JP5084086B2 - 動的なネットワークの認可、認証、及びアカウントを提供するシステムおよび方法 - Google Patents

動的なネットワークの認可、認証、及びアカウントを提供するシステムおよび方法 Download PDF

Info

Publication number
JP5084086B2
JP5084086B2 JP2001533680A JP2001533680A JP5084086B2 JP 5084086 B2 JP5084086 B2 JP 5084086B2 JP 2001533680 A JP2001533680 A JP 2001533680A JP 2001533680 A JP2001533680 A JP 2001533680A JP 5084086 B2 JP5084086 B2 JP 5084086B2
Authority
JP
Japan
Prior art keywords
user
access
network
source
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2001533680A
Other languages
English (en)
Other versions
JP2003513514A (ja
JP2003513514A5 (ja
Inventor
ショート,ジョエル・イー
パガン,フローレンス・シー・アイ
ゴールドスタイン,ジョシュ・ジェイ
Original Assignee
ノマディックス インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US09/458,569 external-priority patent/US6636894B1/en
Priority claimed from US09/458,602 external-priority patent/US8713641B1/en
Application filed by ノマディックス インコーポレイテッド filed Critical ノマディックス インコーポレイテッド
Publication of JP2003513514A publication Critical patent/JP2003513514A/ja
Publication of JP2003513514A5 publication Critical patent/JP2003513514A5/ja
Application granted granted Critical
Publication of JP5084086B2 publication Critical patent/JP5084086B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1432Metric aspects
    • H04L12/1439Metric aspects time-based
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/564Enhancement of application control based on intercepted application data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/75Indicating network or usage conditions on the user display

Description

【0001】
(関連出願に対するクロス・リファレンス)
この出願は1999年12月8日に提出された「Systems And Methods For Redirecting Users Having Transparent Computer Access To A Network Using A Gateway Device Having Redirection Capability」と題する同時係属米国特許出願第09/458,569号の一部係属出願である。また、本出願は1999年12月8日提出の「Systems and Methods For Authorizing, Authenticating and Accounting Users Having Transparent Computer Access To A Network Using A Gateway Device」と題する米国出願第09/458,602号と、1999年10月22日提出の「Systems and Methods for Dynamic Bandwidth Management on A Per Subscriber Basis in A Computer Network」と題する米国仮出願第60/161,182号と、1999年10月22日提出の「Systems and Methods for Creating Subscriber Tunnels by A Gateway Device in A Computer Network」と題する米国仮出願第60/160,890号と、1999年10月22日提出の「Information And Control Console For Use With A Network Gateway Interface」と題する米国仮出願第60/161,139号と、1999年10月22日提出の「Systems and Methods for Transparent Computer Access and Communication with A Service Provider Network Using A Network Gateway Device」と題する米国仮出願第60/161,189号と、1999年10月22日提出の「Systems and Methods for Enabling Network Gateway Devices to Communicate with Management Systems to Facilitate Subscriber Management」と題する米国仮出願第60/160,973号と、1999年10月22日提出の「Gateway Device Having an XML Interface and Associated Method」と題する米国仮出願第60/161,181号と、1999年10月22日提出の「Location-Based Identification and Authorization for use With A Gateway Device」と題する米国仮特許第60/161,093号とによる優先権を主張する。前述の出願は、引用することによって本明細書の一部をなすものとする。
【0002】
【発明の属する技術分野】
本発明は一般にネットワークアクセスを制御するシステム及び方法に関し、より詳細には、動的ユーザネットワークアクセスを確立するシステムおよび方法に関する。
【0003】
【従来の技術】
コンピュータネットワークへのユーザアクセスは、伝統的に2つの段階的な確認プロセスに基づいており、いずれの段階においても、ユーザトータルネットワークアクセスを提供するか、又は、ユーザのあらゆるアクセスを拒否するかのどちらかである。当該プロセスの第1段階において、ユーザは、電話線、つまり専用ネットワーク接続(例えば、ブロードバンド、デジタル信号回線(DSL))等を介してネットワークとの通信リンクを確立する。認可プロセスの第2段階において、ユーザはネットワークへのアクセスを得るために識別情報を入力しなければならない。一般に、入力識別情報はユーザ名およびパスワードを含む。この情報を用いて、ネットワークまたはサービスプロバイダは、当該ネットワークにアクセスする権限を与えられている全てのユーザに関する識別情報を記憶している識別情報がサブスクリプションテーブル(subscription table)(またはデータベース)に含まれるサブスクライバ情報に一致するかどうかを決定することにより当該ユーザがネットワークへアクセスする資格を与えられていることを確認する。ユーザ入力情報がサブスクリプションテーブル内のサブスクライバデータと一致する場合には、当該ユーザには当該ネットワーク上の全てのサービスにアクセスする権限が与えられる。一方、ユーザ入力識別情報がテーブル内のサブスクライバデータに一致しない場合には、当該ユーザはネットワークへのアクセスが拒否されるであろう。従って、ユーザの識別がサブスクリプションテーブル内に記憶されているデータと比較されると、当該ユーザはネットワークアクセスの資格を得るか、又は、一切のアクセスが拒否されるかどちらかである。さらに、ユーザの当該ネットワークへのアクセスが認可された場合には、当該ユーザには、一般に当該ネットワークを介してアクセス可能なあらゆる宛先にアクセスする権限を与えられる。従って、ユーザに関する従来型の認証は、ネットワークアクセスに関するオールオアナッシング(all-or-nothing)に基づく。
【0004】
【発明が解決しようとする課題】
例えば、従来型インターネットアクセスアプリケーションの場合のように、多くの従来型ネットワークアクセスアプリケーションにおいては、サブスクライバデータベース(または、テーブル)は、当該ネットワークにアクセスする権限を与えられたサブスクライバの識別に対応するデータだけでなく、特定のサブスクライバ毎に変化可能な情報も記憶する。例えば、サブスクライバデータベースは、サブスクライバが受け取るべきであるアクセスのタイプと、例えばネットワークアクセスのためにサブスクライバが支払うべき料金のような他の関連情報を示すサブスクライバプロファイルとを含みうる。サブスクライバデータベース内の情報はユーザ毎に変えることができ、当該データベースにとって一意的な情報は一般に請求書作成またはネットワークの保守整備目的に使用される。例えば、従来型のサブスクライバデータベースは、一般に、サブスクライバがネットワークアクセスに支払っているコストと、サブスクライバが当該ネットワークにアクセスに要した時間とのデータを含む。従って、インターネットサービスプロバイダ(以下、「ISP」とよぶ。)に対してサブスクライバがインターネットアクセスを獲得した場合には、ユーザが認証されることを可能にし、例えばユーザが当該ネットワーク上に居る時間の記録のようなアカウント目的でユーザを追跡することができる情報をソースプロファイルデータベースが含みうる。
【0005】
加えて、従来型ネットワークアクセスシステムにおいては、ユーザがオンラインサービス(例えば、インターネット)へ接続するためには、ユーザはユーザのコンピュータ上へとクライアント側ソフトウェアをインストールしなければならない。クライアント側ソフトウェアは、一般に、ネットワークアドミニストレータ又は例えばユーザがインターネットアクセスを申し込んだISPネットワークアクセスプロバイダによって提供され、クライアント自身のコンピュータが当該ネットワークのアクセスプロバイダと通信できるようにクライアントをコンフィギュレーション可能にする。ISPを介してインターネットにアクセスするユーザの例を継続して示すこととし、ユーザはクライアントコンピュータにISPソフトウェアをインストールしなければならず、それ以降はインターネットアクセスに対してISPとのアカウントを確立しなければならない。一般に、ユーザは、インターネットアクセスのために、例えば、America Online(登録商標)、Earthlink(登録商標)、Compuserve(登録商標)のようなISPと直接に契約することによってISPのサブスクライバとなる。通常、ユーザは、月決め料金に基づいてこのようなインターネットアクセスの支払いをする。ユーザの所在地とは無関係に、ユーザは、ISPによって提供されたアクセス番号をダイヤルし、インターネットアクセスを獲得する。接続は、しばしば、従来型電話モデム、ケーブルモデム、DSL接続等を介して達成される。
【0006】
ISPのような従来型の方法によってネットワークにアクセスするユーザは、オールオアナッシングの方法によってネットワークへのアクセスが許容されるか否定されるかのどちらかであるため、特定のネットワークまたはサイトへのユーザのアクセスおよび認可がカスタマイズできるように、ネットワークへのアクセスを動的にユーザを認可することはできない。動的にカスタマイズされたアクセスをユーザに可能とするために必要な方法およびシステムは、例えばユーザの所在地、ユーザ名またはパスワード、ユーザコンピュータ、または他の属性などのようなユーザに関連した任意の個数の変数に基づいて変えることができるシステムおよび方法である。例えば、あるユーザにとって、全てのインターネットサイトへのアクセスが認可され、他のユーザは特定のサイトへのアクセスが否定されることは有利でありうる。ユーザがネットワークにアクセスするのを認可することに加えて、ユーザのアクセスがオールオアナッシングの方法に基づかないように認可の範囲をユーザに選択させることは、ISPまたは企業ネットワークのようなネットワークにとても有利になるであろう。
【0007】
【課題を解決するための手段】
本発明は、ゲートウェイ装置を介してネットワークにアクセスするユーザの認証、認可、及び、アカウント(authentication, authority and accounting:以下、「AAA」とよぶ。)を選択的に実施および施行する方法およびシステムを含む。本発明によれば、まず、ユーザが当該ユーザの識別を決定するように認証される。本発明のシステム及び方法の認証能力は、ユーザID、コンピュータ、ロケーション、又は、ネットワークアクセスをリクエストするソース(例えば、特定のユーザ、コンピュータ、または、ロケーション)を識別する1つ以上の追加の属性に基づくことができる。認証されると、ソースの識別および内容、及び/又は、リクエストされる宛先に基づいてソースが異なるアクセス権を有するように、本発明のシステム及び方法の認可能力が当該ソースの識別に基づいてカスタマイズされる。例えば、アクセス権は、第1ソースが特定のインターネット宛先アドレスにアクセスすることを許可し、その間に第2ソースが前述の同位置アドレスにアクセスすることを拒否する。さらに、本発明のシステム及び方法の認可能力は、例えば宛先ポート、インターネットアドレス、TCPポート、ネットワーク、又は、同様の宛先アドレスなどのようなデータ伝送に含まれるその他の情報に基づくことがあり得る。さらに、本発明のAAAは、内容のタイプ又は伝送中のプロトコルに基づくことがあり得る。この様式でユーザを認証することにより、各パケットは選択的なAAAプロセスを経て伝送されることができるため、ユーザが識別でき、特定の宛先へのアクセスを認可することができる。従って、ユーザが異なる宛先へのアクセスしようとする度に、当該ユーザがAAAに関して検査され、結果的に、当該ユーザの認可に基づいて当該ユーザによってアクセスできないAAAシステム及び方法とみなされた特定のサイトに当該ユーザがアクセスすることが防止され、もう一方では、AAA方法およびシステムによってアクセス可能とみなされた他のサイトへのアクセスを許可することとなる。加えて、本発明の一実施形態によれば、ネットワークへのソースアクセスは、アカウントおよび履歴を目的として、追跡されログ(tracked and logged)されうる。
【0008】
本発明の一つの実施形態によれば、ネットワークへのソースアクセスを選択的に制御してカスタマイズする方法が開示される。この場合には、ソースはソースコンピュータと関連し、ソースコンピュータはゲートウェイ装置を介してネットワークにトランスペアレントなアクセスを有し、ネットワークにアクセスするためにソースコンピュータにコンフィギュレーションソフトウェアをインストールする必要がない。本方法は、ゲートウェイ装置においてネットワークへのアクセスのためのソースコンピュータからのリクエストを受け取るステップと、ソースコンピュータから送信され、ゲートウェイ装置によって受信されたパケットに基づいてソースに関連する属性を識別するステップと、ソースに対応し、ソースプロファイルデータベースに記憶されているソースプロファイルにアクセスするステップとを含む。ここで、ソースプロファイルは属性に基づいてアクセスされ、ソースプロファイルデータベースは、ゲートウェイ装置の外部に設置され、ゲートウェイ装置と通信する。また、本方法は、ソースプロファイルに基づいてソースのアクセス権を決定するステップを含み、アクセス権はネットワークにアクセスするソースの権利を定義する。
【0009】
本発明の一態様によれば、ソースプロファイルに基づいてソースのアクセス権を決定するステップはソースプロファイルに基づいてソースのアクセス権を決定するステップを含んでおり、アクセス権は要求されたネットワーク宛先にアクセスするためのソースの権利を定義する。本発明の別の一態様によれば、本方法は、ネットワークへのアクセスを要求するロケーションへロケーション識別子を割り当てるステップを含んでおり、ロケーション識別子はソースと関連する属性である。さらに、本発明によれば、ソースに対応するソースプロファイルにアクセスするステップはソースプロファイルデータベース内に記憶されているソースプロファイルにアクセスするステップを含むことができ、ソースプロファイルデータベースは遠隔認証ダイアルインユーザサービス(remote authentication dial-in user service:以下、「RADIUS」とよぶ。)、又は、軽量ディレクトリアクセスプロトコル(lightweight directory access protocol:以下、「LDAP」とよぶ。)データベースを含む。
【0010】
さらに本発明の別の一態様によれば、本方法は、新規ソースがネットワークにアクセスするときに、ソースプロファイルデータベースを更新するステップを含む。加えて、本方法は、ネットワークへのソースアクセスの履歴ログをソースプロファイルデータベース内に保持するステップを含む。さらに、ソースに関連する属性は、ネットワークへのアクセス要求が伝送されたソースコンピュータに関連するMACアドレス、ユーザID、または、WAN IDに基づくことがありうる。さらに本発明の別の一態様によれば、ゲートウェイ装置においてソースからのアクセスリクエストを受け取るステップはソースからの宛先アドレスを受け取るステップを含みうる。
【0011】
本発明のさらに別の一実施形態によれば、ソースによるネットワークへのアクセスを選択的に制御および個別化するシステムが開示される。この場合のソースはソースコンピュータと関連し、ソースコンピュータはゲートウェイ装置を介してネットワークへのトランスペアレントなアクセスを有し、ネットワークへアクセスするために、ソースコンピュータはコンフィギュレーションソフトウェアをインストールする必要がない。本システムは、ネットワークへアクセスを要求するソースからのリクエストを受信するためのゲートウェイ装置と、ゲートウェイ装置と通信状態にあり、ゲートウェイ装置の外部に設置されたソースプロファイルデータベースとを含む。ソースプロファイルデータベースはソースと関連した属性によって識別可能なアクセス情報を記憶し、属性は、ソースコンピュータから送信され、ゲートウェイ装置によって受信されるデータパケットに基づいて識別される。また、本システムはゲートウェイ装置およびソースプロファイルデータベースと通信状態にあるAAAサーバを含んでおり、AAAサーバは、ソースがソースプロファイルデータベース内に記憶されているアクセス情報に基づいてネットワークにアクセスする資格を与えられているかどうかを決定し、AAAサーバは、ネットワークを介して宛先サイトにアクセスするソースの権利を定義するアクセス権を有するソースのアクセス権を決定する。
【0012】
本発明の一態様によれば、ゲートウェイ装置によって受け取られたパケットは少なくとも1つのVLAN IDと、回線IDと、MACアドレスとを含む。加えて、本発明の別の一態様によれば、ソースプロファイルデータベースはRADIUS、又はLDAPデータベースを含む。さらに、ソースプロファイルデータベースは複数のソースプロファイルを含むことができ、複数のソースプロファイルの各ソースプロファイルはアクセス情報を含む。本発明によれば、各ソースプロファイルはネットワークアクセス料金決定に用いられるネットワークアクセスの持続時間に対する履歴データを含みうる。さらに本発明の別の一態様によれば、ソースプロファイルデータベースはAAAサーバ内に配置することができる。
【0013】
本発明のさらに別の一実施形態によれば、ゲートウェイ装置を介して宛先へのアクセスを試行するソースをリダイレクトする方法が開示され、ソースはソースコンピュータと関連し、ゲートウェイ装置は、ネットワークのためにコンフィギュレーションされるネットワークソフトウェアを含むようにソースコンピュータに要求することなく、ソースがネットワークと通信することができる。本方法は、ゲートウェイ装置においてネットワークにアクセスするためのソースからのリクエストを受け取るステップと、ソースと関連する属性に基づいてソースを識別するステップと、ゲートウェイ装置にとって外部に配置されたソースプロファイルデータベースへアクセスするステップとを含んでおり、ソースプロファイルデータベースはソースのアクセス権を記憶する。さらに、本方法は、ソースの識別に基づいてソースのアクセス権を決定するステップを含んでおり、アクセス権はネットワークを介して宛先サイトにアクセスするソースの権利を定義する。
【0014】
本発明の一態様によれば、ソースプロファイルデータベースにアクセスするステップは、RADIUS、又は、LDAPデータベースを含むソースプロファイルデータベースにアクセスするステップを含む。本発明の別の一態様によれば、本方法は、ネットワークへのアクセスを要求するリクエストを発信したロケーションにロケーション識別子を割り当てるステップを含んでおり、ロケーション識別子はソースと関連する属性である。また、本方法は、新規ソースがネットワークにアクセスするときに、ソースプロファイルデータベースを更新するステップと、ネットワークへのソースのアクセスの履歴ログをアカウントデータベース内に保存するステップとを含んでおり、アカウントデータベースはソースプロファイルデータベースと通信している。
【0015】
さらに、本発明の別の一態様によれば、ゲートウェイ装置においてアクセスに対するソースからのリクエストを受け取るステップはソースからの宛先アドレスを受け取るステップを含みうる。さらに、ソースコンピュータが宛先アドレスにアクセスする資格を有するどうかを決定するステップは、ソースコンピュータのアクセスを拒否するステップをさらに含むことができ、ソースプロファイルはソースコンピュータのアクセスが拒否されたことを示す。ソースがネットワークにアクセスする資格を与えられるかどうかを決定するステップは、ソースプロファイルがソースプロファイルデータベース内に配置されていないときに、ソースをログインページへリダイレクトするステップをさらに含みうる。
【0016】
さらに、本発明のさらに別の一実施形態によれば、コンピュータとサービスプロバイダネットワークとの間のトランスペアレントな通信を可能にするシステムが開示される。本システムは、コンピュータと、コンピュータネットワークにコンピュータを接続するためにコンピュータと通信するネットワークゲートウェイ装置とを含んでおり、ネットワークゲートウェイ装置は上述のコンピュータネットワークにユーザがアクセスしようとすることを示すソースデータを受け取る。また、本システムはネットワークゲートウェイ装置と通信するサービスプロバイダネットワークを含んでおり、サービスプロバイダネットワークは、ネットワークゲートウェイ装置の外部に位置し、ネットワークゲートウェイ装置と通信する認証サーバを含む。認証サーバは、前述のコンピュータネットワークへのアクセスがユーザに認可されたことを表明するソースプロファイルを含むソースプロファイルデータベースを有し、コンピュータネットワークにアクセスするユーザの試行がコンピュータネットワークにアクセス可能であるかどうかを決定するために前述ソースプロファイルとソースデータを比較する。
【0017】
本発明の一態様によれば、本システムはサービスプロバイダネットワークの使用に関する履歴データを保持するためのアカウントシステムを含みうる。本発明の別の一態様によれば、認証サーバは、RADIUS、又は、LDAPデータベースを含む。さらに、ソースプロファイルデータベースは複数のソースプロファイルを含むことができ、複数の各ソースプロファイルのソースプロファイルはアクセス情報を含む。さらに、本発明の別の一態様によれば、ソースデータは、コンピュータと関連し、コンピュータからゲートウェイ装置に伝送される属性を含む。本発明の別の一態様によれば、ソースデータは、それぞれのユーザと関連したログイン情報を含む。
【0018】
本発明に従う認証、認可、及び、アカウントの方法とシステムは、ゲートウェイ装置を使用するコンピュータネットワークにトランスペアレントなアクセスをユーザが実現できるようにする。従って、各ユーザは、ネットワークを介してサービス、サイト、または、宛先へアクセスするそれぞれ異なった権利を有しうる。従って、本発明は、従来型のAAAの方法およびシステムとは異なり、ユーザを認証し、これらのユーザにアクセスしたネットワークを利用するための種々異なる程度の認可を提供する動的なAAAサービスを提供する。さらに、本発明のソースプロファイルデータベースは、アクセスを要求するネットワークに対して非局所的な(non-local)ネットワーク上に、ゲートウェイ装置の外部に配置されうる。有限個のユーザがネットワークにアクセスするのを各ゲートウェイ装置は可能にするように、複数のゲートウェイ装置が必要となりうるため、外部ソースプロファイルデータベースであることが望ましい。加えて、1つの認証データ統合データベースを管理および保持することは、複数の小さいデータベースの場合よりも容易である。さらに、ローカルネットワークにとって外部にデータベースを設置することは、ISPまたは第三者プロバイダがデータベース内に記憶された情報の秘密を保持し、第三者プロバイダが望む任意の仕方においてデータベースを保持および制御することを可能にする。
【0019】
【発明の実施の形態】
(好ましい実施形態の詳細な説明)
次に、添付図面を参照して本発明についてさらに十分に説明することとする。図面には本発明の好ましい実施形態が示される。ただし、本発明は多数の種々異なる形式に具体化することができるので、ここに示す実施形態は限定的な意味をもつものでなく、本開示を完全に徹底的にするために、これらの実施形態が図示されていることを理解されたい。これらの実施形態は、本発明の範囲を当該技術分野における当業者に十分に示すことができるべきものである。図面全体を通じて同等の要素には同等の参照番号が用いられている。
【0020】
図1はコンピュータシステム10のコンフィギュレーション図である。コンピュータシステム10は、複数のコンピュータ14を含む。コンピュータ14は、コンピュータ14と種々のネットワーク20またはオンラインサービス22の間のインタフェースを提供するゲートウェイ装置12を介して1つ以上のオンラインサービス22又はネットワークと通信することができる。この種ゲートウェイ装置の一実施形態については米国特許出願第08/816,174号(ここでは、Gateway Device Application:ゲートウェイ装置出願と称する)に記述されており、引用することによって本明細書の一部をなすものとする。簡潔に言えば、ゲートウェイ装置12は、オンラインサービス22またはネットワーク22へのトランスペアレントなコンピュータ14アクセスを容易にするので、コンピュータ14は、ネットワークコンフィギュレーションには関係なく、デバイス12を介してあらゆるネットワークにアクセス可能である。加えて、ゲートウェイ装置12は、本発明の動的AAA方法およびシステムについて以下に検討するように、ネットワーク12にアクセスしようとするコンピュータと、ネットワークへのアクセスを試行中のコンピュータのロケーションと、ネットワークアクセスを得ようとするユーザの識別と、追加の属性とを認識することができる。
【0021】
図1に示すように、コンピュータシステム10は、複数のコンピュータから受け取る信号をゲートウェイ装置12へのリンク上で多重通信化するために、コンピュータ14とゲートウェイ装置12との間に配置されたアクセス集信装置16を含む。コンピュータ14がアクセスコンセントレータへ接続される媒体に応じて、アクセスコンセントレータ16は異なる様式にコンフィギュレーション可能である。例えば、アクセスコンセントレータは、標準電話線を介して伝送された信号用のデジタルサブスクライバ回線アクセスマルチプレクサ(digital subscriber line access multiplexer:以下、「DSLAM」とよぶ。)や、同軸ケーブル介して伝送された信号用のケーブルヘッドエンド(ケーブルモデムターミナルシェルフ(cable modem termination shelf:CMTS))や、無線ネットワークを介して伝送された信号用の無線アクセスポイント(wireless access point:以下、「WAP」とよぶ。)や、スイッチのようなものでありうる。
【0022】
コンピュータシステム10は、以下に詳細に説明するように、ユーザアクセスを動的に認証および認可するAAAサーバ30をさらに含む。即ち、ユーザがゲートウェイ装置12を介してネットワークへアクセスしようとする場合には、AAAプロセスが適用される。図1に示すように、コンピュータシステム10は、複数のコンピュータネットワーク20又は他のオンラインサービス22に対してトラヒックを制御または直接に指示するために、通常、1つ以上のルータ18、及び/又は、サーバ(図1には図示せず)を含む。コンピュータシステム10は単一ルータを有するものとして図示されているが、コンピュータシステム10は、多様なネットワーク20或いはオンラインサービス22に対してトラヒックを適切に経路指定するために幾らか階層様式に配置コンフィギュレーションされた複数のルータ、スイッチ、ブリッジ等を含みうる。この点に関して、ゲートウェイ装置12は、一般に、1つ以上のルータを備えたリンクを確立する。ルータは、ユーザの選択に基づき、ネットワーク20のサーバ又はオンラインサービス22を備えたリンクを順々に確立する。当該技術分野における当業者であれば、図1に示す1つ以上のデバイスが組み合わせ可能であることを理解できるであろう。例えば、図示されてはいないが、ルータ18は、ゲートウェイ装置12内に完全に配置することができる。
【0023】
ゲートウェイ装置12を介してネットワーク20またはオンラインサービス22にアクセスしようとするユーザ及びコンピュータは以後ソースと称することとする。本発明のAAA方法およびシステムによれば、ゲートウェイ装置12を介してネットワークにアクセスしようとするソースは関連属性に基づいて認証される。これらの属性は、特定のユーザまたはコンピュータの識別や、そこを介してアクセスが要求されるロケーションや、要求されたネットワークまたは宛先等を含みうる。Gateway Device Application(ゲートウェイ装置出願)に詳細に説明されているように、これらの属性は、そこを通ってアクセスが要求されるコンピュータからゲートウェイ装置12へ伝送されるデータパケットによって識別される。本発明の一実施形態による方法およびシステムはこれらの属性に基づいて動的な認証、認可、及び、アカウントを提供する。一般に、ここで使用されるように、認証はソースの識別を意味し、認可は許容可能なソースアクセスの決定を意味し、アカウントはネットワークへのソースアクセスの追跡を意味する。
【0024】
次に、本発明のシステムおよび方法の認証機能について検討することとし、ネットワークアクセスおよびサービスは識別または支払いに関係なく一般に全てのユーザに開かれているので、ネットワークへのアクセスを試みるソースを認証することはネットワーク管理にとってしばしば重要であることを理解されたい。既に述べたように、ソースは、ネットワークまたはサービスにアクセスしようとするソースに関連するコンピュータからデバイスへ伝送されるデータパケット内に含まれる1つ以上の属性によりゲートウェイ装置12によって識別される。前述のコンピュータは、今後、ソースコンピュータと呼ぶこととする。たとえば、ソースがユーザである場合には、ソースコンピュータは、そのコンピュータによってユーザがネットワーク又はネットワーク宛先へとアクセスしようとしているコンピュータを意味する。一方、ソースが、1つ以上のユーザがネットワークへのアクセスに使用する1台のコンピュータである場合には、ソースコンピュータはそれを介してアクセスが要求されるコンピュータである。
【0025】
本発明の一態様によれば、ゲートウェイ装置12を介してネットワークへのアクセスしようとするソースコンピュータは1つ以上の属性によって識別される。上記の属性には、ソースコンピュータによって生成されたデータパケットを介してゲートウェイ装置12に伝送される回線ID、MACアドレス、ユーザ名、ID、及び/又は、パスワード、または、特定のロケーション(例えば、ホテルの部屋における通信ポート)等を含みうる。これについては、「Location-Based Identification and Authorization for use With A Gateway Device」と題する米国仮出願第60/161,093号に記述されている。本発明においては、1つ以上のこれらの属性は、ネットワークへアクセスするソースを識別するために使われることを理解されたい。複数のソースが類似しない認証および認可権利をもつ種々異なるユーザである場合について図解例によって説明することとする。例えば同一コンピュータのような同一設備を使用するにもかかわらず各ユーザが独立して識別できるように、ユーザは各ユーザそれぞれのログイン情報(例えば、ユーザ名およびパスワード)によってユーザ自身を識別することができる。一方、ソースが1台のコンピュータである場合には、各ユーザの個別権利に関係なく権利はそれぞれのユーザでなくてコンピュータに関連するので(例えば、MACアドレスによって識別される)。同一コンピュータを使用する多様なユーザは、同等の認証および認可権利を持つであろう。
【0026】
複数のソースの認証はソースに関連する属性を介して図1に示すAAAサーバ30により実施される。AAAサーバ30はAAAサーバ30によって識別されるソースに対応するソースプロファイルを記憶する。本発明の一態様によれば、AAAサーバ30は完全にゲートウェイ装置12内に配置されている。本発明の別の一態様によれば、AAAサーバ30は複数のコンポーネントを含みうる。これらコンポーネントの少なくとも幾つかはゲートウェイ装置12にとって外部に所在するか、又はその代りに、AAAサーバ30はゲートウェイ装置12にとって完全に外部に配置されることもありうる。例えば、AAAサーバ30のロケーションは、ゲートウェイ装置12がインターネットプロトコルを介してAAAサーバ30と更新するようなロケーションでありうる。本発明の一実施形態によれば、AAAサーバ30は、ISPを介してネットワークと通信することが認可されているソースを識別するISPによって保持されうる。従って、AAAサーバ30は、任意のインターネットアドレスに所在し、インターネットプロトコルを介してアクセス可能なあらゆるコンピュータに記憶されることができることを理解されたい。
【0027】
本発明の一態様によれば、システムにアクセスしている各ソースに関して個別のソースプロファイルが存在する。ソースプロファイルは、AAAサーバ30の内部コンポーネントでありうるソースプロファイルデータベース内、AAAサーバ30の外部のコンポーネント内、又は、AAAサーバ30と通信する個別コンポーネント内に保持される。ソースプロファイルデータベースは、ゲートウェイ装置及びネットワークにとって外部に位置し、ネットワークへの管理的負担を軽減し、その結果として、ネットワークは各ネットワークまたはゲートウェイ装置に個別認証データベースを設定および保持する必要が無くなるようにすることが好ましい。これは、各ゲートウェイ装置12が有限個のユーザがネットワークにアクセスすることを可能にし、ひいては、複数のゲートウェイデバイが多数のソースを収容することを必要とする観点からも好ましい。次に、認証データの1つの統合データベースを管理して保持することは、複数のより小さいデータベースの場合よりも容易である。最後に、ソースプロファイルデータベースをローカルネットワークにとって外部に設置することは、ISPまたは第三者プロバイダがデータベース内に記憶されている情報の機密を保持することを可能にし、第三者プロバイダ(third party provider)が希望する任意の方法でデータベースを保持および制御することができる。
【0028】
ソースプロファイルは、1つ以上の名前と、パスワードと、アドレスと、VLANタグと、MACアドレスおよび識別と、必要に応じて、請求書と、ソースに関係のある他の情報とを含む。ソースがゲートウェイ装置12を介してネットワークへのアクセスしようとする際には、AAAサーバ30は、ソース識別を決定するためにソースプロファイルデータベース内に記憶されているソースプロファイルとゲートウェイ装置12またはソースから受け取った属性とを比較して、当該ソースを認証しようと試みる。図に示すように、ユーザがユーザIDおよびパスワードを入力することにより、ネットワークへのアクセスを試みる場合には、当該ユーザの識別を決定するために、ユーザID及びパスワードはソースプロファイルデータベースに記憶されている全てのIDおよびパスワードに対して比較される。ソースプロファイルデータベースは、一般に、AAAサーバ30内又はゲートウェイ装置12内に位置する処理手段と通信するデータベースまたはデータ記憶手段を含む。この場合には、ソースプロファイルデータベースおよびプロセッサは、当該技術分野においてよく知られているように、受信した属性を記憶されているソースプロファイル情報と比較するために共同で作動する。
【0029】
ソースプロファイルデータベースはプログラム可能な記憶ハードウェアまたは従来型パーソナルコンピュータに設置されているような手段、メインフレームコンピュータ、または、当該技術分野において知られている他の適当な記憶デバイスを含む。加えて、受信したデータをデータベース内データと比較する手段は、例えば、データを比較することができる実行可能なソフトウェアプログラムなどの任意のソフトウェアを含みうる。例えば、AAAサーバ30は、パーソナルコンピュータのハードドライブにソースプロファイルを記憶し、受信したソースデータをコンピュータに常駐するソースプロファイルと比較する手段は、例えば、Microsoft Excel (Microsoft Excelは、Microsoft Corporation, Redmond、Washingtonの登録商標)のようなコンピュータソフトウェアを含みうる。本発明の別の一実施形態によれば、AAAサーバ30またはソースプロファイルデータベースは、当該技術分野における当業者に良く知られているRADIUS、または、LDAPデータベースを含みうる。
【0030】
認証の際に、ソースがAAAサーバ30内のソースプロファイルに合致しなかった場合には、当該ソースはネットワークへのアクセスを許可されない。これが発生すると、ユーザまたは非ユーザソース関連ユーザはAAAサーバ30にソースプロファイル情報を入力するように要求され、その結果、AAAサーバ30は、当該ユーザのプロファイルをAAAサーバ30に加えること、より詳細には、ソースプロファイルデータベースに加えることができる。例えば、このことは、ゲートウェイ装置12へのユーザによる最初のアクセスを試みさせる。本発明の別の一態様によれば、ソースが識別できない場合には、当該ソースは当該ユーザを識別する追加情報を集めるためにログインページへリダイレクトされうる。例えば、情報は、ウェブページ、ポップアップ制御パネル、または、ユーザインタフェースの助力によって入力することができる。上記は、ゲートウェイ装置12にソースが12が最初に接続された時に開かれる。これに関する出願を次に示す。即ち、「Systems And Methods For Redirecting Users Having Transparent Computer Access To A Network Using A Gateway Device Having Redirection Capability」(以下、「リダイレクト出願」とよぶ。)と題する1999年12月8日提出の米国特許出願第09/458,569号と、「Systems And Methods For Redirecting Users Having Transparent Computer Access To A Network Using A Gateway Device Having Redirection Capability」と題する1999年12月8日提出の米国特許出願第09/458,579号と、「Systems and Methods for Redirecting Users Attempting to Access A Network Site」と題する同時提出の米国特許出願であり、発明者はJoel Shortおよび Florence Paganである。これらを引用することにより本明細書の一部をなすものとする。
【0031】
本発明の一態様によれば、AAAサーバ30は、ゲートウェイ装置と通信状態にあるソースをコンピュータユーザにトランスペアレントである方法で識別することができる。すなわち、本発明の一態様によれば、ユーザは識別情報の入力を要求されることなく、ソースコンピュータの再コンフィギュレーションを要求され、又は、ソースコンピュータの一次ネットワーク設定の変更を要求される。さらに、追加コンフィギュレーションソフトウェアはソースコンピュータに追加される必要はない。パケットがゲートウェイ装置によって受信された後で、当該データパケットによって識別された属性はソースプロファイルデータベース内に含まれるデータと比較される。従って、ネットワークへアクセスするコンピュータの再コンフィギュレーションを必要としないことに加えて、本発明のAAAサーバは、例えば、ユーザIDの入力などのコンピュータユーザによる対話型段階を必要とすることなく、ソースを認証する能力を有する。例えば、AAAサーバ30はMACアドレスに基づいて当該ソースを自動的に識別し、結果的に、当該ソースの認可が容易に決定されうる。従って、AAAサーバ30は、受信したデータパケットと関連する属性(例えば、データパケットのヘッダにおいて)を当該ソースプロファイルデータベースから引き出されたデータと比較することによって、当該アクセスを要求したユーザ、コンピュータ、または、ロケーションを決定することができることを理解されたい。以下に述べるように、ソースと関連したアクセス権もソースプロファイルデータベース内に記憶され得るので、本発明のシステム及び方法は、特定のサービスまたは宛先へのアクセスを動的に認可することができる。
【0032】
ソースが上述の認証プロセスを介してネットワークサービス接続を確立すると、ソースコンピュータとネットワークとの間で通信回線を容易にするためにトンネルが開かれ、ゲートウェイ装置12は、ソースプロファイル情報またはソース指向データ(source-specific data)をアセンブルするためにAAAサーバ30と通信する。ゲートウェイ装置がアセンブルするソースプロファイル情報は、MACアドレスと、名前またはIDと、回線IDと、データ関連スキームの設定と、サービスレベルデータと、ユーザプロファイルデータと、遠隔関連データと、当該ソースに関連したこの種データとを含む。従って、AAAサーバ30は、ユーザの認可権利と、次に詳細にのべるようなネットワークの使用とに関係するあらゆる要求情報をゲートウェイ装置12へ伝送することができる。
【0033】
ユーザの認証に加えて、本発明のAAAサーバ30は、これによってソースアクセス権が決定される認可機能を提供する。本発明はソースの動的認可を可能にし、それによって、各ソースがそれぞれ異なるネットワーク使用またはアクセス権を持つようになる。認証の後で、AAAサーバ30は、ユーザ、コンピュータ、ロケーション、または、属性と関連するソースのアクセス権とソースの属性とを比較する。アクセス権は、ソースプロファイルデータベース内またはゲートウェイ装置12にとって内部または外部に位置する個別加入データベース内に記憶されうる。従って、認証のためのソースに関する識別情報が記憶される場合には、個別データベースが利用され、他のデータベースは認証済みのこれらソースのアクセス権を記憶する。ただし、属性または属性の組み合わせによって識別される全てのソースのプロファイルはソースプロファイルデータベースに記憶されるため、アクセス権に関する情報は上述したように認証された各ソースに関する情報を既に含むソースプロファイルデータベース内に配置されることが有利となりうる。
【0034】
本発明の一態様によれば、ソースプロファイルデータベースはソースのアクセス権を定義する情報を記憶する。例えば、ソースプロファイルデータベースは、特定のMACアドレスを有するソースがプリペイドアクセスを取得したこと、又は、所与の回線IDがフリーアクセス又は無制限アクセスを有することを表示する情報を含みうる。ホテルの1つ以上の特別室、例えば、スイートルーム及び高級アパートは自由な無制限インターネットアクセスを得られることもありうる。従って、アクセス権はソースロケーション(例えば部屋)、または、ロケーションの状態(例えばスイートルーム)に付随して利用可能である。このような状況においては、そこからソースがアクセスを請求しているロケーションはゲートウェイ装置にとっては既知であり、ソースプロファイルデータベースに記憶されているのでそれ以上の識別は必要とされない。
【0035】
認可されているアクセスの対象に関する情報を記憶することに加えて、ソースプロファイルデータベースは、例えば、ソースのアクセス帯域幅、またはソースが方向付けされるべきホームページなどのような特定のソースに関連した特殊化されたアクセス情報も含みうる。例えば、高級アパートからネットワークにアクセスするユーザは、一般的なホテルの部屋からネットワークへアクセスする者よりもさらに高いアクセスボーレートを利用可能な場合もありうる。例えば、ユーザがホテルの部屋からゲートウェイ装置にトランスペアレントにアクセス中である場合には、ホテルネットワークアドミニストレータは、当該ホテルの部屋に関連したアクセス権に基づいて、ユーザアクセス情報をソースプロファイルデータベースに入れることもできる。また、これは、ユーザが自身の部屋をチェックするときには、ゲートウェイ装置または例えばホテル資産管理システムなどのようなローカル管理システムによって自動的に実行することができる。加えて、ユーザは、ゲートウェイ装置へ最初にアクセスする際にソースプロファイルデータベース内に当該情報を含むように確立することもできる。例えば、新規ユーザは、クレジットカード番号、電子札入口座勘定情報、プリペイド電話カード番号またはシステムへのアクセスを獲得するためのこのような請求書情報を入力するように指示される。また、ソースプロファイルはネットワークへのソースアクセスに関する履歴データを含みうる。この履歴データは、ソースが当該ネットワークにアクセスした時間量も含む。ソースプロファイルデータベース内に含まれる特殊化されたアクセスまたはアカウント情報は、システムアドミニストレータにより、または、当該ネットワークへのアクセスを取得または確立したソースによって確立されることもありうる。
【0036】
本発明の一態様によれば、AAAサーバ30の認可能力は当該ソースがアクセスを試行しつつあるサービスのタイプに基づくことがあり得る。例えば、ソースコンピュータから受信したデータに基づいて識別される宛先アドレスがこの例である。宛先は、宛先ポートや、インターネットアドレスや、TCPポートや、ネットワーク等でありうる。さらに、AAAサーバ30の認可能力は、伝送されつつある内容のタイプ又はプロトコルに基づくことがありうる。本発明のシステム及び方法によれば、各パケットは、選択的なAAAプロセスを経て伝送され、結果的に、あらゆる又は全てのソースにとって、それぞれのソースに関連するアクセス権に基づいて特定の宛先へのアクセスが認可されることがありうる。従って、本発明によれば、ソースが異なる宛先へのアクセスを試みる度に、当該ソースはAAAに関して検査され、その結果、当該ソースはAAAサーバ30が当該ソースの認可に基づいて当該ソースにはアクセスできないとみなされた特定のサイトへのアクセスが阻止されることがありうる。その代りに、本発明に従ったAAA方法は、幾らか又は全てのソースが特定サイトに直接接続することを許可し、例えば、クレジットカードまたは料金情報収集のための料金サーバ等の場合のように、支払い又は料金情報を収集することができ、その結果としてソースプロファイルが更新されることができ、その後に当該ソースのネットワークへのアクセスが認可される。本発明のシステム及び方法によれば、ソースの認可も、例えば、特定時間を対象とする場合のように目的指向の判断基準に依存することができ、その結果、特定の時間が経過した後に、又は、ネットワークプロバイダによって決定された他の動的情報によって、セッションが特定時刻に終結させられる。さらに、認可は属性の組み合わせと関連することがありうる。例えば、ユーザがユーザの識別を入力し、特定の部屋からネットワークへアクセスした場合には、ユーザはネットワークへのアクセスが認可される。このような必要条件は特定の部屋に滞在中の認可されていないユーザがネットワークアクセスを取得することを防止する。従って、AAAは、発信元、宛先、及び、トラヒックのタイプに基づくことがありうる。
【0037】
更なる説明のために、本発明の一態様によるAAAサーバ30の操作のフローチャートを図2に示す。作動に際して、ソースコンピュータは、ネットワーク、宛先、サービス等へのアクセスをリクエストする(ブロック200)。AAAサーバ30へ伝送されたパケットを受け取ると、AAAサーバ30はパケットを調査して当該ソースの識別を決定する(ブロック210)。パケットを介して伝送された属性はソースプロファイルデータベースへ一時的に記憶され、このため、当該データは当該ソースの認可権利決定に使用するために調査される。パケットに含まれている属性は、ネットワーク情報や、ソースIPアドレスや、ソースポートや、リンク層情報や、ソースMACアドレスや、VLANタグや、回線IDや、宛先IPアドレスや、宛先ポートや、プロトコルタイプや、パケットタイプ等を含みうる。この情報が識別されて記憶された後に、ソースから要求されたアクセスは当該ソースの認可に対して一致させられる(ブロック230)。
【0038】
ソースプロファイルデータベースに記憶されている認可権利にアクセスすることによって、ソースプロファイルが決定されると、3つの可能性のあるアクションに帰着する。詳細には、ソースの認可権利が読み出されると、AAAサーバ30は、アクセス222によって保留或いは処理中224になるか、又はアクセスしない(226)かのいずれかである。第1の場合は、ソースは有効である(即ち、アクセスする)と見なされ、ソースプロファイルデータベースはそのように表明する。ソースが有効であると決定されると、ソースのトラヒックはゲートウェイ装置から出てネットワーク或いはオンラインサービスへ進行可能になり、当該ソースと関連するユーザはアクセスすることを望む(ブロック230)。その代りに、ソースは、要求されたネットワークへのアクセスが可能になる以前に、リダイレクト出願(Redirecting Application)に記述されているように、当該ソースはポータルページにリダイレクトされる。例えば、ユーザがユーザのホテルの部屋と関連したフリーアクセスが可能な場合には、インターネットアドレスのように、ユーザが、ユーザ入力宛先アドレスへ自動的に転送されるようにすることができる。その代りに、ユーザが既にアクセスを取得していて、利用可能なアクセス時間を使い果たしていない場合には、この状態が発生する。さらに、ユーザがゲートウェイ装置を利用しつつある時間量を記録するようにアカウントメッセージが開始され230、結果的に、ユーザまたはロケーションはアクセスに対して課金される。
【0039】
第2シナリオ(scenario)が発生すると、当該ソースは未決定224または進行中と見なされ、ソースは認証済みになる段階に達し(ブロック240)、結果として、ソース情報はソースプロファイルデータベースに記録される。例えば、ユーザは取得合意に入らなければならず、ユーザはクレジットカード番号の入力を要求されることがありうる。ユーザがアクセスを取得する必要があるか、または、システムがユーザに関する追加情報を必要とするならば、ユーザは、Home Page Redirect(HPR)と、Stack Address Translation(SAT)とを介して、ポータルページから、例えば新規ユーザを有効化するために確立されたログインページのようなロケーションへリダイレクトされうる。SAT及びHPRは、ユーザをウェーブサーバ(外部または内部)へ導くために介在しうる。ここで、ユーザはログインおよび自身の識別を実施しなければならない。このプロセスはRedirecting Application(リダイレクト出願)に詳細に記述されている。そして、必要で十分な情報を入力した後に、ユーザに宛先アドレスへのアクセスが許可される(ブロック230、250)。提供された情報が不十分である場合には、ユーザのアクセスは認可されない(ブロック260)。最終的に、第3シナリオが発生し、当該ソースはアクセスできないものと見なされ(226)、結果的に、ユーザはネットワークを介して宛先にアクセスすることが許可されない。
【0040】
次に、本発明のシステムおよび方法のアカウント機能について参照することとし、ソースネットワークアクセスの認可に際して、AAAサーバ30は、当該ソースがネットワークへアクセスしつつあることを識別するためにアカウント開始を格納(レジスタ)することができる。同様に、ソースがネットワークセッションをログオフ又は終結させる時には、アカウント停止がAAAサーバ30によって格納可能である。アカウントの開始または停止は、所要宛先へのアクセスのソースへの認証または認可に際してゲートウェイ装置12またはAAAサーバ30により識別される。さらに、アカウント開始または停止はソースプロファイルに格納可能であるか、又は、AAAサーバ30から分離し、ネットワークにとって外部に位置するデータベースに記憶される。一般に、アカウント開始および停止はソースがネットワークにアクセスしていた時間量を示すタイムスタンプを含む。このデータを用いて、アカウント開始と停止の間の時間を算定することが可能であり、結果的に、ソースの全接続時間が算定可能である。ソースが時間のインクリメント、例えば増し分1時間単位で課金される場合には、この種の情報は価値がある。当該技術分野においてよく知られているように、ビリング・パッケージは、設定期間、例えば1ケ月に亙ってネットワークにアクセスしたユーザの全時間を合計し、ソースに関する請求書が作成される。ネットワークおよびISPは、ネットワークへのアクセスに費やされた時間には無関係に、特定期間、例えば1ヶ月に亙って設定されたレート(すなわち、均一レート価格付け)に課金することがありうるので、アカウント停止および開始は課金目的には必要とされないこともありうる。それでもなお、アカウント開始および停止は、一般に、ネットワークプロバイダまたはISPによって記録されることがある。
【0041】
ISPまたは類似のアクセスプロバイダは、請求書、履歴レポート、および、他の関連情報を確立するためにサブスクライバのISP使用を追跡することが可能であることから追加的な利益を得ることができるであろう。ソースに課金可能なあらゆる料金を決定するために、または、ネットワークアクセスまたはサービスに関するソースからの料金を算定するために、AAAサーバ30は1つ以上のプロセッサと通信状態にあることが好ましい。AAAサーバ30は、実時間ベースにおいて、又は、特定期間が経過した後に、履歴アカウントデータを検索する。AAAサーバ30は、アクセスプロバイダ(例えばISP)があらゆる必要な履歴データを表すレポートの作成を可能にするために、容易にアクセス可能であって、取り扱い易いフォーマットにおけるこのようなデータを保持することが好ましい。例えば、アクセスプロバイダが将来使用することを企画するために、AAAサーバ30は、特定の現場から、ある時限でインターネットにアクセスするユーザの個数を計算するレポートを生成する。さらに、アクセスプロバイダが代替アクセスをユーザに提供する場合には、追加料金に関して、さらに迅速な接続(即ち、さらに高いボーレート)への課金のために、アクセスプロバイダは、将来の顧客需要に最もよく適合させるようにAAAサーバ30を用いて履歴データを分析することを望むはずである。このようなデータは、現在進行中のネットワークセッションと、現在使われつつある帯域幅と、伝達されているバイト数と、他のあらゆる関係情報とに関係するであろう。AAAサーバ30は、例えば、Eclipse Internet Billing System、Kenan Broadband Internet Billing Software(Lucent Technologies製)、または、TRU RADIUS Accountantなどの周知のプログラムを用いて実現することができる。
【0042】
AAAサーバ30は、アクセスがソースベースにおいてソースに対してカスタマイズされるような方法により、ネットワークへのソースアクセスを動的に取り扱うことができる。即ち、AAAサーバ30は、ソースの識別、ソースロケーション、ソースが要求する宛先等に応じて変化するアカウント記録を保持することができる。アクセスまたは認可権利と同様に、この情報はソースプロファイルデータベースまたは類似のアカウントデータベースに保持することができる。例えば、AAAサーバ30は、特定のソースが特定のサイトへのアクセスにのみ課金されることと、これらの特定サイトがアクセスされた時に、1つのアカウントサイトのみを格納することとを決定することができる。従って、AAAサーバ30は、アカウント開始やアカウント停止や課金レート等を決定するためにサブスクライバソースプロファイルに記憶されているアカウント情報を識別する。
【0043】
当該技術分野における当業者には、前述の記述および添付図面において呈示された教示の利益を本発明が保持した状態で本発明の多くの改変および別の実施形態が構想できるはずである。従って、本発明は開示された特定の実施形態に限定されるものでなく、改変された、および別の実施形態は添付の特許請求の範囲内に含まれることを意図したものであることを理解されたい。ここでは特定の用語使用されているが、これらは総称的で記述的な意味のみに使用されるものであって、制限を目的とするものではない。
【図面の簡単な説明】
【図1】 本発明の一実施形態によるネットワーク、及び/又は、オンラインサービスにアクセスする認証、認可、及び、アカウントソース用AAAサーバを含むコンピュータシステムのブロック図である。
【図2】 本発明の一実施態様によるAAAサーバが認証、認可、及び、アカウントを実施する方法を示すフローチャートである。
【符号の説明】
12 ゲートウェイ装置
14 コンピュータ
16 アクセスコントローラ
18 ルータ
20 ネットワーク
22 オンラインサービス
24 DHCPサーバ
30 AAAサーバ

Claims (32)

  1. ユーザのコンピュータによって、ネットワークへのクセスを選択的に制御してカスタマイズする方法であって、該コンピュータがゲートウェイ装置に接続されており、
    前記ネットワークアクセスするために前記ンピュータからのリクエストを前記ゲートウェイ装置で受け取るステップと、
    前記ユーザに識別情報を入力させることなく、前記ンピュータから伝送され、前記ゲートウェイ装置によって受信されたパケットに基づいて前記コンピュータと関連する属性を識別するステップと、
    前記ユーザに対応し、ユーザプロファイルデータベースに記憶されているユーザプロファイルにアクセスするステップであって、該ユーザプロファイルが前記属性に基づいてアクセスされ、前記ユーザプロファイルデータベースが、前記ゲートウェイ装置の外部に配置され、前記ゲートウェイ装置と通信しているステップと、
    前記ユーザプロファイルに基づいて前記ユーザのアクセス権を決定するステップであって、アクセス権が前記ネットワークにアクセスするための前記ユーザの権利を定義するステップと
    前記ユーザに識別情報を入力させることなく、前記コンピュータを識別する情報をもつ前記ユーザプロファイルデータベースを更新するステップと
    を含んでなり、
    前記ソースコンピュータは、前記ソースコンピュータから伝送される前記パケットが前記ゲートウェイ装置によって変更されないように、前記ゲートウェイ装置を介して前記ネットワークへのトランスペアレントなアクセスを有しており、前記ネットワークへアクセスするために前記ソースコンピュータにコンフィギュレーションソフトウェアをインストールする必要がないものであることを特徴とする方法。
  2. 前記ユーザプロファイルに基づいて前記ユーザの前記アクセス権を決定するステップが、前記ユーザプロファイルに基づいて前記ユーザの前記アクセス権を決定することを含み、前記アクセス権が、要求されたネットワーク宛先にアクセスする前記ユーザの権利を定義する請求項1に記載の方法。
  3. 前記ネットワークへのアクセスに関するリクエストからの前記ロケーションにロケーション識別子を割り当てるステップをさらに含んでおり、該ロケーション識別子が前記ユーザに関連する前記属性である請求項1に記載の方法。
  4. 前記ユーザに対応するソースプロファイルにアクセスするステップが、ユーザプロファイルデータベースに記憶されているユーザプロファイルにアクセスすることを含み、該ユーザプロファイルデータベースが、遠隔認証ダイアルインユーザサービスを含んでいる請求項1に記載の方法。
  5. 前記ユーザに対応するユーザプロファイルへアクセスするステップが、ユーザプロファイルデータベースに記憶されているユーザプロファイルにアクセスするステップを含み、前記ユーザプロファイルデータベースがLDAPデータベースを含んでいる請求項1に記載の方法。
  6. 前記ネットワークにアクセスするときに、新規ユーザが前記ユーザプロファイルデータベースを更新するステップを含んでいる請求項1に記載の方法。
  7. 前記ネットワークへの前記ユーザのアクセスの履歴ログを前記ユーザプロファイルデータベース内に保持するステップをさらに含んでいる請求項1に記載の方法。
  8. 前記コンピュータに関連する前記属性が、前記ネットワークへのアクセスに対するリクエストからの前記ンピュータに関連するMACアドレス、ユーザID、または、VLAN IDの1つに基づいている請求項1に記載の方法。
  9. アクセスに対する前記ユーザからのリクエストを前記ゲートウェイ装置において受け取るステップが、前記コンピュータからの宛先アドレスを受け取る前記ステップを含んでいる請求項1に記載の方法。
  10. ユーザのコンピュータによるネットワークへのアクセスを選択的に制御してカスタマイズするシステムであって、
    前記ネットワークへのアクセスに対する前記コンピュータからのリクエストを伝送する通信リンクと、
    前記システムと通信し、前記システムに対して外部に配置されたロファイルデータベースであって、該ロファイルデータベースが前記コンピュータと関連する属性によって識別可能なアクセス情報を記憶し、前記ンピュータから伝送されて前記システムによって受信されるデータパケットに基づいて前記属性が識別されるようなロファイルデータベースと、
    前記システム及びロファイルデータベースと通信する認証、認可、及びアカウントサーバであって、前記ロファイルデータベース内に記憶されている前記アクセス情報に基づいて、前記ユーザが前記ネットワークへアクセスする資格を与えられているかどうかを前記認証、認可、及びアカウントサーバが決定し、前記認証、認可、及びアカウントサーバが、前記ユーザのアクセス権を決定し、アクセス権が、前記ネットワークを介して宛先サイトにアクセスする前記ユーザの権利を定義するような認証、認可、及びアカウントサーバと
    を含んでなり、
    前記システムは、前記ユーザに識別情報を入力させることなく、前記コンピュータを識別する情報をもつ前記プロファイルデータベースを更新することを特徴とするシステム。
  11. 前記システムによって受信される前記パケットが、VLAN IDと、回線IDと、MACアドレスとの中の少なくとも1つを含んでいる請求項10に記載のシステム。
  12. 前記ロファイルデータベースが、遠隔認証ダイアルインユーザサービスを含む請求項10に記載のシステム。
  13. 前記ソースプロファイルデータベースが、LDAPデータベースを含んでいる請求項10に記載のシステム。
  14. 前記プロファイルデータベースが複数のロファイルを含み、前記複数のロファイルの各々がアクセス情報を含んでいる請求項10に記載のシステム。
  15. ロファイルの各々が、前記ネットワークアクセス料金の決定に用いられる前記ネットワークアクセスの持続時間に関する履歴データを含んでいる請求項14に記載のシステム。
  16. 前記ロファイルデータベースが、前記認証、認可、及びアカウントサーバ内に配置されている請求項10に記載のシステム。
  17. ネットワークシステムを介して宛先にアクセスしようとするユーザのコンピュータをリダイレクトする方法であって、
    前記ネットワークへアクセスするための前記ソースからのリクエストを前記ネットワークシステムで受け取るステップと、
    前記ユーザに識別情報を入力させることなく、前記コンピュータと関連する属性に基づいて前記ユーザを識別するステップと、
    前記ネットワークコンピュータの外部に配置されたロファイルデータベースにアクセスするステップであって、前記ロファイルデータベースが前記ユーザのアクセス権を記憶するステップと、
    前記ユーザの識別に基づいて前記ユーザの前記アクセス権を決定するステップであって、前記アクセス権が、前記ネットワークを介して宛先サイトにアクセスするように前記ユーザの前記権利を定義するステップと
    前記ユーザに識別情報を入力させることなく、前記ユーザを識別する情報をもつ前記ユーザプロファイルを更新するステップと
    を含んでな方法。
  18. ロファイルデータベースにアクセスするステップが、遠隔認証ダイアルインユーザサービスを含むロファイルデータベースにアクセスするステップを含んでいる請求項17に記載の方法。
  19. ロファイルデータベースにアクセスするステップが、LDAPデータベースを含むロファイルデータベースにアクセスするステップを含んでいる請求項17に記載の方法。
  20. 前記ネットワークへのアクセスに対するリクエストからのロケーションにロケーション識別子を割り当てるステップをさらに含んでおり、前記ロケーション識別子が前記コンピュータに関連する前記属性である請求項17に記載の方法。
  21. 前記ネットワークにアクセスするときに、新規ユーザが前記ロファイルデータベースを更新するステップをさらに含んでいる請求項17に記載の方法。
  22. アカウントデータベース内に前記ネットワークへの前記ユーザのアクセスの履歴ログを保持するステップをさらに含んでおり、前記アカウントデータベースが前記ロファイルデータベースと通信している請求項17に記載の方法。
  23. 前記ユーザからのリクエストを前記ネットワークシステムで受け取るステップが、前記ユーザから宛先アドレスを受け取ることを含んでいる請求項17に記載の方法。
  24. 前記ユーザの前記アクセス権を決定するステップが、前記ンピュータのアクセスを拒否することをさらに含んでおり、前記ンピュータのアクセスが拒否されたことを前記ロファイルが示す請求項17に記載の方法。
  25. 前記ユーザの前記アクセス権を決定するステップは、前記ユーザに一致するプロファイルが前記ロファイルデータベース内に見出せないときには、前記ユーザをログインページにリダイレクトするステップをさらに含んでいる請求項17に記載の方法。
  26. コンピュータとサービスプロバイダネットワークとの間のトランスペアレントな通信を可能にするシステムであって、
    コンピュータと、
    コンピュータネットワークに該コンピュータを接続するために該コンピュータと通信しているネットワークゲートウェイ装置であって、該ネットワークゲートウェイ装置によって前記コンピュータネットワークへのユーザがアクセスしようとすることを示すソースデータを、前記ユーザに識別情報を入力させることなく、受け取るようなネットワークゲートウェイ装置と、
    該ネットワークゲートウェイ装置と通信しているサービスプロバイダネットワークであって、前記ネットワークゲートウェイ装置の外部に配置され、前記ネットワークゲートウェイ装置と通信状態にあり、さらに前記コンピュータネットワークにユーザがアクセスする認可を得ていることを表すソースプロファイルを含むソースプロファイルデータベースをその中に有する認証サーバを含んでおり、前記ユーザがアクセスしようとする前記コンピュータネットワークにアクセスできるかどうかを決定するために、前記認証サーバが前記ソースデータと前記ソースプロファイルとを比較するようなサービスプロバイダネットワークと
    を含んでなり、
    前記システムは、前記ユーザに識別情報を入力させることなく、前記コンピュータを識別する情報をもつ前記ソースプロファイルデータベースを更新するものであることを特徴とするシステム。
  27. 前記サービスプロバイダネットワークの使用に関する履歴データを保持するアカウントシステムをさらに含んでいる請求項26に記載のシステム。
  28. 前記認証サーバが、遠隔認証ダイアルインユーザサービスを含んでいる請求項26に記載のシステム。
  29. 前記認証サーバが、LDAPデータベースを含んでいる請求項26に記載のシステム。
  30. 前記ソースプロファイルデータベースが複数のソースプロファイルを含み、該複数のソースプロファイルの各々のソースプロファイルがアクセス情報を含んでいる請求項26に記載のシステム。
  31. 前記ソースデータが、前記コンピュータと関連し、前記コンピュータから前記ゲートウェイ装置に伝送される属性を含んでいる請求項26に記載のシステム。
  32. 前記ソースデータがそれぞれのユーザと関連するログイン情報を含んでいる請求項26に記載のシステム。
JP2001533680A 1999-10-22 2000-10-20 動的なネットワークの認可、認証、及びアカウントを提供するシステムおよび方法 Expired - Lifetime JP5084086B2 (ja)

Applications Claiming Priority (19)

Application Number Priority Date Filing Date Title
US16097399P 1999-10-22 1999-10-22
US16089099P 1999-10-22 1999-10-22
US16118199P 1999-10-22 1999-10-22
US16118999P 1999-10-22 1999-10-22
US16113999P 1999-10-22 1999-10-22
US16118299P 1999-10-22 1999-10-22
US16109399P 1999-10-22 1999-10-22
US60/161,139 1999-10-22
US60/160,890 1999-10-22
US60/161,181 1999-10-22
US60/160,973 1999-10-22
US60/161,093 1999-10-22
US60/161,189 1999-10-22
US60/161,182 1999-10-22
US09/458,602 1999-12-08
US09/458,569 US6636894B1 (en) 1998-12-08 1999-12-08 Systems and methods for redirecting users having transparent computer access to a network using a gateway device having redirection capability
US09/458,602 US8713641B1 (en) 1998-12-08 1999-12-08 Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US09/458,569 1999-12-08
PCT/US2000/029174 WO2001031843A2 (en) 1999-10-22 2000-10-20 Systems and methods for providing dynamic network authorization, authentication and accounting

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2010167190A Division JP4791589B2 (ja) 1999-10-22 2010-07-26 動的なネットワークの認可、認証、及びアカウントを提供するシステムおよび方法

Publications (3)

Publication Number Publication Date
JP2003513514A JP2003513514A (ja) 2003-04-08
JP2003513514A5 JP2003513514A5 (ja) 2007-12-06
JP5084086B2 true JP5084086B2 (ja) 2012-11-28

Family

ID=27578600

Family Applications (4)

Application Number Title Priority Date Filing Date
JP2001533719A Expired - Lifetime JP5047436B2 (ja) 1999-10-22 2000-10-20 ネットワークサイトへのアクセスを試みるユーザをリダイレクトするシステム及び方法
JP2001533680A Expired - Lifetime JP5084086B2 (ja) 1999-10-22 2000-10-20 動的なネットワークの認可、認証、及びアカウントを提供するシステムおよび方法
JP2010069550A Expired - Lifetime JP4846036B2 (ja) 1999-10-22 2010-03-25 ネットワークサイトへのアクセスを試みるユーザをリダイレクトするシステムおよび方法
JP2010167190A Expired - Lifetime JP4791589B2 (ja) 1999-10-22 2010-07-26 動的なネットワークの認可、認証、及びアカウントを提供するシステムおよび方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2001533719A Expired - Lifetime JP5047436B2 (ja) 1999-10-22 2000-10-20 ネットワークサイトへのアクセスを試みるユーザをリダイレクトするシステム及び方法

Family Applications After (2)

Application Number Title Priority Date Filing Date
JP2010069550A Expired - Lifetime JP4846036B2 (ja) 1999-10-22 2010-03-25 ネットワークサイトへのアクセスを試みるユーザをリダイレクトするシステムおよび方法
JP2010167190A Expired - Lifetime JP4791589B2 (ja) 1999-10-22 2010-07-26 動的なネットワークの認可、認証、及びアカウントを提供するシステムおよび方法

Country Status (11)

Country Link
EP (3) EP1222791B1 (ja)
JP (4) JP5047436B2 (ja)
CN (2) CN1314253C (ja)
AT (3) ATE432561T1 (ja)
AU (2) AU779137B2 (ja)
CA (3) CA2388623C (ja)
DE (3) DE60020588T2 (ja)
ES (1) ES2243319T3 (ja)
HK (1) HK1135534A1 (ja)
IL (3) IL149227A0 (ja)
WO (2) WO2001031843A2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8613053B2 (en) 1998-12-08 2013-12-17 Nomadix, Inc. System and method for authorizing a portable communication device
US8725888B2 (en) 1998-12-08 2014-05-13 Nomadix, Inc. Systems and methods for providing content and services on a network system
US11949562B2 (en) 2011-01-18 2024-04-02 Nomadix, Inc. Systems and methods for group bandwidth management in a communication systems network

Families Citing this family (98)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7194554B1 (en) 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US6865169B1 (en) 1999-11-02 2005-03-08 Ipwireless, Inc. Cellular wireless internet access system using spread spectrum and internet protocol
US8463231B1 (en) * 1999-11-02 2013-06-11 Nvidia Corporation Use of radius in UMTS to perform accounting functions
US8117291B1 (en) 1999-11-02 2012-02-14 Wireless Technology Solutions Llc Use of internet web technology to register wireless access customers
SE523113C2 (sv) * 2000-08-11 2004-03-30 B2 Tech Ab C O Bredbandsbolage System för styrning och övervakning av residentiell styrning inom ett bredbandsnät
US20030041268A1 (en) * 2000-10-18 2003-02-27 Noriaki Hashimoto Method and system for preventing unauthorized access to the internet
US6850983B2 (en) * 2001-09-18 2005-02-01 Qualcomm Incorporated Method and apparatus for service authorization in a communication system
WO2003034687A1 (en) * 2001-10-19 2003-04-24 Secure Group As Method and system for securing computer networks using a dhcp server with firewall technology
JP2003150627A (ja) * 2001-11-13 2003-05-23 Ntt Docomo Inc サービス情報提供システム、サービス情報提供方法
KR100445422B1 (ko) * 2001-11-20 2004-08-25 한국전자통신연구원 다이아메터 기반 에이에이에이 시스템에서 티엘에스를이용한 보안 전송 계층 연결 설정 방법
EP1331784A1 (en) * 2002-01-21 2003-07-30 Tric Ab A method for providing access to contents on a network based on content access rights
US7103659B2 (en) 2002-04-09 2006-09-05 Cisco Technology, Inc. System and method for monitoring information in a network environment
DE10215848A1 (de) * 2002-04-10 2003-10-23 Bosch Gmbh Robert Verfahren zum Austausch nutzer und/oder gerätespezifischer Daten zwischen nutzerseitigen Einrichtungen und einem Diensteanbieter
ATE313201T1 (de) 2002-04-22 2005-12-15 Bedienerauswählender server, methode und system für die beglaubigung, ermächtigung und buchhaltung
SE524173C2 (sv) * 2002-05-06 2004-07-06 Telia Ab Anordning och förfarande för att dirigera enheter till korrekt resurs på en tjänsteplattform
US6954793B2 (en) * 2002-05-13 2005-10-11 Thomson Licensing S.A. Pre-paid data card authentication in a public wireless LAN access system
ATE341144T1 (de) 2002-07-12 2006-10-15 Cit Alcatel Firewall zur dynamishen zugangsgewährung und - verweigerung auf netzwerkressourcen
DE10246692B4 (de) * 2002-10-07 2006-02-23 Siemens Ag Verfahren zur Einrichtung oder Änderung teilnehmerbezogener Einträge in einer Datenbank
US7284062B2 (en) * 2002-12-06 2007-10-16 Microsoft Corporation Increasing the level of automation when provisioning a computer system to access a network
US20040122959A1 (en) * 2002-12-19 2004-06-24 Lortz Victor B. Automatic wireless network login using embedded meta data
FR2851104A1 (fr) * 2003-02-10 2004-08-13 France Telecom Procede et systeme d'authentification d'un utilisateur au niveau d'un reseau d'acces lors d'une connexion de l'utilisateur au reseau internet
CN1306779C (zh) * 2003-03-18 2007-03-21 华为技术有限公司 一种ip网络中的媒体流处理方法
US7490348B1 (en) 2003-03-17 2009-02-10 Harris Technology, Llc Wireless network having multiple communication allowances
DE10315803B4 (de) * 2003-03-31 2009-06-18 Nokia Siemens Networks Gmbh & Co.Kg Verfahren zum Erheben von Gebühren
CN100550955C (zh) * 2003-05-26 2009-10-14 华为技术有限公司 大容量宽带接入方法及系统
US7163305B2 (en) 2003-06-25 2007-01-16 Gemtron Corporation Illuminated shelf
CN100396046C (zh) * 2003-07-10 2008-06-18 华为技术有限公司 一种实现授权验证的方法及其授权验证处理模块
FR2859849A1 (fr) * 2003-09-16 2005-03-18 France Telecom Procede et systeme de controle de l'utilisation d'un point d'acces a un reseau, et supports d'enregistrement, point d'acces et equipement de controle pour la mise en oeuvre du procede
US7853705B2 (en) * 2003-11-06 2010-12-14 Cisco Technology, Inc. On demand session provisioning of IP flows
AU2003290477A1 (en) 2003-12-16 2005-07-05 Telefonaktiebolaget Lm Ericsson (Publ) Ethernet dsl access multiplexer and method providing dynamic service selection and end-user configuration
CN1642164B (zh) * 2004-01-05 2010-05-12 华为技术有限公司 一种用户上网强制重定向的方法
CN1922592A (zh) * 2004-02-23 2007-02-28 日本电气株式会社 入口站点提供系统和其中使用的服务器、方法及程序
DE602004017566D1 (de) * 2004-03-02 2008-12-18 Alcatel Lucent Ein Verfahren zur Zugriffserteilung auf ein Kommunikationsnetzwerk und entsprechende Einrichtung
PT1735983E (pt) 2004-04-14 2008-05-15 Telecom Italia Spa Método e sistema para gerir distribuição de conteúdos em redes de comunicação
EP1736849A1 (en) * 2004-04-15 2006-12-27 Matsushita Electric Industrial Co., Ltd. Access control device and electronic device
US8688834B2 (en) 2004-07-09 2014-04-01 Toshiba America Research, Inc. Dynamic host configuration and network access authentication
CN100466659C (zh) * 2004-07-13 2009-03-04 华为技术有限公司 一种自动配置终端设备的方法
EP1635528A1 (en) * 2004-09-13 2006-03-15 Alcatel A method to grant access to a data communication network and related devices
MY149845A (en) * 2005-03-22 2013-10-31 British Telecomm Method and apparatus for locating mobile device users within a wireless computer network
EP1710982A1 (en) * 2005-04-04 2006-10-11 Alcatel Authentication method and authentication unit
US7730215B1 (en) * 2005-04-08 2010-06-01 Symantec Corporation Detecting entry-portal-only network connections
EP1758426A1 (en) 2005-08-24 2007-02-28 Alcatel Network device, interface device and method for exchanging packets
CN100442696C (zh) * 2005-09-23 2008-12-10 华为技术有限公司 无线接入网中的计费方法及系统
JP2007174062A (ja) * 2005-12-20 2007-07-05 Canon Inc データ通信装置、データ通信システム、データ通信方法、及びそのプログラム
GB0610113D0 (en) 2006-05-20 2006-06-28 Ibm Method and system for the storage of authentication credentials
EP1860589B1 (en) * 2006-05-26 2013-11-27 Incard SA Method for accessing structured data in IC Cards
JP4921864B2 (ja) * 2006-06-16 2012-04-25 株式会社東芝 通信制御装置、認証システムおよび通信制御プログラム
ITTO20070853A1 (it) * 2007-11-26 2009-05-27 Csp Innovazione Nelle Ict Scar Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali
EP2138947A1 (en) * 2008-05-30 2009-12-30 Koninklijke KPN N.V. Service interface server
US8532694B2 (en) * 2008-12-30 2013-09-10 Qualcomm Incorporated Interface authorization scheme
CN101465856B (zh) * 2008-12-31 2012-09-05 杭州华三通信技术有限公司 一种对用户进行访问控制的方法和系统
EP2249540B1 (en) * 2009-05-04 2020-03-18 Alcatel Lucent Method for verifying a user association, intercepting module and network node element
US8836601B2 (en) 2013-02-04 2014-09-16 Ubiquiti Networks, Inc. Dual receiver/transmitter radio devices with choke
US9496620B2 (en) 2013-02-04 2016-11-15 Ubiquiti Networks, Inc. Radio system for long-range high-speed wireless communication
US9634373B2 (en) 2009-06-04 2017-04-25 Ubiquiti Networks, Inc. Antenna isolation shrouds and reflectors
JP5266165B2 (ja) * 2009-08-25 2013-08-21 日本電信電話株式会社 中継装置、中継方法,プログラム、およびアクセス制御システム
US8650495B2 (en) 2011-03-21 2014-02-11 Guest Tek Interactive Entertainment Ltd. Captive portal that modifies content retrieved from designated web page to specify base domain for relative link and sends to client in response to request from client for unauthorized web page
WO2013088616A1 (ja) * 2011-12-14 2013-06-20 日本電気株式会社 無線基地局、サーバ、移動通信システム及び動作制御方法
JP5512785B2 (ja) * 2012-01-16 2014-06-04 株式会社アスコン 情報提供システム、情報提供装置、ルータ、情報提供方法、および、情報提供プログラム
CN102868758B (zh) * 2012-09-29 2016-12-21 华为技术有限公司 门户推送的方法和网络设备
US9178861B2 (en) 2012-10-16 2015-11-03 Guest Tek Interactive Entertainment Ltd. Off-site user access control
US9450936B2 (en) * 2012-11-02 2016-09-20 Silverlake Mobility Ecosystem Sdn Bhd Method of processing requests for digital services
CN103973821B (zh) * 2013-01-28 2017-10-27 中兴通讯股份有限公司 Cpe上基于mac地址的门户网站推介方法及cpe
US9397820B2 (en) 2013-02-04 2016-07-19 Ubiquiti Networks, Inc. Agile duplexing wireless radio devices
US9543635B2 (en) 2013-02-04 2017-01-10 Ubiquiti Networks, Inc. Operation of radio devices for long-range high-speed wireless communication
US20160218406A1 (en) 2013-02-04 2016-07-28 John R. Sanford Coaxial rf dual-polarized waveguide filter and method
US9373885B2 (en) 2013-02-08 2016-06-21 Ubiquiti Networks, Inc. Radio system for high-speed wireless communication
CA2851709A1 (en) 2013-05-16 2014-11-16 Peter S. Warrick Dns-based captive portal with integrated transparent proxy to protect against user device caching incorrect ip address
CN103269313B (zh) * 2013-05-21 2015-10-28 烽火通信科技股份有限公司 嵌入式linux家庭网关强制门户的实现方法
BR112016007701B1 (pt) 2013-10-11 2023-01-31 Ubiquiti Inc Método para controlar a recepção de um rádio de banda larga sem fio
RU2583739C2 (ru) 2013-10-16 2016-05-10 Общество С Ограниченной Ответственностью "Яндекс" Сервер для определения поисковой выдачи на поисковый запрос и электронное устройство
US9172605B2 (en) 2014-03-07 2015-10-27 Ubiquiti Networks, Inc. Cloud device identification and authentication
US20150256355A1 (en) 2014-03-07 2015-09-10 Robert J. Pera Wall-mounted interactive sensing and audio-visual node devices for networked living and work spaces
US10574474B2 (en) 2014-03-07 2020-02-25 Ubiquiti Inc. Integrated power receptacle wireless access point (AP) adapter devices
WO2015142723A1 (en) 2014-03-17 2015-09-24 Ubiquiti Networks, Inc. Array antennas having a plurality of directional beams
DK3127187T3 (da) 2014-04-01 2021-02-08 Ubiquiti Inc Antenneanordning
CN104980412B (zh) * 2014-04-14 2018-07-13 阿里巴巴集团控股有限公司 一种应用客户端、服务端及对应的Portal认证方法
US10425536B2 (en) 2014-05-08 2019-09-24 Ubiquiti Networks, Inc. Phone systems and methods of communication
WO2016003864A1 (en) 2014-06-30 2016-01-07 Ubiquiti Networks, Inc. Wireless radio device alignment tools and methods
CN105993183B (zh) 2014-06-30 2019-08-13 优倍快网络公司 用于在无线电网络的配置中使用功能图协助的方法和工具
CN105874839B (zh) 2014-08-31 2019-11-15 优倍快网络公司 用于监测及改善无线网络健康的方法和装置
US10164332B2 (en) 2014-10-14 2018-12-25 Ubiquiti Networks, Inc. Multi-sector antennas
US10284268B2 (en) 2015-02-23 2019-05-07 Ubiquiti Networks, Inc. Radio apparatuses for long-range communication of radio-frequency information
JP6739036B2 (ja) * 2015-08-31 2020-08-12 パナソニックIpマネジメント株式会社 コントローラ
CN108353232B (zh) 2015-09-11 2020-09-29 优倍快公司 紧凑型播音接入点装置
WO2017053956A1 (en) 2015-09-25 2017-03-30 Ubiquiti Networks, Inc. Compact and integrated key controller apparatus for monitoring networks
CN107040294B (zh) 2015-10-09 2020-10-16 优倍快公司 同步多无线电天线系统和方法
CN107295033B (zh) 2016-03-31 2020-07-28 阿里巴巴集团控股有限公司 一种路由方法及装置
GB2555108B (en) * 2016-10-17 2021-03-03 Global Reach Tech Inc Improvements in and relating to network communications
WO2019014229A1 (en) 2017-07-10 2019-01-17 Ubiquiti Networks, Inc. PORTABLE VIDEO CAMERA MEDALLION WITH CIRCULAR DISPLAY
CN111466108B (zh) 2017-09-27 2022-12-06 优倍快公司 用于自动安全远程访问本地网络的系统
CN108196852A (zh) * 2017-12-26 2018-06-22 北京华为数字技术有限公司 一种软件运行方法、更新方法和相关装置
WO2019139993A1 (en) 2018-01-09 2019-07-18 Ubiquiti Networks, Inc. Quick connecting twisted pair cables
CN108471398A (zh) * 2018-02-01 2018-08-31 四川大学 一种网络设备管理方法及系统
US10547587B2 (en) * 2018-03-19 2020-01-28 Didi Research America, Llc Method and system for near real-time IP user mapping
CN109743190B (zh) * 2018-11-30 2021-09-07 国电南瑞南京控制系统有限公司 一种故障信息管理系统的组态方法
JP2022547955A (ja) 2019-09-13 2022-11-16 ユービキティ インコーポレイテッド インターネット接続設定のための拡張現実
CN111064634B (zh) * 2019-12-06 2021-03-16 中盈优创资讯科技有限公司 海量物联网终端在线状态的监测方法及装置

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3332998B2 (ja) * 1993-06-14 2002-10-07 富士通株式会社 パソコン通信自動実行システム
WO1996039668A1 (en) * 1995-06-06 1996-12-12 Interactive Media Works, L.L.C. Promotional and product on-line help methods via internet
SE504546C2 (sv) * 1995-08-21 1997-03-03 Telia Ab Arrangemang för nätaccess via telenätet genom fjärrstyrt filter
US5761683A (en) * 1996-02-13 1998-06-02 Microtouch Systems, Inc. Techniques for changing the behavior of a link in a hypertext document
US6189030B1 (en) * 1996-02-21 2001-02-13 Infoseek Corporation Method and apparatus for redirection of server external hyper-link references
JP4086340B2 (ja) * 1996-05-17 2008-05-14 富士通株式会社 ネットワーク認証システム
JP3006504B2 (ja) * 1996-08-27 2000-02-07 日本電気株式会社 無線ネットワークにおける無線端末の認証方法および無線ネットワーク
US6195691B1 (en) * 1996-09-17 2001-02-27 National Systems Corporation Method and apparatus for creating and using dynamic universal resource locators
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
JP3301320B2 (ja) * 1996-10-01 2002-07-15 村田機械株式会社 通信端末装置
EP0848338A1 (en) * 1996-12-12 1998-06-17 SONY DEUTSCHLAND GmbH Server providing documents according to user profiles
US5875296A (en) * 1997-01-28 1999-02-23 International Business Machines Corporation Distributed file system web server user authentication with cookies
US6130892A (en) 1997-03-12 2000-10-10 Nomadix, Inc. Nomadic translator or router
US5956195A (en) * 1997-03-31 1999-09-21 Regents Of The University Of Minnesota Method and apparatus for three dimensional sequence estimation in partially constrained binary channels
EP0889418A3 (en) * 1997-06-30 1999-08-18 Sun Microsystems, Inc. Abstract URL resolution via relocation service
JPH1155726A (ja) * 1997-08-06 1999-02-26 Nippon Telegr & Teleph Corp <Ntt> モバイルユーザ向け情報案内方法および装置と情報案内プログラムを記録した記録媒体
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
JP3877388B2 (ja) * 1997-09-16 2007-02-07 三菱電機株式会社 情報提供システム
JPH11282804A (ja) * 1998-03-31 1999-10-15 Secom Joho System Kk ユーザ認証機能付き通信システム及びユーザ認証方法
US6359270B1 (en) * 1998-09-04 2002-03-19 Ncr Corporation Communications module mounting for domestic appliance
US6636894B1 (en) 1998-12-08 2003-10-21 Nomadix, Inc. Systems and methods for redirecting users having transparent computer access to a network using a gateway device having redirection capability
US7194554B1 (en) 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
WO2000068862A1 (en) * 1999-05-06 2000-11-16 Sharinga Networks Inc. A communications network access method and system

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8613053B2 (en) 1998-12-08 2013-12-17 Nomadix, Inc. System and method for authorizing a portable communication device
US8713641B1 (en) 1998-12-08 2014-04-29 Nomadix, Inc. Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US8725888B2 (en) 1998-12-08 2014-05-13 Nomadix, Inc. Systems and methods for providing content and services on a network system
US8725899B2 (en) 1998-12-08 2014-05-13 Nomadix, Inc. Systems and methods for providing content and services on a network system
US8788690B2 (en) 1998-12-08 2014-07-22 Nomadix, Inc. Systems and methods for providing content and services on a network system
US9160672B2 (en) 1998-12-08 2015-10-13 Nomadix, Inc. Systems and methods for controlling user perceived connection speed
US9548935B2 (en) 1998-12-08 2017-01-17 Nomadix, Inc. Systems and methods for providing content and services on a network system
US10110436B2 (en) 1998-12-08 2018-10-23 Nomadix, Inc. Systems and methods for providing content and services on a network system
US10341243B2 (en) 1998-12-08 2019-07-02 Nomadix, Inc. Systems and methods for providing content and services on a network system
US11949562B2 (en) 2011-01-18 2024-04-02 Nomadix, Inc. Systems and methods for group bandwidth management in a communication systems network

Also Published As

Publication number Publication date
CA2388623C (en) 2010-06-22
EP1222775B1 (en) 2009-05-27
WO2001031886A3 (en) 2001-11-22
DE60020588D1 (de) 2005-07-07
JP5047436B2 (ja) 2012-10-10
EP1222775A2 (en) 2002-07-17
IL149223A0 (en) 2002-11-10
DE60045850D1 (de) 2011-05-26
AU1224301A (en) 2001-05-08
JP2010154569A (ja) 2010-07-08
WO2001031843A2 (en) 2001-05-03
CN1391754A (zh) 2003-01-15
JP2003513514A (ja) 2003-04-08
EP1222791A2 (en) 2002-07-17
WO2001031843A3 (en) 2002-02-07
EP1222791B1 (en) 2005-06-01
CN1314253C (zh) 2007-05-02
AU779137B2 (en) 2005-01-06
EP2093928A3 (en) 2009-11-11
CA2388628A1 (en) 2001-05-03
HK1135534A1 (en) 2010-06-04
CA2388628C (en) 2010-12-14
EP2093928A2 (en) 2009-08-26
ATE505872T1 (de) 2011-04-15
DE60020588T2 (de) 2006-03-16
ATE432561T1 (de) 2009-06-15
CN1178446C (zh) 2004-12-01
JP4791589B2 (ja) 2011-10-12
CA2698604C (en) 2013-04-23
JP2011023011A (ja) 2011-02-03
CN1433622A (zh) 2003-07-30
ATE297095T1 (de) 2005-06-15
AU1340401A (en) 2001-05-08
EP2093928B1 (en) 2011-04-13
JP4846036B2 (ja) 2011-12-28
CA2698604A1 (en) 2001-05-03
DE60042275D1 (de) 2009-07-09
CA2388623A1 (en) 2001-05-03
IL149227A (en) 2007-12-03
JP2003513524A (ja) 2003-04-08
ES2243319T3 (es) 2005-12-01
WO2001031886A2 (en) 2001-05-03
IL149227A0 (en) 2002-11-10

Similar Documents

Publication Publication Date Title
JP5084086B2 (ja) 動的なネットワークの認可、認証、及びアカウントを提供するシステムおよび方法
US7194554B1 (en) Systems and methods for providing dynamic network authorization authentication and accounting
US8613053B2 (en) System and method for authorizing a portable communication device
US8589568B2 (en) Method and system for secure handling of electronic business transactions on the internet
US6615263B2 (en) Two-tier authentication system where clients first authenticate with independent service providers and then automatically exchange messages with a client controller to gain network access
KR101025403B1 (ko) 사용자가 인터넷에 접속하는 동안 네트워크 액세스에서사용자를 인증하기 위한 방법 및 시스템
US6779118B1 (en) User specific automatic data redirection system
US10116628B2 (en) Server-paid internet access service
US20140075504A1 (en) Method and system for dynamic security using authentication servers
US20040177247A1 (en) Policy enforcement in dynamic networks
WO2002035797A9 (en) Systems and methods for providing dynamic network authorization, authentication and accounting
ES2364736T3 (es) Sistema y método para proporcionar una autorización, autenticación y contabilidad de red dinámicas.
KR100687837B1 (ko) 동적 네트워크 승인, 인증 및 과금을 제공하는 시스템 및 방법
WO2004014045A1 (en) Service class dependant asignment of ip addresses for cotrolling access to an d delivery of e-sevices
Cisco Overview
Cisco Overview
CA2725720C (en) Systems and methods for providing dynamic network authorization, authentication and accounting
KR20040002042A (ko) 통합인증 및 방화벽 기능을 이용한 회수대행 서비스 및세션제어 방법

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071012

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071012

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100126

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100426

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100507

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100525

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100601

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100726

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110414

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120904

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5084086

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150914

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250