異なるユーザ装置を収容可能なフレキシブルWLANアクセスポイントアーキテクチャ
本発明は、端末装置が通信を行うアクセスポイントによりIEEE802.1xプロトコルを利用しているか判断するため、アクセスポイントを有するWLAN環境における端末装置によるアクセスの制御を向上させる装置及び方法を提供し、これにより、端末装置がIEEE802.1xプロトコルを利用している場合には適切に応答し、そうでない場合には、端末装置のプロトコルがIEEE802.1xプロトコルを利用しないとアクセスポイントは判断し、端末装置と互換性を有する認証機構を選択する。端末装置がIEEE802.1xクライアントでない場合、ユーザのHTTP要求をローカルサーバにリダイレクトするようIPパケットフィルタリングが設定され、HTTP要求がリダイレクトされると、HTTPサーバは端末装置にブラウザベース認証に具体的に関連する情報を提供する。
【発明の詳細な説明】
【発明の詳細な説明】
【0001】
[関連出願]
本出願は、参照することによりここに含まれる、2003年3月4日に出願された米国仮特許出願第60/454,558号の優先権を主張するものである。
1.発明の技術分野
本発明は、ユーザ端末による通信ネットワークへのアクセスを制御する装置及び方法を提供し、特に、モバイル端末によるWLANへのアクセスを、各モバイル端末に対しそれの固有の機能を提供し、それに応じて利用可能な最適な認証機構を選択することにより制御する装置及び方法を提供する。
2.関連技術の説明
本発明は、モバイル装置に対するアクセスを提供するアクセスポイントを有し、IEEE802.1xアーキテクチャを用いた無線ローカルエリアネットワーク(WLAN)と、インターネットなどのグローバルネットワークや有線ローカルエリアネットワークなどの他のネットワークに関する。WLAN技術の進歩により、休憩所、カフェ、図書館及び同様の公共施設(「ホットスポット」)における公衆にアクセス可能性がもたらされた。現在、公衆WLANは、モバイル通信装置のユーザに企業イントラネットなどのプライベートデータネットワーク、あるいはインターネット、ピア・ツー・ピア通信及びライブによる無線テレビ配信などのパブリックデータネットワークへのアクセスを提供する。公衆WLANは、高い帯域幅(通常、10メガビット/秒を超える)が利用可能であるだけでなく、比較的低コストによる実現及び運営が可能であり、このため、公衆WLANをモバイル無線通信装置のユーザが外部のエンティティとのパケット交換を可能にする理想的なアクセス機構にする。しかしながら、後述されるように、そのようなオープンな配置は、識別及び認証のための適切な手段が存在しない場合には、セキュリティを危うくするかもしれない。
【0002】
IEEE802.1xプロトコルを搭載した端末(「クライアント端末」、あるいは単に「IEEE802.1xクライアント」)を操作するユーザが、ホットスポットにおいて公衆WLANにアクセスしようとするとき、IEEE802.1xクライアント端末は、それの現在のマシーン設定に従って認証プロセスを開始するであろう。認証後、公衆WLANは、WLANと装置との間を通過するデータのプライバシーを保護するため、モバイル通信装置とセキュアなデータチャネルを開設する。現在、多数のWLAN装置のメーカーが展開する装置に対してIEEE802.1xプロトコルを採用している。しかしながら、WLANを利用した他の装置は、WEP(Wired Electronic Privacy)により提供されるような他のプロトコルを利用するかもしれない。特に、WLANに対する支配的な認証機構は、IEEE802.1xプロトコルを利用している。残念なことに、IEEE802.1xプロトコルは、その利用モデルとしてプライベートLANアクセスにより設計された。従って、IEEE802.1xプロトコルは、公衆WLAN環境において必要とされる有用な機能を提供するものではない。この現在支配的な規格によるさらなる問題点は、それがIEEE802.1xプロトコルクライアントソフトウェアのインストール及び設定を必要とするということである。さらに、IEEE802.1xプロトコルは、ユーザとやりとりするための高度な機構を有するものではない。アクセスポイントは、EAP(Electronic Access Point)通知を介しクライアントにシンプルなメッセージを送信するにすぎない。これは企業における設定には十分なものであるが、ホットスポットにおいては、アクセスポイントはアクセスを許可する前に、エンドユーザのライセンスを受付けることを求めるかもしれない。一部の例では、アクセスポイントは、サービス料についてユーザに通知する必要がある。1つの解決策は、アクセスポイントにウェブブラウザインタフェースを介しユーザとやりとりする機能を与えるというものである。
【0003】
既存の大多数のWLANホットスポット無線プロバイダは、ユーザ装置へのソフトウェアのダウンロードを要求しないという利便性をユーザに提供するユーザ認証及びアクセス制御のため、ウェブブラウザベースの解決策を利用している。図1に示されるように、公衆WLAN環境における認証に典型的に関与する主要なエンティティ間の関係は、モバイル端末(MT)、WLANアクセスポイント(AP)、ローカルサーバ及び認証サーバ(AS)である。ウェブベースの解決策では、ユーザはASによってHTTPSを通じて安全に認証され、その後、ASによりMTにアクセスを許可するようAPに通知がなされる。WLANオペレータが、そのような認証サーバや、ISP(Independent Service Provider)、プリペイドカードプロバイダ、携帯電話事業者など、より広く仮想的運営者と呼ばれる任意の第三者プロバイダを所有していてもよい。従って、公衆WLANホットスポットは、このような異なるクライアント及び運営者の機能を備えるべきであり、これに基づき、WLANは異なる認証機構を選択することが可能となるべきである。従来技術はこのような機能を提供する手段を十分に扱うものではないが、ここで説明される本発明は、新規な解決策を提供する。
[発明の概要]
ユーザ端末による通信ネットワークへのアクセスのセキュリティまたは制御、特にモバイル端末による無線ローカルエリアネットワーク(WLAN)へのアクセスの制御を向上させる装置及び方法が所望される。
【0004】
本発明は、端末装置によるアクセスを、当該端末装置に係る認証プロトコルのタイプを決定し、認証要求を適切な認証サーバに自動的にルーティングすることにより制御する方法を提供する。具体的には、本発明は、WLAN環境における端末装置のアクセスを、端末装置がIEEE802.1xプロトコルを利用しているか決定することにより制御する方法であって、アクセスポイントによりモバイル端末と識別要求を通信するステップと、モバイル端末がIEEE802.1xプロトコルを利用する場合には前記識別要求を受付けるステップと、そうでない場合にはアクセスポイントにより、モバイル端末がIEEE802.1xプロトコルを利用していないと判断し、モバイル端末と互換性を有する認証機構を選択するステップとから構成される方法を提供する。
【0005】
端末装置がIEEE802.1xに準拠していない場合、アクセスポイントは当該端末が非IEEE802.1xプロトコルであることを示すアクセスポイントにおいて状態を開始し、IPパケットフィルタを設定し、ユーザのHTTP要求をローカルサーバにリダイレクトする。本発明のプロセスはまた、ローカルサーバからブラウザベース認証に特に関連する情報を端末装置と通信するようにしてもよい。当該装置がIEEE802.1xプロトコルを利用している場合、アクセスポイントは、モバイル端末がIEEE802.1xに準拠していることを示す状態に遷移し、その後、IEEE802.1xプロトコルを利用してさらなる通信のすべてを処理する。認証プロセスが失敗すると、本発明の一実施例はアクセスポイントにおいてエラー状態を開始する。
【0006】
WLAN環境において端末装置のセキュリティを向上するための本発明の一実施例は、当該装置がアクセスポイントに端末装置とRequest−IdentityEAPパケットを通信させることによりIEEE802.1xプロトコルを利用しているか判断するためアクセスポイントを利用し、これにより、装置がIEEE802.1xプロトコルを利用する場合には、当該装置がResponse−IdentityEAPパケットにより応答し、そうでない場合には、モバイル端末プロトコルがIEEE802.1xプロトコルを利用していないとアクセスポイントが判断し(例えば、タイムアウトに基づき)、モバイル端末と互換性を有する認証機構を選択する。
【0007】
WLAN環境において端末装置のセキュリティを向上するための本発明はまた、WLAN環境における端末装置と通信して、端末装置がIEEE802.1xプロトコルを利用しているか判断する手段と、当該端末がプロトコルを利用していない場合には、端末装置と互換性を有する認証手段とを利用するアクセスポイントから構成される装置を有する。アクセスポイントの判断手段は、端末装置とRequest−IdentityEAPパケットを通信し、モバイル端末がIEEE802.1xプロトコルを利用している場合には、アクセスがResponse−IdentityEAPパケットを受信する。アクセスポイントはさらに、端末装置が当該プロトコルを利用していない場合、装置のHTTP要求をローカルサーバにリダイレクトするため、IPパケットフィルタリングを設定する手段を有する。
【0008】
本装置のさらなる実施例では、アクセスポイントは、IEEE802.1xプロトコルの交換を通信する手段と、アクセスポイントにより端末装置がIEEE802.1xクライアントであると検出された場合、IEEE802.1xベースの認証プロセス中及び以降において、HTTPサーバが端末装置アクセスを制御するための状態情報とIPフィルタモジュールを介しIPパケットフィルタリングを確立する手段とを有する。
[発明の詳細な説明]
説明される図において、回路、関連するブロック及び矢印は、電気回路及び電気信号を伝送する付属の配線またはデータバスとして実現可能な本発明によるプロセスの機能を表す。あるいは、1以上の付属の矢印は、特に本発明の方法及び装置がデジタルプロセスとして実現されるときには、ソフトウェアルーチン間の通信(例えば、データフローなど)を表すかもしれない。
【0009】
図1によると、1401〜140nにより表される1以上のモバイル端末が、ファイアウォール122及び認証サーバ150nなどの1以上の仮想オペレータ1501〜150nと関連して、アクセスポイント130n及びローカルコンピュータ120と通信する。端末1401〜140nからの通信は、典型的には、ハッカーなどの許可されていないエンティティからの高いレベルの安全性を要求する関連する通信パス154及び152とインターネット110を利用することにより、セキュアなデータベースや他のリソースへのアクセスを必要とする。
【0010】
さらに図1に図示されるように、WLANアーキテクチャは、複数のコンポーネントを包含し、より上位のレイヤのネットワークスタックに透過なステーション移動性を提供するためやりとりする複数のコンポーネント及びサービスを包含する。アクセスポイント1301〜130nなどのAPステーションと、コンポーネントとしてのモバイル端末1401〜140nは無線媒体と接続し、MAC(Medium Access Control)1381〜138nであるIEEE802.1xプロトコルの機能と対応するPHY(Physical Layer)(図示せず)を含むコンポーネントとして固定またはモバイル端末1401〜140nと、及び無線媒体との接続127とを典型的には含む。通信機能及びプロトコルは、無線モデム、ネットワークアクセスまたはインタフェースカードのハードウェア及びソフトウェアにより実現される。本発明は、装置がIEEE802.1xプロトコルであるか否か、また1以上の無線モバイル装置1401〜140n、ローカルサーバ120及び認証サーバ150などの仮想オペレータの認証に参加するとき、ダウンリンクトラフィック(例えば、認証サーバ150からラップトップなどのモバイル端末140nまでなど)に対するIEEE802.1xWLAN MACレイヤの互換性要件の範囲内にあるか否かに関係なく、アクセスポイント130nがWLAN環境115の端末装置のセキュリティを向上させるように、通信ストリームにおける手段を実現するための方法を提案する。
【0011】
本発明の原理によると、アクセス160は、IEEE802.1xプロトコルや特定の端末1401〜140nが選択可能な他のプロトコルに従って、モバイル端末1401〜140nと共にその通信ストリームを認証することによって、各モバイル端末1401〜140nがWLAN115に安全にアクセスすることを可能にする。アクセス160がそのようなセキュアなアクセスを可能にする方法は、モバイル無線通信装置、モバイル端末140n、公衆WLAN115及び認証サーバ150nの間で行われる相互動作シーケンスを示す図2を参照することによって、最も良く理解することができる。図1のアクセスポイント130nは、IEEE802.1xプロトコルにより設定されるとき、制御ポートと非制御ポートを維持し、これらを介してアクセスポイントはモバイル端末140nと情報をやりとりする。アクセスポイント130nにより維持されている制御ポートは、データトラフィックなどの非認証情報がWLAN115とモバイル端末140nとの間のアクセスポイントを通過するための入口として機能する。通常、アクセスポイント1301〜130nは、モバイル無線通信装置の認証まで、IEEE802.1xプロトコルに従って、各制御ポートを閉じた状態に保持する。アクセスポイント130nは常に、モバイル端末140nがローカルチェックや仮想サーバ150nと認証データをやりとりするのを許可するため、各非制御ポートをオープンな状態に維持する。
【0012】
図2を参照するに、本発明のさらなる実施例は、複数の動作状態を生成するためにアクセスポイント130nを利用したものである。EAPResponse−Identityパケット220に続いて、状態「1x_progress」340は、モバイル端末140nがIEEE802.1xクライアントであり、802.1xの認証プロセスが実行中であることを示す。このような1以上の利用可能なセキュリティプロトコルから選択する手段は、WLAN環境におけるプログラミング及びエンジニアリングの当業者により周知である。従って、802.1xエンジン325は、クライアントの検出及びシステムの他のモジュールへのクライアント機能情報の提供を行うためのものである。さらに、それはまた、EAPメッセージをRADIUSメッセージに変換し、当該メッセージをRADIUSアクセス要求230の形式により転送し、RADIUSアクセス拒絶メッセージ240に応答するRADIUSクライアント機能を実現する。パケットフィルタモジュール330は、他のモジュールにより設定された基準に基づき、パケットをフィルタリングするためのものである。端末がIEEE802.1xプロトコルに準拠していないか判断するのにアクセスポイントにより利用される本方法は、それがEAP要求識別応答パケットを受信する前に、予め設定されたタイマのタイムアウトに基づくものである。
【0013】
より詳細には、図3は本発明の方法の一実施例を示す。ここで、アクセスポイント130nは、認証されたIEEE802.1xクライアントではなく、IPパケットフィルタモジュール330を介し設定し、ウェブリクエストリダイレクト345を介しHTTPサーバ120にリダイレクトするようにクライアント335をリダイレクトする。あるいは、モバイル端末140nは、パケットフィルタモジュール330によってHTTPサーバ120にリダイレクトされる直接的なウェブアクセス要求335を送信するようにしてもよい。HTTPサーバ120は、ブラウザベース認証に具体的に関連する情報により応答する。
【0014】
アクセスポイント130nにより端末装置がIEEE802.1xクライアントであると検出された場合、それは通常のIEEE802.1xプロトコル通信交換がアクセスポイント130nを介し実行されることを許可し、HTTPサーバ120がIEEE802.1xベースの認証プロセス中及び以降において、モバイル端末140nのユーザアクセスを制御するための状態情報とIPフィルタモジュール330を介した適切なIPパケットフィルタリングを設定する。
【0015】
上述のように、WLANシステム115は、システムが適切に機能するため、適切な状態情報を維持する必要がある。このような状態情報は、特にパケットフィルタリング機能330とHTTPサーバ120により利用されるアクセスポイント130nの802.1xエンジンにより提供されるであろう。図3を参照するに、本発明のさらなる実施例は、複数の動作状態を生成するため、アクセスポイント130nの802.1xエンジンを利用するというものである。Response−IdentityEAPパケット220に続いて、状態「1x_progress」340は、モバイル端末140nがIEEE802.1xクライアントであり、802.1x認証プロセスが実行中であることを示す。Response−IdentityEAPパケット220に続いて、状態「1x_failure」350は、802.1x認証プロセスが本発明とは関係のない1以上の理由により失敗したことを示す。Response−IdentityEAPパケット220に続いて、状態「non_1x」360は、モバイル端末140nが非IEEE802.1xクライアントであることを示す。このようなクライアントに対して、すべてのアクセス制御がより上位のレイヤにおいて実行されるため、さらなる状態の分類は必要でない。
【0016】
アクセスポイントは、本発明の各ステップを実行するのに必要な判断手段によりIEEE802.1xプロトコルを実現するモジュールである802.1xエンジン325を有する。1以上の利用可能なセキュリティプロトコルから選択を行うこのような手段は、WLAN環境におけるプログラミング及びエンジニアリングの当業者により周知である。従って、802.1xエンジン325は、クライアントの検出及びシステムの他のモジュールへのクライアント機能情報の提供を行うためのものである。さらに、それはまた、EAPメッセージをRADIUSメッセージに変換するRADIUSクライアント機能を実現する。パケットフィルタモジュール330は、他のモジュールにより設定された基準に基づき、パケットをフィルタリングするためのものである。
【0017】
図4を参照するに、WLAN環境115における端末装置140nのセキュリティを向上させる本発明の装置が示される。アクセスポイント130nは、端末装置140nとの通信を維持し、端末装置140nがIEEE802.1xプロトコルを利用しているか判断する手段を有志、端末140nが当該プロtコルを利用していない場合、アクセスポイント130nは端末装置140nと互換性を有する認証手段420を利用し、そうでない場合、アクセスポイントはIEEE802.1xプロトコル利用手段425を利用する。アクセスポイント130nの判断手段は、端末装置140nとRequest−IdentityEAPパケットを通信する手段を有し、モバイル端末140nがIEEE802.1xプロトコルを利用する場合、アクセスポイント130nはResponse−IdentityEAPパケットを受信する。アクセスポイント130nはさらに、端末装置140nがプロトコルを利用しない場合、手段435を介し装置のHTTP要求をローカルサーバにリダイレクトするようIPパケットフィルタリングを設定する手段430を有する。IEEE802.1xプロトコルが利用される場合、手段425は手段440を用いて、通信がリダイレクトされないことを保証する。
【0018】
本装置のさらなる実施例では、アクセスポイントは、IEEE802.1xプロトコル交換を通信する手段と、アクセスポイントにより端末装置がIEEE802.1xクライアントであると検出された場合に、IEEE802.1xベースの認証プロセス中及び以降においてHTTPサーバが端末装置のアクセスを制御するため、状態情報とIPフィルタモジュールを介したIPパケットフィルタリングを確立する手段とを有する。
【0019】
図示されるような本発明の形式は、単なる好適な実施例に過ぎないということが理解されるべきである。様々な変更がパーツの機能及び構成に関して可能であり、等価な手段が図示及び説明されたものと置換可能であり、以下の請求項に規定されるような本発明の趣旨及び範囲から逸脱することなく、特定の構成は他のものと独立に利用されてもよい。
【図面の簡単な説明】
【0020】
【図1】図1は、WLAN環境における端末装置のセキュリティを向上させる本発明の方法を実現するための通信システムのブロック図である。
【図2】図2は、本発明の認証シーケンスの方法のフローチャートである。
【図3】図3は、認証失敗を示す本発明の方法のフローチャートである。
【図4】図4は、本発明を実現するための装置のブロック図である。
【発明の詳細な説明】
【0001】
[関連出願]
本出願は、参照することによりここに含まれる、2003年3月4日に出願された米国仮特許出願第60/454,558号の優先権を主張するものである。
1.発明の技術分野
本発明は、ユーザ端末による通信ネットワークへのアクセスを制御する装置及び方法を提供し、特に、モバイル端末によるWLANへのアクセスを、各モバイル端末に対しそれの固有の機能を提供し、それに応じて利用可能な最適な認証機構を選択することにより制御する装置及び方法を提供する。
2.関連技術の説明
本発明は、モバイル装置に対するアクセスを提供するアクセスポイントを有し、IEEE802.1xアーキテクチャを用いた無線ローカルエリアネットワーク(WLAN)と、インターネットなどのグローバルネットワークや有線ローカルエリアネットワークなどの他のネットワークに関する。WLAN技術の進歩により、休憩所、カフェ、図書館及び同様の公共施設(「ホットスポット」)における公衆にアクセス可能性がもたらされた。現在、公衆WLANは、モバイル通信装置のユーザに企業イントラネットなどのプライベートデータネットワーク、あるいはインターネット、ピア・ツー・ピア通信及びライブによる無線テレビ配信などのパブリックデータネットワークへのアクセスを提供する。公衆WLANは、高い帯域幅(通常、10メガビット/秒を超える)が利用可能であるだけでなく、比較的低コストによる実現及び運営が可能であり、このため、公衆WLANをモバイル無線通信装置のユーザが外部のエンティティとのパケット交換を可能にする理想的なアクセス機構にする。しかしながら、後述されるように、そのようなオープンな配置は、識別及び認証のための適切な手段が存在しない場合には、セキュリティを危うくするかもしれない。
【0002】
IEEE802.1xプロトコルを搭載した端末(「クライアント端末」、あるいは単に「IEEE802.1xクライアント」)を操作するユーザが、ホットスポットにおいて公衆WLANにアクセスしようとするとき、IEEE802.1xクライアント端末は、それの現在のマシーン設定に従って認証プロセスを開始するであろう。認証後、公衆WLANは、WLANと装置との間を通過するデータのプライバシーを保護するため、モバイル通信装置とセキュアなデータチャネルを開設する。現在、多数のWLAN装置のメーカーが展開する装置に対してIEEE802.1xプロトコルを採用している。しかしながら、WLANを利用した他の装置は、WEP(Wired Electronic Privacy)により提供されるような他のプロトコルを利用するかもしれない。特に、WLANに対する支配的な認証機構は、IEEE802.1xプロトコルを利用している。残念なことに、IEEE802.1xプロトコルは、その利用モデルとしてプライベートLANアクセスにより設計された。従って、IEEE802.1xプロトコルは、公衆WLAN環境において必要とされる有用な機能を提供するものではない。この現在支配的な規格によるさらなる問題点は、それがIEEE802.1xプロトコルクライアントソフトウェアのインストール及び設定を必要とするということである。さらに、IEEE802.1xプロトコルは、ユーザとやりとりするための高度な機構を有するものではない。アクセスポイントは、EAP(Electronic Access Point)通知を介しクライアントにシンプルなメッセージを送信するにすぎない。これは企業における設定には十分なものであるが、ホットスポットにおいては、アクセスポイントはアクセスを許可する前に、エンドユーザのライセンスを受付けることを求めるかもしれない。一部の例では、アクセスポイントは、サービス料についてユーザに通知する必要がある。1つの解決策は、アクセスポイントにウェブブラウザインタフェースを介しユーザとやりとりする機能を与えるというものである。
【0003】
既存の大多数のWLANホットスポット無線プロバイダは、ユーザ装置へのソフトウェアのダウンロードを要求しないという利便性をユーザに提供するユーザ認証及びアクセス制御のため、ウェブブラウザベースの解決策を利用している。図1に示されるように、公衆WLAN環境における認証に典型的に関与する主要なエンティティ間の関係は、モバイル端末(MT)、WLANアクセスポイント(AP)、ローカルサーバ及び認証サーバ(AS)である。ウェブベースの解決策では、ユーザはASによってHTTPSを通じて安全に認証され、その後、ASによりMTにアクセスを許可するようAPに通知がなされる。WLANオペレータが、そのような認証サーバや、ISP(Independent Service Provider)、プリペイドカードプロバイダ、携帯電話事業者など、より広く仮想的運営者と呼ばれる任意の第三者プロバイダを所有していてもよい。従って、公衆WLANホットスポットは、このような異なるクライアント及び運営者の機能を備えるべきであり、これに基づき、WLANは異なる認証機構を選択することが可能となるべきである。従来技術はこのような機能を提供する手段を十分に扱うものではないが、ここで説明される本発明は、新規な解決策を提供する。
[発明の概要]
ユーザ端末による通信ネットワークへのアクセスのセキュリティまたは制御、特にモバイル端末による無線ローカルエリアネットワーク(WLAN)へのアクセスの制御を向上させる装置及び方法が所望される。
【0004】
本発明は、端末装置によるアクセスを、当該端末装置に係る認証プロトコルのタイプを決定し、認証要求を適切な認証サーバに自動的にルーティングすることにより制御する方法を提供する。具体的には、本発明は、WLAN環境における端末装置のアクセスを、端末装置がIEEE802.1xプロトコルを利用しているか決定することにより制御する方法であって、アクセスポイントによりモバイル端末と識別要求を通信するステップと、モバイル端末がIEEE802.1xプロトコルを利用する場合には前記識別要求を受付けるステップと、そうでない場合にはアクセスポイントにより、モバイル端末がIEEE802.1xプロトコルを利用していないと判断し、モバイル端末と互換性を有する認証機構を選択するステップとから構成される方法を提供する。
【0005】
端末装置がIEEE802.1xに準拠していない場合、アクセスポイントは当該端末が非IEEE802.1xプロトコルであることを示すアクセスポイントにおいて状態を開始し、IPパケットフィルタを設定し、ユーザのHTTP要求をローカルサーバにリダイレクトする。本発明のプロセスはまた、ローカルサーバからブラウザベース認証に特に関連する情報を端末装置と通信するようにしてもよい。当該装置がIEEE802.1xプロトコルを利用している場合、アクセスポイントは、モバイル端末がIEEE802.1xに準拠していることを示す状態に遷移し、その後、IEEE802.1xプロトコルを利用してさらなる通信のすべてを処理する。認証プロセスが失敗すると、本発明の一実施例はアクセスポイントにおいてエラー状態を開始する。
【0006】
WLAN環境において端末装置のセキュリティを向上するための本発明の一実施例は、当該装置がアクセスポイントに端末装置とRequest−IdentityEAPパケットを通信させることによりIEEE802.1xプロトコルを利用しているか判断するためアクセスポイントを利用し、これにより、装置がIEEE802.1xプロトコルを利用する場合には、当該装置がResponse−IdentityEAPパケットにより応答し、そうでない場合には、モバイル端末プロトコルがIEEE802.1xプロトコルを利用していないとアクセスポイントが判断し(例えば、タイムアウトに基づき)、モバイル端末と互換性を有する認証機構を選択する。
【0007】
WLAN環境において端末装置のセキュリティを向上するための本発明はまた、WLAN環境における端末装置と通信して、端末装置がIEEE802.1xプロトコルを利用しているか判断する手段と、当該端末がプロトコルを利用していない場合には、端末装置と互換性を有する認証手段とを利用するアクセスポイントから構成される装置を有する。アクセスポイントの判断手段は、端末装置とRequest−IdentityEAPパケットを通信し、モバイル端末がIEEE802.1xプロトコルを利用している場合には、アクセスがResponse−IdentityEAPパケットを受信する。アクセスポイントはさらに、端末装置が当該プロトコルを利用していない場合、装置のHTTP要求をローカルサーバにリダイレクトするため、IPパケットフィルタリングを設定する手段を有する。
【0008】
本装置のさらなる実施例では、アクセスポイントは、IEEE802.1xプロトコルの交換を通信する手段と、アクセスポイントにより端末装置がIEEE802.1xクライアントであると検出された場合、IEEE802.1xベースの認証プロセス中及び以降において、HTTPサーバが端末装置アクセスを制御するための状態情報とIPフィルタモジュールを介しIPパケットフィルタリングを確立する手段とを有する。
[発明の詳細な説明]
説明される図において、回路、関連するブロック及び矢印は、電気回路及び電気信号を伝送する付属の配線またはデータバスとして実現可能な本発明によるプロセスの機能を表す。あるいは、1以上の付属の矢印は、特に本発明の方法及び装置がデジタルプロセスとして実現されるときには、ソフトウェアルーチン間の通信(例えば、データフローなど)を表すかもしれない。
【0009】
図1によると、1401〜140nにより表される1以上のモバイル端末が、ファイアウォール122及び認証サーバ150nなどの1以上の仮想オペレータ1501〜150nと関連して、アクセスポイント130n及びローカルコンピュータ120と通信する。端末1401〜140nからの通信は、典型的には、ハッカーなどの許可されていないエンティティからの高いレベルの安全性を要求する関連する通信パス154及び152とインターネット110を利用することにより、セキュアなデータベースや他のリソースへのアクセスを必要とする。
【0010】
さらに図1に図示されるように、WLANアーキテクチャは、複数のコンポーネントを包含し、より上位のレイヤのネットワークスタックに透過なステーション移動性を提供するためやりとりする複数のコンポーネント及びサービスを包含する。アクセスポイント1301〜130nなどのAPステーションと、コンポーネントとしてのモバイル端末1401〜140nは無線媒体と接続し、MAC(Medium Access Control)1381〜138nであるIEEE802.1xプロトコルの機能と対応するPHY(Physical Layer)(図示せず)を含むコンポーネントとして固定またはモバイル端末1401〜140nと、及び無線媒体との接続127とを典型的には含む。通信機能及びプロトコルは、無線モデム、ネットワークアクセスまたはインタフェースカードのハードウェア及びソフトウェアにより実現される。本発明は、装置がIEEE802.1xプロトコルであるか否か、また1以上の無線モバイル装置1401〜140n、ローカルサーバ120及び認証サーバ150などの仮想オペレータの認証に参加するとき、ダウンリンクトラフィック(例えば、認証サーバ150からラップトップなどのモバイル端末140nまでなど)に対するIEEE802.1xWLAN MACレイヤの互換性要件の範囲内にあるか否かに関係なく、アクセスポイント130nがWLAN環境115の端末装置のセキュリティを向上させるように、通信ストリームにおける手段を実現するための方法を提案する。
【0011】
本発明の原理によると、アクセス160は、IEEE802.1xプロトコルや特定の端末1401〜140nが選択可能な他のプロトコルに従って、モバイル端末1401〜140nと共にその通信ストリームを認証することによって、各モバイル端末1401〜140nがWLAN115に安全にアクセスすることを可能にする。アクセス160がそのようなセキュアなアクセスを可能にする方法は、モバイル無線通信装置、モバイル端末140n、公衆WLAN115及び認証サーバ150nの間で行われる相互動作シーケンスを示す図2を参照することによって、最も良く理解することができる。図1のアクセスポイント130nは、IEEE802.1xプロトコルにより設定されるとき、制御ポートと非制御ポートを維持し、これらを介してアクセスポイントはモバイル端末140nと情報をやりとりする。アクセスポイント130nにより維持されている制御ポートは、データトラフィックなどの非認証情報がWLAN115とモバイル端末140nとの間のアクセスポイントを通過するための入口として機能する。通常、アクセスポイント1301〜130nは、モバイル無線通信装置の認証まで、IEEE802.1xプロトコルに従って、各制御ポートを閉じた状態に保持する。アクセスポイント130nは常に、モバイル端末140nがローカルチェックや仮想サーバ150nと認証データをやりとりするのを許可するため、各非制御ポートをオープンな状態に維持する。
【0012】
図2を参照するに、本発明のさらなる実施例は、複数の動作状態を生成するためにアクセスポイント130nを利用したものである。EAPResponse−Identityパケット220に続いて、状態「1x_progress」340は、モバイル端末140nがIEEE802.1xクライアントであり、802.1xの認証プロセスが実行中であることを示す。このような1以上の利用可能なセキュリティプロトコルから選択する手段は、WLAN環境におけるプログラミング及びエンジニアリングの当業者により周知である。従って、802.1xエンジン325は、クライアントの検出及びシステムの他のモジュールへのクライアント機能情報の提供を行うためのものである。さらに、それはまた、EAPメッセージをRADIUSメッセージに変換し、当該メッセージをRADIUSアクセス要求230の形式により転送し、RADIUSアクセス拒絶メッセージ240に応答するRADIUSクライアント機能を実現する。パケットフィルタモジュール330は、他のモジュールにより設定された基準に基づき、パケットをフィルタリングするためのものである。端末がIEEE802.1xプロトコルに準拠していないか判断するのにアクセスポイントにより利用される本方法は、それがEAP要求識別応答パケットを受信する前に、予め設定されたタイマのタイムアウトに基づくものである。
【0013】
より詳細には、図3は本発明の方法の一実施例を示す。ここで、アクセスポイント130nは、認証されたIEEE802.1xクライアントではなく、IPパケットフィルタモジュール330を介し設定し、ウェブリクエストリダイレクト345を介しHTTPサーバ120にリダイレクトするようにクライアント335をリダイレクトする。あるいは、モバイル端末140nは、パケットフィルタモジュール330によってHTTPサーバ120にリダイレクトされる直接的なウェブアクセス要求335を送信するようにしてもよい。HTTPサーバ120は、ブラウザベース認証に具体的に関連する情報により応答する。
【0014】
アクセスポイント130nにより端末装置がIEEE802.1xクライアントであると検出された場合、それは通常のIEEE802.1xプロトコル通信交換がアクセスポイント130nを介し実行されることを許可し、HTTPサーバ120がIEEE802.1xベースの認証プロセス中及び以降において、モバイル端末140nのユーザアクセスを制御するための状態情報とIPフィルタモジュール330を介した適切なIPパケットフィルタリングを設定する。
【0015】
上述のように、WLANシステム115は、システムが適切に機能するため、適切な状態情報を維持する必要がある。このような状態情報は、特にパケットフィルタリング機能330とHTTPサーバ120により利用されるアクセスポイント130nの802.1xエンジンにより提供されるであろう。図3を参照するに、本発明のさらなる実施例は、複数の動作状態を生成するため、アクセスポイント130nの802.1xエンジンを利用するというものである。Response−IdentityEAPパケット220に続いて、状態「1x_progress」340は、モバイル端末140nがIEEE802.1xクライアントであり、802.1x認証プロセスが実行中であることを示す。Response−IdentityEAPパケット220に続いて、状態「1x_failure」350は、802.1x認証プロセスが本発明とは関係のない1以上の理由により失敗したことを示す。Response−IdentityEAPパケット220に続いて、状態「non_1x」360は、モバイル端末140nが非IEEE802.1xクライアントであることを示す。このようなクライアントに対して、すべてのアクセス制御がより上位のレイヤにおいて実行されるため、さらなる状態の分類は必要でない。
【0016】
アクセスポイントは、本発明の各ステップを実行するのに必要な判断手段によりIEEE802.1xプロトコルを実現するモジュールである802.1xエンジン325を有する。1以上の利用可能なセキュリティプロトコルから選択を行うこのような手段は、WLAN環境におけるプログラミング及びエンジニアリングの当業者により周知である。従って、802.1xエンジン325は、クライアントの検出及びシステムの他のモジュールへのクライアント機能情報の提供を行うためのものである。さらに、それはまた、EAPメッセージをRADIUSメッセージに変換するRADIUSクライアント機能を実現する。パケットフィルタモジュール330は、他のモジュールにより設定された基準に基づき、パケットをフィルタリングするためのものである。
【0017】
図4を参照するに、WLAN環境115における端末装置140nのセキュリティを向上させる本発明の装置が示される。アクセスポイント130nは、端末装置140nとの通信を維持し、端末装置140nがIEEE802.1xプロトコルを利用しているか判断する手段を有志、端末140nが当該プロtコルを利用していない場合、アクセスポイント130nは端末装置140nと互換性を有する認証手段420を利用し、そうでない場合、アクセスポイントはIEEE802.1xプロトコル利用手段425を利用する。アクセスポイント130nの判断手段は、端末装置140nとRequest−IdentityEAPパケットを通信する手段を有し、モバイル端末140nがIEEE802.1xプロトコルを利用する場合、アクセスポイント130nはResponse−IdentityEAPパケットを受信する。アクセスポイント130nはさらに、端末装置140nがプロトコルを利用しない場合、手段435を介し装置のHTTP要求をローカルサーバにリダイレクトするようIPパケットフィルタリングを設定する手段430を有する。IEEE802.1xプロトコルが利用される場合、手段425は手段440を用いて、通信がリダイレクトされないことを保証する。
【0018】
本装置のさらなる実施例では、アクセスポイントは、IEEE802.1xプロトコル交換を通信する手段と、アクセスポイントにより端末装置がIEEE802.1xクライアントであると検出された場合に、IEEE802.1xベースの認証プロセス中及び以降においてHTTPサーバが端末装置のアクセスを制御するため、状態情報とIPフィルタモジュールを介したIPパケットフィルタリングを確立する手段とを有する。
【0019】
図示されるような本発明の形式は、単なる好適な実施例に過ぎないということが理解されるべきである。様々な変更がパーツの機能及び構成に関して可能であり、等価な手段が図示及び説明されたものと置換可能であり、以下の請求項に規定されるような本発明の趣旨及び範囲から逸脱することなく、特定の構成は他のものと独立に利用されてもよい。
【図面の簡単な説明】
【0020】
【図1】図1は、WLAN環境における端末装置のセキュリティを向上させる本発明の方法を実現するための通信システムのブロック図である。
【図2】図2は、本発明の認証シーケンスの方法のフローチャートである。
【図3】図3は、認証失敗を示す本発明の方法のフローチャートである。
【図4】図4は、本発明を実現するための装置のブロック図である。
【特許請求の範囲】
【請求項1】
ユーザ端末による通信ネットワークへのアクセスを制御する方法であって、
前記ユーザ端末から前記通信ネットワークにアクセスする要求を受信するステップと、
前記ユーザ端末に識別要求メッセージを送信するステップと、
前記ユーザ端末が所定の認証プロトコルを利用している場合、前記ユーザ端末から前記識別要求メッセージ対する応答を受信するステップと、
前記識別要求メッセージに対する応答に応答して、前記ユーザ端末が前記所定の認証プロトコルを利用しているか判断するステップと、
前記判断に応答して、前記通信へのユーザ端末のアクセスを可能にする前記ユーザ端末と互換性を有する認証機構を選択するステップと、
から構成されることを特徴とする方法。
【請求項2】
請求項1記載の方法であって、
前記ユーザ端末は、モバイル端末から構成され、
前記通信ネットワークは、IEEE802.11規格に準拠した無線ローカルエリアネットワーク(WLAN)から構成される、
ことを特徴とする方法。
【請求項3】
請求項2記載の方法であって、
前記選択するステップは、前記判断に応答して、前記WLANに接続された適切な認証サーバを選択することからなることを特徴とする方法。
【請求項4】
無線ローカルエリアネットワーク(WLAN)へのモバイル端末のアクセスを制御する方法であって、
前記モバイル端末から前記WLANにアクセスする要求を受信するステップと、
前記モバイル端末に識別要求メッセージを送信するステップと、
前記モバイル端末がIEEE802.1xプロトコルを利用している場合、前記モバイル端末から前記識別要求メッセージに対する応答を受信するステップと、
前記識別要求メッセージに対する応答に応答して、前記モバイル端末がIEEE802.1xプロトコルに準拠しているか判断するステップと、
前記判断に応答して、前記WLANへのモバイル端末のアクセスを可能にする前記モバイル端末と互換性を有する認証機構を選択するステップと、
から構成されることを特徴とする方法。
【請求項5】
請求項4記載の方法であって、さらに、
前記モバイル端末がIEEE802.1xに準拠する場合、認証要求を認証サーバに送信するステップと、
前記IEEE802.1xプロトコルを用いて認証応答を受信するステップと、
前記認証応答に応答して、前記WLANへのモバイル端末のアクセスを制御するステップと、
を有することを特徴とする方法。
【請求項6】
請求項4記載の方法であって、さらに、
前記モバイル端末がIEEE802.1xに準拠していない場合、HTTPサーバがブラウザベース認証を利用するため認証要求をリダイレクトするステップを有することを特徴とする方法。
【請求項7】
請求項6記載の方法であって、さらに、
前記認証要求を前記HTTPサーバにリダイレクトするようパケットフィルタリングモジュールを設定するステップを有することを特徴とする方法。
【請求項8】
請求項7記載の方法であって、さらに、
前記パケットフィルタリングモジュールと前記HTTPサーバによる利用のため、前記WLANに状態情報を維持するステップを有することを特徴とする方法。
【請求項9】
請求項8記載の方法であって、
前記状態情報は、認証プロセス実行中を示す第1状態、認証失敗を示す第2状態、認証成功を示す第3状態、及び非IEEE802.1xモバイル端末を示す第4状態の1つを含むことを特徴とする方法。
【請求項10】
無線ローカルエリアネットワークにおける端末装置と通信するアクセスポイントであって、
前記端末装置がIEEE802.1xプロトコルを利用しているか判断する手段を有し、
前記端末装置が前記プロトコルを利用していない場合、当該アクセスポイントは前記端末装置と互換性を有する認証手段を利用し、そうでない場合には、IEEE802.1xプロトコルを利用することを特徴とするアクセスポイント。
【請求項11】
請求項10記載のアクセスポイントであって、
前記判断する手段は、前記端末装置とRequest−IdentityEAPパケットを通信することからなり、前記モバイル端末が前記IEEE802.1xプロトコルを利用している場合、当該アクセスポイントはResponse−IdentityEAPパケットを受信することを特徴とするアクセスポイント。
【請求項12】
請求項11記載のアクセスポイントであって、さらに、
前記端末装置が前記プロトコルを利用していない場合、前記装置のHTTP要求をローカルサーバにリダイレクトするようIPパケットフィルタリングを設定する手段を有することを特徴とするアクセスポイント。
【請求項13】
請求項11記載のアクセスポイントであって、さらに、
IEEE802.1xプロトコル交換を通信する手段と、
当該アクセスポイントにより前記端末装置がIEEE802.1xクライアントを検出した場合、IEEE802.1xベースの認証プロセス中及び以降において、前記HTTPサーバが前記端末装置のアクセスを制御するため、状態情報とIPフィルタモジュールを介したIPパケットフィルタリングを確立する手段と、
を有することを特徴とするアクセスポイント。
【請求項14】
端末装置がIEEE802.1xプロトコルを利用しているか判断することにより、無線ローカルエリアネットワークにおける端末装置によるアクセスを制御する方法であって、
前記アクセスポイントにより、前記モバイル端末と識別要求を通信するステップと、
前記端末装置がIEEE802.1xプロトコルを利用している場合、前記識別要求を受付けるステップと、
そうでない場合、前記アクセスポイントにより、前記端末装置がIEEE802.1xに準拠していないと判断するステップと、
前記モバイル端末と互換性を有する認証機構を選択するステップと、
ことから構成されることを特徴とする方法。
【請求項15】
請求項14記載の方法であって、
前記アクセスポイントは、タイムアウト値以降にEAP識別応答パケットと受信しないとき、前記端末装置がIEEE802.1xに準拠していないと判断することを特徴とする方法。
【請求項16】
請求項15記載の方法であって、さらに、
前記アクセスポイントにより、前記端末装置がIEEE802.1xに準拠していないか検出し、IPパケットフィルタを設定し、ユーザのHTTP要求をローカルサーバにリダイレクトするステップを有することを特徴とする方法。
【請求項17】
請求項16記載の方法であって、さらに、
前記ローカルサーバにより、ブラウザベース認証に具体的に関連する情報を前記端末装置と通信するステップを有することを特徴とする方法。
【請求項18】
請求項17記載の方法であって、さらに、
前記アクセスポイントにより、前記端末装置が前記IEEE802.1xプロトコルを利用している場合、前記端末装置がIEEE802.1xに準拠していることを示す状態に遷移し、その後、前記IEEE802.1xプロトコルを用いてすべての通信を処理するステップを有することを特徴とする方法。
【請求項19】
請求項17記載の方法であって、さらに、
前記アクセスポイントにより、前記認証プロセスが失敗すると、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項20】
請求項14記載の方法であって、さらに、
前記アクセスポイントにより、前記端末装置がIEEE802.1xに準拠していない場合、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項21】
端末装置がIEEE802.1xプロトコルを利用しているか判断することにより、WLANにおける端末装置のアクセスを制御する方法であって、
アクセスポイントを介し前記モバイル端末と識別要求を通信するステップと、
前記端末装置がIEEE802.1xプロトコルを利用している場合、前記識別要求を受付けるステップと、
そうでない場合、前記アクセスポイントにより前記端末装置がIEEE802.1xに準拠していないことを判断するステップと、
前記端末装置と互換性を有する認証機構を選択するステップと、
から構成されることを特徴とする方法。
【請求項22】
請求項21記載の方法であって、さらに、
前記アクセスポイントにおいて、所定の時間後までにEAP識別応答パケットを受信しなかった場合、前記端末装置はIEEE802.1xに準拠していないと判断するステップを有することを特徴とする方法。
【請求項23】
請求項21記載の方法であって、さらに、
前記アクセスポイントにおいて、前記端末装置がIEEE802.1xに準拠していないと検出し、IPパケットフィルタを設定し、ユーザのHTTP要求をローカルサーバにリダイレクトするステップを有することを特徴とする方法。
【請求項24】
請求項23記載の方法であって、さらに、
前記ローカルサーバから前記端末装置にブラウザベース認証に具体的に関連する情報を通信するステップを有することを特徴とする方法。
【請求項25】
請求項22記載の方法であって、さらに、
前記アクセスポイントにおいて、前記端末装置がIEEE802.1xプロトコルを利用している場合、前記端末装置がIEEE802.1xプロトコルに準拠していることを示す状態に遷移し、その後、前記IEEE802.1xプロトコルを用いてすべての通信を処理するステップを有することを特徴とする方法。
【請求項26】
請求項25記載の方法であって、さらに、
前記アクセスポイントにおいて、前記認証プロセスが失敗した場合、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項27】
請求項21記載の方法であって、さらに、
前記アクセスポイントにおいて、前記端末装置がIEEE802.1xに準拠していない場合、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【特許請求の範囲】
【請求項1】
ユーザ端末による通信ネットワークへのアクセスを制御する方法であって、
前記ユーザ端末から前記通信ネットワークにアクセスする要求を受信するステップと、
前記ユーザ端末に識別要求メッセージを送信するステップと、
前記ユーザ端末が所定の認証プロトコルを利用している場合、前記ユーザ端末から前記識別要求メッセージ対する応答を受信するステップと、
前記識別要求メッセージに対する応答に応答して、前記ユーザ端末が前記所定の認証プロトコルを利用しているか判断するステップと、
前記ユーザ端末が前記所定の認証プロトコルと互換性を有しないと判断すると、前記通信へのユーザ端末のアクセスを可能にする前記ユーザ端末と互換性を有する認証機構を選択するステップと、
から構成されることを特徴とする方法。
【請求項2】
請求項1記載の方法であって、
前記ユーザ端末は、モバイル端末から構成され、
前記通信ネットワークは、IEEE802.11規格に準拠した無線ローカルエリアネットワーク(WLAN)から構成される、
ことを特徴とする方法。
【請求項3】
請求項2記載の方法であって、
前記選択するステップは、前記判断に応答して、前記WLANに接続された適切な認証サーバを選択することからなることを特徴とする方法。
【請求項4】
無線ローカルエリアネットワーク(WLAN)へのモバイル端末のアクセスを制御する方法であって、
前記モバイル端末から前記WLANにアクセスする要求を受信するステップと、
前記モバイル端末に識別要求メッセージを送信するステップと、
前記モバイル端末がIEEE802.1xプロトコルを利用している場合、前記モバイル端末から前記識別要求メッセージに対する応答を受信するステップと、
前記識別要求メッセージに対する応答に応答して、前記モバイル端末がIEEE802.1xプロトコルに準拠しているか判断するステップと、
前記判断に応答して、前記WLANへのモバイル端末のアクセスを可能にする前記モバイル端末と互換性を有する認証機構を選択するステップと、
から構成されることを特徴とする方法。
【請求項5】
請求項4記載の方法であって、さらに、
前記モバイル端末がIEEE802.1xに準拠する場合、認証要求を認証サーバに送信するステップと、
前記IEEE802.1xプロトコルを用いて認証応答を受信するステップと、
前記認証応答に応答して、前記WLANへのモバイル端末のアクセスを制御するステップと、
を有することを特徴とする方法。
【請求項6】
請求項4記載の方法であって、さらに、
前記モバイル端末がIEEE802.1xに準拠していない場合、HTTPサーバがブラウザベース認証を利用するため認証要求をリダイレクトするステップを有することを特徴とする方法。
【請求項7】
請求項6記載の方法であって、さらに、
前記認証要求を前記HTTPサーバにリダイレクトするようパケットフィルタリングモジュールを設定するステップを有することを特徴とする方法。
【請求項8】
請求項7記載の方法であって、さらに、
前記パケットフィルタリングモジュールと前記HTTPサーバによる利用のため、前記WLANに状態情報を維持するステップを有することを特徴とする方法。
【請求項9】
請求項8記載の方法であって、
前記状態情報は、認証プロセス実行中を示す第1状態、認証失敗を示す第2状態、認証成功を示す第3状態、及び非IEEE802.1xモバイル端末を示す第4状態の1つを含むことを特徴とする方法。
【請求項10】
無線ローカルエリアネットワークにおける端末装置と通信するアクセスポイントであって、
前記端末装置がIEEE802.1xプロトコルを利用しているか判断する手段を有し、
前記端末装置が前記プロトコルを利用していない場合、当該アクセスポイントは前記端末装置と互換性を有する認証手段を利用し、そうでない場合には、IEEE802.1xプロトコルを利用することを特徴とするアクセスポイント。
【請求項11】
請求項10記載のアクセスポイントであって、
前記判断する手段は、前記端末装置とRequest−IdentityEAPパケットを通信することからなり、前記モバイル端末が前記IEEE802.1xプロトコルを利用している場合、当該アクセスポイントはResponse−IdentityEAPパケットを受信することを特徴とするアクセスポイント。
【請求項12】
請求項11記載のアクセスポイントであって、さらに、
前記端末装置が前記プロトコルを利用していない場合、前記装置のHTTP要求をローカルサーバにリダイレクトするようIPパケットフィルタリングを設定する手段を有することを特徴とするアクセスポイント。
【請求項13】
請求項11記載のアクセスポイントであって、さらに、
IEEE802.1xプロトコル交換を通信する手段と、
当該アクセスポイントにより前記端末装置がIEEE802.1xクライアントを検出した場合、IEEE802.1xベースの認証プロセス中及び以降において、前記HTTPサーバが前記端末装置のアクセスを制御するため、状態情報とIPフィルタモジュールを介したIPパケットフィルタリングを確立する手段と、
を有することを特徴とするアクセスポイント。
【請求項14】
端末装置がIEEE802.1xプロトコルを利用しているか判断することにより、無線ローカルエリアネットワークにおける端末装置によるアクセスを制御する方法であって、
前記アクセスポイントにより、前記モバイル端末と識別要求を通信するステップと、
前記端末装置がIEEE802.1xプロトコルを利用している場合、前記識別要求を受付けるステップと、
そうでない場合、前記アクセスポイントにより、前記端末装置がIEEE802.1xに準拠していないと判断するステップと、
前記モバイル端末と互換性を有する認証機構を選択するステップと、
ことから構成されることを特徴とする方法。
【請求項15】
請求項14記載の方法であって、
前記アクセスポイントは、タイムアウト値以降にEAP識別応答パケットと受信しないとき、前記端末装置がIEEE802.1xに準拠していないと判断することを特徴とする方法。
【請求項16】
請求項15記載の方法であって、さらに、
前記アクセスポイントにより、前記端末装置がIEEE802.1xに準拠していないか検出し、IPパケットフィルタを設定し、ユーザのHTTP要求をローカルサーバにリダイレクトするステップを有することを特徴とする方法。
【請求項17】
請求項16記載の方法であって、さらに、
前記ローカルサーバにより、ブラウザベース認証に具体的に関連する情報を前記端末装置と通信するステップを有することを特徴とする方法。
【請求項18】
請求項17記載の方法であって、さらに、
前記アクセスポイントにより、前記端末装置が前記IEEE802.1xプロトコルを利用している場合、前記端末装置がIEEE802.1xに準拠していることを示す状態に遷移し、その後、前記IEEE802.1xプロトコルを用いてすべての通信を処理するステップを有することを特徴とする方法。
【請求項19】
請求項17記載の方法であって、さらに、
前記アクセスポイントにより、前記認証プロセスが失敗すると、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項20】
請求項14記載の方法であって、さらに、
前記アクセスポイントにより、前記端末装置がIEEE802.1xに準拠していない場合、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項21】
端末装置がIEEE802.1xプロトコルを利用しているか判断することにより、WLANにおける端末装置のアクセスを制御する方法であって、
アクセスポイントを介し前記モバイル端末と識別要求を通信するステップと、
前記端末装置がIEEE802.1xプロトコルを利用している場合、前記識別要求を受付けるステップと、
そうでない場合、前記アクセスポイントにより前記端末装置がIEEE802.1xに準拠していないことを判断するステップと、
前記端末装置と互換性を有する認証機構を選択するステップと、
から構成されることを特徴とする方法。
【請求項22】
請求項21記載の方法であって、さらに、
前記アクセスポイントにおいて、所定の時間後までにEAP識別応答パケットを受信しなかった場合、前記端末装置はIEEE802.1xに準拠していないと判断するステップを有することを特徴とする方法。
【請求項23】
請求項21記載の方法であって、さらに、
前記アクセスポイントにおいて、前記端末装置がIEEE802.1xに準拠していないと検出し、IPパケットフィルタを設定し、ユーザのHTTP要求をローカルサーバにリダイレクトするステップを有することを特徴とする方法。
【請求項24】
請求項23記載の方法であって、さらに、
前記ローカルサーバから前記端末装置にブラウザベース認証に具体的に関連する情報を通信するステップを有することを特徴とする方法。
【請求項25】
請求項22記載の方法であって、さらに、
前記アクセスポイントにおいて、前記端末装置がIEEE802.1xプロトコルを利用している場合、前記端末装置がIEEE802.1xプロトコルに準拠していることを示す状態に遷移し、その後、前記IEEE802.1xプロトコルを用いてすべての通信を処理するステップを有することを特徴とする方法。
【請求項26】
請求項25記載の方法であって、さらに、
前記アクセスポイントにおいて、前記認証プロセスが失敗した場合、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項27】
請求項21記載の方法であって、さらに、
前記アクセスポイントにおいて、前記端末装置がIEEE802.1xに準拠していない場合、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【特許請求の範囲】
【請求項1】
通信ネットワークへのアクセスを制御する方法であって、
前記通信ネットワークにアクセスする要求を受信するステップと、
識別要求メッセージを送信するステップと、
所定の認証プロトコルが利用されているか示す、前記識別要求メッセージに対する応答を受信するステップと、
前記識別要求メッセージに対する応答に基づき、前記所定の認証プロトコルを利用しているか判断するステップと、
すべての利用に基づき、前記通信ネットワークへのアクセスを許可する認証機構を選択するステップと、
から構成されることを特徴とする方法。
【請求項2】
請求項1記載の方法であって、
前記通信ネットワークは、IEEE802.11規格に準拠した無線ローカルエリアネットワーク(WLAN)から構成されることを特徴とする方法。
【請求項3】
請求項2記載の方法であって、
前記選択するステップは、前記判断に応答して、前記WLANに接続された適切な認証サーバを選択することからなることを特徴とする方法。
【請求項4】
請求項1記載の方法であって、
前記所定の認証プロトコルは、IEEE802.1xプロトコルであることを特徴とする方法。
【請求項5】
請求項4記載の方法であって、さらに、
前記WLANへのアクセスがIEEE802.1xに準拠している場合、認証サーバに認証要求を送信するステップと、
前記IEEE802.1xプロトコルを利用して認証応答を受信するステップと、
前記認証応答に基づき、前記WLANへのアクセスを制御するステップと、
を有することを特徴とする方法。
【請求項6】
請求項4記載の方法であって、さらに、
前記WLANへの要求されたアクセスがIEEE802.1xに準拠していない場合、ブラウザベース認証を利用するための認証要求をHTTPサーバにリダイレクトするステップを有することを特徴とする方法。
【請求項7】
請求項6記載の方法であって、さらに、
前記認証要求を前記HTTPサーバにリダイレクトするようパケットフィルタリングモジュールを設定するステップを有することを特徴とする方法。
【請求項8】
請求項7記載の方法であって、さらに、
前記パケットフィルタリングモジュールと前記HTTPサーバによる利用のため、前記WLANに状態情報を維持するステップを有することを特徴とする方法。
【請求項9】
請求項8記載の方法であって、
前記状態情報は、認証プロセス実行中を示す第1状態、認証失敗を示す第2状態、認証成功を示す第3状態、及びIEEE802.1xに準拠していないことを示す第4状態の1つを含むことを特徴とする方法。
【請求項10】
通信ネットワークに係るアクセスポイントであって、
前記通信ネットワークへのアクセスを試みる装置のアクセス要求が、IEEE802.1xプロトコルを利用しているか判断する手段を有し、
前記装置が前記IEEE802.1xプロトコルを利用していない場合、当該アクセスポイントは前記装置と互換性を有する認証手段を利用し、そうでない場合には、前記装置の認証のためIEEE802.1xプロトコルを利用することを特徴とするアクセスポイント。
【請求項11】
請求項10記載のアクセスポイントであって、
前記判断する手段は、前記装置とRequest−IdentityEAPパケットを通信することからなり、前記装置が前記IEEE802.1xプロトコルを利用している場合、当該アクセスポイントはResponse−IdentityEAPパケットを受信することを特徴とするアクセスポイント。
【請求項12】
請求項11記載のアクセスポイントであって、さらに、
前記装置が前記IEEE802.1xプロトコルを利用していない場合、前記装置のアクセス要求をローカルサーバにリダイレクトするようIPパケットフィルタを設定する手段を有することを特徴とするアクセスポイント。
【請求項13】
請求項10記載のアクセスポイントであって、さらに、
IEEE802.1xプロトコル交換を通信する手段と、
当該アクセスポイントにより前記装置がIEEE802.1xクライアントであると検出された場合、IEEE802.1xベースの認証中及び認証後、サーバがアクセスを制御するため、状態情報とIPフィルタモジュールを介したIPパケットフィルタリングを確立する手段と、
を有することを特徴とするアクセスポイント。
【請求項14】
通信ネットワークにおけるアクセスを制御する方法であって、
アクセスポイントにより、前記通信ネットワークにアクセスする要求を受信するステップと、
前記アクセスポイントにより、識別要求を通信するステップと、
前記アクセスポイントにより、前記識別要求の承認を受付けるステップと、
前記アクセスポイントにより、前記承認がIEEE802.1xに準拠しているか判断するステップと、
前記承認に互換する認証機構を選択するステップと、
ことから構成されることを特徴とする方法。
【請求項15】
請求項14記載の方法であって、さらに、
前記アクセスポイントにより、所定のタイムアウト値の後、前記アクセスポイントがEAP識別応答パケットを受信しないとき、前記アクセス要求がIEEE802.1xに準拠していないと判断するステップを有することを特徴とする方法。
【請求項16】
請求項15記載の方法であって、さらに、
前記アクセスポイントにより、IEEE802.1x非準拠を検出するステップと、
IPパケットフィルタを設定するステップと、
前記アクセス要求をローカルサーバにリダイレクトするステップと、
を有することを特徴とする方法。
【請求項17】
請求項16記載の方法であって、さらに、
前記ローカルサーバにより、ブラウザベース認証に具体的に関連する情報を通信するステップを有することを特徴とする方法。
【請求項18】
請求項17記載の方法であって、さらに、
前記アクセスポイントにより、IEEE802.1xに準拠していることを示す状態に遷移し、その後、前記IEEE802.1xプロトコルを用いてすべての通信を処理するステップを有することを特徴とする方法。
【請求項19】
請求項17記載の方法であって、さらに、
前記アクセスポイントにより、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項20】
請求項14記載の方法であって、さらに、
前記アクセス要求がIEEE802.1xに準拠していない場合、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項1】
ユーザ端末による通信ネットワークへのアクセスを制御する方法であって、
前記ユーザ端末から前記通信ネットワークにアクセスする要求を受信するステップと、
前記ユーザ端末に識別要求メッセージを送信するステップと、
前記ユーザ端末が所定の認証プロトコルを利用している場合、前記ユーザ端末から前記識別要求メッセージ対する応答を受信するステップと、
前記識別要求メッセージに対する応答に応答して、前記ユーザ端末が前記所定の認証プロトコルを利用しているか判断するステップと、
前記判断に応答して、前記通信へのユーザ端末のアクセスを可能にする前記ユーザ端末と互換性を有する認証機構を選択するステップと、
から構成されることを特徴とする方法。
【請求項2】
請求項1記載の方法であって、
前記ユーザ端末は、モバイル端末から構成され、
前記通信ネットワークは、IEEE802.11規格に準拠した無線ローカルエリアネットワーク(WLAN)から構成される、
ことを特徴とする方法。
【請求項3】
請求項2記載の方法であって、
前記選択するステップは、前記判断に応答して、前記WLANに接続された適切な認証サーバを選択することからなることを特徴とする方法。
【請求項4】
無線ローカルエリアネットワーク(WLAN)へのモバイル端末のアクセスを制御する方法であって、
前記モバイル端末から前記WLANにアクセスする要求を受信するステップと、
前記モバイル端末に識別要求メッセージを送信するステップと、
前記モバイル端末がIEEE802.1xプロトコルを利用している場合、前記モバイル端末から前記識別要求メッセージに対する応答を受信するステップと、
前記識別要求メッセージに対する応答に応答して、前記モバイル端末がIEEE802.1xプロトコルに準拠しているか判断するステップと、
前記判断に応答して、前記WLANへのモバイル端末のアクセスを可能にする前記モバイル端末と互換性を有する認証機構を選択するステップと、
から構成されることを特徴とする方法。
【請求項5】
請求項4記載の方法であって、さらに、
前記モバイル端末がIEEE802.1xに準拠する場合、認証要求を認証サーバに送信するステップと、
前記IEEE802.1xプロトコルを用いて認証応答を受信するステップと、
前記認証応答に応答して、前記WLANへのモバイル端末のアクセスを制御するステップと、
を有することを特徴とする方法。
【請求項6】
請求項4記載の方法であって、さらに、
前記モバイル端末がIEEE802.1xに準拠していない場合、HTTPサーバがブラウザベース認証を利用するため認証要求をリダイレクトするステップを有することを特徴とする方法。
【請求項7】
請求項6記載の方法であって、さらに、
前記認証要求を前記HTTPサーバにリダイレクトするようパケットフィルタリングモジュールを設定するステップを有することを特徴とする方法。
【請求項8】
請求項7記載の方法であって、さらに、
前記パケットフィルタリングモジュールと前記HTTPサーバによる利用のため、前記WLANに状態情報を維持するステップを有することを特徴とする方法。
【請求項9】
請求項8記載の方法であって、
前記状態情報は、認証プロセス実行中を示す第1状態、認証失敗を示す第2状態、認証成功を示す第3状態、及び非IEEE802.1xモバイル端末を示す第4状態の1つを含むことを特徴とする方法。
【請求項10】
無線ローカルエリアネットワークにおける端末装置と通信するアクセスポイントであって、
前記端末装置がIEEE802.1xプロトコルを利用しているか判断する手段を有し、
前記端末装置が前記プロトコルを利用していない場合、当該アクセスポイントは前記端末装置と互換性を有する認証手段を利用し、そうでない場合には、IEEE802.1xプロトコルを利用することを特徴とするアクセスポイント。
【請求項11】
請求項10記載のアクセスポイントであって、
前記判断する手段は、前記端末装置とRequest−IdentityEAPパケットを通信することからなり、前記モバイル端末が前記IEEE802.1xプロトコルを利用している場合、当該アクセスポイントはResponse−IdentityEAPパケットを受信することを特徴とするアクセスポイント。
【請求項12】
請求項11記載のアクセスポイントであって、さらに、
前記端末装置が前記プロトコルを利用していない場合、前記装置のHTTP要求をローカルサーバにリダイレクトするようIPパケットフィルタリングを設定する手段を有することを特徴とするアクセスポイント。
【請求項13】
請求項11記載のアクセスポイントであって、さらに、
IEEE802.1xプロトコル交換を通信する手段と、
当該アクセスポイントにより前記端末装置がIEEE802.1xクライアントを検出した場合、IEEE802.1xベースの認証プロセス中及び以降において、前記HTTPサーバが前記端末装置のアクセスを制御するため、状態情報とIPフィルタモジュールを介したIPパケットフィルタリングを確立する手段と、
を有することを特徴とするアクセスポイント。
【請求項14】
端末装置がIEEE802.1xプロトコルを利用しているか判断することにより、無線ローカルエリアネットワークにおける端末装置によるアクセスを制御する方法であって、
前記アクセスポイントにより、前記モバイル端末と識別要求を通信するステップと、
前記端末装置がIEEE802.1xプロトコルを利用している場合、前記識別要求を受付けるステップと、
そうでない場合、前記アクセスポイントにより、前記端末装置がIEEE802.1xに準拠していないと判断するステップと、
前記モバイル端末と互換性を有する認証機構を選択するステップと、
ことから構成されることを特徴とする方法。
【請求項15】
請求項14記載の方法であって、
前記アクセスポイントは、タイムアウト値以降にEAP識別応答パケットと受信しないとき、前記端末装置がIEEE802.1xに準拠していないと判断することを特徴とする方法。
【請求項16】
請求項15記載の方法であって、さらに、
前記アクセスポイントにより、前記端末装置がIEEE802.1xに準拠していないか検出し、IPパケットフィルタを設定し、ユーザのHTTP要求をローカルサーバにリダイレクトするステップを有することを特徴とする方法。
【請求項17】
請求項16記載の方法であって、さらに、
前記ローカルサーバにより、ブラウザベース認証に具体的に関連する情報を前記端末装置と通信するステップを有することを特徴とする方法。
【請求項18】
請求項17記載の方法であって、さらに、
前記アクセスポイントにより、前記端末装置が前記IEEE802.1xプロトコルを利用している場合、前記端末装置がIEEE802.1xに準拠していることを示す状態に遷移し、その後、前記IEEE802.1xプロトコルを用いてすべての通信を処理するステップを有することを特徴とする方法。
【請求項19】
請求項17記載の方法であって、さらに、
前記アクセスポイントにより、前記認証プロセスが失敗すると、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項20】
請求項14記載の方法であって、さらに、
前記アクセスポイントにより、前記端末装置がIEEE802.1xに準拠していない場合、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項21】
端末装置がIEEE802.1xプロトコルを利用しているか判断することにより、WLANにおける端末装置のアクセスを制御する方法であって、
アクセスポイントを介し前記モバイル端末と識別要求を通信するステップと、
前記端末装置がIEEE802.1xプロトコルを利用している場合、前記識別要求を受付けるステップと、
そうでない場合、前記アクセスポイントにより前記端末装置がIEEE802.1xに準拠していないことを判断するステップと、
前記端末装置と互換性を有する認証機構を選択するステップと、
から構成されることを特徴とする方法。
【請求項22】
請求項21記載の方法であって、さらに、
前記アクセスポイントにおいて、所定の時間後までにEAP識別応答パケットを受信しなかった場合、前記端末装置はIEEE802.1xに準拠していないと判断するステップを有することを特徴とする方法。
【請求項23】
請求項21記載の方法であって、さらに、
前記アクセスポイントにおいて、前記端末装置がIEEE802.1xに準拠していないと検出し、IPパケットフィルタを設定し、ユーザのHTTP要求をローカルサーバにリダイレクトするステップを有することを特徴とする方法。
【請求項24】
請求項23記載の方法であって、さらに、
前記ローカルサーバから前記端末装置にブラウザベース認証に具体的に関連する情報を通信するステップを有することを特徴とする方法。
【請求項25】
請求項22記載の方法であって、さらに、
前記アクセスポイントにおいて、前記端末装置がIEEE802.1xプロトコルを利用している場合、前記端末装置がIEEE802.1xプロトコルに準拠していることを示す状態に遷移し、その後、前記IEEE802.1xプロトコルを用いてすべての通信を処理するステップを有することを特徴とする方法。
【請求項26】
請求項25記載の方法であって、さらに、
前記アクセスポイントにおいて、前記認証プロセスが失敗した場合、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項27】
請求項21記載の方法であって、さらに、
前記アクセスポイントにおいて、前記端末装置がIEEE802.1xに準拠していない場合、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【特許請求の範囲】
【請求項1】
ユーザ端末による通信ネットワークへのアクセスを制御する方法であって、
前記ユーザ端末から前記通信ネットワークにアクセスする要求を受信するステップと、
前記ユーザ端末に識別要求メッセージを送信するステップと、
前記ユーザ端末が所定の認証プロトコルを利用している場合、前記ユーザ端末から前記識別要求メッセージ対する応答を受信するステップと、
前記識別要求メッセージに対する応答に応答して、前記ユーザ端末が前記所定の認証プロトコルを利用しているか判断するステップと、
前記ユーザ端末が前記所定の認証プロトコルと互換性を有しないと判断すると、前記通信へのユーザ端末のアクセスを可能にする前記ユーザ端末と互換性を有する認証機構を選択するステップと、
から構成されることを特徴とする方法。
【請求項2】
請求項1記載の方法であって、
前記ユーザ端末は、モバイル端末から構成され、
前記通信ネットワークは、IEEE802.11規格に準拠した無線ローカルエリアネットワーク(WLAN)から構成される、
ことを特徴とする方法。
【請求項3】
請求項2記載の方法であって、
前記選択するステップは、前記判断に応答して、前記WLANに接続された適切な認証サーバを選択することからなることを特徴とする方法。
【請求項4】
無線ローカルエリアネットワーク(WLAN)へのモバイル端末のアクセスを制御する方法であって、
前記モバイル端末から前記WLANにアクセスする要求を受信するステップと、
前記モバイル端末に識別要求メッセージを送信するステップと、
前記モバイル端末がIEEE802.1xプロトコルを利用している場合、前記モバイル端末から前記識別要求メッセージに対する応答を受信するステップと、
前記識別要求メッセージに対する応答に応答して、前記モバイル端末がIEEE802.1xプロトコルに準拠しているか判断するステップと、
前記判断に応答して、前記WLANへのモバイル端末のアクセスを可能にする前記モバイル端末と互換性を有する認証機構を選択するステップと、
から構成されることを特徴とする方法。
【請求項5】
請求項4記載の方法であって、さらに、
前記モバイル端末がIEEE802.1xに準拠する場合、認証要求を認証サーバに送信するステップと、
前記IEEE802.1xプロトコルを用いて認証応答を受信するステップと、
前記認証応答に応答して、前記WLANへのモバイル端末のアクセスを制御するステップと、
を有することを特徴とする方法。
【請求項6】
請求項4記載の方法であって、さらに、
前記モバイル端末がIEEE802.1xに準拠していない場合、HTTPサーバがブラウザベース認証を利用するため認証要求をリダイレクトするステップを有することを特徴とする方法。
【請求項7】
請求項6記載の方法であって、さらに、
前記認証要求を前記HTTPサーバにリダイレクトするようパケットフィルタリングモジュールを設定するステップを有することを特徴とする方法。
【請求項8】
請求項7記載の方法であって、さらに、
前記パケットフィルタリングモジュールと前記HTTPサーバによる利用のため、前記WLANに状態情報を維持するステップを有することを特徴とする方法。
【請求項9】
請求項8記載の方法であって、
前記状態情報は、認証プロセス実行中を示す第1状態、認証失敗を示す第2状態、認証成功を示す第3状態、及び非IEEE802.1xモバイル端末を示す第4状態の1つを含むことを特徴とする方法。
【請求項10】
無線ローカルエリアネットワークにおける端末装置と通信するアクセスポイントであって、
前記端末装置がIEEE802.1xプロトコルを利用しているか判断する手段を有し、
前記端末装置が前記プロトコルを利用していない場合、当該アクセスポイントは前記端末装置と互換性を有する認証手段を利用し、そうでない場合には、IEEE802.1xプロトコルを利用することを特徴とするアクセスポイント。
【請求項11】
請求項10記載のアクセスポイントであって、
前記判断する手段は、前記端末装置とRequest−IdentityEAPパケットを通信することからなり、前記モバイル端末が前記IEEE802.1xプロトコルを利用している場合、当該アクセスポイントはResponse−IdentityEAPパケットを受信することを特徴とするアクセスポイント。
【請求項12】
請求項11記載のアクセスポイントであって、さらに、
前記端末装置が前記プロトコルを利用していない場合、前記装置のHTTP要求をローカルサーバにリダイレクトするようIPパケットフィルタリングを設定する手段を有することを特徴とするアクセスポイント。
【請求項13】
請求項11記載のアクセスポイントであって、さらに、
IEEE802.1xプロトコル交換を通信する手段と、
当該アクセスポイントにより前記端末装置がIEEE802.1xクライアントを検出した場合、IEEE802.1xベースの認証プロセス中及び以降において、前記HTTPサーバが前記端末装置のアクセスを制御するため、状態情報とIPフィルタモジュールを介したIPパケットフィルタリングを確立する手段と、
を有することを特徴とするアクセスポイント。
【請求項14】
端末装置がIEEE802.1xプロトコルを利用しているか判断することにより、無線ローカルエリアネットワークにおける端末装置によるアクセスを制御する方法であって、
前記アクセスポイントにより、前記モバイル端末と識別要求を通信するステップと、
前記端末装置がIEEE802.1xプロトコルを利用している場合、前記識別要求を受付けるステップと、
そうでない場合、前記アクセスポイントにより、前記端末装置がIEEE802.1xに準拠していないと判断するステップと、
前記モバイル端末と互換性を有する認証機構を選択するステップと、
ことから構成されることを特徴とする方法。
【請求項15】
請求項14記載の方法であって、
前記アクセスポイントは、タイムアウト値以降にEAP識別応答パケットと受信しないとき、前記端末装置がIEEE802.1xに準拠していないと判断することを特徴とする方法。
【請求項16】
請求項15記載の方法であって、さらに、
前記アクセスポイントにより、前記端末装置がIEEE802.1xに準拠していないか検出し、IPパケットフィルタを設定し、ユーザのHTTP要求をローカルサーバにリダイレクトするステップを有することを特徴とする方法。
【請求項17】
請求項16記載の方法であって、さらに、
前記ローカルサーバにより、ブラウザベース認証に具体的に関連する情報を前記端末装置と通信するステップを有することを特徴とする方法。
【請求項18】
請求項17記載の方法であって、さらに、
前記アクセスポイントにより、前記端末装置が前記IEEE802.1xプロトコルを利用している場合、前記端末装置がIEEE802.1xに準拠していることを示す状態に遷移し、その後、前記IEEE802.1xプロトコルを用いてすべての通信を処理するステップを有することを特徴とする方法。
【請求項19】
請求項17記載の方法であって、さらに、
前記アクセスポイントにより、前記認証プロセスが失敗すると、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項20】
請求項14記載の方法であって、さらに、
前記アクセスポイントにより、前記端末装置がIEEE802.1xに準拠していない場合、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項21】
端末装置がIEEE802.1xプロトコルを利用しているか判断することにより、WLANにおける端末装置のアクセスを制御する方法であって、
アクセスポイントを介し前記モバイル端末と識別要求を通信するステップと、
前記端末装置がIEEE802.1xプロトコルを利用している場合、前記識別要求を受付けるステップと、
そうでない場合、前記アクセスポイントにより前記端末装置がIEEE802.1xに準拠していないことを判断するステップと、
前記端末装置と互換性を有する認証機構を選択するステップと、
から構成されることを特徴とする方法。
【請求項22】
請求項21記載の方法であって、さらに、
前記アクセスポイントにおいて、所定の時間後までにEAP識別応答パケットを受信しなかった場合、前記端末装置はIEEE802.1xに準拠していないと判断するステップを有することを特徴とする方法。
【請求項23】
請求項21記載の方法であって、さらに、
前記アクセスポイントにおいて、前記端末装置がIEEE802.1xに準拠していないと検出し、IPパケットフィルタを設定し、ユーザのHTTP要求をローカルサーバにリダイレクトするステップを有することを特徴とする方法。
【請求項24】
請求項23記載の方法であって、さらに、
前記ローカルサーバから前記端末装置にブラウザベース認証に具体的に関連する情報を通信するステップを有することを特徴とする方法。
【請求項25】
請求項22記載の方法であって、さらに、
前記アクセスポイントにおいて、前記端末装置がIEEE802.1xプロトコルを利用している場合、前記端末装置がIEEE802.1xプロトコルに準拠していることを示す状態に遷移し、その後、前記IEEE802.1xプロトコルを用いてすべての通信を処理するステップを有することを特徴とする方法。
【請求項26】
請求項25記載の方法であって、さらに、
前記アクセスポイントにおいて、前記認証プロセスが失敗した場合、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項27】
請求項21記載の方法であって、さらに、
前記アクセスポイントにおいて、前記端末装置がIEEE802.1xに準拠していない場合、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【特許請求の範囲】
【請求項1】
通信ネットワークへのアクセスを制御する方法であって、
前記通信ネットワークにアクセスする要求を受信するステップと、
識別要求メッセージを送信するステップと、
所定の認証プロトコルが利用されているか示す、前記識別要求メッセージに対する応答を受信するステップと、
前記識別要求メッセージに対する応答に基づき、前記所定の認証プロトコルを利用しているか判断するステップと、
すべての利用に基づき、前記通信ネットワークへのアクセスを許可する認証機構を選択するステップと、
から構成されることを特徴とする方法。
【請求項2】
請求項1記載の方法であって、
前記通信ネットワークは、IEEE802.11規格に準拠した無線ローカルエリアネットワーク(WLAN)から構成されることを特徴とする方法。
【請求項3】
請求項2記載の方法であって、
前記選択するステップは、前記判断に応答して、前記WLANに接続された適切な認証サーバを選択することからなることを特徴とする方法。
【請求項4】
請求項1記載の方法であって、
前記所定の認証プロトコルは、IEEE802.1xプロトコルであることを特徴とする方法。
【請求項5】
請求項4記載の方法であって、さらに、
前記WLANへのアクセスがIEEE802.1xに準拠している場合、認証サーバに認証要求を送信するステップと、
前記IEEE802.1xプロトコルを利用して認証応答を受信するステップと、
前記認証応答に基づき、前記WLANへのアクセスを制御するステップと、
を有することを特徴とする方法。
【請求項6】
請求項4記載の方法であって、さらに、
前記WLANへの要求されたアクセスがIEEE802.1xに準拠していない場合、ブラウザベース認証を利用するための認証要求をHTTPサーバにリダイレクトするステップを有することを特徴とする方法。
【請求項7】
請求項6記載の方法であって、さらに、
前記認証要求を前記HTTPサーバにリダイレクトするようパケットフィルタリングモジュールを設定するステップを有することを特徴とする方法。
【請求項8】
請求項7記載の方法であって、さらに、
前記パケットフィルタリングモジュールと前記HTTPサーバによる利用のため、前記WLANに状態情報を維持するステップを有することを特徴とする方法。
【請求項9】
請求項8記載の方法であって、
前記状態情報は、認証プロセス実行中を示す第1状態、認証失敗を示す第2状態、認証成功を示す第3状態、及びIEEE802.1xに準拠していないことを示す第4状態の1つを含むことを特徴とする方法。
【請求項10】
通信ネットワークに係るアクセスポイントであって、
前記通信ネットワークへのアクセスを試みる装置のアクセス要求が、IEEE802.1xプロトコルを利用しているか判断する手段を有し、
前記装置が前記IEEE802.1xプロトコルを利用していない場合、当該アクセスポイントは前記装置と互換性を有する認証手段を利用し、そうでない場合には、前記装置の認証のためIEEE802.1xプロトコルを利用することを特徴とするアクセスポイント。
【請求項11】
請求項10記載のアクセスポイントであって、
前記判断する手段は、前記装置とRequest−IdentityEAPパケットを通信することからなり、前記装置が前記IEEE802.1xプロトコルを利用している場合、当該アクセスポイントはResponse−IdentityEAPパケットを受信することを特徴とするアクセスポイント。
【請求項12】
請求項11記載のアクセスポイントであって、さらに、
前記装置が前記IEEE802.1xプロトコルを利用していない場合、前記装置のアクセス要求をローカルサーバにリダイレクトするようIPパケットフィルタを設定する手段を有することを特徴とするアクセスポイント。
【請求項13】
請求項10記載のアクセスポイントであって、さらに、
IEEE802.1xプロトコル交換を通信する手段と、
当該アクセスポイントにより前記装置がIEEE802.1xクライアントであると検出された場合、IEEE802.1xベースの認証中及び認証後、サーバがアクセスを制御するため、状態情報とIPフィルタモジュールを介したIPパケットフィルタリングを確立する手段と、
を有することを特徴とするアクセスポイント。
【請求項14】
通信ネットワークにおけるアクセスを制御する方法であって、
アクセスポイントにより、前記通信ネットワークにアクセスする要求を受信するステップと、
前記アクセスポイントにより、識別要求を通信するステップと、
前記アクセスポイントにより、前記識別要求の承認を受付けるステップと、
前記アクセスポイントにより、前記承認がIEEE802.1xに準拠しているか判断するステップと、
前記承認に互換する認証機構を選択するステップと、
ことから構成されることを特徴とする方法。
【請求項15】
請求項14記載の方法であって、さらに、
前記アクセスポイントにより、所定のタイムアウト値の後、前記アクセスポイントがEAP識別応答パケットを受信しないとき、前記アクセス要求がIEEE802.1xに準拠していないと判断するステップを有することを特徴とする方法。
【請求項16】
請求項15記載の方法であって、さらに、
前記アクセスポイントにより、IEEE802.1x非準拠を検出するステップと、
IPパケットフィルタを設定するステップと、
前記アクセス要求をローカルサーバにリダイレクトするステップと、
を有することを特徴とする方法。
【請求項17】
請求項16記載の方法であって、さらに、
前記ローカルサーバにより、ブラウザベース認証に具体的に関連する情報を通信するステップを有することを特徴とする方法。
【請求項18】
請求項17記載の方法であって、さらに、
前記アクセスポイントにより、IEEE802.1xに準拠していることを示す状態に遷移し、その後、前記IEEE802.1xプロトコルを用いてすべての通信を処理するステップを有することを特徴とする方法。
【請求項19】
請求項17記載の方法であって、さらに、
前記アクセスポイントにより、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【請求項20】
請求項14記載の方法であって、さらに、
前記アクセス要求がIEEE802.1xに準拠していない場合、ブラウザベース認証に対応する状態に遷移するステップを有することを特徴とする方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2006−520962(P2006−520962A)
【公表日】平成18年9月14日(2006.9.14)
【国際特許分類】
【出願番号】特願2006−507183(P2006−507183)
【出願日】平成16年3月12日(2004.3.12)
【国際出願番号】PCT/US2004/007805
【国際公開番号】WO2004/084464
【国際公開日】平成16年9月30日(2004.9.30)
【出願人】(501263810)トムソン ライセンシング (2,848)
【氏名又は名称原語表記】Thomson Licensing
【住所又は居所原語表記】46 Quai A. Le Gallo, F−92100 Boulogne−Billancourt, France
【Fターム(参考)】
【公表日】平成18年9月14日(2006.9.14)
【国際特許分類】
【出願日】平成16年3月12日(2004.3.12)
【国際出願番号】PCT/US2004/007805
【国際公開番号】WO2004/084464
【国際公開日】平成16年9月30日(2004.9.30)
【出願人】(501263810)トムソン ライセンシング (2,848)
【氏名又は名称原語表記】Thomson Licensing
【住所又は居所原語表記】46 Quai A. Le Gallo, F−92100 Boulogne−Billancourt, France
【Fターム(参考)】
[ Back to top ]