JP5982389B2 - クロスアクセスログインコントローラ - Google Patents
クロスアクセスログインコントローラ Download PDFInfo
- Publication number
- JP5982389B2 JP5982389B2 JP2013539400A JP2013539400A JP5982389B2 JP 5982389 B2 JP5982389 B2 JP 5982389B2 JP 2013539400 A JP2013539400 A JP 2013539400A JP 2013539400 A JP2013539400 A JP 2013539400A JP 5982389 B2 JP5982389 B2 JP 5982389B2
- Authority
- JP
- Japan
- Prior art keywords
- identification
- network
- connection
- type
- detail information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims description 49
- 238000004891 communication Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 7
- 230000002596 correlated effect Effects 0.000 claims 4
- 230000001276 controlling effect Effects 0.000 claims 3
- 230000001413 cellular effect Effects 0.000 description 22
- 238000013475 authorization Methods 0.000 description 11
- 238000012795 verification Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 238000002198 surface plasmon resonance spectroscopy Methods 0.000 description 2
- 230000032683 aging Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、クロスアクセスログインコントローラに関し、詳細には、コンバージドネットワークへのアクセスを管理するためのコントローラに関する。
最近の一般的なネットワーク制御アーキテクチャは、サービスの提供を可能にするために、連携して動作するいくつかの主要な構成要素を含む。
図1は、基本的なネットワークアーキテクチャを示す。
図1に示すように、ユーザ装置は、バックボーン(コアとも呼ばれる)ネットワーク(7)へのユーザアクセスを管理するアクセスゲートウェイ(2)に接続される、アクセスネットワーク(8)に接続される。接続手順は、アクセスゲートウェイ(2)によって管理され、
DHCP(動的ホスト構成プロトコル)サーバ(3)によって支援される、ユーザ装置(1)の設定と、
AAA(認可、認証、及びアカウンティング)サーバ(4)によって支援される、ユーザ認証及び認可と、
を含み、
DHCPサーバ及びAAAサーバは共に、その動作において、加入者プロファイルリポジトリ(6)内に格納されるユーザ詳細情報についての問い合わせを行うことができる。
DHCP(動的ホスト構成プロトコル)サーバ(3)によって支援される、ユーザ装置(1)の設定と、
AAA(認可、認証、及びアカウンティング)サーバ(4)によって支援される、ユーザ認証及び認可と、
を含み、
DHCPサーバ及びAAAサーバは共に、その動作において、加入者プロファイルリポジトリ(6)内に格納されるユーザ詳細情報についての問い合わせを行うことができる。
ユーザ装置(すなわち、クライアント)のパラメータは、通常、明確なユーザ識別を可能にする認証情報を生成するために利用される。ユーザ装置は、携帯電話デバイス、PDA,パーソナルコンピュータ若しくはポータブルコンピュータ、又は他のデバイスとの通信を実行することができ、そのように構成される他の任意の電子デバイスとすることができる。ユーザ装置のパラメータは、例えば、電話番号、MACアドレス、物理ポート、仮想的なプライベートネットワークID等とすることができる。
ユーザは、ネットワークへアクセスする前に、加入者プロファイルリポジトリにおいて登録する必要がある。登録は、1つのタイプの接続に関して実行されるので、1つのタイプの接続にアクセスすることができる。ユーザ情報は、顧客関係管理(CRM)システムを用いて入力することができ、専用のデータベース(いわゆるSPR加入者プロファイルリポジトリ)に格納することができる。アクセスゲートウェイ(2)がユーザログイン中にクライアントから送信されるアクセスリクエストを受信する際に、ユーザの認証情報(加入者認証情報とも呼ばれる)は、アクセスリクエストから抽出され、SPR内に格納されているものと比較される。認証情報が同一の場合、認証情報に対応する接続のタイプを経由してネットワークにアクセスすることができる。いくつかのネットワークにおいて(一般に、Wi−Fiのような、プロミスキャスアクセスを有するネットワークに関する)、ユーザポータル(5)は、アクセス認証情報を対話型で入力するために使用できる。その他の場合(DSL、又はセルラのような、固定接続)においては、ユーザ認証情報は、アクセス側の装置(例えば、DSLモデム、デジタルシリアルラインマルチプレクサ等)からのリクエストに組み込まれる接続詳細情報(MACアドレスのようなユーザ装置の永続的な固有の設定、ポート)から抽出することができる。
AAA(認可、認証、アカウンティング)サーバ等を経由する(GGSN(ゲートウェイGPRS(汎用パケット無線サービス)サポートノード)のような)(アクセスコントローラとも呼ばれる)ネットワークアクセスゲートウェイ(2)は、ユーザのアクセス、セッション、及びサービスを管理するためにSPRに集中的にアクセスする。
AAA、SPR、DHCP、及び他のアプリケーションは、閉ざされ保護された(プロバイダ・バックオフィスとも呼ぶことがある)環境を作る。バックオフィスは、通常、適切なネットワークタイプ(セルラ、DSL、Wi−Fi、等)に接続する。従って、サービスプロバイダが、異なるアクセスタイプのいくつかのネットワークを管理する場合、その各々は、専用のバックオフィス環境によってサービスが提供される。従って、異なるアクセスタイプのいくつかのコアネットワークにアクセスするために、ユーザは、各々が異なるアクセスタイプに対応するいくつかのバックオフィスSPRに登録する必要がある。
携帯電話、ラップトップ等のような最新のユーザ装置は、いくつかのネットワークアダプタを有し、GPRS、Wi−Fi、Wi−Max等のような異なるタイプの接続をサポートすることができる。適切な場所における制限付き接続、ネットワークノード輻輳、トラヒックの高コストといった多くの場合において、ユーザは、異なるタイプの接続を使用する能力を利用して、エリア内で利用できる実行可能な代替ネットワーク(訪問先ネットワークとも呼ばれる)上でネットワークに接続すること、又は利用可能なエリア内の各ネットワーク接続との間で切り替えることを望む場合がある。各ネットワーク接続との間で切り替えることは、例えば、セルラからWi−Fiへ、セルラからWi−Maxへ、Wi−Fiからセルラへ、Wi−FiからWi−Maxへ等の何らかの1つとすることができる。
また、切り替えることは、異なるプロバイダによって同様に運用される、同一のタイプの各ネットワークとの間で行うこと、すなわち、Wi−Fi1からWi−Fi2へ、又はセルラ1からセルラ2へ切り替えることができる。前述の全ての切り替えは、デバイスの特性、及び異なる種類のネットワーク接続におけるデバイスのサポートに依存する。
以下の説明において、「ホームネットワーク」という用語は、ユーザが登録されているネットワークを参照するために使用される。「訪問先ネットワーク」という用語は、ユーザが登録されてないネットワークを参照するために使用される。
前述のように、ユーザは、1つ又はそれ以上のタイプのネットワーク接続に関して、ネットワークにアクセスする前に、適切なホームネットワークのSPR(6)に登録する必要がある。
ユーザが、未登録の訪問先ネットワークを経由してネットワークにアクセスしようと試みる場合、訪問先ネットワークの制御エンジンは、一時的な認証情報に関してホームネットワークのコントローラに問い合わせを行う。一時的な認証情報は、1セッションのみに関するユーザ認証に関して使用され、接続が終了すると、一時的な認証情報は、訪問先ネットワークにおいて破棄される。同じ未登録のユーザが行う訪問先ネットワークへアクセスしようとする何らかの更なる試みは、ユーザが、一時的な認証情報を使用する同じ手続きを踏むことを必要とする。
図2に示すように、
・ユーザは、ユーザ装置を使用して、(ユーザが登録されていない)訪問先ネットワークに接続することを試行する。この例において、訪問先ネットワークは、WiFiネットワークである。
・アクセスコントローラ2.2は、ローカルのSPR2.6.2を調べて、クエリ内に提供される、電話番号、MACアドレス、ID等のようなユーザ認証情報が、ローカルのSPR2.6.2で見つからない場合には、ホームネットワークのコントローラ2.1が適切な認証情報に関する問い合わせに応じる。
・ホームネットワークから受け取った認証情報は、ユーザ認証及び認可で使用される。例えば、ユーザは、WEBページで指示され、ユーザID及びパスワードの入力を求められる(ホームネットワークと同じ又は専用の一時的なID、及び訪問先ネットワークにおいてログインに関して割り当てられるパスワード)。
・認証手続きが完了すると、次回、ネットワークコントローラ及びユーザが、同じ手続き、すなわち、認証情報に関してホームネットワークに尋ねることを再度行う必要があるようにするために、ユーザ認証情報は訪問先ネットワークにおいて破棄される。
・ユーザは、ユーザ装置を使用して、(ユーザが登録されていない)訪問先ネットワークに接続することを試行する。この例において、訪問先ネットワークは、WiFiネットワークである。
・アクセスコントローラ2.2は、ローカルのSPR2.6.2を調べて、クエリ内に提供される、電話番号、MACアドレス、ID等のようなユーザ認証情報が、ローカルのSPR2.6.2で見つからない場合には、ホームネットワークのコントローラ2.1が適切な認証情報に関する問い合わせに応じる。
・ホームネットワークから受け取った認証情報は、ユーザ認証及び認可で使用される。例えば、ユーザは、WEBページで指示され、ユーザID及びパスワードの入力を求められる(ホームネットワークと同じ又は専用の一時的なID、及び訪問先ネットワークにおいてログインに関して割り当てられるパスワード)。
・認証手続きが完了すると、次回、ネットワークコントローラ及びユーザが、同じ手続き、すなわち、認証情報に関してホームネットワークに尋ねることを再度行う必要があるようにするために、ユーザ認証情報は訪問先ネットワークにおいて破棄される。
前記に照らして、訪問先ネットワーク上で接続するために、ユーザは、訪問先ネットワークにログインする間にユーザが認証情報を入力すること(例えば、ユーザID、パスワード、及び秘密コードを入力すること)を含む、再発する厄介でエラーが発生しやすいログイン手続きを踏む必要がある。
この手続きをサポートするために、認証情報は、生成/抽出され、両者の間で安全で信頼性がある通信チャネルを必要とする、ホームネットワークと訪問先ネットワークとの間で転送する必要がある。この手続きは、ユーザが訪問先ネットワークに以前に接続したことがある場合でも、訪問先ネットワークへの接続毎に行われる。
ユーザ又は訪問先ネットワークが上記の手続きを実行することを必要とすることなく、ユーザが、1つ又はそれ以上の代替ネットワークへのシームレスでトランスペアレントなログイン、すなわち訪問先ネットワークへの直接のログインを実行することができるようにすることにより、運用担当者は、ユーザエクスペリエンスを改善し、伝送及びネットワーク制御インフラにおける投資を最小限に抑えることができ、一方で、ユーザは、毎回積極的に認証されることを必要とせずに、利用可能なネットワークの各々に直接接続することができる。
自動化されたトランスペアレントなログインは、Wi−Fi、Wi−Max、セルラ、DSL等のような様々なアクセス技術に基づく、異なるネットワークの間でのより容易な統合に関するインフラを生成する。これは、トラヒックオフロード、ネットワーク輻輳管理のような最も発展したネットワークシナリオに関する技術を可能にすることに役立つ。トラヒックオフロードは、ユーザが、安価な料金、高いサービス品質、信頼性等のようないくつかの基準により、エリアにおいて利用可能な代替ネットワークに切り替えることができるシナリオに関する。例えば、ビデオサービスを受けるために、セルラビデオ伝送があまりに高価で高品質のビデオをサポートしないので、ユーザは、Wi−Fiネットワークを経由する必要がある。
輻輳管理は、特定の場所又はデバイスにおけるネットワークの過負荷の場合に適用されるトラヒックオフローディングのようなものである。例えば、セルラネットワークが過負荷である場合、ユーザは、エリア内で利用可能なWi−Fiネットワークに自動的に切り替えることができる。
また、輻輳管理は、費用の高いネットワークでの負荷を低減し、従ってネットワーク拡張を遅らせるか又は縮小されるように、サービスプロバイダが、あまり拡張性がないネットワークインフラを使用することをユーザに促すための手段を提供する意図がある。
トラヒック及びビジネスチャレンジ(ネットワーク輻輳、費用の高いトラヒック)に対応するために、運用担当者(すなわち、サービスプロバイダ)は、同じ地理上の場所においてサポートされるいくつかのアクセス技術をユーザに提供し、それらをユーザが同時に利用できるようにすることができる。サービスプロバイダは、各々の地理上のエリアにおいて様々な技術をサポートすることができるか、又は他のサービスプロバイダのネットワークを再利用することができる。
ユーザがどのネットワークに接続するにしても、運用担当者は、ログイン認証及び認可、サービス制御等のような、一般的なユーザ操作フローを処理する一貫性のあるユーザエクスペリエンスを保証する必要がある。例えば、携帯電話等を使用してセルラネットワーク上でポータルに接続する際に、接続は携帯電話の一意的なMSISDN番号に基づいているので、ユーザからの何らかの認証及び認可は必要ない。同じ携帯電話を使用してWi−Fi上でインターネットに接続する間に、ユーザに同じエクスペリエンスを提供するためには、運用担当者は、デバイス上のモバイルインタフェースに関してはMSISDNのみが利用可能であり、一方でWiFi接続に関しては、十分に安全ではなくモバイルアカウントに対して何らかの相関性を提供しないMACアドレスのみが利用可能であるという、ユーザの識別に関する問題を解決する必要がある。
Wi−Fi上でインターネットに接続している間に、ユーザに同様のエクスペリエンスを提供するために、運用担当者は、MSISDNを有しないが、代わりにMACアドレスを有するユーザの識別に関する問題を解決する必要がある。
従って、自動化された登録及び訪問先ネットワークへのユーザのシームレスなログインのためのシステムの解決策及び手順が必要とされる。
本発明は、同一のアクセスタイプを有する異なるネットワーク、又は同一若しくは異なるサービスプロバイダに属する(Wi−Fi、セルラ、DSL、Wi−MAX等のような)異なるアクセスタイプを有する異なるネットワークに適用することができる。
本発明の1つの態様によれば、ネットワークへのアクセスを制御する方法が提供され、本方法は、
データリポジトリに、第2のタイプの接続に関する第1の識別詳細情報を格納して、該詳細情報を第1のタイプの接続に関するそれぞれのベース認証情報と関連付ける段階と、
第2の識別詳細情報と第1の識別詳細情報との間で相関が見つかった場合に、第2の識別詳細情報を含み、第2のタイプの接続を経由してネットワークにアクセスするリクエストを認可する段階と、
を含む。
データリポジトリに、第2のタイプの接続に関する第1の識別詳細情報を格納して、該詳細情報を第1のタイプの接続に関するそれぞれのベース認証情報と関連付ける段階と、
第2の識別詳細情報と第1の識別詳細情報との間で相関が見つかった場合に、第2の識別詳細情報を含み、第2のタイプの接続を経由してネットワークにアクセスするリクエストを認可する段階と、
を含む。
特定の実施形態によれば、更に、本発明は、ネットワークへのアクセスを制御するためのシステムを提供し、本システムは、コントローラと関連するデータリポジトリを備え、
データリポジトリは、第2のタイプの接続に関する第1の識別詳細情報を格納して、該詳細情報を第1のタイプの接続に関するそれぞれのベース認証情報と関連付けるように構成され、
コントローラは、第2の識別詳細情報を含むリクエストに応じて、第2の識別詳細情報と第1の識別詳細情報との間の相関が見つかった場合に、第2のタイプの接続を経由してネットワークにアクセスすることを認可するように構成される。
データリポジトリは、第2のタイプの接続に関する第1の識別詳細情報を格納して、該詳細情報を第1のタイプの接続に関するそれぞれのベース認証情報と関連付けるように構成され、
コントローラは、第2の識別詳細情報を含むリクエストに応じて、第2の識別詳細情報と第1の識別詳細情報との間の相関が見つかった場合に、第2のタイプの接続を経由してネットワークにアクセスすることを認可するように構成される。
特定の実施形態により、更に、本発明は、ネットワークへのアクセスを制御する方法を実行するマシンによって実行することができるプログラム命令を有形的に実装する、マシン可読プログラム格納デバイスであって、本方法は、
データリポジトリに、第2のタイプの接続に関する第1の識別詳細情報を格納して、該詳細情報を第1のタイプの接続に関するそれぞれのベース認証情報と関連付ける段階と、
第2の識別詳細情報と第1の識別詳細情報との間で相関が見つかった場合に、第2の識別詳細情報を含み、第2のタイプの接続を経由してネットワークにアクセスするリクエストを認可する段階と、
を含む。
データリポジトリに、第2のタイプの接続に関する第1の識別詳細情報を格納して、該詳細情報を第1のタイプの接続に関するそれぞれのベース認証情報と関連付ける段階と、
第2の識別詳細情報と第1の識別詳細情報との間で相関が見つかった場合に、第2の識別詳細情報を含み、第2のタイプの接続を経由してネットワークにアクセスするリクエストを認可する段階と、
を含む。
本発明を理解すると共に実際に実行することができる方法を理解するために、以下に例示的に添付図面を参照して実施形態を説明する。
図面及び明細書の説明において、同一の参照数字は、異なる実施形態又は構成に共通である構成要素を示す。
具体的な説明がない限り、以下の説明から明らかなように、本明細書全体にわたって、「処理する」、「制御する」、「構成する」、「受信する」、「可能にする」、「行う」、「実行する」、「決定する」といった用語を利用する説明は、データを別のデータに操作及び/又は変換するコンピュータの動作及び/又は処理を含み、データは、例えば電気量のような物理量として表されること、及び/又は、データは、物理的対象を表すことを理解されたい。「コンピュータ」という用語は、例示的にパーソナルコンピュータ、サーバ、コンピューティングシステム、通信デバイス、プロセッサ(例えば、デジタル信号プロセッサ(DSP)、マイクロコントローラ、現場プログラム可能ゲートアレイ(FPGA)、特定用途集積回路(ASIC)等)、任意の他の電子コンピューティングデバイス、及び/又はそれらの任意の組み合わせを含み、データ処理能力を有する任意の種類の電子デバイスを包含すると包括的に解釈すべきである。
本明細書の教示による動作は、所望の目的のために専用に構築されたコンピュータによって、又はコンピュータ可読記憶媒体に記憶されるコンピュータプログラムによって所望の目的のために専用に構成される汎用コンピュータによって実行することができる。
本明細書において使用する場合、「例えば」、「のような」、「例として」、及びそれらの変形形態の語句は本発明の非限定的な実施形態を表す。本明細書において、「1つの実施構成」、「いくつかの実施構成」、「特定の実施構成」、「他の実施構成」、「別の実施構成」、「1つの実施形態」、「ある実施形態」、「いくつかの実施形態」、「別の実施形態」、「他の実施形態」、「特定の実施形態」、「1つの事例」、「いくつかの事例」、「ある場合」「いくつかの場合」、「他の場合」、又はそれらの変形形態の語句は、その実施形態に関連して説明される特定の機能、構造、又は特性が、本発明の実施形態の少なくとも1つに含まれることを意味する。従って、「1つの実施構成」、「ある実施形態」、「いくつかの実施構成」、「別の実施構成」、「特定の実施構成」、「他の実施構成」、「1つの事例」、「いくつかの事例」、「1つの場合」、「いくつかの場合」、「他の場合」、又はそれらの変形形態の語句は、必ずしも同じ実施形態を参照するとは限らない。
また、明瞭化のために別個の実施形態に関連して説明される本発明の特定の機能は、1つの実施形態に組み合わせた状態で提供できることを理解されたい。対照的に、簡略化のために、1つの実施形態に関連して説明される本発明の種々の機能は、別個に又は何らかの適切な部分的組み合わせの状態で提供することができる。
本発明の実施形態において、図示の段階に対して、少ない、多い、及び/又は異なる段階を実行することができる。本発明の実施形態において、図示の段階の1つ又はそれ以上は、異なる順番で実行することができ、及び/又は段階の1つ又はそれ以上のグループは、同時に実行することができる。
本発明の特定の実施形態は、図3を参照して説明するコンピュータシステムのアーキテクチャに適用することができる。しかしながら、本発明は、特定のアーキテクチャに拘束されるものではなく、等価な機能及び/又は変更された機能は、別の方法で統合又は分割することができ、ソフトウェア、ファームウェア、及びハードウェアの何らかの適切な組み合わせで実行することができる。同様に当業者であれば、本発明は、任意のコンピュータシステム、及び仮想化ストレージシステムを実行する任意のストレージアーキテクチャに適用できることを容易に理解できるはずである。本発明の異なる実施形態において、機能ブロック及び/又はその一部は、単一の又は複数の地理上の場所に配置することができ(高可用性のための二重化を含む)、各ブロックの間の及び/又は各ブロック内の有効な接続は、リモート接続を含み、直接的に(例えば、バスを経由して)又は間接的に実行することができる。リモート接続は、ワイヤライン、ワイヤレス、ケーブル、インターネット、イントラネット、パワー、衛星、又は他のネットワークを経由して、及び/又は任意の適切な通信規格、システム、及び/又はプロトコル、及びそれらを変更したもの、若しくは、それらを発展させたもの(例示的に、イーサネット(登録商標)、iSCSI、ファイバチャネル等)を使用して提供することができる。
本発明の詳細な説明では、アクセスタイプ(セルラ、Wi−Fi、DSL等)ごとに、ユーザ認証に使用される、異なる一意的な技術的パラメータ(ユーザ認証情報としても知られる)が提供される。例えば、MSISDNは、セルラネットワークのユーザを識別するために使用することができるが、MACアドレスは、WiFiネットワークにおいてユーザIDの役割を果たすことができる。
基本的な概念は、全ての可能性のあるユーザ認証情報(ネットワークにアクセスしているユーザについての識別詳細情報)を関連付けして、異なるアクセスネットワーク上で接続するユーザの識別、認証、及び認可の自動化を可能にする方法で、(1つ又はそれ以上の)認証情報リポジトリにユーザ認証情報をまとめることである。
統合された加入者リポジトリを運用することにより、ユーザ識別を有する異なるネットワークに関して有効な様々な認証情報を関連付けることができ、アクセスネットワークのタイプに依存せずにユーザを識別できるようになる。すなわち、第2のタイプのネットワークアクセスリクエストが認可されると、本発明の特定の実施形態によれば、コントローラは、ネットワークにアクセスするユーザを、ベース認証情報と関連付けさるたデータと関連付けることができる。このようなデータは、例えば、ネットワークにアクセスするユーザにユーザプロファイルを提供することができる。
認証情報リポジトリは、プライマリ認証情報を格納するために最初に使用される。以下の説明において、「プライマリ認証情報」という用語は、サービスプロバイダにおいて登録されているユーザと関連する認証情報に関して使用する。通常、これは、顧客関係管理(CRM)ソフトウェアを用いて生成されるか、又はユーザ自身によって生成され、ホームネットワークの加入者プロファイルリポジトリに格納される。
プライマリ認証情報は、ユーザが何らかの代替のネットワーク上でログインを実行すると、代替の(訪問先の)認証情報によって補完される。ユーザが、代替のネットワークにおいて正当性が証明された後に、訪問先ネットワークにアクセスするために有効なユーザ認証情報が得られ、加入者リポジトリに格納されて、更に、訪問先ネットワークの認証及び認可において再利用される。
特定のネットワークに関する認証情報が認証情報リポジトリに追加された後、ユーザは、適切なネットワークにシームレスに切り替えることができる。
最初のネットワーク接続に基づく付加的な正当性証明機構、及び位置相関技術は、代替の認証情報についての信頼性のある安全な登録を保証するために追加することができる。
本発明の特定の実施形態によれば、図3に示すように、一般的なネットワーク構成要素、及び運用担当者バックオフィスサブシステム(例えば、AAAフロー制御、加入者リポジトリ)を含む、既存のネットワーク基盤に関する補完が可能になる。
図3は図2を補うものであり、先行技術のバックオフィスシステムに実装される変更点が強調されている。シームレスでトランスペアレントなログインを処理することを含む主要なバックオフィスモジュールを具体的に示す。モジュールの機能及び協調については、以下に具体的に示す。
図3に示すように、モジュールAAAフローコントローラ及び加入者プロファイルリポジトリは、トランスペアレントなログインをサポートするために変更する必要がある。この変更は、他のバックオフィス環境に影響せず、変更についての取り組みを最小限に抑える。AAAフローコントローラは、アクセス制御アルゴリズムを実行する進化型認証認可フローコントローラである(以下に示す)。これは、ネットワークアクセスリクエストからユーザ認証情報を抽出し、更に認証制御フローを処理することを担う。AAAフローコントローラは、異なるアクセスネットワークからのアクセスリクエストを処理する一方で適切なネットワークを照合して、ユーザ認証情報を見つけ、正当性を証明するために、拡張型加入者プロファイルリポジトリと通信する。
AAAフローコントローラは、適切なネットワークタイプの仕様に対応して動作フローを調整する設定可能エンジンを組み込んでいる。例えば、Wi−Fiネットワークにおいては、ユーザIDを抽出することは(ユーザがMACアドレスによって識別されて)、DHCPサーバに問い合わせを行うことにつながるが、セルラネットワークID(MSISDN)がリクエストに含まれる場合には別のシステムに問い合わせを行う必要はない。
拡張型加入者リポジトリは、ユーザの詳細情報及び認証情報を含むユーザプロファイルを保持するリポジトリである。拡張型リポジトリは、モデルを実装する必要があり、ここでは、特定のネットワークに対して適切な複数の認証情報は、単一のユーザ識別に関連付けされる。従って、異なるネットワークに一致する同じユーザの様々な認証情報は、リクエストに応じて提供することができる。加入者リポジトリは、集中型サービスであり、単一のDB並びに分散型DBで実行することができる。分散型DBの場合には、集中型インタフェースはミドルウェアによって実装される。
DHCPは、IPのようなアクセスネットワーク特有のパラメータを割り当てること、並びに、アクセスリクエスト及び以下の認証手続きにおいて含まれるMACアドレス等のようなユーザ装置特有のパラメータを記録することを担う、動的ホスト構成プロトコルサーバである。DHCPサーバは、MACアドレス、デバイスタイプ等のようなユーザ装置のパラメータとIPアドレスとの関連を記録するために使用される専用のDBを有する。
単独で運用する一方で、DHCPサーバは、ユーザに関連する具体的なパラメータについての詳細な情報を(AAAフロー制御コントローラのような)外部のシステムにリクエストに応じて提供することができる。
ユーザポータルは、ユーザログインをサポートし、アクセスサーバ、SPR等のようなバックオフィスサブシステムと相互作用する、ウェブページ管理である。このポータルは、ログイン中にユーザによって入力される認証情報を得るために使用される。(公知のシステムにおいて、ユーザポータルは、ユーザが訪問先ネットワークに接続する度に作動し、一方で、本発明の特定の実施形態によれば、ユーザポータルは、訪問先ネットワークにおける最初の登録においてのみ作動し、その後、ユーザ認証情報は、拡張型加入者リポジトリに格納され)ユーザポータルは、加入者詳細情報を再検証/更新するために、適宜使用することができる。
ユーザコミュニケータ(図3(10))は、SMS(SMSコントローラ)、電子メール(メールサーバ)、MMS、音声、等を用いてユーザと通信するために使用されるサーバである。
統合型ロケーションマネージャは、ネットワークアクセス構成要素及びその位置(例えば、RANアンテナ、セル、Wi−Fiホットスポット等)に関する情報を含むネットワーク情報リポジトリである。アクセス構成要素IDは、アクセスリクエストの一部であり、ロケーションマネージャに問い合わせを行い、ユーザの位置を確定するために使用することができる。本発明の特定の実施形態によれば、ロケーションマネージャは、最初の登録の間に、又は第2のタイプの接続を経由するユーザのアクセスの間に、位置の近接性照合に使用することができる。
ロケーションマネージャは、ユーザが、全てのネットワークにおいて同じ位置又はかなり近い位置に現れると報告される必要があると仮定して、1つのネットワークで見つかったユーザの位置に対する別のネットワークで見つかった位置を照合する。識別された各位置の間でのわずかな隔たりは、技術的制限、及び既存の技術の合理的な偏差により許容される。位置があまりに離れている場合には(隔たりの閾値は、AAAコントローラにおいて設定可能である)、システムは、認証手続きを無効にすることができる。
ロケーションマネージャは、ユーザが、全てのネットワークにおいて同じ位置又はかなり近い位置に現れると報告される必要があると仮定して、1つのネットワークで見つかったユーザの位置に対する別のネットワークで見つかった位置を照合する。識別された各位置の間でのわずかな隔たりは、技術的制限、及び既存の技術の合理的な偏差により許容される。位置があまりに離れている場合には(隔たりの閾値は、AAAコントローラにおいて設定可能である)、システムは、認証手続きを無効にすることができる。
位置相関手続きについて以下に説明する。
GGSNは、ゲートウェイGPRSサポートノードである。GGSNは、3Gネットワーク(図3(8))と、Wi−Fi(図3(11))で示されるIPネットワークのような外部のパケット交換ネットワークとの間での相互作用を担う。
いくつかの場合には、GGSNは、IPアドレスの割当を担い、接続されるユーザ装置(UE)のデフォルトルータとして動作する。更に、認証及び課金機能を担当することができる。
注:WiFi、DSL、Wi−Max、3G等の任意の1つとすることができる接続タイプにより、GGSNは、同様の(ネットワークアクセス制御)機能を実行する任意のデバイスによって代用することができる。
GGSNは、ゲートウェイGPRSサポートノードである。GGSNは、3Gネットワーク(図3(8))と、Wi−Fi(図3(11))で示されるIPネットワークのような外部のパケット交換ネットワークとの間での相互作用を担う。
いくつかの場合には、GGSNは、IPアドレスの割当を担い、接続されるユーザ装置(UE)のデフォルトルータとして動作する。更に、認証及び課金機能を担当することができる。
注:WiFi、DSL、Wi−Max、3G等の任意の1つとすることができる接続タイプにより、GGSNは、同様の(ネットワークアクセス制御)機能を実行する任意のデバイスによって代用することができる。
IP GWは、IPネットワークへの入口として作動するネットワーク構成要素であり、Wi−Fiアクセスセグメント上で接続するユーザのアクセスを管理する。GGSNと同様であるが、Wi−Fiが可能なネットワークにおいて使用される。
注:WiFi、DSL、Wi−Max、3G等の任意の1つとすることができる接続タイプにより、IP GWは、同様の(ネットワークアクセス制御)機能を実行する任意のデバイスによって代用することができる。
注:WiFi、DSL、Wi−Max、3G等の任意の1つとすることができる接続タイプにより、IP GWは、同様の(ネットワークアクセス制御)機能を実行する任意のデバイスによって代用することができる。
認証及び認可フローコントローラ、加入者プロファイルリポジトリ、位置リポジトリのようないくつかのサブシステムは、以下に説明する高度なフローに適合させるために変更を必要とする場合がある。
APは、(Wi−Fi、Wi−Max等の)無線アクセスポイントである。これは、Wi−Fi、ブルートゥース、又は関連する規格を使用して、無線通信デバイスを有線ネットワークに接続することができるデバイスである。無線APは、通常、ルータ(IP GW)に接続し、(コンピュータ、又はプリンタのような)無線デバイスと、ネットワーク上で無線接続したデバイスとの間でデータを中継することができる。
運用担当者は、同一のユーザに関する複数の認証情報をサポートするために、加入者リポジトリを変更する必要がある。
ユーザ認証情報の構成は、同じタイプの異なるネットワーク上でのシームレスなログインを可能にするために、異なるアクセスネットワーク及びネットワークIDからのログインリクエストを識別するためのアクセスタイプを含む必要がある。
図4は、加入者プロファイルリポジトリのスキーマ構成を示す。ユーザログインにおいて、ネットワークアクセスコントローラ(図3(2))は、ユーザ認証及び認可に関してAAAフローコントローラに問い合わせを行い、同時に、ユーザ照合、認証、及び認可において使用される、MACアドレス、IP、ポート番号、MSISDN等のようなネットワーク特有のパラメータを提供する。
AAAフローコントローラは、更なる正当性証明に関してSPRから適切なアクセスタイプの一致する認証情報を検索するために、アクセスクエリからの認証情報を検索する。
認証情報が利用可能であり、照合が成功した場合、ユーザは、ネットワークに接続し、ユーザ設定において特定される適切なサービスが提供される。
このネットワークタイプに一致する認証情報がない場合、ユーザは、初回のアクセス登録手続きを案内され、この手続きの間に、ユーザは、生成された秘密コードを入力することを要求され、これは安全な登録を保証するために、利用可能な認証された接続上で送信される。
位置相関のような、本技術を強化する補完的な正当性証明は、適切なネットワークタイプ毎に適用することができる(以下に説明するように)。
図4は、拡張型加入者プロファイルリポジトリのスキーマを具体化しており、ユーザは、1つ又はそれ以上の認証情報と関連付けられている。図示のように、ユーザは、ホームネットワークでの最初の登録の間に提供される、ベースと呼ばれるプライマリ認証情報を有する必要がある。追加の認証情報は、追加するネットワークでユーザを登録する間に追加される。このことにより、ネットワークにおける反復性ログインの間に、AAAフローコントローラは、登録されているベース認証情報及び代替認証情報のいずれかを使用してユーザを識別することができる。
図5は、本発明の実施形態による、例えばWi−Fiを使用してネットワークにアクセスする動作を示すフローチャートである。
図について以下に説明する。
1.ユーザは、ユーザデバイス(例えば、スマートフォン)のWi−Fiアダプタを作動させる。これにより、DHCPリクエストがネットワーク上で送信される。
2.DHCPサーバは、ユーザデバイスにIPアドレスを割り当て(ユーザのMACアドレス毎のIPリースとしても知られる)、IPアドレスをユーザ装置に送信する。ユーザのMACアドレスは、DHCP DBにおいて、IPと共に格納され、必要に応じて他のシステムから検索することができる。
3.DHCPフローが完了した後、ユーザトラヒックは、IP−GWからのリクエストを開始させ、そのリクエストは、AAAコントローラに転送され、適切なユーザ認証情報(例えば、MAC)が既に登録されているか否かを判断するためにSPRに問い合わせを行う。
4.ユーザ認証情報がまだ登録されていない場合、ユーザは、ログインポータルに進むことになる。
5.ポータルは、認証の詳細情報を受け取って、ユーザ登録を管理する。
6.詳細情報は、AAAコントローラによって検証される。
7.詳細情報は、更に再利用するためにSPRに入力される。
8.認証情報が既にDBに登録されている場合、ユーザプロファイルは、更にデバイに対処するために検索され、ユーザはネットワークに接続される。
1.ユーザは、ユーザデバイス(例えば、スマートフォン)のWi−Fiアダプタを作動させる。これにより、DHCPリクエストがネットワーク上で送信される。
2.DHCPサーバは、ユーザデバイスにIPアドレスを割り当て(ユーザのMACアドレス毎のIPリースとしても知られる)、IPアドレスをユーザ装置に送信する。ユーザのMACアドレスは、DHCP DBにおいて、IPと共に格納され、必要に応じて他のシステムから検索することができる。
3.DHCPフローが完了した後、ユーザトラヒックは、IP−GWからのリクエストを開始させ、そのリクエストは、AAAコントローラに転送され、適切なユーザ認証情報(例えば、MAC)が既に登録されているか否かを判断するためにSPRに問い合わせを行う。
4.ユーザ認証情報がまだ登録されていない場合、ユーザは、ログインポータルに進むことになる。
5.ポータルは、認証の詳細情報を受け取って、ユーザ登録を管理する。
6.詳細情報は、AAAコントローラによって検証される。
7.詳細情報は、更に再利用するためにSPRに入力される。
8.認証情報が既にDBに登録されている場合、ユーザプロファイルは、更にデバイに対処するために検索され、ユーザはネットワークに接続される。
ユーザは、ユーザがセルラネットワーク上でネットワークに接続することを可能にする、加入者プロファイルリポジトリに格納されるベース認証情報を有すると仮定している。
注:ここでは、更にセルラトラヒックをオフロードするWi−Fiが一例として使用される。
注:ここでは、更にセルラトラヒックをオフロードするWi−Fiが一例として使用される。
ユーザが、最初にWi−Fi上でネットワークに接続することを試行する場合、図6において更に詳細に説明するように、AAAコントローラは、試行を検出してユーザを初回のアクセス登録手続きに案内する。
初回のアクセス登録に関する対応するメッセージシーケンスに続いて、代替の接続上でのログインが行われる。
安全性を保証するために、登録フロー手続きは、ユーザによる追加の認証プロセスを伴う。追加の認証プロセスは、例えば、SMS上でユーザに伝えられるパスワードを検証すること、ユーザの支払手段のような課金情報を検証すること、又は加入者を一意に識別すると見なされる他の手段とすることができる。
以下のフローは、SMSによって支援される安全な登録を説明する。
図7は、安全な登録のために、例えば、SMSによって支援されてセルラネットワークにアクセスする動作の例を示すフローチャートである。
図7は、安全な登録のために、例えば、SMSによって支援されてセルラネットワークにアクセスする動作の例を示すフローチャートである。
図7に示すように、SMSによって支援される登録は、ユーザがセルラネットワーク上で接続されているという事実を利用する。従って、ユーザは、SMS上で配信される追加の秘密コードを、ポータルを経由して入力することを要求される。秘密コードは、他のユーザに反復的に再利用されないように、サーバによって単一のトランザクションに関して生成される、文字の一意的な組合せである。SMSによって伝えられる秘密キーは、MMS、音声、電子メール通知等のようなメッセージ通信の他の様々なタイプを経由してユーザに配信することができる。
図8は、SMSによって支援される安全な登録に関する対応するメッセージシーケンスチャートを示す。
位置相関技術は、セルラ及びWi−Fiの両方の接続が同じデバイスによって確立され、異なる無線ネットワークによって別々に認識されるという事実を利用する。
ネットワーク基盤が、位置管理設備(ユーザ位置の検出が可能なシステム)を含む場合、両方の位置は(ユーザがWi−Fi及びセルラネットワークに接続されている場合、ユーザの位置は、Wi−Fiネットワークトポロジ、並びにセルラネットワークトポロジを使用して検出することができる。ユーザは、異なるが近い位置に現れる場合がある。)、更なる近接性相関に関する登録時にAAAコントローラによって抽出することができる。これは、任意選択的に適用することができる技術を強化する付加的な正当性証明である。
CPE(ユーザ装置)は、安全性検証をパスするために同じ位置に現れる必要がある。
RANセル及びWi−Fiアクセスポイントのような接続位置は、変わることがあることを考慮すると、接続の識別位置が同一でない場合、適切なロケーションサーバからの位置情報を比較する際に、運用担当者は、設定可能な許容範囲のようなものを実装することができる。
図9は、例えば、安全な登録のために位置相関によって支援されてネットワークにアクセスする動作の実施例を示す。
位置相関手続きは、登録アルゴリズムにおいて使用されるネットワークの全てに関して利用可能な位置情報を必要とする。図9に示す実施例は、Wi−Fiアクセスポイントの位置がDHCPサーバによって保持され、登録される携帯電話のRANセル位置が専用のロケーションサーバによって提供される事例を示す。携帯電話の位置は、確立している呼において更新される。Wi−Fi AP及びCPE相関の技術の1つは、一意的なAPラベルで伝送トラヒックを示すためのAP能力に基づいており、このラベルは、後でトラヒックから抽出され、いずれかの時点でAPを識別するために使用することができる。
図10は、位置相関によって支援された登録に関する対応するメッセージシーケンスチャートを示す。
SMS及び位置相関によって支援された手続きは、別々に使用すること及び組み合わせて使用することができる。
本発明の特定の実施形態によれば、SPRは、識別情報が盗用される可能性を低減するために、時々、期間毎に(例えば、毎週)異なる認証情報の間での相関を再検証することを加入者に要求することができる。例示的に、この手続きは、例えば、SPRにおける認証情報についての標準のエージングタイマ管理によって動作することができる。
更に、本開示の主題によるシステムは、適切にプログラムされたコンピュータとすることができることを理解されたい。同様に、本開示の主題は、本開示の主題の方法を実行するための、コンピュータ可読コンピュータプログラムを意図している。更に、本開示の主題は、本開示の主題の方法を実行するための、マシンによって実行可能なプログラム命令を有形的に実装する、マシン可読メモリを意図している。
当業者であれば、本発明の請求項に定義される範囲から逸脱することなく、本明細書で説明した本発明の実施形態に対して様々な変更例及び変形例を適用できることを容易に理解できるはずである。
1 ユーザ装置
3 DHCP
4 AAAフローコントローラ
5 ユーザポータル
6 加入者プロファイルリポジトリ
9 ユニファイドロケーションマネージャ
10 ユーザコミュニケータ
3 DHCP
4 AAAフローコントローラ
5 ユーザポータル
6 加入者プロファイルリポジトリ
9 ユニファイドロケーションマネージャ
10 ユーザコミュニケータ
Claims (21)
- ネットワークへのアクセスを制御する方法であって、該方法は、
前記ネットワークに対する第1のタイプの接続に関するデータリポジトリ、ネットワーク及び第1のアクセスシステム、並びに、前記ネットワークに対する第2のタイプの接続に関する第2のアクセスシステムと通信するフロー制御サーバを経由して、
前記データリポジトリにおいて、前記第2のタイプの接続に関する第1の識別詳細情報の格納をさせる段階と、
前記第1の識別詳細情報を前記第1のタイプの接続に関するベース認証情報と関連付ける段階と、
第2の識別詳細情報を含み、第2のタイプの接続に関する前記第2のアクセスシステムを経由して前記ネットワークにアクセスする第1のリクエストを受信する段階と、
データリポジトリに前記第2の識別詳細情報の格納をさせる段階と、
前記第2の識別詳細情報と前記第1の識別詳細情報との間で相関が見つかった場合に、前記第2の識別詳細情報をベース認証情報と関連付ける段階と、
第3の識別詳細情報を含み、前記第1のタイプの接続に関する前記第1のアクセスシステムを経由して前記ネットワークにアクセスする第2のリクエストを受信する段階と、
前記データリポジトリにおいて、前記第3の識別詳細情報の格納をさせる段階と、
前記第3の識別詳細情報と前記第1の識別詳細情報との間で相関が見つかった場合に、前記第3の識別詳細情報を前記ベース認証情報と関連付ける段階と、
を含む方法。 - 前記第2の識別詳細情報が前記第1の識別詳細情報と相関していない場合に、前記第1のタイプの接続を経由して第1のデータを送信する段階と、
第2のデータを受信する段階と、
前記第2のデータの正当性が証明される場合に、前記第2の識別詳細情報の格納を実行する段階と、
を更に含む、請求項1に記載の方法。 - 前記第2のデータは、加入者を一意に識別すると見なされるパスワード及び課金情報の少なくとも1つを含む、請求項2に記載の方法。
- 前記ベース認証情報と関連するユーザプロファイルを提供する段階を更に含む、請求項1に記載の方法。
- 前記相関は、前記第2の識別詳細情報によって認識されるユーザの位置と前記ベース認証情報によって認識されるユーザ位置との間の相関を含むことができる、請求項1に記載の方法。
- 前記第2の識別詳細情報の正当性を証明する段階を更に含む、請求項1から5のいずれかに記載の方法。
- 前記第2の識別詳細情報を含む前記リクエストを受信する段階に応答して、前記第2の識別詳細情報が前記第1の識別詳細情報と相関していないか否かを判定するために、前記第2の識別詳細情報に関する更なるデータを取得する段階を更に含む、請求項2に記載の方法。
- ネットワークへのアクセスを制御するためのシステムであって、該システムは、
コントローラ、ネットワークプロセッサ、前記ネットワークに対する第1のタイプの接続に関する第1のアクセスシステム及び前記ネットワークに対する第2のタイプの接続に関する第2のアクセスシステムと通信するデータリポジトリを備え、
前記データリポジトリは、前記第2のタイプの接続に関する第1の識別詳細情報を格納するように構成され、
前記プロセッサは、
前記第1の識別詳細情報を第1のタイプの接続に関するベース認証情報と関連付け、
第2の識別詳細情報を含み、前記第2のタイプの接続上で、前記第2のアクセスシステムを介して前記ネットワークにアクセスする第1のリクエストを受信し、
前記データリポジトリにおいて、前記第2の識別詳細情報の格納をさせ、
前記第2の識別詳細情報と前記第1の識別詳細情報との間で相関が見つかった場合に、前記第2の識別詳細情報をベース認証情報と関連付けるように構成され、
前記コントローラは、
前記第2の識別詳細情報と前記第1の識別詳細情報との間で相関が見つかった場合に、前記第1のリクエストに応じて前記ネットワークへのアクセスを認可し、
第3の識別詳細情報を含み、前記第1のタイプの接続上で、前記第1のアクセスシステムを介して前記ネットワークにアクセスする第2のリクエストを受信し、
前記データリポジトリにおいて、前記第3の識別詳細情報の格納をさせ、
前記第3の識別詳細情報と前記第1の識別詳細情報との間で相関が見つかった場合に、前記第3の識別詳細情報を前記ベース認証情報と関連付けるように構成され、
前記第3の識別詳細情報と前記第1の識別詳細情報との間で相関が見つかった場合に、前記コントローラは、前記第2のリクエストに応じて前記ネットワークへのアクセスを認可するように構成される、
システム。 - 前記コントローラは、更に、前記リクエストに応じて、前記第2の識別詳細情報が前記第1の識別詳細情報と相関していない場合に、前記第1のタイプの接続を経由して第1のデータを送信し、第2のデータを受信し、前記第2のデータの正当性を証明して、前記第2の識別詳細情報の格納を実行するように構成される、請求項8に記載のシステム。
- 前記第2のデータは、加入者を一意に識別すると見なされるパスワード及び、課金情報の少なくとも1つを含む、請求項9に記載のシステム。
- 前記コントローラは、更に、前記ベース認証情報と関連するユーザプロファイルを提供するように構成される、請求項8に記載のシステム。
- 前記相関は、前記第2の識別詳細情報によって認識されるユーザの位置と前記ベース認証情報によって認識されるユーザ位置との間の相関を含む、請求項8に記載のシステム。
- 前記コントローラは、更に、前記第2の識別詳細情報の正当性を証明するように構成される、請求項8に記載のシステム。
- 前記第2の識別詳細情報を含む前記リクエストを受信することに応じて、前記コントローラは、更に、前記第2の識別詳細情報が前記第1の識別詳細情報と相関していないか否かを判定するために、前記第2の識別詳細情報に関する更なるデータを取得するように構成される、請求項9に記載のシステム。
- ネットワークへのアクセスを制御する方法を実行するマシンによって実行することができるプログラム命令を有形的に実装する、マシン可読プログラム格納デバイスであって、該方法は、
前記ネットワークに対する第1のタイプの接続に関するデータリポジトリ、ネットワーク及び第1のアクセスシステム、並びに、前記ネットワークに対する第2のタイプの接続に関する第2のアクセスシステムと通信するフロー制御サーバを経由して、
前記データリポジトリにおいて、前記第2のタイプの接続に関する第1の識別詳細情報の格納をさせる段階と、
前記第1の識別詳細情報を前記第1のタイプの接続に関するベース認証情報と関連付ける段階と、
第2の識別詳細情報を含み、前記第2のタイプの接続に関する前記第2のアクセスシステムを経由してネットワークにアクセスするリクエストを受信する段階と、
データリポジトリに前記第2の識別詳細情報の格納をさせる段階と、
前記第2の識別詳細情報と前記第1の識別詳細情報との間で相関が見つかった場合に、前記第2の識別詳細情報をベース認証情報と関連付ける段階と、
第3の識別詳細情報を含み、前記第1のタイプの接続に関する前記第1のアクセスシステムを経由して前記ネットワークにアクセスする第2のリクエストを受信する段階と、
前記データリポジトリにおいて、前記第3の識別詳細情報の格納をさせる段階と、
前記第3の識別詳細情報と前記第1の識別詳細情報との間で相関が見つかった場合に、前記第3の識別詳細情報を前記ベース認証情報と関連付ける段階と、
を含む、プログラム格納デバイス。 - 前記第1のタイプの接続は、WiFiであり、前記第2のタイプの接続は、携帯電話である、ことを特徴とする請求項1に記載の方法。
- 前記第1のタイプの接続は、WiFiであり、前記第2のタイプの接続は、携帯電話である、ことを特徴とする請求項8に記載のシステム。
- 前記第1のタイプの接続は、WiFiであり、前記第2のタイプの接続は、携帯電話である、ことを特徴とする請求項15に記載の方法。
- 前記第1のタイプの接続は、携帯電話であり、前記第2のタイプの接続は、WiFiである、ことを特徴とする請求項1に記載の方法。
- 前記第1のタイプの接続は、携帯電話であり、前記第2のタイプの接続は、WiFiである、ことを特徴とする請求項8に記載のシステム。
- 前記第1のタイプの接続は、携帯電話であり、前記第2のタイプの接続は、WiFiである、ことを特徴とする請求項15に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US41453310P | 2010-11-17 | 2010-11-17 | |
| US61/414,533 | 2010-11-17 | ||
| PCT/IL2011/050019 WO2012066556A1 (en) | 2010-11-17 | 2011-11-17 | Cross access login controller |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014504391A JP2014504391A (ja) | 2014-02-20 |
| JP5982389B2 true JP5982389B2 (ja) | 2016-08-31 |
Family
ID=46083555
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013539400A Expired - Fee Related JP5982389B2 (ja) | 2010-11-17 | 2011-11-17 | クロスアクセスログインコントローラ |
Country Status (5)
| Country | Link |
|---|---|
| US (6) | US9055073B2 (ja) |
| EP (1) | EP2641163B1 (ja) |
| JP (1) | JP5982389B2 (ja) |
| CN (1) | CN103329091B (ja) |
| WO (1) | WO2012066556A1 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012066556A1 (en) | 2010-11-17 | 2012-05-24 | Ruckus Wireless Inc. | Cross access login controller |
| CN103813395A (zh) * | 2012-11-09 | 2014-05-21 | 中兴通讯股份有限公司 | 终端用户在不同网络间进行无缝移动的方法及wog |
| JP5864453B2 (ja) * | 2013-02-14 | 2016-02-17 | 日本電信電話株式会社 | 通信サービス提供システムおよびその方法 |
| WO2016064552A1 (en) * | 2014-10-24 | 2016-04-28 | Verato, Inc. | Improved system and methods for exchanging indentity information among independent enterprises which may include person enabled correlation |
| CN105682093A (zh) | 2014-11-20 | 2016-06-15 | 中兴通讯股份有限公司 | 无线网络接入方法及接入装置和客户端 |
| US9853982B2 (en) * | 2015-04-14 | 2017-12-26 | Comcast Cable Communications, Llc | Image-based group profiles |
| US10009329B2 (en) * | 2015-06-23 | 2018-06-26 | Microsoft Technology Licensing, Llc | Learned roving authentication profiles |
| FI128171B (en) * | 2015-12-07 | 2019-11-29 | Teliasonera Ab | network authentication |
| DE102015225792B3 (de) * | 2015-12-17 | 2017-04-13 | Volkswagen Aktiengesellschaft | Verfahren und ein System zur geschützten Kommunikation zwischen einer mit einem Smartphone gekoppelten mobilen Einheit und einem Server |
| CN106332082A (zh) * | 2016-08-24 | 2017-01-11 | 上海斐讯数据通信技术有限公司 | 一种接入无线设备的权限认证方法及系统 |
| GB2560065B (en) * | 2016-11-24 | 2021-09-15 | Reliance Jio Infocomm Ltd | A system and method for data offloading in a hetnet |
| EP3487124B1 (de) * | 2017-11-17 | 2020-05-20 | ise Individuelle Software und Elektronik GmbH | Systeme und verfahren zum aufbau von verbindungen zwischen einem mobilgerät und einem lokalen netzwerk |
| WO2022177784A1 (en) * | 2021-02-22 | 2022-08-25 | Arris Enterprises Llc | Device-independent authentication based on an authentication parameter and a policy |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI110050B (fi) * | 1999-10-22 | 2002-11-15 | Nokia Corp | Pakettidataprotokollakontekstin aktivoiminen verkkovierailevalle tilaajalle |
| JP2002152195A (ja) * | 2000-11-10 | 2002-05-24 | Ntt Docomo Inc | 認証サーバ、認証方法及び記録媒体 |
| JP2003085145A (ja) * | 2001-09-13 | 2003-03-20 | Sony Corp | ユーザ認証システム及びユーザ認証方法 |
| SE0103337D0 (sv) | 2001-10-08 | 2001-10-08 | Service Factory Sf Ab | System and method relating to mobile communications |
| JP3870081B2 (ja) * | 2001-12-19 | 2007-01-17 | キヤノン株式会社 | 通信システム及びサーバ装置、ならびに制御方法及びそれを実施するためのコンピュータプログラム、該コンピュータプログラムを格納する記憶媒体 |
| US7221935B2 (en) * | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| US20070127495A1 (en) * | 2003-01-10 | 2007-06-07 | De Gregorio Jesus-Angel | Single sign-on for users of a packet radio network roaming in a multinational operator network |
| JP2007079857A (ja) * | 2005-09-13 | 2007-03-29 | Canon Inc | サーバー装置、クライアント装置及びそれらの制御方法、コンピュータプログラム、記憶媒体 |
| WO2007077958A1 (en) * | 2005-12-26 | 2007-07-12 | Matsushita Electric Industrial Co., Ltd. | Mobile network managing apparatus and mobile information managing apparatus for controlling access requests |
| JP2007264835A (ja) * | 2006-03-27 | 2007-10-11 | Nec Corp | 認証方法およびシステム |
| US8578459B2 (en) * | 2007-01-31 | 2013-11-05 | At&T Intellectual Property I, L.P. | Methods and apparatus to control network access from a user device |
| US8132232B2 (en) * | 2007-07-12 | 2012-03-06 | Hewlett-Packard Development Company, L.P. | Controlling access privileges in a wireless domain |
| CN101868002B (zh) * | 2009-04-17 | 2012-12-05 | 电信科学技术研究院 | 一种控制ue接入网络的方法及系统 |
| WO2012066556A1 (en) * | 2010-11-17 | 2012-05-24 | Ruckus Wireless Inc. | Cross access login controller |
| JP2013188885A (ja) | 2012-03-12 | 2013-09-26 | Dainippon Printing Co Ltd | 熱転写装置 |
-
2011
- 2011-11-17 WO PCT/IL2011/050019 patent/WO2012066556A1/en active Application Filing
- 2011-11-17 JP JP2013539400A patent/JP5982389B2/ja not_active Expired - Fee Related
- 2011-11-17 EP EP11842127.0A patent/EP2641163B1/en active Active
- 2011-11-17 CN CN201180064820.1A patent/CN103329091B/zh active Active
-
2013
- 2013-05-17 US US13/897,052 patent/US9055073B2/en active Active
-
2015
- 2015-06-08 US US14/733,333 patent/US9548983B2/en active Active
-
2016
- 2016-12-07 US US15/371,797 patent/US9807098B2/en active Active
-
2017
- 2017-09-29 US US15/721,537 patent/US10547617B2/en active Active
-
2019
- 2019-12-30 US US16/730,295 patent/US11212678B2/en active Active
-
2021
- 2021-12-08 US US17/545,802 patent/US11743728B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US10547617B2 (en) | 2020-01-28 |
| JP2014504391A (ja) | 2014-02-20 |
| CN103329091B (zh) | 2017-05-17 |
| US9807098B2 (en) | 2017-10-31 |
| EP2641163A1 (en) | 2013-09-25 |
| US20220104018A1 (en) | 2022-03-31 |
| CN103329091A (zh) | 2013-09-25 |
| US20150271182A1 (en) | 2015-09-24 |
| US20200137061A1 (en) | 2020-04-30 |
| US20180278615A1 (en) | 2018-09-27 |
| US9055073B2 (en) | 2015-06-09 |
| EP2641163B1 (en) | 2019-09-04 |
| EP2641163A4 (en) | 2017-03-29 |
| US20130263234A1 (en) | 2013-10-03 |
| US9548983B2 (en) | 2017-01-17 |
| US11212678B2 (en) | 2021-12-28 |
| US11743728B2 (en) | 2023-08-29 |
| US20170085571A1 (en) | 2017-03-23 |
| WO2012066556A1 (en) | 2012-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5982389B2 (ja) | クロスアクセスログインコントローラ | |
| US20200153830A1 (en) | Network authentication method, related device, and system | |
| US10178095B2 (en) | Relayed network access control systems and methods | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| JP4687788B2 (ja) | 無線アクセスシステムおよび無線アクセス方法 | |
| US9549318B2 (en) | System and method for delayed device registration on a network | |
| US8611358B2 (en) | Mobile network traffic management | |
| WO2013116913A1 (pt) | Método para ativar usuário, método para autenticar usuário, método para controlar tráfego de usuário, método para controlar acesso de usuário em uma rede wi-fi de desvio de tráfego 3g e sistema de desvio de tráfego 3g | |
| CN105981345B (zh) | Wi-fi/分组核心网接入的合法侦听 | |
| US7853705B2 (en) | On demand session provisioning of IP flows | |
| WO2014101755A1 (zh) | 业务数据分流方法及系统 | |
| US20080235185A1 (en) | Communication system and method of accessing therefor | |
| JP5423320B2 (ja) | 無線通信システム及び方法 | |
| CN107800569B (zh) | 一种基于ont的vpn快速接入系统和方法 | |
| CA2829892C (en) | System and method for delayed device registration on a network | |
| KR20240042960A (ko) | 다중 인증을 제공하는 기업 전용망 서비스 시스템 | |
| CN117676576A (zh) | 一种非3gpp设备的接入系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141112 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151028 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151207 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20160307 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160407 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160704 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160801 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5982389 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |