JP2006085719A - 設定情報配布装置、認証設定転送装置、方法、プログラム、媒体及び設定情報受信プログラム - Google Patents
設定情報配布装置、認証設定転送装置、方法、プログラム、媒体及び設定情報受信プログラム Download PDFInfo
- Publication number
- JP2006085719A JP2006085719A JP2005270709A JP2005270709A JP2006085719A JP 2006085719 A JP2006085719 A JP 2006085719A JP 2005270709 A JP2005270709 A JP 2005270709A JP 2005270709 A JP2005270709 A JP 2005270709A JP 2006085719 A JP2006085719 A JP 2006085719A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- network
- user terminal
- setting
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 130
- 238000012546 transfer Methods 0.000 title claims description 11
- 230000004044 response Effects 0.000 claims abstract description 62
- 230000005540 biological transmission Effects 0.000 claims description 14
- 238000012545 processing Methods 0.000 description 44
- 238000013475 authorization Methods 0.000 description 29
- 238000004891 communication Methods 0.000 description 17
- 238000012795 verification Methods 0.000 description 15
- 230000008520 organization Effects 0.000 description 14
- 230000008569 process Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 8
- 238000004422 calculation algorithm Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 238000007796 conventional method Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000001771 impaired effect Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 238000012559 user support system Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【解決手段】 ユーザ端末と第1ネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末4からの認証要求を受け付けて認証し、ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、ユーザ端末4に設定される設定データを要求する認証連携要求を他のネットワークへ送信し、認証要求に対する第1応答メッセージへ認証連携要求に対する第2応答メッセージに含まれた設定データを乗せかえることにより付加し、設定データが付加された第1応答メッセージをユーザ端末に配布することを特徴とする第1のネットワークに属する設定情報配布装置。
【選択図】 図1
Description
線LANアクセスポイントやスイッチに実装され、ネットワークにアクセスしてきたユーザをIDや電子証明書のユーザ認証子によりネットワークが認証し、認可されたユーザのみを利用可能とするアクセス制御技術である。また、同時に無線LANの暗号鍵(WEP)
を配布・更新することで高いセキュリティ運用を行える。しかし、WEPは暗号アルゴリズムが脆弱で、これを解読するツールは容易に入手できるため非常に危険である。現在、IEEE802.1xを含むセキュリティ機能がIEEE802.11iとして標準化さ
れており、強固な暗号化アルゴリズムが採用されているが、普及には時間がかかる状況である。
ネットワークを区別するためのアクセスID(SSID)を、ユーザ自身が設定する必要がある。同様に、ユーザ識別子も組織毎に異なっている。ユーザによる各種の設定が必要なため利便性を低めるとともに、ユーザが同じユーザ識別子やパスワードを安易に設定する傾向がある。そのため、セキュリティ上好ましくないユーザ端末の設定が潜在的に多く存在する。また、SSIDは無線LANアクセスポイントの所有者が、自由に設定することが可能であり、容易になりすましを行うことができるため非常に危険である。
キュリティ対策はなく、同じサブネットにつながった悪意あるユーザがDHCPサーバになりすまして誤った設定をユーザに配布することができる。
対策はなく、その自動設定にはDHCPやDNSによるアクセスが含まれるため、なりすましたDHCPサーバを介して誤った設定をユーザに配布することができる。
で規定された仮想閉域網と、(ii)IPパケットの機密性、安全性を保証するための暗号化と認証行う技術としてRFC2401(Security Architecture for the Internet Protocol)で規定されたIPsec、または(iii)暗号化のための鍵交換技術として
RFC2409(The Internet Key Exchange)で規定されたIKEを用いたシステムが
ある。これらを組み合わせたアプリケーションを、組織網のセキュアなエリアへの入り口
に置かれたゲートウェイサーバとユーザのユーザ端末に入れて、ユーザ認証によるアクセス制御と、通信情報の暗号化により、ネットワークから組織網のセキュアなエリアへ安全なアクセスを実現する。しかし、ゲートウェイサーバや関連するProxyサーバなどのIPアドレスを、ユーザ自身が設定する必要があるため、利便性が高いとはいえない。
、ユーザ認証を行えば、パスワード漏えいによる被害はなくすことができる。しかし、外部ネットワークのアクセス認証と組織網へのアクセス認証に同じユーザ認証子を用いたとしても、同じ認証処理を繰り返しているために、セキュアな通信を確立するまでの時間がかかり、利便性は低くなる。
どの通信事業者が公衆無線LANサービスを運営し、インターネットなどへのネットワーク接続サービスを提供する。ISPには、各種サーバのIPアドレスなどを配布するDHCPサーバ104が設置されている。また、プライベートネットワーク106である企業などの組織網には、インターネットなどから組織網内にアクセスするためのIPsecゲートウェイサーバ108のようなゲートウェイが設置されている。また、前述したiPassのようなローミングネットワーク110であるローミングネットワーク事業者(RSP
)には、複数のISPをローミングして、例えば企業が管理する一つのID/Passwordで、公衆無線LANサービスへのネットワークアクセス認証を行うことができるた
めのローミング認証サーバ112が設置されている。以下、ユーザ端末114が公衆無線LANからインターネットを介して企業などの組織網に安全にアクセス接続する手順について、図23に示したシーケンスを図22を参照して説明する。
まず、ユーザは事前に登録している公衆無線LANサービスの識別子であるSSIDの設定をユーザ端末114に行い(図22の(2))、無線LANアクセスポイントが発信するビーコンの中に含まれるSSIDを検出・選択して、ネットワークアクセス認証を開始する(図22の(3))。無線LANアクセスポイント116は、ユーザ端末114からの通信を一時遮断し、ユーザ端末114からの認証情報を受け付けて、ISP内部のISP認証サーバ118にユーザ端末114のサービス利用に対する正当性を確認する(図22の(4)、(5))。このとき、ローミングユーザであれば、RSPを経由して企業網へローミング認証要求を行い、企業の企業認証サーバ120で認証を行ってもらう(図22の(6)から(9))。認証結果がOKになれば、無線LANアクセスポイント116は、遮断していたユーザに対するネットワークリンクを開放する(図22の(10)から(13))。無線LANのリンクを流れるデータはWEPにより暗号化されているが、暗号アルゴリズムが脆弱なため、盗聴が可能であり、セキュリティとして安全とは言えない。
次に、ユーザ端末114はネットワークリンクの接続を完了すると、ユーザ端末114、DNSサーバ、インターネットへの接続を行うゲートウェイなどのIPアドレスを含むLAN設定を取得するための要求をDHCPサーバ104へ行い、LAN設定を入手する(図22の(14))。ユーザは、事前にDHCPサーバ104自身のIPアドレス等を指定する必要はない。そのため、同じ公衆無線LAN内にDHCPサーバ104になりすました機器が存在した場合には、不正中継による盗聴やサービス妨害などが可能になり、セキュリティが確保できない。
さらに、あらかじめユーザ端末114に設定した、組織網のゲートウェイサーバのIPアドレスに対して、IPsecによるセキュアな通信を始めるために、鍵交換であるIKE手順を開始する。IKE手順の中では、鍵交換のためのユーザ認証が行われる場合がある。IKE自体はセキュアなプロトコルであるが、ネットワークアクセスから安全にサービスを開始するための手順が多く、実際にサービスを安全に開始するまでのユーザの利便性は損なわれている。また、前述したiPassなどで提供されるサービスでは、ネットワークアクセスの認証と同時に認証サーバとゲートウェイサーバが連携して、鍵配布を行うことが可能である。しかし、組織網とセキュア通信を始める前に、複数事業者によるサービスの連続認証や自動設定を含めることは想定されていない。例えば、別の独立したネットワーク102がモバイルIPサービスのホームエージェントサーバやVoIPサービスのSIPサーバを有している場合、すべての認証を連携させることは想定していない。この点で従来技術の汎用性は低い。
特許文献1は、アドレス設定方法及び装置に関する発明である。任意のMACアドレスの端末に対するIPアドレス自動設定システムを開示する。
アクセス認証手順を用いてアクセス認証を第1のネットワークへ要求する認証要求手段、ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて他のネットワークから取得した他のネットワークに対するユーザ端末に設定される設定データを受信する受信手段、受信手段により受信した設定データをクライアント電子証明書に含まれる他のネットワークの連携すべき順位を示すデータに基づいて順次設定する設定手段
として機能させることを特徴とする。
<システム機能概要>
図1及び図2は、それぞれ本発明によるリモートアクセスサービス例とそのサービスシーケンス例である。また、図3は本発明の機能ブロックである。
<1.外部ネットワーク2>
外部ネットワーク2は、IPネットワークサービスをユーザ端末4に提供するインターネットサービスプロバイダ(ISP)であり、無線LANアクセスポイント6(WLAN-AP)などを提供する。また、外部ネットワーク2は、インターネット接続サービスを提供するために利用者のユーザ端末4にIPアドレスを割り当てる。DHCPサーバ8は、IPアドレスを動的に割り当てる機能やProxyサーバ10などの自動設定スクリプトの格納先URLを配布する機能等を一般的に有する。本実施の形態における外部ネットワーク2は、これらに加え、ユーザがサービスを利用する際に必要なユーザ端末4の認証認可処理を行う認証機能とユーザ端末4の自動設定機能とを有するセキュリティサーバ12(SS)を有する。
プライベートネットワーク14は、IPネットワークサービスを限定されたユーザに提供する企業や大学、官庁のような組織ネットワークであり、インターネットのような公共ネットワークと分離するためのVPNゲートウェイサーバ(VPN-GW)16を一般的に有している。また、プライベートネットワーク14を利用できるユーザ端末4を限定するために、認証機能もつサーバを有している。本実施の形態では、認証に公開鍵基盤であるPKIを用い、ユーザに発行した電子証明書を用いて認証を行う。プライベートネットワーク14には、PKIの管理サーバとして、後述するPKIサーバ18(PKI)を設置し、V
PNプロトコル20を使用して外部からプライベートネットワーク14へユーザ端末4が接続するためのゲートウェイとして、後述するVPNゲートウェイサーバ22(VPN-GW)を設置する。VPNゲートウェイサーバ22は電子証明書等によりユーザを認証する機能を持つ。図3では、VPNゲートウェイサーバ22を次に述べるセキュリティローミングネットワークに接続して、間接的にプライベートネットワーク14にモバイルユーザが接続できるシステムを示している。以降、本発明の実施形態を説明する上で、プライベートネットワーク14の代表例として企業網を取り上げて説明する。
セキュリティローミングネットワーク24は、複数の外部ネットワーク2やプライベートネットワーク14の認証認可を含むセキュリティを連携するローミングサービスプロバイダ(RSP)である。RSPは、認証における電子証明書の検証機能などを代行し、ロー
ミングされる複数のネットワーク間での信頼関係を保証するサービスを行う。RSPは外部ネットワーク2が兼ねてもよく、サービス提供の実施形態は限定しない。本実施の形態では、セキュリティのローミングを管理するサーバとして、後述するセキュリティローミングサーバ26(SRS)を設ける。
ユーザ端末4は、次に述べる4つの制御部からなる。まず、(1)認証プロトコル制御部EE28は、ユーザがサービスを利用する際に利用するネットワークアクセスアプリケーションから呼ばれ、電子証明書によるユーザ認証手順を実行する。次に、(2)自動設定プロトコル制御部EE30は、認証プロトコル制御部EE28から呼ばれ、応答メッセージに格納された自動設定情報(設定データ)に基づき、各種制御部に設定を行う。そして、(3)LAN制御部EE32は、ユーザ端末4、ゲートウェイサーバ、DNSサーバ、Proxyサーバ10などの各種IPアドレスを設定する。さらに、(4)セキュリティ制御部EE34は、一般的なIPsecクライアントと同様に、暗号鍵や認証鍵に基づいてVPNゲートウェイサーバ22とセキュアな通信を実行する。
セキュリティサーバ12は、次に述べる4つの制御部からなる。まず、(1)認証プロトコル制御部SS36は、電子証明書によるユーザ認証機能と電子証明書の正当性を検証する検証機能とサービスの認可機能を有する。次に、(2)自動設定プロトコル制御部SS38は、認証プロトコル制御部SS36から呼ばれ、各種自動設定を行うための設定制御部や連携するネットワークを通じて収集した設定情報(設定データ)を、ユーザに配布するために拡張した認可応答メッセージに乗せかえる。認可応答メッセージの拡張部は図5に示される本発明による独自な拡張部である。そして、(3)LAN設定制御部SS40は、外部ネットワーク2内の無線LANアクセスポイント6やDHCPサーバ8等を管理し、DHCPプロトコル等を用い、状況に応じて適切なLAN設定(例えば、ユーザ端末4のIPアドレスやゲートウェイ・DNSのIPアドレス、Proxyサーバ10の自動設定スクリプトファイルの格納先URLなど)を収集する。さらに、(4)認証連携プロトコル制御部SS42は、認証連携すべきネットワークに対して、自ネットワークでのユーザ認証認可情報と生成した設定情報を通知し、各認証連携ネットワークからシングルサインオン認証結果と設定情報(設定データ)を受信する。
DHCPサーバ8は、ユーザ端末4がネットワークに接続するために必要なLAN設定機能(ユーザ端末IPアドレスの割り当て、DNSサーバ、ゲートウェイサーバのIPアドレスの配布、Proxyサーバ10の自動設定スクリプトの格納先URL通知など)を有する。本実施の形態では、標準化規格であるRFC2131に準拠し、これに加えてマイクロソフト社のDHCPサーバ8で標準的にサポートされているWPAD機能(Pro
xyサーバ10の自動設定スクリプトの格納先URLを応答するオプション)をサポートする一般的なDHCPサーバ8である。セキュリティサーバ12とDHCPサーバ8間でDHCPプロトコル44が使用される。
セキュリティローミングサーバ26は、次に述べる2つの制御部と1つのデータベースからなる。まず、(1)サービスデータベース46(サーバDB)は、クライアント電子証明書の情報を検索キーとして認証連携すべきサーバ(認証連携装置)のIPアドレスを決定する。図3は、認証連携装置として、セキュリティサーバ12、セキュリティローミングサーバ26、VPNゲートウェイサーバ22を例示している。(2)認証連携プロトコル制御部SRS48は、(i)セキュリティサーバ12の認証連携プロトコル制御部SS42やVPNゲートウェイサーバ22の認証連携プロトコル制御部VPN50から送信されたユーザ認証認可結果と設定情報を含むシングルサインオン認証要求・応答を受信し、(ii)クライアント電子証明書またはサービスデータベース46(サービスDB)内にあるサーバアドレス情報に基づき認証連携先を決定し、(iii)ユーザ認証認可結果と設定情報を決定された認証連携先へ回送する。そして、(3)認証プロトコル制御部SRS52は、電子証明書によるユーザ認証機能と電子証明書の正当性を検証する検証機能とサービスの認可機能とを有する。
VPNゲートウェイサーバ22は、次に述べる2つの制御部からなる。まず、(1)認証連携プロトコル制御部VPN50は、セキュリティローミングサーバ26などの各認証連携ネットワークから認証認可結果と設定情報を含むシングルサインオン認証要求を受信し、VPNゲートウェイサーバ22における認証結果と設定情報を含めたシングルサインオン認証応答をセキュリティローミングサーバ26へ送信する。次に、(2)VPN制御部54は、認証プロトコル制御部VPNから呼ばれ、一般的なVPNゲートウェイサーバ22と同様に、ユーザ認証を行い、認証と暗号化を行うVPN鍵を生成及び配布し、VPN鍵によるアクセス制御と暗号化通信を行う。本実施の形態において、VPNゲートウェイサーバ22は、標準化規格であるRFC2401(Security Architecture for the Internet Protocol)で規定されたIPsecに準拠したVPNゲートウェイサーバ16で
ある。
PKIサーバ18は、PKI電子証明書を発行/失効する管理機能とその電子証明書を保存するPKIデータベース56(PKI-DB)からなる。電子証明書の形式は、IETFのRFC3280で規定される形式に、ユーザ端末4を認証する際に連携すべきネットワークを示す情報を格納するために拡張されている。本実施の形態において、電子証明書の形式は、VPNゲートウェイサーバ22のIPアドレスを示す識別フラグとアクセス可能な条件(時間・曜日など)を示すサービス認可情報を格納する。
シングルサインオンプロトコル58は、セキュリティサーバ12、セキュリティローミングサーバ26、VPNゲートウェイサーバ22間で使用される認証認可連携プロトコルである。シングルサインオンプロトコル58は、例えば、モバイルユーザのユーザ端末4が公衆無線LANサービスを利用する際に認証認可された結果をVPNゲートウェイサーバ22に伝達するとともに、VPNゲートウェイサーバ22にて生成されたセキュリティ設定に関する情報(VPNサーバのIPアドレス・IPsecによる暗号鍵・VPNクライアントの内部用IPアドレスなど)をセキュリティローミングサーバ26あるいはセキュリティサーバ12に伝える(transmit)ために使用される。本発明の実施形態では、代表的なシングルサインオンプロトコル58であるSAMLの使用を想定する。本発明の実施
形態で必要となるセキュリティ設定情報の伝達には、SAMLプロトコルで定義されるSAMLレスポンスメッセージ内に情報要素を記述する。記述される情報要素は、VPN設定に関する情報である。
TLSプロトコル60はユーザ端末4、無線LANアクセスポイント6、セキュリティサーバ12間で使用される認証プロトコルである。TLSプロトコル60は、ユーザのユーザ端末4が公衆無線LANサービスを利用する際に、(i)セキュリティサーバ12がユーザを認証するためのクライアント電子証明書と、(ii)ユーザ端末4がセキュリティサーバ12または無線LANアクセスポイント6を認証するためのサーバ証明書、そして、(iii)自動設定情報(設定データ)をユーザ端末4に伝える。本発明の実施形態では、(i)ユーザ端末4と無線LANアクセスポイント6間にIEEE802.1xでサポートされるEAP−TLSプロトコル、EAP−TTLSプロトコル、PEAPプロトコルを想定し、(ii)無線LANアクセスポイント6とセキュリティサーバ12間に前記EAPを含むRADIUSプロトコル(認証プロトコル62)を想定する。本発明の実施形態で必要となる自動設定情報(上記セキュリティ設定に関する情報等)の伝達には、標準化団体であるIETFのRFC3546で規定されたTLS拡張を利用し、extensionメッセージ内に新たな自動設定のための情報要素を、連携したネットワーク毎に分離して、記述することで実現する。記述される情報要素は、IPアドレスなどのLAN設定とIPsecによる暗号鍵などセキュリティ設定に関する情報(設定データ)である。
図1に本実施形態おけるリモートアクセスサービスモデルを示す。これは、公開鍵基盤(PKI)を利用する企業に属しているモバイルユーザが、社外の複数の公衆無線LANサ
ービスから企業網へセキュアにアクセスするサービスモデルである。前提として、複数の公衆無線LANサービスを運営するISPは認証ローミングのため、ローミング事業者であるRSPと提携し、相互の身元を保証するため、PKIで使われる相互証明書を相互に発行している。企業もRSPを経由して複数の公衆無線LANサービスを利用できるようにするため、RSPと提携し、相互証明書を相互発行している。企業は事前にこのISPと提携する必要はない。このようなPKIのモデルは、一般的にブリッジモデルという。図2に本発明技術によるサービスシーケンスを示す。以下、図1を参照して実施形態の詳細を説明する。
フォルトとして自動的に設定される。そのため、ユーザはこの事前設定を意識しなくてよい。
ユーザ端末4の処理フローを図17(EE0)に示す。ユーザ端末4は、クライアント証
明書からSSID(無線LAN設定)を検出し(S60)、ユーザ端末4のオペレーティングシステム(OS)の無線LAN設定にクライアント証明書から検出したSSIDが含まれているかを判断する(S61)。前記無線LAN設定にSSIDが含まれているとき、SSIDの設定処理を終了する。前記無線LAN設定にSSIDが含まれていないとき、ユーザ端末4のOSの無線LAN設定にSSIDを設定する(S62、図1の(2))。
ユーザ端末4の処理フローを図18(EE1)に示す。ユーザ端末4は、無線LANアク
セスポイント6が発信しているビーコンの中に含まれるSSIDを検出する(S63)。ユーザ端末4のOSの無線LAN設定に検出したSSIDが含まれているかを判断する(S64)。前記無線LAN設定に検出したSSIDが含まれているとき、ユーザ端末4はネットワークアクセス認証(EAP認証)手順を開始する(S66、図1の(3)から(5))。この処理はWindows(登録商標)XPなどの汎用OSに含まれている。検出したSSIDがユーザ端末4の無線LAN設定と異なるとき、ユーザ端末4はクライアント端末のOSの無線LAN設定にビーコンのSSIDを設定する(S65)。
セキュリティサーバ12の処理フローを図11(SS1)に示す。次に、セキュリティサ
ーバ12がユーザ端末4からTLS(Client Hello)メッセージを受信する(S1、図1の(5))。ここで、セキュリティサーバ12は、ユーザ端末4にセキュリティサーバ12の正当性を保証する必要ある。しかし、本実施形態の例では、セキュリティサーバ12が保有する電子証明書は、ISPにより発行された電子証明書ではないので、その正当性については、証明書検証プロトコル64(SCVP)を用い、RSPの認証プロトコル制御部SRS52へ正当性を問い合わせることで検証を実施し、サーバ証明書検証データを入手する(S2)。次に、セキュリティサーバ12は、TLS(Client Hello)メッセージの拡張部より自動設定ローミングサービスリクエスト(extension#type=7)を検出し(S
3)、端末自動設定ローミング機能があるかを判断する(S4)。端末自動設定ローミング機能がある場合(extension#type=7)は、TLSプロトコル60内のServer
Helloメッセージ内に拡張したエリアにサーバ証明書検証データを格納し、TLSの保護機能を用いて安全にTLS(Server Hello)メッセージをユーザ端末4に返信する(S6、S7)。もし、ネットワーク側が自動設定できない場合(端末自動設定ローミング機能がOFFである場合)は、認証手順NGとして処理する(S5)。
アクセスポイント6に対してサーバ認証を要求する。この際、無線LANアクセスポイント6は、あらかじめ共有鍵などで信頼関係が結ばれているセキュリティサーバ12に対して、ユーザからの要求をRADIUSプロトコルにのせ変えて転送する。セキュリティサーバ12の認証プロトコル制御部SS36はサーバ認証要求に対して、サーバ証明書をユーザ端末4に送信する。これにより、セキュリティサーバ12は、クライアント証明書を受信する(図12のS8)。
セキュリティサーバ12の処理フローを図12(SS2)に示す。クライアント証明書を
受信したセキュリティサーバ12は、認証プロトコル制御部SS36にてクライアント証明書を検証することで認証し、サービスの認可を行う(S8、図1の(5))。ここで、ユーザ端末4から受信した電子証明書は、ISPにより発行された電子証明書ではないので、その正当性については、サーバ証明書と同様に証明書検証プロトコル64(SCVP)を用い、標準団体であるIETFのRFC3280に規定されるPKIのBridge-C
A機能をもつRSPの認証プロトコル制御部SRS52を通じ、企業のPKIサーバ18へ正当性を問い合わせることで検証する(S9)。RSPの認証プロトコル制御部SRS52は、証明書を検証するための中継サーバまたは代理サーバとして動作する。RSPが企業のPKIサーバ18で管理される電子証明書の失効情報を保持している場合には、セキュリティサーバ12からの証明書の検証はRSPに問い合わせるだけで完了する。検証後、ISP側でのネットワークアクセス認証は終了する。
部SS38は、認証連携プロトコル制御部SS42に認証連携プロトコルを用いて、連携するネットワークまたはサービスのLAN設定情報を収集するように要求する。セキュリティサービス/セキュリティローミングサービス要求をしていない場合(extension#type=6または7以外)は、上記LAN設定情報をTLSプロトコル60内のServer
Finishメッセージ内に拡張したエリアに格納し、TLSの保護機能を用いて安全にユーザに返信する(S13からS15)。
れらのローミング処理を一括して行うRSPのセキュリティローミングサーバ26に対してローミングサービス要求行う。具体的には、標準的なシングルサインオンメッセージであるSAMLプロトコルを用い、SAMLリクエストメッセージ内のAuthorization Decision Queryにroamingを記述してサービス要求とする(S16、図6)。ISPでのネットワークアクセス認証結果を示すAssertionに(i)ユーザ認証認可情報、全TLS認証メッセージ及び(ii)LAN設定情報を付加して送信する(S17からS19)。また、SAMLメッセージにはクライアント電子証明書が含まれる。SAMLメッセージはISPの電子署名と暗号化により保護される。
セキュリティローミングサーバ26の処理フローを図14(SRS1)に示す。RSPのセキュリティローミングサーバ26は、セキュリティローミングサービス要求であるSAMLメッセージを認証連携プロトコル制御部SRS48で受信し、メッセージの正当性を電子署名で確認する(S30)。認証連携プロトコル制御部SRS48では、SAMLメッセージに含まれるクライアント電子証明書に記述されたサービス認可情報を参照し、指定されたネットワークとサービスの連携を開始する(S31、図1の(9)、(10))。具体的には、図7に示すように、企業網へのアクセスに対してVPNを行うことがクライアント電子証明書に記載されている。認証連携プロトコル制御部SRS48は、(i)電子証明書内の情報のVPNサーバフラグからRSP内のサービスデータベース46内に事前に管理されている企業のVPNゲートウェイサーバ22のIPアドレスを抽出し、(ii)ネットワークアクセス認証認可結果とユーザ端末4のLAN設定情報が含まれたSAMLメッセージをVPNゲートウェイサーバ22に送信し、(iii)VPN接続(鍵交換)要求を行う(S32からS34、図1の(10))。図21は、サービスデータベース46における企業のVPNゲートウェイサーバ22のIPアドレスを示すテーブルである。SAMLメッセージはRSPの電子署名と暗号化により保護される。本実施の形態では、連携するネットワークは企業のVPNゲートウェイサーバ22の1つのみであるが、複数の場合もセキュリティローミングサーバ26がアンカーとなり、認証連携プロトコルを用い順次連携することで、複数サーバとの連携が可能である。その際、連携する順番が重要になるが、これもクライアント電子証明書内に記述されており、その指示に従えばよい。また、本認証連携プロトコル制御部をもつサーバ(認証連携装置)であれば、リレー式に連携することも可能である。
VPNゲートウェイサーバ22の処理フローを図16のVPNに示す。企業のVPNゲートウェイサーバ22は、図7に示すVPN接続要求であるSAMLメッセージを認証連携プロトコル制御部VPN50にて受信し、メッセージの正当性を電子署名で確認する(S50)。認証連携プロトコル制御部VPN50では、SAMLメッセージで示されたVPN接続要求に対して、まずユーザのネットワークアクセス認証認可の結果(Assertion
)を参照して、ユーザ認証を行う(S51、図1の(11))。次に、Assertionに含まれるユーザ端末4のLAN設定(IPアドレス)情報を参照し、VPN制御部54に対してユーザ端末4に対応したVPN通信用の鍵生成・設定を要求する(S52)。VPN制御部54は、IPsecなどのセキュア通信設定を行い、認証連携プロトコル制御部VPN50に対して、VPNクライアント側であるユーザ端末4に伝えるセキュリティの設定(VPNサーバのIPアドレス・暗号化鍵・VPNクライアントの内部用IPア
ドレスなど)を伝える(S53)。認証連携プロトコル制御部VPN50は、このセキュリティ設定とVPNゲートウェイサーバ22でのユーザ認証認可の結果をSAMLレスポンスメッセージに含めて、RSPのセキュリティローミングサーバ26に対して送信する(S54からS57、図8、図1の(13))。この際、認証認可の結果(Assertion)
情報内のセキュリティ設定は、ユーザの公開鍵にて暗号化することでセキュリティを守る(S55、図1の(12))。また、SAMLメッセージは企業の電子署名と暗号化により保護される。ユーザ端末4に設定すべき情報は、あらかじめ分類された処理優先度設定ポリシに従い、処理優先度が決定される。VPNゲートウェイサーバ22から得られたVPN設定は最初に設定処理がされるように優先度「A」がつけられる。複数のサービスに関する設定情報がある時は、各情報の設定処理優先度を調べ、同じ優先度の情報に対しては、あらかじめ決めた処理順位設定ポリシに基づいて、処理順位が決定される。処理優先度や処理順位の値は、SAMLレスポンスメッセージ内に記述される。
セキュリティローミングサーバ26の処理フローを図15(SRS2)に示す。RSPのセキュリティローミングサーバ26は、認証連携プロトコル制御部SRS48にて該SAMLレスポンスメッセージを受信し、メッセージの正当性を電子署名で確認する(S35)。認証連携プロトコル制御部SRS48では、これをISPからのセキュリティローミングサービス要求の応答として、SAMLレスポンスメッセージの情報を引き継いで、ISPのセキュリティサーバ12に対して送信する(S36からS40、図9、図1の(14))。SAMLメッセージはRSPによる電子署名と暗号化により保護される。複数のネットワークと連携し、設定情報が複数ある場合は、ひとつのSAMLメッセージに、各設定情報を含む認証認可の結果(Assertion)を順次並べて応答する。
セキュリティサーバ12の処理フローを図13(SS3)に示す。ISPのセキュリティ
サーバ12は、認証連携プロトコル制御部SS42にてSAMLレスポンスメッセージを受信し、メッセージの正当性を電子署名で確認する(S20)。認証連携プロトコル制御部SS42では、受信した暗号化されたセキュリティ設定とLAN設定を、ユーザ端末4に送信するために自動設定プロトコル制御部SS38へ送る。自動設定プロトコル制御部SS38は、SAML(Response)内Resource毎の設定情報を抽出する(S24)。そして、自動設定プロトコル制御部SS38は、TLSプロトコル60内のServerFinishメッセージ内に拡張したエリアに、ネットワークまたはサービス毎に順次格納し、認証プロトコル制御部SS36を通じて、ネットワークアクセス認証の応答として、TLSの保護機能を用いて安全にユーザ端末4に返信する(S24からS26、図1の(15))。もし、SAMLレスポンスメッセージに、セキュリティサービスNGの応答が入っていた場合は、ユーザ認証NGとして、TLS手順に基づき、ユーザに返信する(S22、S23)。また、NGの場合は、自動設定プロトコル制御部SS38からLAN設定制御部SS40に、取得したユーザ端末4のIPアドレスを開放する要求を出す。TLSメッセージはRADIUSプロトコルに格納されて、無線LANアクセスポイント6に送信され、無線LANアクセスポイント6では、ユーザの認証結果に基づいて遮断していた通信を開放する。また、IEEE802.1xで規定される手段を用いてユーザ端末4に情報を転送する。ISPがユーザ端末4に設定すべきLAN設定情報は、あらかじめ分類された処理優先度設定ポリシに従い、処理優先度が決定される。この時、各情報の設定処理優先度を調べ、同じ優先度の情報が存在する場合は、あらかじめ決めた処理順位設定ポリシに基づいて、処理順位が決定される。また、SAMLにより受信した設定情報は、受信したSAMLメッセージに記述された処理優先度・処理順位に従う。処理優先度や処理順位の値は、各TLS拡張エリアの優先度設定に記述される。
ユーザ端末4の処理フローを図19(EE2)に示す。ユーザ端末4は、認証プロトコル
制御部EE28にてTLSメッセージを受信し、ネットワークアクセス認証(EAP認証)手順を完了まで行う(S71)。認証プロトコル制御部EE28は、TLS(Server Finished)拡張部より自動設定ローミングサービス(Extension#type=7)を検出する(S
72)。次に、認証プロトコル制御部EE28は、TLS拡張に含まれるセキュリティ設定とLAN設定の情報を自動設定プロトコル制御部EE30に伝える。自動設定プロトコル制御部EE30は、ネットワーク毎に提供される設定情報を、クライアント電子証明書に記述された優先順位に従って処理する(S73からS75)。ここでは、企業網からの設定処理を優先し、暗号化されたセキュリティ設定をユーザの秘密鍵で復号化し、セキュリティ制御部EE34に伝え、IPsecなどのセキュア通信設定を自動的に行う(S81)。次に、ISPからの設定処理を行い、ユーザ端末4のIPアドレスなどのLAN設定をLAN制御部に伝えて、通信設定を自動的に行う(S81)。
これまでの例では、企業のVPNゲートウェイサーバ22からセキュリティ設定をユーザ端末4に配布する方法を示した。しかし、VPN鍵情報をネットワークを介して配布することは、漏えいの危険があり、その対策としての暗号化・復号化処理には、サーバに対して高い処理負荷が必要である。
鍵生成シーケンスを図19に示す。VPN鍵を配布する代わりに、ネットワークアクセス認証時に発生する乱数情報や時刻などの不確定情報を認証連携手順の中で企業網に伝え、同じVPN鍵を生成する鍵生成方法を用いることができる。この不確定情報とあらかじめ設定している企業網とユーザの共有鍵とを組み合わせることで、企業網のサーバとユーザ端末4それぞれで、同じVPN鍵を生成できる(鍵生成方法)。具体的には、ISPにおけるネットワークアクセス認証手順であるTLS認証手順のメッセージのうち、不確定情報をTLSのClientHelloメッセージとServerHelloメッセージに含ませる。これらのメッセージを、認証連携プロトコルによりISPでの認証認可結果を企業(Enterprise)のVPNサーバに通知するメッセージの中に含めることで企業網に配布する。企業網のサーバとユーザ端末4のそれぞれが電子証明書内に暗号化して持つ共有鍵と合わせて、ハッシュ関数により同じVPN鍵を生成できる。
立して行われていたサービスを提供する複数のネットワークとユーザ端末4間での効率的に且つセキュアに設定できる。各設定情報の管理は、各サーバで分散的に行われるため、各設定を集中的に管理するケースに比べ高いスケーラビリティをもつシステムが実現できる。また、各ネットワークのサーバとサーバ間とサーバとクライアント間のメッセージは、電子署名などによる正当性保証と、暗号化による情報漏えい対策ができる。そのため、本実施の形態において、高いセキュリティを提供できる。このような安全で効率的なユーザ端末4を自動設定するシステムにより、ユーザがデータ通信を開始する前に各種設定データを確実にユーザ端末4に設定できる。更に、ユーザの利便性を高めるだけでなく、ネットワーク側でもユーザ端末4における設定ミスによるセキュリティ被害を防止できる。
(付記1)
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証手段、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信手段、
前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布手段
を含むことを特徴とする前記第1のネットワークに属する設定情報配布装置。
(付記2)
前記認証連携要求に対する第2の応答メッセージを他のネットワークから受信する受信手段を更に含むことを特徴とする付記1記載の設定情報配布装置。
(付記3)
前記第1のネットワークは公開鍵認証が利用可能なシステムを有することを特徴とする付記1記載の設定情報配布装置。
(付記4)
前記ユーザ端末を保護するために署名されたサーバ証明書を発行する発行手段を更に含むことを特徴とする付記1記載の設定情報配布装置。
(付記5)
前記第2の応答メッセージは、前記他のネットワークにより生成されたユーザ端末の設定データを含んだ認証連携プロトコルのメッセージであることを特徴とする付記1記載の設定情報配布装置。
(付記6)
前記認証連携手順において、連携すべき他のネットワークが複数ある場合に、電子証明書が連携すべき複数のネットワークに関する情報を含むことを特徴とする付記1記載の設定情報配布装置。
(付記7)
前記連携すべき複数のネットワークに関する情報は機能的に連携すべき複数のネットワークを順次選択するために複数のネットワークの連携すべき順位を示すデータを含むことを特徴とする付記6記載の設定情報配布装置。
(付記8)
前記ネットワークの署名で保護される前記認証連携プロトコルとしてOASISで規定されるSAMLプロトコルを用い、SAMLプロトコルに基づく保護された認証連携手順において、前記受信手段は前記他のネットワークにより生成されたユーザ端末の設定データを埋め込んだ第2の応答メッセージであるSAMLメッセージを受信することを特徴とする付記2記載の設定情報配布装置。
(付記9)
前記設定データは、IETFのRFC2409で規定されるIKEプロトコルで配布可
能なすべてのデータを含むことを特徴とする付記1記載の設定情報配布装置。
(付記10)
前記設定データは、IETFのRFC2246で規定されるTLSプロトコルとRFC3546で規定されるTLS拡張プロトコルのすべてのデータを含むことを特徴とする付記1記載の設定情報配布装置。
(付記11)
前記ユーザ端末のアクセス認証に用いる電子証明書を参照して連携すべき認証連携装置を決定する決定手段を更に含むことを特徴とする付記1記載の設定情報配布装置。
(付記12)
前記認証連携装置は他のネットワークに属することを特徴とする付記11記載の設定情報配布装置。
(付記13)
前記他のネットワークは企業網であり、企業網へ送信される認証連携要求がVPN接続要求を含むことを特徴とする付記1記載の設定情報配布装置。
(付記14)
鍵交換プロトコルを動作させることなく、前記VPN接続要求に従って生成されたVPN鍵を認証連携手順により受信する受信手段を更に含むことを特徴とする付記13記載の設定情報配布装置。
(付記15)
前記送信手段は、VPN鍵を生成するための不確定情報を認証連携手順の中で前記企業網に送信することを特徴とする付記13記載の設定情報配布装置。
(付記16)
前記不確定情報はネットワークアクセス認証時に発生する情報であることを特徴とする付記15記載の設定情報配布装置。
(付記17)
前記不確定情報はVPN鍵を生成するためにユーザ端末で使用されることを特徴とする付記15記載の設定情報配布装置。
(付記18)ネットワークアクセス認証手順としてIETFのRFC2246で規定されるTLSプロトコルを用い、TLSプロトコルに含まれる乱数や時刻設定がVPN鍵を生成するための不確定情報であることを特徴とする付記15記載の設定情報配布装置。
(付記19)
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証ステップ、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信ステップ、
前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布ステップ
を含むことを特徴とする設定情報配布方法。
(付記20)
前記認証連携要求に対する第2の応答メッセージを他のネットワークから受信する受信ステップを更に含むことを特徴とする付記19記載の設定情報配布方法。
(付記21)
前記第1のネットワークは公開鍵認証が利用可能なシステムを有することを特徴とする付記19記載の設定情報配布方法。
(付記22)
前記ユーザ端末を保護するために署名されたサーバ証明書を発行する発行ステップを更に含むことを特徴とする付記19記載の設定情報配布方法。
(付記23)
前記第2の応答メッセージは、前記他のネットワークにより生成されたユーザ端末の設定データを含んだ認証連携プロトコルのメッセージであることを特徴とする付記19記載の設定情報配布方法。
(付記24)
前記認証連携手順において、連携すべき他のネットワークが複数ある場合に、電子証明書が連携すべき複数のネットワークに関する情報を含むことを特徴とする付記19記載の設定情報配布方法。
(付記25)
前記連携すべき複数のネットワークに関する情報は機能的に連携すべき複数のネットワークを順次選択するために複数のネットワークの連携すべき順位を示すデータを含むことを特徴とする付記24記載の設定情報配布方法。
(付記26)
前記ネットワークの署名で保護される前記認証連携プロトコルとしてOASISで規定されるSAMLプロトコルを用い、SAMLプロトコルに基づく保護された認証連携手順において、前記受信ステップは前記他のネットワークにより生成されたユーザ端末の設定データを埋め込んだ第2の応答メッセージであるSAMLメッセージを受信することを特徴とする付記20記載の設定情報配布方法。
(付記27)
前記設定データは、IETFのRFC2409で規定されるIKEプロトコルで配布可能なすべてのデータを含むことを特徴とする付記19記載の設定情報配布方法。
(付記28)
前記設定データは、IETFのRFC2246で規定されるTLSプロトコルとRFC3546で規定されるTLS拡張プロトコルのすべてのデータを含むことを特徴とする付記19記載の設定情報配布方法。
(付記29)
前記ユーザ端末のアクセス認証に用いる電子証明書を参照して連携すべき認証連携装置を決定する決定ステップを更に含むことを特徴とする付記19記載の設定情報配布方法。(付記30)
前記認証連携装置は他のネットワークに属することを特徴とする付記29記載の設定情報配布方法。
(付記31)
前記他のネットワークは企業網であり、企業網へ送信される認証連携要求がVPN接続要求を含むことを特徴とする付記19記載の設定情報配布方法。
(付記32)
鍵交換プロトコルを動作させることなく、前記VPN接続要求に従って生成されたVPN鍵を認証連携手順により受信する受信ステップを更に含むことを特徴とする付記31記載の設定情報配布方法。
(付記33)
前記送信ステップは、VPN鍵を生成するための不確定情報を認証連携手順の中で前記企業網に送信することを特徴とする付記31記載の設定情報配布方法。
(付記34)
前記不確定情報はネットワークアクセス認証時に発生する情報であることを特徴とする付記33記載の設定情報配布方法。
(付記35)
前記不確定情報はVPN鍵を生成するためにユーザ端末で使用されることを特徴とする付記33記載の設定情報配布方法。
(付記36)ネットワークアクセス認証手順としてIETFのRFC2246で規定されるTLSプロトコルを用い、TLSプロトコルに含まれる乱数や時刻設定がVPN鍵を生成するための不確定情報であることを特徴とする付記33記載の設定情報配布方法。
(付記37)
コンピュータを、
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証手段、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信手段、
前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布手段
として機能させることを特徴とする設定情報配布プログラム。
(付記38)
前記認証連携要求に対する第2の応答メッセージを他のネットワークから受信する受信手段を更に含むことを特徴とする付記37記載の設定情報配布プログラム。
(付記39)
前記第1のネットワークは公開鍵認証が利用可能なシステムを有することを特徴とする付記37記載の設定情報配布プログラム。
(付記40)
前記ユーザ端末を保護するために署名されたサーバ証明書を発行する発行手段を更に含むことを特徴とする付記37記載の設定情報配布プログラム。
(付記41)
前記第2の応答メッセージは、前記他のネットワークにより生成されたユーザ端末の設定データを含んだ認証連携プロトコルのメッセージであることを特徴とする付記37記載の設定情報配布プログラム。
(付記42)
前記認証連携手順において、連携すべき他のネットワークが複数ある場合に、電子証明書が連携すべき複数のネットワークに関する情報を含むことを特徴とする付記37記載の設定情報配布プログラム。
(付記43)
前記連携すべき複数のネットワークに関する情報は機能的に連携すべき複数のネットワークを順次選択するために複数のネットワークの連携すべき順位を示すデータを含むことを特徴とする付記42記載の設定情報配布プログラム。
(付記44)
前記ネットワークの署名で保護される前記認証連携プロトコルとしてOASISで規定されるSAMLプロトコルを用い、SAMLプロトコルに基づく保護された認証連携手順において、前記受信手段は前記他のネットワークにより生成されたユーザ端末の設定データを埋め込んだ第2の応答メッセージであるSAMLメッセージを受信することを特徴とする付記38記載の設定情報配布プログラム。
(付記45)
前記設定データは、IETFのRFC2409で規定されるIKEプロトコルで配布可能なすべてのデータを含むことを特徴とする付記37記載の設定情報配布プログラム。
(付記46)
前記設定データは、IETFのRFC2246で規定されるTLSプロトコルとRFC3546で規定されるTLS拡張プロトコルのすべてのデータを含むことを特徴とする付記37記載の設定情報配布プログラム。
(付記47)
前記ユーザ端末のアクセス認証に用いる電子証明書を参照して連携すべき認証連携装置を決定する決定手段を更に含むことを特徴とする付記37記載の設定情報配布プログラム。
(付記48)
前記認証連携装置は他のネットワークに属することを特徴とする付記47記載の設定情
報配布プログラム。
(付記49)
前記他のネットワークは企業網であり、企業網へ送信される認証連携要求がVPN接続要求を含むことを特徴とする付記37記載の設定情報配布プログラム。
(付記50)
鍵交換プロトコルを動作させることなく、前記VPN接続要求に従って生成されたVPN鍵を認証連携手順により受信する受信手段を更に含むことを特徴とする付記49記載の設定情報配布プログラム。
(付記51)
前記送信手段は、VPN鍵を生成するための不確定情報を認証連携手順の中で前記企業網に送信することを特徴とする付記49記載の設定情報配布プログラム。
(付記52)
前記不確定情報はネットワークアクセス認証時に発生する情報であることを特徴とする付記51記載の設定情報配布プログラム。
(付記53)
前記不確定情報はVPN鍵を生成するためにユーザ端末で使用されることを特徴とする付記51記載の設定情報配布プログラム。
(付記54)ネットワークアクセス認証手順としてIETFのRFC2246で規定されるTLSプロトコルを用い、TLSプロトコルに含まれる乱数や時刻設定がVPN鍵を生成するための不確定情報であることを特徴とする付記51記載の設定情報配布プログラム。
(付記55)
コンピュータを、
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証手段、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信手段、
前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布手段
として機能させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体。
(付記56)
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークからアクセス認証に用いるクライアント電子証明書を受信する受信手段、
受信手段により受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定手段
を含むことを特徴とする認証転送装置。
(付記57)
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークからアクセス認証に用いるクライアント電子証明書を受信する受信ステップ、
受信ステップにより受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定ステップ
を含むことを特徴とする認証転送方法。
(付記58)
コンピュータを、
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークから
アクセス認証に用いるクライアント電子証明書を受信する受信手段、
受信手段により受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定手段
として機能させることを特徴とする認証転送プログラム。
(付記59)
コンピュータを、
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークからアクセス認証に用いるクライアント電子証明書を受信する受信手段、
受信手段により受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定手段
として機能させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体。
(付記60)
コンピュータを
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を第1のネットワークへ要求する認証要求手段、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて他のネットワークから取得した他のネットワークに対する前記ユーザ端末に設定される設定データを受信する受信手段、
前記受信手段により受信した設定データをクライアント電子証明書に含まれる他のネットワークの連携すべき順位を示すデータに基づいて順次設定する設定手段
として機能させることを特徴とする設定情報受信プログラム。
4 ユーザ端末
6 無線LANアクセスポイント
8 DHCPサーバ
10 Proxyサーバ
12 セキュリティサーバ
14 プライベートネットワーク
16 IPsecゲートウェイサーバ
18 PKIサーバ
20 VPNプロトコル
22 VPNゲートウェイサーバ
24 セキュリティローミングネットワーク
26 セキュリティローミングサーバ
28 認証プロトコル制御部EE
30 自動設定プロトコル制御部EE
32 LAN制御部EE
34 セキュリティ制御部EE
36 認証プロトコル制御部SS
38 自動設定プロトコル制御部SS
40 LAN設定制御部SS
42 認証連携プロトコル制御部SS
44 DHCPプロトコル
46 サービスデータベース
48 認証連携プロトコル制御部SRS
50 認証連携プロトコル制御部VPN
52 認証プロトコル制御部SRS
54 VPN制御部
56 PKIデータベース
58 シングルサインオンプロトコル
60 TLSプロトコル
62 認証プロトコル
64 証明書検証プロトコル
102 ネットワーク
104 DHCPサーバ
106 プライベートネットワーク
108 IPsecゲートウェイサーバ
110 ローミングネットワーク
112 ローミング認証サーバ
114 ユーザ端末
116 無線LANアクセスポイント
118 ISP認証サーバ
120 企業認証サーバ
Claims (10)
- ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証手段、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信手段、
前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布手段
を含むことを特徴とする前記第1のネットワークに属する設定情報配布装置。 - 前記第2の応答メッセージは、前記他のネットワークにより生成されたユーザ端末の設定データを含んだ認証連携プロトコルのメッセージであることを特徴とする請求項1記載の設定情報配布装置。
- ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証ステップ、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信ステップ、
前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布ステップ
を含むことを特徴とする設定情報配布方法。 - コンピュータを、
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証手段、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信手段、
前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布手段
として機能させることを特徴とする設定情報配布プログラム。 - コンピュータを、
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証手段、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信手段、
前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布手段
として機能させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体。 - ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークから
アクセス認証に用いるクライアント電子証明書を受信する受信手段、
受信手段により受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定手段
を含むことを特徴とする認証転送装置。 - ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークからアクセス認証に用いるクライアント電子証明書を受信する受信ステップ、
受信ステップにより受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定ステップ
を含むことを特徴とする認証転送方法。 - コンピュータを、
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークからアクセス認証に用いるクライアント電子証明書を受信する受信手段、
受信手段により受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定手段
として機能させることを特徴とする認証転送プログラム。 - コンピュータを、
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークからアクセス認証に用いるクライアント電子証明書を受信する受信手段、
受信手段により受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定手段
として機能させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体。 - コンピュータを、
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を第1のネットワークへ要求する認証要求手段、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて他のネットワークから取得した他のネットワークに対する前記ユーザ端末に設定される設定データを受信する受信手段、
前記受信手段により受信した設定データをクライアント電子証明書に含まれる他のネットワークの連携すべき順位を示すデータに基づいて順次設定する設定手段
として機能させることを特徴とする設定情報受信プログラム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102004045147A DE102004045147A1 (de) | 2004-09-17 | 2004-09-17 | Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm |
DE102004045147.8 | 2004-09-17 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006085719A true JP2006085719A (ja) | 2006-03-30 |
JP4777729B2 JP4777729B2 (ja) | 2011-09-21 |
Family
ID=35221233
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005270709A Expired - Fee Related JP4777729B2 (ja) | 2004-09-17 | 2005-09-16 | 設定情報配布装置、方法、プログラム及び媒体 |
Country Status (5)
Country | Link |
---|---|
US (1) | US7913080B2 (ja) |
JP (1) | JP4777729B2 (ja) |
DE (1) | DE102004045147A1 (ja) |
FR (1) | FR2877521B1 (ja) |
GB (1) | GB2418819B (ja) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007243496A (ja) * | 2006-03-07 | 2007-09-20 | Softbank Bb Corp | 移動体通信における認証システム及び認証方法 |
WO2008029828A1 (fr) * | 2006-09-07 | 2008-03-13 | Panasonic Corporation | Système pour gérer une identification concernant une authentification d'un dispositif électronique |
JP2008097600A (ja) * | 2006-10-06 | 2008-04-24 | Ricoh Co Ltd | ポートベース認証中のネットワークトラフィックの遮断防止 |
JP2009211374A (ja) * | 2008-03-04 | 2009-09-17 | Nippon Telegr & Teleph Corp <Ntt> | Vpn多重帰属システムおよび認証制御方法 |
JP2010507959A (ja) * | 2006-10-24 | 2010-03-11 | ノキア コーポレイション | サービスアカウントを生成し、それと共に使用する装置を構成するためのシステム、装置及び方法 |
JP2010152619A (ja) * | 2008-12-25 | 2010-07-08 | Nippon Telegr & Teleph Corp <Ntt> | 認証サーバ提示方法、サービス提供システム、サービス提供装置、およびサービス提供プログラム |
JP5080583B2 (ja) * | 2007-09-27 | 2012-11-21 | パナソニック株式会社 | 情報サーバ及び移動端末並びに移動端末により実行される方法 |
JP2013196036A (ja) * | 2012-03-15 | 2013-09-30 | Fujitsu Ltd | サービス要求装置、サービス要求方法およびサービス要求プログラム |
JP2016051268A (ja) * | 2014-08-29 | 2016-04-11 | 株式会社Nttドコモ | 認証システム、認証サーバ、クライアント装置及び認証方法 |
US9621591B2 (en) | 2014-04-14 | 2017-04-11 | International Business Machines Corporation | Service provisioning with improved authentication processing |
Families Citing this family (58)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9167053B2 (en) | 2005-09-29 | 2015-10-20 | Ipass Inc. | Advanced network characterization |
US8607051B2 (en) * | 2006-04-11 | 2013-12-10 | Qualcomm Incorporated | Method and apparatus for binding multiple authentications |
EP2021960B1 (en) * | 2006-05-25 | 2015-12-23 | Celltrust Corporation | Secure mobile information management system and method |
US9572033B2 (en) | 2006-05-25 | 2017-02-14 | Celltrust Corporation | Systems and methods for encrypted mobile voice communications |
US8260274B2 (en) * | 2006-05-25 | 2012-09-04 | Celltrust Corporation | Extraction of information from e-mails and delivery to mobile phones, system and method |
US8225380B2 (en) | 2006-05-25 | 2012-07-17 | Celltrust Corporation | Methods to authenticate access and alarm as to proximity to location |
US8280359B2 (en) * | 2006-05-25 | 2012-10-02 | Celltrust Corporation | Methods of authorizing actions |
US9445353B2 (en) | 2006-09-14 | 2016-09-13 | Omnitrail Technologies Inc. | Presence platform for passive radio access network-to-radio access network device transition |
US20090298514A1 (en) | 2006-09-14 | 2009-12-03 | Shah Ullah | Real world behavior measurement using identifiers specific to mobile devices |
JP2010533405A (ja) * | 2007-07-09 | 2010-10-21 | グレガー ガルバジェス, | システムと閉められたネットワークから専用の装置への安全に通信on−需要内容のための、そして、専用の装置に内容を安全に伝えている閉められたネットワークにおいて、内容使用データを編集するための方法 |
US8839386B2 (en) * | 2007-12-03 | 2014-09-16 | At&T Intellectual Property I, L.P. | Method and apparatus for providing authentication |
WO2009121046A1 (en) * | 2008-03-28 | 2009-10-01 | Celltrust Corporation | Systems and methods for secure short messaging service and multimedia messaging service |
JP4336766B1 (ja) * | 2008-04-18 | 2009-09-30 | 日本電気株式会社 | 無線通信システム、認証処理部選択方法 |
EP2134122A1 (en) * | 2008-06-13 | 2009-12-16 | Hewlett-Packard Development Company, L.P. | Controlling access to a communication network using a local device database and a shared device database |
WO2010092764A1 (ja) * | 2009-02-13 | 2010-08-19 | パナソニック株式会社 | ゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末 |
US8533784B2 (en) * | 2009-04-30 | 2013-09-10 | Centurylink Intellectual Property Llc | System and method for separating control of a network interface device |
CN101674268A (zh) * | 2009-09-25 | 2010-03-17 | 中兴通讯股份有限公司 | 接入因特网控制装置及其方法、网关 |
EP2405678A1 (en) * | 2010-03-30 | 2012-01-11 | British Telecommunications public limited company | System and method for roaming WLAN authentication |
US9560036B2 (en) * | 2010-07-08 | 2017-01-31 | International Business Machines Corporation | Cross-protocol federated single sign-on (F-SSO) for cloud enablement |
CN102075904B (zh) * | 2010-12-24 | 2015-02-11 | 杭州华三通信技术有限公司 | 一种防止漫游用户再次认证的方法和装置 |
US9270471B2 (en) * | 2011-08-10 | 2016-02-23 | Microsoft Technology Licensing, Llc | Client-client-server authentication |
US9529996B2 (en) | 2011-10-11 | 2016-12-27 | Citrix Systems, Inc. | Controlling mobile device access to enterprise resources |
US8806570B2 (en) | 2011-10-11 | 2014-08-12 | Citrix Systems, Inc. | Policy-based application management |
US9280377B2 (en) | 2013-03-29 | 2016-03-08 | Citrix Systems, Inc. | Application with multiple operation modes |
US20140032733A1 (en) | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
US9215225B2 (en) | 2013-03-29 | 2015-12-15 | Citrix Systems, Inc. | Mobile device locking with context |
US20140053234A1 (en) | 2011-10-11 | 2014-02-20 | Citrix Systems, Inc. | Policy-Based Application Management |
EP2777325A4 (en) * | 2011-10-12 | 2015-10-21 | Omnitrail Technologies Inc | PRESENCE PLATFORM FOR A TRANSITION FROM A PASSIVE RADIO ACCESS NETWORK TO A RADIO ACCESS NETWORK DEVICE |
US8776209B1 (en) * | 2012-03-09 | 2014-07-08 | Juniper Networks, Inc. | Tunneling session detection to provide single-sign on (SSO) functionality for a VPN gateway |
JP5854138B2 (ja) * | 2012-06-21 | 2016-02-09 | 富士通株式会社 | 情報処理システム,情報処理方法,通信装置 |
US8613070B1 (en) | 2012-10-12 | 2013-12-17 | Citrix Systems, Inc. | Single sign-on access in an orchestration framework for connected devices |
US9516022B2 (en) | 2012-10-14 | 2016-12-06 | Getgo, Inc. | Automated meeting room |
US20140109171A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Providing Virtualized Private Network tunnels |
US20140109176A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Configuring and providing profiles that manage execution of mobile applications |
US8910239B2 (en) | 2012-10-15 | 2014-12-09 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
US20140108793A1 (en) | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
US9971585B2 (en) | 2012-10-16 | 2018-05-15 | Citrix Systems, Inc. | Wrapping unmanaged applications on a mobile device |
EP2909715B1 (en) | 2012-10-16 | 2022-12-14 | Citrix Systems, Inc. | Application wrapping for application management framework |
US9606774B2 (en) | 2012-10-16 | 2017-03-28 | Citrix Systems, Inc. | Wrapping an application with field-programmable business logic |
US9191874B2 (en) | 2012-12-31 | 2015-11-17 | Ipass Inc. | Advanced network characterization and migration |
US10789594B2 (en) | 2013-01-31 | 2020-09-29 | Moshir Vantures, Limited, LLC | Method and system to intelligently assess and mitigate security risks on a mobile device |
US10511448B1 (en) * | 2013-03-15 | 2019-12-17 | Jeffrey E. Brinskelle | Secure communications improvements |
US8849978B1 (en) | 2013-03-29 | 2014-09-30 | Citrix Systems, Inc. | Providing an enterprise application store |
US9455886B2 (en) | 2013-03-29 | 2016-09-27 | Citrix Systems, Inc. | Providing mobile device management functionalities |
US9355223B2 (en) | 2013-03-29 | 2016-05-31 | Citrix Systems, Inc. | Providing a managed browser |
US8813179B1 (en) | 2013-03-29 | 2014-08-19 | Citrix Systems, Inc. | Providing mobile device management functionalities |
US10284627B2 (en) | 2013-03-29 | 2019-05-07 | Citrix Systems, Inc. | Data management for an application with multiple operation modes |
US20140297840A1 (en) | 2013-03-29 | 2014-10-02 | Citrix Systems, Inc. | Providing mobile device management functionalities |
US9985850B2 (en) | 2013-03-29 | 2018-05-29 | Citrix Systems, Inc. | Providing mobile device management functionalities |
WO2015016845A1 (en) * | 2013-07-30 | 2015-02-05 | Empire Technology Development, Llc | Component management via secure communications |
JP6305005B2 (ja) * | 2013-10-17 | 2018-04-04 | キヤノン株式会社 | 認証サーバーシステム、制御方法、そのプログラム |
US9729539B1 (en) | 2014-03-28 | 2017-08-08 | Pulse Secure, Llc | Network access session detection to provide single-sign on (SSO) functionality for a network access control device |
CN104092599B (zh) * | 2014-07-24 | 2018-03-06 | 广东欧珀移动通信有限公司 | 一种移动终端检测邮件发件服务器端口的方法及移动终端 |
JP2016085641A (ja) * | 2014-10-27 | 2016-05-19 | キヤノン株式会社 | 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム |
US9942200B1 (en) * | 2014-12-02 | 2018-04-10 | Trend Micro Inc. | End user authentication using a virtual private network |
JP6740618B2 (ja) * | 2015-02-25 | 2020-08-19 | 株式会社リコー | 情報処理装置、通信システム、通信方法 |
CN106341233A (zh) | 2015-07-08 | 2017-01-18 | 阿里巴巴集团控股有限公司 | 客户端登录服务器端的鉴权方法、装置、系统及电子设备 |
WO2019221738A1 (en) * | 2018-05-17 | 2019-11-21 | Nokia Technologies Oy | Facilitating residential wireless roaming via vpn connectivity over public service provider networks |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001197058A (ja) * | 2000-01-05 | 2001-07-19 | Nippon Telegr & Teleph Corp <Ntt> | 端末−保守サーバ間認証鍵共有方法及び端末リモートメンテナンス実施方法 |
JP2004135248A (ja) * | 2002-08-09 | 2004-04-30 | Fujitsu Ltd | 仮想閉域網システム |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6061346A (en) * | 1997-01-17 | 2000-05-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure access method, and associated apparatus, for accessing a private IP network |
US6275941B1 (en) * | 1997-03-28 | 2001-08-14 | Hiatchi, Ltd. | Security management method for network system |
US6233577B1 (en) * | 1998-02-17 | 2001-05-15 | Phone.Com, Inc. | Centralized certificate management system for two-way interactive communication devices in data networks |
US6799270B1 (en) * | 1998-10-30 | 2004-09-28 | Citrix Systems, Inc. | System and method for secure distribution of digital information to a chain of computer system nodes in a network |
GB2348778A (en) * | 1999-04-08 | 2000-10-11 | Ericsson Telefon Ab L M | Authentication in mobile internet access |
US6275859B1 (en) * | 1999-10-28 | 2001-08-14 | Sun Microsystems, Inc. | Tree-based reliable multicast system where sessions are established by repair nodes that authenticate receiver nodes presenting participation certificates granted by a central authority |
US6978364B1 (en) * | 2000-04-12 | 2005-12-20 | Microsoft Corporation | VPN enrollment protocol gateway |
US6898710B1 (en) * | 2000-06-09 | 2005-05-24 | Northop Grumman Corporation | System and method for secure legacy enclaves in a public key infrastructure |
GB2369530A (en) * | 2000-11-24 | 2002-05-29 | Ericsson Telefon Ab L M | IP security connections for wireless authentication |
GB2378010A (en) * | 2001-07-27 | 2003-01-29 | Hewlett Packard Co | Mulit-Domain authorisation and authentication |
GB2385955A (en) * | 2002-02-28 | 2003-09-03 | Ibm | Key certification using certificate chains |
CN1268093C (zh) * | 2002-03-08 | 2006-08-02 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
MXPA04012157A (es) * | 2002-06-06 | 2005-04-19 | Thomson Licensing Sa | Interfuncionamiento con base de intermediario con el uso de certificados jerarquicos. |
US7882346B2 (en) * | 2002-10-15 | 2011-02-01 | Qualcomm Incorporated | Method and apparatus for providing authentication, authorization and accounting to roaming nodes |
US7565529B2 (en) * | 2004-03-04 | 2009-07-21 | Directpointe, Inc. | Secure authentication and network management system for wireless LAN applications |
-
2004
- 2004-09-17 DE DE102004045147A patent/DE102004045147A1/de not_active Withdrawn
-
2005
- 2005-09-09 GB GB0518459A patent/GB2418819B/en not_active Expired - Fee Related
- 2005-09-15 FR FR0509458A patent/FR2877521B1/fr active Active
- 2005-09-16 JP JP2005270709A patent/JP4777729B2/ja not_active Expired - Fee Related
- 2005-09-16 US US11/227,170 patent/US7913080B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001197058A (ja) * | 2000-01-05 | 2001-07-19 | Nippon Telegr & Teleph Corp <Ntt> | 端末−保守サーバ間認証鍵共有方法及び端末リモートメンテナンス実施方法 |
JP2004135248A (ja) * | 2002-08-09 | 2004-04-30 | Fujitsu Ltd | 仮想閉域網システム |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007243496A (ja) * | 2006-03-07 | 2007-09-20 | Softbank Bb Corp | 移動体通信における認証システム及び認証方法 |
WO2008029828A1 (fr) * | 2006-09-07 | 2008-03-13 | Panasonic Corporation | Système pour gérer une identification concernant une authentification d'un dispositif électronique |
JP2008065584A (ja) * | 2006-09-07 | 2008-03-21 | Matsushita Electric Ind Co Ltd | 電子機器の認証に関する識別管理のためのシステム |
JP2008097600A (ja) * | 2006-10-06 | 2008-04-24 | Ricoh Co Ltd | ポートベース認証中のネットワークトラフィックの遮断防止 |
JP2010507959A (ja) * | 2006-10-24 | 2010-03-11 | ノキア コーポレイション | サービスアカウントを生成し、それと共に使用する装置を構成するためのシステム、装置及び方法 |
JP5080583B2 (ja) * | 2007-09-27 | 2012-11-21 | パナソニック株式会社 | 情報サーバ及び移動端末並びに移動端末により実行される方法 |
JP2009211374A (ja) * | 2008-03-04 | 2009-09-17 | Nippon Telegr & Teleph Corp <Ntt> | Vpn多重帰属システムおよび認証制御方法 |
JP2010152619A (ja) * | 2008-12-25 | 2010-07-08 | Nippon Telegr & Teleph Corp <Ntt> | 認証サーバ提示方法、サービス提供システム、サービス提供装置、およびサービス提供プログラム |
JP2013196036A (ja) * | 2012-03-15 | 2013-09-30 | Fujitsu Ltd | サービス要求装置、サービス要求方法およびサービス要求プログラム |
US9621591B2 (en) | 2014-04-14 | 2017-04-11 | International Business Machines Corporation | Service provisioning with improved authentication processing |
JP2016051268A (ja) * | 2014-08-29 | 2016-04-11 | 株式会社Nttドコモ | 認証システム、認証サーバ、クライアント装置及び認証方法 |
Also Published As
Publication number | Publication date |
---|---|
JP4777729B2 (ja) | 2011-09-21 |
DE102004045147A1 (de) | 2006-03-23 |
GB2418819B (en) | 2007-11-07 |
FR2877521A1 (fr) | 2006-05-05 |
GB2418819A (en) | 2006-04-05 |
GB0518459D0 (en) | 2005-10-19 |
US20060117104A1 (en) | 2006-06-01 |
US7913080B2 (en) | 2011-03-22 |
FR2877521B1 (fr) | 2017-01-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4777729B2 (ja) | 設定情報配布装置、方法、プログラム及び媒体 | |
US9455958B1 (en) | Credentials management in large scale virtual private network deployment | |
US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
US20060064589A1 (en) | Setting information distribution apparatus, method, program, medium, and setting information reception program | |
CN101371550B (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
US7673146B2 (en) | Methods and systems of remote authentication for computer networks | |
US7587598B2 (en) | Interlayer fast authentication or re-authentication for network communication | |
JP4801147B2 (ja) | 証明を配送するための方法、システム、ネットワーク・ノード及びコンピュータ・プログラム | |
US7542572B2 (en) | Method for securely and automatically configuring access points | |
US20080022392A1 (en) | Resolution of attribute overlap on authentication, authorization, and accounting servers | |
US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
US20060259759A1 (en) | Method and apparatus for securely extending a protected network through secure intermediation of AAA information | |
US8402511B2 (en) | LDAPI communication across OS instances | |
EP3143780B1 (en) | Device authentication to capillary gateway | |
US20070263577A1 (en) | Method for Enrolling a User Terminal in a Wireless Local Area Network | |
JP2010045542A (ja) | 認証システム、接続制御装置、認証装置および転送装置 | |
JP2009217722A (ja) | 認証処理システム、認証装置、管理装置、認証処理方法、認証処理プログラムおよび管理処理プログラム | |
JP4169534B2 (ja) | モバイル通信サービスシステム | |
Gollier et al. | SSID Confusion: Making Wi-Fi Clients Connect to the Wrong Network | |
Ekström | Securing a wireless local area network: using standard security techniques | |
Pagliusi | Internet Authentication for Remote Access | |
Nou | Network Management | |
Yan ADIKUSUMA et al. | Delegated Validation System for Secure Authentication in WLAN | |
Networking | Project IEEE 802.16 Broadband Wireless Access Working Group< http://ieee802. org/16> Title Enhancement of 802.16 e to Support EAP-based Authentication/Key Distribution Rev. 3 | |
KR20130062965A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080324 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110405 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110606 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110621 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110630 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140708 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |