JP2004213632A - コンピュータシステムがネットワークにアクセスするように準備する際に自動化のレベルを高める方法、コンピュータプログラム及び記録媒体 - Google Patents

コンピュータシステムがネットワークにアクセスするように準備する際に自動化のレベルを高める方法、コンピュータプログラム及び記録媒体 Download PDF

Info

Publication number
JP2004213632A
JP2004213632A JP2003406559A JP2003406559A JP2004213632A JP 2004213632 A JP2004213632 A JP 2004213632A JP 2003406559 A JP2003406559 A JP 2003406559A JP 2003406559 A JP2003406559 A JP 2003406559A JP 2004213632 A JP2004213632 A JP 2004213632A
Authority
JP
Japan
Prior art keywords
network
computer system
access
server
schema
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2003406559A
Other languages
English (en)
Inventor
Anton W Krantz
ダブリュ.クランツ アントン
Timothy M Moore
ティモシー エム.ムーア
Dalen M Abraham
エム.アブラハム ダレン
Shai Guday
ガデイ シャイ
Pradeep Bahl
プラディープ バール
Bernard D Aboba
ディー.アボバ ベルナルド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2004213632A publication Critical patent/JP2004213632A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Abstract

【課題】コンピュータシステムがネットワークにアクセスするように準備する際に自動化のレベルを高めること。
【解決手段】コンピュータシステムが、サーバから認証を受けて、第1のネットワークにアクセスする許可を得ようとした際、第1のネットワークにアクセスすることが許可されていなければ、第1のネットワークにアクセスするのに必要とされるファイルをダウンロードする目的で第2のネットワークにアクセスする許可を与えられる。ユーザ入力情報を含む第1のスキーマベースのドキュメントが、サーバに転送される。ユーザ入力情報が適切であるとサーバが判定した場合、第1のネットワークにアクセスする許可の指示を含む第2のスキーマドキュメントが受け取られる。第3のスキーマベースのドキュメントがコンピュータシステムにおいて実行されて、第1のネットワークにアクセスすることに適合するようにコンピュータシステムが構成される。
【選択図】図2

Description

本発明は、ネットワーク上で適切に通信するようにコンピュータシステムを構成することに関し、より具体的には、コンピュータシステムがネットワーク上で通信する準備ができるように、適切な情報をコンピュータシステムに自動的に提供することに関する。
コンピュータシステム及び関連する技術が、社会の多くの側面に影響を与えている。実際、情報を処理するコンピュータシステムの能力により、人々の生活の仕方、及び働き方が変化している。コンピュータシステムは、コンピュータシステムの到来以前には、手作業によって行われていた数々のタスク(例えば、文書処理(word processing)、スケジュール設定、及びデータベース管理)を、現在普通に行っている。より最近では、コンピュータシステムが互いに結合されて、コンピュータネットワークを形成し、そのコンピュータネットワークを介してコンピュータシステムが電子通信を行ってデータを共有することができるようになっている。その結果、コンピュータシステムにおいて行われるタスクの多く(例えば、電子メールへのアクセス、及びWebのブラウジング)には、コンピュータネットワーク(例えば、インターネット)を介する1つ又は複数の他のコンピュータシステムとの電子通信が含まれる。
コンピュータネットワーク上で電子通信を行うため、コンピュータシステムは、コンピュータネットワークにアクセスする許可を受ける必要があるかもしれない。例えば、コンピュータシステムがインターネット上で電子通信を行うことができるようになる前に、しばしばコンピュータシステムのユーザは、インターネットへのアクセスを許可することができるインターネットサービスプロバイダ(以下、「ISP」と呼ぶ)に登録することが必要とされる。ISPに登録することは、通常、ネットワーク上の電子通信以外の何らかの形態の通信を含む。例えば、ユーザが、ISPでアカウントを確立するためにISPの代理人と電話通信を始めることが必要とされるかもしれない。
この電話通信中には、ユーザは、ISP代理人に一般的な情報(例えば、名前、住所等)、及び支払いの形態(例えば、クレジットカード番号)を提供することができる。これと引換えに、ISPは、ユーザを認証し、インターネットへのアクセスを許可するのに使用することが可能なユーザ名及びパスワードをユーザに提供することができる。多くの場合、ISPは、郵便サービス、又はその他の配送サービスを介して、コンピュータシステムにインストールされなければならないアクセスソフトウェア(例えば、ダイヤル呼出機構(dialer)、Webブラウザ等)及び/又はハードウェア(例えば、DSLモデム、又はケーブルモデム)を送ることも行う。ユーザがISPに接続し、これによりインターネットにアクセスするのに、あらゆるアクセスソフトウェア及びアクセスハードウェアが、コンピュータシステムにおいて正しくインストールされていなければならない。このため、インターネットにアクセスすることを望んでいるユーザは、しばしば、そのようなソフトウェア及びハードウェアを受け取るまで待つことを要求される。次に、アクセスソフトウェア及び/又はアクセスハードウェアを受け取った後、ユーザは、コンピュータシステムでそのアクセスソフトウェア及び/又はアクセスハードウェアを正しくインストールして、インターネットアクセスを可能にしなければならない。
正しくインストールされた場合、ユーザは、ISPに接続し、ISPによって提供されたユーザ名及びパスワードを入力することができる。ISPは、そのユーザ名及びパスワードに基づいてユーザの認証を行うことができ、適切な場合(例えば、ユーザの支払いが延滞がない(up to date)場合)、ISPは、ユーザのコンピュータシステムがインターネットにアクセスするのを許可することができる。残念ながら、ユーザが現在、ISPに登録していない場合、ほとんどのケースで、インターネット上で電子通信を使用して登録プロセスを開始する手立ては存在しない。これは、ほとんどのISPが、インターネットからアクセスされ、ユーザがインターネットにアクセスする手立てを有さない場合、登録のためにISPにアクセスする手立てを有さないからである。
したがって、多くのケースで、インターネットにアクセスすることを望むユーザは、電話でISPに接触し、適切なアクセスソフトウェア及び/又はアクセスハードウェアが配達されるのを待たされる。さらに、適切な証明(例えば、ユーザ名及びパスワード)なしに、又は許可なしに(例えば、支払いが遅滞している)ISPに接続しようと試みるユーザは、通常、ISPとインターネットの両方に対するすべてのネットワークアクセスから完全にブロックされる。したがって、ユーザは、ダイヤル呼出しするISPアクセス番号(又は接続を試みるISPネットワークアドレス)を知っている場合でも、ISPに登録する(又はアカウントの不備を訂正する)ために、その他の通信手段を使用してISPに接触することをやはり必要とするかもしれない。
例えば、家庭からISPに接続する場合などの一部のケースでは、アクセスソフトウェア及びアクセスハードウェアを待つ際の遅延は、許容できるかもしれない。しかし、他のケースでは、そのような遅延は受忍できないかもしれない。例えば、空港を経由して旅行する際、又はホテルに滞在している際、例えば、ラップトップなどのモバイルコンピュータシステムを有するユーザが、インターネットにアクセスすることを望んでいるかもしれない。ある程度、モバイルアクセスのこの需要の結果として、多くのホテル及び空港は、有線サービスと無線サービスの両方を介してインターネットアクセスを提供している。これらのサービスを介してインターネットにアクセスする許可を得ることは、通常、ユーザ情報及び支払い情報を入力するためのサービスとの何らかの形態の電子通信を必要とする。
通常、これらのサービスは、ユーザが、モバイルコンピュータシステム内部のネットワークインターフェースカードにケーブルをプラグで差し込んでから(又は無線ネットワークインターフェースカードを使用して、接続を開始してから)、Webブラウザを開くことを要する。ただし、ユーザは、サービスに登録することを試みる前に、これらのアクションを行うべきであるという知識を有していなければならない。例えば、ユーザが、Webブラウザを開かなければならないことを知らない場合、ユーザがサービスに登録する手立ては、基本的に存在しない。Webブラウザが開かれた際、サービスは、Webブラウザからのあらゆる通信をWebベースの登録プロセスを介して転送する。ユーザには、登録のための情報(例えば、名前、部屋番号、クレジットカード番号等)を入力するようにインターフェースを提示することが可能である。登録情報が適切であった場合、ユーザは、そのサービスを使用してインターネットにアクセスする許可を受けることができる。
残念ながら、多くのサービスは、独自のものであり、各サービスが、インターネットへのアクセスを許可するために異なるコンピュータシステム構成、及び/又は異なる登録情報を要求するかもしれない。しかし、ユーザは、サービスに登録しようと試みる前に、どのようなシステム構成及び/又は登録情報が必要とされるのかを知る手立てを有していないかもしれない。したがって、ユーザは、1つの場所(例えば、空港)でサービスに登録することに成功した場合でも、別の場所(例えば、ホテル)では、不適切に構成されたコンピュータシステム、又は適切な登録情報の欠如に起因して、登録することが妨げられるかもしれない。
さらに、ほとんどのホテルサービス及び空港サービスは、アカウントが失効するまでに短い時間(例えば、24時間)だけしかインターネットアクセスを許可しない。アカウントが失効した後、ユーザは、Webブラウザを再び開き(また、場合により、ケーブルを接続しなおすことも行い)、以前に入力された登録情報のすべてを再入力する必要があるかもしれない。したがって、ユーザは、サービスに登録するのにWebブラウザを開かなければならないことに最初、気付いていても、サービスに再登録するために毎日、Webブラウザを開かなければならないことを知らないかもしれない。しばしば、以前の登録において(例えば、前日に)入力された登録情報を、その登録情報が全く変わっていない場合でも、再入力しなければならない。登録情報が、いくぶん、大量である場合、短い期間の後に再登録することは、過去に適切な登録情報を入力したユーザには、わずらわしいことであるかもしれない。
さらに、これらのサービスのすべてではないにしても、ほとんどは、コンピュータシステムのソフトウェア構成を変更するための機構を欠いている。つまり、サービスは、通常、コンピュータシステムがサービスに対応するようになるようにする、コンピュータシステムにおいて処理されることが可能なマシン可読命令をコンピュータシステムに提供できない。サービスは、登録情報を受け取るためのWebベースのインターフェースの一環としてHyperText Markup Language(「HTML」)を提供するかもしれない。しかし、HTML命令は、通常、コンピュータシステムの構成を変更するためにコンピュータシステムによって処理することが可能でない。したがって、あらゆるソフトウェアの不適合が、技術的な専門知識を欠いているかもしれない、又はサービスに適合させるためにソフトウェアを再構成することを望んでいるかもしれないユーザによって解決されなければならない。
ネットワークにアクセスするようにコンピュータシステムを準備し、構成する際に自動化のレベルを高めるためのシステム、方法、コンピュータプログラム、及びデータ構造を提供することである。
従来技術の抱える以上の問題が、ネットワークにアクセスするようにコンピュータシステムを準備し、構成する際に自動化のレベルを高めるための方法、システム、コンピュータプログラム、及びデータ構造を対象とする本発明の原理によって克服される。
サーバは、クライアントが第2のネットワーク(例えば、インターネット)にアクセスするのを許可する機能を含む。サーバは、第2のネットワークとは別個の第1のネットワーク上に配置されていること、又は第2のネットワーク上に配置されていることが可能である。クライアントは、証明をサーバに送信してサーバから認証を受けることを試みる。証明に基づき、サーバは、第2のネットワークに対する少なくとも部分的なアクセスに関してクライアントを許可すること、及び/又は第2のネットワークへのアクセスを拒否し、第1のネットワークに対する少なくとも部分的なアクセスに関してクライアントを許可することが可能である。サーバは、第1のネットワーク上に配置された遠隔認証ダイヤルインユーザサービス(Remote Authentication Dial-In User Service)(「RADIUS」)サーバであることが可能である。クライアントには、少なくともサーバから認証を受ける目的、及び第2のネットワークに対する完全なアクセスを得るのに使用される準備ファイル(provisioning file)をダウンロードする目的で第1のネットワーク又は第2のネットワークに対する部分的なアクセスを提供することが可能である。したがって、第2のネットワーク上に配置されているリソースに現在、アクセスすることができないコンピュータシステムは、それらのリソースにアクセスを得るために準備ファイルを電子式にダウンロードすることができる。
クライアントからのデータが第1のネットワークに転送されるか、又は第2のネットワークに転送されるかの決定が、例えば、仮想ローカルエリアネットワーク(「VLAN」)、インターネットプロトコル(「IP」)フィルタリング、仮想プライベートネットワーク(「VPN」)、又はIPセキュリティ(「IPSec」)プロトコルの使用などの任意のいくつかの技術を使用して実施されることが可能である。一部の実施形態では、同様の技術が単一のネットワーク内部で使用されることも可能である。それらの実施形態では、サーバは(受け取られた証明に少なくともある程度、基づき)、例えば、単一のネットワーク上の選択されたコンピュータシステム、又はコンピュータモジュールに対するクライアントアクセスを許可することなどにより、単一のネットワークに対する少なくとも部分的なアクセスをクライアントに許可することができる。
証明を送信することは、拡張認証プロトコル(Extensible Authentication Protocol)(「EAP」)応答/身元証明メッセージをクライアントからサーバに送信することを含むことが可能である。クライアントがアクセスポイントを介してネットワークに接続しようと試みている場合、EAP応答/身元証明メッセージは、アクセスポイントを介して転送することができる何らかの他のタイプのメッセージ内にカプセル化されることが可能である。VLAN実施形態では、アクセスポイントは、タグヘッダをカプセル化するメッセージの中に挿入して、カプセル化するメッセージが第1のネットワークに転送されるべきことをデータ経路指定デバイスに示すことができる。また、アクセスポイントは、EAP及び802.1X以外のプロトコルを使用するクライアントからの通信をブロックするように構成されることも可能である。
証明によって第2のネットワークに対する完全なアクセスが許可されない(例えば、証明を認証することができない、証明がゲスト証明である、又は認証されたユーザが許可されていない)場合、サーバは、例えば、保護されたEAP(「PEAP」)内のEAP通知、又はタイプ−長さ−値(Type−Length−Value)(「TLV」)オブジェクトなどの通知をクライアントに送信することにより、応答することができる。通知は、PEAPに従って暗号化され、完全性が検査されることが可能である。通知は、クライアントを準備するための情報を含むマスタドキュメントに対するユニフォームリソースアイデンティファイア(Uniform Resource Identifier)(「URI」)を含むことが可能である。また、通知は、第2のネットワーク上に配置されたリソースに対する完全なアクセスを許可されるのにユーザが満たさなければならない条件(例えば、サインアップ、更新等)も含むことが可能である。
通知は、クライアントが、含まれるURIにアクセスすることによって(例えば、HTTPゲット又はHTTPSゲットを実行することによって)マスタドキュメントをダウンロードすることができるように、HTTPプロトコルを使用する通信が使用可能(ブロック解除)にされなければならないことをアクセスポイントに示すことが可能である。通知に応答して、クライアントは、マスタドキュメントを自動的にダウンロードすることができる。マスタドキュメントは、やはり自動的にダウンロードすることができる構成サブファイル及びサインアップサブファイルを含むサブファイルに対するURIを含むことが可能である。あるISPが別のISPからのサービスを使用する場合、一方のマスタドキュメントは、他方のマスタドキュメントに対するURIも含むことが可能である。したがって、ネットワークにアクセスを得るためにファイルを要求する目的で他の通信方法を使用するサービスプロバイダに接触する必要はほとんどない。マスタドキュメント、及びあらゆる関連するサブファイルは、eXtensible Markup Language(「XML」)スキーマに従って定義されることが可能である。例えば、構成サブファイルが、XML構成スキーマに従って定義されることが可能である。
一部の実施形態では、マスタドキュメント及びサブファイルは、例えば、取外し可能なコンピュータ可読記録媒体(フロッピー(登録商標)ディスク、フラッシュカード等)からのマスタドキュメント及び/又はサブファイルにアクセスすることなどにより、通知の中で提供されるURI以外の機構によってアクセスされることが可能である。これは、例えば、遠隔ダイヤルアップなどの、ネットワーク接続を構成することができるにはまず、準備情報を必要とする環境において有利である。接続が確立された後、マスタドキュメント及びサブファイルを後に、ネットワークから更新することができる。
ダウンロードされたサインアップサブファイルをクライアントにおいて処理して、ユーザ入力情報を受け取ることができるユーザインターフェースを自動的に提示することができる。したがって、ユーザは、どのようにユーザインターフェースが提示されるようにするかの事前の知識を有していなくてもよい。ユーザインターフェースは、例えば、英語、日本語、フランス語、又はドイツ語などの様々な文字言語(written language)で提示されることが可能である。提示されると、ユーザ入力情報がユーザインターフェースの中に受け取られる。ユーザインターフェースが登録を更新する目的で提示される場合、ユーザインターフェースで受け取られるユーザ入力情報の量を少なくすることが可能である。例えば、以前に入力されたユーザ情報をユーザデータベースから取得することができる。提示されるユーザインターフェースが、さらなるクレジットカード支払いを許可するために「はい」コントロールと「いいえ」コントロールだけを含むことが可能である。
ユーザ入力情報を含む第1のスキーマベースのドキュメントが、サーバにサブミットされる(例えば、HTTPポスト、又はHTTPSポストを実行することにより)。これは、XMLサインアップスキーマに従って定義されたXMLドキュメントを渡すことを含むことが可能である。第1のスキーマベースのドキュメントをサブミットした後、クライアントは、第2のネットワーク上に配置されたリソースにクライアントがアクセスすることをサーバが許可したという指示を受け取ることが可能である。これは、ユーザ識別子及びパスワードを含む、又はクレジットカード支払いが承認されたという指示を含む第2のスキーマベースのドキュメントを受け取ることを含むことが可能である。VLAN実施形態では、クライアントが第2のネットワーク上に配置されたリソースにアクセスすることが許可された場合、アクセスポイントは、タグヘッダをクライアントデータの中に挿入して、クライアントデータが第2のネットワークに転送されるべきことをデータ経路指定デバイスに示すことができる。また、アクセスポイントは、例えば、シンプルメールトランスファープロトコル(Simple Mail Transfer Protocol)(「SMTP」)やダイナミックホストコントロールプロトコル(Dynamic Host Control Protocol)(「DHCP」)などの、他の現在、ブロックされているプロトコルを使用する通信を使用可能にすることもできる。
第3のスキーマベースのドキュメントが実行されて、第2のネットワークに適合する工程のためにクライアントが構成される。これは、サーバから受け取られた構成サブファイルを実行することを含むことが可能である。構成サブファイルが実行されて、接続タイプ、通信プロトコル、認証タイプ、暗号化タイプ等が構成されることが可能である。構成サブファイルは、ダウンロードされた後、実質的に任意の時点で実行されることが可能である。ユーザ入力情報が受け取られる前、又は受け取られた後に構成サブファイルが実行されなければならないという要件は全く存在しない。スキーマベースのドキュメントの実行を介して、クライアントは、ほとんど、又は全くユーザの介入なしに再構成されることが可能である。これにより、ユーザは、クライアントを第2のネットワークに適合する工程のために手作業で再構成しなければならないことから解放される。
本発明のさらなる特徴及び利点は、以下の説明で提示し、ある程度は、この説明から明らかとなり、あるいは、本発明を実施することによって知ることができる。本発明の特徴及び利点は、特許請求の範囲で特に指摘する機器(instrument)及び組合せを使用して実現し、獲得することができる。本発明の以上の特徴、及びその他の特徴は、以下の説明、及び特許請求の範囲からより完全に明白となるか、又は以下に提示するとおり本発明を実施することによって知ることができる。
本発明の前述した利点及び特徴、ならびにその他の利点及び特徴を獲得することができるやり方を説明するため、以上に概要を述べた本発明のより詳細な説明を添付の図面に示す特定の実施形態を参照して行う。これらの図面は、本発明の通常の実施形態だけを描いており、したがって、本発明の範囲を限定するものと見なされるべきでないことを理解して、添付の図面の使用を介して本発明をさらに具体的に、さらに詳細に記述し、説明する。
本発明の原理は、ネットワークにアクセスするようにコンピュータシステムを準備し、構成する際に自動化のレベルを高めることを提供する。クライアントが、第2のネットワーク(例えば、インターネット)上に配置されたリソースにアクセスする許可を受けるように試みる。クライアントは、第2のネットワークへのアクセスを許可することができるサーバ(第1のネットワーク上に配置された、又は第2のネットワーク上に配置された)に通信するように結合されたアクセスポイントに、証明を送信する。サーバは、クライアント証明を受け取り、クライアント証明によって第2のネットワークへのアクセスが許可されるかどうかを判定する。
第2のネットワーク上に配置されたリソースに対する完全なアクセスが許可されない場合、サーバは、クライアントが、第2のネットワーク上に配置されたリソースに対する完全なアクセスを得るための準備ファイルをダウンロードすることができるように、第1のネットワーク、又は第2のネットワークに対する制限されたアクセスを許可することができる。一部の実施形態では(例えば、サーバが第1のネットワーク上に配置されている場合)、サーバは、第2のネットワークへのアクセスを禁止している間に、第1のネットワークへの(少なくとも制限された)アクセスを許可することができる。他の実施形態では(例えば、サーバが第2のネットワーク上に配置されている場合)、サーバは、第2のネットワークに対する制限されたアクセスを許可することができる。ネットワークへのアクセスを禁止すること、及び/又は制限することは、例えば、仮想ローカルエリアネットワーク(「VLAN」)、インターネットプロトコル(「IP」)フィルタリング、仮想プライベートネットワーク(「VPN」)、又はIPセキュリティ(「IPSec」)プロトコルなどの多種多様な技術を使用して実施することができる。
サーバは、クライアントを準備するための情報を含むマスタドキュメントに対するURIをクライアントに提供する。マスタドキュメントは、構成サブファイル及びサインアップサブファイルを含むサブファイル、又はその他のマスタドキュメントに対するさらなるURIを含むことが可能である。URIを受け取った後、クライアントは、任意の適切な準備ファイルを自動的にダウンロードすることができる。マスタドキュメント、及びあらゆる関連するサブファイルは、eXtensible Markup Language(「XML」)スキーマに従って定義されることが可能である。
ダウンロードされたサインアップサブファイルがクライアントにおいて処理されて、ユーザ入力情報を受け取ることができるユーザインターフェースが自動的に提示されることが可能である。クライアントは、ユーザ入力情報を含む第1のスキーマベースのドキュメントをサーバに渡すことができる。これは、XMLスキーマに従って定義されたXMLドキュメントを渡すことを含むことが可能である。第1のスキーマベースのドキュメントをサブミットした後、クライアントは、クライアントが第2のネットワーク上に配置されたリソースにアクセスすることが許可されたことを示す(例えば、ユーザ識別子及びパスワードを含むことにより)第2のスキーマベースのドキュメントを受け取ることができる。
第3のスキーマベースのドキュメントがクライアントにおいて実行されて、第2のネットワークに適合する工程のためにクライアントが構成される。これは、サーバから受け取られた構成サブファイルを実行することを含むことが可能である。構成サブファイルが実行されて、接続タイプ、通信プロトコル、認証タイプ、暗号化タイプ等が構成されることが可能である。構成サブファイルは、ダウンロードされた後、実質的に任意の時点で実行されることが可能である。ユーザ入力情報が受け取られる前、又は受け取られた後に構成サブファイルが実行されなければならないという要件は全く存在しない。
本発明の範囲内の実施形態には、コンピュータ実行可能命令又はデータ構造を担持する、又は記憶しておくためのコンピュータ可読記録媒体が含まれる。そのようなコンピュータ可読記録媒体は、汎用コンピュータ又は特殊目的コンピュータがアクセスすることができる任意の可用な媒体であることが可能である。例として、限定としてではなく、そのようなコンピュータ可読記録媒体は、RAM、ROM、EEPROM、CD−ROM又はその他の光ディスクストレージ、磁気ディスクストレージ又はその他の磁気記憶デバイスなどの物理コンピュータ可読記録媒体、あるいは所望のプログラムコード手段をコンピュータ実行可能命令又はデータ構造の形態で担持する、又は記憶するのに使用することができ、汎用コンピュータ又は特殊目的コンピュータがアクセスすることができる任意の他の媒体を含むことが可能である。
情報がネットワーク、又は別の通信接続(結線による接続、無線、又は結線による接続と無線の組合せ)を介してコンピュータシステムに転送された、又は提供された際、コンピュータシステムは、その接続をコンピュータ可読記録媒体と正しく見なす。したがって、任意のそのような接続をコンピュータ可読記録媒体と正しく呼ぶことができる。また、前述した媒体の組合せも、コンピュータ可読記録媒体の範囲内に含まれるべきである。コンピュータ実行可能命令は、例えば、汎用コンピュータシステム、特殊目的コンピュータシステム、又は特殊目的処理デバイスがある機能、又はある一群の機能を行うようにさせるあらゆる命令及びデータを含む。コンピュータ実行可能命令は、例えば、バイナリ(binary)、アセンブリ言語などの中間形式命令、あるいはソースコードであることさえ可能である。
本説明及び特許請求の範囲において、「論理通信リンク」は、コンピュータシステム又はコンピュータモジュールなどの2つのエンティティ間で電子データのトランスポートを可能にする任意の通信パスとして定義される。2つのエンティティ間の通信パスの実際の物理表現は重要でなく、時間の経過とともに変化するかもしれない。論理通信リンクは、システムバスの部分、ローカルエリアネットワーク(例えば、イーサネット(登録商標)ネットワーク)の部分、ワイドエリアネットワークの部分、インターネットの部分、以上の組合せの部分、あるいは電子データのトランスポートを円滑にすることが可能な任意の他のパスの部分を含むことが可能である。論理通信リンクは、ハードワイヤドリンク、無線リンク、又はハードワイヤドリンクと無線リンクの組合せを含むことが可能である。また、論理通信リンクは、電子データの部分を条件付け、又はフォーマットして電子データが、本発明の原理を実施する構成要素にアクセス可能であるようにするソフトウェアモジュール又はハードウェアモジュールも含むことが可能である。そのようなモジュールには、例えば、プロキシ、ルータ、ファイアウォール、スイッチ、又はゲートウェイが含まれる。また、論理通信リンクは、例えば、仮想プライベートネットワーク(「VPN」)、又は仮想ローカルエリアネットワーク(「VLAN」)などの仮想ネットワークの部分も含むことが可能である。
本説明及び特許請求の範囲では、「スキーマ」は、複数のコンピュータシステムが表現された共有ボキャブラリに従ってドキュメントを処理することができるようにする複数のコンピュータシステム間で共有されるボキャブラリの表現として定義される。例えば、XMLスキーマが、XMLスキーマ言語のスキーマ構文を使用してあるクラスのXMLドキュメントを定義し、記述する。それらのスキーマ構文を使用して、XMLドキュメントで使用されるとおり、データタイプの意味、用法、及び関係、要素及び要素の内容、属性及び属性の値、エンティティ及びエンティティの内容、及び通知を制約し、ドキュメント化することができる。したがって、XMLスキーマにアクセスすることができるどのコンピュータシステムも、XMLスキーマに従ってXMLドキュメントを処理することができる。さらに、XMLスキーマにアクセスすることができるどのコンピュータシステムも、やはりXMLスキーマにアクセスすることができる他のコンピュータシステムが使用するためにXMLドキュメントを作成する、又は変更することができる。
スキーマは、例えば、「.dtd」拡張子で終わるDTDファイルなどのドキュメントタイプディフィニション(Document Type Definition)(「DTD」)を含むように定義される。また、スキーマは、例えば、「.xsd」拡張子で終わるXMLスキーマファイルなどのWorld Wide Webコンソーシアム(「W3C」)XMLスキーマを含むようにも定義される。ただし、特定のDTDスキーマ又はXMLスキーマに関する実際のファイル拡張子は、重要ではない。スキーマを利用して、データ構造を定義するのに使用される論理データタイプ、2進データタイプ、8進データタイプ、10進データタイプ、16進データタイプ、整数データタイプ、浮動小数点データタイプ、文字データタイプ、文字ストリングデータタイプ、ユーザ定義データタイプ、及び以上のデータタイプの組合せを含む実質的にあらゆるデータタイプを定義することができる。XML要素及び属性は、スキーマによって定義されるデータタイプを表わすように定義することができる。本定義及び特許請求の範囲では、「スキーマベースの」とは、スキーマによって、かつ/又はスキーマ内で定義されていることを指す。
図1及び以下の説明は、本発明を実施することができる適切なコンピューティング環境の簡単な一般的説明を提供することを意図している。必須ではないが、本発明は、ネットワーク環境においてコンピュータによって実行される、プログラムモジュールなどのコンピュータ実行可能命令の一般的な文脈で説明する。一般に、プログラムモジュールには、特定のタスクを行う、又は特定の抽象データタイプを実装するルーチン、プログラム、オブジェクト、構成要素、データ構造等が含まれる。コンピュータ実行可能命令、関連するデータ構造、及びプログラムモジュールは、本明細書で開示する方法のステップを実行するためのプログラムコード手段の例を表わしている。そのような実行可能命令の特定のシーケンスは、そのようなステップで説明される機能を実施するための対応する工程の例を表わしている。
図1を参照すると、本発明を実施するための例示的なシステムが、処理ユニット121と、システムメモリ122と、システムメモリ122から処理ユニット121までを含む様々なシステム構成要素を結合するシステムバス123とを含む従来のコンピュータ120の形態で汎用コンピューティングデバイスを含んでいる。システムバス123は、様々なバスアーキテクチャのいずれかを使用するメモリバス又はメモリコントローラ、周辺バス、及びローカルバスを含むいくつかのタイプのバス構造のいずれであることも可能である。システムメモリは、読取り専用メモリ(ROM)124、及びランダムアクセスメモリ(RAM)125を含む。始動中などにコンピュータ120内部の要素間で情報を転送するのを助ける基本ルーチンを含む基本入力/出力システム(BIOS)126が、ROM124の中に記憶されていることが可能である。
コンピュータ120は、磁気ハードディスク139に関して読取り及び書込みを行うための磁気ハードディスクドライブ127、取外し可能な磁気ディスク129に関して読取り及び書込みを行うための磁気ディスクドライブ128、及びCD−ROM又はその他の光媒体などの取外し可能な光ディスク131に関して読取り及び書込みを行うための光ディスクドライブ130も含むことが可能である。磁気ハードディスクドライブ127、磁気ディスクドライブ128、及び光ディスクドライブ130は、それぞれ、ハードディスクドライブインターフェース132、磁気ディスクドライブインターフェース133、及び光ドライブインターフェース134でシステムバス123に接続される。以上のドライブ、及び関連するコンピュータ可読記録媒体により、コンピュータ実行可能命令、データ構造、プログラムモジュール、及びその他のデータの不揮発性ストレージがコンピュータ120に提供される。本明細書で説明する例示的な環境は、磁気ハードディスク139、取外し可能な磁気ディスク129、及び取外し可能な光ディスク131を使用するが、磁気カセット、フラッシュメモリカード、デジタルビデオディスク、ベルヌーイカートリッジ、RAM、ROM等を含め、データを記憶するための他のタイプのコンピュータ可読記録媒体も使用することができる。
オペレーティングシステム135、1つ又は複数のアプリケーションプログラム136、他のプログラムモジュール137、及びプログラムデータ138を含め、1つ又は複数のプログラムモジュールを含むプログラムコード手段が、ハードディスク139、磁気ディスク129、光ディスク131、ROM124、又はRAM125に記憶されていることが可能である。ユーザは、キーボード140、ポインティングデバイス142、あるいはマイクロフォン、ジョイスティック、ゲームパッド、サテライトディッシュ、スキャナなどの他の入力デバイス(図示せず)を介して、コマンド及び情報をコンピュータ120に入力することができる。以上の入力デバイス、及びその他の入力デバイスは、しばしば、システムバス123に結合されたシリアルポートインターフェース146を介して処理ユニット121に接続される。代替として、入力デバイスは、パラレルポート、ゲームポート、又はユニバーサルシリアルバス(Universal Serial Bus)(USB)などの他のインターフェースで接続されてもよい。また、モニタ147又は別の表示デバイスも、ビデオアダプタ148などのインターフェースを介してシステムバス123に接続される。モニタに加えて、パーソナルコンピュータは、通常、スピーカやプリンタなどの他の周辺出力デバイス(図示せず)を含む。
コンピュータ120は、遠隔コンピュータ149a及び149bなどの1つ又は複数の遠隔コンピュータに対する論理通信リンクを使用するネットワーク化された環境において動作することが可能である。遠隔コンピュータ149a及び149bはそれぞれ、別のパーソナルコンピュータ、クライアント、サーバ、ルータ、スイッチ、ネットワークPC、ピアデバイス、又はその他の一般的なネットワークノードであることが可能であり、コンピュータ120に関連して前述した要素の多く、又はすべてを含むことが可能であるが、メモリ記憶デバイス150a及び150b、ならびに関連するアプリケーションプログラム136a及び136bだけを図1に示している。図1に描いた論理通信リンクは、本明細書で例として、限定としてではなく、提示しているローカルエリアネットワーク(「LAN」)151、及びワイドエリアネットワーク(「WAN」)152を含む。そのようなネットワーキング環境は、オフィス全体のコンピュータネットワーク、又は企業全体のコンピュータネットワーク、イントラネット、及びインターネットにおいて一般的である。
LANネットワーキング環境(例えば、イーサネット(登録商標)ネットワーク)で使用される場合、コンピュータ120は、有線インターフェース又は無線インターフェースであることが可能なネットワークインターフェース又はネットワークアダプタ153を介してLAN151に接続される。WANネットワーキング環境で使用される場合、コンピュータ120は、例えば、モデム154などの有線リンク、無線リンク、又はWAN152を介して通信を確立するためのその他の手段を含むことが可能である。内部にあることも、外部にあることも可能なモデム154は、シリアルポートインターフェース146を介してシステムバス123に接続される。ネットワーク化された環境では、コンピュータ120に関連して描いたプログラムモジュール、又はプログラムモジュールの部分が、遠隔メモリ記憶デバイスの中に記憶されることが可能である。図示したネットワーク接続は例示的であり、ワイドエリアネットワーク152を介して通信を確立する他の手段も使用できることが認められよう。
図1は、本発明の原理を実施することができるコンピュータシステムの例を示しているが、任意のコンピュータシステムが、本発明の特徴を実施することができる。本説明及び特許請求の範囲において、「コンピュータシステム」は、ソフトウェアを使用して1つ又は複数の機能を使用することができる任意のハードウェア構成要素、又はハードウェア構成要素群として広く定義される。コンピュータシステムの例には、デスクトップコンピュータ、ラップトップコンピュータ、パーソナルデジタルアシスタント(「PDA」)、電話機(無線式とモバイル式の両方)、無線アクセスポイント、ゲートウェイ、ファイアウォール、プロキシ、ルータ、スイッチ、ハンドヘルドデバイス、マルチプロセッサシステム、マイクロプロセッサベースの、又はプログラマブルの消費者向電子製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、又は処理能力を有する任意の他のシステム又はデバイスが含まれる。
また、本発明は、実質的にあらゆるコンピュータシステム構成を使用するネットワークコンピューティング環境において実施できることも、当分野の技術者には認められよう。また、本発明は、ネットワークを介してリンクされた(ハードワイヤドリンクで、無線リンクで、あるいはハードワイヤドリンクと無線リンクの組合せで)ローカルのコンピュータシステムと遠隔のコンピュータシステムがともにタスクを行う分散システム環境においても実施することができる。分散システム環境では、プログラムモジュールが、ローカルのメモリ記憶デバイスと遠隔のメモリ記憶デバイスの両方の中に配置されることが可能である。
本発明によれば、ユーザインターフェースモジュール、準備(provisioning)モジュール、アカウント維持モジュール、及び認証モジュール、ならびに準備データ及びユーザデータを含む関連するデータが、コンピュータ120に関連するコンピュータ可読記録媒体のいずれかに記憶され、そこでアクセスされることが可能である。例えば、そのようなモジュールの部分、及び関連するプログラムデータの部分が、システムメモリ122の中に記憶するために、オペレーティングシステム135、アプリケーションプログラム136、プログラムモジュール137、及び/又はプログラムデータ138の中に含まれることが可能である。例えば、磁気ハードディスク139などの大容量記憶デバイスが、コンピュータ120に結合される場合、そのようなモジュール及び関連するプログラムデータをその大容量記憶デバイスの中に記憶することも可能である。ネットワーク化された環境では、コンピュータ120に関連して描いたプログラムモジュール、又はプログラムモジュールの部分が、例えば、遠隔コンピュータシステム149a及び/又は遠隔コンピュータシステム149bに関連するシステムメモリ及び/又は大容量記憶デバイスなどの遠隔のメモリ記憶デバイスの中に記憶されることが可能である。そのようなモジュールの実行は、前述したとおり、分散環境において行われることが可能である。
図4は、第2のネットワークへのアクセスを禁止している間に、第1のネットワークへのアクセスを提供することができるネットワークアーキテクチャ400の例を一般的に示している。ネットワークアーキテクチャ400は、クライアント405及びサーバ415を含む。必須ではないが、クライアント405及びサーバ415はそれぞれ、コンピュータ120に関して前述したとおり構造化されることが可能である。本明細書で使用する「クライアント」という用語及び「サーバ」という用語は、クライアント405が、例えば、ネットワーク413に対するアクセスなどのサービスをサーバ415から受けることを表わす。クライアント405とサーバ415は、この文脈では(それぞれ)クライアントとサーバであるが、別の文脈では、クライアント405がサーバとして動作することが可能であり、別の文脈では、サーバ415がクライアントとして動作することが可能である。
ネットワークアーキテクチャ400において描くとおり、データ経路指定デバイス414が、それぞれ、対応する論理通信リンク433、434、及び435によってネットワーク411、ネットワーク412、及びネットワーク413に接続されている。データ経路指定デバイス414は、例えば、クライアント405から受信されたデータなどのネットワーク411から受信されたデータをどこに転送するかを決めることができるコンピュータシステムを論理として表現している。つまり、データ経路指定デバイス414は、ネットワーク411からデータを受信した場合、そのデータがネットワーク412に転送されるべきか、又はネットワーク413に転送されるべきかを決めることができる。このため、データ経路指定デバイス414は、1つのネットワーク(例えば、ネットワーク412)へのアクセスを許している間に、同時に、別のネットワーク(例えば、ネットワーク413)へのアクセスを禁止するように構成されることが可能である。データ経路指定デバイス414は、様々な異なる技術を使用してこの決定を行うことができる。
一部の実施形態では、ネットワーク413上に配置されたリソースへのアクセスを、仮想ローカルエリアネットワーク(「VLAN」)の使用によって禁止することが可能である。それらの実施形態では、ネットワーク411、412、及び413はそれぞれ、異なるVLANの一部分であることが可能である。ネットワークアーキテクチャ400内のVLAN認知デバイスが、データフレームに「タグ付け」を行い、データフレームがどこに経路指定されるべきかをデータ経路指定デバイス414に示すことができる。例えば、クライアント405がネットワーク413上に配置されたリソースにアクセスする許可を受けていない場合、ネットワーク411内の構成要素、又は論理通信リンク433が、クライアント405からのデータフレームにタグを付けて、そのデータフレームがサーバ415(又はネットワーク412上に配置された他のリソース)に経路指定されるべきことを示すことができる。クライアント405がネットワーク413にアクセスする許可を受けている場合、ネットワーク411内の構成要素、又は論理通信リンク433が、クライアント405からのデータフレームにタグを付けて、適宜、そのデータフレームがネットワーク413上のリソースに(例えば、インターネットに)、又はネットワーク412上のリソース(例えば、サーバ415)に経路指定されるべきことを示すことができる。
他の実施形態では、ネットワーク413上に配置されたリソースへのアクセスを、インターネットプロトコル(「IP」)フィルタリングの使用によって禁止することが可能である。データ経路指定デバイス414、ネットワーク411内の構成要素、又は論理通信リンク433内の構成要素が、インターネットプロトコル(「IP」)アドレスをフィルタにかけて、特定のIPアドレスを有するリソースに対するクライアント405のアクセスを制限することができる。クライアント405がネットワーク413上に配置されたリソースにアクセスする許可を受けていない場合、クライアント405に、ネットワーク412上に配置されたリソースのIPアドレスが公開されるが、ネットワーク413上に配置されたリソースのIPアドレスは公開されないようにIPアドレスがフィルタにかけられることが可能である。クライアント405がネットワーク413にアクセスする許可を受けている場合、クライアント405に、ネットワーク412と413の両方の上に配置されたリソースのIPアドレスが公開されるようにIPアドレスがフィルタにかけられることが可能である。代替として、クライアント405がネットワーク413にアクセスする許可を受けている場合、IPフィルタリングが完全に行われないことも可能である。
さらに他の実施形態では、ネットワーク413上のリソースへのアクセスを、仮想プライベートネットワーク(「VPN」)の使用によって禁止することが可能である。クライアント405がネットワーク413上に配置されたリソースにアクセスする許可を受けていない場合、クライアント405にネットワーク412上に配置されたリソースが公開されるが、ネットワーク413上に配置されたリソースは開示されないようにVPNが構成されることが可能である。クライアント405がネットワーク413上に配置されたリソースにアクセスする許可を受けている場合、クライアント405にネットワーク412と413の両方の上に配置されたリソースが公開されるようにVPNが構成されることが可能である。代替として、クライアント405がネットワーク413上に配置されたリソースにアクセスする許可を受けている場合、VPNの使用が全く行われないことも可能である。
VLAN技術、IPフィルタリング技術、及びVPN技術は、1つのネットワークへのアクセスを別のネットワークへのアクセスを禁止している間に可能にするようにネットワークを区別するのに使用することができる技術のいくつかの例に過ぎないことを理解されたい。単一のネットワークへのアクセスをVLAN、IPフィルタリング、又はVPNを使用して制限することができることを理解されたい。例えば、ネットワーク413上に配置されたサーバが、ネットワーク413上に配置されたリソースへの制限されたアクセスをクライアント405に提供することができる。本説明を精査した後、VLAN技術、IPフィルタリング技術、及びVPN技術に加えて、他の技術を使用して1つのネットワークへのアクセスを別のネットワークへのアクセスを禁止している間に可能にすることができることが、当分野の技術者には明白であろう。
さらに、ネットワークへのアクセスを禁止するのに使用される技術を使用して、ネットワークへの制限されたアクセスを提供することもできることを理解されたい。一部の実施形態では、ネットワーク上のサーバが、ネットワークへの制限されたアクセスをクライアントに提供することができる。例えば、ネットワーク413上に配置されたサーバが、IPフィルタリングを実施して、ネットワーク413への制限されたアクセスをクライアント405に提供することができる。制限されたアクセスには、ネットワーク413への完全なアクセスを得るために必要とされる準備ファイルを記憶するコンピュータシステム又はコンピュータモジュールへのアクセスが含まれることが可能である。クライアント405は、それらのコンピュータシステム又はコンピュータモジュールから準備ファイルをダウンロードすることの許可を、ネットワーク413上に配置されたその他のリソースへのアクセスを拒否している間に、受けることが可能である。
次に、VLAN技術を使用する本発明の例示的な実施形態を説明する。図2は、クライアントを準備する際に自動化のレベルを高めることを容易にすることができるネットワークアーキテクチャ200の例を示している。ネットワークアーキテクチャ200は、コンピュータ120に関して前述したとおりそれぞれ構造化されていることが可能なクライアント205及びサーバ215を含む。
一部の実施形態では、サーバ215は、遠隔認証ダイヤルインユーザサービス(「RADIUS」)サーバを論理として表現する。つまり、サーバ215は、単一のシステムとして視覚的に描かれているが、別個のネットワークアクセスサーバ(「NAS」)、別個の認証サーバ、及び別個の共用アカウンティングサーバを含むことが可能である。サーバ215によって論理として表現される以上のサーバは、RADIUSプロトコルを使用して通信を行うように構成されることが可能であり、より具体的には、RADIUS属性EAPメッセージ、及びメッセージ認証符号(Authenticator)をサポートすることができる。サーバ215は、本発明の原理の実施を容易にするように、例えば、インターネットインフォメーションサービス(「IIS」)モジュール、インターネット認証サービス(「IAS」)モジュール、ダイナミックホストコントロールプロトコル(「DHCP」)モジュール、及びアクティブディレクトリ(「AD」)モジュールなどのシステムメモリにロードされた様々な異なるサービスからのモジュールを有することが可能である。
また、ネットワークアーキテクチャ200は、データ経路指定デバイス214も含む。データ経路指定デバイス214は、データ経路指定デバイス214内部に含まれるポート間でどのようにデータを転送するかを決めることができる、例えば、ルータ及び/又はスイッチなどの特殊目的コンピュータシステムを論理として表現する。つまり、例えば、データフレームなどのデータの一部分が、第1のポート(例えば、ポート242)で転送されて入った場合、データ経路指定デバイス214は、構成規則に基づき、そのフレームが第2のポート(例えば、ポート243)で転送されて出ていくべきことを決めることができる。例えば、データ経路指定デバイス214は、アクセスポイント209から受信されたデータフレームが、サーバ215に送信されるべきことを決めることができる。また、データフレームが、同一のポートでデータ経路指定デバイス214に出入りするように転送されてもよい。
ネットワークアーキテクチャ200で描くとおり、データ経路指定デバイス214は、それぞれ、対応する論理通信リンク233、234、及び235によってネットワーク213、サーバ215、及びアクセスポイント209に接続されている。ネットワーク213は、例えば、会社全体のネットワーク又は企業全体のネットワーク、あるいはインターネットなどの実質的にあらゆるタイプのネットワークであることが可能である。データ経路指定デバイス214は、物理的な場所(例えば、ルータの特定の側の物理的な場所)以外の基準に基づいてコンピュータシステム群を単一のブロードキャストドメインに一緒にグループ化することができるデバイスであることが可能である。したがって、データ経路指定デバイス214は、コンピュータシステム群を異なるVLANに分離するように構成されることが可能である。図2に描いたとおり、データ経路指定デバイス214は、ネットワークアーキテクチャ200をVLAN A、B、及びCに分離するように構成されている。データ経路指定デバイス214は、タグ付きのデータフレームとタグの付いていないデータフレームの両方を図2に描いたVLANの間で転送するように構成されることが可能である。
タグ付きデータフレームは、そのタグ付きのデータフレームに関連するVLAN及び/又はフレーム分類を特定する、例えば、タグヘッダなどの指示を含むデータフレームである。タグヘッダが、VLAN認知デバイスによってデータフレームの中に挿入されて、受信されたタグ付きデータフレームの送信元のVLANのVLAN IDをデータ経路指定デバイス214に示すことが可能である。例えば、アクセスポイント209はタグヘッダをクライアント205からのデータに挿入し、そのデータがVLAN Aから受信されたことをデータ経路指定デバイス214に示すことができる。また、タグヘッダは、対応するデータフレームを分類するのにデータ経路指定デバイス214が使用することができる他の制御情報も含むことが可能である。タグの付いていないデータフレームは、タグヘッダを含まないフレームである。ポートVLAN ID(「PVID」)を使用して、受信されたタグの付いていないデータフレームの送信元であるVLANを示すことができる。例えば、ポート243で受信されたタグの付いていないデータフレームが、VLAN Bから受信されたものとして分類されることが可能である。
データ経路指定デバイス214内部に含まれるポートのいずれも(例えば、ポート242、243、及び244)、タグ付きのデータフレームを転送するが、タグの付いていないデータフレームはドロップするように構成されることが可能である。他方、データ経路指定デバイス214のポートのいずれも、タグの付いていないデータフレームを転送するが、タグ付きのデータフレームはドロップするように構成されることも可能である。また、経路指定デバイス214のポートのいずれも、タグ付きのデータフレームとタグの付いていないデータフレームの両方を転送するように構成されることも可能である(混成ポート構成)。
ネットワークアーキテクチャは、アクセスポイント209も含む。アクセスポイント209は、クライアント205とデータ経路指定デバイス214の間の通信を円滑にする有線アクセスポイント、又は無線アクセスポイントであることが可能である。ネットワークアーキテクチャ200で描いたとおり、アクセスポイント209は、対応する論理通信リンク231によってクライアント205に接続されている。アクセスポイント209は、その他のクライアント(図示せず)に、その他の対応する論理通信リンク(やはり図示していない)によって接続されていることが可能である。アクセスポイント209は、ポート251及び252を含む。データが、ポート251を介してアクセスポイント209とクライアント205の間で転送されることが可能である。同様に、データが、ポート252を介してアクセスポイント209とデータ経路指定デバイス214の間で転送されることが可能である。アクセスポイント209は、例えば、他のクライアント及び/又は他のデータ経路指定デバイスなどの他のコンピュータシステムと通信するための他のポート(図示せず)を含むことが可能である。
一部の実施形態では、アクセスポイント209は、VLAN B上の有線コンピュータシステム(例えば、サーバ215)、及びVLAN C上の有線コンピュータシステム(例えば、ネットワーク213内に含まれるコンピュータシステム)へのアクセスを可能にする無線アクセスポイントである。アクセスポイント209は、VLAN認知デバイスとして構成されることが可能であり、VLAN B及び/又はVLAN Cに転送されるべきクライアント205(又はVLAN A上の任意の他のコンピュータシステム)から受信されたデータフレームの中にタグヘッダを挿入することができる。アクセスポイント209は、RADIUSプロトコルを使用して通信を行うように構成されることが可能であり、より具体的には、クライアント205(又は任意の他のクライアント)に関するVLANタグを含むRADIUSアクセス承認(access−accept)メッセージをサポートすることができる。
一部の実施形態では、クライアント205は、場合により、アクセスポイント209に加え、1つ又は複数の他のアクセスポイント(図示せず)に接続することができる。アクセスポイント209、及びそれらの1つ又は複数の他のアクセスポイントはすべて、同一のサービスプロバイダに関するアクセスポイントであることが可能である。他方、1つ又は複数のアクセスポイントは、アクセスポイント209がアクセスを提供するサービスプロバイダとは異なる1つ又は複数の他のサービスプロバイダに関するアクセスポイントであることも可能である。クライアント205に、利用可能なサービスプロバイダのリストが提示されることが可能である。リストに含まれるサービスプロバイダへの接続を開始するユーザ選択が受け取られることが可能である。
クライアント205が、例えば、IEEE 802.11ビーコンフレームを受信すること、及び/又はIEEE 802.11プローブ(probe)要求フレームを送信して、IEEE 802.11プローブ応答フレームを受信することなどにより、利用可能な無線ネットワークを検出することが可能である。ビーコンフレームは、基本的に、ある無線ネットワークを別の無線ネットワークと区別するのに使用されるネットワーク識別子であるサービスセットアイデンティファイア(「SSID」)を含むことが可能である。ビーコンフレーム及びプローブフレームの使用を通じて、クライアント205は、例えば、データ転送速度、サポートされるタイプの認証(例えば、オープン認証、又は共用認証)、サポートされるタイプの暗号化(例えば、ワイアイクイバレントプロテクション(Wire Equivalent Protection)(「WEP」)、又はテンポラルキーインテグリティプロトコル(Temporal Key Integrity Protocol)(「TKIP」))などの、アクセスポイントの他の構成設定を検出することもできる。
リストした構成設定は、可能な構成設定のうちいくつかの単なる例であり、これらの例示的な構成設定に加えて、多数の他の構成設定も決定することができることを理解されたい。例えば、コンピュータシステム間で接続を確立する際、リンク制御プロトコル(「LCP」)を使用して、例えば、パケットサイズ、認証に使用するプロトコル、リンク品質監視に使用するプロトコル、圧縮などの接続設定を交渉することができる。LCPパケット(例えば、構成要求パケット、構成Ackパケット、構成Nakパケット、及び構成拒否パケット)のオプションフィールド内に数値を含めて、それらの接続設定を交渉することができる。LCPパケットのオプションフィールド内のタイプフィールドの中に数値(例えば、認証プロトコル交渉に関して数値3)を含めて、交渉される構成オプションのタイプを指示することができる。LCPパケットのオプションフィールド内のデータフィールドの中に数値(例えば、EAPを示す16進値C227)を含めて、タイプフィールドの中で指示されるタイプの交渉に関する対応するデータを提供することができる。EAPの構成が示される場合、LCPパケットの中にさらなる数値(例えば、EAP−TLSを示す数値13、又はPEAPを示す数値25)を含めて、所望される認証の特定のEAPタイプを示すことができる。
クライアントとサーバの両方がその特定のEAPタイプをサポートする場合に、特定のEAPタイプが決定的に選択される(例えば、サーバ215の管理者、及び/又はクライアント205のユーザにより)ことが可能である。したがって、LCPパケットを使用して交渉を行う必要性が低下する。EAPタイプが選択された後(交渉を介してであれ、決定的にであれ)、コンピュータシステムが、選択されたEAPタイプに従ってEAPメッセージ(例えば、開始メッセージ、応答メッセージ、要求メッセージ、承認メッセージ、拒否メッセージ等)の転送を介して、互いから認証を受けることを試みることが可能である。例えば、EAP−TLSが選択された場合、クライアント205が、EAP−TLSに従って一連のEAPメッセージを介してサーバ215と通信を行って、認証され、場合により、VLAN C上に配置されたリソースにアクセスする許可を受けるようにすることが可能である。
一部の実施形態では、EAPメッセージが、他のプロトコル内にカプセル化される。したがって、コンピュータシステムは、特定のEAPタイプをネイティブでサポートすることはできないが、カプセル化されたEAPメッセージを転送できることが可能である。カプセル化のために使用される1つのプロトコルが、LANを介するEAPカプセル化(「EAPOL」)と呼ぶことができる802.1Xプロトコルである。EAPOLをサポートするようにアクセスポイント209及びデータ経路指定デバイス214を構成することができる。したがって、アクセスポイント209及びデータ経路指定デバイス214は、特定のEAPタイプのEAPメッセージの転送を、その特定のEAPタイプをネイティブでサポートしていない場合でも、行うことができる。カプセル化のために使用される別のプロトコルが、EAPメッセージをRADIUSメッセージ内にカプセル化するEAP−RADIUSである。EAP−RADIUSを使用して、RADIUSプロトコルを理解することができるが、EAPをネイティブで理解しないコンピュータシステムを介してEAPメッセージを転送することができる。
図3は、コンピュータシステムを準備するための方法を示す流れ図である。方法300をネットワークアーキテクチャ200で描いた構成要素に関連して説明する。
方法300は、証明を送信する工程(工程301)を含む。これは、クライアントが証明をサーバに送信して、サーバから認証されることを試みることを含むことが可能である。例えば、クライアント205が、証明をサーバ215に送信して、サーバ215から認証を受けることを試みることが可能である。クライアント205がアクセスポイント209に接続した際、アクセスポイント209は、その接続がアクティブであることを検出することができ、EAP要求/身元証明メッセージをクライアント205に送信することができる。代替として、クライアント205が、EAP開始メッセージをアクセスポイント209に送信し、これにより、EAP要求/身元証明メッセージがトリガされることが可能である。クライアント205は、EAP要求/身元証明メッセージに、ユーザ識別子を含むことが可能なEAP応答/身元証明メッセージで応答することができる。クライアント205のユーザがサーバ215に対してアカウントを有している場合、このユーザ識別子は、サーバ215によってユーザに割り当てられたユーザ識別子であることが可能である。サーバ215がユーザ識別子をクライアント205のユーザに割り当てていない場合、クライアント205は、ゲストユーザ識別子を送信することができる。
アクセスポイント209は、ポート251に関するEAPOLパケットの転送を可能にすることができる。つまり、ポート251で受信されたEAPOLパケットが、ポート252でアクセスポイント209から出されるように転送されることが可能である。ただし、アクセスポイント209は、例えば、HyperTextトランスファープロトコル(「HTTP」)、DHCP、及びシンプルメールトランスファープロトコル(「SMTP」)などの他のタイプのプロトコルが転送されることを、クライアント205が認証される(かつ許可される)までブロックすることができる。アクセスポイント209は、タグヘッダをEAPOLパケット(例えば、EAP応答/身元証明メッセージ)の中に挿入して、そのEAPOLパケットがVLAN Bに転送されるべきことを示すことができる。
データ経路指定デバイス214が、挿入されたタグヘッダを処理し、EAPOLパケットをVLAN Bに転送することができる。サーバ215が、EAPOLパケットを受信することができ、EAPOLパケットは、認証のために認証モジュール217に転送される。代替として、アクセスポイント209及び/又はデータ経路指定デバイス214が、802.1Xカプセル化を除去し、代わりに、VLAN Bに転送されるEAP−RADIUSメッセージ内にEAP応答/身元証明メッセージをカプセル化することも可能である。したがって、論理通信リンク234が他のRADIUSサーバを含む場合、EAP応答/身元証明メッセージは、それらの他のサーバを介してサーバ215に転送されることが可能である。
特定のEAPタイプに依存して、サーバ215は、様々な仕方でEAP応答/身元証明メッセージに応答することができる。サーバ215は、クライアント205がユーザ識別子に関連するパスワードを提供することを要求することができる。クライアント205のユーザが、パスワードをサーバ215に提供することによって応答することができる。クライアント205とサーバ215がEAPメッセージを交換して証明書、鍵、及びサポートされる暗号セット(cipher suite)の受け渡しを行うことも可能である。EAPタイプに依存して、クライアント205とサーバ215の間で他の証明情報が交換されることも可能である。
図3に戻ると、方法300は、ユーザインターフェースを自動的に提示する工程(工程302)を含んでいる。これは、コンピュータシステムのユーザが、どのようにユーザインターフェースが提示されるようにするかの事前の知識を有することを必要としないように、ユーザ入力情報を受け取ることができるユーザインターフェースを自動的に提示することを含むことが可能である。例えば、ユーザインターフェースモジュール206が、クライアント205においてユーザインターフェースを自動的に提示することが可能である。
証明がサーバ215に送信された際、認証モジュール217が、その証明(例えば、ユーザ識別子及びパスワード)を受け取り、その証明をユーザデータベース218内のエントリと比較することができる。証明情報がユーザデータベース218内のエントリと一致した場合、ユーザの身元は、認証される(すなわち、サーバ215は、ユーザ識別子によって表わされるユーザが証明情報を入力したユーザであると考える)。クライアント205の認証されたユーザが、VLAN C上に配置されたリソースにアクセスすることを許可されている場合(例えば、ユーザが、アカウントに関する支払いを延滞していない)、クライアント205は、VLAN C上に配置されたリソースにアクセスする許可を受けることが可能である。
他方、クライアント205が、VLAN C上に配置されたリソースにアクセスすることを拒否されている場合、サーバ215は、VLAN B上に配置されたリソースに対する制限されたアクセスの許可をクライアント205に与えることが可能である。したがって、クライアント205は、VLAN C(例えば、インターネットリソース)上に配置されたリソースに現在、アクセスすることができない場合、VLAN C上に配置されたリソースにアクセスすることが許可されるように準備ファイルを(VLAN Bから)電子式にダウンロードできることが可能である。クライアント205は、ユーザが認証を受けられない場合、ユーザがゲスト証明を送信した場合、又は認証されたユーザがVLAN C上に配置されたリソースにアクセスすることが許されていない場合(例えば、支払いが延滞している場合)、VLAN C上に配置されたリソースへのアクセスを拒否されるかもしれない。
クライアント205がVLAN C上に配置されたリソースへのアクセスを拒否された場合、サーバ215は、PEAPに従って暗号化され、完全性が検査されたEAP通知をクライアント205に送信することができる。EAP通知は、VLAN Cに配置されたリソースにアクセスするようにコンピュータシステムを準備するための情報を含むマスタドキュメントに対するURIを含むことが可能である。マスタドキュメントに関するURIは、例えば、https://www.provider12.com/provisioning/master.xml、又はhttp://www.provider9.com/provisioning/master.xmlのようなHTTP ユニフォームリソースロケータ(Uniform Resource Locator)(「URL」)であることが可能である。EAP通知は、VLAN C上に配置されたリソースにアクセスすることを許可されるようになるのにユーザが満たさなければならない条件(例えば、サインアップ、更新等)も含むことが可能である。クライアント205が、提供されたURIにアクセスすることによってダウンロードを行うべき場合、アクセスポイント209が、ポート251に関するHTTPパケットの転送を使用可能にすることが可能である。サーバ215が、コマンドをアクセスポイント209に送り、アクセスポイント209がHTTPパケットの転送を使用可能にするようにさせることができる。
代替として、サーバ215は、PEAP内でEAPタイプ−長さ−値(「TLV」)オブジェクトをクライアント205に送信することができる。TLVオブジェクトは、VLAN C上に配置されたリソースにアクセスするようにコンピュータシステムを準備するための情報を含むマスタドキュメントに対するURIを含むことが可能である。一部の実施形態では、マスタドキュメント(及びサブファイル)が、取外し可能なコンピュータ可読記録媒体(フロッピー(登録商標)ディスク、フラッシュカード等)でマスタドキュメント及び/又はサブファイルにアクセスすることなどにより、URI以外の機構によってアクセスされることが可能である。これは、例えば、遠隔ダイヤルアップなどの、ネットワーク接続を構成することができるにはまず、準備情報を必要とする環境において有利である。接続が確立された後、マスタドキュメント(及びサブファイル)を後に、ネットワークから更新することができる。
マスタドキュメントは、ネットワークアーキテクチャ200で描いたコンピュータシステムがアクセスすることが可能なXMLマスタドキュメントスキーマに従って定義されたXMLファイルであることが可能である。例えば、無線、デジタル加入者回線(「DSL」)、遠隔アクセスサーバ(「RAS」)、LAN、インターネットサービスプロバイダ(「ISP」)レファラル(referral)、無線ISP(「WISP」)などの様々なタイプの接続に関して様々なマスタドキュメントを生成することができる。したがって、本発明の原理を実施して、リストしたタイプの接続を含む実質的にあらゆるタイプの接続を使用するネットワークアクセスのためにコンピュータシステムを準備することができる。マスタドキュメントは、例えば、ヘルプファイル、構成ファイル、サインアップファイル、及びロケーションファイルなどのサブファイルに関するURLを含むことが可能である。また、マスタドキュメントは、例えば、第1のISPが第2のISPのサービスを使用する場合などに、他のマスタドキュメントに関するURLも含むことが可能である。
また、マスタドキュメントは、更新されたマスタドキュメントに関する検査がいつ行われるべきかを示す活動時間(time−to−live)(「TTL」)値(例えば、5分間、24時間等)も含むことが可能である。更新されたマスタドキュメントが用意されていることを検査が示す場合、更新されたマスタドキュメントをダウンロードすることができる(例えば、クライアント205に)。マスタドキュメントは、各サブファイルに関するバージョン番号を含むことが可能である。マスタドキュメントが更新される際、サブファイルのバージョン番号が検査されることが可能であり、より新しいバージョンのサブファイルが用意されている場合、そのより新しいバージョンがダウンロードされることが可能である(例えば、クライアント205に)。
本発明は、いずれの特定のタイプのスキーマにも限定されないことを理解されたい。ただし、本発明の原理を実施するのに使用することが可能な1つのタイプのスキーマは、XMLスキーマである。XMLスキーマは、XMLドキュメント内で使用される要素、及び対応するデータタイプを定義することができる。以下は、XMLマスタドキュメント内で使用することができる要素、及び対応するデータタイプを定義する例示的なXMLマスタドキュメントスキーマである。
Figure 2004213632
Figure 2004213632
この例示的なXMLマスタドキュメントスキーマは、コンピュータシステムを準備するためのマスタドキュメントを生成するのに使用することができる「マスタ」complexType(行5〜22)を定義する。「マスタ」complexTypeは、活動時間を表わす「TTL」要素(行7)をさらに定義する。TTL要素をマスタドキュメント内で使用して、マスタドキュメントがいつ更新されるべきかを示すことができる。また、「マスタ」complexTypeは、「UpdateFrom」要素(行10)もさらに定義する。XMLマスタドキュメント内のTTL要素の値により、XMLマスタドキュメントが更新されるべきことが示される場合、UpdateFrom要素に関連するURLにアクセスして、XMLマスタドキュメントの更新されたバージョンをダウンロードすることができる。また、「マスタ」complexTypeは、マスタドキュメント内で使用してサブファイルへのアクセスを定義することができる「サブファイル」要素(行11〜20)もさらに定義する。サブファイル要素の「maxOccurs」属性は、マスタドキュメント内に含めることができるサブファイルの数を示す。値「無制限」は、マスタドキュメント内に含めることができるサブファイルの数に全く制限が存在しないことを表わす。
サブファイル要素内で、「スキーマ」要素(行14)、URL要素(行15)、及びバージョン要素(行16)が定義される。スキーマ要素は、サブファイルに関連するスキーマの名前を表わすようにマスタドキュメント内に含められることが可能である。マスタドキュメント内にバージョン要素を含めて、サブファイルのバージョンを示すことができる。マスタドキュメント内にURL要素を含めて、サブファイルに関連するスキーマをダウンロードすることができる場所を表わすことができる。この例示的なXMLマスタドキュメントスキーマでは、URL要素は、テキストプレフィクス「https://」で開始するテキストストリング(行23〜27)であるものとして定義されている。ただし、本発明の原理を実施する際、例えば、「http://」、「ftp://」、「telnet://」などの実質的にあらゆるテキストプレフィックスを使用することができる。また、サブファイル要素は、マスタドキュメント内に含めて特定のサブファイルを表わすことができるオプションの「フラグメント」属性(行18)も定義することができる。例えば、「#signup」のフラグメント属性を使用してサインアップサブファイルを表わすことができる。フラグメント属性をXMLマスタドキュメント内でURL要素と結合して、例えば、「https://www.provisioning.com/master.xml#signup」のような、サブファイルの絶対的な場所を提供することができる。
マスタドキュメント及びサブファイルは、準備データストア219の中に記憶することができる。クライアント205が、提供されたURL(又はURI)にアクセスして、マスタドキュメント及び適切なサブファイルをダウンロードすることができる。マスタドキュメント及びサブファイルは、HTTPゲット又はHTTPSゲットを使用してダウンロードすることができる。これは、HTTPゲット又はHTTPSゲットを使用して、例えば、ホットスポットプロバイダ(Hot Spot Provider)(「HSP」)、ISPWebサーバ、又は準備データストア219などのVLAN B上に配置されたコンピュータシステムからファイルをダウンロードすることを含む。ダウンロードされたマスタドキュメント、及びサブファイルは、準備データ207の中に記憶することができる。
ヘルプサブファイルは、ネットワークアーキテクチャ200で描いたコンピュータシステムがアクセスすることが可能なXMLヘルプスキーマに従って定義されたXMLドキュメントであることが可能である。ヘルプファイルは、ユーザがクライアント205を準備するのを助けるようにサーバ215によって供給されるHyperTextマークアップ言語(「HTML」)ファイルにリンクするURLを含むことが可能である。また、ヘルプファイルは、ユーザが、サインアップする前にサービスプロバイダについて知ることができるように、サービスプロバイダに関する情報も含むことが可能である。
ロケーションサブファイルは、ネットワークアーキテクチャ200で描いたコンピュータシステムがアクセスすることが可能なXMLロケーションスキーマに従って定義されたXMLドキュメントであることが可能である。ロケーションサブファイルは、HSPのリスト、及びHSPが所在する対応する郵便アドレス、ホテル、及び空港を含むことが可能である。したがって、特定の場所に向かうユーザが、その特定の場所に到着する前に、その特定の場所からネットワーク(例えば、インターネット)にアクセスするための準備ファイルをダウンロードできることが可能である。
本発明は、何らかの特定の場所においてネットワークに接続することに限定されないことを理解されたい。以下は、ネットワークアクセスが利用可能である物理的な場所を示すためにロケーションサブファイル内で使用することができる要素、及び対応するデータタイプを定義する例示的なXMLロケーションスキーマである。
Figure 2004213632
この例示的なXMLロケーションスキーマは、ネットワークアクセスに関する物理的場所情報を提供するのに使用することができる「ロケーション」complexType(行7〜31)を定義する。行9〜17で定義される要素の1つ、いくつか、又はすべてをロケーションサブファイルの中に含めて、例えば、通り、市町、州、国、郵便番号、市外局番、電話番号、サポート番号、及びプロバイダ名などの様々なタイプの場所情報を示すことができる。ロケーションcomplexTypeは、ネットワークに対するアクセスが物理的に所在することが可能な、例えば、ホテル、空港、及びバーなどの場所のカテゴリをさらに定義する「カテゴリ」要素(行18〜29)をさらに定義する。
構成サブファイルは、ネットワークアーキテクチャ200で描かれたコンピュータシステムがアクセスすることが可能なXML構成スキーマに従って定義されたXMLドキュメントであることが可能である。構成サブファイルは、クライアント205がアクセスすることが可能なネットワークに関する構成プロファイルを含むことが可能である。クライアント205が無線ネットワークにアクセスしようと試みる場合、構成サブファイルは、クライアント205がアクセスすることが可能なSSIDに対応するプロファイルを含むことが可能である。構成サブファイルは、認証、暗号化、サポートされるプロトコル等を構成するための情報を含むことが可能である。受け取られた構成サブファイルは、準備データ207の中に記憶され、準備モジュール208によって処理されて、特定のネットワーク上の工程に合わせてクライアント205を構成することが可能である。
本発明は、いずれの特定のインターフェースを使用してネットワークに接続することにも限定されないことを理解されたい。ただし、ネットワークに接続するのに使用することができる1つのタイプのインターフェースは、無線インターフェースである(例えば、ネットワークインターフェース153が、無線ネットワークインターフェースであることが可能である)。以下は、無線インターフェース(例えば、無線アクセスポイント)を介してネットワークに接続するために構成サブファイル内で使用することができる要素、及び対応するデータタイプを定義する例示的なXML構成スキーマである。
Figure 2004213632
Figure 2004213632
Figure 2004213632
Figure 2004213632
この例示的なXML構成スキーマは、無線アクセスポイントを介してSSIDによって代表されるネットワークに接続するためのパラメータを構成するのに使用することができる「SSID」complexType(行7〜92)を定義する。SSID complexTypeは、「接続」要素(行11〜18)、「認証」要素(行19〜28)、「暗号化」要素(行29〜39)、「KeyIndex」要素(行40)、「802.1Xauth」要素(行41〜49)、「Non802.1XURL」要素(行50)、「PEAPパラメータ」要素(行51〜76)、及び「TLSパラメータ」要素(行77〜90)をさらに定義する。
定義された接続要素(行11〜18)は、ネットワークによってサポートされることが可能な接続のタイプをさらに定義する。定義された「IBSS」要素(行14)は、基本サービスセット(Basic Service Set)の名前を表わす。IBSS要素を構成サブファイル内に含めて、単一の無線アクセスポイントを介してアクセスされるかもしれないネットワークに関して、SSIDに、より意味のあるネットワーク名を関連付けることができる。定義された「ESS」要素(行15)は、拡張サービスセット(Extended Service Set)の名前を表わす。ESS要素は、単一のネットワークを形成する複数のSSIDに、より意味のあるネットワーク名を関連付けるために、かつ/又は複数の無線アクセスポイントを介してネットワークにアクセスが行われるかもしれない場合に、構成サブファイル内に含むことができる。
定義された認証要素(行19〜28)は、ネットワークによってサポートされることが可能な認証のタイプをさらに定義する。定義された「オープン」要素(行22)を構成サブファイル内に含めて、オープン認証を示すことができる。つまり、認証は、アクセスポイントを認証するのに必要とされるあらかじめ共有される鍵を使用しない。定義された「共有」要素(行23)を構成ファイル内に含めて、認証情報がアプリケーション間で共有されることを示すことができる。定義された「WPA」要素(行24)を構成ファイル内に含めて、認証がWiFi保護アクセスに従って行われることを示すことができる。定義された「WPAPSK」要素(行25)を構成サブファイル内に含めて、認証がWiFi保護アクセス事前共有鍵(Pre−Shared Key)認証に従って行われることを示すことができる。
定義された暗号化要素(行29〜39)は、ネットワークによってサポートされることが可能な暗号化のタイプをさらに定義する。行32〜36の定義された要素の1つ、いくつか、又はすべてを構成サブファイル内に含めて、例えば、暗号化なし、WEP暗号化、TKIP暗号化、ワイヤレスロバストオーセンティケーテッドプロトコル(Wireless Robust Authenticated Protocol)(「WRAP」)暗号化、カウンターウイズサイファーブロックチェイニングメッセージオーセンティケーションコードプロトコル(Counter with Cipher Block Chaining Message Authentication Code Protocol)(「CCMP」)暗号化などの様々なタイプの暗号化を示すことができる。
定義されたKeyIndex要素(行40)を構成サブファイル内に含めて、例えば、情報を暗号化する、又は検証するのに使用することができる鍵などの鍵の場所を示すことができる。
定義された「802.1Xauth」要素(行41〜49)は、ネットワークによってサポートされることが可能な802.1X認証のタイプをさらに定義する。行44〜46の要素の1つ、いくつか、又はすべてを構成サブファイル内に含めて、例えば、認証なし、TLS、及びPEAPなどの様々なタイプの802.1X認証を示すことができる。
定義された「非802.1XURL」要素(行50)を構成サブファイル内に含めて、非802.1X認証のためにアクセスすることができるURLを示すことができる。これは、EAPをサポートしない従来のシステムに適合させるために実施することができる。
定義された「PEAPパラメータ」要素(行51〜76)は、ネットワークによってサポートされることが可能なPEAPオプションをさらに定義する。行54〜57及び66の要素の1つ、いくつか、又はすべてを構成サブファイル内に含めて、例えば、サーバ検証、サーバ名リスト、サーバ証明書ハッシュ、証明書取消しリスト(certificate revocation list)(「CRL」)、高速再接続などの様々なPEAPオプションを示すことができる。また、定義された「PEAPパラメータ」要素(行51〜76)は、構成サブファイル内に含めて、サーバがクライアントから認証を受けるのに使用され、かつ/又はクライアントがサーバから認証を受けるのに使用されるEAPのタイプを示すことができる「EAPタイプ」要素もさらに定義する。行61及び62の要素のどちらか、又は両方を構成サブファイル内に含めて、例えば、EAP−TLS、及びEAPマイクロソフトチャレンジ/返答ハンドシェークプロトコルバージョン2(「EAP−MSChapV2」)などの様々なEAPタイプを示すことができる。EAP−MSChapV2が示される場合、行67の「MSChapV2パラメータ」要素を構成サブファイル内に含めて、オペレーティングシステム証明が認証のために使用されるべきかどうかを示すことができる。
定義された「TLSパラメータ」要素(行77〜90)は、ネットワークによってサポートされることが可能なEAP−TLSオプションをさらに定義する。行80〜87の要素の1つ、いくつか、又はすべてを構成サブファイル内に含めて、例えば、スマートカードの使用、クライアントにおける証明書の使用、単純な証明書選択の使用、証明書選択を使用しない、サーバ検証、サーバ名リスト、サーバ証明書ハッシュ、及び証明書取消しリスト(「CRL」)などの様々なEAP−TLSオプションを示すことができる。
サインアップ(又は更新)サブファイルは、ネットワークアーキテクチャ200で描いたコンピュータシステムがアクセスすることが可能なXMLサインアップスキーマに従って定義されたXMLドキュメントであることが可能である。さらなる情報が必要とされる(例えば、VLAN C上に配置されたリソースへのアクセスを可能にするのに)というEAP通知(又は、TLVオブジェクト)を受信したことに応答して、クライアント205は、サインアップファイルを自動的にダウンロードすることができる。サインアップファイルがユーザインターフェースモジュール206によって処理されて、ユーザインターフェースがクライアント205において自動的に提示されることが可能である。したがって、ユーザは、どのようにユーザインターフェースが提示されるようにするかについて事前の知識を有している必要がない。
XMLサインアップスキーマは、ブランド設定(branding)情報、加入情報(例えば、期間、価格等)、プロバイダ接触情報、支払い方法(例えば、クレジットカード、ペイパル(paypal)、プレパッド(pre−pad)カード、証明書等)に関するエントリフィールド、接触情報(名前、住所、電話番号等)に関するエントリフィールド、証明タイプ、ユーザ名、パスワード、RADIUSサーバ証明書等を定義することができる。さらに、ユーザインターフェースを、例えば、英語、日本語、フランス語、又はドイツ語などの様々な文字言語で提示することができる。様々な文字言語に関するサポートは、XML言語タグの使用によって容易にすることができる。
ユーザインターフェースが登録を更新する目的で提示される場合、ユーザインターフェースにおいて受け取られるユーザ入力情報の量を少なくすることができる。提示されるユーザインターフェースが、さらなるクレジットカード支払い、又はその他の電子支払いオプションを許可するための「はい」コントロールと「いいえ」コントロールだけを含むことも可能である。
図3に戻ると、方法300が、第2のネットワーク上に配置されたリソースにアクセスする許可を要求するための結果指向の機能ステップ(ステップ307)を含んでいる。ステップ307は、第2のネットワーク上に配置されたリソースにアクセスする許可を要求したことの結果を実現するためのあらゆる対応する工程を含むことが可能である。ただし、図3で示した例では、ステップ307は、ユーザ入力情報を受け取る対応する工程(工程303)を含む。提示されたユーザインターフェースを使用して、ユーザ入力情報(例えば、ユーザ識別子、パスワード、名前、住所、クレジットカード情報等)をクライアント205におけるユーザから受け取ることができる。ユーザがアカウントを更新している場合、より少ない量の情報が受け取られることが可能である。例えば、ユーザが、VLAN C上に配置されたリソースにアクセスするように以前にサインアップしている場合、アカウント維持モジュール216が、ユーザデータベース218にアクセスして以前に入力されたユーザ情報を取得し、ユーザが、ユーザ情報を再入力しなければならないことから解放されることが可能である。ユーザが、「はい」コントロールを選択して、クレジットカード支払い、又はその他の電子支払いオプションを承認するユーザ入力情報を提供することが可能である。
また、ステップ307は、スキーマベースのドキュメントを渡す対応する工程(工程304)も含む。これは、クライアントが、ユーザ入力情報を含む第1のスキーマベースのドキュメントをサーバに渡すことを含むことが可能である。例えば、クライアント205は、提示されたユーザインターフェースにおいて受け取られたユーザ入力情報を含む、XMLサインアップスキーマに従って定義された第1のXMLドキュメントを渡すことが可能である。クライアント205が、HTTPポスト又はHTTPSポストを使用して、スキーマベースのドキュメントをHSPに、ISPWebサイトに、又はサーバ215にアップロードすることが可能である。アカウント維持モジュール216が、HTTPポスト又はHTTPSポストを使用してアップロードされたスキーマベースのドキュメントを受け取るためのWebベースのインターフェースを有することが可能である。一部の実施形態では、アカウント維持モジュール216に対するWebベースのインターフェースは、スキーマベースのドキュメント内に含まれるユーザ入力情報を処理して、ユーザデータベース218を更新することができる。
また、方法300は、許可の指示を受け取る工程(工程305)も含む。これは、クライアントがVLAN上に配置されたリソースにアクセスすることをサーバが許可したという指示を提供する第2のスキーマベースのドキュメントをクライアントが受け取ることを含むことが可能である。例えば、クライアント205は、VLAN C上に配置されたリソースにアクセスすることがクライアント205に許可されたという指示を提供する、XMLサインアップスキーマに従って定義された第2のXMLドキュメントを受け取ることができる。第2のスキーマベースのドキュメントの受領は、第1のスキーマベースのドキュメントをサブミットしたことに応答して行われることが可能である。例えば、適切なユーザ入力情報をサブミットしたことに応答して、クライアント205は、VLAN C上に配置されたリソースにアクセスすることをサーバ215がクライアント205に許可したという指示を受け取ることが可能である。これは、ユーザ識別子及びパスワードを受け取ること、又はクレジットカード支払いが受諾されたという指示を受け取ることを含むことが可能である。
クライアント205がVLAN C上に配置されたリソースにアクセスすることを許可された場合、アクセスポイント209が、ポート251に関して現在、ブロックされているプロトコルが存在すれば、それを使用可能にし、クライアント205からのデータがVLAN Cに転送されるべきことを示すタグヘッダを挿入することができる。サーバ215が、コマンドをアクセスポイント209に送り、アクセスポイント209がプロトコルを使用可能にするようにさせ、アクセスポイント209が適切なタグヘッダを挿入するようにさせることができる。
サーバ215が、例えば、1時間といったセッションタイムアウトを設定し、このタイムアウトの後、アクセスポイント209が、クライアント205に再び認証を受けるように要求することが可能である。再認証の時点で加入が依然として有効である場合、クライアント205は、適切な証明をサーバ215に渡すことによって背景で再び認証を受けることが可能である。他方、再認証の時点で加入期間が満了している場合、サーバ215は、更新ユーザインターフェースがクライアント205において提示されるようにするEAP通知(又はTLVオブジェクト)を送信することができる。加入期間は、指定された期間(例えば、1ヶ月間、24時間等)の後、又は特定のサービスプロバイダを介する指定された回数の接続(例えば、1回の接続、10回の接続等)の後に満了することが可能である。更新ユーザインターフェースの適切な完了の後、クライアント205は、再び認証を受けることができる。
ユーザが更新ユーザインターフェースを適切に完了しなかった場合、アクセスポイント209は、クライアント205からのデータの中にVLAN Cに関するタグヘッダを挿入することを止め、クライアント205からのデータの中にVLAN Bに関するタグヘッダを挿入することを始めることが可能である。また、アクセスポイント209は、ポート251に関するプロトコルをブロックすることを始めることもできる。サーバ215が、コマンドをアクセスポイント209に送り、アクセスポイント209がプロトコルをブロックし、適切なタグヘッダを挿入するようにさせることができる。
工程302ないし305と並行して、方法300は、スキーマベースのドキュメントを実行する工程(工程306)も含む。これは、第3のスキーマベースのドキュメントを実行して、第2のネットワークにアクセスするためにクライアントを構成することを含むことが可能である。例えば、準備モジュール208が、XML構成スキーマに従って定義されたXMLドキュメントを実行して、VLAN C上に配置されたリソースにアクセスするためにクライアント205を適切に構成することが可能である。準備モジュール208は、準備データ207から、例えば、構成サブファイルなどの以前にダウンロードされたXMLドキュメントを取得することができる。
構成サブファイルを実行して、接続タイプ、通信プロトコル、認証タイプ、暗号化タイプ等を構成することができる。構成サブファイルは、ダウンロードされた後、実質的にあらゆる時点で実行されることが可能である。したがって、クライアントは、ネットワークへのアクセスを拒否されている場合でも、そのネットワーク上に配置されたリソースにアクセスするために適切に構成されることが可能である。スキーマベースのドキュメントの実行を介して、クライアントが、ほとんど、又は全くユーザの介入なしに再構成されることが可能である。これにより、ユーザは、ネットワークに適合した動作のためにクライアントを手作業で再構成しなければならないことから解放される。
一部の実施形態では、第1のネットワーク構成を使用するインターネットアクセスに関して現在、準備されているコンピュータシステムが、第2のネットワーク構成を使用するインターネットアクセスのためにあらかじめ準備される。例えば、ISPを介するインターネットアクセスを有するコンピュータシステムが、無線ホットスポットを介するインターネットアクセスのためにISPWebサイトでサインアップすることが可能である。ISPに対する登録プロセス中、コンピュータシステムは、無線ホットスポットに関する準備ファイルをダウンロードすることができる。したがって、無線ホットスポットに接続した時点で、コンピュータシステムは、無線ホットスポットを介してインターネットにアクセスすることのために既に適切に構成されている。さらに、ISPに対する登録プロセス中にアカウント情報(例えば、名前、住所、支払い情報等)が入力されている場合、コンピュータシステムは、既に無線ホットスポットを介してインターネットにアクセスする許可を受けていることが可能である。
本発明は、本発明の趣旨、又は基本的な特徴を逸脱することなく、他の特定の形態で実施することができる。前述した実施形態は、すべての点で、例示的であり、限定するものではないと考えられるべきである。したがって、本発明の範囲は、以上の説明によってではなく、特許請求の範囲によって示される。特許請求の範囲と等価の意義及び範囲に含まれるすべての変更は、特許請求の範囲に包含されるものとする。
本発明の原理に適切な動作環境を示す図である。 クライアントを準備する際に自動化のレベルを高めることを促進することができるネットワークアーキテクチャの例を示す図である。 コンピュータシステムを準備するための方法の例を示す流れ図である。 第2のネットワークへのアクセスを禁止している間に、第1のネットワークへのアクセスを提供することができるネットワークアーキテクチャの例を一般的に示す図である。
符号の説明
200 ネットワークアーキテクチャ
205 クライアント
206 ユーザインターフェースモジュール
207 準備データ
208 準備モジュール
209 アクセスポイント
213 ネットワーク
214 データ経路指定デバイス
215 サーバ
216 アカウント維持モジュール
217 認証モジュール
218 ユーザデータベース
219 準備データストア
231、233、234、235 論理通信リンク
242、243、244、251、252 ポート

Claims (40)

  1. 中間コンピュータシステムを介して複数のリソースを含む第2のネットワークと、少なくともコンピュータシステムが第2のネットワークにアクセスするように準備するためのリソースを含む第1のネットワークの両方に接続可能なネットワークであるコンピュータシステムにおいて、中間コンピュータシステムは、コンピュータシステムからのデータが第1のネットワークに転送されるか、又は第2のネットワークに転送されるかを決定して、第1のネットワークへのアクセスを、第2のネットワークへのアクセスが禁止されている間に、許すことが可能であるようにし、第1のネットワークは、コンピュータシステムが第2のネットワークにアクセスすることを許可することができるサーバをさらに含む、第2のネットワークにアクセスするようにコンピュータシステムを準備してユーザ入力を減らすようにする方法であって、
    証明をサーバに送信してサーバから認証を受けようと試みる工程と、
    ユーザ入力情報を受け取ることができるユーザインターフェースを自動的に提示して、コンピュータシステムのユーザが、どのようにユーザインターフェースが提示されるようにするかについての事前の知識を有することを必要としないようにする工程と、
    ユーザインターフェースの中にユーザ入力情報を受け取る工程と、
    ユーザ入力情報を含む第1のスキーマベースのドキュメントをサーバに渡す工程と、
    第1のスキーマベースのドキュメントをサブミットした後に、第2のネットワーク上に配置されたリソースにコンピュータシステムがアクセスすることをサーバが許可したという指示を提供する第2のスキーマベースのドキュメントを受け取る工程と、
    第3のスキーマベースのドキュメントを実行して第2のネットワークにアクセスするためにコンピュータシステムを構成して、コンピュータシステムを手作業で構成しなければならないことからユーザを解放するようにする工程とを含むことを特徴とする方法。
  2. 証明をサーバに送信する工程は、証明をサーバに通信するように結合されたアクセスポイントに送信する工程を含むことを特徴とする請求項1に記載の方法。
  3. 証明をサーバに送信する工程は、EAPメッセージをサーバに送信する工程を含むことを特徴とする請求項1に記載の方法。
  4. 証明をサーバに送信する工程は、IEEE 802.1Xメッセージ内にEAPメッセージをカプセル化する工程を含むことを特徴とする請求項1に記載の方法。
  5. 証明をサーバに送信する工程は、タグヘッダを証明に関連付けて、証明がサーバを含む仮想ネットワークに転送されるべきことを示すようにする工程を含むことを特徴とする請求項1に記載の方法。
  6. 証明をサーバに送信する工程は、インターネットプロトコルアドレスフィルタリング構成要素によってコンピュータシステムに公開されたインターネットプロトコルアドレスに証明を送信する工程を含むことを特徴とする請求項1に記載の方法。
  7. 証明をサーバに送信する工程は、コンピュータシステムと第1のネットワークの間で仮想プライベートネットワークを確立する工程を含むことを特徴とする請求項1に記載の方法。
  8. 証明をサーバに送信する工程は、ユーザ識別子を送信する工程を含むことを特徴とする請求項1に記載の方法。
  9. 証明をサーバに送信する工程は、ゲスト証明を送信する工程を含むことを特徴とする請求項1に記載の方法。
  10. ユーザ入力情報を受け取ることができるユーザインターフェースを自動的に提示する工程は、マスタ準備ドキュメントに対するURIを含む通知をEAPを介して受け取る工程を含むことを特徴とする請求項1に記載の方法。
  11. ユーザ入力情報を受け取ることができるユーザインターフェースを自動的に提示する工程は、マスタ準備ドキュメントに対するURIを含むTLVオブジェクトをPEAPを介して受け取る工程を含むことを特徴とする請求項1に記載の方法。
  12. ユーザ入力情報を受け取ることができるユーザインターフェースを自動的に提示する工程は、複数のリソースを含む仮想ネットワークにアクセスすることが許可されるようになるのに満たされなければならない条件を含むEAP通知を受け取る工程を含むことを特徴とする請求項1に記載の方法。
  13. ユーザ入力情報を受け取ることができるユーザインターフェースを自動的に提示する工程は、URIにアクセスしてマスタ準備ドキュメントをダウンロードする工程を含むことを特徴とする請求項1に記載の方法。
  14. ユーザ入力情報を受け取ることができるユーザインターフェースを自動的に提示する工程は、サーバを含む仮想ネットワークからファイルをダウンロードする工程を含むことを特徴とする請求項1に記載の方法。
  15. ユーザ入力情報を受け取ることができるユーザインターフェースを自動的に提示する工程は、サインアップサブファイルを処理してユーザインターフェースが提示されるようにする工程を含むことを特徴とする請求項1に記載の方法。
  16. ユーザ入力情報を受け取ることができるユーザインターフェースを自動的に提示する工程は、ユーザに関して以前に入力されたユーザ入力情報を含む更新ユーザインターフェースを提示する工程を含むことを特徴とする請求項1に記載の方法。
  17. ユーザ入力情報を含む第1のスキーマベースのドキュメントを渡す工程は、XMLサインアップスキーマに従って定義されたXMLドキュメントを渡す工程を含むことを特徴とする請求項1に記載の方法。
  18. 第2のネットワークにコンピュータシステムがアクセスすることをサーバが許可したという指示を提供する第2のスキーマベースのドキュメントを受け取る工程は、XMLサインアップスキーマに従って定義された第2のXMLドキュメントを受け取る工程を含むことを特徴とする請求項1に記載の方法。
  19. 第2のネットワーク上に配置されたリソースにコンピュータシステムがアクセスすることをサーバが許可したという指示を提供する第2のスキーマベースのドキュメントを受け取る工程は、サーバから認証を受けるのに使用することができる証明を受け取る工程を含むことを特徴とする請求項1に記載の方法。
  20. 第3のスキーマベースのドキュメントを実行して、第2のネットワークにアクセスするためにコンピュータシステムを構成する工程は、XML構成スキーマに従って定義されたXMLドキュメントを実行する工程を含むことを特徴とする請求項1に記載の方法。
  21. 第3のスキーマベースのドキュメントを実行して、第2のネットワークにアクセスするためにコンピュータシステムを構成する工程は、スキーマベースのドキュメントを実行して、無線アクセスポイントを介してアクセスされる有線ネットワークと適切に通信するようにコンピュータシステムを構成する工程を含むことを特徴とする請求項1に記載の方法。
  22. 第3のスキーマベースのドキュメントを実行して、第2のネットワークにアクセスするためにコンピュータシステムを構成する工程は、スキーマベースのドキュメントを実行して、DSLプロバイダと適切に通信するようにコンピュータシステムを構成する工程を含むことを特徴とする請求項1に記載の方法。
  23. 第3のスキーマベースのドキュメントを実行して、第2のネットワークにアクセスするためにコンピュータシステムを構成する工程は、スキーマベースのドキュメントを実行して、ISPと適切に通信するようにコンピュータシステムを構成する工程を含むことを特徴とする請求項1に記載の方法。
  24. 第3のスキーマベースのドキュメントを実行して、第2のネットワークにアクセスするためにコンピュータシステムを構成する工程は、スキーマベースのドキュメントを実行して、イーサネットネットワークと適切に通信するようにコンピュータシステムを構成する工程を含むことを特徴とする請求項1に記載の方法。
  25. 証明を送信した後、第2のネットワーク上に配置された複数のリソースにアクセスすることが許可されるようになるのに必要とされる準備ファイルをダウンロードする目的で、第1のネットワークへの制限されたアクセスをサーバが許可したという指示を受け取る工程をさらに含むことを特徴とする請求項1に記載の方法。
  26. 認証のために使用されるべきEAPタイプを選択する工程をさらに含むことを特徴とする請求項1に記載の方法。
  27. 中間コンピュータシステムを介して複数のリソースを含む第2のネットワークと、少なくともコンピュータシステムが第2のネットワークにアクセスするように準備するためのリソースを含む第1のネットワークの両方に接続可能なネットワークであるコンピュータシステムにおいて、中間コンピュータシステムは、コンピュータシステムからのデータが第1のネットワークに転送されるか、又は第2のネットワークに転送されるかを決定して、第1のネットワークへのアクセスを、第2のネットワークへのアクセスが禁止されている間に、許すことが可能であるようにし、第1のネットワークは、コンピュータシステムが第2のネットワークにアクセスすることを許可することができるサーバをさらに含む、第2のネットワークにアクセスするようにコンピュータシステムを準備してユーザ入力を減らすようにする方法であって、
    証明をサーバに送信してサーバから認証を受けようと試みる工程と、
    ユーザ入力情報を受け取ることができるユーザインターフェースを自動的に提示して、コンピュータシステムのユーザが、どのようにユーザインターフェースが提示されるようにするかについての事前の知識を有することを必要としないようにする工程と、
    第2のネットワーク上に配置されたリソースにアクセスする許可を要求するためのステップと、
    第1のスキーマベースのドキュメントをサブミットした後に、第2のネットワーク上に配置されたリソースにコンピュータシステムがアクセスすることをサーバが許可したという指示を提供する第2のスキーマベースのドキュメントを受け取る工程と、
    第3のスキーマベースのドキュメントを実行して第2のネットワークにアクセスするためにコンピュータシステムを構成して、コンピュータシステムを手作業で構成しなければならないことからユーザを解放するようにする工程とを含むことを特徴とする方法。
  28. 中間コンピュータシステムを介して複数のリソースを含む第2のネットワークと、少なくともコンピュータシステムが第2のネットワークにアクセスするように準備するためのリソースを含む第1のネットワークの両方に接続可能なネットワークであるコンピュータシステムにおいて、中間コンピュータシステムは、コンピュータシステムからのデータが第1のネットワークに転送されるか、又は第2のネットワークに転送されるかを決定して、第1のネットワークへのアクセスを、第2のネットワークへのアクセスが禁止されている間に、許すことが可能であるようにし、第1のネットワークは、コンピュータシステムが第2のネットワークにアクセスすることを許可することができるサーバをさらに含む、第2のネットワークにアクセスするようにコンピュータシステムを準備してユーザ入力を減らすようにする方法を実施するためのコンピュータプログラムであって、
    証明をサーバに送信してサーバから認証を受けようと試みるためのコンピュータ実行可能命令と、
    ユーザ入力情報を受け取ることができるユーザインターフェースを提示して、コンピュータシステムのユーザが、どのようにユーザインターフェースが提示されるようにするかについての事前の知識を有することを必要としないようにするためのコンピュータ実行可能命令と、
    ユーザインターフェースの中にユーザ入力情報を受け取るためのコンピュータ実行可能命令と、
    ユーザ入力情報を含む第1のスキーマベースのドキュメントをサーバに渡すためのコンピュータ実行可能命令と、
    第1のスキーマベースのドキュメントをサブミットした後に、第2のネットワーク上に配置されたリソースにコンピュータシステムがアクセスすることをサーバが許可したという指示を提供する第2のスキーマベースのドキュメントを受け取るためのコンピュータ実行可能命令と、
    第3のスキーマベースのドキュメントを実行して第2のネットワークにアクセスするためにコンピュータシステムを構成して、コンピュータシステムを手作業で構成しなければならないことからユーザを解放するようにするためのコンピュータ実行可能命令とを含むことを特徴とするコンピュータプログラム。
  29. 証明をサーバに送信してサーバから認証を受けようと試みるためのコンピュータ実行可能命令は、サーバから認証を受けるのにコンピュータシステムによって使用される認証のタイプを交渉するためのコンピュータ実行可能命令をさらに含むことを特徴とする請求項28に記載のコンピュータプログラム。
  30. ユーザ入力情報を受け取ることができるユーザインターフェースを提示するためのコンピュータ実行可能命令は、EAP通知を受け取るためのコンピュータ実行可能命令をさらに含むことを特徴とする請求項28に記載のコンピュータプログラム。
  31. 第3のスキーマベースのドキュメントを実行して、第2のネットワークにアクセスするためにコンピュータシステムを構成するためのコンピュータ実行可能命令は、XML構成スキーマに従って定義されたXMLドキュメントを実行するためのコンピュータ実行可能命令をさらに含むことを特徴とする請求項28に記載のコンピュータプログラム。
  32. 中間コンピュータシステムを介して複数のサービスを提供する第1の仮想ネットワークと、複数のサービスの少なくともサブセットを提供する第2の仮想ネットワークの両方に接続可能であり、中間コンピュータシステムが、コンピュータシステムからのデータが第1の仮想ネットワークに転送されるべきか、又は第2の仮想ネットワークに転送されるべきかを決定するようにしているネットワークであるコンピュータシステムにおいて、第2の仮想ネットワークに接続されたサーバは、第1の仮想ネットワーク上のサービスにアクセスするようにコンピュータシステムを更新するための更新情報を提供することができる、第1の仮想ネットワーク上のサービスにアクセスするようにコンピュータシステムを更新してユーザ入力を減らすようにする方法であって、
    第1の仮想ネットワーク上のサービスにアクセスしようと試みる工程と、
    サービスに適合するアクセスのためにコンピュータシステムが更新されるべきであるという指示を自動的に提示して、アプリケーションのユーザが、どのようにコンピュータシステムを更新するかについての事前の知識を有することを必要としないようにする工程と、
    コンピュータシステムを更新する要望を示すユーザ入力情報を受け取る工程と、
    ユーザ入力情報を含む第1のスキーマベースのドキュメントをサーバに渡す工程と、
    第1のスキーマベースのドキュメントをサブミットした後に、コンピュータシステムに関する更新情報を含む第2のスキーマベースのドキュメントを受け取る工程と、
    第2のスキーマベースのドキュメントを実行してコンピュータシステムを更新して、コンピュータシステムを手作業で更新しなければならないことからユーザを解放するようにする工程とを含むことを特徴とする方法。
  33. 準備マスタドキュメントを命名するための形式を定義する名前フィールドと、
    名前フィールド内で定義された命名形式に従って命名された準備マスタドキュメントがいつ更新されるべきかを表わすための活動時間形式を定義する活動時間フィールドと、
    名前フィールド内で定義された命名形式に従って命名された準備マスタドキュメント内のサブファイルを表わすための形式を定義するサブファイルフィールドとを含むデータ構造を記憶していることを特徴とする1つ又は複数のコンピュータ可読記録媒体。
  34. サブファイルフィールドは、
    サブファイルスキーマを表わすための形式を定義するスキーマフィールドと、
    サブファイルURLを表わす形式を定義するURLフィールドから成ることを特徴とする請求項33に記載の1つ又は複数のコンピュータ可読記録媒体。
  35. サブファイルフィールドは、特定のサブファイルに対応するURLフラグメントを表わすための形式を定義するフラグメントフィールドから成ることを特徴とする請求項33に記載の1つ又は複数のコンピュータ可読記録媒体。
  36. 命名フィールド内の命名形式に従って定義された準備マスタドキュメントに関する更新がどこに配置されているかを表わすための形式を定義する更新フィールドをさらに含むことを特徴とする請求項33に記載の1つ又は複数のコンピュータ可読記録媒体。
  37. ネットワークによってサポートされる接続のタイプを表わすための形式を定義する接続フィールドと、
    接続フィールド内で定義された接続タイプによってサポートされる認証のタイプを表わすための形式を定義する認証フィールドとを含むデータ構造を記憶していることを特徴とする1つ又は複数のコンピュータ可読記録媒体。
  38. 認証フィールドは、EAP認証のタイプを表わすための形式を定義するEAPフィールドから成ることを特徴とする請求項37に記載の1つ又は複数のコンピュータ可読記録媒体。
  39. 認証フィールドは、EAPをサポートしないコンピュータシステムを認証するのにアクセスすることができるロケーションを表わすための形式を定義する従来の認証フィールドから成ることを特徴とする請求項37に記載の1つ又は複数のコンピュータ可読記録媒体。
  40. 接続フィールド内で定義された接続タイプによってサポートされる暗号化のタイプを表わすための形式を定義する暗号化フィールドをさらに含むことを特徴とする請求項37に記載の1つ又は複数のコンピュータ可読記録媒体。
JP2003406559A 2002-12-06 2003-12-04 コンピュータシステムがネットワークにアクセスするように準備する際に自動化のレベルを高める方法、コンピュータプログラム及び記録媒体 Withdrawn JP2004213632A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/313,084 US7284062B2 (en) 2002-12-06 2002-12-06 Increasing the level of automation when provisioning a computer system to access a network

Publications (1)

Publication Number Publication Date
JP2004213632A true JP2004213632A (ja) 2004-07-29

Family

ID=32312283

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003406559A Withdrawn JP2004213632A (ja) 2002-12-06 2003-12-04 コンピュータシステムがネットワークにアクセスするように準備する際に自動化のレベルを高める方法、コンピュータプログラム及び記録媒体

Country Status (12)

Country Link
US (1) US7284062B2 (ja)
EP (1) EP1427163B1 (ja)
JP (1) JP2004213632A (ja)
KR (1) KR101004504B1 (ja)
CN (1) CN100581154C (ja)
AT (1) ATE390008T1 (ja)
AU (2) AU2003266437B2 (ja)
BR (1) BR0305307A (ja)
CA (1) CA2448946A1 (ja)
DE (1) DE60319791T2 (ja)
MX (1) MXPA03011281A (ja)
RU (1) RU2342700C2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006072682A (ja) * 2004-09-02 2006-03-16 Mitsubishi Electric Corp 中継装置及び通信システム及び通信方法及びプログラム
JP2006099780A (ja) * 2004-09-29 2006-04-13 Microsoft Corp ネットワークを介するソフトウェア配信を外部の悪意のある侵入から隔離する方法、システム、および装置
JP2007199880A (ja) * 2006-01-25 2007-08-09 Nec Corp 通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法
JP2007207067A (ja) * 2006-02-03 2007-08-16 Nippon Telegr & Teleph Corp <Ntt> サーバクライアントシステムおよび該システムにおけるアクセス制御方法、ならびにそのためのプログラム
JP2008042882A (ja) * 2006-08-09 2008-02-21 Samsung Electronics Co Ltd Wpa−psk環境の無線ネットワークでステーションを管理する方法及びその装置
JP2008541590A (ja) * 2005-05-09 2008-11-20 スパイダー ナビゲイションズ エルエルシー 通信システムにおける証明を分配するための方法
JP2011018347A (ja) * 2010-07-26 2011-01-27 Nec Corp 通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法
JP2012073893A (ja) * 2010-09-29 2012-04-12 Nifty Corp 認証サーバ、認証システム、認証方法及び認証プログラム
US8271792B2 (en) 2008-02-20 2012-09-18 Ricoh Company, Ltd. Image processing apparatus, authentication package installation method, and computer-readable recording medium
JP2014509474A (ja) * 2011-01-18 2014-04-17 ノマディックス・インコーポレイテッド 通信システムネットワークにおけるグループ帯域幅管理のためのシステムおよび方法

Families Citing this family (115)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7483984B1 (en) * 2001-12-19 2009-01-27 Boingo Wireless, Inc. Method and apparatus for accessing networks by a mobile device
US7986937B2 (en) * 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US7120791B2 (en) * 2002-01-25 2006-10-10 Cranite Systems, Inc. Bridged cryptographic VLAN
US7336783B2 (en) * 2003-01-24 2008-02-26 Samsung Electronics, C., Ltd. Cryptographic systems and methods supporting multiple modes
JP2006524005A (ja) * 2003-04-15 2006-10-19 トムソン ライセンシング ゲスト・ユーザーおよびローカル・ユーザーの双方のために企業用のホット・スポットにおけるシームレスなアクセスを提供する技術
US8555344B1 (en) * 2003-06-05 2013-10-08 Mcafee, Inc. Methods and systems for fallback modes of operation within wireless computer networks
US7827556B2 (en) * 2003-07-17 2010-11-02 Silicon Graphics International Method for equitable resource sharing between local and network filesystems
WO2005011205A1 (en) * 2003-07-22 2005-02-03 Thomson Licensing S.A. Method and apparatus for controlling credit based access (prepaid) to a wireless network
US20050102662A1 (en) * 2003-09-19 2005-05-12 Pctel, Inc. PCTEL-13800U automated updating system for wireless networks
US20050097199A1 (en) * 2003-10-10 2005-05-05 Keith Woodard Method and system for scanning network devices
DE10351350A1 (de) * 2003-11-04 2005-06-02 Siemens Ag Verfahren zum Projektieren einer Automatisierungsanlage
US7505596B2 (en) * 2003-12-05 2009-03-17 Microsoft Corporation Automatic detection of wireless network type
US7493394B2 (en) * 2003-12-31 2009-02-17 Cisco Technology, Inc. Dynamic timeout in a client-server system
GB0400694D0 (en) * 2004-01-13 2004-02-18 Nokia Corp A method of connection
JP3736641B2 (ja) * 2004-01-22 2006-01-18 セイコーエプソン株式会社 データ転送制御装置及び電子機器
JP4261382B2 (ja) * 2004-02-17 2009-04-30 株式会社日立コミュニケーションテクノロジー 通信統計情報収集機能を備えたアクセスサーバ
JP2005268936A (ja) * 2004-03-16 2005-09-29 Canon Inc アクセスポイント、ネットワークシステム及びネットワークサービス提供方法
US20050226175A1 (en) * 2004-03-30 2005-10-13 Ajay Gupta Device, system and method for configuration of wireless access point
US20050223086A1 (en) * 2004-03-31 2005-10-06 Raverdy Pierre G Discovering nearby hosts and applications for impromptu interactions using well-known ad-hoc network configuration
US20070274232A1 (en) * 2004-04-05 2007-11-29 Telefonaktiebolaget Lm Ericsson (Pub) Method, Communication Device and System for Detecting Neighboring Nodes in a Wireless Multihop Network Using Ndp
US7676585B1 (en) * 2004-04-29 2010-03-09 Cisco Technology, Inc. System and method for dynamically adjusting a refresh interval
US9021253B2 (en) 2004-07-02 2015-04-28 International Business Machines Corporation Quarantine method and system
JP4524288B2 (ja) * 2004-07-02 2010-08-11 インターナショナル・ビジネス・マシーンズ・コーポレーション 検疫システム
US7273179B2 (en) * 2004-07-09 2007-09-25 Datalogic Scanning, Inc. Portable data reading device with integrated web server for configuration and data extraction
US7194763B2 (en) * 2004-08-02 2007-03-20 Cisco Technology, Inc. Method and apparatus for determining authentication capabilities
US7987499B2 (en) * 2004-08-18 2011-07-26 Broadcom Corporation Method and system for exchanging setup configuration protocol information in beacon frames in a WLAN
US7930737B2 (en) * 2004-08-18 2011-04-19 Broadcom Corporation Method and system for improved communication network setup utilizing extended terminals
US20060046693A1 (en) * 2004-08-31 2006-03-02 Hung Tran Wireless local area network (WLAN) authentication method, WLAN client and WLAN service node (WSN)
KR100851184B1 (ko) * 2004-09-24 2008-08-08 주식회사 케이티 가상 사무 서비스 제공 시스템
US7925540B1 (en) * 2004-10-15 2011-04-12 Rearden Commerce, Inc. Method and system for an automated trip planner
US20060129557A1 (en) * 2004-12-10 2006-06-15 Microsoft Corporation Wireless network sign-up experience
US7805414B2 (en) * 2004-12-10 2010-09-28 Jean-Pierre Duplessis Wireless network customization
US7310669B2 (en) * 2005-01-19 2007-12-18 Lockdown Networks, Inc. Network appliance for vulnerability assessment auditing over multiple networks
US7810138B2 (en) * 2005-01-26 2010-10-05 Mcafee, Inc. Enabling dynamic authentication with different protocols on the same port for a switch
US8520512B2 (en) 2005-01-26 2013-08-27 Mcafee, Inc. Network appliance for customizable quarantining of a node on a network
US20060164199A1 (en) * 2005-01-26 2006-07-27 Lockdown Networks, Inc. Network appliance for securely quarantining a node on a network
US7949114B2 (en) 2005-03-15 2011-05-24 Avaya Inc. Granting privileges to a telecommunications terminal based on the relationship of a first signal to a second signal
US7720018B2 (en) * 2005-04-21 2010-05-18 Microsoft Corporation Low power transmission provisioning for wireless network devices
US7657255B2 (en) * 2005-06-23 2010-02-02 Microsoft Corporation Provisioning of wireless connectivity for devices using NFC
US20060294580A1 (en) * 2005-06-28 2006-12-28 Yeh Frank Jr Administration of access to computer resources on a network
US7733906B2 (en) * 2005-06-30 2010-06-08 Intel Corporation Methodology for network port security
US8286223B2 (en) 2005-07-08 2012-10-09 Microsoft Corporation Extensible access control architecture
US8181232B2 (en) * 2005-07-29 2012-05-15 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US8705550B2 (en) * 2005-08-08 2014-04-22 Qualcomm Incorporated Device interface architecture and protocol
US7570939B2 (en) * 2005-09-06 2009-08-04 Apple Inc. RFID network arrangement
US20070101401A1 (en) * 2005-10-27 2007-05-03 Genty Denise M Method and apparatus for super secure network authentication
US7904946B1 (en) 2005-12-09 2011-03-08 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US9002750B1 (en) 2005-12-09 2015-04-07 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US9768963B2 (en) 2005-12-09 2017-09-19 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US7788499B2 (en) * 2005-12-19 2010-08-31 Microsoft Corporation Security tokens including displayable claims
US20070162909A1 (en) * 2006-01-11 2007-07-12 Microsoft Corporation Reserving resources in an operating system
US7333464B2 (en) * 2006-02-01 2008-02-19 Microsoft Corporation Automated service discovery and wireless network set-up
US8117459B2 (en) * 2006-02-24 2012-02-14 Microsoft Corporation Personal identification information schemas
US20070203852A1 (en) * 2006-02-24 2007-08-30 Microsoft Corporation Identity information including reputation information
US8104074B2 (en) * 2006-02-24 2012-01-24 Microsoft Corporation Identity providers in digital identity system
JP2007280221A (ja) * 2006-04-10 2007-10-25 Fujitsu Ltd 認証ネットワークシステム
US8732476B1 (en) * 2006-04-13 2014-05-20 Xceedium, Inc. Automatic intervention
US20070288853A1 (en) * 2006-06-09 2007-12-13 Nextair Corporation Software, methods and apparatus facilitating presentation of a wireless communication device user interface with multi-language support
US20070294699A1 (en) * 2006-06-16 2007-12-20 Microsoft Corporation Conditionally reserving resources in an operating system
US9250972B2 (en) * 2006-06-19 2016-02-02 International Business Machines Corporation Orchestrated peer-to-peer server provisioning
US8078880B2 (en) * 2006-07-28 2011-12-13 Microsoft Corporation Portable personal identity information
US7966489B2 (en) * 2006-08-01 2011-06-21 Cisco Technology, Inc. Method and apparatus for selecting an appropriate authentication method on a client
US8978103B2 (en) * 2006-08-21 2015-03-10 Qualcomm Incorporated Method and apparatus for interworking authorization of dual stack operation
US8174995B2 (en) * 2006-08-21 2012-05-08 Qualcom, Incorporated Method and apparatus for flexible pilot pattern
BRPI0715736B1 (pt) 2006-08-21 2020-02-04 Qualcomm Inc método e equipamento para autorização de interfuncionamento de operação de pilha dual
US8266681B2 (en) * 2006-08-29 2012-09-11 Ca, Inc. System and method for automatic network logon over a wireless network
US8266702B2 (en) 2006-10-31 2012-09-11 Microsoft Corporation Analyzing access control configurations
US8087072B2 (en) * 2007-01-18 2011-12-27 Microsoft Corporation Provisioning of digital identity representations
US8407767B2 (en) * 2007-01-18 2013-03-26 Microsoft Corporation Provisioning of digital identity representations
US7886339B2 (en) * 2007-01-20 2011-02-08 International Business Machines Corporation Radius security origin check
US8689296B2 (en) 2007-01-26 2014-04-01 Microsoft Corporation Remote access of digital identities
US8356176B2 (en) 2007-02-09 2013-01-15 Research In Motion Limited Method and system for authenticating peer devices using EAP
KR101450774B1 (ko) * 2007-02-21 2014-10-14 삼성전자주식회사 무선랜에서의 자기 스캔을 통한 중복 ssid 검출 방법및 그 시스템
US8646045B1 (en) * 2007-07-26 2014-02-04 United Services Automobile Association (Usaa) Bank speech authentication
US8353052B2 (en) * 2007-09-03 2013-01-08 Sony Mobile Communications Ab Providing services to a guest device in a personal network
US8762999B2 (en) * 2007-09-27 2014-06-24 Oracle America, Inc. Guest-initiated resource allocation request based on comparison of host hardware information and projected workload requirement
US7958211B2 (en) * 2007-10-22 2011-06-07 Sony Corporation Automatic configuration of wireless device for router
US8726042B2 (en) * 2008-02-29 2014-05-13 Microsoft Corporation Tamper resistant memory protection
US8429739B2 (en) * 2008-03-31 2013-04-23 Amazon Technologies, Inc. Authorizing communications between computing nodes
US8374159B2 (en) 2008-05-21 2013-02-12 Microsoft Corporation Wireless network host in silent mode
US9094301B2 (en) * 2008-05-30 2015-07-28 Red Hat, Inc. Provisioning network resources by environment and network address
US9009310B1 (en) * 2008-06-12 2015-04-14 Hlt Domestic Ip Llc System and method for provisioning of internet access services in a guest facility
US8245276B1 (en) * 2008-06-12 2012-08-14 Hilton Hotels Corporation System and method for providing internet access services at hotels within a hotel chain
US20100132047A1 (en) * 2008-11-24 2010-05-27 Honeywell International Inc. Systems and methods for tamper resistant memory devices
US8855087B2 (en) 2008-12-18 2014-10-07 Microsoft Corporation Wireless access point supporting control by multiple applications
US8787828B2 (en) * 2008-12-23 2014-07-22 Qualcomm Incorporated In-band provisioning for a closed subscriber group
US9244882B2 (en) * 2009-02-26 2016-01-26 Red Hat, Inc. Provisioning network resources based on environment
US8819791B2 (en) * 2009-03-16 2014-08-26 Apple Inc. Captive network negotiation interface and automation
US8898748B2 (en) * 2009-05-21 2014-11-25 Mobile Iron, Inc. Remote verification for configuration updates
DE102009029828B4 (de) * 2009-06-18 2011-09-01 Gigaset Communications Gmbh DEFAULT Verschlüsselung
EP2278834A1 (en) * 2009-06-30 2011-01-26 Alcatel Lucent A method for transferring data between a client and a server in a telecommunication network, as well as a system, a server, a client and a node
WO2011041905A1 (en) * 2009-10-09 2011-04-14 Tajinder Manku Using a first network to control access to a second network
US8630901B2 (en) * 2009-10-09 2014-01-14 Pravala Inc. Using a first network to control access to a second network
US9203831B2 (en) * 2009-11-25 2015-12-01 Red Hat, Inc. SSL client authentication
US8792392B2 (en) * 2010-02-10 2014-07-29 Qualcomm Incorporated Method and apparatus for in-band provisioning of a device at a closed subscriber group
US8804957B2 (en) * 2010-03-29 2014-08-12 Nokia Corporation Authentication key generation arrangement
KR101587003B1 (ko) * 2010-09-07 2016-01-20 삼성전자주식회사 무선 통신 시스템에서 와이 파이 연결 확인을 위한 장치 및 방법
US20120102207A1 (en) * 2010-10-26 2012-04-26 Joseph Salowey Registration of ad-hoc group members into an infrastructure network
EP2676464B1 (en) * 2011-02-14 2020-03-25 Nokia Technologies Oy Seamless wi-fi subscription remediation
US20120243444A1 (en) * 2011-03-25 2012-09-27 Mitel Networks Corporation Communication system to localize devices and methods thereof
CN102299924A (zh) * 2011-08-22 2011-12-28 神州数码网络(北京)有限公司 RADIUS服务器与802.1x客户端信息交互、认证方法及***
CN102957678B (zh) * 2011-08-26 2016-04-06 北京华为数字技术有限公司 认证ip电话机和协商语音域的方法、***以及设备
US8959572B2 (en) 2011-10-28 2015-02-17 Google Inc. Policy enforcement of client devices
US8984606B2 (en) * 2011-12-22 2015-03-17 Hewlett-Packard Development Company, L.P. Re-authentication
US9258704B2 (en) * 2012-06-27 2016-02-09 Advanced Messaging Technologies, Inc. Facilitating network login
CN104303462B (zh) * 2012-07-30 2017-10-31 慧与发展有限责任合伙企业 提供商桥接网络通信***及方法
US20140337926A1 (en) * 2013-05-10 2014-11-13 Matthew Martin Shannon Systems and methods for on-demand provisioning of user access to network-based computer applications and programs
RU2598787C2 (ru) * 2014-02-13 2016-09-27 Общество с ограниченной ответственностью "ТатАСУ" СИСТЕМА АВТОМАТИЗИРОВАННОГО СБОРА И ОБРАБОТКИ ДАННЫХ gps-МОНИТОРИНГА
US10063998B2 (en) * 2014-11-07 2018-08-28 Tevnos LLC Mobile authentication in mobile virtual network
CN105429800A (zh) * 2015-12-03 2016-03-23 小米科技有限责任公司 网络连接的处理方法、装置和终端设备
US10257237B2 (en) * 2016-12-21 2019-04-09 Netapp, Inc. Recovering from and avoiding network connectivity loss
US11070392B2 (en) 2017-10-27 2021-07-20 Hilton International Holding Llc System and method for provisioning internet access
US11470132B2 (en) * 2018-11-29 2022-10-11 Ricoh Company, Ltd. Information processing apparatus, information processing system, electronic blackboard apparatus, control method, and program
US11363000B1 (en) 2021-01-04 2022-06-14 Bank Of America Corporation System for virtual private network authentication sensitivity with read only sandbox integration

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000324104A (ja) * 1999-05-10 2000-11-24 Matsushita Electric Works Ltd バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム
WO2001031843A2 (en) * 1999-10-22 2001-05-03 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
EP1182591A2 (en) * 2000-08-18 2002-02-27 Marconi Commerce Systems Inc. Remote-access fuel dispenser using a data type aware mark-up language
WO2002080467A1 (fr) * 2001-03-29 2002-10-10 Mitsubishi Denki Kabushiki Kaisha Systeme de gestion de reseau

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5943674A (en) * 1996-07-11 1999-08-24 Tandem Computers Incorporated Data structure representing an interface definition language source file
US6608832B2 (en) 1997-09-25 2003-08-19 Telefonaktiebolaget Lm Ericsson Common access between a mobile communications network and an external network with selectable packet-switched and circuit-switched and circuit-switched services
US7007080B2 (en) * 1999-12-23 2006-02-28 Solution Inc Limited System for reconfiguring and registering a new IP address for a computer to access a different network without user intervention
US20020013831A1 (en) 2000-06-30 2002-01-31 Arto Astala System having mobile terminals with wireless access to the internet and method for doing same
US7260638B2 (en) 2000-07-24 2007-08-21 Bluesocket, Inc. Method and system for enabling seamless roaming in a wireless network
US7016877B1 (en) * 2000-08-04 2006-03-21 Enfotrust Networks, Inc. Consumer-controlled limited and constrained access to a centrally stored information account
DE50011222D1 (de) 2000-12-04 2005-10-27 Siemens Ag Verfahren zum Nutzen einer Datenverarbeitungsanlage abhängig von einer Berechtigung, zugehörige Datenverarbeitungsanlage und zugehöriges Programm
ATE315309T1 (de) * 2001-03-22 2006-02-15 Nortel Networks Ltd Flexible kundenspezifische anpassung von netzwerkdiensten
US20030065919A1 (en) * 2001-04-18 2003-04-03 Albert Roy David Method and system for identifying a replay attack by an access device to a computer system
US20040139204A1 (en) * 2001-04-23 2004-07-15 Siegried Ergezinger Architecture for providing services in the internet
US7269668B2 (en) * 2001-09-05 2007-09-11 Redford Darrell J Mobile, seamless, temporary, wireless network access apparatus and method
US20040019786A1 (en) * 2001-12-14 2004-01-29 Zorn Glen W. Lightweight extensible authentication protocol password preprocessing
US7082535B1 (en) * 2002-04-17 2006-07-25 Cisco Technology, Inc. System and method of controlling access by a wireless client to a network that utilizes a challenge/handshake authentication protocol
US20040225709A1 (en) * 2003-05-06 2004-11-11 Joseph Kubler Automatically configuring security system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000324104A (ja) * 1999-05-10 2000-11-24 Matsushita Electric Works Ltd バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム
WO2001031843A2 (en) * 1999-10-22 2001-05-03 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
EP1182591A2 (en) * 2000-08-18 2002-02-27 Marconi Commerce Systems Inc. Remote-access fuel dispenser using a data type aware mark-up language
WO2002080467A1 (fr) * 2001-03-29 2002-10-10 Mitsubishi Denki Kabushiki Kaisha Systeme de gestion de reseau

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006072682A (ja) * 2004-09-02 2006-03-16 Mitsubishi Electric Corp 中継装置及び通信システム及び通信方法及びプログラム
JP2006099780A (ja) * 2004-09-29 2006-04-13 Microsoft Corp ネットワークを介するソフトウェア配信を外部の悪意のある侵入から隔離する方法、システム、および装置
JP2008541590A (ja) * 2005-05-09 2008-11-20 スパイダー ナビゲイションズ エルエルシー 通信システムにおける証明を分配するための方法
JP4801147B2 (ja) * 2005-05-09 2011-10-26 スパイダー ナビゲイションズ エルエルシー 証明を配送するための方法、システム、ネットワーク・ノード及びコンピュータ・プログラム
JP2007199880A (ja) * 2006-01-25 2007-08-09 Nec Corp 通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法
US9363285B2 (en) 2006-01-25 2016-06-07 Nec Corporation Communication system, network for qualification screening/setting, communication device, and network connection method
JP2007207067A (ja) * 2006-02-03 2007-08-16 Nippon Telegr & Teleph Corp <Ntt> サーバクライアントシステムおよび該システムにおけるアクセス制御方法、ならびにそのためのプログラム
JP2008042882A (ja) * 2006-08-09 2008-02-21 Samsung Electronics Co Ltd Wpa−psk環境の無線ネットワークでステーションを管理する方法及びその装置
US8271792B2 (en) 2008-02-20 2012-09-18 Ricoh Company, Ltd. Image processing apparatus, authentication package installation method, and computer-readable recording medium
JP2011018347A (ja) * 2010-07-26 2011-01-27 Nec Corp 通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法
JP2012073893A (ja) * 2010-09-29 2012-04-12 Nifty Corp 認証サーバ、認証システム、認証方法及び認証プログラム
JP2014509474A (ja) * 2011-01-18 2014-04-17 ノマディックス・インコーポレイテッド 通信システムネットワークにおけるグループ帯域幅管理のためのシステムおよび方法
US11949562B2 (en) 2011-01-18 2024-04-02 Nomadix, Inc. Systems and methods for group bandwidth management in a communication systems network

Also Published As

Publication number Publication date
DE60319791T2 (de) 2009-04-16
RU2003135540A (ru) 2005-05-27
DE60319791D1 (de) 2008-04-30
KR101004504B1 (ko) 2010-12-31
CA2448946A1 (en) 2004-06-06
MXPA03011281A (es) 2004-09-10
US7284062B2 (en) 2007-10-16
EP1427163A2 (en) 2004-06-09
US20040111520A1 (en) 2004-06-10
AU2009208127A1 (en) 2009-09-03
RU2342700C2 (ru) 2008-12-27
AU2003266437B2 (en) 2009-10-29
AU2009208127B2 (en) 2011-03-03
EP1427163A3 (en) 2005-04-13
AU2003266437A1 (en) 2004-06-24
ATE390008T1 (de) 2008-04-15
CN100581154C (zh) 2010-01-13
EP1427163B1 (en) 2008-03-19
CN1514619A (zh) 2004-07-21
BR0305307A (pt) 2004-08-31
KR20040049822A (ko) 2004-06-12

Similar Documents

Publication Publication Date Title
KR101004504B1 (ko) 컴퓨터 시스템 프로비저닝 방법 및 컴퓨터 프로그램 제조품
US7448080B2 (en) Method for implementing secure corporate communication
US7194763B2 (en) Method and apparatus for determining authentication capabilities
US7444508B2 (en) Method of implementing secure access
US7082535B1 (en) System and method of controlling access by a wireless client to a network that utilizes a challenge/handshake authentication protocol
US7142851B2 (en) Technique for secure wireless LAN access
Chen et al. Extensible authentication protocol (EAP) and IEEE 802.1 x: tutorial and empirical experience
Matsunaga et al. Secure authentication system for public WLAN roaming
US20080222714A1 (en) System and method for authentication upon network attachment
US20130104204A1 (en) Mobile host using a virtual single account client and server system for network access and management
US20090132682A1 (en) System and Method for Secure Configuration of Network Attached Devices
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
WO2011017924A1 (zh) 无线局域网的认证方法、***、服务器和终端
JP2002314549A (ja) ユーザ認証システム及びそれに用いるユーザ認証方法
WO2013023475A1 (zh) 共享网络中用户数据的方法和身份提供服务器
Cisco Overview
Cisco Overview
CN114640495A (zh) 一种基于通用浏览器的零信任单包认证***及方法
Melnikov et al. A protocol for remotely managing sieve scripts
Veltri et al. DHCP-based authentication for mobile users/terminals in a wireless access network
Zhang et al. Access and accounting schemes of wireless broadband
Froihofer A survey of WLAN security with focus on HotSpot and enterprise environments
Martin RFC 5804: A Protocol for Remotely Managing Sieve Scripts

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100129

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100428

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100601

RD13 Notification of appointment of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7433

Effective date: 20101004

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20101004

RD15 Notification of revocation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7435

Effective date: 20120126

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20121022