カプセル化したRIDを解除した後、User1の通信要求メッセージをUser2に転送し、
S340において、 User2はUser1の通信要求を返信し、メッセージにおけるソースアドレスがUser2のAIDであり、目的アドレスがUser1のAIDであり、
S350において、 ASN2は返信メッセージにおいてソースRID(ASN2のRID)と目的RID(ASN1のRID)をカプセル化した後、ASN1に転送し、
本例示はUser1がUser2に通信を発起することを例として述べ、User2はUser1に通信を発起すれば、ASN2はUser2の通信要求メッセージにおける目的アドレス、即ち、User1のAIDに基づき、ILRを検索し、対応したASN1のRIDを受信した後、メッセージにカプセル化し、ASN1に転送、ルーティングし、その通信流れは本例示と類似し、ここでは、贅言しない。
S320において、 ASN1はUser1の通信要求メッセージにおける目的AID、即ち、User2のAIDに基づき、ILRに検索し、対応したRID(ASN2のRID)を得て、且つASN1のRIDをソースRIDとし、ASN2のRIDを目的RIDとしてメッセージにカプセル化し、ルーティングしてASN2に転送してもよく、
S330において、 ASN2は上記メッセージを受信した後、カプセル化したRIDを解除した後、User1の通信要求メッセージをUser2に転送し、
S340において、 User2はUser1の通信要求を返信し、メッセージにおけるソースアドレスがUser2のAIDであり、目的アドレスがUser1のAIDであり、
S350において、 ASN2は返信メッセージにおいてソースRID(ASN2のRID)と目的RID(ASN1のRID)をカプセル化した後、ASN1に転送し、
本例示はUser1がUser2に通信を発起することを例として述べ、User2はUser1に通信を発起すれば、ASN2はUser2の通信要求メッセージにおける目的アドレス、即ち、User1のAIDに基づき、ILRを検索し、対応したASN1のRIDを受信した後、メッセージにカプセル化し、ASN1に転送、ルーティングし、その通信流れは本例示と類似し、ここでは、贅言しない。
S360において、ASN1はASN2からのメッセージを受信し、検査して目的AIDが仮想AIDであることを得て、次に、上記AIDでUser1と公共設備のAIDマッピングテーブルを検索し、検索して公共設備のAIDを得て、且つ公共設備に対し、流量統計を行い、
S370において、ASN1はメッセージにおいてカプセル化したRIDを解除した後、User2の返信メッセージをUser1に転送する。
S370において、ASN1はメッセージにおいてカプセル化したRIDを解除した後、User2の返信メッセージをUser1に転送する。
ここまで、ユーザが公共設備におけるメッセージ転送流れは終了する。
なお、ASN1がUser1と公共設備のAIDマッピングテーブルを利用し、検索して公共設備のAIDを得て、流量統計を行うことはただその中の機能の一つである。ASN1がAIDマッピングテーブルに基づき、実現できる機能は流量統計に限らず、更にUser1がネットワークにアクセスする具体的なロケーションを記録する、公共設備に課金する機能等を含む。
図4に示したのはASNが公共設備からのメッセージを処理する流れである。該例示において、ASNはソースAIDが公共設備のAIDであるか否かを検査する必要があり、公共設備のAIDであれば、公共設備が直接に非ACの目的地をアクセスすることを禁止する必要がある。該流れは具体的に以下のステップを含み、
S400において、ASNは公共設備(例えばネットバーPC)からのメッセージを受信し、
S410において、ASNはメッセージにおけるソースAIDを抽出し、公共設備のAIDであるか否かを判断し、公共設備のAIDであれば、S420ステップにジャンプし、そうではないと、S430ステップにジャンプし、
その中に、ASNはその上のすべてのAIDのリストに基づき、上記ソースAIDを見つけられ、更に、該ソースAIDの属性を調べることで、該ソースAIDが公共設備であるか否かを判断する。AIDの属性は複数の種類を有してもよく、例えば上記公共設備の属性、及び仮想AID、リダイレクトする必要があるAID等。
S400において、ASNは公共設備(例えばネットバーPC)からのメッセージを受信し、
S410において、ASNはメッセージにおけるソースAIDを抽出し、公共設備のAIDであるか否かを判断し、公共設備のAIDであれば、S420ステップにジャンプし、そうではないと、S430ステップにジャンプし、
その中に、ASNはその上のすべてのAIDのリストに基づき、上記ソースAIDを見つけられ、更に、該ソースAIDの属性を調べることで、該ソースAIDが公共設備であるか否かを判断する。AIDの属性は複数の種類を有してもよく、例えば上記公共設備の属性、及び仮想AID、リダイレクトする必要があるAID等。
この以外に、AIDは更に他の複数の方式によって、上記ソースAIDが公共設備であるか否かを判断可能であり、例えば、ASNはその上のすべての公共設備のAIDに対し、記録を取り、且つ単独に公共設備のAIDリストに保存可能であり、メッセージを受信する時、記録を取った公共設備のAIDリストに基づき、該ソースAIDが公共設備であるか否かを判断すること等等。ここでは、一々に挙げない。
S420においてASNは該メッセージの目的地がACであるか否かを判断し、ACであれば、S470ステップにジャンプし、正常にメッセージを転送し、そうではないと、S460ステップにジャンプし、メッセージを捨て、
S430において、該AIDが公共設備のAIDでなければ、ASNは該AID属性が仮想ユーザであるか否かを判断し、すなわち、ユーザが公共設備においてネットワークにアクセスする仮想AIDであるか否か、仮想ユーザであれば、S440ステップにジャンプし、そうではないと、S470ステップにジャンプし、正常に転送し、
S440において、ユーザが公共設備においてネットワークにアクセスする仮想AIDに基づき、対応した公共設備AID間のAIDマッピングテーブルが存在するか否かを検索し、AIDマッピングテーブルがあれば、S450ステップにジャンプし、なければ、S460ステップにジャンプし、メッセージを捨て、
S450において、ASNは検索したAIDマッピングテーブルに基づき、公共設備に対し、流量統計を行い、ステップ470にジャンプし、
S460において、メッセージを捨て、終了し、
S470において、 正常にメッセージを転送する。なお、S470はステップS420、S430或はS450がジャンプすることによるものである。
S430において、該AIDが公共設備のAIDでなければ、ASNは該AID属性が仮想ユーザであるか否かを判断し、すなわち、ユーザが公共設備においてネットワークにアクセスする仮想AIDであるか否か、仮想ユーザであれば、S440ステップにジャンプし、そうではないと、S470ステップにジャンプし、正常に転送し、
S440において、ユーザが公共設備においてネットワークにアクセスする仮想AIDに基づき、対応した公共設備AID間のAIDマッピングテーブルが存在するか否かを検索し、AIDマッピングテーブルがあれば、S450ステップにジャンプし、なければ、S460ステップにジャンプし、メッセージを捨て、
S450において、ASNは検索したAIDマッピングテーブルに基づき、公共設備に対し、流量統計を行い、ステップ470にジャンプし、
S460において、メッセージを捨て、終了し、
S470において、 正常にメッセージを転送する。なお、S470はステップS420、S430或はS450がジャンプすることによるものである。
ここまで、ASNが公共設備からのメッセージを処理する流れは終了する。
図5に示したのはASNが他のASNからのメッセージを処理する流れである。該例示において、ASNは目的AIDが公共設備においてネットワークにアクセスするユーザ仮想AIDであるか否かを判断する必要がある。該流れは具体的に、以下のステップを含み、すなわち、
S500において、ASNは他のASNのメッセージを受信し、
S510において、ASNはメッセージのソースAIDと目的AIDを抽出し、目的AIDが公共設備AIDであるか否かを判断し、公共設備AIDであれば、S520ステップにジャンプし、そうではないと、S530ステップにジャンプし、
S520において、 ASNは該メッセージがACからのものであるか否かを判断し、ACからのものであれば、S570ステップにジャンプし、正常にメッセージを転送し、そうではないと、S560ステップにジャンプし、メッセージを捨て、
S530において、ASNは該メッセージの目的AIDが公共設備においてネットワークにアクセスするユーザ仮想AIDであるか否かを判断し、ユーザ仮想AIDであれば、S540ステップにジャンプし、そうではないと、S570ステップにジャンプし、正常にメッセージを転送し、
S540において、メッセージの目的AIDは公共設備においてネットワークにアクセスするユーザ仮想AIDであれば、 ASNは該AIDに基づき、公共設備AID間のAIDマッピングテーブルがあるか否かを検索し、あれば、S550ステップにジャンプし、なければ、S560ステップにジャンプし、メッセージを捨て、
S550において、ASNは公共設備のAIDに基づき、公共設備の流量を統計し、ステップ570に回し、
S560において、ASNはメッセージを捨て、終了し、
S570において、ASNは正常にメッセージを転送する。なお、上記ステップはステップS520、S530とS550がジャンプすることによるものである。
S500において、ASNは他のASNのメッセージを受信し、
S510において、ASNはメッセージのソースAIDと目的AIDを抽出し、目的AIDが公共設備AIDであるか否かを判断し、公共設備AIDであれば、S520ステップにジャンプし、そうではないと、S530ステップにジャンプし、
S520において、 ASNは該メッセージがACからのものであるか否かを判断し、ACからのものであれば、S570ステップにジャンプし、正常にメッセージを転送し、そうではないと、S560ステップにジャンプし、メッセージを捨て、
S530において、ASNは該メッセージの目的AIDが公共設備においてネットワークにアクセスするユーザ仮想AIDであるか否かを判断し、ユーザ仮想AIDであれば、S540ステップにジャンプし、そうではないと、S570ステップにジャンプし、正常にメッセージを転送し、
S540において、メッセージの目的AIDは公共設備においてネットワークにアクセスするユーザ仮想AIDであれば、 ASNは該AIDに基づき、公共設備AID間のAIDマッピングテーブルがあるか否かを検索し、あれば、S550ステップにジャンプし、なければ、S560ステップにジャンプし、メッセージを捨て、
S550において、ASNは公共設備のAIDに基づき、公共設備の流量を統計し、ステップ570に回し、
S560において、ASNはメッセージを捨て、終了し、
S570において、ASNは正常にメッセージを転送する。なお、上記ステップはステップS520、S530とS550がジャンプすることによるものである。
ここまで、ASNが他のASNからのメッセージを処理する流れは終了する。
図6に示したのはユーザがオフラインする流れである。ユーザはすでに公共設備においてネットワークにアクセスし、オンライン状態をした後、ユーザがオフラインする必要がある時、ACにオフライン要求を送信し、AC、ILRとASNは全部該ユーザAIDとの関連記録を削除する。該流れは具体的に、以下のステップを含み、
S600において、公共設備においてネットワークにアクセスするユーザUser1はASNを介しACにオフライン要求を送信し、
S610において、ASNはUser1の上記オフライン要求を受信し、ACに転送して処理し、
S620において、ACはUser1からのオフライン要求を受信し、User1のネットワークにおけるオンライン状態を削除し、
S630において、ACはASNにオフライン要求応答を送信し、ASNにUser1の関連情報を削除するように通知し、
S640において、ASNはACからのオフライン要求応答メッセージを受信し、User1のAID付着を解除し、その同時に、User1のAIDと公共設備のAID間のAIDマッピングテーブルを削除し、
S650において、 ASNはILRに User1の<AID、RID>マッピング関係更新を報告し、上記<AID、RID>マッピング関係を削除するように要求し、
S660において、 ILRはUser1の<AID、 RID>マッピング関係を削除し、ASNにマッピング関係削除応答を送信し、
S670において、 ASNは公共設備にオフラインが成功する応答メッセージを送信し、公共設備に付着したUser1の仮想AIDを削除する。
S600において、公共設備においてネットワークにアクセスするユーザUser1はASNを介しACにオフライン要求を送信し、
S610において、ASNはUser1の上記オフライン要求を受信し、ACに転送して処理し、
S620において、ACはUser1からのオフライン要求を受信し、User1のネットワークにおけるオンライン状態を削除し、
S630において、ACはASNにオフライン要求応答を送信し、ASNにUser1の関連情報を削除するように通知し、
S640において、ASNはACからのオフライン要求応答メッセージを受信し、User1のAID付着を解除し、その同時に、User1のAIDと公共設備のAID間のAIDマッピングテーブルを削除し、
S650において、 ASNはILRに User1の<AID、RID>マッピング関係更新を報告し、上記<AID、RID>マッピング関係を削除するように要求し、
S660において、 ILRはUser1の<AID、 RID>マッピング関係を削除し、ASNにマッピング関係削除応答を送信し、
S670において、 ASNは公共設備にオフラインが成功する応答メッセージを送信し、公共設備に付着したUser1の仮想AIDを削除する。
ここまで、ユーザがオフラインする流れは終了する。
図7に示したのはユーザが公共設備においてアカウントナンバーを登録する流れである。ネットワーク管理者は許容した場合に、ユーザは公共設備に本当の個人情報を書き入れ、直接に登録アカウントナンバー申し込みを提出可能である。ユーザの本当の個人情報はIICでネットワーク管理者により事前に収集して保存され、ユーザがオンラインでアカウントナンバー申し込みを提出する正確度を検証することに用いられる。該流れは具体的に以下のステップを含み、すなわち、
S700において、Userは個人情報を書き入れ、例えば、IDカード番号、自宅住所、勤務先、パスワード等の情報、ACにアカウントナンバー登録申し込みメッセージを送信し、
S710において、 ASNはACにアカウントナンバー登録申し込みメッセージを送信し、
S720において、 ACはアカウントナンバー登録申し込みメッセージを受信し、このメッセージにおけるIDカードに基づき、IICにUserの本当の個人情報を検索し、
S730において、IICはACに検索したUserの本当の個人情報を返し、
S740において、ACはIICで検索したUserの本当の個人情報で、Userの提出したアカウントナンバー登録メッセージが有効であるか否かを検証し、有效であれば(例えば、ユーザがオンラインで提供したID情報、例えばIDカード番号、氏名、パスワード等はIICが提供した相応した情報と一致すれば、有効となる)、ACはUserにアカウントナンバー、パスワード及びAIDを割り当て、
S750において、ACはASNに登録要求応答メッセージを送信し、
S760において、ASNはUserのAIDを付着し、その同時に、公共設備のAIDマッピングテーブルを新規作成し、且つILRにマッピング関係を報告し、
S770において、 ASNはUserに登録応答メッセージを送信し、UserのAIDを載せ、登録が成功すれば、UserのAIDは公共設備のAIDに仮想化される。その後、Userのあらゆるネットワーク行為のAIDは該仮想AIDとなる。
S700において、Userは個人情報を書き入れ、例えば、IDカード番号、自宅住所、勤務先、パスワード等の情報、ACにアカウントナンバー登録申し込みメッセージを送信し、
S710において、 ASNはACにアカウントナンバー登録申し込みメッセージを送信し、
S720において、 ACはアカウントナンバー登録申し込みメッセージを受信し、このメッセージにおけるIDカードに基づき、IICにUserの本当の個人情報を検索し、
S730において、IICはACに検索したUserの本当の個人情報を返し、
S740において、ACはIICで検索したUserの本当の個人情報で、Userの提出したアカウントナンバー登録メッセージが有効であるか否かを検証し、有效であれば(例えば、ユーザがオンラインで提供したID情報、例えばIDカード番号、氏名、パスワード等はIICが提供した相応した情報と一致すれば、有効となる)、ACはUserにアカウントナンバー、パスワード及びAIDを割り当て、
S750において、ACはASNに登録要求応答メッセージを送信し、
S760において、ASNはUserのAIDを付着し、その同時に、公共設備のAIDマッピングテーブルを新規作成し、且つILRにマッピング関係を報告し、
S770において、 ASNはUserに登録応答メッセージを送信し、UserのAIDを載せ、登録が成功すれば、UserのAIDは公共設備のAIDに仮想化される。その後、Userのあらゆるネットワーク行為のAIDは該仮想AIDとなる。
当業者は上記方法中の全部或は部分的なステップがプログラムで関連ハードウェアを命令することにより、完成でき、上記プログラムが例えば読み出し専用メモリ、磁気ディスク或は光ディスク等のコンピューターの可読記憶媒体に記憶可能であるように理解できる。上記実施例の全部或は部分的なステップが1つ或は複数の集積回路で実現可能であることも選択できる。それに応じ、上記実施例における各モジュール/ユニットはハードウェアの形式で実現してもよく、ソフトウェアー機能モジュールの形式で実現してもよい。本発明は如何なる特定の形式のハードウェアとソフトウェアーの組み合わせに限らないものである。
以上の内容は本発明の好適な実施例だけで、本発明を制限するわけではなく、当業者にとって、本発明が各種の修正と変更を有することは可能であり、本発明の精神と原則内に作った修正、同等引換、改善など、すべてが本発明の保護範囲に含まれるものである。
本発明が提供した公共設備においてネットワークにアクセスする方法及びシステムはユーザAIDの全ネットワークにおける唯一性を利用し、ユーザが公共設備においてネットワークにアクセスすることを実現し、且つ上記実施案を採用し、十分に身元識別子とロケーション識別子を分離するネットワークの優位性を利用し、全ネットワークAIDが唯一である上で、公共設備においてネットワークにアクセスするユーザに対し、効果的に追跡とトレーサビリティを行える。
Claims (15)
- 公共設備においてネットワークにアクセスする方法であって、身元識別子とロケーションを分離するネットワークに応用され、
アクセスサーバ(ASN)はユーザが公共設備において送信したネットワークアクセス要求メッセージを受信した後、認証センター(AC)に送信し、前記ネットワークアクセス要求メッセージには少なくとも前記ユーザのアカウントナンバーとパスワードを含むこと、
前記ACは前記アカウントナンバーとパスワードの有効性を検証し、検証を通過すれば、前記ユーザのアクセス身元識別子(AID)を前記ASNに送信すること、及び、
前記ASNは前記ユーザのAIDを受信した後、前記公共設備にプッシュし、前記公共設備は前記ユーザのAIDを仮想AIDとし、且つ前記仮想AIDを使用して、前記ユーザのメッセージの受発信を行うことを含む。 - 更に、前記ASNは前記ユーザのAIDを受信した後、前記ユーザのAIDに対し、付着を行い、前記ユーザのAIDと前記ASNのルーティング識別子(RID)のマッピング関係を確立し、且つ前記ユーザの身元識別子とロケーション登録レジスタ(ILR)に報告することを含む請求項1に記載の方法。
- 更に、前記ASNは前記ユーザのAIDを受信した後、前記ユーザのAIDと前記公共設備のAIDのマッピングテーブルを確立することを含む請求項2に記載の方法。
- 更に、前記ASNは前記ユーザのAIDと前記公共設備のAIDのマッピングテーブルを確立するとともに、前記ユーザのAID属性を仮想AIDに設置し、前記仮想AIDをソースアドレス或は目的アドレスとするメッセージを受信すると、前記マッピングテーブルを検索することで、前記公共設備のAIDを得て、且つ前記公共設備に対し、流量統計や課金を行うことを含む請求項3に記載の方法。
- 更に、前記ASNは管理された公共設備が前記AC以外のユーザ或は設備をアクセスすることを禁止することを含む請求項1〜4いずれか1つに記載の方法。
- 前記ASNは以下のような方式を採用して、前記公共設備が前記AC以外のユーザ或は設備をアクセスすることを禁止し、すなわち、
前記ASNは管理された公共設備のAIDに対し、登録を行い、
メッセージを受信する時、該メッセージのソースアドレスが登録したAIDであり、且つ目的アドレスが前記ACのAIDではなければ、或は該メッセージの目的アドレスが登録したAIDであり、且つソースアドレスが前記ACのAIDでないと、該メッセージを捨てる請求項5に記載の方法。 - 更に、前記ユーザは前記公共設備においてネットワークにアクセスし、ネットワークにおいてオンライン状態にあった後、前記ユーザがオフラインする時、
前記ユーザは前記公共設備においてオフライン要求を送信し、前記ASNは該オフライン要求を前記ACに送信し、
前記ACは前記ユーザのネットワークにおけるオンライン状態を削除した後、前記ASNにオフライン要求応答を送信し、
前記ASNは前記ユーザの付着を解除し、且つ前記ILRに前記ユーザのAIDと前記ASNのRIDのマッピング関係を削除するように要求し、その同時に、前記ユーザのAIDと前記公共設備のAIDのマッピングテーブルを削除し、且つ前記オフライン要求応答を前記公共設備に送信し、及び、
前記公共設備は前記オフライン要求応答を受信した後、前記ユーザの仮想AIDを削除することを含む請求項2又は3に記載の方法。 - 前記ユーザのアカウントナンバーとパスワードはネットワーク管理者により、予め割り当てられ、或は、オンラインで個人身元情報を提出し、申し込んで得られ、且つ前記アカウントナンバーを割り当てる同時に、前記ユーザにバインドしたAIDを割り当てる請求項1〜4のいずれか一つに記載の方法。
- 更に、前記ASNはネットワークアクセス要求メッセージを受信した後、それが公共設備からのものであるか否かを判断し、該ネットワークアクセス要求メッセージが公共設備からのものでなければ、前記ASNは前記ネットワークアクセス要求メッセージを前記ACに送信し、且つ前記ACのネットワークアクセス応答を前記ネットワークアクセス要求メッセージの発起側に転送することを含む請求項1に記載の方法。
- 公共設備においてネットワークにアクセスするシステムであって、身元識別子とロケーションが分離するネットワークに応用され、アクセスサーバ(ASN)、公共設備と認証センター(AC)を含み、その中に、
前記ASNはユーザが公共設備において送信したネットワークアクセス要求メッセージを受信した後、前記ACに送信し、前記ネットワークアクセス要求メッセージには少なくとも前記ユーザのアカウントナンバーとパスワードを含み、且つ前記ACが送信した前記ユーザのアクセス身元識別子(AID)を受信した後、前記公共設備にプッシュするように設置され、
前記ACはユーザのネットワークアクセス要求メッセージを受信した後、その中の前記アカウントナンバーとパスワードの有效性を検証し、検証を通過すれば、前記ユーザのAIDを前記ASNに送信するように設置され、
前記公共設備はユーザが入力したアカウントナンバーとパスワードに基づき、前記ASNにネットワークアクセス要求メッセージを送信し、且つ前記ASNがプッシュした前記ユーザのAIDを受信した後、前記ユーザのAIDを仮想AIDとし、前記仮想AIDを使用して前記ユーザのメッセージの受発信を行うように設置される公共設備においてネットワークにアクセスするシステム。 - 更に身元識別子とロケーション登録レジスタ(ILR)を含み、
前記ASNは更に、前記ユーザのAIDを受信した後、前記ユーザのAIDに対し、付着を行い、前記ユーザのAIDと前記ASNのルーティング識別子(RID)のマッピング関係を確立し、且つ前記ユーザのILRに報告するように設置され、
前記ILRは前記ユーザのAIDと前記ASNのRIDのマッピング関係を保存し、及び他のASNがユーザのAIDに基づいて発起したマッピング関係検索要求を受信した後、前記検索要求を発起するASNに前記ユーザのAIDが対応したRIDを返すように設置される請求項10に記載のシステム。 - 前記ASNは更に、前記ユーザのAIDを受信した後、前記ユーザのAIDと前記公共設備のAIDのマッピングテーブルを確立するように設置される請求項10に記載のシステム。
- 前記ASNは更に、前記ユーザのAID属性を仮想AIDに設置し、前記仮想AIDをソースアドレスや目的アドレスとするメッセージを受信する時、前記マッピングテーブルを検索して前記公共設備のAIDを得て、且つ前記公共設備に対して、流量統計や課金を行うように設置される請求項12に記載のシステム。
- 前記ASNは更に、管理された公共設備が前記AC以外のユーザ或は設備をアクセスすることを禁止するように設置される請求項10〜13のいずれか一つに記載のシステム。
- 前記ASNは更に、ユーザのオフライン要求を受信した後、前記ACに送信し、及びオフライン要求応答を受信した後、前記ユーザの付着を解除し、且つ前記ILRに前記ユーザのAIDと前記ASNのRIDのマッピング関係を削除するように要求し、その同時に、前記ユーザのAIDと前記公共設備のAIDのマッピングテーブルを削除し、且つ前記オフライン要求応答を前記公共設備に送信するように設置され、
前記ACは更に、前記オフライン要求を受信した後、前記ユーザのネットワークにおけるオンライン状態を削除した後、前記ASNにオフライン要求応答を送信するように設置され、
前記公共設備は更に、前記オフライン要求応答を受信した後、前記ユーザの仮想AIDを削除するように設置される請求項13に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010002849.4A CN102130887B (zh) | 2010-01-20 | 2010-01-20 | 一种在公共设备上接入网络的方法及系统 |
| CN201010002849.4 | 2010-01-20 | ||
| PCT/CN2010/077882 WO2011088695A1 (zh) | 2010-01-20 | 2010-10-19 | 一种在公共设备上接入网络的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013517718A true JP2013517718A (ja) | 2013-05-16 |
| JP5451903B2 JP5451903B2 (ja) | 2014-03-26 |
Family
ID=44268779
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012549235A Expired - Fee Related JP5451903B2 (ja) | 2010-01-20 | 2010-10-19 | 公共設備においてネットワークにアクセスする方法及びシステム |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8661517B2 (ja) |
| EP (1) | EP2512089B1 (ja) |
| JP (1) | JP5451903B2 (ja) |
| KR (1) | KR20120094958A (ja) |
| CN (1) | CN102130887B (ja) |
| ES (1) | ES2776475T3 (ja) |
| WO (1) | WO2011088695A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102130975A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种用身份标识在公共设备上接入网络的方法及系统 |
| CN104579969B (zh) * | 2013-10-29 | 2019-04-23 | 中兴通讯股份有限公司 | 报文发送方法及装置 |
| CN105991785A (zh) * | 2015-02-09 | 2016-10-05 | 中兴通讯股份有限公司 | 网络接入用户的追踪方法及装置 |
| CN105610841B (zh) * | 2015-12-31 | 2020-10-23 | 国网智能电网研究院 | 一种基于可溯源的用户信息认证方法 |
| CN111970178B (zh) * | 2019-05-20 | 2022-06-14 | 青岛海尔电冰箱有限公司 | 家用电器的通信控制方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009175923A (ja) * | 2008-01-23 | 2009-08-06 | Dainippon Printing Co Ltd | プラットフォーム完全性検証システムおよび方法 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6327037B1 (en) * | 1997-11-12 | 2001-12-04 | Chien Chou | Optical rotation angle polarimeter |
| GB2349244A (en) * | 1999-04-22 | 2000-10-25 | Visage Developments Limited | Providing network access to restricted resources |
| WO2001071984A1 (en) * | 2000-03-20 | 2001-09-27 | At & T Corporation | Method and apparatus for coordinating a change in service provider between a client and a server with identity based service access management |
| CN1243434C (zh) * | 2002-09-23 | 2006-02-22 | 华为技术有限公司 | 基于远程认证的网络中实现eap认证的方法 |
| EP1422590A3 (en) | 2002-10-16 | 2009-07-15 | NTT DoCoMo, Inc. | Service Providing Method for a Second Service based on Authentication for a First Service |
| KR100645512B1 (ko) | 2004-09-30 | 2006-11-15 | 삼성전자주식회사 | 통신 시스템에서 네트워크 접속에 대한 사용자 인증 장치및 그 방법 |
| US7778199B2 (en) * | 2005-02-19 | 2010-08-17 | Cisco Technology, Inc. | Techniques for customer self-provisioning of edge nodes for a virtual private network |
| CN1852094B (zh) * | 2005-12-13 | 2010-09-29 | 华为技术有限公司 | 网络业务应用账户的保护方法和系统 |
| CN100571125C (zh) * | 2005-12-30 | 2009-12-16 | 上海贝尔阿尔卡特股份有限公司 | 一种用于用户设备与内部网络间安全通信的方法及装置 |
| US8064357B2 (en) * | 2006-02-06 | 2011-11-22 | At&T Intellectual Property I, L.P. | Methods, DSL modems, and computer program products for provisioning DSL service using downloaded username/password |
| CN101175067A (zh) * | 2006-11-02 | 2008-05-07 | 华为技术有限公司 | 一种网络安全实现系统及方法 |
| US9003488B2 (en) * | 2007-06-06 | 2015-04-07 | Datavalet Technologies | System and method for remote device recognition at public hotspots |
| CN101127663B (zh) * | 2007-09-13 | 2010-11-03 | 北京交通大学 | 一种移动自组织网络接入一体化网络的系统及方法 |
| CN101119206B (zh) * | 2007-09-13 | 2011-03-02 | 北京交通大学 | 基于标识的一体化网络终端统一接入控制方法 |
| CN101123536B (zh) * | 2007-09-19 | 2010-12-15 | 北京交通大学 | 实现一体化网络位置管理的方法 |
| EP2051473B1 (en) * | 2007-10-19 | 2018-04-25 | Deutsche Telekom AG | Method and system to trace the ip traffic back to the sender or receiver of user data in public wireless networks |
| US20090258637A1 (en) * | 2008-04-11 | 2009-10-15 | Beijing Focus Wireless Media Technology Co., ltd. | Method for user identity tracking |
| US20100125891A1 (en) * | 2008-11-17 | 2010-05-20 | Prakash Baskaran | Activity Monitoring And Information Protection |
| CN102025589B (zh) * | 2009-09-18 | 2015-04-01 | 中兴通讯股份有限公司 | 虚拟专用网络的实现方法及系统 |
| CN102035813B (zh) * | 2009-09-30 | 2016-01-20 | 中兴通讯股份有限公司 | 端到端呼叫的实现方法、端到端呼叫终端及系统 |
| CN102131197B (zh) * | 2010-01-20 | 2015-09-16 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN102130975A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种用身份标识在公共设备上接入网络的方法及系统 |
-
2010
- 2010-01-20 CN CN201010002849.4A patent/CN102130887B/zh not_active Expired - Fee Related
- 2010-10-19 ES ES10843735T patent/ES2776475T3/es active Active
- 2010-10-19 KR KR1020127018790A patent/KR20120094958A/ko not_active Application Discontinuation
- 2010-10-19 EP EP10843735.1A patent/EP2512089B1/en active Active
- 2010-10-19 JP JP2012549235A patent/JP5451903B2/ja not_active Expired - Fee Related
- 2010-10-19 US US13/520,609 patent/US8661517B2/en not_active Expired - Fee Related
- 2010-10-19 WO PCT/CN2010/077882 patent/WO2011088695A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009175923A (ja) * | 2008-01-23 | 2009-08-06 | Dainippon Printing Co Ltd | プラットフォーム完全性検証システムおよび方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011088695A1 (zh) | 2011-07-28 |
| EP2512089A1 (en) | 2012-10-17 |
| KR20120094958A (ko) | 2012-08-27 |
| US20120278874A1 (en) | 2012-11-01 |
| EP2512089B1 (en) | 2019-12-18 |
| ES2776475T3 (es) | 2020-07-30 |
| CN102130887B (zh) | 2019-03-12 |
| JP5451903B2 (ja) | 2014-03-26 |
| EP2512089A4 (en) | 2013-06-19 |
| US8661517B2 (en) | 2014-02-25 |
| CN102130887A (zh) | 2011-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5451901B2 (ja) | 公共設備でネットワークにアクセスする方法及びシステム | |
| CN102104592B (zh) | 网络策略服务器之间的会话迁移 | |
| CN111373704A (zh) | 一种支持多模标识网络寻址渐进去ip的方法、系统及存储介质 | |
| CN111107171B (zh) | Dns服务器的安全防御方法及装置、通信设备及介质 | |
| JP5451903B2 (ja) | 公共設備においてネットワークにアクセスする方法及びシステム | |
| CN104040964B (zh) | 跨服务区通信的方法、装置和数据中心网络 | |
| JP5451902B2 (ja) | 公共設備におけるネットワークアクセス方法及びシステム | |
| JP2002508121A (ja) | 通信システムに関する方法および装置 | |
| CN104811370B (zh) | 一种基于标识的安全即时通信系统架构 | |
| JP2013517716A5 (ja) | ||
| CN110868446A (zh) | 一种后ip的主权网体系架构 | |
| CN114554251B (zh) | 多媒体数据的请求方法和装置、存储介质及电子装置 | |
| JP4080402B2 (ja) | 名前解決・認証方法及び装置 | |
| JP3953963B2 (ja) | 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、および分散型認証アクセス制御システム | |
| JP2004220075A (ja) | ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム | |
| JP2003087332A (ja) | 中継接続方式およびネットワークレベル認証サーバおよびゲートウェイ装置および情報サーバおよびプログラム | |
| WO2011054230A1 (zh) | 电子公告板管理方法、系统、终端和服务器 | |
| CN117768530A (zh) | 一种基于轻量级微服务架构的网关中间件 | |
| KR20050000880A (ko) | 비대칭 디지털 가입자회선 서비스 시스템과 방법 및 이를저장한 컴퓨터 판독 가능 기록매체 | |
| WO2011054232A1 (zh) | 电子公告板管理方法、系统、终端和服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130820 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131120 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131217 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131226 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5451903 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |