JP5827680B2 - IPsecとIKEバージョン1の認証を伴うワンタイム・パスワード - Google Patents
IPsecとIKEバージョン1の認証を伴うワンタイム・パスワード Download PDFInfo
- Publication number
- JP5827680B2 JP5827680B2 JP2013510122A JP2013510122A JP5827680B2 JP 5827680 B2 JP5827680 B2 JP 5827680B2 JP 2013510122 A JP2013510122 A JP 2013510122A JP 2013510122 A JP2013510122 A JP 2013510122A JP 5827680 B2 JP5827680 B2 JP 5827680B2
- Authority
- JP
- Japan
- Prior art keywords
- time password
- client
- communication
- authentication
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Description
大部分のプライベート・ネットワークでは、クライアント・コンピュータがネットワーク上のリソースにアクセスできる前に何らかの形の認証が必要である。クライアント・コンピュータを、当該コンピュータ、または当該コンピュータのユーザが認証情報を提供したときに認証することができる。当該認証情報は、1つまたは複数の「ファクタ」に基づくことがある。ファクタは、スマート・カードのようなユーザが所有するもの、またはパスワードのようなユーザが知っているもの、または指紋もしくは眼瞼読取(eyelid reading)のようなユーザの何らかの属性であるかもしれない。認証に必要なこれらのファクタの数および性質は、不適切にアクセスが許可されるリスク、または、クライアント・コンピュータがネットワークにアクセスすることが認められない可能性に依存するかもしれない。
認証情報はこれらのファクタのうち1つまたは複数に直接基づくこともある。他の事例では、認証情報がこれらのファクタのうち1つまたは複数から間接的に導出されることもある。クライアント・コンピュータは、これらのファクタのうち1つまたは複数を、ネットワーク管理者が信頼するソースに提供することができる。次いで当該ソースが証明書を発行し、装置を正当なクライアントとして確認することができる。当該証明書により、単体でまたは他のファクタとともに、クライアント・コンピュータを認証することができる。当該情報がどのように取得されるかに関わらず、当該情報をクライアント・コンピュータとアクセス制御機構の間の交換の一部として使用して、クライアントを認証できる場合にアクセス制御機構がアクセスを許可するだけであるようにすることができる。
様々な機構を使用して、クライアントへのアクセスを許可するかまたは拒否するかの決定を行うことができる。一般的に、認証プロセスに続いて、認証情報を追加のパラメータとともに用いて権限付与プロセスを実施し、特定のクライアントのアクセス権限を決定する。クライアントのアクセス権限に基づいてアクセスが制限される具体的な機構は、ネットワークのトランスポート層の実装に依存しうる。一般に、クライアントが認証されると、トランスポート層は、当該クライアントのアクセス権限と一致するメッセージを、当該クライアントに対して送受信する。認証されない装置に対しては、ネットワークに物理的に接続されていても、当該トランスポート層は当該装置とメッセージをやり取りしない。
アクセス判定を行うための1つの機構は、IPsecと呼ばれるプロトコルの使用を含む。クライアントが認証されなければ、ネットワーク・トランスポート層は、クライアントがネットワーク通信を送受信するためのIPsecセッションを生成しない。
認証の1つのタイプにワンタイム・パスワードがあり、高い安全性をもたらすと考えられている。新たなパスワードを一定間隔で生成するかまたは予め準備されたパスワードのリストを生成するクロックに結び付けられた電子装置のような、ワンタイム・パスワードを生成できる複数の技術がある。パスワードを生成する形態に関わらず、パスワードを使用して限られた期間だけネットワークへアクセスすることができるので、パスワードにより安全性が高められる。当該限られた期間は、相対的に短い時間間隔によりまたはパスワードを使用することにより、定義することができる。したがって、悪意のある第三者がパスワードへのアクセスを取得した場合であっても、当該第三者は当該パスワードを使用してネットワークにアクセスできる可能性は低い。
残念ながら、IPsecはアクセス制御向けに広く使用されているが、多くの実装形態ではワンタイム・パスワードをサポートしない。IPsecセッションを生成するには、IKE(Internet Key Exchange)プロトコルを使用する必要がある。広く使用されているIKEのバージョン1(IKEvl)ではワンタイム・パスワードがサポートされていない。IKEのバージョン2(IKEv2)ではワンタイム・パスワードがサポートされているが、IKEv2は、特に企業ネットワーク向けのリモート・アクセス制御に対して、広くは使用されていない。
発明者らは、ネットワークへのアクセスを正当なワンタイム・パスワードを提示するクライアントにのみ制限するようにネットワーク・アクセス制御システムを適合させることで、ネットワーク・セキュリティを改善できることを認識し理解した。当該ネットワーク・アクセス制御システムは、本質的にワンタイム・パスワードをサポートするものである。当該アクセス・システムは、ワンタイム・パスワードを含む認証要求をクライアントから受け取ると、当該パスワードをワンタイム・パスワード・サービスに提供する認証サービスを備える。当該ワンタイム・パスワード・サービスはパスワードの正当性をチェックし、正当性が検証されると、当該ワンタイム・パスワードの正当性が検証されたというインジケータを返す。当該インジケータはクライアントに返すことができ、当該クライアントは次いで当該インジケーションを証明書要求と関連して送信することができる。証明機関は、当該インジケータを受け取ると正当な証明書を発行する。クライアントは次いで当該証明書を使用して接続を生成する。
ワンタイム・パスワードの正当性が検証されたというインジケータをクライアントが送信したことに基づいて証明機関が選択的に証明書を発行するので、正当なワンタイム・パスワードを有するクライアントにアクセスが制限される。このように、正当な証明書を利用するアクセス制御機構は、ワンタイム・パスワード認証をサポートするプロトコルをアクセス制御機構自体が使用しない場合であっても、正当なワンタイム・パスワードを有するクライアントにアクセスを許可し、正当なワンタイム・パスワードを有さないクライアントへのアクセスを拒否する。具体的な例として、アクセス制御機構が、IKEv1を用いて生成されたIPsecセキュリティ・アソシエーションを使用してアクセス制御の判定を行うことができる。
以上は、本発明の非限定的な要約であり、添付の特許請求の範囲により定義される。
添付図面は正しい縮尺で描くことを意図したものではない。図面においては、様々な図において示されている夫々の同一またはほぼ同一の構成要素は同じ番号で表される。明確にするため、各図面において全ての構成要素にはラベルが付されていないこともある。
本発明の幾つかの実施形態に従ってクライアント装置を認証できる例示的なネットワーク環境の略図である。
本発明の幾つかの実施形態に従って、ワンタイム・パスワードに基づいて証明書を取得するプロセスの概略図である。
図2のプロセスで発行される証明書に基づいてネットワーク・アクセスを取得するプロセスの概略図である。
ワンタイム・パスワードをサポートしないアクセス制御を使用するネットワークを、かかるパスワードを使用するように適合させることができる。1つまたは複数のサービスを提供することにより当該適合を実装することができる。当該1つまたは複数のサービスは、ワンタイム・パスワードの正当性を検証でき、クライアントに対するワンタイム・パスワードが認証されたというインジケーションを発行することができる。証明機関は、ネットワーク・アクセスを取得するために用いられる証明書を付与するために、かかる証明書を要求するクライアントが、そのワンタイム・パスワードの正当性が検証されたというインジケーションを受け取ったことを条件としてもよい。
幾つかの実施形態では、本技法を企業ネットワークで使用して、クライアントが正当なワンタイム・パスワードを有しているかどうかに基づいてクライアントのアクセスを許可または拒否することができる。このように、ワンタイム・パスワード認証をサポートしないリモート・アクセス制御システムを有する企業ネットワークを、ワンタイム・パスワードに基づくアクセス制御ポリシを実装するように適合させてもよい。幾つかの実施形態では、本技法を旧式のネットワーク・アクセス制御システムと併用してもよい。1例として、IKEv1を用いてIPsecセキュリティ・アソシエーションを介してアクセス制御を行うシステムを、ネットワーク・アクセスに対する正当なワンタイム・パスワードを要求するように適合させてもよい。
本明細書で説明した技法を任意の適切なネットワーク環境で使用することができる。本発明の諸実施形態を実施できるネットワーク環境の例示的な実施形態を図1に示す。
図1は、コンピュータ・システム100の略図を示す。コンピュータ・システム100を、従来型のコンピュータ・システムで使用される装置から構成してもよい。しかし、コンピュータ・システム100は、コンピュータ・システム100内部の装置が、ネットワークへのアクセスを許可するためのワンタイム・パスワードを要求するようにプログラムされているという点で従来型のコンピュータ・システムとは異なる。
コンピュータ・システム100はプライベート・ネットワークを含み、ここでは、サーバ124のようなネットワークに接続された複数のリソースを有するマネージド・ネットワーク120として示してある。クライアント装置をネットワークに接続して、ネットワーク・リソースにアクセスすることができる。しかし、ネットワークへのアクセスが、許可されたクライアント装置にのみ制限されているので、当該ネットワークはプライベートである。
本例では、マネージド・ネットワーク120が、会社または企業の内部のネットワークであってもよい。あるいは、マネージド・ネットワーク120が大規模ネットワークのドメインまたは他の部分であってもよい。マネージド・ネットワーク120を、ネットワークに関するアクセス基準を提供する個人またはエンティティによって管理してもよい。本明細書に記載の例示的なシステムでは、当該アクセス基準には、ワンタイム・パスワードと、許可されたクライアント装置を特定できる他の情報が含まれる。
許可されたクライアント装置を特定できる情報に関して、任意の適切な情報を使用してもよい。幾つかの実施形態では、装置のユーザがネットワークにアクセスする権限を有しており当該権限の証明の役割を果たすクライアント情報を入力したことを理由として、当該装置を認証してもよい。これらの実施形態では、認証情報が、装置のユーザに関連してもよく、ユーザ名または他のコードであってもよい。他の実施形態では、当該認証情報が、コンピュータ上の複数のユーザ・セッションに関連付けられた複数のユーザのうち1名のみに関連してもよい。例えば、コンピュータが複数のユーザ・セッションをサポートする場合、ユーザ・セッションの一部のみにネットワークへのアクセスを許可してもよい。これらの実施形態では、認証情報が1つまたは複数の特定のユーザ・セッションに関連してもよい。したがって、本発明は、認証されるエンティティの種類によっては限定されない。
図1に示すように、マネージド・ネットワーク120は、サーバ124ならびにクライアント110Bおよび110Cのようなネットワーク装置を備える。ここで、WAN(wide area network)122がネットワーク装置を相互接続すると示されている。本構成は説明を簡単にするために示されているが、アクセスが制御されるネットワークが複数の相互接続ネットワークを含んでもよく、または、異種もしくは追加の相互接続アーキテクチャを含んでもよい。同様に簡単にするため、少数のネットワーク装置が示されているが、マネージド・ネットワークが多数の装置を含んでもよい。
装置を、アクセス制御を提供するゲートウェイを介してマネージド・ネットワーク120に接続させてもよい。簡単にするため、単一のアクセス制御ゲートウェイ116が示されている。アクセス制御ゲートウェイ116は、既知であるか将来開発されるかに関わらず、無線アクセス・ポイント、ハードワイヤードのアクセス・ポイントまたは他の任意の種類のアクセス・ポイントの一部であってもよい。しかし、示した例では、アクセス制御ゲートウェイ116はインターネットのようなパブリック・ネットワーク130に接続される。パブリック・ネットワークへのかかる接続により、遠隔地にあるクライアント装置が、アクセス制御ゲートウェイ116が実施するアクセス制御ポリシに従うことができるならば、マネージド・ネットワーク120にアクセスすることができる。
図1の例では、アクセス制御ゲートウェイ116は切替装置118とアクセス制御サーバ112を備える。アクセス制御サーバ112を、ユーザ・インタフェース113を介して、または、他の任意の適切な方法で構成してもよい。切替装置118は、ネットワーク内に含め得る数種の切替装置のうち何れかを表す。ここで、切替装置118はネットワークのトランスポート層のコンポーネントを示す。切替装置118は、ルータ、スイッチ、ハブ、ゲートウェイ、または他の任意の適切な切替装置であってもよい。商用の実装においては、必要に応じてネットワークを介してパケットをルーティングすることに関与する複数の切替装置が存在してもよいが、簡単にするため、かかる装置のうち1つのみを示す。
図1の例は、クライアント110Bと110Cに対して既にマネージド・ネットワーク120へのアクセスが与えられていることを示している。見方を変えると、図1は、クライアント110Aがアクセス制御ゲートウェイ116を介してマネージド・ネットワーク120に接続することを求めることを示し、したがってクライアント110Aはマネージド・ネットワーク120の外部に示されている。動作においては、クライアント110Aのようなクライアントがマネージド・ネットワーク120へのアクセスを求めると、アクセス制御装置は、クライアント110Aにマネージド・ネットワーク120へのアクセスを与えるべきかどうか判定する。示した実施形態では、当該アクセス制御装置がアクセス制御サーバ112内で実行されている。しかし、当然ことながら、アクセスされているネットワーク装置がアクセス制御装置の役割を果たす実施形態を含めて、他の諸実施形態が可能である。アクセス判定がアクセス制御サーバ112で行われる実施形態では、クライアントが適切なワンタイム・パスワードを提供するかどうかに少なくとも部分的に基づいてネットワーク・アクセスを許可するか拒否するかを判定するように、アクセス制御サーバ112をプログラムしてもよい。
さらに、他のファクタに基づいてアクセスに条件を与えるようにアクセス制御サーバ112を構成してもよい。例えば、アクセス制御ゲートウェイ112は、クライアントを認証し、ネットワークの「健全な」ポリシに従うハードウェア構成またはソフトウェア構成をクライアントが報告したことを検証してもよい。認証されたクライアントの諸態様の数および種類に関わらず、アクセス制御サーバ112は、全ての要求された態様の正当性が検証されない場合には、クライアントにネットワーク・アクセスを許可すべきとは示さない。
アクセス制御サーバ112は、ネットワーク・アクセスの判定結果を実施機構(enforcement mechanism)に伝達する。当該実施機構をネットワーク120のトランスポート層内部に含めてもよく、これは切り替え装置118により表されているが、当該実施機構が多数の異種または追加の装置を含んでもよい。示した諸実施形態では、クライアントにネットワーク・アクセスを許可すべきという判定を、クライアント110Aのようなマネージド・ネットワーク120へのアクセスを求めるリモート・クライアントにセキュリティ・アソシエーションを生成するように要求することによって行ってもよい。
セキュリティ・アソシエーションは、当業界で公知であり、セキュリティ・アソシエーションで結び付けられた或るネットワーク装置により使用して、ネットワーク通信が当該セキュリティ・アソシエーションの一部である別の装置から生じたと判定してもよい。セキュリティ・アソシエーションを使用して、当該セキュリティ・アソシエーションの一部である別の装置からの通信が、それらが送信された後に変更されていないことをネットワーク装置が保証することを可能にしてもよい。さらに、セキュリティ・アソシエーションを使用して、セキュリティ・アソシエーションを介して接続された装置の間の通信を暗号化してもよい。このようなセキュリティ・アソシエーションを使用することは、場合によっては信頼性、完全性、および機密性と呼ばれる。
本明細書で説明した諸実施形態では、アクセス制御ゲートウェイがセキュリティ・アソシエーションを使用して信頼性、完全性、および機密性を提供してもよい。ゲートウェイを通過する、許可された装置へのメッセージをゲートウェイにより暗号化して、当該メッセージが変更されていない場合には当該メッセージをセキュリティ・アソシエーションの一部である権限のあるクライアントのみによって復号化できるようにしてもよい。同様に、ゲートウェイで受信したメッセージを、当該メッセージを復号化し認証できる場合にのみ、マネージド・ネットワーク120へ転送してもよい。しかし、他の実施形態では、信頼性を保証するためにのみセキュリティ・アソシエーションを使用してもよく、ゲートウェイはメッセージを、当該メッセージが認証された場合に渡してもよい。
セキュリティ・アソシエーションがゲートウェイで使用される具体的な方法に関わらず、装置とゲートウェイが秘密情報を共有することとなるプロトコルでメッセージを交換することにより、セキュリティ・アソシエーションを生成してもよい。続いて当該秘密情報を、情報を他方に送信するときに、クライアントまたはゲートウェイにより適用して、公知の暗号機能を用いて当該情報を署名または暗号化してもよい。受信者も、セキュリティ・アソシエーションの一部である秘密情報へアクセスして、当該情報を復号化し、および/または、当該情報が当該セキュリティ・アソシエーションを共有する別の装置により署名されたことの正当性を検証することができる。
図1の例では、アクセス制御サーバ112は、ネットワーク130上でネットワーク・アクセスを求めるクライアント110Aと対話してもよい。この対話の結果、アクセス制御サーバ112とリモート・クライアント110Aはセキュリティ・アソシエーションを生成することができる。クライアント110Aからの通信がマネージド・ネットワーク120では直接には許可されないように、切替装置118を構成してもよい。寧ろ、これらの通信を最初にアクセス制御サーバ112で処理してもよい。アクセス制御サーバ112が、確立されたセキュリティ・アソシエーションを用いて通信が送信されたと判定する場合は、これらの通信をマネージド・ネットワーク120に送ってもよい。通信が暗号化されている場合は、アクセス制御サーバ112がセキュリティ・アソシエーションを使用して通信を復号化し、ネットワーク・サーバ124のような他のネットワーク装置がクライアント装置110Aからの通信にアクセスできるようにしてもよい。
逆に、ネットワーク120上の装置から送信された通信に対して、アクセス制御サーバ112によって生成された、認証されたクライアントとのセキュリティ・アソシエーションに従ってかかる通信がエンコードされている場合に、切替装置118はかかる通信をネットワーク130に渡すことができるにすぎない。ネットワーク通信がセキュリティ・アソシエーションに従って暗号化されているので、他の装置は、パブリック・ネットワーク130上の通信にアクセスできたとしても、その内容を引き出すことはできない。このように、リモート・クライアントがアクセス制御サーバ112との正当なセキュリティ・アソシエーションを生成できる場合にのみ、当該リモート・クライアントはマネージド・ネットワーク120上の装置に対してメッセージを送受信することができる。
したがって、セキュリティ・アソシエーションは、権限のあるクライアントのみが当該セキュリティ・アソシエーションを生成できるように生成される。セキュリティ・アソシエーションを生成する前に、アクセス制御サーバ112は、クライアント110Aのようなクライアントに関する認証情報を受信してもよい。認証情報を任意の適切な方法で取得してもよい。当該認証情報が、クライアント装置110Aのユーザ・インタフェースを介してクライアント装置110Aに入力された情報に全体としてまたは部分的に基づいてもよい。代替または追加として、当該認証情報が、クライアントと外部装置との間の対話に全体としてまたは部分的に基づいてもよい。これらのシナリオでは、認証情報が、外部装置により実施された認証が成功したことの証拠であってもよい。かかる証拠は証明書の形であってもよく、アクセス制御サーバ112が当該証明書を使用してアクセスを許可するかどうかを判定してもよい。外部装置による認証の証明を実証するための証明書は当業界で公知であり、アクセス制御サーバ112は、証明書を公知の形式で受け入れてもよいが、外部装置による認証を実証する、任意の適切な形式での情報を使用してもよい。
図1に示す実施形態では、認証サーバ150は外部装置の1例である。認証サーバ150は、任意の適切な方法で装置を認証することができる。示したように、認証サーバ150は、装置が許可されるかどうかを特定するために使用できる、許可された装置に関する情報のデータ記憶152を維持することができる。例えば、データ記憶152が、許可された装置と、装置が正当なパスワードを提供したかどうかを判定するために認証サーバが使用できる情報のようなセキュリティ情報とから成るリストを含んでもよい。しかし、他の任意の適切なアプローチを使用してもよく、データ記憶152が異種または追加の種類の情報を含んでもよい。当該情報には、許可された装置に対する予め記憶された鍵または許可された装置の確認を行う際に使用される他のセキュリティ情報が含まれる。
示した実施形態では、クライアント110Aが、インターネットのようなパブリック・ネットワーク130上の認証サーバ150にアクセスするとして示されている。本実施形態では、クライアント110Aと認証サーバ150の間の通信を、公開鍵/秘密鍵暗号化を用いて暗号化または保護してもよい。しかし、クライアント110Aと認証サーバ150の間の通信に対して任意の適切な機構を使用してもよい。
また、示した実施形態では、認証サーバ150はネットワーク120の外部に示されている。認証サーバ150をネットワーク120上に設けることを含めて、他の実施形態も可能である。かかる実施形態では、切替装置118が、認証サーバへの制限された接続を認証されていない装置に提供してもよい。
認証サーバ150の位置に関わらず、認証サーバ150とアクセス制御サーバ112の間の通信のための機構を提供してもよい。示した実施形態では、当該機構が証明書を介したものであってもよい。認証サーバ150は、クライアント110Aの認証が成功した場合に証明書をクライアント110Aに発行してもよい。アクセス制御サーバ112が正当性を検証できる、認証サーバ150が保持するセキュリティ情報を用いて、当該証明書を署名してもよい。1例として、証明書を、公開鍵/秘密鍵の対の秘密鍵で署名または暗号化してもよい。アクセス制御サーバ112が当該鍵の対の公開鍵を有する場合、アクセス制御サーバ112は、証明書が認証サーバ150により発行されたことの正当性を検証してもよい。証明書は、クライアント110Aを特定する情報を含んでもよい。当該情報は、当該情報の完全性を保証するために認証サーバ150により署名され、それにより、アクセス制御サーバ112は、当該証明書がクライアント110Aに発行されたと判定することができる。したがって、アクセス制御サーバ112は当該証明書を利用して、クライアント110Aとのセキュリティ・アソシエーションを生成するためにクライアント110Aが認証されることを判定してもよい。
図1のコンピュータ・システムのコンポーネントを、当業界で公知な種類のネットワーク・コンポーネントを用いて実装してもよい。しかし、認証サーバ150を、正当なワンタイム・パスワードを提示する証明書を装置に発行するにすぎないように適合させてもよい。このように、アクセス制御ゲートウェイ116がワンタイム・パスワードを認識しなくても、それでも、マネージド・ネットワーク120へのアクセスは正当なワンタイム・パスワードを有するクライアントに限定される。したがって、システム100と同様のアクセス制御技法を、ワンタイム・パスワードを要求する機能抜きでアクセス制御ゲートウェイが実装されている既存のネットワークとともに使用してもよい。
本発明者は、かかるネットワークが多数存在することを認識し理解している。具体的には、多数のネットワークでは、ネットワークへのアクセスを求めるクライアントが、アクセス制御コンポーネントとのセキュリティ・アソシエーションを、IPsecプロトコルをIKEv1(internet key exchange protocol、version 1)とともに用いて生成することを要求することによって、アクセス判定が実施される。IPsecをIKEv1とともに使用するアクセス制御ゲートウェイは企業ネットワークで普及している。したがって、かかるネットワークにおいて、認証サーバ150を追加するかまたは既存の認証サーバを修正することで、ワンタイム・パスワードを要求するアクセス制御ポリシを実装するように当該ネットワークを適合させてもよい。
図2を参照すると、クライアント110Aのようなネットワークへのアクセスを求めるクライアントが証明書を取得できるプロセスが示されている。図2に示すように、クライアント110Aが認証サーバ150と通信してもよい。クライアント110Aと認証サーバ150の間の通信を任意の適切な方法で伝送してもよい。図1の例では、これらの通信を、インターネットのようなパブリック・ネットワーク130上で伝送する。しかし、インターネットを使用することは本発明を限定するものではない。
示した実施形態では、認証サーバ150は複数のサービスを提供する。これらのサービスには、認証サービス210、ワンタイム・パスワード・サービス212、および証明機関214が含まれる。かかるサービスを、当業界で公知であるプログラミング技法を用いて実装して、ネットワーク上で他の装置と対話し特定の機能をサービスとして提供するように適合させてもよい。かかる通信向けのプロトコルは公知であり、クライアント110Aと認証サービス210、ワンタイム・パスワード・サービス212、および証明機関214の間の通信に使用してもよい。しかし、任意の適切な技法を用いて、任意の適切な形式のサービスを実装してもよい。
通信の具体的な形式に関わらず、クライアント110Aが証明書を認証サーバ150から取得するプロセスを、クライアント110Aが通信250を認証サービス210に送信することから始めることができる。通信250を、例えば、パブリック・ネットワーク130上で運搬される1つまたは複数のパケットとして送信してもよい。通信250の具体的な形式に関わらず、通信250はクライアント110Aの認証情報をクライアント110Aから認証サービス210へ運搬することができる。通信250内に含まれる認証情報は、当業界で公知な種類の任意数の認証情報を含むことができる。これらの認証情報は、例えば、クライアント装置110Aのユーザに関する情報またはクライアント装置自体に関する情報を含んでもよい。ユーザ情報は、例えば、ユーザ名およびパスワード、または、当該ユーザ名とパスワードの入力に基づいて生成した何らかの情報を含んでもよい。
当業界で公知な認証情報に加えて、通信250はワンタイム・パスワードを含んでもよい。通信250内部のワンタイム・パスワードを、クライアント110Aに取り付けたハードウェア・コンポーネントにより生成してもよい。しかし、かかるワンタイム・パスワードを、ユーザが入力するか、または、別の方法でクライアント110Aに利用可能としてもよい。
図2では通信250を1つの矢印で示したが、当然のことながら、通信250はクライアント110から認証サーバ150への複数の送信を含んでもよい。さらに、これらの送信のうち1つまたは複数を、認証サービス210からの通信に応答して送信してもよい。具体的な例として、認証サービス210がチャレンジ・メッセージを送信してもよい。クライアント110Aは、当該チャレンジ・メッセージに対して、通信250の一部として適切な応答を生成しなければならない。
また、通信250が認証情報を含むと述べたが、「含む」という用語を認証情報または他のセキュリティ情報と関連して本明細書において使用する際は、当該用語は、送信者が認証情報または他のセキュリティ情報にアクセスしたことを受信者が検証できる情報を通信250が実際に含む可能性を包含する。当該検証では、セキュリティ情報の送信は必要ではない。
通信250の形式に関わらず、認証サービス210は受信した情報を処理252の一部として処理してもよい。処理252では、認証サービス210が、通信250に含まれる認証情報がネットワーク120へアクセスする権限を有するクライアントに対応することの正当性を検証することを必要としてもよい。かかる正当性検証を、当業界で公知な技法を用いて実施してもよい。
さらに、処理252では、認証情報が権限のあるクライアントに対応するかどうかに応じて、ワンタイム・パスワード・サービス212への通信254を選択的に生成することを必要としてもよい。認証サービス210は、通信250に含まれるクライアント110から受信したワンタイム・パスワードに基づいて、通信254を生成してもよい。
ワンタイム・パスワード・サービス212は、プロセス256で通信254を処理してもよい。プロセス256では、ワンタイム・パスワード・サービス212が、通信254が正当なワンタイム・パスワードを含むかどうかを判定してもよい。
任意の適切な技法を処理256で使用して、ワンタイム・パスワードの正当性を検証してもよい。当該技法には、ワンタイム・パスワードの正当性を検証するための当業界で公知な技法が含まれる。正当性検証には、パスワードが正当なパスワードに対応することと当該パスワードが正当な時点に提示されることとの両方を判定することが含まれる。パスワードは、例えば、その有効期限が切れたかまたは過去に使用されたことがあることを理由として、不正であるかもしれない。しかし、ワンタイム・パスワードの正当性を検証するために使用される具体的な技法は本発明にとって重要ではない。
通信250に関して、通信254は1つの矢印として示されている。しかし、通信254が、ワンタイム・パスワード・サービス212と認証サービス210の間で1つまたは複数のメッセージが渡されることを必要としてもよいことは理解されよう。さらに、図2では簡単にするため示していないが、通信254内の情報を、ワンタイム・パスワード・サービス212により発行された情報に基づいて生成してもよい。具体的な例として、ワンタイム・パスワード・サービス212が、認証サービス210が提供するチャレンジをクライアント110Aに発行してもよい。クライアント110Aが送信したパスワード情報が、ワンタイム・パスワード・サービス212により発行され、クライアント110Aにより当該パスワードでエンコードされた、チャレンジを含んでもよい。したがって、通信254がパスワードを含むと言及しているが、当該パスワードをエンコードされた形式でまたは他の任意の適切な方法で表現してもよい。
ワンタイム・パスワード・サービス212がワンタイム・パスワードをクライアント110Aから受け取る形式に関わらず、ワンタイム・パスワード・サービス212は、当該ワンタイム・パスワードの正当性を検証する試みの結果を示す通信258を発行してもよい。通信258が、ワンタイム・パスワードの正当性検証が成功したことを示してもよく、または、当該パスワードの正当性検証が成功しなかったことを示してもよい。認証サービス210での処理252に、通信258の内容に基づいて条件を付してもよい。
通信258がワンタイム・パスワードの認証成功を示す場合は、認証サービス210が、クライアント110Aに通信262の一部として送信されるクッキー260を発行してもよい。本例では、クッキー260は、認証サービス210がクライアント250の認証情報の正当性を検証したこととワンタイム・パスワード・サービス212がクライアント110Aにより提供されたワンタイム・パスワードの正当性を検証したこととの両方を示す。しかし、クライアント110Aの認証とワンタイム・パスワードの正当性検証を別々に示してもよいことは理解されよう。
認証サービス210は、これらの条件の何れかが満たされない場合は通信262にクッキー260を発行しない。より一般的には、認証サービス210は、ネットワーク・アクセスに対する全ての要件が満たされていない場合はクッキー260を発行しない。幾つかの実施形態では、クッキー260が提供されない場合は、通信262を完全に省略してもよい。しかし、他の実施形態では、アクセスに対する全ての要件がクライアント110Aによって満たされない場合は、通信262をクッキー260なしで提供してもよい。
クッキー260は任意の適切な形態であってもよい。当該形態には、当業界で公知な形式が含まれる。例えば、クッキー260は、クッキー260が認証サービスによって特にクライアント110Aに発行されたことの正当性を続いてクッキー260の受信者が検証できるように、認証サービス210によって署名または暗号化された情報を含んでもよい。
クッキー260の形式に関わらず、通信262は、クッキー260を含み、認証サービス210とワンタイム・パスワード・サービス212が正当性を検証した認証情報をクライアント110Aが正しく提示したことを認証機関214に対して実証し、クライアント110Aがネットワークにアクセスする権利があるとみなせるようにすることを可能にする。したがって、クライアント110Aはクッキー260を通信270に取り込むことができる。本実施形態では、通信270は認証サービス210に送信される。処理272では、認証サービス210は、要求を通信270内部に含まれるクッキーとともに通信274内の証明機関214に転送する。通信274を、当業界で公知のプロトコルを用いて証明機関214への登録要求としてフォーマットしてもよい。
処理276では、証明機関214は当業界で公知な技法を用いて登録要求274を処理してもよい。しかし、当該処理が、クッキー260を含む登録要求に付随するものであってもよい。処理276において証明機関214が、クッキー260がクライアント110Aに対して生成され、かつ、通信270における元の証明書要求がクライアント110Aによって開始されたと判定した場合、証明機関214は証明書をクライアント110Aに発行する。
処理276では、当業界で公知な技法を用いて、証明書が要求される特定のクライアントによって証明書要求が生成されたことの正当性を検証してもよい。また、公知な技法を用いて、クッキー260がクライアント110Aに発行され、かつ、クライアント110Aにより転送されたことの正当性を検証してもよい。クッキー260内に含まれる情報に基づいて、クライアント110Aに利用可能な秘密情報を用いて当該情報をエンコードすることと組み合わせて、当該正当性検証を行ってもよい。クライアント110Aに利用可能な当該秘密情報は、例えば、証明機関214がそれに対応する鍵を保持する、鍵を含んでもよい。具体的な例として、当該秘密情報は、証明機関214がそれに対する公開鍵を保持する、公開鍵/秘密鍵の対の秘密鍵であってもよい。しかし、証明機関214がクッキー260の正当性を検証し証明書を要求するソースの正当性を検証するための、任意の適切な機構を使用してもよい。
この正当性検証がどのように実施されるかに関わらず、証明機関214が情報の正当性を検証すると、証明機関214は通信278で運搬される証明書を発行する。認証サービス210は通信280で当該証明書をクライアント110Aに転送してもよい。このシナリオでは、通信280における当該証明書は、ワンタイム・パスワード・サービス212によって発行された情報を直接含まない。しかし、クライアント110Aは、ワンタイム・パスワード・サービス212によって受け入れられる正当なワンタイム・パスワードの提示に成功しなかった場合は、証明機関214から証明書を受け取らない。したがって、証明機関214が発行した証明書はセキュリティ・アソシエーションの生成で従来から使用されている形式であってもよいが、それでも、当該証明書は正当なワンタイム・パスワードを要求するポリシを実施する機構であってもよい。
図3を参照すると、クライアント110Aが当該証明書を使用してネットワークへのアクセスを取得できるプロセスが示されている。図3のプロセスでは、先ず、クライアント110Aがアクセス制御サーバ112とのネットワーク対話310を開始してセキュリティ・アソシエーションを生成する。ネットワーク対話310では、当業界で公知である、セキュリティ・アソシエーションを確立するためのネットワーク装置間の通信を必要としてもよい。示した実施形態では、ネットワーク対話310の結果、クライアント110Aとアクセス制御サーバ112が正しく互いを認証したならば、IPsecセキュリティ・アソシエーションが生成される。
示した実施形態では、ネットワーク対話310は、IKEvlを用いてクライアント110とアクセス制御サーバ112の間で共有された秘密を確立する段階を含む。さらに、ネットワーク対話310では、クライアント110Aが証明書312をアクセス制御サーバ112に送信することを含んでもよい。証明書312は、証明機関214(図2)が発行した証明書であってもよい。図2に関連して上述したように、クライアント110Aがワンタイム・パスワード・サーバ212への正当なワンタイム・パスワードの提示に成功したことをクライアント110Aが証明機関214に実証した場合にのみ、証明書312が発行される。したがって、アクセス制御サーバ112はクライアント110Aがワンタイム・パスワードを提示したことの正当性を明示的には検証しないが、それでも、クライアント110Aが正当なワンタイム・パスワードを提示しない場合は、アクセス制御サーバ112はクライアント110Aとのセキュリティ・アソシエーションを生成しない。したがって、アクセス制御サーバ112が実施する処理314は、IKEvlを用いてセキュリティ・アソシエーションを生成するための当業界で公知の従来型の処理であってもよいが、それでも、クライアント110Aがワンタイム・パスワードを提示しなかった場合はセキュリティ・アソシエーションが生成されず、それにより、マネージド・ネットワーク120へのアクセスを、正当なワンタイム・パスワードを他の任意の必要な認証情報に加えて提示できるクライアントにのみ制限する。
クライアント110Aがワンタイム・パスワードを提示したため、正当な証明書312を提示できる場合は、処理314の結果、IPsecセキュリティ・アソシエーション320が生成される。当該セキュリティ・アソシエーションに基づいて、ネットワーク120のトランスポート層318内部のアクセス実施コンポーネントは、クライアント110Aとネットワーク装置124のようなネットワーク装置との間の通信を可能としてもよい。トランスポート層318内部の具体的なコンポーネントは本発明には重要ではなく、任意の適切なコンポーネントまたはコンポーネントの組合せを使用してアクセス制御判定を行ってもよい。しかし、幾つかの実施形態では、アクセス制御判定を、図1の例にある切替装置118または他の同様なコンポーネントにより行ってもよい。
アクセス制御判定を実施する具体的なコンポーネントに関わらず、IPsecセキュリティ・アソシエーション320を用いてクライアント110Aにより送信されたネットワーク対話322は、トランスポート層内部の処理324に基づいて、ネットワーク装置124とのネットワーク対話326としてマネージド・ネットワーク120へと伝わってもよい。ネットワーク装置124がネットワーク対話326を受け取り、内向きの対話に処理328を行い、外向きのネットワーク対話326を生成してもよい。かかる外向きのネットワーク対話326が、セキュリティ・アソシエーション320内部の対話322としてトランスポート層318を通過してもよい。
しかし、IPsecセキュリティ・アソシエーション320が生成されない場合、トランスポート層318は通信をクライアント110Aからネットワーク120に渡さず、かかる通信はネットワーク装置124により受信されない。反対に、装置124が送信したネットワーク通信は、クライアント110A向けであっても、トランスポート層318によりネットワーク120の外には渡されない。このように、クライアント110Aは、正当なセキュリティ・アソシエーション320を生成しない場合は、ネットワーク装置124との通信がブロックされ、証明書が要求される。クライアント110Aは、正当なワンタイム・パスワードを提示した場合にのみ当該証明書を取得する。
このように本発明の少なくとも1つの実施形態の幾つかの態様を説明したので、様々な変形、修正、および改良が当業者には容易に想到されるであろうことは理解されよう。
1例として、クライアント・コンピューティング装置がマネージド・ネットワークへのアクセスを取得してサーバ124のようなネットワーク・リソースにアクセスする実施形態を説明する。「クライアント」が任意のネットワーク・リソースに関していかなる特定の機能を実施する必要もないことは理解されるべきであろう。クライアントを、IPsecセキュリティ・アソシエーション320を生成するためにサービスとの対話を求める任意のコンピューティング装置とみなしてもよく、これは、当該サービスの性質または当該サービスが実装される装置の具体的な構成とは無関係である。
例えば、図2は、認証サービス210、ワンタイム・パスワード・サービス212および証明機関214が単一の装置、即ち、認証サーバ150内に含まれることを示す。これらのコンポーネントが同一の物理装置に含まれる必要はなく、これらのコンポーネントの機能を任意数の適切な装置に分散させてもよい。
さらに、アクセス制御サーバ112と認証サーバ150についても、これらのコンポーネントを別々の装置に実装する必要はない。
さらに別の可能な変形の例として、図2は、認証サービス210を介したワンタイム・パスワード・サービス212と証明機関214との通信を示すが、これは本発明の要件ではない。例えば、クライアント110Aが認証機関214と直接通信してもよい。
また、認証サービスが、クライアント110Aを認証した後に通信要求256を送信すると説明しているが、この順序は重要ではない。例えば、認証サービスが、応答通信258を受け取った後にクライアント110Aの認証を試みてもよい。
さらに、図3は、IPsecがIPsecトンネル・モードで使用される実施形態を示す。本実施形態では、IPsecトンネルがクライアント110Aとゲートウェイ116の間で生成され、次いでゲートウェイがトラフィックをサーバ124のようなエンド・リソースに送信する。IPsecトンネルはゲートウェイで終了し、そこからは通信をそのまま(clear)またはIPsecを介して送信することができる。
代替的な実施形態では、IPsecをIPsec転送モードで使用してもよい。本実施形態では、エンド・ツー・エンドのIPsec接続をクライアント110Aとサーバ124のようなエンド・リソースの間で生成してもよい。この場合、アクセス制御装置は、サーバ112のような別々のアクセス制御装置においてではなく、エンド・リソースの一部であってもよい。
かかる変形、修正、および改善は本開示の一部であることが意図され、本発明の趣旨および範囲内にあると意図されている。したがって以上の説明および図面は例にすぎない。
上述の本発明の諸実施形態は、多数の方法のうち何れかで実装することができる。例えば、当該諸実施形態を、ハードウェア、ソフトウェア、またはそれらの組合せを用いて実装してもよい。ソフトウェアで実装すると、ソフトウェア・コードを、単一のコンピュータで提供されるかまたは複数のコンピュータ間で分散されるかに関わらず、任意の適切なプロセッサまたはプロセッサ集合で実行することができる。かかるプロセッサを、1つまたは複数のプロセッサが1つの集積回路コンポーネント内にある、集積回路で実装してもよい。しかし、任意の適切な形式の回路を用いてプロセッサを実装してもよい。
さらに、コンピュータを、ラックマウント・コンピュータ、デスクトップ・コンピュータ、ラップトップ・コンピュータ、またはタブレット・コンピュータのような、幾つかの形態のうち何れかで具体化してもよい。さらに、コンピュータを、一般にはコンピュータとはみなされないが適切な処理機能を有する装置に組み込んでもよい。当該装置には、PDA(Personal Digial Assistant)、スマートフォンまたは他の任意の適切なポータブル装置もしくは固定電子装置が含まれる。
また、コンピュータが1つまたは複数の入出力装置を備えてもよい。これらの装置を、とりわけ、ユーザ・インタフェースを提示するために使用することができる。ユーザ・インタフェースの提供に使用できる出力装置の例には、出力を視覚的に提示するためのプリンタまたはディスプレイ・スクリーン、出力を可聴的に提示するためのスピーカまたは他の音声生成装置が含まれる。ユーザ・インタフェース向けに使用できる入力装置の例には、キーボード、マウス、タッチ・パッド、およびデジタイジング・タブレットのようなポインティング・デバイスが含まれる。別の例として、コンピュータが音声認識を通じてまたは他の可聴形式で入力情報を受け取ってもよい。
かかるコンピュータを、任意の適切な形式の1つまたは複数のネットワークで相互接続してもよい。当該ネットワークには、企業ネットワークまたはインターネットのような、ローカル・エリア・ネットワークまたは広域ネットワークが含まれる。かかるネットワークは、任意の適切な技術に基づいてもよく、任意の適切なプロトコルに従って動作してもよく、無線ネットワーク、有線ネットワークまたは光ファイバ・ネットワークを含んでもよい。
また、本明細書で概観した様々な方法またはプロセスを、様々なオペレーティング・システムまたはプラットフォームのうち任意の1つを使用する1つまたは複数のプロセッサ上で実行可能なソフトウェアとしてコーディングしてもよい。さらに、かかるソフトウェアを、幾つかの適切なプログラミング言語および/またはプログラミング・ツールもしくはスクリプティング・ツールのうち何れかを用いて書いてもよく、フレームワークまたは仮想マシン上で実行される実行可能な機械語コードまたは中間コードとしてコンパイルしてもよい。
この点において、本発明を、1つまたは複数のコンピュータまたは他のプロセッサ上で実行されたときに、上述の本発明の様々な実施形態を実装する方法を実施する1つまたは複数のプログラムでエンコードした、コンピュータ読取可能媒体(または複数のコンピュータ読取可能媒体)(例えば、コンピュータ・メモリ、1つまたは複数のフロッピ・ディスク、CD(Compact disk)、光ディスク、DVD(digital video disk)、磁気テープ、フラッシュ・メモリ、フィールド・プログラマブル・ゲート・アレイもしくは他の半導体装置における回路構成、または他の非一時的な有形のコンピュータ記憶媒体)として具体化してもよい。1つまたは複数のコンピュータ読取可能媒体は、そこに格納した1つまたは複数のプログラムを1つまたは複数の様々なコンピュータまたは他のプロセッサにロードして上述の本発明の様々な態様を実装できるように、可搬であることができる。本明細書で使用する際、「非一時的なコンピュータ読取可能記憶媒体」という用語は、製造物(即ち、製品)または機械であると考えうるコンピュータ読取可能媒体のみを包含する。
「プログラム」または「ソフトウェア」という用語は、本明細書では上述の本発明の様々な態様を実装するようにコンピュータまたは他のプロセッサをプログラムするために使用できる任意の種類のコンピュータ・コードまたは1組のコンピュータ実行可能命令を指すように一般的な意味で使用される。さらに、本実施形態の1態様によれば、実行時に本発明の方法を実施する1つまたは複数のコンピュータ・プログラムは、単一のコンピュータまたはプロセッサ上に存在する必要はないが、幾つかの様々なコンピュータまたはプロセッサの間でモジュール形式で分散させて本発明の様々な態様を実装してもよいことは理解されるべきであろう。
コンピュータ実行可能命令は、プログラム・モジュールのような、1つまたは複数のコンピュータまたは他の装置によって実行される多数の形態であってもよい。一般に、プログラム・モジュールは、特定のタスクを実施するかまたは特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造、等を含む。一般に、プログラム・モジュールの機能を様々な実施形態において必要に応じて組み合わせるかまたは分散させてもよい。
また、データ構造をコンピュータ読取可能媒体に任意の適切な形態で格納してもよい。説明を簡単にするため、データ構造は、データ構造内の場所を通じて関連するフィールドを有すると示してもよい。かかる関係を、フィールド間の関係を伝達する当該フィールド向けの記憶域に、コンピュータ読取可能媒体内の場所を割り当てることによって同様に実現してもよい。しかし、任意の適切な機構を使用して、データ構造のフィールド内の情報の関係を確立してもよい。当該機構には、ポインタの使用によるもの、データ要素間の関係を確立するタグまたは他の機構が含まれる。
本発明の様々な態様を単体で、組合せで、または上述した諸実施形態で具体的には論じなかった様々な配置構成で使用してもよく、したがって、その適用においては、以上の記載で説明したまたは図面で示したコンポーネントの細部と配置構成には限定されない。例えば、1実施形態で説明した諸態様を、他の実施形態で説明した諸態様と任意に組み合わせてもよい。
また、その例は提供していないが、本発明を方法として具体化してもよい。方法の一部として実施される動作は、任意の適切な方法で順序付けてもよい。したがって、動作が示したものと異なる順序で実施される実施形態を構成してもよい。当該実施形態では幾つかの動作を同時に実施してもよいが、示した実施形態ではこれらは逐次的な動作として示してある。
特許請求の範囲で「第1」、「第2」、「第3」、等のような順序語を用いてクレーム要素を修正することは、それ自体、或るクレーム要素の別のクレーム要素に対するいかなる優先度、先行性、または順序も暗示せず、方法の動作を実施する時間的順序も暗示せず、単に、特定の名前を有する或るクレーム要素を、(順序項の使用を除いて)同じ名前を有する別の要素から区別してクレーム要素を区別するためのラベルとして用いられる。
また、本明細書で使用する言回しおよび用語は説明のためであって限定として捉えるべきではない。本明細書での「含まれる」、「備える」、「有する」、「含む」、または「関与する」およびそれらの変形の使用は、それ以降に列挙した項目とその均等物、ならびに追加の項目を包含することを意味する。
Claims (15)
- IPsecセッションを確立するようにコンピューティング装置を動作させる方法であって、
ワンタイム・パスワードを含む第1の通信を認証サービスに送信するステップと、
前記第1の通信に応答してワンタイム・パスワード・サービスから、前記ワンタイム・パスワードの正当性検証に成功したことを示すインジケーションを含む応答を受け取るステップと、
第2の通信を証明機関に送信するステップであって、前記第2の通信が、前記第1の通信に応答して前記ワンタイム・パスワード・サービスが、前記ワンタイム・パスワードの正当性検証に成功したことを示す前記インジケーションを含む、ステップと、
前記第2の通信に応答して前記証明機関から、前記ワンタイム・パスワードの正当性検証が成功したことを示す前記インジケーションを含む証明書を受け取るステップと、
前記証明機関が提供する前記証明書を用いて前記IPsecセッションを確立するステップと
を含む方法。 - 前記IPsecセッションを確立するステップが、企業ネットワークへのリモート・アクセス向けのIPsecセッションを確立するステップを含む、請求項1に記載の方法。
- 前記ワンタイム・パスワードの正当性検証が成功したことを示す前記インジケーションが、前記応答内のクッキーを含む、請求項1に記載の方法。
- 前記第2の通信を送信するステップが、前記コンピューティング装置の秘密鍵で暗号化されたパラメータを送信することを含む、請求項1に記載の方法。
- 前記第2の通信において前記コンピューティング装置の秘密鍵を用いて値を生成するステップをさらに含む、請求項1に記載の方法。
- 前記第1の通信を送信するステップが、認証サービス宛ての前記第1の通信を送信するステップを含み、前記第2の通信を送信するステップが、前記認証サービス宛ての第2の通信を送信するステップを含む、請求項1に記載の方法。
- 前記応答を受け取るステップが、ワンタイム・パスワード・サービスにより生成されたクッキーを含むメッセージを受け取るステップを含み、前記証明書を受け取るステップが、証明機関により生成された証明書を受け取るステップを含む、請求項6に記載の方法。
- 前記第1の通信を送信するステップが、認証ゲートウェイ宛ての前記第1の通信を送信するステップを含み、前記第2の通信を送信するステップが、前記認証ゲートウェイ宛ての第2の通信を送信するステップを含む、請求項1に記載の方法。
- ネットワークに接続された少なくとも1つのプロセッサであって、
認証サービスと、
ワンタイム・パスワード・サービスと、
証明機関と、
を実装する少なくとも1つのプロセッサを含み、
前記認証サービスが、前記ネットワークを介して第1の通信をクライアントから受信するように構成され、前記第1の通信が前記クライアントに関連付けられた認証情報とワンタイム・パスワードを含み、
前記認証サービスが、前記クライアントに関連付けられた前記認証情報の正当性を検証し、前記ワンタイム・パスワードを前記ワンタイム・パスワード・サービスに伝えるように構成され、
前記ワンタイム・パスワード・サービスが、前記ワンタイム・パスワードの正当性を検証し、前記認証サービスに前記ワンタイム・パスワードの正当性検証の結果のインジケーションを返すように構成され、
前記証明機関が、前記クライアントからの前記ワンタイム・パスワードの正当性検証の結果の前記インジケーションを含む第2の通信を前記ネットワークを介して前記クライアントから受け取るように構成され、前記クライアントから受け取った前記結果が前記ワンタイム・パスワードの前記ワンタイム・パスワード・サービスによる正当性検証が成功したことを示す場合に選択的に証明書を発行するように構成され、前記証明書が前記ワンタイム・パスワードの正当性検証が成功したことのインジケーションを含む、
システム。 - 前記認証サービス、前記ワンタイム・パスワード・サービス、および前記証明機関が認証ゲートウェイを含む、請求項9に記載のシステム。
- 前記クライアントに関連付けられた前記認証情報が、前記クライアントのユーザの認証情報を含み、前記認証サービスが、前記ユーザの前記認証情報を認証するように構成された、請求項9に記載のシステム。
- 前記システムがさらに、アクセス制御ゲートウェイを含む企業ネットワークを含み、前記アクセス制御ゲートウェイが、前記企業ネットワークへのアクセスを、前記証明機関が発行した証明書を有するクライアント・コンピュータに許可するIPsecセッションを選択的に形成するよう構成された、請求項9に記載のシステム。
- 前記企業ネットワークが、ワンタイム・パスワード認証に基づいてリモート・アクセス制御をサポートしない、請求項12に記載のシステム。
- 前記企業ネットワークがIKEvlアクセス制御を使用する、請求項13に記載のシステム。
- 前記証明機関が、前記クライアントの認証に基づいて公開鍵暗号化を実施するよう構成され、前記証明機関が、前記クライアントが前記公開鍵暗号化ベースの認証を用いて認証に成功し、かつ、前記ワンタイム・パスワードの正当性検証が成功したことを前記結果が示す場合に、選択的に前記証明書を発行する、請求項9に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/779,457 US8799649B2 (en) | 2010-05-13 | 2010-05-13 | One time passwords with IPsec and IKE version 1 authentication |
| US12/779,457 | 2010-05-13 | ||
| PCT/US2011/034188 WO2011142971A2 (en) | 2010-05-13 | 2011-04-27 | One time passwords with ipsec and ike version 1 authentication |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2013531834A JP2013531834A (ja) | 2013-08-08 |
| JP2013531834A5 JP2013531834A5 (ja) | 2014-06-19 |
| JP5827680B2 true JP5827680B2 (ja) | 2015-12-02 |
Family
ID=44912769
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013510122A Expired - Fee Related JP5827680B2 (ja) | 2010-05-13 | 2011-04-27 | IPsecとIKEバージョン1の認証を伴うワンタイム・パスワード |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8799649B2 (ja) |
| EP (1) | EP2569897B1 (ja) |
| JP (1) | JP5827680B2 (ja) |
| CN (1) | CN102893575B (ja) |
| AU (1) | AU2011253346B2 (ja) |
| CA (1) | CA2798024C (ja) |
| WO (1) | WO2011142971A2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20220130438A (ko) * | 2021-03-18 | 2022-09-27 | 주식회사 케이티 | 5g lan 서비스 제공 방법 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8856509B2 (en) * | 2010-08-10 | 2014-10-07 | Motorola Mobility Llc | System and method for cognizant transport layer security (CTLS) |
| US8595806B1 (en) * | 2010-09-21 | 2013-11-26 | Amazon Technologies, Inc. | Techniques for providing remote computing services |
| US8843741B2 (en) * | 2012-10-26 | 2014-09-23 | Cloudpath Networks, Inc. | System and method for providing a certificate for network access |
| US9325697B2 (en) | 2013-01-31 | 2016-04-26 | Hewlett Packard Enterprise Development Lp | Provisioning and managing certificates for accessing secure services in network |
| CN103428203B (zh) * | 2013-07-24 | 2016-06-29 | 福建星网锐捷网络有限公司 | 接入访问控制方法及设备 |
| KR20150015793A (ko) * | 2013-08-01 | 2015-02-11 | 삼성전자주식회사 | 화상형성장치 및 화상형성장치의 사용자 인증 방법 |
| US10985921B1 (en) | 2019-11-05 | 2021-04-20 | Capital One Services, Llc | Systems and methods for out-of-band authenticity verification of mobile applications |
| CN115002057B (zh) * | 2022-05-26 | 2024-04-12 | 威艾特科技(深圳)有限公司 | 一种分布式多服务端即时通信方法 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11282804A (ja) * | 1998-03-31 | 1999-10-15 | Secom Joho System Kk | ユーザ認証機能付き通信システム及びユーザ認証方法 |
| US20020138728A1 (en) | 2000-03-07 | 2002-09-26 | Alex Parfenov | Method and system for unified login and authentication |
| US7113996B2 (en) | 2000-07-21 | 2006-09-26 | Sandy Craig Kronenberg | Method and system for secured transport and storage of data on a network |
| US6931529B2 (en) * | 2001-01-05 | 2005-08-16 | International Business Machines Corporation | Establishing consistent, end-to-end protection for a user datagram |
| US7209479B2 (en) * | 2001-01-18 | 2007-04-24 | Science Application International Corp. | Third party VPN certification |
| US20030208695A1 (en) * | 2002-05-01 | 2003-11-06 | Ronald Soto | Method and system for controlled, centrally authenticated remote access |
| US7421732B2 (en) | 2003-05-05 | 2008-09-02 | Nokia Corporation | System, apparatus, and method for providing generic internet protocol authentication |
| JP2007518349A (ja) * | 2004-01-15 | 2007-07-05 | インタラクティブ ピープル アンプラグド アクチボラグ | モバイル仮想プライベートネットワークの中規模/大規模企業ネットワークへの展開を容易にする装置 |
| US20060059346A1 (en) * | 2004-09-14 | 2006-03-16 | Andrew Sherman | Authentication with expiring binding digital certificates |
| US7836306B2 (en) * | 2005-06-29 | 2010-11-16 | Microsoft Corporation | Establishing secure mutual trust using an insecure password |
| JP4861417B2 (ja) * | 2005-08-11 | 2012-01-25 | サンディスク アイエル リミテッド | 拡張ワンタイム・パスワード方法および装置 |
| US20080034216A1 (en) * | 2006-08-03 | 2008-02-07 | Eric Chun Wah Law | Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords |
| US20090025080A1 (en) | 2006-09-27 | 2009-01-22 | Craig Lund | System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access |
| JP2008129673A (ja) * | 2006-11-17 | 2008-06-05 | Nippon Telegr & Teleph Corp <Ntt> | ユーザ認証システム、ユーザ認証方法、それに用いるゲートウェイ及びプログラムとその記録媒体 |
| US20080137863A1 (en) | 2006-12-06 | 2008-06-12 | Motorola, Inc. | Method and system for using a key management facility to negotiate a security association via an internet key exchange on behalf of another device |
| US20080183851A1 (en) | 2007-01-30 | 2008-07-31 | Utstarcom, Inc. | Apparatus and Method Pertaining to Management of On-Line Certificate Status Protocol Responses in a Cache |
| KR20070072463A (ko) * | 2007-06-14 | 2007-07-04 | 이상곤 | 일회용 비밀번호를 이용한 공인인증서 보안 강화 방안 |
| KR100980831B1 (ko) * | 2007-12-12 | 2010-09-10 | 한국전자통신연구원 | 일회용 패스워드를 이용한 신뢰성 있는 통신 시스템 및방법 |
| KR101096726B1 (ko) * | 2008-05-19 | 2011-12-21 | 에스케이플래닛 주식회사 | 콘텐츠 drm 변환 시스템 및 방법과 이를 위한 인증 서버및 사용자 단말기 |
-
2010
- 2010-05-13 US US12/779,457 patent/US8799649B2/en active Active
-
2011
- 2011-04-27 AU AU2011253346A patent/AU2011253346B2/en not_active Ceased
- 2011-04-27 WO PCT/US2011/034188 patent/WO2011142971A2/en active Application Filing
- 2011-04-27 CA CA2798024A patent/CA2798024C/en not_active Expired - Fee Related
- 2011-04-27 JP JP2013510122A patent/JP5827680B2/ja not_active Expired - Fee Related
- 2011-04-27 CN CN201180023577.9A patent/CN102893575B/zh active Active
- 2011-04-27 EP EP11781009.3A patent/EP2569897B1/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20220130438A (ko) * | 2021-03-18 | 2022-09-27 | 주식회사 케이티 | 5g lan 서비스 제공 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011142971A3 (en) | 2012-01-26 |
| US20110283103A1 (en) | 2011-11-17 |
| AU2011253346B2 (en) | 2014-05-01 |
| JP2013531834A (ja) | 2013-08-08 |
| CA2798024C (en) | 2017-04-04 |
| EP2569897B1 (en) | 2014-08-20 |
| CN102893575A (zh) | 2013-01-23 |
| EP2569897A4 (en) | 2013-12-04 |
| US8799649B2 (en) | 2014-08-05 |
| WO2011142971A2 (en) | 2011-11-17 |
| CN102893575B (zh) | 2015-08-26 |
| CA2798024A1 (en) | 2011-11-17 |
| EP2569897A2 (en) | 2013-03-20 |
| AU2011253346A1 (en) | 2012-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5827680B2 (ja) | IPsecとIKEバージョン1の認証を伴うワンタイム・パスワード | |
| US10949526B2 (en) | User device authentication | |
| US8997196B2 (en) | Flexible end-point compliance and strong authentication for distributed hybrid enterprises | |
| US20220255931A1 (en) | Domain unrestricted mobile initiated login | |
| EP2632108B1 (en) | Method and system for secure communication | |
| US8532620B2 (en) | Trusted mobile device based security | |
| US10187373B1 (en) | Hierarchical, deterministic, one-time login tokens | |
| JP2020502616A (ja) | フェデレーテッド・シングル・サインオン(sso)のための非侵入型セキュリティの実施 | |
| KR101482564B1 (ko) | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 | |
| US9871804B2 (en) | User authentication | |
| JP2020078067A (ja) | モバイルデバイスを有するユーザがスタンドアロンコンピューティングデバイスの能力にアクセスすることをセキュアに可能にするためのシステム及び方法 | |
| US20240039707A1 (en) | Mobile authenticator for performing a role in user authentication | |
| US20160285843A1 (en) | System and method for scoping a user identity assertion to collaborative devices | |
| US20200119919A1 (en) | Electronic device authentication managing apparatus | |
| Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos | |
| TW201508538A (zh) | 用於基於網頁瀏覽器網路餅乾的安全符記的擁有證明 | |
| Paul et al. | UI Component and Authentication | |
| US11429958B1 (en) | System, method and apparatus for resource access control | |
| Alappat | Multifactor Authentication Using Zero Trust | |
| Ahmadi et al. | Security Enhancementfor Restful Web Services | |
| WO2022140469A1 (en) | Domain unrestricted mobile initiated login | |
| Jayawardhana | Authorization for workloads in a dynamically scaling, heterogeneous system | |
| Azizul et al. | Authentication and Authorization Design in Honeybee Computing | |
| Gunasekera | Talking to Web Apps |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20130703 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130717 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140428 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140428 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150424 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20150522 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150522 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150918 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151016 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5827680 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |