JP4880699B2 - サービスアカウントを保護するための方法、システム、及び装置 - Google Patents
サービスアカウントを保護するための方法、システム、及び装置 Download PDFInfo
- Publication number
- JP4880699B2 JP4880699B2 JP2008544737A JP2008544737A JP4880699B2 JP 4880699 B2 JP4880699 B2 JP 4880699B2 JP 2008544737 A JP2008544737 A JP 2008544737A JP 2008544737 A JP2008544737 A JP 2008544737A JP 4880699 B2 JP4880699 B2 JP 4880699B2
- Authority
- JP
- Japan
- Prior art keywords
- application server
- pcp
- user
- identifier
- service account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000008569 process Effects 0.000 claims description 30
- 230000004044 response Effects 0.000 claims description 4
- 230000001105 regulatory effect Effects 0.000 claims description 2
- 101100135798 Caenorhabditis elegans pcp-1 gene Proteins 0.000 claims 1
- 238000004587 chromatography analysis Methods 0.000 claims 1
- 239000013256 coordination polymer Substances 0.000 claims 1
- 230000003068 static effect Effects 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 8
- 230000001960 triggered effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 206010029412 Nightmare Diseases 0.000 description 1
- 229910052571 earthenware Inorganic materials 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Air Bags (AREA)
- Computer And Data Communications (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、ネットワークサービス認証技術に関し、特にサービスアカウントを保護するための方法及びシステムと、個人通信プロフィール(PCP)を記憶するための装置と、アプリケーションサーバとに関する。
現在、インターネットによる産業の連鎖的状態は、アクセス及び注意が重要であった過去から、アプリケーションが重要である時代へと徐々に進んでいる。コンテンツプロバイダは、全体的な産業連鎖において核となる地位を徐々に占めつつある一方で、さらに多くの課題が生じている。例えば、トロイの木馬やサービスアカウントの盗用等の現象は、ネットワークゲームの通常動作に深刻な影響を及ぼしている。その現象を抑えるために、ネットワークゲームプロバイダは、各種方法を備えている。しかし、各種方法は、ネットワークゲームの通常動作にとって不都合である。調査によると、65%を超えるユーザは、アプリケーションサーバに登録したサービスアカウントの盗用に遭っている。サービスアカウントのセキュリティ問題は、ネットワークゲームオペレータ及びユーザの両者にとって悪夢になっている。
現在、ユーザのサービスアカウントを保護する、主に2つの方法があり、1つは、携帯電話保護の方法であり、もう1つは、動的認証の方法である。
1つ目の方法では、ユーザがアプリケーションサーバにログオンする時、アプリケーションサーバは、動的パスワードを生成し、ユーザが登録した携帯電話番号に従い、ネットワークオペレータのショートメッセージサービス(SMS)ゲートウェイを介して、ユーザの携帯電話に動的パスワードを送信する。動的パスワードの受信後、ユーザは、静的パスワード(個人識別番号、PIN)と共に動的パスワードを用いて、アプリケーションサーバにログオンする。1つ目の方法では、ユーザを除いて誰も動的パスワードを取得できないので、不正なユーザがユーザのパスワードを盗用してアプリケーションサーバにログオンすることができない。
2つ目の方法は、ユーザの認証を実行するために2つの装置を含む。1つは、ユーザの同一性を認証するための認証サーバである。もう1つは、ユーザに関する動的パスワードを生成するためのパスワードカードである。認証サーバ及びパスワードカードは、同じパスワード生成ソフトウェアにインストールされており、識別コードは、ユーザを独自に識別する。ユーザがパスワードカードを得ると、識別コードがパスワードカードに読込まれる。同時に、識別コードは、アプリケーションサーバのデータベースにおけるユーザ情報テーブルにインストールされる。また、ユーザは、独自に覚えたPINを有する。ユーザがアプリケーションサーバにログオンしてPINを入力すると、パスワードカードは、毎秒パスワードカードに独自に対応する動的パスワードを生成し、それは予測不可能である。パスワードカードは、サービスアカウント、PIN及び動的パスワードをアプリケーションサーバに送信する。アプリケーションサーバは、動的パスワードに従いユーザの正当性及び信頼性を判断する。動的パスワードが動的にパスワードカードによって生成されるので、正当なユーザ以外の者は、パスワードカードを取得して正しい動的パスワードを生成することができない。故に、動的パスワードは、覗き見られたり傍受されることから免れる。従って、2つ目の方法は、再送攻撃(resending attack)を回避し、高い安全性と利便性がある。
ユーザのサービスアカウントを保護するための2つの方法では、1つ目の方法は、サービスアカウントに比較的高い制限を有する。動的パスワードは、毎回ショートメッセージを介してユーザに送信されねばならず、その後ユーザは、ショートメッセージから受信したパスワードを入力する。それは、かなり時間遅延となり、無線資源を浪費する。2つ目の方法では、保護は、単一のサービスプロバイダのサービスアカウントに制限される。また、サービスを用いる時、ユーザは、追加のハードウェアを購入せねばならず、アプリケーションの競争をまごつかせる。
本発明の実施形態は、サービスアカウントを保護するための方法及びシステムと、個人通信プロフィール(PCP)を記憶するための装置と、アプリケーションサーバとを提供し、ユーザのサービスアカウントを保護するのに適する。
本発明の一つの実施形態によると、サービスアカウントを保護するための方法であって、ユーザがユーザ機器UEを介してサービスアカウントでアプリケーションサーバにログオンする時、関連情報を認証し、認証が成功すると、ユーザがアプリケーションサーバにログオンできるようにし、そうでない場合、ユーザからのアプリケーションサーバへのログオンを拒絶する過程を含み、関連情報は、ネットワーク側におけるユーザの個人通信プロフィール(PCP)でユーザのサービスアカウントに関して設定される。
本発明のもう一つの実施形態によると、サービスアカウントを保護するためのシステムであって、ユーザのログオン要求に基づき個人通信プロフィールPCP記憶装置及びユーザ機器UEに交信するよう、ユーザのPCPの関連情報を認証するよう、及び認証が成功した場合にユーザによるアプリケーションサーバへのログオンを許可するよう調節されたアプリケーションサーバを具備し、PCP記憶装置は、ユーザのPCPを記憶するよう調節され、PCPは、ユーザのサービスアカウントに対する関連情報を含む。
本発明のもう一つの実施形態によると、サービスアカウントを保護するためのシステムであって、個人通信プロフィールPCP記憶装置及びユーザ機器UEと交信するよう調節されたアプリケーションサーバを具備し、アプリケーションサーバは、関連情報を送信し、UEへログオン成功メッセージ又はログオン失敗メッセージを戻すよう調節され、関連情報は、ユーザのサービスアカウントに対して設定され、ユーザの個人通信プロフィールPCPに記憶され、PCP記憶装置は、アプリケーションサーバから受信した関連情報を認証し、アプリケーションサーバに認証成功メッセージ又は認証失敗メッセージを戻すよう調節される。
本発明のもう一つの実施形態によると、ユーザの個人通信プロフィールPCPを記憶するための装置であって、ユーザのPCPと、ユーザのサービスアカウントに対する関連情報とを記憶するよう調節されたPCPデータベースと、関連情報を受信し、PCPデータベースが、受信した関連情報と一致する関連情報を含むか否かを判断し、認証成功メッセージ又は認証失敗メッセージを戻すよう調節された認証ユニットとを具備する。
ユーザのサービスアカウントを保護するためのアプリケーションサーバであって、ログオン制御ユニット及び通信ユニットを具備し、ログオン制御ユニットは、通信ユニットを介してログオン要求を受信し、ログオン要求に含まれたユーザのPCP位置情報に基づき関連情報を要求し、受信した関連情報が、ログオン制御ユニットに記憶された関連情報と一致するか否かを判断し、通信ユニットを介してログオン成功メッセージ又はログオン失敗メッセージを送信するよう調節される。
本発明の実施形態では、静的パスワードによるサービスアカウントの保護に加えて、ユーザは、ショートメッセージを介して動的パスワードを受信することなくサービスアカウントに対する高い保護を実行することができ、アプリケーションサーバにログオンするユーザの時間遅延を顕著に低減する。また、ユーザは、追加的にパスワードカードを購入する必要がない。故に、アプリケーションサーバの競争力が高められる。
本発明は、本発明の技術的解決策及び利点をさらに明確にするために、添付図面及び実施形態を参照して詳細に以下説明される。
サービスプロバイダとは異なり、ネットワークオペレータは、サービスプロバイダが所有しないネットワーク資源を所有する。ネットワークオペレータは、ユーザ及び均一アクセス管理に対する基本的なアクセスサービスと、ユーザ及びサービスプロバイダに対するアクセス認証及びサービス認証とを提供する。故に、ユーザのサービスアカウントは、ネットワークオペレータの認証とサービスプロバイダのサービスアカウントとを組合せることによって保護できる。
ネットワークオペレータは、ユーザのアクセス番号を介してユーザに個人通信プロフィール(PCP)を提供することができる。アクセス番号は、携帯電話会社が提供する携帯端末番号、固定ネットワークオペレータが提供する電話番号、又は広帯域ネットワークオペレータが提供するアクセスアカウントでもよい。PCPは、ユーザについてネットワークオペレータによって設定された最小限の一式であり、ユーザを独自に識別することができる。例えば、PCPは、PCPに対応するユーザが用いるサービス資源属性情報を含むことができる。また、サービス資源属性情報は、ベアラネットワーク資源属性、上層サービス能力コンポーネント、プラットフォーム、及びアプリケーションソフトウェア等を含むことができる。
本発明の実施形態では、ユーザのサービスアカウントの関連情報は、ネットワークオペレータが提供するユーザのPCPで設定される。ユーザがサービスアカウントでアプリケーションサーバにログオンする時、ユーザのPCPの関連情報が認証されることになる。認証が成功した場合、ユーザは、アプリケーションサーバにログオンでき、そうでない場合、ユーザは、拒絶される。
サービスアカウントの認証は、アプリケーションサーバによって実行できる。特に、アプリケーションサーバは、ユーザのPCPで設定された関連情報が、アプリケーションサーバに記憶された関連情報に一致するか否かを判断する。ユーザのPCPの関連情報が、アプリケーションサーバに記憶されたそれに一致する場合、認証が成功してユーザのサービスアカウントが正当化され、そうでない場合、認証が失敗してサービスアカウントが正当化されない。
本発明の実施形態では、関連情報の認証は、オペレータのネットワークのPCP関連装置によっても実行可能である。この場合、アプリケーションサーバは、アプリケーションサーバに記憶された関連情報をPCP関連装置に送信し、PCP関連装置は、アプリケーションサーバから受信した関連情報が、PCP関連装置に記憶されたそれに一致するか否かを判断し、それによりユーザのサービスアカウントが正当か否かを判断する。
本発明の実施形態では、一つのサービスに対応する複数のサービスアカウントが存在しうる。複数のサービスアカウントの関連情報は、同一又は非同一にすることができる。即ち、関連情報は、一つのサービスアカウントに独自に対応することがあるか、又は同一のサービスに属し、かつサービス番号のような共通の属性を有する複数のサービスアカウントに対応することがある。
関連情報は、ユーザが登録したサービスアカウントについて生成されたエイリアスでもよい。エイリアスは、ユーザのサービスアカウントとPCPとを関連付けるための関連識別子として使用される。以下、関連識別子は、本発明の実施形態において一例として扱われる。
本発明の実施形態では、ユーザのPCPは、オペレータのネットワークに位置するPCP記憶装置に記憶される。特に、PCP記憶装置は、ユーザ機器(UE)プロフィールサーバ、UEデータベース、又はPCPサーバでもよく、PCPサーバは、PCP管理ユニットとも称される。
オペレータのネットワークでは、PCP記憶装置のアドレスは、予め、例えばオペレータのネットワークにPCP記憶装置のみ存する時、アプリケーションサーバが知ることができる。また、PCP記憶装置のアドレスは、ユーザがアプリケーションサーバに登録又はログオンする時、アプリケーションサーバに通知されてもよい。
以下、PCPサーバは、本発明の実施形態によるシステム構造を示す一例として扱われる。PCPサーバと、UE及びアプリケーションサーバに対するPCPサーバの接続関係とが図1に示される。システムにおいて、個人コンピュータ(PC)101、携帯電話102、及び個人デジタル補助装置103は、UEである。PC101、携帯電話102、及びPDA103は、PCPサーバ11に独自のPCPを各々有し、アクセスゲートウェイ(AG)10を介してPCPサーバ11に接続する。
各UEは、アプリケーションサーバにログオン要求を送信するように設定され、またPCPサーバ11からPCP位置情報を受信し、又はPCPサーバ11から関連情報を受信し、ログオン要求を通じて、対応するアプリケーションサーバにPCP位置情報又は関連情報を送信するように設定される。
PCPサーバ11は、ユーザの関連情報を含むユーザのPCPを記憶するように設定され、またアプリケーションサーバの要求に応じてアプリケーションサーバに関連情報を送信するように、又はアプリケーションサーバから受信した関連情報を認証し、アプリケーションサーバに認証結果を戻すように設定される。
アプリケーションサーバは、ユーザのログオン要求によりPCPサーバ11と交信し、ユーザのPCPの関連情報を認証し、認証結果に従ってログオン結果を判断するように設定される。特に、アプリケーションサーバは、ユーザの関連情報を要求するユーザのログオン要求に従ってPCPサーバ11に要求を送信し、PCPサーバ11が戻した関連情報を認証することができる。また、アプリケーションサーバは、ユーザのログオン要求に従い、アプリケーションサーバに記憶された関連情報をPCPサーバ11に送信することができる。即ち、アプリケーションサーバは、ユーザのログオン要求に含まれた関連情報を認証し、認証結果に従い、ログオン成功又はログオン失敗メッセージをUEに戻す。
PCPサーバ11は、PCP生成ユニット111、PCP管理制御ユニット112、PCPデータベース113、認証ユニット114、サービスコンポーネントインタフェースユニット115、及びオープンサービスアクセスゲートウェイインタフェースユニット116を含むことができる。
PCP生成ユニット111は、ユーザのPCPを管理し、PCP管理制御ユニット112からの指令に従い、PCPを生成、更新、及び維持し、生成され、更新され、又は維持されたPCPを、PCP管理制御ユニット112を介してPCPデータベース113に書込むように設定される。
PCP管理制御センター112は、PCPサーバ11の中央コンポーネントであり、外部アプリケーションを管理し、インタフェースコンポーネントを提供するように設定され、またPCPの生成及び記憶を管理するように設定される。
PCPデータベース113は、ユーザのPCPを記憶するように設定される。PCPデータベース113は、ユーザデータに関する複数の次元を含むことができる。本発明の実施形態において、ユーザデータは、関連情報でもよい。次元は、PCPデータベース113において以下の形式で記憶される。
PCPの上記記憶形式は、拡張可能マークアップ言語(XML)に基づく。XMLファイルは、ヘッダ部分及び本体部分を含む。
ヘッダ部分は、PCP識別子及びユーザ識別子等の公開基本情報を含み、ユーザとユーザのPCPとを識別する。
本体部分は、ユーザのPCPに関する全てのパラメータの値を含む。ラベル<dimension>は、次元に関する全てのパラメータ項目を含むのに使用される。例えば、<dimension name=“PIM” typeId=“2”>は、サービスアカウントの次元を意味し、“name”は、次元の名前を示し、“typeId”は、次元の識別子である。次元内の各パラメータ項目は、<Item>によって識別される。各次元は、複数のパラメータ項目を含むことができる。
<Item>は、以下のパラメータを含んでもよく、idは、パラメータ項目の名前を意味し、次元におけるパラメータ項目に関する固有の識別子であり、nameは、パラメータ項目の名前を意味し、Typeは、パラメータ項目のタイプを意味する。特に、<Item>即ち、次元のパラメータ項目は、以下のパラメータによって記述され、<Description>は、パラメータ項目の記述を意味し、<Meta>は、パラメータ項目に関するタイプ(Type)及び形式(Format)を意味し、<ACL>は、パラメータ項目のアクセス制御リストを意味し、<Data>は、パラメータ項目の値を意味する。<Meta>は、2つの項目を含み、<Type>は、パラメータ項目のタイプを意味し、<Format>は、パラメータ項目の形式を意味する。記述ファイルにおいて、各パラメータ項目は、デフォルトタイプを備えることができる。例えば、PCPデータに<Meta>がない場合、パラメータ項目の値は、デフォルトタイプである。以下の記述の通り、サービスアカウントは、Itemである。
上記記述において、“read=www.wow.com-346&write= www.wow.com-346”は、アプリケーションサーバの記述であり、アプリケーションサーバのアドレスの形式を採用する。これは、このアドレスからの要求のみが、Itemに対応するアプリケーションサーバから来ることを示し、読み取り及び書き込み機能は、以下の関連識別子<!--Base64-coded data-->に関して実行可能である。
認証ユニット114は、ユーザのPCPに基づきユーザが用いるネットワーク資源とサービス資源とを認証し、ユーザのPCP位置情報をUEへ送信し、関連識別子を要求するアプリケーションサーバから要求を受信し、PCPデータベース113から関連識別子を取得し、アプリケーションサーバへ関連識別子を送信し、又はUEへユーザのPCPの関連識別子を送信し、又はアプリケーションサーバから関連識別子を受信し、PCPデータベース113が、対応する関連識別子を含むか否かを認証し、アプリケーションサーバへ認証結果を戻す。
サービスコンポーネントインタフェースユニット115を用いて、AG10を介してUEに対してPCP管理制御ユニット112と認証ユニット114とを通信可能に接続し、オペレータのネットワークにおける他のネットワーク要素に対してPCP管理制御ユニット112と認証ユニット114とを通信可能に接続する。
オープンサービスアクセスゲートウェイインタフェースユニット116を用いて、オープンサービスゲートウェイ12を介してアプリケーションサーバに対してPCP管理制御ユニット112と認証ユニット114とを通信可能に接続する。
アプリケーションサーバ121、122、123...は、オープンサービスゲートウェイ12を介して各々PCP管理制御ユニット112に対して通信可能に接続される。
各アプリケーションサーバは主に、通信ユニット1201及びログオン制御ユニット1202を含む。
通信ユニット1201を用いて、UEとPCPサーバ11とに対してログオン制御ユニット1202を通信可能に接続する。
ログオン制御ユニット1202を用いて、通信ユニット1201を介してUEからのログオンログオン要求を受信し、ログオン要求に含まれる関連識別子を認証し、認証結果に基づきログオン結果を判断し、通信ユニット1201を介してUEへログオン結果を送信し;又はログオン要求に含まれるPCP位置情報に従い、PCPサーバ11へログオン制御ユニット1202に記憶された対応する関連識別子を送信し、PCPサーバ11が戻した認証結果を受信し、認証結果に基づきログオン結果を判断し、通信ユニット1201を介してUEへログオン結果を送信し;又はログオン要求に含まれるPCP位置情報に基づき対応する関連識別子をPCPサーバ11に要求し、ログオン制御ユニット1202に記憶された関連識別子からなる関連識別子か否かを判断し、認証結果に基づきログオン結果を判断し、通信ユニット1201を介してUEへログオン結果を送信する。
図1は、PCPサーバの構造と、UE及びアプリケーションサーバに対するPCPサーバの接続関係とを図示する概略図である。オペレータのネットワークのPCPサーバは、図2に示す通り、共通の機能ベア層(common capability bear layer)に位置することがある。ネットワークアーキテクチャに対する他のコンポーネントは、共通の機能ベア層におけるPCPサーバを除き、関連技術に従って実行でき、本明細書では説明しない。
本発明の方法は、添付図面を参照して以下に説明される。
本発明の一つの実施形態は、図3及び図4に各々示される登録過程及びログオン過程を含む。
登録過程は、図3に示され、特に以下を含む。
ブロック301:ユーザは、UEを介してオペレータのネットワークにアクセスする。このブロックでは、ユーザは、無線又は固定端末を介してオペレータのネットワークにアクセスできる。
ブロック302:オペレータのネットワークのPCPサーバは、ユーザのアクセス識別子に従い、ユーザのPCPを取得する。
このブロックでは、PCPサーバは、ユーザのPCPについてPCPデータベースを、ユーザのアクセス識別子に従い検索することができる。ユーザが最初にネットワークへアクセスしてユーザのPCPがない場合、初期化ブロックをさらに含むことができ、PCPサーバは、ユーザのPCPを生成する。
ブロック303:PCPサーバは、ユーザに関してネットワーク認証とサービス認証とを実行する。
このブロックにおけるネットワーク認証及びサービス認証は、ユーザのPCPの情報を認証することを意味し、PCPのネットワーク機能属性及び基本サービス機能に対する認証を含むことができる。ネットワーク機能属性の認証は、ネットワーク制御層が、アクセス帯域幅及びサービス品質等のユーザのベアラ機能をユーザのPCP関連情報に基づき認証することを含む。基本サービス機能の認証は、SMS、位置サービス等のようなユーザのサービス機能に対する認証に関するが、特定のサービスの認証ではない。認証が成功すると、ユーザが普通にネットワークを使用できることを示す。ネットワーク認証及びサービス認証の実行は、関連技術に類似する。異なる点は、本発明の実施形態において、PCPサーバが認証を実行し、ユーザのPCPがネットワーク認証及びサービス認証に関するデータを提供することである。
ブロック304:PCPサーバは、UEにユーザのPCP位置情報を送信する。PCP位置情報は、PCPサーバの統一資源位置指定子(URL)のようなPCPサーバのアドレスでもよい。また、PCPサーバは、PCPサーバ及びUE間の認証のためにUEへ、対話モード、証明書、又は他の情報を送信することができる。
ブロック305:ユーザは、アプリケーションサーバにサービスアカウントを登録する時、アプリケーションサーバへ登録要求を送信する。PCPの位置情報は、ログオン要求に含まれてもよい。
ブロック306:登録要求を受信した後、アプリケーションサーバは、ユーザのPCPにユーザのサービスアカウントを関連付けるか否かについて問合せるメッセージをユーザに送信する。
ブロック307:メッセージを受信した後、ユーザがユーザのPCPにサービスアカウントを関連付けることを決定する場合、ブロック308へ進み、そうでない場合、ブロック309へ進む。
ブロック308:ユーザは、アプリケーションサーバへ確認応答を戻す。また、PCP位置情報は、ブロック305の代わりにこのブロックにおいてアプリケーションサーバに送信されてもよい。PCP位置情報がこのブロックでアプリケーションサーバに送信される場合、ブロック310へ進み、そうでない場合、ブロック309へ進む。
ブロック309:ユーザは、アプリケーションサーバへ拒絶関連メッセージを戻す。
ブロック310:アプリケーションサーバは、ユーザの関連識別子を生成し、アプリケーションサーバに関連識別子を記憶し、関連要求メッセージを介してPCP位置情報に従いPCPサーバへ関連識別子を送信する。また、関連要求メッセージは、次元にユーザ識別子及び他の情報を含む。
ブロック311:関連要求メッセージを受信した後、PCPサーバは、UEへプロンプトメッセージを送信し、ユーザのPCPにユーザのサービスアカウントを関連付けることを要求しているアプリケーションサーバがあることをユーザに促す。プロンプトメッセージは、アプリケーションサーバの情報を含む。
ブロック312:プロンプト要求を受信した後、ユーザは、PCPにサービスアカウントを関連付けることを決定する場合、ブロック313へ進み、そうでない場合、ブロック314へ進む。
ブロック313:ユーザは、PCPサーバへ確認応答を戻し、ブロック315へ進む。
ブロック314:ユーザは、PCPサーバへ拒絶メッセージを戻す。また、PCPサーバは、アプリケーションサーバへ拒絶メッセージを戻してもよく、アプリケーションサーバは、UEへ登録失敗メッセージを戻す。
ブロック315:UEから確認応答を受信した後、PCPサーバは、ユーザのPCPに対してアプリケーションサーバから受信した関連識別子を追加し、アプリケーションサーバに更新成功メッセージを戻す。このブロックにおいて、PCPサーバは、ユーザのPCPにおける対応する項目に対して関連要求メッセージに含まれた他の関連情報をさらに追加してもよい。
ブロック316:更新成功メッセージを受信した後、アプリケーションサーバは、ユーザへサービスアカウント登録成功メッセージを戻す。
この登録過程に対応するユーザのログオン過程は、図4に示される。ブロック401から404は、図3のブロック301から304に類似し、ブロック405は、ブロック404の後に実行される。
PCPサーバは、登録過程の間にUEへユーザのPCP位置情報を送信したので、UEは、PCP位置情報を記憶することができる。故に、ログオン過程では、PCPサーバは、ブロック404でUEへPCP位置情報を送信することができない。代わりに、PCPサーバは、UEへネットワーク認証情報及びサービス認証情報を送信する。
ブロック405:ユーザがログオンアカウント及びパスワードを入力した後、UEは、UEに記憶されたログオンアカウントとパスワードとPCP位置情報とを含むログオン要求をアプリケーションサーバへ送信する。
ブロック406:アプリケーションサーバは、ログオンアカウント及びパスワードの正当性を認証し、認証が成功した場合、ブロック408へ進み、そうでない場合、ブロック407へ進む。
ブロック407:アプリケーションサーバは、UEへログオン失敗メッセージを戻し、ログオン失敗メッセージは、失敗理由を含むことができる。
ブロック408:アプリケーションサーバは、PCP位置情報に従いPCPサーバへユーザのPCPに記憶された関連識別子を要求する要求メッセージを送信する。要求メッセージは、アプリケーションサーバのユーザ識別子及び関連情報を含む。
ブロック409:アプリケーションサーバから要求メッセージを受信した後、PCPサーバは、アプリケーションサーバのユーザ識別子及び関連情報に従い、関連識別子に関してデータベースに問合せ、アプリケーションサーバへ関連識別子を戻す。
ブロック410:アプリケーションサーバは、PCPサーバが戻した関連識別子を認証し、認証が成功した場合、ブロック411へ進み、そうでない場合、ブロック412へ進む。
ブロック411:アプリケーションサーバは、ログオンの成功をユーザに知らせるログオン成功メッセージをUEに戻す。そしてユーザは、特定のサービスについてUEを介してアプリケーションサーバと交信することができる。
ブロック412:アプリケーションサーバは、ログオンの失敗をユーザに知らせるログオン失敗メッセージをUEに戻す。また、アプリケーションサーバは、関連識別子の認証が失敗した失敗理由をユーザに知らせることができる。関連識別子の認証は、PCPサーバが戻した関連識別子が、アプリケーションサーバに記憶された関連識別子からなるか否かを判断することである。
上記説明は、本発明の第1の実施形態を示す。上記説明から分かる通り、本発明の第1の実施形態では、UEのみがPCP位置情報を記憶する。また、アプリケーションサーバは、PCP位置情報に従いユーザの関連識別子を要求し、関連識別子を認証する。
本発明の実施形態では、ユーザのPCPは、UEにさらに記憶されてもよい。従って、認証実行時、UEは、対応するアプリケーションサーバへPCPの関連識別子を直接送信する。アプリケーションサーバは、関連識別子を認証する。過程は、本発明の第2の実施形態を参照して以下詳細に説明される。
本発明の第2の実施形態における登録過程及びログイン過程は、図5及び6に各々示される。図5に示す登録過程におけるブロック501から503は、第1の実施形態のブロック301から303に類似する。ブロック503の認証が成功した後、ブロック504へ進む。
ブロック504:PCPサーバは、PCP位置情報とユーザのPCPとをUEへ送信する。UEは、PCP位置情報とユーザのPCPとを記憶する。PCPの内容は、関連情報の一部又は関連情報の全部でもよい。
ブロック505から510は、ブロック305から310に類似し、本明細書で繰返されない。これらブロックでは、UEは、ブロック505でアプリケーションサーバに登録要求を送信する時、アプリケーションサーバへPCP位置情報を送信することができる。また、UEは、サービスアカウントにユーザのPCPを関連付けるかに関する問合せに応じて、ブロック508でアプリケーションサーバへ送信された確認応答でユーザのPCP位置情報を伝えることができる。
ブロック511:PCPサーバは、ユーザのPCPを更新する。特に、PCPサーバは、アプリケーションサーバから受信した関連識別子をユーザのPCPに追加し、UEへPCP同期更新要求を送信し、PCP同期更新要求は、関連識別子を含む。
ブロック512:PCP同期更新要求を受信した後、UEは、UEに記憶されたPCPにPCP同期更新要求に含まれた関連識別子を追加し、PCPサーバにPCP同期完了メッセージを戻す。
ブロック513:PCP同期完了メッセージを受信した後、PCPサーバは、アプリケーションサーバへ更新成功メッセージを戻す。
ブロック514は、図3のブロック316に類似する。
ブロック511の前、即ちPCPサーバがユーザのPCPを更新する前、図3に類似してユーザが判断する追加の問合せブロックがあってもよい。ユーザからの判断を受信すると、ユーザのPCPを更新する。ユーザからの判断を受信した後の詳細な実施形態は、図3のブロック311から314に類似し、本明細書では繰返されない。
従って、図6に示すログオン過程では、ブロック601から603は、図5のブロック501から503に類似する。
ブロック604:PCPサーバは、UEへ認証成功メッセージを戻す。
ブロック605:UEは、PCPのアプリケーションサーバに対応するサービスアカウントとPINと関連識別子とを含むログオン要求をアプリケーションサーバへ送信する。
ブロック606:アプリケーションサーバは、サービスアカウントとPINと関連識別子とからなる認証を含んで受信した情報に従い、ユーザを認証する。認証が成功した場合、ブロック607へ進み、そうでない場合、ブロック608へ進む。
ブロック607:アプリケーションサーバは、UEへログオン成功メッセージを戻す。
ブロック608:アプリケーションサーバは、UEへログオン失敗メッセージを戻す。
上記第1及び第2の実施形態では、ユーザがアプリケーションサーバにログオンする時、アプリケーションサーバは、関連識別子を認証する。本発明の実施形態では、関連識別子の認証は、PCPサーバによってさらに実行可能であり、これについては本明細書中に第3の実施形態を参照して詳細に説明する。
第3の実施形態の登録過程は、第1の実施形態のそれと類似する。第3の実施形態のログオン過程は、図7に示される。ブロック701から707は、図4のブロック401から407に類似する。ブロック706では、サービスアカウント及びPINの認証が成功した後、ブロック708へ進む。
ブロック708:アプリケーションサーバは、アプリケーションサーバに記憶された関連識別子とユーザ識別子とアプリケーションサーバ情報とを含む認証情報をPCPサーバに送信する。
ブロック709:PCPサーバは、ユーザ識別子に従いユーザのPCPを検索し、ユーザのPCPが認証要求に含まれたものからなる関連識別子を含むか否かを判断する。ユーザのPCPが、認証要求に含まれたものからなる関連識別子を含む場合、認証が成功し、ブロック710へ進み、そうでない場合、認証が失敗し、ブロック712へ進む。
ブロック710:PCPサーバは、アプリケーションサーバへ認証成功メッセージを戻す。
ブロック711:アプリケーションサーバは、UEへログオン成功メッセージを戻す。
ブロック712:PCPサーバは、アプリケーションサーバへ認証失敗メッセージを戻す。
ブロック713:アプリケーションサーバは、UEへログオン失敗メッセージを戻す。
上記第1から第3の実施形態では、ユーザのサービスアカウントにPCPを関連付けるのに用いる関連識別子は、静的である。関連識別子の安全性をさらに保証するために、関連識別子は、常に更新され、即ち動的に関連識別子を生成することができる。本発明の第4の実施形態は、動的関連識別子によるサービスアカウントの保護を説明するものである。
第4の実施形態では、サービスアカウントの登録過程は、上記第3の実施形態に類似する。第4の実施形態のログオン過程は、上記3つの実施形態とは以下の点で異なり:アプリケーションサーバがサービスアカウントを用いたログオンが成功したことをユーザに知らせるログオン成功メッセージをUEに戻した後、アプリケーションサーバは、サービスアカウントに対応する関連識別子を削除し、又はサービスアカウントに対応する関連識別子を無効に設定する。アプリケーションサーバは、次にユーザがログオンする時、認証に用いる新規関連識別子を生成し、関連識別子を更新するようPCPサーバに要求する更新要求をPCPサーバに送信する。更新要求を受信した後、PCPサーバは、アプリケーションサーバに対応する関連識別子を更新し、アプリケーションサーバに更新成功メッセージを戻す。
ユーザのPCPがUEに記憶される場合、PCPサーバ又はアプリケーションサーバは、UEへ新規関連識別子を送信するようさらに要求される。UEは、UEに記憶された関連識別子を更新する。アプリケーションサーバは、PCPサーバ及びUEへ同時に新規関連識別子を送信することができる。その後、PCPサーバ及びUEは、各々関連識別子を更新する。また、アプリケーションサーバは、UEへ新規関連識別子を送信のみすることができる。その後、UEは、アプリケーションサーバに対応する関連識別子を更新するようPCPサーバに知らせる。
第4の実施形態では、関連識別子の更新は、ログオン成功イベントによってトリガされる。本発明の実施形態では、関連識別子の更新は、例えばログオン成功メッセージを受信した後にユーザが送信した更新要求イベントのような、他のイベントによってもトリガされることがある。また、本発明の実施形態では、関連識別子の更新は、以下の2つのスキームを介して実行可能である。
第1のスキームは、時間トリガ更新スキーム(time triggered update scheme)である。第1のスキームでは、関連識別子に関する更新時間又は寿命は、予め設定される。更新時間に達して寿命が満了する時、アプリケーションサーバは、関連識別子の更新をトリガし、PCPサーバの関連識別子を更新し、又はPCPサーバ及びUEの両方の関連識別子を更新する。詳細な更新は、第4の実施形態で説明したものと類似し、本明細書で繰返されない。各種サービスに対応する関連識別子は、異なる優先度で設定されてもよい。従って、関連識別子の更新時間及び寿命は、関連識別子の優先度に従い、異なる値に設定することができる。例えば、関連識別子に対する優先度が高くなるほど、関連識別子に対する更新時間及び寿命が短くなる。関連識別子に対する優先度が低くなるほど、関連識別子に対する更新時間及び寿命が長くなる。
第2のスキームは、時間イベント組合せトリガ更新スキーム(combined time-and-event triggered update scheme)である。第2のスキームは、時間トリガスキーム及びイベントトリガスキームを組合せる。例えば、更新時間に達するか又は寿命が満了した後、関連識別子を更新し、更新時間を記録する。ユーザのログオンが成功し、又はアプリケーションサーバがUEから更新要求を受信する等のイベントの後、最近の更新と現在の時間との間の時間間隔が最小更新期間を超過しているか否かを判断する。時間間隔が最小更新期間を超過する場合、関連識別子を更新し、そうでない場合、関連識別子を更新しない。実際の用途では、その他時間及びイベントも、関連識別子の更新に対するトリガとしてもよく、本明細書では説明しない。
上記説明は、本発明の好ましい実施形態であり、その保護範囲を限定するのに用いるものではない。本発明の範囲内での変更、均等な置換、又は改良の全ては、本発明の保護範囲に含まれる。
111 PCP生成ユニット
112 PCP管理ユニット
113 PCPデータベース
112 PCP管理ユニット
113 PCPデータベース
Claims (22)
- サービスアカウントを保護するための方法であって、
ユーザのユーザ機器(UE)から送信されるログオンアカウントとパスワードとを含むログオン要求をアプリケーションサーバによって受信する過程と、
ログオンアカウントとパスワードとの正当性をアプリケーションサーバによって認証する過程と、
正当性の認証が成功した場合、ユーザのPCPとサービスアカウントとを関連付けるためにユーザの個人通信プロフィールPCPにおけるユーザのサービスアカウントに関してネットワーク側で設定される関連識別子を個人通信プロフィール(PCP)記憶装置によって、またはアプリケーションサーバによって認証する過程であって、関連識別子を認証する過程は、PCP記憶装置に記憶された関連識別子がアプリケーションサーバに記憶された関連識別子に一致するか否かを判断する過程を具備する、過程と、
関連識別子の認証が成功すると、ユーザによるアプリケーションサーバへのログオンを許可し、そうでない場合、ユーザによるアプリケーションサーバへのログオンを拒絶する過程と
を具備することを特徴とする方法。 - ユーザがアプリケーションサーバでサービスアカウントを登録する時、関連識別子をアプリケーションサーバによって生成及び記憶し、記憶のためにPCP記憶装置に、生成された関連識別子を送信する過程をさらに具備することを特徴とする請求項1に記載の方法。
- 新規関連識別子をアプリケーションサーバによって生成し、PCP記憶装置へ新規関連識別子を送信し、関連識別子を更新するようPCP記憶装置に要求する過程と、
新規関連識別子で関連識別子をPCP記憶装置によって更新する過程と
をさらに具備し、
アプリケーションサーバは:アプリケーションサーバがログオンをユーザに許可した後;ユーザがログオンに成功しアプリケーションサーバがユーザから更新要求を受信した後;関連識別子を更新するための時間が終了した後;関連識別子の寿命が終了した後;ユーザがログオンに成功しアプリケーションサーバがユーザから更新要求を受信した後であり、アプリケーションサーバが更新要求を受信する時と最近の更新時との間の時間間隔が最小更新期間より長い;のうち何れか一つで新規関連識別子を生成することを特徴とする請求項2に記載の方法。 - 関連識別子をアプリケーションサーバによって認証する過程は、
サービスアカウントに対する関連識別子を要求する要求をPCP記憶装置へアプリケーションサーバによって送信する過程と、
PCP記憶装置から関連識別子をアプリケーションサーバによって取得する過程と、
PCP記憶装置から受信した関連識別子が、アプリケーションサーバに記憶された関連識別子と一致するか否かをアプリケーションサーバによって判断する過程と
を具備することを特徴とする請求項1〜3の何れか1項に記載の方法。 - 関連識別子をPCP記憶装置によって認証する過程は、
PCP記憶装置へアプリケーションサーバに記憶されたサービスアカウントに対する関連識別子を、UEからログオン要求を受信した後にアプリケーションサーバによって送信する過程と、
認証結果を取得するために、ユーザのPCPが、アプリケーションサーバから受信した関連識別子と一致する関連識別子を含むか否かを、PCP記憶装置によって判断する過程と、
アプリケーションサーバに認証結果を戻す過程と
を具備することを特徴とする請求項1〜3の何れか1項に記載の方法。 - UEへユーザのPCP位置情報をPCP記憶装置によって送信する過程と、
UEからPCP位置情報をアプリケーションサーバによって受信する過程と、
ユーザのPCP位置情報に従いPCP記憶装置に対してアプリケーションサーバによって交信する過程と
をさらに具備することを特徴とする請求項4又は5に記載の方法。 - UEへユーザのPCPの関連識別子をPCP記憶装置によって送信する過程と、
UEから関連識別子をアプリケーションサーバによって受信する過程と
をさらに具備し、
関連識別子をアプリケーションサーバによって認証する過程は、
UEから受信した関連識別子が、アプリケーションサーバに記憶された関連識別子と一致するか否かをアプリケーションサーバによって判断する過程を具備することを特徴とする請求項1〜3の何れか1項に記載の方法。 - ユーザがネットワークにアクセスする時、ユーザのアクセス識別子に従ってユーザのPCPをPCP記憶装置によって取得する過程と、
ユーザのPCPに記憶されるサービス資源情報とネットワーク資源情報とに従ってユーザに対するネットワーク認証およびサービス認証をPCP記憶装置によって実行する過程と
をさらに具備することを特徴とする請求項1〜7の何れか1項に記載の方法。 - サービスアカウントを保護するためのシステムであって、
ユーザのユーザ機器(UE)から送信されるサービスアカウントとパスワードとを含むログオン要求を受信し、サービスアカウントとパスワードとの正当性を認証し、ユーザのPCPとサービスアカウントとを関連付けるためにネットワーク側で個人通信プロフィール(PCP)におけるサービスアカウントに関して設定される関連識別子を認証し、関連識別子に対する認証が成功した場合にユーザによるアプリケーションサーバへのログオンを許可し、そうでない場合にユーザによるアプリケーションサーバへのログオンを拒絶するよう調節され、関連識別子の認証は、PCP記憶装置に記憶された関連識別子がアプリケーションサーバに記憶された関連識別子に一致するかを判断することを含む、アプリケーションサーバと、
ユーザのPCPを記憶するよう調節されるPCP記憶装置と
を具備することを特徴とするシステム。 - アプリケーションサーバは、登録要求を受信した後、ユーザのサービスアカウントに対する関連識別子を生成及び記憶し、記憶のためにネットワーク側で、生成した関連識別子をPCP記憶装置に送信するようさらに調節されることを特徴とする請求項9に記載のシステム。
- アプリケーションサーバは、ログオン要求を介してUEからPCP位置情報を受信し、ログオン要求のPCP位置情報に従ってユーザのサービスアカウントに対する関連識別子を要求する要求をPCP記憶装置に送信し、PCP記憶装置から受信した関連識別子が、アプリケーションサーバに記憶された関連識別子と一致するか否かを判断するようさらに調節され、
PCP記憶装置は、UEへユーザのPCP位置情報を送信し、アプリケーションサーバの要求に応じてアプリケーションサーバへユーザのサービスアカウントに対する関連識別子を送信するようさらに調節されることを特徴とする請求項9又は10に記載のシステム。 - アプリケーションサーバは、関連識別子の認証が成功した後、アプリケーションサーバに記憶された関連識別子を削除し、又はアプリケーションサーバに記憶された関連識別子を無効に設定し、ユーザのサービスアカウントに対する新規関連識別子を生成し、PCP記憶装置に新規関連識別子を送信するようさらに調節され、
PCP記憶装置は、アプリケーションサーバから受信した新規関連識別子に従ってPCP記憶装置に記憶された関連識別子を更新するようさらに調節されることを特徴とする請求項11に記載のシステム。 - PCP記憶装置は、UEへPCP記憶装置に記憶された関連識別子を送信するようさらに調節され、
UEからログオン要求で伝送された関連識別子を受信し、ログオン要求で伝達された関連識別子が、アプリケーションサーバに記憶された関連識別子と一致するか否かを判断し、UEへログオン成功メッセージ又はログオン失敗メッセージを戻すようさらに調節されることを特徴とする請求項9又は10に記載のシステム。 - ユーザ機器(UE)をさらに具備し、アプリケーションサーバは、関連識別子の認証が成功した後、アプリケーションサーバに記憶された関連識別子を削除し、又はアプリケーションサーバに記憶された関連識別子を無効に設定し、ユーザのサービスアカウントに対する新規関連識別子を生成し、PCP記憶装置及びUEへ新規関連識別子を送信するようさらに調節され、
PCP記憶装置は、アプリケーションサーバから受信した新規関連識別子に従ってPCP記憶装置に記憶された関連識別子を更新するようさらに調節され、
UEは、アプリケーションサーバから受信した新規関連識別子に従ってUEに記憶された関連識別子を更新するようさらに調節されることを特徴とする請求項13に記載のシステム。 - ユーザ機器UEをさらに具備し、アプリケーションサーバは、UEへログオン成功メッセージを戻した後、アプリケーションサーバに記憶された関連識別子を削除し、又はアプリケーションサーバに記憶された関連識別子を無効に設定し、ユーザのサービスアカウントに対する新規関連識別子を生成し、UEへ新規関連識別子を送信するようさらに調節され、
UEは、アプリケーションサーバから受信した新規関連識別子に従ってUEに記憶された関連識別子を更新し、アプリケーションサーバに更新成功メッセージを戻し、PCP記憶装置へ新規関連識別子を送信するようさらに調節され、
PCP記憶装置は、UEから受信した新規関連識別子に従ってPCP記憶装置に記憶された関連識別子を更新するようさらに調節されることを特徴とする請求項13に記載のシステム。 - アプリケーションサーバと個人通信プロフィール(PCP)記憶装置とを具備する、ユーザのサービスアカウントを保護するためのシステムであって、
アプリケーションサーバは、ユーザのユーザ機器(UE)から送信されるサービスアカウント及びパスワードを含むログオン要求を受信し、サービスアカウント及びパスワードの正当性を認証し、正当性の認証が成功した場合、PCP記憶装置へアプリケーションサーバに記憶されるユーザのサービスアカウントに対する関連識別子を送信し、PCP記憶装置から認証成功メッセージを受信した時、UEへログオン成功メッセージを戻し、又はPCP記憶装置から認証失敗メッセージを受信した時、UEへログオン失敗メッセージを戻すよう調節され、関連識別子は、ユーザのPCPとサービスアカウントとを関連付けるために、ユーザのサービスアカウントに対して設定され、ユーザのPCPに記憶され、
PCP記憶装置は、PCP記憶装置に記憶された関連識別子がアプリケーションサーバに記憶された関連識別子に一致するか否かを判断することによってアプリケーションサーバから受信した関連識別子を認証し、関連識別子の認証が成功した場合、ユーザによるアプリケーションサーバへのログオンを許可するためにアプリケーションサーバに認証成功メッセージを戻し、又は関連識別子の認証が失敗した場合、ユーザによるアプリケーションサーバへのログオンを拒絶するためにアプリケーションサーバに認証失敗メッセージを戻すよう調節される
ことを特徴とするシステム。 - アプリケーションサーバは、UEから登録要求を受信した後、関連識別子を生成及び記憶し、PCP記憶装置へ関連識別子を送信するようさらに調節され、
PCP記憶装置は、アプリケーションサーバから受信した関連識別子を記憶するようさらに調節されることを特徴とする請求項16に記載のシステム。 - アプリケーションサーバは、関連識別子の認証が成功した後、アプリケーションサーバに記憶された関連識別子を削除し、又は関連識別子を無効に設定し、ユーザのサービスアカウントに対する新規関連識別子を生成し、PCP記憶装置へ新規関連識別子を送信するようさらに調節され、
PCP記憶装置は、アプリケーションサーバから受信した新規関連識別子に従ってPCP記憶装置に記憶された関連識別子を更新し、アプリケーションサーバへ更新成功メッセージ戻すようさらに調節されることを特徴とする請求項17に記載のシステム。 - ユーザの個人通信プロフィールPCPを記憶するための装置であって、
ユーザのPCPとサービスアカウントとを関連付けるために、ユーザのPCPと、ユーザのサービスアカウントに対する関連識別子とを記憶するよう調節されたPCPデータベースと、
アプリケーションサーバがユーザのユーザ機器(UE)から送信されるサービスアカウント及びパスワードを含むログオン要求を受信し、サービスアカウント及びパスワードが正当であると判断した後、アプリケーションサーバから送信される関連識別子を受信し、PCPデータベースが、受信した関連識別子と一致する関連識別子を含むか否かを判断することにより関連識別子を認証し、関連識別子の認証が成功した場合、ユーザによるアプリケーションサーバへのログオンを許可するためにアプリケーションサーバに認証成功メッセージを戻し、又は関連識別子の認証が失敗した場合、ユーザによるアプリケーションサーバへのログオンを拒絶するためにアプリケーションサーバに認証失敗メッセージを戻すよう調節された認証ユニットと
を具備することを特徴とする装置。 - アプリケーションサーバに認証ユニットを通信可能に接続するよう調節されたオープンサービスアクセスゲートウェイユニットと、
認証ユニットを通信可能に接続するよう調節されたサービスコンポーネントインタフェースユニットと
をさらに具備することを特徴とする請求項19に記載の装置。 - ユーザのサービスアカウントを保護するためのアプリケーションサーバであって、
ログオン制御ユニット及び通信ユニットを具備し、
ログオン制御ユニットは、通信ユニットを介してユーザのユーザ機器(UE)から送信されるサービスアカウント及びパスワードを含むログオン要求を受信し、ログオン要求に含まれたユーザのPCP位置情報に基づき個人通信プロフィール(PCP)記憶装置から関連識別子を要求し、受信した関連識別子が、ログオン制御ユニットに記憶された関連識別子と一致するか否かを判断することにより関連識別子を認証し、関連識別子の認証が成功した場合、ユーザによるアプリケーションサーバへのログオンを許可するためにユーザのUEへ通信ユニットを介してログオン成功メッセージを送信し、又は関連識別子の認証が失敗した場合、ユーザによるアプリケーションサーバへのログオンを拒絶するためにユーザのUEへ通信ユニットを介してログオン失敗メッセージを送信するよう調節され、
関連識別子は、ユーザのサービスアカウントに対して設定され、ユーザのPCPとサービスアカウントとを関連付けるためにユーザのPCPに記憶され、ユーザのPCPは、PCP記憶装置に記憶されることを特徴とするアプリケーションサーバ。 - ログオン制御ユニットは、認証が成功した後、ログオン制御ユニットに記憶された関連識別子を削除し、又はログオン制御ユニットに記憶された関連識別子を無効に設定し、ユーザのサービスアカウントに対する新規関連識別子を生成し、新規関連識別子を送信するようさらに調節されることを特徴とする請求項21に記載のアプリケーションサーバ。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510134640.2 | 2005-12-13 | ||
| CN200510134640.2A CN1852094B (zh) | 2005-12-13 | 2005-12-13 | 网络业务应用账户的保护方法和系统 |
| PCT/CN2006/002537 WO2007068174A1 (fr) | 2005-12-13 | 2006-09-26 | Procédé visant à protéger un compte d'application de service réseau, système et appareil associés |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009519515A JP2009519515A (ja) | 2009-05-14 |
| JP4880699B2 true JP4880699B2 (ja) | 2012-02-22 |
Family
ID=37133565
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008544737A Active JP4880699B2 (ja) | 2005-12-13 | 2006-09-26 | サービスアカウントを保護するための方法、システム、及び装置 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8732852B2 (ja) |
| EP (1) | EP1953950B1 (ja) |
| JP (1) | JP4880699B2 (ja) |
| CN (2) | CN1852094B (ja) |
| AT (1) | ATE505014T1 (ja) |
| DE (1) | DE602006021224D1 (ja) |
| ES (1) | ES2362924T3 (ja) |
| WO (1) | WO2007068174A1 (ja) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7865173B2 (en) * | 2006-07-10 | 2011-01-04 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for authentication procedures in a communication network |
| WO2010028705A1 (en) * | 2008-09-10 | 2010-03-18 | Nec Europe Ltd. | Method for enabling limitation of service access |
| CN101662771B (zh) * | 2009-10-14 | 2011-12-21 | 中国电信股份有限公司 | 无线接入短信自动认证的实现方法和系统 |
| US8561055B2 (en) * | 2009-10-15 | 2013-10-15 | Blackberry Limited | Method, system and apparatus for management of push content |
| US8364810B2 (en) * | 2009-11-06 | 2013-01-29 | Research In Motion Limited | Method, system and apparatus for management of push content when changing computing devices |
| CN102130887B (zh) | 2010-01-20 | 2019-03-12 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| EP2365677B1 (en) * | 2010-03-03 | 2020-04-08 | BlackBerry Limited | Method, system and apparatus for configuring a device for interaction with a server |
| EP2363998B1 (en) * | 2010-03-03 | 2015-01-07 | BlackBerry Limited | Method, system and apparatus for managing push data transfers |
| CN102457491B (zh) * | 2010-10-20 | 2015-04-08 | 北京大学 | 动态身份认证方法和系统 |
| CN102437914B (zh) * | 2010-12-08 | 2013-12-04 | 袁永亮 | 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法 |
| US20130030917A1 (en) * | 2011-07-28 | 2013-01-31 | American Express Travel Related Services Company, Inc. | Systems and methods for generating and using a digital pass |
| CN103051448B (zh) * | 2011-10-12 | 2016-06-22 | 中兴通讯股份有限公司 | 家庭网关下挂业务终端对码的认证方法、装置及系统 |
| CN103209074B (zh) * | 2012-01-16 | 2016-08-10 | 中国移动通信集团安徽有限公司 | 一种安全认证的方法、系统和短信处理装置 |
| CN103428178A (zh) * | 2012-05-18 | 2013-12-04 | 北京新媒传信科技有限公司 | 一种保护网络账号的方法和系统 |
| CN103974232B (zh) * | 2013-01-24 | 2017-11-10 | 中国电信股份有限公司 | WiFi用户终端识别方法及系统 |
| US8869303B2 (en) * | 2013-02-16 | 2014-10-21 | Mikhail Fleysher | Method and system for generation of dynamic password |
| CN104717122B (zh) * | 2013-12-13 | 2018-08-17 | 中国移动通信集团公司 | 一种业务信息交互方法及设备 |
| US9648002B2 (en) * | 2014-12-03 | 2017-05-09 | Microsoft Technology Licensing, Llc | Location-based user disambiguation |
| CN106161534B (zh) * | 2015-04-09 | 2021-05-11 | 中兴通讯股份有限公司 | 发送、传递和获取能力的方法及装置 |
| CN106411522A (zh) * | 2015-08-03 | 2017-02-15 | 中兴通讯股份有限公司 | 一种基于智能卡的在线认证方法、智能卡及认证服务器 |
| US10257201B2 (en) | 2016-07-28 | 2019-04-09 | Red Hat, Inc. | Management of service accounts |
| US10171484B2 (en) * | 2016-08-30 | 2019-01-01 | International Business Machines Corporation | Securing services in a networked computing environment |
| CN107819729B (zh) * | 2016-09-13 | 2021-06-25 | 腾讯科技(深圳)有限公司 | 一种数据请求方法及其系统、接入设备、存储设备和存储介质 |
| CN106487789A (zh) * | 2016-10-10 | 2017-03-08 | 广东欧珀移动通信有限公司 | 一种修改应用账户的密码的方法、装置及移动终端 |
| CN107292628B (zh) * | 2017-04-11 | 2021-06-29 | 创新先进技术有限公司 | 业务实现方法及装置 |
| US11019070B2 (en) | 2018-03-28 | 2021-05-25 | Bank Of America Corporation | Differentiating between activities of multiple users using shared accounts to access a computing system |
| WO2021089312A1 (en) * | 2019-11-04 | 2021-05-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods providing v2x application server registration |
| CN111242706B (zh) * | 2019-12-31 | 2023-12-26 | 航天信息股份有限公司 | 业务办理方法、装置、存储介质及电子设备 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020023059A1 (en) * | 2000-01-14 | 2002-02-21 | Bari Jonathan H. | Method and system for secure registration, storage, management and linkage of personal authentication credentials data over a network |
| GB2369543A (en) * | 2000-11-24 | 2002-05-29 | Cevennes S A | Visual content organisation system |
| JP2003016286A (ja) * | 2001-06-29 | 2003-01-17 | Ntt Pc Communications Inc | ディジタルコンテンツ提供方法及びサーバ並びにプログラム |
| JP2003132022A (ja) * | 2001-10-22 | 2003-05-09 | Nec Corp | ユーザ認証システムおよび方法 |
| US6691232B1 (en) * | 1999-08-05 | 2004-02-10 | Sun Microsystems, Inc. | Security architecture with environment sensitive credential sufficiency evaluation |
| JP2004510215A (ja) * | 2000-05-19 | 2004-04-02 | ネットスケープ コミュニケーションズ コーポレーション | 適合化可能なマルチ階層認証システム |
| JP2004128886A (ja) * | 2002-10-02 | 2004-04-22 | Canon Inc | 接続情報供給装置、接続情報供給プログラム、認証情報供給装置、及び、認証情報供給プログラム |
| JP2005519365A (ja) * | 2002-02-28 | 2005-06-30 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 単一サインオンサービスにおけるユーザ識別子の取り扱い方法及び装置 |
| JP2005519501A (ja) * | 2002-02-28 | 2005-06-30 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | シングルサインオンサービスのためのシステム、方法、および装置 |
| WO2005069149A1 (en) * | 2004-01-07 | 2005-07-28 | Nokia Corporation | A method of authorisation |
| JP2005323070A (ja) * | 2004-05-07 | 2005-11-17 | Nippon Telegr & Teleph Corp <Ntt> | 携帯電話による情報家電向け認証方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5748890A (en) * | 1996-12-23 | 1998-05-05 | U S West, Inc. | Method and system for authenticating and auditing access by a user to non-natively secured applications |
| US6700960B1 (en) * | 2000-08-30 | 2004-03-02 | At&T Corp. | Apparatus for tracking connection of service provider customers via customer use patterns |
| JP4068921B2 (ja) * | 2002-08-15 | 2008-03-26 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ユーザ端末にウェブ・サービスを提供するサーバ、方法、コンピュータ・プログラム、記憶媒体、ネットワーク・システム |
| BRPI0502384A (pt) | 2005-06-21 | 2007-02-06 | Siemens Ltda | sistema e método de monitoração e controle da condição de operação de um transformador de potência |
-
2005
- 2005-12-13 CN CN200510134640.2A patent/CN1852094B/zh active Active
-
2006
- 2006-09-26 JP JP2008544737A patent/JP4880699B2/ja active Active
- 2006-09-26 EP EP06791126A patent/EP1953950B1/en active Active
- 2006-09-26 DE DE602006021224T patent/DE602006021224D1/de active Active
- 2006-09-26 CN CN200680011959.9A patent/CN101160782A/zh active Pending
- 2006-09-26 AT AT06791126T patent/ATE505014T1/de not_active IP Right Cessation
- 2006-09-26 WO PCT/CN2006/002537 patent/WO2007068174A1/zh active Application Filing
- 2006-09-26 ES ES06791126T patent/ES2362924T3/es active Active
-
2007
- 2007-11-14 US US11/939,858 patent/US8732852B2/en active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6691232B1 (en) * | 1999-08-05 | 2004-02-10 | Sun Microsystems, Inc. | Security architecture with environment sensitive credential sufficiency evaluation |
| US20020023059A1 (en) * | 2000-01-14 | 2002-02-21 | Bari Jonathan H. | Method and system for secure registration, storage, management and linkage of personal authentication credentials data over a network |
| JP2004510215A (ja) * | 2000-05-19 | 2004-04-02 | ネットスケープ コミュニケーションズ コーポレーション | 適合化可能なマルチ階層認証システム |
| GB2369543A (en) * | 2000-11-24 | 2002-05-29 | Cevennes S A | Visual content organisation system |
| JP2003016286A (ja) * | 2001-06-29 | 2003-01-17 | Ntt Pc Communications Inc | ディジタルコンテンツ提供方法及びサーバ並びにプログラム |
| JP2003132022A (ja) * | 2001-10-22 | 2003-05-09 | Nec Corp | ユーザ認証システムおよび方法 |
| JP2005519365A (ja) * | 2002-02-28 | 2005-06-30 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 単一サインオンサービスにおけるユーザ識別子の取り扱い方法及び装置 |
| JP2005519501A (ja) * | 2002-02-28 | 2005-06-30 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | シングルサインオンサービスのためのシステム、方法、および装置 |
| JP2004128886A (ja) * | 2002-10-02 | 2004-04-22 | Canon Inc | 接続情報供給装置、接続情報供給プログラム、認証情報供給装置、及び、認証情報供給プログラム |
| WO2005069149A1 (en) * | 2004-01-07 | 2005-07-28 | Nokia Corporation | A method of authorisation |
| JP2007521585A (ja) * | 2004-01-07 | 2007-08-02 | ノキア コーポレイション | 認可方法 |
| JP2005323070A (ja) * | 2004-05-07 | 2005-11-17 | Nippon Telegr & Teleph Corp <Ntt> | 携帯電話による情報家電向け認証方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8732852B2 (en) | 2014-05-20 |
| CN101160782A (zh) | 2008-04-09 |
| CN1852094B (zh) | 2010-09-29 |
| EP1953950A1 (en) | 2008-08-06 |
| EP1953950A4 (en) | 2009-09-02 |
| ES2362924T3 (es) | 2011-07-15 |
| DE602006021224D1 (de) | 2011-05-19 |
| ATE505014T1 (de) | 2011-04-15 |
| JP2009519515A (ja) | 2009-05-14 |
| WO2007068174A1 (fr) | 2007-06-21 |
| EP1953950B1 (en) | 2011-04-06 |
| US20080066190A1 (en) | 2008-03-13 |
| CN1852094A (zh) | 2006-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4880699B2 (ja) | サービスアカウントを保護するための方法、システム、及び装置 | |
| JP4742903B2 (ja) | 分散認証システム及び分散認証方法 | |
| JP4755866B2 (ja) | 認証システム、認証サーバ、認証方法および認証プログラム | |
| CA2557143C (en) | Trust inheritance in network authentication | |
| US20130019295A1 (en) | Method and system for open authentication | |
| US20060111080A1 (en) | System and method for securing a personalized indicium assigned to a mobile communications device | |
| JP2007264835A (ja) | 認証方法およびシステム | |
| US20210234850A1 (en) | System and method for accessing encrypted data remotely | |
| US11165768B2 (en) | Technique for connecting to a service | |
| JP2010086508A (ja) | ネットワーク認証方法およびその応用 | |
| JP2008181310A (ja) | 認証サーバおよび認証プログラム | |
| JP5565408B2 (ja) | Id認証システム、id認証方法、認証サーバ、端末装置、認証サーバの認証方法、端末装置の通信方法、及びプログラム | |
| JP4607602B2 (ja) | アクセス提供方法 | |
| US9143494B2 (en) | Method and apparatus for accessing a network | |
| KR101273285B1 (ko) | 인증 에이전트 장치, 온라인 서비스 인증 방법 및 시스템 | |
| TWI598762B (zh) | 實現雲端身份認證的網路系統、方法及移動設備 | |
| CN112929388B (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 | |
| CN112685718A (zh) | 基于OAuth协议在同账号多端登录时使原访问令牌失效的方法 | |
| JP2009118267A (ja) | 通信ネットワークシステム、通信ネットワーク制御方法、通信制御装置、通信制御プログラム、サービス制御装置およびサービス制御プログラム | |
| CN109460647B (zh) | 一种多设备安全登录的方法 | |
| WO2017210914A1 (zh) | 传输信息的方法和装置 | |
| CN111935151B (zh) | 一种跨域统一登录方法、装置、电子设备及存储介质 | |
| CN102594782B (zh) | Ip多媒体子系统鉴权方法、系统及服务器 | |
| JP4671686B2 (ja) | ネットワークファイルシステム及び認証方法 | |
| WO2022049753A1 (ja) | サービス提供システム、電話受付装置、及び、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110531 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110826 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111122 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111201 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4880699 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141209 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |