JP2014501959A - ユーザにサービスアクセスを提供する方法およびシステム - Google Patents
ユーザにサービスアクセスを提供する方法およびシステム Download PDFInfo
- Publication number
- JP2014501959A JP2014501959A JP2013538213A JP2013538213A JP2014501959A JP 2014501959 A JP2014501959 A JP 2014501959A JP 2013538213 A JP2013538213 A JP 2013538213A JP 2013538213 A JP2013538213 A JP 2013538213A JP 2014501959 A JP2014501959 A JP 2014501959A
- Authority
- JP
- Japan
- Prior art keywords
- local
- user
- service
- provider
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000001404 mediated effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本発明は、ユーザにサービスアクセスを提供する方法に関する。本方法は、a)ローカルネットワーク内に位置するローカルアイデンティティプロバイダを該ローカルアイデンティティプロバイダのローカル識別子によりグローバルアイデンティティプロバイダに登録するステップと、b)前記ローカルネットワーク内に位置するユーザが、サービスプロバイダへのアイデンティティ認証を必要とするサービスアクセスを要求するステップと、c)前記サービスプロバイダが、前記グローバルアイデンティティプロバイダに対してアイデンティティ管理サービスを要求するステップと、d)前記ローカルネットワーク内の提供されたローカル識別子に従って、前記ユーザのアクセス要求を前記ローカルアイデンティティプロバイダにリダイレクトするステップと、e)前記ローカル識別子が前記ユーザの前記ローカルネットワークに対応するかどうかをチェックするステップと、f)前記グローバルアイデンティティプロバイダが、ステップe)によるチェックの結果に従って、前記要求されたアイデンティティ管理サービスを前記サービスプロバイダに提供するステップと、g)前記ユーザに対する前記サービスプロバイダへのサービスアクセスを許可するステップと、を備えたことを特徴とする。また、本発明は、対応するシステムにも関する。
Description
本発明は、ユーザにサービスアクセスを提供する方法およびユーザにサービスアクセスを提供する、好ましくは請求項1ないし7のいずれか1項に記載の方法を実行するシステムに関する。
アイデンティティ管理システムとは一般的に、アイデンティティの設定、記述および破棄やアイデンティティアクティビティの追跡を含む、アイデンティティの管理をサポートするために使用可能な情報システムを指す。アイデンティティ管理は特に、ユーザやユーザ群に対して、コンピュータネットワークへの権限のあるアクセスを識別するために使用可能である。サービスコンピュータあるいはネットワークへの、ユーザの認証を必要とするアクセスを取得するため、SAMLやOpenIDのようなアイデンティティ管理プロトコルが使用可能である。ユーザは、アイデンティティ管理サービスを要求するため、自分のローカルコンピュータ上のクライアントを使用する場合がある。認証を必要とするサービスをユーザが要求すると、ユーザのコンピュータに接続されたサービスプロバイダは、認証のために、クライアントのブラウザでのリダイレクトを通じて、自己のインターネットサービスプロバイダ経由で、対応するアイデンティティプロバイダと交信する。また、別のアイデンティティプロバイダもユーザのブラウザからの連絡を受け、サービスプロバイダとアイデンティティプロバイダとの間の仮想プロキシとして作用し続けることもあり得る。
しかし、リダイレクトを通じてサービスプロバイダがアイデンティティプロバイダと交信する際には、セキュリティの問題が生じる可能性がある。例えば、「サービス拒否」攻撃や、最悪の場合にはフィッシング攻撃のような形態の攻撃の可能性がある。攻撃者が攻撃者の制御下にあるウェブサイトにユーザをリダイレクトすることで、ユーザは攻撃者によって利用される。そして、攻撃者は、リダイレクト機能を用いて、ユーザとアイデンティティプロバイダおよび/またはサービスプロバイダとの間のすべての通信に自分を介入させたままにする。
この欠点を克服するため、セキュアトランスポートプロトコルあるいはセキュアサービスプロトコルが使用可能である。これによりセキュリティレベルは少し上昇するが、送信されるコンテンツとセキュリティコンテキストとの間の断絶や、単に使いやすさの理由から、攻撃は依然として可能である。
例えば、アイデンティティ管理サービスがユーザ自身または会社もしくは企業によって提供される場合、これらのサービスを提供しローカルエリアネットワーク(例えば社内ネットワーク)内に位置するサーバは通常、ユーザが外部からアイデンティティ管理サービスを間接的に要求することができるように、外部特にインターネットと双方向にアクセス可能である必要がある。これはさらに攻撃の可能性を生じる。すなわち、ユーザのコンピュータと、ユーザまたは会社もしくは企業のアイデンティティサービスプロバイダとして作用するサーバのローカルインタフェース上で動作しているプロトコルおよびサービスとの間の送信プロトコルに対する攻撃である。
要約すると、依然としてフィッシングやサービス拒否攻撃の可能性がある。すなわち、アイデンティティ管理サービスが要求されると、ユーザは、攻撃者によってインターセプトされ、アイデンティティサービスプロバイダへのリダイレクト中に攻撃者のウェブサイトにリダイレクトされる可能性がある。攻撃者は、アイデンティティサービスプロバイダになりすまし、アイデンティティサービスプロバイダへの選択的フォワーダとして作用する。そして、攻撃者は、メッセージを監視したり、コマンドを変更したり、後で他のサービスで不正使用するため認証データおよび/または認証表明を単に収集したりする可能性がある。
別の主要な問題として、内部サーバに対する攻撃がある。すなわち、公開で利用可能な、および、公開で利用可能であるべきアイデンティティ管理サービスを提供すると、企業や会社のローカルネットワーク内のユーザおよび/またはコンピュータは、インターネットの任意のコンピュータから攻撃を受ける可能性がある。アイデンティティ管理サービスが外部および内部の任意の位置から使用可能である必要があるため、このようなサービスを提供する対応するサーバが公開で利用可能でなければならない、ということを攻撃者は利用する。そして、攻撃者は、ユーザのホームネットワーク内または会社のローカルネットワーク内のソフトウェアおよび/またはハードウェアがどのようなタイプのものかを識別し、ハードウェアおよび/またはソフトウェアの既知のセキュリティリークや特性を利用して、対応するネットワークへのアクセスを取得しようとする可能性がある。
ホームネットワークにおけるアイデンティティ管理サービス、特にホームゲートウェイ等からなるホームサーバのためのアイデンティティ管理サービスは通常、企業や通信事業者向けのものよりも厳格さの低いセキュリティ要件の下で開発されるので、ソフトウェアのバグや見落としを利用して、ユーザの同意なしにユーザデータやローカルネットワークへのアクセスが取得される可能性がある。
したがって、本発明の目的は、より高度なセキュリティレベルを可能にした、ユーザにサービスアクセスを提供する方法およびシステムを提供することである。
また、本発明の別の目的は、単純であると同時に、よりセキュアであるような、ユーザにサービスアクセスを提供する方法およびシステムを提供することである。
また、本発明の別の目的は、可能性のあるフィッシングあるいはサービス拒否攻撃を低減することである。
本発明によれば、上記の目的は、請求項1の構成を備えた方法によって達成される。
請求項1に記載の通り、ユーザにサービスアクセスを提供する本方法は、
a)ローカルネットワーク内に位置するローカルアイデンティティプロバイダを該ローカルアイデンティティプロバイダのローカル識別子によりグローバルアイデンティティプロバイダに登録するステップと、
b)前記ローカルネットワーク内に位置するユーザが、サービスプロバイダへのアイデンティティ認証を必要とするサービスアクセスを要求するステップと、
c)前記サービスプロバイダが、前記グローバルアイデンティティプロバイダに対してアイデンティティ管理サービスを要求するステップと、
d)前記ローカルネットワーク内の提供されたローカル識別子に従って、前記ユーザのアクセス要求を前記ローカルアイデンティティプロバイダにリダイレクトするステップと、
e)前記ローカル識別子が前記ユーザの前記ローカルネットワークに対応するかどうかをチェックするステップと、
f)前記グローバルアイデンティティプロバイダが、ステップe)によるチェックの結果に従って、前記要求されたアイデンティティ管理サービスを前記サービスプロバイダに提供するステップと、
g)前記ユーザに対する前記サービスプロバイダへのサービスアクセスを許可するステップと
を備えたことを特徴とする。
a)ローカルネットワーク内に位置するローカルアイデンティティプロバイダを該ローカルアイデンティティプロバイダのローカル識別子によりグローバルアイデンティティプロバイダに登録するステップと、
b)前記ローカルネットワーク内に位置するユーザが、サービスプロバイダへのアイデンティティ認証を必要とするサービスアクセスを要求するステップと、
c)前記サービスプロバイダが、前記グローバルアイデンティティプロバイダに対してアイデンティティ管理サービスを要求するステップと、
d)前記ローカルネットワーク内の提供されたローカル識別子に従って、前記ユーザのアクセス要求を前記ローカルアイデンティティプロバイダにリダイレクトするステップと、
e)前記ローカル識別子が前記ユーザの前記ローカルネットワークに対応するかどうかをチェックするステップと、
f)前記グローバルアイデンティティプロバイダが、ステップe)によるチェックの結果に従って、前記要求されたアイデンティティ管理サービスを前記サービスプロバイダに提供するステップと、
g)前記ユーザに対する前記サービスプロバイダへのサービスアクセスを許可するステップと
を備えたことを特徴とする。
本発明によれば、上記の目的は、請求項8の構成を備えたシステムによっても達成される。
請求項8に記載の通り、ユーザにサービスアクセスを提供する、好ましくは請求項1ないし7のいずれか1項に記載の方法を実行する本システムは、グローバルネットワーク内に位置する認証を必要とするサービスプロバイダのサービスにユーザがアクセスするためのローカルネットワーク内に位置するユーザコンピュータと、前記ローカルネットワーク内に位置しローカル識別子を有する前記ユーザコンピュータに接続されるとともにグローバルネットワークに接続されたローカルアイデンティティプロバイダ、好ましくはホームゲートウェイと、前記グローバルネットワーク、好ましくはインターネットに接続されるとともに前記ローカルネットワークに接続されたグローバルアイデンティティプロバイダとを備える。
請求項8に記載の通り、本システムは、以下のことを特徴とする。すなわち、前記ローカルアイデンティティプロバイダは、前記ローカル識別子と関連づけられ、前記ローカル識別子により前記グローバルアイデンティティプロバイダに登録するように構成される。前記ユーザが前記サービスプロバイダへのサービスアクセスを要求したときに、前記サービスプロバイダが前記グローバルアイデンティティプロバイダに対してアイデンティティ管理サービスを要求する。前記グローバルアイデンティティプロバイダは、前記ローカルネットワーク内の提供されたローカル識別子に従って、前記ユーザのアクセス要求を前記ローカルアイデンティティプロバイダにリダイレクトするように構成される。前記ローカルアイデンティティプロバイダは、前記ローカル識別子が前記ユーザの前記ローカルネットワークに対応するかどうかをチェックするように構成される。前記グローバルアイデンティティプロバイダは、前記チェックの結果に従って、前記要求されたアイデンティティ管理サービスを前記サービスプロバイダに提供するように構成される。前記サービスプロバイダは、前記提供されたアイデンティティ管理サービスに従って、前記ユーザに対してアクセスを許可するように構成される。
本発明によって初めて認識されたこととして、アイデンティティ管理サービスおよびサービスアクセスを提供する際のセキュリティレベルが向上する。また、本発明によって初めて認識されたこととして、特に介入者攻撃のリスクが低減される。また、本発明によって初めて認識されたこととして、ローカルネットワーク内部のインフラストラクチャが外部の攻撃から保護される。また、本発明によって初めて認識されたこととして、ユーザは、自己のデータおよびアイデンティティ管理機能の公開を制御することが可能である。また、初めて認識されたこととして、本発明による方法およびシステムによれば、ユーザの個人データは、従来のアイデンティティ管理プロトコルによって公開のネットワークからアクセス可能でありながら、公開のネットワークに保存する必要がなく、それゆえローカルネットワークに保存してもよい。
したがって、本発明による基本的な考え方は、ユーザのアクセス要求をローカルアイデンティティプロバイダにリダイレクトする際にローカル識別子を使用することである。これは、ユーザとローカルアイデンティティプロバイダとの間の通信が、実際に、または仮想的に、ユーザおよびローカルアイデンティティプロバイダのローカルネットワーク上にあり、いわゆる「介入者」あるいはフィッシャ(フィッシング攻撃者)による再構成が不可能なことを意味する。
特に、本発明による方法は、2つの部分、すなわち、登録段階と運用段階に分けることが可能である。登録段階の期間中、ローカルアイデンティティプロバイダがグローバルアイデンティティプロバイダに登録を行う。この登録は、ローカルネットワークからグローバルアイデンティティプロバイダにローカル識別子を提供する。ローカルアイデンティティプロバイダは、例えば、企業または企業ネットワーク内に位置してもよく、および/または、ホームゲートウェイの形態で、好ましくはホームネットワーク内に位置してもよい。これは、後の運用段階の期間中に使用される識別子となる。運用段階の期間中、グローバルプロバイダは、登録されたローカル識別子を用いて、ローカルアイデンティティプロバイダにユーザを接続する。これは、ユーザに渡されるローカル識別子がローカルネットワークを通じてのみアクセス可能である従来の方法とは異なる。
本発明の好ましい実施形態によれば、少なくともステップa)が、好ましくは所定期間の間、ローカルアイデンティティプロバイダとグローバルアイデンティティプロバイダとの間のセッションを設定することを含む。ローカルアイデンティティプロバイダとグローバルアイデンティティプロバイダとの間のセッションを設定することは、容易なコネクション確立と、ローカル識別子によりグローバルアイデンティティプロバイダにローカルアイデンティティプロバイダを登録するための確実でよりセキュアのコネクションとを提供する。セッションが所定期間の間だけ設定されれば、セキュリティレベルをさらに向上させることができる。というのは、グローバルアイデンティティプロバイダまたはローカルアイデンティティプロバイダに対する可能性のある攻撃は、同じセッションの期間中にのみ可能だからである。
本発明の別の好ましい実施形態によれば、ユーザは、バーチャルプライベートネットワーク、トンネルアプリケーションまたはリバースNATによって自己のローカルネットワークに接続される。バーチャルプライベートネットワークを使用するとき、ユーザはセキュアコネクションによって自己のローカルネットワークに接続される。その場合、ユーザは、例えば、公開で利用可能なホットスポット、ホテルネットワーク等を利用して自己のローカルネットワークに接続した後、グローバルサービスプロバイダに対してサービスを要求してもよい。場合によっては、ユーザは、バーチャルプライベートネットワークを通じて自己のローカルネットワークに接続することが許容されていないことがある。その場合、ユーザは、セキュアトンネルを提供するトンネルアプリケーションを利用して自己のローカルネットワークにアクセスしてもよい。グローバルアイデンティティプロバイダがユーザに提供するローカルIPアドレスは、ユーザのコンピュータからセキュアトンネル経由でローカルネットワークのローカルゲートウェイに送信されることが可能である。そして、ユーザは、グローバルアイデンティティプロバイダからのローカルIPアドレスを用いて、セキュアトンネル経由で、ローカルネットワーク内のローカルアイデンティティプロバイダに接続することが可能である。これは、インターネット経由で世界中のコンピュータやアクセスポイントからユーザを自己のローカルネットワークに接続する複数の選択肢を有するフレキシブルな手段を提供する。
別の好ましい実施形態によれば、少なくともステップa)による登録は、トランスポートセキュリティプロトコルおよび/またはサービスセキュリティプロトコルを使用する。これは、ユーザにアイデンティティ管理サービスを提供する方法に対するセキュリティのレベルをさらに向上させる。
別の好ましい実施形態によれば、ローカル識別子は、IPアドレスおよび/またはMACアドレスの形態で提供される。IPアドレスおよび/またはMACアドレスの使用は、IPアドレスおよび/またはMACアドレスの形態のローカル識別子がユーザのローカルネットワークに対応するかどうかを後でチェックするための容易で確実な手段を提供する。
別の好ましい実施形態によれば、少なくともステップa)による登録は、HTTPSトランスポートセキュリティプロトコルを使用する。これは、トランスポートレベルで、グローバルアイデンティティプロバイダにローカルアイデンティティプロバイダを登録する際のセキュリティを向上させる。
別の好ましい実施形態によれば、少なくともステップa)による登録は、XML−SIGおよび/またはXML−ENCサービスセキュリティプロトコルを使用する。これは、サービスレベルで、ローカル識別子によりグローバルアイデンティティプロバイダにローカルアイデンティティプロバイダを登録する際のセキュリティを向上させる。
請求項8に記載のシステムの別の好ましい実施形態によれば、ローカルアイデンティティプロバイダは、ローカルネットワークをグローバルネットワークに接続するホームゲートウェイである。ゲートウェイの使用は、ローカルネットワークのセキュリティをさらに低下させることなく、ローカルネットワークからグローバルネットワークへの確実な接続を提供する。
別の好ましい実施形態によれば、ユーザコンピュータは、バーチャルプライベートネットワーク、トンネルアプリケーションまたはリバースNATによってローカルアイデンティティプロバイダに接続される。バーチャルプライベートネットワークを使用するとき、ユーザのコンピュータはセキュアコネクションによって自己のローカルネットワークに接続される。その場合、ユーザは、例えば、公開で利用可能なホットスポット、ホテルネットワーク等を利用して自己のローカルネットワークに接続した後、グローバルサービスプロバイダに対してサービスを要求してもよい。場合によっては、ユーザは、バーチャルプライベートネットワークを通じて自己のローカルネットワークに接続することが許容されていないことがある。その場合、ユーザは、セキュアトンネルを提供するトンネルアプリケーションを利用して自己のローカルネットワークにアクセスしてもよい。グローバルアイデンティティプロバイダがユーザに提供するローカルIPアドレスは、ユーザのコンピュータからセキュアトンネル経由でローカルネットワークのローカルゲートウェイに送信されることが可能である。そして、ユーザは、グローバルアイデンティティプロバイダからのローカルIPアドレスを用いて、セキュアトンネル経由で、ローカルネットワーク内のローカルアイデンティティプロバイダに接続することが可能である。これは、インターネット経由で世界中のコンピュータやアクセスポイントからユーザを自己のローカルネットワークに接続する複数の選択肢を有するフレキシブルな手段を提供する。
別の好ましい実施形態によれば、ローカルネットワークにおけるネットワークトラフィック通信が暗号化される。これは、ユーザに対するアイデンティティ管理サービスを提供する際にさらにセキュリティレベルを向上させ、アイデンティティサービスプロバイダあるいはアイデンティティ管理サービスへのアクセスを得ようとするローカルネットワーク内からの攻撃を低減する。
別の好ましい実施形態によれば、ローカルアイデンティティプロバイダのローカル識別子のチェックはMACアドレスおよび/またはIPアドレスに基づく。IPアドレスおよび/またはMACアドレスの使用は、IPアドレスおよび/またはMACアドレスの形態のローカル識別子がユーザのローカルネットワークに対応するかどうかを後でチェックするための容易で確実な手段を提供する。
本発明を好ましい態様で実施するにはいくつもの可能性がある。このためには、一方で請求項1および8に従属する諸請求項を参照しつつ、他方で図面により例示された本発明の好ましい実施形態についての以下の説明を参照されたい。図面を用いて本発明の好ましい実施形態を説明する際には、本発明の教示による好ましい実施形態一般およびその変形例について説明する。
図1に、実施形態におけるユーザにサービスアクセスを提供する方法のフローチャートを示す。ユーザのPCでは、サービスプロバイダへのサービスアクセスを要求するためにブラウザが動作中である。サービスプロバイダのサービスへのアクセスを得るためには認証が必要である。ユーザのPCはローカルネットワーク内に位置する。ローカルネットワーク内には、グローバルアイデンティティプロバイダ(IDPと記す)に接続するためのホームゲートウェイの形態のローカルアイデンティティプロバイダも位置する。ユーザのPCとホームゲートウェイとの間のコネクションは、バーチャルプライベートネットワーク、トンネルアプリケーションまたはリバースNATの形態であることが可能である。
まず最初に、ホームゲートウェイがグローバルアイデンティティプロバイダIDPに対する回線認証を実行する。グローバルアイデンティティプロバイダIDPとの回線認証後、ホームゲートウェイは、グローバルアイデンティティプロバイダIDPに自己のローカルネットワークIPアドレスを登録する。ユーザが、サービスプロバイダに対して、自己のユーザPC経由で認証を必要とするサービスアクセスを要求すると(図1ではserviceAccessの矢印で表す)、グローバルアイデンティティプロバイダIDPは連絡を受け、認証のためのアイデンティティ管理サービスが、サービスプロバイダによってグローバルアイデンティティプロバイダに対して要求される。そして、アイデンティティ管理サービス要求は、ホームゲートウェイの形態のローカルアイデンティティプロバイダにリダイレクトされる。リダイレクトを実行するため、ホームゲートウェイのローカルネットワークIPアドレスの形態のローカル識別子が使用される。
アイデンティティ管理サービス要求(図1のユーザのホームネットワークにおけるIDMRequest)がホームゲートウェイによって受信されると、ホームゲートウェイは、ローカル識別子がローカルネットワークに対応するかどうか、例えばローカル識別子がローカルネットワークIPアドレスであるかどうかをチェックし、ユーザのPCのローカルネットワークIPアドレスがローカルネットワーク範囲内にあるかどうか、ホストIP範囲をチェックする。ユーザのPCのローカルネットワークIPアドレスがローカルネットワーク内にない場合、認証に成功することはできず、要求は破棄される。チェックが成功した場合、ホームゲートウェイの形態のローカルアイデンティティプロバイダは、要求されたアイデンティティ管理サービスに対する認証情報をサービスプロバイダに提供する。これにより、ユーザのPC、したがってユーザは、要求したアイデンティティ管理サービスをサービスプロバイダから受けることが可能となり、ユーザによって要求されるサービスにアクセスするためのサービスプロバイダへのアクセスが許可される。
ユーザの装置、好ましくはユーザPC内のローカルアイデンティティプロバイダとしてホームアイデンティティプロバイダを使用することも可能である。その場合、登録された上でユーザをそのグローバルアイデンティティプロバイダに接続するために使用されなければならない、好ましくはIPアドレスの形態のローカル識別子は、IPアドレスが「local host」すなわち127.0.0.1の場合となる。要求されたアイデンティティ管理サービスに関連するすべての通信は、ユーザPCまたはユーザ装置上で実行され、依然として相違なしに使用可能である。
ローカル識別子を使用することにより、ローカルネットワークに直接に、またはバーチャルプライベートネットワークを通じて接続されたユーザの装置、好ましくはユーザのPCは、グローバルネットワーク、例えばインターネット経由では自己のローカルアイデンティティプロバイダにアクセスしない。ユーザは、ユーザのローカルアイデンティティプロバイダがユーザのブラウザにポップアップすれば、介入者攻撃の可能性がないことを確かめることが可能である。というのは、攻撃者はユーザのローカルネットワークへのアクセスが許されていないことが仮定されているからである。公開で利用可能なサービスプロバイダまたはグローバルアイデンティティプロバイダは、ユーザの要求がローカルネットワークから発信されていることを確認することができ、グローバルアイデンティティプロバイダ、したがってサービスプロバイダは、上記の方法によりユーザの真正性を確認することができる。例えばMACアドレスやIPアドレスに基づく別の内部ネットワーク識別により、ユーザエクスペリエンスを改善することも可能である。
本発明は、特に、アイデンティティ管理システムにおける発見のために家庭または企業の権限のある装置の登録、ユーザにより信頼されているローカルネットワークへのユーザデータの再配置を提供する。上記の発見メカニズムを用いた対応する方法は、ユーザのブラウザをローカルネットワークインタフェースにリダイレクトすることにより、例えばフィッシング、サービス拒否および/またはスキャニング等の攻撃を防止することで、すべてのユーザのデータがユーザ自身のローカルネットワーク内に配置され、ユーザがそれにアクセスできるようにする。
要約すれば、本発明はとりわけ以下の利点を有する。本発明は、ローカルネットワークを使用してセキュリティレベルを向上させることにより、ほとんどの攻撃、特にアイデンティティ管理メッセージのトランスポートに対するフィッシングを防止する。また、本発明は、ローカルネットワークにおけるアイデンティティ管理機能を、ユーザ経由で仲介されたローカルネットワーク内に位置する装置にのみ利用可能とすることによって、ネットワーク内部の要素を外部の攻撃から保護する。また、本発明によれば、ユーザは、ユーザのデータおよびアイデンティティ管理機能の公開を明確に制御することができる。本発明の別の利点として、本発明は、ローカルネットワークとの関係で、ユーザデータに対するアイデンティティプロバイダの責任を軽減する。すなわち、ユーザのデータは、ユーザのローカルネットワークに保存されても、標準的なアイデンティティ管理プロトコルにより依然としてアクセス可能である。
このように、本発明は、個人データを扱う際にユーザのセキュリティおよびプライバシーを改善し、フィッシングや介入者攻撃を低減する。
上記の説明および添付図面の記載に基づいて、当業者は本発明の多くの変形例および他の実施形態に想到し得るであろう。したがって、本発明は、開示した具体的実施形態に限定されるものではなく、変形例および他の実施形態も、添付の特許請求の範囲内に含まれるものと解すべきである。本明細書では特定の用語を用いているが、それらは総称的・説明的意味でのみ用いられており、限定を目的としたものではない。
特に、回線認証の代わりに、3GPP/IMS認証を用いて、グローバルアイデンティティプロバイダでのローカル識別子のさらにセキュアな登録を提供することが可能である。グローバルアイデンティティプロバイダがインターネットサービスプロバイダである場合、インターネットサービスプロバイダに対する認証を用いて、ローカルアイデンティティプロバイダを登録することも可能である。他のセキュリティメカニズムも使用可能である。例えば、ローカルアイデンティティプロバイダが複数のユーザまたはトランスポートレベルのセキュリティをサポートする場合に必要となる他の認証方法も使用可能である。
Claims (12)
- ユーザにサービスアクセスを提供する方法において、
a)ローカルネットワーク内に位置するローカルアイデンティティプロバイダを該ローカルアイデンティティプロバイダのローカル識別子によりグローバルアイデンティティプロバイダに登録するステップと、
b)前記ローカルネットワーク内に位置するユーザが、サービスプロバイダへのアイデンティティ認証を必要とするサービスアクセスを要求するステップと、
c)前記サービスプロバイダが、前記グローバルアイデンティティプロバイダに対してアイデンティティ管理サービスを要求するステップと、
d)前記ローカルネットワーク内の提供されたローカル識別子に従って、前記ユーザのアクセス要求を前記ローカルアイデンティティプロバイダにリダイレクトするステップと、
e)前記ローカル識別子が前記ユーザの前記ローカルネットワークに対応するかどうかをチェックするステップと、
f)前記グローバルアイデンティティプロバイダが、ステップe)によるチェックの結果に従って、前記要求されたアイデンティティ管理サービスを前記サービスプロバイダに提供するステップと、
g)前記ユーザに対する前記サービスプロバイダへのサービスアクセスを許可するステップと
を備えたことを特徴とする、ユーザにサービスアクセスを提供する方法。 - 少なくともステップa)が、好ましくは所定期間の間、前記ローカルアイデンティティプロバイダと前記グローバルアイデンティティプロバイダとの間のセッションを設定することを含むことを特徴とする請求項1に記載の方法。
- 前記ユーザが、バーチャルプライベートネットワーク、トンネルアプリケーションまたはリバースNATによって自己のローカルネットワークに接続されることを特徴とする請求項1または2に記載の方法。
- 少なくともステップa)による登録が、トランスポートセキュリティプロトコルおよび/またはサービスセキュリティプロトコルを使用することを特徴とする請求項1ないし3のいずれか1項に記載の方法。
- 前記ローカル識別子が、IPアドレスおよび/またはMACアドレスの形態で提供されることを特徴とする請求項1ないし4のいずれか1項に記載の方法。
- 少なくともステップa)による登録が、HTTPSトランスポートセキュリティプロトコルを使用することを特徴とする請求項4に記載の方法。
- 少なくともステップa)による登録が、XML−SIGおよび/またはXML−ENCサービスセキュリティプロトコルを使用することを特徴とする請求項4に記載の方法。
- ユーザにサービスアクセスを提供する、好ましくは請求項1ないし7のいずれか1項に記載の方法を実行するシステムにおいて、該システムは、
グローバルネットワーク内に位置する認証を必要とするサービスプロバイダのサービスにユーザがアクセスするためのローカルネットワーク内に位置するユーザコンピュータと、
前記ローカルネットワーク内に位置しローカル識別子を有する前記ユーザコンピュータに接続されるとともにグローバルネットワークに接続されたローカルアイデンティティプロバイダ、好ましくはホームゲートウェイと、
前記グローバルネットワーク、好ましくはインターネットに接続されるとともに前記ローカルネットワークに接続されたグローバルアイデンティティプロバイダとを備え、
前記ローカルアイデンティティプロバイダは、前記ローカル識別子と関連づけられ、前記ローカル識別子により前記グローバルアイデンティティプロバイダに登録するように構成され、前記ユーザが前記サービスプロバイダへのサービスアクセスを要求したときに、前記サービスプロバイダが前記グローバルアイデンティティプロバイダに対してアイデンティティ管理サービスを要求し、前記グローバルアイデンティティプロバイダは、前記ローカルネットワーク内の提供されたローカル識別子に従って、前記ユーザのアクセス要求を前記ローカルアイデンティティプロバイダにリダイレクトするように構成され、前記ローカルアイデンティティプロバイダは、前記ローカル識別子が前記ユーザの前記ローカルネットワークに対応するかどうかをチェックするように構成され、前記グローバルアイデンティティプロバイダは、前記チェックの結果に従って、前記要求されたアイデンティティ管理サービスを前記サービスプロバイダに提供するように構成され、前記サービスプロバイダは、前記提供されたアイデンティティ管理サービスに従って、前記ユーザに対してアクセスを許可するように構成されることを特徴とする、ユーザにサービスアクセスを提供するシステム。 - 前記ローカルアイデンティティプロバイダが、前記ローカルネットワークを前記グローバルネットワークに接続するホームゲートウェイであることを特徴とする請求項8に記載のシステム。
- 前記ユーザコンピュータが、バーチャルプライベートネットワーク、トンネルアプリケーションまたはリバースNATによって前記ローカルアイデンティティプロバイダに接続されることを特徴とする請求項8または9に記載のシステム。
- 前記ローカルネットワークにおけるネットワークトラフィック通信が暗号化されることを特徴とする請求項8ないし10のいずれか1項に記載のシステム。
- 前記ローカルアイデンティティプロバイダの前記ローカル識別子のチェックがMACアドレスおよび/またはIPアドレスに基づくことを特徴とする請求項8ないし11のいずれか1項に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP10014494.8 | 2010-11-11 | ||
| EP10014494 | 2010-11-11 | ||
| PCT/EP2011/069968 WO2012062915A2 (en) | 2010-11-11 | 2011-11-11 | Method and system for providing service access to a user |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014501959A true JP2014501959A (ja) | 2014-01-23 |
| JP5864598B2 JP5864598B2 (ja) | 2016-02-17 |
Family
ID=45099048
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013538213A Expired - Fee Related JP5864598B2 (ja) | 2010-11-11 | 2011-11-11 | ユーザにサービスアクセスを提供する方法およびシステム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9032487B2 (ja) |
| EP (1) | EP2638496B1 (ja) |
| JP (1) | JP5864598B2 (ja) |
| WO (1) | WO2012062915A2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9241003B2 (en) * | 2010-12-15 | 2016-01-19 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for authenticating an entity through use of a global identity of the entity that serves as a proxy for one or more local identities of the entity |
| JP5920891B2 (ja) * | 2013-02-08 | 2016-05-18 | 日本電信電話株式会社 | 通信サービス認証・接続システム及びその方法 |
| JP5921460B2 (ja) * | 2013-02-20 | 2016-05-24 | アラクサラネットワークス株式会社 | 認証方法、転送装置及び認証サーバ |
| CN103428032B (zh) * | 2013-08-19 | 2016-11-09 | 杭州华三通信技术有限公司 | 一种攻击定位、辅助定位装置和方法 |
| US9917911B2 (en) * | 2013-09-18 | 2018-03-13 | Mivalife Mobile Technology, Inc. | Security system communications management |
| US9294462B2 (en) * | 2014-01-15 | 2016-03-22 | Cisco Technology, Inc. | Redirect to inspection proxy using single-sign-on bootstrapping |
| JP6170844B2 (ja) * | 2014-02-14 | 2017-07-26 | 株式会社Nttドコモ | 認証情報管理システム |
| US9411963B2 (en) | 2014-07-07 | 2016-08-09 | International Business Machines Corporation | Visual display of risk-identifying metadata for identity management access requests |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030196107A1 (en) * | 2002-04-15 | 2003-10-16 | Robertson Samuel A. | Protocol, system, and method for transferring user authentication information across multiple, independent internet protocol (IP) based networks |
| JP2003316742A (ja) * | 2002-04-24 | 2003-11-07 | Nippon Telegr & Teleph Corp <Ntt> | シングルサインオン機能を有する匿名通信方法および装置 |
| JP2005227993A (ja) * | 2004-02-12 | 2005-08-25 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークシステムのアクセス認証方法 |
| JP2007110377A (ja) * | 2005-10-13 | 2007-04-26 | Hitachi Ltd | ネットワークシステム |
| JP2008217366A (ja) * | 2007-03-02 | 2008-09-18 | Nec Corp | サービス連携システム、サービス連携方法、およびサービス連携プログラム |
| JP2009129010A (ja) * | 2007-11-20 | 2009-06-11 | Hitachi Ltd | 情報処理装置、情報処理システム、および情報処理方法 |
| JP2009282561A (ja) * | 2008-05-19 | 2009-12-03 | Kddi Corp | ユーザ認証システム、ユーザ認証方法およびプログラム |
| WO2010021110A1 (ja) * | 2008-08-18 | 2010-02-25 | パナソニック株式会社 | アクセス許可登録方法およびサーバ装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7360245B1 (en) * | 2001-07-18 | 2008-04-15 | Novell, Inc. | Method and system for filtering spoofed packets in a network |
| US20080250248A1 (en) * | 2006-12-24 | 2008-10-09 | Zeev Lieber | Identity Management System with an Untrusted Identity Provider |
| JP5423397B2 (ja) * | 2007-12-27 | 2014-02-19 | 日本電気株式会社 | アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム |
| JP5453461B2 (ja) * | 2009-03-05 | 2014-03-26 | インターデイジタル パテント ホールディングス インコーポレイテッド | H(e)NB完全性検証および妥当性確認のための方法および機器 |
| WO2011023228A1 (en) * | 2009-08-27 | 2011-03-03 | Nokia Siemens Networks Oy | Identity management system |
-
2011
- 2011-11-11 JP JP2013538213A patent/JP5864598B2/ja not_active Expired - Fee Related
- 2011-11-11 EP EP11791482.0A patent/EP2638496B1/en not_active Not-in-force
- 2011-11-11 US US13/824,786 patent/US9032487B2/en active Active
- 2011-11-11 WO PCT/EP2011/069968 patent/WO2012062915A2/en active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030196107A1 (en) * | 2002-04-15 | 2003-10-16 | Robertson Samuel A. | Protocol, system, and method for transferring user authentication information across multiple, independent internet protocol (IP) based networks |
| JP2003316742A (ja) * | 2002-04-24 | 2003-11-07 | Nippon Telegr & Teleph Corp <Ntt> | シングルサインオン機能を有する匿名通信方法および装置 |
| JP2005227993A (ja) * | 2004-02-12 | 2005-08-25 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークシステムのアクセス認証方法 |
| JP2007110377A (ja) * | 2005-10-13 | 2007-04-26 | Hitachi Ltd | ネットワークシステム |
| JP2008217366A (ja) * | 2007-03-02 | 2008-09-18 | Nec Corp | サービス連携システム、サービス連携方法、およびサービス連携プログラム |
| JP2009129010A (ja) * | 2007-11-20 | 2009-06-11 | Hitachi Ltd | 情報処理装置、情報処理システム、および情報処理方法 |
| JP2009282561A (ja) * | 2008-05-19 | 2009-12-03 | Kddi Corp | ユーザ認証システム、ユーザ認証方法およびプログラム |
| WO2010021110A1 (ja) * | 2008-08-18 | 2010-02-25 | パナソニック株式会社 | アクセス許可登録方法およびサーバ装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2638496A2 (en) | 2013-09-18 |
| EP2638496B1 (en) | 2019-10-09 |
| WO2012062915A2 (en) | 2012-05-18 |
| WO2012062915A3 (en) | 2012-07-05 |
| US20130219474A1 (en) | 2013-08-22 |
| JP5864598B2 (ja) | 2016-02-17 |
| US9032487B2 (en) | 2015-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11647003B2 (en) | Concealing internal applications that are accessed over a network | |
| US11652792B2 (en) | Endpoint security domain name server agent | |
| JP5864598B2 (ja) | ユーザにサービスアクセスを提供する方法およびシステム | |
| US9680795B2 (en) | Destination domain extraction for secure protocols | |
| JP5714078B2 (ja) | 分散セキュアコンテンツ管理システムに対する認証 | |
| US20150106617A1 (en) | Mechanisms to Use Network Session Identifiers for Software-As-A-Service Authentication | |
| US11539695B2 (en) | Secure controlled access to protected resources | |
| US20130312054A1 (en) | Transport Layer Security Traffic Control Using Service Name Identification | |
| JP5239341B2 (ja) | ゲートウェイ、中継方法及びプログラム | |
| US11895149B2 (en) | Selective traffic processing in a distributed cloud computing network | |
| US10348687B2 (en) | Method and apparatus for using software defined networking and network function virtualization to secure residential networks | |
| US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
| CN115603932A (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| WO2023279782A1 (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| US11736516B2 (en) | SSL/TLS spoofing using tags | |
| EP2862335B1 (en) | Systems and methods for protection of a sip back-to-back user agent on modems | |
| US10079857B2 (en) | Method of slowing down a communication in a network | |
| JP2006216014A (ja) | メッセージを認証するためのシステムおよび方法、メッセージを認証するためのファイアウォール、ネットワーク装置、および、コンピュータ読み取り可能な媒体 | |
| Arafat et al. | Study on security issue in open source SIP server | |
| Larose et al. | RFC 8952: Captive Portal Architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140430 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140527 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20140826 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20140902 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20140925 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20141002 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20141023 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20141030 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150402 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20150701 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20150730 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150831 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151202 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151224 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5864598 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |