JP2012531822A - ネットワーク信用証明書を取得するためのシステム及び方法 - Google Patents

ネットワーク信用証明書を取得するためのシステム及び方法 Download PDF

Info

Publication number
JP2012531822A
JP2012531822A JP2012517739A JP2012517739A JP2012531822A JP 2012531822 A JP2012531822 A JP 2012531822A JP 2012517739 A JP2012517739 A JP 2012517739A JP 2012517739 A JP2012517739 A JP 2012517739A JP 2012531822 A JP2012531822 A JP 2012531822A
Authority
JP
Japan
Prior art keywords
network
credential
digital device
server
credential request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012517739A
Other languages
English (en)
Other versions
JP2012531822A5 (ja
Inventor
ゴードン,ジョン
キムドン,デイヴィッド,ホィードン
Original Assignee
デバイススケープ・ソフトウェア・インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デバイススケープ・ソフトウェア・インコーポレーテッド filed Critical デバイススケープ・ソフトウェア・インコーポレーテッド
Publication of JP2012531822A publication Critical patent/JP2012531822A/ja
Publication of JP2012531822A5 publication Critical patent/JP2012531822A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

ネットワーク信用証明書を取得するためのシステム及び方法を開示する。いくつかの実施形態では、方法が、デジタル装置を使用してネットワーク装置からネットワーク識別子を受け取るステップと、このネットワーク識別子を含む第1の信用証明書要求をネットワーク上の別のデジタル装置に提供するステップと、この別のデジタル装置から追加のネットワーク情報の要求を受け取るステップと、この別のデジタル装置に追加のネットワーク情報を含む第2の信用証明書要求を提供するステップと、この別のデジタル装置からネットワーク信用証明書を含む信用証明書要求応答を受け取るステップと、この信用証明書要求応答から取り出したネットワーク信用証明書をネットワーク装置に提供するステップとを含む。
【選択図】 図15

Description

本発明は、一般に通信ネットワークへのアクセスに関する。より詳細には、本発明は、ネットワーク信用証明書を取得してネットワークにアクセスすることに関する。
ネットワークを使用して情報にアクセスすることが増えることにより、様々な活動に関してネットワーク通信への依存度が高まってきた。この依存度とともに、ネットワークアクセスが至る所で可能になるという期待が高まっている。無線技術の向上により、モバイルユーザのネットワークアクセスは特に強化されてきた。様々なセルラ(GSM(登録商標)、CDMAなど)、Wi−Fi(すなわちIEEE 802.11)、WiMax(すなわちIEEE 802.16)及びその他の技術により、潜在的ネットワークユーザに対して広範囲にわたるアクセスオプションが可能になってきた。多くの無線アクセスポイントすなわち「ホットスポット」は、局所的な地理的領域でしかアクセスすることができず、特定の会社又はその他の住所と同じぐらい狭いこともある。また、戦略的に配置されたホットスポットは、全ての人々に公的又は私的ネットワークアクセスを提供することができる。
米国特許出願第11/899,697号明細書 米国特許出願第11/899,638号明細書
ホットスポットの所有者又は管理者は、ユーザアクセスを可能にするために、多くの場合パスワードなどを要求する。この結果、複数のホットポットのユーザは、数多くのパスワードを記憶し、覚え、又は別様に管理する必要が生じ得る。多くのユーザは、ホットスポットへのアクセスに使用するラップトップコンピュータ上に自身のパスワードを記憶することができる。しかしながら、ホットスポットにアクセスできる装置は、全てがラップトップコンピュータであるとは限らず、現在では携帯電話、携帯情報端末(PDA)、及びその他の多くの装置が無線アクセス可能である。残念ながら、ユーザは、装置上に容易にパスワードを入力したり、或いは装置内にパスワードを記憶させることができないことが多い。例えば、無線アクセス可能な装置には、キーボードを有していないものもある。たとえ装置がキーボードを含んでいても、このキーボードは小さいことが多く、特に指先が器用でないユーザにとっては機能が限られることがある。
ユーザがラップトップコンピュータ上にパスワードを記憶する場合、ユーザはまず、ラップトップコンピュータにアクセスしてコンピュータに正しいパスワードを記憶させなければならない。パスワードが変わると、ユーザは、コンピュータ内のパスワードを更新する必要がある。また、装置内にユーザ名及びパスワードを記憶させると、装置が紛失又は盗難にあった場合にセキュリティ上の問題を生じる。
さらに、通常、ユーザは、パスワード、ユーザ名を入力し、ウェブサイトを渡り歩いてネットワークアクセスを得る必要がある。この過程には時間がかかり、またユーザが誤った情報を入力して、データを再入力せざるを得なくなる場合もある。
ユーザは、パスワードを手動入力する場合、難しいパスワードを覚えようとはしない。この結果、単純なパスワードでのアクセスは、ハッキングを受けやすく、ユーザのネットワークアクセス、ホットスポット及び/又はユーザの個人情報を危険にさらすことがある。さらに、ユーザの単純なパスワードがハッキングされたり、又は単純に推測される場合、ユーザのネットワークアクセスが盗まれることがある。
これまで、無線ネットワークに接続することは、無線装置のユーザにとって他の理由で複雑な処理であった。通常、ユーザは、2又はそれ以上のWi−Fiネットワークが存在する領域に入り、自身のラップトップ上でWi−Fi機能を選択し、利用可能なWi−Fiネットワークを一覧にした一連の「走査結果」を見る。1つの例では、利用可能なWi−Fiネットワークのリストが、Wi−FiネットワークSSID識別子のリストを含む。多くの場合、ユーザは、暗号化又は(ログインページなどの)その他のセキュリティメカニズムが存在しないWi−Fiネットワークを識別しなければならない。機能的な無線ネットワークもいくつか存在する一方で、ネットワークが使用できなくなるように誤設定された無線ネットワークも存在することが、ユーザの不満を増大させる。
通常、ユーザは、どのWi−Fiネットワークに接続すべきかを一覧に基づいて任意に判断する。通常、ユーザは、どのWi−Fiネットワークに接続すべきかを判断する際に、選択したWi−Fiネットワークが十分なサービス品質を提供するかどうか、或いはネットワークが動的ホスト構成プロトコル(DHCP)を介してIPアドレスを提供できるかどうかが分からない。
異なるネットワーク装置が類似のSSID又はその他の識別子を共有することは珍しくない。例えば、複数の公立図書館のSSIDが「図書館」を示すことがある。SSIDが一意でないので、アクセスを得るために、どのネットワーク信用証明書を提供すべきかをSSIDのみに基づいて判断することは困難となり得る。例えば、「図書館」というSSIDを有する図書館には、ユーザが「ゲスト」であることを示すとアクセスを許可するところもある。同じSSIDを有する図書館でも、図書館カード識別子を必要とするところもある。
ネットワークアクセスのためのネットワーク信用証明書を提供する例示的な方法及びシステムについて説明する。この例示的な方法は、ネットワーク装置を介してデジタル装置から信用証明書要求を受け取るステップと、この信用証明書要求の中の少なくとも一部の情報に基づいてネットワーク記録を識別するステップと、このネットワーク記録に基づいて、複数のネットワーク信用証明書から1つのネットワーク信用証明書を取り出すステップと、複数のネットワーク信用証明書から取り出したネットワーク信用証明書を含む信用証明書要求応答をデジタル装置へ送信するステップとを含む。
この方法は、信用証明書要求を解読し、信用証明書要求を認証し、信用証明書要求応答を暗号化するステップをさらに含むことができる。さらに、この方法は、デジタル装置に基づいて暗号鍵を取り出すステップを含むこともできる。信用証明書要求は、ネットワーク装置の標準プロトコルを介して受け取ることができる。この標準プロトコルはDNSとすることができる。
信用証明書要求は、位置識別子を含むことができる。方法は、デジタル装置から確認済みアクセス応答を受け取るステップをさらに含むことができる。
ネットワーク信用証明書を提供するための例示的なシステムは、信用証明書要求モジュール及び信用証明書要求応答モジュールを含むことができる。信用証明書要求モジュールは、デジタル装置からネットワーク装置を介して信用証明書要求を受け取るように構成することができる。信用証明書要求応答モジュールは、この信用証明書要求の中の少なくとも一部の情報に基づいてネットワーク記録を識別し、このネットワーク記録に基づいて複数のネットワーク信用証明書から1つのネットワーク信用証明書を取り出し、このネットワークを含む信用証明書要求応答をデジタル装置へ送信するように構成することができる。
例示的なコンピュータ可読媒体は、プログラムを含むことができる。このプログラムは、ネットワーク信用証明書を提供する方法を実施するためのプロセッサによって実行することができる。この方法は、ネットワーク装置を介してデジタル装置から信用証明書要求を受け取るステップと、この信用証明書要求の中の少なくとも一部の情報に基づいてネットワーク記録を識別するステップと、このネットワーク記録に基づいて複数のネットワーク信用証明書から1つのネットワーク信用証明書を取り出すステップと、複数のネットワーク信用証明書から取り出したネットワーク信用証明書を含む信用証明書要求応答をデジタル装置へ送信するステップとを含むことができる。
無線ネットワークを選択するためのシステム及び方法を開示する。いくつかの実施形態では、方法が、第1のネットワーク装置のための第1のネットワーク装置識別子及び第2のネットワーク装置のための第2のネットワーク装置識別子を受け取るステップと、第1の属性を含む、第1のネットワーク装置識別子に基づく第1のネットワークプロファイルを取得するステップと、第2の属性を含む、第2のネットワーク装置識別子に基づく第2のネットワークプロファイルを取得するステップと、第1の属性及び第2の属性の属性分析に基づいて第1のネットワーク装置識別子又は第2のネットワーク装置識別子を選択するステップとを含む。
様々な実施形態では、第1のネットワーク装置識別子及び第2のネットワーク装置識別子が、デジタル装置からサーバによって受け取られる。この方法は、選択に基づいて無線ネットワーク選択を行うステップをさらに含むことができる。この方法は、選択に基づいて信用証明書要求応答を提供するステップをさらに含むこともできる。
いくつかの実施形態では、ネットワーク選択識別子が第1のネットワーク装置識別子を含む。ネットワーク選択識別子はまた、第1のネットワーク装置識別子及び第2のネットワーク装置識別子を含むソート済みリストを含むこともでき、このリストは第1の属性及び第2の属性の属性分析に基づいてソートされる。属性は、性能測定基準、共有インジケータ、及びサービス識別子を含むことができる。
方法は、第1の属性及び第2の属性を最低要件と比較するステップをさらに含むことができ、第1のネットワーク識別子又は第2のネットワーク装置識別子を選択するステップは、この属性と最低要件の比較にも少なくとも部分的に基づく。方法はまた、第1の属性及び第2の属性を個別設定と比較するステップをさらに含むこともでき、第1のネットワーク識別子又は第2のネットワーク装置識別子を選択するステップは、この属性と個別設定の比較にも少なくとも部分的に基づく。方法はまた、ユーザ識別子を受け取り、このユーザ識別子に基づいてユーザアカウントから個別設定を取り出すステップをさらに含むこともできる。
様々な実施形態では、システムがデジタル装置及びサーバを含む。デジタル装置は、通信ネットワークに結合することができ、この通信ネットワークを介して第1のネットワーク装置のための第1のネットワーク装置識別子及び第2のネットワーク装置のための第2のネットワーク装置識別子を受け取るように構成することができる。サーバも通信ネットワークに結合するとができ、第1のネットワーク装置識別子及び第2のネットワーク装置識別子をデジタル装置から受け取って、第1の属性を含む、第1のネットワーク装置識別子に基づく第1のネットワークプロファイルを取得し、第2の属性を含む、第2のネットワーク装置識別子に基づく第2のネットワークプロファイルを取得し、第1の属性及び第2の属性の属性分析に基づいて第1のネットワーク装置識別子又は第2のネットワーク装置識別子を選択するように構成することができる。
コンピュータ可読記憶媒体は、方法を含む命令を記憶するように構成することができ、この方法は、第1のネットワーク装置のための第1のネットワーク装置識別子及び第2のネットワーク装置のための第2のネットワーク装置識別子を受け取るステップと、第1の属性を含む、第1のネットワーク装置識別子に基づく第1のネットワークプロファイルを取得するステップと、第2の属性を含む、第2のネットワーク装置識別子に基づく第2のネットワークプロファイルを取得するステップと、第1の属性及び第2の属性の属性分析に基づいて第1のネットワーク装置識別子又は第2のネットワーク装置識別子を選択するステップとを含む。
ネットワーク信用証明書を取得するシステム及び方法を開示する。いくつかの実施形態では、方法が、デジタル装置を使用してネットワーク装置からネットワーク識別子を受け取るステップと、このネットワーク識別子を含む第1の信用証明書要求をネットワーク上の別のデジタル装置に提供するステップと、この別のデジタル装置から追加のネットワーク情報の要求を受け取るステップと、この別のデジタル装置に追加のネットワーク情報を含む第2の信用証明書要求を提供するステップと、この別のデジタル装置からネットワーク信用証明書を含む信用証明書要求応答を受け取るステップと、この信用証明書要求応答から取り出したネットワーク信用証明書をネットワーク装置に提供するステップとを含む。
いくつかの実施形態では、第1の信用証明書要求が、DNSプロトコルを使用してフォーマットされる。第1の信用証明書要求は、ネットワーク装置上のオープンポートを介して他のデジタル装置に提供することができる。オープンポートは、ポート53とすることができる。
ネットワーク識別子は、SSIDなどの、ネットワークを識別するいずれかの識別子とすることができる。追加のネットワーク情報は、以下に限定されるわけではないが、BSSID、デジタル装置がネットワーク装置から受け取ったウェブページのタイトル、デジタル装置がネットワーク装置から受け取ったウェブページのURL、又はデジタル装置がネットワーク装置から受け取ったウェブページのハッシュなどの、ネットワークに関連するいずれかの情報とすることができる。
例示的なシステムは、要求モジュール及び応答モジュールを備えることができる。要求モジュールは、ネットワーク装置からネットワーク識別子を受け取るように構成することができる。応答モジュールは、このネットワーク識別子を含む第1の信用証明書をネットワーク上の別のデジタル装置に提供し、この別のデジタル装置から追加のネットワーク情報の要求を受け取り、この別のデジタル装置に追加のネットワーク情報を含む第2の信用証明書要求を提供し、この別のデジタル装置からネットワーク信用証明書を含む信用証明書要求応答を受け取り、この信用証明書要求応答から取り出したネットワーク信用証明書をネットワーク装置に提供するように構成することができる。
構成される例示的なコンピュータ可読記憶媒体は、命令を記憶するように構成することができる。この命令は、方法を含むことができる。この方法は、デジタル装置を使用してネットワーク装置からネットワーク識別子を受け取るステップと、このネットワーク識別子を含む第1の信用証明書要求をネットワーク上の別のデジタル装置に提供するステップと、この別のデジタル装置から追加のネットワーク情報の要求を受け取るステップと、この別のデジタル装置に追加のネットワーク情報を含む第2の信用証明書要求を提供するステップと、この別のデジタル装置からネットワーク信用証明書を含む信用証明書要求応答を受け取るステップと、この信用証明書要求応答から取り出したネットワーク信用証明書をネットワーク装置に提供するステップとを含むことができる。
本発明の実施形態を実施できる環境を示す図である。 例示的な信用証明書サーバのブロック図である。 デジタル装置にネットワークアクセスを提供する例示的な処理のフロー図である。 例示的な信用証明書要求のブロック図である。 例示的な信用証明書要求応答のブロック図である。 ネットワーク信用証明書を提供する例示的な方法のフロー図である。 ネットワーク信用証明書を提供する例示的な方法の別のフロー図である。 ネットワーク信用証明書を受け取って記憶する例示的な方法のフロー図である。 例示的な信用証明書サーバのブロック図である。 本発明の実施形態を実施できる別の環境を示す図である。 無線ネットワークの選択を提供する例示的な処理のフロー図である。 無線ネットワークを選択する例示的な処理のフロー図である。 無線ネットワークを選択し、この選択した無線ネットワークにアクセスするための略図である。 いくつかの実施形態におけるデジタル装置のボックス図である。 いくつかの実施形態における、ネットワーク識別子がネットワーク信用証明書を識別するのに不十分な可能性がある場合の、ネットワーク信用証明書を取り出す例示的な方法のフロー図である。 いくつかの実施形態における、ネットワーク識別子が不十分な場合にデジタル装置がネットワーク信用証明書を受け取る例示的な方法のフロー図である。 いくつかの実施形態における、信用証明書サーバ116がネットワーク信用証明書を提供する例示的な方法のフロー図である。 いくつかの実施形態における、2又はそれ以上のネットワークがネットワーク識別子を共有できる場合の、デジタル装置がネットワーク信用証明書を受け取る別の例示的な方法のフロー図である。
本発明の実施形態は、ネットワーク信用証明書を提供するためのシステム及び方法を提供する。例示的な実施形態では、信用証明書サーバが、ホットスポットにおけるデジタル装置からネットワーク信用証明書の要求を受け取る。この要求は、ホットスポットから信用証明書サーバへ中継される標準プロトコルとしてフォーマットすることができる。信用証明書サーバは、要求の中に含まれる少なくとも一部の情報に基づいてネットワーク記録を識別し、このネットワーク記録に関連する送信ネットワーク信用証明書をデジタル装置へ送信することができる。デジタル装置は、ネットワーク信用証明書を受け取り、ネットワークアクセスを取得するためにこれをネットワーク装置に提供することができる。
様々な実施形態では、ルールサーバが、様々なネットワーク属性に基づいてデジタル装置が接続できる複数の利用可能なネットワークから好ましいネットワークを識別することができる。1つの例では、デジタル装置が、利用可能なネットワークを求めて物理的領域を走査し、利用可能な無線ネットワークのリストを生成することができる。このリストをルールサーバに提供し、このルールサーバが、リスト上の個々の無線ネットワークのネットワークプロファイルを識別して取り出すことができる。次に、ルールサーバは(個々のプロファイルに含まれる属性などを通じて)個々のネットワークプロファイルを比較して、リストから好ましいネットワークを選択することができる。その後、ルールサーバは、この時点でネットワークにアクセスできるデジタル装置へ無線ネットワーク選択を送信することができる。
いくつかの実施形態では、デジタル装置が、信用証明書サーバにより提供された信用証明書を使用して、選択した無線ネットワークにアクセスする。1つの例では、ルールサーバが好ましい無線ネットワークを選択すると、ルールサーバ(又は、ルールサーバと通信している別のサーバ)は、選択した無線ネットワークに関連するネットワーク信用証明書を含む信用証明書要求応答を同時に(又はほぼ同時に)提供することができる。
図1は、本発明の実施形態を実施できる環境100の図を示している。例示的な実施形態では、デジタル装置102を有するユーザがホットスポットに入る。デジタル装置102は、標準プロトコルとしての信用証明書要求を、ネットワーク装置104の向こうへ自動的に送信することができる。この信用証明書要求が信用証明書サーバ116へ転送され、この信用証明書サーバ116が、信用証明書要求の中に含まれる情報に基づいてデジタル装置102へ信用証明書要求応答を送信することができる。信用証明書要求応答はネットワーク信用証明書を含み、デジタル装置102は、これをネットワーク装置104、認証サーバ108又はアクセスコントローラ112に提供して通信ネットワーク114へのアクセスを取得することができる。
様々な実施形態では、ホットスポットが、(「ウォールド・ガーデン(walled garden)」などの)ローカルエリアネットワーク106に結合されたネットワーク装置104、認証サーバ108、DNSサーバ110及びアクセスコントローラ112を含む。ネットワーク装置104は、デジタル装置102がローカルエリアネットワーク106を介して認証サーバ108、DNSサーバ110及びアクセスコントローラ112と通信できるようにするアクセスポイントを含むことができる。デジタル装置102は、ラップトップ、携帯電話、カメラ、携帯情報端末又はその他のあらゆるコンピュータ装置を含むことができる。認証サーバ108は、デジタル装置102を通信ネットワーク114にアクセスできるようにする前に、デジタル装置102にネットワーク信用証明書を要求するサーバである。DNSサーバ110は、ローカルエリアネットワーク106を介してDNSサービスを提供するとともに、通信ネットワーク114を横切って他のDNSサーバ(図示せず)へ要求を中継することができる。アクセスコントローラ112は、ネットワーク装置104に機能上結合された装置と、通信ネットワーク114に結合された装置との間の通信を可能にすることができるルータ又はブリッジなどのアクセス装置である。
図1のホットスポットは、ローカルエリアネットワーク106に結合された別個のサーバを示しているが、当業者であれば、ローカルエリアネットワーク106に結合された装置(サーバ、デジタル装置、アクセスコントローラ及びネットワーク装置など)はいくつ存在してもよいことを理解するであろう。いくつかの実施形態では、ローカルエリアネットワーク106が任意である。1つの例では、認証サーバ108、DNSサーバ110、及びアクセスコントローラ112が、ネットワーク装置104に直接結合される。様々な実施形態では、認証サーバ108、DNSサーバ110、及びアクセスコントローラ112を、1又はそれ以上のサーバ、或いは1又はそれ以上のデジタル装置内で組み合わせることができる。さらに、図1は無線アクセスを示しているが、デジタル装置102は、無線で又は(10baseTなどの)有線を介してネットワーク装置104に結合することができる。
通信ネットワーク114にアクセスするために、認証サーバ108は、デジタル装置102に、ホットスポットにアクセスするための1又はそれ以上のネットワーク信用証明書を提供するように求めることができる。ネットワーク信用証明書は、例えばホットスポットに関連するアカウント用のユーザ名及びパスワードを含むことができる。代替の実施形態では、ユーザ名及びパスワード以外のネットワーク信用証明書を利用することができる。
例示的な実施形態によれば、デジタル装置102は、ネットワーク信用証明書を信用証明書サーバ116から動的に取得することができる。デジタル装置102は、デジタル装置102(又はデジタル装置102のユーザ)のアイデンティティ及び(ネットワーク装置104又はWi−Fiサービス提供者名などの)ネットワーク装置104に関する詳細を含む信用証明書要求を信用証明書サーバ116へ送信することができる。
1つの例では、デジタル装置102がホットスポットに入る際に、ネットワーク装置104は、DNSクエリを提出できる相手先のIPアドレスを、例えばDHCP(動的ホスト構成プロトコル)を介して提供することができる。信用証明書要求は、標準プロトコルとしてフォーマットすることができる。一例では、信用証明書要求をDNS要求としてフォーマットすることができる。信用証明書要求は、(アクセスコントローラ112などの)ネットワークインフラが要求を阻止しないように、(TXTなどの)標準記録形式を含むテキスト記録要求とすることができる。ネットワーク信用証明書を取得する処理に関するさらなる詳細が、2007年9月6日に出願された「ネットワーク信用証明書を取得するためのシステム及び方法」という名称の同時係属中米国特許出願第11/899,697号に記載されており、該特許出願は引用により本明細書に組み入れられる。
いくつかの実施形態では、信用証明書要求がDNSサーバ110によって受け取られ、このDNSサーバ110が、ネットワーク信用証明書を求めて信用証明書要求を信用証明書サーバ116へ転送することができる。例示的な実施形態では、信用証明書サーバ116が検索を実行して(単複の)適切なネットワーク信用証明書を決定してDNSサーバ110へ返送し、このDNSサーバ110が、要求元のデジタル装置102へネットワーク信用証明書を返送することができる。様々な実施形態では、(単複の)適切なネットワーク信用証明書が、信用証明書サーバ116から信用証明書要求の送信と同じ経路を介してデジタル装置102へ送信される。
図1には1つのDNSサーバ110しか示していないが、信用証明書要求が信用証明書サーバ116によって受け取られる前に、限定するわけではないが、DNSサーバを含むあらゆる数のサーバを介して信用証明書要求を転送することができる。他の実施形態では、信用証明書要求が、ネットワーク装置104から信用証明書サーバ116へ直接転送される。
いくつかの実施形態では、信用証明書サーバ116からの信用証明書要求応答が、ユーザ名、パスワード及び/又はログイン手順情報を含むことができる。ログイン手順情報は、例えばHTML形式要素名、提出URL又は提出プロトコルを含むことができる。いくつかの実施形態では、信用証明書サーバ116が、ネットワーク信用証明書応答をデジタル装置102へ送信する前に、デジタル装置102に関連する暗号鍵を使用して暗号化することができる。
デジタル装置102がネットワーク信用証明書応答を受け取ると、デジタル装置102は、ネットワーク装置104に(ネットワーク信用証明書応答から取り出した)ネットワーク信用証明書を認証応答の形で提出することができる。例示的な実施形態では、検証のために認証応答を認証サーバ108へ転送することができる。いくつかの実施形態では、認証サーバ108が、AAAサーバ又はRADIUSサーバを含むことができる。2007年9月6日に出願された「ネットワークアクセスを取得するシステム及び方法」という名称の同時係属中米国特許出願第11/899,638号に、ネットワークアクセスを取得する処理に関するさらなる詳細が記載されており、該特許出願は引用により本明細書に組み入れられる。
なお、図1は例示的なものである。代替の実施形態は、より多くの、より少ない、又は機能的に同等の構成要素を含むことができるが、これもまた本実施形態の範囲内にある。例えば、前述したように、(DNSサーバ110、信用証明書サーバ116及び認証サーバ108などの)様々なサーバの機能を組み合わせて1つ又は2つのサーバにすることができる。すなわち、例えば認証サーバ108及びDNSサーバ110を同じサーバで構成できる場合、認証サーバ108、DNSサーバ110及びアクセスコントローラ112の機能を組み合わせて単一の装置にすることができる。
図2は、例示的な信用証明書サーバ116のブロック図である。信用証明書サーバ116は、認証モジュール200、ネットワークモジュール202、信用証明書要求モジュール204、信用証明書要求応答モジュール206、暗号化/解読モジュール208、ネットワーク記録ストレージ210、及び暗号鍵ストレージ212を含む。モジュールは、ソフトウェア、ハードウェア、ファームウェア又は回路を個別に又は組み合わせて含むことができる。
認証モジュール200は、信用証明書要求を認証して信用証明書要求応答にセキュリティを与えるように構成することができる。様々な実施形態では、デジタル装置102が、(共有暗号鍵又は鍵対の一部である暗号鍵などの)暗号鍵を使用して信用証明書要求を暗号化し、又は信用証明書要求にデジタル署名することができる。認証モジュール200は、暗号鍵ストレージ212から取り出した適切な暗号鍵で信用証明書要求を解読することにより、信用証明書要求を認証することができる。1つの例では、デジタル装置102が信用証明書要求のハッシュを生成し、信用証明書要求の暗号化部分の中にハッシュを記憶する。認証モジュール200は、信用証明書要求を解読し、信用証明書要求応答のハッシュを生成し、生成したハッシュを信用証明書要求の中に含まれるハッシュと比較して認証を行うことができる。
他の実施形態では、デジタル装置102がナンス(すなわちランダム値)を生成し、デジタル署名された信用証明書要求の一部の中にナンスを記憶することができる。認証モジュール200は、デジタル署名を解読して信用証明書要求を認証し、ナンスを取り出すことができる。様々な実施形態では、信用証明書要求応答モジュール206が信用証明書要求応答を生成する(後述)際に、認証モジュール200が信用証明書要求応答にナンスを含めることができる。その後、認証モジュール200又は暗号化/解読モジュール208は、信用証明書要求応答を暗号化することができる。デジタル装置102が信用証明書要求応答を解読する場合、デジタル装置102は、信用証明書要求応答からナンスを取り出し、このナンスを、信用証明書要求に含めて送信したナンスと比較してさらなる認証を行うことができる。
ネットワークモジュール202は、信用証明書要求を受け取り、通信ネットワーク114を介して信用証明書要求応答を送信するように構成することができる。
信用証明書要求モジュール204は、ネットワークモジュール202から信用証明書要求を受け取ることができる。信用証明書要求は標準プロトコルとすることができる。1つの例では、信用証明書要求が(DNSなどの)UDPプロトコルである。
例示的な実施形態では、信用証明書要求モジュール204が、信用証明書要求からDDID及びSSIDを取り出すことができる。DDIDは、デジタル装置102、デジタル装置102のユーザ、及び/又はネットワーク記録に関連するユーザを識別することができる。SSIDは、ホットスポット又はホットスポットのサービスプロバイダ(すなわち運営会社)を識別することができる。
信用証明書要求モジュール204又は信用証明書要求応答モジュール206は、DDID及びSSIDに基づいてネットワーク記録を識別することができる。ネットワーク記録とは、DDID及びSSIDに((リレーショナルデータベースのように)直接的に又は間接的に)関連する記録のことである。1つの例では、ネットワーク記録が、SSIDに関連するホットスポットにおいてDDIDに関連するデジタル装置102にネットワークアクセスを提供するのに必要なネットワーク信用証明書を含む。ネットワーク記録は、ネットワーク記録ストレージ210内に記憶することができる。
信用証明書要求応答モジュール206は信用証明書要求応答を生成することができる。様々な実施形態では、信用証明書要求応答モジュール206が、ネットワーク記録からDDID及びSSIDに関連するネットワーク信用証明書を受け取る。いくつかの実施形態では、ネットワーク信用証明書が、クレジットカード番号を含むことができる。1つの例では、デジタル装置102が、ネットワーク信用証明書を受け取り、クレジットカード番号を取り出して、このクレジットカード番号を認証サーバ108に提供する。いくつかの例では、その後、認証サーバ108が、クレジットカード番号に関連するクレジットカードに料金を請求し、或いはこの情報を使用して、ネットワークアクセスを認める前にユーザのアイデンティティを確認することができる。
さらに、様々な実施形態では、ネットワーク信用証明書がログイン手順情報を含むことができる。1つの例では、信用証明書がユーザ名及びパスワードを含み、これらがデジタル装置102によって認証サーバ108から取り出された(認証フォームなどの)フォームで提供されることになる。いくつかの実施形態では、ログイン手順情報によってデジタル装置102に、フォーム内の特定のフィールドにネットワーク信用証明書を読み込んだ後で、完成したフォームを認証サーバ108に提出するように指示することができる。当業者であれば、信用証明書を認証サーバ108に提供するための方法は数多く存在することを理解するであろう。認証サーバに信用証明書を提供する処理は、2007年9月6日に出願された「ネットワークアクセスを取得するシステム及び方法」という名称の同時係属中米国特許出願第11/899,638号にさらに記載されている。
信用証明書要求応答モジュール206又は暗号化/解読モジュール208は、DDID又は信用証明書要求に関連する暗号鍵で信用証明書要求応答を暗号化することができる。1つの例では、信用証明書サーバ116が1又はそれ以上の共有暗号鍵を記憶する。少なくとも1つのデジタル装置102により、個々の共有暗号鍵を共有することができる。信用証明書要求応答モジュール206は、デジタル装置102に関連する共有暗号鍵で信用証明書要求応答を暗号化することができる(例えば、共有暗号鍵をDDIDに関連付けることができる)。信用証明書要求応答モジュール206又は暗号化/解読モジュール208は、鍵対の一部である暗号鍵で信用証明書要求を暗号化することもできる。暗号化/解読モジュール208が信用証明書要求を暗号化する方法は、数多く存在し得る。
暗号化/解読モジュール208は、信用証明書要求を解読して信用証明書要求応答を暗号化することができる。上述したように、暗号化/解読モジュール208は、信用証明書要求のデジタル署名を解読することができる。1つの例では、暗号化/解読モジュール208が、信用証明書要求の中に含まれるDDIDに関連する暗号鍵に基づいてデジタル署名を解読する。暗号化/解読モジュール208は、信用証明書要求応答を暗号化することもできる。1つの例では、暗号化/解読モジュール208が、(共有暗号鍵又は鍵対の一部である暗号鍵などの)DDIDに関連する暗号鍵に基づいて信用証明書要求応答を暗号化する。
様々な実施形態では、暗号化/解読モジュール208が、ネットワーク記録ストレージ210に含まれるネットワーク記録を暗号化して、暗号鍵ストレージ212を管理することができる。暗号化/解読モジュール208はまた、ネットワーク信用証明書を記憶する際に、(SSL及びHTTPなどを介して)デジタル装置と安全な通信を確立することもできる。この処理については図7でさらに説明する。いくつかの実施形態によれば、暗号化/解読モジュール208を任意とすることができる。
ネットワーク記録ストレージ210及び暗号鍵ストレージ212は、ネットワーク記録及び暗号鍵をそれぞれ記憶することができる。ネットワーク記録ストレージ210及び暗号鍵ストレージ212は、1又はそれ以上のデータベースを含むことができる。1つの例では、ネットワーク記録ストレージ210がネットワーク記録を記憶することができる。ネットワーク記録は、DDID、SSID及びネットワーク信用証明書を含むことができる。ネットワーク記録はまた、ユーザがネットワーク記録にアクセスし、これらを変更、更新し、又は信用証明書サーバ116に記憶するためのユーザ名及びパスワードを含むこともできる。
様々な実施形態では、ネットワーク記録により、複数のデジタル装置102が同じネットワーク信用証明書を使用できるようにすることもできる。1つの例では、ユーザが複数のデジタル装置102を所有することができる。各々が異なるデジタル装置102に関連する複数のDDIDを、同じネットワーク記録に含めることができる。いくつかの実施形態では、複数の装置を1又はそれ以上のネットワーク記録に関連付けることができ、この1又はそれ以上のネットワーク記録がユーザに関連する。この結果、ユーザは、あらゆる数のデジタル装置102を使用して、ホットスポットに対してネットワーク信用証明書を取り出すことができる。当業者であれば、ネットワーク記録及び/又はこれに含まれる情報を記憶して体系化することができる方法(例えば、異なるデータ構造、データベース、記録、体系化方式及び/又は方法)は数多く存在することを理解するであろう。
図3は、デジタル装置102にネットワークアクセスを提供する例示的な処理のフロー図である。ステップ300において、デジタル装置102は、最初にホットスポットに入る際に、ローカルエリアネットワーク106を求めて走査を行うことができる。走査の結果、ステップ302において、ネットワーク装置104がネットワーク構成情報を提供することができる。このネットワーク構成情報は、DNSサーバ110にアクセスするための1又はそれ以上のIPアドレスを含むことができる。
ステップ304において、デジタル装置102が信用証明書要求を生成する。その後、ステップ306において、先程ネットワーク装置104から受け取ったIPアドレスの1つを使用して、信用証明書要求をDNSサーバ110へ送信することができる。
ステップ308において、信用証明書要求に基づいて、DNSサーバ110が信用証明書サーバ116を識別する。他の実施形態では、DNSサーバ110が、信用証明書要求を信用証明書サーバ116へ転送する。DNSサーバ110がDNS要求をローカルに解析できない場合、信用証明書要求は(ポート53などを介して)通信ネットワーク114上の別のDNSサーバに転送され、その後、このDNSサーバが、信用証明書要求を信用証明書サーバ116へ転送することができる。ステップ310において、信用証明書要求が、信用証明書サーバ116へ直接、又は通信ネットワーク114上の1又はそれ以上のDNSサーバを介して間接的に転送される。
ステップ312において、信用証明書サーバ116が、信用証明書要求に基づいて必要とされるネットワーク信用証明書を識別する。例えば、信用証明書要求は、デジタル装置102の識別子(すなわちDDID)、並びにホットスポットSSID(例えば、運営会社などのサービスプロバイダ)の識別子を含むことができる。信用証明書要求モジュール204又は信用証明書要求応答モジュール206により、これらの識別子を(ネットワーク記録などの)このような識別子の表と比較して、適切なネットワーク信用証明書を決定することができる。その後、ステップ314において、信用証明書要求応答モジュール206が信用証明書要求応答を生成し、ステップ316において、これがDNSサーバ110へ中継して戻される。ステップ318において、DNSサーバ110が、信用証明書要求応答をデジタル装置へ転送する。
その後、ステップ320において、デジタル装置102が、信用証明書要求応答からネットワーク信用証明書を取り出すことができる。その後、ステップ322において、このネットワーク信用証明書をネットワーク装置104に提供することができる。ステップ324において、ネットワーク装置104が、ネットワーク信用証明書を確認した上でデジタル装置102にネットワークアクセスを提供する。
ここで図4を参照すると、例示的な信用証明書要求400をより詳細に示している。例示的な実施形態によれば、信用証明書要求応答モジュール204が信用証明書要求応答400を生成することができる。1つの実施形態では、信用証明書要求400を、位置識別子402、シーケンス識別子404、署名406、DDID408、サービスセット識別子(SSID)410、及びバージョン識別子412を含む構造を有するDNS文字列とすることができる。
いずれかの位置識別子402は、デジタル装置102、ネットワーク装置104、認証サーバ108又はアクセスコントローラ112の物理的又は地理的位置を示すことができる。様々な実施形態では、信用証明書サーバ116が位置識別子402を使用して、ホットスポットの使用状況、デジタル装置102のユーザ、及びデジタル装置102を追跡することができる。
シーケンス識別子404は、その後の信用証明書サーバ116への要求に対応してログインが成功したかどうかを判定するために使用されるあらゆる数字又数字の組を含むことができる。すなわち、シーケンス識別子404は相関機構を提供し、この相関機構により信用証明書サーバ116がログイン処理を確認することができる。
例示的な実施形態では、署名406が、なりすましを防ぐために利用される暗号署名(すなわちデジタル署名)を含む。デジタル装置102からの要求の署名406は、信用証明書サーバ116により検証される。署名406が有効でなければ、この要求は信用証明書サーバ116により拒絶される。
DDID408は、デジタル装置102の識別子を含む。例えば、DDID408は、デジタル装置102のMACアドレス又はその他のいずれかの識別子を含むことができる。
SSID410は、ネットワークアクセスポイント又はWi−Fiサービスプロバイダの識別子を含む。例えば、SSID410は、サービスプロバイダ名、又はネットワーク装置104が動作している場所の名前を含むことができる。
バージョン識別子412は、信用証明書要求400のプロトコル又はフォーマットを識別することができる。例えば、デジタル装置102は、信用証明書要求400を生成し、データをいくつかの異なるフォーマットで体系化することができる。個々の異なるフォーマットを異なるバージョン識別子に関連付けることができる。いくつかの実施形態では、信用証明書要求応答モジュール206の構成要素を更新し、再構成し、又は徐々に変更することができ、これが信用証明書要求400の構造に影響を与え得る。この結果、信用証明書サーバ116は、別様にフォーマットされた複数の信用証明書要求400を受け取ることができる。信用証明書サーバ116は、それぞれのバージョン識別子に基づいて、個々の信用証明書要求が必要とする情報にアクセスすることができる。
図5は、例示的な信用証明書要求応答のブロック図である。例示的な実施形態によれば、信用証明書要求応答モジュール206が、信用証明書要求応答500を生成することができる。1つの実施形態では、信用証明書要求応答500が暗号化テキスト502を含むことができる。暗号化テキストは、いずれかのナンス504及び信用証明書情報506を含むことができる。信用証明書情報は、鍵/値の対508〜510を含むことができる。
上述したように、信用証明書要求応答を、暗号化テキスト502を含むDNS応答としてフォーマットすることができる。暗号化テキスト502は、(ユーザ名、パスワード及びログイン手順情報などの)ネットワーク信用証明書を含む。信用証明書要求応答500を、暗号化テキスト502を含むように示しているが、信用証明書要求応答500内のテキストを暗号化する必要はない。
暗号化テキスト502は、ナンスを含むことができる。上述したように、このナンスは、信用証明書要求から取り出すことができる。デジタル装置102は、信用証明書要求応答500を受け取ると、信用証明書要求応答500内のナンスを、信用証明書要求に含めて送信したナンスと比較して認証を行うことができる。図5では、ナンスを信用証明書要求応答500に含まれた形で示しているが、ナンスは任意である。
信用証明書情報506は、ユーザ名、パスワード、ログイン手順情報、又はこれらの組み合わせを含むことができる。信用証明書情報506は鍵/値の対508〜510を含むことができる。信用証明書情報506内にはあらゆる数の鍵/値の対が存在することができる。鍵/値の対は、デジタル装置102が受け取って解釈する信用証明書情報を表すことができる。信用証明書情報506を鍵/値の対として示すのは例示目的にすぎず、信用証明書情報は、必ずしも鍵/値の対に限定されないあらゆるフォーマットとすることができる。
図6は、ネットワーク信用証明書を提供する例示的な方法のフロー図である。ステップ602において、信用証明書サーバ116が、デジタル装置102から信用証明書要求を受け取る。
様々な実施形態では、信用証明書サーバ116が、デジタル署名を暗号鍵で解読して認証する。その後、ステップ604において、信用証明書サーバ116が、ネットワーク記録に含まれるDDID及びSSIDに基づいてネットワーク記録を識別することができる。1つの例では、信用証明書要求応答モジュール206が、信用証明書要求の中のDDIDに関連する1又はそれ以上のネットワーク記録を取り出す。その後、信用証明書要求応答モジュール206は、取り出した(単複の)ネットワーク記録内のSSIDに関連する少なくとも1つのネットワーク信用証明書を識別する。
ステップ606において、信用証明書要求応答モジュール206が、選択したネットワーク記録から、識別した(単複の)ネットワーク信用証明書を取り出す。1つの例では、信用証明書要求応答モジュール206が、デジタル装置102のユーザがネットワークアクセスを取得するために認証サーバ108に提供しなければならないユーザ名及びパスワードを識別する。ステップ608において、信用証明書要求応答モジュール206が、(ユーザ名、パスワードなどの)ネットワーク信用証明書を含む信用証明書要求応答をデジタル装置102に対して生成する。
いくつかの実施形態では、信用証明書要求応答モジュール206が、ネットワーク信用証明書の一部としてログイン手順情報を識別することができる。信用証明書要求応答モジュール206は、(SSIDに関連するパスワードを含む同じネットワーク記録などの)ネットワーク記録からログイン手順情報を取り出すことができる。ログイン手順情報は、ネットワークアクセスを取得するためにデジタル装置102が従うためのフォーム識別子及び(パラメータなどの)命令を含むことができる。1つの例では、デジタル装置102が、信用証明書要求応答の中のネットワーク信用証明書からフォーム識別子及び命令を取り出す。デジタル装置102は、このフォーム識別子及び命令に基づいて、認証サーバ108及び入力データから受け取ったフォームを識別することができる。別の例では、デジタル装置102が、信用証明書要求応答に含まれるログイン手順情報に基づいて、ネットワークアクセスを取得するための情報を認証サーバ108に提供する。認証サーバ108に情報を提供する処理は、2007年9月6日に出願された「ネットワークアクセスを取得するシステム及び方法」という名称の米国特許出願第11/899,638号にさらに記載されている。
図7は、ネットワーク信用証明書を提供するための例示的な方法の別のフロー図である。デジタル装置102は、ネットワーク装置104を介して利用可能な無線ネットワークを検索し、これを発見することができる。ステップ702において、デジタル装置102は、ホットスポットに接続している間にネットワーク構成情報を受け取ることができる。ネットワーク構成情報は、ネットワーク装置104又はDNSサーバ110の識別子を含むことができる。1つの例では、デジタル装置102が、接続処理中に(DNSサーバ110などの)DNSサーバのIPアドレスを受け取る。
ステップ704において、デジタル装置102が信用証明書要求を生成する。この信用証明書要求は、シーケンス識別子、DDID及びSSIDを含むことができる。ステップ706において、デジタル装置102が任意にナンスを生成し、暗号鍵を使用して信用証明書要求にデジタル署名する。ステップ708において、デジタル装置102が、信用証明書要求を標準プロトコルとして送信する。ネットワーク装置104は、信用証明書要求を受け取って通信ネットワーク114へ転送することができる。様々な実施形態では、ネットワーク装置104が、信用証明書要求をDNSサーバ110に提供し、このDNSサーバ110が、信用証明書要求を信用証明書サーバ116へ転送することができる。
例示的な実施形態では、信用証明書サーバ116の信用証明書要求モジュール204が信用証明書要求を受け取る。信用証明書要求モジュール204は、信用証明書サーバ内のDDIDに関連する暗号鍵を暗号鍵ストレージ212から取り出すことができる。その後、信用証明書要求モジュール204は、信用証明書要求のデジタル署名を解読して認証を行うことができる。信用証明書要求モジュール204は、信用証明書要求からナンス及びシーケンス識別子をさらに取り出すことができる。
その後、信用証明書サーバ116の信用証明書要求応答モジュール206は、ネットワーク記録ストレージ210からDDID及びSSIDに関連するネットワーク記録を取り出すことができる。信用証明書要求応答モジュール206は、ネットワーク記録からネットワーク信用証明書を取り出して信用証明書要求応答を生成する。信用証明書要求応答は、ネットワーク信用証明書及びナンスを含むことができる。暗号化/解読モジュール208は、暗号鍵ストレージ212から取り出したDDIDに関連する暗号鍵を使用して、信用証明書要求応答を暗号化することができる。いくつかの実施形態では、信用証明書要求応答が(DNSなどの)標準プロトコルとしてフォーマットされる。
ステップ710において、デジタル装置102が信用証明書要求応答を受け取る。その後、ステップ712において、デジタル装置102が信用証明書要求応答を認証する。1つの例では、デジタル装置102が、信用証明書要求にデジタル署名するために使用するものと同じ暗号鍵を使用して信用証明書要求応答を解読する。デジタル装置102は、信用証明書要求応答内のナンスをさらに取り出し、このナンスを、信用証明書要求に含めて送信したナンスと比較してさらに認証を行うことができる。信用証明書要求応答が本物であると判明した場合、ステップ714において、デジタル装置102が、信用証明書要求応答からネットワーク信用証明書を取り出す。
ステップ716において、デジタル装置102が、ネットワークアクセスに関連する認証要件を識別する。様々な実施形態では、デジタル装置102が、認証サーバ108に提供するのに適した情報及びネットワーク信用証明書を決定する。1つの例では、デジタル装置102が、認証サーバ108から1又はそれ以上のネットワークアクセスページを取り出す。デジタル装置102は、認証サーバからの正しいネットワークアクセスページにアクセスして自動的に選択を行うことができる。1つの例では、デジタル装置102が、選択を自動的に起動する(例えば、ネットワークアクセスページ内のボタンを起動する、ボックスをチェックする、及びラジオボタンを選択する)ことができる。
例えば、信用証明書要求応答モジュール206は、ネットワークアクセスページ内の自動選択のための命令をデジタル装置102に提供することができる。本明細書で説明したように、ネットワークアクセスページは、認証サーバ108から取り出した1又はそれ以上のウェブページ、1又はそれ以上のタグ、又はこれらの両方の組み合わせを含むことができる。1つの例では、デジタル装置102内のソフトウェアが、ネットワークアクセスページ内の全ての選択ボックスに自動的にチェックを入れることができる。その後、デジタル装置102は、ログイン手順情報に基づいて選択ボックスのチェックを外すことができる。当業者であれば、自動的に選択を行えるようにする方法は数多く存在できることを理解するであろう。他の実施形態では、デジタル装置102が、認証サーバ108からXMLタグを受け取る。デジタル装置102は、ログイン手順情報の中のXMLタグ及び命令に基づく情報を認証サーバ108に提供してネットワークアクセスを取得することができる。
ステップ718において、デジタル装置102が、ネットワーク装置104にネットワーク信用証明書を提供して通信ネットワーク114へのネットワークアクセスを取得する。1つの例では、信用証明書要求応答モジュール206が、認証サーバ108から1又はそれ以上のフォームを取り出し、フォームに1又はそれ以上のネットワーク信用証明書を読み込んで、完成したフォームを認証サーバ108に提供する。別の例では、信用証明書要求応答モジュール206が、必要に応じて認証サーバ108にネットワーク信用証明書を提供する。認証サーバ108は、ネットワーク信用証明書を受け取ると、デジタル装置102と通信ネットワーク114の間の通信を可能にすることができる。1つの例では、認証サーバ108が、アクセスコントローラ112に、デジタル装置102の通信ネットワーク114へのアクセスを許可するように命令する。
その後、デジタル装置102は、ネットワーク接続性をテストしてネットワークアクセスを確認することができる。1つの例では、デジタル装置102が、通信ネットワーク114を利用できるかどうかを判定するための要求を信用証明書サーバ116へ送信する。いくつかの実施形態では、クエリ又はコマンドが、以前に信用証明書要求に含めて提出したシーケンス識別子を含む。ネットワークアクセスが成功した場合、信用証明書サーバ116は、この要求を受け取ってシーケンス識別子を取り出すことができる。この結果、信用証明書サーバ116は、ネットワークアクセスが成功したことを確認することができる。
図8は、ネットワーク信用証明書を受け取って記憶するための例示的な方法のフロー図である。様々な実施形態では、ユーザが、ネットワーク記録を作成して信用証明書サーバ116に記憶することができる。例えば、信用証明書サーバ116は、ユーザがネットワーク記録を作成、記憶、更新、削除、及び修正できるようにするグラフィカルユーザインターフェイス(GUI)を提供する信用証明書記憶モジュール(図示せず)を含むことができる。
ステップ802において、信用証明書サーバ116が、ユーザにネットワーク信用証明書要求フォームを提供する。1つの例では、信用証明書サーバ116が、ネットワーク信用証明書要求フォームを、インターネットを介して1又はそれ以上のウェブページとしてユーザに提供する。ネットワーク信用証明書要求フォームは、(運営会社名などの)サービスプロバイダ名及び/又はSSID及びネットワーク信用証明書を受け取るように構成される。
サービスプロバイダ名は、ホットスポット、ホットスポットに関する1又はそれ以上の構成要素(例えばネットワーク装置104)、又はローカルエリアネットワーク106のインフラを運営するエンティティ名を含むことができる。いくつかの実施形態では、サービスプロバイダ名が、別のサービスプロバイダの1又はそれ以上のホットスポットを管理する組織名を含む。1つの例では、たとえホットスポットに異なるサービスプロバイダが存在していても、コーヒーショップ及び書店は、両方とも第三の管理者を使用してホットスポットを管理することができる。いくつかの実施形態では、ネットワーク信用証明書要求フォームを、第三の管理者名を受け取るように構成することができる。いくつかの実施形態では、サービスプロバイダ名が、ホットスポットネットワークへのアクセスを再販する組織(アグリゲータなど)の名前を含む。
ネットワーク信用証明書要求フォームは、ネットワークサービス選択としてSSIDを受け取ることもできる。1つの例では、ネットワーク信用証明書要求フォームが、異なるサービスプロバイダのプルダウンメニュー及び/又はユーザが選択できるホットスポットを含む。例えば、ユーザは、ホットスポットとして「スターバックス」又は「サンフランシスコ国際空港」を選択することができる。ユーザには、ホットスポットの地理的位置などに対するさらなる選択肢を与えることができる。ユーザは、サービスプロバイダを選択することもできる。例えば、ユーザは、サービスプロバイダとして「T−Mobile」を選択することができる。この結果、ネットワーク信用証明書要求フォームは、ユーザがT−mobileに関連する1又はそれ以上の様々なホットスポットの中から選択を行えるようにすることができる。その後、これらの(単複の)選択をネットワーク記録として記憶することができる。或いは、(単複の)選択に関連するネットワークサービス識別子がSSIDとして生成される。
さらに、ネットワーク信用証明書要求フォームは、ユーザからネットワーク信用証明書を受け取ることができる。例えば、ユーザは、ネットワーク信用証明書要求フォームの中に、ネットワーク信用証明書としてユーザ名、パスワード、パスコードを入力することができる。いくつかの実施形態では、ネットワーク信用証明書要求フォームが、SSIDを受け取った後で、必要なネットワーク信用証明書の種類を決定する。例えば、ネットワーク信用証明書要求フォームは、ユーザが先程選択したサンフランシスコ国際空港のホットスポットにおいてネットワークにアクセスするために必要な情報を識別する。その後、ネットワーク信用証明書要求フォームは、ユーザがこのホットスポットにおいてネットワークアクセスを取得するために必要な(ユーザ名、パスワードなどの)情報のみを入力できるようにするフィールド又は選択肢を生成する。
信用証明書サーバ116はまた、ネットワーク信用証明書要求フォームを受け取る前に登録を行うことをユーザに求めることもできる。登録中、ユーザは、サービス条件に同意して顧客情報を入力する必要がある。顧客情報は、信用証明書サーバ116にアクセスしてネットワーク信用証明書を記憶するためのユーザ名及びパスワードを含む。任意に、顧客情報は、ユーザの住所、連絡先情報、及び信用証明書サーバ116により提供されるサービスをユーザが使用するための支払い選択肢を含むことができる。
ステップ804において、信用証明書サーバ116が、ネットワーク信用証明書要求フォームを介して顧客情報及びネットワークサービスの選択を受け取る。ステップ806において、信用証明書サーバが、ネットワーク信用証明書を取り出すことができる。ステップ808において、信用証明書サーバ116が顧客情報を受け取る。ステップ810において、信用証明書サーバ116が、ネットワーク信用証明書を顧客情報、ネットワークサービスの選択、及び(単複の)ネットワーク信用証明書と関連付けてネットワーク記録を作成する。その後、ステップ812において、ネットワーク記録が記憶される。
いくつかの実施形態では、ユーザが、インターネットを介して信用証明書サーバ116に手動でアクセスすることができる。他の実施形態では、ユーザが、ネットワーク信用証明書ソフトウェアをダウンロードしてデジタル装置102上にインストールすることができる。このネットワーク信用証明書ソフトウェアは、デジタル装置102のDDIDを識別して信用証明書サーバ116へ送ることができる。他の実施形態では、デジタル装置102上にネットワーク信用証明書ソフトウェアをプリインストールすることができる。デジタル装置102がネットワーク信用証明書ソフトウェアを最初に起動する際に、ネットワーク信用証明書ソフトウェアが、デジタル装置102のDDID識別して信用証明書サーバへ送ることができる。
ユーザは、ネットワーク信用証明書ソフトウェアにSSIDを入力する(例えば、サービスプロバイダ又はホットスポットを識別する)ことができる。ユーザは、ネットワーク信用証明書ソフトウェアにネットワーク信用証明書を入力することもできる。ネットワーク信用証明書ソフトウェアは、DDID、SSID及びネットワーク信用証明書を取得した後で、この情報を信用証明書サーバ116にアップロードし、信用証明書サーバ116は、この情報をネットワーク記録に記憶することができる。様々な実施形態では、ネットワーク信用証明書ソフトウェアを信用証明書サーバ116からダウンロードすることができる。
図9は、例示的なデジタル装置のブロック図である。信用証明書サーバ116は、プロセッサ900、メモリシステム902、記憶システム904、入出力インターフェイス906、通信ネットワークインターフェイス908、及びディスプレイインターフェイス910を含む。プロセッサ900は、(プログラムなどの)実行可能命令を実行するように構成される。いくつかの実施形態では、プロセッサ900が、実行可能命令を処理できる回路又はいずれかのプロセッサを含む。
メモリシステム902は、データを記憶するように構成されたいずれかのメモリである。メモリシステム902のいくつかの例として、RAM又はROMなどの記憶装置がある。メモリシステム902は、ラムキャッシュを含むことができる。様々な実施形態では、メモリシステム902にデータが記憶される。メモリシステム902内のデータは、クリア又は最終的に記憶システム904に伝送することができる。
記憶システム904は、データを取り出して記憶するように構成されたいずれかのストレージである。記憶システム904のいくつかの例として、フラッシュドライブ、ハードドライブ、光ドライブ及び/又は磁気テープがある。いくつかの実施形態では、信用証明書サーバ116が、RAMの形のメモリシステム902及びフラッシュデータの形の記憶システム904を含む。メモリシステム902及び記憶システム904はいずれも、プロセッサ900などのコンピュータプロセッサにより実行可能な命令又はプログラムを記憶できるコンピュータ可読媒体を含む。
いずれかの入出力(I/O)インターフェイス906は、ユーザから入力を受け取ってデータを出力するいずれかの装置である。いずれかのディスプレイインターフェイス910は、グラフィクス及びデータをディスプレイに出力するように構成されたいずれかの装置である。1つの例では、ディスプレイインターフェイス910がグラフィックアダプタである。全てのデジタル装置102が、入出力インターフェイス906又はディスプレイインターフェイス910を含むとは限らないと理解されたい。
通信ネットワークインターフェイス(com. network interface)908は、リンク912を介して(ローカルエリアネットワーク106及び通信ネットワーク114などの)ネットワークに結合することができる。通信ネットワークインターフェイス908は、例えば、イーサネット(登録商標)接続、シリアル接続、パラレル接続又はATA接続を介して通信をサポートすることができる。通信ネットワークインターフェイス908は、(802.11/b/g/n、WiMaxなどの)無線通信をサポートすることもできる。当業者には、通信ネットワークインターフェイス908が多くの有線及び無線標準をサポートできることが明らかであろう。
様々な実施形態では、満足のいくサービス品質を実現するために、デジタル装置が様々なルールに基づいて複数の利用可能な無線ネットワークから利用可能な無線ネットワークを自動的に選択してアクセスできるようにするシステム及び方法について説明する。このようなルールを、デジタル装置自体の中で、デジタル装置と通信しているサーバ上で、又はこれらの両方の組み合わせで実施することができる。様々な実施形態では、無線ネットワークは、デジタル装置とインターネットなどの通信ネットワークとの間の無線アクセスを可能にするネットワークである。
いくつかの実施形態によれば、(Wi−Fi通信が可能なデジタル装置などの)無線デジタル装置のユーザが、ウェブサーバ上にアカウントを作成し、このアカウントを使用して1又はそれ以上の(コンピュータ、ラップトップ、携帯情報端末及び携帯電話などの)デジタル装置を登録する。登録されたデジタル装置を管理して、HTTPなどのネットワーク通信メカニズムを介して(プロファイルサーバ又は信用証明書サーバなどの)中央サーバによりネットワーク記録が提供されるようにすることができる。
図10は、本発明の実施形態を実施できる別の環境を示す図である。様々な実施形態では、デジタル装置1002を有するユーザが、ネットワーク装置1004及び1006の近くに存在する領域に入る。1つの例では、ネットワーク装置1004及び1006が別個のアクセスポイントであり、これらの各々を使用して、デジタル装置1002と通信ネットワーク1008の間の通信を確立することができる。
デジタル装置1002は、デジタル装置1002を取り巻く領域を走査し、2つのネットワーク装置1004及び1006を検出し、デジタル装置1002が通信を確立できる利用可能な無線ネットワークのリストを生成することができる。いくつかの実施形態では、利用可能な無線ネットワークのリストが、ネットワーク装置1004及び1006のDDID識別子、SSID識別子及び/又はBBSID識別子を含む。
その後、デジタル装置1002は、この利用可能な無線ネットワークのリストをルールサーバ1010に提供する。1つの例では、デジタル装置1002が、利用可能な無線ネットワークのリストを、ネットワーク装置1004又はネットワーク装置1006のオープンポートに対する標準プロトコルとして通信ネットワーク1008に提供し、最終的にはルールサーバ1010に提供する。別の例では、デジタル装置1002が、図示していないセルラ通信ネットワークなどの別のネットワークを介して(CDMA、GSM、3G、又はEVDOなどを介して)利用できる無線ネットワーク、又は(Wi−Fi、Wimax又はLTEネットワークなどの)その他の無線ネットワークをのリストを提供する。
ルールサーバ1010は、利用可能な無線ネットワークのリストを受け取り、リスト内で識別された個々の無線ネットワークのネットワークプロファイルを取り出すことができる。ネットワークプロファイルとは、無線ネットワークに関連するとともに、この関連するネットワークにより提供される性能及び/又はサービス品質に関する属性を含む記録のことである。1つの例では、ルールサーバ1010が、リスト内の個々のネットワークを識別して個々のネットワークのSSID及び/又はBBSIDをプロファイルサーバ1014に提供する。その後、プロファイルサーバ1014は、個々のネットワークの(SSID及び/又はBBSIDに基づく)ネットワークプロファイルをルールサーバ1010に提供することができる。いくつかの実施形態では、プロファイルサーバ1014が、データベース又は(ネットワークデータベースサーバ1012などの)その他のサーバからネットワークプロファイルを取り出す。
ルールサーバ1010は、ネットワークプロファイル内の属性、及び/又はデジタル装置1002から受け取ったあらゆる属性に基づいて、利用可能な無線ネットワークのリストから好ましい無線ネットワークを選択することができる。属性とは、無線ネットワークの特性のことである。様々な実施形態では、属性が、性能測定基準、共有インジケータ、又はサービス識別子を含む。無線ネットワークの性能測定基準とは、ネットワーク性能のいずれかの尺度のことである。いくつかの例では、性能測定基準が、待ち時間測定基準、帯域幅測定基準、又はサービス品質(QOS)測定基準を含むことができる。当業者であれば、性能測定基準が、無線ネットワークの性能を表すあらゆる種類の測定基準を含むことができると理解するであろう。
待ち時間測定基準とは、ネットワーク上でデジタル装置からサーバへデータパケットを送信するための時間を表す尺度のことである。いくつかの実施形態では、デジタル装置1002がサーバへICMP「エコー要求」パケットを送信し、ICMP「エコー反応」応答に耳を傾けることができる。待ち時間測定基準は、往復時間(一般的にはミリ秒単位)の推定値を含み、及び/又はいずれかのパケット損失を含むことができる。別の例では、待ち時間測定基準が、推定される往復時間の半分である。
帯域幅測定基準とは、無線ネットワークの利用可能な帯域幅の尺度のことである。1つの例では、デジタル装置が、無線ネットワークを介してサーバへデータブロックを送信して応答のタイミングを計ることにより、利用可能な帯域幅をテストすることができる。
QOS測定基準は、無線ネットワーク、アクセス装置1004、アクセス装置1006、及び/又は通信ネットワーク1008のサービス品質を測定するいずれかの尺度である。1つの例では、QOS測定基準が、IPアドレスを得るために必要な時間の長さを計ることにより判定されるDHCPの信頼度を表す。DHCPの信頼度は、統計的測定、IPアドレスを多少なりとも受け取る確率、及び/又は時間の配分を含むことができる。
共有インジケータは、無線ネットワークが共有されているかどうかを示す。いくつかの実施形態では、共有インジケータを、「共有」、「非共有」、「不明」を含む3つの状態のうちの1つとすることができる。共有インジケータは、(「非共有」などの)1つの状態しか含むことができないが、当業者であれば、共有インジケータがあらゆる数の状態を有することができると理解するであろう。ネットワークが「共有」されていることを示す共有インジケータを含む無線ネットワークは、無線ネットワークの所有者が、他の誰かがネットワークの使用を意図していることを示すことができる。「共有」ネットワークの一例として、他の誰かが使用するために意図的に「オープン」になっている(例えば、暗号化されていない)無線ネットワークを挙げることができる。
ネットワークが「非共有」であることを示す共有インジケータを含む無線ネットワークは、無線ネットワークの所有者が、ネットワークにアクセスするための明確な許可を持たない者を望まないことを示すことができる。1つの例では、非共有の無線ネットワークは、無許可のユーザに対してアクセスを制限するために(WEP又はWPAなどを介して)意図的に暗号化されていることが多い。しかしながら、全ての「非共有」のネットワークが暗号化されているとは限らない。例えば、たとえネットワークが共有を意図されていなくても、ネットワークの所有者がネットワーク装置を誤って設定したり、或いはエラーを通じてネットワークがオープン(すなわち非暗号化に)になったりする可能性がある。
ネットワークが「不明」であることを示す共有インジケータを含む無線ネットワークは、無線ネットワークが「共有」又は「非共有」のいずれの可能性もあることを示すことができる。例えば、オープンネットワークの所有者の意図が不明な場合がある。
サービス識別子は、無線ネットワークがサポートする1又はそれ以上のサービスを識別することができる。1つの例では、1又はそれ以上のサービス識別子が、無線ネットワークがVoIP、テレビ会議及び/又はビデオ会議をサポートしていることを示す。サービス識別子は、無線ネットワークがサポートするあらゆる種類のサービスを識別することができる。いくつかの実施形態では、サービス識別子が、無線ネットワークがサポートしていないサービスを識別することができる。
当業者であれば、ネットワークプロファイルがあらゆる数の属性を含むことができると理解するであろう。さらに、当業者であれば、ネットワークプロファイルが1つのみ又はそれ以上の性能測定基準、1つのみの共有インジケータ又は1つのみ又はそれ以上のサービス識別子を含むことができることを理解するであろう。
様々な実施形態では、ルールサーバ1010が、属性分析に基づいて、利用可能な無線ネットワークのリストから1又はそれ以上の無線ネットワークを選択する。1つの例では、ルールサーバ1010が属性に様々なルールを適用する。これらのルールとして、最低要件、個別設定、及び属性比較を挙げることができる。1つの例では、ルールサーバ1010により適用されるルールが、1又はそれ以上の無線ネットワークの属性を1又はそれ以上の最低要件と比較することができる。無線ネットワークの属性が最低要件を下回る場合、この無線ネットワークを選択することができず、又は利用可能な無線ネットワークのリストから削除することができる。
いくつかの実施形態では、ルールサーバ1010により適用されるルールが、ユーザによる個別設定に基づくことができる。例えば、デジタル装置1002のユーザは、デジタル装置1002を、「共有」と指定された無線ネットワークを介してのみ接続すべきであることを示す個別設定を示すことができる。この例では、ルールサーバ1010は、無線ネットワークを「共有」であると識別する共有インジケータを含む属性の無線ネットワークのみを選択することができる。
様々な実施形態では、ルールサーバ1010により適用されるルールが、1つの無線ネットワークの属性と別のネットワークの属性との比較に基づくことができる。1つの例では、属性が、1つの無線ネットワークが別の無線ネットワークよりも帯域幅が大きく、待ち時間が短いことを示すことができる。この例では、ルールサーバ1010は、別の無線ネットワークとの比較においてより性能が良く、又はサービスの価値が高い1つの無線ネットワークを選択することができる。当業者であれば、利用可能な無線ネットワークのリストから無線ネットワークを選択する際に、選択又は支援のために使用するルールにはあらゆる種類があり得ることを理解するであろう。
無線ネットワーク選択を行う際には、ルールサーバ1010が2以上のルールを適用することができる。1つの例では、ルールサーバ1010が、異なる無線ネットワークからの属性を比較して選択を行う前に、ユーザの個別設定を適用することができる。別の例では、ルールサーバ1010が、属性を比較する前に、属性に最低要件を適用することができる。
ルールサーバ1010は、ネットワークプロファイルからの属性の比較に基づいて無線ネットワークを選択したら、この無線ネットワーク選択をデジタル装置1002に提供することができる。無線ネットワーク選択は、少なくとも1つの無線ネットワークを識別する(ネットワーク識別子などの)1又はそれ以上の識別子を含む。この無線ネットワーク選択は、単一の無線ネットワークを識別すること、又は優先度順にソートされた無線ネットワークのソート済みリストを含むことができる。
いくつかの実施形態では、ルールサーバ1010が、無線ネットワーク選択に加え、選択された無線ネットワークの(信用証明書要求応答などの)信用証明書もデジタル装置1002に提供する。1つの例では、ルールサーバ1010が、選択された無線ネットワークを信用証明書サーバ1016に提供し、次にこの信用証明書サーバ1016が、(たとえ信用証明書要求が行われなかったとしても)選択された無線ネットワークの信用証明書要求応答をデジタル装置1002に提供する。他の実施形態では、デジタル装置1002が無線ネットワーク選択を受け取り、その後、本明細書で説明したように、信用証明書サーバ1016に信用証明書要求を送信するステップに進んで信用証明書を受け取る。
さらに、様々な実施形態では、デジタル装置1002が、選択された無線ネットワークに基づいて接続を確立しようと試みる。接続が失敗した場合、デジタル装置1002は、本明細書で説明したように、信用証明書要求を信用証明書サーバ1016へ送信して、ネットワークアクセスのための信用証明書を取り出すことができる。デジタル装置1002は、ネットワーク装置1004のオープンポートを介して信用証明書サーバ1016に信用証明書要求を提供することができる。別の例では、デジタル装置1002が、異なるネットワーク装置との接続を含む他のいずれかのネットワークを介して、又は携帯電話接続を介して信用証明書要求を提供することができる。
図10では、ルールサーバ1010、ネットワークデータベースサーバ1012、プロファイルサーバ1014、信用証明書サーバ1016及びウェブサーバ1018を別個のサーバとして示しているが、これらのサーバは全て、1又はそれ以上のサーバとして組み合わせることができる。同様に、サーバのいずれかの機能を、図示している他のサーバの1つ又はその他のいずれかのサーバが実行することもできる。
図10には、複数の利用可能な無線ネットワークから無線ネットワーク選択を行うための複数のサーバ(ルールサーバ、ネットワークデータベースサーバ、プロファイルサーバ、信用証明書サーバ、及びウェブサーバなど)を示しているが、当業者であれば、無線ネットワーク選択をデジタル装置1002内で行うこともできると理解するであろう。1つの例では、デジタル装置1002が、利用可能な無線ネットワークを一覧にした走査結果を取り出して、設定優先度に基づいて無線ネットワークを選択する。この設定優先度は、1又はそれ以上のローカルに実行されるルール、好ましい信号強度、又はその他のいずれか1つの又は複数の属性に基づくことができる。別の例では、デジタル装置1002が、(VoIPなどの)所望のサービスをサポートし、最小待ち時間標準を満たし、最小QOS標準を満たす無線ネットワークを選択する。別の例では、プロファイルサーバ1014が、所望のネットワークプロファイルをデジタル装置1002に提供し、このデジタル装置1002が分析を行って好ましい無線ネットワークを決定する。
図11は、無線ネットワーク選択を提供する例示的な処理のフロー図である。ステップ1102において、(ルールサーバ1010、ネットワークデータベースサーバ1012、プロファイルサーバ1014、信用証明書サーバ1016又はウェブサーバ1018などの)サーバが、デジタル装置1002から利用可能な無線ネットワークのリストを受け取る。いくつかの例では、このリストは、(ネットワーク装置1004及びネットワーク装置1006などの)1又はそれ以上のネットワーク装置のSSID又はBBSIDを含む。リストは、ネットワーク及び/又はネットワーク装置を識別するあらゆる情報を含むことができる。
いくつかの実施形態では、サーバが、ネットワーク及び/又はネットワーク装置に関連する1又はそれ以上の属性も受け取る。様々な実施形態では、デジタル装置1002が、信号強度を測定し、利用可能なサービスを判別し、又は利用可能な無線ネットワークのリスト上で識別される1又はそれ以上のネットワーク及び/又はネットワーク装置の性能測定基準を取り上げる。
ステップ1104において、サーバが、ネットワークデータベースに記憶された複数のネットワークプロファイルから、利用可能な無線ネットワークのリスト上の個々の利用可能な無線ネットワークのネットワークプロファイルを取り出す。個々のネットワークプロファイルは、少なくとも1つの属性を含むことができる。いくつかの実施形態では、リスト上の全ての無線ネットワークがネットワークプロファイルを有するとは限らない。リスト上の無線ネットワークのネットワークプロファイルが見つからない場合、この無線ネットワークに関連するネットワークプロファイルを作成することができる。デジタル装置1002から属性を受け取った場合、サーバは、デジタル装置1002から受け取ったいずれの属性がいずれのネットワーク、ネットワーク装置及び/又はネットワークプロファイルに関連するかを判定することができる。
ステップ1106において、サーバが、個々のネットワークプロファイルからの属性を最低要件と比較する。1つの例では、サーバが、(利用可能な場合)リスト内の全てのネットワークプロファイルからの待ち時間測定基準を最小待ち時間測定基準と比較する。サーバは、デジタル装置1002から受け取った属性を最低要件と比較することもできる。ステップ1108において、サーバが、(単複の)比較に基づいて、利用可能な無線ネットワーク及び/又は無線ネットワークプロファイルのリストから1又はそれ以上の無線ネットワークを削除する。例えば、待ち時間測定基準が最小待ち時間測定基準を下回る無線ネットワークは選択しなくてもよい。他の実施形態では、待ち時間測定基準が最小待ち時間測定基準を下回る無線ネットワークが重み値を受け取り、これを他の無線ネットワークと比較して選択処理を支援することができる。
いくつかの実施形態では、デジタル装置1010のユーザが最低要件を決定する。他の実施形態では、(管理者などが)ユーザのために最低要件を選択することができる。
ステップ1110において、サーバがユーザのための個別設定を取り出す。ユーザは、この個別設定をサーバへ送ることができる。いくつかの実施形態では、ユーザが、個別設定を含むウェブサーバ1018とのアカウントを有する。1つの例では、サーバが、利用可能な無線ネットワークのリストとともにユーザ識別子を受け取る。次に、サーバは、ユーザのアカウントにアクセスして個別設定を受け取り、その後、この個別設定が、リスト上の無線ネットワークに関連するネットワークプロファイルの属性に適用される。様々な実施形態では、ユーザが(「攻撃性」などの)個別設定を設定することができ、デジタル装置1002は、この設定で無線ネットワークに接続することができる。このような設定は以下を含むことができる。
(a) 共有インジケータに関係なくオープンなものに接続する。
(b) 所有者が混乱してアクセスポイントを単純にオープンのままにしてセキュリティ機能の設定方法を知らないと思われる旨を(「linksys」などの)デフォルトのメーカSSIDが示すもの以外はオープンなものに接続する。
(c) プロファイルサーバ108が認めた(又はWi−Fiネットワークに関する情報を既に記憶している)オープンなものに接続する。或いは、
(d) 「共有」という共有インジケータを含み、又は他の何らかの手段により共有と示されるオープンなものに接続する。当業者であれば、個別設定が数多く存在できることを理解するであろう。
ステップ1112において、サーバが、個別設定に基づいてリスト又はネットワークプロファイルから1又はそれ以上の無線ネットワークを削除する。例えば、個別設定は、ビデオ会議をサポートし、ユーザが定義したQoS要件を保持する無線ネットワークへの接続のみをユーザが望んでいることを示すことができる。その後、サーバは、ネットワークプロファイルから得られた、又はユーザの個別設定を満たさないデジタル装置1002から最近受け取った属性に基づいて、利用可能な無線ネットワークのリストからいずれかの無線ネットワークを削除することができる。
いくつかの実施形態では、その後、ネットワークプロファイルから得られた属性の比較前、又は比較後に個別設定を考慮することができる。1つの例では、個別設定が、「共有」と指定されていない、又は特定のサービスを提供していない無線ネットワークへの接続をユーザが望まないことを示す。1つの例では、ルールサーバ1010が、必要なサービスを提供しないネットワークに関連するネットワークプロファイルを取り出さず、及び/又はこれらのネットワークに関連する属性を比較しない。他の実施形態では、デジタル装置1002が、ルールサーバ1010から受け取った結果(無線ネットワーク選択など)に個別設定を適用した後で好ましい無線ネットワークにアクセスする。
ステップ1114において、サーバが、リスト上の残りの無線ネットワークの属性を比較する。様々な実施形態では、サーバが重みを適用して、ネットワークプロファイル内から得られた(測定基準などの)属性の1又はそれ以上を標準化する。いくつかの実施形態では、古い属性を削除し、又はより新しい他の属性よりも低く重み付けすることができる。1つの例では、1週間よりも以前のあらゆる測定基準に同様のより新しい測定基準よりも低い重みを付けることができる。別の例では、1ヵ月よりも以前の測定基準をネットワークプロファイルから削除し、又は比較において検討対象外とすることができる。当業者であれば、ネットワークプロファイル内から得られる全ての属性又は情報を比較において考慮できるわけではないことを理解するであろう。
個々のネットワークプロファイルは、あらゆる数の属性を含むことができる。1つの例では、ルールサーバ1010が、2つの異なるネットワークプロファイルからの測定基準の比較に基づいて無線ネットワーク選択を行う。いくつかの実施形態では、ルールサーバ1010が、2つの類似する測定基準間の比較に基づいて無線ネットワークを選択する(すなわち、第1のネットワークプロファイルからの待ち時間測定基準が、第2のネットワークプロファイルからの待ち時間測定基準と比較される)。当業者であれば、ルールサーバ1010が、2つの類似する最近受け取った測定基準間の比較又はネットワークプロファイル内の最近受け取った測定基準及び別の測定基準に基づいて無線ネットワークを選択できることを理解するであろう。
他の実施形態では、ルールサーバ1010が、2つの異なる測定基準間の比較に基づいて無線ネットワークを選択する(すなわち、第1のネットワークプロファイルからの待ち時間測定基準が、第2のネットワークプロファイルからの帯域幅測定基準と比較される)。ルールサーバ1010は、適当な無線ネットワークを選択するための比較を行うために、類似する及び/又は異なる測定基準又は属性に重み付けして標準化するアルゴリズムを実行することができる。1つの例では、ルールサーバ1010が、第1のネットワークプロファイル内の待ち時間測定基準を第2のネットワークプロファイル内の帯域幅測定基準と比較する。ルールサーバ1010は、測定基準に重み付けして標準化するアルゴリズムを実行することができる。待ち時間の方がネットワーク性能に及ぼす影響が大きいと考えられるので、このアルゴリズムは、待ち時間測定基準に帯域幅測定基準よりも大きく重み付けすることができる。
属性又は測定基準は、あらゆる数の要素に依存して異なる重みを受け取ることができる。例えば、待ち時間測定基準は、この測定基準が許容範囲内にあるときには所定の重みを受け取ることができ、そうでない場合には、大幅に下回る重みとなり得る。デジタル装置1002から最近受け取った測定基準は、ネットワークプロファイル内の類似する種類の測定基準よりも大きな重みを受け取ることができる。当業者であれば、類似する及び/又は異なる性能及び/又は質的な測定基準を比較するための方法は数多く存在することを理解するであろう。
ステップ1116において、サーバが、属性の比較に基づいて無線ネットワークを選択する。無線ネットワーク選択は、単一の好ましい無線ネットワーク、又は優先度順にソートされた無線ネットワークのリストを含むことができる。1つの例では、ルールサーバ1010が、最も好ましいネットワーク、2番目に好ましいネットワークなどを識別する。その後、ステップ1118において、ルールサーバ1010は、無線ネットワーク選択をデジタル装置1002へ送信することができる。
様々な実施形態では、ルールサーバ1010が、デジタル装置1002から最近受け取った測定基準のみを比較する。1つの例では、デジタル装置1002から2つの待ち時間測定基準が受け取られる。個々の待ち時間測定基準は、利用可能なネットワークのリスト上で識別された別個の無線ネットワークに関連する。この例では、ルールサーバ1010が、2つの属性の比較に基づいて無線ネットワークを選択することができる。
図12は、無線ネットワークを選択するための例示的な処理のフロー図である。1202ステップにおいて、デジタル装置1002が、2つの無線ネットワークを含む領域内に入り、デジタル装置1002が、アクセスするネットワークを求めて走査する。ステップ1204において、デジタル装置1002が、第1及び第2の利用可能な無線ネットワークのネットワーク識別子を受け取る。本明細書で説明したように、第1及び第2のネットワーク識別子は、BBSID、SSID、又はその他のいずれかのネットワーク識別子を含むことができる。例えば、第1のネットワーク識別子はBBSIDを含むことができ、第2のネットワーク識別子はSSID識別子を含むことができる。別の例では、第1のネットワークが、BBSID及びSSIDを含む複数の識別子を提供できるのに対し、第2のネットワークはSSIDのみを提供する。この例では、第1のネットワーク識別子が、第1のネットワーク装置のBBSID及びSSIDの両方を含むことができるのに対し、第2のネットワーク識別子は、第2のネットワーク装置のSSIDしか含まない。
ステップ1206において、デジタル装置1002が、利用可能な無線ネットワークのリストを生成する。例えば、デジタル装置1002は、第1のネットワーク識別子及び第2のネットワーク識別子を含むリストを生成することができる。その後、ステップ1208において、リストがサーバに提供される。
ステップ1210において、デジタル装置1002が、無線ネットワーク選択をサーバから受け取る。無線ネットワーク選択は、選択された無線ネットワークを識別し、又は選択された無線ネットワークに関連するネットワーク装置を識別する識別子(ネットワーク装置のBBSID及び/又はSSIDなど)を含むことができる。様々な実施形態では、無線ネットワーク選択が、優先度によってソートされた無線ネットワークのリストを含むことができる。リストは、選択された無線ネットワーク又はネットワーク装置を識別する2又はそれ以上の識別子を含むことができる。
ステップ1212において、デジタル装置1002が、無線ネットワーク選択のための信用証明書をサーバから受け取る。いくつかの実施形態では、信用証明書が、利用可能な無線ネットワークのリストをデジタル装置1002から受け取ったサーバと同じサーバから受け取られる。
様々な実施形態では、デジタル装置1002が無線ネットワーク選択をサーバから受け取り、その後信用証明書要求を提供して所望のネットワークの信用証明書を受け取る。1つの例では、デジタル装置1002が、利用可能な無線ネットワークのリストを提供する方法と同じ方法で(例えば、ネットワークのオープンポートを介して)信用証明書要求を提供する。いくつかの実施形態では、好ましいネットワークが信用証明書を必要とせず、又は信用証明書がデジタル装置1002上にローカルに記憶される。
ステップ1214において、デジタル装置1002が信用証明書を使用して、選択された無線ネットワークにアクセスする。本明細書では、ログインページなどに信用証明書を適用する処理について説明する。
様々な実施形態では、デジタル装置1002が、本明細書で説明する信用証明書要求の提供と同様の方法で、利用可能な無線ネットワークのリストをネットワーク装置のオープンポートを介してサーバに提供することができる。他の実施形態では、デジタル装置1002が、別のネットワークを介してサーバにリストを提供することができる。1つの例では、デジタル装置1002が、利用可能なWi−Fiネットワークのリストを生成し、(EVDO又はHSDPAネットワークなどの)携帯電話ネットワークを介してリストを提供する。この例では、無線ネットワーク選択を携帯電話ネットワークを介してデジタル装置へ戻し、その後デジタル装置1002が、好ましいWi−Fiネットワークにアクセスしようと試みることができる。
別の例では、デジタル装置1002が1つの無線ネットワークにアクセスする。その後、デジタル装置1002は、利用可能な無線ネットワークのリストをサーバに提供することができる。サーバは、無線ネットワーク選択をデジタル装置1002へ戻すことができる。この好ましい無線ネットワークが、デジタル装置1002が最初にアクセスしたネットワークでない場合、デジタル装置1002は、接続を中断して好ましい無線ネットワークにアクセスすることができる。
図10〜図12は、利用可能な無線ネットワークのリストを受け取り、無線ネットワーク選択を決定し、この選択をデジタル装置1002に提供するサーバを想定したものであるが、当業者であれば、サーバが必須ではないことを理解するであろう。1つの例では、デジタル装置1002が、利用可能な無線ネットワークのリストを生成し、その後(例えば、ローカルに記憶されたネットワークプロファイルから、1又はそれ以上のネットワーク装置から、ローカルデータベース又は遠隔データベースから、及び/又はインターネットなどの別のネットワークから情報を取り出して)、リスト上のネットワークに関するいずれかの利用可能な情報を取り出す。次に、デジタル装置1002は、選択を行うために、又は優先順位リストを生成するために、ネットワークに関連するどのような属性が利用可能であるかに基づいて比較を行うことができる。その後、デジタル装置1002は、選択した無線ネットワークにアクセスすることができる。
様々な実施形態では、デジタル装置1002が、1又はそれ以上のネットワークに関する属性を生成して提供し、ネットワークプロファイルを更新することができる。1つの例では、デジタル装置1002が、信号の品質、帯域幅、又はその他のあらゆる測定基準を判定して、利用可能な無線ネットワークのリストとともにこれらの測定基準をサーバに提供する。別の例では、デジタル装置1002が、選択した無線ネットワークにアクセスし、属性を測定し、ネットワークプロファイル内に属性更新測定基準を提供する。デジタル装置1002は、いつでも(待ち時間測定基準、帯域幅測定基準及びQOS測定基準などの)属性を取り込み、これらを使用してネットワークプロファイルを更新することができる。
図13は、無線ネットワークを選択し、選択した無線ネットワークにアクセスするための略図である。様々な実施形態では、ステップ1302及び1304において、ネットワーク装置1004及びネットワーク装置1006が、第1及び第2のネットワーク識別子をデジタル装置1002に提供する。ステップ1306において、デジタル装置1002が、ネットワーク装置1004及びネットワーク装置1006に関連する無線ネットワークに関する測定を行うことにより、測定基準(すなわち属性)を生成する。いくつかの例では、測定基準として、待ち時間、信号強度、又はQOS測定基準を挙げることができる。
ステップ1308において、デジタル装置1002が、ネットワーク装置1004からのネットワーク識別子及びネットワーク装置1006からのネットワーク識別子を含むことができる利用可能な無線ネットワークのリストを生成する。いくつかの実施形態では、デジタル装置1002が、2つのネットワーク識別子間の優先度を示すこと、又はネットワーク識別子の一方又は両方を削除することができる個別設定を含むこともできる。1つの例では、個別設定が、(「linksys」などの)デフォルトのメーカSSIDを有していないオープンネットワークにのみアクセスできることを示す。この例では、ネットワーク装置1004からのネットワーク識別子がデフォルトのメーカSSIDを示す場合、デジタル装置1002は、このネットワーク装置1004のネットワーク識別子を利用可能な無線ネットワークのリスト内に含めることができない。
いくつかの実施形態では、デジタル装置1002が少なくとも2又はそれ以上のネットワークを識別するリストを生成できない場合、デジタル装置1002はリストを送らない。1つの例では、デジタル装置1002が、ユーザ要件を満たす利用可能な無線ネットワークを1つしか識別できない場合、デジタル装置1002は、無線ネットワークに直接アクセスしようと試みるか、或いは信用証明書要求をサーバへ送信して、アクセスに必要ないずれかの信用証明書を取り出すことができる。
ステップ1310において、デジタル装置1002が、利用可能なネットワークの属性及びリストをルールサーバ1010に提供する際にプロキシのように振る舞うネットワーク装置1006の(ポート53などの)オープンポートを介して、属性及び利用可能な無線ネットワークのリストを提供する。他の実施形態では、デジタル装置1002が、ネットワーク装置1004のオープンポートを介して属性及びリストを提供する。或いは、デジタル装置1002は、別個のネットワークを介して属性及びリストを(例えば、ネットワーク装置のうちの1つのオープンポートを介して属性を、及びセルラネットワークを介してリストを)提供することもできる。ステップ1312において、DNSを介して属性及びリストをルールサーバ1010に提供することにより、ネットワーク装置1006がプロキシの役割を果たす。
ステップ1314において、ルールサーバ1010がネットワークプロファイルを取り出す。1つの例では、ルールサーバ1010がリストからネットワーク識別子を取り出し、このネットワーク識別子に関連するネットワークプロファイルを取り出す。
ステップ1316において、ルールサーバ1010(又はプロファイルサーバ1014)が、ネットワークプロファイル内の属性をデジタル装置1002から受け取った属性に更新する。1つの例では、デジタル装置1002からの新たな待ち時間測定基準を使用して、ネットワーク装置1004からのネットワーク識別子に関連するネットワークプロファイルを更新する。新たな待ち時間測定基準が最近のものであることを示すために、属性に関連する有効期間値を更新することもできる。
ステップ1318において、ルールサーバ1010が、ネットワークプロファイル内から得た属性の比較に基づいてネットワーク装置を選択する。いくつかの実施形態では、ルールサーバ1010が、(ウェブサーバ1018などを介して)デジタル装置1002から、又はデジタル装置1002に関連するアカウントから得た個別設定も適用した後で選択を行う。ルールサーバ1010は、デジタル装置1002により提供されたリストから、2つのネットワーク装置の優先順位リストを作成することができる。リストには、2つのネットワーク装置のうちのいずれの方がネットワークプロファイルからの測定基準に基づいて最も望ましいサービスを提供するかに基づいて優先順位が付けられる。
ステップ1320において、ルールサーバ1010が、デジタル装置1002へ情報を送るためのプロキシとして機能するために、DNSを介してネットワーク装置1006へ無線ネットワーク選択及び信用証明書を提供する。1つの例では、ルールサーバ1010がネットワーク装置1004を選択する。ルールサーバ1010は、ネットワーク装置1004のネットワーク識別子に基づいてネットワーク装置1004の信用証明書を取り出すことができる。例えば、ルールサーバ1010は、信用証明書サーバ1016に信用証明書要求を提供することができる。信用証明書サーバ1016は、必要な信用証明書を含む信用証明書要求応答をルールサーバ1010に提供することができ、その後このルールサーバ1010が、信用証明書サーバ1016から受け取った信用証明書及び無線ネットワーク選択をデジタル装置1002へ送信する。
その後、ステップ1322において、ネットワーク装置1006が、オープンポートを介してネットワーク選択及び信用証明書をデジタル装置1002に提供する。ステップ1324において、デジタル装置1002が、信用証明書を提供してネットワーク装置1004にアクセスし、ネットワークに関する追加の属性を生成する(すなわち追加測定を行う)。接続が確立されると、ステップ1326において、ルールサーバ1010又はプロファイルサーバ1014に新しい属性が提供されて、ネットワーク装置1004に関連するネットワークプロファイルが更新される。1つの例では、デジタル装置1002が、ネットワーク装置1004との接続を確立するのに必要な時間を測定することができる。その後、この接続を確立するのに必要な時間を使用して、ネットワークプロファイル内の属性を更新することができる。接続が確立されなかったり、又は失敗した場合、この情報を提供して関連するネットワークプロファイルを更新することもできる。
いくつかの実施形態では、選択したネットワークとのネットワーク接続が失敗した場合、デジタル装置1002は接続を再試行することができる。接続をしようとする複数の試みが失敗した場合、この失敗に関する情報が送られて、関連するネットワークプロファイルが更新される。その後、デジタル装置1002は、(ネットワーク装置1006などの)別のネットワーク装置との接続を試みることができる。いくつかの実施形態では、デジタル装置1002が領域を再走査して、利用可能なネットワークの新しいリストを生成し、このリストに、デジタル装置1002が接続を失敗したネットワークを含めないようにすることができる。この新しいリストをルールサーバ1010へ送って新しい無線ネットワーク選択を受け取り、この処理を繰り返すことができる。
いくつかの実施形態では、ルールサーバ1010が、優先度によりソートされた利用可能な無線ネットワークの優先順位リストを提供する。1つの例では、ルールサーバ1010が、3つのネットワークの優先順位リストをデジタル装置1002に提供する。その後、デジタル装置1002は、この優先順位リストに基づいて第1の無線ネットワークにアクセスしようと試みることができる。デジタル装置1002は、第1の無線ネットワークに接続できなかった場合、リスト上の次のネットワークへの接続を試行することができる。当業者であれば、この優先順位リストが、利用可能な無線ネットワークのリスト内で識別された無線ネットワークの全て、1つ、又はいくつかを含むことができると理解するであろう。例えば、ルールサーバ1010は、性能が劣ると分かっていたり、(VoIPサービスなどの)所望のサービスを提供しなかったり、及び/又は別様にブラックリストに載っている無線ネットワークを識別することはできない。
様々な実施形態では、デジタル装置1002のユーザが、無線ネットワーク選択を無効にしていずれかの無線ネットワークにアクセスすることができる。1つの例では、ユーザが、利用可能な無線ネットワークの優先順位を選択する。いくつかの実施形態では、ユーザが、デジタル装置1002、又はウェブサーバ1018とのアカウントを、ルールサーバ1010から得た無線ネットワークの優先順位リストを並べ替え、又は別様に変更することができる個人的な優先度を含むように構成することができる。例えば、利用可能な無線ネットワークのリストをルールサーバ1010に提供する前に、デジタル装置1002又はウェブサーバ1018が、このリストをユーザの優先度に基づいて変更することができる。
いくつかの実施形態では、1又はそれ以上のオープンなWi−Fiネットワークに加え、所定の位置に1又はそれ以上の暗号化されたWi−Fiネットワークが存在することもある。デジタル装置1002は、オープンなWi−Fiネットワークに接続して、暗号化されたWi−Fiネットワークを含む他のWi−FiネットワークのSSIDをHTTPなどのネットワーク通信プロトコルを介してルールサーバ1010へ送信することができる。
その後、ルールサーバ1010は、個別設定又はその他のルールに基づいて、利用可能な暗号化されたWi−Fiネットワークがネットワーク接続にとって好ましい選択であると判定することができる。ルールサーバ1010は、現在のオープンなWi−Fiネットワーク接続を介してデジタル装置1002へ必要な暗号鍵を送信するとともに、暗号化されたWi−Fiネットワークに切り替えるための命令をデジタル装置1002へ送ることができる。
本明細書で説明しているように、SSID又はその他のネットワーク識別子が、ネットワークにアクセスするために必要なネットワーク信用証明書を識別するのに不十分な場合がある。例えば、同じSSID又はその他のネットワーク識別子を複数のネットワークが共有している場合、又は共有できる場合がある。従って、信用証明書サーバは、SSIDを有するネットワークの少なくとも1つのネットワーク信用証明書を提供することができる。デジタル装置は、ネットワークにうまくアクセスできなかった場合、信用証明書サーバに新たな信用証明書要求を提出することができる。その後、信用証明書サーバは、同じSSIDを共有する異なるネットワークのネットワーク信用証明書を提供することができる。いくつかの実施形態では、正しいネットワーク信用証明書が提供されるまで、所定の時間が満了するまで、又は所定の試行回数が行われるまでこの処理を継続することができる。
いくつかの実施形態では、信用証明書サーバが、同じSSIDを共有する可能性のある様々なネットワークから、あらゆる数の方法でネットワーク信用証明書を選択することができる。例えば、信用証明書サーバは、最も多くの人々が最もよくアクセスするネットワークのネットワーク信用証明書を提供することができる。いくつかの実施形態では、信用証明書サーバが、アクセスを要求しているユーザ又はデジタル装置が最もよくアクセスするアクセスネットワークのネットワーク信用証明書を提供することができる。或いは、信用証明書サーバは、(例えば、GPS位置情報、AGPS位置情報を通じて、又はデジタル装置による走査で識別できるような、デジタル装置が利用できる他のネットワークのリストを通じて)ユーザの最も近くに位置するネットワークのネットワーク信用証明書を提供することができる。以前にデジタル装置に提供したネットワーク信用証明書がうまくいかなかった場合、信用証明書サーバは、別の方法に基づいて新たなネットワーク信用証明書を選択することができる。
いくつかの実施形態では、信用証明書サーバ116が、ネットワーク信用証明書を提供するのではなく、追加のネットワーク情報を要求することができる。例えば、信用証明書サーバは、ネットワーク識別子を受け取り、このネットワーク識別子が複数のネットワークにより共有されており、又は共有されている可能性があると判断することができる。その後、信用証明書要求応答は、デジタル装置に追加のネットワーク情報を要求することができる。追加のネットワーク情報は、例えば、そのネットワークに関連するネットワーク装置からのウェブページのタイトル又は他のいずれかの情報などの、ネットワークに関するいずれかの追加情報を含むことができる。この結果、デジタル装置は、信用証明書サーバに追加のネットワーク情報を提供し、その後、信用証明書サーバは、デジタル装置に提供すべき正しいネットワーク信用証明書を識別することができる。
図14は、いくつかの実施形態におけるデジタル装置102のボックス図である。様々な実施形態では、ネットワークに関連するネットワーク識別子が共有され得る場合、デジタル装置102を、信用証明書サーバ116に追加のネットワーク情報を提供してネットワーク信用証明書を受け取るように構成することができる。デジタル装置102は、要求モジュール1402、確認モジュール1404、取り出しモジュール1406、ネットワークアクセスエンジン1408、及びリストモジュール1410を備えることができる。多くの点において、デジタル装置102は、本明細書で説明するように機能することができる。
要求モジュール1402は、デジタル装置102の近くの領域を走査して、(単複の)無線ネットワークに関連するSSIDなどの1又はそれ以上のネットワーク識別子を受け取るように構成することができる。要求モジュール1402を、1又はそれ以上のネットワーク識別子を含む信用証明書要求を生成するように構成することもできる。信用証明書要求は、DNSプロトコルメッセージとしてフォーマットすることができる。信用証明書要求は、UDPプロトコルでフォーマットすることができる。要求モジュール1402は、走査されたネットワークの少なくとも1つに関連するネットワーク装置を介して、ネットワークに信用証明書要求を提供することができる。本明細書で説明しているように、ネットワーク装置は、ポート53などの少なくとも1つのオープンポートを含むことができる。要求モジュール1402は、このオープンポートを介して信用証明書サーバ116に信用証明書要求を提供することができる。
応答モジュール1404は、信用証明書サーバ116から(ネットワーク装置104のオープンポートなどを介して)信用証明書要求応答を受け取ることができる。様々な実施形態では、応答モジュール1404が、信用証明書要求応答からネットワーク信用証明書又は追加のネットワーク情報の要求を取り出すことができる。1つの例では、信用証明書サーバ116が、不十分な情報が存在する(例えば、SSIDが複数のネットワークにより共有されている)と判断した場合、デジタル装置102に追加のネットワーク情報を要求する信用証明書要求応答を提供することができる。
追加のネットワーク情報は、ネットワークに関するいずれかの情報を含むことができる。いくつかの実施形態では、追加のネットワーク情報が、SSID、BSSID、ネットワーク装置104から受け取ったウェブページのタイトル、無線インターネットサービスプロバイダローミング(WlSPr)タグ、ウェブページ上の第1のヘッダ、及び/又はネットワーク装置104から受け取ったリダイレクト用URLを含む。当業者であれば、この追加のネットワーク情報が、ネットワーク装置を識別する識別子、ネットワークを識別する識別子、又はネットワーク装置から受け取った(ログインページ、リダイレクトページ、又は情報要求フィールドを含むウェブページなどの)情報のようなあらゆる情報を含むことができると理解するであろう。
取り出しモジュール1406は、追加のネットワーク情報の要求に基づいて信用証明書サーバ116に追加情報を提供するように構成することができる。様々な実施形態では、取り出しモジュール1406が、ネットワーク装置104から以前に受け取った追加のネットワーク情報を含む第2の信用証明書要求を生成する。いくつかの実施形態では、取り出しモジュール1406が、ネットワーク装置104から追加のネットワーク情報を取り出す。例えば、取り出しモジュール1406は、ネットワーク装置104にウェブページを要求してこれを受け取ることができる。次に、取り出しモジュール1406は、ウェブページのタイトル、URL、リダイレクトページ識別子、ネットワーク装置104から受け取ったウェブページの1又はそれ以上のフィールドに関連する識別子などを、第2の信用証明書要求に含めて提供することができる。次に、要求モジュール1402は、この第2の信用証明書要求をネットワークに(例えば、最初の信用証明書要求に関して説明した方法と同様の方法で)提供することができる。第1の信用証明書要求と同様に、第2の信用証明書要求も、DNSプロトコルメッセージとしてフォーマットすることができる。信用証明書要求は、UDPプロトコルでフォーマットすることができる。
ネットワーク識別子及び/又は追加のネットワーク情報が十分なものである場合、応答モジュール1404は、第2の信用証明書要求に応答して信用証明書サーバ116から第2の信用証明書要求応答を受け取ることができる。第2の信用証明書要求は、ネットワーク信用証明書を含むことができる。
ネットワークアクセスエンジン1408は、ネットワーク識別子及び/又は追加のネットワーク情報に関連する無線ネットワークにネットワーク信用証明書を提供するように構成することができる。ネットワークアクセスエンジン1408は、本明細書、及び2007年9月6日に出願された「ネットワーク信用証明書を取得するためのシステム及び方法]という名称の同時係属中米国特許出願第11/899,697号に記載されるようなネットワーク信用証明書をネットワークに提供するように構成することができ、該特許は本明細書に組み入れられる。
ネットワークアクセスが許可された場合、ネットワークアクセスエンジン1408は、提供されたネットワーク信用証明書がうまくいったことを確認するメッセージを信用証明書サーバ116へ任意に送信することができる。ネットワークアクセスが許可されなかった場合、ネットワークアクセスエンジン1408は、別の信用証明書要求で追加のネットワーク情報を提供するように取り出しモジュール1406に通知し、及び/又は受け取ったネットワーク信用証明書によるアクセスの試行がうまくいかなかった旨のメッセージを信用証明書サーバ116に対して生成することができる。デジタル装置102がネットワークにアクセスしなかった場合、デジタル装置102は、次にネットワークへのアクセスに成功したときに、アクセスの試みに関する情報のログを信用証明書サーバ116に提供することができる。
いくつかの実施形態では、ホワイトリスト及び/又はブラックリストを使用して、複数の信用証明書要求の送信を低減又は回避することができる。例えば、リストモジュール1410を、ホワイトリスト及び/又はブラックリストに照らして1又はそれ以上のネットワーク識別子をチェックするように構成することができる。ホワイトリスト及び/又はブラックリストは、信用証明書サーバ116又は他のいずれかのデジタル装置102により定期的に更新することができる。
いくつかの実施形態では、リストモジュール1410が、ブラックリストに照らしてネットワーク識別子をチェックする。(SSIDなどの)ネットワーク識別子がブラックリスト上にある場合、追加のネットワーク情報を必要とすることができる。例えば、ブラックリストは、複数のネットワークが共有し得るSSIDのリストを含むことができる。ネットワーク識別子がブラックリスト上にある場合、リストモジュール1410は、追加のネットワーク情報を信用証明書要求に含めて提供するように取り出しモジュール1406に通知することができる。信用証明書要求を受け取る信用証明書サーバ116は、このネットワーク識別子及び追加のネットワーク情報を使用してネットワーク信用証明書を提供することができる。いくつかの実施形態では、ブラックリストが、複数のネットワークが共有し得るSSIDのリストと、正しいネットワーク信用証明書を受け取る速さ及び/又は可能性を高めるためにどのような追加のネットワーク情報を提供すればよいかに関する命令とを含む。
いくつかの実施形態では、リストモジュール1410が、ホワイトリストに照らしてネットワーク識別子をチェックする。(SSIDなどの)ネットワーク識別子がホワイトリストの上にある場合、追加のネットワーク情報を必要としなくてもよい。例えば、ホワイトリストは、複数のネットワークが共有していないと考えられるSSIDのリストを含むことができる。しかしながら、ネットワーク識別子がホワイトリスト上にない場合、リストモジュール1410は、追加のネットワーク情報を信用証明書要求に含めて提供するように取り出しモジュール1406に通知することができる。信用証明書要求を受け取る信用証明書サーバ116は、このネットワーク識別子及び追加のネットワーク情報を使用してネットワーク信用証明書を提供することができる。
いくつかの実施形態では、ブラックリストが、デジタル装置102がアクセス許可を受けていないネットワーク装置の(SSID又はBSSIDなどの)ネットワーク識別子のリストを含む。例えば、保護されていないネットワーク装置の所有者は、(友人又は特定の喫茶店の客などの)限られた数の人々しかネットワークにアクセスしないように望むことができる。いくつかの実施形態では、デジタル装置102が、保護されていないネットワーク装置のネットワーク識別子を受け取り、このネットワーク識別子を(例えば、デジタル装置102又は信用証明書サーバ116により)ブラックリストと比較することができる。このネットワーク識別子がブラックリストに関連している場合、デジタル装置102は、ネットワークに接続する試みを中止し、又はネットワークとの接続を絶つことができる。
ホワイトリストは、デジタル装置102がアクセスを許可されたネットワークに関連するネットワーク識別子のリストを含むこともできる。例えば、デジタル装置102又は信用証明書サーバ116は、ネットワーク識別子をホワイトリストに照らしてチェックし、ネットワークがホワイトリストに関連しているかどうかを判断することができる。ネットワークがホワイトリストに関連している場合、デジタル装置102は、ネットワークに接続し、又は接続したままにしておくことができる。いくつかの実施形態では、ホワイトリストが好ましいネットワークのリストを含む。この例では、デジタル装置102が、複数の利用可能なネットワークのリストからホワイトリストに関連するネットワーク識別子を選択することができる。
図15は、いくつかの実施形態における、ネットワーク識別子がネットワーク信用証明書を識別するのに不十分な可能性がある場合の、ネットワーク信用証明書を取り出す例示的な方法のフロー図である。このフロー図は、いくつかの実施形態における、デジタル装置102、ネットワーク装置104、DNSサーバ110、及び信用証明書サーバ116間の、及びこれらの装置による通信及び活動を示す。様々な実施形態では、デジタル装置102が、デジタル装置102の近くの領域を走査して1又はそれ以上の無線ネットワークを識別することができる。ステップ1502において、ネットワーク装置104が、デジタル装置102からの走査に応答してネットワーク識別子を提供することができる。いくつかの実施形態では、ネットワーク識別子がSSID及び/又はBSSIDである。
ステップ1504において、デジタル装置102が、受け取ったネットワーク識別子を含む第1の信用証明書要求を生成する。第1の信用証明書要求は、デジタル装置102の識別子、ソフトウェアライセンス番号、又は他のいずれかの情報を含むこともできる。第1の信用証明書要求は符号化することができる。例えば、第1の信用証明書要求内の情報を16進符号化することができる。
様々な実施形態では、第1の信用証明書要求がDNSプロトコルの形を取り、これがネットワーク装置104のオープンポート(ポート53など)を介してDNSサーバ110に提供される。ステップ1508において、DNSサーバ110が、第1の信用証明書要求を信用証明書サーバ116にリダイレクトすることができる。
信用証明書サーバ116は、ルールサーバ1010を含むことができ、又はルールサーバ1010とすることができる。いくつかの実施形態では、信用証明書サーバ116が、第1の信用証明書要求を受け取ってネットワーク識別子を取り出すことができる。いくつかの実施形態では、信用証明書サーバ116が、ネットワーク識別子を取り出すために第1の信用証明書要求を復号する。
ステップ1510において、信用証明書サーバ116が、ネットワーク識別子がネットワーク信用証明書を識別するのに十分であるかどうかを判定する。例えば、ネットワーク識別子が別のネットワークと共有されている可能性がある。いくつかの実施形態では、信用証明書サーバ116が、表、データベース又はその他のいずれかのデータ構造などのデータ構造を走査して、第1の信用証明書要求から取り出したネットワーク識別子が2又はそれ以上のネットワークによって共有されている可能性があるかどうかを判定する。1つの例では、このデータ構造が、複数のネットワークにより共有されているネットワーク識別子のリストを含むブラックリストである。
いくつかの実施形態では、信用証明書サーバ116が、ネットワーク信用証明書を識別するのに不十分な情報しか存在しないと判定することができる。1つの例では、ネットワーク識別子が、SSID及びBSSIDを含むことができる。SSIDが複数のネットワークに関連し、信用証明書サーバ116が、BSSID(ネットワーク装置のMACアドレスなど)に関連するネットワーク信用証明書を有していないこともある。ネットワーク識別子が不十分な場合、信用証明書サーバ116は、追加のネットワーク情報を要求する第1の信用証明書要求応答を生成することができる。信用証明書サーバ116は、この追加のネットワーク情報を使用して正しいネットワーク及び/又はネットワーク信用証明書を識別することができる。
様々な実施形態では、追加のネットワーク情報の要求が、デジタル装置102がネットワーク装置104に関するアクセスを得ることができるいずれかの追加情報の要求を含む。いくつかの実施形態では、信用証明書サーバ116が、ネットワーク信用証明書を識別するためにどのような追加のネットワーク情報が必要かを判断し、この追加のネットワーク情報のみを明確に要求する。例えば、2つの考えられるネットワークを識別するために、ネットワーク装置104からウェブページのタイトルを受け取ることで十分な場合もある。信用証明書サーバ116は、ネットワーク装置104のウェブページのタイトルの要求を第1の信用証明書要求応答に含めることができる。他の実施形態では、信用証明書サーバ116が、様々な異なる種類の追加のネットワーク情報を要求することができる。
この追加のネットワーク情報の要求を含む第1の信用証明書要求応答をDNSサーバ110に戻すことができる。1つの例では、第1の信用証明書要求応答がUDPプロトコルとしてフォーマットされ、信用証明書サーバ116が第1の信用証明書要求を受け取った処理と同様の態様でデジタル装置102に戻される。ステップ1514において、DNSサーバ110が、第1の信用証明書要求応答を受け取り、これをネットワーク装置104のオープンポートを介してデジタル装置102へリダイレクトすることができる。
ステップ1516において、デジタル装置102が、第1の信用証明書要求応答から追加情報の要求を取り出し、追加のネットワーク情報1516を含む第2の信用証明書要求を準備する。いくつかの実施形態では、デジタル装置102が、ネットワーク装置104にウェブページを要求する。この要求は、ネットワークアクセスを求める要求とすることができる。追加のネットワーク情報は、ネットワーク装置104から受け取ったSSID、BSSID、IPアドレス、又はその他のいずれかの情報などの情報を含むことができる。いくつかの実施形態では、追加のネットワーク情報が、ウェブページのタイトル、ハッシュ、WISPrタグ又はURL、又はネットワーク装置104から受け取ったウェブページのいずれかの部分を含むことができる。
ステップ1518において、デジタル装置102が、DNSサーバ110に第2の信用証明書要求を提供する。第2の信用証明書要求は符号化することができる。第1の信用証明書要求と同様に、この第2の信用証明書要求もUDPプロトコルとしてフォーマットし、ネットワーク装置104上のオープンポートを介してDNSサーバ110に提供することができる。その後、ステップ1520において、DNSサーバ110が、この第2の信用証明書要求を信用証明書サーバ116へ送ることができる。
ステップ1522において、信用証明書サーバ116が、この追加のネットワーク情報に少なくとも部分的に基づいてネットワーク信用証明書を取り出す。信用証明書サーバ116は、デジタル装置102から以前に受け取ったネットワーク識別子及び/又はその他の追加のネットワーク情報に少なくとも部分的に基づいてネットワーク信用証明書を取り出すこともできる。1つの例では、信用証明書サーバ116が、ネットワーク識別子及び/又はいずれかの追加のネットワーク情報に関連するデータ構造からネットワーク信用証明書を取り出すことができる。信用証明書サーバ116は、ネットワーク信用証明書を第2の信用証明書要求応答に含めることができる。第2の信用証明書要求応答は、第1の信用証明書要求応答と同様の方法で符号化及び/又は暗号化することができる。
ステップ1524において、第2の信用証明書要求応答がDNSサーバ110に戻され、ステップ1526において、DNSサーバ110が、この第2の信用証明書要求応答をデジタル装置102へ送る。当業者であれば、図15には単一のDNSサーバ110しか示していないが、異なる(単複の)信用証明書要求及び/又は(単複の)信用証明書要求応答を送るDNSサーバがいくつ存在してもよいと理解するであろう。同様に、図15には信用証明書サーバ116を1つしか示していないが、デジタル装置102と通信する信用証明書サーバはいくつ存在してもよい。
ステップ1528において、デジタル装置102が、第2の信用証明書要求応答からネットワーク信用証明書を取り出し、このネットワーク信用証明書をネットワーク装置104に提供する。様々な実施形態では、デジタル装置102が、(第1の信用証明書要求応答などの)別の信用証明書要求応答と同様の方法又は異なる方法で、第2の信用証明書要求応答を認証及び/又は複合することができる。
当業者であれば、信用証明書サーバ116が様々な異なるネットワーク情報をあらゆる順序で要求できることを理解するであろう。例えば、いくつかの実施形態では、信用証明書サーバ116が、追加のネットワーク情報の優先リストをデジタル装置102に提供することができる。デジタル装置102は、この優先リストを調べて、この要求される追加のネットワーク情報を利用できるかどうかを判定する。追加のネットワーク情報を利用できる場合、デジタル装置102は、この追加のネットワーク情報を第2の信用証明書要求に含めて信用証明書サーバ116に提供することができる。いくつかの実施形態では、デジタル装置102が、追加のネットワーク情報の一部のみを信用証明書サーバ116に提供することができる。信用証明書サーバ116は、ネットワーク識別子及び/又は追加のネットワーク情報が2又はそれ以上のネットワークにより共有されており、又は別様に不十分であると判定した場合、さらなるネットワーク情報の要求を別の信用証明書要求応答に含めて提供することができる。
図15では、ネットワーク識別子をSSIDとして説明しているが、当業者であれば、ネットワーク識別子が(BSSIDなどの)いずれの識別子又は識別子の組み合わせであってもよいと理解するであろう。例えば、ネットワーク装置104は、デジタル装置102にBSSIDを提供することができる。このBSSIDが以前に識別されたことがなく又は別様に不十分な場合、ステップ1512において、信用証明書サーバ116が、第1の信用証明書要求応答においてさらなる情報を要求することができる。これに応答して、デジタル装置102は、ネットワーク信用証明書を含む第2の信用証明書要求応答を受け取るために、信用証明書サーバ116に追加のネットワーク情報を提供することができる。
図16は、いくつかの実施形態における、ネットワーク識別子が不十分な場合にデジタル装置102がネットワーク信用証明書を受け取る例示的な方法のフロー図である。ステップ1602において、デジタル装置102が、利用可能な1又はそれ以上の無線ネットワークを求めて領域を走査する。1つの例では、デジタル装置102が、利用可能な無線ネットワークを求めてマクドナルドの店を走査する。この例では、ステップ1604において、デジタル装置102が無線ネットワークのネットワーク識別子を受け取る。AT&T社は、マクドナルドの店にネットワークサービスを提供することができる。この結果、マクドナルドの店にあるネットワーク装置が、「attwifi」として利用できるネットワークを識別する(例えば、SSIDを提供する)ことができる。
ステップ1606において、デジタル装置102が、DNSプロトコル向けにフォーマットされた第1の信用証明書要求を生成する。第1の信用証明書要求は、「attwifi」というネットワーク識別子、及び限定するわけではないが、(MACアドレスなどの)デジタル装置102識別子などのその他の情報を含むことができる。デジタル装置102は、ネットワーク装置上のオープンポートを通じ、ネットワークを介して、又は別のネットワーク装置を介して第1の信用証明書要求を提供することができる。
ステップ1608において、デジタル装置102が、ネットワーク装置上のオープンポートを通じ、ネットワークを介して、又は別のネットワーク装置を介して第1の信用証明書要求応答を受け取る。デジタル装置102は、第1の信用証明書要求応答から追加のネットワーク情報の要求を取り出すことができる。これに応答して、デジタル装置102は、ネットワーク装置からすでに受け取っている追加のネットワーク情報を提供することができる。1つの例では、デジタル装置102が、SSID、及びネットワーク装置から受け取ったウェブページに関する情報を受け取っておくことができる。デジタル装置102は、第1の信用証明書要求ではネットワーク識別子としてのSSIDしか提供しなかったが、第2の信用証明書要求では追加のネットワーク情報を提供することができる。
ステップ1610において、デジタル装置102が、追加のネットワーク情報を含む第2の信用証明書要求を生成する。1つの例では、第2の信用証明書要求応答が、(ネットワーク装置のSSIDなどの)以前に提供したネットワーク識別子及び/又はネットワーク装置に関する追加のネットワーク情報を含むことができる。その後、デジタル装置102は、ネットワークを介して第2の信用証明書要求を提供することができる。
ステップ1612において、デジタル装置102が、第2の信用証明書要求応答を受け取ることができる。第2の信用証明書要求応答は、ネットワーク信用証明書を含むことができる。他の実施形態では、第2の信用証明書要求応答が追加のネットワーク情報を要求することもあり、この追加のネットワーク情報を含む新たな信用証明書要求を生成できるものとして、処理をステップ1610から繰り返すことができる。いくつかの実施形態では、第2の信用証明書要求応答によりネットワーク信用証明書を利用できない旨を指示して処理を終了することもできる。
ステップ1614において、ネットワーク信用証明書が利用可能であれば、デジタル装置102がこれを第2の信用証明書要求応答から取り出す。本明細書で説明しているように、デジタル装置102は、第2の信用証明書要求応答を認証、復号、及び/又は解読することができる。ステップ1616において、デジタル装置102が、第2の信用証明書要求応答から取り出したネットワーク信用証明書をネットワーク装置に提供することができる。
図17は、いくつかの実施形態における、信用証明書サーバ116がネットワーク信用証明書を提供する例示的な方法のフロー図である。ステップ1704において、信用証明書サーバ116が、デジタル装置102から第1の信用証明書要求を受け取ることができる。ステップ1704において、信用証明書サーバ116が、第1の信用証明書要求を復号して、(「attwifi」のSSIDなどの)ネットワーク識別子を取り出すことができる。
ステップ1706において、信用証明書サーバ116が、ネットワーク識別子が1又はそれ以上のネットワーク信用証明書を識別するのに不十分であると判定することができる。1つの例では、「attwifi」のSSIDが、他のレストラン、喫茶店などを含む、AT&T社がネットワークアクセスを提供する幅広い数のネットワーク装置を識別する場合がある。他のネットワーク装置の1又はそれ以上は、異なるネットワーク信用証明書を必要とすることがある。例えば、AT&T社は、マクドナルドにおいてネットワークアクセスを提供し、限られた時間の間は無料にすると同時に、スターバックスにおいては、購入又はカード番号を求めることができる。しかしながら、マクドナルド及びスターバックスの両方におけるネットワーク装置は、同じSSIDを共有することができる。
信用証明書サーバ116は、第1の信用証明書要求で提供されたネットワーク識別子が正しいネットワーク信用証明書(例えば、スターバックスにおけるカード番号を含むネットワーク信用証明書、又はマクドナルドにおける無料アクセスに必要なウェブページに対する正しい入力)を求めるのに不十分な可能性があると判定することができる。
信用証明書サーバ116は、追加のネットワーク情報を求めることができる。例えば、ネットワークサービスプロバイダ、AT&T社を通じて、限られた数のマクドナルドのみが無料で無線アクセスできるようにされていることがある。従って、信用証明書サーバ116は、(「attwifi」などの)SSID、及び(「http://www. McDonalds.com/ATTmobile/freeaaccess」などの)リダイレクト先のウェブページのURLを求めることができる。信用証明書サーバ116は、十分な量の情報を受け取ると、デジタル装置102にネットワーク信用証明書を提供することができる。
当業者であれば、ネットワーク識別子及び/又は追加のネットワーク情報を1つのネットワーク又はネットワーク装置に対してのみ一意ではないようにすることができると理解するであろう。上記の例では、無料の無線アクセスを提供するためのプロモーションに参加する2又はそれ以上のマクドナルドが、同じネットワーク識別子、及び少なくとも類似する何らかの追加のネットワーク情報を提供することができる。いくつかの実施形態では、信用証明書サーバ116が、所望のネットワーク信用証明書を十分に識別できる(例えば、このネットワーク識別子を提供するネットワーク装置が参加中のマクドナルドに属する)と判断したら、所望のネットワーク信用証明書を提供することができる。
いくつかの実施形態では、信用証明書サーバ116が、1又はそれ以上のネットワーク信用証明書を識別するために、ネットワーク装置が提供するサービスの1又はそれ以上の側面を判定する。例えば、ホテル又は図書館によっては、各々が(101号室、102号室...などの)別個のネットワーク識別子を有することができる複数のネットワーク装置を有していることがある。信用証明書サーバ116は、この信用証明書サーバ116が認識しないネットワーク識別子を受け取った場合、ログインウェブページのタイトルなどの追加情報を要求する信用証明書要求応答を提供することができる。デジタル装置102は、「Hyatt Hotel.Austin.TX」を示すタイトルを提供することができる。この例では、全てのハイアットホテルが同じネットワーク信用証明書を共有できる(例えば、全てのハイアットホテルが同じログインページを共有する)ので、信用証明書サーバ116は、テキサス州オースティンにあるいずれのハイアットホテルが特定のSSID及びタイトルに関連し得るかを明確に識別しなくても正しいネットワーク信用証明書を提供することができる。
信用証明書サーバ116は、信用証明書要求から十分な情報が受け取られたことをあらゆる数の方法で識別することができる。1つの例では、信用証明書サーバ116が、ネットワーク識別子及び追加のネットワーク情報をデータ構造と比較する。このデータ構造は、例えば、どのようなネットワーク識別子及び/又は追加のネットワーク情報であれば、1又はそれ以上のネットワーク信用証明書を識別するのに十分であり得るかを示すことができる。或いは、このデータ構造は、例えば、どのようなネットワーク識別子及び/又は追加のネットワーク情報であれば、1又はそれ以上のネットワーク信用証明書を識別するのに不十分であるかを示すこともできる。いくつかの実施形態では、このデータ構造が、1又はそれ以上のネットワーク信用証明書を識別するためにどのようなさらなる追加のネットワーク情報を使用できるかを識別することができる。
ネットワーク識別子がネットワーク信用証明書を識別するのに十分である場合、ステップ1716において、信用証明書サーバ116が、このネットワーク識別子に基づいてネットワーク信用証明書を取り出すことができる。ネットワーク識別子がネットワーク信用証明書を識別するのに十分でない場合、ステップ1708において、信用証明書サーバ116が、追加のネットワーク情報を要求する他の(すなわち第2の)信用証明書要求応答を準備することができる。いくつかの実施形態では、信用証明書サーバ116が、(単複の)ネットワーク信用証明書を提供するためにどのような追加のネットワーク情報が有用となり得るかを識別できる識別子を信用証明書要求応答に含めることができる。ステップ1710において、信用証明書サーバ116が、デジタル装置102に信用証明書要求応答を提供する。
ステップ1712において、信用証明書サーバ116が、デジタル装置102から他の信用証明書要求(すなわち第2の信用証明書要求)を受け取ることができる。信用証明書サーバ116は、この他の信用証明書要求から追加のネットワーク情報を取り出すことができる。次に、信用証明書サーバ116は、以前に受け取った信用証明書要求の1又はそれ以上からのネットワーク識別子及び/又は追加のネットワーク情報が、ネットワーク信用証明書を識別するのに十分であるかどうかを判定することができる。ネットワーク識別子及び/又は追加のネットワーク情報が不十分な場合、ステップ1708において、信用証明書要求が、追加のネットワーク情報を要求する別の信用証明書要求応答を準備する処理を継続することができる。ネットワーク識別子及び/又は追加のネットワーク情報が十分である場合、ステップ1716において、信用証明書サーバ116が、ネットワーク信用証明書を取り出すことができる。
ステップ1718において、信用証明書サーバ116が、ネットワーク信用証明書を信用証明書要求応答に含めてデジタル装置102に提供することができる。
図18は、いくつかの実施形態において、ブラックリストを有するデジタル装置102が、1又はそれ以上のネットワーク信用証明書を識別するのに十分な追加のネットワーク情報を提供する別の例示的な方法のフロー図である。ステップ1802において、デジタル装置102が、利用可能な無線ネットワークを求めて領域を走査する。その後、デジタル装置102は、無線ネットワークの少なくとも1つのネットワーク識別子を受け取る。
ステップ1806において、デジタル装置102が、この無線ネットワークのネットワーク識別子がブラックリスト上で識別されるかどうかを判定する。ネットワーク識別子がブラックリストで識別された場合、又はブラックリストに関連している場合、ステップ1808において、デジタル装置102が、追加のネットワーク情報を取り出すことができる。当業者であれば、この追加のネットワーク情報は、ネットワーク装置から又はデジタル装置102の(RAM、キャッシュ又はハードドライブなどの)記憶装置から取り出すことができると理解するであろう。ステップ1810において、この追加のネットワーク情報及び/又はネットワーク識別子を信用証明書要求に含めて提供することができる。
ネットワーク識別子がブラックリストで識別されない場合、又はブラックリストに関連していない場合、デジタル装置102は、このネットワーク識別子を含む信用証明書要求をネットワーク(例えば、ネットワーク装置のオープンポートを通じて)を介して提供することができる。
ステップ1814において、デジタル装置102が、ネットワーク信用証明書を含む信用証明書要求応答を受け取ることができる。1つの例では、信用証明書サーバ116が、ネットワーク識別子及び/又は追加のネットワーク情報を受け取り、ネットワーク信用証明書を信用証明書要求応答に含めて提供するのに十分な情報を有することができる。デジタル装置102は、ステップ1816においてネットワーク信用証明書を取り出し、ステップ1818においてネットワーク装置にネットワーク信用証明書を提供することができる。
当業者であれば、追加のネットワーク情報を提供した場合でも、信用証明書サーバ116がさらに多くの情報が必要であると判断し、より多くの追加のネットワーク情報の要求を含む信用証明書要求応答を戻すことがあると理解するであろう。いくつかの実施形態では、デジタル装置102が、本明細書で説明したような十分な情報をいつ発見できるかを示すホワイトリストを含む。
当業者であれば、ブラックリスト及び/又はホワイトリストを(信用証明書サーバ116などによって)定期的に更新できることを理解するであろう。さらに、ブラックリスト及び/又はホワイトリストを、デジタル装置102にインストールしたアプリケーションの一部とすることもできる。他の実施形態では、信用証明書サーバ116が、ブラックリスト及び/又はホワイトリストを保持することができる。1つの例では、信用証明書サーバ116が、デジタル装置102から信用証明書要求を受け取ることができる。このとき、信用証明書サーバ116は、ネットワーク識別子をブラックリストに照らしてチェックすることができる。ネットワーク識別子がブラックリストに関連している場合、信用証明書サーバ116は、このネットワーク識別子に関連するネットワーク装置にネットワーク信用証明書を提供せず、或いはネットワーク装置との接続を絶つための要求又は命令を含むメッセージをデジタル装置102に提供することができる。
いくつかの実施形態では、信用証明書サーバ116が、ネットワーク識別子をホワイトリストに照らしてチェックし、好ましいネットワークを識別し、及び/又はアクセスの許可を示す。1つの例では、ネットワーク識別子がホワイトリストに関連していない場合、信用証明書サーバ116は、このネットワーク識別子に関連するネットワーク装置にネットワーク信用証明書を提供せず、或いはネットワーク装置との接続を絶つための要求又は命令を含むメッセージをデジタル装置102に提供することができる。
上述の機能及び構成要素は、コンピュータ可読媒体などの記憶媒体上に記憶された命令で構成することができる。この命令をプロセッサが取り出して実行することができる。命令のいくつかの例として、ソフトウェア、プログラムコード及びファームウェアがある。記憶媒体のいくつかの例としては、記憶装置、テープ、ディスク、集積回路及びサーバがある。この命令は、プロセッサにより実行された場合、プロセッサが本発明の実施形態に従って動作するように導く。当業者は、命令、(単複の)プロセッサ及び記憶媒体に精通している。
以上、例示的な実施形態を参照しながら本発明について説明した。当業者には、本発明のより広い範囲から逸脱することなく、様々な修正を行うとともに他の実施形態を使用できることが明らかであろう。従って、例示的な実施形態に対するこれらの及びその他の変形も本発明に含まれることが意図されている。
102:デジタル装置
104:ネットワーク装置
110:DNSサーバ
116:信用証明書サーバ
1502:ネットワーク識別子
1504:第1の信用証明書要求を生成
1506:第1の信用証明書要求
1508:第1の信用証明書要求
1510:ネットワーク識別子が不十分であると判断
1512:第1の信用証明書要求応答
1514:第1の信用証明書要求応答
1516:追加のネットワーク情報を含む第2の信用証明書要求を準備
1518:第2の信用証明書要求
1520:第2の信用証明書要求
1522:追加のネットワーク情報に少なくとも部分的に基づいてネットワーク信用証明書を取り出し
1524:第2の信用証明書要求応答
1526:第2の信用証明書要求応答
1528:ネットワーク信用証明書

Claims (20)

  1. デジタル装置を使用してネットワーク装置からネットワーク識別子を受け取るステップと、
    前記ネットワーク識別子を含む第1の信用証明書要求をネットワーク上の別のデジタル装置に提供するステップと、
    前記別のデジタル装置から追加のネットワーク情報の要求を受け取るステップと、
    前記別のデジタル装置に追加のネットワーク情報を含む第2の信用証明書要求を提供するステップと、
    前記別のデジタル装置からネットワーク信用証明書を含む信用証明書要求応答を受け取るステップと、
    前記信用証明書要求応答から取り出した前記ネットワーク信用証明書を前記ネットワーク装置に提供するステップと、
    を含むことを特徴とするネットワーク信用証明書を取得するための方法。
  2. 前記第1の信用証明書要求は、DNSプロトコルメッセージとしてフォーマットされる、
    ことを特徴とする請求項1に記載の方法。
  3. 前記第1の信用証明書要求は、前記ネットワーク装置上のオープンポートを介して前記別のデジタル装置に提供される、
    ことを特徴とする請求項1に記載の方法。
  4. 前記オープンポートはポート53である、
    ことを特徴とする請求項3に記載の方法。
  5. 前記ネットワーク識別子はSSIDである、
    ことを特徴とする請求項1に記載の方法。
  6. 前記追加のネットワーク情報はBSSIDである、
    ことを特徴とする請求項1に記載の方法。
  7. 前記追加のネットワーク情報は、前記デジタル装置が前記ネットワーク装置から受け取ったウェブページのタイトルである、
    ことを特徴とする請求項1に記載の方法。
  8. 前記追加のネットワーク情報は、前記デジタル装置が前記ネットワーク装置から受け取ったウェブページのURLである、
    ことを特徴とする請求項1に記載の方法。
  9. 前記追加のネットワーク情報は、前記デジタル装置が前記ネットワーク装置から受け取ったウェブページに関連するいずれかの部分のハッシュである、
    ことを特徴とする請求項1に記載の方法。
  10. ネットワーク装置からネットワーク識別子を受け取るように構成された要求モジュールと、
    前記ネットワーク識別子を含む第1の信用証明書をネットワーク上の別のデジタル装置に提供し、該別のデジタル装置から追加のネットワーク情報の要求を受け取り、前記別のデジタル装置に追加のネットワーク情報を含む第2の信用証明書要求を提供し、前記別のデジタル装置からネットワーク信用証明書を含む信用証明書要求応答を受け取り、前記信用証明書要求応答から取り出した前記ネットワーク信用証明書を前記ネットワーク装置に提供するように構成された応答モジュールと、
    を備えることを特徴とするネットワーク信用証明書を取得するためのシステム。
  11. 前記第1の信用証明書要求は、DNSプロトコルメッセージとしてフォーマットされる、
    ことを特徴とする請求項10に記載のシステム。
  12. 前記応答モジュールは、前記ネットワーク装置上のオープンポートを介して前記別のデジタル装置に前記第1の信用証明書要求を提供する、
    ことを特徴とする請求項10に記載のシステム。
  13. 前記オープンポートはポート53である、
    ことを特徴とする請求項12のシステム。
  14. 前記ネットワーク識別子はSSIDである、
    ことを特徴とする請求項10に記載のシステム。
  15. 前記追加のネットワーク情報はBSSIDである、
    ことを特徴とする請求項10に記載のシステム。
  16. 前記追加のネットワーク情報は、前記デジタル装置が前記ネットワーク装置から受け取ったウェブページのタイトルである、
    ことを特徴とする請求項10に記載のシステム。
  17. 前記追加のネットワーク情報は、前記デジタル装置が前記ネットワーク装置から受け取ったウェブページのURLである、
    ことを特徴とする請求項10に記載のシステム。
  18. 前記追加のネットワーク情報は、前記デジタル装置が前記ネットワーク装置から受け取ったウェブページに関連するいずれかの部分のハッシュである、
    ことを特徴とする請求項10に記載のシステム。
  19. 方法を含む命令を記憶するように構成されたコンピュータ可読記憶媒体であって、前記方法は、
    デジタル装置を使用してネットワーク装置からネットワーク識別子を受け取るステップと、
    前記ネットワーク識別子を含む第1の信用証明書要求をネットワーク上の別のデジタル装置に提供するステップと、
    前記別のデジタル装置から追加のネットワーク情報の要求を受け取るステップと、
    前記別のデジタル装置に追加のネットワーク情報を含む第2の信用証明書要求を提供するステップと、
    前記別のデジタル装置からネットワーク信用証明書を含む信用証明書要求応答を受け取るステップと、
    前記信用証明書要求応答から取り出した前記ネットワーク信用証明書を前記ネットワーク装置に提供するステップと、
    を含むことを特徴とするコンピュータ可読記憶媒体。
  20. 前記第1の信用証明書要求は、DNSプロトコルメッセージとしてフォーマットされる、
    ことを特徴とする請求項19に記載のコンピュータ可読記憶媒体。
JP2012517739A 2009-06-24 2010-06-24 ネットワーク信用証明書を取得するためのシステム及び方法 Pending JP2012531822A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US22007309P 2009-06-24 2009-06-24
US61/220,073 2009-06-24
PCT/US2010/039859 WO2010151692A1 (en) 2009-06-24 2010-06-24 Systems and methods for obtaining network credentials

Publications (2)

Publication Number Publication Date
JP2012531822A true JP2012531822A (ja) 2012-12-10
JP2012531822A5 JP2012531822A5 (ja) 2013-08-08

Family

ID=43386894

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012517739A Pending JP2012531822A (ja) 2009-06-24 2010-06-24 ネットワーク信用証明書を取得するためのシステム及び方法

Country Status (3)

Country Link
EP (1) EP2446347A4 (ja)
JP (1) JP2012531822A (ja)
WO (1) WO2010151692A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111614466A (zh) * 2020-03-31 2020-09-01 尚承科技股份有限公司 凭证安全签发与管理***及方法
JP2021164152A (ja) * 2020-03-30 2021-10-11 尚承科技股▲フン▼有限公司Eco−Luxury Technology Co., Ltd. 証明書安全発行・管理システム及び方法

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8743778B2 (en) 2006-09-06 2014-06-03 Devicescape Software, Inc. Systems and methods for obtaining network credentials
US8554830B2 (en) 2006-09-06 2013-10-08 Devicescape Software, Inc. Systems and methods for wireless network selection
US8549588B2 (en) 2006-09-06 2013-10-01 Devicescape Software, Inc. Systems and methods for obtaining network access
US9326138B2 (en) 2006-09-06 2016-04-26 Devicescape Software, Inc. Systems and methods for determining location over a network
WO2010045249A1 (en) 2008-10-13 2010-04-22 Devicescape Software, Inc. Systems and methods for identifying a network
EP2676399A4 (en) 2011-02-14 2016-02-17 Devicescape Software Inc SYSTEMS AND METHODS FOR NETWORK CARE
US9258704B2 (en) * 2012-06-27 2016-02-09 Advanced Messaging Technologies, Inc. Facilitating network login
JP5995676B2 (ja) * 2012-11-20 2016-09-21 Kddi株式会社 無線lan設定装置およびその無線lan設定方法
CN114978698B (zh) * 2022-05-24 2023-07-28 中国联合网络通信集团有限公司 网络接入方法、目标终端、凭证管理网元及验证网元

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8006A (en) * 1851-04-01 Horseshoe-nail machine
WO2008033913A2 (en) * 2006-09-12 2008-03-20 Wayport, Inc. Providing location-based services without access point control
JP2010541429A (ja) * 2007-09-28 2010-12-24 デバイススケープ・ソフトウェア・インコーポレーテッド 無線ネットワーク選択のためのシステム及び方法
JP2012505487A (ja) * 2008-10-13 2012-03-01 デバイススケープ・ソフトウェア・インコーポレーテッド ネットワークを識別するためのシステム及び方法
JP2012515956A (ja) * 2009-01-16 2012-07-12 デバイススケープ・ソフトウェア・インコーポレーテッド 強化されたスマートクライアントサポートのためのシステム及びその方法
JP2012531111A (ja) * 2009-06-19 2012-12-06 デバイススケープ・ソフトウェア・インコーポレーテッド ネットワークを介して位置を特定するためのシステム及び方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7661128B2 (en) * 2005-03-31 2010-02-09 Google Inc. Secure login credentials for substantially anonymous users
US7437755B2 (en) * 2005-10-26 2008-10-14 Cisco Technology, Inc. Unified network and physical premises access control server
US8549588B2 (en) * 2006-09-06 2013-10-01 Devicescape Software, Inc. Systems and methods for obtaining network access
US8554830B2 (en) * 2006-09-06 2013-10-08 Devicescape Software, Inc. Systems and methods for wireless network selection
US8191124B2 (en) * 2006-09-06 2012-05-29 Devicescape Software, Inc. Systems and methods for acquiring network credentials
US8194589B2 (en) * 2006-09-06 2012-06-05 Devicescape Software, Inc. Systems and methods for wireless network selection based on attributes stored in a network database
US9531835B2 (en) * 2007-02-13 2016-12-27 Devicescape Software, Inc. System and method for enabling wireless social networking

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8006A (en) * 1851-04-01 Horseshoe-nail machine
WO2008033913A2 (en) * 2006-09-12 2008-03-20 Wayport, Inc. Providing location-based services without access point control
JP2010541429A (ja) * 2007-09-28 2010-12-24 デバイススケープ・ソフトウェア・インコーポレーテッド 無線ネットワーク選択のためのシステム及び方法
JP2011503925A (ja) * 2007-09-28 2011-01-27 デバイススケープ・ソフトウェア・インコーポレーテッド ネットワーク・データベースに記憶された属性に基づく無線ネットワーク選択のためのシステム及び方法
JP2012505487A (ja) * 2008-10-13 2012-03-01 デバイススケープ・ソフトウェア・インコーポレーテッド ネットワークを識別するためのシステム及び方法
JP2012515956A (ja) * 2009-01-16 2012-07-12 デバイススケープ・ソフトウェア・インコーポレーテッド 強化されたスマートクライアントサポートのためのシステム及びその方法
JP2012531111A (ja) * 2009-06-19 2012-12-06 デバイススケープ・ソフトウェア・インコーポレーテッド ネットワークを介して位置を特定するためのシステム及び方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021164152A (ja) * 2020-03-30 2021-10-11 尚承科技股▲フン▼有限公司Eco−Luxury Technology Co., Ltd. 証明書安全発行・管理システム及び方法
JP7191926B2 (ja) 2020-03-30 2022-12-19 尚承科技股▲フン▼有限公司 証明書安全発行・管理システム及び方法
CN111614466A (zh) * 2020-03-31 2020-09-01 尚承科技股份有限公司 凭证安全签发与管理***及方法
CN111614466B (zh) * 2020-03-31 2023-07-14 尚承科技股份有限公司 凭证安全签发与管理***及方法

Also Published As

Publication number Publication date
EP2446347A4 (en) 2013-11-13
EP2446347A1 (en) 2012-05-02
WO2010151692A1 (en) 2010-12-29

Similar Documents

Publication Publication Date Title
US8743778B2 (en) Systems and methods for obtaining network credentials
US8194589B2 (en) Systems and methods for wireless network selection based on attributes stored in a network database
US9913303B2 (en) Systems and methods for network curation
US8554830B2 (en) Systems and methods for wireless network selection
JP5497646B2 (ja) 無線ネットワーク選択のためのシステム及び方法
US9326138B2 (en) Systems and methods for determining location over a network
US8191124B2 (en) Systems and methods for acquiring network credentials
US9801071B2 (en) Systems and methods for enhanced engagement
JP2012531822A (ja) ネットワーク信用証明書を取得するためのシステム及び方法
US8549588B2 (en) Systems and methods for obtaining network access
JP3869392B2 (ja) 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体
JP5276593B2 (ja) ネットワーク信用証明書を獲得するためのシステムおよび方法
EP2443562B1 (en) Systems and methods for determining location over a network

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130624

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130624

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140514

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140527

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20141021