TW532024B

TW532024B - System for distributed network authentication and access control

Info

Publication number: TW532024B
Application number: TW090118665A
Authority: TW
Inventors: Francis M Anton Jr; Clark Dong; Jong C Kim; Ranganatha Marathe
Original assignee: Hereuare Communications Inc
Priority date: 2000-08-01
Filing date: 2001-07-31
Publication date: 2003-05-11
Also published as: CA2426573A1; US20070124802A1; US7185360B1; CN1611049A; CN100417152C; WO2002011391A3; WO2002011391A2; AU2001277176A1; JP2004505383A; CN101345762A

Description

532024 A7

五、發明說明（令曼明之技術昔景 1 ·發明之技術領域本發明係有關一種電腦方法與系統，其用以在有線與無線輸入點，對網際網路進行使用者鑑認與資料流量的存取控制。 2·相關技藝之說明網際網路的普遍化已使得大量的資訊可以成為任何使用網際網路連結的人隨手可得的。網際網路致能式電子郵件已經成為一種基本的商務通信形式。目則，使用陸地線存取鏈路的網際網路連結已成為主流，例如撥接數據機、數位用戶線路與纜線數據機。經濟部智慧財產局員工消費合作社印製该等形式的連結雖然相當具有說服力，但對使用者提供的行動力卻相當有限，且將使對網際網路連結進行共享變得相當困難。例如，許多圖書館在專屬的電腦終端上提供網際網路存取，且某些大學 &園中的多楝建築物提# 了網路存取插&，以便讓使用膝上型電腦的學生能方便地進行存取。這些方法均提供-種用以存取除了自己本身陸地線存取鏈路之外之網際網路的構件，但均需要在公共提供的存取點上維，而且提供該項網路連結的機構都需要對一種實質基礎建設進行投資。由於基本上並不可能可使多位使用者共享相同的網路存取插座

本紙張尺度適时國國家標準(CNS)A4^^ 297公釐） 532024 五、發明說明（彡或專屬終端，相關機構必須對其想提供服務的主顧提供一種個別存取點。此外，提供對其網路存取插座的該等機構，例如大學，在給予使用者對其網路的存取權之前，將典型地需要使用者能具備一個經註冊網路帳戶，這將更進一步地限制該等網路對大眾的存取性。 Φ 相似地’當一供應商拜訪在其電腦網路上的一顧客網站時，因為該供應商並未具備一帳戶，該供應商將發現很難取得對該網路的存取權，並且因此很難進入網際網路、存取電子郵件與其他重要資料。如果該供應商夠幸運可取得對網路插座的存取權的居δ玄供應商將仍必需任由顧客網站網路行政 &理者的擺佈。基於安全的理由，公司往往將定製化地設定其電腦網路，以拒絕並未出現在其網路上註冊使用者表單上的任何一人的存取。因此，網際網路的行動存取將因著二種因素而叉到限制。第一種因素為使用者為維持對位於分別 7路存取插座之線路連結的實體需求。第二種因素並未具有已註冊帳戶的人來說，取得網路存取櫂f相當困難的。該等因素中的第一種因素已經能夠稭由無線資料網路的引進而克服，其並不需要使用者維持對網路存取插座的存取線，且因此不需要使用者維持靜態。此外，因為網路連結是無線的，對多個使用者來說，便相對容易地可利用相同存取 297公釐）本纸張尺㈣財 532024 A7 B7 經濟部智慧財產局員工消費合作社印製五、發明說明（含點來進行連結且可解除對網路的連結。克服第二種因素的方法並不直接，且將在以下更詳細地闡述。目前廣泛可得的無線資料網路之一實例是低速個人通信服務（Personal Communication Service、 PCS)網路。該種網路的主要存取裝置是蜂巢式電話，其具有内建式無線應用協定（WAP)的特徵。這些無線網路將可在授權頻率中運作，且將是集中式規劃地由大型電信載體所建構。典型地，各個蜂巢格（細胞）將具有約為2至Ί0公里的大半徑，且在約19Kbps的低速中運作。對任何既定地理區域來說，只有少量的電信載體可在該區域中進行服務，而各個網路將為專屬的且對競爭網路是封閉的。因此，某種程度來說，並無法從一網路漫遊至另一網路。此外，它的低速將使對網際網路的完整存取變知不貫用，且該種網路裝置將典型地受限而只能顯示較少的文字。種新發展出來的新型無線資料網路將提供較回速度，約Ί至11Mbps。這些網路將可在未授權頻見中運作，且將根據新新發展出來之無線通信協定標準，例如IEEE 802.Ί1、藍芽協定（B|uetooth) 與homeRF。該種網路的共同特徵是具有約2〇〇呎的小型蜂巢格（細胞）半徑。該蜂巢格（細胞）為無線或紅外線基地台，其將作為對網路的存取點。多個忒種存取點可互相在鄰近處進行分散，以擴展該種 6

mr.^___Γ____ — (請先閱讀背面之注意事項再填寫本頁)

一·0, · H ϋ n H ϋ Γ I I I I· ϋ n ϋ ϋ n n I ϋ ϋ n ϋ -ϋ ϋ ϋ H ϋ n H ϋ I I 532024 五、發明說明（4) 無線網路的整體範圍。對該種網路的介紹將揭露於美國專利證號5,771,462與5,539,824中。經％部智慧財產局員工消費合作社印製

可以利用該種無線網路裝置來形成各種不同網路組態。第Ί圖將展示多個配備有無線網路無線裝置的電腦Ί Ί至Ί 7，其特徵在於個別天線1 9至 25。當電腦1 1至1 7位於彼此鄰近處時，它們可形成一種特別設立網路且在彼此間相互通信。然而，並未位於該種特別設立網路中的是一種基地台蜂巢格（細胞），其可連接其特別設立網路至具有對網際網路的陸地線存取權的一有線網路。因此，該種特別設立網路並不具有對網際網路的存取權。現在請參照第2圖，為了存取網際網路，個人需要取得對網路的存取權，該網路具有一路由器 3 7，其相對地連接該網路至網際網路35。該種網路的特徵典型地在於控制網路上各種不同服務之存取權的伺服器31，該等服務將包括網際網路服務。工作站33將利用各種不同種類的硬體佈纜媒體53 連接至伺服器31。該網路可提供無線存取點41與 43，以分別地耦合電腦4 7與49至由伺服器3 1所控制之硬佈線網路，該電腦47與49中將配備有如天線般的無線通信裝置。存取點41與43將藉由各種不同通信系統，例如無線與紅外線波，來建立與電腦47與49的無線連結，且沿著纜線53對飼服器3*1具備一硬佈線連結。存取點41與43的本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐） 532024 A7

532024 A7 B7 五、發明說明（產局員工消費合作社印製然實行無線料所必要频件是昂貴的，但科技近年來的發展已經降低了實行無線網路所需要之蜂巢格(細胞）基地台與無線裝置的費用。該種無線網路在業界中已越來越盛行，且本發明之中請人已可預測出許多小型企業可運作其自己獨立無線網路的時間。該種獨立無線網路的大小可為市區街道大小至小型建築物大小’甚至為咖啡店大小。那麼對行動使用者來說，便可因著配備有適切無線通信裝置的订動電腦計算裝置來取得對無線網路时取權。因此，該種無線網路將可克服限制上述對網際網路自由與行動存取權的第一種因素。儘管如此，仍然必須面對上述的第二種因素，其限制了對網際網路的行動存取權。由於大部分獨立無線網路是獨立的，行動使用者將典型地未具備對目標網路的存取權’除非已經在目標網路上為行動使用者事先設定了存取帳戶。即便使用者在多個無線網路上具有存取帳戶，每當從一獨立網路移動至另一網路時，該使用者將必須停止其活動且重新在不同的無線網路進行鑑認。在此技藝中的某些習知技藝已經說明了存取外來網路的方法以及實行多個網路轉換的方法。例如’美國專利證號5,8?8,127已經展示了一種電話系統，其促使自非網路位置或工作站對私有網路的進行遠端存取。該系統將把遠端存取權授與私有訂線網 9 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公餐 532024 經濟部智慧財產局員工消費合作社印製

A7 五、發明說明（为路，根據非網路工作站的呼叫者號碼及/或由遠端呼叫者所輸入之鑑認碼。美國專利證號6,〇Ί6,3Ί8 說明了透過一種包括位置暫存器的”公共行動資料、罔路（Publ丨c Mobile Data Network)來提供存取至私有LAN與網際網路的各種不同方法，而該暫存器將作為用以儲存行動資料終端之位置資訊與用戶資訊的資料庫。相似地，美國專利證號5,978,373 展不一種方法，其使遠端使用者可以取得對私有 WAN的安全存取。一中央鑑認辦公室將作為一代理主機，以授權遠端使用者且建立對該私有網路的安全連結。該中央辦公室將傳送遠端使用者一服務註冊樣板HTML·檔案以供遠端使用者填寫。一旦遠端使用者已經被鑑認了，將與該私有網路建立連結。相似地，美國專利證號5,9Ί8,〇Ί9展示了一種系統，其可使遠端使用者透過網際網路來建立對私有網路的模擬直接撥接連結。美國專利證號6,000,033展示了一種系統，其中使用者在多個資料庫中將具有不同密語的帳戶。為了存取所有資料庫，使用者可登入至主密語資料庫，其隨後將遞送適當密語至使用者希望存取的任一資料庫。美國專利證號5,872,915展示了一種方法，其允許透過網際網路對在網路伺服器上的軟體進行安全存取。使用者將透過網路瀏覽器進入資料，其將連通至網路伺服器應用程式。該網路伺服本紙張尺度適用中國國豕標準（CNS)Α4規格（210 X 297公爱）

532024 A7 B7 經濟部智慧財產局員工消費合作社印製五、發明說明（台器應用程式隨後將鑑認該網路瀏覽器，且傳送適當輸入資料至一應用閘道，包括獨特地鑑別該網路潘J 覽器的資料。該應用閘道隨後使用從瀏覽器接收的鑑認資料來鑑別是否該瀏覽器的使用者已經被授權能夠存取該軟體應用程式。美國專利證號 5,805,719說明了另一種方法，其藉由相對地比較獨特生物統計樣本，例如指紋或聲音錄製，來鑑認使用者，其中該系統並不使用丨D表徵來進行授權交易，而是直接地從不明使用者進行採集生物統計樣本與先前取得且已儲存之相同種類的已鑑認生物統計樣本。登jg之概要說明上述之用以鑑認使用者並增加外來網路間通信的方法，並未闡述允許行動使用者進行網路存取的問題’該使用者並未具有已對目標網路註冊的帳戶。相似地，他們也不討論實行該種系統所需要的基礎建設。本發明目的之一在於提供一種系統與方法，其允許行動使用者透過外來資料網路來取得網際網路存取權。本發明另一目的在於提供一種系統，其不必使用中介私有網路，也能進行對網際網路的無線存取。 1111·裝--I--ί---—訂· I ------- (請先閱讀背面之注意事項再填寫本頁) 11 532024 A7

五、發明說明（如有使用者的正確紀錄，但_對請款也是有用的。例如’在含有多個小型私有網路的分散式網路中，戶:欲的是向，·訪客”使用者對其在私有網路上的存取時間進行請款。在本發明中，可藉由中央化鐘認網㈣服器來達成服器為行動使用者與目標私有網路所訂閱的。該行動使用者將向鏗認網路飼服器登記-帳戶，該帳戶將包括—項鑑別構件，如一密語。該私有網路將接受來自鑑認網路伺服器的鑑認結果，且對新使用者產生適當有限的網路存取。在運作中，客戶裝置（新使用者）將透過一存取控制裝置實體地連接至該目標網路，且啟始一項網際網路存取要求。如果該客戶裝置並未在目標網路授權使用者的表單中的話，該存取控制將透過網際網路使客戶i置改向至鑑認網路伺服器。該鑑路飼服器將透過該網頁傳送客戶裝置HTML登入網頁’客戶裝置將提供適當鑑認資訊給該系統。該鑑認裝置將藉由客戶裝置來剖析傳送給它的資訊，X 且鑑認該客戶裝置。如果該客戶裝置被適當地鑑別的話，該鑑認網路伺服器將隨後傳送一”解塊”訊息至該存取控制裝置，而該訊息將為特定客戶裝置專屬的。來自客戶裝置的電信流量將流過存取控制裝置，直到一項存取終止事件發生為止，例如一計時器終止、一項特定”無效客戶裝置，，訊息，或切斷訊息的客戶裝置。 532024 A7 五、發明說明（如因此很重要的是，鑑認網路伺服器可以正確地鑑別客戶裝置與目標網路。由於在此業界中網路位址轉換服務的普遍使用，便無法確保從客戶裝置所接收到之IP位址資訊是正確的，也不能確定能謹慎小心地依賴網路瀏覽器所提供之鑑別資訊，例如小應用程式（cookies)，來建立該客戶裝置的身分；否則’該系統將可感受到軟體駭客的惡意使用。因此，本發明將利用客戶裝所產生之嵌入式丨D來建立使用者的身分，且建立存取點的硬體主機位址在 HTML檔案的保留串流攔位中。此外，由於本發明的主要目的在於提供網際網路存取給行動使用者，本發明將提出使用增強式遠 ‘存取點，該存取點將具有内建路由器效能以直接地連接潛在客戶使用者至該鑑認網路伺服器與網際網路’而不需要私有者的獨立網路。該鑑認網路伺服器可維持使用個別存取點的紀錄，與客戶使用者的名字。因此，增強式存取點的所有者將仍可維持所有使用者的正確紀錄以進行請款。或者，可利用鑑認網路伺服器以及傳送至客戶使用者所使用的增強式存取點之所有者的部份單據，向客戶使用者直接地進行請款或收費。示的簡要說明本發明之上述及其它目的、特徵與優點將藉由本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐 532024 A7

經I部智慧財產局員工消費合作社印製以下多照附錄圖式說明的較佳實施例詳細而更為顯，其中·· ^ ^ 第1圖將說明習知技藝中利用無線通信之一別設立網路； ° 特第2圖為利用有線與無線網路連結的第一技藝網路佈置； ° 第3圖為利用有線與無線網路連結的第二習知技藝網路佈置； σ 第4圖將說明習知技藝中利用IP協定之網路通信；第5圖為習知技藝中使用網路位址轉換的說明；第6圖為根據本發明之第一網路佈置；第7圖為根據本發明之第二網路佈置；以及第8圖為一方塊圖，其顯示第一網路佈置中的訊息流程。較佳實施例的詳to你.明為了促使本發明的使用，目前較佳例示實施例的最佳模式是使用現存硬體與軟體工具來進行最小的調整。如技藝中所知，網路通信過程將被分為多個標準化階層或層體，且各個層體將分配進行網路通信所必要的特定工作。廣泛使用的網路通信標準為開放系統互連（Open System Interconnection、 15 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐） --------^---------^ ί請先閱讀背面之注意亊項再填寫本頁) 532024 五、發明說明（你 OSI)標準，其由國際標準組織（丨s〇)所發展出來。該〇SI通信模式將把網路通信分成七個層體。各個層體均具有事先界定且標準化的機制，以與在其上層體與其下層體進行通信。在此方式中，'要— 使用相同標準化機制來與相鄰層體進行連通，任订層體均可被調整或最佳化，而不需要調整任何其他層體。經濟部智慧財產局員工消費合作社印製第一層為實體層，且它將描述用以傳送且接收邏輯1與邏輯0的硬體媒體。第二層為資料鏈路層，且它將轉換訊息為正確格式，使實體層能夠傳送且轉換實體層所接收的訊息，以使上面層體能明瞭。基本上，資料鏈路層將格式化訊息為包含該訊息的資料框架，且增加定製化資訊，包括CRC碼、目的位址資訊，以及來源位址資訊。第三層為網路層，且其主要功能是將資料從來源網路引導至目的網路。該第三層有時稱為網際網路層，因為其工作基本上疋女排说息的路線且提供一種標準網路介面給上面層體。本發明便位於此第三層中，且進而可以用軟體調整來實行而不需要任何額外硬體調整。由於大部分現存硬體，例如路由器與集線器，已具備可更新韌體，本發明將可以容易地同化為目前網路。各種不同種類的網路協定可以相連於〇SI模型的第三層，但本發明較佳地利用網際網路協定（IP)， 16 本紙張尺度適用中國國家標準（CNS)A4規格（210 x 297公釐） 532024

、發明說明（令4 經舍部智慧財產局員工消費合作社印製其為網路所使用之協定，以與網際網路進行通信。义將因此具有優點，以便在進行更進一步討論之刖，能簡短地說明有關於本發明較佳實施例之最佳模式的IP位址協定其他部分。現在請參照第4圖，電腦71為第一網路72的邓伤其希望與為第二網路79 —部份的電腦75 進行通信。該二個網路72與79將藉由路由器74 進行耦合，而該路由器將在網路72與79之間遞达訊息。網路中每個節點將具有一獨特硬體位址，包括與電腦7Ί進行通信之a部分的路由器74 , 以及與電腦75進行通信之B部分的路由器74。當相同網路中的節點把彼此當成目標進行通信時，所傳送訊息將包含在檔頭資訊中，包括來源節點的硬體與IP位址以及目的或目標節點的硬體與丨p位址。相同網路中的所有節點可採集訊息，但如果目的硬體位址並不符合於其本身的位址時，該訊息將被忽略。假如硬體位址並不符合於一特定節點的話，那麼該節點將檢查該訊息的丨p位址以鑑認它們的確為該項訊息的目標接收者。例如，假如電腦 71希望傳送一項訊息至路由器74,那麼該訊息檔頭將包括來源硬體位址為1 〇〇，來源IP位址為 222.222.222.1 »目的硬體位址為200，且目的IP 位址為222.222.222.2。如果路由器74想要回應於該訊息的話，那麼其回應將包括相似檔頭，其中 17 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐） ^---------^---------線 (請先閱讀背面之注意事項再填寫本頁) 532024 A7

閱讀背面之注填寫頁 Ϊ t

I 訂 k

I 經濟部智慧財產局員工消費合作社印製 A7 五、發明說明（1)6 來源硬體位址改變且每當該訊息穿過一路由器時，訊息檔頭中的來源IP位址可以獨特地鑑別訊息的起源者，且因此對用以鑑別訊息的起源者而言，這將不是可靠來源。因此，如本發明所要求的，訊息檔頭中的來源IP位址似乎將用以鑑別跨越多個網路的一特定節點的主要選擇。然而，如果訊息越過利用網路位址轉換（Network Address Translation、 NAT)服務來管理其存取網路節點的網路的話，便將不是如此。為了要使節點能存取網際網路，該節點必須具有獨特IP位址。然而，獨特丨p位址的數量是限定的，且許多網路將利用NAT服務以允許許多網路即點或網路電腦，能利用相同的IP位址來存取網際網路。一種簡單的網路位址轉換實例將顯示在第5圖中。在此，電腦72至76將為網路的一部份，其將利用網路位址轉換管理者78來共享單一有效IP 位址2〇1 ·1 ·2·3。各個電腦72至76將給予任意|p 位址，其在該網路中是獨_，但未必是有效的網際網路ip位址。當電腦72至76中之一想要存取網際網路80時’它們必須首先透過具有正確丨p位址 84且傳遞訊息至網際網路的NAT管理者78，以及其自己的硬體位址1()4。此外，NAT 78將分配獨特存取埠號碼給各個來自電腦72至76的進入本紙張尺μ财(CNs)ATii^ --------^---------線 (請先閱讀背面之注意事項再填寫本頁) 19 532024 A7 B7 五、發明說明（17 訊息，且維持圖表與來源電腦74至76之硬體與丨p 位址相連於所分配到的埠號碼。經分配的淳號碼為包含在含有訊息之檔頭中鑑別資料的一部份，且因此將隨著該訊息傳送至網際網路80。當訊息從網際網路80接收時，已接收訊息的檔頭資訊必須列出NAT 78的丨P與硬體位址為其目的資料，但將同時使其埠號碼NAT 78分配至原始傳遞訊息。NAT 78將使用該埠號碼來鑑別電腦72至76中何者將產生該訊息，且因此傳遞來自於網際網路的回應給電腦72至76。如此一來，網際網路80中的目標網頁將無法鑑別訊息的起源者’因為在NAT 78背後，所有來自網路的訊息將具有相同來源IP與硬體位址。因此’當试著鑑別產生訊息的網路節點時，本發明之較佳貫施例將選擇不要依賴訊息樓頭中的來源丨p 位址。經濟部智慧財產局員工消費合作社印製本發明的主要目的在於能夠獨特地鑑別行動使用者，不論該使用者使用何種網路以存取網際網路。因此，當進行鑑別行動使用者的來源時，本發明之較佳實施例將根據習知技藝。根據本發明網路系統的第一實施例將展示在第 6圖中。本發明可應用於一種網路中，其中之佈置將相似於第2圖或任何其他已知網路組態，但較佳地，根據本發明，存取點123可備置於網路節 20 532024 A7 B7 五、發明說明（佬點附近以進行網際網路存取。在第6圖中，路由器Ί27將耦合來源網路Ί 29與網際網路131。因此，存取點123將顯示在路由器127旁邊。在此貫例中，利用膝上型電腦1 21的行動使用者將利用無線存取點1 2 3連接至網路1 2 9。可了解的是，行動使用者可同時利用硬體存取插座連接至網路 129 ° 訂在網路1 29中，伺服器1 25將較佳地負責管理鑑認所有新使用者與設置各種不同網路服務，包括網際網路存取。在此實例中，行動使用者將利用膝上型電腦121與存取點123來存取網路^29，但並未具有伺服器125的網路帳戶，且將因此典型地被拒絕網路存取。儘管如此，該行動使用者將藉由任何一種網路瀏覽器來啟始網際網路存取會談至線所欲目標網頁Ί 33，例如Microsoft Internet Explorer、Netscape Navigator。該行動使用者裝置1 2 1因此將經過網域名稱決定過程以鑑別目標網頁133的位址。網路^ 29將允許所有DNS流量流至網際網路，即使是來自未經授權使用者，且行動使用者將因此接收目標網頁133的正確丨p位址。如技藝中已知，TCP連結將藉由來源主機啟動，其傳送SYN信號（即同步化/啟動信號）封包至目的主機’且隨後等待同步化確認信號（SYN ack) ^然而，在此實例中如第8圖所示，當行動使用者裝 21 本紙張尺度適用中國國家標準（CNS)A4規格（21〇 X 297公釐） A7

發明說明（卻者裝置121提出一種HTTp表格網頁，其要求行動使用者的鑑認資訊。該使用者供應鑑認資訊可包括使用者ID與密語，其為該使用者透過其網路瀏覽器所輸入的丨D與密語。在此處應該要注意的是，雖然行動使用者丨D已經由網路129提供了 IP位址’為了與網路進行通信，從行動使用者裝置ι21 傳送至鑑認網路伺服器137的網際網路封包，將可不必依靠該獨特鑑別行動使用者裝置1 2 Ί，因為網路129將可能使用網路位址轉換。為了克服此項限制，傳送至行動使用者裝置121的HTTP表格網頁將包括由獨特客戶裝置ID關鍵語ΕΠ所啟始的嵌入式保留攔位，而該關鍵語將由鑑認網路伺服器1 3 7所提供。該保留欄位可位於發出資料封包中’其相差於該獨特客戶裝置丨D關鍵語ΕΠ有業已決定的位元數量。或者，該保留攔位可以由獨特客戶裝置ID關鍵語ΕΠ立即地引導。在步驟5,當行動使用者裝置121轉送鑑認資料至鑑認網路伺服器137時，網路129將檢測出訊息封包正被傳送至鑑認網路伺服器137,且藉由檢查該訊息封包來進行回應以檢測該嵌入式保留攔位。由於该訊息已經直接地來自於行動客戶裝置 121，其訊息封包檔頭中的獨特硬體位址將仍為有效。網路1 29將藉由產生新客戶裝置丨D關鍵語EF2 來進行回應，其根據行動客戶裝置121的獨特硬 532024 A： B7 五、發明說明（21 體位址、目前會談資訊，與網路129的位址資訊。該位址資訊將根據本系統所實行的裝置。在步驟6 中，該新客戶裝置id關鍵語將被插入至嵌入式保留欄位中m周整訊息將轉送至鑑認網路飼服器 137。在自使用者行動裝置121收到Ηττρ表格網頁後，鑑認網路伺服器137將剖析Ηττρ表格網頁中的資訊。較佳地，該資訊將利用後端CG丨描述語言程式（script)來進行剖析。在步驟7中，該鑑認網路伺服137將轉送該使用者供應資訊與來自嵌入式保留攔位的新客戶裝置丨D關鍵語到守門者伺服器135。該守門者飼服器可透過網際網路存取，或可直接地連接至該鑑認網路伺服器137。較佳地，該資訊將沿著安全鏈路，從鑑認網路伺服器 1 3 7傳送至守門者伺服器]35。線應該要注意的是，伺服器1 25、改向網路伺服态139、鑑認網路伺服器137與守門者伺服器135 並不需要位於個別機器上，且其中之一個或多個構件可共存在同一機器上。再者，並不需要由伺服器，而可由網頁、描述語言程式（script)、小程式（app丨ets) 或其他程序，來進行該屬性功能。此外，改向網路伺服器1 39的功能性不需要是個別的，且可以與網路129 —同進行整合。寸門者伺服器1 3 5將處理已接收鑑認資料資 24 本紙張尺度適用中國國家標準（CNS)A4規格（2】0 X 297公釐 532024 網為 Λ：五、發明說明（之2 訊’並檢查是否該使用者已註冊。如果該行動客戶具有合法帳戶，那麼守門者伺服器135將解碼位於嵌入式保留欄位中的新客戶裝置ID關鍵語，以鑑別該行動使用者裝置121的硬體位址。在步驟8 中，守門者伺服器135隨後將根據相同的客戶裝置丨D關鍵語，傳送已加密”解塊”訊息至網路】2 9。如上所說明的，於本系統中運作之網路1 29上的 ^ 控制裝置，將把行動使用者裝置1 2 ]的位址資訊插入於HTTP格式網頁中，且因此守門者135將直接地傳送該”解塊”訊息至該控制裝置。較佳地，該 "解塊〃訊息將利用新客戶裝置丨D關鍵語來加密。或者，第三客戶裝置ID關鍵語可在加密過程中產生且使用。它可包括行動客戶裝置121的硬體位址，以及網路1 29的網際網路協定位址。網路129將驗證該已加密”解塊”訊息，且隨後 ► 更新其㈣存取列表，讀供網_路服務給行動客戶裝置121。所有來自行動客戶襞置至際網路的後續流量將由網路】2 9毫無限制地轉送直到如以下將詳細說明之已允許存取時間終止止’將接收一項確切"無效客戶裝置"訊息，或者客戶裝置1 2 1將切斷與網路〗29的連結。在第6圖的說明中’本發明將說明為-種在網 2 129中運作的程式例行程序，但該程式例行程序的位置並未確切的陳述出來。本發明可以為在飼 25 本纸張尺度適用中國國家標準（CNS)A‘i規格⑵〇 x 297公复 -------------裝--------訂----------線 (請先閱讀背面之注意事項冉4{^本頁) 532024 B：濟智慧 Μ 產局消費合作社印製五、發明說明（乏3 服态125、路由器127或存取點123中運作的程式例订程序，或可被剖析以在該三者中分散例行程序。因此，網路1 29上之所有行動使用者將獨特地鑑別且驗證。隨後，對網路129來說可能可以向灯動使用者收取其在網路129上存取時間所產生的費用。或者，由於行動使用者將被守門者伺服 135所鑑認，較佳地由守門者伺服器135或另的專門伺服器來紀錄行動使用者裝置]2 ]之透過該網路129存取網際網路131的時間，並根據此來收費。在另一替代實施例中，行動使用者將已事先對其網路存取的業已決定時間量進行付款。订動使用者已被允許存取私有網路時，例如網 1 29，事先已付費的時間量將傳送至網路*1 29，一一旦時間已終止時，將切斷行動使用I 123的連接。订動使用者裳4 123尚未使用的剩餘時間轉送至寸門者词服器】35，或至對應專門伺服器且使用者帳戶中的剩餘時間將因此而更新。本發明的一項替代實施例將顯示在第7圖中在第7圖中’如上所述地，與第6圖中相似的件將編有相同的元件編號。在此替代實施例中，取點⑽肖川將具有安排路徑連接至網際網吩 131的能力。因此，存取點⑽心”均不需要個別硬佈線網路來實行本發明，例如帛6圖中器外經田路且可元存丨路顯 ---------------------訂 i—«—I r · —^w —.---^------ (請先閱讀背面之注音？事項4填寫本頁} 26 本紙張尺度適用中國國家標準（CNS)A‘l規格d〇x297公爱 532024 Λ； I)：經濟部智慧財產局員工消費合作社印製

五、發明說明（不的網路129。為了進行展示，無線存取點1G5將顯示為位於咖啡店中，且無線存取黑"”將顯示為位於自動機械商店的等候室中。行動使用者可隨後透過無線存取點105存取網際網路131，且用以建立節點 j結至網路巾的任何已知裝置，例如手持式電腦計算裝置101或膝上型電腦1〇3。在本實例中，存取點105將顯示為無線存取裝置，但它可同時提供硬佈線連結給客戶裝置。相似地，行動使用者可透過無線存取點111使用膝上型電腦1〇9來存取網際網路131。在此實施例中，對守門者伺服器135 來說，較佳地由裝置⑼、1〇3與1〇9來的維持網際網路存取時間紀錄，且隨後傳送總結報告給無線存取點105與111的所有者。已經根據本發明之較佳實施例來說明本發明；然而，上述僅為例示用，並不意圖限制本發明的範圍。的確，對熟知技藝者來說，可藉由上述的說明來更了解本發明的目的，且上述的說明皆在本發明的範圍内。 27 本纸張尺度適用中國國家標準（CNS)A4規格（2]ϋχ 297公釐） --------------裝—— (請先閱讀背面之注意事項再填巧本頁) -線 532024 A7 B7 經濟部智慧財產局員工消費合作社印製五、發明說明（23 元侔標號對照表 11 電腦 13 電腦 15 電腦 17 電腦 19 天線 21 天線 23 天線 25 天線 31 伺服器 33 工作站 35 網際網路 37 路由器 41 無線存取點 43 無線存取點 45 第二存取點 47 電腦 49 電腦 51 較遠距無線網路電腦 53 硬體佈纜媒體、纜線、伺服器 55 路由器 59 網際網路 61 網路節點、使用者 28 -I I I L· Li I L' ί· — — — — — - I I 1 (請先閱讀背面之注意事項再填寫本頁) 訂----r — ί,線！本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐）經濟部智慧財產局員工消費合作社印製 532024 * A7 B7 發明說明（26 63 網路節點、使用者 65 網路節點、使用者 67 存取點 71 電腦 72 第一網路 74 路由器 75 電腦 76 電腦

78 網路位址轉換管理者NAT 79 第二網路 80 網際網路 84 IP位址 ιοί手持式電腦計算裝置 103膝上型電腦 104硬體位址 105存取點、無線存取點 109膝上型電腦 1 1 1 存取點、無線存取點 121膝上型電腦、行動使用者裝置 123存取點 125伺服器 127路由器 129 來源網路 1 3 1 網際網路 29 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐）社衣--------訂·--------*5^ (請先閱讀背面之注意事項再填寫本頁) 532024

五、發明說明（乏7 1 3 3目標網頁 135守門者伺服器 1 3 7鑑認網路伺服器 1 39改向網路伺服器 EF1獨特客戶裝置ID關鍵語 EF2新客戶裝置ID關鍵語 (請先閱讀背面之注意事^Aiu、寫本頁) 經濟部智慧財產局員工消費合作社印製 30 本紙張尺度適用中國國家標準（CNS)A4規格（2】〇χ297公釐)

_--------1Τ----· I — ·線 I, II -——I

Claims

532024 A8 B8 C8

請先. 閲背、面之 · 注

訂線

2·如申請專利範圍第1項之系統，其中該改向存服器將藉由向該起源者存取裝置傳送一項指开它要連接至該業已決定的鑑認伺服器的訊息，來回應於來自未授權起源者存取裝置的一已指收資料封包。 •如申印專利範圍第Ί項之系統，其中該鑑認伺服器將藉由向該資料封包的一起源者存取裝置傳送請求該鑑認資訊的一問卷表格，來回應於一未睛求已接收資料封包，而該問卷表格將包含一隱藏保留欄位與第一鑑別關鍵語。 •如申叫專利範圍第3項之系統，其中該隱藏保留攔位將無法由接收該問卷表格之該起源者存取裝置所存取。 5. 如申請專利範圍第3項之系統，其中該第—鐘別關鍵語將根據來自該網路監看裝置的位址資訊。經-^部智慧財產局員工消費合作社印製 6. 如申請專利範圍第3項之系統，其中該網路監看裝置在驗證出該已鑑別目標目的網際網路網站符合於該業已決定鑑認伺服器之後且在轉送該發出資料至該業已決定的鑑認伺服器之前，另掃描該發出資料封包的内容以搜尋該第一鐘別關鍵語，且在找到該第一鑑別關鐽語之後，根據該起源者存取裝置的獨特硬體位址，產生第二鑑別關鍵語，而該第二鑑別關鍵語將被插 32 本纸張尺度適用中國國豕標準（CNS ) ( 210X297公羡） 532024 A8 B8 C8 --—---------_______ 六、申請專利範圍一鏗認伺服器，其可透過網際網路存取；一網路監看裝置，其用以監看從該私有網路發迗至網際網路之所有發出訊息的目的位址，且用以掃描任何目的地為該鑑認伺服器之任何訊息的内容，以在該訊息中搜尋第一業已決定鑑別碼，而該網路監看裝置將藉由鑑別產生該訊息之該存取裝置的硬體位址且根據該硬體位址產生第二鑑別碼的方式，來回應該第一業已決疋鑑別碼的檢測，而該網路監看裝置將在轉送 «亥Λ息至該鑑認伺服器之前，於該訊息中另插入該第二鑑別碼；該鑑認伺服器將藉由從該第二鑑別碼解碼該硬體位址，來回應於來自該網路監看裝置之該轉送訊息的接收；以及第二鑑別碼，其根據隨著一解塊訊息而產生且傳送至該網路監看裝置。經濟部智慧財產局員工消費合作社印製 20.如申請專利範圍第1 9項之系統，其中該網路監看裝置將藉由更新網路存取列表來回應於該解塊訊息，以授權該使用者進行網際網路存取，而該使用者之網路存取裝置的硬體位址相與嵌入在該第三鑑別碼中的相同。 21 ·如申請專利範圍第Ί 9項之系統，其中該第二鑑別碼將另根據該網路監看裝置的網際網路協定位址。 ____ 35 ( CNS ) ( 210X297^* ) ^32024 8 8 8 8 ABCD 申請專利範圍經请部智慧財產局員工消費合作社印製如申請專利範圍第19項之系統，其中該第三鑑別碼將另根據該網路監看裝置的網際網路協又位址。 23·如申請專利範圍第19項之系統，其中該網路監看裝置將藉由在未改變該訊息的情況下轉送泫訊息至該鑑認伺服器，來回應於一在訊息中該第一業已決定鑑別碼的缺席，且該訊息的目的地為該鑑認伺服器。 24·如申請專利範圍第1 9項之系統，其中該網路監看裝置將另有效於驗證是否一發出訊息將由一已授權使用者所發出，且將允許來自已授權使用者的所有發出訊息未受阻礙地進行網際網路存取，將檢查具有其目的位址之來自未經授權使用者的所有訊息，以鑑別是否其目的地為该鑑認伺服器，且將藉由忽視該目的位址且透過網際網路轉送該訊息至一業已決定改向伺服器的方式來回應於除了該鑑認伺服器以外的一目的位址；藉此’對網際網路所傳送之所有發出訊息將被允許對網際網路進行存取，不論該訊息是否源自於一未經授權使用者。 25.如申請專利範圍第24項之系統，其中該改向伺服器將藉由向該使用者的網路存取裝置傳送一項指示它要連接至該鑑認伺服器的訊息，來 36 表紙張尺度適用中國國家標準（CNS )八4胁（21〇><297公瘦）裝訂線 (請先閲讀背面之注意事項再填寫本頁) 532024 A8 Βδ C8 D8 申請專利範圍回應於來自未授權使用者的一已接收訊息。 26·如申請專利範圍第19項之系統，其中該鑑認伺服器將藉由根據該私有網路的位置資訊產生该第一業已決定鑑別碼，來回應於缺乏該第二鑑別碼的一已接收訊息，而該鑑認伺服器將另對發出該訊息之該網路存取裝置傳送向其個別使用者請求鑑認資訊的一問卷表格，而該問卷表格將包含一隱藏保留攔位與該第一業已決定鑑別碼。 2 7·如申明專利範圍第26項之系統，其中該隱藏保留攔位將無法由接收該問卷表格之該使用者所存取。 28·如申請專利範圍第26項之系統，其中該隱藏保留攔位將由該問卷表格中的該第一業已決定鑑別碼所引導。 29.如申請專利範圍第26項之系統，其中該網路監看裝置將在該隱藏保留攔位中插入該第二鑑經濟部智慧財產局員工消費合作社印製別碼，而該鑑別碼將為使用者傳送至該授權伺服器的任一訊息。 30·如申請專利範圍第26項之系統，其另具有一守門者伺服器，該鑑認伺服器將能另鑑別未經授權使用者所填寫之問卷表格，且該鑑認伺服器將有效於從該第二鑑別碼中隨著該硬體位址來剖析出該使用者的鑑認資訊； 37 本尺度ί用中國國家標準（CNS ) A4胁（210X297公釐 532024 A8 B8 C8 D8

申請專利範圍該鑑認資訊與硬體位址將被傳遞至該守門者词服器以進行驗證，該守門者伺服器將藉由產生该第二鐘別碼與傳送該解塊訊息至該網路監看裝置的方式來回應於未經授權使用者的驗證。 31. 如申請專利範圍第30項之系統，其中該守門者可透過一安全鏈路自該授權伺服器進行存取。 32. 如申請專利範圍第30項之系統，其中該授權伺服器將透過網際網路存取該守門者伺服器。 (請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 38 本紙張尺度適用中國國家標準（CNS ) A4規格（210X297公釐）