KR20200002778A - 접속 및 인증 요청들이 재방향설정되는 포털 주소들로 서브캐리어 디바이스 식별자들을 매핑하고 대량 가입자 장치 설정을 용이하게 하는 포털 집성 서비스 - Google Patents

접속 및 인증 요청들이 재방향설정되는 포털 주소들로 서브캐리어 디바이스 식별자들을 매핑하고 대량 가입자 장치 설정을 용이하게 하는 포털 집성 서비스 Download PDF

Info

Publication number
KR20200002778A
KR20200002778A KR1020197014341A KR20197014341A KR20200002778A KR 20200002778 A KR20200002778 A KR 20200002778A KR 1020197014341 A KR1020197014341 A KR 1020197014341A KR 20197014341 A KR20197014341 A KR 20197014341A KR 20200002778 A KR20200002778 A KR 20200002778A
Authority
KR
South Korea
Prior art keywords
portal
network
subscriber
server
aggregation server
Prior art date
Application number
KR1020197014341A
Other languages
English (en)
Other versions
KR102359070B1 (ko
Inventor
크리스토퍼 알란 스펜서
Original Assignee
글로벌 리치 테크놀로지 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 글로벌 리치 테크놀로지 리미티드 filed Critical 글로벌 리치 테크놀로지 리미티드
Publication of KR20200002778A publication Critical patent/KR20200002778A/ko
Application granted granted Critical
Publication of KR102359070B1 publication Critical patent/KR102359070B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/566Grouping or aggregating service requests, e.g. for unified processing
    • H04L67/2833
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • H04L61/2015
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/2814
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Abstract

복수의 가입자 장치들 중의 가입자 장치에서 복수의 네트워크 포털 장치들 중의 각자의 네트워크 포털 장치로의 접속을 위한 통신 네트워크에서의 방법이 제공된다. 상기 방법은 복수의 네트워크 포털 장치들 (12, 13, 14)과 연관된 복수의 네트워크 포털 주소들 및 각각이 상기 복수의 가입자 장치들 중 하나를 식별하는 복수의 가입자 식별자들을 저장하는 포털 집성 서버 (7)를 제공하는 단계를 포함한다. 상기 방법은 상기 네트워크로 접속하기 위한 접속 요청을 상기 가입자 장치로부터 수신하는, 상기 포털 집성 서버에서 수행된 단계를 더 포함한다. 상기 요청은 가입자 장치와 연관된 상기 가입자 식별자를 포함한다. 상기 방법은 수신된 가입자 식별자를 상기 네트워크 포털 주소로 매핑하고, 그리고 상기 접속 요청을 그렇게 매핑된 네트워크 포털 주소로 재방향설정하는, 단계를 포함한다.

Description

접속 및 인증 요청들이 재방향설정되는 포털 주소들로 서브캐리어 디바이스 식별자들을 매핑하고 대량 가입자 장치 설정을 용이하게 하는 포털 집성 서비스
본 발명은 포털들을 경유한 통신들을 위한 네트워크 통신 방법 및 장치에 관한 것이다.
네트워크 포털 (portal) (예를 들면, 웹 포털)은 정보를 위한 액세스의 포인트로서 사용되는 웹사이트이다. 그것들은 네트워크 액세스 제어 및 절차들을 제공하며 그리고 모바일 전화기들, 랩톱들, 개인용 컴퓨터들 등과 같은 다수의 디바이스 유형들/플랫폼들로부터 종종 액세스된다. 예를 들면, 웹 포털들은 조직들 및 기업들을 위해 특별한 룩 앤 필 (look and feel)을 종종 제공한다. 그것들은 사용자들이 그 포털에 제시된 정보를 개인화하는 것을 허용할 수 있으며, 그리고 데이터 액세스들의 포인트들, 공개된 콘텐트 및 검색을 제공하기 위해 종종 사용된다. 웹 포털은 사용자들에게 더 쉬운 네트워크 내비게이션을 제공할 수 있으며, 그리고 동일한 페이지 상의 다른 웹 포털들과 함께 네트워크 사용자에게 제시될 수 있다.
큰 네트워크 오퍼레이터들은 홈 라이터들, 액세스 포인트들 및 스위치들과 같은 사용자 장비 (UE) 디바이스들을 대량 제공하는 것을 필요로 한다. 이 디바이스들이 대량 산출되면서도 자신들의 로케이션들 및 자신들이 제공하는 서비스들을 위한 유일한 설정들을 심지어는 TR-69와 같은 프로비저닝 서비스들을 사용하여 제공한다는 것이 문제이다. 상이한 현장 브랜드 (venue branded) 서비스를 제공하기 위해 유일한 RADIUS/종속 (Captive) 포털 서비스 재방향설정 설정이 그 에지 디바이스나 네트워크 게이트웨이에 배치되어야 한다. 예를 들면, 네트워크 오퍼레이터는 두 개의 분리된 시설물들에 서비스를 제공하기를 원할 수 있다. 현장 A에서의 제1 시설물은 자기 자신의 Wi-Fi 종속 포털 및 브랜드 아이덴티티 (brand identity)를 가지며, 무료 Wi-Fi를 제공한다. 현장 B에서의 제2 시설물은 자기 자신의 아이덴티티 및 서비스를 또한 가지며 그리고 유료 Wi-Fi를 제공한다. 장비가 고장나서 현장 A에서 교체될 것을 필요로 하는 상황에서, 네트워크 오퍼레이터는 현장 A로 선적하기 이전에 올바른 설정을 한 교체 장비를 선-제공해야만 한다. 그러나, 그 제공이 제대로 되지 않았다면, 현장 A로의 있을 수 있는 현장 방문이 필요하다.
본 발명은 이런 문제들을 중점을 두어 해결하려고 한다.
일반적으로 본 발명은 다수의 가입자 장치들을 직접 분리하여 프로비저닝해야 하는 것을 피하기 위해 포털 설정들을 가입자 장치로 원격이나 간접적으로 프로비저닝하는 것을 제공하는 아이디어를 가진다.
첫 번째 모습에서, 본 발명은 복수의 가입자 장치들 중의 가입자 장치에서 복수의 네트워크 포털 장치들 중의 각자의 네트워크 포털 장치로의 접속을 위한 통신 네트워크에서의 방법을 제공한다. 상기 방법은 복수의 상기 네트워크 포털 장치들과 연관된 복수의 네트워크 포털 주소들 및 각각이 상기 복수의 가입자 장치들 중 하나를 식별하는 복수의 가입자 식별자들을 저장하는 포털 집성 서버를 제공하는 단계를 포함한다. 본 발명은 상기 포털 집성 서버에서, 상기 네트워크로 접속하기 위한 접속 요청을 상기 가입자 장치로부터 수신하는 단계를 포함한다. 상기 요청은 가입자 장치와 연관된 가입자 식별자를 포함한다. 상기 방법은 그리고 수신된 가입자 식별자를 상기 네트워크 포털 주소로 매핑하고, 그리고 상기 접속 요청을 그렇게 매핑된 네트워크 포털 주소로 재방향설정하는, 단계를 포함한다.
이 방식에서, 필수적인 포털 설정 정보를 가입자 장치들에 직접적으로 저장하는 것 대신에, 이 정보는 집중적으로 (예를 들면, 원격으로) 보유되며 그리고 원하는 네트워크 접속들을 할 때에 가입자 장치들에게 이용 가능하게 된다. 본 발명은 단일 설정 사용자 디바이스가 자신의 트래픽을 집중적 설정된 부하 균형 (load balanced) 집성 서비스로 송신하는 것을 허용할 수 있다. 상기 집성 서비스 (aggregation service)는 사용자가 위치한 현장 (즉, 사용자가 그 현장으로부터 비롯됨)을 판별하기 위해 사이트 식별자를 사용할 수 있으며 그리고 트래픽 및/또는 종속 포털을 올바른 포털로 재방향설정할 수 있다. 이것은 현장 디바이스들 (예를 들면, 가입자 장치)이 배치 및 서비스 복원의 편이와 속도를 위한 단일의 설정을 공유하는 것을 허용할 수 있다.
단일의 설정은 가입자 장치/장치들에, 집성이 구현된 특정 네트워크에 적용될 수 있다. 예를 들면, 공통의 SSID (Service Set Identifier)는 복수의 가입자 장치들을 위해 공통으로 사용될 수 있으며, 각 가입자 장치의 '로컬' SSID는 본래대로 남아있을 수 있다. 이 방식에서, 가입자 장치들을 포털 집성 서버의 주소를 이용하여 설정하는 것이 가능하며, 그래서 가입자로부터 떠나는 모든 통신들이 그 집성 서버를 통해서 지나가도록 한다.
상기 방법은 수신된 가입자 식별자를 이용하여 가입자 장치에 인증 프로토콜을 적용하는, 상기 포털 집성 서버에서 수행되는 단계를 포함할 수 있으며, 여기에서 재방향설정하는 것은 가입자 장치가 그렇게 인증되는 것을 조건으로 수행된다. 상기 집성 서버는 상기 인증을 네트워크 포털 주소 (즉, '어카운트') 상으로 단순하게 포워딩하도록 구성될 수 있다. 상기 집성 서버에 의해 어떤 인증도 수행될 필요는 없다. 가장 단순한 모습에서, 집성 서버는 상기 가입자 장치를, 그것에 대한 추가의 업스트림 및 프록시들인, 올바른 인증 서버 (예를 들면, RADIUS 서버와 같은 AAA 서버)에 대해 매치할 수 있다.
상기 방법은 상기 복수의 네트워크 포털 주소들 및 상기 복수의 가입자 식별자들을 포함하는 포털 재방향설정 지도를 저장하는 상기 포털 집성 서버에서 수행된 단계를 포함할 수 있다. 전술한 매핑하는 것은 수신된 가입자 식별자를 각자의 재방향설정 지도 내에 저장된 가입자 식별자와 매치하고 그리고 상기 수신된 가입자 식별자와 매치하는 가입자 식별자에 관련하여 상기 포털 재방향설정 지도 내에 저장된 네트워크 포털 주소들을 식별하는 것을 포함할 수 있다. 예를 들면, 모든 가입자 장치들 (예를 들면, 도 1: DSL 라우터들, Wi-Fi AP 등 참조)은 단일의 집성 서버와 통신할 수 있다. 상기 집성 서버의 기능은 접속 요청을, 예를 들면, 로컬 룩업 테이블에 기반하여 올바른 인증 서버 (예를 들면, RADIUS 서버와 같은 AAA 서버)로 프록시하는 것일 수 있다. 이점은 모든 가입자 장치들이 대량-설정될 수 있다는 것이다.
상기 방법은, 상기 포털 집성 서버에서 수행되는, 상기 수신된 가입자 식별자를 복수의 상기 네트워크 포털 주소들에 매핑하는 단계, 그리고 상기 접속 요청을 그렇게 매핑된 복수의 네트워크 포털 주소로 재방향설정하는 단계를 포함할 수 있다. 본 발명의 이점은 다수/모든 가입자 장치들이 단일의 설정을 가질 수 있으며, 그리고 재방향설정/프록시 인증 및 어카운팅 (예를 들면, RADIUS 서버와 같은 AAA 서버) 통신들은, 모든 가입자들이 집성되는 집성 서버로부터 올바른 클라이언트 (그리고 그것의 인증 서버, 예를 들면, RADIUS 서버와 같은 AAA 서버)로의 통신일 수 있다는 것이다. 이것은 캐리어의 IT 직원을 위해 네트워크 액세스 게이트웨이 (예를 들면, 무선 액세스 게이트웨이, WAG)의 셋업을 간략하게 하는 것은 물론이며, 장치 배치 및 일상적인 수리들 둘 모두를 간소화한다. 이것은 직원이 새로운 설정을 WAG에 부가할 필요가 없으며, 그러면서도 근무 시간 외에 계획된 작업 윈도우 및 운전중지 윈도우를 가져야 하는 위험을 일상적으로 완화시킨다는 것을 의미한다.
상기 방법은 네트워크에 접속하기 위한 접속 요청을 복수의 상기 가입자 장치들로부터 수신하는, 상기 포털 집성 서버에서 수행된 단계를 포함할 수 있으며, 여기에서 각 요청은 각자의 가입자 장치에 연관된 가입자 식별자를 포함한다. 상기 방법은 각 수신된 가입자 식별자를 공통의 네트워크 포털 주소로 매핑하는 단계 그리고 복수의 접속 요청들을 그렇게 매핑된 공동의 네트워크 포털 주소로 재방향설정하는 단계를 포함한다.
두 번째 모습에서, 본 발명은 복수의 가입자 장치들 중의 가입자 장치를 복수의 네트워크 포털 장치들 중의 각자의 네트워크 포털 장치로 접속시키기 위한 네트워크 통신 장치를 포함할 수 있으며, 상기 장치는: 복수의 상기 네트워크 포털 장치들과 연관된 복수의 네트워크 포털 주소들 및 각각이 상기 복수의 가입자 장치들 중 하나를 식별하는 복수의 가입자 식별자들을 저장하도록 구성된 포털 집성 서버를 포함하며, 여기에서 상기 포털 집성 서버는 상기 네트워크로 접속하기 위한 접속 요청을 상기 가입자 장치로부터 수신하도록 구성되고, 상기 요청은 가입자 장치와 연관된 상기 가입자 식별자를 포함하며, 그리고 상기 포털 집성 장치는 수신된 접속 요청에, 수신된 가입자 식별자를 상기 네트워크 포털 주소로 매핑하고, 그리고 상기 접속 요청을 그렇게 매핑된 네트워크 포털 주소로 재방향설정함으로써 응답한다. 상기 장치는 집성이 구현되는 네트워크에 관한 단일의, 공통의 설정을 이용하여 복수의 가입자 장치들을 식별하도록 구성될 수 있다. 예를 들면, 공통의 SSID (Service Set Identifier)가 복수의 가입자 장치들을 위해 공통으로 사용될 수 있으며, 각 가입자 장치의 '로컬' SSID는 본래대로 남아있을 수 있다. 이 방식에서, 가입자 장치들을 포털 집성 서버의 주소를 이용하여 설정하는 것이 가능하며, 그래서 가입자로부터 떠나는 모든 통신들이 그 집성 서버를 통해서 지나가도록 한다.
상기 포털 집성 서버는 수신된 가입자 식별자를 이용하여 가입자 장치에 인증 프로토콜을 적용하고, 그리고 가입자 장치가 그렇게 인증되는 것을 조건으로 상기 접속 요청을 상기 매핑된 네트워크 포털 주소로 재방향설정하도록 구성될 수 있다. 상기 포털 집성 서버는 상기 인증을 네트워크 포털 주소 (즉, '어카운트') 상으로 단순하게 포워딩하도록 구성될 수 있다. 상기 집성 서버에 의해 어떤 인증도 수행될 필요는 없다. 가장 단순한 모습에서, 상기 집성 서버는 상기 가입자 장치를, 그것에 대한 추가의 업스트림 및 프록시들인, 올바른 인증 서버 (예를 들면, RADIUS 서버와 같은 AAA 서버)에 대해 매치할 수 있다.
상기 포털 집성 서버는 복수의 네트워크 포털 주소들 및 복수의 가입자 식별자들을 포함하는 포털 재방향설정 지도를 저장하도록 구성될 수 있다. 상기 매핑하는 것은 수신된 가입자 식별자를 각자의 재방향설정 지도 내에 저장된 가입자 식별자와 매치하고 그리고 상기 수신된 가입자 식별자와 매치하는 가입자 식별자에 관련하여 상기 포털 재방향설정 지도 내에 저장된 네트워크 포털 주소들을 식별하는 것을 포함할 수 있다. 예를 들면, 모든 가입자 장치들 (예를 들면, 도 1: DSL 라우터들, Wi-Fi AP 등 참조)은 단일의 집성 서버와 통신할 수 있다. 상기 집성 서버의 기능은 접속 요청을, 예를 들면, 로컬 룩업 테이블에 기반하여 올바른 인증 서버 (예를 들면, RADIUS 서버와 같은 AAA 서버)로 프록시하는 것일 수 있다. 이점은 모든 가입자 장치들이 대량-설정될 수 있다는 것이다.
상기 포털 집성 서버는, 상기 수신된 가입자 식별자를 복수의 상기 네트워크 포털 주소들에 매핑하고 그리고 상기 접속 요청을 그렇게 매핑된 복수의 네트워크 포털 주소로 재방향설정하도록 구성될 수 있다.
상기 포털 집성 서버는, 네트워크에 접속하기 위한 접속 요청을 상기 복수의 가입자 장치들로부터 수신하도록 구성될 수 있으며, 여기에서 각 요청은 각자의 가입자 장치에 연관된 상기 가입자 식별자를 포함한다. 상기 포털 집성 서버는 각 수신된 가입자 식별자를 공통의 네트워크 포털 주소로 매핑하고 그리고 복수의 접속 요청들을 그렇게 매핑된 공동의 네트워크 포털 주소로 재방향설정하도록 구성될 수 있다.
상기 포털 집성 서버 및 인증 서버(들)는 서버-클래스 컴퓨터(들)를 포함할 수 있으며, 또는 소프트웨어를 실행하도록 프로그램된 컴퓨터 상에서 실행될 때에 인증 서버의 기능들을 구현하도록 적응된 상기 소프트웨어를 포함할 수 있다. 상기 포털 집성 서버는 네트워크 포털 주소들을 저장하기 위한 데이터 저장부(들)를 포함할 수 있으며, 그리고 상기 데이터 저장부(들)는 디지털 메모리 디바이스(들)를 포함할 수 있으며, 그리고 컴퓨터(들) 및 디지털 메모리 내 콘텐츠 및 엔트리들을 관리하고 원하는대로 그런 콘텐츠를 저장/독출/인출/삭제하기 위해 그 컴퓨터(들)에 배치되거나, 또는 그런 컴퓨터(들)에서의 구현/실행을 위해 배열된 소프트웨어를 포함할 수 있다. 상기 데이터 저장부는 캐시일 수 있으며, 또는 영구적인 메모리 시스템/디바이스일 수 있다. 예를 들면, 상기 데이터 저장부의 소프트웨어가 동작하고 있을 때에, 그 소프트웨어는 시스템 메모리 또는 RAM 내에 데이터를 캐시하거나 저장하도록 구성될 수 있다. 예를 들면, 상기 소프트웨어는 엔트리들 및 데이터 아이템들을 RAM이나 영구 메모리 (예를 들면, 하드 드라이브)에 캐시/저장하도록 구성될 수 있다. RAM은 하드 드라이브보다 아주 더 빨리 액세스 가능하기 때문에, 이것은 파일들을 가져오고 인출할 때의 지연 (lag)을 줄어들게 한다. 인증 서버는 이 목적을 위해 각자의 데이터 저장부를 포함하거나, 또는 그 데이터 저장부와의 통신을 제어할 수 있다.
다른 모습에서, 본 발명은 위에서 설명된 방법을 구현하기 위해 컴퓨터(들)에서 실행 가능한 명령어들을 포함하는 컴퓨터 프로그램을 포함하는 컴퓨터 프로그램 제품, 또는 데이터 캐리어/저장부를 제공할 수 있다. 다른 모습에서, 본 발명은 위에서 설명된 방법을 구현하도록 배열된 명령어들을 포함하는 컴퓨터 프로그램으로 프로그램된 하나 이상의 컴퓨터들을 제공할 수 있다. 다른 모습에서, 본 발명은 실행될 때에 위에서 설명된 방법을 구현하도록 배열된 명령어들을 포함하는 컴퓨터 프로그램으로 프로그램된 컴퓨터들의 네트워크를 제공할 수 있다.
본 발명의 효과는 본 명세서의 해당되는 부분들에 개별적으로 명시되어 있다.
도 1은 가입자 장치 그리고 포털 집성 서버를 경유한 복수의 원격 웹 포털들로의 네트워크 접속 구현을 개략적으로 도시한다.
도 2a 및 도 2b는 도 1에 도시된 네트워크 접속을 구현하는데 있어서 가입자 장치, 포털 집성 서버 및 원격 웹 포털들 사이에서 전송된 통신 및 명령의 흐름도를 개략적으로 도시한다.
도 3은 도 1 및 도 2에서 도시된 포털 집성 서버를 경유한 세 개의 원격 웹 포털들로의 네트워크 접속을 한 이후에, 가입자 장치에서의 포털 프로비저닝의 결과를 개략적으로 도시한다.
도 4a, 도 4b 및 도 4c는 '종속 포털 (captive portal)' 모델에 따른 네트워크 액세스 인증의 프로세스를 개략적으로 도시한다.
도 5는 원격 RADIUS 서버를 경유하여 인증을 획득하기 위해, 종속 포털 및 네트워크 액세스 서버와 관련한 프록시 RADIUS 사용을 개략적으로 도시한다.
통신 네트워크는 사용자들이 네트워크 액세스 포인트나 게이트웨이를 경유하여 자신에게 액세스하는 것을 보통 허용한다. 공개 네트워크들 (예를 들면, 인터넷)과 같은 많은 네트워크들에서, 사용자는 어떤 네트워크 서비스들/웹사이트들 등에 액세스하는 것을 허용받기 이전에 네트워크 액세스 포인트로 액세스 크리덴셜들을 제공할 것을 요청받을 수 있다. 액세스 포인트에 연결된 (또는 액세스 포인트 내에 제공된) 인증 서버/소프트웨어에 의해 이 크리덴셜들이 검증된 이후에만, 네트워크 액세스가 사용자에게 허용된다. '종속 포털' 기술은 네트워크 액세스 제어를 위한 인증의 프로세스를 구현하기 위한 공통의 메커니즘이다.
종속 포털을 이용한 네트워크 액세스 요청은 다음처럼, 그리고 도 4a, 도 4b 및 도 4c에 개략적으로 도시된 것처럼 보통 진행된다. 클라이언트/사용자는 원하는 네트워크 서비스 (예를 들면, http://webpage.com/)에 대한 액세스를 얻기 위해 자신들의 웹 브라우저를 활성화시킨다. 그것들은 종속 포털로 방향이 정해지며 (도 4a), 그곳에서 크리덴셜들이 요청된다 (예를 들면, 패스워드, 사용자 이름 등). 입력된 크리덴셜들은 네트워크 액세스 포인트 (AP)나 게이트웨이로 포워딩되며, 그곳에서 그 크리덴셜들은 체크/검사 받는다 (도 4b). 종속 포털이 아닌 곳으로의 액세스는 상기 사용자의 크리덴셜들이 검증될 때까지/검증받지 않는다면 방지된다. 상기 AP에 의해, 예를 들면, RADIUS 프로토콜을 사용하여 AAA 서버에 의해 크리덴셜들이 검증된 이후에, 사용자의 컴퓨터는 DHCP (Dynamic Host Configuration Protocol) 리스를 수신하여, 요청받은 네트워크로의 액세스를 가능하게 한다 (도 4c). 그 후에 사용자는 원하는 네트워크 (예를 들면, 인터넷)에 액세스할 수 있다. 종속 포털들은 클라이언트 디바이스의 MAC 또는 IP 주소를 그 디바이스에 대한 유일 식별자로서 사용한다.
RADIUS 프로토콜
RADIUS (Remote Authentication Dial In User Service) 프로토콜은 인증 (authentication), 인가 (authorization), 및 어카운팅 (accounting) (AAA)을 위한 산업 표준 프로토콜이다. 그것은 AAA 프로토콜을 구현한다. RADIUS는 종종 802.1X 인증을 위한 선택의 백엔드 (backend)이다. 터미널 서버들 또는 네트워크 액세스 서버 (Network Access Server (NAS))는 고객 정보의 데이터베이스로 AAA 요청을 전달하고 그리고 그 데이터베이스로부터 결과들을 돌려 받기 위해 RADIUS 프로토콜을 사용한다. RADIUS 프로토콜은, RFC 2058 그리고 RFC 2058을 구식으로 만든 그리고/또는 RFC 3579, RFC 2866 및 RFC 3580 중의 어느 하나 또는 그것들의 조합처럼 RADIUS 프로토콜 (또는 그 프로토콜의 모습들)을 정의하는 잇따른 RFC 문헌들에 의해 구식이 된 후속의 RFC 문헌들 중 하나 이상과 같은 인터넷 엔지니어링 태스크 포스 (Internet Engineering Task Force (IETF)) "RFC" 문헌들에서 정의될 수 있으며 또는 예를 들어 RFC 6614에서 사용될 수 있다.
RADIUS 서버는 AAA 서비스들을 제공하기 위해 RADIUS 프로토콜을 사용한다. RADIUS 서버는 고객들이 단말 서버 또는 네트워크 액세스 서버 (NAS)를 사용할 때에 요청된 AAA 서비스들을 수행한다. RADIUS 서버는 다음의 태스크들을 수행한다:
- 인증 : 사용자 이름 및 패스워드를 체크함으로써 고객들의 아이덴티티를 검증
- 인가 : 요청된 서비스들에 액세스하기 위한 고객들의 특권들을 검증
- 어카운팅 : 고객들이 로그인하고 로그아웃할 때, 그리고 세션들의 지속시간 추적.
"어카운팅"의 용어는 고객 사용량을 추적하는 것은 언급하는 것이다.
통신 인증 도구는 소위 말하는 "종속 포털"을 사용하는 것이다. 종속 포털은 네트워크 서비스로 로그인 상세내용들/크리덴셜들을 제공하기 위한 기회를, 그 서비스로의 액세스가 허용되기 이전에, 사용자에게 허용하기 위해 표준의 웹 브라우저를 사용한다. 이 방식에서의 웹 브라우저 사용은 많은 개인용 컴퓨터 운영 시스템 (랩탑, PC들 등)이 종속 포털을 지원할 수 있으며, 그리고 맞춤 소프트웨어가 필요하지 않다는 것을 의미할 수 있다.
RADIUS 서버가 인증 목적들을 위해 사용될 때에, 그것은 내트워크 액세스 포인트에게 '액세스 거절 (Access Reject)' 응답; 또는 '액세스 수락 (Access Accept)' 응답의 두 응답들 중 하나를 리턴할 수 있다. 사용자가 수락할 수 있는 크리덴셜들을 제공하는 것을 실패한다면, 'Access Reject' 응답은 요청된 네트워크 리소스에 대한 액세스를 거부하기 위해 발생한다. 'Access Accept' 응답은 사용자가 액세스를 허용받을 때에 발생한다.
RADIUS 프로토콜/서버는 RADIUS 프로토콜 메시지들이 다른 RADIUS 서버들로 프록시될 것을 (즉, 프록시 서버를 경유하여 전송될 것을) 가능하게 하는 능력을 가진다. 이것은 제1 네트워크 (네트워크 A)의 사용자가 제2 네트워크 (네트워크 B)의 RADIUS 서버 상에서의 인증에 의해 그 제2 네트워크 (네트워크 B)에 대한 액세스를 얻는 것이 가능하게 된다는 것을 의미한다. 즉, 상기 제1 네트워크에서의 RADIUS 인증 요청은 RADIUS 프로토콜을 사용하는 다른 네트워크로의 사용자 액세스를 허용하기 위해 그 다른 네트워크로 프록시될 수 있다.
제1 네트워크 (네트워크 A)의 RADIUS 서버가 그 제1 네트워크에 연결된 제2 네트워크 (네트워크 B)로의 액세스를 소망하는 사용자로부터 액세스/인증 요청을 수신할 때에, 그 요청은 (네트워크 A에서) 로컬에서 사용자의 크리덴셜들을 검증하는 것 대신에 상기 제2 네트워크 (네트워크 B)의 RADIUS 서버로 포워딩 (또는 프록시)될 수 있다. 제2 네트워크 (네트워크 B)의 RADIUS 서버는 그러면 그 사용자의 크리덴셜들을 검증하며 그리고 그 사용자의 액세스 요청에 관한 '액세스 수락' 메시지를 제1 네트워크의 RADIUS 서버에게 거꾸로 송신할 수 있으며, 그럼으로써 제1 네트워크를 경유한 제2 네트워크로의 액세스를 허용한다. 이것은 '연합 액세스 (federated access)'로 알려져 있다.
RADIUS 프록시 서버는 RADIUS 클라이언트 (및 RADIUS 프록시들) 그리고 RADIUS 서버들 (또는 RADIUS 프록시들) 사이에서 RADIUS 접속 요청 및 어카운팅 메시지들을 포워딩하거나 라우팅하도록 구성된 디바이스이다. RADIUS 프록시 서버는 RADIUS 메시지를 적절한 RADIUS 서버로 라우팅하기 위해 User-Name 또는 Called-Station-ID RADIUS와 같은 그 RADIUS 메시지 내 정보를 사용한다. RADIUS 프록시 서버는, 상기 인증, 인가, 및 어카운팅이 상이한 네트워크들, 로케이션들 또는 조직들 내 다수의 RADIUS 서버들에서 발생해야만 할 때에 RADIUS 메시지들을 위한 포워딩 포인트로서 사용될 수 있다. RADIUS 프로토콜은 인터넷 서비스 제공자들 (ISP) 사이에서 로밍을 용이하기 하기 위해, 예를 들면 많은 공개 네트워크들에서 사용 가능한 크리덴셜들의 단일의 글로벌 세트를 제공하는 회사들에 의해 공통적으로 사용된다.
도 5는 인터넷 접속을 경유하여 액세스 가능한 원격 RADIUS 서버를 사용하여 AAA 서비스들을 제공하기 위해 종속 포털과 관련한 RADIUS 프록시 서버의 사용을 개략적으로 도시한다. 무선 네트워크 액세스 포인트 (AP)를 경유한 인터넷 서비스들로의 액세스를 요청하는 UE에 응답하여, 네트워크 액세스 서버 (NAS)로부터 사용자 장비 (UE)로 종속 포털이 제공된다. 상이한 로케이션들로의 UE 로밍으로 인해 마주친 상이한 네트워크들에서 상이한 AP들을 경유하여 인터넷 서비스들로의 액세스를 허용하기 위해서 이 배열은 UE에 의한 네트워크 로밍을 허용한다.
도 1은 포털 집성 서버 (7)를 경유하여 복수의 원격 웹 포털들 (12, 13, 14)로의 네트워크 접속을 구현하는 프로세스에서의 개인용 컴퓨터, 랩톱 컴퓨터, 터치-패드 컴퓨터나 스마트폰과 같은 사용자 장비 (UE) (2)를 개략적으로 도시한다. 이 컴포넌트들은 사설 인트라넷일 수 있는 네트워크 (1)의 적어도 일부를 집합적으로 형성하거나 또는 인터넷의 일부를 형성할 수 있다.
사용자 장치 (2)는, 각각이 분리하여 아래에서 설명되는 방식으로 포털 집성 서버 (7)와 상호 작용할 수 있는 복수의 유사한 사용자 장비 (도시되지 않음)로부터의 한 사용자 장비일 수 있다. 포털 집성 서버는 사용자 장치 (2)를 복수의 네트워크 포털 장치들 (12, 13, 14)로부터의 하나 이상의 네트워크 포털 장치들에 접속시키도록 구성된다. 이 예에서, 아래에서 설명되는 것처럼, 포털 집성 서버는 사용자 장비 (2)를 세 개의 네트워크 포털 장치들로 접속시키도록 구성되지만, 이 개수는 순전히 예시의 목적을 위한 것이며 제한하려고 의도된 것이 아니라는 것이 이해되어야 한다.
사용자 장비 (2)는 복수의 원격 웹 포털들 (12, 13, 14)을 경유하여 제공된 웹-기반 서비스의 고객의 부지 내에 위치하며 그리고 그 고객의 부지에 배치된 고객 장비 (고객 부지 장비 (customer premise equipment) - CPE)와 통신하여 연결된다. 예를 들면, 고객 부지는 공항일 수 있으며 그리고 사용자 장비 (2)는 인터넷에 액세스할 것으로 희망하는 공항 (예를 들면, 공항 라운지) 내 여행자의 랩톱일 수 있다. 그 고객은 사용자에게 특정 웹 서비스들 및/또는 그 고객 등에 의해 특정된 어떤 소망된 브랜딩/룩을 포함하는 특정 서비스들만을 사용자에게 제시하기를 바랄 수 있을 것이다. 예를 들면, 고객은 무료 Wi-Fi를 제공하는 자기 자신의 Wi-Fi 종속 포털 및 브랜드 아이덴티티를 가질 수 있으며, 또는 유료 Wi-Fi만을 제공할 수 있다. 이 맞춤 제공은, 자신의 사용자들 (UE) (3)에게 제시하기를 소망하는 서비스들을 제공하는 미리 정해진/소망된 원격 웹 포털들 (12, 13, 14)에 가입하도록 구성된 사용자 장비 (3)에 의해 구현된다.
인터넷으로의 액세스는 무선 액세스 게이트웨이 (WAG) 장비 (4)를 경유하여 고객 부지 장비 (3)에게 제공된다. 이 WAG 장비는 사용자 (UE)에게 제공할 용도로, 가입 CPE 그리고 가입자 트래픽 (예를 들면, 콘텐트)을 제공하는 원격 웹 포털들 (12, 13, 14)로의/로부터의 그 트래픽을 교환하기 위해 포털 집성 서버 (7)와 통신하도록 구성된다. 이 트래픽을 위해 HTTP 프로토콜이 사용된다. 상기 WAG 장비는 원격 인증 다이얼-인 사용자 서비스 (Remote Authentication Dial-In User Service (RADIUS)) 에 따라 인증/인가 트래픽을 교환하기 위해 포털 집성 서버 (7)와 통신하도록 또한 구성된다. 상기 원격 인증 다이얼-인 사용자 서비스 (RADIUS)는 클라이언트/서버 프로토콜이다. 그것은 네트워크 서비스에 접속하고 사용하는 사용자들을 위한 중앙화 된 인증, 인가, 및 어카운팅 (Authentication, Authorization, and Accounting (AAA)) 관리를 제공하는 네트워킹 프로토콜이다. RADIUS 프로토콜은 인터넷이나 내부 네트워크들로의 액세스를 관리하기 위해 인터넷 서비스 제공자들 및 (예를 들면, 조직 내의) 인트라넷 사용자들에 의해 종종 사용된다. 무선 액세스 게이트웨이 (WAG)는 네트워크 (1)로의 액세스를 제어하는 네트워크 액세스 서버를 제공하며, 그리고 포털 집성 서버 (7) 내의 프록시 RADIUS 서버 (8)와 통신하는 RADIUS 클라이언트 컴포넌트를 포함한다.
프록시 RADIUS 서버 (8)는 큰 규모의 네트워크 (예를 들면, 인터넷이나 인트라넷) 내 네트워크 포털 장치들 (12, 13, 14) 그리고 WAG 사이의 게이트웨이로서 행동한다. 상기 프록시 RADIUS 서버 (예를 들면, 컴퓨터 시스템이나 애플리케이션)는 네트워크 포털 장치들로부터 리소스들을 찾는 사용자 장비 (2)로부터의 요청들을 위한 중개자로서 행동한다. 사용자 장치는 네트워크 포털 장치로부터 이용 가능한 접속, 웹 페이지, 또는 다른 리소스와 같은 서비스를 요청하기 위해 WAG (4)를 경유하여 상기 프록시 서버로 접속할 수 있다. 상기 프록시 서버는 복잡성을 간략화하고 제어하기 위한 방법으로서 RADIUS 프로토콜을 적용함으로써 상기 요청을 평가한다. 상기 집성 서버는 상기 인증을 네트워크 포털 주소 (즉, '어카운트') 상으로 단순하게 포워딩한다.
상기 포털 집성 서버는 복수의 네트워크 포털 장치들과 연관된 복수의 네트워크 포털 주소들 그리고 복수의 가입자 장치들 중 하나 (예를 들면, 가입자 (3), 상기 CPE)를 각각 식별하게 하는 복수의 가입자 식별자들을 저장한다 (다른 것들은 간략함을 위해 도시되지 않음). 상기 포털 집성 서버는 RADIUS 프로토콜 (5)을 경유하여 네트워크에 접속하기 위한 접속 요청을 가입자 장치 (3)로부터 수신하도록 구성된다. 상기 요청은 가입자 장비 (즉, 상기 CPE) (3)와 연관된 가입자 식별자를 포함하며, 그리고 상기 포털 집성 서버는 수신한 접속 요청에, 수신한 가입자 식별자를 네트워크 포털 주소로 매핑하고 그리고 그렇게 매핑된 네트워크 포털 주소로 상기 접속 요청을 재방향설정함으로써, 응답한다. 재방향설정 유닛 (9)은 이 매핑 및 재방향설정 (redirection)을 구현하기 위해 사용된다. 재방향설정 유닛 (9)은 상기 RADUIS 프록시 서버와 동일한 방식으로 동작하지만, 로컬 룩업에 다시 기반하여 상기 사용자 장비 (UE)의 HTTP/HTTPS 재방향설정을 다룬다는 차이가 있다. 그것은, RADIUS 메시징이 올바른 업스트림 RADIUS 서버로 프록시되는 것과 매우 동일한 방식으로, 상기 UE를 올바른 웹 포털 (예를 들면, 로그인 페이지)로 재방향설정하도록 구성된다. 상기 재방향설정 유닛 (9)은 상기 재방향설정의 웹 컴포넌트를 처리한다. 상기 가입자 장비는 본 예에서는 상기 CPE이다. 적절한 포털들을 제공할 것을 필요로 하는 것이 상기 CPE이며, 반면에 상기 UE는 상기 CPE를 경유하여 이용 가능한 포털 서비스들을 사용하기를 바라는 일시적인 사용자인 것이 일반적이다.
상기 포털 집성 서버는 세 개의 포털 장치들 (12, 13, 14)의 네트워크 포털 주소들 그리고 CPE (3)를 위한 식별자를 포함하는 복수의 가입자 식별자들을 포함하는 포털 재방향설정 지도를 저장하도록 구성된다. 가입자 식별자의 예들은 다음을 포함하지만 그것들로 한정되지는 않는다: 가입자 장치 IP 주소; DHCP Option 82; RADIUS 속성의 WAG 인젝션 (예를 들면, SubscriberID, HouseHoldID, LineID, APMAC, MAC). 상이한 캐리어들은 상이한 WAG 구성들을 사용할 수 있으며, 그리고 이것들은 상이한 식별자들을 사용할 수 있다. 본 발명의 바람직한 실시예들은 메모리 캐시 내 메타데이터에 대한 룩업의 조합을 허용한다.
상기 매핑은 수신한 가입자 식별자를 상기 재방향설정 지도 내에 저장된 가입자 식별자와 매칭하고 그리고 수신한 가입자 식별자와 매치하는 가입자 식별자와 연관하여 상기 포털 재방향설정 지도 내 저장된 네트워크 포털 주소들을 식별하는 것을 포함한다. 상기 포털 집성 서버는 상기 수신한 가입자 식별자를 복수의 네트워크 포털 주소들로 매핑하고 그리고 상기 접속 요청을 그렇게 매핑된 복수의 네트워크 포털 주소로 재방향설정하도록 구성된다.
상기 포털 집성 서버는 네트워크로 접속하기 위한 접속 요청을 복수의 가입자 장치들 (즉, CPE (3) 및 다른 것들을 포함함)로부터 수신하도록 구성될 수 있다. 각 요청은 각 가입자 장치와 연관된 가입자 식별자를 포함할 수 있다. 포털 집성 서버는 각 수신한 가입자 식별자를 공통의 네트워크 포털 주소에 매핑하고 그리고 복수의 접속 요청들을 그렇게 매핑된 공통의 네트워크 포털 주소로 재방향설정하도록 구성될 수 있다.
요악하면, CPE 위치에서 트래픽을 요청하는 말단 사용자 디바이스 (UE)는 이 트래픽을 WAG로 통과시킨다. 상기 WAG는 상기 트래픽을 상기 포털 집성 서버로 라우팅하고, 그 포털 집성 서버는 이 트래픽이 어느 현장 어카운트 (즉, 어카운트1; 어카운트2; 또는 어카운트3)로 재발행설정되어야 하는가를 결정한다. 이것은 CPE 및 WAG 설정 둘 모두를 간략화시킨다.
도 2는 가입자의 사용자 장비 (UE) (2), 사용자가 네트워크 (인터넷이나 인트라넷)에 액세스하기 위해 경유하는 무선 액세스 게이트웨이 (WAG) (4), 포털 집성 서버 (7) 및 그것의 프록시 RADIUS 서버 (8), 그리고 네트워크 포털 장치 (12, 13 또는 14) 사이에서의 '호 흐름 (Call Flow)'를 개략적으로 도시한다. 이 컴포넌트들 사이에서의 통신들의 시퀀스는 다음과 같다.
이벤트 시퀀스
먼저, 단계 S1에서, 사용자 장비 (UE) (2)는 DHCP 서버에 의해 IP가 할당된다. 이것을 하기 위해, 상기 UE는 'DCHP 디스커버 (Discover)' 메시지를 상기 WAGH에 전송하고, 그리고 응답에서 'DHCP 제안 (Offer)' 메시지를 그것으로부터 수신한다. 캐리어들은 이 단계를 스스로 처리할 수 있으며, 그리고 이것은 다양한 장소들에서 구현될 수 있다. 예를 들면, 상기 WAG는 코어 라우터로부터의 DHCP 릴레이를 사용할 수 있을 것이다.
다음에, 단계 S2에서, 고객 부지 장비 (CPE) (3)는 CPE를 위한 식별자 ('CPE-ID')를 포함하는 상기 'DHCP 요청'에 DHCP 'Option 82'를 추가한다. 이것은 액세스 포인트 (AP)의 MAC 주소 또는 그 CPE에 특정된 임의의 값일 수 있다. 상기 CPE는 DSL 라우터, AP 또는 WLAN 제어기일 수 있다. 그러면 상기 WAG는 단계 S3에서, 'Called-Station-Id' RADIUS 프로토콜 속성 ('Called-Station-Id=CPE-ID') 내 DHCP 'Option 82'를 포함하는 RADIUS 프로토콜 'Access-Request (액세스-요청)'을 상기 포털 집성 서버 (7)로 송신한다. 상기 'Called-Station-Id RADIUS 속성'은 표준의 RADIUS 프로토콜 속성이지만, 본 발명은 Source IP, UEMAC, LineID 등의 위에서 설명된 어떤 식별자도 사용할 수 있다.
단계 S4에서, 상기 포털 집성 서버 (7)는 수신한 'CPE-ID'를 특정 vRADIUS 서버에 매핑함으로써 집성 매핑에 기반하여 상기 Access-Request를 vRADIUS 서버에 매치하도록 시도한다. 이 예에서, 'Called-Station-Id' 속성은 매핑을 위해 사용되며 그리고 CPE 식별자 ('CPE-ID')를 포함하는 상기 DHCP 'option 82' 값을 포함한다. 예를 들면, 'Called-Station-Id'와 같은 식별자는 상기 RADIUS 메시징 상에서 보이고/식별될 수 있다. 이것은 메모리 캐시에서 로컬 룩업 내 엔트리들에 비교될 수 있으며 그리고 어느 RADIUS 서버로 이 요청이 프록시되어야만 하는가를 해결하기 위해 사용될 수 있다.
단계 S4 동안에, 성공적으로 매칭될 때에, 상기 집성 서버 (7)의 RADIUS 프록시 서버 (8)는 상기 'Access-Request (액세스-요청)'이 매핑되었던 RADIUS 서버로 그 'Access-Request'를 단계 S5에서 송신한다. vRADIUS의 구절은 원래의 집성 RADIUS 프록시 서버 (8)가 상기 요청을 프록시한 업스트림 RADIUS 서버 (15)를 언급하는 것으로 이해될 수 있다.
상기 업스트림 vRADIUS 서버 (15)는 요청되고 있는 세션용의 종속 포털을 위해 URL을 단계 S6에서 캐시할 것이며, 그리고 이어서 단계 S7에서, 벽이 있는 정원 (walled garden) 외부의 HTTP 리소스를 액세스하기 위해 시도할 때에 상기 UE가 재방향설정될 실제의 종속 포털 URL을 규정하는 'Access-Accept (액세스-수락)' 메시지로 (집성 서버 (7)의 프록시 RADIUS 서버 (8)를 경유하여) 상기 WAG에 더 응답할 것이다. 일 예는 다음과 같다:
Figure pct00001
이것은 단계 S8에서, 'DHCP ACK' 메시지를 경유하여 상기 WAG에 의해 상기 UE로 전달된다. 예를 들면, UE가 인증받기 이전에, 그것은 종종 '종속 포털'로 불리는 웹 로그인 페이지로 바람직하게 재방향설정된다. 인증받기 이전에 이것은 허용된 리소스들, 페이지들, 이미지들, css 파일들, js 등의 '벽이 있는 정원 (walled garden)' 내에 놓인다. WAG 상에서 가입자 세션을 셋업할 것이 필요한 'Access-Accept' 메시지 내에 추가의 VSA들이 포함된다.
집성 매핑을 위해 어떤 매치도 발견되지 않으면, 집성 서버 (7)는 WAG에 'Access-Reject (액세스-거절)' 메시지로, 집성 서버 (7)의 프록시 RADIUS 서버 (8)를 경유하여 응답할 것이다.
상기 WAG는 단계 S9에서 '어카운팅 시작 (Accounting Start)' 및 '어카운팅 응답 (Accounting Response)' 메시지들을 업스트림 RADIUS 서버 (15)와 교환함으로써 그리고 단계 S10에서, 가입자 세션을 셋업함으로써 WAG RADIUS VSA에 의해 규정된 정책을 적용하여 상기 'Access-Accept' 메시지에 응답한다. 용어 'VSA'는 밴더 특정 속성 (Vendor Specific Attribute)을 의미하는 RADIUS 용어이다. WAG는 HTTP 리소스들로의 요청들이 상기 접성 서버 (7)에 의해 식별된 엔드포인트 URL로 재방향설정된다고 단계 S10에서 판단한다.
상기 UE는 그러면 상기 벽이 있는 정원 외부에 있는 HTTP 리소스 (예를 들면. http://google.com)에 액세스하기 위해 단계 S11에서 시도한다. 이것은 단계 S4에서 집성 서버 (7)에 의해 수행된 매핑 프로세스에 의해 식별된 AAA 집성 엔드포인트 URL을 가리키는 'HTTP/302 redirect' 메시지로 단계 S12에서 응답하는 WAG에 의해 차단된다. 예는 다음과 같다:
Figure pct00002
상기 UE는 단계 S13에서 (단계 S4에서 집성 서버 (7)에 의해 구싱된 매핑 프로세스에 의해 식별된) AAA 엔드포인트 URL을 집성 서버 (7)로부터 요청하며, 이 URL은 그 URL의 질의 스트링 프래그먼트 내에 특정된 '가입자 세션 (Subscriber session) ID'를 포함한다.
단계 S14에서, 상기 집성 서버 (7)는 그 집성 서버 (7)의 캐시 (9) 내 세션 컨텍스트를 룩업하고 ('포털 재방향설정 (Portal Redirection)'), 그리고 실제의 종속 포털 URL로의 'HTTP/302' 재방향설정으로 응답한다.
단계 S15 내지 S18에서, UE는 행동에 대한 상기 호를 상기 종속 포털과 함께 완료하며, 그리고 인터넷 서비스를 위해 인가받는다. 예는 다음과 같다:
Figure pct00003
이것은 무료 액세스, 수락 또는 조건, 서비스 또는 접속하기 위한 간단한 클릭에 대한 지불을 포함할 수 있을 것이다.
상기 종속 포털은 vRADIUS 서버로부터의 CoA 요청 (request)을 단계 S19에서 트리거하며, 그리고 단계 S20에서 이것은 집성 서버 (7)로, 그리고 그 후에 WAG로 프록시된다. 예는 다음과 같다:
Figure pct00004
이것은 가입자와 연관된 사용자-이름은 물론이며 가입자 세션에 적용하기 위한 새로운 가입자 정책을 포함한다. 용어 'CoA'는 권한 변경 (Change of Authority)을 언급하는 것이다. 이것은 UE를 비-인증으로부터 WAG 상에서 인증된 것으로 변경하기 위한 알려진 방법이다. 상기 UE는 단계 S20에서 종속 포털 성공 페이지 URL로 재방향설정된다. 예는 다음과 같다:
Figure pct00005
수신확인 (Acknowledgement) 및 어카운팅 (Accounting) 메시지들은 UA 그리고 상기 UE가 이제 접속하게 된 어카운트의 포털 (16) 사이에서 일상적인 방식으로 그 후에 교환될 수 있다. UE로부터 포털로의 접속 메시지의 예는 다음과 같다:
Figure pct00006
도 3은 도 1 및 도 2를 참조하여 위에서 설명된 것처럼 포털 집성 서버 (7)를 경유하여 세 개의 원격 웹 포털들 (12, 13, 14)로의 네트워크 접속을 한 이후에 가입자 장치 (2)에서 포털 프로비저닝 (provisioning)의 결과를 개략적으로 도시한다. 웹 포털 페이지들이 사용자가 가입한 웹 서비스 어카운트1, 어카운트2 및 어카운트3에 대응하는 웹 포털 주소들로부터 사용자 장치 (2)의 디스플레이 (30)에 사용자가 원하는 대로 제공된다. 다수의 웹 포털 페이지들, 또는 다수의 포틀릿들 (portlets)이 도1 및 도 3에 도시된 어카운트 2와 같은 하나의 어카운트로부터 제공될 수 있다.
포틀릿들은 혼성 (composite) 페이지의 컨텍스트에 집성되도록 설계된 웹 컴포넌트들이다. 다수의 포틀릿들은 포털 페이지를 위한 단일의 요청 내에서 불러내질 수 있다. 각 포틀릿은, 모두가 포털 페이지 마크업 내에 있는 다른 포틀릿들의 마크업과 함께 결합되는 마크업의 프레그먼트를 산출한다. 도 3은 이것의 예를 사용자 장치 (2)의 디스플레이 (30) 상에 함께 디스플레이된 어카운트 2 (도 1)의 두 포틀릿들의 면에서 개략적으로 보여준다. 도 1은 세 개의 상이한 어카운트들 (어카운트 1, 어카운트 2 및 어카운트 3)에 액세스하는 하나의 고객 부지 장치 (CPE)를 보여준다. 각 어카운트는 웹 포털을 제공한다. 각 포털은, 예를 들면, 'CoffeeCo' 등과 동일한 방식으로 상표가 정해질 수 있다. 예를 들면, CoffeCo (어카운트 1)는 자신들의 웹 포털 상의 일시적인 파트너 브랜드를 가지며, 반면에 CoffeCo (어카운트 2)는 그 회사의 디폴트 브랜드를 가지는 것일 수 있다. 사용자가 파트너와 관련하여 상기 CoffeCo 사이트에 액세스할 때에, 그 사용자는 어카운트 1로부터의 포털을 보며 그리고 그렇지 않으면 어카운트 2 등의 포털을 볼 것이다.

Claims (15)

  1. 복수의 가입자 장치들 중의 가입자 장치에서 복수의 네트워크 포털 장치들 중의 각자의 네트워크 포털 장치로의 접속을 위한 통신 네트워크에서의 방법으로서, 상기 방법은:
    복수의 상기 네트워크 포털 장치들과 연관된 복수의 네트워크 포털 주소들 및 각각이 상기 복수의 가입자 장치들 중 하나를 식별하는 복수의 가입자 식별자들을 저장하는 포털 집성 서버를 제공하는 단계;
    상기 포털 집성 서버에서, 상기 네트워크로 접속하기 위한 접속 요청을 상기 가입자 장치로부터 수신하고 - 상기 요청은 가입자 장치와 연관된 상기 가입자 식별자를 포함함 - 그리고 수신된 가입자 식별자를 상기 네트워크 포털 주소로 매핑하고, 그리고 상기 접속 요청을 그렇게 매핑된 네트워크 포털 주소로 재방향설정하는, 단계를 포함하는, 방법.
  2. 이전의 항에 있어서, 상기 포털 집성 서버에서:
    수신된 가입자 식별자를 이용하여 가입자 장치에 인증 프로토콜을 적용하는 단계를 더 포함하며, 상기 재방향설정하는 것은 가입자 장치가 그렇게 인증되는 것을 조건으로 수행되는, 방법.
  3. 이전의 항에 있어서, 상기 포털 집성 서버에서:
    상기 복수의 네트워크 포털 주소들 및 상기 복수의 가입자 식별자들을 포함하는 포털 재방향설정 지도를 저장하는 단계를 포함하며;
    상기 매핑하는 것은 수신된 가입자 식별자를 각자의 재방향설정 지도 내에 저장된 가입자 식별자와 매치하고 그리고 상기 수신된 가입자 식별자와 매치하는 가입자 식별자에 관련하여 상기 포털 재방향설정 지도 내에 저장된 네트워크 포털 주소들을 식별하는 것을 포함하는, 방법.
  4. 이전의 항에 있어서, 상기 포털 집성 서버에서:
    상기 수신된 가입자 식별자를 복수의 상기 네트워크 포털 주소들에 매핑하는 단계; 그리고
    상기 접속 요청을 그렇게 매핑된 복수의 네트워크 포털 주소로 재방향설정하는 단계를 포함하는, 방법.
  5. 이전의 항에 있어서, 상기 포털 집성 서버에서:
    네트워크에 접속하기 위한 접속 요청을 복수의 상기 가입자 장치들로부터 수신하는 단계로, 각 요청은 각자의 가입자 장치에 연관된 상기 가입자 식별자를 포함하는, 수신 단계; 각 수신된 가입자 식별자를 공통의 네트워크 포털 주소로 매핑하는 단계; 그리고 복수의 접속 요청들을 그렇게 매핑된 공동의 네트워크 포털 주소로 재방향설정하는 단계를 포함하는, 방법.
  6. 복수의 가입자 장치들 중의 가입자 장치를 복수의 네트워크 포털 장치들 중의 각자의 네트워크 포털 장치로 접속시키기 위한 네트워크 통신 장치로서, 상기 장치는:
    복수의 상기 네트워크 포털 장치들과 연관된 복수의 네트워크 포털 주소들 및 각각이 상기 복수의 가입자 장치들 중 하나를 식별하는 복수의 가입자 식별자들을 저장하도록 구성된 포털 집성 서버를 포함하며,
    상기 포털 집성 서버는 상기 네트워크로 접속하기 위한 접속 요청을 상기 가입자 장치로부터 수신하도록 구성되고, 상기 요청은 가입자 장치와 연관된 상기 가입자 식별자를 포함하며, 그리고 상기 포털 집성 장치는 수신된 접속 요청에, 수신된 가입자 식별자를 상기 네트워크 포털 주소로 매핑하고, 그리고 상기 접속 요청을 그렇게 매핑된 네트워크 포털 주소로 재방향설정함으로써 응답하는, 네트워크 통신 장치.
  7. 제6항에 있어서,
    상기 포털 집성 서버는 수신된 가입자 식별자를 이용하여 가입자 장치에 인증 프로토콜을 적용하고, 그리고 가입자 장치가 그렇게 인증되는 것을 조건으로 상기 접속 요청을 상기 매핑된 네트워크 포털 주소로 재방향설정하도록 구성된, 네트워크 통신 장치.
  8. 제6항 또는 제7항에 있어서,
    상기 포털 집성 서버는 상기 복수의 네트워크 포털 주소들 및 상기 복수의 가입자 식별자들을 포함하는 포털 재방향설정 지도를 저장하도록 구성되며;
    상기 매핑하는 것은 수신된 가입자 식별자를 각자의 재방향설정 지도 내에 저장된 가입자 식별자와 매치하고 그리고 상기 수신된 가입자 식별자와 매치하는 가입자 식별자에 관련하여 상기 포털 재방향설정 지도 내에 저장된 네트워크 포털 주소들을 식별하는 것을 포함하는, 네트워크 통신 장치.
  9. 제6항 내지 제8항 중 어느 한 항에 있어서,
    상기 포털 집성 서버는,
    상기 수신된 가입자 식별자를 복수의 상기 네트워크 포털 주소들에 매핑하고; 그리고 상기 접속 요청을 그렇게 매핑된 복수의 네트워크 포털 주소로 재방향설정하도록 구성된, 네트워크 통신 장치.
  10. 제6항 내지 제9항 중 어느 한 항에 있어서,
    상기 포털 집성 서버는,
    네트워크에 접속하기 위한 접속 요청을 상기 복수의 상기 가입자 장치들로부터 수신하되, 각 요청은 각자의 가입자 장치에 연관된 상기 가입자 식별자를 포함하며; 각 수신된 가입자 식별자를 공통의 네트워크 포털 주소로 매핑하고; 그리고 복수의 접속 요청들을 그렇게 매핑된 공동의 네트워크 포털 주소로 재방향설정하도록 구성된, 네트워크 통신 장치.
  11. 제1항 내지 제5항 중 어느 한 항에 따른 방법을 구현하기 위해 컴퓨터(들)에서 실행 가능한 명령어들을 포함하는 컴퓨터 프로그램을 포함하는 컴퓨터 프로그램 제품, 또는 데이터 캐리어/저장부.
  12. 실행될 때에 제1항 내지 제5항 중 어느 한 항에 따른 방법을 구현하도록 배열된 명령어들을 포함하는 컴퓨터 프로그램으로 프로그램된 하나 이상의 컴퓨터들.
  13. 실행될 때에 제1항 내지 제5항 중 어느 한 항에 따른 방법을 구현하도록 배열된 명령어들을 포함하는 컴퓨터 프로그램으로 프로그램된 컴퓨터들의 네트워크.
  14. 동반 도면들을 참조하여 위에서의 어느 하나의 실시예에서 실질적으로 개시된 네트워크 통신 장치.
  15. 동반 도면들을 참조하여 위에서의 어느 하나의 실시예에서 실질적으로 개시된 방법.
KR1020197014341A 2016-10-17 2017-10-16 접속 및 인증 요청들이 재방향설정되는 포털 주소들로 서브캐리어 디바이스 식별자들을 매핑하고 대량 가입자 장치 설정을 용이하게 하는 포털 집성 서비스 KR102359070B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB1617587.9 2016-10-17
GB1617587.9A GB2555108B (en) 2016-10-17 2016-10-17 Improvements in and relating to network communications
PCT/GB2017/053130 WO2018073572A1 (en) 2016-10-17 2017-10-16 Portal aggregation service mapping subscriber device identifiers to portal addresses to which connection and authentication requests are redirected and facilitating mass subscriber apparatus configuration

Publications (2)

Publication Number Publication Date
KR20200002778A true KR20200002778A (ko) 2020-01-08
KR102359070B1 KR102359070B1 (ko) 2022-02-07

Family

ID=57680647

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197014341A KR102359070B1 (ko) 2016-10-17 2017-10-16 접속 및 인증 요청들이 재방향설정되는 포털 주소들로 서브캐리어 디바이스 식별자들을 매핑하고 대량 가입자 장치 설정을 용이하게 하는 포털 집성 서비스

Country Status (11)

Country Link
US (1) US20190253891A1 (ko)
EP (1) EP3526953B1 (ko)
JP (1) JP2019537176A (ko)
KR (1) KR102359070B1 (ko)
CN (1) CN110366844A (ko)
AU (1) AU2017344389B2 (ko)
CA (1) CA3040804C (ko)
GB (1) GB2555108B (ko)
MY (1) MY196777A (ko)
SG (1) SG11201903446VA (ko)
WO (1) WO2018073572A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111263424B (zh) * 2018-12-04 2022-03-08 维沃移动通信有限公司 一种接入网络的控制方法及通信设备
US11855986B2 (en) 2020-02-21 2023-12-26 Nomadix, Inc. Management of network intercept portals for network devices with durable and non-durable identifiers
CN115190064B (zh) * 2022-09-14 2023-02-10 北京创新乐知网络技术有限公司 客户端动态路由的实现方法、装置、系统和存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080240016A1 (en) * 2007-03-27 2008-10-02 Yigang Cai Ims networks providing business-related content to wireless devices
JP2010154569A (ja) * 1999-10-22 2010-07-08 Nomadix Inc ネットワークサイトへのアクセスを試みるユーザをリダイレクトするシステムおよび方法
EP2472911A1 (en) * 2010-12-29 2012-07-04 British Telecommunications Public Limited Company WLAN device proximity service
US20120315901A1 (en) * 2011-06-13 2012-12-13 Microsoft Corporation Centralized context awareness through network association

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8996603B2 (en) * 2004-09-16 2015-03-31 Cisco Technology, Inc. Method and apparatus for user domain based white lists
US20060069782A1 (en) * 2004-09-16 2006-03-30 Michael Manning Method and apparatus for location-based white lists in a telecommunications network
US7685241B2 (en) * 2005-05-13 2010-03-23 Yahoo! Inc. Mapping online service user ID to portal user ID
US20160277261A9 (en) * 2006-12-29 2016-09-22 Prodea Systems, Inc. Multi-services application gateway and system employing the same
CN101127782B (zh) * 2007-07-19 2011-04-20 中兴通讯股份有限公司 一种强制门户业务的实现方法
US20100223129A1 (en) * 2007-08-06 2010-09-02 Randall Blair Harmon Method for matching the needs and interests of Internet users
EP2437557A1 (en) * 2010-09-30 2012-04-04 British Telecommunications Public Limited Company System and method for determing device location in a communications system
US9420459B2 (en) * 2011-11-16 2016-08-16 Cellco Partnership Method and system for redirecting a request for IP session from a mobile device
CN102739646A (zh) * 2012-04-24 2012-10-17 上海斐讯数据通信技术有限公司 网站强制访问方法
CN103269313B (zh) * 2013-05-21 2015-10-28 烽火通信科技股份有限公司 嵌入式linux家庭网关强制门户的实现方法
US9294920B2 (en) * 2013-09-21 2016-03-22 Avaya Inc. Captive portal systems, methods, and devices
US9369342B2 (en) * 2013-11-15 2016-06-14 Microsoft Technology Licensing, Llc Configuring captive portals with a cloud service
US20150302483A1 (en) * 2014-04-17 2015-10-22 The Captiveyes Group Inc. Customized landing page system and method
CN106454817B (zh) * 2015-08-04 2019-07-23 普天信息技术有限公司 一种wlan认证方法及系统、AP设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010154569A (ja) * 1999-10-22 2010-07-08 Nomadix Inc ネットワークサイトへのアクセスを試みるユーザをリダイレクトするシステムおよび方法
US20080240016A1 (en) * 2007-03-27 2008-10-02 Yigang Cai Ims networks providing business-related content to wireless devices
EP2472911A1 (en) * 2010-12-29 2012-07-04 British Telecommunications Public Limited Company WLAN device proximity service
US20120315901A1 (en) * 2011-06-13 2012-12-13 Microsoft Corporation Centralized context awareness through network association

Also Published As

Publication number Publication date
GB201617587D0 (en) 2016-11-30
CN110366844A (zh) 2019-10-22
CA3040804A1 (en) 2018-04-26
CA3040804C (en) 2023-07-04
EP3526953B1 (en) 2022-07-06
GB2555108A (en) 2018-04-25
EP3526953A1 (en) 2019-08-21
AU2017344389B2 (en) 2022-02-10
WO2018073572A1 (en) 2018-04-26
SG11201903446VA (en) 2019-05-30
US20190253891A1 (en) 2019-08-15
GB2555108B (en) 2021-03-03
KR102359070B1 (ko) 2022-02-07
JP2019537176A (ja) 2019-12-19
AU2017344389A1 (en) 2019-06-06
MY196777A (en) 2023-05-03

Similar Documents

Publication Publication Date Title
US8996603B2 (en) Method and apparatus for user domain based white lists
US8127008B2 (en) Method and apparatus for managing proxy and non-proxy requests in telecommunications network
US8924459B2 (en) Support for WISPr attributes in a TAL/CAR PWLAN environment
US9113332B2 (en) Method and device for managing authentication of a user
EP3526947B1 (en) Improvements in and relating to network communication
JP5112806B2 (ja) 無線lanの通信方法及び通信システム
CA2789495C (en) Seamless mobile subscriber identification
CN105981345B (zh) Wi-fi/分组核心网接入的合法侦听
KR102359070B1 (ko) 접속 및 인증 요청들이 재방향설정되는 포털 주소들로 서브캐리어 디바이스 식별자들을 매핑하고 대량 가입자 장치 설정을 용이하게 하는 포털 집성 서비스
EP2997711B1 (en) Providing single sign-on for wireless devices
US11463429B2 (en) Network controls for application access secured by transport layer security (TLS) using single sign on (SSO) flow
JP4352210B2 (ja) アクセス管理サーバ、ネットワーク装置、ネットワークシステム
Agarwal et al. Design and Implementation of an IP based authentication mechanism for Open Source Proxy Servers in Interception Mode
WO2022262975A1 (en) Methods and entites for end-to-end security in communication sessions

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant