JP6067005B2 - OpenIDを電気通信ネットワークに統合するシステムおよび方法 - Google Patents
OpenIDを電気通信ネットワークに統合するシステムおよび方法 Download PDFInfo
- Publication number
- JP6067005B2 JP6067005B2 JP2014516022A JP2014516022A JP6067005B2 JP 6067005 B2 JP6067005 B2 JP 6067005B2 JP 2014516022 A JP2014516022 A JP 2014516022A JP 2014516022 A JP2014516022 A JP 2014516022A JP 6067005 B2 JP6067005 B2 JP 6067005B2
- Authority
- JP
- Japan
- Prior art keywords
- relining
- mobile device
- provider
- subscriber
- party service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 15
- 230000004044 response Effects 0.000 claims description 12
- 230000006870 function Effects 0.000 claims description 7
- 238000010200 validation analysis Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 238000007689 inspection Methods 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
著作権表示
本特許文書の開示の一部は、著作権保護を受ける内容を含む。これは特許商標庁の特許ファイルまたは記録に現れるため、著作権所有者は、本特許文書または本特許開示のすべての人間による複写に異議はないが、その他の場合はすべての著作権を留保する。
本特許文書の開示の一部は、著作権保護を受ける内容を含む。これは特許商標庁の特許ファイルまたは記録に現れるため、著作権所有者は、本特許文書または本特許開示のすべての人間による複写に異議はないが、その他の場合はすべての著作権を留保する。
発明の分野
本発明は概して移動体通信および電気通信ネットワークに関し、特に電気通信ネットワーク内でモバイル機器を認証することに関する。
本発明は概して移動体通信および電気通信ネットワークに関し、特に電気通信ネットワーク内でモバイル機器を認証することに関する。
背景
近年、人々は自身のモバイル機器からインターネットサービスにますます頻繁にアクセスしている。たとえば、スマートフォン、タブレット、携帯情報端末(PDA)および他の携帯型コンピュータは、今やほとんどのウェブサイトにほぼ完全に統合されており、インターネット上の多種多様なサービスにアクセス可能である。これらのサービスの多くは、ユーザ名、パスワードをユーザに割当てることなどによって、モバイル機器の加入者が認証されることを要求する。しかし、このような機器の小型サイズおよび限られたキーボード機能のため、加入者が機器を使用する際にユーザ名およびパスワードまたは他の認証情報を入力することは非常に厄介であり得る。
近年、人々は自身のモバイル機器からインターネットサービスにますます頻繁にアクセスしている。たとえば、スマートフォン、タブレット、携帯情報端末(PDA)および他の携帯型コンピュータは、今やほとんどのウェブサイトにほぼ完全に統合されており、インターネット上の多種多様なサービスにアクセス可能である。これらのサービスの多くは、ユーザ名、パスワードをユーザに割当てることなどによって、モバイル機器の加入者が認証されることを要求する。しかし、このような機器の小型サイズおよび限られたキーボード機能のため、加入者が機器を使用する際にユーザ名およびパスワードまたは他の認証情報を入力することは非常に厄介であり得る。
多数の規格が提案されており、そのうちのいくつかは、モバイル機器の認証問題に少なくとも部分的に対処することを試みている。そのような既存の規格の1つは汎用ブートストラッピング・アーキテクチャ(Generic Bootstrapping Architecture:GBA)であり、これは、認証を提供するSIMカードを用いて、携帯電話上のアプリケーションが自身をネットワークサービスに認証することを可能にする。この規格の下では、ユーザはホームロケーションレジスタ(Home Location Register:HLR)またはホーム加入者サーバ(Home Subscriber Server:HSS)上に有効なIDを有していれば認証され得る。認証は共有秘密鍵に基づいており、一方の鍵はユーザの携帯電話内に配置され、他方の鍵はHLR/HSS上にある。
OpenIDと名付けられた別の規格は、ユーザが自身のデジタルIDを一元化できるようにすることによって、各所有者が所有するIDの数を減らすことを試みている。このオープン規格の下では、ユーザは分散された態様で認証され得る。たとえば、ユーザエージェント(UA)が特定のサービスを呼出すと、当該サービスはOpenIDプロバイダ(OP)に問合せを行なうことができ、OPは、OPに依拠するサービスに代理してユーザエージェントを認証する。このように、リライニングパーティまたはサービスは、リライニングパーティとOPとの間で予め確立された共有の秘密に基づいてユーザが認証されることを保証し得る。
このような規格に鑑みても、多くの制限および欠点が依然として対処されないままである。たとえば、OpenID実装の最も一般的な認証メカニズムは、ユーザ名とパスワードとの組合せであり続けるが、これは上記の理由によりモバイル加入者にとって面倒であり得る。OpenIDをGBAに統合する少なくとも1つのソリューションが提案されているが、そのようなソリューションではおそらく、電気通信会社が追加のネットワークハードウェアを購入しなければならず、アプリケーション開発者が自身のコードを変更しなければならず、さらに、携帯電話ユニットも変更しなければならない。当然のことながら、電気通信ネットワークのエコシステム全体におけるそのような変更を必要とするソリューションは、あまり牽引力を得ることができていない。
電気通信会社およびモバイルネットワークオペレータ(MNO)は、既にモバイル機器および加入者との信頼関係がある。この信頼関係を携帯電話からインターネットサービスにエクスポートすることが望ましいであろう。また、関係のある多数のエンティティ同士の間の変更数を最小限に抑え、かつ上記の不備に対処しつつ、この信頼をエクスポートすることが望ましいであろう。出願人は、本開示の主題を考案する際に、当該技術に現存するこれらおよび他の必要性を特定した。
発明の概要
さまざまな実施形態に従って、一定のサイトへのログインが許可されていることをモバイル機器のクレデンシャルのみに基づいて当該機器のユーザが指定することを可能にするソリューションを説明する。本ソリューションは、ユーザのIDを照合するためにOpenIDを電気通信ネットワークに統合する。この照合は、電気通信事業者が有する、ゲートウェイGPRSサポートノード(GGSN)でモバイル機器および加入者を識別するために使用可能な信頼に基づいている。
さまざまな実施形態に従って、一定のサイトへのログインが許可されていることをモバイル機器のクレデンシャルのみに基づいて当該機器のユーザが指定することを可能にするソリューションを説明する。本ソリューションは、ユーザのIDを照合するためにOpenIDを電気通信ネットワークに統合する。この照合は、電気通信事業者が有する、ゲートウェイGPRSサポートノード(GGSN)でモバイル機器および加入者を識別するために使用可能な信頼に基づいている。
加入者を識別するための処理は、OpenIDプロバイダ(OP)を内部OPおよび外部OPの2つのシステムに分割することに基づく。外部OPは、パブリックネットワーク内に存在し得、ユーザがパスワードで認証することを可能にし得る。内部OPは、事業者のプライベートネットワーク内に存在し、GGSNからのみ到達可能なようにGGSNに直接接続される。加入者を識別するための処理は、モバイル機器(ユーザエージェント)がリライニングパーティ(RP)サービスを呼出すと開始する。RPは、外部OPに問合せを行い、加入者の有効性確認の統一資源位置指定子(URL)を要求し得る。RPは、ユーザエージェント(UA)を内部OPプロバイダ上の有効性確認のURLにリダイレクトする。内部OPは、IPアドレスによって、または加入者が選択する場合はユーザ名およびパスワードによって、加入者の有効性を確認し得る。内部OPは、RPによって提供された承認済みURLにUSをリダイレクトし返す。そして、RPは外部OPで応答の有効性を確認し得る。
詳細な説明
同様の参照は同様の要素を指す添付の図面において、本発明を限定的ではなく例示的に説明する。本開示中の実施形態への参照は必ずしも同じ実施形態に参照しているとは限らず、そのような参照は少なくとも1つを意味する。具体的な実装について述べる場合、これは例示のためにのみなされることを理解すべきである。当業者は、本発明の範囲および思想から逸脱することなく他の構成要素および構成が用いられ得ることを認識するであろう。
同様の参照は同様の要素を指す添付の図面において、本発明を限定的ではなく例示的に説明する。本開示中の実施形態への参照は必ずしも同じ実施形態に参照しているとは限らず、そのような参照は少なくとも1つを意味する。具体的な実装について述べる場合、これは例示のためにのみなされることを理解すべきである。当業者は、本発明の範囲および思想から逸脱することなく他の構成要素および構成が用いられ得ることを認識するであろう。
以下の説明では、本発明の完全な説明を提供するために多数の具体的な詳細を示す。しかし、本発明はこれら具体的な詳細なしで実践され得ることが当業者に明らかになるであろう。他の例では、本発明を不明瞭にするのを避けるために周知の特徴は詳細に説明していない。
本開示全体にわたって説明するさまざまな実施形態に従って、一定のサイトへのログインが許可されていることをモバイル機器のクレデンシャルのみに基づいて当該機器のユーザが指定することを可能にするソリューションを説明する。このソリューションは、ユーザのIDを照合するためにOpenIDを電気通信ネットワークに統合する。この照合は、電気通信事業者が有する、ゲートウェイGPRSサポートノード(GGSN)でモバイル機器および加入者を識別するために使用可能な信頼に基づいている。
現在、OpenIDは、ユーザがユーザ名およびパスワードを用いてログインすることを要求することが多い。典型的なOpenIDのフローは以下のように機能し得る。
1.ユーザエージェント(UA)が、リライニングパーティ(RP)を呼出して識別子を提供する
2.RPが、OpenIDプロバイダ(OP)に問合せを行い、加入者の有効性確認の統一資源位置指定子(URL)を要求する
3.RPが、UAをOP上の有効性確認のURLにリダイレクトする
4.OPが、典型的にユーザ名/パスワードの組合せである任意の手段によって加入者の有効性を確認する
5.OPが、UAをRPによって提供された「承認済み」URLにリダイレクトし返す
6.RPが、OPで応答の有効性を確認する
2.RPが、OpenIDプロバイダ(OP)に問合せを行い、加入者の有効性確認の統一資源位置指定子(URL)を要求する
3.RPが、UAをOP上の有効性確認のURLにリダイレクトする
4.OPが、典型的にユーザ名/パスワードの組合せである任意の手段によって加入者の有効性を確認する
5.OPが、UAをRPによって提供された「承認済み」URLにリダイレクトし返す
6.RPが、OPで応答の有効性を確認する
この状況における変更は、通信事業者がゲートウェイ汎用パケット無線サービスサポートノード(Gateway General Packet Radio Service Support Node:GGSN)で電話(およびしたがって加入者)を識別可能である、通信事業者が有する信頼を利用することができる。GGSNが加入者を識別可能である場合、GGSNはその信頼をRPにエクスポート可能であるべきである。この信頼をエクスポートするため、OpenIDのフローは以下のようになり得る。
1.UAが、RPを呼出して識別子を提供する
2.RPが、外部OpenIDプロバイダ(OP)に問合せを行い、加入者の有効性確認のURLを要求する
3.RPが、UAを内部OP上の有効性確認のURLにリダイレクトする
4.内部OpenIDプロバイダ(OP)が、IPアドレスによって、または加入者が選択する場合はユーザ名/パスワードによって、加入者の有効性を確認する
5.内部OPが、UAをRPによって提供された「承認済み」URLにリダイレクトし返す
6.RPが、外部OPで応答の有効性を確認する
2.RPが、外部OpenIDプロバイダ(OP)に問合せを行い、加入者の有効性確認のURLを要求する
3.RPが、UAを内部OP上の有効性確認のURLにリダイレクトする
4.内部OpenIDプロバイダ(OP)が、IPアドレスによって、または加入者が選択する場合はユーザ名/パスワードによって、加入者の有効性を確認する
5.内部OPが、UAをRPによって提供された「承認済み」URLにリダイレクトし返す
6.RPが、外部OPで応答の有効性を確認する
図1は、本発明のさまざまな実施形態に係る、OpenIDを電気通信ネットワークに統合するシステムレベルの図である。この図では構成要素同士が論理的に別個であると描かれているが、このような描写は例示のために過ぎない。この図に示される構成要素は、別個のソフトウェア、ファームウェアおよび/もしくはハードウェアに組合せられ得るまたは分けられ得ることが当業者に明らかになるであろう。さらに、そのような構成要素は、どのように組合せられるかまたは分けられるかに関わらず、同じ演算装置上で実行可能であるか、1つ以上のネットワークまたは他の好適な通信手段によって接続された異なる演算装置同士の間に分散可能であることも当業者に明らかになるであろう。
図示されるように、OpenIDプロバイダ(OP)は、内部OP112および外部OP114の2つの別個のシステムに分割され得る。ネットワークという用語は、少なくとも2つの別個のネットワーク、すなわちすべてのエンティティにアクセス可能なパブリックネットワーク(たとえばインターネット)120と、電気通信プロバイダの内部プライベートネットワーク122とを含み得る。プライベートネットワークへのアクセスは制御され、これは通常、ファイアウォール116または他のセキュリティ手段によってパブリックネットワークから分離される。外部OPはパブリックネットワーク内に存在し得、加入者100がパスワードで認証することを可能にし得る。内部OPは、事業者のプライベートネットワーク内に存在し、GGSN104からのみ到達可能なようにGGSNに直接接続される。加入者を識別するための処理は、モバイル機器(UA102)がリライニングパーティ(RP)サービス118を呼出すと開始する。RPは、外部OP114に問合せを行い、加入者の有効性確認のURLを要求し得る。RPは、ユーザエージェント(UA)を内部OPプロバイダ112上の有効性確認のURLにリダイレクトする。内部OPは、IPアドレスによって、または加入者が選択する場合はユーザ名およびパスワードによって、加入者の有効性を確認し得る。内部OPは、UAをRP118によって提供された承認済みURLにリダイレクトし返す。そして、RPは、外部OPで応答の有効性を確認し得る。
実施形態に従って、GGSNは、ポリシー制御ルール機能(Policy Control Rule Function:PCRF)108およびポリシー制御実行機能(Policy Control Enforcement Function:PCEF)106を用いて、事業者の加入者を含む通信にポリシーを適用し得る。これらの構成要素は、サービスデータフロー(SDF)検出、ポリシー実行およびフローに基づく課金機能を含む。さらに、GGSNは、サービス使用に基づいて通信サービスプロバイダが自身の加入者にリアルタイムで課金することを可能にするためのシステムである、オンライン課金サーバ(OCS)110に接続し得る。本文書の以下により詳細に説明するように、これらの構成要素のいくつか(またはすべて)は、内部OPへのアクセスを制御する際に役割を果たし得る。
図2は、本発明のさまざまな実施形態に係る、UAが内部OPにリダイレクトされたときにUAに提示されるページの図である。なお、このページは例に過ぎず、すべての実施形態が最初のログイン時にユーザ名とパスワードとの組合せを要求すると限定すると解釈されるべきでない。
図示されるように、内部OP上には、ユーザエージェント(UA)がそこにリダイレクトされると、ユーザ名とパスワードとの組合せによって認証するページがUAに提示され得る。このページは、機器が将来パスワードなしでログインすることを可能にするオプションをさらに含み得る。UAには、ユーザ名/パスワードが求められる。それらにはさらに、当該機器からこのサービスへの将来のログインをパスワードなしにすることを可能にするオプションが与えられる。実施形態に従って、UAは、サービスが初めて使用されるときには常にパスワードを促され、UAは、パスワードなしのログインを有効にするか無効にするかをいつでも選択可能である。
実施形態に従って、パスワードなしの認証を可能にするため、内部OPへのアクセスは保護される必要がある。そうではなく、内部OPがGGSN以外のどの装置からもアクセス可能である場合は、第三者がUAをエミュレートしてRPへのアクセスを獲得することもあり得る。
実施形態に従って、本ソリューションは、OPを2つのシステムに分割することに依拠し得る。外部OPは、通常のOPとして動作し、ユーザがパスワードで認証することを可能にする。他方、内部OPは、GGSNに直接接続され、GGSNからのみ到達可能になっている。内部OPはGGSNからのみ到達可能なため、認証問題は内部OPへのアクセス制御の問題になる。さまざまな実施形態に従って、以下はこのアクセス制御を行なういくつかの方法である。
1.GGSN上のPCEF/PCRFは、ディープ・パケット・インスペクション(deep packet inspection:DPI)を実行可能であり、URLの特定部分の有効性の確認を実行可能である
2.PCEF/PCRFは、指定されたIPアドレスおよびポートを用いてリアルタイムのルール更新を受信可能である
3.GGSNは、特定のIPアドレスへのすべての接続について新たな課金セッションを開始可能である
2.PCEF/PCRFは、指定されたIPアドレスおよびポートを用いてリアルタイムのルール更新を受信可能である
3.GGSNは、特定のIPアドレスへのすべての接続について新たな課金セッションを開始可能である
ディープ・パケット・インスペクション
実施形態に従って、PCEF/PCRFがDPIを実行可能である場合、加入者の移動局国際加入者ディレクトリ番号(Mobile Station International Subscriber Directory Number:MSISDN)がOPへの要求にエンコードされる。そして、PCEFは、加入者プロファイルに一致するMSISDNを含まないすべての要求を無視して、当該URLの有効性を確認し得る。UAがRPへの機器認証アクセスを有することができると加入者が予め決めていた場合、内部OPは成功応答を返す。
実施形態に従って、PCEF/PCRFがDPIを実行可能である場合、加入者の移動局国際加入者ディレクトリ番号(Mobile Station International Subscriber Directory Number:MSISDN)がOPへの要求にエンコードされる。そして、PCEFは、加入者プロファイルに一致するMSISDNを含まないすべての要求を無視して、当該URLの有効性を確認し得る。UAがRPへの機器認証アクセスを有することができると加入者が予め決めていた場合、内部OPは成功応答を返す。
リアルタイムのルール更新
実施形態に従って、PCEF/PCRFがリアルタイムの更新を実行可能である場合、外部OPは、内部OPにポートを割当てる。そして、外部OPは、UAのMSISDNのためのルールを構築して当該ポートへのアクセスを可能にし、このルールをPCRFに渡す。PCRFは、PCEFを更新した後、外部OPに成功を報告し返す。そして、外部OPは、アクセスのために内部OP上に使うべきホスト名/ポートの組合せをRPに通知する。そして、UAは、当該ホスト名およびポートへの接続をオープンにする。ルールが一致するため、PCEFは、GGSNがUAを内部OPに接続することを可能にする。内部OPは、GGSNを信頼しているため、認証要求に対して成功を報告する。RPが応答の有効性を確認するために外部OPとコンタクトすると、外部OPは、割当てをリリースし、PCRFからルールを削除する。
実施形態に従って、PCEF/PCRFがリアルタイムの更新を実行可能である場合、外部OPは、内部OPにポートを割当てる。そして、外部OPは、UAのMSISDNのためのルールを構築して当該ポートへのアクセスを可能にし、このルールをPCRFに渡す。PCRFは、PCEFを更新した後、外部OPに成功を報告し返す。そして、外部OPは、アクセスのために内部OP上に使うべきホスト名/ポートの組合せをRPに通知する。そして、UAは、当該ホスト名およびポートへの接続をオープンにする。ルールが一致するため、PCEFは、GGSNがUAを内部OPに接続することを可能にする。内部OPは、GGSNを信頼しているため、認証要求に対して成功を報告する。RPが応答の有効性を確認するために外部OPとコンタクトすると、外部OPは、割当てをリリースし、PCRFからルールを削除する。
新たな課金セッション
実施形態に従って、特定のIPアドレスへのソケット接続ごとにGGSNが新たな課金セッションを開始可能である場合、OCSシステムの能力を用いてリアルタイムのアカウント修正を行なってこの接続の有効性確認を行なうことができる。非限定的な例として、オラクルのネットワーク課金および制御(Network Charging and Control:NCC)製品ラインがこの能力を提供する。
実施形態に従って、特定のIPアドレスへのソケット接続ごとにGGSNが新たな課金セッションを開始可能である場合、OCSシステムの能力を用いてリアルタイムのアカウント修正を行なってこの接続の有効性確認を行なうことができる。非限定的な例として、オラクルのネットワーク課金および制御(Network Charging and Control:NCC)製品ラインがこの能力を提供する。
リアルタイムのルール更新方法と同様に、外部OPは、内部OPにポートを割当てる。そして、外部OPは、OCSにポート割当てを通知し、OSCは、当該情報を用いてUAのプロファイルを更新する。TCP SYNを内部OPに送る前に、GGSNは、OCSに対する新たな課金セッションを開始し、要求内にIPアドレスおよびポートを提供する。そして、OCSはIPアドレスおよびポートを割当てリストと照らし合わせて有効性を確認し、一致する場合にのみ課金要求に対して成功で応じる。上記のように、内部OPは、GGSNを信頼しているため、認証要求に対して成功を報告することができる。RPが応答の有効性を確認するために外部OPとコンタクトすると、外部OPは、割当てをリリースし、OCS上のUAのプロファイルを更新する。
図3は、本発明のさまざまな実施形態に係る、OpenIDを電気通信ネットワークに統合するフローチャートの図である。この図は例示のために機能ステップを特定のシーケンスで示しているが、この処理は、この特定の順番またはステップに必ずしも限定されない。当業者は、この図に示されるさまざまなステップはさまざまな方法で変更、再構成、並列実行、または適合され得ることを認識するであろう。さらに、一定のステップまたはステップのシーケンスが、本発明の思想および範囲から逸脱することなくこの処理に追加され得るか、この処理から省略され得る。
ステップ300に示されるように、ユーザエージェントがリライニングパーティ上のサービスを呼出してリライニングパーティに識別子を提供すると、処理が開始する。そして、リライニングパーティは、ユーザエージェントの有効性を確認する要求を外部OpenIDプロバイダに送信し(ステップ302)、さらにユーザエージェントを内部OpenIDプロバイダにリダイレクトする(ステップ304)。ステップ306に示されるように、内部OPは、IPアドレスによって、またはユーザ名/パスワードによって、加入者の有効性を確認する。ステップ308において、内部OPは、ユーザエージェントをリライニングパーティによって提供された承認済みURLにリダイレクトし返す。最後に、ステップ310に示されるように、リライニングパーティは外部OPで応答を確かめる。
図4は、本発明のさまざまな実施形態に係る、OpenIDを電気通信ネットワークに統合するシーケンス図である。なお、本明細書中に記載の他の図と同様に、ステップのシーケンスは例示のために示されるに過ぎず、すべての実施形態を特定の順番またはステップに限定することを必ずしも意図していない。当業者は、この図に示されるさまざまなステップはさまざまな方法で変更、再構成、並列実行、または適合され得ることを認識するであろう。さらに、一定のステップまたはステップのシーケンスが、本発明の思想および範囲から逸脱することなくこの処理に追加され得るか、この処理から省略され得る。
図4に示されるように、加入者を識別するための処理は、UA400(たとえば加入者のモバイル機器上のウェブブラウザ)がRP402上のサービスを呼出すと開始する。UAは、サービスを呼出すと、典型的にその識別子をRPに提供する。RPは、この識別子を受信し、これを用いて外部OP404とコンタクトしてUAの有効性の確認を要求する。RPは、さらにUAに応答し、UAを内部OP406にリダイレクトする。内部OPへのアクセスはGGSNに制限されているため、UAが内部OPに到達すると、これは有効性が確認される。有効性が確認されると、内部OPは、UAをRPによって提供された承認済みURLにリダイレクトする。最後に、RPは、外部OPでUAの有効性確認を確かめ得る。
本開示に記載されたさまざまな文脈全体にわたって、本発明の実施形態は、上記のシステムおよび方法を実行するように構成されたコンピュータ装置、演算システムおよび機械読取可能媒体をさらに含む。特定的に設計された集積回路または他の電気機器で構成される実施形態に加えて、本発明は、コンピュータ業界の当業者に明らかになるように、本開示の教示に従ってプログラムされた従来の汎用または専用のデジタルコンピュータまたはマイクロプロセッサを用いて都合よく実装可能である。
ソフトウェア業界の当業者に明らかになるように、本開示の教示に基づいて、適切なソフトウェアコーディングが熟練プログラマーによって容易に準備され得る。本発明は、当業者に容易に明らかになるように、アプリケーション特有の集積回路を準備することによって、または従来の部品回路の適切なネットワークを相互に接続することによっても実装され得る。
さまざまな実施形態は、本明細書中に提示された特徴のいずれかを実行するために汎用または専用の演算プロセッサ/装置をプログラムするために用いられ得る命令が格納された格納媒体であるコンピュータプログラム製品を含む。格納媒体は、フロッピー(登録商標)ディスク、光ディスク、DVD、CD−ROM、マイクロドライブ、光磁気ディスク、ホログラフィックストレージ、ROM、RAM、PRAM、EPROM、EEPROM、DRAM、VRAM、フラッシュメモリ装置、磁気カードまたは光カード、ナノシステム(分子メモリICを含む)を含む任意の種類の物理的媒体、ならびに命令および/もしくは情報を格納するのに適した任意の種類の媒体または装置、の1つ以上を含むが、これらに限定されない。コンピュータプログラム製品は全体的または部分的に、1つ以上の公的および/またはプライベートネットワーク上で送信可能であり、当該送信は、本明細書中に提示された特徴のいずれかを実行するための1つ以上のプロセッサによって用いられ得る命令を含む。ある実施形態では、当該送信は複数の別個の送信を含み得る。1つ以上の実施形態に従って、コンピュータ読取可能記録媒体は、非一時的な性質のものである。
本発明の好ましい実施形態の上記の説明は、例示および説明のために提供した。これは網羅的であること、または本発明を開示した厳密な形態に限定することを意図していない。多くの変更および変形が当業者に明らかになり得る。実施形態は、本発明の原理およびその実際の適用を最もよく説明することによって関連技術の当業者が本発明を理解できるように選択および記載した。
Claims (13)
- 電気通信ネットワーク内でユーザを認証するためのシステムであって、
モバイル機器を認証するためのゲートウェイノードを備え、各モバイル機器は自身に関連付けられた識別子を有し、前記システムはさらに、
前記ゲートウェイノードに接続された内部プロバイダを備え、前記内部プロバイダは前記ゲートウェイノードからのみ到達可能であり、前記システムはさらに、
モバイル機器の加入者の有効性を確認する要求を少なくとも1つのリライニングパーティサービスから受信し、前記要求を受信したことに応答して、前記モバイル機器を前記内部プロバイダ上の有効性確認の統一資源識別子(URI)にリダイレクトする外部プロバイダを備え、前記モバイル機器の有効性が確認され、前記有効性確認の後、前記内部プロバイダは、前記モバイル機器を前記リライニングパーティサービスによって提供された承認済みURIにリダイレクトする、システム。 - 前記モバイル機器は、ディープ・パケット・インスペクションを実行する前記ゲートウェイノードによって有効性が確認され、前記加入者に関連付けられた移動局国際加入者ディレクトリ番号(MSISDN)が前記内部プロバイダへの前記要求にエンコードされ、前記ゲートウェイノードは、前記モバイル機器の前記加入者に一致する前記MSISDNを含まないすべての要求を無視することによって前記要求の有効性を確認する、請求項1に記載のシステム。
- 前記モバイル機器は、指定されたアドレスおよびポートを用いてリアルタイムのルール更新を受信する前記ゲートウェイノードによって有効性が確認され、前記外部プロバイダは、前記内部プロバイダにポートを割当て、前記加入者に関連付けられた移動局国際加入者ディレクトリ番号(MSISDN)のためのルールを構築し、前記ルールは、前記MSISDNについての前記ポートへのアクセスを認可し、前記ルールは、前記ゲートウェイノードに渡される、請求項1に記載のシステム。
- 前記モバイル機器は、新たな課金セッションを開始する前記ゲートウェイノードによって有効性が確認され、前記外部プロバイダは、前記内部プロバイダにポートを割当て、オンライン課金サーバ(OCS)に前記ポートの割当てを通知し、前記OCSは、前記加入者に関連付けられたプロファイルを更新し、前記OCSは、前記ポートの割当てに基づいて前記モバイル機器の有効性を確認する、請求項1に記載のシステム。
- 前記ゲートウェイノードは、汎用パケット無線サービス用ゲートウェイ(GPRS)無線データネットワークと1つ以上の他のネットワークとの間のゲートウェイとして機能するGPRSサポートノード(GGSN)であり、前記ゲートウェイノードは、
ポリシーおよび課金実行機能(PCEF)、および
ポリシー制御および課金ルール機能(PCRF)
をさらに含む、請求項1〜4のいずれか1項に記載のシステム。 - 前記内部プロバイダは、ユーザ名およびパスワードを要求するページを描画し、前記ページは、後の要求に対して前記モバイル機器がパスワードなしでログインすることを可能にするオプションをさらに含む、請求項1〜5のいずれか1項に記載のシステム。
- 前記リライニングパーティサービスは、前記モバイル機器が前記リライニングパーティサービスによって提供された前記承認済みURIにリダイレクトされた後に、前記外部プロバイダで前記加入者の前記有効性確認を確かめる、請求項1〜6のいずれか1項に記載のシステム。
- 前記内部プロバイダおよび前記ゲートウェイノードは、電気通信事業者のプライベートネットワーク内に存在し、
前記外部プロバイダは、前記プライベートネットワークとは別のパブリックネットワーク内に存在する、請求項1〜7のいずれか1項に記載のシステム。 - 電気通信ネットワーク内でユーザを認証するための方法であって、
リライニングパーティサービスから外部プロバイダへの、モバイル機器の加入者の有効性を確認する要求を受信するステップと、
前記リライニングパーティサービスによってユーザエージェントをゲートウェイノードからのみ到達可能な内部プロバイダにリダイレクトするステップと、
前記ユーザエージェントの有効性を確認するステップと、
前記ユーザエージェントを前記リライニングパーティサービスによって提供された承認済み統一資源識別子(URI)にリダイレクトするステップと、
前記外部プロバイダで前記リライニングパーティサービスによって応答の有効性を確認するステップとを備える、方法。 - 前記モバイル機器の加入者の有効性を確認する要求は、ユーザエージェントがリライニングパーティサービス上のサービスを呼出して前記リライニングパーティサービスに識別子を提供すると開始される、請求項9に記載の方法。
- 前記リライニングパーティサービスは、前記モバイル機器から前記サービスの呼出を受信すると、前記ユーザエージェントの有効性を確認する要求を開始し、前記ユーザエージェントの有効性を確認する要求を外部プロバイダに送信する、請求項10に記載の方法。
- 前記ユーザエージェントは、ゲートウェイノードに接続される、請求項9〜11のいずれか1項に記載の方法。
- 1つ以上のプロセッサに一連のステップを実行させるために前記1つ以上のプロセッサによって実行される一組の命令を含むコンピュータプログラムであって、前記一連のステップは、
リライニングパーティサービスから外部プロバイダへの、モバイル機器の加入者の有効性を確認する要求を受信するステップと、
前記リライニングパーティサービスによってユーザエージェントをゲートウェイノードからのみ到達可能な内部プロバイダにリダイレクトするステップと、
前記ユーザエージェントの有効性を確認するステップと、
前記ユーザエージェントを前記リライニングパーティサービスによって提供された承認済み統一資源識別子(URI)にリダイレクトするステップと、
前記外部プロバイダで前記リライニングパーティサービスによって応答の有効性を確認するステップとを備える、コンピュータプログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/161,028 | 2011-06-15 | ||
| US13/161,028 US9065816B2 (en) | 2011-06-15 | 2011-06-15 | Systems and methods of integrating openID with a telecommunications network |
| PCT/US2012/042629 WO2012174354A1 (en) | 2011-06-15 | 2012-06-15 | SYSTEMS AND METHODS OF INTEGRATING OpenID WITH A TELECOMMUNICATIONS NETWORK |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2014523018A JP2014523018A (ja) | 2014-09-08 |
| JP2014523018A5 JP2014523018A5 (ja) | 2015-07-02 |
| JP6067005B2 true JP6067005B2 (ja) | 2017-01-25 |
Family
ID=46354492
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014516022A Active JP6067005B2 (ja) | 2011-06-15 | 2012-06-15 | OpenIDを電気通信ネットワークに統合するシステムおよび方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9065816B2 (ja) |
| EP (1) | EP2721856B1 (ja) |
| JP (1) | JP6067005B2 (ja) |
| CN (1) | CN103621125B (ja) |
| WO (1) | WO2012174354A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9338652B1 (en) | 2014-11-13 | 2016-05-10 | International Business Machines Corporation | Dynamic password-less user verification |
| CN105812148A (zh) * | 2014-12-30 | 2016-07-27 | 华为技术有限公司 | 一种计费方法、装置及系统 |
| US10223549B2 (en) * | 2015-01-21 | 2019-03-05 | Onion ID Inc. | Techniques for facilitating secure, credential-free user access to resources |
| CN105991590B (zh) | 2015-02-15 | 2019-10-18 | 阿里巴巴集团控股有限公司 | 一种验证用户身份的方法、系统、客户端及服务器 |
| US11877218B1 (en) | 2021-07-13 | 2024-01-16 | T-Mobile Usa, Inc. | Multi-factor authentication using biometric and subscriber data systems and methods |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7530099B2 (en) * | 2001-09-27 | 2009-05-05 | International Business Machines Corporation | Method and system for a single-sign-on mechanism within application service provider (ASP) aggregation |
| JP4303130B2 (ja) | 2002-02-28 | 2009-07-29 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | シングルサインオンサービスのためのシステム、方法、および装置 |
| CN100417070C (zh) * | 2005-05-30 | 2008-09-03 | 华为技术有限公司 | 一种内容计费实现方法和系统 |
| JP2009541872A (ja) * | 2006-06-28 | 2009-11-26 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ユーザ局へのサービスの提供に第三者の影響を許容する方法、通信システム、および収集コントローラ |
| JP2009282561A (ja) * | 2008-05-19 | 2009-12-03 | Kddi Corp | ユーザ認証システム、ユーザ認証方法およびプログラム |
| EP2129075A1 (en) * | 2008-05-30 | 2009-12-02 | Nokia Siemens Networks Oy | Method of locating NAS context |
| US8472388B2 (en) * | 2008-10-10 | 2013-06-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Gateway apparatus, authentication server, control method thereof and computer program |
| US9338811B2 (en) * | 2009-03-06 | 2016-05-10 | Apple Inc. | Methods and apparatus for providing selective access to wireless network resources using detailed information |
| US20120036186A1 (en) * | 2009-04-02 | 2012-02-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Control of a Communication Session |
| CN102340773A (zh) * | 2010-07-28 | 2012-02-01 | 国基电子(上海)有限公司 | Femto存取点及利用其减少用户在IMS网络中认证时间的方法 |
-
2011
- 2011-06-15 US US13/161,028 patent/US9065816B2/en active Active
-
2012
- 2012-06-15 JP JP2014516022A patent/JP6067005B2/ja active Active
- 2012-06-15 CN CN201280029047.XA patent/CN103621125B/zh active Active
- 2012-06-15 WO PCT/US2012/042629 patent/WO2012174354A1/en unknown
- 2012-06-15 EP EP12729793.5A patent/EP2721856B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US9065816B2 (en) | 2015-06-23 |
| CN103621125B (zh) | 2017-08-25 |
| CN103621125A (zh) | 2014-03-05 |
| WO2012174354A1 (en) | 2012-12-20 |
| JP2014523018A (ja) | 2014-09-08 |
| US20120324558A1 (en) | 2012-12-20 |
| EP2721856A1 (en) | 2014-04-23 |
| EP2721856B1 (en) | 2018-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8589675B2 (en) | WLAN authentication method by a subscriber identifier sent by a WLAN terminal | |
| TWI725958B (zh) | 雲端主機服務權限控制方法、裝置和系統 | |
| JP5231433B2 (ja) | リモートサーバアクセスを認証するためのシステムおよび方法 | |
| CN105027529B (zh) | 用于验证对网络资源的用户接入的方法和设备 | |
| US8191109B2 (en) | Application verification | |
| EP3120591B1 (en) | User identifier based device, identity and activity management system | |
| US20140033279A1 (en) | System and method of extending oauth server(s) with third party authentication/authorization | |
| JP5739008B2 (ja) | 通信セッションを検証する方法、装置、およびシステム | |
| CA2557143C (en) | Trust inheritance in network authentication | |
| CN111355713B (zh) | 一种代理访问方法、装置、代理网关及可读存储介质 | |
| KR20090036562A (ko) | 네트워크에 대한 접근을 제어하기 위한 방법 및 시스템 | |
| JP6067005B2 (ja) | OpenIDを電気通信ネットワークに統合するシステムおよび方法 | |
| CN105681259A (zh) | 一种开放授权方法、装置及开放平台 | |
| US20190281454A1 (en) | Mobile identification method based on sim card and device-related parameters | |
| WO2018045798A1 (zh) | 网络认证方法、相关装置 | |
| US20140369335A1 (en) | Method and a network node for connecting a user device to a wireless local area network | |
| US8950000B1 (en) | Application digital rights management (DRM) and portability using a mobile device for authentication | |
| CN105656854A (zh) | 一种验证无线局域网络用户来源的方法、设备及系统 | |
| CN102624724B (zh) | 安全网关及利用网关安全登录服务器的方法 | |
| US20200153792A1 (en) | Authenticating to a hybrid cloud using intranet connectivity as silent authentication factor | |
| KR102465744B1 (ko) | 로그인 세션 전달을 이용한 기기인증 방법 | |
| CN111723347B (zh) | 身份认证方法、装置、电子设备及存储介质 | |
| WO2011063562A1 (zh) | 用户拨号认证方法、系统和设备 | |
| WO2015144728A1 (en) | User equipment proximity requests authentication | |
| KR100623293B1 (ko) | 콜백 메시지를 이용한 이동통신 단말기 가입자 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150513 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150513 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160427 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160510 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160613 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160809 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161028 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161206 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161220 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6067005 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |