KR100687837B1 - Systems and methods for providing dynamic network authorization, authentication and accounting - Google Patents
Systems and methods for providing dynamic network authorization, authentication and accounting Download PDFInfo
- Publication number
- KR100687837B1 KR100687837B1 KR1020027005174A KR20027005174A KR100687837B1 KR 100687837 B1 KR100687837 B1 KR 100687837B1 KR 1020027005174 A KR1020027005174 A KR 1020027005174A KR 20027005174 A KR20027005174 A KR 20027005174A KR 100687837 B1 KR100687837 B1 KR 100687837B1
- Authority
- KR
- South Korea
- Prior art keywords
- source
- access
- network
- computer
- gateway device
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1403—Architecture for metering, charging or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1432—Metric aspects
- H04L12/1439—Metric aspects time-based
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/564—Enhancement of application control based on intercepted application data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/75—Indicating network or usage conditions on the user display
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
네트워크에 대한 소스의 액세스를 선택적으로 제어하고 커스터마이즈하는 시스템 및 방법으로서, 소스는 소스 컴퓨터와 관련되고, 소스 컴퓨터는 게이트웨이 장치를 거쳐 네트워크에 대한 트랜스페어런트 액세스를 가지며 네트워크에 액세스하기 위해서 구성(configuration) 소프트웨어가 소스 컴퓨터에 설치될 필요가 없는 시스템 및 방법이 개시되었다. 사용자는 사용자의 승인에 기초하여 특정 목적지 또는 사이트로부터의 액세스가 방지되는 반면에 상기 방법 및 시스템이 액세스 가능하다고 생각하는 다른 사이트에 액세스하도록 허용된다. 상기 방법 및 시스템은 소스의 지식이 없이도 소스를 식별할 수 있고, 소스 프로파일 데이터베이스 내의 그 소스에 대응되는 커스터마이즈 가능한 액세스 권한에 액세스할 수 있다. 소스 프로파일 데이터베이스는 원격 인증 다이얼-인 사용자 서비스(RADIUS) 또는 경량 디렉토리 액세스 프로토콜(LDAP) 데이터베이스일 수 있다. 상기 방법 및 시스템은 소스 프로파일 데이터베이스 내의 소스 프로파일을 사용하여 소스가 네트워크에 또한 네트워크를 거쳐 목적지에 액세스하는 것을 동적으로 승인한다. A system and method for selectively controlling and customizing a source's access to a network, the source being associated with the source computer, the source computer having a transparent access to the network via a gateway device and configured to access the network. Systems and methods are disclosed in which software does not need to be installed on a source computer. The user is allowed to access other sites that the method and system deem accessible, while access from certain destinations or sites is prevented based on the user's approval. The method and system can identify a source without knowledge of the source, and can access customizable access rights corresponding to that source in the source profile database. The source profile database may be a remote authentication dial-in user service (RADIUS) or lightweight directory access protocol (LDAP) database. The method and system use the source profile in the source profile database to dynamically authorize the source to access the destination over and over the network.
네트워크, 서비스, 소스, 액세스, 동적, 제어, 커스터마이즈, 소스 컴퓨터, 게이트웨이 장치, 트랜스페어런트, 구성(configuration), 소프트웨어, 사용자, 식별, 인증, 승인, 과금, 목적지, 사이트, 소스 프로파일, 데이터베이스, 프로토콜Network, service, source, access, dynamic, control, customize, source computer, gateway device, transparent, configuration, software, user, identification, authentication, authorization, billing, destination, site, source profile, database, protocol
Description
본 발명은 일반적으로 네트워크 액세스를 제어하는 시스템 및 방법에 관한 것으로서, 특히 동적 사용자 네트워크 액세스를 설정하는 시스템 및 방법에 관한 것이다.The present invention relates generally to systems and methods for controlling network access, and more particularly to systems and methods for establishing dynamic user network access.
본 출원은 1999년 12월 8일자로 출원되어 계류중인 발명의 명칭이 "네트워크에 대하여 트랜스페어런트한 컴퓨터 액세스를 가진 사용자를 방향 지정 능력을 가진 게이트웨이 장치를 사용하여 방향 지정하는 시스템 및 방법"인 미국특허출원 제09/458,569호의 부분 연속 출원이다. 본 출원은 또한 1999년 12월 8일자로 출원되고 발명의 명칭이 "게이트웨이 장치를 사용하여 네트워크에 대한 트랜스페어런트한 컴퓨터 액세스를 가진 사용자를 승인, 인증 및 과금하는 시스템 및 방법"인 미국특허출원 제09/458,602호, 1999년 10월 22일자로 출원되고 발명의 명칭이 "컴퓨터 네트워크에 있어서 가입자 당 베이스로 동적 대역폭 관리를 위한 시스템 및 방법"인 미국임시특허출원 제60/161,182호, 1999년 10월 22일자로 출원되고 발명의 명칭이 "컴퓨터 네트워크에 있어서 게이트웨이 장치에 의해 가입자 터널을 발생하는 시스템 및 방법"인 미국임시특허출원 제60/160,890호, 1999년 10월 22일자로 출원되고 발명의 명칭이 "네트워크 게이트웨이 인터페이스에 사용하기 위한 정보 및 콘트롤 콘솔"인 미국임시특허출원 제60/161,139호, 1999년 10월 22일자로 출원되고 발명의 명칭이 "네트워크 게이트웨이 장치를 사용하여 서비스 제공자 네트워크와의 트랜스페어런트한 컴퓨터 액세스 및 통신을 위한 시스템 및 방법"인 미국임시특허출원 제60/161,189호, 1999년 10월 22일자로 출원되고 발명의 명칭이 "가입자 관리를 편리하게 하기 위해 네트워크 게이트웨이 장치로 하여금 관리 시스템과 통신하게 하는 시스템 및 방법"인 미국임시특허출원 제60/160,973호, 1999년 10월 22일자로 출원되고 발명의 명칭이 "XML 인터페이스를 가진 게이트웨이 장치과 관련 방법"인 미국임시특허출원 제60/161,181호, 및 1999년 10월 22일자로 출원되고 발명의 명칭이 "게이트웨이 장치에 사용하기 위한 위치에 기초한 식별 및 승인"인 미국임시특허출원 제60/161,093호로부터 우선권을 주장한다. 상기 출원들은 모두 그 전체 내용을 여기에 인용함으로써 본 명세서의 일부를 이룬다. The present application, filed December 8, 1999, is entitled United States entitled "System and Method for Orienting Users With Transparent Computer Access to a Network Using a Gateway Device with Directional Capability." Partial serial application of patent application 09 / 458,569. The present application is also filed on December 8, 1999 and entitled US Systems Applicant, entitled “Systems and Methods for Authorizing, Authorizing, and Billing Users with Transparent Computer Access to a Network Using Gateway Devices.” 09 / 458,602, filed Oct. 22, 1999 and entitled "System and Method for Dynamic Bandwidth Management on a Per-Subscriber Base in Computer Networks" US Provisional Patent Application No. 60 / 161,182, 10, 1999 The invention is filed on May 22 and filed as U.S. Provisional Patent Application No. 60 / 160,890, filed October 22, 1999, entitled "System and Method for Generating a Subscriber Tunnel by a Gateway Device in a Computer Network." Provisional Patent Application No. 60 / 161,139, entitled "Information and Control Console for Use in Network Gateway Interfaces," filed October 22, 1999 Invented and filed in US Provisional Patent Application No. 60 / 161,189, filed Oct. 22, 1999, entitled "System and Method for Transparent Computer Access and Communication with a Service Provider Network Using a Network Gateway Apparatus". Of U.S. Provisional Patent Application No. 60 / 160,973, filed Oct. 22, 1999, entitled "System and Method for Allowing a Network Gateway Device to Communicate with a Management System to Conveniently Manage Subscribers". US Provisional Patent Application No. 60 / 161,181, entitled "Gateway Device with an XML Interface," and October 22, 1999, entitled "Identification and Approval Based on Location for Use with Gateway Devices" Priority is claimed from U.S. Provisional Patent Application 60 / 161,093. The above applications are all part of this specification by citing the entire contents herein.
컴퓨터 네크워크에의 사용자 액세스는 종래 사용자에게 전체 네트워크 액세스를 제공하거나, 사용자의 어떠한 액세스도 거부하는 2-단계 인증 프로세스에 기초하였다. 프로세스의 첫 번째 단계에서, 사용자는 전화선, 네트워크 접속 전용선(예로서, 광대역, 디지털 신호선(DSL)) 등을 거쳐서 네트워크와의 통신 링크를 설정한다. 인증 프로세스의 두 번째 단계에서, 사용자는 네트워크에의 액세스를 얻기 위해서 식별 정보를 입력하여야만 한다. 통상적으로, 입력된 식별 정보는 사용자 명칭 및 패스워드를 포함한다. 이러한 정보를 사용하여, 네트워크 또는 서비스 제공자는 식별 정보가 네트워크를 액세스하도록 승인된 모든 사용자를 위한 식별 정보를 저장하는 가입자 테이블(또는 데이터베이스)에 포함된 가입자 정보와 매칭되는지를 결정함으로써 사용자가 네트워크에 액세스할 액세스 권한을 가졌는지를 입증한다. 사용자 입력 정보가 가입자 테이블 내의 가입자 데이터와 매칭되는 경우에, 사용자는 네트워크 상의 임의의 및 모든 서비스에 액세스하도록 승인된다. 한편, 사용자 입력 식별 정보가 테이블 내의 가입자 데이터와 매칭되지 않으면, 사용자는 네트워크에의 액세스가 거부된다. 따라서, 일단 사용자의 신원(identity)이 가입자 테이블에 저장된 데이터와 비교되면, 사용자는 네트워크 액세스의 권한을 갖게 되거나 모든 액세스가 거부된다. 더욱이, 사용자가 네트워크에 액세스하도록 승인되는 경우에, 사용자는 통상적으로 네트워크를 거쳐 액세스 가능한 임의의 목적지에 액세스하도록 승인된다. 따라서, 사용자의 종래의 인증은 네트워크 액세스에 대한 전부-또는-전무 방법(all-or-nothing approach)에 기초한다. User access to the computer network is based on a two-step authentication process that provides full network access to conventional users or denies any access of the user. In the first step of the process, the user establishes a communication link with the network via a telephone line, a dedicated network connection line (eg, broadband, digital signal line (DSL)), or the like. In the second step of the authentication process, the user must enter identification information to gain access to the network. Typically, the identification information entered includes a user name and a password. Using this information, the network or service provider determines that the user matches the network by determining whether the identification information matches subscriber information contained in a subscriber table (or database) that stores identification information for all users authorized to access the network. Verify that you have access to access. If the user input information matches the subscriber data in the subscriber table, the user is authorized to access any and all services on the network. On the other hand, if the user input identification information does not match the subscriber data in the table, the user is denied access to the network. Thus, once the identity of the user is compared with the data stored in the subscriber table, the user is entitled to network access or is denied all access. Moreover, when a user is authorized to access the network, the user is typically authorized to access any destination accessible through the network. Thus, conventional authentication of a user is based on an all-or-nothing approach to network access.
종래의 인터넷 액세스 응용 등에서와 같이 많은 종래의 네트워크 응용에서, 가입자 데이터베이스(또는 테이블)는 네트워크에 액세스하도록 승인된 가입자의 신원에 대응하는 데이터를 저장할 뿐만 아니라, 특정 가입자에 기초하여 변할 수 있는 정보도 저장한다. 예로서, 가입자 데이터베이스는 가입자가 받아야 하는 액세스의 형태를 나타내는 가입자 프로파일 및 네트워크 액세스에 대해 가입자가 지불할 요금 등 다른 관련된 정보를 포함할 수 있다. 가입자 데이터베이스 내의 정보가 사용자마다 변할 수 있지만, 데이터베이스에 대해 유일한 정보는 과금(billing) 또는 네트워크 유지보수 목적을 위해 일반적으로 사용된다. 예로서, 종래의 가입자 데이터베이스는 통상적으로 네트워크 액세스을 위해 가입자가 지불하는 비용 및 가입자가 네트워크에 액세스한 시간의 양 등의 데이터를 포함한다. 따라서, 인터넷 서비스 제공자(ISP)에 대한 가입자가 인터넷 사용권(Internet access)을 구입한 경우, 소스 프로파일 데이터베이스는 사용자가 인증될 수 있게 하고 또한 네트워크 상의 사용자의 시간의 로그(log)를 유지하는 등 과금(accounting) 목적을 위해서 사용자의 액세스를 추적하는 정보를 포함할 수 있다. In many conventional network applications, such as in conventional Internet access applications, the subscriber database (or table) not only stores data corresponding to the identity of subscribers authorized to access the network, but also information that may vary based on a particular subscriber. Save it. By way of example, the subscriber database may include a subscriber profile that indicates the type of access the subscriber should receive and other related information such as the fee the subscriber will pay for network access. Although the information in the subscriber database can vary from user to user, the only information about the database is generally used for billing or network maintenance purposes. By way of example, conventional subscriber databases typically include data such as the cost paid by a subscriber for network access and the amount of time the subscriber has accessed the network. Thus, if a subscriber to an Internet Service Provider (ISP) has purchased Internet access, the source profile database allows the user to be authenticated and also maintains a log of the user's time on the network. It may contain information that tracks a user's access for accounting purposes.
또한, 종래의 네트워크 액세스 시스템에서, 사용자가 온라인 서비스(예로서, 인터넷)에 연결하기 위해서, 사용자는 사용자의 컴퓨터에 클라이언트 측 소프트웨어를 설치하여야만 한다. 클라이언트 측 소프트웨어는 통상적으로 사용자가 인터넷 액세스를 위해 가입한 ISP 등 네트워크 관리자 또는 네트워크 액세스 제공자에 의해 제공되고, 클라이언트로 하여금 그 네트워크 액세스 제공자와 통신하기 위해 클라이언트의 컴퓨터를 구성할 수 있게 한다. 사용자가 ISP를 거쳐서 인터넷에 액세스하는 예시적 예를 계속 설명하면, 사용자는 클라이언트 컴퓨터 상에 ISP 소프트웨어를 설치하고, 그 후에 인터넷 액세스를 위해 ISP와 계정(account)을 설정하여야만 한다. 통상적으로, 사용자는 인터넷 액세스를 위해 America OnlineTM, EarthlinkTM, CompuserveTM 등 ISP와 직접 계약함으로써 ISP에 가입한다. 통상적으로, 사용자는 월간 고정 요금 베이스로 그러한 인터넷 액세스에 대해 지불한다. 사용자의 위치에 무관하게, 사용자는 ISP에 의해 제공된 액세스 번호를 다이얼링하고 인터넷에 액세스한다. 연결은 종종 종래의 전화 모뎀, 케이블 모뎀, DSL 접속 등을 거쳐 달성된다. In addition, in a conventional network access system, in order for a user to connect to an online service (eg, the Internet), the user must install client-side software on the user's computer. Client-side software is typically provided by a network administrator or network access provider, such as an ISP, to which the user has subscribed for Internet access, and allows the client to configure the client's computer to communicate with that network access provider. Continuing with the illustrative example of a user accessing the Internet via an ISP, the user must install the ISP software on the client computer and then set up an account with the ISP for Internet access. Typically, a user subscribes to an ISP by directly contracting with an ISP such as America Online ™ , Earthlink ™ , Compuserve ™ for Internet access. Typically, a user pays for such internet access on a monthly flat rate basis. Regardless of the user's location, the user dials the access number provided by the ISP and accesses the Internet. The connection is often accomplished via conventional telephone modems, cable modems, DSL connections, and the like.
ISP를 통하는 등 종래의 방법을 통해서 네트워크에 액세스하는 사용자는 전부-또는 전무 방법으로 네트워크에의 액세스가 허용 또는 거부되기 때문에, 특정한 네트워크 또는 사이트에 대한 사용자의 액세스 및 인증이 커스터마이즈 가능(customizable)하도록 사용자는 네트워크에 대한 액세스가 동적으로 승인될 수 없다. 사용자 위치, 사용자 명칭 또는 패스워드, 사용자 컴퓨터 또는 다른 속성 등 사용자와 관련된 임의의 수효의 변수들에 기초하여 변할 수 있는 동적이고 또한 커스터마이즈 가능한 액세스를 사용자에게 허용하는 방법 및 시스템이다 필요하다. 예로서, 다른 사용자들이 특정한 사이트에의 액세스가 거부될 수 있을 때에 모든 인터넷 사이트에의 액세스가 승인되는 것이 어떤 사용자들에게 이로울 수 있을 것이다. 네트워크에의 사용자의 액세스를 승인하는 것에 추가하여, 사용자의 액세스가 전부-또는-전무 방법에 기초하지 않도록 ISP 또는 기업 네트워크 등 네트워크가 사용자에게 한 범위의 승인을 선택적으로 허용하는 것이 이로울 것이다. Users who access the network through conventional means, such as through an ISP, are allowed or denied access to the network in an all-or-nothing way, so that the user's access and authentication to a particular network or site is customizable. The user cannot be dynamically granted access to the network. What is needed is a method and system that allows a user to have dynamic and customizable access that can vary based on any number of variables associated with the user, such as user location, user name or password, user computer or other attributes. As an example, it may be beneficial for some users to be granted access to all Internet sites when other users may be denied access to a particular site. In addition to authorizing the user's access to the network, it would be advantageous to selectively allow a range of authorizations for the user by the network, such as an ISP or corporate network, so that the user's access is not based on all-or-nothing methods.
본 발명은 게이트웨이 장치를 거쳐 네트워크에 대하여 사용자가 액세스하는 것에 대한 인증(Authentication), 승인(Authorization) 및 과금(Accounting)(AAA)을 선택적으로 실시하고 강화하는 방법 및 시스템을 포함한다. 본 발명에 따라, 사용자는 사용자의 신분을 판단하기 위해서 인증될 수 있다. 본 발명의 시스템 및 방법의 인증 능력은 네트워크 액세스를 요청하는 소스(예로서, 특정 사용자, 컴퓨터 또는 위치)를 식별하는 사용자 ID, 컴퓨터, 위치 또는 하나 이상의 추가적 속성들에 기초할 수 있다. 일단 인증되면, 본 발명의 시스템 및 방법의 인증 능력은 소스의 신분에 기초하여 커스터마이즈 되어, 소스는 그들의 신분, 요청된 내용 및/또는 목적지에 기초하여 서로 다른 액세스 권한을 갖는다. 예로서, 액세스 권한은 제1 소스가 특정 인터넷 목적지 주소에 액세스하게 하고, 제2 소스는 동일한 주소에 액세스하는 것을 거부한다. 또한, 본 발명의 시스템 및 방법의 인증 능력은 목적지 포트, 인터넷 주소, TCP 포트, 네트워크 또는 유사한 목적지 주소 등 데이터 전송에 포함된 다른 정보에 기초할 수 있다. 더욱이, 본 발명의 AAA는 전송되는 내용의 형태 또는 프로토콜에 기초할 수 있다. 이러한 방법으로 사용자를 인증함으로써, 각각의 패킷은 선택적 AAA 프로세스를 통해서 필터링될 수 있어, 사용자는 식별되고 특정한 목적지에의 액세스가 승인될 수 있다. 따라서, 사용자가 다른 목적지에 액세스하고자 할 때마다, 사용자는 AAA를 받아서, 사용자는 AAA 시스템 및 방법이 사용자의 승인에 기초하여 사용자에게 액세스 불가하다고 생각하는 특정한 사이트로부터의 액세스가 방지될 수 있는 반면에, AAA 시스템 및 방법이 액세스 가능하다고 생각하는 다른 사이트에의 액세스를 허용한다. 또한, 본 발명의 한 실시예에 따라, 소스가 네트워크에 액세스하는 것은 과금 및 이력 기록의 목적을 위해서 본 발명에 의해 추적되고 기록될 수 있다. The present invention includes methods and systems for selectively enforcing and enhancing authentication, authorization, and accounting (AAA) for user access to a network via a gateway device. In accordance with the present invention, the user may be authenticated to determine the identity of the user. The authentication capability of the systems and methods of the present invention may be based on a user ID, computer, location or one or more additional attributes identifying a source (eg, a particular user, computer or location) requesting network access. Once authenticated, the authentication capabilities of the systems and methods of the present invention are customized based on the identity of the source, so that the sources have different access rights based on their identity, requested content, and / or destination. By way of example, access rights cause the first source to access a particular Internet destination address, and the second source refuses to access the same address. In addition, the authentication capability of the systems and methods of the present invention may be based on other information included in the data transmission, such as destination port, Internet address, TCP port, network or similar destination address. Moreover, the AAA of the present invention may be based on the type or protocol of content to be transmitted. By authenticating the user in this manner, each packet can be filtered through an optional AAA process so that the user can be identified and authorized to access a particular destination. Thus, whenever a user wants to access a different destination, the user receives an AAA, while the user can be prevented from accessing a particular site where the AAA system and method is inaccessible to the user based on the user's approval. To allow access to other sites that the AAA system and method consider accessible. In addition, according to one embodiment of the present invention, the source's access to the network can be tracked and recorded by the present invention for billing and historical recording purposes.
본 발명의 한 실시예에 따라서, 네트워크에 대한 소스의 액세스를 선택적으로 제어하고 커스터마이즈하는 방법으로서, 소스는 소스 컴퓨터와 관련되고, 소스 컴퓨터는 게이트웨이 장치를 거쳐 네트워크에 대한 트랜스페어런트 액세스를 가지며 네트워크에 액세스하기 위해서 구성(configuration) 소프트웨어가 소스 컴퓨터에 설치될 필요가 없는 방법이 기술되었다. 상기 방법은 상기 네트워크에 대한 액세스를 위한 소스 컴퓨터로부터의 요청을 게이트웨이 장치에서 수신하는 단계, 상기 소스 컴퓨터로부터 전송되고 상기 게이트웨이 장치에 의해 수신된 패킷에 기초하여 상기 소스에 관련된 속성을 식별하는 단계, 상기 소스에 대응되고 소스 프로파일 데이터베이스에 저장된 소스 프로파일에 액세스하는 단계로서, 상기 소스 프로파일은 상기 속성에 기초하여 액세스되고, 상기 소스 프로파일 데이터베이스는 게이트웨이 장치의 외부에 위치되고 게이트웨이 장치와 통신하는, 액세스하는 단계를 포함한다. 상기 방법은 또한 상기 소스 프로파일에 기초하여 소스의 액세스 권한을 판단하는 단계로서, 상기 액세스 권한은 네트워크에 액세스하고자 하는 소스의 권한을 한정하는, 판단하는 단계를 포함한다.According to one embodiment of the invention, a method for selectively controlling and customizing access of a source to a network, wherein the source is associated with the source computer, the source computer has transparent access to the network via a gateway device and is connected to the network. A method has been described in which configuration software does not need to be installed on the source computer to access it. The method comprises receiving at the gateway device a request from a source computer for access to the network, identifying an attribute related to the source based on a packet transmitted from the source computer and received by the gateway device, Accessing a source profile corresponding to the source and stored in a source profile database, the source profile being accessed based on the attribute, the source profile database being located outside of the gateway device and communicating with the gateway device Steps. The method also includes determining an access right of the source based on the source profile, the access right defining the right of the source to access the network.
본 발명의 한 특징에 따라서, 상기 소스 프로파일에 기초하여 소스의 액세스 권한을 판단하는 단계는 상기 소스 프로파일에 기초하여 소스의 액세스 권한을 판단하는 단계를 포함하고, 상기 액세스 권한은 요청된 네트워크 목적지에 소스가 액세스하는 권한을 한정한다. 본 발명의 다른 특징에 따라서, 상기 방법은 상기 네트워크에 대한 액세스를 위한 요청을 전송하는 위치에 위치 식별자를 할당하는 단계를 더 포함하고, 상기 위치 식별자는 소스와 관련된 속성이다. 또한, 본 발명에 따라, 상기 소스에 대응하는 소스 프로파일에 액세스하는 단계는 소스 프로파일 데이터베이스에 저장된 소스 프로파일에 액세스하는 단계를 포함하고, 상기 소스 프로파일 데이터베이스는 원격 인증 다이얼-인 사용자 서비스(RADIUS), 또는 경량 디렉토리 액세스 프로토콜(LDAP) 데이터베이스를 포함한다.According to one aspect of the invention, determining an access right of a source based on the source profile comprises determining an access right of a source based on the source profile, the access right being requested to a requested network destination. Restrict the permissions that the source has access to. According to another aspect of the invention, the method further comprises assigning a location identifier to a location that transmits a request for access to the network, wherein the location identifier is an attribute associated with a source. Also in accordance with the present invention, accessing the source profile corresponding to the source includes accessing a source profile stored in a source profile database, the source profile database comprising a remote authentication dial-in user service (RADIUS), Or a Lightweight Directory Access Protocol (LDAP) database.
본 발명의 또 다른 특징에 따라서, 상기 방법은 새로운 소스가 네트워크에 액세스할 때 소스 프로파일 데이터베이스를 경신하는 단계를 더 포함한다.또한, 상기 방법은 상기 소스 프로파일 데이터베이스 내에 네트워크에 대한 소스의 액세스의 이력 기록을 유지하는 단계를 포함할 수 있다. 더욱이, 상기 소스와 관련된 속성은 네트워크에 대한 액세스를 위한 요청을 전송한 소스 컴퓨터와 관련된 MAC 주소, 사용자 ID, 또는 VLAN ID 중의 하나에 기초한다. 본 발명의 또 다른 특징에 따라서, 상기 게이트웨이 장치에서 액세스를 위한 소스로부터의 요청을 수신하는 단계는 소스로부터 목적지 주소를 수신하는 단계를 포함한다. According to another feature of the invention, the method further comprises updating a source profile database when a new source accesses the network. The method further comprises a history of access of the source to the network in the source profile database. Maintaining a record. Moreover, the attribute associated with the source is based on one of the MAC address, user ID, or VLAN ID associated with the source computer that sent the request for access to the network. According to another feature of the invention, receiving a request from a source for access at the gateway device includes receiving a destination address from the source.
본 발명의 다른 실시예에 따라서, 네트워크에 대한 소스의 액세스를 선택적으로 제어하고 커스터마이즈하는 시스템으로서, 소스는 소스 컴퓨터와 관련되고, 소스 컴퓨터는 게이트웨이 장치를 거쳐 네트워크에 대한 트랜스페어런트 액세스를 가지며 네트워크에 액세스하기 위해서 구성 소프트웨어가 소스 컴퓨터에 설치될 필요가 없는 시스템이 기술되었다. 상기 시스템은 상기 네트워크에 대한 액세스를 위한 소스 컴퓨터로부터의 요청을 수신하는 게이트웨이 장치, 상기 게이트웨이 장치와 통신하며 그 외부에 위치된 소스 프로파일 데이터베이스로서, 상기 소스 프로파일 데이터베이스는 소스와 관련된 속성에 의해 식별가능한 액세스 정보를 저장하며, 상기 속성은 소스 컴퓨터로부터 전송되고 게이트웨이 장치에 의해 수신된 데이터 패킷에 기초하여 식별되는, 소스 프로파일 데이터베이스를 포함한다. 상기 시스템은 또한 상기 게이트웨이 장치 및 소스 프로파일 데이터베이스와 통신하는 AAA 서버로서, 상기 AAA 서버는 상기 소스 프로파일 데이터베이스에 저장된 액세스 정보에 기초하여 상기 소스가 네트워크에 액세스할 액세스 권한을 가졌는지를 판단하고, 또한 소스의 액세스 권한을 판단하며, 액세스 권한은 소스가 네트워크를 거쳐 목적지 사이트에 액세스할 액세스 권한을 한정하는, AAA 서버를 포함한다. According to another embodiment of the invention, a system for selectively controlling and customizing a source's access to a network, the source being associated with the source computer, the source computer having transparent access to the network via a gateway device and having access to the network. A system has been described in which configuration software does not need to be installed on the source computer to access it. The system is a gateway device that receives a request from a source computer for access to the network, a source profile database in communication with and located external to the gateway device, the source profile database being identifiable by an attribute associated with the source. Stores access information, the attribute comprising a source profile database, identified from the data packet transmitted from the source computer and received by the gateway device. The system is also an AAA server in communication with the gateway device and a source profile database, the AAA server determining whether the source has access to a network based on access information stored in the source profile database, And determine the access rights of the AAA server, wherein the access rights define an access right for the source to access the destination site over the network.
본 발명의 한 특징에 따라서, 상기 게이트웨이 장치에 의해 수신된 패킷은 VLAN ID, 회로 ID, 및 MAC 주소 중의 적어도 하나를 포함한다.또한, 본 발명의 다른 특징에 따라서, 상기 소스 프로파일 데이터베이스는 원격 인증 다이얼-인 사용자 서비스(RADIUS) 또는 경량 디렉토리 액세스 프로토콜(LDAP) 데이터베이스를 포함한다. 더욱이, 상기 소스 프로파일 데이터베이스는 복수의 소스 프로파일을 포함하고, 상기 복수의 소스 프로파일의 각각은 액세스 정보를 포함한다. 본 발명에 따라서, 상기 각각의 소스 프로파일은 또한 네트워크 액세스에 대해 지불해야할 요금을 결정하는 데에 사용하기 위해 네트워크 액세스의 지속시간에 관한 이력 데이터를 포함한다. 본 발명의 또 다른 특징에 따라서, 상기 소스 프로파일 데이터베이스는 상기 AAA 서버에 위치된다. According to one aspect of the invention, a packet received by the gateway device comprises at least one of a VLAN ID, a circuit ID, and a MAC address. Further, according to another aspect of the invention, the source profile database is remotely authenticated. It includes a dial-in user service (RADIUS) or lightweight directory access protocol (LDAP) database. Moreover, the source profile database includes a plurality of source profiles, each of the plurality of source profiles including access information. In accordance with the present invention, each source profile also includes historical data regarding the duration of network access for use in determining a fee to be paid for network access. According to another feature of the invention, the source profile database is located on the AAA server.
본 발명의 또 다른 실시예에 따라서, 게이트웨이 장치를 통해서 목적지에 액세스하고자 하는 소스를 방향 지정하는 방법으로서, 상기 소스는 소스 컴퓨터와 관련되고, 상기 게이트웨이 장치는 소스 컴퓨터로 하여금 네트워크를 위해 구성된 네트워크 소프트웨어를 포함하도록 요구하지 않고 소스로 하여금 네트워크와 통신할 수 있게 하는 방법이 기술되었다. 상기 방법은 상기 소스로부터 네트워크에 액세스하고자 하는 요청을 게이트웨이 장치에서 수신하는 단계, 상기 소스와 관련된 속성에 기초하여 소스를 식별하는 단계, 상기 게이트웨이 장치의 외부에 위치되고, 상기 소스의 액세스 권한을 저장하는 소스 프로파일 데이터베이스에 액세스하는 단계를 포함한다. 상기 방법은 상기 소스의 식별에 기초하여 소스의 액세스 권한을 판단하는 단계로서, 상기 액세스 권한은 소스가 네트워크를 거쳐 목적지에 액세스하는 권한을 한정하는 단계를 더 포함한다. According to yet another embodiment of the present invention, a method for directing a source to access a destination through a gateway device, wherein the source is associated with a source computer, the gateway device causes the source computer to be configured with network software configured for a network. A method has been described that allows a source to communicate with a network without requiring that it be included. The method comprises receiving at the gateway device a request to access a network from the source, identifying a source based on an attribute associated with the source, located outside of the gateway device, and storing access rights of the source. Accessing the source profile database. The method includes determining an access right of the source based on the identification of the source, wherein the access right further includes defining a right for the source to access the destination over a network.
본 발명의 한 특징에 따라서, 소스 프로파일 데이터베이스에 액세스하는 단계는 원격 인증 다이얼-인 사용자 서비스(RADIUS) 또는 경량 디렉토리 액세TM 프로토콜(LDAP) 데이터베이스를 포함하는 소스 프로파일 데이터베이스를 포함한다. 본 발명의 다른 특징에 따라서, 상기 방법은 상기 네트워크에 대한 액세스를 위한 요청을 전송하는 위치에 위치 식별자를 할당하는 단계를 포함할 수 있고, 상기 위치 식별자는 소스와 관련된 속성이다. 상기 방법은 또한 새로운 소스가 네트워크에 액세스할 때 소스 프로파일 데이터베이스를 경신하는 단계와, 상기 소스가 네트워크에 액세스하는 것의 이력 기록을 과금 데이터베이스 내에 유지하는 단계를 더 포함하고, 상기 과금 데이터베이스는 상기 소스 프로파일 데이터베이스와 통신한다. In accordance with an aspect of the present invention, accessing the source profile database comprises a source profile database comprising a remote authentication dial-in user service (RADIUS) or lightweight directory access protocol (LDAP) database. According to another aspect of the invention, the method may comprise assigning a location identifier to a location sending a request for access to the network, the location identifier being an attribute associated with a source. The method further includes updating a source profile database when a new source accesses the network, and maintaining a history record in the charging database of the source accessing the network, wherein the charging database includes the source profile. Communicate with the database.
본 발명의 또 다른 특징에 따라서, 상기 게이트웨이 장치에서 액세스를 위한 소스로부터의 요청을 수신하는 단계는 소스로부터 목적지 주소를 수신하는 단계를 포함한다. 더욱이, 소스 컴퓨터가 목적지 주소에 액세스할 액세스 권한이 있는가를 판단하는 단계는 소스 프로파일이 소스 컴퓨터의 액세스가 거부되었다는 것을 나타내는 경우에 소스 컴퓨터의 액세스를 거부하는 단계를 더 포함한다. 소스가 네트워크에 액세스할 액세스 권한이 있는가를 판단하는 단계 역시 소스 프로파일이 소스 프로파일 데이터베이스 내에 위치되지 않은 때에 소스를 로그 인 페이지로 향하게 하는 단계를 더 포함한다.According to another feature of the invention, receiving a request from a source for access at the gateway device includes receiving a destination address from the source. Moreover, determining whether the source computer has access to access the destination address further includes denying access to the source computer if the source profile indicates that the source computer is denied access. Determining whether the source has access to access the network also includes directing the source to the login page when the source profile is not located in the source profile database.
본 발명의 또 다른 실시예에 따라서, 컴퓨터와 서비스 제공자 네트워크 사이에 트랜스페어런트한 통신을 가능하게 하는 시스템이 기술되었다. 시스템은 컴퓨터, 상기 컴퓨터를 컴퓨터 네트워크에 연결하기 위해 상기 컴퓨터와 통신하며, 상기 컴퓨터 네트워크에 액세스하고자 하는 사용자를 나타내는 소스 데이터를 수신하는 네트워크 게이트웨이 장치를 포함한다. 시스템은 또한 상기 네트워크 게이트웨이 장치와 통신하는 서비스 제공자 네트워크를 포함하고, 상기 서비스 제공자 네트워크는 네트워크 게이트웨이 장치의 외부에 위치되고, 상기 네트워크 게이트웨이 장치와 통신하는 인증 서버를 포함한다. 상기 인증 서버는 컴퓨터 네트워크에 액세스하도록 승인된 사용자를 나타내는 소스 프로파일을 포함하는 소스 프로파일 데이터베이스를 내부에 가지며, 소스 데이터를 소스 프로파일과 비교하여 컴퓨터 네트워크에 액세스하고자 하는 사용자가 컴퓨터 네트워크에 액세스할 수 있는지를 판단한다.In accordance with yet another embodiment of the present invention, a system has been described that enables transparent communication between a computer and a service provider network. The system includes a computer, a network gateway device in communication with the computer for connecting the computer to the computer network, and receiving source data indicative of a user wishing to access the computer network. The system also includes a service provider network in communication with the network gateway device, wherein the service provider network is located outside of the network gateway device and includes an authentication server in communication with the network gateway device. The authentication server has a source profile database therein that includes a source profile representing a user authorized to access the computer network, and compares the source data with the source profile to see if a user who wants to access the computer network can access the computer network. Judge.
본 발명의 한 특징에 따라서, 시스템은 상기 서비스 제공자 네트워크의 사용에 관한 이력 데이터를 유지하는 과금 시스템을 포함할 수 있다. 본 발명의 또 다른 특징에 따라서, 상기 인증 서버는 원격 인증 다이얼-인 사용자 서비스(RADIUS) 또는 경량 디렉토리 액세스 프로토콜(LDAP) 데이터베이스를 포함한다. 더욱이, 상기 소스 프로파일 데이터베이스는 복수의 소스 프로파일을 포함하고, 상기 복수의 소스 프로파일들 중의 각각은 액세스 정보를 포함한다. 본 발명의 또 다른 특징에 따라서, 상기 소스 데이터는 컴퓨터와 관련되고 컴퓨터로부터 게이트웨이 장치로 전송된 속성을 포함한다. 본 발명의 또 다른 특징에 따라서, 상기 소스 데이터는 각각의 사용자와 관련된 로그 인 정보를 포함한다. According to one aspect of the invention, the system may comprise a charging system for maintaining historical data relating to the use of said service provider network. According to another feature of the invention, the authentication server comprises a Remote Authentication Dial-in User Service (RADIUS) or Lightweight Directory Access Protocol (LDAP) database. Moreover, the source profile database includes a plurality of source profiles, each of the plurality of source profiles including access information. According to another feature of the invention, the source data includes attributes associated with the computer and transmitted from the computer to the gateway device. According to another feature of the invention, the source data includes login information associated with each user.
본 발명에 따른 인증, 승인 및 과금 방법 및 시스템은 게이트웨이 장치를 사용하여 컴퓨터 네트워크에의 사용자의 트랜스페어런트한 액세스를 가능하게 한다. 따라서, 각각의 사용자는 네트워크를 거쳐 서비스, 사이트 또는 목적지에 액세스하는 서로 다른 권한을 가질 수 있다. 따라서, 본 발명은 사용자를 인증하고 그 사용자들에게 액세스된 네트워크를 사용할 승인의 다른 정도를 제공하는 동적 AAA 서비스를 제공함으로써 종래의 AAA 방법 및 시스템과는 다르다. 더욱이, 본 발명의 소스 프로파일 데이터베이스는 게이트웨이 장치의 외부에, 액세스를 요청하는 네트워크에 대해 국부적이 아닌 네트워크 상에 위치될 수 있다. 외부 소스 프로파일 데이터베이스는 각각의 게이트웨이 장치가 유한한 수의 사용자를 네트워크에 액세스하도록 허용하기 때문에 바람직하여, 복수의 게이트웨이 장치가 요구될 수 있다. 또한, 인증 데이터의 하나의 병합된 데이터베이스를 관리 및 유지하는 것은 복수의 작은 데이터베이스보다 쉽다. 더욱이, 데이터베이스를 국부적 네트워크의 외부에 위치시키면 ISP 또는 제삼자인 제공자는 데이터베이스 내에 저장된 정보의 신뢰성을 유지하고 제삼자인 제공자가 원하는 방법으로 데이터베이스를 유지 및 제어하게 한다. The authentication, authorization, and charging method and system according to the present invention enable transparent access of a user to a computer network using a gateway device. Thus, each user may have different rights to access a service, site or destination across a network. Accordingly, the present invention differs from conventional AAA methods and systems by providing a dynamic AAA service that authenticates a user and provides the users with a different degree of authorization to use an accessed network. Moreover, the source profile database of the present invention can be located outside the gateway device on a network that is not local to the network requesting access. The external source profile database is advantageous because each gateway device allows a finite number of users to access the network, so that a plurality of gateway devices may be required. In addition, managing and maintaining one merged database of authentication data is easier than multiple small databases. Moreover, positioning the database outside of the local network allows the ISP or third party provider to maintain the reliability of the information stored within the database and to maintain and control the database in the manner desired by the third party provider.
본 발명은 이제 본 발명의 바람직한 실시예가 도시된 첨부 도면을 참조하여 이하에서 더욱 상세히 설명될 것이다. 그러나, 본 발명은 많은 다른 형태로 실시될 수 있으며, 여기에 기술된 실시예들에 제한되는 것으로 간주되어서는 안 되며, 오히려, 이러한 실시예는 본 명세서가 완전하게 되고 본 기술분야에 익숙한 자에게 본 발명의 범위를 충분히 전달하도록 제공된다. 유사한 도면부호는 여기에서 유사한 요소를 참조한다. The invention will now be described in more detail below with reference to the accompanying drawings, in which preferred embodiments of the invention are shown. However, the present invention may be embodied in many different forms and should not be construed as limited to the embodiments set forth herein; rather, these embodiments are intended to those skilled in the art to which this disclosure is complete and are familiar with the art. It is provided to fully convey the scope of the invention. Like reference numerals refer to like elements here.
도 1은 본 발명의 한 실시예에 따라 소스가 네트워크 및/또는 온라인 서비스에 액세스하는 것을 인증, 승인 및 과금하는 AAA 서버를 포함하는 컴퓨터 시스템의 블록도이다. 1 is a block diagram of a computer system including an AAA server that authenticates, authorizes, and charges a source to access a network and / or online service in accordance with one embodiment of the present invention.
도 2는 본 발명의 한 특징에 따라 AAA 서버가 인증, 승인 및 과금을 수행하는 방법의 흐름도이다. 2 is a flow chart of a method in which an AAA server performs authentication, authorization and charging in accordance with an aspect of the present invention.
도 1을 참조하면, 컴퓨터 시스템(10)이 블록도로 도시되었다. 컴퓨터 시스템(10)은 컴퓨터(14)와 여러 가지 네트워크(20) 또는 온라인 서비스(22) 사이의 인터페이스를 제공하는 게이트웨이 장치(12)를 거쳐 하나 이상의 온라인 서비스(22) 또는 네트워크와 통신할 수 있는 복수의 컴퓨터(14)를 포함한다. 그러한 게이트웨이 장치의 한 실시예가 미국특허출원 제08/816,174호(여기에서 게이트웨이 장치 출원이라고 지칭됨)에 기술되었는데, 그 내용은 여기에 인용함으로써 본 명세서의 일부를 이룬다. 간략히 말해서, 게이트웨이 장치(12)는 온라인 서비스(22) 또는 네트워크(22)에 대한 컴퓨터(14)의 트랜스페어런트한(transparent) 액세스를 편리하게 하여, 컴퓨터(14)는 그들의 네 트워크 구성에 무관하게 장치(12)를 거쳐 임의의 네트워크에 액세스할 수 있다. 또한, 게이트웨이 장치(12)는 본 발명의 동적 AAA 방법 및 시스템에 대해 아래에서 설명되듯이 네트워크(20)에 액세스하고자 하는 컴퓨터, 네트워크에 액세스하고자 하는 컴퓨터의 위치, 네트워크에 액세스하고자 하는 사용자의 신분, 및 추가적 속성을 인식하는 능력을 포함한다. Referring to FIG. 1,
도 1에 도시되듯이, 컴퓨터 시스템(10)은 또한 복수의 컴퓨터로부터 게이트웨이 장치(12)에 대한 링크 상에 수신된 신호를 다중화하기 위해 컴퓨터(14)와 게이트웨이 장치(12) 사이에 위치된 액세스 콘트롤러(16)를 포함한다. 컴퓨터(14)를 액세스 콘트롤러에 접속시키는 매체에 따라, 액세스 콘트롤러(16)는 여러 가지 다른 방법으로 구성될 수 있다. 예로서, 액세스 콘트롤러는 정규 전화선을 거쳐 전송된 신호를 위한 디지털 가입자선 액세스 다중화기(DSLAM), 동축 케이블을 거쳐 전송된 신호를 위한 케이블 헤드 엔드(케이블 모뎀 종단 셀프(Cable Modem Termination Shelf(CTMS)), 무선 네트워크를 거쳐 전송된 신호를 위한 무선 액세스 포인트(WAP), 스위치 등일 수 있다. As shown in FIG. 1,
컴퓨터 시스템(10)은 아래에서 상세히 설명되듯이 사용자 액세스를 동적으로 인증하고 승인하는 AAA 서버(30)를 포함하여, 사용자는 게이트웨이 장치(12)를 통해서 네트워크에 액세스하고자 할 때 AAA 프로세스를 거친다. 마지막으로, 도 1에 도시되듯이, 컴퓨터 시스템(10)은 통상적으로 하나 이상의 라우터(18) 및/또는 서버들(도 1에 도시되지 않음)을 포함하여, 복수의 컴퓨터 네트워크(20) 또는 다른 온라인 서비스(22)로 또한 그로부터 통화(traffic)를 제어 또는 방향설정한다. 컴 퓨터 시스템(10)이 단일 라우터를 갖는 것으로 도시되었으나. 컴퓨터 시스템(10)은 여러 가지 네트워크(20) 또는 온라인 서비스(20)로 또한 그들로부터 통화를 적절히 라우팅하기 위해 어떤 계층식 방법으로 배열된 복수의 라우터들, 스위치들, 브리지들 등을 가질 수 있다. 이러한 점에서, 게이트웨이 장치(12)는 통상적으로 하나 이상의 라우터들과의 링크를 설정한다. 라우터는 이번에는 사용자의 선택에 기초하여 네트워크(20) 또는 온라인 서비스(22)의 서버들과 링크를 설정한다. 도 1에 도시된 하나 이상의 장치가 조합될 수 있다는 것을 본 기술분야에 익숙한 자는 이해할 것이다. 예로서, 도시되지는 않았으나, 라우터(18)는 게이트웨이 장치(12) 내에 완전히 위치될 수 있다.
게이트웨이 장치(12)를 거쳐 네트워크(20) 또는 온라인 서비스(22)에 액세스하고자 하는 사용자 및 컴퓨터는 이하에서 소스라고 지칭된다. 본 발명의 AAA 방법 및 시스템에 따라서, 게이트웨이 장치(12)를 거쳐서 네트워크에 액세스하고자 하는 소스는 그것과 관련된 속성에 기초하여 인증된다. 이러한 속성들은 특정한 사용자 또는 컴퓨터의 신분, 액세스가 요청된 위치, 요청된 네트워크 또는 목적지 등을 포함할 수 있다. 게이트 장치 출원에서 상세히 설명되었듯이, 이러한 속성들은 액세스를 요청한 컴퓨터들로부터 게이트웨이 장치(12)에 전송된 데이터 패킷에 의해 식별된다. 한 실시예에 따라서, 본 발명의 방법 및 시스템은 이러한 속성들에 기초하여 동적 인증, 승인 및 과금을 제공한다. 일반적으로, 여기에서 사용되었듯이, 인증은 소스의 식별을 지칭하고, 승인은 허용가능한 소스 액세스의 판단을 지칭하고, 과금은 네트워크에 대한 소스의 액세스의 추적을 지칭한다. Users and computers that wish to access
이제 본 발명의 시스템 및 방법의 인증 기늘을 참조하면, 네트워크 액세스 및 서비스는 통상적으로 신분 또는 지불에 관련 없이 모든 사용자에게 공개되지 않기 때문에, 네트워크에 액세스하고자 하는 소스를 인증하는 것은 종종 네트워크 관리에 중요하다는 것을 이해할 것이다. 상기와 같이, 소스는 여기에서 소스 컴퓨터라고 지칭되는 네트워크 또는 서비스에 액세스하고자 하는 소스와 관련된 컴퓨터로부터 장치로 전송된 데이터 패킷에 포함된 하나 이상의 속성에 의해 게이트웨이 장치(12)에 의해 식별될 수 있다. 예로서, 소스가 사용자인 경우에, 소스 컴퓨터는 사용자가 네트워크 또는 네트워크 목적지에 액세스하고자 통하는 컴퓨터이다. 한편, 소스가 하나 이상의 사용자가 네트워크에의 액세스를 요청하기 위해 통할 수 있는 컴퓨터인 경우에, 소스 컴퓨터는 액세스를 요청하는 컴퓨터이다. Referring now to the authentication mechanism of the systems and methods of the present invention, authenticating a source that attempts to access the network is often important for network management because network access and services are typically not disclosed to all users regardless of identity or payment. Will understand. As noted above, a source may be identified by the
본 발명의 한 특징에 따라서, 게이트웨이 장치(12)를 거쳐 네트워크에 액세스하고자 하는 소스 컴퓨터는 발명의 명칭이 "게이트웨이 장치에 사용하기 위한 위치에 기초한 식별 및 승인"인 미국 임시 출원 제60/161,093호에 기술되었듯이 소스 컴퓨터에 의해 발생된 데이터 패킷을 거쳐 게이트웨이 장치(12)에 전송된 회로 ID, MAC 주소, 사용자 명칭, ID 및/또는 패스워드, 또는 특정한 위치(예로서, 호텔 룸 내의 통신 포트) 등을 포함하는 하나 이상의 속성에 의해 식별될 수 있다. 이러한 속성들 중의 하나 이상의 속성들은 네트워크를 액세스하는 소스를 식별하기 위해서 본 발명에 사용될 수 있다는 것을 이해해야 한다. 예시적 예로서, 소스들이 유사하지 않은 인증 및 승인권을 가진 여러 다른 사용자들인 경우에, 사용자들은 그들의 각각의 로그 인 정보(예로서, 사용자 명칭 및 패스워드)에 의해 자신들을 식별할 수 있어서, 그것들은 동일한 컴퓨터 등 동일한 장비의 사용에도 불구하고 독립적으로 식별될 것이다. 한편, 소스가 컴퓨터인 경우에, 컴퓨터를 사용하는 다양한 사용자들은 각각의 사용자의 개별적 권한에 무관하게 유사한 인증 및 승인권을 가질 것인데, 왜냐하면, 권한이 각각의 사용자와 관련되기보다 오히려 컴퓨터(예로서, MAC 주소에 의해 식별된다)와 관련되기 때문이다. In accordance with an aspect of the present invention, a source computer that wishes to access a network via a
소스와 관련된 속성을 거친 소스의 인증은 도 1에 도시된 AAA 서버(30)에 의해 수행된다. AAA 서버(30)는 자신에 의해 식별된 소스에 대응되는 소스 프로파일을 저장한다. 본 발명의 한 특징에 따라서, AAA 서버(30)는 게이트웨이 장치(12) 내에 완전히 위치된다. 본 발명의 다른 특징에 따라서, AAA 서버(30)는 복수의 콤포넨트를 포함할 수 있는데, 그 중의 적어도 몇 개는 게이트웨이 장치(12)의 외부에 있거나, 대안으로서, AAA 서버(30)는 게이트웨이 장치(12)의 완전히 외부에 위치될 수 있다. 예로서, AAA 서버(30)의 위치는 게이트웨이 장치(12)가 인터넷 프로토콜을 거쳐 AAA 서버(30)와 통신하도록 될 수 있다. 본 발명의 한 실시예에 따라, AAA 서버(30)는 ISP를 거쳐 네트워크와 통신하도록 승인된 소스를 식별하는 ISP에 의해 보수유지된다. 따라서, AAA 서버(30)는 임의의 인터넷 주소에 위치될 수 있고 인터넷 프로토콜을 거쳐 액세스 가능한 임의의 컴퓨터 상에 저장될 수 있다. Authentication of the source via attributes associated with the source is performed by the
본 발명의 한 특징에 따라서, 시스템을 액세스하는 각각의 소스에 대해 별개의 소스 프로파일이 존재한다. 소스 프로파일은 소스 프로파일 데이터베이스 내에 유지되는데, 그것은 AAA 서버(30)의 내부 콤포넨트, AAA 서버(30)의 외부 콤포넨트 또는 AAA 서버(30)와 통신하는 별개의 콤포넨트일 수 있다. 바람직하게, 소스 프로 파일 데이터베이스는 네트워크 상의 관리상의 짐을 경감시키도록 게이트웨이 장치 및 네트워크의 외부에 위치되어, 네트워크는 각각의 네트워크 또는 게이트웨이 장치 상에 별개의 인증 데이터베이스를 구성하고 유지할 필요가 없다. 이것은 또한 각각의 게이트웨이 장치(12)가 유한한 수의 사용자가 네트워크에 액세스하도록 허용하기 때문인데, 그것은 많은 수의 소스들을 수용하기 위해 복수의 게이트웨이 장치를 요구한다. 둘째, 인증 데이터의 하나의 통합된 데이터베이스를 관리하고 유지하는 것은 복수의 작은 데이터베이스보다 쉽다. 마지막으로, 소스 프로파일 데이터베이스를 국부적 네트워크의 외부에 위치시키면 ISP 또는 제삼자로서의 제공자가 데이터베이스 내에 저장된 정보의 신뢰성을 유지하고 제삼자로서의 제공자가 원하는 임의의 방법으로 데이터베이스를 유지 및 제어할 수 있게 한다. According to one aspect of the invention, there is a separate source profile for each source accessing the system. The source profile is maintained in a source profile database, which may be an internal component of
소스 프로파일은 하나 이상의 명칭, 패스워드, 주소, VLAN 택, MAC 주소, 소스를 식별하고, 만약 원한다면 소스에 과금하는 것에 관한 다른 정보를 포함한다. 소스가 게이트웨이 장치(12)를 거쳐 네트워크에 액세스하고자 시도할 때에, AAA 서버(30)는 소스 신분을 판단하기 위해서 소스 프로파일 데이터베이스 내의 저장된 소스 프로파일을 게이트웨이 장치(12)로부터 수신된 속성과 비교함으로써 소스를 인증하고자 시도한다. 예시적 예로서, 사용자가 사용자 ID와 패스워드를 입력함으로써 네트워크에 액세스하고자 하는 경우에, 사용자의 신분을 판단하기 위해서 사용자 ID와 패스워드는 소스 프로파일 데이터베이스에 저장된 모든 ID 및 패스워드와 비교된다. 상기와 같이, 소스 프로파일 데이터베이스는 일반적으로 AAA 서버(30) 또는 게이트웨이 장치(12)에 위치된 프로세싱 수단과 통신하는 데이터베 이스 또는 데이터 저장 수단을 포함하는데, AAA 서버(30) 또는 게이트웨이 장치(12)에서 소스 프로파일 데이터베이스 및 프로세서는 종래기술에서 잘 알려졌듯이 서로 관련하여 작용하여 수신된 속성과 저장된 소스 프로파일 정보를 비교한다. The source profile includes one or more names, passwords, addresses, VLAN tags, MAC addresses, sources, and other information about charging the source, if desired. When the source attempts to access the network via the
소스 프로파일 데이터베이스는 본 기술분야에 알려진 종래의 퍼스널 컴퓨터, 메인프레임 컴퓨터, 또는 다른 적절한 저장 장치 상에 위치된 프로그램가능한 저장 하드웨어 또는 유사한 수단을 포함할 수 있다. 또한, 수신된 데이터를 데이터베이스 내의 데이터와 비교하는 수단은 데이터를 비교할 수 있는 실행가능한 소프트웨어 프로그램 등 임의의 소프트웨어를 포함할 수 있다. 예로서, AAA 서버(30)는 퍼스널 컴퓨터의 하드 드라이브 상에 소스 프로파일을 저장할 수 있고, 수신된 소스 데이터를 컴퓨터 상에 상주하는 소스 프로파일과 비교하는 수단은 마이크로소프트 엑셀(마이크로소프트 엑셀은 워싱톤, 레드몬드 소재의 마이크로소프트 코포레이션의 상표이다) 등 컴퓨터 소프트웨어를 포함할 수 있다. 본 발명의 다른 실시예에 따라, AAA 서버(30) 또는 소스 프로파일 데이터베이스는 본 기술분야에서 잘 알려진 원격 인증 듀얼-인 사용자 서비스(RADIUS) 또는 경량 디렉토리 액세스 프로토콜(LDAP) 데이터베이스를 포함할 수 있다. The source profile database may include programmable storage hardware or similar means located on a conventional personal computer, mainframe computer, or other suitable storage device known in the art. In addition, the means for comparing the received data with data in the database may include any software, such as an executable software program capable of comparing the data. By way of example,
소스가 인증 시에 AAA 서버(30) 내의 소스 프로파일에 대응하지 못하면, 소스는 네트워크에의 액세스가 허용되지 않을 것이다. 이런 일이 발생할 때, 사용자 또는 비-사용자 소스와 관련된 사용자는 소스 프로파일 정보를 AAA 서버(30)에 입력하도록 요청될 수 있어서 AAA 서버(30)는 소스 프로파일을 AAA 서버(30)에, 특히 소스 프로파일 데이터베이스에 첨가할 수 있다. 예로서, 이것은 사용자가 처음으로 게이트웨이 장치(12)에 액세스하고자 할 때에 발생할 수 있다. 본 발명의 다른 특징에 따라서, 소스가 식별될 수 없는 경우에, 소스는 소스를 식별하기 위해 추가적 정보를 수집하도록 로그 인 페이지로 향하게 될 수도 있다. 예로서, 정보는 웹 페이지, 팝-업 콘트롤 패널 또는 사용자 인터페이스의 도움을 받아 입력될 수 있는데, 웹 페이지, 팝-업 콘트롤 패널 또는 사용자 인터페이스는 여기에 기술되고 1999년 12월 8일자로 출원되고 발명의 명칭이 "트랜스페어런트 컴퓨터 액세스를 가진 사용자를 방향 지정 능력을 가진 게이트웨이 장치를 사용하여 네트워크로 방향 지정하는 시스템 및 방법"인 미국특허출원 제09/458,569호(이하에서 "방향 지정 출원)와, 1999년 12월 8일자로 출원되고 발명의 명칭이 "트랜스페어런트 컴퓨터 액세스를 가진 사용자를 방향 지정 능력을 가진 게이트웨이 장치를 사용하여 네트워크로 방향 지정하는 시스템 및 방법"인 미국특허출원 제09/458,579호와, 본 발명과 동일자로 출원되고 내용이 여기에 기술되고 본 명세서의 일부를 이루며 발명자가 조엘 쇼트 및 프로렌스 페이간이고 발명의 명칭이 "네트워크 사이트에 액세스하고자 하는 사용자를 방향 지정하는 시스템 및 방법"인 미국특허출원에 기술된 홈페이지 방향 지정 능력에 의해 실시되듯이 소스가 초기에 게이트웨이 장치(12)에 접속할 때 개방될 수 있다. If the source does not correspond to the source profile in the
본 발명의 한 특징에 따라서, AAA 서버(30)는 컴퓨터 사용자에게 트랜스페어런트한 방법으로 게이트웨이 장치와 통신하는 소스를 식별할 수 있다. 즉, 본 발명의 한 특징에 따라서, 사용자는 식별 정보를 입력하고, 소스 컴퓨터를 개구성하거나 다르게는 소스 컴퓨터의 주 네트워크 세팅을 변경하는 것이 요구되지 않는다. 더욱이, 추가적 구성 소프트웨어가 소스 컴퓨터에 추가될 필요가 없다. 패킷이 게이트웨이 장치에 의해 수신된 후에, 데이터 패킷에 의해 식별된 속성은 소스 프로파일 데이터베이스에 포함된 데이터와 비교될 수 있다. 따라서, 네트워크에 액세스하는 컴퓨터의 재구성을 요구하지 않는다는 것에 추가하여, 본 발명의 AAA 서버는 사용자 ID를 입력하는 등 컴퓨터 사용자에 의한 대화 단계를 요구하지 않고 소스를 인증하는 능력을 갖는다. 예로서, AAA 서버(30)는 MAC 주소에 기초하여 소스를 자동적으로 식별할도 수 있어서, 소스의 승인은 쉽게 결정될 수 있다. 따라서, AAA 서버(30)는 수신된 데이터 패킷(데이터 패킷의 헤더 내에 있는 것과 같은 것)과 관련된 속성과 소스 프로파일 데이터베이스로부터 가져온 데이트를 기교함으로써 사용자, 컴퓨터 또는 액세스가 요청되는 위치를 결정할 수 있다. 아래에서 설명되듯이, 소스와 관련된 액세스 권한은 또한 소스 프로파일 데이터베이스에 저장되어 본 발명의 시스템 및 방법은 특정 서비스 또는 목적지에 대한 액세스를 동적으로 승인할 수 있다. In accordance with one aspect of the present invention,
일단 소스가 상기 인증 프로세스를 거쳐서 네트워크 서비스 연결을 설정하고, 소스 컴퓨터와 네트워크 사이의 통신선을 형성하도록 터넬(tunnel)이 개방되면, 게이트웨이 장치(12)는 소스 프로파일 정보 또는 소스에 특정한 데이터를 조립하기 위해서 AAA 서버(30)와 통신한다. 게이트웨이 장치가 조립하는 소스 프로파일 정보는 MAC 주소, 명칭 또는 ID, 회로 ID, 과금 방안 관련 데이터, 서비스 레벨 데이터, 사용자 프로파일 데이터, 원격 사이트 관련 데이터, 및 소스에 관련된 유사한 데이터를 포함할 수 있다. 상기와 같이, AAA 서버(30)는 다음에 상세히 설명되듯이 소스의 승인 권한 및 네트워크의 사용에 관련된 임의의 필요한 정보를 게이트웨이 장치(12)로 전송할 수 있다. Once the source has established a network service connection through the authentication process, and the tunnel is opened to form a communication line between the source computer and the network, the
사용자를 인증하는 것에 추가하여, 본 발명의 AAA 서버(30)는 소스 액세스 권한이 판정되는 승인 기능을 제공한다. 본 발명은 소스의 동적 승인을 가능하게 하여, 각각의 소스는 서로 다른 각각의 네트워크 용도 또는 액세스 권한을 가질 수 있다. 인증 후에, AAA 서버(30)는 소스의 속성을 사용자, 컴퓨터, 위치 또는 속성과 관련된 소스의 액세스 권한과 비교한다. 액세스 권한은 소스 프로파일 데이터베이스에 또는 게이트웨이 장치(12)의 내부 또는 외부에 위치된 별개의 가입자 데이터베이스에 저장될 수 있다. 따라서, 별개의 데이터베이스가 사용될 수 있는데, 여기에서 하나의 데이터베이스는 인증을 위한 소스에 관한 식별 정보를 저장하고, 다른 데이터베이스는 인증된 소스의 액세스 권한을 저장한다. 그러나, 속성 또는 속성의 조합에 의해 식별된 모든 소스의 프로파일은 소스 프로파일 데이터베이스에 저장되기 때문에, 액세스 권한에 관한 정보를 소스 프로파일 데이터베이스에 위치시키는 것이 장점을 가질 수 있는데, 소스 프로파일 데이터베이스는 상기와 같이 각각의 인증 소스에 관한 정보를 이미 포함한다. In addition to authenticating a user, the
본 발명의 한 특징에 따라서, 소스 프로파일 데이터베이스는 소스의 액세스 권한을 한정하는 정보를 저장한다. 예로서, 소스 프로파일 데이터베이스는 특정 MAC 주소를 가진 소스가 선-지불(pre-paid) 액세스를 구입하였거나, 주어진 회로 ID가 자유 액세스 또는 무제한 액세스를 갖는다는 것을 나타내는 정보를 포함할 수도 있다. 호텔의 특정한 룸 예로서 수트(suite) 및 펜트하우스 내의 고객은 자유로운 무제한 인터넷 액세스를 수신할 수 있다. 따라서, 액세스 권한은 소스 위치(예로서, 룸) 또는 위치 상태(예로서, 수트)에 따라서 이용가능할 수 있다. 이 경우에, 더 이상의 식별은 요구되지 않는데, 왜냐하면 소스가 액세스를 요청하는 위치가 게이트웨이 장치에게 알려져 있고 소스 프로파일 데이터베이스에 저장되었기 때문이다. According to one aspect of the invention, the source profile database stores information defining the access rights of the source. As an example, the source profile database may include information indicating that a source with a particular MAC address has purchased pre-paid access, or that a given circuit ID has free access or unlimited access. As a specific room example of a hotel, customers in suits and penthouses can receive free unlimited internet access. Thus, access rights may be available depending on the source location (eg, room) or location status (eg, suit). In this case, no further identification is required because the location from which the source requests access is known to the gateway device and stored in the source profile database.
각각의 소스가 어떤 것에 액세스하도록 승인되었는가 하는 것에 관한 정보를 저장하는 것에 추가하여, 소스 프로파일 데이터베이스는 또한 소스의 액세스의 대역폭 또는 소스가 향해야 하는 홈페이지 등 특정한 소스와 관련된 전문화된 액세스 정보를 포함할 수 있다. 예로서, 펜트하우스로부터 네트워크에 액세스하는 사용자는 특정 호텔 룸으로부터 네트워크에 액세스하는 어떤 사람보다 높은 액세스 보우 레이트(baud rate)를 받을 수 있다. 예로서, 사용자가 호텔 룸으로부터 게이트웨이 장치에 트랜스페어렌트하게 액세스하는 경우에, 호텔 네트워크 관리자는 호텔 내의 룸과 관련된 액세스 권한에 기초하여 사용자 액세스 정보를 소스 프로파일 데이터베이스에 입력할 수 있다. 이것은 또한 사용자가 자신의 룸에 체크-인할 때 호텔 재산 관리 시스템 등 게이트웨이 장치 또는 국부적 관리 시스템에 의해 자동적으로 수행될 수 있다. 또한, 사용자는 게이트웨이 장치에 처음 액세스할 때에 소스 프로파일 데이터베이스에 포함될 정보를 설정할 수 있다. 예로서, 새로운 사용자는 시스템에의 액세스를 얻기 위해서 신용 카드 번호, e-지갑 계정 정보, 선-지불 호출 카드 번호 또는 유사한 과금 정보를 입력하도록 지시될 수 있다. 소스 프로파일은 또한 소스가 네트워크에 액세스한 시간의 양을 포함하여 소스가 네트워크에 액세스하는 것에 관한 이력 데이터를 포함할 수 있다. 소스 프로파일 데이터베이스에 포함된 전문화된 액세스 또는 과금 정보는 시스템 관리자에 의해 또는 네트워크에 대한 액세스를 구입하였거나 다르게는 설정한 소스에 의해 설정될 수도 있다. In addition to storing information about what each source is authorized to access, the source profile database may also include specialized access information associated with a particular source, such as the bandwidth of the source's access or the home page to which the source should be directed. have. As an example, a user accessing a network from a penthouse may receive a higher access baud rate than any person accessing the network from a particular hotel room. For example, if a user has transparent access to a gateway device from a hotel room, the hotel network administrator may enter user access information into the source profile database based on the access rights associated with the room in the hotel. This can also be done automatically by a gateway device or a local management system, such as a hotel property management system, when the user checks in to his room. In addition, the user can set the information to be included in the source profile database the first time access to the gateway device. As an example, a new user may be instructed to enter a credit card number, e-wallet account information, prepaid calling card number or similar billing information to gain access to the system. The source profile may also include historical data about the source accessing the network, including the amount of time the source has accessed the network. Specialized access or charging information included in the source profile database may be set by the system administrator or by a source that has purchased or otherwise established access to the network.
본 발명의 한 특징에 따라서, AAA 서버(30)의 승인 능력은 소스 컴퓨터로부터 수신된 데이터에 기초하여 게이트웨이 장치(12)에 의해 식별된 목적지 주소 등 소스가 액세스하고자 하는 서비스의 형태에 기초할 수 있다. 목적지는 목적지 포트, 인터넷 주소, TCP 포트, 네트워크 등일 수 있다. 더욱이, AAA 서버(30)의 승인 능력은 전송되는 내용의 형태 또는 프로토콜에 기초할 수 있다. 본 발명의 시스템 및 방법에 따라, 각각의 패킷은 선택적 AAA 프로세스를 통해서 필터링될 수 있어서, 임의의 또는 모든 소스가 각각의 소스와 관련된 액세스 권한에 기초하여 특정한 목적지에 액세스하도록 승인될 수 있다. 따라서, 본 발명에 따라서, 소스가 서로 다른 목적지에 액세스하고자 할 때마다, 소스는 AAA 하에 놓여서, 소스는 AAA 서버(30)가 소스의 승인에 기초하여 소스에 액세스할 수 없다고 생각하는 특정한 사이트로부터의 액세스가 방지될 수 있다. 대안으로서, 본 발명에 따른 AAA 방법은 지불 또는 과금 정보를 수집할 수 있는 과금 수집하는 신용 카드 또는 과금 서버 등 특정 사이트에 어떤 또는 모든 소스가 직접 연결하도록 허용하여, 소스 프로파일은 경신되고 소스는 그 후에 네트워크에 액세스하도록 승인된다. 본 발명의 시스템 및 방법에 따라, 소스의 승인은 또한 특정한 시간 등 객관적인 기준에 기초할 수 있어서, 세션은 특정한 시간이 경과한 후에 특정한 시간에 또는 네트워크 제공자에 의해 결정된 다른 동적 정보에 따라 종료될 수 있다. 더욱이, 승인은 속성의 조합과 관련될 수 있다. 예로서, 사용자는 사용자가 사용자의 식별을 입력하고 특정한 룸으로부터 네트워크에 액세스한 네트워크에 액세스하도록 승인될 수 있다. 그러한 요구 사항은 역시 특정한 룸에 머무는 승인되지 않은 사용자가 네트워크 액세스를 얻는 것을 방지할 수 있다. 따라서, AAA는 발신지, 목적지 및 통화 형태에 기초할 수 있다. According to one aspect of the invention, the authorization capability of the
추가적 설명으로서, AAA 서버(30)의 동작의 흐름도는 본 발명의 한 특징에 따라 도 2를 참조하여 설명될 것이다. 동작 시에, 소스 컴퓨터는 네트워크, 목적지, 서비스 등에 대한 액세스를 요청한다(블럭 200). AAA 서버(30)에 전송된 패킷을 수신할 때, AAA 서버(30)는 소스의 신분을 판단하기 위해서 패킷을 조사한다(블럭 210). 패킷을 거쳐서 전송된 속성은 소스 프로파일 데이터베이스에 임시로 저장되어 데이터는 소스의 승인권을 판단하는 데에 사용하기 위해 조사될 수 있다. 패킷에 포함된 속성은 네트워크 정보, 소스 IP 주소, 소스 포트, 링크층 정보, 소스 MAC 주소, VLAN 택, 회로 ID, 목적지 IP 주소, 목적지 포트, 프로토콜 형태, 패킷 형태 등을 포함할 수 있다. 이러한 정보가 식별되고 저장된 후에, 소스로부터 요청된 액세스는 그 소스의 승인에 대해 매칭된다(블럭 230).As a further description, a flowchart of the operation of the
소스 프로파일이 일단 소스 프로파일 데이터베이스에 저장된 승인권에 액세스함으로써 판단되면, 3개의 가능한 동작이 결과적으로 발생할 수 있다. 구체적으로 말해서, 일단 소스의 승인권이 검색되면, AAA 서버(30)는 소스가 액세스할 것인지(222), 미결 상태 또는 진행 상태로 할 것인지(224), 또는 액세스 하지 말 것이지(226)를 결정할 수 있다. 우선, 소스 프로파일 데이터베이스가 그렇다고 진술하는 경우에는 소스가 유효하다고 생각된다(즉, 액세스하는 데에). 소스가 유효하다고 판단되면, 소스의 통화는 게이트웨이 장치를 나와서 소스와 관련된 사용자가 액세스하고자 원하는 네트워크 또는 온라인 서비스로 진행하도록 허용될 수 있다(블럭 230). 대안으로서, 소스는 요청된 네트워크에 대한 액세스가 허용되기 전에, 방향 지정 출원에서 기술되었듯이 포털 페이지로 방향 지정될 수 있다. 예로서, 사용자는 사용자가 사용자의 호텔 룸과 관련된 자유 액세스를 갖는 경우에 예로서 인터넷 주소 등 사용자가 입력한 목적지 주소로 자동적으로 착신전환(forward) 된다. 대안으로서, 이것은 사용자가 이미 액세스를 구입하였거나 이용가능한 액세스 시간을 소진하지 않은 경우에 발생할 수 있다. 더욱이, 과금 메시지는 사용자가 게이트웨이 장치를 사용하는 시간의 양을 기록하도록 초기화되어(230), 사용자 또는 위치는 액세스를 위해 과금될 수 있다. Once the source profile is determined by accessing the authorization stored in the source profile database, three possible actions may result. Specifically, once the source's authorization is retrieved, the
소스가 미결 또는 진행 중(224)이라고 생각되는 제2 시나리오가 발생하면, 소스는 인증되기(240) 위해서 단계들을 위할 수 있어서, 소스 정보는 소스 프로파일 데이터베이스에 기록된다. 예로서, 사용자는 구입 동의를 해야만 할 수도 있는데, 사용자에게 신용 카드 번호를 입력하라고 요구한다. 사용자가 액세스를 구입할 필요가 있거나 시스템이 사용자에 관한 추가적 정보를 필요로 하면, 사용자는 포털 페이지로부터 홈 페이지 방향 지정(HPR) 및 스택 주소 번역(SAT)을 거쳐 새로운 사용자를 입증하기 위해서 설정된 로그 인 페이지 등의 위치로 방향 지정될 수 있다. SAT와 HPR은 사용자를 웹서버(외부 또는 내부)로 방향 지정하기 위해 중재할 수 있는데, 웹서버에서 사용자는 자신을 로그 인하고 식별해야만 한다. 이 프로세스는 방향 지정 출원에서 상세히 설명되었다. 임의의 필요하고 충분한 정보를 입력한 후에, 사용자는 다음에는 목적지 주소에 액세스하도록 허용된다(블럭 230, 250). 제공된 정보가 불충분한 경우에, 사용자는 액세스가 승인되지 않을 것이다(블럭 260). 마지막으로, 제3 시나리오가 발생할 수 있는데, 여기에서 소스는 액세스 권한을 갖지 않는(226) 것으로 생각되어 사용자는 네트워크를 통해서 목적지에 액세스하도록 허용되지 않는다.(260) If a second scenario occurs where the source is considered open or in
이제 본 발명이 시스템 및 방법의 과금 기능을 참조하며, 소스가 네트워크에 액세스하는 것을 승인할 때에, AAA 서버(30)는 소스가 네트워크에 액세스한다는 것을 식별하기 위해 과금 시작을 등록할 수 있다. 유사하게, 소스가 네트워크 세션을 로그 오프하거나 종료할 때에, 과금 정지가 AAA 서버(30)에 의해 등록될 수 있다. 과금 시작 또는 정지는 소스가 원하는 목적지에 액세스하도록 인증 또는 승인될 때에 게이트웨이 장치(12) 또는 AAA 서버(30)에 의해 식별될 수 있다. 더욱이, 과금 시작 또는 정지는 소스 프로파일에 등록될 수 있거나, AAA 서버(30)와는 별개이고 네트워크의 외부에 위치된 데이터베이스에 저장될 수 있다. 통상적으로, 과금 시작 및 정지는 소스가 네트워크에 액세스한 시간의 양을 지시하는 시간 스탬프를 포함한다. 이 데이터를 사용하여, 과금 시작 및 과금 정지 사이의 시간이 기록될 수 있어서 소스의 전체 연결 시간이 계산될 수 있다. 그러한 정보는 한 시간 등 시간의 증가에 의해 요금이 부과되는 경우에 가치가 있다. 본 기술분야에서 잘 알려졌듯이, 과금 패키지는 다음에는 각각의 달 등 설정된 기간에 걸쳐 사용자가 네트워크에 액세스하는 전체 시간을 기록할 수 있어서 소스에 대해 요금이 발생될 수 있다. 네트워크와 ISP는 얼마나 많은 시간이 네트워크에 액세스하는 데에 소비되었는가에 상관 없이 달과 같은 시간의 특정 기간을 위한 설정 율을 부과할 수 있기(즉, 플랫 율 과금(flat rate pricing)) 때문에, 과금 시작 및 정지는 과금 목적을 위해서 요구되지는 않을 수 있다. 그러나, 과금 시작 및 정지는 일반적으로 통계의 목적을 위해서 네트워크 제공자 또는 ISP에 의해 기록될 수 있다. Reference is now made to the charging function of the system and method, and when the source authorizes access to the network, the
ISP 또는 유사한 액세스 제공자는 요금, 이력 보고서 및 다른 관련 정보를 설정하기 위해서 가입자가 ISP를 사용하는 것을 추적할 수 있는 것으로부터 추가적인 이점을 취할 것이다. 바람직하게, AAA 서버(30)는 네트워크 액세스 또는 서비스를 위해서 소스에게, 또는 소스가 지불해야할 임의의 요금을 결정하는 하나 이상의 프로세서와 통신한다. AAA 서버(30)는 실시간 베이스로 또는 특정한 시간 간격이 경과한 후에 이력 과금 데이터를 검색한다. 바람직하게, AAA 서버(30)는 그러한 데이터를 쉽게 액세스 가능하고 조정가능한 포맷으로 유지하여 액세스 제공자(예로서, ISP)는 임의의 원하는 형태의 이력 데이터를 나타내는 보고서 발생할 수 있다. 예로서, 액세스 제공자의 미래의 사용을 투영하기 위해서, AAA 서버(30)는 특정한 시간 주기에서 특정한 장소로부터 인터넷에 사용자가 액세스하는 수효를 기록하는 보고서를 발생한다. 더욱이, 액세스 제공자가 추가적 요금을 위한 더욱 빠른 연결(즉, 더욱 높은 보우율)에 대해 과금하는 등 사용자에 대한 대안적 액세스를 제공하는 경우에, 액세스 제공자는 미래의 고객의 수요를 가장 잘 충족하기 위해서 AAA 서버(30)를 사용하여 이력 데이터를 분석하기를 원할 수도 있다. 그러한 데이터는 현재 진행중인 네트워크 세션, 그러한 세션의 지속시간, 현재 사용된 대역폭, 전송된 바이트의 수, 및 임의의 다른 관련 정보에 관련될 수 있다. AAA 서버(30)는 에클립스 인터넷 과금 시스템, 케넌 광대역 인터넷 과금 소프트웨어(루센트 테크놀로지스에의해 제조된) 또는 트루 레이디어스 어카운트 등 잘 알려진 프로그램을 사용하여 실시될 수 있다. The ISP or similar access provider will take additional advantage from being able to track the subscriber's use of the ISP to set up charges, history reports and other relevant information. Preferably,
AAA 서버(30)는 액세스가 각 소스를 기반으로 커스터마이즈될 수 있는 동일한 방법으로 소스의 액세스를 동적으로 과금한다. 즉, AAA 서버(30)는 소스의 신분, 소스 위치, 소스가 요청한 목적지 등에 따라 변하는 과금 기록을 유지할 수 있다. 액세스 또는 승인권 같이, 이 정보는 소스 프로파일 데이터베이스 또는 유사한 과금 데이터베이스에 유지될 수 있다. 예로서, AAA 서버(30)은 특정한 소스는 특정한 사이트에 액세스하는 것에 대해서만 요금이 부여된다고 결정할 수 있고, 그러한 특정한 사이트가 액세스될 때에만 과금 사이트를 등록할 것이다. 따라서, AAA 서버(30)는 가입자의 소스 프로파일에 저장된 어카운트 정보를 식별하여 과금 시작, 과금 정지, 과금율 등을 결정할 것이다. The
본 발명의 많은 수정 및 다른 실시예들이 상기 설명과 관련 도면에 설명된 교시의 이점을 갖는 본 발명이 속한 분야에 익숙한 자에게 생각될 것이다. 따라서, 본 발명은 설명된 특정 실시예에 제한되지 않으며, 수정 및 다른 실시예는 첨부된 청구범위의 범위 내에 포함되는 것으로 의도되었다는 것을 이해할 것이다. 특정한 용어가 사용되었지만, 그것들은 일반적이고 설명의 목적으로 사용된 것이지 제한하 는 목적으로 사용된 것이 아니다. Many modifications and other embodiments of the invention will come to mind to one skilled in the art to which this invention pertains having the benefit of the teachings presented in the foregoing descriptions and the associated drawings. Accordingly, it is to be understood that the invention is not limited to the specific embodiments described, and that modifications and other embodiments are intended to be included within the scope of the appended claims. Although specific terms have been used, they are generic and used for explanatory purposes only and are not intended to be limiting.
본 발명에 따른 인증, 승인 및 과금 방법 및 시스템은 게이트웨이 장치를 사용하여 컴퓨터 네트워크에의 사용자의 트랜스페어런트한 액세스를 가능하게 한다. 따라서, 각각의 사용자는 네트워크를 거쳐 서비스, 사이트 또는 목적지에 액세스하는 서로 다른 권한을 가질 수 있다. 따라서, 본 발명은 사용자를 인증하고 그 사용자들에게 액세스된 네트워크를 사용할 승인의 다른 정도를 제공하는 동적 AAA 서비스를 제공함으로써 종래의 AAA 방법 및 시스템과는 다르다. 더욱이, 본 발명의 소스 프로파일 데이터베이스는 게이트웨이 장치의 외부에, 액세스를 요청하는 네트워크에 대해 국부적이 아닌 네트워크 상에 위치될 수 있다. 외부 소스 프로파일 데이터베이스는 각각의 게이트웨이 장치가 유한한 수의 사용자를 네트워크에 액세스하도록 허용하기 때문에 바람직하여, 복수의 게이트웨이 장치가 요구될 수 있다. 또한, 인증 데이터의 하나의 병합된 데이터베이스를 관리 및 유지하는 것은 복수의 작은 데이터베이스보다 쉽다. 더욱이, 데이터베이스를 국부적 네트워크의 외부에 위치시키면 ISP 또는 제삼자인 제공자는 데이터베이스 내에 저장된 정보의 신뢰성을 유지하고 제삼자인 제공자가 원하는 방법으로 데이터베이스를 유지 및 제어하게 한다. The authentication, authorization, and charging method and system according to the present invention enable transparent access of a user to a computer network using a gateway device. Thus, each user may have different rights to access a service, site or destination across a network. Accordingly, the present invention differs from conventional AAA methods and systems by providing a dynamic AAA service that authenticates a user and provides the users with a different degree of authorization to use an accessed network. Moreover, the source profile database of the present invention can be located outside the gateway device on a network that is not local to the network requesting access. The external source profile database is advantageous because each gateway device allows a finite number of users to access the network, so that a plurality of gateway devices may be required. In addition, managing and maintaining one merged database of authentication data is easier than multiple small databases. Moreover, positioning the database outside of the local network allows the ISP or third party provider to maintain the reliability of the information stored within the database and to maintain and control the database in the manner desired by the third party provider.
Claims (32)
Applications Claiming Priority (18)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16118199P | 1999-10-22 | 1999-10-22 | |
US16109399P | 1999-10-22 | 1999-10-22 | |
US16113999P | 1999-10-22 | 1999-10-22 | |
US16097399P | 1999-10-22 | 1999-10-22 | |
US16118299P | 1999-10-22 | 1999-10-22 | |
US16118999P | 1999-10-22 | 1999-10-22 | |
US16089099P | 1999-10-22 | 1999-10-22 | |
US60/161,093 | 1999-10-22 | ||
US60/161,181 | 1999-10-22 | ||
US60/161,189 | 1999-10-22 | ||
US60/161,139 | 1999-10-22 | ||
US60/161,182 | 1999-10-22 | ||
US60/160,973 | 1999-10-22 | ||
US60/160,890 | 1999-10-22 | ||
US09/458,602 | 1999-12-08 | ||
US09/458,602 US8713641B1 (en) | 1998-12-08 | 1999-12-08 | Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device |
US09/458,569 | 1999-12-08 | ||
US09/458,569 US6636894B1 (en) | 1998-12-08 | 1999-12-08 | Systems and methods for redirecting users having transparent computer access to a network using a gateway device having redirection capability |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20020059640A KR20020059640A (en) | 2002-07-13 |
KR100687837B1 true KR100687837B1 (en) | 2007-02-27 |
Family
ID=69407358
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020027005164A KR100734965B1 (en) | 1999-10-22 | 2000-10-20 | Systems and methods for redirecting users attempting to access a network site |
KR1020027005174A KR100687837B1 (en) | 1999-10-22 | 2000-10-20 | Systems and methods for providing dynamic network authorization, authentication and accounting |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020027005164A KR100734965B1 (en) | 1999-10-22 | 2000-10-20 | Systems and methods for redirecting users attempting to access a network site |
Country Status (1)
Country | Link |
---|---|
KR (2) | KR100734965B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10311411B2 (en) | 2012-01-06 | 2019-06-04 | Einnovations Holdings Pte. Ltd. | System, method and computer program arranged to facilitate a transaction |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101224594B1 (en) * | 2005-04-28 | 2013-01-22 | 삼성전자주식회사 | Guaranteed services method and apparatus in Bridged LAN |
KR100814533B1 (en) * | 2006-02-13 | 2008-03-17 | 에스케이 텔레콤주식회사 | Connection maintenance service system of ldap based and its method |
US8532694B2 (en) | 2008-12-30 | 2013-09-10 | Qualcomm Incorporated | Interface authorization scheme |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6195691B1 (en) | 1996-09-17 | 2001-02-27 | National Systems Corporation | Method and apparatus for creating and using dynamic universal resource locators |
EP0889418A3 (en) | 1997-06-30 | 1999-08-18 | Sun Microsystems, Inc. | Abstract URL resolution via relocation service |
-
2000
- 2000-10-20 KR KR1020027005164A patent/KR100734965B1/en active IP Right Grant
- 2000-10-20 KR KR1020027005174A patent/KR100687837B1/en active IP Right Grant
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10311411B2 (en) | 2012-01-06 | 2019-06-04 | Einnovations Holdings Pte. Ltd. | System, method and computer program arranged to facilitate a transaction |
Also Published As
Publication number | Publication date |
---|---|
KR100734965B1 (en) | 2007-07-03 |
KR20020075365A (en) | 2002-10-04 |
KR20020059640A (en) | 2002-07-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5084086B2 (en) | System and method for providing dynamic network authorization, authentication and account | |
US7194554B1 (en) | Systems and methods for providing dynamic network authorization authentication and accounting | |
US8613053B2 (en) | System and method for authorizing a portable communication device | |
US8589568B2 (en) | Method and system for secure handling of electronic business transactions on the internet | |
US6615263B2 (en) | Two-tier authentication system where clients first authenticate with independent service providers and then automatically exchange messages with a client controller to gain network access | |
KR101025403B1 (en) | A method and a system for authenticating a user at a network access while the user is making a connection to the Internet | |
CA2514004C (en) | System and method for controlling network access | |
US10116628B2 (en) | Server-paid internet access service | |
US20050021943A1 (en) | User specific automatic data redirection system | |
US20140075504A1 (en) | Method and system for dynamic security using authentication servers | |
US20080040491A1 (en) | Method and System of Accreditation for a Client Enabling Access to a Virtual Network for Access to Services | |
WO2002035797A9 (en) | Systems and methods for providing dynamic network authorization, authentication and accounting | |
US6711610B1 (en) | System and method for establishing secure internet communication between a remote computer and a host computer via an intermediate internet computer | |
ES2364736T3 (en) | SYSTEM AND METHOD TO PROVIDE A DYNAMIC NETWORK AUTHORIZATION, AUTHENTICATION AND ACCOUNTING. | |
KR100687837B1 (en) | Systems and methods for providing dynamic network authorization, authentication and accounting | |
WO2004014045A1 (en) | Service class dependant asignment of ip addresses for cotrolling access to an d delivery of e-sevices | |
Cisco | Overview | |
Cisco | Overview | |
CA2725720C (en) | Systems and methods for providing dynamic network authorization, authentication and accounting | |
KR20050055852A (en) | Service control system and method using sub-identifier |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130201 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20140205 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20150120 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20160119 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20170119 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20180118 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20190116 Year of fee payment: 13 |
|
FPAY | Annual fee payment |
Payment date: 20200115 Year of fee payment: 14 |