JP5958864B2 - セキュアトンネル型プラットホームシステムおよび方法 - Google Patents

セキュアトンネル型プラットホームシステムおよび方法 Download PDF

Info

Publication number
JP5958864B2
JP5958864B2 JP2013546726A JP2013546726A JP5958864B2 JP 5958864 B2 JP5958864 B2 JP 5958864B2 JP 2013546726 A JP2013546726 A JP 2013546726A JP 2013546726 A JP2013546726 A JP 2013546726A JP 5958864 B2 JP5958864 B2 JP 5958864B2
Authority
JP
Japan
Prior art keywords
computing device
user computing
user
wireless gateway
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013546726A
Other languages
English (en)
Other versions
JP2014508433A (ja
Inventor
ワイズマン−ディアモンド・マーチン・バルサブスキー
フェルナンデス・ゴンサロ・ジュリアン ベカレス
フェルナンデス・ゴンサロ・ジュリアン ベカレス
セブレイロ・ハビアー・イウルギ アルジンソニス
セブレイロ・ハビアー・イウルギ アルジンソニス
カストロ・ジュアン・マヌエル ムニョス
カストロ・ジュアン・マヌエル ムニョス
メドラノ・バプロ・マーチン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
FON WIRERLESS Ltd
Original Assignee
FON WIRERLESS Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by FON WIRERLESS Ltd filed Critical FON WIRERLESS Ltd
Publication of JP2014508433A publication Critical patent/JP2014508433A/ja
Application granted granted Critical
Publication of JP5958864B2 publication Critical patent/JP5958864B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Description

[クロスリファレンス]
本出願は、セキュアトンネル型プラットホームシステムおよび方法(SECURE TUNNELING PLATFORM SYSTEM AND METHOD)の名称で2010年12月30日に出願された米国仮特許出願No.61/428,620と、セキュアトンネル型プラットホームシステムおよび方法(SECURE TUNNELING PLATFORM SYSTEM AND METHOD)の名称で2011年11月14日に出願された米国仮特許出願No.61/559,460とに関し、各出願は、参照することにより、その全体が本明細書に組み込まれる。
本発明は、一般的にはネットワークの帯域共有に関し、より具体的にはネットワークの帯域を共有するユーザを識別することに関する。
Wi-Fi等を介した帯域共有は、同一出願人による米国特許第7,924,780号に記載されるような利点がある現実的な解決方法である。Wi-Fiを介してインターネット等の通信ネットワークにアクセスするユーザは、パブリックインターネット・プロトコル(Internet protocol:IP)アドレスを共有することが多い。たとえば、各インターネット・サービス・プロバイダ(Internet Service Provider:「ISP」)は、1つまたは限定された数のIPアドレスを介してインターネットにアクセスする。インターネットの帯域は、Wi-Fiアクセスポイントを介して利用可能である。ユーザAは、IPOD TOUCHを操作して、Wi-Fiサービスを検索してアクセスすることにより、インターネット上の1つのウェブページにアクセスする。ユーザBは、ラップトップコンピュータを操作して、同じWi-Fiサービスを検索して、インターネット上の別のウェブページにアクセスする。ユーザAおよびユーザBにより操作されるデバイスは、ISPにより提供される単一のパブリックIPアドレスを共有する。この例では、両方のユーザが同じパブリックIPアドレスを共有していたため、どちらのユーザ(ユーザAまたはユーザB)がどのインターネットウェブページにアクセスしたかを決めることができない。
上述の例では、2人のユーザが異なるコンピューティング装置を操作して、同時に、2つの異なるウェブページにアクセスする。ISPは、両方のユーザにより共有され、アクセスされる1つのIPアドレスしか検出できない。したがって、各ユーザを識別することができない。
開示されるシステムおよび方法は、1つまたは複数のネットワーク上で各エンドポイントを示すアドレス情報を記憶させることを含む。第1のコンピューティング装置は、第2のネットワークアドレスに関係する第1のネットワークアドレスを備える。第1のコンピューティング装置と少なくとも1つの処理装置との間にネットワークを通じてセキュアな経路を確立し、セキュアな経路に経路ネットワークアドレスを提供する。セキュアな経路を介した第1の通信セッションが、第1のユーザ・コンピューティング装置と少なくとも1つの処理装置との間に確立される。第1のコンピューティング装置から、少なくとも1つの他のコンピューティング装置にアクセスするための電子認証情報を受信する。認証情報は、認証装置に送信され、認証されると、第1のユーザ・コンピューティング装置から他のコンピューティング装置へのアクセスが許可される。経路ネットワークアドレス、第1のネットワークアドレス、第2のネットワークアドレスおよび少なくとも1つの他のコンピューティング装置の各々が、1つまたは複数のデータベースに記憶される。
本発明を例示する目的で、いくつかの好適な実施形態を図示するが、本発明は、図示される構成や手段に限定されるものではない。本発明の特徴および利点は、添付の図面を参照する以下の本発明の説明から明らかになるであろう。
本願の一実施形態におけるハードウェア構成の一例を示す図。
一実施形態において、コンピューティング装置において設定可能な1つまたは複数の機能部を示す図。
一実施形態において、セキュアトンネル型環境に対応する複数のデバイスを示す図。
一実施形態において、L2TPトンネルを確立する前にIPアドレスを割り当てる様子を示す図。
一実施形態において、L2TPトンネルの確立後であって、PPPセッションの確立前にIPアドレスを割り当てる様子を示す図。
L2TPトンネルとPPPセッションが両方とも確立されている実施形態において、IPアドレスを割り当てる様子を示す図。
本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。 本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。 本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。 本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。 本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。 本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。 本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。 本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。 本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。 本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。
本発明に従う別のハードウェア構成および対応するデータ送信を示す図。 本発明に従う別のハードウェア構成および対応するデータ送信を示す図。 本発明に従う別のハードウェア構成および対応するデータ送信を示す図。
Wi-Fiまたは他の帯域共有により一つの通信ネットワークにアクセスする複数のユーザがほぼ同時に帯域を共有する場合にも各々のユーザを識別するシステムおよび方法を提供する。本発明に従うシステムおよび方法は、さらに、単一のまたは限られた数の共有パブリックIPアドレス上で提供される帯域を含むWi-Fiサービスにより提供される帯域を用いる各ユーザの識別および情報開示を行なうものである。
一実施形態において、パブリックIPアドレスおよび接続に割り当てられたポートを用いてインターネットにアクセス中のユーザを識別する1つまたは複数の情報開示サービスを提供する。参照することによって各出願の内容全体が本明細書に組み込まれる、同一出願人による米国特許第7,924,780号および米国特許第7,995,993号に説明および記載されているシステムおよび方法に加えて、帯域を共有するように情報処理装置に登録し、追加料金なしに登録されている他のユーザの帯域にアクセスする権利を有するユーザには、各々固有のユーザ名が割り当てられる。本明細書に記載するように、セッションおよび接続(ネットワークアドレス変換(network address translation:NAT))を示すアカウンティングログを、たとえば、情報開示を目的として保持するようにしてもよい。アカウンティングは、たとえば、(リモート認証ダイヤルインユーザサービス(Remote Authentication Dial In User Service:RADIUS)サーバにより作成可能な)「PPP」セッション、(RADIUSサーバにより作成可能な)「キャプティブポータル(captive portal)」セッション、および(コンピュータ、ルータまたはその他適当なデバイスであるL2TPネットワークサーバ(L2TP Network Server:LNS)により作成される)NAT変換アカウンティング用に提供される。
本願は、ユーザのコンピューティング装置が1つまたは複数のNATサービスに関与している場合でも、通信ネットワークにおいてユーザを識別するように構成されたルータ、コンピュータまたはその他適当なハードウェア等のデバイスを提供するネットワークトンネル型プラットフォームを含む。同一出願人による米国特許第7,924,780号に図示および記述されるように、登録ユーザの識別情報が受信され、1つまたは複数のデータベースに格納される。登録ネットワークユーザは加入者であり、したがって、明確に識別可能である。たとえば、ユーザは、ユーザ名およびパスワードを与えることにより認証され、ユーザの認証ステータスに応じて、追加料金なしにまたは低料金で、他のユーザのネットワーク帯域を共有することを許可されるようにしてもよい。ユーザの接続IPアドレスおよびTCP/UDPポートをユーザの認証情報(たとえば、ユーザ名およびパスワード)に関連付けることによりユーザの識別を行う。
本発明のユーザ識別機能(capability)は、インターネット・サービス・プロバイダにより実施される最も厳しい対策のセキュリティ・ポリシーおよび法的要件にも適合する。
一実施形態において、ユーザ識別情報は、レイヤ2トンネリング・プロトコル(layer 2 tunneling protocol:L2TP)トンネルを介して提供されるPPPセッションを介して提供される。各ユーザセッションは、L2TPトンネルを介して確立し、L2TPトンネルは、各PPPトンネルに、したがって、各ユーザに、独立インターネット・プロトコル(Internet protocol:IP)アドレスを提供する。ユーザ資格情報および各セッションIPアドレスは、たとえば、認証およびアカウンティング・プロセスにも対応可能なRADIUSサーバによって、ログに記録される。
本発明に従うトンネリングの実施形態は、利用可能なIPアドレスが限定されている環境にも対応する。各ユーザにプライベートIPアドレスを割り当てることにより、パブリックIPアドレスを保護することができる。この実施形態において、各プライベートIPアドレスは、たとえば、1つまたは複数のネットワークアドレス変換(NAT)サーバを介して、ネットワーク・トラフィックがインターネットに到達する前に、1つまたは複数のパブリックIPアドレスに変換される。一実施形態において、複数のプライベートIPアドレスが単一のパブリックIPアドレスにネットワークアドレス変換される(NATされる)(パブリックアドレス変換(public address translation:PAT)またはNATオーバーロードとも称する)。したがって、1つのIPアドレスを別のIPアドレスに変換するという機能を備える。一実施形態において、PATを用いて、プライベートIPアドレスをパブリックIPアドレスに変換する。NATアカウンティングログを提供することにより、明確なユーザ識別が可能になる。
本発明の実施例の多くはIP保護に関するものであるが、本発明は、たとえば、NAT変換を提供しないまたはNAT変換に対応しない実施形態を含む他の実施形態にも対応できる。IPアドレスが限られた数または少数である場合には、プライベートIPアドレスをNATを介して変換して1つまたは複数のパブリックIPアドレスを共有する代わりに、任意の時に接続されるユーザに独立パブリックIPアドレスを単純に割り当てることによって、より単純で安価な実施形態が可能になる。
さらに、一実施形態におけるインフラストラクチャは、たとえば、データセンタおよび通信プロバイダに対して実質的な冗長性を提供する。これによって、たとえば、設定済みルータにおいてトンネルを終了させるネットワーク機器を追加することにより何十万人もの同時利用ユーザに対応する大きな可用性と実質的なスケーラビリティを与えることができる。同時利用ユーザの数が少ない場合には、機能性およびコストの観点から適当なスケーリング(拡大縮小)を行なうようにシステムを調節できる。
一実施形態において、本願は、無線ネットワークおよびポイント・ツー・ポイント(Point-to-Point)接続でよく用いられる認証フレームワークである拡張認証プロトコル(extensible authentication protocol:EAP)を用いる。EAPは、たとえば、IEEE802.11(Wi-Fi)で広く用いられ、WPAおよびWPA2規格は、マルチプルEAP型のIEEE802.1Xを認証機構に採用している。認証プロトコルとして用いられる場合、EAPはキャプティブポータル上で利用可能であり、WPAおよび/またはWPA2と共に用いる場合に適している。たとえば、1つまたは複数の認証情報および/またはプロセスに関連して、LEAP(Lightweight-EAP)、EAP-TLS、EAP-TTLS、EAP-FAST、EAP-SIMおよびEAP-AKAを適用可能である。一実施形態において、802.1Xは、サプリカント(たとえば、スマートフォン、PDA等のモバイル・コンピューティング装置)、オーセンティケータ(たとえば、設定済みルータ)およびサーバを含む。802.1Xを用いて、EAP over Lan (EAPOL)を介してサプリカントからオーセンティケータにEAPメッセージを送信し、その後、RADIUS/Diameterを介してオーセンティケータからサーバにEAPメッセージを送信する。
同一出願人による米国特許第7,924,780号および米国特許第7,995,993号に記載されているシステムおよび方法により採用されたシステム等の少なくとも1つの従来のシステムでは、3つのアクター、すなわち、サプリカント、オーセンティケータおよびサーバが用いられる。このような実施形態において、ユニバーサル・アクセス法(universal access method:UAM)を用いて、パスワード認証プロトコル(password authentication protocol:PAP)メッセージを送信する。その後、HTTPSを用いてサプリカントからUAMサーバに、HTTPを用いてサプリカントからオーセンティケータに、または、RADIUSを用いてオーセンティケータからサーバにデータを送信するようにしてもよい。
トンネリングを使用する本願に従う一実施形態において、3つのアクター、すなわち、サプリカント、オーセンティケータおよびサーバが同様に用いられる。サプリカント、オーセンティケータおよびサーバは、複数のエレメントを含むものでもよい。一実施形態において、たとえば、EAPメッセージは、EAPOLからPPPに転送され、その後、RADIUSに転送される。別の実施形態において、トンネリング「オンデマンド」アーキテクチャを採用することにより、EAPOLからPPPに変換する工程が不要になり、製造者がより簡単に実施できるようになる。別の実施形態において、(PPP認証を開始させるように変更可能な)RADIUSプロキシを採用することもできるし、修正EAPデーモン(daemon)を適用することも可能である。これら2つの実施形態の各々に関する詳細は、図11、図12および図13を参照して、後述する。
以下参照する各図面において、同じ参照番号は同じ構成部を示す。図1は、本願の一実施形態におけるハードウェア構成の一例を示す。本実施形態においてシステム100として総称する構成は、本発明に従う帯域共有サービスを提供するものである。システム100は、(インターネットウェブサーバおよび/またはデータベース・ファイルサーバとして作動するように構成可能な)少なくとも1つの情報処理装置102を備え、情報処理装置102は、通信ネットワーク106にアクセスし、コンピューティング装置104と通信するようにプログラミングおよび設定される。コンピューティング装置104は、パーソナルコンピュータでもよく、また、GOOGLE ANDROID(登録商標)、APPLE IOS、WINDOWS(登録商標) MOBILEオペレーティングシステムの1つまたは複数を作動させるようなモバイルデバイスでもよく、スマートフォン・デバイス、タブレット型コンピューティング装置やその他のモバイル携帯機器を含むものでもよい。
さらに図1を参照して、本明細書に記載する機能への寄与に適した(実質的にルータとして動作可能な)LNSサーバ108およびRADIUSサーバ110も図示されている。コンピューティング装置104、情報処理装置102、ルータ108および/またはサーバ110は、従来の通信プロトコルである伝送制御プロトコル/インターネット・プロトコル(Transmission Control Protocol/ Internet Protocol:TCP/IP)を介して通信するようにしてもよい。少なくとも情報処理装置102およびコンピューティング装置104は、本願に対応する必要のあるすべてのデータベースを備える、または、すべてのデータベースにアクセス可能であることが望ましい。
通信ネットワーク106は、インターネット等のグローバルパブリック通信ネットワークであることが望ましいが、ワイドエリア・ネットワーク(WAN)、ローカルエリア・ネットワーク(LAN)、イントラネットやコンピューティング装置と周辺機器との通信を可能にする他のネットワークでもよい。
好ましい実施形態において、情報処理装置102およびコンピューティング装置104は、MICROSOFT INTERNET EXPLORER、MOZILLA FIREFOX、APPLE SAFARI等のウェブブラウザ・ソフトウェアを備えることが望ましい。情報処理装置102およびコンピューティング装置104は、従来のデータ通信ネットワーク技術のいずれかを用いて、通信ネットワーク106に接続される。
図2は、機能部を示し、これらの機能部の1つまたは複数は、たとえば、情報処理装置102および/またはコンピューティング装置104に設定可能である。図2に示す機能部には、ソフトウェアコードおよび制御作業を実行するために用いられる1つまたは複数の中央処理装置(CPU)202が含まれる。図2に示す他の機能部には、リードオンリーメモリ(read only memory:ROM)204、ランダムアクセスメモリ(random access memory:RAM)206、通信ネットワークを通じて他のコンピューティング装置とデータを送受信する1つまたは複数のネットワーク・インターフェース208、ハードディスク・ドライブ、フロッピー(登録商標)ディスク・ドライブ、テープドライブ、CD ROMまたはDVD等のプログラムコード・データベースおよびアプリケーションデータを記憶する記憶装置210、キーボード、マウス、トラックボール、マイクロフォン等の1つまたは複数の入力装置212、およびディスプレイ214が含まれる。
図2に示す種々の構成部は、単一のデバイスシャーシ内に物理的に内蔵される必要はなく、単一の場所に設置される必要もない。たとえば、記憶装置210を、情報処理装置102の残りの構成部から離れた場所に設置するようにしてもよく、ネットワーク・インターフェース208を介して通信ネットワークを通じてCPU202に接続されるようにしてもよい。情報処理装置102および/またはコンピューティング装置104は、必要なデータベース、フォーラムおよびハイパーテキスト・マークアップ言語(hypertext markup lauguage:HTML)でやり取りするその他コミュニティ・サービス、Java(登録商標)アプレットおよびActive-X制御プログラムを提供するまたはこれらにアクセス可能なように、十分な記憶容量を備えるメモリを備えるようにしてもよい。情報処理装置102および/またはコンピューティング装置104は、図2に示す構成部等、予想される動作環境に適した構成部を備える。予想される需要を満たすことができる容量となるように、CPU202、ネットワーク・インターフェース208ならびにならびにメモリおよび記憶装置が選択される。
本願の特性として、コンピュータが実行可能なコード(すなわち、ソフトウェア)書き込みを行う当業者は、以下に限定されるものではないが、C、C++、Visual Basic、JAVA(登録商標)、HTML、XML、ACTIVE SERVER PAGES、JAVA(登録商標)サーバページ、サーブレット、MYSQLおよびPHPを含む一般的なコンピュータプログラミング言語および開発環境の組み合わせの内1つまたは複数を用いて、本明細書に記載する機能を実行することができる。
以下、実施形態に基づき、ウェブブラウザおよびウェブサイト・サーバ(たとえば、情報処理装置102)を用いるウェブに基づくシステムを例にとって、本願を詳述するが、システム100はこのような構成に限定されるものではない。情報処理装置102および/またはコンピューティング装置104が、任意の従来の通信方法を用いて、たとえば、インターネットパケット交換(Interrnet Packet Exchange (IPX)、ダイアルアップ、サードパーティ、プライベートネットワークまたは付加価値通信網(value added network:VAN)等のローカルエリア・ネットワーク・プロトコルと組み合わせた非インターネット型ブラウザWINDOWS(登録商標)ビューア−を用いて、通信を行ってデータを出力するように、システム100を構成するようにしてもよい。
さらに、情報処理装置102および/またはコンピューティング装置104上では、任意の適当なオペレーティングシステム、たとえば、DOS、WINDOWS 3.x(登録商標)、WINDOWS 95(登録商標)、WINDOWS 98(登録商標)、WINDOWS NT(登録商標)、WINDOWS 2000(登録商標)、WINDOWS ME(登録商標)、WINDOWS CE(登録商標)、WINDOWS POCKET PC(登録商標)、WINDOWS XP(登録商標)、WINDOWS VISTA(登録商標)、WINDOWS 7(登録商標)、MAC OS、UNIX(登録商標)、LINUX(登録商標)、PALM OS、POCKET PC、BLACKBERRY、ANDROID(登録商標)、IOSおよび任意の他の適当なオペレーティングシステム、を用いることができる。
図3は、一実施形態において、セキュアトンネル型環境に対応する複数のデバイスを示し、これに関係する各通信フローを識別する様子を示す。図3の実施形態に示すように、設定済みルータ302は、たとえば、ホワイトリスト・ドメイン、ウェルカムページURL(uniform resource locator)、L2TPサーバ(LNS)詳細等を含む設定プロファイル情報を得るためのRADIUS要求を、RADIUSプロキシサーバ304に送信する(ステップ9)。一実施形態において、RADIUSプロキシサーバは、ユーザ要求および設定済みルータ302の設定要求に対して、認証およびアカウンティングを行う。これに応じて、RADIUSプロキシサーバ304は、設定プロファイル情報を設定済みルータ302に送信する(ステップ2)。ユーザーのアクセスが許可されたまたは認可されたドメイン(ホワイトリスト・ドメイン)にハイパーテキスト転送プロトコル(hypertext transport protocol:HTTP)要求が送信されると、設定済みルータ302は、このHTTP要求をユーザに転送する。ユーザは、ルータのパブリックIPアドレスを用いてNATを介してトラフィックを変換し、インターネットに転送する(ステップ3)。HTTP応答がユーザのウェブブラウザ・ソフトウェア・アプリケーションに送信される(ステップ4)。
ステップ5で、ユーザは、HTTPプロトコルを用いて、ホワイトリストではないウェブサーバへの接続(従来の認証が要求される)を試みる。ステップ6で、設定済みルータ302(図では「Fonera」(フォネラ))は、HTTPプロトコルを用いて、キャプティブポータル(ウェブサーバ320)にユーザをリダイレクトする。この処理は、ウェブ認証が用いられる実施形態で実行される。ステップ7および8で、ユーザデバイス306は、HTTPプロトコルで、キャプティブポータルを要求し、ウェブサーバ320は、ログインフォームを含むキャプティブポータルを送信する。ステップ9で、ユーザデバイス306は、望ましくはパスワード認証プロトコル(password authentication protocol:PAP)を介してウェブサーバ320に認証情報を送信する。ウェブサーバ320は、ローカルまたはリモートデータベースまたはシステムとの間で認証情報を照合する(ステップ10)。この場合、2つのシステム間で規定される任意の適当なプロトコルを用いるようにしてもよい。たとえば、ユーザデバイス306がトンネルを確立するために後で用いるワンタイム・パスワードを用いて、別のHTTPリダイレクトを形成する。
ユーザ認証情報が認証されると、トンネル確立プロセスが開始される。ユーザデバイス306は、HTTPプロトコルで、受信したワンタイム・パスワードを設定済みルータ302に送信する(ステップ12)。設定済みルータ302は、その後、L2TPレイヤ2トンネルを開始し(ステップ13)、ワンタイム・パスワードを用いて、LNSサーバ308との間で、L2TPレイヤ2トンネル上においてPPPセッションを開始する(ステップ14)。LNSサーバ308は、認証要求を、RADIUSプロキシサーバ304とのRADIUS通信に変換する(ステップ15)。RADIUSプロキシサーバ304は、認証情報を最終RADIUSサーバ316に転送する(ステップ16)。最終RADIUSサーバ316は、ワンタイム・パスワードを認証する。この実施形態において、インターネットを通じてやり取りされる認証情報を保護するために、304と316との間の通信は、セキュアVPNトンネルを通じて行われることが望ましい。また、このVPNを提供するために、DCR312および314が用いられる。
さらに図3を参照して、認証成功メッセージ(アクセス承認)がRADIUサーバ316からRADIUSプロキシサーバ304に送信された(ステップ17)後、このメッセージはLNS RADIUS308に送信される(ステップ18)。LNS RADIUS308は、認証情報が有効であり、PPPセッションが正しく確立されたことを、設定済みルータ302に通知する(ステップ19)。PPPセッションの確立後、トラフィック・アカウンティングが提供される。たとえば、設定済みルータ302は、RADIUSアカウンティング開始パッケージをRADIUSプロキシサーバ304に送信することにより、アカウンティング・プロセスを開始する(ステップ20)。RADIUSプロキシサーバ304は、パッケージをRADIUSサーバ316に転送する(ステップ21)。RADIUSサーバ316からの応答は、RADIUSプロキシサーバ304に送信され(ステップ22)、RARIUSプロキシサーバ304は、この応答を設定済みルータ302に送信する(ステップ23)。
プロセスのこの時点で、ユーザは既に認証されており、確立されたトンネルを用いて自由にインターネットに接続可能である。設定済みルータ302がLNSサーバ308から肯定的認証確認を受信すると(ステップ19参照)、ステップ24で、(必要に応じてNATまたはPATを含む)ルールを実行し、ユーザデバイス306のトラフィックを最近確立されたPPPセッション内に導入する。その後およびこの時点以降、ユーザは、認証されて、インターネット上の任意のサーバに自由にナビゲート可能であるが、トラフィックはトンネルを通じてルーティングされる。
さらに図3を参照して、トンネリングされ、場合によってタッピング/ミラーリングされるトラフィックが図示されている。図3の実施形態では、ユーザ要求がインターネット上の任意のサーバ(たとえば、HTTP、SMTP、VoIP等)にアクセスされると(ステップ25)、ユーザ・トラフィックがトンネルを通じて送信される。設定済みルータ302は、PPPトンネルに要求およびそれに続いてトラフィックを転送し(ステップ26)、LNSサーバ308に送信する。LNSサーバ308は、パブリックアドレス変換(public address translation:PAT)を行うように設定されている場合には、パブリックアドレス変換を行い(ステップ27)、場合によっては、さらに、仲介デバイスにユーザ・トラフィックを注入する(ミラーリングまたは複製する)(ステップ28)。仲介デバイスは、たとえば、オンデマンドでユーザ・トラフィックのミラーリングを要求する警察や他の機関に対してアクセス可能なまたはアクセスするように設定可能なシステムでもよい。さらに、送付先(最初に要求されたサーバ)までのユーザ・トラフィックのルーティングが行われる(ステップ29)この通信経路は、逆方向でも同様に機能する(必要に応じて仲介デバイスに入力トラフィックをミラーリングして、最終的に、エンドユーザ・デバイスに送信する(ステップ30〜33))。
したがって、実施形態を参照して上述したように、ホワイトリスト・ドメインおよび非ホワイトリスト・ドメインへのアクセスと、ウェブサーバ認証、トンネル認証およびキャプティブポータル認証を含むユーザ認証およびユーザ承認と、を含むユーザ接続フローが提供される。
一実施形態において、少なくとも3つのセッション・アカウンティングの統合が行われる。1つ目は、1つまたは複数のRADIUSサーバ110によるPPPセッション・アカウンティングである。2つ目は、RADIUSサーバ110により作成されるキャプティブポータル・セッション・アカウンティングである。3つ目は、LNSサーバ108により提供されるNATアカウンティングである。PPPセッション・アカウンティングは、少なくとも、ユーザのセッション開始時間と終了時間およびPPPセッションが終了する各LNSのIPアドレスを含むものでもよい。PPPセッション・アカウンティングは、さらに、LNS用のトンネルIPソースに含まれる、ユーザのインターネット・サービス・プロバイダ(Internet service provider:ISP)によりユーザに提供されるルータ装置等のカスタマ構内設備(customer premises equipment:CPE)307への割当IPアドレスを含むものでもよい。これは、CPE307が設定済みルータワイドエリア・ネットワーク(wide area network:WAN)IPアドレスを変換する(NATする)ためである。一実施形態において、CPE307には、インターネット接続のためのルータおよび/またはインターネット・アクセスポイントが含まれる。PPPセッション・アカウンティングに含まれる他の情報としては、PPPセッション用にLNSにより設定済みルータに割り当てられたプライベートIPアドレスや、ユーザのユーザ名、アカウンティングパケットの種類、および、FONの固有セッション識別子が挙げられる。FONの固有セッション識別子は、キャプティブポータル・セッション用の識別子と同一のものでもよい。
一実施形態において、キャプティブポータルは、設定済みルータ302におけるユーザ認証およびアカウンティングを管理する。キャプティブポータル・セッション・アカウンティングは、ユーザのセッション開始時間とセッション終了時間、ユーザのユーザ名、ユーザデバイスの種類(スマートフォン等)とメディアアクセス制御(media access control:MAC)アドレス、ユーザのCPE307のMACアドレス、DHCPを介して設定済みルータにより割り当てられるユーザのコンピューティング装置(スマートフォン等)のIPアドレスおよび(PPPセッションに関して上述したものと同じ)固有セッション識別子の中の1つまたは複数を含むことが望ましい。
さらに、NAT変換セッション・アカウンティングは、LNSサーバ108により作成され、変換作成時間、変換削除時間、アカウンティングの種類(たとえば、NAT作成またはNAT削除)、レイヤ4通信プロトコル(UDPまたはTCP)、PPPセッションIPアドレス(内部アドレス)とポート、変換に用いられるLNSパブリックIPアドレスとポート、および、ユーザが到達するインターネットIPアドレスとポートの中の1つまたは複数を含む。
各セッションアカウンティングに従って、ユーザトラッキングおよび識別が行われる。たとえば、ユーザのパブリックIPアドレス、TCPまたはUDPポートおよびタイムフレームは、あらかじめ分かっている。本願では、この情報を用いて、タイムフレームが適当であれば(すなわち、24時間のタイムフレームにおいて、複数のPPPセッションが、それぞれ別の時間に同一のプライベートIPアドレスを共有することが可能である)、単一のPPPセッションに関係し、そのPPPセッションに割り当てられたプライベートIPアドレスを検索する。さらに、PPPセッションIPアドレスを用いて、そのIPアドレス用のPPPセッション・アカウンティングを決めることができ、また、ユーザのユーザ名とCPE307アドレスを決めることができる。
さらに情報が必要な場合には(たとえば、ユーザデバイスのMACアドレス)、固有セッションIDを取得し、同じ固有セッションIDを有するキャプティブポータルのユーザセッションを検索することが可能である。これにより、ユーザデバイスのMACアドレスおよび設定済みルータのMACアドレスを識別することができる。
本発明は、スケーラビリティと冗長性とを促進するためのモジュラー設計を含む「ライブ・プラットフォーム」を提供する。一実施形態において、LNSサブプラットフォームは、設定済みルータ302から開始されるL2TP PPPトンネルを終了させる。LNSサブプラットフォームは、さらに、ユーザのセッションにプライベートIPアドレスを割り当て、プライベートIPアドレスをパブリックIPアドレスに変換し、NATアカウンティングを作成し、外部システムログに転送し、RADIUSプロトコルを用いてユーザのセッションを認証し、RADIUSプロトコルを用いてセッション・アカウンティングを作成するものでもよい。
また、暗号化トンネル(Gre/IPSec)にセキュアなRADIUS認証およびその他のトランザクション用のプラットフォームを備えることが可能な1つまたは複数の設定済みルータ/ファイヤウォールを含む情報技術(information technology:IT)サービス・プラットフォームを提供することもできる。ITサービス・プラットフォームは、データセンタに設置されるサーバを保護するために、1つまたは複数のファイヤウォール機能を実行するものでもよい。ITサービスフラットフォームは、また、RADIUSプロキシサーバを備えるものでもよい。一実施形態において、RADIUSプロキシサーバは、RADIUS認証およびアカウンティングを集中させて、本発明に従うシステムおよび方法のプロバイダまたは所有者により維持または管理され、世界中の何れの場所に設置されていてもかまわないRADIUSサーバ110に、RADIUS認証およびアカウンティングに関連する情報を転送する。さらに、モニタリングサーバを備えるものでもよい。モニタリングサーバは、ネットワークとサーバ装置のヘルス・ステータスをチェックして、本発明に従うシステムおよび方法のプロバイダまたは所有者により維持または管理されるものでもよい集中型モニタ・プラットフォームに、ヘルスチェックの情報を転送するように構成される。さらに、情報開示サーバを備えるものでもよい。情報開示サーバは、情報開示作業に必要な情報(RADIUSログ、NATアカウンティング等)を記憶し、データ抽出用のセキュアなウェブ・インターフェースを提供する。
LNSサブプラットフォーム、境界スイッチに加えて、本明細書で記載するプラットフォームは、LNSおよびITサービス・サブプラットフォームからのトラフィックを集約すると共に、ISP集約プラットフォームとのIP接続を可能にし、また、冗長性を目的としたデータセンタ間の接続を可能にするように構成される。
別の実施形態において、PPPおよびL2TPをPPPoE技術に置き換えることも可能である。さらに、第2のルータ装置(たとえば、設定済みルータ302)とCPEとの組み合わせをISP(たとえば、CPE)装置の単一カスタマ構内設備に置き換えることも可能である。このような実施形態では、たとえば、機器の数が削減できるため、より効率が高く、コストが少なくてすむ。
図4〜図6に、実施形態において、IPアドレス指定に関係する「ライブ・プラットフォーム」におけるハードウェア装置間の情報のフローを例示する。
図4は、一実施形態において、L2TPトンネルを確立する前にIPアドレスを割り当てる様子を示す。複数のIPアドレスが、本願の各ユーザデバイスに割り当てられる。図4に示す例では、IPアドレス402(図では、192.168.182.10)は、インターネットアクセス可能に構成される携帯電話(たとえば、「スマートフォン」)、携帯情報端末(たとえば、IPOD TOUCH)、3G、4Gおよび/またはWi-Fi接続に対応するように設定可能なタブレットコンピューティング装置、または任意の他の適当なデバイス等のデバイス用に、設定済みルータ302により割り当てられるプライベートIPアドレスである。IPアドレス404(図では、192.168.182.1)は、設定済みルータ302用に割り当てられるプライベートIPアドレスであり、ユーザのローカルエリア・ネットワーク(LAN)に適用可能である。IPアドレス404は、あらかじめ設定される(たとえば、あらかじめ設定された状態でユーザに配布される)ものでもよいし、あるいは、ユーザ等によりユーザ宅内で設定されるものでもよい。外部IPアドレス406(図では、172.16.34.10)は、設定済みルータ302用のワイドエリア・ネットワーク(WAN)プライベートIPアドレスであり、たとえば、DHCPを介してCPE307により割り当てられるものでもよい。あるいは、IPアドレス406は、ユーザ等によりユーザ宅内で割り当てられるものでもよい。
図4に示すIPアドレス割り当ての例をさらに参照して、IPアドレス408(図では、172.16.34.1)は、ユーザのローカルエリア・ネットワーク(LAN)用に、CPE307に対して割り当てられる。図示される例では、IPアドレス408は、ユーザのISPにより割り当てられるプライベートIPアドレスであり、CPE307は、IPアドレスを用いてあらかじめ設定されるものでもよいし、あるいは、ユーザ宅内で設定されるものでもよい。IPアドレス410(図では、62.134.8.18)は、ワイドエリア・ネットワーク(WAN)パブリックIPアドレスであり、たとえば、DHCP、ポイント・ツー・ポイント・プロトコル・オーバーイーサネット(登録商標)(Point to Point Protocol over Ethernet(登録商標):「PPPoE」)または他の適当な動的または静的手段を介してユーザのISPにより割り当てられる。IPアドレス412(図では、62.134.8.17)は、CPE307用のデフォルト・ゲートウェイで、ユーザのISPにより提供される。
したがって、図4に示すように、設定済みルータ302におけるPAT414は、図に192.168.182.0/24で示す「内部」ネットワークIPアドレスレンジを提供し、この「内部」ネットワークIPアドレスレンジは、図に172.16.34.10で示す「外部」IPアドレスに接続される。CPE307のPAT416は、図に172.16.34.0/24で示す「内部」ネットワークIPアドレスレンジを提供し、この「内部」ネットワークIPアドレスレンジは、図に62.134.8.18で示す「外部」IPアドレスに接続される。したがって、図4に示すように、IPアドレスレンジ192.168.182.0/24またはアドレスレンジ172.16.34.0/24内でローカルエリア・ネットワークに接続されるスマートフォン等の任意のコンピューティング装置は、PATプロセスによりCPE307を介して設定されるパブリックIPアドレス62.134.8.18を用いる。この例では、L2TPトンネルの確立前に、各接続およびネットワークに接続されるデバイスのIPアドレスを確定することはできない。
図5は、一実施形態において、L2TPトンネルの確立後であって、PPPセッションの確立前にIPアドレスを割り当てる様子を示す。PPPセッションの前には、IPアドレスレンジ192.168.182.0/24内で、ローカルエリア・ネットワークに接続されるスマートフォンやその他のノードに関して、IPアドレス指定は変化しない。図4を参照して上述したように、設定済みルータ302で外部IPアドレス172.16.34.10に対してPATが生じる。設定済みルータ302により単一のL2TPトンネル502が確立され、LNSサーバに対するダイレクト(たとえば、物理的な)接続(たとえば、レイヤ2機能を有するケーブルを介して)がエミュレートされる。図5に示す例では、宛先IPアドレスは、LNSサーバ108のWAN IPアドレスである205.67.78.20である。CPE307におけるPATの結果、内部ネットワーク172.16.34.0/24は外部IPアドレス62.134.8.18に変換される。L2TPトンネルソースIPアドレス410は、外部IPアドレス410(図4)に変換される。この段階では、L2TPトンネルのみが確立され、PPPセッションは確立されていないため、ユーザ・トラフィックの送信は行われない。LNSサーバ108は、IPアドレス410(図では、62.134.8.18)および宛先IP205.67.78.20を確認する。さらに、ループバックIPアドレス(1.1.1.1)が、LNSサーバ108(図では、205.67.78.20)のWAN IPアドレスに用いられる。
図6は、L2TPトンネルとPPPセッションが両方とも確立されている実施形態において、IPアドレスを割り当てる様子を示す。設定済みルータ302において、PPPセッション用の静的NATが生じる。この静的NATは、PPPセッションの前に生じた前回のPATプロセスよりも優先度が高いと考えられる。ユーザデバイスと設定済みルータ302との間の初期通信の間、スマートフォン等のエンドユーザ・デバイスにおけるIPアドレス指定は変化しない。PPPセッションIPアドレスは規定される(図5に10.128.40.34として示す)。複数のPPPセッションをL2TPトンネルを通して送信可能であり、LNSサーバ108は、各PPPセッションに異なるプライベートIPアドレスを割り当てることができる。さらに図6に示すように、IPソースアドレス(図では、10.128.40.34)から宛先IP1.1.1.1(たとえば、IPループバックIPアドレス)へのPPPトンネルアドレス指定が行われる。(図5を参照して上述したように)設定済みルータ302において、L2TPトンネルソースIPアドレス410は、外部IPアドレス410(図4)に変換される。IPアドレスはカプセル化されてL2TPトンネル内に導入されるため、L2TPトンネルの確立後は、PPPセッションIPアドレスを変換しないことが望ましい。その後、CPE307においてPATプロセスが生じると、PPPセッション・デフォルト・ゲートウェイが規定される。L2TPトンネルのために、レイヤ2接続がエミュレートされ、設定済みルータ302は、LNS504のIPループバックIPアドレスに直接接続されているとみなされる。その後、LNS504においてPATプロセスが生じ、PPPセッションのトラフィックは、最終的な宛先に送るためにインターネットに転送される前に、変換される。図6に示す例では、ネットワークソースIPアドレスは、IPアドレスレンジ10.128.0.0/16内であり、ネットワーク宛先IPあどれすは、IPアドレスレンジ205.67.80.64/26内である。その後、PATアカウンティングが記憶されることが望ましく、インターネットにおけるユーザデバイス(たとえば、スマートフォン)のIPアドレス(図では、205.67.80.65)が識別可能となる。
図7〜図10は、4つの実施形態における冗長性を示すハードウェア・インフラストラクチャ700、800、900および1000を例示する。
図11〜図13は、本発明に従う実施形態を示す。上述したように、EAPを用いて、ユーザ認証等の認証情報を送信するようにしてもよい。ただし、従来のシステムでは、スマートフォン等のモバイル・コンピューティング装置からRADIUSサーバ110等の認証サーバへの認証情報の送信にEAPを利用することはできない。
一実施形態において、データは、1つのフォーマットでカプセル化され、スマートフォンであるコンピューティング装置104等の1つのデバイスから送信され、EAPカプセルを除去してPPP等の別のプロトコルを用いて認証情報をカプセル化する別のデバイスに送信される。その後、RADIUSサーバ110等の別のデバイスに送信される。RADIUSサーバ110は、カプセル化されたPPP認証情報を受信すると、認証情報を用いてユーザ認証を行って(あるいは、認証情報が不正であるまたは別の理由で認証を行わずに)、PPPを介して応答を送信する。PPPを介して受信した応答は、コンピューティング装置104に返信される前に、開封されて、EAPにカプセル化しなおされる。
図11は、データ送信と採用されている各通信プロトコルに加えて、ハードウェア構成1100を例示する。図11に示すように、1つのフェーズで認証が行われる。ハンドセット104を用いるユーザは、802.1x(EAPOL)を用いて関連付けを試み、このプロトコルでカプセル化されたEAPメッセージを送信する(ステップS1102)。設定済みルータ302は、EAPメッセージをEAPOLからPPPに変換し、LNSに送信する(ステップS1104)。LNSサーバ108は、EAPメッセージをPPPカプセルからRADIUSカプセルに変換し、RADIUSサーバ110に転送する(ステップS1106)。
したがって、図11に示すように、設定済みルータ302は、EAPOLカプセル内の認証情報を受信し、EAPOLカプセルを除去して、認証情報をPPPにカプセル化し、LNSサーバ108に送信する。LNSサーバ108は、PPPパケットを受信し、RADIUSプロトコルで、RADIUSサーバ110にEAP認証情報を転送する。認証成功は、ルータ302とLNSサーバ108との間にPPP/L2TPトンネルが確立されたことを意味する。トンネルは、ユーザハンドセット104に固有のものであり、このデバイスから入出力されるトラフィックは、セッションが終了するまでトンネルを通るようにルーティングされる。
図12は、データ送信と採用されている各通信プロトコルに加えて、ハードウェア構成1200を例示する。図12に示される例では、トンネルの確立は、2つのフェーズで行なわれる。フェーズ1では、ユーザ認証が実行される。ユーザは、802.1x(EAPOL)を用いて信号の関連付けを試み、このプロトコルでカプセル化されたEAPメッセージを送信する(ステップS1202)。設定済みルータ302は、EAPメッセージをEAPOLカプセルからRADIUSフォーマットに変換し、直接RADIUSサーバ110に送信する(ステップS1204)。フェーズ2では、たとえばRADIUSサーバ110によってユーザが認証された場合、RADIUSサーバ110は、必要に応じて、設定済みサーバ302にワンタイム・パスワードを返信する。設定済みサーバ302は、このワンタイム・パスワードを用いて、LNS108との間にL2TP/PPPトンネルを確立し、L2TP/PPPトンネルを用いたユーザ・トラフィックのルーティングが行われる(ステップS1206)。
したがって、図12に示すように、ユーザデバイス104は、(図示しない)ユーザ認証情報を有し、802.1x(EAPOL)プロトコルを用いて設定済みルータ302との関連付けを開始する。EAPを用いて、ユーザを認証するメッセージを送信する。EAPメッセージは、用いられるEAPの種類(EAP-SIM、EAP-AKA、EAP-TTLSやその他適当な種類)に応じて異なるものでもよい。設定済みルータ302は、802.1x(EAPOL)でカプセル化されたEAPメッセージをRADIUSパケットにカプセル化しなおし、ユーザ認証のために、RADIUSサーバに送信する。RADIUSサーバ110は、RADIUSカプセル化された新しいEAPメッセージをLNSサーバ108に返信する(当技術分野で周知のように、認証情報が認証されたとみなされるまで、このプロセスが複数回実行されることもある)。承認メッセージと共に、(必要に応じて)ワンタイム・パスワードを設定済みルータ302に送信するようにしてもよい。RADIUSサーバ110がワンタイム・パスワード(パラメータで識別可能なものでもよい)を送信すると、設定済みルータ302は、受信したワンタイム・パスワードを用いてL2TP/PPPパケットを作成し、(たとえば、PAP、CHAP、EAP等の適当な認証プロトコルを介して)LNSサーバ108に対するPPPセッションを確立する(ステップS1208)。
さらに図12を参照して、RADIUSサーバ110の承認メッセージを受信後に、または、(必要に応じて)PPPが確立後に、設定済みルータ302は、RADIUSサーバ110からクライアントデバイス104にEAPメッセージを転送して、関連付けを可能にする。その後、トンネルが確立されている場合には、トンネルを用いて、トラフィックがインターネットに転送される。
図13は、データ送信と採用されている各通信プロトコルに加えて、ハードウェア構成1300を例示する。図13に示す実施形態は、図3を参照して上述したものを簡略化した図である。
したがって、本発明は、Wi-Fiまたは他の帯域共有により一つの通信ネットワークにアクセスする各ユーザを識別するシステムおよび方法を提供する。共有パブリックIPアドレスを介して、Wi-Fiサービスの個々のユーザを識別し、たとえば、当局に情報開示することが可能になる。
本発明を特定の実施形態に関連付けて記載および図示したが、当業者には自明のように、他の多くの態様に変更および変形可能であり、他の態様で使用可能である。したがって、さまざまな実施形態および変形態様を記載したが、本発明は何らこれらに限定されるものではない。
本発明は、たとえば、以下のような態様で実現することもできる。

適用例1:
方法であって、
無線ゲートウェイ装置により、ユーザ・コンピューティング装置から、ネットワークアクセスのための要求を受信する工程であって、前記要求は、認証情報を含み、第1の通信プロトコルで受信される、工程と、
前記無線ゲートウェイ装置により、前記第1の通信プロトコルと異なる第2の通信プロトコルに適合するように、前記要求をフォーマットする工程と、
前記無線ゲートウェイ装置により、少なくとも1つの認証コンピューティング装置に、前記フォーマットされた要求を送信する工程と、
前記無線ゲートウェイ装置により、前記少なくとも1つの認証コンピューティング装置から、前記ネットワークアクセスのための要求を許可する応答を受信する工程であって、前記応答は、前記第2の通信プロトコルに適合するようにフォーマットされる、工程と、
前記無線ゲートウェイ装置により、前記第1の通信プロトコルに適合するように、前記応答をフォーマットする工程と、
前記無線ゲートウェイ装置により、前記ユーザ・コンピューティング装置に、前記フォーマットされた応答を送信する工程と、
前記少なくとも1つの認証コンピューティング装置と前記ユーザ・コンピューティング装置との間に、第1の通信経路を確立する工程と、
前記少なくとも1つの認証コンピューティング装置により、前記第1の通信経路を介して、少なくとも1つの他のコンピューティング装置に対するアクセス要求を受信する工程と、
前記少なくとも1つの認証コンピューティング装置により、前記少なくとも1つの他のコンピューティング装置に、前記アクセス要求を転送する工程と、
前記少なくとも1つの認証装置により、前記少なくとも1つの他のコンピューティング装置から、前記アクセス要求を許可する応答を受信する工程と、
前記少なくとも1つの認証装置により、前記ユーザ・コンピューティング装置に、前記アクセス要求を許可する前記応答を転送する工程と、
前記少なくとも1つの認証装置により、少なくとも1つのデータベースに、前記ユーザ・コンピューティング装置と前記少なくとも1つの他のコンピューティング装置のうちの少なくとも1つのIDを記憶させる工程と、を備える方法。

適用例2:
適用例1の方法であって、
前記第1の通信プロトコルは、HTTPである、方法。

適用例3:
適用例1の方法であって、
前記第1の通信プロトコルは、EAPである、方法。

適用例4:
適用例1の方法であって、
前記第2の通信プロトコルは、PPPである、方法。

適用例5:
適用例1の方法であって、
前記少なくとも1つの認証装置は、レイヤ2トンネリング・プロトコル・ネットワークサーバ(LNS)を含む、方法。

適用例6:
適用例5の方法であって、さらに、
前記LNSにより、前記ネットワークアクセスのための要求を再フォーマットする工程であって、前記再フォーマットは、前記第1の通信プロトコルおよび前記第2の通信プロトコルと異なる第3の通信プロトコルにより行われる、工程と、
前記LNSにより、少なくとも1つの第2の認証装置に、前記再フォーマットされた要求を送信する工程と、を備える方法。

適用例7:
適用例6の方法であって、
前記第3の通信プロトコルは、RADIUSプロトコルである、方法。

適用例8:
適用例6の方法であって、
前記少なくとも1つの第2の認証装置は、RADIUSサーバである、方法。

適用例9:
適用例1の方法であって、
前記無線ゲートウェイ装置によるフォーマットは、ポイント・ツー・ポイント・プロトコルで前記要求をカプセル化することを含む、方法。

適用例10:
適用例1の方法であって、
前記認証装置は、さらに、ユーザ認証情報とセッションアドレスとをログ化する、方法。

適用例11:
適用例1の方法であって、さらに、
前記無線ゲートウェイ装置により、第2のユーザ・コンピューティング装置から、ネットワークアクセスのための第2の要求を受信する工程であって、前記第2の要求は、認証情報を含み、前記第1の通信プロトコルで受信される、工程と、
前記無線ゲートウェイ装置により、前記第1の通信プロトコルと異なる前記第2の通信プロトコルに適合するように、前記第2の要求をフォーマットする工程と、
前記無線ゲートウェイ装置により、前記少なくとも1つの認証コンピューティング装置に、前記フォーマットされた第2の要求を送信する工程と、
前記無線ゲートウェイ装置により、前記少なくとも1つの認証コンピューティング装置から、前記ネットワークアクセスのための第2の要求を許可する第2の応答を受信する工程であって、前記第2の応答は、前記第2の通信プロトコルに適合するようにフォーマットされる、工程と、
前記無線ゲートウェイ装置により、前記第1の通信プロトコルに適合するように、前記第2の応答をフォーマットする工程と、
前記無線ゲートウェイ装置により、前記第2のユーザ・コンピューティング装置に、前記フォーマットされた第2の応答を送信する工程と、
前記少なくとも1つの認証コンピューティング装置と前記第2のユーザ・コンピューティング装置との間に、第2の通信経路を確立する工程と、
前記少なくとも1つの認証コンピューティング装置により、前記第2の通信経路を介して、少なくとも1つの他のコンピューティング装置に対するアクセス要求を受信する工程と、
前記少なくとも1つの認証コンピューティング装置により、前記少なくとも1つの他のコンピューティング装置に、前記アクセス要求を転送する工程と、
前記少なくとも1つの認証装置により、前記少なくとも1つの他のコンピューティング装置から、前記アクセス要求を許可する応答を受信する工程と、
前記少なくとも1つの認証装置により、前記第2のユーザ・コンピューティング装置に、前記アクセス要求を許可する前記応答を転送する工程と、
前記少なくとも1つの認証装置により、少なくとも1つのデータベースに、前記第2のユーザ・コンピューティング装置と前記少なくとも1つの他のコンピューティング装置のうちの少なくとも1つのIDを記憶させる工程と、を備える方法。

適用例12:
システムであって、
ユーザ・コンピューティング装置から、ネットワークアクセスのための要求であって、認証情報を含む要求を、第1の通信プロトコルで受信する無線ゲートウェイ装置であって、
前記第1の通信プロトコルと異なる第2の通信プロトコルに適合するように、前記要求をフォーマットし、
少なくとも1つの認証コンピューティング装置に、前記フォーマットされた要求を送信し、
前記少なくとも1つの認証コンピューティング装置から、前記ネットワークアクセスのための要求を許可する応答であって、前記第2の通信プロトコルに適合するようにフォーマットされる応答を受信し、
前記第1の通信プロトコルに適合するように、前記応答をフォーマットし、
前記ユーザ・コンピューティング装置に、前記フォーマットされた応答を送信する、ように構成される無線ゲートウェイ装置と、
前記少なくとも1つの認証コンピューティング装置と前記ユーザ・コンピューティング装置との間に確立される第1の通信経路と、を備え、
前記少なくとも1つの認証コンピューティング装置は、少なくとも1つの他のコンピューティング装置に対するアクセス要求を、前記第1の通信経路を介して受信し、
前記少なくとも1つの認証コンピューティング装置は、前記少なくとも1つの他のコンピューティング装置に、前記要求を転送し、
前記少なくとも1つの認証装置は、前記アクセス要求を許可する応答を、前記少なくとも1つの他のコンピューティング装置から受信して、前記ユーザ・コンピューティング装置に転送し、
前記少なくとも1つの認証装置は、少なくとも1つのデータベースに、前記ユーザ・コンピューティング装置と前記少なくとも1つの他のコンピューティング装置のうちの少なくとも1つのIDを記憶する、システム。

適用例13:
適用例12のシステムであって、
前記第1の通信プロトコルは、HTTPである、システム。

適用例14:
適用例12のシステムであって、
前記第1の通信プロトコルは、EAPである、システム。

適用例15:
適用例12のシステムであって、
前記第2の通信プロトコルは、PPPである、システム。

適用例16:
適用例12のシステムであって、
前記少なくとも1つの認証装置は、レイヤ2トンネリング・プロトコル・ネットワークサーバ(LNS)を含む、システム。

適用例17:
適用例16のシステムであって、
前記LNSは、前記第1の通信プロトコルおよび前記第2の通信プロトコルと異なる第3の通信プロトコルに、前記ネットワークアクセスのための要求を再フォーマットし、少なくとも1つの第2の認証装置に、前記再フォーマットされた要求を送信する、システム。

適用例18:
適用例17のシステムであって、
前記第3の通信プロトコルは、RADIUSプロトコルである、システム。

適用例19:
適用例18のシステムであって、
前記少なくとも1つの第2の認証装置は、RADIUSサーバである、システム。

適用例20:
適用例12のシステムであって、
前記無線ゲートウェイ装置は、さらに、ネットワークアクセスのための第2の要求であって、認証情報を含む第2の要求を、前記第1の通信プロトコルで、第2のユーザ・コンピューティング装置から受信し、
前記無線ゲートウェイ装置は、前記第1の通信プロトコルと異なる前記第2の通信プロトコルに適合するように、前記第2の要求をフォーマットし、
前記無線ゲートウェイ装置は、前記少なくとも1つの認証コンピューティング装置に、前記フォーマットされた第2の要求を送信し、
前記無線ゲートウェイ装置は、前記少なくとも1つの認証コンピューティング装置から、前記ネットワークアクセスのための第2の要求を許可する第2の応答であって、前記第2の通信プロトコルに適合するようにフォーマットされる第2の応答を受信し、
前記無線ゲートウェイ装置は、前記第1の通信プロトコルに適合するように、前記第2の応答をフォーマットし、
前記無線ゲートウェイ装置は、前記第2のユーザ・コンピューティング装置に、前記フォーマットされた第2の応答を送信し、
前記少なくとも1つの認証コンピューティング装置と前記第2のユーザ・コンピューティング装置との間に、第2の通信経路が確立され、
前記少なくとも1つの認証コンピューティング装置は、前記第2の通信経路を介して、少なくとも1つの他のコンピューティング装置に対するアクセス要求を受信し、
前記少なくとも1つの認証コンピューティング装置は、前記少なくとも1つの他のコンピューティング装置に、前記アクセス要求を転送し、
前記少なくとも1つの認証装置は、前記少なくとも1つの他のコンピューティング装置から、前記アクセス要求を許可する応答を受信し、
前記少なくとも1つの認証装置は、前記第2のユーザ・コンピューティング装置に、前記アクセス要求を許可する前記応答を転送し、
前記少なくとも1つの認証装置は、少なくとも1つのデータベースに、前記第2のユーザ・コンピューティング装置と前記少なくとも1つの他のコンピューティング装置のうちの少なくとも1つのIDを記憶する、システム。

Claims (16)

  1. 少なくとも1つのユーザ・コンピューティング装置をインターネットにアクセスさせる方法であって、
    無線ゲートウェイ装置により、1のユーザ・コンピューティング装置から、インターネットアクセスのための要求を受信する工程と、
    前記第1のユーザ・コンピューティング装置から前記インターネットアクセスのための要求を受信したことに応じて、前記無線ゲートウェイ装置により、前記無線ゲートウェイ装置から離れたところにある認証コンピューティング装置に、インターネットを介して前記第1のユーザ・コンピューティング装置を認証するための第1の要求を送信する工程と、
    前記第1のユーザ・コンピューティング装置を認証するための第1の要求に応じて、前記認証コンピューティング装置から、前記第1のユーザ・コンピューティング装置を認証する第1の応答を受信する工程と、
    前記認証コンピューティング装置から前記第1のユーザ・コンピューティング装置を認証する前記第1の応答を受信した場合にのみ、前記無線ゲートウェイ装置により、前記無線ゲートウェイ装置第2のコンピューティング装置との間に通信トンネルを確立する工程と、
    前記第1のユーザ・コンピューティング装置を認証し前記認証コンピューティング装置からの前記第1の応答の情報に基づく第2の応答を、前記第2のコンピューティング装置からも前記無線ゲートウェイ装置からも前記認証コンピューティング装置からも離れたところにあり前記第2のコンピューティング装置とも前記無線ゲートウェイ装置とも前記認証コンピューティング装置とも別のリモート認証コンピューティング装置から受信する工程と、
    前記通信トンネルを確立し、前記第2の応答が前記無線ゲートウェイ装置により受信された後に、さらに、
    前記無線ゲートウェイ装置により、データパケットを受信して、各データパケットをカプセル化する工程と、
    前記無線ゲートウェイ装置により、前記通信トンネルを介して、前記第1のユーザ・コンピューティング装置から受信したデータを送信することによって、前記第1のユーザ・コンピューティング装置をインターネットにアクセスさせる工程と、
    前記無線ゲートウェイ装置により、前記第1のユーザ・コンピューティング装置の通信セッション用のインターネットプロトコル(IP)アドレスを割り当てる工程と、を備え、
    前記第1のユーザ・コンピューティング装置から離れたところにあり、前記第1のユーザ・コンピューティング装置とも別の第2のユーザ・コンピューティング装置が、前記無線ゲートウェイ装置を介してインターネットアクセスを要求し、
    ネットワークアドレス変換(NAT)を用いて、前記無線ゲートウェイ装置は、単一のインターネットプロトコル(IP)アドレスを、前記第1のユーザ・コンピューティング装置の通信と、及び前記第2のユーザ・コンピューティング装置の通信とに割り当てる、方法。
  2. 請求項1に記載の方法であって、
    前記第1のユーザ・コンピューティング装置と前記無線ゲートウェイ装置は、ハイパーテキスト・トランスファー・プロトコル(HTTPを使用して通信を行う、方法。
  3. 請求項1に記載の方法であって、
    前記第1のユーザ・コンピューティング装置と前記無線ゲートウェイ装置は、拡張可能認証プロトコル(EAPを使用して通信を行う、方法。
  4. 請求項1に記載の方法であって、
    前記第2のコンピューティング装置は、レイヤ2トンネリング・プロトコル(L2TP)・ネットワークサーバ(LNS)を含む、方法。
  5. 請求項4に記載の方法であって、さらに、
    前記LNSにより、カプセル化された各データパケットを再フォーマットする工程と、
    インターネットを介して、前記LNSにより、リモートネットワークプラットフォーム装置に、前記再フォーマットされたデータパケットを送信する工程と、を備える方法。
  6. 請求項1に記載の方法であって、
    前記第2のコンピューティング装置は、前記リモート認証コンピューティング装置からリモート認証ダイアルインユーザサービス(RADIUSプロトコルを使用して前記認証を要求する、方法。
  7. 請求項1に記載の方法であって、
    前記リモート認証コンピューティング装置は、リモート認証ダイアルインユーザサービス(RADIUSサーバを含む、方法。
  8. 請求項1に記載の方法であって、
    カプセル化された各データパケットは、前記無線ゲートウェイ装置により、ポイント・ツー・ポイント・プロトコル(PPP)を使用して送信される、方法。
  9. 請求項1に記載の方法であって、さらに、
    前記第2のコンピューティング装置で、認証情報とセッションアドレスとをログ化する工程を含む、方法。
  10. 少なくとも1つのユーザ・コンピューティング装置をインターネットにアクセスさせる無線ゲートウェイ装置であって、
    前記無線ゲートウェイ装置は、
    1のユーザ・コンピューティング装置から、インターネットアクセスのための要求を受信するように構成される第1のモジュールと、
    前記インターネットアクセスのための要求に応じて、前記無線ゲートウェイ装置から離れたところにありインターネットを介して前記無線ゲートウェイ装置に接続される認証コンピューティング装置に、前記第1のユーザ・コンピューティング装置を認証するための要求を送信し、前記認証コンピューティング装置から前記第1のユーザ・コンピューティング装置を認証する第1の応答を受信するように構成される第2のモジュールと、
    記第1のユーザ・コンピューティング装置を認証する前記第1の応答を受信した場合にのみ、前記無線ゲートウェイ装置と2のコンピューティング装置との間に通信トンネルを確立するように構成される第3のモジュールと、
    前記第1のユーザ・コンピューティング装置を認証し前記認証コンピューティング装置からの前記第1の応答の情報に基づく第2の応答を、前記第2のコンピューティング装置からも前記無線ゲートウェイ装置からも離れたところにあり前記第2のコンピューティング装置とも前記無線ゲートウェイ装置とも別のリモート認証コンピューティング装置から受信する第4のモジュールと、
    (i)前記通信トンネルが確立され、(ii)前記第2の応答が前記無線ゲートウェイ装置に受信された後にのみ、
    (a)データパケットを受信して、各データパケットをカプセル化し、
    (b)前記通信トンネルを介して、前記第1のユーザ・コンピューティング装置から受信したデータを送信することによって、前記第1のユーザ・コンピューティング装置をインターネットにアクセスさせ
    (c)前記第1のユーザ・コンピューティング装置の通信セッション用のインターネットプロトコル(IP)アドレスを割り当てるように構成される第5のモジュールと、を備え、
    前記第1のユーザ・コンピューティング装置から離れたところにあり、前記第1のユーザ・コンピューティング装置とも別の第2のユーザ・コンピューティング装置が、前記無線ゲートウェイ装置を介してインターネットアクセスを要求するとき、前記第5のモジュールが、ネットワークアドレス変換(NAT)を用いて、単一のインターネットプロトコル(IP)アドレスを、前記第1のユーザ・コンピューティング装置の通信と、及び前記第2のユーザ・コンピューティング装置の通信とに割り当てるように構成される、
    無線ゲートウェイ装置。
  11. 請求項10に記載の装置であって、
    前記無線ゲートウェイ装置は、前記第1のユーザ・コンピューティング装置と、ハイパーテキスト・トランスファー・プロトコル(HTTPを使用して通信を行う、装置。
  12. 請求項10に記載の装置であって、
    前記無線ゲートウェイ装置は、前記第1のユーザ・コンピューティング装置と、拡張可能認証プロトコル(EAPを使用して通信を行う、装置。
  13. 請求項10に記載の装置であって、
    カプセル化された各データパケットは、ポイント・ツー・ポイント・プロトコル(PPP)を使用して送信される、装置。
  14. 請求項10に記載の装置であって、
    前記少なくとも1つの前記第2のコンピューティング装置は、レイヤ2トンネリング・プロトコル・ネットワークサーバ(LNS)を含む、装置。
  15. 請求項1に記載の方法であって、さらに、
    前記無線ゲートウェイ装置により、前記第1のユーザ・コンピューティング装置とは別の前記第2のユーザ・コンピューティング装置から、インターネットアクセスのための第2の要求を受信する工程と、
    前記第2のユーザ・コンピューティング装置からの前記インターネットアクセスのための第2の要求に応じて、前記無線ゲートウェイ装置により、インターネットを介して、前記認証コンピューティング装置に、前記第2のユーザ・コンピューティング装置を認証するための第2の要求を送信する工程と、
    前記第2のユーザ・コンピューティング装置を認証するための第2の要求に応じて、前記認証コンピューティング装置から、前記第2のユーザ・コンピューティング装置を認証する第3の応答を受信する工程と、
    認証コンピューティング装置から前記第2のユーザ・コンピューティング装置を認証する前記第3の応答を受信した場合にのみ、前記無線ゲートウェイ装置により、前記無線ゲートウェイ装置と前記第2のコンピューティング装置との間に通信セッションを確立する工程と、
    前記リモート認証コンピューティング装置から、前記第2のユーザ・コンピューティング装置を認証し前記認証コンピューティング装置からの前記第3の応答の情報に基づく前第4の応答を受信する工程と、
    前記通信セッションを確立し、前記第4の応答が前記無線ゲートウェイ装置に受信された後に、さらに、
    前記無線ゲートウェイ装置により、前記通信セッションにおいて、前記通信トンネルを介して、前記第2のユーザ・コンピューティング装置から受信したデータを送信することによって、前記第2のユーザ・コンピューティング装置をインターネットにアクセスさせる工程と、
    前記無線ゲートウェイ装置により、前記第2のユーザ・コンピューティング装置の通信セッション用のインターネットプロトコル(IP)アドレスを割り当てることによって、前記第1のユーザ・コンピューティング装置から前記第2のユーザ・コンピューティング装置を明確に識別することを可能にする工程と、を備える、方法。
  16. 請求項10に記載の装置であって、
    前記第1のモジュールは前記第1のユーザ・コンピューティング装置とは別の前記第2のユーザ・コンピューティング装置から、インターネットアクセスのための要求を受信するように構成され、
    前記第2のモジュールは、インターネットを介して、前記認証コンピューティング装置に、前記第2のユーザ・コンピューティング装置を認証するための要求を送信し、前記認証コンピューティング装置から前記第2のユーザ・コンピューティング装置を認証する第2の応答を受信するように構成され、
    前記第3のモジュールは、前記リモート認証コンピューティング装置から前記第2のユーザ・コンピューティング装置を認証する前記第2の応答を受信した場合にのみ、前記無線ゲートウェイ装置と前記第2のコンピューティング装置との間に通信セッションを確立するように構成され、
    前記第4のモジュールは、前記第2のユーザ・コンピューティング装置を認証し前記認証コンピューティング装置からの前記第2の応答の情報に基づく第3の応答を、前記リモート認証コンピューティング装置から受信するように構成され、
    前記第のモジュールは、前記通信セッションが確立された場合にのみ、前記通信セッションにおいて、前記通信トンネルを介して、前記第2のユーザ・コンピューティング装置から受信したデータを送信することによって、前記第2のユーザ・コンピューティング装置をインターネットにアクセスさせるように構成され、
    前記第のモジュールは、前記第2のユーザ・コンピューティング装置の通信セッション用のインターネットプロトコル(IP)アドレスを割り当てることによって、前記第1のユーザ・コンピューティング装置から前記第2のユーザ・コンピューティング装置を明確に識別することを可能にするように構成される、無線ゲートウェイ装置。
JP2013546726A 2010-12-30 2011-12-30 セキュアトンネル型プラットホームシステムおよび方法 Active JP5958864B2 (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201061428620P 2010-12-30 2010-12-30
US61/428,620 2010-12-30
US201161559460P 2011-11-14 2011-11-14
US61/559,460 2011-11-14
US13/339,807 2011-12-29
US13/339,807 US8910300B2 (en) 2010-12-30 2011-12-29 Secure tunneling platform system and method
PCT/EP2011/074318 WO2012089836A1 (en) 2010-12-30 2011-12-30 Secure tunneling platform system and method

Publications (2)

Publication Number Publication Date
JP2014508433A JP2014508433A (ja) 2014-04-03
JP5958864B2 true JP5958864B2 (ja) 2016-08-02

Family

ID=45495920

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013546726A Active JP5958864B2 (ja) 2010-12-30 2011-12-30 セキュアトンネル型プラットホームシステムおよび方法

Country Status (6)

Country Link
US (2) US8910300B2 (ja)
EP (1) EP2659648A1 (ja)
JP (1) JP5958864B2 (ja)
BR (1) BR112013016835A2 (ja)
CA (1) CA2820378C (ja)
WO (1) WO2012089836A1 (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8533821B2 (en) 2007-05-25 2013-09-10 International Business Machines Corporation Detecting and defending against man-in-the-middle attacks
US20100269162A1 (en) * 2009-04-15 2010-10-21 Jose Bravo Website authentication
US8683609B2 (en) 2009-12-04 2014-03-25 International Business Machines Corporation Mobile phone and IP address correlation service
US9456018B2 (en) * 2010-12-22 2016-09-27 Aruba Networks, Inc. HTTP proxy based captive portal
US8838988B2 (en) 2011-04-12 2014-09-16 International Business Machines Corporation Verification of transactional integrity
US8917826B2 (en) 2012-07-31 2014-12-23 International Business Machines Corporation Detecting man-in-the-middle attacks in electronic transactions using prompts
CN103840995B (zh) * 2012-11-26 2017-10-24 华为技术有限公司 Ip报文处理方法、装置及网络系统
US20150156118A1 (en) * 2013-05-08 2015-06-04 Connectloud, Inc. Method and Apparatus for Dynamic and Distributed Tunnel Routinge
US9729546B2 (en) * 2013-07-23 2017-08-08 Arris Global Ltd. Auto-correcting credentials for network subscriber equipment
US20150127436A1 (en) * 2013-11-04 2015-05-07 David Neil MacDonald Community wi-fi network
US9912649B1 (en) * 2015-01-05 2018-03-06 Adtran, Inc. Systems and methods for facilitating communication between an authentication client and an authentication server
WO2016122545A1 (en) * 2015-01-29 2016-08-04 Hewlett Packard Enterprise Development Lp Cloud-hosted user authentication
US9882774B2 (en) 2015-02-02 2018-01-30 Eero Inc. Systems and methods for intuitive home networking
US9749293B2 (en) * 2015-04-20 2017-08-29 Shoelace Wireless, Inc. Systems for improved mobile internet performance and security
US9736019B2 (en) * 2015-05-14 2017-08-15 Eero Inc. Methods for dynamic router configuration in a mesh network
US10142172B2 (en) * 2015-07-22 2018-11-27 Facebook, Inc. Internet service provider management platform
US9853968B2 (en) 2015-08-19 2017-12-26 Winifred Shen Systems and methods for authenticating users accessing a secure network with one-session-only, on-demand login credentials
US9967237B2 (en) * 2015-09-17 2018-05-08 Cox Communications, Inc. Systems and methods for implementing a layer two tunnel for personalized service functions
WO2017086556A1 (ko) * 2015-11-20 2017-05-26 (주)엔에스비욘드 보안 터널 기반 인증 방법 및 장치
JP6346208B2 (ja) * 2016-02-12 2018-06-20 日本電信電話株式会社 通信システム
JP6737955B2 (ja) 2016-09-27 2020-08-12 エーナイン・ドット・コム インコーポレイテッドA9.com, Inc. ネットワーク設定を共有する方法
US10542001B1 (en) * 2016-12-19 2020-01-21 Amazon Technologies, Inc. Content item instance access control
CN109787877B (zh) * 2017-11-10 2020-12-25 智邦科技股份有限公司 箱型交换机、网络接口卡、及封包转送的管理方法
CN110072268A (zh) * 2019-04-18 2019-07-30 连尚(新昌)网络科技有限公司 wifi热点分享的方法、设备和计算机存储介质
US11490430B2 (en) 2020-08-27 2022-11-01 T-Mobile Usa, Inc. Packet gateway selection based on device capabilities
US11368493B2 (en) * 2020-10-02 2022-06-21 Johnson Controls Tyco IP Holdings LLP System for and method of detecting communication security in building automation and control networks
CN113098797B (zh) * 2021-03-24 2022-04-12 深圳市乙辰科技股份有限公司 基于分布式组网系统的网络连接方法、装置和计算机设备
CN113612801B (zh) * 2021-09-30 2022-01-04 浙江国利信安科技有限公司 Epa网关设备和epa跨网通信的方法

Family Cites Families (86)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6184710B1 (en) * 1997-03-20 2001-02-06 Altera Corporation Programmable logic array devices with enhanced interconnectivity between adjacent logic regions
US7194554B1 (en) * 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US8266266B2 (en) * 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US6298383B1 (en) 1999-01-04 2001-10-02 Cisco Technology, Inc. Integration of authentication authorization and accounting service and proxy service
US6430619B1 (en) 1999-05-06 2002-08-06 Cisco Technology, Inc. Virtual private data network session count limitation
US8117291B1 (en) * 1999-11-02 2012-02-14 Wireless Technology Solutions Llc Use of internet web technology to register wireless access customers
EP1104133A1 (en) 1999-11-29 2001-05-30 BRITISH TELECOMMUNICATIONS public limited company Network access arrangement
US6760720B1 (en) * 2000-02-25 2004-07-06 Pedestrian Concepts, Inc. Search-on-the-fly/sort-on-the-fly search engine for searching databases
JP2001268077A (ja) 2000-03-16 2001-09-28 Sony Corp 通信制御装置、その方法、提供媒体および通信システム
CA2384890A1 (en) * 2000-07-27 2002-02-07 Ipwireless, Inc. Use of radius in umts to perform hlr function and for roaming
IE20010743A1 (en) * 2000-08-04 2002-04-17 Mobileaware Technologies Ltd An e-business mobility platform
US6842770B1 (en) * 2000-08-18 2005-01-11 Apple Computer, Inc. Method and system for seamlessly accessing remotely stored files
US7072650B2 (en) 2000-11-13 2006-07-04 Meshnetworks, Inc. Ad hoc peer-to-peer mobile radio access system interfaced to the PSTN and cellular networks
US20020075844A1 (en) 2000-12-15 2002-06-20 Hagen W. Alexander Integrating public and private network resources for optimized broadband wireless access and method
US7075912B2 (en) 2001-03-16 2006-07-11 Nippon Telegraph And Telephone Corporation Wireless communication system using access points that can be freely set up by users
US20020138635A1 (en) 2001-03-26 2002-09-26 Nec Usa, Inc. Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations
JP3655575B2 (ja) * 2001-10-30 2005-06-02 株式会社日立コミュニケーションテクノロジー ゲートウェイ装置
WO2003017125A1 (en) 2001-08-07 2003-02-27 Tatara Systems, Inc. Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks
EP1317159A1 (en) 2001-11-30 2003-06-04 Motorola, Inc. Authentication, authorisation and accounting for a roaming user terminal
US7986937B2 (en) 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US6785256B2 (en) 2002-02-04 2004-08-31 Flarion Technologies, Inc. Method for extending mobile IP and AAA to enable integrated support for local access and roaming access connectivity
EP1357720B1 (en) 2002-04-22 2005-12-14 Telefonaktiebolaget LM Ericsson (publ) User selector proxy, method and system for authentication, authorization and accounting
US6957086B2 (en) 2002-05-01 2005-10-18 Microsoft Corporation Method for wireless capability discovery and protocol negotiation, and wireless device including same
US7251827B1 (en) * 2002-05-01 2007-07-31 Microsoft Corporation In-line sign in
US6941146B2 (en) 2002-06-20 2005-09-06 Intel Corporation Communal discovery of network coverage
TW200721738A (en) 2002-07-31 2007-06-01 Interdigital Tech Corp Wireless personal communicator and communication method
US6950628B1 (en) 2002-08-02 2005-09-27 Cisco Technology, Inc. Method for grouping 802.11 stations into authorized service sets to differentiate network access and services
JP4786116B2 (ja) 2002-09-06 2011-10-05 ソニー株式会社 情報処理装置および方法、並びにプログラム
US6795700B2 (en) 2002-09-12 2004-09-21 Broadcom Corporation Method of creating incentives for establishing hotspot locations
US20040203602A1 (en) 2002-09-12 2004-10-14 Broadcom Corporation Enabling and controlling access to wireless hot spots
US6934530B2 (en) 2002-09-25 2005-08-23 At&T Wireless Services, Inc. Virtual subscriber network
NO319065B1 (no) 2002-10-11 2005-06-13 Telenor Asa Apen aksessnettverks-arkitektur
EP1411676A1 (en) 2002-10-17 2004-04-21 Alcatel Method, network access server, client and computer software product for dynamic definition of layer 2 tunneling connections
US7568218B2 (en) 2002-10-31 2009-07-28 Microsoft Corporation Selective cross-realm authentication
US20040122959A1 (en) 2002-12-19 2004-06-24 Lortz Victor B. Automatic wireless network login using embedded meta data
US8606885B2 (en) 2003-06-05 2013-12-10 Ipass Inc. Method and system of providing access point data associated with a network access point
US7185204B2 (en) 2003-08-28 2007-02-27 International Business Machines Corporation Method and system for privacy in public networks
US20050096048A1 (en) 2003-10-30 2005-05-05 Cellco Partnership Optimized network employing seamless and single sign on capabilities for users accessing data applications on different networks
WO2005043279A2 (en) * 2003-10-31 2005-05-12 Disksites Research And Development Ltd. Device, system and method for storage and access of computer files
US20050177515A1 (en) 2004-02-06 2005-08-11 Tatara Systems, Inc. Wi-Fi service delivery platform for retail service providers
US20050204037A1 (en) 2004-03-09 2005-09-15 Levy Kenneth L. Method and apparatus for content identification/control
DE602005025704D1 (de) 2004-03-10 2011-02-10 Roamware Inc Multimedia-Nachrichtenübermittlungssysteme eines Eingangs-Roamers
EP1761866A4 (en) 2004-03-23 2008-06-18 Pctel Inc METHOD AND SYSTEM FOR AUTOMATICALLY TRANSFERRING DATA ON A DEVICE CONNECTED TO A NETWORK
US8549541B2 (en) 2004-03-26 2013-10-01 Intellectual Ventures Ii Llc Bridging local device communications across the wide area
US20050223086A1 (en) 2004-03-31 2005-10-06 Raverdy Pierre G Discovering nearby hosts and applications for impromptu interactions using well-known ad-hoc network configuration
US20050220106A1 (en) 2004-03-31 2005-10-06 Pierre Guillaume Raverdy Inter-wireless interactions using user discovery for ad-hoc environments
US7522549B2 (en) * 2004-04-16 2009-04-21 Broadcom Corporation Registering access device multimedia content via a broadband access gateway
FR2869190B1 (fr) * 2004-04-19 2006-07-21 Alcatel Sa Procede permettant a l'usager d'un terminal telephonique sans fil d'etablir une connexion d'urgence dans un reseau local; terminal et serveur pour la mise en oeuvre de ce procede
US7453876B2 (en) 2004-09-30 2008-11-18 Lucent Technologies Inc. Method and apparatus for providing distributed SLF routing capability in an internet multimedia subsystem (IMS) network
US7263076B1 (en) 2004-10-09 2007-08-28 Radiuz Networks Llc System and method for managing a wireless network community
JP4394590B2 (ja) * 2005-02-22 2010-01-06 株式会社日立コミュニケーションテクノロジー パケット中継装置および通信帯域制御方法
US8725138B2 (en) 2005-03-30 2014-05-13 Alcatel Lucent Methods for network selection and discovery of service information in public wireless hotspots
US7302229B2 (en) 2005-05-11 2007-11-27 Lucent Technologies Inc. Enabling desired wireless connectivity in a high frequency wireless local area network
US7864673B2 (en) 2005-05-24 2011-01-04 At&T Mobility Ii Llc Dynamic dual-mode service access control, location-based billing, and E911 mechanisms
JP4495049B2 (ja) 2005-08-10 2010-06-30 エヌ・ティ・ティ・コミュニケーションズ株式会社 パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US8924459B2 (en) 2005-10-21 2014-12-30 Cisco Technology, Inc. Support for WISPr attributes in a TAL/CAR PWLAN environment
ATE463844T1 (de) 2006-02-14 2010-04-15 Ericsson Telefon Ab L M Verfahren und vorrichtung zum authentifizieren
JP4752064B2 (ja) 2006-04-07 2011-08-17 国立大学法人信州大学 アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
US7924780B2 (en) 2006-04-12 2011-04-12 Fon Wireless Limited System and method for linking existing Wi-Fi access points into a single unified network
US8213934B2 (en) 2006-04-14 2012-07-03 Qualcomm Incorporated Automatic selection of a home agent
GB2440193A (en) 2006-07-19 2008-01-23 Connect Spot Ltd Wireless hotspot roaming access system
US8743778B2 (en) 2006-09-06 2014-06-03 Devicescape Software, Inc. Systems and methods for obtaining network credentials
EP1909450B1 (en) 2006-10-02 2010-07-21 Nokia Siemens Networks Gmbh & Co. Kg Method to route a network initiated message in a complex network using Radius protocol
JP5007564B2 (ja) 2006-12-28 2012-08-22 株式会社ニコン 画像転送システム
US8332923B2 (en) 2007-01-19 2012-12-11 Toshiba America Research, Inc. Kerberized handover keying
US8429719B2 (en) * 2007-01-22 2013-04-23 Appl Inc. Interworking between first and second authentication domains
EP2051473B1 (en) 2007-10-19 2018-04-25 Deutsche Telekom AG Method and system to trace the ip traffic back to the sender or receiver of user data in public wireless networks
US8561135B2 (en) 2007-12-28 2013-10-15 Motorola Mobility Llc Wireless device authentication using digital certificates
CN101247652A (zh) 2008-03-19 2008-08-20 中兴通讯股份有限公司 一种资源接纳控制方法和系统
US9179399B2 (en) 2008-05-12 2015-11-03 Blackberry Limited Methods and apparatus for use in facilitating access to a communication service via a WLAN hotspot
US8984150B2 (en) * 2008-07-16 2015-03-17 Ipass Inc. Electronic supply chain management
US20110191467A1 (en) 2008-08-15 2011-08-04 Telefonaktiebolaget L M Ericsson (Publ) Lawful Interception of NAT/PAT
US20100263022A1 (en) 2008-10-13 2010-10-14 Devicescape Software, Inc. Systems and Methods for Enhanced Smartclient Support
GB2464552B (en) 2008-10-22 2012-11-21 Skype Authentication system and method for authenticating a user terminal with an access node providing restricted access to a communication network
US20100106572A1 (en) 2008-10-24 2010-04-29 Dell Products L.P. Access point advertising
EP2364535A2 (en) * 2008-11-17 2011-09-14 QUALCOMM Incorporated Remote access to local network via security gateway
CN101399671B (zh) 2008-11-18 2011-02-02 中国科学院软件研究所 一种跨域认证方法及其系统
US8819791B2 (en) 2009-03-16 2014-08-26 Apple Inc. Captive network negotiation interface and automation
EP2417789B1 (en) 2009-04-07 2014-07-30 Togewa Holding AG Method and system for authenticating a network node in a uam-based wlan network
US9424444B2 (en) 2009-10-14 2016-08-23 At&T Mobility Ii Llc Systems, apparatus, methods and computer-readable storage media for facilitating integrated messaging, contacts and social media for a selected entity
US20110255465A1 (en) 2010-04-16 2011-10-20 Chang Hong Shan Wimax voip service architecture
US8434132B2 (en) 2010-08-31 2013-04-30 Intel Corporation Roaming between networks employing different authentication protocols
US9020467B2 (en) 2010-11-19 2015-04-28 Aicent, Inc. Method of and system for extending the WISPr authentication procedure
KR20120068275A (ko) 2010-12-17 2012-06-27 삼성전자주식회사 휴대 단말기의 AP(Access Point) 접속 제어 방법 및 장치
CN102685712B (zh) 2011-03-09 2016-08-03 中兴通讯股份有限公司 一种身份位置分离网络中的映射服务器及其实现方法

Also Published As

Publication number Publication date
US9015855B2 (en) 2015-04-21
US20120204241A1 (en) 2012-08-09
WO2012089836A1 (en) 2012-07-05
US20130239181A1 (en) 2013-09-12
CA2820378A1 (en) 2012-07-05
BR112013016835A2 (pt) 2016-09-27
US8910300B2 (en) 2014-12-09
CA2820378C (en) 2017-09-05
EP2659648A1 (en) 2013-11-06
JP2014508433A (ja) 2014-04-03

Similar Documents

Publication Publication Date Title
JP5958864B2 (ja) セキュアトンネル型プラットホームシステムおよび方法
EP2740046B1 (en) System and method for client-server communication facilitating utilization of network-based procedure call
CN102316093B (zh) 用于移动设备的双模式多服务vpn网络客户端
CN102333110B (zh) 用于移动设备的具有动态翻译用户主页的vpn网络客户端
CN102333075B (zh) 用于移动设备的具有动态故障转移的多服务vpn网络客户端
EP3096497B1 (en) Method, apparatus, and network system for terminal to traverse private network to communicate with server in ims core network
CN102316092B (zh) 用于移动设备的具有快速重新连接的vpn网络客户端
CN102316153B (zh) 对网页邮件本地接入动态构造显示的vpn网络客户端
JP5859088B2 (ja) 建物の遠隔制御を実施するためのデバイス装置
US20140237585A1 (en) Use of Virtual Network Interfaces and a Websocket Based Transport Mechanism to Realize Secure Node-to-Site and Site-to-Site Virtual Private Network Solutions
JP2002314549A (ja) ユーザ認証システム及びそれに用いるユーザ認証方法
US20090064291A1 (en) System and method for relaying authentication at network attachment
WO2005036858A1 (en) A persistent and reliable session securely traversing network components using an encapsulating protocol
JP5112806B2 (ja) 無線lanの通信方法及び通信システム
WO2021218886A1 (zh) Vxlan接入认证方法以及vtep设备
CN114980275B (zh) 网络接入方法、网络接入装置、存储介质和终端设备
JP4630296B2 (ja) ゲートウェイ装置および認証処理方法
JP5982706B2 (ja) セキュアトンネリング・プラットフォームシステムならびに方法
JP4002844B2 (ja) ゲートウェイ装置及びネットワーク接続方法
CN105704105B (zh) 一种认证方法及接入设备
JP2010050750A (ja) 通信端末、通信制御方法、通信制御プログラム及び通信システム
EP2179561B1 (en) Network access for a visiting user
JP5864453B2 (ja) 通信サービス提供システムおよびその方法
WO2013034108A1 (zh) 一种构建云服务的系统及方法
Katuwal Deploying and Testing IKEv2, Flex VPN and GET VPN

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140722

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20140815

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20140815

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20141017

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20141024

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150609

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20150908

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20151005

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151204

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151204

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20160106

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160524

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160610

R150 Certificate of patent or registration of utility model

Ref document number: 5958864

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250