JPWO2017130292A1 - サーバ及びプログラム - Google Patents

サーバ及びプログラム Download PDF

Info

Publication number
JPWO2017130292A1
JPWO2017130292A1 JP2017563431A JP2017563431A JPWO2017130292A1 JP WO2017130292 A1 JPWO2017130292 A1 JP WO2017130292A1 JP 2017563431 A JP2017563431 A JP 2017563431A JP 2017563431 A JP2017563431 A JP 2017563431A JP WO2017130292 A1 JPWO2017130292 A1 JP WO2017130292A1
Authority
JP
Japan
Prior art keywords
token
server
request
mobile terminal
mobile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017563431A
Other languages
English (en)
Other versions
JP6526248B2 (ja
Inventor
健太 安川
健太 安川
基勝 松井
基勝 松井
雄太 清水
雄太 清水
崇 小熊
崇 小熊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Soracom Inc
Original Assignee
Soracom Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Soracom Inc filed Critical Soracom Inc
Publication of JPWO2017130292A1 publication Critical patent/JPWO2017130292A1/ja
Application granted granted Critical
Publication of JP6526248B2 publication Critical patent/JP6526248B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M11/00Telephonic communication systems specially adapted for combination with other electrical systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]

Abstract

モバイル端末にトークンを提供するサーバは、ネットワークインタフェースと、ネットワークインタフェースに結合された処理部とを有する。処理部は、モバイル端末からトークンを求めるリクエストを受信し、モバイル端末の加入者識別情報を取得し、加入者識別情報に関連付けられたユーザプロファイルを含み、電子署名が付されたトークンを取得し、トークンをモバイル端末へ送信するように構成される。

Description

本発明は、サーバ、モバイル端末及びプログラムに関する。
近年、ユーザがサービスを利用する際にユーザ認証が必要となる場合がある。ユーザ認証の一例では、ユーザがモバイル端末を通じて、サービスの提供先のサーバにトークンを送信し、サーバ側でそのトークンの正当性を判定する。このトークンを提供とする方法として、ICチップやUSBキー等の専用のハードウェアを利用するものや、モバイル端末にインストールされるソフトウェアを利用するものが知られている。
トークンを専用のハードウェアで提供する方法では、このハードウェアを紛失した場合に認証が行えなくなる。一方、トークンをソフトウェアで提供する方法では、モバイル端末へソフトウェアをインストールする必要がある。いずれの方法でも、モバイル端末のユーザの利便性が低い。本発明の一部の実施形態は、ユーザにとって利便性の高いトークンの割り当て方式を提供する。
本発明の一部の側面では、モバイル端末にトークンを提供するサーバであって、ネットワークインタフェースと、前記ネットワークインタフェースに結合された処理部とを備え、前記処理部は、モバイル端末からトークンを求めるリクエストを受信し、前記モバイル端末の加入者識別情報を取得し、前記加入者識別情報に関連付けられたユーザプロファイルを含み、電子署名が付されたトークンを取得し、前記トークンを前記モバイル端末へ送信するように構成されることを特徴とするサーバが提供される。
本発明のその他の特徴及び利点は、添付図面を参照とした以下の説明により明らかになるであろう。なお、添付図面においては、同じ若しくは同様の構成には、同じ参照番号を付す。
添付図面は明細書に含まれ、その一部を構成し、本発明の実施の形態を示し、その記述と共に本発明の原理を説明するために用いられる。
一部の実施形態の移動体通信システムの構成例を説明する図。 図1の一部の装置の構成例を説明するブロック図。 図1の移動体通信システムの動作例を説明するシーケンス図。 図1のモバイル端末の動作例を説明するフロー図。 図1の外部サーバの動作例を説明するフロー図。 図1のトークン要求サーバの動作例を説明するフロー図。 図1のトークン発行サーバの動作例を説明するフロー図。 図1のモバイル端末の別の動作例を説明するフロー図。 図1の外部サーバの別の動作例を説明するフロー図。
図1を参照して、本発明の一部の実施形態に係る移動体通信システムの構成について説明する。図1の移動体通信システムは、LTE(ロングタームエボリューション)に準拠してもよいし、3Gに準拠してもよいし、他の規格に準拠してもよい。移動体通信システムはモバイルネットワーク110を構成する。モバイルネットワーク110は、とりわけ、基地局111と、ゲートウェイ装置112と、トークン要求サーバ113と、トークン発行サーバ114とを含む。移動体通信システムは、MNO(移動体通信事業者)によって提供されてもよいし、MNOとMVNO(仮想移動体通信事業者)とが連携することによって提供されてもよい。
移動体通信システムは、モバイル端末101に通信サービスを提供する。モバイル端末101は、モバイルネットワーク110を経由して、例えば外部ネットワーク120に含まれる外部サーバ121にアクセスできる。外部ネットワーク120は、インターネットなどのパブリックネットワークであってもよいし、個別の企業などによって提供されるプライベートネットワークであってもよい。基地局111は、モバイル端末101をモバイルネットワーク110内のコアネットワークに接続する。ゲートウェイ装置112は、コアネットワークのゲートウェイとして機能し、モバイル端末101に対して、外部ネットワーク120とのアクセスを提供する機能を有する。ゲートウェイ装置112は、モバイルネットワーク110が3Gネットワークの場合にGGSN(パケット・ゲートウェイ・ノード)に相当し、モバイルネットワーク110がLTEネットワークの場合にP−GW(パケットデータネットワークゲートウェイ)に相当する。外部サーバ121は、モバイル端末101に対して、ウェブ閲覧サービスなどの様々なサービスを提供する。外部サーバ121が提供するサービスの一部又は全部は、モバイル端末101のユーザの認証を必要としてもよいし、モバイル端末101のユーザに個人情報を要求してもよい。
トークン要求サーバ113は、モバイル端末101からの要求に応じて、トークン発行サーバ114にトークンの生成を要求する。トークンとは外部サーバ121における認証に用いられる情報であり、認証トークンやセキュリティトークンとも呼ばれる。トークンは、例えばRFC7519に規定されるJSON Web Tokenであってもよい。トークン発行サーバ114は、トークン要求サーバ113からの要求に応じて、電子署名付きのトークンを生成する。トークン発行サーバ114は、例えば、トークン要求サーバ113から安全に通信が行えるバックエンドのセグメント内に含まれる。トークン要求サーバ113及びトークン発行サーバ114の動作の詳細については後述する。
図2を参照して、モバイル端末101、トークン要求サーバ113、トークン発行サーバ114及び外部サーバ121の構成例について説明する。基地局111及びゲートウェイ装置112は既存の構成であってもよいので、その詳細な説明を省略する。
モバイル端末101は、モバイルネットワーク110にアクセス可能なデバイスであり、例えば移動体電話、スマートフォン、タブレット、パーソナルコンピュータ、センサ、アクチュエータなどでありうる。モバイル端末101は、持ち運ぶことが想定される装置であってもよいし、固定して使用することが想定される装置であってもよい。モバイル端末101は、例えば、CPU201、メモリ202、ネットワークインタフェース203、SIMカード204、ディスプレイ205及び入力デバイス206を有する。CPU201は、モバイル端末101の各構成要素に結合され、これらの動作を制御する。メモリ202は、モバイル端末101の動作を制御するためのプログラムを格納したり、動作時の作業領域として使用されたりする。
ネットワークインタフェース203は、モバイル端末101が他の装置と通信するために用いられる。ネットワークインタフェース203は、例えばLTEや3Gなどのモバイルネットワーク110にアクセス可能である。ネットワークインタフェース203はさらに、モバイルネットワーク110以外のネットワーク、例えば無線LANにアクセス可能であってもよい。
SIMカード204は、モバイル端末101がモバイルネットワーク110にアクセスする際にモバイルネットワーク事業者の認証を行うために用いられる。SIMカード204は、IMSI(国際移動体加入者識別番号)及び認証のための秘密情報を格納したICチップを備える。IMSIは、加入者に対して加入契約ごとに一意に割り当てられた加入者識別情報の一例である。SIMカード204は、SIMカード204は、耐タンパ性が高いので、SIMカード204の内容を外部から取得することはできない。また、IMSIはモバイルネットワーク110を運用する事業者ごとに発行され、モバイルネットワーク110に登録されていなければ有効にならないので、IMSIを偽造することは事実上できない。
モバイル端末101には、IMEI(国際移動体装置識別番号)が割り当てられている。IMEIとは、モバイル端末ごとに割り当てられた国際的な識別番号である。IMEIは、メモリ202に格納されていてもよいし、ネットワークインタフェース203に格納されていてもよい。
ディスプレイ205は、モバイル端末101のユーザに向けて情報を提示するためのデバイスである。入力デバイス206は、モバイル端末101のユーザから入力を受け取るためのデバイスであり、例えばキーパッドやタッチパネルで構成される。モバイル端末101がセンサやアクチュエータなどである場合に、モバイル端末101はディスプレイ205及び入力デバイス206を有していなくてもよい。
トークン要求サーバ113は、例えば、CPU211、メモリ212、ネットワークインタフェース213及び記憶部214を有する。CPU211は、トークン要求サーバ113の各構成要素に結合され、これらの動作を制御する。メモリ212は、トークン要求サーバ113の動作を制御するためのプログラムを格納したり、動作時の作業領域として使用されたりする。ネットワークインタフェース213は、トークン要求サーバ113が他の装置と通信するために用いられる。記憶部214は、トークン要求サーバ113の動作に用いられる様々な情報を格納する。
トークン発行サーバ114は、例えば、CPU221、メモリ222、ネットワークインタフェース223及び記憶部224を有する。CPU221は、トークン発行サーバ114の各構成要素に結合され、これらの動作を制御する。メモリ222は、トークン発行サーバ114の動作を制御するためのプログラムを格納したり、動作時の作業領域として使用されたりする。ネットワークインタフェース223は、トークン発行サーバ114が他の装置と通信するために用いられる。記憶部224は、トークン発行サーバ114の動作に用いられる様々な情報を格納する。
外部サーバ121は、例えば、CPU231、メモリ232、ネットワークインタフェース233及び記憶部234を有する。CPU231は、外部サーバ121の各構成要素に結合され、これらの動作を制御する。メモリ232は、外部サーバ121の動作を制御するためのプログラムを格納したり、動作時の作業領域として使用されたりする。ネットワークインタフェース233は、外部サーバ121が他の装置と通信するために用いられる。記憶部234は、外部サーバ121の動作に用いられる様々な情報を格納する。例えば、記憶部234には、ウェブページなどのサービスを提供するために必要な情報が格納される。
続いて、図3を参照して、図1の移動体通信システムの動作の1つのシナリオについて説明する。このシナリオでは、モバイル端末101は、モバイルネットワーク110を経由して、外部サーバ121が提供するウェブページにHTTPSでアクセスする。このウェブページのURLを「https://external-service.example.com/auth」とする。このウェブページは、モバイル端末101のユーザによる認証を必要とする。また、トークン要求サーバ113のURLを「https://auth.soracom.io」とする。図3の各ステップにおいて、二重引用符で囲まれた文字列は、各ステップを実行するためのHTTPコマンドを示す。
ステップS1で、モバイル端末101は、外部サーバ121に対して、認証が必要なウェブページを閲覧するためのリクエストを送信する。ステップS2で、外部サーバ121は、モバイル端末101からのリクエストをトークン要求サーバ113へリダイレクトする。ステップS3で、モバイル端末101は、外部サーバ121からのリダイレクト指示に従って、トークン要求サーバ113へリクエストを送信する。このリクエストは、パラメータとして、トークン取得後に戻るべきURL(すなわち、ステップS1での接続先のウェブページのURL)を含む。
ステップS4で、トークン要求サーバ113は、モバイル端末101がモバイルネットワーク110を経由してリクエストを送信したことを判定し、モバイル端末101のIMSIを取得する。ステップS5で、トークン要求サーバ113は、トークン発行サーバ114に対して、トークンの発行を求めるリクエストを送信する。このリクエストには、モバイル端末101のIMSIと、トークン取得後に戻るべきURLとが含まれる。
ステップS6で、トークン発行サーバ114は、トークンを生成し、そのトークンに電子署名を付す。ステップS7で、トークン発行サーバ114は、電子署名付きのトークンをトークン要求サーバ113へ返す。ステップS8で、トークン要求サーバ113は、電子署名付きのトークンをモバイル端末101に転送する。
ステップS9で、モバイル端末101は、受信した電子署名付きのトークンをパラメータの引数として有するリクエストを、外部サーバ121へ送信する。ステップS10で、外部サーバ121は、受信した電子署名付きのトークンを検証する。ここでは、電子署名付きのトークンが正当であるとする。そのため、ステップS11で、外部サーバ121は、モバイル端末101からのリクエストに応じて、認証が必要なウェブページをモバイル端末101に返す。
続いて、図4〜図7を参照して、図3における各装置の動作の詳細について説明する。まず、図4を参照して、モバイル端末101の動作の詳細について説明する。この動作は、モバイル端末101のCPU201が、メモリ202に格納されたプログラムを汎用の処理回路として実行することによって実現されてもよい。これに代えて、モバイル端末101が、以下の各ステップを実行するための専用の処理回路(例えば、ASIC)を有しており、この回路が各ステップを実行してもよい。
ステップS401で、モバイル端末101は、外部サーバ121へサービスを求めるリクエストを送信する。このサービスは、認証を必要としてもよいし、必要としなくてもよい。このサービスは、上記のシナリオのようなウェブページの閲覧であってもよいし、HTTP以外のプロトコルを利用したサービス、例えばメールの送受信やファイル転送などであってもよい。外部サーバ121のサービスが認証を必要としない場合に、モバイル端末101は外部サーバ121からサービスの提供を受け、処理を終了する。以下では、外部サーバ121のサービスが認証を必要とする場合を扱う。
ステップS402で、モバイル端末101は、ステップS401で送信したリクエストの応答として、外部サーバ121からリダイレクト指示を受信する。このリダイレクト指示には、トークン要求サーバ113のアドレス(例えば、URL)が含まれる。
ステップS403で、モバイル端末101は、ステップS402で受信したリダイレクト指示に従って、トークン要求サーバ113にリクエストを送信する。上記のシナリオのように、トークン要求サーバ113は、モバイル端末101からのリクエストに応じて、電子署名付きのトークンをモバイル端末101に返す。そのため、トークン要求サーバ113へのリクエストは、このリクエスト内での明示的な指示の有無にかかわらず、電子署名付きのトークンを求めるリクエストとして扱われる。トークン要求サーバ113へのリクエストは、ステップS401で送信したリクエストの宛先アドレス(例えば、URL)を含む。また、トークン要求サーバ113へのリクエストは、必要に応じて、外部サーバ121が後続のステップを継続するために必要な情報(セッション情報やユーザの特定を補助する情報など)を含んでもよい。例えば、トークン要求サーバ113へのリクエストは、ステップS401で送信したリクエストがGETメソッドの場合にクエリパラメータを含んでもよく、POSTメソッドの場合にユーザデータ(すなわち、モバイル端末101のユーザが自由に追加可能な任意のデータ)をBodyに含んでもよい。
ステップS404で、モバイル端末101は、トークン要求サーバ113から電子署名付きのトークンと、このトークンを渡すべきサービスのアドレスとを受信する。トークンを渡すべきサービスは、例えばステップS401で送信したリクエストの宛先のサービスである。
ステップS405で、モバイル端末101は、ステップS404で指定されたアドレスに対して、電子署名付きのトークンを含むリクエストを送信する。電子署名付きのトークンは、例えばトークンを表すパラメータの引数としてリクエストに含まれる。このリクエストに応答して、認証を必要とするサービスが外部サーバ121からモバイル端末101に提供される。
モバイル端末101は、ステップS405でリクエストを送信する前に、ステップS404で受信したトークンの正当性を検証してもよい。例えば、モバイル端末101は、トークンに含まれるIMSI及びIMEIが自身のIMSI及びIMEIに一致するかを判定してもよいし、トークンに含まれるデータ(クエリパラメータやユーザデータなど)とステップS403で送信したリクエストに含まれるデータとが一致するかを判定してもよい。モバイル端末101は、トークンが正当でないと判定した場合に、ステップS405のリクエストの送信を行わない。
次に、図5を参照して、外部サーバ121の動作の詳細について説明する。この動作は、外部サーバ121のCPU231が、メモリ232に格納されたプログラムを汎用の処理回路として実行することによって実現されてもよい。これに代えて、外部サーバ121が、以下の各ステップを実行するための専用の処理回路(例えば、ASIC)を有しており、この回路が各ステップを実行してもよい。
ステップS501で、外部サーバ121は、モバイル端末101からサービスを求めるリクエストを送信する。このリクエストは、上述のステップS401で説明したものと同様である。
ステップS502で、外部サーバ121は、ステップS501で要求されたサービスが、モバイル端末101のユーザの認証を必要とするか否かを判定する。外部サーバ121は、認証を必要とする場合(ステップS502で「YES」)に、処理をステップS503に進め、認証を必要としない場合(ステップS502で「NO」)に、処理をステップS506に進める。ステップS506で、外部サーバ121は、モバイル端末101からのリクエストに応答して、モバイル端末101にサービスを提供する。
ステップS503で、外部サーバ121は、ステップS501で受信したリクエストのパラメータとしてトークンが指定されているか否かを判定する。外部サーバ121は、トークンが指定されている場合(ステップS503で「YES」)に、処理をステップS505に進め、トークンが指定されていない場合(ステップS503で「NO」)に、処理をステップS504に進める。
ステップS504で、外部サーバ121は、ステップS501で受信したリクエストをトークン要求サーバ113へリダイレクトする。トークン要求サーバ113のアドレスは、外部サーバ121の管理者によって外部サーバ121の記憶部234に事前に格納されている。ステップS504において、外部サーバ121は、サービスごとに、リクエストをトークン要求サーバ113へ転送することによって認証を行うか、別の方法で認証を行うかを判定してもよい。外部サーバ121は、リクエストをトークン要求サーバ113へリダイレクトした後に、処理をステップS501に戻し、モバイル端末101からの更なるリクエストを待つ。
ステップS505で、外部サーバ121は、ステップS501で受信したリクエストに含まれるトークンが正当か否かを判定する。外部サーバ121は、トークンが正当である場合(ステップS505で「YES」)に、処理をステップS506に進め、トークンが正当でない場合(ステップS505で「NO」)に、処理をステップS507に進める。
外部サーバ121は、パラメータとしてトークンが指定されているものの、リクエストがトークンを含まない場合に、外部サーバ121はトークンが正当でないと判定する。例えば、上記のシナリオでは、受信したHTTPコマンドが"GET https://external-service.example.com/auth?token="である場合に、トークンが正当でないと判定される。
外部サーバ121は、リクエストがトークンを含む場合に、そのトークンの正当性を判定する。例えば、外部サーバ121は、トークンに付されている電子署名をトークン発行サーバ114の公開鍵で検証するとともに、トークンの有効期限を渡過していないかを判定する。これに代えて、外部サーバ121は、トークン発行サーバ114や、他の検証サーバに対してトークンの正当性の判定を指示してもよい。
ステップS506で、外部サーバ121は、トークンが正当である場合に、ステップS501で要求されたサービスの認証が完了したものとしてリクエストに応答し、モバイル端末101にサービスを提供する。
ステップS507で、外部サーバ121は、トークンが正当でない場合に、ステップS501で要求されたサービスの認証に失敗したものとしてリクエストに応答し、モバイル端末101にエラーを返す。例えば、上記のシナリオでは、外部サーバ121は、HTTPコマンドとして"403 Forbidden"を返す。
次に、図6を参照して、トークン要求サーバ113の動作の詳細について説明する。この動作は、トークン要求サーバ113のCPU211が、メモリ212に格納されたプログラムを汎用の処理回路として実行することによって実現されてもよい。これに代えて、トークン要求サーバ113が、以下の各ステップを実行するための専用の処理回路(例えば、ASIC)を有しており、この回路が各ステップを実行してもよい。
ステップS601で、トークン要求サーバ113は、モバイル端末101からトークンを求めるリクエストを受信する。このリクエストは、上述のステップS403で説明したものと同様である。
ステップS602で、トークン要求サーバ113は、ステップS601で受信したリクエストが、モバイルネットワーク110を経由して受信されたか否かを判定する。トークン要求サーバ113は、モバイルネットワーク110を経由して受信された場合(ステップS602で「YES」)に、処理をステップS603に進め、他のネットワークを経由して受信された場合(ステップS602で「NO」)に、処理をステップS606に進める。他のネットワークとは、例えばインターネットなどの外部ネットワーク120である。
トークン要求サーバ113は、ゲートウェイ装置112に接続されており、モバイルネットワーク110内での通信用のエンドポイントと、外部ネットワーク120との通信用のエンドポイントとを有する。トークン要求サーバ113は、2つの別個のサーバによって構成され、これらの2つのエンドポイントが2つのサーバに分かれて割り当てられてもよい。モバイル端末101がモバイルネットワーク110経由でトークン要求サーバ113へアクセスする場合に、トークン要求サーバ113のアドレス(上記のシナリオでは"https://auth.soracom.io")は、ドメインネームサーバによって、モバイルネットワーク110内での通信用のエンドポイントに名前解決される。一方、モバイル端末101が無線LANなどを利用して外部ネットワーク120経由でトークン要求サーバ113へアクセスする場合に、トークン要求サーバ113のアドレスは、外部ネットワーク120との通信用のエンドポイントに名前解決される。トークン要求サーバ113は、どのエンドポイントにリクエストが着信したかを判定することによって、ステップS601で受信したリクエストが、モバイルネットワーク110を経由して受信されたか否かを判定できる。
トークン要求サーバ113は、上記の2つのエンドポイントを有する代わりに、モバイルネットワーク110経由のアクセスと、外部ネットワーク120経由のアクセスとの両方を着信する1つのIPアドレスをエンドポイントとして使用してもよい。この場合に、トークン要求サーバ113は、モバイルネットワーク110側と外部ネットワーク120側でそれぞれ異なるネットワークインタフェースを用い、着信するネットワークインタフェースの違いに基づいて、ステップS601で受信したリクエストがモバイルネットワーク110を経由して受信されたか否かを判定する。具体的に、トークン要求サーバ113は、モバイルネットワーク110経由のアクセスを着信するネットワークインタフェースにリクエストが着信したことに基づいて、このリクエストがモバイルネットワーク110経由で着信したと判定し、外部ネットワーク120経由のアクセスを着信する別のネットワークインタフェースにリクエストが着信したことに基づいて、このリクエストが外部ネットワーク120経由で着信したと判定する。これらのネットワークインタフェースには同一のIPアドレスが割り当てられる。トークン要求サーバ113が2つの別個のサーバによって構成され、これらの2つのエンドポイントが2つのサーバに分かれて割り当てられている場合にも、それぞれに同一のIPアドレスを用いながら、モバイルネットワーク110側と外部ネットワーク120側でそれぞれ異なるネットワークインタフェースを割り当てることで同様の制御を実現する。
モバイルネットワーク110は閉域網とみなすことができるので、モバイルネットワーク110を経由するメッセージ(リクエストやレスポンス)は暗号化されず、平文であってもよい。これにより、モバイル端末101に要求される処理能力や電力消費を低減できる。
ステップS606で、トークン要求サーバ113は、他のネットワークを経由してリクエストが受信された場合に、モバイル端末101にエラーを返し、トークンを送信できないことを通知する。このように、トークン要求サーバ113がモバイル端末101にエラーを明示的に返すことによって、モバイル端末101はタイムアウト等を待つことなく、処理を継続できる。
ステップS603で、トークン要求サーバ113は、モバイルネットワーク110を経由してリクエストが受信された場合に、モバイル端末101のIMSIを取得する。例えば、トークン要求サーバ113は、モバイルネットワーク110とモバイル端末101とのセッション情報からIMSIを取得できる。トークン要求サーバ113は、IMSIを取得できない場合、例えばモバイル端末101がモバイルネットワーク110によるサービスを受けられない場合に、ステップS606と同様にしてエラーを返してもよい。さらに、トークン要求サーバ113は、特定のモバイル端末、または特定の加入者とモバイル端末との組み合わせにアクセスを限定する場合に、セッション情報からモバイル端末101のIMEIを取得し、このIMEIに基づいてモバイル端末101がモバイルネットワーク110によるサービスを受けられるか否かを判定してもよい。これにより、SIMカード204の盗難時の悪用を防止できる。
ステップS604で、トークン要求サーバ113は、トークン発行サーバ114にトークン生成をリクエストする。このリクエストは、ステップS603で取得したモバイル端末101のIMSIと、ステップ601で受信したモバイル端末101からのリクエストに含まれる情報(ステップS401で送信したリクエストの宛先アドレス、ユーザデータなど)とを含む。また、ステップS603でモバイル端末101のIMEIが取得された場合に、このリクエストはこのIMEIも含む。
ステップS605で、トークン要求サーバ113は、トークン発行サーバ114から電子署名付きのトークンを受信し、このトークンをモバイル端末101へ転送する。
次に、図7を参照して、トークン発行サーバ114の動作の詳細について説明する。この動作は、トークン発行サーバ114のCPU221が、メモリ222に格納されたプログラムを汎用の処理回路として実行することによって実現されてもよい。これに代えて、トークン発行サーバ114が、以下の各ステップを実行するための専用の処理回路(例えば、ASIC)を有しており、この回路が各ステップを実行してもよい。
ステップS701で、トークン発行サーバ114は、トークン要求サーバ113からトークンを求めるリクエストを受信する。このリクエストは、上述のステップS604で説明したものと同様である。
ステップS702で、トークン発行サーバ114は、ステップS701で受信したリクエストに含まれるIMSIに関連づけられた情報を取得する。この情報は、モバイル端末101のユーザプロファイル(例えば、ユーザの氏名、住所、メールアドレス等)を含む。この情報は、トークン発行サーバ114の記憶部224に事前に格納されている。これに代えて、ユーザプロファイルはトークン発行サーバ114の外部にあるデータベースに格納されていてもよく、トークン発行サーバ114はこのデータベースからIMSIをキーとしてユーザプロファイルを読み出してもよい。
ステップS703で、トークン発行サーバ114は、トークンを生成する。このトークンは、ステップS701で受信したリクエストに含まれるIMSIと、ステップS702で取得した情報と、トークン発行サーバ114が設定したトークンの有効期限と、ステップS701で受信したリクエストに含まれる外部サーバ121へのリクエストに関する情報(ユーザデータ、クエリパラメータ等)とを含む。
ステップS704で、トークン発行サーバ114は、トークン発行サーバ114の秘密鍵を用いて、ステップS703で生成したトークンに電子署名を付与する。電子署名の対象は、トークン全体であってもよいし、その一部であってもよい。トークン発行サーバ114の秘密鍵は、トークン発行サーバ114の記憶部224に事前に格納されている。
ステップS704で、トークン発行サーバ114は、ステップS704で電子署名を付与したトークンをトークン要求サーバ113へ返す。
以上に説明した実施形態によれば、SIMのセキュアな認証結果を外部サーバ121における認証にも利用できる。上述の実施形態では、トークン要求サーバ113は、モバイル端末101からのリクエストがモバイルネットワーク110以外のネットワークを経由して受信された場合に、エラーを返す。これに代えて、トークン要求サーバ113は、上述のモバイル端末101とのセッションを利用したIMSIの取得(ステップS603)とは別の方法でモバイル端末101を認証し、このIMSIを取得してもよい。例えば、トークン要求サーバ113は、EAP(拡張可能認証プロトコル)に従ったチャレンジ・レスポンスを用いて外部ネットワーク120経由でモバイル端末101を認証し、このIMSIを取得してもよい。この方法は、リクエストがモバイルネットワーク110以外のネットワークを経由して受信された場合だけでなく、リクエストがモバイルネットワーク110を経由して受信された場合にも適用できる。
上述の実施形態では、モバイル端末101のSIMカード204を用いた認証結果を外部サーバ121における認証にも利用する。そのため、テザリング等を利用してモバイル端末101を中継して外部サーバ121へアクセスする他のデバイスも、モバイル端末101の認証結果を利用できる。モバイル端末101のユーザは、このような他のデバイスによる利用を防ぎたい場合に、トークン要求サーバ113及びモバイル端末101が、モバイル端末101によるルーティングを防ぐような設定になっていてもよい。例えば、トークン要求サーバ113のモバイルネットワーク110内での通信用のエンドポイントとして、リンクローカルアドレス(IPv4では169.254.0.0/16、IPv6ではfe80::/10)が設定されてもよい。この場合に、トークン要求サーバ113とモバイル端末101とは、直接リンクされているので、リンクローカルアドレスで到達可能である。一方、モバイル端末101を経由する他のデバイスは、トークン要求サーバ113と間接的にリンクされるので、トークン要求サーバ113に到達不可能である。
続いて、図1の移動体通信システムの別の動作例について説明する。上述のように、外部サーバ121に提供されるトークンにはユーザプロファイルが含まれる。そこで、モバイル端末101のユーザは、上述の移動体通信システムを利用して、外部サーバ121に自身の個人情報を提供してもよい。
まず、モバイル端末101のユーザは、トークン発行サーバ114に、モバイル端末101のIMSIと関連付けて、自身の個人情報を登録する。すなわち、トークン発行サーバ114の管理者は、個人情報管理者としての役割を果たす。個人情報管理者は、身分証明書などを用いてモバイル端末101のユーザの本人確認を行ってもよい。一方、外部サーバ121の管理者は、個人情報管理者に対して、個人情報の利用を申請する。個人情報管理者は、外部サーバ121の管理者の実在確認やオフィスの物理的な確認を行ってもよい。さらに、個人情報管理者は、外部サーバ121の管理者を定期的に監視し、不適切な管理者をサービス提供対象者から除外してもよい。
図8を参照して、モバイル端末101の動作の詳細について説明する。この動作は、モバイル端末101のCPU201が、メモリ202に格納されたプログラムを汎用の処理回路として実行することによって実現されてもよい。これに代えて、モバイル端末101が、以下の各ステップを実行するための専用の処理回路(例えば、ASIC)を有しており、この回路が各ステップを実行してもよい。
ステップS801で、モバイル端末101は、外部サーバ121へサービスを求めるリクエストを送信する。このサービスは、個人情報を必要としてもよいし、必要としなくてもよい。このサービスは、上記のシナリオのようなウェブページの閲覧であってもよいし、HTTP以外のプロトコルを利用したサービス、例えばメールの送受信やファイル転送などであってもよい。外部サーバ121のサービスが個人情報を必要としない場合に、モバイル端末101は外部サーバ121からサービスの提供を受け、モバイル端末101は処理を終了する。以下では、外部サーバ121のサービスが個人情報を必要とする場合を扱う。
ステップS802で、モバイル端末101は、外部サーバ121から個人情報の入力指示を受信する。この入力指示は、必要な個人情報の種類(例えば、氏名、住所、電話番号、クレジットカード番号等)を含む。
ステップS803で、モバイル端末101は、入力指示された個人情報の種類をディスプレイ205に表示し、入力デバイス206を用いてユーザから個人情報を提供すべきかの指示を受け取る。モバイル端末101は、個人情報を提供すべきでないと指示された場合に処理を終了し、提供すべきであると指示された場合に処理を継続する。
ステップS804で、モバイル端末101は、トークン要求サーバ113にリクエストを送信する。本実施形態でも、上述のように、トークン要求サーバ113へのリクエストは、このリクエスト内での明示的な指示の有無にかかわらず、電子署名付きのトークンを求めるリクエストとして扱われる。トークン要求サーバ113へのリクエストは、ステップS801で送信したリクエストの宛先アドレス(例えば、URL)を含む。さらに、トークン要求サーバ113へのリクエストは、ステップS802で受信した必要な個人情報の種類を含む。
ステップS804で送信されたリクエストに応答して、トークン要求サーバ113は、図6で説明した処理を行って、電子署名付きのトークンをモバイル端末101へ返す。このトークンには、ユーザプロファイルとして、モバイル端末101のユーザの個人情報が含まれる。トークン要求サーバ113は、リクエストに含まれる外部サーバ121のアドレスが利用申請された外部サーバ121のものでなければ、モバイル端末101へエラーを返す。これにより、ユーザの個人情報が信用のない外部サーバ121に提供されることを防止できる。
ステップS805で、モバイル端末101は、トークン要求サーバ113からトークンを受信する。ステップS806で、モバイル端末101は、トークンを外部サーバ121へ送信する。
次に、図9を参照して、外部サーバ121の動作の詳細について説明する。この動作は、外部サーバ121のCPU231が、メモリ232に格納されたプログラムを汎用の処理回路として実行することによって実現されてもよい。これに代えて、外部サーバ121が、以下の各ステップを実行するための専用の処理回路(例えば、ASIC)を有しており、この回路が各ステップを実行してもよい。
ステップS901で、外部サーバ121は、モバイル端末101からサービスを求めるリクエストを送信する。このリクエストは、上述のステップS801で説明したものと同様である。
ステップS902で、外部サーバ121は、ステップS901で要求されたサービスが、モバイル端末101のユーザの個人情報を必要とするか否かを判定する。外部サーバ121は、個人情報を必要とする場合(ステップS902で「YES」)に、処理をステップS903に進め、個人情報を必要としない場合(ステップS902で「NO」)に、処理をステップS906に進める。ステップS906で、外部サーバ121は、モバイル端末101からのリクエストに応答して、モバイル端末101にサービスを提供する。個人情報を必要とするサービスとして、例えば品物の発送(氏名、住所、電話番号等が必要となる。)や、決算処理(氏名、クレジットカード番号等が必要となる。)がある。
ステップS903で、外部サーバ121は、サービスの提供に必要な個人情報の入力をモバイル端末101に要求する。ステップS904で、外部サーバ121は、モバイル端末101からトークンを受信する。
ステップS905で、外部サーバ121は、ステップS904で受信したトークンが正当か否かを判定する。外部サーバ121は、トークンが正当である場合(ステップS905で「YES」)に、処理をステップS906に進め、トークンが正当でない場合(ステップS905で「NO」)に、処理をステップS907に進める。トークンの正当性の判定は、ステップS505と同様である。
ステップS906で、外部サーバ121は、トークンが正当である場合に、トークンに含まれる個人情報を利用して、モバイル端末101にサービスを提供する。外部サーバ121は、トークンから個人情報を取得する代わりに、トークン発行サーバ114からモバイル端末101のユーザの個人情報を取得してもよい。この場合に、トークンは、外部サーバ121が必要とする個人情報の種類のみを有し、個人情報の内容を含まなくてもよい。外部サーバ121は、トークン発行サーバ114から個人情報を取得するために、ステップS904で受信したトークンをトークン発行サーバ114へ送信してもよい。トークン発行サーバ114は、外部サーバ121から受信したトークンが自身で発行したものである場合に、外部サーバ121に個人情報を提供する。 ステップS907で、外部サーバ121は、トークンが正当でない場合に、個人情報が入力されなかったものとしてリクエストに応答し、モバイル端末101にエラーを返す。
上述の実施形態では、モバイル端末101のユーザは、自身の個人情報を信頼できる外部サーバ121に、必要な範囲で提供できるとともに、トークン発行サーバ114において自身の個人情報を一元管理できる。また、外部サーバ121の管理者は、モバイル端末101のユーザの個人情報を自身で管理する必要がないので、漏えい事故などのリスクを減らせる。さらに、外部サーバ121の管理者は、取得した個人情報が正しいこと(少なくとも、個人情報管理者によって管理された情報であること)を識別できる。
本発明は上述の実施形態に制限されるものではなく、本発明の精神及び範囲から離脱せずに様々に変更及び変形できる。以下に添付する請求項によって本発明の範囲を開示する。
【0001】
技術分野
[0001]
本発明は、サーバ及びプログラムに関する。
背景技術
[0002]
近年、ユーザがサービスを利用する際にユーザ認証が必要となる場合がある。ユーザ認証の一例では、ユーザがモバイル端末を通じて、サービスの提供先のサーバにトークンを送信し、サーバ側でそのトークンの正当性を判定する。このトークンを提供とする方法として、ICチップやUSBキー等の専用のハードウェアを利用するものや、モバイル端末にインストールされるソフトウェアを利用するものが知られている。
発明の概要
[0003]
トークンを専用のハードウェアで提供する方法では、このハードウェアを紛失した場合に認証が行えなくなる。一方、トークンをソフトウェアで提供する方法では、モバイル端末へソフトウェアをインストールする必要がある。いずれの方法でも、モバイル端末のユーザの利便性が低い。本発明の一部の実施形態は、ユーザにとって利便性の高いトークンの割り当て方式を提供する。
[0004]
本発明の一部の側面では、モバイルネットワーク内に配置され、モバイル端末にトークンを提供するサーバであって、ネットワークインタフェースと、前記ネットワークインタフェースに結合された処理部とを備え、前記処理部は、モバイル端末からトークンを求めるリクエストを受信し、前記リクエストを前記モバイルネットワーク経由で受信したかを判定し、前記リクエストを前記モバイルネットワーク経由で受信した場合に、前記モバイル端末とのセッションに基づいて前記モバイル端末の加入者識別情報を取得し、前記加入者識別情報に関連付けられたユーザプロファイルを含み、電子署名が付されたトークンを取得し、前記トークンを前記モバイル端末へ送信し、前記リクエストを前記モバイルネットワーク以外を経由して受信した場合に、前記トークンを送信しないことを前記モバイル端末に通知するように構成されることを特徴とするサーバが提供される。
[0005]
本発明のその他の特徴及び利点は、添付図面を参照とした以下の説明により明らかになるであろう。なお、添付図面においては、同じ若しくは同様の

Claims (12)

  1. モバイル端末にトークンを提供するサーバであって、
    ネットワークインタフェースと、
    前記ネットワークインタフェースに結合された処理部とを備え、
    前記処理部は、
    モバイル端末からトークンを求めるリクエストを受信し、
    前記モバイル端末の加入者識別情報を取得し、
    前記加入者識別情報に関連付けられたユーザプロファイルを含み、電子署名が付されたトークンを取得し、
    前記トークンを前記モバイル端末へ送信する
    ように構成されることを特徴とするサーバ。
  2. 前記サーバは、モバイルネットワーク内に配置されることを特徴とする請求項1に記載のサーバ。
  3. 前記処理部は、
    前記リクエストを前記モバイルネットワーク経由で受信したかを判定し、
    前記リクエストを前記モバイルネットワーク経由で受信した場合に、前記トークンを前記モバイル端末へ送信し、
    前記リクエストを前記モバイルネットワーク以外を経由して受信した場合に、前記トークンを送信しないことを前記モバイル端末に通知する
    ようにさらに構成されることを特徴とする請求項2に記載のサーバ。
  4. 前記処理部は、
    前記リクエストを前記モバイルネットワーク経由で受信したかを判定し、
    前記リクエストを前記モバイルネットワーク経由で受信した場合に、前記モバイル端末とのセッションに基づいて前記加入者識別情報を取得し、
    前記リクエストを前記モバイルネットワーク以外を経由して受信した場合に、前記モバイル端末に対して認証処理を行うことによって前記加入者識別情報を取得する
    ようにさらに構成されることを特徴とする請求項2に記載のサーバ。
  5. 前記サーバは、前記モバイルネットワーク経由のアクセスを着信する第1ネットワークインタフェースと、前記モバイルネットワーク以外を経由したアクセスを着信する第2ネットワークインタフェースとを備え、
    前記処理部は、前記リクエストが前記第1ネットワークインタフェースに着信したことに基づいて、前記リクエストを前記モバイルネットワーク経由で受信したと判定する
    ようにさらに構成されることを特徴とする請求項3又は4に記載のサーバ。
  6. 前記処理部は、
    前記モバイル端末の装置識別情報を取得し、
    前記装置識別情報が前記加入者識別情報に対応しない場合に、前記モバイル端末に前記トークンを送信しない
    ようにさらに構成されることを特徴とする請求項1乃至5の何れか1項に記載のサーバ。
  7. 前記ネットワークインタフェースにリンクローカルアドレスが割り当てられることを特徴とする請求項1乃至6の何れか1項に記載のサーバ。
  8. トークンを発行するサーバであって、
    ネットワークインタフェースと、
    前記ネットワークインタフェースに結合された処理部とを備え、
    前記処理部は、
    トークンの発行を要求するリクエストであって、モバイル端末の加入者識別情報を含むリクエストを要求装置から受信し、
    前記加入者識別情報に関連付けられたユーザプロファイルを取得し、
    前記ユーザプロファイルを含むトークンを生成し、
    前記トークンに対して電子署名を付与し、
    前記電子署名が付与されたトークンを前記要求装置へ送信する
    ように構成されることを特徴とするサーバ。
  9. 前記リクエストは、前記トークンが提供される宛先に関する情報を含み、
    前記処理部は、
    前記宛先に対して前記トークンを提供すべきかを判定し、
    前記宛先に対して前記トークンを提供すべきない場合に、前記トークンを前記要求装置へ送信しない
    ようにさらに構成されることを特徴とする請求項8に記載のサーバ。
  10. モバイル端末へサービスを提供するサーバであって、
    ネットワークインタフェースと、
    前記ネットワークインタフェースに結合された処理部とを備え、
    前記処理部は、
    前記モバイル端末からサービスを求めるリクエストを受信し、
    前記サービスが前記モバイル端末のユーザの認証又は個人情報を必要とする場合に、モバイルネットワーク内に配置され、前記モバイル端末にトークンを提供するサーバに前記リクエストをリダイレクトし、
    前記リクエストにトークンが含まれ、前記トークンが正当である場合に、前記モバイル端末に前記サービスを提供する
    ように構成されることを特徴とするサーバ。
  11. コンピュータを請求項1乃至10の何れか1項に記載のサーバの制御部として機能させるためのプログラム。
  12. モバイル端末であって、
    加入者識別情報が格納されたメモリと、
    ネットワークインタフェースと、
    前記メモリ及び前記ネットワークインタフェースに結合された処理部とを備え、
    前記処理部は、
    モバイルネットワーク内に配置された第1サーバに対して、前記加入者識別情報に関連付けられたユーザプロファイルを含むトークンを求めるリクエストを送信し、
    前記モバイル端末へサービスを提供する第2サーバへ、前記トークンを含むリクエストを送信する
    ように構成されることを特徴とするモバイル端末。
JP2017563431A 2016-01-26 2016-01-26 サーバ及びプログラム Active JP6526248B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2016/052175 WO2017130292A1 (ja) 2016-01-26 2016-01-26 サーバ、モバイル端末及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2017130292A1 true JPWO2017130292A1 (ja) 2018-12-20
JP6526248B2 JP6526248B2 (ja) 2019-06-12

Family

ID=59397882

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017563431A Active JP6526248B2 (ja) 2016-01-26 2016-01-26 サーバ及びプログラム

Country Status (7)

Country Link
US (2) US11201861B2 (ja)
EP (1) EP3410757B1 (ja)
JP (1) JP6526248B2 (ja)
CN (1) CN108496380B (ja)
HK (1) HK1254321A1 (ja)
SG (1) SG11201806343XA (ja)
WO (1) WO2017130292A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10542117B2 (en) 2015-09-03 2020-01-21 Verisign, Inc. Systems and methods for providing secure access to shared registration systems
US11329821B2 (en) 2015-12-28 2022-05-10 Verisign, Inc. Shared registration system
JP7185978B2 (ja) * 2018-07-03 2022-12-08 株式会社ソラコム 認証情報の設定を仲介するための装置及び方法
JP6892846B2 (ja) * 2018-07-25 2021-06-23 Kddi株式会社 認証用装置とサービス用装置とを含むコアネットワークシステムのユーザ認証方法
US10868808B1 (en) * 2018-10-16 2020-12-15 Sprint Communications Company L.P. Server application access authentication based on SIM
US11082451B2 (en) * 2018-12-31 2021-08-03 Citrix Systems, Inc. Maintaining continuous network service
US11070980B1 (en) 2019-03-25 2021-07-20 Sprint Communications Company L.P. Secondary device authentication proxied from authenticated primary device
US11657298B2 (en) 2019-04-19 2023-05-23 T-Mobile Usa, Inc. Card engine for producing dynamically configured content
EP3820106A1 (en) * 2019-11-07 2021-05-12 Nokia Solutions and Networks Oy Method and apparatus for provisioning of internet devices
US11483155B2 (en) * 2020-01-22 2022-10-25 T-Mobile Usa, Inc. Access control using proof-of-possession token
US11675773B2 (en) 2020-01-22 2023-06-13 T-Mobile Usa, Inc. Content management
US11481196B2 (en) 2020-01-22 2022-10-25 T-Mobile Usa, Inc. User interface for accessing and modifying development area content
US11601279B2 (en) * 2020-06-12 2023-03-07 Capital One Services, Llc Systems and methods for payment authentication

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130150000A1 (en) * 2010-02-12 2013-06-13 Alexander Hoi WONG Seamless mobile subscriber identification
JP2014013566A (ja) * 2012-06-18 2014-01-23 Canon Inc 情報処理装置と通信する画像形成装置
JP2014060784A (ja) * 2009-07-31 2014-04-03 Qualcomm Inc 信頼できるネットワークを介した信頼できないネットワーク上での認証のためのデバイス、方法、および装置
JP2015019379A (ja) * 2008-04-25 2015-01-29 ゼットティーイー コーポレーションZte Corporation キャリアグレードピアツーピア(p2p)ネットワークシステム及び方法

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4763726B2 (ja) * 2005-02-04 2011-08-31 クゥアルコム・インコーポレイテッド 無線通信のための安全なブートストラッピング
US8996423B2 (en) * 2005-04-19 2015-03-31 Microsoft Corporation Authentication for a commercial transaction using a mobile module
GB2458470A (en) * 2008-03-17 2009-09-23 Vodafone Plc Mobile terminal authorisation arrangements
US9379895B2 (en) * 2008-07-24 2016-06-28 Zscaler, Inc. HTTP authentication and authorization management
US8078870B2 (en) * 2009-05-14 2011-12-13 Microsoft Corporation HTTP-based authentication
US20120184242A1 (en) * 2009-10-01 2012-07-19 Rambus Inc. Methods and Systems for Enhancing Wireless Coverage
US8171529B2 (en) * 2009-12-17 2012-05-01 Intel Corporation Secure subscriber identity module service
US20110173105A1 (en) * 2010-01-08 2011-07-14 Nokia Corporation Utilizing AAA/HLR infrastructure for Web-SSO service charging
US8301141B1 (en) * 2010-08-26 2012-10-30 Sprint Communications Company L.P. Automatic profile updating for a wireless communication device
US8627422B2 (en) * 2010-11-06 2014-01-07 Qualcomm Incorporated Authentication in secure user plane location (SUPL) systems
US8863256B1 (en) * 2011-01-14 2014-10-14 Cisco Technology, Inc. System and method for enabling secure transactions using flexible identity management in a vehicular environment
KR20130007797A (ko) * 2011-07-11 2013-01-21 삼성전자주식회사 개방형 인증 방법 및 시스템
US8769626B2 (en) * 2011-11-29 2014-07-01 Cisco Technology, Inc. Web authentication support for proxy mobile IP
EP2792104B1 (en) * 2011-12-21 2021-06-30 SSH Communications Security Oyj Automated access, key, certificate, and credential management
US9529871B2 (en) * 2012-03-30 2016-12-27 Commvault Systems, Inc. Information management of mobile device data
CN104854893A (zh) * 2012-11-27 2015-08-19 瑞典爱立信有限公司 用于处理无线设备在Wi-Fi网络中的接入的系统
US9674219B2 (en) * 2012-12-17 2017-06-06 Telefonaktiebolaget Lm Ericsson (Publ) Authenticating public land mobile networks to mobile stations
US9294454B2 (en) * 2013-03-15 2016-03-22 Microsoft Technology Licensing, Llc Actively federated mobile authentication
EP3008935B1 (en) * 2013-06-12 2022-04-20 Telecom Italia S.p.A. Mobile device authentication in heterogeneous communication networks scenario
SG10201800629WA (en) * 2013-07-24 2018-02-27 Visa Int Service Ass Systems and methods for communicating risk using token assurance data
US9413749B2 (en) * 2013-08-20 2016-08-09 Vascode Technologies Ltd. System and method of authentication of a first party respective of a second party aided by a third party
JP6153168B2 (ja) * 2013-11-27 2017-06-28 日本電信電話株式会社 接続認証方法、そのシステムおよび端末
KR102144509B1 (ko) * 2014-03-06 2020-08-14 삼성전자주식회사 근접 통신 방법 및 장치
US9270758B2 (en) * 2014-03-31 2016-02-23 Cellco Partnership System for mobile application notary service
US9942043B2 (en) * 2014-04-23 2018-04-10 Visa International Service Association Token security on a communication device
EP3755025A1 (en) * 2014-06-23 2020-12-23 Samsung Electronics Co., Ltd. Method and apparatus for optimizing internet communications
EP3189414A4 (en) * 2014-08-22 2018-04-18 Priv8Pay, Inc. Verification system for secure transmission in a distributed processing network
US10050959B2 (en) * 2014-09-03 2018-08-14 Nanthealth, Inc. Synthetic genomic variant-based secure transaction devices, systems and methods
US9420463B2 (en) * 2014-09-30 2016-08-16 Sap Se Authorization based on access token
US9311811B1 (en) * 2014-10-08 2016-04-12 Google Inc. Alarm profile for a fabric network
CA3004755A1 (en) * 2014-11-10 2016-05-19 Investel Capital Corporation Mobile operator-mediated telephony-over-data system and implementation, and mobile smartphone-over-data device and computer-implemented environment therefor
KR102272838B1 (ko) * 2014-11-11 2021-07-06 삼성전자주식회사 이동통신 네트워크를 통한 데이터 서비스 제공 방법 및 장치
KR102315881B1 (ko) * 2015-01-09 2021-10-21 삼성전자주식회사 사용자 단말과 진화된 패킷 코어 간의 상호 인증
US10659443B2 (en) * 2015-01-23 2020-05-19 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatus for obtaining a scoped token
JP2016152471A (ja) * 2015-02-17 2016-08-22 日本電気株式会社 通信システム及び通信方法
US9887991B2 (en) * 2015-03-27 2018-02-06 Yahoo Holdings, Inc. Facilitation of service login
US9538378B2 (en) * 2015-04-01 2017-01-03 Verizon Patent And Licensing Inc. Controlling access to a long term evolution network via a non-long term evolution access network
EP3318002A1 (en) * 2015-07-03 2018-05-09 Telefonaktiebolaget LM Ericsson (publ) Method performed by a cache server for managing content requests
CN105072108B (zh) * 2015-08-04 2018-10-19 小米科技有限责任公司 用户信息的传输方法、装置及系统
EP3160176B1 (en) * 2015-10-19 2019-12-11 Vodafone GmbH Using a service of a mobile packet core network without having a sim card

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015019379A (ja) * 2008-04-25 2015-01-29 ゼットティーイー コーポレーションZte Corporation キャリアグレードピアツーピア(p2p)ネットワークシステム及び方法
JP2014060784A (ja) * 2009-07-31 2014-04-03 Qualcomm Inc 信頼できるネットワークを介した信頼できないネットワーク上での認証のためのデバイス、方法、および装置
US20130150000A1 (en) * 2010-02-12 2013-06-13 Alexander Hoi WONG Seamless mobile subscriber identification
JP2014013566A (ja) * 2012-06-18 2014-01-23 Canon Inc 情報処理装置と通信する画像形成装置

Also Published As

Publication number Publication date
EP3410757A1 (en) 2018-12-05
SG11201806343XA (en) 2018-08-30
US11201861B2 (en) 2021-12-14
EP3410757B1 (en) 2019-12-18
US20180351943A1 (en) 2018-12-06
WO2017130292A1 (ja) 2017-08-03
CN108496380A (zh) 2018-09-04
US11831629B2 (en) 2023-11-28
CN108496380B (zh) 2021-02-02
US20220060464A1 (en) 2022-02-24
EP3410757A4 (en) 2019-01-02
HK1254321A1 (zh) 2019-07-19
JP6526248B2 (ja) 2019-06-12

Similar Documents

Publication Publication Date Title
US11831629B2 (en) Server for providing a token
US20190173871A1 (en) Using application level authentication for network login
EP1998506B1 (en) Method for controlling the connection of a virtual network
US10754934B2 (en) Device, control method of the same, and storage medium
US8910300B2 (en) Secure tunneling platform system and method
CN102171984B (zh) 服务提供者访问
EP3120591B1 (en) User identifier based device, identity and activity management system
CN110800331A (zh) 网络验证方法、相关设备及系统
CN109428947A (zh) 权限转移系统及其控制方法和存储介质
US9344417B2 (en) Authentication method and system
JP2001350718A (ja) コンピュータネットワークシステム及び同システムにおけるセキュリティ保証方法
CN105554098A (zh) 一种设备配置方法、服务器及系统
US11165768B2 (en) Technique for connecting to a service
WO2018045798A1 (zh) 网络认证方法、相关装置
CN104426656A (zh) 数据收发方法及系统、消息的处理方法及装置
JP2016115260A (ja) 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム
US20120106399A1 (en) Identity management system
JP2018207472A (ja) ネットワークシステム
KR20120044381A (ko) 신원과 위치 정보가 분리된 네트워크에서 사용자가 icp 웹사이트에 로그인 하는 방법, 시스템 및 로그인 장치
CN106954214B (zh) 电子设备及其控制方法
JP6153622B2 (ja) インターネットプロトコルマルチメディアサブシステム端末のネットワークへのアクセス方法及び装置
CN103200147B (zh) 第三方业务的请求方法及装置
JP5632429B2 (ja) オープンな通信環境にクローズな通信環境を構築するサービス認証方法及びシステム
WO2013034108A1 (zh) 一种构建云服务的系统及方法
US20210385209A1 (en) Information communication method, information communication system and method

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180724

A529 Written submission of copy of amendment under article 34 pct

Free format text: JAPANESE INTERMEDIATE CODE: A5211

Effective date: 20180724

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180724

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190329

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190507

R150 Certificate of patent or registration of utility model

Ref document number: 6526248

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250