JP2014521146A - ゼロサインオン認証 - Google Patents

ゼロサインオン認証 Download PDF

Info

Publication number
JP2014521146A
JP2014521146A JP2014518942A JP2014518942A JP2014521146A JP 2014521146 A JP2014521146 A JP 2014521146A JP 2014518942 A JP2014518942 A JP 2014518942A JP 2014518942 A JP2014518942 A JP 2014518942A JP 2014521146 A JP2014521146 A JP 2014521146A
Authority
JP
Japan
Prior art keywords
access
access point
media service
authentication information
user device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014518942A
Other languages
English (en)
Other versions
JP2014521146A5 (ja
JP5736511B2 (ja
Inventor
スチュワート エイ. ホッガン、
シーサラーマ アール. ダーバ、
Original Assignee
ケーブル テレビジョン ラボラトリーズ,インク.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ケーブル テレビジョン ラボラトリーズ,インク. filed Critical ケーブル テレビジョン ラボラトリーズ,インク.
Publication of JP2014521146A publication Critical patent/JP2014521146A/ja
Publication of JP2014521146A5 publication Critical patent/JP2014521146A5/ja
Application granted granted Critical
Publication of JP5736511B2 publication Critical patent/JP5736511B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

信頼認証情報に基づいて、メディアサービスに対するゼロログオンアクセスを容易にする方法。信頼認証情報は、メディアサービスにアクセスするために用いられる、ユーザ装置上に保存されているクッキー、証明書及び他のデータセットであってもよく、それらに含まれる情報を用いて、ユーザ装置のゼロサインオン機能を制御することができる。

Description

本発明は、メディアサービスに対するアクセスを許可する前に必要とされる認証手順の一部として、ユーザにサインオン、すなわちパスワードを入力することを要求することなく、メディアサービスに対するユーザアクセスを容易にすることに関する。
インターネットを用いて、商品及びサービスを購入する人は、通常、各店舗で身元を証明しなければならず、それは、店舗のウェブサイトがアクセスされ、あるいは他のあらゆるタイムサービスが要求される毎に、顧客は、ユーザ名及びパスワードを入力するサインオン手順を完了することが必要な場合がある。ますます多くの店舗がオンラインサービスに頼ることにより、顧客は、ユーザ名及びパスワードの多数の組合せ、すなわち各ウェブサイト毎に1つの組合せを記録することが必要な場合があり、それは、いずれもユーザの負担となっている。また、ユーザのユーザ名及びパスワードは、その情報がそれだけ多くの異なる場所に保存される可能性があり、個人情報の盗難のリスクがある。したがって、ユーザが行わなければならないサインオン動作の回数、及び/又はユーザのユーザ名及びパスワードの組合せが保存されている場所の数を制限する必要がある。
本発明は、添付の特許請求の範囲において詳細に指摘される。しかしながら、本発明の他の特徴は、添付する図面とともに、以下の詳細な説明を参照することによって、より明らかになり、最も理解される。
本発明の1つの限定されない特徴によって意図されるゼロサインオンシステムを示す。
本発明の1つの限定されない特徴によって意図されるゼロサインオンメッセージ交換のメッセージ交換図を示す。
本発明の1つの限定されない特徴によって意図されるアドレス割付メッセージ交換のメッセージ交換図を示す。
本発明の1つの限定されない特徴によって意図されるゼロサインオン手順をサポートする方法のフローチャートを示す。 本発明の1つの限定されない特徴によって意図されるゼロサインオン手順をサポートする方法のフローチャートを示す。
本発明の1つの限定されない特徴によって意図されるような証明書プロビジョニングのフローチャートを示す。
本発明の1つの限定されない特徴によって意図されるゼロサインオン手順をサポートする方法のフローチャートを示す。
必要に応じて、本発明の詳細な実施の形態をここに開示するが、しかしながら、開示する実施の形態は、発明の単なる例示であり、発明は、様々な且つ他の形式で実施できることは理解すべきである。図面は、必ずしも一定の比率であるというわけではなく、特定の構成要素を詳細に示すために、幾つかの特徴は、拡大又は縮小することができる。したがって、ここに開示する特別な構造及び機能の詳細は、限定的に解釈されるべきではなく、本発明を様々に使用することを、当業者に教示する代表的な基礎として単に解釈されるべきである。
図1は、本発明の1つの限定されない特徴によって意図されるゼロサインオンシステム10を示す。システム10は、多数のユーザ装置12に適したあらゆる種類のメディアサービスに対するゼロサインオンアクセスをサポートする。例示的な目的の場合、シングルモバイルユーザ装置12、例えば、モバイルコンピュータ、電話機、タブレット、PDA等は、第1及び第2のサービスプロバイダ(SP)14、16と交換するシグナリングによって、IPベースのサービスにアクセスする。ユーザ装置12は、セットトップボックス(STB)、メディアターミナルアダプタ(MTA)及びメディアプレーヤを含むが、これらに限らず、他のどんな装置であってもよい。ユーザ装置12は、コンピュータで読取り可能な媒体に実装されたクライアントアプリケーションを含むことができ、そこには、ゼロサインオンをサポートするために、プロセッサによって実行されたときに、プロセッサに、本発明によって意図する動作を容易に行わせる命令を含む複数の命令が格納されている。
クライアントアプリケーションは、ユーザ/加入者インタフェースを提供するように、そうでなければ、CATV局運営会社(MOS)のサービスプロバイダ14とのインタラクションをサポートするように、構成されていてもよい。それは、一般的なウェブブラウザ、例えばインターネットエクスプローラ又はファイヤーフォックスとすることができ、あるいは、それは、カスタムアプリケーション又はあらゆる対応する種類のオペレーティングシステとすることができる。クライアントアプリケーションは、あらゆる種類の装置12、例えばPC、ラップトップ又はスマートフォン上で動作するように構成することができる。ユーザ装置12の第1の位置22は、第1のサービスプロバイダ14のサービスに申し込んだユーザのホーム又は他の位置に対応するように示しているが、それは、ユーザ装置に関連したユーザのホーム、あるいは同じ第1のサービスプロバイダ14からのサービスにたまたま申し込んだ他の人のホームであってもよい。第2の位置24は、ユーザ装置12が位置を変えた他の位置、例えばWi−Fiホットスポットに対応し、そこでは、第2のサービスプロバイダ16は、ユーザ装置12が第1のサービスプロバイダ14のサービスにアクセスするために必要なシグナリングの少なくとも一部をサポートすることが必要である。
第1の位置22において、ユーザ装置12は、サービスプロバイダのケーブルモデム終端装置(CMT)32とのデータ交換を容易にするケーブルモデム(CM)30に接続されている。ケーブルモデム30及びCMT32は、協働し、ケーブルネットワーク34を介して、データオーバケーブルサービスインタフェース仕様(DOCSIS)に準拠した双方向高速データアクセスを可能にしている。ケーブルモデム30は、加入者のホームに設置することができ、VoIP装置(eMTA)又はセットトップに組み込むことができる。CMT32は、ネットワークアクセスを制御する、サービスプロバイダ14に関連した中心のマネージャとすることができる。サービスプロバイダ14の信頼できるドメイン38は、通常、複数のCMT32と、それらがサポートするケーブルモデム30と、それらによって管理して、その加入者とのメディアサービスのインタラクトを容易にする他の装置40、42、43とに対応している。
第2のサービスプロバイダ16は、信頼できるドメインを含むように示されていないがこのような信頼できるドメインを同様に含んでいてもよい。ユーザ装置12が第2のサービスプロバイダ16に対する加入者でなく、したがって、信頼できないユーザ装置である可能性があるので、第2のサービスプロバイダ16の信頼できるドメインは示されていない。サービスプロバイダ14、16は、信頼できる及び信頼できないユーザ装置間の、すなわちより具体的には、サービスプロバイダと通信するためにそれらの装置によって用いられるアクセスポイント間の通信を同時にサポートするように構成することができる。ユーザ装置12が第1の位置22にあるとき、ケーブルモデム30及び/又はCMT32がアクセスポイントとして機能し、ユーザ装置12が第2の位置24にあるとき、無線ルータ又は他のゲートウェイ(図示せず)がアクセスポイントとして機能する。第2の位置24のアクセスポイントは、第1のサービスプロバイダ14の信頼できるドメイン38内にないので、第1のサービスプロバイダ14に対しては信頼できないアクセスポイントとみなされる(それは、第2のサービスプロバイダ16に対しては信頼できるアクセスポイントとすることができる)。
本発明は、主に、衛星放送、放送及びケーブルテレビサービスプロバイダと、高速データサービスプロバイダと、電話サービスプロバイダとによって提供されるメディアサービスに対するアクセスをサポートすることについて説明するが、サービスプロバイダからの信号通信に基づくあらゆる種類のメディアサービスによるその利用も十分に意図しており、また、オプションとして、サービスプロバイダが信号を異なる位置に及び異なる種類のユーザ装置に通信できることも意図している。本発明の1つの有益な特徴を示すために、ユーザ装置12及び関連するシグナリングの通信を容易にするために用いられるアクセスポイント(例えば、信頼できる及び信頼できない)の位置に関係なく、ユーザ装置12に対するテレビ番組のIPストリーミングをサポートする限りにおいて、テレビサービスを提供する1つの例示的な具体例について説明する。テレビサービスは、加入者固有サービス、例えばパーソナルビデオ録画(PVR)、プレミアムチャンネル等と、非加入者固有サービス、例えば放送番組、視聴者制作番組等とを含むことができる。
テレビジョン信号のストリーミングは、ケーブルベースの通信システムの場合、CMT32によって、あるいは衛星放送、高速データ及び電話ベースのサービスプロバイダシステム構成の場合には、幾つかの他の類似した装置によってサポートすることができる。プロバイダ14は、テレビ番組、予め録画されたビデオ(VOD、PVR等)及び他のメディアコンテンツ(ビデオゲーム、ウェブページ等)をサポートするサーバ、ヘッドエンドユニット又は他の装置を含むことができ、それらをCMT32に供給し、その後、CMT32は、パッケージ化して、1つ以上のアクセスポイント(ゲートウェイ)に伝送する。2009年12月31日に出願された米国特許出願番号第12/650,664号には、ケーブルモデムと、あるいはCMT及びローカルのユーザ装置間のメッセージ通信をサポートするように構成された他のネットワークアクセス部との信頼状態に基づいて、ゼロサインオンを容易にする同様のシステムが開示されており、その開示は、引用することにより、本願に完全に援用される。
プロビジョニングデータベース42は、第1のサービスプロバイダ14に関連させ、信頼できるドメイン38に含まれるようにして、ユーザ装置12が入手及び/又は購入できるメディアサービスの規則を容易にすることができる。プロビジョニングデータベース42は、加入者によって料金が支払われるサービスのレベル又はサービスの種類に関する情報を含むことができる。また、プロビジョニングデータベース42は、ケーブルモデム30に関連したクライアントアプリケーションに割り当てられたIPアドレスのリストを保持することができ、例えば、加入者が複数のユーザ装置をそのケーブルモデムに接続することを認める場合、彼らのユーザ装置のそれぞれには、対応するCMT32のサブネット内の固有のIPアドレスを割り当てることができる。オプションとして、割り当てられたIPアドレスのそれぞれは、IPアドレスを特定のケーブルモデム30及び/又は加入者と関連させるのを容易にするために、サポートケーブルモデム30に割り当てられたMACアドレスと結び付けることができる。
第1の位置22は、DOCSISベースの通信をサポートするように示しているが、本発明は、そのように限定することを意図しておらず、サービスプロバイダ14、16が、携帯電話機又は他の有線/無線電話機に関する通信を含む他のあらゆる種類の通信を仮想的にサポートするように構成されることを十分に意図している。サービスプロバイダ14、16は、あらゆる種類の電子メディア又はメディアサービス/コンテンツに仮想的にアクセスすることを容易にするように構成することができる。加入者は、コンテンツにアクセスしたいとき、サービスプロバイダ14、16からそれを要求するように、クライアントアプリケーションに命じることができる。サービスプロバイダ14、16は、信頼できる又は信頼できないアクセスポイントのどちらかを介してコンテンツにアクセスすることを許可する前に、ユーザ装置12及び/又はそれらの加入者を認証することを要求することができ、そして、彼らが、要求したアクセスを許可されているかどうか確認することができる。
図2は、本発明の1つの限定されない特徴によって意図されるゼロサインオンを容易にするために交換することができるメッセージのメッセージ交換図50を示す。サービスプロバイダ14は、ユーザ装置12からの要求を認証するために、認証要求をクライアントアプリケーションに送信し、クライアントアプリケーションは、認証要求をアイデンティティプロバイダ(IdP)40に転送し、サービスプロバイダ14は、加入者が認証されていることを示すアサーションを含む応答を待つことができる。また、応答は、幾つかの認証情報を含むことができる。IdP40は、サービスプロバイダ14の信頼できるドメイン38内の及び/又は信頼できる第三者機関(図示せず)を有する集中加入者認証実体であってもよい。IdP40は、サービスプロバイダ14によって要求されたとき、加入者を認証して、コンテンツアクセス決定を行うのに用いることができるアサーショントークンを、サービスプロバイダ14に供給することができる。IdP40は、DHCPサーバ43によって用いられるIPサブネットで構成され、IPアドレスを、MOSの信頼できるドメイン/ネットワーク内のクライアントアプリケーションに割り当てることができる。
サービスプロバイダ14は、加入者のIdP40を知らない場合、それを加入者に催促することができる。サービスプロバイダ14は、加入者が認証された後、更なる認証データを必要とする場合、要求を、MOSの認証サーバ(図示せず)に直接発行することができる。サービスプロバイダ14は、どこにでも、例えば第1及び第2の位置20、22に位置することができる。それは、MSOのネットワークのバックエンドに又はゲートウェイ装置(IPS)に位置することができる。また、それは、外部ウェブサイトに位置することができる。サービスプロバイダ14は、クライアントアプリケーションが接続してサービス/コンテンツを要求するどこにでも位置するとみなすことができる。
本発明の1つの限定されない特徴は、ログインするためにユーザ名及びパスワードを入力する必要がなく、異なるウェブサイト(MSO及びベンダ)のサービス及びコンテンツにアクセスする加入者のゼロサインオンを可能にすることを意図している。これは、ケーブルネットワーク又はサービスプロバイダ14に関連した他の種類のネットワークの既存のセキュリティインフラストラクチュアを活用することによって、行われる。クライアントアプリケーションがサービスプロバイダ14からコンテンツを要求したとき、要求は、認証のためにIdP40に転送することができる。IdP40は、クライアントアプリケーションから転送されてきた認証要求を受信したとき、IPソースアドレス(例えば、アクセスポイントによって割り当てられたIPアドレス指定)がクライアント装置12用のMSOのIPアドレスサブネット内(例えば、その信頼できるドメイン38内)にあるかを確認することができる。
IPソースアドレスが信頼できるドメイン38内にある場合、IdP40は、プロビジョニングシステム42に、IPソースアドレスを用いて加入者情報IDを問い合わせる。そして、IdP40は、アサーション応答を生成して、サービスプロバイダ14に送信することができる。重要なことは、この認証は、加入者に、認証情報(ユーザ名及びパスワード)を催促することなく、行うことができる。サービスプロバイダ14は、アサーショントークンを検証した後、クライアントアプリケーションがコンテンツにアクセスすることを許可することができる。IdP40は、転送されてきた認証要求がMSOのネットワークから来ていなかった場合、クライアントアプリケーションが有効なセキュリティコンテキストを有しない限り、加入者に、彼らの認証情報(ユーザ名、パスワード)を用いて認証することを要求することになる。
IdP40は、ゼロサインオンを用いてクライアントアプリケーションを認証した後、クライアントアプリケーションとの間に認証セッション、すなわちセキュリティコンテキストを確立することができ、期限付きトークン、すなわちクッキーを生成し、クッキーはクライアントアプリケーションに保存される。サービスプロバイダ(あらゆるSP)は、クライアントアプリケーションに、認証のための要求を再度IdP40に転送させたとき、IdP40は、クッキーがまだ有効な(期限切れでない)場合、加入者に催促する必要がなく、即座に、認証アサーションによって応答することができる。オプションとして、クライアントアプリケーションは、有効な認証セッションクッキーを有している限り、IdP40と同じ信頼の環にあるあらゆるサービスプロバイダ14、16に接続することができ、その加入者に、認証情報によってログインすることを要求する必要はない。これは、用いるアクセスネットワークから独立しており、それは、加入者が、彼らのクライアントアプリケーションをケーブルネットワークから他のアクセスネットワークに移動して、異なるドメインのサービスプロバイダ16に接続し、依然としてゼロサインオン機能を享受し続けることができることを、意味する。
IdP40は、適切なアサーション応答を生成するために、クライアントアプリケーションのIPソースアドレスを用いて、加入者情報をプロビジョニングシステム42に問い合わせる。図3は、本発明の1つの限定されない特徴に基づいて、IPソースアドレスに関連した加入者を判定するメッセージ交換図60を示す。クライアントアプリケーションがIPアドレスを要求したとき、CMT32は、サービスプロバイダ14が知っていて信頼できる加入者のケーブルモデム30のMACアドレスを要求に挿入した後、要求をDHCPサーバ43に転送する。DHCPサーバ43は、IPアドレスをクライアントアプリケーションに割り当てた後、プロビジョニングシステム42に通知し、どのケーブルモデム30のMACアドレスに関連するかを示すことができる。また、DHCPサーバ43は、IPアドレスが所定のケーブルモデムのMACアドレスに関連しなくなる(期限切れになる又は他の装置に割り当てられる)ときを、プロビジョニングシステム42に通知することができる。したがって、プロビジョニングシステム42は、加入者のケーブルモデムのMACアドレスに関連したクライアントアプリケーションIPソースアドレスのマッピングを生成することができる。
一旦クッキーが期限切れになると、クライアントアプリケーションは、再認証される必要があるが、その認証は、クライアントアプリケーションが再びケーブルネットワークに接続されたときに、自動的に行うことができる(ゼロサインオン)。クッキーが期限切れになる前に、クライアントアプリケーションがケーブルネットワークに接続することができない場合、IdP40は、加入者に、認証セッショントークン(シングルサインオン)を再開する認証情報(ユーザ名及びパスワード)を催促することができる。クッキーは、リフレッシュされる必要がある前に、特定の期間、例えば1日、1週間、1ヶ月間、6ヶ月間持続するように、プロビジョニングすることができる。クッキーをこのように用いることにより、加入者がサインオンする必要がなく、メディアにその期間アクセスするために加入者によって用いられるウェブサイト又は他のサービスプロバイダポータルに対するゼロサインオンアクセスを容易にすることができる。クッキーは、ユーザ装置12のコンピュータで読取り可能なメディアに保存することができ、ユーザ装置12を持ったあらゆるユーザは、対応するメディアサービスに対するアクセスを受信することができる。
本発明の1つの限定されない特徴は、ユーザ装置12に保存されているセキュリティ認証情報(例えば、トークン、クッキー等)を、むしろ証明書を保存することによって、強化することを意図している。証明書は、ユーザ名及びパスワードの認証情報よりも強固である。パスワードは、余りにも単純で、ハッカーは簡単に推測することができ、すなわち辞書攻撃に脆弱である。また、それらは、友人と共有することができ、結果として、サービスに対する無許可アクセスとなる。デジタル証明書は、これらの脆弱性の対象とはならず、高いレベルの加入者認証を提供する。加入者は、一旦、彼らの装置にデジタル証明書をインストールすると、ユーザ名及びパスワードの代わりに、デジタル証明書を用いて、加入者を認証できるので、また、ゼロサインオンを体験することができる。
加入者デジタル証明書による1つの課題は、それらを安全な方法で加入者の装置12にインストールすることである。1つの方法は、加入者に、証明書マネージャアプリケーションをダウンロード及びインストールさせて、証明書署名要求(CSR)を生成し、それを証明書発行サーバに送信することである。証明書発行サーバは、加入者を認証する必要があり、その後、証明書を発行することができる。そして、ユーザ名及びパスワードだけを用いた場合は、証明書によって高められた認証強度は失われる。セキュリティは、単に、その最も弱いリンクと同様の強さである。加入者認証のより強い形態は、デジタル証明書の発行を制御することである。
上述したDOCSISネットワーク34又は他の種類のネットワーク(例えば、アクセスポイントとサービスプロバイダ間の携帯電話ネットワーク)を用いて、加入者証明書を発行するのに適した2要素加入者認証をサポートすることができる。証明書発行サーバ(例えば、IdP40、CMT32、あるいは特定のサービスプロバイダ14の信頼できるドメイン38の他の要素)は、以下のステップを行うことによって、2要素加入者認証を実行することができる:1−加入者が有効なユーザ名及びパスワードを有するかを、例えば、加入者にシングルサインオンを実行することを要求することによって、検証する;2−CSR要求がソースIPアドレス、すなわち加入者の認証されたケーブルモデム30に関連したソースIPアドレスを有するかを、例えば以下に説明するアドレス保証手順に基づいて、検証する。これらの検証ステップの両方ともが成功した場合、加入者の認証レベルは、証明書発行サーバが証明書を加入者の装置に対して発行するのに十分な強さとすべきである。
証明書は、加入者の名前、すなわちユーザ装置のユーザ名及びMACアドレス、アクセスポイント、及び/又はCMT32を含むことができる。MACアドレスを含めることにより、証明書が装置間に亘って共有されることを防止するのに役立つことができる。一旦、証明書がユーザ装置12にインストールされると、ユーザ装置12がインターネット上のサービス又はコンテンツにアクセスするとき、ユーザ名及びパスワードを用いることなく、証明書を用いて、ユーザ装置12を自動的に認証することができる。ケーブルラボOLCA仕様は、ケーブルテレビ事業者及びそれらのパートナーが、どのようにSAML連携シングルサインオン認証を用いて、加入者に彼らのケーブルテレビ事業者アカウント認証情報を用いてオンラインでそれらのビデオコンテンツにアクセスすることを許可するかを規定しており、その開示は、引用することにより、本願に完全に援用される。加入者は、通常は、ユーザ名及びパスワードによって認証されるが、証明書を用いて、ゼロサインオンを体験することができる。
加入者が認証のためにケーブルテレビ事業者のサイトに接続するとき、彼らのホームネットワーク上で又は外部ネットワーク上で、ゼロサインオンを、相互に認証されたトランスポート層セキュリティ(TLS)接続によって達成することができる。証明書は、サーバとクライアント間で自動的に交換することができる。証明書の有効性確認が成功した場合、サーバは、SAMLアサーション転送コマンドによって応答し、それは、アサーションの有効性確認及び要求されたコンテンツ/サービスに対するアクセスのために加入者をサービスプロバイダに送り返す。証明書は、高いレベルの認証を与え、したがって、上述したクッキーは、例えば6ヶ月以上毎に1回以下の頻度で更新される必要はない。証明書を更新する必要があるとき、例えば1年の期間の後、証明書マネージャアプリケーションは、証明書発行サーバに接続して、新しい証明書をインストールする。既存の証明書がまだ期限切れでない場合、有効な証明書と、加入者のユーザ名及びパスワードとの両方は、2要素認証に用いることができるので、証明書更新は、ホームネットワーク上又はホームネットワーク外で起こることができる。既存の証明書が期限切れになっている場合、最初の証明書発行で説明したように、2要素認証を証明書発行サーバに供給するために、証明書更新は、ホームネットワーク上で起こる必要がある。
上でサポートしたように、本発明は、信頼認証情報(例えば、クッキー又は証明書)をユーザ装置12に保存して、自動ゼロサインオン認証及びメディアサービスに対するアクセスを容易にするゼロサインオン手順を意図している。図4は、本発明の1つの限定されない特徴に基づいて説明される、クッキー及び証明書の両方を用いたゼロサインオン手順をサポートする方法のフローチャート70を示す。クッキー及び証明書の1つ以上を用いることを説明するが、本発明は、クッキー及び証明書のうちの1つに関連した手順だけに基づく、すなわち単にクッキーだけ又は証明書だけを用いた方が望ましい環境に対する同様のゼロサインオン手順を容易にすることを十分に意図している。
ブロック72において、ユーザ装置は、初めて、あるいはクッキー又は証明書が割り当てられる前に、例えばユーザ装置がまず最初に配置されたときに、アクセスポイントに接続される。アクセスポイントが、例示的な限定されない目的で、1つ以上のユーザ装置との無線通信を容易にするために、ルータ又は他のゲートウェイが接続されるケーブルモデム又は同様のエッジタイプ装置であることについて、主に説明する。しかしながら、アクセスポイントは、例えば装置である必要はなく、特に、それに対する接続が、その事業者によって局所的に制御されるような装置である必要はない。アクセスポイントは、CMT、あるいはサービスプロバイダサポートネットワークの1つに対する他のインタフェースであってもよい。
ユーザ装置がローカル無線ルータに接続し、そして、無線ルータが、ユーザ装置をケーブルモデム及びCMT経由でサービスプロバイダに知らせる例示的な具体例を、特定のシナリオに関するものとして示し、そこでは、意図するゼロサインオンは、加入者のユーザ装置が信頼できるアクセスポイントと信頼できないアクセスポイント間を移動する際に、加入者が連続してサービスにアクセスするのに役立つことができる。これは、主に、ユーザ装置が無線ネットワークを移動する、すなわちそれらが無線ルータによってサポートされる場合に、起こると思われる。もちろん、セルラネットワーク及び/又はブロードキャストネットワークは、アクセスポイントとしてルータを含まなくてもよいが、むしろ他の装置、例えば限定されないが、マクロセル、マイクロセル、ピコセル又はフェムトセルに依存する。本発明は、これらの他の種類のアクセスポイント及び対応する通信媒体に適用されるゼロサインオン手順を完全に意図している。
ブロック74において、接続されたアクセスポイントが信頼できるかを判定する。アクセスポイントは、ユーザ装置がメディアサービスにアクセスしようと試みるサービスプロバイダの信頼できるドメイン内にあるかどうかによって決まる信頼できるかと信頼できないかの1つであるとみなすことができる。この判定は、ユーザ装置に、それがアクセスしようと試みるメディアサービスを識別するように、あるいは一方、サービスが要求されるサービスプロバイダを識別するように要求することができる。信頼性の1つのテストは、メディアサービスにアクセスするために要求した時にユーザ装置に割り当てられたIPアドレスに基づいて行うことができる。IPアドレスが、サービスプロバイダのIPアドレスの信頼できるドメイン内、例えばサービスプロバイダの信頼できるCMTの1つのIPサブネット内にある場合、アクセスポイントは信頼でき、そうでない場合は、信頼できないとみなすことができる。
ユーザ装置を、信頼できないアクセスポイントを介した信頼認証情報(すなわち、クッキー及び/又は証明書の一方又は両方)によって最初にプロビジョニングすることは望ましくない場合があるので、アクセスポイントが信頼できない場合、ブロック72に戻ることになる。オプションとして、ブロック76において、ユーザに、サインオン動作によって彼らのユーザ名及びパスワードを入力することにより、要求したメディアサービスにアクセスする選択肢が与えられる。そして、ユーザ名及びパスワードが検証された場合、ユーザは、信頼認証情報によってプロビジョニングされる前に、正当にメディアサービスにアクセスすることができる。
ブロック78において、アクセスポイントを信頼して、サインオン動作が実行された場所を判定する。サインオン動作は、オプションのステップであってもよく、そこでは、加入者は、信頼認証情報としてのクッキー及び/又は証明書によって、ユーザ装置をプロビジョニングするかどうかを判断する。オプションとして、加入者に判断することを許可するのではなく、サービスプロバイダは、加入者にサインオンを強制することができるという点において、特定の動作を要求することができ、及び/又はサービスプロバイダは、クッキープロビジョニングを、例えば加入者契約義務及び/又は加入者の振る舞いに基づいて、自動的に強制することができる(例えば、加入者及びユーザ装置が不適切と思われる動作を行っている又は行っていた場合、より安全な及び長期に亘る証明書のプロビジョニングを妨げることができる)。
ブロック80、82において、クッキー及び証明書の一方又は両方によって、ユーザ装置をプロビジョニングする。証明書は、その伝送のセキュリティを上げるために、帯域内信号を介する又はサーバプロバイダの信頼できるドメインの専用の部分を介するアクセスポイントへの伝送を要求することができる。クッキーは、同様の方法で伝送することができ、及び/又はクッキーは、そのセキュリティが余り重要でないので、帯域外信号を介して又はインターネット上を伝送することができ、例えば、クッキーは、セキュアソケットレイヤ(SSL)パイプを介して伝送することができる。帯域内信号は、既知のエンドポイント間で起こり、SSLパイプは必要でないので、SSLパイプは、帯域内信号よりも安全性が低い。
ゼロログオン方法の上述の部分は、クッキー及び証明書の一方又は両方を保存するようにユーザ装置をプロビジョニングするという点で、概してプロビジョニング段階と称することができる。しかしながら、例えば購入又はインストール(好ましくは、サービスプロバイダの許可された信頼できる代理人によるインストール)のときに、既に、信頼認証情報によって、ユーザ装置がプロビジョニングされている場合、この段階は、オプションであり、避けることができる。フローチャートの次の部分は、概して認証段階と称することができ、そこでは、ユーザ装置は、場合によってはゼロログオン動作によって認証され、保存した信頼認証情報に基づいて、メディアサービスにアクセスする。
ブロック84において、ユーザ装置からのメディアサービスの要求を判定する。この判定は、ユーザ装置をアクセスポイントに接続することに関するブロック72における上述した判定と同じであってもよい。ブロック84は、認証段階の始まりを説明するために簡単に示しているが、十分な判定が既に行われている場合は、スキップすることができる。ブロック84は、メディアサービスにアクセスする要求の発行があり次第、例えばユーザ装置が、特定のサービスプロバイダからコンテンツを要求するために、ウェブサイトにアクセスした場合に起動することができる。また、他の起動事象は、ユーザ装置を認証する必要があるかを判定することと等価であってもよく、例えばユーザ装置の電源「オン」、電話番号をダイアルするときの「送信」の入力(例えば、セルラアクセスの認証のために)等であってもよい。
ブロック86において、メディアサービスに対するアクセスを要求した時点でユーザ装置が用いたアクセスポイントが、信頼できるアクセスポイントであるかどうかを判定する。アクセスポイントが信頼できるかどうかの判定は、ここに十分に説明されており、既にブロック74で判定されている場合には、それに応じてブロック86をスキップすることができる。ブロック88において、信頼できる/信頼できないの判定を用いて、ゼロログオンを容易にするために信頼認証情報が必要であるかどうかを区別する。さらに以下で詳細に説明するように、本発明の1つの限定されない特徴は、信頼認証情報に依存することなく、例えばアクセスポイントの信頼できる状態に基づいて、ゼロログオンを容易にすることを意図している。
ブロック88において、アクセスポイントは信頼できるかどうかを判定する。これは、例えば、ユーザ装置に関連した加入者、すなわちユーザ装置の所有者本人と認証された者のホームのアクセスポイントに、ユーザ装置が接続した場合、及び/又はアクセスポイントがユーザ装置の所有者以外の誰かに関連するとともに、対応するアクセスポイントが依然としてサービスプロバイダの信頼できるドメイン内にある他のホーム又は他の位置に、そのユーザ装置が位置する場合、例えば、加入者がユーザ装置を仲間のところに持って行き、仲間のアクセスポイントに接続した場合に、起こることがある。
また、ブロック88において、ユーザ装置に保存されている信頼認証情報がクッキー及び/又は認証情報であるかどうかに応じて、認証段階の次の段階を区別する。両方の種類の信頼認証情報がユーザ装置に保存されている場合、どちらかの一方、例えば最も安全でありそうな証明書を、ユーザによって手動で、あるいは自動的に用いられるクライアントアプリケーションによって自動的に選択することができる。しかしながら、オプションとして、特定のアクセスポイント及び/又はメディアサービスは、用いる信頼認証情報を指示することができ、例えば、特定のウェブサイトは、証明書よりもクッキーを用いることをより促進する場合がある。
ブロック90において、証明書ベースのゼロログオン動作を実行して、ユーザ装置は、認証され、そこに保存されている証明書に関連したメディアサービスにアクセスする。複数の証明書が保存されている場合、例えばユーザ装置が異なる加入者によって用いられる場合、ユーザ装置は、ゼロログオン機能を維持するためにユーザとの対話処理を必要とせず、例えばユーザ装置の現在及び過去の動作特性及び性能によって定まるように、ユーザのアイデンティティに対応した証明書を選択することによって、証明書を自動的に選択するように構成することができ、すなわち、クライアントアプリケーションは、ユーザが情報を入力する必要がなく、ユーザを識別することができ、そのユーザに関連した証明書を自動的に選択することができる。
ブロック92において、クッキーベースのゼロログオン動作を実行して、ユーザ装置は、認証され、そこに保存されているクッキーに関連したメディアサービスにアクセスする。複数のクッキーが保存されている場合、例えばユーザ装置が異なる加入者によって用いられる場合、ユーザ装置は、ゼロログオン機能を維持するためにユーザとの対話処理を必要とせず、例えばユーザ装置の現在及び過去の動作特性及び性能によって定まるように、ユーザのアイデンティティに対応したクッキーを選択することによって、クッキーを自動的に選択するように構成することができ、すなわち、クライアントアプリケーションは、ユーザが情報を入力する必要がなく、ユーザを識別することができ、そのユーザに関連したクッキーを自動的に選択することができる。
オプションとして、クッキーは、比較的小さなデータ量を有する場合があり、あるいはそうでない場合、メディアサービスに関するユーザ及び/又はユーザの資格を特に識別するように構成されていない。これは、多数のユーザのクッキーを分類するために必要とされる処理要求及び/又はバックエンド動作を良くするためになされている可能性がある。むしろ、クッキーは、ユーザ装置のような信頼できる実体を示すために単に用いることができ、それは、たとえ特に検証されていないとしても、クッキーを有していれば、信頼できるとみなされる。
オプションとして、サービスプロバイダが、ユーザ装置がその信頼性の十分な証拠として信頼できるアクセスポイントに接続されているという事実を進んで受け入れる場合、ブロック92におけるクッキーの使用は省略することができる。このシナリオを用いて、同じ種類のコンテンツに対する全てのホームアクセスを容易にすることができ、例えば伝統的なテレビ放送シナリオにおいて、家庭内の全てのテレビジョン受像機は、アクセスポイントに接続することが許可されたあらゆる装置に対する同じコンテンツにアクセスすることができる。更なるオプションとして、例えば同じ家庭内の全てのテレビジョン受像機では利用できない特定のテレビジョン信号にアクセするためには、STB又はDVRが必要であるのと同じように、クッキーに少なくとも部分的に基づいて、特定のメディアサービスにアクセスすることを許可することができる。
クッキーを用いない、あるいは用いたクッキーが自己識別しない、及び/又はユーザ装置及び/又はユーザを識別するために他の動作を実行することを避けることが望ましい場合、例えば、MACアドレスをマッチングすることによって、あるいは幾つかの他のマッピング動作を実行することによって、ユーザ装置に対して認証された資格/メディア許可は、むしろ、アクセスポイントに関連したそれらとすることができる。サービスプロバイダは、請求書送付アドレス及びアクセスポイントに対する他のメディア許可が既に関係付けられている可能性があるので、それらの同じ許可を比較的簡単に、すなわち実行する必要がない余分なMACアドレス又はIPアドレスのマッチングを実行することなく、ユーザ装置に拡大することができる。
ブロック94において、ユーザ装置でクッキーを使用及び/又は保存する場合、クッキーをリフレッシュする。クッキーの有効期限は、リフレッシュを用いて、その最後のプロビジョニングで規定された有効期限を越えて延長することができる。クッキーを比較的高い頻度で及び信頼できるベースで用いるとき、サービスを中断させるよりはむしろ、クッキーは、ゼロログオンの継続性を維持するために、自動的にリフレッシュされるようにしてもよい。これは、同じウェブサイト及び/又はメディアサービスに頻繁にアクセスするユーザのゼロログオン機能を維持するのに役に立つことができる。
ブロック86に戻って、アクセスポイントが信頼できないと判定された場合、ブロック96に進み、信頼認証情報のうちのどれを用いるかを判定する。例えば、ユーザが、ユーザ装置を仲間のホームネットワークに持って行く代わりに、ユーザ装置を、サービスプロバイダの信頼できるドメインの外のWi−Fiホットスポットに持って行った場合、ブロック96に進む。ブロック96において選択する信頼認証情報は、ブロック88における手順と同じ手順で判定することができる。証明書を用いる場合、ブロック90の手順を用いて、メディアサービスに対するアクセスを容易にする。証明書のプロビジョニングは、クッキーよりも制限的な方法で行われるので、比較的信頼できる証明書を考慮すると、アクセスポイントの信頼性の無さを無視することは、サービスプロバイダにとって容認することができる。
ユーザ装置が証明書を含まない場合、あるいは保存されている証明書が認証手順の一部として用いられない場合、ブロック98において、クッキーが有効かどうかを判定する。クッキーは、上述したように、限られた期間は有効とすることができる。クッキーが無効な場合、ブロック100において、メディアサービスに対するアクセスが許可されるように、ユーザにログオン動作を完了することを要求する。クッキーが有効な場合、ブロック102において、ゼロログオンを、例えばブロック92と同じ方法で実行する。オプションとして、アクセスポイントが信頼できるために、クッキーに頼ることなく、ゼロログオンを許可するブロック92とは対照的に、ブロック102において、クッキーを用いて、ゼロログオンを実行することを要求してもよい。アクセスポイントが信頼できなくなった後は、リフレッシュを許可する前の信頼できるアクセスポイントにユーザ装置を接続することを強制するために、ブロック94は省略してもよい。
上述したように、IPソースアドレスを用いて、ゼロログオン機能をサポートすることができる。本発明は、IPアドレスが検証されて、スプーフィングされていない、すなわち改竄されていないことを保証するアドレス保証手順を実行することを意図している。オプションとして、本発明によって意図するゼロログオンは、DOCSISケーブルモデム(アクセスポイント)のMACアドレス及びクライアントアプリケーションのIPソースアドレスに基づくことができる。
ケーブルモデムMACアドレスのスプーフィング又はクローン化は、以下によって阻止することができる:DOCSISBPI+の強制、BPI+は、デジタル証明書を用いて、MACアドレス認証を含めてCMを認証する(DOCSIS3.0は、BPI+強制機能を提供し、その開示は、引用することにより、本願に完全に援用される);MACアドレスドメイン認証、そこにおいて、ケーブルモデムプロビジョニングシステムだけが、ケーブルモデムが許可されたCMTMACアドレスドメインで動作することを許可し、ハッカーがMACアドレスのクローンを作り、それを異なるMACアドレスドメインで使うことを試みる場合、プロビジョニングシステムは、それを阻止する(注:CMTは、同じドメインの複製のMACアドレスを阻止する)。
IPアドレススプーフィングは、以下によって阻止することができる:MSOのクライアントサブネット内のソースIPアドレスを有するMSOの信頼できるドメインの外側(例えば、外部ネットワーク(インターネット))からのトラフィックを遮断することを要求されるルータ構成(装置が接続されたケーブルモデム/アクセスポイント);ソースアドレス検証、そこでは、MSOのネットワーク上のクライアントアプリケーションは、MSOのプロビジョニングシステム(DOCSIS3.0は、この機能を提供する)によって割り当てられたIPアドレスだけを使うことができる。
上述では例示的な実施の形態を説明したが、これらの実施の形態が発明の全ての可能な形態を表しているものではない。むしろ、明細書で用いた文言は、限定するのではなくむしろ説明の文言であり、発明の精神と範囲から逸脱することなく、様々に変更できるものである。さらに、実施の形態を実現する様々な特徴を組み合わせて、発明の更なる実施の形態を形成することができる。

Claims (20)

  1. メディアサービスに対するゼロログオンアクセスを容易にする方法であって、
    ユーザ装置のメディアサービス許可を規定した信頼認証情報を、該ユーザ装置上で動作するクライアントアプリケーションに提供するステップと、
    上記信頼認証情報で規定されたメディアサービス許可に基づいて、メディアサービスに対する上記ユーザ装置のゼロログオンアクセスを許可するステップと
    を含む方法。
  2. 上記ユーザ装置のアクセスポイントが信頼できる場合、メディアサービス許可の第1の段階に対するアクセスを容易にするように、上記信頼認証情報を構成するステップと、
    上記ユーザ装置のアクセスポイントが信頼できない場合、メディアサービス許可の第2の段階に対するアクセスを容易にするように、上記信頼認証情報を構成するステップと
    をさらに含む請求項1記載の方法。
  3. 加入者固有のサービスに対応する上記メディアサービス許可の第1の段階と、非加入者固有のサービスに対応する上記メディアサービス許可の第2の段階とをさらに含む請求項2記載の方法。
  4. 上記アクセスポイントを介して提供される上記ユーザ装置のIPアドレスがIPアドレスの信頼できるドメイン内にある場合、上記アクセスポイントを信頼できると判定するステップと、
    上記アクセスポイントを介して提供される上記ユーザ装置のIPアドレスがIPアドレスの信頼できないドメイン内にある場合、上記アクセスポイントを信頼できないと判定するステップと
    をさらに含む請求項2記載の方法。
  5. 上記メディアサービス許可を、上記アクセスポイントに関連した加入者に関連付けるステップをさらに含む請求項1記載の方法。
  6. 上記ユーザ装置に関連した加入者とは異なる上記アクセスポイントに関連した加入者のメディアサービス許可をさらに含む請求項5記載の方法。
  7. 上記メディアサービス許可を、上記ユーザ装置に関連した加入者に関連付けるステップをさらに含む請求項1記載の方法。
  8. 上記信頼認証情報を、上記ユーザ装置のコンピュータで読取り可能な媒体に保存されているクッキーとして構成するステップをさらに含む請求項1記載の方法。
  9. メディアサービスに対するゼロログオンアクセスを継続するために、期間毎に1回だけ上記クッキーのリフレッシュを要求するステップをさらに含み、上記期間は、6ヶ月未満である請求項8記載の方法。
  10. 上記信頼認証情報を、上記ユーザ装置のコンピュータで読取り可能な媒体に保存されている証明書として構成するステップをさらに含む請求項1記載の方法。
  11. メディアサービスに対するゼロログオンアクセスを継続するために、期間毎に1回だけ上記証明書のリフレッシュを要求するステップをさらに含み、上記期間は、6ヵ月よりも長い請求項10記載の方法。
  12. メディアサービスに対するゼロログオンアクセスを容易にする方法であって、
    ユーザ装置がそれを介して上記メディアサービスにアクセスすることを望むアクセスポイントが、信頼できる及び信頼できないのどちらかの1つであるかを判定するステップと、
    上記アクセスポイントが信頼できる場合、上記メディアサービスに対するゼロログオンアクセスを許可するステップと、
    上記アクセスポイントが信頼できない場合、上記ユーザ装置上に保存されている信頼認証情報が、有効及び無効のどちらかの1つであるかを判定するステップと、
    i.上記信頼認証情報が有効な場合、上記メディアサービスに対するゼロログオンアクセスを許可するステップと、
    ii.上記信頼認証情報が無効な場合、上記メディアサービスに対するログオンアクセスを要求するステップと
    を含む方法。
  13. 上記信頼認証情報で規定されたメディア許可に対するゼロログオンアクセスを制限するステップをさらに含む請求項12記載の方法。
  14. 上記メディア許可を、上記アクセスポイントに関連した加入者に関連付けるステップをさらに含む請求項13記載の方法。
  15. 上記メディア許可を、上記ユーザ装置に関連した加入者に関連付けるステップをさらに含む請求項13記載の方法。
  16. 上記アクセスポイントを介して提供される上記ユーザ装置のIPアドレスがIPアドレスの信頼できるドメイン内にある場合、上記アクセスポイントを信頼できると判定するステップと、
    上記アクセスポイントを介して提供される上記ユーザ装置のIPアドレスがIPアドレスの信頼できないドメイン内にある場合、上記アクセスポイントを信頼できないと判定するステップと
    をさらに含む請求項12記載の方法。
  17. メディアサービスに対するユーザ装置のゼロログオンアクセスを容易にする方法であって、
    上記ユーザ装置上に保存されている信頼認証情報が、第1の種類及び第2の種類のどちらかの1つであるかを判定するステップと、
    上記信頼認証情報が上記第1の種類である場合、上記メディアサービスの第1の段階に対するゼロログオンアクセスを許可するステップと、
    上記信頼認証情報が上記第2の種類である場合、上記メディアサービスの第2の段階に対するゼロログオンアクセスを許可するステップと
    を含む方法。
  18. 上記ユーザ装置に関連したユーザ名及びパスワードが検証されていない場合、上記信頼認証情報を上記第1の種類であると判定するステップと、
    上記ユーザ装置に関連したユーザ名及びパスワードが検証されている場合、上記信頼認証情報を上記第2の種類であると判定するステップと
    をさらに含む請求項17記載の方法。
  19. メディアサービスの上記第1の段階を上記ユーザ装置のアクセスポイントに関連付けるステップと、
    メディアサービスの上記第2の段階を上記ユーザ装置に関連付けるステップと
    をさらに含む請求項17記載の方法。
  20. 上記ユーザ装置のアクセスポイントが信頼できない場合、上記第1及び第2の段階のそれぞれの下で利用できるメディアサービスをさらに制限するステップをさらに含む請求項17記載の方法。
JP2014518942A 2011-06-30 2012-06-27 ゼロサインオン認証 Active JP5736511B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/173,630 US8955078B2 (en) 2011-06-30 2011-06-30 Zero sign-on authentication
US13/173,630 2011-06-30
PCT/US2012/044328 WO2013003419A1 (en) 2011-06-30 2012-06-27 Zero sign-on authentication

Publications (3)

Publication Number Publication Date
JP2014521146A true JP2014521146A (ja) 2014-08-25
JP2014521146A5 JP2014521146A5 (ja) 2014-12-11
JP5736511B2 JP5736511B2 (ja) 2015-06-17

Family

ID=47392124

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014518942A Active JP5736511B2 (ja) 2011-06-30 2012-06-27 ゼロサインオン認証

Country Status (6)

Country Link
US (4) US8955078B2 (ja)
JP (1) JP5736511B2 (ja)
CA (1) CA2840205C (ja)
DE (1) DE112012002729T5 (ja)
GB (1) GB2506066B (ja)
WO (1) WO2013003419A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017083945A (ja) * 2015-10-23 2017-05-18 ビッグローブ株式会社 認証システム、認証方法およびプログラム
JP2020096275A (ja) * 2018-12-12 2020-06-18 コネクトフリー株式会社 情報通信方法及び情報通信システム

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8776214B1 (en) 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
US8955078B2 (en) 2011-06-30 2015-02-10 Cable Television Laboratories, Inc. Zero sign-on authentication
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US9767262B1 (en) 2011-07-29 2017-09-19 Amazon Technologies, Inc. Managing security credentials
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US8955065B2 (en) 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
US9621403B1 (en) * 2012-03-05 2017-04-11 Google Inc. Installing network certificates on a client computing device
US9154568B2 (en) * 2012-03-20 2015-10-06 Facebook, Inc. Proxy bypass login for applications on mobile devices
US9672574B2 (en) 2012-03-20 2017-06-06 Facebook, Inc. Bypass login for applications on mobile devices
US9369458B2 (en) * 2012-05-18 2016-06-14 Red Hat, Inc. Web-centric authentication protocol
EP2926527B1 (en) * 2012-11-30 2016-06-22 Entersekt International Limited Virtual smartcard authentication
US10200351B2 (en) * 2013-03-14 2019-02-05 Google Llc System for managing remote software applications
DE112013007099T5 (de) * 2013-05-23 2016-02-11 Mitsubishi Electric Corporation Relais-Vorrichtung, Verfahren zum Auswählen eines Kommunikationsverfahrens und Programm
US9590884B2 (en) * 2013-07-03 2017-03-07 Facebook, Inc. Native application hotspot
US9154955B1 (en) 2013-07-08 2015-10-06 Sprint Communications Company L.P. Authenticated delivery of premium communication services to trusted devices over an untrusted network
US9154949B1 (en) 2013-07-08 2015-10-06 Sprint Communications Company L.P. Authenticated delivery of premium communication services to untrusted devices over an untrusted network
CN103475998A (zh) * 2013-08-30 2013-12-25 北京智谷睿拓技术服务有限公司 无线网络服务提供方法及系统
EP2852118B1 (en) * 2013-09-23 2018-12-26 Deutsche Telekom AG Method for an enhanced authentication and/or an enhanced identification of a secure element located in a communication device, especially a user equipment
US9319419B2 (en) * 2013-09-26 2016-04-19 Wave Systems Corp. Device identification scoring
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
US9560524B1 (en) * 2013-12-03 2017-01-31 Sprint Communications Company L.P. Wireless network application access by a wireless communication device via an untrusted access node
GB2523331A (en) * 2014-02-20 2015-08-26 Ibm Attribute-based access control
US9319407B1 (en) * 2014-04-18 2016-04-19 Sprint Communications Company L.P. Authentication extension to untrusted devices on an untrusted network
CN109951436B (zh) * 2014-10-24 2021-04-27 创新先进技术有限公司 一种可信终端验证方法、装置
US10148792B1 (en) * 2015-05-20 2018-12-04 Network Advertising Initiative Inc. Opt-out enforcement for systems using non-cookie browser identification
US9912635B2 (en) * 2015-07-24 2018-03-06 Aruba Networks, Inc. Auto provisioning of bulk access points
US20170111364A1 (en) * 2015-10-14 2017-04-20 Uber Technologies, Inc. Determining fraudulent user accounts using contact information
US10305885B2 (en) 2016-03-03 2019-05-28 Blackberry Limited Accessing enterprise resources using provisioned certificates
US10637872B2 (en) 2017-02-23 2020-04-28 Synamedia Limited Behavior-based authentication
US11190501B2 (en) 2017-08-22 2021-11-30 Terawe Corporation Hybrid single sign-on for software applications and services using classic and modern identity providers
EP3546156B1 (en) 2018-03-30 2021-03-10 The Gillette Company LLC Razor handle with a pivoting portion
EP3562189B1 (en) 2018-04-23 2020-12-09 Spotify AB Association via broadcast
US20200053095A1 (en) * 2018-08-07 2020-02-13 Comcast Cable Communications, Llc Systems And Methods For Managing Access Control
US10733473B2 (en) 2018-09-20 2020-08-04 Uber Technologies Inc. Object verification for a network-based service
US10999299B2 (en) 2018-10-09 2021-05-04 Uber Technologies, Inc. Location-spoofing detection system for a network service
US11122029B2 (en) * 2019-01-11 2021-09-14 Citrix Systems, Inc. Secure cloud computing
US11540130B2 (en) 2019-02-04 2022-12-27 802 Secure, Inc. Zero trust wireless monitoring-system and method for behavior based monitoring of radio frequency environments
US11422912B2 (en) 2019-04-19 2022-08-23 Vmware, Inc. Accurate time estimates for operations performed on an SDDC
US11330441B2 (en) * 2019-05-14 2022-05-10 T-Mobile Usa, Inc. Systems and methods for remote device security attestation and manipulation detection
US11424940B2 (en) * 2019-06-01 2022-08-23 Vmware, Inc. Standalone tool for certificate management
US11503012B1 (en) * 2019-06-28 2022-11-15 Amazon Technologies, Inc. Client authentication using a client certificate-based identity provider
CN111431870B (zh) * 2020-03-10 2022-05-03 北京声智科技有限公司 一种设备登录方法及装置
US11140148B1 (en) * 2020-03-30 2021-10-05 Konica Minolta Business Solution U.S.A., Inc. Method and system for instant single sign-on workflows
US11811679B2 (en) 2020-06-25 2023-11-07 Oracle International Corporation Stacked identities for resource principals
US11757636B2 (en) 2020-06-25 2023-09-12 Oracle International Corporation Access control for short-lived resource principals
US11418343B2 (en) * 2020-06-25 2022-08-16 Oracle International Corporation Access control for long-lived resource principals
JP7353661B2 (ja) 2021-12-27 2023-10-02 株式会社制御システム研究所 電子証明書の組み込み方法及び電子証明書の組み込みシステム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005269288A (ja) * 2004-03-19 2005-09-29 Hitachi Ltd コンテンツ送信装置、コンテンツ受信装置およびコンテンツ伝送方法
JP2008015696A (ja) * 2006-07-04 2008-01-24 Softbank Mobile Corp 認証方法、移動通信端末装置、ドメインシステム、ホームドメインシステム及び認証システム
JP2008021297A (ja) * 2006-06-12 2008-01-31 Sharp Corp コンテンツ配信システム、及び、携帯端末
JP2009225074A (ja) * 2008-03-17 2009-10-01 Hitachi Ltd コンテンツ送信装置、コンテンツ受信装置
JP2010268174A (ja) * 2009-05-14 2010-11-25 Hitachi Ltd コンテンツ送信装置及びコンテンツ受信装置

Family Cites Families (54)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU734533B2 (en) * 1997-06-25 2001-06-14 Inforonics, Inc. Apparatus and method for identifying clients accessing network sites
US5991878A (en) * 1997-09-08 1999-11-23 Fmr Corp. Controlling access to information
US7058600B1 (en) * 1997-09-26 2006-06-06 Mci, Inc. Integrated proxy interface for web based data management reports
US6490620B1 (en) * 1997-09-26 2002-12-03 Worldcom, Inc. Integrated proxy interface for web based broadband telecommunications management
US6286038B1 (en) * 1998-08-03 2001-09-04 Nortel Networks Limited Method and apparatus for remotely configuring a network device
US6442588B1 (en) * 1998-08-20 2002-08-27 At&T Corp. Method of administering a dynamic filtering firewall
US20020186249A1 (en) * 1999-10-28 2002-12-12 Qi Lu Method and system of facilitating automatic login to a web site using an internet browser
AU2001247295A1 (en) * 2000-03-07 2001-09-17 General Instrument Corporation Authenticated dynamic address assignment
CA2327078C (en) * 2000-11-30 2005-01-11 Ibm Canada Limited-Ibm Canada Limitee Secure session management and authentication for web sites
US7325246B1 (en) * 2002-01-07 2008-01-29 Cisco Technology, Inc. Enhanced trust relationship in an IEEE 802.1x network
US6973086B2 (en) * 2002-01-28 2005-12-06 Nokia Corporation Method and system for securing mobile IPv6 home address option using ingress filtering
US20030217150A1 (en) * 2002-03-01 2003-11-20 Roese John J. Location based enhanced routing
US7761703B2 (en) * 2002-03-20 2010-07-20 Research In Motion Limited System and method for checking digital certificate status
US7752329B1 (en) * 2002-10-31 2010-07-06 Aol Inc. Migrating configuration information based on user identity information
US8260941B2 (en) * 2002-12-20 2012-09-04 Time Warner Cable, Inc. System and method for detecting and reporting cable modems with duplicate media access control addresses
US7533158B2 (en) * 2003-01-17 2009-05-12 At&T Intellectual Property I, L.P. System and method for handling digital content delivery to portable devices
GB0311621D0 (en) * 2003-05-20 2003-06-25 Nokia Corp A system for crytographical authentication
JP2004355073A (ja) * 2003-05-27 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> ネットワーク認証とシングルサインオンの一括認証方法及びシステム
US7346344B2 (en) * 2003-05-30 2008-03-18 Aol Llc, A Delaware Limited Liability Company Identity-based wireless device configuration
US8555344B1 (en) * 2003-06-05 2013-10-08 Mcafee, Inc. Methods and systems for fallback modes of operation within wireless computer networks
US7499548B2 (en) * 2003-06-24 2009-03-03 Intel Corporation Terminal authentication in a wireless network
JP4425859B2 (ja) * 2003-07-11 2010-03-03 日本電信電話株式会社 アドレスに基づく認証システム、その装置およびプログラム
US7346923B2 (en) * 2003-11-21 2008-03-18 International Business Machines Corporation Federated identity management within a distributed portal server
US7636941B2 (en) 2004-03-10 2009-12-22 Microsoft Corporation Cross-domain authentication
US8325625B2 (en) * 2004-03-23 2012-12-04 Smith Micro Software, Inc. Method and system for automatic data transfer on a network-connected device
US20050239445A1 (en) * 2004-04-16 2005-10-27 Jeyhan Karaoguz Method and system for providing registration, authentication and access via broadband access gateway
US8261070B2 (en) * 2004-04-23 2012-09-04 The Boeing Company Authentication of untrusted gateway without disclosure of private information
US20060005032A1 (en) * 2004-06-15 2006-01-05 Adam Cain Method and system for enabling trust-based authorization over a network
JP4671783B2 (ja) 2004-07-20 2011-04-20 株式会社リコー 通信システム
US8010542B2 (en) 2004-09-10 2011-08-30 B2I Technologies, Inc. Apparatus and method for building conjoined computer systems
US7340769B2 (en) * 2005-01-07 2008-03-04 Cisco Technology, Inc. System and method for localizing data and devices
US7624271B2 (en) * 2005-03-24 2009-11-24 Intel Corporation Communications security
US20060230278A1 (en) * 2005-03-30 2006-10-12 Morris Robert P Methods,systems, and computer program products for determining a trust indication associated with access to a communication network
US8553882B2 (en) * 2006-03-16 2013-10-08 Time Warner Cable Enterprises Llc Methods and apparatus for connecting a cable network to other network and/or devices
US7912762B2 (en) 2006-03-31 2011-03-22 Amazon Technologies, Inc. Customizable sign-on service
US20070233899A1 (en) * 2006-04-03 2007-10-04 Aborn Justin A Locating devices
US8151116B2 (en) * 2006-06-09 2012-04-03 Brigham Young University Multi-channel user authentication apparatus system and method
US8332925B2 (en) * 2006-08-08 2012-12-11 A10 Networks, Inc. System and method for distributed multi-processing security gateway
US9301155B2 (en) * 2006-10-23 2016-03-29 T-Mobile Usa, Inc. System and method for managing access point functionality and configuration
KR100795157B1 (ko) * 2006-12-06 2008-01-16 주식회사 조인온 임대된 디지털티브이를 이용한 무선랜 서비스 제공 방법 및그 시스템
EP2037652A3 (en) * 2007-06-19 2009-05-27 Panasonic Corporation Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network
US20110060649A1 (en) * 2008-04-11 2011-03-10 Dunk Craig A Systems, methods and apparatus for providing media content
US8839387B2 (en) * 2009-01-28 2014-09-16 Headwater Partners I Llc Roaming services network and overlay networks
US8428036B2 (en) * 2009-01-22 2013-04-23 Belair Networks Inc. System and method for providing wireless local area networks as a service
JP5538536B2 (ja) * 2009-06-30 2014-07-02 アルカテル−ルーセント Wlan内の移動端末用のローミング方法、関連するアクセス・コントローラ、およびアクセス・ポイント・デバイス
KR20120120955A (ko) * 2010-02-09 2012-11-02 인터디지탈 패튼 홀딩스, 인크 신뢰적인 연합 아이덴티티를 위한 방법 및 장치
US8832207B2 (en) * 2010-06-08 2014-09-09 Motorola Solutions, Inc. Method for identifying client station association in a communication system
US8315896B2 (en) * 2010-07-30 2012-11-20 Aruba Networks, Inc. Network device and method for calculating energy savings based on remote work location
US8898759B2 (en) * 2010-08-24 2014-11-25 Verizon Patent And Licensing Inc. Application registration, authorization, and verification
US8713589B2 (en) * 2010-12-23 2014-04-29 Microsoft Corporation Registration and network access control
KR101328779B1 (ko) * 2010-12-24 2013-11-13 주식회사 팬택 이동 단말기, 서버 및 이를 이용한 정보 제공 방법
CN103493397A (zh) * 2011-06-28 2014-01-01 惠普发展公司,有限责任合伙企业 将客户端与无线局域网中的接入点相关联的方法
US8955078B2 (en) 2011-06-30 2015-02-10 Cable Television Laboratories, Inc. Zero sign-on authentication
CA2880741A1 (en) * 2011-08-02 2013-02-07 Matthew Campbell Patterson System and method for accessing a hub

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005269288A (ja) * 2004-03-19 2005-09-29 Hitachi Ltd コンテンツ送信装置、コンテンツ受信装置およびコンテンツ伝送方法
JP2008021297A (ja) * 2006-06-12 2008-01-31 Sharp Corp コンテンツ配信システム、及び、携帯端末
JP2008015696A (ja) * 2006-07-04 2008-01-24 Softbank Mobile Corp 認証方法、移動通信端末装置、ドメインシステム、ホームドメインシステム及び認証システム
JP2009225074A (ja) * 2008-03-17 2009-10-01 Hitachi Ltd コンテンツ送信装置、コンテンツ受信装置
JP2010268174A (ja) * 2009-05-14 2010-11-25 Hitachi Ltd コンテンツ送信装置及びコンテンツ受信装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017083945A (ja) * 2015-10-23 2017-05-18 ビッグローブ株式会社 認証システム、認証方法およびプログラム
JP2020096275A (ja) * 2018-12-12 2020-06-18 コネクトフリー株式会社 情報通信方法及び情報通信システム

Also Published As

Publication number Publication date
WO2013003419A1 (en) 2013-01-03
US20150172277A1 (en) 2015-06-18
GB2506066A (en) 2014-03-19
US8955078B2 (en) 2015-02-10
GB2506066B (en) 2015-11-11
CA2840205C (en) 2015-05-26
US20220078179A1 (en) 2022-03-10
CA2840205A1 (en) 2013-01-03
US20130007868A1 (en) 2013-01-03
GB201322974D0 (en) 2014-02-12
US20180255050A1 (en) 2018-09-06
JP5736511B2 (ja) 2015-06-17
US9961067B2 (en) 2018-05-01
DE112012002729T5 (de) 2014-03-27
US11178130B2 (en) 2021-11-16

Similar Documents

Publication Publication Date Title
JP5736511B2 (ja) ゼロサインオン認証
US11962826B2 (en) Zero sign-on authentication
US9225706B2 (en) Multiple access point zero sign-on
US11843602B2 (en) Embedded authentication in a service provider network
US8850187B2 (en) Subscriber certificate provisioning
US9413762B2 (en) Asynchronous user permission model for applications
JP2014521146A5 (ja)
US8824372B2 (en) Location based authentication for online services
EP2979420B1 (en) Network system comprising a security management server and a home network, and method for including a device in the network system
US10637850B2 (en) Method and system for accessing service/data of a first network from a second network for service/data access via the second network
US20130086634A1 (en) Grouping Multiple Network Addresses of a Subscriber into a Single Communication Session
US20120106399A1 (en) Identity management system
JP6312325B2 (ja) 無線通信におけるクライアント端末認証システムおよびクライアント端末認証方法
US20150341328A1 (en) Enhanced Multi-Level Authentication For Network Service Delivery
JP2004023166A (ja) モバイル通信サービスシステム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141021

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141021

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20141021

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20141127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150120

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150318

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150407

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150420

R150 Certificate of patent or registration of utility model

Ref document number: 5736511

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250