Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4195880B2 - ネットワークのアクセス管理 - Google Patents
[go: Go Back, main page]

JP4195880B2 - ネットワークのアクセス管理 - Google Patents

ネットワークのアクセス管理 Download PDF

Info

Publication number
JP4195880B2
JP4195880B2 JP2004547919A JP2004547919A JP4195880B2 JP 4195880 B2 JP4195880 B2 JP 4195880B2 JP 2004547919 A JP2004547919 A JP 2004547919A JP 2004547919 A JP2004547919 A JP 2004547919A JP 4195880 B2 JP4195880 B2 JP 4195880B2
Authority
JP
Japan
Prior art keywords
wireless terminal
network
access
information
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004547919A
Other languages
English (en)
Other versions
JP2006505183A (ja
Inventor
ロルフ マステ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj filed Critical Nokia Oyj
Publication of JP2006505183A publication Critical patent/JP2006505183A/ja
Application granted granted Critical
Publication of JP4195880B2 publication Critical patent/JP4195880B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/04Arrangements for maintaining operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、無線通信ネットワークに対する無線端末のアクセスを管理するためのアクセス管理システム、および無線端末の無線通信ネットワークへのアクセスを管理する方法に関する。
無線通信ネットワークは、従来技術において周知であり、様々な規模の地理的領域をカバーするようにデザインすることが可能である。既知の無線ネットワークの種類の一つに、無線ローカル・エリア・ネットワーク(WLAN)がある。このようなネットワークは、オフィス環境などの無線通信サービスを企業に提供するための環境で使用される。これは、比較的狭い領域をカバーすること、もしくは異なる場所に位置する一群の事業所をカバーすることができる。このようなネットワークは、互いに通信したり、企業のネットワークに接続された線を使用することなくインターネットにアクセスするようにユーザーがネットワークサービスを利用できることを目的としている。また、移動中のビジネスユーザーが遠隔から無線で企業のネットワーク(企業内イントラネット)またはインターネットに接続できることを目的とする、公衆無線LANを提供することも既知である。このようなネットワークは、空港やホテル、会議場などの多数の出張旅行客が訪れる場所に見られる。従って、LANのユーザーを企業従業員、またはその会場や場所の来訪者に限定することもできる。
WLANにおいて、アクセスポイント(AP)は無線端末にWLANへのアクセスを提供する。WLANネットワークの無線端末には、例えば携帯電話やPDA、ラップトップコンピュータなどの形態があり得る。アクセスポイントは、無線装置にネットワークへ参加する場を提供する。ユーザーが初めてネットワークへの接続を望む場合、そのユーザーは認証を受けておらず、ネットワークを使用するための認証手続きを行わなければならない。この手順の目的は、その会社が望まないユーザーによってネットワークが使用されることを防ぎ、かつ場合によっては課金するためである。ユーザーは、一度認証されると、利用可能なLANサービスの一部のみ、またはすべてを使用する許可が与えられる。例えば、あるユーザーのグループには特定のネットワークサーバーを使用する許可が与えられないことがある。認証および許可は、ユーザーには単一の処理のように見える。
一人のユーザーが一回に一箇所のアクセスポイントに接続し、このアクセスポイントでは、そのユーザーがネットワークを使用するための認証および許可を受けていることが認識されている。何らかの理由でこのアクセスポイントがダウンした場合、ユーザーを別のアクセスポイントへ接続する、すなわちユーザーをあるアクセスポイントから他のアクセスポイントへハンドオーバーする必要がある。これは、ユーザーがアクティブ接続の途中であり、ハンドオーバーに遅れが生じた、またはハンドオーバーの手順が誤って生じた場合に、ユーザーに対するサービスを喪失してしまうという問題を示している。
既知のWLANシステムでは、ユーザーが接続しているアクセスポイントがダウンした場合、(ハンドオーバーという目的のためにWLANカードが提供される)無線端末は、任意のアクティブ接続を持つユーザーを別のアクセスポイントへハンドオーバーすることを試みることになる。しかしながら、このユーザーは、この新しいアクセスポイント候補では認証および許可を与えられたユーザーとして認識されていない。再認証手続きを防ぐために、通常標準的なハンドオーバー手順に関与する2箇所のアクセスポイント(第1アクセスポイントはダウンしていない)において、ハンドオーバー手順を行う。これによって、第1アクセスポイントが第2アクセスポイントにそのユーザーが認証および許可を与えられていることを通知するので、サービスの喪失無く行うことができる。しかしながら、元のアクセスポイントがダウンした場合、この手順に関与することができない。その結果、新しいアクセスポイントは、そのユーザーが認証および許可された元のアクセスポイントから情報を受け取ることがないので、そのユーザーが以前認証されていたかどうかを調べる他の方法がなく、そのユーザーを認証されていないユーザー(最初の接触を試みている)とみなしてしまう。これは、ユーザーのネットワーク接続が喪失されたためにユーザーが再びこの認証手順を行わなければならないことを意味する。この状況では、ユーザーは再認証および再許可を受ける必要があり、これによりユーザーが一定の期間、サービスを喪失する結果となり、また場合によって再び資格情報の獲得や認証パラメータの入力が必要になるという不便を被ることになる。
この問題の既知の解決策の一つは、複製アクセスポイントを各アクセスポイントに設けることである。このようにして、複製アクセスポイントへのハンドオーバーの要求を受け取り次第、ユーザーが即座にネットワークへ接続できるように、ユーザーが認証および許可を与えられた複製アクセスポイントを識別する複製アクセスポイントに情報が格納される。この解決策の欠点は、作動している一方のアクセスポイントがダウンするまで複製アクセスポイントはアイドル状態であり、これは非効率的でかつリソースや機器が無駄になることである。
サービスを喪失することなく一つのアクセスポイントから別のアクセスポイントへユーザーをハンドオーバーするという問題のより有効な解決策を備えることが望ましい。
本発明の第1の側面によれば、無線端末の無線通信ネットワークへのアクセスを管理するためのアクセス管理システムであって、無線端末による前記ネットワークの使用を許可するためのアクセス制御ユニットと、前記アクセス制御ユニットによって使用が許可された場合に、前記無線端末が前記ネットワークへアクセスできるように構成されたアクセス要素と、前記無線端末が、前記ネットワークの使用を許可されたことを示す情報を受信および格納するように構成されたネットワーク手段とを有し、前記ネットワーク手段は、前記アクセス要素が前記無線端末に前記ネットワークへのアクセスを提供できない場合に、格納された前記情報を使用して前記無線端末が前記ネットワークの使用を許可されていることを判断し、許可されたことが判断されると前記無線端末に対して前記ネットワークへの別のアクセスを提供するように構成される、アクセス管理システムが提供される。
本発明の第2の側面によれば、無線端末の無線通信ネットワークへのアクセスを管理する方法であって、無線端末の前記ネットワークの使用を許可するかどうかを決定するステップと、使用が許可された場合に、前記無線端末へアクセス要素を経由する前記ネットワークへのアクセスを提供するステップと、ネットワーク手段を使用して、前記無線端末が前記ネットワークの使用を許可されていることを示す情報を受信および格納するステップとを有し、前記ネットワーク手段が、前記アクセス要素が前記無線端末に前記ネットワークへのアクセスを提供できない場合に、格納された前記情報を使用して前記無線端末が前記ネットワークの使用を許可されていることを判断し、許可されたことが判断されると前記無線端末に対して前記ネットワークへの別アクセスを提供するように構成される方法が提供される。
本発明の第3の側面によれば、無線端末に前記ネットワークへのアクセスを提供する無線通信ネットワークのためのネットワーク要素であって、無線端末が前記ネットワークの使用を許可されていることを示す情報を受信および格納するように構成された手段と、前記無線端末が前記ネットワークへの現在のアクセスではなく別のアクセスを要求した場合に、格納された前記情報を使用して前記無線端末が前記ネットワークの使用を許可されていることを判断するように構成された手段と、そのような判断がなされた後、前記無線端末に前記ネットワークへの別のアクセスを提供するように構成された手段とを有するネットワーク要素が提供される。
本発明の第4の側面によれば、無線通信ネットワークにアクセスすることを許可された無線端末のレジスタであって、無線端末が登録されているかどうかに関する、ネットワーク要素からのクエリーを受信するための手段と、このようなクエリーに応答して、前記無線端末が登録されているかどうかを判断するための手段と、前記無線端末が登録されていると判断された場合に、前記クエリーに応答して前記無線端末のセキュリティコードを前記ネットワーク要素に送信するための手段とを有するレジスタが提供される。
好適な実施形態の説明
以下、添付の図面を参照して、本発明の実施形態を、例のみを示すことで説明する。図において、同様の参照番号は、同様の部分を示す。
図1は、WLAN1の一部分およびその部分のシステム構成要素の一部を示す。ネットワーク1は、企業内イントラネットとして機能し、さらにユーザーのインターネットへのアクセスを可能にする。ネットワーク1は、多数のセルに分割され、参照番号4、6および8で示される。これらのセルはほぼ円形で示されているが、実際には、そのサービスエリアはサイトの配置によって変化する。各セル4、6、および8には、アクセスポイント(AP)が備えられ、セル4、6、および8においてそれぞれAP、APおよびAPとして示される。アクセスポイントは、ユーザーにネットワークへの接続を提供する。本実施例では、携帯情報端末(PDA)の接続が一例として示されるが、同様な方法でラップトップおよびWLANの使用が可能な携帯電話やポケベルなどのエンティティをネットワーク1に接続することもできる。
セル4、6、および8の規模および形状は、アクセスポイントおよび端末の出力と感度、またアクセスポイントが設置される場所の環境によって異なる。隣接するアクセスポイントも、同様にセルの規模に影響を与える。例えば、多くのユーザーが集中して企業サイトの特定の領域にあるネットワークへの接続を要求することが分かっている場合は、1箇所以上のアクセスポイントを各アクセスポイントが比較的狭い地理的領域に対応するように配置する。一方で、接続を要求するエンティティの使用が稀でありそうな場合は、ある地理的領域においてアクセスポイントを減らすことが可能である。従って、図1では、AP周辺にユーザーが集中すると予想されるので、セル8はセル4および6よりも狭くなっている。
任意のアクセスポイントの使用可能セル領域は1箇所以上のセルと重なり、どのユーザーがどのアクセスポイントを通じて接続するかという柔軟性を可能にする。これにより、アクセスポイントの過負荷と、結果として生じるサービス品質の容認できない低下を避けるために、アクセスポイントが対応する負荷に幅を持たせることが可能になる。特定のアクセスポイントが使用できない場合に、任意の場所から使用することができる別のアクセスポイントが常に存在するように、すべてのセルが重なるようになっている。
図1は、2台のPDA2である、PDAおよびPDA’を示す。このPDAは、セル4と6の両方の内側に位置しており、従ってアクセスポイントAPまたはAPのどちらかを通じてネットワーク1に接続することができる。PDA’はセル8内にのみ位置しているので、ほとんどの場合アクセスポイントAPに接続されることになる。しかしながら、セル6の周縁部からそれほど遠く離れていないので、必要に応じて、また容量割り当てが許容すればAPを使用することができる。
ここで、説明の便宜上PDA2、APおよびAPだけを示した図2を参照する。アクセスコントローラ(AC)10に接続される2箇所のアクセスポイントが示されている。このAC10は、インターネットと、無線LANに接続している無線局との間のゲートウェイとして作用し、AC10が機能するすべてのアクセスポイントに対しネットワーク1の全域への接続を提供する。AC10は、ユーザーがネットワーク1の使用を許可されたかどうかを判断し、アクセスポイントに通知する役割も果たす。AC10は、ネットワーク1を通して、そのネットワークを使用するための認証および許可を与えられたすべてのユーザーの詳細を格納する認証サーバ(AS)12にアクセスすることができる。このAS12は、企業従業員、来訪者および他の情報を把握する他のレジスタと共に使用されることがあるが、これらの詳細は本発明とは密接な関係がない。更に、AC10はAS以外の手段を使用して、ユーザーのネットワーク1の使用を許可すべきかどうかを判断することができる。
ここでは、ネットワーク1への接続を希望するPDA2の状況から開始する。図1から分かるように、PDA2はAPおよびAP双方のセル4、6内にある。ここで、PDA2がAPを通してネットワーク1への接続を試みると仮定する。信号配列は、図3において番号が付けられている。信号は2つのセクションに分割され、第1のセクションが「PDA2の第1接続」である。この第1のセクションの信号は、次のように説明することができる。

20 PDA2は接続要求信号をAPに送信し、その信号にはPDA2を識別する情報が含まれている。
22 APはこの信号を受信し、AC10へPDA2の識別情報を通知する信号を送信し、PDA2がネットワーク1への接続を許可されているかどうかを問い合わせる。
24 AC10は、PDA2がリストに記載された(または登録された)ユーザーであるかどうかを問い合わせる信号をAS12に送信する。
26 このクエリーに応答して、AS12はPDA2がリストに記載されているかどうかを判断し、マスタ暗号鍵Kiを含む応答を返す。
28 AC10は、これでPDA2のネットワーク使用を許可するかどうかを決定することができる。例えば、PDA2がリストに記載されていなかった場合、この判断は現在のネットワークの容量に従って行われることもある。この場合、PDA2はリストに記載されたユーザーであるため、AC10はPDA2のネットワーク1への接続を許可する決定を行う。
30 AC10は、この決定を通知する信号をAPに送信し、次いでPDA2が接続できるようにする。またAC10は、そのユーザーがどのネットワークサービスの使用許可を与えられたのかもPDA2に通知してもよい。例えば、そのユーザーがネットワーク1内の特定のファイルやサービスにアクセスすることを許可されないこともある。この信号は、マスタ暗号鍵Kiを渡す。
32 マスタ暗号鍵は、APによってPDA2に送信される。更にAPは、AC10へハンドオーバーデータ(HOD)と共に、マスタ暗号鍵Kiを送信する。このデータには、PDA2を識別する情報、PDA2がネットワークの使用を許可されたことを示す情報、および場合によってはPDA2がどのネットワークサービスの使用許可を与えられたのかを示す情報が含まれる。
33 AC10は、APによって送信されたHODおよびマスタ暗号鍵を格納する。実際には、任意のユーザーがWLAN1の使用の認証および許可を与えられるたびに、充分な詳細情報がAC10に格納される。AC10が、ネットワーク1の規模によりネットワーク1全体、または少なくともその一部のいずれかの中央ネットワーク要素であるため、このユーザー情報を格納するのに適した場所である。このAC10は、大量のデータを格納できる容量を有しており、従ってこのタスクにとって非常に便利である。
AC(10)は、更に鍵Kiおよび乱数を使用してPDA2の認証番号を計算する手順を実行する。その認証番号および乱数もAC10に格納される。
APはAC10に接続しているので、例えば電子メールを受信するために、当技術分野で周知のように、PDA2のユーザー接続をネットワーク1全体に確立することができる。しかしながら、APがダウンした場合、ネットワークとPDA2との間の接続を直ちに提供できなくなり、PDA2はそのネットワークへの別のアクセスポイントを捜さなければならない。この状況が生じた場合の信号を図3「H/O」の第2セクションで示し、以下のように説明することができる。

34 APがダウンして、その結果PDA2にネットワーク1へのアクセスを提供できなくなる(36)。
38 PDA2は、ハンドオーバー要求信号を次に最も近いアクセスポイント、この場合はAPに送信する。ハンドオーバー要求には、PDA 2を識別する情報が含まれている。
従来技術のシステムでは、APがダウンしており、APにそのユーザーが認証および許可を与えられていることを通知できないので、APは接続を提供するユーザーの一人としてPDA2を認識しなくなる。従って、PDA2はAC10およびAS12を経由して上述の許可および認証手順を経なければならない。これは、PDA2のユーザーが一定の時間、サービスを喪失する結果になり、ユーザーがアクティブ接続の途中であれば、最も不便を被ることになる。
対照的に、この実施例では以下の信号伝達手順が生じる。

40 APは、PDA2を識別する情報を含むハンドオーバー要求をAC10に渡す。
42 AC10は、自身の記録からPDA2が認証されたユーザーであることを確認する。
44 AC10は、次いで、格納された乱数をPDA2に(APを経由して)送信し、PDA2の認証チェックを行う。PDA2は、乱数および鍵Kiを使用して認証番号を計算し、その認証番号を(APを経由して)AC10へ送り返す。この場合、その認証番号は適正である。PDA2が実際に許可を与えられたユーザーではないが、PDA2のユーザー情報を使用してネットワークにアクセスしようとした場合、適切な鍵Kiを有しておらず、従って認証番号を適切に計算することができない。結果的に、アクセスが拒否されることになる。
46 この場合の認証番号は適正であるので、AC10は即時にそれをAPに通知してマスタ暗号鍵KiをAPに渡し、場合によっては同時にPDA2がどのネットワークサービスの使用許可を与えられたのかを通知する。
48 従って、ユーザーが再認証され、図3(PDA2の第1接続)の第1セクションを参照した上述のごとく、ユーザー自身を再認証させることなくAPはPDA2にネットワークへの接続を提供できる。ユーザーがAC10への参照によって一旦再認証されていれば、そのクライアントであるPDA2はAPからそのユーザーが承認されていることを通知され、APがダウンする前の場所からアプリケーションを継続することができる。
PDA2の詳細の格納は、AC10以外のネットワーク要素によって行うことができる。例えば、このタスクまたはAPおよびAPなどの1箇所以上の他のアクセスポイントを受け持つサーバによって行うことができる。後者の実施においては、それらのアクセスポイントがサービスの喪失無しでネットワーク1へのアクセスをすぐにユーザーへ許可できるように、多数のユーザーが2箇所以上のアクセスポイントに詳細を格納させることができる。この実施では、従来技術で必要とされた基本的な最小数を越える数箇所の追加のアクセスポイントが必要になるが、これらのアクセスポイントはアクセスポイント数が2倍未満(従来技術のシステムでの複製アクセスポイントなどの場合)になるように効率よく配置したり、すべてのアクセスポイントがWLANの容量に寄与する任意の経路に配置することができる。
暗号鍵の使用は本発明の運用には必須ではないが、このようなキーや他のセキュリティデータの使用により、ネットワークの無許可の使用に対する追加のセキュリティ層を提供することになる。暗号鍵は、セキュリティを提供する唯一の方法ではなく、セキュリティ・アソシエーション・データ(SAD)の他の形態も使用可能である。
従って、本発明の実施には他の機能を有するネットワーク要素のみが使用されるため、この実施例には、アクセスポイントの複製が必要でない数種類の既知のシステム以上の、容量を提供するという、利点がある。結果的に、一箇所のアクセスポイントの機能停止では、1ユーザー以上へのサービスの停止にはならず、むしろ最大容量の減少を意味することになる。実際には、ネットワークの容量が完全に使用されることはないので、ユーザーがアクセスポイントの機能停止に気付くことはない。
上述の本実施例での運用方法は、同等のネットワーク要素を使用してWLAN以外のネットワークに適用することもできる。更に、上述の特定のもの以外のネットワーク要素をWLANにおける実施例の実装に使用することができる。
多数のアクセスポイント・セルを組み入れたWLANの一部分の平面図を示す。 ネットワークへの接続を必要としている移動局を含む、WLANの要素の図式的な配置を示す。 本発明の図式的な信号伝達線図である。

Claims (19)

  1. 複数のセルに分割された無線通信ネットワークへの無線端末によるアクセスを管理するためのアクセス管理システムであって、
    ネットワーク要素と、
    第1の無線端末が前記ネットワークにおいて認証されたユーザであることを示す情報を前記ネットワーク要素に提供する認証サーバと、
    前記複数のセルの1つに関連すると共に、前記第1の無線端末前記ネットワークへアクセスを提供するように構成されたアクセス要素と、
    を有し、
    前記ネットワーク要素は、前記第1の無線端末が前記ネットワークにおいて認証されたユーザであることを決定するために必要な第1の情報と、自分自身を前記第1の無線端末であると称する無線端末が前記第1の無線端末であることをチェックするための第2の情報とを格納するように構成され、
    さらに前記ネットワーク要素は、自分自身を前記第1の無線端末であると称する無線端末から、他のアクセス要素を介して前記ネットワークへアクセスするためのハンドオーバ要求を受信し、前記格納した第1の情報を用いて前記第1の無線端末が前記ネットワークにおいて認証されたユーザであることを決定し、前記第2の情報を用いて前記ハンドオーバ要求が前記第1の無線端末からのものであることをチェックし、自分自身を前記第1の無線端末であると称する前記無線端末へ、前記他のアクセス要素を介した前記ネットワークへのアクセスを許可するように構成される、
    アクセス管理システム。
  2. 前記ネットワーク要素が、前記認証サーバへ再アクセスすることを必要とせずに、前記他のアクセス要素を介した前記ネットワークへのアクセスを前記第1の無線端末へ提供するように構成された、請求項1に記載のアクセス管理システム。
  3. 前記第2の情報が、セキュリティ・アソシエーション・データを有する、請求項1に記載のアクセス管理システム。
  4. 前記第2の情報が、暗号鍵を有する、請求項1に記載のアクセス管理システム。
  5. 前記ネットワークが、ローカル・エリア・ネットワークである、請求項1に記載のアクセス管理システム。
  6. ネットワーク要素において、第1の無線端末が無線通信ネットワークにおいて認証されたユーザであることを示す情報を、認証サーバから受信することと、
    前記ネットワーク要素において、前記第1の無線端末が前記ネットワークにおいて認証されたユーザであることを決定するために必要な第1の情報と、自分自身を前記第1の無線端末であると称する無線端末が前記第1の無線端末であることをチェックするための第2の情報とを格納するように構成され、
    前記ネットワーク要素において、自分自身を前記第1の無線端末であると称する無線端末から、他のアクセス要素を介して前記ネットワークへアクセスするためのハンドオーバ要求を受信することと、
    前記ネットワーク要素において、該ネットワーク要素に格納した前記第1の情報を用いて前記第1の無線端末が前記ネットワークにおいて認証されたユーザであることを決定することと、
    前記ネットワーク要素において、該ネットワーク要素に格納した前記第2の情報を用いて前記ハンドオーバ要求が前記第1の無線端末からのものであることをチェックすることと、
    自分自身を前記第1の無線端末であると称する前記無線端末へ、前記他のアクセス要素を介した前記ネットワークへのアクセスを許可することと、
    を含む方法。
  7. 無線端末に無線通信ネットワークへのアクセスを提供するアクセス要素にそれぞれ関連せしめられた複数のセルに分割されている、該無線通信ネットワークのネッ トワーク要素において用いられる装置であって
    第1の無線端末が前記ネットワークにおいて認証されたユーザであることを示す情報を認証サーバから受信するように構成された手段と、
    前記第1の無線端末が前記ネットワークにおいて認証されたユーザであることを決定するために必要な第1の情報と、自分自身を前記第1の無線端末であると称する無線端末が前記第1の無線端末であることをチェックするための第2の情報とを格納するように構成された手段と、
    自分自身を前記第1の無線端末であると称する無線端末から、他のアクセス要素を介して前記ネットワークへアクセスするためのハンドオーバ要求を受信し、前記格納された第1の情報を用いて前記第1の無線端末が前記ネットワークにおいて認証されたユーザであることを決定し、前記第2の情報を用いて前記ハンドオーバ要求が前記第1の無線端末からのものであることをチェックし、自分自身を前記第1の無線端末であると称する前記無線端末へ、前記他のアクセス要素を介した前記ネットワークへのアクセスを許可するように構成される手段と、
    を有する装置
  8. 前記第2の情報がセキュリティデータである、請求項に記載の装置
  9. 前記セキュリティデータが、セキュリティ・アソシエーション・データを有する、請求項に記載の装置
  10. 前記セキュリティデータが、暗号鍵を有する、請求項に記載の装置
  11. 前記ハンドオーバ要求が前記第1の無線端末からのものであることをチェックするための前記第2の情報の使用は、前記暗号鍵を使用して前記無線端末の認証番号を計算することを含む、請求項10に記載の装置
  12. 自分自身を前記第1の無線端末であると称する前記無線端末へ、前記他のアクセス要素を介した前記ネットワークへのアクセスを許可することは、前記ネットワークのその他如何なる部分からも許可を得ることなく行われる、請求項に記載の装置
  13. 請求項に記載の装置を備えるアクセスコントローラ
  14. 前記第2の情報がセキュリティデータである、請求項6に記載の方法。
  15. 前記セキュリティデータが、セキュリティ・アソシエーション・データを有する、請求項14に記載の方法。
  16. 前記セキュリティデータが、暗号鍵を有する、請求項14に記載の装置。
  17. 前記ハンドオーバ要求が前記第1の無線端末からのものであることをチェックするために前記第2の情報を使用することは、前記暗号鍵を使用して前記無線端末の認証番号を計算することを含む、請求項16に記載の方法。
  18. 自分自身を前記第1の無線端末であると称する前記無線端末へ、前記他のアクセス要素を介した前記ネットワークへのアクセスを許可することは、前記ネットワークのその他如何なる部分からも許可を得ることなく行われる、請求項6に記載の方法。
  19. 前記ネットワーク要素がアクセスコントローラである、請求項6に記載の方法。
JP2004547919A 2002-11-01 2003-10-28 ネットワークのアクセス管理 Expired - Fee Related JP4195880B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/285,685 US20040088550A1 (en) 2002-11-01 2002-11-01 Network access management
PCT/IB2003/004850 WO2004040937A1 (en) 2002-11-01 2003-10-28 Network access management

Publications (2)

Publication Number Publication Date
JP2006505183A JP2006505183A (ja) 2006-02-09
JP4195880B2 true JP4195880B2 (ja) 2008-12-17

Family

ID=32175221

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004547919A Expired - Fee Related JP4195880B2 (ja) 2002-11-01 2003-10-28 ネットワークのアクセス管理

Country Status (5)

Country Link
US (1) US20040088550A1 (ja)
EP (1) EP1557064A1 (ja)
JP (1) JP4195880B2 (ja)
AU (1) AU2003274514A1 (ja)
WO (1) WO2004040937A1 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US20040236939A1 (en) * 2003-02-20 2004-11-25 Docomo Communications Laboratories Usa, Inc. Wireless network handoff key
US7620027B2 (en) * 2003-03-14 2009-11-17 Canon Kabushiki Kaisha Communication system, information processing device, connection device, and connection device designation method for designating connection device for communication device to connect to
CN1549482B (zh) * 2003-05-16 2010-04-07 华为技术有限公司 一种实现高速率分组数据业务认证的方法
JP2005109823A (ja) * 2003-09-30 2005-04-21 Nec Corp レイヤ2スイッチ装置、無線基地局、ネットワークシステム、および無線通信方法
US7142848B2 (en) * 2004-02-26 2006-11-28 Research In Motion Limited Method and system for automatically configuring access control
GB0413080D0 (en) * 2004-06-11 2004-07-14 Nokia Corp An access controller
US20060010367A1 (en) * 2004-07-09 2006-01-12 Juergen Sattler System and method for spreadsheet data integration
US20060010118A1 (en) * 2004-07-09 2006-01-12 Juergen Sattler System and method for role-based spreadsheet data integration
JP6113079B2 (ja) * 2011-01-20 2017-04-12 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. 認知無線装置の認証及び認可
JP5701715B2 (ja) * 2011-08-12 2015-04-15 株式会社東芝 エネルギー管理装置、電力管理システムおよびプログラム
KR101945779B1 (ko) * 2012-09-20 2019-02-11 삼성전자주식회사 웨이크 온 무선랜을 운용하는 방법 및 장치
CN105101349A (zh) * 2015-05-12 2015-11-25 中兴通讯股份有限公司 一种无线局域网的接入控制方法及装置、终端
US12021754B2 (en) 2021-02-24 2024-06-25 Cisco Technology, Inc. Enforcing consent contracts to manage network traffic
US12301729B2 (en) * 2021-02-24 2025-05-13 Cisco Technology, Inc. Centralized consent vendors for managing network-based consent contracts
US12184661B2 (en) 2021-02-24 2024-12-31 Cisco Technology, Inc. Creating network-based consent contracts
US12309268B2 (en) 2021-02-24 2025-05-20 Cisco Technology, Inc. Indicating network-based consent contracts using packet-level data

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100212029B1 (ko) * 1996-08-29 1999-09-01 서평원 무선 랜에서의 스테이션 위치 이동방법
WO1998031161A2 (en) * 1997-01-11 1998-07-16 Tandem Computers, Incorporated Method and apparatus for automated a-key updates in a mobile telephone system
US6651105B1 (en) * 1998-11-12 2003-11-18 International Business Machines Corporation Method for seamless networking support for mobile devices using serial communications
US6418130B1 (en) * 1999-01-08 2002-07-09 Telefonaktiebolaget L M Ericsson (Publ) Reuse of security associations for improving hand-over performance
US6580699B1 (en) * 1999-03-29 2003-06-17 Nortel Networks Limited Method for updating an R-P connection for a roaming mobile station
US6697620B1 (en) * 1999-06-24 2004-02-24 Hewlett-Packard Development Company, L.P. Method and system for providing telecommunication services across networks that use different protocols
US7010699B1 (en) * 2000-06-12 2006-03-07 Lucent Technologies Inc Apparatus, method and system for providing a default mode for authentication failures in mobile telecommunication networks
US6681115B1 (en) * 2000-08-14 2004-01-20 Vesuvius Inc. Communique subscriber handoff between a narrowcast cellular communication network and a point-to-point cellular communication network
US6876747B1 (en) * 2000-09-29 2005-04-05 Nokia Networks Oy Method and system for security mobility between different cellular systems
US8078730B2 (en) * 2000-12-22 2011-12-13 Rockstar Bidco, LP System, device, and method for maintaining communication sessions in a communication system
US20020136226A1 (en) * 2001-03-26 2002-09-26 Bluesocket, Inc. Methods and systems for enabling seamless roaming of mobile devices among wireless networks
AU2002343424A1 (en) * 2001-09-28 2003-04-14 Bluesocket, Inc. Method and system for managing data traffic in wireless networks
JP3870081B2 (ja) * 2001-12-19 2007-01-17 キヤノン株式会社 通信システム及びサーバ装置、ならびに制御方法及びそれを実施するためのコンピュータプログラム、該コンピュータプログラムを格納する記憶媒体
US6990343B2 (en) * 2002-03-14 2006-01-24 Texas Instruments Incorporated Context block leasing for fast handoffs
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US7373508B1 (en) * 2002-06-04 2008-05-13 Cisco Technology, Inc. Wireless security system and method

Also Published As

Publication number Publication date
AU2003274514A1 (en) 2004-05-25
EP1557064A1 (en) 2005-07-27
JP2006505183A (ja) 2006-02-09
US20040088550A1 (en) 2004-05-06
WO2004040937A1 (en) 2004-05-13

Similar Documents

Publication Publication Date Title
JP4195880B2 (ja) ネットワークのアクセス管理
US8275370B2 (en) Systems and methods for subscriber profile management
US8145193B2 (en) Session key management for public wireless LAN supporting multiple virtual operators
JP3776705B2 (ja) 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法
KR100945972B1 (ko) 코어 기반 노드를 사용하여 상태를 전송하기 위한 향상된 기술들
JP4504805B2 (ja) 無線通信ローカルエリアネットワークへのアクセスを制御するための方法および装置
US20030084287A1 (en) System and method for upper layer roaming authentication
US20060146767A1 (en) Method and apparatus for providing same session switchover between end-user terminals
JPH1066158A (ja) アクセス制御システムに対するセキュリティ
US20030061363A1 (en) Systems and methods for managing network connectivity for mobile users
US7835724B2 (en) Method and apparatus for authenticating service to a wireless communications device
JP2005528851A5 (ja)
CN104519020A (zh) 管理无线网络登录密码分享功能的方法、服务器及系统
US20060281457A1 (en) Authentication of mobile stations
JPH09152990A (ja) アクセス制御システムおよびアクセス制御方法
US7149805B2 (en) Wireless trusted point of access to a computer network
CN109743329A (zh) 一种账号处理方法及装置
WO2002089407A2 (en) Accounting in peer-to-peer data communication networks
US7788707B1 (en) Self-organized network setup
KR20100072973A (ko) 무선망 접속 서비스를 위한 정책기반 접속 인증 방법
US9232078B1 (en) Method and system for data usage accounting across multiple communication networks
CN107786937B (zh) 移动终端本地化漫游的实现方法、移动终端及漫游服务器
US20060116109A1 (en) Pre-authenticated message delivery for wireless local area networks
CN101137222A (zh) 一种接入鉴权处理方法和系统及装置
KR100948184B1 (ko) 무선 근거리 통신망에서의 인증 시스템 및 그 방법

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080314

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080922

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080929

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111003

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees