JP2006085719A - 設定情報配布装置、認証設定転送装置、方法、プログラム、媒体及び設定情報受信プログラム - Google Patents

設定情報配布装置、認証設定転送装置、方法、プログラム、媒体及び設定情報受信プログラム Download PDF

Info

Publication number
JP2006085719A
JP2006085719A JP2005270709A JP2005270709A JP2006085719A JP 2006085719 A JP2006085719 A JP 2006085719A JP 2005270709 A JP2005270709 A JP 2005270709A JP 2005270709 A JP2005270709 A JP 2005270709A JP 2006085719 A JP2006085719 A JP 2006085719A
Authority
JP
Japan
Prior art keywords
authentication
network
user terminal
setting
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005270709A
Other languages
English (en)
Other versions
JP4777729B2 (ja
Inventor
Hiroyuki Taniguchi
浩之 谷口
Izuru Sato
出 佐藤
Takeyuki Onishi
健之 大西
Markus Schneider
シュナイデル マルクス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JP2006085719A publication Critical patent/JP2006085719A/ja
Application granted granted Critical
Publication of JP4777729B2 publication Critical patent/JP4777729B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】 複数のドメインで独立して行われる各種サービス要求と設定の配布を連携し、ユーザの利便性を向上し、且つ、配布情報の正確さをそれぞれのドメインで保証する設定情報配布装置を提供することを目的とする。
【解決手段】 ユーザ端末と第1ネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末4からの認証要求を受け付けて認証し、ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、ユーザ端末4に設定される設定データを要求する認証連携要求を他のネットワークへ送信し、認証要求に対する第1応答メッセージへ認証連携要求に対する第2応答メッセージに含まれた設定データを乗せかえることにより付加し、設定データが付加された第1応答メッセージをユーザ端末に配布することを特徴とする第1のネットワークに属する設定情報配布装置。
【選択図】 図1

Description

本発明は、エンドユーザが、複数のネットワークへの接続およびサービスの設定を安全に行える設定情報配布装置、認証設定転送装置、方法、プログラム、媒体及び設定情報受信プログラムに関する発明である。
近年、IMT−2000、無線LAN等に代表される様々なネットワークの増加や、無線通信機能を搭載したパーソナルコンピュータ(以下、PCという)やパーソナルデジタルアシスタンス(以下、PDAという)などの情報ユーザ端末の普及により、いつでもどこでもネットワークに接続して様々なサービスを利用できる環境が整いつつある。
これらのネットワークやサービスは、複数の事業者ドメインやシステムで運営されており、ユーザは、個々の事業者と契約して、様々なサービスを利用している。このような環境を利用して、公衆無線LANを有するネットワークから企業網のようなプライベートなネットワークにリモートアクセスするようなことが一般的になっている。
ネットワークを介したサービスを利用するユーザの拡大と同時に、なりすましや盗聴などネットワークを利用した犯罪の増加が懸念されており、ユーザ自身がセキュリティ対策を行う必要がある。このセキュリティ対策として、ネットワークにつながるユーザ端末に、ウイルス・ワーム対策としての検知アプリケーションを実装することが一般的になり、また侵入対策としてのファイヤーウォールや盗聴対策としての暗号化アプリケーションや認証機能を実装することが一般的になってきた。また、ネットワーク側でも公衆無線LAN等において利用者間のセキュリティを考慮して、無線の暗号化を行っている。
しかし、前述したようなセキュリティ対策では、ユーザ自身が各種ツールの設定やウィルス定義の更新等を行う必要があるため、運用ミスが発生しやすい。特に、モバイルの環境において、無線LANの暗号鍵の変更、又は、端末自身、DNS、ゲートウェイ、Proxy等のIPアドレスも変更する必要があり、ここでも運用ミスが発生しやすい。現状では、ユーザ自身のセキュリティを維持できないだけでなく、サービスを提供するネットワーク側にもウィルスやワームによる被害が拡大するなど大きな影響を与えている。今後も、広範囲に発展しつづけるモバイル環境で、ユーザの利便性を高めながら、高いセキュリティを維持するための技術や運用手法が求められている。
(1)アクセスネットワークのひとつとして発展している無線LANについて、この暗号鍵設定を自動化し、ユーザのアクセス制御を行う技術として、標準化規格であるIEEE802.1x(Network Port Authentication)を用いたシステムがある。これは、無
線LANアクセスポイントやスイッチに実装され、ネットワークにアクセスしてきたユーザをIDや電子証明書のユーザ認証子によりネットワークが認証し、認可されたユーザのみを利用可能とするアクセス制御技術である。また、同時に無線LANの暗号鍵(WEP)
を配布・更新することで高いセキュリティ運用を行える。しかし、WEPは暗号アルゴリズムが脆弱で、これを解読するツールは容易に入手できるため非常に危険である。現在、IEEE802.1xを含むセキュリティ機能がIEEE802.11iとして標準化さ
れており、強固な暗号化アルゴリズムが採用されているが、普及には時間がかかる状況である。
(2)また、無線LANを利用するために、事業者などの組織単位で異なる無線LAN
ネットワークを区別するためのアクセスID(SSID)を、ユーザ自身が設定する必要がある。同様に、ユーザ識別子も組織毎に異なっている。ユーザによる各種の設定が必要なため利便性を低めるとともに、ユーザが同じユーザ識別子やパスワードを安易に設定する傾向がある。そのため、セキュリティ上好ましくないユーザ端末の設定が潜在的に多く存在する。また、SSIDは無線LANアクセスポイントの所有者が、自由に設定することが可能であり、容易になりすましを行うことができるため非常に危険である。
SSIDを事業者毎にユーザ自身がユーザ端末に設定する利便性の低さを解消するため、提携した公衆無線LANサービスのすべてのアクセスID(SSID)などをまとめ、設定リストを事前にモバイルユーザ端末へ配布するサービスがある。海外も含めたローミングサービスを実施しているiPassやGRICでは、接続ツール内に同設定リストを保持し、ネットワークに接続している間に、自動的に更新できる。しかし、提携サービス数が増えるほど、モバイルユーザ端末のそれらの情報を保持する記憶媒体に負担がかかる。また、自動更新のための設定リストを集中管理するサーバにも負担がかるため、相当の管理コストがかかる。
(3)また、ネットワークに接続してサービスを利用するためには、ユーザ端末のIPアドレス・DNSサーバアドレス・ゲートウェイアドレス等を取得する必要がある。この設定を自動化し、動的に配布する技術として標準化規格であるRFC2131で規定されるDHCP(Dynamic Host Configuration Protocol)がある。しかし、DHCPにはセ
キュリティ対策はなく、同じサブネットにつながった悪意あるユーザがDHCPサーバになりすまして誤った設定をユーザに配布することができる。
さらに、Webブラウザがインターネットやイントラネット上のWebサーバ、Mailサーバ、FTPサーバなどへアクセスするためには、Proxyサーバを経由しなければならないことがある。Proxyサーバは、Webサーバへのアクセス要求やその応答をキャッシュして、多数のクライアントからの要求を効率よく転送し、インターネットへのアクセスを制御するために用いられる。Proxyサーバはネットワークの設定や負荷分散の方法などに応じて、さまざまな構成で使われるので、組織ごとの事情に応じて間違いなく設定するのは容易ではない。これを自動化し、動的に配布する技術として、WPAD(Web Proxy Auto-Discovery Protocol)がある。しかし、WPADにはセキュリティ
対策はなく、その自動設定にはDHCPやDNSによるアクセスが含まれるため、なりすましたDHCPサーバを介して誤った設定をユーザに配布することができる。
もし、ユーザがアクセスするMailサーバやWebサーバが、それぞれSSLなどのセキュリティに対応していれば、不正中継や無線LANによる盗聴の可能性は低くなり、安全にサービスを利用することが可能である。しかし、これらの対策には、すべてのサーバとクライアント双方に対応が必要であり、コストがかかるため、完全な普及には時間が必要である。
(4)通常、ユーザがアクセスするMailサーバやWebサーバは、ユーザが契約した会社や事業者などの組織網に配置されている。この組織網全体またはMailサーバやWebサーバが設置されているエリアがセキュアである場合に、(i)この組織網とは異なるネットワークから組織網のセキュアなエリアに安全にアクセスする技術として、標準化規格であるRFC2764(A Framework for IP Based Virtual Private Networks)
で規定された仮想閉域網と、(ii)IPパケットの機密性、安全性を保証するための暗号化と認証行う技術としてRFC2401(Security Architecture for the Internet Protocol)で規定されたIPsec、または(iii)暗号化のための鍵交換技術として
RFC2409(The Internet Key Exchange)で規定されたIKEを用いたシステムが
ある。これらを組み合わせたアプリケーションを、組織網のセキュアなエリアへの入り口
に置かれたゲートウェイサーバとユーザのユーザ端末に入れて、ユーザ認証によるアクセス制御と、通信情報の暗号化により、ネットワークから組織網のセキュアなエリアへ安全なアクセスを実現する。しかし、ゲートウェイサーバや関連するProxyサーバなどのIPアドレスを、ユーザ自身が設定する必要があるため、利便性が高いとはいえない。
(5)また、IPsecによるセキュアな通信を確立する前に、IKEにより暗号鍵交換が行われる。組織網のゲートウェイサーバが鍵交換要求をしてきたユーザを認証するが、管理元が異なるため、ネットワークにアクセスする際のユーザ認証で使われるユーザ識別子と、組織網に接続する際のユーザ認証で使われるユーザ識別子とは一般的に異なる。そのためユーザは少なくとも2個以上のユーザ識別子を管理しなくてはならず、利便性は低くなる。また、セキュリティ意識の低いユーザは、すべて同じユーザ識別子やパスワードを設定し、組織網のセキュリティを低下させる。
ここで、強固なユーザ認証技術であるPKI(Public Key Infrastructure)を用いて
、ユーザ認証を行えば、パスワード漏えいによる被害はなくすことができる。しかし、外部ネットワークのアクセス認証と組織網へのアクセス認証に同じユーザ認証子を用いたとしても、同じ認証処理を繰り返しているために、セキュアな通信を確立するまでの時間がかかり、利便性は低くなる。
(6)これに対して、前述した、ローミングサービスを実施しているiPassでは、契約した組織網を含むネットワークのうち、ひとつのユーザ認証子(例えば組織網のID/Password)を用いて、ある提携ネットワークにアクセスし、ユーザ認証子をローミングして、これを管理する組織網の認証サーバに認証認可させ、さらに組織網のゲートウェイサーバと連携した一括認証認可処理と暗号鍵配布を可能にしている。しかし、組織網の認証サーバとゲートウェイサーバ間の連携には、特定のゲートウェイサーバ用プロトコルが利用される。また、連携は同じ事業社内のドメインやシステムに限られている。事業者やシステムが多岐にわたるサービスに対して自動設定を安全に行える汎用性はない。
図22は、従来の技術によって、公衆無線LANのようなネットワークから、公衆無線LANのようなネットワークと管理単位の異なる企業のような組織網へリモートアクセス行う方法を説明する図である。
図22に示すネットワーク102とは、公衆無線LANに代表され、事業者によってネットワーク接続サービスが提供されるネットワーク102であり、インターネットなどへ接続されているネットワーク102である。また、公衆無線LANとは、無線LANなどで構築された、領域限定の通信ネットワークのことであり、例えば、店舗や企業の社屋内などに無線LANなどにより構築されたネットワーク102である。従って、公衆無線LANは、移動通信事業者のサービスの配下にあるが、店舗や企業が移動通信事業者と契約をして、店舗あるいは企業の社屋内に限定して構築される。
従来においては、図22に示すように、インターネットサービスプロバイダ(ISP)な
どの通信事業者が公衆無線LANサービスを運営し、インターネットなどへのネットワーク接続サービスを提供する。ISPには、各種サーバのIPアドレスなどを配布するDHCPサーバ104が設置されている。また、プライベートネットワーク106である企業などの組織網には、インターネットなどから組織網内にアクセスするためのIPsecゲートウェイサーバ108のようなゲートウェイが設置されている。また、前述したiPassのようなローミングネットワーク110であるローミングネットワーク事業者(RSP
)には、複数のISPをローミングして、例えば企業が管理する一つのID/Passwordで、公衆無線LANサービスへのネットワークアクセス認証を行うことができるた
めのローミング認証サーバ112が設置されている。以下、ユーザ端末114が公衆無線LANからインターネットを介して企業などの組織網に安全にアクセス接続する手順について、図23に示したシーケンスを図22を参照して説明する。
<ネットワークリンク(レイヤ2 データリンク)の接続:暗号アルゴリズムの脆弱性>
まず、ユーザは事前に登録している公衆無線LANサービスの識別子であるSSIDの設定をユーザ端末114に行い(図22の(2))、無線LANアクセスポイントが発信するビーコンの中に含まれるSSIDを検出・選択して、ネットワークアクセス認証を開始する(図22の(3))。無線LANアクセスポイント116は、ユーザ端末114からの通信を一時遮断し、ユーザ端末114からの認証情報を受け付けて、ISP内部のISP認証サーバ118にユーザ端末114のサービス利用に対する正当性を確認する(図22の(4)、(5))。このとき、ローミングユーザであれば、RSPを経由して企業網へローミング認証要求を行い、企業の企業認証サーバ120で認証を行ってもらう(図22の(6)から(9))。認証結果がOKになれば、無線LANアクセスポイント116は、遮断していたユーザに対するネットワークリンクを開放する(図22の(10)から(13))。無線LANのリンクを流れるデータはWEPにより暗号化されているが、暗号アルゴリズムが脆弱なため、盗聴が可能であり、セキュリティとして安全とは言えない。
<IPネットワークの接続:なりすまし(spoofing)>
次に、ユーザ端末114はネットワークリンクの接続を完了すると、ユーザ端末114、DNSサーバ、インターネットへの接続を行うゲートウェイなどのIPアドレスを含むLAN設定を取得するための要求をDHCPサーバ104へ行い、LAN設定を入手する(図22の(14))。ユーザは、事前にDHCPサーバ104自身のIPアドレス等を指定する必要はない。そのため、同じ公衆無線LAN内にDHCPサーバ104になりすました機器が存在した場合には、不正中継による盗聴やサービス妨害などが可能になり、セキュリティが確保できない。
<ユーザの利便性>
さらに、あらかじめユーザ端末114に設定した、組織網のゲートウェイサーバのIPアドレスに対して、IPsecによるセキュアな通信を始めるために、鍵交換であるIKE手順を開始する。IKE手順の中では、鍵交換のためのユーザ認証が行われる場合がある。IKE自体はセキュアなプロトコルであるが、ネットワークアクセスから安全にサービスを開始するための手順が多く、実際にサービスを安全に開始するまでのユーザの利便性は損なわれている。また、前述したiPassなどで提供されるサービスでは、ネットワークアクセスの認証と同時に認証サーバとゲートウェイサーバが連携して、鍵配布を行うことが可能である。しかし、組織網とセキュア通信を始める前に、複数事業者によるサービスの連続認証や自動設定を含めることは想定されていない。例えば、別の独立したネットワーク102がモバイルIPサービスのホームエージェントサーバやVoIPサービスのSIPサーバを有している場合、すべての認証を連携させることは想定していない。この点で従来技術の汎用性は低い。
また、既知の端末を自動設定する類似した発明には、以下のようなものがあるが、上記問題は解決されていない。
特許文献1は、アドレス設定方法及び装置に関する発明である。任意のMACアドレスの端末に対するIPアドレス自動設定システムを開示する。
特開平11−234342号公報
上述したような従来方式では、事業者などの管理単位が異なるネットワークのサービス開始手順を連携することができないため、サービスを安全にかつ早く使いたいユーザに対しての利便性が高いとは言えない。特に、各種サービスの設定をユーザのユーザ端末に対して安全に配布するためには、ユーザ端末と各事業者間でセキュアな経路を確立するなどの対策が必要であり、ここでも手順が煩雑になるため、ユーザの利便性は損なわれている。
本発明はこのような問題を解決するためになされたもので、その目的は、複数のドメインで独立して行われる各種サービス要求と設定の配布を連携し、ユーザの利便性を向上し、且つ、配布情報の正確さをそれぞれのドメインで保証する設定情報配布装置、認証設定転送装置、方法、プログラム、媒体及び設定情報受信プログラムを提供する。
本発明は上記目的を達成するため、ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証手段、ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信手段、認証要求に対する第1の応答メッセージへ認証連携要求に対する第2の応答メッセージに含まれた設定データを乗せかえることにより付加し、設定データが付加された第1の応答メッセージをユーザ端末に配布する配布手段を含むことを特徴とする。
本発明の設定情報配布装置によれば、複数のネットワーク(複数のドメイン)がそれぞれ生成したユーザ端末の設定データを最終的にユーザ端末とネットワーク間の認証プロトコルのメッセージに一括して含めることができる。これにより、ユーザがネットワークに接続する前に、複数のネットワークに対するユーザ端末の設定データを、ひとつの認証処理の中で、ユーザ端末へ安全に配布できる。即ち、複数のドメインで独立して行われる各種サービス要求と設定の配布を連携できる。
更に、複数のネットワーク間の認証連携手順を使用するので、ネットワーク間で相互に送られるメッセージには、クライアントの公開鍵による暗号化または各サーバによる署名が含まれており盗聴や改竄は不可能である。各ネットワークドメインは、設定データを格納できるメッセージ拡張を利用することで、ユーザ端末に対して設定すべき設定データを安全に配布できる。
また、本発明は、ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークからアクセス認証に用いるクライアント電子証明書を受信する受信手段、受信手段により受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定手段を含むことを特徴とする。
本発明の認証設定転送装置によれば、クライアント電子証明書を発行する発行サーバなどのサーバで管理されている認証連携すべきサーバ(認証連携装置)のIPアドレスなどの連携データを参照するので、ネットワークアクセス認証手順において効率的に認証連携装置を決定できる。また、IPアドレスなどの連携データは、クライアント電子証明書内に直接IPアドレスやURLなどを記述するか、クライアント電子証明書に間接的にサーバを特定できるフラグを記述して、IPアドレスなどは連携する認証サーバのデータベースで管理される。
また、本発明は、コンピュータを、ユーザ端末と第1のネットワーク間のネットワーク
アクセス認証手順を用いてアクセス認証を第1のネットワークへ要求する認証要求手段、ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて他のネットワークから取得した他のネットワークに対するユーザ端末に設定される設定データを受信する受信手段、受信手段により受信した設定データをクライアント電子証明書に含まれる他のネットワークの連携すべき順位を示すデータに基づいて順次設定する設定手段
として機能させることを特徴とする。
本発明の設定情報受信プログラムによれば、認証連携すべきネットワークが複数ある場合に、電子証明書に記載された連携すべきネットワーク情報(他のネットワークの連携すべき順位を示すデータ)に基づいて順次設定するので、ユーザの利便性を向上し、且つ、配布情報の正確さをそれぞれのドメインで保証できる。
このように、各認証連携メッセージの正当性を各ネットワークが行った署名を検証して確認できるため、サービス要求と関連するユーザ設定情報を各連携サーバから安全に入手できる。また、各連携サーバは、複数のネットワーク間の認証連携手順において自サーバがユーザ端末にサービスを提供するための設定ができる。
本発明の設定情報配布装置、認証設定転送装置、方法、プログラム、媒体及び設定情報受信プログラムは、複数のドメインで独立して行われる各種サービス要求と設定の配布を連携し、ユーザの利便性を向上し、且つ、配布情報の正確さをそれぞれのドメインで保証できる。
次に本発明を実施するための最良の形態について図面を参照して説明する。
<システム機能概要>
図1及び図2は、それぞれ本発明によるリモートアクセスサービス例とそのサービスシーケンス例である。また、図3は本発明の機能ブロックである。
以下に、図3を参照して本発明に関連するシステム機能概要を述べる。
<1.外部ネットワーク2>
外部ネットワーク2は、IPネットワークサービスをユーザ端末4に提供するインターネットサービスプロバイダ(ISP)であり、無線LANアクセスポイント6(WLAN-AP)などを提供する。また、外部ネットワーク2は、インターネット接続サービスを提供するために利用者のユーザ端末4にIPアドレスを割り当てる。DHCPサーバ8は、IPアドレスを動的に割り当てる機能やProxyサーバ10などの自動設定スクリプトの格納先URLを配布する機能等を一般的に有する。本実施の形態における外部ネットワーク2は、これらに加え、ユーザがサービスを利用する際に必要なユーザ端末4の認証認可処理を行う認証機能とユーザ端末4の自動設定機能とを有するセキュリティサーバ12(SS)を有する。
<2.プライベートネットワーク14>
プライベートネットワーク14は、IPネットワークサービスを限定されたユーザに提供する企業や大学、官庁のような組織ネットワークであり、インターネットのような公共ネットワークと分離するためのVPNゲートウェイサーバ(VPN-GW)16を一般的に有している。また、プライベートネットワーク14を利用できるユーザ端末4を限定するために、認証機能もつサーバを有している。本実施の形態では、認証に公開鍵基盤であるPKIを用い、ユーザに発行した電子証明書を用いて認証を行う。プライベートネットワーク14には、PKIの管理サーバとして、後述するPKIサーバ18(PKI)を設置し、V
PNプロトコル20を使用して外部からプライベートネットワーク14へユーザ端末4が接続するためのゲートウェイとして、後述するVPNゲートウェイサーバ22(VPN-GW)を設置する。VPNゲートウェイサーバ22は電子証明書等によりユーザを認証する機能を持つ。図3では、VPNゲートウェイサーバ22を次に述べるセキュリティローミングネットワークに接続して、間接的にプライベートネットワーク14にモバイルユーザが接続できるシステムを示している。以降、本発明の実施形態を説明する上で、プライベートネットワーク14の代表例として企業網を取り上げて説明する。
<3.セキュリティローミングネットワーク24>
セキュリティローミングネットワーク24は、複数の外部ネットワーク2やプライベートネットワーク14の認証認可を含むセキュリティを連携するローミングサービスプロバイダ(RSP)である。RSPは、認証における電子証明書の検証機能などを代行し、ロー
ミングされる複数のネットワーク間での信頼関係を保証するサービスを行う。RSPは外部ネットワーク2が兼ねてもよく、サービス提供の実施形態は限定しない。本実施の形態では、セキュリティのローミングを管理するサーバとして、後述するセキュリティローミングサーバ26(SRS)を設ける。
<4.ユーザ端末4>
ユーザ端末4は、次に述べる4つの制御部からなる。まず、(1)認証プロトコル制御部EE28は、ユーザがサービスを利用する際に利用するネットワークアクセスアプリケーションから呼ばれ、電子証明書によるユーザ認証手順を実行する。次に、(2)自動設定プロトコル制御部EE30は、認証プロトコル制御部EE28から呼ばれ、応答メッセージに格納された自動設定情報(設定データ)に基づき、各種制御部に設定を行う。そして、(3)LAN制御部EE32は、ユーザ端末4、ゲートウェイサーバ、DNSサーバ、Proxyサーバ10などの各種IPアドレスを設定する。さらに、(4)セキュリティ制御部EE34は、一般的なIPsecクライアントと同様に、暗号鍵や認証鍵に基づいてVPNゲートウェイサーバ22とセキュアな通信を実行する。
<5.セキュリティサーバ12>
セキュリティサーバ12は、次に述べる4つの制御部からなる。まず、(1)認証プロトコル制御部SS36は、電子証明書によるユーザ認証機能と電子証明書の正当性を検証する検証機能とサービスの認可機能を有する。次に、(2)自動設定プロトコル制御部SS38は、認証プロトコル制御部SS36から呼ばれ、各種自動設定を行うための設定制御部や連携するネットワークを通じて収集した設定情報(設定データ)を、ユーザに配布するために拡張した認可応答メッセージに乗せかえる。認可応答メッセージの拡張部は図5に示される本発明による独自な拡張部である。そして、(3)LAN設定制御部SS40は、外部ネットワーク2内の無線LANアクセスポイント6やDHCPサーバ8等を管理し、DHCPプロトコル等を用い、状況に応じて適切なLAN設定(例えば、ユーザ端末4のIPアドレスやゲートウェイ・DNSのIPアドレス、Proxyサーバ10の自動設定スクリプトファイルの格納先URLなど)を収集する。さらに、(4)認証連携プロトコル制御部SS42は、認証連携すべきネットワークに対して、自ネットワークでのユーザ認証認可情報と生成した設定情報を通知し、各認証連携ネットワークからシングルサインオン認証結果と設定情報(設定データ)を受信する。
<6.DHCPサーバ8>
DHCPサーバ8は、ユーザ端末4がネットワークに接続するために必要なLAN設定機能(ユーザ端末IPアドレスの割り当て、DNSサーバ、ゲートウェイサーバのIPアドレスの配布、Proxyサーバ10の自動設定スクリプトの格納先URL通知など)を有する。本実施の形態では、標準化規格であるRFC2131に準拠し、これに加えてマイクロソフト社のDHCPサーバ8で標準的にサポートされているWPAD機能(Pro
xyサーバ10の自動設定スクリプトの格納先URLを応答するオプション)をサポートする一般的なDHCPサーバ8である。セキュリティサーバ12とDHCPサーバ8間でDHCPプロトコル44が使用される。
<7.セキュリティローミングサーバ26>
セキュリティローミングサーバ26は、次に述べる2つの制御部と1つのデータベースからなる。まず、(1)サービスデータベース46(サーバDB)は、クライアント電子証明書の情報を検索キーとして認証連携すべきサーバ(認証連携装置)のIPアドレスを決定する。図3は、認証連携装置として、セキュリティサーバ12、セキュリティローミングサーバ26、VPNゲートウェイサーバ22を例示している。(2)認証連携プロトコル制御部SRS48は、(i)セキュリティサーバ12の認証連携プロトコル制御部SS42やVPNゲートウェイサーバ22の認証連携プロトコル制御部VPN50から送信されたユーザ認証認可結果と設定情報を含むシングルサインオン認証要求・応答を受信し、(ii)クライアント電子証明書またはサービスデータベース46(サービスDB)内にあるサーバアドレス情報に基づき認証連携先を決定し、(iii)ユーザ認証認可結果と設定情報を決定された認証連携先へ回送する。そして、(3)認証プロトコル制御部SRS52は、電子証明書によるユーザ認証機能と電子証明書の正当性を検証する検証機能とサービスの認可機能とを有する。
<8.VPNゲートウェイサーバ22>
VPNゲートウェイサーバ22は、次に述べる2つの制御部からなる。まず、(1)認証連携プロトコル制御部VPN50は、セキュリティローミングサーバ26などの各認証連携ネットワークから認証認可結果と設定情報を含むシングルサインオン認証要求を受信し、VPNゲートウェイサーバ22における認証結果と設定情報を含めたシングルサインオン認証応答をセキュリティローミングサーバ26へ送信する。次に、(2)VPN制御部54は、認証プロトコル制御部VPNから呼ばれ、一般的なVPNゲートウェイサーバ22と同様に、ユーザ認証を行い、認証と暗号化を行うVPN鍵を生成及び配布し、VPN鍵によるアクセス制御と暗号化通信を行う。本実施の形態において、VPNゲートウェイサーバ22は、標準化規格であるRFC2401(Security Architecture for the Internet Protocol)で規定されたIPsecに準拠したVPNゲートウェイサーバ16で
ある。
<9.PKIサーバ18>
PKIサーバ18は、PKI電子証明書を発行/失効する管理機能とその電子証明書を保存するPKIデータベース56(PKI-DB)からなる。電子証明書の形式は、IETFのRFC3280で規定される形式に、ユーザ端末4を認証する際に連携すべきネットワークを示す情報を格納するために拡張されている。本実施の形態において、電子証明書の形式は、VPNゲートウェイサーバ22のIPアドレスを示す識別フラグとアクセス可能な条件(時間・曜日など)を示すサービス認可情報を格納する。
<10.シングルサインオンプロトコル58>
シングルサインオンプロトコル58は、セキュリティサーバ12、セキュリティローミングサーバ26、VPNゲートウェイサーバ22間で使用される認証認可連携プロトコルである。シングルサインオンプロトコル58は、例えば、モバイルユーザのユーザ端末4が公衆無線LANサービスを利用する際に認証認可された結果をVPNゲートウェイサーバ22に伝達するとともに、VPNゲートウェイサーバ22にて生成されたセキュリティ設定に関する情報(VPNサーバのIPアドレス・IPsecによる暗号鍵・VPNクライアントの内部用IPアドレスなど)をセキュリティローミングサーバ26あるいはセキュリティサーバ12に伝える(transmit)ために使用される。本発明の実施形態では、代表的なシングルサインオンプロトコル58であるSAMLの使用を想定する。本発明の実施
形態で必要となるセキュリティ設定情報の伝達には、SAMLプロトコルで定義されるSAMLレスポンスメッセージ内に情報要素を記述する。記述される情報要素は、VPN設定に関する情報である。
<11.TLSプロトコル60>
TLSプロトコル60はユーザ端末4、無線LANアクセスポイント6、セキュリティサーバ12間で使用される認証プロトコルである。TLSプロトコル60は、ユーザのユーザ端末4が公衆無線LANサービスを利用する際に、(i)セキュリティサーバ12がユーザを認証するためのクライアント電子証明書と、(ii)ユーザ端末4がセキュリティサーバ12または無線LANアクセスポイント6を認証するためのサーバ証明書、そして、(iii)自動設定情報(設定データ)をユーザ端末4に伝える。本発明の実施形態では、(i)ユーザ端末4と無線LANアクセスポイント6間にIEEE802.1xでサポートされるEAP−TLSプロトコル、EAP−TTLSプロトコル、PEAPプロトコルを想定し、(ii)無線LANアクセスポイント6とセキュリティサーバ12間に前記EAPを含むRADIUSプロトコル(認証プロトコル62)を想定する。本発明の実施形態で必要となる自動設定情報(上記セキュリティ設定に関する情報等)の伝達には、標準化団体であるIETFのRFC3546で規定されたTLS拡張を利用し、extensionメッセージ内に新たな自動設定のための情報要素を、連携したネットワーク毎に分離して、記述することで実現する。記述される情報要素は、IPアドレスなどのLAN設定とIPsecによる暗号鍵などセキュリティ設定に関する情報(設定データ)である。
<リモートアクセスサービスモデル>
図1に本実施形態おけるリモートアクセスサービスモデルを示す。これは、公開鍵基盤(PKI)を利用する企業に属しているモバイルユーザが、社外の複数の公衆無線LANサ
ービスから企業網へセキュアにアクセスするサービスモデルである。前提として、複数の公衆無線LANサービスを運営するISPは認証ローミングのため、ローミング事業者であるRSPと提携し、相互の身元を保証するため、PKIで使われる相互証明書を相互に発行している。企業もRSPを経由して複数の公衆無線LANサービスを利用できるようにするため、RSPと提携し、相互証明書を相互発行している。企業は事前にこのISPと提携する必要はない。このようなPKIのモデルは、一般的にブリッジモデルという。図2に本発明技術によるサービスシーケンスを示す。以下、図1を参照して実施形態の詳細を説明する。
企業はPKIによる認証基盤を有する。PKIサーバ18は、社員であるユーザや各種のサーバに対して身元を保証するためのクライアント電子証明書を発行している(図1の(1))。また、前提として、企業内の電子証明書の正当性を検証するための企業ルート証明書をユーザのユーザ端末4にインストールしている。企業は、リモートアクセス認証用の電子証明書を営業など社外活動を行うユーザに事前に発行している。この電子証明書の中には、リモートアクセスサービス情報(サービスサーバ識別子(例えば、VPNゲートウェイサーバ22を識別するための情報であって、セキュリティローミングサーバ26においてIPアドレス等のネットワークアドレスに変換可能な識別子)、アクセス可能日時など)などのサービス認可情報と、提携している公衆無線LANサービスのSSIDが記入されている。電子証明書は発行者の署名がなされており、改竄は不可能であるため、企業の意思に反したモバイルユーザがリモートアクセスサービスを利用することを制御できる。また、電子証明書は、モバイルユーザのユーザ端末4に直接格納されるか、ICカードなどの外部デバイスによりユーザ端末4に格納される。
この際、電子証明書内部の公衆無線LANサービスのSSIDは、自動設定プロトコル制御部EE30が抽出し、無線LANへのアクセスを制御するLAN制御部EE32へデ
フォルトとして自動的に設定される。そのため、ユーザはこの事前設定を意識しなくてよい。
<EE0の処理>
ユーザ端末4の処理フローを図17(EE0)に示す。ユーザ端末4は、クライアント証
明書からSSID(無線LAN設定)を検出し(S60)、ユーザ端末4のオペレーティングシステム(OS)の無線LAN設定にクライアント証明書から検出したSSIDが含まれているかを判断する(S61)。前記無線LAN設定にSSIDが含まれているとき、SSIDの設定処理を終了する。前記無線LAN設定にSSIDが含まれていないとき、ユーザ端末4のOSの無線LAN設定にSSIDを設定する(S62、図1の(2))。
<EE1の処理>
ユーザ端末4の処理フローを図18(EE1)に示す。ユーザ端末4は、無線LANアク
セスポイント6が発信しているビーコンの中に含まれるSSIDを検出する(S63)。ユーザ端末4のOSの無線LAN設定に検出したSSIDが含まれているかを判断する(S64)。前記無線LAN設定に検出したSSIDが含まれているとき、ユーザ端末4はネットワークアクセス認証(EAP認証)手順を開始する(S66、図1の(3)から(5))。この処理はWindows(登録商標)XPなどの汎用OSに含まれている。検出したSSIDがユーザ端末4の無線LAN設定と異なるとき、ユーザ端末4はクライアント端末のOSの無線LAN設定にビーコンのSSIDを設定する(S65)。
次に、ユーザ端末4がTLS_startを受信すると、クライアント証明書の自動設定ローミングサービスを検出し(S67)、TLS(Client Hello)の拡張部に自動設定ローミングサービスリクエスト(extension_typeに“7”)を設定し(S68、図4)、TLS(Client Hello)メッセージを外部ネットワーク2(本実施の形態では無線LANアクセスポイント6を介してセキュリティサーバ12)に送信する(S69、図1の(3)から(5))。
<SS1の処理>
セキュリティサーバ12の処理フローを図11(SS1)に示す。次に、セキュリティサ
ーバ12がユーザ端末4からTLS(Client Hello)メッセージを受信する(S1、図1の(5))。ここで、セキュリティサーバ12は、ユーザ端末4にセキュリティサーバ12の正当性を保証する必要ある。しかし、本実施形態の例では、セキュリティサーバ12が保有する電子証明書は、ISPにより発行された電子証明書ではないので、その正当性については、証明書検証プロトコル64(SCVP)を用い、RSPの認証プロトコル制御部SRS52へ正当性を問い合わせることで検証を実施し、サーバ証明書検証データを入手する(S2)。次に、セキュリティサーバ12は、TLS(Client Hello)メッセージの拡張部より自動設定ローミングサービスリクエスト(extension#type=7)を検出し(S
3)、端末自動設定ローミング機能があるかを判断する(S4)。端末自動設定ローミング機能がある場合(extension#type=7)は、TLSプロトコル60内のServer
Helloメッセージ内に拡張したエリアにサーバ証明書検証データを格納し、TLSの保護機能を用いて安全にTLS(Server Hello)メッセージをユーザ端末4に返信する(S6、S7)。もし、ネットワーク側が自動設定できない場合(端末自動設定ローミング機能がOFFである場合)は、認証手順NGとして処理する(S5)。
ネットワークアクセス認証は、標準的なIEEE802.1xとTLS認証手順に基づいて行われる。TLS認証手順に基づき、無線LANアクセスポイント6は、ユーザ端末4からの認証要求以外のアクセスを一時的に遮断する。ユーザ端末4のLAN制御部EE32は、接続した無線LANアクセスポイント6の正当性を確認するために、無線LAN
アクセスポイント6に対してサーバ認証を要求する。この際、無線LANアクセスポイント6は、あらかじめ共有鍵などで信頼関係が結ばれているセキュリティサーバ12に対して、ユーザからの要求をRADIUSプロトコルにのせ変えて転送する。セキュリティサーバ12の認証プロトコル制御部SS36はサーバ認証要求に対して、サーバ証明書をユーザ端末4に送信する。これにより、セキュリティサーバ12は、クライアント証明書を受信する(図12のS8)。
サーバ証明書を検証するには、サーバ証明書を発行した発行局(CA)の自己証明書(ルート証明書)がユーザのユーザ端末4に格納されている必要がある。通常、ベリサインのような代表的な電子証明書発行機関のルート証明書はユーザ端末4のOSなどに事前に設定されているため、ユーザのユーザ端末4で検証は可能である。本発明の実施形態では、図3に示すセキュリティサーバ12の認証プロトコル制御部SS36が、標準化団体であるIETFのRFC3546で規定されたTLS拡張をサポートし、外部ネットワーク2側でサーバ証明書を検証し、ユーザ端末4に対して検証結果をTLS拡張に含めてメッセージを送信する。ユーザ端末4側のLAN制御部EE32がメッセージ受信後、認証プロトコル制御部EE28で検証結果を確認することでサーバ認証を可能としている。その後、TLS認証手順に基づき、ユーザ端末4の認証プロトコル制御部EE28は、無線LANサービスを提供するISPに対して認証認可をもとめるクライアント認証を行うため、企業PKIサーバから発行されたクライアント証明書をISPへ送信する(図1の(4))。
<SS2の処理>
セキュリティサーバ12の処理フローを図12(SS2)に示す。クライアント証明書を
受信したセキュリティサーバ12は、認証プロトコル制御部SS36にてクライアント証明書を検証することで認証し、サービスの認可を行う(S8、図1の(5))。ここで、ユーザ端末4から受信した電子証明書は、ISPにより発行された電子証明書ではないので、その正当性については、サーバ証明書と同様に証明書検証プロトコル64(SCVP)を用い、標準団体であるIETFのRFC3280に規定されるPKIのBridge-C
A機能をもつRSPの認証プロトコル制御部SRS52を通じ、企業のPKIサーバ18へ正当性を問い合わせることで検証する(S9)。RSPの認証プロトコル制御部SRS52は、証明書を検証するための中継サーバまたは代理サーバとして動作する。RSPが企業のPKIサーバ18で管理される電子証明書の失効情報を保持している場合には、セキュリティサーバ12からの証明書の検証はRSPに問い合わせるだけで完了する。検証後、ISP側でのネットワークアクセス認証は終了する。
セキュリティサーバ12の認証プロトコル制御部SS36は、自動設定プロトコル制御部SS38へ認証認可結果を出力する(S10)。認証プロトコル制御部SS36は、ユーザに認証結果を返信する前に、自動設定プロトコル制御部SS38からLAN設定管理部SSに対して、DHCPサーバ8などからユーザ端末4やDNSやゲートウェイなどのIPアドレスを含むLAN設定情報を入手するように指示する(S11)。その後、自動設定プロトコル制御部SS38は、ユーザ端末4がセキュリティローミングサービスを要求していることをTLS拡張に追加した自動設定ローミングサービスリクエスト(extension#type=7)があるかを判断する(S12)。S11により、自動設定プロトコル制御
部SS38は、認証連携プロトコル制御部SS42に認証連携プロトコルを用いて、連携するネットワークまたはサービスのLAN設定情報を収集するように要求する。セキュリティサービス/セキュリティローミングサービス要求をしていない場合(extension#type=6または7以外)は、上記LAN設定情報をTLSプロトコル60内のServer
Finishメッセージ内に拡張したエリアに格納し、TLSの保護機能を用いて安全にユーザに返信する(S13からS15)。
セキュリティサーバ12の認証連携プロトコル制御部SS42は、クライアント電子証明書内に記述されたサービス認可情報を参照して、連携するネットワークまたはサービスを判断する。これらの設定情報を収集するために、ISPでのユーザ端末4の認証認可結果と設定情報であるLAN設定を含めたセキュリティローミングサービス要求を、サービス認可情報に含まれる認証連携サーバに対して行う(図1の(8))。ここでは、TLS拡張部に示された自動設定サービスリクエスト(extension#type=7、図4)により、こ
れらのローミング処理を一括して行うRSPのセキュリティローミングサーバ26に対してローミングサービス要求行う。具体的には、標準的なシングルサインオンメッセージであるSAMLプロトコルを用い、SAMLリクエストメッセージ内のAuthorization Decision Queryにroamingを記述してサービス要求とする(S16、図6)。ISPでのネットワークアクセス認証結果を示すAssertionに(i)ユーザ認証認可情報、全TLS認証メッセージ及び(ii)LAN設定情報を付加して送信する(S17からS19)。また、SAMLメッセージにはクライアント電子証明書が含まれる。SAMLメッセージはISPの電子署名と暗号化により保護される。
<SRS1の処理>
セキュリティローミングサーバ26の処理フローを図14(SRS1)に示す。RSPのセキュリティローミングサーバ26は、セキュリティローミングサービス要求であるSAMLメッセージを認証連携プロトコル制御部SRS48で受信し、メッセージの正当性を電子署名で確認する(S30)。認証連携プロトコル制御部SRS48では、SAMLメッセージに含まれるクライアント電子証明書に記述されたサービス認可情報を参照し、指定されたネットワークとサービスの連携を開始する(S31、図1の(9)、(10))。具体的には、図7に示すように、企業網へのアクセスに対してVPNを行うことがクライアント電子証明書に記載されている。認証連携プロトコル制御部SRS48は、(i)電子証明書内の情報のVPNサーバフラグからRSP内のサービスデータベース46内に事前に管理されている企業のVPNゲートウェイサーバ22のIPアドレスを抽出し、(ii)ネットワークアクセス認証認可結果とユーザ端末4のLAN設定情報が含まれたSAMLメッセージをVPNゲートウェイサーバ22に送信し、(iii)VPN接続(鍵交換)要求を行う(S32からS34、図1の(10))。図21は、サービスデータベース46における企業のVPNゲートウェイサーバ22のIPアドレスを示すテーブルである。SAMLメッセージはRSPの電子署名と暗号化により保護される。本実施の形態では、連携するネットワークは企業のVPNゲートウェイサーバ22の1つのみであるが、複数の場合もセキュリティローミングサーバ26がアンカーとなり、認証連携プロトコルを用い順次連携することで、複数サーバとの連携が可能である。その際、連携する順番が重要になるが、これもクライアント電子証明書内に記述されており、その指示に従えばよい。また、本認証連携プロトコル制御部をもつサーバ(認証連携装置)であれば、リレー式に連携することも可能である。
<VPNの処理>
VPNゲートウェイサーバ22の処理フローを図16のVPNに示す。企業のVPNゲートウェイサーバ22は、図7に示すVPN接続要求であるSAMLメッセージを認証連携プロトコル制御部VPN50にて受信し、メッセージの正当性を電子署名で確認する(S50)。認証連携プロトコル制御部VPN50では、SAMLメッセージで示されたVPN接続要求に対して、まずユーザのネットワークアクセス認証認可の結果(Assertion
)を参照して、ユーザ認証を行う(S51、図1の(11))。次に、Assertionに含まれるユーザ端末4のLAN設定(IPアドレス)情報を参照し、VPN制御部54に対してユーザ端末4に対応したVPN通信用の鍵生成・設定を要求する(S52)。VPN制御部54は、IPsecなどのセキュア通信設定を行い、認証連携プロトコル制御部VPN50に対して、VPNクライアント側であるユーザ端末4に伝えるセキュリティの設定(VPNサーバのIPアドレス・暗号化鍵・VPNクライアントの内部用IPア
ドレスなど)を伝える(S53)。認証連携プロトコル制御部VPN50は、このセキュリティ設定とVPNゲートウェイサーバ22でのユーザ認証認可の結果をSAMLレスポンスメッセージに含めて、RSPのセキュリティローミングサーバ26に対して送信する(S54からS57、図8、図1の(13))。この際、認証認可の結果(Assertion)
情報内のセキュリティ設定は、ユーザの公開鍵にて暗号化することでセキュリティを守る(S55、図1の(12))。また、SAMLメッセージは企業の電子署名と暗号化により保護される。ユーザ端末4に設定すべき情報は、あらかじめ分類された処理優先度設定ポリシに従い、処理優先度が決定される。VPNゲートウェイサーバ22から得られたVPN設定は最初に設定処理がされるように優先度「A」がつけられる。複数のサービスに関する設定情報がある時は、各情報の設定処理優先度を調べ、同じ優先度の情報に対しては、あらかじめ決めた処理順位設定ポリシに基づいて、処理順位が決定される。処理優先度や処理順位の値は、SAMLレスポンスメッセージ内に記述される。
<SRS2の処理>
セキュリティローミングサーバ26の処理フローを図15(SRS2)に示す。RSPのセキュリティローミングサーバ26は、認証連携プロトコル制御部SRS48にて該SAMLレスポンスメッセージを受信し、メッセージの正当性を電子署名で確認する(S35)。認証連携プロトコル制御部SRS48では、これをISPからのセキュリティローミングサービス要求の応答として、SAMLレスポンスメッセージの情報を引き継いで、ISPのセキュリティサーバ12に対して送信する(S36からS40、図9、図1の(14))。SAMLメッセージはRSPによる電子署名と暗号化により保護される。複数のネットワークと連携し、設定情報が複数ある場合は、ひとつのSAMLメッセージに、各設定情報を含む認証認可の結果(Assertion)を順次並べて応答する。
<SS3の処理>
セキュリティサーバ12の処理フローを図13(SS3)に示す。ISPのセキュリティ
サーバ12は、認証連携プロトコル制御部SS42にてSAMLレスポンスメッセージを受信し、メッセージの正当性を電子署名で確認する(S20)。認証連携プロトコル制御部SS42では、受信した暗号化されたセキュリティ設定とLAN設定を、ユーザ端末4に送信するために自動設定プロトコル制御部SS38へ送る。自動設定プロトコル制御部SS38は、SAML(Response)内Resource毎の設定情報を抽出する(S24)。そして、自動設定プロトコル制御部SS38は、TLSプロトコル60内のServerFinishメッセージ内に拡張したエリアに、ネットワークまたはサービス毎に順次格納し、認証プロトコル制御部SS36を通じて、ネットワークアクセス認証の応答として、TLSの保護機能を用いて安全にユーザ端末4に返信する(S24からS26、図1の(15))。もし、SAMLレスポンスメッセージに、セキュリティサービスNGの応答が入っていた場合は、ユーザ認証NGとして、TLS手順に基づき、ユーザに返信する(S22、S23)。また、NGの場合は、自動設定プロトコル制御部SS38からLAN設定制御部SS40に、取得したユーザ端末4のIPアドレスを開放する要求を出す。TLSメッセージはRADIUSプロトコルに格納されて、無線LANアクセスポイント6に送信され、無線LANアクセスポイント6では、ユーザの認証結果に基づいて遮断していた通信を開放する。また、IEEE802.1xで規定される手段を用いてユーザ端末4に情報を転送する。ISPがユーザ端末4に設定すべきLAN設定情報は、あらかじめ分類された処理優先度設定ポリシに従い、処理優先度が決定される。この時、各情報の設定処理優先度を調べ、同じ優先度の情報が存在する場合は、あらかじめ決めた処理順位設定ポリシに基づいて、処理順位が決定される。また、SAMLにより受信した設定情報は、受信したSAMLメッセージに記述された処理優先度・処理順位に従う。処理優先度や処理順位の値は、各TLS拡張エリアの優先度設定に記述される。
<EE2の処理>
ユーザ端末4の処理フローを図19(EE2)に示す。ユーザ端末4は、認証プロトコル
制御部EE28にてTLSメッセージを受信し、ネットワークアクセス認証(EAP認証)手順を完了まで行う(S71)。認証プロトコル制御部EE28は、TLS(Server Finished)拡張部より自動設定ローミングサービス(Extension#type=7)を検出する(S
72)。次に、認証プロトコル制御部EE28は、TLS拡張に含まれるセキュリティ設定とLAN設定の情報を自動設定プロトコル制御部EE30に伝える。自動設定プロトコル制御部EE30は、ネットワーク毎に提供される設定情報を、クライアント電子証明書に記述された優先順位に従って処理する(S73からS75)。ここでは、企業網からの設定処理を優先し、暗号化されたセキュリティ設定をユーザの秘密鍵で復号化し、セキュリティ制御部EE34に伝え、IPsecなどのセキュア通信設定を自動的に行う(S81)。次に、ISPからの設定処理を行い、ユーザ端末4のIPアドレスなどのLAN設定をLAN制御部に伝えて、通信設定を自動的に行う(S81)。
以上で、ユーザ端末4から企業網にセキュアに通信するための設定が完了し、ネットワークアクセスの認証応答直後から、セキュア通信が可能である。
これまでの例では、企業のVPNゲートウェイサーバ22からセキュリティ設定をユーザ端末4に配布する方法を示した。しかし、VPN鍵情報をネットワークを介して配布することは、漏えいの危険があり、その対策としての暗号化・復号化処理には、サーバに対して高い処理負荷が必要である。
<不確定情報によるVPN鍵の生成>
鍵生成シーケンスを図19に示す。VPN鍵を配布する代わりに、ネットワークアクセス認証時に発生する乱数情報や時刻などの不確定情報を認証連携手順の中で企業網に伝え、同じVPN鍵を生成する鍵生成方法を用いることができる。この不確定情報とあらかじめ設定している企業網とユーザの共有鍵とを組み合わせることで、企業網のサーバとユーザ端末4それぞれで、同じVPN鍵を生成できる(鍵生成方法)。具体的には、ISPにおけるネットワークアクセス認証手順であるTLS認証手順のメッセージのうち、不確定情報をTLSのClientHelloメッセージとServerHelloメッセージに含ませる。これらのメッセージを、認証連携プロトコルによりISPでの認証認可結果を企業(Enterprise)のVPNサーバに通知するメッセージの中に含めることで企業網に配布する。企業網のサーバとユーザ端末4のそれぞれが電子証明書内に暗号化して持つ共有鍵と合わせて、ハッシュ関数により同じVPN鍵を生成できる。
不確定情報を含むTLSメッセージ(Client Hello、Server Hello)は、認証認可結果を検証するための情報でもあり、企業がISPにおける認証結果を検証したい場合に、有力な情報である。ここでは、不確定情報としてTLSメッセージの一部を配布することを示したが、強力な検証が必要とされる場合には、ISPにおけるネットワークアクセス認証のTLS認証シーケンス全部のメッセージを含めてもよい。
前述したVPNサービスでは、セキュリティ設定としてVPNサーバのIPアドレス・暗号化鍵・VPNクライアントの内部用IPアドレスなどをユーザ端末4に配布したが、上記VPN鍵生成手段を含めることで、より安全でサーバやユーザ端末処理負荷の少ないVPNサービスを提供することが可能である。
本発明の実施の形態では、公衆無線LANからのネットワーク接続サービスにおいて、IPレイヤより下層のリンクレイヤのネットワーク認証終了時点で、複数のネットワークが提供するIPレイヤ以上のサービス自動設定が可能となることを示した。
本発明によれば、ユーザ端末4がネットワークへアクセスした際に行う保護された認証手順の中で、各設定情報を一括してユーザ端末4に配布することが可能であり、従来、独
立して行われていたサービスを提供する複数のネットワークとユーザ端末4間での効率的に且つセキュアに設定できる。各設定情報の管理は、各サーバで分散的に行われるため、各設定を集中的に管理するケースに比べ高いスケーラビリティをもつシステムが実現できる。また、各ネットワークのサーバとサーバ間とサーバとクライアント間のメッセージは、電子署名などによる正当性保証と、暗号化による情報漏えい対策ができる。そのため、本実施の形態において、高いセキュリティを提供できる。このような安全で効率的なユーザ端末4を自動設定するシステムにより、ユーザがデータ通信を開始する前に各種設定データを確実にユーザ端末4に設定できる。更に、ユーザの利便性を高めるだけでなく、ネットワーク側でもユーザ端末4における設定ミスによるセキュリティ被害を防止できる。
<その他>
(付記1)
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証手段、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信手段、
前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布手段
を含むことを特徴とする前記第1のネットワークに属する設定情報配布装置。
(付記2)
前記認証連携要求に対する第2の応答メッセージを他のネットワークから受信する受信手段を更に含むことを特徴とする付記1記載の設定情報配布装置。
(付記3)
前記第1のネットワークは公開鍵認証が利用可能なシステムを有することを特徴とする付記1記載の設定情報配布装置。
(付記4)
前記ユーザ端末を保護するために署名されたサーバ証明書を発行する発行手段を更に含むことを特徴とする付記1記載の設定情報配布装置。
(付記5)
前記第2の応答メッセージは、前記他のネットワークにより生成されたユーザ端末の設定データを含んだ認証連携プロトコルのメッセージであることを特徴とする付記1記載の設定情報配布装置。
(付記6)
前記認証連携手順において、連携すべき他のネットワークが複数ある場合に、電子証明書が連携すべき複数のネットワークに関する情報を含むことを特徴とする付記1記載の設定情報配布装置。
(付記7)
前記連携すべき複数のネットワークに関する情報は機能的に連携すべき複数のネットワークを順次選択するために複数のネットワークの連携すべき順位を示すデータを含むことを特徴とする付記6記載の設定情報配布装置。
(付記8)
前記ネットワークの署名で保護される前記認証連携プロトコルとしてOASISで規定されるSAMLプロトコルを用い、SAMLプロトコルに基づく保護された認証連携手順において、前記受信手段は前記他のネットワークにより生成されたユーザ端末の設定データを埋め込んだ第2の応答メッセージであるSAMLメッセージを受信することを特徴とする付記2記載の設定情報配布装置。
(付記9)
前記設定データは、IETFのRFC2409で規定されるIKEプロトコルで配布可
能なすべてのデータを含むことを特徴とする付記1記載の設定情報配布装置。
(付記10)
前記設定データは、IETFのRFC2246で規定されるTLSプロトコルとRFC3546で規定されるTLS拡張プロトコルのすべてのデータを含むことを特徴とする付記1記載の設定情報配布装置。
(付記11)
前記ユーザ端末のアクセス認証に用いる電子証明書を参照して連携すべき認証連携装置を決定する決定手段を更に含むことを特徴とする付記1記載の設定情報配布装置。
(付記12)
前記認証連携装置は他のネットワークに属することを特徴とする付記11記載の設定情報配布装置。
(付記13)
前記他のネットワークは企業網であり、企業網へ送信される認証連携要求がVPN接続要求を含むことを特徴とする付記1記載の設定情報配布装置。
(付記14)
鍵交換プロトコルを動作させることなく、前記VPN接続要求に従って生成されたVPN鍵を認証連携手順により受信する受信手段を更に含むことを特徴とする付記13記載の設定情報配布装置。
(付記15)
前記送信手段は、VPN鍵を生成するための不確定情報を認証連携手順の中で前記企業網に送信することを特徴とする付記13記載の設定情報配布装置。
(付記16)
前記不確定情報はネットワークアクセス認証時に発生する情報であることを特徴とする付記15記載の設定情報配布装置。
(付記17)
前記不確定情報はVPN鍵を生成するためにユーザ端末で使用されることを特徴とする付記15記載の設定情報配布装置。
(付記18)ネットワークアクセス認証手順としてIETFのRFC2246で規定されるTLSプロトコルを用い、TLSプロトコルに含まれる乱数や時刻設定がVPN鍵を生成するための不確定情報であることを特徴とする付記15記載の設定情報配布装置。
(付記19)
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証ステップ、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信ステップ、
前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布ステップ
を含むことを特徴とする設定情報配布方法。
(付記20)
前記認証連携要求に対する第2の応答メッセージを他のネットワークから受信する受信ステップを更に含むことを特徴とする付記19記載の設定情報配布方法。
(付記21)
前記第1のネットワークは公開鍵認証が利用可能なシステムを有することを特徴とする付記19記載の設定情報配布方法。
(付記22)
前記ユーザ端末を保護するために署名されたサーバ証明書を発行する発行ステップを更に含むことを特徴とする付記19記載の設定情報配布方法。
(付記23)
前記第2の応答メッセージは、前記他のネットワークにより生成されたユーザ端末の設定データを含んだ認証連携プロトコルのメッセージであることを特徴とする付記19記載の設定情報配布方法。
(付記24)
前記認証連携手順において、連携すべき他のネットワークが複数ある場合に、電子証明書が連携すべき複数のネットワークに関する情報を含むことを特徴とする付記19記載の設定情報配布方法。
(付記25)
前記連携すべき複数のネットワークに関する情報は機能的に連携すべき複数のネットワークを順次選択するために複数のネットワークの連携すべき順位を示すデータを含むことを特徴とする付記24記載の設定情報配布方法。
(付記26)
前記ネットワークの署名で保護される前記認証連携プロトコルとしてOASISで規定されるSAMLプロトコルを用い、SAMLプロトコルに基づく保護された認証連携手順において、前記受信ステップは前記他のネットワークにより生成されたユーザ端末の設定データを埋め込んだ第2の応答メッセージであるSAMLメッセージを受信することを特徴とする付記20記載の設定情報配布方法。
(付記27)
前記設定データは、IETFのRFC2409で規定されるIKEプロトコルで配布可能なすべてのデータを含むことを特徴とする付記19記載の設定情報配布方法。
(付記28)
前記設定データは、IETFのRFC2246で規定されるTLSプロトコルとRFC3546で規定されるTLS拡張プロトコルのすべてのデータを含むことを特徴とする付記19記載の設定情報配布方法。
(付記29)
前記ユーザ端末のアクセス認証に用いる電子証明書を参照して連携すべき認証連携装置を決定する決定ステップを更に含むことを特徴とする付記19記載の設定情報配布方法。(付記30)
前記認証連携装置は他のネットワークに属することを特徴とする付記29記載の設定情報配布方法。
(付記31)
前記他のネットワークは企業網であり、企業網へ送信される認証連携要求がVPN接続要求を含むことを特徴とする付記19記載の設定情報配布方法。
(付記32)
鍵交換プロトコルを動作させることなく、前記VPN接続要求に従って生成されたVPN鍵を認証連携手順により受信する受信ステップを更に含むことを特徴とする付記31記載の設定情報配布方法。
(付記33)
前記送信ステップは、VPN鍵を生成するための不確定情報を認証連携手順の中で前記企業網に送信することを特徴とする付記31記載の設定情報配布方法。
(付記34)
前記不確定情報はネットワークアクセス認証時に発生する情報であることを特徴とする付記33記載の設定情報配布方法。
(付記35)
前記不確定情報はVPN鍵を生成するためにユーザ端末で使用されることを特徴とする付記33記載の設定情報配布方法。
(付記36)ネットワークアクセス認証手順としてIETFのRFC2246で規定されるTLSプロトコルを用い、TLSプロトコルに含まれる乱数や時刻設定がVPN鍵を生成するための不確定情報であることを特徴とする付記33記載の設定情報配布方法。
(付記37)
コンピュータを、
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証手段、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信手段、
前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布手段
として機能させることを特徴とする設定情報配布プログラム。
(付記38)
前記認証連携要求に対する第2の応答メッセージを他のネットワークから受信する受信手段を更に含むことを特徴とする付記37記載の設定情報配布プログラム。
(付記39)
前記第1のネットワークは公開鍵認証が利用可能なシステムを有することを特徴とする付記37記載の設定情報配布プログラム。
(付記40)
前記ユーザ端末を保護するために署名されたサーバ証明書を発行する発行手段を更に含むことを特徴とする付記37記載の設定情報配布プログラム。
(付記41)
前記第2の応答メッセージは、前記他のネットワークにより生成されたユーザ端末の設定データを含んだ認証連携プロトコルのメッセージであることを特徴とする付記37記載の設定情報配布プログラム。
(付記42)
前記認証連携手順において、連携すべき他のネットワークが複数ある場合に、電子証明書が連携すべき複数のネットワークに関する情報を含むことを特徴とする付記37記載の設定情報配布プログラム。
(付記43)
前記連携すべき複数のネットワークに関する情報は機能的に連携すべき複数のネットワークを順次選択するために複数のネットワークの連携すべき順位を示すデータを含むことを特徴とする付記42記載の設定情報配布プログラム。
(付記44)
前記ネットワークの署名で保護される前記認証連携プロトコルとしてOASISで規定されるSAMLプロトコルを用い、SAMLプロトコルに基づく保護された認証連携手順において、前記受信手段は前記他のネットワークにより生成されたユーザ端末の設定データを埋め込んだ第2の応答メッセージであるSAMLメッセージを受信することを特徴とする付記38記載の設定情報配布プログラム。
(付記45)
前記設定データは、IETFのRFC2409で規定されるIKEプロトコルで配布可能なすべてのデータを含むことを特徴とする付記37記載の設定情報配布プログラム。
(付記46)
前記設定データは、IETFのRFC2246で規定されるTLSプロトコルとRFC3546で規定されるTLS拡張プロトコルのすべてのデータを含むことを特徴とする付記37記載の設定情報配布プログラム。
(付記47)
前記ユーザ端末のアクセス認証に用いる電子証明書を参照して連携すべき認証連携装置を決定する決定手段を更に含むことを特徴とする付記37記載の設定情報配布プログラム。
(付記48)
前記認証連携装置は他のネットワークに属することを特徴とする付記47記載の設定情
報配布プログラム。
(付記49)
前記他のネットワークは企業網であり、企業網へ送信される認証連携要求がVPN接続要求を含むことを特徴とする付記37記載の設定情報配布プログラム。
(付記50)
鍵交換プロトコルを動作させることなく、前記VPN接続要求に従って生成されたVPN鍵を認証連携手順により受信する受信手段を更に含むことを特徴とする付記49記載の設定情報配布プログラム。
(付記51)
前記送信手段は、VPN鍵を生成するための不確定情報を認証連携手順の中で前記企業網に送信することを特徴とする付記49記載の設定情報配布プログラム。
(付記52)
前記不確定情報はネットワークアクセス認証時に発生する情報であることを特徴とする付記51記載の設定情報配布プログラム。
(付記53)
前記不確定情報はVPN鍵を生成するためにユーザ端末で使用されることを特徴とする付記51記載の設定情報配布プログラム。
(付記54)ネットワークアクセス認証手順としてIETFのRFC2246で規定されるTLSプロトコルを用い、TLSプロトコルに含まれる乱数や時刻設定がVPN鍵を生成するための不確定情報であることを特徴とする付記51記載の設定情報配布プログラム。
(付記55)
コンピュータを、
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証手段、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信手段、
前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布手段
として機能させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体。
(付記56)
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークからアクセス認証に用いるクライアント電子証明書を受信する受信手段、
受信手段により受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定手段
を含むことを特徴とする認証転送装置。
(付記57)
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークからアクセス認証に用いるクライアント電子証明書を受信する受信ステップ、
受信ステップにより受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定ステップ
を含むことを特徴とする認証転送方法。
(付記58)
コンピュータを、
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークから
アクセス認証に用いるクライアント電子証明書を受信する受信手段、
受信手段により受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定手段
として機能させることを特徴とする認証転送プログラム。
(付記59)
コンピュータを、
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークからアクセス認証に用いるクライアント電子証明書を受信する受信手段、
受信手段により受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定手段
として機能させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体。
(付記60)
コンピュータを
ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を第1のネットワークへ要求する認証要求手段、
前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて他のネットワークから取得した他のネットワークに対する前記ユーザ端末に設定される設定データを受信する受信手段、
前記受信手段により受信した設定データをクライアント電子証明書に含まれる他のネットワークの連携すべき順位を示すデータに基づいて順次設定する設定手段
として機能させることを特徴とする設定情報受信プログラム。
本発明によるユーザ端末自動設定サービスを示す説明図である。 本発明によるユーザ端末自動設定サービスのシーケンス例を示す説明図である。 本発明の機能ブロックとシステムを示す説明図である。 TLSプロトコル(Client Hello)の詳細を示す説明図である。 TLSプロトコル(Sever Finished)の詳細を示す説明図である。 SAMLプロトコル(Request)の詳細例(ISP→RSP)を示す説明図である。 SAMLプロトコル(Request)の詳細例(RSP→企業網)を示す説明図である。 SAMLプロトコル(Response)の詳細例(企業網→RSP)を示す説明図である。 SAMLプロトコル(Response)の詳細例(RSP→ISP)を示す説明図である。 電子証明書の詳細例を示す説明図である。 セキュリティサーバSSの全体処理フローの例(SS1)を示すフローチャートである。 セキュリティサーバSSの全体処理フローの例(SS2)を示すフローチャートである。 セキュリティサーバSSの全体処理フローの例(SS3)を示すフローチャートである。 セキュリティローミングサーバSRSの全体処理フローの例(SRS1)を示すフローチャートである。 セキュリティローミングサーバSRSの全体処理フローの例(SRS2)を示すフローチャートである。 VPNゲートウェイサーバVPNの全体処理フローの例を示すフローチャートである。 ユーザ端末EEの全体処理フローの例(EE0)を示すフローチャートである。 ユーザ端末EEの全体処理フローの例(EE1)を示すフローチャートである。 ユーザ端末EEの全体処理フローの例(EE2)を示すフローチャートである。 認証連携を利用したVPN鍵生成シーケンス例を示す説明図である。 サービスデータベースにおける企業のVPNゲートウェイサーバのIPアドレスを示すテーブルである。 従来技術によるユーザ端末自動設定サービスを説明する説明図である。 従来技術によるユーザ端末自動設定サービスのシーケンス例を示す説明図である。
符号の説明
2 外部ネットワーク
4 ユーザ端末
6 無線LANアクセスポイント
8 DHCPサーバ
10 Proxyサーバ
12 セキュリティサーバ
14 プライベートネットワーク
16 IPsecゲートウェイサーバ
18 PKIサーバ
20 VPNプロトコル
22 VPNゲートウェイサーバ
24 セキュリティローミングネットワーク
26 セキュリティローミングサーバ
28 認証プロトコル制御部EE
30 自動設定プロトコル制御部EE
32 LAN制御部EE
34 セキュリティ制御部EE
36 認証プロトコル制御部SS
38 自動設定プロトコル制御部SS
40 LAN設定制御部SS
42 認証連携プロトコル制御部SS
44 DHCPプロトコル
46 サービスデータベース
48 認証連携プロトコル制御部SRS
50 認証連携プロトコル制御部VPN
52 認証プロトコル制御部SRS
54 VPN制御部
56 PKIデータベース
58 シングルサインオンプロトコル
60 TLSプロトコル
62 認証プロトコル
64 証明書検証プロトコル
102 ネットワーク
104 DHCPサーバ
106 プライベートネットワーク
108 IPsecゲートウェイサーバ
110 ローミングネットワーク
112 ローミング認証サーバ
114 ユーザ端末
116 無線LANアクセスポイント
118 ISP認証サーバ
120 企業認証サーバ

Claims (10)

  1. ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証手段、
    前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信手段、
    前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布手段
    を含むことを特徴とする前記第1のネットワークに属する設定情報配布装置。
  2. 前記第2の応答メッセージは、前記他のネットワークにより生成されたユーザ端末の設定データを含んだ認証連携プロトコルのメッセージであることを特徴とする請求項1記載の設定情報配布装置。
  3. ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証ステップ、
    前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信ステップ、
    前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布ステップ
    を含むことを特徴とする設定情報配布方法。
  4. コンピュータを、
    ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証手段、
    前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信手段、
    前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布手段
    として機能させることを特徴とする設定情報配布プログラム。
  5. コンピュータを、
    ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する認証手段、
    前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて、前記ユーザ端末に設定される設定データを要求する認証連携要求を他のネットワークへ送信する送信手段、
    前記認証要求に対する第1の応答メッセージへ前記認証連携要求に対する第2の応答メッセージに含まれた前記設定データを乗せかえることにより付加し、前記設定データが付加された第1の応答メッセージをユーザ端末に配布する配布手段
    として機能させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体。
  6. ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークから
    アクセス認証に用いるクライアント電子証明書を受信する受信手段、
    受信手段により受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定手段
    を含むことを特徴とする認証転送装置。
  7. ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークからアクセス認証に用いるクライアント電子証明書を受信する受信ステップ、
    受信ステップにより受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定ステップ
    を含むことを特徴とする認証転送方法。
  8. コンピュータを、
    ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークからアクセス認証に用いるクライアント電子証明書を受信する受信手段、
    受信手段により受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定手段
    として機能させることを特徴とする認証転送プログラム。
  9. コンピュータを、
    ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を要求するユーザ端末からの認証要求を受け付けて認証する第1のネットワークからアクセス認証に用いるクライアント電子証明書を受信する受信手段、
    受信手段により受信したクライアント電子証明書を参照して連携すべき認証連携装置を決定する決定手段
    として機能させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体。
  10. コンピュータを、
    ユーザ端末と第1のネットワーク間のネットワークアクセス認証手順を用いてアクセス認証を第1のネットワークへ要求する認証要求手段、
    前記ネットワークアクセス認証手順と連携する複数のネットワーク間の認証連携手順を用いて他のネットワークから取得した他のネットワークに対する前記ユーザ端末に設定される設定データを受信する受信手段、
    前記受信手段により受信した設定データをクライアント電子証明書に含まれる他のネットワークの連携すべき順位を示すデータに基づいて順次設定する設定手段
    として機能させることを特徴とする設定情報受信プログラム。
JP2005270709A 2004-09-17 2005-09-16 設定情報配布装置、方法、プログラム及び媒体 Expired - Fee Related JP4777729B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004045147A DE102004045147A1 (de) 2004-09-17 2004-09-17 Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
DE102004045147.8 2004-09-17

Publications (2)

Publication Number Publication Date
JP2006085719A true JP2006085719A (ja) 2006-03-30
JP4777729B2 JP4777729B2 (ja) 2011-09-21

Family

ID=35221233

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005270709A Expired - Fee Related JP4777729B2 (ja) 2004-09-17 2005-09-16 設定情報配布装置、方法、プログラム及び媒体

Country Status (5)

Country Link
US (1) US7913080B2 (ja)
JP (1) JP4777729B2 (ja)
DE (1) DE102004045147A1 (ja)
FR (1) FR2877521B1 (ja)
GB (1) GB2418819B (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007243496A (ja) * 2006-03-07 2007-09-20 Softbank Bb Corp 移動体通信における認証システム及び認証方法
WO2008029828A1 (fr) * 2006-09-07 2008-03-13 Panasonic Corporation Système pour gérer une identification concernant une authentification d'un dispositif électronique
JP2008097600A (ja) * 2006-10-06 2008-04-24 Ricoh Co Ltd ポートベース認証中のネットワークトラフィックの遮断防止
JP2009211374A (ja) * 2008-03-04 2009-09-17 Nippon Telegr & Teleph Corp <Ntt> Vpn多重帰属システムおよび認証制御方法
JP2010507959A (ja) * 2006-10-24 2010-03-11 ノキア コーポレイション サービスアカウントを生成し、それと共に使用する装置を構成するためのシステム、装置及び方法
JP2010152619A (ja) * 2008-12-25 2010-07-08 Nippon Telegr & Teleph Corp <Ntt> 認証サーバ提示方法、サービス提供システム、サービス提供装置、およびサービス提供プログラム
JP5080583B2 (ja) * 2007-09-27 2012-11-21 パナソニック株式会社 情報サーバ及び移動端末並びに移動端末により実行される方法
JP2013196036A (ja) * 2012-03-15 2013-09-30 Fujitsu Ltd サービス要求装置、サービス要求方法およびサービス要求プログラム
JP2016051268A (ja) * 2014-08-29 2016-04-11 株式会社Nttドコモ 認証システム、認証サーバ、クライアント装置及び認証方法
US9621591B2 (en) 2014-04-14 2017-04-11 International Business Machines Corporation Service provisioning with improved authentication processing

Families Citing this family (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9167053B2 (en) 2005-09-29 2015-10-20 Ipass Inc. Advanced network characterization
US8607051B2 (en) * 2006-04-11 2013-12-10 Qualcomm Incorporated Method and apparatus for binding multiple authentications
EP2021960B1 (en) * 2006-05-25 2015-12-23 Celltrust Corporation Secure mobile information management system and method
US9572033B2 (en) 2006-05-25 2017-02-14 Celltrust Corporation Systems and methods for encrypted mobile voice communications
US8260274B2 (en) * 2006-05-25 2012-09-04 Celltrust Corporation Extraction of information from e-mails and delivery to mobile phones, system and method
US8225380B2 (en) 2006-05-25 2012-07-17 Celltrust Corporation Methods to authenticate access and alarm as to proximity to location
US8280359B2 (en) * 2006-05-25 2012-10-02 Celltrust Corporation Methods of authorizing actions
US9445353B2 (en) 2006-09-14 2016-09-13 Omnitrail Technologies Inc. Presence platform for passive radio access network-to-radio access network device transition
US20090298514A1 (en) 2006-09-14 2009-12-03 Shah Ullah Real world behavior measurement using identifiers specific to mobile devices
JP2010533405A (ja) * 2007-07-09 2010-10-21 グレガー ガルバジェス, システムと閉められたネットワークから専用の装置への安全に通信on−需要内容のための、そして、専用の装置に内容を安全に伝えている閉められたネットワークにおいて、内容使用データを編集するための方法
US8839386B2 (en) * 2007-12-03 2014-09-16 At&T Intellectual Property I, L.P. Method and apparatus for providing authentication
WO2009121046A1 (en) * 2008-03-28 2009-10-01 Celltrust Corporation Systems and methods for secure short messaging service and multimedia messaging service
JP4336766B1 (ja) * 2008-04-18 2009-09-30 日本電気株式会社 無線通信システム、認証処理部選択方法
EP2134122A1 (en) * 2008-06-13 2009-12-16 Hewlett-Packard Development Company, L.P. Controlling access to a communication network using a local device database and a shared device database
WO2010092764A1 (ja) * 2009-02-13 2010-08-19 パナソニック株式会社 ゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末
US8533784B2 (en) * 2009-04-30 2013-09-10 Centurylink Intellectual Property Llc System and method for separating control of a network interface device
CN101674268A (zh) * 2009-09-25 2010-03-17 中兴通讯股份有限公司 接入因特网控制装置及其方法、网关
EP2405678A1 (en) * 2010-03-30 2012-01-11 British Telecommunications public limited company System and method for roaming WLAN authentication
US9560036B2 (en) * 2010-07-08 2017-01-31 International Business Machines Corporation Cross-protocol federated single sign-on (F-SSO) for cloud enablement
CN102075904B (zh) * 2010-12-24 2015-02-11 杭州华三通信技术有限公司 一种防止漫游用户再次认证的方法和装置
US9270471B2 (en) * 2011-08-10 2016-02-23 Microsoft Technology Licensing, Llc Client-client-server authentication
US9529996B2 (en) 2011-10-11 2016-12-27 Citrix Systems, Inc. Controlling mobile device access to enterprise resources
US8806570B2 (en) 2011-10-11 2014-08-12 Citrix Systems, Inc. Policy-based application management
US9280377B2 (en) 2013-03-29 2016-03-08 Citrix Systems, Inc. Application with multiple operation modes
US20140032733A1 (en) 2011-10-11 2014-01-30 Citrix Systems, Inc. Policy-Based Application Management
US9215225B2 (en) 2013-03-29 2015-12-15 Citrix Systems, Inc. Mobile device locking with context
US20140053234A1 (en) 2011-10-11 2014-02-20 Citrix Systems, Inc. Policy-Based Application Management
EP2777325A4 (en) * 2011-10-12 2015-10-21 Omnitrail Technologies Inc PRESENCE PLATFORM FOR A TRANSITION FROM A PASSIVE RADIO ACCESS NETWORK TO A RADIO ACCESS NETWORK DEVICE
US8776209B1 (en) * 2012-03-09 2014-07-08 Juniper Networks, Inc. Tunneling session detection to provide single-sign on (SSO) functionality for a VPN gateway
JP5854138B2 (ja) * 2012-06-21 2016-02-09 富士通株式会社 情報処理システム,情報処理方法,通信装置
US8613070B1 (en) 2012-10-12 2013-12-17 Citrix Systems, Inc. Single sign-on access in an orchestration framework for connected devices
US9516022B2 (en) 2012-10-14 2016-12-06 Getgo, Inc. Automated meeting room
US20140109171A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Providing Virtualized Private Network tunnels
US20140109176A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Configuring and providing profiles that manage execution of mobile applications
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US20140108793A1 (en) 2012-10-16 2014-04-17 Citrix Systems, Inc. Controlling mobile device access to secure data
US9971585B2 (en) 2012-10-16 2018-05-15 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
EP2909715B1 (en) 2012-10-16 2022-12-14 Citrix Systems, Inc. Application wrapping for application management framework
US9606774B2 (en) 2012-10-16 2017-03-28 Citrix Systems, Inc. Wrapping an application with field-programmable business logic
US9191874B2 (en) 2012-12-31 2015-11-17 Ipass Inc. Advanced network characterization and migration
US10789594B2 (en) 2013-01-31 2020-09-29 Moshir Vantures, Limited, LLC Method and system to intelligently assess and mitigate security risks on a mobile device
US10511448B1 (en) * 2013-03-15 2019-12-17 Jeffrey E. Brinskelle Secure communications improvements
US8849978B1 (en) 2013-03-29 2014-09-30 Citrix Systems, Inc. Providing an enterprise application store
US9455886B2 (en) 2013-03-29 2016-09-27 Citrix Systems, Inc. Providing mobile device management functionalities
US9355223B2 (en) 2013-03-29 2016-05-31 Citrix Systems, Inc. Providing a managed browser
US8813179B1 (en) 2013-03-29 2014-08-19 Citrix Systems, Inc. Providing mobile device management functionalities
US10284627B2 (en) 2013-03-29 2019-05-07 Citrix Systems, Inc. Data management for an application with multiple operation modes
US20140297840A1 (en) 2013-03-29 2014-10-02 Citrix Systems, Inc. Providing mobile device management functionalities
US9985850B2 (en) 2013-03-29 2018-05-29 Citrix Systems, Inc. Providing mobile device management functionalities
WO2015016845A1 (en) * 2013-07-30 2015-02-05 Empire Technology Development, Llc Component management via secure communications
JP6305005B2 (ja) * 2013-10-17 2018-04-04 キヤノン株式会社 認証サーバーシステム、制御方法、そのプログラム
US9729539B1 (en) 2014-03-28 2017-08-08 Pulse Secure, Llc Network access session detection to provide single-sign on (SSO) functionality for a network access control device
CN104092599B (zh) * 2014-07-24 2018-03-06 广东欧珀移动通信有限公司 一种移动终端检测邮件发件服务器端口的方法及移动终端
JP2016085641A (ja) * 2014-10-27 2016-05-19 キヤノン株式会社 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム
US9942200B1 (en) * 2014-12-02 2018-04-10 Trend Micro Inc. End user authentication using a virtual private network
JP6740618B2 (ja) * 2015-02-25 2020-08-19 株式会社リコー 情報処理装置、通信システム、通信方法
CN106341233A (zh) 2015-07-08 2017-01-18 阿里巴巴集团控股有限公司 客户端登录服务器端的鉴权方法、装置、系统及电子设备
WO2019221738A1 (en) * 2018-05-17 2019-11-21 Nokia Technologies Oy Facilitating residential wireless roaming via vpn connectivity over public service provider networks

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001197058A (ja) * 2000-01-05 2001-07-19 Nippon Telegr & Teleph Corp <Ntt> 端末−保守サーバ間認証鍵共有方法及び端末リモートメンテナンス実施方法
JP2004135248A (ja) * 2002-08-09 2004-04-30 Fujitsu Ltd 仮想閉域網システム

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6061346A (en) * 1997-01-17 2000-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure access method, and associated apparatus, for accessing a private IP network
US6275941B1 (en) * 1997-03-28 2001-08-14 Hiatchi, Ltd. Security management method for network system
US6233577B1 (en) * 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
US6799270B1 (en) * 1998-10-30 2004-09-28 Citrix Systems, Inc. System and method for secure distribution of digital information to a chain of computer system nodes in a network
GB2348778A (en) * 1999-04-08 2000-10-11 Ericsson Telefon Ab L M Authentication in mobile internet access
US6275859B1 (en) * 1999-10-28 2001-08-14 Sun Microsystems, Inc. Tree-based reliable multicast system where sessions are established by repair nodes that authenticate receiver nodes presenting participation certificates granted by a central authority
US6978364B1 (en) * 2000-04-12 2005-12-20 Microsoft Corporation VPN enrollment protocol gateway
US6898710B1 (en) * 2000-06-09 2005-05-24 Northop Grumman Corporation System and method for secure legacy enclaves in a public key infrastructure
GB2369530A (en) * 2000-11-24 2002-05-29 Ericsson Telefon Ab L M IP security connections for wireless authentication
GB2378010A (en) * 2001-07-27 2003-01-29 Hewlett Packard Co Mulit-Domain authorisation and authentication
GB2385955A (en) * 2002-02-28 2003-09-03 Ibm Key certification using certificate chains
CN1268093C (zh) * 2002-03-08 2006-08-02 华为技术有限公司 无线局域网加密密钥的分发方法
MXPA04012157A (es) * 2002-06-06 2005-04-19 Thomson Licensing Sa Interfuncionamiento con base de intermediario con el uso de certificados jerarquicos.
US7882346B2 (en) * 2002-10-15 2011-02-01 Qualcomm Incorporated Method and apparatus for providing authentication, authorization and accounting to roaming nodes
US7565529B2 (en) * 2004-03-04 2009-07-21 Directpointe, Inc. Secure authentication and network management system for wireless LAN applications

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001197058A (ja) * 2000-01-05 2001-07-19 Nippon Telegr & Teleph Corp <Ntt> 端末−保守サーバ間認証鍵共有方法及び端末リモートメンテナンス実施方法
JP2004135248A (ja) * 2002-08-09 2004-04-30 Fujitsu Ltd 仮想閉域網システム

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007243496A (ja) * 2006-03-07 2007-09-20 Softbank Bb Corp 移動体通信における認証システム及び認証方法
WO2008029828A1 (fr) * 2006-09-07 2008-03-13 Panasonic Corporation Système pour gérer une identification concernant une authentification d'un dispositif électronique
JP2008065584A (ja) * 2006-09-07 2008-03-21 Matsushita Electric Ind Co Ltd 電子機器の認証に関する識別管理のためのシステム
JP2008097600A (ja) * 2006-10-06 2008-04-24 Ricoh Co Ltd ポートベース認証中のネットワークトラフィックの遮断防止
JP2010507959A (ja) * 2006-10-24 2010-03-11 ノキア コーポレイション サービスアカウントを生成し、それと共に使用する装置を構成するためのシステム、装置及び方法
JP5080583B2 (ja) * 2007-09-27 2012-11-21 パナソニック株式会社 情報サーバ及び移動端末並びに移動端末により実行される方法
JP2009211374A (ja) * 2008-03-04 2009-09-17 Nippon Telegr & Teleph Corp <Ntt> Vpn多重帰属システムおよび認証制御方法
JP2010152619A (ja) * 2008-12-25 2010-07-08 Nippon Telegr & Teleph Corp <Ntt> 認証サーバ提示方法、サービス提供システム、サービス提供装置、およびサービス提供プログラム
JP2013196036A (ja) * 2012-03-15 2013-09-30 Fujitsu Ltd サービス要求装置、サービス要求方法およびサービス要求プログラム
US9621591B2 (en) 2014-04-14 2017-04-11 International Business Machines Corporation Service provisioning with improved authentication processing
JP2016051268A (ja) * 2014-08-29 2016-04-11 株式会社Nttドコモ 認証システム、認証サーバ、クライアント装置及び認証方法

Also Published As

Publication number Publication date
JP4777729B2 (ja) 2011-09-21
DE102004045147A1 (de) 2006-03-23
GB2418819B (en) 2007-11-07
FR2877521A1 (fr) 2006-05-05
GB2418819A (en) 2006-04-05
GB0518459D0 (en) 2005-10-19
US20060117104A1 (en) 2006-06-01
US7913080B2 (en) 2011-03-22
FR2877521B1 (fr) 2017-01-27

Similar Documents

Publication Publication Date Title
JP4777729B2 (ja) 設定情報配布装置、方法、プログラム及び媒体
US9455958B1 (en) Credentials management in large scale virtual private network deployment
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
US20060064589A1 (en) Setting information distribution apparatus, method, program, medium, and setting information reception program
CN101371550B (zh) 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统
US7673146B2 (en) Methods and systems of remote authentication for computer networks
US7587598B2 (en) Interlayer fast authentication or re-authentication for network communication
JP4801147B2 (ja) 証明を配送するための方法、システム、ネットワーク・ノード及びコンピュータ・プログラム
US7542572B2 (en) Method for securely and automatically configuring access points
US20080022392A1 (en) Resolution of attribute overlap on authentication, authorization, and accounting servers
US20090240941A1 (en) Method and apparatus for authenticating device in multi domain home network environment
US20060259759A1 (en) Method and apparatus for securely extending a protected network through secure intermediation of AAA information
US8402511B2 (en) LDAPI communication across OS instances
EP3143780B1 (en) Device authentication to capillary gateway
US20070263577A1 (en) Method for Enrolling a User Terminal in a Wireless Local Area Network
JP2010045542A (ja) 認証システム、接続制御装置、認証装置および転送装置
JP2009217722A (ja) 認証処理システム、認証装置、管理装置、認証処理方法、認証処理プログラムおよび管理処理プログラム
JP4169534B2 (ja) モバイル通信サービスシステム
Gollier et al. SSID Confusion: Making Wi-Fi Clients Connect to the Wrong Network
Ekström Securing a wireless local area network: using standard security techniques
Pagliusi Internet Authentication for Remote Access
Nou Network Management
Yan ADIKUSUMA et al. Delegated Validation System for Secure Authentication in WLAN
Networking Project IEEE 802.16 Broadband Wireless Access Working Group< http://ieee802. org/16> Title Enhancement of 802.16 e to Support EAP-based Authentication/Key Distribution Rev. 3
KR20130062965A (ko) 무선 네트워크 접속 인증 방법 및 그 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080324

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110606

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110621

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110630

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140708

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees