JP5368307B2 - System and method for providing network credentials - Google Patents

System and method for providing network credentials Download PDF

Info

Publication number
JP5368307B2
JP5368307B2 JP2009527410A JP2009527410A JP5368307B2 JP 5368307 B2 JP5368307 B2 JP 5368307B2 JP 2009527410 A JP2009527410 A JP 2009527410A JP 2009527410 A JP2009527410 A JP 2009527410A JP 5368307 B2 JP5368307 B2 JP 5368307B2
Authority
JP
Japan
Prior art keywords
network
credential
credential request
server
digital device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009527410A
Other languages
Japanese (ja)
Other versions
JP2010503317A5 (en
JP2010503317A (en
Inventor
ウィン,サイモン
ゴードン,ジョン
Original Assignee
デバイススケープ・ソフトウェア・インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デバイススケープ・ソフトウェア・インコーポレーテッド filed Critical デバイススケープ・ソフトウェア・インコーポレーテッド
Publication of JP2010503317A publication Critical patent/JP2010503317A/en
Publication of JP2010503317A5 publication Critical patent/JP2010503317A5/ja
Application granted granted Critical
Publication of JP5368307B2 publication Critical patent/JP5368307B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

Exemplary methods and systems for acquiring network credentials for network access are described. The exemplary method comprises receiving network configuration information from a network device on a communication network, generating a credential request, transmitting the credential request to a credential server over a standard protocol of the network device, receiving the credential request response, and providing a network credential from the credential request response to the network device to access the communication network.

Description

本発明は、一般に、通信ネットワークにアクセスすることに関する。さらに具体的に言えば、本発明は、無線通信ネットワークへの自動アクセスに関する。   The present invention relates generally to accessing a communication network. More specifically, the present invention relates to automatic access to wireless communication networks.

ネットワークを使用して情報にアクセスすることの高まりから、様々な活動に対して、ネットワーク通信への依存度がさらに大きくなってきた。このような依存度とともに、ネットワーク・アクセスが至る所に存在するという期待が大きくなってくる。モバイル・ユーザ用のネットワーク・アクセスは、無線テクノロジの向上により、とりわけ高まってきた。様々なセルラ(例えば、GSM、CDMAなど)、ワイファイ(Wi−Fi)(すなわち、IEEE802.11)、ワイマックス(WiMAX)(すなわち、IEEE802.16)、および他のテクノロジにより、潜在的なネットワーク・ユーザに対して広範囲のアクセス・オプションが可能になってきた。多くの無線アクセス・ポイントすなわち「ホットスポット」は、現地の地理的区域(ときには、特定の勤務先住所または他の住所と同じくらい細かいこともある)とだけアクセス可能である。さらに、効果的に配置されたホットスポットは、種々のグループの人々に対して、公衆または専用ネットワーク・アクセスを実現できる。   With the increasing access to information using the network, the reliance on network communications has become even greater for various activities. With such dependencies, the expectation that network access will be everywhere increases. Network access for mobile users has been especially enhanced by improvements in wireless technology. Various cellular (eg, GSM, CDMA, etc.), Wi-Fi (ie, IEEE 802.11), WiMAX (ie, IEEE 802.16), and other technologies enable potential networking A wide range of access options has become possible for users. Many wireless access points or “hot spots” are accessible only to the local geographic area (sometimes as fine as a specific work address or other address). In addition, effectively located hotspots can provide public or private network access to various groups of people.

ホットスポットの所有者または管理者は、ユーザ・アクセスが可能であるためには、パスワードなどを要求する。その結果、複数のホットスポットのユーザは、ストアしたり、覚えておくなどして、多数のパスワードを管理しなければならないことになる。多くのユーザは、ホットスポットにアクセスするのに用いるラップトップ・コンピュータ上に自分のパスワードをストアできる。しかしながら、ホットスポットにアクセスすることのできるデバイスがすべてラップトップ・コンピュータであるとは限らない。すなわち、携帯電話、携帯情報端末(PDA)、および他の多くのデバイスは、今では、無線アクセスに対応している。あいにく、ユーザは容易に、上記デバイスにパスワードを入力したり、あるいは、上記デバイスの中にパスワードをストアすることができない場合が多い。例えば、無線アクセスに対応している一部のデバイスは、キーボードを持たないことがある。デバイスがキーボードを含むときでも、キーボードはしばしば小さく、また、特に指先の器用さが乏しいユーザでは、キーボードの機能が限られることがある。   The hotspot owner or administrator requires a password or the like in order to be able to access the user. As a result, users at multiple hotspots must manage a large number of passwords by storing or remembering. Many users can store their passwords on the laptop computer used to access the hotspot. However, not all devices that can access the hotspot are laptop computers. That is, mobile phones, personal digital assistants (PDAs), and many other devices now support wireless access. Unfortunately, users often cannot easily enter a password into the device or store a password in the device. For example, some devices that support wireless access may not have a keyboard. Even when the device includes a keyboard, the keyboard is often small, and keyboard functionality may be limited, especially for users with poor fingertip dexterity.

ユーザがラップトップ・コンピュータ上に自分のパスワードをストアするときには、ユーザは、まず最初にラップトップ・コンピュータにアクセスして、正しいパスワードをラップトップ・コンピュータの中にストアしなければならない。パスワードが変わると、ユーザは、ラップトップ・コンピュータに入っているパスワードを更新しなければならない。さらに、ユーザ名とパスワードをデバイスにストアさせることは、万一、デバイスが紛失したり、盗まれることになれば、セキュリティの問題をもたらす。   When a user stores his password on the laptop computer, the user must first access the laptop computer and store the correct password in the laptop computer. When the password changes, the user must update the password stored on the laptop computer. In addition, storing a username and password on a device can pose a security problem if the device is lost or stolen.

さらに、ユーザは、一般に、パスワード、ユーザ名を入力し、かつwebサイトを渡り歩いて、ネットワーク・アクセスを得なければならない。このようなプロセスは時間がかかり、また、ユーザは、誤った情報を入力して、データを再入力せざるを得なくなることがある。   In addition, the user generally has to enter a password, a username, and walk through the web site to gain network access. Such a process is time consuming and the user may be forced to enter incorrect information and re-enter the data.

ユーザがパスワードをマニュアル入力するときは、難しいパスワードを記憶しようとしない。その結果、簡単なパスワードでのアクセスは、ハッキングを受けやすく、したがって、ユーザのネットワーク・アクセス、ホットスポット、および/または、ユーザの個人情報を危うくすることがある。さらに、ユーザの簡単なパスワードがハッキングされるか、あるいは簡単に推測される場合には、ユーザのネットワーク・アクセスが盗まれることがある。   When users enter passwords manually, they do not try to remember difficult passwords. As a result, access with simple passwords is subject to hacking and may therefore compromise the user's network access, hotspots, and / or the user's personal information. Furthermore, if a user's simple password is hacked or easily guessed, the user's network access may be stolen.

ネットワーク・アクセスに関してネットワーク信用証明書を提供する例示的な方法およびシステムが述べられる。この例示的な方法は、ネットワーク・デバイスを介してディジタル・デバイスから信用証明書要求を受け取ること、その信用証明書要求の中にある少なくとも一部の情報に基づいて、ネットワーク・レコードを識別すること、このネットワーク・レコードに基づいて、複数のネットワーク信用証明書から1つのネットワーク信用証明書を取得すること、および、複数のネットワーク信用証明書から取得されたネットワーク信用証明書含む信用証明書要求応答を、上記ディジタル・デバイスに送ることを含む。   Exemplary methods and systems for providing network credentials for network access are described. The exemplary method receives a credential request from a digital device via a network device and identifies a network record based on at least some information in the credential request. Obtaining a network credential from a plurality of network credentials based on the network record, and receiving a credential request response including the network credentials obtained from the plurality of network credentials. Sending to the digital device.

この方法はさらに、信用証明書要求の復号化(平文化)、信用証明書要求の認証、および、信用証明書要求応答の暗号化を含み得る。この方法はさらに、ディジタル・デバイスに基づいて、暗号鍵の取得を含んでも良い。信用証明書要求は、ネットワーク・デバイスの標準プロトコルで受け取られる。この標準プロトコルはDNSである。   The method may further include decrypting the credential request (plain culture), authenticating the credential request, and encrypting the credential request response. The method may further include obtaining an encryption key based on the digital device. The credential request is received with the network device standard protocol. This standard protocol is DNS.

信用証明書要求は、場所(ロケーション)識別子を含に得る。この方法はさらに、ディジタル・デバイスから確認アクセス応答を受けることも含み得る。   The credential request may include a location identifier. The method may further include receiving a confirmation access response from the digital device.

ネットワーク信用証明書を提供する例示的なシステムは、信用証明書要求モジュールと信用証明書要求応答モジュールを含み得る。信用証明書要求モジュールは、ディジタル・デバイスから信用証明書要求を、ネットワーク・デバイスを介して受けるように構成される。信用証明書要求応答モジュールは、その信用証明書要求中の少なくとも一部の情報に基づいて、ネットワーク・レコードを識別し、そのネットワーク・レコードに基づいて、複数のネットワーク信用証明書から1つのネットワーク信用証明書を取得し、そのネットワーク信用証明書が含まれる信用証明書要求応答を上記ディジタル・デバイスに送るように構成される。   An exemplary system for providing network credentials may include a credential request module and a credential request response module. The credential request module is configured to receive a credential request from a digital device via a network device. The credential request response module identifies a network record based on at least some information in the credential request and, based on the network record, from one network credential to one network credential. It is configured to obtain a certificate and send a credential request response including the network credential to the digital device.

コンピュータ可読媒体にプログラムが記憶されていても良い。そのプログラムは、ネットワーク信用証明書を提供する方法を、プロセッサで実行できる。その方法は、ネットワーク・デバイスを介してディジタル・デバイスから信用証明書要求を受けること、その信用証明書要求の中にある少なくとも一部の情報に基づいて、ネットワーク・レコードを識別すること、このネットワーク・レコードに基づいて、複数のネットワーク信用証明書から1つのネットワーク信用証明書を取得すること、および、複数のネットワーク信用証明書から取得されたネットワーク信用証明書が含まれる信用証明書要求応答を、上記ディジタル・デバイスに送ることを含む。   A program may be stored in a computer-readable medium. The program can execute on the processor a method of providing network credentials. The method includes receiving a credential request from a digital device via a network device, identifying a network record based on at least some information in the credential request, the network Obtaining one network credential from a plurality of network credentials based on the record, and a credential request response including the network credential obtained from the plurality of network credentials, Sending to the digital device.

本発明の実施態様を実施できる環境の概略図である。1 is a schematic diagram of an environment in which embodiments of the present invention can be implemented. 例示的な信用証明書サーバのブロック図である。FIG. 3 is a block diagram of an exemplary credential server. ディジタル・デバイスにネットワーク・アクセスを提供する例示的なプロセスのフローチャートである。2 is a flowchart of an exemplary process for providing network access to a digital device. 例示的な信用証明書要求のブロック図である。FIG. 3 is a block diagram of an exemplary credential request. 例示的な信用証明書要求応答のブロック図である。FIG. 3 is a block diagram of an exemplary credential request response. ネットワーク信用証明書を提供する例示的な方法のフローチャートである。2 is a flowchart of an exemplary method for providing network credentials. ネットワーク信用証明書を提供する例示的な方法の別のフローチャートである。3 is another flowchart of an exemplary method for providing network credentials. ネットワーク信用証明書を受け取って、ストアする例示的な方法のフローチャートである。3 is a flowchart of an exemplary method for receiving and storing network credentials. 例示的な信用証明書サーバのブロック図である。FIG. 3 is a block diagram of an exemplary credential server.

本発明の実施態様は、ネットワーク信用証明書を提供するシステムおよび方法を提供する。例示的な実施態様では、信用証明書サーバは、ホットスポットでのディジタル・デバイスからネットワーク信用証明書の要求を受ける。この要求は、ホットスポットから信用証明書サーバに中継される標準プロトコルとしてフォーマットされ得る。信用証明書サーバは、この要求の中に入っている少なくとも一部の情報に基づいて、ネットワーク・レコードを識別して、このネットワーク・レコードと関連づけられるネットワーク信用証明書を上記ディジタル・デバイスに送る。ディジタル・デバイスは、ネットワーク信用証明書を受け取って、それらのネットワーク信用証明書をネットワーク・デバイスに提供して、ネットワーク・アクセスを得る。   Embodiments of the present invention provide systems and methods for providing network credentials. In the exemplary embodiment, the credential server receives a request for network credentials from a digital device at the hotspot. This request can be formatted as a standard protocol relayed from the hotspot to the credential server. The credential server identifies a network record based on at least some information contained in the request and sends a network credential associated with the network record to the digital device. The digital device receives the network credentials and provides those network credentials to the network device to gain network access.

図1は、本発明の実施態様を実施できる環境100の概略図を示している。例示的な実施態様では、ユーザは、ディジタル・デバイス102を用いて、ホットスポットに入る。ディジタル・デバイス102は、信用証明書要求を標準プロトコルとして、ネットワーク・デバイス104を介して自動的に送る。この信用証明書要求は、信用証明書サーバ116に転送される。信用証明書サーバ116は、信用証明書要求の中にある情報に基づいて、信用証明書要求応答をディジタル・デバイス102に送り返す。この信用証明書要求応答はネットワーク信用証明書を含み、そのネットワーク信用証明書は、ディジタル・デバイス102によって、通信ネットワーク114へのアクセスを得るために、ネットワーク・デバイス104、認証サーバ108、またはアクセス・コントローラ112へと提供され得る。   FIG. 1 shows a schematic diagram of an environment 100 in which embodiments of the present invention may be implemented. In the exemplary embodiment, the user enters a hotspot using digital device 102. The digital device 102 automatically sends the credential request as a standard protocol via the network device 104. This credential request is forwarded to the credential server 116. The credential server 116 sends a credential request response back to the digital device 102 based on the information in the credential request. The credential request response includes a network credential, which is used by the digital device 102 to gain access to the communication network 114, the network device 104, the authentication server 108, or the access It can be provided to the controller 112.

様々な実施態様では、ホットスポットは、ネットワーク・デバイス104、認証サーバ108、DNSサーバ110、アクセス・コントローラ112を含み、それらはローカル・エリア・ネットワーク106(例えば、『ウォールド・ガーデン』)に結合される。ネットワーク・デバイス104は、デジタル・デバイス102が、ローカル・エリア・ネットワーク106を介して認証サーバ108、DNSサーバ110、およびアクセス・コントローラ112と通信することを可能にするアクセス・ポイントを包含できる。ディジタル・デバイス102は、ラップトップ、携帯電話、カメラ、携帯情報端末(PDA)、または他の任意のコンピューティング・デバイスを含み得る。認証サーバ108は、ディジタル・デバイス102が通信ネットワーク114にアクセスする前に、ディジタル・デバイス102に対してネットワーク信用証明書を求めるサーバである。DNSサーバ110は、ローカル・エリア・ネットワーク106を介して、DNSサービスを提供する。DNSサーバ110は、通信ネットワーク114を横切って、他のDNSサーバ(図示されてない)に要求を中継することができる。アクセス・コントローラ112は、ネットワーク・デバイス104に動作可能に結合されたデバイスが、通信ネットワーク114に結合されたデバイスと通信できるようにするルーターまたはブリッジなどのアクセス・デバイスである。   In various embodiments, the hotspot includes a network device 104, an authentication server 108, a DNS server 110, and an access controller 112, which are coupled to a local area network 106 (eg, “Walled Garden”). The Network device 104 can include an access point that enables digital device 102 to communicate with authentication server 108, DNS server 110, and access controller 112 via local area network 106. Digital device 102 may include a laptop, mobile phone, camera, personal digital assistant (PDA), or any other computing device. The authentication server 108 is a server that requests network credentials from the digital device 102 before the digital device 102 accesses the communication network 114. The DNS server 110 provides a DNS service via the local area network 106. DNS server 110 can relay requests across communication network 114 to other DNS servers (not shown). Access controller 112 is an access device such as a router or bridge that allows a device operably coupled to network device 104 to communicate with a device coupled to communication network 114.

図1中のホットスポットは、ローカル・エリア・ネットワーク106に結合された別々のサーバを示しているが、当業者であれば、ローカル・エリア・ネットワーク106に結合されたデバイス(例えば、サーバ、ディジタル・デバイス、アクセス・コントローラ、ネットワーク・デバイス)はいくつあってもよいことが理解されよう。いくつかの実施態様では、ローカル・エリア・ネットワーク106は省略可能である。一例では、認証サーバ108、DNSサーバ110、アクセス・コントローラ112は、ネットワーク・デバイス104にじかに結合される。様々な実施態様では、認証サーバ108、DNSサーバ110、アクセス・コントローラ112は、1つないし複数のサーバ中において又は1つないし複数のディジタル・デバイス中において組み合わされる。さらに、図1は無線アクセスを示しているが、ディジタル・デバイス102は、無線または有線(テン・ベース・ティ(10baseT)など)を介してネットワーク・デバイス104に結合され得る。   Although the hotspots in FIG. 1 illustrate separate servers coupled to the local area network 106, those skilled in the art will recognize devices coupled to the local area network 106 (eg, servers, digital It will be appreciated that there can be any number of devices, access controllers, network devices). In some implementations, the local area network 106 is optional. In one example, authentication server 108, DNS server 110, and access controller 112 are coupled directly to network device 104. In various embodiments, the authentication server 108, DNS server 110, and access controller 112 are combined in one or more servers or in one or more digital devices. In addition, although FIG. 1 shows wireless access, the digital device 102 may be coupled to the network device 104 via wireless or wired (such as ten base tee (10baseT)).

通信ネットワーク114にアクセスするためには、認証サーバ108は、ホットスポットにアクセスするための1つまたは複数のネットワーク信用証明書を提供するようにディジタル・デバイス102に対して求め得る。このネットワーク信用証明書は、例えば、このホットスポットと関連づけられるアカウント用のユーザ名とパスワードを含む。代替実施態様では、ユーザ名およびパスワード以外のネットワーク信用証明書が利用され得る。   To access the communications network 114, the authentication server 108 may ask the digital device 102 to provide one or more network credentials for accessing the hotspot. This network credential includes, for example, a username and password for an account associated with this hotspot. In alternative embodiments, network credentials other than username and password may be utilized.

例示的な実施態様により、ディジタル・デバイス102は、信用証明書サーバ116からネットワーク信用証明書を動的に獲得でき。ディジタル・デバイス102は、ディジタル・デバイス102(または、ディジタル・デバイス102のユーザ)のアイデンティティと、ネットワーク・デバイス104に関する詳細(例えば、ネットワーク・デバイス104またはワイファイ(Wi−Fi)サービス・プロバイダの名前)とを含む信用証明書要求を信用証明書サーバ116に送る。   In accordance with an exemplary implementation, digital device 102 can dynamically obtain network credentials from credential server 116. The digital device 102 identifies the identity of the digital device 102 (or the user of the digital device 102) and details about the network device 104 (eg, the name of the network device 104 or the Wi-Fi service provider). A credential request including the above is sent to the credential server 116.

一例では、ディジタル・デバイス102がホットスポットに入るときに、ネットワーク・デバイス104は、DNSクエリが提出されるIPアドレスを、例えばDHCP(Dynamic Host Configuration Protocol)を介して提供し得る。この信用証明書要求は標準プロトコルとしてフォーマットされる。一例では、信用証明書要求はDNS要求としてフォーマットされ得る。この信用証明書要求は、ネットワーク・インフラ(例えば、アクセス・コントローラ112)によりブロック(阻止)されないように、標準のレコード・タイプを含むテキスト・レコード要求(例えば、TXT)である。ネットワーク信用証明書を得るプロセスに関するさらに詳細な説明が、2007年9月6日に出願された「System and Method for Acquiring Network Credentials(ネットワーク信用証明書を得るシステムおよび方法)」と称する同時係属中の米国特許出願第____号に与えられており、これは、参照によって本明細書中に組み入れられている。   In one example, when the digital device 102 enters a hotspot, the network device 104 may provide an IP address to which a DNS query is submitted, for example, via DHCP (Dynamic Host Configuration Protocol). This credential request is formatted as a standard protocol. In one example, the credential request can be formatted as a DNS request. This credential request is a text record request (eg, TXT) that includes a standard record type so that it is not blocked (blocked) by the network infrastructure (eg, access controller 112). A more detailed description of the process for obtaining network credentials is now in co-pending termed “System and Method for Acquiring Network Credentials” filed September 6, 2007. U.S. Patent Application No. ____, which is incorporated herein by reference.

いくつかの実施態様では、信用証明書要求がDNSサーバ110で受け取られる。DNSサーバ110は、この信用証明書要求を信用証明書サーバ116に転送して、ネットワーク信用証明書を獲得し得る。例示的な実施態様では、信用証明書サーバ116は、ルックアップ(探索)を実施して、適正なネットワーク信用証明書(1つまたは複数)を決定し、そのネットワーク信用証明書をDNSサーバ110に送り返し得る。DNSサーバ110は、そのネットワーク信用証明書を、要求側のディジタル・デバイス102に転送して返す。様々な実施態様では、この適正なネットワーク信用証明書(1つまたは複数)は、信用証明書要求の伝送と同一の経路を介して、信用証明書サーバ116からディジタル・デバイス102に送られる。   In some implementations, a credential request is received at the DNS server 110. DNS server 110 may forward this credential request to credential server 116 to obtain network credentials. In the exemplary embodiment, credential server 116 performs a lookup to determine the proper network credential (s) and passes the network credential to DNS server 110. Can be sent back. The DNS server 110 forwards the network credentials back to the requesting digital device 102. In various embodiments, the proper network credential (s) is sent from the credential server 116 to the digital device 102 via the same path as the transmission of the credential request.

図1中にはただ1つのDNSサーバ110が示されているが、信用証明書要求は、それが信用証明書サーバ116で受け取られる前に、DNSサーバを含む(ただし、DNSサーバには限定されない)任意の数のサーバを介して転送され得る。他の実施態様では、信用証明書要求は、ネットワーク・デバイス104から信用証明書サーバ116に直接に転送される。   Although only one DNS server 110 is shown in FIG. 1, the credential request includes a DNS server before it is received at the credential server 116 (but is not limited to a DNS server). It can be transferred through any number of servers. In other embodiments, the credential request is forwarded directly from the network device 104 to the credential server 116.

いくつかの実施態様では、信用証明書サーバ116からの信用証明書要求応答は、ユーザ名、パスワード、および/または、ログイン・プロシージャ情報を含む。このログイン・プロシージャ情報は、例えば、HTMLフォーム要素名、提出URL、または提出プロトコルを含む。いくつかの実施態様では、ネットワーク信用証明書応答は、ディジタル・デバイス102に送り返す前に、ディジタル・デバイス102と関連づけられる暗号鍵を用いて、信用証明書サーバ116により暗号化される。   In some implementations, the credential request response from the credential server 116 includes a username, password, and / or login procedure information. This login procedure information includes, for example, an HTML form element name, a submission URL, or a submission protocol. In some implementations, the network credential response is encrypted by the credential server 116 using an encryption key associated with the digital device 102 before being sent back to the digital device 102.

ディジタル・デバイス102がネットワーク信用証明書応答を受け取ると、ディジタル・デバイス102は、認証応答において、ネットワーク信用証明書(ネットワーク信用証明書応答から取得される)を、ネットワーク・デバイス104に提出(提示)する。例示的な実施態様では、認証応答は、認証サーバ108に転送されて、検証される。いくつかの実施態様では、認証サーバ108は、AAAサーバまたはRADIUSサーバを含む。ネットワーク・アクセスを得るプロセスに関するさらに詳細な説明が、2007年9月6日に出願された「System and Method for Obtaining Network Access(ネットワーク・アクセスを得るシステムおよび方法)」と称する同時係属中の米国特許出願第____号に与えられており、これは、参照によって本明細書中に組み入れられている。   When the digital device 102 receives the network credential response, the digital device 102 submits (presents) the network credential (obtained from the network credential response) to the network device 104 in the authentication response. To do. In the exemplary implementation, the authentication response is forwarded to authentication server 108 and verified. In some implementations, the authentication server 108 includes an AAA server or a RADIUS server. A more detailed description of the process of gaining network access is a co-pending US patent entitled “System and Method for Obtaining Network Access” filed September 6, 2007. Application No. _____, which is incorporated herein by reference.

図1は例示的なものであることに留意すべきである。代替実施態様は、さらに多いか、さらに少ないか、あるいは機能的に同等な構成要素を含み得るが、それでも、本実施態様の範囲内にある。例えば、前に説明されたように、様々なサーバ(例えば、DNSサーバ110、信用証明書サーバ116、認証サーバ108)の機能が組み合わされて、1つまたは2つのサーバとなり得る。すなわち、例えば、認証サーバ108とDNSサーバ110が同一サーバを含むか、あるいは、認証サーバ108、DNSサーバ110、アクセス・コントローラ112の機能が組み合わされて、単一のデバイスとされて良い。   It should be noted that FIG. 1 is exemplary. Alternative embodiments may include more, fewer, or functionally equivalent components, but still fall within the scope of this embodiment. For example, as previously described, the functions of various servers (eg, DNS server 110, credential server 116, authentication server 108) can be combined into one or two servers. That is, for example, the authentication server 108 and the DNS server 110 may include the same server, or the functions of the authentication server 108, the DNS server 110, and the access controller 112 may be combined into a single device.

図2は、例示的な信用証明書サーバ116のブロック図である。信用証明書サーバ116は、認証モジュール200、ネットワーク・モジュール202、信用証明書要求モジュール204、信用証明書要求応答モジュール206、暗号化/復号化モジュール208、ネットワーク・レコード記憶装置210、暗号鍵記憶装置212を含む。モジュールは、個々に、または組み合わせて、ソフトウェア、ハードウェア、ファームウェア、または回路を含む。   FIG. 2 is a block diagram of an exemplary credential server 116. The credential server 116 includes an authentication module 200, a network module 202, a credential request module 204, a credential request response module 206, an encryption / decryption module 208, a network record storage device 210, and an encryption key storage device. 212 is included. Modules include software, hardware, firmware, or circuitry, either individually or in combination.

認証モジュール200は、信用証明書要求を認証して、信用証明書要求応答にセキュリティを与えるように構成される。様々な実施態様では、ディジタル・デバイス102は、暗号鍵(例えば、共用暗号鍵、または鍵ペアの一部である暗号鍵)を用いて、信用証明書要求を暗号化するか、あるいは信用証明書要求にディジタル署名をし得る。認証モジュール200は、暗号鍵記憶装置212から取得された適正な暗号鍵を用いて信用証明書要求を暗号化することで、信用証明書要求を認証する。一例では、ディジタル・デバイス102は、信用証明書要求のハッシュを生成して、このハッシュを、信用証明書要求の暗号化部分の中にストアする。認証モジュール200は、この信用証明書要求を復号化(平文化)して、信用証明書要求応答のハッシュを生成し、この生成されたハッシュを、信用証明書要求の中に入っているハッシュと比較することで、認証を行う。   The authentication module 200 is configured to authenticate the credential request and provide security to the credential request response. In various implementations, the digital device 102 encrypts the credential request with an encryption key (eg, a shared encryption key, or an encryption key that is part of a key pair), or a credential. The request can be digitally signed. The authentication module 200 authenticates the credential request by encrypting the credential request using an appropriate encryption key acquired from the encryption key storage device 212. In one example, the digital device 102 generates a hash of the credential request and stores this hash in the encrypted portion of the credential request. The authentication module 200 decrypts the credential request (plain culture), generates a hash of the credential request response, and uses the generated hash as a hash contained in the credential request. Authentication is performed by comparison.

他の実施態様では、ディジタル・デバイス102は、ナンス(nonce)(すなわち、ランダム値)を生成して、ナンスを、ディジタル署名された信用証明書要求の一部の中にストアできる。認証モジュール200は、ディジタル署名を復号化して、信用証明書要求を認証し、かつナンスを取得する。様々な実施態様では、信用証明書要求応答モジュール206が信用証明書要求応答(以下に述べられる)を生成するときに、認証モジュール200は、ナンスを、信用証明書要求応答の中に組み込む。次に、認証モジュール200または暗号化/復号化モジュール208は、信用証明書要求応答を暗号化する。ディジタル・デバイス102が、この信用証明書要求応答を復号化するときに、ディジタル・デバイス102は、この信用証明書要求応答からナンスを取得して、そのナンスを、信用証明書要求の中に送られたナンスと比較することで、さらなる認証を行う。   In other implementations, the digital device 102 can generate a nonce (ie, a random value) and store the nonce in a portion of the digitally signed credential request. The authentication module 200 decrypts the digital signature to authenticate the credential request and obtain a nonce. In various implementations, the authentication module 200 incorporates a nonce into the credential request response when the credential request response module 206 generates a credential request response (described below). Next, the authentication module 200 or the encryption / decryption module 208 encrypts the credential request response. When the digital device 102 decrypts the credential request response, the digital device 102 obtains a nonce from the credential request response and sends the nonce into the credential request. Further authentication is performed by comparing with the given nonce.

ネットワーク・モジュール202は、通信ネットワーク114を介して、信用証明書要求を受け取って、信用証明書要求応答を送るように構成される。   The network module 202 is configured to receive a credential request and send a credential request response over the communication network 114.

信用証明書要求モジュール204は、ネットワーク・モジュール202から信用証明書要求を受ける。この信用証明書要求は、標準プロトコルである。一例では、信用証明書要求は、UDPプロトコル(例えば、DNS)である。   The credential request module 204 receives a credential request from the network module 202. This credential request is a standard protocol. In one example, the credential request is a UDP protocol (eg, DNS).

例示的な実施態様では、信用証明書要求モジュール204は、信用証明書要求からDDIDおよびSSIDを取得する。DDIDは、ディジタル・デバイス102、ディジタル・デバイス102のユーザ、および/または、ネットワーク・レコードと関連づけられるユーザを識別(特定)する。SSIDは、ホットスポット、またはホットスポットのサービス・プロバイダ(すなわち、運営業者)を識別する。   In the exemplary implementation, credential request module 204 obtains the DDID and SSID from the credential request. The DDID identifies (identifies) the digital device 102, the user of the digital device 102, and / or the user associated with the network record. The SSID identifies a hotspot or hotspot service provider (ie, operator).

信用証明書要求モジュール204または信用証明書要求応答モジュール206は、DDIDおよびSSIDに基づいて、ネットワーク・レコードを識別する。ネットワーク・レコードは、DDIDおよびSSIDと関連づけられる(直接または間接に(例えば、リレーショナル・データベース))レコードである。一例では、ネットワーク・レコードは、SSIDと関連づけられるホットスポットにて、DDIDと関連づけられるディジタル・デバイス102にネットワーク・アクセスを提供するのに必要なネットワーク信用証明書を含む。ネットワーク・レコードは、ネットワーク・レコード記憶装置210の中にストアされる。   The credential request module 204 or the credential request response module 206 identifies a network record based on the DDID and SSID. A network record is a record (directly or indirectly (eg, a relational database)) associated with a DDID and SSID. In one example, the network record includes the network credentials necessary to provide network access to the digital device 102 associated with the DDID at a hotspot associated with the SSID. The network record is stored in the network record storage device 210.

信用証明書要求応答モジュール206は、信用証明書要求応答を生成できる。様々な実施態様では、信用証明書要求応答モジュール206は、DDIDおよびSSIDと関連づけられるネットワーク信用証明書をネットワーク・レコードから受け取る。いくつかの実施態様では、このネットワーク信用証明書は、クレジットカード番号を含む。一例では、ディジタル・デバイス102は、ネットワーク信用証明書を受け取って、クレジットカード番号を取得し、このクレジットカード番号を認証サーバ108に提供する。次に、いくつかの例では、認証サーバ108は、このクレジットカード番号と関連づけられるクレジットカードに料金をつけるか、あるいは、この情報を利用して、ネットワーク・アクセスを許す前にユーザの識別子を確認する。   The credential request response module 206 can generate a credential request response. In various implementations, the credential request response module 206 receives network credentials associated with the DDID and SSID from the network record. In some implementations, this network credential includes a credit card number. In one example, the digital device 102 receives network credentials, obtains a credit card number, and provides this credit card number to the authentication server 108. Next, in some examples, the authentication server 108 charges the credit card associated with this credit card number or uses this information to verify the user's identifier before allowing network access. To do.

さらに、様々な実施態様では、上記ネットワーク信用証明書は、ログイン・プロシージャ情報を含む。一例では、これらのネットワーク信用証明書は、ディジタル・デバイス102により認証サーバ108から取得されたフォーム(例えば、認証フォーム)の中に与えられることになっているユーザ名とパスワードを含む。いくつかの実施態様では、ログイン・プロシージャ情報は、このフォーム中の識別フィールドにネットワーク信用証明書を入れてから、この完成したフォームを認証サーバ108に提出するよう、ディジタル・デバイス102に指示する。当業者であれば、認証サーバ108に信用証明書を提供する方法は多数あることが理解されよう。認証サーバに信用証明書を提供するプロセスはさらに、2007年9月6日に出願された「System and Method for Obtaining Network Credentials(ネットワーク信用証明書を得るシステムおよび方法)」と称する同時係属中の米国特許出願第____号に説明されている。   Further, in various embodiments, the network credentials include login procedure information. In one example, these network credentials include a username and password that are to be provided in a form (eg, an authentication form) obtained by the digital device 102 from the authentication server 108. In some implementations, the login procedure information instructs the digital device 102 to place the network credentials in the identification field in the form before submitting the completed form to the authentication server 108. One skilled in the art will appreciate that there are many ways to provide credentials to the authentication server 108. The process of providing credentials to an authentication server is further described in a co-pending United States application entitled “System and Method for Observing Network Credentials” filed September 6, 2007. It is described in patent application ____.

信用証明書要求応答モジュール206または暗号化/復号化モジュール208は、DDIDまたは信用証明書要求と関連づけられる暗号鍵を用いて、信用証明書要求応答を暗号化する。一例では、信用証明書サーバ116は、1つまたは複数の共用暗号鍵をストアしている。それぞれの共用暗号鍵は、少なくとも1つのディジタル・デバイス102により共用される。信用証明書要求応答モジュール206は、ディジタル・デバイス102と関連づけられる共用暗号鍵を用いて、信用証明書要求応答を暗号化する(例えば、この共用暗号鍵は、DDIDと関連づけられる)。信用証明書要求応答モジュール206または暗号化/復号化モジュール208はまた、鍵ペアの一部である暗号鍵を用いて、信用証明書要求を暗号化することもある。暗号化/復号化モジュール208が信用証明書要求を暗号化する方法は多数ある。   The credential request response module 206 or the encryption / decryption module 208 encrypts the credential request response using the encryption key associated with the DDID or credential request. In one example, the credential server 116 stores one or more shared encryption keys. Each shared encryption key is shared by at least one digital device 102. The credential request response module 206 encrypts the credential request response using the shared encryption key associated with the digital device 102 (eg, this shared encryption key is associated with the DDID). The credential request response module 206 or encryption / decryption module 208 may also encrypt the credential request with an encryption key that is part of the key pair. There are many ways for the encryption / decryption module 208 to encrypt the credential request.

暗号化/復号化モジュール208は、信用証明書要求を復号化し、また、信用証明書要求応答を暗号化する。前に説明されたように、暗号化/復号化モジュール208は、信用証明書要求へのディジタル署名を復号化する。一例では、暗号化/復号化モジュール208は、信用証明書要求の中に入っているDDIDと関連づけられる暗号鍵に基づいて、ディジタル署名を復号化する。暗号化/復号化モジュール208はまた、信用証明書要求応答を暗号化することもある。一例では、暗号化/復号化モジュール208は、DDIDと関連づけられる暗号鍵(例えば、共用暗号鍵、または鍵ペアの一部である暗号鍵)に基づいて、信用証明書要求応答を暗号化する。   The encryption / decryption module 208 decrypts the credential request and encrypts the credential request response. As previously described, the encryption / decryption module 208 decrypts the digital signature on the credential request. In one example, the encryption / decryption module 208 decrypts the digital signature based on the encryption key associated with the DDID contained in the credential request. The encryption / decryption module 208 may also encrypt the credential request response. In one example, the encryption / decryption module 208 encrypts the credential request response based on an encryption key associated with the DDID (eg, a shared encryption key or an encryption key that is part of a key pair).

様々な実施態様では、暗号化/復号化モジュール208は、ネットワーク・レコード記憶装置210の中に入っているネットワーク・レコードを暗号化して、暗号鍵記憶装置212を管理できる。暗号化/復号化モジュール208はまた、ネットワーク信用証明書をストアしながら、ディジタル・デバイスとのセキュアな通信(例えば、SSLやHTTPSを介して)を確立することもある。このようなプロセスはさらに図7に述べられる。いくつかの実施態様により、暗号化/復号化モジュール208は、省略可能なこともある。   In various implementations, the encryption / decryption module 208 can encrypt the network record contained in the network record storage device 210 and manage the encryption key storage device 212. The encryption / decryption module 208 may also establish secure communication (eg, via SSL or HTTPS) with the digital device while storing network credentials. Such a process is further described in FIG. According to some implementations, the encryption / decryption module 208 may be omitted.

ネットワーク・レコード記憶装置210と暗号鍵記憶装置212はそれぞれ、ネットワーク・レコードと暗号鍵をストアする。ネットワーク・レコード記憶装置210と暗号鍵記憶装置212は、1つまたは複数のデータベースを含む。一例では、ネットワーク・レコード記憶装置210は、ネットワーク・レコードをストアする。ネットワーク・レコードは、DDID、SSID、ネットワーク信用証明書を含む。ネットワーク・レコードはまた、ユーザがネットワーク・レコードにアクセスするか、ネットワーク・レコードを変更、更新するか、あるいは、ネットワーク・レコードを信用証明書サーバ116の中にストアするために、ユーザ名とパスワードを含む。   The network record storage device 210 and the encryption key storage device 212 store the network record and the encryption key, respectively. The network record storage device 210 and the encryption key storage device 212 include one or more databases. In one example, the network record store 210 stores network records. The network record includes DDID, SSID, and network credentials. The network record also provides a username and password for the user to access the network record, modify or update the network record, or store the network record in the credential server 116. Including.

様々な実施態様では、ネットワーク・レコードにより、複数のディジタル・デバイス102が同一のネットワーク信用証明書を使用できることもある。一例では、ユーザは、複数のディジタル・デバイス102を所有する。それぞれが異なるディジタル・デバイス102と関連づけられる複数のDDIDは、同一のネットワーク・レコードに含まれる。いくつかの実施態様では、複数のデバイスが、1つまたは複数のネットワーク・レコードと関連づけられる場合があり、また、このような1つまたは複数のネットワーク・レコードが一人のユーザと関連づけられる。その結果、このユーザは、ディジタル・デバイス102をいくつでも使用して、ホットスポットに対してネットワーク信用証明書を取得する。当業者であれば、ネットワーク・レコード、および/または、ネットワーク・レコードに入っている情報をストアし、編成する(例えば、異なるデータ構造、データベース、レコード、編成方式、および/または、技法にて)ことのできる方法が多数あることが理解されよう。   In various implementations, the network record may allow multiple digital devices 102 to use the same network credentials. In one example, a user owns multiple digital devices 102. Multiple DDIDs, each associated with a different digital device 102, are included in the same network record. In some implementations, multiple devices may be associated with one or more network records, and such one or more network records are associated with a single user. As a result, this user uses any number of digital devices 102 to obtain network credentials for the hotspot. Those skilled in the art store and organize network records and / or information contained in network records (eg, in different data structures, databases, records, organization schemes, and / or techniques). It will be appreciated that there are many ways that can be done.

図3は、ディジタル・デバイス102にネットワーク・アクセスを提供する例示的なプロセスのフローチャートである。ステップ300において、ディジタル・デバイス102が最初にホットスポットに入るときには、ディジタル・デバイス102は、ローカル・エリア・ネットワーク106をスキャンして調べる。ステップ302において、スキャンの結果、ネットワーク・デバイス104は、ネットワーク構成情報を提供する。このネットワーク構成情報は、DNSサーバ110にアクセスするための1つまたは複数のIPアドレスを含む。   FIG. 3 is a flowchart of an exemplary process for providing network access to digital device 102. In step 300, when the digital device 102 first enters the hot spot, the digital device 102 scans the local area network 106 for examination. In step 302, as a result of the scan, the network device 104 provides network configuration information. This network configuration information includes one or more IP addresses for accessing the DNS server 110.

ステップ304において、ディジタル・デバイス102により信用証明書要求が生成される。次に、ステップ306において、前にネットワーク・デバイス104から受け取ったIPアドレスの1つを用いて、上記信用証明書要求をDNSサーバ110に送る。   In step 304, a credential request is generated by the digital device. Next, in step 306, the credential request is sent to the DNS server 110 using one of the IP addresses previously received from the network device 104.

ステップ308において、信用証明書要求に基づいて、DNSサーバ110により信用証明書サーバ116が識別される。他の実施態様では、DNSサーバ110は、信用証明書要求を信用証明書サーバ116に転送する。DNSサーバ110が、DNS要求をローカルで解決できないときには、信用証明書要求が通信ネットワーク114上の別のDNSサーバに転送される(例えば、ポート53を介して)。次に、その別のDNSサーバは、信用証明書要求を信用証明書サーバ116に転送する。ステップ310において、この信用証明書要求は、通信ネットワーク114上の1つまたは複数の他のDNSサーバを通じて、直接に、または間接に信用証明書サーバ116に転送される。   In step 308, the credential server 116 is identified by the DNS server 110 based on the credential request. In other embodiments, the DNS server 110 forwards the credential request to the credential server 116. When the DNS server 110 cannot resolve the DNS request locally, the credential request is forwarded to another DNS server on the communication network 114 (eg, via port 53). The other DNS server then forwards the credential request to the credential server 116. In step 310, the credential request is forwarded directly or indirectly to the credential server 116 through one or more other DNS servers on the communication network 114.

ステップ312において、信用証明書サーバ116は、信用証明書要求に基づいて、必要とされるネットワーク信用証明書を識別する。例えば、この信用証明書要求は、ホットスポットSSID用の識別子(例えば、運営業者などのサービス・プロバイダ)だけでなく、ディジタル・デバイス102用の識別子(すなわち、DDID)も含む。これらの識別子は、信用証明書要求モジュール204または信用証明書要求応答モジュール206により、このような識別子のテーブル(例えば、ネットワーク・レコード)と比較されて、適正なネットワーク信用証明書を決定する。次に、ステップ314において、信用証明書要求応答モジュール206により信用証明書要求応答が生成され、ステップ316において、その信用証明書要求応答がDNSサーバ110に中継で返される。ステップ318において、DNSサーバ110は、信用証明書要求応答をディジタル・デバイスに転送して返す。   In step 312, the credential server 116 identifies the required network credentials based on the credential request. For example, this credential request includes not only an identifier for a hotspot SSID (eg, a service provider such as an operator) but also an identifier for the digital device 102 (ie, DDID). These identifiers are compared with a table of such identifiers (eg, network records) by the credential request module 204 or the credential request response module 206 to determine the proper network credentials. Next, in step 314, a credential request response is generated by the credential request response module 206, and in step 316, the credential request response is relayed back to the DNS server 110. In step 318, DNS server 110 forwards the credential request response back to the digital device.

次に、ステップ320において、ディジタル・デバイス102は、信用証明書要求応答からネットワーク信用証明書を取得する。次に、ステップ322において、ネットワーク・デバイス104にネットワーク信用証明書を提供する。ステップ324において、ネットワーク信用証明書を検証した上で、ネットワーク・デバイス104は、ディジタル・デバイス102にネットワーク・アクセスを提供する。   Next, in step 320, the digital device 102 obtains network credentials from the credential request response. Next, in step 322, the network device 104 is provided with network credentials. In step 324, after verifying the network credentials, the network device 104 provides network access to the digital device 102.

次に、図4を参照すると、例示的な信用証明書要求400がさらに詳しく示されている。例示的な実施態様により、信用証明書要求モジュール204は、信用証明書要求400を生成する。一実施態様では、信用証明書要求400は、場所識別子402、シーケンス識別子404,署名406、DDID408,SSID(service set identifier)410、バージョン識別子412を含む構造を持っているDNS文字列であることもある。   Turning now to FIG. 4, an exemplary credential request 400 is shown in further detail. According to an exemplary implementation, credential request module 204 generates credential request 400. In one embodiment, the credential request 400 may be a DNS string having a structure including a location identifier 402, a sequence identifier 404, a signature 406, a DDID 408, a SSID (service set identifier) 410, and a version identifier 412. is there.

オプションの場所識別子402は、ディジタル・デバイス102、ネットワーク・デバイス104、認証サーバ108、またはアクセス・コントローラ112の物理的または地理的な位置を示す。様々な実施態様では、場所識別子402は、ホットスポットの使用度、ディジタル・デバイス102だけでなくディジタル・デバイス102のユーザも追跡するために、信用証明書サーバ116で使用され得る。   Optional location identifier 402 indicates the physical or geographical location of digital device 102, network device 104, authentication server 108, or access controller 112. In various implementations, the location identifier 402 may be used at the credential server 116 to track hot spot usage, not only the digital device 102 but also the user of the digital device 102.

シーケンス識別子404は、ログインがうまくいったかどうか判定するために、信用証明書サーバ116への次の要求に対応するのに用いられる任意の数または任意の組の数を含む。すなわち、シーケンス識別子404は、ログインのプロセスの検証を信用証明書サーバ116に行わせる相関機構を提供する。   The sequence identifier 404 includes any number or any set of numbers used to respond to the next request to the credential server 116 to determine if the login was successful. That is, the sequence identifier 404 provides a correlation mechanism that causes the credential server 116 to verify the login process.

例示的な実施態様では、署名406は、なりすましを防止するのに利用される暗号署名(すなわち、ディジタル署名)を含む。ディジタル・デバイス102からの要求への署名406は、信用証明書サーバ116により検証される。署名406が有効でない場合には、この要求は、信用証明書サーバ116により拒否される。   In the exemplary embodiment, signature 406 includes a cryptographic signature (ie, a digital signature) that is used to prevent spoofing. The signature 406 to the request from the digital device 102 is verified by the credential server 116. If the signature 406 is not valid, the request is rejected by the credential server 116.

DDID408は、ディジタル・デバイス102の識別子を含む。例えば、DDID408は、MACアドレス、あるいは、ディジタル・デバイス102の他の任意の識別子を含む。   DDID 408 includes an identifier of digital device 102. For example, DDID 408 includes a MAC address or any other identifier of digital device 102.

SSID410は、ネットワーク・アクセス・ポイントまたはワイファイ(Wi−Fi)サービス・プロバイダの識別子を含む。例えば、SSID410は、ワイファイ(Wi−Fi)サービス・プロバイダの名前、あるいは、ネットワーク・デバイス104を運営する現場(venue)の名前を含むことがある。   The SSID 410 includes an identifier of a network access point or Wi-Fi service provider. For example, the SSID 410 may include the name of a Wi-Fi service provider or the name of the venue that operates the network device 104.

バージョン識別子412は、信用証明書要求400のプロトコルまたはフォーマットを識別できる。例えば、ディジタル・デバイス102は、信用証明書要求400を生成して、そのデータをいくつかの異なるフォーマットで編成する。異なるフォーマットはそれぞれ、異なるバージョン識別子と関連づけられる。いくつかの実施態様では、信用証明書要求応答モジュール206の構成要素は、更新されるか、再構成されるか、あるいは、徐々に変更されることがあり、このことは、信用証明書要求400の構造に影響を及ぼす。その結果、信用証明書サーバ116は、様々にフォーマットされている複数の信用証明書要求400を受け取る。信用証明書サーバ116は、それぞれのバージョン識別子に基づいて、それぞれの信用証明書要求からの所要の情報にアクセスする。   The version identifier 412 can identify the protocol or format of the credential request 400. For example, the digital device 102 generates a credential request 400 and organizes the data in a number of different formats. Each different format is associated with a different version identifier. In some implementations, the components of the credential request response module 206 may be updated, reconfigured, or gradually changed, which may indicate that the credential request 400 Affects the structure of As a result, the credential server 116 receives a plurality of credential requests 400 that are variously formatted. The credential server 116 accesses the required information from each credential request based on the respective version identifier.

図5は、例示的な信用証明書要求応答のブロック図である。例示的な実施態様により、信用証明書要求応答モジュール206は、信用証明書要求応答500を生成できる。一実施態様では、信用証明書要求応答500は、暗号化テキスト502を含む。暗号化テキスト502は、オプションのナンス504と信用証明書情報506を含む。信用証明書情報506は、鍵/値ペア(508〜510)を含む。   FIG. 5 is a block diagram of an exemplary credential request response. According to an exemplary implementation, credential request response module 206 can generate credential request response 500. In one implementation, the credential request response 500 includes ciphertext 502. The ciphertext 502 includes an optional nonce 504 and credential information 506. The credential information 506 includes key / value pairs (508-510).

前に説明されたように、信用証明書要求応答は、暗号化テキスト502を含むDNS応答としてフォーマットされ得る。暗号化テキスト502は、ネットワーク信用証明書(例えば、ユーザ名、パスワード、ログイン・プロシージャ情報)を含む。信用証明書要求応答500は、暗号化テキスト502を含むものとして示されているが、信用証明書要求応答500の中にあるテキストは、暗号化する必要はない。   As previously described, the credential request response may be formatted as a DNS response that includes ciphertext 502. The ciphertext 502 includes network credentials (eg, username, password, login procedure information). Although the credential request response 500 is shown as including encrypted text 502, the text in the credential request response 500 need not be encrypted.

暗号化テキスト502はナンスを含むことがある。ナンスは、前に説明されたように、信用証明書要求から取得される。信用証明書要求応答500がディジタル・デバイス102で受け取られると、ディジタル・デバイス102は、信用証明書要求応答500の中にあるナンスを、信用証明書要求の中で送られたナンスと比較して、認証を行う。図5では、ナンスは信用証明書要求応答500の中にあるものとして示されているが、ナンスは任意である。   The ciphertext 502 may include a nonce. The nonce is obtained from the credential request as previously described. When the credential request response 500 is received at the digital device 102, the digital device 102 compares the nonce in the credential request response 500 with the nonce sent in the credential request. Authenticate. In FIG. 5, the nonce is shown as being in the credential request response 500, but the nonce is arbitrary.

信用証明書情報506は、ユーザ名、パスワード、ログイン・プロシージャ情報、または、これらを組み合わせたものを含む。信用証明書情報506は、鍵/値ペア(508〜510)を含む。信用証明書情報506の中には、鍵/値ペアがいくつあってもよい。鍵/値ペアは、ディジタル・デバイス102で受け取られて、変換される信用証明書情報を表す。信用証明書情報506は、例示目的でのみ、鍵/値ペアとして示されている。信用証明書情報506は、必ずしも鍵/値ペアには限定されない任意フォーマットの範囲内にあることもある。   The credential information 506 includes a user name, password, login procedure information, or a combination thereof. The credential information 506 includes key / value pairs (508-510). There may be any number of key / value pairs in the credential information 506. The key / value pair represents the credential information that is received and converted at the digital device 102. The credential information 506 is shown as a key / value pair for exemplary purposes only. The credential information 506 may be in an arbitrary format that is not necessarily limited to key / value pairs.

図6は、ネットワーク信用証明書を提供する例示的な方法のフローチャートである。ステップ602において、信用証明書サーバ116は、ディジタル・デバイス102から信用証明書要求を受け取る。   FIG. 6 is a flowchart of an exemplary method for providing network credentials. In step 602, the credential server 116 receives a credential request from the digital device 102.

様々な実施態様では、信用証明書サーバ116は、暗号鍵を用いてディジタル署名を暗号化し、認証する。次に、ステップ604において、信用証明書サーバ116は、ネットワーク・レコードの中に入っているDDIDおよびSSIDに基づいて、このネットワーク・レコードを識別する。一例では、信用証明書要求応答モジュール206は、信用証明書要求の中にあるDDIDと関連づけられる1つまたは複数のネットワーク・レコードを取得する。次に、信用証明書要求応答モジュール206は、取得されたネットワーク・レコード(1つまたは複数)の中にあるSSIDと関連づけられる少なくとも1つのネットワーク信用証明書を識別する。   In various embodiments, the credential server 116 encrypts and authenticates the digital signature using an encryption key. Next, in step 604, the credential server 116 identifies this network record based on the DDID and SSID contained in the network record. In one example, the credential request response module 206 obtains one or more network records associated with the DDID in the credential request. Next, the credential request response module 206 identifies at least one network credential associated with the SSID in the acquired network record (s).

ステップ606において、信用証明書要求応答モジュール206は、識別されたネットワーク信用証明書(1つまたは複数)を、上記選択されたネットワーク・レコードから取得する。一例では、信用証明書要求応答モジュール206は、ディジタル・デバイス102のユーザがネットワーク・アクセスを得るために認証サーバ108に提供しなければならないユーザ名とパスワードを識別する。ステップ608において、信用証明書要求応答モジュール206は、ディジタル・デバイス102に対して、ネットワーク信用証明書(例えば、ユーザ名、パスワード)を含む信用証明書要求応答を生成する。   In step 606, the credential request response module 206 obtains the identified network credential (s) from the selected network record. In one example, the credential request response module 206 identifies a username and password that a user of the digital device 102 must provide to the authentication server 108 to gain network access. In step 608, the credential request response module 206 generates a credential request response including network credentials (eg, username, password) for the digital device 102.

いくつかの実施態様では、信用証明書要求応答モジュール206は、ネットワーク信用証明書の一部として、ログイン・プロシージャ情報を識別する。信用証明書要求応答モジュール206は、ネットワーク・レコード(例えば、SSIDと関連づけられるパスワードを含む同一ネットワーク・レコード)から、上記ログイン・プロシージャ情報を取得する。このログイン・プロシージャ情報は、ネットワーク・アクセスを得るためにディジタル・デバイス102が従うフォーム識別子と指示(例えば、パラメータ)を含む。一例では、ディジタル・デバイス102は、信用証明書要求応答の中にあるネットワーク信用証明書から、フォーム識別子と指示を取得する。ディジタル・デバイス102は、これらのフォーム識別子と指示に基づいて、認証サーバ108と入力データから受け取られたフォームを識別する。別の例では、ディジタル・デバイス102は、信用証明書要求応答の中に含まれるログイン・プロシージャ情報に基づいて、ネットワーク・アクセスを得るために、認証サーバ108に情報を提供する。認証サーバ108に情報を提供するプロセスはさらに、2007年9月6日に出願された「System and Method for Obtaining Network Access(ネットワーク・アクセスを得るシステムおよび方法)」と称する米国特許出願第____号に記載されている。   In some implementations, the credential request response module 206 identifies login procedure information as part of the network credential. The credential request response module 206 obtains the login procedure information from a network record (eg, the same network record that includes a password associated with the SSID). This login procedure information includes a form identifier and instructions (eg, parameters) that the digital device 102 follows to gain network access. In one example, the digital device 102 obtains the form identifier and instructions from the network credentials that are in the credential request response. The digital device 102 identifies the form received from the authentication server 108 and the input data based on these form identifiers and instructions. In another example, the digital device 102 provides information to the authentication server 108 to gain network access based on login procedure information included in the credential request response. The process of providing information to the authentication server 108 is further described in U.S. Patent Application No. ______________________________________________________________________________________, filed Sep. 6, 2007, which is filed on September 6, 2007. Have been described.

図7は、ネットワーク信用証明書を提供する例示的な方法の別のフローチャートである。ディジタル・デバイス102は、ネットワーク・デバイス104を介して、利用可能な無線ネットワークを探索し、見つけ出す。ステップ702において、ディジタル・デバイス102は、ホットスポットに接続している間に、ネットワーク構成情報を受け取る。ネットワーク構成情報は、ネットワーク・デバイス104またはDNSサーバ110用の識別子を含む。一例では、ディジタル・デバイス102は、接続プロセス中に、DNSサーバIPアドレス(例えば、DNSサーバ110用のもの)を受ける。   FIG. 7 is another flowchart of an exemplary method for providing network credentials. The digital device 102 searches for and finds available wireless networks via the network device 104. In step 702, the digital device 102 receives network configuration information while connected to the hotspot. The network configuration information includes an identifier for the network device 104 or DNS server 110. In one example, the digital device 102 receives a DNS server IP address (eg, for the DNS server 110) during the connection process.

ステップ704において、ディジタル・デバイス102は、信用証明書要求を生成する。この信用証明書要求は、シーケンス識別子、DDID、SSIDを含む。ステップ706において、ディジタル・デバイス102は、随意にナンスを生成し、暗号鍵を用いて信用証明書要求にディジタル署名する。ステップ708において、ディジタル・デバイス102は、標準プロトコルとして、信用証明書要求を送る。ネットワーク・デバイス104は、信用証明書要求を受け取って、この信用証明書要求を通信ネットワーク114に転送する。様々な実施態様では、ネットワーク・デバイス104は、信用証明書要求をDNSサーバ110に提供することがあり、また、DNSサーバ110は、この信用証明書要求を信用証明書サーバ116に転送する。   In step 704, the digital device 102 generates a credential request. This credential request includes a sequence identifier, DDID, and SSID. In step 706, the digital device 102 optionally generates a nonce and digitally signs the credential request with the encryption key. In step 708, the digital device 102 sends a credential request as a standard protocol. The network device 104 receives the credential request and forwards the credential request to the communication network 114. In various implementations, the network device 104 may provide a credential request to the DNS server 110, and the DNS server 110 forwards the credential request to the credential server 116.

例示的な実施態様では、信用証明書サーバ116の信用証明書要求モジュール204は信用証明書要求を受ける。信用証明書要求モジュール204は、信用証明書サーバ116の中にあるDDIDと関連づけられる暗号鍵を、暗号鍵記憶装置212から取得する。次に、信用証明書要求モジュール204は、信用証明書要求へのディジタル署名を復号化して、認証を行う。さらに、信用証明書要求モジュール204は、その信用証明書要求から、ナンスとシーケンス識別子を取得する。   In the exemplary embodiment, the credential request module 204 of the credential server 116 receives the credential request. The credential request module 204 obtains an encryption key associated with the DDID in the credential server 116 from the encryption key storage device 212. Next, the credential request module 204 performs authentication by decrypting the digital signature to the credential request. Further, the credential request module 204 obtains a nonce and a sequence identifier from the credential request.

次に、信用証明書サーバ116の信用証明書要求応答モジュール206は、DDIDおよびSSIDと関連づけられるネットワーク・レコードを、ネットワーク・レコード記憶装置210から取得できる。信用証明書要求応答モジュール206は、このネットワーク・レコードからネットワーク信用証明書を取得して、信用証明書要求応答を生成する。この信用証明書要求応答は、ネットワーク信用証明書とナンスを含む。暗号化/復号化モジュール208は、暗号鍵記憶装置212から取得されたDDIDと関連づけられる暗号鍵を用いて、その信用証明書要求応答を暗号化する。いくつかの実施態様では、この信用証明書要求応答は、標準プロトコル(例えば、DNS)としてフォーマットされる。   Next, the credential request response module 206 of the credential server 116 can obtain the network record associated with the DDID and SSID from the network record storage device 210. The credential request response module 206 obtains a network credential from this network record and generates a credential request response. This credential request response includes a network credential and a nonce. The encryption / decryption module 208 uses the encryption key associated with the DDID acquired from the encryption key storage device 212 to encrypt the credential request response. In some implementations, this credential request response is formatted as a standard protocol (eg, DNS).

ステップ710において、ディジタル・デバイス102は、信用証明書要求応答を受け取る。次に、ステップ712において、ディジタル・デバイス102は、この信用証明書要求応答を認証する。一例では、ディジタル・デバイス102は、信用証明書要求にディジタル署名するのに使用されるものと同一の鍵を用いて、信用証明書要求応答を復号化する。ディジタル・デバイス102はさらに、信用証明書要求応答の中にあるナンスを取得して、そのナンスを、信用証明書要求の中で送られたナンスと比較して、さらなる認証を行う。ステップ714において、この信用証明書要求応答が本物であると判明した場合には、ディジタル・デバイス102は、信用証明書要求応答からネットワーク信用証明書を取得する。   In step 710, the digital device 102 receives a credential request response. Next, in step 712, the digital device 102 authenticates this credential request response. In one example, the digital device 102 decrypts the credential request response using the same key that is used to digitally sign the credential request. The digital device 102 further obtains the nonce in the credential request response and compares the nonce with the nonce sent in the credential request for further authentication. In step 714, if the credential request response is found to be authentic, the digital device 102 obtains a network credential from the credential request response.

ステップ716において、ディジタル・デバイス102は、ネットワーク・アクセスと関連づけられる認証要件を識別する。様々な実施態様では、ディジタル・デバイス102は、認証サーバ108に提供するのに適正な情報およびネットワーク信用証明書を決定する。一例では、ディジタル・デバイス102は、認証サーバ108から、1つまたは複数のネットワーク・アクセス・ページを取得する。ディジタル・デバイス102は、認証サーバ108からの適正なネットワーク・アクセス・ページにアクセスして、自動的に選択を行う。一例では、ディジタル・デバイス102は、その「選択」を自動的に行うようにできる(例えば、ネットワーク・アクセス・ページ内のボタンの起動、セレクト・ボックスのチェック、ラジオ・ボタンの選択)。   In step 716, the digital device 102 identifies authentication requirements associated with network access. In various implementations, the digital device 102 determines the proper information and network credentials to provide to the authentication server 108. In one example, the digital device 102 obtains one or more network access pages from the authentication server 108. The digital device 102 accesses the appropriate network access page from the authentication server 108 and makes a selection automatically. In one example, the digital device 102 can automatically make its “selection” (eg, activation of a button in a network access page, check of a select box, selection of a radio button).

例えば、信用証明書要求応答モジュール206は、ネットワーク・アクセス・ページ内での自動選択のために、ディジタル・デバイス102に指示を与える。ここに説明されるように、ネットワーク・アクセス・ページは、認証サーバ108から取得された1つまたは複数のwebページ、1つまたは複数のタグ、あるいは、双方を組み合わせたものを含む。一例では、ディジタル・デバイス102に入っているソフトウェアは、ネットワーク・アクセス・ページ内のすべてのセレクト・ボックスを自動的にチェックする。次に、ディジタル・デバイス102は、ログイン・プロシージャ情報に基づいて、セレクト・ボックスのチェックを外す。当業者であれば、セレクトを自動的に行わせる方法が多数あるかもしれないことが理解されよう。他の実施態様では、ディジタル・デバイス102は、認証サーバ108からXMLタグを受け取る。ディジタル・デバイス102は、ログイン・プロシージャ情報の中にあるXMLタグおよび指示に基づく情報を認証サーバ108に提供して、ネットワーク・アクセスを得る。   For example, the credential request response module 206 provides instructions to the digital device 102 for automatic selection within the network access page. As described herein, the network access page includes one or more web pages obtained from the authentication server 108, one or more tags, or a combination of both. In one example, the software contained in the digital device 102 automatically checks all select boxes in the network access page. Next, the digital device 102 unchecks the select box based on the login procedure information. One skilled in the art will recognize that there may be many ways to make a selection automatically. In other implementations, the digital device 102 receives an XML tag from the authentication server 108. The digital device 102 provides information based on the XML tag and instructions in the login procedure information to the authentication server 108 to gain network access.

ステップ718において、ディジタル・デバイス102は、ネットワーク信用証明書をネットワーク・デバイス104に提供して、通信ネットワーク114へのネットワーク・アクセスを得る。一例では、信用証明書要求応答モジュール206は、認証サーバ108から1つまたは複数のフォームを取得して、そのようなフォームに1つまたは複数のネットワーク信用証明書を入れ、これらの完成したフォームを認証サーバ108に提供する。別の例では、信用証明書要求応答モジュール206は、必要に応じて、ネットワーク信用証明書を認証サーバ108に提供する。ネットワーク信用証明書が認証サーバ108で受け取られると、認証サーバ108は、ディジタル・デバイス102と通信ネットワーク114との間で通信できるようにできる。一例では、認証サーバ108は、ディジタル・デバイス102が通信ネットワーク114にアクセスできるように、アクセス・コントローラ112に命じる。   In step 718, digital device 102 provides network credentials to network device 104 to gain network access to communication network 114. In one example, the credential request response module 206 obtains one or more forms from the authentication server 108, puts one or more network credentials in such a form, and enters these completed forms. This is provided to the authentication server 108. In another example, the credential request response module 206 provides network credentials to the authentication server 108 as needed. Once the network credentials are received at the authentication server 108, the authentication server 108 can enable communication between the digital device 102 and the communication network 114. In one example, the authentication server 108 commands the access controller 112 so that the digital device 102 can access the communication network 114.

次に、ディジタル・デバイス102は、ネットワークのコネクティビティ(接続性)をテストして、ネットワーク・アクセスを確かめ得る。一例では、ディジタル・デバイス102は、通信ネットワーク114が利用できるかどうか判定するために、信用証明書サーバ116に要求を送る。いくつかの実施態様では、そのクエリまたはコマンドは、前に信用証明書要求の中に提出されたシーケンス識別子を含む。ネットワーク・アクセスがうまくいった場合には、信用証明書サーバ116は、上記要求を受け取って、シーケンス識別子を取得することがある。次に、信用証明書サーバ116は、ネットワーク・アクセスがうまくいったことを確かめる。   The digital device 102 can then test network connectivity to verify network access. In one example, the digital device 102 sends a request to the credential server 116 to determine if the communication network 114 is available. In some implementations, the query or command includes a sequence identifier that was previously submitted in the credential request. If network access is successful, the credential server 116 may receive the request and obtain a sequence identifier. The credential server 116 then verifies that the network access was successful.

図8は、ネットワーク信用証明書を受け取って、ストアする例示的な方法のフローチャートである。様々な実施態様では、ユーザは、ネットワーク・レコードを生成して、ネットワーク・レコードを信用証明書サーバ116の中にストアできる。例えば、信用証明書サーバ116は、ユーザがネットワーク・レコードを生成でき、ストアでき、更新でき、除去でき、変更できるようにするグラフィカル・ユーザ・インターフェース(GUI)を提供する信用証明書記憶モジュール(図示されてない)を含む。   FIG. 8 is a flowchart of an exemplary method for receiving and storing network credentials. In various implementations, a user can generate a network record and store the network record in the credential server 116. For example, the credential server 116 may provide a credential storage module (illustrated) that provides a graphical user interface (GUI) that allows a user to create, store, update, remove, and modify network records. Not included).

ステップ802において、信用証明書サーバ116は、ユーザにネットワーク信用証明書要求フォームを提供する。一例では、信用証明書サーバ116は、インターネットを介して、1つまたは複数のwebページとして、ネットワーク信用証明書要求フォームをユーザに提供する。このネットワーク信用証明書要求フォームは、サービス・プロバイダの名前(例えば、運営業者の名前)および/またはSSIDと、ネットワーク信用証明書を受け取るように構成されている。   In step 802, the credential server 116 provides the user with a network credential request form. In one example, the credential server 116 provides the network credential request form to the user as one or more web pages over the Internet. The network credential request form is configured to receive a service provider name (eg, operator name) and / or SSID and network credentials.

サービス・プロバイダの名前は、ホットスポット、ホットスポットに関係した1つまたは複数の構成要素(例えば、ネットワーク・デバイス104)、あるいは、ローカル・エリア・ネットワーク106のインフラを運営するエンティティ(実体)の名前を含む。いくつかの実施態様では、サービス・プロバイダの名前は、別のサービス・プロバイダ用の1つまたは複数のホットスポットを管理する組織体の名前を含む。一例では、ホットスポットが異なるサービス・プロバイダを持っていても、コーヒーショップや本屋は双方とも、第三者の管理者(third-party manager)を利用して、これらのホットスポットを管理できる。いくつかの実施態様では、ネットワーク信用証明書要求フォームは、この第三者の管理者の名前を受け取るように構成される。いくつかの実施態様では、サービス・プロバイダの名前は、ホットスポット・ネットワークへのアクセスを再販する組織体(例えば、アグリゲータ)の名前を含む。   The name of the service provider is the name of the hotspot, one or more components related to the hotspot (eg, network device 104), or the entity that operates the local area network 106 infrastructure. including. In some implementations, the name of the service provider includes the name of an organization that manages one or more hotspots for another service provider. In one example, even if the hotspots have different service providers, both the coffee shop and the bookstore can manage these hotspots using a third-party manager. In some implementations, the network credential request form is configured to receive the name of this third party administrator. In some implementations, the name of the service provider includes the name of the organization (eg, aggregator) that resells access to the hotspot network.

ネットワーク信用証明書要求フォームはまた、ネットワーク・サービス選択として、SSIDも受け取り得る。一例では、ネットワーク信用証明書要求フォームは、ユーザが選択できる異なるサービス・プロバイダおよび/またはホットスポットのプルダウン・メニューを含む。例えば、ユーザは、ホットスポットとして、「スターバックス」、または「サンフランシスコ国際空港」を選択できる。ユーザには、このホットスポットの地理的位置などにさらなるオプションが与えられる。ユーザはまた、サービス・プロバイダも選択する。例えば、ユーザは、サービス・プロバイダとして、「T−Mobile」を選択する。次に、ネットワーク信用証明書要求フォームは、T−Mobileと関連づけられる1つまたは複数の様々なホットスポットの中からユーザが選択できるようにする。次に、このような「選択」(1つまたは複数)は、ネットワーク・レコードとしてストアされる。別法として、このような「選択」(1つまたは複数)と関連づけられるネットワーク・サービス識別子は、SSIDとして生成される。   The network credential request form may also receive an SSID as a network service selection. In one example, the network credential request form includes pull-down menus of different service providers and / or hot spots that the user can select. For example, the user can select “Starbucks” or “San Francisco International Airport” as a hot spot. The user is given further options such as the geographical location of this hot spot. The user also selects a service provider. For example, the user selects “T-Mobile” as the service provider. The network credential request form then allows the user to select from one or more various hotspots associated with the T-Mobile. Such “selection” (s) is then stored as a network record. Alternatively, the network service identifier associated with such “selection” (s) is generated as an SSID.

さらに、ネットワーク信用証明書要求フォームは、ユーザからネットワーク信用証明書を受け取る。例えば、ユーザは、ネットワーク信用証明書要求フォームの中にあるネットワーク信用証明書として、ユーザ名、パスワード、パスコードを入力する。いくつかの実施態様では、ネットワーク信用証明書要求フォームがSSIDを受け取った後で、ネットワーク信用証明書要求フォームは、求められるタイプのネットワーク信用証明書を決定する。例えば、ネットワーク信用証明書要求フォームは、前にユーザにより選択された「サンフランシスコ国際空港」のホットスポットにてネットワークにアクセスするのに必要な情報を識別する。次に、ネットワーク信用証明書要求フォームは、このホットスポットにてネットワーク・アクセスを得るのに必要な情報(例えば、ユーザ名、パスワード)だけをユーザが入力できるようにするために、フィールドまたは選択を生成する。   Further, the network credential request form receives network credentials from the user. For example, the user inputs a user name, a password, and a passcode as a network credential in the network credential request form. In some implementations, after the network credential request form receives the SSID, the network credential request form determines the type of network credential sought. For example, the network credential request form identifies the information necessary to access the network at the “San Francisco International Airport” hotspot previously selected by the user. The network credential request form then selects fields or selections to allow the user to enter only the information (eg, username, password) necessary to gain network access at this hotspot. Generate.

信用証明書サーバ116はまた、ネットワーク信用証明書要求フォームを受け取る前に登録するよう、ユーザに求めることもある。登録中、ユーザは、サービス条件に同意して、カスタマー情報を入力しなければならない。カスタマー情報は、信用証明書サーバ116にアクセスして、ネットワーク信用証明書をストアするために、ユーザ名とパスワードを含む。オプションとして、カスタマー情報は、ユーザのアドレス、連絡先情報、および、信用証明書サーバ116が提供するサービスをユーザが利用するための支払いオプションを含む。   The credential server 116 may also ask the user to register before receiving the network credential request form. During registration, the user must agree to the terms of service and enter customer information. The customer information includes a username and password to access the credential server 116 and store the network credentials. Optionally, the customer information includes the user's address, contact information, and payment options for the user to use the services provided by the credential server 116.

ステップ804において、信用証明書サーバ116は、ネットワーク信用証明書要求フォームを介して、カスタマー情報およびネットワーク・サービス選択を受け取る。ステップ806において、信用証明書サーバ116は、ネットワーク信用証明書を取得する。ステップ808において、信用証明書サーバ116は、カスタマー情報を受け取る。ステップ810において、信用証明書サーバ116は、上記ネットワーク信用証明書を、カスタマー情報、ネットワーク・サービス選択、ネットワーク信用証明書(1つまたは複数)と関連づけて、ネットワーク・レコードを生成する。次に、ステップ812において、このネットワーク・レコードをストアする。   In step 804, the credential server 116 receives the customer information and network service selection via the network credential request form. In step 806, the credential server 116 obtains network credentials. In step 808, the credential server 116 receives customer information. In step 810, the credential server 116 associates the network credential with customer information, network service selection, network credential (s) and generates a network record. Next, in step 812, the network record is stored.

いくつかの実施態様では、ユーザは、インターネットを介して、手動で信用証明書サーバ116にアクセスする。他の実施態様では、ユーザは、ネットワーク信用証明書ソフトウェアをダウンロードして、そのソフトウェアをディジタル・デバイス102にインストールする。ネットワーク信用証明書ソフトウェアは、ディジタル・デバイス102のDDIDを識別して、そのDDIDを信用証明書サーバ116に送る。他の実施態様では、ネットワーク信用証明書ソフトウェアは、ディジタル・デバイス102にプリインストールされる。ディジタル・デバイス102が最初に、ネットワーク信用証明書ソフトウェアを起動するときには、ネットワーク信用証明書ソフトウェアは、ディジタル・デバイス102のDDIDを識別して、そのDDIDを信用証明書サーバ116に送る。   In some implementations, the user manually accesses the credential server 116 via the Internet. In other embodiments, the user downloads the network credential software and installs the software on the digital device 102. The network credential software identifies the DDID of the digital device 102 and sends the DDID to the credential server 116. In other embodiments, the network credential software is preinstalled on the digital device 102. When the digital device 102 first launches the network credential software, the network credential software identifies the DDID of the digital device 102 and sends the DDID to the credential server 116.

ユーザは、SSIDをネットワーク信用証明書ソフトウェアに入力できる(例えば、サービス・プロバイダまたはホットスポットを識別する)。ユーザはまた、ネットワーク信用証明書もネットワーク信用証明書ソフトウェアの中に入力できる。ネットワーク信用証明書ソフトウェアがDDID、SSID、ネットワーク信用証明書を得た後で、ネットワーク信用証明書ソフトウェアは、その情報を信用証明書サーバ116にアップロードし、また、信用証明書サーバ116は、その情報をネットワーク・レコードの中にストアする。様々な実施態様では、ネットワーク信用証明書ソフトウェアは、信用証明書サーバ116からダウンロードされ得る。   The user can enter the SSID into the network credential software (eg, identify a service provider or hotspot). The user can also enter network credentials into the network credentials software. After the network credential software obtains the DDID, SSID, and network credential, the network credential software uploads the information to the credential server 116, and the credential server 116 Is stored in the network record. In various implementations, the network credential software may be downloaded from the credential server 116.

図9は、例示的なディジタル・デバイスのブロック図である。信用証明書サーバ116は、プロセッサ900、メモリ・システム902、ストレージ・システム904、I/Oインターフェース906、通信ネットワーク・インターフェース908、ディスプレイ・インターフェース910を含む。プロセッサ900は、実行命令(例えば、プログラム)を実行するように構成されている。いくつかの実施態様では、プロセッサ900は、実行命令を処理できる回路または任意のプロセッサを含む。   FIG. 9 is a block diagram of an exemplary digital device. The credential server 116 includes a processor 900, a memory system 902, a storage system 904, an I / O interface 906, a communication network interface 908, and a display interface 910. The processor 900 is configured to execute an execution instruction (eg, a program). In some implementations, the processor 900 includes circuitry or any processor that can process execution instructions.

メモリ・システム902は、データをストアするように構成された任意のメモリである。メモリ・システム902のいくつかの例として、RAMまたはROMなどの記憶素子がある。メモリ・システム902は、RAMキャッシュを含むこともある。様々な実施態様では、データは、メモリ・システム902の中にストアされる。メモリ・システム902の中にあるデータは、クリア(消去)されるか、あるいは、最終的にストレージ・システム904に移され得る。   Memory system 902 is any memory configured to store data. Some examples of the memory system 902 include storage elements such as RAM or ROM. The memory system 902 may include a RAM cache. In various implementations, data is stored in memory system 902. Data residing in the memory system 902 can be cleared (erased) or eventually transferred to the storage system 904.

ストレージ・システム904は、データを取得して、ストアするように構成された任意のストレージ(記憶装置)である。ストレージ・システム904のいくつかの例として、フラッシュ・ドライブ、ハード・ドライブ、光ドライブ、および/または磁気テープがある。いくつかの実施態様では、信用証明書サーバ116は、RAMの形式を取るメモリ・システム902と、フラッシュ・データの形式を取るストレージ・システム904とを含む。メモリ・システム902とストレージ・システム904は両方とも、プロセッサ900を含むコンピュータ・プロセッサにより実行できる命令またはプログラムをストアできるコンピュータ可読媒体を含む。   The storage system 904 is an arbitrary storage (storage device) configured to acquire and store data. Some examples of the storage system 904 include flash drives, hard drives, optical drives, and / or magnetic tape. In some implementations, the credential server 116 includes a memory system 902 that takes the form of RAM and a storage system 904 that takes the form of flash data. Both the memory system 902 and the storage system 904 include computer readable media that can store instructions or programs that can be executed by a computer processor including the processor 900.

オプションの入出力(I/O)インターフェース906は、ユーザから入力を受け取って、データを出力する任意のデバイスである。オプションのディスプレイ・インターフェース910は、グラフィックスおよびデータをディスプレイに出力するように構成された任意のデバイスである。一例では、ディスプレイ・インターフェース910は、グラフィックス・アダプタである。すべてのディジタル・デバイス102が、I/Oインターフェース906か、ディスプレイ・インターフェース910のいずれかを含むとは限らないことが理解されよう。   An optional input / output (I / O) interface 906 is any device that receives input from a user and outputs data. Optional display interface 910 is any device configured to output graphics and data to a display. In one example, display interface 910 is a graphics adapter. It will be appreciated that not all digital devices 102 include either an I / O interface 906 or a display interface 910.

通信ネットワーク・インターフェース(com.network interface)908は、リンク912を介して、ネットワーク(例えば、ローカル・エリア・ネットワーク106や通信ネットワーク114)に結合されることもある。通信ネットワーク・インターフェース908は、例えばEthernet接続、シリアル接続、パラレル接続、またはATA接続を介して、通信をサポートする。通信ネットワーク・インターフェース908はまた、無線通信(例えば、802.11 a/b/g/n、ワイマックス(WiMAX))もサポートする。通信ネットワーク・インターフェース908が、多数の有線標準や無線標準をサポートできることが、当業者には明らかになろう。   A communications network interface (com.network interface) 908 may be coupled to a network (eg, local area network 106 or communications network 114) via a link 912. The communication network interface 908 supports communication via, for example, an Ethernet connection, a serial connection, a parallel connection, or an ATA connection. Communication network interface 908 also supports wireless communications (eg, 802.11 a / b / g / n, WiMAX). It will be apparent to those skilled in the art that communication network interface 908 can support a number of wired and wireless standards.

上述の機能および構成要素は、ストレージ媒体にストアされている命令から成ることもある。これらの命令は、プロセッサにより取得されて、実行される。命令のいくつかの例として、ソフトウェア、プログラム・コード、ファームウェアがある。ストレージ媒体のいくつかの例として、メモリ素子、テープ、ディスク、集積回路、サーバがある。これらの命令は、プロセッサにより実行されるときに機能を果たして、このプロセッサに本発明の実施態様に合わせて動作するよう指示する。当業者は、命令、プロセッサ(1つまたは複数)、ストレージ媒体に精通している。   The functions and components described above may consist of instructions stored on a storage medium. These instructions are acquired and executed by the processor. Some examples of instructions are software, program code, and firmware. Some examples of storage media are memory devices, tapes, disks, integrated circuits, and servers. These instructions, when executed by the processor, serve to direct the processor to operate in accordance with embodiments of the present invention. Those skilled in the art are familiar with instructions, processor (s), and storage media.

本発明は、例示的な実施態様を参照して、上で説明されてきた。本発明のさらに広い範囲から逸脱しなければ、様々な変更を行うことができ、また、他の実施態様を利用できることが当業者には明らかになろう。それゆえ、例示的な実施態様における上記および他の変形例は、本発明の適用範囲に入ることになっている。   The invention has been described above with reference to exemplary embodiments. It will be apparent to those skilled in the art that various modifications can be made and other embodiments can be utilized without departing from the broader scope of the invention. Therefore, these and other variations on exemplary embodiments are intended to fall within the scope of the present invention.

102 ディジタル・デバイス、104 ネットワーク・デバイス、106 ローカル・エリア・ネットワーク、108 認証サーバ、110 DNSサーバ、112 アクセス・コントローラ、114 通信ネットワーク、116 信用証明書サーバ、200 認証モジュール、202 ネットワーク・モジュール、204 信用証明書要求モジュール、206 信用証明書要求応答モジュール、208 暗号化/復号化モジュール、210 ネットワーク・レコード記憶装置、212 暗号鍵記憶装置。 102 digital device, 104 network device, 106 local area network, 108 authentication server, 110 DNS server, 112 access controller, 114 communication network, 116 credential server, 200 authentication module, 202 network module, 204 Credential request module, 206 credential request response module, 208 encryption / decryption module, 210 network record storage device, 212 encryption key storage device.

Claims (3)

ネットワーク信用証明書を提供する方法であって、
信用証明書サーバが、ネットワーク・デバイスを介してディジタル・デバイスから信用証明書要求を受け取るステップと、
前記信用証明書サーバが、前記信用証明書要求の中にある少なくとも一部の情報に基づいて、ネットワーク・レコードを識別するステップと、
前記信用証明書サーバが、前記ネットワーク・レコードに基づいて、複数のネットワーク信用証明書から1つのネットワーク信用証明書を取得するステップと、
前記信用証明書サーバが、前記複数のネットワーク信用証明書から取得されたネットワーク信用証明書を含む信用証明書要求応答を、前記ディジタル・デバイスに送るステップと、から成り、
前記信用証明書要求は、前記ネットワーク・デバイスのDNSプロトコルで受け取られ、前記ネットワーク信用証明書は、ネットワーク・アクセスを取得するために前記ディジタル・デバイスによって前記ネットワーク・デバイスに供給されることを特徴とする方法。 A method for providing network credentials, comprising:
A credential server receiving a credential request from a digital device via a network device;
The credential server identifying a network record based on at least some information in the credential request;
The credential server obtaining a network credential from a plurality of network credentials based on the network record;
The credential server comprising sending a credential request response including a network credential obtained from the plurality of network credentials to the digital device;
The credential request is received in the DNS protocol of the network device, and the network credential is provided to the network device by the digital device to obtain network access. how to. ネットワーク信用証明書を提供するシステムであって、
ネットワーク・デバイスを介してディジタル・デバイスから信用証明書要求を受け取るように構成された信用証明書要求モジュールと、
前記信用証明書要求の中にある少なくとも一部の情報に基づいて、ネットワーク・レコードを識別し、前記ネットワーク・レコードに基づいて、複数のネットワーク信用証明書から1つのネットワーク信用証明書を取得し、前記ネットワーク信用証明書含む信用証明書要求応答を前記ディジタル・デバイスに送るように構成された信用証明書要求応答モジュールと、を具備し、
前記信用証明書要求は、前記ネットワーク・デバイスのDNSプロトコルで受け取られ、前記ネットワーク信用証明書は、ネットワーク・アクセスを取得するために前記ディジタル・デバイスによって前記ネットワーク・デバイスに供給されることを特徴とする方法。 A system for providing network credentials,
A credential request module configured to receive a credential request from a digital device via a network device;
Identifying a network record based on at least some information in the credential request, obtaining a network credential from a plurality of network credentials based on the network record; A credential request response module configured to send a credential request response including the network credential to the digital device;
The credential request is received in the DNS protocol of the network device, and the network credential is provided to the network device by the digital device to obtain network access. how to. コンピュータを請求項2に記載のシステムとして機能させるためのプログラム。   A program for causing a computer to function as the system according to claim 2.
JP2009527410A 2006-09-06 2007-09-06 System and method for providing network credentials Expired - Fee Related JP5368307B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US82475606P 2006-09-06 2006-09-06
US60/824,756 2006-09-06
PCT/US2007/019462 WO2008030525A2 (en) 2006-09-06 2007-09-06 Systems and methods for providing network credentials

Publications (3)

Publication Number Publication Date
JP2010503317A JP2010503317A (en) 2010-01-28
JP2010503317A5 JP2010503317A5 (en) 2011-11-04
JP5368307B2 true JP5368307B2 (en) 2013-12-18

Family

ID=39157841

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2009527411A Expired - Fee Related JP5276592B2 (en) 2006-09-06 2007-09-06 System and method for gaining network access
JP2009527412A Expired - Fee Related JP5276593B2 (en) 2006-09-06 2007-09-06 System and method for obtaining network credentials
JP2009527410A Expired - Fee Related JP5368307B2 (en) 2006-09-06 2007-09-06 System and method for providing network credentials

Family Applications Before (2)

Application Number Title Priority Date Filing Date
JP2009527411A Expired - Fee Related JP5276592B2 (en) 2006-09-06 2007-09-06 System and method for gaining network access
JP2009527412A Expired - Fee Related JP5276593B2 (en) 2006-09-06 2007-09-06 System and method for obtaining network credentials

Country Status (3)

Country Link
EP (3) EP2062129A4 (en)
JP (3) JP5276592B2 (en)
WO (3) WO2008030526A2 (en)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5270947B2 (en) * 2008-04-01 2013-08-21 キヤノン株式会社 COMMUNICATION SYSTEM CONTROL METHOD, RADIO COMMUNICATION DEVICE, BASE STATION, MANAGEMENT DEVICE, PROGRAM, AND RECORDING MEDIUM
US8825876B2 (en) 2008-07-17 2014-09-02 Qualcomm Incorporated Apparatus and method for mobile virtual network operator (MVNO) hosting and pricing
US8099761B2 (en) * 2008-08-14 2012-01-17 Microsoft Corporation Protocol for device to station association
US8769612B2 (en) 2008-08-14 2014-07-01 Microsoft Corporation Portable device association
US8943551B2 (en) 2008-08-14 2015-01-27 Microsoft Corporation Cloud-based device information storage
US20100263022A1 (en) * 2008-10-13 2010-10-14 Devicescape Software, Inc. Systems and Methods for Enhanced Smartclient Support
WO2010045249A1 (en) * 2008-10-13 2010-04-22 Devicescape Software, Inc. Systems and methods for identifying a network
GB2464552B (en) 2008-10-22 2012-11-21 Skype Authentication system and method for authenticating a user terminal with an access node providing restricted access to a communication network
GB2464553B (en) 2008-10-22 2012-11-21 Skype Controlling a connection between a user terminal and an access node connected to a communication network
US9883271B2 (en) 2008-12-12 2018-01-30 Qualcomm Incorporated Simultaneous multi-source audio output at a wireless headset
US10448317B2 (en) 2014-08-21 2019-10-15 Huawei Technologies Co., Ltd. Wireless network access control method, device, and system
US10390215B2 (en) 2015-04-28 2019-08-20 Telecom Italia S.P.A. Method and system for authenticating users in public wireless networks

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6263446B1 (en) * 1997-12-23 2001-07-17 Arcot Systems, Inc. Method and apparatus for secure distribution of authentication credentials to roaming users
US6233577B1 (en) * 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
PL364752A1 (en) * 1998-11-19 2004-12-13 Arcot Systems, Inc. Method and apparatus for secure distribution of authentication credentials to roaming users
JP2003196241A (en) * 2001-12-25 2003-07-11 Dainippon Printing Co Ltd User authentication information setting device and client computer
US7898977B2 (en) * 2002-03-01 2011-03-01 Enterasys Networks Inc. Using signal characteristics to determine the physical location of devices in a data network
US20030188201A1 (en) * 2002-03-28 2003-10-02 International Business Machines Corporation Method and system for securing access to passwords in a computing network environment
JP3791464B2 (en) * 2002-06-07 2006-06-28 ソニー株式会社 Access authority management system, relay server and method, and computer program
US20040003081A1 (en) * 2002-06-26 2004-01-01 Microsoft Corporation System and method for providing program credentials
JP2004310581A (en) * 2003-04-09 2004-11-04 Nec Corp Network connecting method, and network system
JP2004320593A (en) * 2003-04-18 2004-11-11 Sony Computer Entertainment Inc Communication management system and method
EP1620971A2 (en) * 2003-04-29 2006-02-01 Azaire Networks Inc. Method and system for providing sim-based roaming over existing wlan public access infrastructure
JP2005286783A (en) * 2004-03-30 2005-10-13 Hitachi Software Eng Co Ltd Wireless lan connection method and wireless lan client software
US7467402B2 (en) * 2004-08-24 2008-12-16 Whitehat Security, Inc. Automated login session extender for use in security analysis systems
US7603700B2 (en) * 2004-08-31 2009-10-13 Aol Llc Authenticating a client using linked authentication credentials
US20060130140A1 (en) * 2004-12-14 2006-06-15 International Business Machines Corporation System and method for protecting a server against denial of service attacks

Also Published As

Publication number Publication date
WO2008030527A3 (en) 2008-09-25
JP2010503318A (en) 2010-01-28
EP2062129A4 (en) 2011-03-16
EP2060050A4 (en) 2011-03-16
EP2062130A4 (en) 2011-03-16
WO2008030526A3 (en) 2008-07-17
WO2008030526A2 (en) 2008-03-13
JP5276592B2 (en) 2013-08-28
EP2062129A2 (en) 2009-05-27
EP2062130A2 (en) 2009-05-27
JP2010503317A (en) 2010-01-28
EP2060050A2 (en) 2009-05-20
WO2008030525A2 (en) 2008-03-13
JP2010503319A (en) 2010-01-28
JP5276593B2 (en) 2013-08-28
WO2008030527A2 (en) 2008-03-13
WO2008030525A3 (en) 2008-07-31

Similar Documents

Publication Publication Date Title
JP5368307B2 (en) System and method for providing network credentials
US8196188B2 (en) Systems and methods for providing network credentials
US8191124B2 (en) Systems and methods for acquiring network credentials
US8554830B2 (en) Systems and methods for wireless network selection
US8194589B2 (en) Systems and methods for wireless network selection based on attributes stored in a network database
US9913303B2 (en) Systems and methods for network curation
US8549588B2 (en) Systems and methods for obtaining network access
US8743778B2 (en) Systems and methods for obtaining network credentials
US9529985B2 (en) Global authentication service using a global user identifier
US9326138B2 (en) Systems and methods for determining location over a network
TWI455559B (en) Virtual subscriber identity module
EP2206400B1 (en) Systems and methods for wireless network selection
US9445269B2 (en) Terminal identity verification and service authentication method, system and terminal
US8321671B2 (en) Method and apparatus for client-driven profile update in an enterprise wireless network
JP2012531111A (en) System and method for locating via a network

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100906

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100906

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110906

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121113

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130213

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130513

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130702

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130705

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130813

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130912

R150 Certificate of patent or registration of utility model

Ref document number: 5368307

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees