JP2020521385A - ネットワーク通信におけるおよびネットワーク通信に関する改善 - Google Patents
ネットワーク通信におけるおよびネットワーク通信に関する改善 Download PDFInfo
- Publication number
- JP2020521385A JP2020521385A JP2019564031A JP2019564031A JP2020521385A JP 2020521385 A JP2020521385 A JP 2020521385A JP 2019564031 A JP2019564031 A JP 2019564031A JP 2019564031 A JP2019564031 A JP 2019564031A JP 2020521385 A JP2020521385 A JP 2020521385A
- Authority
- JP
- Japan
- Prior art keywords
- client device
- network
- communication
- authentication server
- network access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/73—Access point logical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/06—De-registration or detaching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
通信ネットワーク内のクライアントデバイスを認証する方法であって、通信ネットワーク用の認証サーバ装置からクライアントデバイス用のネットワークアクセス資格情報を取得すること(32)と、クライアントデバイスを通信ネットワークに接続するためのユーザ入力コマンドを受信するように構成されたユーザインターフェースをクライアントデバイスに表示することを含む方法。この方法は、クライアントデバイスでユーザ入力コマンドを受信し(33)、それに応答して、クライアントデバイスをネットワークから関連解除することを含む。この方法は、クライアントデバイスのネットワークアクセス資格情報を認証サーバ装置に送信し(38、39)、認証サーバ装置はそれに応答して、アクセス承認メッセージをクライアントデバイスに送信すること(39、40)を含む。【選択図】図2
Description
本発明は、ワイヤレスネットワークなどの通信ネットワークに関する。
通信ネットワークは通常、ユーザがネットワークアクセスポイントまたはゲートウェイを介してアクセスできるようにする。パブリックネットワーク(例:インターネット)などの多くのネットワークでは、特定のネットワークサービス/ウェブサイトなどへのアクセスを許可される前に、ユーザは、ネットワークアクセスポイントにアクセス資格情報を提供するように要求されることもある。これらの資格情報が、アクセスポイントに接続された(またはその中に提供された)認証サーバー/ソフトウェアによって検証された後にのみ、ネットワークアクセスがユーザに許可される。「キャプティブポータル(captive portal)」技術は、ネットワークアクセス制御の認証プロセスをインプリメントするための一般的なメカニズムである。
公的にアクセス可能なワイヤレス「ホットスポット(hotspots)」は、一般の人が、ネットワーク設備にアクセスすることを可能にする。ホットスポット(Wi−Fi)は、例えば、一般的にWi−Fi技術を使用し、ワイヤレスローカルエリアネットワーク(WLAN)によって、人々がインターネットアクセスを取得できる物理的な場所であり、ローターを使用してインターネットサービスプロバイダにアクセスする。空港売店またはホテルなどのビジネスでは、通常、ビジネスの「ポリシー」に従ってインターネットアクセスの程度を制御するように構成されたローカルワイヤレスアクセスポイント(AP)によって、顧客のために、施設内にホットスポットを提供することが可能である。このポリシーは、インターネットのどの部分にアクセスできるのか、どの部分にアクセスできないのかについての制限を課す場合があり、それによって、「ポリシー」と一致するインターネットのそれらの部分のみを許可されたネットワーク部分として、アクセスを許可し、その他の部分へのアクセスを禁止する。
図3は、この制御がしばしば達成される手順を概略的に示す。特に、ワイヤレスローカルエリアネットワーク装置は、必要なネットワークアクセス資格情報と関連するネットワークアクセス「ポリシー」を用いて、ユーザ(ユーザ機器、UE)のクライアント装置(6)が使えるように設定(provision)できなければならない。この目的のために、公開ホットスポットでは、しばしば、ユーザがオンラインサインアップサーバー(OSU)によって提供される登録ポータル(8)へのアクセスを許可する必要がある。残念ながら、このようなアクセスは、通常、安全でないオープンネットワークSSID(7)経由である。これは、ユーザがWLANへの接続を開始するためのステップを行うと(例えば、ユーザインターフェースの「接続」ボタンをクリックすると)、通常、クライアント装置(6)は、個人登録データ(名前、電話番号、住所、クレジットカードの詳細など)を暗号化されていないワイヤレスチャネル(1)経由で登録ポータル(8)に送信開始する必要があることを意味する。ユーザ機器(6)が必要なネットワークアクセス資格情報と「ポリシー」で使えるように設定(3)されると、登録手順が完了し、クライアント装置は、登録ポータルの安全でないオープンネットワークSSID(7、8)から切断し(4)、その後、別の安全なSSID(9)に接続する(5)必要があり、この別の安全なSSIDを介して、所望のネットワークサービス(9)が利用可能となる。
しかしながら、この接続ステップ(5)は、ユーザ機器(6)が正しい安全なSSID(9)を見つけて接続することに依存している。残念ながら、ユーザ機器(6)は、通常、以前のオープンネットワークSSID(7、8)を覚えて再接続するだけであるか、あるいは少なくとも安全なSSIDを見つけるのが遅い。これは、貧弱なサービスとユーザ体験を与える。
本発明は、通信ネットワークへアクセスするための改良されたシステムを提供する。
本発明は、通信ネットワークへアクセスするための改良されたシステムを提供する。
最も一般的には、本発明は、インターフェース(GUIなど)をユーザに提示するための設備を備えたユーザ機器を提供するというアイデアに基づき、このインターフェースを介して、ユーザは、意図的かつ故意に、例えば、AAAサーバによってネットワークアクセスが許可されたことに応答して、ユーザ機器を認証から関連解除するのに有効なユーザ入力/コマンドを入力できる。この設備は、ネットワークアクセスが要求されたオンラインサインアップサーバ(OSU)によってユーザ機器に提供することができる。ユーザ入力またはコマンドは、ユーザコマンドの送信を開始するためにユーザインターフェース上のボタンまたはアイテムをクリックすることによるような、ユーザによる手動入力であるユーザコマンドであり得ることが理解される。あるいは、ユーザ入力またはコマンドは、例えば、ユーザインターフェース上に表示されるカウントダウンタイマーを用いて、クライアントデバイスによってユーザの代わりに自動的に入力することができ、これによって、ユーザコマンドは、その反対のユーザコマンドがなければ、カウントダウンの完了時に暗黙的に入力されたとみなされる。
ユーザ入力に応答して、「認可変更(Change of Authorization)」(COA)メッセージが生成され得る。COAは、ネットワークへのアクセスに使用されるWLANに対して発行され得る。これは、ユーザ機器を強制的に関連解除する効果を有し得る。その後、ユーザ機器は、関連解除の結果として(すなわち、COAメッセージによって生じた)切断された可能性のあるサービスセット(例えば、SSIDで定義されたサービスセット)への再接続を試みるように構成され得る。ユーザ機器は、この再接続を試行するときに(すなわち、AAAサーバを介して)、関連解除の直前にAAAサーバによって以前に発行された資格情報を使用するように構成され得る。AAAサーバは、ユーザ機器に「アクセス承認(Access Accept)」メッセージを発行することで、つまり以前に発行された情報が今も有効であるため、ユーザ機器の再接続試行に応答するように構成され得る。AAAサーバの応答は、またVLAN属性を含むことができる。AAAサーバの応答は、また、他の必要なRADIUS属性を含むことができる。この結果、ユーザ機器は、それらのユーザ資格情報と関連するポリシーによって承諾され、実施される適切なネットワークアクセスを獲得する。ユーザトラフィックは、許可されたVLANにタグ付けすることができる。
関連解除は、例えば、「関連解除フレーム」を送信することで実施され得る。これには、関連解除フレームを送信して、ネットワーク接続からのユーザ機器の関連を終了することを含み得る。例えば、関連解除フレームは、アクセスポイントまたは他のネットワークノードに警告し得、次いで、アクセスポイントまたは他のネットワークノードは、関連テーブルからユーザ機器を削除し得る。
第一の態様において、本発明は、通信ネットワーク用の認証サーバ装置からクライアントデバイス用のネットワークアクセス資格情報を取得することと、クライアントデバイスを通信ネットワークに接続するためにユーザ入力コマンドを受信するように構成されたユーザインターフェースをクライアントデバイスに表示することと、クライアントデバイスでユーザ入力コマンドを受信し、それに応答してクライアントデバイスをネットワークから関連解除することと、クライアントデバイスのネットワークアクセス資格情報を認証サーバ装置に送信し、認証サーバ装置は、それに応答して、クライアントデバイスにアクセス承認メッセージを送信することを含む、通信ネットワークにおいてクライアントデバイスを認証するための方法を提供することができる。
第一の態様において、本発明は、通信ネットワーク用の認証サーバ装置からクライアントデバイス用のネットワークアクセス資格情報を取得することと、クライアントデバイスを通信ネットワークに接続するためにユーザ入力コマンドを受信するように構成されたユーザインターフェースをクライアントデバイスに表示することと、クライアントデバイスでユーザ入力コマンドを受信し、それに応答してクライアントデバイスをネットワークから関連解除することと、クライアントデバイスのネットワークアクセス資格情報を認証サーバ装置に送信し、認証サーバ装置は、それに応答して、クライアントデバイスにアクセス承認メッセージを送信することを含む、通信ネットワークにおいてクライアントデバイスを認証するための方法を提供することができる。
望ましくは、ネットワークアクセス資格情報を取得することは、通信ネットワークに関連する一時的ネットワークアクセス資格情報をクライアントデバイスに提供することと、一時的ネットワークアクセス資格情報をクライアントデバイスによって認証サーバ装置に送信することを含む。認証サーバ装置による一時的ネットワークアクセス資格情報の受信に応じて、この方法は、暗号化通信のためにクライアントデバイスを通信ネットワークの隔離部分に接続し、それによって、暗号化された通信によってクライアントデバイスから通信ネットワークの隔離部分にユーザ登録データを送信することと、その後、前記暗号化された通信により、認証サーバ装置からネットワークアクセス資格情報を受信することを含み得る。
望ましくは、認証サーバ装置による一時的ネットワークアクセス資格情報の受信に応じて、この方法は、クライアントデバイスを通信ネットワークの隔離部分に前記接続することを許可する認証サーバ装置から送信された交換ネットワークアクセス資格情報をクライアントデバイスで受信することを含み得る。
望ましくは、認証サーバ装置による一時的ネットワークアクセス資格情報の受信に応じて、この方法は、クライアントデバイスからの暗号化送信により、交換ネットワークアクセス資格情報を認証サーバ装置に送信し、それにより、前記クライアントデバイスを通信ネットワークの隔離部分に接続することを含み得る。
望ましくは、ネットワークアクセス資格情報の送信は、クライアントデバイスをネットワークから前記関連解除することによりクライアント装置が関連解除された通信ネットワークへの再接続リクエストをクライアント装置から送信することを含み得る。
望ましくは、クライアントデバイスをネットワークから関連解除することには、クライアントデバイスを通信ネットワークの隔離部分から切断することを含む。
望ましくは、クライアントデバイスをネットワークから関連解除することには、クライアントデバイスを通信ネットワークの隔離部分から切断することを含む。
望ましくは、再接続リクエストは、クライアントデバイスをネットワークから前記関連解除することによってクライアント装置が関連解除された装置と同じサービスセット識別子(SSID)を有する装置に対して行われる。
望ましくは、交換ネットワークアクセス資格情報を受信することは、通信ネットワークにアクセスするために、ユーザ名および/またはパスワードおよび/またはネットワークアクセス許可/制限を受信することを含む。
望ましくは、交換ネットワークアクセス資格情報を受信することは、通信ネットワークにアクセスするために、ユーザ名および/またはパスワードおよび/またはネットワークアクセス許可/制限を受信することを含む。
第二の態様において、本発明は、通信ネットワーク用の認証サーバ装置からクライアントデバイス用のネットワークアクセス資格情報を取得する装置と、クライアントデバイスを通信ネットワークに接続するためにユーザ入力コマンドを受信するように構成されたユーザインターフェースを表示するためのクライアントデバイス上のディスプレイと、クライアントデバイスでユーザ入力コマンドを受信し、それに応答してクライアントデバイスをネットワークから関連解除する装置と、クライアントデバイスのネットワークアクセス資格情報を認証サーバ装置に送信し、認証サーバ装置がそれに応答してクライアントデバイスにアクセス承認メッセージを送信する装置と、を含む、通信ネットワークにおいて、クラアインとデバイスを認証するためのネットワーク通信装置を提供することができる。
望ましくは、ネットワークアクセス資格情報を取得するための装置は、通信ネットワークと関連する一時的ネットワークアクセス資格情報をクライアントデバイスに提供するための装置を含む。望ましくは、クライアントデバイスは、一時的ネットワークアクセス資格情報を認証サーバ装置に送信するように構成される。好ましくは、一時的ネットワークアクセス資格情報の受信に応答して、認証サーバ装置は、クライアントデバイスを、それとの暗号化通信のために通信ネットワークの隔離部分に接続するように構成される。望ましくは、クライアントデバイスは、暗号化された通信によって通信ネットワークの隔離部分にユーザ登録データを送信するように構成される。望ましくは、認証サーバ装置は、続いて、前記暗号化通信により前記ネットワークアクセス資格情報をクライアント装置に送信するように構成される。
好ましくは、認証サーバ装置による一時的ネットワークアクセス資格情報の受信に応答して、認証サーバ装置は、クライアントデバイスを通信ネットワークの隔離部分に前記接続することを許可する交換ネットワークアクセス資格情報をクライアントデバイスに送信するように構成される。
好ましくは、認証サーバ装置による仮ネットワークアクセス資格情報の受信に応答して、クライアントデバイスは、暗号化送信によって、交換ネットワークアクセス資格情報を認証サーバ装置に送信し、それにより、クライアントデバイスを通信ネットワークの隔離部分に接続するように構成される。
望ましくは、ネットワークアクセス資格情報を送信することには、クライアントデバイスをネットワークから前記関連解除することによって前記クライアント装置が関連解除されていた通信ネットワークに再接続リクエストをクライアント装置から送信することを含む。
望ましくは、クライアントデバイスをネットワークから関連解除することは、クライアントデバイスを通信ネットワークの隔離部分から切断することを含む。好ましくは、再接続リクエストは、クライアント装置をネットワークから関連解除することによってクライアント装置が関連解除されていた装置と同じサービスセット識別子(SSID)を有する装置に対して行われる。望ましくは、クライアントデバイスは、通信ネットワークにアクセスするために、ユーザ名および/またはパスワードおよび/またはネットワークアクセス許可/制限を含む交換ネットワークアクセス資格情報を受信するように構成される。サービスセット識別子(SSID)は、WLAN(無線LAN)の識別子として使用される識別子データ項目を指す。コンピュータネットワーキングでは、サービスセット(SS)は、消費者または企業のワイヤレスローカルエリアネットワーク(WLAN)、例えば、IEEE 802.11と関連したすべてのデバイスから構成されるセットである。サービスセットは、ローカル、独立、拡張、またはメッシュであり得る。LANとは、ローカルエリアネットワークの略語である。バーチャルLAN(VLAN)とは、データリンク層におけるコンピューターネットワーク内で分割および分離された任意のブロードキャストドメインである。「バーチャル」という用語は、追加のロジックによって再作成および変更された物理的オブジェクトを指す。VLANは、ネットワークパケット内でタグを使用し、ネットワーキングシステム内でタグを処理する。結果として、VLANが、同じネットワークに接続されているにもかかわらず、分離した状態を維持することを可能にする。それは、ネットワーキングデバイスの複数のセットを展開する必要なく、行われる。これは、物理的には、単一のネットワーク上にあるが、別個のネットワークに分割されているかのように機能するネットワークトラフィックの外観と機能が再作成する。
本発明の一実施形態を、ここで図1を参照して説明する。これは、本発明をより良く理解できるように例示のために提供され、限定することを意図していない。図1は、以下のコンポーネント、すなわち、クライアントデバイス(ラップトップなど)などのユーザ機器「UE」と、「UE」がインターネットにアクセスするための「アクセスポイント」(またはAP)と、APおよび認証・許可・アカウンティング「AAA」サーバと通信する「WLANコントローラ」と、「WAG」装置を含む装置を示す。「AAA」サーバは、「WAG」装置と通信している「OSU」サーバと通信している。
装置のこれらのコンポーネントは、図1を参照するステップ(1)から(8)とこれらのステップで示される通信矢印で以下に説明するように通信する。Hot Spot 2.0は、WiFiネットワーク間およびWiFiとセルラーネットワーク間のローミングを可能にする公衆アクセスWi−Fiの標準である。これは、Wi−Fi AllianceとWireless Broadband Associationによって開発された。
ユーザ機器「UE」は、現在、ネットワーク(例えば、インターネット)から関連解除されている。その後、次のステップが実行される。
したがって、図1に示すユーザが開始したCOAステップ(5)は、「AAA」ユニットと「OSU」ユニットの間の点線で示されている。ユーザが開始したCOAは、ユーザが、例えば、Wi−Fiからログアウトするだけのプロセスとは異なる。この違いには、COAをコントローラに送信して「WLANコントローラ」を開始し、それによってクライアントデバイス「UE」をアクセスポイント「AP」からプッシュするステップが含まれる。重要な原則は、ユーザがこれを開始することである。つまり、ユーザは、意図した結果で、ネットワークからプッシュされるアクティブステップを取る。
RADIUSプロトコル(リモート認証ダイヤルインユーザサービス)は、認証・承認・アカウンティング(AAA)用の業界標準プロトコルである。RADIUSは、しばしば、802.1X認証の選択のバックエンド(backend)である。ターミナルサーバまたはネットワークアクセスサーバ(NAS)は、RADIUSプロトコルを使用して、顧客情報のデータベースにAAAリクエストを通信し、そのデータベースから結果を返す。RADIUSプロトコルは、インターネットエンジニアリングタスクフォース(IETF)の「RFC」文書で、例えば、RFC2058およびRFC2058に取って代わった後続のRFC文書および/または、RFC3579、RFC2866およびRFC3580のいずれかまたはそれらの組み合わせのような、RADIUSプロトコル(またはその態様)を定義する後続のRFC文書の任意の1つまたは複数のような「RFC」文書で定義し得るかまたは例えば、RFC6614に使用することができる(may be used RFC6614)。
RADIUSサーバは、RADIUSプロトコルを使用してAAAサービスを提供する。RADIUSサーバは、顧客がターミナルサーバまたはネットワークアクセスサーバ(NAS)を使用するときに必要なAAAサービスを実行する。RADIUSサーバは、以下のタスクを実行する。
・認証:ユーザ名とパスワードのチェックによる顧客のアイデンティティを検証する。
・許可:要求されたサービスにアクセスするための顧客特権を検証する。
・アカウンティング:顧客がログインおよびログアウトしたとき、およびセッション期間の追跡
「アカウンティング」という用語は、顧客の使用状況を追跡することを意味する。
・認証:ユーザ名とパスワードのチェックによる顧客のアイデンティティを検証する。
・許可:要求されたサービスにアクセスするための顧客特権を検証する。
・アカウンティング:顧客がログインおよびログアウトしたとき、およびセッション期間の追跡
「アカウンティング」という用語は、顧客の使用状況を追跡することを意味する。
一般的な認証ツールは、いわゆる「キャプティブポータル(captive portal)」を使用することである。キャプティブポータルは、標準のWebブラウザを使用して、ユーザが、そのサービスへのアクセスが許可される前に、ネットワークサービスへ、ログインの詳細/資格情報を提示する機会を許可する。このようなWebブラウザの使用は、多くのパーソナルコンピュータオペレーティングシステム(ラップトップ、PCなど)がキャプティブポータルをサポートでき、特注のソフトウェアを必要としないことを意味する。
RADIUSサーバが認証目的で使用される場合、ネットワークアクセスポイントに、二つの応答のいずれか、すなわち、「アクセス拒否」応答か「アクセス承認」応答のいずれかを返し得る。「アクセス拒否」応答は、ユーザが受け入れ可能な資格情報を提供できなかった場合に発生し、リクエストされたネットワークへのリソースへのアクセスを拒否する。「アクセス承認」応答は、ユーザがアクセスを許可されたときに発生する。
「アクセスポイント」は、RADIUSプロトコルを介してアクセスを許可するための承認をリクエストする「WLAN コントローラ」を介して、RADIUSサーバ(「AAA」)にRADIUSアクセスリクエストメッセージを送信する。このリクエストは、クライアントデバイス/ユーザによって提供されたアクセス資格情報(例えば、ユーザ名、パスワード又はセキュリティ証明書)が含まれる。RADIUSサーバ(「AAA」)は、情報が正しいことをチェックする。
現在、ネットワークに対するサインアップおよび登録の、より確実なアプローチを提供したいと望むネットワーク事業者は、それにより、例えば、さまざまなEAPプロトコル(拡張認証プロトコル)またはHotspot2.0プロトコルを使用して、確実に暗号化されたワイヤレス(Wi−Fi)ネットワークを作成することができる。しかしながら、図3を参照して上記で説明したように、既存のシステムにおける問題は、いかなるユーザも、ユーザ名やパスワードなどの固有の確実な認証の詳細を知らずにその確実なSSIDに接続することはできないし、あるいは既にデバイスにインストールされたHotspot2.0プロファイルを有することはできない。原則として、その場合のネットワーク所有者は、だれでもがネットワークに確実に接続するために使用できる一時的ユーザ名/パスワードを公然と公開することもあるが、共有のユーザ名およびパスワードは、このサービスを別のネットワークサービスと区別すること(例えば、ユーザを識別すること、および特注サービスを提供すること)はできないし、または、ユーザ登録をすることができない。
本発明は、ユーザが必要とするプロビジョニング(provisioning)を確実に提供する。図2を参照すると、ユーザ機器(UE、20)は、図1に示されるようなネットワークアクセスおよび制御装置を含むネットワーク(22)の確実なSSIDへの接続を試みる。ユーザは、暗号化されたネットワークへのアクセスを獲得するために、ユーザ名とパスワードを入力するようにUEのオペレーティングシステムによって指示される。ユーザは、前もって、一時的なユーザ名とパスワードが提供されており、ネットワークの登録ページでこれらを入力する(25)。一時的なユーザ名とパスワードは、共有手段、例えば、ネットワークサービスと関連したWebサイト上で、または、その情報をユーザに伝えることができる第三者(例えば、友達)へのeメールを用いて、前記ネットワーク装置によりユーザに提供することができる。
例えば、ユーザは、携帯電話サービスプロバイダ(「MobileCo」)からユーザ名/パスワードの組み合わせを取得していることもある。ユーザには、「mobileco」の一時的ユーザ名と「mobileco」の一時的パスワードが提供される。ユーザは、それによって、一時的ユーザ名「mobileco」および関連する一時的パスワード「mobileco」をネットワーク(22)の登録ページ(23)に入力することができる(25)。この一時的なユーザ名とパスワードは、ネットワーク制御装置によって、検証のためにネットワークのAAA Radiusサーバ(21)に返送される(26)。この場合、一時的なユーザ名とパスワードが正しいので、AAA Radiusサーバは、アクセス許可で応答(27)し、ネットワーク制御装置(23)への通知(27)とともに、ネットワークの事前定義された確実な制限/隔離エリア内で、ユーザ機器(20)を隔離する。登録ページ(23)と関連したネットワーク制御装置は、AAAサーバに応答して、ユーザ機器(20)にアクセス承認メッセージだけでなく、リダイレクトURLおよび/またはVLAN IDおよび/または、ユーザ機器をネットワークの確実な隔離エリアに仕向けるように動作可能なポリシーを発行する(28)。
次に、ユーザは、Wi−Fiネットワークの隔離部分(22)に確実に接続(29)され、無線データは暗号化される。しかしながら、「周知のユーザ名とパスワード」を使用したため、ユーザ機器は、許可された完全なインターネットアクセスの代わりに、MobileCoの登録ページにリダイレクトされる(30)。登録ページで、ユーザは、登録または起動を完了する必要があり(31)、通常、自分の携帯電話番号または電子メールアドレスを入力する必要がある。ユーザのアイデンティティが証明されると、AAAプロファイルが作成され、デバイスのための確実なモバイルプロファイルが生成され、無線を介して確実に提示され、インストールされる(32)。これは、ユーザ装置に、プロファイルと認証資格情報をプロビジョニングする確実なプロセスである。
上記のステップの変形例では、初期接続試行(25)は、一時的なユーザ名とパスワードを使用する代わりに匿名EAPを使用することもでき、AAAサーバ(21)は、そのシナリオにおいて、EAP入力がパーソナライズされたユーザ名とパスワードではなく、ユーザ機器(20)を必要な制限されたポリシーに入れ、ユーザ機器を登録ページ(23)にリダイレクトして上記のプロファイルを生成することにより応答する。
プロビジョニング/インストールされたプロファイルは、今や、ユーザのパーソナライズされたユーザ名/パスワードを、確実なネットワークの許可された部分(24)に接続するために必要な他のアイテムとともに、含む。例えば、プロビジョニングされたプロファイルは、適切なHotspot2.0設定とプロファイルを含むことができる。ユーザ機器(20)は、今、ダウンロードされたプロファイルで正しいユーザ名とパスワードを取得しているが、一時的な/共有のユーザ名とパスワードで一時的に認証されているため、登録ページ(23)と関連した、制限されたアクセスネットワークに依然として先に進めない。この問題を解決するために、ユーザ機器(20)のディスプレイ(図4)は、所望の/許可されたネットワーク(24)への接続をインプリメントするために、アクティブユーザ入力/コマンド(33)として、クリックするように指示される接続起動ボタンを、ユーザに表示するように制御される。図4は、クライアントデバイスをWLAN通信ネットワークへ接続するためのユーザコマンドを入力するために、クリックされるそのような接続ボタンをユーザに表示する、クライアントデバイスのディスプレイ(50)上のユーザインターフェースの一例を概略的に示す。この起動ボタンは、許可されたネットワークへの接続を完了するためにユーザが必要とするアクションを示す「クリックして接続」というメッセージを表示する。クリックされると、クライアントデバイスはユーザ入力コマンドを受信し、それに応答して、クライアントデバイスをネットワークから関連解除するプロセスがそれに続いて起こる。あるいは、反対にユーザ入力/コマンドがない場合、カウントダウンの完了時に、接続起動カウントダウンタイマーを表示し、ユーザ機器を制御して、所望/許可されたネットワークエリアへの接続をインプリメントすることができる。その場合、クライアントデバイス(UE)のディスプレイ(50)に表示されるユーザインターフェースの起動ボタン(51)は、図4に示されたメッセージ「クリックして接続」の代わりに、カウントダウン時間を表示するカウントダウンタイマーに置き換えられる。
接続起動ボタンまたはカウンターダウンタイムを介したユーザ入力/コマンドの入力は、ネットワーク制御装置(22)のWLANコントローラへのバックエンドCoA信号(34、35)を自動的にトリガーし、ユーザ機器(20)とネットワーク制御装置のWLANとの間の一時的な関連解除を作成する。それにより、ユーザ機器は、ネットワーク制御装置から切断される(36)。
ユーザ機器(20)は、生成されたパーソナライズされたユーザ名とパスワードまたは認証トークンを含む正しいネットワークプロファイルで以前にプロビジョニングされている(32)ので、ユーザ機器は、今回は、一時的なユーザ名/パスワードの代わりに、プロファイルに含まれるパーソナライズされたユーザ名とパスワードを使用して、ネットワーク制御装置(22)の同じWLANに自動的に再接続(38)可能であり、そのように構成される。AAA(RADIUS)サーバ(21)によって検証(39)されると、ユーザ機器が、許可されたインターネットまたはネットワークアクセス(41)を用いて機器を接続することを可能にする正しいポリシーを含むアクセス承認メッセージをユーザ機器に送り返す(40)ように構成される。
この構成の利点は、ユーザ機器のネットワークへの登録、認証、および接続のすべてが単一の確実なWLANで実行されることを含む。さらに、単一のWLANネットワークは、複数のオペレータ並びに匿名EAPもサポートでき、各オペレータは、自身の加入者ベースを自身の共有ユーザ名とパスワードに気づかさせ、例えば、mobileco2のユーザ名とパスワードを有するMobileCo2と呼ばれる別のオペレータは、一時的なユーザ名/パスワードの組み合わせを顧客に提供して、MobileCo2と関連する許可されたネットワークエリアへのネットワーク接続を個別に独立してインプリメントし得る。AAAサーバ(21)は、このユーザ名とパスワードを確認し、上述のようにUEを制限状態にして応答するが、それらをMobileCo2のプロビジョニングページにリダイレクトする。
本発明には、サインアッププロセスのすべての態様が無線による暗号化で行われ、したがって確実であることを含む、複数の利点がある。ネットワーク制御装置(22)と関連した単一のSSIDがモバイルオペレータによって使用され、これにより、モバイルオペレータがRF(無線周波数)汚染を引き起こす多数のSSIDを使用する必要がなくなる。また、本発明は、ユーザ機器(例えば、モバイルハンドセット)が、それらの登録した最初/初期のオープンSSIDに意図せずに再接続すること(現在の重大なHotspot 2.0プロビジョニングの問題)を防ぐ。全体として、本発明は、より良いユーザ体験を可能にする。
本発明には、サインアッププロセスのすべての態様が無線による暗号化で行われ、したがって確実であることを含む、複数の利点がある。ネットワーク制御装置(22)と関連した単一のSSIDがモバイルオペレータによって使用され、これにより、モバイルオペレータがRF(無線周波数)汚染を引き起こす多数のSSIDを使用する必要がなくなる。また、本発明は、ユーザ機器(例えば、モバイルハンドセット)が、それらの登録した最初/初期のオープンSSIDに意図せずに再接続すること(現在の重大なHotspot 2.0プロビジョニングの問題)を防ぐ。全体として、本発明は、より良いユーザ体験を可能にする。
Claims (16)
- 通信ネットワーク内のクライアントデバイスを認証する方法であって、
通信ネットワーク用の認証サーバ装置から前記クライアントデバイス用のネットワークアクセス資格情報を取得するステップ(32)と、
前記クライアントデバイスを前記通信ネットワークに接続するためにユーザ入力コマンドを受信するように構成されたユーザインターフェースを前記クライアントデバイスに表示するステップと、
前記クライアントデバイスで前記ユーザ入力コマンドを受信し(33)、それに応答して、前記クライアントデバイスを前記ネットワークから関連解除するステップと、
前記クライアントデバイスの前記ネットワークアクセス資格情報を前記認証サーバ装置に送信し(38、39)、前記認証サーバ装置はそれに応答して、アクセス承認メッセージを前記クライアントデバイスに送信するステップ(39、40)を含む、方法。 - 前記ネットワークアクセス資格情報を取得するステップは、
前記通信ネットワークと関連する一時的ネットワークアクセス資格情報を前記クライアントデバイスに提供するステップと、
前記クライアントデバイスによって前記一時的ネットワークアクセス資格情報を前記認証サーバ装置に送信するステップと、
前記認証サーバ装置による前記一時的ネットワークアクセス資格情報の受信に応答して、前記クライアントデバイスを、暗号化された通信のために前記通信ネットワークの隔離部分に接続するステップと、
前記暗号化された通信によって、前記クライアントデバイスから前記通信ネットワークの前記隔離部分にユーザ登録データを送信するステップと、
その後に、前記暗号化された通信によって、前記認証サーバ装置から前記ネットワークアクセス資格情報を受信するステップを含む、請求項1に記載の方法。 - 前記認証サーバ装置による前記一時的ネットワークアクセス資格情報の受信に応答して、
前記通信ネットワークの前記隔離部分への前記クライアントデバイスの前記接続を可能にする前記認証サーバ装置から送信された交換ネットワークアクセス資格情報を前記クラアイントデバイスにおいて受信する、請求項2に記載の方法。 - 前記認証サーバ装置による前記一時的ネットワークアクセス資格情報の受信に応答して、
前記クライアントデバイスからの暗号化された送信により、前記交換ネットワークアクセス資格情報を前記認証サーバ装置に送信し、それにより、前記クライアントデバイスを前記通信ネットワークの前記隔離部分に接続する、請求項3に記載の方法。 - ネットワークアクセス資格情報の前記送信は、前記ネットワークからの前記クライアントデバイスの前記関連解除により前記クライアント装置が関連解除された前記通信ネットワークを再接続するための要求を前記クライアント装置から送信することを含む、請求項1乃至4のいずれか一項に記載の方法。
- 請求項2に従属するとき、前記ネットワークからの前記クライアントデバイスの前記関連解除は、前記クライアントデバイスを前記通信ネットワークの前記隔離部分から切断することを含む、請求項1乃至5のいずれか一項に記載の方法。
- 請求項5に従属するとき、前記再接続のリクエストは、前記ネットワークからの前記クライアントデバイスの前記関連解除により前記クライアント装置が関連解除された装置と同じサービスセット識別子(SSID)を有する前記装置に対してなされる、請求項5または6に記載の方法。
- 請求項3に従属するとき、前記交換ネットワークアクセス資格情報の前記受信は、前記通信ネットワークにアクセスするための、ユーザ名および/またはパスワードおよび/またはネットワークアクセス許可/制限を受信することを含む、請求項1乃至7のいずれか一項に記載の方法。
- 通信ネットワークにおいて、クライアントデバイス(20)を認証するためのネットワーク通信装置であって、
通信ネットワーク用の認証サーバ装置(21)から前記クライアントデバイスのためのネットワークアクセス資格情報を取得する装置(23)と、
前記クライアントデバイスを前記通信ネットワークに接続するためのユーザ入力コマンドを受信するように構成されたユーザインターフェースを表示するための、前記クライアントデバイス上のディスプレイと、
前記クライアントデバイスにおいて、前記ユーザ入力コマンドを受信し、それに応答して、前記クライアントデバイスを前記ネットワークから関連解除する装置(24)と、
前記クライアントデバイスに関する前記ネットワークアクセス資格情報を前記認証サーバ装置に送信し、それにより、前記認証サーバ装置は、前記クライアントデバイスにアクセス承認メッセージを送信する、装置(23)を含む、ネットワーク通信装置。 - 前記ネットワークアクセス資格情報を取得する装置は、前記通信ネットワークに関連する前記一時的ネットワークアクセス資格情報を前記クライアントデバイスに供給するための装置を含み、
前記クライアントデバイスは、前記一時的ネットワークアクセス資格情報を前記認証サーバ装置に送信するように構成され、
前記一時的ネットワークアクセス資格情報の受信に応答して、前記認証サーバ装置は、暗号化された通信のために、前記クライアントデバイスを前記通信ネットワークの前記隔離部分に接続するように構成され、
前記クライアントデバイスは、暗号化された通信によって、前記通信ネットワークの前記隔離部分にユーザ登録データを送信するように構成され、
前記認証サーバ装置は、その後、前記暗号化された通信により、前記ネットワークアクセス資格情報を前記クライアントデバイスに送信するように構成される、請求項9に記載のネットワーク通信装置。 - 前記認証サーバ装置による前記一時的ネットワークアクセス資格情報の受信に応答して、
前記認証サーバ装置は、前記通信ネットワークの前記隔離部分への前記クライアントデバイスの前記接続を可能にする前記クライアントデバイス交換ネットワークアクセス資格情報を前記クライアントデバイスに送信するように構成される、請求項10に記載のネットワーク通信装置。 - 前記認証サーバ装置による前記一時的ネットワークアクセス資格情報の受信に応答して、前記クライアントデバイスは、暗号化送信によって、前記交換ネットワークアクセス資格情報を前記認証サーバ装置に送信するように構成され、それによって、前記クライアントデバイスを前記通信ネットワークの前記隔離部分に接続する、請求項11に記載のネットワーク通信装置。
- 前記ネットワークアクセス資格情報を送信することは、前記ネットワークから前記クライアントデバイスを前記関連解除することによって、前記クライアントデバイスが関連解除された前記通信ネットワークに再接続するリクエストを前記クライアントデバイスから送信することを含む、請求項9乃至12のいずれか一項に記載のネットワーク通信装置。
- 請求項10に従属するとき、前記クライアントデバイスを前記ネットワークから関連解除することは、前記クライアントデバイスを前記通信ネットワークの前記隔離部分から切断することを含む、請求項9乃至13のいずれか一項に記載のネットワーク通信装置。
- 請求項13に従属するとき、前記再接続のリクエストは、前記クライアントデバイスを前記ネットワークから前記関連解除することにより、前記クライアントデバイスが関連解除された装置と同じサービスセット識別子(SSID)を有する前記装置に対してなされる、請求項13または14に記載のネットワーク通信装置。
- 請求項11に従属するとき、前記クライアントデバイスは、前記通信ネットワークにアクセスするために、ユーザ名および/またはパスワードおよび/またはネットワークアクセス許可/制限を含む前記交換ネットワークアクセス資格情報を受信するように構成された、請求項9乃至15のいずれか一項に記載のネットワーク通信装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762510022P | 2017-05-23 | 2017-05-23 | |
US62/510,022 | 2017-05-23 | ||
PCT/GB2018/051410 WO2018215775A1 (en) | 2017-05-23 | 2018-05-23 | Improvements in and relating to network communications |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2020521385A true JP2020521385A (ja) | 2020-07-16 |
Family
ID=62567686
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019564031A Pending JP2020521385A (ja) | 2017-05-23 | 2018-05-23 | ネットワーク通信におけるおよびネットワーク通信に関する改善 |
Country Status (8)
Country | Link |
---|---|
US (1) | US20200162909A1 (ja) |
EP (1) | EP3635988B1 (ja) |
JP (1) | JP2020521385A (ja) |
KR (1) | KR20200010417A (ja) |
CN (1) | CN111034240B (ja) |
AU (1) | AU2018274707B2 (ja) |
CA (1) | CA3063510C (ja) |
WO (1) | WO2018215775A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11251955B2 (en) * | 2017-09-07 | 2022-02-15 | Arris Enterprises Llc | System and method for simplified wifi set up of client devices |
US10609667B1 (en) * | 2019-01-28 | 2020-03-31 | Verizon Patent And Licensing Inc. | System and method for delivery of end device policies during registration procedure |
CN114760112B (zh) * | 2022-03-28 | 2023-09-12 | 厦门盈趣科技股份有限公司 | 一种面向无线局域网络的智能家居设备入网方法、系统、设备及存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1802812A (zh) * | 2003-01-09 | 2006-07-12 | 汤姆森许可贸易公司 | 对多个接入点进行联合的方法和设备 |
WO2012036992A2 (en) * | 2010-09-15 | 2012-03-22 | Intel Corporation | Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using soap-xml techniques |
US8713589B2 (en) * | 2010-12-23 | 2014-04-29 | Microsoft Corporation | Registration and network access control |
US9979710B2 (en) * | 2012-07-26 | 2018-05-22 | Stmicroelectronics, Inc. | Single SSID and dual-SSID enhancements |
US9307408B2 (en) * | 2012-12-27 | 2016-04-05 | Intel Corporation | Secure on-line signup and provisioning of wireless devices |
US9800581B2 (en) * | 2014-03-14 | 2017-10-24 | Cable Television Laboratories, Inc. | Automated wireless device provisioning and authentication |
-
2018
- 2018-05-23 CA CA3063510A patent/CA3063510C/en active Active
- 2018-05-23 WO PCT/GB2018/051410 patent/WO2018215775A1/en unknown
- 2018-05-23 KR KR1020197037693A patent/KR20200010417A/ko unknown
- 2018-05-23 EP EP18730421.7A patent/EP3635988B1/en active Active
- 2018-05-23 JP JP2019564031A patent/JP2020521385A/ja active Pending
- 2018-05-23 US US16/614,931 patent/US20200162909A1/en not_active Abandoned
- 2018-05-23 AU AU2018274707A patent/AU2018274707B2/en active Active
- 2018-05-23 CN CN201880047858.XA patent/CN111034240B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CA3063510A1 (en) | 2018-11-29 |
CN111034240B (zh) | 2023-09-01 |
EP3635988B1 (en) | 2022-02-23 |
EP3635988A1 (en) | 2020-04-15 |
KR20200010417A (ko) | 2020-01-30 |
WO2018215775A1 (en) | 2018-11-29 |
CA3063510C (en) | 2024-01-02 |
AU2018274707B2 (en) | 2023-05-25 |
AU2018274707A1 (en) | 2020-01-16 |
US20200162909A1 (en) | 2020-05-21 |
CN111034240A (zh) | 2020-04-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10805797B2 (en) | Enabling secured wireless access using user-specific access credential for secure SSID | |
US11129021B2 (en) | Network access control | |
EP1872558B1 (en) | Connecting vpn users in a public network | |
EP2617222B1 (en) | Dynamic account creation with secured hotspot network | |
JP3984993B2 (ja) | アクセスネットワークを通じて接続を確立するための方法及びシステム | |
US8285992B2 (en) | Method and apparatuses for secure, anonymous wireless LAN (WLAN) access | |
US7565547B2 (en) | Trust inheritance in network authentication | |
CN107534664B (zh) | 针对使能ieee 802.1x的网络的多因素授权 | |
EP2206400A1 (en) | Systems and methods for wireless network selection | |
JP2012531822A (ja) | ネットワーク信用証明書を取得するためのシステム及び方法 | |
CN111034240B (zh) | 网络通信的以及与其相关的改进 | |
CN115769611A (zh) | 用于操作具有个性化身份模块简档的用户设备的系统和方法 | |
KR100819942B1 (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 | |
CN111492358B (zh) | 设备认证 | |
CN112423299A (zh) | 一种基于身份认证进行无线接入的方法及系统 | |
KR101049635B1 (ko) | 공중 무선랜과 기업 무선랜간의 로밍 서비스 제공 방법 | |
KR20040028062A (ko) | 공중 무선랜 서비스를 위한 무선랜 접속장치간 로밍서비스 방법 |