安全なネットワークアクセスを提供するためのシステムおよび方法
【課題】安全なネットワークアクセスを提供する。
【解決手段】安全ネットワークプロビジョニングデバイスは、関連するネットワークへのアクセスを可能にするために構成ブロックを必要とする第1のセットのネットワーク通信インターフェースと、ネットワークアクセスの前に構成される必要のない第2のセットのネットワーク通信インターフェースと、ネットワーク通信インターフェース間のネットワークトラフィックをゲートするように構成された通信インターフェースゲートウェイモジュールと、第1のセットの通信インターフェースを構成するのに必要なデータを含むネットワークプロファイルを獲得するように構成されたネットワークプロファイル獲得モジュールとを備えている。
【解決手段】安全ネットワークプロビジョニングデバイスは、関連するネットワークへのアクセスを可能にするために構成ブロックを必要とする第1のセットのネットワーク通信インターフェースと、ネットワークアクセスの前に構成される必要のない第2のセットのネットワーク通信インターフェースと、ネットワーク通信インターフェース間のネットワークトラフィックをゲートするように構成された通信インターフェースゲートウェイモジュールと、第1のセットの通信インターフェースを構成するのに必要なデータを含むネットワークプロファイルを獲得するように構成されたネットワークプロファイル獲得モジュールとを備えている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般にコンピュータネットワークに関し、より詳細には、安全なネットワークのプロビジョニング(provisioning)に関する。
【背景技術】
【0002】
コンピュータネットワークおよびインターネットワークは、ますます多くの人が仕事および遊びのために使用するにつれて一般的になってきた。電子メール、インスタントメッセージ、ストリーミングオーディオおよびビデオ、共同フォーラム、対話式ゲーム、これらは、絶えず増加し続けるコンピュータネットワーク応用分野のほんの数例である。コンピュータネットワークが日常生活に組み込まれるようになるにつれて、気軽で直感的なネットワーキングへの需要が生まれている。例えば、コンピュータネットワーキング専門家の助けに頼ることなくコンピュータネットワークリソースにアクセスできることへの需要である。
【0003】
しかし同時に、相互に関連する理由で、気軽なコンピュータネットワーキングに対する少なくとも1つの障壁が生じている。コンピュータネットワークが日常生活に組み込まれるようになるにつれて、ますます多くの機密データが、これらのネットワークを介して渡され、またこれらのネットワークからアクセス可能になる。安全でないコンピュータネットワークの使用が適切である環境の数は急速に減少しており、特に、物理的なアクセスポイントが必ずしも明白ではないワイヤレスコンピュータネットワークの普及を考えるとそうである。住居用ネットワークにおいてさえ、複雑なセキュリティ機構を目にすることは珍しくない。セキュリティは、すでに複雑なネットワークアクセス手順にさらに複雑化の層を追加することによって、気軽なネットワーキングを損なう。ネットワークアクセスを提供することに伴うフラストレーションは、セキュリティ機構が機能しなくなる結果をもたらすことがあるか、または単純に完全なアクセス禁止をもたらすことがある。
【0004】
例示的なシナリオとして、ラップトップまたはその他のネットワーク対応デバイスを持った人が、家または仕事から離れて移動し、新しいネットワークのある場所を訪ねる。手の込んだ安全ネットワーク登録手順を回避するために、ローカルがそれ自体のネットワークアクセスクリデンシャル(例えばユーザ名、パスワード、および/または暗号鍵)を訪問者に提供することがある。これは、有効なセキュリティポリシーにいくつかの形で違反する。例えば、訪問者はネットワーク上でローカルになることができ(場合によってローカルは過度に広いネットワークアクセスを訪問者に与え)、ネットワークアクセスクリデンシャルを消去する労力が費やされない場合、そのコピーが訪問者のデバイス上に残る。これは、ネットワークがそのリソースへのアクセスに課金する場合には特に問題である。
【0005】
構成の利便性からみた問題の一面は、ネットワークアクセスクリデンシャルが「帯域外で」、すなわちアクセスが求められている安全なネットワーク以外の何らかの方法によって提供されることが最良である。安全でないネットワークサービスが安全なネットワークサービスの前に利用可能であることは多いが、安全でないネットワークを介してネットワークアクセスクリデンシャルを渡すのは、セキュリティ上のリスクである。別の複雑さは、特定の安全なネットワークにアクセスできるようにデバイスを構成することが通常、ネットワークアクセスクリデンシャルだけでなくそれ以上のものを要求することである。例えば、最適な機能のためにネットワーク対応デバイス(network−ready device)によって要求される完全な関連ネットワーク「プロファイル」がある場合がある。このようなネットワークプロファイルの例として、非特許文献1に記載されたワイヤレスプロファイルがある。伴うデータの量は、例えばヘルプデスクへの電話による構成を、厄介でエラーを起こしやすいものにすることがある。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】Wireless Provisioning Service section of the Microsoft Developer Network (MSDN (登録商標)) Library dated may 2004
【非特許文献2】Plug and Play section of the Kernel−Mode Driver Architecture Design Guide in the Microsoft Developer Network (MSDN (登録商標)) Library dated June 14, 2004
【非特許文献3】Authentication section of the Microsoft (登録商標) Windows (登録商標) Platform Software Development Kit (SDK) in the Microsoft Developer Network (MSDN (登録商標)) Library dated June, 2004
【発明の概要】
【発明が解決しようとする課題】
【0007】
これらの困難を克服するために新しい種類のネットワークを設計することも可能だが、このような解決法は、既存のネットワークの広大な基盤への安全なアクセスを提供できないことになる。互換性を最大限にするためには、構成の困難を、可能な限り既存のネットワーキング標準の制約内で解決すべきである。同様に、最適な解決法は、例えばカスタムインターフェースを要求することによって既存の広範なネットワーク対応デバイスを除外すべきではなく、加えて、「プラグアンドプレイ」機能など、デバイスによって保持される自動構成機能のどんな追加層にも対応すべきである。デバイスの自動構成機能に関する例示的な詳細およびコンテキストが非特許文献2に記述されている。
【課題を解決するための手段】
【0008】
このセクションでは、本発明のいくつかの実施形態を単純化した概要を提示する。この概要は、本発明の広範な概観ではない。この概要は、本発明の鍵となる/クリティカルな要素を特定するものではなく、本発明の範囲を画定するものでもない。この唯一の目的は、本発明のいくつかの実施形態を、後で提示するより詳細な記述への前置きとして、単純化した形で提示することである。
【0009】
本発明の一実施形態では、安全なネットワークアクセスを提供することは、安全ネットワークプロビジョニングデバイス(secure network provisioning device)をセキュリティ権限に接続することを含む。セキュリティ権限から、1つまたは複数のネットワークプロファイルを獲得することができる。獲得したネットワークプロファイルの属性に対応するデータで、安全ネットワークプロビジョニングデバイスの1つまたは複数のネットワークインターフェースを構成することができる。安全ネットワークプロビジョニングデバイスは、獲得モードからゲートウェイモードに切り換えることができる。安全ネットワークプロビジョニングデバイスは、クライアントデバイスに接続することができる。クライアントデバイスには、獲得された各ネットワークプロファイルに関連する安全ネットワークへのアクセスを提供することができる。
【0010】
本発明の一実施形態では、安全なネットワークアクセスを提供することは、安全ネットワークに関連する1つまたは複数のネットワークプロファイルを管理することを含む。安全ネットワークプロビジョニングデバイスが獲得モードのとき、安全ネットワークプロビジョニングデバイスからの接続を受け入れることができ、管理下にあるネットワークプロファイルをこのデバイスに提供することができる。提供された各ネットワークプロファイルにより、安全ネットワークプロビジョニングデバイスは、ゲートウェイモードに切り換わったときに、そのネットワークプロファイルに関連する安全ネットワークへのアクセスをクライアントデバイスに提供することができる。
【0011】
本発明の一実施形態では、安全なネットワークアクセスを提供することは、安全ネットワークプロビジョニングデバイスがゲートウェイモードのときに、安全ネットワークプロビジョニングデバイスからの接続を受け入れることを含む。安全ネットワークプロビジョニングデバイスを介して安全ネットワークにアクセスするために、各安全ネットワークはアクセスのための認証クリデンシャルを要求することができる。安全ネットワークプロビジョニングデバイスは、獲得モードにある間に、要求される認証クリデンシャルで構成することができる。
【0012】
本発明の一実施形態では、安全ネットワークプロビジョニングデバイスは、第1のセットのネットワーク通信インターフェースと、第2のセットのネットワーク通信インターフェースと、通信インターフェースゲートウェイモジュールと、ネットワークプロファイル獲得モジュールとを備える。第1のセットのネットワーク通信インターフェースは、1つまたは複数のネットワーク通信インターフェースを含むことができ、これらのネットワーク通信インターフェースは、関連するネットワークへのアクセスを可能にするために構成ブロックを必要とする。第2のセットのネットワーク通信インターフェースは、ネットワークアクセスの前に構成する必要のない1つまたは複数のネットワーク通信インターフェースを含むことができる点で異なる。通信インターフェースゲートウェイモジュールは、第1および第2のセット中のネットワーク通信インターフェース間のネットワークトラフィックをゲートするように構成することができる。ネットワークプロファイル獲得モジュールは、セキュリティ権限からネットワークプロファイルを獲得し、第1のセットの通信インターフェースによって要求される構成ブロックを提供することができる。各構成ブロックは、獲得されたネットワークプロファイルの1つまたは複数に対応する。
【0013】
本発明の特徴を添付の特許請求の範囲に特に開陳するが、本発明およびその利点は、添付の図面と共に以下の詳細な記述を読めば最もよく理解される。
【図面の簡単な説明】
【0014】
【図1】本発明の一実施形態を実施するのに使用可能な例示的なコンピュータシステムを一般的に示す概略図である。
【図2】本発明の態様を組み込むのに適した例示的なネットワーキング環境を示す概略図である。
【図3】本発明の一実施形態による例示的な安全ネットワークプロビジョニングデバイスアーキテクチャを示す概略図である。
【図4】本発明の一実施形態による、安全ネットワークプロビジョニングデバイスによって安全なネットワークアクセスを提供するための例示的なステップを示すフローチャートである。
【図5】本発明の一実施形態による、獲得モードにおける安全ネットワークプロビジョニングデバイスを示す概略図である。
【図6】本発明の一実施形態による、ゲートウェイモードにおける安全ネットワークプロビジョニングデバイスを示す概略図である。
【図7】本発明の一実施形態による、例示的なネットワークプロファイル獲得プロトコルを示すプロトコル図である。
【図8】本発明の一実施形態による、安全ネットワークプロファイルを選択するのに適した例示的なグラフィカルユーザインターフェース要素を示す概略図である。
【発明を実施するための形態】
【0015】
本発明の様々な実施形態の記述に進む前に、本発明の様々な実施形態を実施することのできるコンピュータに関する記述を以下に提供する。必須ではないが、本発明については、プログラムモジュールなど、コンピュータによって実行されるコンピュータ実行可能命令の一般的なコンテキストで述べる。一般にプログラムは、特定のタスクを実行するか特定の抽象データ型を実装するルーチン、オブジェクト、コンポーネント、データ構造などを含む。本明細書で使用される用語「プログラム」は、単一のプログラムモジュール、または協調して動作する複数のプログラムモジュールを意味することができる。本明細書で使用される用語「コンピュータ」および「コンピューティングデバイス」には、パーソナルコンピュータ(PC)、ハンドヘルドデバイス、マルチプロセッサシステム、マイクロプロセッサベースのプログラム可能な民生用電子機器、ネットワークPC、ミニコンピュータ、タブレットPC、ラップトップコンピュータ、マイクロプロセッサまたはマイクロコントローラを有する民生用機器、ルータ、ゲートウェイ、ハブなど、1つまたは複数のプログラムを電子的に実行する任意のデバイスが含まれる。本発明は分散コンピューティング環境で利用することもでき、その場合、タスクは通信ネットワークでリンクされたリモート処理デバイスによって実行される。分散コンピューティング環境では、プログラムはローカルとリモートの両方のメモリ記憶デバイスに位置することができる。
【0016】
図1を参照すると、本明細書に述べる本発明の態様を実施することのできるコンピュータ102の基本的な構成の例が示されている。コンピュータ102は通常、その最も基本的な構成では、少なくとも1つの処理ユニット104およびメモリ106を備える。処理ユニット104は、本発明の様々な実施形態に従ってタスクを実施するための命令を実行する。このようなタスクを実施する際、処理ユニット104は、コンピュータ102の他の部分およびコンピュータ102の外部のデバイスに電子信号を送って、何らかの結果を引き起こすことができる。コンピュータ102の厳密な構成およびタイプに応じて、メモリ106は揮発性(RAMなど)、不揮発性(ROMやフラッシュメモリなど)、またはこの2つの何らかの組合せとすることができる。この最も基本的な構成は、図1では破線108で示されている。
【0017】
コンピュータ102は、追加の機構/機能を有することもできる。例えば、コンピュータ102は追加のストレージ(リムーバブル110および/または非リムーバブル112)を備えることもでき、これらには、限定しないが磁気ディスクまたは光ディスクあるいはテープが含まれる。コンピュータ記憶媒体には、コンピュータ実行可能命令、データ構造、プログラムモジュール、その他のデータを含む情報を格納するための任意の方法または技術で実装された揮発性および不揮発性、リムーバブルおよび非リムーバブルの媒体が含まれる。コンピュータ記憶媒体には、限定しないがRAM、ROM、EEPROM、フラッシュメモリ、CD−ROM、デジタル多用途ディスク(DVD)またはその他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージまたはその他の磁気記憶デバイスが含まれ、あるいは、所望の情報を記憶するのに使用できコンピュータ102からアクセスできるその他の任意の媒体が含まれる。このような任意のコンピュータ記憶媒体をコンピュータ102の一部とすることができる。
【0018】
コンピュータ102はまた、デバイスがリモートコンピュータ116など他のデバイスと通信できるようにする通信接続114も備えることが好ましい。通信接続は、通信媒体の一例である。通信媒体は通常、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータを、搬送波やその他のトランスポート機構などの変調データ信号に具体化し、任意の情報送達媒体がこれに含まれる。限定ではなく例として、用語「通信媒体」には、音響、無線周波数、赤外線などのワイヤレス媒体、およびその他のワイヤレス媒体が含まれる。本明細書で使用される用語「コンピュータ可読媒体」には、コンピュータ記憶媒体と通信媒体の両方が含まれる。
【0019】
コンピュータ102は、キーボード/キーパッド、マウス、ペン、音声入力デバイス、タッチ入力デバイスなどの入力デバイス118も有することができる。また、表示装置、スピーカ、プリンタなどの出力デバイス120を備えることもできる。これらのデバイスはすべて当技術分野で周知であり、ここで詳細に述べる必要はない。
【0020】
以下の記述では、特に指示がない限り、1つまたは複数のコンピューティングデバイスによって実行されるオペレーションのシンボル表現およびアクトを参照しながら本発明を述べる。このように、コンピュータによって実行されるものとして言及されることがあるこのようなアクトおよびオペレーションは、構造化された形でデータを表す電子信号をコンピュータの処理ユニットによって操作することを含むことが理解されるであろう。この操作は、データを変換するか、またはデータをコンピュータのメモリシステム中のロケーションで維持し、それにより、コンピュータのオペレーションは、当業者にはよく理解されるようにして再構成されるかまたは他の方法で変更される。データが維持されるデータ構造は、データのフォーマットによって定義される特定のプロパティを有する物理的なメモリロケーションである。しかし、本発明を前述のコンテキストで述べるが、これは限定を意味するのではなく、以下に述べるアクトおよびオペレーションの多くをハードウェア中で実施してもよいことを当業者は理解するであろう。
【0021】
図2に、本発明の態様を組み込むのに適したネットワーキング環境200の例示的な詳細を示す。ネットワーキング環境200は、第1のワイヤレスネットワークに関連する第1のワイヤレスネットワークアクセスポイント(AP)202と、第2のワイヤレスネットワークに関連する第2のワイヤレスネットワークアクセスポイント204とを含む。例えば、第1および第2のワイヤレスネットワークは、IEEE(Institute of Electrical and Electronic Engineers)802.1xシリーズの標準などの標準に準拠するワイヤレスローカルエリアネットワーク(WLAN)技術や、Bluetooth(BT)シリーズの標準などの標準に準拠するワイヤレスパーソナルエリアネットワーク(WPAN)技術などを使用することができる。この例では、プリンタ206、ラップトップコンピュータ(ラップトップ)208、パーソナルデジタルアシスタント(PDA)210、携帯電話機212はそれぞれ、安全ネットワークプロビジョニングデバイス214を介して1つまたは複数のワイヤレスネットワークへのアクセスを有する。各安全ネットワークプロビジョニングデバイス214は、ワイヤレスアクセスポイント202および204のうちの1つまたは複数と通信して、ワイヤレスネットワークへのアクセスを提供する。
【0022】
この例では、パーソナルコンピュータ(PC)216は、パーソナルコンピュータ216が第1のワイヤレスネットワークに参加するのを可能にする、安全ネットワークプロビジョニングデバイス214から独立したワイヤレスネットワークアクセス機構(例えばワイヤレスネットワークインターフェースカードすなわちNIC)を備える。パーソナルコンピュータ216はまた、パーソナルコンピュータ216がリモートネットワーク218にアクセスするのを可能にする第2のネットワークアクセス機構も備える。リモートネットワーク218および第2のワイヤレスアクセスポイント204はそれぞれ、インターネット220(すなわち、「インターネット」を含めた複数の相互接続ネットワーク)へのアクセスを提供する。パーソナルコンピュータ216は、第1のワイヤレスネットワークからリモートネットワーク218へのゲートウェイとして働くことができる。インターネット220へは、第1および第2の両方のワイヤレスネットワークからの経路が存在するが、第1のワイヤレスネットワークからのインターネットアクセスはリモートネットワーク218を通る。リモートネットワーク218は追加のセキュリティ(例えばファイアウォール化やウイルススキャン)を提供することができ、したがって、2つの経路によって提供されるサービスの品質は異なる場合がある。
【0023】
前述のように、プリンタ206、ラップトップ208、PDA210、携帯電話機212などのコンピューティングデバイスを安全なネットワークアクセスのために従来のように構成するのは、厄介でエラーが起こりやすいことがある。本発明の一実施形態では、このようなデバイスを構成する必要はなく、安全ネットワークプロビジョニングデバイス214が適切に構成され、次いで安全ネットワークプロビジョニングデバイス214は、デバイス206、208、210、212と、1つまたは複数の安全なネットワーク、すなわちこの例では第1および第2のワイヤレスアクセスポイント202および204に関連するワイヤレスネットワークとの間で、ゲートウェイとして働く。本発明の一実施形態では、安全ネットワークプロビジョニングデバイス214は、パーソナルコンピュータ216またはその他の適したネットワークセキュリティ権限エージェントによって、ネットワークアクセスクリデンシャルを含めた安全ネットワークプロファイルに対応するデータで構成される。セキュリティ権限およびそれらのエージェントに関する例示的な詳細およびコンテキストが記述されている(非特許文献3参照)。安全ネットワークプロビジョニングデバイス214は、構成されると、モードを切り換えて安全ネットワークゲートウェイになる。
【0024】
図2では、安全ネットワークプロビジョニングデバイス214はクライアントデバイス206、208、210、212から物理的に離れているように示されているが、当業者には明らかなように、安全ネットワークプロビジョニングデバイス214は、クライアントデバイス206、208、210、212および同様のコンピューティングデバイスにモジュラー方式で組み込まれつつ実質的な効用を維持することができる。
【0025】
安全ネットワークプロビジョニングデバイス214の動作をより詳細に述べる前に、安全ネットワークプロビジョニングデバイス214の例示的なアーキテクチャを述べるのが役立つであろう。図3に、本発明の一実施形態による、安全ネットワークプロビジョニングデバイスを実現するのに適した例示的なアーキテクチャを示す。この例示的なアーキテクチャでは、安全ネットワークプロビジョニングデバイス302が、1つまたは複数のワイヤライン通信インターフェース304と、1つまたは複数のワイヤレス通信インターフェース306と、通信インターフェースゲートウェイモジュール308と、ネットワークプロファイル獲得モジュール310とを備えている。
【0026】
ワイヤライン通信インターフェース304には、ユニバーサルシリアルバス(USB)インターフェースと、Ethernet(登録商標)インターフェース(例えば標準的なNE2000Ethernet(登録商標)インターフェースや、IEEE802.3xシリーズの標準に準拠するその他の通信インターフェース)と、任意の適したワイヤライン通信インターフェース(例えばメタリックまたはノンメタリックワイヤを組み込んだ通信媒体への通信インターフェース)とを含むことができる。ワイヤレス通信インターフェース306には、IEEE802.1xシリーズの標準(例えばWi−Fi)に準拠する通信インターフェースと、Bluetooth(BT)シリーズの標準に準拠する通信インターフェースと、ウルトラワイドバンド(UWB)ワイヤレス通信インターフェースと、ワイヤレスUSB通信インターフェースと、任意の適したワイヤレス通信インターフェース(例えばメタリックまたはノンメタリックワイヤから独立した通信媒体への通信インターフェース)とを含むことができる。
【0027】
ネットワークプロファイル獲得モジュール310は、図2のパーソナルコンピュータ216などのネットワークセキュリティ権限エージェントから、ワイヤライン通信インターフェース304の1つを介して、1つまたは複数のネットワークプロファイル312を獲得することができる。ネットワークプロファイル獲得モジュール310は、ワイヤレス通信インターフェース306に1つまたは複数の構成ブロック314を提供することができる。本発明の一実施形態では、各ワイヤレス通信インターフェース306は、1つまたは複数の構成ブロック314に関連付けられている。特定のワイヤレス通信インターフェースに関連する構成ブロック314が提供されたとき、このワイヤレス通信インターフェースは、関連するワイヤレスネットワークを介して通信することができる。本発明の一実施形態では、ワイヤレス通信インターフェースが関連のワイヤレスネットワークを介して安全に通信できるようになる前に、関連する構成ブロック314が必要である。
【0028】
構成ブロック314中のデータは、ネットワークプロファイル312の1つまたは複数の属性に対応する。1つまたは複数の構成ブロック314は、ネットワークプロファイル312のうちの関連する1つと同一であってもよい。構成ブロック314の内容の詳細は当技術分野で知られており、ここで詳しく述べる必要はない。このような詳細は、例えば上で参照したIEEE標準文書など、構成されるネットワークインターフェースに関連する1つまたは複数の標準文書に大部分が記述されている。
【0029】
ネットワークプロファイル獲得モジュール310が構成ブロック314をワイヤレス通信インターフェース306に提供すると、ネットワークプロファイル獲得モジュール310はディセーブルされ、通信インターフェースゲートウェイモジュール308がイネーブルされる。通信インターフェースゲートウェイモジュール308は、ワイヤライン通信インターフェース304と構成済みのワイヤレス通信インターフェース306との間の通信トラフィックのための、ブリッジ/ルータとして働く。このようなゲートウェイモジュールは当技術分野で知られており、ここでさらに述べる必要はない。
【0030】
この例では、ネットワークプロファイル獲得モジュール310がワイヤライン通信インターフェース304の1つを利用してネットワークプロファイルを獲得し、次いでこれらのネットワークプロファイルを利用して1つまたは複数のワイヤレス通信インターフェース306を構成するが、本発明の実施形態はこのように限定されるわけではない。例えば、通信インターフェースのセット304と306は両方ともワイヤレス通信インターフェースであってもよく、あるいは両方ともワイヤライン通信インターフェースであってもよく、あるいは、ネットワークプロファイル獲得モジュール310が介する通信インターフェースはワイヤレス通信インターフェースとし、ネットワークプロファイル獲得モジュール310が構成する通信インターフェースはワイヤライン通信インターフェースとしてもよい。
【0031】
図4に、本発明の一実施形態による、安全ネットワークプロビジョニングデバイス214(図2)によって安全なネットワークアクセスを提供するために実行することのできる例示的なステップを示す。この初期状態402では、安全ネットワークプロビジョニングデバイス214は獲得モードとすることができる。図5に、獲得モードでアクティブになることのできる安全ネットワークプロビジョニングデバイス302(図3)のコンポーネントを破線502で示す。獲得モードでは、ワイヤレス通信インターフェース306および通信インターフェースゲートウェイモジュール308は非アクティブであり、ワイヤライン通信インターフェース304およびネットワークプロファイル獲得モジュール310はアクティブである。
【0032】
ステップ404で、安全ネットワークプロビジョニングデバイス214(図2)を、セキュリティ権限(またはパーソナルコンピュータ216などのセキュリティ権限エージェント)に、ワイヤライン通信インターフェース304(図5)によって接続する。安全ネットワークプロビジョニングデバイス214は、セキュリティ権限に接続されると、従来のプラグアンドプレイ(PnP)技法によって安全ネットワークプロビジョニングデバイスとして認識される。ワイヤライン通信インターフェース304によってセキュリティ権限に接続するには、通常、セキュリティ権限との、またはセキュリティ権限に接続されたケーブルとの物理的接触が必要である。本発明の一実施形態では、ネットワークプロビジョニングデバイス214がセキュリティ権限と物理的に接触する必要があることが、安全なネットワークアクセス認証の一要素である。
【0033】
ステップ406で、安全ネットワークプロビジョニングデバイス214は、セキュリティ権限によって認識された後、1つまたは複数のネットワークプロファイル312をセキュリティ権限から獲得する。本発明の一実施形態では、セキュリティ権限から獲得される特定のネットワークプロファイルは、ネットワークプロファイル獲得プロトコルによって決定される。例示的なネットワークプロファイル交渉プロトコルを含めて、ステップ404および406の態様については、後で図7を参照しながらより詳細に述べる。
【0034】
ステップ408で、ネットワークプロファイル獲得モジュール310から1つまたは複数のワイヤレス通信インターフェース306(図5)に構成ブロック314を提供する。特定のワイヤレス通信インターフェース306に関連の通信ブロック314を提供すると、ワイヤレス通信インターフェース306がアクティブになるものとすることもでき、あるいは、ワイヤレス通信インターフェース306は例えばステップ410で、明示的なアクティブ化を必要とすることもできる。
【0035】
ステップ410で、安全ネットワークプロビジョニングデバイス214(図2)は、ゲートウェイモードに切り換える。図6に、ゲートウェイモードでアクティブになることのできる安全ネットワークプロビジョニングデバイス302(図3)のコンポーネントを破線602で示す。ゲートウェイモードでは、ネットワークプロファイル獲得モジュール310は非アクティブであり、ワイヤライン通信インターフェース304、ワイヤレス通信インターフェース306、通信インターフェースゲートウェイモジュール308はアクティブである。
【0036】
ステップ412で、安全ネットワークプロビジョニングデバイス214(図2)をクライアントデバイス、例えばクライアントデバイス206、208、210、または212に接続する。ゲートウェイモードに切り換えた後、本発明の一実施形態では、安全ネットワークプロビジョニングデバイス214は、例えばセキュリティ権限に接続されたときと同じワイヤライン通信接続でクライアント206、208、210、または212デバイスに接続されている場合でも、構成を要求する安全ネットワークプロビジョニングデバイスとしてもはや現れることはない。そうではなく、安全ネットワークプロビジョニングデバイス214は、クライアントデバイス206、208、210、または212に対して、例えばUSBやEthernet(登録商標)などの標準的なワイヤライン通信インターフェースとして現れる。すなわち、ゲートウェイモードでは、安全ネットワークプロビジョニングデバイス214は、セキュリティ権限またはパーソナルコンピュータ216などのセキュリティ権限エージェントへの、またはその他の適した安全ネットワークアクセスポイントへの、直接の(例えばUSBやEthernet(登録商標)による)ワイヤライン接続をシミュレートすることができる。
【0037】
この場合もやはり、安全ネットワークプロビジョニングデバイス214(図2)をクライアントデバイス206、208、210、または212に接続するには、通常、安全ネットワークプロビジョニングデバイス214がクライアントデバイス206、208、210、または212と物理的に接触している(例えばクライアントデバイスのUSBまたはEthernet(登録商標)ポートに挿入されている)か、少なくとも近接している(例えば赤外線ベースの通信インターフェースの場合)必要があり、本発明の一実施形態では、このことは安全なネットワークアクセス認証の一要素である。ラップトップを持った訪問者のシナリオでは、構成済み(すなわち獲得モード後)の安全ネットワークプロビジョニングデバイス214を単に訪問者に手渡して、ラップトップのUSBポートに挿入されるようにすればよい。
【0038】
ゲートウェイモードの安全ネットワークプロビジョニングデバイス214(図2)が、標準的なワイヤライン通信インターフェースとしてクライアントデバイス206、208、210、または212によって認識されると、クライアントデバイス206、208、210、または212は、獲得モードの間に安全ネットワークプロビジョニングデバイス214によって獲得された1つまたは複数の安全ネットワークにアクセスすることができる。クライアントデバイス206、208、210、212とワイヤレスアクセスポイント202および204との間の通信トラフィックは、通信インターフェースゲートウェイモジュール308(図6)によってゲートされる(例えばブリッジ、ルート、プロキシ、および/またはフィルタリングされる)。
【0039】
重要なことに、クライアントデバイス206、208、210、または212は、安全ネットワークプロビジョニングデバイス214のネットワークプロファイル312(図3)へのアクセスも構成ブロック314へのアクセスも得ない。その結果、安全ネットワークプロビジョニングデバイス214がクライアントデバイス206、208、210、または212から取り外されると、1つまたは複数の関連する安全ネットワークへのアクセスも除去される。すなわち、安全ネットワークプロビジョニングデバイス214は、物理的な安全ネットワーク「ゲストキー」として働くことができる。
【0040】
ステップ414で、安全ネットワークプロビジョニングデバイス214(図2)は、リセットされるまで通信ゲートウェイとして動作し続ける。リセットはプログラムによって開始することができるが、本発明の一実施形態では、リセットは、安全ネットワークプロビジョニングデバイス214に組み込まれた物理的なリセットボタンまたはスイッチによって開始される。リセットされると、手順はステップ416に進む。
【0041】
ステップ416で、安全ネットワークプロビジョニングデバイス214の構成ブロック314(図3)を消去し、関連するワイヤレス通信インターフェース306をディセーブルする。ステップ418で、ネットワークプロファイル312を消去し、セキュリティ権限またはパーソナルコンピュータ216(図2)などのセキュリティ権限エージェントから1つまたは複数のネットワークプロファイル312が再獲得されることなくワイヤレス通信インターフェース306が再アクティブ化されることがないようにする。ステップ420で、安全ネットワークプロビジョニングデバイス214は、獲得モードに戻り、セキュリティ権限に接続されるのを待機する。リセットされない場合は、安全ネットワークプロビジョニングデバイス214は、セキュリティ権限に対して、標準的なワイヤライン通信インターフェースとして現れる。すなわち、セキュリティ権限に対して、安全なネットワークアクセスを要求するクライアントデバイスであるかのように現れる。リセット後、獲得モードで、安全ネットワークプロビジョニングデバイス214は、セキュリティ権限に対して、1つまたは複数のネットワークプロファイルに関連付けられる(すなわち獲得する)準備のできた安全ネットワークプロビジョニングデバイスとして現れる。
【0042】
図7に、図4を参照しながら上述した手順のステップ404および406に組み込むのに適した例示的なネットワークプロファイル獲得プロトコルを示す。図7の破線間の各矢印は、モジュール間で送られるプロトコルメッセージを表す。プロトコルメッセージの順番は、図を上から下に読むことによって決定することができる。
【0043】
安全ネットワークプロビジョニングデバイス702が、この例ではユニバーサルシリアルバスによってセキュリティ権限704に接続するとき、安全ネットワークプロビジョニングデバイス702は、ユニバーサルシリアルバス(USB)列挙クラス識別子(ID)を含むメッセージを送る。このUSB列挙クラスIDは、安全ネットワークプロビジョニングデバイス702を、ネットワークプロファイルを獲得する準備のできた安全ネットワークプロビジョニングデバイスとして識別する。この例では、USB列挙クラスIDは、例えば、安全ネットワークプロビジョニングデバイス702がセキュリティ権限のUSBポートに挿入されたときに、セキュリティ権限704のユニバーサルシリアルバス(USB)PONGマネージャ706によって、標準的なUSB新規デバイス列挙の一部として受け取られる。USB PONGマネージャ706は、ネットワークプロファイルとネットワークタイプとの間を調停し、各ネットワークプロファイルを様々なネットワークタイプにインテリジェントに関連付けることによって特定のネットワークプロファイルの適用性を拡張する。ここでは、USB PONGマネージャ706のいくつかの機能だけを述べる。追加の詳細およびコンテキストは2003年8月21日に出願された「PHYSICAL DEVICE BONDING」という名称の同時係属の米国特許第10/645008号明細書に見ることができる。
【0044】
USB列挙クラスIDは、安全ネットワークプロビジョニングデバイスに特有であってもよく、さらにはその特定バージョンに特有であってもよい。あるいは、安全ネットワークプロビジョニングデバイスは、USBフラッシュドライブなど標準的なデバイスクラスとして列挙することもできる。安全ネットワークプロビジョニングデバイス702がモジュラー方式でクライアントデバイスに組み込まれている場合、安全ネットワークプロビジョニングデバイス702とクライアントデバイスとはUSB複合デバイスとして列挙することができ、安全ネットワークプロビジョニングデバイスとクライアントデバイスとが単一のUSB通信インターフェースを共用していても、列挙クラス識別子は別々とすることができる。USB列挙クラスIDメッセージに応答して、USB PONGマネージャ706は、クエリpong/デバイスヘッダメッセージを安全ネットワークプロビジョニングデバイス702に送り、安全ネットワークプロビジョニングデバイス702が通信できるネットワークのタイプに関する情報を要求する。クエリpong/デバイスヘッダメッセージに応答して、安全ネットワークプロビジョニングデバイス702は、要求された情報を含むリターンpong/デバイスヘッダメッセージを送る。
【0045】
この例では、USB PONGマネージャ706は、安全ネットワークプロビジョニングデバイス702がIEEE802.11シリーズの標準に準拠するワイヤレスネットワークと通信できると判定する。その結果、USB PONGマネージャ706は、安全ネットワークプロビジョニングデバイス702から送られたpong/デバイスヘッダメッセージを、PONG802.11プラグインモジュール708に中継する。安全ネットワークプロビジョニングデバイスから返された情報が異なる場合は、USB PONGマネージャ706は、pong/デバイスヘッダメッセージの中継先として異なるプラグインモジュールを選択することができる。
【0046】
PONG802.11プラグインモジュールは、pong/デバイスヘッダメッセージを解析し、ワイヤレスネットワーク(WSNK)ウィザード710を呼び出して、安全ネットワークプロビジョニングデバイス702が関連付けられることになる1つまたは複数のワイヤレスネットワークを安全ネットワークプロビジョニングデバイスのユーザ712に照会する。ワイヤレスネットワークウィザード710の呼出しは、呼出しを引き起こしたデバイスタイプの指示、この場合は安全ネットワークプロビジョニングデバイス702の指示を含み、それにより、ワイヤレスネットワークウィザード710は、ユーザ712に求められる質問と回答の数を最適化(例えば最小限に)することができる。ワイヤレスネットワークウィザード710は、まず既知のワイヤレスネットワークプロファイルのリストをワイヤレス自動構成モジュール714に照会し、次いで、このリストをグラフィカルフォーマットでユーザ712に提示する。本発明の一実施形態に組み込むのに適した例示的なグラフィカルユーザインターフェースについては、後で図8を参照しながらより詳細に述べる。
【0047】
ユーザ712は、既知のワイヤレスネットワークプロファイルの1つまたは複数を選択し(あるいは新しいワイヤレスネットワークプロファイルを作成し)、ワイヤレスネットワークウィザード710は、この選択を呼出し元のPONG802.11プラグインモジュール708に返す。この例では、PONG802.11プラグインモジュール708は、選択されたワイヤレスネットワークプロファイルを解析して、この安全ネットワークプロビジョニングデバイスタイプに特化したワイヤレスネットワーク構成データ構造(例えばワイヤレスネットワークインターフェース構成ブロック)を作成する。例えば、ワイヤレスネットワーク構成データ構造は、ワイヤレスネットワークに対するサービスセット識別子(SSID)と、接続タイプ指示子(例えば拡張サービスセット「ESS」や独立基本サービスセット「IBSS」)と、認証タイプ指示子(例えば「OPEN」や「WPAPSK」(Wi−Fi Protected Access with Pre−shared Key))と、暗号化タイプ指示子(例えば「WEP」(Wireless Encryption Protocol)や「TKIP」(Temporal Key Integrity Protocol))と、ネットワーク鍵(例えばASCIIまたはHEXの40/104ビットWEP鍵や256ビットWPAPSK鍵)を含むことができる。
【0048】
次いで、PONG802.11プラグインモジュール708は、メッセージ中のワイヤレスネットワーク構成データ構造をUSB PONGマネージャ706に送り、USB PONGマネージャは、このデータ構造を安全ネットワークプロビジョニングデバイス702に渡す。ワイヤレスネットワーク構成データ構造を含むメッセージがうまく受け取られたことが、USB PONGマネージャ706への確認メッセージで確認され、USB PONGマネージャ706は、ユーザ712で終了する一連の確認メッセージをトリガする。
【0049】
セキュリティ権限704は、どの安全ネットワークプロビジョニングデバイスが特定のネットワークプロファイルで構成されたかを追跡することができ、いくつかのネットワークタイプでは、セキュリティ権限704は、例えば盗まれた安全ネットワークプロビジョニングデバイスを使用した無許可ネットワークアクセスから保護するために、特定の安全ネットワークプロビジョニングデバイスに関連するネットワークアクセスを取り消すことができる。セキュリティ権限704は、追加のネットワークアクセスレベルを施行することもできる。例えば、すでに安全ネットワークプロビジョニングデバイスを利用して接続されているユーザが特定のネットワークリソースにアクセスするには、追加の承認が必要であるようにすることができる。さらに、セキュリティ権限704は、接続性診断情報を提供して、安全ネットワークプロビジョニングデバイスのユーザが技術的困難を解決するのを補助することもできる。
【0050】
図8に、本発明の一実施形態による、安全ネットワークプロファイルを選択するのに適した例示的なグラフィカルユーザインターフェース要素を示す。意図的に簡素なユーザインターフェース800は、安全ネットワークプロビジョニングデバイスがアクセスを提供することになるワイヤレスネットワークを選択するよう、安全ネットワークプロビジョニングデバイスのユーザを促す。例示的なリスト選択領域802は、各ワイヤレスネットワークの「フレンドリ名」、ならびにワイヤレスネットワークのタイプの指示、具体的には各ネットワークに関連するセキュリティレベルを含む。ユーザは、ワイヤレスネットワークを選択してから「次へ」ボタン804を選択することもでき、あるいは、最初に「新規作成」ボタン806を選択し、新しいワイヤレスネットワーク(および関連するワイヤレスネットワークプロファイル)を作成して選択領域802に追加することもできる。
【0051】
刊行物、特許出願、特許を含めて、本明細書で引用したすべての参考文献は、各参考文献が参照により組み込まれるよう個別かつ具体的に指示されておりその全体が本明細書に記載されているかのように、参照により本明細書に組み込まれる。
【0052】
本発明を記述するコンテキスト(特に添付の特許請求の範囲のコンテキスト)における冠詞や不定冠詞および同様の指示物の使用は、本明細書に特に指示がない限り、またはコンテキストにより明らかに矛盾しない限り、単数と複数の両方をカバーするものと解釈すべきである。用語「備える」「有する」「含む」「入る」は、特に注記がない限り、オープンエンドの用語(すなわち「含むが限定されない」という意味)として解釈すべきである。本明細書における値の範囲の引用は、本明細書に特に指示がない限り、その範囲に入る各個々の値を個別に参照する略記方法として働くだけであり、各個々の値は、それが本明細書で個別に引用されたかのように本明細書に組み込まれる。本明細書で述べたすべての方法は、本明細書に特に指示がない限り、またはコンテキストにより明らかに矛盾しない限り、任意の適した順番で実行することができる。本明細書で提供したあらゆる例または例示的な言葉(例えば「など」)の使用は、本発明をよりはっきりさせるものに過ぎず、特に特許請求の範囲に記載されない限り、本発明の範囲を限定するものではない。本明細書中のどの言葉も、特許請求の範囲に記載されていない要素を本発明の実施に不可欠なものとして示すものと解釈すべきではない。
【0053】
本明細書では、本発明者らにとって本発明を実施するための最良の形態を含め、本発明の好ましい実施形態を述べた。これらの好ましい実施形態の変形も、以上の記述を読めば当業者には明らかになるであろう。本発明者らは、当業者がこのような変形を適切に利用することを予想し、また本発明が、本明細書に具体的に記載されているのとは別の方式で実施されることも意図している。したがって本発明は、準拠法によって許可される本明細書に添付の特許請求の範囲に記載された主題の修正および均等すべてを含む。さらに、本明細書に特に指示がない限り、またはコンテキストにより明らかに矛盾しない限り、前述の要素のいかなる組合せも、その可能なすべての変形が本発明に含まれる。
【符号の説明】
【0054】
102 コンピュータ
104 処理ユニット
106 システムメモリ
108 基本構成
110 リムーバブルストレージ
112 非リムーバブルストレージ
114 通信接続
116 リモートコンピュータ
118 入力デバイス
120 出力デバイス
200 ネットワーキング環境
202 ワイヤレスAP
204 ワイヤレスAP
206 プリンタ
208 ラップトップ
212 携帯電話機
214 安全ネットワークプロビジョニングデバイス
216 パーソナルコンピュータ
218 リモートネットワーク
220 インターネット
302 安全ネットワークプロビジョニングデバイス
304 ワイヤライン通信インターフェース
306 ワイヤレス通信インターフェース
308 通信インターフェースゲートウェイモジュール
310 ネットワークプロファイル獲得モジュール
312 ネットワークプロファイル
314 構成ブロック
502 コンポーネント
602 コンポーネント
702 デバイス
706 USB Pongマネージャ
708 802.11プラグイン
710 WSNK
714 ワイヤレス自動構成
712 ユーザ
【技術分野】
【0001】
本発明は、一般にコンピュータネットワークに関し、より詳細には、安全なネットワークのプロビジョニング(provisioning)に関する。
【背景技術】
【0002】
コンピュータネットワークおよびインターネットワークは、ますます多くの人が仕事および遊びのために使用するにつれて一般的になってきた。電子メール、インスタントメッセージ、ストリーミングオーディオおよびビデオ、共同フォーラム、対話式ゲーム、これらは、絶えず増加し続けるコンピュータネットワーク応用分野のほんの数例である。コンピュータネットワークが日常生活に組み込まれるようになるにつれて、気軽で直感的なネットワーキングへの需要が生まれている。例えば、コンピュータネットワーキング専門家の助けに頼ることなくコンピュータネットワークリソースにアクセスできることへの需要である。
【0003】
しかし同時に、相互に関連する理由で、気軽なコンピュータネットワーキングに対する少なくとも1つの障壁が生じている。コンピュータネットワークが日常生活に組み込まれるようになるにつれて、ますます多くの機密データが、これらのネットワークを介して渡され、またこれらのネットワークからアクセス可能になる。安全でないコンピュータネットワークの使用が適切である環境の数は急速に減少しており、特に、物理的なアクセスポイントが必ずしも明白ではないワイヤレスコンピュータネットワークの普及を考えるとそうである。住居用ネットワークにおいてさえ、複雑なセキュリティ機構を目にすることは珍しくない。セキュリティは、すでに複雑なネットワークアクセス手順にさらに複雑化の層を追加することによって、気軽なネットワーキングを損なう。ネットワークアクセスを提供することに伴うフラストレーションは、セキュリティ機構が機能しなくなる結果をもたらすことがあるか、または単純に完全なアクセス禁止をもたらすことがある。
【0004】
例示的なシナリオとして、ラップトップまたはその他のネットワーク対応デバイスを持った人が、家または仕事から離れて移動し、新しいネットワークのある場所を訪ねる。手の込んだ安全ネットワーク登録手順を回避するために、ローカルがそれ自体のネットワークアクセスクリデンシャル(例えばユーザ名、パスワード、および/または暗号鍵)を訪問者に提供することがある。これは、有効なセキュリティポリシーにいくつかの形で違反する。例えば、訪問者はネットワーク上でローカルになることができ(場合によってローカルは過度に広いネットワークアクセスを訪問者に与え)、ネットワークアクセスクリデンシャルを消去する労力が費やされない場合、そのコピーが訪問者のデバイス上に残る。これは、ネットワークがそのリソースへのアクセスに課金する場合には特に問題である。
【0005】
構成の利便性からみた問題の一面は、ネットワークアクセスクリデンシャルが「帯域外で」、すなわちアクセスが求められている安全なネットワーク以外の何らかの方法によって提供されることが最良である。安全でないネットワークサービスが安全なネットワークサービスの前に利用可能であることは多いが、安全でないネットワークを介してネットワークアクセスクリデンシャルを渡すのは、セキュリティ上のリスクである。別の複雑さは、特定の安全なネットワークにアクセスできるようにデバイスを構成することが通常、ネットワークアクセスクリデンシャルだけでなくそれ以上のものを要求することである。例えば、最適な機能のためにネットワーク対応デバイス(network−ready device)によって要求される完全な関連ネットワーク「プロファイル」がある場合がある。このようなネットワークプロファイルの例として、非特許文献1に記載されたワイヤレスプロファイルがある。伴うデータの量は、例えばヘルプデスクへの電話による構成を、厄介でエラーを起こしやすいものにすることがある。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】Wireless Provisioning Service section of the Microsoft Developer Network (MSDN (登録商標)) Library dated may 2004
【非特許文献2】Plug and Play section of the Kernel−Mode Driver Architecture Design Guide in the Microsoft Developer Network (MSDN (登録商標)) Library dated June 14, 2004
【非特許文献3】Authentication section of the Microsoft (登録商標) Windows (登録商標) Platform Software Development Kit (SDK) in the Microsoft Developer Network (MSDN (登録商標)) Library dated June, 2004
【発明の概要】
【発明が解決しようとする課題】
【0007】
これらの困難を克服するために新しい種類のネットワークを設計することも可能だが、このような解決法は、既存のネットワークの広大な基盤への安全なアクセスを提供できないことになる。互換性を最大限にするためには、構成の困難を、可能な限り既存のネットワーキング標準の制約内で解決すべきである。同様に、最適な解決法は、例えばカスタムインターフェースを要求することによって既存の広範なネットワーク対応デバイスを除外すべきではなく、加えて、「プラグアンドプレイ」機能など、デバイスによって保持される自動構成機能のどんな追加層にも対応すべきである。デバイスの自動構成機能に関する例示的な詳細およびコンテキストが非特許文献2に記述されている。
【課題を解決するための手段】
【0008】
このセクションでは、本発明のいくつかの実施形態を単純化した概要を提示する。この概要は、本発明の広範な概観ではない。この概要は、本発明の鍵となる/クリティカルな要素を特定するものではなく、本発明の範囲を画定するものでもない。この唯一の目的は、本発明のいくつかの実施形態を、後で提示するより詳細な記述への前置きとして、単純化した形で提示することである。
【0009】
本発明の一実施形態では、安全なネットワークアクセスを提供することは、安全ネットワークプロビジョニングデバイス(secure network provisioning device)をセキュリティ権限に接続することを含む。セキュリティ権限から、1つまたは複数のネットワークプロファイルを獲得することができる。獲得したネットワークプロファイルの属性に対応するデータで、安全ネットワークプロビジョニングデバイスの1つまたは複数のネットワークインターフェースを構成することができる。安全ネットワークプロビジョニングデバイスは、獲得モードからゲートウェイモードに切り換えることができる。安全ネットワークプロビジョニングデバイスは、クライアントデバイスに接続することができる。クライアントデバイスには、獲得された各ネットワークプロファイルに関連する安全ネットワークへのアクセスを提供することができる。
【0010】
本発明の一実施形態では、安全なネットワークアクセスを提供することは、安全ネットワークに関連する1つまたは複数のネットワークプロファイルを管理することを含む。安全ネットワークプロビジョニングデバイスが獲得モードのとき、安全ネットワークプロビジョニングデバイスからの接続を受け入れることができ、管理下にあるネットワークプロファイルをこのデバイスに提供することができる。提供された各ネットワークプロファイルにより、安全ネットワークプロビジョニングデバイスは、ゲートウェイモードに切り換わったときに、そのネットワークプロファイルに関連する安全ネットワークへのアクセスをクライアントデバイスに提供することができる。
【0011】
本発明の一実施形態では、安全なネットワークアクセスを提供することは、安全ネットワークプロビジョニングデバイスがゲートウェイモードのときに、安全ネットワークプロビジョニングデバイスからの接続を受け入れることを含む。安全ネットワークプロビジョニングデバイスを介して安全ネットワークにアクセスするために、各安全ネットワークはアクセスのための認証クリデンシャルを要求することができる。安全ネットワークプロビジョニングデバイスは、獲得モードにある間に、要求される認証クリデンシャルで構成することができる。
【0012】
本発明の一実施形態では、安全ネットワークプロビジョニングデバイスは、第1のセットのネットワーク通信インターフェースと、第2のセットのネットワーク通信インターフェースと、通信インターフェースゲートウェイモジュールと、ネットワークプロファイル獲得モジュールとを備える。第1のセットのネットワーク通信インターフェースは、1つまたは複数のネットワーク通信インターフェースを含むことができ、これらのネットワーク通信インターフェースは、関連するネットワークへのアクセスを可能にするために構成ブロックを必要とする。第2のセットのネットワーク通信インターフェースは、ネットワークアクセスの前に構成する必要のない1つまたは複数のネットワーク通信インターフェースを含むことができる点で異なる。通信インターフェースゲートウェイモジュールは、第1および第2のセット中のネットワーク通信インターフェース間のネットワークトラフィックをゲートするように構成することができる。ネットワークプロファイル獲得モジュールは、セキュリティ権限からネットワークプロファイルを獲得し、第1のセットの通信インターフェースによって要求される構成ブロックを提供することができる。各構成ブロックは、獲得されたネットワークプロファイルの1つまたは複数に対応する。
【0013】
本発明の特徴を添付の特許請求の範囲に特に開陳するが、本発明およびその利点は、添付の図面と共に以下の詳細な記述を読めば最もよく理解される。
【図面の簡単な説明】
【0014】
【図1】本発明の一実施形態を実施するのに使用可能な例示的なコンピュータシステムを一般的に示す概略図である。
【図2】本発明の態様を組み込むのに適した例示的なネットワーキング環境を示す概略図である。
【図3】本発明の一実施形態による例示的な安全ネットワークプロビジョニングデバイスアーキテクチャを示す概略図である。
【図4】本発明の一実施形態による、安全ネットワークプロビジョニングデバイスによって安全なネットワークアクセスを提供するための例示的なステップを示すフローチャートである。
【図5】本発明の一実施形態による、獲得モードにおける安全ネットワークプロビジョニングデバイスを示す概略図である。
【図6】本発明の一実施形態による、ゲートウェイモードにおける安全ネットワークプロビジョニングデバイスを示す概略図である。
【図7】本発明の一実施形態による、例示的なネットワークプロファイル獲得プロトコルを示すプロトコル図である。
【図8】本発明の一実施形態による、安全ネットワークプロファイルを選択するのに適した例示的なグラフィカルユーザインターフェース要素を示す概略図である。
【発明を実施するための形態】
【0015】
本発明の様々な実施形態の記述に進む前に、本発明の様々な実施形態を実施することのできるコンピュータに関する記述を以下に提供する。必須ではないが、本発明については、プログラムモジュールなど、コンピュータによって実行されるコンピュータ実行可能命令の一般的なコンテキストで述べる。一般にプログラムは、特定のタスクを実行するか特定の抽象データ型を実装するルーチン、オブジェクト、コンポーネント、データ構造などを含む。本明細書で使用される用語「プログラム」は、単一のプログラムモジュール、または協調して動作する複数のプログラムモジュールを意味することができる。本明細書で使用される用語「コンピュータ」および「コンピューティングデバイス」には、パーソナルコンピュータ(PC)、ハンドヘルドデバイス、マルチプロセッサシステム、マイクロプロセッサベースのプログラム可能な民生用電子機器、ネットワークPC、ミニコンピュータ、タブレットPC、ラップトップコンピュータ、マイクロプロセッサまたはマイクロコントローラを有する民生用機器、ルータ、ゲートウェイ、ハブなど、1つまたは複数のプログラムを電子的に実行する任意のデバイスが含まれる。本発明は分散コンピューティング環境で利用することもでき、その場合、タスクは通信ネットワークでリンクされたリモート処理デバイスによって実行される。分散コンピューティング環境では、プログラムはローカルとリモートの両方のメモリ記憶デバイスに位置することができる。
【0016】
図1を参照すると、本明細書に述べる本発明の態様を実施することのできるコンピュータ102の基本的な構成の例が示されている。コンピュータ102は通常、その最も基本的な構成では、少なくとも1つの処理ユニット104およびメモリ106を備える。処理ユニット104は、本発明の様々な実施形態に従ってタスクを実施するための命令を実行する。このようなタスクを実施する際、処理ユニット104は、コンピュータ102の他の部分およびコンピュータ102の外部のデバイスに電子信号を送って、何らかの結果を引き起こすことができる。コンピュータ102の厳密な構成およびタイプに応じて、メモリ106は揮発性(RAMなど)、不揮発性(ROMやフラッシュメモリなど)、またはこの2つの何らかの組合せとすることができる。この最も基本的な構成は、図1では破線108で示されている。
【0017】
コンピュータ102は、追加の機構/機能を有することもできる。例えば、コンピュータ102は追加のストレージ(リムーバブル110および/または非リムーバブル112)を備えることもでき、これらには、限定しないが磁気ディスクまたは光ディスクあるいはテープが含まれる。コンピュータ記憶媒体には、コンピュータ実行可能命令、データ構造、プログラムモジュール、その他のデータを含む情報を格納するための任意の方法または技術で実装された揮発性および不揮発性、リムーバブルおよび非リムーバブルの媒体が含まれる。コンピュータ記憶媒体には、限定しないがRAM、ROM、EEPROM、フラッシュメモリ、CD−ROM、デジタル多用途ディスク(DVD)またはその他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージまたはその他の磁気記憶デバイスが含まれ、あるいは、所望の情報を記憶するのに使用できコンピュータ102からアクセスできるその他の任意の媒体が含まれる。このような任意のコンピュータ記憶媒体をコンピュータ102の一部とすることができる。
【0018】
コンピュータ102はまた、デバイスがリモートコンピュータ116など他のデバイスと通信できるようにする通信接続114も備えることが好ましい。通信接続は、通信媒体の一例である。通信媒体は通常、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータを、搬送波やその他のトランスポート機構などの変調データ信号に具体化し、任意の情報送達媒体がこれに含まれる。限定ではなく例として、用語「通信媒体」には、音響、無線周波数、赤外線などのワイヤレス媒体、およびその他のワイヤレス媒体が含まれる。本明細書で使用される用語「コンピュータ可読媒体」には、コンピュータ記憶媒体と通信媒体の両方が含まれる。
【0019】
コンピュータ102は、キーボード/キーパッド、マウス、ペン、音声入力デバイス、タッチ入力デバイスなどの入力デバイス118も有することができる。また、表示装置、スピーカ、プリンタなどの出力デバイス120を備えることもできる。これらのデバイスはすべて当技術分野で周知であり、ここで詳細に述べる必要はない。
【0020】
以下の記述では、特に指示がない限り、1つまたは複数のコンピューティングデバイスによって実行されるオペレーションのシンボル表現およびアクトを参照しながら本発明を述べる。このように、コンピュータによって実行されるものとして言及されることがあるこのようなアクトおよびオペレーションは、構造化された形でデータを表す電子信号をコンピュータの処理ユニットによって操作することを含むことが理解されるであろう。この操作は、データを変換するか、またはデータをコンピュータのメモリシステム中のロケーションで維持し、それにより、コンピュータのオペレーションは、当業者にはよく理解されるようにして再構成されるかまたは他の方法で変更される。データが維持されるデータ構造は、データのフォーマットによって定義される特定のプロパティを有する物理的なメモリロケーションである。しかし、本発明を前述のコンテキストで述べるが、これは限定を意味するのではなく、以下に述べるアクトおよびオペレーションの多くをハードウェア中で実施してもよいことを当業者は理解するであろう。
【0021】
図2に、本発明の態様を組み込むのに適したネットワーキング環境200の例示的な詳細を示す。ネットワーキング環境200は、第1のワイヤレスネットワークに関連する第1のワイヤレスネットワークアクセスポイント(AP)202と、第2のワイヤレスネットワークに関連する第2のワイヤレスネットワークアクセスポイント204とを含む。例えば、第1および第2のワイヤレスネットワークは、IEEE(Institute of Electrical and Electronic Engineers)802.1xシリーズの標準などの標準に準拠するワイヤレスローカルエリアネットワーク(WLAN)技術や、Bluetooth(BT)シリーズの標準などの標準に準拠するワイヤレスパーソナルエリアネットワーク(WPAN)技術などを使用することができる。この例では、プリンタ206、ラップトップコンピュータ(ラップトップ)208、パーソナルデジタルアシスタント(PDA)210、携帯電話機212はそれぞれ、安全ネットワークプロビジョニングデバイス214を介して1つまたは複数のワイヤレスネットワークへのアクセスを有する。各安全ネットワークプロビジョニングデバイス214は、ワイヤレスアクセスポイント202および204のうちの1つまたは複数と通信して、ワイヤレスネットワークへのアクセスを提供する。
【0022】
この例では、パーソナルコンピュータ(PC)216は、パーソナルコンピュータ216が第1のワイヤレスネットワークに参加するのを可能にする、安全ネットワークプロビジョニングデバイス214から独立したワイヤレスネットワークアクセス機構(例えばワイヤレスネットワークインターフェースカードすなわちNIC)を備える。パーソナルコンピュータ216はまた、パーソナルコンピュータ216がリモートネットワーク218にアクセスするのを可能にする第2のネットワークアクセス機構も備える。リモートネットワーク218および第2のワイヤレスアクセスポイント204はそれぞれ、インターネット220(すなわち、「インターネット」を含めた複数の相互接続ネットワーク)へのアクセスを提供する。パーソナルコンピュータ216は、第1のワイヤレスネットワークからリモートネットワーク218へのゲートウェイとして働くことができる。インターネット220へは、第1および第2の両方のワイヤレスネットワークからの経路が存在するが、第1のワイヤレスネットワークからのインターネットアクセスはリモートネットワーク218を通る。リモートネットワーク218は追加のセキュリティ(例えばファイアウォール化やウイルススキャン)を提供することができ、したがって、2つの経路によって提供されるサービスの品質は異なる場合がある。
【0023】
前述のように、プリンタ206、ラップトップ208、PDA210、携帯電話機212などのコンピューティングデバイスを安全なネットワークアクセスのために従来のように構成するのは、厄介でエラーが起こりやすいことがある。本発明の一実施形態では、このようなデバイスを構成する必要はなく、安全ネットワークプロビジョニングデバイス214が適切に構成され、次いで安全ネットワークプロビジョニングデバイス214は、デバイス206、208、210、212と、1つまたは複数の安全なネットワーク、すなわちこの例では第1および第2のワイヤレスアクセスポイント202および204に関連するワイヤレスネットワークとの間で、ゲートウェイとして働く。本発明の一実施形態では、安全ネットワークプロビジョニングデバイス214は、パーソナルコンピュータ216またはその他の適したネットワークセキュリティ権限エージェントによって、ネットワークアクセスクリデンシャルを含めた安全ネットワークプロファイルに対応するデータで構成される。セキュリティ権限およびそれらのエージェントに関する例示的な詳細およびコンテキストが記述されている(非特許文献3参照)。安全ネットワークプロビジョニングデバイス214は、構成されると、モードを切り換えて安全ネットワークゲートウェイになる。
【0024】
図2では、安全ネットワークプロビジョニングデバイス214はクライアントデバイス206、208、210、212から物理的に離れているように示されているが、当業者には明らかなように、安全ネットワークプロビジョニングデバイス214は、クライアントデバイス206、208、210、212および同様のコンピューティングデバイスにモジュラー方式で組み込まれつつ実質的な効用を維持することができる。
【0025】
安全ネットワークプロビジョニングデバイス214の動作をより詳細に述べる前に、安全ネットワークプロビジョニングデバイス214の例示的なアーキテクチャを述べるのが役立つであろう。図3に、本発明の一実施形態による、安全ネットワークプロビジョニングデバイスを実現するのに適した例示的なアーキテクチャを示す。この例示的なアーキテクチャでは、安全ネットワークプロビジョニングデバイス302が、1つまたは複数のワイヤライン通信インターフェース304と、1つまたは複数のワイヤレス通信インターフェース306と、通信インターフェースゲートウェイモジュール308と、ネットワークプロファイル獲得モジュール310とを備えている。
【0026】
ワイヤライン通信インターフェース304には、ユニバーサルシリアルバス(USB)インターフェースと、Ethernet(登録商標)インターフェース(例えば標準的なNE2000Ethernet(登録商標)インターフェースや、IEEE802.3xシリーズの標準に準拠するその他の通信インターフェース)と、任意の適したワイヤライン通信インターフェース(例えばメタリックまたはノンメタリックワイヤを組み込んだ通信媒体への通信インターフェース)とを含むことができる。ワイヤレス通信インターフェース306には、IEEE802.1xシリーズの標準(例えばWi−Fi)に準拠する通信インターフェースと、Bluetooth(BT)シリーズの標準に準拠する通信インターフェースと、ウルトラワイドバンド(UWB)ワイヤレス通信インターフェースと、ワイヤレスUSB通信インターフェースと、任意の適したワイヤレス通信インターフェース(例えばメタリックまたはノンメタリックワイヤから独立した通信媒体への通信インターフェース)とを含むことができる。
【0027】
ネットワークプロファイル獲得モジュール310は、図2のパーソナルコンピュータ216などのネットワークセキュリティ権限エージェントから、ワイヤライン通信インターフェース304の1つを介して、1つまたは複数のネットワークプロファイル312を獲得することができる。ネットワークプロファイル獲得モジュール310は、ワイヤレス通信インターフェース306に1つまたは複数の構成ブロック314を提供することができる。本発明の一実施形態では、各ワイヤレス通信インターフェース306は、1つまたは複数の構成ブロック314に関連付けられている。特定のワイヤレス通信インターフェースに関連する構成ブロック314が提供されたとき、このワイヤレス通信インターフェースは、関連するワイヤレスネットワークを介して通信することができる。本発明の一実施形態では、ワイヤレス通信インターフェースが関連のワイヤレスネットワークを介して安全に通信できるようになる前に、関連する構成ブロック314が必要である。
【0028】
構成ブロック314中のデータは、ネットワークプロファイル312の1つまたは複数の属性に対応する。1つまたは複数の構成ブロック314は、ネットワークプロファイル312のうちの関連する1つと同一であってもよい。構成ブロック314の内容の詳細は当技術分野で知られており、ここで詳しく述べる必要はない。このような詳細は、例えば上で参照したIEEE標準文書など、構成されるネットワークインターフェースに関連する1つまたは複数の標準文書に大部分が記述されている。
【0029】
ネットワークプロファイル獲得モジュール310が構成ブロック314をワイヤレス通信インターフェース306に提供すると、ネットワークプロファイル獲得モジュール310はディセーブルされ、通信インターフェースゲートウェイモジュール308がイネーブルされる。通信インターフェースゲートウェイモジュール308は、ワイヤライン通信インターフェース304と構成済みのワイヤレス通信インターフェース306との間の通信トラフィックのための、ブリッジ/ルータとして働く。このようなゲートウェイモジュールは当技術分野で知られており、ここでさらに述べる必要はない。
【0030】
この例では、ネットワークプロファイル獲得モジュール310がワイヤライン通信インターフェース304の1つを利用してネットワークプロファイルを獲得し、次いでこれらのネットワークプロファイルを利用して1つまたは複数のワイヤレス通信インターフェース306を構成するが、本発明の実施形態はこのように限定されるわけではない。例えば、通信インターフェースのセット304と306は両方ともワイヤレス通信インターフェースであってもよく、あるいは両方ともワイヤライン通信インターフェースであってもよく、あるいは、ネットワークプロファイル獲得モジュール310が介する通信インターフェースはワイヤレス通信インターフェースとし、ネットワークプロファイル獲得モジュール310が構成する通信インターフェースはワイヤライン通信インターフェースとしてもよい。
【0031】
図4に、本発明の一実施形態による、安全ネットワークプロビジョニングデバイス214(図2)によって安全なネットワークアクセスを提供するために実行することのできる例示的なステップを示す。この初期状態402では、安全ネットワークプロビジョニングデバイス214は獲得モードとすることができる。図5に、獲得モードでアクティブになることのできる安全ネットワークプロビジョニングデバイス302(図3)のコンポーネントを破線502で示す。獲得モードでは、ワイヤレス通信インターフェース306および通信インターフェースゲートウェイモジュール308は非アクティブであり、ワイヤライン通信インターフェース304およびネットワークプロファイル獲得モジュール310はアクティブである。
【0032】
ステップ404で、安全ネットワークプロビジョニングデバイス214(図2)を、セキュリティ権限(またはパーソナルコンピュータ216などのセキュリティ権限エージェント)に、ワイヤライン通信インターフェース304(図5)によって接続する。安全ネットワークプロビジョニングデバイス214は、セキュリティ権限に接続されると、従来のプラグアンドプレイ(PnP)技法によって安全ネットワークプロビジョニングデバイスとして認識される。ワイヤライン通信インターフェース304によってセキュリティ権限に接続するには、通常、セキュリティ権限との、またはセキュリティ権限に接続されたケーブルとの物理的接触が必要である。本発明の一実施形態では、ネットワークプロビジョニングデバイス214がセキュリティ権限と物理的に接触する必要があることが、安全なネットワークアクセス認証の一要素である。
【0033】
ステップ406で、安全ネットワークプロビジョニングデバイス214は、セキュリティ権限によって認識された後、1つまたは複数のネットワークプロファイル312をセキュリティ権限から獲得する。本発明の一実施形態では、セキュリティ権限から獲得される特定のネットワークプロファイルは、ネットワークプロファイル獲得プロトコルによって決定される。例示的なネットワークプロファイル交渉プロトコルを含めて、ステップ404および406の態様については、後で図7を参照しながらより詳細に述べる。
【0034】
ステップ408で、ネットワークプロファイル獲得モジュール310から1つまたは複数のワイヤレス通信インターフェース306(図5)に構成ブロック314を提供する。特定のワイヤレス通信インターフェース306に関連の通信ブロック314を提供すると、ワイヤレス通信インターフェース306がアクティブになるものとすることもでき、あるいは、ワイヤレス通信インターフェース306は例えばステップ410で、明示的なアクティブ化を必要とすることもできる。
【0035】
ステップ410で、安全ネットワークプロビジョニングデバイス214(図2)は、ゲートウェイモードに切り換える。図6に、ゲートウェイモードでアクティブになることのできる安全ネットワークプロビジョニングデバイス302(図3)のコンポーネントを破線602で示す。ゲートウェイモードでは、ネットワークプロファイル獲得モジュール310は非アクティブであり、ワイヤライン通信インターフェース304、ワイヤレス通信インターフェース306、通信インターフェースゲートウェイモジュール308はアクティブである。
【0036】
ステップ412で、安全ネットワークプロビジョニングデバイス214(図2)をクライアントデバイス、例えばクライアントデバイス206、208、210、または212に接続する。ゲートウェイモードに切り換えた後、本発明の一実施形態では、安全ネットワークプロビジョニングデバイス214は、例えばセキュリティ権限に接続されたときと同じワイヤライン通信接続でクライアント206、208、210、または212デバイスに接続されている場合でも、構成を要求する安全ネットワークプロビジョニングデバイスとしてもはや現れることはない。そうではなく、安全ネットワークプロビジョニングデバイス214は、クライアントデバイス206、208、210、または212に対して、例えばUSBやEthernet(登録商標)などの標準的なワイヤライン通信インターフェースとして現れる。すなわち、ゲートウェイモードでは、安全ネットワークプロビジョニングデバイス214は、セキュリティ権限またはパーソナルコンピュータ216などのセキュリティ権限エージェントへの、またはその他の適した安全ネットワークアクセスポイントへの、直接の(例えばUSBやEthernet(登録商標)による)ワイヤライン接続をシミュレートすることができる。
【0037】
この場合もやはり、安全ネットワークプロビジョニングデバイス214(図2)をクライアントデバイス206、208、210、または212に接続するには、通常、安全ネットワークプロビジョニングデバイス214がクライアントデバイス206、208、210、または212と物理的に接触している(例えばクライアントデバイスのUSBまたはEthernet(登録商標)ポートに挿入されている)か、少なくとも近接している(例えば赤外線ベースの通信インターフェースの場合)必要があり、本発明の一実施形態では、このことは安全なネットワークアクセス認証の一要素である。ラップトップを持った訪問者のシナリオでは、構成済み(すなわち獲得モード後)の安全ネットワークプロビジョニングデバイス214を単に訪問者に手渡して、ラップトップのUSBポートに挿入されるようにすればよい。
【0038】
ゲートウェイモードの安全ネットワークプロビジョニングデバイス214(図2)が、標準的なワイヤライン通信インターフェースとしてクライアントデバイス206、208、210、または212によって認識されると、クライアントデバイス206、208、210、または212は、獲得モードの間に安全ネットワークプロビジョニングデバイス214によって獲得された1つまたは複数の安全ネットワークにアクセスすることができる。クライアントデバイス206、208、210、212とワイヤレスアクセスポイント202および204との間の通信トラフィックは、通信インターフェースゲートウェイモジュール308(図6)によってゲートされる(例えばブリッジ、ルート、プロキシ、および/またはフィルタリングされる)。
【0039】
重要なことに、クライアントデバイス206、208、210、または212は、安全ネットワークプロビジョニングデバイス214のネットワークプロファイル312(図3)へのアクセスも構成ブロック314へのアクセスも得ない。その結果、安全ネットワークプロビジョニングデバイス214がクライアントデバイス206、208、210、または212から取り外されると、1つまたは複数の関連する安全ネットワークへのアクセスも除去される。すなわち、安全ネットワークプロビジョニングデバイス214は、物理的な安全ネットワーク「ゲストキー」として働くことができる。
【0040】
ステップ414で、安全ネットワークプロビジョニングデバイス214(図2)は、リセットされるまで通信ゲートウェイとして動作し続ける。リセットはプログラムによって開始することができるが、本発明の一実施形態では、リセットは、安全ネットワークプロビジョニングデバイス214に組み込まれた物理的なリセットボタンまたはスイッチによって開始される。リセットされると、手順はステップ416に進む。
【0041】
ステップ416で、安全ネットワークプロビジョニングデバイス214の構成ブロック314(図3)を消去し、関連するワイヤレス通信インターフェース306をディセーブルする。ステップ418で、ネットワークプロファイル312を消去し、セキュリティ権限またはパーソナルコンピュータ216(図2)などのセキュリティ権限エージェントから1つまたは複数のネットワークプロファイル312が再獲得されることなくワイヤレス通信インターフェース306が再アクティブ化されることがないようにする。ステップ420で、安全ネットワークプロビジョニングデバイス214は、獲得モードに戻り、セキュリティ権限に接続されるのを待機する。リセットされない場合は、安全ネットワークプロビジョニングデバイス214は、セキュリティ権限に対して、標準的なワイヤライン通信インターフェースとして現れる。すなわち、セキュリティ権限に対して、安全なネットワークアクセスを要求するクライアントデバイスであるかのように現れる。リセット後、獲得モードで、安全ネットワークプロビジョニングデバイス214は、セキュリティ権限に対して、1つまたは複数のネットワークプロファイルに関連付けられる(すなわち獲得する)準備のできた安全ネットワークプロビジョニングデバイスとして現れる。
【0042】
図7に、図4を参照しながら上述した手順のステップ404および406に組み込むのに適した例示的なネットワークプロファイル獲得プロトコルを示す。図7の破線間の各矢印は、モジュール間で送られるプロトコルメッセージを表す。プロトコルメッセージの順番は、図を上から下に読むことによって決定することができる。
【0043】
安全ネットワークプロビジョニングデバイス702が、この例ではユニバーサルシリアルバスによってセキュリティ権限704に接続するとき、安全ネットワークプロビジョニングデバイス702は、ユニバーサルシリアルバス(USB)列挙クラス識別子(ID)を含むメッセージを送る。このUSB列挙クラスIDは、安全ネットワークプロビジョニングデバイス702を、ネットワークプロファイルを獲得する準備のできた安全ネットワークプロビジョニングデバイスとして識別する。この例では、USB列挙クラスIDは、例えば、安全ネットワークプロビジョニングデバイス702がセキュリティ権限のUSBポートに挿入されたときに、セキュリティ権限704のユニバーサルシリアルバス(USB)PONGマネージャ706によって、標準的なUSB新規デバイス列挙の一部として受け取られる。USB PONGマネージャ706は、ネットワークプロファイルとネットワークタイプとの間を調停し、各ネットワークプロファイルを様々なネットワークタイプにインテリジェントに関連付けることによって特定のネットワークプロファイルの適用性を拡張する。ここでは、USB PONGマネージャ706のいくつかの機能だけを述べる。追加の詳細およびコンテキストは2003年8月21日に出願された「PHYSICAL DEVICE BONDING」という名称の同時係属の米国特許第10/645008号明細書に見ることができる。
【0044】
USB列挙クラスIDは、安全ネットワークプロビジョニングデバイスに特有であってもよく、さらにはその特定バージョンに特有であってもよい。あるいは、安全ネットワークプロビジョニングデバイスは、USBフラッシュドライブなど標準的なデバイスクラスとして列挙することもできる。安全ネットワークプロビジョニングデバイス702がモジュラー方式でクライアントデバイスに組み込まれている場合、安全ネットワークプロビジョニングデバイス702とクライアントデバイスとはUSB複合デバイスとして列挙することができ、安全ネットワークプロビジョニングデバイスとクライアントデバイスとが単一のUSB通信インターフェースを共用していても、列挙クラス識別子は別々とすることができる。USB列挙クラスIDメッセージに応答して、USB PONGマネージャ706は、クエリpong/デバイスヘッダメッセージを安全ネットワークプロビジョニングデバイス702に送り、安全ネットワークプロビジョニングデバイス702が通信できるネットワークのタイプに関する情報を要求する。クエリpong/デバイスヘッダメッセージに応答して、安全ネットワークプロビジョニングデバイス702は、要求された情報を含むリターンpong/デバイスヘッダメッセージを送る。
【0045】
この例では、USB PONGマネージャ706は、安全ネットワークプロビジョニングデバイス702がIEEE802.11シリーズの標準に準拠するワイヤレスネットワークと通信できると判定する。その結果、USB PONGマネージャ706は、安全ネットワークプロビジョニングデバイス702から送られたpong/デバイスヘッダメッセージを、PONG802.11プラグインモジュール708に中継する。安全ネットワークプロビジョニングデバイスから返された情報が異なる場合は、USB PONGマネージャ706は、pong/デバイスヘッダメッセージの中継先として異なるプラグインモジュールを選択することができる。
【0046】
PONG802.11プラグインモジュールは、pong/デバイスヘッダメッセージを解析し、ワイヤレスネットワーク(WSNK)ウィザード710を呼び出して、安全ネットワークプロビジョニングデバイス702が関連付けられることになる1つまたは複数のワイヤレスネットワークを安全ネットワークプロビジョニングデバイスのユーザ712に照会する。ワイヤレスネットワークウィザード710の呼出しは、呼出しを引き起こしたデバイスタイプの指示、この場合は安全ネットワークプロビジョニングデバイス702の指示を含み、それにより、ワイヤレスネットワークウィザード710は、ユーザ712に求められる質問と回答の数を最適化(例えば最小限に)することができる。ワイヤレスネットワークウィザード710は、まず既知のワイヤレスネットワークプロファイルのリストをワイヤレス自動構成モジュール714に照会し、次いで、このリストをグラフィカルフォーマットでユーザ712に提示する。本発明の一実施形態に組み込むのに適した例示的なグラフィカルユーザインターフェースについては、後で図8を参照しながらより詳細に述べる。
【0047】
ユーザ712は、既知のワイヤレスネットワークプロファイルの1つまたは複数を選択し(あるいは新しいワイヤレスネットワークプロファイルを作成し)、ワイヤレスネットワークウィザード710は、この選択を呼出し元のPONG802.11プラグインモジュール708に返す。この例では、PONG802.11プラグインモジュール708は、選択されたワイヤレスネットワークプロファイルを解析して、この安全ネットワークプロビジョニングデバイスタイプに特化したワイヤレスネットワーク構成データ構造(例えばワイヤレスネットワークインターフェース構成ブロック)を作成する。例えば、ワイヤレスネットワーク構成データ構造は、ワイヤレスネットワークに対するサービスセット識別子(SSID)と、接続タイプ指示子(例えば拡張サービスセット「ESS」や独立基本サービスセット「IBSS」)と、認証タイプ指示子(例えば「OPEN」や「WPAPSK」(Wi−Fi Protected Access with Pre−shared Key))と、暗号化タイプ指示子(例えば「WEP」(Wireless Encryption Protocol)や「TKIP」(Temporal Key Integrity Protocol))と、ネットワーク鍵(例えばASCIIまたはHEXの40/104ビットWEP鍵や256ビットWPAPSK鍵)を含むことができる。
【0048】
次いで、PONG802.11プラグインモジュール708は、メッセージ中のワイヤレスネットワーク構成データ構造をUSB PONGマネージャ706に送り、USB PONGマネージャは、このデータ構造を安全ネットワークプロビジョニングデバイス702に渡す。ワイヤレスネットワーク構成データ構造を含むメッセージがうまく受け取られたことが、USB PONGマネージャ706への確認メッセージで確認され、USB PONGマネージャ706は、ユーザ712で終了する一連の確認メッセージをトリガする。
【0049】
セキュリティ権限704は、どの安全ネットワークプロビジョニングデバイスが特定のネットワークプロファイルで構成されたかを追跡することができ、いくつかのネットワークタイプでは、セキュリティ権限704は、例えば盗まれた安全ネットワークプロビジョニングデバイスを使用した無許可ネットワークアクセスから保護するために、特定の安全ネットワークプロビジョニングデバイスに関連するネットワークアクセスを取り消すことができる。セキュリティ権限704は、追加のネットワークアクセスレベルを施行することもできる。例えば、すでに安全ネットワークプロビジョニングデバイスを利用して接続されているユーザが特定のネットワークリソースにアクセスするには、追加の承認が必要であるようにすることができる。さらに、セキュリティ権限704は、接続性診断情報を提供して、安全ネットワークプロビジョニングデバイスのユーザが技術的困難を解決するのを補助することもできる。
【0050】
図8に、本発明の一実施形態による、安全ネットワークプロファイルを選択するのに適した例示的なグラフィカルユーザインターフェース要素を示す。意図的に簡素なユーザインターフェース800は、安全ネットワークプロビジョニングデバイスがアクセスを提供することになるワイヤレスネットワークを選択するよう、安全ネットワークプロビジョニングデバイスのユーザを促す。例示的なリスト選択領域802は、各ワイヤレスネットワークの「フレンドリ名」、ならびにワイヤレスネットワークのタイプの指示、具体的には各ネットワークに関連するセキュリティレベルを含む。ユーザは、ワイヤレスネットワークを選択してから「次へ」ボタン804を選択することもでき、あるいは、最初に「新規作成」ボタン806を選択し、新しいワイヤレスネットワーク(および関連するワイヤレスネットワークプロファイル)を作成して選択領域802に追加することもできる。
【0051】
刊行物、特許出願、特許を含めて、本明細書で引用したすべての参考文献は、各参考文献が参照により組み込まれるよう個別かつ具体的に指示されておりその全体が本明細書に記載されているかのように、参照により本明細書に組み込まれる。
【0052】
本発明を記述するコンテキスト(特に添付の特許請求の範囲のコンテキスト)における冠詞や不定冠詞および同様の指示物の使用は、本明細書に特に指示がない限り、またはコンテキストにより明らかに矛盾しない限り、単数と複数の両方をカバーするものと解釈すべきである。用語「備える」「有する」「含む」「入る」は、特に注記がない限り、オープンエンドの用語(すなわち「含むが限定されない」という意味)として解釈すべきである。本明細書における値の範囲の引用は、本明細書に特に指示がない限り、その範囲に入る各個々の値を個別に参照する略記方法として働くだけであり、各個々の値は、それが本明細書で個別に引用されたかのように本明細書に組み込まれる。本明細書で述べたすべての方法は、本明細書に特に指示がない限り、またはコンテキストにより明らかに矛盾しない限り、任意の適した順番で実行することができる。本明細書で提供したあらゆる例または例示的な言葉(例えば「など」)の使用は、本発明をよりはっきりさせるものに過ぎず、特に特許請求の範囲に記載されない限り、本発明の範囲を限定するものではない。本明細書中のどの言葉も、特許請求の範囲に記載されていない要素を本発明の実施に不可欠なものとして示すものと解釈すべきではない。
【0053】
本明細書では、本発明者らにとって本発明を実施するための最良の形態を含め、本発明の好ましい実施形態を述べた。これらの好ましい実施形態の変形も、以上の記述を読めば当業者には明らかになるであろう。本発明者らは、当業者がこのような変形を適切に利用することを予想し、また本発明が、本明細書に具体的に記載されているのとは別の方式で実施されることも意図している。したがって本発明は、準拠法によって許可される本明細書に添付の特許請求の範囲に記載された主題の修正および均等すべてを含む。さらに、本明細書に特に指示がない限り、またはコンテキストにより明らかに矛盾しない限り、前述の要素のいかなる組合せも、その可能なすべての変形が本発明に含まれる。
【符号の説明】
【0054】
102 コンピュータ
104 処理ユニット
106 システムメモリ
108 基本構成
110 リムーバブルストレージ
112 非リムーバブルストレージ
114 通信接続
116 リモートコンピュータ
118 入力デバイス
120 出力デバイス
200 ネットワーキング環境
202 ワイヤレスAP
204 ワイヤレスAP
206 プリンタ
208 ラップトップ
212 携帯電話機
214 安全ネットワークプロビジョニングデバイス
216 パーソナルコンピュータ
218 リモートネットワーク
220 インターネット
302 安全ネットワークプロビジョニングデバイス
304 ワイヤライン通信インターフェース
306 ワイヤレス通信インターフェース
308 通信インターフェースゲートウェイモジュール
310 ネットワークプロファイル獲得モジュール
312 ネットワークプロファイル
314 構成ブロック
502 コンポーネント
602 コンポーネント
702 デバイス
706 USB Pongマネージャ
708 802.11プラグイン
710 WSNK
714 ワイヤレス自動構成
712 ユーザ
【特許請求の範囲】
【請求項1】
安全なネットワークアクセスを提供するためのコンピュータ実行可能命令を有するコンピュータ可読記憶媒体であって、
安全ネットワークに関連する少なくとも1つのネットワークプロファイルを管理することであって、各ネットワークプロファイルは、関連する安全ネットワークにアクセスする有効な認証クリデンシャルを提供することと、
獲得モードの安全ネットワークプロビジョニングデバイスからの接続を受け入れることであって、前記安全ネットワークプロビジョニングデバイスは前記獲得モードおよびゲートウェイモードを含む複数の動作モードを有することと、
前記少なくとも1つのネットワークプロファイルを前記安全ネットワークプロビジョニングデバイスに提供することであって、各ネットワークプロファイルは、前記安全ネットワークプロビジョニングデバイスが前記ゲートウェイモードに切り換わったときに、前記安全ネットワークプロビジョニングデバイスが前記ネットワークプロファイルに関連する前記安全ネットワークへのアクセスをクライアントデバイスに提供できるようにすることと
を備えたことを特徴とするコンピュータ可読記憶媒体。
【請求項2】
前記少なくとも1つのネットワークプロファイルを前記安全ネットワークプロビジョニングデバイスに提供することは、前記安全ネットワークプロビジョニングデバイスとのネットワークプロファイル獲得プロトコルに加わることを備えたことを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
【請求項3】
前記安全ネットワークプロビジョニングデバイスは、前記ネットワークプロファイル獲得プロトコルの完了時に獲得モードからゲートウェイモードに切り換わることを特徴とする請求項2に記載のコンピュータ可読記憶媒体。
【請求項4】
前記少なくとも1つのネットワークプロファイルを管理することは、各ネットワークプロファイルにつき、前記ネットワークプロファイルの作成、読取り、更新の少なくとも1つを行うことを備えたことを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
【請求項5】
前記安全ネットワークプロビジョニングデバイスをプラグアンドプレイ(PnP)で認識することをさらに備えたことを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
【請求項6】
前記安全ネットワークプロビジョニングデバイスからの接続を受け入れることは、前記安全ネットワークプロビジョニングデバイスおよび前記コンピュータ可読記憶媒体の物理的な近接を要することを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
【請求項7】
前記安全ネットワークへのアクセスを前記クライアントに提供することは、前記安全ネットワークプロビジョニングデバイスおよび前記クライアントデバイスの物理的な近接を要することを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
【請求項8】
前記安全ネットワークプロビジョニングデバイスは複数のネットワークインターフェースを備え、
前記安全ネットワークへのアクセスを提供することは、前記複数のうちの第1のネットワークインターフェースを介してアクセスを提供することを備え、
前記安全ネットワークプロビジョニングデバイスからの接続を受け入れることは、前記複数のうちの第2のネットワークインターフェースを介して前記接続を受け入れることを備えたことを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
【請求項9】
前記第2のネットワークインターフェースは、ワイヤラインネットワークインターフェースであることを特徴とする請求項8に記載のコンピュータ可読記憶媒体。
【請求項10】
前記安全ネットワークプロビジョニングデバイスは、
前記獲得モードのとき、ネットワークプロファイルを獲得し、
前記ゲートウェイモードのとき、前記ネットワークプロファイルに関連する安全ネットワークへのアクセスを前記クライアントデバイスに提供することを特徴とする請求項8に記載のコンピュータ可読記憶媒体。
【請求項11】
前記複数のネットワークインターフェースの少なくとも1つは、ユニバーサルシリアルバス(USB)インターフェースであり、異なるモードにおいて異なるユニバーサルシリアルバス(USB)列挙クラス識別子を列挙することを特徴とする請求項10に記載のコンピュータ可読記憶媒体。
【請求項12】
安全なネットワークアクセスを提供するための安全ネットワークプロビジョニングデバイスであって、
1または複数のワイヤライン通信インターフェースと、
1または複数のワイヤレス通信インターフェースと、
前記安全ネットワークプロビジョニングデバイスに接続された場合に、前記安全ネットワークプロビジョニングデバイスの獲得モードで、セキュリティ権限から1または複数のネットワークプロファイルを獲得し、関連するワイヤレスネットワークを介したクライアントデバイスによる通信のための、前記1または複数のワイヤレス通信インターフェースを構成するネットワークプロファイル獲得モジュールであって、前記安全ネットワークプロビジョニングデバイスは、前記獲得された1または複数のネットワークプロファイルを用いて前記1または複数のワイヤレス通信インターフェースの構成の後に、前記獲得モードからゲートウェイモードに切り替えられるよう構成される、ネットワークプロファイル獲得モジュールと、
前記安全ネットワークプロビジョニングデバイスに接続された場合に、前記ゲートウェイモードでイネーブルにされ、前記ワイヤライン通信インターフェースおよび前記構成されたワイヤレス通信インターフェース間のクライアントデバイスによる通信のためのルータとして動作する通信インターフェースゲートウェイモジュールと
を備えたことを特徴とする安全ネットワークプロビジョニングデバイス。
【請求項13】
前記セキュリティ権限から獲得される前記1または複数のネットワークプロファイルは、前記1または複数のワイヤレスネットワークのそれぞれに対するネットワークプロファイルを備え、各ネットワークプロファイルは、前記1または複数のワイヤレスネットワークのうちの関連するワイヤレスネットワークへのアクセスに要求される認証クリデンシャルを含むことを特徴とする請求項12に記載の安全ネットワークプロビジョニングデバイス。
【請求項14】
前記安全ネットワークプロビジョニングデバイスは、前記ネットワークプロファイル獲得モジュールにより前記1または複数のネットワークプロファイルを獲得した後に、前記獲得モードから前記ゲートウェイモードに切り替わることを特徴とする請求項12に記載の安全ネットワークプロビジョニングデバイス。
【請求項15】
前記安全ネットワークプロビジョニングデバイスは、
前記獲得モードで前記セキュリティ権限に接続して前記1または複数のネットワークプロファイルを獲得し、
前記1または複数のネットワークプロファイルの獲得の後に、前記前記獲得モードから前記ゲートウェイモードに切り替わり、
前記ゲートウェイモードで特定のクライアントデバイスに接続し、前記安全ネットワークプロビジョニングデバイスを通じた前記関連するワイヤレスネットワークの通信を前記特定のクライアントデバイスに可能とするよう構成されることを特徴とする請求項12に記載の安全ネットワークプロビジョニングデバイス。
【請求項1】
安全なネットワークアクセスを提供するためのコンピュータ実行可能命令を有するコンピュータ可読記憶媒体であって、
安全ネットワークに関連する少なくとも1つのネットワークプロファイルを管理することであって、各ネットワークプロファイルは、関連する安全ネットワークにアクセスする有効な認証クリデンシャルを提供することと、
獲得モードの安全ネットワークプロビジョニングデバイスからの接続を受け入れることであって、前記安全ネットワークプロビジョニングデバイスは前記獲得モードおよびゲートウェイモードを含む複数の動作モードを有することと、
前記少なくとも1つのネットワークプロファイルを前記安全ネットワークプロビジョニングデバイスに提供することであって、各ネットワークプロファイルは、前記安全ネットワークプロビジョニングデバイスが前記ゲートウェイモードに切り換わったときに、前記安全ネットワークプロビジョニングデバイスが前記ネットワークプロファイルに関連する前記安全ネットワークへのアクセスをクライアントデバイスに提供できるようにすることと
を備えたことを特徴とするコンピュータ可読記憶媒体。
【請求項2】
前記少なくとも1つのネットワークプロファイルを前記安全ネットワークプロビジョニングデバイスに提供することは、前記安全ネットワークプロビジョニングデバイスとのネットワークプロファイル獲得プロトコルに加わることを備えたことを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
【請求項3】
前記安全ネットワークプロビジョニングデバイスは、前記ネットワークプロファイル獲得プロトコルの完了時に獲得モードからゲートウェイモードに切り換わることを特徴とする請求項2に記載のコンピュータ可読記憶媒体。
【請求項4】
前記少なくとも1つのネットワークプロファイルを管理することは、各ネットワークプロファイルにつき、前記ネットワークプロファイルの作成、読取り、更新の少なくとも1つを行うことを備えたことを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
【請求項5】
前記安全ネットワークプロビジョニングデバイスをプラグアンドプレイ(PnP)で認識することをさらに備えたことを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
【請求項6】
前記安全ネットワークプロビジョニングデバイスからの接続を受け入れることは、前記安全ネットワークプロビジョニングデバイスおよび前記コンピュータ可読記憶媒体の物理的な近接を要することを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
【請求項7】
前記安全ネットワークへのアクセスを前記クライアントに提供することは、前記安全ネットワークプロビジョニングデバイスおよび前記クライアントデバイスの物理的な近接を要することを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
【請求項8】
前記安全ネットワークプロビジョニングデバイスは複数のネットワークインターフェースを備え、
前記安全ネットワークへのアクセスを提供することは、前記複数のうちの第1のネットワークインターフェースを介してアクセスを提供することを備え、
前記安全ネットワークプロビジョニングデバイスからの接続を受け入れることは、前記複数のうちの第2のネットワークインターフェースを介して前記接続を受け入れることを備えたことを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
【請求項9】
前記第2のネットワークインターフェースは、ワイヤラインネットワークインターフェースであることを特徴とする請求項8に記載のコンピュータ可読記憶媒体。
【請求項10】
前記安全ネットワークプロビジョニングデバイスは、
前記獲得モードのとき、ネットワークプロファイルを獲得し、
前記ゲートウェイモードのとき、前記ネットワークプロファイルに関連する安全ネットワークへのアクセスを前記クライアントデバイスに提供することを特徴とする請求項8に記載のコンピュータ可読記憶媒体。
【請求項11】
前記複数のネットワークインターフェースの少なくとも1つは、ユニバーサルシリアルバス(USB)インターフェースであり、異なるモードにおいて異なるユニバーサルシリアルバス(USB)列挙クラス識別子を列挙することを特徴とする請求項10に記載のコンピュータ可読記憶媒体。
【請求項12】
安全なネットワークアクセスを提供するための安全ネットワークプロビジョニングデバイスであって、
1または複数のワイヤライン通信インターフェースと、
1または複数のワイヤレス通信インターフェースと、
前記安全ネットワークプロビジョニングデバイスに接続された場合に、前記安全ネットワークプロビジョニングデバイスの獲得モードで、セキュリティ権限から1または複数のネットワークプロファイルを獲得し、関連するワイヤレスネットワークを介したクライアントデバイスによる通信のための、前記1または複数のワイヤレス通信インターフェースを構成するネットワークプロファイル獲得モジュールであって、前記安全ネットワークプロビジョニングデバイスは、前記獲得された1または複数のネットワークプロファイルを用いて前記1または複数のワイヤレス通信インターフェースの構成の後に、前記獲得モードからゲートウェイモードに切り替えられるよう構成される、ネットワークプロファイル獲得モジュールと、
前記安全ネットワークプロビジョニングデバイスに接続された場合に、前記ゲートウェイモードでイネーブルにされ、前記ワイヤライン通信インターフェースおよび前記構成されたワイヤレス通信インターフェース間のクライアントデバイスによる通信のためのルータとして動作する通信インターフェースゲートウェイモジュールと
を備えたことを特徴とする安全ネットワークプロビジョニングデバイス。
【請求項13】
前記セキュリティ権限から獲得される前記1または複数のネットワークプロファイルは、前記1または複数のワイヤレスネットワークのそれぞれに対するネットワークプロファイルを備え、各ネットワークプロファイルは、前記1または複数のワイヤレスネットワークのうちの関連するワイヤレスネットワークへのアクセスに要求される認証クリデンシャルを含むことを特徴とする請求項12に記載の安全ネットワークプロビジョニングデバイス。
【請求項14】
前記安全ネットワークプロビジョニングデバイスは、前記ネットワークプロファイル獲得モジュールにより前記1または複数のネットワークプロファイルを獲得した後に、前記獲得モードから前記ゲートウェイモードに切り替わることを特徴とする請求項12に記載の安全ネットワークプロビジョニングデバイス。
【請求項15】
前記安全ネットワークプロビジョニングデバイスは、
前記獲得モードで前記セキュリティ権限に接続して前記1または複数のネットワークプロファイルを獲得し、
前記1または複数のネットワークプロファイルの獲得の後に、前記前記獲得モードから前記ゲートウェイモードに切り替わり、
前記ゲートウェイモードで特定のクライアントデバイスに接続し、前記安全ネットワークプロビジョニングデバイスを通じた前記関連するワイヤレスネットワークの通信を前記特定のクライアントデバイスに可能とするよう構成されることを特徴とする請求項12に記載の安全ネットワークプロビジョニングデバイス。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−94162(P2012−94162A)
【公開日】平成24年5月17日(2012.5.17)
【国際特許分類】
【出願番号】特願2011−260868(P2011−260868)
【出願日】平成23年11月29日(2011.11.29)
【分割の表示】特願2005−223307(P2005−223307)の分割
【原出願日】平成17年8月1日(2005.8.1)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【公開日】平成24年5月17日(2012.5.17)
【国際特許分類】
【出願日】平成23年11月29日(2011.11.29)
【分割の表示】特願2005−223307(P2005−223307)の分割
【原出願日】平成17年8月1日(2005.8.1)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
[ Back to top ]