JP4303130B2 - シングルサインオンサービスのためのシステム、方法、および装置 - Google Patents

シングルサインオンサービスのためのシステム、方法、および装置 Download PDF

Info

Publication number
JP4303130B2
JP4303130B2 JP2003572323A JP2003572323A JP4303130B2 JP 4303130 B2 JP4303130 B2 JP 4303130B2 JP 2003572323 A JP2003572323 A JP 2003572323A JP 2003572323 A JP2003572323 A JP 2003572323A JP 4303130 B2 JP4303130 B2 JP 4303130B2
Authority
JP
Japan
Prior art keywords
authentication
user
mobile communication
communication network
service provider
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003572323A
Other languages
English (en)
Other versions
JP2005519501A5 (ja
JP2005519501A (ja
Inventor
ルイス バリガ,
ブラスケエス, アベリーナ パルド
ジョン, マイケル ウォーカー,
グレゴリオ, ヘスス−アンヘル デ
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US10/176,471 external-priority patent/US7221935B2/en
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2005519501A publication Critical patent/JP2005519501A/ja
Publication of JP2005519501A5 publication Critical patent/JP2005519501A5/ja
Application granted granted Critical
Publication of JP4303130B2 publication Critical patent/JP4303130B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer

Description

本発明は、一般に、複数のユーザに対して提供可能なシングルサインオンサービスに係り、とりわけ、移動通信ネットワークオペレータ網の加入者である複数のユーザに対して提供可能なシングルサインオン型のウェブベースサービスを提供する手段、システム、および方法に関する。
ウェブサービスの出現は、ユーザが容易かつ便利にウェブサービスにアクセスできるようにする新規のサービス、いわゆるシングルサインオン(SSO)をもたらした。現在のSSOの原理によれば、ユーザは、一度認証されれば、そのレベルの認証を受け入れる全ての加入サービスへのアクセス権を取得できる。この原理は、エンドユーザの利便性について着目してはいるが、SSOを実現する際の端末およびネットワークの機能については何ら定めてはいない。現在のトレンドとしては、SSO原理を実行する2つの手法が存在する。
第1の手法、すなわち、「端末中心」手法では、ユーザが一度端末に対して認証を実行すると、端末はサービスを発信するネットワークアクセスを自動的に追跡する。そして、これ以上のユーザの助けを必要とすることなく、透過的に、適切な信用証明書を要求するサービスを発信するネットワークに、この証明を提示する。
第2の手法、すなわち、「ネットワーク中心」手法では、ユーザが一度ネットワーク中の認証プロバイダ(AP)に対して認証を実行する。認証プロバイダは、そのサービスに対する適切な信用証明書を処理する。
いわゆる「ネットワーク中心」手法は、認証プロバイダおよびサービスプロバイダ間にドメインの信頼関係が存在する場合に適している。一方、端末中心手法は、この信頼関係が存在せず、端末が異種のドメインまたはサービスに対して認証を追跡することができる場合に適している。
両手法を組み合わせてもよい。ネットワークオペレータは、デジタル証明書、短時間証明書、または一時チケットなどの信用証明書、あるいは、端末またはアクセス可能な読取り書込みカードに格納されるであろうトークンを発行してもよい。これらは、認証手順または許可手順の際にユーザにより使用される。
米国特許出願 US2002/0010776A1号公報 欧州特許出願 EP1089516号公報
従来のセルラーオペレータは、認証サービスを使用して音声・データサービスを提供しており、当該サービスへ加入者がアクセスする際には、そのアクセスを許可していた。セルラーオペレータがバリューチェーンを上昇させるにつれて、加入者との相互の信頼関係を強化することができるであろう。サービスドメインおよび認証サービスが異なる管理エンティティに属している新興のビジネスモデルの加入者らに対しては、認証プロバイダが、新規の役割を果たすことになる。ここで、両アクセス、すなわち、IP接続とサービスとを提供できるオペレータは、アクセスレベルで実行される認証が、サービスドメインでの認証として有効となるように、加入者に対して「アクセス認証SSO」を追加的に提供することになろう。これが、本発明の目的を説明する際の適切なスタート地点となる。
より詳細に、上述の手法の利点および欠点を考察するためには、ユーザに提供されるであろうサービスだけでなく、サービスドメインと認証プロバイダとの間の関係を考慮に入れなければならない。一般的に言って、認証プロバイダは、サービスを提供するサービスプロバイダと同じ管理ドメインに属していてもよいし、信頼できる第三者または分散型の連盟に委任されてもよい。
本発明の第1の目的は、移動通信ネットワークオペレータ(MNO)の連盟の加入者、すなわち、異なるサービスプロバイダ(SP)のユーザである加入者に対して、シングルサインオン(SSO)サービスをサポートすることである。ユーザ、移動通信ネットワークのオペレータの連盟、およびこの連盟の少なくとも1つのメンバと契約を結んでいるサービスプロバイダが、本発明によるアーキテクチャ/ビジネス参照モデルによって、追加の利点および付加価値サービスを得られるように、SSOサービスがサポートされる。
具体的には、参照モデル契約内における任意のサービスプロバイダ(SP)においては、任意のサービスにアクセスできるといったSSOサービスの利点を、ユーザは得られることになる。移動通信ネットワークオペレータ(MNO)は、移動通信への加入価値を高めることで、加入者の解約を低減できることに加え、SSOサービス、特に、認証サービスおよび許可サービスを第三者に提供することによって収益を得られるであろう。最終的に、サービスプロバイダは、多様なユーザによる多様なメカニズムに対するサポートを最小限にする、より簡単で安全な認証/許可メカニズムを備えることにより、潜在的なユーザ、すなわち、移動通信への加入者を増加させることができるだろう。このシナリオによれば、認証プロバイダおよびサービスプロバイダは、異なる管理ドメインに所属する。同時に、これらの利点は、いわゆるモバイルコマース(m−コマース)を増加させる点で好都合である。これを本発明のさらなる目的と考えることができる。
「ネットワーク中心」手法は、上述のように、認証プロバイダの処理を担当することを希望する移動通信ネットワークオペレータの加入者でもある、サービスプロバイダのユーザを関与させるシナリオに適しているようにも思える。しかし、ここでは、認証プロバイダとして機能するネットワークの種別に関係なく、一般的なネットワーク中心手法におけるSSOサービスを参照しながら、最も近い周知の従来技術について考察する。
例えば、Lerner氏の米国特許出願US2002/0010776A1号は、認証/許可サービスのために、シングルサインオン(SSO)分散型アプリケーションサービスを統合する方法およびシステムについて記載している。この出願の関連する教示によれば、第1アプリケーションのブラウザを指定するユーザからの第1の指示が、ユーザ端末に接続された中央サーバにおいて受信されると、処理が開始される。ユーザに対応するクッキーファイルも、第1アプリケーションのブラウザから送信され、中央サーバにおいて受信される。中央サーバはブラウザから受信されたクッキーファイルを更新する。
クッキーファイルは可変長のデータセグメントであり、通常、数百バイトのサイズを有する。これらのクッキーは、中央サーバに対してローカルか、あるいは、リモートの相手側のサイトに常駐するかに関わらず、各加入ウェブサーバに常駐するアプリケーションインタフェースライブラリにより書き込まれ、読み出され、そして修正される。具体的に、受信されたクッキーファイルの更新処理には、クッキーファイルに含まれるいくつかの所定のパラメータとの比較処理と、この比較処理に基づくクッキーファイルの最終的な変更処理が含まれる。
ユーザがサーバに第2アプリケーションを指定していることを示すユーザからの第2の指示が、中央サーバにおいて受信されると、中央サーバは第2アプリケーションにこの更新されたクッキーファイルを供給する。
この出願によれば、クッキーファイルに対して書込み、読出し、および変更を行なう役割を果たす上述のアプリケーションインタフェースライブラリが、他のアプリケーション間でも認証を行なうように構成されていることが記載されている。従って、当業者は全てのユーザに対する認証データおよび対応する機能が、ローカルまたはリモートの相手側のサイトにおいて、各加入ウェブサーバに常駐することをすぐに理解できるであろう。これは管理上、さらに不利となる。具体的には、ユーザが、SSOサービスの利点を得ている場合でも、加入ウェブサーバの任意のアプリケーションにおいて、ユーザの認証に関する特定の動作が実行される。当該アプリケーションのブラウザはユーザにより指定されたものである。このため、このメカニズムは、認証プロバイダおよびサービスプロバイダが同じ管理ドメインに属するシナリオの一例として理解できよう。
上述の教示は、移動通信ネットワークオペレータの連盟、当該連盟の少なくとも1つのメンバと恐らく契約を結んだであろう複数の異なるサービスプロバイダ、および当該連盟のいずれかのメンバの移動通信加入者など、多数の潜在的なユーザから構成される大規模な通信システムにおいては、適切でないように思われる。
また、加入者認証データおよびアルゴリズムが非常に注意を要するような情報である場合、MNOは、自己の設備外にあるエンティティを介してこの情報を頒布することには、非常に抵抗感を感じるであろう。
シングルサインオンによるユーザアクセスのための方法およびシステムの別の重要な例が、Grandcolas氏等の欧州特許出願第EP−1089516号に記載されている。この出願によれば、ユーザは複数のウェブサーバへのアクセス権を取得することができる。
この出願によれば、望ましいサービスを提供する第2ウェブサーバをユーザが選択できるようにする第1ウェブサーバにおいて、ユーザを認証する方法について記載する。ユーザが効果的に第2ウェブサーバを選択すると、第1ウェブサーバは暗号化された認証トークンを生成し、それを第2ウェブサーバへと送信する。第2ウェブサーバは、受信されたトークンを認証し、ユーザがこの第2ウェブサーバにおいてセッションを所有できるようにする。また、第1ウェブサーバおよび第2ウェブサーバの双方は、サブドメインを共有する。すなわち、この出願のシナリオは、認証プロバイダ、すなわち、第1ウェブサーバとサービスプロバイダ(すなわち、第2ウェブサーバ)との双方が同じ管理ドメインに所属する場合のものである。
このため、この出願の教示は、認証プロバイダおよびサービスプロバイダが異なる管理ドメインに所属するシナリオには適用できない。すなわち、この出願における第1ウェブサーバである認証プロバイダが、サービスを提供される第2ウェブサーバにアクセスするユーザにとっての最初の連絡装置となる。
従って、この手法は認証プロバイダおよびサービスプロバイダが異なる管理ドメインに所属するシナリオにおいては、実用に適さないようである。このようなシナリオでは、認証局にユーザを認証するよう要求するサービスプロバイダにユーザが直接アクセスし、一度この認証に成功すると、ユーザに対して選択されたサービスをサービスプロバイダが提供することを、認証局はサービスプロバイダに許可する。
認証プロバイダおよびサービスプロバイダが異なる管理/商用ドメインに所属するシナリオを表す現在の周知のソリューションは、マイクロソフト(R) .NET Passport製品である(http://www.passport.comに記載される通りであり、以下「.NET Passport」と称す。)。この製品は、広範囲のインターネット信頼ネットワークを構築することを意図するもので、対応する規格をサポートする任意の組織に対してオープンとなっている技術/操作ガイドラインの共通のセットを使用する。
しかしながら、この手法では、移動通信ネットワークオペレータの連盟の少なくとも1つのメンバと提携するサービスプロバイダにアクセスする移動通信加入者について認証処理を担当するために、連盟を結成するといった問題は解決されていない。さらに、非常に大規模なインターネット認証システムとなることを意図している .NET Passportのような手法は、中央集権化認証局に基づく複雑な解決法であり、中央集権化認証局は、移動通信ネットワークオペレータおよび加入者に有利な取引を提案するものではない。
本発明の主要な目的は、移動通信ネットワークオペレータ(MNO)の連盟における任意のMNOの加入者に、シングルサインオン(SSO)サービスを提供する提携サービスプロバイダ(SP)に対して、認証局として機能する連盟を構築するシステム、手段、および方法を提供することである。本発明の他の目的は、認証局として機能する連盟が、移動通信ネットワークオペレータが現在使用するのと同等以上のレベルでセキュリティ/プライバシー関連の要件を充足させることである。本発明のさらなる目的は、上述の目的のシステム、手段、および方法に従って、実行装置、役割、関係、および基本的な使用ケースに関するアーキテクチャやビジネスの参照モデルを確立することである。
とりわけ、上述の目的は、本発明によると第1移動通信ネットワークのオペレータに加入しかつ選択されたサービスプロバイダにアクセスするユーザに、シングルサインオンサービスを提供するシステム、方法、および装置の提供により達成される。
第1移動通信ネットワークオペレータに所属する第1移動通信ネットワークと、第2移動通信ネットワークオペレータに所属する少なくとも1つの第2移動通信ネットワークと、複数のサービスプロバイダの少なくとも1つであって、認証局により前記少なくとも1つのサービスプロバイダに対して前記移動通信ネットワークオペレータの加入者が一度認証されると、前記加入者にサービスを提供するサービスプロバイダとを含む通信システム。
本発明の一側面によると、前記第1移動通信ネットワークオペレータおよび前記少なくとも1つの第2移動通信ネットワークオペレータは、前記認証局として機能する移動通信ネットワークオペレータのセルラー連盟に従うか、または所属する。
さらに、前記通信システムは、前記連盟において、前記少なくとも1つのサービスプロバイダに対して前記ユーザを認証する権原を有する唯一のメンバとして、前記第1移動通信ネットワークに所属する認証プロバイダと、第2移動通信ネットワークに所属しかつ前記第2移動通信ネットワークオペレータと契約を結んでいるサービスプロバイダから前記連盟へのエントリーポイントとして機能するように構成される認証仲介局とを含む。ここで、この種の契約は「エントリーポイント」契約と呼ばれる。
すなわち、前記通信システムは、第1移動通信ネットワークオペレータに加入しかつサービスプロバイダにアクセスするユーザを前記サービスプロバイダと契約を結んでいる第2移動通信ネットワークオペレータの認証仲介局に向けてリダイレクト(転送)する手段と、前記認証仲介局にアクセスする前記ユーザを前記ユーザのホームとなる第1移動通信ネットワークオペレータの認証プロバイダに向けてリダイレクトする手段とを含む。また、前記通信システムは、前記サービスプロバイダが前記第1移動通信ネットワークに所属する前記認証プロバイダからユーザについて認証表明の有効性検証処理を要求できるようにするために、前記認証仲介局においてユーザのホーム解析(解決)を実行する手段を含む。
特に、前記通信システムは、前記第1移動通信ネットワークオペレータの前記認証プロバイダが、認証仲介局を伴わずに、前記第1移動通信ネットワークオペレータと契約を結んでいるサービスプロバイダから直接アクセスできるようにする。このために、前記通信システムは、認証仲介局を伴わずに、前記ユーザのホームとなる第1移動通信ネットワークオペレータと契約を結んでいるサービスプロバイダにアクセスするユーザを、前記ホームとなる第1移動通信ネットワークオペレータの認証プロバイダに向けてリダイレクトする手段を含む。さらに、このようなサービスプロバイダは、認証仲介局を伴わずに、前記認証プロバイダからユーザについて認証表明の有効性検証処理を要求してもよい。
一般的に、上述の通信システムは、前記セルラー連盟の加入者でありかつサービスプロバイダにアクセスするユーザから、前記サービスプロバイダに対して前記ユーザを認証する役割を果たす前記セルラー連盟の認証プロバイダに向けてシングルサインオン認証要求を発行する手段と、受信された結果を前記サービスプロバイダへと提示する手段とを含む。
第1移動通信ネットワークオペレータに加入しかつ選択されたサービスプロバイダにアクセスするユーザへシングルサインオンサービスを提供し、各選択されたサービスプロバイダが第2移動通信ネットワークオペレータと提携する方法も本発明により提案される。この方法は:
(a)前記第1移動通信ネットワークオペレータと前記第2移動通信ネットワークオペレータとの間で認証信頼関係を確立し、移動通信ネットワークオペレータの連盟を形成するステップと、
(b)前記選択されたサービスプロバイダから前記第1移動通信ネットワークオペレータのセルラーネットワークに向けて、前記ユーザにより生成されるアクセス要求をリダイレクトするステップと、
(c)前記ユーザのアクセス要求がリダイレクトされる前記第1移動通信ネットワークオペレータの認証プロバイダにおいて、前記サービスプロバイダにアクセスする該ユーザに対して有効な認証表明を生成し、前記認証表明についての結果を該ユーザに返送するステップと、
(d)前記サービスプロバイダから前記第1移動通信ネットワークオペレータの前記認証プロバイダに対して、前記ユーザにより提示される前記結果に含まれる前記認証表明の有効性の検証を要求するステップと、
(e)前記サービスプロバイダにおいて成功検証応答を受信した際に前記ユーザへのサービスアクセスを受諾するステップとを含む。
上述の通信システムおよび方法の双方において、ユーザと前記セルラー連盟の認証プロバイダとの間で使用される認証識別情報および前記ユーザとサービスプロバイダとの間で使用されるユーザ識別情報から独立している共有識別情報を用いて、前記認証プロバイダと前記サービスプロバイダとの間でユーザは識別される。
前記電子通信システム内で、上述の方法において有効な部分となり、第1移動通信ネットワークオペレータに加入するユーザと通信を行なう第1インタフェース手段と、第2移動通信ネットワークオペレータと提携するサービスプロバイダと通信を行なう第2インタフェース手段とを含む認証仲介局が存在する。これらの第1および第2インタフェース手段は、前記認証仲介局が前記ユーザを前記ユーザのホームネットワークへとリダイレクトし、前記サービスプロバイダに対する前記ユーザのホームネットワークを解析できるようにする仲介局チャネルを形成するものと理解してもよい。このような認証仲介局は、ユーザおよびサービスプロバイダとの前記第1および第2インタフェース手段を含むウェブフロントエンドを具備していてもよい。また、前記認証仲介局は、前記セルラー連盟に含まれる移動通信ネットワークオペレータごとに前記セルラー連盟の全ての認証プロバイダに対する記憶装置と、記憶装置からユーザのホーム関係のアドレスデータを取得する手段とをさらに含む。さらに、前記認証仲介局ウェブフロントエンドは、前記セルラー連盟のセキュリティ/プライバシー要件を充足させるために、前記認証仲介局を有する前記移動通信ネットワークオペレータと提携するサービスプロバイダに、公開鍵インフラストラクチャサービスを提供する手段をさらに含むことで、本発明の他の目的を達成する。
前記通信システム内には、上述の方法に積極的に参加し、フロントチャネルおよびバックチャネルを含む認証プロバイダが存在する。
この認証プロバイダのフロントチャネルは、ユーザと前記認証プロバイダとの間の認証セッションを可能とする第1インタフェース手段を含むウェブフロントエンドを含む。このフロントチャネルは、前記ユーザに対するセッション状態を処理するためのセッションマネージャおよび記憶装置と、前記ユーザに対して指定の認証メカニズムを実行するためのフロントエンド認証サーバとをさらに含む。
この認証プロバイダのバックチャネルは、前記認証プロバイダと前記ユーザがアクセスするサービスプロバイダとの間で、ユーザ認証表明に関する情報を交換する第2インタフェース手段を含むプロトコル結合手段を含む。このバックチャネルは、ユーザに対する認証表明を生成するためのセキュリティ表明マークアップ言語(SAML)エンジンと、認証表明のための記憶装置とをさらに含む。また、ユーザに対する認証表明を生成・格納するために、フロントチャネルとバックチャネルとの間にインターワーキング手段も提供される。
上述のシステム、方法、および装置、すなわち、認証仲介局および認証プロバイダを有するさらなる利点として、少なくとも2つの移動通信ネットワークオペレータが移動通信ネットワークオペレータの連盟に従う、あるいは、前記連盟の一部であり、シングルサインオンサービスをサポートするために前記連盟において認証信頼関係を確立する、ビジネス方法が提供される。前記連盟は、これに含まれる移動通信ネットワークオペレータの加入者にサービスを提供するサービスプロバイダに対して認証局として機能し、各サービスプロバイダは、この連盟にアクセスするために加盟移動通信ネットワークオペレータと提携する。このビジネス方法では、各移動通信ネットワークオペレータは、自身のネットワークおよび提携サービスプロバイダにより提供されるサービスに貢献する。各ネットワークは、そのネットワークの加入者を認証するための認証プロバイダと、前記提携サービスプロバイダを、前記連盟のある特定のユーザを認証する役割を果たす認証プロバイダへとリダイレクトするための認証仲介局とを含む。さらに、このビジネス方法の各サービスプロバイダは、前記連盟に含まれる任意の移動通信ネットワークオペレータの加入者にサービスを提供するよう構成される。前記サービスプロバイダは、前記サービスプロバイダと契約を結んでおり、前記連盟と認証信頼関係を有している移動通信ネットワークオペレータの周知の認証仲介局を介して前記連盟にアクセスしてもよい。
以下の説明では、連盟に属する任意の移動通信ネットワークオペレータ(MNO)の加入者に、サービスを提供する提携サービスプロバイダ(SP)に対して、認証局として機能する移動通信ネットワークオペレータ(MNO)連盟を構築する手段、方法、およびシステムに関する、現在のところ好適な実施形態について述べる。これらの好適な実施形態は、実行主体、役割、関係、および基本的な使用ケースの観点から、本発明により提供されるアーキテクチャ/ビジネス参照モデルに従って説明する。
本発明の一側面によると、シングルサインオンサービス用のセルラー連盟(FSSO)が提供される。図1は、第1連盟(FSSO−1)に関する実行主体、役割、関係、および幾つかの例示的な使用ケースの観点から説明されるアーキテクチャ/ビジネス参照モデルを示している。
図1の参照モデルにおける実行主体は、ユーザ(User@MNO−A、User@MNO−C)、サービスプロバイダ(SP−1、SP−2)、および加入者ホームサイトである。この加入者ホームサイトとは、加入者と契約を結んでいる移動通信ネットワークオペレータ(MNO−A、MNO−B、MNO−C)である。本発明では、ユーザは加入者識別モジュールまたはWAP識別モジュール(SIM/WIM)と、ウェブ/WAPブラウザとを備える移動通信加入者であり、サービスプロバイダはユーザが要求したサービスのあるターゲットであり、ホームサイトはユーザと契約を結んでいる移動通信ネットワークオペレータである。
図1の参照モデルにおいて実行される役割は、ユーザ(User@MNO−A、User@MNO−C)、宛先サイト、認証仲介局(AB)、および認証プロバイダ(AP)である。この説明において、ユーザはSPにサービスを要求するクライアント装置である。宛先サイトは特定のサービスをクライアントに提供することが可能なサイトであり、一般的に、MNOを介するSPが一部のサービスに関してこの役割を実行してもよい。認証仲介局(1、2)は連盟(FSSO−1)のメンバであり、提携SP(SP−1、SP−2)用の連盟への入場ポイントとして機能するように意図されている。認証プロバイダ(4、5、6)は連盟(FSSO−1)のメンバであり、ユーザデータを所有するように意図されている。認証プロバイダは、ユーザ情報を宛先サイトに対して認証・提供することができる唯一の存在である。特に、SP(SP−1、SP−2)は、提携のAB(1、2)を介して連盟に常時アクセスする(S−100、S−200)。説明を簡潔にするために、SPは連盟のメンバとは考えない。このため、SPは提携エンティティと呼ばれる。
ビジネスの観点から見ると、各MNO(MNO−A、MNO−B、MNO−C)が連盟に貢献するのは、独自のセルラーネットワークに関してだけではない。特定の契約を結んだ提携SP(SP−1、SP−2)に関しても貢献する。これらの提携SPは、各SP(SP−1、SP−2)が契約を結んだ特定のMNO(MNO−A、MNO−B)の認証仲介局(1、2)を介して連盟に常時アクセスするであろう。これは、セルラーオペレータが連盟(FSSO−1、FSSO−2)に加盟または連盟を構築した後であっても、既に確立しているSPとの業務契約を維持することを希望する可能性があるためであり、とりわけ重要である。さらに、ネットワークオペレータは、優位にある市場での各SPのサービスを強化することができる。これは、サービスプロバイダがローカルオペレータとサービスレベル契約(SLA)を結ぶ傾向にあるセルラー多国籍連盟に関して当て嵌まろう。
ビジネスの観点から見て、この参照モデルの根拠は、連盟を結成するか、または連盟に加盟する際にセルラーオペレータに平等な機会が与えられるという事実に基づいている。すなわち、連盟のメンバは常に加入者に対して認証プロバイダの役割を実行するからである。必ずしも必要ではないが、連盟のメンバは、その提携SPについて、連盟の他のメンバからの加入者に対する認証仲介局の機能を実行してもよい。
具体的には、認証仲介局(1、2)は、ユーザのホームサイトの解析処理を実行する。すなわち、ABは、提携SPに十分な情報を提供し、ユーザと契約を結んでいるMNOとSPとの間でのユーザデータの交換を可能にする処理を実行する。ユーザのホームサイトが解析されると、ABはユーザのホームサイトへとユーザをリダイレクトできるようになる。オプションとして、ABは、移動通信ネットワークオペレータ特有のセキュリティ/プライバシー要件を充足するために、公開鍵インフラストラクチャ(PKI)サービスを提携SPに提供してもよい。
アーキテクチャエンティティ/インタフェース、および現在のところ好適な実施形態の正当性とについてさらに説明する前に、図1の参照モデルにおける様々な関係を説明しておく。ここでは、ユーザ(User@MNO−A)(User@MNO−C)は、ホームサイト(MNO−A)(MNO−C)と信頼関係(R−110、R−120)(R−320)にある。ユーザがSP(SP−1)(SP−2)に登録すると、ユーザ(User@MNO−A)(User@MNO−C)・SP(SP−1)(SP−2)間と同様に、直接の信頼関係(R−110)が生じる。説明を分かりやすくし、かつSPと連盟との関係を簡潔にするために、各SP(SP−1)(SP−2)は唯一の連盟のメンバと単一の信頼関係(S−100)を有するものとする。この連盟メンバとは、すなわち、SPが業務契約を結んだ移動通信ネットワークオペレータ(MNO−A)(MNO−B)におけるAB(1)(2)である。
従って、ユーザ(User@MNO−A、User@MNO−C)が特定のSP(SP−1、SP−2)において、セルラーSSOサービスを利用することを希望する場合、SPは自動的にユーザの要求をセルラー連盟へのSPの入場ポイント、すなわち、AB(1、2)を介して連盟のサイト、すなわち、ユーザの要求を適切に処理することができるAP(4、6)へとリダイレクトする。これにより、ユーザをどこにリダイレクトすべきかに関して、複雑な決定を行なう必要がなくなる。また、SPと連盟との間のインターワーキング(相互動作)を大幅に簡略化し、SPへの影響を低減できるので、連盟との提携を促すことになる。より一般的かつ実際的なシナリオでは、SP(SP−2)が、例えば、セルラー連盟(FSSO−1)およびeバンク連盟(FSSO−2)のような様々な連盟との信頼関係を有していてもよい。
本発明の別の実施形態によれば、特定のMNO(MNO−A)と提携するSP(SP−1)は、このSP(SP−1)におけるサービスを要求したユーザ(User@MNO−A)と契約を結んでいるMNOにおいてAP(4)にアクセスするために、このMNOのAB(1)を経由する必要がない。これは、MNO(MNO−A)と提携SP(SP−1)との間の信頼関係(R−110)にとって特に有利であり、ネットワークアクセスと性能とを最適化することができる。
この別の実施形態にも関わらず、一般的には、認証仲介局の機能を実行することを希望する全てのホームサイトは、全ての連盟メンバと信頼関係を有する。これらのホームサイトも連盟のメンバであるからである。上述のように、SPは全てのユーザを、そのエントリーポイント、すなわち、セルラー連盟内のセルラーオペレータ(MNO)またはホームサイトへとリダイレクトすることができる。従って、認証仲介局(AB)は全ての加盟ホームサイトについて知る必要がある。
しかしながら、ABは、通常、連盟の各ホームサイトのユーザを知らない。このためには、各ABは連盟の全てのユーザを収容可能でなければならず、ユーザ収容能力または可用性の制御のために追加の手段を提供することが必要だからである。しかしながら、本発明により説明される現在好適な実施形態を読み通すことによって、大量の加入者用のデータベース設備のみならず、ユーザ収容能力または可用性の制御のための追加の手段を備えた唯一の、または少数のAB(1、2)が、ある種のセルラー連盟に適している可能性があることを理解できるであろう。例えば、このようなセルラー連盟は、世界中に設備が分散している多国籍企業に所属する複数の国内のMNOから構成される連盟であろう。
図1に示されるシナリオを参照して2つの主だった代表的な使用ケースを説明する。より正確な詳細について、アーキテクチャの観点から例示的な実施形態においてさらに説明する。
第1使用ケースは、例えば、書店サービスプロバイダなど、ある特定のサービスプロバイダ(SP−1)にアクセスするユーザ(User@MNO−A)であろう。ここで、サービスプロバイダ(SP−1)は、MNO−Aなど、特定の移動通信ネットワークオペレータを介して、セルラーSSO連盟(FSSO−1)と提携している。図2に示すように、MNO−Aの加入者(User@MNO−A)が書店サービスプロバイダ(SP−1)へのアクセスを要求すると、このユーザを認証し、サービスを許可するプロセスが開始される。このSPは、MNO−Aと業務契約を結んでいるので、MNO−Aが所属するセルラー連盟(FSSO−1)において、SP−1は、要求をMNO−Aホームサイトへとリダイレクトする。MNO−Aホームサイトにおいて、ユーザのSPサービス(C−23)へのアクセス要求を受信すると、ユーザは自身のMNO−A識別情報を、例えば、クッキーを用いて提示する。ここで、既に説明したような2つの可能な実施形態を適用してもよい。具体的には、認証仲介局として機能するMNO−Aは、自身がユーザに対する認証プロバイダでもあるかどうかを判定する。より一般的な使用ケースでは、後述するように、MNO−AにおけるABおよびAPの双方が関与している。
ユーザがMNO−Aにおいて未だに認証されていない場合、認証手順が実行される。既に認証されている場合、MNO−Aが特定ユーザのセッション状態をチェックできるように、ユーザは、MNO−Aにクッキーを送信して提示する。SPが指定の認証機構の実行を要求しない限り、認証は各SP特有のものではない。MNO−Aは、そのユーザに対してSPだけを宛先とした認証表明を作成する(C−24)。他の認証情報を含むであろうユーザの認証表明を指し示す結果がユーザに送り返される(C−25)。この結果は、一度だけ使用可能なものであり、宛先である指定SPに対してのみ有効である。ユーザは単独でこの結果をSP−1へと送信して提示する(C−26)。SPは、結果のソースが有効であることを検証し、指し示されたユーザの認証表明をホームサイト(MNO−A)へと要求する(C−27)。MNO−Aは、少なくとも認証情報を含む、所要のユーザデータを伴った完全なユーザの表明を送り返す(C−28)。SP−1は、ユーザの表明を分析し、ユーザのホームサイト(MNO−A)により実行された認証を信頼する。最終的に、SP−1はユーザにサービスアクセスの受諾を通知する(C−29)。
第2使用ケースは、例えば、旅行代理店サービスプロバイダなどのある特定のサービスプロバイダ(SP−2)にアクセスするユーザ(User@MNO−A)であろう。このサービスプロバイダ(SP−2)は、MNO−Bなどの特定のセルラーオペレータを介して、セルラーSSO連盟(FSSO−1)と提携している。一方、ユーザは、連盟のメンバである別のセルラーオペレータ(MNO−A)の加入者である。図3に示すように、MNO−Aの加入者(User@MNO−A)が、例えば、旅行代理店サービスプロバイダ(SP−2)のようなサービスプロバイダへのアクセスを要求すると、このユーザを認証し、サービスを許可するためのプロセスを開始する。このSP−2は、MNO−Bと業務契約を結んでおり、それ自体のユーザとセルラー連盟の他のメンバ(MNO−A、MNO−C)とにSSOサービスを提供する。SP−2がSSOに対するユーザの要求を受信すると(C−21)、SP−2は要求をMNO−Bサイトへとリダイレクトする。MNO−Bは、このSPの連盟へのエントランスポイントの1つであるからである。このため、MNO−Bはこの使用ケースにおいて認証仲介局の機能を実行し、SP−2からユーザのリダイレクトを受信する(C−33)。SPの簡略化のため、SPは連盟に属する全てのホームサイトの情報を有してはいない。従って、ユーザのホームサイトに関する情報がリダイレクトメッセージによって渡されることはない。次に、MNO−Bはユーザのホームサイト名を要求する(C−34)。この参照モデルによれば、ユーザの識別情報は、ユーザ自身のホームサイトにおいてのみ把握されているものとする。代替的な例としては、セルラー連盟内でユーザの識別情報を共有することであるが、この場合、対応する管理タスクを伴う巨大な中央ディレクトリを含む必要がある。
要求(C−34)に対して、ユーザは、ホームドメイン名を伴ってMNO−Bサイト、すなわち、現在の認証仲介局(2)へと返答する(C−35)。認証仲介局(AB)は、ユーザをユーザ自身のホームサイト、すなわち、MNO−Aへとリダイレクトする(C−36)。これに続いて、ユーザはSP−2へのアクセスをホームサイトへと要求する(C−23)。前述の使用ケースと同様に、ユーザがMNO−Aにおいて未だ認証されていない場合、認証手順が実行され(C−24)、認証情報を伴うユーザの表明を指し示す結果がユーザに送り返される(C−25)。ここで、ユーザはこの結果をSP−2へと送信して提示することができる(C−26)。SP−2は結果のソースを検証し、ユーザのホームを解析しなければならない。SP−2は、この情報をAB(2)に要求する。AB(2)は、SP−2がユーザのホームサイト(MNO−A)にコンタクトし、指し示されたユーザの表明を取得できるように、ユーザのホーム解析応答を送り返す(C−38)。MNO−Aは、少なくとも認証情報を含む所要のユーザデータを伴った完全なユーザの表明を送り返す(C−28)。SP−2はユーザの表明を分析し、ユーザのホームサイトにより実行された認証を信頼する。最終的に、SP−2はユーザがサービスにアクセスすることを許可する(C−29)。
実行主体、機能、信頼関係、および図1から図3において示される幾つかの例示的な使用ケースの観点から、アーキテクチャ/ビジネス参照モデルの概要を示した。複数のMNOの連盟に含まれる各移動通信ネットワークオペレータ(MNO)において、加盟シングルサインオン(FSSO)サービスをサポートするのに好適なアーキテクチャに関して、さらなる詳細な実施形態が導入されるであろう。
連盟のメンバと、サービスプロバイダと、ユーザとの間の外部インタフェースを参照して、このアーキテクチャを説明する。これらのインタフェースは、(ユーザというよりむしろ)ユーザ機器(UE)と認証仲介局との間のインタフェース(以降UE−ABインタフェース)と、ユーザまたはUEと認証プロバイダとの間の別のインタフェース(以降UE−APインタフェース)と、サービスプロバイダと認証プロバイダとの間の別のインタフェース(以降SP−APインタフェース)と、サービスプロバイダと認証仲介局との間の別のインタフェース(以降SP−ABインタフェース)とを含む。
これらのインタフェース、あるいは、その組み合わせは、関係する複数のエンティティ間で通信を行なうためのチャネルを提供する。図4に示すこれらのチャネルは、適切なアーキテクチャのためのベースを提供する。
UE−ABインタフェースにより、ABはユーザの認証を担当するAPへとユーザを転送できるようになる。このインタフェースは、例えば、ユーザがAP名をABに提供し、ABがそれをAPサイトのエントランスポイントへと変換することによってこのようなリダイレクト機能をサポートする。当業者は、同様の結果を達成するための他の手法または技術を容易に認識するであろう。この通信インタフェースは、ホームサイトのいわゆる「仲介局チャネル(AB)」の一部である。
UE−APインタフェースは、双方の実行主体間、すなわち、ユーザと認証プロバイダ(4、5、6)との間の認証セッションをサポートする。一度認証されると、ユーザは一種のトークンまたは信用証明とともにSPへとリダイレクトされる。この通信インタフェースは、ホームサイトの「フロントチャネル(AP)」(4’)と呼ばれる。
SP−APインタフェースは、認証、属性、許可、表明などのユーザ情報を交換するために主に使用される。この通信はユーザにとって透過的に実行されるため、以降はホームサイトの「バックチャネル(AP)」(4”)と呼ばれる。
SP−ABインタフェースは、バックチャネルの確立をサポートする。ここで、例えば、ABは認証結果に含まれるソースIDを、ユーザのAPまたはPKIサポートのエントランスポイントへと変換する。また、このインタフェースは、ホームサイトのいわゆる「仲介局チャネル(AB)」(1、2)の一部である。
図4は、F−SSOソリューションのAPおよびABになるためにMNOがサポートするであろう機能の構成要素も示している。図4に示すように、アーキテクチャは、フロントチャネルビュー、バックチャネルビュー、および仲介局チャネルビューから構成されるものと理解できる。このため、認証プロバイダ(4、5、6)は、フロントチャネル(4’)およびバックチャネル(4”)を含むものと見なしてもよい。フロントチャネルは、ユーザの認証を制御し、ユーザとAPとの間のマスタセッションを管理するように意図されている。F−SSOサービスを導入するために必要な相当量の制御論理が、フロントチャネルのエンティティに配置される。バックチャネルは、ユーザ情報を交換するためのSPとAPとの間の直接通信を処理するように意図されている。仲介局チャネルには、SPおよびユーザのアドレス解決ニーズをサポートする機能がある。
上述のマスタセッションにおいて、セッション処理に関しては、追加の詳細な考察が必要である。ユーザがF−SSOサービスを要求する場合、以下に示すように幾つかのセッションを作成・維持する必要がある:
−ユーザとAPとの間のマスタセッション。APが一度ユーザを認証すると、APはセッションを作成し、後述の認証問合せのためにユーザのブラウザに暗号化されたクッキーを残す。
−SPにおいて提供されるサービスを利用できるようにするためのユーザとSPとの間のサービスセッション。このセッション管理でも、クッキーが使用されるであろう。
APは、ユーザと各SPとの間で確立されるサービスセッションを監視する必要がある。このため、本発明の一面によると、図4に示すように、APはSSOセッションマネージャ(41)を含む。SSOセッションマネージャは、フロントチャネルに位置するのが好ましく、バックチャネルと相互に作用し、同様にフロントチャネルに位置するAPウェブフロントエンド(42)に相互接続される。さらに、APはこのような情報を格納・維持するためのセッションデータベース(43)を含む。セッションデータベースは、フロントチャネルに配置され、SSOセッションマネージャ(41)に相互接続されるのが好ましい。
図2および図3を参照して提示・記載された使用ケースに対して現在好適な実施形態についてより詳細な説明を行なう前に、様々な実行主体がこのアーキテクチャモデルにおいて処理する種々のユーザ識別子について説明する。
ユーザは、SSOサービス要求を実行するために、認証プロバイダに明確な識別情報、いわゆる「シングルサインオン認証識別情報」(以降SSO_auth_IDと呼ぶ)を提示しなければならない。この識別情報は、本発明においては以下の形式の少なくとも1つを有するであろう:
−携帯電話へのアクセスおよび携帯電話からのアクセスに関するMSISDN/IMSI
−User@domainまたはuser@realm(例えば、user@mno.com)
−Username(文字列)
認証プロバイダ(AP)は、ユーザごとに複数のSSO_auth_IDを管理するかもしれないが、複数のSSO_auth_IDを相関させるユーザごとにいわゆる「メインシングルサインオン識別情報」(以降SSO_MAIN_ID)を定義する必要がある。このSSO_MAIN_IDは、オペレータの目的のための、より具体的にはAPのためのものである。その形式はオペレータに任されている。すなわち、ユーザに関係するSSO_auth_IDと一致しても、一致しなくてもよい。
一方、インターネットに関与するユーザは、様々なサービスプロバイダにおいて幅広いユーザ識別情報を有する。ユーザは、各サイトのアカウントにアクセスするために、サービスプロバイダごとの現在の多様な識別情報を維持することを希望するかもしれない。本発明では、このような識別情報は「サービスプロバイダユーザ識別情報」(SP_user_ID)と呼ばれ、ある特定のサービスプロバイダ(SP)におけるユーザの識別情報を表現する。このSP_user_IDは所有ユーザとある特定のSPとの間のみで意味を有する。
これまでの段落では、ユーザのホームオペレータ、すなわち、APにおいてユーザを一意的に認証する、少なくとも1つのSSO_auth_IDの相関キーとしてユーザのSSO_MAIN_IDを説明するとともに、ある特定のサービスプロバイダにおけるユーザを識別するSP_user_IDについて説明してきた。一般的なシナリオでは、SSO_MAIN_ID、SSO_auth_ID、およびSP_user_IDは相互に一致することはなく、ユーザはいずれかの識別情報を他の実行主体に提供することを希望しない。この場合、双方で共有されるID、いわゆるSHARE_IDにより、ユーザはSPおよびAPに把握されているだろう。このSHARE_IDは永続的なものであっても、考慮される指定のシナリオによる一時的なものであってもよい。この識別情報は、SPおよびAPが同じユーザを指し示すために使用する不透明な処理として考えることができる。
このため、本発明の一面によると、認証プロバイダは、SSO_auth_ID、SSO_MAIN_ID、およびSHARE_IDを相関演算する。一方、サービスプロバイダは、SP_user_IDおよびSHARE_IDを相関演算する。これらの識別情報間の例示的な関係が非限定的に図10に示される。様々な実行主体がこれらの識別情報を管理する方法、および、これらの識別情報を相互にリンクさせる方法については、本発明ではこれ以上の説明を行なわない。
上述の図4に示されるアーキテクチャモデルによると、図2および図3の各シーケンスを参照して説明した使用ケースの特定の側面に関して、さらに詳細な実施形態が提供される。これらの使用ケースについて既に説明しているように、ユーザがSPにアクセスするためにSSO認証を自身のホームサイトに要求する(C−23)場合、ユーザが予め認証されているか否かによって異なる動作が要求されるであろう。
図5Aから図5Cにそれぞれ示される3つのシーケンス化された動作のセット(シーケンスI、II、およびIII)を含め、図6の実施形態は、図4のアーキテクチャモデルにおける図2の使用ケースの詳細を説明するものである。ここでは、SPにアクセスするユーザは未だ自身のホームネットワークにより認証されていないものとする。
図6のメカニズムは、ユーザがSPにアクセスし(C−21)、自身のホームサイトへとリダイレクトされる(C−22)と開始される。図5Aの第1シーケンス(I)は、ユーザが自身のウェブサーバからSSO認証http要求を発行する(C−23’)状況を示している。以前に発生したSSOセッションからユーザのウェブエージェントに格納されたものがある場合、ユーザ識別は、暗号化されたクッキーにより行なうことができるだろう(C−23”)。SSOセッションに使用されるコンピュータに物理的にアクセスすることによって、あるいは、ウェブブラウザからクッキーを盗むことを意図したスクリプトによって、第三者がクッキーを取得することがないよう、ユーザ識別情報であるSSO_MAIN_IDの漏洩を防ぐために、クッキーの暗号化が推奨される。クッキーはAPにより生成・暗号化され、後でAPにより復号化されるので、暗号化アルゴリズムおよびキー管理は完全にAPに任せられている。ユーザのウェブブラウザはクッキーの内容を理解する必要はない。このプロセスを安全にし、ウェブサーバへのネットワークパスにおけるクッキーを盗むことを防止するために、接続は常にhttpsを介して行なわれるべきであろう。そのクッキーに格納されるユーザ識別情報は、SSO_MAIN_IDとして選択されるべきである。プライバシー上の理由からMSISDNまたはIMSI以外の識別情報を使用するのが便利であろう。
具体的には、ユーザのウェブブラウザは、APフロントチャネルに位置するウェブフロントエンド(42)(以降ウェブF/E)に向けられる。ユーザが始めてこれにアクセスすると、SOAP(Simple Object Access Protocol)クライアントなどの認証ウェブサービスのクライアント側を実現するソフトウェアとともにプラグインが自動的にダウンロードされる。続いて、ウェブF/Eは、SSOセッションマネージャ(41)とインタフェースし、関連のIMSIまたは同様の目的で使用されるほかのユーザ識別情報と関連付けられているアクティブなセッションが存在するか否かを判定する。この考慮中のケースでは、ユーザは予め認証されていないので、この時点でアクティブなセッションは存在しない。
図6のプロセスは、図5Bに示すような第2シーケンス(II)を使用して継続することになる。ここで、SSOセッションマネージャ(41)は、アクティブなセッションがないことをウェブF/Eに通知する(C−501)。ユーザは、自身の認証が必要であることを通知される(C−502)。APフロントチャネルのウェブF/Eに到達すると、ユーザは利用可能な様々な認証メカニズムの中からSIMカードを介して認証されることを選択するかもしれない(C−503)。SOAPクライアントがこのようなサービスを呼び出す。尚、SOAPクライアントは、ユーザがこの認証メカニズムを選択する前ではなく、選択した後にダウンロードされてもよく、このことは本発明の趣旨に影響しない。ユーザがSIMカードを用いて認証されることを希望する場合、ウェブF/Eに提示すべき識別情報(C−505)はIMSIであり、これはSIMに格納されていることが想定される。必要なセキュリティを損なうことなく安全な接続、すなわち、httpsを介してダイアログ処理が行なわれるものと想定すると、IMSIは、好ましくは、SOAP要求に含まれて送信されるべきである。SSOセッションマネージャは再度コンタクトを受ける(C−506)。ユーザがアクティブなセッションを確立させていないことを検出すると、RADIUSクライアントとして機能し、認証/許可/アカウント処理(AAA)サーバ(44)へのアクセスを要求する(C−507、C−508)。SIMベースの認証が選択されているものとすると、IMSIは適用可能な識別情報として使用され、EAP(Extensible Authentication Protocol)の属性値ペア(AVP)およびユーザ名AVPに埋め込まれる。
この段階では、使用する認証メカニズムに依存して、AAAサーバ(44)は、バックエンド認証サーバ(72)(以降B/E認証サーバ)に対し、認証チャレンジの提供を要求してもよい(C−509、C−510)。この「B/E認証サーバ」は、ネットワークアクセス識別子(NAI)の領域部分の観点からルーティングが行なわれるであろうRADIUSメッセージを介して、到達するのが好ましい。RADIUSクライアントとして機能するSSOセッションマネージャは、このようなNAI領域を修正することができる。一度ユーザ認証識別情報およびEAP APVの信用証明を含むアクセス要求メッセージを受信すると、「B/E認証サーバ」はさらなる信用証明を必要としてもよい(C−510からC−517)。このプロセスはさらなるEAP往復を伴う。
一度ユーザの認証に成功すると、AAAサーバ(44)は、SSOセッションマネージャにアクセス受諾メッセージを送り返す(C−518)。SSOセッションマネージャ(41)は、セッションデータベースにおいて、SSO_auth_IDおよびSSO_MAIN_IDを含むそのユーザに対するエントリを作成しなければならない。SSOセッションマネージャが未だSSO_MAIN_IDを把握していない場合は、ユーザに対するルックアップキーとしてSSO_auth_IDを提供することによって、識別マネージャ(70)に問い合わせ(クエリー)を実行する(C−519)。SSO_MAIN_IDを格納し、識別マネージャを介する要求により、SSOセッションマネージャにSSO_MAIN_IDを供給する(C−522)ために、共通ディレクトリサービス(以降CDSと呼ぶ)を備えることによって、さらなる利点が生じよう(C−520、C−521)。ここで、SSOセッションマネージャ(41)は、ユーザ認証中に使用される特定のSSO_auth_IDおよびSSO_MAIN_IDを含めることによって、そのユーザに対するエントリ、すなわち、セッションをセッションデータベース(43)に作成する。このエントリが一度SSOセッションマネージャにおいて作成されると、図5Bでは不図示のウェブF/Eにおける追加ロジックが、例えば、ユーザのウェブブラウザにクッキーを送信することによって、後続するhttp要求らの間のセッション状態を維持しなければならない。
この認証プロセス中、APバックチャネルとの関係は存在せず、未だ表明情報も生成されていないことは明らかであろう。SSO_MAIN_ID、SSO_auth_ID、選択された認証メカニズム、およびユーザに属するIPアドレスまたはMSISDNのようなアドレス情報を含む新規のセッションのみが、ある特定のユーザに対して作成される。
シーケンスIIに続いて、図6のプロセスが、図5Cに示すような第3のシーケンス(III)を用いて継続される。ある特定のユーザに対して有効なセッションを確立した後で、SSOセッションマネージャ(41)は、識別マネージャ(70)から対応するサービスプロバイダ(SP)に対するユーザの識別情報、すなわち、SHARE_IDを取得する(C−550、C−551)。このSPは、ユーザを自身のホーム認証プロバイダ(AP)にリダイレクトすることによって最初の要求を発信したSPである。図5Cには示されていないが、このSHARE_IDおよびこの識別情報が使用されている対応SPは、ユーザに対するマスタセッションエントリと関連付けられたセッションデータベース(43)に格納される。
上述の識別情報マッピングが一度行なわれると、SSOセッションマネージャ(41)は、ある特定のSHARE_IDおよびある特定のサービスプロバイダに対して認証表明を生成するために、セキュリティ表明マークアップ言語(SAML)エンジン45におけるサービスを呼び出す(C−552)。認証表明は、認証プロセスの発生日時など、他の関連データと、具体的な認証メカニズムに関連するセキュリティ強度とを含む。認証表明は、表明データベース(46)に格納されるが、その際には表明参照によってインデックス化されていてもよい(C−553)。このため、認証表明には後で一意的に識別するための「表明参照」が付与されている。表明参照は、SAMLエンジンにおいて符号化された上で、認証結果に搭載される。認証結果は、APウェブF/Eを介する(C−555)ユーザへのさらなる送信(C−25)のために、SSOセッションマネージャへと戻される(C−554)。
このような認証結果は、URLの一部、すなわち、パラメータとして符号化されてユーザに戻されるのが好ましい。同時に、ユーザのウェブブラウザはSPに送信された最初のURLにリダイレクトされる。実際には、この情報は、SPからAPへの最初のリダイレクトによって受信されたURL中のパラメータとして取得されたものである。従って、SPから取得された最初のURL、すなわち、ターゲットリソースはAPウェブF/Eに格納されているべきである。
その後、ユーザは最初に接触したSPに認証結果を送信して提示する(C−26)。SPは認証結果を受信して、復号化した後に表明参照と、表明を発行したAPの識別情報とを抽出する。SPはこの情報を使用してSPバックチャネル(4”)とSAMLダイアログを確立し(C−27)、SAML表明要求メッセージにおいて認証結果を提示することによってオリジナルの表明を要求する。表明に対する要求を受信すると(C−27)、APバックチャネルのSAMLエンジン(45)は、表明データベース(46)から表明を取得し(C−556、C−557)、デジタル署名を施し、SPに送り返す(C−28)。
SPは、好ましくは独自の公開鍵インフラストラクチャ(PKI)を利用するか、あるいは、さらに説明されるより一般的なケースでは、信頼できる認証仲介局のPKIを利用することによって、表明の有効性をチェックする。
一度表明がSPにおいて有効であると証明され、発信元が信頼できるものであることが判明すると、SPは表明内容を解析し、表明に含まれる認証事実に従ってローカルポリシーの実施へと処理を進めることができる。最終的に、ユーザはサービスアクセス受諾を通知される(C−29)。
図6に関する上記説明は、図5Aから図5Cにおいて説明された好適な実施形態とともに、図2に関して予め提示された使用ケースに対してアーキテクチャの詳細を提供するものであることが明らかであろう。このアーキテクチャの詳細は、説明目的のために提供するのであって、限定のために提供するものではない。
図5Aから図5Cにそれぞれ示す3つのシーケンス化された動作のセット(シーケンスI、II、およびIII)を含めることによって、図7Aおよび図7Bの実施形態と、図4のアーキテクチャモデルにおける図2の使用ケースの詳細を説明する。ここでは、SPにアクセスするユーザは既に自身のホームネットワークにより認証されているものとする。具体的には、図7Aはホームネットワークにおける認証プロバイダの前に、ユーザの分離認証を示している。一方、図7BはユーザがSPにアクセスし、自身のホームネットワークに一度リダイレクトされて、ユーザが既に認証され、かつアクティブな有効なセッションを有していることが判明した場合に、実行される動作を示している。
図7Aのメカニズムは、図5Aに示す第1シーケンス(I)を使用して直接的に開始される。第1シーケンス(I)において、ユーザは自身のウェブサーバからSSO認証http要求を発行する(C−23’)。利用可能であれば、続いて、図6の使用ケースに関して示された対応するシーケンスのように、APフロントチャネルのウェブF/Eに対して送信される暗号化されたクッキー(C−23”)を用いてユーザ識別を行なう。ウェブF/EはSSOセッションマネージャ(41)とインタフェース処理を実行し(C−500)、ユーザと関連付けられるアクティブなセッションが存在するか否かをチェックする。シーケンスのフローは、図5Bに示す第2シーケンス(II)へと続く。ここで、ユーザにより選択された認証手順が実行されてもよい。特に、SSOセッションマネージャ(41)がセッションデータベース(43)においてユーザに対するセッションを一度作成すると、実際に特定のSSO_auth_IDおよびSSO_MAIN_IDを含むことによって、SSOセッションマネージャはAPウェブF/Eに通知する。ここで、図5Bでは不図示の追加ロジックが後続のhttp要求に対するセッション状態を維持する。最終的には、図7Aに示すように、APウェブF/Eはユーザのウェブブラウザに対してサインオンが成功したことを承認する(C−70)。
既に認証されているこのユーザは、SPへのサービスアクセスを要求してもよい(C−21)。このSPは、認証仲介局が必要でない図2の使用ケースに関して述べた想定下で、ユーザを自身のホームサイトへとリダイレクトする(C−22)。図5Aのシーケンスに続いて、ユーザは再度APウェブF/E(42)にアクセスする。有効なセッションが活きているか否かをチェックするために、APウェブF/E(42)からは、SSOセッションマネージャ(41)に対して指示が発行される。次に、セッションデータベース(43)と協働するであろうSSOセッションマネージャ(41)は、そのユーザに対してセッションが既に存在することを探索する。図5Cの第3のシーケンス(III)に示すように、SSOセッションマネージャ(41)は、そのSPに使用すべきSHARE_IDを取得し(C−550、C−551)、前記SHARE_IDに対する表明の生成・格納と認証結果への搭載を命令する(C−552、C−553、C−554)。認証結果はウェブF/Eを介して(C−555)ユーザに戻され(C−25)、前述の使用ケースのようにSPに提示される(C−26)。SPは、APバックチャネル(4”)を用いてオリジナルの表明をチェックし(C−27、C−556、C−557、C−28)、最終的にユーザに対してサービスアクセス受諾を提供する(C−29)。
これまでの段落では、図2に示した使用ケースに関する詳細な実施形態を説明してきた。ここでは、ユーザが認証されていない状態でSPにアクセスする図6に示す第1動作と、最初に認証されてからユーザがサービス受諾を与えられる図7Aおよび図7Bに示す第2動作とを区別している。
本発明の別の側面によると、図3を参照して先に説明した使用ケースを、図4に示したアーキテクチャモデルに関してさらに説明する。特に、実施形態らは認証仲介局および対応する新規のインタフェースを含んでおり、これにより差別化されている。
図3に示すように、MNO−Bなどの特定のセルラーオペレータを介してセルラーSSO連盟(FSSO−1)と提携する、ある特定のサービスプロバイダ(SP−2)にアクセスするユーザ(User@MNO−A)が、連盟のメンバである別のセルラーオペレータ(MNO−A)の加入者である場合には、第2使用ケースが発生する。この第2使用ケースでは、本発明の一側面によると、SP(SP−2)からの転送を受信し、ユーザのホームサイトを解析し、ユーザが所属するMNOへとリダイレクトするために、認証仲介局(AB)が必要となる。
図8は、ホームサイトの適切な認証プロバイダ(AP)へとユーザリダイレクトする前に、ユーザとABとの間で実行される動作を示している。具体的に、図8は、図4に示すアーキテクチャモデルに関連して、これらの動作を示している。一方、図3はABが含むであろう全ての装置を考慮に入れていない。このため、図3のように、ユーザが認証仲介局(AB)に向けてSP−2に対する認証要求(C−33)を発行する場合、図8が示すように、仲介局チャネル(2)のABウェブF/E(21)において受信されるhttp転送が実際に存在する。ユーザのホームサイト名がABウェブF/Eから要求される(C−34、C−35)。この要求は、例えば、連盟の全てのAPを伴ってユーザに対してウェブページを提示することによって行なわれるであろう。ここで、ユーザは自身のホームオペレータのロゴ上をクリックするだけでよい。続いて、認証プロバイダ(AP)データベース(22)からユーザのホームサイトに対するURIが取得される(C−84、C−85)。最終的に、ABウェブF/E(21)はユーザのhttpを自身のホームサイトの適切なAPへとリダイレクトする(C−36)。ABは、ユーザのホームに関連する問合せについて、今後の連続的な繰り返しを避けるために、ユーザのウェブブラウザにクッキーを残してもよい。フローシーケンスは、図6または図7Aおよび図7Bに示す使用ケースに関して説明したように、APウェブF/E(42)に対するSSO認証要求(C−23、C−23’、C−23”)を使用して、継続される。
図9は、どこで認証表明の有効性検証処理がなされるべきかを探索するために、ユーザのホーム解析に関してサービスプロバイダとABとの間で実行される動作を示す。具体的に、図9は、図4に示すアーキテクチャモデルに関連するこれらの動作を示している。なお、図3はABが含むであろう全ての装置を考慮に入れていない。ユーザが図3および図9に示すように、認証結果をSP(SP−2)に提示した後、ユーザのホーム解析がABに要求される(C−37)。この要求は仲介局チャネル(2)のABウェブF/E(21)で受信される。ABウェブF/E(21)は、SPに送り返されたホームサイトのAPのURIをAPデータベース(22)に要求する(C−91、C−92)。好ましくは、SPが、DNS技術を使用することによって、ホームURIを解析し、最終的に認証表明を有効性を検証する(C−27、C−28)。この認証表明は、図3に示すように、予め取得されている(C−23、C−24、C−25)ものである。具体的には、図6または図7Aおよび図7Bの使用ケースに関して説明したとおりである。認証表明の有効性検証(C−27、C−28)は、プロトコル結合部(47)を介してSAMLエンジン(45)に向けてSP(SP−2)から発行されてもよい。このプロトコル結合部(47)は、SAMLエンジンとSPとの間に配置されるのが有利である。プロトコル結合部(47)の構成要素は、例えば、httmsのようなトランスポートプロトコルからXMLインスタンスを解き、これを、SAMLエンジンを介して渡すよう構成されている。SPはSAML基準で定義されるいかなる型の問合せも作成することができる。
後者の使用ケースにおける表明の有効性のチェックに関して、SPは全てのPKIの複雑な構造を実装する必要もないし、連盟の全ての認証プロバイダから証明をローカルでインストールするよう実装する必要もない。なお、SPは連盟の信頼できるエンティティの証明、すなわち、この認証仲介局のホストを務めるAPの証明をインストールするために、全てのPKIの複雑な構造を実装する必要がある。
以上の教示から、本発明の変更および変形の多くが可能であることは明らかである。従って、開示された概念の範囲内であれば、本発明は説明された特定のものと異なるように実施されてもよいことは、理解されるべきである。
本発明の特徴、目的、および利点は、添付の図面と共に本明細書を読むことで明白になるであろう。
図1は、シングルサインオンサービス用のセルラー連盟のアーキテクチャ/ビジネス参照モデルを概略的に表す図である。 図2は、サービスプロバイダが、ユーザと契約を結んでいる移動通信ネットワークオペレータと業務契約を結んでいる基本的なシナリオにおいて、ユーザを認証しかつサービスプロバイダにより提供されるサービスへのアクセスを認証するプロセスを示す簡易なシーケンス図である。 図3は、より一般的なシナリオにおいて、ユーザを認証しかつサービスプロバイダにより提供されるサービスへのアクセスを認証するプロセスを表現する別の簡易シーケンス図である。このシナリオでは、サービスプロバイダは、ユーザと契約を結んでいる移動通信ネットワークオペレータ以外の移動通信ネットワークオペレータと業務契約を結んでいる。両移動通信ネットワークオペレータはセルラー連盟に含まれる。 図4は、一般的に、ユーザ、サービスプロバイダ、認証仲介局、および認証プロバイダを伴う例示の内部アーキテクチャおよびメインインタフェースを提示することを示す図である。 図5Aは、予め有効な認証が行なわれていた場合に、ユーザが新規の認証プロセスを開始する、あるいは、表明プロセスを引き起こすためにいわゆるフロントチャネルを介して認証プロバイダ(AP)にアクセスするときの動作に係る第1シーケンス(I)を示す図である。 図5Bは、APにおけるいわゆるフロントチャネルを介して、認証バックエンド(以降、「認証B/E」と呼ぶ)の力を借りて予め認証されていないユーザを認証するために実行されるアクションの第2シーケンス(II)を示す図である。 図5Cは、ユーザが予め認証されており、従ってアクティブなセッションを確立していることが判明した場合に表明プロセスを達成するのに実行されるアクションの第3のシーケンス(III)を示す図である。 図6は、ユーザ、サービスプロバイダ、および認証プロバイダの間で予め認証されることなくサービスプロバイダにアクセスしたユーザを認証するために実行されるアクションのシーケンスを図5Aから図5Cにおける参照を含むことにより示す概略的な構成を提示する図である。 図7Aは、ユーザと認証プロバイダとの間でユーザの孤立した認証中に実行されるアクションのシーケンスを図5Aおよび図5Bにおける参照を含むことにより示す概略的な構成を提示する図である。 図7Bは、既に認証されており、サービスプロバイダにアクセスしているユーザと、サービスプロバイダと、ユーザに対する認証プロバイダとの間で実行されるアクションのシーケンスを図5Aおよび図5Cにおける参照を含むことにより示す概略的な構成を提示する図である。 図8は、好適なアーキテクチャモデルに従った図3の一部のステップに関する詳細な実施形態を示す図である。 図9は、好適なアーキテクチャモデルに従った図3における他の一部のステップに関するより詳細な実施形態を示す図である。 図10は、認証プロバイダにおいて管理されるSSO_auth_IDと、SSO_MAIN_IDと、SHARED_IDとの間の例示の関係を示す図である。

Claims (24)

  1. 選択されたサービスプロバイダにアクセスするユーザにシングルサインオンサービスを提供する通信システムにおいて、該ユーザは、第1移動通信ネットワークオペレータに加入しており、
    第1移動通信ネットワークと少なくとも1つの第2移動通信ネットワークと、
    複数のサービスプロバイダの少なくとも1つのサービスプロバイダであって、認証局により前記少なくとも1つのサービスプロバイダに対して前記移動通信ネットワークオペレータの加入者が一度認証されると前記加入者にサービスを提供するサービスプロバイダとを含む通信システムであって、
    前記第1移動通信ネットワークと前記少なくとも1つの第2移動通信ネットワークとを含むセルラー連盟の移動通信ネットワークオペレータが、前記認証局として機能するものであり、前記通信システムは、
    前記少なくとも1つのサービスプロバイダに対して前記ユーザを認証する権原を有する前記セルラー連盟の唯一のメンバとして、前記第1移動通信ネットワークに所属する認証プロバイダと、
    前記第2移動通信ネットワークらのうち特定の第2移動通信ネットワークに所属し、かつ該特定の第2移動通信ネットワークのオペレータとエントリーポイント契約を結んでいる前記サービスプロバイダらから、前記セルラー連盟へのエントリーポイントとして機能するよう構成される認証仲介局と
    前記ユーザが、前記サービスプロバイダにアクセスする際に、前記認証仲介局に関与されることなく、該ユーザのホームとなる移動通信ネットワークオペレータとエントリーポイント契約を結んでいるサービスプロバイダにアクセスする該ユーザを、該ユーザのホームとなる移動通信ネットワークオペレータの認証プロバイダに向けてリダイレクトする手段と
    を含み、
    前記第1移動通信ネットワークオペレータに所属する前記認証プロバイダは、前記認証仲介局に関与されることなく、前記第1移動通信ネットワークオペレータとエントリーポイント契約を結んでいる前記サービスプロバイダらから直接的にアクセスされ、
    前記第1移動通信ネットワークオペレータと契約を結んでいるサービスプロバイダは、ユーザについて認証表明の有効性の検証を、認証仲介局に関与されることなく、前記第1移動通信ネットワークオペレータの認証プロバイダに要求する
    ことを特徴とする通信システム。
  2. 前記ユーザがサービスプロバイダにアクセスする際に、該ユーザによりアクセスされる該サービスプロバイダとエントリーポイント契約を結んでいる第2ネットワークのオペレータの認証仲介局に向けて、該ユーザをリダイレクトする手段と、
    前記認証仲介局にアクセスする前記ユーザを、前記ユーザのホームネットワークに存在する認証プロバイダに向けてリダイレクトする手段と
    をさらに含むことを特徴とする請求項1に記載の通信システム。
  3. サービスプロバイダとエントリーポイント契約を結んでいる第2移動通信ネットワークオペレータの認証仲介局においてユーザのホーム解析を実行し、前記第1移動通信ネットワークに所属する前記認証プロバイダに対して該ユーザに係る認証表明の有効性の検証を該サービスプロバイダが要求することを許可する手段をさらに含むことを特徴とする請求項2に記載の通信システム。
  4. 前記セルラー連盟の加入者である前記ユーザが特定のサービスプロバイダにアクセスする際に、該特定のサービスプロバイダについて該ユーザの認証処理を担当している認証プロバイダに対して、該ユーザから、シングルサインオンの認証要求を発行する手段と、
    受信した認証結果を前記特定のサービスプロバイダに対して提示する手段と
    をさらに含むことを特徴とする請求項3に記載の通信システム。
  5. 前記セルラー連盟の加入者である前記ユーザが特定のサービスプロバイダにアクセスする際に、該特定のサービスプロバイダについて該ユーザの認証処理を担当している認証プロバイダに対して、該ユーザから、シングルサインオンの認証要求を発行する手段と、
    受信した認証結果を前記特定のサービスプロバイダに対して提示する手段と
    さらに含むことを特徴とする請求項1に記載の通信システム。
  6. 前記ユーザは、所与の認証プロバイダと所与のサービスプロバイダとの間で共有される識別情報によって識別され、該共有される識別情報は、該ユーザと該所与の認証プロバイダとの間で使用されている認証識別情報から独立しているとともに、該ユーザと該所与のサービスプロバイダとの間で使用されている該ユーザの識別情報からも独立していることを特徴とする請求項1に記載の通信システム。
  7. 前記セルラー連盟におけるセキュリティ条件とプライバシー条件とを充足させるための公開鍵インフラストラクチャ手段と、
    前記セルラー連盟の設備内において前記ユーザに係る複数の識別情報間の関係を維持および処理するとともに、該ユーザについての該複数の識別情報を各サービスプロバイダの設備下で維持および処理する識別マネージャと、
    シングルサインオン用の主たる識別処理によってアクセス可能なユーザの識別情報を記憶する共通ディレクトリサービス手段と、
    前記ユーザによって選択された認証メカニズムに依存する認証チャレンジを生成するように意図されたバックエンド認証サーバと
    のうち少なくとも1つを含むことを特徴とする請求項6に記載の通信システム。
  8. 第1移動通信ネットワークオペレータに加入しかつ選択されたサービスプロバイダにアクセスするユーザに、シングルサインオンサービスを提供する方法であって、各選択されたサービスプロバイダが第2移動通信ネットワークオペレータと提携しており、前記方法は、
    (a)前記第1移動通信ネットワークオペレータと前記第2移動通信ネットワークオペレータとの間で認証信頼関係を確立し、移動通信ネットワークオペレータの連盟を形成するステップと、
    (b)前記選択されたサービスプロバイダから前記第1移動通信ネットワークオペレータのセルラーネットワークに向けて、前記ユーザにより生成されるアクセス要求をリダイレクトするステップと、
    (c)前記ユーザのアクセス要求がリダイレクトされる前記第1移動通信ネットワークオペレータの認証プロバイダにおいて、前記サービスプロバイダにアクセスする該ユーザに対して有効な認証表明を生成し、前記認証表明についての結果を該ユーザに返送するステップと、
    (d)前記サービスプロバイダから前記第1移動通信ネットワークオペレータの前記認証プロバイダに対して、前記ユーザにより提示される前記結果に含まれる前記認証表明について有効性の検証を要求するステップと、
    (e)前記サービスプロバイダにおいて検証成功応答を受信すると、前記ユーザへのサービスアクセスを受諾するステップと
    を含むことを特徴とする方法。
  9. 前記第1移動通信ネットワークオペレータと前記第2移動通信ネットワークオペレータはセルラー連盟に含まれており、前記ステップ(a)は、前記選択されたサービスプロバイダと提携している該移動通信ネットワークオペレータに依存して、
    (a1)前記選択されたサービスプロバイダが、前記第1移動通信ネットワークのオペレータと提携している場合に、前記ユーザについて担当することになる該第1移動通信ネットワークオペレータに係る認証プロバイダを決定するステップと、
    (a2)前記選択されたサービスプロバイダが前記第2移動通信ネットワークオペレータと提携している場合に、前記ユーザについて担当する前記第1移動通信ネットワークオペレータに係る認証プロバイダを決定する、前記第2移動通信ネットワークオペレータに係る認証仲介局に、前記ユーザにより生成された前記アクセス要求をリダイレクトするステップと
    のうちいずれかのステップを含むことを特徴とする請求項8に記載の方法。
  10. 前記ステップ(b)は、
    (b1)前記ユーザからシングルサインオンの認証要求を受信するステップと、
    (b2)前記ユーザが過去に認証されているかどうかを判定するステップと、
    (b3)前記ユーザが未だに認証されておらず、有効かつアクティブなセッションが存在しない場合に提供される、前記選択されたサービスプロバイダにアクセスする前記ユーザについてのユーザ嗜好に従ってチャレンジ/応答認証処理を実行するステップと、
    (b4)前記選択されたサービスプロバイダにアクセスする前記ユーザについて認証表明を生成するステップと
    を含むことを特徴とする請求項8に記載の方法。
  11. 前記第1移動通信ネットワークオペレータと前記第2移動通信ネットワークオペレータはセルラー連盟に含まれており、前記ステップ(c)は、前記選択されたサービスプロバイダと提携している該移動通信ネットワークオペレータに依存して、
    (c1)前記サービスプロバイダが前記第1移動通信ネットワークオペレータと提携している場合に、前記ユーザによって提示された前記認証表明について有効性を検証する、該第1移動通信ネットワークオペレータに係る認証プロバイダを決定するステップと、
    (a2)前記選択されたサービスプロバイダが前記第2移動通信ネットワークオペレータと提携している場合に、前記選択されたサービスプロバイダから特定の第2移動通信ネットワークオペレータに係る認証仲介局に対し、前記ユーザのホームサイトの解析処理を要求するステップと
    のうちいずれかのステップを含むことを特徴とする請求項8に記載の方法。
  12. 前記ステップ(d)は、
    (d1)前記選択されたサービスプロバイダにアクセスする前記ユーザについて記憶されている認証表明を抽出するステップと、
    (d2)前記選択されたサービスプロバイダに、表明検証応答を返送するステップと
    をさらに含むことを特徴とする請求項8に記載の方法。
  13. 前記ユーザは、所与の認証プロバイダと所与のサービスプロバイダとの間で共有される識別情報によって識別され、該共有される識別情報は、該ユーザと該所与の認証プロバイダとの間で使用されている認証識別情報から独立しているとともに、該ユーザと該所与のサービスプロバイダとの間で使用されている該ユーザの識別情報からも独立していることを特徴とする請求項8に記載の方法。
  14. 選択されたサービスプロバイダにアクセスするユーザにシングルサインオンサービスを提供する通信システムの認証仲介局であって、前記ユーザは、第1移動通信ネットワークオペレータに加入しており、前記選択されたサービスプロバイダのそれぞれは第2移動通信ネットワークオペレータと提携しており、
    前記認証仲介局は、
    認証仲介局ウェブフロントエンドを含み、
    前記認証仲介局ウェブフロントエンドは、
    第1移動通信ネットワークオペレータに加入しているユーザと通信するための第1インタフェース手段と、
    第2移動通信ネットワークオペレータと提携するサービスプロバイダと通信するための第2インタフェース手段と
    前記第1および第2インタフェース手段から形成される仲介局チャネルであって、前記認証仲介局が前記ユーザを前記ユーザのホームネットワークへとリダイレクトし、前記サービスプロバイダについて前記ユーザのホームネットワークを解析できるようにする仲介局チャネルと
    前記セルラー連盟に含まれる各移動通信ネットワークオペレータを基準として、前記セルラー連盟内の全ての認証プロバイダに関わる記憶装置と
    を含むことを特徴とする認証仲介局。
  15. 前記ユーザと前記認証仲介局とはともに前記第1移動通信ネットワークオペレータに属し、前記選択されたサービスプロバイダのいくつかは前記第1移動通信ネットワークオペレータと提携していることを特徴とする請求項14に記載の認証仲介局。
  16. 前記認証仲介局ウェブフロントエンドは、さらに、前記記憶装置から前記ユーザのホームに関連するアドレスデータを抽出する手段を含むことを特徴とする請求項14に記載の認証仲介局。
  17. 前記認証仲介局ウェブフロントエンドは、さらに、前記認証仲介局を所有する前記移動通信ネットワークオペレータと提携している前記サービスプロバイダらに、公開鍵インフラストラクチャサービスを提案する手段を含むことを特徴とする請求項14に記載の認証仲介局。
  18. 選択されたサービスプロバイダにアクセスするユーザにシングルサインオンサービスを提供する通信システムの認証プロバイダであって、前記ユーザは、第1移動通信ネットワークオペレータに加入しており、前記選択されたサービスプロバイダのそれぞれは第2移動通信ネットワークオペレータと提携しており、
    前記認証プロバイダは、
    前記ユーザと前記認証プロバイダとの間に認証セッションを確立する第1インタフェース手段を含むウェブフロントエンドを有すフロントチャネルと、
    前記ユーザがアクセスする前記選択されたサービスプロバイダと前記認証プロバイダとの間でユーザ認証表明に関する情報を交換する第2インタフェース手段を含むプロトコル結合部を有するバックチャネルと
    を含み、
    前記フロントチャネルはさらに、前記ユーザについてのセッションの状態を取り扱うセッションマネージャおよび記憶装置と、前記ユーザについて特別の認証メカニズムを実行するフロントエンド認証サーバとを含む
    ことを特徴とする認証プロバイダ。
  19. 前記認証プロバイダの前記バックチャネルは、前記ユーザについて認証表明を生成するセキュリティ表明マークアップ言語エンジンと、認証表明を記憶する記憶装置とをさらに含むことを特徴とする請求項18に記載の認証プロバイダ。
  20. 前記フロントチャネルと前記バックチャネルとの間に配置される、前記ユーザについて認証表明を生成して記憶するインターワーキング手段をさらに含むことを特徴とする請求項19に記載の認証プロバイダ。
  21. 前記フロントチャネルと前記バックチャネルとの間に配置される前記インターワーキング手段の動作は、前記セッションマネージャと前記セキュリティ表明マークアップ言語エンジンとを介して実行されることを特徴とする請求項20に記載の認証プロバイダ。
  22. 前記セッションマネージャは、共通ディレクトリサービス手段を備える識別マネージャから前記ユーザについて、前記セルラー連盟の設備下におけるの複数の識別情報間の関係を抽出する手段を含み、前記ユーザについての前記複数の識別情報は、それぞれサービスプロバイダの設備下におけるものであり、前記複数の識別情報は、シングルサインオンの主たる識別処理によって相関演算されることを特徴とする請求項21に記載の認証プロバイダ。
  23. 前記フロントエンド認証サーバは前記セルラー連盟内の他のエンティティティとインターワーキング処理を実行し、前記移動通信ネットワークオペレータの設備下で特定のユーザデータを供給するバックエンド認証サーバとして機能することを特徴とする請求項18に記載の認証プロバイダ。
  24. 前記フロントエンド認証サーバは、認証サーバ、許可サーバおよびアカウントサーバであり、通常は、セルラーネットワーク内のネットワークアクセスサーバからアクセス可能であることを特徴とする請求項23に記載の認証プロバイダ。
JP2003572323A 2002-02-28 2003-02-28 シングルサインオンサービスのためのシステム、方法、および装置 Expired - Fee Related JP4303130B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US36138202P 2002-02-28 2002-02-28
US37705902P 2002-05-01 2002-05-01
US10/176,471 US7221935B2 (en) 2002-02-28 2002-06-19 System, method and apparatus for federated single sign-on services
PCT/SE2003/000342 WO2003073783A1 (en) 2002-02-28 2003-02-28 System, method and apparatus for federated single sign-on services

Publications (3)

Publication Number Publication Date
JP2005519501A JP2005519501A (ja) 2005-06-30
JP2005519501A5 JP2005519501A5 (ja) 2006-04-13
JP4303130B2 true JP4303130B2 (ja) 2009-07-29

Family

ID=27761357

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003572323A Expired - Fee Related JP4303130B2 (ja) 2002-02-28 2003-02-28 シングルサインオンサービスのためのシステム、方法、および装置

Country Status (9)

Country Link
JP (1) JP4303130B2 (ja)
CN (1) CN100592827C (ja)
AU (1) AU2003217103A1 (ja)
CA (1) CA2473793C (ja)
DE (1) DE10392283T5 (ja)
ES (1) ES2281228B2 (ja)
GB (1) GB2401509B (ja)
SE (1) SE527706C2 (ja)
WO (1) WO2003073783A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8924422B2 (en) 2010-08-25 2014-12-30 Nec Corporation Condition matching system, linked conditional matching device, and condition matching processing method

Families Citing this family (76)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7290288B2 (en) 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
US8713623B2 (en) 2001-09-20 2014-04-29 Time Warner Cable Enterprises, LLC Technique for effectively providing program material in a cable television system
US7444519B2 (en) 2003-09-23 2008-10-28 Computer Associates Think, Inc. Access control for federated identities
ATE464726T1 (de) * 2003-09-30 2010-04-15 Ericsson Telefon Ab L M Mittel und verfahren zur erzeugung einer eindeutigen benutzeridentität zur verwendung zwischen verschiedenen domänen
US8312267B2 (en) 2004-07-20 2012-11-13 Time Warner Cable Inc. Technique for securely communicating programming content
US8266429B2 (en) 2004-07-20 2012-09-11 Time Warner Cable, Inc. Technique for securely communicating and storing programming material in a trusted domain
GB0423301D0 (en) 2004-10-20 2004-11-24 Fujitsu Ltd User authorization for services in a wireless communications network
JP4598494B2 (ja) * 2004-11-26 2010-12-15 富士通株式会社 利用者仮識別子を用いるネットワークサービスシステム
US9723267B2 (en) 2004-12-15 2017-08-01 Time Warner Cable Enterprises Llc Method and apparatus for wideband distribution of content
JP4543322B2 (ja) * 2005-03-14 2010-09-15 日本電気株式会社 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム
JP2006260321A (ja) * 2005-03-18 2006-09-28 Nec Corp サービス提供システムおよびそのユーザ認証方法
US20070022459A1 (en) 2005-07-20 2007-01-25 Gaebel Thomas M Jr Method and apparatus for boundary-based network operation
JP4670598B2 (ja) * 2005-11-04 2011-04-13 日本電気株式会社 ネットワークシステム、プロキシサーバ、セッション管理方法、及びプログラム
US9251323B2 (en) * 2005-11-24 2016-02-02 International Business Machines Corporation Secure access to a plurality of systems of a distributed computer system by entering passwords
CN1852094B (zh) 2005-12-13 2010-09-29 华为技术有限公司 网络业务应用账户的保护方法和系统
US8280982B2 (en) 2006-05-24 2012-10-02 Time Warner Cable Inc. Personal content server apparatus and methods
US9386327B2 (en) 2006-05-24 2016-07-05 Time Warner Cable Enterprises Llc Secondary content insertion apparatus and methods
US7865173B2 (en) * 2006-07-10 2011-01-04 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement for authentication procedures in a communication network
JP4611946B2 (ja) * 2006-08-10 2011-01-12 日本電信電話株式会社 利用者回線認証システム、利用者回線認証方法および利用者回線認証プログラム
US8520850B2 (en) 2006-10-20 2013-08-27 Time Warner Cable Enterprises Llc Downloadable security and protection methods and apparatus
US8732854B2 (en) 2006-11-01 2014-05-20 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
WO2008082337A1 (en) * 2006-12-28 2008-07-10 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for integration of different authentication infrastructures
US8621540B2 (en) 2007-01-24 2013-12-31 Time Warner Cable Enterprises Llc Apparatus and methods for provisioning in a download-enabled system
US8181206B2 (en) 2007-02-28 2012-05-15 Time Warner Cable Inc. Personal content server apparatus and methods
US8695074B2 (en) * 2007-04-26 2014-04-08 Microsoft Corporation Pre-authenticated calling for voice applications
ITTO20070853A1 (it) * 2007-11-26 2009-05-27 Csp Innovazione Nelle Ict Scar Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali
WO2010000298A1 (en) * 2008-06-30 2010-01-07 Nokia Siemens Networks Oy Apparatus, method and program for integrated authentication
US9357247B2 (en) 2008-11-24 2016-05-31 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US9215423B2 (en) 2009-03-30 2015-12-15 Time Warner Cable Enterprises Llc Recommendation engine apparatus and methods
US11076189B2 (en) 2009-03-30 2021-07-27 Time Warner Cable Enterprises Llc Personal media channel apparatus and methods
US9602864B2 (en) 2009-06-08 2017-03-21 Time Warner Cable Enterprises Llc Media bridge apparatus and methods
US9866609B2 (en) 2009-06-08 2018-01-09 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
CN101645021B (zh) * 2009-06-18 2012-12-12 广东金宇恒科技有限公司 Java应用服务器下多系统的单点登录整合方法
US9237381B2 (en) 2009-08-06 2016-01-12 Time Warner Cable Enterprises Llc Methods and apparatus for local channel insertion in an all-digital content distribution network
US20120198539A1 (en) * 2009-08-31 2012-08-02 China Mobile Communications Corporation Service Access Method, System and Device Based on WLAN Access Authentication
US8396055B2 (en) 2009-10-20 2013-03-12 Time Warner Cable Inc. Methods and apparatus for enabling media functionality in a content-based network
US10264029B2 (en) 2009-10-30 2019-04-16 Time Warner Cable Enterprises Llc Methods and apparatus for packetized content delivery over a content delivery network
US9635421B2 (en) 2009-11-11 2017-04-25 Time Warner Cable Enterprises Llc Methods and apparatus for audience data collection and analysis in a content delivery network
US9519728B2 (en) 2009-12-04 2016-12-13 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and optimizing delivery of content in a network
US9342661B2 (en) 2010-03-02 2016-05-17 Time Warner Cable Enterprises Llc Apparatus and methods for rights-managed content and data delivery
US9300445B2 (en) 2010-05-27 2016-03-29 Time Warner Cable Enterprise LLC Digital domain content processing and distribution apparatus and methods
US9560036B2 (en) * 2010-07-08 2017-01-31 International Business Machines Corporation Cross-protocol federated single sign-on (F-SSO) for cloud enablement
US9906838B2 (en) 2010-07-12 2018-02-27 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US8997136B2 (en) 2010-07-22 2015-03-31 Time Warner Cable Enterprises Llc Apparatus and methods for packetized content delivery over a bandwidth-efficient network
US9185341B2 (en) 2010-09-03 2015-11-10 Time Warner Cable Enterprises Llc Digital domain content processing and distribution apparatus and methods
US8930979B2 (en) 2010-11-11 2015-01-06 Time Warner Cable Enterprises Llc Apparatus and methods for identifying and characterizing latency in a content delivery network
US10148623B2 (en) 2010-11-12 2018-12-04 Time Warner Cable Enterprises Llc Apparatus and methods ensuring data privacy in a content distribution network
EP2521329B1 (en) 2011-05-04 2013-07-10 Alcatel Lucent A server, a system, a method, a computer program and a computer program product for accessing a server in a computer network
US9065816B2 (en) 2011-06-15 2015-06-23 Oracle International Corporation Systems and methods of integrating openID with a telecommunications network
US8943571B2 (en) * 2011-10-04 2015-01-27 Qualcomm Incorporated Method and apparatus for protecting a single sign-on domain from credential leakage
CN104081742B (zh) 2011-12-12 2017-02-22 诺基亚技术有限公司 用于提供联合服务账户的方法和装置
JP4995995B2 (ja) * 2012-03-06 2012-08-08 テレフオンアクチーボラゲット エル エム エリクソン(パブル) アイデンティティネットワークにおけるプライバシー管理のための方法、そのための物理エンティティおよびコンピュータプログラム
US10176335B2 (en) * 2012-03-20 2019-01-08 Microsoft Technology Licensing, Llc Identity services for organizations transparently hosted in the cloud
US9467723B2 (en) 2012-04-04 2016-10-11 Time Warner Cable Enterprises Llc Apparatus and methods for automated highlight reel creation in a content delivery network
US20140082645A1 (en) 2012-09-14 2014-03-20 Peter Stern Apparatus and methods for providing enhanced or interactive features
US9565472B2 (en) 2012-12-10 2017-02-07 Time Warner Cable Enterprises Llc Apparatus and methods for content transfer protection
US20140282786A1 (en) 2013-03-12 2014-09-18 Time Warner Cable Enterprises Llc Methods and apparatus for providing and uploading content to personalized network storage
US9066153B2 (en) 2013-03-15 2015-06-23 Time Warner Cable Enterprises Llc Apparatus and methods for multicast delivery of content in a content delivery network
US10368255B2 (en) 2017-07-25 2019-07-30 Time Warner Cable Enterprises Llc Methods and apparatus for client-based dynamic control of connections to co-existing radio access networks
US9313568B2 (en) 2013-07-23 2016-04-12 Chicago Custom Acoustics, Inc. Custom earphone with dome in the canal
US9621940B2 (en) 2014-05-29 2017-04-11 Time Warner Cable Enterprises Llc Apparatus and methods for recording, accessing, and delivering packetized content
US11540148B2 (en) 2014-06-11 2022-12-27 Time Warner Cable Enterprises Llc Methods and apparatus for access point location
US9935833B2 (en) 2014-11-05 2018-04-03 Time Warner Cable Enterprises Llc Methods and apparatus for determining an optimized wireless interface installation configuration
US10116676B2 (en) 2015-02-13 2018-10-30 Time Warner Cable Enterprises Llc Apparatus and methods for data collection, analysis and service modification based on online activity
SE1551176A1 (en) * 2015-09-14 2017-03-15 Identitrade Ab Method and system for authenticating a user
US10749854B2 (en) 2015-11-12 2020-08-18 Microsoft Technology Licensing, Llc Single sign-on identity management between local and remote systems
US9986578B2 (en) 2015-12-04 2018-05-29 Time Warner Cable Enterprises Llc Apparatus and methods for selective data network access
US9918345B2 (en) 2016-01-20 2018-03-13 Time Warner Cable Enterprises Llc Apparatus and method for wireless network services in moving vehicles
US10404758B2 (en) 2016-02-26 2019-09-03 Time Warner Cable Enterprises Llc Apparatus and methods for centralized message exchange in a user premises device
US10492034B2 (en) 2016-03-07 2019-11-26 Time Warner Cable Enterprises Llc Apparatus and methods for dynamic open-access networks
US10164858B2 (en) 2016-06-15 2018-12-25 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and diagnosing a wireless network
US10645547B2 (en) 2017-06-02 2020-05-05 Charter Communications Operating, Llc Apparatus and methods for providing wireless service in a venue
US10638361B2 (en) 2017-06-06 2020-04-28 Charter Communications Operating, Llc Methods and apparatus for dynamic control of connections to co-existing radio access networks
EP3522511A1 (de) * 2018-02-05 2019-08-07 Schweizerische Bundesbahnen SBB Kommunikationsverfahren und kommunikationssystem zur vergebührung
US11477196B2 (en) * 2018-09-18 2022-10-18 Cyral Inc. Architecture having a protective layer at the data source
US11877218B1 (en) 2021-07-13 2024-01-16 T-Mobile Usa, Inc. Multi-factor authentication using biometric and subscriber data systems and methods

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6430276B1 (en) * 1998-11-18 2002-08-06 Hewlett-Packard Company Telecommunications system and method providing generic network access service
EP1264463A2 (en) * 2000-03-17 2002-12-11 AT & T Corp. Web-based single-sign-on authentication mechanism
GB0100309D0 (en) * 2001-01-05 2001-02-14 Nokia Networks Oy Provision of services in a communications system
EP1259084A1 (en) * 2001-05-17 2002-11-20 Libertel Netwerk B.V. Network system for connecting end-users and service providers

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8924422B2 (en) 2010-08-25 2014-12-30 Nec Corporation Condition matching system, linked conditional matching device, and condition matching processing method

Also Published As

Publication number Publication date
GB2401509B (en) 2006-02-01
CN1640175A (zh) 2005-07-13
SE527706C2 (sv) 2006-05-16
ES2281228B2 (es) 2008-07-16
WO2003073783A1 (en) 2003-09-04
ES2281228A1 (es) 2007-09-16
GB2401509A (en) 2004-11-10
AU2003217103A1 (en) 2003-09-09
SE0402099D0 (sv) 2004-08-26
GB0415391D0 (en) 2004-08-11
SE0402099L (en) 2004-08-26
CA2473793A1 (en) 2003-09-04
DE10392283T5 (de) 2005-04-14
CA2473793C (en) 2014-08-26
JP2005519501A (ja) 2005-06-30
CN100592827C (zh) 2010-02-24

Similar Documents

Publication Publication Date Title
JP4303130B2 (ja) シングルサインオンサービスのためのシステム、方法、および装置
US7221935B2 (en) System, method and apparatus for federated single sign-on services
US7240362B2 (en) Providing identity-related information and preventing man-in-the-middle attacks
JP4742903B2 (ja) 分散認証システム及び分散認証方法
EP2039050B1 (en) Method and arrangement for authentication procedures in a communication network
US7631346B2 (en) Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment
US7860883B2 (en) Method and system for distributed retrieval of data objects within multi-protocol profiles in federated environments
KR100644616B1 (ko) 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템
US7836298B2 (en) Secure identity management
CN112822675B (zh) 面向MEC环境的基于OAuth2.0的单点登录机制
JP2008506139A (ja) ユーザ認証及びサービス承認を管理し、シングル・サイン・オンを実現して、複数のネットワーク・インタフェースにアクセスするためのシステム及び方法
WO2009129753A1 (zh) 提高网络身份认证安全性的方法和装置
US7784085B2 (en) Enabling identity information exchange between circles of trust
JP2005529392A (ja) 階層的分散アイデンティティ管理
JP5920891B2 (ja) 通信サービス認証・接続システム及びその方法
WO2012028168A1 (en) Identity gateway
Lutz et al. Harmonizing service and network provisioning for federative access in a mobile environment
CN116996232A (zh) 一种基于端口复用与路由转发的统一数字身份认证方法
Nasim Diameter Single Sign On–Secure and Personalized Service Provision via Authentication and Authorization Mechanisms

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060221

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060221

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080916

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090327

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090423

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120501

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4303130

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120501

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130501

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140501

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees