KR20020059640A - 동적 네트워크 승인, 인증 및 어카운팅을 제공하는 시스템및 방법 - Google Patents

동적 네트워크 승인, 인증 및 어카운팅을 제공하는 시스템및 방법 Download PDF

Info

Publication number
KR20020059640A
KR20020059640A KR1020027005174A KR20027005174A KR20020059640A KR 20020059640 A KR20020059640 A KR 20020059640A KR 1020027005174 A KR1020027005174 A KR 1020027005174A KR 20027005174 A KR20027005174 A KR 20027005174A KR 20020059640 A KR20020059640 A KR 20020059640A
Authority
KR
South Korea
Prior art keywords
source
access
network
computer
gateway device
Prior art date
Application number
KR1020027005174A
Other languages
English (en)
Other versions
KR100687837B1 (ko
Inventor
쇼트조엘이.
페이건플로렌스씨.1세
골드스타인죠시제이.
Original Assignee
제이. 릭 타취
노마딕스, 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US09/458,569 external-priority patent/US6636894B1/en
Priority claimed from US09/458,602 external-priority patent/US8713641B1/en
Application filed by 제이. 릭 타취, 노마딕스, 인코포레이티드 filed Critical 제이. 릭 타취
Publication of KR20020059640A publication Critical patent/KR20020059640A/ko
Application granted granted Critical
Publication of KR100687837B1 publication Critical patent/KR100687837B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1432Metric aspects
    • H04L12/1439Metric aspects time-based
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/564Enhancement of application control based on intercepted application data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/75Indicating network or usage conditions on the user display
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

네트워크에 대한 소스의 액세스를 선택적으로 제어 및 주문 맞춤하는 시스템 및 방법으로서, 소스는 소스 컴퓨터와 관련되고, 소스 컴퓨터는 게이트웨이 장치를 거쳐 네트워크에 대한 트랜스페어런트 액세스를 가지며 네트워크에 액세스하기 위해서 구성(configuration) 소프트웨어가 소스 컴퓨터에 설치될 필요가 없는 시스템 및 방법이 개시되었다. 사용자는 사용자의 승인에 기초하여 특정 목적지 또는 사이트로부터의 액세스가 방지되는 반면에 상기 방법 및 시스템이 액세스 가능하다고 생각하는 다른 사이트에 액세스하도록 허용된다. 상기 방법 및 시스템은 소스의 지식이 없이도 소스를 식별할 수 있고, 소스 프로파일 데이터베이스 내의 그 소스에 대응되는 주문 맞춤 가능한 액세스 권리에 액세스할 수 있다. 소스 프로파일 데이터베이스는 원격 인증 다이얼-인 사용자 서비스(RADIUS) 또는 경량 디렉토리 액세스 프로토콜(LDAP) 데이터베이스일 수 있다. 상기 방법 및 시스템은 소스 프로파일 데이터베이스 내의 소스 프로파일을 사용하여 소스가 네트워크에 또한 네트워크를 거쳐 목적지에 액세스하는 것을 동적으로 승인한다.

Description

동적 네트워크 승인, 인증 및 어카운팅을 제공하는 시스템 및 방법 {SYSTEMS AND METHODS FOR PROVIDING DYNAMIC NETWORK AUTHORIZATION, AUTHENTICATION AND ACCOUNTING}
컴퓨터 네크워크에의 사용자 액세스는 종래 사용자에게 전체 네트워크 액세스를 제공하거나, 사용자의 어떠한 액세스도 거부하는 2-단계 인증 프로세스에 기초하였다. 프로세스의 첫 번째 단계에서, 사용자는 전화선, 네트워크 접속 전용선(예로서, 광대역, 디지털 신호선(DSL)) 등을 거쳐서 네트워크와의 통신 링크를 설정한다. 인증 프로세스의 두 번째 단계에서, 사용자는 네트워크에의 액세스를 얻기 위해서 식별 정보를 입력하여야만 한다. 통상적으로, 입력된 식별 정보는 사용자 명칭 및 패스워드를 포함한다. 이러한 정보를 사용하여, 네트워크 또는 서비스 제공자는 식별 정보가 네트워크를 액세스하도록 승인된 모든 사용자를 위한 식별 정보를 저장하는 가입자 테이블(또는 데이터베이스)에 포함된 가입자 정보와 매칭되는지를 결정함으로써 사용자가 테트워크에 액세스할 권리를 가졌는지를 입증한다. 사용자 입력 정보가 가입자 테이블 내의 가입자 데이터와 매칭되는 경우에, 사용자는 네트워크 상의 임의의 및 모든 서비스에 액세스하도록 승인된다. 한편, 사용자 입력 식별 정보가 테이블 내의 가입자 데이터와 매칭되지 않으면, 사용자는 네트워크에의 액세스가 거부된다. 따라서, 일단 사용자의 신원(identity)이 가입자 테이블에 저장된 데이터와 비교되면, 사용자는 네트워크 액세스의 권리를 갖게 되거나 모든 액세스가 거부된다. 더욱이, 사용자가 네트워크에 액세스하도록 승인되는 경우에, 사용자는 통상적으로 네트워크를 거쳐 액세스 가능한 임의의 목적지에 액세스하도록 승인된다. 따라서, 사용자의 종래의 인증은 네트워크 액세스에 대한 전부-또는-전무 방법(all-or-nothing approach)에 기초한다.
종래의 인터넷 액세스 응용 등에서와 같이 많은 종래의 네트워크 응용에서, 가입자 데이터베이스(또는 테이블)는 네트워크에 액세스하도록 승인된 가입자의 신원에 대응하는 데이터를 저장할 뿐만 아니라, 특정 가입자에 기초하여 변할 수 있는 정보도 저장한다. 예로서, 가입자 데이터베이스는 가입자가 받아야 하는 액세스의 형태를 나타내는 가입자 프로파일 및 네트워크 액세스에 대해 가입자가 지불할 요금 등 다른 관련된 정보를 포함할 수 있다. 가입자 데이터베이스 내의 정보가 사용자마다 변할 수 있지만, 데이터베이스에 대해 유일한 정보는 과금(billing) 또는 네트워크 유지보수 목적을 위해 일반적으로 사용된다. 예로서, 종래의 가입자 데이터베이스는 통상적으로 네트워크 액세스을 위해 가입자가 지불하는 비용 및 가입자가 네트워크에 액세스한 시간의 양 등의 데이터를 포함한다. 따라서, 인터넷 서비스 제공자(ISP)에 대한 가입자가 인터넷 사용권(Internet access)을 구입한 경우, 소스 프로파일 데이터베이스는 사용자가 인증될 수 있게 하고 또한 네트워크 상의 사용자의 시간의 일지(log)를 유지하는 등 어카운팅(accounting) 목적을 위해서 사용자의 액세스를 추적하는 정보를 포함할 수 있다.
또한, 종래의 네트워크 액세스 시스템에서, 사용자가 온라인 서비스(예로서, 인터넷)에 연결하기 위해서, 사용자는 사용자의 컴퓨터에 클라이언트 측 소프트웨어를 설치하여야만 한다. 클라이언트 측 소프트웨어는 통상적으로 사용자가 인터넷 액세스를 위해 가입한 ISP 등 네트워크 관리자 또는 네트워크 액세스 제공자에 의해 제공되고, 클라이언트로 하여금 그 네트워크 액세스 제공자와 통신하기 위해 클라이언트의 컴퓨터를 구성할 수 있게 한다. 사용자가 ISP를 거쳐서 인터넷에 액세스하는 예시적 예를 계속 설명하면, 사용자는 클라이언트 컴퓨터 상에 ISP 소프트웨어를 설치하고, 그 후에 인터넷 액세스를 위해 ISP와 계정(account)을 설정하여야만 한다. 통상적으로, 사용자는 인터넷 액세스를 위해 America OnlineTM, EarthlinkTM, CompuserveTM등 ISP와 직접 계약함으로써 ISP에 가입한다. 통상적으로, 사용자는 월간 고정 요금 베이스로 그러한 인터넷 액세스에 대해 지불한다. 사용자의 위치에 무관하게, 사용자는 ISP에 의해 제공된 액세스 번호를 다이얼링하고 인터넷에 액세스한다. 연결은 종종 종래의 전화 모뎀, 케이블 모뎀, DSL 접속 등을거쳐 달성된다.
ISP를 통하는 등 종래의 방법을 통해서 네트워크에 액세스하는 사용자는 전부-또는 전무 방법으로 네트워크에의 액세스가 허용 또는 거부되기 때문에, 특정한 네트워크 또는 사이트에 대한 사용자의 액세스 및 인증이 주문 맞춤 가능(customizable)하도록 사용자는 네트워크에 대한 액세스가 동적으로 승인될 수 없다. 사용자 위치, 사용자 명칭 또는 패스워드, 사용자 컴퓨터 또는 다른 속성 등 사용자와 관련된 임의의 수효의 변수들에 기초하여 변할 수 있는 동적 및 주문 맞춤 가능한 액세스를 사용자에게 허용하는 방법 및 시스템이다 필요하다. 예로서, 다른 사용자들이 특정한 사이트에의 액세스가 거부될 수 있을 때에 모든 인터넷 사이트에의 액세스가 승인되는 것이 어떤 사용자들에게 이로울 수 있을 것이다. 네트워크에의 사용자의 액세스를 승인하는 것에 추가하여, 사용자의 액세스가 전부-또는-전무 방법에 기초하지 않도록 ISP 또는 기업 네트워크 등 네트워크가 사용자에게 한 범위의 승인을 선택적으로 허용하는 것이 이로울 것이다.
본 발명은 일반적으로 네트워크 액세스를 제어하는 시스템 및 방법에 관한 것으로서, 특히 동적 사용자 네트워크 액세스를 설정하는 시스템 및 방법에 관한 것이다.
본 출원은 1999년 12월 8일자로 출원되어 계류중인 발명의 명칭이 "네트워크에 대하여 트랜스페어런트한 컴퓨터 액세스를 가진 사용자를 방향 지정 능력을 가진 게이트웨이 장치를 사용하여 방향 지정하는 시스템 및 방법"인 미국특허출원 제09/458,569호의 부분 연속 출원이다. 본 출원은 또한 1999년 12월 8일자로 출원되고 발명의 명칭이 "게이트웨이 장치를 사용하여 네트워크에 대한 트랜스페어런트한 컴퓨터 액세스를 가진 사용자를 승인, 인증 및 어카운팅하는 시스템 및 방법"인 미국특허출원 제09/458,602호, 1999년 10월 22일자로 출원되고 발명의 명칭이 "컴퓨터 네트워크에 있어서 가입자 당 베이스로 동적 대역폭 관리를 위한 시스템 및 방법"인 미국임시특허출원 제60/161,182호, 1999년 10월 22일자로 출원되고 발명의 명칭이 "컴퓨터 네트워크에 있어서 게이트웨이 장치에 의해 가입자 터널을 발생하는 시스템 및 방법"인 미국임시특허출원 제60/160,890호, 1999년 10월 22일자로 출원되고 발명의 명칭이 "네트워크 게이트웨이 인터페이스에 사용하기 위한 정보 및 콘트롤 콘솔"인 미국임시특허출원 제60/161,139호, 1999년 10월 22일자로 출원되고 발명의 명칭이 "네트워크 게이트웨이 장치를 사용하여 서비스 제공자 네트워크와의 트랜스페어런트한 컴퓨터 액세스 및 통신을 위한 시스템 및 방법"인 미국임시특허출원 제60/161,189호, 1999년 10월 22일자로 출원되고 발명의 명칭이 "가입자 관리를 편리하게 하기 위해 네트워크 게이트웨이 장치로 하여금 관리 시스템과 통신하게 하는 시스템 및 방법"인 미국임시특허출원 제60/160,973호, 1999년 10월 22일자로 출원되고 발명의 명칭이 "XML 인터페이스를 가진 게이트웨이 장치과 관련 방법"인 미국임시특허출원 제60/161,181호, 및 1999년 10월 22일자로 출원되고 발명의 명칭이 "게이트웨이 장치에 사용하기 위한 위치에 기초한 식별 및 승인"인 미국임시특허출원 제60/161,093호로부터 우선권을 주장한다. 상기 출원들은 모두 그 전체 내용을 여기에 인용함으로써 본 명세서의 일부를 이룬다.
도 1은 본 발명의 한 실시예에 따라 소스가 네트워크 및/또는 온라인 서비스에 액세스하는 것을 인증, 승인 및 어카운팅하는 AAA 서버를 포함하는 컴퓨터 시스템의 블록도이다.
도 2는 본 발명의 한 특징에 따라 AAA 서버가 인증, 승인 및 어카운팅을 수행하는 방법의 흐름도이다.
본 발명은 게이트웨이 장치를 거쳐 네트워크에 대하여 사용자가 액세스하는 것에 대한 인증(Authentication), 승인(Authorization) 및 어카운팅(Accounting)(AAA)을 선택적으로 실시 및 강화하는 방법 및 시스템을 포함한다. 본 발명에 따라, 사용자는 사용자의 신분을 판단하기 위해서 인증될 수 있다. 본 발명의 시스템 및 방법의 인증 능력은 네트워크 액세스를 요청하는 소스(예로서, 특정 사용자, 컴퓨터 또는 위치)를 식별하는 사용자 ID, 컴퓨터, 위치 또는하나 이상의 추가적 속성들에 기초할 수 있다. 일단 인증되면, 본 발명의 시스템 및 방법의 인증 능력은 소스의 신분에 기초하여 주문 맞춤 되어, 소스는 그들의 신분, 요청된 내용 및/또는 목적지에 기초하여 서로 다른 액세스 권리를 갖는다. 예로서, 액세스 권리는 제1 소스가 특정 인터넷 목적지 주소에 액세스하게 하고, 제2 소스는 동일한 주소에 액세스하는 것을 거부한다. 또한, 본 발명의 시스템 및 방법의 인증 능력은 목적지 포트, 인터넷 주소, TCP 포트, 네트워크 또는 유사한 목적지 주소 등 데이터 전송에 포함된 다른 정보에 기초할 수 있다. 더욱이, 본 발명의 AAA는 전송되는 내용의 형태 또는 프로토콜에 기초할 수 있다. 이러한 방법으로 사용자를 인증함으로써, 각각의 패킷은 선택적 AAA 프로세스를 통해서 필터링될 수 있어, 사용자는 식별되고 특정한 목적지에의 액세스가 승인될 수 있다. 따라서, 사용자가 다른 목적지에 액세스하고자 할 때마다, 사용자는 AAA를 받아서, 사용자는 AAA 시스템 및 방법이 사용자의 승인에 기초하여 사용자에게 액세스 불가하다고 생각하는 특정한 사이트로부터의 액세스가 방지될 수 있는 반면에, AAA 시스템 및 방법이 액세스 가능하다고 생각하는 다른 사이트에의 액세스를 허용한다. 또한, 본 발명의 한 실시예에 따라, 소스가 네트워크에 액세스하는 것은 어카운팅 및 역사적 목적을 위해서 본 발명에 의해 추적 및 기록될 수 있다.
본 발명의 한 실시예에 따라서, 네트워크에 대한 소스의 액세스를 선택적으로 제어 및 주문 맞춤하는 방법으로서, 소스는 소스 컴퓨터와 관련되고, 소스 컴퓨터는 게이트웨이 장치를 거쳐 네트워크에 대한 트랜스페어런트 액세스를 가지며 네트워크에 액세스하기 위해서 구성(configuration) 소프트웨어가 소스 컴퓨터에 설치될 필요가 없는 방법이 기술되었다. 상기 방법은 상기 네트워크에 대한 액세스를 위한 소스 컴퓨터로부터의 요청을 게이트웨이 장치에서 수신하는 단계, 상기 소스 컴퓨터로부터 전송되고 상기 게이트웨이 장치에 의해 수신된 패킷에 기초하여 상기 소스에 관련된 속성을 식별하는 단계, 상기 소스에 대응되고 소스 프로파일 데이터베이스에 저장된 소스 프로파일에 액세스하는 단계로서, 상기 소스 프로파일은 상기 속성에 기초하여 액세스되고, 상기 소스 프로파일 데이터베이스는 게이트웨이 장치의 외부에 위치되고 게이트웨이 장치와 통신하는, 액세스하는 단계를 포함한다. 상기 방법은 또한 상기 소스 프로파일에 기초하여 소스의 액세스 권리를 판단하는 단계로서, 상기 액세스 권리는 네트워크에 액세스하고자 하는 소스의 권리를 한정하는, 판단하는 단계를 포함한다.
본 발명의 한 특징에 따라서, 상기 소스 프로파일에 기초하여 소스의 액세스 권리를 판단하는 단계는 상기 소스 프로파일에 기초하여 소스의 액세스 권리를 판단하는 단계를 포함하고, 상기 액세스 권리는 요청된 네트워크 목적지에 소스가 액세스하는 권리를 한정한다. 본 발명의 다른 특징에 따라서, 상기 방법은 상기 네트워크에 대한 액세스를 위한 요청을 전송하는 위치에 위치 식별자를 할당하는 단계를 더 포함하고, 상기 위치 식별자는 소스와 관련된 속성이다. 또한, 본 발명에 따라, 상기 소스에 대응하는 소스 프로파일에 액세스하는 단계는 소스 프로파일 데이터베이스에 저장된 소스 프로파일에 액세스하는 단계를 포함하고, 상기 소스 프로파일 데이터베이스는 원격 인증 다이얼-인 사용자 서비스(RADIUS), 또는 경량 디렉토리 액세스 프로토콜(LDAP) 데이터베이스를 포함한다.
본 발명의 또 다른 특징에 따라서, 상기 방법은 새로운 소스가 네트워크에 액세스할 때 소스 프로파일 데이터베이스를 경신하는 단계를 더 포함한다.또한, 상기 방법은 상기 소스 프로파일 데이터베이스 내에 네트워크에 대한 소스의 액세스의 역사적 기록을 유지하는 단계를 포함할 수 있다. 더욱이, 상기 소스와 관련된 속성은 네트워크에 대한 액세스를 위한 요청을 전송한 소스 컴퓨터와 관련된 MAC 주소, 사용자 ID, 또는 VLAN ID 중의 하나에 기초한다. 본 발명의 또 다른 특징에 따라서, 상기 게이트웨이 장치에서 액세스를 위한 소스로부터의 요청을 수신하는 단계는 소스로부터 목적지 주소를 수신하는 단계를 포함한다.
본 발명의 다른 실시예에 따라서, 네트워크에 대한 소스의 액세스를 선택적으로 제어 및 주문 맞춤하는 시스템으로서, 소스는 소스 컴퓨터와 관련되고, 소스 컴퓨터는 게이트웨이 장치를 거쳐 네트워크에 대한 트랜스페어런트 액세스를 가지며 네트워크에 액세스하기 위해서 구성 소프트웨어가 소스 컴퓨터에 설치될 필요가 없는 시스템이 기술되었다. 상기 시스템은 상기 네트워크에 대한 액세스를 위한 소스 컴퓨터로부터의 요청을 수신하는 게이트웨이 장치, 상기 게이트웨이 장치와 통신하며 그 외부에 위치된 소스 프로파일 데이터베이스로서, 상기 소스 프로파일 데이터베이스는 소스와 관련된 속성에 의해 식별가능한 액세스 정보를 저장하며, 상기 속성은 소스 컴퓨터로부터 전송되고 게이트웨이 장치에 의해 수신된 데이터 패킷에 기초하여 식별되는, 소스 프로파일 데이터베이스를 포함한다. 상기 시스템은 또한 상기 게이트웨이 장치 및 소스 프로파일 데이터베이스와 통신하는 AAA 서버로서, 상기 AAA 서버는 상기 소스 프로파일 데이터베이스에 저장된 액세스 정보에 기초하여 상기 소스가 네트워크에 액세스할 권리를 가졌는지를 판단하고, 또한 소스의 액세스 권리를 판단하며, 액세스 권리는 소스가 네트워크를 거쳐 목적지 사이트에 액세스할 권리를 한정하는, AAA 서버를 포함한다.
본 발명의 한 특징에 따라서, 상기 게이트웨이 장치에 의해 수신된 패킷은 VLAN ID, 회로 ID, 및 MAC 주소 중의 적어도 하나를 포함한다.또한, 본 발명의 다른 특징에 따라서, 상기 소스 프로파일 데이터베이스는 원격 인증 다이얼-인 사용자 서비스(RADIUS) 또는 경량 디렉토리 액세스 프로토콜(LDAP) 데이터베이스를 포함한다. 더욱이, 상기 소스 프로파일 데이터베이스는 복수의 소스 프로파일을 포함하고, 상기 복수의 소스 프로파일의 각각은 액세스 정보를 포함한다. 본 발명에 따라서, 상기 각각의 소스 프로파일은 또한 네트워크 액세스에 대해 지불해야할 요금을 결정하는 데에 사용하기 위해 네트워크 액세스의 지속시간에 관한 역사적 데이터를 포함한다. 본 발명의 또 다른 특징에 따라서, 상기 소스 프로파일 데이터베이스는 상기 AAA 서버에 위치된다.
본 발명의 또 다른 실시예에 따라서, 게이트웨이 장치를 통해서 목적지에 액세스하고자 하는 소스를 방향 지정하는 방법으로서, 상기 소스는 소스 컴퓨터와 관련되고, 상기 게이트웨이 장치는 소스 컴퓨터로 하여금 네트워크를 위해 구성된 네트워크 소프트웨어를 포함하도록 요구하지 않고 소스로 하여금 네트워크와 통신할 수 있게 하는 방법이 기술되었다. 상기 방법은 상기 소스로부터 네트워크에 액세스하고자 하는 요청을 게이트웨이 장치에서 수신하는 단계, 상기 소스와 관련된 속성에 기초하여 소스를 식별하는 단계, 상기 게이트웨이 장치의 외부에 위치되고, 상기 소스의 액세스 권리를 저장하는 소스 프로파일 데이터베이스에 액세스하는 단계를 포함한다. 상기 방법은 상기 소스의 식별에 기초하여 소스의 액세스 권리를 판단하는 단계로서, 상기 액세스 권리는 소스가 네트워크를 거쳐 목적지에 액세스하는 권리를 한정하는 단계를 더 포함한다.
본 발명의 한 특징에 따라서, 소스 프로파일 데이터베이스에 액세스하는 단계는 원격 인증 다이얼-인 사용자 서비스(RADIUS) 또는 경량 디렉토리 액세TM 프로토콜(LDAP) 데이터베이스를 포함하는 소스 프로파일 데이터베이스를 포함한다. 본 발명의 다른 특징에 따라서, 상기 방법은 상기 네트워크에 대한 액세스를 위한 요청을 전송하는 위치에 위치 식별자를 할당하는 단계를 포함할 수 있고, 상기 위치 식별자는 소스와 관련된 속성이다. 상기 방법은 또한 새로운 소스가 네트워크에 액세스할 때 소스 프로파일 데이터베이스를 경신하는 단계와, 상기 소스가 네트워크에 액세스하는 것의 역사적 기록을 어카운팅 데이터베이스 내에 유지하는 단계를 더 포함하고, 상기 어카운팅 데이터베이스는 상기 소스 프로파일 데이터베이스와 통신한다.
본 발명의 또 다른 특징에 따라서, 상기 게이트웨이 장치에서 액세스를 위한 소스로부터의 요청을 수신하는 단계는 소스로부터 목적지 주소를 수신하는 단계를 포함한다. 더욱이, 소스 컴퓨터가 목적지 주소에 액세스할 권리가 있는가를 판단하는 단계는 소스 프로파일이 소스 컴퓨터의 액세스가 거부되었다는 것을 나타내는 경우에 소스 컴퓨터의 액세스를 거부하는 단계를 더 포함한다. 소스가 네트워크에 액세스할 권리가 있는가를 판단하는 단계 역시 소스 프로파일이 소스 프로파일 데이터베이스 내에 위치되지 않은 때에 소스를 로그 인 페이지로 향하게 하는 단계를 더 포함한다.
본 발명의 또 다른 실시예에 따라서, 컴퓨터와 서비스 제공자 네트워크 사이에 트랜스페어런트한 통신을 가능하게 하는 시스템이 기술되었다. 시스템은 컴퓨터, 상기 컴퓨터를 컴퓨터 네트워크에 연결하기 위해 상기 컴퓨터와 통신하며, 상기 컴퓨터 네트워크에 액세스하고자 하는 사용자를 나타내는 소스 데이터를 수신하는 네트워크 게이트웨이 장치를 포함한다. 시스템은 또한 상기 네트워크 게이트웨이 장치와 통신하는 서비스 제공자 네트워크를 포함하고, 상기 서비스 제공자 네트워크는 네트워크 게이트웨이 장치의 외부에 위치되고, 상기 네트워크 게이트웨이 장치와 통신하는 인증 서버를 포함한다. 상기 인증 서버는 컴퓨터 네트워크에 액세스하도록 승인된 사용자를 나타내는 소스 프로파일을 포함하는 소스 프로파일 데이터베이스를 내부에 가지며, 소스 데이터를 소스 프로파일과 비교하여 컴퓨터 네트워크에 액세스하고자 하는 사용자가 컴퓨터 네트워크에 액세스할 수 있는지를 판단한다.
본 발명의 한 특징에 따라서, 시스템은 상기 서비스 제공자 네트워크의 사용에 관한 역사적 데이터를 유지하는 어카운팅 시스템을 포함할 수 있다. 본 발명의 또 다른 특징에 따라서, 상기 인증 서버는 원격 인증 다이얼-인 사용자 서비스(RADIUS) 또는 경량 디렉토리 액세스 프로토콜(LDAP) 데이터베이스를 포함한다. 더욱이, 상기 소스 프로파일 데이터베이스는 복수의 소스 프로파일을 포함하고, 상기 복수의 소스 프로파일들 중의 각각은 액세스 정보를 포함한다. 본 발명의또 다른 특징에 따라서, 상기 소스 데이터는 컴퓨터와 관련되고 컴퓨터로부터 게이트웨이 장치로 전송된 속성을 포함한다. 본 발명의 또 다른 특징에 따라서, 상기 소스 데이터는 각각의 사용자와 관련된 로그 인 정보를 포함한다.
본 발명에 따른 인증, 승인 및 어카운팅 방법 및 시스템은 게이트웨이 장치를 사용하여 컴퓨터 네트워크에의 사용자의 트랜스페어런트한 액세스를 가능하게 한다. 따라서, 각각의 사용자는 네트워크를 거쳐 서비스, 사이트 또는 목적지에 액세스하는 서로 다른 권리를 가질 수 있다. 따라서, 본 발명은 사용자를 인증하고 그 사용자들에게 액세스된 네트워크를 사용할 승인의 다른 정도를 제공하는 동적 AAA 서비스를 제공함으로써 종래의 AAA 방법 및 시스템과는 다르다. 더욱이, 본 발명의 소스 프로파일 데이터베이스는 게이트웨이 장치의 외부에, 액세스를 요청하는 네트워크에 대해 국부적이 아닌 네트워크 상에 위치될 수 있다. 외부 소스 프로파일 데이터베이스는 각각의 게이트웨이 장치가 유한한 수의 사용자를 네트워크에 액세스하도록 허용하기 때문에 바람직하여, 복수의 게이트웨이 장치가 요구될 수 있다. 또한, 인증 데이터의 하나의 병합된 데이터베이스를 관리 및 유지하는 것은 복수의 작은 데이터베이스보다 쉽다. 더욱이, 데이터베이스를 국부적 네트워크의 외부에 위치시키면 ISP 또는 제삼자인 제공자는 데이터베이스 내에 저장된 정보의 신뢰성을 유지하고 제삼자인 제공자가 원하는 방법으로 데이터베이스를 유지 및 제어하게 한다.
본 발명은 이제 본 발명의 바람직한 실시예가 도시된 첨부 도면을 참조하여 이하에서 더욱 상세히 설명될 것이다. 그러나, 본 발명은 많은 다른 형태로 실시될수 있으며, 여기에 기술된 실시예들에 제한되는 것으로 간주되어서는 안 되며, 오히려, 이러한 실시예는 본 명세서가 완전하게 되고 본 기술분야에 익숙한 자에게 본 발명의 범위를 충분히 전달하도록 제공된다. 유사한 도면부호는 여기에서 유사한 요소를 참조한다.
도 1을 참조하면, 컴퓨터 시스템(10)이 블록도로 도시되었다. 컴퓨터 시스템(10)은 컴퓨터(14)와 여러 가지 네트워크(20) 또는 온라인 서비스(22) 사이의 인터페이스를 제공하는 게이트웨이 장치(12)를 거쳐 하나 이상의 온라인 서비스(22) 또는 네트워크와 통신할 수 있는 복수의 컴퓨터(14)를 포함한다. 그러한 게이트웨이 장치의 한 실시예가 미국특허출원 제08/816,174호(여기에서 게이트웨이 장치 출원이라고 지칭됨)에 기술되었는데, 그 내용은 여기에 인용함으로써 본 명세서의 일부를 이룬다. 간략히 말해서, 게이트웨이 장치(12)는 온라인 서비스(22) 또는 네트워크(22)에 대한 컴퓨터(14)의 트랜스페어런트한(transparent) 액세스를 편리하게 하여, 컴퓨터(14)는 그들의 네트워크 구성에 무관하게 장치(12)를 거쳐 임의의 네트워크에 액세스할 수 있다. 또한, 게이트웨이 장치(12)는 본 발명의 동적 AAA 방법 및 시스템에 대해 아래에서 설명되듯이 네트워크(20)에 액세스하고자 하는 컴퓨터, 네트워크에 액세스하고자 하는 컴퓨터의 위치, 네트워크에 액세스하고자 하는 사용자의 신분, 및 추가적 속성을 인식하는 능력을 포함한다.
도 1에 도시되듯이, 컴퓨터 시스템(10)은 또한 복수의 컴퓨터로부터 게이트웨이 장치(12)에 대한 링크 상에 수신된 신호를 다중화하기 위해 컴퓨터(14)와 게이트웨이 장치(12) 사이에 위치된 액세스 콘트롤러(16)를 포함한다. 컴퓨터(14)를 액세스 콘트롤러에 접속시키는 매체에 따라, 액세스 콘트롤러(16)는 여러 가지 다른 방법으로 구성될 수 있다. 예로서, 액세스 콘트롤러는 정규 전화선을 거쳐 전송된 신호를 위한 디지털 가입자선 액세스 다중화기(DSLAM), 동축 케이블을 거쳐 전송된 신호를 위한 케이블 헤드 엔드(케이블 모뎀 종단 셀프(Cable Modem Termination Shelf(CTMS)), 무선 네트워크를 거쳐 전송된 신호를 위한 무선 액세스 포인트(WAP), 스위치 등일 수 있다.
컴퓨터 시스템(10)은 아래에서 상세히 설명되듯이 사용자 액세스를 동적으로 인증하고 승인하는 AAA 서버(30)를 포함하여, 사용자는 게이트웨이 장치(12)를 통해서 네트워크에 액세스하고자 할 때 AAA 프로세스를 거친다. 마지막으로, 도 1에 도시되듯이, 컴퓨터 시스템(10)은 통상적으로 하나 이상의 라우터(18) 및/또는 서버들(도 1에 도시되지 않음)을 포함하여, 복수의 컴퓨터 네트워크(20) 또는 다른 온라인 서비스(22)로 또한 그로부터 통화(traffic)를 제어 또는 방향설정한다. 컴퓨터 시스템(10)이 단일 라우터를 갖는 것으로 도시되었으나. 컴퓨터 시스템(10)은 여러 가지 네트워크(20) 또는 온라인 서비스(20)로 또한 그들로부터 통화를 적절히 라우팅하기 위해 어떤 계층식 방법으로 배열된 복수의 라우터들, 스위치들, 브리지들 등을 가질 수 있다. 이러한 점에서, 게이트웨이 장치(12)는 통상적으로 하나 이상의 라우터들과의 링크를 설정한다. 라우터는 이번에는 사용자의 선택에 기초하여 네트워크(20) 또는 온라인 서비스(22)의 서버들과 링크를 설정한다. 도 1에 도시된 하나 이상의 장치가 조합될 수 있다는 것을 본 기술분야에 익숙한 자는 이해할 것이다. 예로서, 도시되지는 않았으나, 라우터(18)는 게이트웨이 장치(12) 내에 완전히 위치될 수 있다.
게이트웨이 장치(12)를 거쳐 네트워크(20) 또는 온라인 서비스(22)에 액세스하고자 하는 사용자 및 컴퓨터는 이하에서 소스라고 지칭된다. 본 발명의 AAA 방법 및 시스템에 따라서, 게이트웨이 장치(12)를 거쳐서 네트워크에 액세스하고자 하는 소스는 그것과 관련된 속성에 기초하여 인증된다. 이러한 속성들은 특정한 사용자 또는 컴퓨터의 신분, 액세스가 요청된 위치, 요청된 네트워크 또는 목적지 등을 포함할 수 있다. 게이트 장치 출원에서 상세히 설명되었듯이, 이러한 속성들은 액세스를 요청한 컴퓨터들로부터 게이트웨이 장치(12)에 전송된 데이터 패킷에 의해 식별된다. 한 실시예에 따라서, 본 발명의 방법 및 시스템은 이러한 속성들에 기초하여 동적 인증, 승인 및 어카운팅을 제공한다. 일반적으로, 여기에서 사용되었듯이, 인증은 소스의 식별을 지칭하고, 승인은 허용가능한 소스 액세스의 판단을 지칭하고, 어카운팅은 네트워크에 대한 소스의 액세스의 추적을 지칭한다.
이제 본 발명의 시스템 및 방법의 인증 기늘을 참조하면, 네트워크 액세스 및 서비스는 통상적으로 신분 또는 지불에 관련 없이 모든 사용자에게 공개되지 않기 때문에, 네트워크에 액세스하고자 하는 소스를 인증하는 것은 종종 네트워크 관리에 중요하다는 것을 이해할 것이다. 상기와 같이, 소스는 여기에서 소스 컴퓨터라고 지칭되는 네트워크 또는 서비스에 액세스하고자 하는 소스와 관련된 컴퓨터로부터 장치로 전송된 데이터 패킷에 포함된 하나 이상의 속성에 의해 게이트웨이 장치(12)에 의해 식별될 수 있다. 예로서, 소스가 사용자인 경우에, 소스 컴퓨터는 사용자가 네트워크 또는 네트워크 목적지에 액세스하고자 통하는 컴퓨터이다. 한편, 소스가 하나 이상의 사용자가 네트워크에의 액세스를 요청하기 위해 통할 수 있는 컴퓨터인 경우에, 소스 컴퓨터는 액세스를 요청하는 컴퓨터이다.
본 발명의 한 특징에 따라서, 게이트웨이 장치(12)를 거쳐 네트워크에 액세스하고자 하는 소스 컴퓨터는 발명의 명칭이 "게이트웨이 장치에 사용하기 위한 위치에 기초한 식별 및 승인"인 미국 임시 출원 제60/161,093호에 기술되었듯이 소스 컴퓨터에 의해 발생된 데이터 패킷을 거쳐 게이트웨이 장치(12)에 전송된 회로 ID, MAC 주소, 사용자 명칭, ID 및/또는 패스워드, 또는 특정한 위치(예로서, 호텔 룸 내의 통신 포트) 등을 포함하는 하나 이상의 속성에 의해 식별될 수 있다. 이러한 속성들 중의 하나 이상의 속성들은 네트워크를 액세스하는 소스를 식별하기 위해서 본 발명에 사용될 수 있다는 것을 이해해야 한다. 예시적 예로서, 소스들이 유사하지 않은 인증 및 승인권을 가진 여러 다른 사용자들인 경우에, 사용자들은 그들의 각각의 로그 인 정보(예로서, 사용자 명칭 및 패스워드)에 의해 자신들을 식별할수 있어서, 그것들은 동일한 컴퓨터 등 동일한 장비의 사용에도 불구하고 독립적으로 식별될 것이다. 한편, 소스가 컴퓨터인 경우에, 컴퓨터를 사용하는 다양한 사용자들은 각각의 사용자의 개별적 권리에 무관하게 유사한 인증 및 승인권을 가질 것인데, 왜냐하면, 권리가 각각의 사용자와 관련되기보다 오히려 컴퓨터(예로서, MAC 주소에 의해 식별된다)와 관련되기 때문이다.
소스와 관련된 속성을 거친 소스의 인증은 도 1에 도시된 AAA 서버(30)에 의해 수행된다. AAA 서버(30)는 자신에 의해 식별된 소스에 대응되는 소스 프로파일을 저장한다. 본 발명의 한 특징에 따라서, AAA 서버(30)는 게이트웨이 장치(12) 내에 완전히 위치된다. 본 발명의 다른 특징에 따라서, AAA 서버(30)는 복수의 콤포넨트를 포함할 수 있는데, 그 중의 적어도 몇 개는 게이트웨이 장치(12)의 외부에 있거나, 대안으로서, AAA 서버(30)는 게이트웨이 장치(12)의 완전히 외부에 위치될 수 있다. 예로서, AAA 서버(30)의 위치는 게이트웨이 장치(12)가 인터넷 프로토콜을 거쳐 AAA 서버(30)와 통신하도록 될 수 있다. 본 발명의 한 실시예에 따라, AAA 서버(30)는 ISP를 거쳐 네트워크와 통신하도록 승인된 소스를 식별하는 ISP에 의해 보수유지된다. 따라서, AAA 서버(30)는 임의의 인터넷 주소에 위치될 수 있고 인터넷 프로토콜을 거쳐 액세스 가능한 임의의 컴퓨터 상에 저장될 수 있다.
본 발명의 한 특징에 따라서, 시스템을 액세스하는 각각의 소스에 대해 별개의 소스 프로파일이 존재한다. 소스 프로파일은 소스 프로파일 데이터베이스 내에 유지되는데, 그것은 AAA 서버(30)의 내부 콤포넨트, AAA 서버(30)의 외부 콤포넨트 또는 AAA 서버(30)와 통신하는 별개의 콤포넨트일 수 있다. 바람직하게, 소스 프로파일 데이터베이스는 네트워크 상의 관리상의 짐을 경감시키도록 게이트웨이 장치 및 네트워크의 외부에 위치되어, 네트워크는 각각의 네트워크 또는 게이트웨이 장치 상에 별개의 인증 데이터베이스를 구성하고 유지할 필요가 없다. 이것은 또한 각각의 게이트웨이 장치(12)가 유한한 수의 사용자가 네트워크에 액세스하도록 허용하기 때문인데, 그것은 많은 수의 소스들을 수용하기 위해 복수의 게이트웨이 장치를 요구한다. 둘째, 인증 데이터의 하나의 통합된 데이터베이스를 관리하고 유지하는 것은 복수의 작은 데이터베이스보다 쉽다. 마지막으로, 소스 프로파일 데이터베이스를 국부적 네트워크의 외부에 위치시키면 ISP 또는 제삼자로서의 제공자가 데이터베이스 내에 저장된 정보의 신뢰성을 유지하고 제삼자로서의 제공자가 원하는 임의의 방법으로 데이터베이스를 유지 및 제어할 수 있게 한다.
소스 프로파일은 하나 이상의 명칭, 패스워드, 주소, VLAN 택, MAC 주소, 소스를 식별하고, 만약 원한다면 소스에 과금하는 것에 관한 다른 정보를 포함한다. 소스가 게이트웨이 장치(12)를 거쳐 네트워크에 액세스하고자 시도할 때에, AAA 서버(30)는 소스 신분을 판단하기 위해서 소스 프로파일 데이터베이스 내의 저장된 소스 프로파일을 게이트웨이 장치(12)로부터 수신된 속성과 비교함으로써 소스를 인증하고자 시도한다. 예시적 예로서, 사용자가 사용자 ID와 패스워드를 입력함으로써 네트워크에 액세스하고자 하는 경우에, 사용자의 신분을 판단하기 위해서 사용자 ID와 패스워드는 소스 프로파일 데이터베이스에 저장된 모든 ID 및 패스워드와 비교된다. 상기와 같이, 소스 프로파일 데이터베이스는 일반적으로 AAA 서버(30) 또는 게이트웨이 장치(12)에 위치된 프로세싱 수단과 통신하는 데이터베이스 또는 데이터 저장 수단을 포함하는데, AAA 서버(30) 또는 게이트웨이 장치(12)에서 소스 프로파일 데이터베이스 및 프로세서는 종래기술에서 잘 알려졌듯이 서로 관련하여 작용하여 수신된 속성과 저장된 소스 프로파일 정보를 비교한다.
소스 프로파일 데이터베이스는 본 기술분야에 알려진 종래의 퍼스널 컴퓨터, 메인프레임 컴퓨터, 또는 다른 적절한 저장 장치 상에 위치된 프로그램가능한 저장 하드웨어 또는 유사한 수단을 포함할 수 있다. 또한, 수신된 데이터를 데이터베이스 내의 데이터와 비교하는 수단은 데이터를 비교할 수 있는 실행가능한 소프트웨어 프로그램 등 임의의 소프트웨어를 포함할 수 있다. 예로서, AAA 서버(30)는 퍼스널 컴퓨터의 하드 드라이브 상에 소스 프로파일을 저장할 수 있고, 수신된 소스 데이터를 컴퓨터 상에 상주하는 소스 프로파일과 비교하는 수단은 마이크로소프트 엑셀(마이크로소프트 엑셀은 워싱톤, 레드몬드 소재의 마이크로소프트 코포레이션의 상표이다) 등 컴퓨터 소프트웨어를 포함할 수 있다. 본 발명의 다른 실시예에 따라, AAA 서버(30) 또는 소스 프로파일 데이터베이스는 본 기술분야에서 잘 알려진 원격 인증 듀얼-인 사용자 서비스(RADIUS) 또는 경량 디렉토리 액세스 프로토콜(LDAP) 데이터베이스를 포함할 수 있다.
소스가 인증 시에 AAA 서버(30) 내의 소스 프로파일에 대응하지 못하면, 소스는 네트워크에의 액세스가 허용되지 않을 것이다. 이런 일이 발생할 때, 사용자 또는 비-사용자 소스와 관련된 사용자는 소스 프로파일 정보를 AAA 서버(30)에 입력하도록 요청될 수 있어서 AAA 서버(30)는 소스 프로파일을 AAA 서버(30)에, 특히소스 프로파일 데이터베이스에 첨가할 수 있다. 예로서, 이것은 사용자가 처음으로 게이트웨이 장치(12)에 액세스하고자 할 때에 발생할 수 있다. 본 발명의 다른 특징에 따라서, 소스가 식별될 수 없는 경우에, 소스는 소스를 식별하기 위해 추가적 정보를 수집하도록 로그 인 페이지로 향하게 될 수도 있다. 예로서, 정보는 웹 페이지, 팝-업 콘트롤 패널 또는 사용자 인터페이스의 도움을 받아 입력될 수 있는데, 웹 페이지, 팝-업 콘트롤 패널 또는 사용자 인터페이스는 여기에 기술되고 1999년 12월 8일자로 출원되고 발명의 명칭이 "트랜스페어런트 컴퓨터 액세스를 가진 사용자를 방향 지정 능력을 가진 게이트웨이 장치를 사용하여 네트워크로 방향 지정하는 시스템 및 방법"인 미국특허출원 제09/458,569호(이하에서 "방향 지정 출원)와, 1999년 12월 8일자로 출원되고 발명의 명칭이 "트랜스페어런트 컴퓨터 액세스를 가진 사용자를 방향 지정 능력을 가진 게이트웨이 장치를 사용하여 네트워크로 방향 지정하는 시스템 및 방법"인 미국특허출원 제09/458,579호와, 본 발명과 동일자로 출원되고 내용이 여기에 기술되고 본 명세서의 일부를 이루며 발명자가 조엘 쇼트 및 프로렌스 페이간이고 발명의 명칭이 "네트워크 사이트에 액세스하고자 하는 사용자를 방향 지정하는 시스템 및 방법"인 미국특허출원에 기술된 홈페이지 방향 지정 능력에 의해 실시되듯이 소스가 초기에 게이트웨이 장치(12)에 접속할 때 개방될 수 있다.
본 발명의 한 특징에 따라서, AAA 서버(30)는 컴퓨터 사용자에게 트랜스페어런트한 방법으로 게이트웨이 장치와 통신하는 소스를 식별할 수 있다. 즉, 본 발명의 한 특징에 따라서, 사용자는 식별 정보를 입력하고, 소스 컴퓨터를 개구성하거나 다르게는 소스 컴퓨터의 주 네트워크 세팅을 변경하는 것이 요구되지 않는다. 더욱이, 추가적 구성 소프트웨어가 소스 컴퓨터에 추가될 필요가 없다. 패킷이 게이트웨이 장치에 의해 수신된 후에, 데이터 패킷에 의해 식별된 속성은 소스 프로파일 데이터베이스에 포함된 데이터와 비교될 수 있다. 따라서, 네트워크에 액세스하는 컴퓨터의 재구성을 요구하지 않는다는 것에 추가하여, 본 발명의 AAA 서버는 사용자 ID를 입력하는 등 컴퓨터 사용자에 의한 대화 단계를 요구하지 않고 소스를 인증하는 능력을 갖는다. 예로서, AAA 서버(30)는 MAC 주소에 기초하여 소스를 자동적으로 식별할도 수 있어서, 소스의 승인은 쉽게 결정될 수 있다. 따라서, AAA 서버(30)는 수신된 데이터 패킷(데이터 패킷의 헤더 내에 있는 것과 같은 것)과 관련된 속성과 소스 프로파일 데이터베이스로부터 가져온 데이트를 기교함으로써 사용자, 컴퓨터 또는 액세스가 요청되는 위치를 결정할 수 있다. 아래에서 설명되듯이, 소스와 관련된 액세스 권리는 또한 소스 프로파일 데이터베이스에 저장되어 본 발명의 시스템 및 방법은 특정 서비스 또는 목적지에 대한 액세스를 동적으로 승인할 수 있다.
일단 소스가 상기 인증 프로세스를 거쳐서 네트워크 서비스 연결을 설정하고, 소스 컴퓨터와 네트워크 사이의 통신선을 형성하도록 터넬(tunnel)이 개방되면, 게이트웨이 장치(12)는 소스 프로파일 정보 또는 소스에 특정한 데이터를 조립하기 위해서 AAA 서버(30)와 통신한다. 게이트웨이 장치가 조립하는 소스 프로파일 정보는 MAC 주소, 명칭 또는 ID, 회로 ID, 과금 방안 관련 데이터, 서비스 레벨 데이터, 사용자 프로파일 데이터, 원격 사이트 관련 데이터, 및 소스에 관련된 유사한 데이터를 포함할 수 있다. 상기와 같이, AAA 서버(30)는 다음에 상세히 설명되듯이 소스의 승인 권리 및 네트워크의 사용에 관련된 임의의 필요한 정보를 게이트웨이 장치(12)로 전송할 수 있다.
사용자를 인증하는 것에 추가하여, 본 발명의 AAA 서버(30)는 소스 액세스 권리가 판정되는 승인 기능을 제공한다. 본 발명은 소스의 동적 승인을 가능하게 하여, 각각의 소스는 서로 다른 각각의 네트워크 용도 또는 액세스 권리를 가질 수 있다. 인증 후에, AAA 서버(30)는 소스의 속성을 사용자, 컴퓨터, 위치 또는 속성과 관련된 소스의 액세스 권리와 비교한다. 액세스 권리는 소스 프로파일 데이터베이스에 또는 게이트웨이 장치(12)의 내부 또는 외부에 위치된 별개의 가입자 데이터베이스에 저장될 수 있다. 따라서, 별개의 데이터베이스가 사용될 수 있는데, 여기에서 하나의 데이터베이스는 인증을 위한 소스에 관한 식별 정보를 저장하고, 다른 데이터베이스는 인증된 소스의 액세스 권리를 저장한다. 그러나, 속성 또는 속성의 조합에 의해 식별된 모든 소스의 프로파일은 소스 프로파일 데이터베이스에 저장되기 때문에, 액세스 권리에 관한 정보를 소스 프로파일 데이터베이스에 위치시키는 것이 장점을 가질 수 있는데, 소스 프로파일 데이터베이스는 상기와 같이 각각의 인증 소스에 관한 정보를 이미 포함한다.
본 발명의 한 특징에 따라서, 소스 프로파일 데이터베이스는 소스의 액세스 권리를 한정하는 정보를 저장한다. 예로서, 소스 프로파일 데이터베이스는 특정 MAC 주소를 가진 소스가 선-지불(pre-paid) 액세스를 구입하였거나, 주어진 회로 ID가 자유 액세스 또는 무제한 액세스를 갖는다는 것을 나타내는 정보를 포함할 수도 있다. 호텔의 특정한 룸 예로서 수트(suite) 및 펜트하우스 내의 고객은 자유로운 무제한 인터넷 액세스를 수신할 수 있다. 따라서, 액세스 권리는 소스 위치(예로서, 룸) 또는 위치 상태(예로서, 수트)에 따라서 이용가능할 수 있다. 이 경우에, 더 이상의 식별은 요구되지 않는데, 왜냐하면 소스가 액세스를 요청하는 위치가 게이트웨이 장치에게 알려져 있고 소스 프로파일 데이터베이스에 저장되었기 때문이다.
각각의 소스가 어떤 것에 액세스하도록 승인되었는가 하는 것에 관한 정보를 저장하는 것에 추가하여, 소스 프로파일 데이터베이스는 또한 소스의 액세스의 대역폭 또는 소스가 향해야 하는 홈페이지 등 특정한 소스와 관련된 전문화된 액세스 정보를 포함할 수 있다. 예로서, 펜트하우스로부터 네트워크에 액세스하는 사용자는 특정 호텔 룸으로부터 네트워크에 액세스하는 어떤 사람보다 높은 액세스 보우 레이트(baud rate)를 받을 수 있다. 예로서, 사용자가 호텔 룸으로부터 게이트웨이 장치에 트랜스페어렌트하게 액세스하는 경우에, 호텔 네트워크 관리자는 호텔 내의 룸과 관련된 액세스 권리에 기초하여 사용자 액세스 정보를 소스 프로파일 데이터베이스에 입력할 수 있다. 이것은 또한 사용자가 자신의 룸에 체크-인할 때 호텔 재산 관리 시스템 등 게이트웨이 장치 또는 국부적 관리 시스템에 의해 자동적으로 수행될 수 있다. 또한, 사용자는 게이트웨이 장치에 처음 액세스할 때에 소스 프로파일 데이터베이스에 포함될 정보를 설정할 수 있다. 예로서, 새로운 사용자는 시스템에의 액세스를 얻기 위해서 신용 카드 번호, e-지갑 계정 정보, 선-지불 호출 카드 번호 또는 유사한 과금 정보를 입력하도록 지시될 수 있다. 소스 프로파일은또한 소스가 네트워크에 액세스한 시간의 양을 포함하여 소스가 네트워크에 액세스하는 것에 관한 역사적 데이터를 포함할 수 있다. 소스 프로파일 데이터베이스에 포함된 전문화된 액세스 또는 어카운팅 정보는 시스템 관리자에 의해 또는 네트워크에 대한 액세스를 구입하였거나 다르게는 설정한 소스에 의해 설정될 수도 있다.
본 발명의 한 특징에 따라서, AAA 서버(30)의 승인 능력은 소스 컴퓨터로부터 수신된 데이터에 기초하여 게이트웨이 장치(12)에 의해 식별된 목적지 주소 등 소스가 액세스하고자 하는 서비스의 형태에 기초할 수 있다. 목적지는 목적지 포트, 인터넷 주소, TCP 포트, 네트워크 등일 수 있다. 더욱이, AAA 서버(30)의 승인 능력은 전송되는 내용의 형태 또는 프로토콜에 기초할 수 있다. 본 발명의 시스템 및 방법에 따라, 각각의 패킷은 선택적 AAA 프로세스를 통해서 필터링될 수 있어서, 임의의 또는 모든 소스가 각각의 소스와 관련된 액세스 권리에 기초하여 특정한 목적지에 액세스하도록 승인될 수 있다. 따라서, 본 발명에 따라서, 소스가 서로 다른 목적지에 액세스하고자 할 때마다, 소스는 AAA 하에 놓여서, 소스는 AAA 서버(30)가 소스의 승인에 기초하여 소스에 액세스할 수 없다고 생각하는 특정한 사이트로부터의 액세스가 방지될 수 있다. 대안으로서, 본 발명에 따른 AAA 방법은 지불 또는 과금 정보를 수집할 수 있는 과금 수집하는 신용 카드 또는 과금 서버 등 특정 사이트에 어떤 또는 모든 소스가 직접 연결하도록 허용하여, 소스 프로파일은 경신되고 소스는 그 후에 네트워크에 액세스하도록 승인된다. 본 발명의 시스템 및 방법에 따라, 소스의 승인은 또한 특정한 시간 등 객관적인 기준에 기초할 수 있어서, 세션은 특정한 시간이 경과한 후에 특정한 시간에 또는 네트워크 제공자에 의해 결정된 다른 동적 정보에 따라 종료될 수 있다. 더욱이, 승인은 속성의 조합과 관련될 수 있다. 예로서, 사용자는 사용자가 사용자의 식별을 입력하고 특정한 룸으로부터 네트워크에 액세스한 네트워크에 액세스하도록 승인될 수 있다. 그러한 요구 사항은 역시 특정한 룸에 머무는 승인되지 않은 사용자가 네트워크 액세스를 얻는 것을 방지할 수 있다. 따라서, AAA는 발신지, 목적지 및 통화 형태에 기초할 수 있다.
추가적 설명으로서, AAA 서버(30)의 동작의 흐름도는 본 발명의 한 특징에 따라 도 2를 참조하여 설명될 것이다. 동작 시에, 소스 컴퓨터는 네트워크, 목적지, 서비스 등에 대한 액세스를 요청한다(블럭 200). AAA 서버(30)에 전송된 패킷을 수신할 때, AAA 서버(30)는 소스의 신분을 판단하기 위해서 패킷을 조사한다(블럭 210). 패킷을 거쳐서 전송된 속성은 소스 프로파일 데이터베이스에 임시로 저장되어 데이터는 소스의 승인권을 판단하는 데에 사용하기 위해 조사될 수 있다. 패킷에 포함된 속성은 네트워크 정보, 소스 IP 주소, 소스 포트, 링크층 정보, 소스 MAC 주소, VLAN 택, 회로 ID, 목적지 IP 주소, 목적지 포트, 프로토콜 형태, 패킷 형태 등을 포함할 수 있다. 이러한 정보가 식별되고 저장된 후에, 소스로부터 요청된 액세스는 그 소스의 승인에 대해 매칭된다(블럭 230).
소스 프로파일이 일단 소스 프로파일 데이터베이스에 저장된 승인권에 액세스함으로써 판단되면, 3개의 가능한 동작이 결과적으로 발생할 수 있다. 구체적으로 말해서, 일단 소스의 승인권이 검색되면, AAA 서버(30)는 소스가 액세스할 것인지(222), 미결 상태 또는 진행 상태로 할 것인지(224), 또는 액세스 하지 말 것이지(226)를 결정할 수 있다. 우선, 소스 프로파일 데이터베이스가 그렇다고 진술하는 경우에는 소스가 유효하다고 생각된다(즉, 액세스하는 데에). 소스가 유효하다고 판단되면, 소스의 통화는 게이트웨이 장치를 나와서 소스와 관련된 사용자가 액세스하고자 원하는 네트워크 또는 온라인 서비스로 진행하도록 허용될 수 있다(블럭 230). 대안으로서, 소스는 요청된 네트워크에 대한 액세스가 허용되기 전에, 방향 지정 출원에서 기술되었듯이 포털 페이지로 방향 지정될 수 있다. 예로서, 사용자는 사용자가 사용자의 호텔 룸과 관련된 자유 액세스를 갖는 경우에 예로서 인터넷 주소 등 사용자가 입력한 목적지 주소로 자동적으로 착신전환(forward) 된다. 대안으로서, 이것은 사용자가 이미 액세스를 구입하였거나 이용가능한 액세스 시간을 소진하지 않은 경우에 발생할 수 있다. 더욱이, 어카운팅 메시지는 사용자가 게이트웨이 장치를 사용하는 시간의 양을 기록하도록 초기화되어(230), 사용자 또는 위치는 액세스를 위해 과금될 수 있다.
소스가 미결 또는 진행 중(224)이라고 생각되는 제2 시나리오가 발생하면, 소스는 인증되기(240) 위해서 단계들을 위할 수 있어서, 소스 정보는 소스 프로파일 데이터베이스에 기록된다. 예로서, 사용자는 구입 동의를 해야만 할 수도 있는데, 사용자에게 신용 카드 번호를 입력하라고 요구한다. 사용자가 액세스를 구입할 필요가 있거나 시스템이 사용자에 관한 추가적 정보를 필요로 하면, 사용자는 포털 페이지로부터 홈 페이지 방향 지정(HPR) 및 스택 주소 번역(SAT)을 거쳐 새로운 사용자를 입증하기 위해서 설정된 로그 인 페이지 등의 위치로 방향 지정될 수 있다. SAT와 HPR은 사용자를 웹서버(외부 또는 내부)로 방향 지정하기 위해 중재할 수 있는데, 웹서버에서 사용자는 자신을 로그 인하고 식별해야만 한다. 이 프로세스는 방향 지정 출원에서 상세히 설명되었다. 임의의 필요하고 충분한 정보를 입력한 후에, 사용자는 다음에는 목적지 주소에 액세스하도록 허용된다(블럭 230, 250). 제공된 정보가 불충분한 경우에, 사용자는 액세스가 승인되지 않을 것이다(블럭 260). 마지막으로, 제3 시나리오가 발생할 수 있는데, 여기에서 소스는 액세스 권리를 갖지 않는(226) 것으로 생각되어 사용자는 네트워크를 통해서 목적지에 액세스하도록 허용되지 않는다.(260)
이제 본 발명이 시스템 및 방법의 어카운팅 기능을 참조하며, 소스가 네트워크에 액세스하는 것을 승인할 때에, AAA 서버(30)는 소스가 네트워크에 액세스한다는 것을 식별하기 위해 어카운팅 시작을 등록할 수 있다. 유사하게, 소스가 네트워크 세션을 로그 오프하거나 종료할 때에, 어카운팅 정지가 AAA 서버(30)에 의해 등록될 수 있다. 어카운팅 시작 또는 정지는 소스가 원하는 목적지에 액세스하도록 인증 또는 승인될 때에 게이트웨이 장치(12) 또는 AAA 서버(30)에 의해 식별될 수 있다. 더욱이, 어카운팅 시작 또는 정지는 소스 프로파일에 등록될 수 있거나, AAA 서버(30)와는 별개이고 네트워크의 외부에 위치된 데이터베이스에 저장될 수 있다. 통상적으로, 어카운팅 시작 및 정지는 소스가 네트워크에 액세스한 시간의 양을 지시하는 시간 스탬프를 포함한다. 이 데이터를 사용하여, 어카운팅 시작 및 어카운팅 정지 사이의 시간이 기록될 수 있어서 소스의 전체 연결 시간이 계산될 수 있다. 그러한 정보는 한 시간 등 시간의 증가에 의해 요금이 부과되는 경우에 가치가 있다. 본 기술분야에서 잘 알려졌듯이, 과금 패키지는 다음에는 각각의 달 등 설정된 기간에 걸쳐 사용자가 네트워크에 액세스하는 전체 시간을 기록할 수 있어서 소스에 대해 요금이 발생될 수 있다. 네트워크와 ISP는 얼마나 많은 시간이 네트워크에 액세스하는 데에 소비되었는가에 상관 없이 달과 같은 시간의 특정 기간을 위한 설정 율을 부과할 수 있기(즉, 플랫 율 과금(flat rate pricing)) 때문에, 어카운팅 시작 및 정지는 과금 목적을 위해서 요구되지는 않을 수 있다. 그러나, 어카운팅 시작 및 정지는 일반적으로 통계의 목적을 위해서 네트워크 제공자 또는 ISP에 의해 기록될 수 있다.
ISP 또는 유사한 액세스 제공자는 요금, 역사적 보고서 및 다른 관련 정보를 설정하기 위해서 가입자가 ISP를 사용하는 것을 추적할 수 있는 것으로부터 추가적인 이점을 취할 것이다. 바람직하게, AAA 서버(30)는 네트워크 액세스 또는 서비스를 위해서 소스에게, 또는 소스가 지불해야할 임의의 요금을 결정하는 하나 이상의 프로세서와 통신한다. AAA 서버(30)는 실시간 베이스로 또는 특정한 시간 간격이 경과한 후에 역사적 어카운팅 데이터를 검색한다. 바람직하게, AAA 서버(30)는 그러한 데이터를 쉽게 액세스 가능하고 조정가능한 포맷으로 유지하여 액세스 제공자(예로서, ISP)는 임의의 원하는 형태의 역사적 데이터를 나타내는 보고서 발생할 수 있다. 예로서, 액세스 제공자의 미래의 사용을 투영하기 위해서, AAA 서버(30)는 특정한 시간 주기에서 특정한 장소로부터 인터넷에 사용자가 액세스하는 수효를 기록하는 보고서를 발생한다. 더욱이, 액세스 제공자가 추가적 요금을 위한 더욱 빠른 연결(즉, 더욱 높은 보우율)에 대해 과금하는 등 사용자에 대한 대안적 액세스를 제공하는 경우에, 액세스 제공자는 미래의 고객의 수요를 가장 잘충족하기 위해서 AAA 서버(30)를 사용하여 역사적 데이터를 분석하기를 원할 수도 있다. 그러한 데이터는 현재 진행중인 네트워크 세션, 그러한 세션의 지속시간, 현재 사용된 대역폭, 전송된 바이트의 수, 및 임의의 다른 관련 정보에 관련될 수 있다. AAA 서버(30)는 에클립스 인터넷 과금 시스템, 케넌 광대역 인터넷 과금 소프트웨어(루센트 테크놀로지스에의해 제조된) 또는 트루 레이디어스 어카운트 등 잘 알려진 프로그램을 사용하여 실시될 수 있다.
AAA 서버(30)는 액세스가 소스별 베이스로 주문 맞춤될 수 있는 동일한 방법으로 소스의 액세스를 동적으로 어카운트한다. 즉, AAA 서버(30)는 소스의 신분, 소스 위치, 소스가 요청한 목적지 등에 따라 변하는 어카운팅 기록을 유지할 수 있다. 액세스 또는 승인권 같이, 이 정보는 소스 프로파일 데이터베이스 또는 유사한 어카운팅 데이터베이스에 유지될 수 있다. 예로서, AAA 서버(30)은 특정한 소스는 특정한 사이트에 액세스하는 것에 대해서만 요금이 부여된다고 결정할 수 있고, 그러한 특정한 사이트가 액세스될 때에만 어카운팅 사이트를 등록할 것이다. 따라서, AAA 서버(30)는 가입자의 소스 프로파일에 저장된 어카운트 정보를 식별하여 어카운팅 시작, 어카운팅 정지, 과금율 등을 결정할 것이다.
본 발명의 많은 수정 및 다른 실시예들이 상기 설명과 관련 도면에 설명된 교시의 이점을 갖는 본 발명이 속한 분야에 익숙한 자에게 생각될 것이다. 따라서, 본 발명은 설명된 특정 실시예에 제한되지 않으며, 수정 및 다른 실시예는 첨부된 청구범위의 범위 내에 포함되는 것으로 의도되었다는 것을 이해할 것이다. 특정한 용어가 사용되었지만, 그것들은 일반적이고 설명의 목적으로 사용된 것이지 제한하는 목적으로 사용된 것이 아니다.
본 발명에 따른 인증, 승인 및 어카운팅 방법 및 시스템은 게이트웨이 장치를 사용하여 컴퓨터 네트워크에의 사용자의 트랜스페어런트한 액세스를 가능하게 한다. 따라서, 각각의 사용자는 네트워크를 거쳐 서비스, 사이트 또는 목적지에 액세스하는 서로 다른 권리를 가질 수 있다. 따라서, 본 발명은 사용자를 인증하고 그 사용자들에게 액세스된 네트워크를 사용할 승인의 다른 정도를 제공하는 동적 AAA 서비스를 제공함으로써 종래의 AAA 방법 및 시스템과는 다르다. 더욱이, 본 발명의 소스 프로파일 데이터베이스는 게이트웨이 장치의 외부에, 액세스를 요청하는 네트워크에 대해 국부적이 아닌 네트워크 상에 위치될 수 있다. 외부 소스 프로파일 데이터베이스는 각각의 게이트웨이 장치가 유한한 수의 사용자를 네트워크에 액세스하도록 허용하기 때문에 바람직하여, 복수의 게이트웨이 장치가 요구될 수 있다. 또한, 인증 데이터의 하나의 병합된 데이터베이스를 관리 및 유지하는 것은 복수의 작은 데이터베이스보다 쉽다. 더욱이, 데이터베이스를 국부적 네트워크의 외부에 위치시키면 ISP 또는 제삼자인 제공자는 데이터베이스 내에 저장된 정보의 신뢰성을 유지하고 제삼자인 제공자가 원하는 방법으로 데이터베이스를 유지 및 제어하게 한다.

Claims (32)

  1. 네트워크에 대한 소스의 액세스를 선택적으로 제어 및 주문 맞춤하는 방법으로서, 소스는 소스 컴퓨터와 관련되고, 소스 컴퓨터는 게이트웨이 장치를 거쳐 네트워크에 대한 트랜스페어런트 액세스를 가지며 네트워크에 액세스하기 위해서 구성(configuration) 소프트웨어가 소스 컴퓨터에 설치될 필요가 없는 방법에 있어서,
    상기 네트워크에 대한 액세스를 위한 소스 컴퓨터로부터의 요청을 게이트웨이 장치에서 수신하는 단계,
    상기 소스 컴퓨터로부터 전송되고 상기 게이트웨이 장치에 의해 수신된 패킷에 기초하여 상기 소스에 관련된 속성을 식별하는 단계,
    상기 소스에 대응되고 소스 프로파일 데이터베이스에 저장된 소스 프로파일에 액세스하는 단계로서, 상기 소스 프로파일은 상기 속성에 기초하여 액세스되고, 상기 소스 프로파일 데이터베이스는 게이트웨이 장치의 외부에 위치되고 게이트웨이 장치와 통신하는, 액세스하는 단계, 및
    상기 소스 프로파일에 기초하여 소스의 액세스 권리를 판단하는 단계로서, 상기 액세스 권리는 네트워크에 액세스하고자 하는 소스의 권리를 한정하는, 판단하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서, 상기 소스 프로파일에 기초하여 소스의 액세스 권리를 판단하는 단계는 상기 소스 프로파일에 기초하여 소스의 액세스 권리를 판단하는 단계를 포함하고, 상기 액세스 권리는 요청된 네트워크 목적지에 액세스하고자 하는 소스의 권리를 한정하는 방법.
  3. 제1항에 있어서,
    상기 네트워크에 대한 액세스를 위한 요청을 전송하는 위치에 위치 식별자를 할당하는 단계를 더 포함하고, 상기 위치 식별자는 소스와 관련된 속성인 방법.
  4. 제1항에 있어서,
    상기 소스에 대응하는 소스 프로파일에 액세스하는 단계는 소스 프로파일 데이터베이스에 저장된 소스 프로파일에 액세스하는 단계를 포함하고, 상기 소스 프로파일 데이터베이스는 원격 인증 다이얼-인 사용자 서비스(RADIUS)를 포함하는 방법.
  5. 제1항에 있어서,
    상기 소스에 대응하는 소스 프로파일에 액세스하는 단계는 소스 프로파일 데이터베이스에 저장된 소스 프로파일에 액세스하는 단계를 포함하고, 상기 소스 프로파일 데이터베이스는 경량 디렉토리 액세스 프로토콜(LDAP) 데이터베이스를 포함하는 방법.
  6. 제1항에 있어서,
    새로운 소스가 네트워크에 액세스할 때 소스 프로파일 데이터베이스를 경신하는 단계를 더 포함하는 방법.
  7. 제1항에 있어서,
    상기 소스 프로파일 데이터베이스 내에 네트워크에 대한 소스의 액세스의 역사적 기록을 유지하는 단계를 더 포함하는 방법.
  8. 제1항에 있어서,
    상기 소스와 관련된 속성은 네트워크에 대한 액세스를 위한 요청을 전송한 소스 컴퓨터와 관련된 MAC 주소, 사용자 ID, 또는 VLAN ID 중의 하나에 기초하는 방법.
  9. 제1항에 있어서,
    상기 게이트웨이 장치에서 액세스를 위한 소스로부터의 요청을 수신하는 단계는 소스로부터 목적지 주소를 수신하는 단계를 포함하는 방법.
  10. 네트워크에 대한 소스의 액세스를 선택적으로 제어 및 주문 맞춤하는 시스템으로서, 소스는 소스 컴퓨터와 관련되고, 소스 컴퓨터는 게이트웨이 장치를 거쳐네트워크에 대한 트랜스페어런트 액세스를 가지며 네트워크에 액세스하기 위해서 구성 소프트웨어가 소스 컴퓨터에 설치될 필요가 없는 시스템에 있어서,
    상기 네트워크에 대한 액세스를 위한 소스 컴퓨터로부터의 요청을 수신하는 게이트웨이 장치,
    상기 게이트웨이 장치와 통신하며 그 외부에 위치된 소스 프로파일 데이터베이스로서, 상기 소스 프로파일 데이터베이스는 소스와 관련된 속성에 의해 식별가능한 액세스 정보를 저장하며, 상기 속성은 소스 컴퓨터로부터 전송되고 게이트웨이 장치에 의해 수신된 데이터 패킷에 기초하여 식별되는, 소스 프로파일 데이터베이스, 및
    상기 게이트웨이 장치 및 소스 프로파일 데이터베이스와 통신하는 인증, 승인 및 어카운팅(AAA) 서버로서, 상기 AAA 서버는 상기 소스 프로파일 데이터베이스에 저장된 액세스 정보에 기초하여 상기 소스가 네트워크에 액세스할 권리를 가졌는지를 판단하고, 또한 소스의 액세스 권리를 판단하며, 액세스 권리는 소스가 네트워크를 거쳐 목적지 사이트에 액세스할 권리를 한정하는, 인증, 승인 및 어카운팅 서버
    를 포함하는 시스템.
  11. 제10항에 있어서,
    상기 게이트웨이 장치에 의해 수신된 패킷은 VLAN ID, 회로 ID, 및 MAC 주소 중의 적어도 하나를 포함하는 시스템.
  12. 제10항에 있어서,
    상기 소스 프로파일 데이터베이스는 원격 인증 다이얼-인 사용자 서비스(RADIUS)를 포함하는 시스템.
  13. 제10항에 있어서,
    상기 소스 프로파일 데이터베이스는 경량 디렉토리 액세스 프로토콜(LDAP) 데이터베이스를 포함하는 시스템.
  14. 제10항에 있어서,
    상기 소스 프로파일 데이터베이스는 복수의 소스 프로파일을 포함하고, 상기 복수의 소스 프로파일의 각각은 액세스 정보를 포함하는 시스템.
  15. 제14항에 있어서,
    상기 각각의 소스 프로파일은 네트워크 액세스에 대해 지불해야할 요금을 결정하는 데에 사용하기 위해 네트워크 액세스의 지속시간에 관한 역사적 데이터를 포함하는 시스템.
  16. 제10항에 있어서,
    상기 소스 프로파일 데이터베이스는 상기 AAA 서버에 위치된 시스템.
  17. 게이트웨이 장치를 통해서 목적지에 액세스하고자 하는 소스를 방향 지정하는 방법으로서, 상기 소스는 소스 컴퓨터와 관련되고, 상기 게이트웨이 장치는 소스 컴퓨터로 하여금 네트워크를 위해 구성된 네트워크 소프트웨어를 포함하도록 요구하지 않고 소스로 하여금 네트워크와 통신할 수 있게 하는 방법에 있어서,
    상기 소스로부터 네트워크에 액세스하고자 하는 요청을 게이트웨이 장치에서 수신하는 단계,
    상기 소스와 관련된 속성에 기초하여 소스를 식별하는 단계,
    상기 게이트웨이 장치의 외부에 위치되고, 상기 소스의 액세스 권리를 저장하는 소스 프로파일 데이터베이스에 액세스하는 단계, 및
    상기 소스의 식별에 기초하여 소스의 액세스 권리를 판단하는 단계로서, 상기 액세스 권리는 소스가 네트워크를 거쳐 목적지에 액세스하는 권리를 한정하는 방법.
  18. 제17항에 있어서,
    소스 프로파일 데이터베이스에 액세스하는 단계는 원격 인증 다이얼-인 사용자 서비스(RADIUS)를 포함하는 소스 프로파일 데이터베이스를 포함하는 방법.
  19. 제17항에 있어서,
    소스 프로파일 데이터베이스에 액세스하는 단계는 경량 디렉토리 액세TM 프로토콜(LDAP) 데이터베이스를 포함하는 소스 프로파일 데이터베이스를 포함하는 방법.
  20. 제17항에 있어서,
    상기 네트워크에 대한 액세스를 위한 요청을 전송하는 위치에 위치 식별자를 할당하는 단계를 더 포함하고, 상기 위치 식별자는 소스와 관련된 속성인 방법.
  21. 제17항에 있어서,
    새로운 소스가 네트워크에 액세스할 때 소스 프로파일 데이터베이스를 경신하는 단계를 더 포함하는 방법.
  22. 제17항에 있어서,
    상기 소스가 네트워크에 액세스하는 것의 역사적 기록을 어카운팅 데이터베이스 내에 유지하는 단계를 더 포함하고, 상기 어카운팅 데이터베이스는 상기 소스 프로파일 데이터베이스와 통신하는 방법.
  23. 제17항에 있어서,
    상기 게이트웨이 장치에서 액세스를 위한 소스로부터의 요청을 수신하는 단계은 소스로부터 목적지 주소를 수신하는 단계를 포함하는 방법.
  24. 제 19항에 있어서,
    소스 컴퓨터가 목적지 주소에 액세스할 권리가 있는가를 판단하는 단계는 소스 프로파일이 소스 컴퓨터의 액세스가 거부되었다는 것을 나타내는 경우에 소스 컴퓨터의 액세스를 거부하는 단계를 더 포함하는 방법.
  25. 제17항에 있어서,
    소스가 네트워크에 액세스할 권리가 있는가를 판단하는 단계는 소스 프로파일이 소스 프로파일 데이터베이스 내에 위치되지 않은 때에 소스를 로그 인 페이지로 향하게 하는 단계를 더 포함하는 방법.
  26. 컴퓨터와 서비스 제공자 네트워크 사이에 트랜스페어런트한 통신을 가능하게 하는 시스템에 있어서,
    컴퓨터,
    상기 컴퓨터를 컴퓨터 네트워크에 연결하기 위해 상기 컴퓨터와 통신하며, 상기 컴퓨터 네트워크에 액세스하고자 하는 사용자를 나타내는 소스 데이터를 수신하는 네트워크 게이트웨이 장치, 및
    상기 네트워크 게이트웨이 장치와 통신하는 서비스 제공자 네트워크
    를 포함하고,
    상기 서비스 제공자 네트워크는 네트워크 게이트웨이 장치의 외부에 위치되고, 상기 네트워크 게이트웨이 장치와 통신하며, 컴퓨터 네트워크에 액세스하도록승인된 사용자를 나타내는 소스 프로파일을 포함하는 소스 프로파일 데이터베이스를 내부에 가진 인증 서버를 포함하며,
    상기 인증 서버는 소스 데이터를 소스 프로파일과 비교하여 컴퓨터 네트워크에 액세스하고자 하는 사용자가 컴퓨터 네트워크에 액세스할 수 있는지를 판단하는 시스템.
  27. 제26항에 있어서,
    상기 서비스 제공자 네트워크의 사용에 관한 역사적 데이터를 유지하는 어카운팅 시스템을 더 포함하는 시스템.
  28. 제26항에 있어서,
    상기 인증 서버는 원격 인증 다이얼-인 사용자 서비스(RADIUS)를 포함하는 시스템.
  29. 제26항에 있어서,
    상기 인증 서버는 경량 디렉토리 액세스 프로토콜(LDAP) 데이터베이스를 포함하는 시스템.
  30. 제26항에 있어서,
    상기 소스 프로파일 데이터베이스는 복수의 소스 프로파일을 포함하고, 상기복수의 소스 프로파일들 중의 각각은 액세스 정보를 포함하는 시스템.
  31. 제26항에 있어서,
    상기 소스 데이터는 컴퓨터와 관련되고 컴퓨터로부터 게이트웨이 장치로 전송된 속성을 포함하는 시스템.
  32. 제26항에 있어서,
    상기 소스 데이터는 각각의 사용자와 관련된 로그 인 정보를 포함하는 시스템.
KR1020027005174A 1999-10-22 2000-10-20 동적 네트워크 승인, 인증 및 과금을 제공하는 시스템 및 방법 KR100687837B1 (ko)

Applications Claiming Priority (18)

Application Number Priority Date Filing Date Title
US16089099P 1999-10-22 1999-10-22
US16113999P 1999-10-22 1999-10-22
US16109399P 1999-10-22 1999-10-22
US16118199P 1999-10-22 1999-10-22
US16118299P 1999-10-22 1999-10-22
US16097399P 1999-10-22 1999-10-22
US16118999P 1999-10-22 1999-10-22
US60/161,093 1999-10-22
US60/160,973 1999-10-22
US60/161,182 1999-10-22
US60/161,189 1999-10-22
US60/161,181 1999-10-22
US60/160,890 1999-10-22
US60/161,139 1999-10-22
US09/458,569 US6636894B1 (en) 1998-12-08 1999-12-08 Systems and methods for redirecting users having transparent computer access to a network using a gateway device having redirection capability
US09/458,569 1999-12-08
US09/458,602 US8713641B1 (en) 1998-12-08 1999-12-08 Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US09/458,602 1999-12-08

Publications (2)

Publication Number Publication Date
KR20020059640A true KR20020059640A (ko) 2002-07-13
KR100687837B1 KR100687837B1 (ko) 2007-02-27

Family

ID=69407358

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020027005174A KR100687837B1 (ko) 1999-10-22 2000-10-20 동적 네트워크 승인, 인증 및 과금을 제공하는 시스템 및 방법
KR1020027005164A KR100734965B1 (ko) 1999-10-22 2000-10-20 네트워크 사이트에 액세스하는 사용자 시도를 재지정하는 시스템 및 방법

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020027005164A KR100734965B1 (ko) 1999-10-22 2000-10-20 네트워크 사이트에 액세스하는 사용자 시도를 재지정하는 시스템 및 방법

Country Status (1)

Country Link
KR (2) KR100687837B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100814533B1 (ko) * 2006-02-13 2008-03-17 에스케이 텔레콤주식회사 엘디에이피 기반의 커넥션 유지 서비스 시스템 및 방법
KR101224594B1 (ko) * 2005-04-28 2013-01-22 삼성전자주식회사 브리지 랜에서의 보장 서비스 방법 및 장치
US8532694B2 (en) 2008-12-30 2013-09-10 Qualcomm Incorporated Interface authorization scheme

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG192289A1 (en) 2012-01-06 2013-08-30 Smart Communications Inc System, method and computer program arranged to facilitate a transaction

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6195691B1 (en) 1996-09-17 2001-02-27 National Systems Corporation Method and apparatus for creating and using dynamic universal resource locators
EP0889418A3 (en) 1997-06-30 1999-08-18 Sun Microsystems, Inc. Abstract URL resolution via relocation service

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101224594B1 (ko) * 2005-04-28 2013-01-22 삼성전자주식회사 브리지 랜에서의 보장 서비스 방법 및 장치
KR100814533B1 (ko) * 2006-02-13 2008-03-17 에스케이 텔레콤주식회사 엘디에이피 기반의 커넥션 유지 서비스 시스템 및 방법
US8532694B2 (en) 2008-12-30 2013-09-10 Qualcomm Incorporated Interface authorization scheme
KR101308559B1 (ko) * 2008-12-30 2013-09-16 퀄컴 인코포레이티드 인터페이스 인가 방식
US8543156B2 (en) 2008-12-30 2013-09-24 Qualcomm Incorporated Interface authorization scheme

Also Published As

Publication number Publication date
KR100687837B1 (ko) 2007-02-27
KR100734965B1 (ko) 2007-07-03
KR20020075365A (ko) 2002-10-04

Similar Documents

Publication Publication Date Title
JP5084086B2 (ja) 動的なネットワークの認可、認証、及びアカウントを提供するシステムおよび方法
US7194554B1 (en) Systems and methods for providing dynamic network authorization authentication and accounting
US8589568B2 (en) Method and system for secure handling of electronic business transactions on the internet
US8613053B2 (en) System and method for authorizing a portable communication device
US6615263B2 (en) Two-tier authentication system where clients first authenticate with independent service providers and then automatically exchange messages with a client controller to gain network access
US6779118B1 (en) User specific automatic data redirection system
US10116628B2 (en) Server-paid internet access service
US20050039050A1 (en) Method and a system for authenticating a user at a network access while the user is making a connection to the Internet
WO2002035797A9 (en) Systems and methods for providing dynamic network authorization, authentication and accounting
EP1188138A1 (en) A communications network access method and system
ES2364736T3 (es) Sistema y método para proporcionar una autorización, autenticación y contabilidad de red dinámicas.
KR100687837B1 (ko) 동적 네트워크 승인, 인증 및 과금을 제공하는 시스템 및 방법
WO2004014045A1 (en) Service class dependant asignment of ip addresses for cotrolling access to an d delivery of e-sevices
CA2725720C (en) Systems and methods for providing dynamic network authorization, authentication and accounting
AU768416B2 (en) A communications network access method and system
KR20040002042A (ko) 통합인증 및 방화벽 기능을 이용한 회수대행 서비스 및세션제어 방법
KR20050055852A (ko) 서브 id를 이용한 서비스 제어 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130201

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140205

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150120

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160119

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170119

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180118

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190116

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20200115

Year of fee payment: 14