[go: up one dir, main page]

JP5982706B2 - セキュアトンネリング・プラットフォームシステムならびに方法 - Google Patents

セキュアトンネリング・プラットフォームシステムならびに方法 Download PDF

Info

Publication number
JP5982706B2
JP5982706B2 JP2014540359A JP2014540359A JP5982706B2 JP 5982706 B2 JP5982706 B2 JP 5982706B2 JP 2014540359 A JP2014540359 A JP 2014540359A JP 2014540359 A JP2014540359 A JP 2014540359A JP 5982706 B2 JP5982706 B2 JP 5982706B2
Authority
JP
Japan
Prior art keywords
user
request
module
tunneling
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014540359A
Other languages
English (en)
Other versions
JP2015502694A (ja
Inventor
ワイズマン−ディアモンド・マーチン・バルサブスキー
フェルナンデス・ゴンサロ・ジュリアン ベカレス
フェルナンデス・ゴンサロ・ジュリアン ベカレス
セブレイロ・ハビアー・イウルギ アルジンソニス
セブレイロ・ハビアー・イウルギ アルジンソニス
カストロ・ジュアン・マヌエル ムニョス
カストロ・ジュアン・マヌエル ムニョス
メドラノ・バプロ・マーチン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
FON WIRERLESS Ltd
Original Assignee
FON WIRERLESS Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by FON WIRERLESS Ltd filed Critical FON WIRERLESS Ltd
Publication of JP2015502694A publication Critical patent/JP2015502694A/ja
Application granted granted Critical
Publication of JP5982706B2 publication Critical patent/JP5982706B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2858Access network architectures
    • H04L12/2859Point-to-point connection between the data network and the subscribers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

[関連出願の相互参照]
本出願は、2011年11月14日に出願された米国仮特許出願第61/559,460号の優先権を主張するものであり、その全内容が参照により本明細書に組み込まれる。本出願は、以下のすべての出願の全内容が参照により本明細書に組み込まれる:2011年11月14日に出願された米国仮特許出願第61/559,460号および2010年12月30日に出願された米国仮特許出願第61/428,620号の優先権を主張して、2011年12月29日に出願された米国特許出願第13/339,807号。
本出願は、広くは、ネットワーク帯域共有に関し、より具体的には、セキュアトンネリング、ならびにユーザを識別することに関するものである。
Wi−Fiなどによる帯域共有は、本出願と譲受人が同一である2011年4月12日に発行された米国特許第7924780号に記載されているような利点がある実際的なソリューションであり、該文献の全内容は参照により本明細書に組み込まれる。Wi−Fiを介して、インターネットなどの通信ネットワークにアクセスするユーザは、多くの場合、パブリック・インターネットプロトコル(「IP」)アドレスを共有している。例えば、個々のインターネットサービスプロバイダ(「ISP」)は、1つまたは限定数のIPアドレスによるインターネットアクセスを提供する。インターネット帯域幅を、Wi−Fiアクセスポイントを介して利用することができる。ユーザAは、iPod touchを操作して、インターネット上のウェブページにアクセスするために、Wi−Fiサービスを探してこれにアクセスする。ユーザBは、ラップトップコンピュータを操作して、インターネット上の異なるウェブページにアクセスするために、同じWi−Fiサービスを探し出す。ユーザAとユーザBにより操作されるデバイスは、ISPにより提供される1つの同じパブリックIPアドレスを共有している。この例では、どちらのユーザ(ユーザAまたはユーザB)が、どちらのインターネットウェブページにアクセスにしたのか判断することは、両方のユーザが同じパブリックIPアドレスを共有しているため、不可能である。
上記の例では、2人のユーザが、異なるコンピュータデバイスを操作して、2つの異なるウェブページに同時にアクセスする。残念ながら、ISPが検出できるのは、アクセスした両ユーザが共有している1つのIPアドレスのみである。従って、個々のユーザを識別することはできない。
ハンドヘルド無線デバイスまたはスマートフォンまたは他の無線もしくは有線デバイスなどのユーザデバイスを用いたユーザの通信のための仮想トンネルをインターネット上に提供するとともに、ユーザを明確に識別するための装置、コンピュータ可読媒体、システム、方法、ならびにその方法を実施する手段について、開示する。
Wi−Fiまたは他の帯域共有によって通信ネットワークにアクセスする個々のユーザを、両方のユーザが同時に帯域を共有している場合であっても、識別するためのシステムならびに方法を提供する。本明細書の教示によるシステムならびに方法は、さらに、1つまたは限定数の共有されたパブリックIPアドレスで提供される帯域幅を含む、Wi−Fiサービスにより提供される帯域幅を、使用する個々のユーザの識別および開示を提供する。
本開示による方法は、ユーザのデバイスによってユーザが認証の要求を送信することと、リモートでウェブサーバがユーザの資格情報を認証することと、成功した場合に、ユーザを許可するためのランダムなワンタイムパスワードハッシュを送信することを含めて、ユーザデバイス上のユーザのブラウザにHTTPリダイレクト要求を送信することと、を含む。その後、ユーザのブラウザは、パスワードまたはパスワードハッシュを含む許可要求を、設定済みルータのキャプティブポータルにHTTPによって送信し、また、設定済みルータがユーザ構内でユーザのデバイスと通信することより提供されるトンネル許可により、インターネットサービスプロバイダ・データセンタにあるプライマリシステム・レイヤ2トンネリングプロトコル・ネットワークサーバ(LNS)へのL2TPトンネルを確立して、設定済みルータは、確立されたL2TPトンネルを介してLNSにPPP許可要求を送信し、該要求はパスワードを含み、LNSは、ISPデータセンタ構内から離れたリモートの集中データセンタに許可RADIUS要求を送信し、リモートのデータセンタは許可を承認し、LNSルータは、PPPトンネルを受諾するとともに、ユーザのPPPセッションにプライベートIPアドレスを割り当てる。
よって、ユーザを認証するためのインターネットアクセスは、ユーザがユーザ構内の設定済みルータを介して要求をインターネットで送信することによって進められ、その要求は確立済みPPPトンネル内でカプセル化される。この時点で、LNSは、例えばポートアドレス変換(PAT)を用いて、プライベートIPアドレスおよびポートをパブリックIPアドレスに変換する。PATログを、異なるサーバまたは同一のサーバに、例えば公開サーバに、保存することができ、LNSは、インターネット要求を転送し、リプライを受信して、IP変換を逆変換し、そしてLNSは、PPPトンネルを介して設定済みルータに応答を返し、これにより、リプライをユーザのデバイスに転送することができる。
本出願は、ネットワークトンネリング・プラットフォームを含み、これにより、ユーザまたはユーザのコンピュータデバイスが、1つまたは複数のNAT(ネットワークアドレス変換)サービスの背後にある場合でも、通信ネットワークを介してユーザ識別が提供されるようにルータが構成される。登録されたユーザ識別情報を、1つ以上のデータベースに受け取って保存する。よって、ネットワークユーザは、加入者であり、従って、明確に識別することが可能である。例えば、ユーザは、ユーザ名とパスワードを提示することにより認証され、また、ユーザの認証ステータスに応じて、追加料金なしで、またはわずかな料金で、他のユーザのネットワーク帯域を共有することが許可されることがある。本明細書の教示では、ユーザを識別するために、ユーザの接続IPアドレスおよびTCP/UDPポートをユーザの認証情報(例えば、ユーザ名およびパスワード)と関連付けることについて、規定する。
本明細書の教示により提供されるユーザ識別機能は、最も厳しいインターネットサービスプロバイダであっても、そのセキュリティポリシーおよび法的要件の遵守を提供するものである。
ユーザ識別情報は、少なくとも一部は、レイヤ2トンネリングプロトコル(「L2TP」)トンネルを介して、PPPセッションにより提示される。各ユーザセッションは、L2TPトンネルを介して確立され,これにより、各PPPトンネルに対して、よって各ユーザに対して、独立なインターネットプロトコル(「IP」)アドレスを与える。例えば、認証およびアカウンティング・プロセスもサポートし得るリモート認証ダイヤルインユーザサービス(「RADIUS:Remote Authentication Dial In User Service」)サーバによって、ユーザ資格情報および個々のセッションIPアドレスはログ記録される。
本明細書の教示によるトンネリング・ソリューションは、さらに、限られたIPアドレスを使用可能な環境を提供する。各ユーザにプライベートIPアドレスを割り当てることによって、パブリックIPアドレスの節約を提供することができる。この実施形態では、個々のプライベートIPアドレスは、ネットワークトラフィックがインターネットに達する前に、例えば1つ以上のネットワークアドレス変換(「NAT」)サーバによって、1つまたは複数のパブリックIPアドレスに変換される。一実施形態では、複数のプライベートIPアドレスが、単一のパブリックIPアドレスでネットワークアドレス変換される(PATまたはNATオーバロードとも呼ばれる)。NATアカウンティングログを提供することにより、明確なユーザ識別が提供される。
本明細書における例の多くはIP節約に関するものであるが、限定または削減された数のIPアドレスをサポートするためのNAT変換を提供またはサポートしていない実施形態では、プライベートIPアドレスをNATにより変換して1つ以上のパブリックIPアドレスを共有するのではなく、代わりに、任意の時点で接続されているユーザに独立なパブリックIPアドレスを単に割り当てることによって、より単純で安価とすることができる。
また、一実施形態におけるインフラストラクチャは、例えばデータセンタおよび通信プロバイダの冗長度に応じたアベイラビリティを実質的に提供する。さらに、例えば、設定済みルータとのトンネルを終端するネットワーク装置を追加することによって、例えば、数百から数千の同時ユーザをサポートするためのスケーラビリティが実質的にサポートされる。同時ユーザ数がより少ない場合には、機能性およびコストに関して適切にスケーリングするように、システムならびにプラットフォームコストを調整可能である。
一実施形態において、本明細書の教示による設定済みルータは、RADIUS要求をシステムのRADIUSプロキシサーバに送信して、そこから、例えば、ホワイトリストされたドメイン、ウェルカムページのユニフォームリソースロケータ(「URL」)、L2TPサーバ(「LNS」)の詳細などを含む構成プロファイル情報を取得する。システムのRADIUSプロキシは、構成プロファイルを設定済みルータに送信する。ユーザがアクセスを許可または認可されたドメイン(「ホワイトリストされた」ドメイン)へのハイパーテキスト転送プロトコル(「HTTP」)要求を、ユーザが送信した場合、設定済みルータは、その要求をユーザに転送し、これにより、そのトラフィックをNATによりルータのパブリックIPアドレスで変換して、それをインターネットに転送する。HTTP応答が、ユーザのブラウザに送信される。
ユーザが、ホワイトリストされていないドメインへのアクセスを試みた場合、設定済みルータのキャプティブポータルが要求をインタセプトして、ユーザのブラウザに、例えば、ハイパーテキストマークアップ言語(「HTML」)ウェルカムページへのHTTPリダイレクトを送信する。ユーザのブラウザは、ウェルカムページを要求し、セキュリティ保護された(「HTTPS」)ウェルカムページがユーザに提供される。一実施形態において、ユーザは、ウェルカムページで、自身の資格情報(例えば、ユーザ名とパスワード)を入力する。1つまたは複数のウェブサーバが、システムのデータベース内のユーザ資格情報にアクセスすることにより、認証プロセスを実行する。認証に成功した場合、ウェブサーバは、許可フェーズで用いられるランダムなワンタイムパスワードハッシュを含むHTTPリダイレクト要求を、ユーザのウェブブラウザ・ソフトウェアアプリケーションに送信する。ユーザのブラウザは、設定済みルータのキャプティブポータルに、許可要求をHTTPによって送信し、それはワンタイムパスワードを含んでいる。
認証されたら、例えば、以前の接続によってトンネルが未だ確立されていない場合に、設定済みルータは、そのプライマリシステムLNSへのL2TPトンネルを確立する。プライマリLNSへの接続に失敗した場合、設定済みルータは、好ましくはセカンダリLNSへの接続を試みる。設定済みルータは、L2TPトンネルを介して、PPP許可要求をLNSに送信し、それはワンタイムパスワードを含むことができる。これに応じて、LNSは、許可RADIUS要求を、例えばISPにあるシステムRADIUSプロキシに送信する。一実施形態では、ISPは、本明細書の教示によるシステムおよび方法の提供者または所有者と提携している。
この実施形態について続けると、ISPのRADIUSプロキシは、DCRルータ間に確立された暗号化仮想プライベートネットワーク(「VPN」)を介して、許可要求を、本明細書の教示によるシステムおよび方法の提供者または所有者により提供または管理されるRADIUSサーバに転送し、それは世界のどの場所にあってもよい。許可に成功した場合、システムにより提供されるRADIUSプロキシは、暗号化VPNを介して、ISPのRADIUSプロキシにアクセス許可(access−accept)を返信する。その後、ISPのRADIUSプロキシは、アクセス許可パケットをLNSへ転送し、これにより、PPPトンネルを受諾して、PPPセッションにプライベートIPアドレスを割り当てる。
一実施形態では、キャプティブポータル認証がサポートされる。例えば、設定済みルータは、上記のワンタイムパスワードを含むRADIUS許可要求を、ISPのRADIUSプロキシに送信する。RADIUS要求は、本明細書の教示によるシステムおよび方法の提供者または所有者により提供または管理されるRADIUSプロキシサーバに転送される。資格情報は、好ましくは上記のPPPトンネルの許可に用いた資格情報と同じであり、このため、要求は受諾されると予想される。アクセス許可パケット(複数の場合もある)が、世界のどの場所にあってもよいシステムRADIUSプロキシに送信され、次に、設定済みルータに伝送される。アクセス許可パケットは、好ましくは、ユーザのネットワークプロファイルを含んでいる。その後、設定済みルータは、個々のユーザにインターネットアクセスを提供し、それには、LNSによりPPPセッションに割り当てられるプライベートIPアドレスと、設定済みルータにより動的ホスト制御プロトコル(「DHCP」)でユーザのデバイスに割り当てられるプライベートIPアドレスとの間の、静的ネットワークアドレス変換(「NAT」)を含むことができる。
ユーザが認証されたら、ユーザは、設定済みルータを介してインターネットに要求を送信する。要求は、上述したPPPトンネル内でカプセル化される。LNSは、要求に対してポートアドレス変換(「PAT」)を実施して、要求の中のプライベートIPアドレスおよびポート番号を、パブリックIPアドレス(異なるポートであってもよい)に変換する。その後、PATログが、公開サーバに保存される。要求は、HTTPサーバなど個々のサーバにインターネットを介して転送され、そこから、応答がインターネットを介して別のPATプロセスに向けて送信される。IP(およびポート)は効果的に逆変換され、LNSは、PPPトンネルを介して、その応答を設定済みルータへ伝送する。設定済みルータは、応答をユーザのソフトウェアアプリケーションに転送する。
このように、また、上記の例示的実施形態に関連して説明したように、本明細書の教示は、ユーザ接続フローを提供するものであり、それには、ホワイトリストされたドメインおよびホワイトリストされていないドメインへのアクセスと、ウェブサーバ認証、トンネル許可、およびキャプティブポータル認証を含むユーザ認証および許可と、が含まれる。
一実施形態では、少なくとも3つのセッション・アカウンティングの統合が含まれる。1つは、本明細書の教示の所有者により管理または維持される1つまたは複数のRADIUSサーバによるPPPセッション・アカウンティングである。第2のものは、同様にシステムのRADIUSサーバ(複数の場合もある)により生成されるキャプティブポータルセッション・アカウンティングである。第3のものは、LNSルータにより提供されるNATアカウンティングである。PPPセッション・アカウンティングは、ユーザのセッション開始時刻、停止時刻、およびPPPセッションが終了した個々のLNSのIPアドレスを、少なくとも含むことができる。また、CPE(顧客構内機器)は、設定済みルータの広域ネットワーク(「WAN」)IPアドレスを変換(NAT)するので、PPPセッション・アカウンティングは、さらに、LNSへのトンネルのIPソースであるCPEのIPアドレスを含むことができる。PPPセッション・アカウンティングに含まれるその他情報は、PPPセッション用にLNSにより設定済みルータに割り当てられるプライベートIPアドレス、ユーザのユーザ名、アカウンティングパケットのタイプ、およびFON固有セッション識別子(キャプティブポータルセッションのものと同一)である。
一実施形態において、キャプティブポータルは、設定済みルータにおけるユーザの認可およびアカウンティングを管理する。キャプティブポータルセッション・アカウンティングは、好ましくは、ユーザのセッション開始時刻、セッション停止時刻、ユーザのユーザ名、ユーザのデバイスタイプ(スマートフォンなど)および媒体アクセス制御(「MAC」)アドレス、ユーザのCPEのMACアドレス、設定済みルータによりDHCPで割り当てられたユーザのコンピュータデバイス(スマートフォンなど)のIPアドレス、固有セッション識別子(上記のようにPPPセッションに関連付けられたものと同一)のうち、1つまたは複数を含む。
また、NAT変換セッション・アカウンティングは、LNSルータにより生成され、変換作成時刻、変換削除時刻、アカウンティングのタイプ(例えば、NAT作成またはNAT削除)、レイヤ4通信プロトコル(UDPまたはTCP)、PPPセッションIPアドレス(内部アドレス)およびポート、変換に用いられるLNSパブリックIPアドレスおよびポート、ユーザが目指すインターネットIPアドレスおよびポートのうち、1つまたは複数を含む。
このように、個々のセッション・アカウンティングによって、ユーザの追跡および識別が提供される。例えば、ユーザのパブリックIPアドレス、TCPまたはUDPポート、および時間フレームは、予め分かっている。本明細書の教示では、その情報を用いて、PPPセッションに割り当てられたプライベートIPアドレスを特定し、それは、もし時間フレームが適切であれば、単一のPPPセッションに関するものである(すなわち、24時間の時間フレームとすると、時を異にして同じプライベートIPアドレスを共有するいくつかのPPPセッションがあり得る)。さらに、そのPPPセッションIPアドレスを用いて、そのIPアドレスのPPPセッション・アカウンティングを特定することが可能であり、ユーザのユーザ名およびCPEアドレスを特定することが可能である。
また、さらなる情報(すなわち、ユーザデバイスのMACアドレス)が必要である場合には、固有セッションIDを取得することができ、そして同じ固有セッションIDを持つキャプティブポータルのユーザセッションを特定することができる。従って、ユーザデバイスのMACアドレス、および設定済みルータのMACアドレスを特定することができる。
さらに、本明細書の教示により、スケーラビリティおよび冗長性の確保を容易にするためのモジュール設計を有する「ライブプラットフォーム(Live Platform)」を提供する。一実施形態では、LNSサブプラットフォームが、設定済みルータを始点とするL2TP PPPトンネルを終端する。LNSサブプラットフォームは、さらに、ユーザのセッションにプライベートIPアドレスを割り当て、プライベートIPアドレスをパブリックIPアドレスに変換し、NATアカウンティングを生成して外部のシスログ(Syslog)にそれを転送し、RADIUSプロトコルを用いてユーザのセッションを認証し、RADIUSプロトコルを用いてセッション・アカウンティングを生成することができる。
セキュリティ保護されたRADIUS認証および他のトランザクションのため、システムのプラットフォームとの暗号化トンネル(Gre/IPSec)を提供し得る、1つまたは複数の設定済みルータ/ファイアウォールを含む、情報技術(「IT」)サービス・サブプラットフォームを、さらに設けることもできる。ITサービス・プラットフォームは、さらに、データセンタに設置されたサーバを保護するために、1つ以上のファイアウォール機能を実装することもできる。ITサービス・プラットフォームは、さらに、RADIUSプロキシサーバを含むことができ、それは、一実施形態では、RADIUS認証およびアカウンティングを集中させて、それに関する情報を、本明細書の教示によるシステムおよび方法の提供者または所有者により維持または管理されるシステムRADIUSプロキシに転送するものであり、それは世界のどの場所にあってもよい。さらに、監視サーバを含むことができ、これは、ネットワーク装置およびサーバ装置のヘルスステータスをチェックし、その情報を、本明細書の教示によるシステムおよび方法の提供者または所有者により維持または管理することができる集中監視プラットフォームに転送するように、構成される。さらに、公開サーバを含むことができ、これは、公開アクション(RADIUSログ、NATアカウンティングなど)に必要な情報を保存するとともに、データ抽出のためのセキュリティ保護されたウェブ・インタフェースを提供する。
LNSサブプラットフォームの他、本明細書に記載のプラットフォームは、境界スイッチによって、LNSおよびITサービス・サブプラットフォームからのトラフィックを集約するように構成されるとともに、ISPアグリゲーション・プラットフォームとのIP接続を提供し、さらに冗長性のためにデータセンタ間接続を提供するように構成される。
本出願は、さらに、添付の付録Aおよび付録Bに関して記載および説明され、それらの全内容は参照により本明細書に組み込まれる。付録Bでは、例えば、PPPおよびL2TPが、PPPoE技術で置き換えられている。さらに、第2のルータ装置(例えば、「Fonera」装置)と「CPE」との組み合わせが、ISP提供による単一の顧客装置(例えば、「CPE」装置)で置き換えられている。この実施形態は、例えば、機器が削減されることから、より効率的で、より低コストである。
本明細書の教示により、Wi−Fiまたは他の共有帯域によって通信ネットワークにアクセスする個々のユーザを識別するためのシステムならびに方法を提供する。共有パブリックIPアドレス(複数の場合もある)を経由するWi−Fiサービスの個々のユーザを識別し、例えば行政当局に開示することが可能である。
本発明の他の特徴ならびに効果は、添付の図面を参照した本発明の以下の説明から明らかになるであろう。
本開示の一態様によるシステムのユーザ接続フロー図および主な構造体の概観の例である。 本開示の一態様によるシステムのユーザ接続フロー図および主な構造体の概観の例である。
本開示の一態様によるレイヤ2トンネリングプロトコルの例である。
本開示の一態様によるレイヤ2トンネリングプロトコル・トンネルおよびPPPセッション図の例である。
本開示の一態様によるIP接続を表すライブプラットフォームマップおよびデータセンタにおけるシステムモジュールの例である。
本開示の一態様によるシステムプラットフォームとISPデータセンタとの間のリンク接続を示すレイヤ2ライブプラットフォームマップの例である。 本開示の一態様によるシステムプラットフォームとISPデータセンタとの間のリンク接続を示すレイヤ2ライブプラットフォームマップの例である。
本開示の一態様によるシステムのデータセンタモジュールの構造体の例を示している。 本開示の一態様によるシステムのデータセンタモジュールの構造体の例を示している。
本開示の一態様による2つのデータセンタにおけるラック内の機器配置の例を示している。 本開示の一態様による2つのデータセンタにおけるラック内の機器配置の例を示している。
本開示の一態様によるISPデータセンタおよび集中データセンタにおける帯域外監視ネットワークのためのIP接続の例を示している。 本開示の一態様によるISPデータセンタおよび集中データセンタにおける帯域外監視ネットワークのためのIP接続の例を示している。
本開示の一態様による、ISPにおけるシステムの帯域外監視ネットワークプラットフォームでのリンク接続、およびISPプラットフォームとの相互接続の例を表すレイヤ2 OBSNプラットフォームマップの例である。 本開示の一態様による、ISPにおけるシステムの帯域外監視ネットワークプラットフォームでのリンク接続、およびISPプラットフォームとの相互接続の例を表すレイヤ2 OBSNプラットフォームマップの例である。
本開示の一態様によるプロセスフローの例を示すフローチャートである。 本開示の一態様によるプロセスフローの例を示すフローチャートである。 本開示の一態様によるプロセスフローの例を示すフローチャートである。
本開示の一態様によるトンネリング手法でのEAPの実例の概略図である。
本開示の一態様による、オンデマンド・トンネリングを含むトンネリング手法でのEAPの他の例の概略図である。
本開示の一態様による、サーバが3つの要素で構成されている場合の、トンネリング手法の実例の概略図である。
サプリカント(Supplicant)からオーセンティケータへのEAPメッセージングおよびEAPOL通信を用いるサプリカント/オーセンティケータ/サーバ・モデルの一例である。
本開示の一態様による、サーバが2つの要素を有し、PAPメッセージの転送にUAMを用いる場合の、トンネリングの例の概略図である。
本開示の一態様による、2つの要素を有するサーバにおいてトンネリングを用いないEAPの例の概略図である。
本開示の一態様によるユーザ管理図の概略図である。
本開示の一態様によるPPPoE技術の手法を用いたシステムの例を示す図である。
レイヤ2トンネリングプロトコル・ネットワークサーバ(LNS)を介したトンネル許可、ユーザ識別、およびアクセスのユーザ接続フロー図の一例について、図1−1,図1−2および図10Aないし図10Cを参照して、以下で説明する。スマートフォン、ラップトップ、デスクトップ、または他のタイプのハンドヘルドデバイス21など、ユーザのデバイスにアクセスを提供するために、無線ルータなどの設定済みルータ22をユーザの自宅またはオフィスに配置することができる。本明細書では無線ルータ22として記載するが、当然のことながら、有線接続を提供することもできる。また、複数のそのようなユーザデバイス21で、無線ルータ22を介したインターネットへの同じ接続を共有することができる。同様に、ユーザ構内20に同じく設けることができるISPルータCPE(顧客構内機器)として図1−1,図1−2に示すISPルータ24を介した接続を、複数のデバイスで共有することができる。
ユーザは、ユーザデバイス21のブラウザを用いて、図1−1に通信矢印1で示すように無線ルータ22を介してインターネットへの接続を試みる。設定済みルータ22は、ISP(インターネットサービスプロバイダ)に配置することができるシステムのRADIUSプロキシサーバに、RADIUS要求を送信する。本明細書ではRADIUSプロキシとして記載しているが、当然のことながら、他のタイプのユーザ認証を提供してもよく、また、他のタイプのサーバが本機能を果たすこともできる。ルータによるこのプロファイル要求の伝送を、図10AにステップS1で示している。これに応答して、ISPのシステムRADIUSプロキシ35は、図10Aのステップ2に示し、さらに図1−1に通信矢印2で示すように、構成プロファイルを設定済みルータ22に送信する。
本開示の一態様によれば、このとき、ユーザは、ホワイトリストされたドメインへのHTTP要求を自由に送信することができ、そのような要求を、設定済みルータ22はISPルータ24に伝送し、これによって、それ自身のパブリックIPアドレスで、要求はNAT変換されて、それがインターネットに転送される。ステップ2におけるプロファイル構成の際に、ISPのサーバは、さらなるセキュリティ対策なく受諾可能とすることができるホワイトリストされたドメインのリスト、ウェルカムページのURL、レイヤ2トンネリングプロトコル・ネットワークサーバ31の詳細などの情報を、設定済みルータ22に送信している。このため、発明の本態様によれば、設定済みルータ22からの、ホワイトリストされたドメインへの要求は、図1−1に通信矢印4で示すように、応答される。
一方、設定済みルータ22が、通信矢印5で示すように、ホワイトリストされていないドメインへのHTTP要求を送信する場合は、キャプティブポータルサービスを用いたユーザのブラウザのこの要求を、設定済みルータのキャプティブポータルがインタセプトして、通信矢印6で示すように、ウェルカムページへのHTTPリダイレクトをユーザのブラウザに送信する。図1−1に通信矢印7で示すように、ユーザのブラウザはウェルカムページを要求し、通信矢印8で示すように、HTTPSウェルカムページがユーザに表示される。
この時点で、ユーザは、例えばユーザのISPにより発行されたユーザ名とパスワード、またはユーザに提供されたその他のものなど、自身の資格情報を、通信矢印9で示すように、ウェルカムページで入力することが可能である。ウェルカムページは、ISPのデータセンタ30とは異なる場所に配置されたウェブサーバ41によって送信することができ、例えば、ウェブサーバ41は、本明細書で記載するようなユーザの識別ならびにトンネリングをサポートするためのサービスを提供する集中データセンタ40に配置することができる。それは、世界のどの場所に配置されてもよく、あるいは、それと、さらに/またはデータセンタ40の一部として図1−2に示す他の機器は、ISPの構内に配置されてもよい。図1−1、図1−2では、ウェブサーバ41、ユーザデータベース43、プロキシRADIUS 45、およびVCR 40が、集中データセンタ40に配置されるものとして示している。ユーザのウェルカムページは、図1−1,図1−2では、集中ロケーション40に配置されたウェブサーバ41から送信されるものとして示している。
ユーザは、ユーザ構内20でユーザ機器21を使用して上述のように自身の資格情報を入力することが可能であり、これらの資格情報はウェブサーバ41に転送されることができ、そしてこれにより、通信矢印10で示し、さらに図10Aのステップ3に示すように、ユーザデータベース43などのデータベースにアクセスすることで、ユーザを認証するために資格情報を処理する。これに応じて、ウェブサーバ41は、認証が成功である場合は、図10Aに示し、さらに図1−1に通信矢印11で示すように、パスワードまたはワンタイムパスワードハッシュを送信することにより、ユーザを認証する。また、ウェブサーバ41は、HTTP要求をユーザのブラウザ21にリダイレクトする。この時点で、ユーザのブラウザは、通信矢印12で示すように、許可要求を、HTTPで(または他のプロトコルを用いて)設定済みルータのキャプティブポータルに送信し、この要求は、ウェブサーバ41から受信したワンタイムパスワードを含んでいる。設定済みルータのキャプティブポータルは、図10AのステップS5に示すように、ウェブサーバ41から受信したワンタイムパスワードを含む許可要求を受信する。
図10Aのステップ6に示すように、設定済みルータ22は、ISPデータセンタのLNS 31とのL2TPトンネルを、これが以前の接続によって未だ確立されていない場合には、確立する。この通信を、図1−1に通信矢印13で示している。プライマリLNSへの接続に失敗した場合、設定済みルータ22は、そのセカンダリLNSへの接続を試みる。設定済みルータ22は、図10AのS7に示し、さらに図1−1に通信矢印14で示すように、PPP(ポイント・ツー・ポイント・プロトコル)セッション許可要求を、確立済みのL2TPトンネルを介してLNSに送信する。この許可要求は、ユーザデバイスから受信したワンタイムパスワードを含んでいる。
次に、LNS 31は、ISPデータセンタ30に配置することができるシステムRADIUSプロキシ35への許可RADIUS要求の送信を試みる。これを、図1−2に通信矢印15として示し、さらに図10AのステップS8に示している。これに応えて、システムRADIUSプロキシ35は、その要求を、ISPデータセンタ30と集中データセンタ40にあるDCルータ間に確立された暗号化VPM(仮想プライベートネットワーク)を介して、集中データベース40のシステムRADIUSに転送する。これを、図10Aのステップ9に示し、さらに図1−2に通信矢印16として示している。この時点で、図10AのステップS10に示すように、要求の中に受け取ったパスワードに基づき、許可するかどうか判断され、肯定判断された場合には、図1−2に通信矢印17,18で示し、さらに図10AのS11に示すように、集中データセンタ40のシステムRADIUSプロキシ45は、このアクセス許可(access−accept)をISPのRADIUSプロキシに通知し、これがLNS 31に転送される。LNS 31は、RADIUSプロキシ35から受信したアクセス許可メッセージに応じて、図1−1に通信矢印19で示し、さらに図10BのステップS13に示すように、PPPトンネルを受諾し、ユーザデバイス21のPPPセッションにプライベートIPアドレスを割り当てる。
ここで、図1−1,図1−2に示す通信矢印20〜24を参照して、キャプティブポータル認証について説明すると、設定済みルータ22は、図1−1に通信矢印20で示すように、RADIUS許可要求のための要求を、ISPデータセンタ30のRADIUSプロキシ35に送信し、その要求は、以前に受け取ったワンタイムパスワードを含むものである。これを、図10BにS14として示している。これに応えて、RADIUSプロキシ35により、RADIUS要求は、集中データセンタのシステムRADIUSプロキシ45に転送される。この要求は、パスワードを含む送信された資格情報がPPP許可資格情報と同じであるため、必ず受諾される。図1−2に矢印通信22で示すように、アクセス許可パケットが、プロキシRADIUS 45からISPのプロキシRADIUS 35に返信され、図1−1に通信矢印23で示すように、ユーザのネットワークプロファイルを含むアクセス許可が、設定済みルータ22に送られる。これらのステップを、図10BにステップS16〜S18として示している。この時点で、図1−1に通信矢印24で示すように、設定済みルータ22は、ユーザデバイス21用にインターネットアクセスを構成し、この構成には、LNS 31によりユーザデバイス21のPPPセッションに割り当てられたプライベートIPアドレスと、設定済みルータ22によりユーザデバイス21にDHCPで割り当てられたプライベートIPアドレスとの間の静的NATを提供することが含まれる。
認証されたユーザに対して、以下で説明するように、インターネットへのアクセスが提供される。図1−1に通信矢印25で示し、さらに図10Bのステップ19に示すように、ユーザは、インターネット上のターゲットにアクセスするための要求を、設定済みルータ22を介して送信する。要求は、図1−1に通信矢印26で示し、さらに図10Bのステップ20に示すように、確立済みのPPPトンネル内でカプセル化することができる。これに応えて、LNS 31は、図1−2に通信矢印27で示し、さらに図10BのS21に示すように、ユーザからのインターネット要求に対してPAT(ポートアドレス変換)を実行し、これにより、要求のプライベートIPアドレスおよびポートを、パブリックIPアドレス(プライベートIPアドレスとは別のポート上であってもよい)に変換する。これに関連して、図1−2に通信矢印28で示し、さらに図10BのステップS22に示すように、PATログが、ISPの公開サーバ33に保存される。要求は、図1−2に通信矢印29で示し、さらに図10BのステップS23に示すように、LNS 31によって、インターネットに転送される。
LNS 31は、通信矢印30で示し、さらに図10BのステップS24およびS25に示すように、インターネット要求に応答したインターネットから、応答を受信し、LNS 31は、続いてPATプロセスを実行する。このようにして、IP変換を逆変換し、これにより、LNSは、再び、ユーザデバイス21のプライベートIPアドレスを得る。図1−1に通信矢印32で示し、さらに図10CにS40で示すように、LNS 31は、インターネット要求への応答を、PPPトンネルを介して設定済みルータ22に伝送する。次に、設定済みルータ22は、その応答をユーザデバイス21に転送する。
ライブプラットフォーム(Live Platform):
さらに企図されるのは、システムのスケーラビリティの確保を容易とするため、また、冗長性ソリューションを提供するために、モジュール設計を有する、ライブ通信プラットフォームである。ライブプラットフォームは、設定済みルータ22を始点とするL2TP/PPPトンネルを終端するLNSサブプラットフォームを含むことができる。レイヤ3ライブプラットフォームマップを、図4に示している。図4は、ISPデータセンタおよび集中データセンタにおけるシステムキャビネット内のIP接続を表している。
図5−1,図5−2は、レイヤ2ライブプラットフォームマップを示している。図5−1,図5−2は、ISPデータセンタおよび他のISPデータセンタと、識別およびセキュアトンネリングサービスをサポートする集中データセンタにおける、システム機器間のリンク接続を示している。図6−1,図6−2は、ISPデータネットワークを介して接続されたデータセンタ1とデータセンタ2における機器間の関係を示すレイヤ2ライブネットワークマップである。
LNSサブプラットフォームは、上述のように、設定済みルータ22を始点とするL2TP/PPPトンネルを終端するなどの機能を提供することができ、加えて、LNSサブプラットフォームは、ユーザのセッションにプライベートアドレスを割り当てること、そのプライベートIPアドレスをパブリックIPアドレスに変換すること、NATアカウンティングを生成すること、そのようなNAT結果を外部のシステムログに転送すること、例えばRADIUSプロトコルを用いてユーザのセッションを認証すること、が可能であり、さらに、RADIUSプロトコルを用いてセッション・アカウンティングを生成することが可能である。
同時に、ITサービス・サブプラットフォームは、セキュリティ保護されたRADIUS認証および他のトランザクションのために、集中データセンタとの暗号化トンネル(Gre/IPSec)を提供するためのルータ/ファイアウォールを提供することができ、データセンタに設置されたサーバを保護するためのファイアウォール機能を実現することができる。ITサービス・サブプラットフォームは、さらに、RADIUS認証およびアカウンティングを集中させて、その結果を集中データセンタのシステムRADIUSプロキシに転送する、RADIUSプロキシサーバを提供することができる。加えて、ITサービス・サブプラットフォームは、ネットワーク装置およびサーバ装置のヘルスステータスをチェックするための監視サーバとして機能することができ、また、その情報を集中データセンタの集中監視プラットフォームに転送することができる。さらに、それは、RADIUSログ、NATアカウンティングなどを含む公開アクションに必要な情報を保存するための公開サーバとして機能することができる。それは、さらに、データ抽出のためのセキュリティ保護されたウェブ・インタフェースを提供することができる。最後に、境界スイッチによって、LNSおよびITサービス・サブプラットフォームからのトラフィックを集約することができるとともに、ISPデータセンタおよびISP全体としてのプラットフォームとのIP接続を提供し、さらに冗長性を提供するためにデータセンタ間接続を提供することができる。
ライブプラットフォームのスケーラビリティを、次のように提供することができる。LNSサブプラットフォームは、いくつかのLNSルータを備えることができ、これにより、それらすべてのLNSルータ間にトンネルセッションおよびNATサービスが分散される。このようにして、ネットワークトラフィックの輻輳およびネットワークの単一点障害を回避することができ、この場合、LNSルータの追加によるスケーリングが可能となる。ITサービスは、監視、RADIUSプロキシ、および公開サービスを含む複数の目的で、HPのDL 380などのサーバファームによって提供することができ、さらにサーバを追加することで拡張することが可能である。ITサービス・ルータは、追加のハードウェアでアップグレードするか、またはセカンダリルータを加えることが可能な、モジュラルータ(例えば、Cisco3945)を含むことができる。境界スイッチは、例えば、64ギガバイトのバックボーンで最大9台までのスイッチを集約することが可能なStackWise Plus技術を用いたCisco 3750Eなどのコアスイッチを含むことができる。それぞれのLNSは、その他のものから独立しており、図1−1,図1−2に示すように、2つ以上の地理的に離れたデータセンタに分散させることができるので、LNSサブプラットフォームによって冗長性を提供することができる。設定済みルータ22は、ISPのプライマリLNS 31だけではなく、第2のデータセンタのセカンダリLNSを動的に構成することができる。従って、1つ以上のLNSサーバに障害が発生した場合、ユーザは、セカンダリLNSまたはターシャリLNSに再接続される。
また、冗長性は、LNSのフェイルオーバによっても提供され、これによれば、LNSプラットフォームは、複数のLNSで障害が発生した場合に、最大使用のシナリオであってもサービスが確保されるように、余力を持った規模とすることができる。データセンタにおいてITサービス・ルータおよびサーバを重複させることで、すべてのLNSルータは、ローカルに、またはデータセンタ間リンクを介して、両ITサービス・プラットフォームに到達することが可能であり、例えばRADIUSプロキシに障害が発生した場合は、LNSルータはセカンダリRADIUSプロキシに接続することができる。同様に、各データセンタにおいて境界スイッチはクラスタに構成され、これにより、あるデータセンタでマスタスイッチに障害が発生した場合に、サービスを中断することなく、同じデータセンタの1つまたは複数のスレーブスイッチがマスタとなる。このように、すべてのLNSルータおよびIPサービス・ルータは、マスタスイッチとスレーブスイッチとに冗長接続されている。
典型的には、図1−1,図1−2に示すように、2つのデータセンタは、地理的に冗長化され、相互に離れていることが必要である。しかしながら、単一のデータセンタ、または近くに位置する2つ以上のデータセンタであっても、本明細書に記載の発明を実施および実現するのに十分であることは、理解できるであろう。典型的には、スイッチ付きPDUは、リモート電源オン/オフを実施することができるラック電源バーを有し、例えば、ネットワークオペレーションセンタは、起こり得る問題に対処できるようにサポートされ、例として、システムが停電を報告する必要があり得ること、適切な処置が必要となり得ること、がある。例えば、停電の場合、または本明細書に記載の1つ以上の構造体または装置または機器にワイヤが正しく接続されていない場合など、緊急の物理的処置が必要な場合には、その任務に対応できるエンジニアが準備されていなければならない。ライブネットワークの通信には、一般に、各データセンタのユーザトラフィックで2×10Gbps(計4×10Gbps)のインターネットリンクが必要となり得る。典型的には、例えばLRまたはSRなどのインタフェースタイプを提供することができ、各リンクは、冗長性のために別々のルータに接続することができる。
ネットワークの帯域外監視を、リモート管理用の1×高速インターネットリンク(2×100Mbps)として提供することができ、これらのリンクは、冗長性のために、ライブネットワーク接続用の他のものとは異なるルータに接続することができる。インターネット−データセンタ・プライベートネットワークは、それぞれのデータセンタに配置された両ラック間に、1×高速イーサネット(登録商標、以下同じ)・プライベートリンクを含むことができる。これは、クリティカルなリンクと考えることができ、従って、(同じく冗長性のため)複数のパスに対して多様な保護を実施することができる。多様な保護が実現不可能である場合は、第2のリンクを実現することができる。
ネットワークの帯域外監視(OBSN:Out of Band Supervision for Network)は、集中データセンタのOBSNルータからISPデータセンタのシステムOBSNルータへ確立されたIPSecトンネルを含む、セキュリティ保護された信頼性の高いリモート管理機能を含むことができる。集中データセンタのデータセンタからISPデータセンタの機器への接続は、完全に暗号化することができ、OBSNのトラフィックは、例えば仮想ルーティング転送(VRF)を用いて、ユーザのトラフィックから分離される。各機器へのアクセスは、リモートでSSHによって、あるいはコンソールによって、セキュリティ保護することができ、これにより、接続に問題があるか、またはブートシーケンスを実行するためにリモートアクセスを必要とする場合でも、機器を使用可能であり、機器に到達可能であることが保証される。
OBSNネットワークは、VLAN設定機能を備えた24ポート高速イーサネットカードを有するDCRルータに配置される。各機器(ルータ、サーバ、PDUなど)が、リモート管理のために、このネットワークに接続される。
機器がVRF(仮想ルーティング転送)機能を備えるかどうかにかかわらず、他のネットワークからのOBSNの分離が保証されるように構成されなければならない。機器がこの機能を持たない場合は、それは、OBSNネットワークにのみ接続されるか、または、OBSNがセキュリティ侵害を受けることを防ぐために最も厳しいセキュリティレベルで構成されるか、いずれかである。
OSRルータは、DCRのローカルOBSN VLANに到達することができ、境界スイッチを介して他のデータセンタのOBSN VLANに到達することができ、IPSec/Greトンネルを介してMadridプラットフォームに到達することができる。
DCRルータは、直接接続されたOBSN VLANを有し、境界スイッチを介して他のデータセンタのOBSN VLANに達する経路を提供することができる。そのデフォルト経路は、ローカルOSRとすることができる。
境界スイッチは、DCRのローカルOBSN VLANに達する経路と、ポイント・ツー・ポイント・リンクを介して他のデータセンタのOBSN VLANに達する経路と、ローカルOSRとのデフォルト経路と、を有することができる。
設定済みルータのファームウェアを、このプラットフォームに接続するように変更して、L2TPオーバPPPトンネルが、そのISPが設置されている国の異なるISPによるフィルタリングを通過しないことを確認することができる。
SNMPプロトコルを用いてネットワーク機器を監視するために、OpenNMSプラットフォームを展開することができる。
ローカルエージェントを用いてサーバおよびサービス(RADIUSプロキシなど)を監視するために、Zabbixプラットフォームを展開することができる。
提携パートナのデータセンタにおいてプライマリ監視プラットフォームが正常に動作していること、提携パートナのデータセンタおよびMadridにおいてシステムプラットフォーム間の通信が正常に動作すること、アラートがシステム管理者のBlackberryデバイスに電子メール/SMSでエスカレーションされていること、を確認するために、セカンダリ監視プラットフォームを集中データセンタプラットフォームに構成することができる。
リモートの監視プラットフォームは、提携パートナのデータセンタのシステム機器に到達するために、OBSNを用いることができる。
iOSおよびAndroidデバイス上で、さらには他のタイプの電話機、ハンドヘルドデバイスおよびポータブルデバイス上で、モバイルクライアントアプリケーションを提供することができる。Linux(登録商標)上で動作するApacheウェブサーバを用いることができる。しかしながら、他のシステムを用いてもよいことは、理解できるであろう。
本方法、機能、システム、コンピュータ可読媒体プロダクトなどは、ハードウェア、ソフトウェア、ファームウェア、またはそれらの組み合わせを用いて実現することができ、また、人的操作が不要となり得るように、1つ以上のコンピュータシステムまたは他の処理システムに実装することができる。つまり、本方法および機能は、マシンの運用により全自動で実施することができるが、すべてをマシンによって実施する必要はない。同様に、システムおよびコンピュータ可読媒体は、マシンの運用により全自動で実施してもよいが、必ずしもそうである必要はない。コンピュータシステムは、本開示によるシステムを実施するための1つまたは複数のユニットに、1つ以上のプロセッサを含むことができ、それらのコンピュータまたはプロセッサは、クラウド内に配置することができ、または、サードパーティ契約者のローカルなエンタプライズ設定で、もしくは構外に提供することができる。同様に、記憶される情報は、クラウド内に保存することができ、またはローカルもしくはリモートに保存することができる。コンピュータシステム、またはユーザと対話するためのシステムは、GUI(グラフィカルユーザインタフェース)を含むことができ、または、グラフィックス、テキストおよび他のタイプの情報を含むことができ、デスクトップ、ラップトップコンピュータを介して、または、ハンドヘルドデバイス、電話機、携帯電話機、スマートフォン、もしくは他のタイプの電子通信デバイスおよびシステムを含む他のタイプのプロセッサを介して、ユーザとのインタフェースを提供することができる。上述の方法、機能、システム、およびコンピュータ可読記憶媒体を実現するためのコンピュータシステムは、好ましくはランダムアクセスメモリであるメモリを含むことができ、また、2次メモリを含むことができる。従って、システムデータベースとして例示されていても、そのデータベースは、同じマシンの一部とするか、またはオフサイトに配置することができ、また、フロッピー(登録商標)ディスクドライブ、磁気テープドライブ、光ディスクドライブ、リムーバブルストレージドライブ、それらの組み合わせ、または任意のタイプの記録媒体として、実現することができる。メモリまたはコンピュータ可読記憶媒体プロダクトの例として、消去可能プログラマブルROM(EPROM)、プログラマブルROM(PROM)のようなリムーバブルメモリチップ、リムーバブルストレージユニットなどが含まれる。
通信インタフェースは、TCP/IPパラダイムまたは他のタイプのプロトコルによって通信する有線または無線インタフェースを含むことができ、また、ワイヤ、ケーブル、光ファイバ、電話線、セルラリンク、Wi−FiまたはBluetooth(登録商標)のような無線周波数リンク、LAN、WAN、VPN、ワールドワイドウェブ、もしくは他のそのような通信チャネルおよびネットワークを介して、またはそれらの組み合わせによって、通信することができる。
本開示の一態様によれば、パブリックIPアドレスは、システムに必要なパブリックIPアドレスの数を削減するように、節約される。従って、インターネットからユーザデバイス21への入り通信がなく、そのISPのユーザ間での直接通信がないときには、IP節約ソリューションを提供することができる。このように、各LNS 31による分散NATを実施することができる。これにより、すべてのユーザトラフィックは(例えば、7200 Ciscoルータ内の)NATを経ることになり、NATアカウンティングはNATルータによって生成されることになるので、パフォーマンスを向上させることができる。NATは分散されており、それぞれのLNSは他のLNSから完全に独立しているので、実際にはスケーラビリティの限界はないものとすることができる。また、システムは既存のネットワーク機器に依拠するため、追加の障害点が導入されることはないので、信頼性も向上させることができる。
ライブプラットフォーム用または他の通信シナリオ用のIPアドレッシング手法の一例について、以下で説明する。PPPセッションに、10.128.0.0/9の範囲のプライベートIPアドレスを割り当てることができる。ユーザのPPPトンネル用として各LNSに、プライベート/18プールを割り当てることができる。各LNSは、PPPセッションをNAT変換するために、パブリック/26プールを有する。また、パブリックIPアドレスは、プラットフォーム構成用にも必要である。このように、各データセンタで、NATプール用、プラットフォーム構成用、および将来のサービス拡張用として、合計で、おそらくパブリック/22ネットワークが必要となる。OBSNプラットフォーム用のIPアドレッシングは、例えば、セキュリティ強化およびIP節約を実現するように、OBSNプラットフォームにおいてプライベートIPアドレスを設定することにより、実施することができる。この実施方法によれば、ISPデータセンタを介してインターネットに接続されたOSRルータにおいて、OBSNプラットフォームにおける唯一のパブリックIPアドレスを設定することができる。このようにして、パブリックIPアドレスを、ある程度節約することができる。
分散モデルで、LNSルータによりトンネルおよびNATソリューションが提供される場合、かなり拡張性の高いソリューションを提供することができる。各データセンタで、少なくとも14台のLNSルータを集約するために、2つの境界スイッチを含むことができる。各LNSルータは、例えば10,000件のユーザセッションをサポートすることができ、それぞれ1.8Gbpsのスループット、および2GbpsのメモリRAMを有し、これにより、ピーク同時利用による各ユーザのスループットは100Kbps、平均して100件のNAT変換とすることができる。サービス性能によっては、NATログ保存用に追加の機器が必要となることがある。
一実施形態によれば、3つのアクタ、すなわち、サプリカント、オーセンティケータ、サーバが用いられ、さらにトンネリングを採用するか、あるいはトンネリングを採用しなくてもよい。図14は、サプリカント、オーセンティケータ、認証サーバを示している。一実施形態では、例えば、EAP(「拡張認証プロトコル」)メッセージがEAPOLからPPPに転送され、次いでRADIUSに転送される。代替実施形態では、「オンデマンド」トンネリングアーキテクチャが採用され、これによると、EAPOLをPPPに変換するステップが排除され、製造業者にとっては実施がより容易となり得る。代替実施形態では、プロキシRADIUS(PPP認証をトリガするように修正することができる)が採用されるか、または改良EAPデーモンを適用することができる。これら2つの実施形態の各々については、図11、12、および13に関連して、より詳細に後述する。
一実施形態において、本出願は、無線ネットワークおよびポイント・ツー・ポイント接続においてよく用いられる認証フレームワークである拡張認証プロトコル(「EAP」)を採用する。EAPは、例えばIEEE 802.11(Wi−Fi)で広く使用されており、また、WPAおよびWPA2標準では、複数のEAPタイプを持つIEEE 802.1xを認証機構に採用している。認証プロトコルとして使用する場合、EAPは、キャプティブポータルで使用することができ、また、WPAおよび/またはWPA2で用いる場合に適している。例えば、1つ以上の資格情報および/またはプロセスに関連して、LEAP(ライトウェイトEAP)、EAP−TLS、EAP−TTLS、EAP−FAST、EAP−SIM、EAP−AKAを適用することができる。一実施形態では、802.1xは、サプリカント(例えば、スマートフォン、PDAなどのモバイルコンピュータデバイス)と、オーセンティケータ(例えば、設定済みルータ)と、サーバと、に関わる。802.1xは、EAPオーバLAN(「EAPOL」)によってサプリカントからオーセンティケータにEAPメッセージを転送し、さらにその後、RADIUS/DIAMETERによってオーセンティケータからサーバへ転送するために、用いられる。
このような実施形態では、パスワード認証プロトコル(「PAP」)メッセージを転送するために、ユニバーサルアクセス方式(「UAM」)が用いられる。その後、サプリカントからUAMサーバへデータを転送するために、HTTPSを用いることができ、サプリカントからオーセンティケータへはHTTPが用いられ、オーセンティケータからサーバへはRADIUSが用いられる。
図11〜13は、本開示の一態様による実施形態を実例によって示している。上述のように、ユーザ認証の場合などに、資格情報を送信するために、EAPを用いることができる。しかしながら、周知のシステムでは、スマートフォンなどのモバイルコンピュータデバイスから、RADIUSサーバ110などの認証サーバへの資格情報の送信に、EAPを使用することができない。
本明細書では、特定のタイプの機器、特定の帯域要件、特定のネットワークソリューションおよびプロトコルに関して記載しているが、当然のことながら、他のタイプの機器、帯域制限、プロトコルのアプローチも企図され、その場合でも、本明細書に記載の発明を実現および実施するには十分にうまく機能するであろう。
一実施形態において、データは、1つの形式でカプセル化されて、スマートフォンであるコンピュータデバイス104など、あるデバイスから送信され、その後、別のデバイスに伝送されて、これにより、EAPカプセルを解除し、例えばPPPである別のプロトコルを用いて認証情報をカプセル化し、それを、例えばRADIUSサーバ110である別のデバイスに伝送する。RADIUSサーバ110が、PPPカプセル化された資格情報を受信すると、RADIUSサーバ110は、認証資格情報を用いてユーザを認証し(あるいは、資格情報が正しくないか、またはその他の理由で認証せず)、RADIUSサーバ110は、リプライをPPPで送信する。PPPによるリプライは、コンピュータデバイス104に返信される前に、受信され、開封され、再びEAPにカプセル化される。
図11は、例示的なハードウェア構成1100と、データ伝送およびそれで用いるそれぞれの通信プロトコルを示している。図11に示すように、認証は1フェーズで生じる。ハンドセット104を使用するユーザは、802.1x(EAPOL)を用いてアソシエートを試み、このプロトコルでカプセル化されたEAPメッセージを送信する(ステップS1102)。設定済みルータ302は、EAPメッセージをEAPOLからPPPに変換し、それらをLNSに送る(ステップS1104)。LNSサーバ108は、EAPメッセージをそのPPPカプセルからRADIUSカプセルに変換し、それらをRADIUSサーバ110に転送する(ステップS1106)。
この場合、図11に示すように、設定済みルータ302は、資格情報をEAPOLカプセルで受信して、EAPOLカプセルを解除し、資格情報をPPPにカプセル化して、それをLNSサーバ108に伝送する。LNSサーバ108は、PPPパケットを受信して、EAP資格情報をRADIUSサーバ110にRADIUSプロトコルで転送する。認証の成功は、ルータ302とLNSサーバ108との間にPPP/L2TPトンネルが確立されたことを意味する。トンネルは、ユーザのハンドセット104に専用のものであり、セッションが停止するまでに、このデバイスに出入りするすべてのトラフィックは、このトンネルを通ってルーティングされる。
図12は、例示的なハードウェア構成1200と、データ伝送およびそれで用いるそれぞれの通信プロトコルを示している。図12に示す例では、トンネルの確立が、2フェーズで生じる。フェーズ1は、ユーザ認証に関する。ユーザは、802.1x(EAPOL)を用いた信号でアソシエートを試み、このプロトコルでカプセル化されたEAPメッセージを送信する(ステップS1202)。設定済みルータ302は、EAPメッセージをEAPOLカプセルから変換して、それらをRADIUS形式にし、そしてそれらをRADIUSサーバ110に直接送信する(ステップS1204)。フェーズ2では、ユーザが、例えばRADIUSサーバ110により認証される場合に、RADIUSサーバ110は、オプションで、ワンタイムパスワードを設定済みルータ302に返信し、それを用いて、設定済みルータはLNS 108とのL2TP/PPPトンネルを確立し、その後、このトンネルを用いてユーザのトラフィックがルーティングされる(ステップS1206)。
この場合、図12に関連して、ユーザデバイス104は、ユーザ資格情報(図示せず)を有し、802.1x(EAPOL)プロトコルを用いて設定済みルータ302とのアソシエートを開始する。ユーザを認証するメッセージを伝送するために、EAPが用いられる。EAPメッセージは、使用されるEAPのタイプ(EAP−SIM、EAP−AKA、EAP−TTLS、または他の適切なタイプ)によって、異なり得る。設定済みルータ302は、802.1x(EAPOL)でカプセル化されたEAPメッセージを受け取り、それらをRADIUSパケットにカプセル化し、それはユーザ認証のためにRADIUSサーバに送信される。RADIUSサーバ110は、新しいEAPメッセージで、RADIUSカプセル化範囲内のLNSサーバ108に応答する(当該技術分野で知られているように、このプロセスは、資格情報が正当であるとみなされるまで、複数回、生じることがある)。受諾メッセージと共に、(オプションの)ワンタイムパスワードを、設定済みルータ302に送信することができる。RADIUSサーバ110がワンタイムパスワードを送信した場合(パラメータで識別することができる)には、設定済みルータ302は、受け取ったワンタイムパスワードでL2TP/PPPパケットを構築し、LNSサーバ108へのPPPセッションを(例えば、PAP、CHAP、EAPである、適切な認証プロトコルによって)確立する(ステップS1208)。
引き続き図12を参照して、RADIUSサーバ110の受諾表示を受信した後、または(状況に応じて)PPPが確立された後に、設定済みルータ302は、RADIUSサーバ110からのEAPメッセージをクライアントデバイス104に転送し、アソシエートを許可する。その後、トラフィックは、トンネルが確立されたのであればこれを用いて、インターネットに転送される。
図13は、例示的なハードウェア構成1300と、データ伝送およびそれで用いるそれぞれの通信プロトコルを示している。図13に示す実施形態は、図3を参照して上記で図示および説明した実施形態の簡略図である。
図15は、サプリカント、オーセンティケータ、サーバの一実施形態を示しており、サーバは2つの要素を有し、PAPメッセージを転送するために、トンネリングを必要とすることなく、ユニバーサルアクセス方式を用いる。サプリカントからUAMサーバへは、HTTPSを用いることができ、サプリカントからオーセンティケータへは、HTTPを用いることができ、オーセンティケータからサーバへは、RADIUSを用いることができる。
図16は、PAPメッセージの転送にUAMを使用し、トンネリングを用いないEAPを示しており、サプリカントからオーセンティケータへは、HTTPが用いられ、オーセンティケータからサーバへは、RADIUSが用いられる。
図17は、ユーザ管理図である。
図18は、PPPおよびL2TPの代わりに用いることができるPPPoE技術の利用を示している。さらに、例えばFonera装置である第2のルータ装置とCPEとの組み合わせを、ISP提供による例えばCPE装置である単一の顧客装置で置き換えることができる。このようなPPPoE技術の手法を用いると、例えば、必要な機器の数が削減されることから、より効率的で、より低コストとなり得るソリューションを提供することができる。
Figure 0005982706
本発明の好ましい実施形態について例示および説明したが、記載した構造体およびステップの変形および適応、ならびに他の組み合わせまたは構成は、本出願の趣旨および範囲ならびに請求項の範囲内にある。以下に本実施形態の一例を項目として示す。
[項目1]
ユーザを識別するとともに、ユーザの通信のための仮想トンネルをインターネット上に提供するためのシステムであって、該システムは、
仮想トンネリングプロトコルによって仮想トンネルを介して通信するための許可を求めるユーザ要求を受信し、ユーザ要求に基づいて許可要求を許可モジュールに送信するように構成されたトンネリングサーバモジュールを備え、
許可モジュールは、トンネリングサーバモジュールから許可要求を受信し、ユーザ要求に含まれるパスワードに基づく許可判定によって、ユーザが認証されたと判断した場合にのみ、ユーザに対する許可受諾メッセージをトンネリングサーバモジュールに送信するように構成されており、
パスワードは、リモートのサーバモジュールによってユーザに送信され、また、許可判定を示す伝送は、許可モジュールからリモートにあるサーバから、
許可モジュールによって受信され、
トンネリングサーバモジュールは、トンネリングサーバモジュールがユーザに対する許可受諾メッセージを受信した後にのみ、仮想トンネルを介してユーザと通信を実行して、仮想トンネルを介してユーザからインターネット要求を受信し、インターネット要求に含まれる宛先アドレスにインターネット要求を転送するように構成されており、
トンネリングサーバモジュールは、インターネット要求に応答されたリプライを、インターネットを介して受信し、該リプライをユーザに伝送するように構成されている
システム。
[項目2]
トンネリングサーバモジュールは、さらに、ユーザのユーザセッションにパブリックIPアドレスを割り当てるように構成されており、
リプライは、割り当てられたパブリックIPアドレス宛のものとして、トンネリングサーバモジュールにより受信され、
トンネリングサーバモジュールは、さらに、リプライをユーザに伝送する前に、パブリックIPアドレスをユーザのプライベートIPアドレスに変換するように構成されていた
項目1に記載のシステム。
[項目3]
仮想トンネルは、レイヤ2トンネリングプロトコル・トンネルである項目1に記載のシステム。
[項目4]
仮想トンネルには、ポイント・ツー・ポイント・データリンクプロトコル・セッションが確立される項目1に記載のシステム。
[項目5]
トンネリングサーバモジュールは、レイヤ2トンネリングプロトコル・ネットワークサーバであり、許可モジュールは、レイヤ2トンネリングプロトコル・ネットワークサーバとは別個のプロキシRADIUSサーバである項目1に記載のシステム。
[項目6]
トンネリングサーバモジュールは、レイヤ2トンネリングプロトコル・ネットワークサーバであり、許可モジュールは、プロキシRADIUSであり、両方のプロキシRADIUSがインターネットサービスプロバイダのデータセンタに配置された請求項1に記載のシステム。
[項目7]
許可モジュールからリモートのサーバが、インターネットサービスプロバイダのデータセンタからリモートの集中データセンタに配置された項目6に記載のシステム。
[項目8]
集中データセンタとインターネットサービスプロバイダのデータセンタとは、ダイナミックコンテキストルータを介して通信する項目7に記載のシステム。
[項目9]
集中データセンタに配置され、パスワードに基づく許可判定を行うように構成されたプロキシRADIUSをさらに備える項目7に記載のシステム。
[項目10]
リモートのサーバモジュールは、集中データセンタに配置された項目7に記載のシステム。
[項目11]
トンネリングサーバモジュールは、ポートアドレス変換により、ユーザセッションにパブリックIPアドレスを割り当て、プライベートIPアドレスとポートを要求する項目2に記載のシステム。
[項目12]
当該システムは、インターネットを介したユーザとリモートの宛先との間のリアルタイム通信用のライブプラットフォームを提供する項目1に記載のシステム。
[項目13]
ユーザを識別するとともに、インターネットを介したユーザの通信のための仮想トンネルを提供する方法であって、該方法は、
仮想トンネリングプロトコルによって仮想トンネルを介して通信するための許可を求めるユーザ要求を、トンネリングサーバにより受信することと、
ユーザ要求に基づき、トンネリングサーバモジュールにより、許可要求を許可モジュールに送信することと、
トンネリングサーバモジュールからの許可要求を、許可モジュールにより予見し、ユーザがリモートのユーザ情報サーバから受信したパスワードであってユーザ要求に含まれるパスワードに基づく許可判定を求める要求を、リモートの許可サーバに送信することと、
許可判定を求める要求に応答された許可判定を、許可モジュールにより受信し、該応答をトンネリングサーバモジュールに伝送することと、
トンネリングサーバモジュールが、ユーザへの許可受諾メッセージを受信した後にのみ、トンネリングサーバモジュールにより、仮想トンネルを介したユーザとの通信を実行することと、
トンネリングサーバモジュールにより、ユーザから仮想トンネルを介してインターネット要求を受信し、該インターネット要求に含まれる宛先アドレスに該インターネット要求を転送することと、
インターネット要求に応答された、インターネット要求へのリプライを、インターネットを介してトンネリングサーバモジュールにより受信し、該リプライをユーザに伝送することと
を含む方法。
[項目14]
トンネリングサーバモジュールにより、通信セッションにパブリックIPアドレス割り当てることを、さらに含み、
リプライは、割り当てられたパブリックIPアドレス宛のものとして、トンネリングサーバモジュールにより受信され、
トンネリングサーバモジュールにより、パブリックIPアドレスをユーザのプライベートIPアドレスに変換することと、
ユーザにリプライを伝送することと、をさらに含む
項目13に記載の方法。
[項目15]
確立された仮想トンネルは、ポイント・ツー・ポイント・データリンクプロトコル・セッションとして実施されるレイヤ2トンネリングプロトコル・トンネルである項目13に記載の方法。
[項目16]
トンネリングサーバモジュールによる変換は、プライベートIPアドレスおよびポートをパブリックIPアドレスに変換する、要求のポートアドレス変換を含む項目14に記載の方法。
[項目17]
ユーザの通信は、リアルタイム情報を伴うライブ通信プラットフォームである請求項13に記載の方法。
[項目18]
リアルタイム通信は、ボイスオーバIP通信である項目17に記載の方法。
[項目19]
トンネリングサーバモジュールは、インターネットサービスプロバイダのデータセンタに配置されたサーバであり、許可モジュールは、インターネットサービスプロバイダのデータセンタに配置されたRADIUSプロキシサーバであり、リモートのサーバは、トンネリングサーバモジュールおよび集中識別支援システムのデータセンタにある許可モジュールからリモートに配置されている項目13に記載の方法。
[項目20]
ポイント・ツー・ポイント・オーバ・イーサネット・カプセル化が用いられる項目13に記載の方法。

Claims (17)

  1. ユーザを識別するとともに、前記ユーザの通信のための仮想トンネルをインターネット上に提供するためのシステムであって、該システムは、
    仮想トンネリングプロトコルによって前記仮想トンネルを介して通信するための許可を求めるユーザ要求を受信し、前記ユーザ要求に基づいて許可要求を許可モジュールに送信するように構成されたトンネリングサーバモジュールと、
    ユーザデバイスのブラウザに、前記ユーザの資格情報を入力するためのウェルカムページへのHTTPリダイレクトを送信し、第1のパスワードを含むユーザ要求を前記ユーザデバイスから受信し、PPPセッション許可要求を前記トンネリングサーバモジュールに送信する設定済みルータと、
    を備え、
    前記許可モジュールは、前記トンネリングサーバモジュールから前記許可要求を受信し、前記ユーザ要求に含まれる前記第1のパスワードに基づく許可判定によって、前記ユーザが認証されたと判断した場合にのみ、前記ユーザに対する許可受諾メッセージを前記トンネリングサーバモジュールに送信するように構成されており、
    前記第1のパスワードは、前記ユーザの資格情報の認証が成功した場合に、リモートのサーバモジュールによって前記ユーザデバイスに送信され、また、前記許可判定を示す伝送は、前記許可モジュールからリモートにあるサーバから、前記許可モジュールによって受信され、
    前記トンネリングサーバモジュールは、前記トンネリングサーバモジュールが前記ユーザに対する前記許可受諾メッセージを受信した後にのみ、前記仮想トンネルを介して前記ユーザと通信を実行して、前記仮想トンネルを介して前記ユーザからインターネット要求を受信し、前記インターネット要求に含まれる宛先アドレスに前記インターネット要求を転送するように構成されており、
    前記トンネリングサーバモジュールは、前記インターネット要求に応答されたリプライを、インターネットを介して受信し、該リプライを前記ユーザに伝送するように構成され
    前記設定済みルータはRADIUSリクエストを前記許可モジュールに送信し、前記許可モジュールから構成プロファイルを受信し、
    前記許可モジュールからリモートにあるサーバは、第2のパスワードを発行して前記設定済みルータに送信し、前記設定済みルータは前記第2のパスワードを用いて前記トンネリングサーバモジュールとのL2TP/PPPトンネルを構築し、
    前記トンネリングサーバモジュールは、さらに、前記ユーザのユーザセッションにパブリックIPアドレスを割り当てるように構成されており、
    前記トンネリングサーバモジュールは、ポートアドレス変換(PAT)により、前記ユーザセッションに前記パブリックIPアドレスを割り当て、プライベートIPアドレスとポートを要求し、
    前記リプライは、前記割り当てられたパブリックIPアドレス宛のものとして、前記トンネリングサーバモジュールにより受信され、
    前記トンネリングサーバモジュールは、さらに、前記リプライを前記ユーザに伝送する前に、前記パブリックIPアドレスを前記ユーザの前記プライベートIPアドレスに変換するように構成される、
    システム。
  2. 前記仮想トンネルは、レイヤ2トンネリングプロトコル・トンネルである請求項に記載のシステム。
  3. 前記仮想トンネルには、ポイント・ツー・ポイント・データリンクプロトコル・セッションが確立される請求項1または2に記載のシステム。
  4. 前記トンネリングサーバモジュールは、レイヤ2トンネリングプロトコル・ネットワークサーバであり、前記許可モジュールは、前記レイヤ2トンネリングプロトコル・ネットワークサーバとは別個のプロキシRADIUSサーバである請求項1からのいずれか1項に記載のシステム。
  5. 前記トンネリングサーバモジュールは、レイヤ2トンネリングプロトコル・ネットワークサーバであり、前記許可モジュールは、プロキシRADIUSであり、前記プロキシRADIUS及び前記トンネリングサーバモジュールの両方がインターネットサービスプロバイダのデータセンタに配置された請求項1からのいずれか1項に記載のシステム。
  6. 前記許可モジュールからリモートのサーバが、前記インターネットサービスプロバイダのデータセンタからリモートの集中データセンタに配置された請求項に記載のシステム。
  7. 前記集中データセンタと前記インターネットサービスプロバイダのデータセンタとは、ダイナミックコンテキストルータを介して通信する請求項に記載のシステム。
  8. 前記集中データセンタに配置され、前記第1のパスワードに基づく許可判定を行うように構成されたプロキシRADIUSをさらに備える請求項またはに記載のシステム。
  9. 前記リモートのサーバモジュールは、前記集中データセンタに配置された請求項からのいずれか1項に記載のシステム。
  10. 前記第1のパスワードはランダムなワンタイムパスワードである、
    請求項1から9のいずれか1項に記載のシステム。
  11. 前記トンネリングサーバモジュールは、前記ポートアドレス変換のログを公開サーバに保存する、
    請求項1から10のいずれか1項に記載のシステム。
  12. ユーザを識別するとともに、インターネットを介した前記ユーザの通信のための仮想トンネルを提供する方法であって、該方法は、
    設定済みルータにより、ユーザデバイスのブラウザに、前記ユーザの資格情報を入力するためのウェルカムページへのHTTPリダイレクトを送信し、第1のパスワードを含むユーザ要求を前記ユーザデバイスから受信し、PPPセッション許可要求をトンネリングサーバモジュールに送信することと、
    仮想トンネリングプロトコルによって前記仮想トンネルを介して通信するための許可を求める前記ユーザ要求を、前記設定済みルータを介して、前記トンネリングサーバモジュールにより受信することと、
    前記ユーザ要求に基づき、前記トンネリングサーバモジュールにより、許可要求を許可モジュールに送信することと、
    前記トンネリングサーバモジュールからの前記許可要求を、前記許可モジュールにより予見し、前記ユーザデバイスがリモートのユーザ情報サーバから受信した第1のパスワードであって前記ユーザ要求に含まれる第1のパスワードに基づく許可判定を求める要求を、リモートの許可サーバに送信することと、
    許可判定を求める前記要求に応答された許可判定を、前記許可モジュールにより受信し、該許可判定の応答を前記トンネリングサーバモジュールに伝送することと、
    前記トンネリングサーバモジュールが、前記ユーザへの許可受諾メッセージを該許可判定の応答として受信した後にのみ、前記トンネリングサーバモジュールにより、前記仮想トンネルを介した前記ユーザとの通信を実行することと、
    前記トンネリングサーバモジュールにより、前記ユーザから前記仮想トンネルを介してインターネット要求を受信し、該インターネット要求に含まれる宛先アドレスに該インターネット要求を転送することと、
    前記インターネット要求に応答された、前記インターネット要求へのリプライを、インターネットを介して前記トンネリングサーバモジュールにより受信し、該リプライを前記ユーザに伝送することと、
    前記トンネリングサーバモジュールにより、通信セッションにパブリックIPアドレス割り当て、前記リプライは、前記割り当てられたパブリックIPアドレス宛のものとして、前記トンネリングサーバモジュールにより受信されることと、
    前記トンネリングサーバモジュールにより、前記パブリックIPアドレスを前記ユーザのプライベートIPアドレスに変換することと、
    前記ユーザに前記リプライを伝送することと、
    を含み、
    前記第1のパスワードは、前記ユーザの資格情報の認証が成功した場合に、前記リモートのユーザ情報サーバから前記ユーザデバイスに送信さ
    前記トンネリングサーバモジュールによる変換は、前記プライベートIPアドレスおよびポートを前記パブリックIPアドレスに変換する、前記要求のポートアドレス変換を含み、
    前記設定済みルータはRADIUSリクエストを前記許可モジュールに送信し、前記許可モジュールから構成プロファイルを受信し、
    前記許可モジュールからリモートにあるサーバは、第2のパスワードを発行して前記設定済みルータに送信し、前記設定済みルータは前記第2のパスワードを用いて前記トンネリングサーバモジュールとのL2TP/PPPトンネルを構築する、
    方法。
  13. 確立された前記仮想トンネルは、ポイント・ツー・ポイント・データリンクプロトコル・セッションとして実施されるレイヤ2トンネリングプロトコル・トンネルである請求項1に記載の方法。
  14. 前記トンネリングサーバモジュールは、インターネットサービスプロバイダのデータセンタに配置されたサーバであり、前記許可モジュールは、前記インターネットサービスプロバイダのデータセンタに配置されたRADIUSプロキシサーバであり、前記リモートのサーバは、前記トンネリングサーバモジュールおよび前記許可モジュールからリモートに配置されている請求項12または13に記載の方法。
  15. ポイント・ツー・ポイント・オーバ・イーサネット・カプセル化が用いられる請求項1から1のいずれか1項に記載の方法。
  16. 前記第1のパスワードはランダムなワンタイムパスワードである、
    請求項12から15のいずれか1項に記載の方法。
  17. 前記トンネリングサーバモジュールは、前記ポートアドレス変換のログを公開サーバに保存する、
    請求項12から16のいずれか1項に記載の方法。
JP2014540359A 2011-11-14 2012-11-14 セキュアトンネリング・プラットフォームシステムならびに方法 Active JP5982706B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201161559460P 2011-11-14 2011-11-14
US61/559,460 2011-11-14
PCT/EP2012/004730 WO2013072046A1 (en) 2011-11-14 2012-11-14 Secure tunneling platform system and method

Publications (2)

Publication Number Publication Date
JP2015502694A JP2015502694A (ja) 2015-01-22
JP5982706B2 true JP5982706B2 (ja) 2016-08-31

Family

ID=47221299

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014540359A Active JP5982706B2 (ja) 2011-11-14 2012-11-14 セキュアトンネリング・プラットフォームシステムならびに方法

Country Status (3)

Country Link
EP (1) EP2781071A1 (ja)
JP (1) JP5982706B2 (ja)
WO (1) WO2013072046A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9590884B2 (en) 2013-07-03 2017-03-07 Facebook, Inc. Native application hotspot
CN110178345B (zh) * 2016-05-31 2021-06-29 交互数字Ce专利控股公司 用于提供备用链路的方法和设备

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6430619B1 (en) * 1999-05-06 2002-08-06 Cisco Technology, Inc. Virtual private data network session count limitation
EP1104133A1 (en) * 1999-11-29 2001-05-30 BRITISH TELECOMMUNICATIONS public limited company Network access arrangement
JP2001273258A (ja) * 2000-03-23 2001-10-05 Nippon Telegr & Teleph Corp <Ntt> ユーザ認証システム
JP2001285354A (ja) * 2000-03-30 2001-10-12 Hitachi Ltd 通信路設定方法
JP3856223B2 (ja) * 2002-08-12 2006-12-13 Kddi株式会社 ユーザ認証方法およびプログラムならびにデータ通信端末
EP1411676A1 (en) * 2002-10-17 2004-04-21 Alcatel Method, network access server, client and computer software product for dynamic definition of layer 2 tunneling connections
JP4401302B2 (ja) * 2005-01-20 2010-01-20 株式会社情報技研 通信管理システム、通信管理方法、及び通信管理プログラム
JP2007102777A (ja) * 2005-10-04 2007-04-19 Forval Technology Inc ユーザ認証システムおよびその方法
US7924780B2 (en) 2006-04-12 2011-04-12 Fon Wireless Limited System and method for linking existing Wi-Fi access points into a single unified network
JP4960738B2 (ja) * 2007-03-28 2012-06-27 株式会社野村総合研究所 認証システム、認証方法および認証プログラム
US8335490B2 (en) * 2007-08-24 2012-12-18 Futurewei Technologies, Inc. Roaming Wi-Fi access in fixed network architectures
EP2345223A1 (en) * 2008-08-15 2011-07-20 Telefonaktiebolaget L M Ericsson (PUBL) Lawful interception of nat/ pat
JP5611969B2 (ja) * 2008-11-17 2014-10-22 クゥアルコム・インコーポレイテッドQualcomm Incorporated セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス
US8943552B2 (en) * 2009-04-24 2015-01-27 Blackberry Limited Methods and apparatus to discover authentication information in a wireless networking environment

Also Published As

Publication number Publication date
WO2013072046A1 (en) 2013-05-23
EP2781071A1 (en) 2014-09-24
JP2015502694A (ja) 2015-01-22

Similar Documents

Publication Publication Date Title
US9015855B2 (en) Secure tunneling platform system and method
EP2590368B1 (en) Method, equipment and network system for terminal communicating with ip multimedia subsystem(ims) core network server by traversing private network
CN107534651B (zh) 用于传送会话标识符的方法及设备
EP2725829B1 (en) Common control protocol for wired and wireless nodes
US9015815B2 (en) Method and system for authenticating a network node in a UAM-based WLAN network
EP3432523A1 (en) Method and system for connecting virtual private network by terminal, and related device
KR101670344B1 (ko) 액세스 제어 방법 및 시스템, 및 액세스 포인트
CN101711031B (zh) 一种本地转发中的Portal认证方法和接入控制器
WO2014117525A1 (zh) 静态用户终端认证处理方法及装置
US8611358B2 (en) Mobile network traffic management
CN107404485A (zh) 一种自验证云连接方法及其系统
KR20130085854A (ko) 휴대 모바일 가상사설망 서비스 지원장치 및 그 방법
WO2012130041A1 (zh) 网络资源共享的实现方法和系统
JP5982706B2 (ja) セキュアトンネリング・プラットフォームシステムならびに方法
JP5345651B2 (ja) セキュアトンネリングプラットフォームシステム及び方法
CN207706214U (zh) 一种自验证云连接系统
JP2011217174A (ja) 通信システム、パケット転送方法、ネットワーク交換装置、及びプログラム
EP4278567A1 (en) Openroaming based remote worker
JP5947763B2 (ja) 通信システム、通信方法、および、通信プログラム
JP5864453B2 (ja) 通信サービス提供システムおよびその方法
JP6664232B2 (ja) 無線lanアクセスシステム、ルータ装置およびアクセス制御方法
CN115278660A (zh) 接入认证方法、装置及系统

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150629

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150707

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20150929

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151207

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151208

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20160106

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160112

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20160106

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20160412

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160610

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160705

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160714

R150 Certificate of patent or registration of utility model

Ref document number: 5982706

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250