JP2015503303A - セキュリティで保護された通信システムおよび通信方法 - Google Patents
セキュリティで保護された通信システムおよび通信方法 Download PDFInfo
- Publication number
- JP2015503303A JP2015503303A JP2014547540A JP2014547540A JP2015503303A JP 2015503303 A JP2015503303 A JP 2015503303A JP 2014547540 A JP2014547540 A JP 2014547540A JP 2014547540 A JP2014547540 A JP 2014547540A JP 2015503303 A JP2015503303 A JP 2015503303A
- Authority
- JP
- Japan
- Prior art keywords
- data
- command
- user
- packet
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/73—Access point logical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
実施形態において、制限された接続環境において通信ネットワークを介してユーザ端末装置から解読構成要素にデータを送信するための方法が、ユーザ端末装置において、ユーザ端末装置におけるユーザからデータを受け取ることを含む。そのデータが機密性のあるデータであると判定された場合、その機密性のあるデータが、セキュリティで保護された暗号化キーを使用して暗号化される。パケットが、トンネリング・プロトコルに基づいて生成され、そのパケットが、コマンド・データと、暗号化された機密性のあるデータとを含む。そのコマンド・データが、ネットワーク構成要素のアドレスと、コマンドと、コマンド識別子とを含む。そのコマンドが、セキュリティで保護された暗号化キーがその機密性のあるデータを暗号化するのに使用されていることを識別する。そのアドレスにおいて識別されるネットワーク構成要素において、第1のポートでそのパケットが受信され、そのコマンドが読み取られ、そのパケットが、解読のために第2のポート経由で解読構成要素に転送され、さらに応答と、そのコマンド識別子とを含む応答パケットがユーザ端末装置に転送される。
Description
本発明は、通信システムおよび通信方法に関する。
パケット・ベースの通信システムは、パーソナル・コンピュータなどのデバイスのユーザが、インターネットなどのコンピュータ・ネットワークを介して通信することを可能にする。パケット・ベースの通信システムは、「VoIP(Voice-Over-Internet-Protocol)」通信システムを含む。これらのシステムは、固定回線ネットワークまたはモバイル・ネットワークと比べて、しばしば、大幅に費用が安いので、ユーザに有益である。このことは、長距離通信に関して特に当てはまり得る。VoIPシステムを使用するのに、ユーザは、ユーザのデバイス上にクライアント・ソフトウェアをインストールして、実行しなければならない。このクライアント・ソフトウェアが、VoIP接続を提供するとともに、登録および認証などの他の機能も提供する。音声通信に加えて、このクライアントは、ビデオ通話、インスタント・メッセージング(「IM」)、SMSメッセージング、およびボイスメールなどのさらなる特徴的機能も提供する。
パケット交換に基づく通信システムの一つのタイプは、独自のプロトコル上に構築されたピア・ツー・ピア(P2P(Peer-To-Peer))トポロジを使用する。ピア・ツー・ピア・システムへのアクセスを可能にするために、ユーザは、ユーザのコンピュータ上でP2Pソフトウェア提供元によって提供されるP2Pクライアント・ソフトウェアを実行して、そのP2Pシステムに登録しなければならない。ユーザがP2Pシステムに登録すると、クライアント・ソフトウェアにサーバからデジタル証明書が供給される。クライアント・ソフトウェアに証明書が供給されると、サーバをさらに使用することなしに、その後、P2Pシステムのユーザ間で通信がセットアップされ、ルーティングされることが可能である。詳細には、これらのユーザは、P2Pシステムへのアクセスを可能にする1つまたは複数のデジタル証明書(またはユーザ身元証明書:「UIC」)の交換に基づいて、P2Pシステムを介してユーザ自らの通信経路を確立することができる。ユーザ間のデジタル証明書の交換は、ユーザの身元、およびユーザがP2Pシステムにおいて適切に許可され、認証されていることの証明をもたらす。したがって、デジタル証明書の提示は、ユーザの身元への信頼をもたらす。したがって、通信が、サーバを使用してルーティングされるのではなく、エンド・ユーザからエンド・ユーザに向けて通信が直接ルーティングされることがピア・ツー・ピア通信の特徴である。そのようなP2Pシステムに関するさらなる詳細は、国際公開第2005/009019号パンフレットにおいて開示される。
パケット交換に基づく通信システムの抱える問題は、十分な帯域幅でインターネットに確実に接続されることが必要とされることである。このことは、ユーザが既知の固定の場所(ユーザの自宅など)にいる場合には、一般に問題ではないが、ユーザが移動中である場合には、特に問題となり得る。無線ローカル・エリア・ネットワーク(WLAN)のアクセス・ポイントによって提供されるインターネット無線接続用ホットスポット、および適切なホットスポット・ソフトウェアが、移動中にユーザによって使用可能となるように広く利用可能である。そのようなホットスポットは、しばしば、空港、カフェ、および駅などの公共区域において、しばしば、利用可能である。しかし、これらのホットスポットは、往々にしてオープンではなく、アクセスが制限され、セキュリティで保護されている。これらのホットスポットは、ユーザが、利用料金の支払いと引き換えにホットスポット運用者からログイン資格証明を獲得することを要求する。
WISPr(Wireless-Internet-Service-Provider-Roaming)プロトコルなどのプロトコルが、ホットスポットにアクセスするために使用され得る。WISPrプロトコルが使用される場合、アクセスが制限されたホットスポットを使用してインターネットに接続しようと試みるユーザは、そのホットスポットの運用者のログイン・サーバに接続要求をリダイレクトされる。このリダイレクトにより、ユーザに対するログイン・ページの表示がもたらされる。そのログイン・ページは、(例えば、ユーザ名およびパスワードがユーザによってあらかじめ購入されている、または事前に取り決められた料金請求の取り決めの一環として与えられている場合)ユーザ名およびパスワードを入力するよう、またはクレジット・カード(もしくは他の支払い)の詳細情報を入力するようユーザを促す。要求される情報を入力することによって、ユーザは、ホットスポットへのアクセスを得て、さらにインターネットに接続することができ、それに応じて課金される。
上記のような方法でホットスポットにアクセスすることには問題がある。第1に、ユーザがホットスポットのログイン・サーバに対して支払いに必要な詳細情報を入力することにはセキュリティ上の問題がある。ユーザは、ユーザの支払いに必要な詳細情報または個人情報データをホットスポット・プロバイダが漏洩しないことを十分に信頼していなければならない。第2に、ユーザがホットスポット・ログイン・サーバに支払いに必要な詳細情報を入力することは、そのようにするためには、ユーザの支払いに関する詳細情報がユーザの手元にあることを必要とするので、ユーザにとって不便である。第3に、手動でログインして、この情報を入力するのは、操作に時間を要する手順であり、このことは、ユーザがインターネットに迅速にアクセスして、パケット交換に基づく通信システムを使用することを所望する場合、非効率的である。
英国特許第2464553号明細書が開示する先行技術は、パケット交換に基づく通信システムにおいて使用するためにユーザが既に購入しているクレジットを使用して、ユーザがホットスポットへのアクセスの代金を支払うことを可能にすることによって、制限されたWLANホットスポットにアクセスすることが抱える前述した問題のいくつかに対処する。これらのユーザは、パケット交換に基づく通信システムを既に使用しているので、パケット交換に基づく通信ソフトウェアのプロバイダを相手にした支払い関係を、往々にして既に有する。通常、この支払い関係は、例えば、インターネットと公衆交換電話網(「PSTN」)の間で通話を行うために、ユーザが購入している前払い制のクレジットの形態である。
これらのユーザは、これらのユーザが既存の料金請求の取り決めを有するので、パケット交換に基づく通信ソフトウェアのプロバイダを信頼している。したがって、これらのユーザにとって、個人データまたはログイン資格証明を、ホットスポットの運用者に供給するより、パケット交換に基づく通信ソフトウェアのプロバイダに供給することの方が、より安心できるものである。
前払い制のクレジットを使用していると、ユーザは、ユーザがホットスポットにアクセスすることを所望するたびに支払いに関する詳細情報を入力しなくてもよい。代わりに、ユーザは、既存の料金請求関係のため、パケット交換に基づく通信ネットワークに関するユーザのログイン資格証明を供給するだけでよい。ホットスポットにアクセスするための機構は、通信クライアント・ソフトウェアに緊密に組み込まれることが可能であり、このことにより、ユーザが、ホットスポット経由でパケット交換に基づく通信システムへのアクセスを得るプロセスが大幅にスピードアップされ得る。
しかし、ホットスポットにアクセスすることを所望する多くのユーザは、ユーザのアカウント上にクレジットを有さないため、前述した前払い制のクレジットに基づく方法を使用することができない。
前払い制のクレジットがあらかじめ獲得されていない場合にホットスポットへのアクセスの代金をユーザが支払うことができるようにすることには、いくつかの問題点がある。ユーザは、インターネット・アクセスがまだ利用できず、したがって、ウェブ・サイトにアクセスすることによる標準的な支払い方法を使用することができないため、差し当たり、クレジットを獲得することができない。
ホットスポットは、パケット交換に基づく通信ソフトウェアのプロバイダの管理下にはなく、代わりに、第三者によって運用されているので、セキュリティ上の問題が存在する。この第三者は、適法なホットスポットであるかのように見えるが、ユーザ資格証明および/または支払い手段の詳細を収集する目的でのみ存在するホットスポットをセットアップしている悪意のあるユーザかも知れない。したがって、第三者であるホットスポット運用者にパケット交換に基づく通信ネットワークにおけるユーザのログイン資格証明および支払いに関する詳細情報が晒されてしまうことは、適切ではない。
さらに、ユーザは、支払いを行うこと、または有効な資格証明を提示することなしに、クレジットを獲得するためにインターネットへのアクセスを得ることができない。
本発明の一態様によれば、制限された接続環境において通信ネットワークを介してユーザ端末装置から解読構成要素にデータを送信する方法が提供され、この方法は、
ユーザ端末装置において、
ユーザ端末装置におけるユーザからデータを受け取ること、
当該データが機密性のあるデータであると判定された場合、当該機密性のあるなデータを、セキュリティで保護された暗号化キーを使用して暗号化すること、および
トンネリング・プロトコルに準拠してパケットを生成し、当該パケットが、コマンド・データと、当該暗号化された機密性のあるデータとを含み、当該コマンド・データが、ネットワーク構成要素のアドレスと、コマンドと、コマンド識別子とを含み、セキュリティで保護された暗号化キーが当該機密性のあるデータを暗号化するのに使用されていることを、当該コマンドが識別することを備える。
ユーザ端末装置において、
ユーザ端末装置におけるユーザからデータを受け取ること、
当該データが機密性のあるデータであると判定された場合、当該機密性のあるなデータを、セキュリティで保護された暗号化キーを使用して暗号化すること、および
トンネリング・プロトコルに準拠してパケットを生成し、当該パケットが、コマンド・データと、当該暗号化された機密性のあるデータとを含み、当該コマンド・データが、ネットワーク構成要素のアドレスと、コマンドと、コマンド識別子とを含み、セキュリティで保護された暗号化キーが当該機密性のあるデータを暗号化するのに使用されていることを、当該コマンドが識別することを備える。
本発明は、自身に割り当てられたアドレスによって識別されるネットワーク構成要素において、
第1の通信ポートで当該パケットを受信すること、
当該コマンドを読み取ること、
当該パケットを、解読のために第2の通信ポート経由で解読構成要素に転送すること、および
応答と、当該コマンド識別子とを含む応答パケットをユーザ端末装置に転送することを含み得る。
第1の通信ポートで当該パケットを受信すること、
当該コマンドを読み取ること、
当該パケットを、解読のために第2の通信ポート経由で解読構成要素に転送すること、および
応答と、当該コマンド識別子とを含む応答パケットをユーザ端末装置に転送することを含み得る。
本発明の別の態様によれば、解読構成要素を備える通信システムが提供され、その解読構成要素は、
コマンド・データおよび暗号化された機密性のあるデータを有するパケットを受信するための入力と、セキュリティで保護されたキーを保持するためのメモリと、そのセキュリティで保護されたキーを使用して、暗号化された機密性のあるデータを包含する受信されたパケットを解読し、前記機密性のあるデータを検証し、さらに検証応答を生成するように構成されたプロセッサと、その解読構成要素に接続され、そのセキュリティで保護されたキーとは異なるセッション・キーを保持するメモリを有するとともに、受信された各パケットの中のコマンド・データを読み取り、そのコマンド・データから暗号化キーを識別し、その暗号化キーがそのセッション・キーであるパケットを解読し、さらにその暗号化キーがそのセッション・キーであるパケットをその解読構成要素に転送するように構成されたプロセッサを含むネットワーク構成要素とを備える。
コマンド・データおよび暗号化された機密性のあるデータを有するパケットを受信するための入力と、セキュリティで保護されたキーを保持するためのメモリと、そのセキュリティで保護されたキーを使用して、暗号化された機密性のあるデータを包含する受信されたパケットを解読し、前記機密性のあるデータを検証し、さらに検証応答を生成するように構成されたプロセッサと、その解読構成要素に接続され、そのセキュリティで保護されたキーとは異なるセッション・キーを保持するメモリを有するとともに、受信された各パケットの中のコマンド・データを読み取り、そのコマンド・データから暗号化キーを識別し、その暗号化キーがそのセッション・キーであるパケットを解読し、さらにその暗号化キーがそのセッション・キーであるパケットをその解読構成要素に転送するように構成されたプロセッサを含むネットワーク構成要素とを備える。
その機密性のあるデータは、支払いデータであり得る。
セッション暗号化キーは、ペアにされたキーがネットワーク構成要素において保持されるキー・ペアのうちの1つであり得る。セキュリティで保護された暗号化キーは、ペアにされたキーが解読構成要素において保持され、ネットワーク構成要素に知られていないキー・ペアのうちの1つであり得る。
本発明の別の態様が、少なくとも機密性のあるデータまたはセッション・データを入力するようユーザを促すように構成されたユーザ・インターフェースと、
前記データを受信し、
そのデータが機密性のあるデータであるか、またはセッション・データであるかを判定し、
機密性のあるデータをセキュリティで保護された暗号化キーで暗号化し、またはセッション・データをセッション・キーで暗号化し、
コマンド・データと、当該暗号化されたデータとを備えるパケットを生成し、当該コマンド・データが、平文であり、さらにコマンドと、コマンド識別子とを備え、当該コマンドにおいて、セキュリティで保護されたキーが使用されているか、またはセッション・キーが使用されているかを識別する、コンピュータ・プログラムを実行するように構成されたプロセッサとを有するユーザ端末装置を提供する。
前記データを受信し、
そのデータが機密性のあるデータであるか、またはセッション・データであるかを判定し、
機密性のあるデータをセキュリティで保護された暗号化キーで暗号化し、またはセッション・データをセッション・キーで暗号化し、
コマンド・データと、当該暗号化されたデータとを備えるパケットを生成し、当該コマンド・データが、平文であり、さらにコマンドと、コマンド識別子とを備え、当該コマンドにおいて、セキュリティで保護されたキーが使用されているか、またはセッション・キーが使用されているかを識別する、コンピュータ・プログラムを実行するように構成されたプロセッサとを有するユーザ端末装置を提供する。
このコンピュータ・プログラムは、通信ネットワークにおいて通信イベントを確立する、Skype(商標)などの通信クライアントであり得る。しかし、その機能は、スタンドアロン型の支払いアプリケーションとして、またはWindows(登録商標)などのオペレーティング・システムの一部であるWiFiネットワーク・マネージャなどの他の任意の関連するアプリケーションの特徴的機能として実装されてもよい。
当該コマンド・データを平文で供給することによって、当該コマンドを受信するネットワーク構成要素が、解読構成要素を宛先とするデータを解読できない場合に、それでも、当該コマンドが当該解読構成要素に転送されるべきか否かを判定することができる。
本発明のさらなる態様は、
通信ネットワークを相手にパケットを交換するための第1の通信ポートと、
[セキュリティで保護された環境において]解読構成要素を相手にパケットを交換するための第2の通信ポートと、
第1の通信ポートからパケットを受信し、当該パケットが、暗号化されたデータと、コマンドおよびコマンド識別子を含むコマンド・データとを包含し、
当該コマンドを読み取り、当該データを暗号化するために、セキュリティで保護されたキーが使用されているのか、それともセッション・キーが使用されているのかを判定し、
セッション・キーが使用されている場合には、当該データを解読して、当該データに従って動作し、さらに
セキュリティで保護されたキーが使用されている場合には、
当該パケットを第2の通信ポートに転送し、
応答と、そのコマンドとを含む応答パケットを、第1の通信ポート経由で送信するコンピュータ・プログラムを実行するように構成されたプロセッサとを備える、通信ネットワークにおいて使用するためのネットワーク構成要素を提供する。
通信ネットワークを相手にパケットを交換するための第1の通信ポートと、
[セキュリティで保護された環境において]解読構成要素を相手にパケットを交換するための第2の通信ポートと、
第1の通信ポートからパケットを受信し、当該パケットが、暗号化されたデータと、コマンドおよびコマンド識別子を含むコマンド・データとを包含し、
当該コマンドを読み取り、当該データを暗号化するために、セキュリティで保護されたキーが使用されているのか、それともセッション・キーが使用されているのかを判定し、
セッション・キーが使用されている場合には、当該データを解読して、当該データに従って動作し、さらに
セキュリティで保護されたキーが使用されている場合には、
当該パケットを第2の通信ポートに転送し、
応答と、そのコマンドとを含む応答パケットを、第1の通信ポート経由で送信するコンピュータ・プログラムを実行するように構成されたプロセッサとを備える、通信ネットワークにおいて使用するためのネットワーク構成要素を提供する。
この文脈において、セキュリティで保護された環境とは、制限されたアクセス環境、および/またはクレジット・カード処理環境を包含する。
本発明の別の態様が、通信ネットワークにおいてネットワーク構成要素を動作させる方法であり、この方法は、
通信ネットワークでネットワーク構成要素の第1の通信ポートからパケットを受信し、当該パケットは、暗号化されたデータと、コマンドおよびコマンド識別子を含むコマンド・データとを包含しており、当該コマンドを読み取り、そのデータを暗号化するために、セキュリティで保護されたキーが使用されているのか、それともセッション・キーが使用されているのかを判定し、セッション・キーが使用されている場合には、当該データを解読して、当該データに従って動作し、さらにセキュリティで保護されたキーが使用されている場合には、当該パケットを、解読構成要素を相手としてパケットを交換するために第2の通信ポートに転送し、さらに応答と、そのコマンド識別子とを含む応答パケットを、第1の通信ポート経由で送信することを備える。
