[go: up one dir, main page]

JP5276593B2 - System and method for obtaining network credentials - Google Patents

System and method for obtaining network credentials Download PDF

Info

Publication number
JP5276593B2
JP5276593B2 JP2009527412A JP2009527412A JP5276593B2 JP 5276593 B2 JP5276593 B2 JP 5276593B2 JP 2009527412 A JP2009527412 A JP 2009527412A JP 2009527412 A JP2009527412 A JP 2009527412A JP 5276593 B2 JP5276593 B2 JP 5276593B2
Authority
JP
Japan
Prior art keywords
network
credential request
credential
digital device
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009527412A
Other languages
Japanese (ja)
Other versions
JP2010503319A (en
JP2010503319A5 (en
Inventor
ウィン,サイモン
ゴードン,ジョン
Original Assignee
デバイススケープ・ソフトウェア・インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デバイススケープ・ソフトウェア・インコーポレーテッド filed Critical デバイススケープ・ソフトウェア・インコーポレーテッド
Publication of JP2010503319A publication Critical patent/JP2010503319A/en
Publication of JP2010503319A5 publication Critical patent/JP2010503319A5/ja
Application granted granted Critical
Publication of JP5276593B2 publication Critical patent/JP5276593B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Description

本発明は、概して通信ネットワークへのアクセスに関する。より詳細に述べれば、本発明は、無線通信ネットワークの自動アクセスに関する。   The present invention relates generally to access to communication networks. More particularly, the present invention relates to automatic access of wireless communication networks.

情報にアクセスするためのネットワークの使用の増加は、多様な活動のための通信ネットワークへのより大きな依存を結果として招いた。この依存には、ネットワーク・アクセスが遍在することになろうという期待のふくらみが付属する。モバイル・ユーザのためのネットワーク・アクセスは、特に、無線テクノロジにおける改善によって強化されてきた。多様なセルラ(たとえば、GSM、CDMA、およびそれらの類)、ワイファイ(Wi‐Fi)(すなわちIEEE 802.11)、ワイマックス(WiMAX)(すなわちIEEE 802.16)、およびそのほかのテクノロジが、潜在的ネットワーク・ユーザのための広範なアクセス・オプションを可能にした。多くの無線アクセス・ポイントまたは『ホットスポット』は、局所的な地理的領域でのみアクセス可能であり、場合によっては、特定のビジネスまたはそのほかのアドレス程度にまで狭められる。加えて、戦略的に配置されたホットスポットは、人々の多様なグループのための公衆または専用ネットワーク・アクセスを提供することができる。   The increased use of networks to access information has resulted in greater reliance on communication networks for diverse activities. This dependency comes with a bulge of expectations that network access will be ubiquitous. Network access for mobile users has been particularly enhanced by improvements in wireless technology. Various cellular (eg, GSM, CDMA, and the like), Wi-Fi (ie, IEEE 802.11), WiMAX (ie, IEEE 802.16), and other technologies have potential Enabled a wide range of access options for intelligent network users. Many wireless access points or “hot spots” are accessible only in a local geographic area, and in some cases are narrowed to a specific business or other address. In addition, strategically located hotspots can provide public or private network access for diverse groups of people.

ホットスポットの所有者または管理者は、しばしば、ユーザのアクセスを可能にするためにパスワードおよびその類を要求する。その結果として、複数のホットスポットのユーザは、多数のパスワードをストアし、記憶し、またはそのほかの方法で管理しなければならないことがある。多くのユーザは、ホットスポットへのアクセスに使用するラップトップ・コンピュータ上に自分のパスワードをストアすることがある。しかしながら、ホットスポットにアクセスする能力のあるすべてのデバイスがラップトップ・コンピュータではなく、現在は、携帯電話、携帯情報端末(PDA)、および多くのそのほかのデバイスが、無線アクセスの能力を有する。残念ながらしばしばユーザは、デバイス上にパスワードを入力すること、またはデバイス内にパスワードをストアすることを容易になし得ない。たとえば、無線アクセスの能力のあるいくつかのデバイスは、キーボードを有していないことがある。デバイスがキーボードを含む場合であっても、当該キーボードは、しばしば小さく、しかも機能の限られたものであることがあり、指先の器用さが限られたユーザにとっては特にそうなる。   Hotspot owners or managers often require passwords and the like to allow user access. As a result, multiple hotspot users may have to store, store, or otherwise manage multiple passwords. Many users store their passwords on the laptop computer that they use to access the hotspot. However, not all devices capable of accessing hotspots are laptop computers, and now mobile phones, personal digital assistants (PDAs), and many other devices have wireless access capabilities. Unfortunately, users often cannot easily enter a password on the device or store the password in the device. For example, some devices capable of wireless access may not have a keyboard. Even when the device includes a keyboard, the keyboard is often small and limited in functionality, especially for users with limited fingertip dexterity.

ユーザがラップトップ・コンピュータ上にパスワードをストアするとき、そのユーザは最初にラップトップ・コンピュータに近づき、かつ当該コンピュータ内に正しいパスワードをストアしなければならない。パスワードの変更時には、そのユーザに、そのコンピュータ内におけるパスワードの更新が要求される。加えて、デバイス内にユーザ名およびパスワードをストアさせることは、当該デバイスの紛失または盗難があった場合にセキュリティ問題を呈示する。   When a user stores a password on a laptop computer, the user must first approach the laptop computer and store the correct password in the computer. When changing the password, the user is required to update the password in the computer. In addition, storing a username and password in the device presents a security issue if the device is lost or stolen.

さらに、ユーザは、通常、ネットワーク・アクセスを獲得するために、パスワード、ユーザ名を入力し、またウェブ・サイトを渡り歩くことが要求される。このプロセスは、時間を要し、かつユーザが誤った情報を入力することがあり、またデータの再入力が強要される。   In addition, users are typically required to enter passwords, usernames, and to navigate web sites to gain network access. This process is time consuming and the user may enter incorrect information and is forced to re-enter data.

ユーザがパスワードをマニュアル入力するときは、難しいパスワードをあまり記憶しようとしない。その結果、単純なパスワードアクセスおよび暗号化されないアクセスがハッキングを受けやすく、そのユーザのネットワーク・アクセス、ホットスポット、および/またはそのユーザの個人情報を危険にさらすことがある。さらに、ユーザの単純なパスワードがハッキングされるか、または単純に推測された場合には、そのユーザのネットワーク・アクセスが盗まれることもある。   When users manually enter passwords, they do not try to remember too many difficult passwords. As a result, simple password access and unencrypted access are susceptible to hacking, which may compromise the user's network access, hotspots, and / or the user's personal information. Furthermore, if a user's simple password is hacked or simply guessed, the user's network access may be stolen.

ネットワーク・アクセスについてのネットワーク信用証明書を獲得するための例示的な方法およびシステムが述べられている。この例示的な方法は、通信ネットワーク上のネットワーク・デバイスからネットワーク構成情報を受信すること、信用証明書要求を生成すること、信用証明書要求を信用証明書サーバに、ネットワーク・デバイスの標準プロトコルを介して送信すること、信用証明書要求応答を受信すること、および信用証明書要求応答からのネットワーク信用証明書を、通信ネットワークにアクセスするためにネットワーク・デバイスに提供することを包含する。   Exemplary methods and systems for obtaining network credentials for network access are described. This exemplary method includes receiving network configuration information from a network device on a communication network, generating a credential request, sending the credential request to a credential server, and using the network device's standard protocol. And receiving the credential request response and providing the network credential from the credential request response to the network device for accessing the communication network.

さらにこの方法は、信用証明書要求を暗号化すること、信用証明書要求応答を復号化(平文化)すること、および信用証明書要求をディジタル署名することを包含できる。標準プロトコルは、DNSオーバー・ユーザ・データグラム・プロトコル(UDP)とすることができる。さらに、信用証明書要求は、ディジタル・デバイス識別子(DDID)およびネットワーク構成情報のうちの少なくともいくつかに基づくことができる場所(ロケーション)識別子を包含できる。   Further, the method can include encrypting the credential request, decrypting the credential request response (plain culture), and digitally signing the credential request. The standard protocol may be the DNS over user datagram protocol (UDP). Further, the credential request can include a location identifier that can be based on at least some of a digital device identifier (DDID) and network configuration information.

信用証明書要求応答は、当該信用証明書要求応答をキャッシュさせないコマンドを包含できる。信用証明書要求応答からの信用証明書を提供することは、ネットワーク・アクセス・ページを分析すること、およびネットワーク・アクセス・ページ内のフォーム情報を書き込むことを包含できる。   The credential request response can include a command that does not cause the credential request response to be cached. Providing credentials from a credential request response can include analyzing the network access page and writing form information in the network access page.

ネットワーク信用証明書を獲得するための例示的なシステムは、ネットワーク・モジュール、信用証明書要求モジュール、信用証明書エンジン、およびネットワーク・アクセス・エンジンを包含できる。ネットワーク・モジュールは、通信ネットワーク上のネットワーク・デバイスからネットワーク構成情報を受信するべく、かつネットワーク・デバイスの標準プロトコルを介して信用証明書要求を信用証明書サーバに送信するべく構成できる。信用証明書要求モジュールは、信用証明書要求を生成するべく構成できる。信用証明書エンジンは、信用証明書要求応答を受信するべく構成できる。ネットワーク・アクセス・エンジンは、信用証明書要求応答からのネットワーク信用証明書を、通信ネットワークにアクセスするためにネットワーク・デバイスに提供するべく構成できる。   An exemplary system for obtaining a network credential can include a network module, a credential request module, a credential engine, and a network access engine. The network module can be configured to receive network configuration information from network devices on the communication network and to send a credential request to the credential server via the network device standard protocol. The credential request module can be configured to generate a credential request. The credential engine can be configured to receive a credential request response. The network access engine can be configured to provide network credentials from the credential request response to the network device for accessing the communication network.

例示的なコンピュータ可読媒体は、その上にプログラムを収録しているものとすることができる。当該プログラムは、ネットワーク信用証明書を獲得するための方法を実行するためにプロセッサによって実行可能であるとすることができる。当該方法は、通信ネットワーク上のネットワーク・デバイスからネットワーク構成情報を受信すること、信用証明書要求を生成すること、信用証明書要求を信用証明書サーバに、ネットワーク・デバイスの標準プロトコルを介して送信すること、信用証明書要求応答を受信すること、および信用証明書要求応答からのネットワーク信用証明書を、通信ネットワークにアクセスするためにネットワーク・デバイスに提供することを包含できる。   An exemplary computer readable medium may have a program recorded thereon. The program may be executable by a processor to perform a method for obtaining network credentials. The method receives network configuration information from a network device on a communication network, generates a credential request, and sends the credential request to the credential server via the network device standard protocol. Receiving the credential request response and providing the network credential from the credential request response to the network device for accessing the communication network.

