JP2010519657A - 端末装置に対するサービスを提供するための方法およびシステム - Google Patents

端末装置に対するサービスを提供するための方法およびシステム Download PDF

Info

Publication number
JP2010519657A
JP2010519657A JP2009551227A JP2009551227A JP2010519657A JP 2010519657 A JP2010519657 A JP 2010519657A JP 2009551227 A JP2009551227 A JP 2009551227A JP 2009551227 A JP2009551227 A JP 2009551227A JP 2010519657 A JP2010519657 A JP 2010519657A
Authority
JP
Japan
Prior art keywords
terminal device
assertion
service
server
credential
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009551227A
Other languages
English (en)
Other versions
JP4928615B2 (ja
Inventor
メラー ヴォルフ−ディートリヒ
シャンムガム ムルガラジ
チョフェニヒ ハンネス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of JP2010519657A publication Critical patent/JP2010519657A/ja
Application granted granted Critical
Publication of JP4928615B2 publication Critical patent/JP4928615B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)

Abstract

本発明は、それぞれ1つのTPMモジュール(5)を有する端末装置(4)に対してサービスを提供するための方法に関する。この場合、前記端末装置(4)のTPMモジュール(5)は、設定可能なID証明(クレデンシャル)により署名されているID表明(IDアサーション)を伴ったサービス要求(サービスリクエスト)を、サーバー(3)のサービスへのアクセスのために該サーバー(3)に送信する。

Description

従来のネットワークでは、ユーザーはID証明いわゆるクレデンシャル(Credential)として、例えばログインネームまたはパスワードを必要としていた。これは、サーバーに対して認証させ、サーバーのサービスへのアクセスを取得するためであった。クレデンシャルは、端末ユーザーのID表明を確認するための証明手段であり、したがって、クレデンシャルは認証特性ないし権限証明である。しかし従来のネットワーク、例えばインターネットのようなネットワークでは、サービスへのアクセスの際にトランスペアレンスがなかった。ユーザーが同じウェブドメインではない種々のウェブサイトへのアクセスを望んでおり、サービス品質保証契約SLA(Service Level Agreement)が、異なるサービス供給者の間で存在するとしても、前記ユーザーはどのウェブサイトに対しても再度認証を受けなければならなかった。これに関しては、従来のブラウザが証明情報データないしクレデンシャルを、目下のウェブサイトドメインではないほかのウェブサイトへ伝送することができないことがその根拠である。ユーザーにとっては、ドメインを変更する場合に、その都度ID証明、例えば自身のログインネームまたはパスワードを入力することは、煩雑である。
いわゆるシングルサインオン(SSO(Single Sign-on))ないしはシングルログオンでは、ユーザーは一回限りの認証後に、権限を与えられている全てのコンピュータおよびサービスにアクセスすることができるため、該ユーザーはその都度新たにログインする必要がない。
従来のポータルでは、例えばログインしたユーザーのIDは、ユーザーから気付かれずにポータルを構成するページに引き継がれていた。シングルサインオンSSOでは、端末ユーザーは認証方法、例えばパスワード入力による認証方法を用いて1度のみ識別される。引き続いて、SSOメカニズムはユーザーを認証する役割を引き継ぐ。複数のポータルの場合でも、ユーザーは初回にポータルにおいて一回限りログインすればよく、そこで認証され、一応正当と認められる。それに加えて、ユーザーは、ポータル内部に組み込まれたアプリケーションに対して自身を一義的に証明する特性を獲得する。この特性はID証明を意味する。ウェブ技術に基づくポータルでは、このことは例えばいわゆるクッキーの形態で行われる。1つのポータルにおいては、ユーザーはこの方法で、もはや個別にログインする必要のない複数のウェブアプリケーションへのアクセスを獲得する。
ただし、シングルサインオンは、ユーザーがウェブドメインの外部を進み、つまり、ネットサーフィンをする場合には、クッキーによっても実行できない。
それ故に本発明の課題は、端末装置に対するサービスを提供するために、ユーザーがただ1度のみのログインにもかかわらず、種々のドメインを超えて進んでいくことができる方法およびシステムを提供することである。
前記課題は、本発明によれば請求項1に記載の特徴部分を備えた方法によって解決される。
本発明は、それぞれ1つのTPM(Trusted Platform Module)モジュールを有する端末装置に対してサービスを提供するための方法を講じることである。この端末装置のTPMモジュールは、設定可能なID証明(クレデンシャル)により署名されているID表明(IDアサーション(ID-Assertion))を伴ったサービス要求(サービスリクエスト(Service Request))を、サーバーのサービスへのアクセスのために該サーバーに送信する。
本発明による方法の1つの実施形態では、サーバーはサービス要求(サービスリクエスト)を受け取った後にID証明(クレデンシャル)を伴ったID表明(IDアサーション)を確認し、その署名を検証する。
本発明による方法の1つの実施形態では、ID証明(クレデンシャル)はネットワークプロバイダ(通信事業者(Network Operator))によって端末装置のTPMモジュールにおいて設定される。
本発明による方法の1つの実施形態では、ネットワークプロバイダは端末装置のTPMモジュールにおいて、異なるサーバーの種々のサービスに属するID証明(クレデンシャル)を含むアクセスコントロールリストACL(Access Control List)を設定する。
本発明による方法の1つの実施形態では、ID証明(クレデンシャル)はネットワークプロバイダの証明書によって形成される。
本発明による方法の1つの実施形態では、ID表明(IDアサーション)はユーザID情報データとネットワークプロバイダの証明書とタイムスタンプとサービス専用のアクセス制限機能とを有している。
本発明による方法の1つの実施形態では、端末装置は定期的にサービスユーザメッセージをネットワークプロバイダへ送信する。
本発明による方法の1つの実施形態では、ID証明(クレデンシャル)は予め定められた期間(ライフタイム(Life Time))後に失効する。
本発明による方法の1つの実施形態では、ID証明(クレデンシャル)はセキュリティ表明マークアップ言語SAML(Security Assertion Mark-up Language)のID証明によって形成される。
本発明による方法の1つの実施形態では、TPMモジュールは個々のサーバーで一回限りログインする。
また、本発明は、設定可能なID証明(クレデンシャル)により署名されているID表明(IDアサーション)を伴ったサービス要求(サービスリクエスト)を、サーバーのサービスへのアクセスのために該サーバーに送信するTPMモジュールを有する端末装置を提供することである。
本発明による端末装置の1つの実施形態では、この端末装置は付加的に1つのSSO(シングルサインオン)モジュールを有している。
また、本発明は、それぞれ1つのTPMモジュールを有する端末装置に対してサービスを提供するためのサーバーを創り出すことである。このサーバーは、設定可能なID証明(クレデンシャル)により署名されているID表明(IDアサーション)を伴ったサービス要求(サービスリクエスト)を受け取った後に、個々の端末装置に対するサービスを提供するためのID証明(クレデンシャル)を確認し、その署名を検証する。
さらに、本発明は、それぞれ1つのTPMモジュールを有する端末装置に対してサービスを提供するためのシステムを創り出すことである。ネットワークプロバイダは、個々の端末装置のTPMモジュールにおいて少なくとも1つのID証明(クレデンシャル)を設定しており、この端末装置は、その都度設定可能なID証明(クレデンシャル)により署名されているID表明(IDアサーション)を伴ったそれぞれ1つのサービス要求(サービスリクエスト)を、サーバーのサービスへのアクセスのために該サーバーに送信する。
以下では、本発明の本質をなす特徴を説明するために、添付の図面を参照しながら、端末装置に対するサービスを提供するための本発明による方法および本発明によるシステムの有利な実施形態について説明する。
端末装置に対するサービスを提供するための本発明によるシステムの1つの可能な実施形態を示した図 端末装置に対するサービスを提供するための本発明によるシステムの1つの可能な実施形態でのサービスへのアクセスを示した図 端末装置に対するサービスを提供するための本発明によるシステムの1つの可能な実施形態でのサービスへのアクセスを示した図
図1からわかるように、端末装置に対するサービスを提供するための本発明によるシステム1は、少なくとも1つのネットワークプロバイダ2(通信事業者NO)、例えばモバイルネットワークプロバイダ(移動体通信事業者MNO)を有しており、このネットワークプロバイダ2は、サービス供給者ないしサービスプロバイダ3とのビジネス関係ないしはサービス品質保証契約SLAを有している。さらに、システム1は端末装置4、殊に移動型端末装置4を複数有している。この端末装置4は、それぞれ1つのTPMモジュール5を有している。例えばTPMモジュール5は、移動型端末装置4に取り付けられているチップのことである。このTPMモジュール5は一義的な識別子を含んでおり、移動型端末装置4を明確に識別するために用いられる。図1からわかるように、本発明によるシステム1においてID供給者ないしIDプロバイダIDP(Identity Providers)の機能は、ID認可者すなわちネットワークプロバイダ2とID表明(IDアサーション)を生成するためのユニットとの間で分けられており、このユニットは例えば、端末装置4のTPMモジュール5内部のシングルサインオンモジュールSSOによって成される。
手始めにID認可者ないしネットワークプロバイダ2によって、TPMモジュール5内部のSSOモジュールの確認が行われており、このネットワークプロバイダ2は引き続き設定フェーズにおいてID証明(クレデンシャル)を生成し、安全なデータ接続を介して移動型端末装置4に伝送する。このID証明(クレデンシャル)は例えば、証明書(デリゲート証明書(Delegation Certificate))によって生成され、ネットワークプロバイダ2からTPMモジュール5への伝送後にそこに記憶される。1つの実施形態では、証明書は所定の期間ないしライフタイム後に失効する。1つの可能な実施形態では、ネットワークプロバイダ2はアクセスコントロールリストACLを生成し、端末装置4を設定するためにアクセスコントロールリストACLを個々のTPMモジュール5に伝送する。このアクセスコントロールリストACLは、異なるサーバー3の種々のサービスに属するID証明(クレデンシャル)を含んでおり、所定のアクセス権限とユーザーないし端末装置4のリストとの間の関係を形成している。この伝送されたアクセスコントロールリストACLによって、端末装置4は個々のサーバー3のサービスへのその後のアクセスが可能となる。どのようなサービスないしサーバーがどのようなIDを必要とし、そしてどのようなトークンないしID証明をどのような状況下で伝送すべきか、ということをアクセスコントロールリストACLが通知する。
図2には、設定されたTPMモジュール5を備えた端末装置4によるサービスプロバイダのサーバー3のサービスへのアクセスが示されている。図2からわかるように、サーバー3のサービスへのアクセスのために、端末装置4と確認ユニットないしネットワークプロバイダ2との間のオンライン接続が必要とされない。ネットワークプロバイダ2の証明書は端末装置4においてインストールされており、アクセスコントロールリストACLはそこで設定されている。TPMモジュール5は、所望されるサービスの要求に際して、TPMモジュール5において含まれたアクセスコントロールリストACLからの情報を読み取るシングルサインオンユニットSSOを有している。このTPMモジュール5は、ID表明(IDアサーション)をサービス要求(サービスリクエスト)に挿入し、アクセスコントロールリストACLから読み出されたID証明(クレデンシャル)によりこのID表明(IDアサーション)を署名する。
1つの可能な実施形態では、ID表明(IDアサーション)は、ユーザID情報データとネットワークプロバイダ2の証明書とタイムスタンプとサービス専用のアクセス制限機能とを有しており、例えばSAML−ID表明によって形成される。このセキュリティ表明マークアップ言語SAMLはID情報を伝送するためのXMLベースの言語である。サービスプロバイダSPのサーバー3は、ID表明(IDアサーション)を含むサービス要求(サービスリクエスト)を受け取る。まず、サーバー3はID証明、例えば証明書を生成し、デジタル署名を検証する。これはサーバー3が、移動型端末装置4によるサービスへのアクセスが許可されているかどうかを決定するためである。引き続きサーバー3は、サービスへのアクセスが許可されるか否かを移動型端末装置4に通知するメッセージを伝送する。
1つの可能な実施形態では、移動型端末装置4が、周期的な時間間隔でサービスユーザメッセージないしレポートをネットワークプロバイダ2へ伝送する。このレポートは例えば、1日当たりないし1週当たりに形成されるID表明の数に関する付加的な情報と、TPMモジュール5からID供給者ないしネットワークプロバイダ2向けの付加的な情報とを、統計評価および決算の目的で含んでいる。このTPMモジュール5は、報告書ないしレポートが改ざん可能ではないことを保証する。
例えばクレジット超過または移動型端末装置4の盗難報告に基づいて、ユーザーないし端末装置4が、ネットワークプロバイダ2の視点として、もはやサービスへのアクセスを持つべきではない場合にはただちに、相応のID証明(クレデンシャル)が個々のサービスないし全てのサービスに対して取り消されるか阻止される。1つの可能な実施形態では、ネットワークプロバイダ2は、取り消されたID証明が格納されているいわゆる失効リスト(Revocation List)を処理する。対話型プロセスでは、TPMモジュール5内部のID証明を阻止するために取り消されなければならないID証明が、ネットワークプロバイダ2から移動型端末装置4に伝送される。
図3には、本発明によるシステム1におけるTPMベースのシングルサインオン機能SSOの1つの可能なシナリオが示されている。図3に図示の実施形態では、サービス供給者ないしサービスプロバイダSPのサーバー3のサービスへのアクセスを伴うHTTPデータ転送プロトコルまたはSIPデータ転送プロトコルが使用される。移動型端末装置4においては、予め設定された連携情報データが格納されている。この"連携"とは、ある特定の独自性を持ち合わせる複数の参加者が企業の垣根を超えて結び付けられる組織であると理解されたい。この場合、IDデータは安全な手段でセキュリティドメインを超えて取り交わされる。移動型端末装置4上で動作するアプリケーションないしアプリケーションプログラムが、サーバー3のサービスに対するGet要求またはPost要求を生成する場合に、TPMモジュール5内部のSSOモジュールが、ネットワークプロバイダ2によりインストールされるID証明(クレデンシャル)を用いてID表明(IDアサーション)をトランスペアレントに挿入するのは、相応するエントリが個々のトークンのタイプに関する情報またはサービスに関するほかの情報を内容とし、SSOモジュールのアクセスコントロールリストACLにおいて存在する限りである。このエントリがアクセスコントロールリストACLにおいて存在しなければ、TPMモジュール5内部のSSOモジュールは、サービス要求(HTTP/GET)をサービスプロバイダSPのサーバー3に送信する。このサーバー3は、別のメッセージでTPMモジュール5内部のSSOモジュールに次のことを通知する。すなわち、ユーザーないし端末装置4が未だ認証されておらず、サーバー3がID証明、例えばSAMLトークンを予期しているということを通知するのである。TPMモジュール5がサーバー3からメッセージを受け取った場合にはただちに、ID表明(IDアサーション)を生成し、ID証明(クレデンシャル)によって署名されたID表明(IDアサーション)をID証明、例えば証明書と共にサービスプロバイダSPのサーバー3へ送信する。このサーバー3は、このID表明(IDアサーション)に基づいて認証を実施する。
さらに、エントリがネットワークプロバイダ2によってアクセスコントロールリストACLに生成され、SSOモジュールにおいて後のサービス要求(サービスリクエスト)のために格納される。
認証付与側ないしネットワークプロバイダ2が、TPMユニット内部のSSOモジュールを認証ないし初期化する場合にはただちに、TPMモジュール5は信頼に値すると判断することができ、必要不可欠なID証明(クレデンシャル)がID表明に署名するために備えられる。
代替的な実施形態では、1ユーザセッション(User Session)ごとに認証が行われる。このことは一方では、認証に基づいてネットワークプロバイダ2またはほかのネットワークユニットに対して行うことができる。この場合の結果は移動型端末装置4のSSOモジュールにおいて、例えば加入者識別モジュールxSIMとネットワークプロバイダの間の認証または暗号鍵配送方式AKAを用いて保存される。代替的にいくつかのID証明のうち1つ、例えば1つのユーザーネームまたはパスワードに基づいて、TPMユニットのSSOモジュール内部で確認することができ、このID証明(クレデンシャル)はデジタル方式で保存され、ローカルでチェックできる。
本発明によるシステム1の1つの可能な実施形態では、ID認可者ないしネットワークプロバイダ2は、設定フェーズにおいてインターフェースに関する連携ロジックを次のように設定している。すなわち、全ての関連した情報、例えば端末ユーザーID、サービスIDおよびID証明つまりクレデンシャルの形式のような情報が設定されるようにである。設定されたこれらの情報を用いて、SSOモジュールは自身の役割を果たすことができる。というのは、この役割が、IDをサービス要求において設定情報または連携情報に従ってマッピングすることであるためである。このような情報のエントリがSSOモジュールに存在しないならば、ID表明(IDアサーション)ないしトークンがサービス要求(サービスリクエスト)に挿入されるのではなく、相応のサービス要求(サービスリクエスト)が送信される。このことが該当する可能性があるのは、例えばユーザーがSSOモジュールにおける加入エントリを持たないシングルサインオンSSOを使用したい場合である。このような場合には、サーバーは、該サーバーが予期しているトークン情報を伴って受け取るサービス要求に対する401返信メールまたは302返信メールを送信する。TPMモジュール5はサーバー3の応答を保存し、処理する。引き続きこのTPMモジュール5は、必要不可欠なトークンを挿入し、相応のサービスのためにサービス要求を新たに送信する。さらにTPMモジュール5は、SSOモジュールにおいてサービス並びにトークンタイプ等を後のサービス要求のために通知する相応のエントリを指示する。
1つの実施形態では、SSOモジュールは設定フェーズにおいて、連携ロジックのリストを有し、必要不可欠な連携情報をそれぞれのユーザーに随意に使用させるように設定される。これに関して、TPMモジュールまたはSSOモジュールは、実行中のログインユーザプロセスおよび該ユーザプロセスの個々のサービス要求を把握する。ユーザーがネットワークプロバイダ2を変更するか、ネットワークプロバイダないしID認可者がユーザーの側からの容認できないアクションを突きとめたならば、存在している連携情報を取り消すことができる。この取り消しないし阻止は、個々のTPMモジュール5の協働がなくとも中央で行うことができる。ユーザーが異なる複数のアカウントをネットワークプロバイダ2のもとで有しているならば、連携ロジックには、ネットワークプロバイダ2にそのときログインされたアカウントが付随される。この連携ロジックは、移動型端末装置4によって管理される。権限の付与されたアプリケーションは連携情報へのアクセスを有している。どのネットワークプロバイダ2も、連携ロジックを加入フェーズの間、新しいサービスプロバイダSPにおいて起動するために端末装置4の設定情報へのアクセスを有している。TPMアプリケーションまたはSSOアプリケーションも同様に、ID証明つまりクレデンシャルを生成するために連携ロジックへのアクセスを有している。
本発明によるシステム1は、利点としてID表明(IDアサーション)の伝送が分散型で行われるということがある。このことは、ユーザーの認証が、中央のID供給者ないしIDプロバイダIDPから端末装置4に権限委譲されるか、該端末装置4に送出されることによって行われる。このような分散型のアプローチに基づいて、ネットワークプロバイダ2ないしID供給者はリソースを広範囲にわたり節約することができる。このやり方で、ネットワークプロバイダの運営コストが著しく低減する。
本発明によるシステム1のさらなる利点は、移動型端末装置4が、サービス供給者ないしサービスプロバイダSPのサービスへのアクセスのために、ネットワークプロバイダ2とのオンライン接続を必要としないことにある。

Claims (14)

  1. それぞれ1つのTPMモジュール(5)を有する端末装置(4)に対してサービスを提供するための方法において、
    前記端末装置(4)のTPMモジュール(5)は、設定可能なID証明(クレデンシャル)により署名されるID表明(IDアサーション)を伴ったサービス要求(サービスリクエスト)を、サーバー(3)のサービスへのアクセスのために該サーバー(3)に送信することを特徴とする方法。
  2. 前記サーバー(3)は、ID表明(IDアサーション)を伴ったサービス要求(サービスリクエスト)を受け取った後にID証明(クレデンシャル)を確認し、その署名を検証する、請求項1記載の方法。
  3. ID証明(クレデンシャル)は、ネットワークプロバイダ(2)によって前記端末装置(4)のTPMモジュール(5)において設定される、請求項1記載の方法。
  4. 前記ネットワークプロバイダ(2)は、前記端末装置(4)のTPMモジュール(5)において、異なるサーバー(3)の種々のサービスに属するID証明(クレデンシャル)を含むアクセスコントロールリスト(ACL)を設定する、請求項1記載の方法。
  5. ID証明(クレデンシャル)は、前記ネットワークプロバイダ(2)の証明書によって形成される、請求項1記載の方法。
  6. ID表明(IDアサーション)は、ユーザID情報データとネットワークプロバイダの証明書とタイムスタンプとサービス専用のアクセス制限機能とを有している、請求項1記載の方法。
  7. 前記端末装置(4)は、定期的にサービスユーザメッセージ(レポート)を前記ネットワークプロバイダ(2)へ送信する、請求項1記載の方法。
  8. ID証明(クレデンシャル)は、予め定められた期間(ライフタイム)後に失効する、請求項1記載の方法。
  9. ID表明(IDアサーション)は、セキュリティ表明マークアップ言語(SAML)のID表明によって形成される、請求項1記載の方法。
  10. 前記TPMモジュール(5)は、個々の前記サーバー(3)で一回限りログインする、請求項1記載の方法。
  11. TPMモジュール(5)を有する端末装置(4)において、
    該TPMモジュール(5)は、設定可能なID証明(クレデンシャル)により署名されているID表明(IDアサーション)を伴ったサービス要求(サービスリクエスト)を、サーバー(3)のサービスへのアクセスのために該サーバー(3)に送信することを特徴とする端末装置。
  12. 前記端末装置(4)は、SSO(シングルサインオン)モジュールを有している、請求項11記載の端末装置。
  13. それぞれ1つのTPMモジュール(5)を有する端末装置(4)に対してサービスを提供するためのサーバー(3)において、
    該サーバー(3)は、設定可能なID証明(クレデンシャル)により署名されているID表明(IDアサーション)を伴ったサービス要求(サービスリクエスト)を受け取った後に、個々の前記端末装置(4)に対するサービスを提供するためのID証明(クレデンシャル)を確認し、その署名を検証することを特徴とするサーバー。
  14. それぞれ1つのTPMモジュール(5)を有する端末装置(4)に対してサービスを提供するためのシステム(1)において、
    ネットワークプロバイダ(2)は、前記端末装置(4)のTPMモジュール(5)においてID証明(クレデンシャル)を設定し、
    前記端末装置(4)は、設定可能なID証明(クレデンシャル)により署名されているID表明(IDアサーション)を伴ったサービス要求(サービスリクエスト)を、サービスへのアクセスのためにサーバー(3)に送信することを特徴とするシステム。
JP2009551227A 2007-03-16 2008-03-03 端末装置に対するサービスを提供するための方法およびシステム Expired - Fee Related JP4928615B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102007012749A DE102007012749A1 (de) 2007-03-16 2007-03-16 Verfahren und System zur Bereitstellung von Diensten für Endgeräte
DE102007012749.0 2007-03-16
PCT/EP2008/052568 WO2008113674A1 (de) 2007-03-16 2008-03-03 Verfahren und system zur bereitstellung von diensten für endgeräte

Publications (2)

Publication Number Publication Date
JP2010519657A true JP2010519657A (ja) 2010-06-03
JP4928615B2 JP4928615B2 (ja) 2012-05-09

Family

ID=39494412

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009551227A Expired - Fee Related JP4928615B2 (ja) 2007-03-16 2008-03-03 端末装置に対するサービスを提供するための方法およびシステム

Country Status (7)

Country Link
US (1) US9444814B2 (ja)
EP (1) EP2122986B1 (ja)
JP (1) JP4928615B2 (ja)
CN (1) CN101647254B (ja)
AT (1) ATE493824T1 (ja)
DE (2) DE102007012749A1 (ja)
WO (1) WO2008113674A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014519674A (ja) * 2012-06-21 2014-08-14 エスケー プラネット カンパニー、リミテッド トラステッドプラットフォーム基盤の開放型id認証方法、このための装置及びシステム
JP2014531683A (ja) * 2011-09-30 2014-11-27 インテル・コーポレーション アウトオブバンドリモート認証
JP2015527819A (ja) * 2012-07-13 2015-09-17 インターデイジタル パテント ホールディングス インコーポレイテッド 無線ユニットのユーザを認証するための方法およびシステム
JP2017529729A (ja) * 2014-07-25 2017-10-05 華為技術有限公司Huawei Technologies Co.,Ltd. データ処理方法およびデータ処理装置

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102025603B (zh) * 2009-09-17 2015-01-28 中兴通讯股份有限公司 报文发送控制的方法、系统及注册、更新的方法及系统
US20110138453A1 (en) * 2009-12-03 2011-06-09 Samsung Electronics Co., Ltd. Single sign-on in mixed http and sip environments
EP2526504A1 (en) 2010-01-22 2012-11-28 InterDigital Patent Holdings, Inc. Method and apparatus for trusted federated identity management and data access authorization
KR20120120955A (ko) * 2010-02-09 2012-11-02 인터디지탈 패튼 홀딩스, 인크 신뢰적인 연합 아이덴티티를 위한 방법 및 장치
US8839338B2 (en) * 2012-03-28 2014-09-16 Sony Corporation Service usage reporting data transport
US8959234B2 (en) * 2010-04-15 2015-02-17 Htc Corporation Method and system for providing online services corresponding to multiple mobile devices, server, mobile device, and computer program product
DE102010028217A1 (de) * 2010-04-26 2011-10-27 Bundesdruckerei Gmbh Elektronisches Gerät, Telekommunikationssystem und Verfahren zum Lesen von Daten aus einem elekronischen Gerät
WO2012023050A2 (en) 2010-08-20 2012-02-23 Overtis Group Limited Secure cloud computing system and method
US8509431B2 (en) * 2010-09-20 2013-08-13 Interdigital Patent Holdings, Inc. Identity management on a wireless device
US8949939B2 (en) * 2010-10-13 2015-02-03 Salesforce.Com, Inc. Methods and systems for provisioning access to customer organization data in a multi-tenant system
EP2695411A1 (en) * 2011-04-06 2014-02-12 Telefonaktiebolaget LM Ericsson (PUBL) Delivery of internet based service to user equipment
CN102721421A (zh) * 2012-06-29 2012-10-10 惠州华阳通用电子有限公司 基于门户网站向车载导航终端推送信息的自动导航系统及方法
US20140007197A1 (en) * 2012-06-29 2014-01-02 Michael John Wray Delegation within a computing environment
CN104396290B (zh) * 2012-07-02 2018-07-10 Sk普兰尼特有限公司 单一证书服务系统及其操作方法
WO2014065811A1 (en) * 2012-10-26 2014-05-01 Empire Technology Development Llc Securitization of developer credentials
US11349675B2 (en) * 2013-10-18 2022-05-31 Alcatel-Lucent Usa Inc. Tamper-resistant and scalable mutual authentication for machine-to-machine devices
TW201546649A (zh) * 2014-06-05 2015-12-16 Cavium Inc 用於基於硬體安全模組的基於雲端的web服務安全管理的系統和方法
JP6680022B2 (ja) * 2016-03-18 2020-04-15 株式会社リコー 情報処理装置、情報処理システム、情報処理方法及びプログラム
US10356067B2 (en) * 2016-11-02 2019-07-16 Robert Bosch Gmbh Device and method for providing user-configured trust domains
US10750364B2 (en) * 2017-10-19 2020-08-18 Microsoft Technology Licensing, Llc Single sign-in for IoT devices
US10476751B2 (en) 2017-10-19 2019-11-12 Microsoft Technology Licensing, Llc IoT cloud to cloud architecture
IL285802B1 (en) * 2019-03-06 2024-03-01 Xyberfocus Llc System and method for approximation-based user identification and authentication
US20210096881A1 (en) * 2019-09-30 2021-04-01 Microsoft Technology Licensing, Llc Securely Configuring Target Devices Using Device Identity
EP3852308A1 (de) * 2020-01-20 2021-07-21 Nfon Ag Verfahren zum provisionieren von telekommunikationsendgeräten

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004533075A (ja) * 2001-06-11 2004-10-28 ビーイーエイ システムズ, インコーポレイテッド サーバーセキュリティ及び権限付与処理のためのシステム及びその方法
JP2006164247A (ja) * 2004-12-07 2006-06-22 Microsoft Corp フェデレーテッド・リソースにアクセスするためのトークンの提供
WO2006103176A1 (en) * 2005-04-01 2006-10-05 International Business Machines Corporation Method for a runtime user account creation operation
JP2006526184A (ja) * 2003-05-12 2006-11-16 株式会社エヌ・ティ・ティ・ドコモ ネットワークセキュリティ方法およびネットワークセキュリティシステム
WO2008031043A1 (en) * 2006-09-08 2008-03-13 Microsoft Corporation Controlling the delegation of rights

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010045451A1 (en) * 2000-02-28 2001-11-29 Tan Warren Yung-Hang Method and system for token-based authentication
US7210167B2 (en) * 2001-01-08 2007-04-24 Microsoft Corporation Credential management
US7853643B1 (en) * 2001-11-21 2010-12-14 Blue Titan Software, Inc. Web services-based computing resource lifecycle management
US7228417B2 (en) * 2002-02-26 2007-06-05 America Online, Inc. Simple secure login with multiple-authentication providers
US7962655B2 (en) * 2002-07-29 2011-06-14 Oracle International Corporation Using an identity-based communication layer for computing device communication
US7194480B2 (en) * 2002-12-31 2007-03-20 International Business Machines Corporation System and method for invoking methods on place objects in a distributed environment
US20040267645A1 (en) * 2003-06-24 2004-12-30 Pekka Pollari Method and corresponding equipment enabling billing for use of applications hosted by a wireless terminal
US7634807B2 (en) * 2003-08-08 2009-12-15 Nokia Corporation System and method to establish and maintain conditional trust by stating signal of distrust
US7594224B2 (en) * 2003-10-10 2009-09-22 Bea Systems, Inc. Distributed enterprise security system
US7337324B2 (en) 2003-12-01 2008-02-26 Microsoft Corp. System and method for non-interactive human answerable challenges
US20050149729A1 (en) * 2003-12-24 2005-07-07 Zimmer Vincent J. Method to support XML-based security and key management services in a pre-boot execution environment
US7747862B2 (en) * 2004-06-28 2010-06-29 Intel Corporation Method and apparatus to authenticate base and subscriber stations and secure sessions for broadband wireless networks
US7562382B2 (en) 2004-12-16 2009-07-14 International Business Machines Corporation Specializing support for a federation relationship
GB2424726A (en) * 2005-03-31 2006-10-04 Hewlett Packard Development Co Management of computer based assets
US7748031B2 (en) * 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
CN100464549C (zh) * 2005-10-28 2009-02-25 广东省电信有限公司研究院 一种数据安全存储业务的实现方法
US8458775B2 (en) * 2006-08-11 2013-06-04 Microsoft Corporation Multiuser web service sign-in client side components
US7525969B2 (en) * 2006-08-25 2009-04-28 Cisco Technology, Inc. NAT processing in a VRF environment
US7836080B2 (en) * 2006-12-22 2010-11-16 International Business Machines Corporation Using an access control list rule to generate an access control list for a document included in a file plan

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004533075A (ja) * 2001-06-11 2004-10-28 ビーイーエイ システムズ, インコーポレイテッド サーバーセキュリティ及び権限付与処理のためのシステム及びその方法
JP2006526184A (ja) * 2003-05-12 2006-11-16 株式会社エヌ・ティ・ティ・ドコモ ネットワークセキュリティ方法およびネットワークセキュリティシステム
JP2006164247A (ja) * 2004-12-07 2006-06-22 Microsoft Corp フェデレーテッド・リソースにアクセスするためのトークンの提供
WO2006103176A1 (en) * 2005-04-01 2006-10-05 International Business Machines Corporation Method for a runtime user account creation operation
WO2008031043A1 (en) * 2006-09-08 2008-03-13 Microsoft Corporation Controlling the delegation of rights

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014531683A (ja) * 2011-09-30 2014-11-27 インテル・コーポレーション アウトオブバンドリモート認証
JP2014519674A (ja) * 2012-06-21 2014-08-14 エスケー プラネット カンパニー、リミテッド トラステッドプラットフォーム基盤の開放型id認証方法、このための装置及びシステム
JP2015527819A (ja) * 2012-07-13 2015-09-17 インターデイジタル パテント ホールディングス インコーポレイテッド 無線ユニットのユーザを認証するための方法およびシステム
US9503438B2 (en) 2012-07-13 2016-11-22 Interdigital Patent Holdings, Inc. Characteristics of security associations
US10038692B2 (en) 2012-07-13 2018-07-31 Interdigital Patent Holdings, Inc. Characteristics of security associations
JP2017529729A (ja) * 2014-07-25 2017-10-05 華為技術有限公司Huawei Technologies Co.,Ltd. データ処理方法およびデータ処理装置
US10243933B2 (en) 2014-07-25 2019-03-26 Huawei Technologies Co., Ltd. Data processing method and apparatus

Also Published As

Publication number Publication date
US9444814B2 (en) 2016-09-13
CN101647254A (zh) 2010-02-10
DE502008002144D1 (de) 2011-02-10
US20110083169A1 (en) 2011-04-07
WO2008113674A1 (de) 2008-09-25
CN101647254B (zh) 2015-04-01
EP2122986B1 (de) 2010-12-29
EP2122986A1 (de) 2009-11-25
DE102007012749A1 (de) 2008-09-18
ATE493824T1 (de) 2011-01-15
JP4928615B2 (ja) 2012-05-09

Similar Documents

Publication Publication Date Title
JP4928615B2 (ja) 端末装置に対するサービスを提供するための方法およびシステム
US8281379B2 (en) Method and system for providing a federated authentication service with gradual expiration of credentials
US11509645B2 (en) Device authentication based upon tunnel client network requests
US10791147B2 (en) Device authentication based upon tunnel client network requests
US9166969B2 (en) Session certificates
US20170099148A1 (en) Securely authorizing client applications on devices to hosted services
US20130311771A1 (en) Subscriber certificate provisioning
CN109672675B (zh) 一种基于OAuth2.0的密码服务中间件的WEB认证方法
KR20140084217A (ko) 제3자 애플리케이션의 중앙집중 보안 관리 방법, 시스템 및 대응 통신 시스템
US11695747B2 (en) Multi-device single sign-on
EP2768178A1 (en) Method of privacy-preserving proof of reliability between three communicating parties
US10375055B2 (en) Device authentication based upon tunnel client network requests
Nongbri et al. A survey on single sign-on
CN113647080B (zh) 以密码保护的方式提供数字证书
CN113169953B (zh) 用于验证设备或用户的方法和装置
Krolo et al. Security of web level user identity management
CN113098909A (zh) 基于公钥认证的sso认证系统
CN115885499A (zh) 在设备处对通信伙伴进行认证
Straub et al. A multipurpose delegation proxy for WWW credentials
Protocol draft-hallambaker-omnibroker-02
Fugkeaw et al. A hybrid multi-application authentication and authorization model using multi-agent system and PKI
Shin et al. Single Sign-On Scheme based on XML for Media Device Control in the Ubiquitous Home Network Running the OSGi
Nirmalrani et al. Implementation Strategies for Multifactor Authentication for E-Governance Applications through Restful Webservices
Matkar et al. A Review of Authentication Protocols
WO2011063827A1 (en) Personal identity management system and method

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20101228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120113

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120210

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150217

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees