JP4394682B2 - 非信頼アクセスネットワークを介してシングルサインオン認証を行なう装置及び方法 - Google Patents

非信頼アクセスネットワークを介してシングルサインオン認証を行なう装置及び方法 Download PDF

Info

Publication number
JP4394682B2
JP4394682B2 JP2006516180A JP2006516180A JP4394682B2 JP 4394682 B2 JP4394682 B2 JP 4394682B2 JP 2006516180 A JP2006516180 A JP 2006516180A JP 2006516180 A JP2006516180 A JP 2006516180A JP 4394682 B2 JP4394682 B2 JP 4394682B2
Authority
JP
Japan
Prior art keywords
user
network
access
service
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006516180A
Other languages
English (en)
Other versions
JP2009514256A (ja
Inventor
カセレス, ルイス バリガ
ロブルス, ルイス ラモス
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2009514256A publication Critical patent/JP2009514256A/ja
Application granted granted Critical
Publication of JP4394682B2 publication Critical patent/JP4394682B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Description

本発明は、一般に、信用されていないアクセスネットワークを介してサービスネットワークにアクセスする複数のユーザに対するシングルサインオンサービスに関する。特に、本発明は、アクセスネットワークがデータ発信元認証を提供しないときにシングルサインオン認証を行なう通信装置、ユーザ機器及び方法に関する。
シングルサインオン(以下、SSO)は、特定の異なるサービスごとに明示的にユーザを認証することなく、これらの異なるサービスに対するユーザのアクセスを許可する新しい原理である。この原理の基礎は、ユーザがある認証プロバイダ(以下、アイデンティティ・プロバイダ:IdP)エンティティにおいて1度認証されれば、その認証結果が他のサービスまたはサービスプロバイダ(SP)への入口に対しても有効となる。換言すると、SSOの目的は、毎回、認証及び許可を受けることなく、ユーザが異なるサービスやアプリーションに安全にアクセスできるようにすることである。
基本的には、SSOをサポートする2つの方法が存在する。すなわち、いわゆる端末中心手法といわゆるネットワーク中心手法である。
端末中心手法の場合、ユーザの端末は、異なるサービスにアクセスするのに必要な異なる複数の認証機構をサポートする。例えば、端末は、ユーザの代わりに異なる複数のパスワードを格納する。この点で、この方法は、ユーザまたは端末側が、異なる複数の認証機構をサポートしていなければならない。さらに、ユーザは、サービスプロバイダ(SP)の役割を果たす全てのエンティティにユーザ自身を登録する必要がある。そのため、全てのエンティティは、例えば、ユーザ識別及びパスワード、メール配信のためのアドレス、連絡先情報、支払い方法等のユーザに関する必要な情報を有している。
ネットワーク中心手法の場合、ユーザは、そのユーザに対する識別プロバイダ(IdP)の役割を果たす1つの中央エンティティに対してのみ認証される。ユーザが所与のサービスにアクセスしたい場合、対応するサービスプロバイダ(SP)は、新しい認証を必要としない。その代わり、サービスプロバイダ(SP)は、識別プロバイダ(IdP)から1つ以上のサービス証明書が提供される。サービス証明書は、ユーザが認証されていることを示し、かつ、ユーザに関する必要な情報を提供するものである。当然、この機構は、SPとIdPとの間のビジネス関係を必要とする。
特別な例は、例えばモバイルネットワークオペレータ(以下、MNO)等、同一のエンティティがアクセス認証を制御するとともに、IdPの役割を果たす場合である。例えば、ユーザは、汎用パケット無線サービス(GPRS)認証または回線交換認証等の際に、ネットワークにアクセスするため、コアネットワーク(CN)に対して認証を実行する。IdPがCNからその情報を取得する手段を有する場合、IdPがCNによる認証を信用することできるため、IdPに対する新しい認証は必要ない。
この特別な例において、ユーザがアクセスする時に経由するアクセスネットワークがデータ発信元認証を提供する場合、識別プロバイダ(IdP)は、コアネットワーク(CN)認証のみを信頼する。例えば、これは、ユーザがGPRSアクセスネットワークを介してアクセスする場合である。
この説明において、データ発信元認証は、アクセスネットワークから受信した任意のデータに対して、発信元がどこであっても、そのデータの要求発信元が信頼できると考えられることを意味する。
米国特許第6,253,327号公報
しかし、無線ローカルエリアネットワーク(WLAN)等の他のアクセスネットワークがデータ発信元認証を提供しない。そのため、ネットワークにアクセスした時に実行された最初の認証をSSO認証の目的のためには再利用できない。換言すると、SSOのためにアクセス認証は再利用できない。
従来、モバイルの世界において、SSOの原理は、ユーザがコアネットワーク(CN)認証を実行すると、シングルサインオン(SSO)のサポートによって、さらなる明確な認証を行なうことなく、ユーザが種々のネットワークのサービスにアクセスすることができた。この原理において、ユーザが加入しているホームネットワークは、そのようなユーザに対してIdPの役割を果たす。一般に、ユーザは、ユーザが加入しているユーザのホームコアネットワーク、またはユーザがローミングしている訪問先のコアネットワークにより認証されてもよい。簡単にするために、ユーザを認証したネットワークがホームネットワークかまたは訪問先のネットワークかに関わらず、本明細書ではコアネットワーク認証と呼ぶことにする。この説明において、データ発信元認証が保証されているものとする。すなわち、モバイルネットワークオペレータのコアネットワーク(CN)が信頼できるネットワークであり、そのため、CNにより割り当てられたIPアドレスを有する移動局(あるいは、ユーザ機器またはユーザ端末側)は、その信頼されたIPアドレスを介して識別されるからである。よって、移動局からの任意のデータは、信頼できるものと判断される。さらに、IPアドレスがユーザの移動局に割り当てられている間、当該IPアドレスはユーザの擬似識別として使用される。この原理は、移動加入者ディレクトリ番号(以下、MSISDN)等の他のユーザの識別を取得するために、SSO方法において使用される。
現在、シングルサインオンに関して、2つの主なビジネスモデルが存在する。第1のモデルは、いわゆるウォールドガーデン(Walled Garden)SSOである。本明細書ではローカルサービスと呼ばれるSSOを提供する同一のエンティティにより提供されるサービスに対するSSOの使用法をこのように呼ぶことにする。このビジネスモデルをサポートするための公開された仕様書または標準技術は存在しない。
第2のモデルは、いわゆる連携型(Federated)SSOである。このモデルにおいて、SSOサービスは識別プロバイダ(IdP)により提供される。また、本明細書では外部サービスと呼ばれるサービスが1つ以上のサービスプロバイダ(SP)により提供されるものとする。シングルサインオン認証業界団体(LAP:Liberty Alliance Project)として知られる業界フォーラムは、いわゆる連携型SSOをサポートするためのプロトコル一式を開発した。LAPは、特定の認証機構を指定してはいない。LAPは、認証結果を、識別プロバイダ(IdP)からサービスプロバイダ(SP)に転送することを指定している。そして、LAPは、サービスプロバイダ(SP)がエンドユーザにサービスを供給する方法を指定している。しかし、LAPは、ユーザが非信頼アクセスネットワークを介してアクセスしている時のIdPの動作方法については提案していない。
シングルサインオン(SSO)に対して上述のようなウォールドガーデンSSO及び連携型SSOを使用する場合において、モバイルネットワークオペレータ(MNO)が、コアネットワーク(CN)の認証プロバイダとSSOの識別プロバイダ(IdP)との双方の役割を果たす。アクセスネットワークがデータ発信元認証を提供するという条件の下では、ユーザがアクセス認証を実行すると、新しい認証処理を行なうことなく、多数のサービスへのアクセスが可能となるSSOが利用可能となる。
例えば、アクセスネットワークがGPRSネットワークであるという条件の下では、GPRS認証が正常に実行されると、識別プロバイダ(IdP)の役割を果たすエンティティは、あるIPアドレスを有するユーザから受信したサービス証明書の要求がIPスプーフィングを実行する攻撃者からのものではなく、確かにそのユーザからのものであるという保証をする。従って、IdPは、追加の認証を実行せずに、要求されたサービス証明書をユーザに対して提供できる。この好適な例に従って、米国特許第6,253,327号は、ネットワークにより1度認証されたIPアドレスをユーザに割り当て、それにより、ユーザが公衆ネットワークエリアまたは専用ネットワークエリアにアクセスする際のさらなる認証の必要をなくす装置及び方法を開示している。ここで、そのIPアドレスは、取り決められたポイント・ツー・ポイントプロトコルセッションを介して認証された証明として使用される。ポイント・ツー・ポイントプロトコルセッションが許可するようなデータ発信元認証をアクセスネットワークが提供するのであれば、これは好ましい解決策である。
しかし、当該技術の現在の状況においては、ユーザを識別するための所与のIPアドレスが、モバイルネットワークオペレータ(MNO)の制御下になく、IPスプーフィングを実行する攻撃者により使用されている恐れがある。そのため、アクセスネットワークがデータ発信元認証を提供しない場合、シングルサインオン認証に対する安全策が欠けていることになる。この点において、米国特許第6,571,289号に示されるように、アクセスネットワークから専用ネットワークへの直接アクセスを回避するために、セキュアゲートウェイを介するトンネリング機構を使用してまう場合、アクセスネットワークがデータ発信元認証を提供しない時は有用でないし、また、IPスプーフィングを実行する攻撃者からの命令を排除できない。ちなみに、セキュアゲートウェイは、専用ネットワークにアクセスするユーザを認証し、さらに、専用ネットワークのネットワークエンティティに対するIPアドレスを削除し、要求の発信元を、対応する応答の送信先に関連付ける処理を行なうものである。
従って、本発明は、この課題を克服するものであり、WLAN等のデータ発信元認証を提供できないアクセスネットワークを介したアクセスを提供するモバイルネットワークオペレータ(MNO)が、SSOに対して最初のアクセス認証を再利用できるようにすることを目的とする。さらに、本発明は、少なくともネットワーク中心手法の下、この課題を克服することに対処する。
本発明によると、上述の目的は、請求項1の装置、請求項14のユーザの機器、及び請求項18の方法によって達成される。これらは、コアネットワークに対して実行された最初のアクセス認証を再利用することにより、データ発信元認証を提供しないアクセスネットワークを介してサービスネットワークにアクセスしているユーザに対して、シングルサインオンサービスを提供するものである。装置、ユーザの機器及び方法は、発明に関する単一の概念を形成する。
本発明に係る装置は、データ発信元認証を提供しないアクセスネットワークを介して、通信サービスネットワークにおけるシングルサインオンサービスの要求をユーザから受信するように構成される。一方で、ユーザは、コアネットワークにより認証された結果、アクセス証明書を受信する。本装置は:
アクセスネットワークにより割り当てられた外部(アウター)IPアドレスを使用することにより、アクセスネットワークを介してユーザとのセキュアトンネルを確立する手段と;
セキュアトンネルが確立している間、ユーザから受信したアクセス証明書の有効性をチェックする手段と;
アクセス証明書の有効性チェックが成功すると、ユーザとの有効セッションを確立する手段と;
セキュアトンネル内で内側(インナー)IPアドレスとして使用される内部(インターナル)IPアドレスを割り当てる手段と;
ユーザに対して、セッションのデータ、アクセス証明書及び割り当てられた内部IPアドレスをリンクさせる(関連付ける)手段とを具備する。
本装置は、特定の許可証明を必要とするあるサービスにアクセスするユーザが使用可能なサービス証明書を生成する手段により構成されることが好ましい。さらに、この手段は、サービスが要求されると、サービス単位で、ユーザに対してサービス証明書を生成するように構成される。
サービスネットワークに提供されたアクセス証明書が署名されるかまたは署名されない可能性があると仮定する。装置には、ホームネットワークの認証サーバと通信する手段が提供されることが好ましい。これは、認識された認証エンティティによりアクセス証明書が署名されないときに、ユーザから受信したアクセス証明書の有効性をチェックするためである。
装置は、異なる構成要素により好適に実現されてもよい。すなわち、本装置において、ユーザとのセキュアトンネルを確立する手段が、セキュアサービスエントリポイントと呼ばれる第1のデバイスに含まれ、ユーザに対して、セッションのデータ、アクセス証明書及び割り当てられた内部IPアドレスをリンクさせる手段が、シングルサインオンサーバと呼ばれる第2のデバイスに含まれる。このような手法の下で、本装置は、第1のデバイスと第2のデバイス、すなわち、セキュアサービスエントリポイントとシングルサインオンサーバとが通信する手段をさらに具備する。
これに対し、ユーザがアクセスするサービスネットワークが、ユーザが加入しているホームネットワークとは異なる可能性があると仮定する。本発明に係る装置は、ホームネットワークのユーザを管理する認証プロバイダとの別の連携手段を具備するのが好ましい。別の連携手段は、セキュアサービスエントリポイントに配置されてもよいが、シングルサインオンサーバに配置されるのが好ましいだろう。
動作中、ユーザがローカルHTTPサービスまたは現在アクセスしているサービスネットワークとは異なるネットワーク上の外部サービスにアクセスしているときなど、好適な使用例の場合、本装置は、ユーザが既に認証されているか否かをチェックする手段を含む。従って、本装置は、HTTPローカルサービスまたは外部ネットワーク上の外部(エクスターナル)サービスへのユーザのアクセスをインターセプト(傍受して阻止)するように構成された仲介エンティティと通信する手段が提供されてもよい。特に、この仲介エンティティは、HTTPプロキシでもよく、またはこの目的のために構成される汎用ファイアウォールでもよい。
ユーザが非HTTPローカルサービスにアクセスしているときの他の好適な使用例において、本装置は、ユーザが既に認証されているか否かをチェックする手段をさらに含む。しかし、この手法の下では、このチェックする手段がサービスと装置自体との間で共用されるため、ユーザとサービスとの間に仲介エンティティを介在させることは、重要な利点とはならない可能性がある。なお、HTTPサービスであるかまたは非HTTPサービスであるかは、仲介エンティティを有することの利点または欠点を議論するためではなく、むしろ、本発明に係る装置と互換性を有する他の構成を示しているにすぎない。
本発明に係るユーザ機器は、コアネットワークに対して認証処理を実行するように構成され、データ発信元認証を提供しないアクセスネットワークを介して、サービスネットワークとのセキュアトンネルを確立する手段を含む。セキュアトンネルは、アクセスネットワークにより割り当てられた外部IPアドレスを使用する。ユーザ機器は:
コアネットワークにより認証された結果、アクセス証明書を取得する手段と;
アクセス証明書をセキュアトンネルにリンクさせる手段とを具備する。
ユーザ機器は、トンネルトラフィック内で内側IPアドレスとして受信した内部IPアドレスをアクセス証明書及びセキュアトンネルにリンクさせる手段を含む。このように、特定のサービスへのさらなるアクセスする際に、特定のサービスに直接アクセスするための擬似識別として、既に割り当てられているIPアドレスをユーザ機器が使用してもよい。
アクセス証明書を取得するために異なる機構が使用されてもよいが、ユーザ機器を提供することにより、さらなるセキュリティ上の利点が得られると考えられる。アクセス証明書を取得する手段は:
コアネットワークから認証チャレンジを受信する手段と;
認証応答を生成しかつコアネットワークに返信する手段と;
1組の公開鍵及び秘密鍵を生成する手段と;
秘密鍵の所有権を証明するデジタル署名とともに公開鍵をコアネットワークに対して送信する手段とを含む。
あるいは、簡易化されたユーザ機器及びコアネットワークにおいて、ユーザ機器でアクセス証明書を取得する手段は:
コアネットワークから認証チャレンジを受信する手段と;
認証応答を生成しかつコアネットワークに返信する手段と;
コアネットワークから取得可能なデジタル証明書を要求する手段とを含む。
本発明によると、通信サービスネットワークおいて、コアネットワークにより認証されかつデータ発信元認証を提供できないアクセスネットワークを介してサービスネットワークにアクセスするユーザに対して、シングルサインオンサービスをサポートする方法がさらに提供される。本方法は:
コアネットワークにより認証された結果、アクセス証明書をユーザ機器側に提供するステップと;
アクセスネットワークにより割り当てられた外部IPアドレスを使用することにより、アクセスネットワークを介して、サービスネットワークのエンティティとユーザ機器側との間にセキュアトンネルを確立するステップと;
ユーザ機器側で、アクセス証明書をセキュアトンネルにリンクするステップと;
セキュアトンネルが確立している間、サービスネットワークにおいてユーザ機器側から受信したアクセス証明書の有効性をチェックするステップと;
アクセス証明書の有効性チェックが成功した際に、ユーザとの有効セッションを確立するステップと;
サービスネットワークにおいて、トンネルトラフィック内で内側IPアドレスとして使用されるユーザに対する内部IPアドレスを割り当てるステップと;
サービスネットワークのエンティティにおいて、ユーザに対して、セッションのデータ、アクセス証明書及び割り当てられた内部IPアドレスをリンクするステップとを含む。
ユーザの機器における好適な対応する機能に従って、本方法は、トンネルトラフィック内で内側IPアドレスとして受信した内部IPアドレスを、アクセス証明書及びユーザ機器側のセキュアトンネルにリンクするステップをさらに含む。
上述の装置における好適な対応する機能に従って、本方法は、ユーザに対してサービス証明書を生成するステップをさらに含む。このステップは、サービスが要求されると、サービス単位で、ユーザに対してサービス証明書を生成するステップをさらに含んでもよい。
サービスネットワークにおいてユーザから受信したアクセス証明書の有効性をチェックするステップは、認識された認証エンティティによりアクセス証明書が署名されていない場合にホームネットワークの認証サーバと通信するステップをさらに含むことが好ましい。
これに対し、本発明に従って装置に付与される特定の構成によれば、本方法は、セキュアトンネルを管理するセキュアサービスエントリポイントと呼ばれる第1のデバイスが、ユーザに対してセッションのデータ、アクセス証明書及び割り当てられた内部IPアドレスをリンクするステップが実行されるシングルサインオンサーバ(N 42)と呼ばれる第2のデバイスと通信するステップをさらに含んでもよい。
例示的な使用方法によれば、ユーザがローカルサービスまたは現在アクセスしているサービスネットワークとは異なるネットワーク上にある外部サービスにアクセスしている場合、本方法は、ユーザが既に認証されているか否かをチェックする手段をさらに含む。
本発明の特徴、目的及び利点については、添付の図面を参照しながら本明細書を読むことによりさらに明瞭に理解できるであろう。
以下において、無線ローカルエリアネットワーク(WLAN)を介してアクセスする場合などのように、データ発信元認証を提供しないアクセスネットワークを介してユーザがアクセスする場合にも、ユーザがシングルサインオン(SSO)サービスを享受できるようにする装置、ユーザ機器及び方法の現時点で好適な実施形態を説明する。
本発明は、ユーザ機器、訪問先のサービスネットワーク、及びデータ発信元認証を提供しないアクセスネットワークを介したユーザ端末と訪問先のサービスネットワークとの間のセキュアトンネルを確立するための手法について、いくつかの手法を提案する。なお、、訪問先のサービスネットワークは、ホームサービスネットワークであってもよい。
本発明の第1の手法によると、コアネットワーク認証の処理中にユーザ端末側(N 10)がコアネットワーク(N 30)から認証またはアクセス証明書を取得し、かつ、ユーザ端末側(N 10)が、サービスネットワーク(N 40)に対する特定のセキュアトンネル(S−24)に認証またはアクセス証明書をリンクする新しい機構を具備する。ここで、サービスネットワークは、ホームサービスネットワークや訪問先のサービスネットワークであってもよい。明瞭かつ簡潔に説明するために、以下において、認証証明書またはアクセス証明書を「アクセス証明書」と呼ぶことにする。
従って、図2及び図3に示されるように、認証自体は、拡張認証プロトコルフレームワーク(以下、EAPと称す。IETF RFC 2284に準拠する。)を使用してユーザ端末(N 10)とコアネットワーク(N 30)に位置する認証サーバ(N 31)との間で相互に実行される。しかしながら、アクセス認証は、アクセスネットワーク(N 20)における汎用アクセスサーバ(以下、GAS)(N 22)により実行される。拡張認証プロトコルは、認証フレームワークを提供する。認証フレームワークは、複数の認証機構をサポートする。現在に至るまで、EAPは、ポイント・ツー・ポイントプロトコル(PPP)を使用して、回線交換網またはダイヤルアップ回線を介して相互に接続するホスト及びルータにより実現されてきた。さらに、EAPは、例えばEAPメッセージがカプセル化される802.1X 2001等のIEEE802規格に準拠するスイッチによっても実現されてきた。
EAPアーキテクチャの1つの利点は、その柔軟性にある。例えば、図1に示すようなネットワークアクセスサーバ(N 21)(一般にNASとして知られる)は、非ローカルのユーザに対してだけでなく、NASにおいてローカルに実現されていない認証方法についてのパススルーエンティティとして動作しつつ、同時に、ローカルのユーザを認証してもよい。ここで、ネットワークアクセスサーバ(N 21)は、PPPまたはIEEE802を使用するEAPを介して、ネットワークへのアクセス権が付与される前に認証を必要とするユーザ(N 11)に接続される。
図2に示される現時点で好適な実施形態において、ユーザ(N 10)は、ネットワークへのアクセスを試みる。PPPまたはIEEE802に基づく接続(コネクション)(S 21)は、クライアントとアクセスネットワーク(N 20)のGAS(N 22)との間に確立される。GASは、「認証、許可及び課金」(以下、AAA)を行なうのに適切なプロトコル(S 22)を使用して、コアネットワーク(N 30)の認証サーバ(N 31)と通信することにより認証実行し、また、EAPメッセージに対するパススルーとして動作する。
従来の適切なAAAプロトコル(S 12;S 22)は、リモート認証ダイヤルインユーザサービス(以下、RADIUS。IETF RFC 2865に準拠。)プロトコルでもよい。RADIUSプロトコルは、図1に示すように、ネットワークアクセスサーバ(NAS)(N 21;N 22)と認証サーバ(N 31)との間で認証、許可及び構成情報を伝送するために、クライアント/サーバモデルを使用する。通常、通信ネットワークに対する接続性を保証するプロバイダは、ユーザの識別情報を確認するためにRADIUSを使用する。従って、ユーザが周知の電話番号にダイヤルすることで、両側のモデム、すなわちユーザ及び接続性プロバイダが接続を確立する。サーバ側のモデムは、ネットワークアクセスサーバ(NAS)に接続される。NASは、ログイン名及びパスワードを要求する(S 11)ことにより、ネットワークへのアクセス権を付与する前にユーザの認証を要求する。ネットワークアクセスサーバ(NAS)(N 21;N 22)は、ネットワークを介してRADIUSサーバ(N 31)と通信し、ユーザを認証するために、RADIUSプロトコルを使用する。RADIUSサーバ(N 31)は、ログイン名及びパスワードなど、NASから転送されたユーザに関する情報を収集する。認証処理は、RADIUSサーバがNASに多数のチャレンジを送信することを要求してもよいし、要求しなくてもよい。ユーザは、NASに対して応答できる必要がある。認証処理の結果、RADUISサーバ(N 31)は、ユーザ(N 10;N 11)がネットワークへのアクセスを許可されたか否かをNAS(N 21;N 22)に対して示す。使用するのに適切な別のAAAプロトコルは、RADIUSの進化型であるDIAMETERでもよい。
図2に示されるように、EAP認証は、アクセスネットワーク(N 20)の汎用アクセスサーバ(N 22)を介して、ユーザ(N 10)と認証サーバ(N 31)との間で相互に実行される(S 23)。例えば、汎用アクセスサーバ(N 22)は、図1のネットワークアクセスサーバ(N 21)でもよい。
図2に示されるこのEAP認証の処理中、1つ以上のアクセス証明書が、ユーザ(N 10)とホームネットワーク(N 30)との間、またはさらに一般的には、ユーザとコアネットワークとの間で、配布されるかまたは同意される。この時、ユーザを認証するコアネットワークがホームネットワークであるかまたは訪問先のネットワークであるかは関係ない。
これらのアクセス証明書は、ユーザ(N 10)とホームネットワークまたは訪問先のネットワークであるサービスネットワーク(N 40)との間にセキュアトンネル(S 24)を設定するためにも使用される。本発明に係る第1の面が目的としているように、このセキュアトンネル(S 24)、すなわち、セキュア通信チャネルは、少なくともデータ発信元認証またはそれと同等の機能を提供する必要がある。
アクセス証明書の配布処理や同意処理についての機構は、セキュアトンネルにリンクまたは関連付けるために適正に使用されるため、本発明の目的を達成する上でも適切な機構といえるだろう。
しかしながら、現時点で好適な実施形態によれば、図3が示すように、本発明の目的を達成する上で適切な、一時的な証明書を取得するための新しい機構が提供される。
このシーケンス図において、認証チャレンジがユーザ端末側(N 10)で受信されると、認証応答を生成することに加え、1組の公開鍵及び秘密鍵が生成される。秘密鍵の所有権を証明するデジタル署名に加え、公開鍵が、認証応答とともにコアネットワークの認証サーバ(N 31)へ送信される。
ユーザの認証が成功すると、受信したデジタル署名がチェックされる。デジタル署名が適正なものである場合、一時的なデジタル証明書がユーザの公開鍵に対して生成される。この証明書は、認証の成功を示すメッセージとともに、認証サーバ(N 31)からユーザの端末側(N 10)に返信される。
図示しないが、ユーザの端末側(N 10)は、1組の公開鍵及び秘密鍵を生成する代わりに、認証チャレンジの応答とともに送信されるべきデジタル証明書の要求を生成してもよい。
本発明の第1の面によれば、好適な本実施形態の利点またはその他の利点により一時的なデジタル証明書が取得されるが、これは、ユーザの端末側でセキュアトンネルとリンクされるアクセス証明書の一種である。
しかし、本発明の目的に対して有効なコアネットワークからアクセス証明書を取得するために、他の機構が使用されてもよい。図2の好適な実施形態に示される1つの例によれば、上述した一時的な証明書のようなアクセス証明書が認証サーバ(N 31)からユーザ端末(N 10)に配布されるが、アクセス証明書は別の証明書プロバイダ(N 32)から取得されてもよい。別の例においては、認証サーバ(N 31)自体がそのようなアクセス証明書を生成する。認証サーバ(N 31)または証明書プロバイダ(N 32)が、アクセス証明書に電子署名してもよい。他の実施形態においては、いくつかの暗号データが認証サーバ(N 31)及びユーザ機器(N 10)において取得され、その後、それらの暗号データがアクセス証明書として使用されてもよい。最後の例の場合、アクセス証明書を認証サーバからユーザに対して配布する必要はないため、その結果、アクセス証明書は、コアネットワーク(N 30)により署名されることはないだろう。
図2に戻ると、アクセス認証を実行している間にコアネットワーク(N 30)から取得されたアクセス証明書は、ユーザ(N 10)とホームサービスネットワークまたは訪問先のサービスネットワーク(N 40)のエンティティ(N 41)との間にセキュアトンネル(S 24)を設定するために使用される。本明細書においては、エンティティ(N 41)をセキュアサービスエントリポイント(以下、SSEP)と呼ぶ。アクセス証明書がコアネットワークにより署名されない場合、SSEP(N 41)と認証サーバ(N 31)との間に通信チャネル(S 25)が必要とされる。それにより、ユーザ(N 10)により提供されたアクセス証明書を受入れ可能であるかを、SSEPが認証サーバに確認できることが好ましい。これに対し、アクセス証明書が署名される場合、SSEP(N 41)は、認証サーバ(N 31)または証明書プロバイダ(N 32)により署名された有効なアクセス証明書として、それらアクセス証明書を受け入れるように構成されるのが好ましい。いずれの場合においても、ユーザ端末(N 10)とSSEP(N 41)との間のセキュア通信チャネル(S 24)は、少なくともデータ発信元認証を提供する必要がある。このように、このセキュア通信チャネルを介して受信された全てのトラフィックは、要求したユーザからのものであり、ユーザのふりをした攻撃者からのものではないとみなすことができる。
本発明に係る第2の面によれば、ユーザに関連するセッション情報を保持し、そのセッション情報をセキュアトンネルの確立及び切断にリンクさせる新しい機構が、ホームサービスネットワークまたは訪問先のサービスネットワークのエンティティにおいて提供される。現時点で好適な実施形態において、このエンティティは、上述したセキュアサービスエントリポイント(SSEP)と協働するシングルサインオン(SSO)サーバ(N 42)であることが好ましいが、いずれか一方であってもよい。このように、ユーザ端末(N 10)がセキュア通信チャネル(S 24)を介してサービスにアクセスしようとする(S 24)場合、ユーザにシングルサインオンをサポートするために、ユーザ端末(N 10)から、サービス自体から、またはこの目的のためにサービスと協働するエンティティから、SSOサーバ(N 42)にサービス証明書が要求される。SSOサーバ(N 42)は、ユーザ端末(N 10)に対するサービス証明書の要求が確かにサービスにアクセスするためのユーザの試みからのものであり、ユーザのふりをした攻撃者からのものではないという保証を有する。従って、SSOサーバ(N 42)は、追加の認証を実行することなく、要求されたサービス証明書を要求者に提供できる。
図2をさらに参照すると、トンネルトラフィックにおいて使用されるように、IPアドレスをユーザに割り当てるために、SSEPは、SSOサーバ(N 42)と情報を交換する(S 26)。このIPアドレスは、サービスネットワークにより処理されるIPアドレスのプールに含まれていてもよい。その後、SSEP(N 41)は、ユーザ(N 10)がセッションを確立したことを、SSOサーバ(N 42)に知らせる。
これが達成されると、すなわち、ユーザに割り当てられたIPアドレスがユーザアクセス証明書及び対応するセッション情報にリンクされると、SSOサーバ(N 42)は、内部IPアドレスとともに受信したサービス証明書に対する要求が確かに対応するユーザからのものであるということを保証できる。
図示しないが、ユーザが訪問先のサービスネットワークとのセキュア通信チャネルを確立した場合、SSOサーバは、ユーザを管理する識別プロバイダ(IdP)、すなわち、IdPの役割を果たすホームサービスネットワークのエンティティとのさらなる連携動作を必要とする。簡単にするため、以下の説明においては、IdPの役割を果たすホームサービスネットワークにユーザ端末が接続されていると仮定する。
この段階で、ユーザは、データ発信元認証を提供できないアクセスネットワークを介してアクセスしている場合においても、ユーザの都合のいい時にシングルサインオン(SSO)サービスを楽しむことができる。特に、ユーザ端末(N 10)は、以下に説明する現時点で好適な各実施形態に従って、上述した任意のビジネスモデルの下で、すなわちウォールドガーデンモデルまたは連携型シングルサインオンモデルの下で動作してもよい。
第1の実施形態において、図4に示されるウォールドガーデンの場合、ユーザがHTTPローカルサービス(N 44)にアクセスする時、中間ノード(N 43)は、HTTPローカルサービスへのアクセスを傍受して阻止する(S 30,S 29)。この中間ノード(N 43)は、ユーザが既に認証されているか否かをSSOサーバ(N 42)に問い合わせる(S 28)。中間ノード(N 43)は、汎用ファイアウォールがこの目的のために構成されてもよいが、HTTPプロキシであることが好ましいだろう。この場合にユーザを識別するための擬似識別は、データ発信元認証を保証可能な事前に割り当てられたIPアドレスである。そのような問合せを受信するSSOサーバ(N 42)は、IPアドレスのタグが付けられた使用可能なセッションが存在することをチェックし、確認応答またはサービス証明書を、中間ノードであるHTTPプロキシ(N 43)に送信する。サービス証明書は、HTTPローカルサービス(N 44)に対するユーザ端末(N 10)のアクセスを許可し、任意で、ユーザ端末のブラウザにクッキーを割り当てる。クッキーが提供された場合、HTTPサービスに対して次の要求があった時、SSOサーバ(N 42)に確認することなく、ユーザ端末(N 10)を認識するために、このクッキーが使用されうる。
第2の実施形態において、図5に示されるウォールドガーデンの場合、ユーザが非HTTPサービス(N 45)にアクセスする時、または、一般的には、ユーザが上述のHTTPプロキシを必要としないローカルサービス(N 45)にアクセスする時、ローカルサービス(N 45)は、恐らくSSEP(N 41)を介して、ユーザ端末側(N 10)から直接アクセスされてもよい(S 24,S 31)。要求されたローカルサービス(N 45)は、事前に割り当てられたIPアドレスを擬似識別情報として使用し、ユーザが既に認証されているかをSSOサーバ(N 42)に直接問い合わせる(S 32)。そのような問合せを受信するSSOサーバ(N 42)は、IPアドレスによりタグ付けされた使用可能なセッションが存在することをチェックし、ユーザ(N 10)のアクセスを許可するために、確認応答またはサービス証明書をローカルサービス(N 45)に送信する。
第3の実施形態において、図6に示される連携型SSOの場合、ユーザ(N 10)は、外部サービス(N 51)へのアクセスを試み、LAPプロトコルに従って、ユーザのブラウザ(N 10)は、サードパーティSP(N 51)、すなわち外部サービスにリダイレクトされる(S 30,S 33)。サードパーティSP(N 51)は、ユーザがアクセス証明書を提供した時に事前に割り当てられたIPアドレスを使用して、SSOサーバ(N 42)にサービスの許可を要求する(S 33、S 28)。SSOサーバ(N 42)は、SSO条件の下、当該IPアドレスを擬似識別情報として割り当てられているユーザについて、認証及び許可状態をチェックし、その後、要求したサードパーティSPにサインオンするために使用できるサービス証明書を返信する。SSOサーバは、上述した第1の実施形態と同様に、クッキーを割り当ててもよい。
最後に、ユーザ端末がセキュアトンネルを切断する場合、SSEPは、内部IPアドレスの割り当てを解除しかつSSOサーバのユーザ関連セッション情報を削除するために、SSOサーバと通信する。
例示的かつ非限定的な手法で、いくつかの実施形態に関連して本発明を説明してきた。上述した説明に鑑みて、これらの実施形態の変形したり変更したりすることは可能であり、これらは特許請求の範囲に含まれることが意図されている。
図1は、拡張認証プロトコルに基づくアクセス制御に対する周知のアーキテクチャの基本的な概略を示す図である。 図2は、ユーザがユーザのホームネットワークにより認証され、データ発信元認証を提供しないアクセスネットワークを介して、アクセス認証を再利用するサービスネットワークにさらにアクセスしている時に関わるエンティティ及びインタフェースに焦点を当て、アーキテクチャ及びインタフェースの一例の概略を示す図である。 図3は、ユーザがユーザのホームコアネットワークにより認証された結果、アクセス証明書を取得する現時点で好適な実施形態を説明するシーケンス図である。 図4は、ユーザがローカルHTTPサービスにアクセスする時の好適な動作に焦点を当て、図2に示されるアーキテクチャ及びインタフェースの第1の概略を示す図である。 図5は、ユーザがローカル非HTTPサービスにアクセスするか、あるいは、HTTPプロキシまたはファイアウォール等の任意の仲介エンティティの援助なしでローカルHTTPサービスにアクセスしている時の好適な動作に焦点を当て、図2に示されるアーキテクチャ及びインタフェースの第2の概略を示す図である。 図6は、ユーザが現在アクセスしているサービスネットワークとは異なるネットワーク上の外部サービスにアクセスしている時の好適な動作に焦点を当て、図2に示されるアーキテクチャ及びインタフェースの第3の概略を示す図である。

Claims (23)

  1. データ発信元認証を提供しないアクセスネットワーク(N−20)を介して、通信サービスネットワーク(N−40)におけるシングルサインオンサービスの要求をユーザ(N−10)から受信するように構成された装置(N−41、N42)であって、前記ユーザ(N−10)は、コアネットワーク(N−30)により認証された結果としてアクセス証明書(デジタル証明書)を受信済みであり、
    前記装置は、
    前記アクセスネットワーク(N−20)を介して前記ユーザ(N−10)から前記アクセス証明書を受信する手段(S−24)と、
    前記ユーザ(N−10)から受信された前記アクセス証明書の有効性をチェックする手段(N−41、S−25、N−31)と、
    前記アクセス証明書の有効性のチェックに成功すると、前記ユーザ(N−10)との有効なセッションを確立する手段と、
    前記通信サービスネットワーク(N−40)において前記ユーザを識別するための内部IPアドレスを割り当てる手段と、
    前記内部IPアドレスと、前記セッションのデータと、前記アクセス証明書とをリンクさせる手段(N−41、S−26、N−42)と
    を含み、さらに、
    前記アクセスネットワーク(N−20)により前記ユーザ(N−10)に割り当てられた外部IPアドレスを使用し、かつ、セキュアトンネル化されたトラフィックにおける内側IPアドレスとして前記通信サービスネットワーク(N−40)において前記ユーザ(N−10)を識別するために割り当てられた前記内部IPアドレスを使用することにより、前記アクセスネットワーク(N−20)を通じて前記アクセス証明書が受信されたときに、前記ユーザ(N−10)とのセキュアトンネル(S−24)確立する手段をさらに含むことを特徴とする装置。
  2. 前記通信サービスネットワーク(N−40)におけるサービスにアクセスすることを、前記ユーザに許可するためのサービス証明書を生成する手段をさらに含むことを特徴とする請求項1に記載の装置。
  3. 前記サービス証明書は、サービスの要求があると前記ユーザ(N−10)に対して該サービスごとに生成される(N−41、S−26、N−42)ことを特徴とする請求項2に記載の装置。
  4. 認識された認証エンティティ(N−31)により前記アクセス証明書が署名されていないときに、前記ユーザ(N−10)から受信された前記アクセス証明書の有効性をチェックするために、前記ホームネットワーク(N−30)の認証サーバ(N−31)と通信する手段をさらに含むことを特徴とする請求項1に記載の装置。
  5. 前記ユーザ(N−10)との前記セキュアトンネルを確立する手段は、セキュアサービスエントリポイントと呼ばれる第1のデバイスに含まれ、
    前記ユーザ(N−10)に対して、前記セッションのデータ、前記アクセス証明書及び前記内部IPアドレスをリンクさせる手段は、シングルサインオンサーバと呼ばれる第2のデバイスに含まれることを特徴とする請求項1に記載の装置。
  6. 前記セキュアサービスエントリポイントと前記シングルサインオンサーバとを通信させるための手段をさらに含むことを特徴とする請求項5に記載の装置。
  7. 前記ホームネットワーク(N−30)が、前記装置のエントリーポイントとなっている前記通信サービスネットワーク(N−40)と異なるときに、前記ホームネットワークにおいて前記ユーザを管理する識別プロバイダ(N−31)と前記装置とを連携させる追加の手段をさらに含むことを特徴とする請求項1に記載の装置。
  8. 前記ユーザ(N−10)がローカルのHTTPサービス(N−44)、または現在アクセスしているサービスネットワーク(N−40)とは異なるネットワーク(N−50)上の外部サービス(N−51)にアクセスしているときに、前記装置は、前記ユーザ(N−10)が既に認証されているか否かをチェックする手段(N−41、S−30、N−43、S−28、N−42)をさらに含むことを特徴とする請求項1に記載の装置。
  9. 前記ローカルのHTTPサービス(N−44)または前記外部ネットワーク(N−50)上の前記外部サービス(N−51)への前記ユーザ(N−10)のアクセス(S−29)を傍受して阻止するように構成された仲介エンティティ(N−43)と通信する手段(S−30、S−28)をさらに含むことを特徴とする請求項8に記載の装置。
  10. 前記仲介エンティティは、HTTPプロキシであることを特徴とする請求項9に記載の装置。
  11. 前記仲介エンティティは、ファイアウォールであることを特徴とする請求項9に記載の装置。
  12. 前記ユーザ(N−10)が非HTTPのローカルサービス(N−45)にアクセスしているときに、前記ユーザ(N−10)が既に認証されているか否かをチェックする手段(N−41、s−31、N−45、S−32、N−42)をさらに含むことを特徴とする請求項1に記載の装置。
  13. 前記アクセス証明書を受信する手段は、前記ユーザ(N−10)の認証に成功したことを示すために前記コアネットワーク(N−30)によって発行されたデジタル証明書が存在しているか否かをチェックする手段を含むことを特徴とする請求項1に記載の装置。
  14. コアネットワーク(N−30)との認証手続を実行するとともに、データ発信元認証を提供しないアクセスネットワーク(N−20)を介して通信サービスネットワーク(N−40)にアクセスするユーザ機器(N−10、N−11)であって、
    前記コアネットワーク(N−30)によって認証された結果としてアクセス証明書を取得する手段(S−23)と、
    前記アクセスネットワーク(N−20)を介してアクセスするときに、前記通信サービスネットワーク(N−40)に向けて前記アクセス証明書を送信する手段(S−24)と
    を含み、さらに、
    前記通信サービスネットワークとのセキュアトンネルであって、前記アクセスネットワークにより前記ユーザ機器に割り当てられた外部IPアドレスを利用するセキュアトンネルを、前記アクセスネットワークを介して確立する手段と、
    前記通信サービスネットワークにおいて前記ユーザ機器(N−10)を識別するために、トンネル化されたトラフィックでは内側IPアドレスとして使用される、前記通信サービスネットワークによって割り当てられた内部IPアドレスを受信する手段(S−24)と、
    前記アクセス証明書を、前記内部IPアドレスと前記セキュアトンネルとにリンクさせる手段と
    を含むことを特徴とするユーザ機器。
  15. 前記アクセス証明書を取得する手段は、
    前記コアネットワークから認証チャレンジを受信する手段と、
    認証応答を生成して前記コアネットワークに該認証応答を返信する手段と、
    1組の公開鍵及び秘密鍵を生成する手段と、
    前記秘密鍵の所有権を証明するデジタル署名とともに前記公開鍵を前記コアネットワークに対して送信する手段と
    を含むことを特徴とする請求項14に記載のユーザ機器。
  16. 前記アクセス証明書を取得する手段は、
    前記コアネットワークから認証チャレンジを受信する手段と、
    認証応答を生成して前記コアネットワークに該認証応答を返信する手段と、
    前記コアネットワークから取得可能なデジタル証明書を要求する手段と
    を含むことを特徴とする請求項14に記載のユーザ機器。
  17. 前記アクセス証明書を取得する手段は、
    前記デジタル証明書を取得可能な公開鍵を生成する手段を含むことを特徴とする請求項16に記載のユーザ機器。
  18. データ発信元認証を提供できないアクセスネットワーク(N−20)を介して通信サービスネットワーク(N−40)にアクセスするユーザ(N−10)に対してシングルサインオンサービスをサポートする方法であって、前記ユーザ(N−10)がコアネットワークにより認証された結果としてアクセス証明書を受信済みである場合に、
    前記方法は、
    前記通信サービスネットワーク(N−40)において、前記アクセスネットワーク(N−20)を通じて前記ユーザ(N−10)から前記アクセス証明書を受信するステップ(S−24)と、
    前記通信サービスネットワーク(N−40)において、受信された前記アクセス証明書の有効性をチェックするステップ(N−41、S−25、N−31)と、
    前記アクセス証明書の有効性のチェックが成功すると、前記ユーザ(N−10)との有効セッションを確立するステップ(N−41、S−26、N−42)と、
    前記通信サービスネットワーク(N−40)において、該通信サービスネットワーク内のサービスにアクセスする際に、前記ユーザ(N−10)を識別するため、前記ユーザに内部IPアドレスを割り当てるステップ(N−41、S−26、N−42)と、
    前記通信サービスネットワーク(N−40)のエンティティ(N−41、N−42)において、前記ユーザ(N−10)に対して、セッションのデータ、アクセス証明書及び割り当てられた前記内部IPアドレスをリンクさせるステップと
    を含むことを特徴とする方法。
  19. 前記通信サービスネットワーク(N−40)におけるサービスへアクセスすることを前記ユーザに許可するためのサービス証明書を生成するステップ(N−41、S−26、N−42)をさらに含むことを特徴とする請求項18に記載の方法。
  20. 前記サービス証明書を生成するステップには、前記サービスの要求があると該サービスごとに前記ユーザに対して前記サービス証明書を生成するステップを含むことを特徴とする請求項19に記載の方法。
  21. 前記通信サービスネットワーク(N−40)において、受信された前記アクセス証明書の有効性をチェックするステップ(N−41、S−25、N−31)は、
    認識された認証エンティティ(N−31)により前記アクセス証明書が署名されていないときに、前記ユーザ(N−10)から受信された前記アクセス証明書の有効性をチェックするために、前記ホームネットワーク(N−30)の認証サーバ(N−31)と通信するステップをさらに含むことを特徴とする請求項20に記載の方法。
  22. 前記通信サービスネットワーク(N−40)のエンティティ(N−41、N−42)において、前記ユーザ(N−10)に対して、セッションのデータ、アクセス証明書及び割り当てられた前記内部IPアドレスをリンクさせるステップは、
    前記セキュアトンネル(S−24)として機能する、セキュアサービスエントリポイント(N−41)と呼ばれる第1のデバイスと通信するステップ(S−26)と、
    前記リンクさせるステップを実行する、シングルサインオンサーバ(N−42)と呼ばれる第2のデバイスと通信するステップと
    を含むことを特徴とする請求項18に記載の方法。
  23. 前記ユーザ(N−10)がローカルのHTTPサービス(N−44、N−45)、または現在アクセスしているサービスネットワーク(N−40)とは異なるネットワーク(N−50)上の外部サービス(N−51)にアクセスしているときに、前記ユーザが既に認証されているか否かをチェックするステップ(N−41、S−30、N−43、S−28、N−42)をさらに含むことを特徴とする請求項18に記載の方法。
JP2006516180A 2003-06-26 2004-06-23 非信頼アクセスネットワークを介してシングルサインオン認証を行なう装置及び方法 Expired - Fee Related JP4394682B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP03076977A EP1492296B1 (en) 2003-06-26 2003-06-26 Apparatus and method for a single a sign-on authentication through a non-trusted access network
PCT/EP2004/051217 WO2005002165A1 (en) 2003-06-26 2004-06-23 Apparatus and method for a single sign-on authentication through a non-trusted access network

Publications (2)

Publication Number Publication Date
JP2009514256A JP2009514256A (ja) 2009-04-02
JP4394682B2 true JP4394682B2 (ja) 2010-01-06

Family

ID=33395926

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006516180A Expired - Fee Related JP4394682B2 (ja) 2003-06-26 2004-06-23 非信頼アクセスネットワークを介してシングルサインオン認証を行なう装置及び方法

Country Status (9)

Country Link
US (1) US20060195893A1 (ja)
EP (1) EP1492296B1 (ja)
JP (1) JP4394682B2 (ja)
CN (1) CN1813457B (ja)
AT (1) ATE360948T1 (ja)
CA (1) CA2530891C (ja)
DE (1) DE60313445T2 (ja)
ES (1) ES2281599T3 (ja)
WO (1) WO2005002165A1 (ja)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0409496D0 (en) * 2004-04-28 2004-06-02 Nokia Corp Subscriber identities
US7698734B2 (en) * 2004-08-23 2010-04-13 International Business Machines Corporation Single sign-on (SSO) for non-SSO-compliant applications
US8245280B2 (en) * 2005-02-11 2012-08-14 Samsung Electronics Co., Ltd. System and method for user access control to content in a network
US20060218629A1 (en) * 2005-03-22 2006-09-28 Sbc Knowledge Ventures, Lp System and method of tracking single sign-on sessions
US20060218630A1 (en) * 2005-03-23 2006-09-28 Sbc Knowledge Ventures L.P. Opt-in linking to a single sign-on account
US7784092B2 (en) * 2005-03-25 2010-08-24 AT&T Intellectual I, L.P. System and method of locating identity providers in a data network
US7631346B2 (en) * 2005-04-01 2009-12-08 International Business Machines Corporation Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment
FI20050491A0 (fi) * 2005-05-09 2005-05-09 Nokia Corp Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä
CN100583761C (zh) * 2005-05-16 2010-01-20 联想(北京)有限公司 一种统一认证的实现方法
JP4984020B2 (ja) * 2005-08-19 2012-07-25 日本電気株式会社 通信システム、ノード、認証サーバ、通信方法及びそのプログラム
CA2527550A1 (en) * 2005-11-24 2007-05-24 Oz Communications Method for securely associating data with https sessions
EP1961149B1 (en) * 2005-11-24 2018-08-08 Synchronica plc Method for securely associating data with http and https sessions
US7561692B2 (en) * 2006-02-27 2009-07-14 Alvarion Ltd. Method of authenticating mobile terminal
US8452961B2 (en) * 2006-03-07 2013-05-28 Samsung Electronics Co., Ltd. Method and system for authentication between electronic devices with minimal user intervention
US20070288487A1 (en) * 2006-06-08 2007-12-13 Samsung Electronics Co., Ltd. Method and system for access control to consumer electronics devices in a network
US7827275B2 (en) 2006-06-08 2010-11-02 Samsung Electronics Co., Ltd. Method and system for remotely accessing devices in a network
WO2007142566A1 (en) * 2006-06-09 2007-12-13 Telefonaktiebolaget Lm Ericsson (Publ) Access to services in a telecommunications network
JP4882546B2 (ja) * 2006-06-28 2012-02-22 富士ゼロックス株式会社 情報処理システムおよび制御プログラム
US8280989B2 (en) * 2006-12-14 2012-10-02 Bce Inc. Method, system and apparatus for provisioning a communication client
JP2008181427A (ja) * 2007-01-25 2008-08-07 Fuji Xerox Co Ltd シングルサインオンシステム、情報端末装置、シングルサインオンサーバ、プログラム
US7647404B2 (en) * 2007-01-31 2010-01-12 Edge Technologies, Inc. Method of authentication processing during a single sign on transaction via a content transform proxy service
US7941831B2 (en) * 2007-02-09 2011-05-10 Microsoft Corporation Dynamic update of authentication information
US8307411B2 (en) 2007-02-09 2012-11-06 Microsoft Corporation Generic framework for EAP
US20080222714A1 (en) * 2007-03-09 2008-09-11 Mark Frederick Wahl System and method for authentication upon network attachment
US8572716B2 (en) 2007-04-23 2013-10-29 Microsoft Corporation Integrating operating systems with content offered by web based entities
US20090064291A1 (en) * 2007-08-28 2009-03-05 Mark Frederick Wahl System and method for relaying authentication at network attachment
US20090089870A1 (en) * 2007-09-28 2009-04-02 Mark Frederick Wahl System and method for validating interactions in an identity metasystem
US20100182970A1 (en) * 2009-01-21 2010-07-22 Qualcomm Incorporated Multiple Subscriptions Using a Single Air-Interface Resource
CN102461230B (zh) * 2009-04-07 2015-06-17 托吉瓦控股股份公司 用于在基于uam的wlan网络中对网络节点进行认证的方法和系统
US8375429B2 (en) * 2009-04-09 2013-02-12 Novell, Inc. Network-based application control
US8943552B2 (en) * 2009-04-24 2015-01-27 Blackberry Limited Methods and apparatus to discover authentication information in a wireless networking environment
US8607316B2 (en) 2010-08-31 2013-12-10 Blackberry Limited Simplified authentication via application access server
KR20140109478A (ko) * 2010-12-30 2014-09-15 인터디지탈 패튼 홀딩스, 인크 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정
US9088891B2 (en) 2012-08-13 2015-07-21 Wells Fargo Bank, N.A. Wireless multi-factor authentication with captive portals
US9166969B2 (en) * 2012-12-06 2015-10-20 Cisco Technology, Inc. Session certificates
US20150026772A1 (en) * 2013-07-16 2015-01-22 Samsung Electronics Co., Ltd. Media based authentication and authorization for secure services
CN104767721B (zh) * 2014-01-08 2019-03-15 阿尔卡特朗讯公司 向第三方用户提供核心网络服务的方法和网络单元
US9794266B2 (en) * 2014-09-05 2017-10-17 Qualcomm Incorporated Using multiple credentials for access and traffic differentiation
EP3381171B1 (en) * 2015-11-25 2021-12-15 Akamai Technologies, Inc. Uniquely identifying and securely communicating with an appliance in an uncontrolled network
US9769668B1 (en) 2016-08-01 2017-09-19 At&T Intellectual Property I, L.P. System and method for common authentication across subscribed services
US10382428B2 (en) 2016-09-21 2019-08-13 Mastercard International Incorporated Systems and methods for providing single sign-on authentication services
WO2018162687A1 (en) * 2017-03-09 2018-09-13 Gulbrandsen Magnus Skraastad Core network access provider

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6105027A (en) * 1997-03-10 2000-08-15 Internet Dynamics, Inc. Techniques for eliminating redundant access checking by access filters
US6317838B1 (en) * 1998-04-29 2001-11-13 Bull S.A. Method and architecture to provide a secured remote access to private resources
US6571289B1 (en) * 1998-08-03 2003-05-27 Sun Microsystems, Inc. Chained registrations for mobile IP
US6311275B1 (en) * 1998-08-03 2001-10-30 Cisco Technology, Inc. Method for providing single step log-on access to a differentiated computer network
US6253327B1 (en) * 1998-12-02 2001-06-26 Cisco Technology, Inc. Single step network logon based on point to point protocol
EP1264463A2 (en) * 2000-03-17 2002-12-11 AT & T Corp. Web-based single-sign-on authentication mechanism
DE10043203A1 (de) * 2000-09-01 2002-03-21 Siemens Ag Generische WLAN-Architektur
US7793095B2 (en) * 2002-06-06 2010-09-07 Hardt Dick C Distributed hierarchical identity management

Also Published As

Publication number Publication date
CN1813457A (zh) 2006-08-02
WO2005002165A1 (en) 2005-01-06
ATE360948T1 (de) 2007-05-15
CN1813457B (zh) 2011-04-13
CA2530891A1 (en) 2006-01-06
US20060195893A1 (en) 2006-08-31
DE60313445T2 (de) 2008-01-10
EP1492296B1 (en) 2007-04-25
CA2530891C (en) 2014-08-12
ES2281599T3 (es) 2007-10-01
EP1492296A1 (en) 2004-12-29
JP2009514256A (ja) 2009-04-02
DE60313445D1 (de) 2007-06-06

Similar Documents

Publication Publication Date Title
JP4394682B2 (ja) 非信頼アクセスネットワークを介してシングルサインオン認証を行なう装置及び方法
KR100996983B1 (ko) 셀룰러 통신 시스템에서의 재인증 허용 방법 및 장치
TWI293844B (en) A system and method for performing application layer service authentication and providing secure access to an application server
JP4832756B2 (ja) Wlanローミングの間にgsm認証を行う方法およびシステム
US8108903B2 (en) Arrangement and a method relating to IP network access
RU2304856C2 (ru) Способ и система, предназначенные для установления соединения через сеть доступа
JP4801147B2 (ja) 証明を配送するための方法、システム、ネットワーク・ノード及びコンピュータ・プログラム
JP4777729B2 (ja) 設定情報配布装置、方法、プログラム及び媒体
US7142851B2 (en) Technique for secure wireless LAN access
JP3869392B2 (ja) 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体
US20060019635A1 (en) Enhanced use of a network access identifier in wlan
EP1770940A1 (en) Method and apparatus for establishing a communication between a mobile device and a network
KR20030040601A (ko) 무선 인터넷 망간 접속 방법
JP2008537398A (ja) モバイルインターネットプロトコル鍵配布のためのジェネリック認証アーキテクチャの利用
BRPI0517521B1 (pt) Método e sistema para autenticar um assinante de uma primeira rede para acessar um serviço de aplicação através de uma segunda rede
KR20070032805A (ko) 복수의 네트워크를 액세스하기 위한 싱글-사인-온을실현하도록 사용자 인증 및 승인을 관리하는 시스템 및방법
WO2007148969A1 (en) Method and system for controlling access to networks
KR20050064119A (ko) 인터넷접속을 위한 확장인증프로토콜 인증시 단말에서의서버인증서 유효성 검증 방법
US20040010713A1 (en) EAP telecommunication protocol extension
KR20040001329A (ko) 공중 무선랜 서비스를 위한 망 접속 방법
CN114070597B (zh) 一种专网跨网认证方法及装置
KR100732655B1 (ko) Wlan 로밍 중에 gsm 인증을 위한 방법 및 시스템
JP2004023166A (ja) モバイル通信サービスシステム
ZA200501089B (en) Method system for GSM authentication during WLAN Roaming

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090918

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091015

R150 Certificate of patent or registration of utility model

Ref document number: 4394682

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121023

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121023

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131023

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees