JP2005529392A - Hierarchical distributed identity management - Google Patents
Hierarchical distributed identity management Download PDFInfo
- Publication number
- JP2005529392A JP2005529392A JP2004511955A JP2004511955A JP2005529392A JP 2005529392 A JP2005529392 A JP 2005529392A JP 2004511955 A JP2004511955 A JP 2004511955A JP 2004511955 A JP2004511955 A JP 2004511955A JP 2005529392 A JP2005529392 A JP 2005529392A
- Authority
- JP
- Japan
- Prior art keywords
- user
- site
- authentication
- information
- home site
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 80
- 235000014510 cooky Nutrition 0.000 claims description 59
- 230000004044 response Effects 0.000 claims description 26
- 238000004891 communication Methods 0.000 claims description 15
- 230000005540 biological transmission Effects 0.000 abstract description 4
- 238000007726 management method Methods 0.000 description 94
- 108010029660 Intrinsically Disordered Proteins Proteins 0.000 description 18
- 102100037845 Isocitrate dehydrogenase [NADP], mitochondrial Human genes 0.000 description 18
- 230000007246 mechanism Effects 0.000 description 16
- 101100119888 Arabidopsis thaliana FDM2 gene Proteins 0.000 description 13
- 101150067473 IDP2 gene Proteins 0.000 description 13
- 101150046722 idh1 gene Proteins 0.000 description 13
- 230000008569 process Effects 0.000 description 12
- 101100452035 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) IDP3 gene Proteins 0.000 description 10
- 238000012546 transfer Methods 0.000 description 10
- 230000008859 change Effects 0.000 description 9
- 230000001010 compromised effect Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 230000003993 interaction Effects 0.000 description 7
- 101100119887 Arabidopsis thaliana FDM1 gene Proteins 0.000 description 6
- 101150004970 IDP1 gene Proteins 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000012790 confirmation Methods 0.000 description 3
- 230000002596 correlated effect Effects 0.000 description 2
- 230000000875 corresponding effect Effects 0.000 description 2
- 238000013480 data collection Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 101710190597 Uroporphyrinogen decarboxylase 1, chloroplastic Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000009118 appropriate response Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Abstract
本出願において、アイデンティティ管理及び認証のためのシステム及び方法が提供される。本発明は、信頼関係の責任がユーザーに依存するアイデンティティ管理システムにおける実行主体のメンバーシップを証明するためにシャドウ・ドメインを採用する。本発明は、さらに、アイデンティティ管理ネットワークにおいて第三者によって行われる表明の認証のための二重署名証明書送信を教示する。In this application, systems and methods for identity management and authentication are provided. The present invention employs a shadow domain to prove the executor's membership in an identity management system whose trust responsibilities depend on the user. The present invention further teaches double signature certificate transmission for assertion authentication performed by a third party in the identity management network.
Description
本発明は、一般的に言ってアイデンティティ管理のための方法及びシステムに関するものである。特に、本発明は、分散コンピュータ・ネットワークにおいて使用される場合の階層的分散アイデンティティ・システム及び方法に関するものである。 The present invention relates generally to a method and system for identity management. In particular, the present invention relates to a hierarchical distributed identity system and method when used in a distributed computer network.
電子商取引の分野において、アイデンティティ・ベースの情報を管理あるいは認証するためのシステム及び方法が求められていることは広く認知されている。当業者の間では、アイデンティティ・ベースの情報の認証とはユーザーが自分を何者と言っているかの保証に関するものではない、ということは認知されている。そうではなく、アイデンティティの認証とは、以前にアイデンティティが表明されたとき提示されたのと同じ資格証明書をユーザーが提示したことの認証に限定される。この微妙な差を理解するための単純な方法は、ユーザーが、関連パスワードが存在するユーザーIDによって識別される状況を考えることである。電子システムは、アカウントが初期設定されるときユーザーが誰なのか決定する方法を持たない。しかし、アカウントが初期設定された後は、ユーザーIDとパスワードの組み合わせの提示を、以前にサービス登録をしてこの資格証明書を提出したのと同じ者である証拠として見なすことができる。ユーザーID及びパスワードの提示は、そのユーザーがある特定の個人であることを証明しない。 In the field of electronic commerce, it is widely recognized that there is a need for systems and methods for managing or authenticating identity-based information. It is recognized by those skilled in the art that identity-based authentication of information is not about guaranteeing who the user is saying. Rather, identity authentication is limited to authentication that the user has presented the same credentials that were previously presented when the identity was asserted. A simple way to understand this subtle difference is to consider a situation where the user is identified by a user ID for which an associated password exists. The electronic system has no way of determining who the user is when the account is initialized. However, once the account is initialized, the presentation of the user ID and password combination can be viewed as evidence that the same person who previously registered the service and submitted this credential. The presentation of a user ID and password does not prove that the user is a particular individual.
アイデンティティ管理は、電子商取引ベンダーまたはサービス・プロバイダがユーザーに特製のサービスを提供できるようにし、さらにベンダーがユーザーの行動を追跡できるようにするので、電子商取引の分野において大きな関心事である。ユーザーの立場から見ると、アイデンティティ管理によって、ユーザーは以前に記憶された識別情報を検索することができる。アイデンティティ管理システムがなければ、サービスの利用ごとに以後のセッションにおいては保存できない一連の設定を選択しなければならない。例えば、オンライン購入の場合、アイデンティティ管理システムがないと、購入ごとにクレジットカード番号、請求先及び出荷先住所を含めて全ての識別情報を提出するようユーザーに要求する必要がある。これは、顧客にとっては一般にわずらわしく感じるものであり、オンライン商取引にとって有害となる。 Identity management is of great interest in the field of e-commerce, as it allows e-commerce vendors or service providers to provide custom services to users and also allows vendors to track user behavior. From the user's perspective, identity management allows the user to retrieve previously stored identification information. Without an identity management system, each use of the service must select a set of settings that cannot be saved in subsequent sessions. For example, for online purchases, without an identity management system, the user must be required to submit all identifying information, including credit card number, billing address, and shipping address for each purchase. This is generally annoying for customers and detrimental to online commerce.
以下の説明が一般的にアイデンティティ管理の電子商取引への応用に関するものであるが、ニュース・サイトのカスタマイズ、新聞へのアクセス登録及び電子討論サイト用の望みの表示構成の維持など他の非商取引関連サービスがアイデンティティ管理を使用することが、当業者には分かるだろう。これらのサービスの場合、ユーザーが複数のサービスについてシングル・サインオンできることが最優先される。 The following description is generally related to the application of identity management to electronic commerce, but other non-commerce related issues such as customizing news sites, registering access to newspapers and maintaining the desired display configuration for electronic discussion sites. One skilled in the art will appreciate that the service uses identity management. For these services, the highest priority is that the user can single sign-on for multiple services.
図1は、第一世代のアイデンティティ管理システムを示している。ユーザー100は、インターネット102を通じて、一般にEテイラーと呼ばれる電子小売業者104に接続される。Eテイラー104には、一般に、ハイパーテキスト転送プロトコル(HTTP)セッションを用いてアクセスする。Eテイラー104がホストとなるサイトを最初にアクセスするとき、ユーザー100はユーザーID及びパスワードを含むユーザー・プロフィルを作成する。ユーザーID及びパスワードは、おそらくクレジットカード番号、出荷先及び請求先住所及び表示嗜好を含む他の関連情報と一緒に、ユーザー・プロフィル・データベース106に記憶される。ユーザー・プロフィル・データベース106は、機密ユーザー情報を保護するために、インターネット102に接続される一般コンピュータにはアクセス不能であることが望ましい。ユーザー・プロフィル・データベース106にユーザー・プロフィルを作成した後は、ユーザー100は、単に自分のアイデンティティを証明するために証明書を提示することによってEテイラー104へのその後の訪問を単純化することができる。一般に、この資格証明書は、ユーザーIDとパスワードの組み合わせである。この資格証明書が提示されると、Eテイラー104は、ユーザー・プロフィル・データベース106を調べて、ユーザーが有効なアイデンティティ証明書を提示したかどうか確認する。このチェックに合格したら、ユーザー100は、既知の情報を提出するために入力要求されない。Eテイラー104の立場から見ると、このシステムは、ユーザー100がユーザー・プロフィル・データベース106に記憶できる、トランザクションに必要な全ての情報を確実に提供するようにする。この情報を、多数のセッションまたはトランザクションを通じて相関して、ユーザー・プロフィル・トレンドを生成することができる。ユーザーの立場から見ると、このシステムは、Eテイラー104との間で単純化された取引を行えるようにする。ただし、このシステムの欠点が図2に示されている。
FIG. 1 shows a first generation identity management system. A
図2は、インターネット102を用いて2つの異なるEテイラーであるEテイラー104a及びEテイラー104bに接続するユーザー100のネットワーク・モデルを示している。各Eテイラーは、それぞれ自身のユーザー・プロフィル・データベースであるデータベース106a及び106bを有する。ユーザーID及びパスワードはユーザー100のアイデンティティを認証するために使用されるので、Eテイラーは、一般に、各ユーザーIDは一意であることを主張する。従って、ユーザー100は、図には示されていないが他のEテイラーでの別のユーザーIDに加えてEテイラー104aと104bにおいて異なるユーザーIDを持つことが考えられる。ユーザーの立場から見ると、複数のユーザーIDは管理が難しい。さらに、ユーザー情報が変わる場合、例えば、ユーザー100が移転したりクレジットカード情報を変更したりする場合、各ユーザー情報データベース106a及び106bを個別に更新しなければならない。小規模であればこれは単に面倒なだけであるが、多様なEテイラーをしばしば訪れる多くのユーザーにとってこれは大きな迷惑になる可能性がある。さらに、ユーザー・データを繰り返し入力することは、ユーザーが不正確な情報をうっかり提供する確率を高め、Eテイラーにとって害となる。従って、多数のデータベースのデータ・インテグリティを保証する責任と、複数のユーザーIDに伴う面倒とを考えると、このモデルのアイデンティティ管理は、多くのユーザーの目からは不備に見える。
FIG. 2 shows a network model of a
ユーザーIDを確実に一意にするために、多くのEテイラーはユーザーIDの代わりにユーザー100のeメール・アドレスを使用する。しかし、ユーザーが提供するeメール・アドレスは、長期間変化しないと言う保証はない。多くの場合、ユーザーは、雇用者、インターネット・サービス・プロバイダまたは無料eメール・プロバイダによってeメール・アドレスが与えられる。これらの場合、職場の変更、インターネット・サービス・プロバイダの変更または単純な気まぐれによってeメール・アドレスを変更しないという保証はない。その結果、ユーザーは、そのeメール・アドレスが変わるときEテイラーに再び申し込む必要がある。 To ensure that the user ID is unique, many E-tailers use the user's 100 email address instead of the user ID. However, there is no guarantee that the email address provided by the user will not change over time. In many cases, users are given email addresses by employers, internet service providers, or free email providers. In these cases, there is no guarantee that the email address will not change due to workplace changes, Internet service provider changes or simple whims. As a result, the user needs to reapply to E-Taylor when their email address changes.
ユーザーが複数のサービスに単一のユーザーIDを使用できるようにするため、及び技術上一般に「シングル・サインイン」と呼ばれるものを提供するために、第二世代のアイデンティティ管理及び認証法が創られた。この解決法は、一般に階層的アイデンティティ管理システムと呼ばれ、その代表は、MicrosoftのPassportTMサービスである。このモデルの概要が図3に示されている。 A second generation identity management and authentication method was created to allow users to use a single user ID for multiple services and to provide what is commonly referred to in the art as “single sign-in”. It was. This solution is commonly referred to as a hierarchical identity management system, typically represented by Microsoft's Passport ™ service. An overview of this model is shown in FIG.
図3は、望ましくはインターネット102を通じてアイデンティティ・プロバイダ108(IDP)への接続を有するユーザー100を示している。ユーザー100は、一意のユーザーIDとパスワードの組み合わせに関連付けられるアイデンティティ・ベースの1組の情報をIDP108に提供する。この情報はユーザー・プロフィル・データベース110に記憶される。ユーザー100がIDP108と提携するEテイラーに接続するとき、ユーザー100は、アイデンティティ証明書をEテイラー112に提出し、これが、ユーザー100を認証するためにIDP108に送られる。一般に、ユーザー100がEテイラー112を通じてIDP108に提出する証明書はユーザーIDとパスワードの組み合わせである。ユーザー100を認証すると、IDP108は、Eテイラー112に記憶されているアイデンティティ情報を提供する。一般にIDP108がEテイラー112に提供する情報は、IDP108が記憶する情報のうち厳格に定義されるサブセットであるか、ユーザー・プロフィル・データベース110にIDP108が記憶するユーザー100に関連するデータ全体である。IDP108はIDPが提携する複数のEテイラーがアクセスできる情報を記憶するので、IDP108は、一般に、ユーザーが特定のサイトについて表明した嗜好などサイト固有の情報を記憶せず、また特定のEテイラーからユーザー100が購入した商品の履歴を記憶するためにユーザー嗜好データベース110を使用しない。その結果、Eテイラー112は、別個にユーザー嗜好データベース114を維持しなければならない。ユーザー嗜好データベース114の中の情報は、ユーザー100のパターンを追跡するため、及びユーザー100の購入または申し込み履歴を維持するために使用される。
FIG. 3 shows a
このモデルにおけるトランザクションの例の場合、ユーザー100はインターネット102を通じてHTTPリンクを用いてEテイラー112にウェブ・ページを要求する。このHTTPセッション中、ユーザー100は、いくつかの商品を購入したいことを知らせる。チェックアウト式のプロシージャ中、Eテイラー112はユーザー100にアイデンティティを認証することを求める。IDP108から認証を受けるために、Eテイラー112は、認証のために必要な証明書をユーザー100に要求し、これを受け取る。証明書はIDP108に送られて、認証される。代替実施態様においては、ユーザー100はEテイラー112に認証情報を提供しない。その代わりに、Eテイラー112がアイデンティティの認証を要求するとき、Eテイラーはユーザー100をIDP108にリダイレクトして、この転送が完了したら、ユーザー100はIDP108に必要な認証情報を提供する。ユーザー100の認証に成功したら、IDP108はユーザー100をEテイラー112にリダイレクトして戻す。同じまたは異なるデータ通信チャネルを用いて、IDP108は、ユーザー・プロフィル・データベース110に記憶される情報をEテイラー112に提供する。この情報は、ユーザー100が履歴情報にアクセスできるようにするためにユーザー嗜好データベース114に記憶される情報と相関される。
In the example of a transaction in this model,
このモデルのアイデンティティ管理は、第一のモデルのアイデンティティ管理に伴うシングル・サインインの問題に対処しているが、他の多数の問題が生じる。第一の問題は、IDPを運営する実行主体の信頼性である。この実行主体は、Eテイラー114及びユーザー100の両方から信頼されなければならない。IDP108は、情報を保護し、ユーザー100が承認する実行主体にのみ情報を提供するものとユーザー100によって信頼されなければならない。Eテイラー112は、IDP108が信頼できるサービス、正確なデータを提供し、略奪的行為をしないものと信頼できなければならない。Eテイラー112がIDP108を運営する実行主体が提供するサービスと競合するサービスを提供するサービス・プロバイダである場合、Eテイラー112は、一般にあまり高い信頼をIDP108に持たないだろう。
While this model of identity management addresses the single sign-in problem associated with the first model of identity management, many other problems arise. The first problem is the reliability of the executing entity that operates the IDP. This executing entity must be trusted by both
ユーザーの間では多くのプライバシーに関する懸念があるので、Microsoft PasswardTMサービスは、ユーザーがEテイラー112にアイデンティティ認証情報を提供することを決して要求されないように実現される。代わりに、安全な接続を通じてユーザーをEテイラー112からIDP108に渡すためにリダイレクト・コマンドが使用される。この安全な接続を通じて、ユーザー100はIDP108にアイデンティティ認証情報を提供する。ユーザー100を認証したら、IDP108は、安全なバック・チャネルでユーザー100をEテイラー112に戻して、Eテイラー112に認証及びユーザー情報を与える。異なるサイトで単一のユーザー100に関する情報を2つのEテイラーが相関できないようにするために、IDP108は、Eテイラーが2つのサイトの間でユーザーを相関するためにアイデンティティ・コーディング・インデクスを使用するのを防止するEテイラー固有のアイデンティティ・コーディングを行う。ただし、Eテイラー114が、一般にユーザー100と関連付けられるクレジットカード番号を知っているので、情報を共有する気のある2つのEテイラーは、クレジットカード情報、eメール・アドレスまたは自宅住所を相互参照フィールドとして用いて、自身のデータベースを相関させることができることが、当業者には分かるだろう。
Because there are many privacy concerns among users, the Microsoft Password ™ service is implemented so that the user is never required to provide
Microsoft PassportTMシステムの現在の実施態様は、電子商取引市場において第一世代のアイデンティティ管理システムを押しのけるのに充分な牽引力を得ることができなかった。その一つの理由は、ユーザー・プロフィル・データベース110など集中エユーザー・プロフィル・データベースが一般に静的データ構造を有することにある。すなわち、このデータベースは事前に定義された情報セットを記憶する。しかし、異なるEテイラーは、一般にユーザーに異なる情報セットを要求する。集中ユーザー・プロフィル・データベース110は、多様なEテイラーが要求する全ての情報を記憶するように設計されないので、Microsoft PassportTMサービスが提供するような集中ユーザー・プロフィル・データベース110に移行しても採算が取れないと、多くのEテイラーが判断した。PassportTMサービスが第一世代のアイデンティティ管理システムに取って代われなかったもう1つの理由は、単一の実行主体に膨大な量のアイデンティティ情報を提供することをユーザーが警戒したことである。ユーザーがこのような情報量を提供するのに充分な信頼をIDPに対して持つためには、既存の信頼関係及びデータの機密保護に関するユーザーの前提が存在しなければならない。多くのユーザーがMicrosoftとの間にこの種の歴史的な関係を持っていなかったので、多くのユーザーがこの情報を提供したがらなかった。 The current implementation of the Microsoft Passport ™ system has failed to gain enough traction to push the first generation identity management system in the e-commerce market. One reason is that a centralized euser profile database, such as the user profile database 110, generally has a static data structure. That is, the database stores a predefined set of information. However, different E-Taylors generally require different information sets from the user. The centralized user profile database 110 is not designed to store all the information required by various e-tailors, so it will be profitable even if you migrate to the centralized user profile database 110 as provided by the Microsoft Passport TM service. Many E-Taylors decided that it was not possible. Another reason that the Passsport ™ service has not been replaced by the first generation identity management system is that users have been wary of providing vast amounts of identity information to a single actor. In order for a user to have sufficient trust in the IDP to provide such an amount of information, there must be existing trust relationships and user assumptions regarding data security. Many users did not want to provide this information because many users did not have this kind of historical relationship with Microsoft.
多くの人々の間でもう1つ懸念されたことは、階層的アイデンティティ管理システムが独占主義的傾向を促進することである。この懸念に対処するために、第三世代モデルのアイデンティティ管理システムがLibery Allianceによって創られた。このモデルは、分散アイデンティティ管理システムとして説明するのが最も妥当である。この種のシステムが図4に示されている。 Another concern among many people is that the hierarchical identity management system promotes a monopoly trend. To address this concern, a third generation model of identity management system was created by the Liberty Alliance. This model is best described as a distributed identity management system. Such a system is shown in FIG.
図4は、Liberty Allianceが提案する分散アイデンティティ管理システムを示している。この仕様は、図においてはそれぞれユーザー・プロフィル・データベースUPD1 118、UDP2 122及びUPD3 126を有するIDP1 116、IDP2 120及びIDP3 124として示される複数のアイデンティティ・プロバイダについて説明している。全てのIDPは、信頼のウェブ128の中に存在し、各IDPは、他の全てのIDPと信頼関係を有する。信頼関係は点線で示されている。データの機密保護のために、信頼のウェブ128におけるIDP間の通信は、非対称暗号化を用いて行われる。このように、図4の例においては、IDP1 116は、これと関連付けられる公開暗号化キーと秘密暗号化キーを有し、IDP2 120及びIDP3 124も同様である。IDP1 116は、また、IDP2 120及びIDP3 124の公開キーも有する。このようにして、2つのIDPの間で送られる全ての要求は、宛先IDPの公開キーを用いて暗号化することができ、送信側IDPの秘密キーを用いて署名することができる。このようにして、IDP1 116がIDP2 120と通信する必要がある場合、IDP2 120に割り当てられる公開キーを用いて要求を暗号化し、自身の秘密キーを用いて暗号化されたメッセージに署名する。IDP2 120は暗号化されたメッセージを自身の秘密キーを用いて復号化し、IDP2 120に記憶されるIDP1 116に割り当てられる公開キーを用いてIDP1 116の署名を確認することができる。これによって、信頼のウェブ128に属する各IDPは、IDP間のデータデータ・チャネルが危険にさらされているのではないかと心配することなく信頼のウェブに属する他のIDPと通信することができる。ユーザー100は、信頼のウェブ128に属するIDPのうちの1つに登録する。図4において、ユーザーはIDP3 124と関係する。IDP3 124は、ユーザー100によって提供されるアイデンティティ情報を、アイデンティティ証明書と一緒にUPD3 126に記憶する。ユーザー100が信頼のウェブ128に属するIDPのうちいずれかと関係するEテイラー、例えばEテイラーB 132との間にセッションを確立すると、ユーザー100は、EテイラーBにアイデンティティ証明書を提出し、証明書はその後信頼のウェブ128に属するシステムのうち1つに与えられる。図4に示される通り、EテイラーB 132はIDP2 120と提携している。従って、ユーザー100のID証明書はEテイラーBに提示され、EテイラーBがこれをIDP2 120に中継する。ユーザー100のユーザー資格証明書を認証するために、IDP2 120は、ユーザー100がIDP3 124に加入していると判定して、公開キー及び秘密キーを用いて自身とIDP3 124との間に安全なデータ接続を確立する。このデータ接続は、ユーザー100によって与えられるアイデンティティ証明書を認証するために使用される。ユーザー100を認証したら、IDP3 124はIDP2 120にアイデンティティ情報を提供し、これが中継されてEテイラー132に返される。
FIG. 4 shows a distributed identity management system proposed by the Liberty Alliance. This specification describes a plurality of identity providers, shown in the figure as
このシステムは、ユーザー100にシングル・サインオン機能を与え、IDPの独占主義的傾向に関する懸念に対処する。各IDPは、他のIDPから独立しているので、情報の地球規模の貯蔵庫とは見なされない。従って、あるIDPの機密保護が侵害されても、そのIDPのユーザー・プロフィル・データベースに関係する情報のみが危険にさらされる。これは、ユーザー・プロフィル・データベースの危険がシステムの全てのユーザーに及ぶ階層的モデルに比べて有利である。
This system provides the
ただし、Libetry Allianceの仕様によれば、IDPには限定されたユーザー・アイデンティティ情報のセットしか記憶されない。従って、Eテイラーは、やはり、IDPに記憶されない情報についてユーザー100に質問しなければならない。さらに、公開及び秘密暗号化キーは、各々のIDPが、データ要求ごとに膨大な計算集約的タスクを行えることを要求する。さらに、信頼のウェブの規模が増大するにつれて、高度なキー管理システムを採用しなければならない。図4は3つのIDPしか示していないが、Liberty Alliance仕様が提案するモデルはこれに限定されない。信頼のウェブに属するIDPの数が無限に拡大できないことが、当業者には分かるだろう。IDPの数が小さいときには各IDPが他のIDPを信頼できるシステムを実現することが可能であるが、IDPの数が数万にもなるとこの種のシステムは信頼できる形で実現できそうもない。
However, according to the specification of the Liberty Alliance, only a limited set of user identity information is stored in the IDP. Thus, E-Taylor must still ask the
ユーザー100の立場から見ると、Liberty Allianceが提示するモデルは、多数の欠点を有する。ユーザーのシングル・サインオン機能は多少限定的である。ユーザーには、ユーザーをユーザーが選択したIDPに結びつける一意のユーザーIDが割り当てられる。ユーザーが信頼のウェブに属するあるIDPによって認証されると、Eテイラーには2つ1組の一意の識別子(PUID)が与えられ、将来ユーザーを識別するためにこれを使用することができる。PUIDが2つ1組の一意なので、同じユーザーに関して2つのEテイラーに割り当てられるPUIDは、ユーザーの購入またはアクティビティの相互相関を防止するために異なる。ユーザーに関係するIDPのみがEテイラーに与えられるPUIDを保持するので、1つのIDPから別のIDPへの移行はできない。ユーザーがIDP3 124からIDP2 120へ移動したい場合、全く新しいアイデンティティを作らなければならず、IDP3 124に記憶される全ての情報を、ユーザーはIDP2 120に記憶するために再び入力しなければならない。多くのユーザーはこれを、まだ試験されていないシステムにユーザーを拘束するものであると見ている。その結果、多くのユーザーはこのサービスに登録するのを非常に躊躇している。Eテイラー及び潜在的IDPにとっては、Liberty Allianceへの参加は、ユーザー情報をどのように記憶すべきか、また統計またはマーケティングのためにどのようにユーザー情報を使用できるかを含めて、事業戦略へのある種の制約に合意することを含む。このような制約は、Liberty Allianceに参加したいと思う者の数を制限していると思われる。
From the perspective of the
PassportTMもLiberty Allianceも、Eテイラー及びユーザーの認証を必要とするその他のサイトにPUIDを与える。PUIDは、Eテイラーが情報を記憶して、ユーザーに関するプロフィルを構築できるようにする一方で、2人のEテイラーがそのデータベースを簡単に相関させて、ユーザーのアクティビティ及びパターンを判定するのを妨げる。Liberty AllianceにおけるPUIDは、ユーザー・プロフィルを保持するIDPによって割り当てられるものであり、他のIDPがこれをユーザー・アカウントと結びつけることはできないので、ユーザーがIDPを変えようとするとき、各Eテイラーにおける全てのサイト固有の設定は全て失われる。これはユーザーを1つのIDPに拘束することになり、ほとんどのユーザーにとってPassportTMが与える単一ソース以上の移植の機会を与えない。さらに、PassportTMあるいはLiberty Allianceによって割り当てられるPUIDの目的は、クレジットカード情報など他の情報と相関させることによって、既述の通り達成することができる。 Both Passport ™ and Liberty Alliance give PUIDs to E-Taylor and other sites that require user authentication. The PUID allows E Taylor to store information and build a profile for the user, while preventing two E Taylors from easily correlating its database to determine user activity and patterns. . The PUID in the Liberty Alliance is assigned by the IDP that holds the user profile and cannot be tied to the user account by other IDPs, so when a user tries to change the IDP, All site-specific settings are lost. This constrains the user to a single IDP and does not give most users the opportunity to port beyond the single source that Passport ™ offers. Furthermore, the purpose of the PUID assigned by Passport ™ or Liberty Alliance can be achieved as described above by correlating with other information such as credit card information.
現在のアイデンティティ管理システムはどれも、シングル・サインオン・サービス、多くのEテイラーが必要とする専門情報、アイデンティティ情報の移植性を提供することができないので、どのサービスもこれまで他のサービスに取って代わることができなかった。従って、動的ユーザー情報セットを提供し、縮小拡大し、グローバル・データ記憶に依存しないアイデンティティ管理システムを提供することが望ましい。 None of the current identity management systems can provide the single sign-on service, the specialized information that many E-Taylors need, and the portability of identity information, so any service has so far taken on other services. I couldn't replace it. Accordingly, it is desirable to provide an identity management system that provides a dynamic user information set, scales, and does not rely on global data storage.
(発明の概要)
これまでのアイデンティティ管理システムの少なくとも1つの不利点を除去または緩和することが本発明の1つの目的である。
(Summary of Invention)
It is an object of the present invention to eliminate or mitigate at least one disadvantage of previous identity management systems.
本発明の第一の態様においては、メンバーサイトにユーザーの認証を与えるためのアイデンティティ管理システムが提供される。このアイデンティティ管理システムは、ユーザーに関連付けられるグローバル一意識別子を記憶するためのユーザー・データベースを有するルート・サーバーを含む。ルート・サーバーは、ユーザーにグローバル一意識別子を与えるための手段、及びドメインネーム・サーバーに与えるためにシャドウ・ドメインの名前と関連付けられるネットワーク・アドレスのリストを維持するための手段を有し、各名前はアイデンティティ管理ネットワークに属するメンバーサイトかホームサイトに関連付けられる。ルート・サーバーは、ユーザーがシャドウ・ドメインにおけるホームサイトに関連付けられる名前にリダイレクトされるとき、ホームサイトが、メンバーサイトにアクセスする実行主体をグローバル一意識別子に関連付けられるユーザーとして認証できるようにする。ルート・サーバーは、任意に、グローバル一意識別子に関連付けられるユーザーとして実行主体を認証するためのホームサイトの権限の認証をメンバーサイトに与えるためのホームサイト認証メッセージを含むことができる。 In a first aspect of the present invention, an identity management system for providing user authentication to a member site is provided. The identity management system includes a root server having a user database for storing a globally unique identifier associated with a user. The root server has means for giving the user a globally unique identifier, and means for maintaining a list of network addresses associated with the names of the shadow domains to give to the domain name server, each name Is associated with a member site or home site belonging to an identity management network. The root server allows the home site to authenticate the executing entity accessing the member site as a user associated with the globally unique identifier when the user is redirected to a name associated with the home site in the shadow domain. The root server can optionally include a home site authentication message for providing the member site with authentication of the home site's authority to authenticate the executing entity as a user associated with the globally unique identifier.
本発明の第一の態様の1つの実施態様においては、アイデンティティ管理システムは、ルート・サーバーと通信しかつユーザー・プロフィル・データベース、ユーザー認証エンジン及びシャドウ・ドメインのネームスペースにドメイン名を有するホームサイトを含む。ユーザー・プロフィル・データベースは、ユーザーに関連付けられるグローバル一意識別子及び認証情報の両方を記憶する。認証エンジンは、ホームサイトがユーザーのアイデンティティを認証できるようにする。認証情報は、任意に、ユーザーIDとパスワードの組み合わせである。別の実施態様においては、ユーザー・プロフィル・データベースは、さらに、ユーザーに関連付けられるアイデンティティ情報を記憶し、認証エンジンは、ユーザーを認証するときアイデンティティ情報のサブセットをメンバーサイトに提供するための手段を含む。本発明のさらなる実施態様においては、認証エンジンは、メンバーサイトによって読み取り可能な認証情報を含むクッキーをユーザーに与えかつユーザーをメンバーサイトにリダイレクトすることによって、認証されたユーザー・アイデンティティをメンバーサイトに与える。クッキーは、任意にホームサイトの署名入りであり、そのホームサイトがグローバル一意識別子を認証する権限を有することのルート・サーバーからの表示を含む。表示は、任意に、ルート・サーバーの署名入り表明である。別の実施態様においては、認証エンジンは、認証符号化ユニバーサル・リソース・ロケータにユーザーをリダイレクトすることによって、あるいはメンバーサイトによって読み取り可能な認証情報を含むクッキーをユーザーに与えかつユーザーをメンバーサイトにリダイレクトすることによって、ユーザーに関連付けられるアイデンティティ情報をメンバーサイトに提供する。 In one embodiment of the first aspect of the present invention, the identity management system is a home site that communicates with a root server and has a domain name in a user profile database, a user authentication engine, and a shadow domain namespace. including. The user profile database stores both a globally unique identifier and authentication information associated with the user. The authentication engine allows the home site to authenticate the user's identity. The authentication information is arbitrarily a combination of a user ID and a password. In another embodiment, the user profile database further stores identity information associated with the user, and the authentication engine includes means for providing a subset of the identity information to the member site when authenticating the user. . In a further embodiment of the invention, the authentication engine provides an authenticated user identity to the member site by providing the user with a cookie containing authentication information readable by the member site and redirecting the user to the member site. . The cookie is optionally signed by the home site and includes an indication from the root server that the home site is authorized to authenticate the globally unique identifier. The display is optionally a signed assertion of the root server. In another embodiment, the authentication engine provides the user with a cookie containing authentication information readable by the member site or by redirecting the user to an authentication encoded universal resource locator and redirects the user to the member site To provide the member site with identity information associated with the user.
本発明の第二の態様においては、アイデンティティ管理ネットワークのメンバーサイトにユーザー認証を与える方法が提供される。この方法は、ホームサイトの名前を取得するステップ、ホームサイトに認証要求を与えるステップ、及びホームサイトからユーザーの認証を取得するステップを含む。ホームサイトの名前を取得するステップは、ホームサイトにとって既知のユーザー認証情報に基づいてユーザー認証を与えることができるホームサイトの名前をユーザーから取得するステップを含む。ホームサイトに認証要求を与えるステップは、アイデンティティ管理ネットワークに関連付けられるシャドウ・ドメインにおけるホームサイトにユーザーをリダイレクトするステップを含む。認証を取得するステップは、ホームサイトがユーザーから既知の認証情報を受け取るのに応答してホームサイトからユーザーの認証を取得するステップを含む。認証情報は、ユーザーに関連付けられるグローバル一意識別子を含む。第二の態様の1つの実施態様においては、ユーザーからホームサイトの名前を取得するステップは、メンバーサイトがユーザーによって与えられるクッキーを検査するステップを含む。別の実施態様においては、ホームサイトに認証要求を与えるステップは、ユーザーがシャドウ・ドメインにおけるホームサイトに関連付けられる名前をネットワーク・アドレスに転換するステップを含む。さらに別の実施態様においては、ホームサイトに認証要求を与えるステップは、メンバーサイトが、ホームサイトによって読み取り可能なユーザー認証要求を含むクッキーをユーザーに与えるステップを含む。さらに別の実施態様においては、ホームサイトは、ユーザー認証情報及びユーザー・アイデンティティ情報の両方を提供することができ、ホームサイトに認証要求を与えるステップは、さらに、メンバーサイトがホームサイトにアイデンティティ情報要求を与えるステップを含み、一方、認証を取得するステップは、さらに、ホームサイトがユーザーから既知の認証情報を受け取るのに応答して識別情報を取得するステップを含む。さらなる実施態様においては、この方法は、ホームサイトが提供するのではないアイデンティティ情報を取得するステップ、及びユーザーをシャドウ・ドメインにおけるホームサイトにリダイレクトすることによって取得されたアイデンティティ情報をホームサイトに提供するステップを含み、ホームサイトによって提供されるのではないアイデンティティ情報は、ユーザーから取得する。 In a second aspect of the invention, a method is provided for providing user authentication to a member site of an identity management network. The method includes obtaining a name of the home site, providing an authentication request to the home site, and obtaining user authentication from the home site. Obtaining the name of the home site includes obtaining from the user the name of the home site that can be given user authentication based on user authentication information known to the home site. Providing the authentication request to the home site includes redirecting the user to the home site in the shadow domain associated with the identity management network. Obtaining authentication includes obtaining authentication of the user from the home site in response to the home site receiving known authentication information from the user. The authentication information includes a globally unique identifier associated with the user. In one embodiment of the second aspect, the step of obtaining the name of the home site from the user includes the step of the member site examining a cookie provided by the user. In another embodiment, providing the authentication request to the home site includes the user converting a name associated with the home site in the shadow domain to a network address. In yet another embodiment, providing the authentication request to the home site includes providing the user with a cookie that includes a user authentication request readable by the home site. In yet another embodiment, the home site can provide both user authentication information and user identity information, and the step of granting an authentication request to the home site further includes the member site requesting identity information from the home site. While obtaining the authentication further includes obtaining identification information in response to the home site receiving known authentication information from the user. In a further embodiment, the method provides the home site with identity information obtained by redirecting the user to the home site in the shadow domain, and obtaining identity information that the home site does not provide. Identity information, including steps, that is not provided by the home site is obtained from the user.
本発明の第三の態様においては、アイデンティティ管理ネットワークに属するホームサイトにおいてユーザー認証を行う方法が提供される。この方法は、グローバル一意識別子及び既知の認証情報を有するユーザーからメンバーサイトのために認証を与えるよう求める要求を受け取るステップ、及び既知の認証情報の受け取りに応答して、アイデンティティ管理ネットワークに関連付けられるシャドウ・ドメインにおけるメンバーサイトにユーザーをリダイレクトすることによってメンバーサイトにユーザーの認証を与えるステップを含む。第三の態様の1つの実施態様において、メンバーサイトにユーザーの認証を与えるステップは、ユーザーのグローバル一意識別子に関連付けられるユーザーIDとパスワードの組み合わせをユーザーから受け取るステップを含む。別の実施態様において、メンバーサイトにユーザーの認証を与えるステップは、ユーザーがシャドウ・ドメインにおけるメンバーサイトに関連付けられる名前をネットワーク・アドレスに転換するステップを含み、さらに、ユーザーの認証を与えるステップは、任意に、ホームサイトが、メンバーサイトによって読み取り可能な、ユーザーの認証及びユーザーに関連付けられるグローバル一意識別子を含むクッキーをユーザーに与えるステップを含む。他の実施態様において、認証情報を与えるよう求める要求を受け取るステップは、アイデンティティ情報要求を受け取るステップを含み、認証を与えるステップは、既知の認証情報をユーザーから受け取ったらメンバーサイトに識別情報を与えるステップを含み、またメンバーサイトに識別情報を与えるステップの前に、要求される識別情報をメンバーサイトに転送するためのユーザーの許可を取得するステップが含まれる。別の実施態様において、この方法は、メンバーサイトから取得したアイデンティティ情報をユーザーから受け取るステップ、及び転送されたアイデンティティ情報をユーザー・プロフィル・データベースに記憶するステップを含む。 In a third aspect of the present invention, a method for performing user authentication at a home site belonging to an identity management network is provided. The method includes receiving a request to provide authentication for a member site from a user having a globally unique identifier and known authentication information, and in response to receiving the known authentication information, a shadow associated with the identity management network. Including authenticating the user to the member site by redirecting the user to the member site in the domain. In one embodiment of the third aspect, providing authentication of the user to the member site includes receiving from the user a user ID and password combination associated with the user's globally unique identifier. In another embodiment, providing the user's authentication to the member site includes converting the name associated with the member site in the shadow domain to a network address, and further providing the user's authentication: Optionally, the home site includes providing the user with a cookie that is readable by the member site and includes a user authentication and a globally unique identifier associated with the user. In another embodiment, receiving a request to provide authentication information includes receiving an identity information request, and providing authentication includes providing identification information to a member site upon receiving known authentication information from a user. And before the step of providing identification information to the member site includes the step of obtaining the user's permission to transfer the requested identification information to the member site. In another embodiment, the method includes receiving identity information obtained from a member site from a user and storing the transferred identity information in a user profile database.
本発明の別の態様においては、eメール・アドレスを有するユーザーに関連付けられるグローバル一意識別子を取得する方法が提供される。この方法は、グローバル一意識別子をeメール・アドレスと関連付けるよう求める要求をユーザーから受け取るステップ、グローバル一意識別子をeメール・アドレスと関連付けるルート・サーバーにユーザーのeメール・アドレスに関連付けられるグローバル一意識別子の割り当てを要求するステップ、及びユーザーがeメール・アドレスに送られる誰何に対する応答をルートに与えるのに応答してeメール・アドレスに関連付けられるグローバル一意識別子を取得するステップを含む。 In another aspect of the invention, a method is provided for obtaining a globally unique identifier associated with a user having an email address. The method includes receiving a request from a user to associate a globally unique identifier with an email address; a global unique identifier associated with the user's email address in a root server that associates the globally unique identifier with the email address; Requesting an assignment, and obtaining a globally unique identifier associated with the email address in response to providing the route with a response to what the user is sent to the email address.
本発明の他の態様及び特徴は、添付図面と一緒に本発明の特定の実施態様に関する以下の説明を読むことによって、当業者には明らかになるだろう。 Other aspects and features of the present invention will become apparent to those of ordinary skill in the art by reading the following description of specific embodiments of the invention in conjunction with the accompanying drawings.
(詳細な説明)
一般的に言って、本発明は、アイデンティティ管理のための方法及びシステムを提供する。
(Detailed explanation)
Generally speaking, the present invention provides a method and system for identity management.
アイデンティティ管理システムが成功するためには、ユーザーが、その個人情報を記憶する実行主体を信頼しなければならず、また、ユーザーにシステムの使用を促す一連の特性が与えられなければならない。充分なユーザー・ベースがなければ、アイデンティティ管理システムはサービス・プロバイダを惹きつけることができないので、成功しない。 In order for an identity management system to be successful, the user must trust the executor that stores the personal information and be given a set of characteristics that prompt the user to use the system. Without an adequate user base, the identity management system will not succeed because it cannot attract service providers.
ユーザーの立場から見ると、システムは、信頼できる実行主体への単純な登録プロセスを提供しなければならない。登録後、単一のログインを用いてサービスにログインする単純な方法がユーザーに提供されなければならず、また、これらのサービスに登録するために単純なメカニズムが提供されなければならない。ユーザーには、信頼される実行主体に追加情報を提供するための単純なメカニズムが提供されなければならない。最後に、ベンダー/サービス・プロバイダと信頼される実行主体との間の対話が、ほとんどユーザーにとって透明でなければならない。 From the user's point of view, the system must provide a simple registration process with a trusted actor. After registration, the user must be provided with a simple way to log in to the service using a single login, and a simple mechanism must be provided to register for these services. The user must be provided with a simple mechanism for providing additional information to the trusted actor. Finally, the interaction between the vendor / service provider and the trusted performer should be mostly transparent to the user.
ベンダーまたはサービス・プロバイダの立場から見ると、伝統的なアイデンティティ管理システムは、ベンダーと認証機関との間に高度の信頼が要求されるので、これまで問題があった。この信頼の問題は、本発明においては、ユーザーに信頼責任を委譲することによって解決される。ユーザーがある実行主体を信頼して自分の個人情報を保持させ認証機関としての機能を果たさせるなら、ベンダーは、ユーザーがその信頼関係に満足していると納得できるので、ベンダーは認証機関を信頼できる。この信頼関係は、認証機関がアイデンティティ管理ネットワーク内にとどまる限り充分なものである。 From the standpoint of a vendor or service provider, traditional identity management systems have been problematic because of the high degree of trust required between the vendor and the certificate authority. This trust problem is solved in the present invention by delegating trust responsibility to the user. If a user trusts an executing entity to keep his / her personal information and perform the function of a certification body, the vendor can be satisfied that the user is satisfied with the trust relationship, so the vendor Reliable. This trust relationship is sufficient as long as the certificate authority remains in the identity management network.
認証機関の立場から見ると、ユーザーとの間に結ばれる合意は、Liberty Allianceの場合のように中央団体によって指示されるのではなく、認証機関の業務上のニーズに役立つように考案することができる。さらに、認証メカニズムは、認証機関とユーザーの合意に委ねられる。従って、それぞれの認証機関が、ユーザーIDとパスワードの組み合わせ、スマート・カード、バイオメトリック・サンプリング及びその他の既知のユーザー認証法などそれぞれの認証メカニズムを採用することができる。ユーザーが、認証機関が提供する認証メカニズムあるいはサービスに幻滅したら、ユーザーはアイデンティティ情報を記憶し認証するために使用される認証機関を変更することができる。 From the certification authority's standpoint, the agreements reached with the users can be designed to serve the certification agency's business needs rather than being directed by the central body as in the case of the Liberty Alliance. it can. Furthermore, the authentication mechanism is left to the agreement between the certification body and the user. Accordingly, each authentication authority can employ a respective authentication mechanism such as a combination of user ID and password, smart card, biometric sampling, and other known user authentication methods. If the user is disillusioned with the authentication mechanism or service provided by the certificate authority, the user can change the certificate authority used to store and authenticate identity information.
ネットワークを運営するために、中央機関が確立される。この中央機関は、ユーザー・アイデンティティ情報を記憶するために認証機関が使用するスキーマを定義する。これによって、アイデンティティ管理ネットワークに属するベンダーは事前定義フィールドに情報を要求することができる。中央機関は、また、ベンダー及び認証機関の両方に、通信相手がアイデンティティ管理ネットワークの一部であることを保証するメカニズムを提供する。 A central authority is established to operate the network. This central authority defines the schema used by the certificate authority to store user identity information. This allows vendors belonging to the identity management network to request information in the predefined fields. The central authority also provides a mechanism for both the vendor and the certification authority to ensure that the communication partner is part of the identity management network.
インターネットなど公衆通信網に接続される全てのコンピュータ・システムは、割り当て数字ネットワーク・アドレスを有する。このアドレスは、一意識別子として役立ち、さらに、あるネットワーク・ノード向けのパケットをこの指定されるノードに効果的にルート指定できるようにルーティング情報を与える。ネットワークと人間との対話のためのアドレス指定を単純化するために、英数字ドメイン名がノードに割り当てられ、英数字ドメイン名を数字アドレスに変換できるようにするために一般にドメインネーム・サーバー(DNS)を通じてルックアップ機能が与えられる。これらの技法は当業者には周知である。ドメイン名システムのもう1つの既知の使用は、ドメイン内のシステムへのアクセスを制限するためのものである。英数字ドメイン名を用いて送信をアドレス指定するだけで、送信側システムは、その英数字ドメイン名で指定されるドメイン外のシステムがパケットを受け取るのを制限することができる。DNSシステムの相対的機密保護は、世界的に悪意のリダイレクトがないと、ほぼインターネット全体から信頼されている。本出願において言及される場合、シャドウ・ドメインとは、中央機関のネームスペースの下でインターネットにおいて生成されるドメインである。アイデンティティ管理ネットワークに属する全ての実行主体は、シャドウ・ドメインにおいて名前の割り当てを受けることができ、この名前はその実行主体に関連付けられる数字アドレスに転換される。このようにして、ベンダーは、その一次ドメインと同じ数字アドレスに転換されるシャドウ・ドメイン・アドレスを持つか、または一次ドメインとは異なるがベンダーが支配するその他のシステムに関連付けられる数字アドレスに転換することができるシャドウ・ドメイン・アドレスを持つことができる。ベンダー及び認証機関の両方が確実にアイデンティティ管理ネットワークに属するようにするために、本発明においてシャドウ・ドメインを用いる技法を使用することが望ましい。 Every computer system connected to a public communications network, such as the Internet, has an assigned numeric network address. This address serves as a unique identifier and also provides routing information so that packets destined for a network node can be effectively routed to this designated node. In order to simplify addressing for network and human interaction, an alphanumeric domain name is assigned to a node, and a domain name server (DNS) is generally used to allow an alphanumeric domain name to be converted to a numeric address. ) Is given a lookup function. These techniques are well known to those skilled in the art. Another known use of the domain name system is for restricting access to systems in the domain. By simply addressing a transmission using an alphanumeric domain name, the sending system can restrict systems outside the domain specified by that alphanumeric domain name from receiving the packet. The relative security of DNS systems is trusted almost entirely by the Internet without global redirection. As referred to in this application, a shadow domain is a domain created in the Internet under a central authority namespace. All actors belonging to the identity management network can be assigned a name in the shadow domain, and this name is translated into a numeric address associated with that actor. In this way, the vendor has a shadow domain address that translates to the same numeric address as its primary domain, or a numeric address that is associated with other systems that are different from the primary domain but controlled by the vendor. Can have shadow domain addresses that can In order to ensure that both the vendor and the certificate authority belong to the identity management network, it is desirable to use a technique using shadow domains in the present invention.
以下の説明は、アイデンティティ管理ネットワークのアーキテクチャ及び各実行主体の役割の概要であり、このアーキテクチャが、どのようにしてユーザーのアイデンティティ管理ネットワークへの登録、シングル・サインオン機能、認証機関が記憶するユーザー情報を必要とするサービスのための単純化された登録、認証機関がユーザー・データを記憶するために使用するスキーマを更新するためのメカニズム、ベンダーまたはサービス・プロバイダがユーザー情報を認証機関にバックフィルするためのメカニズム、ユーザーが全てのサインインを維持したまま既に記憶されている情報を提供することなく認証機関を変更するためのメカニズムを提供するか、を示す。さらに、このアーキテクチャから生じる機密保護の特性及び証明書の署名及びキーのための新しい信頼の鎖が、本発明のアーキテクチャ及び方法のその他の利点と一緒に紹介される。 The following description is an overview of the identity management network architecture and the role of each actor, and how this architecture registers the user to the identity management network, single sign-on functionality, and the user that the certificate authority remembers. Simplified registration for services that require information, a mechanism for updating the schema used by the certification authority to store user data, and vendor or service provider backfilling user information to the certification authority A mechanism to do this, whether to provide a mechanism for the user to change the certificate authority without providing any previously stored information while maintaining all sign-ins. In addition, the security characteristics arising from this architecture and the new chain of trust for certificate signatures and keys are introduced along with other advantages of the architecture and method of the present invention.
以下の説明において、中央認証機関は階層的分散アイデンティティ管理ネットワークのルートまたは単にルートと呼ばれる。認証機関は、ユーザー・データのホームを提供するのでホームサイト(HS)と呼ばれる。ユーザー認証あるいはユーザー・アイデンティティ情報を要求するサイトはメンバーサイト(MS)と呼ばれる。ユーザーはそのままユーザーと呼ばれる。 In the following description, the central certificate authority is referred to as the root or simply the root of the hierarchical distributed identity management network. The certification authority is called the home site (HS) because it provides a home for user data. Sites that require user authentication or user identity information are called member sites (MS). A user is called a user as it is.
図5は、本発明の階層的分散アイデンティティ管理システムに使用されるアーキテクチャを示している。図5には4つの実行主体、すなわちユーザー200、ホームサイト(HS)202、メンバーサイト(MS)206及びルート210が示されている。認証及びアイデンティティ管理において果たす役割に関連して各実行主体について説明する。図5は単なる例なので、付加的なホームサイト及びメンバーサイトが存在するかもしれないが、これらは図には示されていない。
FIG. 5 illustrates the architecture used in the hierarchical distributed identity management system of the present invention. FIG. 5 shows four execution entities: a
ユーザー200は、インターネットなど一般公衆通信網への接続を有するユーザーである。ユーザー200は、住所、請求書発行情報及びカレンダー・ベースの情報などその他の個人情報など、自身のアイデンティティに関連する情報を有する。ユーザー200は、このアイデンティティ情報を記憶してシングル・サインオン・サービスのためにアイデンティティ認証を与えるためのホームサイト(HS)202を選択する。
The
HS202は、ユーザー200に関するアイデンティティ情報を記憶するために使用されるユーザー・プロフィル・データベース(図には示されていない)を含む。HSは、また、グローバル一意識別子(GUID)をユーザー200のアイデンティティ情報と関連付ける。GUIDは、ルート210によってHS202に割り当てられるグローバル一意識別子であり、その方法については後で説明する。HS202は、一意のネットワーク・アドレス、及び図においてはhomesite.comとして示されるこのアドレスと関連付けられるドメイン名204を有する。従って、HS202にアクセスするために、ユーザー200はウェブ・ブラウザをwww.homesite.comに導くことができ、ドメインネーム・サーバー(DNS)を通じてアドレスはHS202のアドレスに転換される。
メンバーサイト206(MS)は、そのネットワーク・アドレスと関連付けられるドメイン208membersite.comを有する公衆インターネット102上のノードである。MS206は、ユーザー200が申し込むサービスを提供するか、またはユーザー200が購入したい製品を販売する。ユーザー200がサインインできるようにするために、またはユーザー200に関する個人情報を取得するために、MS206は、ユーザー200の認証かまたはユーザー200に関する1組の情報を要求する。
Member site 206 (MS) is a node on the
ユーザー200は、ホームサイト202(HS)にアイデンティティ情報を提供する。ユーザー200によってHS202に提供される情報に1組の身元証明書が関連付けられる。以下の説明において、ユーザー証明書はユーザーIDとパスワードの組み合わせとして示される。しかし、バイオメトリック読み取り、スタティックIPトレース及びスマート・カード派生情報を含めて他のいくつの認証方法でも、ユーザーIDとパスワードの組み合わせの代わりに使用することができることが、当業者には分かるだろう。
HS202は、従来のドメイン名システムを通じてそのIPアドレスと関連付けられる一次ドメイン206homesite.comを有する。ユーザー200またはネットワーク上のその他のシステムは、数字IPアドレスを通じてもIPアドレスに関連付けられるドメイン名を通じても、HS202にアクセスすることができる。MS206にも、一意の数字IPアドレス、またはそのIPアドレスに関連付けられるドメインを用いてアクセスすることができる。インターネット102(図には示されていない)において一次ドメインを有するだけでなく、HS202もMS206も、ルート210が管理するシャドウ・ドメインを通じて相互に接続される。ルート210は、アイデンティティ管理ネットワーク212に関連付けられるシャドウ・ドメインを管理する。このようにして、ユーザー200はHS202にその一次ドメインhomesite.comでアクセスでき、またMS206にその一次ドメインmembersite.comでアクセスでき、HS及びMSには、シャドウ・ドメインにおいてそれぞれhomesite.com.root.net及びmembersite.com.root.netでアクセスすることができる。一次ドメイン名及びシャドウ・ドメイン名の対は、必ずしも同じアドレスではないが、どちらも同じ実行主体に帰着することが、当業者には分かるだろう。ルート210が管理するシャドウ・ドメインは、アイデンティティ管理ネットワーク212として図に示されている。図5のモデルにおいては、アイデンティティ管理及び認証は、階層的分離アイデンティティ管理システムによって与えられる。このシステムにおいては、メンバーサイトは、ユーザーの認証を同じシャドウ・ドメインの任意のホームサイトに依存する。以前のアイデンティティ管理システムにおいてはIDPとEテイラーとの間に一定の信頼が存在しなければならないのでEテイラーまたはその他のサービス・プロバイダからの抵抗があったが、本発明のモデルはその必要をなくす。MS206は、ユーザー200であることを主張するユーザー200が以前提出したのと同じ証明書を認証のために提出したことを認証するためにのみ、HS202に依存する。HS202のインテグリティ、商行為倫理及びユーザー200の情報をどのように取り扱うかについては、もはやメンバーサイト206にとって関係なく、MS206は、HS202が信頼に足るか否かの判断はユーザー200に委ねる。このモデルにおいてあるホームサイトが信頼に足りないと複数のユーザーが判断する場合、ユーザーはそのホームサイトを使用せず、ルート210がそのホームサイトをインターネットから除くように要請することができる。このように、ホームサイトの取り締まりは、ベンダーではなくユーザーに割り当てられる義務である。さらに、ネットワークは分散されるので、メンバーサイトが同時にホームサイトになりえないと言う主張による制限はない。その結果、メンバーサイトが同時にホームサイトとして行動できるようにすることによって、IDPが事業を不法に使用して顧客を盗むのではないかという恐れに対処することができる。メンバーサイトまたはホームサイトに課せられる唯一の要件は、シャドウ・ドメインの一部であることである。
HS202においてアイデンティティ・プロフィルを確立するために、ユーザー200は、プロフィル情報及びユーザーID及びパスワードなどの証明書を提出し、ユーザーがHS202の認証を受けられることを示すトークンを受け取る。現在望ましい実施態様においては、トークンはホームサイト・クッキーと呼ばれるクッキーである。このトークンは、シャドウ・ドメインに属するどのような実行主体にもアクセス可能である。ユーザー200がMS206を訪れるとき、ユーザーはシャドウ・ドメインにリダイレクトされる場合のみこのトークンを提示する。これを行うために、MSは、アイデンティティ管理ネットワーム212にアイデンティティ情報が記憶されている全てのユーザーは登録か認証のためにクリックするよう指示するリンクを与えることができる。このリンクは、ホームサイト・クッキーを検索することができるようにユーザーをシャドウ・ドメイン208にリダイレクトする。次に、ユーザーは第二のクッキーを与えられ、一次ドメインかシャドウ・ドメインにおけるHS202に導かれることができる。その代わりに、MS206を訪れるとき、ユーザー200はシャドウ・ドメイン216にリダイレクトされ、その後ログイン要求の前にクッキーが検索されるように一次ドメイン208に戻される。HS202を通じての認証を要求するとき、MS206はユーザー200に第二のクッキーを与えることができる。第二のクッキーは、認証を要求し、署名を必要とする誰何(チャレンジ)をHS202に与えるために、使用することができる。これはHS202がアイデンティティ管理ネットワーク212に属しかつユーザー200を認証する権限を有することを保証するために使用することができる。このリダイレクトは、ユーザーに対して透明に行うことができる。ユーザー200はアイデンティティ管理ネットワーク212に相当するシャドウ・ドメインを起点とする要求に対してしかクッキーを与えることができないので、HS202およびMS206がアイデンティティ管理ネットワーク212内にあると言う確認は、要求が遂行されることによって得られる。認証及び情報転送がどのように行われるかについてのより詳細な説明を下に示す。
To establish an identity profile at
ルート210は、HS202およびMS206のためにそれぞれシャドウ・ドメインhomesite.com.root.net214及びmembersite.com.root.net216を生成することによって、HS202及びMS206がアイデンティティ管理ネットワーク212に加盟していることを確認できるようにするためにシャドウ・ドメインを管理する。ルート210は、また、HS202との対話によってグローバル一意識別子(GUID)をユーザーに割り当てる機能及び標準化された方法でメンバーサイトが複数のホームサイトに情報を要求できるようにする情報スキーマを定義する機能を含めてその他の多数の機能を果たす。ルート210は、また、MS206がHS202から暗号化証明書を取得しその信憑性の保証を受けるためのメカニズムを用意する。ルート210は、ドメインroot.netを管理するので、アイデンティティ管理ネットワーク212に実行主体を含めたり除外したりするためにDNSルックアップ項目を追加及び除外することができる。このように、シャドウ・ドメインは、メンバーサイト及びホームサイトが、認証または情報交換の相手がネットワーク内に留まっていることを確認できるようにするために、アイデンティティ管理ネットワーク212においてルート210によって管理される。ルート210は、また、ユーザーの認証と一緒にメンバーサイトに与えるために、ユーザーを認証する権限を有するホームサイトを識別する署名つき表明をHS202に与えることが望ましい。
The
IDP間の信頼関係を除外することによってこのモデルに伴うスケーラビリティの問題の多くを除外することが、当業者には容易に分かるだろう。単一のルート210は多数のホームサイトを受け入れるのに充分な大きさのドメインを管理することができ、これによって、シャドウ・ドメインに属する各メンバーサイトが、各ホームサイトでユーザー情報を認証できるようにする。
Those skilled in the art will readily recognize that eliminating many of the scalability issues associated with this model by excluding trust relationships between IDPs. A
階層的分散構造がどのように動作するかを理解するために、次にいくつかの標準動作について説明する。これらの方法は単なる例であり、本発明の範囲を限定するものとして見るべきではないことが、当業者には分かるだろう。 In order to understand how the hierarchical distributed structure works, some standard operations will now be described. Those skilled in the art will appreciate that these methods are merely examples and should not be viewed as limiting the scope of the invention.
当業者には分かる通り、アイデンティティ管理システム212は、一意識別子で各ユーザーを識別することが望ましい。以前のアイデンティティ管理システムは、PUIDを割り当てていたが、本発明の現在望ましい実施態様は、ユーザーIDを、単一のHSと関連付けられかつ別のHSに動かすことができるように移植可能なグローバル一意とすることができる。このために、各ユーザーには、ルート210によって割り当てられ、ルート210によってユーザー及びHSの両方に関連付けられるグローバル一意識別子(GUID)が割り当てられる。ユーザーがその後ホームサイトを変更したい場合、ルート210は、その要求を認証し、ユーザーに関する全ての情報を新しいHSに転送するように現在のHSの指示することができる。ユーザーがMSにサービスを申し込むときまたはトランザクションを完了するとき、MSにGUIDが与えられるので、MSは、HSが変わった後でも容易にユーザーを識別できる。ユーザーとHSとの対話において、HSは、識別を容易にするためにユーザーが先行技術のユーザーIDのようなユーザーが使いやすい識別子をGUIDと関連付けられるようにする。ある一意のユーザーIDとパスワードの組み合わせまたはその他のユーザー認証メカニズムによって、HS202はユーザー200を認証し、HS202がユーザーを認証する権限を有すると言うルートの署名入り表明と一緒に、関連するGUIDをMS206に与えることができる。このようにして、ユーザー200は、使いやすいユーザーIDを用いてHS202と対話するが、アイデンティティ管理ネットワーク212の他の全てのシステムにとっては、ユーザー200はGUIDによって表される。GUIDは、ルート210によって割り当てられるものであり、HS202がルート210によって確認できる有効なeメール・アドレスをユーザー200のために用意できる場合のみGUIDが割り当てられることが望ましい。HS202が、アイデンティティ管理システム212に関心のないユーザーのために不適切にGUIDを要求したりこれを生成したりしないようにするために、eメール・アドレスの有効性を確認することが望ましい。
As will be appreciated by those skilled in the art, the
図6は、アイデンティティ管理ネットワークにおけるユーザー200の登録に使用されるステップを示すフローチャートである。各GUIDは、ホームサイト及びホームサイト固有のユーザー識別子と関連付けられるので、各ホームサイトは、各ユーザーに適切なユーザーIDを決定する独自の方法を採用することができる。GUIDは、ネットワーク全体を通じて一意であるようにするために、またホームサイトがネットワーク内に架空のユーザーを創造しないようにするために、ルート210によって割り当てられる。ステップ220において、ユーザー200は、ホームサイト202に登録して、ホームサイト固有のユーザーIDを要求する。このユーザーIDにGUIDが関連付けられる。この要求を行う際、ユーザー200はホームサイトに202に有効なeメール・アドレスを示す。ステップ222において、ホームサイト202は、GUIDを取得する前に、ユーザーのeメール・アドレスをルート210に知らせて、このユーザーeメール・アドレスにGUIDを割り当てるように要求する。ホームサイト202からGUID割り当て要求を受け取ると、ステップ224において、ルート210は、このeメール・アドレスに認証チャレンジを送ることによってeメール・アドレスの有効性を確認する。ユーザー200は、送信されるeメールにおいて認証チャレンジを受け取り、ステップ226において、eメール・アドレスの有効性を証明するためにルート210及びホームサイト202の両方と通信する。チャレンジ応答の受け取りに成功したら、ルート210は、このeメール・アドレスにGUIDを割り当て、このGUIDを有効なeメール・アドレス及びGUIDを要求したホームサイトに関連付けられるホームサイト識別子の両方と関連付ける。GUIDは、HS202がGUIDを認証する権限を有することをMSに証明するためにHS202をGUIDに関連付ける、ルート210の署名入り表明においてHS202によって記憶されることが望ましい。GUIDとeメール・アドレスを関連付ける同様の表明も記憶することができる。これらの表明は、ユーザーがそのGUIDを別のHSに移した後にHS202がユーザーを認証できないようにするために、署名入りで、満了日が示されることが望ましい。別の実施態様においては、ある実行主体がアイデンティティ管理ネットワーク212にホームサイトとして参加するとき、このホームサイトは、既存のアカウントのeメール・アドレスが有効であることをルート210が納得するように立証することができ、ルートは、eメール・アドレスにチャレンジを送ることなく、各既存のアカウントのためにGUIDを発行することができる。これによって、既存のユーザー・ベースを有するホームサイトは、既存の各ユーザーにチャレンジeメールへ応答させることなく、アイデンティティ管理ネットワーク212に参加することができる。eメール・アドレスの有効性をルート210に立証するために、ホームサイトは、eメール・アドレスの有効性の証拠としてユーザーへの以前の送信の証拠を提出することができる。
FIG. 6 is a flowchart illustrating the steps used to register a
信頼関係は、ユーザー200とHS202との間のことなので、チャレンジeメールは、HS202のアイデンティティの刻印が押されることが望ましいかも知れない。このために、GUIDの要求と一緒に、HS202は、チャレンジと一緒に使用するためのeメール・テンプレートをルート210に提供することができる。このようにして、提供されたテンプレートを用いて、ルート210はHS202のブランドのeメールを送ることができる。テンプレートによって、HS202は、確実にユーザーにHS202のロゴ入りのチャレンジeメールを与えることができ、またチャレンジeメールがHS202によって指定される言語で与えられるようにすることができる。これによって、サインイン・プロセスはユーザーにとってはシームレスである。
Since the trust relationship is between the
現在望ましい実施態様において、ステップ224のeメール・メッセージでチャレンジを送るステップは、チャレンジ符号化URLをユーザーに送ることによって行われる。ステップ226において、ユーザーはURLをクリックすることによってチャレンジに応答し、宛先アドレスに導かれる。リンクを通じてユーザー200がクリックすることができることは、有効なユーザーがeメール・メッセージを受け取ったことの充分な証拠と見なされる。ルート210は、ユーザーがクリックスルーしたことの確認を受け取るまでは、HS202にGUIDを発行しない。これは、チャレンジURLがユーザー200をルート210に導くようにし、ルートがその後GUIDと一緒にユーザー200をHS202にリダイレクトすることによって行うか、あるいはチャレンジはユーザー200をHS202に導き、ユーザー200の代わりにルート210に与えるためにHS202にチャレンジ応答を与えることができる。URLは、HS202の従来のアドレスかあるいはHS202がアイデンティティ管理ネットワーク212に属することのさらなる保証として役立つようにそのシャドウ・ドメイン・アドレスに導くことができる。
In the currently preferred embodiment, sending the challenge in the email message of
現在望ましい実施態様においては、ルート210かホームサイト202は、ユーザー200を確認すると、ホームサイト、メンバーサイト及びルート210から成るシャドウ・ドメインのどのメンバーにもアクセス可能なクッキーをユーザー200に与える。クッキーの授与は任意のステップ228である。このクッキーは、HSクッキーと呼ばれることが望ましく、ユーザーを認証するために使用されるべきホームサイトを識別する。現在望ましい実施態様においては、ユーザーに与えられるホームサイト・クッキーは、ユーザーをリダイレクトすべきロケーションをMS206に与え、さらにHSの証明書を取得できるロケーションをMS206に与えるhttp URLを与えることによって、ホームサイトを識別する。別の実施態様において、ホームサイト・クッキーは、ユーザーをどこにリダイレクトすべきかを示すURL及びMS206がホームサイトから証明書を取得できるところを示すURLを含めて多数のURLを与えることができる。HS証明書を取得することは、下に説明する通り署名の確認のために重要である。別の望ましい実施態様において、クッキーは、ホームサイト202を識別し、かつ識別されたホームサイトがユーザーを認証できるホームサイトであるというルート210による表明を含む。MS206がコマンドURLと呼ばれるものからユーザーをリダイレクトすべきところに関する情報を取得しながら、HS証明書を取得する場所に関する情報を証明書URLから取得できることが、当業者には分かるだろう。これらのURLはどちらも、ホームサイト・クッキーの中に含めることができ、DNSシステムにおいて与えることができ、さらにHS証明書においてコマンドURLを与えることができる。このように、ホームサイト・クッキーは証明書を取得できるロケーションを参照でき、証明書において、MS206は、HS202のロケーションを見つけるか、あるいは、URLの一部のみがクッキーの中にあり、このURLの断片に基づいて、MS206は、既知の接頭辞及び接尾辞を付け足して、コマンドURL及び証明書URLの両方を生成する。
In the presently preferred embodiment, when
上述の登録プロセスについて、次に3つの立場、すなわちユーザー200、ホームサイト202及びルート210の立場から説明する。ユーザー200の立場から見ると、ユーザー200はホームサイト202を訪問して、アイデンティティ管理アカウントを要求する。この要求を行う際、ユーザー200は、有効なeメール・アドレスを提供し、プロセスを完了するためにeメール・メッセージが提供されたeメール・アドレスに送られることを知らされる。このeメール・メッセージを受け取ったら、ユーザー200は、望ましくはURLをクリックしてeメール・アドレスの有効性を確認することによって、このチャレンジに応答する。この時点で、ユーザー200は、直接的あるいは間接的に、ホームサイト202に接続されて、アイデンティティ管理アカウントが確立される。従って、ユーザー200の立場から見ると、アカウントの登録は、ルートが透明に関わっているのでユーザー200がルート210を信頼するかどうかに全く依存しない単純なプロセスである。その代わりに、信頼の問題は全てユーザー200がホームサイト202を信頼するかどうかに関係する。ホームサイト202の立場から見ると、ホームサイト202は、ユーザー200から新規のアイデンティティ管理アカウントの要求を受ける。この要求にはeメール・アドレスが添付される。eメール・アドレスは、次に、GUID割り当ての要求と一緒にルート210に転送される。ホームサイト202は、チャレンジの応答に成功すると、GUIDを受け取る。現在望ましい1つの実施態様においては、チャレンジへの応答は、リダイレクトURLを通じてユーザー200によってホームサイト202に与えられる。このチャレンジ応答は、次にホームサイト202によってルート210に送られ、これに応答して、ルート210はホームサイト202にユーザー200と関連付けるためのGUIDを与える。代替実施態様においては、チャレンジ応答は、ユーザー200からルート210に直接与えられ、ホームサイト202は、ルート210によってユーザー200がホームサイト202にリダイレクトされるときにGUIDを受け取る。実際のルートGUIDを送信するためのルート210とホームサイト202との間の通信は、ユーザーにとって透明であるように行われることが望ましいことが、当業者には分かるだろう。当業者には明らかな通り、ルート210とHS202との間で透明に情報を送るのは、リダイレクトにおいて符号化URLを使用し、ポスト・ベースのHTTP要求と一緒にユーザーをリダイレクトし、転送メカニズムとしてクッキーと一緒にユーザーをリダイレクトし、特にバック・チャネル通信を使用することによって行うことができる。このチャネルを、後にホームサイトとメンバーサイトとの間の通信に使用することができる。
The registration process described above will now be described from three standpoints:
ルート210の立場から見ると、ルート210は、新規のGUIDを提供されたeメール・アドレスと関連付けるよう求める要求をホームサイト202から受ける。eメール・アカウントが有効であることを確認するために、ルート210はチャレンジを含むeメール・メッセージをeメール・アカウントに送る。チャレンジは符号化URLであることが望ましく、ユーザー200はこれをクリックする。ユーザー200がチャレンジ符号化URLをクリックしたら、ルート210は、ユーザー200かホームサイト202からチャレンジ応答を受け取る。このチャレンジ応答を受け取ったら、ルートはこのeメール・アドレスにGUIDを割り当て、これをホームサイト202と関連付ける。このGUIDは、既知の技法を用いてホームサイト202に送信される。
From the perspective of
このプロセスは、ルートが有効な理由なくホームサイトにGUIDを割り当てないようにすることが、当業者には分かるだろう。これによって、アイデンティティ管理システムのインテグリティが維持される。 Those skilled in the art will appreciate that this process prevents assigning a GUID to a home site without a valid route reason. This maintains the integrity of the identity management system.
GUIDを割り当てる他にルート210のもう1つの役割は、HS202がアイデンティティ・データを記憶するために使用するスキーマの定義である。スキーマが定義されることによって、MS206はユーザー情報のサブセットを要求することができ、適切な応答を得るために事前定義されたフィールド名を用いてどのような要求でも行うことができる。現在望ましい実施態様において、HS202がスキーマ全体を記憶する必要はなく、HSが記憶していないユーザーに関する情報を提供するよう求められる場合、HS202は要求された情報を記憶していないことをユーザー200に知らせて、これを提出するようユーザーを促して、その後記憶され取得された情報をMS202に送るか、または要求される情報のうち記憶されるサブセットをMS206に提供して、それ以上の情報をユーザー200に求めることはMS206に委ねる。ユーザーに関するスキーマ全体を記憶することをHS202に求めない結果として、ルートは、定期的な間隔でスキーマに新しいフィールドを追加することができる。これにより、ルート210は、新規の報奨プログラムまたはメンバーサイトからの予期せぬ要求に関する情報を記憶するために新しいフィールドを加えることができる。先行技術のシステムにおいては、スキーマは一度定義されると固定的になり、新しいフィールドをスキーマに加えることは不可能ではないにしても、困難であった。ホームサイト202にスキーマ全体を記憶することを強要しないことによって、ルート210は、いつでもスキーマを更新でき、ホームサイトが自身の都合で新しいスキーマに接続しこれを要求するのに任せることができる。このようにして、ホームサイト202は、決められた定期的な間隔で、新規のGUIDが要求されるとき、またはルート210との他のトランザクションに伴って、またはホームサイト202が定義するその他のスケジュールを用いて、新しいスキーマをチェックすることができる。現在望ましい実施態様においては、スキーマは多様な情報を取得するために問い合わせできる拡張可能メイクアップ言語として記憶される。
In addition to assigning a GUID, another role of the
図7は、ホームサイト202がルート210から更新スキーマを取得するための方法を示している。ステップ230において、ホームサイトはスキーマ更新要求をルート210に送る。ホームサイト202からのスキーマ更新要求の受け取りに応答して、ルート210は、ステップ232において、最後に送信されたスキーマを判定することが望ましい。このステップは、送信された更新要求を分析することによって最後に送信されたスキーマの日付を判定するステップを含むことが望ましい。ステップ234において、ルート210は、更新要求を送ったホームサイト202に新しいスキーマを送信する。現在望ましい実施態様においては、ルート210は、判定された最後に送られたスキーマを用いて、スキーマ全体を送らずに、スキーマへの変更を含めて更新された情報リストのみを送信する。ステップ236において、ホームサイト202は、送信された新しいスキーマ情報を受け取り、新しいスキーマ・エレメントを採用して、新しいスキーマ・エレメントの各々に対応する未実装フィールドを各ユーザー・アカウントに関連付ける。新しいフィールドを実装するためには多数の既知の技法のうちどれを使用しても良く、以下の例は単なる例示に過ぎず網羅的なものでないことが、当業者には分かるだろう。1つの実施態様においては、新しいスキーマを受け取ると、ホームサイト202は、ユーザー・ファイルに追加情報を記憶できることを知らせるeメールをユーザーに送る。代替実施態様においては、ユーザーが次にホームサイト202にログインするときに、新しいスキーマ・フィールドがあることをユーザーに知らせ、ユーザーが新しいフィールドを実装できるようにするリンクをクリックするよう促す。
FIG. 7 shows a method for the
同様の多くの技法が新しいスキーマをメンバーサイトに送るために使用可能であることが、当業者には分かるであろう。しかし、メンバーサイトは、新しいスキーマを受け取るとき、新しいスキーマに含まれる情報を求める要求を組み込むためにオペレータとの対話を必要とするかも知れない。 One skilled in the art will appreciate that many similar techniques can be used to send new schemas to member sites. However, when a member site receives a new schema, it may require an operator interaction to incorporate a request for information contained in the new schema.
メンバーサイトがユーザーの認証を要求する方法が図8に示されている。ユーザーにシングル・サインオン機能を与えるために、本発明のアイデンティティ管理システムは、図6のステップ228においてユーザー200に与えられるホームサイト・クッキーを採用することが望ましい。このクッキーは、GUIDに関連付けられるホームサイトを識別することが望ましい。この情報がアイデンティティ管理ネットワーク212の全てのサイトに利用可能であるようにするために、クッキーは、ドメインroot.netのサイトによって読み取り可能であることが望ましい。このようにすることによって、メンバーサイトがクッキーにアクセスしようとし、このメンバーサイトがシャドウ・ドメインに属さない場合、クッキーを読み取ろうとする試みは阻止される。しかし、メンバーサイト206がシャドウ・ドメインの一員である場合、メンバーサイトは、ステップ238においてGUID及びGUIDに関連付けられるホームサイトの表示を取得する。既述の通り、MS206はクッキーを検索するためにシャドウ・ドメインにリダイレクトしなければならない。これは、ユーザーがリンクをクリックすることによってまたはそれ以前に行うことができる。ホームサイト・クッキーは、ユーザー200を認証できるホームサイトを識別する。ホームサイト202がホームサイト・クッキーにおいて識別されると判定すると、メンバーサイト206は、ステップ240において、認証要求と一緒にユーザーをホームサイト202にリダイレクトする。認証要求を検索するためには、HS202はシャドウ・ドメインに属さなければならない。このようにして、MS206はシャドウ・ドメイン214または一次ドメイン204においてHS202にユーザーをリダイレクトすることができる。HS202が一次ドメイン204においてユーザー200を受け入れる場合、HSは認証要求を検索できるようにユーザー200をシャドウ・ドメイン214にリダイレクトする。ホームサイト202がもうシャドウ・ドメインに属さない場合、クッキーを検索するためのリダイレクトは有効なアドレスに転換されないので、動作は失敗する。しかし、ホームサイト202がアイデンティティ管理ネットワーク212に属する場合、リダイレクト要求は、シャドウ・ドメイン・アドレス214を、結果としてユーザー200をホームサイト202に転送する際のアドレスに転換できるようにする。ステップ242において、ユーザーはホームサイト202に認証証明書を提出する。認証が完了すると、ホームサイト202は、ステップ244において、ユーザーをシャドウ・ドメイン216あるいは一次ドメインにおけるメンバーサイト206にリダイレクトし、シャドウ・ドメイン216においてアクセス可能なユーザー認証情報をメンバーサイト206に提供する。このように、HS202によって与えられるリダイレクトによっては、MS206は、ユーザー200をシャドウ・ドメイン216にリダイレクトする必要がある場合がある。ユーザーの認証及びリダイレクトを受け取ったら、ステップ246において、メンバーサイト206は、ユーザー200のログインを認める。現在望ましい実施態様においては、認証はHS202の署名入りであり、HS202がGUIDを認証する権限を有すると言うルート210の署名入り表明が添付される。
The manner in which the member site requests user authentication is shown in FIG. In order to provide the user with a single sign-on function, the identity management system of the present invention preferably employs a home site cookie provided to the
ホームサイト202とメンバーサイト206との間の通信は多様な方法のいずれでも実施できることが当業者には容易に分かるだろう。現在望ましい実施態様においては、メンバーサイト206は、ホームサイト・クッキーを検出すると、ステップ240において説明されるとおり、ユーザーをシャドウ・ドメインにおけるホームサイト202にリダイレクトして、ユーザーがメンバーサイト206にログインできるようにするために必要とされるスキーマのフィールドを識別するために第二のクッキーをユーザー200に与えることによって、情報を要求する。ステップ244においてリダイレクトされたユーザーを受け入れてその後認証したら、ホームサイト202は、ステップ244において、認証されたユーザーをシャドウ・ドメインにおけるメンバーサイト206にリダイレクトして、クッキーまたはその他の既知の技法を通じて認証情報を与えることが望ましい。
One skilled in the art will readily appreciate that communication between the
上述の方法を、次に、ユーザー、メンバーサイト、ホームサイトそしてルートの立場から説明する。ユーザーの立場から見ると、ユーザーは、メンバーサイトを訪れて、メンバーサイトがアイデンティティ管理ネットワークの一部であることを示すリンクをクリックすることが望ましい。このリンクは、ユーザーをホームサイト202にリダイレクトし、ここで、アイデンティティを確認するために証明書が提示される。アイデンティティの認証に成功したら、ユーザーはメンバーサイト206に戻されて、ログインが認められる。
The above method will now be described in terms of users, member sites, home sites and routes. From the user's perspective, it is desirable for a user to visit a member site and click on a link indicating that the member site is part of an identity management network. This link redirects the user to the
メンバーサイトの立場から見ると、メンバーサイト206は、アイデンティティ管理ネットワークに属するホームサイトに登録していると言うユーザーからの表示を受け取る。メンバーサイト206は、ユーザー200にクッキーを要求し、シャドウ・ドメインにおいてこれを受け取る。クッキーは認証を行うことができるホームサイトとしてホームサイト202を識別する。メンバーサイト206は、ユーザー200をホームサイト202にリダイレクトして、ユーザー200を認証して、認証後ユーザーをメンバーサイト206に戻すようにホームサイト202に要求する。メンバーサイト206は、リダイレクトURLを通じてユーザーを受け取り、さらに、ユーザーが認証されたと言う表示を受け取る。この表示は、シャドウ・ドメイン216においてアクセス可能であることが望ましく、上述の通りルートの署名入りの表明が添付される。
From the perspective of the member site, the
ホームサイト202の立場から見ると、ユーザー200は、メンバーサイト206からのリダイレクトの結果として接続を確立する。ユーザー200は、一般に、ユーザーのアイデンティティを認証し、認証したらユーザーをメンバーサイト206に戻すよう求めるメンバーサイト206からの要求を提出する。一般に、この認証及びリダイレクトの要求は、ユーザーによって与えられるクッキーに記憶される。ホームサイト202は、次にアイデンティティを認証するために証明書を提出するようユーザーに要求する。この証明書を受け取り、提示された証明書に基づいてユーザー200のアイデンティティを認証したら、ホームサイト202はユーザーをメンバーサイト206にリダイレクトして、ユーザーが認証されたと言う表示をメンバーサイト206に与える。
From the perspective of
ルート210は、このプロセス中2回呼び出される。どちらの場合にも、ルート210との対話は、ユーザーがシャドウ・ドメイン名にリダイレクトされるようにするために行われる。このようにして、メンバーサイト206がユーザーをシャドウ・ドメインにおけるホームサイト202にリダイレクトするとき、ルート210は、シャドウ・ドメイン名転換の要求を受ける。この要求を受け取ったら、ルート210は、このシャドウ・ドメイン・エンティティの現状を判定する。シャドウ・ドメイン・エンティティの現状に基づいて、ルート210は、シャドウ・ドメイン名をアドレスに転換する。このようにして、ホームサイト202が現在アイデンティティ管理ネットワークの一部であれば、そのシャドウ・ドメイン名は、その実際のドメイン名が転換されるのと同じIPアドレスに転換される。しかし、ホームサイト202がアイデンティティ管理ネットワークから既に除かれている場合、ドメイン名の転換は、エラーとなるか、ホームサイト202がもはやアイデンティティ管理ネットワークの一部ではないことをユーザーに説明するページにリダイレクトする。同様に、ホームサイト202がユーザーをメンバーサイト206にリダイレクトするとき、ルート210はシャドウ・ドメイン名転換要求を受け取り、このシャドウ・ドメイン・エンティティの現状を判定し、判定された現状に基づいて、シャドウ・ドメイン名をアドレスに転換する。
ルート210によるシャドウ・ドメインの管理はroot.netドメインの下にサブドメインを維持することによって行われることが、当業者には容易に分かるだろう。従って、アイデンティティ管理ネットワークにメンバーサイトかホームサイトを追加する場合、ルート210は、IPアドレスまたはドメイン名をシャドウ・ドメイン名と関連付けるためにドメインネーム・サーバー・ルックアップ・テーブルを修正する。インターネットなど公衆通信網上でドメインネーム・サーバーが同期化されるおかげで、ドメイン名の転換におけるルート210の役割は、ルートからデータを受信する多数のドメインネーム・サーバーによって行うこともできることが、当業者には分かるであろう。しかし、ドメインネーム・サーバーの同期化のため論理的には全てのシャドウ・ドメイン転換要求がルート210によって転換されると見なすことができることが、当業者には分かるだろう。
One skilled in the art will readily appreciate that management of shadow domains by
シングル・サインオン機能を与える他に、本発明は、ユーザーがHS202に識別情報を記憶するため及びMS206が提供するサービスへの登録を容易にするためにHS202にこの情報をMS206に提供させるためのメカニズムを提供する。この機能は、ユーザー200にとってはフォーム記入機能のように見える。
In addition to providing a single sign-on function, the present invention allows the
図9は、HS202によって記憶されるアイデンティティ情報をMS206に提供する方法を示している。この方法を使って、ユーザー200はMS206においてサインアップ・プロシージャを開始して、HS202に、該当する記憶値がある登録フォームのフィールドに記入させることができる。図8の方法によって与えられるシングル・サインオン機能と同様、本発明のフォーム記入方法は、ユーザー200が、アイデンティティ管理ネットワークに属するホームサイトが識別情報を提供できることをMS206に表示するステップから始まる。この表示は、ホームサイトに加盟していることを示すハイパーテキスト・リンクをクリックする形を取ることが望ましい。ユーザーの通知を受け取った後、MS206は、ステップ248において、シャドウ・ドメイン216においてユーザー200が提供したクッキーを検索して、ユーザー200のホームサイトを判定する。その後、ステップ250において、ユーザー200は情報要求と一緒にHS202にリダイレクトされる。情報要求は、フォームのフィールドに記入するために必要な情報の要求を含み、必ずしもフォームの全ての情報の要求を含む必要はなく、HS202が記憶する全ての情報を要求する必要はないので、MS206は、HS202が記憶する情報のサブセットを要求することができる。HS202は、誰も悪用目的でユーザー200の情報を要求しないようにするために、ステップ252において、リダイレクトを受けてからユーザー200を認証することが望ましい。認証を受けたら、ユーザー200は、MS206に要求される情報を転送するための許可をHS202に与える。このステップも、HS202とユーザー200との間で合意されるサービス条件によるので、望ましくはあるが、任意と見なされる。その後、HS202は、MS206が確実にアイデンティティ管理ネットワーク212に属するようにするために望ましくはシャドウ・ドメインにおけるMS206にユーザー200をリダイレクトする。リダイレクトと同時に、HS202は、ステップ254において、要求される情報をMS206に提供する。ステップ256において、MS206は、HS202からリダイレクトされたユーザー200及び要求した情報の両方を受け取る。HS202が以前にユーザー200を認証したことがある場合、HSはユーザー200を再認証しないかも知れず、その代わりに単にユーザー200が認証されたことがあることを確認する。
FIG. 9 illustrates a method of providing identity information stored by the
HS202によって記憶されるデータをMS206は多様な方法で要求できることが、当業者には分かるだろう。単純問い合わせの場合、MS206は、MS206が望みの順序で情報を受け取れるようにするフォーマットでHS202が応答を与えることができるように名前と値の対をHS202に要求することができる。さらに、MS206は、HS202に対する構造化問い合わせを用いて情報を要求することができる。この構造化問い合わせに対しては、他の既知の技法の構造化応答を与えることができるが、一般にはXMLベースの結果を用いて応答される。問い合わせは、また、HS202が動的に決定する情報、または直接HS202がホストとならずHS202がその間にリンクを維持する第三者をホストとする情報についても行うことができる。名前-値の対をベースとする単純問い合わせの場合、MS206は、MS206によって使用されるフォーム・ベースの名前を用いてMS206によって与えられるフォームに1つの名前の下でスキーマに記憶される値を返すことができるように、値と一緒に帰される名前を指定することができる。これによって、先在データ収集システムを持つメンバーサイトは、ホームサイトに情報を要求して、自身のHTMLフォームにフィールドを実装するためにPOST動作を通じてデータを受け取ることができる。これによって、MS206は、自身の既存のページへの修正を最小限に抑えてアイデンティティ管理ネットワークに参加することができる。さらに、現在望ましい実施態様においては、HS202がMS206のデータ収集フェーズの次のページにユーザー200をリダイレクトできるように、単純問い合わせはリダイレクトURL値を含む。自動フォーム記入を可能にするために、HS202は、任意に要求される順序で、提供された名前に関連する要求される情報をMSに与え、提供されるデータを自動的にMS206に掲示するリダイレクトURLを与えることによって、サインイン・プロシージャの次のページにユーザー200をリダイレクトする。構造化問い合わせの場合、HS202は、望ましくはXMLファイルの形で、要求される構造化データを与えるPOST動作によってユーザー200をMS206にリダイレクトすることが望ましい。HS202は、ユーザーの写真など機械読み取り可能なデータを記憶することができ、MS206からの問い合わせに応答してこれを提供することができる。動的データは、最終認証からの経過時間の長さなどのデータを含むことができ、単純問い合わせか構造化問い合わせに応答して提供することができる。上述の通り、HS202は別のサイトへの参照としてデータを記憶することができるので、例えば、ユーザー200は、第三者にカレンダー・データを記憶させ、HS202がこれに対するリンクを記憶することができる。MS206が、フライトの予定を立てるためにある日のユーザー200の利用可能性に関するXMLベースのレポートを取得するために構造化問い合わせを行う航空会社であるとする。HS202はカレンダー・サイトへの参照を示すか、またはカレンダー・サイトに問い合わせて、結果を取得し、これをMS206に提供することができる。カレンダー・サイトなど第三者との通信は、定義済みプロトコルを用いて行われることが望ましい。
Those skilled in the art will appreciate that the
問い合わせに応答して提供することができるその他のデータには、GUIDと関連付けられる第三者表明が含まれる。表明については、ホームサイトがGUIDを認証する権限を有することを表明するルート210による署名入り表明に関して前に説明したが、表明は他の実行主体も与えることができる。MS206が、ユーザー200がある一定の年齢を越えていることの署名入り表明を信頼できる機関から受けられるように、政府機関は誕生日をGUIDと関連付ける表明を与えることができる。表明を認証するための証明書または公開キーをMS206が取得するためのメカニズムについて、下に説明する。その他の表明には、例えば、ユーザーが報奨プログラムでプレミアム・サービス・レベルに達したという表示が含まれる。この表明を使って、メンバーサイトは、プレミアム会員制度に基づく割引きサービスをユーザー200に提供することができる。その他の第三者の署名入りの表明は、当業者には明らかであろう。表明は、HS202によって記憶されるか、MS206が第三者からの表明を直接検索できるようにするためにHS202によってリンクとして記憶される。
Other data that can be provided in response to the query includes a third party assertion associated with the GUID. The assertion has been previously described with respect to a signed assertion by the
単純問い合わせは、一般にURL符号化を通じて応答されるが、拡張可能問い合わせは、HTTPポスト動作を通じてMS206に情報を渡すことによって応答されることが望ましい。
Simple queries are typically answered through URL encoding, but extensible queries are preferably answered by passing information to the
ユーザー情報を記憶するために使用されるスキーマは動的なので、初期サインアップ後ユーザー情報を取得するためのメカニズムが必要である。HS202が認証または情報要求中情報を追加するよう200を促すことができると考えられるが、本発明は、HS202が記憶するためにユーザー情報を取得する新規の方法を提供する。この方法が図10のフローチャートに示されている。
Since the schema used to store user information is dynamic, a mechanism for obtaining user information after initial signup is needed. Although it is believed that
本発明のアーキテクチャは、ユーザーが、加盟メンバーサイト206からスキーマ・フィールドを実装したり、ホームサイト202によって記憶される既存の情報を修正したりできるようにする。この方法が図10に示されている。ホームサイト202にユーザーに関する情報を要求し、これを受け取ったら、メンバーサイト206は、ステップ258において、もっと情報が必要であると判定して、この情報を入力するようにユーザー200を促す。代替実施態様においては、MS206は、HS202によって提供される情報を確認するようユーザーに求める。ステップ250において、ユーザーはメンバーサイト206に情報を提供し、望ましくはハイパーテキスト・リンクをクリックすることによって、この情報をホームサイト202に送り返すよう指示する。この時点で、メンバーサイト206は、シャドウ・ドメイン・アドレスを用いてユーザーをホームサイト202にリダイレクトして、ユーザーによって提供された情報をホームサイト202に転送する。ユーザーによって提供された情報の転送は、バック・チャネル通信、単純問い合わせの形の符号化URLまたはユーザーによって伝えられるクッキーを用いて行うことができる。リダイレクトされたユーザー及び送信された情報の両方を受け取ったら、ホームサイト202は、ユーザーに情報を提示して、情報の承認を求める。ステップ254においてユーザー200から情報の承認を受けたら、ホームサイト202は、情報をスキーマに記憶する。この時点で、ユーザーは、ステップ256においてメンバーサイト206に戻される。別の実施態様においては、MS206は、ユーザー200との対話の結果として新しい情報が入手可能であり、これをHS202に提供すべきであると判断する。MS206は、ステップ260と同様、HS202にデータを送り返すための許可をユーザーに要求し、上述の通りプロセスが続けられる。代替実施態様の例として、MS206は、ユーザー200のためにフライトを予約した航空会社とする。MS206は、ユーザー200のカレンダーに記憶するためにHS202に提供されるべき構造化情報を持っている。構造化データは、フライト番号、目的地、離陸及び着陸時間及びその他の関連情報を含むXMLファイルとして転送されることが望ましい。HS202は、HSがユーザー200のためのカレンダーのホストである場合はデータを記憶することによって、カレンダー・プロバイダが第三者である場合にはカレンダー・プロバイダに情報をリダイレクトすることによって、または情報を送るべき相手のアドレスをMS206に提供することによって、更新に応答することができる。このように、HS202に提供される情報は、構造化情報でも単純情報でもよく、また記憶データでも参照データでも良い。現在望ましい実施態様においては、MS206は、HS202情報の全ての更新についてユーザーの許可を求めない。上述の航空会社の予約の例において、フライトが遅れる場合、MS206は、ユーザーの承認なしに自動的にHS202を更新できることが望ましい。
The architecture of the present invention allows a user to implement schema fields from
既述の通り、本発明の利点の1つは、ホームサイトによって記憶される情報が別のホームサイトに移植可能であることである。コスト、ホームサイトが記憶しようとする情報の量及びホームサイトのサービス条件を含めてユーザーが1つのホームサイトから別のホームサイトにデータを移したい理由は無数にあるだろう。先行技術のシステムにおいては、データを移すのに同等のものがなかったり、データが移植可能でなかったりしたが、本発明のシステムは、ユーザー200に一意のGUIDを割り当てて、定義されたスキーマでユーザー情報を記憶することをHS202に要求することによって、ユーザー情報の移植可能性を保証する。このように、ホームサイトを変更するために、ユーザー200は、第二のホームサイトを訪れて、新しいアカウントを既存のGUIDと関連付けるように要求する。同じGUIDを維持することによって、ユーザーは、識別子としてGUIDを用いて情報を記録しているメンバーサイトのアカウントを維持することができる。登録プロセスとほとんど同様に、ルート210は、ユーザーにチャレンジを発して、不正を働くホームサイトがユーザーを別のホームサイトから奪おうとしているのではないことを確かめるために、チャレンジに応答するようユーザーに要求する。登録プロセスの転送は、チャレンジ応答フェーズと同じであり、チャレンジ応答に成功したら、ルート210は全てのスキーマ関連の情報を新しいホームサイトに転送するよう求める指令を現在のホームサイトに発する。これは、バック・チャネル通信またはURL符号化を用いて、または望ましくはルート210が、元のホームサイトにユーザー200をリダイレクトし、元のホームサイトに記憶する全ての個人情報を含むクッキーをユーザー200に与えさせ、その後新しいホームサイトにユーザー200をリダイレクトさせることによって、行うことができる。第一のホームサイトから第二のホームサイトへのリダイレクトは、ユーザーがどこに行ったか元のホームサイトが分からないようにユーザー200をルート210にリダイレクトすることによって行うことができる。直接的にまたは間接的に新しいホームサイトにリダイレクトされたら、ユーザー200は、全てのスキーマ関連の情報を記憶するクッキーを提供して、GUIDを確認しかつ新しいホームサイトがGUIDに関連付けられるサイトであることを示す新しいクッキーを受け取る。
As already mentioned, one of the advantages of the present invention is that information stored by a home site is portable to another home site. There may be numerous reasons why a user wants to move data from one home site to another, including the cost, the amount of information the home site wants to store, and the service conditions of the home site. In prior art systems, there was no equivalent to transfer data or the data was not portable, but the system of the present invention assigns a unique GUID to
現在望ましい実施態様において、チャレンジeメールを再送信する必要をなくすために、新たに選ばれたホームサイトは、認証のためにユーザーを最初のホームサイトに導くことができる。この認証に成功したら、ルート210は、これをユーザーがGUIDを別のホームサイトに転送する権限を有する証拠と見なすことができる。
In the presently preferred embodiment, the newly chosen home site can direct the user to the initial home site for authentication in order to eliminate the need to resend the challenge email. If this authentication is successful, the
先行技術のアイデンティティ管理の方法は、メンバーサイトにPUIDを与えたが、本発明は、そのグローバルな性質のために第三者表明を得るために使用することができるGUIDを与える。PUIDは、IDPが第三者とPUIDマッピングを共有することなく従ってPUIDの目的を否定することなく第三者表明をサポートすることはできない。ユーザー200にPUIDによって与えられる利点を提供するために、HS202は、ユーザーが複数のGUIDを取得できるようにすることができる。複数のGUIDを取得することによって、ユーザー200は、異なるメンバーサイトがオンラインで行動を相関できないように、複数のオンライン・ペルソナを創造することができる。これによって、ユーザー200は、GUIDの利点を保持しながらPUIDの機密保護を取得する選択肢が与えられる。複数のGUIDを管理できるようにするために、ユーザー200は、認証時に、メンバーサイトにどのGUIDを与えるかについてHS202の催促を受ける。これによって、ユーザーは、一組の情報をHS202に与え、GUIDごとに異なるプロフィルを構成させることができる。このようにして、あるGUIDを有する仕事ベースのペルソナは、メンバーサイトが電話番号と住所を要求するときデフォルトで勤務先の電話番号と住所を与え、異なるGUIDを有する家庭ベースのペルソナは電話番号と住所が要求されるときデフォルトで自宅の電話番号と住所を与えることができる。
Although prior art identity management methods have given PUIDs to member sites, the present invention provides GUIDs that can be used to obtain third party representations due to their global nature. A PUID cannot support a third party assertion without the IDP sharing the PUID mapping with the third party, and thus without denying the purpose of the PUID. To provide the
上述の通り、表明は、HS202がGUIDを認証する権限を有することの証明をメンバーサイトに与えるために、ルート210によって与えられることが望ましい。この表明は、秘密キーまたは証明書を用いて署名入りであり、署名は、公開キーまたは証明書を用いて確認することができることが望ましい。証明書は、安全なデータ・チャネルを通じてルート210との通信によって取得できることが望ましい。証明書が改竄されていないことを保証するために、ルート210の証明書は、第一の証明機関(CA)の署名を受け、第二の異なるCAによって署名されるSSLリンクを通じて要求側当事者に送られることが望ましい。この署名のダブル・チェーンは、第一のCA及び第二のCAの両方が、悪意の者がルート210を詐称できるため危険にさらされるのを阻むために必要である。ホームサイトによって与えられる認証情報は、これも証明書であるように、このホームサイトの署名入りであることが望ましい。この情報は、改竄されていないことまたはホームサイトが第三者によって詐称されていることをメンバーサイトが確信できるように、ホームサイトの署名入りであることが望ましい。ホームサイトによる表明を確認するために、メンバーサイトは、ルートの署名入りのホームサイト証明書と一緒に、CAの署名入りのSSL接続を通じてホームサイトから証明書を取得することができる。CA及びルートは別個のものなので、もう1つの機密保護のダブル・チェーンがあり、CA及びルートの両方で機密保護の違反を阻むために必要である。第三者表明は、SSL接続を通じて入手できる証明書、ルートまたはCAの署名入り証明書及び証明書に署名したのとは異なるCAの署名入り接続による署名入りであることが望ましい。アイデンティティ・ネットワーク212において送信される証明書を確認するためには、上記の二重署名送信が望ましい。
As stated above, the assertion is preferably provided by the
現在望ましい実施態様において、署名入り表明が提示されるとき、MS206は、署名を確認するために使用される証明書を取得し、証明書をキャッシュ・メモリに入れる。この証明書を使用する次の署名確認において、MS206は、再び証明書を要求する必要はないが、証明書が最新のものであることを確かめなければならない。このために、MS206は、証明書所持者のシャドウ・ドメイン名についてDNS txtルックアップを行う。ルート210は、シャドウ・ドメインのためにDNSサービスを提供する際、各実行主体のtxtDNSフィールドにその証明書番号を維持する。DNSルックアップから返される値が証明書番号と同じであれば、MS206は署名を確認でき、証明書番号が異なる場合、MS206はキャッシュ・メモリに入れられた証明書を廃棄して、新しい証明書を要求する。
In the presently preferred embodiment, when a signed assertion is presented, the
メンバーサイトがキー管理を可能にするスクリプト機能を加えることなく、またシャドウ・ドメイン移行することなく、アイデンティティ管理ネットワーク212に参加できるようにするために、MS206は、そのシャドウ・ドメイン216をホームサイト・クッキーの読み取り、HS202へのリダイレクト及びHS202によって与えられるデータの提供を処理する第三者と関連付けさせることができる。さらに、この第三者は、受信データのインテグリティを確認する単に必要な署名チェックを処理することができる。単一の実行主体が多数のメンバーサイトのためにこの機能を提供できることが、当業者には分かるだろう。
In order to allow a member site to participate in the
既存のシングル・サインイン・サービスにおいて一般に求められるのは、シングル・サインアウト機能の提供である。このために、ユーザーのサインインを認めたメンバーサイトは、ユーザー200によって伝えられるクッキーを修正することが望ましい。このクッキーは、ユーザーがログインするメンバーサイトを追跡する。現在望ましい実施態様において、クッキーはユーザーがログアウトできるようにするURLを与える。サービスからサインアウトするために、ユーザー200は自分のホームサイト202に戻って、全てのサービスまたはそのサブセットからログアウトしたいことを知らせる。ホームサイト202は、ユーザーがシングル・クリックでサインオフできるようにするためにクッキーにおいて与えられるURLを通じて処理することができる。その代わりに、MS206は、MS206からユーザー200をログアウトしてクッキー内のメンバーサイトの参照を取り除くか、あるいは上述のログアウト・プロセスをたどれるようにユーザー200をHS202にリダイレクトすることができるログアウト・リンクをユーザー200に与えることができる。別の実施態様においては、HS202がMS206のためにユーザー200を認証するとき、HS202は、ユーザー・プロフィル・データベースにMS206に関するログアウトURLを記憶することができる。従って、ユーザー200は、ログアウトするために、HS202を訪れて、現在のログイン・サイトのリストを要求する。このリストは任意のまたは全てのメンバーサイトからログアウトする機能をユーザーに与えることが望ましい。
A common requirement for existing single sign-in services is the provision of a single sign-out function. For this reason, it is desirable that the member site that has accepted the user's sign-in corrects the cookie transmitted by the
本発明は、メンバーサイトへの単純化されたサインイン及び登録をユーザーに提供して、ユーザーがメンバーサイトを訪れて、ユーザーがアイデンティティ管理ネットワークの一部であることを示せるようにする。これは、サインイン・ページのアイコンかリンクをクリックすることによって行われることが望ましい。このリンクがクリックされると、MS206は、ユーザー200を識別するクッキーを検索して、ユーザー200をHS202にリダイレクトする。MS206への単純なサインインの場合、以前に登録が行われていれば、HS202へのリダイレクトは単に認証のためだけである。ユーザー200が以前にMS206に登録されていない場合、HS202へのリダイレクトは認証及び情報要求の両方のためである。MS206は、単純なURL符号化リダイレクトを用いてHS202に記憶される情報のサブセットを要求するか、あるいは、ユーザー200によって伝えられるクッキーに記憶される問い合わせを使用することによって拡張可能な情報を要求することができる。ユーザー20をHS202にリダイレクトすると、HS202がアイデンティティ管理ネットワークに依然として属することを保証するために、ユーザー200はHS202のシャドウ・ドメインに送られる。HS202に認証証明書及びデータ転送のために要求される許可を与えた後、ユーザー200は、MS206にリダイレクトされる。MS206及びHS202の両方がシャドウ・ドメインに属すること、従ってアイデンティティ管理システムにおいて活動中であることの確認は、ユーザーには透明に行われ、ユーザーはログイン及び登録のために単純化されたプロセスを利用することができる。MS206はHS202に情報を送り返すことができるので、ユーザー200には、HS202が更新された新しい情報を有することを保証するための単純化されたメカニズムが与えられる。
The present invention provides the user with simplified sign-in and registration to the member site so that the user can visit the member site and indicate that the user is part of an identity management network. This is preferably done by clicking on an icon or link on the sign-in page. When this link is clicked, the
ユーザー200はMS206からリダイレクトされた後HS202で認証されるので、ユーザー200は、一般に、ブラウザ・ウィンドウのナビゲーションまたはロケーション・バーにあるURLをチェックすることによって正確なリダイレクトが行われたことを確認する必要がある。付加的機密保護のために、HS202は、ユーザーのインターフェイス及び経験を定義するユーザー200から入手した一連のユーザー嗜好を記憶することができる。これらの嗜好は、ユーザーが定義するバックグラウンド・ページ・カラー、カスタマイズされたアイコン・セット、ユーザー定義のグリーティング及びユーザー選択の言語インターフェイスを含むことができる。これらの嗜好は、登録時にユーザー200から取得し、ユーザー・プロフィル・データベースに記憶して、ユーザー200が認証のためにリダイレクトされるときに検索することができる。悪意の者がHS202を詐称しようとするとき、ユーザー定義の嗜好は入手不能なので、ユーザー200は間違ったサイトにリダイレクトされたことにすぐに気が付くだろう。
Since the
本発明の階層的構造は、単一のポイントから機密保護違反に対処できる一方、ホームサイトの分散的性質は、ユーザー情報を解放する単一障害発生ポイントを排除する。ルート210のインテグリティが危険にさらされる場合、DNS機関に連絡することによって簡単に全てのroot.netドメインを取り除くことができる。DNS機関は、アイデンティティ管理ネットワーク212全体をシャットダウンする。これによって、ユーザー情報の解放を防止し、架空ホームサイトがユーザーを詐称できないようにする。ルート210が危険にさらされる場合、PassportTMモデルと異なりユーザー固有のデータが解放されることはない。単一のホームサイトが危険にさらされる場合、そのユーザー・データは解放されるが、このホームサイトをシャドウ・ドメインから除外することによって、シャドウ・ドメインからクッキーを検索することができないので、不適切な認証を与えることが阻止される。このように、アドレス更新がDNSネットワーク全体に伝播するのにかかる時間内に、危険にさらされるホームサイトを効果的にネットワークから取り除くことができる。単一障害発生ポイントをもたらさないLiberty Allianceモデルにおいては、信頼のウェブにおけるキー・リングが複雑なため危険にさらされるIDPをウェブから取り除くための単純な方法がない。従って、本発明は、その構造を通じて、ユーザー・データの解放を可能にする単一障害発生ポイントを排除し、ユーザー詐称を防止するために危険にさらされるホームサイトを隔離するためのメカニズムを提供する。
While the hierarchical structure of the present invention can address security breaches from a single point, the distributed nature of the home site eliminates a single point of failure that releases user information. If the integrity of
本発明の上述の実施態様は、単なる例とする。本明細書に添付されるクレームによってのみ定義される本発明の範囲から逸脱することなく、当業者は変更、修正及び変化を加えることができる。 The above-described embodiments of the present invention are merely examples. Those skilled in the art can make changes, modifications, and changes without departing from the scope of the present invention, which is defined only by the claims appended hereto.
本発明の実施態様は、下記の添付図面を参照して、例としてのみ説明されている。
Claims (25)
ユーザーと関連付けられるグローバル一意識別子を記憶するためのユーザー・データベースを有するルート・サーバーであり、該ルート・サーバーが、前記ユーザーをシャドウ・ドメインに属するホームサイトに関連付けられる名前にリダイレクトすると、前記メンバーサイトにアクセスする実行主体を前記グローバル一意識別子と関連付けられるユーザーとして前記ホームサイトが認証できるようにするために、前記ユーザーに前記グローバル一意識別子を与えるため、及びドメインネーム・サーバーに与えるために前記シャドウ・ドメインにおける名前に関連付けられるネットワーク・アドレスのリストを維持するための手段を有し、前記名前がアイデンティティ管理ネットワークに属する前記メンバーサイトあるいはホームサイトに関連付けられる、ルート・サーバー、
を含む、アイデンティティ管理システム。 An identity management system for providing user authentication to member sites, the identity management system comprising:
A root server having a user database for storing a globally unique identifier associated with a user, wherein when the root server redirects the user to a name associated with a home site belonging to a shadow domain, the member site To give the user the globally unique identifier and to give to a domain name server, so that the home site can authenticate the executing entity accessing the user as the user associated with the globally unique identifier. Means for maintaining a list of network addresses associated with a name in the domain, wherein the name relates to the member site or home site belonging to the identity management network. Attached, the root server,
Including an identity management system.
ホームサイトに既知のユーザー認証情報に基づいてユーザー認証を与えることができるホームサイトの名前を前記ユーザーから取得するステップと、
前記ユーザーを前記アイデンティティ管理ネットワークに関連付けられるシャドウ・ドメインにおける前記ホームサイトに前記ユーザーをリダイレクトすることによって、前記ホームサイトに認証要求を与えるステップと、
前記ホームサイトが前記既知の認証情報を前記ユーザーから受け取るのに応答して前記ホームサイトから前記ユーザーの認証を取得するステップであり、前記認証が前記ユーザーに関連付けられるグローバル一意識別子を含む、ステップと、
を含む、方法。 A method for obtaining user authentication from a home site in an identity management network, the method comprising:
Obtaining from the user a name of a home site that can provide user authentication based on user authentication information known to the home site;
Providing an authentication request to the home site by redirecting the user to the home site in a shadow domain associated with the identity management network;
Obtaining the user's authentication from the home site in response to the home site receiving the known authentication information from the user, the authentication including a globally unique identifier associated with the user; ,
Including a method.
前記ホームサイトによって提供されないアイデンティティ情報を取得するステップと、
前記ユーザーを前記シャドウ・ドメインにおける前記ホームサイトにリダイレクトすることによって、前記取得されたアイデンティティ情報を前記ホームサイトに提供するステップと、
を含む、請求項13に記載の方法。 further,
Obtaining identity information not provided by the home site;
Providing the obtained identity information to the home site by redirecting the user to the home site in the shadow domain;
14. The method of claim 13, comprising:
メンバーサイトのために認証を与えるよう求める要求をユーザーから受け取るステップと、
既知の認証情報を受け取るのに応答して、前記アイデンティティ管理ネットワークに関連付けられるシャドウ・ドメインにおける前記メンバーサイトに前記ユーザーをリダイレクトすることによって前記ユーザーの認証を前記メンバーサイトに与えるステップと、
を含む、方法。 A method for performing user authentication at a home site belonging to an identity management network using the system according to claim 2, wherein the method includes:
Receiving from the user a request to authenticate for a member site;
In response to receiving known authentication information, providing authentication of the user to the member site by redirecting the user to the member site in a shadow domain associated with the identity management network;
Including a method.
前記メンバーサイトによって取得されるアイデンティティ情報を前記ユーザーから受け取るステップと、
前記転送されるアイデンティティ情報をユーザー・プロフィル・データベースに記憶するステップと、
を含む、請求項21に記載の方法。 further,
Receiving identity information obtained by the member site from the user;
Storing the transferred identity information in a user profile database;
The method of claim 21, comprising:
グローバル一意識別子をeメール・アドレスに関連付けるよう求める要求を前記ユーザーから受け取るステップと、
前記ユーザーeメール・アドレスに関連付けられるグローバル一意識別子の割り当てをルート・サーバーに要求するステップと、
前記ユーザーが前記eメール・アドレスに送られる誰何に対する応答を前記ルートに与えるのに応答して前記eメール・アドレスに関連付けられるグローバル一意識別子を取得するステップと、
を含む、方法。 A method for obtaining a globally unique identifier for association with a user using the system of claim 2, comprising:
Receiving from the user a request to associate a globally unique identifier with an email address;
Requesting a root server to assign a globally unique identifier associated with the user email address;
Obtaining a globally unique identifier associated with the email address in response to providing the route with a response to what the user is sent to the email address;
Including a method.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US38625602P | 2002-06-06 | 2002-06-06 | |
US60/386,256 | 2002-06-06 | ||
PCT/CA2003/000857 WO2003104947A2 (en) | 2002-06-06 | 2003-06-06 | Distributed hierarchical identity management |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005529392A true JP2005529392A (en) | 2005-09-29 |
JP4932154B2 JP4932154B2 (en) | 2012-05-16 |
Family
ID=28042110
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004511955A Expired - Fee Related JP4932154B2 (en) | 2002-06-06 | 2003-06-06 | Method and system for providing user authentication to a member site in an identity management network, method for authenticating a user at a home site belonging to the identity management network, computer readable medium, and system for hierarchical distributed identity management |
Country Status (5)
Country | Link |
---|---|
EP (1) | EP1520217A2 (en) |
JP (1) | JP4932154B2 (en) |
AU (1) | AU2003240323A1 (en) |
CA (1) | CA2431311C (en) |
ZA (1) | ZA200500060B (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006252418A (en) * | 2005-03-14 | 2006-09-21 | Nec Corp | Single sign-on cooperation method using authentication information, system thereof, mediation server, operation method, and operation program |
JP2007219935A (en) * | 2006-02-17 | 2007-08-30 | Nec Corp | Distributed authentication system and distributed authentication method |
JP2010027028A (en) * | 2008-07-17 | 2010-02-04 | Symantec Corp | Control of website usage via online storage of restricted authentication credential |
US8959652B2 (en) | 2004-06-16 | 2015-02-17 | Dormarke Assets Limited Liability Company | Graduated authentication in an identity management system |
JP2016509726A (en) * | 2013-01-22 | 2016-03-31 | アマゾン・テクノロジーズ、インコーポレイテッド | Protecting the results of privileged computing operations |
US9729517B2 (en) | 2013-01-22 | 2017-08-08 | Amazon Technologies, Inc. | Secure virtual machine migration |
US10063380B2 (en) | 2013-01-22 | 2018-08-28 | Amazon Technologies, Inc. | Secure interface for invoking privileged operations |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7257581B1 (en) | 2000-08-04 | 2007-08-14 | Guardian Networks, Llc | Storage, management and distribution of consumer information |
US9928508B2 (en) | 2000-08-04 | 2018-03-27 | Intellectual Ventures I Llc | Single sign-on for access to a central data repository |
US8566248B1 (en) | 2000-08-04 | 2013-10-22 | Grdn. Net Solutions, Llc | Initiation of an information transaction over a network via a wireless device |
WO2003104947A2 (en) | 2002-06-06 | 2003-12-18 | Hardt Dick C | Distributed hierarchical identity management |
US8504704B2 (en) | 2004-06-16 | 2013-08-06 | Dormarke Assets Limited Liability Company | Distributed contact information management |
US9245266B2 (en) | 2004-06-16 | 2016-01-26 | Callahan Cellular L.L.C. | Auditable privacy policies in a distributed hierarchical identity management system |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11282804A (en) * | 1998-03-31 | 1999-10-15 | Secom Joho System Kk | Communication system having user authentication function and user authentication method |
JP2001186122A (en) * | 1999-12-22 | 2001-07-06 | Fuji Electric Co Ltd | Authentication system and authentication method |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE69832786T2 (en) * | 1997-06-25 | 2006-09-07 | Inforonics, Inc., Littleton | DEVICE AND METHOD FOR IDENTIFYING CLIENTS THAT ACCESS NETWORK SITES |
US6339423B1 (en) * | 1999-08-23 | 2002-01-15 | Entrust, Inc. | Multi-domain access control |
-
2003
- 2003-06-06 EP EP03729739A patent/EP1520217A2/en not_active Ceased
- 2003-06-06 JP JP2004511955A patent/JP4932154B2/en not_active Expired - Fee Related
- 2003-06-06 AU AU2003240323A patent/AU2003240323A1/en not_active Abandoned
- 2003-06-06 CA CA002431311A patent/CA2431311C/en not_active Expired - Fee Related
-
2006
- 2006-01-24 ZA ZA200500060A patent/ZA200500060B/en unknown
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11282804A (en) * | 1998-03-31 | 1999-10-15 | Secom Joho System Kk | Communication system having user authentication function and user authentication method |
JP2001186122A (en) * | 1999-12-22 | 2001-07-06 | Fuji Electric Co Ltd | Authentication system and authentication method |
Non-Patent Citations (3)
Title |
---|
実森 仁志: "Webでのシングル・サインオン標準,OASISがXMLベースで4月に草案 システム間でユーザーの認証", 日経インターネットテクノロジー 第59号, vol. 第59号, JPN6009032886, 22 May 2002 (2002-05-22), JP, pages 18, ISSN: 0002119216 * |
実森 仁志: "米サンらのシングル・サインオン標準化の概要が明らかに SAMLなどのXML技術とケルベロス認証を利用", 日経インターネットテクノロジー 第53号, vol. 第53号, JPN6009032879, 22 November 2001 (2001-11-22), JP, pages 21, ISSN: 0002119218 * |
服部 彩子: "MSにどんな情報を送るのか Windows XP、Office XPの自動送信機能を検証", 日経パソコン 第403号, vol. 第403号, JPN6009032883, 18 February 2002 (2002-02-18), JP, pages 134 - 138, ISSN: 0002119217 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10298594B2 (en) | 2004-06-16 | 2019-05-21 | Callahan Cellular L.L.C. | Graduated authentication in an identity management system |
US8959652B2 (en) | 2004-06-16 | 2015-02-17 | Dormarke Assets Limited Liability Company | Graduated authentication in an identity management system |
US11824869B2 (en) | 2004-06-16 | 2023-11-21 | Callahan Cellular L.L.C. | Graduated authentication in an identity management system |
US10904262B2 (en) | 2004-06-16 | 2021-01-26 | Callahan Cellular L.L.C. | Graduated authentication in an identity management system |
US10567391B2 (en) | 2004-06-16 | 2020-02-18 | Callahan Cellular L.L.C. | Graduated authentication in an identity management system |
JP4543322B2 (en) * | 2005-03-14 | 2010-09-15 | 日本電気株式会社 | Mediation server, second authentication server, operation method thereof, and communication system |
JP2006252418A (en) * | 2005-03-14 | 2006-09-21 | Nec Corp | Single sign-on cooperation method using authentication information, system thereof, mediation server, operation method, and operation program |
JP2007219935A (en) * | 2006-02-17 | 2007-08-30 | Nec Corp | Distributed authentication system and distributed authentication method |
JP2010027028A (en) * | 2008-07-17 | 2010-02-04 | Symantec Corp | Control of website usage via online storage of restricted authentication credential |
US9503268B2 (en) | 2013-01-22 | 2016-11-22 | Amazon Technologies, Inc. | Securing results of privileged computing operations |
US10063380B2 (en) | 2013-01-22 | 2018-08-28 | Amazon Technologies, Inc. | Secure interface for invoking privileged operations |
JP2018081705A (en) * | 2013-01-22 | 2018-05-24 | アマゾン・テクノロジーズ、インコーポレイテッド | Protection for result of privileged computing operation |
US9729517B2 (en) | 2013-01-22 | 2017-08-08 | Amazon Technologies, Inc. | Secure virtual machine migration |
US11228449B2 (en) | 2013-01-22 | 2022-01-18 | Amazon Technologies, Inc. | Secure interface for invoking privileged operations |
JP2016509726A (en) * | 2013-01-22 | 2016-03-31 | アマゾン・テクノロジーズ、インコーポレイテッド | Protecting the results of privileged computing operations |
Also Published As
Publication number | Publication date |
---|---|
CA2431311C (en) | 2004-05-04 |
EP1520217A2 (en) | 2005-04-06 |
JP4932154B2 (en) | 2012-05-16 |
AU2003240323A1 (en) | 2003-12-22 |
CA2431311A1 (en) | 2003-09-10 |
ZA200500060B (en) | 2006-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10333941B2 (en) | Secure identity federation for non-federated systems | |
US8117649B2 (en) | Distributed hierarchical identity management | |
JP4782986B2 (en) | Single sign-on on the Internet using public key cryptography | |
US8635679B2 (en) | Networked identity framework | |
US8037194B2 (en) | Distributed network identity | |
JP4579546B2 (en) | Method and apparatus for handling user identifier in single sign-on service | |
JP2005538434A (en) | Method and system for user-based authentication in a federated environment | |
ZA200500060B (en) | Distributed hierarchical identity management | |
JP2000106552A (en) | Authentication method | |
CA2458257A1 (en) | Distributed hierarchical identity management | |
Pfitzmann et al. | BBAE–a general protocol for browser-based attribute exchange |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20051129 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20051129 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060524 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090707 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20091005 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20091013 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20091021 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20091021 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100107 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20100607 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100820 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101109 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110114 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110121 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110509 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110621 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111021 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20111026 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120117 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120215 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4932154 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150224 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |