JP2016511849A - 独立アイデンティティ管理システム - Google Patents
独立アイデンティティ管理システム Download PDFInfo
- Publication number
- JP2016511849A JP2016511849A JP2015547539A JP2015547539A JP2016511849A JP 2016511849 A JP2016511849 A JP 2016511849A JP 2015547539 A JP2015547539 A JP 2015547539A JP 2015547539 A JP2015547539 A JP 2015547539A JP 2016511849 A JP2016511849 A JP 2016511849A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- idp
- identity
- master
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 40
- 238000004891 communication Methods 0.000 claims description 25
- 230000008878 coupling Effects 0.000 claims description 2
- 238000010168 coupling process Methods 0.000 claims description 2
- 238000005859 coupling reaction Methods 0.000 claims description 2
- 230000006870 function Effects 0.000 description 27
- 238000010586 diagram Methods 0.000 description 17
- 230000008569 process Effects 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 13
- 239000003795 chemical substances by application Substances 0.000 description 10
- 238000013507 mapping Methods 0.000 description 7
- 230000001413 cellular effect Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 241000760358 Enodes Species 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 229910001416 lithium ion Inorganic materials 0.000 description 2
- QELJHCBNGDEXLD-UHFFFAOYSA-N nickel zinc Chemical compound [Ni].[Zn] QELJHCBNGDEXLD-UHFFFAOYSA-N 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- HBBGRARXTFLTSG-UHFFFAOYSA-N Lithium ion Chemical compound [Li+] HBBGRARXTFLTSG-UHFFFAOYSA-N 0.000 description 1
- PXHVJJICTQNCMI-UHFFFAOYSA-N Nickel Chemical compound [Ni] PXHVJJICTQNCMI-UHFFFAOYSA-N 0.000 description 1
- 241000700159 Rattus Species 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- OJIJEKBXJYRIBZ-UHFFFAOYSA-N cadmium nickel Chemical compound [Ni].[Cd] OJIJEKBXJYRIBZ-UHFFFAOYSA-N 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 229910000652 nickel hydride Inorganic materials 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 230000002207 retinal effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
ユーザおよび/またはユーザ機器(UE)を認証するための、システム、方法、および装置の実施形態が本明細書で説明される。例えば、ユーザおよび/またはUEは、サービスプロバイダ(SP)によって管理されるサービスへのアクセスを要求する。ユーザは、結果を生成するアイデンティティプロバイダ(IdP)によって認証される。ユーザアサーションがSPに提供され、ユーザアサーションはユーザ認証結果を含む。UEは、関連する結果を生成する別のIdPを用いて認証される。デバイスアサーションがSPに提供され、デバイスアサーションはデバイス認証結果を含む。マスタIdPはアサーションを一緒に結合し、統合されたアサーションはSPによって提供されるサービスへのアクセスをユーザ/UEが受け取ることができるようにSPに提供される。
Description
本発明は、独立アイデンティティ管理システムに関し、特に、ユーザおよび/またはユーザ機器(UE)を認証するための、システム、方法、および装置に関する。
関連出願の相互参照
本出願は、2012年12月12日に出願された米国仮特許出願第61/736407号、および2013年2月15日に出願された米国仮特許出願第61/765354号の利益を主張し、両出願の開示は、本明細書中でそれらの全体が説明されているかのように、参照により本明細書に組み込まれる。
本出願は、2012年12月12日に出願された米国仮特許出願第61/736407号、および2013年2月15日に出願された米国仮特許出願第61/765354号の利益を主張し、両出願の開示は、本明細書中でそれらの全体が説明されているかのように、参照により本明細書に組み込まれる。
多くのインターネットサービス(例えば、バンキング、マルチメディア、ゲームなど)は、サービスがアクセスされることができる前に、モバイルデバイスのユーザの認証を要求する。例えば、企業および「オーバザトップ」アプリケーションサービスプロバイダは、ユーザが認可されるために、ユーザのアイデンティティをアサートすることができる。サービスプロバイダは、しばしば、各サービスプロバイダによって提供されるサービスにアクセスするために、異なる登録プロファイルを作成することをユーザに要求する。したがって、ユーザは、しばしば、様々なサービスにアクセスするために、多くのパスワードおよびユーザ名を有し、それがユーザに大きな負担をかける。
認証のためにユーザパスワードを使用する代わりに、2要素認証が使用され、またはユーザID/パスワード証明書の使用に加えて、2要素認証が使用される。例示的な2要素認証は、第1の認証要素としてのユーザのID/パスワードと、第2の認証要素としてのハードウェア/ソフトウェアベースのトークンとに基づく。ユーザID/パスワードは、ユーザのプレゼンスを認証し、トークンは、トークンが機能的に存在するデバイスをユーザが所有していることを確認する。多要素認証とは、2以上の要素を使用する任意の認証のことである。例えば、ユーザID/パスワードおよびトークンに加えて、第3の要素が、ユーザのバイオメトリック(例えば、指紋、網膜スキャンなど)によって提供される。
3GPP TR 33.924: "Identity management and 3GPP security interworking; Identity management and Generic Authentication Architecture (GAA) interworking"
TR 33.804: "Single Sign On (SSO) application security for Common IP Multimedia Subsystem (IMS) based Session Initiation Protocol (SIP) Digest"
3GPP TS 33.259: "Key Establishment between a UICC hosting device and a remote device"
本発明は、ユーザおよび/またはユーザ機器(UE)を認証するための改善された、システム、方法、および装置を提供する。
ユーザおよび/またはユーザ機器(UE)を認証するための、システム、方法、および装置の実施形態が、本明細書で説明される。例示的な一実施形態では、マスタアイデンティティプロバイダ(M−IdP)は、ユーザ機器(UE)を介するサービスへのアクセスを要求したユーザを認証するように求める要求をサービスプロバイダ(SP)から受信する。要求は、認証要件のインジケーションと、M−IdPに関連付けられたユーザのアイデンティティとを含む。認証要件のインジケーションは、必要とされる認証保証レベルを含む。あるいは、認証要件のインジケーションは、必要とされる認証要素の識別情報を含む。M−IdPは、認証要件を達成することが可能な複数の認証要素を決定する。M−IdPに関連付けられたユーザアイデンティティに基づいて、決定された認証要素のうちの選択されたいくつかと関連付けられた、ユーザまたはUEのアイデンティティが決定される。認証要素のうちの選択されたものと関連付けられたアイデンティティが使用されて、各選択要素についての認証を要求する。M−IdPは、各選択要素についての認証の結果を受信し、結果を組み合わせて、認証要件、例えば、必要とされる認証保証レベルに従って認証が成功したことを示す認証アサーションを生成する。認証アサーションは、サービスプロバイダに送信される。
別の実施形態では、マスタアイデンティティプロバイダ(M−IdP)は、ユーザ機器(UE)を介するサービスへのアクセスを要求したユーザを認証するように求める要求をサービスプロバイダ(SP)から受信する。要求は、認証要件のインジケーションと、M−IdPに関連付けられたユーザのアイデンティティとを含む。M−IdPは、認証要件を達成することが可能な複数の認証要素を決定する。M−IdPは、選択要素についての認証を実行する。M−IdPは、選択要素についての認証の結果を獲得し、結果を組み合わせて、認証要件に従って認証が成功したことを示す認証アサーションを生成する。M−IdPは、直接的に、またはUEを介して間接的に、認証アサーションをSPに送信する。一実施形態では、M−IdPは、認証要件を達成することが可能な決定された複数の認証要素のうちのいくつかを選択する。選択は、一実施形態によれば、ユーザ選択に基づき、または選択は、事前構成された方針に基づく。
より詳細な理解は、添付の図面を併用して、例として与えられる、以下の説明から得られる。
明確で詳細な説明が、例示的な実施形態を説明するために提供されるが、本発明の範囲、適用可能性、または構成を限定することは意図されていない。本発明の主旨および範囲から逸脱することなく、機能、要素の配置、およびステップに対して様々な変更が施される。
図1ないし図2を全体として参照すると、本明細書ではマスタIdPまたはmyIdPとも呼ばれるマスタアイデンティティプロバイダ(M−IdP)は、ユーザ機器(UE)を介するサービスへのアクセスを要求したユーザを認証するように求める要求をサービスプロバイダ(SP)から受信する。要求は、認証要件のインジケーションと、M−IdPに関連付けられたユーザのアイデンティティとを含む。認証要件のインジケーションは、必要とされる認証保証レベルを含む。あるいは、認証要件のインジケーションは、必要とされる認証要素の識別情報を含み、したがって、要求は、必要とされる認証要素を明示的に識別する。M−IdPは、認証要件、例えば、必要とされる認証保証レベルを達成することが可能な複数の認証要素を決定する。M−IdPに関連付けられたユーザアイデンティティに基づいて、決定された認証要素のうちの選択されたものと関連付けられた、ユーザまたは関連するUEのアイデンティティが決定される。認証要素のうちの選択されたものと関連付けられたアイデンティティが使用されて、各選択要素についての認証を要求する。M−IdPは、各選択要素についての認証の結果を受信し、結果を組み合わせて、必要とされる保証レベルに従って認証が成功したことを示す認証アサーションを作成する。認証アサーションは、サービスプロバイダに送信される。一実施形態では、各選択要素についての各認証結果は、異なるアイデンティティプロバイダから受信される。別の実施形態では、少なくとも1ないしすべての要素についての少なくとも1ないしすべての認証は、M−IdPにおいて実行される。
ネットワークが、ユーザ機器(UE)、サービスプロバイダ(SP)、およびマスタアイデンティティプロバイダ(IdP)を含む、別の例示的な実施形態では、マスタIdPが、ユーザアサーションを求める要求を受信する。要求されるユーザアサーションは、UEのユーザの少なくとも1つの認証の少なくとも1つの結果を示す。マスタIdPは、例えば、SPの方針要件に基づいて、またはユーザによる要求に基づいて、他のアイデンティティプロバイダに認証を委託する。マスタIdPは、SPによって提供されるサービスへのアクセスをユーザが受け取ることができるように、ユーザアサーションをSPに提供する。マスタIdPは、ユーザアサーションを作成するために、少なくとも1つの他のIdPと通信する。マスタIdPが通信するアイデンティティプロバイダ(IdP)は、マスタIdPにおけるユーザのプロファイル内に事前構成される。あるいは、マスタIdPによって信用されるIdPは、(例えば、マスタIdPによって)発見される。発見されたIdPは、認証アサーションサービスを提供することができる。例えば、IdPは、認証アサーションサービスを含むサービスを広告する。IdPは、認証アサーションサービスの能力を広告する。例えば、IdPは、それが提供できる認証の特定の強度(保証レベル)、および/またはそれが提供できるユーザ認証の鮮度レベルを広告する。例示的な実施形態では、マスタIdPは、ユーザが加入契約を結んでいるモバイルネットワークオペレータ(MNO)によって実施され、MNOは、ユーザの加入契約に関連付けられた証明書に基づいて、ユーザを認証する。別の例示的な実施形態では、ユーザおよび/またはUEの多要素認証が実行され、異なるIdPが、認証の複数の要素の各1つに責任を負う。そのような実施形態では、マスタIdPは、IdPの各々からのアサーションの各々を結合して、ユーザおよび/またはUEの多要素認証をSPに提供する。また別の実施形態では、SPが、多要素認証を実行し、および/またはマスタIdPとして行為する。
また別の例示的な実施形態では、マスタIdPは、認証要素のサブセットを使用して、認証のサブセットを実行する。例えば、マスタIdPは、他のIdPから獲得された個々のアサーションを互いに結合し、またマスタIdPによって実行された認証から得られた認証結果と結合する。したがって、組み合わされたアサーションが作成される。マスタIdPは、組み合わされたアサーションをSPに転送することができる。多要素認証が実施される代替実施形態では、マスタIdPは、個々のアサーションを受信し、個々のアサーションをSPに転送し、SPは、多要素認証結果を決定し、結合する。
トークンは、しばしば、ハードウェアベースであり、認証サーバとペアにされる。トークン機能は、専用トークンハードウェアプラットフォームの外部に存在する。例えば、トークン機能は、専用アプリケーションまたはスマートフォンアプリケーションを介して提供される。アプリケーション(app)ベースのトークン機能は、専用ハードウェアベースのトークン機能ほどは信用できないが、そのわけは、例えば、アプリケーションベースの実施におけるトークン固有コードが、改ざん防止ハードウェアにおいて、セキュアモードで動作しないことがしばしばあるからである。
本明細書で説明されるように、ユーザ機器(UE)(例えば、スマートフォン)が、ユニバーサル集積回路カード(UICC)を含む場合、UEは、高度な認証保証を獲得するための、信用されることができる改ざん防止ハードウェア要素(UICC)を含む。したがって、様々な実施形態では、UICCは、モバイルネットワークオペレータ(MNO)と相互に認証される。第2の認証要素(例えば、所有の証明)としてのユーザのUICCの再使用は、MNOがアイデンティティ(ID)プロバイダ(IdP)になることを可能にし、例えば、ソフトウェアベースのトークン実施など、他の形態または方法よりも大きなセキュリティを提供する。MNOによって提供される第2の要素の認証は、ユーザまたはオーバザトップ(OTT)アプリケーションサービスからはシームレスである。例えば、ユーザは、例えば、パスワードなどの情報をUEに手入力する必要がない。加えて、連合アイデンティティプロトコルを使用して、例えば、MNOなどの、信用できるアイデンティティプロバイダに認証サービスを委託することは、ユーザ認証を安全なものにするための有用でスケーラブルなソリューションを提供する。
様々な例示的な実施形態では、多要素認証は、モバイルネットワークオペレータの認証インフラストラクチャを利用することによって容易化される。例示的な実施形態では、多要素認証をサポートするために、複数のIdP加入契約が対処される。例えば、IdPの間に動的アソシエーションが作成され、IdP間でアサーションが送信される。IdP識別子の使用には融通性がある。例えば、IdPのためのIdP識別子が、異なるIdPに適用され、1つの識別子を他のIdPと共用することを可能にする。この融通性は、例えば、SPと1または複数のIdPとの間の既存のインタワーキング合意の適用を通して可能にされる。加えて、本明細書で説明される実施形態は、認証結合を暗号化して作成することができ、認証結合をプロトコルに基づいて作成することができる。GBAおよびEAP−SIMなどのプロトコルを用いるMNOによって制御されるフレームワークを使用する認証、ならびにGBAおよびEAPなどの様々なフレームワークを用いるOpenID認証を使用する認証を含む、多要素認証の様々な実施が本明細書で説明される。
本明細書で説明されるシングルサインオン(SSO)のための様々な手法は、ユーザにかかる認証負担を軽減する。例示的な構成では、ユーザは、音声、SMS、およびデータなどのサービスを提供するモバイル加入契約を所有している。そのようなモバイル加入契約は、SSOについての規定を定める。例えば、モバイルオペレータのSSOサービスは、Facebook、Google、またはYahooなど、1または複数の他の独立エンティティによって提供されるSSOサービスと協調的に動作する。SSOサービスを提供するエンティティは、本明細書ではアイデンティティプロバイダ(IdP)と呼ばれる。例えば、SSOサービスを提供するモバイルネットワークオペレータ(MNO)、およびSSOサービスを提供する独立エンティティは、ともにIdPと呼ばれる。独立IdPは、本明細書ではサードパーティIdPとも呼ばれる。例えば、オーバザトップ(OTT)IdP(例えば、Facebook、Googleなど)の観点からは、MNOは、サードパーティIdPと見なされ、MNOの観点からは、OTT IdPは、サードパーティIdPと見なされる。
例示的な構成では、ユーザは、モバイルオペレータによって提供されるSSOサービスに登録され、また少なくとも1つの独立エンティティによって提供されるSSOサービスに登録される。例えば、ユーザは、選択したSSOサービスに関連付けられたアイデンティティ/IdP識別子を使用する融通性を有することを望む。ユーザは、ユーザがアクセスするサービス(例えば、バンキング、マルチメディアなど)に関係なく、特定のIdP識別子を使用することを望む。複数のSSOサービス(例えば、モバイルオペレータ、独立IdPなど)に登録し、多くのサービスと加入契約を結んだ後、ユーザは、各SSOサービスについての個人的なプロファイルを有する。ユーザは、他の識別情報を提供することなく、好ましいIdP識別子を提供することによって、アプリケーションおよび/または非SSOサービスにアクセスすることを望む。したがって、ユーザは、アプリケーションおよび/または非SSOサービスによって提供される様々なサービスへのアクセスを獲得するために、異なる(ログイン)証明書を記憶しなければならない負担から解放される。アプリケーションおよび非SSOサービスは、本明細書では、一般に、サービスプロバイダ(SP)と呼ばれる。
サービスにアクセスするため、ユーザは、サービスを提供するSPの認証要件を満たさなければならない。認証要件は、様々なサービスの認証方針に基づく。例えば、SPの方針は、サービスがアクセスされる前に、認証が所定の保証レベル(例えば、認証強度)を満たすことを要求する。別の例として、SPは、多要素認証を実行するために、特定の認証要素が使用されることを要求する。したがって、認証要件のインジケーションは、必要とされる認証保証レベルを含み、またはそれは、必要とされる認証要素の識別情報を含む。図2を参照すると、保証レベルは認証の強度を示し、高い保証レベルは認証の複数の要素を必要とする。例えば、保証レベルとはユーザが認証される保証のレベルのことであり、保証レベルは当局によって定義される。保証レベルは、認証プロトコル、認証の要素の数、認証の鮮度、および/または補足条件に基づく。例示的な実施形態では、所望の保証レベルは、様々な外部当局によって決定される。例えば、サービスプロバイダは、要求されたサービスをユーザに提供するためにそれが要求する保証レベルを決定する。外部当局は、様々な基準に基づいて保証レベルを指定する。そのような基準は、アプリケーション自体についてのセキュリティ要件、またはサービスをホストする会社のセキュリティ方針などを含む。
別の例として、SPは、サービスへのアクセスを許可する前に、認証の鮮度レベルが満たされることを要求する。例えば、限定することなく、SPは、最近30秒以内に認証が実施されたことを要求する。別の例として、図2を参照すると、SPは、少なくとも「70」の保証レベルを要求し、認証要素の組み合わせ、例えば、ユーザパスワード、デバイス認証、およびバイオメトリック認証の組み合わせが、必要とされる認証保証レベルである70を達成することを可能にする。SPの認証方針に準拠するために、多要素認証が対処されなければならない。SPの様々な方針に基づいて、例えば、SPは、各IdPが異なる認証要素に対応するような、複数のIdPを利用する。例えば、各認証プロトコルのセキュリティは、ネットワーク上の、認証エンドポイント(AEP)と呼ばれる、それぞれのIdPにおいて安全に自己完結している。別の実施形態によれば、SPは、2以上の認証要素に対処するIdPを利用する。本明細書で説明されるように、ユーザのホームMNOは、IdPサービスを提供し、MNOは、認証に関与する。1または複数のサードパーティIdPエンティティも、認証に関与する。
図1を参照すると、UE/ユーザ102、サービスプロバイダ(SP)104、およびマスタIdP106を含むネットワーク100において、ユーザは、110において、SP104によって提供されるサービスへのアクセスを求める初期要求を行う。112において、要求は、SP104によってマスタIdP106にリダイレクトされる。ユーザの好ましい識別子を決定することによって、IdPは、マスタIdPとして指定され、したがって、マスタIdPは、本明細書では、限定することなく、myIdPとも呼ばれる。例示的な実施形態では、マスタIdP106は、SP104とのインタワーキング合意を通して、ユーザおよび/またはUEを認証することに責任を負う。例えば、マスタIdP106は、認証が1要素であるか、それとも多要素であるかに関わらず、認証自体を実行するためのアセットを備える。あるいは、マスタIdP106は、自らのアセットに加えて、またはその代わりに、例えば、IdP108など、他のIdPのアセットも利用する。
図1の参照を続けると、112において、マスタIdP106は、UE102を介するサービスへのアクセスを要求したユーザを認証するように求める要求をSP104から受信する。要求は、必要とされる保証レベルのインジケーションと、ユーザのアイデンティティとを含む。要求内のアイデンティティは、マスタIdP(例えば、xyz@myIdP.com)と関連付けられる。例えば、112におけるマスタIdP106へのSPのリダイレクションメッセージにおいて、SP104は、強いデバイス認証が必要とされることを伝える。
強い認証が必要とされる例示的な実施形態において、例えば、必要とされる高い保証レベルがマスタIdPによって受信された場合、マスタIdPは、ユーザが加入契約を結んでいるMNOを関与させる。マスタIdPは、SPの要件を満たすために、汎用ブートストラップアーキテクチャ(GBA)能力を利用するように、MNOに指図する。例示的な代替構成では、SP方針は、エンドユーザにシームレスなログインエクスペリエンスを提供するために、GBAを介するデバイス認証を必要とする。あるいは、SPは、別の例示的な方針に従って、プレゼンスのユーザ証明およびデバイスレベル認証を必要とする。例えば、2つ(例えば、デバイスとユーザ)の認証要素が、マスタIdPに登録されている場合、マスタIdP自体が、認証要件に対処する。また別の構成では、マスタIdPは、集約エージェントとして行為し、認証を他のIdPにリダイレクトする。別の例として、MNOは複数の認証要素を処理し、または認証要素は2以上のIdPの間に分配される。
例示的な実施形態では、IdPは、例えば、マスタIdPから委託されて、認証をローカルに実行する助けをするローカルプロキシ機能をUE上に有する。IdPが証明書の特定のセットに関してユーザ(またはUE)を認証することが可能であるとして本明細書で説明される場合、ユーザは、それらの証明書をそのIdPサービスに事前に登録してある。
図1を全体として参照すると、ユーザは、識別子(例えば、xyz@myIdP.com)を提供する、SSOサービス(例えば、FacebookまたはGoogleなど)と結んだ加入契約を有する。そのような識別子は、ユーザが加入契約を結んでいる複数のサービスへのアクセスを獲得するために使用される。111において、SSOサービス(マスタIdP106)は、SP104によって発見され、例えば、要求時に、SSOサービスは、ユーザを認証し、そのような認証をSP106にアサートする。SP106は、アサーションを評価し、ユーザへのサービスを承認または拒否する。例示的な実施形態では、複数のIdP108は、一緒に協調的に動作し、本明細書でマスタと呼ばれるIdPの1つ(例えば、マスタIdP106)は、認証およびアサーションをトリガする。例えば、Facebook、Google、またはYahooなどのSSOサービスは、IdPサービスを提供し、マスタIdPの任務を実行する。図1を参照すると、例示的な実施形態では、マスタIdP106はSP104の中に組み込まれ、したがって、SPがマスタIdPになることができる。したがって、SP104は1または複数の要素を認証することができ、SP104は追加の要素については他のIdP108に委託することができる。例えば、そのようなシナリオは安全なVPNセットアップ使用事例に適用される。
図1に示されるように、ユーザは、マスタIdP106に加えて、IdP108とも関連付けられた証明書を有する。多要素認証がSP104によって必要とされる例示的なシナリオでは、複数のユーザ証明書/デバイス証明書を使用する認証が必要である。例えば、112における要求は、必要とされる保証レベルなど、認証要件のインジケーションを含む。認証要件に基づいて、マスタIdP106は、認証要件を達成することが可能な複数の認証要素を決定する。例えば、やはり図2を参照すると、必要とされる保証レベルに応じて、様々な認証要素または認証要素の様々な組み合わせが、サービスにアクセスするためにSP104によって要求される保証レベルを達成する。マスタIdP106と関連付けられたユーザアイデンティティ(例えば、図1におけるxyz@myIdP.com)に基づいて、マスタIdP106は、決定された認証要素のうちの選択されたいくつかと関連付けられた、ユーザまたはUE102のアイデンティティを決定する。したがって、マスタIdPに対応するアイデンティティは、他のアイデンティティプロバイダに対応するアイデンティティと関連付けられる。そのような他のアイデンティティプロバイダは、各々が、特定の認証要素を使用する認証に責任を負う。例示的な実施形態では、マスタIdP106は、IdP108と関連付けられたアイデンティティを決定する。例えば、図1を特に参照すると、IdP108aは、パスワードなどのユーザ情報を記憶する。IdP108bは、例えば、バイオメトリック情報を所有する。IdP108cは、IdPサービスを提供するような、ユーザのモバイル加入者証明書を所有するMNOである。例示的な構成では、別のIdPは、プレゼンスのユーザ証明を目的として、基本ユーザプロファイル情報を含む。
依然として図1を参照すると、110において、ユーザは、自身の識別子(xyz@myIdP.com)をSP104に送信する。114aないしcにおいて、マスタIdP106は、認証をIdP108aないしcにそれぞれ委託し、それらにアサーションを要求する。したがって、114aないしcにおいて、認証要素のうちの選択されたものと関連付けられたアイデンティティを使用して、各選択要素についての認証が選択される。マスタIdP106が、1または複数の認証要素を使用して認証を実行し、それによって、1または複数の認証結果を獲得することが理解されよう。マスタIdP106とIdP108は、データベースおよび/または対応するマッピング取り決めによって容易化される、静的または動的なインタワーキング合意を有する。そのような合意は、委託された認証責任がSP104のセキュリティ方針に従って機能することを保証する。さらに、マッピング取り決めは、マスタIdP106と関連付けられたアイデンティティを、他のIdP108と関連付けられたアイデンティティに関連付ける。例示的な実施形態によれば、116aにおいて、マスタIdP106は、記憶された証明書を使用して、UE/ユーザ102の認証を実行する。116bないしdにおいて、IdP108aないしcは、それぞれ、それぞれの記憶された証明書(例えば、バイオメトリックまたはユーザ名とパスワードなど)を使用して、ユーザまたはUEの認証を実行する。IdP108aないしcは、各認証要素についての結果を暗号化し、IdP108aないしcは、各認証要素の結果に署名する。118aないしcにおいて、IdP108aないしcは、それぞれ、それぞれの認証の結果をマスタIdP106にアサートする。したがって、マスタIdP106は、各選択要素についての認証の結果を受信する。120において、認証要件、例えば、必要とされる保証レベルに従って、認証が成功したことを示す認証アサーションを作成するために、マスタIdP106によって、認証結果(アサーション)が組み合わされる。組み合わされたまたは統合された認証アサーションは、111からのアソシエーション秘密を使用して、マスタIdP106によって署名される。組み合わされた認証アサーションは、暗号化される。例えば、委託先IdP108aないしcから得られた独立の認証アサーションは、一緒に結合される。図1には3つの委託先IdP108aないしcが示されているが、それが望ましい場合は、任意の数の、例えば、3よりも少ないまたは多いIdPが使用されることが理解される。122において、マスタIdP106は、署名された認証アサーションをSP104に送信する。124において、SP104は、認証要件、例えば、必要とされる保証レベルに従って、ユーザおよびUEが認証されたことを示すインジケーションをUE102に送信し、したがって、ユーザおよびUEは要求されたサービスへのアクセスを受け取る。
依然として図1を参照すると、例示的な構成において、ユーザ/UE102は、多要素認証のための能力を、SP104および/またはマスタIdP106に登録してある。代替実施形態では、そのような発見情報は、ユーザ/UE102によってSP104および/またはIdP106に送信される情報要素内に含まれる。また別の実施形態では、能力が、発見され、以降の認証のためにネゴシエートされ/合意される。ユーザ/UE102は、SP104および/またはIdP106とネゴシエートし、および/または合意に達する。
発見および認証を容易化するために、マスタIdPと他のIdPとの間にインタワーキング関係が確立されている。代替実施形態では、発見情報は、例えば、110において送信される識別子内に含まれる。他の情報要素は、SP104からのサービスが開始するときに、ユーザ/UE102によって渡される。そのような集約識別子の例は、修飾された識別子である。
ユーザは、IdP108の各々と関連付けられた識別子を有する。例示的な実施形態では、IdP108の各々は、マスタIdP106の機能を実行する。図1には示されていないが、IdPのサブセットは、委託元IdP108aないしcによって、認証アサーションを提供するように要求される。したがって、IdP108aないしcの少なくとも1つは、認証を実行するように求める要求を、別のIdPに送信し、他のIdPは、少なくとも1つのIdP108aないしcの代わりに、認証を実行する。
図1を参照して説明されたIdPアーキテクチャのいくつかの例示的な変形が、本明細書で説明される。本明細書で説明される様々な例示的な構成は、ユーザによって選択されるマスタIdP(例えば、myIdP)を利用する。例えば、ユーザは、マスタIdPの識別子(例えば、xyz@myIdP.com)を、サービス要求メッセージを用いて、SPに供給する。ユーザは、構成決定権を有する。例えば、ユーザは、どのIdPがマスタであるかを決定する。構成決定権は、例示的な実施形態に従って制約される。例えば、例示的な実施形態によれば、ユーザがIdPに登録されており、IdPが所望のSPとインタワーキング関係を有する場合、そのIdPがマスタになる。例えば、ユーザが加入契約を結んでいるモバイルオペレータがマスタになることをユーザが望む場合、サービス要求メッセージは、例えば、xyz@mymno.comなどの、MNO識別子を含む。識別子を受け入れる前に、SPは、IdPが提携関係に属して、認証目的ではインタワーキング関係だけで十分であるかどうか、を決定するためにチェックを行う。例えば、SPは、IdPが信用できることを検証する。あるいは、ユーザによって選択されたアイデンティティに基づいてマスタIdPが暗示される。例えば、ユーザがサービスにアクセスするために自身のGoogleアイデンティティを選択した場合、例示的な実施形態によれば、Googleが暗示を介してマスタIdPになる。
図3を参照すると、ネットワーク300は、UE302と、SP304と、マスタIdP306と、MNO308とを含む。2以上の図に出現する参照番号は、各図において同じまたは同様の特徴を参照することが理解される。例示的な実施形態によれば、ユーザ/UE302は、MNO308と加入契約を結んでいる。MNO308は、特に、MNO加入者証明書は、サービスへの自動アクセスをユーザに提供するための、要素の1つを使用する認証用に利用される。310において、ユーザは、事前確立されたユーザ名および/または共通のユーザ名を使用して、SP304によって提供されるサービスにログインすることを望む。例えば、ユーザは、インターネットアイデンティティサービスプロバイダによって提供されるアイデンティティを使用する。アイデンティティは、一意的なユーザアカウント名である。そのようなアカウント名の例は、FacebookアイデンティティおよびGoogle電子メールアドレスを含む。例示的な実施形態によれば、SP304は、ユーザ/UE302の認証が、310においてユーザが提供したものとは異なるオーセンティケータによって提供されることを要求する。例えば、SP304は、ユーザ/UE302を認証するために、UICCの認証を使用するMNO308を使用することを望む。
依然として図3を参照すると、1要素デバイス認証が実施される。そのような認証は、例えば、文献(例えば、非特許文献1参照)で説明されているような、MNOインフラストラクチャおよびGBAを使用して実施される。311において、SSOサービス(マスタIdP306)が、SP304によって発見され、アソシエーション鍵(KmyIdP)が作成される。例示的な実施形態によれば、SP304の認証方針に基づいて、312において、SP304は、MNO308によって実行される強いデバイス認証(例えば、高い保証レベルを有する認証)が必要とされることを、マスタIdP306に示す。認証要件のそのようなインジケーションは、MNO308にデバイス認証を要求するように命じるマスタIdP306への指図を表す。314において、マスタIdP306は、認証をMNO308に委託し、MNO308にアサーションを要求する。IdPとして機能することができるのに加えて、MNO306は、UE302がGBAを使用して認証される場合は、ネットワークアプリケーション機能(NAF)、ブートストラップサーバ機能(BSF)、および/またはホーム加入者サーバ(HSS)として機能する。例示的な実施形態によれば、316において、MNO308は、記憶された加入者証明書を使用して、UE302の認証を実行する。318において、MNO308は、認証の結果をマスタIdP306にアサートする。320において、認証結果(アサーション)が、マスタIdP106によって検証される。アサーションは、311において得られたアソシエーション鍵(KmyIdP)を使用して署名される。322において、マスタIdP306は、署名されたアサーションをSP304に送信する。324において、SP304は、UE302が認証要件に従って認証され、これにより、UE302が要求されたサービスへのアクセスを受け取ることを示すインジケーションを、UE302に送信する。
別の例示的な実施形態では、1要素ユーザ認証が実施される。ユーザ認証は、求められているサービスを使用するために合法的に登録されているユーザのプレゼンスの証明を提供することを含む。そのような証明は、例えば、ユーザ名およびパスワード、もしくはバイオメトリック(例えば、指紋)など、またはそれらの任意の適切な組み合わせなどの、ログイン証明書によって提供される。プレゼンスの証明とともに、SPは、何らかの必要とされる保証レベルを主張する。図2を参照すると、保証レベルは、使用するパスワードのタイプ(例えば、強いパスワード対弱いパスワード)に影響し、および/または例えば、バイオメトリックを必要とする。SPは、認証の一定の鮮度レベルを必要とする。例えば、SPは、認証が30分前より以降に行われた場合は、認証が許容可能であり、それが30分前より以前に行われた場合は、認証が許容不能であることを決定する。30分という時間は、例示的なものにすぎず、鮮度レベルは、それが望ましい場合は、任意の適切な時間を規定する。マスタIdPは、必要とされる保証レベルおよび鮮度レベルを含む必要とされる認証自体を、それが提供できるかどうかを決定する。マスタIdPは、認証の提供を助けるために、別のIdPの助けを要請することを決定する。ユーザがIMS加入契約を有し、モバイルスマートカード(例えば、UICC)にアクセスしない代替実施形態では、文献(例えば、非特許文献2参照)において説明されているような、SIPダイジェストが使用される。例えば、ユーザが自身のSIP証明書またはIMS証明書を入力した場合、それは、要素1の認証(例えば、ユーザが知っているもの)と呼ばれることができる。UE内のIMSアプリケーションがSIP証明書を記憶している場合、それは、要素2の認証(例えば、ユーザが有するまたは所有するもの)と呼ばれることができる。
別の例示的な実施形態では、多要素認証、例えば、2要素認証が実施される。多要素認証は、例えば、バンキングサービスおよび金融サービスなどのサービスを提供するサービスプロバイダによって必要とされる。例えば、SPは、デバイスを使用する人がサービスの正当な登録者であることが保証されることを望む。SPとマスタIdPとの間のインタワーキング合意のために、例えば、マスタIdPは、認証要件が満たされることを保証するように指図される。マスタIdPは、ユーザのMNO加入契約を利用して、デバイスを認証する。オペレータのインフラストラクチャがGBAアウェアである場合、GBA認証で十分である。マスタIdPは、そうすることが可能な場合、ユーザを認証する。あるいは、マスタIdPは、別のサードパーティIdPにアサーションを要求する。
例えば、事業分野におけるサービスなど、他のサービスプロバイダは、ハードウェア/ソフトウェアRSAトークンベースの認証の形態を取る、ユーザ認証の形態を利用する。そのようなトークンは、別々のキーフォブデバイスを使用して提示されることができ、またはそれらは、例えば、モバイル端末上もしくはモバイルデバイスのスマートカード上のソフトウェアで生成されることができる。ユーザのパスワードの拡張としてのトークン情報の使用は、あるレベルの保証を認証に追加する。あるいは、(例えば、ユーザ入力のパスワードを使用する)ユーザ認証と、デバイスのユニバーサル加入者アイデンティティモジュール(USIM)内で動作するアプリケーションとの組み合わせは、ユーザおよびデバイスを認証するような方法で実施される。例示的な実施形態では、MNOは、2要素認証を実施するために、(例えば、ネットワークからUEへの、およびUEからネットワークAKAまたはGBAへの)チャレンジレスポンスメカニズムがセットアップされるように動作する、対応するプロセスを有する。(例えば、ユーザ入力のパスワードを使用する)ユーザ認証とUICC上で生成されるトークン情報との、例えば、暗号化された、結合は、チャレンジに対するデバイスレスポンスを含む。例えば、MNOは、ユーザが認証されたことを確認した場合、デバイスレスポンスを検証する。例として、パスワードベースのユーザ認証の場合、ユーザによって供給されたパスワード、またはユーザによって供給されたパスワードから導出される情報(例えば、パスワードダイジェスト)を使用する、ユーザのローカル認証が成功した場合に、証明書は発行される。さらに、ローカルユーザ認証は、証明書(例えば、鍵)が発行されたことによって暗示される。したがって、証明書の発行は、MNOの観点からは、ユーザがローカルに認証されたことを確認する。MNOは、USIMアプリケーションベースの認証と同期している。
例示的な2要素認証シナリオでは、マスタIdPは、例えば、SPに返されるリダイレクトされたアサーションにおいて、アサーションを組み合わせる。例えば、マスタIdPは、デバイスについてのアサーションとユーザについてのアサーションとを組み合わせて、両方の認証が成功したことを示す。組み合わされたアサーションは、両方の認証が別々のプロセスとして成功したこと、または一緒に暗号化して結合されたプロセスとして成功したことを示すインジケーションを含む。ユーザのパスワードの拡張としてのUICCベースの認証の使用は、認証に保証を追加する。サービスプロバイダは、UICC上のUSIMアプリケーションを使用して、この形態の認証を利用する。
別の例示的な変形では、SPは、初期サービス要求メッセージをUEから受信したとき、UE上にローカルに存在するプロキシマスタIdPに認証をリダイレクトする。マスタプロキシIdPにアサーションを返す、ターゲットIdPへの認証およびアサーションの委託は、本明細書で説明されるように実行される。マスタプロキシIdPは、安全な方法で、UEを介して、組み合わされた/統合されたアサーションをSPにリダイレクトする。認証が成功した場合、例えば、サービスがユーザに対して許可される。
以下で説明される様々な例は、モバイルデバイス上に記憶されるMNOによって準備された証明書を用いて、MNOによって制御される認証インフラストラクチャを利用する例示的なメカニズムについて説明する。例はGBAを使用するメカニズムについて説明するが、それが望ましい場合は、MNOによって準備された証明書への結合を可能にするEAP(例えば、SIM、AKA、AKA’)および(例えば、SIM、AKA、AKA’を用いる)OpenlD−EAP実施形態が実施されることができることが理解される。
図3を再び参照すると、MNO認証サービスは、例えば、OpenID GBAプロトコル(例えば、非特許文献1参照)、またはOpenIDと組み合わされるMNOによる認証のための他の任意の指定されたプロトコルに準拠して動作する。ユーザIdPプロキシは、OpenID機能(例えば、OpenID 2.0)、およびリライングパーティ(RP)機能を包含する。サービスプロバイダおよびユーザIdPプロキシは、OpenID 2.0に準拠して機能する。IdP間でインタワーキング取り決めが確立される。
図4を参照すると、ネットワーク400は、UE402と、SP404と、ユーザIdP(例えば、OpenID IdP)プロキシ406と、IdPとして機能することができ、これによりIdP408とも呼ばれる、MNO408とを含む。例示的な実施形態では、UE402のユーザは、MNO408と加入契約を結んでいる。410において、ユーザは、サービスにログインすることを望み、これによりオリジナルのユーザアイデンティティ(ID_U)を使用して、SP404によって提供されるサービスへのアクセスを要求する。411において、アソシエーション鍵(S_U)が、SP404とユーザIdPプロキシ406との間で共有される。412および414において、UE402は、ユーザIdPプロキシ406にリダイレクトされる。例示的な実施形態では、416において、410において提供されたオリジナルのユーザアイデンティティID_U(例えば、xyz@myIdP.com)が、MNO408によって知られている識別子ID_Mにマッピングされる。例えば、MNO408によって知られる識別子は、電話番号または国際モバイル加入者識別番号(IMSI)などである。識別子ID_Mは、418において、ユーザIdP406とMNO408との間のアソシエーションおよびプロビジョニングのために必要とされる。
代替実施形態では、410において、MNO408によって知られている識別子ID_Mが、オリジナルのユーザアイデンティティID_Uに追加され、SPに提供される。そのような実施形態では、SP404、特に、SP404のリライングパーティ(RP)機能は、識別子の組み合わせを認識する。別の実施形態では、411において、オリジナルのユーザアイデンティティID_UからMNOに知られているアイデンティティID_Mへのマッピングが、アソシエーション要求時に行われる。例えば、SP404は、マッピングのローカルデータベースを検索する。したがって、各サービスプロバイダは、例示的な実施形態によれば、対応するマッピングデータベースを維持する。また別の実施形態によれば、411において、SP404においてアソシエーション要求を受信した後に、マッピングが行われる。あるいは、例えば、414においてリダイレクトに従う前に、UE402は、ユーザ識別子ID_UをMNO408に知られている識別子ID_Mにマッピングする。420において、UE402は、MNO408にリダイレクトされる。422において、MNO408は、加入者証明書を使用して、UE402を認証する。認証を実行した後、424において、MNO408は、認証アサーションを作成し、署名する。426および428において、UE402は、ユーザIdPプロキシ406にリダイレクトされる。430において、ユーザIdPプロキシ406は、認証アサーションを検証する。432において、ユーザIdPプロキシは、第2の認証アサーションを作成し、署名し、434および436において、それが、UE402を介して、SP404に提供される。438において、SP404は、認証成功メッセージをUE402に提供し、それによって、SP404によって提供されるサービスへのアクセスをUE402に許可する。
本明細書で説明される様々な例示的な実施形態では、SPは、必要とされる保証レベルをIdPに提供することによって、または必要とされる認証要素を明示的に識別することによって、認証についての特定の要件を伝える。マスタIdPは、要素の2以上の組み合わせがSPの認証要件を達成することが可能であり、SPによって許可されている場合、認証要素を選択する。図4を参照すると、SP404は、UE402を介して、認証要件をMNO408に伝える。例えば、そのような信号は、ユーザIdPプロキシ406において、ローカル方針によって解釈され、実施される。あるいは、明示的な信号が412においてプロトコルフローに含まれる(例えば、OpenIDメッセージのPAPE拡張)。図4に示される例示的な実施形態は1要素認証について説明しているが、説明される呼フローは多要素認証のために拡張されることができることが理解される。例えば、UEおよびユーザ402は2要素を使用して認証され、MNO408はUE402を認証し、ユーザはユーザIdPプロキシ406によって認証される。
図5を参照すると、例示的な実施形態によれば、2要素認証が実行される。ネットワーク500は、UE502と、SP504と、マスタIdP506と、MNO508とを含む。510において、ユーザは、2要素認証を必要とする、オーバザトップアプリケーションサービス(例えば、Facebook)、または企業ネットワークサービスを提供するSP504に、ログインしようと試みる。510において、ユーザは、サードパーティアイデンティティ(例えば、Facebookアイデンティティ)を使用して、サービスへのアクセスをSP504に要求する。サードパーティアイデンティティは、ユーザを識別し、IdP、例えば、IdP506(例えば、Facebook)と関連付けられる。ユーザは、認証のためのマスタIdPとして行為するFacebookにリダイレクトされる。サードパーティアイデンティティプロバイダ(例えば、Facebook)は、2要素認証を必要とする強い認証を実行することを望む。Facebookは、例えば、GBA(またはEAP−SIM)を利用して、Facebookによるユーザの認証とは別に、UE502のブートストラップされた認証を実行する。
依然として図5を参照すると、例示的な実施形態によれば、512において、SP504とマスタIdP506は、互いにアソシエートされる。514において、SP504は、2要素認証、特に、UE502の認証とUE502のユーザの認証を要求する。522における、オーバザトップアプリケーションサービス(例えば、マスタIdP506)による第1の認証要素の検証時に、オーバザトップアプリケーションプロバイダ(例えば、マスタIdP506)は、518において、ユーザのMNO508を用いる(例えば、トークンベースの)第2の要素の認証を開始する。520において、第2の要素の認証が完了されたとき、526において、2つの認証の結果が一緒に結合される。そのような認証結合は、例えば、暗号化されて、またはプロトコルレベルで達成される。528において、MNO508は、組み合わされた認証の署名されたアサーションをSP504に送信する。530において、SP504は、署名されたアサーションの署名を検証する。532において、SP504は、UE502およびUE502のユーザの認証が成功したことを示すインジケーションを、UE502に提供する。
図6は、例示的な実施形態による、安全な2要素認証のためのGBAを説明するブロック図である。図6を参照すると、ネットワーク600は、UE602と、SP604と、ラップトップ606と、MNO408とを含む。図7も参照すると、610において、ユーザ識別子(UID)および/またはユーザパスワードが、SP604によって認証される。したがって、SP604は、第1の要素の認証を確立する。例示的な実施形態によれば、SP604は、例えば、その方針に基づいて、第2の認証要素の認証に着手するかどうかを決定する。610において、認証が成功して完了すると、612において、SP604は、ノンスNSPを生成し、それをラップトップ606に転送する。ラップトップ606は、それが望ましい場合は、任意の適切なコンピューティングデバイスによって置き換えられることができ、したがって、パーソナルコンピュータ(PC)606aまたはモバイル端末606aとも呼ばれることができることが理解されよう。特に、モバイル端末606aの機能は、モバイル端末606a上のブラウジングエージェントまたはモバイルアプリケーションによって実行されることができる(図7参照)。614において、ラップトップ606は、パスワードを用いてノンスNSPを暗号化し、SP604とラップトップ606によって共有される(例えば、HTTPダイジェストに類似した)ダイジェストを生成することができ、パスワードまたはそのハッシュもしくはダイジェストを、UICC602aとも呼ばれることができるUE602に転送する(図7参照)。例示的な実施形態では、UE602とラップトップ606の間のインターフェースは、(例えば、BluetoothまたはUSBを介して)ラップトップ606をUE602に接続する分割端末構成を表す。別の例示的な実施形態では、UE602aとラップトップ606の間のインターフェースは、ブラウジングエージェント(例えば、ブラウザまたはモバイルアプリケーション)と認証エージェント(例えば、UICCまたはIMSまたはSIPエージェント)の間の論理的分割を表す。代替実施形態では、ラップトップ606は、UE602上のスマートカード/端末インターフェースが組み込まれたバージョンを表す。分割端末インターフェースは、例えば、文献(例えば、非特許文献3参照)で説明される鍵配信サービスを介して保護されることができる。
616において、AKAに基づいた、またはIMS/SIPダイジェスト証明書に基づいたGBA交換が行われる。616において、交換が成功して完了すると、UE602は、617において(図7参照)、暗号化されたノンスNSPを転送する。例えば、ノンスNSPは、従来のGBA交換内の情報要素(IE)を使用して、MNO608に転送されることができる。あるいは、そのようなIEをサポートするために、GBAコアプロトコルが拡張または変更される。618において、MNO608は、暗号化されたノンスNSPをSP604に転送する。620において、SP604は、MNO608から受信された暗号化されたノンスNSPを暗号解除し、それを交換の開始時に発行されたNSPと比較し、したがって、例示的な実施形態による、プロトコル結合を使用する2要素認証の例を完了する。
セキュリティ脆弱性を回避するために、例えば、プロトコルの保護および結合が、認証フローに含まれる様々なエンティティ間の別々の通信経路に沿って、認証プロトコルにおいて使用されるパラメータを送信することによって達成される。例えば、ノンスNSPの使用は、提案される交換の鮮度を保証し、リプレイ攻撃を受けにくくする。プロトコルおよび/またはパラメータを分割するための他のメカニズムが実施される。図7に示される例示的な実施形態によれば、ステップ612、614、617、618、および620が、「所有の証明」を作成する。例えば、上述されたステップは、第1の認証要素(例えば、UID/パスワード)と、第2の認証要素(例えば、UICC上のAKA証明書)とを結合し、したがって、UE602とコンピューティングデバイス606が結合されること、または同じデバイスであることを保証し、したがって、ステップは、「分割アイデンティティ」攻撃を防止する。暗号化されたノンスNSPは、上述の交換における中間者攻撃を防止するために、平文の同じノンスの代わりに使用される。加えて、機密性保護の使用は、ステップ616におけるGBA交換における機密性要件を緩和する。
例示的な代替実施形態では、図6に示されるラップトップ606およびUE602の構成は、モバイルフォンなどの単一のエンティティ内に組み込まれる。また別の実施形態では、図7に示されるように、UE602は、UICC602aによって実施され、ラップトップ606の機能は、モバイルフォンまたはセルラ機能を有するラップトップによって実施され、したがって、ラップトップ606は、モバイル端末606aとも、またはより具体的には、ブラウジングエージェントもしくはモバイルアプリケーションとも呼ばれる(図7参照)。モバイル端末606aは、ローカル通信リンクを介して、UICC602aに接続される。
図8を参照すると、図7のフローの例示的な変形が示されており、ユーザ認証は、後のステージで実行され、デバイス認証プロセスと組み合わされる。例えば、ノンスだけを送信する代わりに、デバイス認証の一環として、ハッシュされたユーザ名/パスワードまたはダイジェストを送信することによって、ユーザ認証とデバイス認証の間で、緊密な結合(例えば、プロトコル結合)が達成されることができる。
図8を参照すると、例示的な実施形態によれば、810において、ユーザは、OTTサービスプロバイダ(SP)806によって提供されるサービスへのアクセスを要求する。812において、OTT SP806は、ノンスΝOTTを生成し、ノンスΝOTTを使用してユーザ認証を実行するように、モバイル端末804とも呼ばれることができる、UE804に要求する。OTT SP806は、例えば、GBAに基づいて、デバイス認証を実行するように、UE804に命令する。814において、UE804上のユーザアプリケーションは、ΝOTTとともにパスワードおよび/またはユーザ名を使用して、ダイジェストを作成する。816において、モバイル端末(MT)804は、ダイジェストをUICC802に転送する。ブラウジングエージェントと認証エージェントが異なる物理エンティティ上に存在している分割端末構成では、分割端末は、図8に示されるMT804のステップを実施する。例えば、デバイス認証を実行するための認証プロセスとして、GBAが使用される場合、MT804は、また、GBAプロセスを開始するように、UICC802に命令する。818において、UICC802およびBSF/NAF(例えば、MNO808)は、GBAブートストラッププロトコルを実行する。プロトコルの一環として、UICC802は、ユーザ認証の一環として導出されたダイジェストを送信する。ダイジェストは、追加のメッセージとしてUICC802によって送信され、またはそれは、ブートストラップメッセージング内に組み込まれる。820において、例えば、UE804が認証されることに成功した場合、BSF/NAFは、UE804が認証されたことを示す肯定的なアサーションを送信する。あるいは、例えば、認証が失敗した場合、BSF/NAFは、否定的なアサーションを送信する。肯定的または否定的なアサーションを用いて、BSF/NAFは、ユーザ認証の一環としてUICC802によってそれに送信されたダイジェストを送信する。822において、OTT SP806は、受信されたダイジェストを検証し、例えば、ダイジェストが予想されたダイジェストである場合、ユーザは、限定的なアクセスまたは完全なアクセスを提供される。アクセスのレベル(例えば、限定的または完全)は、SP806の方針によって決定される。例えば、例示的な実施形態によれば、予想されたダイジェストが受信され、否定的なデバイスアサーションが受信された場合、ユーザは、OTT SP806によって提供されるサービスへの限定的なアクセスを提供され、肯定的なデバイスアサーションが受信され、予想されたダイジェストも受信された場合、ユーザは、OTT SP806によって提供されるサービスへの完全なアクセスを提供される。例示的な実施形態によれば、予想されたダイジェストの受信は、ユーザの認証が成功したことを示し、否定的なデバイスアサーションの受信は、デバイスの認証が成功しなかったことを示す。
例として、図8に示される実施形態の代替的な変形では、ユーザは、ΝOTTを使用して計算されたパスワードのダイジェストおよびパスワード自体を、OTT SPに提示する。ユーザは、ユーザ名もOTT SPに提示する。UICCは、ダイジェストを、GBAプロセス(図8のステップ818)を介して、MNOを通してOTTに送信する(図8の820参照)。その後、OTT SPは、ユーザから受信されたダイジェストを、MNOから受信されたものと比較し、ダイジェストが一致した場合、ユーザが認証される。
図9は、OP/NAF908が、ノンス(NOP)を生成し、認証を実行し、アイデンティティをOTT SP906にアサートする、例示的な実施形態を示している。図9に示される例示的な呼フローは、OpenID/GBA統合呼フローに基づいている。図9に示される例示的な呼フローは、多要素認証を可能にし、認証を結合し、OP/NAF908が、ユーザのアイデンティティおよびデバイスのアイデンティティの両方をOTT SP906にアサートすることを可能にする。
図9を参照すると、912において、OP/NAF908は、ノンスNOPを生成する。OP/NAF908は、(914において)NOPをOTT SP906を介してUE904に転送し、またはそれは、直接的にUE904に送信される。これは、OTT SP906がノンスを生成する、他の実施形態とは異なる。916において、UE904上のユーザアプリケーションは、NNOPとともにパスワードおよび/またはユーザ名を使用して、ダイジェストを作成する。918において、モバイル端末(MT)904は、ダイジェストをUICC902に転送する。ブラウジングエージェントと認証エージェントが異なる物理エンティティ上に存在している分割端末構成では、分割端末は、図9に示されるMT904のステップを実施する。例えば、GBAが、デバイス認証を実行するための認証プロセスとして使用される場合、MT904は、また、GBAプロセスを開始するように、UICC902に命令する。920において、UICC902およびBSF910は、GBAブートストラッププロトコルを実行する。プロトコルの一環として、UICC902は、ユーザ認証の一環として導出されたダイジェストを送信する。ダイジェストは、追加のメッセージとしてUICC902によって送信され、またはそれは、ブートストラップメッセージング内に組み込まれる。922において、UE904は、B−TIDおよびKs_NAFをOP/NAF908に転送する。924において、OP/NAF908は、B−TIDをBSF910に送信する。926において、BSF910は、Ks_NAFおよびパスワードのダイジェストをOP/NAF908に転送する。OP/NAF908は、ユーザのパスワードのダイジェストを計算し、それを、BSF910を介して送信された、UE904から受信されたダイジェストと比較する。例えば、ダイジェストが同じであり、Ks_NAFが同じである場合、928において、OP/NAF908は、UE904およびUE904のユーザを認証する。930において、OP/NAF908は、UE902およびそのユーザのそれぞれのアイデンティティを、OTT SP908にアサートする。
また別の例示的な実施形態では、Ks_NAFおよびユーザのパスワードのダイジェストは、暗号化されて結合され、または組み合わされる。そのような結合は、鍵を生成する関数KDF(NOP,KS_NAF,パスワードのダイジェスト)、またはKDF(Ks_NAF,パスワードのダイジェスト)によって実施される。鍵は、通信を保護するための他の鍵を生成するために、またはサービスにアクセスするためのパスワードとして使用されることができる。
図10は、MNO1006がIdPであり、サードパーティIdPが含まれない、GBAを使用する多要素認証の例示的な一実施形態を示している。例示的な実施形態に示されるように、MNO1006によってホストされるサービスは、多要素認証を必要とし、サービスは、認証の要素を結合する。GBAが実施されるので、MNO1006は、NAF1006と呼ばれることができる。
図10を参照すると、例示的な実施形態によれば、1010において、モバイル端末(MT)1004は、ネットワークアクセス機能(NAF)1006によって提供されるサービスへのアクセスを要求する。1012において、NAF1006は、ノンス(NNAF)を作成し、ユーザ認証が実行されることができるように、それをMT1004に転送する。NAF1006は、MT1004が多要素認証を実行することを要求し、またはそれは、例えば、デバイス1004内において方針ドリブンである。例えば、NAF1006による多要素認証を要求するための通知は、必要とされる認証要素を含むようにHTTPヘッダ値を変更することによって実施される。1014において、MT/UE1004上のユーザアプリケーション/GBAアプリケーションまたはGBA APIは、NNAFを使用し、ユーザのパスワードのダイジェストを作成する。例示的な実施形態では、ダイジェストを作成するために、パスワードと併せて、ユーザ名も使用される。ダイジェストは、安全なハードウェア内で生成される。1016において、アプリケーションは、ダイジェストをUICC1002に転送し、GBA認証プロセスを実行するためにUICC1002を起動する。1018において、UICC1002およびBSF1008は、GBAブートストラップ手順を実行する。GBAの一環として、例えば、UE1004は、NNAFを使用して作成された(ユーザのパスワードの)ダイジェストを送信する。1020において、GBAプロセスが完了すると、例えば、MT1004は、ブートストラップID(B−TID)をNAF1006に送信する。MT1004は、B−TIDとともにKs_NAFを送信する。1022において、NAF1006は、例えば、UEの証明書およびユーザの証明書を獲得するために、B−TIDをBSF1008に提示する。1024において、BSF1008は、GBAプロセスの一部としてUICC1002によって送信されたKs_NAFおよびパスワードのダイジェストを転送する。1026において、NAF1006は、NAF1006によってUE1004に送信されたNNAFを使用して、UEのパスワードのダイジェストを検証する。NAF1006は、また、BSF1008から獲得されたKs_NAFを検証し、それをUE1004によって送信されたKs_NAFと比較する。そのような比較は、加入契約の認証を検証する。NAF1006は、認証を暗号化して、またはプロトコルレベルで結合する。
図11は、図5に示されるようなサードパーティ制御の代わりに、MNO制御(マスタIdPとしてのMNO)を用いる2要素認証を実施する、例示的な実施形態の呼フローである。そのような実施形態では、MNO IdP508がマスタである場合、サードパーティIdPのためのユーザアイデンティティは、SP504から、MNOによって準備されるIdPサービスにリダイレクトされる。例えば、1102において、識別子(xyz@myIdP.com)は、それがユーザによってSP504に送信されたとき、サードパーティIdP506(myIdP)と初期的に関連付けられる。MNO508またはユーザとの先の合意のため(1104参照)、例えば、1106において、SP504は、「アサーション要求」メッセージを、myIdP506にリダイレクトする代わりに、識別子を認識するMNO508にリダイレクトする。方針に従って、またはSP504からの暗黙的もしくは明示的な要求に応答して、MNO508は、2要素認証を実行する。1つの要素は、ユーザを認証し、1つの要素は、UE502を認証する。MNO508は、コントローラとして機能し、ユーザを認証するようにmyIdP506に指図する。UE502は、MNO508によって別途認証される。
例示的な代替構成では、ユーザによるSPへの初期サービス要求メッセージから、ユーザがMNO加入者であり、myIdPに登録されたサードパーティアイデンティティを所有することが理解される。初期メッセージは、MNOの発見を可能にする、myIdPのための識別子以外の情報を含む。そのような情報は、明示的であり、暗黙的であり、修飾された識別子の形態を取り、またはそれらの組み合わせである。
図12Aは、1または複数の開示される実施形態が実施される例示的な通信システム50の図である。通信システム50は、音声、データ、ビデオ、メッセージング、放送などのコンテンツを複数の無線ユーザに提供する、多元接続システムである。通信システム50は、複数の無線ユーザが、無線帯域幅を含むシステムリソースの共用を通して、そのようなコンテンツにアクセスすることを可能にする。例えば、通信システム50は、符号分割多元接続(CDMA)、時分割多元接続(TDMA)、周波数分割多元接続(FDMA)、直交FDMA(OFDMA)、およびシングルキャリアFDMA(SC−FDMA)など、1または複数のチャネルアクセス方法を利用する。
図12Aに示されるように、通信システム50は、無線送信/受信ユニット(WTRU)52a、52b、52c、52d、無線アクセスネットワーク(RAN)54、コアネットワーク56、公衆交換電話網(PSTN)808、インターネット810、ならびに他のネットワーク812を含むが、開示される実施形態は、任意の数のWTRU、基地局、ネットワーク、および/またはネットワーク要素を企図していることが理解される。WTRU52a、52b、52c、52dの各々は、無線環境において動作および/または通信するように構成された任意のタイプのデバイスである。例を挙げると、WTRU52a、52b、52c、52dは、無線信号を送信および/または受信するように構成され、ユーザ機器(UE)、移動局、固定もしくは移動加入者ユニット、ページャ、セルラ電話、携帯情報端末(PDA)、スマートフォン、ラップトップ、ネットブック、パーソナルコンピュータ、無線センサ、および家電製品などを含む。
通信システム50は、基地局64aおよび基地局64bも含む。基地局64a、64bの各々は、コアネットワーク56、インターネット60、および/またはネットワーク62などの1または複数の通信ネットワークへのアクセスを容易にするために、WTRU52a、52b、52c、52dの少なくとも1つと無線でインターフェースを取るように構成された、任意のタイプのデバイスである。例を挙げると、基地局64a、64bは、基地トランシーバ局(BTS)、ノードB、eノードB、ホームノードB、ホームeノードB、サイトコントローラ、アクセスポイント(AP)、および無線ルータなどである。基地局64a、64bは各々、単一の要素として示されているが、基地局64a、64bは、任意の数の相互接続された基地局および/またはネットワーク要素を含むことが理解されよう。
基地局64aは、RAN54の部分とし、RAN54は、他の基地局、および/または基地局コントローラ(BSC)、無線ネットワークコントローラ(RNC)、中継ノードなどのネットワーク要素(図示されず)も含む。基地局64aおよび/または基地局64bは、セル(図示されず)と呼ばれる特定の地理的領域内で、無線信号を送信および/または受信するように構成される。セルは、さらにセルセクタに分割される。例えば、基地局64aに関連付けられたセルは、3つのセクタに分割される。したがって、実施形態では、基地局64aは、送受信機を3つ、すなわち、セルのセクタ毎に1つずつ含む。実施形態では、基地局64aは、マルチ入力マルチ出力(MIMO)技術を利用し、したがって、セルのセクタ毎に複数の送受信機を利用する。
基地局64a、64bは、エアインターフェース66上で、WTRU52a、52b、52c、52dの1または複数と通信し、エアインターフェース66は、任意の適切な無線通信リンク(例えば、無線周波(RF)、マイクロ波、赤外線(IR)、紫外線(UV)、可視光など)である。エアインターフェース66は、任意の適切な無線アクセス技術(RAT)を使用して確立される。
より具体的には、上で言及されたように、通信システム50は、多元接続システムであり、CDMA、TDMA、FDMA、OFDMA、およびSC−FDMAなどの、1または複数のチャネルアクセス方式を利用する。例えば、RAN54内の基地局64a、およびWTRU52a、52b、52cは、広帯域CDMA(WCDMA(登録商標))を使用してエアインターフェース816を確立する、ユニバーサル移動体通信システム(UMTS)地上無線アクセス(UTRA)などの無線技術を実施する。WCDMAは、高速パケットアクセス(HSPA)および/または進化型HSPA(HSPA+)などの通信プロトコルを含む。HSPAは、高速ダウンリンクパケットアクセス(HSDPA)および/または高速アップリンクパケットアクセス(HSUPA)を含む。
実施形態では、基地局64a、およびWTRU52a、52b、52cは、ロングタームエボリューション(LTE)および/またはLTEアドバンスト(LTE−A)を使用してエアインターフェース66を確立する、進化型UMTS地上無線アクセス(E−UTRA)などの無線技術を実施する。
他の実施形態では、基地局64a、およびWTRU52a、52b、52cは、IEEE802.16(すなわち、マイクロ波アクセス用の世界的相互運用性(WiMAX))、CDMA2000、CDMA2000 1X、CDMA2000 EV−DO、暫定標準2000(IS−2000)、暫定標準95(IS−95)、暫定標準856(IS−856)、移動体通信用グローバルシステム(GSM(登録商標))、GSMエボリューション用の高速データレート(EDGE)、およびGSM EDGE(GERAN)などの無線技術を実施する。
図12Aの基地局64bは、無線ルータ、ホームノードB、ホームeノードB、フェムトセル基地局、またはアクセスポイントであり、例えば、職場、家庭、乗物、およびキャンパスなどの局所的エリアにおける無線接続性を容易にするための、任意の適切なRATを利用する。実施形態では、基地局64b、およびWTRU52c、52dは、IEEE802.11などの無線技術を実施して、無線ローカルエリアネットワーク(WLAN)を確立する。実施形態では、基地局814b、およびWTRU52c、52dは、IEEE802.15などの無線技術を実施して、無線パーソナルエリアネットワーク(WPAN)を確立する。さらなる実施形態では、基地局64b、およびWTRU52c、52dは、セルラベースのRAT(例えば、WCDMA、CDMA2000、GSM、LTE、LTE−Aなど)を利用して、ピコセルまたはフェムトセルを確立する。図12Aに示されるように、基地局64bは、インターネット60への直接的な接続を有する。したがって、基地局64bは、コアネットワーク56を介して、インターネット60にアクセスする必要がない。
RAN54は、コアネットワーク56と通信し、コアネットワーク56は、音声、データ、アプリケーション、および/またはボイスオーバインターネットプロトコル(VoIP)サービスをWTRU52a、52b、52c、52dの1または複数に提供するように構成された、任意のタイプのネットワークである。例えば、コアネットワーク56は、呼制御、請求サービス、モバイルロケーションベースのサービス、プリペイド通話、インターネット接続性、ビデオ配信などを提供し、および/またはユーザ認証など、高レベルのセキュリティ機能を実行する。図12Aには示されていないが、RAN54および/またはコアネットワーク56は、RAN54と同じRATまたは異なるRATを利用する他のRANと直接的または間接的に通信することが理解されよう。例えば、E−UTRA無線技術を利用するRAN54に接続するのに加えて、コアネットワーク56は、GSM無線技術を利用する別のRAN(図示されず)とも通信する。
コアネットワーク56は、PSTN58、インターネット60、および/または他のネットワーク62にアクセスするための、WTRU52a、52b、52c、52dのためのゲートウェイとしての役割も果たす。PSTN58は、基本電話サービス(POTS)を提供する回線交換電話網を含む。インターネット60は、TCP/IPインターネットプロトコルスイート内の伝送制御プロトコル(TCP)、ユーザデータグラムプロトコル(UDP)、およびインターネットプロトコル(IP)など、共通の通信プロトコルを使用する、相互接続されたコンピュータネットワークとデバイスとからなるグローバルシステムを含む。ネットワーク62は、他のサービスプロバイダによって所有および/または運営される有線または無線通信ネットワークを含む。例えば、ネットワーク62は、RAN54と同じRATまたは異なるRATを利用する1または複数のRANに接続された、別のコアネットワークを含む。
通信システム800内のWTRU52a、52b、52c、52dのいくつかまたはすべては、マルチモード機能を含み、すなわち、WTRU52a、52b、52c、52dは、異なる無線リンク上で異なる無線ネットワークと通信するための複数の送受信機を含む。例えば、図12Aに示されたWTRU52cは、セルラベースの無線技術を利用する基地局64aと通信するように、またIEEE802無線技術を利用する基地局64bと通信するように構成される。
図12Bは、例示的なWTRU52のシステム図である。図12Bに示されるように、WTRU52は、プロセッサ68と、送受信機70と、送信/受信要素72と、スピーカ/マイクロフォン74と、キーパッド76と、ディスプレイ/タッチパッド78と、着脱不能メモリ80と、着脱可能メモリ82と、電源84と、全地球測位システム(GPS)チップセット86と、他の周辺機器88とを含む。WTRU52は、実施形態との整合性を保ちながら、上記の要素の任意のサブコンビネーションを含むことが理解されよう。
プロセッサ68は、汎用プロセッサ、専用プロセッサ、従来型プロセッサ、デジタル信号プロセッサ(DSP)、複数のマイクロプロセッサ、DSPコアと連携する1または複数のマイクロプロセッサ、コントローラ、マイクロコントローラ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)回路、他の任意のタイプの集積回路(IC)、および状態機械などである。プロセッサ818は、信号符号化、データ処理、電力制御、入出力処理、および/またはWTRU52が無線環境で動作することを可能にする他の任意の機能を実行する。プロセッサ68は、送受信機70に結合され、送受信機70は、送信/受信要素72に結合される。図12Bは、プロセッサ68と送受信機70を別々の構成要素として示しているが、プロセッサ68と送受信機70は、電子パッケージまたはチップ内に一緒に統合されることが理解されよう。プロセッサ68は、アプリケーションレイヤプログラム(例えば、ブラウザ)、ならびに/または無線アクセスレイヤ(RAN)プログラムおよび/もしくは通信を実行する。プロセッサ68は、例えば、アクセスレイヤおよび/またはアプリケーションレイヤなどにおいて、認証、セキュリティ鍵合意などのセキュリティ動作、および/または暗号化動作を実行する。
送信/受信要素72は、エアインターフェース66上で、基地局(例えば、基地局64a)に信号を送信し、または基地局から信号を受信するように構成される。例えば、実施形態では、送信/受信要素72は、RF信号を送信および/または受信するように構成されたアンテナである。実施形態では、送信/受信要素72は、例えば、IR、UV、または可視光信号を送信および/または受信するように構成された放射器/検出器である。さらなる実施形態では、送信/受信要素72は、RF信号と光信号の両方を送信および受信するように構成される。送信/受信要素72は、無線信号の任意の組み合わせを送信および/または受信するように構成されることが理解される。
加えて、図12Bでは、送信/受信要素72は単一の要素として示されているが、WTRU52は、任意の数の送信/受信要素72を含む。より具体的には、WTRU52は、MIMO技術を利用する。したがって、実施形態では、WTRU52は、エアインターフェース66上で無線信号を送信および受信するための2つ以上の送信/受信要素72(例えば、複数のアンテナ)を含む。
送受信機70は、送信/受信要素72によって送信される信号を変調し、送信/受信要素72によって受信された信号を復調するように構成される。上で言及されたように、WTRU52は、マルチモード機能を有する。したがって、送受信機70は、WTRU52が、例えば、UTRAおよびIEEE802.11などの複数のRATを介して通信することを可能にするための、複数の送受信機を含む。
WTRU52のプロセッサ68は、スピーカ/マイクロフォン74、キーパッド76、および/またはディスプレイ/タッチパッド78(例えば、液晶表示(LCD)ディスプレイユニットもしくは有機発光ダイオード(OLED)ディスプレイユニット)に結合され、それらからユーザ入力データを受信する。プロセッサ68は、スピーカ/マイクロフォン74、キーパッド76、および/またはディスプレイ/タッチパッド78にユーザデータを出力もする。加えて、プロセッサ818は、着脱不能メモリ80および/または着脱可能メモリ82など、任意のタイプの適切なメモリから情報を入手し、それらにデータを記憶する。着脱不能メモリ80は、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、ハードディスク、または他の任意のタイプのメモリ記憶デバイスを含む。着脱可能メモリ82は、加入者識別モジュール(SIM)カード、メモリスティック、およびセキュアデジタル(SD)メモリカードなどを含む。他の実施形態では、プロセッサ818は、WTRU52上に物理的に配置されたメモリではなく、サーバまたはホームコンピュータ(図示されず)などの上に配置されたメモリから情報を入手し、それらにデータを記憶する。
プロセッサ68は、電源84から電力を受け取り、WTRU52内の他の構成要素への電力の分配および/または制御を行うように構成される。電源84は、WTRU52に給電するための任意の適切なデバイスである。例えば、電源84は、1または複数の乾電池(例えば、ニッケル−カドミウム(NiCd)、ニッケル−亜鉛(NiZn)、ニッケル水素(NiMH)、リチウムイオン(Li−ion)など)、太陽電池、および燃料電池などを含む。
プロセッサ68は、GPSチップセット86にも結合され、GPSチップセット86は、WTRU52の現在位置に関する位置情報(例えば、経度および緯度)を提供するように構成される。GPSチップセット86からの情報に加えて、またはその代わりに、WTRU52は、基地局(例えば、基地局64a、64b)からエアインターフェース816上で位置情報を受信し、および/または2つ以上の近くの基地局から受信した信号のタイミングに基づいて、自らの位置を決定する。WTRU52は、実施形態との整合性を保ちながら、任意の適切な位置決定方法を用いて、位置情報を獲得することが理解される。
プロセッサ68は、他の周辺機器88にさらに結合され、他の周辺機器88は、追加的な特徴、機能、および/または有線もしくは無線接続性を提供する、1または複数のソフトウェアモジュールおよび/またはハードウェアモジュールを含む。例えば、周辺機器88は、加速度計、eコンパス、衛星送受信機、(写真またはビデオ用の)デジタルカメラ、ユニバーサルシリアルバス(USB)ポート、バイブレーションデバイス、テレビ送受信機、ハンズフリーヘッドセット、Bluetooth(登録商標)モジュール、周波数変調(FM)ラジオユニット、デジタル音楽プレーヤ、メディアプレーヤ、ビデオゲームプレーヤモジュール、およびインターネットブラウザなどを含む。
図12Cは、実施形態による、RAN54およびコアネットワーク806のシステム図である。上述したように、RAN54は、UTRA無線技術を利用して、エアインターフェース66上でWTRU52a、52b、52cと通信する。RAN54はコアネットワーク806とも通信する。図12Cに示されるように、RAN54は、ノードB90a、90b、90cを含み、ノードB90a、90b、90cは各々、エアインターフェース66上でWTRU52a、52b、52cと通信するための1または複数の送受信機を含む。ノードB90a、90b、90cは各々、RAN54内の特定のセル(図示されず)に関連付けられる。RAN54は、RNC92a、92bも含む。RAN54は、実施形態との整合性を保ちながら、任意の数のノードBおよびRNCを含むことが理解される。
図12Cに示されるように、ノードB90a、90bは、RNC92aと通信する。加えて、ノードB90cは、RNC92bと通信する。ノードB90a、90b、90cは、Iubインターフェースを介して、それぞれのRNC92a、92bと通信する。RNC92a、92bは、Iurインターフェースを介して、互いに通信する。RNC92a、92bの各々は、それが接続されたそれぞれのノードB90a、90b、90cを制御するように構成される。加えて、RNC92a、92bの各々は、アウタループ電力制御、負荷制御、アドミッションコントロール、パケットスケジューリング、ハンドオーバ制御、マクロダイバーシティ、セキュリティ機能、およびデータ暗号化など、他の機能を実施および/またはサポートするように構成される。
図12Cに示されるコアネットワーク806は、メディアゲートウェイ(MGW)844、モバイル交換センタ(MSC)96、サービングGPRSサポートノード(SGSN)98、および/またはゲートウェイGPRSサポートノード(GGSN)99を含む。上記の要素の各々は、コアネットワーク56の部分として示されているが、これらの要素は、どの1つをとっても、コアネットワークオペレータとは異なるエンティティによって所有および/または運営されることが理解される。
RAN54内のRNC92aは、IuCSインターフェースを介して、コアネットワーク56内のMSC96に接続される。MSC96は、MGW94に接続される。MSC96とMGW94は、PSTN58などの回線交換ネットワークへのアクセスをWTRU52a、52b、52cに提供して、WTRU52a、52b、52cと従来の陸線通信デバイスとの間の通信を容易にする。
RAN54内のRNC92aは、IuPSインターフェースを介して、コアネットワーク806内のSGSN98にも接続される。SGSN98は、GGSN99に接続される。SGSN98とGGSN99は、インターネット60などのパケット交換ネットワークへのアクセスをWTRU52a、52b、52cに提供して、WTRU52a、52b、52cとIP対応デバイスとの間の通信を容易にする。
上述したように、コアネットワーク56は、ネットワーク62にも接続され、ネットワーク62は、他のサービスプロバイダによって所有および/または運営される他の有線または無線ネットワークを含む。
上記説明では、特徴および要素は特定の組み合わせとしたが、各特徴または要素は、単独で使用され、または他の特徴および要素との任意の組み合わせで使用されることができる。加えて、本明細書で説明された実施形態は、専ら例示の目的で提供された。例えば、本明細書では、実施形態は、OpenIDおよび/またはSSO認証エンティティおよび機能を使用して説明したが、類所の実施形態は、他の認証エンティティおよび機能を使用しても実施される。さらに、本明細書で説明された実施形態は、コンピュータまたはプロセッサによって実行される、コンピュータ可読媒体内に含まれる、コンピュータプログラム、ソフトウェア、またはファームウェアで実施される。コンピュータ可読媒体の例は、(有線または無線接続上で送信される)電子信号、およびコンピュータ可読記憶媒体を含む。コンピュータ可読記憶媒体の例は、リードオンリメモリ(ROM)、ランダムアクセスメモリ(RAM)、レジスタ、キャッシュメモリ、半導体メモリデバイス、内蔵ハードディスクおよび着脱可能ディスクなどの磁気媒体、光磁気媒体、ならびにCD−ROMディスクおよびデジタル多用途ディスク(DVD)などの光媒体を含むが、それらに限定されない。ソフトウェアと連携するプロセッサは、WTRU、UE、端末、基地局、RNC、または任意のホストコンピュータにおける使用のための無線周波送受信機を実施するために使用される。
Claims (20)
- 多要素認証を実行するための方法であって、
マスタアイデンティティプロバイダ(M−IdP)において、ユーザ機器(UE)を介するサービスへのアクセスを要求したユーザを認証するように求める要求をサービスプロバイダから受信するステップであって、前記要求は、認証要件のインジケーションと、前記M−IdPに関連付けられた前記ユーザのアイデンティティとを含む、ステップと、
前記認証要件を達成することが可能な複数の認証要素を決定するステップと、
前記M−IdPに関連付けられた前記ユーザアイデンティティに基づいて、前記決定された認証要素のうちの選択されたいくつかと関連付けられた、前記ユーザまたは前記UEのアイデンティティを決定するステップと、
前記認証要素のうちの前記選択されたいくつかと関連付けられた前記アイデンティティを使用して、各選択要素についての認証を要求するステップと、
各選択要素についての前記認証の結果を受信し、前記結果を組み合わせて、前記認証要件に従って認証が成功したことを示す認証アサーションを生成するステップと、
前記認証アサーションを前記サービスプロバイダに送信するステップと
を備えたことを特徴とする方法。 - 前記認証要件の前記インジケーションは、必要とされる認証保証レベルを備えたことを特徴とする請求項1に記載の方法。
- 前記認証要件の前記インジケーションは、必要とされる認証要素の識別を備えたことを特徴とする請求項1に記載の方法。
- 前記認証アサーションを暗号化するステップをさらに備えたことを特徴とする請求項1に記載の方法。
- 各選択認証要素についての受信された前記結果は、暗号化されることを特徴とする請求項1に記載の方法。
- 前記複数の選択認証要素の1つは、前記ユーザが加入契約を結んでいるモバイルネットワークオペレータによって認証される前記UEの証明書を含むことを特徴とする請求項1に記載の方法。
- 前記M−IdPは、前記ユーザが加入契約を結んでいるモバイルネットワークオペレータであることを特徴とする請求項1に記載の方法。
- 各選択要素についての前記認証の各結果は、異なるアイデンティティプロバイダから受信されることを特徴とする請求項1に記載の方法。
- 前記異なるアイデンティティプロバイダは、前記サービスプロバイダの方針に従って決定されることを特徴とする請求項8に記載の方法。
- 前記結果を組み合わせる前記ステップは、前記結果を暗号化して一緒に結合するステップをさらに備えたことを特徴とする請求項1に記載の方法。
- 各選択認証要素についての前記結果は、対応する保証レベルおよび対応する鮮度レベルを備えたことを特徴とする請求項1に記載の方法。
- 前記サービスプロバイダは、前記M−IdPであることを特徴とする請求項1に記載の方法。
- 少なくとも1つの選択事実についての少なくとも1つの認証は、前記M−IdPにおいて実行されることを特徴とする請求項1に記載の方法。
- 多要素認証を実行するための方法であって、
マスタアイデンティティプロバイダ(M−IdP)において、ユーザ機器(UE)を介するサービスへのアクセスを要求したユーザを認証するように求める要求をサービスプロバイダから受信するステップであって、前記要求は、認証要件のインジケーションと、前記M−IdPに関連付けられた前記ユーザのアイデンティティとを含む、該ステップと、
前記認証要件を達成することが可能な複数の認証要素を決定するステップと、
選択要素についての認証を実行するステップと、
前記選択要素についての前記認証の結果を獲得し、前記結果を組み合わせて、前記認証要件に従って認証が成功したことを示す認証アサーションを作成するステップと、
前記認証アサーションを前記サービスプロバイダに送信するステップと
を備えたことを特徴とする方法。 - 前記複数の認証要素を互いに一緒に結合するステップ
をさらに備えたことを特徴とする請求項14に記載の方法。 - 前記必要とされる認証保証レベルを達成することが可能な前記決定された複数の認証要素のうちのいくつかを選択するステップ
をさらに備えたことを特徴とする請求項14に記載の方法。 - 前記選択するステップは、前記UEから受信されたインジケーションに基づくことを特徴とする請求項16に記載の方法。
- 実行可能命令を含むメモリと、
前記メモリと通信するプロセッサであって、前記命令が、前記プロセッサによって実行された場合、前記プロセッサに、
マスタアイデンティティプロバイダ(M−IdP)において、ユーザ機器(UE)を介するサービスへのアクセスを要求したユーザを認証するように求める要求をサービスプロバイダから受信することであって、前記要求は、認証要件のインジケーションと、前記M−IdPに関連付けられた前記ユーザのアイデンティティとを含む、該受信することと、
前記認証要件を達成することが可能な複数の認証要素を決定することと、
前記M−IdPに関連付けられた前記ユーザアイデンティティに基づいて、前記決定された認証要素のうちの選択されたいくつかと関連付けられた、前記ユーザまたは前記UEのアイデンティティを決定することと、
前記認証要素のうちの前記選択されたいくつかと関連付けられた前記アイデンティティを使用して、各選択要素についての認証を要求することと、
各選択要素についての前記認証の結果を受信し、前記結果を組み合わせて、前記認証要件に従って認証が成功したことを示す認証アサーションを作成することと、
前記認証アサーションを前記サービスプロバイダに送信することと
を含む動作を達成させる、前記プロセッサと
を備えたことを特徴とする装置。 - 前記複数の選択認証要素の1つは、前記ユーザが加入契約を結んでいるモバイルネットワークオペレータによって認証される前記UEの証明書を含むことを特徴とする請求項18に記載の装置。
- 各選択要素についての前記認証の各結果は、異なるアイデンティティプロバイダから受信されることを特徴とする請求項18に記載の装置。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261736407P | 2012-12-12 | 2012-12-12 | |
| US61/736,407 | 2012-12-12 | ||
| US201361765354P | 2013-02-15 | 2013-02-15 | |
| US61/765,354 | 2013-02-15 | ||
| PCT/US2013/074654 WO2014093613A1 (en) | 2012-12-12 | 2013-12-12 | Independent identity management systems |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016511849A true JP2016511849A (ja) | 2016-04-21 |
Family
ID=49887328
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015547539A Pending JP2016511849A (ja) | 2012-12-12 | 2013-12-12 | 独立アイデンティティ管理システム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20150319156A1 (ja) |
| EP (1) | EP2932680A1 (ja) |
| JP (1) | JP2016511849A (ja) |
| WO (1) | WO2014093613A1 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018205906A (ja) * | 2017-05-31 | 2018-12-27 | キヤノン株式会社 | 画像処理装置、方法、プログラム及びシステム |
| JP2020042372A (ja) * | 2018-09-06 | 2020-03-19 | 株式会社ペンライズ・アンド・カンパニー | 認証システム |
| JP2020173507A (ja) * | 2019-04-08 | 2020-10-22 | 富士ゼロックス株式会社 | 認証仲介装置及び認証仲介プログラム |
| JP2022506818A (ja) * | 2018-10-31 | 2022-01-17 | エヌビーエー プロパティーズ, インコーポレイテッド | パートナ統合ネットワーク |
| WO2023062809A1 (ja) | 2021-10-15 | 2023-04-20 | 富士通株式会社 | 認証プログラム、認証装置、及び認証方法 |
Families Citing this family (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9270765B2 (en) | 2013-03-06 | 2016-02-23 | Netskope, Inc. | Security for network delivered services |
| EP2979426A1 (en) * | 2013-03-27 | 2016-02-03 | Interdigital Patent Holdings, Inc. | Seamless authentication across multiple entities |
| WO2014176539A1 (en) * | 2013-04-26 | 2014-10-30 | Interdigital Patent Holdings, Inc. | Multi-factor authentication to achieve required authentication assurance level |
| US9553867B2 (en) | 2013-08-01 | 2017-01-24 | Bitglass, Inc. | Secure application access system |
| GB2518255A (en) | 2013-09-13 | 2015-03-18 | Vodafone Ip Licensing Ltd | Communicating with a machine to machine device |
| IN2013CH04721A (ja) * | 2013-10-21 | 2015-08-07 | Subex Ltd | |
| US9264419B1 (en) * | 2014-06-26 | 2016-02-16 | Amazon Technologies, Inc. | Two factor authentication with authentication objects |
| SE538485C2 (en) * | 2014-08-08 | 2016-08-02 | Identitrade Ab | Method and system for authenticating a user |
| SE539192C2 (en) * | 2014-08-08 | 2017-05-09 | Identitrade Ab | Method and a system for authenticating a user |
| WO2016040744A1 (en) * | 2014-09-12 | 2016-03-17 | Id. Me, Inc. | Systems and methods for online third-party authentication of credentials |
| US9756664B2 (en) | 2014-11-24 | 2017-09-05 | Qualcomm Incorporated | Methods of supporting location and emergency calls for an over-the-top service provider |
| US10097979B2 (en) * | 2014-11-24 | 2018-10-09 | Qualcomm Incorporated | Location by reference for an over-the-top emergency call |
| US11023117B2 (en) * | 2015-01-07 | 2021-06-01 | Byron Burpulis | System and method for monitoring variations in a target web page |
| WO2016112290A1 (en) * | 2015-01-09 | 2016-07-14 | Interdigital Technology Corporation | Scalable policy based execution of multi-factor authentication |
| US11736468B2 (en) | 2015-03-16 | 2023-08-22 | Assa Abloy Ab | Enhanced authorization |
| US10114966B2 (en) | 2015-03-19 | 2018-10-30 | Netskope, Inc. | Systems and methods of per-document encryption of enterprise information stored on a cloud computing service (CCS) |
| US12015596B2 (en) * | 2015-10-28 | 2024-06-18 | Qomplx Llc | Risk analysis using port scanning for multi-factor authentication |
| US10129252B1 (en) * | 2015-12-17 | 2018-11-13 | Wells Fargo Bank, N.A. | Identity management system |
| CN106909811B (zh) * | 2015-12-23 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 用户标识处理的方法和装置 |
| US11425169B2 (en) | 2016-03-11 | 2022-08-23 | Netskope, Inc. | Small-footprint endpoint data loss prevention (DLP) |
| US11403418B2 (en) | 2018-08-30 | 2022-08-02 | Netskope, Inc. | Enriching document metadata using contextual information |
| US11405423B2 (en) | 2016-03-11 | 2022-08-02 | Netskope, Inc. | Metadata-based data loss prevention (DLP) for cloud resources |
| US11019101B2 (en) | 2016-03-11 | 2021-05-25 | Netskope, Inc. | Middle ware security layer for cloud computing services |
| US10270788B2 (en) | 2016-06-06 | 2019-04-23 | Netskope, Inc. | Machine learning based anomaly detection |
| LU93150B1 (en) * | 2016-07-13 | 2018-03-05 | Luxtrust S A | Method for providing secure digital signatures |
| US10476907B2 (en) | 2016-08-10 | 2019-11-12 | Netskope, Inc. | Systems and methods of detecting and responding to a data attack on a file system |
| US10819749B2 (en) | 2017-04-21 | 2020-10-27 | Netskope, Inc. | Reducing error in security enforcement by a network security system (NSS) |
| US10484358B2 (en) | 2017-05-05 | 2019-11-19 | Servicenow, Inc. | Single sign-on user interface improvements |
| US10834113B2 (en) | 2017-07-25 | 2020-11-10 | Netskope, Inc. | Compact logging of network traffic events |
| US20190182242A1 (en) * | 2017-12-11 | 2019-06-13 | Cyberark Software Ltd. | Authentication in integrated system environment |
| US10798083B2 (en) | 2018-02-19 | 2020-10-06 | Red Hat, Inc. | Synchronization of multiple independent identity providers in relation to single sign-on management |
| US10783270B2 (en) | 2018-08-30 | 2020-09-22 | Netskope, Inc. | Methods and systems for securing and retrieving sensitive data using indexable databases |
| US10868808B1 (en) * | 2018-10-16 | 2020-12-15 | Sprint Communications Company L.P. | Server application access authentication based on SIM |
| US11416641B2 (en) | 2019-01-24 | 2022-08-16 | Netskope, Inc. | Incident-driven introspection for data loss prevention |
| US11070980B1 (en) | 2019-03-25 | 2021-07-20 | Sprint Communications Company L.P. | Secondary device authentication proxied from authenticated primary device |
| EP3805961B1 (en) * | 2019-10-10 | 2024-04-24 | Palantir Technologies Inc. | Systems and method for authenticating users of a data processing platform from multiple identity providers |
| US11856022B2 (en) | 2020-01-27 | 2023-12-26 | Netskope, Inc. | Metadata-based detection and prevention of phishing attacks |
| US11240226B2 (en) * | 2020-03-05 | 2022-02-01 | International Business Machines Corporation | Synchronous multi-tenant single sign-on configuration |
| US10867073B1 (en) | 2020-06-03 | 2020-12-15 | Netskope, Inc. | Detecting organization image-borne sensitive documents and protecting against loss of the sensitive documents |
| US10990856B1 (en) | 2020-06-03 | 2021-04-27 | Netskope, Inc. | Detecting image-borne identification documents for protecting sensitive information |
| US10949961B1 (en) | 2020-06-03 | 2021-03-16 | Netskope, Inc. | Detecting screenshot images for protecting against loss of sensitive screenshot-borne data |
| US10965674B1 (en) * | 2020-06-08 | 2021-03-30 | Cyberark Software Ltd. | Security protection against threats to network identity providers |
| US11457008B2 (en) * | 2020-10-13 | 2022-09-27 | Cisco Technology, Inc. | Steering traffic on a flow-by-flow basis by a single sign-on service |
| US11677750B2 (en) * | 2020-11-13 | 2023-06-13 | Okta, Inc. | Factor health assessment and selection for login at an identity provider |
| JP7021376B2 (ja) * | 2021-01-06 | 2022-02-16 | Kddi株式会社 | 通信装置、通信方法、およびコンピュータプログラム |
| US11848949B2 (en) | 2021-01-30 | 2023-12-19 | Netskope, Inc. | Dynamic distribution of unified policies in a cloud-based policy enforcement system |
| US11741213B2 (en) | 2021-06-24 | 2023-08-29 | Bank Of America Corporation | Systems for enhanced bilateral machine security |
| US20230015789A1 (en) * | 2021-07-08 | 2023-01-19 | Vmware, Inc. | Aggregation of user authorizations from different providers in a hybrid cloud environment |
| US11503038B1 (en) | 2021-10-27 | 2022-11-15 | Netskope, Inc. | Policy enforcement and visibility for IaaS and SaaS open APIs |
| US11899685B1 (en) | 2021-12-10 | 2024-02-13 | Amazon Technologies, Inc. | Dividing authorization between a control plane and a data plane for sharing database data |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010225078A (ja) * | 2009-03-25 | 2010-10-07 | Nec Corp | 認証方法及びその認証システム並びにその認証処理プログラム |
| JP2011191882A (ja) * | 2010-03-12 | 2011-09-29 | Hitachi Ltd | Idブリッジサービスシステム及びその方法 |
| WO2012149384A1 (en) * | 2011-04-28 | 2012-11-01 | Interdigital Patent Holdings, Inc. | Sso framework for multiple sso technologies |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050177724A1 (en) * | 2004-01-16 | 2005-08-11 | Valiuddin Ali | Authentication system and method |
| US8904519B2 (en) * | 2009-06-18 | 2014-12-02 | Verisign, Inc. | Shared registration system multi-factor authentication |
| US8756650B2 (en) * | 2010-03-15 | 2014-06-17 | Broadcom Corporation | Dynamic authentication of a user |
| US9686255B2 (en) * | 2010-07-21 | 2017-06-20 | Citrix Systems, Inc. | Systems and methods for an extensible authentication framework |
| US8832271B2 (en) * | 2010-12-03 | 2014-09-09 | International Business Machines Corporation | Identity provider instance discovery |
| US20130275282A1 (en) * | 2012-04-17 | 2013-10-17 | Microsoft Corporation | Anonymous billing |
-
2013
- 2013-12-12 US US14/651,455 patent/US20150319156A1/en not_active Abandoned
- 2013-12-12 WO PCT/US2013/074654 patent/WO2014093613A1/en active Application Filing
- 2013-12-12 EP EP13815323.4A patent/EP2932680A1/en not_active Withdrawn
- 2013-12-12 JP JP2015547539A patent/JP2016511849A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010225078A (ja) * | 2009-03-25 | 2010-10-07 | Nec Corp | 認証方法及びその認証システム並びにその認証処理プログラム |
| JP2011191882A (ja) * | 2010-03-12 | 2011-09-29 | Hitachi Ltd | Idブリッジサービスシステム及びその方法 |
| WO2012149384A1 (en) * | 2011-04-28 | 2012-11-01 | Interdigital Patent Holdings, Inc. | Sso framework for multiple sso technologies |
Non-Patent Citations (1)
| Title |
|---|
| 滝沢 泰盛: "インサイド INSIDE", 日経コミュニケーション 第506号 NIKKEI COMMUNICATIONS, JPN6017021626, 15 March 2008 (2008-03-15), JP, pages 89 - 93, ISSN: 0003578357 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018205906A (ja) * | 2017-05-31 | 2018-12-27 | キヤノン株式会社 | 画像処理装置、方法、プログラム及びシステム |
| JP2020042372A (ja) * | 2018-09-06 | 2020-03-19 | 株式会社ペンライズ・アンド・カンパニー | 認証システム |
| JP2022506818A (ja) * | 2018-10-31 | 2022-01-17 | エヌビーエー プロパティーズ, インコーポレイテッド | パートナ統合ネットワーク |
| JP7246475B2 (ja) | 2018-10-31 | 2023-03-27 | エヌビーエー プロパティーズ, インコーポレイテッド | パートナ統合ネットワーク |
| JP2023053147A (ja) * | 2018-10-31 | 2023-04-12 | エヌビーエー プロパティーズ, インコーポレイテッド | パートナ統合ネットワーク |
| JP7398580B2 (ja) | 2018-10-31 | 2023-12-14 | エヌビーエー プロパティーズ, インコーポレイテッド | パートナ統合ネットワーク |
| JP2020173507A (ja) * | 2019-04-08 | 2020-10-22 | 富士ゼロックス株式会社 | 認証仲介装置及び認証仲介プログラム |
| JP7238558B2 (ja) | 2019-04-08 | 2023-03-14 | 富士フイルムビジネスイノベーション株式会社 | 認証仲介装置及び認証仲介プログラム |
| WO2023062809A1 (ja) | 2021-10-15 | 2023-04-20 | 富士通株式会社 | 認証プログラム、認証装置、及び認証方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2932680A1 (en) | 2015-10-21 |
| US20150319156A1 (en) | 2015-11-05 |
| WO2014093613A1 (en) | 2014-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2016511849A (ja) | 独立アイデンティティ管理システム | |
| US10038692B2 (en) | Characteristics of security associations | |
| US9185560B2 (en) | Identity management on a wireless device | |
| US9614831B2 (en) | Authentication and secure channel setup for communication handoff scenarios | |
| US9237142B2 (en) | Client and server group SSO with local openID | |
| TWI538463B (zh) | 確保網路通訊系統及方法 | |
| US10044713B2 (en) | OpenID/local openID security | |
| TWI514896B (zh) | 可信賴聯合身份方法及裝置 | |
| US20170374070A1 (en) | Scalable policy based execution of multi-factor authentication | |
| JP2018092645A (ja) | 複数のエンティティにまたがるシームレスな認証 | |
| US9467429B2 (en) | Identity management with generic bootstrapping architecture | |
| US20130191884A1 (en) | Identity management with local functionality | |
| TW201225697A (en) | Identity management on a wireless device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160830 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160913 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161213 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20170613 |