知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5958864
(24)【登録日】2016年7月1日
(45)【発行日】2016年8月2日
(54)【発明の名称】セキュアトンネル型プラットホームシステムおよび方法
(51)【国際特許分類】
H04W 12/06 20090101AFI20160719BHJP
H04W 80/02 20090101ALI20160719BHJP
G06F 13/00 20060101ALI20160719BHJP
【FI】
H04W12/06
H04W80/02
G06F13/00 351B
【請求項の数】16
【全頁数】27
(21)【出願番号】特願2013-546726(P2013-546726)
(86)(22)【出願日】2011年12月30日
(65)【公表番号】特表2014-508433(P2014-508433A)
(43)【公表日】2014年4月3日
(86)【国際出願番号】EP2011074318
(87)【国際公開番号】WO2012089836
(87)【国際公開日】20120705
【審査請求日】2013年8月28日
(31)【優先権主張番号】61/428,620
(32)【優先日】2010年12月30日
(33)【優先権主張国】US
(31)【優先権主張番号】61/559,460
(32)【優先日】2011年11月14日
(33)【優先権主張国】US
(31)【優先権主張番号】13/339,807
(32)【優先日】2011年12月29日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】514119203
【氏名又は名称】エフオーエヌ・ワイヤレス・リミテッド
【氏名又は名称原語表記】FON WIRERLESS LIMITED
(74)【代理人】
【識別番号】110000877
【氏名又は名称】龍華国際特許業務法人
(72)【発明者】
【氏名】ワイズマン−ディアモンド・マーチン・バルサブスキー
(72)【発明者】
【氏名】ベカレス フェルナンデス・ゴンサロ・ジュリアン
(72)【発明者】
【氏名】アルジンソニス セブレイロ・ハビアー・イウルギ
(72)【発明者】
【氏名】ムニョス カストロ・ジュアン・マヌエル
(72)【発明者】
【氏名】メドラノ・バプロ・マーチン
【審査官】
阿部 圭子
(56)【参考文献】
【文献】
特開2006−237678(JP,A)
【文献】
米国特許出願公開第2008/0178266(US,A1)
【文献】
特開2003−143236(JP,A)
【文献】
特表2004−505567(JP,A)
【文献】
特表2004−505568(JP,A)
【文献】
欧州特許出願公開第02051473(EP,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24 − 7/26
H04W 4/00 − 99/00
G06F 13/00
(57)【特許請求の範囲】
【請求項1】
少なくとも1つのユーザ・コンピューティング装置をインターネットにアクセスさせる方法であって、
無線ゲートウェイ装置により、第1のユーザ・コンピューティング装置から、インターネットアクセスのための要求を受信する工程と、
前記第1のユーザ・コンピューティング装置から前記インターネットアクセスのための要求を受信したことに応じて、前記無線ゲートウェイ装置により、前記無線ゲートウェイ装置から離れたところにある認証コンピューティング装置に、インターネットを介して前記第1のユーザ・コンピューティング装置を認証するための第1の要求を送信する工程と、
前記第1のユーザ・コンピューティング装置を認証するための第1の要求に応じて、前記認証コンピューティング装置から、前記第1のユーザ・コンピューティング装置を認証する第1の応答を受信する工程と、
前記認証コンピューティング装置から、前記第1のユーザ・コンピューティング装置を認証する前記第1の応答を受信した場合にのみ、前記無線ゲートウェイ装置により、前記無線ゲートウェイ装置と第2のコンピューティング装置との間に通信トンネルを確立する工程と、
前記第1のユーザ・コンピューティング装置を認証し前記認証コンピューティング装置からの前記第1の応答の情報に基づく第2の応答を、前記第2のコンピューティング装置からも前記無線ゲートウェイ装置からも前記認証コンピューティング装置からも離れたところにあり前記第2のコンピューティング装置とも前記無線ゲートウェイ装置とも前記認証コンピューティング装置とも別のリモート認証コンピューティング装置から受信する工程と、
前記通信トンネルを確立し、前記第2の応答が前記無線ゲートウェイ装置により受信された後に、さらに、
前記無線ゲートウェイ装置により、データパケットを受信して、各データパケットをカプセル化する工程と、
前記無線ゲートウェイ装置により、前記通信トンネルを介して、前記第1のユーザ・コンピューティング装置から受信したデータを送信することによって、前記第1のユーザ・コンピューティング装置をインターネットにアクセスさせる工程と、
前記無線ゲートウェイ装置により、前記第1のユーザ・コンピューティング装置の通信セッション用のインターネットプロトコル(IP)アドレスを割り当てる工程と、を備え、
前記第1のユーザ・コンピューティング装置から離れたところにあり、前記第1のユーザ・コンピューティング装置とも別の第2のユーザ・コンピューティング装置が、前記無線ゲートウェイ装置を介してインターネットアクセスを要求し、
ネットワークアドレス変換(NAT)を用いて、前記無線ゲートウェイ装置は、単一のインターネットプロトコル(IP)アドレスを、前記第1のユーザ・コンピューティング装置の通信と、及び前記第2のユーザ・コンピューティング装置の通信とに割り当てる、方法。
無線ゲートウェイ装置により、第1のユーザ・コンピューティング装置から、インターネットアクセスのための要求を受信する工程と、
前記第1のユーザ・コンピューティング装置から前記インターネットアクセスのための要求を受信したことに応じて、前記無線ゲートウェイ装置により、前記無線ゲートウェイ装置から離れたところにある認証コンピューティング装置に、インターネットを介して前記第1のユーザ・コンピューティング装置を認証するための第1の要求を送信する工程と、
前記第1のユーザ・コンピューティング装置を認証するための第1の要求に応じて、前記認証コンピューティング装置から、前記第1のユーザ・コンピューティング装置を認証する第1の応答を受信する工程と、
前記認証コンピューティング装置から、前記第1のユーザ・コンピューティング装置を認証する前記第1の応答を受信した場合にのみ、前記無線ゲートウェイ装置により、前記無線ゲートウェイ装置と第2のコンピューティング装置との間に通信トンネルを確立する工程と、
前記第1のユーザ・コンピューティング装置を認証し前記認証コンピューティング装置からの前記第1の応答の情報に基づく第2の応答を、前記第2のコンピューティング装置からも前記無線ゲートウェイ装置からも前記認証コンピューティング装置からも離れたところにあり前記第2のコンピューティング装置とも前記無線ゲートウェイ装置とも前記認証コンピューティング装置とも別のリモート認証コンピューティング装置から受信する工程と、
前記通信トンネルを確立し、前記第2の応答が前記無線ゲートウェイ装置により受信された後に、さらに、
前記無線ゲートウェイ装置により、データパケットを受信して、各データパケットをカプセル化する工程と、
前記無線ゲートウェイ装置により、前記通信トンネルを介して、前記第1のユーザ・コンピューティング装置から受信したデータを送信することによって、前記第1のユーザ・コンピューティング装置をインターネットにアクセスさせる工程と、
前記無線ゲートウェイ装置により、前記第1のユーザ・コンピューティング装置の通信セッション用のインターネットプロトコル(IP)アドレスを割り当てる工程と、を備え、
前記第1のユーザ・コンピューティング装置から離れたところにあり、前記第1のユーザ・コンピューティング装置とも別の第2のユーザ・コンピューティング装置が、前記無線ゲートウェイ装置を介してインターネットアクセスを要求し、
ネットワークアドレス変換(NAT)を用いて、前記無線ゲートウェイ装置は、単一のインターネットプロトコル(IP)アドレスを、前記第1のユーザ・コンピューティング装置の通信と、及び前記第2のユーザ・コンピューティング装置の通信とに割り当てる、方法。
【請求項2】
請求項1に記載の方法であって、
前記第1のユーザ・コンピューティング装置と前記無線ゲートウェイ装置は、ハイパーテキスト・トランスファー・プロトコル(HTTP)を使用して通信を行う、方法。
前記第1のユーザ・コンピューティング装置と前記無線ゲートウェイ装置は、ハイパーテキスト・トランスファー・プロトコル(HTTP)を使用して通信を行う、方法。
【請求項3】
請求項1に記載の方法であって、
前記第1のユーザ・コンピューティング装置と前記無線ゲートウェイ装置は、拡張可能認証プロトコル(EAP)を使用して通信を行う、方法。
前記第1のユーザ・コンピューティング装置と前記無線ゲートウェイ装置は、拡張可能認証プロトコル(EAP)を使用して通信を行う、方法。
【請求項4】
請求項1に記載の方法であって、
前記第2のコンピューティング装置は、レイヤ2トンネリング・プロトコル(L2TP)・ネットワークサーバ(LNS)を含む、方法。
前記第2のコンピューティング装置は、レイヤ2トンネリング・プロトコル(L2TP)・ネットワークサーバ(LNS)を含む、方法。
【請求項5】
請求項4に記載の方法であって、さらに、
前記LNSにより、カプセル化された各データパケットを再フォーマットする工程と、
インターネットを介して、前記LNSにより、リモートネットワークプラットフォーム装置に、前記再フォーマットされたデータパケットを送信する工程と、を備える方法。
前記LNSにより、カプセル化された各データパケットを再フォーマットする工程と、
インターネットを介して、前記LNSにより、リモートネットワークプラットフォーム装置に、前記再フォーマットされたデータパケットを送信する工程と、を備える方法。
【請求項6】
請求項1に記載の方法であって、
前記第2のコンピューティング装置は、前記リモート認証コンピューティング装置からリモート認証ダイアルインユーザサービス(RADIUS)プロトコルを使用して前記認証を要求する、方法。
前記第2のコンピューティング装置は、前記リモート認証コンピューティング装置からリモート認証ダイアルインユーザサービス(RADIUS)プロトコルを使用して前記認証を要求する、方法。
【請求項7】
請求項1に記載の方法であって、
前記リモート認証コンピューティング装置は、リモート認証ダイアルインユーザサービス(RADIUS)サーバを含む、方法。
前記リモート認証コンピューティング装置は、リモート認証ダイアルインユーザサービス(RADIUS)サーバを含む、方法。
【請求項8】
請求項1に記載の方法であって、
カプセル化された各データパケットは、前記無線ゲートウェイ装置により、ポイント・ツー・ポイント・プロトコル(PPP)を使用して送信される、方法。
カプセル化された各データパケットは、前記無線ゲートウェイ装置により、ポイント・ツー・ポイント・プロトコル(PPP)を使用して送信される、方法。
【請求項9】
請求項1に記載の方法であって、さらに、
前記第2のコンピューティング装置で、認証情報とセッションアドレスとをログ化する工程を含む、方法。
前記第2のコンピューティング装置で、認証情報とセッションアドレスとをログ化する工程を含む、方法。
【請求項10】
少なくとも1つのユーザ・コンピューティング装置をインターネットにアクセスさせる無線ゲートウェイ装置であって、
前記無線ゲートウェイ装置は、
第1のユーザ・コンピューティング装置から、インターネットアクセスのための要求を受信するように構成される第1のモジュールと、
前記インターネットアクセスのための要求に応じて、前記無線ゲートウェイ装置から離れたところにありインターネットを介して前記無線ゲートウェイ装置に接続される認証コンピューティング装置に、前記第1のユーザ・コンピューティング装置を認証するための要求を送信し、前記認証コンピューティング装置から前記第1のユーザ・コンピューティング装置を認証する第1の応答を受信するように構成される第2のモジュールと、
前記第1のユーザ・コンピューティング装置を認証する前記第1の応答を受信した場合にのみ、前記無線ゲートウェイ装置と第2のコンピューティング装置との間に通信トンネルを確立するように構成される第3のモジュールと、
前記第1のユーザ・コンピューティング装置を認証し前記認証コンピューティング装置からの前記第1の応答の情報に基づく第2の応答を、前記第2のコンピューティング装置からも前記無線ゲートウェイ装置からも離れたところにあり前記第2のコンピューティング装置とも前記無線ゲートウェイ装置とも別のリモート認証コンピューティング装置から受信する第4のモジュールと、
(i)前記通信トンネルが確立され、(ii)前記第2の応答が前記無線ゲートウェイ装置に受信された後にのみ、
(a)データパケットを受信して、各データパケットをカプセル化し、
(b)前記通信トンネルを介して、前記第1のユーザ・コンピューティング装置から受信したデータを送信することによって、前記第1のユーザ・コンピューティング装置をインターネットにアクセスさせ、
(c)前記第1のユーザ・コンピューティング装置の通信セッション用のインターネットプロトコル(IP)アドレスを割り当てるように構成される第5のモジュールと、を備え、
前記第1のユーザ・コンピューティング装置から離れたところにあり、前記第1のユーザ・コンピューティング装置とも別の第2のユーザ・コンピューティング装置が、前記無線ゲートウェイ装置を介してインターネットアクセスを要求するとき、前記第5のモジュールが、ネットワークアドレス変換(NAT)を用いて、単一のインターネットプロトコル(IP)アドレスを、前記第1のユーザ・コンピューティング装置の通信と、及び前記第2のユーザ・コンピューティング装置の通信とに割り当てるように構成される、
無線ゲートウェイ装置。
前記無線ゲートウェイ装置は、
第1のユーザ・コンピューティング装置から、インターネットアクセスのための要求を受信するように構成される第1のモジュールと、
前記インターネットアクセスのための要求に応じて、前記無線ゲートウェイ装置から離れたところにありインターネットを介して前記無線ゲートウェイ装置に接続される認証コンピューティング装置に、前記第1のユーザ・コンピューティング装置を認証するための要求を送信し、前記認証コンピューティング装置から前記第1のユーザ・コンピューティング装置を認証する第1の応答を受信するように構成される第2のモジュールと、
前記第1のユーザ・コンピューティング装置を認証する前記第1の応答を受信した場合にのみ、前記無線ゲートウェイ装置と第2のコンピューティング装置との間に通信トンネルを確立するように構成される第3のモジュールと、
前記第1のユーザ・コンピューティング装置を認証し前記認証コンピューティング装置からの前記第1の応答の情報に基づく第2の応答を、前記第2のコンピューティング装置からも前記無線ゲートウェイ装置からも離れたところにあり前記第2のコンピューティング装置とも前記無線ゲートウェイ装置とも別のリモート認証コンピューティング装置から受信する第4のモジュールと、
(i)前記通信トンネルが確立され、(ii)前記第2の応答が前記無線ゲートウェイ装置に受信された後にのみ、
(a)データパケットを受信して、各データパケットをカプセル化し、
(b)前記通信トンネルを介して、前記第1のユーザ・コンピューティング装置から受信したデータを送信することによって、前記第1のユーザ・コンピューティング装置をインターネットにアクセスさせ、
(c)前記第1のユーザ・コンピューティング装置の通信セッション用のインターネットプロトコル(IP)アドレスを割り当てるように構成される第5のモジュールと、を備え、
前記第1のユーザ・コンピューティング装置から離れたところにあり、前記第1のユーザ・コンピューティング装置とも別の第2のユーザ・コンピューティング装置が、前記無線ゲートウェイ装置を介してインターネットアクセスを要求するとき、前記第5のモジュールが、ネットワークアドレス変換(NAT)を用いて、単一のインターネットプロトコル(IP)アドレスを、前記第1のユーザ・コンピューティング装置の通信と、及び前記第2のユーザ・コンピューティング装置の通信とに割り当てるように構成される、
無線ゲートウェイ装置。
【請求項11】
請求項10に記載の装置であって、
前記無線ゲートウェイ装置は、前記第1のユーザ・コンピューティング装置と、ハイパーテキスト・トランスファー・プロトコル(HTTP)を使用して通信を行う、装置。
前記無線ゲートウェイ装置は、前記第1のユーザ・コンピューティング装置と、ハイパーテキスト・トランスファー・プロトコル(HTTP)を使用して通信を行う、装置。
【請求項12】
請求項10に記載の装置であって、
前記無線ゲートウェイ装置は、前記第1のユーザ・コンピューティング装置と、拡張可能認証プロトコル(EAP)を使用して通信を行う、装置。
前記無線ゲートウェイ装置は、前記第1のユーザ・コンピューティング装置と、拡張可能認証プロトコル(EAP)を使用して通信を行う、装置。
【請求項13】
請求項10に記載の装置であって、
カプセル化された各データパケットは、ポイント・ツー・ポイント・プロトコル(PPP)を使用して送信される、装置。
カプセル化された各データパケットは、ポイント・ツー・ポイント・プロトコル(PPP)を使用して送信される、装置。
【請求項14】
請求項10に記載の装置であって、
前記少なくとも1つの前記第2のコンピューティング装置は、レイヤ2トンネリング・プロトコル・ネットワークサーバ(LNS)を含む、装置。
前記少なくとも1つの前記第2のコンピューティング装置は、レイヤ2トンネリング・プロトコル・ネットワークサーバ(LNS)を含む、装置。
【請求項15】
請求項1に記載の方法であって、さらに、
前記無線ゲートウェイ装置により、前記第1のユーザ・コンピューティング装置とは別の前記第2のユーザ・コンピューティング装置から、インターネットアクセスのための第2の要求を受信する工程と、
前記第2のユーザ・コンピューティング装置からの前記インターネットアクセスのための第2の要求に応じて、前記無線ゲートウェイ装置により、インターネットを介して、前記認証コンピューティング装置に、前記第2のユーザ・コンピューティング装置を認証するための第2の要求を送信する工程と、
前記第2のユーザ・コンピューティング装置を認証するための第2の要求に応じて、前記認証コンピューティング装置から、前記第2のユーザ・コンピューティング装置を認証する第3の応答を受信する工程と、
前記認証コンピューティング装置から前記第2のユーザ・コンピューティング装置を認証する前記第3の応答を受信した場合にのみ、前記無線ゲートウェイ装置により、前記無線ゲートウェイ装置と前記第2のコンピューティング装置との間に通信セッションを確立する工程と、
前記リモート認証コンピューティング装置から、前記第2のユーザ・コンピューティング装置を認証し前記認証コンピューティング装置からの前記第3の応答の情報に基づく前第4の応答を受信する工程と、
前記通信セッションを確立し、前記第4の応答が前記無線ゲートウェイ装置に受信された後に、さらに、
前記無線ゲートウェイ装置により、前記通信セッションにおいて、前記通信トンネルを介して、前記第2のユーザ・コンピューティング装置から受信したデータを送信することによって、前記第2のユーザ・コンピューティング装置をインターネットにアクセスさせる工程と、
前記無線ゲートウェイ装置により、前記第2のユーザ・コンピューティング装置の通信セッション用のインターネットプロトコル(IP)アドレスを割り当てることによって、前記第1のユーザ・コンピューティング装置から前記第2のユーザ・コンピューティング装置を明確に識別することを可能にする工程と、を備える、方法。
前記無線ゲートウェイ装置により、前記第1のユーザ・コンピューティング装置とは別の前記第2のユーザ・コンピューティング装置から、インターネットアクセスのための第2の要求を受信する工程と、
前記第2のユーザ・コンピューティング装置からの前記インターネットアクセスのための第2の要求に応じて、前記無線ゲートウェイ装置により、インターネットを介して、前記認証コンピューティング装置に、前記第2のユーザ・コンピューティング装置を認証するための第2の要求を送信する工程と、
前記第2のユーザ・コンピューティング装置を認証するための第2の要求に応じて、前記認証コンピューティング装置から、前記第2のユーザ・コンピューティング装置を認証する第3の応答を受信する工程と、
前記認証コンピューティング装置から前記第2のユーザ・コンピューティング装置を認証する前記第3の応答を受信した場合にのみ、前記無線ゲートウェイ装置により、前記無線ゲートウェイ装置と前記第2のコンピューティング装置との間に通信セッションを確立する工程と、
前記リモート認証コンピューティング装置から、前記第2のユーザ・コンピューティング装置を認証し前記認証コンピューティング装置からの前記第3の応答の情報に基づく前第4の応答を受信する工程と、
前記通信セッションを確立し、前記第4の応答が前記無線ゲートウェイ装置に受信された後に、さらに、
前記無線ゲートウェイ装置により、前記通信セッションにおいて、前記通信トンネルを介して、前記第2のユーザ・コンピューティング装置から受信したデータを送信することによって、前記第2のユーザ・コンピューティング装置をインターネットにアクセスさせる工程と、
前記無線ゲートウェイ装置により、前記第2のユーザ・コンピューティング装置の通信セッション用のインターネットプロトコル(IP)アドレスを割り当てることによって、前記第1のユーザ・コンピューティング装置から前記第2のユーザ・コンピューティング装置を明確に識別することを可能にする工程と、を備える、方法。
【請求項16】
請求項10に記載の装置であって、
前記第1のモジュールは、前記第1のユーザ・コンピューティング装置とは別の前記第2のユーザ・コンピューティング装置から、インターネットアクセスのための要求を受信するように構成され、
前記第2のモジュールは、インターネットを介して、前記認証コンピューティング装置に、前記第2のユーザ・コンピューティング装置を認証するための要求を送信し、前記認証コンピューティング装置から前記第2のユーザ・コンピューティング装置を認証する第2の応答を受信するように構成され、
前記第3のモジュールは、前記リモート認証コンピューティング装置から前記第2のユーザ・コンピューティング装置を認証する前記第2の応答を受信した場合にのみ、前記無線ゲートウェイ装置と前記第2のコンピューティング装置との間に通信セッションを確立するように構成され、
前記第4のモジュールは、前記第2のユーザ・コンピューティング装置を認証し前記認証コンピューティング装置からの前記第2の応答の情報に基づく第3の応答を、前記リモート認証コンピューティング装置から受信するように構成され、
前記第5のモジュールは、前記通信セッションが確立された場合にのみ、前記通信セッションにおいて、前記通信トンネルを介して、前記第2のユーザ・コンピューティング装置から受信したデータを送信することによって、前記第2のユーザ・コンピューティング装置をインターネットにアクセスさせるように構成され、
前記第5のモジュールは、前記第2のユーザ・コンピューティング装置の通信セッション用のインターネットプロトコル(IP)アドレスを割り当てることによって、前記第1のユーザ・コンピューティング装置から前記第2のユーザ・コンピューティング装置を明確に識別することを可能にするように構成される、無線ゲートウェイ装置。
前記第1のモジュールは、前記第1のユーザ・コンピューティング装置とは別の前記第2のユーザ・コンピューティング装置から、インターネットアクセスのための要求を受信するように構成され、
前記第2のモジュールは、インターネットを介して、前記認証コンピューティング装置に、前記第2のユーザ・コンピューティング装置を認証するための要求を送信し、前記認証コンピューティング装置から前記第2のユーザ・コンピューティング装置を認証する第2の応答を受信するように構成され、
前記第3のモジュールは、前記リモート認証コンピューティング装置から前記第2のユーザ・コンピューティング装置を認証する前記第2の応答を受信した場合にのみ、前記無線ゲートウェイ装置と前記第2のコンピューティング装置との間に通信セッションを確立するように構成され、
前記第4のモジュールは、前記第2のユーザ・コンピューティング装置を認証し前記認証コンピューティング装置からの前記第2の応答の情報に基づく第3の応答を、前記リモート認証コンピューティング装置から受信するように構成され、
前記第5のモジュールは、前記通信セッションが確立された場合にのみ、前記通信セッションにおいて、前記通信トンネルを介して、前記第2のユーザ・コンピューティング装置から受信したデータを送信することによって、前記第2のユーザ・コンピューティング装置をインターネットにアクセスさせるように構成され、
前記第5のモジュールは、前記第2のユーザ・コンピューティング装置の通信セッション用のインターネットプロトコル(IP)アドレスを割り当てることによって、前記第1のユーザ・コンピューティング装置から前記第2のユーザ・コンピューティング装置を明確に識別することを可能にするように構成される、無線ゲートウェイ装置。
【発明の詳細な説明】
【技術分野】
【0001】
[クロスリファレンス]本出願は、セキュアトンネル型プラットホームシステムおよび方法(SECURE TUNNELING PLATFORM SYSTEM AND METHOD)の名称で2010年12月30日に出願された米国仮特許出願No.61/428,620と、セキュアトンネル型プラットホームシステムおよび方法(SECURE TUNNELING PLATFORM SYSTEM AND METHOD)の名称で2011年11月14日に出願された米国仮特許出願No.61/559,460とに関し、各出願は、参照することにより、その全体が本明細書に組み込まれる。
【0002】
本発明は、一般的にはネットワークの帯域共有に関し、より具体的にはネットワークの帯域を共有するユーザを識別することに関する。
【背景技術】
【0003】
Wi-Fi等を介した帯域共有は、同一出願人による米国特許第7,924,780号に記載されるような利点がある現実的な解決方法である。Wi-Fiを介してインターネット等の通信ネットワークにアクセスするユーザは、パブリックインターネット・プロトコル(Internet protocol:IP)アドレスを共有することが多い。たとえば、各インターネット・サービス・プロバイダ(Internet Service Provider:「ISP」)は、1つまたは限定された数のIPアドレスを介してインターネットにアクセスする。インターネットの帯域は、Wi-Fiアクセスポイントを介して利用可能である。ユーザAは、IPOD TOUCHを操作して、Wi-Fiサービスを検索してアクセスすることにより、インターネット上の1つのウェブページにアクセスする。ユーザBは、ラップトップコンピュータを操作して、同じWi-Fiサービスを検索して、インターネット上の別のウェブページにアクセスする。ユーザAおよびユーザBにより操作されるデバイスは、ISPにより提供される単一のパブリックIPアドレスを共有する。この例では、両方のユーザが同じパブリックIPアドレスを共有していたため、どちらのユーザ(ユーザAまたはユーザB)がどのインターネットウェブページにアクセスしたかを決めることができない。
【0004】
上述の例では、2人のユーザが異なるコンピューティング装置を操作して、同時に、2つの異なるウェブページにアクセスする。ISPは、両方のユーザにより共有され、アクセスされる1つのIPアドレスしか検出できない。したがって、各ユーザを識別することができない。
【発明の概要】
【0005】
開示されるシステムおよび方法は、1つまたは複数のネットワーク上で各エンドポイントを示すアドレス情報を記憶させることを含む。第1のコンピューティング装置は、第2のネットワークアドレスに関係する第1のネットワークアドレスを備える。第1のコンピューティング装置と少なくとも1つの処理装置との間にネットワークを通じてセキュアな経路を確立し、セキュアな経路に経路ネットワークアドレスを提供する。セキュアな経路を介した第1の通信セッションが、第1のユーザ・コンピューティング装置と少なくとも1つの処理装置との間に確立される。第1のコンピューティング装置から、少なくとも1つの他のコンピューティング装置にアクセスするための電子認証情報を受信する。認証情報は、認証装置に送信され、認証されると、第1のユーザ・コンピューティング装置から他のコンピューティング装置へのアクセスが許可される。経路ネットワークアドレス、第1のネットワークアドレス、第2のネットワークアドレスおよび少なくとも1つの他のコンピューティング装置の各々が、1つまたは複数のデータベースに記憶される。
【0006】
本発明を例示する目的で、いくつかの好適な実施形態を図示するが、本発明は、図示される構成や手段に限定されるものではない。本発明の特徴および利点は、添付の図面を参照する以下の本発明の説明から明らかになるであろう。
【図面の簡単な説明】
【0007】
【図1】本願の一実施形態におけるハードウェア構成の一例を示す図。
【0008】
【図2】一実施形態において、コンピューティング装置において設定可能な1つまたは複数の機能部を示す図。
【0009】
【図3】一実施形態において、セキュアトンネル型環境に対応する複数のデバイスを示す図。
【0010】
【図4】一実施形態において、L2TPトンネルを確立する前にIPアドレスを割り当てる様子を示す図。
【0011】
【図5】一実施形態において、L2TPトンネルの確立後であって、PPPセッションの確立前にIPアドレスを割り当てる様子を示す図。
【0012】
【図6】L2TPトンネルとPPPセッションが両方とも確立されている実施形態において、IPアドレスを割り当てる様子を示す図。
【0013】
【図7A】本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。
【図7B】本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。
【図7C】本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。
【図8A】本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。
【図8B】本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。
【図9A】本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。
【図9B】本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。
【図9C】本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。
【図10A】本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。
【図10B】本発明の4つの実施形態における冗長性を示すハードウェア・インフラストラクチャの例を示す図。
【0014】
【図11】本発明に従う別のハードウェア構成および対応するデータ送信を示す図。
【図12】本発明に従う別のハードウェア構成および対応するデータ送信を示す図。
【図13】本発明に従う別のハードウェア構成および対応するデータ送信を示す図。
【発明を実施するための形態】
【0015】
Wi-Fiまたは他の帯域共有により一つの通信ネットワークにアクセスする複数のユーザがほぼ同時に帯域を共有する場合にも各々のユーザを識別するシステムおよび方法を提供する。本発明に従うシステムおよび方法は、さらに、単一のまたは限られた数の共有パブリックIPアドレス上で提供される帯域を含むWi-Fiサービスにより提供される帯域を用いる各ユーザの識別および情報開示を行なうものである。
【0016】
一実施形態において、パブリックIPアドレスおよび接続に割り当てられたポートを用いてインターネットにアクセス中のユーザを識別する1つまたは複数の情報開示サービスを提供する。参照することによって各出願の内容全体が本明細書に組み込まれる、同一出願人による米国特許第7,924,780号および米国特許第7,995,993号に説明および記載されているシステムおよび方法に加えて、帯域を共有するように情報処理装置に登録し、追加料金なしに登録されている他のユーザの帯域にアクセスする権利を有するユーザには、各々固有のユーザ名が割り当てられる。本明細書に記載するように、セッションおよび接続(ネットワークアドレス変換(network address translation:NAT))を示すアカウンティングログを、たとえば、情報開示を目的として保持するようにしてもよい。アカウンティングは、たとえば、(リモート認証ダイヤルインユーザサービス(Remote Authentication Dial In User Service:RADIUS)サーバにより作成可能な)「PPP」セッション、(RADIUSサーバにより作成可能な)「キャプティブポータル(captive portal)」セッション、および(コンピュータ、ルータまたはその他適当なデバイスであるL2TPネットワークサーバ(L2TP Network Server:LNS)により作成される)NAT変換アカウンティング用に提供される。
【0017】
本願は、ユーザのコンピューティング装置が1つまたは複数のNATサービスに関与している場合でも、通信ネットワークにおいてユーザを識別するように構成されたルータ、コンピュータまたはその他適当なハードウェア等のデバイスを提供するネットワークトンネル型プラットフォームを含む。同一出願人による米国特許第7,924,780号に図示および記述されるように、登録ユーザの識別情報が受信され、1つまたは複数のデータベースに格納される。登録ネットワークユーザは加入者であり、したがって、明確に識別可能である。たとえば、ユーザは、ユーザ名およびパスワードを与えることにより認証され、ユーザの認証ステータスに応じて、追加料金なしにまたは低料金で、他のユーザのネットワーク帯域を共有することを許可されるようにしてもよい。ユーザの接続IPアドレスおよびTCP/UDPポートをユーザの認証情報(たとえば、ユーザ名およびパスワード)に関連付けることによりユーザの識別を行う。
【0018】
本発明のユーザ識別機能(capability)は、インターネット・サービス・プロバイダにより実施される最も厳しい対策のセキュリティ・ポリシーおよび法的要件にも適合する。
【0019】
一実施形態において、ユーザ識別情報は、レイヤ2トンネリング・プロトコル(layer 2 tunneling protocol:L2TP)トンネルを介して提供されるPPPセッションを介して提供される。各ユーザセッションは、L2TPトンネルを介して確立し、L2TPトンネルは、各PPPトンネルに、したがって、各ユーザに、独立インターネット・プロトコル(Internet protocol:IP)アドレスを提供する。ユーザ資格情報および各セッションIPアドレスは、たとえば、認証およびアカウンティング・プロセスにも対応可能なRADIUSサーバによって、ログに記録される。
【0020】
本発明に従うトンネリングの実施形態は、利用可能なIPアドレスが限定されている環境にも対応する。各ユーザにプライベートIPアドレスを割り当てることにより、パブリックIPアドレスを保護することができる。この実施形態において、各プライベートIPアドレスは、たとえば、1つまたは複数のネットワークアドレス変換(NAT)サーバを介して、ネットワーク・トラフィックがインターネットに到達する前に、1つまたは複数のパブリックIPアドレスに変換される。一実施形態において、複数のプライベートIPアドレスが単一のパブリックIPアドレスにネットワークアドレス変換される(NATされる)(パブリックアドレス変換(public address translation:PAT)またはNATオーバーロードとも称する)。したがって、1つのIPアドレスを別のIPアドレスに変換するという機能を備える。一実施形態において、PATを用いて、プライベートIPアドレスをパブリックIPアドレスに変換する。NATアカウンティングログを提供することにより、明確なユーザ識別が可能になる。
【0021】
本発明の実施例の多くはIP保護に関するものであるが、本発明は、たとえば、NAT変換を提供しないまたはNAT変換に対応しない実施形態を含む他の実施形態にも対応できる。IPアドレスが限られた数または少数である場合には、プライベートIPアドレスをNATを介して変換して1つまたは複数のパブリックIPアドレスを共有する代わりに、任意の時に接続されるユーザに独立パブリックIPアドレスを単純に割り当てることによって、より単純で安価な実施形態が可能になる。
【0022】
さらに、一実施形態におけるインフラストラクチャは、たとえば、データセンタおよび通信プロバイダに対して実質的な冗長性を提供する。これによって、たとえば、設定済みルータにおいてトンネルを終了させるネットワーク機器を追加することにより何十万人もの同時利用ユーザに対応する大きな可用性と実質的なスケーラビリティを与えることができる。同時利用ユーザの数が少ない場合には、機能性およびコストの観点から適当なスケーリング(拡大縮小)を行なうようにシステムを調節できる。
【0023】
一実施形態において、本願は、無線ネットワークおよびポイント・ツー・ポイント(Point-to-Point)接続でよく用いられる認証フレームワークである拡張認証プロトコル(extensible authentication protocol:EAP)を用いる。EAPは、たとえば、IEEE802.11(Wi-Fi)で広く用いられ、WPAおよびWPA2規格は、マルチプルEAP型のIEEE802.1Xを認証機構に採用している。認証プロトコルとして用いられる場合、EAPはキャプティブポータル上で利用可能であり、WPAおよび/またはWPA2と共に用いる場合に適している。たとえば、1つまたは複数の認証情報および/またはプロセスに関連して、LEAP(Lightweight-EAP)、EAP-TLS、EAP-TTLS、EAP-FAST、EAP-SIMおよびEAP-AKAを適用可能である。一実施形態において、802.1Xは、サプリカント(たとえば、スマートフォン、PDA等のモバイル・コンピューティング装置)、オーセンティケータ(たとえば、設定済みルータ)およびサーバを含む。802.1Xを用いて、EAP over Lan (EAPOL)を介してサプリカントからオーセンティケータにEAPメッセージを送信し、その後、RADIUS/Diameterを介してオーセンティケータからサーバにEAPメッセージを送信する。
【0024】
同一出願人による米国特許第7,924,780号および米国特許第7,995,993号に記載されているシステムおよび方法により採用されたシステム等の少なくとも1つの従来のシステムでは、3つのアクター、すなわち、サプリカント、オーセンティケータおよびサーバが用いられる。このような実施形態において、ユニバーサル・アクセス法(universal access method:UAM)を用いて、パスワード認証プロトコル(password authentication protocol:PAP)メッセージを送信する。その後、HTTPSを用いてサプリカントからUAMサーバに、HTTPを用いてサプリカントからオーセンティケータに、または、RADIUSを用いてオーセンティケータからサーバにデータを送信するようにしてもよい。
【0025】
トンネリングを使用する本願に従う一実施形態において、3つのアクター、すなわち、サプリカント、オーセンティケータおよびサーバが同様に用いられる。サプリカント、オーセンティケータおよびサーバは、複数のエレメントを含むものでもよい。一実施形態において、たとえば、EAPメッセージは、EAPOLからPPPに転送され、その後、RADIUSに転送される。別の実施形態において、トンネリング「オンデマンド」アーキテクチャを採用することにより、EAPOLからPPPに変換する工程が不要になり、製造者がより簡単に実施できるようになる。別の実施形態において、(PPP認証を開始させるように変更可能な)RADIUSプロキシを採用することもできるし、修正EAPデーモン(daemon)を適用することも可能である。これら2つの実施形態の各々に関する詳細は、図11、図12および図13を参照して、後述する。
【0026】
以下参照する各図面において、同じ参照番号は同じ構成部を示す。図1は、本願の一実施形態におけるハードウェア構成の一例を示す。本実施形態においてシステム100として総称する構成は、本発明に従う帯域共有サービスを提供するものである。システム100は、(インターネットウェブサーバおよび/またはデータベース・ファイルサーバとして作動するように構成可能な)少なくとも1つの情報処理装置102を備え、情報処理装置102は、通信ネットワーク106にアクセスし、コンピューティング装置104と通信するようにプログラミングおよび設定される。コンピューティング装置104は、パーソナルコンピュータでもよく、また、GOOGLE ANDROID(登録商標)、APPLE IOS、WINDOWS(登録商標) MOBILEオペレーティングシステムの1つまたは複数を作動させるようなモバイルデバイスでもよく、スマートフォン・デバイス、タブレット型コンピューティング装置やその他のモバイル携帯機器を含むものでもよい。
【0027】
さらに図1を参照して、本明細書に記載する機能への寄与に適した(実質的にルータとして動作可能な)LNSサーバ108およびRADIUSサーバ110も図示されている。コンピューティング装置104、情報処理装置102、ルータ108および/またはサーバ110は、従来の通信プロトコルである伝送制御プロトコル/インターネット・プロトコル(Transmission Control Protocol/ Internet Protocol:TCP/IP)を介して通信するようにしてもよい。少なくとも情報処理装置102およびコンピューティング装置104は、本願に対応する必要のあるすべてのデータベースを備える、または、すべてのデータベースにアクセス可能であることが望ましい。
【0028】
通信ネットワーク106は、インターネット等のグローバルパブリック通信ネットワークであることが望ましいが、ワイドエリア・ネットワーク(WAN)、ローカルエリア・ネットワーク(LAN)、イントラネットやコンピューティング装置と周辺機器との通信を可能にする他のネットワークでもよい。
【0029】
好ましい実施形態において、情報処理装置102およびコンピューティング装置104は、MICROSOFT INTERNET EXPLORER、MOZILLA FIREFOX、APPLE SAFARI等のウェブブラウザ・ソフトウェアを備えることが望ましい。情報処理装置102およびコンピューティング装置104は、従来のデータ通信ネットワーク技術のいずれかを用いて、通信ネットワーク106に接続される。
【0030】
図2は、機能部を示し、これらの機能部の1つまたは複数は、たとえば、情報処理装置102および/またはコンピューティング装置104に設定可能である。図2に示す機能部には、ソフトウェアコードおよび制御作業を実行するために用いられる1つまたは複数の中央処理装置(CPU)202が含まれる。図2に示す他の機能部には、リードオンリーメモリ(read only memory:ROM)204、ランダムアクセスメモリ(random access memory:RAM)206、通信ネットワークを通じて他のコンピューティング装置とデータを送受信する1つまたは複数のネットワーク・インターフェース208、ハードディスク・ドライブ、フロッピー(登録商標)ディスク・ドライブ、テープドライブ、CD ROMまたはDVD等のプログラムコード・データベースおよびアプリケーションデータを記憶する記憶装置210、キーボード、マウス、トラックボール、マイクロフォン等の1つまたは複数の入力装置212、およびディスプレイ214が含まれる。
【0031】
図2に示す種々の構成部は、単一のデバイスシャーシ内に物理的に内蔵される必要はなく、単一の場所に設置される必要もない。たとえば、記憶装置210を、情報処理装置102の残りの構成部から離れた場所に設置するようにしてもよく、ネットワーク・インターフェース208を介して通信ネットワークを通じてCPU202に接続されるようにしてもよい。情報処理装置102および/またはコンピューティング装置104は、必要なデータベース、フォーラムおよびハイパーテキスト・マークアップ言語(hypertext markup lauguage:HTML)でやり取りするその他コミュニティ・サービス、Java(登録商標)アプレットおよびActive-X制御プログラムを提供するまたはこれらにアクセス可能なように、十分な記憶容量を備えるメモリを備えるようにしてもよい。情報処理装置102および/またはコンピューティング装置104は、図2に示す構成部等、予想される動作環境に適した構成部を備える。予想される需要を満たすことができる容量となるように、CPU202、ネットワーク・インターフェース208ならびにならびにメモリおよび記憶装置が選択される。
【0032】
本願の特性として、コンピュータが実行可能なコード(すなわち、ソフトウェア)書き込みを行う当業者は、以下に限定されるものではないが、C、C++、Visual Basic、JAVA(登録商標)、HTML、XML、ACTIVE SERVER PAGES、JAVA(登録商標)サーバページ、サーブレット、MYSQLおよびPHPを含む一般的なコンピュータプログラミング言語および開発環境の組み合わせの内1つまたは複数を用いて、本明細書に記載する機能を実行することができる。
【0033】
以下、実施形態に基づき、ウェブブラウザおよびウェブサイト・サーバ(たとえば、情報処理装置102)を用いるウェブに基づくシステムを例にとって、本願を詳述するが、システム100はこのような構成に限定されるものではない。情報処理装置102および/またはコンピューティング装置104が、任意の従来の通信方法を用いて、たとえば、インターネットパケット交換(Interrnet Packet Exchange (IPX)、ダイアルアップ、サードパーティ、プライベートネットワークまたは付加価値通信網(value added network:VAN)等のローカルエリア・ネットワーク・プロトコルと組み合わせた非インターネット型ブラウザWINDOWS(登録商標)ビューア−を用いて、通信を行ってデータを出力するように、システム100を構成するようにしてもよい。
【0034】
さらに、情報処理装置102および/またはコンピューティング装置104上では、任意の適当なオペレーティングシステム、たとえば、DOS、WINDOWS 3.x(登録商標)、WINDOWS 95(登録商標)、WINDOWS 98(登録商標)、WINDOWS NT(登録商標)、WINDOWS 2000(登録商標)、WINDOWS ME(登録商標)、WINDOWS CE(登録商標)、WINDOWS POCKET PC(登録商標)、WINDOWS XP(登録商標)、WINDOWS VISTA(登録商標)、WINDOWS 7(登録商標)、MAC OS、UNIX(登録商標)、LINUX(登録商標)、PALM OS、POCKET PC、BLACKBERRY、ANDROID(登録商標)、IOSおよび任意の他の適当なオペレーティングシステム、を用いることができる。
【0035】
図3は、一実施形態において、セキュアトンネル型環境に対応する複数のデバイスを示し、これに関係する各通信フローを識別する様子を示す。図3の実施形態に示すように、設定済みルータ302は、たとえば、ホワイトリスト・ドメイン、ウェルカムページURL(uniform resource locator)、L2TPサーバ(LNS)詳細等を含む設定プロファイル情報を得るためのRADIUS要求を、RADIUSプロキシサーバ304に送信する(ステップ9)。一実施形態において、RADIUSプロキシサーバは、ユーザ要求および設定済みルータ302の設定要求に対して、認証およびアカウンティングを行う。これに応じて、RADIUSプロキシサーバ304は、設定プロファイル情報を設定済みルータ302に送信する(ステップ2)。ユーザーのアクセスが許可されたまたは認可されたドメイン(ホワイトリスト・ドメイン)にハイパーテキスト転送プロトコル(hypertext transport protocol:HTTP)要求が送信されると、設定済みルータ302は、このHTTP要求をユーザに転送する。ユーザは、ルータのパブリックIPアドレスを用いてNATを介してトラフィックを変換し、インターネットに転送する(ステップ3)。HTTP応答がユーザのウェブブラウザ・ソフトウェア・アプリケーションに送信される(ステップ4)。
【0036】
ステップ5で、ユーザは、HTTPプロトコルを用いて、ホワイトリストではないウェブサーバへの接続(従来の認証が要求される)を試みる。ステップ6で、設定済みルータ302(図では「Fonera」(フォネラ))は、HTTPプロトコルを用いて、キャプティブポータル(ウェブサーバ320)にユーザをリダイレクトする。この処理は、ウェブ認証が用いられる実施形態で実行される。ステップ7および8で、ユーザデバイス306は、HTTPプロトコルで、キャプティブポータルを要求し、ウェブサーバ320は、ログインフォームを含むキャプティブポータルを送信する。ステップ9で、ユーザデバイス306は、望ましくはパスワード認証プロトコル(password authentication protocol:PAP)を介してウェブサーバ320に認証情報を送信する。ウェブサーバ320は、ローカルまたはリモートデータベースまたはシステムとの間で認証情報を照合する(ステップ10)。この場合、2つのシステム間で規定される任意の適当なプロトコルを用いるようにしてもよい。たとえば、ユーザデバイス306がトンネルを確立するために後で用いるワンタイム・パスワードを用いて、別のHTTPリダイレクトを形成する。
【0037】
ユーザ認証情報が認証されると、トンネル確立プロセスが開始される。ユーザデバイス306は、HTTPプロトコルで、受信したワンタイム・パスワードを設定済みルータ302に送信する(ステップ12)。設定済みルータ302は、その後、L2TPレイヤ2トンネルを開始し(ステップ13)、ワンタイム・パスワードを用いて、LNSサーバ308との間で、L2TPレイヤ2トンネル上においてPPPセッションを開始する(ステップ14)。LNSサーバ308は、認証要求を、RADIUSプロキシサーバ304とのRADIUS通信に変換する(ステップ15)。RADIUSプロキシサーバ304は、認証情報を最終RADIUSサーバ316に転送する(ステップ16)。最終RADIUSサーバ316は、ワンタイム・パスワードを認証する。この実施形態において、インターネットを通じてやり取りされる認証情報を保護するために、304と316との間の通信は、セキュアVPNトンネルを通じて行われることが望ましい。また、このVPNを提供するために、DCR312および314が用いられる。
【0038】
さらに図3を参照して、認証成功メッセージ(アクセス承認)がRADIUサーバ316からRADIUSプロキシサーバ304に送信された(ステップ17)後、このメッセージはLNS RADIUS308に送信される(ステップ18)。LNS RADIUS308は、認証情報が有効であり、PPPセッションが正しく確立されたことを、設定済みルータ302に通知する(ステップ19)。PPPセッションの確立後、トラフィック・アカウンティングが提供される。たとえば、設定済みルータ302は、RADIUSアカウンティング開始パッケージをRADIUSプロキシサーバ304に送信することにより、アカウンティング・プロセスを開始する(ステップ20)。RADIUSプロキシサーバ304は、パッケージをRADIUSサーバ316に転送する(ステップ21)。RADIUSサーバ316からの応答は、RADIUSプロキシサーバ304に送信され(ステップ22)、RARIUSプロキシサーバ304は、この応答を設定済みルータ302に送信する(ステップ23)。
【0039】
プロセスのこの時点で、ユーザは既に認証されており、確立されたトンネルを用いて自由にインターネットに接続可能である。設定済みルータ302がLNSサーバ308から肯定的認証確認を受信すると(ステップ19参照)、ステップ24で、(必要に応じてNATまたはPATを含む)ルールを実行し、ユーザデバイス306のトラフィックを最近確立されたPPPセッション内に導入する。その後およびこの時点以降、ユーザは、認証されて、インターネット上の任意のサーバに自由にナビゲート可能であるが、トラフィックはトンネルを通じてルーティングされる。
【0040】
さらに図3を参照して、トンネリングされ、場合によってタッピング/ミラーリングされるトラフィックが図示されている。図3の実施形態では、ユーザ要求がインターネット上の任意のサーバ(たとえば、HTTP、SMTP、VoIP等)にアクセスされると(ステップ25)、ユーザ・トラフィックがトンネルを通じて送信される。設定済みルータ302は、PPPトンネルに要求およびそれに続いてトラフィックを転送し(ステップ26)、LNSサーバ308に送信する。LNSサーバ308は、パブリックアドレス変換(public address translation:PAT)を行うように設定されている場合には、パブリックアドレス変換を行い(ステップ27)、場合によっては、さらに、仲介デバイスにユーザ・トラフィックを注入する(ミラーリングまたは複製する)(ステップ28)。仲介デバイスは、たとえば、オンデマンドでユーザ・トラフィックのミラーリングを要求する警察や他の機関に対してアクセス可能なまたはアクセスするように設定可能なシステムでもよい。さらに、送付先(最初に要求されたサーバ)までのユーザ・トラフィックのルーティングが行われる(ステップ29)この通信経路は、逆方向でも同様に機能する(必要に応じて仲介デバイスに入力トラフィックをミラーリングして、最終的に、エンドユーザ・デバイスに送信する(ステップ30〜33))。
【0041】
したがって、実施形態を参照して上述したように、ホワイトリスト・ドメインおよび非ホワイトリスト・ドメインへのアクセスと、ウェブサーバ認証、トンネル認証およびキャプティブポータル認証を含むユーザ認証およびユーザ承認と、を含むユーザ接続フローが提供される。
【0042】
一実施形態において、少なくとも3つのセッション・アカウンティングの統合が行われる。1つ目は、1つまたは複数のRADIUSサーバ110によるPPPセッション・アカウンティングである。2つ目は、RADIUSサーバ110により作成されるキャプティブポータル・セッション・アカウンティングである。3つ目は、LNSサーバ108により提供されるNATアカウンティングである。PPPセッション・アカウンティングは、少なくとも、ユーザのセッション開始時間と終了時間およびPPPセッションが終了する各LNSのIPアドレスを含むものでもよい。PPPセッション・アカウンティングは、さらに、LNS用のトンネルIPソースに含まれる、ユーザのインターネット・サービス・プロバイダ(Internet service provider:ISP)によりユーザに提供されるルータ装置等のカスタマ構内設備(customer premises equipment:CPE)307への割当IPアドレスを含むものでもよい。これは、CPE307が設定済みルータワイドエリア・ネットワーク(wide area network:WAN)IPアドレスを変換する(NATする)ためである。一実施形態において、CPE307には、インターネット接続のためのルータおよび/またはインターネット・アクセスポイントが含まれる。PPPセッション・アカウンティングに含まれる他の情報としては、PPPセッション用にLNSにより設定済みルータに割り当てられたプライベートIPアドレスや、ユーザのユーザ名、アカウンティングパケットの種類、および、FONの固有セッション識別子が挙げられる。FONの固有セッション識別子は、キャプティブポータル・セッション用の識別子と同一のものでもよい。
【0043】
一実施形態において、キャプティブポータルは、設定済みルータ302におけるユーザ認証およびアカウンティングを管理する。キャプティブポータル・セッション・アカウンティングは、ユーザのセッション開始時間とセッション終了時間、ユーザのユーザ名、ユーザデバイスの種類(スマートフォン等)とメディアアクセス制御(media access control:MAC)アドレス、ユーザのCPE307のMACアドレス、DHCPを介して設定済みルータにより割り当てられるユーザのコンピューティング装置(スマートフォン等)のIPアドレスおよび(PPPセッションに関して上述したものと同じ)固有セッション識別子の中の1つまたは複数を含むことが望ましい。
【0044】
さらに、NAT変換セッション・アカウンティングは、LNSサーバ108により作成され、変換作成時間、変換削除時間、アカウンティングの種類(たとえば、NAT作成またはNAT削除)、レイヤ4通信プロトコル(UDPまたはTCP)、PPPセッションIPアドレス(内部アドレス)とポート、変換に用いられるLNSパブリックIPアドレスとポート、および、ユーザが到達するインターネットIPアドレスとポートの中の1つまたは複数を含む。
【0045】
各セッションアカウンティングに従って、ユーザトラッキングおよび識別が行われる。たとえば、ユーザのパブリックIPアドレス、TCPまたはUDPポートおよびタイムフレームは、あらかじめ分かっている。本願では、この情報を用いて、タイムフレームが適当であれば(すなわち、24時間のタイムフレームにおいて、複数のPPPセッションが、それぞれ別の時間に同一のプライベートIPアドレスを共有することが可能である)、単一のPPPセッションに関係し、そのPPPセッションに割り当てられたプライベートIPアドレスを検索する。さらに、PPPセッションIPアドレスを用いて、そのIPアドレス用のPPPセッション・アカウンティングを決めることができ、また、ユーザのユーザ名とCPE307アドレスを決めることができる。
【0046】
さらに情報が必要な場合には(たとえば、ユーザデバイスのMACアドレス)、固有セッションIDを取得し、同じ固有セッションIDを有するキャプティブポータルのユーザセッションを検索することが可能である。これにより、ユーザデバイスのMACアドレスおよび設定済みルータのMACアドレスを識別することができる。
【0047】
本発明は、スケーラビリティと冗長性とを促進するためのモジュラー設計を含む「ライブ・プラットフォーム」を提供する。一実施形態において、LNSサブプラットフォームは、設定済みルータ302から開始されるL2TP PPPトンネルを終了させる。LNSサブプラットフォームは、さらに、ユーザのセッションにプライベートIPアドレスを割り当て、プライベートIPアドレスをパブリックIPアドレスに変換し、NATアカウンティングを作成し、外部システムログに転送し、RADIUSプロトコルを用いてユーザのセッションを認証し、RADIUSプロトコルを用いてセッション・アカウンティングを作成するものでもよい。
【0048】
また、暗号化トンネル(Gre/IPSec)にセキュアなRADIUS認証およびその他のトランザクション用のプラットフォームを備えることが可能な1つまたは複数の設定済みルータ/ファイヤウォールを含む情報技術(information technology:IT)サービス・プラットフォームを提供することもできる。ITサービス・プラットフォームは、データセンタに設置されるサーバを保護するために、1つまたは複数のファイヤウォール機能を実行するものでもよい。ITサービスフラットフォームは、また、RADIUSプロキシサーバを備えるものでもよい。一実施形態において、RADIUSプロキシサーバは、RADIUS認証およびアカウンティングを集中させて、本発明に従うシステムおよび方法のプロバイダまたは所有者により維持または管理され、世界中の何れの場所に設置されていてもかまわないRADIUSサーバ110に、RADIUS認証およびアカウンティングに関連する情報を転送する。さらに、モニタリングサーバを備えるものでもよい。モニタリングサーバは、ネットワークとサーバ装置のヘルス・ステータスをチェックして、本発明に従うシステムおよび方法のプロバイダまたは所有者により維持または管理されるものでもよい集中型モニタ・プラットフォームに、ヘルスチェックの情報を転送するように構成される。さらに、情報開示サーバを備えるものでもよい。情報開示サーバは、情報開示作業に必要な情報(RADIUSログ、NATアカウンティング等)を記憶し、データ抽出用のセキュアなウェブ・インターフェースを提供する。
【0049】
LNSサブプラットフォーム、境界スイッチに加えて、本明細書で記載するプラットフォームは、LNSおよびITサービス・サブプラットフォームからのトラフィックを集約すると共に、ISP集約プラットフォームとのIP接続を可能にし、また、冗長性を目的としたデータセンタ間の接続を可能にするように構成される。
【0050】
別の実施形態において、PPPおよびL2TPをPPPoE技術に置き換えることも可能である。さらに、第2のルータ装置(たとえば、設定済みルータ302)とCPEとの組み合わせをISP(たとえば、CPE)装置の単一カスタマ構内設備に置き換えることも可能である。このような実施形態では、たとえば、機器の数が削減できるため、より効率が高く、コストが少なくてすむ。
【0052】
図4は、一実施形態において、L2TPトンネルを確立する前にIPアドレスを割り当てる様子を示す。複数のIPアドレスが、本願の各ユーザデバイスに割り当てられる。図4に示す例では、IPアドレス402(図では、192.168.182.10)は、インターネットアクセス可能に構成される携帯電話(たとえば、「スマートフォン」)、携帯情報端末(たとえば、IPOD TOUCH)、3G、4Gおよび/またはWi-Fi接続に対応するように設定可能なタブレットコンピューティング装置、または任意の他の適当なデバイス等のデバイス用に、設定済みルータ302により割り当てられるプライベートIPアドレスである。IPアドレス404(図では、192.168.182.1)は、設定済みルータ302用に割り当てられるプライベートIPアドレスであり、ユーザのローカルエリア・ネットワーク(LAN)に適用可能である。IPアドレス404は、あらかじめ設定される(たとえば、あらかじめ設定された状態でユーザに配布される)ものでもよいし、あるいは、ユーザ等によりユーザ宅内で設定されるものでもよい。外部IPアドレス406(図では、172.16.34.10)は、設定済みルータ302用のワイドエリア・ネットワーク(WAN)プライベートIPアドレスであり、たとえば、DHCPを介してCPE307により割り当てられるものでもよい。あるいは、IPアドレス406は、ユーザ等によりユーザ宅内で割り当てられるものでもよい。
【0053】
図4に示すIPアドレス割り当ての例をさらに参照して、IPアドレス408(図では、172.16.34.1)は、ユーザのローカルエリア・ネットワーク(LAN)用に、CPE307に対して割り当てられる。図示される例では、IPアドレス408は、ユーザのISPにより割り当てられるプライベートIPアドレスであり、CPE307は、IPアドレスを用いてあらかじめ設定されるものでもよいし、あるいは、ユーザ宅内で設定されるものでもよい。IPアドレス410(図では、62.134.8.18)は、ワイドエリア・ネットワーク(WAN)パブリックIPアドレスであり、たとえば、DHCP、ポイント・ツー・ポイント・プロトコル・オーバーイーサネット(登録商標)(Point to Point Protocol over Ethernet(登録商標):「PPPoE」)または他の適当な動的または静的手段を介してユーザのISPにより割り当てられる。IPアドレス412(図では、62.134.8.17)は、CPE307用のデフォルト・ゲートウェイで、ユーザのISPにより提供される。
【0054】
したがって、図4に示すように、設定済みルータ302におけるPAT414は、図に192.168.182.0/24で示す「内部」ネットワークIPアドレスレンジを提供し、この「内部」ネットワークIPアドレスレンジは、図に172.16.34.10で示す「外部」IPアドレスに接続される。CPE307のPAT416は、図に172.16.34.0/24で示す「内部」ネットワークIPアドレスレンジを提供し、この「内部」ネットワークIPアドレスレンジは、図に62.134.8.18で示す「外部」IPアドレスに接続される。したがって、図4に示すように、IPアドレスレンジ192.168.182.0/24またはアドレスレンジ172.16.34.0/24内でローカルエリア・ネットワークに接続されるスマートフォン等の任意のコンピューティング装置は、PATプロセスによりCPE307を介して設定されるパブリックIPアドレス62.134.8.18を用いる。この例では、L2TPトンネルの確立前に、各接続およびネットワークに接続されるデバイスのIPアドレスを確定することはできない。
【0055】
図5は、一実施形態において、L2TPトンネルの確立後であって、PPPセッションの確立前にIPアドレスを割り当てる様子を示す。PPPセッションの前には、IPアドレスレンジ192.168.182.0/24内で、ローカルエリア・ネットワークに接続されるスマートフォンやその他のノードに関して、IPアドレス指定は変化しない。図4を参照して上述したように、設定済みルータ302で外部IPアドレス172.16.34.10に対してPATが生じる。設定済みルータ302により単一のL2TPトンネル502が確立され、LNSサーバに対するダイレクト(たとえば、物理的な)接続(たとえば、レイヤ2機能を有するケーブルを介して)がエミュレートされる。図5に示す例では、宛先IPアドレスは、LNSサーバ108のWAN IPアドレスである205.67.78.20である。CPE307におけるPATの結果、内部ネットワーク172.16.34.0/24は外部IPアドレス62.134.8.18に変換される。L2TPトンネルソースIPアドレス410は、外部IPアドレス410(図4)に変換される。この段階では、L2TPトンネルのみが確立され、PPPセッションは確立されていないため、ユーザ・トラフィックの送信は行われない。LNSサーバ108は、IPアドレス410(図では、62.134.8.18)および宛先IP205.67.78.20を確認する。さらに、ループバックIPアドレス(1.1.1.1)が、LNSサーバ108(図では、205.67.78.20)のWAN IPアドレスに用いられる。
【0056】
図6は、L2TPトンネルとPPPセッションが両方とも確立されている実施形態において、IPアドレスを割り当てる様子を示す。設定済みルータ302において、PPPセッション用の静的NATが生じる。この静的NATは、PPPセッションの前に生じた前回のPATプロセスよりも優先度が高いと考えられる。ユーザデバイスと設定済みルータ302との間の初期通信の間、スマートフォン等のエンドユーザ・デバイスにおけるIPアドレス指定は変化しない。PPPセッションIPアドレスは規定される(図5に10.128.40.34として示す)。複数のPPPセッションをL2TPトンネルを通して送信可能であり、LNSサーバ108は、各PPPセッションに異なるプライベートIPアドレスを割り当てることができる。さらに図6に示すように、IPソースアドレス(図では、10.128.40.34)から宛先IP1.1.1.1(たとえば、IPループバックIPアドレス)へのPPPトンネルアドレス指定が行われる。(図5を参照して上述したように)設定済みルータ302において、L2TPトンネルソースIPアドレス410は、外部IPアドレス410(図4)に変換される。IPアドレスはカプセル化されてL2TPトンネル内に導入されるため、L2TPトンネルの確立後は、PPPセッションIPアドレスを変換しないことが望ましい。その後、CPE307においてPATプロセスが生じると、PPPセッション・デフォルト・ゲートウェイが規定される。L2TPトンネルのために、レイヤ2接続がエミュレートされ、設定済みルータ302は、LNS504のIPループバックIPアドレスに直接接続されているとみなされる。その後、LNS504においてPATプロセスが生じ、PPPセッションのトラフィックは、最終的な宛先に送るためにインターネットに転送される前に、変換される。図6に示す例では、ネットワークソースIPアドレスは、IPアドレスレンジ10.128.0.0/16内であり、ネットワーク宛先IPあどれすは、IPアドレスレンジ205.67.80.64/26内である。その後、PATアカウンティングが記憶されることが望ましく、インターネットにおけるユーザデバイス(たとえば、スマートフォン)のIPアドレス(図では、205.67.80.65)が識別可能となる。
【0058】
図11〜図13は、本発明に従う実施形態を示す。上述したように、EAPを用いて、ユーザ認証等の認証情報を送信するようにしてもよい。ただし、従来のシステムでは、スマートフォン等のモバイル・コンピューティング装置からRADIUSサーバ110等の認証サーバへの認証情報の送信にEAPを利用することはできない。
【0059】
一実施形態において、データは、1つのフォーマットでカプセル化され、スマートフォンであるコンピューティング装置104等の1つのデバイスから送信され、EAPカプセルを除去してPPP等の別のプロトコルを用いて認証情報をカプセル化する別のデバイスに送信される。その後、RADIUSサーバ110等の別のデバイスに送信される。RADIUSサーバ110は、カプセル化されたPPP認証情報を受信すると、認証情報を用いてユーザ認証を行って(あるいは、認証情報が不正であるまたは別の理由で認証を行わずに)、PPPを介して応答を送信する。PPPを介して受信した応答は、コンピューティング装置104に返信される前に、開封されて、EAPにカプセル化しなおされる。
【0060】
図11は、データ送信と採用されている各通信プロトコルに加えて、ハードウェア構成1100を例示する。図11に示すように、1つのフェーズで認証が行われる。ハンドセット104を用いるユーザは、802.1x(EAPOL)を用いて関連付けを試み、このプロトコルでカプセル化されたEAPメッセージを送信する(ステップS1102)。設定済みルータ302は、EAPメッセージをEAPOLからPPPに変換し、LNSに送信する(ステップS1104)。LNSサーバ108は、EAPメッセージをPPPカプセルからRADIUSカプセルに変換し、RADIUSサーバ110に転送する(ステップS1106)。
【0061】
したがって、図11に示すように、設定済みルータ302は、EAPOLカプセル内の認証情報を受信し、EAPOLカプセルを除去して、認証情報をPPPにカプセル化し、LNSサーバ108に送信する。LNSサーバ108は、PPPパケットを受信し、RADIUSプロトコルで、RADIUSサーバ110にEAP認証情報を転送する。認証成功は、ルータ302とLNSサーバ108との間にPPP/L2TPトンネルが確立されたことを意味する。トンネルは、ユーザハンドセット104に固有のものであり、このデバイスから入出力されるトラフィックは、セッションが終了するまでトンネルを通るようにルーティングされる。
【0062】
図12は、データ送信と採用されている各通信プロトコルに加えて、ハードウェア構成1200を例示する。図12に示される例では、トンネルの確立は、2つのフェーズで行なわれる。フェーズ1では、ユーザ認証が実行される。ユーザは、802.1x(EAPOL)を用いて信号の関連付けを試み、このプロトコルでカプセル化されたEAPメッセージを送信する(ステップS1202)。設定済みルータ302は、EAPメッセージをEAPOLカプセルからRADIUSフォーマットに変換し、直接RADIUSサーバ110に送信する(ステップS1204)。フェーズ2では、たとえばRADIUSサーバ110によってユーザが認証された場合、RADIUSサーバ110は、必要に応じて、設定済みサーバ302にワンタイム・パスワードを返信する。設定済みサーバ302は、このワンタイム・パスワードを用いて、LNS108との間にL2TP/PPPトンネルを確立し、L2TP/PPPトンネルを用いたユーザ・トラフィックのルーティングが行われる(ステップS1206)。
【0063】
したがって、図12に示すように、ユーザデバイス104は、(図示しない)ユーザ認証情報を有し、802.1x(EAPOL)プロトコルを用いて設定済みルータ302との関連付けを開始する。EAPを用いて、ユーザを認証するメッセージを送信する。EAPメッセージは、用いられるEAPの種類(EAP-SIM、EAP-AKA、EAP-TTLSやその他適当な種類)に応じて異なるものでもよい。設定済みルータ302は、802.1x(EAPOL)でカプセル化されたEAPメッセージをRADIUSパケットにカプセル化しなおし、ユーザ認証のために、RADIUSサーバに送信する。RADIUSサーバ110は、RADIUSカプセル化された新しいEAPメッセージをLNSサーバ108に返信する(当技術分野で周知のように、認証情報が認証されたとみなされるまで、このプロセスが複数回実行されることもある)。承認メッセージと共に、(必要に応じて)ワンタイム・パスワードを設定済みルータ302に送信するようにしてもよい。RADIUSサーバ110がワンタイム・パスワード(パラメータで識別可能なものでもよい)を送信すると、設定済みルータ302は、受信したワンタイム・パスワードを用いてL2TP/PPPパケットを作成し、(たとえば、PAP、CHAP、EAP等の適当な認証プロトコルを介して)LNSサーバ108に対するPPPセッションを確立する(ステップS1208)。
【0064】
さらに図12を参照して、RADIUSサーバ110の承認メッセージを受信後に、または、(必要に応じて)PPPが確立後に、設定済みルータ302は、RADIUSサーバ110からクライアントデバイス104にEAPメッセージを転送して、関連付けを可能にする。その後、トンネルが確立されている場合には、トンネルを用いて、トラフィックがインターネットに転送される。
【0066】
したがって、本発明は、Wi-Fiまたは他の帯域共有により一つの通信ネットワークにアクセスする各ユーザを識別するシステムおよび方法を提供する。共有パブリックIPアドレスを介して、Wi-Fiサービスの個々のユーザを識別し、たとえば、当局に情報開示することが可能になる。
【0067】
本発明を特定の実施形態に関連付けて記載および図示したが、当業者には自明のように、他の多くの態様に変更および変形可能であり、他の態様で使用可能である。したがって、さまざまな実施形態および変形態様を記載したが、本発明は何らこれらに限定されるものではない。本発明は、たとえば、以下のような態様で実現することもできる。
適用例1:
方法であって、
無線ゲートウェイ装置により、ユーザ・コンピューティング装置から、ネットワークアクセスのための要求を受信する工程であって、前記要求は、認証情報を含み、第1の通信プロトコルで受信される、工程と、
前記無線ゲートウェイ装置により、前記第1の通信プロトコルと異なる第2の通信プロトコルに適合するように、前記要求をフォーマットする工程と、
前記無線ゲートウェイ装置により、少なくとも1つの認証コンピューティング装置に、前記フォーマットされた要求を送信する工程と、
前記無線ゲートウェイ装置により、前記少なくとも1つの認証コンピューティング装置から、前記ネットワークアクセスのための要求を許可する応答を受信する工程であって、前記応答は、前記第2の通信プロトコルに適合するようにフォーマットされる、工程と、
前記無線ゲートウェイ装置により、前記第1の通信プロトコルに適合するように、前記応答をフォーマットする工程と、
前記無線ゲートウェイ装置により、前記ユーザ・コンピューティング装置に、前記フォーマットされた応答を送信する工程と、
前記少なくとも1つの認証コンピューティング装置と前記ユーザ・コンピューティング装置との間に、第1の通信経路を確立する工程と、
前記少なくとも1つの認証コンピューティング装置により、前記第1の通信経路を介して、少なくとも1つの他のコンピューティング装置に対するアクセス要求を受信する工程と、
前記少なくとも1つの認証コンピューティング装置により、前記少なくとも1つの他のコンピューティング装置に、前記アクセス要求を転送する工程と、
前記少なくとも1つの認証装置により、前記少なくとも1つの他のコンピューティング装置から、前記アクセス要求を許可する応答を受信する工程と、
前記少なくとも1つの認証装置により、前記ユーザ・コンピューティング装置に、前記アクセス要求を許可する前記応答を転送する工程と、
前記少なくとも1つの認証装置により、少なくとも1つのデータベースに、前記ユーザ・コンピューティング装置と前記少なくとも1つの他のコンピューティング装置のうちの少なくとも1つのIDを記憶させる工程と、を備える方法。
適用例2:
適用例1の方法であって、
前記第1の通信プロトコルは、HTTPである、方法。
適用例3:
適用例1の方法であって、
前記第1の通信プロトコルは、EAPである、方法。
適用例4:
適用例1の方法であって、
前記第2の通信プロトコルは、PPPである、方法。
適用例5:
適用例1の方法であって、
前記少なくとも1つの認証装置は、レイヤ2トンネリング・プロトコル・ネットワークサーバ(LNS)を含む、方法。
適用例6:
適用例5の方法であって、さらに、
前記LNSにより、前記ネットワークアクセスのための要求を再フォーマットする工程であって、前記再フォーマットは、前記第1の通信プロトコルおよび前記第2の通信プロトコルと異なる第3の通信プロトコルにより行われる、工程と、
前記LNSにより、少なくとも1つの第2の認証装置に、前記再フォーマットされた要求を送信する工程と、を備える方法。
適用例7:
適用例6の方法であって、
前記第3の通信プロトコルは、RADIUSプロトコルである、方法。
適用例8:
適用例6の方法であって、
前記少なくとも1つの第2の認証装置は、RADIUSサーバである、方法。
適用例9:
適用例1の方法であって、
前記無線ゲートウェイ装置によるフォーマットは、ポイント・ツー・ポイント・プロトコルで前記要求をカプセル化することを含む、方法。
適用例10:
適用例1の方法であって、
前記認証装置は、さらに、ユーザ認証情報とセッションアドレスとをログ化する、方法。
適用例11:
適用例1の方法であって、さらに、
前記無線ゲートウェイ装置により、第2のユーザ・コンピューティング装置から、ネットワークアクセスのための第2の要求を受信する工程であって、前記第2の要求は、認証情報を含み、前記第1の通信プロトコルで受信される、工程と、
前記無線ゲートウェイ装置により、前記第1の通信プロトコルと異なる前記第2の通信プロトコルに適合するように、前記第2の要求をフォーマットする工程と、
前記無線ゲートウェイ装置により、前記少なくとも1つの認証コンピューティング装置に、前記フォーマットされた第2の要求を送信する工程と、
前記無線ゲートウェイ装置により、前記少なくとも1つの認証コンピューティング装置から、前記ネットワークアクセスのための第2の要求を許可する第2の応答を受信する工程であって、前記第2の応答は、前記第2の通信プロトコルに適合するようにフォーマットされる、工程と、
前記無線ゲートウェイ装置により、前記第1の通信プロトコルに適合するように、前記第2の応答をフォーマットする工程と、
前記無線ゲートウェイ装置により、前記第2のユーザ・コンピューティング装置に、前記フォーマットされた第2の応答を送信する工程と、
前記少なくとも1つの認証コンピューティング装置と前記第2のユーザ・コンピューティング装置との間に、第2の通信経路を確立する工程と、
前記少なくとも1つの認証コンピューティング装置により、前記第2の通信経路を介して、少なくとも1つの他のコンピューティング装置に対するアクセス要求を受信する工程と、
前記少なくとも1つの認証コンピューティング装置により、前記少なくとも1つの他のコンピューティング装置に、前記アクセス要求を転送する工程と、
前記少なくとも1つの認証装置により、前記少なくとも1つの他のコンピューティング装置から、前記アクセス要求を許可する応答を受信する工程と、
前記少なくとも1つの認証装置により、前記第2のユーザ・コンピューティング装置に、前記アクセス要求を許可する前記応答を転送する工程と、
前記少なくとも1つの認証装置により、少なくとも1つのデータベースに、前記第2のユーザ・コンピューティング装置と前記少なくとも1つの他のコンピューティング装置のうちの少なくとも1つのIDを記憶させる工程と、を備える方法。
適用例12:
システムであって、
ユーザ・コンピューティング装置から、ネットワークアクセスのための要求であって、認証情報を含む要求を、第1の通信プロトコルで受信する無線ゲートウェイ装置であって、
前記第1の通信プロトコルと異なる第2の通信プロトコルに適合するように、前記要求をフォーマットし、
少なくとも1つの認証コンピューティング装置に、前記フォーマットされた要求を送信し、
前記少なくとも1つの認証コンピューティング装置から、前記ネットワークアクセスのための要求を許可する応答であって、前記第2の通信プロトコルに適合するようにフォーマットされる応答を受信し、
前記第1の通信プロトコルに適合するように、前記応答をフォーマットし、
前記ユーザ・コンピューティング装置に、前記フォーマットされた応答を送信する、ように構成される無線ゲートウェイ装置と、
前記少なくとも1つの認証コンピューティング装置と前記ユーザ・コンピューティング装置との間に確立される第1の通信経路と、を備え、
前記少なくとも1つの認証コンピューティング装置は、少なくとも1つの他のコンピューティング装置に対するアクセス要求を、前記第1の通信経路を介して受信し、
前記少なくとも1つの認証コンピューティング装置は、前記少なくとも1つの他のコンピューティング装置に、前記要求を転送し、
前記少なくとも1つの認証装置は、前記アクセス要求を許可する応答を、前記少なくとも1つの他のコンピューティング装置から受信して、前記ユーザ・コンピューティング装置に転送し、
前記少なくとも1つの認証装置は、少なくとも1つのデータベースに、前記ユーザ・コンピューティング装置と前記少なくとも1つの他のコンピューティング装置のうちの少なくとも1つのIDを記憶する、システム。
適用例13:
適用例12のシステムであって、
前記第1の通信プロトコルは、HTTPである、システム。
適用例14:
適用例12のシステムであって、
前記第1の通信プロトコルは、EAPである、システム。
適用例15:
適用例12のシステムであって、
前記第2の通信プロトコルは、PPPである、システム。
適用例16:
適用例12のシステムであって、
前記少なくとも1つの認証装置は、レイヤ2トンネリング・プロトコル・ネットワークサーバ(LNS)を含む、システム。
適用例17:
適用例16のシステムであって、
前記LNSは、前記第1の通信プロトコルおよび前記第2の通信プロトコルと異なる第3の通信プロトコルに、前記ネットワークアクセスのための要求を再フォーマットし、少なくとも1つの第2の認証装置に、前記再フォーマットされた要求を送信する、システム。
適用例18:
適用例17のシステムであって、
前記第3の通信プロトコルは、RADIUSプロトコルである、システム。
適用例19:
適用例18のシステムであって、
前記少なくとも1つの第2の認証装置は、RADIUSサーバである、システム。
適用例20:
適用例12のシステムであって、
前記無線ゲートウェイ装置は、さらに、ネットワークアクセスのための第2の要求であって、認証情報を含む第2の要求を、前記第1の通信プロトコルで、第2のユーザ・コンピューティング装置から受信し、
前記無線ゲートウェイ装置は、前記第1の通信プロトコルと異なる前記第2の通信プロトコルに適合するように、前記第2の要求をフォーマットし、
前記無線ゲートウェイ装置は、前記少なくとも1つの認証コンピューティング装置に、前記フォーマットされた第2の要求を送信し、
前記無線ゲートウェイ装置は、前記少なくとも1つの認証コンピューティング装置から、前記ネットワークアクセスのための第2の要求を許可する第2の応答であって、前記第2の通信プロトコルに適合するようにフォーマットされる第2の応答を受信し、
前記無線ゲートウェイ装置は、前記第1の通信プロトコルに適合するように、前記第2の応答をフォーマットし、
前記無線ゲートウェイ装置は、前記第2のユーザ・コンピューティング装置に、前記フォーマットされた第2の応答を送信し、
前記少なくとも1つの認証コンピューティング装置と前記第2のユーザ・コンピューティング装置との間に、第2の通信経路が確立され、
前記少なくとも1つの認証コンピューティング装置は、前記第2の通信経路を介して、少なくとも1つの他のコンピューティング装置に対するアクセス要求を受信し、
前記少なくとも1つの認証コンピューティング装置は、前記少なくとも1つの他のコンピューティング装置に、前記アクセス要求を転送し、
前記少なくとも1つの認証装置は、前記少なくとも1つの他のコンピューティング装置から、前記アクセス要求を許可する応答を受信し、
前記少なくとも1つの認証装置は、前記第2のユーザ・コンピューティング装置に、前記アクセス要求を許可する前記応答を転送し、
前記少なくとも1つの認証装置は、少なくとも1つのデータベースに、前記第2のユーザ・コンピューティング装置と前記少なくとも1つの他のコンピューティング装置のうちの少なくとも1つのIDを記憶する、システム。