KR20190091443A - 네트워크 통신의 개선 및 네트워크 통신과 관련된 개선 - Google Patents

네트워크 통신의 개선 및 네트워크 통신과 관련된 개선 Download PDF

Info

Publication number
KR20190091443A
KR20190091443A KR1020197014025A KR20197014025A KR20190091443A KR 20190091443 A KR20190091443 A KR 20190091443A KR 1020197014025 A KR1020197014025 A KR 1020197014025A KR 20197014025 A KR20197014025 A KR 20197014025A KR 20190091443 A KR20190091443 A KR 20190091443A
Authority
KR
South Korea
Prior art keywords
communication
data item
authentication
authentication server
client
Prior art date
Application number
KR1020197014025A
Other languages
English (en)
Inventor
크리스토퍼 알란 스펜서
Original Assignee
글로벌 리치 테크놀로지, 인크.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 글로벌 리치 테크놀로지, 인크. filed Critical 글로벌 리치 테크놀로지, 인크.
Publication of KR20190091443A publication Critical patent/KR20190091443A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Power Engineering (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

사용자 기기의 네트워크 로밍 중에 인증 서버들 간에 시간-제한된 신뢰(trust)를 설정/활성화하기 위해 시간-제한된 신뢰 관계 메시지를 저장하기 위한 분산 데이터 저장소(예를 들어, 메모리 캐시)와 결합된 인증 서버들(예를 들어, RADIUS 서버)을 제공한다. 이는 동기식 인증 메시징 시퀀스들의 기존 방법에 대한 필요성을 없애고, 보다 시간 효율적인 비동기 방식의 인증 메시징 시퀀스들의 전송을 가능하게 한다.

Description

네트워크 통신의 개선 및 네트워크 통신과 관련된 개선
본 발명은 데이터 로밍 동안 상이한 네트워크를 통한 통신을 위한 네트워크 통신 방법 및 장치에 관한 것이다.
일반적으로 통신 네트워크는 사용자가 네트워크 액세스 포인트 또는 게이트웨이를 통해 액세스할 수 있도록 허용한다. 공중 네트워크(예를 들어, 인터넷)와 같은 많은 네트워크에서, 사용자는 특정 네트워크 서비스/웹 사이트 등에 액세스하는 것이 허용되기 전에 액세스 크리덴셜을 네트워크 액세스 포인트에 제공해야할 수 있다. 이러한 크리덴셜이 액세스 포인트에 연결된(또는 액세스 포인트 내에 제공된) 인증 서버/소프트웨어에 의해 검증된 후에만 사용자에게 네트워크 액세스 권한이 부여된다. "종속 포털(captive portal)" 기술은 네트워크 액세스 제어를 위한 인증 프로세스를 구현하는 일반적인 메커니즘이다.
종속 포털을 사용하는 네트워크 액세스 요청은 일반적으로 다음과 같이, 그리고 도 1a, 도 1b 및 도 1c에 개략적으로 도시된 바와 같이 진행한다. 클라이언트/사용자는 웹 브라우저를 활성화하여 원하는 네트워크 서비스(예를 들어, http://webpage.com/)에 대한 액세스 권한을 얻는다. 이들은 크리덴셜(예를 들어, 패스워드, 사용자 이름 등)이 요구되는 종속 포털(도 1a)로 연결된다. 입력된 크리덴셜은 네트워크 액세스 포인트(AP) 또는 게이트웨이에 포워딩되어 확인/검사된다(도 1b). 종속 포털에 대한 액세스를 제외한 모든 액세스는 사용자의 크리덴셜이 검증될 때까지/검증되지 않는 한 차단된다. 크리덴셜이 예를 들어 RADIUS 프로토콜을 사용하여 AP에 의해 검증된 후, 사용자의 컴퓨터는 요청된 대로 네트워크에 대한 액세스를 가능하게 하는 DHCP(Dynamic Host Configuration Protocol) 대여(lease)를 수신한다(도 1c). 그러면, 사용자는 원하는 대로 네트워크(예를 들어, 인터넷)에 액세스할 수 있다. 종속 포털은 클라이언트 기기의 MAC 또는 IP 주소를 해당 기기에 대한 고유 식별자로 사용한다.
RADIUS 프로토콜
RADIUS(Remote Authentication Dial In User Service) 프로토콜은 인증, 인가 및 계정관리(authentication, authorization, and accounting; AAA)를 위한 산업 표준 프로토콜이다. RADIUS는 종종 802.1X 인증을 위한 백엔드(backend)이다. 단말 서버 또는 네트워크 액세스 서버(Network Access Server; NAS)는 RADIUS 프로토콜을 사용하여 AAA 요청을 고객 정보의 데이터베이스에 전달하고, 고객 정보 데이터베이스의 결과를 반환한다. RADIUS 프로토콜은 RFC 2058 및 RFC 2058을 폐기한(obsoleted) 그리고/또는 RFC 3579, RFC 2866 및 RFC 3580 중 하나 또는 조합과 같은 RADIUS 프로토콜(또는 그것의 양상)을 정의하는 연속적인 RFC 문서들에 의해 폐기된 후속 RFC 문서들 중 하나 이상의 문서와 같은 IETF(Internet Engineering Task Force) "RFC" 문서들에서 정의될 수 있거나, 또는 예를 들어 RFC 6614에서 사용될 수 있다.
RADIUS 서버는 RADIUS 프로토콜을 사용하여 AAA 서비스를 제공한다. RADIUS 서버는 고객이 단말 서버 또는 네트워크 액세스 서버(NAS)를 사용할 때 필요한 AAA 서비스를 수행한다. RADIUS 서버는 다음 작업을 수행한다 :
- 인증(authentication) : 사용자 이름 및 패스워드를 확인하여 고객 아이덴티티(customer identity)를 검증
- 인가(authorization) : 요청된 서비스에 액세스하기 위한 고객 권한 검증
- 계정관리(accounting) : 고객 로그인 및 로그아웃 추적 및 세션 기간
"계정관리(accounting)"라는 용어는 고객의 사용을 추적하는 것을 의미한다.
일반적인 인증 도구는 소위 "종속 포털(captive portal)"을 사용하는 것이다. 종속 포털은 표준 웹 브라우저를 사용하여, 사용자가 해당 서비스에 대한 액세스 권한이 부여되기 전에 네트워크 서비스에 로그인 세부 정보/크리덴셜을 제공할 수 있는 기회를 제공한다. 이러한 방식으로 웹 브라우저를 사용하면, 많은 개인용 컴퓨터 운영 체제(랩톱, PC등)가 종속 포털을 지원할 수 있으며, 맞춤식 소프트웨어(bespoke software)가 필요하지 않다.
RADIUS 서버가 인증 목적으로 사용될 때, 네트워크 액세스 포인트에 대한 다음의 두 가지 응답 중 하나를 반환할 수 있다 : "액세스 거부(Access Reject)" 응답; 또는 "액세스 승인(Access Accept)" 응답. 사용자가 허용 가능한 크리덴셜을 제공하지 못한 경우 요청된 네트워크 자원들에 대한 액세스를 거부하는 "액세스 거부" 응답이 발생한다. "액세스 승인" 응답은 사용자에게 액세스 권한이 부여될 때 발생한다.
RADIUS는 RADIUS 메시지를 다른 RADIUS 서버들로 프록시할 수 있는(즉, 프록시 서버를 통해 전송할 수 있는) 기능이 있다. 이것은 제1 네트워크(네트워크 A)의 사용자가 제2 네트워크(네트워크 B)의 RADIUS 서버상에서 인증함으로써 제2 네트워크(네트워크 B)에 액세스할 수 있음을 의미한다. 즉, 제1 네트워크에서의 RADIUS 인증 요청은 RADIUS를 사용하는 다른 네트워크로 프록시되어, 사용자가 다른 네트워크에 액세스할 수 있게 한다.
제1 네트워크(네트워크 A)의 RADIUS 서버가 제1 네트워크에 접속된 제2 네트워크(네트워크 B)에 대한 액세스를 원하는 사용자로부터 액세스/인증 요청을 수신할 때, 해당 요청은 로컬에서(네트워크 A에서) 사용자의 크리덴셜을 검증하는 대신 제2 네트워크(네트워크 B)의 RADIUS 서버로 포워딩(프록시)될 수 있다. 그 다음, 제2 네트워크(네트워크 B)의 RADIUS 서버는 사용자의 크리덴셜을 검증한 다음, 사용자의 액세스 요청과 관련된 "액세스 승인" 메시지를 제1 네트워크의 RADIUS 서버로 되돌려 보낼 수 있으며, 이로써 제1 네트워크를 통한 제2 네트워크에 대한 액세스를 허용할 수 있다. 이는 "연합 액세스(federated access)"로 알려져 있다.
RADIUS 프록시는 RADIUS 클라이언트(및 RADIUS 프록시)와 RADIUS 서버(또는 RADIUS 프록시) 간에 RADIUS 연결 요청 및 계정관리 메시지를 포워딩하거나 라우팅하도록 구성된 기기이다. RADIUS 프록시는 사용자 이름(User-Name) 또는 호출국-ID(Called-Station-ID) RADIUS 속성들과 같은 RADIUS 메시지 내의 정보를 사용하여, RADIUS 메시지를 적절한 RADIUS 서버로 라우팅한다. 인증, 인가, 계정관리가 서로 다른 네트워크, 위치 또는 조직(organization) 내 여러 RADIUS 서버들에서 수행되어야할 때, RADIUS 프록시는 RADIUS 메시지들을 위한 포워딩 포인트로서 사용될 수 있다. RADIUS는, 예를 들어 여러 공용 네트워크상에서 사용될 수 있는 크리덴셜들의 단일 글로벌 세트를 제공하는 회사들에 의해서, 인터넷 서비스 공급자들(internet service provider; ISP) 간의 로밍을 용이하게 하는데 주로 사용된다.
도 2는 인터넷 연결을 통해 액세스할 수 있는 원격 RADIUS 서버를 사용하여 AAA 서비스들을 제공하기 위해, 종속 포털과 관련된 RADIUS 프록시 서버의 사용을 개략적으로 도시한다. 종속 포털은 무선 네트워크 액세스 포인트(AP)를 통해 인터넷 서비스에 대한 액세스를 요청하는 UE에 응답하여, 네트워크 액세스 서버(NAS)로부터 사용자 장비(UE)에 제공된다. 이러한 배치는 UE가 상이한 위치들로 로밍하기 때문에 직면하는 상이한 네트워크 내에서의 상이한 AP들을 통한 인터넷 서비스들에 대한 액세스를 허용하기 위해 UE에 의한 네트워크 로밍을 허용한다.
전통적으로, RADIUS 서버 내의 크리덴셜 기록에 대하여 이루어지는 UE를 인증하는 프로세스 동안 송수신되는 일련의 메시지는 UE가 등록된 RADIUS 서버에 도달하기 위해 하나 이상의 네트워크(공중 네트워크 또는 전용 네트워크)를 통과해야한다. UE의 물리적 위치와 인증하는(예를 들어, 무선 네트워크 캐리어의 AAA를 제공하는) RADIUS 서버의 물리적 위치 사이에 큰 지리적 거리가 있는 경우 문제가 발생한다. 도 3은 이러한 인증 요청에 대한 전형적인 네트워크 메시징 흐름을 개략적으로 도시한다. "로컬 RADIUS" 서버와 "캐리어 AAA"(즉, 원격 RADIUS 서버) 사이에 위치한, 도 1에서 "(1)"로 표시된 수직 파선은 전형적인 로밍 RADIUS 네트워크에서 메시지 지연이 발생하는 위치를 나타낸다. 이러한 지연은 사용자 경험에 부정적인 영향을 미친다.
예를 들어, 원격 RADIUS 서버가 로컬 RADIUS 서버에 대해 지구 반대편에 있는 경우, 평균 단-방향 데이터 패킷 트립 시간이 약 500 ms가 걸리면, 누적 RADIUS 메시징 시간은 최대 약 3초에 도달할 수 있다. 이는 UE가 원격 네트워크 서비스에 대한 재-연결을 요구하는 새로운 네트워크로 로밍할 때, UE가 RADIUS 서버에 의해 서빙되는 원하는 네트워크 서비스들에 대한 액세스를 인증 및 획득(예를 들어, 재획득)하는 것이 허용되기 전에 일반적으로 6 개의 동기 RADIUS 인증 메시지들(액세스 요청; 액세스 거부; 액세스 요청; 액세스 승인; 계정관리 시작; 계정관리 응답)이 교환(송수신)되어야하기 때문이다.
실제로, 보안 네트워크 인증이 사용될 때, 예를 들어 EAP(Extensible Authentication Protocol)이 사용되거나 확장된 인증 프로토콜-터널링된 전송 계층 보안(Extensible Authentication Protocol - Tunneled Transport Layer Security Authenticated Protocol; EAP-TTLS)과 같이 암호화되고 인증된 전송 계층 보안(Transport Layer Security; TLS) 터널 내에 EAP를 캡슐화하는 프로토콜이 사용될 때, 이러한 프로토콜들은 UE가 액세스 포인트를 통해 로밍할 때 인증 요청을 요구하므로, 사용자 경험에 대한 피해가 매우 현저하다.
도 3을 참조하면, 기존의 방법에 따른 네트워크 액세스 메시징 시퀀스의 개략적인 표현이 도시되어 있다. 도 3의 메시징 시퀀스는 클라이언트 기기와 네트워크의 RADIUS 서버 간에 구현될 수 있다. 초기에, 단계 S1에서, 클라이언트 기기(UE)는 로컬 네트워크의 네트워크 액세스 포인트/게이트웨이에 "개방 연관(Open Association)" 메시지를 발송한다. 액세스 포인트는 제2 네트워크의 로컬 RADIUS 서버(B)에 "액세스 요청(Access Request)" 메시지를 전송함으로써 이에 응답하며, 상기 제2 네트워크의 로컬 RADIUS 서버(B)는 인증이 필요하다는 것을 의미하는 "액세스 거부(Access Reject)" 메시지를 반환함으로써 응답한다.
단계 S3 내지 S6에서, 클라이언트 기기(UE)는 도 1a 내지 도 1c를 참조하여 전술한 것과 같은 공지된 기술들에 따라 로컬 DHCP 서버, 네트워크 액세스 포인트 및 로컬 종속 포털과 함께 잘-알려진 DHCP 및 HTTP 메시징 시퀀스를 수행한다. 이들은 단계 S3에서 다음의 DHCP 시퀀스를 포함한다 : UE와 로컬 DHCP 서버 간의 "디스커버리(Discovery)", "제공(Offer)", "요청(Request)", "확인응답(Acknowledgement; ACK)" 메시지들. 단계 S4에서, UE는 로컬 네트워크 액세스 포인트에 메시지를 보내며, 로컬 네트워크 액세스 포인트는 단계 S5에서 UE를 종속 포털로 재지향함으로써 응답한다. 단계 S7에서, 로컬 네트워크의 액세스 포인트는 클라이언트 기기(UE)로부터 인증 요청을 수신하며, 그리고 이에 응답하여, 단계 S8에서, 로컬 네트워크의 RADIUS 서버를 통해 캐리어 네트워크(캐리어 AAA)의 RADIUS 서버로부터 로컬 네트워크의 액세스 포인트로 "액세스 승인" 메시지가 발행된다.
캐리어 네트워크의 RADIUS 서버와 액세스 포인트 간의 액세스 승인 메시징 시퀀스는 액세스 시퀀스와 거의 동일한 방식으로 단계 S9에서의 계정관리 시작(Accounting Start) 및 단계 S10에서의 계정관리 응답(Accounting Response)을 포함하는 메시징 시퀀스를 수반하는, 단계 S9 및 단계 S10을 포함한다. 그러나, 로컬 네트워크의 로컬 RADIUS 서버와 원격 네트워크의 업스트림 캐리어 RADIUS 서버(AAA) 간의 대기 시간(latency)은 로컬 RADIUS 서버와 업스트림 캐리어 RADIUS 서버 간의 단계 S12에서의 메시징 시퀀스가 동기적으로(synchronously) 수행되어야한다(즉, 다른 하나가 완전히 완료된 후에만 하나가 수행되어야 한다)는 사실에서 기인한다. 이것은 인증 요청을 보류시킨다(holding-up).
본 발명은 상술한 문제들을 해결한다.
가장 일반적으로, 본 발명은 사용자 기기의 네트워크 로밍 중에 인증 서버들 간에 시간-제한된 신뢰(trust)를 설정/활성화하기 위해 시간-제한된 신뢰 관계 메시지를 저장하기 위한 분산 데이터 저장소(예를 들어, 메모리 캐시)와 결합된 인증 서버들(예를 들어, RADIUS 서버)을 제공한다는 개념이다. 이는 동기식 인증 메시징 시퀀스들의 기존 방법에 대한 필요성을 없애고, 보다 시간 효율적인 비동기 방식의 인증 메시징 시퀀스들의 전송을 가능하게 한다.
제1 양상에서, 본 발명은 다수의 통신 네트워크 액세스 포인트들 사이에서 통신 네트워크 내의 클라이언트 기기를 인증하는 방법을 제공하며, 상기 방법은 : 제1 통신 네트워크 내의 제1 인증 서버 장치 및 다수의 개별 추가 통신 네트워크들 각각에의 추가 인증 서버 장치를 제공하는 단계; 상기 제1 인증 서버 장치에 의해, 상기 클라이언트 기기를 식별하는 클라이언트 아이덴티티 데이터 항목 및 상기 클라이언트 아이덴티티 데이터 항목과 연관된 만료 시간을 식별하는 만료 데이터 항목을 제1 데이터 저장소에 저장하는 단계 및 상기 클라이언트 아이덴티티 데이터 항목 및 상기 만료 데이터 항목을 상기 추가 통신 네트워크 각각의 상기 추가 인증 서버 장치에 전송하는 단계; 각각의 추가 인증 서버 장치에 의해, 상기 수신된 클라이언트 아이덴티티 데이터 항목 및 만료 데이터 항목을 추가 데이터 저장소에 저장하는 단계 및 상기 만료 데이터 항목에 의해 정의된 기간의 만료시에 상기 추가 데이터 저장소로부터 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제하는 단계; 및 임의의 주어진 상기 추가 인증 서버 장치에 의해, 상기 클라이언트 기기로부터 상기 제1 통신 네트워크에 대한 액세스를 위한 요청을 수신하는 단계 및 상기 클라이언트 아이덴티티 데이터 항목이 상기 추가 데이터 저장소에 저장되어 있다면, 상기 클라이언트 기기와의 인증 통신에 대해 비동기적으로 상기 제1 인증 서버 장치와 인증 통신을 수행함으로써 상기 클라이언트 기기를 인증하는 단계를 포함한다.
이러한 방식으로, 클라이언트 기기가 추가 네트워크들 중 하나에서 액세스 포인트를 사용할 때, 상기 제1 네트워크에서 서버에 의해 제공되는 서비스에 액세스하기 위해, 상기 클라이언트 기기는 제1 네크워크상에서/로부터 액세스하도록 허가된 서비스들을 계속 요구하면서 상기 추가 네트워크들 중 다른 네트워크에 로밍할 수 있다. 이러한 액세스는 상기 추가 네트워크들 중 이전 네트워크를 통해 이전에 획득되었고, 그 다음 상기 추가 네트워크들 중 새로운/다른 네트워크를 통해 획득될 수 있다. 네트워크 액세스 요청은 제1 통신 네트워크에 대한 액세스를 위해 클라이언트 기기로부터 상기 추가 네트워크들 중 다른 네트워크의 인증 서버에 발행될 수 있다. 상기 추가 네트워크들 중 상기 다른 네트워크의 인증 서버가 이 액세스 요청을 수신할 때, 상기 클라이언트 아이덴티티 데이터 항목의 존재 여부를 확인하여 클라이언트 아이덴티티 데이터 항목이 그것의 데이터 저장소에 저장되어 있는지 알 수 있다. 상기 클라이언트 아이덴티티 데이터 항목이 저장되어 있다면, 상기 추가 네트워크들 중 상기 다른 네트워크의 인증 서버는 상기 제1 네트워크에 대한 액세스를 자동으로 허가할 수 있다.
상기 클라이언트 기기를 인증하기 위해, 상기 다른 추가 네트워크의 인증 서버는 상기 클라이언트 기기와의 인증 통신에 대해 비동기적으로 상기 제1 네트워크의 인증 서버와 인증 통신을 수행할 수 있다. 상기 제1 네트워크의 인증 서버와의 인증 통신은 예를 들어 액세스 요청 통신/액세스 승인 통신을 송수신하는 것 그리고/또는 계정관리(accounting) 시작 통신/계정관리 응답 통신을 송수신하는 것을 포함할 수 있다. 이러한 통신들은 클라이언트 기기와의 병렬 인증 통신에 대해 비동기적으로 수행될 수 있으며, 이는 상기 다른 추가 네트워크의 인증 서버에서/로부터, 액세스 요청 통신/액세스 승인 통신/계정관리 시작 통신/계정관리 응답 통신을 송수신하는 것을 포함할 수 있다.
상기 다른 추가 네트워크의 인증 서버와 상기 제1 네트워크의 인증 서버 간의 이러한 시퀀스의 인증 통신이 상기 다른 추가 네트워크의 인증 서버와 상기 사용자 기기 간의 인증 통신과 비동기적이기 때문에, 이것은 사용자 기기가 제1 네트워크의 인증 서버의 조정(coordination)을 필요로 하지 않으면서 인증 메시지들을 발송/수신할 수 있음을 의미한다. 이것은 이러한 인증 메시지들이 엄격한 동기 연속(strict synchronous succession)으로 발생할 필요가 없으므로, 보다 신속하게 연속적으로 송수신될 수 있다는 것을 의미한다. 발송기 장치(예를 들어, 사용자 기기, 또는 인증 서버)는 일련의 인증 메시지들 중 하나를 발송하기 전에 최종 수신기 기기(예를 들어, 인증 서버, 또는 사용자 기기)와 조정할 필요가 없다. 인증 프로토콜을 구현할 때 종래의 인증 메시징 시퀀스들에서 사용된 바와 같은 동기식 메시징은 이러한 조정을 필요로 하며, 이로 인해 인증 메시지 시퀀스를 완료하는데 지연이 발생한다.
상기 인증 서버(들)는 서버급(server-class) 컴퓨터(들)을 포함할 수 있거나, 또는 소프트웨어를 실행하도록 프로그래밍된 컴퓨터상에서 실행될 때 인증 서버의 기능들을 구현하도록 구성된 소프트웨어를 포함할 수 있다. 데이터 저장소(들)는 컴퓨터(들) 및 디지털 메모리 기기(들), 그리고 컴퓨터(들) 상에 배치되거나 또는 그러한 컴퓨터(들) 상에서 구현/실행되도록 배열된 소프트웨어를 포함할 수 있으며, 디지털 메모리 내의 컨텐츠들 및 엔트리들을 관리하여, 그러한 컨텐츠들을 원하는 대로 저장/판독/검색/삭제할 수 있다. 데이터 저장소는 캐시일 수 있다. 상기 데이터 저장소는 "메모리 캐시"일 수 있다. 예를 들어, 데이터 저장소의 소프트웨어가 실행중일 때, 시스템 메모리 또는 RAM에 데이터를 캐시하도록 구성될 수 있다. 예를 들어, 소프트웨어는 클라이언트 아이덴티티 데이터 항목들 및 만료 데이터 항목들에 대한 엔트리들을 RAM에 캐시/저장하도록 구성될 수 있다. RAM이 하드 드라이브보다 훨씬 빠르게 액세스될 수 있기 때문에, 파일들을 가져오고 검색할 때 대기 시간(latency)이 감소된다. 인증 서버는 이러한 목적을 위해 개별 데이터 저장소를 포함할 수 있거나 또는 이들과의 통신을 제어할 수 있다.
상기 방법은 상기 주어진 추가 인증 서버 장치에 의해, 상기 사용자 기기로부터 패스워드를 수신하는 단계를 포함할 수 있으며, 상기 클라이언트 아이덴티티 데이터 항목이 상기 추가 데이터 저장소에 저장된 상태로 남아있으면, 상기 클라이언트 기기를 인증하는 단계는 상기 패스워드의 검증을 조건으로 하지 않으며; 그리고 상기 클라이언트 아이덴티티 데이터 항목이 상기 추가 데이터 저장소에 저장된 상태로 남아있지 않다면, 상기 클라이언트 기기를 인증하는 단계는 상기 패스워드의 검증을 조건으로 할 수 있다.
상기 클라이언트 기기를 인증하는 단계는 RADIUS(Remote Authentication Dial In User Service) 프로토콜에 따라 인증 통신을 수행하는 단계를 포함할 수 있다. RADIUS 프로토콜은 IETF(Internet Engineering Task Force) "RFC" 문서들에서 정의될 수 있다. RFC(Request for Comments) 문서는 인터넷의 주요 기술 개발 및 표준 설정 기관들인 IEFT(Internet Engineering Task Force) 및 Internet Society의 하나의 게시물 유형이다. 예를 들어, RADIUS 프로토콜은 RFC 2058 및 RFC 2058을 폐기한 그리고/또는 예를 들어, RFC 6614와 같이 RADIUS 프로토콜(또는 그것의 양상)을 정의하는 연속적인 RFC 문서들에 의해 폐기된 후속 RFC 문서들 중 하나 이상의 문서 같은 것이 있다. 바람직한 실시예들에서, RFC 3579, RFC 2866 및 RFC 3580 중 하나 또는 이들의 조합에 따른 RADIUS 프로토콜이 사용될 수 있다. 그러나, 본 발명은 이러한 선택/조합에 한정되지 않는다. 대안적인 구성들에서, "Diameter" 프로토콜이 사용될 수 있다. "Diameter" 프로토콜은 컴퓨터 네트워크에 대한 인증(authentication), 인가(authorization) 및 계정관리(accounting) 프로토콜이다. 이 프로토콜은 그 이전의 RADIUS 프로토콜에서 발전했다. Diameter 기본 프로토콜은 RFC 6733에서, 또는 RFC 6733을 선행하는 Diameter에 대한 임의의 RFC 문서(예를 들어, RFC 6733에 의해 폐기된 문서)에서 또는 RFC 6733 이후의 Diameter에 대한 임의의 RFC 문서(예를 들어, RFC 6733을 폐기할 수 있는 문서)에서 정의될 수 있다.
상기 제1 인증 서버 장치와의 인증 통신은 상기 제1 인증 서버 장치에 액세스 요청 통신을 전송하는 것 및 상기 제1 인증 서버로부터 액세스 승인 통신을 수신하는 것을 포함할 수 있다. 대안적으로, 또는 추가적으로, 상기 제1 인증 서버 장치와의 인증 통신은 상기 제1 인증 서버 장치에 계정관리(Accounting) 시작 통신을 전송하는 것 및 상기 제1 인증 서버로부터 계정관리 응답 통신을 수신하는 것을 포함할 수 있다. 대안적으로, 또는 추가적으로, 상기 클라이언트 기기와의 인증 통신은 상기 클라이언트 기기로부터 액세스 요청 통신을 수신하는 것 및 상기 클라이언트 기기에 액세스 승인 통신을 전송하는 것을 포함할 수 있다. 대안적으로, 또는 추가적으로, 상기 클라이언트 기기와의 인증 통신은 상기 클라이언트 기기로부터 계정관리 시작 통신을 수신하는 것 및 상기 클라이언트 기기에 계정관리 응답 통신을 전송하는 것을 포함할 수 있다.
상기 클라이언트 아이덴티티 데이터 항목은 사용자 이름, 호출국(Calling-Station)-ID 및 CUI(Chargeable User Identity) 중 임의의 하나 이상을 포함할 수 있다.
호출국-ID는 예를 들어 (IEFT(Internet Engineering Task Force)에 의해 정의된) RADIUS 속성에 따라 정의될 수 있다. 이를 통해, 네트워크 액세스 서버는 (자동 번호 식별 또는 유사 기술을 사용하여) 액세스 요청 패킷의 일부로서 호출이 발생한 전화번호를 포함할 수 있다. 다른 예들은 서비스 이름 및 IP 어드레스를 포함한다.
예를 들어, CUI는 RFC 4372에서, 또는 RFC 4372를 선행하는 CUI에 대한 임의의 RFC 문서(예를 들어, RFC 4372에 의해 폐기된 문서)에서 또는 RFC 4372 이후의 CUI에 대한 임의의 RFC 문서(예를 들어, RFC 4372를 폐기할 수 있는 문서)에서 명시될 수 있다. CUI는 주어진 사이트를 방문하는 주어진 사용자에 대해 정적인(static) 사용자에 대한 고유한 식별자이다.
상기 만료 데이터 항목은 시간 또는 시점을 나타내는 값, 날짜를 나타내는 값, 그리고 시간 간격을 나타내는 값 중 임의의 하나 이상을 포함할 수 있다. 상기 만료 데이터 항목에 의해 정의된 기간은 상기 만료 데이터 항목 자체에 의해 정의된 시간 값 또는 시점에서 종료되는 기간일 수 있다. 예를 들어, 상기 만료 데이터 항목은 객관적인(objective) 시간-프레임(즉, GMT(Greenwich Mean Time))에 따라 만료 시간을 정의하는 숫자 시간(numerical time) 또는 영숫자 시간(alpha-numerical time), 또는 기간 만료가 발생할 기간을 정의하는 숫자 시간 간격/기간(예를 들어, 2.0 시간; 120분 등)을 포함할 수 있다. 상기 추가 인증 서버 장치는 상기 추가 인증 서버 장치가 상기 만료 데이터 항목을 수신/저장하는 시점에서/시점으로부터 상기 기간을 시작하도록 구성될 수 있다. 예를 들어, 상기 추가 인증 서버 장치는 시각 T1에서 다음을 포함하는 만료 데이터 항목을 수신/저장할 수 있다 :
(a) 시간 값 "18:00hrs GMT, 그리고 상기 추가 인증 서버 장치는 by (18:00 - T1) hrs GMT에 의해 정의된 기간 후에 상기 (저장된) 클라이언트 아이덴티티 데이터 항목을 삭제하도록 구성될 수 있다; 또는
(b) hrs:mins:sec의 시간 또한 포함할 수 있는 날짜와 같은 시간 값(예를 들어, 2016년 12월 31일 23:59:59 GMT), 그리고 상기 추가 인증 서버 장치는 (2016년 12월 31일 23:59:59 - T1) GMT에 의해 정의된 기간 후에 상기 (저장된) 클라이언트 아이덴티티 데이터 항목을 삭제하도록 구성될 수 있다; 또는
(c) 분(minutes)을 포함할 수 있는 시간 값(예를 들어, 120분), 그리고 상기 추가 인증 서버 장치는 (120 - T1) mins에 의해 정의된 기간 후에 상기 (저장된) 클라이언트 아이덴티티 데이터 항목을 삭제하도록 구성될 수 있다.
시간 값은 시간 스탬프 또는 다른 시간 메시지/값을 포함할 수 있으며, 이는 숫자 시간 및/또는 숫자 또는 영숫자 날짜 값일 수 있다(예를 들어, 이후에, TTF(Time-to-Forget) 시간 값이라 칭함). 시간 값은 상기 추가 인증 서버 장치가 상기 클라이언트 기기와의 인증 통신에 대해 비동기식으로 상기 제1 인증 서버 장치와 인증 통신을 수행하기 위해 허용/대기/제공해야하는 기간을 정의하는 숫자 시간(예를 들어, 분(minutes)) 및/또는 숫자 또는 영숫자 날짜 값일 수 있는 시간 값을 포함할 수 있다(예를 들어, 이후에, TTR(Time-to-Renew) 시간 값이라 칭함).
상기 만료 데이터 항목은 TTF(Time-to-Forget) 시간 값 및 TTR(Time-to-Renew) 시간 값 모두를 포함할 수 있다. 상기 삭제는 상기 TTF(Time-to-Forget) 시간 값 및 상기 TTR(Time-to-Renew) 시간 값 중 어느 하나 또는 둘 모두/각각에 의해 정의되는 기간(들)이 만료되면 상기 추가 데이터 저장소에서 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제하는 것을 포함할 수 있다.
예를 들어, 추가 인증 서버 장치는 TTF 시간 값 및 TTR 시간 값에 의해 정의되는 기간 중에서 더 짧은 기간의 만료시에 그것의 저장소에서 저장된 클라이언트 아이덴티티 데이터 아이템을 삭제하도록 구성될 수 있다. 예를 들어, 추가 인증 서버 장치는 시각 T1에서, 날짜/시간(예를 들어, "2016년 12월 31일 23:59:59 GMT")과 같은 TTF 시간 값 그리고 분 단위의 기간(예를 들어, "120분") 같은 TTR 시간 값을 포함하는 만료 데이터 항목을 수신/저장할 수 있다. 상기 추가 인증 서버 장치는 다음의 두 개의 기간들 중 짧은 기간에 의해 정의된 기간 후에, 즉, 이 두개들 중 어느 쪽이든 먼저 만료된 후에 상기 (저장된) 클라이언트 아이덴티티 데이터 항목을 삭제하도록 구성될 수 있다 : (2016년 12월 31일 23:59:59 - T1) GMT, 그리고 (120 - T1) mins.
상기 제1 인증 서버 장치는 클라이언트 아이덴티티 데이터 항목 내의 만료 데이터 항목의 TTR 시간 값으로부터 TTF 시간 값을 식별/구별하도록 구성될 수 있고, 그리고 상기 추가 인증 서버 장치는 수신된 클라이언트 아이덴티티 데이터 항목으로부터 TTF 시간 값 및 TTR 시간 값을 식별/구별하도록 구성될 수 있다.
인증 서버들의 데이터 저장소(들)로의/로부터의 인증 메시징/전송 및 데이터 전송은 적절한 보안 소프트웨어 및/또는 프로토콜을 통해 전송 중에 보호될 수 있다. 예를 들어, 인터넷 프로토콜 보안(IPsec) 프로토콜이 사용될 수 있다. IPsec은 당업자에게 잘 알려져 있고 이용 가능한 바와 같이, 통신 세션의 각 IP 패킷을 인증 및 암호화함으로써 작동하는 보안 인터넷 프로토콜(IP) 통신을 위한 프로토콜 슈트(protocol suite)이다. IPsec 프로토콜들은 RFC 2401 및 RFC 2412에 의해 대체된 RFC 1825 내지 RFC 1829에 처음 정의되었다(originally defined). 새로운 표준들은 예를 들어 RFC 4301 및 RFC 4309에서 정의되었다.
제2 양상에서, 본 발명은 다수의 통신 네트워크 액세스 포인트들 사이에서 통신 네트워크 내의 클라이언트 기기를 인증하는 네트워크 통신 장치로서, 다수의 개별 추가 통신 네트워크들 각각의 추가 인증 서버 장치와 네트워크 통신하도록 구성된 제1 통신 네트워크 내의 제1 인증 서버 장치를 포함하는, 네트워크 통신 장치를 제공할 수 있다.
제1 데이터 저장소는 상기 클라이언트 기기를 식별하는 클라이언트 아이덴티티 데이터 항목 및 상기 클라이언트 아이덴티티 데이터 항목과 연관된 만료 시간을 식별하는 만료 데이터 항목을 저장하도록 구성된 상기 제1 인증 서버 장치와 네트워크 통신하도록 구성되며, 상기 제1 인증 서버 장치는 상기 클라이언트 아이덴티티 데이터 항목 및 상기 만료 데이터 항목을 상기 추가 통신 네트워크들 각각의 상기 추가 인증 서버 장치에 전송하도록 구성된다.
다수의 추가 데이터 저장소들은 상기 제1 인증 서버 장치로부터 전송된 클라이언트 아이덴티티 데이터 항목 및 만료 데이터 항목을 저장하기 위해 개별 추가 인증 서버 장치와 네트워크 통신하도록 구성되며, 각각의 추가 인증 서버 장치는 상기 만료 데이터 항목에 의해 정의된 기간의 만료시에 상기 개별 추가 데이터 저장소로부터 저장된 클라이언트 아이덴티티 데이터 항목을 삭제하도록 구성된다.
상기 추가 인증 서버 장치 각각은 상기 클라이언트 기기로부터 상기 제1 통신 네트워크에 대한 액세스를 위한 요청을 수신하도록 동작 가능하며, 그리고 상기 클라이언트 아이덴티티 데이터 항목이 상기 추가 데이터 저장소에 저장되어 있다면, 상기 클라이언트 기기와의 인증 통신에 대해 비동기적으로 상기 제1 인증 서버 장치와 인증 통신을 수행함으로써 상기 클라이언트 기기를 인증하도록 동작 가능하다.
각각의 추가 인증 서버 장치는 상기 사용자 기기로부터 패스워드를 수신하도록 구성될 수 있으며, 이 때, 상기 클라이언트 아이덴티티 데이터 항목이 상기 추가 데이터 저장소에 저장된 상태로 남아있으면, 상기 클라이언트 기기를 인증하는 것은 상기 패스워드의 검증을 조건으로 하지 않으며; 그리고 상기 클라이언트 아이덴티티 데이터 항목이 상기 추가 데이터 저장소에 저장된 상태로 남아있지 않다면, 상기 클라이언트 기기를 인증하는 것은 상기 패스워드의 검증을 조건으로 한다.
상기 클라이언트 기기를 인증하는 프로세스는 AAA(Authentication, Authorisation and Accounting) 프로토콜 또는 RADIUS(Remote Authentication Dial In User Service) 프로토콜에 따라 인증 통신을 수행하는 것을 포함할 수 있다.
상기 제1 인증 서버 장치와의 인증 통신은 상기 제1 인증 서버 장치에 액세스 요청 통신을 전송하는 것 및 상기 제1 인증 서버로부터 액세스 승인 통신을 수신하는 것을 포함할 수 있다. 대안적으로 또는 추가적으로, 상기 제1 인증 서버 장치와의 인증 통신은 상기 제1 인증 서버 장치에 계정관리(Accounting) 시작 통신을 전송하는 것 및 상기 제1 인증 서버로부터 계정관리 응답 통신을 수신하는 것을 포함할 수 있다. 대안적으로 또는 추가적으로, 상기 클라이언트 기기와의 인증 통신은 상기 클라이언트 기기로부터 액세스 요청 통신을 수신하는 것 및 상기 클라이언트 기기에 액세스 승인 통신을 전송하는 것을 포함할 수 있다. 대안적으로 또는 추가적으로, 상기 클라이언트 기기와의 인증 통신은 상기 클라이언트 기기로부터 계정관리 시작 통신을 수신하는 것 및 상기 클라이언트 기기에 계정관리 응답 통신을 전송하는 것을 포함할 수 있다.
상기 클라이언트 아이덴티티 데이터 항목은 사용자 이름 및 호출국-ID 중 임의의 하나 이상을 포함할 수 있다.
상기 만료 데이터 항목은 시간 또는 시점을 나타내는 값, 날짜를 나타내는 값, 그리고 시간 간격을 나타내는 값 중 임의의 하나 이상을 포함할 수 있다. 상기 만료 데이터 항목에 의해 정의된 기간은 상기 만료 데이터 항목 자체에 의해 정의된 시간 값 또는 시점에서 종료되는 기간일 수 있다. 상기 추가 인증 서버 장치는 상기 추가 인증 서버 장치가 상기 만료 데이터 항목을 수신/저장하는 시점에서/시점으로부터 상기 기간을 시작하도록 구성될 수 있다.
시간 값은 시간 스탬프 또는 다른 시간 메시지/값을 포함할 수 있으며, 이는 숫자 시간 및/또는 숫자 또는 영숫자 날짜 값일 수 있다(예를 들어, 이후에, TTF(Time-to-Forget) 시간 값이라 칭함 - 이는 RADIUS 프로토콜 "속성"으로서 구현될 수 있음). 숫자 시간(예를 들어, 분(minutes)) 및/또는 숫자 또는 영숫자 날짜 값일 수 있는 시간 값은 상기 추가 인증 서버 장치가 상기 클라이언트 기기와의 인증 통신에 대해 비동기식으로 상기 제1 인증 서버 장치와 인증 통신을 수행하기 위해 허용/대기/제공해야하는 기간을 정의할 수 있다(예를 들어, 이후에, TTR(Time-to-Renew) 시간 값이라 칭함 - 이는 RADIUS 프로토콜 "속성"으로서 구현될 수 있음).
상기 만료 데이터 항목은 TTF(Time-to-Forget) 시간 값 및 TTR(Time-to-Renew) 시간 값 모두를 포함할 수 있다. 상기 삭제의 프로세스는 상기 TTF(Time-to-Forget) 시간 값 및 상기 TTR(Time-to-Renew) 시간 값 중 어느 하나 또는 둘 모두/각각에 의해 정의되는 기간(들)이 만료되면 상기 추가 데이터 저장소에서 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제하는 것을 포함할 수 있다. 예를 들어, 추가 인증 서버 장치는 TTF 시간 값 및 TTR 시간 값에 의해 정의되는 기간 중에서 더 짧은 기간의 만료시에 그것의 저장소에서 저장된 클라이언트 아이덴티티 데이터 아이템을 삭제하도록 구성될 수 있다. 상기 제1 인증 서버 장치는 클라이언트 아이덴티티 데이터 항목 내의 만료 데이터 항목의 TTR 시간 값으로부터 TTF 시간 값을 식별/구별하도록 구성될 수 있고, 그리고 상기 추가 인증 서버 장치는 수신된 클라이언트 아이덴티티 데이터 항목으로부터 TTF 시간 값 및 TTR 시간 값을 식별/구별하도록 구성될 수 있다.
인증 서버들은 적절한 보안 소프트웨어 및/또는 프로토콜을 통해 인증 서버들의 데이터 저장소(들)로의/로부터의 인증 메시징/전송 및 데이터 전송을 보호하도록 구성될 수 있다. 예를 들어, 인터넷 프로토콜 보안(IPsec) 프로토콜이 사용될 수 있다.
추가 양상에서, 본 발명은 다수의 통신 네트워크 액세스 포인트들 사이에서 통신 네트워크 내의 클라이언트 기기를 인증하는 네트워크 통신 장치로서, 다수의 개별 추가 통신 네트워크 액세스 포인트들 각각을 위한 추가 인증 서버 장치와 네트워크 통신하도록 구성되고 배열된 제1 통신 네트워크를 위한 제1 인증 서버 장치; 및 만료 데이터 항목에 의해 정의된 기간의 만료시에 추가 데이터 저장소에서 클라이언트 아이덴티티 데이터 항목을 삭제하는데 사용하기 위해, 상기 클라이언트 기기를 식별하는 클라이언트 아이덴티티 데이터 항목 및 상기 클라이언트 아이덴티티 데이터 항목과 연관된 만료 시간을 식별하는 상기 만료 데이터 항목을 저장하도록 구성된 상기 제1 인증 서버 장치와 네트워크 통신하도록 구성된 제1 데이터 저장소를 포함하며, 상기 제1 인증 서버 장치는 상기 추가 데이터 저장소에 저장하기 위해 상기 클라이언트 아이덴티티 데이터 항목 및 상기 만료 데이터 항목을 상기 추가 통신 네트워크 액세스 포인트들 각각의 상기 추가 인증 서버 장치에 전송하도록 구성되며, 상기 제1 인증 서버는 상기 클라이언트 아이덴티티 데이터 항목이 상기 추가 데이터 저장소에 저장된 상태로 남아있는 동안, 상기 클라이언트 기기와 상기 추가 인증 서버 간의 인증 통신에 대하여 비동기식으로 상기 추가 인증 서버 장치와 인증 통신을 수행함으로써 상기 추가 인증 서버 장치를 통해 상기 클라이언트 기기를 인증하도록 구성되는, 네트워크 통신 장치를 제공할 수 있다. 따라서, 사용자/클라이언트 기기는 추가 인증 서버에 의해 서빙되는 (예를 들어, 로컬) 액세스 포인트로 로밍할 수 있고, 그리고 제1 (예를 들어, 원격) 인증 서버에 의해 관리되는 인증을 통해 제공된 자원들에 대한 액세스를 탐색할 수 있다.
상기 클라이언트 기기를 인증하는 것은 AAA(Authentication, Authorisation and Accounting) 프로토콜 또는 RADIUS(Remote Authentication Dial In User Service) 프로토콜에 따라 인증 통신을 수행하도록 배열될 수 있다. 상기 클라이언트 아이덴티티 데이터 항목은 사용자 이름, 상기 클라이언트 기기를 식별하는 정보(예를 들어, 호출국-ID) 중 임의의 하나 이상을 포함할 수 있다. 상기 만료 데이터 항목은 상기 추가 인증 서버 장치가 상기 클라이언트 기기와의 인증 통신에 대해 비동기적으로 상기 제1 인증 서버 장치와의 인증 통신을 수행하기 위해 제공해야하는 시간을 정의하는 제1 시간 값을 포함할 수 있다. 상기 만료 데이터 항목은 상기 추가 인증 서버 장치가 상기 추가 데이터 저장소에서 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제해야할 때를 정의하는 제2 시간 값을 포함할 수 있다.
또 다른 양상에서, 본 발명은 다수의 통신 네트워크 액세스 포인트들 사이에서 통신 네트워크 내의 클라이언트 기기를 인증하는 네트워크 통신 장치로서, 제2 통신 네트워크 액세스 포인트를 위한 제2 인증 서버 장치와 네트워크 통신하도록 구성되고 배열된 통신 네트워크 액세스 포인트를 위한 제1 인증 서버 장치; 및 상기 제1 인증 서버 장치와 통신하도록 구성되고 그리고 상기 클라이언트 기기를 식별하는 클라이언트 아이덴티티 데이터 항목 및 상기 클라이언트 아이덴티티 데이터 항목과 연관된 만료 시간을 식별하는 상기 만료 데이터 항목을 저장하도록 구성된 데이터 저장소를 포함하며, 상기 제1 인증 서버 장치는 상기 만료 데이터 항목에 의해 정의된 기간의 만료시에 상기 데이터 저장소에서 저장된 클라이언트 아이덴티티 데이터 항목을 삭제하도록 구성되며, 상기 제1 인증 서버 장치는 상기 데이터 저장소에 저장하기 위해 상기 제2 인증 서버 장치로부터 전송된 상기 클라이언트 아이덴티티 데이터 항목 및 상기 만료 데이터 항목을 수신하도록 구성되며, 상기 제1 인증 서버는 상기 클라이언트 아이덴티티 데이터 항목이 상기 데이터 저장소에 저장된 상태로 남아있는 동안, 상기 클라이언트 기기와 상기 제1 인증 서버 간의 인증 통신에 대하여 비동기식으로 상기 제2 인증 서버 장치와 인증 통신을 수행함으로써 상기 제2 인증 서버 장치를 통한 상기 클라이언트 기기의 인증을 획득하도록 구성되는, 네트워크 통신 장치를 제공할 수 있다. 따라서, 사용자/클라이언트 기기는 제1 인증 서버에 의해 서빙되는 상기 제1 (예를 들어, 로컬) 액세스 포인트로 로밍할 수 있고, 그리고 제2 (예를 들어, 원격) 인증 서버에 의해 관리되는 인증을 통해 제공된 자원들에 대한 액세스를 탐색할 수 있다.
상기 제1 인증 서버 장치는 상기 사용자 기기로부터 패스워드를 수신하도록 구성될 수 있으며, 이 때, 상기 클라이언트 아이덴티티 데이터 항목이 상기 데이터 저장소에 저장된 상태로 남아있으면, 상기 클라이언트 기기를 인증하는 것은 상기 패스워드의 검증을 조건으로 하지 않으며; 그리고 상기 클라이언트 아이덴티티 데이터 항목이 상기 데이터 저장소에 저장된 상태로 남아있지 않다면, 상기 클라이언트 기기를 인증하는 것은 상기 패스워드의 검증을 조건으로 한다. 상기 클라이언트 기기를 인증하는 프로세스는 AAA(Authentication, Authorisation and Accounting) 프로토콜 또는 RADIUS(Remote Authentication Dial In User Service) 프로토콜에 따라 인증 통신을 수행하는 것을 포함할 수 있다. 상기 클라이언트 아이덴티티 데이터 항목은 사용자 이름, 상기 클라이언트 기기를 식별하는 정보(예를 들어, 호출국-ID) 중 임의의 하나 이상을 포함할 수 있다.
상기 만료 데이터 항목은 상기 제1 인증 서버 장치가 상기 클라이언트 기기와의 인증 통신에 대해 비동기적으로 상기 제2 인증 서버 장치와의 인증 통신을 수행하기 위해 제공해야하는 시간을 정의하는 제1 시간 값을 포함할 수 있다. 상기 만료 데이터 항목은 상기 제1 인증 서버 장치가 상기 데이터 저장소에서 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제해야할 때를 정의하는 제2 시간 값을 포함할 수 있다. 상기 삭제의 프로세스는 상기 제1 시간 값 및 상기 제2 시간 값 중 어느 하나 또는 둘 모두에 의해 정의되는 기간이 만료되면 상기 추가 데이터 저장소에서 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제하는 것을 포함할 수 있다.
추가 양상에서, 본 발명은 상술된 방법을 구현하기 위해 컴퓨터(들) 상에서 실행 가능한 명령들을 포함하는 컴퓨터 프로그램을 포함하는 컴퓨터 프로그램 제품, 또는 데이터 캐리어/저장소를 제공할 수 있다.
추가 양상에서, 본 발명은, 실행될 때, 상술된 방법을 구현하도록 구성된 명령들을 포함하는 컴퓨터 프로그램으로 프로그래밍된 하나 이상의 컴퓨터들을 제공할 수 있다.
추가 양상에서, 본 발명은, 상술된 방법을 구현하도록 구성된 명령들을 포함하는 컴퓨터 프로그램으로 프로그래밍된 컴퓨터들의 네트워크를 제공할 수 있다.
도 1a, 도 1b 및 도 1c는 "종속 포털" 모델에 따른 네트워크 액세스 인증 프로세스를 개략적으로 도시한다.
도 2는 원격 RADIUS 서버를 통한 인증을 획득하기 위해 종속 포털과 네트워크 액세스 서버와 연결된 프록시 RADIUS 서버의 사용을 개략적으로 도시한다.
도 3은 RADIUS 프로토콜에 따른 네트워크 액세스 메시징 시퀀스를 개략적으로 도시한다.
도 4는 RADIUS 프로토콜을 사용하는, 본 발명의 실시예에 따른 네트워크 액세스 메시징 시퀀스를 개략적으로 도시한다.
도 5는 네트워크-로밍 사용자 기기를 인증하는데 사용하기 위한 본 발명의 일 실시예에 따른 네트워크 통신 장치를 개략적으로 도시한다.
도 6은 액세스-포인트-로밍 사용자 기기를 인증하는데 사용하기 위한 본 발명의 일 실시예에 따른 네트워크 통신 장치를 개략적으로 도시한다.
도 7은 액세스-포인트-로밍 사용자 기기를 인증하는데 사용하기 위한 본 발명의 일 실시예에 따른 네트워크 통신 장치를 개략적으로 도시한다.
도 5는 제1 네트워크, 개별 제2 네트워크 및 개별 제3 네트워크를 포함하는 다수의 통신 네트워크들 중 제3 통신 네트워크에서 클라이언트 기기(사용자 장비, UE)를 인증하기 위한 네트워크 통신 장치를 개략적으로 도시한다. 클라이언트 기기(UE)는 초기에 제1 네트워크 내의 제1 위치(위치 #1)에 위치하고, 그리고 제1 네트워크를 통해 제3 네트워크상에서 이용가능한 네트워크 서비스들에 액세스한다. 제3 네트워크는 제1 네트워크 및 제2 네트워크와 네트워크 통신하도록 배치된 제1 인증 서버 장치(예를 들어, 임의의 적절한 AAA 서버, 예를 들어 이 예에서 RADIUS 서버)를 포함한다. 제1 네트워크 및 제2 네트워크 각각은 제3 네트워크의 RADIUS 서버와 통신하도록 구성된 개별 RADIUS 인증 서버(제1 네트워크의 RADIUS 서버(A); 제2 네트워크의 RADIUS 서버(B))를 포함한다. RADIUS 서버(A) 및 RADIUS 서버(B)는 각각 그것들의 로컬 네트워크에서 수신하는 인증 요청들을 제3 네트워크의 RADIUS 서버에 프록시(전송)하기 위해 프록시 서버 역할을 한다.
제3 네트워크의 RADIUS 서버는 분산된 보안 메모리 캐시(distributed, secure memory cache; dSMC)의 일부이며 그리고 클라이언트 아이덴티티 데이터 항목과 연관된 만료 시간을 식별하는 만료 데이터 항목과 함께 클라이언트 기기(UE)를 식별하는 클라이언트 아이덴티티 데이터 항목을 저장하도록 구성되는 제1 데이터 저장소와 통신한다. 만료 데이터 항목은 TTF(Time-to-Forget) 타임 스탬프(즉, 기간은 TTF에서 종료됨) 및 TTR(Time-to-Renew) 숫자값(즉, 기간은 TTR에서 종료됨) 중 하나 이상을 포함할 수 있다. TTF 및 TTR은 속성들에 관한 RADIUS 프로토콜을 준수하는 새로운 RADIUS "속성"으로 구현된다.
제3 네트워크의 RADIUS 서버는 클라이언트 아이덴티티 데이터 항목 및 만료 데이터 항목을 제1 및 제2 통신 네트워크 각각의 RADIUS 서버들(A 및 B)에 전송하도록 구성된다.
제1 및 제2 통신 네트워크의 RADIUS 서버들(A 및 B) 각각은 또한 분산된 보안 메모리 캐시(dSMC)의 일부이며 그리고 제3 네트워크의 RADIUS 서버로부터 수신될 때 클라이언트 아이덴티티 데이터 항목과 관련된 만료 시간을 식별하는 만료 데이터 항목과 함께 클라이언트 기기(UE)를 식별하는 클라이언트 아이덴티티 데이터 항목을 저장하도록 구성되는 개별 추가 데이터 저장소와 네트워크 통신하도록 구성된다. 이러한 방식으로, 제1, 제2 및 제3 통신 네트워크의 데이터 저장소들은 dSMC의 분산된 양상을 집합적으로 정의한다.
제1 통신 네트워크 및 제2 통신 네트워크의 RADIU 서버들(A 및 B) 각각은 만료 데이터 항목에 의해 정의된 기간이 만료되면, 수신된/저장된 클라이언트 아이덴티티 데이터 항목을 관련 데이터 저장소(dSMC)에서 삭제하도록 구성된다. 클라이언트 아이덴티티 데이터 항목은 사용자이름 및 호출지국(calling-station)-ID 중 하나 이상을 포함할 수 있다. 상기 기간은 TTF 시간 스탬프 및 TTR 숫자값 중 하나 또는 둘 모두에 의해 정의될 수 있다.
클라이언트 기기(UE)는 제3 네트워크 및 액세스하는 것이 허가된 서비스들과 네트워크 통신하면서 제1 네트워크의 위치 #1에서 제2 네트워크의 위치 #2로 로밍할 때, 제3 네트워크와 그것의 서비스들에 대한 지속적인 액세스 권한을 필요로 한다. 그러나, 이러한 액세스는 제1 네트워크를 통해 이전에 획득되었으며, 이제 제2 네트워크를 통해 획득되어야 한다. 따라서, 제3 네트워크에 대한 액세스 요청은 제2 네트워크의 RADIUS 서버로부터 제3 네트워크의 RADIUS 서버에서 이루어져야 한다.
이를 위해, 제3 통신 네트워크에 액세스하기 위해, 클라이언트 기기로부터 제2 네트워크의 RADIUS 서버로 네트워크 액세스 요청이 발행되어야 한다. 제2 네트워크의 RADIUS 서버는 이 액세스 요청을 수신할 때, 그것의 dSMC 데이터 저장소에 저장된 클라이언트 아이덴티티 데이터 항목의 존재 여부를 확인한다. 클라이언트 아이덴티티 데이터 항목이 저장된 상태로 유지되어 있으면, RADIUS 서버는 클라이언트 아이덴티티 데이터 항목이 dSMC 데이터 저장소에 저장되어 있는 경우에만 제3 네트워크에 대한 액세스 권한을 자동으로 부여하도록 구성된다.
제2(및 제1) 네트워크의 RADIUS 서버는 또한 네트워크 액세스 인증 프로세스(예를 들어, "종속 포털" 모델)의 일부로서 사용자 기기로부터 패스워드를 수신하도록 구성된다. 클라이언트 아이덴티티 데이터 항목이 dSMC 데이터 저장소에 저장된 상태를 유지하면, 패스워드에 대한 검증 없이 클라이언트 기기의 인증이 수행된다. 그러나, 클라이언트 아이덴티티 데이터 항목이 dSMC 데이터 저장소에 저장되어 있지 않다면, 클라이언트 기기의 인증은 패스워드의 검증을 조건으로 하게 된다.
클라이언트 기기(UE)를 인증하기 위해, 제2 네트워크의 RADIUS 서버는 클라이언트 기기(UE)와의 인증 통신에 대해 비동기적으로 제3 네트워크의 RADIUS 서버와 인증 통신을 수행한다. 제3 네트워크의 RADIUS 서버와의 인증 통신은 액세스 요청 통신을 제3 네트워크의 RADIUS 서버에 전송하는 것 그리고 제3 네트워크의 RADIUS 서버로부터 액세스 승인 통신을 수신하는 것을 포함한다. 추가적으로, 제3 네트워크의 RADIUS 서버와의 인증 통신은 계정관리 시작 통신을 제3 네트워크의 RADIUS 서버에 전송하는 것 그리고 제3 네트워크의 RADIUS 서버로부터 계정관리 응답 통신을 수신하는 것을 포함한다.
이러한 통신은 클라이언트 기기(UE)와의 병렬 인증 통신과 관련하여 비동기적으로 수행된다. 이들은 제2 네트워크의 RADIUS 서버에서, 클라이언트 기기로부터의 액세스 요청 통신을 수신하는 것, 그리고 제2 네트워크의 RADIUS 서버로부터 클라이언트 기기로 액세스 승인 통신을 전송하는 것을 포함한다. 추가적으로, 클라이언트 기기와의 인증 통신은 제2 네트워크의 RADIUS 서버에서, 클라이언트 기기로부터 계정관리 시작 통신을 수신하는 것, 그리고 제2 네트워크의 RADIUS 서버로부터, 클라이언트 기기로 계정관리 응답 통신을 전송하는 것을 포함한다.
제2 네트워크의 RADIUS 서버와 제3 네트워크의 RADIUS 서버 사이의 이러한 인증 통신 시퀀스가 제2 네트워크의 RADIUS 서버와 사용자 기기(UE) 간의 인증 통신과 비동기적이기 때문에, 이것은 사용자 기기(UE)가 제3 네트워크의 RADIUS 서버의 조정(coordination)을 필요로 하지 않으면서 인증 메시지를 발송할 수 있음을 의미한다. 즉, 이러한 인증 메시지들이 엄격한 동기 연속(strict synchronous succession)으로 발생할 필요가 없으므로, 보다 신속하게 연속적으로 송수신될 수 있다. 발송기 장치(예를 들어, 사용자 기기(UE), 또는 RADIUS 서버)는 일련의 인증 메시지들 중 하나를 발송하기 전에 최종 수신기 기기(예를 들어, RADIUS 서버, 또는 사용자 기기(UE))와 조정할 필요가 없다. RADIUS 프로토콜(또는 다른 관련 프로토콜)을 구현할 때 종래의 인증 메시징 시퀀스에서 사용되는 동기식 메시징은 그러한 조정을 필요로 하며, 이로 인해 인증 메시지 시퀀스를 완료하는데 지연이 발생한다. 홈 서버로 돌아가는 인증 메시지들의 대기 시간(latency)은 각 네트워크 내의 여러 액세스 포인트들에 걸쳐 로밍할 때에도 빠른 로밍 경험(roaming experience)을 방해한다.
3 개의 인증 서버들의 dSMC 데이터 저장소(들)로/부터의 인증 메시징/전송 및 데이터 전송은 인터넷 프로토콜 보안(IPsec) 프로토콜을 통해 전송 중에 보호된다. 이는 보안 인터넷 프로토콜(IP) 통신을 제공하며, 그리고 당업자에게 잘 알려져 있고 이용 가능한 바와 같이, 통신 세션의 각 IP 패킷을 인증 및 암호화함으로써 작동한다. 이러한 방식으로, 3 개의 네트워크의 3 개의 상호-연결된/통신하는 dSMC 데이터 저장소들은 안전한 분산된 메모리 캐시를 제공한다. 이는 사용자 기기(UE)가 상이한 네트워크의 액세스 포인트들 사이에서 로밍하거나, 도 5의 위치 #1 및 위치 #2가 모두 제1 네트워크 내의 위치들인 경우와 같이 동일한 네트워크 내의 상이한 액세스 포인트들 사이에서 로밍할 수 있게 한다.
예를 들어, 도 6은 도 5를 참조하여 위에서 설명한 것과 매우 유사한 대안적인 구현을 개략적으로 도시한다. 여기서, "제1 네트워크" 및 "제2 네트워크"의 반경 서버들(A 및 B)은 각각 동일한 하나의 "제1 네트워크" 내의 두 개의 개별 네트워크 액세스 포인트들 "AP#1" 및 "AP#2"이다. 이 예에서, 클라이언트 기기(UE)는 제1 액세스 포인트로부터 제2 액세스 포인트로 로밍한다. 도 6의 예에서 본 발명의 구현은 도 5를 참조하여 설명된 바와 같지만, 네트워크들 사이에서가 아니라, 하나의 네트워크 내에서의 로밍에 관한 것이다.
추가 예에서, 도 7은 도 5 및 도 6을 참조하여 위에서 설명한 것과 매우 유사한 대안적인 구현을 개략적으로 도시한다. 여기서, "제1 네트워크" 및 "제2 네트워크"의 반경 서버들(A 및 B)은 각각 동일한 하나의 "제1 네트워크" 내의 두 개의 개별 네트워크 액세스 포인트들 "AP#1" 및 "AP#2"이다. 도 6의 "제2 네트워크"의 "RADIUS 서버"는, 이 예에서, 이제(대신에) "제1 네트워크" 내에 있으며, 이로써, 클라이언트 아이덴티티 데이터 항목 및 만료 데이터 항목이 발생하는 RADIUS 서버 및 프록시 RADIUS 서버들("AP#1", "AP#2")은 모두 동일한 "제1 네트워크" 내에 있다. 이 예에서, 클라이언트 기기(UE)는 제1 액세스 포인트에서 제2 액세스 포인트로 로밍한다. 도 7의 예에서의 본 발명의 구현은 도 5를 참조하여 설명된 바와 같지만, 네트워크들 사이에서가 아니라, 하나의 네트워크 내에서의 로밍에 관한 것이다.
도 4를 참조하면, 도 6에 도시된 것과 같은, 본 발명의 일 실시예에 따른 네트워크 액세스 메시징 시퀀스의 개략적인 표현이 도시된다. 예를 들어, 도 4의 메시징 시퀀스는 클라이언트 기기(UE)가 제1 네트워크로부터 제2 네트워크로 로밍하고 제3 네트워크의 서비스들에 대한 지속적인 액세스를 요청할 때 제3 네트워크의 클라리언트 기기(UE)와 RADIUS 서버 사이에서 구현될 수 있다.
초기에, 단계 S10에서, (이 단계는 선택적임), 클라이언트 기기(UE)는 제2 네트워크의 네트워크 액세스 포인트/게이트웨이에 "개방 연관" 메시지를 발송한다. 액세스 포인트는 제2 네트워크의 로컬 RADIUS 서버(B)에 "액세스 요청" 메시지를 전송함으로써 이에 반응하며, 그리고 제2 네트워크의 로컬 RADIUS 서버(B)는 dSMC에 이미 인증 요청에 대한 기록이 있는지 확인하기 위해 dSMC를 검색함으로써 반응한다. 그 결과는 단계 S20에서 UA로 리턴될 수 있다. 옵션으로 이러한 두 개의 단계들은 업스트림 캐리어 AAA에서 dSMC 업데이트를 시작하는데 사용될 수 있다.
단계 S30 내지 단계 S60에서, 클라이언트 기기(UE)는 도 1a 내지 도 1c를 참조하여 상술된 바와 같이 공지된 기술에 따라 로컬 DHCP 서버, 네트워크 액세스 포인트 및 로컬 종속 포털과 함께 잘-알려진 DHCP 및 HTTP GET 메시징 시퀀스를 수행한다. 이것들은 단계 S30에서, 다음의 DHCP의 시퀀스를 포함한다 : : UE와 로컬 DHCP 서버 간의 "디스커버리(Discovery)", "제공(Offer)", "요청(Request)", "확인응답(Acknowledgement; ACK)" 메시지들. 단계 S40에서, UE는 로컬 네트워크 액세스 포인트에 메시지(예를 들어, HTTP GET; http://www.google.com)를 보내며, 로컬 네트워크 액세스 포인트는 단계 S50에서 UE를 종속 포털로 재지향함으로써(예를 들어, HTTP GET; UE 로부터 종속 포털로의 https://portals.odyssys.net/account/captivePortal/123456; 종속 포털로부터 UE로의 HTTP 200) UE 메시지에 응답한다(예를 들어, HTTP 302 Redirect; https://portals.odyssys.net/account/captivePortal/123456).
단계 S70에서, 접속된 dSMC와 함께 제2 네트워크의 로컬 AAA/RADIUS(B)는 액세스 포인트(AP) 또는 게이트웨이(GW)를 통해 클라이언트 기기(UE)로부터 인증 요청(예를 들어, HTTP GET AP/GW UAM Auth URL)을 수신하며, 그리고 그에 대한 응답으로, 보안 캐시 내에서 해당 UE에 대한 가입자 사용자 이름(USER-NAME) 및/또는 호출지국(calling-station)-ID를 검색한다. 이 데이터는 클라이언트 기기 아이덴티티 ID에 해당한다. UE가 제2 네트워크를 통해(즉, 서버(A)를 통해) 제3 네트워크에 액세스하고 있던 중인 동안, 제3 네트워크의 RADIUS 서버가 UE로부터의 이전 액세스 요청을 수락하거나 수락했었을 때/동안 이 데이터는 이전에 제3 네트워크의 RADIUS 서버로부터 제2 네트워크의 RADIUS 서버(B)에 의해 저장된다. 클라이언트 기기 아이덴티티 데이터가 dSMC 내에 남아있는 경우, dSMC에 의해 인증 요청이 수신된 시간이 dSMC에서 클라이언트 기기 아이덴티티 데이터가 삭제되어야하는 기간의 종료(즉, TTF가 지남)보다 늦지 않기 때문에, 단계 S80에서, 제2 네트워크의 액세스 포인트의 RADIUS 서버(B)로부터 UE로 액세스 승인 메시지가 발행된다. RADIUS 서버(B)는 TTF(Time-to-Forget) 시간 값과 TTR(Time-to-Renew) 시간 값 모두가 제3 네트워크의 RADIUS 서버로부터 그것의 dSMC에 저장되어 있다면, TTF 시간 값과 TTR 시간 값에 의해 정의된 기간 중 짧은 기간의 만료 시에 그것의 dSMC에서 저장된 클라이언트 아이덴티티 데이터 항목을 삭제하도록 구성될 수 있다. 이 승인 메시지는 UE로부터 제공된 패스워드 데이터가 무엇이든 상관없이 전송된다. 액세스 승인 메시지는 제3 네트워크의 RADIUS 서버(즉, 캐리어의 RADIUS 서버) 로부터 원래 수신된(originally received) 임의의 RADIUS 속성들과 함께 UE에 리턴된다.
그러나, dSMC가 사용자 이름 또는 호출지국-ID에 대한 기록을 가지고 있지 않다면, 해당 데이터가 삭제되었기 때문에(예를 들어, TTR 또는 TTF 중 어느 것이든 더 빠른 것이 만료됨), 제2 네트워크의 RADIUS 서버는 제3 네트워크의 RADIUS 서버에(즉, 캐리어의 AAA에(예를 들어, RADIUS)) 액세스 요청을 프록시하도록 구성된다.
UE와 제2 네트워크의 RADIUS 서버(B) 간의 액세스 승인 메시징 시퀀스와 유사한 방식으로, 단계 S90에서의 계정관리 시작 및 단계 S100에서의 계정관리 응답을 포함하는 메시징 시퀀스는 액세스 포인트(AP) 또는 게이트웨이(GW)를 통해 제2 네트워크의 RADIUS 서버(B)와 UE 사이에서 시작한다(예를 들어, HTTP 302 Redirect; https://portals.odyssys.net/account/captivePortal/successpage). 이는 제2 네트워크의 RADIUS 서버에서 즉시 시작된다. 또한, 느린 업데이트(lazy update)는 제2 네트워크의 RADIUS 서버에서 제3 네트워크의 RADIUS 서버(즉, 업스트림 캐리어)로 발행된다. 이어서, UE와 종속 포털 간의 통신(S100)은 인증이 수행된 후에 UE가 원하는 캐리어 자원의 필요한 자원에 액세스하는 것을 허용한다(예를 들어, HTTP GET; https://portals.odyssys.net/account/captivePortal/successpage; 및 HTTP 200).
제3 네트워크의 RADIUS는 dSMC에서 보낸 계정관리 시작 및 모든 후속 계정관리 패킷들(accounting packets)을 수신함으로써 액세스 승인에 대한 완전한 지식을 갖는다.
분산 보안 메모리 캐시 및 시간-제한 신뢰 데이터(trust data)/메시지의 개선으로 인해, 로컬 네트워크의 로컬 RADIUS 서버와 원격 네트워크의 업스트림 캐리어 RADIUS 서버 간의 대기 시간이 발생할 때 또는 발생하는 경우 사용자 경험이 향상된다.
단계 S120에서의 메시징 시퀀스(제2 네트워크의 RADIUS 서버와 제3 네트워크의 RADIUS 서버 간의 송/수신)는 단계 S80 내지 S100에서 제2 네트워크의 RADIUS 서버와 UE 사이에서 수행되는 메시징 시퀀스에 대해 비동기적으로 수행될 수 있다. 따라서, 그들은 도 3의 단계 S12에서 동기 메시징 시퀀스에 의해 인증 요청이 지연되는 방식으로 임의의 인증 요청을 보류할 필요가 없다.
EAP가 관여되는 경우, 로컬 RADIUS 서버에서 터널을 종료하려면 외부 인증이 요구될 수 있으며, 이로써, 사용자이름 및/또는 호출국-ID를 매칭하기 위해 dSMC를 통해 로컬 RADIUS 서버가 내부 인증을 볼 수 있다. 이는 로컬 RADIUS 서버가 패스워드를 읽고/처리하거나 또는 저장할 필요가 없다는 것을 의미한다. 인증은 사용자이름 및/또는 호출국-ID를 기반으로 신뢰 기간(만료 데이터 항목) 내에서 수행될 수 있다. 예를 들어, 무료 인터넷이 사용되는 경우, 신뢰 기간(만료 데이터 항목)은 원한다면 매우 높을 수 있으며, 또는 캐리어가 요금을 부과하는 경우, 그들은 신뢰 기간(만료 데이터 항목)을 낮추기를 원할 수 있다. 균형은 신뢰 응답(더 빠름)에 대한 엔드-투-엔드 룩업들(end-to-end-lookups)(더 느림) 간의 트레이드-오프이다. 캐리어는 원격 국가들 또는 위치들에, 그리고/또는 필요한 경우, 분산된 방식으로, dSMC를 배치할 수 있다. 단, 그것들에 보유된 데이터는 신뢰 기간(만료 데이터 항목)에 기초하여 만료될 것이며, dSMC에 사용자 패스워드가 저장될 필요가 없다. dSMC는 캐리어 또는 로컬 제공자에 의해 구성 및 검토될 수 있으며, 그리고 간단하고 직관적인 내장 웹 GUI를 통해 관리될 수 있다. dSCM로의 그리고 dSCM로부터의 데이터는 표준 기반 IPSEC을 통해 전송 중에 보호될 수 있다.

Claims (40)

  1. 다수의 통신 네트워크 액세스 포인트들 사이에서 통신 네트워크 내의 클라이언트 기기를 인증하는 방법으로서,
    제1 통신 네트워크를 위한 제1 인증 서버 장치 및 다수의 개별 추가 통신 네트워크 액세스 포인트들 각각을 위한 추가 인증 서버 장치를 제공하는 단계;
    상기 제1 인증 서버 장치에 의해, 상기 클라이언트 기기를 식별하는 클라이언트 아이덴티티 데이터 항목 및 상기 클라이언트 아이덴티티 데이터 항목과 연관된 만료 시간을 식별하는 만료 데이터 항목을 제1 데이터 저장소에 저장하는 단계 및 상기 클라이언트 아이덴티티 데이터 항목 및 상기 만료 데이터 항목을 상기 추가 통신 네트워크 액세스 포인트들 각각의 상기 추가 인증 서버 장치에 전송하는 단계;
    각각의 추가 인증 서버 장치에 의해, 상기 수신된 클라이언트 아이덴티티 데이터 항목 및 만료 데이터 항목을 추가 데이터 저장소에 저장하는 단계 및 상기 만료 데이터 항목에 의해 정의된 기간의 만료시에 상기 추가 데이터 저장소로부터 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제하는 단계; 및
    임의의 주어진 상기 추가 인증 서버 장치에 의해, 상기 클라이언트 기기로부터 상기 제1 통신 네트워크에 대한 액세스를 위한 요청을 수신하는 단계 및 상기 클라이언트 아이덴티티 데이터 항목이 상기 추가 데이터 저장소에 저장되어 있다면, 상기 클라이언트 기기와의 인증 통신에 대해 비동기적으로 상기 제1 인증 서버 장치와 인증 통신을 수행함으로써 상기 클라이언트 기기를 인증하는 단계를 포함하는, 방법.
  2. 청구항 1에 있어서,
    상기 방법은 상기 주어진 추가 인증 서버 장치에 의해, 상기 사용자 기기로부터 패스워드를 수신하는 단계를 포함하며,
    상기 클라이언트 아이덴티티 데이터 항목이 상기 추가 데이터 저장소에 저장된 상태로 남아있으면, 상기 클라이언트 기기를 인증하는 단계는 상기 패스워드의 검증을 조건으로 하지 않으며; 그리고
    상기 클라이언트 아이덴티티 데이터 항목이 상기 추가 데이터 저장소에 저장된 상태로 남아있지 않다면, 상기 클라이언트 기기를 인증하는 단계는 상기 패스워드의 검증을 조건으로 하는, 방법.
  3. 청구항 1 또는 청구항 2에 있어서,
    상기 클라이언트 기기를 인증하는 단계는 AAA(Authentication, Authorisation and Accounting) 프로토콜 또는 RADIUS(Remote Authentication Dial In User Service) 프로토콜에 따라 인증 통신을 수행하는 단계를 포함하는, 방법.
  4. 청구항 3에 있어서,
    상기 제1 인증 서버 장치와의 인증 통신은 상기 제1 인증 서버 장치에 액세스 요청 통신을 전송하는 것 및 상기 제1 인증 서버로부터 액세스 승인 통신을 수신하는 것을 포함하는, 방법.
  5. 청구항 3 또는 청구항 4에 있어서,
    상기 제1 인증 서버 장치와의 인증 통신은 상기 제1 인증 서버 장치에 계정관리(Accounting) 시작 통신을 전송하는 것 및 상기 제1 인증 서버로부터 계정관리 응답 통신을 수신하는 것을 포함하는, 방법.
  6. 청구항 3 내지 청구항 5 중 어느 한 항에 있어서,
    상기 클라이언트 기기와의 인증 통신은 상기 클라이언트 기기로부터 액세스 요청 통신을 수신하는 것 및 상기 클라이언트 기기에 액세스 승인 통신을 전송하는 것을 포함하는, 방법.
  7. 청구항 3 내지 청구항 6 중 어느 한 항에 있어서,
    상기 클라이언트 기기와의 인증 통신은 상기 클라이언트 기기로부터 계정관리 시작 통신을 수신하는 것 및 상기 클라이언트 기기에 계정관리 응답 통신을 전송하는 것을 포함하는, 방법.
  8. 청구항 1 내지 청구항 7 중 어느 한 항에 있어서,
    상기 클라이언트 아이덴티티 데이터 항목은 사용자 이름, 상기 클라이언트 기기를 식별하는 정보(예를 들어, 호출국-ID) 중 임의의 하나 이상을 포함하는, 방법.
  9. 청구항 1 내지 청구항 8 중 어느 한 항에 있어서,
    상기 만료 데이터 항목은 시간 또는 시점을 나타내는 값, 날짜를 나타내는 값, 그리고 시간 간격을 나타내는 값 중 임의의 하나 이상을 포함하는, 방법.
  10. 청구항 9에 있어서,
    상기 만료 데이터 항목은 상기 추가 인증 서버 장치가 상기 클라이언트 기기와의 인증 통신에 대해 비동기적으로 상기 제1 인증 서버 장치와의 인증 통신을 수행하기 위해 제공해야하는 시간을 정의하는 제1 시간 값을 포함하는, 방법.
  11. 청구항 9 또는 청구항 10에 있어서,
    상기 만료 데이터 항목은 상기 추가 인증 서버 장치가 상기 추가 데이터 저장소에서 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제해야할 때를 정의하는 제2 시간 값을 포함하는, 방법.
  12. 청구항 11에 있어서,
    상기 삭제는 상기 제1 시간 값 및 상기 제2 시간 값 중 어느 하나 또는 둘 모두에 의해 정의되는 기간이 만료되면 상기 추가 데이터 저장소에서 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제하는 것을 포함하는, 방법.
  13. 다수의 통신 네트워크 액세스 포인트들 사이에서 통신 네트워크 내의 클라이언트 기기를 인증하는 네트워크 통신 장치로서,
    다수의 개별 추가 통신 네트워크 액세스 포인트들 각각을 위한 추가 인증 서버 장치와 통신하도록 구성된 제1 통신 네트워크를 위한 제1 인증 서버 장치;
    상기 클라이언트 기기를 식별하는 클라이언트 아이덴티티 데이터 항목 및 상기 클라이언트 아이덴티티 데이터 항목과 연관된 만료 시간을 식별하는 만료 데이터 항목을 저장하도록 구성된 상기 제1 인증 서버 장치와 통신하도록 구성된 제1 데이터 저장소로서, 상기 제1 인증 서버 장치는 상기 클라이언트 아이덴티티 데이터 항목 및 상기 만료 데이터 항목을 상기 추가 통신 네트워크 액세스 포인트들 각각의 상기 추가 인증 서버 장치에 전송하도록 구성되는, 제1 데이터 저장소; 및
    상기 제1 인증 서버 장치로부터 전송된 클라이언트 아이덴티티 데이터 항목 및 만료 데이터 항목을 저장하기 위해 개별 추가 인증 서버 장치와 통신하도록 구성된 다수의 추가 데이터 저장소들로서, 각각의 추가 인증 서버 장치는 상기 만료 데이터 항목에 의해 정의된 기간의 만료시에 상기 개별 추가 데이터 저장소에서 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제하도록 구성된, 다수의 추가 데이터 저장소들을 포함하며,
    상기 추가 인증 서버 장치 각각은 상기 클라이언트 기기로부터 상기 제1 통신 네트워크에 대한 액세스를 위한 요청을 수신하도록 동작 가능하며, 그리고 상기 클라이언트 아이덴티티 데이터 항목이 상기 추가 데이터 저장소에 저장되어 있다면, 상기 클라이언트 기기와의 인증 통신에 대해 비동기적으로 상기 제1 인증 서버 장치와 인증 통신을 수행함으로써 상기 클라이언트 기기를 인증하도록 동작 가능한, 네트워크 통신 장치.
  14. 청구항 13에 있어서,
    각각의 추가 인증 서버 장치는 상기 사용자 기기로부터 패스워드를 수신하도록 구성되며,
    상기 클라이언트 아이덴티티 데이터 항목이 상기 추가 데이터 저장소에 저장된 상태로 남아있으면, 상기 클라이언트 기기를 인증하는 것은 상기 패스워드의 검증을 조건으로 하지 않으며; 그리고
    상기 클라이언트 아이덴티티 데이터 항목이 상기 추가 데이터 저장소에 저장된 상태로 남아있지 않다면, 상기 클라이언트 기기를 인증하는 것은 상기 패스워드의 검증을 조건으로 하는, 네트워크 통신 장치.
  15. 청구항 13에 있어서,
    상기 클라이언트 기기를 인증하는 것은 AAA(Authentication, Authorisation and Accounting) 프로토콜 또는 RADIUS(Remote Authentication Dial In User Service) 프로토콜에 따라 인증 통신을 수행하는 것을 포함하는, 네트워크 통신 장치.
  16. 청구항 15에 있어서,
    상기 제1 인증 서버 장치와의 인증 통신은 상기 제1 인증 서버 장치에 액세스 요청 통신을 전송하는 것 및 상기 제1 인증 서버로부터 액세스 승인 통신을 수신하는 것을 포함하는, 네트워크 통신 장치.
  17. 청구항 15 또는 청구항 16에 있어서,
    상기 제1 인증 서버 장치와의 인증 통신은 상기 제1 인증 서버 장치에 계정관리(Accounting) 시작 통신을 전송하는 것 및 상기 제1 인증 서버로부터 계정관리 응답 통신을 수신하는 것을 포함하는, 네트워크 통신 장치.
  18. 청구항 15 내지 청구항 17 중 어느 한 항에 있어서,
    상기 클라이언트 기기와의 인증 통신은 상기 클라이언트 기기로부터 액세스 요청 통신을 수신하는 것 및 상기 클라이언트 기기에 액세스 승인 통신을 전송하는 것을 포함하는, 네트워크 통신 장치.
  19. 청구항 15 내지 청구항 18 중 어느 한 항에 있어서,
    상기 클라이언트 기기와의 인증 통신은 상기 클라이언트 기기로부터 계정관리 시작 통신을 수신하는 것 및 상기 클라이언트 기기에 계정관리 응답 통신을 전송하는 것을 포함하는, 네트워크 통신 장치.
  20. 청구항 13 내지 청구항 19 중 어느 한 항에 있어서,
    상기 클라이언트 아이덴티티 데이터 항목은 사용자 이름, 상기 클라이언트 기기를 식별하는 정보(예를 들어, 호출국-ID) 중 임의의 하나 이상을 포함하는, 네트워크 통신 장치.
  21. 청구항 13 내지 청구항 20 중 어느 한 항에 있어서,
    상기 만료 데이터 항목은 상기 추가 인증 서버 장치가 상기 클라이언트 기기와의 인증 통신에 대해 비동기적으로 상기 제1 인증 서버 장치와의 인증 통신을 수행하기 위해 제공해야하는 시간을 정의하는 제1 시간 값을 포함하는, 네트워크 통신 장치.
  22. 청구항 13 내지 청구항 21 중 어느 한 항에 있어서,
    상기 만료 데이터 항목은 상기 추가 인증 서버 장치가 상기 추가 데이터 저장소에서 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제해야할 때를 정의하는 제2 시간 값을 포함하는, 네트워크 통신 장치.
  23. 청구항 22에 있어서,
    상기 삭제는 상기 제1 시간 값 및 상기 제2 시간 값 중 어느 하나 또는 둘 모두에 의해 정의되는 기간이 만료되면 상기 추가 데이터 저장소에서 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제하는 것을 포함하는, 네트워크 통신 장치.
  24. 다수의 통신 네트워크 액세스 포인트들 사이에서 통신 네트워크 내의 클라이언트 기기를 인증하는 네트워크 통신 장치로서,
    다수의 개별 추가 통신 네트워크 액세스 포인트들 각각을 위한 추가 인증 서버 장치와 네트워크 통신하도록 구성되고 배열된 제1 통신 네트워크를 위한 제1 인증 서버 장치; 및
    만료 데이터 항목에 의해 정의된 기간의 만료시에 추가 데이터 저장소에서 클라이언트 아이덴티티 데이터 항목을 삭제하는데 사용하기 위해, 상기 클라이언트 기기를 식별하는 상기 클라이언트 아이덴티티 데이터 항목 및 상기 클라이언트 아이덴티티 데이터 항목과 연관된 만료 시간을 식별하는 상기 만료 데이터 항목을 저장하도록 구성된 상기 제1 인증 서버 장치와 네트워크 통신하도록 구성된 제1 데이터 저장소로서, 상기 제1 인증 서버 장치는 상기 추가 데이터 저장소에 저장하기 위해 상기 클라이언트 아이덴티티 데이터 항목 및 상기 만료 데이터 항목을 상기 추가 통신 네트워크 액세스 포인트들 각각의 상기 추가 인증 서버 장치에 전송하도록 구성되는, 제1 데이터 저장소를 포함하며,
    상기 제1 인증 서버는 상기 클라이언트 아이덴티티 데이터 항목이 상기 추가 데이터 저장소에 저장된 상태로 남아있는 동안, 상기 클라이언트 기기와 상기 추가 인증 서버 간의 인증 통신에 대하여 비동기식으로 상기 추가 인증 서버 장치와 인증 통신을 수행함으로써 상기 추가 인증 서버 장치를 통해 상기 클라이언트 기기를 인증하도록 구성되는, 네트워크 통신 장치.
  25. 청구항 24에 있어서,
    상기 클라이언트 기기를 인증하는 것은 AAA(Authentication, Authorisation and Accounting) 프로토콜 또는 RADIUS(Remote Authentication Dial In User Service) 프로토콜에 따라 인증 통신을 수행하는 것을 포함하는, 네트워크 통신 장치.
  26. 청구항 24 내지 청구항 25 중 어느 한 항에 있어서,
    상기 클라이언트 아이덴티티 데이터 항목은 사용자 이름, 상기 클라이언트 기기를 식별하는 정보(예를 들어, 호출국-ID) 중 임의의 하나 이상을 포함하는, 네트워크 통신 장치.
  27. 청구항 24 내지 청구항 26 중 어느 한 항에 있어서,
    상기 만료 데이터 항목은 상기 추가 인증 서버 장치가 상기 클라이언트 기기와의 인증 통신에 대해 비동기적으로 상기 제1 인증 서버 장치와의 인증 통신을 수행하기 위해 제공해야하는 시간을 정의하는 제1 시간 값을 포함하는, 네트워크 통신 장치.
  28. 청구항 24 내지 청구항 27 중 어느 한 항에 있어서,
    상기 만료 데이터 항목은 상기 추가 인증 서버 장치가 상기 추가 데이터 저장소에서 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제해야할 때를 정의하는 제2 시간 값을 포함하는, 네트워크 통신 장치.
  29. 다수의 통신 네트워크 액세스 포인트들 사이에서 통신 네트워크 내의 클라이언트 기기를 인증하는 네트워크 통신 장치로서,
    제2 통신 네트워크 액세스 포인트를 위한 제2 인증 서버 장치와 네트워크 통신하도록 구성되고 배열된 통신 네트워크 액세스 포인트를 위한 제1 인증 서버 장치; 및
    상기 제1 인증 서버 장치와 통신하도록 구성되고 그리고 상기 클라이언트 기기를 식별하는 클라이언트 아이덴티티 데이터 항목 및 상기 클라이언트 아이덴티티 데이터 항목과 연관된 만료 시간을 식별하는 상기 만료 데이터 항목을 저장하도록 구성된 데이터 저장소를 포함하며,
    상기 제1 인증 서버 장치는 상기 만료 데이터 항목에 의해 정의된 기간의 만료시에 상기 데이터 저장소에서 저장된 클라이언트 아이덴티티 데이터 항목을 삭제하도록 구성되며,
    상기 제1 인증 서버 장치는 상기 데이터 저장소에 저장하기 위해 상기 제2 인증 서버 장치로부터 전송된 상기 클라이언트 아이덴티티 데이터 항목 및 상기 만료 데이터 항목을 수신하도록 구성되며,
    상기 제1 인증 서버는 상기 클라이언트 아이덴티티 데이터 항목이 상기 데이터 저장소에 저장된 상태로 남아있는 동안, 상기 클라이언트 기기와 상기 제1 인증 서버 간의 인증 통신에 대하여 비동기식으로 상기 제2 인증 서버 장치와 인증 통신을 수행함으로써 상기 제2 인증 서버 장치를 통한 상기 클라이언트 기기의 인증을 획득하도록 구성되는, 네트워크 통신 장치.
  30. 청구항 29에 있어서,
    상기 제1 인증 서버 장치는 상기 사용자 기기로부터 패스워드를 수신하도록 구성되며,
    상기 클라이언트 아이덴티티 데이터 항목이 상기 데이터 저장소에 저장된 상태로 남아있으면, 상기 클라이언트 기기를 인증하는 것은 상기 패스워드의 검증을 조건으로 하지 않으며; 그리고
    상기 클라이언트 아이덴티티 데이터 항목이 상기 데이터 저장소에 저장된 상태로 남아있지 않다면, 상기 클라이언트 기기를 인증하는 것은 상기 패스워드의 검증을 조건으로 하는, 네트워크 통신 장치.
  31. 청구항 29 또는 청구항 30에 있어서,
    상기 클라이언트 기기를 인증하는 것은 AAA(Authentication, Authorisation and Accounting) 프로토콜 또는 RADIUS(Remote Authentication Dial In User Service) 프로토콜에 따라 인증 통신을 수행하는 것을 포함하는, 네트워크 통신 장치.
  32. 청구항 29 내지 청구항 31 중 어느 한 항에 있어서,
    상기 클라이언트 아이덴티티 데이터 항목은 사용자 이름, 상기 클라이언트 기기를 식별하는 정보(예를 들어, 호출국-ID) 중 임의의 하나 이상을 포함하는, 네트워크 통신 장치.
  33. 청구항 29 내지 청구항 32 중 어느 한 항에 있어서,
    상기 만료 데이터 항목은 상기 제1 인증 서버 장치가 상기 클라이언트 기기와의 인증 통신에 대해 비동기적으로 상기 제2 인증 서버 장치와의 인증 통신을 수행하기 위해 제공해야하는 시간을 정의하는 제1 시간 값을 포함하는, 네트워크 통신 장치.
  34. 청구항 29 내지 청구항 33 중 어느 한 항에 있어서,
    상기 만료 데이터 항목은 상기 제1 인증 서버 장치가 상기 데이터 저장소에서 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제해야할 때를 정의하는 제2 시간 값을 포함하는, 네트워크 통신 장치.
  35. 청구항 34에 있어서,
    상기 삭제는 상기 제1 시간 값 및 상기 제2 시간 값 중 어느 하나 또는 둘 모두에 의해 정의되는 기간이 만료되면 상기 추가 데이터 저장소에서 상기 저장된 클라이언트 아이덴티티 데이터 항목을 삭제하는 것을 포함하는, 네트워크 통신 장치.
  36. 청구항 1 내지 청구항 12 중 어느 한 항에 따른 방법을 구현하기 위해 컴퓨터(들) 상에서 실행 가능한 명령들을 포함하는 컴퓨터 프로그램을 포함하는 컴퓨터 프로그램 제품, 또는 데이터 캐리어/저장소.
  37. 실행될 때 청구항 1 내지 청구항 12 중 어느 한 항에 따른 방법을 구현하도록 구성된 명령들을 포함하는 컴퓨터 프로그램으로 프로그래밍된 하나 이상의 컴퓨터들.
  38. 실행될 때 청구항 1 내지 청구항 12 중 어느 한 항에 따른 방법을 구현하도록 구성된 명령들을 포함하는 컴퓨터 프로그램으로 프로그래밍된 컴퓨터들의 네트워크.
  39. 첨부된 도면을 참조하여 본 명세서의 임의의 일 실시예에서 개시된 것과 실질적으로 동일한 네트워크 통신 장치.
  40. 첨부된 도면을 참조하여 본 명세서의 임의의 일 실시예에서 개시된 것과 실질적으로 동일한 방법.


















KR1020197014025A 2016-10-17 2017-10-16 네트워크 통신의 개선 및 네트워크 통신과 관련된 개선 KR20190091443A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB1617586.1 2016-10-17
GB1617586.1A GB2554953B (en) 2016-10-17 2016-10-17 Improvements in and relating to network communications
PCT/GB2017/053129 WO2018073571A1 (en) 2016-10-17 2017-10-16 Improvements in and relating to network communication

Publications (1)

Publication Number Publication Date
KR20190091443A true KR20190091443A (ko) 2019-08-06

Family

ID=57680631

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197014025A KR20190091443A (ko) 2016-10-17 2017-10-16 네트워크 통신의 개선 및 네트워크 통신과 관련된 개선

Country Status (11)

Country Link
US (1) US11297047B2 (ko)
EP (1) EP3526947B1 (ko)
JP (1) JP7205044B2 (ko)
KR (1) KR20190091443A (ko)
CN (1) CN110352585A (ko)
AU (1) AU2017344388B2 (ko)
CA (1) CA3040798A1 (ko)
GB (1) GB2554953B (ko)
MY (1) MY196567A (ko)
SG (1) SG11201903445SA (ko)
WO (1) WO2018073571A1 (ko)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11469891B2 (en) 2017-06-12 2022-10-11 British Telecommunications Public Limited Company Expendable cryptographic key access
EP3639496B1 (en) * 2017-06-12 2022-10-26 British Telecommunications public limited company Improved network access point
EP3639480A1 (en) * 2017-06-12 2020-04-22 British Telecommunications Public Limited Company Home network access
WO2018228952A1 (en) 2017-06-12 2018-12-20 British Telecommunications Public Limited Company Expendable network access
WO2019232420A2 (en) * 2018-06-01 2019-12-05 Culvert-Iot Corporation An intelligent tracking system and methods and systems therefor
EP3672194A1 (en) 2018-12-17 2020-06-24 Telia Company AB Solution for receiving network service
US11715060B2 (en) 2019-05-31 2023-08-01 X Development Llc Intelligent tracking system and methods and systems therefor
ES2827048A1 (es) * 2019-11-19 2021-05-19 Inetum Espana S A Sistema de portal cautivo independiente del fabricante
JP2023514779A (ja) * 2020-02-21 2023-04-10 ノマディックス インコーポレイテッド 永続および非永続識別子によるネットワークデバイスのネットワークインターセプトポータルの管理
US11792718B2 (en) * 2021-02-22 2023-10-17 Hewlett Packard Enterprise Development Lp Authentication chaining in micro branch deployment

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6856800B1 (en) * 2001-05-14 2005-02-15 At&T Corp. Fast authentication and access control system for mobile networking
US6947725B2 (en) * 2002-03-04 2005-09-20 Microsoft Corporation Mobile authentication system with reduced authentication delay
CN1310476C (zh) * 2004-07-05 2007-04-11 华为技术有限公司 无线局域网用户建立会话连接的方法
US8996603B2 (en) 2004-09-16 2015-03-31 Cisco Technology, Inc. Method and apparatus for user domain based white lists
US7685241B2 (en) 2005-05-13 2010-03-23 Yahoo! Inc. Mapping online service user ID to portal user ID
JP4776283B2 (ja) 2005-06-27 2011-09-21 株式会社ナカヨ通信機 無線lanシステムおよび通信方法
WO2007071009A1 (en) * 2005-12-23 2007-06-28 Bce Inc. Wireless device authentication between different networks
US20070209081A1 (en) * 2006-03-01 2007-09-06 Morris Robert P Methods, systems, and computer program products for providing a client device with temporary access to a service during authentication of the client device
CN100558187C (zh) 2006-12-11 2009-11-04 杭州华三通信技术有限公司 一种无线接入方法及接入控制器
US8165561B2 (en) 2007-03-27 2012-04-24 Alcatel Lucent IMS networks providing business-related content to wireless devices
EP2034661A1 (en) * 2007-09-07 2009-03-11 Deutsche Telekom AG Method and system for distributed, localized authentication in the framework of 802.11
US20090109941A1 (en) * 2007-10-31 2009-04-30 Connect Spot Ltd. Wireless access systems
JP5408140B2 (ja) 2008-10-23 2014-02-05 富士通株式会社 認証システム、認証サーバおよび認証方法
JP5268785B2 (ja) * 2009-06-03 2013-08-21 株式会社野村総合研究所 Webサーバシステムへのログイン制限方法
CN101827112B (zh) 2010-05-25 2016-05-11 中兴通讯股份有限公司 上网认证服务器识别客户端软件的方法及系统
EP2472911A1 (en) 2010-12-29 2012-07-04 British Telecommunications Public Limited Company WLAN device proximity service
US9008657B2 (en) 2011-06-13 2015-04-14 Microsoft Technology Licensing, Llc Centralized context awareness through network association
US8495714B2 (en) * 2011-07-20 2013-07-23 Bridgewater Systems Corp. Systems and methods for authenticating users accessing unsecured wifi access points
US9161219B2 (en) * 2012-06-22 2015-10-13 Guest Tek Interactive Entertainment Ltd. Authorizing secured wireless access at hotspot having open wireless network and secure wireless network
US9979710B2 (en) 2012-07-26 2018-05-22 Stmicroelectronics, Inc. Single SSID and dual-SSID enhancements
US8769651B2 (en) * 2012-09-19 2014-07-01 Secureauth Corporation Mobile multifactor single-sign-on authentication
US9166969B2 (en) * 2012-12-06 2015-10-20 Cisco Technology, Inc. Session certificates
US9307408B2 (en) * 2012-12-27 2016-04-05 Intel Corporation Secure on-line signup and provisioning of wireless devices
US9167427B2 (en) * 2013-03-15 2015-10-20 Alcatel Lucent Method of providing user equipment with access to a network and a network configured to provide access to the user equipment
US9294920B2 (en) 2013-09-21 2016-03-22 Avaya Inc. Captive portal systems, methods, and devices
US9369342B2 (en) 2013-11-15 2016-06-14 Microsoft Technology Licensing, Llc Configuring captive portals with a cloud service
US9800581B2 (en) * 2014-03-14 2017-10-24 Cable Television Laboratories, Inc. Automated wireless device provisioning and authentication
US20150302483A1 (en) 2014-04-17 2015-10-22 The Captiveyes Group Inc. Customized landing page system and method
US9578003B2 (en) 2014-07-30 2017-02-21 Aruba Networks, Inc. Determining whether to use a local authentication server

Also Published As

Publication number Publication date
WO2018073571A1 (en) 2018-04-26
AU2017344388B2 (en) 2022-02-03
EP3526947B1 (en) 2023-05-24
US11297047B2 (en) 2022-04-05
GB2554953B (en) 2021-01-27
CA3040798A1 (en) 2018-04-26
MY196567A (en) 2023-04-19
GB2554953A (en) 2018-04-18
JP2019537175A (ja) 2019-12-19
GB201617586D0 (en) 2016-11-30
CN110352585A (zh) 2019-10-18
AU2017344388A1 (en) 2019-06-06
JP7205044B2 (ja) 2023-01-17
SG11201903445SA (en) 2019-05-30
EP3526947A1 (en) 2019-08-21
US20190253409A1 (en) 2019-08-15

Similar Documents

Publication Publication Date Title
US11297047B2 (en) Network communications
US10805797B2 (en) Enabling secured wireless access using user-specific access credential for secure SSID
EP3120591B1 (en) User identifier based device, identity and activity management system
JP4713338B2 (ja) セルラ通信システムにおいて再認証を可能にする方法および装置
CN106105134B (zh) 用于改进端到端数据保护的方法和装置
US9113332B2 (en) Method and device for managing authentication of a user
CN105981345B (zh) Wi-fi/分组核心网接入的合法侦听
US8918847B2 (en) Layer 7 authentication using layer 2 or layer 3 authentication
EP1984952B1 (en) Method and apparatus for authentication
US8839396B1 (en) Providing single sign-on for wireless devices
KR102359070B1 (ko) 접속 및 인증 요청들이 재방향설정되는 포털 주소들로 서브캐리어 디바이스 식별자들을 매핑하고 대량 가입자 장치 설정을 용이하게 하는 포털 집성 서비스
Bolgouras Combination of the PEAP Protocol with EAP-OpenID Connect
Shi et al. AAA Architecture and Authentication for Wireless Lan roaming

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application