JP2013145562A - アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置 - Google Patents

アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置 Download PDF

Info

Publication number
JP2013145562A
JP2013145562A JP2013028969A JP2013028969A JP2013145562A JP 2013145562 A JP2013145562 A JP 2013145562A JP 2013028969 A JP2013028969 A JP 2013028969A JP 2013028969 A JP2013028969 A JP 2013028969A JP 2013145562 A JP2013145562 A JP 2013145562A
Authority
JP
Japan
Prior art keywords
user
website
password
sso
tpm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013028969A
Other languages
English (en)
Other versions
JP5795604B2 (ja
Inventor
C Shah Yogendra
シー.シャー ヨゲンドラ
Inhyok Cha
チャ インヒョク
Alexander Reznik
レズニック アレクサンダー
Lopez-Torres Oscar
ロペス−トーレス オスカー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
InterDigital Technology Corp
Original Assignee
InterDigital Technology Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by InterDigital Technology Corp filed Critical InterDigital Technology Corp
Publication of JP2013145562A publication Critical patent/JP2013145562A/ja
Application granted granted Critical
Publication of JP5795604B2 publication Critical patent/JP5795604B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】TC(信頼されるコンピューティング)技術に基づくパスワード管理およびSSO(シングル・サインオン)アクセスのための方法および装置を提供すること。
【解決手段】この方法は、プロキシSSOユニットとWebアクセス・アプリケーションとの両方と対話して、パスワードおよびSSO資格証明の生成、格納、および取り出しを行う、セキュアな信頼される機構をもたらす、TCG(Trusted Computing Group)のTPM(信頼されるプラットフォームモジュール)を実装する。本発明の様々な実施形態は、ユーザーが、ユーザーのデバイス上に存在するセキュアなプロキシに1回だけサインオンした後、事前識別されたサイトグループに属する1つのサイトから別のサイトに、セキュアに、かつ透過的に飛ぶことを許す。
【選択図】図8

Description

本発明は、無線通信に関する。より具体的には、アプリケーションおよびインターネットベースのサービスに対する信頼されるSSO(Single Sign-On、シングル・サインオン)アクセス、および信頼されるID(識別)管理を提供するための方法および装置が、開示される。
ますます多くの無線通信デバイスに関して、サードパーティ・インターネット・コンテンツ・プロバイダーによって提供される独立したセキュアなWebサイトにログインするためのユーザーの認証プロセスを強化し、簡略化する必要性が、存在する。これらのWebサイトへのアクセスを得るのに、ユーザーは、サービスごとに一意のユーザーID、および一意のパスワードをセットアップすることを要求される。しかし、異なるパスワードポリシーの対象となる複数のユーザーID、および複数のパスワードを使用することは、面倒であり、セキュリティ侵害を被りやすい。したがって、無線通信デバイスユーザーに関するユーザー認証プロセスを簡略化しながら、パスワード管理のセキュリティレベルを強化するための方法が、大いに必要とされる。
サードパーティWebサービス・プロバイダーは、無線ネットワーク事業者を相手にした別個の契約を保持するため、アクセスネットワーク上のサードパーティ・サービスにユーザー認証プロセスを基づかせることは、それらのネットワークが、RAN(Radio Access Network、無線アクセスネットワーク)などの無線ネットワークであれ、固定の、もしくは移動性の低い無線ネットワーク(例えば、IEEE 802.16−タイプのネットワーク)であれ、固定の有線ネットワークであれ、実際的ではない。サービス・プロバイダーおよびユーザーは、しばしば、単一のIDを使用して、複数のRAN、複数の無線ネットワーク、または固定ネットワークを介してサービスにアクセスするため、ユーザーおよびサードパーティ・サービス・プロバイダーは、ネットワーク事業者が、ユーザー許可を与えることに対する制御を保つことができる、様々なネットワークにまたがってSSO運用を実装する可能性が高い。
1つのシナリオでは、無線ネットワーク事業者およびサードパーティIDサービス・プロバイダーは、一様なユーザーIDをユーザーに供給して、様々なタイプのネットワーク、事業者、およびサービス・プロバイダーにわたるシームレスなサービス継続性を円滑にすることが可能である。一様なユーザーIDは、異なるネットワークタイプおよびネットワークエンティティのサービス、ならびにサービス・プロバイダー境界にまたがる頻繁な、大量の変更からもたらされる過渡的な問題を解決する可能性がある。
パスワードまたは認証資格証明(authentication credential)のずさんな管理は、セキュリティに壊滅的な影響を与える可能性がある。攻撃者は、弱いパスワード、または盗んだパスワードを介してセンシティブなデータへのアクセスを得ることができる。また、ずさんなパスワード管理は、運用コストの増加につながる可能性もある。例えば、ヘルプデスク呼び出し件数(call volume)が、ユーザーの紛失した、または忘れてしまったパスワードを取り出す、または再設定する呼び出しを行うユーザーの数の増加とともに劇的に増加する可能性がある。
以下が、後段でより詳細に説明される、パスワード管理を向上させるための従来技術のソリューションである。すなわち、特定のパスワードポリシー、パスワードなしの認証、バイオメトリック因子、パスワード同期、資格証明マッピング、E−SSO(エンタープライズ・シングル・サインオン)、E−SSOをパスワード同期と組み合わせること、Web−SSO(Webシングル・サインオン)、およびSAML(Security Assertion Mark−up Language)である。
ユーザーパスワードのセキュリティレベルを強化するため、組織は、特定のパスワードポリシーを実施することができる。一般的なパスワードポリシーは、ユーザーが、推測するのが難しいパスワードを設定する、またはパスワードを頻繁に変更することを要求することが可能である。また、パスワードポリシーは、ユーザーパスワード履歴を記録して、即時のパスワード再使用を防止する、またはロックアウトポリシーを実施して或る回数の試行の後にログインに失敗する人を誰であれロックアウトすることも可能である。良好なパスワードポリシーを実施することは、パスワードセキュリティを強化する可能性がある一方で、ユーザーが、憶えているのが容易で、管理しやすいパターン化されたパスワードを設定するのを助長する可能性もある。例えば、ユーザーが、パスワードポリシーの複雑度要件を満たすように、@#$%9876などの、文字と数字の組み合わせを使用してパスワードを作成する可能性がある。しかし、ユーザーは、このパスワードを変更するようにシステムによって促されると、@#$%8765または@#$%7654など、古いパスワードの変種を使用して新たなパスワードを作成する可能性がある。パターン化されたパスワードの使用は、ユーザーのパスワード履歴の知識が旧パスワードの変種に対する侵入の試行の回数を大幅に絞るため、パスワードセキュリティレベルを弱める。複雑なパスワードは、憶えているのが困難であるため、厳密なパスワードポリシーは、ユーザーが、異なるサービスに関して同一のパスワードを使用することを生じさせる可能性がある。パスワードが、異なるサービスにまたがって共有されると、それらのサービスのいずれかにおいて漏洩した単一のパスワードが、その他のサービスのすべてにおけるパスワードの漏洩につながる。
パスワードなしの認証は、認証プロセスのセキュリティを向上させるのに使用される別の技術である。個人および組織が、スマートカードや認証トークンなどの、ユーザーIDおよびパスワードに依拠しない認証方法を採用している。スマートカードは、ユーザー認証目的でカード上に格納された複雑なパスワードをロック解除する組み込みパスワード、すなわち、PIN(Personal Identification Number、個人識別番号)を使用する。このセットアップは、ユーザーがパスワードを入力する必要性を解消し、多因子認証、物理的なスマートカード、およびスマートカードの中に格納されたPINを使用して、ユーザーを認証する。しかし、スマートカードは、システムをセットアップすることの高い前払いの費用や、紛失したカード、盗まれたカード、またはそれ以外で侵害された(compromised)カードに関するヘルプデスクサポートを維持することの高い継続的費用などの欠点を有する。
また、バイオメトリック因子を使用して、ユーザーを認証することも普及してきている。一般的なバイオメトリック認証デバイスには、網膜スキャナ、指紋スキャナ、および手のひらスキャナが関わる。これらのデバイスは、ユーザーの物理的属性から導き出されたデータを用いてユーザーを認証する。これらのデバイスの欠点は、これらのデバイスを実装し、維持する費用がかさむことである。
パスワード同期(password synchronization)は、ユーザーが、複数のシステムにわたって単一のパスワードを使用することを許す技術である。パスワード同期において、パスワードは、パスワード再設定およびパスワード変更の両方に関して単一のセキュリティポリシーの対象となる。この技術において、パスワードの平文コピーが、1つのロケーションから抽出され、1つまたは複数の外部サービスロケーションに置かれる。これを達成するのに、展開プロジェクト(deployment project)の最初から、すべてのシステム上にすべてのユーザーに関するユーザープロファイルのコピーが、存在して、システムの寿命全体にわたって保持されなければならない。パスワード同期におけるパスワード変更は、一方向プッシュで、または双方向プッシュで行われることが可能である。一方向パスワードプッシュでは、中央システムにおけるパスワード変更がインターセプトされネットワーク内の他のロケーションにプッシュされる。双方向パスワードプッシュでは、パスワード変更は、任意のシステムにおいて行われることが可能であり、パスワードアーキテクチャ全体にわたって伝搬される。
一方向パスワードプッシュの主な問題は、パスワードを格納するシステムのセキュリティ測定内にある。同期されたパスワードがシステムにまたがって使用されるため、いずれのシステムにおけるセキュリティ侵害がすべてのシステムにおける破滅的なセキュリティ侵害をもたらす。双方向パスワード同期はより大きいユーザー・フレキシビリティを提供するが、パスワード変更の無限ループを生じさせることなどのさらなる問題を生じさせる可能性がある。システムは、そのシステムの残りの部分に新たなデータを伝搬させるようにプログラミングされるため、システムは、単一のパスワードに対する複数のパスワード変更を伝搬させるエンドレスのパスワード更新プロセスに陥る可能性がある。
したがって、パスワード同期は、ネットワーク内で複数のパスワードを憶えていて管理しなければならないことからユーザーを解放するものの、ユーザーが1つのパスワードを使用して複数のサービスにアクセスするのを許すことによって、パスワードセキュリティを弱めもする。
E−SSOと一般に呼ばれる資格証明マッピング(credential mapping)は、ユーザーに代行してユーザーIDおよびパスワードを格納し、取り出し、「タイプ入力」する技術である。E−SSOを実施するのに、E−SSOソフトウェアのコピーが、各WTRUにインストールされなければならない。すべてのシステムおよびアプリケーションに関するユーザーIDおよびパスワードが、ローカルファイル、ネットワーク接続された(network-attached)データベース、またはユーザーディレクトリの中に格納される。初期セットアップの後で、ユーザーは、前に行っていたように、または新たなE−SSOソフトウェアインターフェースを介して、ユーザーのワークステーションにサインインすることができる。ユーザーが、ユーザーのワークステーションを使用してアプリケーションに接続することを要求する場合、E−SSOソフトウェアは、それらのアプリケーションのログインページのユーザーIDフィールドおよびパスワードフィールドに自動的にデータ投入(populate)する。
E−SSOシステムでは、ユーザーは、以下の場合、1つまたは2つのユーザー資格証明セット(例えば、ユーザーIDおよびパスワード)を使用して、ユーザーのワークステーションにサインインする。すなわち、(1)ユーザーが、E−SSOソフトウェアにログインするだけでよく、ユーザーのワークステーションにログインする必要がない場合、および(2)ユーザーが、両方にログインしなければならない場合である。
一部のE−SSOシステムは、ワークステーションにサインインし、スマートカード、認証トークン、またはバイオメトリックサンプルを含むユーザーの資格証明プロファイルにアクセスするために、パスワード以外の認証技術の使用をサポートする。さらに、一部のE−SSO技術は、各ターゲット宛先に関して、パスワード管理を完全に制御するように構成される。このアプローチは、ユーザーが、いずれのターゲットシステムに関してもユーザーのパスワードを憶える必要性を解消する。E−SSOソフトウェアは、ユーザーに代行して、ユーザーのために自動的にサインインする。
E−SSOの下で、ユーザーは、ターゲットシステム上でパスワードを変更する必要もない。このソフトウェアが、パスワード変更要求を認識し、または予期し、それに相応して、ユーザーに代行してパスワードを変更する。資格証明マッピングパスワード管理フィーチャは、ターゲットシステムが、資格証明管理ソフトウェアだけを介してアクセスされる場合に、最もうまく機能する。
E−SSOシステムは、ユーザーパスワードを保護する機能を提供するが、システムは、セットアップするのに費用がかさみ、面倒であるという欠点を有する。E−SSOシステムを実装することは、各ユーザーに関してログインIDプロファイルを作成することだけでなく、各ユーザーおよび各ターゲットアプリケーションに関して現在のパスワードを格納することも要求する。E−SSOシステムをセットアップすることは、クライアントソフトウェアをインストールすること、ならびにユーザーIDおよびパスワードを格納するための資格証明データベースを展開することをさらに要求する。このデータベースは、専用ネットワークサービスを介して、または既存のディレクトリ(例えば、アクティブ・ディレクトリ、LDAP、NDS)のスキームを拡張することによって、得られることが可能である。資格証明データベースは、このデータベース独自の、いくつかの要件を有する。このデータベースの目的を実行するのに、このデータベースは、このデータベースにおける障害により多数のユーザーがいずれのシステムにサインインすることを妨げられるので、高速であり、利用可能でなければならない。さらに、このデータベースはまた、このデータベースにおける侵害(compromise)が、すべてのシステムにおけるすべてのユーザー資格証明の侵害につながる可能性があるので、セキュリティで保護されていなければならない。
中央パスワード制御システムとして、E−SSOは、単一障害点(single point-of-failure)を生じさせる。ユーザーは、E−SSOシステムまたは資格証明データベースがダウンしている場合、いずれのシステムにもログインすることができない。さらに、E−SSO技術は、複数のユーザーインターフェース(例えば、クライアント、Web、電話機など)をサポートするアプリケーションを用いる認証プロセスをサポートしない。さらに、E−SSOは、Windows(登録商標)「スクリーン・スクレイピング(screen scraping)」技術に依拠するため、E−SSOシステムの展開および管理は、特に複数のタイプのワークステーションにまたがって、費用がかさむ可能性がある。したがって、E−SSOシステムは、セットアップし、登録するのが退屈で、時間がかかり、費用がかさむだけでなく、単一障害点を許しもする。
E−SSOをパスワード同期と組み合わせることは、E−SSOシステムを単独で実施することの欠点のいくつかに対処することができる。例えば、パスワード同期技術がない場合、ユーザーは、代替のユーザーインターフェースを使用して、ユーザーのE−SSOパスワードを使用してアプリケーションにログインすることができない。ユーザーは、ユーザー自身のパスワードを必ずしも知らないため、Microsoft(登録商標) Outlook(登録商標)などの所有(proprietary)クライアントを通常使用するユーザーは、Webポータルを介して電子メールアカウントにアクセスすることができない可能性がある。パスワード同期をE−SSOと組み合わせることによって、ユーザーは、Webポータルなどの代替のインターフェースを介して、ユーザーの一次E−SSOパスワードを使用して、他のアプリケーションにログインすることができる。さらに、E−SSOシステムを展開するより前にパスワード同期システムを展開することが、各ユーザーに関するユーザーIDプロファイルを獲得する際の時間および労力を低減する。
E−SSOシステムにおいて、ユーザー資格証明は、通常、一次E−SSOパスワードから導き出されたキーを使用して暗号化される。この構成の下で、一次E−SSOパスワーを紛失することは、すべてのシステムにユーザー資格証明が失われることをもたらす。失われたE−SSOパスワードが再設定された後でさえ、資格証明は紛失したパスワードから導き出されたキーを使用して暗号化されているため、この暗号化された資格証明は、アクセス可能でない。つまり、ユーザーのE−SSO一次パスワードを再設定することによって、ユーザーの資格証明が取り出されることはなく、ユーザーは、E−SSOシステムに再登録しなければならない。
この問題に対処するのに、E−SSOシステムは、E−SSOパスワードが再設定された後、ユーザー資格証明を回復する「バックドア」を提供しなければならない。パスワード再設定システムが、このバックドアシステムと一体化しなければならない、またはパスワード再設定システム独自のバックドアを提供しなければならない。ユーザーの一次E−SSOパスワードを再設定した後、パスワード再設定システムは、安全なストレージからユーザーの以前のパスワードを回復し、ユーザーの古い資格証明を解読し、このパスワードおよびこの資格証明を新たなパスワードおよびキーを使用して再暗号化して、E−SSOクライアントソフトウェアが再びアクセス可能であるようにしなければならない。
パスワード再設定、パスワード同期、およびE−SSOシステムを統合することにより、以上の問題が解決され、組織が、迅速な展開、自動化されたサインオン、およびセルフサービス問題解決の利益を享受することが可能になる。しかし、技術のこの組み合わせは、パスワードおよびログイン資格証明をセキュリティで保護するという問題に対処しない。さらに、クライアントソフトウェアもしくはサーバーソフトウェア、またはデータベースにおける侵害により、ユーザープロファイルが侵害される。最後に、この組み合わせは、パスワード同期およびE−SSOに携わっているシステムの「健康」状態を検証する方法を提供することが、依然としてできない。この検証なしで、ユーザーがシステムによって一度認証されると、ユーザーは、システムが侵害されている場合でさえ、システムにアクセスすることができる。
Web−SSOは、Webブラウザを介してアクセスされるアプリケーションおよびリソースで機能する。Web−SSOでは、Webリソースに対するアクセスは、Webプロキシサーバーによって、またはターゲットとされるWebサーバー上のコンポーネントによってインターセプトされ、Webリソースにアクセスしようと試みる認証されていないユーザーは、認証プロンプトに向かわされ、サインオンに成功して初めて、元のサイトにリダイレクトされる。ユーザーの認証状態を追跡するのにクッキーが最もよく使用され、Web−SSOインフラストラクチャは、クッキーからユーザー識別情報を抽出して、この情報をWebリソースに送る。
スクリーン・スクレイピングおよびフェデレーションが、Web−SSOにおいて使用される2つの最も重要な従来技術の技術である。一般的なタイプのスクリーン・スクレイピングは、Webスクレイピングである。Webスクレイピングは、HTMLスクレイピングまたはページスクレイピングとも呼ばれ、コンピュータプログラムであるWebスクレーパが、Webページからデータを抽出する技法である。Webスクレイピングは、E−SSOにおいて、またはWeb−SSOにおいて使用されることが可能である。
スクリーン・スクレイピング技術は、Webページが、テキスト形態の情報をしばしば含むテキストベースのマークアップ言語(例えば、HTML)を使用して構築されるため、有用である。これに対して、プログラム間のデータ交換は、通常、人間が直ちに理解することができないマシンのために設計されたデータ構造を使用して達せられる。同様に、ユーザーに向けられたデータ出力は、しばしば、マシン解釈に適していない。したがって、最初に、HTMLおよび他のマークアップマシン言語からマシンフレンドリなデータを抽出し、次にこの抽出されたマシンフレンドリなデータをプログラム間で交換することによって、プログラム間でデータの転送を実現するために、スクリーン・スクレイピングが必要とされる。
スクリーン・スクレイピングを実行する際、コンピュータテキスト表示からデータを読み取ることは、一般に、端末装置の補助ポートを介して端末装置のメモリを読み取ること、または端末装置の出力ポートを別のシステムの入力ポートに接続することによって行われる。これらの事例では、スクリーン・スクレイピングは、Webページのコンピュータ化された解析(parsing)と呼ばれることも可能である。
スクリーン・スクレイピングは、以下を行うのに、最もよく行われる。すなわち、(1)現在のハードウェアと互換性のある代替の機構を提供することができないレガシーシステムとインターフェースをとる、または(2)それほど高性能でないAPI(アプリケーション・プログラミング・インターフェース)を提供するサードパーティシステムとインターフェースをとる。2)の事例では、サードパーティシステムは、より大きいシステム負荷、広告収入が失われること、または情報コンテンツの支配が失われることなどの理由で、スクリーン・スクレイピングを不要であると考える可能性がある。
図1は、Web−SSOをWebスクレイピングと一緒に使用する従来技術のWTRUにおける例示的な手続きを示す。この図では、WTRUはプロキシソフトウェアを備えており、WTRU上のWebアクセス・アプリケーションは、SSOプロキシソフトウェアと協調的に対話して、プロキシがWebサービスへのSSOのための手続きを確立し制御することを許可するものと仮定する。例えば、ブラウザが或るURLにアクセスする要求を受信すると、ブラウザは、このURLをSSOプロキシソフトウェアに送信して、その特定のWebサイトにアクセスするのにWeb−SSOが使用されることが可能であるかどうかを検証する。
フェデレーションは、標準ベースのプロトコルを使用して1つのアプリケーションがユーザーのIDを第2のエンティティにアサート(assert、表明)することを可能にして、冗長な認証の必要性を解消する、Web−SSOに関して使用される第2のインポート技術である。フェデレーションをサポートする規格標準には、Liberty Alliance、ID−FF、OASIS、SAML、およびインターネット2のために開発されているShibbolethが含まれる。Liberty Allianceは、ID−FF(IDentity Federation Framework、IDフェデレーションフレームワーク)およびID−WSF(IDentity Web Service Framework、ID Webサービスフレームワーク)のための規格を開発した中央組織である。Liberty Allianceは、連携ID管理(federated identity management)およびWebサービス通信プロトコルを規定する規格を含む包括的な業界コンソーシアム開発スイートのセットを提供する。これらのプロトコルは、企業内展開と企業間展開の両方のために設計される。OASISは、電子商取引のためのソリューションを開発する非営利組織である。現在、バージョン2.0であるSAMLは、SSO認証を可能にするユーザーID情報を含むセキュリティアサーションのためのマークアップ言語である。Shibbolethは、連携IDおよびSAMLに基づいて認証−許可インフラストラクチャのためのアーキテクチャおよびオープンソース実装を作成したインターネット2ミドルウェア・イニシアティブ(NMI)プロジェクトである。
図2は、Liberty Alliance ID−FFを使用するWTRUユーザーによるWeb−SSOのための手続きを示す。Web−SSOのコンテキストにおいて、Liberty Allianceは、ユーザーが、或る単一のアカウントにログインし、ネットワークにおけるID管理エンティティによって管理される「信頼サークル」内のいくつかのサービス・プロバイダーからのサービスを要求することを可能にする。Liberty Allianceの独特なフィーチャが、「フェデレーション」プロセスである。再認証を受けることなしにSP(サービス・プロバイダー)にアクセスするために各ユーザーがどのような種類の権利を有するかを決定する代わりに、Liberty Allianceは、ユーザーが再認証なしにSPにアクセスすることを所望するかどうかを、ユーザーが決定することを許す。この権利を得るために、ユーザーはまず、SPによって認識されるIDP(IDプロバイダー)によって認証されなければならない。このことは、Liberty Allianceを、ユーザーが通常個人データの管理を企業に委ねる、拡張された企業アプリケーションのコンテキストにおけるID管理のための実用的なフレームワークにする。
SAMLは、セキュリティドメイン間で、つまり、IDPとSPの間で、認証データおよび許可データを交換するためにOASIS組織によって作成されたXML標準である。図3は、SAMLコンポーネント間の関係を示す。SAMLは、ネットワークエンティティ間で認証手続きおよびセキュリティアサーション情報(security assertion information)のシームレスで、確実な交換を円滑にすることによって、Web−SSO問題を解決しようと試みる。SAML標準は、以下のコンポーネントを利用する。すなわち、(1)アサーションコンポーネント、(2)プロトコルコンポーネント、(3)結合コンポーネント(biding component)、および(4)プロファイルコンポーネントである。アサーションコンポーネントは、1つのエンティティが、ユーザー名、ステータス、電子メールアドレス、グループにおけるメンバシップなどの、別のエンティティの特性および属性をアサートすることを可能にする。プロトコルコンポーネントは、XMLスキーマにおいて符号化され、要求−応答関連プロトコルのリストを定義する。
結合コンポーネントは、SAMLプロトコルメッセージが、SOAPメッセージ内でどのようにトランスポートされるか、およびSOAPメッセージが、HTTPを介して、どのようにトランスポートされるかを定義する。SOAPメッセージは、W3C組織SOAPバージョン1.2のエンベロープ規則および符号化規則に準拠して構築される、適格な(well-formed)XMLメッセージである。図4は、通常の結合ケースにおけるSAMLコンポーネント間の交換の例を示す。プロファイルコンポーネントは、SAML規格の中核であり、つまり、プロファイルコンポーネントは、SAML要求およびSAML応答が、どのようにトランスポートされるかを定義する。
Liberty ID−FFとSAMLはともに、パスワードセキュリティレベルを強化することに重要な役割を果たすものの、いずれも、ユーザーのデバイス内、またはIDP上およびSP上でWeb−SSOに必要な、センシティブな情報をどのようにセキュリティで保護するかには対処しない。さらに、Liberty ID−FFとSAMLはともに、最終的には、ユーザー認証プロセスの制御をIDPおよびSPに明け渡し、その結果、ユーザー個人情報の開示が要求されるため、ユーザープロファイルが、このプロセスにおいて侵害される可能性がある。
信頼されるコンピューティング技術が、概ねTCG(Trusted Computing Group)の技術的な傘下で、文献および製品において出現している。信頼されるコンピューティングは、暗号機能および保護されたストレージを提供する専用の、物理的に隔離されたハードウェアモジュールの物理的セキュリティに基づく。
TCGは、コンピューティングエンティティが、システムの完全性をアサートし、適切な信頼レベルが確立されると認証プロセスを検証し、他のデバイスを相手にした情報の交換、および処理についての評価および決定を、そのようなターゲットデバイスの明らかになった信頼レベルに基づいて実行する方法を提供する、様々な技術を開発している。
TCGは、TPM(信頼されるプラットフォームモジュール)と呼ばれるコア・プラットフォーム・モジュールを規定する。図5は、TPMモジュールおよびTPMモジュールのインターフェースの物理的保護を提供するTPMの構成を示す。また、このモジュールは、揮発性メモリ空間および不揮発性メモリ空間に関する保護、ならびに暗号化およびデジタル署名を実行するための暗号機能を提供する。TPMは、PCR(Platform Configuration Register、プラットフォーム構成レジスター)を使用して、HASH拡張と、PKI(Public Key Infrastructure、公開キー・インフラストラクチャ)に基づくユーザーデバイス固有のセキュアなEK(Endorsement Key、保証キー)と、によって、プラットフォームおよびプラットフォームのソフトウェアコンポーネントの「状態」をキャプチャする。EKは、決して外部に開示されないが、EKのエイリアスであるAIK(Attestation Identity Key、立証IDキー)を使用して、プラットフォームの完全性値が検証される。さらに、TPMは、AIKによって署名されたPCR値に関連してデータをメモリの中に「封印(seal)」して、その結果、TMPから、および封印されたメモリからの合致するPCR値によって検証され、測定される、プラットフォーム完全性またはソフトウェア完全性が検証された場合に限って、データにアクセスが行われる、またはデータが抽出されることが可能であるようにするプロセスを使用する。
図6は、外部エンティティ(チャレンジャ(challenger)またはベリファイア(verifier))が、TPM、AIK、およびPCA(Private Certification Authority、プライベート証明権限)を使用して、プラットフォーム立証(attestation)を求める要求をどのように行うことができるかを示す。そのような立証機構は、SSO技術の信頼態様およびセキュリティ態様を改良するために役立つ可能性がある。
また、TCGは、TPMを含むコンピューティング・プラットフォームが使用するための詳細なTSS(TPM Software Stack、TPMソフトウェア・スタック)も規定している。各TSSモジュールは、特化された機能を提供するコンポーネントを含む。これらのコンポーネントの主要な設計目標は、TPMへの単一の同期された入口点を供給して、アプリケーションから適切なバイト順序および整列を有する構築コマンドストリームを隠すこと、およびTPMリソースを管理することである。
図7は、TPM層およびTSS層のアーキテクチャを示す。TSSモジュールは、以下の構成要素を含む。すなわち、(1)標準化されたTDDL(TPM Device Driver Library、TPMデバイス・ドライバ・ライブラリ)とインターフェースをとるTDDLI(TSSデバイス・ドライバ・ライブラリ・インターフェース)、(2)TPMのTCSコマンド(図示せず)とインターフェースをとるTCSI(TSS Core Service Interface、TSSコア・サービス・インターフェース)、および(3)TCGのTSPコマンド(図示せず)とインターフェースをとり、アプリケーションのすぐ下に位置するTSPI(TGG Service Provider Interface、TCGサービス・プロバイダー・インターフェース)である。TPM側で、TDDLは、TPMと通信しているベンダ固有のTPMデバイス・ドライバの上に位置する。
TDDLIは、TSSの様々な実装が、任意のTPMと適切に通信し、TPMアプリケーションに関するOS独立のインターフェースを提供し、TPMベンダが、ユーザー・モード・コンポーネントとしてソフトウェアTPMシミュレータを提供できるようにすることを可能にする。TDDLは、プラットフォーム上でユーザーモードとカーネルモードとの間の遷移を提供する。TCS(TCGコア・サービス)が、一般的なプラットフォームサービスセットに対するインターフェースを提供する。TCSは、以下の4つのコアサービスを提供する。すなわち、(1)TPMに対するスレッド化された(threaded)アクセスを実施するコンテキスト管理、(2)プラットフォームに関連する資格証明およびキーを格納する資格証明−キー管理、(3)イベント・ログ・エントリを管理し、関連するPCRにアクセスする測定イベント管理、および(4)TPMコマンドをシリアル化し、同期し、処理するためのパラメータ・ブロック生成である。
TSP(TCG Service Provider、TCGサービス・プロバイダー)は、オブジェクト指向アーキテクチャに基づく、TPMに対するCインターフェースである。TSPは、アプリケーションと同一のプロセス・アドレス・ロケーション内に存在する。許可は、この層において、この層に符号化されたユーザーインターフェースを使用することを介して、またはTCS層におけるコールバック機構を介して行われる。エンドユーザーに標準化された許可インターフェースを提供するために、認証サービスは、ローカルアプリケーションによってではなく、プラットフォームによって提供される。
TPSは、以下の2つのサービスを提供する。すなわち、(1)コンテキスト管理、および(2)暗号化である。コンテキストマネージャは、アプリケーションリソースおよびTSPリソースの効率的な使用を可能にする動的ハンドルを提供する。各ハンドルは、互いに関係するTCG動作のセットに関するコンテキストを提供する。アプリケーション内の異なるスレッドは、同一のコンテキストを共有することも、別々のコンテキストを獲得することも可能である。
米国特許出願第11/745697号明細書
TPM保護された機能を完全に利用するのに、暗号機能をサポートすることが提供されなければならない。TSPは、TPM規格によって要求される動作を実行するのに必要なサポート以外、このサポートを提供しない。特に、大量データ暗号化は、このインターフェースによって開示されない。TPMによって規定される暗号化機能の例には、メッセージダイジェスト化、および少量(1024バイト未満)のデータの暗号化が含まれる。
信頼されるコンピューティング技術に基づくパスワード管理およびSSOアクセスのための方法および装置を開示する。この方法は、プロキシSSOユニットおよびWebアクセス・アプリケーションの両方と対話して、パスワードおよびSSO資格証明の生成、格納、および取り出しを行うセキュアな信頼される機構をもたらす、TCGのTPMを実施する。それらの様々な実施形態は、ユーザーが、ユーザーのデバイス上に存在するセキュアなプロキシに1回だけサインオンした後、事前識別されたサイトグループに属する1つのサイトから別のサイトに、セキュアに、透過的に飛ぶこと(hop)を許す。
ユーザーが、移動デバイスにサインオンした後、このデバイス上に存在するプロキシSSOユニットが、登録されたグループに属するセキュアなサイトにアクセスしようと試みるアプリケーションをインターセプトし、TPMによって生成され、保護されて保持されているサイト毎のセキュアなパスワードを使用して、そのグループ内の個々のサイトにサインオンする。また、ハードウェアまたはソフトウェアで実装されることが可能なプロキシSSOユニットは、TPMによってユニットの完全性に関して保護もされる。このことにより、ユーザーが別々に憶えている、または格納している必要がない、TPMによって生成されたランダム化されたパスワードを介して、様々なサイトに対してSSOを使用するプロセスに関する高いレベルの信頼がもたらされる。
SSOフィーチャは、任意の数のセキュアなサイトに適用されることが可能であり、リストは、ユーザーが、インターネットを検索(ナビゲート)し、新たなWebサーバーにアクセスするにつれ、増大することが可能である。各Webサーバーには、セキュアなサインオン証明書が関連付けられており、この証明書は、或るWebサーバーへの初期登録からその後のログオンセッションおよび認証セッションまで、SSO手続きの自律的動作を可能にするTCGによって生成されたユーザー資格証明に関連付けられている。オプションとして、ユーザーは、SSOWebアクセスが可能にされるWebサイトのグループのプロキシソフトウェアによって、プロンプトが提供されることが可能である。ユーザーは、プロキシソフトウェアによって示されるWebサイトのグループ、またはサブセットへのSSO動作を許すかどうかを選択することができる。
さらなる実施形態は、E−SSOのTPM拡張、および連携ID管理を有するWeb−SSOに関する機構を含む。
本発明の、より詳細な理解は、例として与えられ、添付の図面と併せて理解されるべき、好ましい実施形態の以下の説明から得ることができる。
従来技術によるWTRUのためのWeb−SSOに関する例示的な流れ図である。 従来技術によるLiberty Alliance ID−FFを装備したWTRUのWeb−SSOプロセスに関する例示的な流れ図である。 SAMLコンポーネント間の関係を示すブロック図である。 SSOにおけるSPによって開始されたポスト−ポスト結合(SP-initiated post-post binding)の例を示す図である。 汎用TPMを示すブロック図である。 TPM AIKを使用する、外部パーティによるAIK資格証明検証のための例示的なプロセスを示す図である。 TPM内、およびTSS内の様々な層を示すブロック図である。 無線通信システムを示す例示的なブロック図である。 TPM/TSSを使用するセキュアな自動化されたサインオンの実施形態の例示的な流れ図である。 TPM/TSS、およびデバイスによって信頼されるミラー(device trusted mirror)を使用するセキュアな自動化されたサインオンの実施形態の別の例示的な流れ図である。 TPMを使用する、グループに関するパスワード(group-wise password)に基づく、TPM/TSSを使用するWebアクセスのためのSSOの実施形態の例示的な流れ図である。 Liberty−Alliance ID−FFを使用する無線通信システムの例示的なブロック図である。 Liberty−Alliance ID−FFを使用するTPM/TSSによって保護されたWeb−SSOの実施形態の例示的な流れ図である。
以降、言及される場合、「WTRU(無線送受信ユニット)」という用語には、UE(ユーザー機器)、移動局、固定加入者ユニットもしくは移動加入者ユニット、ポケットベル、セルラー電話機、PDA(パーソナル・デジタル・アシスタント)、コンピュータ、または無線環境もしくは無線/有線複合環境において動作することができる他の任意のタイプのユーザーデバイスが含まれるが、以上には限定されない。以降、言及される場合、「基地局」という用語には、ノードB、サイトコントローラ、AP(アクセスポイント)、または無線環境において動作することができる他の任意のタイプのインターフェースデバイスが含まれるが、以上には限定されない。
図8は、少なくとも1つのWTRU805と、RAN(無線アクセスネットワーク)807とを含む無線通信システム800の例示的なブロック図である。WTRU805は、ユーザー809と対話し、SASO(Single Automatic Sign-On、シングル自動サインオン)プロキシユニット810、TPM/TSS 815、WAA(Web Access Application、Webアクセス・アプリケーション)820を含む。TPM/TSS 815は、SASOプロキシユニット810およびWAA820の両方と対話して、パスワードおよびSSO資格証明の生成、格納、および取り出しを行うセキュアな信頼される機構を提供する。SASOプロキシユニット810は、TPM/TSS 815によってユニット810の完全性に関して保護され、様々なWebサイトに関してSSOを使用しながら、高いレベルの信頼を可能にする。TPM/TSS 815は、ユーザーが、別々に憶えている必要がないランダム化されたパスワードを格納し、生成することによって、この高いレベルの信頼をもたらす。RAN807は、通常、少なくとも1つのWebサイト830a〜cへのアクセスを含む。オプションとして、RAN807は、DTM(Device Trusted Mirror、デバイスによって信頼されるミラー)835を含むことも可能である。
ユーザー809が憶えていなければならないパスワードの数を最小限に抑えるため、機構が提供され、これにより、ユーザー809がまず、サイトまたはアプリケーションのリストを作成し、次に、SASOプロキシユニット810が、ユニット810自体のログ上と、ストレージキー結合を使用して、または内部ストレージを用いてTPM/TSS 815によって後にセキュリティで保護されて保たれるログ上と、の両方に、情報を記録する。SASOプロキシユニット810は、協調的結合(cooperative binding)、またはWebスクレイピングなどのインターセプト技術を使用して、アプリケーションまたはWebサイト830へのアクセスを求めるユーザーの要求と、アプリケーションまたはWebサイト830からのログインおよび/またはパスワードタイプ入力を促すプロンプトとの両方をインターセプトする。
ユーザー809の資格証明(ルートIDとも呼ばれる)は、TPM/TSS 815自体の中に、またはUSIMなどの別のセキュアな記憶装置の中にセキュアに格納されることが可能である。さらに、キー階層が、このルートIDから作成されることが可能である。ルートIDは、デバイス内部にセキュアに保持され、セキュアなドメイン、または信頼されるドメインの外部に決して明かされない。
ユーザー809が、セキュアなWebサイト830に初めてサインオンすると、WAA820が、SASOプロキシユニット810およびTPM/TSS 815と対話して、高いエントロピー、一意なユーザーID、およびWebサイト830に関する証明書情報に関連する高エントロピーパスワードを作成する。以降、ユーザー809が、Webサイト830にアクセスすることを所望するといつでも、ユーザーの資格証明が、WAA820、SASOプロキシユニット810、およびTPM/TSS 815の間の対話を介して、通信リンクを介して送信される情報に自動的に入力される。
オプションとして、ユーザー809がRAN807にアクセスするといつでも、WTRU805が、SASOプロキシユニット810およびTPM/TSS 815を同一の仕方で使用して、SP(サービス・プロバイダー)またはIDP(IDプロバイダー)(図示せず)などのRAN807における妥当なネットワーク要素を相手に信頼関係を確立する。あるいは、RAN807は、DTM835などの、特別なシステムコンポーネント、または信頼されるサードパーティエンティティに対する関係を保持する。ひとたびWTRU805が、RAN807に対して確立された信頼関係、およびセキュアなリンクを得ると、DTM835が、移動体の信頼サービスのためのプロキシ、およびセキュアな各Webサイトに関して作成されたパスワードに関するデータベースの役割をする。
ユーザー809は、WTRUロック機構にアクセスする単一のログインIDおよびパスワードを使用することによって、WTRU805機能へのアクセスを得て、そのため、インターネットへのアクセスを得ることが可能である。ひとたびログインすると、他のすべてのサービスは、WTRU805によって透過的に扱われる。さらに、キーフォブ(key fob)、スマートカード、および/またはバイオメトリックを使用して、電話フィーチャにアクセスするセキュアな2つ、または3つの因子の認証が提供されることが可能である。オプションとして、認証資格証明は、認証のため、およびデバイスへのユーザーアクセスを可能にするように、RAN807に送信されることが可能である。
TPM/TSS 815は、物理的に保護された境界を提供することによって、TPM/TSS 815が暗号によって保護し、格納するパスワードを含むデータに関して本来的なセキュリティを提供する。しかし、データ保護の強度は、そのようなデータを保護するのに使用されるパスワードまたは暗号キーの場合、データ自体の強度および新しさにも或る程度依存する。強固に保護されたデータでさえ、暗号化されたデータの十分なサンプル、十分な計算能力、および攻撃者の意のままになる計算時間が与えられると、破られる可能性がある。したがって、キーを更新し、必要な場合、新たなキーでデータを再暗号化することが、暗号化されたIDおよび認証データを解読しようとする盗聴者の試みに対するさらなるセキュリティ障壁をもたらすことが可能である。ユニバーサル認証のために使用されるキーおよびパスワードは、TPM/TSS 815によって頻繁に更新されなければならない。そのような更新は、データ更新および/またはキー更新と関係する必要な手続きを開始し、確認し、実行するプロトコルを要求する。
代替の実施形態では、WTRU805は、WTRU805の内部に、USIM(Universal Subscriber Identity Module、汎用加入者IDモジュール)(図示せず)を有する。USIMは、隔離され、保護されたエンティティとして、ソフトウェアに関する第2のセキュアな実行環境を提供するとともに、パスワードなどのデータに関するセキュアな格納場所を提供する。したがって、SASOプロキシユニット810は、USIM内に存在することが可能である。また、WAA820もUSIM内に存在することが可能である。
WTRU805の別の代替の実施形態では、USIMは、唯一の「セキュアな」実行環境として、TPM/TSS 815に取って代わることが可能である。この場合、WTRU815は、TPM/TSS 815によって通常提供されるプラットフォームおよび/またはアプリケーションの完全性の測定、検証、および立証を実行する機能を有さない可能性がある。しかし、USIMは、隔離され、保護され、セキュアな実行環境であるので、SASOプロキシユニット810のセキュアな実行、および、場合により、WAA820のセキュアな実行さえ可能にする。また、USIMは、高エントロピーのサイト固有のパスワードを生成し、格納するように、さらに、SSOパスワードおよびSSO資格証明を格納するようにも構成されることも可能である。
WTRU805のさらに別の代替の実施形態では、2007年5月8日に出願され、本明細書に完全に記載されているかのように参照により本明細書に組み込まれている特許文献1において開示される、「拡張された」USIMが、WTRU805内部に存在し、SASOプロキシ810、WAA820、およびTPM/TSS 815に関するセキュアな実行環境を提供する。
図9は、代替の実施形態による図8のシステム800のコンポーネント間のシグナリングを示す。具体的には、図9は、TPM/TSS 815を使用するWebアクセスのためのSASOに関する例示的な手続きを示す。
この手続きは、ユーザー809が、ステップ1005で、セキュアな1つの因子の認証、または、好ましくは、2つもしくは3つの因子の認証を介して、WTRU805へのアクセスを得ると、開始される。これらの認証因子は、SASOプロキシユニット810が、TPM/TSS 815内部に保持されるセキュアな情報にアクセスすることを許す機構である。バイオメトリックの第2の因子もしくは第3の因子の認証が使用される場合、SASOプロキシユニット810は、ステップ910で、認証のためのバイオメトリック認証データを取り出す要求をTPM/TSS 815に送信する。TPM810は、ステップ915で、このバイオメトリック認証データをSASOプロキシユニット810に供給する。次に、ユーザー809が、ステップ920で、セキュアなWebサイトに登録する要求をWAA820に送信する。
WAA820が、ステップ925で、WebサイトA830aに、WebサイトA830aにアクセスしたいというユーザー809の要望を伝える。WAA820は、ステップ930で、WebサイトA830aのログイン・プロンプトを受信して、表示する、または別の仕方で示す。SASOプロキシユニット810が、ステップ935で、Webスクレイピングによって、またはAPIもしくは他の解析技術を介する協調によって、WAA820からWebサイトA830aの認証プロンプトをインターセプトする。SASOプロキシユニット810が、ステップ940で、ユーザーID情報(この情報は、多因子認証からのデバイスログイン情報であることも可能である)をTPM/TSS 815に送る。Webサイト固有のセキュアなパスワードが、ステップ945で、TPM/TSS 815によって生成されて、セキュアに格納される(TPM NVメモリの中に直接に、または通常のメモリの中に。ただし、TPMによって保護された結合ストレージキーによって暗号化されて。)。次に、SASOプロキシユニット810が、ステップ950で、WAA820をインターセプトし、スクレイピング、またはAPIもしくは他の解析技術の使用などの方法によって、WebサイトA830aに関するWAA820パスワード・プロンプト時に、Webサイト固有のセキュアなパスワードを記入する。WAA820が、ステップ955で、このWebサイト固有のパスワードをWebサイトA830aに伝える。WebサイトA830aが、ステップ960で、このWebサイト固有のパスワードを登録し、WAA820にアクセス許可を送信する。登録が確立されると、URL、デジタル証明書、ユーザーID、およびパスワードなどのWebサイト情報が、TPM/TSS 815の中のデータベースレコード、およびTPM/TSS 815結合ストレージキーによって保護されたデータブラブとして一緒にセキュアに格納される。このWebサイト固有のパスワードは、それぞれのサイトへの後のログインのために、SASOプロキシユニット810によって再使用されることが可能である。WebサイトA830aが、WAA820にアクセスを許可した後、WAAが、ステップ965で、登録OK−アクセス許可メッセージをSASOプロキシユニット810に送信する。ステップ970で、通常のWebベースの通信が、後に続くことが可能である。
図9のステップ905ないし965は、或るWebサイトにおける、WTRU805によって管理される、ユーザーのサイト固有のパスワードの初期登録に関して示されることに留意されたい。そのような初期登録の後、ユーザー809は、WAA820を使用して、WebサイトA830aへのアクセスを要求することができる(ステップ920の場合と同様に)。次に、SASOプロキシユニット810が、WAA820からのログイン・プロンプトをインターセプトして(ステップ935の場合と同様に)、TPM/TSS 815において格納されたサイト固有のパスワードを獲得し(ステップ945の場合と同様に)、スクレイピング、API、または解析によって、WAA820上でWebサイトA830aに固有のログイン情報を記入する(ステップ950の場合と同様に)。次に、WAA820が、サイト固有のログイン情報をWebサイトA830aに送信し(ステップ955の場合と同様に)、WebサイトA830aが、供給されたこのサイト固有のログイン情報を検証した後、要求されたサービスに関するアクセスをWAA820に許可し(ステップ960の場合と同様に)、SASOプロキシユニット810が、WAA820からこのアクセス許可メッセージを取得し、次に、サービスが許可されたことをユーザー809に知らせることができる。通常のWebベースの通信が、その後に続くことが可能である(ステップ970の場合と同様に)。
同様の手続きセットが、TPM820内にパスワードが保持されている、既に確立されたWebサイトにアクセスする際に実行される。例えば、905ないし970におけるステップが、ステップ975で、SASOプロキシユニット810によって、他のサイト、例えば、WebサイトB830bなどの異なるWebサイトに対して繰り返されることが可能である。TPM/TSS 815によって可能にされる符号完全性検証手続き(code integrity verification procedure)を使用して、SASOプロキシユニット810および他のソフトウェアコンポーネントの完全性が保護されて、セキュアなトランザクションが行われることが確実にされる。例えば、パスワード更新手続きを管理するポリシーまたはプロファイルが確立された場合、TPM/TSS 815は、ポリシー情報およびプロファイル情報を、TPM結合ストレージキーによって保護されるメモリの中に格納することによって保護することも行う。ユーザー809が、非Webのサードパーティ・サービスまたはセキュアなサーバーにアクセスしようと試みた場合、DTM835によって管理されることが可能な信頼ミラーリング手続きを使用することによって、前述した手続きと非常に似通った手続きが、使用される。
図10は、別の実施形態による図8に示されるコンポーネント間のシグナリングを示す。具体的には、図10は、WTRU805におけるユーザー認証情報の登録のために、次いで、DTM835におけるユーザー認証情報の登録のために、TPM/TSS 815およびDTM835を使用するWebアクセスのためのSASOに関する例示的な手続き1000を示す。通常、RAN807内に存在するが、RANの外部に配置されることも可能なDTM835が、WTRU805の信頼できるサービスを「ミラーリング」するサービスを提供し、このことを、そのような情報の外部の要求者に立証することができる。例えば、DTM835は、図9におけるTPM/TSS 815に関して説明されるID情報を管理するタスクを引き受けることが可能である。
ユーザー809が、ステップ1005で、ユーザーの認証情報をSASOプロキシユニット810に登録することによって手続き1000を開始する。そのような登録は、セキュアな1因子、または好ましくは2因子の認証を使用することによって行われることが可能である。さらに、第3の因子は、TPM/TSS 815によってセキュアに保持されるバイオメトリック情報を介することが可能である。また、ステップ1005でまたは別個のステップで、ユーザー809が、オプションとして、所望されるサービスのリストを提供することも可能である。
次に、SASOプロキシユニット810が、ステップ1010で、認証データおよび所望されるサービスのリストをTPM/TSS 815に送信する。TPM/TSS 815は、ステップ1015で、認証データおよび所望されるサービスのリストを、SASOプロキシユニット810およびWAA820の完全性に封印する。SASOプロキシユニット810は、ステップ1020で、WTRU805に関する完全性情報(または、同等なこととして、立証情報)を、認証データ、ならびにアプリケーションおよび所望されるサービスのリストと一緒に、DTM835に送信する。
DTM835は、ステップ1025で、ユーザーの認証資格証明をWebサイトA830aに登録する。このプロセス中、DTM835とWebサイトA830aは、ユーザー809およびWTRU805のために、WebサイトA830aからサービスを獲得するのに特に使用されるパスワードを相互に確立する。DTM835は、ステップ1030で、WebサイトA830aに対する登録が完了したことを示すメッセージを、SASOプロキシユニット810に送信する。ステップ1035で、SASOプロキシユニット810が、登録が完了したことをユーザー809に示す。
登録が完了した後、ユーザーは、信頼されるDTMユニット835を使用して仲介されるSASOプロセス(ステップ1040〜1095)においてWebサイトA830aにアクセスすることができる。ステップ1040で、ユーザー809は、ユーザー809がWebサイトA830aにアクセスするつもりであることをSASOプロキシユニット810に(または、SASOプロキシユニット830aが、スクレイピングまたは類似する技術によってこのメッセージを解釈することができるWAA820に)示す。SASOプロキシユニット810は、ステップ1045で、ユーザーが、WebサイトAにアクセスするつもりであることをWAA820に示す。あるいは、ユーザーが、WebサイトA830aにアクセスするユーザーの意図をWAA820に直接に示し、SASOプロキシユニット810が、スクレイピングを使用して、同一の情報を獲得する場合、ステップ1045は、要求されない。
次に、WAA820が、ステップ1050で、WebサイトA830aにアクセスする要求をDTM835に送信する。次に、DTM835が、ステップ1055で、アクセスを求める要求をWebサイトA830aに転送する。WebサイトA830aは、ステップ1060で、サービス固有のパスワードを求める要求をDTMユニット835に送信する。DTMユニット835は、ステップ1065で、Webサイト固有のパスワードをWebサイトA830aに送信する。WebサイトA830aが、ステップ1070で、サービスアクセス許可メッセージをDTMユニット835に送信する。DTMユニット835が、ステップ1075で、サービスアクセス許可メッセージをWAA820に送信する。WAA820が、ステップ1080で、WebサイトA830aに関するアクセスが許可されたことをユーザー809に示す。ユーザーは、ステップ1085で、WAA820を使用して、WebサイトA830aからサービスを受信することを始めることができる。
DTM835が、ステップ1088、1090、および1093で、WTRU805およびWAA820の完全性の立証、ならびにユーザー立証データの完全性およびサービス固有のデータ(アプリケーションおよび所望されるサービスのリストなど)を検証する情報を要求し、受信することができる。そのようなリモート立証手続きは、WTRU805上のTPM/TSS 815リモート立証能力を使用して行われることが可能である。また、ステップ1088、1090、および1093の手続きは、例えば、WTRU805が起動された時点で、実行されることも可能である。また、これらのステップは、ステップ1050の一環として、DTM835からWebサイトへのサービス要求メッセージに組み込まれることも可能である。1040〜1085と同様のステップが、WebサイトB830bなどの別のWebサイトまたは登録されたリスト上の他の任意のWebサイトに関して繰り返されることが可能である。
図10のいくつかの代替の実施形態では、WTRU805は、TPM/TSS 815を欠いている可能性がある。そのような場合、DTM835がそれでも使用されることが可能である。図10を再び参照すると、WTRUが、TPM/TSS 815を欠いている場合、SASOプロキシユニット810が、ユーザー認証データおよびデバイス認証データ、所望されるサービスのリストをDTMユニット835に直接に登録する。この情報を受信した後、DTM835は、高エントロピーのサイト(またはサービス)固有のパスワードを生成して、保持する(図10におけるステップ1125の場合と同様に)。初期登録の後、ユーザー809が、WebサイトA830aにアクセスするつもりである場合、SASOプロキシユニット810が、DTM835にアクセスするようWAA820を促す(図10のステップ1145および1150と同様に)。DTM835が、WebサイトA830aへのアクセスを要求する(ステップ1155と同様に)。WebサイトA830aは、サービス固有のパスワードを求める要求をDTM835に送信する(ステップ1160と同様に)。DTM835が、このWebサイト固有のパスワードをWebサイトA830aに送信する(ステップ1165と同様に)。WebサイトA830aが、サービスアクセス許可メッセージをDTM835に送信する(ステップ1170と同様に)。DTM835が、アクセス許可メッセージをWAA820に送信する(ステップ1175と同様に)。WAA820が、WebサイトA830aに関するアクセスが許可されたことをユーザー809に示す(ステップ1180と同様に)。ユーザーは、WAA820を使用して、WebサイトA830aからサービスを受信することを始めることができる(ステップ1185と同様に)。
図11は、別の実施形態による図8のシステム800のコンポーネント間のシグナリングを示す。具体的には、図11は、従来技術の方法よりセキュアにTPM/TSS 815を使用するWebアクセスのためのSSOに関する別の例示的な手続き1100を示す。
この方法では、ユーザー809は、SASOプロキシユニット810によってそれぞれへのアクセスが制御され、ユーザー809によって供給される共通のグループ固有のログイン/パスワードを有する、サイトのグループを構成する。そのような手続きを使用することによって、ユーザー809は、グループ固有のパスワードを使用して、特定のWebサイトグループへのアクセスを制御して、その結果、或る特定のWebサイトグループだけにアクセスするユーザー809の意図に従って、SASOプロキシユニットのアクセス権さえ構成することができる。例えば、ユーザー809が、金融Webサイトグループに関する共通のパスワードだけを供給するが、個人的Webサイトグループに関する別の異なるパスワードを供給しない場合、SASOプロキシユニット810は、金融Webサイトグループに属するサイトに関するSSO動作を管理することだけしか許可されない。図11に示されるとおり、この実施形態は、例として、以下の好ましいシグナリングステップを含む。シーケンスおよび/またはコンテンツの他の変種も可能であり、やはり、この実施形態の範囲に含まれる。
ユーザー809が、ステップ1105で、場合により、SASOプロキシユニット810によって促された後、Webサイトグループの確立を求める要求をSASOプロキシユニット810に送信することによって、手続き1100を開始する。この要求は、WebサイトA830aおよびWebサイトB830b、ならびに、そのWebサイトグループに関してユーザーが作成したSSOパスワードおよびそのグループに属するWebサイトのURLも含むことが可能である。このステップは、ユーザー809が、WebサイトA830aだけしか有さず、その後、他のWebサイトを追加または削除することによってグループを開始する、漸進的な仕方で行われることも可能である。そのようなWebサイトリスト更新が、いずれかの時点で実行されると、SASOプロキシユニット810は、TPM/TSS 815によって保持される或るデータ(さらに、データの一部はSASOプロキシユニット810によっても保持される)を追加するため、削除するため、または結合解除する(un-binding)ため、および再結合するための手続きを要求する必要がある。
次に、ステップ1110で、SASOプロキシユニット810は、それらのWebサイトURL、および各Webサイトに関する単一のSSOパスワードをWebサイトグループの中に登録する。次に、SASOプロキシユニット810は、ステップ1115で、SSOパスワード、そのグループに属するすべてのWebサイトに関するURLおよびWebサイト資格証明、WAA820およびSSOプロキシユニット810のアドレスハンドル、さらにまた、TPM/TSS 815に対する、データ結合、およびWebサイト固有のパスワード生成を求める要求をTPM/TSS 815に送信する。Webサイトのリストの中の各URLに関して、TPM/TSS 815が、ステップ1120で、TPM RNG(Random Number Generator、乱数発生器)を使用して、暗号的に強いパスワードを生成する。ステップ1125で、TPM/TSS 815が、Webサイト固有のURL、資格証明(サイト証明書を含む)、SSOパスワード、ならびにTPM/TSS 815が生成したサイト固有のパスワードを、TPMストレージキーを使用して暗号化されたデータブラブ(data blob)の中で結合する。そのようなキーは、TPMを収容するプラットフォーム(例えば、WTRUまたはコンピュータ)に「結合」される。ステップ1105で、ユーザー809が、関連する情報(URL、資格証明など)を有するWebサイトのグループのリストの更新(追加、削除、または変更)を示している場合、影響を受けるWebサイトに関するWebサイト固有のレコードを追加する、または削除する、SASOプロキシユニット810およびTPM/TSS 815からの指示が、存在するはずである。
次に、ユーザー809が、ステップ1130で、WebサイトA830aに関するURLをWAA820に供給する。SASOプロキシユニット810が、ステップ1135で、Webスクレイピングによって、またはAPIもしくは他の解析技術を介する協調によって、WebサイトA830aからのパスワード・プロンプトをインターセプトする。次に、SASOプロキシユニット810は、ステップ1140で、WebサイトA830aが、登録されたWebサイトグループのメンバであるかどうかを検証し、判定が肯定的である場合、そのようなグループを識別する。SASOプロキシユニット810は、ステップ1145で、WebサイトA830aが属するWebサイトグループに関するSSOパスワードを供給するよう、人間のユーザー809に要求する。人間のユーザー809が、ステップ1150で、WebサイトA830に関するSSOパスワードおよびWebサイトURLを供給する(例えば、USIM、バイオメトリック、またはタイプ入力によって)。代替として、ステップ1145および1150は、透過的にされて、SASOプロキシユニット810によって自動的に供給されてもよい。
次に、SASOプロキシユニット810が、ステップ1155で、ユーザー809が供給したSSOパスワードを検査する。SASOプロキシユニット810は、ステップ1160で、WebサイトA830aに関するパスワードを結合解除し、取り出す要求をTPM/TSS 815に送信する。この要求において、SASOプロキシユニット810は、WebサイトA830aに関するSSOパスワードおよびサイトURLを含む。TPM/TSS 815が、ステップ1165で、以前に格納されたデータブラブからWebサイトA830aに関するサイト固有のパスワードおよびサイト固有の資格証明を結合解除するデータハンドルとして、WebサイトA830aに関するSSOパスワードおよびURLを使用する。以前に格納されたWebサイト固有のパスワード、URLリスト、およびWebサイト固有の資格証明を結合解除し、取り出した後、TPM/TSS 815は、TPM/TSS 815がSASOプロキシユニット810から受信したSSOパスワードおよびWebサイトURLを、結合ストレージから回復したばかりのデータの値に照らして検証する。検証が、前述のステップ1165で達せられると、TPM/TSS 815は、ステップ1170で、WebサイトA830aに関するWebサイト固有のパスワード、およびWebサイト固有の資格証明をSASOプロキシユニット810に供給する。
次に、SASOプロキシユニット810が、ステップ1173で、Webスクレイピング、API、または他の解析技術などの技術を使用して、WAA820上でWebサイトA830aに関するパスワードフィールドおよび資格証明フィールドにデータ投入する。次に、WAA820が、ステップ1175で、記入され、Webサイト固有のパスワード、およびWebサイト固有の資格証明をWebサイトA830aに送信する。次に、このパスワードおよび資格証明が、ステップ1180で、WebサイトA830aにおいて登録される。ステップ1185で、Webサイト登録の成功が、WAA820に示される。ステップ1190で、Webサイト登録の成功が、SASOプロキシユニット810に示され、ユニット810のデータベースの中に記録される。また、ステップ1190においても、Webサイト登録の成功が、TPMキーによって保護されたセキュアなメモリの中に、SML(Stored Measurement Log、格納された測定ログ)として記録される。ステップ1195で、TPM/TSS 815によって保持されるサイト固有のパスワード、およびサイト固有の資格証明を含む、信頼されるSSOの確立が、完了する。
Webサイト登録が確立された後、ユーザー809が、WebサイトA830aにアクセスすることを、後でこのWebサイトのサービスを使用するサインオンのために所望する場合、1130〜1185と実質的に同一のステップが行われ、ただし、この場合、最終結果は、初期サイト登録ではなく、WebサイトA830aへのSSOサインオンである。また、ユーザー809が、WebサイトA830aにではなく、WebサイトB830bに登録するつもりである場合、WebサイトA830aに関して前に使用されたのと同一のステップが、WebサイトB830bのSSO登録またはSSO認証のために使用されることが可能である。しかし、WebサイトB830bのURL、資格証明、サイト固有のパスワード、およびトークンなどの、WebサイトB830bに関するWebサイト固有の情報が、WebサイトA830aに関するそのような情報の代わりに使用される。
代替の実施形態において、グループに関するアクセス制御(group-wise access control)が、ユーザー809による明示的な構成なしに実行されることが可能である。代わりに、SASOプロキシユニット810が、様々なタイプのWebサイトグループへのアクセスを支配するポリシーデータまたはプロファイルデータ(このデータ自体、TPMによって保護される)を供給されることが可能である。この実施形態では、グループに関するアクセス制御が、インストール時にSASOプロキシユニット810によって構成される。さらに、ポリシー更新も、インストール時の後に可能であり得る。
図12は、代替の実施形態に従って構成された無線通信システム1200の例示的なブロック図である。システム1200は、少なくとも1つのWTRU1215と、RAN(無線アクセスネットワーク)1203とを含むLiberty Alliance準拠の無線通信システムである。WTRUは、ユーザー1205と対話するように構成され、Web−SSOユニット1212、プラットフォーム処理ユニット1210、TPM/TSS 1217を含む。プラットフォーム処理ユニット1210は、ソフトウェアSWとして、またはハードウェアとして実施されることが可能である。RAN1203は、IDプロバイダー1220およびサービス・プロバイダー1225を含む。代替として、IDプロバイダー1220は、公共のインターネット上などの、RAN1203の外部に配置されてもよい。
図13は、別の実施形態による図12のシステム1200のコンポーネント間のシグナリングを示す。具体的には、図13で、ID−FF/SAMLベースのWebSSO技術が、TPM/TSS 1217によって提供される完全性検査機構とも組み合わされる。シーケンスおよび/またはコンテンツの他の変種も可能であり、やはり、この実施形態の範囲に含まれる。ユーザー1205が、ステップ1303で、Web−SSOユニット1212を実行する意図を示すこと(例えば、ユニット1212をクリックすることによって、または、デフォルトで、システム起動によってなど)によって手続き1300を開始する。プラットフォーム処理ユニット1210が、ステップ1308で、Web−SSOユニット1212の符号完全性検査を実行するようTPM/TSS 1217に要求する。TPM1217が、ステップ1312で、符号完全性検査を実行し、その結果をプラットフォーム処理ユニット1210に伝送する。
ステップ1312における検査が肯定的である場合、ステップ1316で、ログイン情報または認証情報が、プラットフォーム処理ユニット1210に供給され、Web−SSOユニット1212に送られる。Web−SSOユニット1212が、ステップ1320で、TPMキーを使用して以前に格納されているログイン資格証明を取り出すようTPM1217に要求する。TPM1217が、ステップ1324で、ログイン資格証明データを取り出し、Web−SSOソフトウェア1212に送る。Web−SSOユニット1212が、ステップ1328で、取り出されたログイン資格証明データを使用して、IDP1220にログインする。IDP1220が、ステップ1332で、Web−SSOユニット1212にイントロダクション・クッキーを送信する。
次に、Web−SSOユニット1212が、ステップ1336で、SP1225に対して認証を行う。ステップ1340で、SP1225が、Web−SSOユニット1212に、(1)Web−SSOユニット1212が、IDP1220からのクッキーを有するかどうか、(2)Web−SSOユニット1212が、IDP1220によってサポートされる、ユニット1212の連携IDを使用する意図があるかどうか、および(3)Web−SSOユニット1212が、公開キーがSPにおいて既に格納されている、またはPCAによって獲得されることが可能である、プラットフォーム結合(platform-bound)TPM秘密キーによって署名されたユニット1212のプラットフォームセキュリティ状態のステータスを表明する証明書を供給することができるかどうかを尋ねる。オプションとして、PCAは、IPD1220であることが可能である。
次に、Web SSOユニット1212が、ステップ1344で、TPM/TSS 1217にプラットフォーム信頼状態を送信する。TPM/TSS 1217が、ステップ1348で、プラットフォームの信頼状態を立証するTPMによって保持される秘密署名キーによって署名された証明書を作成して、Web−SSOソフトウェア1212に送る。Web−SSOユニット1212は、ステップ1352で、SP1225に、(1)「はい」、ユニット1212が、IDP1220からのクッキーを有すること、(2)「はい」、ユニット1212が、IDP1220によって維持されるユニット1212の連携アカウントを使用することを意図すること、および(3)SP1225にプラットフォームセキュリティステータス証明書を送信することを示す。SP1225が、ステップ1356で、PCAからの助けを借りて、Web−SSOユニット1212によって送信された信頼証明書を評価する。次に、SP1212は、ステップ1358で、今回は、連携認証要求を使用して、リダイレクトし再び認証を行うようWeb−SSOユニット1212に要求する。
次に、Web−SSOユニット1212は、ステップ1362で、IDP1220に連携認証要求(federated authentication request)を送信する。IDP1220が、ステップ1364で、連携NameID、および関連する認証ステートメントを生成する。IDP1220は、ステップ1368で、SP1225にリダイレクトするようWeb−SSOユニット1212に要求する。Web−SSOユニット1212が、ステップ1372で、TPM/TSS 1217によって保護されたキーを用いて格納されている連携<Assertion>の連携アーチファクト(artifact)を取り出すようTPM/TSS 1217に要求する。TPM/TSS 1217が、ステップ1372で、アーチファクトデータを取り出して、このデータをWeb−SSOユニット1212に送る。Web−SSOユニット1212が、ステップ1380で、IDP1220によって保持されている、取り出された連携<Assertion>アーチファクトをSP1225に送信する。
次に、SP1225が、ステップ1384で、SOAPプロトコルを使用して、人間のユーザー1205に関する<Assertion>を検証するIDP1220に対する検証プロセスを開始する。IDP1220が、ステップ1388で、SOAPプロセスを使用する検証プロセスを返す(reciprocate)。SP1225が、ステップ1392で、人間のユーザー1205に関する<Assertion>および連携アカウントを評価する。最後に、SP1225は、ステップ1396で、許可されたサービス開始をWeb−SSOユニット1212に示し、指示が人間のユーザー1205に与えられる(例えば、表示などによって)。
図13の代替の実施形態では、デバイスの信頼状態が、IDP1220によって1回、評価され、後に、この信頼状態の使用のために、必要に応じて、各SP1225に通信されることが可能である。そのような情報の伝送は、クッキー、あるいはSAML手続きまたはSOAP手続きなどの連携スキーム内の他の既存の、もしくは変形されたメッセージ/プロトコルなどの手段によって行われることが可能である。
フィーチャおよび要素が、特定の組み合わせで開示される実施形態において説明されるものの、各フィーチャ、または各要素は、好ましい実施形態の他のフィーチャ、および他の要素なしに単独で使用されることも、開示される他のフィーチャ、および他の要素を伴って、または伴わずに、様々な組み合わせで使用されることも可能である。本発明において提供される方法または流れ図は、汎用コンピュータまたはプロセッサによる実行のためにコンピュータ可読媒体として実体化されたコンピュータプログラム、ソフトウェア、またはファームウェアとして実施されることが可能である。コンピュータ可読記憶媒体の例には、ROM(読取り専用メモリ)、RAM(ランダムアクセスメモリ)、レジスター、キャッシュメモリ、半導体メモリデバイス、内部ハードディスクやリムーバブルディスクなどの磁気媒体、光磁気媒体、ならびにCD−ROMディスクやDVD(デジタルバーサタイルディスク)などの光媒体が含まれる。
適切なプロセッサには、例として、汎用プロセッサ、専用プロセッサ、従来のプロセッサ、DSP(デジタルシグナルプロセッサ)、複数のマイクロプロセッサ、DSPコアに関連する1つまたは複数のマイクロプロセッサ、コントローラ、マイクロコントローラ、ASIC(特定用途向け集積回路)、FPGA(フィールドプログラマブルゲートアレイ)回路、他の任意のタイプのIC(集積回路)、および/または状態マシンが含まれる。
ソフトウェアに関連するプロセッサが、WTRU(無線送受信ユニット)、UE(ユーザー機器)、端末装置、基地局、RNC(無線ネットワークコントローラ)、または任意のホストコンピュータにおいて使用するための無線周波数トランシーバを実施するのに使用されることが可能である。WTRUは、カメラ、ビデオカメラモジュール、テレビ電話機、スピーカフォン、振動デバイス、スピーカ、マイクロホン、テレビトランシーバ、ハンズフリーヘッドセット、キーボード、Bluetooth(登録商標)モジュール、FM(周波数変調)無線ユニット、LCD(液晶ディスプレイ)ディスプレイユニット、OLED(有機発光ダイオード)ディスプレイユニット、デジタル音楽プレーヤ、メディアプレーヤ、ビデオゲームプレーヤモジュール、インターネットブラウザ、および/または任意のWLAN(無線ローカルエリアネットワーク)モジュールなどの、ハードウェアおよび/またはソフトウェアとして実施されたモジュールと連携して使用されてもよい。
(実施形態)
1.TPM(信頼されるプラットフォームモジュール)を有するWTRU(無線送受信ユニット)によるWebサイトアクセスのためのセキュアなSSO(シングル・サインオン)を提供するための方法であって、
WTRUにおいて、ターゲットWebサイトのグループを決定するステップと、
ターゲットWebサイトのグループから選択された1つのWebサイトにセキュアにサインオンするステップと、
WTRUのTPMにおいて生成され、格納されたセキュアなパスワードを使用して、Webサイトのグループから選択された他のWebサイトにサインオンするステップとを含む方法。
2.TPMが、いつターゲットWebサイトのグループへのアクセスが要求されるかを判定するSSOプロキシユニットを含む実施形態1の方法。
3.SSOプロキシユニットが、TPMによってセキュリティ保護される実施形態2の方法。
4.TPMが、ターゲットWebサイトのグループから選択されたWebサイトにアクセスするためのランダムなパスワードを生成する、先行する実施形態のいずれかによる方法。
5.TPMが、ターゲットWebサイトのグループから選択されたWebサイトにアクセスするために生成されたランダムなパスワードを格納する実施形態4の方法。
6.決定するステップは、
WTRUのユーザーが、ターゲットWebサイトのグループを選択することをさらに含む、先行する実施形態のいずれかによる方法。
7.SSOプロキシユニットは、パスワード情報をセキュアに記録する、先行する実施形態のいずれかによる方法。
8.記録されたパスワード情報が、キー結合技術を使用して格納される実施形態7の方法。
9.記録されたパスワード情報が、TPMの内部に格納される実施形態7または8による方法。
10.WTRUが、TPMの中に格納された一意のIDを含む、先行する実施形態のいずれかによる方法。
11.WTRUが、USIM(汎用加入者IDモジュール)の中に格納された一意なIDを含む、先行する実施形態のいずれかによる方法。
12.一意なIDに基づいて暗号化キー階層を作成することをさらに含む実施形態10〜11のいずれかによる方法。
13.Webサイトのグループから選択されたWebサイトにセキュアにサインオンするステップが、
Webサイトの証明書情報に関連する一意なユーザーIDおよびパスワードを作成することをさらに含む、先行する実施形態のいずれかによる方法。
14.Webサイトのグループから選択された他のWebサイトにサインオンするステップは、
ユーザー資格証明をWebサイトに自動的に伝送するステップをさらに含む、先行する実施形態のいずれかによる方法。
15.ユーザー資格証明が、データと一緒に伝送される実施形態14の方法。
16.ユーザーのバイオメトリック情報を感知するステップをさらに含む、先行する実施形態のいずれかによる方法。
17.感知されたバイオメトリック情報が、セキュリティ目的で使用される実施形態16の方法。
18.ユーザーが、WebサイトAおよびWebサイトBを含むWebサイトグループへの登録を要求することをさらに含む、先行する実施形態のいずれかによる方法。
19.登録が、WebサイトAおよびWebサイトBを含むWebサイトグループに関するSSOパスワード、およびこのグループに属するWebサイトのURLをさらに含む実施形態18の方法。
20.登録が、漸進的に実行される実施形態18〜19のいずれかによる方法。
21.SSOプロキシユニットが、Webサイトグループに関するWebサイトURLおよびシングルSSOパスワードを登録することをさらに含む実施形態18〜20のいずれかによる方法。
22.SSOプロキシユニットが、TPMおよびTPMソフトウェア・スタック(TSS)(TPM/TSS)に、Webサイトグループに属するすべてのWebサイトに関するSSOパスワード、URL、およびWebサイト資格証明、WAA(Webアクセス・アプリケーション)およびプロキシのアドレスハンドルを送信するステップと、
SSOプロキシが、データ結合、およびWebサイト固有のパスワード生成をTPM/TSSに要求するステップとをさらに含む実施形態21の方法。
23.TPM/TSSが、プロキシおよびWAAの符号完全性を所定の基準に照らして検証するステップをさらに含む実施形態22の方法。
24.TPM/TSSが、Webサイトグループの各URLに関して、TPM乱数発生器を使用して、暗号的に強いパスワードを生成するステップをさらに含む実施形態23の方法。
25.TPMが、生成されて次いでTPM/TSSによって保護されたストレージキーを使用して、Web固有のURL、資格証明、SSOパスワードハッシュ、および生成されたWebサイト固有のパスワードを、結合された符号完全性値に封印するステップをさらに含む実施形態24の方法。
26.TPMが、生成されて次いでTPM/TSSによって保護されたストレージキーを使用して、Web固有のURL、資格証明、SSOパスワードハッシュ、および生成されたWebサイト固有のパスワードを、結合された符号完全性値に結合するステップをさらに含む実施形態24の方法。
27.TPM/TSSが、Webサイトグループの各Webサイトに対応するさらなるアクションおよび要求の指示のために、TPMとSSOプロキシユニットとの間でトークンとして使用するために、暗号的に強い乱数を生成するステップをさらに含む実施形態25〜26のいずれかによる方法。
28.TPM/TSSが、これらのトークンを、Webサイトグループの中のWebサイトのそれぞれに関するデータハンドルとして使用するステップをさらに含む実施形態27の方法。
29.TPM/TSSが、SSOパスワードをハッシングして、このパスワード、およびこのハッシュをセキュアに格納するステップをさらに含む実施形態28の方法。
30.TPM/TSSが、すべてのトークンをSSOプロキシユニットに送信するステップと、
TPM/TSSが、トークンとWebサイトURLの間のマッピングを示すマッピングデータを送信するステップをさらに含む実施形態29の方法。
31.WTRUのユーザーが、URLを選択するステップをさらに含む実施形態30の方法。
32.プロキシが、WebサイトAからのパスワード・プロンプトをインターセプトするステップをさらに含む実施形態31の方法。
33.SSOプロキシユニットが、WebサイトAからのパスワードをインターセプトするために、Webスクレイピング、またはAPI(アプリケーション・プログラミング・インターフェース)との協調を使用する実施形態32の方法。
34.SSOプロキシユニットが、WebサイトAが、Webサイトグループのメンバであるかどうかを検証するステップをさらに含む実施形態32〜33のいずれかによる方法。
35.プロキシが、WebサイトAを含むWebサイトグループに関するSSOパスワードを供給するようWTRUのユーザーに要求するステップをさらに含む実施形態34の方法。
36.WTRUのユーザーが、SSOパスワードを供給するステップをさらに含む実施形態35の方法。
37.プロキシが、WTRUのユーザーによって供給されたSSOパスワードを検証するステップをさらに含む実施形態36の方法。
38.プロキシが、WebサイトAに関するパスワードを封印解除する要求をTPM/TSSに送信するステップをさらに含む実施形態37の方法。
39.WebサイトAに関するパスワードを封印解除する要求が、SSOプロキシユニットがデータベースの中に格納する、WebサイトAに関するSSOパスワードおよび任意のWebサイト固有の資格証明を含む実施形態38の方法。
40.WebサイトAに関するパスワードを封印解除する要求が、SSOプロキシユニットおよびWAAに関する符号ハンドルを含む実施形態38または39のいずれかによる方法。
41.TPM/TSSが、WebサイトAに属するトークンを検証するステップと、
WebサイトAに関するWebサイト固有のパスワード、およびWebサイト固有の資格証明を封印解除するステップをさらに含む実施形態39〜40のいずれかによる方法。
42.TPM/TSSが、WebサイトAに関するWebサイト固有のパスワードおよび資格証明をSSOプロキシユニットに供給するステップをさらに含む実施形態41の方法。
43.SSOプロキシユニットが、WAA上でWebサイトAに関するパスワードフィールドおよび資格証明フィールドにデータ投入するステップをさらに含む実施形態42の方法。
44.Webサイト固有のパスワード、およびWebサイト固有の資格証明をWebサイトAに送信するステップと、
WebサイトAにおける登録の成功を確認するステップをさらに含む実施形態43の方法。
45.Webサイト登録の成功をSSOプロキシユニットに示すステップと、
登録の成功をSSOプロキシユニットデータベースの中に記録するステップとをさらに含む実施形態44の方法。
46.WTRUのIDおよび認証と関係するデータは、WTRUのTPMによって暗号的に保護される、先行する実施形態のいずれかによる方法。
47.新たな暗号化キーを使用して、格納され暗号化されたデータを定期的に更新するステップをさらに含む、先行する実施形態のいずれかによる方法。
48.TPM(信頼されるプラットフォームモジュール)を使用するデバイス上でアプリケーションまたはインターネットベースのサービスにアクセスするための、ユーザーによるSASO(セキュアな自動化されたサインオン)のための方法であって、ユーザーが、シングルログインIDおよびパスワードによって、アプリケーションまたはインターネットベースのサービスにアクセスするステップを含む方法。
49.TPMが、TSS(TPMソフトウェア・スタック)を含む実施形態48の方法。
50.ユーザーが、デバイスに対して認証を行い、セキュアな1因子認証を介してデバイスへのアクセスを得るステップをさらに含む実施形態48〜49のいずれかにおけるとおりの方法。
51.ユーザーが、デバイスに対して認証を行い、セキュアな2因子認証を介してデバイスへのアクセスを得るステップをさらに含み、第2の因子は、TPMによってセキュアに保持されるバイオメトリックを介する実施形態48〜49のいずれかにおけるとおりの方法。
52.SASOプロキシユニットが、TPM内に保持されるセキュアな情報にアクセスする実施形態48〜51のいずれかによる方法。
53.バイオメトリックの第2の因子の認証が使用され、SASOプロキシユニットが、認証のためにそれを取り出す要求をTPMに送信する実施形態51または52におけるとおりの方法。
54.TPMが、このバイオメトリック認証データをSASOプロキシユニットに供給するステップをさらに含む実施形態53の方法。
55.ユーザーが、WAAを使用して、セキュアなWebサイトに登録しようと試みるステップをさらに含む実施形態48〜54のいずれかにおけるとおりの方法。
56.このアプリケーションが、WAA(ウェブ−WAA)である実施形態55の方法。
57.WAAが、第1のインターネットベースのサービスWebサイトに、ユーザーが、このWebサイトにアクセスすることを所望するという指示を送信する実施形態55または56におけるとおりの方法。
58.WAAが、第1のインターネットベースのサービスWebサイトのログイン・プロンプトを受信して、示すステップをさらに含む実施形態57の方法。
59.SSOプロキシユニットが、WAAからの第1のWebサイトの認証プロンプトをインターセプトするステップをさらに含む実施形態48〜58のいずれかにおけるとおりの方法。
60.インターセプトするステップが、Webスクレイピングによって、または解析技術を介する協調によって達せられる実施形態59の方法。
61.SASOプロキシユニットが、TPMにユーザーID情報を送るステップをさらに含む実施形態48〜60のいずれかにおけるとおりの方法。
62.ユーザーID情報が、2因子認証からのデバイスログイン情報を含む実施形態61の方法。
63.Webサイト固有のセキュアなパスワードが、TPMによって生成され、セキュアに格納されるステップをさらに含む実施形態48〜62のいずれかにおけるとおりの方法。
64.パスワードが、TPM NVメモリの中に直接にセキュアに格納される、またはTPMによって保護された結合ストレージキーによって通常のメモリの中に暗号化される実施形態63の方法。
65.SASOプロキシユニットが、WAAパスワード・プロンプトにWebサイト固有のセキュアなパスワードに情報を記入し、この情報が、第1のWebサイトにWebサイト固有である実施形態59〜64のいずれかにおけるとおりの方法。
66.WAAが、このWebサイト固有のパスワードを第1のWebサイトに伝送するステップと、第1のWebサイトが、このWebサイト固有のパスワードを登録して、アクセス許可をWAAに送信するステップをさらに含む実施形態65の方法。
67.登録が確立されている、実施形態48〜66のいずれかにおけるとおりの方法であって、Webサイト固有の情報を、TPM結合ストレージキーによって保護されたTPMデータブラブの中のデータベースレコードとして、一緒にセキュアに格納するステップをさらに含む方法。
68.Webサイト固有の情報が、URL、デジタル証明書、ユーザーID、およびパスワードの少なくとも1つを含む実施形態67の方法。
69.Webサイト固有のパスワードが、それぞれのWebサイトへの後のログインのためにSASOプロキシユニットによって再使用される実施形態66〜68のいずれかにおけるとおりの方法。
70.第1のWebサイトが、WAAにアクセスを許可する実施形態48〜69のいずれかにおけるとおりの方法であって、通常のWebベースの通信をさらに含む方法。
71.TPM内にパスワードが保持される、既に確立されたWebサイトにアクセスするステップをさらに含む実施形態48〜70のいずれかにおけるとおりの方法。
72.さらなるWebサイトにアクセスするためにSASOプロキシユニットを使用するステップをさらに含む実施形態48〜71のいずれかにおけるとおりの方法。
73.TPMによって可能にされる符号完全性検証手続きを使用してSASOプロキシユニットの完全性が保護されて、セキュアなトランザクションが行われることが確実にされる実施形態48〜72のいずれかにおけるとおりの方法。
74.パスワード更新手続きを管理するポリシーまたはプロファイルを確立するステップをさらに含み、TPMが、このポリシー情報およびプロファイル情報を、TPM結合ストレージキーによって保護されるデータブラブの中に、これらの情報を格納することによって保護する実施形態48〜73のいずれかにおけるとおりの方法。
75.セキュアな時間ファシリティ(time facilities)を使用して、執行されるべきセキュアなパスワード更新ポリシーを与えるステップをさらに含む実施形態48〜74のいずれかにおけるとおりの方法。
76.TPM内の単一の認証パスワードの下で保持される、いくつかのWebサイトを一緒にプールするステップをさらに含む実施形態48〜75のいずれかにおけるとおりの方法。
77.TPMが、認証のために使用されるキーおよびパスワードの頻繁な更新を実行するステップをさらに含む実施形態48〜76のいずれかにおけるとおりの方法。
78.TPMが、前回のパスワード更新が行われた時刻、およびパスワード更新手続きをトリガするようにユーザーによってまたはインターネットベースのサービスによって供給される更新時間間隔を常に把握しておくセキュアなタイマモジュールを含む実施形態77の方法。
79.SASOプロキシユニットと、TPM(信頼されるプラットフォームモジュール)とを有するデバイス上でアプリケーションまたはインターネットベースのサービスにアクセスするための、ユーザーによるSASO(シングル自動サインオン)のための方法であって、
ユーザーが、アプリケーションまたはインターネットベースのサービスのグループを構成し、各アプリケーション、または各インターネットベースのサービスへのアクセスが、グループ固有のパスワードによって制御されるステップを含む方法。
80.SASOプロキシユニットが、第1のインターネットWebサイトと、第2のインターネットWebサイトとを含むWebサイトグループの確立または登録を求める要求を受信するステップと、
このWebサイトグループに関するSSOパスワード、およびこのWebサイトグループに属するインターネットWebサイトのURLを生成するステップをさらに含む実施形態79の方法。
81.ユーザーが、第1のインターネットWebサイトだけしか有さず、その後、他のWebサイトを追加すること、または削除することによって、このグループを漸進的に開始する実施形態80の方法。
82.Webサイトグループの更新を実行すること、およびSASOプロキシユニットが、TPMによって保持されるデータの追加、削除、または結合解除および再結合さえも行うための手続きを要求するステップをさらに含む請求項79〜81のいずれかにおけるとおりの方法。
83.SASOプロキシユニットが、このWebサイトグループに関するWebサイトURLおよびシングルSSOパスワードを登録するステップをさらに含む実施形態79〜82のいずれかにおけるとおりの方法。
84.TPMが、TSS(TPMソフトウェア・スタック)を含む実施形態79〜83のいずれかにおけるとおりの方法。
85.SASOプロキシユニットが、このグループに属するすべてのWebサイトに関するSSOパスワード、URL、およびWebサイト資格証明、インターネットWAAソフトウェアおよびSSOプロキシユニット自体のアドレスハンドルをTPMに送信するステップと、データ結合およびWebサイト固有のパスワード生成を求める要求をTPMに送信するステップをさらに含む実施形態80〜84のいずれかにおけるとおりの方法。
86.リストの中の各URLに関して、TPMが、TPM RNG(乱数発生器)を使用して、暗号的に強いパスワードを生成する実施形態85におけるとおりの方法。
87.TPMが、TPMストレージキーを用いて暗号化されたデータブラブの中で、Webサイト固有のURL、任意の資格証明、SSOパスワード、およびTPMが生成したWebサイト固有のパスワードを結合するステップをさらに含む実施形態86におけるとおりの方法。
88.このキーが、TPMを収容するプラットフォームに結合される実施形態87におけるとおりの方法。
89.ユーザーが、関連する情報を有するWebサイトグループの更新を指示している、実施形態80〜88のいずれかにおけるとおりの方法であって、影響を受けるWebサイトに関するWebサイト固有のレコードを追加または削除するSASOプロキシユニットおよびTPMからの指示をさらに含む方法。
90.ユーザーが、WAAに対する第1のインターネットWebサイトに関するURLをデバイスに入力することをさらに含む実施形態79〜89のいずれかにおけるとおりの方法。
91.SASOプロキシユニットが、第1のインターネットWebサイトからのパスワード・プロンプトをインターセプトするステップをさらに含む実施形態90の方法。
92.インターセプトするステップが、Webスクレイピングによる、またはAPIもしくは他の解析技術を介する協調による実施形態91の方法。
93.SASOプロキシユニットが、第1のインターネットWebサイトが、登録されたWebサイトグループのメンバであるかどうかを検証し、肯定的である場合、そのようなグループを識別することをさらに含む実施形態91または92におけるとおりの方法。
94.SASOプロキシユニットが、第1のインターネットWebサイトが属するWebサイトグループに関するSSOパスワードを供給するよう、ユーザーに要求するステップをさらに含む実施形態91〜93のいずれかにおけるとおりの方法。
95.ユーザーが、第1のインターネットWebサイトに関するSSOパスワードおよびWebサイトURLを入力または供給するステップをさらに含む実施形態91〜94のいずれかにおけるとおりの方法。
96.供給するステップは、バイオメトリックによる実施形態96の方法。
97.SASOプロキシユニットが、ユーザーが供給したSSOパスワードを検査する実施形態94〜97のいずれかにおけるとおりの方法。
98.SSOプロキシユニットが、WebサイトURL、SSOプロキシユニットの証明書、およびパスワードを求めるプロンプトのおかげで、SSOパスワードを自動的に供給するステップをさらに含む実施形態91〜93のいずれかにおけるとおりの方法。
99.SSOプロキシユニットが、第1のインターネットWebサイトに関するSSOパスワードおよびWebサイトURLを含む第1のインターネットWebサイトに関するパスワードを結合解除し、取り出す要求をTPMに送信するステップをさらに含む実施形態79〜98のいずれかにおけるとおりの方法。
100.TPMが、以前に格納されたデータブラブから第1のインターネットWebサイトに関するWebサイト固有のパスワードおよび資格証明を結合解除するデータハンドルとして、第1のインターネットWebサイトに関するSSOパスワードおよびURLを使用するステップと、TPMが、SASOプロキシユニットから受信したSSOパスワードおよびWebサイトURLを、結合ストレージから回復したデータの値に照らして検証するステップをさらに含む実施形態99の方法。
101.SSOパスワードの検証が達せられた場合、TPMが、第1のインターネットWebサイトに関するWebサイト固有のパスワードおよび資格証明をSSOプロキシユニットに供給する実施形態100におけるとおりの方法。
102.SSOプロキシユニットが、Webスクレイピング、API、または他の解析技術を使用して、第1のインターネットWebサイトに関するパスワードフィールドおよび資格証明フィールドにデータ投入するステップをさらに含む実施形態79〜101のいずれかにおけるとおりの方法。
103.インターネットWAAに記入して、第1のインターネットWebサイトにWebサイト固有のパスワードおよび資格証明を送信するステップと、このパスワードおよび資格証明を第1のインターネットWebサイトにおいて登録するステップとをさらに含む実施形態102の方法。
104.登録の成功をインターネットWAAに示すステップと、この登録をSASOプロキシユニットに示して、この登録をSASOプロキシユニットのデータベースの中に記録するステップをさらに含む実施形態103の方法。
105.この登録を、TPMキーによって保護されるセキュアなメモリの中にSML(格納された測定ログ)として記録するステップをさらに含む実施形態104の方法。
106.ユーザーが、第1のインターネットWebサイトにアクセスすることを、後の時点でサインオンしてそのWebサイトのサービスを使用するために求める、実施形態79〜105のいずれかにおけるとおりの方法であって、ユーザーが、SASOによってアクセスを得るステップをさらに含む方法。
107.ユーザーが、第1のインターネットWebサイトではなく、第2のインターネットWebサイトに登録する、または後にアクセスすることを求める、実施形態79〜106のいずれかにおけるとおりの方法であって、URL、資格証明、Webサイト固有のパスワード、およびトークンの1つまたは複数を含む、第2のインターネットWebサイトに関するWebサイト固有の情報を使用して、第2のインターネットWebサイトのSASO登録またはSASO認証を実行するステップをさらに含む方法。
108.機能するTPMが、ユーザーのプラットフォームに結合される、任意の先行する実施形態におけるとおりの方法であって、ユーザーまたはユーザーのデバイスのIDおよび認証と関係するデータを、ユーザーのデバイスまたはプラットフォームの中に存在するTPMによってデータの機密性、完全性、および真正性に関して暗号によって保護するステップをさらに含む方法。
109.TPMが、物理的に保護された境界を提供することによって、暗号によって保護し、格納するデータに関する本来的なセキュリティを提供する、実施形態108におけるとおりの方法。
110.アプリケーション・セキュリティ・コンポーネントおよびIPスタック・セキュリティ・コンポーネントに、高エントロピーのパスワードを含むセキュアな資格証明が与えられるように、TPM機能を含むようにUSIM機能を拡張するステップをさらに含む実施形態108〜109のいずれかにおけるとおりの方法。
111.アプリケーション・セキュリティ・コンポーネントが、DRMサービスコンポーネントと、PGPサービスコンポーネントとを含む、実施形態110におけるとおりの方法。
112.IPスタック・セキュリティ・コンポーネントが、IPSecまたはTLS、あるいはIPSecとTLSの両方を含む実施形態110または111におけるとおりの方法。
113.USIM内に組み込まれたTPM内でリフレッシュされるパスワードおよび/または暗号化キーのポリシーベースの自動更新をさらに含む実施形態108〜110のいずれかにおけるとおりの方法。
114.TLSおよびアプリケーションセキュリティのために要求される認証アルゴリズムを含むようにUSIM機能を拡張することをさらに含む実施形態108〜110のいずれかにおけるとおりの方法。

Claims (13)

  1. WTRU(無線送受信ユニット)であって、
    ユーザからユーザ認証データを受信し、
    ウェブサイトを用いて認証してサービスにアクセスするためのユーザ固有のログイン情報のための要求を取得し、
    前記ユーザから受信された前記ユーザ認証データを用いてモジュールから前記ユーザ固有のログイン情報にアクセスし、該モジュールは信頼されるプラットフォームモジュールまたは汎用加入者識別モジュールを含み、
    前記ユーザ固有のログイン情報をWAA(Webアクセス・アプリケーション)モジュールに提供する、
    ように構成されるSSO(シングル・サインオン)プロキシユニットと、
    前記ウェブサイトを用いて認証するための前記ユーザ固有のログイン情報を格納し、かつ前記ユーザ認証データを格納するように構成された前記モジュールであって、該モジュールは、前記受信されたユーザ認証データと前記格納されたユーザ認証データとを比較することによって前記WTRUにおけるユーザ認証を実行し、前記ユーザが認証される場合、前記ウェブサイトを用いて認証するために、前記格納されたユーザ固有のログイン情報を前記SSOプロキシユニットに転送するようにさらに構成された前記モジュールと、
    前記SSOプロキシユニットによって提供される前記ユーザ固有のログイン情報を自動的に受信し、前記提供されるユーザ固有のログイン情報を前記ウェブサイトを用いて認証するために前記ウェブサイトに送信するように構成された前記WAAモジュールと
    を備えることを特徴とするWTRU。
  2. 前記モジュールは、ランダムな高エントロピーパスワードを生成するように構成されることを特徴とする請求項1に記載のWTRU。
  3. 前記モジュールは、ランダムな高エントロピーログインIDを生成するように構成されることを特徴とする請求項1に記載のWTRU。
  4. 前記SSOプロキシユニットは、バイオメトリック因子に基づいて前記ユーザを認証するように構成されることを特徴とする請求項1に記載のWTRU。
  5. 前記ユーザ認証データが前記SSOプロキシユニットにおいて成功して受信されると、事前識別されたサービス群における複数のサービスに対するアクセスが自動的に許可されることを特徴とする請求項1に記載のWTRU。
  6. 前記モジュールは、サービス固有のパスワードを生成するように構成される請求項2に記載のWTRU。
  7. 前記モジュールは、サービス固有のログインIDを生成するように構成される請求項3に記載のWTRU。
  8. 前記モジュールは、サービスのポリシー要件にしたがってログインIDとパスワードとを生成するように構成されることを特徴とする請求項1に記載のWTRU。
  9. 前記SSOプロキシユニットおよび前記モジュールは、前記サービスによって指示されるか場合または満了時間に達する場合、前記サービスと情報をやり取りして自動的にパスワードを更新するように構成されることを特徴とする請求項1に記載のWTRU。

  10. 前記SSOプロキシユニットおよび前記モジュールは、DTM(デバイスによって信頼されるミラー)を用いた相互認証を実行するように構成されることを特徴とする請求項1に記載のWTRU。
  11. 前記SSOプロキシユニットおよび前記モジュールは、信頼状態についての情報を提供し、前記DTMを通じて前記WTRUの認証資格証明を外部の要求者に対して提供するように構成されることを特徴とする請求項10に記載のWTRU。
  12. 前記モジュールは、通信リンクを確立する前に完全性検証を実行するように構成されることを特徴とする請求項1に記載のWTRU。
  13. 前記モジュールは、安全な実行環境であることを特徴とする請求項1に記載のWTRU。
JP2013028969A 2006-08-22 2013-02-18 アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置 Expired - Fee Related JP5795604B2 (ja)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US83917106P 2006-08-22 2006-08-22
US60/839,171 2006-08-22
US88704207P 2007-01-29 2007-01-29
US60/887,042 2007-01-29
US91202507P 2007-04-16 2007-04-16
US60/912,025 2007-04-16

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2009525636A Division JP5205380B2 (ja) 2006-08-22 2007-08-22 アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置

Publications (2)

Publication Number Publication Date
JP2013145562A true JP2013145562A (ja) 2013-07-25
JP5795604B2 JP5795604B2 (ja) 2015-10-14

Family

ID=38962915

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2009525636A Expired - Fee Related JP5205380B2 (ja) 2006-08-22 2007-08-22 アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置
JP2013028969A Expired - Fee Related JP5795604B2 (ja) 2006-08-22 2013-02-18 アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2009525636A Expired - Fee Related JP5205380B2 (ja) 2006-08-22 2007-08-22 アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置

Country Status (7)

Country Link
US (1) US8707409B2 (ja)
EP (1) EP2055077B1 (ja)
JP (2) JP5205380B2 (ja)
KR (3) KR101302763B1 (ja)
CN (2) CN101507233B (ja)
TW (3) TWI366375B (ja)
WO (1) WO2008024454A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5568696B1 (ja) * 2014-03-07 2014-08-06 株式会社 ディー・エヌ・エー パスワード管理システム及びパスワード管理システム用プログラム
JP2016532191A (ja) * 2013-07-30 2016-10-13 ドイッチェ テレコム アーゲー トラステッドコンピューティングベース上でクレデンシャルボールトをセキュアにするシステム及び方法
KR20190035169A (ko) * 2017-09-26 2019-04-03 (주)에이티솔루션즈 로그인 정보 자동 갱신 방법

Families Citing this family (233)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8713623B2 (en) 2001-09-20 2014-04-29 Time Warner Cable Enterprises, LLC Technique for effectively providing program material in a cable television system
US20090106558A1 (en) * 2004-02-05 2009-04-23 David Delgrosso System and Method for Adding Biometric Functionality to an Application and Controlling and Managing Passwords
US8312267B2 (en) 2004-07-20 2012-11-13 Time Warner Cable Inc. Technique for securely communicating programming content
US8266429B2 (en) 2004-07-20 2012-09-11 Time Warner Cable, Inc. Technique for securely communicating and storing programming material in a trusted domain
US9723267B2 (en) 2004-12-15 2017-08-01 Time Warner Cable Enterprises Llc Method and apparatus for wideband distribution of content
US20070022459A1 (en) 2005-07-20 2007-01-25 Gaebel Thomas M Jr Method and apparatus for boundary-based network operation
US7966150B2 (en) * 2005-11-17 2011-06-21 Florida Power & Light Company Data analysis applications
US7747540B2 (en) * 2006-02-24 2010-06-29 Microsoft Corporation Account linking with privacy keys
WO2008018055A2 (en) * 2006-08-09 2008-02-14 Neocleus Ltd Extranet security
KR101302763B1 (ko) 2006-08-22 2013-09-03 인터디지탈 테크날러지 코포레이션 애플리케이션 및 인터넷 기반 서비스들에 신뢰성있는 싱글 사인온 액세스를 제공하는 방법 및 장치
US8782745B2 (en) * 2006-08-25 2014-07-15 Qwest Communications International Inc. Detection of unauthorized wireless access points
US8457594B2 (en) * 2006-08-25 2013-06-04 Qwest Communications International Inc. Protection against unauthorized wireless access points
US8520850B2 (en) 2006-10-20 2013-08-27 Time Warner Cable Enterprises Llc Downloadable security and protection methods and apparatus
US8732854B2 (en) 2006-11-01 2014-05-20 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
US8621540B2 (en) 2007-01-24 2013-12-31 Time Warner Cable Enterprises Llc Apparatus and methods for provisioning in a download-enabled system
EP2130322B1 (en) * 2007-03-21 2014-06-25 Intel Corporation Protection against impersonation attacks
WO2008114256A2 (en) * 2007-03-22 2008-09-25 Neocleus Ltd. Trusted local single sign-on
US8438383B2 (en) * 2010-04-05 2013-05-07 White Sky, Inc. User authentication system
US8196191B2 (en) * 2007-08-17 2012-06-05 Norman James M Coordinating credentials across disparate credential stores
US8863246B2 (en) * 2007-08-31 2014-10-14 Apple Inc. Searching and replacing credentials in a disparate credential store environment
US20090077638A1 (en) * 2007-09-17 2009-03-19 Novell, Inc. Setting and synching preferred credentials in a disparate credential store environment
CN104200145B (zh) 2007-09-24 2020-10-27 苹果公司 电子设备中的嵌入式验证系统
US8539568B1 (en) * 2007-10-03 2013-09-17 Courion Corporation Identity map creation
US8600120B2 (en) 2008-01-03 2013-12-03 Apple Inc. Personal computing device control using face detection and recognition
US8474037B2 (en) 2008-01-07 2013-06-25 Intel Corporation Stateless attestation system
US20090199277A1 (en) * 2008-01-31 2009-08-06 Norman James M Credential arrangement in single-sign-on environment
US8782759B2 (en) * 2008-02-11 2014-07-15 International Business Machines Corporation Identification and access control of users in a disconnected mode environment
US20090210928A1 (en) * 2008-02-15 2009-08-20 Jean Dobey Ourega Method and a system for managing a user related account information associated with application services distributed over a data network
US20090217367A1 (en) * 2008-02-25 2009-08-27 Norman James M Sso in volatile session or shared environment
US20090307705A1 (en) * 2008-06-05 2009-12-10 Neocleus Israel Ltd Secure multi-purpose computing client
US20100017889A1 (en) * 2008-07-17 2010-01-21 Symantec Corporation Control of Website Usage Via Online Storage of Restricted Authentication Credentials
US10146926B2 (en) * 2008-07-18 2018-12-04 Microsoft Technology Licensing, Llc Differentiated authentication for compartmentalized computing resources
US9391779B2 (en) * 2008-07-28 2016-07-12 International Business Machines Corporation Reactive biometric single sign-on utility
US20100031041A1 (en) * 2008-08-04 2010-02-04 Postalguard Ltd. Method and system for securing internet communication from hacking attacks
EP2356610A1 (en) * 2008-11-10 2011-08-17 Nokia Siemens Networks Oy Methods, apparatuses, system and related computer program product for privacy-enhanced identity management
US8281379B2 (en) * 2008-11-13 2012-10-02 Vasco Data Security, Inc. Method and system for providing a federated authentication service with gradual expiration of credentials
US9357247B2 (en) 2008-11-24 2016-05-31 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
TWI364202B (en) * 2008-12-17 2012-05-11 Ind Tech Res Inst Single sign-on method and system for web browser
CN101771534B (zh) * 2008-12-30 2012-02-29 财团法人工业技术研究院 网络浏览器的单一登录方法及其系统
US8468582B2 (en) * 2009-02-03 2013-06-18 Inbay Technologies Inc. Method and system for securing electronic transactions
US9521142B2 (en) 2009-02-03 2016-12-13 Inbay Technologies Inc. System and method for generating passwords using key inputs and contextual inputs
US9736149B2 (en) 2009-02-03 2017-08-15 Inbay Technologies Inc. Method and system for establishing trusted communication using a security device
US8973111B2 (en) 2009-02-03 2015-03-03 Inbay Technologies Inc. Method and system for securing electronic transactions
US8739252B2 (en) 2009-02-03 2014-05-27 Inbay Technologies Inc. System and method for secure remote access
US8510811B2 (en) * 2009-02-03 2013-08-13 InBay Technologies, Inc. Network transaction verification and authentication
US9485254B2 (en) 2009-02-03 2016-11-01 Inbay Technologies Inc. Method and system for authenticating a security device
US9166975B2 (en) 2012-02-16 2015-10-20 Inbay Technologies Inc. System and method for secure remote access to a service on a server computer
US9608988B2 (en) 2009-02-03 2017-03-28 Inbay Technologies Inc. Method and system for authorizing secure electronic transactions using a security device having a quick response code scanner
US9548978B2 (en) 2009-02-03 2017-01-17 Inbay Technologies Inc. Method and system for authorizing secure electronic transactions using a security device
WO2010093647A2 (en) * 2009-02-10 2010-08-19 Interdigital Patent Holdings, Inc. Spectrum management across diverse radio access technologies
US11076189B2 (en) 2009-03-30 2021-07-27 Time Warner Cable Enterprises Llc Personal media channel apparatus and methods
US9215423B2 (en) 2009-03-30 2015-12-15 Time Warner Cable Enterprises Llc Recommendation engine apparatus and methods
US8166072B2 (en) 2009-04-17 2012-04-24 International Business Machines Corporation System and method for normalizing and merging credential stores
US7690032B1 (en) 2009-05-22 2010-03-30 Daon Holdings Limited Method and system for confirming the identity of a user
CN101635714B (zh) * 2009-05-31 2012-02-29 飞天诚信科技股份有限公司 提高网络应用安全性的方法和系统
US9602864B2 (en) 2009-06-08 2017-03-21 Time Warner Cable Enterprises Llc Media bridge apparatus and methods
US9866609B2 (en) 2009-06-08 2018-01-09 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
JP2011008701A (ja) * 2009-06-29 2011-01-13 Sony Corp 情報処理サーバ、情報処理装置、および情報処理方法
US9237381B2 (en) 2009-08-06 2016-01-12 Time Warner Cable Enterprises Llc Methods and apparatus for local channel insertion in an all-digital content distribution network
US8396055B2 (en) 2009-10-20 2013-03-12 Time Warner Cable Inc. Methods and apparatus for enabling media functionality in a content-based network
US8453224B2 (en) * 2009-10-23 2013-05-28 Novell, Inc. Single sign-on authentication
US10264029B2 (en) 2009-10-30 2019-04-16 Time Warner Cable Enterprises Llc Methods and apparatus for packetized content delivery over a content delivery network
US9635421B2 (en) 2009-11-11 2017-04-25 Time Warner Cable Enterprises Llc Methods and apparatus for audience data collection and analysis in a content delivery network
US20110138453A1 (en) * 2009-12-03 2011-06-09 Samsung Electronics Co., Ltd. Single sign-on in mixed http and sip environments
US9519728B2 (en) 2009-12-04 2016-12-13 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and optimizing delivery of content in a network
WO2011091313A1 (en) * 2010-01-22 2011-07-28 Interdigital Patent Holdings, Inc. Method and apparatus for trusted federated identity management and data access authorization
KR20120120955A (ko) 2010-02-09 2012-11-02 인터디지탈 패튼 홀딩스, 인크 신뢰적인 연합 아이덴티티를 위한 방법 및 장치
US9342661B2 (en) 2010-03-02 2016-05-17 Time Warner Cable Enterprises Llc Apparatus and methods for rights-managed content and data delivery
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
US8621583B2 (en) 2010-05-14 2013-12-31 Microsoft Corporation Sensor-based authentication to a computer network-based service
US9300445B2 (en) 2010-05-27 2016-03-29 Time Warner Cable Enterprise LLC Digital domain content processing and distribution apparatus and methods
CN102299945A (zh) * 2010-06-28 2011-12-28 中国联合网络通信集团有限公司 网关配置页面登录方法、系统及门户认证服务器
US9560036B2 (en) * 2010-07-08 2017-01-31 International Business Machines Corporation Cross-protocol federated single sign-on (F-SSO) for cloud enablement
US9906838B2 (en) 2010-07-12 2018-02-27 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US9235371B2 (en) * 2010-07-15 2016-01-12 Hewlett-Packard Development Company, L.P. Processing print requests
US8997136B2 (en) 2010-07-22 2015-03-31 Time Warner Cable Enterprises Llc Apparatus and methods for packetized content delivery over a bandwidth-efficient network
TWI495313B (zh) * 2010-08-09 2015-08-01 Timothy H Wu 帳號管理裝置與方法
WO2012030624A1 (en) 2010-08-30 2012-03-08 Vmware, Inc. Unified workspace for thin, remote, and saas applications
US9185341B2 (en) 2010-09-03 2015-11-10 Time Warner Cable Enterprises Llc Digital domain content processing and distribution apparatus and methods
WO2012040198A1 (en) * 2010-09-20 2012-03-29 Interdigital Patent Holdings, Inc. Identity management on a wireless device
US8881247B2 (en) * 2010-09-24 2014-11-04 Microsoft Corporation Federated mobile authentication using a network operator infrastructure
US9058105B2 (en) * 2010-10-31 2015-06-16 International Business Machines Corporation Automated adjustment of input configuration
CN101977235B (zh) * 2010-11-03 2013-03-27 北京北信源软件股份有限公司 一种针对https加密网站访问的网址过滤方法
US8930979B2 (en) 2010-11-11 2015-01-06 Time Warner Cable Enterprises Llc Apparatus and methods for identifying and characterizing latency in a content delivery network
US10148623B2 (en) 2010-11-12 2018-12-04 Time Warner Cable Enterprises Llc Apparatus and methods ensuring data privacy in a content distribution network
US9294479B1 (en) * 2010-12-01 2016-03-22 Google Inc. Client-side authentication
CN102034059B (zh) * 2010-12-02 2013-09-04 东莞宇龙通信科技有限公司 应用程序管理方法、装置以及终端
CN102111410B (zh) * 2011-01-13 2013-07-03 中国科学院软件研究所 一种基于代理的单点登录方法及系统
WO2012171081A1 (en) 2011-01-26 2012-12-20 Lin.K.N.V. Device and method for providing authenticated access to internet based services and applications
US9602414B2 (en) 2011-02-09 2017-03-21 Time Warner Cable Enterprises Llc Apparatus and methods for controlled bandwidth reclamation
JP5289480B2 (ja) * 2011-02-15 2013-09-11 キヤノン株式会社 情報処理システム、情報処理装置の制御方法、およびそのプログラム。
US20120227098A1 (en) * 2011-03-03 2012-09-06 Microsoft Corporation Sharing user id between operating system and application
US9118657B1 (en) * 2011-03-15 2015-08-25 Avior, Inc. Extending secure single sign on to legacy applications
AU2012242802B2 (en) 2011-04-12 2017-04-20 Applied Science, Inc. Systems and methods for managing blood donations
WO2012149384A1 (en) * 2011-04-28 2012-11-01 Interdigital Patent Holdings, Inc. Sso framework for multiple sso technologies
JP5734087B2 (ja) * 2011-05-18 2015-06-10 キヤノン株式会社 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。
US9141779B2 (en) * 2011-05-19 2015-09-22 Microsoft Technology Licensing, Llc Usable security of online password management with sensor-based authentication
EP2536095B1 (en) * 2011-06-16 2016-04-13 Telefonaktiebolaget LM Ericsson (publ) Service access authentication method and system
CN102263784A (zh) * 2011-06-16 2011-11-30 中兴通讯股份有限公司 单点登录方法及系统
US9258344B2 (en) * 2011-08-01 2016-02-09 Intel Corporation Multi-hop single sign-on (SSO) for identity provider (IdP) roaming/proxy
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
US9183361B2 (en) 2011-09-12 2015-11-10 Microsoft Technology Licensing, Llc Resource access authorization
CN102355459B (zh) * 2011-09-27 2014-04-09 北京交通大学 基于TPM的可信Web网页的实现方法
US9002322B2 (en) 2011-09-29 2015-04-07 Apple Inc. Authentication with secondary approver
US9390255B2 (en) 2011-09-29 2016-07-12 Oracle International Corporation Privileged account manager, dynamic policy engine
US9081951B2 (en) * 2011-09-29 2015-07-14 Oracle International Corporation Mobile application, identity interface
US8769624B2 (en) 2011-09-29 2014-07-01 Apple Inc. Access control utilizing indirect authentication
CN110061842B (zh) * 2011-09-30 2022-06-03 英特尔公司 带外远程认证
JP5485246B2 (ja) * 2011-11-05 2014-05-07 京セラドキュメントソリューションズ株式会社 画像形成装置
US9294452B1 (en) 2011-12-09 2016-03-22 Rightquestion, Llc Authentication translation
US11475105B2 (en) * 2011-12-09 2022-10-18 Rightquestion, Llc Authentication translation
KR101329788B1 (ko) * 2012-02-29 2013-11-15 이니텍(주) 모바일 환경에서의 서버 기반 싱글 사인온 방법
WO2013132641A1 (ja) * 2012-03-08 2013-09-12 株式会社日立システムズ シングルサインオンシステム
US10176335B2 (en) * 2012-03-20 2019-01-08 Microsoft Technology Licensing, Llc Identity services for organizations transparently hosted in the cloud
US9467723B2 (en) 2012-04-04 2016-10-11 Time Warner Cable Enterprises Llc Apparatus and methods for automated highlight reel creation in a content delivery network
US9699169B2 (en) * 2012-05-10 2017-07-04 Symantec Corporation Computer readable storage media for selective proxification of applications and method and systems utilizing same
US8850187B2 (en) * 2012-05-17 2014-09-30 Cable Television Laboratories, Inc. Subscriber certificate provisioning
US9172694B2 (en) * 2012-05-22 2015-10-27 International Business Machines Corporation Propagating delegated authorized credentials through legacy systems
JP5988699B2 (ja) * 2012-05-30 2016-09-07 キヤノン株式会社 連携システム、その連携方法、情報処理システム、およびそのプログラム。
US8713633B2 (en) * 2012-07-13 2014-04-29 Sophos Limited Security access protection for user data stored in a cloud computing facility
TW201417598A (zh) 2012-07-13 2014-05-01 Interdigital Patent Holdings 安全性關聯特性
CN103581105B (zh) * 2012-07-18 2017-09-22 财付通支付科技有限公司 登录验证方法和登录验证系统
US10079678B2 (en) * 2012-07-24 2018-09-18 Intel Corporation Providing access to encrypted data
CN102843357B (zh) * 2012-07-30 2016-11-16 北京网蜜在线网络有限公司 访问网络的方法、应用服务器及系统
US9338119B2 (en) 2012-08-28 2016-05-10 Alcatel Lucent Direct electronic mail
US10504164B2 (en) * 2012-09-12 2019-12-10 Oracle International Corporation Self-service account enrollment system
US9449167B2 (en) * 2012-09-12 2016-09-20 Infosys Limited Method and system for securely accessing different services based on single sign on
US20140082645A1 (en) 2012-09-14 2014-03-20 Peter Stern Apparatus and methods for providing enhanced or interactive features
JP6255858B2 (ja) * 2012-10-31 2018-01-10 株式会社リコー システム及びサービス提供装置
US8898769B2 (en) 2012-11-16 2014-11-25 At&T Intellectual Property I, Lp Methods for provisioning universal integrated circuit cards
US9565472B2 (en) 2012-12-10 2017-02-07 Time Warner Cable Enterprises Llc Apparatus and methods for content transfer protection
US9418213B1 (en) * 2013-02-06 2016-08-16 Amazon Technologies, Inc. Delegated permissions in a distributed electronic environment
US9015328B2 (en) 2013-03-07 2015-04-21 Fiserv, Inc. Single sign-on processing for associated mobile applications
US9641498B2 (en) * 2013-03-07 2017-05-02 Fiserv, Inc. Single sign-on processing for associated mobile applications
US20140282786A1 (en) 2013-03-12 2014-09-18 Time Warner Cable Enterprises Llc Methods and apparatus for providing and uploading content to personalized network storage
US9305172B2 (en) * 2013-03-15 2016-04-05 Mcafee, Inc. Multi-ring encryption approach to securing a payload using hardware modules
US9066153B2 (en) 2013-03-15 2015-06-23 Time Warner Cable Enterprises Llc Apparatus and methods for multicast delivery of content in a content delivery network
US10368255B2 (en) 2017-07-25 2019-07-30 Time Warner Cable Enterprises Llc Methods and apparatus for client-based dynamic control of connections to co-existing radio access networks
US9495534B2 (en) 2013-03-26 2016-11-15 International Business Machines Corporation OCR-based single sign-on
US9009806B2 (en) 2013-04-12 2015-04-14 Globoforce Limited System and method for mobile single sign-on integration
WO2014186882A1 (en) * 2013-05-24 2014-11-27 Passwordbox Inc. Secure automatic authorized access to any application through a third party
DK2821931T3 (da) 2013-07-02 2019-08-26 Precise Biometrics Ab Verificeringsapplikation, fremgangsmåde, elektronisk indretning og computerapplikation.
US9313568B2 (en) 2013-07-23 2016-04-12 Chicago Custom Acoustics, Inc. Custom earphone with dome in the canal
US9514288B2 (en) 2013-08-22 2016-12-06 Rakuten, Inc. Information processing device, information processing method, program and storage medium
US9898642B2 (en) 2013-09-09 2018-02-20 Apple Inc. Device, method, and graphical user interface for manipulating user interfaces based on fingerprint sensor inputs
US9036820B2 (en) 2013-09-11 2015-05-19 At&T Intellectual Property I, Lp System and methods for UICC-based secure communication
US9787657B2 (en) 2013-09-19 2017-10-10 Oracle International Corporation Privileged account plug-in framework—usage policies
US9319419B2 (en) * 2013-09-26 2016-04-19 Wave Systems Corp. Device identification scoring
US10154026B2 (en) * 2013-10-15 2018-12-11 Microsoft Technology Licensing, Llc Secure remote modification of device credentials using device-generated credentials
US9208300B2 (en) * 2013-10-23 2015-12-08 At&T Intellectual Property I, Lp Apparatus and method for secure authentication of a communication device
US9240994B2 (en) 2013-10-28 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for securely managing the accessibility to content and applications
US9313660B2 (en) 2013-11-01 2016-04-12 At&T Intellectual Property I, Lp Apparatus and method for secure provisioning of a communication device
US9240989B2 (en) 2013-11-01 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for secure over the air programming of a communication device
TWI499933B (zh) * 2013-11-21 2015-09-11 Qnap Systems Inc 電子裝置及其登入方法
JP6255091B2 (ja) * 2013-11-25 2017-12-27 マカフィー, エルエルシー プライベートデータを保護するセキュアプロキシ
KR102178552B1 (ko) * 2013-12-09 2020-11-13 엘지전자 주식회사 전자 기기 구동 방법
GB2521614B (en) * 2013-12-23 2021-01-13 Arm Ip Ltd Controlling authorisation within computer systems
EP3087771B1 (en) 2013-12-27 2020-06-17 Abbott Diabetes Care, Inc. Systems, devices, and methods for authentication in an analyte monitoring environment
US9602545B2 (en) 2014-01-13 2017-03-21 Oracle International Corporation Access policy management using identified roles
EP3731458A1 (en) * 2014-01-24 2020-10-28 McAfee, LLC Automatic placeholder finder-filler
JP6334940B2 (ja) 2014-02-12 2018-05-30 キヤノン株式会社 通信装置、通信装置の制御方法およびプログラム
EP3120591B1 (en) * 2014-03-17 2019-09-25 Telefonaktiebolaget LM Ericsson (publ) User identifier based device, identity and activity management system
US9411975B2 (en) 2014-03-31 2016-08-09 Intel Corporation Methods and apparatus to securely share data
US9762590B2 (en) * 2014-04-17 2017-09-12 Duo Security, Inc. System and method for an integrity focused authentication service
US9584515B2 (en) 2014-04-30 2017-02-28 Citrix Systems, Inc. Enterprise system authentication and authorization via gateway
US9713006B2 (en) 2014-05-01 2017-07-18 At&T Intellectual Property I, Lp Apparatus and method for managing security domains for a universal integrated circuit card
US10482461B2 (en) 2014-05-29 2019-11-19 Apple Inc. User interface for payments
US9621940B2 (en) 2014-05-29 2017-04-11 Time Warner Cable Enterprises Llc Apparatus and methods for recording, accessing, and delivering packetized content
AU2015266570B2 (en) 2014-05-30 2020-02-27 Applied Science, Inc. Systems and methods for managing blood donations
US11540148B2 (en) 2014-06-11 2022-12-27 Time Warner Cable Enterprises Llc Methods and apparatus for access point location
WO2016018028A1 (en) 2014-07-31 2016-02-04 Samsung Electronics Co., Ltd. Device and method of setting or removing security on content
KR20160016522A (ko) * 2014-07-31 2016-02-15 삼성전자주식회사 콘텐츠를 암호화/복호화하는 디바이스 및 방법
US10057240B2 (en) * 2014-08-25 2018-08-21 Sap Se Single sign-on to web applications from mobile devices
KR102226411B1 (ko) * 2014-09-01 2021-03-12 삼성전자주식회사 재등록을 관리하는 전자 장치 및 방법
US10097533B2 (en) * 2014-09-15 2018-10-09 Okta, Inc. Detection and repair of broken single sign-on integration
US9935833B2 (en) 2014-11-05 2018-04-03 Time Warner Cable Enterprises Llc Methods and apparatus for determining an optimized wireless interface installation configuration
US9609067B2 (en) * 2014-12-02 2017-03-28 Amazon Technologies, Inc. Proxy captive portal traffic for input-limited devices
US10223549B2 (en) * 2015-01-21 2019-03-05 Onion ID Inc. Techniques for facilitating secure, credential-free user access to resources
US20160241536A1 (en) * 2015-02-13 2016-08-18 Wepay, Inc. System and methods for user authentication across multiple domains
US10116676B2 (en) 2015-02-13 2018-10-30 Time Warner Cable Enterprises Llc Apparatus and methods for data collection, analysis and service modification based on online activity
US10146931B1 (en) * 2015-03-13 2018-12-04 EMC IP Holding Company LLC Organization-level password management employing user-device password vault
US9225711B1 (en) 2015-05-14 2015-12-29 Fmr Llc Transferring an authenticated session between security contexts
EP3304336B1 (en) 2015-06-01 2019-10-09 Duo Security, Inc. Method for enforcing endpoint health standards
CN106549997B (zh) * 2015-09-22 2019-11-12 阿里巴巴集团控股有限公司 用户上下文信息的获取方法和装置
US10749854B2 (en) 2015-11-12 2020-08-18 Microsoft Technology Licensing, Llc Single sign-on identity management between local and remote systems
US9986578B2 (en) 2015-12-04 2018-05-29 Time Warner Cable Enterprises Llc Apparatus and methods for selective data network access
GB201600447D0 (en) 2016-01-11 2016-02-24 Osirium Ltd Password recovery
US9918345B2 (en) 2016-01-20 2018-03-13 Time Warner Cable Enterprises Llc Apparatus and method for wireless network services in moving vehicles
US10404758B2 (en) 2016-02-26 2019-09-03 Time Warner Cable Enterprises Llc Apparatus and methods for centralized message exchange in a user premises device
US10492034B2 (en) 2016-03-07 2019-11-26 Time Warner Cable Enterprises Llc Apparatus and methods for dynamic open-access networks
CN107294916B (zh) * 2016-03-31 2019-10-08 北京神州泰岳软件股份有限公司 单点登录方法、单点登录终端及单点登录系统
DK179186B1 (en) 2016-05-19 2018-01-15 Apple Inc REMOTE AUTHORIZATION TO CONTINUE WITH AN ACTION
US10944747B2 (en) * 2016-05-25 2021-03-09 Canon Information And Imaging Solutions, Inc. Devices, systems, and methods for zero-trust single sign-on
US10164858B2 (en) 2016-06-15 2018-12-25 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and diagnosing a wireless network
DK179978B1 (en) 2016-09-23 2019-11-27 Apple Inc. IMAGE DATA FOR ENHANCED USER INTERACTIONS
US10243946B2 (en) * 2016-11-04 2019-03-26 Netskope, Inc. Non-intrusive security enforcement for federated single sign-on (SSO)
US10284535B2 (en) 2016-12-13 2019-05-07 Chronicle Llc Secure database
CN107070880A (zh) * 2017-02-16 2017-08-18 济南浪潮高新科技投资发展有限公司 一种单点登录的方法及系统、一种认证中心服务器
TWI651677B (zh) * 2017-05-05 2019-02-21 臺灣銀行股份有限公司 網路銀行帳戶的登入方法及應用該登入方法之網路銀行系統
US10645547B2 (en) 2017-06-02 2020-05-05 Charter Communications Operating, Llc Apparatus and methods for providing wireless service in a venue
US10638361B2 (en) 2017-06-06 2020-04-28 Charter Communications Operating, Llc Methods and apparatus for dynamic control of connections to co-existing radio access networks
US11012441B2 (en) * 2017-06-30 2021-05-18 Open Text Corporation Hybrid authentication systems and methods
US10721222B2 (en) * 2017-08-17 2020-07-21 Citrix Systems, Inc. Extending single-sign-on to relying parties of federated logon providers
US10355864B2 (en) 2017-08-29 2019-07-16 Citrix Systems, Inc. Policy based authentication
KR102389678B1 (ko) 2017-09-09 2022-04-21 애플 인크. 생체측정 인증의 구현
KR102185854B1 (ko) 2017-09-09 2020-12-02 애플 인크. 생체측정 인증의 구현
CN109714185B (zh) 2017-10-26 2022-03-04 阿里巴巴集团控股有限公司 可信服务器的策略部署方法、装置、系统及计算系统
KR101944698B1 (ko) 2017-11-28 2019-02-01 (주) 시큐어가드테크놀러지 컴퓨터 운영체제의 로그인 인증 결과를 이용한 싱글 사인 온 자동 로그인 방법 및 이를 적용한 컴퓨터로 읽을 수 있는 저장매체
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security
US12052358B2 (en) 2018-01-12 2024-07-30 Qualcomm Incorporated Method and apparatus for multiple registrations
US11553381B2 (en) * 2018-01-12 2023-01-10 Qualcomm Incorporated Method and apparatus for multiple registrations
US11170085B2 (en) 2018-06-03 2021-11-09 Apple Inc. Implementation of biometric authentication
US11190517B2 (en) 2018-08-08 2021-11-30 At&T Intellectual Property I, L.P. Access control based on combined multi-system authentication factors
US10860096B2 (en) 2018-09-28 2020-12-08 Apple Inc. Device control using gaze information
US11100349B2 (en) 2018-09-28 2021-08-24 Apple Inc. Audio assisted enrollment
US11658962B2 (en) 2018-12-07 2023-05-23 Cisco Technology, Inc. Systems and methods of push-based verification of a transaction
US11050749B2 (en) * 2018-12-31 2021-06-29 Paypal, Inc. Credential storage manager for protecting credential security during delegated account use
US11949677B2 (en) * 2019-04-23 2024-04-02 Microsoft Technology Licensing, Llc Resource access based on audio signal
US11570163B2 (en) * 2019-04-24 2023-01-31 Uns Project Inc. User authentication system
US11297040B2 (en) * 2019-05-01 2022-04-05 Akamai Technologies, Inc. Intermediary handling of identity services to guard against client side attack vectors
US11115401B2 (en) 2019-07-08 2021-09-07 Bank Of America Corporation Administration portal for simulated single sign-on
US11089005B2 (en) 2019-07-08 2021-08-10 Bank Of America Corporation Systems and methods for simulated single sign-on
US11323432B2 (en) 2019-07-08 2022-05-03 Bank Of America Corporation Automatic login tool for simulated single sign-on
US11907356B2 (en) * 2020-01-09 2024-02-20 Arris Enterprises Llc System, method, and computer-readable recording medium of creating, accessing, and recovering a user account with single sign on password hidden authentication
CN112751870B (zh) * 2020-12-30 2022-11-11 湖南麒麟信安科技股份有限公司 一种基于代理转发的nfs安全传输装置及方法
EP4264460A1 (en) 2021-01-25 2023-10-25 Apple Inc. Implementation of biometric authentication
US11895106B2 (en) 2021-01-28 2024-02-06 Oracle International Corporation Automatic sign-in upon account signup
US11599677B2 (en) * 2021-04-30 2023-03-07 People Center, Inc. Synchronizing organizational data across a plurality of third-party applications
KR102409867B1 (ko) * 2021-06-08 2022-06-22 쿠팡 주식회사 회원 정보 관리 방법 및 그 장치
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment
CN114422229A (zh) * 2022-01-14 2022-04-29 北京从云科技有限公司 Web应用单点登录代理方法、装置、登录方法及服务器
CN115412323B (zh) * 2022-08-23 2023-07-18 江苏云涌电子科技股份有限公司 一种基于tcm的单次登录访问多个应用的方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2014A (en) * 1841-03-24 Machine ecu cutting square-joint dovetails
US6007A (en) * 1849-01-09 Improvement in plows
JP2000105747A (ja) * 1998-09-29 2000-04-11 Hitachi Ltd シングルログイン方式のための画面制御方法
JP2000259566A (ja) * 1999-03-05 2000-09-22 Ntt Communicationware Corp パスワード管理システム
JP2001344213A (ja) * 2000-05-31 2001-12-14 Hitachi Ltd 生体認証システム
JP2002288139A (ja) * 2001-03-28 2002-10-04 Novell Japan Ltd 携帯電話機用シングルサインオンシステムおよび方法
WO2003069490A1 (fr) * 2002-02-13 2003-08-21 Hideharu Ogawa Procede et systeme d'authentification de l'utilisateur
WO2005015422A1 (ja) * 2003-08-11 2005-02-17 Sony Corporation 認証方法、認証システム及び認証サーバ
JP2006513631A (ja) * 2003-01-10 2006-04-20 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 複数国運用事業者ネットワークをローミングするパケット無線ネットワークユーザのためのシングルサインオン方法

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6779120B1 (en) * 2000-01-07 2004-08-17 Securify, Inc. Declarative language for specifying a security policy
US8185938B2 (en) * 2001-03-29 2012-05-22 International Business Machines Corporation Method and system for network single-sign-on using a public key certificate and an associated attribute certificate
KR100989487B1 (ko) 2002-05-24 2010-10-22 텔레폰악티에볼라겟엘엠에릭슨(펍) 서비스 제공자의 서비스에 대한 사용자를 인증하는 방법
US7296235B2 (en) * 2002-10-10 2007-11-13 Sun Microsystems, Inc. Plugin architecture for extending polices
US7207058B2 (en) * 2002-12-31 2007-04-17 American Express Travel Related Services Company, Inc. Method and system for transmitting authentication context information
US20050021975A1 (en) * 2003-06-16 2005-01-27 Gouping Liu Proxy based adaptive two factor authentication having automated enrollment
US7496755B2 (en) * 2003-07-01 2009-02-24 International Business Machines Corporation Method and system for a single-sign-on operation providing grid access and network access
US7349913B2 (en) * 2003-08-21 2008-03-25 Microsoft Corporation Storage platform for organizing, searching, and sharing data
US7739316B2 (en) * 2003-08-21 2010-06-15 Microsoft Corporation Systems and methods for the implementation of base schema for organizing units of information manageable by a hardware/software interface system
US8131739B2 (en) * 2003-08-21 2012-03-06 Microsoft Corporation Systems and methods for interfacing application programs with an item-based storage platform
US7483915B2 (en) * 2003-08-21 2009-01-27 Microsoft Corporation Systems and method for representing relationships between units of information manageable by a hardware/software interface system
US20050055354A1 (en) * 2003-08-21 2005-03-10 Microsoft Corporation Systems and methods for representing units of information manageable by a hardware/software interface system but independent of physical representation
US7428546B2 (en) * 2003-08-21 2008-09-23 Microsoft Corporation Systems and methods for data modeling in an item-based storage platform
US7529811B2 (en) * 2003-08-21 2009-05-05 Microsoft Corporation Systems and methods for the implementation of a core schema for providing a top-level structure for organizing units of information manageable by a hardware/software interface system
CN100437551C (zh) * 2003-10-28 2008-11-26 联想(新加坡)私人有限公司 使多个用户设备自动登录的方法和设备
US20050144450A1 (en) * 2003-12-30 2005-06-30 Entrust Limited Method and apparatus for providing mutual authentication between a sending unit and a recipient
US20050203921A1 (en) * 2004-03-11 2005-09-15 Newman Aaron C. System for protecting database applications from unauthorized activity
US8522039B2 (en) * 2004-06-09 2013-08-27 Apple Inc. Method and apparatus for establishing a federated identity using a personal wireless device
US7698734B2 (en) * 2004-08-23 2010-04-13 International Business Machines Corporation Single sign-on (SSO) for non-SSO-compliant applications
US20060075224A1 (en) * 2004-09-24 2006-04-06 David Tao System for activating multiple applications for concurrent operation
US20060185004A1 (en) * 2005-02-11 2006-08-17 Samsung Electronics Co., Ltd. Method and system for single sign-on in a network
CN1835436B (zh) 2005-03-14 2010-04-14 华为技术有限公司 一种通用鉴权网络及一种实现鉴权的方法
US7526812B2 (en) * 2005-03-24 2009-04-28 Xerox Corporation Systems and methods for manipulating rights management data
WO2007085175A1 (fr) * 2006-01-24 2007-08-02 Huawei Technologies Co., Ltd. Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile
US20080039096A1 (en) * 2006-03-28 2008-02-14 Nokia Corporation Apparatus, method and computer program product providing secure distributed HO signaling for 3.9G with secure U-plane location update from source eNB
CN103124261B (zh) * 2006-05-09 2016-08-03 交互数字技术公司 无线通信设备及在wtru中使用的扩展的用户标识模块
KR101302763B1 (ko) 2006-08-22 2013-09-03 인터디지탈 테크날러지 코포레이션 애플리케이션 및 인터넷 기반 서비스들에 신뢰성있는 싱글 사인온 액세스를 제공하는 방법 및 장치
US7941831B2 (en) * 2007-02-09 2011-05-10 Microsoft Corporation Dynamic update of authentication information
US8370509B2 (en) * 2009-04-09 2013-02-05 Alcatel Lucent Identity management services provided by network operator
US9578041B2 (en) * 2010-10-25 2017-02-21 Nokia Technologies Oy Verification of peer-to-peer multimedia content

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2014A (en) * 1841-03-24 Machine ecu cutting square-joint dovetails
US6007A (en) * 1849-01-09 Improvement in plows
JP2000105747A (ja) * 1998-09-29 2000-04-11 Hitachi Ltd シングルログイン方式のための画面制御方法
JP2000259566A (ja) * 1999-03-05 2000-09-22 Ntt Communicationware Corp パスワード管理システム
JP2001344213A (ja) * 2000-05-31 2001-12-14 Hitachi Ltd 生体認証システム
JP2002288139A (ja) * 2001-03-28 2002-10-04 Novell Japan Ltd 携帯電話機用シングルサインオンシステムおよび方法
WO2003069490A1 (fr) * 2002-02-13 2003-08-21 Hideharu Ogawa Procede et systeme d'authentification de l'utilisateur
JP2006513631A (ja) * 2003-01-10 2006-04-20 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 複数国運用事業者ネットワークをローミングするパケット無線ネットワークユーザのためのシングルサインオン方法
WO2005015422A1 (ja) * 2003-08-11 2005-02-17 Sony Corporation 認証方法、認証システム及び認証サーバ

Non-Patent Citations (11)

* Cited by examiner, † Cited by third party
Title
CSND199800367023; ラッセル・ケイ: '"システム分散化で大きく変わるセキュリティ機構"' 日経バイト 第128号, 19940801, p.281-292, 日経BP社 *
CSNG200600873068; 山崎高広,光山尊久,窪田淳,國宗永佳,新村正明,不破泰: '"Kerberosを拡張したセキュアな生体認証プロトコルについて"' 電子情報通信学会技術研究報告 Vol.105,No.628, 20060223, p.453-458, 社団法人電子情報通信学会 *
CSNJ199800024001; 齋藤 洋子: '"シングルサインオン機能によるセキュリティ運用負荷の軽減"' 第57回(平成10年後期)全国大会講演論文集(3) 6G-7, 19981005, p.3-520〜3-521, 社団法人情報処理学会 *
JPN6011050394; 山崎高広,光山尊久,窪田淳,國宗永佳,新村正明,不破泰: '"Kerberosを拡張したセキュアな生体認証プロトコルについて"' 電子情報通信学会技術研究報告 Vol.105,No.628, 20060223, p.453-458, 社団法人電子情報通信学会 *
JPN6014006292; Andreas Pashalidis and Chris J. Mitchell: '"Single Sign-On Using Trusted Platforms"' LNCS, Information Security Vol.2851, 200310, p.54-68 *
JPN6014006294; 齋藤 洋子: '"シングルサインオン機能によるセキュリティ運用負荷の軽減"' 第57回(平成10年後期)全国大会講演論文集(3) 6G-7, 19981005, p.3-520〜3-521, 社団法人情報処理学会 *
JPN6014006296; ラッセル・ケイ: '"システム分散化で大きく変わるセキュリティ機構"' 日経バイト 第128号, 19940801, p.281-292, 日経BP社 *
JPN7011003511; Andreas Pashalidis: "Interdomain User Authentication and Privacy" Technical Report RHUL-MA-2005-13, 20051223, p.39-62,68-72,90-109,179-197, [online] *
JPN7011003512; Markus Hillenbrand, Joachim Goetze, Jochen Mueller, Paul Mueller: '"A Single Sign-On Framework for Web-Services-based Distributed Applications"' Proceedings of the 8th International Conference on Telecommunications (ConTEL 2005) , 20050615, p.273-279, [online] *
JPN7011003513; Andreas U. Schmidt, Andreas Leicher, Yogendra Shah, Inhyok Cha: '"Efficient Application SSO for Evolved Mobile Networks"' Wireless World Research Forum Meeting 25 , 201009, [online] *
JPN7012003353; 古濱佐知子: '"プラットフォーム信頼性に基づくアクセス制御フレームワーク"' 2006年暗号と情報セイキュリティシンポジウム 3B2 アクセス制御, 20060117, 3B2-5, 2006年暗号と情報セキュリティシンポジウム実行委 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016532191A (ja) * 2013-07-30 2016-10-13 ドイッチェ テレコム アーゲー トラステッドコンピューティングベース上でクレデンシャルボールトをセキュアにするシステム及び方法
JP5568696B1 (ja) * 2014-03-07 2014-08-06 株式会社 ディー・エヌ・エー パスワード管理システム及びパスワード管理システム用プログラム
KR20190035169A (ko) * 2017-09-26 2019-04-03 (주)에이티솔루션즈 로그인 정보 자동 갱신 방법
KR101966545B1 (ko) * 2017-09-26 2019-04-05 (주)에이티솔루션즈 로그인 정보 자동 갱신 방법

Also Published As

Publication number Publication date
WO2008024454A1 (en) 2008-02-28
CN103067399A (zh) 2013-04-24
EP2055077A1 (en) 2009-05-06
US20080059804A1 (en) 2008-03-06
TW200943898A (en) 2009-10-16
JP5205380B2 (ja) 2013-06-05
KR101302763B1 (ko) 2013-09-03
US8707409B2 (en) 2014-04-22
KR20090048655A (ko) 2009-05-14
TW201141176A (en) 2011-11-16
CN101507233B (zh) 2013-02-13
KR101302889B1 (ko) 2013-09-06
JP2010502109A (ja) 2010-01-21
JP5795604B2 (ja) 2015-10-14
CN103067399B (zh) 2016-03-09
EP2055077B1 (en) 2017-04-05
KR20090042864A (ko) 2009-04-30
KR20120130780A (ko) 2012-12-03
KR101005910B1 (ko) 2011-01-06
TWI366375B (en) 2012-06-11
CN101507233A (zh) 2009-08-12
TW200820716A (en) 2008-05-01
TWI470989B (zh) 2015-01-21

Similar Documents

Publication Publication Date Title
JP5795604B2 (ja) アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置
EP1766852B1 (en) Device for user identity management
JP6170158B2 (ja) モバイルマルチシングルサインオン認証
EP1766853B1 (en) Methods and devices for auditable privacy policies
US8839414B2 (en) Authenticated database connectivity for unattended applications
US9172541B2 (en) System and method for pool-based identity generation and use for service access
US20130125222A1 (en) System and Method for Vetting Service Providers Within a Secure User Interface
JP2016526201A (ja) 企業システムにおけるユーザおよびデバイスの認証
JP2015535984A5 (ja)
CA2516718A1 (en) Secure object for convenient identification
CA2468351C (en) Distributed hierarchical identity management system authentication mechanisms
CA2468585C (en) Auditable privacy policies in a distributed hierarchical identity management system
KR101545897B1 (ko) 주기적인 스마트카드 인증을 통한 서버 접근 통제 시스템
Liberty SAML Implementation Guidelines
He et al. Authentication and Identity Management for Secure Cloud Businesses and Services

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140218

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140519

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140522

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140618

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140623

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140718

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141111

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150714

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150813

R150 Certificate of patent or registration of utility model

Ref document number: 5795604

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees