JP4701172B2 - リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法 - Google Patents

リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法 Download PDF

Info

Publication number
JP4701172B2
JP4701172B2 JP2006522080A JP2006522080A JP4701172B2 JP 4701172 B2 JP4701172 B2 JP 4701172B2 JP 2006522080 A JP2006522080 A JP 2006522080A JP 2006522080 A JP2006522080 A JP 2006522080A JP 4701172 B2 JP4701172 B2 JP 4701172B2
Authority
JP
Japan
Prior art keywords
client
authentication
digital signature
network
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006522080A
Other languages
English (en)
Other versions
JP2007500976A (ja
Inventor
ジャン,ジュンビアオ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thomson Licensing SAS
Original Assignee
Thomson Licensing SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Licensing SAS filed Critical Thomson Licensing SAS
Publication of JP2007500976A publication Critical patent/JP2007500976A/ja
Application granted granted Critical
Publication of JP4701172B2 publication Critical patent/JP4701172B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、ウェブブラウザのリダイレクト(redirection)を通じて、無線ローカルエリアネットワーク(“WLAN”)のようなネットワークでセキュリティ及びアクセス制御を改善する装置及び方法を提供する。
本発明の背景は、モバイル通信装置(“クライアント”又は“クライアント装置”ともいう)用のアクセス及び他のネットワーク(有線ローカルエリアネットワーク及びインターネットのようなグローバルネットワーク等)へのアクセスを提供するアクセスポイント(AP)を有するIEEE802.1xアーキテクチャを使用した無線ローカルエリアネットワーク(WLAN)のファミリーである。WLAN技術の進歩は、休憩所やカフェや空港や図書館や同様の公共施設で公衆アクセス可能なホットスポットを結果として生じてきている。現在、公衆WLANは、企業イントラネットのようなプライベートデータネットワーク、又はインターネットやピア・ツー・ピア通信や生の無線TV放送のような公衆データネットワークへのモバイル通信装置(クライアント)のユーザのアクセスを提供している。公衆WLANを実装及び運営する比較的低いコストと、利用可能な高帯域(通常は10メガビット/秒を上回る)とにより、公衆WLANは、モバイル無線通信装置のユーザが外部エンティティとパケットを交換できる理想的なアクセス機構になっている。
モバイルユーザがホットスポットネットワークに移動すると、ホットスポットネットワーク及びユーザのサービスプロバイダネットワークは、ユーザを認証してユーザアクセスを許可するローミングプロトコルを実行することが必要になることがある。より具体的には、ユーザが公衆WLANサービスエリア内でサービスにアクセスしようとすると、WLANは、ネットワークアクセスを許可する前に、まずユーザを認証して承認する。認証の後に、公衆WLANはモバイル通信装置に対してセキュアデータチャネルを開放し、WLANと装置との間のデータ経路のプライバシを保護する。現在、WLAN装置の多数の製造者は、配備した装置にIEEE802.1x標準を採用している。従って、この標準はWLANにより使用される優勢な認証機構になる。残念なことに、IEEE802.1x標準は、その使用モデルとして、プライベートLANアクセスで設計されている。従って、IEEE802.1xは公衆WLAN環境でのセキュリティを改善する特定の機能を提供しない。
図1は、公衆WLAN環境で認証に一般的に関与する3つのエンティティ(ユーザ端末又はモバイル端末/モバイル通信装置/クライアント装置(MT)140、少なくとも1つのアクセスポイント(AP)を有するWLAN124、及び特定のサービスプロバイダ又は仮想オペレータに関連し得る認証サーバ(AS)150)の間の関係を示している。信頼関係は以下のようになる。MTはASとのアカウントを有しているため、それらは相互に信頼関係142を共有する。WLANオペレータ及びASを所有するオペレータ(以下“仮想オペレータ”という)はビジネス関係を有しているため、AP又はWLAN及びASは信頼関係126を有する。認証手順の目的は、2つの既存の信頼関係を利用することにより、MTとAPとの間の信頼関係を確立することである。
ウェブブラウザに基づく認証方法では、MTは、Hyper Text Transfer Protocol Secured Sockets(HTTPS)プロトコルを通じてウェブブラウザを使用してAPと直接認証を行い、AP(及びMTとASとの間の経路上の何らかのもの)が秘密のユーザ情報を侵害又は盗用することができないことを確保する。チャネルがセキュアである間に、ASにより明示的に通知されない限り、APは認証の結果を決定することができない。しかし、ASがMTに関係している唯一の情報は、HTTPSセッションの相手方のそのインターネットプロトコル又はIPアドレスである。ファイアウォール、ネットワークアドレス変換(NAT:Network Address Translation)サーバ又はウェブプロキシがASとMTとの間に電子的にある場合(仮想オペレータの構成で通常の場合)、ASがセッションを開始し、認証の認証結果についてAPに通知し、MTを特定することは困難であり、又は不可能ですらある。
ほとんどの既存のWLANホットスポットの無線プロバイダは、ユーザ認証とアクセス制御とについてウェブブラウザに基づく対策を使用している。それはユーザに便利であり、ユーザ装置にソフトウェアがダウンロードされる必要がない。このような対策では、ユーザはサーバによりHTTPSを通じてセキュアに認証され、次にそのサーバは、ユーザへのアクセスを許可するように無線APに通知する。このような認証サーバASは、広義には仮想オペレータと呼ばれるWLANオペレータ又は何らかの第三者プロバイダ(独立サービスプロバイダ(ISP:Independent Service Provider)、プリペイドカード・プロバイダ又はセルラ・オペレータ等)により所有されることがある。
従来技術では、認証はユーザと認証サーバとの間の通信を通じて実現される。従って、APはユーザと認証サーバとの間の通信を変換しない。従って、APが承認情報を通知されるように、APと認証サーバASとの間で承認情報と呼ばれる別の通信が確立されなければならない。
APでのアクセス制御は、モバイル通信装置/クライアント装置のアドレスに基づき、アドレスは物理アドレス(PHY)、MACアドレス又はIPアドレスでもよいため、認証サーバASは、認証結果をAPに返信するときに、識別子としてモバイル端末MTのIPアドレス(HTTPSトンネルのソースアドレス)を使用することができる。ファイアウォールFW及びローカルサーバLSで図示するように、APと認証サーバASとの間にファイアウォールやNATが存在しない場合には、この手法は成功する。一般的に、仮想オペレータが存在する場合(例えばローミングが関与する場合)、認証サーバは無線アクセスネットワークドメインの外部にあり、従ってファイアウォールFWの外部にあり、しばしば、認証に使用されるHTTPS接続は、図2に示すウェブプロキシを実際に通過する。認証サーバASが受信するソースアドレスはウェブプロキシのアドレスであり、そのウェブプロキシのアドレスはモバイル端末MTのユーザ装置を識別するために使用することができず、そのため、セキュアな接続を保証しているときにAPにより使用不可能になる。
2003年4月28日に出願された米国特許出願第10/424,442号、PU030050、Junbiao Zhang、Saurabh Mathur、Kumar Ramaswamy、“TECHNIQUE FOR SECURE WIRELESS LAN ACCESS”は、ホットスポットにおいてウェブブラウザに基づくセキュアWLANアクセスの対策の一般的な技術について記載している。
米国仮特許出願第60/453,329号、PU030071、Junbiao Zhang、“An identity mapping mechanism in WLAN access control with public authentication servers”は、本発明と同じ課題を扱い、ホットスポットネットワークにより開始されたサービスプライベートネットワークとホットスポットネットワークとの間の別のセキュア通信セッションを使用する。このように、2つの別のセキュアセッションが維持される必要がない。
必要なものは、ホットスポットネットワークとサービスプロバイダネットワークとの間に明確な別の通信セッションを必要とすることなく、ウェブブラウザの相互作用を利用して、無線ローカルエリアネットワーク(“WLAN”)のようなネットワークでのセキュリティ及びアクセス制御を改善する機構である。
ネットワークへのアクセスを制御する方法は、モバイル端末と、モバイル端末に対するネットワーク通信を中継するアクセスポイントと、モバイル端末からの要求に応じて認証処理を実行する認証サーバとを有する。その方法は、アクセスポイントでモバイル端末からネットワークにアクセスする要求を受信し、モバイル端末の識別子と固有のデータとを関連付け、関連付けのマッピングを格納することを有する。固有のデータは、認証サーバを介してモバイル端末を認証するときに使用するため、モバイル端末に送信される。認証サーバでは、モバイル端末を認証するステップは、固有のデータを使用して実行され、認証時に、リダイレクトヘッダを使用して、固有のデータに対応するデジタル署名認証メッセージ及び認証パラメータを含む成功コードをモバイル端末にリダイレクトする。アクセスポイントは、モバイル端末からデジタル署名済の取り出されたリダイレクトされたURLと認証パラメータとを受信し、ネットワークへのアクセスを決定するために、認証パラメータをマッピングされた関連付けデータと相互に関連付ける。
他の態様によれば、ネットワークへのアクセスを制御する方法は、モバイル端末と、クライアントに対するネットワーク通信を中継するローカルサーバに結合されたアクセスポイントと、クライアントからの要求に応じて認証処理を実行する認証サーバとを有する。クライアントからネットワークにアクセスするリダイレクトされた要求に応じて、ローカルサーバは、モバイル端末の識別子と固有のデータとを関連付け、関連付けのマッピングを格納し、認証サーバを介してクライアントを認証するときに使用するために、固有のデータをクライアントに送信する。固有のデータを使用してクライアントを認証するときに、認証サーバは、固有のデータに対応するデジタル署名認証メッセージ及び認証パラメータを含み、クライアントへのアクセス用のリダイレクトヘッダを提供するように動作可能であり、APは、クライアントからデジタル署名済の取り出されたリダイレクトされたURLと認証パラメータとを受信し、相互の関連付けの結果に基づいてネットワークへのアクセスを決定するために、認証パラメータをマッピングされた関連付けデータと相互に関連付ける。
添付の図面と共に読み取ると、以下の詳細な説明から本発明が良く理解される。図面の様々な機能は網羅的に指定されていない。それに対して、明瞭性のため、様々な機能は任意に拡大又は縮小され得る。
説明する図面において、回路並びに関連するブロック及び矢印は、本発明による方法の機能を表し、電気信号を運ぶ電子回路及び関連する有線又はデータバスとして実装されてもよい。代替として、特に本発明のこの方法及び装置がデジタル処理として実装される場合には、1つ以上の関連する矢印はソフトウェアルーチンの間の通信(例えばデータフロー)を表してもよい。
図2によれば、MT140で示す1つ以上のモバイル端末は、ネットワーク及び関連の周辺装置(ネットワークに結合されたデータベース等)へのアクセスを取得するために、WLANアクセスポイントAP及び関連のコンピュータ120(例えばローカルサーバ)を通じて通信する。少なくとも1つのアクセスポイントが存在する。AP及びローカルサーバは同じ位置にあってもよく、及び/又は単一のユニットがAPとローカルサーバとの双方の機能を実行してもよい。MTは、ネットワークへのアクセス及び認証をセキュアにするために、認証サーバ150と通信する。本発明を具現した原理は、WLANのような無線ネットワークに関してここで説明するが、それにもかかわらず、有線であれ無線であれ、如何なるアクセスネットワークに対しても用途を見出すことがわかる。
更に図2に示すように、IEEE802.1xアーキテクチャは、ネットワークスタックの高位レイヤにトランスペアレントな局のモビリティを提供するように相互作用する複数の構成要素及びサービスを含む。IEEE802.1xネットワークは、アクセスポイント130のようなAP局と、無線媒体に接続してIEEE802.1xプロトコル((MAC(媒体アクセス制御)及び対応するPHY(物理レイヤ)(図示せず))の機能を含む構成要素としての1つ以上のモバイル端末140と、無線媒体への接続127を定める。一般的に、IEEE802.1x機能は、無線モデム又はネットワークアクセス若しくはインタフェースカードのハードウェア及びソフトウェアに実装されている。本発明は、ダウンリンクトラヒック(すなわち、認証サーバからラップトップのようなモバイル端末へのトラヒック)についてIEEE802.1xのWLANのMACレイヤと互換性のあるアクセスポイント130が、1つ以上の無線モバイル通信装置/クライアント装置140と、ローカルサーバ120と、認証サーバ150を有する仮想オペレータとの認証に参加し得るように、通信ストリームにおいて識別手段を実装する方法を提示する。
次に図3を参照すると、WLAN124においてモバイル端末140のセキュリティを改善する本発明による方法は、メッセージ220を介してローカルサーバ120にHTTPブラウザ要求205をリダイレクトすることにより、一般的に実現される。本発明の方法は、HTTP要求205の内部のモバイル端末へのユーザ入力要求にセッションID215及び無作為番号を埋め込み、モバイル端末を認証し、WLANからデータを取り出すためにリダイレクト要求にセッションID及び無作為番号と共にデジタル署名情報を含め、それによって、APは、格納されたマッピングデータに基づいてローカルで生成されたデジタル署名とMTから受信したデジタル署名情報とのマッチングを実行し、WLANへのアクセスを決定することを有する。
より具体的には、本発明の方法は、Uniform Resource Locator(URL)のようなネットワークアドレス位置にセッションID215やモバイル端末の識別子に関連する無作為番号を埋め込むことにより、WLAN124、アクセスポイント130を通じて、モバイル端末140からのアクセス要求を処理する(モバイル端末140からのウェブ要求205)。
クライアント/MTのアドレスは{クライアント、AP}から取得され138、ローカルサーバは固有のデータ215を生成する。その固有のデータ215は、セッションIDと無作為番号とを有してもよい。固有のデータはローカルサーバによりAPに転送され、そこで固有のデータとMT/クライアント識別子との間で関連付けのマッピングが作られる。MT/クライアント識別子は、クライアント/MTアドレスであり、MT/クライアントの物理アドレス(PHY)、MACアドレス又はIPアドレスでもよい。関連付けのマッピングはAPに格納される。
ローカルサーバはウェブページ235を生成し、埋め込まれた情報とMT/クライアントがASを選択する要求とを含み、生成されたウェブページをMT/クライアントに送信/転送する。埋め込まれた情報は、固有のデータを有してもよい。
ウェブページの受信時に、MT/クライアントは、セッションIDを含む認証ユーザ入力メッセージ240をASに送信する。ASは、MT/クライアントから認証情報を要求する認証入力ページ245をMT/クライアントに送信することにより、応答する。MT/クライアントは、その証明書をAS250に供給することにより、認証入力要求に応答する。ASがMT/クライアントを認証すると、リダイレクトヘッダを有する認証メッセージ255はMT/クライアントに送信される。認証メッセージはまた、埋め込まれたデジタル署名と、認証パラメータと、少なくとも一部の固有のデータを有してもよい。
MT/クライアントは、埋め込まれたデジタル署名と、認証パラメータと、セッションIDとを含むリダイレクトされたURL265を取り出し、APに転送することにより、認証メッセージに応答する。APは、取り出されたリダイレクトURLからの埋め込まれた情報と関連するマッピングとを使用して、ローカルデジタル署名270を作り、ローカルで生成されたデジタル署名と、ASにより生成されたデジタル署名との比較を実行する。2つのデジタル署名が合致した場合には、ネットワークのアクセスが許可される275。2つのデジタル署名が合致しない場合には、ネットワークのアクセスが拒否される。
本発明の態様によれば、(図1及び2と共に)図3を参照すると、WLAN環境124(例えば公衆ホットスポット)においてモバイル端末140のセキュリティを改善するための本発明による方法は、モバイルユーザのブラウザ要求205をWLAN124のローカルウェブサーバ120にリダイレクトする210。ローカルサーバ120は、リダイレクトされたブラウザ要求を受信し220、モバイル端末140に関連するMACアドレス138“a”のような識別子を取得し、無作為番号“r”と共に固有のセッションID(SID)215を生成する。ここで使用される無作為番号という用語は、如何なる乱数、擬似乱数、又は少なくとも最低限度のランダム性を提供するように生成されたその他の数を含む点に留意すべきである。そのような数を生成する様々な機構が存在することが知られており、簡略にするためにその詳細はここでは省略する。
WLAN124は、モバイル端末140のセッションID215と、MACアドレス138“a”と、無作為番号“r”との間のマッピングを維持し、セッションID215と、MACアドレス138“a”と、無作為番号“r”とを関連付けるマッピングMをメモリ(例えば、参照テーブル、キャッシュ、RAM、フラットファイル等)に格納する。アドレスは、クライアント用の識別子として機能し、物理アドレス(PHY)、MACアドレス又はIPアドレスでもよい。1つの構成では、ローカルサーバ120はウェブページ235を生成し、仮想オペレータを選択するようにモバイル端末140のユーザに要求し、送信用のウェブページ235にセッションID215と無作為番号“r”とを埋め込む。これは、例えば提示ボタンに関連するURLアドレスにセッションIDと無作為番号“r”とを埋め込み、認証サーバ150とのHTTPSセッションを開始することにより、実現されてもよい。
ウェブページ235がMTに送信された後に、ユーザは、認証サーバの適切な選択を行い、認証要求240は、要求に埋め込まれたセッションID(SID)215及び無作為番号“r”を含むユーザ入力を有して、HTTPSを通じて選択された認証サーバ150に送信される。より具体的には、モバイル端末は、提示ボタンに関連するURLを埋め込み、認証サーバとHTTPSセッションを開始することにより、応答する。それによって、MTは要求に埋め込まれたセッションID215を有する認証要求240を、HTTPSを通じて認証サーバ150に送信する。
それに応じて、認証サーバ150は、要求を処理し、認証情報を要求する認証入力ページ245をMTに通信する。ユーザは特定の認証パラメータ又は証明書250(例えばユーザ名及びパスワード)を入力し、HTTPSを通じて認証サーバ150にそれを提示する。
次に、認証サーバはMTから認証証明書250を受信し、MTとの信頼関係と受信した情報とに基づいてユーザを認証する。認証サーバは、MTアクセスに関する関連情報(例えば認証情報)を含む成功コード255を生成する。この情報は、アクセスネットワーク又はWLANのパラメータリスト“p”として提供される。無作為番号“r”及びセッションid215と共に、パラメータリスト“p”はまとめられ(例えば、連結される、並列される、又はその他に結合される)、ASによりデジタル署名される。このようなデジタル署名は、例えば、認証サーバの秘密鍵を使用することにより、又は認証サーバとWLANとの間の共有鍵若しくはハッシュを用いて、実現されてもよい。ASからの結果のデジタル署名は“g”として示されている。
ASは、HTTPリダイレクトヘッダ260をMTに返信し、ユーザのブラウザをAP WLANのURLにリダイレクトする。パラメータリスト“p”、セッションid SID及びデジタル署名“g”は、ASからのURLに埋め込まれ、MTに送信される。1つの構成では、リダイレクトヘッダは実際のHTTPヘッダでもよい。他の構成では、リダイレクトヘッダは、返信HTMLページの“HTTP−EQUIV”コマンドでもよい。
HTTPリダイレクトに応じて、ユーザのブラウザMTは、MTがパラメータリスト“p”とSID215とデジタル署名“g”とをWLAN124に送信することで、リダイレクトされたURL265を取り出そうとする。MTからの受信情報(リダイレクトURL)265に応じて、WLANは、格納されているマッピングデータからのSIDを使用して、格納されているマッピングデータから無作為番号“r”と識別子“a”とを取り出す。より具体的には、ローカルサーバ120は、MTからのリダイレクトされたURL要求で送信されたSIDを受信し、マッピングされた格納データMと共に受信したSIDを使用する。マッピングされた格納データMはまた、対応する無作為番号“r”とアドレス又はモバイル通信装置の識別子“a”とを決定するためのSIDを含む。WLANは、その自分のデジタル署名“g’”を生成するために(270)、デジタル署名“g”を生成するときにASにより使用されたものと同じ方法に従って、格納されているマッピングデータから受信した無作為番号“r”とSIDに、MTからの受信したパラメータリスト“p”をまとめる。次に、WLANはデジタル署名“g”及び“g’”を比較する。“g”と“g’”とが同じであると決定された場合にのみ、パラメータリスト“p”は受け入れられ、WLANへのアクセスが可能になる(275)。MTアドレス識別子“a”に関して、トラヒックのフィルタリング規則を変更するような様々な動作が考えられ得る。前述のアクセス制御機構により、2つ(以上)の別々のセキュア通信セッションを維持する必要なく、モバイル端末の認証及びネットワークアクセスが可能になる。
図示のこの発明の形式は好ましい実施例に過ぎないことがわかる。例えば、前述の実施例はWLANアクセスシステムを示すが、前述のシステム及び方法は、有線であれ無線であれ、如何なるアクセスネットワークにも適用可能である。更に、本発明は、関連するプロセッサの動作を抑制するプログラム記憶媒体に存在してもよく、通信ネットワーク内のメッセージでのプロセッサの協調動作により行われる方法のステップに存在してもよい。これらの処理は、多かれ少なかれ能動的又は受動的な要素を有する様々な形式で存在してもよい。例えば、ソースコード若しくはオブジェクトコード、実行可能コード又は他のフォーマットのプログラム命令からなるソフトウェアプログラムとして存在する。前述の如何なるものも、圧縮形式又は非圧縮形式で記憶装置と信号とを含むコンピュータ読取可能媒体に具現されてもよい。例示的なコンピュータ読取可能媒体は、従来のコンピュータシステムのRAM(ランダム・アクセス・メモリ)、ROM(読み取り専用メモリ)、EPROM(消去可能プログラマブルROM)、EEPROM(電子消去可能プログラマブルROM)、フラッシュメモリ、及び磁気又は光ディスク又はテープを含む。例示的なコンピュータ読取可能信号は、インターネット又は他のネットワークを通じてダウンロードされた信号を含み、キャリアを使用して変調されていようといまいと、コンピュータプログラムをホスト又は作動するコンピュータシステムがアクセスするように構成され得る信号である。前述の例には、CD−ROMでのプログラムの分配又はインターネットダウンロードを介したプログラムの分配を含む。
一般的に同じことがコンピュータネットワークにも当てはまる。デジタルプロセッサにより実装される処理及び装置の形式で、関連するプログラム媒体及びコンピュータプログラムコードは、プロセッサ及び/又はプロセッサと協働する他の周辺要素の動作を抑制するように、プロセッサによりロードされて実行され、又はその他にプログラムされたプロセッサにより参照されてもよい。このようなプログラムにより、プロセッサ又はコンピュータは、本発明の方法及びその実施例を実行する装置になる。汎用プロセッサに実装されると、コンピュータプログラムコードのセグメントは、特定の論理回路を作るようにプロセッサを構成する。プログラム伝搬媒体の性質上のこのような変形と、計算及び制御並びにスイッチ要素が動作可能に結合され得る異なる構成でのこのような変形とは、全て本発明の範囲内にある。
機能面及び部分的構成面において、その他の様々な変更も可能である。等価な手段が図示及び前述のものと交換されてもよい。特許請求の範囲に記載した本発明の要旨及び範囲を逸脱することなく、特定の特徴が他のものから独立して使用されてもよい。
モバイル無線通信装置を認証する本発明の原理の方法を実行する通信システムのブロック図 認証サーバがファイアウォールの背後にある場合の通信システムのブロック図 本発明の動作を示したメッセージ交換図

Claims (31)

  1. ネットワークへのアクセスを制御する方法であって、
    前記ネットワークのアクセスポイント(AP)により、前記ネットワークにアクセスする要求を受信し、前記要求はクライアントにより送信され、
    前記APにより、前記アクセス要求をローカルサーバにリダイレクトし、
    前記クライアントの識別子に固有のデータを関連付け、前記関連付けのマッピングを前記APに格納し、
    前記ローカルサーバにより、前記クライアントが認証サーバ(AS)を選択することを要求するウェブページを生成し、前記固有のデータを含め、前記生成されたウェブページを前記クライアントに転送し、
    前記選択された認証サーバに認証要求を送信し、
    前記選択された認証サーバからの前記認証要求への応答を受信することを有する方法。
  2. 請求項1に記載の方法であって、
    前記ネットワークは無線ローカルエリアネットワークである方法。
  3. 請求項1に記載の方法であって、
    前記クライアントにより、前記ローカルサーバから前記クライアントの前記識別子を前記APに転送し、
    前記ローカルサーバにより、前記クライアントの前記固有のデータを生成することを更に有する方法。
  4. 請求項1に記載の方法であって、
    前記クライアントにより、第1のデジタル署名と認証パラメータと前記固有のデータとを含む埋め込まれたデータを有するリダイレクトされたURLを取り出し、前記リダイレクトされたURLを前記APに転送し、
    前記APにより、前記認証パラメータと前記固有のデータと前記識別子とを使用して、第2のデジタル署名を生成し、
    前記APにより、前記第1のデジタル署名と前記第2のデジタル署名とを比較し、
    前記APにより、前記第1のデジタル署名と前記第2のデジタル署名とが合致するか否かを決定し、
    前記APにより、前記合致の決定に基づいて、ネットワークアクセスの許可とネットワークアクセスの拒否とのうち1つを実行することを更に有する方法。
  5. 請求項1に記載の方法であって、
    前記固有のデータは、セッションIDと無作為番号とを有する方法。
  6. 請求項1に記載の方法であって、
    前記識別子は、前記クライアントのアドレスである方法。
  7. 請求項1に記載の方法であって、
    認証する動作は、
    前記ASにより、前記認証要求を処理し、前記認証要求は、前記認証要求に埋め込まれたセッションIDを有し、
    前記ASにより前記クライアントに認証入力ページを転送することにより、前記認証要求に応答し、前記認証入力ページは、認証情報の要求を有し、
    前記ASにより、前記クライアントから認証証明書を受信することを更に有し、
    前記クライアントに転送された前記認証要求に対する応答は、前記クライアントによる前記ネットワークのアクセスに関するリダイレクトヘッダと成功コードと関連情報とを有する方法。
  8. 請求項7に記載の方法であって、
    転送する動作は、
    前記ASにより、前記成功コードを生成することを更に有し、
    前記関連情報は、第1のデジタル署名と認証パラメータとを有する方法。
  9. 請求項5に記載の方法であって、
    前記無作為番号は、乱数と擬似乱数とのうち1つである方法。
  10. 請求項1に記載の方法であって、
    前記識別子は、前記クライアントの物理アドレスと前記クライアントのMACアドレスと前記クライアントのIPアドレスとのうち1つである方法。
  11. 請求項1に記載の方法であって、
    前記AP及び前記ローカルサーバは同じ位置にある方法。
  12. 請求項に記載の方法であって、
    前記第1及び前記第2のデジタル署名は、前記ASの秘密鍵と、前記ASと前記ローカルサーバとの間の共有鍵とのうち1つを使用して生成される方法。
  13. 請求項4に記載の方法であって、
    前記第2のデジタル署名は、前記APでローカルに生成される方法。
  14. ネットワークへのアクセスを制御するシステムであって、
    クライアントと、
    前記クライアントに対するネットワーク通信を中継するローカルサーバ(LS)に結合されたアクセスポイント(AP)と、
    前記クライアントからの要求に応じて認証処理を実行する認証サーバと
    を有し、
    前記APは、前記クライアントからネットワークにアクセスするリダイレクトされた要求に応じて、前記クライアントの識別子に固有のデータを関連付け、前記関連付けのマッピングを格納し、
    前記LSは、前記クライアントに前記固有のデータを送信し、
    前記認証サーバは、前記固有のデータを使用して前記クライアントを認証するときに、前記固有のデータに対応するデジタル署名認証メッセージ及び認証パラメータを含み、前記クライアントへのアクセス用のリダイレクトヘッダを提供するように動作可能であり、前記APは、前記クライアントから前記デジタル署名済の取り出されたリダイレクトされたURLと認証パラメータとを受信し、前記APは、相互の関連付けの結果に基づいて前記ネットワークへのアクセスを決定するために、前記マッピングされた関連付けデータと前記認証パラメータとを相互に関連付けるシステム。
  15. 請求項14に記載のシステムであって、
    前記ネットワークは、前記アクセスポイントとローカルサーバとを有する無線ローカルエリアネットワークであるシステム。
  16. 請求項14に記載のシステムであって、
    前記ローカルサーバは、前記クライアントが認証サーバを選択することを要求するウェブページを生成し、前記クライアントへの送信のために、前記ウェブページに前記固有のデータを埋め込むシステム。
  17. 請求項14に記載のシステムであって、
    前記クライアントの前記識別子は、物理アドレスとMACアドレスとIPアドレスとのうち1つであり、
    前記固有のデータは、セッションIDと無作為番号とを有するシステム。
  18. 請求項17に記載のシステムであって、
    前記セッションID及び無作為番号は、前記ローカルサーバにより生成されるシステム。
  19. 請求項17に記載のシステムであって、
    前記認証サーバは、前記クライアントからユーザ証明情報を受信し、
    前記クライアントへの前記リダイレクトヘッダを介して、前記クライアントへのHTTPSを通じて前記固有のデータを使用して、認証パラメータを含むデジタル署名認証メッセージを提供するシステム。
  20. 請求項19に記載のシステムであって、
    前記APは、前記クライアントからの前記認証パラメータ及び前記固有のデータの少なくとも一部を含み、前記クライアントからリダイレクトされた前記デジタル署名認証メッセージを受信したことに応じて、前記認証パラメータと共に前記固有のデータの受信部分と格納されたマッピングデータとを使用して、ローカルデジタル署名を生成し、前記デジタル署名認証メッセージと前記ローカルデジタル署名とを比較し、前記クライアントによるネットワークアクセスを決定する方法。
  21. 請求項14に記載のシステムであって、
    前記リダイレクトヘッダは、前記クライアントのブラウザを前記ネットワークのURLにリダイレクトし、前記デジタル署名認証メッセージと前記認証パラメータと前記固有のデータの一部とを前記URLに埋め込む手段を更に有するシステム。
  22. 請求項15に記載のシステムであって、
    前記AP及び前記LSは同じ位置にあるシステム。
  23. 請求項1に記載の方法であって、
    前記認証サーバは、前記固有のデータを使用して前記クライアントを認証し、リダイレクトヘッダを使用して前記クライアントに前記応答を転送し、前記固有のデータに対応するデジタル署名認証メッセージ及び認証パラメータを含め、
    前記アクセスポイントは、前記リダイレクトヘッダに従って前記クライアントから前記デジタル署名認証メッセージ及び認証パラメータを受信し、前記ネットワークへのアクセスを決定するために、前記マッピングされた関連付けデータと前記認証パラメータとを相互に関連付けることを更に有する方法。
  24. 請求項1に記載の方法であって、
    前記固有のデータは、セッションID及び無作為番号を有し、
    前記APにより、前記クライアントからリダイレクトされた要求を受信し、デジタル署名認証メッセージと認証パラメータリストと前記セッションIDとを含め、前記デジタル署名認証メッセージは、前記クライアントに関連する前記選択された認証サーバにより、前記無作為番号と前記セッションIDと前記認証パラメータリストとを使用して生成され、
    前記クライアントによる前記ネットワークへのアクセスを制御するために、格納されているマッピングデータを使用して、リダイレクトされたアクセス要求と受信したデジタル署名認証メッセージとを相互に関連付けることを更に有する方法。
  25. 請求項24に記載の方法であって、
    前記AP及び前記LSは同じ位置にある方法。
  26. ネットワークへのアクセスを制御する方法であって、
    ネットワークアクセスの要求を受信し、
    メッセージを介して前記要求をリダイレクトし、
    クライアント識別子と固有のデータとを受信し、
    前記固有のデータと前記クライアント識別子とを関連付け、
    埋め込まれた情報に含まれるリダイレクトされたユニバーサル・リソース・ロケータを受信し、
    前記埋め込まれた情報と、前記固有のデータと前記クライアント識別子との間の前記関連付けとを使用して、ローカルデジタル署名を生成し、
    前記埋め込まれた情報で受信したデジタル署名と前記ローカルデジタル署名とを比較し、
    前記ローカルデジタル署名が前記埋め込まれた情報で受信した前記デジタル署名と合致する場合に、ネットワークアクセスを許可し、
    前記ローカルデジタル署名が前記埋め込まれた情報で受信した前記デジタル署名と合致しない場合に、ネットワークアクセスを拒否することを有する方法。
  27. 請求項26に記載の方法であって、
    前記固有のデータは、セッション識別子と乱数とを有する方法。
  28. 請求項26に記載の方法であって、
    前記埋め込まれた情報は、セッション識別子と認証パラメータとを更に有する方法。
  29. ネットワークへのアクセスを制御するシステムであって、
    ネットワークアクセスの要求を受信する手段と、
    メッセージを介して前記要求をリダイレクトする手段と、
    クライアント識別子と固有のデータとを受信する手段と、
    前記固有のデータと前記クライアント識別子とを関連付ける手段と、
    埋め込まれた情報に含まれるリダイレクトされたユニバーサル・リソース・ロケータを受信する手段と、
    前記埋め込まれた情報と、前記固有のデータと前記クライアント識別子との間の前記関連付けとを使用して、ローカルデジタル署名を生成する手段と、
    前記埋め込まれた情報で受信したデジタル署名と前記ローカルデジタル署名とを比較する手段と、
    前記ローカルデジタル署名が前記埋め込まれた情報で受信した前記デジタル署名と合致する場合に、ネットワークアクセスを許可する手段と、
    前記ローカルデジタル署名が前記埋め込まれた情報で受信した前記デジタル署名と合致しない場合に、ネットワークアクセスを拒否する手段と
    を有するシステム。
  30. 請求項29に記載のシステムであって、
    前記固有のデータは、セッション識別子と乱数とを有するシステム。
  31. 請求項29に記載のシステムであって、
    前記埋め込まれた情報は、セッション識別子と認証パラメータとを更に有するシステム。
JP2006522080A 2003-07-29 2004-07-29 リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法 Expired - Fee Related JP4701172B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US49068703P 2003-07-29 2003-07-29
US60/490,687 2003-07-29
PCT/US2004/024559 WO2005013582A2 (en) 2003-07-29 2004-07-29 Controlling access to a network using redirection

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2011001262A Division JP2011135583A (ja) 2003-07-29 2011-01-06 リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法

Publications (2)

Publication Number Publication Date
JP2007500976A JP2007500976A (ja) 2007-01-18
JP4701172B2 true JP4701172B2 (ja) 2011-06-15

Family

ID=34115425

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2006522080A Expired - Fee Related JP4701172B2 (ja) 2003-07-29 2004-07-29 リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法
JP2011001262A Pending JP2011135583A (ja) 2003-07-29 2011-01-06 リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2011001262A Pending JP2011135583A (ja) 2003-07-29 2011-01-06 リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法

Country Status (7)

Country Link
US (1) US20070113269A1 (ja)
EP (1) EP1649669A2 (ja)
JP (2) JP4701172B2 (ja)
KR (1) KR20060056956A (ja)
CN (1) CN1830190A (ja)
BR (1) BRPI0412724A (ja)
WO (1) WO2005013582A2 (ja)

Families Citing this family (96)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8910241B2 (en) 2002-04-25 2014-12-09 Citrix Systems, Inc. Computer security system
AU2003276496A1 (en) * 2003-10-27 2005-05-11 Nokia Corporation Method and devices for relayed peer-to-peer communications between terminals in mobile networks
US7886032B1 (en) * 2003-12-23 2011-02-08 Google Inc. Content retrieval from sites that use session identifiers
JP2007523401A (ja) * 2003-12-31 2007-08-16 アプライド アイデンティティー コンピュータトランザクションの発信者が本人であることを立証する方法と装置
US8085741B2 (en) * 2004-03-10 2011-12-27 Core Wireless Licensing S.A.R.L. System and method for pushing content to a terminal utilizing a network-initiated data service technique
US7502835B1 (en) * 2004-11-17 2009-03-10 Juniper Networks, Inc. Virtual folders for tracking HTTP sessions
KR100875919B1 (ko) 2005-12-07 2008-12-26 한국전자통신연구원 서명된 콜백 유알엘 메시지를 이용한 개인정보 공유 서비스제공 장치 및 방법
US20070271453A1 (en) * 2006-05-19 2007-11-22 Nikia Corporation Identity based flow control of IP traffic
JP4829697B2 (ja) * 2006-06-20 2011-12-07 キヤノン株式会社 情報処理装置、情報処理方法、コンピュータプログラム及び記録媒体
US8554830B2 (en) * 2006-09-06 2013-10-08 Devicescape Software, Inc. Systems and methods for wireless network selection
US8549588B2 (en) 2006-09-06 2013-10-01 Devicescape Software, Inc. Systems and methods for obtaining network access
US8743778B2 (en) 2006-09-06 2014-06-03 Devicescape Software, Inc. Systems and methods for obtaining network credentials
US9326138B2 (en) 2006-09-06 2016-04-26 Devicescape Software, Inc. Systems and methods for determining location over a network
CN100446509C (zh) * 2006-11-08 2008-12-24 杭州华三通信技术有限公司 实现重定向报文正确转发的方法及第一部件、第二部件
US8418235B2 (en) * 2006-11-15 2013-04-09 Research In Motion Limited Client credential based secure session authentication method and apparatus
US7886339B2 (en) * 2007-01-20 2011-02-08 International Business Machines Corporation Radius security origin check
US9003488B2 (en) * 2007-06-06 2015-04-07 Datavalet Technologies System and method for remote device recognition at public hotspots
US20140355592A1 (en) 2012-11-01 2014-12-04 Datavalet Technologies System and method for wireless device detection, recognition and visit profiling
WO2008148191A2 (en) * 2007-06-06 2008-12-11 Boldstreet Inc. Remote service access system and method
WO2009005698A1 (en) * 2007-06-28 2009-01-08 Applied Identity Computer security system
US20090046708A1 (en) * 2007-08-13 2009-02-19 Jason David Koziol Methods And Systems For Transmitting A Data Attribute From An Authenticated System
CA2697936A1 (en) * 2007-09-12 2009-03-19 Citrix Systems, Inc. Methods and systems for generating desktop environments providing integrated access to remote and local resources
US8516539B2 (en) * 2007-11-09 2013-08-20 Citrix Systems, Inc System and method for inferring access policies from access event records
US8990910B2 (en) * 2007-11-13 2015-03-24 Citrix Systems, Inc. System and method using globally unique identities
ITTO20070853A1 (it) * 2007-11-26 2009-05-27 Csp Innovazione Nelle Ict Scar Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali
KR100824743B1 (ko) 2007-12-12 2008-04-23 조인숙 휴대폰을 이용한 사용자 인증 방법 및 시스템
US20090187978A1 (en) * 2008-01-18 2009-07-23 Yahoo! Inc. Security and authentications in peer-to-peer networks
US9240945B2 (en) * 2008-03-19 2016-01-19 Citrix Systems, Inc. Access, priority and bandwidth management based on application identity
US8943575B2 (en) 2008-04-30 2015-01-27 Citrix Systems, Inc. Method and system for policy simulation
US20100263022A1 (en) * 2008-10-13 2010-10-14 Devicescape Software, Inc. Systems and Methods for Enhanced Smartclient Support
EP2340477B1 (en) * 2008-10-13 2014-08-06 Devicescape Software, INC. Systems and methods for identifying a network
CN101729500B (zh) * 2008-10-31 2013-03-27 华为技术有限公司 一种ip会话标识方法、装置和***
US8990573B2 (en) * 2008-11-10 2015-03-24 Citrix Systems, Inc. System and method for using variable security tag location in network communications
US8943552B2 (en) * 2009-04-24 2015-01-27 Blackberry Limited Methods and apparatus to discover authentication information in a wireless networking environment
US9066227B2 (en) 2009-07-17 2015-06-23 Datavalet Technologies Hotspot network access system and method
US20110030039A1 (en) * 2009-07-31 2011-02-03 Eric Bilange Device, method and apparatus for authentication on untrusted networks via trusted networks
JP5319456B2 (ja) * 2009-08-20 2013-10-16 キヤノン株式会社 通信システム、その制御方法、基地局装置及びプログラム
JP5407880B2 (ja) * 2010-01-13 2014-02-05 株式会社リコー 光走査装置及び画像形成装置
EP2405678A1 (en) * 2010-03-30 2012-01-11 British Telecommunications public limited company System and method for roaming WLAN authentication
CN101888623B (zh) * 2010-05-14 2012-08-22 东南大学 一种基于安全服务的移动网络安全防护方法
US9444620B1 (en) * 2010-06-24 2016-09-13 F5 Networks, Inc. Methods for binding a session identifier to machine-specific identifiers and systems thereof
KR101260648B1 (ko) 2010-11-29 2013-05-03 주식회사 케이티 무선인터넷 서비스의 온라인 개통 방법 및 그 시스템
CN102547701A (zh) * 2010-12-24 2012-07-04 ***通信集团公司 认证方法、无线接入点和认证服务器
EP2676399A4 (en) 2011-02-14 2016-02-17 Devicescape Software Inc SYSTEMS AND METHODS FOR NETWORK CARE
US8611242B2 (en) 2011-03-14 2013-12-17 Blackberry Limited Method and system for monitoring use of a mobile hotspot function in a wireless device
US9031498B1 (en) 2011-04-26 2015-05-12 Sprint Communications Company L.P. Automotive multi-generation connectivity
US8484707B1 (en) * 2011-06-09 2013-07-09 Spring Communications Company L.P. Secure changing auto-generated keys for wireless access
JP5360140B2 (ja) 2011-06-17 2013-12-04 コニカミノルタ株式会社 情報閲覧装置及び制御プログラム並びに制御方法
US8676995B1 (en) 2011-07-07 2014-03-18 Cisco Technology, Inc. System and method for enabling pairing of a companion device with a mate device for performing a companion service
US9439240B1 (en) 2011-08-26 2016-09-06 Sprint Communications Company L.P. Mobile communication system identity pairing
US8548532B1 (en) 2011-09-27 2013-10-01 Sprint Communications Company L.P. Head unit to handset interface and integration
US8503981B1 (en) 2011-11-04 2013-08-06 Sprint Spectrum L.P. Data service upgrade with advice of charge
US20140369335A1 (en) * 2011-12-16 2014-12-18 Telefonaktiebolaget L M Ericsson (Publ) Method and a network node for connecting a user device to a wireless local area network
CN102546642B (zh) * 2012-01-16 2015-08-05 深圳市深信服电子科技有限公司 远程登录的方法及装置
US9398454B1 (en) 2012-04-24 2016-07-19 Sprint Communications Company L.P. In-car head unit wireless communication service subscription initialization
US8630747B2 (en) 2012-05-14 2014-01-14 Sprint Communications Company L.P. Alternative authorization for telematics
US20130344852A1 (en) * 2012-06-22 2013-12-26 Cezary Kolodziej Delivering targeted mobile messages to wireless data network devices based on their proximity to known wireless data communication networks
US9357385B2 (en) 2012-08-20 2016-05-31 Qualcomm Incorporated Configuration of a new enrollee device for use in a communication network
US8813219B2 (en) * 2012-08-23 2014-08-19 Alejandro V Natividad Method for producing dynamic data structures for authentication and/or password identification
CN103686878A (zh) * 2012-08-30 2014-03-26 中兴通讯股份有限公司 重定向的方法及装置、终端、基站
US9338657B2 (en) 2012-10-16 2016-05-10 Mcafee, Inc. System and method for correlating security events with subscriber information in a mobile network environment
US9185093B2 (en) * 2012-10-16 2015-11-10 Mcafee, Inc. System and method for correlating network information with subscriber information in a mobile network environment
US9032547B1 (en) 2012-10-26 2015-05-12 Sprint Communication Company L.P. Provisioning vehicle based digital rights management for media delivered via phone
US9342667B2 (en) * 2012-11-21 2016-05-17 Verizon Patent And Licensing Inc. Extended OAuth architecture
CN103108037B (zh) * 2013-01-22 2015-12-02 华为技术有限公司 一种通信方法,Web服务器及Web通信***
IN2013DE00266A (ja) * 2013-01-30 2015-06-19 Hewlett Packard Development Co
US9173238B1 (en) 2013-02-15 2015-10-27 Sprint Communications Company L.P. Dual path in-vehicle communication
US10154025B2 (en) 2013-03-15 2018-12-11 Qualcomm Incorporated Seamless device configuration in a communication network
US9110774B1 (en) 2013-03-15 2015-08-18 Sprint Communications Company L.P. System and method of utilizing driving profiles via a mobile device
CN104378327B (zh) * 2013-08-12 2018-12-28 深圳市腾讯计算机***有限公司 网络攻击防护方法、装置及***
EP2869614B1 (en) * 2013-09-13 2018-05-02 Huawei Device Co., Ltd. Processing method of wireless network equipment, wireless network equipment and processor thereof
US10489132B1 (en) 2013-09-23 2019-11-26 Sprint Communications Company L.P. Authenticating mobile device for on board diagnostic system access
CN105830414B (zh) 2013-10-01 2019-07-12 阿里斯企业有限责任公司 使用凭证的安全的网络接入
EP3007477B1 (en) 2014-05-31 2021-04-28 Huawei Technologies Co., Ltd. Network connection method, hotspot terminal, and management terminal
CN105227519B (zh) * 2014-06-04 2019-11-26 广州市动景计算机科技有限公司 一种安全访问网页的方法、客户端和服务器
US9252951B1 (en) 2014-06-13 2016-02-02 Sprint Communications Company L.P. Vehicle key function control from a mobile phone based on radio frequency link from phone to vehicle
CN104123380B (zh) * 2014-07-31 2018-03-30 珠海市君天电子科技有限公司 网页访问方法和装置
US9591482B1 (en) 2014-10-31 2017-03-07 Sprint Communications Company L.P. Method for authenticating driver for registration of in-vehicle telematics unit
CN105743670B (zh) 2014-12-09 2019-02-05 华为技术有限公司 访问控制方法、***和接入点
US10623502B2 (en) 2015-02-04 2020-04-14 Blackberry Limited Link indication referring to content for presenting at a mobile device
CN104683361A (zh) * 2015-03-30 2015-06-03 郑州悉知信息技术有限公司 一种网站会话存储方法、网站访问方法及装置
US9649999B1 (en) 2015-04-28 2017-05-16 Sprint Communications Company L.P. Vehicle remote operations control
US9444892B1 (en) 2015-05-05 2016-09-13 Sprint Communications Company L.P. Network event management support for vehicle wireless communication
CN105049428B (zh) * 2015-06-30 2019-08-20 深信服科技股份有限公司 数据安全传输的方法和装置
US9604651B1 (en) 2015-08-05 2017-03-28 Sprint Communications Company L.P. Vehicle telematics unit communication authorization and authentication and communication service provisioning
CN106559783B (zh) * 2015-09-29 2020-04-14 华为技术有限公司 一种对wifi网络的认证方法、装置和***
US11063758B1 (en) 2016-11-01 2021-07-13 F5 Networks, Inc. Methods for facilitating cipher selection and devices thereof
KR101962349B1 (ko) * 2017-02-28 2019-03-27 고려대학교 산학협력단 인증서 기반 통합 인증 방법
CN114143780A (zh) * 2017-05-11 2022-03-04 柏思科技有限公司 用于在无线网络节点处处理源自移动计算装置且去往目的地的数据分组的方法和设备
KR101882299B1 (ko) * 2018-01-24 2018-07-26 (주)아이엔아이 Cctv 상호인증을 통한 제어권 유출을 방지하는 보안 디바이스 유닛
CN108390944B (zh) * 2018-03-28 2021-05-04 北京小米移动软件有限公司 信息交互方法及装置
US10834096B2 (en) * 2018-06-05 2020-11-10 The Toronto-Dominion Bank Methods and systems for controlling access to a protected resource
US10721217B2 (en) 2018-11-08 2020-07-21 Accenture Global Solutions Limited Cryptographic datashare control for blockchain
EP3948593B1 (en) * 2019-03-26 2023-05-03 Google LLC Separating the authorization of content access and content delivery using multiple cryptographic digital signatures
JP7373744B2 (ja) * 2019-12-11 2023-11-06 パナソニックIpマネジメント株式会社 ゲートウェイ装置、通信方法およびコンピュータプログラム
CN112153055B (zh) * 2020-09-25 2023-04-18 北京百度网讯科技有限公司 鉴权方法及装置、计算设备和介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11507752A (ja) * 1995-06-07 1999-07-06 オープン・マーケット・インコーポレーテッド インターネットサーバーのアクセス管理およびモニタシステム
JP2002259341A (ja) * 2001-03-01 2002-09-13 Sumitomo Mitsui Banking Corp 認証情報入力システム、認証情報保管システム、認証情報入力方法および認証情報入力プログラム
JP2003091478A (ja) * 2001-09-18 2003-03-28 Commerce Center Inc 取引支援システム、取引支援方法、および取引支援機能をコンピュータに実現させるプログラム

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5818744A (en) * 1994-02-02 1998-10-06 National Semiconductor Corp. Circuit and method for determining multiplicative inverses with a look-up table
US5708780A (en) * 1995-06-07 1998-01-13 Open Market, Inc. Internet server access control and monitoring systems
US7177839B1 (en) * 1996-12-13 2007-02-13 Certco, Inc. Reliance manager for electronic transaction system
US6571221B1 (en) * 1999-11-03 2003-05-27 Wayport, Inc. Network communication service with an improved subscriber model using digital certificates
JP2001186122A (ja) * 1999-12-22 2001-07-06 Fuji Electric Co Ltd 認証システム及び認証方法
AU2002212345A1 (en) * 2000-11-09 2002-05-21 International Business Machines Corporation Method and system for web-based cross-domain single-sign-on authentication
US20030236985A1 (en) * 2000-11-24 2003-12-25 Nokia Corporation Transaction security in electronic commerce
US6856800B1 (en) * 2001-05-14 2005-02-15 At&T Corp. Fast authentication and access control system for mobile networking
WO2002101516A2 (en) * 2001-06-13 2002-12-19 Intruvert Networks, Inc. Method and apparatus for distributed network security
US20030079134A1 (en) * 2001-10-23 2003-04-24 Xerox Corporation Method of secure print-by-reference
US7617317B2 (en) * 2001-12-03 2009-11-10 Sprint Spectrum L.P. Method and system for allowing multiple service providers to serve users via a common access network
JP3870081B2 (ja) * 2001-12-19 2007-01-17 キヤノン株式会社 通信システム及びサーバ装置、ならびに制御方法及びそれを実施するためのコンピュータプログラム、該コンピュータプログラムを格納する記憶媒体
US7061887B2 (en) * 2002-01-25 2006-06-13 Telefonaktiebolaget Lm Ericsson (Publ) Multiple mobile IP sessions with dynamically allocated home IP address
US7564824B2 (en) * 2002-02-04 2009-07-21 Qualcomm Incorporated Methods and apparatus for aggregating MIP and AAA messages
US7644434B2 (en) * 2002-04-25 2010-01-05 Applied Identity, Inc. Computer security system
US7225462B2 (en) * 2002-06-26 2007-05-29 Bellsouth Intellectual Property Corporation Systems and methods for managing web user information
CA2524303A1 (en) * 2003-04-29 2004-11-11 Azaire Networks Inc. Method and system for providing sim-based roaming over existing wlan public access infrastructure
US20040220996A1 (en) * 2003-04-29 2004-11-04 Taiwan Semiconductor Manufaturing Co., Ltd. Multi-platform computer network and method of simplifying access to the multi-platform computer network
US7484096B1 (en) * 2003-05-28 2009-01-27 Microsoft Corporation Data validation using signatures and sampling
US7702100B2 (en) * 2006-06-20 2010-04-20 Lattice Semiconductor Corporation Key generation for advanced encryption standard (AES) Decryption and the like

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11507752A (ja) * 1995-06-07 1999-07-06 オープン・マーケット・インコーポレーテッド インターネットサーバーのアクセス管理およびモニタシステム
JP2002259341A (ja) * 2001-03-01 2002-09-13 Sumitomo Mitsui Banking Corp 認証情報入力システム、認証情報保管システム、認証情報入力方法および認証情報入力プログラム
JP2003091478A (ja) * 2001-09-18 2003-03-28 Commerce Center Inc 取引支援システム、取引支援方法、および取引支援機能をコンピュータに実現させるプログラム

Also Published As

Publication number Publication date
WO2005013582A3 (en) 2005-03-24
BRPI0412724A (pt) 2006-09-26
JP2011135583A (ja) 2011-07-07
US20070113269A1 (en) 2007-05-17
JP2007500976A (ja) 2007-01-18
KR20060056956A (ko) 2006-05-25
CN1830190A (zh) 2006-09-06
WO2005013582A2 (en) 2005-02-10
EP1649669A2 (en) 2006-04-26

Similar Documents

Publication Publication Date Title
JP4701172B2 (ja) リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法
US7992212B2 (en) Mobile terminal and gateway for remotely controlling data transfer from secure network
JP6612358B2 (ja) ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体
JP4575679B2 (ja) 無線ネットワークハンドオフ暗号鍵
US8837484B2 (en) Methods and devices for a client node to access an information object located at a node of a secured network via a network of information
KR20050116817A (ko) 공중 인증 서버를 이용한 wlan 액세스 제어에서의아이덴티티 매핑 매커니즘
CA2482648C (en) Transitive authentication authorization accounting in interworking between access networks
KR101121465B1 (ko) Ims과 같은 시큐어 코어 네트워크와 통신하는 펨토셀에 부착된 모바일 유닛들을 인증하기 위한 방법
US20060161771A1 (en) Session key management for public wireless lan supporting multiple virtual operators
US20060248337A1 (en) Establishment of a secure communication
JP2004166270A (ja) 無線ネットワークのハンドオフ暗号鍵
JP2006523412A (ja) 公共のホット・スポットにおけるクライアント端末の自動設定
JP2009526418A (ja) 通信装置による間接アクセスの方法、システムおよび装置
JP2015537471A (ja) ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録
JP2013500689A (ja) 信頼できるネットワークを介した信頼できないネットワーク上での認証のためのデバイス、方法、および装置
JP2008541655A (ja) 無線ローカルエリアネットワークでの安全なハンドオフ
WO2008006312A1 (en) A realizing method for push service of gaa and a device
JP5319456B2 (ja) 通信システム、その制御方法、基地局装置及びプログラム
JP6056970B2 (ja) 情報処理装置、端末機、情報処理システム及び情報処理方法
JP4584776B2 (ja) ゲートウェイ装置およびプログラム
KR20140095050A (ko) 이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치
MXPA06001088A (es) Control de acceso a una red con el uso de redireccion
KR20050119119A (ko) 내장 플랫폼을 위한 보안성 웹 브라우저 기반 시스템 관리
KR20080007579A (ko) 무선 근거리 네트워크에서의 안전한 핸드오프
WO2006080079A1 (ja) 無線ネットワークシステムおよびそのユーザ認証方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070719

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091208

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100308

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100315

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100607

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100706

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20101004

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101012

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110106

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110208

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110307

LAPS Cancellation because of no payment of annual fees