通信ネットワークでネットワーク構成要素の第1の通信ポートからパケットを受信し、当該パケットは、暗号化されたデータと、コマンドおよびコマンド識別子を含むコマンド・データとを包含しており、当該コマンドを読み取り、そのデータを暗号化するために、セキュリティで保護されたキーが使用されているのか、それともセッション・キーが使用されているのかを判定し、セッション・キーが使用されている場合には、当該データを解読して、当該データに従って動作し、さらにセキュリティで保護されたキーが使用されている場合には、当該パケットを、解読構成要素を相手としてパケットを交換するために第2の通信ポートに転送し、さらに応答と、そのコマンド識別子とを含む応答パケットを、第1の通信ポート経由で送信することを備える。
また、本発明は、プロセッサによって実行されると、前述の方法を実施するコンピュータ・プログラム製品をさらに提供する。
本発明をよりよく理解するために、さらに本発明がどのように実施され得るかを示すように、次に、例として、以下の図面が参照される。
前述したとおり、本発明の実施形態は、制限された接続環境において、より詳細には、インターネットへのアクセスがまだ許可されていない場合において、データ転送に関する問題を解決する技術的解決法を提供するのに役立つ。インターネット・アクセスが開かれる前でも、DNSトンネリングを使用してバックエンド・サーバを相手にデータを交換するアクセス・プロトコルが、英国特許第2464553号明細書において説明されている。本明細書で、このプロトコルが、クライアントからバックエンド・サーバに支払いに関する詳細情報を伝送して、ユーザが、クレジットを購入し、ホットスポットを介してインターネット・アクセスを得ることができるように拡張される。
最初に、パケット交換に基づく通信システム100を例示する図1が参照される。この例示的な実施形態は、P2P通信システムに関連して説明されるが、非P2Pシステム、VoIPシステム、またはIMシステムなどの他のタイプの通信システムが使用されることも可能であることに留意されたい。この通信システムの第1のユーザ(「トム・スミス」102と名付けられた)が、インターネットなどのネットワーク106に接続することができるユーザ端末装置104を操作する。ユーザ端末装置104は、例えば、パーソナル・コンピュータ(「PC」)(例えば、Windows(登録商標)PC、Mac OS(商標)PC、およびLinux(登録商標)PC)、携帯情報端末(「PDA」)、モバイル電話機、ゲーム・デバイス、またはネットワーク106に接続することができる他の組み込み型デバイスとすることが可能である。ユーザ端末装置104は、当該デバイスのユーザ102から情報を受け取るように、さらに当該デバイスのユーザ102に情報を出力するように構成される。本発明の好ましい実施形態において、ユーザ・デバイスは、スクリーンなどのディスプレイと、キーボード、マウス、ジョイスティック、および/またはタッチスクリーンなどの入力デバイスとを備える。
図1に示される例において、ユーザ端末装置104は、WLANアクセス・ノード107に接続することができるネットワーク・インターフェースを備える。このアクセス・ノードは、アクセス・ノード107に対する無線接続を提供するアクセス・ポイント(「AP」)108と、ユーザ端末装置がアクセス・ノード107に接続することができるか否かを制御するホットスポット・ポータル109とを備える。AP108とホットスポット・ポータル109は、単一のエンティティ内に並置されることも、別々の異なるエンティティ内に備えられることも可能である。しかし、構造上のレイアウトにかかわらず、この2つの構成要素の機能は、同一であり、したがって、ホットスポット・ポータル109は、ユーザ端末装置が、AP108経由でネットワーク106に(したがって、インターネットに)接続することができるかどうかを制御する。ホットスポット・ポータル109は、認証および支払いのために接続要求のリダイレクトするなどの機能を提供する。
ユーザ端末装置104は、ソフトウェア・プロバイダによって提供される通信クライアント110を実行している。通信クライアント110は、ユーザ端末装置104におけるローカルなプロセッサの上で実行されるソフトウェア・プログラムである。また、ユーザ端末装置104は、ユーザが音声通話において聞くこと、および話すことを可能にするスピーカおよびマイクを備えるハンドセット112にさらに接続される。このマイクおよびスピーカは、必ずしも従来の電話ハンドセットの形態である必要はなく、組み込まれたマイクロホンを有するヘッドホンもしくはイヤホン、またはユーザ端末装置104に独立して接続された別々のスピーカおよびマイクロホンの形態であること、あるいはユーザ端末装置104自体に組み込まれることも可能である。
ユーザ102が、WLANアクセス・ノード107経由でネットワーク106へのアクセスを得ることができるものと想定して、連絡先リストの中のユーザへのVoIP通話は、連絡先を選択すること、およびマウスなどのポインティング・デバイスを使用してユーザ・インターフェース上の「通話」ボタンをクリックすることによって、通信システムを介して開始され得る。図1を再び参照すると、通話セットアップが、独自のプロトコルを使用して実行され、さらに発呼側ユーザと着呼側ユーザの間のネットワーク106上の経路が、サーバを使用することなしに、ピア・ツー・ピア・システムによって決定される。例えば、第1のユーザ「トム・スミス」102が、第2のユーザ「ケビン・ジャクソン」114を呼び出すことが可能である。
デジタル証明書の提示(国際公開第2005/009019号パンフレットにおいてより詳細に説明されるとおり、ユーザがその通信システムの真正の加入者であることを証明する)を介した認証の後に、その呼が、VoIPを使用して行われることが可能である。クライアント110が、VoIPパケットの符号化および復号化の処理を実行する。ユーザ端末装置104からのVoIPパケットが、アクセス・ノード107を介してネットワーク106に送信され、ネットワーク・インターフェース118経由で着呼側114のコンピュータ端末装置116にルーティングされる。着呼側ユーザ114のユーザ端末装置116上で実行されるクライアント120(クライアント110と同様)が、それらのVoIPパケットを復号して、ハンドセット122を使用する被呼側ユーザによって聞かれることが可能なオーディオ信号をもたらす。逆に、第2のユーザ114が、ハンドセット122に向かって話すと、ユーザ端末装置116上で実行されるクライアント120が、それらのオーディオ信号をVoIPパケットに符号化して、それらのVoIPパケットを、ネットワーク106を介してユーザ端末装置104に送信する。ユーザ端末装置104上で実行されるクライアント110が、それらのVoIPパケットを復号化し、ハンドセット112のユーザによって聞かれることが可能なオーディオ信号をもたらす。
前述したユーザ(102と114などの)間の呼に関するVoIPパケットは、専らネットワーク106を介して送られ、公衆交換電話網(「PSTN」)124は、関与しない。さらに、システムのP2Pに基づく性質のため、この通信システムのユーザ間の実際の音声通話は、中央サーバが全く使用されずに行われ得る。このことは、ネットワークが、容易に拡大縮小され、高い音声品質を維持し、さらに呼がユーザにとって無料で利用されることが可能であるという利点を有する。さらに、呼が、呼をPSTNネットワーク124にルーティングすることによって、パケット交換に基づく通信システムを使用するクライアント(110、122)から、固定回線電話機またはモバイル電話機126に行われることも可能である。同様に、固定回線電話機またはモバイル電話機126からの呼が、PSTN124を介してパケット交換に基づく通信システムに向けて行われることも可能である。
音声通話を行うことに加えて、クライアント110のユーザは、いくつかの他の様態で、例えば、インスタント・メッセージング(チャット・メッセージとしても知られる)、ファイル伝送、連絡先にボイスメールを送信すること、またはビデオ通話を確立することなどによって、それらのユーザと通信することもできる。
図2は、クライアント110が実行されるユーザ端末装置104の詳細な図を示す。このユーザ端末装置104は、ディスプレイ・インターフェース305を介してスクリーンなどのディスプレイ304が接続された中央処理装置(「CPU」)302、ならびにUSBなどのインターフェース309を介して接続されたキーボード306などの入力デバイスおよびマウス308などのポインティング・デバイスを備える。代替的な端末装置においては、キーパッド、タッチスクリーン、および/またはジョイスティックなどの入力デバイスおよびポインティング・デバイスが、端末装置にさらに組み込まれることも可能である。出力オーディオ・デバイス310(例えば、スピーカ)および入力オーディオ・デバイス312(例えば、マイク)が、オーディオ・インターフェース313を介して接続される。出力オーディオ・デバイス310と入力オーディオ・デバイス312は、ハンドセット112もしくはヘッドセットに組み込まれてもよく、別々であってもよい。CPU302は、WLAN APに接続するためにネットワーク・インターフェース311に接続される。
また、図2は、CPU302上で実行されるオペレーティング・システム(「OS」)314をさらに例示する。OS314の上で実行されるものは、クライアント110のためのソフトウェア・スタック316である。図中において、このソフトウェア・スタックは、プロトコル層318、クライアント・エンジン層320、およびクライアント・ユーザ・インターフェース層(「UI」)322として示されている。各層は、特定の機能を担う。通常の場合、各層がその他の2つの層と通信するため、これらの層は、図3に示されるとおり、スタックに構成されているものと見なされる。オペレーティング・システム314が、コンピュータのハードウェア・リソースを管理し、ネットワーク・インターフェース108経由でネットワークに伝送される、またはネットワークから伝送されるデータを処理する。クライアント・ソフトウェアのクライアント・プロトコル層318は、オペレーティング・システム314と通信し、通信システムを介した接続を管理する。より高いレベルの処理を要求するプロセスは、クライアント・エンジン層320に送られる。クライアント・エンジン層320は、クライアント・ユーザ・インターフェース層322とさらに通信する。クライアント・エンジン層320は、クライアント・ユーザ・インターフェース層322を制御することにより、クライアントのユーザ・インターフェース(図2に示される)を介してユーザに情報を提示するように構成され、さらには、このユーザ・インターフェースを介してユーザから情報を受け取るように構成され得る。
同様に図に示され、クライアント110に組み込まれるものは、アクセス・マネージャ324である。アクセス・マネージャ324は、WLANホットスポットに対するアクセスを管理することを担う。本発明に係る好ましい実施形態においては、アクセス・マネージャ324は、クライアント110内に組み込まれ、クライアントUI層322を利用してユーザに情報を表示し、クライアント・プロトコル層318を利用して通信システムに接続する。本発明に係る代替的な実施形態において、アクセス・マネージャ324は、OS314上で実行されるが、クライアント110と通信状態にあるスタンドアロン型のソフトウェアとしても実装され得る。
図3は、図1の通信システムにおいて使用するためのセキュリティで保護されたアクセス・システムの構成要素を例示する概略ブロック図である。図1に示される構成要素のうちのいくつかは、図2にも示されており、同様の参照符号で示される。図1に示される構成要素に加えて、図2は、ポータル109に接続されたワールドワイドウェブ・サーバ200およびドメイン・ネーム・サーバ202を示す。
図1および図3は、通信クライアント・ソフトウェア・プロバイダのドメイン・ネーム・サーバ(DNS)128をさらに示す。DNSトンネリングとして知られる技法を使用してホットスポット109のアクセス制限をバイパスするために、DNSプロトコルが使用される。通信クライアント・ソフトウェア・プロバイダのドメイン・サーバ(DNS)128は、必ずしも実際のドメイン・ネーム・サーバではなく、DNSプロトコルを使用して通信するように構成された、特別に構成されたバックエンド・サーバとしても良いことに留意されたい。図1および図3にさらに示されるのが、英国特許第2464553号明細書で既に知られ、以降において簡単に説明される方法でホットスポットへのアクセスを提供するのに使用され得るアクセス・ルックアップ・データベース130である。
図3に示されるセキュリティで保護されたアクセス・システムは、セキュリティで保護された環境、例えば、DNSバックエンド・サーバ128をセキュリティで保護されたウェブ支払いAPI212に接続する暗号サービス構成要素214を備える支払い管理業界環境210を備える。支払いハンドラ統合サービス216が、暗号サービス構成要素214にやはり接続される、注文およびカード・データに関するデータベース218に接続される。暗号サービス構成要素214は、API212を介してアクセス・データベース220に接続される。
データベース220は、本明細書で説明される支払いプロセスにおいてユーザ資格証明を検証する役割を果たす。
クレジット・カード番号処理は、PCIコンプライアンスに関する厳格な一連の規則に準拠しなければならず、主な要件は、カード番号および他の機密性のあるデータが、クライアント端末装置から、セキュリティで保護されていると考えられるPCI準拠の環境に至る終端間で暗号化されなければならないことである。
このことを実現するのに、セッション(後段で説明される)を確立するのに使用されるアクセス・プロトコルを拡張する新たなパケット・タイプが導入される。これらの新たなパケット・タイプは、この事例では、バックエンド・サーバが解読できない支払いトラフィックである、機密性のあるデータの暗号化されたペイロードを伝送する。サーバ128は、支払いトラフィックを暗号サービス構成要素214に転送する。
セキュリティは、セッション・パケットを暗号化するのと、セキュリティで保護された支払いパケットを暗号化するのに異なる公開キー/暗号化キー・ペアを使用することによって保たれる。
次に、インターネット・アクセスを確立していることなしに、支払いが行われ得るクライアントとPCI環境の間のセキュリティで保護された通信を実施するためのプロセスを説明する図4が参照される。
この支払い方法は、図4Aに関連して後段で説明される、ステップS412からステップS414までのセッション確立プロセスとは無関係である。
以下において、支払いメッセージが、API108のDNSポータル経由でネットワーク106を介して通信クライアント・ソフトウェア・プロバイダのドメイン・ネーム・サーバ(「DNS」)128に送られるDNSクエリ(DNS問い合わせ)として符号化される。DNSプロトコルは、DNSトンネリングとして知られる技法を使用してホットスポット109のアクセス制限をバイパスするのに使用される。
このことは、正規名(「CNAME」)レコードDNSクエリを使用することによって実現される。このクエリ(問い合わせ)と応答形式はともに厳格な一連の規則に準拠しなければならない。完全修飾ドメイン名(「FDQN」)の全長は、63文字までのラベルを長さバイトと混ぜる内部形式で表される場合、255バイトを超えることができない。最大限の長さのラベルを使用すると、ペイロードを伝送するために250文字が存在する。Base32符号化が、辞書「abcdefghijklmnopqrstuvwxyz0123456」と一緒に使用され得る。各文字は、5ビットのバイナリ・ペイロードを伝送することが可能であり、このことは、各応答および各クエリは、1248ビットを伝送することができることを意味する。1152ビットのリベスト・シャミア・エーデルマン(「RSA」)キーが、暗号化のために使用される。読み取り可能な形態のクエリは、「data.data.data.access.skype.com」と類似した形態である。各DNSトンネリング・パケットは、バックエンドDNSサーバなどの、パケットの宛先を識別するアドレスを有する。
S441において、支払い開始要求が、端末装置104におけるクライアント110から送信される。支払い開始要求は、以下の形態である。すなわち、
この場合、「Skyper」および「Skype(商標)」という名前は、Skype通信システムに限定することを意図しておらず、つまり、任意のユーザ名またはログイン資格証明が使用され得ることに留意されたい。
COMMANDフィールドおよびCMD IDフィールド(平文である)は別として、この要求の中の残りのフィールドのそれぞれは、セキュリティで保護されたRSAプライベート・キーで暗号化されることに留意されたい。支払いRSAプライベート・キーは、本明細書では、専ら支払い目的で使用される11552ビットのリベスト・シャミア・エーデルマン・キーである。後段で説明されるとおり、異なるRSAキーが、セッションの確立のために使用される。DNSサーバ128は、セキュリティで保護された支払いRSAキーへのアクセスを有さず、したがって、この要求を解読することができない。DNSサーバ128は、この要求を暗号サービス構成要素214に転送する。セキュリティで保護されたキーが使用されているという事実は、COMMANDフィールドで識別される。実際、サーバ128は、これらの暗号化されたフィールドをBLOBとして扱う。サーバ128は、この要求を、要求ペイロードとしてそのまま、セキュリティで保護されたウェブ支払いAPI212を介して暗号サービス構成要素214に転送する。
支払いRSAキーのプライベート部分は、セキュリティで保護された環境内の暗号サービス構成要素だけに知られており、その暗号サービス構成要素が、キーのプライベート部分を使用してユーザを認証する。この実施形態において、認証は、セキュリティで保護されたweb.apiを使用するが、認証方法は、異なるユーザ・タイプに関して異なることが可能である。トランザクション・レコードが、ランダムなトランザクションID番号でデータベース内に作成される。このことが、S442として記載される。暗号サービス構成要素214が、以下の形態のトランザクション継続メッセージを戻す(S443)。すなわち、
前述のメッセージにおいて、transaction IDは、MD5(client_challenge、「暗号化する」、initiator_vector)に設定されたRC4キーを使用して、RC4初期化ベクトルを包含するフィールドと一緒に暗号化される。その他の対称型暗号化アルゴリズム、例えば、AES、DESなどが、本発明に係る異なる実施例において使用され得ることに留意されたい。cmdidフィールドは、クライアントによって割り当てられたコマンドIDを包含する。result codeフィールドは、クライアントにステータス情報を供給する応答を保持する。このトランザクション継続メッセージは、サーバ128に戻され、その後、クライアント110に戻され、S444で、クライアント110が、以下の形式の製品詳細メッセージを戻す。
製品詳細が受け付けられた場合、S445で、サーバ128が、トランザクション継続メッセージで応答する。製品詳細メッセージの中で、COMMANDフィールドおよびCMD IDフィールド以外のすべてのフィールドは、支払いRSAキーを使用して暗号化される。このため、これらのフィールドは、解読および検証のために暗号サービス構成要素214に供給される。
そのトランザクション継続メッセージが、クライアント104において受信される。支払いに関する詳細情報は、クライアントによって、S416で暗号サービス構成要素214に送信される支払詳細メッセージとして形成される。コマンドおよび応答の流れ全体が、ユーザ・インターフェースにおいてユーザに表示された画面にユーザがすべての詳細を入力した後に生じることに留意されたい。次に、3つのコマンドのシーケンスが、クライアントによって自動的に発行される。
支払詳細メッセージの中のフィールドは、COMMANDフィールドおよびCMD IDフィールド(平文である)以外、支払いRSAキーを使用して暗号化される。支払いに関する詳細情報を受信すると、暗号サービス構成要素214は、支払いに関する詳細情報を解読し、トランザクションIDに基づいて、トランザクションに関するそれまでに格納されているデータを調べ、さらにPCIデータベース218を使用して支払いを認証するウェブ支払いAPI212のための要求メッセージを生成する。S448で、好ましくは、乱数または他の何らかの予測不能なパラメータの形態で支払いIDを含む支払い応答が、セキュリティで保護されたウェブAPI212によって生成される。支払いIDは、暗号サービス構成要素214によって支払い応答に形成され、この応答が、DNSサーバ128に戻され、さらにDNSサーバ128からクライアントに戻される。支払い応答の形式は、以下に示すとおりである。
次に、トランザクション開始メッセージS442に対してS443で、さらに製品詳細メッセージに対してS445で応答として供給されるトランザクション継続メッセージに戻る。これらの応答の両方において、result codeフィールドが、以下の可能な4つの応答のうちの1つを保持することが可能である。すなわち、
RESULT_CONTINUE。
RESULT_NOT_AUTHENTICATED。
RESULT_INVALID_TRANSACTION。
RESULT_PAYMENT_FAILED。
RESULT_CONTINUE。
RESULT_NOT_AUTHENTICATED。
RESULT_INVALID_TRANSACTION。
RESULT_PAYMENT_FAILED。
ほとんどの事例において、これらの結果オプションは、解読および認証の結果に応じて暗号サービス構成要素214によってDNSサーバに供給される。しかし、ネットワーク構成要素は、暗号サービス構成要素214が応答しなかった場合、第4の結果オプション(RESULT_PAYMENT_FAILED)を自ら生成することができる。DNSサーバは、コマンド・コード、RC4初期化ベクトル・コード、コマンドID、および結果コードが平文で送り返される、表2に示す形式を有するメッセージを生成する。トランザクションIDは存在しないので、ペイロードのいずれの部分も暗号化されなくてもよい。さらに、暗号化される部分が存在しないので、RC4初期化ベクトル・コードは、関係がない。
クライアントが支払いID(S448で生成された支払い応答メッセージの中で供給される)を得ると、クライアントは、以下に示す形式を有する支払いステータス・クエリ・メッセージを使用して、支払いステータスに関してポーリングすることができる(図4B参照)。
このステータス・クエリ・メッセージは、DNSサーバ128に供給され、DNSサーバ128が、このメッセージを、解読のために暗号サービス構成要素214に送る。暗号サービス構成要素214が、セキュリティで保護されたウェブ支払いAPIを使用してPCIデータベース218にアクセスし、支払いのステータスを確認する。支払いステータスが、セキュリティで保護されたウェブAPI212によって、暗号サービス構成要素214に戻され、暗号サービス構成要素214が、DNSサーバ128から端末装置104におけるクライアント110に伝送される、以下に記載されるとおりの形式を有する支払いステータス結果メッセージを生成する。
前述の方法は、制限された接続環境においてセキュリティで保護されたデータのトランスポートの問題を解決する。支払いが行われると、ユーザは、クレジットを受け取ることができ、したがって、ユーザは、その後、例えば、英国特許第2464553号明細書において開示され、図4Aに関連して後段でより完全に説明される技法を使用して、前払いのクレジットでホットスポットにアクセスすることができる。以下において、クエリ形式および応答形式もまた、前述したDNSに関して記載される規則に準拠しなければならない。さらに、RSAキーが暗号化のために使用されるが、このRSAキーは、支払いに関する詳細情報を交換するための暗号サービス構成要素を相手にしたセキュリティで保護された交換のために使用されるRSAキーとは異なる。つまり、クレジットを使用してホットスポットにアクセスする目的でDNSサーバにアクセスするためのパケットを暗号化する場合と、支払いを行う目的で暗号サービス構成要素にアクセスするためのパケットを暗号化する場合とでは、それぞれ異なる公開キー/暗号化キー・ペアが存在する。
支払いフローは、セッション確立とは無関係であるものの、セッション確立の方法について、次に説明する。一実施形態において、SSID要求およびトークン要求(後段で説明される)が実行されてから、ユーザに支払い画面が提示され、したがって、支払いコマンド・フローは、図4Aに示されるステップの後に続き、その後、トークンがしばらくタイムアウトしているため、セッション確立プロセスが繰り返される。
次に図4Aを参照すると、第1のステップ(図示せず)として、クライアントがインストールされているデバイスのオペレーティング・システム(OS)314が、利用可能なワイヤレス・ネットワークがないか走査する。オペレーティング・システム(OS)は、記憶されているアクセス・ポイントに自動的に接続すること、またはアクセス・ポイントを選択するようユーザを促すことができる。OS314によって実行される走査の動作は、使用中のユーザ端末装置104、およびユーザ端末装置104が実行しているOSに依存する。
アクセス・マネージャ324(図2)が、ネットワーク・インターフェース311において生じる変化を検出する。このことは、アクセス・マネージャ324がネットワーク・インターフェース・イベントについて通知を受けること、またはアクセス・マネージャによる周期的なポーリングによって実現され得る。このために使用される機構は、当該のユーザ端末装置104に依存する。
ネットワーク・インターフェースにおける変化が検出されると、アクセス・マネージャ324が、OS314の走査によって検出されたAP108のサービス・セット識別子(「SSID」)を読み取る。このことに応答して、アクセス・マネージャ324は、SSID情報クエリを生成する。このクエリは、アクセス・マネージャが、当該のホットスポット109にログインすることが可能であるかどうかを明らかにし、さらに既存の支払いクレジットを使用してアクセスの代金を支払うのに使用される。これを行うのに、アクセス・マネージャ324は、ネットワーク106を介して、容認できるSSIDのデータベースを保持するサーバにSSID情報クエリを送信する必要がある。しかし、ネットワーク106に対する一般的なアクセスは、ホットスポット109によって制限される。代替の実施形態において、容認できるSSIDのデータベースが、ユーザ端末装置において保持されることも可能であるが、そのようにすることは、対処するのがより困難である。支払いメッセージとして、SSID情報クエリは、DNSクエリとして符号化される。
アクセス・マネージャ324から通信クライアント・ソフトウェア・プロバイダのDNSサーバ128に送信されるSSID情報クエリは、ワイヤレスLAN AP108を識別するSSIDと、媒体アクセス制御(「MAC」)アドレス(AP108の物理ネットワーク・インターフェースを識別する)と、オプションとして、クライアント110にログインしているユーザ102のユーザ名(Skypename)とを備える。
より詳細には、SSID情報クエリのペイロードは、以下のデータを備える。すなわち、
コマンド: 1バイト長、ペイロードがSSID情報要求であることを示す。
cmdid: 1バイト長、クライアントによって割り当てられたコマンドID。DNSサーバが、応答の中でこのIDを送り返して、コマンドと応答を一致させることを可能にする。
ユーザ名: 32バイト長、文字列、ユーザ名が厳密に32バイト長である場合、0で終わらないことが可能である。
アクセス・ポイントSSID: 32バイト長、文字列、SSIDが厳密に32バイト長である場合、0で終わらないことが可能である。
アクセス・ポイントMAC: 6バイト長、バイナリ形式、利用可能でない場合、すべて0。
ランダムなクライアント・チャレンジ: 16バイト、バイナリ形式。
32文字より長いユーザ名に関するユーザ名ハッシュ: バイナリ形式 20バイト(SHA1)(ユーザ名ハッシュは、ユーザ名が0で終わらない場合に限って意味がある)
コマンド: 1バイト長、ペイロードがSSID情報要求であることを示す。
cmdid: 1バイト長、クライアントによって割り当てられたコマンドID。DNSサーバが、応答の中でこのIDを送り返して、コマンドと応答を一致させることを可能にする。
ユーザ名: 32バイト長、文字列、ユーザ名が厳密に32バイト長である場合、0で終わらないことが可能である。
アクセス・ポイントSSID: 32バイト長、文字列、SSIDが厳密に32バイト長である場合、0で終わらないことが可能である。
アクセス・ポイントMAC: 6バイト長、バイナリ形式、利用可能でない場合、すべて0。
ランダムなクライアント・チャレンジ: 16バイト、バイナリ形式。
32文字より長いユーザ名に関するユーザ名ハッシュ: バイナリ形式 20バイト(SHA1)(ユーザ名ハッシュは、ユーザ名が0で終わらない場合に限って意味がある)
ペイロードのコマンド部分は、暗号化されずに送信される。残りのペイロードは、セキュリティのためにRSA暗号化される。その後、ペイロードは、base32符号化され、その結果が、パケット・ベースの通信システム・プロバイダがDNSサービスを実行するドメイン名、例えば、「.access.skype.com」が追加された、別々のラベルに細分される。
次に、クライアント110におけるアクセス・マネージャ324が、再帰的CNAMEクエリを行う。前述したとおり、このクエリは、DNSクエリ(DNSトンネリングを使用する)であるため、このメッセージは、ホットスポット109がネットワーク106へのアクセスを制限するものの、送信されることが可能である。
SSIDクエリを受信すると、通信クライアント・ソフトウェア・プロバイダのDNSサーバ128が、バイナリ・ペイロードを、結果が231文字長になるまで、辞書の中にない文字を除外して、すべてのラベルを連結し、231文字長になった時点で、base32符号化が除去され、144バイトのバイナリ・ペイロードがもたらされるようにすることによって抽出する。次に、このバイナリ・ペイロードが、RSA解読される。
通信クライアント・ソフトウェア・プロバイダのDNSサーバ128が、ホットスポット109の運用者と支払いパートナ(すなわち、料金請求の取り決めが存在する信頼されるパートナ)の間に合意が存在するかどうかを判定する。このことは、SSIDでアクセス・データベース130にクエリを行うことによって判定される。応答が、アクセスDB130から受信される。また、このホットスポット109に関する価格設定情報も取り出される。ユーザの場所(ユーザのプロファイル情報の中に設定されている)が、オプションとして、ユーザ名でユーザ・データベース132にクエリを行い、応答を受信することによって特定され得る。このデータを使用して、価格設定情報が、ユーザの現地通貨で与えられることが可能である。
図1のデータベースは、オプションのDBアクセス・ノード129経由でアクセスされることに留意されたい。
SSID情報クエリが、MACアドレスを含まない場合、DNSサーバ128は、MACを無視して、SSIDだけを探す。このクエリが、或るMACを指定する場合、サーバは、一致を見つけ出そうと試みる。一致が見つからなかった場合、サーバは、それに応答してMACアドレスを0で埋め、汎用のSSID情報で応答する。
通信クライアント・ソフトウェア・プロバイダのDNSサーバ128が、DNS応答として符号化されたSSID応答を生成する。ユーザ102が、ユーザのクレジット(パケット・ベースの通信システムにおいて使用されるように購入された)を使用して、AP108経由でのインターネットへのアクセスの代金を支払うことができると判定された場合、SSID応答は、クライアント110が、アクセス・マネージャ324を使用して、ホットスポットにアクセスするための代金を支払うことができることを示す。詳細には、SSID応答は、ユーザの現地通貨におけるホットスポット109に関する価格設定情報を含み得る。
ユーザがクレジットを有さない場合、ユーザには、ユーザがクレジットを購入できることを示すポップアップ・メッセージが示され、図4の支払い手順が開始する。一実施形態において、クレジットの利用可能性は、失敗したトークン要求クエリによって判定されるが、この情報は、他の手段で供給されることも可能である。
通信クライアント・ソフトウェア・プロバイダのDNSサーバによって生成されるSSID情報応答ペイロードは、以下を備える。すなわち、
cmdid: 1バイト長、この応答が対応するSSID要求コマンドのコマンドID。
アクセス・ポイントSSID: 32バイト長、文字列、SSIDが厳密に32バイト長である場合、0で終わらないことが可能である。
アクセス・ポイントMAC: 6バイト長、バイナリ、利用可能でない場合、すべて0。
価格: 4バイト長、ビッグエンディアンの符号なし整数。
price_precision: 4バイト長、価格の10進数の精度、ビッグエンディアンの符号なし整数。
通貨: 4バイト長、0で終わる3文字の通貨コード。
プロバイダID: 2バイト長、ビッグエンディアンの整数。
cmdid: 1バイト長、この応答が対応するSSID要求コマンドのコマンドID。
アクセス・ポイントSSID: 32バイト長、文字列、SSIDが厳密に32バイト長である場合、0で終わらないことが可能である。
アクセス・ポイントMAC: 6バイト長、バイナリ、利用可能でない場合、すべて0。
価格: 4バイト長、ビッグエンディアンの符号なし整数。
price_precision: 4バイト長、価格の10進数の精度、ビッグエンディアンの符号なし整数。
通貨: 4バイト長、0で終わる3文字の通貨コード。
プロバイダID: 2バイト長、ビッグエンディアンの整数。
通信クライアント・ソフトウェア・プロバイダのDNSサーバ128は、クエリの中で供給される「クライアント・チャレンジ」から導き出された暗号化キーを使用してSSID情報応答を暗号化する。暗号化の後、そのペイロードが、base32符号化される。
SSID情報応答は、ステップS412で、DNSトンネリングを使用してクライアント110に送信される。
SSID情報クエリに対する肯定的な応答を受信したことに応答して、ステップS414で、アクセス・マネージャ324は、トークン要求を生成し、さらにそのトークン要求を、DNSプロトコル(トンネリング)を使用して通信クライアント・ソフトウェア・プロバイダのDNSサーバ128に送信するように構成される。
トークン要求メッセージのペイロードは、以下を備える。すなわち、
コマンド: 1バイト長。cmdid: 1バイト長、クライアントによって割り当てられたコマンドID。
ユーザ名: 32バイト長、テキスト文字列形式、ユーザ名が厳密に32バイト長である場合、0で終わらないことが可能である。
アクセス・ポイントSSID: 32バイト長、テキスト文字列形式、SSIDが厳密に32バイト長である場合、0で終わらないことが可能である。
パスワード・ハッシュ: 16バイト長(MD5)、バイナリ形式。
ランダムなクライアント・チャレンジ: 16バイト長、バイナリ形式。
32文字より長いユーザ名に関するユーザ名ハッシュ: バイナリ形式の20バイト長(SHA1)(ユーザ名ハッシュは、ユーザ名が0で終わらない場合に限って意味がある)。
コマンド: 1バイト長。cmdid: 1バイト長、クライアントによって割り当てられたコマンドID。
ユーザ名: 32バイト長、テキスト文字列形式、ユーザ名が厳密に32バイト長である場合、0で終わらないことが可能である。
アクセス・ポイントSSID: 32バイト長、テキスト文字列形式、SSIDが厳密に32バイト長である場合、0で終わらないことが可能である。
パスワード・ハッシュ: 16バイト長(MD5)、バイナリ形式。
ランダムなクライアント・チャレンジ: 16バイト長、バイナリ形式。
32文字より長いユーザ名に関するユーザ名ハッシュ: バイナリ形式の20バイト長(SHA1)(ユーザ名ハッシュは、ユーザ名が0で終わらない場合に限って意味がある)。
この1バイトのコマンドは、暗号化されずに送信され、117バイトの残りの全ペイロードは、RSA暗号化される。パスワード・ハッシュは、公開RSAキーの最初の16バイトがさらにハッシュされているユーザ名/パスワード・ハッシュである。このことは、RSAキーがそのパケットを暗号化するのに使用されている間だけ、ハッシュを使用可能にし、RSAキーが無効にされている場合はそれまでに送信されたすべてのハッシュ値を無効にする。
次に、もたらされる1160ビットが、base32符号化され、その結果が、別々のラベルに細分され、パケット・ベースの通信システム・プロバイダがDNSサービスを実行するドメイン名、例えば、「.access.skype.com」が追加される。次に、ステップS414で、クライアント110が、通信クライアント・ソフトウェア・プロバイダのDNSサーバ128に対してINクラスにおいて再帰的CNAMEクエリを行う。各クエリは異なるので、各クエリは、指定されたドメインに関して信頼できる回答を与えるDNSサーバに到達する。
「クライアント・チャレンジ」は、応答パケットを暗号化するためのキーを生成するため、およびトークンからセッションID値を生成する(後段で説明される)ために使用される。例えば、RC4ドロップ(768)対称暗号化アルゴリズムが、使用されることが可能であり、ただし、ストリーム・モードにおける任意の対称暗号が使用されることも可能である。
トークン要求を受信したことに応答して、通信クライアント・ソフトウェア・プロバイダのDNSサーバは、そのトークン要求を解読し、ユーザ名およびパスワード・ハッシュを抽出するように構成される。ステップS416およびS418で、DNSサーバが、そのユーザ名およびパスワードを、ユーザ・データベース132の中にリストされる資格証明に照らして検証する。ステップS420で、ユーザのクレジット残高が、アカウントDB134から要求され、S422で、応答が受信されて、ユーザが、ホットスポット109へのアクセスの代金を支払うのに十分なクレジットを有することが確実にされる。
ユーザが検証され、十分なクレジットを有する場合、通信クライアント・ソフトウェア・プロバイダのDNSサーバ128は、ランダムな16バイトのトークンを生成し、base32符号化された応答でクライアント110に応答する。
トークン応答メッセージのペイロードは、以下を備える。すなわち、
コマンド: 1バイト長。
rc4初期化ベクトル: 4バイト長、バイナリ形式。
結果コード: 1バイト長。
cmdid: 1バイト長、この応答が対応するトークン要求コマンドのコマンドID。
トークン: 8バイト長:
ティック・サーバ・アドレス: 8バイト長、好ましくは、ティックを送信すべき宛先の2つのIPアドレス(後段で説明される)。
ログイン名形式指定子: 83バイトまでの長さ。
コマンド: 1バイト長。
rc4初期化ベクトル: 4バイト長、バイナリ形式。
結果コード: 1バイト長。
cmdid: 1バイト長、この応答が対応するトークン要求コマンドのコマンドID。
トークン: 8バイト長:
ティック・サーバ・アドレス: 8バイト長、好ましくは、ティックを送信すべき宛先の2つのIPアドレス(後段で説明される)。
ログイン名形式指定子: 83バイトまでの長さ。
結果コードから始めてペイロード全体が、クライアント・チャレンジから生成されたキーを使用して暗号化される。暗号化の後、ペイロードは、base32符号化される。次に、ステップS424で、トークン応答メッセージが、DNSトンネリングを使用してクライアント110に送信される。次に、クライアント110が、その応答を復号し、その後、解読する。
ステップS425で、通信クライアント・ソフトウェア・プロバイダのDNSサーバ128は、ユーザ名およびクライアント・チャレンジを用いてDNSサーバ128が生成したトークンをアクセスDB130の中にさらに格納する。通信クライアント・ソフトウェア・プロバイダのDNSサーバ128は、トークンから一時ユーザ名をさらに生成し(後段で説明される)、この一時ユーザ名をセッションIDとして格納する。このトークンは、使用されない場合、所定の時間の後にサーバから期限切れになる。
ステップS424でトークンおよび形式指定子を受信したことに応答して、アクセス・マネージャ324は、応答を復号化し、解読する。次に、アクセス・マネージャ324は、ユーザに、ユーザのパケット・ベースの通信システムのクレジットを使用して接続の代金を支払うオプションを与えるようクライアントUI322を制御する。例示的なユーザ・インターフェース・メッセージが、図5に示される。ユーザ102は、「開始」ボタン502を選択することによってAP108に接続することを選択すること、または「取り消し」ボタンを選択することによって接続しないことを選択することができる。
ユーザがAP108に接続することを所望することを示す選択信号をユーザから受け取ったことに応答して、ステップS426で、アクセス・マネージャは、一時ユーザ名(トークンおよびクライアント・チャレンジから導き出された)および一時パスワード(ユーザのパスワードのハッシュ関数およびクライアント・チャレンジから導き出された)を使用してホットスポット109にサインインする。
この一時ユーザ名は、トークン応答に含められた形式指定子に応じて形式指定される。一時ユーザ名の形式は、ホットスポット109のプロバイダが、料金請求相手の身元を特定することを可能にする。
クライアント110が、WISPrの推奨事項に準拠してホットスポット109にサインインする。アクセス・マネージャ324が、知られているコンテンツの所定のファイルを取り出すために、AP108経由でhttp要求を送信しようと試みる。ホットスポット109が、その要求をホットスポット・プロバイダのログイン・サーバ(図示せず)にリダイレクトする。ログイン・サーバにリダイレクトされたことに応答して、アクセス・マネージャ324は、ログイン・サーバにサインインするために一時ユーザ名および一時パスワードを供給するように構成される。
ステップS428で、ホットスポット109が、その一時ユーザ名の形式(例えば、その一時ユーザ名が、料金請求相手を示すプレフィックスを有する)から、そのログイン要求がパケット・ベースの通信システムの料金請求相手に関連することを特定し、料金請求要求をホットスポットのリモート・オーセンティケーション・ダイヤル・イン・ユーザ・サービス(「RADIUS」)サーバ136に転送する。
ホットスポットのRADIUSサーバ136においてログイン要求を受信したことに応答して、ホットスポットのRADIUSサーバ136は、その一時ユーザ名の形式から、そのログイン要求がパケット・ベースの通信ネットワークに関連することを特定する。ステップS430で、ホットスポットのRADIUSサーバ136が、その一時ユーザ名と、その一時パスワードとを備える許可クエリを通信クライアント・ソフトウェア・プロバイダのRADIUSサーバ138に送信する。
通信クライアント・ソフトウェア・プロバイダのRADIUSサーバ138が、その一時ユーザ名および一時パスワードを受信する。ステップS431およびS432で、通信クライアント・ソフトウェア・プロバイダのRADIUSサーバ138が、アクセスDB130の中に格納された資格証明を検証すると、ステップS433で、サーバ138は、「アクセス受け付け」メッセージまたは「アクセス拒否」メッセージでホットスポットのRADIUSサーバ136に応答する。「アクセス受け付け」メッセージは、その一時ユーザ名を使用してセッションを識別し、また、最短値30分間から計算される、またはクレジットを1分当たりの費用で割った値から計算される許可セッション時間の長さを定義することが可能である。
「アクセス受け付け」メッセージが受信されたものと想定すると、ステップS434で、ホットスポットのRADIUSサーバ136は、ホットスポット109に許可メッセージを送信する。許可メッセージを受信したことに応答して、ステップS436で、ホットスポット109は、クライアント110がインターネットにアクセスすることを許可し、ログインが成功したことをクライアント110に知らせる。
アクセス・マネージャ324が、ログインが成功したことをクライアント110(の他の要素)に知らせる。AP108との接続中、アクセス・マネージャ324は、端末装置がネットワークに接続されていることをユーザに知らせるようクライアント322UIを制御する。
前述の説明において、支払いパケットは、以下のいくつの重要な違いを伴って、セッション作成パケットと同一のパターンに従う。すなわち、
(1)異なるRSAキーが使用される。
(2)コマンドに加えて、cmdidも平文で送信される。
(3)応答は、暗号構成要素が応答しない場合、commandフィールド、cmdidフィールド、およびresult codeフィールドだけが埋められて着信する可能性がある。
(1)異なるRSAキーが使用される。
(2)コマンドに加えて、cmdidも平文で送信される。
(3)応答は、暗号構成要素が応答しない場合、commandフィールド、cmdidフィールド、およびresult codeフィールドだけが埋められて着信する可能性がある。
パスワード・ハッシュは、トークン要求において使用されるのと同一のハッシング・スキームを使用する。パスワード・ハッシュは、公開RSAキーの最初の16バイトがさらにハッシュされる、二重ハッシュされたユーザ名/Skyper/パスワード・ハッシュである。このことは、そのハッシュを、使用されているRSAキーが有効である間だけしか使用可能でないようにする。
他の要求の場合と同様に、支払いメッセージの中で、コマンド・コード、初期化ベクトル、コマンドID、および結果コードが、平文で送り返される一方、応答の残りの部分は、暗号化される。
Claims (10)
- 制限された接続環境において通信ネットワークを介してユーザ端末装置から解読構成要素にデータを送信する方法であって、
前記ユーザ端末装置において、
前記ユーザ端末装置におけるユーザからデータを受け取るステップと、
前記データが機密性のあるデータであると判定された場合、前記機密性のあるデータを、セキュリティで保護された暗号化キーを使用して暗号化するステップと、
トンネリング・プロトコルに準拠してパケットを生成するステップであって、前記パケットが、ネットワーク構成要素のアドレスと、コマンド・データと、前記暗号化された機密性のあるデータとを含み、前記コマンド・データが、コマンドと、コマンド識別子とを含み、前記コマンドが、前記セキュリティで保護された暗号化キーが前記機密性のあるデータを暗号化するのに使用されていることを識別する、ステップと
を備える方法。 - 前記データがセッション・データであると判定された場合、前記セッション・データが、セッション暗号化キーを使用して暗号化され、さらに前記コマンドが、前記セッション・データを暗号化するのに前記セッション暗号化キーが使用されていることを識別する請求項1に記載の方法。
- 前記コマンド・データが平文である請求項1または請求項2に記載の方法。
- 前記機密性のあるデータが、アクセス・データまたは支払いデータを備える請求項1から3のいずれかに記載の方法。
- 少なくともセキュリティで保護されたデータまたはセッション・データを入力するようユーザを促すように構成されたユーザ・インターフェースを有するユーザ端末装置であって、
前記データを受信するステップと、
前記データがセキュリティで保護されたデータであるか、またはセッション・データであるかを判定するステップと、
前記セキュリティで保護されたデータをセキュリティで保護された暗号化キーで暗号化し、または前記セッション・データをセッション・キーで暗号化するステップと、
平文のコマンド・データと、前記暗号化されたデータとを備えるパケットを生成するステップであって、前記コマンド・データが、コマンドと、コマンド識別子とを備え、前記コマンドが、前記セキュリティで保護されたキーが使用されているか、または前記セッション・キーが使用されているかを識別する、生成するステップと
を実行する命令コードを含むコンピュータ・プログラムを実行するように構成されたプロセッサを備えるユーザ端末装置。 - 通信ネットワークにおいて使用するためのネットワーク構成要素であって、
通信ネットワークを相手にパケットを交換するための第1のポートと、
セキュリティで保護された環境において、解読構成要素を相手にパケットを交換するための第2のポートと、
前記第1のポートからパケットを受信することであって、前記パケットが、暗号化されたデータと、コマンドおよびコマンド識別子を含むコマンド・データとを包含する、受信すること、
前記コマンドを読み取り、前記データを暗号化するのにセキュリティで保護されたキーが使用されているか、またはセッション・キーが使用されているかを判定すること、
前記セッション・キーが使用されている場合、前記データを解読して、前記データに従って動作すること、および、
前記セキュリティで保護されたキーが使用されている場合、前記パケットを前記第2のポートに転送し、応答と、前記コマンド識別子とを含む応答パケットを、前記第1のポート経由で送信すること
を行うコンピュータ・プログラムを実行するように構成されたプロセッサと
を備えるネットワーク構成要素。 - 前記プロセッサが、解読構成要素から応答を受信し、さらに前記受信された応答を前記応答パケットに含めるように構成される請求項6に記載のネットワーク構成要素。
- 前記プロセッサが、前記ネットワーク構成要素によって生成された応答を含む応答パケットを生成するように構成される請求項6に記載のネットワーク構成要素。
- 前記プロセッサが、解読構成要素から応答が全く受信されない場合、前記ネットワーク構成要素において前記応答を生成するように構成される請求項8に記載のネットワーク構成要素。
- プロセッサによって実行されると、請求項1から4のいずれか一項に記載の方法のステップを実行するプログラム・コード手段を備えるコンピュータ・プログラム製品。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB1121585.2 | 2011-12-15 | ||
| GB201121585A GB201121585D0 (en) | 2011-12-15 | 2011-12-15 | Communication system and method |
| US13/363,023 US20130159711A1 (en) | 2011-12-15 | 2012-01-31 | Communication System and Method |
| US13/363,023 | 2012-01-31 | ||
| PCT/US2012/069966 WO2013090866A1 (en) | 2011-12-15 | 2012-12-15 | Secure communication system and method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2015503303A true JP2015503303A (ja) | 2015-01-29 |
Family
ID=45560517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014547540A Pending JP2015503303A (ja) | 2011-12-15 | 2012-12-15 | セキュリティで保護された通信システムおよび通信方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20130159711A1 (ja) |
| EP (1) | EP2777308A1 (ja) |
| JP (1) | JP2015503303A (ja) |
| KR (1) | KR20140102688A (ja) |
| CN (1) | CN104247481A (ja) |
| GB (1) | GB201121585D0 (ja) |
| WO (1) | WO2013090866A1 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2464553B (en) | 2008-10-22 | 2012-11-21 | Skype | Controlling a connection between a user terminal and an access node connected to a communication network |
| US8825814B1 (en) * | 2013-05-23 | 2014-09-02 | Vonage Network Llc | Method and apparatus for minimizing application delay by pushing application notifications |
| CN104219737B (zh) * | 2014-08-22 | 2018-06-05 | 欧阳聪星 | 一种实现联网转接服务的系统及其方法 |
| WO2016026353A1 (zh) | 2014-08-22 | 2016-02-25 | 吴凡 | 一种实现联网转接服务的系统及其方法 |
| US9876783B2 (en) * | 2015-12-22 | 2018-01-23 | International Business Machines Corporation | Distributed password verification |
| KR20180000582A (ko) * | 2016-06-23 | 2018-01-03 | 삼성전자주식회사 | 결제 방법 및 이를 사용하는 전자 장치 |
| US10778684B2 (en) * | 2017-04-07 | 2020-09-15 | Citrix Systems, Inc. | Systems and methods for securely and transparently proxying SAAS applications through a cloud-hosted or on-premise network gateway for enhanced security and visibility |
| US10949486B2 (en) | 2017-09-20 | 2021-03-16 | Citrix Systems, Inc. | Anchored match algorithm for matching with large sets of URL |
| WO2019220310A1 (en) * | 2018-05-14 | 2019-11-21 | Terrence Keith Ashwin | A financial transaction wireless communication authentication sensor |
| CN112291504B (zh) * | 2020-03-27 | 2022-10-28 | 北京字节跳动网络技术有限公司 | 信息交互方法、装置和电子设备 |
| CN112054909A (zh) * | 2020-09-19 | 2020-12-08 | 黑龙江讯翱科技有限公司 | 一种基于RSA算法的Radius认证方法 |
| CN113411328B (zh) * | 2021-06-17 | 2023-03-24 | 国网福建省电力有限公司信息通信分公司 | 一种基于数据预辨识敏感数据高效传输系统 |
| CN113747438A (zh) * | 2021-09-12 | 2021-12-03 | 胡忠南 | Wlan接入管理方法、装置及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6954793B2 (en) * | 2002-05-13 | 2005-10-11 | Thomson Licensing S.A. | Pre-paid data card authentication in a public wireless LAN access system |
| JP4406604B2 (ja) * | 2002-06-11 | 2010-02-03 | アシシュ エイ パンドヤ | Tcp/ip、rdma、及びipストレージアプリケーションのための高性能ipプロセッサ |
| EP1649676B1 (en) | 2003-07-16 | 2014-11-05 | Skype | Peer-to-peer telephone system and method |
| GB2437791A (en) * | 2006-05-03 | 2007-11-07 | Skype Ltd | Secure communication using protocol encapsulation |
| US8374165B2 (en) * | 2008-06-09 | 2013-02-12 | Nokia Corporation | Method, apparatus, and computer program product for communication routing |
| GB2464553B (en) | 2008-10-22 | 2012-11-21 | Skype | Controlling a connection between a user terminal and an access node connected to a communication network |
| GB2464552B (en) * | 2008-10-22 | 2012-11-21 | Skype | Authentication system and method for authenticating a user terminal with an access node providing restricted access to a communication network |
-
2011
- 2011-12-15 GB GB201121585A patent/GB201121585D0/en not_active Ceased
-
2012
- 2012-01-31 US US13/363,023 patent/US20130159711A1/en not_active Abandoned
- 2012-12-15 KR KR20147016330A patent/KR20140102688A/ko not_active Application Discontinuation
- 2012-12-15 CN CN201280061646.XA patent/CN104247481A/zh active Pending
- 2012-12-15 JP JP2014547540A patent/JP2015503303A/ja active Pending
- 2012-12-15 EP EP12823118.0A patent/EP2777308A1/en not_active Withdrawn
- 2012-12-15 WO PCT/US2012/069966 patent/WO2013090866A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| GB201121585D0 (en) | 2012-01-25 |
| CN104247481A (zh) | 2014-12-24 |
| WO2013090866A1 (en) | 2013-06-20 |
| US20130159711A1 (en) | 2013-06-20 |
| EP2777308A1 (en) | 2014-09-17 |
| KR20140102688A (ko) | 2014-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8091116B2 (en) | Communication system and method | |
| US9210729B2 (en) | Communication system and method | |
| JP2015503303A (ja) | セキュリティで保護された通信システムおよび通信方法 | |
| US8130635B2 (en) | Network access nodes | |
| KR101202671B1 (ko) | 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법 | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| EP2547051B1 (en) | Confidential communication method using vpn, a system and program for the same, and memory media for program therefor | |
| JP5536628B2 (ja) | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント | |
| JP5388088B2 (ja) | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 | |
| JPWO2014207929A1 (ja) | 情報処理装置、端末機、情報処理システム及び情報処理方法 | |
| WO2016003310A1 (en) | Bootstrapping a device to a wireless network | |
| KR100463751B1 (ko) | 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치 | |
| CN114513299B (zh) | 基于开放式授权的数据传输方法及电子设备 | |
| JP7139635B2 (ja) | 認証システム | |
| JP2003152805A (ja) | 公衆アクセスシステムおよび装置、サーバ |