本発明の実施態様が実施できる環境の概略図である。1 is a schematic diagram of an environment in which embodiments of the present invention may be implemented. 例示的なディジタル・デバイスのブロック図である。1 is a block diagram of an exemplary digital device. ディジタル・デバイスにネットワーク・アクセスを提供するための例示的なプロセスのフローチャートである。2 is a flowchart of an exemplary process for providing network access to a digital device. 例示的な信用証明書要求のブロック図である。FIG. 3 is a block diagram of an exemplary credential request. ネットワーク信用証明書を獲得するための例示的な方法のフローチャートである。2 is a flowchart of an exemplary method for obtaining network credentials. ネットワーク信用証明書を獲得するための別の例示的な方法のフローチャートである。6 is a flowchart of another exemplary method for obtaining network credentials. 例示的なディジタル・デバイスのブロック図である。1 is a block diagram of an exemplary digital device.

本発明の実施態様は、ネットワーク信用証明書を獲得するためのシステムおよび方法を提供する。例示的な実施態様においては、ディジタル・デバイスがユーザに関連付けされる。アクセス・コントローラ(たとえば、ホットスポット・アクセス・ポイントに関連付けされる)が、ディジタル・デバイスに、ホットスポットを使用し、通信ネットワークにアクセスするために、認証、またはそのほかの方法でのネットワーク信用証明書(たとえば、ユーザ名およびパスワード)の提供を要求する。ディジタル・デバイスとネットワーク・デバイスの間における接続のネゴシエーションの後であるが、信用証明書が提供される前に、ディジタル・デバイスは、標準プロトコルを使用して信用証明書要求をネットワーク・デバイスに対して送信することができる。信用証明書サーバは、信用証明書要求を受信し、通信ネットワークにアクセスする正しい信用証明書を識別する。信用証明書サーバは、信用証明書要求応答とともにネットワーク信用証明書をディジタル・デバイスに返送することができ、続いてそれが、通信ネットワークへのアクセスを獲得するネットワーク信用証明書を提供する。1つの実施態様においては、通信ネットワークがインターネットを包含する。   Embodiments of the present invention provide systems and methods for obtaining network credentials. In the exemplary embodiment, a digital device is associated with the user. An access controller (eg, associated with a hotspot access point) authenticates or otherwise uses network hotspots to use digital hotspots to access a communications network (E.g. username and password) After the negotiation of the connection between the digital device and the network device, but before the credentials are provided, the digital device uses a standard protocol to send the credentials request to the network device. Can be sent. The credential server receives the credential request and identifies the correct credential to access the communication network. The credential server can return the network credential along with the credential request response to the digital device, which subsequently provides the network credential to gain access to the communication network. In one embodiment, the communication network includes the Internet.

図1は、本発明の実施態様が実施されることのある環境100の概略図を図解している。例示的な実施態様においては、ユーザが、ディジタル・デバイス102を伴ってホットスポットに入る。ディジタル・デバイス102は、ネットワーク・デバイス104を介した標準プロトコルとして信用証明書要求を自動的に送信できる。その信用証明書要求は、信用証明書サーバ116に転送されることがあり、それが、その信用証明書要求の中に含められている情報に基づいて、ディジタル・デバイス102に信用証明書要求応答を返送する。この信用証明書要求応答は、ディジタル・デバイス102が、通信ネットワーク114へのアクセスを獲得するべくネットワーク・デバイス104、認証サーバ108、またはアクセス・コントローラ112に提供することができるネットワーク信用証明書を含む。   FIG. 1 illustrates a schematic diagram of an environment 100 in which embodiments of the present invention may be implemented. In the exemplary embodiment, a user enters a hotspot with digital device 102. The digital device 102 can automatically send a credential request as a standard protocol via the network device 104. The credential request may be forwarded to the credential server 116, which sends a credential request response to the digital device 102 based on the information included in the credential request. Will be returned. The credential request response includes a network credential that the digital device 102 can provide to the network device 104, the authentication server 108, or the access controller 112 to gain access to the communication network 114. .

多様な実施態様においては、ホットスポットが、ネットワーク・デバイス104、認証サーバ108、DNSサーバ110、およびアクセス・コントローラ112を含み、それらはローカル・エリア・ネットワーク106(たとえば『ウォールド・ガーデン』)に結合される。ネットワーク・デバイス104は、ディジタル・デバイス102が、ローカル・エリア・ネットワーク106を介して認証サーバ108、DNSサーバ110、およびアクセス・コントローラ112と通信することを可能にするアクセス・ポイントを包含できる。ディジタル・デバイス102は、ラップトップ、携帯電話、カメラ、携帯情報端末、またはそのほかの任意のコンピューティング・デバイスを包含できる。認証サーバ108は、通信ネットワーク114にわたる通信にアクセスすることをディジタル・デバイス102に許可する前にディジタル・デバイス102にネットワーク信用証明書を要求するサーバである。ネットワーク信用証明書は、ユーザ名、パスワード、およびログイン・プロシージャ情報を包含できる。DNSサーバ110は、ローカル・エリア・ネットワーク106にわたってDNSサービスを提供し、かつ通信ネットワーク114を横切ってほかのDNSサーバ(図示せず)に要求を中継することができる。アクセス・コントローラ112は、ネットワーク・デバイス104に機能的に結合されたデバイスと通信ネットワーク114に結合されたデバイスの間における通信を可能にできるルータまたはブリッジ等のアクセス・デバイスである。   In various embodiments, the hotspot includes a network device 104, an authentication server 108, a DNS server 110, and an access controller 112, which are coupled to a local area network 106 (eg, “Walled Garden”). Is done. Network device 104 can include an access point that enables digital device 102 to communicate with authentication server 108, DNS server 110, and access controller 112 via local area network 106. Digital device 102 may include a laptop, mobile phone, camera, personal digital assistant, or any other computing device. The authentication server 108 is a server that requests network credentials from the digital device 102 before allowing the digital device 102 to access communications over the communication network 114. The network credentials can include username, password, and login procedure information. The DNS server 110 can provide DNS services across the local area network 106 and relay requests across the communication network 114 to other DNS servers (not shown). Access controller 112 is an access device, such as a router or bridge, that can enable communication between devices functionally coupled to network device 104 and devices coupled to communication network 114.

図1内のホットスポットは、ローカル・エリア・ネットワーク106に結合された別々のサーバを図示しているが、当業者は、ローカル・エリア・ネットワーク106に結合される任意数のデバイス(たとえば、サーバ、ディジタル・デバイス、アクセス・コントローラ、およびネットワーク・デバイス)が存在できることを認識するであろう。いくつかの実施態様においては、ローカル・エリア・ネットワーク106がオプションとなる。1つの例においては、認証サーバ108、DNSサーバ110、およびアクセス・コントローラ112が、ネットワーク・デバイス104に直接結合される。多様な実施態様においては、認証サーバ108、DNSサーバ110、およびアクセス・コントローラ112が、1つまたは複数のサーバまたは1つまたは複数のディジタル・デバイス内に結合されることもある。さらに、図1は、無線アクセスを図示しているが、ディジタル・デバイス102が無線または有線(テン・ベース・ティ(10baseT)等)を介してネットワーク・デバイス104に結合されることもある。   Although the hotspots in FIG. 1 illustrate separate servers coupled to the local area network 106, those skilled in the art will recognize any number of devices (eg, servers) coupled to the local area network 106. Will recognize that digital devices, access controllers, and network devices) can exist. In some embodiments, a local area network 106 is optional. In one example, authentication server 108, DNS server 110, and access controller 112 are directly coupled to network device 104. In various implementations, the authentication server 108, DNS server 110, and access controller 112 may be coupled into one or more servers or one or more digital devices. In addition, although FIG. 1 illustrates wireless access, the digital device 102 may be coupled to the network device 104 via wireless or wired (such as ten base tee (10baseT)).

通信ネットワーク114にアクセスするために、認証サーバ108が、ホットスポットへのアクセスのための1つまたは複数のネットワーク信用証明書の提供をディジタル・デバイス102に要求することがある。ネットワーク信用証明書は、たとえば、当該ホットスポットに関連付けされたアカウントのためのユーザ名およびパスワードを包含できる。代替実施態様においては、ユーザ名およびパスワードのほかのネットワーク信用証明書が利用されることがある。   To access the communication network 114, the authentication server 108 may request the digital device 102 to provide one or more network credentials for access to the hotspot. The network credentials can include, for example, a username and password for an account associated with the hotspot. In alternative embodiments, network credentials other than username and password may be utilized.

例示的な実施態様によれば、ディジタル・デバイス102が信用証明書サーバ116から動的にネットワーク信用証明書を獲得できる。ディジタル・デバイス102は、ディジタル・デバイス102の(またはディジタル・デバイス102のユーザの)アイデンティティおよびネットワーク・デバイス104についての詳細(たとえば、ネットワーク・デバイス104またはワイファイ(Wi‐Fi)サービス・プロバイダの名前)を包含する信用証明書要求を、信用証明書サーバ116に送信できる。   According to an exemplary embodiment, digital device 102 can dynamically obtain network credentials from credential server 116. The digital device 102 is the identity of the digital device 102 (or the user of the digital device 102) and details about the network device 104 (eg, the name of the network device 104 or the Wi-Fi service provider). Can be sent to the credential server 116.

1つの例においては、ディジタル・デバイス102がホットスポットに入るとき、ネットワーク・デバイス104は、たとえばDHCP(ダイナミック・ホスト・コンフィグレーション・プロトコル)を介してDNSクエリの提出ができる提出先のIPアドレスを提供できる。信用証明書要求は、標準プロトコルとしてフォーマットできる。ある例においては、信用証明書要求をDNS要求としてフォーマットできる。信用証明書要求は、ネットワーク・インフラストラクチャ(たとえばアクセス・コントローラ112)が要求をブロックすることがないように、標準レコード型を包含するテキスト・レコード要求(たとえば、TXT)とすることができる。   In one example, when the digital device 102 enters a hotspot, the network device 104 may provide a destination IP address that can submit a DNS query via, for example, DHCP (Dynamic Host Configuration Protocol). Can be provided. The credential request can be formatted as a standard protocol. In one example, the credential request can be formatted as a DNS request. The credential request can be a text record request (eg, TXT) that includes a standard record type so that the network infrastructure (eg, access controller 112) does not block the request.

いくつかの実施態様においては、信用証明書要求がDNSサーバ110によって受信され、それがその信用証明書要求を、ネットワーク信用証明書のための信用証明書サーバ116に転送することができる。例示的な実施態様においては、信用証明書サーバ116が、ルックアップを実行して適正なネットワーク信用証明書(1つまたは複数)を決定し、DNSサーバ110に返送することができ、それが当該ネットワーク信用証明書を転送して要求しているディジタル・デバイス102に返す。多様な実施態様においては、適正なネットワーク信用証明書(1つまたは複数)が、信用証明書要求の送信と同じ経路を介して信用証明書サーバ116からディジタル・デバイス102に送信される。   In some implementations, a credential request is received by DNS server 110, which can forward the credential request to credential server 116 for network credentials. In the exemplary embodiment, the credential server 116 can perform a lookup to determine the proper network credential (s) and send it back to the DNS server 110, which Transfer and return the network credentials to the requesting digital device 102. In various embodiments, the proper network credential (s) is transmitted from the credential server 116 to the digital device 102 via the same path as the transmission of the credential request.

信用証明書サーバ116におけるネットワーク信用証明書の決定および提供のためのプロセスに関するより詳細は、参照によってこれに援用される、2007年9月6日に出願された『システム・アンド・メソッド・フォア・プロバイディング・ネットワーク・クレデンシャルズ(System and Method for Providing Network Credentials)』と題された同時係属の米国特許出願第__号の中に提供されている。図1の中では1つのDNSサーバ110だけが図示されているが、信用証明書要求が信用証明書サーバ116によって受信される前に、限定ではないがDNSサーバを含む任意数のサーバを通って転送されることがある。ほかの実施態様においては、信用証明書要求が、ネットワーク・デバイス104から信用証明書サーバ116に直接転送される。   More details regarding the process for determining and providing network credentials in the credential server 116 can be found in the “System and Method for Applications” filed on September 6, 2007, which is incorporated herein by reference. Co-pending U.S. Patent Application No. __________________________________ System, _____, _______________________ Provisioning Although only one DNS server 110 is illustrated in FIG. 1, before a credential request is received by the credential server 116, it may be passed through any number of servers, including but not limited to a DNS server. May be transferred. In other embodiments, the credential request is forwarded directly from the network device 104 to the credential server 116.

いくつかの実施態様においては、信用証明書サーバ116からの信用証明書要求応答が、ユーザ名、パスワード、および/またはログイン・プロシージャ情報を包含できる。ログイン・プロシージャ情報は、たとえば、HTMLのフォーム要素名、提出URL、または提出プロトコルを包含できる。いくつかの実施態様においては、ネットワーク信用証明書応答が、ディジタル・デバイス102に返送される前に信用証明書サーバ116によって、ディジタル・デバイス102に関連付けされた暗号鍵を使用して暗号化されることがある。   In some implementations, the credential request response from the credential server 116 can include a username, password, and / or login procedure information. The login procedure information can include, for example, an HTML form element name, a submission URL, or a submission protocol. In some embodiments, the network credential response is encrypted by the credential server 116 using the encryption key associated with the digital device 102 before being sent back to the digital device 102. Sometimes.

ディジタル・デバイス102がネットワーク信用証明書応答を受信した後は、ディジタル・デバイス102が、(ネットワーク信用証明書応答から取得された)ネットワーク信用証明書を認証応答の中でネットワーク・デバイス104に提出できる。例示的な実施態様においては、認証応答が、検証のために認証サーバ108に転送されることがある。いくつかの実施態様においては、認証サーバ108が、AAAサーバまたはラディウス(RADIUS)サーバを包含できる。ネットワーク・アクセスを獲得するためのプロセスに関するより詳細な内容が、参照によってこれに援用される、2007年9月6日に出願された『システム・アンド・メソッド・フォア・オブテインニング・ネットワーク・アクセス(System and Method for Obtaining Network Access)』と題された同時係属の米国特許出願第__号の中に提供されている。   After the digital device 102 receives the network credential response, the digital device 102 can submit the network credential (obtained from the network credential response) to the network device 104 in the authentication response. . In the exemplary implementation, the authentication response may be forwarded to the authentication server 108 for verification. In some implementations, the authentication server 108 can include an AAA server or a RADIUS server. A more detailed description of the process for obtaining network access can be found in “System and Method for Obtaining Network Access” filed on September 6, 2007, which is incorporated herein by reference. System and Method for Observing Network Access) is provided in co-pending U.S. Patent Application No. __.

注意される必要があるが、図1は例示である。代替実施態様が、より多くの、より少ない、または機能的に等価の構成要素を包含することがあるが、それもこの実施態様の範囲内である。たとえば、手前で論じたとおり、多様なサーバ(たとえば、DNSサーバ110、信用証明書サーバ116、および認証サーバ108)の機能が、1つまたは2つのサーバに結合されることがある。つまり仮に、たとえば、認証サーバ108およびDNSサーバ110が同一のサーバを構成できるとすれば、認証サーバ108、DNSサーバ110、およびアクセス・コントローラ112の機能性を単一のデバイスに結合することができる。   It should be noted that FIG. 1 is exemplary. Alternative embodiments may include more, fewer, or functionally equivalent components, but are within the scope of this embodiment. For example, as discussed above, the functions of various servers (eg, DNS server 110, credential server 116, and authentication server 108) may be combined into one or two servers. In other words, for example, if the authentication server 108 and the DNS server 110 can constitute the same server, the functionality of the authentication server 108, the DNS server 110, and the access controller 112 can be combined into a single device. .

図2は、例示的なディジタル・デバイスのブロック図である。ディジタル・デバイス102は、認証モジュール200、ネットワーク・モジュール202、信用証明書要求モジュール204、信用証明書エンジン206、暗号化/復号化モジュール208、DDID(ディジタル・データ・インターフェース・デバイス)ストレージ210、およびネットワーク・アクセス・エンジン212を包含する。モジュールは、個別に、または組み合わせでソフトウエア、ハードウエア、ファームウエア、または回路を包含できる。   FIG. 2 is a block diagram of an exemplary digital device. The digital device 102 includes an authentication module 200, a network module 202, a credential request module 204, a credential engine 206, an encryption / decryption module 208, a DDID (digital data interface device) storage 210, and Includes a network access engine 212. Modules can include software, hardware, firmware, or circuitry, individually or in combination.

認証モジュール200は、信用証明書要求に対してセキュリティを提供し、信用証明書要求応答を認証し、かつディジタル・デバイス102と認証サーバ108の間における安全な通信を確立するべく構成できる。多様な実施態様においては、認証モジュール200が、信用証明書要求をディジタル署名することによって信用証明書要求にセキュリティを提供する。1つの例では、信用証明書要求が、信用証明書サーバ116と共有される暗号鍵を使用して署名される。   The authentication module 200 can be configured to provide security for the credential request, authenticate the credential request response, and establish secure communication between the digital device 102 and the authentication server 108. In various embodiments, the authentication module 200 provides security to the credential request by digitally signing the credential request. In one example, the credential request is signed using an encryption key shared with the credential server 116.

認証モジュール200は、信用証明書サーバ116から受信された信用証明書要求応答を、暗号鍵(たとえば、共有された暗号鍵)を用いて当該信用証明書要求応答を復号化(平文化)することによって認証できる。いくつかの実施態様においては、暗号化/復号化モジュール208が信用証明書要求応答を復号化する。   The authentication module 200 decrypts the credential request response received from the credential server 116 by using an encryption key (for example, a shared encryption key). Can be authenticated by. In some implementations, the encryption / decryption module 208 decrypts the credential request response.

多様な実施態様においては、認証モジュール200が、乱数値(すなわち、ナンス値)を生成すること、および信用証明書要求内にその値を含めることもできる。信用証明書要求応答が受信されたとき、当該信用証明書要求応答からナンスを取得し、信用証明書要求応答の追加の認証を行うべく信用証明書要求内に含められた乱数値と比較することができる。   In various embodiments, the authentication module 200 can generate a random value (ie, a nonce value) and include that value in the credential request. When a credential request response is received, obtain a nonce from the credential request response and compare it with a random value included in the credential request response for additional authentication of the credential request response Can do.

ネットワーク・モジュール202は、通信ネットワーク114にアクセスするために動作を実行するべく構成できる。いくつかの実施態様においては、ネットワーク・モジュール202がホットスポットへのアクセスに関連付けされた通信の受信および送信ができる。1つの例では、ネットワーク・モジュール202が、ディジタル・デバイス102およびネットワーク・デバイス104を介した初期接続をネゴシエートする。   Network module 202 may be configured to perform operations to access communication network 114. In some implementations, the network module 202 can receive and transmit communications associated with access to the hotspot. In one example, the network module 202 negotiates an initial connection through the digital device 102 and the network device 104.

いくつかの実施態様においては、ネットワーク・モジュール202が、通信ネットワーク114のサーチを実行できる。たとえば、ディジタル・デバイス102がホットスポットに入るとき、ネットワーク・モジュール214が通信ネットワーク114との接続を試行できる。ディジタル・デバイス102が通信ネットワーク114にアクセスできない場合、ここで述べられている本発明の実施態様を実施できることがある。   In some implementations, the network module 202 can perform a search of the communication network 114. For example, the network module 214 can attempt to connect to the communication network 114 when the digital device 102 enters a hot spot. If digital device 102 cannot access communication network 114, it may be possible to implement the embodiments of the invention described herein.

信用証明書要求モジュール204は、信用証明書要求の生成および送信ができる。信用証明書要求は、標準プロトコルとすることができる。1つの例においては、信用証明書要求がUDPプロトコルになる。   The credential request module 204 can generate and send a credential request. The credential request can be a standard protocol. In one example, the credential request is a UDP protocol.

多様な実施態様において、信用証明書要求モジュール204が、ネットワーク・デバイス104からネットワーク・デバイス識別子を取得する。1つの例では、ネットワーク・デバイス識別子が、当該ネットワーク・デバイスのサービス・セット識別子(SSID)である。ネットワーク・デバイス識別子は、その後、信用証明書要求内に含めることができる。代替として、信用証明書要求モジュール204は、ネットワーク・デバイス104によって提供されるネットワーク・アクセス・ページからサービス・プロバイダを識別できる。信用証明書要求モジュール204は、その後、当該サービス・プロバイダ識別子を信用証明書要求内に提供できる。   In various embodiments, the credential request module 204 obtains a network device identifier from the network device 104. In one example, the network device identifier is the service set identifier (SSID) of the network device. The network device identifier can then be included in the credential request. Alternatively, the credential request module 204 can identify the service provider from the network access page provided by the network device 104. The credential request module 204 can then provide the service provider identifier in the credential request.

ネットワーク・アクセス・ページは、認証サーバ108から受信されたウェブ・ページまたは情報(たとえば、XMLタグ)を包含できる。ネットワーク・アクセス・ページに応答して、ディジタル・デバイス102は、ネットワーク・アクセスを獲得するべく情報(たとえば、ネットワーク信用証明書または応答)を認証サーバ108に提供できる。1つの例では、ネットワーク・アクセス・ページが、認証サーバ108および/またはネットワーク・デバイス104からディジタル・デバイス102によって受信されたいくつかのウェブ・ページを包含する。別の例においては、ネットワーク・アクセス・ページが、1つまたは複数のタグまたはウェブ・ページおよびタグの組み合わせを包含する。   The network access page can include web pages or information (eg, XML tags) received from the authentication server 108. In response to the network access page, the digital device 102 can provide information (eg, network credentials or response) to the authentication server 108 to gain network access. In one example, the network access page includes a number of web pages received by the digital device 102 from the authentication server 108 and / or the network device 104. In another example, the network access page includes one or more tags or a combination of web pages and tags.

信用証明書要求モジュール204は、また、ディジタル・デバイス識別子(DDID)および/またはユーザ識別子を信用証明書要求内に含めることができる。多様な実施態様においては、DDIDがMACアドレス、一意的な識別子、またはそのほかの、ディジタル・デバイス102を識別する任意の識別子を包含できる。ユーザ識別子は、ディジタル・デバイス102の所有者またはユーザを識別する任意の識別子(たとえば、ユーザ名またはパスコード)とすることが可能である。   The credential request module 204 can also include a digital device identifier (DDID) and / or a user identifier in the credential request. In various embodiments, the DDID can include a MAC address, a unique identifier, or any other identifier that identifies the digital device 102. The user identifier can be any identifier (eg, username or passcode) that identifies the owner or user of the digital device 102.

例示的な信用証明書エンジン206は、信用証明書要求応答を受信すること、およびネットワーク信用証明書を取得することができる。いくつかの実施態様においては、信用証明書要求応答が暗号化/復号化モジュール208によって復号化され、認証モジュール200によってナンス認証される。   The example credential engine 206 can receive a credential request response and obtain a network credential. In some embodiments, the credential request response is decrypted by the encryption / decryption module 208 and nonce authenticated by the authentication module 200.

上で論じたとおり、取得されたネットワーク信用証明書が、ログイン・プロシージャ情報を包含することがある。1つの例においては、信用証明書が、ユーザ名およびパスワードを含み、それらが、認証サーバ108から取得されたフォーム内に提供される。いくつかの実施態様においては、ログイン・プロシージャ情報が、信用証明書エンジン206に、完成されたフォームを認証サーバ108に提出する前に、正しい信用証明書を用いてフォーム内の特定のフィールドを埋めることを指示できる。当業者は認識するであろうが、認証サーバ108に信用証明書を提供する多くの方法がある。認証サーバに信用証明書を提供するプロセスは、2007年9月6日に出願された『システムズ・アンド・メソッズ・フォア・オブテインニング・ネットワーク・アクセス(Systems and Methods for Obtaining Network Access)』と題された同時係属の米国特許出願第__号の中でさらに論じられている。   As discussed above, the obtained network credentials may contain login procedure information. In one example, the credentials include a username and password that are provided in a form obtained from the authentication server 108. In some embodiments, the login procedure information fills certain fields in the form with the correct credentials before submitting the completed form to the authentication server 108 to the credential engine 206. I can instruct you. Those skilled in the art will recognize that there are many ways to provide credentials to the authentication server 108. The process of providing credentials to the authentication server is entitled “Systems and Methods for Obtaining Network Access” filed on September 6, 2007, and is entitled “Systems and Methods for Obtaining Network Access”. Are further discussed in co-pending US Patent Application No. ___.

暗号化/復号化モジュール208は、ディジタル・デバイス102によって送信/受信される通信の暗号化または復号化を行うべく構成される。いくつかの実施態様においては、信用証明書要求応答が、信用証明書サーバ116によって暗号化されることがある。これらの実施態様では、暗号化/復号化モジュール208が信用証明書要求応答を復号化することになる。多様な実施態様においては、暗号化/復号化モジュール208が、ディジタル・デバイス102と認証サーバ108の間に安全な通信を確立できる。1つの例において暗号化/復号化モジュール208は、SSLおよびhttpsを介してディジタル・デバイス102と認証サーバ108の間に安全な通信を確立できる。注意される必要があるが、いくつかの実施態様によれば暗号化/復号化モジュール208をオプションにできる。   The encryption / decryption module 208 is configured to encrypt or decrypt communications transmitted / received by the digital device 102. In some implementations, the credential request response may be encrypted by the credential server 116. In these implementations, the encryption / decryption module 208 will decrypt the credential request response. In various embodiments, the encryption / decryption module 208 can establish secure communication between the digital device 102 and the authentication server 108. In one example, the encryption / decryption module 208 can establish secure communication between the digital device 102 and the authentication server 108 via SSL and https. It should be noted that the encryption / decryption module 208 may be optional according to some embodiments.

DDIDストレージ210は、DDIDをストアする。DDIDは、DDIDストレージ210から、信用証明書要求が生成されるときに信用証明書要求モジュール204によって取得されることがある。DDIDストレージ210は、オプションにできる(たとえば、DDIDがディジタル・デバイス102のMACアドレスのとき)。DDIDストレージ210は、また、ディジタル・デバイス102の所有者またはユーザ、または信用証明書サーバ116に関連付けされたアカウントの所有者を識別するユーザ識別子も包含できる。いくつかの実施態様においては、ユーザ識別子が、信用証明書サーバ116上のアカウントに関連付けされたユーザの識別子を包含する。   The DDID storage 210 stores the DDID. The DDID may be obtained by the credential request module 204 from the DDID storage 210 when the credential request is generated. DDID storage 210 can be optional (eg, when DDID is the MAC address of digital device 102). The DDID storage 210 may also include a user identifier that identifies the owner or user of the digital device 102 or the owner of the account associated with the credential server 116. In some implementations, the user identifier includes the identifier of the user associated with the account on the credential server 116.

例示的なネットワーク・アクセス・エンジン212は、認証要求を受信し、ネットワーク・デバイス104に認証応答を提供してネットワーク信用証明書を包含するべく構成できる。   The example network access engine 212 can be configured to receive an authentication request and provide an authentication response to the network device 104 to include network credentials.

図3は、ディジタル・デバイス102にネットワーク・アクセスを提供するための例示的なプロセスのフローチャートである。ディジタル・デバイス102が最初にホットスポット内に入るとき、ディジタル・デバイス102(たとえばネットワーク・モジュール214)が、ステップ300においてローカル・エリア・ネットワーク106についてのスキャンを行うことができる。そのスキャンの結果として、ネットワーク・デバイス104は、ステップ302においてネットワーク構成情報を提供できる。ネットワーク構成情報は、DNSサーバ110にアクセスするための1つまたは複数のIPアドレスを包含できる。   FIG. 3 is a flowchart of an exemplary process for providing network access to digital device 102. When the digital device 102 first enters the hot spot, the digital device 102 (eg, the network module 214) may perform a scan for the local area network 106 at step 300. As a result of the scan, the network device 104 can provide network configuration information at step 302. The network configuration information can include one or more IP addresses for accessing the DNS server 110.

ステップ304においては、信用証明書要求がディジタル・デバイス102によって生成される。図2に関連して上で論じたとおり、信用証明書要求モジュール240が信用証明書要求を生成できる。その後に続き、手前でネットワーク・デバイス104から受信したIPアドレスのうちの1つを使用して、ステップ306において信用証明書要求をDNSサーバ110に送信できる。   In step 304, a credential request is generated by the digital device 102. As discussed above in connection with FIG. 2, the credential request module 240 can generate a credential request. Subsequently, a credential request can be sent to the DNS server 110 at step 306 using one of the IP addresses previously received from the network device 104.

その信用証明書要求に基づいて、ステップ308において、信用証明書サーバ116がDNSサーバ110によって識別される。DNSサーバ110は、信用証明書要求を信用証明書サーバ116に転送する。DNSサーバ110が、ローカルでDNS要求を解決できないときは、その信用証明書要求が通信ネットワーク114上の別のDNSサーバに転送され、その後それが信用証明書サーバ116にその信用証明書要求を転送することができる。信用証明書要求は、ステップ310において、直接または通信ネットワーク114上のほかの1つまたは複数のDNSサーバを通じて間接的に信用証明書サーバ116に転送される。   Based on the credential request, the credential server 116 is identified by the DNS server 110 at step 308. The DNS server 110 forwards the credential request to the credential server 116. If the DNS server 110 cannot resolve the DNS request locally, the credential request is forwarded to another DNS server on the communication network 114, which then forwards the credential request to the credential server 116. can do. The credential request is forwarded to the credential server 116 in step 310, either directly or indirectly through one or more other DNS servers on the communication network 114.

信用証明書サーバ116は、ステップ312において、必要とされているネットワーク信用証明書を信用証明書要求に基づいて識別する。たとえば、信用証明書要求は、ディジタル・デバイス102についての識別子(すなわち、DDID)をはじめ、ホットスポットについての識別子(たとえば、オペレータ等のサービス・プロバイダ)を包含できる。識別子は、信用証明書サーバ116において、適正なネットワーク信用証明書を決定するべくその種の識別子のテーブルと比較できる。その後ステップ314において信用証明書要求応答が生成され、ステップ316においてDNSサーバ110に中継される。DNSサーバ110は、この信用証明書要求応答を、ステップ318においてディジタル・デバイスに転送する。   The credential server 116 identifies the required network credential at step 312 based on the credential request. For example, a credential request can include an identifier for a digital device 102 (ie, a DDID) as well as an identifier for a hot spot (eg, a service provider such as an operator). The identifier can be compared with a table of such identifiers at the credential server 116 to determine the proper network credentials. Thereafter, a credential request response is generated at step 314 and relayed to the DNS server 110 at step 316. The DNS server 110 forwards this credential request response to the digital device at step 318.

ディジタル・デバイス102は、その後ステップ320において、信用証明書要求応答からネットワーク信用証明書を取得できる。例示的な実施態様においては、取得モジュール224が、信用証明書要求応答を分析して、それの中に埋め込まれているネットワーク信用証明書を取得することになる。   The digital device 102 can then obtain network credentials from the credential request response at step 320. In the exemplary embodiment, the acquisition module 224 will analyze the credential request response and obtain the network credentials embedded therein.

その後ステップ322において、ネットワーク・デバイス104にネットワーク信用証明書を提供できる。ネットワーク・デバイスに(およびその後に続いて認証サーバ108に)ネットワーク信用証明書を提供するための例示的な方法は、2007年9月6日に出願された『システムズ・アンド・メソッズ・フォア・オブテインニング・ネットワーク・アクセス(Systems and Methods for Obtaining Network Access)』と題された同時係属の米国特許出願第__号の中で論じられている。ネットワーク信用証明書を検証すると、ネットワーク・デバイス104がステップ324においてディジタル・デバイス102にネットワーク・アクセスを提供する。   Thereafter, in step 322, network credentials can be provided to the network device 104. An exemplary method for providing network credentials to a network device (and subsequently to the authentication server 108) was filed on September 6, 2007, “Systems and Methods for Obtain”. In co-pending U.S. Patent Application No. ____________________________________ (Systems and Methods for Obtaining Network Access). Once the network credentials are verified, the network device 104 provides network access to the digital device 102 at step 324.

ここで図4を参照すると、例示的な信用証明書要求400がより詳細に示されている。例示的な実施態様によれば、要求モジュール220が、信用証明書要求400を生成できる。1つの実施態様においては、信用証明書要求400を、場所識別子402、シーケンス識別子404、署名406、DDID 408、サービス・セット識別子(SSID)410、およびバージョン識別子412を包含する構造を有するDNS文字列とすることができる。   Referring now to FIG. 4, an exemplary credential request 400 is shown in more detail. According to an exemplary implementation, request module 220 can generate credential request 400. In one embodiment, the credential request 400 is a DNS string having a structure that includes a location identifier 402, a sequence identifier 404, a signature 406, a DDID 408, a service set identifier (SSID) 410, and a version identifier 412. It can be.

オプションの場所識別子402は、ディジタル・デバイス102、ネットワーク・デバイス104、認証サーバ108、またはアクセス・コントローラ112の物理的、または地理上の場所を示すことができる。多様な実施態様において場所識別子402は、信用証明書サーバ116によって、ホットスポットの使用量、ディジタル・デバイス102のユーザをはじめ、ディジタル・デバイス102を追跡するべく使用されることがある。   Optional location identifier 402 may indicate the physical or geographical location of digital device 102, network device 104, authentication server 108, or access controller 112. In various embodiments, the location identifier 402 may be used by the credential server 116 to track the digital device 102, including hot spot usage, users of the digital device 102, and the like.

シーケンス識別子404は、ログインが成功であるか否かを決定するべく、その後に続く信用証明書サーバ116への要求との対応に使用される任意の番号または番号のセットを包含できる。すなわちシーケンス識別子404は、相関メカニズムを提供し、それによって信用証明書サーバ116によるログイン・プロセスの検証ができる。   The sequence identifier 404 can include any number or set of numbers used to respond to subsequent requests to the credential server 116 to determine whether the login is successful. That is, the sequence identifier 404 provides a correlation mechanism whereby the login process can be verified by the credential server 116.

例示的な実施態様においては、署名406が、なりすましの防止に使用される暗号署名を包含する。ディジタル・デバイス102からの要求の署名406は、信用証明書サーバ116によって検証される。署名406が有効でなければ、信用証明書サーバ116によってその要求が退けられる。   In the exemplary embodiment, signature 406 includes a cryptographic signature that is used to prevent spoofing. The request signature 406 from the digital device 102 is verified by the credential server 116. If the signature 406 is not valid, the credential server 116 rejects the request.

DDID 408は、ディジタル・デバイス102の一意的な識別子を包含する。たとえばDDID 408は、ディジタル・デバイス102のMACアドレスまたはそのほかの任意の普遍的に一意的な識別子を包含できる。例示的な実施態様においては、DDIDが、DDIDストレージ210から検索される。   DDID 408 contains a unique identifier for digital device 102. For example, DDID 408 can include the MAC address of digital device 102 or any other universally unique identifier. In the exemplary embodiment, the DDID is retrieved from DDID storage 210.

SSID 410は、ネットワーク・アクセス・ポイントまたはワイファイ(Wi‐Fi)サービス・プロバイダの識別子を包含する。たとえばSSID 410は、サービス・プロバイダの名前またはネットワーク・デバイス104を操作する場所の名前を包含できる。   The SSID 410 contains the identifier of the network access point or Wi-Fi service provider. For example, the SSID 410 can include the name of the service provider or the location where the network device 104 operates.

バージョン識別子412は、信用証明書要求400のプロトコルまたはフォーマットを識別できる。たとえばディジタル・デバイス102が信用証明書要求400を生成し、かつ多数の異なるフォーマットでデータを組織化できる。それぞれの異なるフォーマットは、異なるバージョン識別子と関連付けできる。いくつかの実施態様においては、信用証明書エンジン206およびネットワーク・アクセス・エンジン212の構成要素が、更新され、再構成され、または時間を経て変更されることがあり、それが信用証明書要求400の構造に影響を及ぼすことがある。結果として信用証明書サーバ116が、異なってフォーマットされた複数の信用証明書要求400を受信することがあり得る。信用証明書サーバ116は、それぞれのバージョン識別子に基づいて、それぞれの信用証明書要求からの必要な情報にアクセスできる。   The version identifier 412 can identify the protocol or format of the credential request 400. For example, the digital device 102 can generate the credential request 400 and organize the data in a number of different formats. Each different format can be associated with a different version identifier. In some implementations, the components of the credential engine 206 and the network access engine 212 may be updated, reconfigured, or changed over time, which is the credential request 400. May affect the structure. As a result, the credential server 116 may receive multiple credential requests 400 that are formatted differently. The credential server 116 can access the necessary information from each credential request based on the respective version identifier.

図5は、ネットワーク信用証明書を獲得するための例示的な方法のフローチャートである。ステップ502においては、ディジタル・デバイス102が、ネットワーク構成情報を受信する。1つの例では、ネットワーク・モジュール202が、ネットワーク・デバイス104を介して利用可能な無線ネットワークをサーチし、かつ探し出す。ネットワーク・モジュール202が、ネットワーク・デバイス104との接続をネゴシエートする。ネゴシエーションの間、ネットワーク・モジュール202がネットワーク構成情報を受信することがある。ネットワーク構成情報は、ネットワーク・デバイス104およびDNSサーバ110についての識別子を包含できる。1つの例においては、ネゴシエーションの間にネットワーク・モジュール202が、(たとえば、DNSサーバ110についての)DNSサーバIPアドレスを受信する。ネットワーク・モジュール202は、認証サーバ108に関連付けされたサービス・プロバイダの識別子も受信することがある(たとえば、Tモバイル(T‐mobile))。   FIG. 5 is a flowchart of an exemplary method for obtaining network credentials. In step 502, the digital device 102 receives network configuration information. In one example, the network module 202 searches for and locates available wireless networks via the network device 104. Network module 202 negotiates a connection with network device 104. During the negotiation, the network module 202 may receive network configuration information. The network configuration information can include identifiers for the network device 104 and the DNS server 110. In one example, during the negotiation, the network module 202 receives a DNS server IP address (eg, for the DNS server 110). The network module 202 may also receive an identifier of a service provider associated with the authentication server 108 (eg, T-mobile).

ステップ504においては、ディジタル・デバイス102が信用証明書要求を生成する。多様な実施態様において、信用証明書要求モジュール204が信用証明書要求を生成する。信用証明書要求は、シーケンス識別子、DDID、およびSSIDを包含できる。多様な実施態様において、信用証明書要求モジュール204がナンスを生成し、暗号鍵を用いて信用証明書要求をディジタル署名する。   In step 504, the digital device 102 generates a credential request. In various embodiments, the credential request module 204 generates a credential request. The credential request can include a sequence identifier, DDID, and SSID. In various embodiments, the credential request module 204 generates a nonce and digitally signs the credential request with an encryption key.

ステップ506においては、ディジタル・デバイス102が、標準プロトコルを使用して信用証明書要求を送信する。ネットワーク・デバイス104は、その信用証明書要求を受信し、かつ通信ネットワーク114に転送できる。多様な実施態様においては、ネットワーク・デバイス104が、認証サーバ108、DNSサーバ110、またはアクセス・コントローラ112に信用証明書要求を提供でき、それもまた当該信用証明書要求を転送できる。   In step 506, the digital device 102 sends a credential request using a standard protocol. Network device 104 can receive the credential request and forward it to communication network 114. In various embodiments, network device 104 can provide a credential request to authentication server 108, DNS server 110, or access controller 112, which can also forward the credential request.

信用証明書サーバ116は、信用証明書要求を受信できる。多様な実施態様においては、信用証明書サーバ116が、暗号鍵を用いてディジタル署名を復号化し、ディジタル署名を認証する。信用証明書サーバ116は、続いてその信用証明書要求内に含められた情報に基づいて適正なネットワーク信用証明書を識別できる。ネットワーク信用証明書は、信用証明書要求応答内に組み込むことができ、ディジタル・デバイス102に返送される。   The credential server 116 can receive a credential request. In various embodiments, the credential server 116 decrypts the digital signature using the encryption key and authenticates the digital signature. The credential server 116 can then identify the proper network credential based on the information included in the credential request. The network credential can be embedded in the credential request response and is sent back to the digital device 102.

ステップ508においては、ディジタル・デバイス102が、信用証明書要求応答を受信し、ネットワーク信用証明書を取得する。1つの例では、信用証明書エンジン206が信用証明書要求応答を受信し、かつ認証する。信用証明書要求応答が認証された場合には、ネットワーク信用証明書が、当該信用証明書要求応答から取得される。   In step 508, the digital device 102 receives the credential request response and obtains network credentials. In one example, the credential engine 206 receives and authenticates the credential request response. If the credential request response is authenticated, a network credential is obtained from the credential request response.

ステップ510においては、ディジタル・デバイス102が、通信ネットワーク114に対するネットワーク・アクセスを獲得するべくネットワーク信用証明書をネットワーク・デバイス104に提供する。1つの例では、信用証明書エンジン206が認証サーバ108から1つまたは複数のフォームを取得し、1つまたは複数の信用証明書を用いて当該フォームを埋め、完成されたフォームを認証サーバ108に提供する。別の例においては、信用証明書エンジン206が必要時にネットワーク信用証明書を認証サーバ108に提供する。認証サーバ108によってネットワーク信用証明書が受信されると、認証サーバ108は、ディジタル・デバイス102と通信ネットワーク114の間の通信を許可できる。1つの例では、認証サーバ108がアクセス・コントローラ112に、通信の許可を命令する。   In step 510, the digital device 102 provides network credentials to the network device 104 to gain network access to the communication network 114. In one example, the credential engine 206 obtains one or more forms from the authentication server 108, fills the form with one or more credentials, and passes the completed form to the authentication server 108. provide. In another example, the credential engine 206 provides network credentials to the authentication server 108 when needed. Once the network credentials are received by the authentication server 108, the authentication server 108 can allow communication between the digital device 102 and the communication network 114. In one example, the authentication server 108 instructs the access controller 112 to allow communication.

図6は、ネットワーク信用証明書を獲得するための例示的な方法の別のフローチャートである。ステップ602においては、ディジタル・デバイス102がネットワーク構成情報を受信する。ステップ604においては、ディジタル・デバイス102が、ネットワークの連結性をテストする。たとえば、ネットワーク・デバイス104を通じて接続がネゴシエートされた後に、ネットワーク・モジュール202が、ウェブ・サイトへの接続を試行できる。それに応答して、認証サーバ108またはアクセス・コントローラ112が、試行された接続を、ネットワーク信用証明書を要求するネットワーク・アクセス・ページにリダイレクトできる。多様な実施態様において、信用証明書要求モジュール204が、認証サーバ108に関連付けされたサービス・プロバイダを、ネットワーク・アクセス・ページを通じて識別できる。   FIG. 6 is another flowchart of an exemplary method for obtaining network credentials. In step 602, the digital device 102 receives network configuration information. In step 604, the digital device 102 tests network connectivity. For example, after a connection is negotiated through the network device 104, the network module 202 can attempt to connect to the web site. In response, the authentication server 108 or the access controller 112 can redirect the attempted connection to a network access page requesting network credentials. In various embodiments, the credential request module 204 can identify a service provider associated with the authentication server 108 through a network access page.

ステップ606においては、ディジタル・デバイス102が信用証明書要求を生成する。多様な実施態様において、信用証明書要求は、ディジタル・デバイス102に関連付けされたユーザを識別するDDIDおよびネットワーク・アクセス・ポイント(たとえばネットワーク・デバイス104、認証サーバ108、またはサービス・プロバイダ)を識別するSSIDを包含する。信用証明書要求は、また、シーケンス識別子およびバージョン識別子も包含できる。   In step 606, the digital device 102 generates a credential request. In various embodiments, the credential request identifies a DDID and network access point (eg, network device 104, authentication server 108, or service provider) that identifies a user associated with the digital device 102. Includes SSID. The credential request can also include a sequence identifier and a version identifier.

ステップ608においては、ディジタル・デバイス102が、信用証明書要求にディジタル署名する。多様な実施態様では、ナンスが生成されてディジタル署名の中に含められる。1つの例においては、信用証明書要求が暗号鍵(たとえば、ペアの鍵のうちの1つまたは信用証明書サーバ116と共有される暗号鍵)を用いて暗号化される。   In step 608, the digital device 102 digitally signs the credential request. In various embodiments, a nonce is generated and included in the digital signature. In one example, the credential request is encrypted using an encryption key (eg, one of a pair of keys or an encryption key shared with the credential server 116).

ステップ610においては、ディジタル・デバイス102が、信用証明書要求を信用証明書サーバ116に標準プロトコルを介して送信する。1つの例では、信用証明書要求が、ネットワーク構成情報の中で受信されたDNSサーバIPアドレスによって識別されたDNSサーバ110に送信される。いくつかの実施態様では、DNSサーバ110が、当該信用証明書要求をローカルに解決できないDNS要求として扱い、その信用証明書要求を別のDNSサーバに通信ネットワーク114を介して転送する。最終的に、信用証明書サーバ116が転送された信用証明書要求を受信できる。   In step 610, the digital device 102 sends a credential request to the credential server 116 via a standard protocol. In one example, a credential request is sent to the DNS server 110 identified by the DNS server IP address received in the network configuration information. In some implementations, the DNS server 110 treats the credential request as a DNS request that cannot be resolved locally and forwards the credential request to another DNS server via the communication network 114. Finally, the credential server 116 can receive the forwarded credential request.

信用証明書サーバ116は、信用証明書要求内のディジタル署名の認証およびナンスの取得を行うことができる。信用証明書サーバ116は、その後、信用証明書サーバ116内に含められているDDIDおよびSSIDを使用して信用証明書サーバ116内に含められているレコードから正しいネットワーク信用証明書の決定および検索を行うことができる。その後に続いて、信用証明書サーバ116が、ナンスおよびネットワーク信用証明書を含む信用証明書要求応答を生成する。当該信用証明書要求応答は、暗号鍵(たとえば、鍵ペアのうちの1つの暗号鍵または共有された暗号鍵)を使用して暗号化される。多様な実施態様では、暗号化された信用証明書要求応答が、信用証明書要求内においてディジタル・デバイス102から受信されたナンスを含む。その後、信用証明書要求応答がディジタル・デバイス102に返送される。   The credential server 116 can authenticate the digital signature and obtain a nonce in the credential request. The credential server 116 then uses the DDID and SSID included in the credential server 116 to determine and retrieve the correct network credential from the records included in the credential server 116. It can be carried out. Subsequently, the credential server 116 generates a credential request response that includes the nonce and network credentials. The credential request response is encrypted using an encryption key (eg, an encryption key of a key pair or a shared encryption key). In various embodiments, the encrypted credential request response includes a nonce received from the digital device 102 in the credential request. A credential request response is then returned to the digital device 102.

信用証明書サーバ116は、シーケンス識別子をストアできる。多様な実施態様では、シーケンス識別子を使用して、ディジタル・デバイス102が通信ネットワーク114へのアクセスの獲得に成功したか否かを決定できる。さらに、信用証明書要求応答は、信用証明書要求応答をキャッシュ不用とするコマンドを包含できる。このキャッシュ不用コマンドに応答して、中間DNSサーバ(すなわち、信用証明書サーバ116とディジタル・デバイス102の間において信用証明書要求応答を中継するDNSサーバ)は、当該信用証明書要求応答をキャッシュしない。いくつかの実施態様においては、このコマンドに応答して、ディジタル・デバイス102が、信用証明書要求応答のキャッシュまたはDNSライブラリの更新を行わないことがある。   The credential server 116 can store the sequence identifier. In various implementations, the sequence identifier can be used to determine whether the digital device 102 has successfully gained access to the communication network 114. Further, the credential request response can include a command that makes the credential request response cache-free. In response to this cache-less command, the intermediate DNS server (that is, the DNS server that relays the credential request response between the credential server 116 and the digital device 102) does not cache the credential request response. . In some implementations, in response to this command, the digital device 102 may not perform a credential request response cache or DNS library update.

信用証明書サーバ116が信用証明書要求応答を生成するプロセスは、2007年9月6日に出願された『システムズ・アンド・メソッズ・フォア・オブテインニング・ネットワーク・アクセス(Systems and Methods for Obtaining Network Access)』と題された同時係属の米国特許出願第__号の中でさらに論じられている。   The process by which the credential server 116 generates the credential request response is described in Systems and Methods for Obtaining Network Access filed on September 6, 2007. Is further discussed in co-pending US Patent Application No. ______

ステップ612においては、ディジタル・デバイス102が信用証明書サーバ116から信用証明書要求応答を受信する。ステップ614においては、ディジタル・デバイス102が当該信用証明書要求応答を復号化する。1つの例では、ディジタル・デバイス102が、暗号鍵を使用して信用証明書要求応答を復号化し、その信用証明書要求応答からナンスを取得する。   In step 612, digital device 102 receives a credential request response from credential server 116. In step 614, the digital device 102 decrypts the credential request response. In one example, the digital device 102 decrypts the credential request response using the encryption key and obtains a nonce from the credential request response.

ステップ616においては、ディジタル・デバイス102が信用証明書要求応答を認証する。多様な実施態様においてディジタル・デバイス102は、信用証明書要求応答の復号化の成功に基づいて真正を決定する。いくつかの実施態様では、信用証明書要求応答から取得されたナンスが、生成されて信用証明書要求内に含められたナンスと比較され、信用証明書要求応答の追加の認証が行われる。   In step 616, the digital device 102 authenticates the credential request response. In various embodiments, the digital device 102 determines authenticity based on the successful decryption of the credential request response. In some implementations, the nonce obtained from the credential request response is compared with the nonce generated and included in the credential request response to provide additional authentication of the credential request response.

信用証明書要求応答が認証されると、ディジタル・デバイス102は、ステップ618において信用証明書要求応答からネットワーク信用証明書を取得する。ステップ620においては、ディジタル・デバイス102が、ネットワーク・アクセスと関連付けされた認証要件を識別する。   If the credential request response is authenticated, the digital device 102 obtains network credentials from the credential request response at step 618. In step 620, the digital device 102 identifies authentication requirements associated with network access.

多様な実施態様では、ディジタル・デバイス102が、正しい情報およびネットワーク信用証明書を決定して認証サーバ108に提供する。1つの例においてディジタル・デバイス102は、認証サーバ108から1つまたは複数のネットワーク・アクセス・ページを検索する。ディジタル・デバイス102は、認証サーバからの正しいネットワーク・アクセス・ページにアクセスし、かつ自動的に選択を行うことができる。1つの例では、ディジタル・デバイス102が自動的に選択をアクティベートできる(たとえば、ネットワーク・アクセス・ページ内のボタン、チェック・ボックス、および選択ラジオ・ボタンをアクティベートする)。自動選択は、信用証明書エンジンによる選択に基づくことができる。たとえば信用証明書エンジンは、認証サーバから検索されたフォーム(1つまたは複数)の識別および自動選択のための実行可能インストラクションの提供を行うことができるフォーム・ライブラリ(図示せず)にアクセスできる。信用証明書エンジンは、また、信用証明書要求応答から取得されたネットワーク信用証明書内に含められていたインストラクションに基づいて選択をアクティベートすることもある。当業者は認識するであろうが、選択を自動的に行うことができる多くの方法が存在し得る。   In various embodiments, the digital device 102 determines the correct information and network credentials and provides them to the authentication server 108. In one example, the digital device 102 retrieves one or more network access pages from the authentication server 108. The digital device 102 can access the correct network access page from the authentication server and make a selection automatically. In one example, the digital device 102 can automatically activate the selection (eg, activate buttons, check boxes, and selection radio buttons in the network access page). Automatic selection can be based on selection by a credential engine. For example, the credential engine can access a form library (not shown) that can provide executable instructions for identification and automatic selection of the form (s) retrieved from the authentication server. The credential engine may also activate the selection based on instructions included in the network credential obtained from the credential request response. One skilled in the art will recognize that there can be many ways in which the selection can be made automatically.

ほかの実施態様においては、ディジタル・デバイス102が、最初にネットワーク・アクセス・ページを取得することなく、認証サーバ108に送信する適正な情報を決定できる。認証サーバ108に送信する適正な情報の決定は、ネットワーク・デバイス104、認証サーバ108、またはサービス・プロバイダを識別するインストラクションを基礎にできる。   In other embodiments, the digital device 102 can determine the proper information to send to the authentication server 108 without first obtaining a network access page. The determination of the proper information to send to the authentication server 108 can be based on instructions that identify the network device 104, the authentication server 108, or the service provider.

ステップ622においては、ディジタル・デバイス102が、認証要件に従ってネットワーク・アクセスのためのネットワーク信用証明書を提供する。多様な実施態様では、ディジタル・デバイス102が、ネットワーク信用証明書からのユーザ名、パスワード、アカウント番号、またはそれらの類を認証サーバ108に提供する。認証サーバ108がディジタル・デバイス102を認証した後は、認証サーバ108が、アクセス・コントローラ112に、ディジタル・デバイス102と通信ネットワーク114の間の通信アクセスを許可するべく命令できる。   In step 622, the digital device 102 provides network credentials for network access according to authentication requirements. In various implementations, the digital device 102 provides the authentication server 108 with a username, password, account number, or the like from network credentials. After the authentication server 108 authenticates the digital device 102, the authentication server 108 can instruct the access controller 112 to allow communication access between the digital device 102 and the communication network 114.

多様な実施態様においては、ネットワーク信用証明書が、ネットワーク・アクセス・ページ内のオプションを単純にアクティベートするべくディジタル・デバイス102に指示するログイン・プロシージャ情報を包含する。1つの例では、ネットワーク・アクセス・ページが、単純にサービスの期間および条件からなるとすることができる。ディジタル・デバイス102がネットワーク・アクセスを獲得するためには、ネットワーク・アクセス・ページ内における単一の選択がアクティベートされなければならない(『提出』ボタンまたはユーザが期間および条件に合意したことの表示等)。少なくとも部分的にログイン・プロシージャ情報に準じてディジタル・デバイス102は、自動的に正しい選択を行い、かつパスワードまたはユーザ名等の信用証明書をさらに提供することなくネットワーク・アクセスを獲得できる。当業者によって認識されるであろうが、ログイン・プロシージャ情報に基づいて1つまたは複数の選択が自動的に行われるようにできる。   In various embodiments, the network credentials include login procedure information that instructs the digital device 102 to simply activate the options in the network access page. In one example, the network access page may simply consist of service periods and conditions. In order for digital device 102 to gain network access, a single selection within the network access page must be activated (such as a “Submit” button or an indication that the user has agreed to a period and condition, etc. ). At least partially in accordance with the login procedure information, the digital device 102 can automatically make the correct selection and gain network access without further providing credentials such as a password or username. One skilled in the art will recognize that one or more selections can be made automatically based on login procedure information.

さらに、1つまたは複数のユーザ名、1つまたは複数のパスワード、および1つまたは複数のログイン・プロシージャ情報の任意の組み合わせがネットワーク信用証明書内に含められることがある。いくつかの実施態様では、ネットワーク信用証明書がユーザ名を含むことができる。ほかの実施態様では、ネットワーク信用証明書がパスワードを含むことができる。   Further, any combination of one or more usernames, one or more passwords, and one or more login procedure information may be included in the network credentials. In some implementations, the network credentials can include a username. In other implementations, the network credentials can include a password.

ステップ624においては、ディジタル・デバイス102がネットワークの連結性をテストしてネットワーク・アクセスを確認する。1つの例では、ディジタル・デバイス102が信用証明書サーバ116に関連付けされたウェブ・サイト(たとえば、信用証明書サーバ116がウェブ・サーバとして機能できる)への接続を試行する。いくつかの実施態様では、クエリまたはコマンドが、以前に信用証明書要求内において提出されたシーケンス識別子を含む。ネットワーク・アクセスが成功した場合には、信用証明書サーバ116が、当該クエリまたはコマンドを受信し、シーケンス識別子を取得できる。信用証明書サーバ116は、その後、そのネットワーク・アクセスが成功したことを確認できる。   In step 624, the digital device 102 tests network connectivity to confirm network access. In one example, the digital device 102 attempts to connect to a web site associated with the credential server 116 (eg, the credential server 116 can function as a web server). In some implementations, the query or command includes a sequence identifier that was previously submitted in the credential request. If the network access is successful, the credential server 116 can receive the query or command and obtain the sequence identifier. The credential server 116 can then confirm that the network access was successful.

図7は、例示的なディジタル・デバイスのブロック図である。ディジタル・デバイス102は、プロセッサ700、メモリ・システム702、ストレージ・システム704、I/Oインターフェース706、通信ネットワーク・インターフェース708、およびディスプレイ・インターフェース710を包含する。プロセッサ700は、実行可能インストラクション(たとえばプログラム)を実行するべく構成される。いくつかの実施態様ではプロセッサ700が、実行可能インストラクションを処理する能力のある回路または任意のプロセッサを包含する。   FIG. 7 is a block diagram of an exemplary digital device. Digital device 102 includes a processor 700, a memory system 702, a storage system 704, an I / O interface 706, a communication network interface 708, and a display interface 710. The processor 700 is configured to execute executable instructions (eg, programs). In some implementations, processor 700 includes circuitry or any processor capable of processing executable instructions.

メモリ・システム702は、データをストアするべく構成された任意のメモリである。メモリ・システム702のいくつかの例は、RAMまたはROM等のストレージ・デバイスである。メモリ・システム702は、RAMキャッシュを包含することが可能である。多様な実施態様においては、データがメモリ・システム702内にストアされる。メモリ・システム702内のデータは、クリアされるか、または最終的にストレージ・システム704に転送されることがある。   Memory system 702 is any memory configured to store data. Some examples of the memory system 702 are storage devices such as RAM or ROM. Memory system 702 can include a RAM cache. In various embodiments, data is stored in the memory system 702. Data in memory system 702 may be cleared or eventually transferred to storage system 704.

ストレージ・システム704は、データの取得およびストアを行うべく構成された任意のストレージである。ストレージ・システム704のいくつかの例は、フラッシュ・ドライブ、ハード・ドライブ、光学ドライブ、および/または磁気テープである。いくつかの実施態様においては、ディジタル・デバイス102が、RAMの形でメモリ・システム702を、かつフラッシュ・データの形でストレージ・システム704を含む。メモリ・システム702およびストレージ・システム704は、ともに、プロセッサ700を含むコンピュータ・プロセッサによって実行可能なインストラクションまたはプログラムをストアできるコンピュータ可読媒体を構成する。   The storage system 704 is any storage configured to obtain and store data. Some examples of storage system 704 are flash drives, hard drives, optical drives, and / or magnetic tape. In some embodiments, the digital device 102 includes a memory system 702 in the form of RAM and a storage system 704 in the form of flash data. Memory system 702 and storage system 704 together constitute a computer readable medium that can store instructions or programs executable by a computer processor, including processor 700.

オプションの入力/出力(I/O)インターフェース706は、ユーザから入力を受け取り、データを出力する任意のデバイスである。オプションのディスプレイ・インターフェース710は、グラフィクスおよびデータをディスプレイに出力するべく構成された任意のデバイスである。1つの例においては、ディスプレイ・インターフェース710がグラフィック・アダプタになる。認識されるであろうが、すべてのディジタル・デバイス102が、I/Oインターフェース806またはディスプレイ・インターフェース810のうちのいずれも包含するわけではない。   An optional input / output (I / O) interface 706 is any device that receives input from a user and outputs data. Optional display interface 710 is any device configured to output graphics and data to a display. In one example, the display interface 710 is a graphics adapter. As will be appreciated, not all digital devices 102 include either the I / O interface 806 or the display interface 810.

通信ネットワーク・インターフェース(コム・ネットワーク・インターフェース)708は、リンク712を介してネットワーク(たとえば、ローカル・エリア・ネットワーク106および通信ネットワーク114)に結合することが可能である。通信ネットワーク・インターフェース708は、たとえばイーサネット接続、シリアル接続、パラレル接続、またはATA接続を介した通信をサポートできる。また通信ネットワーク・インターフェース708は、無線通信(たとえば、802.11a/b/g/n、ワイマックス(WiMax))もサポートできる。当業者には明らかとなろうが、通信ネットワーク・インターフェース708は、多くの有線および無線標準をサポートすることが可能である。   Communication network interface (com network interface) 708 may be coupled to a network (eg, local area network 106 and communication network 114) via link 712. The communication network interface 708 can support communication via, for example, an Ethernet connection, a serial connection, a parallel connection, or an ATA connection. The communication network interface 708 can also support wireless communication (eg, 802.11a / b / g / n, WiMax). As will be apparent to those skilled in the art, the communication network interface 708 can support a number of wired and wireless standards.

上で述べた機能および構成要素は、ストレージ媒体上にストアされるインストラクションからなるとすることができる。それらのインストラクションは、プロセッサによって取得され、実行されることが可能である。インストラクションのいくつかの例は、ソフトウエア、プログラム・コード、およびファームウエアである。ストレージ媒体のいくつかの例は、メモリ・デバイス、テープ、ディスク、集積回路、およびサーバである。インストラクションは、プロセッサによって実行されるとき、当該プロセッサに、本発明の実施態様と調和して動作することを指示するべく機能する。当業者は、インストラクション、プロセッサ(1つまたは複数)、およびストレージ媒体について熟知している。   The functions and components described above can consist of instructions stored on a storage medium. Those instructions can be obtained and executed by a processor. Some examples of instructions are software, program code, and firmware. Some examples of storage media are memory devices, tapes, disks, integrated circuits, and servers. The instructions, when executed by a processor, serve to instruct the processor to operate in harmony with the embodiments of the present invention. Those skilled in the art are familiar with instructions, processor (s), and storage media.

以上、例示的な実施態様を参照して本発明を述べてきた。当業者には明らかとなろうが、より広い本発明の範囲から逸脱することなしに多様な修正が許され、かつそのほかの実施態様を使用することが可能である。したがって、例示的な実施態様に対するそれらの、およびそのほかの変形は、本発明によって保護されるべく意図されている。   The present invention has been described above with reference to exemplary embodiments. It will be apparent to those skilled in the art that various modifications are possible and other embodiments can be used without departing from the broader scope of the invention. Accordingly, these and other variations on the exemplary embodiments are intended to be protected by the present invention.

102 ディジタル・デバイス、104 ネットワーク・デバイス、106 ローカル・エリア・ネットワーク、108 認証サーバ、110 DNSサーバ、112 アクセス・コントローラ、114 通信ネットワーク、116 信用証明書サーバ、200 認証モジュール、202 ネットワーク・モジュール、204 信用証明書要求モジュール、206 信用証明書エンジン、208 暗号化/復号化モジュール、210 DDIDストレージ、212 ネットワーク・アクセス・エンジン。 102 digital device, 104 network device, 106 local area network, 108 authentication server, 110 DNS server, 112 access controller, 114 communication network, 116 credential server, 200 authentication module, 202 network module, 204 Credential Request Module, 206 Credential Engine, 208 Encryption / Decryption Module, 210 DDID Storage, 212 Network Access Engine.

Claims (19)

ネットワーク信用証明書を獲得するための方法であって、
通信ネットワーク(114)上のネットワーク・デバイス(104)からネットワーク構成情報を、デジタル・デバイス(102)で受信するステップと、
デジタル・デバイス(102)で、信用証明書要求を生成するステップと、
デジタル・デバイス(102)からネットワーク・デバイス(104)の先の信用証明書サーバにDNSプロトコル・フォーマット形式の前記信用証明書要求を送信するステップと、
デジタル・デバイス(102)で、信用証明書要求応答を受信するステップと、
デジタル・デバイス(102)によって、前記通信ネットワークにアクセスするために前記ネットワーク・デバイスに、前記信用証明書要求応答からのネットワーク信用証明書を提供するステップと、
を含む方法。 A method for obtaining network credentials,
Receiving at the digital device (102) network configuration information from a network device (104 ) on a communication network (114) ;
Generating a credential request at the digital device (102) ;
Sending the credential request in DNS protocol format form from a digital device (102) to a previous credential server of the network device (104) ;
Receiving at the digital device (102) a credential request response;
Providing network credentials from the credential request response to the network device for accessing the communication network by a digital device (102) ;
Including methods. さらに、前記信用証明書要求を暗号化するステップを含む、請求項1に記載の方法。   The method of claim 1, further comprising encrypting the credential request. さらに、前記信用証明書要求応答を復号するステップを含む、請求項1に記載の方法。   The method of claim 1, further comprising decrypting the credential request response. さらに、前記信用証明書要求をディジタル署名するステップを含む、請求項1に記載の方法。   The method of claim 1, further comprising digitally signing the credential request. 前記信用証明書要求は場所識別子を含む、請求項1に記載の方法。   The method of claim 1, wherein the credential request includes a location identifier. 前記場所識別子は、前記ネットワーク構成情報のうちの少なくともいくつかに基づく、請求項5に記載の方法。   The method of claim 5, wherein the location identifier is based on at least some of the network configuration information. 前記信用証明書要求応答は、前記信用証明書要求応答をキャッシュさせないコマンドを含む、請求項1に記載の方法。   The method of claim 1, wherein the credential request response includes a command that does not cause the credential request response to be cached. 前記信用証明書要求応答からの前記信用証明書を提供する前記ステップは、ネットワーク・アクセス・ページを分析すること、および前記ネットワーク・アクセス・ページ内のフォーム情報を書き込むことを含む、請求項1に記載の方法。   The step of providing the credentials from the credential request response comprises analyzing a network access page and writing form information in the network access page. The method described. 前記信用証明書要求は、ディジタル・デバイス(102)の識別子を含む、請求項1に記載の方法。   The method of claim 1, wherein the credential request includes an identifier of a digital device (102). ネットワーク信用証明書を獲得するためのデジタル・デバイスであって、
通信ネットワーク(114)上のネットワーク・デバイス(104)からネットワーク構成情報を受信するべく、かつDNSプロトコル・フォーマット形式の信用証明書要求をネットワーク・デバイス(104)の先の信用証明書サーバに送信するべく構成されたネットワーク・モジュール(202)
前記信用証明書要求を生成するべく構成された信用証明書要求モジュール(204)
信用証明書要求応答を受信するべく構成された信用証明書エンジン(206)、および
前記通信ネットワーク(114)にアクセスするために前記ネットワーク・デバイス(104)に、前記信用証明書要求応答からのネットワーク信用証明書の提供をするべく構成されたネットワーク・アクセス・エンジン(212)
含むデジタル・デバイスA digital device for obtaining network credentials,
To receive network configuration information from the network device (104 ) on the communication network (114) and send a credential request in DNS protocol format format to the credential server ahead of the network device (104). Configured network module (202) ,
A credential request module (204) configured to generate the credential request;
A credential engine (206) configured to receive a credential request response, and a network from the credential request response to the network device (104) to access the communication network (114) A network access engine (212) configured to provide credentials;
Including digital devices . さらに、前記信用証明書要求を暗号化するべく構成された暗号化/復号化モジュール(208)を含む、請求項10に記載のデジタル・デバイス。   The digital device of claim 10, further comprising an encryption / decryption module (208) configured to encrypt the credential request. さらに、前記信用証明書要求応答を復号するべく構成された暗号化/復号化モジュール(208)を含む、請求項10に記載のデジタル・デバイス。   The digital device of claim 10, further comprising an encryption / decryption module (208) configured to decrypt the credential request response. さらに、前記信用証明書要求をディジタル署名するべく構成された暗号化/復号化モジュール(208)を含む、請求項12に記載のデジタル・デバイス。   The digital device of claim 12, further comprising an encryption / decryption module (208) configured to digitally sign the credential request. 前記信用証明書要求は場所識別子を含む、請求項10に記載のデジタル・デバイス。   The digital device of claim 10, wherein the credential request includes a location identifier. 前記場所識別子は、前記ネットワーク構成情報のうちの少なくともいくつかに基づく、請求項14に記載のデジタル・デバイス。   The digital device of claim 14, wherein the location identifier is based on at least some of the network configuration information. 前記信用証明書要求応答は、前記信用証明書要求応答をキャッシュさせないコマンドを含む、請求項10に記載のデジタル・デバイス。   The digital device of claim 10, wherein the credential request response includes a command that does not cause the credential request response to be cached. 前記信用証明書要求応答からの前記信用証明書の提供は、ネットワーク・アクセス・ページを分析するべく、かつ前記ネットワーク・アクセス・ページ内のフォーム情報を書き込むべく構成された前記ネットワーク・アクセス・エンジン(212)を含む、請求項10に記載のデジタル・デバイス。   Providing the credential from the credential request response may include the network access engine configured to analyze a network access page and to fill form information in the network access page ( 212) The digital device of claim 10, comprising: 前記信用証明書要求は、ディジタル・デバイス識別子を含む、請求項10に記載のデジタル・デバイス。   The digital device of claim 10, wherein the credential request includes a digital device identifier. プロセッサ(700)により実行できるプログラムであって、その実行により、ネットワーク信用証明書を獲得する次の方法、すなわち:
通信ネットワーク(114)上のネットワーク・デバイス(104)からネットワーク構成情報を、デジタル・デバイス(102)で受信するステップと、
デジタル・デバイス(102)で、信用証明書要求を生成するステップと、
デジタル・デバイス(102)からネットワーク・デバイス(104)の先の信用証明書サーバに、DNSプロトコル・フォーマットの前記信用証明書要求を送信するステップと、
デジタル・デバイス(102)で、信用証明書要求応答を受信するステップと、
デジタル・デバイス(102)によって、前記通信ネットワークにアクセスするために前記ネットワーク・デバイスに、前記信用証明書要求応答からのネットワーク信用証明書を提供するステップと、
を含む方法が実施されるプログラムを記憶したコンピュータ可読記憶媒体。 A program that can be executed by the processor (700) , the execution of which is the following method of obtaining network credentials:
Receiving at the digital device (102) network configuration information from a network device (104 ) on a communication network (114) ;
Generating a credential request at the digital device (102) ;
Sending the credential request in DNS protocol format from the digital device (102) to the previous credential server of the network device (104) ;
Receiving at the digital device (102) a credential request response;
Providing network credentials from the credential request response to the network device for accessing the communication network by a digital device (102) ;
A computer-readable storage medium storing a program for implementing the method.
JP2009527412A 2006-09-06 2007-09-06 System and method for obtaining network credentials Expired - Fee Related JP5276593B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US82475606P 2006-09-06 2006-09-06
US60/824,756 2006-09-06
PCT/US2007/019464 WO2008030527A2 (en) 2006-09-06 2007-09-06 Systems and methods for acquiring network credentials

Publications (3)

Publication Number Publication Date
JP2010503319A JP2010503319A (en) 2010-01-28
JP2010503319A5 JP2010503319A5 (en) 2010-10-28
JP5276593B2 true JP5276593B2 (en) 2013-08-28

Family

ID=39157841

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2009527411A Expired - Fee Related JP5276592B2 (en) 2006-09-06 2007-09-06 System and method for gaining network access
JP2009527412A Expired - Fee Related JP5276593B2 (en) 2006-09-06 2007-09-06 System and method for obtaining network credentials
JP2009527410A Expired - Fee Related JP5368307B2 (en) 2006-09-06 2007-09-06 System and method for providing network credentials

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2009527411A Expired - Fee Related JP5276592B2 (en) 2006-09-06 2007-09-06 System and method for gaining network access

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2009527410A Expired - Fee Related JP5368307B2 (en) 2006-09-06 2007-09-06 System and method for providing network credentials

Country Status (3)

Country Link
EP (3) EP2062129A4 (en)
JP (3) JP5276592B2 (en)
WO (3) WO2008030526A2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9883271B2 (en) 2008-12-12 2018-01-30 Qualcomm Incorporated Simultaneous multi-source audio output at a wireless headset

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5270947B2 (en) * 2008-04-01 2013-08-21 キヤノン株式会社 COMMUNICATION SYSTEM CONTROL METHOD, RADIO COMMUNICATION DEVICE, BASE STATION, MANAGEMENT DEVICE, PROGRAM, AND RECORDING MEDIUM
US8825876B2 (en) 2008-07-17 2014-09-02 Qualcomm Incorporated Apparatus and method for mobile virtual network operator (MVNO) hosting and pricing
US8099761B2 (en) * 2008-08-14 2012-01-17 Microsoft Corporation Protocol for device to station association
US8943551B2 (en) 2008-08-14 2015-01-27 Microsoft Corporation Cloud-based device information storage
US8769612B2 (en) 2008-08-14 2014-07-01 Microsoft Corporation Portable device association
US20100263022A1 (en) * 2008-10-13 2010-10-14 Devicescape Software, Inc. Systems and Methods for Enhanced Smartclient Support
US8353007B2 (en) * 2008-10-13 2013-01-08 Devicescape Software, Inc. Systems and methods for identifying a network
GB2464553B (en) 2008-10-22 2012-11-21 Skype Controlling a connection between a user terminal and an access node connected to a communication network
GB2464552B (en) * 2008-10-22 2012-11-21 Skype Authentication system and method for authenticating a user terminal with an access node providing restricted access to a communication network
EP3177076B1 (en) * 2014-08-21 2020-07-22 Huawei Technologies Co., Ltd. Wireless network access control method, device and system
WO2016173621A1 (en) * 2015-04-28 2016-11-03 Telecom Italia S.P.A. Method and system for authenticating users in public wireless networks

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6263446B1 (en) * 1997-12-23 2001-07-17 Arcot Systems, Inc. Method and apparatus for secure distribution of authentication credentials to roaming users
US6233577B1 (en) * 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
JP4612951B2 (en) * 1998-11-19 2011-01-12 アルコット システムズ インコーポレイテッド Method and apparatus for securely distributing authentication credentials to roaming users
JP2003196241A (en) * 2001-12-25 2003-07-11 Dainippon Printing Co Ltd User authentication information setting device and client computer
DE60334446D1 (en) * 2002-03-01 2010-11-18 Enterasys Networks Inc ORDINARY DATA NETWORK
US20030188201A1 (en) * 2002-03-28 2003-10-02 International Business Machines Corporation Method and system for securing access to passwords in a computing network environment
JP3791464B2 (en) * 2002-06-07 2006-06-28 ソニー株式会社 Access authority management system, relay server and method, and computer program
US20040003081A1 (en) * 2002-06-26 2004-01-01 Microsoft Corporation System and method for providing program credentials
JP2004310581A (en) * 2003-04-09 2004-11-04 Nec Corp Network connecting method, and network system
JP2004320593A (en) * 2003-04-18 2004-11-11 Sony Computer Entertainment Inc Communication management system and method
EP1620971A2 (en) * 2003-04-29 2006-02-01 Azaire Networks Inc. Method and system for providing sim-based roaming over existing wlan public access infrastructure
JP2005286783A (en) * 2004-03-30 2005-10-13 Hitachi Software Eng Co Ltd Wireless lan connection method and wireless lan client software
US7467402B2 (en) * 2004-08-24 2008-12-16 Whitehat Security, Inc. Automated login session extender for use in security analysis systems
US7603700B2 (en) * 2004-08-31 2009-10-13 Aol Llc Authenticating a client using linked authentication credentials
US20060130140A1 (en) * 2004-12-14 2006-06-15 International Business Machines Corporation System and method for protecting a server against denial of service attacks

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9883271B2 (en) 2008-12-12 2018-01-30 Qualcomm Incorporated Simultaneous multi-source audio output at a wireless headset

Also Published As

Publication number Publication date
WO2008030527A3 (en) 2008-09-25
WO2008030525A3 (en) 2008-07-31
EP2062129A4 (en) 2011-03-16
JP5276592B2 (en) 2013-08-28
WO2008030525A2 (en) 2008-03-13
WO2008030526A2 (en) 2008-03-13
EP2062129A2 (en) 2009-05-27
JP2010503317A (en) 2010-01-28
EP2060050A4 (en) 2011-03-16
JP2010503319A (en) 2010-01-28
EP2062130A2 (en) 2009-05-27
EP2060050A2 (en) 2009-05-20
JP2010503318A (en) 2010-01-28
WO2008030526A3 (en) 2008-07-17
EP2062130A4 (en) 2011-03-16
WO2008030527A2 (en) 2008-03-13
JP5368307B2 (en) 2013-12-18

Similar Documents

Publication Publication Date Title
US8191124B2 (en) Systems and methods for acquiring network credentials
JP5276593B2 (en) System and method for obtaining network credentials
US8196188B2 (en) Systems and methods for providing network credentials
US8554830B2 (en) Systems and methods for wireless network selection
US8194589B2 (en) Systems and methods for wireless network selection based on attributes stored in a network database
US8549588B2 (en) Systems and methods for obtaining network access
US9326138B2 (en) Systems and methods for determining location over a network
US8743778B2 (en) Systems and methods for obtaining network credentials
US9529985B2 (en) Global authentication service using a global user identifier
US8943321B2 (en) User identity management for permitting interworking of a bootstrapping architecture and a shared identity service
US20180199205A1 (en) Wireless network connection method and apparatus, and storage medium
EP2206400B1 (en) Systems and methods for wireless network selection
EP2443562B1 (en) Systems and methods for determining location over a network
US8321671B2 (en) Method and apparatus for client-driven profile update in an enterprise wireless network
KR102171377B1 (en) Method of login control
JP2017139026A (en) Method and apparatus for reliable authentication and logon
JP2015111440A (en) Method and apparatus for trusted authentication and log-on

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100906

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100906

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110906

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120518

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120529

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120829

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120905

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121129

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130423

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130517

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5276593

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees