知財求人 - 知財ポータルサイト「IP Force」
▶ グローバル リーチ テクノロジー インコーポレイテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】特表2019-537175(P2019-537175A)
(43)【公表日】2019年12月19日
(54)【発明の名称】ネットワーク通信に関する改善
(51)【国際特許分類】
G06F 13/00 20060101AFI20191122BHJP
G06F 21/44 20130101ALI20191122BHJP
【FI】
G06F13/00 510A
G06F21/44
【審査請求】未請求
【予備審査請求】未請求
【全頁数】29
(21)【出願番号】特願2019-541890(P2019-541890)
(86)(22)【出願日】2017年10月16日
(85)【翻訳文提出日】2019年6月3日
(86)【国際出願番号】GB2017053129
(87)【国際公開番号】WO2018073571
(87)【国際公開日】20180426
(31)【優先権主張番号】1617586.1
(32)【優先日】2016年10月17日
(33)【優先権主張国】GB
(81)【指定国】
AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,ST,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,KM,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DJ,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IR,IS,JO,JP,KE,KG,KH,KN,KP,KR,KW,KZ,LA,LC,LK,LR,LS,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SA,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT
(71)【出願人】
【識別番号】519141405
【氏名又は名称】グローバル リーチ テクノロジー インコーポレイテッド
(74)【代理人】
【識別番号】100116872
【弁理士】
【氏名又は名称】藤田 和子
(72)【発明者】
【氏名】スペンサー クリストファー アラン
【テーマコード(参考)】
5B084
【Fターム(参考)】
5B084AA02
5B084AA29
5B084AA30
5B084AB34
5B084AB36
5B084BB16
5B084DA13
5B084DB01
5B084DB07
5B084DC03
5B084DC06
(57)【要約】
ユーザ機器のネットワークローミング中に認証サーバ間での期限付き信頼を確立する/可能にするために、期限付き信頼関係メッセージを記憶するための分散データストア(たとえば、メモリキャッシュ)と組み合わせた認証サーバ(たとえば、RADIUSサーバ)を提供する。これは、同期認証メッセージングシーケンスの従来の方法の必要性を回避し、より時間効率のよい非同期の手法で認証メッセージングシーケンスの伝送を可能にする。【選択図】図5
【特許請求の範囲】
【請求項1】
複数の通信ネットワーク・アクセス・ポイントの間で通信ネットワーク内のクライアント機器を認証するための方法であって、
第1の通信ネットワークに第1の認証サーバ装置を、および複数のそれぞれの別の通信ネットワーク・アクセス・ポイントごとに別の認証サーバ装置を提供するステップと、
前記第1の認証サーバ装置により、第1のデータストアに前記クライアント機器を識別するクライアント識別データ項目、および前記クライアント識別データ項目に関連する満了時間を識別する満了データ項目を記憶し、前記別の通信ネットワーク・アクセス・ポイントの各々の前記別の認証サーバ装置に前記クライアント識別データ項目および前記満了データ項目を伝送するステップと、
前記別の認証サーバ装置それぞれにより、別のデータストアに受信した前記クライアント識別データ項目および満了データ項目を記憶し、前記満了データ項目により規定される期間が満了すると、前記記憶したクライアント識別データ項目を前記別のデータストアから削除するステップと、
任意の所与の前記別の認証サーバ装置により、前記第1の通信ネットワークへのアクセスのための前記クライアント機器からのリクエストを受信し、前記クライアント識別データ項目が、前記別のデータストアに記憶されたままである場合、前記クライアント機器との認証通信に対して非同期で前記第1の認証サーバ装置との認証通信を遂行することにより、前記クライアント機器を認証するステップと
を含む方法。
第1の通信ネットワークに第1の認証サーバ装置を、および複数のそれぞれの別の通信ネットワーク・アクセス・ポイントごとに別の認証サーバ装置を提供するステップと、
前記第1の認証サーバ装置により、第1のデータストアに前記クライアント機器を識別するクライアント識別データ項目、および前記クライアント識別データ項目に関連する満了時間を識別する満了データ項目を記憶し、前記別の通信ネットワーク・アクセス・ポイントの各々の前記別の認証サーバ装置に前記クライアント識別データ項目および前記満了データ項目を伝送するステップと、
前記別の認証サーバ装置それぞれにより、別のデータストアに受信した前記クライアント識別データ項目および満了データ項目を記憶し、前記満了データ項目により規定される期間が満了すると、前記記憶したクライアント識別データ項目を前記別のデータストアから削除するステップと、
任意の所与の前記別の認証サーバ装置により、前記第1の通信ネットワークへのアクセスのための前記クライアント機器からのリクエストを受信し、前記クライアント識別データ項目が、前記別のデータストアに記憶されたままである場合、前記クライアント機器との認証通信に対して非同期で前記第1の認証サーバ装置との認証通信を遂行することにより、前記クライアント機器を認証するステップと
を含む方法。
【請求項2】
前記所与の別の認証サーバ装置により、前記ユーザ機器からパスワードを受信するステップを含み、
前記クライアント識別データ項目が前記別のデータストアに記憶されたままである場合、前記クライアント機器を認証する前記ステップは、前記パスワードの検証を条件とせず、
前記クライアント識別データ項目が前記別のデータストアに記憶されままではない場合、前記クライアント機器を認証する前記ステップは、前記パスワードの検証を条件とする、
請求項1に記載の方法。
前記クライアント識別データ項目が前記別のデータストアに記憶されたままである場合、前記クライアント機器を認証する前記ステップは、前記パスワードの検証を条件とせず、
前記クライアント識別データ項目が前記別のデータストアに記憶されままではない場合、前記クライアント機器を認証する前記ステップは、前記パスワードの検証を条件とする、
請求項1に記載の方法。
【請求項3】
前記クライアント機器を認証する前記ステップは、AAA(認証、認可、およびアカウンティング)プロトコルまたはRADIUS(遠隔認証ダイヤルインユーザサービス)プロトコルによる認証通信を遂行するステップを含む、請求項1または2に記載の方法。
【請求項4】
前記第1の認証サーバ装置との前記認証通信は、前記第1の認証サーバ装置にアクセスリクエスト通信を伝送するステップと、前記第1の認証サーバ装置からアクセス許可通信を受信するステップとを含む、
請求項3に記載の方法。
請求項3に記載の方法。
【請求項5】
前記第1の認証サーバ装置との前記認証通信は、前記第1の認証サーバ装置にアカウンティング開始通信を伝送するステップと、前記第1の認証サーバ装置からアカウンティング応答通信を受信するステップとを含む、
請求項3または4に記載の方法。
請求項3または4に記載の方法。
【請求項6】
前記クライアント機器との前記認証通信は、前記クライアント機器からアクセスリクエスト通信を受信するステップと、前記クライアント機器にアクセス許可通信を伝送するステップとを含む、
請求項3〜5のいずれか一項に記載の方法。
請求項3〜5のいずれか一項に記載の方法。
【請求項7】
前記クライアント機器との前記認証通信は、前記クライアント機器からアカウンティング開始通信を受信するステップと、前記クライアント機器にアカウンティング応答通信を伝送するステップとを含む、
請求項3〜6のいずれか一項に記載の方法。
請求項3〜6のいずれか一項に記載の方法。
【請求項8】
前記クライアント識別データ項目は、ユーザ名、前記クライアント機器を識別する情報(たとえば、発呼局ID)のうち任意の1つまたは複数を備える、請求項1〜7のいずれか一項に記載の方法。
【請求項9】
前記満了データ項目は、時間または時点を表す値、日付を表す値、時間間隔を表す値のうち任意の1つまたは複数を備える、請求項1〜8のいずれか一項に記載の方法。
【請求項10】
前記満了データ項目は、前記クライアント機器との認証通信に対して非同期で前記第1の認証サーバ装置との前記認証通信を遂行するために、前記別の認証サーバ装置がどれだけの時間を提供しなければならないかを規定する第1の時間値を備える、請求項9に記載の方法。
【請求項11】
前記満了データ項目は、前記別の認証サーバ装置が、前記記憶したクライアント識別データ項目を前記別のデータストアからいつ削除しなければならないかを規定する第2の時間値を備える、請求項9または10に記載の方法。
【請求項12】
前記削除するステップは、前記第1の時間値、前記第2の時間値のいずれか一方、またはこれらの両方により規定される期間が満了すると、前記記憶したクライアント識別データ項目を前記別のデータストアから削除するステップを含む、請求項11に記載の方法。
【請求項13】
複数の通信ネットワーク・アクセス・ポイントの間で通信ネットワーク内のクライアント機器を認証するためのネットワーク通信装置であって、
複数のそれぞれの別の通信ネットワーク・アクセス・ポイントごとの別の認証サーバ装置と通信状態で配列された第1の通信ネットワークのための第1の認証サーバ装置と、
前記クライアント機器を識別するクライアント識別データ項目、および前記クライアント識別データ項目に関連する満了時間を識別する満了データ項目を記憶するように配列された、前記第1の認証サーバ装置と通信状態で配列された第1のデータストアであって、前記第1の認証サーバ装置は、前記別の通信ネットワーク・アクセス・ポイントの各々の前記別の認証サーバ装置に前記クライアント識別データ項目および前記満了データ項目を伝送するように配列される、第1のデータストアと、
前記第1の認証サーバ装置から伝送されるクライアント識別データ項目および満了データ項目を記憶するための、それぞれの別の認証サーバ装置と通信状態で配列された複数の別のデータストアであって、別の認証サーバ装置それぞれは、前記満了データ項目により規定される期間が満了すると、記憶したクライアント識別データ項目を前記それぞれの別のデータストアから削除するように配列される、複数の別のデータストアと
を含み、
前記別の認証サーバ装置それぞれは、前記第1の通信ネットワークにアクセスするための前記クライアント機器からのリクエストを受信し、前記クライアント識別データ項目が前記別のデータストアに記憶されたままである場合、前記クライアント機器との認証通信に対して非同期で前記第1の認証サーバ装置との認証通信を遂行することにより、前記クライアント機器を認証するように動作可能である、
ネットワーク通信装置。
複数のそれぞれの別の通信ネットワーク・アクセス・ポイントごとの別の認証サーバ装置と通信状態で配列された第1の通信ネットワークのための第1の認証サーバ装置と、
前記クライアント機器を識別するクライアント識別データ項目、および前記クライアント識別データ項目に関連する満了時間を識別する満了データ項目を記憶するように配列された、前記第1の認証サーバ装置と通信状態で配列された第1のデータストアであって、前記第1の認証サーバ装置は、前記別の通信ネットワーク・アクセス・ポイントの各々の前記別の認証サーバ装置に前記クライアント識別データ項目および前記満了データ項目を伝送するように配列される、第1のデータストアと、
前記第1の認証サーバ装置から伝送されるクライアント識別データ項目および満了データ項目を記憶するための、それぞれの別の認証サーバ装置と通信状態で配列された複数の別のデータストアであって、別の認証サーバ装置それぞれは、前記満了データ項目により規定される期間が満了すると、記憶したクライアント識別データ項目を前記それぞれの別のデータストアから削除するように配列される、複数の別のデータストアと
を含み、
前記別の認証サーバ装置それぞれは、前記第1の通信ネットワークにアクセスするための前記クライアント機器からのリクエストを受信し、前記クライアント識別データ項目が前記別のデータストアに記憶されたままである場合、前記クライアント機器との認証通信に対して非同期で前記第1の認証サーバ装置との認証通信を遂行することにより、前記クライアント機器を認証するように動作可能である、
ネットワーク通信装置。
【請求項14】
別の認証サーバ装置それぞれは、前記ユーザ機器からパスワードを受信するように配列され、
前記クライアント識別データ項目が前記別のデータストアに記憶されたままである場合、前記クライアント機器を前記認証することは、前記パスワードの検証を条件とせず、
前記クライアント識別データ項目が前記別のデータストアに記憶されたままではない場合、前記クライアント機器を前記認証することは、前記パスワードの検証を条件とする、
請求項13に記載のネットワーク通信装置。
前記クライアント識別データ項目が前記別のデータストアに記憶されたままである場合、前記クライアント機器を前記認証することは、前記パスワードの検証を条件とせず、
前記クライアント識別データ項目が前記別のデータストアに記憶されたままではない場合、前記クライアント機器を前記認証することは、前記パスワードの検証を条件とする、
請求項13に記載のネットワーク通信装置。
【請求項15】
前記クライアント機器を前記認証することは、AAA(認証、認可、およびアカウンティング)プロトコルまたはRADIUS(遠隔認証ダイヤルインユーザサービス)プロトコルによる認証通信を遂行することを含む、請求項13に記載のネットワーク通信装置。
【請求項16】
前記第1の認証サーバ装置との前記認証通信は、前記第1の認証サーバ装置にアクセスリクエスト通信を伝送することと、前記第1の認証サーバ装置からアクセス許可通信を受信することとを含む、
請求項15に記載のネットワーク通信装置。
請求項15に記載のネットワーク通信装置。
【請求項17】
前記第1の認証サーバ装置との前記認証通信は、前記第1の認証サーバ装置にアカウンティング開始通信を伝送することと、前記第1の認証サーバ装置からアカウンティング応答通信を受信することとを含む、
請求項15または16に記載のネットワーク通信装置。
請求項15または16に記載のネットワーク通信装置。
【請求項18】
前記クライアント機器との前記認証通信は、前記クライアント機器からアクセスリクエスト通信を受信することと、前記クライアント機器にアクセス許可通信を伝送することとを含む、
請求項15〜17のいずれか一項に記載のネットワーク通信装置。
請求項15〜17のいずれか一項に記載のネットワーク通信装置。
【請求項19】
前記クライアント機器との前記認証通信は、前記クライアント機器からアカウンティング開始通信を受信することと、前記クライアント機器にアカウンティング応答通信を伝送することとを含む、
請求項15〜18のいずれか一項に記載のネットワーク通信装置。
請求項15〜18のいずれか一項に記載のネットワーク通信装置。
【請求項20】
前記クライアント識別データ項目は、ユーザ名、前記クライアント機器を識別する情報(たとえば、発呼局ID)のうち任意の1つまたは複数を備える、請求項13〜19のいずれか一項に記載のネットワーク通信装置。
【請求項21】
前記満了データ項目は、前記クライアント機器との認証通信に対して非同期で前記第1の認証サーバ装置との前記認証通信を遂行するために、前記別の認証サーバ装置がどれだけの時間を提供しなければならないかを規定する第1の時間値を備える、請求項13〜20のいずれか一項に記載のネットワーク通信装置。
【請求項22】
前記満了データ項目は、前記別の認証サーバ装置が、前記記憶したクライアント識別データ項目を前記別のデータストアからいつ削除しなければならないかを規定する第2の時間値を備える、請求項13〜21のいずれか一項に記載のネットワーク通信装置。
【請求項23】
前記削除することは、前記第1の時間値、前記第2の時間値のいずれか一方、またはこれらの両方により規定される期間が満了すると、前記記憶したクライアント識別データ項目を前記別のデータストアから削除することを含む、請求項22に記載のネットワーク通信装置。
【請求項24】
複数の通信ネットワーク・アクセス・ポイントの間で通信ネットワーク内のクライアント機器を認証するためのネットワーク通信装置であって、
複数のそれぞれの別の通信ネットワーク・アクセス・ポイントごとに別の認証サーバ装置とネットワーク通信状態で適合され、配列された第1の通信ネットワークのための第1の認証サーバ装置と、
前記クライアント機器を識別するクライアント識別データ項目と、満了データ項目により規定される期間が満了すると別のデータストアから前記クライアント識別データ項目を削除する際に使用するための、前記クライアント識別データ項目に関連する満了時間を識別する前記満了データ項目とを記憶するように配列された、前記第1の認証サーバ装置とネットワーク通信状態で配列された第1のデータストアであって、前記第1の認証サーバ装置は、前記別のデータストアに記憶するために、前記別の通信ネットワーク・アクセス・ポイントの各々の前記別の認証サーバ装置に、前記クライアント識別データ項目および前記満了データ項目を伝送するように配列される、第1のデータストアと
を含み、
前記第1の認証サーバ装置は、前記クライアント識別データ項目が前記別のデータストアに記憶されたままである間、前記クライアント機器と前記別の認証サーバ装置との間の認証通信に対して非同期で前記別の認証サーバ装置との認証通信を遂行することにより、前記別の認証サーバ装置を介して前記クライアント機器を認証するように配列される
ネットワーク通信装置。
複数のそれぞれの別の通信ネットワーク・アクセス・ポイントごとに別の認証サーバ装置とネットワーク通信状態で適合され、配列された第1の通信ネットワークのための第1の認証サーバ装置と、
前記クライアント機器を識別するクライアント識別データ項目と、満了データ項目により規定される期間が満了すると別のデータストアから前記クライアント識別データ項目を削除する際に使用するための、前記クライアント識別データ項目に関連する満了時間を識別する前記満了データ項目とを記憶するように配列された、前記第1の認証サーバ装置とネットワーク通信状態で配列された第1のデータストアであって、前記第1の認証サーバ装置は、前記別のデータストアに記憶するために、前記別の通信ネットワーク・アクセス・ポイントの各々の前記別の認証サーバ装置に、前記クライアント識別データ項目および前記満了データ項目を伝送するように配列される、第1のデータストアと
を含み、
前記第1の認証サーバ装置は、前記クライアント識別データ項目が前記別のデータストアに記憶されたままである間、前記クライアント機器と前記別の認証サーバ装置との間の認証通信に対して非同期で前記別の認証サーバ装置との認証通信を遂行することにより、前記別の認証サーバ装置を介して前記クライアント機器を認証するように配列される
ネットワーク通信装置。
【請求項25】
前記クライアント機器を前記認証することは、AAA(認証、認可、およびアカウンティング)プロトコルまたはRADIUS(遠隔認証ダイヤルインユーザサービス)プロトコルによる認証通信を遂行することを含む、請求項24に記載のネットワーク通信装置。
【請求項26】
前記クライアント識別データ項目は、ユーザ名、前記クライアント機器を識別する情報(たとえば、発呼局ID)のうち任意の1つまたは複数を備える、請求項24または25のいずれか一項に記載のネットワーク通信装置。
【請求項27】
前記満了データ項目は、前記クライアント機器との認証通信に対して非同期で前記第1の認証サーバ装置との前記認証通信を遂行するために、前記別の認証サーバ装置がどれだけの時間を提供しなければならないかを規定する第1の時間値を備える、請求項24〜26のいずれか一項に記載のネットワーク通信装置。
【請求項28】
前記満了データ項目は、前記別の認証サーバ装置が、前記記憶したクライアント識別データ項目を前記別のデータストアからいつ削除しなければならないかを規定する第2の時間値を備える、請求項24〜27のいずれか一項に記載のネットワーク通信装置。
【請求項29】
複数の通信ネットワーク・アクセス・ポイントの間で通信ネットワーク内のクライアント機器を認証するためのネットワーク通信装置であって、
第2の通信ネットワーク・アクセス・ポイントのための第2の認証サーバ装置とネットワーク通信状態で適合され、配列された、通信ネットワーク・アクセス・ポイントのための第1の認証サーバ装置と、
前記クライアント機器を識別するクライアント識別データ項目、および前記クライアント識別データ項目に関連する満了時間を識別する満了データ項目を記憶するように配列された、前記第1の認証サーバ装置と通信状態で配列されたデータストアであって、前記第1の認証サーバ装置は、前記満了データ項目により規定される期間が満了すると、記憶したクライアント識別データ項目を前記データストアから削除するように配列される、データストアと
を含み、
前記第1の認証サーバ装置は、前記データストアに記憶するために、前記第2の認証サーバ装置から伝送される前記クライアント識別データ項目および前記満了データ項目を受信するように配列され、
前記第1の認証サーバ装置は、前記クライアント識別データ項目が前記データストアに記憶されたままである間、前記クライアント機器と前記第1の認証サーバ装置との間の認証通信に対して非同期で前記第2の認証サーバ装置との認証通信を遂行することにより、前記第2の認証サーバ装置を介して前記クライアント機器の認証を得るように配列される、
ネットワーク通信装置。
第2の通信ネットワーク・アクセス・ポイントのための第2の認証サーバ装置とネットワーク通信状態で適合され、配列された、通信ネットワーク・アクセス・ポイントのための第1の認証サーバ装置と、
前記クライアント機器を識別するクライアント識別データ項目、および前記クライアント識別データ項目に関連する満了時間を識別する満了データ項目を記憶するように配列された、前記第1の認証サーバ装置と通信状態で配列されたデータストアであって、前記第1の認証サーバ装置は、前記満了データ項目により規定される期間が満了すると、記憶したクライアント識別データ項目を前記データストアから削除するように配列される、データストアと
を含み、
前記第1の認証サーバ装置は、前記データストアに記憶するために、前記第2の認証サーバ装置から伝送される前記クライアント識別データ項目および前記満了データ項目を受信するように配列され、
前記第1の認証サーバ装置は、前記クライアント識別データ項目が前記データストアに記憶されたままである間、前記クライアント機器と前記第1の認証サーバ装置との間の認証通信に対して非同期で前記第2の認証サーバ装置との認証通信を遂行することにより、前記第2の認証サーバ装置を介して前記クライアント機器の認証を得るように配列される、
ネットワーク通信装置。
【請求項30】
前記第1の認証サーバ装置は、前記ユーザ機器からパスワードを受信するように配列され、
前記クライアント識別データ項目が前記データストアに記憶されたままである場合、前記クライアント機器を前記認証することは、前記パスワードの検証を条件とせず、
前記クライアント識別データ項目が前記データストアに記憶されたままではない場合、前記クライアント機器を前記認証することは、前記パスワードの検証を条件とする、
請求項29に記載のネットワーク通信装置。
前記クライアント識別データ項目が前記データストアに記憶されたままである場合、前記クライアント機器を前記認証することは、前記パスワードの検証を条件とせず、
前記クライアント識別データ項目が前記データストアに記憶されたままではない場合、前記クライアント機器を前記認証することは、前記パスワードの検証を条件とする、
請求項29に記載のネットワーク通信装置。
【請求項31】
前記クライアント機器を前記認証することは、AAA(認証、認可、およびアカウンティング)プロトコルまたはRADIUS(遠隔認証ダイヤルインユーザサービス)プロトコルによる認証通信を遂行することを含む、請求項29または30に記載のネットワーク通信装置。
【請求項32】
前記クライアント識別データ項目は、ユーザ名、前記クライアント機器を識別する情報(たとえば、発呼局ID)のうち任意の1つまたは複数を備える、請求項29〜31のいずれか一項に記載のネットワーク通信装置。
【請求項33】
前記満了データ項目は、前記クライアント機器との認証通信に対して非同期で前記第2の認証サーバ装置との前記認証通信を遂行するために、前記第1の認証サーバ装置がどれだけの時間を提供しなければならないかを規定する第1の時間値を備える、請求項29〜32のいずれか一項に記載のネットワーク通信装置。
【請求項34】
前記満了データ項目は、前記第1の認証サーバ装置が、前記記憶したクライアント識別データ項目を前記データストアからいつ削除しなければならないかを規定する第2の時間値を備える、請求項29〜33のいずれか一項に記載のネットワーク通信装置。
【請求項35】
前記削除することは、前記第1の時間値、前記第2の時間値のいずれか一方、またはこれらの両方により規定される期間が満了すると、前記記憶したクライアント識別データ項目を前記データストアから削除することを含む、請求項34に記載のネットワーク通信装置。
【請求項36】
請求項1〜12のいずれか一項に記載の前記方法を実装するための、1つまたは複数のコンピュータ上で実行可能な命令を含むコンピュータプログラムを包含するデータキャリア/ストアまたはコンピュータプログラム製品。
【請求項37】
実行されたとき、請求項1〜12のいずれか一項に記載の前記方法を実装するように配列された命令を含むコンピュータプログラムを用いてプログラムされた1つまたは複数のコンピュータ。
【請求項38】
実行されたとき、請求項1〜12のいずれか一項に記載の前記方法を実装するように配列された命令を含むコンピュータプログラムを用いてプログラムされたコンピュータのネットワーク。
【請求項39】
添付図面を参照して、実質的に本明細書の任意の一実施形態で開示されるようなネットワーク通信装置。
【請求項40】
添付図面を参照して、実質的に本明細書の任意の一実施形態で開示されるような方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データローミング中に異なるネットワークを介して通信するためのネットワーク通信方法および装置に関する。
【背景技術】
【0002】
通信ネットワークは、典型的にはネットワーク・アクセス・ポイントまたはゲートウェイを介して通信ネットワークへのユーザアクセスを許可する。公衆ネットワーク(たとえば、インターネット)などの多くのネットワークでは、ユーザは、ある種のネットワークサービス/ウェブサイトなどへのアクセスを許可される前に、ネットワーク・アクセス・ポイントにアクセス資格証明書(access credentials)を提供する必要がある場合がある。これらの資格証明書が、アクセスポイントに接続された(またはアクセスポイント内部に提供される)認証サーバ/ソフトウェアにより検証された後にだけ、ユーザにネットワークアクセスが与えられる。「キャプティブポータル(captive portal)」技法は、ネ ットワークアクセス制御のための認証処理を実装するための一般的な機構である。
【0003】
キャプティブポータルを使用するネットワーク・アクセス・リクエストは、典型的には以下のように、図1A、図1B、および図1Cに概略的に示すように進行する。クライアント/ユーザは、自身のウェブブラウザを活動化して、所望のネットワークサービス(たとえば、http://webpage.com/)にアクセスする。クライアント/ユーザは、キャプティブポータルに誘導され(図1A)、キャプティブポータルで、資格証明書(たとえば、パスワード、ユーザ名など)を要求される。入力された資格証明書は、ネットワーク・アクセス・ポイント(access point、AP)またはゲートウェイに転送され、ネットワーク・アクセス・ポイントで確認される/詳しく調べられる(図1B)。ユーザの資格証明書が検証されるまで/検証されなければ、キャプティブポータル以外のどんなものへのアクセスも防止される。APにより資格証明書が検証された後、たとえばRADIUSプロトコルを使用して、ユーザのコンピュータは、要求されたようなネットワークへのアクセスを可能にするDHCP(Dynamic Host Configuration Protocol)リースを受信する(図1C)。次いで、ユーザは、必要に応じてネットワーク(たとえば、インターネット)にアクセスしてもよい。キャプティブポータルは、クライアント機器のMACアドレスまたはIPアドレスをその機器に関する一意の識別子として使用する。
【0004】
RADIUSプロトコルRADIUS(遠隔認証ダイヤルインユーザサービス(Remote Authentication Dial In User Service))プロトコルは、認証、認可、およびアカウンティング(authentication、authorisation、およびaccounting、AAA)のための業界標準プロトコルである。RADIUSは、多くの場合、802.1X認証のために選ばれるバックエンドである。端末サーバまたはネットワーク・アクセス・サーバ(Network Access Server)(NAS)は、RADIUSプロトコルを使用して、顧客情報のデータベースにAAAリクエストを伝達し、顧客情報のデータベースからの結果を戻す。RADIUS プロトコルは、RFC 3579、RFC 2866、およびRFC 3580の任意の1つまたはこれらの組合せなどの、RFC 2058を廃止させた、および/またはRADIUSプロトコル(またはRADIUSプロトコルの様態)を規定する引き続くRFC文書によりそれ自体が廃止された後続のRFC文書の任意の1つまたは複数、ならびにRFC 2058などの、インタネットエンジニリングタスクフォース(Internet Engineering Task Force)(IETF)の「RFC」文書で規定されてもよい、またはたとえばRFC 6614を使用してもよい。
【0005】
RADIUSサーバは、RADIUSプロトコルを使用して、AAAサービスを提供する。RADIUSサーバは、顧客が端末サーバまたはネットワーク・アクセス・サーバ(Network Access Server)(NAS)を使用するとき、必要なAAAサービスを遂行する。RADIUSサーバは、以下のタスクを遂行する。・認証:ユーザ名およびパスワードを確認することにより顧客識別を検証する
・認可:要求されたサービスにアクセスするための顧客特権を検証する
・アカウンティング:顧客がいつログインし、ログアウトしたか、およびセッションの継続期間を追跡する。
用語「アカウンティング」は、顧客の使用量を追跡することを指す。
【0006】
一般的な認証ツールは、いわゆる「キャプティブポータル」を使用するためのものである。キャプティブポータルは、標準ウェブブラウザを使用して、ネットワークサービスへのアクセスを与える前に、そのサービスにログイン詳細/資格証明書を提示する機会をユーザに許可する。このようにウェブブラウザを使用することは、多くのパーソナルコンピュータ(ラップトップ、PCなど)のオペレーティングシステムがキャプティブポータルをサポートすることができ、かつ特注のソフトウェアを必要としないことを意味する。
【0007】
RADIUSサーバは、認証のために使用されるとき、2つのレスポンス、すなわち、「アクセス拒否(Access Reject)」レスポンスまたは「アクセス許可(Access Accept)」レスポンスのうち一方をネットワーク・アクセス・ポイントに戻してもよい。「アクセス拒否」レスポンスは、受け入れ可能な資格証明書をユーザが提供することができない場合、要求されたネットワーク資源へのアクセスを拒否するために発生する。「アクセス許可」レスポンスは、ユーザにアクセスが与えられるときに発生する。
【0008】
RADIUSは、RADIUSメッセージを他のRADIUSサーバにプロキシする(すなわち、プロキシサーバを介して伝送する)ことができるようにする能力を有する。これは、第1のネットワーク(ネットワークA)のユーザが、第2のネットワーク(ネットワークB)のRADIUSサーバ上で認証することにより、第2のネットワーク(ネットワークB)にアクセスすることが可能になることを意味する。すなわち、第1のネットワークでのRADIUS認証リクエストを、RADIUSを採用する別のネットワークにプロキシして、ユーザがその他のネットワークにアクセスすることができるようにする。
【0009】
第1のネットワーク(ネットワークA)のRADIUSサーバが、第1のネットワークに接続された第2のネットワーク(ネットワークB)にアクセスすることを望むユーザからアクセス/認証リクエストを受信するとき、ユーザの資格証明書をローカルで(ネットワークAで)検証する代わりに、そのリクエストを第2のネットワーク(ネットワークB)のRADIUSサーバに転送(プロキシ)してもよい。次いで、第2のネットワーク(ネットワークB)のRADIUSサーバは、ユーザの資格証明書を検証して、第1のネットワークのRADIUSサーバに、ユーザのアクセスリクエストに関する「アクセス許可」メッセージを送り返してもよく、それにより、第1のネットワークを介して第2のネットワークにアクセスできるようにする。これは、「連合アクセス(federated access)」として知られている。
【0010】
RADIUSプロキシは、RADIUSクライアント(およびRADIUSプロキシ)とRADIUSサーバ(またはRADIUSプロキシ)との間でRADIUS接続リクエストおよびアカウンティングメッセージを転送またはルーティングするように配列された機器である。RADIUSプロキシは、ユーザ名(User−Name)または着信局ID(Called−Station−ID)のRADIUS属性などの、RADIUSメッセージ内の情報を使用して、該当するRADIUSサーバにRADIUSメッセージをルーティングする。異なるネットワーク、位置、または組織内の複数のRADIUSサーバで認証、認可、およびアカウンティングを行わなければならないとき、RADIUSプロキシをRADIUSメッセージの転送ポイントとして使用することができる。RADIUSは、一般にたとえば多くの公衆ネットワークで使用可能な、資格証明書の単一のグローバルセットを提供する会社により、インターネット・サービス・プロバイダ(internet service provider、ISP)間でのローミングを容易にするために使用される。
【0011】
図2は、インターネット接続を介してアクセス可能な遠隔RADIUSサーバを使用してAAAサービスを提供するために、キャプティブポータルと接続してRADIUSプロキシサーバを使用することを概略的に示す。無線ネットワーク・アクセス・ポイント(AP)を介してインターネットサービスへのアクセスをユーザ装置(user equipment、UE)が要求することに応答して、ネットワーク・アクセス・サーバ(Network Access Server)(NAS)からUEにキャプティブポータルが提供される。この配列は、異なる位置へUEがローミングすることにより遭遇する異なるネットワークで、異なるAPを介してインターネットサービスにアクセスすることができるようにするために、UEによるネットワークローミングを許可する。
【0012】
従来、RADIUSサーバ内の資格証明書レコードに対して行われる、UEを認証する処理の間に伝送および受信される一連のメッセージは、UEが登録されているRADIUSサーバに到達するために、1つまたは複数の(公衆またはプライベートの)ネットワークを横断しなければならない。UEの物理的位置と(たとえば、無線ネットワークキャリアのAAAを提供する)認証するRADIUSサーバの物理的位置との間に大きな地理的距離が存在するとき、問題が発生する。図3は、そのような認証リクエストに関する典型的なネットワークメッセージングの流れを概略的に示す。「ローカルRADIUS」サーバと「キャリアAAA」(すなわち、遠隔RADIUSサーバ)との間に位置値決めされた、図3の「(1)」で示す垂直破線は、典型的なローミングするRADIUSネットワークで、メッセージ遅延がどこで生じるかを識別する。これらの遅延は、ユーザ体験に悪影響を及ぼす。
【0013】
たとえば、遠隔RADIUSサーバが、ローカルRADIUSサーバに対して世界一周の中間点にある場合、平均した片方向のデータ・パケット・トリップ時間は、約500msかかり、累積RADIUSメッセージング時間は、最大約3秒に達する場合がある。これは、UEが、遠隔ネットワークサービスに再接続することを必要とする新しいネットワークにローミングするとき、典型的には、UEが認証され、RADIUSサーバがサービスを提供する所望のネットワークサービスにアクセスする(または、再びアクセスする)ことができるようになる前に、6つの同期RADIUS認証メッセージ(アクセスリクエスト(Access Request);アクセス拒否(Access Reject);アクセスリクエスト(Access Request);アクセス許可(Access Accept);アカウンティング開始(Accounting Start);アカウンティング応答(Accounting Response))を交換(送信および受信)しなければならないためである。
【0014】
実際は、拡張可能な認証プロトコル(Extensible Authentication Protocol)(EAP)、または認証プロトコル−トンネル型トランスポートレイヤセキュリティ認証済プロトコル(an Authentication Protocol -Tunneled Transport Layer Security Authenticated Protocol)(EAP-TTLS)などの暗号化され認証されたトランスポートレイヤセキュリティ(Transport Layer Security)(TLS)トンネル内部でEAPをカプセル化するプロトコル(EAP−TTLS)などの、セキュアなネットワーク認証を採用するとき、そのようなプロトコルは、UEがアクセスポイントを横断してローミングするとき、認証リクエストを必要とし、その場合、ユーザ体験への害が非常に顕著になる。
【0015】
図3を参照すると、既存の方法によるネットワーク・アクセス・メッセージング・シーケンスの概略的表現が示されている。図3のメッセージングシーケンスを、クライアント機器とネットワークのRADIUSサーバとの間で実装してもよい。最初に、ステップS1で、クライアント機器(UE)が、ローカルネットワークのネットワーク・アクセス・ポイント/ゲートウェイに「アソシエーションを開く(Open Association)」メッセージを送信する。アクセスポイントは、このメッセージに対して、第2のネットワークのローカルRADIUSサーバ(B)に「アクセスリクエスト」メッセージを伝送することにより反応し、ローカルRADIUSサーバ(B)は、認証が必要であることを意味する「アクセス拒否」メッセージを返すことにより反応する。
【0016】
ステップS3〜ステップS6で、クライアント機器(UE)は、上記の図1A〜図1Cを参照して論じる技法などの公知の技法に従ってローカルDHCPサーバ、ネットワーク・アクセス・ポイント、およびローカルキャプティブポータルと、周知のDHCPおよびHTTPのメッセージングシーケンスを遂行する。これらは、ステップS3で、UEとローカルDHCPサーバとの間の、DHCP:「発見(Discovery)」;「提示(Offer)」;「リクエスト(Request)」;「肯定応答(Acknowledgement)」メッセージのシーケンスを含む。ステップS4で、UEは、ローカルネットワーク・アクセス・ポイントにメッセージを送り、ローカルネットワーク・アクセス・ポイントは、ステップS5で、キャプティブポータルへUEをリダイレクトすることにより応答する。ステップS7で、ローカルネットワークのアクセスポイントは、クライアント機器(UE)から認証リクエストを受信し、それに応答して、ステップS8で、ローカルネットワークのRADIUSサーバを介して、キャリアネットワーク(キャリアAAA)のRADIUSサーバからローカルネットワークのアクセスポイントへアクセス許可メッセージが発行される。
【0017】
アクセスポイントとキャリアネットワークのRADIUSサーバとの間のアクセス許可メッセージングシーケンスは、アクセスシーケンスとほとんど同じ方法で、ステップS9でアカウンティング開始を、およびステップS10でアカウンティング応答を備えるメッセージングシーケンスを伴うステップS9およびS10を備える。しかしながら、ローカルネットワークのローカルRADIUSサーバと遠隔ネットワークの、上流にあるキャリアRADIUSサーバ(AAA)との間の待ち時間は、ステップ(S12)で、ローカルRADIUSサーバと上流にあるキャリアのRADIUSサーバとの間のメッセージングシーケンスが、同期して行わなければならない(すなわち、一方を完全に完了した後だけ、他方が続く)という事実に起因する。これは、認証リクエストを遅らせる(holds-up)。
【0018】
本発明は、これらの問題に対処する。
【発明の概要】
【0019】
最も一般的には、本発明は、ユーザ機器のネットワークローミング中に認証サーバ間での期限付き信頼を確立する/可能にするために、期限付き信頼関係メッセージ(time-limited trust relationship message)を記憶するための分散データストア(たとえば、メモリキャッシュ)と組み合わせた認証サーバ(たとえば、RADIUSサーバ)を提供するという考えにある。これは、同期認証メッセージングシーケンスの従来の方法の必要性を回避し、より時間効率のよい非同期の手法で認証メッセージングシーケンスの伝送を可能にする。
【0020】
第1の様態では、本発明は、複数の通信ネットワークの間で通信ネットワーク内のクライアント機器を認証するための方法であって、第1の通信ネットワーク内に第1の認証サーバ装置を、および複数のそれぞれの別の通信ネットワークごとに別の認証サーバ装置を提供するステップと、第1の認証サーバ装置により、クライアント機器を識別するクライアント識別データ項目、およびクライアント識別データ項目に関連する満了時間を識別する満了データ項目を第1のデータストアに記憶して、別の通信ネットワークの各々の別の認証サーバ装置にクライアント識別データ項目および満了データ項目を伝送するステップと、別の認証サーバ装置それぞれにより、受信したクライアント識別データ項目および満了データ項目を別のデータストアに記憶して、満了データ項目により規定された期間が満了すると、記憶したクライアント識別データ項目を別のデータストアから削除するステップと、任意の所与の前記別の認証サーバ装置により、第1の通信ネットワークにアクセスするためのリクエストをクライアント機器から受信し、クライアント識別データ項目が別のデータストアに記憶されたままである場合、クライアント機器との認証通信に対して非同期で第1の認証サーバ装置との認証通信を遂行することにより、クライアント機器を認証するステップとを含む方法を提供してもよい。
【0021】
このようにして、クライアント機器は、第1のネットワーク内のサーバにより提供されるサービスにアクセスするために、別のネットワークの中の1つのネットワーク内のアクセスポイントを使用するとき、サービスを必要とし続ける間、別のネットワークのうちのもう1つのネットワークにローミングしてもよく、第1のネットワーク上で/第1のネットワークからアクセスするように認可される。そのようなアクセスは、これまでは別のネットワークの中の前のネットワークを介して得られており、この場合、別のネットワークの中の新しい/他のネットワークを介して得られてもよい。第1の通信ネットワークにアクセスするために、クライアント機器から別のネットワークの中の他のネットワークの認証サーバへネットワーク・アクセス・リクエストを発行してもよい。別のネットワークの中の他のネットワークの認証サーバは、このアクセスリクエストを受信するとき、クライアント識別データ項目が存在するかどうかを確認して、クライアント識別データ項目が認証サーバのデータストアに記憶されたままであるかどうかを確かめてもよい。クライアント識別データ項目が記憶されたままである場合、別のネットワークの中の他のネットワークの認証サーバは、第1のネットワークへのアクセスを自動的に与えてもよい。
【0022】
クライアント機器を認証するために、別のネットワークの中の他のネットワークの認証サーバは、クライアント機器との認証通信に対して非同期で、第1のネットワークの認証サーバとの認証通信を遂行してもよい。第1のネットワークの認証サーバとの認証通信は、たとえば、アクセスリクエスト通信/アクセス許可通信を伝送する/受信するステップ、および/またはアカウンティング開始通信/アカウンティング応答通信を伝送する/受信するステップを含んでもよい。これらの通信は、別のネットワークの中の他のネットワークの認証サーバで/から、アクセスリクエスト通信/アクセス許可通信/アカウンティング開始通信/アカウンティング応答通信を受信する/伝送するステップを含んでもよい、クライアント機器との並列認証通信に対して非同期で行われてもよい。
【0023】
別のネットワークの中の他のネットワークの認証サーバと第1のネットワークの認証サーバとの間のこの認証通信のシーケンスは、別のネットワークの中の他のネットワークの認証サーバとユーザ機器との間の認証通信と非同期であるので、これは、ユーザ機器が、第1のネットワークの認証サーバの調整を必要とすることなしに、認証メッセージを送信/受信してもよいことを意味する。これは、そのような認証メッセージが、厳密に同期して、連続して発生する必要がないので、より迅速に連続して送信および受信されてもよいことを意味する。送信側装置(たとえば、ユーザ機器または認証サーバ)は、認証メッセージのシーケンスの1つを送信する前に、最終的な受信側機器(たとえば、認証サーバまたはユーザ機器)と調整する必要がない。従来の認証メッセージングシーケンスで使用されるような同期メッセージングは、認証プロトコルを実装するとき、そのような調整を必要とし、これが、認証メッセージングシーケンスを完了する際の遅延につながる。
【0024】
1つまたは複数の認証サーバは、1つまたは複数のサーバクラスのコンピュータを備えてもよい、またはソフトウェアを実行するようにプログラムされたコンピュータ上で実行されたとき、認証サーバの機能を実装するように適合されたソフトウェアを備えてもよい。1つまたは複数のデータストアは、1つまたは複数のコンピュータと、1つまたは複数のデジタル・メモリ機器と、1つまたは複数のコンピュータ上に配列された、または必要に応じてそのような内容を記憶する/読み出す/取り出す/削除するデジタル・メモリ内の内容およびエントリを管理するために、そのような1つまたは複数のコンピュータ上で実装/実行するように配列されたソフトウェアとを含んでもよい。データストアは、キャッシュであってもよい。データストアは、「メモリキャッシュ」であってもよい。たとえば、データストアのソフトウェアは、走行しているとき、システムメモリまたはRAMの中にデータをキャッシュするように配列されてもよい。たとえば、ソフトウェアは、クライアント識別データ項目および満了データ項目に関するエントリをRAMの中にキャッシュする/記憶するように配列されてもよい。RAMは、ハードドライブよりもはるかに速くアクセスすることができるので、これにより、ファイルを取り込み、取り出すとき、遅れが低減される。認証サーバは、この目的のために、それぞれのデータストアを備えても、それぞれのデータストアとの通信を制御する状態にあってもよい。
【0025】
本方法は、所与の別の認証サーバ装置により、ユーザ機器からパスワードを受信するステップを含んでもよく、クライアント識別データ項目が、別のデータストアに記憶されたままである場合、クライアント機器を認証するステップは、パスワードの検証を条件とせず、クライアント識別データ項目が、別のデータストアに記憶されたままではない場合、クライアント機器を認証するステップは、パスワードの検証を条件とする。
【0026】
クライアント機器を認証するステップは、RADIUSプロトコルによる認証通信を遂行するステップを含んでもよい。RADIUSプロトコルは、インタネットエンジニリングタスクフォース(Internet Engineering Task Force)(IETF)の「RFC」文書で規定されてもよい。RFC(Request for Comments)文書は、インターネットに関する主要な技術開発および標準設定機関である、IETFおよびインターネット協会(Internet Society)からの一種の出版物である。一例は、RFC 2058を廃止させた、および/またはたとえばRFC 6614などの、RADIUSプロトコル(またはその様態)を規定する引き続くRFC文書によりそれ自体が廃止させられた後続のRFC文書の任意の1つまたは複数、ならびにRFC 2058などである。好ましい実施形態では、RFC 3579、RFC 2866、およびRFC 3580のうち任意の1つ、またはこれらの組合せによるRADIUSプロトコルを使用してもよい。しかしながら、本発明は、この選択/組合せに限定されない。代替配列では、「Diameter」プロトコルを使用してもよい。「Diameter」プロトコルは、コンピュータネットワークのための認証、認可、およびアカウンティングのプロトコルである。「Diameter」プロトコルは、それに先行するRADIUSプロトコルから進化した。Diameterの基礎となるプロトコルは、RFC 6733で、またはRFC 6733に先行する(たとえば、RFC 6733により廃止された)Diameterのための任意のRFC文書で、または(たとえば、RFC 6733が廃止になる場合がある)RFC 6733に続く、Diameterのための任意のRFC文書で規定されてもよい。
【0027】
第1の認証サーバ装置との認証通信は、第1の認証サーバ装置にアクセスリクエスト通信を伝送するステップと、第1の認証サーバ装置からアクセス許可通信を受信するステップとを含んでもよい。代わりにまたは追加で、第1の認証サーバ装置との認証通信は、第1の認証サーバ装置にアカウンティング開始通信を伝送するステップと、第1の認証サーバ装置からアカウンティング応答通信を受信するステップとを含んでもよい。代わりにまたは追加で、クライアント機器との認証通信は、クライアント機器からアクセスリクエスト通信を受信するステップと、クライアント機器にアクセス許可通信を伝送するステップとを含む。代わりにまたは追加で、クライアント機器との認証通信は、クライアント機器からアカウンティング開始通信を受信するステップと、クライアント機器にアカウンティング応答通信を伝送するステップとを含む。
【0028】
クライアント識別データ項目は、ユーザ名、発呼局ID(Calling-Station-ld)、課金可能なユーザ識別(Chargeable User Identity)(CUI)のうち任意の1つまたは複数を備えてもよい。発呼局IDは、たとえば(IETFにより規定される)RADIUS属性に従って規定されてもよい。これにより、ネットワーク・アクセス・サーバは、呼が到来する電話番号を(自動番号識別または類似の技術を使用して)アクセスリクエストパケットの一部として含めることができるようになる。他の例は、サービス名、IPアドレスを含む。
【0029】
たとえば、CUIは、RFC 4372で、またはRFC 4372に先行する(たとえば、RFC 4372より廃止された)CUIのための任意のRFC文書で、または(たとえば、RFC 4372が廃止になる場合がある)RFC 4372に続く、CUIのための任意のRFC文書で指定されてもよい。CUIは、所与のサイトを訪問する所与のユーザに関して静的なままでいる、ユーザに関する一意の識別子である。
【0030】
満了データ項目は、時間または時点を表す値、日付を表す値、時間間隔のうち任意の1つまたは複数を備えてもよい。満了データ項目により規定される期間は、満了データ項目自体により規定される時間値または時点で終了する期間であってもよい。たとえば、満了データ項目は、客観的時間フレーム(すなわち、グリニッジ平均時(Greenwich Mean Time、GMT)による満了時間を規定する数値または英数字の時間および/またはデータ値(たとえば、18:00時GMT、または31 Dec 2016 23:59:59GMT)、または直後に期間の満了が発生すべき時間間隔を規定する数値の時間間隔/期間(たとえば、2.0時間、120分など)を備えてもよい。別の認証サーバ装置は、その別の認証サーバ装置が満了データ項目を受信する/記憶する時間に/時間から期間を開始するように配列されてもよい。たとえば、別の認証サーバ装置は、時間T1に受信/記憶してもよく、満了データ項目は、(a)時間値「18:00時GMT」であって、別の認証サーバ装置は、(18:00−T1)時GMTにより規定される期間の後に、(記憶した)クライアント識別データ項目を削除するように配列されてもよい、時間値、または
(b)時間:分:秒の形式の時間、たとえば、「31 Dec 2016 23:59:59GMT」を含んでもよい日付などの時間値であって、別の認証サーバ装置は、(31 Dec 2016 23:59:59−T1)GMTにより規定される期間の後に、(記憶した)クライアント識別データ項目を削除するように配列されてもよい、時間値、または
(c)時間分(time minutes)、たとえば「120分」を含んでもよい時間値であって、別の認証サーバ装置は、(120−T1)分により規定される期間の後に、(記憶した)クライアント識別データ項目を削除するように配列されてもよい、時間値
を備える。
【0031】
時間値は、数値の時間および/または数字もしくは英数字のデータ値であってもよいタイムスタンプまたは他の時間メッセージ/値(たとえば、本明細書で以後、忘れるまでの時間値(Time−to−Forget(TTF)時間値)と呼ばれる)を備えてもよい。時間値は、クライアント機器との認証通信に対して非同期で第1の認証サーバ装置との認証通信を遂行するために、別の認証サーバ装置がどれくらいの期間、許可しなければならない/待たなければならない/提供しなければならないかを規定する、数値の時間(たとえば、分単位で)および/または数字もしくは英数字のデータ値であってもよい時間値(たとえば、本明細書で以後、更新するまでの時間値(Time−to−Renew(TTR)時間値)と呼ばれる)を備えてもよい。
【0032】
満了データ項目は、TTF(Time-to-Forget)時間値とTTR(Time-to-Renew)時間値の両方を備えてもよい。削除する処理は、TTF(Time-to-Forget)時間値、TTR(Time-to-Renew)時間値のいずれか一方、またはこれらの両方/もしくは各々により規定される1つまたは複数の期間が満了すると、記憶したクライアント識別データ項目を別のデータストアから削除するステップを含んでもよい。
【0033】
たとえば、別の認証サーバ装置は、TTF(Time-to-Forget)時間値およびTTR(Time-to-Renew)時間値により規定される期間の中から短いほうの期間が満了すると、記憶したクライアント識別データ項目を別の認証サーバ装置のデータストアから削除するように配列されてもよい。たとえば、別の認証サーバ装置は、時間T1に、日付/時間、たとえば「31 Dec 2016 23:59:59GMT」などのTTF時間値を、および分単位の期間、たとえば「120分」などのTTR時間値を備える満了データ項目を受信/記憶してもよい。別の認証サーバ装置は、2つの期間(31 Dec 2016 23:59:59−T1)GMTおよび(120−T1)分のうち短いほうにより規定される期間の後、すなわちこれら2つの一方がどちらでも最初に満了すると、(記憶した)クライアント識別データ項目を削除するように配列されてもよい。
【0034】
第1の認証サーバ装置は、クライアント識別データ項目の中にある満了データ項目のTTF時間値とTTR時間値とを識別/区別するように配列されてもよく、別の認証サーバ装置はそれに応じて、受信したクライアント識別データ項目からのTTF時間値とTTR時間値との間を識別/区別するように配列されてもよい。
【0035】
認証サーバの1つまたは複数のデータストアとの間の認証メッセージング/伝送およびデータ伝送は、適切なセキュリティソフトウェアおよび/またはプロトコルを介して、伝送中に保護されてもよい。たとえば、インタネットプロトコルセキュリティ(Internet Protocol Security)(IPsec)プロトコルを使用してもよい。IPsecは、当業者に周知であり、かつ入手可能なような、通信セッションの各IPパケットを認証し、暗号化することにより作動するセキュアなインターネットプロトコル(IP)通信のためのプロトコルスイートである。IPsecプロトコルは、当初はRFC 1825〜RFC 1829で規定され、RFC 1825〜RFC 1829は、RFC 2401およびRFC 2412により廃止された。たとえば、RFC 4301およびRFC 4309で新しい標準が規定された。
【0036】
第2の様態では、本発明は、複数のそれぞれの別の通信ネットワークの各1つの中の別の認証サーバ装置とネットワーク通信状態で配列された第1の通信ネットワーク内に第1の認証サーバ装置を含む複数の通信ネットワークとの間で、1つの通信ネットワーク内のクライアント機器を認証するためのネットワーク通信装置を提供してもよい。
【0037】
第1のデータストアは、クライアント機器を識別するクライアント識別データ項目、およびクライアント識別データ項目に関連する満了時間を識別する満了データ項目を記憶するように配列された第1の認証サーバ装置とネットワーク通信状態で配列され、第1の認証サーバ装置は、別の通信ネットワークの各々の別の認証サーバ装置にクライアント識別データ項目および満了データ項目を伝送するように配列される。
【0038】
複数の別のデータストアは、第1の認証サーバ装置から伝送されるクライアント識別データ項目および満了データ項目を記憶するために、それぞれの別の認証サーバ装置とネットワーク通信状態になるように配列され、別の認証サーバ装置はそれぞれ、満了データ項目により規定される期間が満了すると、記憶したクライアント識別データ項目をそれぞれの別のデータストアから削除するように配列される。
【0039】
前記別の認証サーバ装置はそれぞれ、第1の通信ネットワークにアクセスするためのクライアント機器からのリクエストを受信し、クライアント識別データ項目が別のデータストア内に記憶されたままである場合、クライアント機器との認証通信に対して非同期で第1の認証サーバ装置との認証通信を遂行することにより、クライアント機器を認証するように動作可能である。
【0040】
別の認証サーバ装置はそれぞれ、ユーザ機器からパスワードを受信するように配列されてもよく、クライアント識別データ項目が、別のデータストアに記憶されたままである場合、クライアント機器を認証するステップは、パスワードの検証を条件とせず、クライアント識別データ項目が、別のデータストアに記憶されたままではない場合、クライアント機器を認証するステップは、パスワードの検証を条件とする。
【0041】
クライアント機器を認証する処理は、AAA(Authentication, Authorisation and Accounting)プロトコルまたはRADIUS(Remote Authentication Dial In User Service)プロトコルによる認証通信を遂行するステップを含んでもよい。
【0042】
第1の認証サーバ装置との認証通信は、第1の認証サーバ装置にアクセスリクエスト通信を伝送するステップと、第1の認証サーバ装置からアクセス許可通信を受信するステップとを含んでもよい。代わりにまたは追加で、第1の認証サーバ装置との認証通信は、第1の認証サーバ装置にアカウンティング開始通信を伝送するステップと、第1の認証サーバからアカウンティング応答通信を受信するステップとを含んでもよい。代わりにまたは追加で、クライアント機器との認証通信は、クライアント機器からアクセスリクエスト通信を受信するステップと、クライアント機器にアクセス許可通信を伝送するステップとを含んでもよい。代わりにまたは追加で、クライアント機器との認証通信は、クライアント機器からアカウンティング開始通信を受信するステップと、クライアント機器にアカウンティング応答通信を伝送するステップとを含んでもよい。
【0043】
クライアント識別データ項目は、ユーザ名、発呼局IDのうち任意の1つまたは複数を備えてもよい。
【0044】
満了データ項目は、時間または時点を表す値、日付を表す値、時間間隔のうち任意の1つまたは複数を備えてもよい。満了データ項目により規定される期間は、満了データ項目自体により規定される時間値または時点で終了する期間であってもよい。別の認証サーバ装置は、その別の認証サーバ装置が満了データ項目を受信する/記憶する時間に/時間から期間を開始するように配列されてもよい。
【0045】
時間値は、数値の時間および/または数字もしくは英数字のデータ値であってもよいタイムスタンプまたは他の時間メッセージ/値(たとえば、本明細書で以後、TTF(Time-to-Forget)時間値と呼ばれ、TTF時間値をRADIUSプロトコルの「属性」として実装してもよい)を備えてもよい。数値の時間(たとえば、分単位で)および/または数字もしくは英数字のデータ値であってもよい時間値は、クライアント機器との認証通信に対して非同期で第1の認証サーバ装置との認証通信を遂行するために、別の認証サーバ装置がどれくらいの期間、許可しなければならない/待たなければならない/提供しなければならないかを規定してもよい(たとえば、本明細書で以後、TTR(Time-to-Renew)時間値と呼び、TTR時間値をRADIUSプロトコルの「属性」として実装してもよい)。
【0046】
満了データ項目は、TTF(Time-to-Forget)時間値とTTR(Time-to-Renew)時間値の両方を備えてもよい。削除する処理は、TTF(Time-to-Forget)時間値、TTR(Time−to−Renew)時間値のいずれか一方、またはこれらの両方/もしくは各々により規定される1つまたは複数の期間が満了すると、記憶したクライアント識別データ項目を別のデータストアから削除するステップを含んでもよい。たとえば、別の認証サーバ装置は、TTF(Time-to-Forget)時間値およびTTR(Time-to-Renew)時間値により規定される期間の中から短いほうの期間が満了すると、記憶したクライアント識別データ項目を別の認証サーバ装置のデータストアから削除するように配列されてもよい。第1の認証サーバ装置は、クライアント識別データ項目内の満了データ項目のTTF時間値とTTR時間値とを識別/区別するように配列されてもよく、別の認証サーバ装置は、それに応じて、受信したクライアント識別データ項目からのTTF時間値とTTR時間値との間を識別/区別するように配列されてもよい。
【0047】
認証サーバは、適切なセキュリティソフトウェアおよび/またはプロトコルを介して認証サーバの1つまたは複数のデータストアとの間で認証メッセージング/伝送およびデータ伝送を保護するように配列されてもよい。たとえば、IPsec(Internet Protocol Security)プロトコルを使用してもよい。
【0048】
別の一様態では、本発明は、複数の通信ネットワーク・アクセス・ポイントの間で通信ネットワーク内の機器を認証するためのネットワーク通信装置であって、複数のそれぞれの別の通信ネットワーク・アクセス・ポイントごとに別の認証サーバ装置とネットワーク通信するように適合され、配列された、第1の通信ネットワークのための第1の認証サーバ装置と、クライアント機器を識別するクライアント識別データ項目を、および満了データ項目により規定される期間が満了すると、別のデータストアからクライアント識別データ項目を削除する際に使用するための、クライアント識別データ項目に関連する満了時間を識別する前記満了データ項目を記憶するように配列され、第1の認証サーバ装置とネットワーク通信状態で配列された第1のデータストアであって、第1の認証サーバ装置は、前記別のデータストアに記憶するために、前記別の通信ネットワーク・アクセス・ポイントの各々の前記別の認証サーバ装置にクライアント識別データ項目および満了データ項目を伝送するように配列される、第1のデータストアとを含むネットワーク通信装置を提供してもよく、第1の認証サーバは、前記クライアント識別データ項目が別のデータストアに記憶されたままである間、クライアント機器と別の認証サーバとの間の認証通信に対して非同期で別の認証サーバ装置との認証通信を遂行することにより、前記別の認証サーバ装置を介してクライアント機器を認証するように配列される。したがって、ユーザ/クライアント機器は、別の認証サーバによりサービスを提供される(たとえば、ローカルの)アクセスポイントにローミングしてもよく、第1の(たとえば、遠隔の)認証サーバにより管理される認証を介して提供される資源へのアクセスを求めてもよい。
【0049】
クライアント機器を認証するステップは、AAA(Authentication、Authorisation、およびAccounting)プロトコルまたはRADIUS(Remote Authentication Dial In User Service)プロトコルによる認証通信を遂行するように配列されてもよい。クライアント識別データ項目は、ユーザ名、クライアント機器を識別する情報(たとえば、発呼局ID)のうち任意の1つまたは複数を備えてもよい。満了データ項目は、クライアント機器との認証通信に対して非同期で第1の認証サーバ装置と認証通信を遂行するために、別の認証サーバ装置がどれだけの時間を提供しなければならないかを規定する第1の時間値を備えてもよい。満了データ項目は、別の認証サーバ装置が、記憶したクライアント識別データ項目を別のデータストアからいつ削除しなければならないかを規定する第2の時間値を備えてもよい。
【0050】
さらに別の一様態では、本発明は、複数の通信ネットワーク・アクセス・ポイントの間で通信ネットワーク内のクライアント機器を認証するためのネットワーク通信装置であって、第2の通信ネットワーク・アクセス・ポイントのための第2の認証サーバ装置とネットワーク通信するように適合され、配列された、通信ネットワーク・アクセス・ポイントのための第1の認証サーバ装置と、第1の認証サーバ装置と通信状態で配列され、かつクライアント機器を識別するクライアント識別データ項目、およびクライアント識別データ項目に関連する満了時間を識別する満了データ項目を記憶するように配列されたデータストアであって、第1の認証サーバ装置は、前記満了データ項目により規定される期間が満了すると、記憶したクライアント識別データ項目をデータストアから削除するように構成され、第1の認証サーバ装置は、前記データストアに記憶するために、前記第2の認証サーバ装置から伝送されたクライアント識別データ項目および満了データ項目を受信するように配列される、データストアとを含むネットワーク通信装置を提供してもよく、第一の認証サーバは、前記クライアント識別データ項目がデータストアに記憶されたままである間、クライアント機器と第1の認証サーバとの間の認証通信に対して非同期で第2の認証サーバ装置との認証通信を遂行することにより、前記第2の認証サーバ装置を介してクライアント機器の認証を得るように配列される。したがって、ユーザ/クライアント機器は、第1の認証サーバによりサービスを提供される第1の(たとえば、ローカルの)アクセスポイントにローミングしてもよく、第2の(たとえば、遠隔の)認証サーバにより管理される認証を介して提供される資源へのアクセスを求めてもよい。
【0051】
第1の認証サーバ装置は、ユーザ機器からパスワードを受信するように配列されてもよく、前記クライアント識別データ項目が、データストアに記憶されたままである場合、クライアント機器を認証する前記ステップは、パスワードの検証を条件とせず、前記クライアント識別データ項目が、データストアに記憶されたままではない場合、クライアント機器を認証する前記ステップは、パスワードの検証を条件とする。クライアント機器を認証する処理は、AAAプロトコルまたはRADIUSプロトコルによる認証通信を遂行するステップを含んでもよい。クライアント識別データ項目は、ユーザ名、クライアント機器を識別する情報(たとえば、発呼局ID)のうち任意の1つまたは複数を備えてもよい。
【0052】
満了データ項目は、クライアント機器との認証通信に対して非同期で第2の認証サーバ装置との認証通信を遂行するために、第1の認証サーバ装置がどれだけの時間を提供しなければならないかを規定する第1の時間値を備えてもよい。満了データ項目は、第1の認証サーバ装置が、記憶したクライアント識別データ項目を第1の認証サーバ装置のデータストアからいつ削除しなければならないかを規定する第2の時間値を備えてもよい。削除する処理は、第1の時間値、第2の時間値のいずれか一方、またはこれらの両方により規定される期間が満了すると、記憶したクライアント識別データ項目を別のデータストアから削除するステップを含んでもよい。
【0053】
別の一様態では、本発明は、上述のような方法を実装するための、1つまたは複数のコンピュータ上で実行可能な命令を含むコンピュータプログラムを包含するデータキャリア/ストアまたはコンピュータプログラム製品を提供してもよい。
【0054】
別の一様態では、本発明は、実行されたとき、上述の方法を実装するように配列された命令を含むコンピュータプログラムを用いてプログラムされた1つまたは複数のコンピュータを提供してもよい。
【0055】
別の一様態では、本発明は、実行されたとき、上述の方法を実装するように配列された命令を含むコンピュータプログラムを用いてプログラムされたコンピュータのネットワークを提供してもよい。
【図面の簡単な説明】
【0056】
【図1A】「キャプティブポータル」モデルによるネットワークアクセス認証の処理を概略的に示す。
【図1B】「キャプティブポータル」モデルによるネットワークアクセス認証の処理を概略的に示す。
【図1C】「キャプティブポータル」モデルによるネットワークアクセス認証の処理を概略的に示す。
【図2】遠隔RADIUSサーバを介して認証を得るために、キャプティブポータルおよびネットワーク・アクセス・サーバと接続してプロキシRADIUSサーバを使用することを概略的に示す。
【図3】RADIUSプロトコルによるネットワーク・アクセス・メッセージング・シーケンスを概略的に示す。
【図4】RADIUSプロトコルを使用する、本発明の一実施形態によるネットワーク・アクセス・メッセージング・シーケンスを概略的に示す。
【図5】ネットワークをローミングするユーザ機器(network-roaming user device)を認証する際に使用するための、本発明の一実施形態によるネットワーク通信装置を概略的に示す。
【図6】アクセスポイントをローミングするユーザ機器(Access-point-roaming user device)を認証する際に使用するための、本発明の一実施形態によるネットワーク通信装置を概略的に示す。
【図7】アクセスポイントをローミングするユーザ機器を認証する際に使用するための、本発明の一実施形態によるネットワーク通信装置を概略的に示す。
【発明を実施するための形態】
【0057】
図5は、第1のネットワーク、別個の第2のネットワーク、および別個の第3のネットワークを含む複数の通信ネットワークの中の第3の通信ネットワークでクライアント機器(ユーザ装置、UE)を認証するためのネットワーク通信装置を概略的に示す。クライアント機器(UE)は、最初に第1のネットワーク内の第1の位置(位置#1)に位置し、第1のネットワークを介して第3のネットワーク上で利用可能なネットワークサービスにアクセスする。第3のネットワークは、第1のネットワークおよび第2のネットワークとネットワーク通信状態で配列された第1の認証サーバ装置(たとえば、任意の適切なAAAサーバ、たとえば、この例ではRADIUSサーバ)を包含する。第1のネットワークおよび第2のネットワークの各々は、それぞれ第3のネットワークのRADIUSサーバと通信するように配列されたそれぞれのRADIUS認証サーバ(第1のネットワーク内のRADIUSサーバ「A」、第2のネットワーク内のRADIUSサーバ「B」)を包含する。RADIUSサーバ「A」およびRADIUSサーバ「B」はそれぞれ、自身のローカルネットワーク上で受信する認証リクエストを第3のネットワークのRADIUSサーバにプロキシする(伝送する)ためのプロキシサーバとしての役割を果たす。
【0058】
第3のネットワークのRADIUSサーバは、分散されたセキュアなメモリキャッシュ(distributed、secure memory cash、dSMC)の一部であり、かつクライアント機器(UE)を識別するクライアント識別データ項目だけではなく、クライアント識別データ項目に関連する満了時間を識別する満了データ項目も記憶するように配列された第1のデータストアと通信状態にある。満了データ項目は、TTFタイムスタンプ(すなわち、TTFで期間が終了する期間)、TTR数値(すなわち、TTRで期間が終了する期間)のうち任意の1つまたは複数を備えてもよい。TTFおよびTTRは、RADIUSプロトコルに関する属性に準拠した新しいRADIUS「属性」として実装される。
【0059】
第3のネットワークのRADIUSサーバは、第1の通信ネットワークおよび第2の通信ネットワークの各々のRADIUSサーバ(AおよびB)にクライアント識別データ項目および満了データ項目を伝送するように配列される。
【0060】
第1の通信ネットワークおよび第2の通信ネットワークのRADIUSサーバ(AおよびB)の各々はまた、分散されたセキュアなメモリキャッシュ(dSMC)の一部であり、かつさらにまたクライアント機器(UE)を識別するクライアント識別データ項目だけではなく、クライアント識別データ項目に関連する満了時間を識別する満了データ項目も、第3のネットワークのRADIUSサーバから受信されたときにそれぞれ記憶するように配列されたそれぞれの別のデータストアとネットワーク通信状態で配列される。このようにして、第1の、第2の、および第3の通信ネットワークのデータストアは、dSMCの分散様態を集合的に規定する。
【0061】
第1のネットワークおよび第2のネットワークのRADIUSサーバ(AおよびB)の各々は、満了データ項目により規定される期間が満了すると、受信した/記憶したクライアント識別データ項目を自身に関連するデータストア(dSMC)から削除するように配列される。クライアント識別データ項目は、ユーザ名、発呼局IDのうち任意の1つまたは複数を備えてもよい。期間は、TTFタイムスタンプ、TTR数値のいずれか一方、またはこれらの両方により規定されてもよい。
【0062】
クライアント機器(UE)は、第3のネットワーク、および第3のネットワークにアクセスするよう許可されるサービスとネットワーク通信状態にある間に、第1の通信ネットワーク内の位置#1から第2の通信ネットワーク内の位置#2へローミングするとき、第3のネットワークおよびそのサービスに連続してアクセスする必要がある。しかしながら、そのようなアクセスを、これまでは第1のネットワークを介して行われており、次に第2のネットワークを介して行わなければならない。したがって、第3のネットワークにアクセスするためのリクエストは、第2のネットワークのRADIUSサーバから第3のネットワークのRADIUSサーバで提出され(place)なければならない。
【0063】
この目的を達成するために、第3の通信ネットワークにアクセスするために、ネットワーク・アクセス・リクエストを、クライアント機器から第2のネットワークのRADIUSサーバへ発行しなければならない。第2のネットワークのRADIUSサーバは、このアクセスリクエストを受信するとき、クライアント識別データ項目の存在が自身のdSMCデータストアに記憶されたままであるかどうかを確認する。クライアント識別データ項目が記憶されたままである場合、RADIUSサーバは、クライアント識別データ項目がdSMCデータストアに記憶されたままである場合だけであるが、第3のネットワークに自動的にアクセスするように配列される。
【0064】
第2の(および第1の)ネットワークのRADIUSサーバはまた、ネットワークアクセス認証の処理の一部として、ユーザ機器からパスワードを受信するように配列される(たとえば、「キャプティブポータル」モデル)。クライアント識別データ項目がdSMCデータストアに記憶されたままである場合、クライアント機器の認証は、パスワードの検証を必要とすることなく行われる。しかしながら、クライアント識別データ項目がdSMCデータストアに記憶されたままではない場合、クライアント機器の認証は、パスワードの検証を条件とする。
【0065】
クライアント機器(UE)を認証するために、第2のネットワークのRADIUSサーバは、クライアント機器(UE)との認証通信に対して非同期で、第3のネットワークのRADIUSサーバとの認証通信を遂行する。第3のネットワークのRADIUSサーバとの認証通信は、第3のネットワークのRADIUSサーバにアクセスリクエスト通信を伝送するステップと、第3のネットワークのRADIUSサーバからアクセス許可通信を受信するステップとを含む。追加で、第3のネットワークのRADIUSサーバとの認証通信は、第3のネットワークのRADIUSサーバにアカウンティング開始通信を伝送するステップと、第3のネットワークのRADIUSサーバからアカウンティング応答を受信するステップとを含む。
【0066】
これらの通信は、クライアント機器(UE)との並列認証通信に対して非同期で行われる。これらは、第2のネットワークのRADIUSサーバで、クライアント機器からアクセスリクエスト通信を受信するステップと、第2のネットワークのRADIUSサーバからクライアント機器へアクセス許可通信を伝送するステップとを含む。追加で、クライアント機器との認証通信は、第2のネットワークのRADIUSサーバで、クライアント機器からアカウンティング開始通信を受信するステップと、第2のネットワークのRADIUSサーバからクライアント機器へアカウンティング応答通信を伝送するステップとを含む。
【0067】
第2のネットワークのRADIUSサーバと第3のネットワークのRADIUSサーバとの間の認証通信のこのシーケンスは、第2のネットワークのRADIUSサーバとユーザ機器(UE)との間の認証通信と非同期であるので、これは、ユーザ機器(UE)が、第3のネットワークのRADIUSサーバと調整する必要なしに認証メッセージを送信してもよいことを意味する。これは、そのような認証メッセージが、厳密に同期して、連続して行われる必要がないので、より迅速に連続して送信および受信されてもよいことを意味する。送信側装置(たとえば、ユーザ機器(UE)またはRADIUSサーバ)は、認証メッセージのシーケンスの1つを送信する前に、最終的な受信側機器(たとえば、RADIUSサーバまたはユーザ機器(UE))と調整する必要がない。RADIUSプロトコル(または他の適切なプロトコル)を実装するとき、従来の認証メッセージングシーケンスで使用される同期メッセージングは、そのような調整を必要とし、これが、認証メッセージングシーケンスを完了する際の遅延につながる。ホームサーバに到達するまでの認証メッセージの待ち時間は、さらにまた各ネットワーク内の複数のアクセスポイントにわたりローミングするとき、高速なローミング体験を中断させる。
【0068】
3つの認証サーバの1つまたは複数のdSMCデータストアとの間の認証メッセージング/伝送およびデータ伝送は、IPsecプロトコルを介して伝送中に保護される。このプロトコルは、当業者に周知であり、かつ入手可能であり、セキュアなインターネットプロトコル(IP)通信を提供し、通信セッションの各IPパケットを認証および暗号化することにより作動する。このようにして、3つのネットワークの3つの相互接続された/通信するdSMCデータストアは、セキュアな分散メモリキャッシュを提供する。分散メモリキャッシュは、ユーザ機器(UE)が、異なるネットワーク内のアクセスポイント間をローミングすることができるようにする、または図5の位置#1および位置#2が両方とも第1のネットワーク内の位置である場合など、同じネットワーク内の異なるアクセスポイント間をローミングすることができるようにする。
【0069】
たとえば、図6は、図5を参照して上述した実装形態に非常に類似する代替実装形態を概略的に示し、図6では、「第1のネットワーク」および「第2のネットワーク」のRadiusサーバ(AおよびB)はそれぞれ、同じ1つの「第1のネットワーク」内のそれぞれ2つの別個のネットワーク・アクセス・ポイント「AP#1」および「AP#2」である。この例では、クライアント機器(UE)は、第1のアクセスポイントから第2のアクセスポイントへローミングする。図6の例にある本発明の実装形態は、図5を参照して記述したものであるが、ネットワーク間ではなくむしろ1つのネットワーク内でのローミングに関する。
【0070】
別の一例では、図7は、図5および図6を参照して上述した実装形態に非常に類似する代替実装形態を概略的に示し、図7では、「第1のネットワーク」および「第2のネットワーク」のRadiusサーバ(AおよびB)はそれぞれ、同じ1つの「第1のネットワーク」内のそれぞれ2つの別個のネットワーク・アクセス・ポイント「AP#1」および「AP#2」である。図6の「第2のネットワーク」の「RADIUSサーバ」は、この例では今では(むしろ)「第1のネットワーク」内にあり、その結果、プロキシRADIUSサーバ(「AP#1」、「AP#2」)、およびクライアント識別データ項目および満了データ項目が生じるRADIUSサーバは、すべて同じ「第1のネットワーク」内にある。この例では、クライアント機器(UE)は、第1のアクセスポイントから第2のアクセスポイントへローミングする。図7の例にある本発明の実装形態は、図5を参照して記述したものであるが、ネットワーク間ではなくむしろ1つのネットワーク内でのローミングに関する。
【0071】
図4を参照すると、図6に示す実施形態などの、本発明の一実施形態によるネットワーク・アクセス・メッセージング・シーケンスの概略表現が示されている。たとえば、クライアント機器が第1のネットワークから第2のネットワークへローミングし、第3のネットワークのサービスへの継続的なアクセスを要求したとき、図4のメッセージングシーケンスを、クライアント機器(UE)と第3のネットワークのRADIUSサーバとの間で実装してもよい。
【0072】
最初に、ステップS10で(このステップは任意選択である)、クライアント機器(UE)は、第2のネットワークのネットワーク・アクセス・ポイント/ゲートウェイに「アソシエーションを開く(Open Association)」メッセージを送信する。アクセスポイントは、第2のネットワークのローカルRADIUSサーバ(B)に「アクセスリクエスト(Access Request)」メッセージを伝送することによりこの「アソシエーションを開く」メッセージに反応し、ローカルRADIUSサーバ(B)は、dSMCを検索して、dSMCが認証リクエストに関するレコードをすでに有しているかどうかを確かめることにより反応する。ステップS20で、UEに結果を戻してもよい。これらの2つのステップを任意選択で使用して、上流にあるキャリアAAAからdSMCの更新を開始することができる。
【0073】
ステップS30〜ステップS60で、クライアント機器(UE)は、上記の図1A〜図1Cを参照して論じた技法などの公知の技法に従ってローカルDHCPサーバ、ネットワーク・アクセス・ポイント、およびローカルキャプティブポータルと、周知のDHCPおよびHTTP GETメッセージングシーケンスを遂行する。これらは、ステップS30で、UEとローカルDHCPサーバとの間のDHCP:「発見」;「提示」;「要求」;「肯定応答」メッセージのシーケンスを含む。ステップS40で、UEは、ローカルネットワーク・アクセス・ポイントにメッセージ(たとえば、HTTP GET;http://www.google.com)を送り、ローカルネットワーク・アクセス・ポイントは、UEをキャプティブポータルにリダイレクトすることによりUEメッセージに応答し(たとえば、HTTP 302 Redirect;https://portals.odyssys.net/account/captivePortal/123456)、リダイレクトは、ステップS50で行われる(たとえば、UEからキャプティブポータルへのHTTP GET;https://portals.odyssys.net/account/captivePortal/123456;UEからキャプティブポータルへのHTTP 200メッセージ)。
【0074】
ステップS70で、dSMCが接続された、第2のネットワークのローカルAAA/RADIUS(「B」)は、アクセスポイント(AP)またはゲートウェイ(GW)を介してクライアント機器(UE)から認証リクエスト(たとえば、HTTP GET AP/GW UAM Auth URL)を受信し、これに応答して、自身のセキュアなキャッシュの内部で、そのUEに関する加入者のユーザ名(USER−NAME)および/または発呼局ID(CALLING−STATION−ID)データを探す。このデータは、クライアント機器識別データに対応する。このデータは、UEが第2のネットワークを介して(すなわち、サーバ「A」を介して)第3のネットワークにアクセスしていた間、第3のネットワークのRADIUSサーバがUEからの以前のアクセスリクエストを受信したときに/受信していた間に、第3のネットワークのRADIUSサーバから、第2のネットワークのRADIUSサーバ(「B」)により、セキュアなキャッシュにすでに記憶されている。認証リクエストをdSMCが受信した時間が、クライアント機器識別データがdSMCから削除されるべき期間が終了する(すなわち、「TTF」を経過した)よりも後ではないので、クライアント機器識別データがdSMC内に存在して残っている場合、ステップS80で、第2のネットワークのアクセスポイントのRADIUSサーバ(「B」)からUEへアクセス許可メッセージが発行される。TTF時間値とTTR時間値の両方の値が第3のネットワークのRADIUSサーバからRADIUSサーバ(「B」)に記憶されている場合、RADIUSサーバ(「B」)は、TTF時間値およびTTR時間値により規定される期間の中から短いほうの期間が満了すると、記憶したクライアント識別データ項目を自身のdSMCから削除するように配列されてもよい。この承認メッセージは、UEから提供されたパスワードデータがどんなものであろうと伝送される。アクセス許可メッセージは、第3のネットワークのRADIUSサーバ(すなわち、キャリアのRADIUSサーバ)から最初に受信した任意のRADIUS属性と共に、UEに戻される。
【0075】
しかしながら、dSMCが、ユーザ名または発呼局IDに関するレコードを、そのデータが削除されたために有しない(たとえば、更新すべき時間(TTR)またはTTFが、どちらか早い方が満了した)場合、第2のネットワークのRADIUSサーバは、第3のネットワークのRADIUSサーバに(すなわち、キャリアのAAA、たとえばRADIUSに)アクセスリクエストをプロキシするように配列される。
【0076】
UEと第2のネットワークのRADIUSサーバ(「B」)との間のアクセス許可メッセージングシーケンスと非常に類似した方法で、アクセスポイント(AP)またはゲートウェイ(GW)を介して、UEと第2のネットワークのRADIUSサーバ(「B」)との間で、ステップS90でアカウンティング開始を、およびステップS100でアカウンティング応答を備えるメッセージングシーケンスが始まる(たとえば、HTTP 302 Redirect;https://portals.odyssys.net/account/captivePortal/successpage)。これは、第2のネットワークのRADIUSサーバから即座に始まる。第2のネットワークのRADIUSサーバから第3のネットワーク(すなわち、上流にあるキャリア)のRADIUSサーバへ遅延更新(lazy update)もまた発行される。認証が行われた後、UEとキャプティブポータルとの間の通信(S110)により、UEはその後、所望のキャリア資源の必要とされる資源にアクセスすることができるようになる(たとえば、HTTP GET;https://portals.odyssys.net/account/captivePortal/successpage、およびHTTP 200)。
【0077】
第3のネットワークのRADIUSは、dSMCから送信されるアカウンティング開始および後続のアカウンティングパケットすべてを受信することによりアクセス許可に関する知識を完全に有する。
【0078】
ローカルネットワークのローカルRADIUSサーバと遠隔ネットワークの、上流にあるキャリアのRADIUSサーバとの間の待ち時間が関係している(involved)とき、またはその場合、分散されたセキュアなメモリキャッシュおよび期限付き信頼データ/メッセージを改善することにより、改善されたユーザ体験を可能になる。
【0079】
ステップ(S80)〜(S100)で、第2のネットワークのRADIUSサーバとUEとの間で行われるメッセージングシーケンスに対して非同期で、ステップ(S120)で、メッセージングシーケンス(第2のネットワークのRADIUSサーバと第3のネットワークのRADIUSサーバとの間で送信/受信)を行うことができる。その結果、メッセージングシーケンスは、図3のステップ(S12)で同期メッセージングシーケンスにより認証リクエストが遅延するように認証リクエストを遅らせる必要がない。
【0080】
EAPに関しては、ユーザ名(USERNAME)および/または発呼局ID(CALLING−STATION−ID)を照合するために、dSMCを介してローカルRADIUSサーバにより内部認証が確かめられるように、外部認証は、ローカルRADIUSサーバ上でEAPのトンネルを終端する必要がある(required to terminate its tunnel)場合がある。これは、ローカルRADIUSサーバが、パスワード(PASSWORD)を読み出す/処理する、または記憶する必要がないことを意味する。ユーザ名および/または発呼局IDに基づき、信頼期間(満了データ項目)の範囲内で認証を行ってもよい。たとえば、無料インターネットを使用する場合、所望であれば、信頼期間(満了データ項目)をかなり長くすることができる、またはキャリアが料金を請求する場合、信頼期間(満了データ項目)を短くしたいと望んでもよい。そのバランスは、信頼応答(より高速な)とエンド・ツー・エンド・ルックアップ(より遅い)との間のトレードオフにある。キャリアは、dSMCに保持されたデータが信頼期間(満了データ項目)に基づき満了すること、およびユーザパスワードをdSMCに記憶する必要がないことを分かっているので、dSMCを遠隔の国々もしくは位置に、および/または必要な場合には、分散方式で外部に配置してもよい。キャリアまたはローカルプロバイダによりdSMCを構成し、監視し(look after)、簡単で直感的な組込ウェブGUIを介して管理することができる。標準に基づくIPsecを介して伝送中にdSMCとの間のデータを保護してもよい。
【国際調査報告】