-
HINTERGRUND
DER ERFINDUNG
-
Die
Erfindung bezieht sich auf eine Einstellungsinformations-Verteilungsvorrichtung,
Verfahren, Programm und Medium, eine Authentifizierungseinstellungs-Transfervorrichtung,
Verfahren, Programm und Medium und ein Einstellungsinformations-Empfangsprogramm.
-
In
den letzten Jahren werden mit einer Erhöhung in verschiedenen Netzen,
die durch ein IMT-2000-System und ein drahtloses LAN dargestellt werden,
und der Verbreitung von Informationsbenutzerendgeräten, wie
etwa einem Personalcomputer (hierin nachstehend als "PC" bezeichnet) mit
einer Funkkommunikationsfunktion oder einem persönlichen digitalen Assistenten
(hierin nachstehend als "PDA" bezeichnet), Umgebungen,
wo verschiedene Dienste durch eine Verbindung mit einem Netz zu
jeder Zeit und überall
verwendet werden können,
verbessert.
-
Die
Netze und Dienste werden durch eine Vielzahl von Anbieterdomänen und
Systemen betrieben, und ein Benutzer schließt mit jedem Anbieter einen
Vertrag und verwendet verschiedene Dienste. Es ist üblich, entfernt
auf ein privates Netz, wie etwa ein Firmennetz, von dem Netz mit
einem öffentlichen drahtlosen
LAN durch Verwenden derartiger Umgebungen zuzugreifen.
-
Eine
Erhöhung
von Verbrechen unter Verwendung der Netze, wie etwa Manipulation
(spoofing) oder Lauschen, wird gleichzeitig mit der Erweiterung
der Benutzer, die einen Dienst über
ein Netz verwenden, wahrgenommen, mit dem Ergebnis, dass die Benutzer
selbst gefordert sind, die Sicherheitsmaßnahmen durchzuführen. Als
die Sicherheitsmaßnahmen
ist es allgemein üblich,
dass eine Erfassungsanwendung (Programm oder Programmprodukt) wie
eine Virus-/Wurm-Maßnahme
in einem Benutzerendgerät
installiert ist, das mit dem Netz verbunden ist. Es ist auch üblich, dass
ein Firewall als eine Eindringungsmaßnahme, eine Verschlüsselungsanwendung
als eine Abhörmaßnahme und
eine Authentifizierungsfunktion in dem Benutzerendgerät installiert
sind. Außerdem
verschlüsselt
die Netzseite wiederum Funksignale in Anbetracht der Sicherheit zwischen
Benutzern in einem öffentlichen
drahtlosen LAN etc.
-
In
den Sicherheitsmaßnahmen
ist es jedoch, da der Benutzer selbst die Einrichtung (setup) von verschiedenen
Werkzeugen, Aktualisierung einer Virusdefinition oder dergleichen
durchführen
muss, wahrscheinlich, dass ein Betriebsfehler auftritt. Insbesondere
ist es in den mobilen Umgebungen auch notwendig, dass der Chiffrierschlüssel eines
drahtlosen LAN geändert
wird oder IP-Adressen eines DNS, eines Gateway, eines Proxy und
dergleichen durch das Endgerät
selbst geändert
werden, und bei der Änderung
ist es auch wahrscheinlich, dass ein Betriebsfehler auftritt. In
der gegenwärtigen
Situation beeinträchtigt
das Sicherheitsproblem die mobilen Umgebungen nachteilig nicht nur
dadurch, dass die Sicherheit des Benutzers selbst nicht aufrechterhalten
werden kann, sondern sich auch ein Schaden, der von dem Virus oder
dem Wurm hervorgerufen wird, zu der Netzseite ausbreitet, die einen
Dienst anbietet. In der Zukunft sind die Technologie und die Betriebstechnik
zum Aufrechterhalten hoher Sicherheit mit der Steigerung des Komforts
des Benutzers in den mobilen Umgebungen erforderlich, die ihre Entwicklung
weithin fortsetzen.
- (1) In dem drahtlosen LAN,
das als eines der Zugriffsnetze entwickelt wurde, gibt es als eine
Technik, in der die Chiffrierschlüsseleinrichtung automatisiert
ist und die Zugriffssteuerung des Benutzers durchgeführt wird,
ein System, welches IEEE 802.1x (port-basierte Netzzugriffssteuerung),
welches ein Standard einer Maßnahme
ist. Dies ist eine Zugriffssteuerungstechnik, die in einem drahtlosen
LAN-Zugriffspunkt oder einem Switch implementiert wird, durch die
das Netz den Benutzer authentifiziert, der auf das Netz zugegriffen hat,
durch den Benutzerauthentifikator einer ID oder eines elektronischen
Zertifikates, und nur dem autorisierten Benutzer wird erlaubt, den drahtlosen
LAN-Dienst zu verwenden. Außerdem kann
Hochsicherheitsbetrieb durch Verteilen und Aktualisieren des Chiffrierschlüssels (WEP)
eines drahtlosen LAN gleichzeitig durchgeführt werden. Da jedoch ein Verschlüsselungsalgorithmus
eines WEP verwundbar ist, und ein Werkzeug, das den Verschlüsselungsalgorithmus
entschlüsselt,
leicht erhalten werden kann, ist es sehr gefährlich, WEP zu verwenden. Obwohl
die Sicherheitsfunktion, die IEEE 802.1x enthält, als IEEE 802.11i standardisiert
ist, und nun ein robuster Verschlüsselungsalgorithmus angewendet
wird, braucht es Zeit, den Verschlüsselungsalgorithmus zu verteilen.
- (2) Um das drahtlose LAN zu verwenden, wird außerdem von
dem Benutzer selbst gefordert, die Zugriffs-ID (SSID) zum Unterscheiden
eines drahtlosen LAN-Netzes einzurichten, welches sich in Organisationseinheiten,
wie etwa Anbietern, unterscheidet. Ähnlich unterscheiden sich wiederum
Benutzeridentifikatoren für
jede Organisation. Da von dem Benutzer verschiedene Arten einer
Einrichtung gefordert werden, gibt es, während der Komfort abgesenkt
wird, eine Tendenz für
einen Benutzer, einfach den gleichen Benutzeridentifikator und das
gleiche Passwort einzurichten. Deshalb existieren potenziell viele
Einrichtungen des Benutzerendgerätes,
was für
Sicherheit nicht wünschenswert
ist. Außerdem
kann die SSID durch den Besitzer eines drahtlosen LAN-Zugriffspunktes
frei eingerichtet werden, und es ist möglich, eine Manipulation einfach
durchzuführen,
mit dem Ergebnis, dass es sehr gefährlich ist, SSID zu verwenden.
Um
die Niedrigkeit des Komforts dessen zu beseitigen, dass der Benutzer
selbst SSID zu einem Benutzerendgerät für jeden Anbieter einstellt,
gibt es einen Dienst, in dem alle Zugriffs-IDs (SSIDs) der angeschlossenen öffentlichen
drahtlosen LAN-Dienste vereinigt sind, und es wird eine Einstellungsliste
zu einem mobilen Benutzerendgerät im
voraus verteilt. In iPass und GRIC, die einen Roaming-Dienst weltweit
ausführen,
wird die Einstellungsliste in einem Verbindungswerkzeug gehalten,
und während
einer Verbindung mit dem Netz kann die Einsetllungsliste automatisch
aktualisiert werden. Einem Speichermedium des mobilen Benutzerendgerätes, welches
die Information des Benutzerendgerätes speichert, werden jedoch
viele Lasten auferlegt, während
sich die Zahl von angeschlossenen Diensten erhöht. Da die Lasten wiederum
auf einem Server platziert sind, der zentralisiertes Management
der Einstellungslisten für
automatische Aktualisierung durchführt, sind beträchtliche
Managementkosten erforderlich.
- (3) Um den Dienst durch eine Verbindung mit einem Netz zu verwenden,
ist es außerdem
notwendig, die IP-Adresse, DNS-Serveradresse, Gateway-Adresse
etc. des Benutzerendgerätes zu erlangen.
Als eine Technik, die die Einrichtung automatisiert und die Einrichtung
dynamisch verteilt, gibt es DHCP (dynamisches Host-Konfigurationsprotokoll,
dynamic host configuration protocol), spezifiziert durch RFC2131,
welches ein Standard einer Maßnahme
ist. Es gibt jedoch keine Sicherheitsmaßnahmen in DHCP, und ein böswilliger
Benutzer, der mit den gleichen Teilnetz verbunden ist, kann als
der DHCP-Server manipulieren und eine falsche Einrichtung zu dem
Benutzer verteilen.
Damit ein Web-Browser auf einen Web-Server,
einen Mail-Server, einen FTP-Server etc. in dem Internet oder Intranet
zugreifen kann, kann der Web-Browser über einen Proxy-Server gehen müssen. Ein
Proxy-Server wird verwendet, um eine Anforderung für einen
Zugriff auf den Web-Server und seine Reaktion darauf zwischenzuspeichern
(cache), die Anforderung von einer großen Zahl von Clients effizient
zu übertragen und
den Zugriff auf das Internet zu steuern. Da ein Proxy-Server mit
verschiedenen Strukturen gemäß einer
Einrichtung eines Netzes, einem Verfahren zur Lastverteilung oder
dergleichen verwendet wird, ist es nicht einfach, das Netz vollständig gemäß der Situation
für jede
Organisation einzurichten. Es gibt WPAD (Web-Proxy-Autoerkennungsprotokoll,
web proxy autodiscovery protocol) als eine Technik, die die Einrichtung
automatisiert und die Einrichtung dynamisch verteilt. Da es jedoch
keine Sicherheitsmaßnahmen
in WPAD gibt und Zugriff durch DHCP oder DNS in der automatischen
Einrichtung inkludiert ist, kann eine falsche Einrichtung zu dem
Benutzer durch die Manipulation vom DHCP-Server verteilt werden.
Falls
der Mail-Server oder Web-Server, auf den der Benutzer zugreift,
Sicherheit von SSL angenommen hat, wird die Möglichkeit einer falschen Weitergabe
oder Abhörung
durch ein drahtloses LAN gering, was die sichere Verwendung eines Dienstes
erlaubt. Es müssen
jedoch sowohl alle Server als auch Clients diese Maßnahmen
befolgen, und es ist Zeit für
eine perfekte Ausbreitung wegen den erforderlichen Kosten erforderlich.
- (4) Gewöhnlich
sind der Mail-Server oder der Web-Server, auf die durch den Benutzer
zugegriffen wird, in Netzen eines Unternehmens oder eines Anbieters
verteilt, mit dem der Benutzer einen Vertrag schließt. In dem
Fall, wo das gesamte Netz oder ein Bereich, wo sich der Mail-Server oder
der Web-Server befinden, sicher ist, gibt es ein System, das (i)
ein virtuelles privates Netz verwendet, spezifiziert durch RFC2764
(ein Rahmenwerk für
IP-basierte virtuelle private Netze), was ein Standard einer Maßnahme ist
als eine Technik, die sicher auf einen sicheren Bereich des Netzes
von einem Netz zugreift, das sich von dem Netz unterscheidet, und
(ii) IPsec, spezifiziert durch RFC2401 (Sicherheitsarchitektur für das Internetprotokoll)
als eine Technik, die die Verschlüsselung und Authentifizierung
zum Garantieren der Vertraulichkeit und Sicherheit eines IP-Paketes
ausführt,
oder (iii) IKE, spezifiziert durch RFC2409 (der Internet-Schlüsselaustausch)
als eine Schlüsselaustauschtechnologie
für Verschlüsselung.
Die Anwendung, die diese Techniken zusammen kombiniert, wird auf
einen Gateway-Server, der in den Eingang zu einem sicheren Bereich
des Netzes gebracht wird, und das Benutzerendgerät gebracht, um dadurch die
Zugriffssteuerung durch Benutzerauthentifizierung und den sicheren
Zugriff auf den sicheren Bereich des Netzes von dem Netz durch Verschlüsselung von
Kommunikationsinformation zu realisieren. Da jedoch der Benutzer
selbst gefordert ist, die IP-Adressen des Gateway-Servers und des zugehörigen Proxy-Servers
einzurichten, kann hoher Komfort nicht erreicht werden.
- (5) Vor Herstellen der sicheren Kommunikation durch IPsec wird
ein Chiffrierschlüsselaustausch durch
IKE durchgeführt.
Obwohl der Gateway-Server des Netzes den Benutzer authentifi ziert,
der den Schlüsselaustausch
anfordert, unterscheidet sich, da sich verwaltende Behörden/Organe
voneinander unterscheiden, der Benutzeridentifikator, der für die Benutzerauthentifizierung
zur Zeit eines Zugriffs auf ein öffentliches Netz
verwendet wird, von dem Benutzeridentifikator, der für die Benutzerauthentifizierung
zur Zeit einer Verbindung mit einem privaten oder Unternehmensnetz
verwendet wird. Deshalb muss ein Benutzer mindestens zwei oder mehr
Benutzeridentifikatoren managen, und der Komfort wird gering. Außerdem richten
alle Benutzer mit geringem Sicherheitsbewusstsein den gleichen Benutzeridentifikator
und das gleiche Passwort ein und reduzieren die Sicherheit des Netzes.
Wenn
in diesem Beispiel die Benutzerauthentifizierung durch Verwenden
von PKI (öffentliche Schlüsselinfrastruktur,
public key infrastructure), die eine robuste Benutzerauthentifizierungstechnologie
ist, durchgeführt
wird, kann ein Schaden, der sich aus dem Verlust eines Passworts
ableitet, eliminiert werden. Obwohl der gleiche Benutzerauthentifikator
für die
Zugriffsauthentifizierung eines externen Netzes und die Zugriffsauthentifizierung
zu einem Netz verwendet wird, da die gleiche Authentifizierungsbearbeitung
wiederholt wird, braucht es jedoch Zeit, die sichere Kommunikation
herzustellen, und der Komfort wird gering.
- (6) Andererseits wird in dem iPass, der den Roaming-Dienst ausführt, auf
ein bestimmtes angeschlossenes Netz durch Verwenden eines Benutzerauthentifikators
(z.B. ID/Passwort des Netzes) zwischen den Netzen, die das Netz
enthalten, für das
ein Vertrag abgeschlossen wurde, zugegriffen, der Benutzerauthentifikator
wandert, der Authentifizierungsserver des Netzes, der den Benutzerauthentifikator
managt, führt
die Authentifizierung und Autorisierung durch, und es ist möglich, ferner
die gemeinsame Authentifizierungs- und Autorisierungsverarbeitung
und Chiffrierschlüsselverteilung
aus zuführen,
die mit dem Gateway-Server des Netzes gemeinsam bearbeitet wird.
Es wird jedoch ein spezifisches Protokoll für Gateway-Server für eine Zusammenarbeit
zwischen dem Authentifizierungsserver des Netzes und dem Gateway-Server
verwendet. Außerdem ist
die Zusammenarbeit auf die Domäne
und das System des gleichen Anbieters beschränkt. Es gibt keine Flexibilität, die eine
automatische Einrichtung mit Bezug auf die Dienste, die durch verschiedene
Anbieter und Systeme durchgeführt werden,
sicher durchführen
kann.
-
22 ist ein Diagramm zum
Erläutern
eines Verfahrens, das einen Fernzugriff auf ein Netz eines Unternehmens
durchführt,
das sich in der Managementeinheit von dem Netz, wie etwa dem öffentlichen
drahtlosen LAN, von dem Netz des öffentlichen drahtlosen LAN
unterscheidet, in Übereinstimmung
mit einem Stand der Technik.
-
Das
Netz 102, das in 22 gezeigt
wird, ist ein Netz 102, das durch ein öffentliches drahtloses LAN
dargestellt wird, und es wird ein Netzverbindungsdienst durch den
Anbieter angeboten. Das Netz 102 ist mit dem Internet oder
dergleichen verbunden. Außerdem
ist das öffentliche
drahtlose LAN ein Verbindungsnetz einer Domänenbegrenzung, was durch ein
drahtloses LAN oder dergleichen aufgebaut wird, und was z.B. das
Netz 102 ist, aufgebaut durch das drahtlose LAN oder dergleichen
in dem Bürogebäude eines
Kaufhauses oder eines Unternehmens. Obwohl das öffentliche drahtlose LAN unter
dem Dienst eines mobilen Kommunikationsanbieters ist, schließt ein Kaufhaus
oder ein Unternehmen einen Vertrag mit dem mobilen Kommunikationsanbieter,
und das öffentliche
drahtlose LAN ist in dem Bürogebäude des
Kaufhauses oder Unternehmens begrenzt.
-
Bis
jetzt managen, wie in 22 gezeigt, Kommunikationsanbieter,
wie etwa ein Internetdienstanbieter (ISP), den öffentlichen drahtlosen LAN-Dienst
und bieten den Netzverbin dungsdienst zu dem Internet oder dergleichen
an. Es wird ein DHCP-Server 104, der die IP-Adressen von
verschiedenen Servern verteilt, beim ISP installiert. Außerdem wird
ein Gateway, wie ein IPsec-Gateway-Server 108 zum Zugriff
auf ein Netz von dem Internet etc. in dem Netz eines Unternehmens
oder dergleichen installiert, welches das private Netz 106 ist.
Außerdem
wird ein Roaming-Authentifizierungsserver 112 zum Roaming
einer Vielzahl von ISP und Durchführen von Netzzugriffsauthentifizierung
zu dem öffentlichen
drahtlosen LAN-Dienst
durch eine ID/Passwort, die z.B. durch ein Unternehmen gemanagt
wird, in dem Roaming-Netzanbieter (RSP) installiert, welches das
Roaming-Netz 110 ist, wie etwa iPass. Hierin nachstehend
wird eine Beschreibung einer Sequenz, die in 23 gezeigt
wird, gegeben, in der das Benutzerendgerät 114 eine Zugriffsverbindung
zu dem Netz eines Unternehmens oder dergleichen durch das Internet
von dem öffentlichen
drahtlosen LAN mit Bezug auf 22 sicher
durchführt.
-
<Verbindung von Netzverknüpfung (Schicht
2, Datenverknüpfung:
Verwundbarkeit vom Verschlüsselungsalgorithmus>
-
Zuerst
richtet ein Benutzer SSID ein, was der Identifikator des öffentlichen
drahtlosen LAN-Dienstes ist, der im voraus in dem Benutzerendgerät 114 ((2)
von 22) registriert
wurde, SSID, das in einem Signalfeuer (beacon) enthalten ist, das
von einem drahtlosen LAN-Zugriffspunkt gesendet wird, wird erfasst
und ausgewählt,
und eine Netzzugriffsauthentifizierung wird gestartet ((3) von 22. Der drahtlose LAN-Zugriffspunkt 116 fängt die
Kommunikation von dem Benutzerendgerät 114 zeitweilig ab,
empfängt
die Authentifizierungsinformation von dem Benutzerendgerät 114 und
validiert eine Dienstverwendung des Benutzerendgerätes 114 zu
dem ISP-Authentifizierungsserver 118 innerhalb
von ISP ((4) und (5) von 22).
Falls das Benutzerendgerät 114 zu dieser
Zeit ein wandernder (roaming) Benutzer ist, wird eine Roaming- Authentifizierungsanforderung
zu einem Unternehmensnetz über
RSP erteilt, und Authentifizierung wird durch den Unternehmensauthentifizierungsserver 120 eines
Unternehmens durchgeführt
((6) bis (9) von 22).
Falls ein Authentifizierungsergebnis gut ist, gibt der drahtlose
LAN-Zugriffspunkt 116 eine Netzverknüpfung zu dem Benutzer frei,
der abgefangen wurde ((10) bis (13) von 22). Obwohl die Daten, die in der Verknüpfung des
drahtlosen LAN fließen,
durch WEP verschlüsselt
sind, ist, da der Verschlüsselungsalgorithmus verwundbar
ist, Abhören
möglich
und die Authentifizierung ist als Sicherheit nicht sicher.
-
<Verbindung vom IP-Netz: Manipulation>
-
Wenn
das Benutzerendgerät 114 vollständig die
Netzverknüpfung
verbunden hat, erteilt das Benutzerendgerät 114 als Nächstes eine
Anforderung zum Erlangen einer LAN-Einstellung, enthaltend IP-Adressen
des Benutzerendgerätes 114,
einen DNS-Server, ein Gateway, das eine Verbindung mit dem Internet
durchführt,
und dergleichen, zu dem DHCP-Server 104, und empfängt eine
LAN-Einstellung ((14) von 22).
Vom Benutzer wird nicht gefordert, die IP-Adresse des DHCP-Servers 104 selbst usw.
im voraus zu bestimmen. Wenn eine Vorrichtung, die als der DHCP-Server 104 manipuliert,
innerhalb des gleichen öffentlichen
drahtlosen LAN existiert, werden Abhören, Dienststörung etc.
durch betrügerische
Weitergabe erzielt, und Sicherheit kann nicht sichergestellt werden.
-
<Komfort des Benutzers>
-
Um
die sichere Kommunikation durch IPsec zu der IP-Adresse des Gateway-Servers
eines Netzes, die im voraus zu dem Benutzerendgerät 114 eingestellt
ist, zu beginnen, wird ferner eine IKE-Prozedur gestartet, die ein
Schlüsselaustausch
ist. Benutzerauthentifizierung für
einen Schlüsselaustausch kann in
der IKE-Prozedur durchgeführt
werden. Obwohl der IKE selbst ein sicheres Protokoll ist, gibt es eine
Reihe von Prozeduren zum sicheren Starten eines Dienstes vom Netzzugriff,
und der Komfort des Benutzers bis zum tatsächlichen sicheren Starten eines
Dienstes wird gestört.
Außerdem
ist es in dem Dienst, der durch den iPass oder dergleichen angeboten
wird, für
einen Authentifizierungsserver und einen Gateway-Server möglich, gleichzeitig mit Authentifizierung
eines Netzzugriffs zusammenzuarbeiten und Schlüsselverteilung durchzuführen. Es
wird jedoch nicht angenommen, dass die zusammenhängende Authentifizierung und
eine automatische Einrichtung eines Dienstes durch zwei oder mehr
Anbieter vor einem Starten sicherer Kommunikation mit dem Netz durchgeführt werden.
Wenn z.B. ein anderes unabhängiges
Netz 102 den Heimatagentenserver eines mobilen IP-Dienstes
und den SIP-Server für
einen VoIP-Dienst hat, wird nicht angenommen, dass alle Authentifizierungen
veranlasst werden zusammenzuarbeiten. Angesichts dieser Sache ist
die Flexibilität
des Standes der Technik gering.
-
Ferner
ist das Folgende eine Technik zum automatischen Einrichten eines
bekannten Endgerätes,
aber eine derartige Technik löst
die Probleme nicht.
-
Patentliteraturstelle
1 bezieht sich auf ein Adresseinstellungsverfahren und eine Vorrichtung. Diese
Patentliteraturstelle legt ein IP-Adressen-Automatikeinstellungssystem
zu dem Endgerät
für eine beliebige
MAC-Adresse offen.
-
[Patentliteraturstelle
1] JP 11-234342 A
-
In
dem wie oben erwähnten
konventionellen System ist, da die Dienststartprozedur der Netze,
die sich in der Managementeinheit der Anbieter unterscheidet, nicht
miteinander zusammenarbeiten können,
der Komfort für
den Benutzer, der einen Dienst sicher und frühzeitig verwenden möchte, weit
davon entfernt hoch zu sein. Um die Einrichtung von verschiedenen
Diensten zu einem Benutzerendgerät
sicher zu verteilen, ist eine Maßnahme zum Herstellen einer
sicheren Route zwischen dem Benutzerendgerät und den jeweiligen Anbietern
erforderlich. Die Prozedur wird auch in diesem Fall kompliziert,
und deshalb wird ein Komfort des Benutzers gestört.
-
ZUSAMMENFASSUNG
DER ERFINDUNG
-
Die
Erfindung wurde unternommen, um die Probleme zu lösen, und
hat deshalb ein Ziel, eine Vorrichtung, ein Verfahren, ein Programm
und ein Medium für
Einstellungsinformationsverteilung, eine Vorrichtung, ein Verfahren,
ein Programm und ein Medium für
Authentifizierungseinstellungstransfer und ein Einstellungsinformations-Empfangsprogramm
vorzusehen, die verschiedene Dienstanforderungen und die Verteilung
einer Einrichtung gemeinsam bearbeiten, die unabhängig in
einer Vielzahl von Domänen
durchgeführt
werden, und den Komfort des Benutzers verbessern und die Richtigkeit
von Verteilungsinformation in jeder Domäne garantieren.
-
Gemäß einem
Aspekt der Erfindung wird eine Einstellungsinformations-Verteilungsvorrichtung,
die zu einem ersten Netz gehört,
vorgesehen, gekennzeichnet durch Inkludieren: einer Authentifizierungseinheit,
die eine Authentifizierungsanforderung von einem Benutzerendgerät empfängt und
authentifiziert, das eine Zugriffsauthentifizierung anfordert durch
Verwenden einer Netzzugriffsauthentifizierungsprozedur zwischen
dem Benutzerendgerät
und dem ersten Netz; einer Übertragungseinheit,
die eine Authentifizierungskooperationsanforderung, die anfordert,
dass Einstellungsdaten zu dem Benutzerendgerät einzustellen sind, zu einem
anderen Netz durch Verwenden der Netzzugriffsauthentifizierungsprozedur
und einer Authentifizierungskooperationsprozedur zwischen einer Vielzahl
von Netzen überträgt; und
einer Verteilungseinheit, die eine erste Antwortnachricht, der Einstellungsdaten
hinzugefügt
sind, zu dem Benutzerendgerät
verteilt durch Erzeugen der ersten Antwortnachricht entsprechend
der Authentifizierungsanforderung durch Hinzufügen der Einstellungsdaten,
die in einer zweiten Antwortnachricht inkludiert sind, entsprechend
der Authentifizierungskooperationsanforderung.
-
Gemäß der Einstellungsinformations-Verteilungsvorrichtung
der Erfindung können
die Einstellungsdaten der Benutzerendgeräte, die jeweils durch eine
Vielzahl von Netzen (eine Vielzahl von Domänen) generiert wurden, schließlich gemeinsam
in einer Nachricht eines Authentifizierungsprotokolls zwischen den
Benutzerendgeräten
und den Netzen inkludiert sein. Als ein Ergebnis können die
Einstellungsdaten des Benutzerendgerätes zu der Vielzahl von Netzen
zu dem Benutzerendgerät
während
einer Authentifizierungsbearbeitung sicher verteilt werden, bevor
sich der Benutzer mit dem Netz verbindet. Das heißt die Einstellungsinformations-Verteilungsvorrichtung
der Erfindung kann eine Verteilung der verschiedenen Dienstanforderungen
und die Verteilung der Einrichtung, die in der Vielzahl von Domänen unabhängig durchgeführt werden,
gemeinsam bearbeiten.
-
Da
die Authentifizierungskooperationsprozedur zwischen der Vielzahl
von Netzen verwendet wird, ist des weiteren die Verschlüsselung,
die durch den öffentlichen
Schlüssel
eines Clients durchgeführt wird,
oder die Signatur, die durch jeden Server durchgeführt wird,
in der Nachricht inkludiert, die gegenseitig zwischen den Netzen
gesendet wird, wobei dadurch Abhören
und die Änderung
unmöglich
gemacht werden. Jede Netzdomäne
verwendet die Nachrichtenerweiterung, die die Einstellungsdaten speichern
kann, so, um die Einstellungsdaten, die zu einem Benutzerendgerät eingerichtet
werden sollten, sicher zu verteilen.
-
Gemäß einem
anderen Aspekt der Erfindung wird eine Authentifizierungstransfervorrichtung
vorgesehen, gekennzeichnet durch Inkludieren: einer Empfangseinheit,
die ein elektronisches Zertifikat eines Clients, das für Zugriffsauthentifizierung
verwendet wird, von einem ersten Netz empfängt, das eine Authentifizierung
bei Empfang einer Authentifizierungsanforderung von einem Benutzerendgerät durchführt, das
die Zugriffsauthentifizierung anfordert, durch Verwenden einer Netzzugriffsauthentifizierungsprozedur
zwischen dem Benutzerendgerät und
dem ersten Netz; und einer Bestimmungseinheit, die eine Authentifizierungskooperationsvorrichtung bestimmt,
die mit Bezug auf das elektronisches Zertifikat des Client, das
durch die Empfangseinheit empfangen wird, zu kooperieren hat.
-
Gemäß der Authentifizierungseinstellungs-Transfervorrichtung
der Erfindung, kann, da auf Kooperationsdaten, wie etwa eine IP-Adresse des
Servers (Authentifizierungskooperationsvorrichtung), die durch Server
gemanagt wird, wie etwa einen Erteilungsserver, der ein elektronisches
Zertifikat eines Clients erteilt und der Authentifizierungskooperation
ausführen
sollte, verwiesen wird, eine Authentifizierungskooperationsvorrichtung
in der Netzzugriffsauthentifizierungsprozedur effizient bestimmt
werden. Außerdem
werden die Kooperationsdaten, wie etwa die IP-Adresse, in der Datenbank des
Authentifizierungsservers, der kooperiert, gemanagt, während die
IP-Adresse, URL oder dergleichen direkt in dem elektronischen Zertifikat
des Clients beschrieben wird, oder ein Flag, das dem Server erlaubt,
spezifiziert zu werden, indirekt in dem elektronischen Zertifikat
des Clients beschrieben wird.
-
Gemäß noch einem
anderen Aspekt der Erfindung wird ein Einstellungsinformations-Empfangsprogramm
vorgesehen zum Veranlassen eines Computers, zu funktionieren als:
eine Authentifizierungsanforderungseinheit, die eine Zugriffsauthentifi zierung
zu einem ersten Netz anfordert, durch Verwenden einer Netzzugriffsauthentifizierungsprozedur zwischen
einem Benutzerendgerät
und dem ersten Netz; eine Empfangseinheit, die Einstellungsdaten empfängt, die
zu dem Benutzerendgerät
mit Bezug auf ein anderes Netz eingestellt sind, die von einem anderen
Netz erlangt werden, durch Verwenden der Netzzugriffsauthentifizierungsprozedur
und einer Authentifizierungskooperationsprozedur zwischen einer
Vielzahl von Netzen, die miteinander kooperieren; und eine Einstellungseinheit,
die die Einstellungsdaten, die von der Empfangseinheit empfangen werden,
auf der Basis von Daten sequenziell einstellt, die eine Kooperationsrangfolge
von anderen Netzen anzeigen, inkludiert in dem elektronischen Zertifikat des
Clients.
-
Gemäß dem Einstellungsinformations-Empfangsprogramm
der Erfindung wird in dem Fall, wo es eine Vielzahl von Netzen gibt,
die in einer Authentifizierung miteinander zu kooperieren haben,
eine Einrichtung auf der Basis von Netzinformation, die miteinander
zu kooperieren hat, die durch ein elektronisches Zertifikat (Daten,
die eine Rangfolge der Netze anzeigen, die zu kooperieren haben),
sequenziell durchgeführt.
Als ein Ergebnis wird der Komfort des Benutzers verbessert und die
Richtigkeit von Verteilungsinformation kann in jeder Domäne garantiert werden.
-
Da
wie oben beschrieben die Gültigkeit
von jeder Authentifizierungskooperationsnachricht durch Verifizieren
der Signatur, die durch jedes der Netze durchgeführt wird, verifiziert werden
kann, ist die Benutzereinstellungsinformation, die für eine Dienstanforderung
relevant ist, von jedem der Kooperationsserver sicher verfügbar. Außerdem kann
jeder der Kooperationsserver so eingestellt werden, um eine Einrichtung
für einen
eigenen Server, der das Benutzerendgerät mit einem Dienst versieht,
in der Authentifizierungskooperationsprozedur zwischen der Vielzahl
von Netzen durchzuführen.
-
BESCHREIBUNG
DER ZEICHNUNGEN
-
1 ist
ein erläuterndes
Diagramm, das einen automatischen Einstellungsdienst eines Benutzerendgerätes gemäß der Erfindung
zeigt.
-
2 ist ein erläuterndes Diagramm, das ein Sequenzbeispiel
des automatischen Einstellungsdienstes eines Benutzerendgerätes gemäß der Erfindung
zeigt.
-
3 ist
ein erläuterndes
Diagramm, das einen Funktionsblock und ein System gemäß der Erfindung
zeigt.
-
4 ist
ein erläuterndes
Diagramm, das die Details eines TLS-Protokolls (Client-Hallo) zeigt.
-
5 ist ein erläuterndes Diagramm, das die Details
des TLS-Protokolls (Server fertig) zeigt.
-
6 ist ein erläuterndes Diagramm, das das
detaillierte Beispiel (ISP → RSP)
eines SAML-Protokolls (Anforderung) zeigt.
-
7 ist ein erläuterndes Diagramm, das das
detaillierte Beispiel (RSP → Unternehmensnetz) des
SAML-Protokolls (Anforderung) zeigt.
-
8 ist ein erläuterndes Diagramm, das das
detaillierte Beispiel (Unternehmensnetz → RSP) des SAML-Protokolls (Antwort)
zeigt.
-
9 ist ein erläuterndes Diagramm, das das
detaillierte Beispiel (RSP → ISP)
des SAML-Protokolls (Antwort) zeigt.
-
10 ist ein erläuterndes Diagramm, das das
detaillierte Beispiel eines elektronischen Zertifikates zeigt.
-
11 ist
ein Flussdiagramm, das ein Beispiel eines gesamten Verarbeitungsflusses
eines Sicherheitsservers SS (SS1) zeigt.
-
12 ist
ein Flussdiagramm, das ein Beispiel des gesamten Verarbeitungsflusses
des Sicherheitsservers SS (SS2) zeigt.
-
13 ist
ein Flussdiagramm, das ein Beispiel des gesamten Verarbeitungsflusses
des Sicherheitsservers SS (SS3) zeigt.
-
14 ist
ein Flussdiagramm, das ein Beispiel des gesamten Verarbeitungsflusses
eines Sicherheits-Roaming-Servers SRS (SRS1) zeigt.
-
15 ist
ein Flussdiagramm, das ein Beispiel des gesamten Verarbeitungsflusses
des Sicherheits-Roaming-Servers SRS (SRS2) zeigt.
-
16 ist
ein Flussdiagramm, das ein Beispiel eines gesamten Verarbeitungsflusses
eines VPN-Gateway-Servers VPN zeigt.
-
17 ist
ein Flussdiagramm, das ein Beispiel eines gesamten Verarbeitungsflusses
eines Benutzerendgerätes
EE (EE0) zeigt.
-
18 ist
ein Flussdiagramm, das ein Beispiel des gesamten Verarbeitungsflusses
des Benutzerendgerätes
EE (EE1) zeigt.
-
19 ist
ein Flussdiagramm, das ein Beispiel des gesamten Verarbeitungsflusses
des Benutzerendgerätes
EE (EE2) zeigt.
-
20 ist
ein erläuterndes
Diagramm, das ein Beispiel einer VPN-Schlüsselgenerierungssequenz unter
Verwendung einer Authentifizierungskooperation zeigt.
-
21 ist
eine Tabelle, die eine IP-Adresse des VPN-Gateway-Servers eines
Unternehmens in einer Dienstdatenbank zeigt.
-
22 ist
ein erläuterndes
Diagramm zum Erläutern
eines automatischen Einstellungsdienstes eines Benutzerendgerätes im Stand
der Technik.
-
23 ist ein erläuterndes Diagramm, das ein
Beispiel einer Sequenz des automatischen Einstellungsdienstes eines
Benutzerendgerätes
im Stand der Technik zeigt.
-
DETAILLIERTE
BESCHREIBUNG DER ERFINDUNG
-
Hierin
nachstehend wird der bester Modus zum Ausführen der Erfindung mit Bezug
auf die Zeichnungen beschrieben.
-
<Überblick über Systemfunktion>
-
1 und 2 sind Diagramme, die jedes ein Beispiel
eines Fernzugriffsdienstes und ein Beispiel einer Dienstsequenz
davon gemäß der Erfindung zeigen. 3 ist
ein Funktionsblockdiagramm gemäß der Erfindung.
-
Hierin
nachstehend wird der Überblick über die
Systemfunktion gemäß der Erfindung
mit Bezug auf 3 beschrieben.
-
<1. Externes Netz 2>
-
Ein
externes Netz 2 ist ein Internetdienstanbieter (ISP), der
alle Benutzerendgeräte 4 mit IP-Netzdiensten
versieht, und einen drahtlosen LAN-Zugriffspunkt 6 (WLAN-AP)
usw. anbietet. Außerdem
weist das externe Netz 2 jedem der Benutzerendgeräte 4 eine
IP-Adresse zu, um einen Internet-Zugriffsdienst vorzusehen. Allgemein
hat ein DHCP-Server 8 eine Funktion, die IP-Adresse dynamisch
zuzuweisen, und eine Funktion, einen Speicher-Ziel-URL eines automatischen
Einstellungsskriptes, wie etwa eines Proxy-Servers 10,
zu verteilen. Zusätzlich
zu den Funktionselementen inkludiert das externe Netz 2 gemäß der Ausführungsform
einen Sicherheitsserver 12 (SS), der eine Authentifizierungsfunktion
zum Durchführen
einer Authentifizierungs- und Autorisierungsbearbeitung des Benutzerendgerätes 4,
die in dem Fall notwendig sind, wo der Benutzer den Dienst verwendet,
und eine automatische Einstellungsfunktion des Benutzerendgerätes 4 hat.
-
<2. Privates Netz 14>
-
Ein
privates Netz 14 ist auf ein Organisationsnetz eines Unternehmens,
einer Universität
oder eines Regierungsbüros
gerichtet, welches eine begrenzte Zahl von Benutzern mit einem IP-Netzdienst versieht,
und hat allgemein einen VPN-Gateway-Server (VPN-GW) 16 zum Trennen
des Netzes von einem öffentlichen
Netz wie dem Internet. Um das Benutzerendgerät 4 zu begrenzen,
welches das private Netz 14 verwenden kann, hat das private
Netz 14 außerdem
einen Server mit einer Authentifizierungsfunktion. In der Ausführungsform
wird PKI, was eine öffentliche
Schlüsselinfrastruktur
ist, für
Authentifizierung verwendet, und Authentifizierung wird durch Verwenden
eines elektronischen Zertifikates durchgeführt, das dem Benutzer erteilt
wird. Ein PKI-Server 18 (PKI), der später zu beschreiben ist, wird
in dem privaten Netz 14 als ein Managementserver von PKI
installiert, und ein VPN-Gateway-Server 22 (VPN-GW), der
später
beschrieben wird, wird als ein Gateway für das Benutzerendgerät 4 installiert,
das mit dem privaten Netz 14 von außerhalb durch Verwenden eines
VPN-Protokolls 20 verbindet. Der VPN-Gateway-Server 22 hat
eine Funktion zum Authentifizieren des Benutzers mit dem elektronischen Zertifikat
oder dergleichen. 3 zeigt ein System, in dem der
VPN-Gateway-Server 22 mit einem Sicherheits-Roaming-Netz
verbunden ist, das nachstehend beschrieben wird, sodass ein mobiler
Benutzer indirekt auf das private Netz 14 zugreifen kann.
Hierin nachstehend wird für
eine Beschreibung einer Ausführungsform
der Erfindung ein Unternehmensnetz als ein repräsentatives Beispiel des privaten
Netzes 14 beschrieben.
-
<3. Sicherheits-Roaming-Netz 24>
-
Ein
Sicherheits-Roaming-Netz 24 ist ein Roaming-Dienstanbieter
(RSP), der Sicherheit inkludierend Authentifizierung und Autorisierung
der vielen externen Netze 2 oder der privaten Netze 14 kooperiert.
RSP sieht einen Dienst zum Ausführen
der Verifizierungsfunktion des elektronischen Zertifikates in der
Authentifizierung durch Proxy vor, um die Vertrauensbeziehung zwischen
zwei oder mehr Netzen 102 zu garantieren, in denen zu wandern
ist. Das externe Netz 2 kann als RSP dienen und ein Modus
eines vorgesehenen Dienstes ist nicht begrenzt. In der Ausführungsform
ist das Sicherheits-Roaming-Netz 24 ein Netz 102,
welches den Sicherheits-Roaming-Server 26 (SRS), der später beschrieben
wird, als einen Server hat, der das Roaming von Sicherheit managt.
-
<4. Benutzerendgerät 4>
-
Das
Benutzerendgerät 4 besteht
aus vier Steuereinheiten, die nachstehend beschrieben werden.
-
Zuerst
(1) wird eine Authentifizierungsprotokoll-Steuereinheit
EE28 von einer Netzzugriffsanwendung aufgerufen, die in dem Fall
verwendet wird, wo der Benutzer einen Dienst verwendet, und führt die
Benutzerauthentifizierungsprozedur durch das elektronische Zertifikat
durch. Als Nächstes
(2) wird eine Automatikeinstellungs-Protokollsteuereinheit EE30
von der Authentifizierungsprotokoll-Steuereinheit EE28 aufgerufen
und führt
die Einrichtung in verschiedenen Steuereinheiten auf der Basis der
automatischen Einstellungsinformation (Einstellungsdaten) durch,
die in einer Antwortnachricht gespeichert ist. Dann (3) richtet
eine LAN-Steuereinheit EE32 verschiedene IP-Adressen des Benutzerendgerätes 4,
eines Gateway-Servers, eines DNS-Servers und eines Proxy-Servers 10 ein.
Des weiteren (4) führt eine
Sicherheitssteuereinheit EE34 eine sichere Kommunikation mit dem
VPN-Gateway-Server 22 auf der Basis eines Chiffrierschlüssels oder
eines Authentifizierungsschlüssels
mit einem üblichen
IPsec-Client aus.
-
<5. Sicherheitsserver 12>
-
Der
Sicherheitsserver 12 besteht aus vier Steuereinheiten,
die nachstehend beschrieben werden. Zuerst (1) hat eine Authentifizierungsprotokoll-Steuereinheit
SS36 eine Benutzerauthentifizierungsfunktion durch das elektronische
Zertifikat, eine Verifizierungsfunktion, um das elektronische Zertifikat
zu validieren, und eine Autorisierungsfunktion eines Dienstes. Als
Nächstes
(2) wird eine Automatikeinstellungs-Protokollsteuereinheit SS38 von der
Authentifizierungsprotokoll-Steuereinheit SS36 aufgerufen, und fügt die Einstellungsinformation
(Einstellungsdaten), die durch die Einstellungssteuereinheit gesammelt
werden, zum Durchführen
der verschiedenen automatischen Einrichtung und das kooperierende
Netz 102 zu der Autorisierungsantwortnachricht, die erweitert
wurde, für
eine Verteilung zu dem Benutzer hinzu. Der erweiterte Teil der Autorisierungsantwortnachricht
ist ein ursprünglicher
erweiterter Teil gemäß der Erfindung,
wie in 5 gezeigt wird. Dann (3) managt
eine LAN-Einstellungssteuereinheit SS40 den drahtlosen LAN-Zugriffspunkt 6 in dem
externen Netz 2, und den DHCP-Server 8, und sammelt
geeignete LAN-Einstellung gemäß der Situation
(z.B. die IP-Adresse des Benutzerendgerätes 4, die IP-Adresse
des Gateway und DNS, einen Speicherziel-URL einer Automatikeinstellungs-Skriptdatei des
Proxy-Servers 10 etc.) durch Verwenden eines DHCP-Protokolls
etc. Des Weiteren (4) gibt eine Authentifizierungskooperations-Protokollsteuereinheit SS42
das Netz 102, welches Authentifizierungskooperation der
Benutzerauthentifizierung ausführen sollte,
und Autorisierungsinformation über
ein eigenes Netz, und die generierte Einstellung bekannt, und empfängt ein
Einzelanmeldungs-Authentifizierungsergebnis und Einstellungsinformation
(Einstellungsdaten) von jedem von Authentifizierungskooperationsnetzen.
-
<6. DHCP-Server 8>
-
Der
DHCP-Server 8 hat LAN-Einstellungsfunktionen (die Zuweisung
einer Benutzerendgerät-IP-Adresse,
die Verteilung der IP-Adressen des DNS-Servers und des Gateway-Servers,
die Bekanntgabe eines Speicherziel-URL des automatischen Einstellungsskriptes
des Proxy-Servers 10), die für das Benutzerendgerät 4 notwendig
sind, um auf das Netz 102 zuzugreifen. In der Ausführungsform
ist der DHCP-Server 8 ein normaler DHCP-Server 8, der mit RFC2131 übereinstimmt,
was ein Standard einer Maßnahme
ist, und unterstützt
zusätzlich eine
WPAD-Funktion (eine Option, die auf einen Speicherziel-URL des automatischen
Einstellungsskriptes von Proxy-Server 10 zugreift), die
normalerweise durch den DHCP-Server 8 von Microsoft Corporation
unterstützt
wird. Das DHCP-Protokoll 44 wird zwischen dem Sicherheitsserver 12 und
dem DHCP-Server 8 verwendet.
-
<7. Sicherheits-Roaming-Server 26>
-
Der
Sicherheits-Roaming-Server 26 besteht aus zwei Steuereinheiten
und einer Datenbank, die nachstehend beschrieben wer den. Zuerst
(1) bestimmt eine Dienstdatenbank 46 (Server-DB)
die IP-Adresse des Servers (Authentifizierungskooperationsvorrichtung),
der Authentifizierungskooperation durchführen sollte, durch Verwenden
der Information in einem elektronischen Zertifikat des Clients als
einen Suchschlüssel. 3 stellt
den Sicherheitsserver 12, den Sicherheits-Roaming-Server 26 und
den VPN-Gateway-Server 22 als die Authentifizierungskooperationsvorrichtung
beispielhaft dar. (2) Eine Authentifizierungskooperations-Protokollsteuereinheit
SRS48 (i) empfängt
eine Einzelanmeldungs-Authentifizierungsanforderung und Antwort
inkludierend die Benutzerauthentifizierung und Autorisierungsergebnis
und die Einstellungsinformation, die von der Authentifizierungskooperations-Protokollsteuereinheit
SS42 des Sicherheitsservers 12 oder der Authentifizierungskooperations-Protokollsteuereinheit
VPN 50 des VPN-Gateway-Servers 22 übertragen
wurden, (ii) bestimmt einen Server, der der Authentifizierungskooperation
unterzogen werden sollte, auf der Basis der Server-Adressinformation
innerhalb des elektronischen Zertifikates des Clients oder der Dienstdatenbank 46 (Dienst-DB),
und (iii) leitet die Benutzerauthentifizierung und das Autorisierungsergebnis
und die Einstellungsinformation zu dem Server weiter, der bestimmt
wurde, der Authentifizierungskooperation unterzogen zu werden. Dann (3)
hat eine Authentifizierungsprotokoll-Steuereinheit SRS52 eine Benutzerauthentifizierungsfunktion
basierend auf dem elektronischen Zertifikat, eine Verifizierungsfunktion,
um das elektronische Zertifikat zu validieren, und eine Autorisierungsfunktion
des Dienstes.
-
<8. VPN-Gateway-Server 22>
-
Ein
VPN-Gateway-Server 22 besteht aus zwei Steuereinheiten,
die nachstehend beschrieben werden. Zuerst (1) empfängt eine
Authentifizierungskooperations-Protokollsteuereinheit VPN 50 die
Einzelanmeldungs-Authentifizierungsanforderung inkludie rend das
Authentifizierungs- und Autorisierungsergebnis und die Einstellungsinformation von
jedem der Authentifizierungskooperationsnetze, wie etwa den Sicherheits-Roaming-Server 26,
und überträgt eine
Einzelanmeldungs-Authentifizierungsantwort inkludierend das Authentifizierungsergebnis und
die Einstellungsinformation in dem VPN-Gateway-Server 22 zu
dem Sicherheits-Roaming-Server 26. Als Nächstes (2)
wird eine VPN-Steuereinheit 54 von der Authentifizierungsprotokoll-Steuereinheit VPN
aufgerufen, führt
Benutzerauthentifizierung durch, generiert und verteilt den VPN-Schlüssel, der die
Authentifizierung und Verschlüsselung
für das Paket
des Benutzers durchführt,
und führt
Zugriffssteuerung und Verschlüsselungskommunikation
mit dem VPN-Schlüssel
wie in dem üblichen
VPN-Gateway-Server 22 durch. In der Ausführungsform
ist der VPN-Gateway-Server 22 der VPN-Gateway-Server 16,
der mit IPsec übereinstimmt,
spezifiziert durch RFC2401 (Sicherheitsarchitektur für das Internetprotokoll),
was ein Standard einer Maßnahme
ist.
-
<9. PKI-Server 18>
-
Ein
PKI-Server 18 besteht aus einer Managementfunktion, die
das PKI elektronische Zertifikat erteilt und außer Kraft setzt, und einer
PKI-Datenbank 56 (PKI-DB), die das PKI elektronische Zertifikat
sichert. Die Form des elektronischen Zertifikates ist erweitert,
um Information zu speichern, die das Netz 102 anzeigt,
welches in dem Fall von Authentifizierung des Benutzerendgerätes 4 kooperieren
sollte, in der Form, spezifiziert durch RFC3280 von IETF. In der
Ausführungsform
speichert die Form eines elektronischen Zertifikates ein Identifikationsflag,
das die IP-Adresse des VPN-Gateway-Servers 22 anzeigt,
und die Dienstautorisierungsinformation, die Zugriffsfreigabebedingungen
(Zeit, Wochentag etc.) anzeigt.
-
<10. Einzelanmeldungs-Protokoll 58>
-
Ein
Einzelanmeldungs-Protokoll 58 ist ein Authentifizierungs- und Autorisierungskooperationsprotokoll,
das zwischen dem Sicherheitsserver 12, dem Sicherheits-Roaming-Server 26 und
dem VPN-Gateway-Server 22 verwendet wird. Das Einzelanmeldungs-Protokoll 58 wird
verwendet, um das Authentifizierungs- und Autorisierungsergebnis
und die Sicherheitseinrichtung zu übertragen, wenn das Benutzerendgerät 4 des
mobilen Benutzers den öffentlichen
drahtlosen LAN-Dienst verwendet. In der Ausführungsform der Erfindung wird
die Verwendung von SAML angenommen, was das typische Einzelanmeldungs-Protokoll 58 ist.
Es wird ein Informationselement in der SAML-Antwortnachricht beschrieben, definiert
durch das SAML-Protokoll bei Übertragung der
Sicherheitseinstellungsinformation, die in der Ausführungsform
der Erfindung benötigt
wird. Das beschriebene Informationselement ist Information, die
eine VPN-Einrichtung betrifft.
-
<11. TLS-Protokoll 60>
-
Ein
TLS-Protokoll 60 ist ein Authentifizierungsprotokoll, das
zwischen dem Benutzerendgerät 4,
dem drahtlosen LAN-Zugriffspunkt 6 und dem Sicherheitsserver 12 verwendet
wird. Wenn das Benutzerendgerät 4 den öffentlichen
drahtlosen LAN-Dienst verwendet, überträgt das TLS-Protokoll 60 zu
dem Benutzerendgerät 4 (i)
das Serverzertifikat für
das Benutzerendgerät 4,
das den Sicherheitsserver 12 oder den drahtlosen LAN-Zugriffspunkt 6 authentifiziert,
und (ii) die automatische Einstellungsinformation (Einstellungsdaten).
In der Ausführungsform
werden (i) ein EAP-TLS-Protokoll, ein EAP-TTLS-Protokoll und ein
PEAP-Protokoll, die zwischen dem Benutzerendgerät 4 und dem drahtlosen
LAN-Zugriffspunkt 6 durch IEEE 802.1x unterstützt werden,
angenommen, und (ii) wird ein RADIUS-Protokoll (Authentifizierungsprotokoll 62),
das das EAP zwischen dem drahtlosen LAN-Zugriffspunkt 6 und
dem Sicherheitsserver 12 inkludiert, angenommen. Die Übertragung
der automatischen Einstellungsinformation, die in der Ausführungsform
der Erfindung erforderlich ist, wird durch Verwenden der TLS-Erweiterung,
die durch RFC3546 von IETF, die eine Standardisierungsorganisation
ist, spezifiziert ist, und Trennen und Beschreiben des Informationselementes
für eine
neue automatische Einrichtung in der Erweiterungsnachricht für jedes
von Netzen, die kooperieren, realisiert. Das beschriebene Informationselement
ist die Information (Einstellungsdaten) bezogen auf eine LAN-Einstellung
der IP-Adresse etc., und die Sicherheitseinrichtung, wie etwa ein Chiffrierschlüssel, der
durch IPsec angewendet wird.
-
<Fernzugriffsdienstmodell>
-
1 zeigt
ein Fernzugriffsdienstmodell gemäß der Ausführungsform.
Dies ist ein Dienstmodell, durch das ein mobiler Benutzer, der zu
einem Unternehmen gehört,
unter Verwendung einer öffentlichen Schlüsselinfrastruktur
(PKI) sicher auf ein Unternehmensnetz von einer Vielzahl von externen öffentlichen
drahtlosen LAN-Diensten zugreift. Damit ein ISP, der eine Vielzahl
von öffentlichen
drahtlosen LAN-Diensten managt, zum RSP, was ein Roaming-Anbieter
für Authentifizierungs-Roaming
ist, angeschlossen werden kann und eine gegenseitige Identität garantieren
kann, erteilt als eine Voraussetzung der ISP gegenseitig das Kreuzzertifikat,
das durch PKI verwendet wird. Damit das Unternehmen wiederum eine
Vielzahl von öffentlichen
drahtlosen LAN-Diensten über
RSP verwenden kann, ist das Unternehmen zu RSP angeschlossen und
erteilt gegenseitig das Kreuzzertifikat. Das Unternehmen muss zu
dem ISP nicht im voraus angeschlossen sein. Das Modell einer derartigen
PKI wird allgemein "Brückenmodell" genannt. Die Dienstsequenz
gemäß der Erfindung
wird in 2 gezeigt.
-
Hierin
nachstehend werden die Details der Ausführungsform mit Bezug auf 1 beschrieben.
-
Das
Unternehmen hat eine Authentifizierungsbasis durch PKI. Der PKI-Server 18 hat
das elektronische Zertifikat des Clients zum Garantieren einer Identität zu den
Benutzern, die Angestellte sind, und verschiedenen Arten von Servern
((1) von 1) erteilt. Außerdem wird
ein Unternehmensroutenzertifikat zum Verifizieren der Gültigkeit
des elektronischen Zertifikates in dem Unternehmen in dem Benutzerendgerät 4 als
eine Voraussetzung installiert. Das Unternehmen hat im voraus das
elektronische Zertifikat für
Fernzugriffsauthentifizierung zu dem Benutzer erteilt, der externe
Aktivitäten
durchführt,
wie etwa ein Geschäft.
Dienstautorisierungsinformation, wie etwa Fernzugriffsdienstinformation
(ein Dienstserveridentifikator, Zugriffsfreigabedatum und Zeit), und
SSID des öffentlichen
drahtlosen LAN-Dienstes, der gebunden wurde, sind in dem elektronischen
Zertifikat ausgefüllt.
Da das elektronische Zertifikat durch einen Aussteller unterzeichnet
wurde, und die Änderung
unmöglich
ist, kann der mobile Benutzer im Gegensatz zu der Absicht des Unternehmens
daran gehindert werden, einen Fernzugriffsdienst zu verwenden. Außerdem wird
das elektronische Zertifikat direkt in dem Benutzerendgerät 4 des
mobilen Benutzers gespeichert, oder wird in dem Benutzerendgerät 4 durch
eine externe Vorrichtung, wie etwa eine IC-Karte gespeichert.
-
In
diesem Fall wird SSID des öffentlichen drahtlosen
LAN-Dienstes innerhalb
des elektronischen Zertifikates durch die Automatikeinstellungs-Protokollsteuereinheit
EE30 extrahiert und wird automatisch zu der LAN-Steuereinheit EE32,
die Zugriff zu dem drahtlosen LAN steuert, als eine Vorgabe eingestellt.
Deshalb muss sich der Benutzer der vorherigen Einrichtung nicht
bewusst sein.
-
<Verarbeitung von EE0>
-
Der
Verarbeitungsfluss des Benutzerendgerätes 4 wird in 17 (EE0)
gezeigt. SSID (drahtlose LAN-Einstellung) des Clientzertifikates
wird erfasst (S60), und es wird beurteilt, ob die drahtlose LAN-Einstellung
eines Betriebssystems (OS) des Benutzerendgerätes 4 SSID enthält, die
von dem Clientzertifikat erfasst wurde (S61). Wenn die drahtlose LAN-Einstellung
SSID enthält,
wird die Einstellungsbearbeitung von SSID abgeschlossen. Wenn die drahtlose
LAN-Einstellung SSID nicht enthält,
wird SSID zu der drahtlosen LAN-Einstellung vom OS des Benutzerendgerätes 4 eingestellt
(S62, (2) von 1).
-
<Verarbeitung von EE1>
-
Der
Verarbeitungsfluss des Benutzerendgerätes 4 wird in 18 (EE1)
gezeigt. Das Benutzerendgerät 4 erfasst
SSID in dem Funkfeuer, welches der drahtlose LAN-Zugriffspunkt 6 sendet
(S63). Es wird beurteilt, ob eine drahtlose LAN-Einstellung vom OS
des Benutzerendgerätes 4 die
erfasste SSID enthält
(S64). Wenn die drahtlose LAN-Einstellung die erfasste SSID enthält, beginnt
das Benutzerendgerät 4 eine
Netzzugriffsauthentifizierungs- (EAP-Authentifizierung) Prozedur
(S66, (3) bis (5) von 1). Diese Verarbeitung ist in
Mehrzweck- OS's enthalten, wie
etwa WindowsXP. Wenn sich die erfasste SSID von einer drahtlosen
LAN-Einstellung des Benutzerendgerätes 4 unterscheidet,
stellt das Benutzerendgerät 4 SSID
eines Funkfeuers als eine drahtlose LAN-Einstellung vom OS eines
Clientendgerätes
ein (S65).
-
Wenn
das Benutzerendgerät 4 TLS_start empfängt, wird
als Nächstes
der Automatikeinstellungs-Roaming-Dienst des Clientzertifikates
erfasst (S67), "7" wird zu dem Erweiterungstyp
des erweiterten Teils von TLS eingestellt (Client-Hallo) (S68, 4),
und es wird eine TLS- (Client-Hallo) Nachricht zu dem externen Netz 2 übertragen
(in der Ausführungsform
der Sicherheitsserver 12 durch den drahtlosen LAN-Zugriffspunkt
6) (S69, (3) bis (5) in 1).
-
<Verarbeitung von SS1>
-
Der
Verarbeitungsfluss des Sicherheitsservers 12 wird in 11 (SS1)
gezeigt. Als Nächstes empfängt der
Sicherheitsserver 12 eine TLS- (Client-Hallo) Nachricht
von dem Benutzerendgerät 4 (S1,
(5) von 1). Da das elektronische Zertifikat, das
durch den Sicherheitsserver 12 empfangen wurde, nicht ein
elektronisches Zertifikat ist, das durch den ISP erteilt wird, wird
die Gültigkeit
des elektronischen Zertifikates durch Verwenden des Zertifikatszertifizierungsprotokolls 64 (SCVP)
und Abfragen der Authentifizierungs-Protokollsteuereinheit SRS52
von RSP über
Gültigkeit
(S2) verifiziert. Als Nächstes
erfasst der Sicherheitsserver 12 eine Automatikeinstellungs-Roaming-Dienstanforderung
(Erweiterungstyp = 7) von dem erweiterten Teil einer TLS- (Client-Hallo)
Nachricht (S3), und beurteilt, ob es eine Endgerät-Automatikeinstellungs-Roaming-Funktion
gibt oder nicht (S4). Wenn es eine Endgerät-Automatikeinstellungs-Roaming-Funktion
(Erweiterungstyp = 7) gibt, werden die Serverzertifikat-Verifizierungsdaten
in dem Bereich gespeichert, der in der Server-Hallo-Nachricht in dem
TLS-Protokoll 60 erweitert ist, und die TLS(Server-Hallo)
Nachricht wird zu dem Benutzerendgerät 4 durch Verwenden
der Schutzfunktion von TLS (S6, S7) sicher zurück gesendet. Wenn die automatische
Einrichtung der Seite von Netzwerk 102 nicht ausgeführt werden
kann (wenn die Endgerät-Automatikeinrichtungs-Roaming-Funktion
ausgeschaltet ist), wird die Verarbeitung auf der Basis einer Authentifizierungsprozedur NG
durchgeführt
(S5).
-
Die
Netzzugriffsauthentifizierung wird auf der Basis von Standard IEEE
802.1x und der TLS-Authentifizierungsprozedur durchgeführt. Der
drahtlose LAN-Zugriffspunkt 6 greift zeitweilig Zugriffe
mit Ausnahme der Authentifizierungsanforderung von dem Benutzerendgerät 4 auf
der Basis der TLS-Authentifizierungsprozedur ab. Die LAN-Steuereinheit
EE32 des Benutzerendgerätes 4 fordert
die Serverauthentifizierung von dem drahtlosen LAN-Zugriffspunkt 6 an,
um den verbundenen drahtlosen LAN-Zugriffspunkt 6 zu validieren.
Unter den gegenwärtigen
Umständen
ersetzt der drahtlose LAN-Zugriffspunkt 6 die Anforderung
von einem Benutzer durch das RADIUS-Protokoll und transferiert das
ersetzte RADIUS-Protokoll zu dem Sicherheitsserver 12 mit
der Vertrauensbeziehung durch einen gemeinsam genutzten Schlüssel oder
dergleichen im voraus. Die Authentifizierungsprotokoll-Steuereinheit
SS36 des Sicherheitsservers 12 überträgt das Serverzertifikat zu
dem Benutzerendgerät 4 gemäß der Serverauthentifizierungsanforderung.
-
Um
das Serverzertifikat zu verifizieren, ist es gewöhnlich notwendig, dass das
selbst unterzeichnete Zertifikat (Root-Zertifikat) einer Erteilungsbehörde (CA,
issue office), die das Serverzertifikat erteilt hat, in dem Benutzerendgerät 4 gespeichert
wird. Da das Routenzertifikat einer typischen elektronischen Zertifikatserteilungsorganisation,
wie etwa VerSign, auf das OS des Benutzerendgerätes 4 oder dergleichen
im voraus eingestellt ist, kann Verifizierung durch das Benutzerendgerät 4 durchgeführt werden. In
der Ausführungsform
der Erfindung unterstützt
die Authentifizierungsprotokoll-Steuereinheit
SS36 des Sicherheitsservers 12, gezeigt in 3,
die TLS-Erweiterung, die durch RFC3546 von IETF, welches eine Standardisierungsorganisation
ist, spezifiziert wird, verifiziert ein Serverzertifikat auf der
Seite des externen Netzes 2, inkludiert das Verifizierungsergebnis
in der TLS-Erweiterung
und überträgt die Nachricht
zu dem Benutzerendgerät 4.
Das Verifizierungsergebnis wird durch die Authentifizierungsprotokoll-Steuereinheit
EE28 bestätigt,
nachdem die LAN-Steuereinheit EE32 der Seite des Benutzerendgerätes 4 die Nachricht
empfangen hat, wobei dadurch die Serverauthentifizierung ermöglicht wird. Um
die Clientauthentifizierung durchzuführen, der nach Authentifizierung
und Autorisierung zum ISP anfragt, der den drahtlosen LAN-Dienst
anbietet, überträgt danach
die Authentifizierungsprotokoll-Steuereinheit EE28 des Benutzerendgerätes 4 das
Clientzertifikat, das von dem Unternehmens-PKI-Server erteilt wurde,
zum ISP ((4) von 1).
-
<Verarbeitung von SS2>
-
Der
Verarbeitungsfluss des Sicherheitsservers 12 wird in 12 (SS2)
gezeigt. Der Sicherheitsserver 12, der das Clientzertifikat
empfangen hat, authentifiziert den Benutzer durch Verifizieren des
Clientzertifikates durch die Authentifizierungsprotokoll-Steuereinheit
SS36, und genehmigt den Dienst (S8, (5) von 1). Da das
elektronische Zertifikat, das von dem Benutzerendgerät 4 empfangen wird,
nicht ein elektronisches Zertifikat ist, das durch einen ISP erteilt
wird, wird seine Gültigkeit
durch Abfragen des PKI-Servers 18 eines Unternehmens über die
Gültigkeit
durch die Authentifizierungsprotokoll-Steuereinheit SRS52 vom RSP
mit der Brücken-CA-Funktion von PKI,
spezifiziert nach RFC3280 von IETF, was eine Standardorganisation ist,
durch Verwenden des Zertifikatsverifizierungsprotokolls 64 (SCVP)
wie ein Serverzertifikat (S9) verifiziert. Die Authentifizierungsprotokoll-Steuereinheit SRS52
vom RSP arbeitet als ein Weitergabeserver oder ein Ersatzserver
zum Verifizieren des Zertifikates. Wenn RSP die Verfallsinformation über das
elektronische Zertifikat unterhält,
das durch den PKI-Server 18 des Unternehmens gemanagt wird,
wird die Verifizierung des Zertifikates von dem Sicherheitsserver 12 nur
durch Befragen von RSP abgeschlossen. Nach der Verifizierung ist
die Netzzugriffsauthentifizierung auf der Seite des ISP abgeschlossen.
-
Die
Authentifizierungsprotokoll-Steuereinheit SS36 des Sicherheitsservers 12 gibt
das Authentifizierungs- und Autorisierungsergebnis zu der Automatikeinstellungs-Protokollsteuereinheit
SS38 aus (S10). Die Authentifizierungsprotokoll-Steuereinheit SS36 führt den LAN-Einstellungsmanagementteil
SS von der Automatikeinstellungs-Protokollsteuereinheit SS38, um
eine LAN-Einstellung zu erhalten, die IP-Adressen des Benutzerendgerätes 4,
DNS, des Gateways usw. von dem DHCP-Server 8 etc. enthält, bevor
das Authentifizierungsergebnis zu dem Benutzer zurück gesendet
wird (S11). Dann beurteilt die Automatikeinstellungs-Protokollsteuereinheit
SS38, ob es die Automatikeinstellungs-Roaming-Dienstanforderung
(Erweiterungstyp = 7) gibt, mit der Tatsache, dass das Benutzerendgerät 4 einen
Sicherheits-Roaming-Dienst anfordert, wobei die Tatsache der TLS-Erweiterung
hinzugefügt
wird, oder nicht (S12). Die Automatikeinstellungs-Protokollsteuereinheit
SS38 befragt die Authentifizierungskooperations-Protokollsteuereinheit
SS42, um die Einstellungsinformation über das Netz 102,
welches kooperiert, oder über
den Dienst zu sammeln, durch Verwenden des Authentifizierungskooperationsprotokolls.
Wenn die Sicherheitsdienst-/Sicherheits-Roaming-Dienstanforderung
nicht ausgeführt
wurde (d.h. Erweiterungstyp ist nicht "6" oder "7"), wird die LAN-Einstellungsinformation
in einem Bereich gespeichert, der innerhalb der Serverbeendigungsnachricht
in dem TLS-Protokoll 60 erweitert ist, und dann zu dem
Benutzer durch eine Verwendung einer Schutzfunktion von TLS sicher
zurück
gesendet (von S13 bis S15).
-
Die
Authentifizierungskooperations-Protokollsteuereinheit SS42 des Sicherheitsservers 12 beurteilt
das Netz 102, welches kooperiert, oder den Dienst mit Bezug
auf die Dienstautorisierungsinformation, die in dem elektronischen
Zertifikat des Clients beschrieben ist. Um Einstellungsinformation über sie
zu sammeln, wird die Sicherheits-Roaming-Dienstanforderung inkludierend
das Authentifizierungs- und Autorisie rungsergebnis des Benutzerendgerätes 4 und
die LAN-Einstellung, die Einstellungsinformation über einen
ISP ist, dem Authentifizierungskooperationsserver in Dienstautorisierungsinformation
gegeben ((8) von 1). In diesem Beispiel wird
eine Roaming-Dienstanforderung zu dem Sicherheits-Roaming-Server 26 vom
RSP gegeben, der diese Roaming-Verarbeitungen gemeinsam gemäß der Automatikeinstellungs-Dienstanforderung (Erweiterungstyp
= 7, 4), gezeigt in dem TLS-Erweiterungsteil, durchführt. Speziell
wird unter Verwendung des SAML-Protokolls,
welches eine Standard-Einzelanmeldungs-Nachricht ist, Roaming zu einer
Autorisierungsentscheidungsabfrage in der SAML-Anforderungsnachricht
beschrieben, um eine Dienstanforderung vorzusehen (S16, 6). (i) die Benutzerauthentifizierung
und Autorisierungsinformation, alle TLS-Authentifizierungsnachrichten
und (ii) die LAN-Einstellungsinformation werden einer Aussage hinzugefügt, die
das Netzzugriffsauthentifizierungsergebnis in ISP anzeigt, und diese
Stücke von
Information werden übertragen
(von S17 bis S19). Außerdem
enthält
die SAML-Nachricht das elektronische Zertifikat des Clients. Die
SAML-Nachricht ist durch die elektronische Signatur vom ISP und Verschlüsselung
geschützt.
-
<Verarbeitung von SRS1>
-
Der
Verarbeitungsfluss des Sicherheits-Roaming-Servers 26 wird
in 14 (SRS1) gezeigt. Der Sicherheits-Roaming-Server 26 vom
RSP empfängt die
SAML-Nachricht, die eine Sicherheits-Roaming-Dienstanforderung ist,
in der Authentifizierungskooperations-Protokollsteuereinheit SRS48, und
bestätigt
die Gültigkeit
der Nachricht durch elektronische Signatur (S30). In der Authentifizierungskooperations-Protokollsteuereinheit
SRS48 wird eine Kooperation des spezifizierten Netzes 102 und
eines Dienstes mit Bezug auf die Dienstautorisierungsinformation
gestartet, die durch das elektronische Zertifikat des Clients beschrieben
wird, das in der SAML-Nach richt enthalten ist (S31, (9) und (10) von 1).
Speziell wird, wie in 7 gezeigt, eine Durchführung von
VPN, um auf das Unternehmensnetz zuzugreifen, in dem elektronischen
Zertifikat des Clients beschrieben. Die Authentifizierungskooperations-Protokollsteuereinheit
SRS48 (i) extrahiert die IP-Adresse des VPN-Gateway-Servers 22 des
gemanagten Unternehmens im voraus in der Dienstdatenbank 46 im
RSP von dem VPN-Serverflag der Information in dem elektronischen
Zertifikat, und (ii) überträgt die SAML-Nachricht
inkludierend das Netzzugriffsauthentifizierungs- und Autorisierungsergebnis
und die LAN-Einstellungsinformation in dem Benutzerendgerät 4 zu
dem VPN-Gateway-Server 22, und (iii) erteilt eine VPN-Verbindungs-
(Schlüsselaustausch)
Anforderung (S32 bis S34, (10) von 1). 21 ist
eine Tabelle, die die IP-Adresse des VPN-Gateway-Servers 22 des
Unternehmens in der Dienstdatenbank 46 zeigt. Die SAML-Nachricht
wird durch die elektronische Signatur vom RSP und Verschlüsselung
geschützt.
Obwohl das Netz 102, welches kooperiert, nur eines der
VPN-Gateway-Server 22 des
Unternehmens in der Ausführungsform
ist, dient in dem Fall, wo eine Vielzahl von VPN-Gateway-Servern
vorgesehen ist, der Sicherheits-Roaming-Server 26 als ein
zentraler Server, und kooperiert einer nach dem anderen unter Verwendung
eines Authentifizierungskooperationsprotokolls, wobei dadurch Kooperation
mit einer Vielzahl von Servern erlaubt wird. In dieser Situation
wird die Reihenfolge einer Kooperation wichtig und wird auch in
dem elektronischen Zertifikat des Clients beschrieben, und die Richtungen,
denen gefolgt werden kann. Wenn der Server ein Server (Authentifizierungskooperationsvorrichtung)
mit der Authentifizierungskooperations-Protokollsteuereinheit ist,
ist auch Kooperation in einer Weitergabeweise möglich.
-
<Verarbeitung von VPN>
-
Der
Verarbeitungsfluss des VPN-Gateway-Servers 22 wird in VPN
von 16 gezeigt. Der VPN-Gateway-Server 22 des
Unternehmens empfängt
die SAML-Nachricht, die die VPN-Verbindungsanforderung ist, gezeigt
in 7, in der Authentifizierungskooperations-Protokollsteuereinheit
VPN 50, und bestätigt
die Gültigkeit
einer Nachricht durch eine elektronische Signatur (S50). In der
Authentifizierungskooperations-Protokollsteuereinheit VPN 50 wird
eine Benutzerauthentifizierung zuerst mit Bezug auf das Ergebnis
(Aussage) von Netzzugriffsauthentifizierung und Autorisierung des
Benutzers als Reaktion auf die VPN-Verbindungsanforderung, gezeigt durch
die SAML-Nachricht, durchgeführt
(S51, (11) von 1). Als Nächstes werden die Schlüsselgenerierung
und eine Einrichtung für
VPN-Kommunikation entsprechend dem Benutzerendgerät 4 zu
der VPN-Steuereinheit 54 mit Bezug auf die LAN-Einstellungs-
(IP-Adresse) Information in dem Benutzerendgerät 4, enthalten in
der Aussage, angefordert (S52). Die VPN-Steuereinheit 54 führt eine
sichere Kommunikationseinrichtung von IPsec etc. durch, und überträgt die Einrichtung
der Sicherheit (IP-Adresse des VPN-Servers, den Chiffrierschlüssel und
die interne IP-Adresse des VPN-Clients etc.), die zu dem Benutzerendgerät 4 übertragen
wird, was eine VPN-Client-Seite ist, zu der Authentifizierungskooperations-Protokollsteuereinheit
VPN 50 (S53). Die Authentifizierungskooperations-Protokollsteuereinheit VPN 50 überträgt die SAML-Antwortnachricht,
die die Sicherheitseinrichtung und das Ergebnis der Benutzerauthentifizierung
und Autorisierung durch den VPN-Gateway-Server 22 in der
SAML-Antwortnachricht
inkludiert, zu dem Sicherheits-Roaming-Server 26 vom RSP
(S54 bis S57, 8 und (13) von 1).
In dieser Situation wird Sicherheit durch Verschlüsseln der
Sicherheitseinrichtung innerhalb der Authentifizierungs- und Autorisierungsergebnis- (Aussage)
Information mit einem öffentlichen
Schlüssel
des Benutzers geschützt
(S55, (12) von 1). Außerdem wird die SAML-Nachricht
durch die elektronische Signatur des Unternehmens und Verschlüsselung
ge schützt.
Eine Verarbeitungspriorität der
Information, die zu dem Benutzerendgerät 4 einzustellen ist,
wird gemäß der Verarbeitungsprioritäts-Einstellungsrichtlinie
bestimmt, die im voraus klassifiziert wurde. Der VPN-Einrichtung,
die von dem VPN-Gateway-Server 22 erhalten wird, wird eine
Priorität "A" gegeben, sodass Einstellungsverarbeitung
zuerst ausgeführt
werden kann. Wenn es Einstellungsinformation über eine Vielzahl von Diensten
gibt, wird die Einstellungsverarbeitungspriorität von jeder Information untersucht
und es wird eine Verarbeitungsrangfolge zu der Information der gleichen
Priorität
auf der Basis einer vorbestimmten Verarbeitungsrangfolgen-Einstellungsrichtlinie
bestimmt. Die Werte einer Verarbeitungspriorität und einer Verarbeitungsrangfolge
werden in der SAML-Antwortnachricht beschrieben.
-
<Verarbeitung von SRS2>
-
Der
Verarbeitungsfluss des Sicherheits-Roaming-Servers 26 wird
in 15 (SRS2) gezeigt. Der Sicherheits-Roaming-Server 26 vom
RSP empfängt die
SAML-Antwortnachricht in der Authentifizierungskooperations-Protokollsteuereinheit
SRS48, und bestätigt
die Gültigkeit
einer Nachricht durch elektronische Signatur (S35). In der Authentifizierungskooperations-Protokollsteuereinheit
SRS48 wird als eine Antwort der Sicherheits-Roaming-Dienstanforderung
vom ISP die Information in der SAML-Antwortnachricht erfolgreich
sein und wird zu dem Sicherheitsserver 12 vom ISP übertragen (S36
bis S40, 9 und (14) von 1).
Die SAML-Nachricht wird durch die elektronische Signatur, durchgeführt durch
RSP, und die Verschlüsselung geschützt. Wenn
der Server mit einer Vielzahl von Netzen 102 kooperiert
und es eine Vielzahl von Einstellungsinformation gibt, wird das
Ergebnis (Aussage) der Authentifizierung und Autorisierung inkludierend
jede Einstellungsinformation in einer SAML-Nachricht eines nach
dem anderen angeordnet, und es wird eine Antwort durchgeführt.
-
<Verarbeitung von SS3>
-
Der
Verarbeitungsfluss des Sicherheitsservers 12 wird in 13 (SS3)
gezeigt. Der Sicherheitsserver 12 des ISP empfängt die
SAML-Antwortnachricht in der Authentifizierungskooperations-Protokollsteuereinheit
SS42, und bestätigt
die Gültigkeit der
Nachricht durch eine elektronische Signatur (S20). In der Authentifizierungskooperations-Protokollsteuereinheit
SS42 werden die Sicherheitseinrichtung und die LAN-Einstellung,
die empfangen und verschlüsselt
wurden, zu der Automatikeinstellungs-Protokollsteuereinheit SS38
gesendet, um diese Einrichtungen zu dem Benutzerendgerät 4 zu übertragen.
Die Automatikeinstellungs-Protokollsteuereinheit SS38 extrahiert
die Einstellungsinformation für
jede Ressource innerhalb von SAML (Antwort) (S24). Dann speichert
die Automatikeinstellungs-Protokollsteuereinheit
SS38 die Einstellungsinformation sequenziell in dem erweiterten
Bereich in der Serverbeendigungsnachricht in dem TLS-Protokoll 60 für jedes
Netz 102 oder Dienst, und antwortet zu dem Benutzerendgerät 4 sicher
durch die Authentifizierungsprotokollsteuereinheit SS36 durch Verwenden
der Schutzfunktion von TLS als eine Antwort der Netzzugriffsauthentifizierung
(S24 bis S26, (15) von 1). Wenn die Antwort des Sicherheitsdienstes
NG in der SAML-Antwortnachricht enthalten ist, empfängt der
Benutzer eine Antwort als eine Benutzerauthentifizierung NG auf
der Basis der TLS-Prozedur (S22, S23). Außerdem wird in dem Fall von
NG eine Anforderung, die die IP-Adresse des erlangten Benutzerendgerätes 4 öffnet, von
der Automatikeinstellungs-Protokollsteuereinheit SS38 zu der LAN-Einstellungssteuereinheit
SS40 gegeben. Die TLS-Nachricht wird in dem RADIUS-Protokoll gespeichert
und zu dem drahtlosen LAN-Zugriffspunkt 6 übertragen,
und die Kommunikation, die auf der Basis des Authentifizierungsergebnisses
des Benutzers unterbrochen wurde, wird in dem drahtlosen LAN-Zugriffspunkt 6 geöffnet. Außerdem wird Information
zu dem Benutzerendgerät 4 durch
Verwenden einer Einheit übertragen,
die durch IEEE 802.1x spezifiziert ist. Eine Verarbeitungspriorität der LAN-Einstellungsinformation,
die zu dem Benutzerendgerät 4 durch
den ISP einzustellen ist, wird gemäß der Verarbeitungsprioritäts-Einstellungsrichtlinie
bestimmt, die im voraus klassifiziert wurde. In dieser Situation
wird, wenn die Einstellungsverarbeitungspriorität von jeder Information untersucht
wird und die Information der gleichen Priorität existiert, eine Verarbeitungsrangfolge
auf der Basis der vorbestimmten Verarbeitungsrangfolgen-Einstellungsrichtlinie
bestimmt. Außerdem
folgt die Einstellungsinformation, die durch SAML empfangen wird,
der Verarbeitungspriorität
und Verarbeitungsrangfolge, die in der empfangenen SAML-Nachricht
beschrieben werden. Die Werte von einer Verarbeitungspriorität und der
Verarbeitungsrangfolge werden in der Prioritätseinrichtung von jedem TLS-Erweiterungsbereich
beschrieben.
-
<Verarbeitung von EE2>
-
Der
Verarbeitungsfluss des Benutzerendgerätes 4 wird in 19 (EE2)
gezeigt. Das Benutzerendgerät 4 empfängt die
TLS-Nachricht durch
die Authentifizierungsprotokollsteuereinheit EE28, und führt eine
Netzzugriffsauthentifizierungs- (EAP-Authentifizierung) Prozedur bis zum
Abschluss durch (S71). Die Authentifizierungsprotokollsteuereinheit EE28
erfasst den Automatikeinstellungs-Roaming-Dienst (Erweiterungstyp
= 7) von einem TLS- (Server fertig) Erweiterungsteil (S72). Als
Nächstes überträgt die Authentifizierungsprotokollsteuereinheit EE28
die Information in einer Sicherheitseinrichtung, inkludiert in einer
TLS-Erweiterung, und einer LAN-Einstellung zu der Automatikeinstellungs-Protokollsteuereinheit
EE30. Die Automatikeinstellungs-Protokollsteuereinheit EE30 verarbeitet
die Einstellungsinformation, die für jedes Netz angeboten wird,
gemäß der Priorität, die durch
das elektronische Zerti fikat des Clients beschrieben wird (S73 bis S75).
In diesem Beispiel wird Priorität
der Einstellungsverarbeitung von dem Unternehmensnetz gegeben, eine
verschlüsselte
Sicherheitseinrichtung wird mit einem privaten Schlüssel des
Benutzers entschlüsselt
und zu der Sicherheitssteuereinheit EE34 übertragen, um die sichere Kommunikationseinrichtung
von IPsec automatisch durchzuführen
etc. (S81). Als Nächstes
wird die Einstellungsverarbeitung vom ISP durchgeführt, die
LAN-Einstellung der IP-Adresse des Benutzerendgerätes 4 etc.
wird zu der LAN-Steuereinheit übertragen,
und die Kommunikationseinrichtung wird automatisch durchgeführt (S81).
-
Mit
der Prozedur wird die Einrichtung zum sicheren Kommunizieren in
dem Unternehmensnetz von dem Benutzerendgerät 4 abgeschlossen,
und sichere Kommunikation kann unmittelbar nach der Authentifizierungsantwort
vom Netzzugriff durchgeführt werden.
-
Die
Beispiele zeigen das Verfahren zum Verteilen der Sicherheitseinrichtung
zu dem Benutzerendgerät 4 von
dem VPN-Gateway-Server 22 des Unternehmens. Eine Verteilung
der VPN-Schlüsselinformation
durch das Netz 102 hat jedoch ein Risiko eines Verlustes,
und als seine Gegenmaßnahme
ist eine hohe Verarbeitungslast in dem Server in der Verschlüsselungs-/Entschlüsselungsverarbeitung
erforderlich.
-
<Generierung des VPN-Schlüssels unter
Verwendung von unbestimmter Information>
-
Eine
Schlüsselgenerierungssequenz
wird in 19 gezeigt. An Stelle einer
Verteilung eines VPN-Schlüssels
wird unbestimmte Information, wie etwa Zufallszahleninformation
und Zeit, die zur Zeit der Netzzugriffsauthentifizierung generiert
wird, zu dem Unternehmensnetz in der Authentifizierungskooperationsprozedur übertragen,
und es kann das Schlüsselgenerierungs verfahren
verwendet werden, welches den gleichen VPN-Schlüssel generiert. Der gleiche
VPN-Schlüssel
kann durch den Server des Unternehmensnetzes bzw. das Benutzerendgerät 4 durch
Kombinieren der unbestimmten Information, des voreingestellten Unternehmensnetzes
und eines gemeinsam genutzten Schlüssels des Benutzers generiert
werden (das Schlüsselgenerierungsverfahren).
Speziell ist unbestimmte Information in der Client-Hallo-Nachricht
und Server-Hallo-Nachricht von TLS unter den Nachrichten der TLS-Authentifizierungsprozedur
inkludiert, die eine Netzzugriffsauthentifizierungsprozedur in ISP
ist. Diese Nachrichten sind in der Nachricht inkludiert, die den
VPN-Server des Unternehmens über
das Authentifizierungs- und
Autorisierungsergebnis in ISP durch das Authentifizierungskooperationsprotokoll benachrichtigt,
um in dem Unternehmensnetz verteilt zu werden. Der Server des Unternehmensnetzes
und das Benutzerendgerät
können
jeweils den gleichen VPN-Schlüssel
durch eine Hash-Funktion, die unbestimmte Information und den gemeinsam
genutzten Schlüssel,
der in dem elektronischen Zertifikat verschlüsselt wurde, generieren.
-
Eine
TLS-Nachricht (Client-Hallo, Server-Hallo), inkludierend die unbestimmte
Information, ist auch die Information zum Verifizieren eines Authentifizierungs-
und Autorisierungsergebnisses, und die TLS-Nachricht ist dominante
Information, wenn ein Unternehmen das Authentifizierungsergebnis
in ISP zu verifizieren wünscht.
In diesem Beispiel kann, obwohl ein Teil einer TLS-Nachricht als
die unbestimmte Information verteilt wird, wenn eine Verifizierung
hohen Grades benötigt
wird, die Nachricht von allen TLS-Authentifizierungssequenzen der
Netzzugriffsauthentifizierung in ISP als die unbestimmte Information
inkludiert sein.
-
Obwohl
die IP-Adresse des VPN-Servers, der Chiffrierschlüssel und
die interne IP-Adresse des VPN-Clients zu dem Benutzerendgerät 4 als
eine Sicherheitseinrichtung verteilt werden, ist es in dem oben
erwähnten
VPN-Dienst möglich,
den VPN-Dienst,
der sicherer und in der Server- oder Benutzerendgerät-Verarbeitungslast
kleiner ist, durch Inkludieren der VPN-Schlüsselgenerierungseinheit anzubieten.
-
In
der Ausführungsform
der Erfindung kann in dem Netzverbindungsdienst von dem öffentlichen drahtlosen
LAN eine automatische Einrichtung eines Dienstes, der höher als
die IP-Schicht ist,
die durch die Vielzahl von Netzen 102 vorgesehen wird,
zur Zeit vom Abschluss der Netzauthentifizierung einer Verknüpfungsschicht,
die niedriger als die IP-Schicht ist, durchgeführt werden.
-
Gemäß der Erfindung
ist es möglich,
die jeweiligen Stücke
von Einstellungsinformation gemeinsam zu dem Benutzerendgerät 4 in
der geschützten Authentifizierungsprozedur
zu verteilen, die durchgeführt
wird, wenn das Benutzerendgerät 4 auf
das Netz 102 zugreift, und die Einrichtung kann zwischen der
Vielzahl von Netzen 102, die Dienste vorsehen, die konventionell
unabhängig
angeboten wurden, effizient und sicher durchgeführt werden. Da das Management
von jeder Einstellungsinformation in einer Verteilung durch jeden
Server durchgeführt
wird, wird ein System realisiert, das im Vergleich zu dem Fall, wo
jede Einrichtung intensiv gemanagt wird, eine hohe Skalierbarkeit
aufweist. Außerdem
können
die Gültigkeit,
die durch elektronische Signatur etc. garantiert wird, und die Maßnahme gegen
einen Informationsverlust durch Verschlüsselung in den Nachrichten
zwischen dem Server von jedem Netz 102 und einem Server,
und zwischen dem Server und einen Client durchgeführt werden.
Deshalb kann in der Ausführungsform
hohe Sicherheit angeboten werden. Mit dem sicheren und effizienten
System, das automatisch das Benutzerendgerät 4 einrichtet, können verschiedene
Einstellungsdaten zuverlässig
zu dem Benutzerendgerät 4 eingestellt
werden, bevor der Benutzer Datenkommunikationen startet. Des weiteren
wird nicht nur der Komfort des Benutzers gesteigert, sondern die
Seite des Netzes 102 kann auch den Sicherheitsschaden verhindern,
der dem Einstellungsfehler in dem Benutzerendgerät 4 zuzuschreiben
ist.
-
Eine
Vorrichtung, ein Verfahren, ein Programm und ein Medium für Einstellungsinformationsverteilung,
eine Vorrichtung, ein Verfahren, ein Programm und ein Medium für Authentifizierungseinstellungstransfer,
und ein Einstellungsinformations-Empfangsprogramm
in Übereinstimmung
mit der Erfindung kooperieren verschiedene Dienstanforderungen und
die Verteilung einer Einrichtung, die unabhängig in einer Vielzahl von
Domänen
durchgeführt werden,
und sie verbessern einen Komfort des Benutzers und garantieren die
Korrektheit von Verteilungsinformation in jeder Domäne.