モバイルユーザーをトランスペアレントに認証してウェブサービスにアクセスする方法及びシステム
本発明は、パケットデータネットワーク(PDN)、例えばインターネットである第2ネットワークを介してアプリケーションサービスにアクセスするために、第1ネットワーク、例えばGPRS/GSMネットワークの加入者を認証するシステム及び方法に関する。本発明の好ましい態様によるシステムは、携帯電話網に接続されると共にデータパケット中に入れられたアクセス要求メッセージを生成する移動局MS(2)であって、前記アクセス要求メッセージはアプリケーションレベルのプロトコルに従ったシンタックスにより表される前記移動局MS(2)と;前記第2ネットワークにおけるアドレスを前記加入者(加入者のアドレス)に割り当てると共に、加入者のアドレスと加入者の第1の識別子との間のマッピングを与える割当てサーバーAAA(7)と;第1ネットワークと第2ネットワークをインターフェースすると共に加入者のアドレスをMS(2)に割り当てるゲートウェイ(6)、例えばGGSNと;エンドポイント局で生成されてゲートウェイ(6)を介して第2ネットワークに向けられたデータパケットをインターセプトすると共に、データパケット中の少なくとも加入者のアドレスを取得する、ゲートウェイ(6)にリンクされたサービス・トークン・インジェクターSTI(10)と;STI10にリンクされると共に、次の機能、すなわち、加入者のアドレスとアクセス要求メッセージを第1の論理エンティティから受信する機能、アクセス要求メッセージのアプリケーションレベルのプロトコルを認識する機能、加入者の第1の識別子を割当てサーバーに要求する機能、加入者の第2の識別子を含んだ認証トークンをアプリケーションレベルのプロトコルに従って生成する機能、及び認証トークンをアクセス要求メッセージに関連付ける機能を実行する身分証明局論理エンティティIA(9)と;を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はパケットデータネットワーク、例えばインターネットに対して第1ネットワークの加入者を識別するための認証方法及びシステムに関する。特に、本発明は、モバイルネットワークにおける加入者に関連付けられた加入者の識別を利用することにより、パケットデータネットワークに対するモバイルネットワークの加入者の認証に使用するために開発された。
【背景技術】
【0002】
遠く離れた場所からプライベート又はパブリックのパケットデータネットワーク(PDN)、例えば、インターネットにアクセスするユーザー数が非常に多くなってきている。加えて、場所に関わりなく人々に利用可能なマルチメディアサービスのビジョンの下で、パケット交換接続を用いた(例えばインターネットプロトコル(IP)を用いた)携帯電話網の開発を推進してきた。このことは、仮想接続がネットワークにおける他のエンドポイントに常に利用可能であることを意味する。パケットベースの無線通信サービスの規格としては、GPRS(General Packet Radio Service)、EDGE(Enhanced Data Rate for GSM Evolution)、及びUMTS(Universal Mobile Telecommunications Service)が挙げられる。
【0003】
近年は、コストの低下と増え続ける接続能力とにより、さらに高速度のデータ通信システムが顧客の敷地に設置されてきている。これらのデータ通信システムは、例えば公衆交換電話網(PSTN)の同じツイストペア銅線上で機能してインターネットに接続する。通常の電話線上でのインターネット接続は、他の高速モデムが使用されていても、デジタル加入者線(DSL)アクセス技術により行われる。DSLは加入者の家庭と最寄りの電話局との間で電話サービスを家庭に持ち込むのに用いられる標準的な銅線上における高速データ転送を可能にする専用モデムを使用する。いくつかのDSL通信スキーム(一般にxDSL技術と称される)があるが、商業的に利用可能な最も一般的な形式の一つは、下流への(すなわち加入者への)データ転送速度が上流への(すなわち加入者からの)データ転送速度よりも数倍速いADSL(非対称DSL)である。
【0004】
近年関心が示されてきた別のアクセス技術は、FTTH(Fibre-To-The-Home)であり、これは、光ファイバーが交換機から加入者の敷地まで設けられた高速広帯域アクセスシステムである。
【0005】
短距離の無線インターネット接続においては、無線能力が内蔵されたコンピュータ又はハンドセット(例えば、PDA)が、アクセスポイント又はゲートウェイの範囲内のどこでもデータを送受信するために無線技術を用いる。このアクセスポイントは、放送及び受信の基地局として機能すると共に、無線ネットワークと有線ネットワークとの間のインターフェースとして機能する。例えば、無線デバイスとアクセスポイントとの間の無線技術は、IEEE 802.11規格(Wi−Fi(登録商標)仕様)又はIEEE 802.16規格(WiMAX仕様)に基づくことができる。
【0006】
広帯域アクセス技術は、サービスプロバイダがコンテンツを拡充すると共にビジネスユーザーと家庭ユーザーの両方にサービス提供することを可能にしてきた。例えば、一人のユーザーは、1以上のサービスプロバイダから音声サービス、インターネットアクセスサービス、映像サービス、ゲームサービスなどの複数のサービス又はアプリケーションを申し込むことができる。プライベート又はパブリックPDN(例えば、インターネット)を介して利用可能なこれらのサービス及び/又はアプリケーションは、DSL線などの単一のネットワーク接続上で提供できる。
【0007】
一方、PDN上で利用可能な絶え間なく増大する数のサービスでは、ペイ・パー・セッション方式のサービス、加入申し込みが必要なサービス、又はユーザーのプロフィールに従ってカスタマイズされたサービスの場合には、許可されたユーザーにのみアクセスを許可している。従来のいくつかの認証手順では、パスワード、例えば自動手段により認識される文字列を使用することで、保護されたファイル、又は入力/出力デバイスにユーザーがアクセスすることを可能にする。
【0008】
出願人は以下のことを考慮した。第1に、もちろんパスワードを用いた認証システムはユーザーに対してトランスペアレントでなく、ユーザーはサービスに同意するときパスワードを入力しなければならない。このことは、ユーザーがセッション中に複数のサービスにアクセスすることを欲する場合には特に望ましくない。第2に、実装するのは技術的には簡単だけれども、パスワードは複製されやすく又は盗まれやすいので危うい。
【0009】
モバイル通信システムは、許可されたユーザーに対応する移動局により利用されるネットワークのリソースを制御する。従来のGSM(Global System for Mobile communications)では、移動局(MS)が加入者識別モジュール(SIM)を含み、このSIMは、MSがGSMシステムのネットワークインフラストラクチャにアクセスすることを許可するのに用いられるデータを含んだ加入者の情報を有する。SIMは個々の加入者を識別する固有の手段を与えるので、セキュリティデバイスとみることができる。SIMは暗号法と、外部から明確な形式にて決して明かされない秘密情報を記憶する固有の計算能力とを使用する。
【0010】
従来のGSMネットワークシステムでは、いくつかのデータベースが呼制御のためや認証及びセキュリティの目的のために利用可能であり、代表的なものとして、ホーム・ロケーション・レジスタ(HLR)、ビジター・ロケーション・レジスタ(VLR)、認証センター(AUC)、及び装置識別レジスタ(EIR)がある。ネットワークオペレータにより登録されたすべてのユーザーに対して、一時データ(ユーザーの現在の場所)だけでなく不変データ(ユーザーのプロフィールなど)もHLRに記憶される。ユーザーへの呼の場合、常に最初にHLRに問い合わせてユーザーの現在の場所を求める。VLRは一群の場所領域を担当し、担当領域内に現在いるユーザーのデータを記憶する。これは、より速いアクセスのためにHLRからVLRに転送された不変ユーザーデータの一部を含む。しかし、VLRは一時識別などのローカルデータを割り当てて記憶することもできる。AUCは認証及び暗号化に用いられるキーなどのセキュリティ関係のデータを生成し記憶し、一方EIRは加入者データではなくてむしろ装置データを登録する。
【0011】
GSMはユーザーと装置とを明確に区別し、それらを別々に扱う。いくつかの加入者及び装置の識別子が定義されているが、加入者の移動を管理する必要があり、また残りのネットワーク要素すべてをアドレス指定する必要もある。国際移動局装置アイデンティティ(IMEI)は一種のシリアルナンバーであり、国際的に移動局(MS)を一意的に識別する。IMEIは装置製造業者により割り当てられ、ネットワークオペレータにより登録される。ネットワークオペレータはそれをEIRに記憶する。登録された各ユーザー、すなわち加入者は、その国際モバイル加入者アイデンティティ(IMSI)により一意的に識別される。一般に、IMSIはSIM中に記憶される。有効なIMSIを有するSIMが有効なIMEIを有する装置に挿入された場合にのみ、MSを操作できる。移動局の「実際の電話番号」はモバイル加入者ISDN番号(MSISDN)である。これは、移動局セットがSIMに依存していくつかのMSISDNを有することができるように、加入者(すなわち、加入者のSIM)に割り当てられる。
【0012】
GPRS(General Packet Radio Service)はデジタル携帯電話網(例えば、GSM又はPCS(Personal Communication Service))のために設計され、当初はGSMのために開発されたサービスである。GPRSはパケットデータネットワーク、例えばインターネットへの無線アクセスを大いに改善し簡単にする。これは移動局と外部のパケットデータネットワークとの間でユーザーデータパケットを効率的に転送するためにパケット無線原理を適用する。パケットは、GPRS移動局から他のGPRS端末若しくはPDNに、又は他のGPRS端末若しくはPDNからGPRS移動局に直接ルーティングできる。インターネットプロトコル(IP)に基づいたネットワーク(例えば、グローバルインターネット又はプライベート/企業イントラネット)やX.25ネットワークは、現在のバージョンのGPRSでサポートされている。
【0013】
GPRSはネットワークリソースと無線リソースの使用を最適化し、GSMインフラストラクチャの設置されたモバイル・スイッチング・センター(MSC)ベースへの変化を要求しない。既存のGSMアーキテクチャーに統合するために、一般にGPRSアーキテクチャーはGGSN(Gateway GPRS Support Node)とSGSN(Serving GPRS Support Node)とを備える。GGSNはMSCと同じ階層レベルにあり、他のパケットデータネットワーク(例えばインターネット)へのゲートウェイとして機能する。SGSNはGPRS使用可能モバイルデバイスへの仮想接続及びデータの送出を可能にするサービングノードである。SGSNは移動局にデータを送信し移動局からデータを受信し、移動局(MS)の位置についての情報を維持する。SGSNはMSとGGSNとの間を通信する。
【0014】
一般にGPRSセキュリティ機能は既存のGSMセキュリティと同等である。SGSNは既存のGSMにおけるものと同じアルゴリズム、キー及び基準に基づいて認証及び暗号設定手順を実行する。GPRSはパケットデータ伝送のために最適化された暗号化アルゴリズムを用いる。
【0015】
GPRS所属が成功した後に外部PDNとデータパケットを交換するために、MSはPDNにおいて用いられる1以上のアドレス、例えばPDNがIPネットワークである場合にはIPアドレスに申し込まなければならない。このアドレスはPDPアドレス(パケットデータプロトコルアドレス)と称する。各セッションでは、セッションの特徴を記述するいわゆるPDPコンテキストが作られる。これは、PDPタイプ(例えば、IPv4)、移動局に割り当てられたPDPアドレス(例えば、164.130.10.10)、要求されるサービスの品質(QoS)、及びPDNへのアクセスポイントとして働くGGSNのアドレスを含む。このコンテキストはMS、SGSN、及びGGSNに記憶される。アクティブPDPコンテキストにより、移動局は外部のPDNに「見え」、データパケットを送信及び受信することができる。これら2つのアドレスであるPDPとIMSIとの間のマッピングにより、GGSNがPDNとMSとの間でデータパケットを転送することができる。ユーザーは所与の時間にアクティブないくつかの同時PDPコンテキストをもつことができる。
【0016】
特許出願第WO01/67716号には、モバイル端末のMSISDN番号を、無線アプリケーションプロトコル(WAP)ネットワークにおいて認証、ビリング及び個人化プロセスで使用するために一時的に割り当てられたIPアドレスと関連付ける方法が記載されている。
【0017】
特許出願第WO01/03402号には、第1ネットワーク(すなわち、GPRSネットワーク)の加入者を第2ネットワーク(例えば、IPネットワーク)において識別するための認証方法が記載されており、第2ネットワークのアドレスは加入者に割り当てられている。第2ネットワークのアドレス(例えば、IPアドレス)と加入者のアイデンティティとの間のマッピングについての情報が生成され、第2ネットワークに送信される。この加入者のアイデンティティは、加入者のIMSI及び/又はMSISDNとし得る。
【0018】
出願人が分かったことは、加入者のアイデンティティをIPアドレスに関連付けることによってIPネットワークへのアクセスを認証することは、一般にIPパケットの偽装に弱く、インターネット上の侵入者がローカルシステムのIPアドレスを有効に装うことを可能にしていることである。加えて、これら2つのネットワークは(ルーティング可能なプライベートIPアドレスを利用して)どちらかを直接接続するか、又は互換性のあるアドレス計画を必要とする。
【0019】
特許出願第WO01/17310号には、GSMセキュリティ原理を適用することによってPDNへのアクセスを要求しているユーザーを認証するシステムが記載されている。遠隔のホストがアクセスネットワークを介してPDNに接続され、MSがPDNに接続されたモバイルネットワークにつながれている。PDNへのユーザー要求を受信すると、PDNは認証トークンを生成してアクセスネットワーク及び遠隔ホストを介してユーザーに送信し、ユーザーは認証トークンをモバイルネットワーク上にてPDNに送り戻す。その際、PDNは認証トークンを比較してPDNへのユーザーアクセスを認めるか否かを決める。
【0020】
出願人は、開示されている認証システムはユーザーにトランスペアレントではなく、ユーザーは認証を待たなければならず、また受信した認証トークンをPDNに送り戻さなければならないことが分かった。さらに、遠隔のサーバーはユーザーの電話番号を知らなければならないので、開示されたシステムはユーザーのプライバシーを危うくし得る。
【0021】
米国特許出願第2004/0132429号には、モバイル端末プログラミング又はなんらかのPOP3若しくはSMTPパラメータについて特別の知識なしに、モバイル通信ネットワークを介して電子メールアカウントにアクセスする方法及びシステムが開示されている。モバイル端末はデフォルトのPOP3/SMTPサーバーアドレスを用いて予め構成される。電子メールアカウントにアクセスするため、標準的なPOP3/SMTPを用いるモバイルネットワークを介してモバイル端末クライアントとプロクシーサーバーとの間に通信が確立される。ユーザーは単にユーザーのMSISDNに基づいて電子メールアカウントへのアクセスが許可され得る。
【0022】
UMTS(Universal Mobile Telecommunications Service)はGSM/GPRSネットワークの直接的な発展であると見ることができる。UMTSのセキュリティ機能は、GSMにおいて実装されたもの(例えば加入者の認証など)に基づいているが、これらのセキュリティ機能のいくつかは追加されたものであり、いくつかの既存のものは改良されてきた。
【0023】
パケット交換は、メッセージデータの比較的短いブロックであるデータパケットを利用する。パケットは非同期転送モード(ATM)におけるように固定長としてもよいし、フレームリレー若しくはインターネットプロトコル(IP)におけるように可変長としてもよい。望ましいシナリオの一つは、パケット交換無線ネットワークインフラストラクチャがインターネット電話をサポートする。インターネット電話又はIP電話は、インターネット能力とPSTN機能を融合するアプリケーション類である。IP電話アプリケーションは、インターネットインフラストラクチャ上でのリアルタイムの音声トラヒックの伝送と、既存のPSTNインフラストラクチャとのシームレスの統合とを可能にする。IP電話は音声呼(一般にVoIP(Voice over IP)と称する)に主に焦点を当てているが、ファックス、映像及びモデムデータなどの他の音声帯域又はマルチメディアアプリケーションを送るのにも使用できる。
【0024】
IP電話をサポートするために開発されたプロトコルはSIP(セッション・イニシエーション・プロトコル(Session Initiation Protocol))である。SIPは、マルチメディアセッションの設定、変更、及び解除を扱うための送信プロトコルであり、それと共に用いられるプロトコルと共同で、潜在的なセッション参加者に対する通信セッションのセッション特性を記述する。これらのセッションとしては、インターネットマルチメディア会議、インターネット電話呼及びマルチメディア配信が挙げられる。セッションを創出するのに用いられるSIP送信勧誘は、1組の互換性のあるメディアタイプについて参加者が合意することを可能にするセッション記述を伝える。SIPはユーザーの現在の場所に要求をプロクシーする又は再送することによってユーザーの移動性をサポートする。通常、通信セッション中にマルチメディア(オーディオ、音声又はデータ)を交換するのにリアルタイムプロトコル(RTP)が用いられるが、SIPにより任意のトランスポートプロトコルを使用できる。SIPはクライアント-サーバーモデルを使用し、該モデルではクライアントはSIP要求を起こし、その要求にサーバーが応答する。SIPでは、エンドポイントエンティティはユーザーエージェントと称され、クライアント(ユーザーエージェントクライアント)、すなわちSIP要求の創出者と、応答を返すサーバー(ユーザーエージェントサーバー)との両方である。
【0025】
SIPはインターネットにおいて利用されているが、インターネットは、SIP要素とメッセージがセキュリティについて様々な脅威及び攻撃にさらされ得る不利な環境と考えられる。SIPベースのシステムでは、認証手段は、アプリケーション層、トランスポート層及びネットワーク層を含めて種々の層にて有効にし得る。
【0026】
H.Tschofenigら「Using SAML for SIP」〔2004年8月31日現在インターネット(http://www.ietf.org/internet−dratfs/draft−tschofenig−sip−saml−00−txt)からダウンロードされる〕には、許可機構を提供するためにSIPと共同でSAML(Security Assertion Markup Language)を使用する方法が提案されている。強化ネットワーク・アサート・アイデンティティのシナリオが記載されており、この強化は認証サービス(AS)によりアサートされた属性に基づいている。第2のユーザーと通信することを欲する第1のユーザーがSIP INVITEを好ましいASに送信する。選ばれたSIPセキュリティ機構に依存して、ダイジェスト認証、S/MIME又はトランスポート層セキュリティが、ASに第1のユーザーのアイデンティティについての強い確信を付与するのに用いられる。第1のユーザーが認証され許可された後、SAMLアサーションがSIPメッセージに添付される。
【0027】
インターネット上で提供を開始するサービスの数がますます増加しているので、これらのサービスにアクセスするために効果的で安全なシングル・サイン・オン(SSO)機構を提供できることが重要になってきた。しばしば、インターネット上で提供されるサービスは、互いに遠く離れた場所にある複数のサーバー上に届けられる。SSO機構により、ユーザーは1又は少数のサーバー上で実施される認証手順を介して複数の遠隔サーバー上に届けられる複数のサービスを使用するために、ユーザーのアイデンティティ及び許可を認証できる。
【0028】
特許出願第WO01/72009号には、サービスにアクセスする許可を要求したユーザーにトークンが転送されるSSO認証機構が開示されている。このトークンはある期間の間だけ有効にし得る。認証関連の機能はサービスから分離され、セッション中に上記の複数のサービスから新しいサービスにアクセスするために認証を再調整する必要はない。トークンが転送される前に、ユーザーはサービスへのアクセスを許可してもらうためにユーザーの証明、例えばユーザー名及びパスワードを伝えることによって登録する。
【0029】
リバティ・アライアンス・プロジェクト(Liberty Alliance Project)は連合アイデンティティ及びアイデンティティベースのサービスのためのオープンな標準組織である。これはユーザーがリバティ・エネーブルド・サイト(Liberty-enabled site)にて一回サインオンし、再度の認証の必要なく別のリバティ・エネーブルド・サイトに進むときシームレスでサインオンすることを可能にするSSOの規格を提供する。「Liberty ID−WSF−Web Services Framework」〔http://www.projectliberty.org/resources/whitepapersに公開〕には、Liberty ID−WSFの構成要素の概要が示されている。メッセージ保護機構は、ウェブ・サービス・セキュリティ(WS−セキュリティ)仕様に従うSOAPヘッダーブロック中のSAMLアサーションの伝搬などのトークンベースの機構を含み得る。
【0030】
特許出願第WO2004/064442号には、国内ネットワークオペレータの連合(federation)を含む多国籍モバイルネットワークオペレータのパケット無線ネットワークにおけるユーザーローミングのためにSSOサービスを提供する電気通信方法及びシステムが開示されており、これらの国内ネットワークオペレータの一つがユーザーの契約を保持している。この電気通信システムは、当該連合に含まれる任意の国内ネットワークオペレータの加入者であるユーザーにSSOサービスを提供するために、多国籍モバイルネットワークオペレータ連合とサービス協定を締結した幾つかのサービスプロバイダを更に含む。各サービスプロバイダは、該連合におけるエントリーポイントとしてグローバルSSOフロントエンドインフラストラクチャにユーザーをリダイレクトするための手段;認証アサーション(SAMLアサーション)又はそのレファレンスであるトークンをユーザーから受信するための手段;アサーションが生成されたサイトからアサーションを取り出すための手段;及びこのサイトが信用できることを調べるための手段を備える。
【0031】
米国特許出願第2003/0163733号には、サービスプロバイダにアクセスしているユーザー(このユーザーは第1のモバイルネットワークオペレータとの契約を有する)を、前記第2のモバイルネットワークオペレータとの協定を有する第2のモバイルネットワークオペレータの認証ブローカーに向けてリダイレクトするための手段を備えた電気通信システムが開示されている。第1及び第2のモバイルネットワークオペレータは連合に属しており、認証ブローカーは認証プロバイダに向かう連合のエントリーポイントとして機能する。ユーザーは、SSOサービス要求を実行するために認証プロバイダに明確なアイデンティティ、例えば、MSISDN/IMSIを提示する。
【特許文献1】特許出願第WO01/67716号
【特許文献2】特許出願第WO01/03402号
【特許文献3】特許出願第WO01/17310号
【特許文献4】米国特許出願第2004/0132429号
【特許文献5】特許出願第WO01/72009号
【特許文献6】特許出願第WO2004/064442号
【特許文献7】米国特許出願第2003/0163733号
【発明の開示】
【発明が解決しようとする課題】
【0032】
発明の概要
本発明はパケットデータネットワーク(PDN)である第2ネットワークを介してアクセス可能なアプリケーションサービスにアクセスするために第1ネットワークの加入者を認証する方法及びシステムに関する。アプリケーションサービスとは、この場合にはトランスポートレベルより上のレベル(1つ又は複数)として表すことができるアプリケーションレベルにて定義されるサービスを意味する。特に、アプリケーションレベルは、OSI(Open System Interconnection)モデルにおいて定義されたレイヤ7、又はTCP/IPモデルによるレベル5により(非限定的に)表すことができる。アプリケーションサービスの例はウェブサービスであり、これは一般にHTTP GET/POST、SMTP、又はSOAP over HTTP、ウェブサイト(一般にブラウザを使用してアクセスされる)又はVoIPなどのプロトコルを用いてクライアントアプリケーションにより消費される。
【0033】
出願人はGSMネットワークなどの第1ネットワークの加入者は当該ネットワーク内で高レベルのセキュリティで認証されることに気付いた。
【0034】
出願人は第1ネットワークが固定回線アクセスネットワークである場合には当該ネットワーク内で高レベルのセキュリティで加入者のアイデンティティを確認できることに更に気付いた。xDSL技術の場合のように固定アクセスネットワークが公衆交換電話網(PSTN)と共有の有線回線を使用する場合には、顧客敷地装置(CPE)とPDNへのゲートウェイとの間の通信において、一般には専用の安全な有線リンク、例えば標準的な銅製の電話線又は光ファイバーが用いられる。
【0035】
Wi−Fi(登録商標)接続などの無線接続は従来からPDNへの無線リンクに起因して相対的に低レベルのセキュリティを特徴としてきたが、近年はネットワークアクセスの相対的に高レベルのセキュリティを保証する解決策が提案されている。高レベルのセキュリティの解決策の例はIEEE 802.11iセキュリティ規格であり、これは例えばD.Halaszの「IEEE 802.11i and wireless security」〔2005年9月20日現在、インターネットのhttp://www.embedded.com/showArticle.jhtml?articleID=34400002からダウンロードできる〕に記載されている。
【0036】
出願人はPDNを介してアプリケーションサービスが機能するアプリケーションレベルにて加入者を認証するために、第1ネットワークにおいて定義された加入者アイデンティティを使用できることを見いだした。特に、本発明によると、加入者をトランスペアレントに認証してアプリケーションサービスにアクセスさせることができる。
【課題を解決するための手段】
【0037】
本発明の好ましい態様では、PDNを介してサービスを要求する加入者の第1ネットワークはパケット交換モバイルネットワークである。さらに好ましくは、このパケット交換モバイルネットワークはGSMに基づいたGPRS規格である。通常、PDNはモバイルネットワークの外部のネットワーク、例えばIPネットワークである。同様に、アプリケーションサービスをホストするアプリケーションサーバーは、加入者がセッションを開始する場所から同一のモバイルネットワーク内でホストされるが、該サーバーは外部のPDNを介してアクセスされる場合にも、本発明が同様に適用される。例えば、アプリケーションサーバーはモバイルオペレータのVAS(Value-Added Service)プラットフォーム内に存在し得、これはIPネットワークにより提供される。特に、PDNはサービスプロバイダのプライベート又はパブリックのネットワークとし得る。
【0038】
本発明の別の態様では、PDNを介してサービスを要求する加入者の第1ネットワークは固定アクセスネットワークであり、この場合、加入者はPCにリンクされたDSLモデムや周辺デバイス(例えば電話ハンドセット又はTVセットトップボックス)にリンクされた住宅ゲートウェイなどの顧客敷地装置(CPE)を用いることによってPDNにアクセスする。CPEは専用電話回線、専用光ファイバー又はIEEE 802.11iセキュリティ規格に組み込まれた無線接続などの相対的に安全な有線回線又は無線リンクによって固定アクセスネットワークにアップリンクされる。
【0039】
本発明の好ましい態様によると、固定アクセスネットワークはxDSLアクセスネットワークである。
アプリケーションサービス(以下、サービスともいう)にアクセスする要求は、アプリケーションレベルにて定義されたアクセス要求メッセージの形式を有する。
【0040】
本発明の一態様は、パケットデータネットワーク(PDN)である第2ネットワークを介してアプリケーションサービスにアクセスするために第1ネットワークの加入者を認証する方法であって、アプリケーションサービスへの前記アクセスが、データパケット中に入れられたアクセス要求メッセージの形式で行われ、前記データパケットが、前記加入者(加入者のアドレス)に割り当てられた前記第2ネットワークにおけるアドレスと、アプリケーションレベルのプロトコルに従ったシンタックスにより表された前記アクセス要求メッセージとを含み、前記方法が:
a)第2ネットワークへのアクセス要求メッセージをインターセプトし;
b)前記アプリケーションレベルのプロトコルを認識し;
c)第1ネットワークにおける前記加入者のアドレスと加入者の第1の識別子との間のマッピングを与え;
d)加入者の第2の識別子を含んだ第1認証トークンを生成し;
e)前記第1認証トークンを前記アクセス要求メッセージに関連付け、そして
f)関連付けられた前記第1認証トークンと共にアクセス要求メッセージを第2ネットワークに送信する;
工程からなることを特徴とする方法に関する。
【0041】
本発明の別の態様は、パケットデータネットワーク(PDN)である第2ネットワークを介してアプリケーションサービスにアクセスするために第1ネットワークの加入者を認証するシステムであって、
第1ネットワークにつながれると共に、データパケット中に入れられたアクセス要求メッセージを生成する加入者局であって、前記アクセス要求メッセージはアプリケーションレベルのプロトコルに従ったシンタックスにより表される前記加入者局と;
前記第2ネットワークにおけるアドレスを前記加入者(加入者のアドレス)に割り当てると共に、加入者のアドレスと第1ネットワークにおける加入者の第1の識別子との間のマッピングを与える割当てサーバーと;
アクセス要求メッセージを加入者局から受信する機能、第1ネットワークと第2ネットワークをインターフェースする機能、及び前記加入者のアドレスを加入者局に割り当てる機能を実行するゲートウェイと;
加入者局で生成されてゲートウェイを介して第2ネットワークに向けられたデータパケットをインターセプトすると共に、データパケット中で少なくとも前記加入者のアドレスを取得する、ゲートウェイにリンクされた第1の論理エンティティと;
第1の論理エンティティにリンクされると共に、下記機能、すなわち:
加入者のアドレス及びアクセス要求メッセージを第1の論理エンティティから受信する機能、
アクセス要求メッセージの前記アプリケーションレベルのプロトコルを認識する機能、
前記加入者の第1の識別子を割当てサーバーに要求する機能、及び
加入者の第2の識別子を含んだ第1認証トークンを前記アプリケーションレベルのプロトコルに従って生成する機能、
を実行する第2の論理エンティティと;
を備え、第1の論理エンティティ又は第2の論理エンティティが前記認証トークンをアクセス要求メッセージに関連付けることを特徴とするシステムに関する。
【発明を実施するための最良の形態】
【0042】
詳細な説明
図1は本発明の好ましい態様を示す。図1の態様では、第1ネットワークがGPRSシステムであり、第2ネットワークがIPネットワーク12である。図1の態様は、GPRSネットワークの加入者が、加入者の移動局(MS)2からIPネットワークを介して、アプリケーションサーバー11においてホストされるウェブサイトにてサービスにアクセスすることを欲している代表的なシナリオを表すことができる。MS2は基地局(BTS)3に無線接続され、基地局(BTS)3は基地局コントローラ(BSC)4に接続する。一般にBTSとBSCとの結合機能は基地局サブシステム(BSS)と称される。そこから、サービスGPRSサポートノード(SGSN)5がGGSNにアクセスし、GGSNはデータネットワーク(この場合にはIPネットワーク12)へのゲートウェイとして働く。SGSN5は一般に既存のGSMと同じアルゴリズム、キー及び基準に基づいた認証及び暗号設定手順を実行する。
【0043】
携帯電話であり得るMS2は加入者識別モジュール(SIM)を含み、加入者識別モジュール(SIM)は識別及び認証情報を持っており、それによって携帯電話網がMS端末を携帯電話網内で識別して該電話網内で機能することを許可することができる。
【0044】
GPRSデータを送信及び受信するために、MS2はサービスにアクセスするのに用いるパケットデータアドレス、すなわち、この態様ではIPアドレスをアクティブにする必要がある。加入者がサービスを要求するとき、MS2は、終端がGGSN6にある無線ネットワーク上に要求を送信する。特定のプロトコルを用いて、GGSNはそれ自体は公知の認証−許可−課金(AAA)サーバー7に要求を送信する。AAAサーバーは例えばリモート認証ダイアルイン・ユーザー・サービス(RADIUS)サーバー又はダイナミック・ホスト・コンフィグレーション・プロトコル(DHCP)サーバーとし得る。AAAサーバーがRADIUSサーバーである場合、GGSNはRADIUSプロトコルを用いてAAAサーバーと通信するためにRADIUSクライアントを備える。標準的なGPRS手順に従い、AAAサーバーはネットワークアクセス識別子(NAI)又は国際モバイル加入者アイデンティティ(IMSI)などのいくつかの属性に基づいて加入者を認証することができる。IMSIは特定の加入者に一義的に関連付けられた識別番号である。一般にIMSIはモバイルネットワークオペレータにより割り当てられ、考えられる特定の加入者に対するビリング及びサービス提供を追跡する。一般にIMSIはSIM中に保持される。
【0045】
別法として、モバイルネットワークにおいて加入者を識別するために移動局国際ISDN番号(MSISDN)を使用できる。しかし、より多くのMSISDN、すなわち電話番号を同じIMSIに関連付けることができるので、IMSIは好ましい(しかし限定するものではない)加入者の識別子である。
【0046】
AAAサーバーはIPアドレスをMSに割り当て、それをGGSNに戻す。GGSNはこのIPアドレスをMSに割り当てる。アドレス割当てに用いられるプロトコルはGPRSネットワークに特有のものであり、一般にPDPコンテキスト・アクティべーションといわれる。AAAはデータベースを含み、該データベースでは割り当てられたIPアドレスが加入者のアイデンティティ、例えばIMSIに関連付けられる。
【0047】
例では1つのIPアドレスがMS2に割当てられているが、GGSNにより1より多いIPアドレスを同じMSに割当てることが可能なことも分かる。この場合、GPRS仕様に従い、GGSNはMSに関連付けられたアクティブ接続(PDPコンテキスト)についての情報を記憶することができると共に、データパケット伝送においてMSにより用いられるIPアドレスがGGSNによりMSに割り当てられたIPアドレスの1つであるか否かを確認することができる。
【0048】
GPRS−GSMネットワークのSGSN5、GGSN6及びAAA7が、GSMセキュリティスキームを特徴とする同じドメイン内にあることに留意されたい。
【0049】
本発明の好ましい態様によると、論理エンティティ(ソフトウェアモジュール)10(以下、セキュリティ・トークン・インジェクター(STI)という)がGGSN6に論理的にリンクされる。STIはGPRS/GSMネットワークから入ってくるトラヒックを制御するよう配置される。特に、STIは、移動局で生成されてGGSN6を介してIPネットワーク12に向けられたデータパケットをインターセプトする。
【0050】
データパケット(例えば、インターネットパケット)は、コアデータと、必要なアドレスと、ネットワークがデータを正しい宛先に送ることができるように添付された管理情報とからなるブロックである。データパケットはアプリケーションにより与えられたコアデータをもって出発する。コアデータはいくつかのヘッダーの層で包まれ、これらの層はOSIモデルに従って記述できる。この(非限定的な)説明では、各層はデータパケットがカプセル化として公知の機構を通過する際にデータパケットを変更する。コアデータは、アプリケーションレベルのプロトコルに従ったシンタックスにより表されるアプリケーションレベルのメッセージを含む。アプリケーションレベルのプロトコルの例は、FTP(ファイル転送プロトコル)、HTTP(ハイパーテキスト転送プロトコル)、SOAP(シンプル・オブジェクト・アクセス・プロトコル)又はSIPである。
【0051】
サービス又はサービス機能又はオペレーションへのアクセスを要求するアプリケーションレベルのメッセージは、このコンテキストではアクセス要求メッセージと称する。このコンテキストでは、アクセス要求メッセージは、必ずしもセッション開始時でのサービスへの同意の要求を記述するものではなく、サービスにより与えられる機能又はオペレーションへのアクセス要求をも記述する。SIPにおけるアクセス要求メッセージの例はINVITEメッセージであり、ユーザー・エージェント・クライアントがセッション(例えば、オーディオ、ビデオ、又はゲーム)を開始することを望むとき、INVITE要求を策定する。INVITE要求はサーバーにセッション(例えば、音声呼)を開設することを求める。別の例では、ウェブページが要求されたとき、所望のデータ、例えば、URLを取り出すのに必要な情報と共に「get」メッセージが作られる。「get」メッセージを保持するアプリケーションレベルのプロトコルは例えばHTTPである。この場合、「get」メッセージはHTTP GETヘッダーを含み、これはアプリケーションレベルでのサービス(この場合、インターネットを介してウェブページを検索するサービス)へのアクセス要求メッセージの一例である。
【0052】
インターネットが実行されるプロトコル・スタックはインターネット・プロトコル・スイート(広く用いられている2つのプロトコル:伝送制御プロトコル(TCP)及びインターネットプロトコル(IP)にちなんでTCP/IPスイートともいう)により記述できる。TCP/IPスイートのプロトコルセットはOSI7層モデルの5層をカバーする。TCP/IPスイートを用いることにより、一般にメッセージはアプリケーションヘッダー(実際には一般に複数のヘッダーからなる)とアプリケーションレベルのボディ(又はペイロード)との両方に埋め込まれる。ヘッダーはアプリケーションレベルのプロトコルに従って規格化されたフォーマットを有する一方、ペイロードはアプリケーションによる情報を含み、データは標準的なヘッダー又はフォーマットに準拠していない。HTTPにおけるヘッダーの例は、GETメッセージなどのメッセージのタイプ、及び要求されるウェブページのURLである。次の層はトランスポート層であり、トランスポート層はTCP又はユーザー・データグラム・プロトコル(UDP)において一般に定義されたヘッダー層を追加する。ネットワーク層(IP層としても公知のインターネットにおいて)では、ヘッダー(IPヘッダー)は、ソースから宛先へのパケットを得るのに必要な、ソースアドレスと宛先アドレス、すなわちマシン番号を含んだ情報を含む。
【0053】
STI10は少なくともネットワークレベルにて動作し、GGSN6を出て行くデータパケットを捕まえる。もしSTIがネットワークレベルでのみ、又は単にトランスポートレベルまでで動作するならば、GGSNを出て行き(そしてIPネットワークに向かう)データパケットすべてを捕らえる必要がある。というのは、データパケット中に保持されたアプリケーションメッセージを識別できず、例えば、それがアクセス要求メッセージであるか否か、及びそのアプリケーションレベルのプロトコル上にメッセージが保持されているか否かを識別できないからである。STIがアプリケーションレベルでも動作する場合には、アクセス要求メッセージを識別し、異なるアプリケーションレベルのプロトコルを区別することができる。例えば、もしアプリケーションレベルでも動作するならば、SIPアクセス要求メッセージのみをインターセプトして他のプロトコルで生成されたメッセージは通すようにSTIをプログラミングできる。
【0054】
STIモジュールを実現するのに用いることができる技術の一つは、アプリケーションレベルのファイアウォールの技術である。市販のアプリケーション認識型ファイアウォールの例はCisco PIX、Check Point Firewall−1(登録商標)及びXtradyneのWS−DBCである。
【0055】
アクセス要求メッセージを保持しているデータパケットにおいてSTIがインターセプトしなければならない最小情報は、ネットワークレベルでの加入者のアドレス、例えばインターネットにおいて加入者に(すなわち、MSに)割り当てられたIPアドレスについての情報である。一般に、STIは後で詳細に説明するように認証プロセスの終わりにメッセージを保持したデータパケットを送信するために宛先アドレスの情報を必要とするであろう。好ましくは、この情報はデータパケットをインターセプトするときにSTIにより抽出される。しかし、これは非限定的な特徴であり、STIは認証システムが定義した宛先アドレス(複数可)にメッセージを転送するよう構成することもできる。宛先アドレスは必ずしもメッセージが向けられたアプリケーションサーバーのアドレスではないことに留意されたい。例えば、SIPプロトコルによると、メッセージをSIPプロクシーに向けることができ、SIPプロクシーがメッセージヘッダーに含まれたアプリケーションレベルのアドレスにおいて指定されたアプリケーションサーバーに対してメッセージをアドレス指定する。
【0056】
STI10により捕らえられたデータパケット中に含まれる情報の少なくとも一部は、アプリケーションレベルにて動作するソフトウェアコンポーネント9(身分証明局(IA)という)に送られる。IAは外部のPDN、すなわちIPネットワーク12にアクセスする加入者のアイデンティティの管理を担当する。IAは少なくとも加入者のIPアドレスと、アクセス要求メッセージのアプリケーションレベルのプロトコルについての情報とをSTIから受信する。この後者の情報は、データパケットをSTIから(STIがネットワーク/トランスポートレベルまででのみ動作する場合には「閉じたエンベロープ」として)受信することにより、又はSTIがアプリケーションレベルでも動作する場合にはプロトコルの種類(例えば、SOAP、HTTP、SIP)などの特定の情報を受信することにより得ることができる。アプリケーションレベルで動作するSTIから受信する他の情報としては、メッセージタイプ(例えば、INVITE又はREGISTER)や要求されるサービスのユニバーサル・リソース識別子(URI)、例えばウェブページのURLが挙げられる。
【0057】
IA9は、加入者のIPアドレスの知識をSTI10から取得すること、及び割り当てられたIPアドレスと加入者のアイデンティティ(複数も可)との間のマッピングを含んでいるAAA7に問い合わせて加入者のアイデンティティの知識を取得することによって、サービスを要求する移動局MS2(すなわち、加入者)を識別する。加入者のアイデンティティとして、好ましくはIMSIがIAにより抽出される。
【0058】
好ましくは、IAは加入者のアイデンティティ及び加入者の要求サービスに関連した情報を記憶する。サービスプロバイダが異なるプロトコル(例えば、電子メールアカウントにはPOP3、ウェブのナビゲーションにはHTTP)を用いてより多くのサービスを提供する場合には、要求されるサービスについての情報は、IPアドレス及び/又はサービスプロバイダのURI及び/又はサービスにより用いられるプロトコルであり得る。図2には、IAに記憶された情報を示す表が例示される。図示した表は、サービスプロバイダSP−1、SP−2等により特徴付けられた1以上のサービスにアクセスすることを欲する加入者A、B及びCにマッピングを提供する。図2の例では、加入者は加入者のIMSIにより識別される。好ましくは、仮名PSが加入者に対してIAにより作られ、例えば、加入者のIMSIに対応したPSが作られる。別法として、図2に示されるように、複数の仮名を1人の加入者に生成でき、この場合、各仮名は加入者により要求される特定のサービスを特徴付ける。後で明らかになるように、IMSIなどの機密データを開示することを避けるためには、仮名を生成するのが好ましい。
【0059】
例えば、IPアドレスを加入者に関連付けられたIMSIとマッピングすることによって加入者のアイデンティティを検証した後、IAはアクセス要求メッセージのアプリケーションレベルのプロトコルに従ってソフトウェアトークンを生成する。例えば、ウェブサービスに対するSOAPメッセージの場合、WS−セキュリティ仕様に従ってトークンを定義できる。トークンはアクセス要求メッセージ中に、例えばメッセージの既存のアプリケーションヘッダーに挿入されるフィールドとして、又はメッセージ中に加えられる新しいアプリケーションヘッダーとして、挿入される。
【0060】
STIがどのレベルで動作するかに依存して、トークンがIAによりメッセージ中に挿入され得るか、又はIAがSTIにトークンをメッセージ中に挿入するよう命じることができる。後者の選択肢では、STIがアプリケーションレベルでも動作することが想定される。いずれにしても、STIが変更されたアクセス要求メッセージ(すなわち、トークンを含んでいる)をアプリケーションサーバー11に送信し、アプリケーションサーバー11が認証されたメッセージを受信する。
【0061】
メッセージの認証は、例えば、トークンを検証してそれをサービスのアプリケーションロジックに送る特定のアプリケーションサーバーソフトウェアによって、アプリケーションサービス(アプリケーションサーバー11内で動作している)によりアクノリッジし得る。認証を制御するフレームワークの例は、Sun Java System Access Managerであり、これはオープンJava2プラットフォームに基づいたアーキテクチャーである。
【0062】
認証トークンは、モバイルネットワーク、一般にはモバイルオペレータのドメインにおいて定義された加入者のアイデンティティに関連付けられた加入者の識別子、例えばIMSI又はMSISDNなどを含む。
【0063】
好ましくは、トークン中に含まれる加入者の識別子は、SIMベースのアイデンティティ、例えば、IMSI又はMSISDNに関連付けられた仮名である。本発明は認証トークンにおけるモバイルネットワークにおいて定義された加入者のアイデンティティの使用を排除しないが、セキュリティ脅威(例えば、モバイルオペレータのビリング処理に対する詐欺行為)を避けるために、仮名を使用して、加入者のプライバシーを保護し、IMSIなどの機密情報の開示を防ぐ。別法として、識別子は、例えば加入者の信用度に依存してモバイルオペレータにより加入者に割り当てられた許可文字列/符号とし得る。識別子は一意的に加入者のアイデンティティに対応するのが好ましいが、同一の許可文字列/符号を例えば年齢でグループ分けされた加入者グループに割り当てることができる。
【0064】
随意に、IAは生成されたトークンをSTIに転送する前に、パブリック・キー・インフラストラクチャ(PKI)サービス8に送り、パブリック・キー・インフラストラクチャ(PKI)サービス8は、例えばそれ自体公知の非対称暗号法でデジタル署名をトークンに追加することによってトークンを証明する。PKI8はEntrust PKI若しくはVeriSign(登録商標)などの商用のフレームワーク、又はOpenSSLなどのフリーウェア/オープン・ソース・ツールとし得る。
【0065】
本発明の認証システムの利点は、加入者に対してトランスペアレントであることであり、加入者はサービスを要求した後は、認証の結果のみ、すなわちサービスへのアクセス又はアクセスの拒絶が分かるだけである。
【0066】
STI及びIAを含んだ認証ソフトウェアプラットフォームは、モバイルネットワークオペレータの直接的な制御下におくことができる。
【0067】
STI10とIA9は、GGSN6の外部の別のコンポーネントとして示されているが、例えばGGSNのGPRS規格制御ロジック中に内蔵されたソフトウェアモジュールとしてGGSN内に実装することができる。このことにより、GGSNとSTIとの間の物理的な接続が除かれるので、ネットワークレベルの攻撃に対してSTIのセキュリティを向上させることができる。
【0068】
モジュールSTI及びIAは、Java、C、C++及びCORBAなどの標準的な言語にて実現され公知のハードウェアコンポーネント上にインストールされたソフトウェアコンポーネントとし得る。
【0069】
図3は、本発明の好ましい態様により、アプリケーションサーバー内でホストされるウェブサービスに対するアクセス操作の処理図を示す。図3に示されたプロセスフローにおいて相互作用する主なコンポーネントは、図1について説明したのと同じ一般的な論理機能を有し、同じ参照番号で示される。
【0070】
図3に示された態様では、MS2は、GPRS、EDGE又はUMTSなどのパケット交換携帯電話網内で接続及びデータ転送のためにデータ・イネーブルド・クライアントを含んだ携帯電話とし得る。例えば、携帯電話は、パケット交換ネットワークへの接続のために携帯電話を利用するパーソナルコンピュータに(有線又は無線リンクにより)リンクさせることができる。アプリケーションサーバー11は、公衆IPネットワークを介してサーバーに接続される携帯電話網の外部にあるドメインにおいてホストされる。
【0071】
図3では、MSは、例えばSOAPプロトコル(データをウェブサービスに送るとき及びウェブサービスから送るとき用いられるXMLベースの言語である)を用いることにより、公衆IPネットワークにおいて提供されるサービス「abc」へのアクセスを要求する。SOAPメッセージはHTTPメッセージ(アプリケーションレベルにて)中に含まれ得る。SOAP要求は、例えばヘッダー中のHTTP POST又はHTTP GET要求とし得るが、SOAPメッセージはボディ中に含まれる。例えば図3には、HTTP POST要求の例、すなわち“POST /abc HTTP/1.1”が与えられている。工程31は、MSが外部のネットワークへのアクセスを得るのに必要な、MS2とGGSN6との間での相互作用を簡略化して表す。工程31中、MSはAAA7により識別され許可され、AAA7はIPアドレスをMSに割り当て、IPアドレスと加入者のアイデンティティとの間のマッピング情報をメモリに少なくともデータセッションの期間中記憶する。この態様では、加入者のアイデンティティはIMSIからなる。工程31の携帯電話網内での許可及び認証段階の後、データパケット中に保持されたアクセス要求メッセージがGGSNにより外部のネットワークに転送される(工程32)。工程32の破線は、メッセージが本発明による認証機構なしで進んだであろう論理経路、すなわち、メッセージがアプリケーションサーバー11に送信されたであろう論理経路を表す(その際にはアプリケーションサーバー11は、認証のためのチャレンジ/レスポンス機構によってユーザーに要求したであろう)。
【0072】
本発明によると、工程32においてアクセス要求メッセージを含んだデータパケットが、GGSN6と公衆ネットワークとの間に位置するSTI10によりインターセプトされる。STIはインターセプトしたデータパケットから加入者のIPアドレス、すなわちセッションのためにMSに割り当てられたアドレス、好ましくはIP宛先アドレス、すなわちアプリケーションサーバー11のアドレスを抽出する。次にSTIはアプリケーションメッセージ(この場合SOAPメッセージ)と加入者のIPアドレスをIA9に転送する(工程33)。
【0073】
STIがアプリケーションレベルより低いレベルで動作する場合には、このメッセージは例えばアプリケーションヘッダー(複数も可)をIAに向けて転送することによって自動的にIAに転送される。逆に、STIがアプリケーションレベルにて動作する場合には、アプリケーションレベルのメッセージにおいて用いられるプロトコル、この場合SOAP over HTTPプロトコルを認識する。いずれにしても、IAは加入者のIPアドレスと、メッセージが準拠しているアプリケーションレベルのプロトコルとについての知識を取得する。STIとIAとの間での情報の伝送は、例えばインターフェース定義言語(IDL)などの共通オブジェクト・リクエスト・ブローカー・アーキテクチャー(CORBA)、又はウェブサービス記述言語(WSDL)などのウェブサービス言語において指定されたインターフェースによって行われ得る。
【0074】
工程34では、IA9はGSMネットワークにおいて(MS2により携帯電話網に接続された)加入者のアイデンティティを求めるためにAAA7に問い合わせをする。このアイデンティティはデータパケット中に捕らえられたソースIPアドレスに対応している。工程35では、AAA7が、IPアドレスに関連付けられた加入者のアイデンティティ(この場合IMSIにより表される)をIAに提供することによって問い合わせに応答する。
【0075】
次の工程(工程35)で、IAは加入者の識別子を含んだトークンを生成する。このトークン(例えば文字列)は、例えばWS-セキュリティ仕様に従って定義し得る(図3中に<WS>tokenとして示す)。好ましくは、トークン中に含まれる識別子は、IAにより生成されIMSIに関連付けられた仮名である。この識別子はまた、図2に示す例のように、例えば、シングル・サイン・オン(SSO)アクセス機構の場合のように、セッション内の異なるサービスにアクセスするために同じ加入者(すなわち同じIMSI)に複数の仮名が生成された場合にはサービスプロバイダに関連付けることもできる。IAは仮名(複数も可)と携帯電話網内で定義された加入者のアイデンティティ(すなわち、IMSI)との間のマッピングを少なくともセッションの期間中は記録しておく。
【0076】
以下の例はXMLフォーマットにて表されると共にOASIS(Organization for the Advancement of Structured Information standards)オープン規格に準拠した(簡略化された)SAMLトークンである:
【表1】
【0077】
上記の例のSAMLトークンは、GSMネットワークにおいて定義されたアイデンティティに関連付けられた「PSEUDONYM」(すなわち、IAにより与えられた識別子)を名前とするユーザーのアイデンティティをアサートする。好ましくは、SAMLトークンはサービスへのアクセスを許可するために用いられる認証方法についての情報を含み、この場合、GSMセキュリティスキーム(<GSM>で示される)により定義されている。追加のオプション情報は、認証の発行人(operator.comにより示される)とトークンの有効期間の条件(コマンドNotBefore及びNotAfterにより示される)である。
【0078】
随意に、トークンは、デジタル署名をトークンに添えるため、又は公知の暗号化機構により暗号化するために、PKI8サービスに転送される(工程36)。工程37では、PKIはデジタル署名で証明され且つ/又は暗号化により保護されたトークンを戻す。証明/暗号化されたトークンは図3においてDS(<WS>−token)により示される。
【0079】
工程35(PKIサービスが含まれる場合には工程37)に続いて、IAは生成されたトークンを含んだ新しいアクセス要求メッセージ(「New−soap」により示される)を生成する。好ましくは、この新しいメッセージは、OASIS WS−セキュリティ仕様に記載されている追加フィールドとしてSOAPエンベロープ中にトークンが追加されたMSから送信されるアクセス要求メッセージである。工程38で、新しいアクセス要求メッセージ(トークンを含む)が伝送のためにSTIに送られる。STIは、情報を抽出したデータパケットを予め複製しそのメモリに記憶しておき、それから、受信したアクセス要求メッセージをアプリケーションサーバー11に送信する(工程39)。
【0080】
デジタル署名がトークンに添えられていたならば、アプリケーションサーバーはPKIサービスに問い合わせすることによりデジタル署名を検証する(工程40)。例えば、PKIはトークンのデジタル署名の証明書が有効であることを検証する。
【0081】
最後に、トークンにより加入者のアイデンティティの認証を受信したアプリケーションサーバー11は、認証された加入者に要求サービスを提供する(工程41)。
【0082】
図3に記載の認証機構はユーザーにトランスペアレントであり、ユーザーはサービスにアクセスするために証明を入力する必要がないことが分かる。加えて、この認証機構により、一般にサービスを提供するサービスプロバイダ間に協定が存在することを前提とするSSO機構を用いて複数のサービスへのトランスペアレントなアクセスが可能になる(アイデンティティ連合)。
【0083】
図4は本発明の別の態様による外部のIPネットワークに接続されたパケット交換ネットワークのブロック図を示す。MS2はパケット交換モバイルネットワーク13、例えばUMTSネットワークに無線リンクされている。詳細には示されていないが、モバイルネットワーク13はAAAサーバーとGGSNを含む。この態様におけるIPネットワークは次世代ネットワーク(NGN)15であり、これはパケットベースのインターネットと電話ネットワークとの間の収束を可能にすると共に音声、データ及びビデオを含んだ顧客トラヒックのすべてのタイプをサポートするパケットベースのネットワークである。NGN技術のアプリケーションはVoice over IP(VoIP)である。この例では、NGNネットワークにおける呼/セッション機能は、セッション開始プロトコル(SIP)に基づいている。図4に示された態様によると、携帯電話MS2はSIPメッセージをNGN15を介してSIPサーバー14にアドレス指定する。モバイルネットワーク13のGGSNを出て行くSIPメッセージは、認証プラットフォーム17によりインターセプトされる。認証プラットフォーム17はSTI10、IA9及び随意にPKI8を含み、これらは図1に関して説明した機能と同じ一般的な論理機能を有する。認証の後、SIPサーバー14は常にNGN15を介してSIPメッセージをSIP電話16に転送し、SIP電話16は、IPベースの又は陸線/携帯電話のどちらかである他の電話に呼を発し、該他の電話から呼を受けるためのクライアントアプリケーションを含んだIPノードであり(すなわち、ユーザー・エージェント・クライアント及びユーザー・エージェント・サーバー)、例えばパーソナルコンピュータにインストールできる。SIPメッセージの例は、SIP電話16を用いてマルチメディア呼(例えば、テレビ会議)を設定するために携帯電話2から発せられる要求である。
【0084】
SIPサーバーにおいてホストされるSIPサービスに対してNGNを介してアクセスする操作の処理図が、図5に概略的に示される。MS2はSIPプロトコルを用いることによりNGNにおいて提供されるサービスへのアクセスを要求する。例えば、このサービスはテレビ会議セッションの設定であり、これはINVITEコマンドにより要求できる。SIPメッセージは例えば「INVITE sip:name@acme.comSIP/2.0」とすることができ、ここで、name@acme.comはRequest_URIであり、これは、SIPメッセージの宛先を指定するSIP URI(例えばURL)である。Request_URIはSIP電話において定義されたユーザー又はユーザーエージェントサーバーとし得る。この例では、Request_URIはSIP電話16により識別されるユーザーである。SIPメッセージはTCP又はUDPによりネットワークレベルにてトランスポートし得る。
【0085】
工程50は、MSが外部のネットワークへのアクセスを得るのに必要な、MS2とGGSN6との間での相互作用を簡略化して表す。工程50中、MSはAAA7により識別され許可され、AAA7はIPアドレスをMSに割り当て、IPアドレスと加入者のアイデンティティ(例えばIMSI)との間のマッピング情報をメモリに少なくともデータセッションの期間中記憶する。工程50の携帯電話網内での許可及び認証段階の後、データパケット中に保持されたアクセス要求メッセージがGGSNにより外部のネットワークに転送される(工程51)。工程51の破線は、メッセージが本発明による認証機構なしで進んだであろう論理経路、すなわち、メッセージがSIPサーバー14に送信されたであろう論理経路を表す。
【0086】
本発明によると、工程52においてSIPメッセージが、GGSNとNGNとの間に位置するSTI10によりインターセプトされる。STIはインターセプトしたデータパケットから、ソースIPアドレス(すなわちMSに割り当てられたアドレス)と、宛先IPアドレス、すなわち要求を取り扱いINVITEメッセージを正しい被呼者(SIP URIにより示される)に転送することができるSIPサーバーのアドレスとを抽出する。次にSTIはSIPメッセージと加入者のIPアドレスをIA9に転送する(工程52)。
【0087】
工程53では、IA9はSIPメッセージを含んだデータパケット中に捕らえられたソースIPアドレスに対応する加入者のアイデンティティを求めるためにAAA7に問い合わせをする。工程54では、AAA7が、IPアドレスに関連付けられた加入者のアイデンティティ(この場合IMSIにより表される)をIAに提供することによって問い合わせに応答する。
【0088】
次の工程(工程54)で、IAは加入者の識別子を含んだトークンを生成する。このトークンは、例えばSAML仕様に従って定義し得る(図5中に[SAML]tokenとして示す)。好ましくは、識別子は、IAにより生成されIMSIに関連付けられた仮名である。
【0089】
随意に、トークンは、デジタル署名をトークンに添えるため、且つ/又は公知の暗号化機構により暗号化するために、PKI8サービスに転送される(工程55)。工程56では、PKIはデジタル署名で証明され且つ/又は暗号化により保護されたトークンを戻す。証明/暗号化されたトークンは図5においてDS([SAML]−token)により示される。
【0090】
工程54(PKIサービスが含まれる場合には工程56)に続いて、IAは生成されたトークンを含んだ新しいアクセス要求メッセージ(「New SIP header」により示される)を生成する。好ましくは、この新しいメッセージは、SIPヘッダー61により図5に示されるように、SIPプロトコルに記載されている追加フィールドとしてSIPヘッダー中にトークンが追加されたMSから送信されるアクセス要求メッセージである。DS([SAML]token)に先行するフィールド「SAML−Payload」は、IETFにより定義されたキーワードであり、SAML−tokenヘッダーを識別するのに用いられる。
【0091】
新しいアクセス要求メッセージ(トークンを含む)が伝送のためにSTIに送られる(工程57)。次に、STIは、受信したSIPメッセージ61をSIPサーバー14に送る(工程58)。
【0092】
デジタル署名がトークンに添えられていたならば、アプリケーションサーバーはPKIサービスに問い合わせすることによりデジタル署名を検証する(工程59)。
【0093】
最後に、トークンにより加入者のアイデンティティの認証を受信したアプリケーションサーバー14は、INVITEに対する標準的なSIP肯定応答である「200 OK」メッセージをMSに送ることにより、INVITEメッセージに対して肯定応答を送信する(工程60)。それから、RTPを用いる音声映像ストリームをエンドポイント間に確立できる。
【0094】
図4に戻ると、認証プラットフォーム17はモバイルネットワークの外部にあるものとして示されているが、モバイルネットワーク13中に、すなわちモバイルオペレータのセキュリティドメイン中に実装することもできる。
【0095】
図6は本発明の好ましい態様によるアプリケーションサーバー中にホストされたウェブサイトへのアクセス操作の処理図を示す。ウェブサイトへのアクセスは、無線アプリケーションプロトコル(WAP)を用いることによりIPネットワークに接続されたGSMなどの回線交換モバイルネットワークから又はGPRSから行われる。この態様によると、MS2、例えばGSM電話は、WAPデータを解釈するマイクロブラウザーを含む。このWAPデータはUDPなどのネットワークプロトコルを用いて送られる。アプリケーションサーバーは専用のWAPサーバー又は従来のウェブサーバーとし得る。外部のネットワークへの携帯電話網のゲートウェイの論理機能はGGSN6により実行される。
【0096】
図6に示される態様は、例えばリバティ・アライアンス・プロジェクトにより定義されたアイデンティティ連合フレームワーク(ID−FF)に適用できる。ID-FFはSAML規格に基づいており、標準的なSOAPベースの認証及びシングル・サイン・オンのサービスのインターフェースをアイデンティティプロバイダに提供する。
【0097】
図6では、MS2は、例えばHTTPプロトコルを用いることにより、公衆IPネットワークにおいて提供されるサービス「abc」へのアクセスを要求する。図6には、HTTP GET要求の例、すなわち“GET /abc HTTP/1.1”が与えられている。工程71は、MSが外部のネットワークへのアクセスを得るのに必要な、MS2とGGSNとの間での相互作用を簡略化して表す。工程71中、MSはAAA7により識別され許可され、AAA7はIPアドレスをMSに割り当て、IPアドレスと加入者のアイデンティティとの間のマッピング情報をメモリに少なくともデータセッションの期間中記憶する。この態様では、加入者のアイデンティティはIMSIからなる。工程71の携帯電話網内での許可及び認証段階の後、データパケット中に保持されたアクセス要求メッセージがGGSNにより外部のネットワークに転送される(工程72)。工程72の破線は、メッセージが本発明による認証機構なしで進んだであろう論理経路、すなわち、メッセージがウェブ/WAPサーバーに送信されたであろう論理経路を表す。
【0098】
本発明によると、工程72においてアクセス要求メッセージを含んだデータパケットが、GGSNと公衆ネットワークとの間に位置するSTI10によりインターセプトされる。STIはインターセプトしたデータパケットから加入者のIPアドレス、すなわちセッションのためにMSに割り当てられたアドレス、及びIP宛先アドレス、すなわちアプリケーションサーバー11のアドレスを抽出する。次にSTIはアプリケーションメッセージ(この場合にはHTTP GETメッセージ)と加入者のIPアドレスをIA9に転送する(工程73)。
【0099】
工程74では、IA9は(MS2により携帯電話網に接続された)加入者のアイデンティティを求めるためにAAA7に問い合わせをする。このアイデンティティはデータパケット中に捕らえられたソースIPアドレスに対応している。工程75では、AAA7が、IPアドレスに関連付けられた加入者のアイデンティティ(この場合IMSIにより表される)をIAに提供することによって問い合わせに応答する。
【0100】
次の工程(工程76)で、IAは加入者の識別子を含んだトークンを生成する。好ましくは、トークン中に含まれる識別子は、IAにより生成されIMSIに関連付けられた仮名である。このトークンは、例えばSAML仕様に従って定義し得る(図6中に[SAML]−tokenとして示す)。好ましくは、識別子は、IAにより生成されIMSIに関連付けられた仮名である。
【0101】
随意に、トークンは、デジタル署名をトークンに添えるため、且つ/又は公知の暗号化機構により暗号化するために、PKI8サービスに転送される(工程76)。工程77では、PKIはデジタル署名で証明され且つ/又は暗号化により保護されたトークンを戻す。証明/暗号化されたトークンは図6においてDS([SAML]−token)により示される。
【0102】
工程75(PKIサービスが含まれる場合には工程77)に続いて、IAはリバティ・アライアンスにより定義された規格に従ってSAMLアサーションに対するポインターとして機能する「アーチファクト」を生成する。前記アーチファクトは図6において「Artifact(SAML)」により示されている。次に、工程78にてアーチファクトがSTIに与えられる。工程79では、STIは「Artifact(SAML)」を含んだHTTP GETメッセージをウェブ/WAPサーバーに送る。工程80の間、アーチファクトを含んだアクセス要求メッセージを受信したサーバーは、IAに対してアーチファクトに対応したSAMLトークンを提供するよう要求する。要求しているモバイル加入者の識別子を含んだSAMLトークンを受信した後、加入者が識別され(そして許可され)、次にサーバー(すなわち、サービスプロバイダ)が肯定応答「welcome」をMSに送る(工程81)。
【0103】
図7は本発明の別の好ましい態様を示し、サービスを要求している加入者の第1ネットワークがADSLアクセスネットワークであり、第2ネットワークがIPネットワークである。図7の態様はADSLネットワークの加入者がアプリケーションサーバー24内でホストされるウェブサイトでのサービスをIPネットワークを介して加入者のパーソナルコンピュータ(PC)18からアクセスすることを欲しているような代表的なシナリオを表すことができる。この例では、PC18は標準的なシリアルUSB(ユニバーサル・シリアル・バス)インターフェースを介してADSLモデム19に接続される。一般にPC18及びADSLモデム19は顧客敷地装置(CPE)68と称される。しかし、1以上のPC、IP電話又はTVセットトップボックスに接続された住宅ゲートウェイなどの代わりのCPEを考えることもできる。したがって、一般に、例えば、ログオンIDとパスワードをPCのキーボードからタイプすることにより、又は(例えば、スマートカード内に含まれるか又は住宅ゲートウェイのファームウェアに組み込まれた文字列コードを用いて)住宅ゲートウェイから自動認証によって、電気通信を開始し、ルーティングし、又は終了させるため、およびPDNにアクセスすべく認証要求を行なうためにCPEが用いられる。強調すべきは、PDN(例えば、インターネット)へのアクセスを許可するためのこの認証はアクセスネットワーク内であることである。
【0104】
加入者はCPE68を介してDSLアクセスマルチプレクサー(DSLAM)30に接続される。DSLAM30はマルチプレクサー/デマルチプレクサーを備え、顧客回線(すなわち、有線リンク67)が中央局(オペレータ敷地)66のDSLAM内の割り当てられたADSL端末装置に接続される。DSLAM30は、ルーティング又はサービス選択を含めてアプリケーションレベルのセッション管理を行なう広帯域ネットワークアクセスサーバー(BNAS)29にアップリンクする。CPEは、図7において参照番号20で概略的に示されたエンドユーザーの場所(例えば、家庭又は会社)にある。CPEとDSLAMとの間の接続は有線リンク67、一般には標準的な銅製の電話線である。従来のアナログ電話、すなわち従来の一般電話システム(POTS)23は、同じ有線リンク67を介してPSTN25に随意に接続し得る。したがって、有線リンク67はPOTS及びDSL信号の両方を伝えることができる。DSLAM30と共にBNAS29は、外部のパケットデータネットワーク(この場合にはIPネットワーク22)に対するゲートウェイとして機能する。CPEとDSLAMとの間の通信では顧客敷地と中央局との間の専用有線リンクが用いられるので、DSLインフラストラクチャ内の通信の高レベルのセキュリティが保証されることに注目すべきである。
【0105】
BNASは、加入者にアクセスを許可するために、IPネットワークへのアクセスを要求する加入者の認証を処理する。ログオン認証は認証、許可及び課金(AAA)サーバー26により実行される。AAAサーバー26は図1の態様において説明したモバイルネットワークのAAAサーバーと同様の論理操作を実行する。特に、AAAサーバーはデータベースを含み、該データベースでは、割り当てられたIPアドレスがxDSLネットワーク内の加入者のアイデンティティに関連付けられている。公知の方法に従い、PDNにアクセスするための認証(ログオン認証ともいう)を、パスワードベースの機構、スマートカード又は暗号トークンに基づいて行なうことができる。好ましいログオン認証機構では、ログオンID、一般には(外部のデータネットワークへの接続を要求するときに加入者が入力する)パスワードに関連付けられたユーザー名が使用される。ログオンIDはまたスマートカードの中に含ませることもできる。ログオンIDを用いることにより、同じ加入者局を使い得る異なるユーザー間の識別、例えば同じPCを介して接続するユーザー間の識別が可能になる。別法として、PSTNの呼出し回線識別(CLI)によりADSLインフラストラクチャ内で加入者を識別することができる。
【0106】
本発明によると、セキュリティ・トークン・インジェクター(STI)65がBNAS29に論理的にリンクされる。STIはADSLネットワークから入ってくるトラヒックを制御するように配置される。特に、STI65はCPE68で生成されBNAS29を介してIPネットワーク22に向けられたデータパケットをインターセプトする。
【0107】
STI65は少なくともネットワークレベルにて動作し、BNAS29を出て行くデータパケットを捕まえる。もしSTIがネットワークレベルでのみ、又は単にトランスポートレベルまでで動作するならば、BNASを出て行き(そしてIPネットワークに向かう)データパケットすべてを捕らえる必要がある。というのは、データパケット中に保持されたアプリケーションメッセージを識別できず、例えば、それがアクセス要求メッセージであるか否か、及びそのアプリケーションレベルのプロトコル上にメッセージが保持されているか否かを識別できないからである。STIがアプリケーションレベルでも動作する場合には、アクセス要求メッセージを識別し、異なるアプリケーションレベルのプロトコルを区別することができる。例えば、もしアプリケーションレベルでも動作するならば、HTTPアクセス要求メッセージのみをインターセプトして他のプロトコルで生成されたメッセージは通すようにSTIをプログラミングできる。
【0108】
STI65の一般的な論理機能は図1に関して説明したSTI10と同様である。特に、アクセス要求メッセージを保持しているデータパケットにおいてSTIがインターセプトしなければならない最小情報は、ネットワークレベルでの加入者のアドレス、例えばインターネットにおいて加入者に割り当てられたIPアドレスについての情報である。
【0109】
STI65により捕らえられたデータパケット中に含まれる情報の少なくとも一部は、アプリケーションレベルにて動作するソフトウェアコンポーネントの身分証明局(IA)64に送られる。IAは外部のPDN、すなわちIPネットワーク22にアクセスする加入者のアイデンティティの管理を担当する。IAは少なくとも加入者のIPアドレスと、アクセス要求メッセージのアプリケーションレベルのプロトコルについての情報とをSTIから受信する。この後者の情報は、データパケットをSTIから(STIがネットワーク/トランスポートレベルまででのみ動作する場合には「閉じたエンベロープ」として)受信することにより、又はSTIがアプリケーションレベルでも動作する場合にはプロトコルの種類などの特定の情報を受信することにより得ることができる。
【0110】
IA64の論理機能は図1に関して説明したものと実質的に同じである。特に、IAは、STI65からそのIPアドレスの知識を取得すること、及び(割り当てられたIPアドレスと加入者のアイデンティティ(複数も可)との間のマッピングを含む)AAA26に問い合わせて加入者のアイデンティティの知識を取得することにより、サービスを要求する加入者(すなわち、例えば、スマートカードログオンを介して又はCLIから加入者の局)を識別する。
【0111】
好ましくは、IAは加入者のアイデンティティ及び加入者の要求サービスに関連した情報を記憶する。サービスプロバイダが異なるプロトコル(例えば、電子メールアカウントにはPOP3、ウェブのナビゲーションにはHTTP)を用いてより多くのサービスを提供する場合には、要求されるサービスについての情報は、IPアドレス及び/又はサービスプロバイダのURI及び/又はサービスにより用いられるプロトコルであり得る。図8には、IA64に記憶された情報を示す表が例示される。図示した表は、サービスプロバイダSP−1、SP−2等により特徴付けられた1以上のサービスにアクセスすることを欲する加入者A、B及びCにマッピングを提供する。図8の例では、加入者は加入者のログオンID、例えばユーザーネームとパスワード(LOGIN−A、LOGIN−Bなど)により識別される。好ましくは、仮名PSが各加入者に対してIAにより作られ、例えば、加入者のログオンIDに対応したPSが作られる。別法として、図8に示されるように、複数の仮名を1人の加入者に生成でき、この場合、各仮名は加入者により要求される特定のサービスを特徴付ける。CLI又はログオンIDなどの機密データを開示することを避けるためには、仮名を生成するのが好ましい。
【0112】
例えば、IPアドレスを加入者に関連付けられたログオンIDとマッピングすることによって加入者のアイデンティティを検証した後、IAはアクセス要求メッセージのアプリケーションレベルのプロトコルに従ってソフトウェアトークンを生成する。トークンはアクセス要求メッセージ中に、例えばメッセージの既存のアプリケーションヘッダーに挿入されるフィールドとして、又はメッセージ中に加えられる新しいアプリケーションヘッダーとして、挿入される。
【0113】
STIがどのレベルで動作するかに依存して、トークンがIAによりメッセージ中に挿入され得るか、又はIAがSTIにトークンをメッセージ中に挿入するよう命じることができる。後者の選択肢では、STIがアプリケーションレベルでも動作することが想定される。いずれにしても、STIが変更されたアクセス要求メッセージ(すなわち、トークンを含んでいる)をアプリケーションサーバー24に送信し、アプリケーションサーバー24が認証されたメッセージを受信する。
【0114】
認証トークンは、固定アクセスネットワークにおいて定義された加入者のアイデンティティに関連付けられた加入者の識別子を含む。
【0115】
好ましくは、トークン中に含まれる加入者の識別子は、加入者のアイデンティティ、例えばCLI又はログオンIDに関連付けられた仮名である。本発明はPSTN又は固定アクセスネットワークにおいて定義された加入者のアイデンティティを認証トークンにおいて使用することを排除しないが、仮名を使用して加入者のプライバシーを保護し、機密情報の開示を防ぐ。別法として、識別子は、例えば加入者の信用度に依存してPSTNオペレータにより加入者に割り当てられた許可文字列/符号とし得る。識別子は一意的に加入者のアイデンティティに対応するのが好ましいが、同一の許可文字列/符号を例えば年齢でグループ分けされた加入者グループに割り当てることができる。
【0116】
随意に、IA64は生成されたトークンをSTIに転送する前に、パブリック・キー・インフラストラクチャ(PKI)サービス63に送り、パブリック・キー・インフラストラクチャ(PKI)サービス63は、例えばそれ自体公知の非対称暗号法でデジタル署名をトークンに追加することによってトークンを証明する。
【0117】
STI65とIA64は、BNAS29の外部の別のコンポーネントとして示されているが、例えばBNASの制御ロジック中に内蔵されたソフトウェアモジュールとしてBNAS内に好ましくは実装することができる。このことにより、BNASとSTIとの間の物理的な接続が除かれるので、ネットワークレベルの攻撃に対してSTIのセキュリティを向上させることができる。
【0118】
図7〜9ではデジタル加入者線(DSL)技術(特にADSL技術)の場合について本発明の態様を説明したが、本発明はxDSL技術に限定されるものではないことが分かる。実際、他のアクセス技術及び/又はネットワーク構成、例えば、限定するものではないがハイブリッドファイバー同軸ケーブル(HFC)、無線接続(例えば、WiFi(登録商標)又はWiMAX)、ファイバー・ツー・ザ・ホーム(FTTH)、及び/又はイーサネットなども本発明の他の態様において使用できる。
【0119】
図9はアプリケーションサーバー内でホストされたウェブサイトへのアクセス操作の処理図を示す。このプロセスフローにおいて相互作用する主なコンポーネントは、図7に関して説明したものと同じ一般的な論理機能を有しており、同じ参照番号で示されている。この態様では、加入者局はSOAPプロトコルを用いることにより公衆IPネットワークにおいて提供されるサービス「abc」へのアクセスを要求する。このHTTP要求は、例えばHTTP POST、例えば「POST /abc HTTP/1.1」とし得る。加入者局(この態様ではADSLモデムにリンクされたエンドユーザー周辺デバイス18(例えば、PC))が、工程91にてADSLインフラストラクチャ内で公知の方法で認証する。すなわち、工程91は、加入者局が外部のネットワークにアクセスするのに必要な、PC18(DSLモデムを介する)とBNAS29との間での相互作用を概略的に示す。認証段階では、AAA26がIPアドレスを加入者局に割り当てると共に、少なくともデータセッションの期間中、IPアドレスと加入者のアイデンティティとの間のマッピング情報をメモリに記憶する。次に、IPサービスにアクセスするために加入者局がADSLアクセスネットワークから認証され、IPアドレスが加入者に割り当てられる。
【0120】
工程91のアクセスネットワーク内での許可及び認証段階の後、工程92にて、データパケット中に保持されたアクセス要求メッセージがBNASにより外部のネットワークに転送される。工程92の破線は、メッセージが本発明による認証機構なしで進んだであろう論理経路、すなわち、メッセージがアプリケーションサーバー24に送信されたであろう論理経路を表す。
【0121】
本発明によると、工程92においてアクセス要求メッセージを含んだデータパケットが、BNAS29と公衆ネットワークとの間に位置するSTI65によりインターセプトされる。STIはインターセプトしたデータパケットから加入者のIPアドレス、すなわちセッションのために加入者局に割り当てられたアドレス、好ましくはIP宛先アドレス、すなわちアプリケーションサーバー24のアドレスを抽出する。次にSTIはアプリケーションメッセージ(この場合SOAPメッセージ)と加入者のIPアドレスをIA64に転送する(工程93)。
【0122】
STIがアプリケーションレベルより低いレベルで動作する場合には、このメッセージは例えばアプリケーションヘッダー(複数も可)をIAに向けて転送することによって自動的にIAに転送される。逆に、STIがアプリケーションレベルにて動作する場合には、アプリケーションレベルメッセージにおいて用いられるプロトコル、この場合SOAP over HTTPプロトコルを認識する。いずれにしても、IAは加入者のIPアドレスと、メッセージが準拠しているアプリケーションレベルのプロトコルとについての知識を取得する。STIとIAとの間での情報の伝送は、例えばインターフェース定義言語(IDL)などの共通オブジェクト・リクエスト・ブローカー・アーキテクチャー(CORBA)、又はウェブサービス記述言語(WSDL)などのウェブサービス言語において指定されたインターフェースによって行われ得る。
【0123】
工程94では、IA64はPSTNにおいて加入者のアイデンティティを求めるためにAAA26に問い合わせをする。このアイデンティティはデータパケット中に捕らえられたソースIPアドレスに対応している。工程95では、AAA26が、IPアドレスに関連付けられた加入者のアイデンティティ(この場合ログオンIDにより表される)をIAに提供することによって問い合わせに応答する。
【0124】
次の工程(工程96)で、IAは加入者の識別子を含んだトークンを生成する。このトークン(例えば文字列)は、例えばWS−セキュリティ仕様に従って定義し得る(図9中に<WS>tokenとして示す)。好ましくは、トークン中に含まれる識別子は、IAにより生成されログオンIDに関連付けられた仮名である。この識別子はまた、図8に示す例のように、例えば、シングル・サイン・オン(SSO)アクセス機構の場合のように、セッション内の異なるサービスにアクセスするために同じ加入者(すなわち同じログオンID)に複数の仮名が生成された場合にはサービスプロバイダに関連付けることもできる。IAは仮名(複数も可)とPSTN内で定義された加入者のアイデンティティ(例えばログオンID又はCLI)との間のマッピングを少なくともセッションの期間中は記録しておく。
【0125】
随意に、トークンは、デジタル署名をトークンに添えるため、又は公知の暗号化機構により暗号化するために、PKI63サービスに転送される(工程97)。工程98では、PKIはデジタル署名で証明され且つ/又は暗号化により保護されたトークンを戻す。証明/暗号化されたトークンは図9においてDS(<WS>−token)により示される。
【0126】
工程95(PKIサービスが含まれる場合には工程97)に続いて、IAは生成されたトークンを含んだ新しいアクセス要求メッセージ(「New−soap」により示される)を生成する。工程98で、新しいアクセス要求メッセージ(トークンを含む)が伝送のためにSTIに送られる。例えば、新しいメッセージは、OASIS WS−セキュリティ仕様において記述された追加フィールドとしてトークンがSOAPエンベロープ中に追加されている、加入者局から送信されたアクセス要求メッセージである。STIは、情報を抽出したデータパケットを予め複製しそのメモリに記憶しておき、それから、受信したアクセス要求メッセージをアプリケーションサーバー24に送信する(工程99)。
【0127】
デジタル署名がトークンに添えられていたならば、アプリケーションサーバーはPKIサービスに問い合わせすることによりデジタル署名を検証する(工程100)。例えば、PKIはトークンのデジタル署名の証明書が有効であることを検証する。
【0128】
最後に、トークンにより加入者のアイデンティティの認証を受信したアプリケーションサーバー24は、認証された加入者に要求サービスを提供する(工程101)。
【0129】
図9に記載の認証機構はユーザーにトランスペアレントであり、ユーザーはサービスにアクセスするために証明を入力する必要がないことが分かる。加えて、この認証機構により、一般にサービスを提供するサービスプロバイダ間に協定が存在することを前提とするSSO機構を用いて複数のサービスへのトランスペアレントなアクセスが可能になる(アイデンティティ連合)。
【0130】
近年、ユーザーは複数の電気通信ネットワークの加入者であり、したがって異なるネットワークからアプリケーションサービスにアクセスすることを欲する又は必要とすることが益々一般的になってきた。図2及び8に関して説明したように、(必ずしもそうではないが)異なるサービスプロバイダにより与えられ得る異なるアプリケーションサービスに同意した同じ加入者に対して、異なる仮名を生成することができる。出願人は、ユーザーがサービスにアクセスする異なるネットワークに対して同一である仮名によって、サービスアプリケーションにて(すなわち、サービスプロバイダに対して)ユーザーを識別できることが分かった。図10はユーザーが複数の電気通信ネットワーク、すなわちADSLアクセスネットワーク121、無線(WiFi(登録商標))アクセスネットワーク124、GPRS/GSMネットワーク128及びUMTSネットワーク126の加入者であるシナリオを概略的に示す。ユーザーはネットワーク121、124、126又は128からIPネットワーク120を介してアプリケーションサーバー129にてアプリケーションサービスにアクセスする要求を送ることができる。IPアドレスは、常に第1ネットワーク内で、要求が生成されてAAAサーバー(図示せず)により識別子に関連付けられる第1ネットワーク内で、アクティブにされる。本発明の好ましい態様によると、セキュリティ・トークン・インジェクター(STI)は、加入者がアプリケーションサービスを要求する各第1ネットワークのアクセスゲートウェイ又はアクセスポイント(例えば、BNAS、GGSN)(これはIPネットワークのゲートウェイとして機能する)に論理的にリンクされる。STI122、123、125及び127はネットワーク121、124、126及び127からそれぞれ発せられたアクセス要求メッセージをインターセプトする。図示されてはいないが、各STIは、IPネットワークを介してアプリケーションサービスにアクセスする加入者のアイデンティティを管理することを担当する身分証明局(IA)に論理的にリンクされる。STI及びIAの機能と論理操作は、上記の態様に関して詳細に説明される。特に、各第1ネットワークのIAは、取得したIPアドレスから加入者のアイデンティティの知識を得て、仮名をIPアドレスに関連付け、これは、(第1ネットワーク内の加入者のアイデンティティに対する関連性により)加入者を識別するだけでなく、要求されるアプリケーションサービスに関連する。要求サービスを仮名に関連付けできるためには、IA(又はSTIがアプリケーションレベルで動作する場合にはSTI)は要求サービスのURIをアクセス要求メッセージから抽出する必要がある。URIの知識を得ることにより、加入者の識別子をサービス関連の仮名に関連付け、それからアクセス要求メッセージ中に挿入することができる。サービス関連の仮名は、要求サービスを実施しているサービスプロバイダにより生成し、それからIAに通信することができる。このような通信を行なういくつかの解決策が可能である。これは、アイデンティティ連合をサポートするためにリバティ・アライアンス協会により規定されたプロトコルなどのプロトコルによって、オフライン方式によるか、IAにより提供されサービスプロバイダにより用いられる何らかの提供ツールによるか、又はランタイムにて実行できる。
【0131】
この態様においても加入者のアイデンティティは、ユーザーがサービスを要求する第1ネットワークにより保証されることが分かる。
【0132】
マルチネットワークアクセスの可能なシナリオは、マルチプラットフォームオペレータにより管理される複数のネットワーク、例えば、GPRS、UMTS及び固定アクセスネットワーク(例えばPSTNの電話線上のxDSLなど)の加入者であるユーザーのマルチネットワークアクセスであり得る。
【0133】
出願人はいくつかのサービスではクライアント(すなわち、加入者局)とサーバーとの間での相互認証が必要とされることが分かった。換言すれば、インターネットなどの外部のネットワークを介して何らかのサービスを利用する場合、ユーザーは自身がほんとうに所望の又は正しいサーバーと通信しているか否かを知る必要があるか又は知ることを欲し得る。リモートコンピュータがサーバーの挙動を模倣できるならば、ユーザーは欺かれて正しいサーバーを通信していると考えるかもしれない。例えば、金融機関、その顧客及び金融取引についての情報は、従来からセキュリティと信頼性に非常に神経質なものと考えられてきた。今日では、非対称キーペア暗号法が例えば、インターネットバンキングにおいてセキュリティと秘密性を保証するためにしばしば用いられる。
【0134】
図11は、本発明の好ましい態様において、相互認証の場合にPDNを介してアプリケーションサーバー内にホストされたサービスにアクセスすることを示す簡略プロセス図である。工程113では、移動局又はCPEであり得る加入者局110が、アプリケーションサーバー112内でホストされるサービスを要求する。この例では、メッセージはPOST型のHTTPアクセス要求メッセージである。常に工程113では本発明の方法(上記態様において詳細に記載)に従い、前記メッセージがSTI111によりインターセプトされ、トークン、すなわちToken−cが生成され該メッセージに関連付けられる。次にSTIはメッセージを関連のトークンと共にアプリケーションサーバーに送る(工程114)。メッセージを受信し(随意に認証の有効性を検証し)た後、サーバー112は応答トークン、すなわち、Token−sを生成し、これは、受信したPOSTメッセージに対する肯定応答「Welcome」中に入れられる。Token−sは例えばSAMLアサーションなどの規格に従ってアプリケーションサービス(例えばJava Servlet又はMicrosoft Active Server Pages)を実行するソフトウェア中に実装された文字列とし得る。別法として、Token−sは好ましくはサービスプロバイダ敷地にてサーバーに論理的にリンクされた論理エンティティ(図中に図示せず)により生成される。論理エンティティはアプリケーションサーバーの前に配置されたアプリケーション・ファイア・ウォールとし得る。
【0135】
Token−sを含むと共にアプリケーションサーバー112により加入者局110に送信された応答メッセージは、STI111によりインターセプトされ、STI111がToken−sを応答メッセージから抽出してその有効性を検証する。この有効性は、デジタル署名、又はネットワークオペレータ(STIがオペレータ敷地にあることを想定)とサービスプロバイダとの間で共有された秘密、例えば対称キーによって検証できる。Token−sの有効性が肯定的に検証されたなら、STIはインターセプトされた肯定応答メッセージ「Welcome」を加入者局に送信するか(工程116)又は加入者局110に送信される新しい肯定応答メッセージを生成する。そうでない場合には、STIは通信を中断してエラーメッセージを加入者局(図中に図示されていない)に送る。
【0136】
本態様ではSTIはアプリケーションレベルで動作することが仮定されているので、STIはアプリケーションサーバーから送信された応答メッセージをインターセプトできるだけでなく、Token−sを抽出することもできる。STIがトランスポートレベルまでで動作する場合には、STI111が応答メッセージをインターセプトし、それからIA(図11中に図示せず)に送信し、IAがアプリケーションレベルのToken−sを抽出してその有効性を検証することが分かる。
【0137】
好ましくは、無許可の者によりToken−sがインターセプト又は盗まれるのを避けるために、前記トークンを暗号化により保護するか又は寿命に関連付けることもできる。
【0138】
サーバーの認証の機構もまたエンドユーザーに対してトランスペアレントであるという利点を有することに留意されたい。
【図面の簡単な説明】
【0139】
【図1】サービスを要求する加入者の第1ネットワークがGPRSシステムであり、第2ネットワークがIPネットワークである本発明の一態様を示す。
【図2】第1ネットワークがモバイルネットワークである本発明の一態様により身分証明局(IA)に記憶された情報を有する表の例を示す。
【図3】アプリケーションサーバーにおいてホストされるウェブサービスに対するアクセス操作について、本発明の好ましい態様による処理図を示す。
【図4】本発明の別の態様において外部のNGNIPネットワークに接続されたパケット交換ネットワークのブロック図を示す。
【図5】本発明の別の態様において、SIPサーバーにおいてホストされるSIPサービスに対する、NGNを介するアクセス操作の処理図を概略的に示す。
【図6】アプリケーションサーバーにおいてホストされるウェブサイトに対するアクセス操作について、本発明の好ましい態様による処理図を示す。
【図7】サービスを要求する加入者の第1ネットワークが固定ネットワーク(ADSL)であり、第2ネットワークがIPネットワークである本発明の別の態様を示す。
【図8】第1ネットワークが固定ネットワークである本発明の一態様により身分証明局(IA)に記憶された情報を有する表の例を示す。
【図9】本発明の別の好ましい態様において、アプリケーションサーバーにおいてホストされるウェブサービスに対するアクセス操作の処理図を示す。
【図10】サービスを要求するユーザーが複数の(第1の)ネットワークの加入者であり、第2ネットワークがIPネットワークである本発明の一態様を示す。
【図11】本発明の別の態様による相互認証の場合の処理図を概略的に示す。
【符号の説明】
【0140】
2 MS(移動局)
3 BTS(基地局)
4 BSC(基地局コントローラ)
5 SGSN(サービングGPRSサポートノード)
6 GGSN(ゲートウェイGPRSサポートノード)
7 AAA(認証・許可・課金サーバー)
8 PKI(パブリック・キー・インフラストラクチャ)
9 IA(身分証明局)
10 STI(セキュリティ・トークン・インジェクター)
11 サーバー
12 IPネットワーク
【技術分野】
【0001】
本発明はパケットデータネットワーク、例えばインターネットに対して第1ネットワークの加入者を識別するための認証方法及びシステムに関する。特に、本発明は、モバイルネットワークにおける加入者に関連付けられた加入者の識別を利用することにより、パケットデータネットワークに対するモバイルネットワークの加入者の認証に使用するために開発された。
【背景技術】
【0002】
遠く離れた場所からプライベート又はパブリックのパケットデータネットワーク(PDN)、例えば、インターネットにアクセスするユーザー数が非常に多くなってきている。加えて、場所に関わりなく人々に利用可能なマルチメディアサービスのビジョンの下で、パケット交換接続を用いた(例えばインターネットプロトコル(IP)を用いた)携帯電話網の開発を推進してきた。このことは、仮想接続がネットワークにおける他のエンドポイントに常に利用可能であることを意味する。パケットベースの無線通信サービスの規格としては、GPRS(General Packet Radio Service)、EDGE(Enhanced Data Rate for GSM Evolution)、及びUMTS(Universal Mobile Telecommunications Service)が挙げられる。
【0003】
近年は、コストの低下と増え続ける接続能力とにより、さらに高速度のデータ通信システムが顧客の敷地に設置されてきている。これらのデータ通信システムは、例えば公衆交換電話網(PSTN)の同じツイストペア銅線上で機能してインターネットに接続する。通常の電話線上でのインターネット接続は、他の高速モデムが使用されていても、デジタル加入者線(DSL)アクセス技術により行われる。DSLは加入者の家庭と最寄りの電話局との間で電話サービスを家庭に持ち込むのに用いられる標準的な銅線上における高速データ転送を可能にする専用モデムを使用する。いくつかのDSL通信スキーム(一般にxDSL技術と称される)があるが、商業的に利用可能な最も一般的な形式の一つは、下流への(すなわち加入者への)データ転送速度が上流への(すなわち加入者からの)データ転送速度よりも数倍速いADSL(非対称DSL)である。
【0004】
近年関心が示されてきた別のアクセス技術は、FTTH(Fibre-To-The-Home)であり、これは、光ファイバーが交換機から加入者の敷地まで設けられた高速広帯域アクセスシステムである。
【0005】
短距離の無線インターネット接続においては、無線能力が内蔵されたコンピュータ又はハンドセット(例えば、PDA)が、アクセスポイント又はゲートウェイの範囲内のどこでもデータを送受信するために無線技術を用いる。このアクセスポイントは、放送及び受信の基地局として機能すると共に、無線ネットワークと有線ネットワークとの間のインターフェースとして機能する。例えば、無線デバイスとアクセスポイントとの間の無線技術は、IEEE 802.11規格(Wi−Fi(登録商標)仕様)又はIEEE 802.16規格(WiMAX仕様)に基づくことができる。
【0006】
広帯域アクセス技術は、サービスプロバイダがコンテンツを拡充すると共にビジネスユーザーと家庭ユーザーの両方にサービス提供することを可能にしてきた。例えば、一人のユーザーは、1以上のサービスプロバイダから音声サービス、インターネットアクセスサービス、映像サービス、ゲームサービスなどの複数のサービス又はアプリケーションを申し込むことができる。プライベート又はパブリックPDN(例えば、インターネット)を介して利用可能なこれらのサービス及び/又はアプリケーションは、DSL線などの単一のネットワーク接続上で提供できる。
【0007】
一方、PDN上で利用可能な絶え間なく増大する数のサービスでは、ペイ・パー・セッション方式のサービス、加入申し込みが必要なサービス、又はユーザーのプロフィールに従ってカスタマイズされたサービスの場合には、許可されたユーザーにのみアクセスを許可している。従来のいくつかの認証手順では、パスワード、例えば自動手段により認識される文字列を使用することで、保護されたファイル、又は入力/出力デバイスにユーザーがアクセスすることを可能にする。
【0008】
出願人は以下のことを考慮した。第1に、もちろんパスワードを用いた認証システムはユーザーに対してトランスペアレントでなく、ユーザーはサービスに同意するときパスワードを入力しなければならない。このことは、ユーザーがセッション中に複数のサービスにアクセスすることを欲する場合には特に望ましくない。第2に、実装するのは技術的には簡単だけれども、パスワードは複製されやすく又は盗まれやすいので危うい。
【0009】
モバイル通信システムは、許可されたユーザーに対応する移動局により利用されるネットワークのリソースを制御する。従来のGSM(Global System for Mobile communications)では、移動局(MS)が加入者識別モジュール(SIM)を含み、このSIMは、MSがGSMシステムのネットワークインフラストラクチャにアクセスすることを許可するのに用いられるデータを含んだ加入者の情報を有する。SIMは個々の加入者を識別する固有の手段を与えるので、セキュリティデバイスとみることができる。SIMは暗号法と、外部から明確な形式にて決して明かされない秘密情報を記憶する固有の計算能力とを使用する。
【0010】
従来のGSMネットワークシステムでは、いくつかのデータベースが呼制御のためや認証及びセキュリティの目的のために利用可能であり、代表的なものとして、ホーム・ロケーション・レジスタ(HLR)、ビジター・ロケーション・レジスタ(VLR)、認証センター(AUC)、及び装置識別レジスタ(EIR)がある。ネットワークオペレータにより登録されたすべてのユーザーに対して、一時データ(ユーザーの現在の場所)だけでなく不変データ(ユーザーのプロフィールなど)もHLRに記憶される。ユーザーへの呼の場合、常に最初にHLRに問い合わせてユーザーの現在の場所を求める。VLRは一群の場所領域を担当し、担当領域内に現在いるユーザーのデータを記憶する。これは、より速いアクセスのためにHLRからVLRに転送された不変ユーザーデータの一部を含む。しかし、VLRは一時識別などのローカルデータを割り当てて記憶することもできる。AUCは認証及び暗号化に用いられるキーなどのセキュリティ関係のデータを生成し記憶し、一方EIRは加入者データではなくてむしろ装置データを登録する。
【0011】
GSMはユーザーと装置とを明確に区別し、それらを別々に扱う。いくつかの加入者及び装置の識別子が定義されているが、加入者の移動を管理する必要があり、また残りのネットワーク要素すべてをアドレス指定する必要もある。国際移動局装置アイデンティティ(IMEI)は一種のシリアルナンバーであり、国際的に移動局(MS)を一意的に識別する。IMEIは装置製造業者により割り当てられ、ネットワークオペレータにより登録される。ネットワークオペレータはそれをEIRに記憶する。登録された各ユーザー、すなわち加入者は、その国際モバイル加入者アイデンティティ(IMSI)により一意的に識別される。一般に、IMSIはSIM中に記憶される。有効なIMSIを有するSIMが有効なIMEIを有する装置に挿入された場合にのみ、MSを操作できる。移動局の「実際の電話番号」はモバイル加入者ISDN番号(MSISDN)である。これは、移動局セットがSIMに依存していくつかのMSISDNを有することができるように、加入者(すなわち、加入者のSIM)に割り当てられる。
【0012】
GPRS(General Packet Radio Service)はデジタル携帯電話網(例えば、GSM又はPCS(Personal Communication Service))のために設計され、当初はGSMのために開発されたサービスである。GPRSはパケットデータネットワーク、例えばインターネットへの無線アクセスを大いに改善し簡単にする。これは移動局と外部のパケットデータネットワークとの間でユーザーデータパケットを効率的に転送するためにパケット無線原理を適用する。パケットは、GPRS移動局から他のGPRS端末若しくはPDNに、又は他のGPRS端末若しくはPDNからGPRS移動局に直接ルーティングできる。インターネットプロトコル(IP)に基づいたネットワーク(例えば、グローバルインターネット又はプライベート/企業イントラネット)やX.25ネットワークは、現在のバージョンのGPRSでサポートされている。
【0013】
GPRSはネットワークリソースと無線リソースの使用を最適化し、GSMインフラストラクチャの設置されたモバイル・スイッチング・センター(MSC)ベースへの変化を要求しない。既存のGSMアーキテクチャーに統合するために、一般にGPRSアーキテクチャーはGGSN(Gateway GPRS Support Node)とSGSN(Serving GPRS Support Node)とを備える。GGSNはMSCと同じ階層レベルにあり、他のパケットデータネットワーク(例えばインターネット)へのゲートウェイとして機能する。SGSNはGPRS使用可能モバイルデバイスへの仮想接続及びデータの送出を可能にするサービングノードである。SGSNは移動局にデータを送信し移動局からデータを受信し、移動局(MS)の位置についての情報を維持する。SGSNはMSとGGSNとの間を通信する。
【0014】
一般にGPRSセキュリティ機能は既存のGSMセキュリティと同等である。SGSNは既存のGSMにおけるものと同じアルゴリズム、キー及び基準に基づいて認証及び暗号設定手順を実行する。GPRSはパケットデータ伝送のために最適化された暗号化アルゴリズムを用いる。
【0015】
GPRS所属が成功した後に外部PDNとデータパケットを交換するために、MSはPDNにおいて用いられる1以上のアドレス、例えばPDNがIPネットワークである場合にはIPアドレスに申し込まなければならない。このアドレスはPDPアドレス(パケットデータプロトコルアドレス)と称する。各セッションでは、セッションの特徴を記述するいわゆるPDPコンテキストが作られる。これは、PDPタイプ(例えば、IPv4)、移動局に割り当てられたPDPアドレス(例えば、164.130.10.10)、要求されるサービスの品質(QoS)、及びPDNへのアクセスポイントとして働くGGSNのアドレスを含む。このコンテキストはMS、SGSN、及びGGSNに記憶される。アクティブPDPコンテキストにより、移動局は外部のPDNに「見え」、データパケットを送信及び受信することができる。これら2つのアドレスであるPDPとIMSIとの間のマッピングにより、GGSNがPDNとMSとの間でデータパケットを転送することができる。ユーザーは所与の時間にアクティブないくつかの同時PDPコンテキストをもつことができる。
【0016】
特許出願第WO01/67716号には、モバイル端末のMSISDN番号を、無線アプリケーションプロトコル(WAP)ネットワークにおいて認証、ビリング及び個人化プロセスで使用するために一時的に割り当てられたIPアドレスと関連付ける方法が記載されている。
【0017】
特許出願第WO01/03402号には、第1ネットワーク(すなわち、GPRSネットワーク)の加入者を第2ネットワーク(例えば、IPネットワーク)において識別するための認証方法が記載されており、第2ネットワークのアドレスは加入者に割り当てられている。第2ネットワークのアドレス(例えば、IPアドレス)と加入者のアイデンティティとの間のマッピングについての情報が生成され、第2ネットワークに送信される。この加入者のアイデンティティは、加入者のIMSI及び/又はMSISDNとし得る。
【0018】
出願人が分かったことは、加入者のアイデンティティをIPアドレスに関連付けることによってIPネットワークへのアクセスを認証することは、一般にIPパケットの偽装に弱く、インターネット上の侵入者がローカルシステムのIPアドレスを有効に装うことを可能にしていることである。加えて、これら2つのネットワークは(ルーティング可能なプライベートIPアドレスを利用して)どちらかを直接接続するか、又は互換性のあるアドレス計画を必要とする。
【0019】
特許出願第WO01/17310号には、GSMセキュリティ原理を適用することによってPDNへのアクセスを要求しているユーザーを認証するシステムが記載されている。遠隔のホストがアクセスネットワークを介してPDNに接続され、MSがPDNに接続されたモバイルネットワークにつながれている。PDNへのユーザー要求を受信すると、PDNは認証トークンを生成してアクセスネットワーク及び遠隔ホストを介してユーザーに送信し、ユーザーは認証トークンをモバイルネットワーク上にてPDNに送り戻す。その際、PDNは認証トークンを比較してPDNへのユーザーアクセスを認めるか否かを決める。
【0020】
出願人は、開示されている認証システムはユーザーにトランスペアレントではなく、ユーザーは認証を待たなければならず、また受信した認証トークンをPDNに送り戻さなければならないことが分かった。さらに、遠隔のサーバーはユーザーの電話番号を知らなければならないので、開示されたシステムはユーザーのプライバシーを危うくし得る。
【0021】
米国特許出願第2004/0132429号には、モバイル端末プログラミング又はなんらかのPOP3若しくはSMTPパラメータについて特別の知識なしに、モバイル通信ネットワークを介して電子メールアカウントにアクセスする方法及びシステムが開示されている。モバイル端末はデフォルトのPOP3/SMTPサーバーアドレスを用いて予め構成される。電子メールアカウントにアクセスするため、標準的なPOP3/SMTPを用いるモバイルネットワークを介してモバイル端末クライアントとプロクシーサーバーとの間に通信が確立される。ユーザーは単にユーザーのMSISDNに基づいて電子メールアカウントへのアクセスが許可され得る。
【0022】
UMTS(Universal Mobile Telecommunications Service)はGSM/GPRSネットワークの直接的な発展であると見ることができる。UMTSのセキュリティ機能は、GSMにおいて実装されたもの(例えば加入者の認証など)に基づいているが、これらのセキュリティ機能のいくつかは追加されたものであり、いくつかの既存のものは改良されてきた。
【0023】
パケット交換は、メッセージデータの比較的短いブロックであるデータパケットを利用する。パケットは非同期転送モード(ATM)におけるように固定長としてもよいし、フレームリレー若しくはインターネットプロトコル(IP)におけるように可変長としてもよい。望ましいシナリオの一つは、パケット交換無線ネットワークインフラストラクチャがインターネット電話をサポートする。インターネット電話又はIP電話は、インターネット能力とPSTN機能を融合するアプリケーション類である。IP電話アプリケーションは、インターネットインフラストラクチャ上でのリアルタイムの音声トラヒックの伝送と、既存のPSTNインフラストラクチャとのシームレスの統合とを可能にする。IP電話は音声呼(一般にVoIP(Voice over IP)と称する)に主に焦点を当てているが、ファックス、映像及びモデムデータなどの他の音声帯域又はマルチメディアアプリケーションを送るのにも使用できる。
【0024】
IP電話をサポートするために開発されたプロトコルはSIP(セッション・イニシエーション・プロトコル(Session Initiation Protocol))である。SIPは、マルチメディアセッションの設定、変更、及び解除を扱うための送信プロトコルであり、それと共に用いられるプロトコルと共同で、潜在的なセッション参加者に対する通信セッションのセッション特性を記述する。これらのセッションとしては、インターネットマルチメディア会議、インターネット電話呼及びマルチメディア配信が挙げられる。セッションを創出するのに用いられるSIP送信勧誘は、1組の互換性のあるメディアタイプについて参加者が合意することを可能にするセッション記述を伝える。SIPはユーザーの現在の場所に要求をプロクシーする又は再送することによってユーザーの移動性をサポートする。通常、通信セッション中にマルチメディア(オーディオ、音声又はデータ)を交換するのにリアルタイムプロトコル(RTP)が用いられるが、SIPにより任意のトランスポートプロトコルを使用できる。SIPはクライアント-サーバーモデルを使用し、該モデルではクライアントはSIP要求を起こし、その要求にサーバーが応答する。SIPでは、エンドポイントエンティティはユーザーエージェントと称され、クライアント(ユーザーエージェントクライアント)、すなわちSIP要求の創出者と、応答を返すサーバー(ユーザーエージェントサーバー)との両方である。
【0025】
SIPはインターネットにおいて利用されているが、インターネットは、SIP要素とメッセージがセキュリティについて様々な脅威及び攻撃にさらされ得る不利な環境と考えられる。SIPベースのシステムでは、認証手段は、アプリケーション層、トランスポート層及びネットワーク層を含めて種々の層にて有効にし得る。
【0026】
H.Tschofenigら「Using SAML for SIP」〔2004年8月31日現在インターネット(http://www.ietf.org/internet−dratfs/draft−tschofenig−sip−saml−00−txt)からダウンロードされる〕には、許可機構を提供するためにSIPと共同でSAML(Security Assertion Markup Language)を使用する方法が提案されている。強化ネットワーク・アサート・アイデンティティのシナリオが記載されており、この強化は認証サービス(AS)によりアサートされた属性に基づいている。第2のユーザーと通信することを欲する第1のユーザーがSIP INVITEを好ましいASに送信する。選ばれたSIPセキュリティ機構に依存して、ダイジェスト認証、S/MIME又はトランスポート層セキュリティが、ASに第1のユーザーのアイデンティティについての強い確信を付与するのに用いられる。第1のユーザーが認証され許可された後、SAMLアサーションがSIPメッセージに添付される。
【0027】
インターネット上で提供を開始するサービスの数がますます増加しているので、これらのサービスにアクセスするために効果的で安全なシングル・サイン・オン(SSO)機構を提供できることが重要になってきた。しばしば、インターネット上で提供されるサービスは、互いに遠く離れた場所にある複数のサーバー上に届けられる。SSO機構により、ユーザーは1又は少数のサーバー上で実施される認証手順を介して複数の遠隔サーバー上に届けられる複数のサービスを使用するために、ユーザーのアイデンティティ及び許可を認証できる。
【0028】
特許出願第WO01/72009号には、サービスにアクセスする許可を要求したユーザーにトークンが転送されるSSO認証機構が開示されている。このトークンはある期間の間だけ有効にし得る。認証関連の機能はサービスから分離され、セッション中に上記の複数のサービスから新しいサービスにアクセスするために認証を再調整する必要はない。トークンが転送される前に、ユーザーはサービスへのアクセスを許可してもらうためにユーザーの証明、例えばユーザー名及びパスワードを伝えることによって登録する。
【0029】
リバティ・アライアンス・プロジェクト(Liberty Alliance Project)は連合アイデンティティ及びアイデンティティベースのサービスのためのオープンな標準組織である。これはユーザーがリバティ・エネーブルド・サイト(Liberty-enabled site)にて一回サインオンし、再度の認証の必要なく別のリバティ・エネーブルド・サイトに進むときシームレスでサインオンすることを可能にするSSOの規格を提供する。「Liberty ID−WSF−Web Services Framework」〔http://www.projectliberty.org/resources/whitepapersに公開〕には、Liberty ID−WSFの構成要素の概要が示されている。メッセージ保護機構は、ウェブ・サービス・セキュリティ(WS−セキュリティ)仕様に従うSOAPヘッダーブロック中のSAMLアサーションの伝搬などのトークンベースの機構を含み得る。
【0030】
特許出願第WO2004/064442号には、国内ネットワークオペレータの連合(federation)を含む多国籍モバイルネットワークオペレータのパケット無線ネットワークにおけるユーザーローミングのためにSSOサービスを提供する電気通信方法及びシステムが開示されており、これらの国内ネットワークオペレータの一つがユーザーの契約を保持している。この電気通信システムは、当該連合に含まれる任意の国内ネットワークオペレータの加入者であるユーザーにSSOサービスを提供するために、多国籍モバイルネットワークオペレータ連合とサービス協定を締結した幾つかのサービスプロバイダを更に含む。各サービスプロバイダは、該連合におけるエントリーポイントとしてグローバルSSOフロントエンドインフラストラクチャにユーザーをリダイレクトするための手段;認証アサーション(SAMLアサーション)又はそのレファレンスであるトークンをユーザーから受信するための手段;アサーションが生成されたサイトからアサーションを取り出すための手段;及びこのサイトが信用できることを調べるための手段を備える。
【0031】
米国特許出願第2003/0163733号には、サービスプロバイダにアクセスしているユーザー(このユーザーは第1のモバイルネットワークオペレータとの契約を有する)を、前記第2のモバイルネットワークオペレータとの協定を有する第2のモバイルネットワークオペレータの認証ブローカーに向けてリダイレクトするための手段を備えた電気通信システムが開示されている。第1及び第2のモバイルネットワークオペレータは連合に属しており、認証ブローカーは認証プロバイダに向かう連合のエントリーポイントとして機能する。ユーザーは、SSOサービス要求を実行するために認証プロバイダに明確なアイデンティティ、例えば、MSISDN/IMSIを提示する。
【特許文献1】特許出願第WO01/67716号
【特許文献2】特許出願第WO01/03402号
【特許文献3】特許出願第WO01/17310号
【特許文献4】米国特許出願第2004/0132429号
【特許文献5】特許出願第WO01/72009号
【特許文献6】特許出願第WO2004/064442号
【特許文献7】米国特許出願第2003/0163733号
【発明の開示】
【発明が解決しようとする課題】
【0032】
発明の概要
本発明はパケットデータネットワーク(PDN)である第2ネットワークを介してアクセス可能なアプリケーションサービスにアクセスするために第1ネットワークの加入者を認証する方法及びシステムに関する。アプリケーションサービスとは、この場合にはトランスポートレベルより上のレベル(1つ又は複数)として表すことができるアプリケーションレベルにて定義されるサービスを意味する。特に、アプリケーションレベルは、OSI(Open System Interconnection)モデルにおいて定義されたレイヤ7、又はTCP/IPモデルによるレベル5により(非限定的に)表すことができる。アプリケーションサービスの例はウェブサービスであり、これは一般にHTTP GET/POST、SMTP、又はSOAP over HTTP、ウェブサイト(一般にブラウザを使用してアクセスされる)又はVoIPなどのプロトコルを用いてクライアントアプリケーションにより消費される。
【0033】
出願人はGSMネットワークなどの第1ネットワークの加入者は当該ネットワーク内で高レベルのセキュリティで認証されることに気付いた。
【0034】
出願人は第1ネットワークが固定回線アクセスネットワークである場合には当該ネットワーク内で高レベルのセキュリティで加入者のアイデンティティを確認できることに更に気付いた。xDSL技術の場合のように固定アクセスネットワークが公衆交換電話網(PSTN)と共有の有線回線を使用する場合には、顧客敷地装置(CPE)とPDNへのゲートウェイとの間の通信において、一般には専用の安全な有線リンク、例えば標準的な銅製の電話線又は光ファイバーが用いられる。
【0035】
Wi−Fi(登録商標)接続などの無線接続は従来からPDNへの無線リンクに起因して相対的に低レベルのセキュリティを特徴としてきたが、近年はネットワークアクセスの相対的に高レベルのセキュリティを保証する解決策が提案されている。高レベルのセキュリティの解決策の例はIEEE 802.11iセキュリティ規格であり、これは例えばD.Halaszの「IEEE 802.11i and wireless security」〔2005年9月20日現在、インターネットのhttp://www.embedded.com/showArticle.jhtml?articleID=34400002からダウンロードできる〕に記載されている。
【0036】
出願人はPDNを介してアプリケーションサービスが機能するアプリケーションレベルにて加入者を認証するために、第1ネットワークにおいて定義された加入者アイデンティティを使用できることを見いだした。特に、本発明によると、加入者をトランスペアレントに認証してアプリケーションサービスにアクセスさせることができる。
【課題を解決するための手段】
【0037】
本発明の好ましい態様では、PDNを介してサービスを要求する加入者の第1ネットワークはパケット交換モバイルネットワークである。さらに好ましくは、このパケット交換モバイルネットワークはGSMに基づいたGPRS規格である。通常、PDNはモバイルネットワークの外部のネットワーク、例えばIPネットワークである。同様に、アプリケーションサービスをホストするアプリケーションサーバーは、加入者がセッションを開始する場所から同一のモバイルネットワーク内でホストされるが、該サーバーは外部のPDNを介してアクセスされる場合にも、本発明が同様に適用される。例えば、アプリケーションサーバーはモバイルオペレータのVAS(Value-Added Service)プラットフォーム内に存在し得、これはIPネットワークにより提供される。特に、PDNはサービスプロバイダのプライベート又はパブリックのネットワークとし得る。
【0038】
本発明の別の態様では、PDNを介してサービスを要求する加入者の第1ネットワークは固定アクセスネットワークであり、この場合、加入者はPCにリンクされたDSLモデムや周辺デバイス(例えば電話ハンドセット又はTVセットトップボックス)にリンクされた住宅ゲートウェイなどの顧客敷地装置(CPE)を用いることによってPDNにアクセスする。CPEは専用電話回線、専用光ファイバー又はIEEE 802.11iセキュリティ規格に組み込まれた無線接続などの相対的に安全な有線回線又は無線リンクによって固定アクセスネットワークにアップリンクされる。
【0039】
本発明の好ましい態様によると、固定アクセスネットワークはxDSLアクセスネットワークである。
アプリケーションサービス(以下、サービスともいう)にアクセスする要求は、アプリケーションレベルにて定義されたアクセス要求メッセージの形式を有する。
【0040】
本発明の一態様は、パケットデータネットワーク(PDN)である第2ネットワークを介してアプリケーションサービスにアクセスするために第1ネットワークの加入者を認証する方法であって、アプリケーションサービスへの前記アクセスが、データパケット中に入れられたアクセス要求メッセージの形式で行われ、前記データパケットが、前記加入者(加入者のアドレス)に割り当てられた前記第2ネットワークにおけるアドレスと、アプリケーションレベルのプロトコルに従ったシンタックスにより表された前記アクセス要求メッセージとを含み、前記方法が:
a)第2ネットワークへのアクセス要求メッセージをインターセプトし;
b)前記アプリケーションレベルのプロトコルを認識し;
c)第1ネットワークにおける前記加入者のアドレスと加入者の第1の識別子との間のマッピングを与え;
d)加入者の第2の識別子を含んだ第1認証トークンを生成し;
e)前記第1認証トークンを前記アクセス要求メッセージに関連付け、そして
f)関連付けられた前記第1認証トークンと共にアクセス要求メッセージを第2ネットワークに送信する;
工程からなることを特徴とする方法に関する。
【0041】
本発明の別の態様は、パケットデータネットワーク(PDN)である第2ネットワークを介してアプリケーションサービスにアクセスするために第1ネットワークの加入者を認証するシステムであって、
第1ネットワークにつながれると共に、データパケット中に入れられたアクセス要求メッセージを生成する加入者局であって、前記アクセス要求メッセージはアプリケーションレベルのプロトコルに従ったシンタックスにより表される前記加入者局と;
前記第2ネットワークにおけるアドレスを前記加入者(加入者のアドレス)に割り当てると共に、加入者のアドレスと第1ネットワークにおける加入者の第1の識別子との間のマッピングを与える割当てサーバーと;
アクセス要求メッセージを加入者局から受信する機能、第1ネットワークと第2ネットワークをインターフェースする機能、及び前記加入者のアドレスを加入者局に割り当てる機能を実行するゲートウェイと;
加入者局で生成されてゲートウェイを介して第2ネットワークに向けられたデータパケットをインターセプトすると共に、データパケット中で少なくとも前記加入者のアドレスを取得する、ゲートウェイにリンクされた第1の論理エンティティと;
第1の論理エンティティにリンクされると共に、下記機能、すなわち:
加入者のアドレス及びアクセス要求メッセージを第1の論理エンティティから受信する機能、
アクセス要求メッセージの前記アプリケーションレベルのプロトコルを認識する機能、
前記加入者の第1の識別子を割当てサーバーに要求する機能、及び
加入者の第2の識別子を含んだ第1認証トークンを前記アプリケーションレベルのプロトコルに従って生成する機能、
を実行する第2の論理エンティティと;
を備え、第1の論理エンティティ又は第2の論理エンティティが前記認証トークンをアクセス要求メッセージに関連付けることを特徴とするシステムに関する。
【発明を実施するための最良の形態】
【0042】
詳細な説明
図1は本発明の好ましい態様を示す。図1の態様では、第1ネットワークがGPRSシステムであり、第2ネットワークがIPネットワーク12である。図1の態様は、GPRSネットワークの加入者が、加入者の移動局(MS)2からIPネットワークを介して、アプリケーションサーバー11においてホストされるウェブサイトにてサービスにアクセスすることを欲している代表的なシナリオを表すことができる。MS2は基地局(BTS)3に無線接続され、基地局(BTS)3は基地局コントローラ(BSC)4に接続する。一般にBTSとBSCとの結合機能は基地局サブシステム(BSS)と称される。そこから、サービスGPRSサポートノード(SGSN)5がGGSNにアクセスし、GGSNはデータネットワーク(この場合にはIPネットワーク12)へのゲートウェイとして働く。SGSN5は一般に既存のGSMと同じアルゴリズム、キー及び基準に基づいた認証及び暗号設定手順を実行する。
【0043】
携帯電話であり得るMS2は加入者識別モジュール(SIM)を含み、加入者識別モジュール(SIM)は識別及び認証情報を持っており、それによって携帯電話網がMS端末を携帯電話網内で識別して該電話網内で機能することを許可することができる。
【0044】
GPRSデータを送信及び受信するために、MS2はサービスにアクセスするのに用いるパケットデータアドレス、すなわち、この態様ではIPアドレスをアクティブにする必要がある。加入者がサービスを要求するとき、MS2は、終端がGGSN6にある無線ネットワーク上に要求を送信する。特定のプロトコルを用いて、GGSNはそれ自体は公知の認証−許可−課金(AAA)サーバー7に要求を送信する。AAAサーバーは例えばリモート認証ダイアルイン・ユーザー・サービス(RADIUS)サーバー又はダイナミック・ホスト・コンフィグレーション・プロトコル(DHCP)サーバーとし得る。AAAサーバーがRADIUSサーバーである場合、GGSNはRADIUSプロトコルを用いてAAAサーバーと通信するためにRADIUSクライアントを備える。標準的なGPRS手順に従い、AAAサーバーはネットワークアクセス識別子(NAI)又は国際モバイル加入者アイデンティティ(IMSI)などのいくつかの属性に基づいて加入者を認証することができる。IMSIは特定の加入者に一義的に関連付けられた識別番号である。一般にIMSIはモバイルネットワークオペレータにより割り当てられ、考えられる特定の加入者に対するビリング及びサービス提供を追跡する。一般にIMSIはSIM中に保持される。
【0045】
別法として、モバイルネットワークにおいて加入者を識別するために移動局国際ISDN番号(MSISDN)を使用できる。しかし、より多くのMSISDN、すなわち電話番号を同じIMSIに関連付けることができるので、IMSIは好ましい(しかし限定するものではない)加入者の識別子である。
【0046】
AAAサーバーはIPアドレスをMSに割り当て、それをGGSNに戻す。GGSNはこのIPアドレスをMSに割り当てる。アドレス割当てに用いられるプロトコルはGPRSネットワークに特有のものであり、一般にPDPコンテキスト・アクティべーションといわれる。AAAはデータベースを含み、該データベースでは割り当てられたIPアドレスが加入者のアイデンティティ、例えばIMSIに関連付けられる。
【0047】
例では1つのIPアドレスがMS2に割当てられているが、GGSNにより1より多いIPアドレスを同じMSに割当てることが可能なことも分かる。この場合、GPRS仕様に従い、GGSNはMSに関連付けられたアクティブ接続(PDPコンテキスト)についての情報を記憶することができると共に、データパケット伝送においてMSにより用いられるIPアドレスがGGSNによりMSに割り当てられたIPアドレスの1つであるか否かを確認することができる。
【0048】
GPRS−GSMネットワークのSGSN5、GGSN6及びAAA7が、GSMセキュリティスキームを特徴とする同じドメイン内にあることに留意されたい。
【0049】
本発明の好ましい態様によると、論理エンティティ(ソフトウェアモジュール)10(以下、セキュリティ・トークン・インジェクター(STI)という)がGGSN6に論理的にリンクされる。STIはGPRS/GSMネットワークから入ってくるトラヒックを制御するよう配置される。特に、STIは、移動局で生成されてGGSN6を介してIPネットワーク12に向けられたデータパケットをインターセプトする。
【0050】
データパケット(例えば、インターネットパケット)は、コアデータと、必要なアドレスと、ネットワークがデータを正しい宛先に送ることができるように添付された管理情報とからなるブロックである。データパケットはアプリケーションにより与えられたコアデータをもって出発する。コアデータはいくつかのヘッダーの層で包まれ、これらの層はOSIモデルに従って記述できる。この(非限定的な)説明では、各層はデータパケットがカプセル化として公知の機構を通過する際にデータパケットを変更する。コアデータは、アプリケーションレベルのプロトコルに従ったシンタックスにより表されるアプリケーションレベルのメッセージを含む。アプリケーションレベルのプロトコルの例は、FTP(ファイル転送プロトコル)、HTTP(ハイパーテキスト転送プロトコル)、SOAP(シンプル・オブジェクト・アクセス・プロトコル)又はSIPである。
【0051】
サービス又はサービス機能又はオペレーションへのアクセスを要求するアプリケーションレベルのメッセージは、このコンテキストではアクセス要求メッセージと称する。このコンテキストでは、アクセス要求メッセージは、必ずしもセッション開始時でのサービスへの同意の要求を記述するものではなく、サービスにより与えられる機能又はオペレーションへのアクセス要求をも記述する。SIPにおけるアクセス要求メッセージの例はINVITEメッセージであり、ユーザー・エージェント・クライアントがセッション(例えば、オーディオ、ビデオ、又はゲーム)を開始することを望むとき、INVITE要求を策定する。INVITE要求はサーバーにセッション(例えば、音声呼)を開設することを求める。別の例では、ウェブページが要求されたとき、所望のデータ、例えば、URLを取り出すのに必要な情報と共に「get」メッセージが作られる。「get」メッセージを保持するアプリケーションレベルのプロトコルは例えばHTTPである。この場合、「get」メッセージはHTTP GETヘッダーを含み、これはアプリケーションレベルでのサービス(この場合、インターネットを介してウェブページを検索するサービス)へのアクセス要求メッセージの一例である。
【0052】
インターネットが実行されるプロトコル・スタックはインターネット・プロトコル・スイート(広く用いられている2つのプロトコル:伝送制御プロトコル(TCP)及びインターネットプロトコル(IP)にちなんでTCP/IPスイートともいう)により記述できる。TCP/IPスイートのプロトコルセットはOSI7層モデルの5層をカバーする。TCP/IPスイートを用いることにより、一般にメッセージはアプリケーションヘッダー(実際には一般に複数のヘッダーからなる)とアプリケーションレベルのボディ(又はペイロード)との両方に埋め込まれる。ヘッダーはアプリケーションレベルのプロトコルに従って規格化されたフォーマットを有する一方、ペイロードはアプリケーションによる情報を含み、データは標準的なヘッダー又はフォーマットに準拠していない。HTTPにおけるヘッダーの例は、GETメッセージなどのメッセージのタイプ、及び要求されるウェブページのURLである。次の層はトランスポート層であり、トランスポート層はTCP又はユーザー・データグラム・プロトコル(UDP)において一般に定義されたヘッダー層を追加する。ネットワーク層(IP層としても公知のインターネットにおいて)では、ヘッダー(IPヘッダー)は、ソースから宛先へのパケットを得るのに必要な、ソースアドレスと宛先アドレス、すなわちマシン番号を含んだ情報を含む。
【0053】
STI10は少なくともネットワークレベルにて動作し、GGSN6を出て行くデータパケットを捕まえる。もしSTIがネットワークレベルでのみ、又は単にトランスポートレベルまでで動作するならば、GGSNを出て行き(そしてIPネットワークに向かう)データパケットすべてを捕らえる必要がある。というのは、データパケット中に保持されたアプリケーションメッセージを識別できず、例えば、それがアクセス要求メッセージであるか否か、及びそのアプリケーションレベルのプロトコル上にメッセージが保持されているか否かを識別できないからである。STIがアプリケーションレベルでも動作する場合には、アクセス要求メッセージを識別し、異なるアプリケーションレベルのプロトコルを区別することができる。例えば、もしアプリケーションレベルでも動作するならば、SIPアクセス要求メッセージのみをインターセプトして他のプロトコルで生成されたメッセージは通すようにSTIをプログラミングできる。
【0054】
STIモジュールを実現するのに用いることができる技術の一つは、アプリケーションレベルのファイアウォールの技術である。市販のアプリケーション認識型ファイアウォールの例はCisco PIX、Check Point Firewall−1(登録商標)及びXtradyneのWS−DBCである。
【0055】
アクセス要求メッセージを保持しているデータパケットにおいてSTIがインターセプトしなければならない最小情報は、ネットワークレベルでの加入者のアドレス、例えばインターネットにおいて加入者に(すなわち、MSに)割り当てられたIPアドレスについての情報である。一般に、STIは後で詳細に説明するように認証プロセスの終わりにメッセージを保持したデータパケットを送信するために宛先アドレスの情報を必要とするであろう。好ましくは、この情報はデータパケットをインターセプトするときにSTIにより抽出される。しかし、これは非限定的な特徴であり、STIは認証システムが定義した宛先アドレス(複数可)にメッセージを転送するよう構成することもできる。宛先アドレスは必ずしもメッセージが向けられたアプリケーションサーバーのアドレスではないことに留意されたい。例えば、SIPプロトコルによると、メッセージをSIPプロクシーに向けることができ、SIPプロクシーがメッセージヘッダーに含まれたアプリケーションレベルのアドレスにおいて指定されたアプリケーションサーバーに対してメッセージをアドレス指定する。
【0056】
STI10により捕らえられたデータパケット中に含まれる情報の少なくとも一部は、アプリケーションレベルにて動作するソフトウェアコンポーネント9(身分証明局(IA)という)に送られる。IAは外部のPDN、すなわちIPネットワーク12にアクセスする加入者のアイデンティティの管理を担当する。IAは少なくとも加入者のIPアドレスと、アクセス要求メッセージのアプリケーションレベルのプロトコルについての情報とをSTIから受信する。この後者の情報は、データパケットをSTIから(STIがネットワーク/トランスポートレベルまででのみ動作する場合には「閉じたエンベロープ」として)受信することにより、又はSTIがアプリケーションレベルでも動作する場合にはプロトコルの種類(例えば、SOAP、HTTP、SIP)などの特定の情報を受信することにより得ることができる。アプリケーションレベルで動作するSTIから受信する他の情報としては、メッセージタイプ(例えば、INVITE又はREGISTER)や要求されるサービスのユニバーサル・リソース識別子(URI)、例えばウェブページのURLが挙げられる。
【0057】
IA9は、加入者のIPアドレスの知識をSTI10から取得すること、及び割り当てられたIPアドレスと加入者のアイデンティティ(複数も可)との間のマッピングを含んでいるAAA7に問い合わせて加入者のアイデンティティの知識を取得することによって、サービスを要求する移動局MS2(すなわち、加入者)を識別する。加入者のアイデンティティとして、好ましくはIMSIがIAにより抽出される。
【0058】
好ましくは、IAは加入者のアイデンティティ及び加入者の要求サービスに関連した情報を記憶する。サービスプロバイダが異なるプロトコル(例えば、電子メールアカウントにはPOP3、ウェブのナビゲーションにはHTTP)を用いてより多くのサービスを提供する場合には、要求されるサービスについての情報は、IPアドレス及び/又はサービスプロバイダのURI及び/又はサービスにより用いられるプロトコルであり得る。図2には、IAに記憶された情報を示す表が例示される。図示した表は、サービスプロバイダSP−1、SP−2等により特徴付けられた1以上のサービスにアクセスすることを欲する加入者A、B及びCにマッピングを提供する。図2の例では、加入者は加入者のIMSIにより識別される。好ましくは、仮名PSが加入者に対してIAにより作られ、例えば、加入者のIMSIに対応したPSが作られる。別法として、図2に示されるように、複数の仮名を1人の加入者に生成でき、この場合、各仮名は加入者により要求される特定のサービスを特徴付ける。後で明らかになるように、IMSIなどの機密データを開示することを避けるためには、仮名を生成するのが好ましい。
【0059】
例えば、IPアドレスを加入者に関連付けられたIMSIとマッピングすることによって加入者のアイデンティティを検証した後、IAはアクセス要求メッセージのアプリケーションレベルのプロトコルに従ってソフトウェアトークンを生成する。例えば、ウェブサービスに対するSOAPメッセージの場合、WS−セキュリティ仕様に従ってトークンを定義できる。トークンはアクセス要求メッセージ中に、例えばメッセージの既存のアプリケーションヘッダーに挿入されるフィールドとして、又はメッセージ中に加えられる新しいアプリケーションヘッダーとして、挿入される。
【0060】
STIがどのレベルで動作するかに依存して、トークンがIAによりメッセージ中に挿入され得るか、又はIAがSTIにトークンをメッセージ中に挿入するよう命じることができる。後者の選択肢では、STIがアプリケーションレベルでも動作することが想定される。いずれにしても、STIが変更されたアクセス要求メッセージ(すなわち、トークンを含んでいる)をアプリケーションサーバー11に送信し、アプリケーションサーバー11が認証されたメッセージを受信する。
【0061】
メッセージの認証は、例えば、トークンを検証してそれをサービスのアプリケーションロジックに送る特定のアプリケーションサーバーソフトウェアによって、アプリケーションサービス(アプリケーションサーバー11内で動作している)によりアクノリッジし得る。認証を制御するフレームワークの例は、Sun Java System Access Managerであり、これはオープンJava2プラットフォームに基づいたアーキテクチャーである。
【0062】
認証トークンは、モバイルネットワーク、一般にはモバイルオペレータのドメインにおいて定義された加入者のアイデンティティに関連付けられた加入者の識別子、例えばIMSI又はMSISDNなどを含む。
【0063】
好ましくは、トークン中に含まれる加入者の識別子は、SIMベースのアイデンティティ、例えば、IMSI又はMSISDNに関連付けられた仮名である。本発明は認証トークンにおけるモバイルネットワークにおいて定義された加入者のアイデンティティの使用を排除しないが、セキュリティ脅威(例えば、モバイルオペレータのビリング処理に対する詐欺行為)を避けるために、仮名を使用して、加入者のプライバシーを保護し、IMSIなどの機密情報の開示を防ぐ。別法として、識別子は、例えば加入者の信用度に依存してモバイルオペレータにより加入者に割り当てられた許可文字列/符号とし得る。識別子は一意的に加入者のアイデンティティに対応するのが好ましいが、同一の許可文字列/符号を例えば年齢でグループ分けされた加入者グループに割り当てることができる。
【0064】
随意に、IAは生成されたトークンをSTIに転送する前に、パブリック・キー・インフラストラクチャ(PKI)サービス8に送り、パブリック・キー・インフラストラクチャ(PKI)サービス8は、例えばそれ自体公知の非対称暗号法でデジタル署名をトークンに追加することによってトークンを証明する。PKI8はEntrust PKI若しくはVeriSign(登録商標)などの商用のフレームワーク、又はOpenSSLなどのフリーウェア/オープン・ソース・ツールとし得る。
【0065】
本発明の認証システムの利点は、加入者に対してトランスペアレントであることであり、加入者はサービスを要求した後は、認証の結果のみ、すなわちサービスへのアクセス又はアクセスの拒絶が分かるだけである。
【0066】
STI及びIAを含んだ認証ソフトウェアプラットフォームは、モバイルネットワークオペレータの直接的な制御下におくことができる。
【0067】
STI10とIA9は、GGSN6の外部の別のコンポーネントとして示されているが、例えばGGSNのGPRS規格制御ロジック中に内蔵されたソフトウェアモジュールとしてGGSN内に実装することができる。このことにより、GGSNとSTIとの間の物理的な接続が除かれるので、ネットワークレベルの攻撃に対してSTIのセキュリティを向上させることができる。
【0068】
モジュールSTI及びIAは、Java、C、C++及びCORBAなどの標準的な言語にて実現され公知のハードウェアコンポーネント上にインストールされたソフトウェアコンポーネントとし得る。
【0069】
図3は、本発明の好ましい態様により、アプリケーションサーバー内でホストされるウェブサービスに対するアクセス操作の処理図を示す。図3に示されたプロセスフローにおいて相互作用する主なコンポーネントは、図1について説明したのと同じ一般的な論理機能を有し、同じ参照番号で示される。
【0070】
図3に示された態様では、MS2は、GPRS、EDGE又はUMTSなどのパケット交換携帯電話網内で接続及びデータ転送のためにデータ・イネーブルド・クライアントを含んだ携帯電話とし得る。例えば、携帯電話は、パケット交換ネットワークへの接続のために携帯電話を利用するパーソナルコンピュータに(有線又は無線リンクにより)リンクさせることができる。アプリケーションサーバー11は、公衆IPネットワークを介してサーバーに接続される携帯電話網の外部にあるドメインにおいてホストされる。
【0071】
図3では、MSは、例えばSOAPプロトコル(データをウェブサービスに送るとき及びウェブサービスから送るとき用いられるXMLベースの言語である)を用いることにより、公衆IPネットワークにおいて提供されるサービス「abc」へのアクセスを要求する。SOAPメッセージはHTTPメッセージ(アプリケーションレベルにて)中に含まれ得る。SOAP要求は、例えばヘッダー中のHTTP POST又はHTTP GET要求とし得るが、SOAPメッセージはボディ中に含まれる。例えば図3には、HTTP POST要求の例、すなわち“POST /abc HTTP/1.1”が与えられている。工程31は、MSが外部のネットワークへのアクセスを得るのに必要な、MS2とGGSN6との間での相互作用を簡略化して表す。工程31中、MSはAAA7により識別され許可され、AAA7はIPアドレスをMSに割り当て、IPアドレスと加入者のアイデンティティとの間のマッピング情報をメモリに少なくともデータセッションの期間中記憶する。この態様では、加入者のアイデンティティはIMSIからなる。工程31の携帯電話網内での許可及び認証段階の後、データパケット中に保持されたアクセス要求メッセージがGGSNにより外部のネットワークに転送される(工程32)。工程32の破線は、メッセージが本発明による認証機構なしで進んだであろう論理経路、すなわち、メッセージがアプリケーションサーバー11に送信されたであろう論理経路を表す(その際にはアプリケーションサーバー11は、認証のためのチャレンジ/レスポンス機構によってユーザーに要求したであろう)。
【0072】
本発明によると、工程32においてアクセス要求メッセージを含んだデータパケットが、GGSN6と公衆ネットワークとの間に位置するSTI10によりインターセプトされる。STIはインターセプトしたデータパケットから加入者のIPアドレス、すなわちセッションのためにMSに割り当てられたアドレス、好ましくはIP宛先アドレス、すなわちアプリケーションサーバー11のアドレスを抽出する。次にSTIはアプリケーションメッセージ(この場合SOAPメッセージ)と加入者のIPアドレスをIA9に転送する(工程33)。
【0073】
STIがアプリケーションレベルより低いレベルで動作する場合には、このメッセージは例えばアプリケーションヘッダー(複数も可)をIAに向けて転送することによって自動的にIAに転送される。逆に、STIがアプリケーションレベルにて動作する場合には、アプリケーションレベルのメッセージにおいて用いられるプロトコル、この場合SOAP over HTTPプロトコルを認識する。いずれにしても、IAは加入者のIPアドレスと、メッセージが準拠しているアプリケーションレベルのプロトコルとについての知識を取得する。STIとIAとの間での情報の伝送は、例えばインターフェース定義言語(IDL)などの共通オブジェクト・リクエスト・ブローカー・アーキテクチャー(CORBA)、又はウェブサービス記述言語(WSDL)などのウェブサービス言語において指定されたインターフェースによって行われ得る。
【0074】
工程34では、IA9はGSMネットワークにおいて(MS2により携帯電話網に接続された)加入者のアイデンティティを求めるためにAAA7に問い合わせをする。このアイデンティティはデータパケット中に捕らえられたソースIPアドレスに対応している。工程35では、AAA7が、IPアドレスに関連付けられた加入者のアイデンティティ(この場合IMSIにより表される)をIAに提供することによって問い合わせに応答する。
【0075】
次の工程(工程35)で、IAは加入者の識別子を含んだトークンを生成する。このトークン(例えば文字列)は、例えばWS-セキュリティ仕様に従って定義し得る(図3中に<WS>tokenとして示す)。好ましくは、トークン中に含まれる識別子は、IAにより生成されIMSIに関連付けられた仮名である。この識別子はまた、図2に示す例のように、例えば、シングル・サイン・オン(SSO)アクセス機構の場合のように、セッション内の異なるサービスにアクセスするために同じ加入者(すなわち同じIMSI)に複数の仮名が生成された場合にはサービスプロバイダに関連付けることもできる。IAは仮名(複数も可)と携帯電話網内で定義された加入者のアイデンティティ(すなわち、IMSI)との間のマッピングを少なくともセッションの期間中は記録しておく。
【0076】
以下の例はXMLフォーマットにて表されると共にOASIS(Organization for the Advancement of Structured Information standards)オープン規格に準拠した(簡略化された)SAMLトークンである:
【表1】
【0077】
上記の例のSAMLトークンは、GSMネットワークにおいて定義されたアイデンティティに関連付けられた「PSEUDONYM」(すなわち、IAにより与えられた識別子)を名前とするユーザーのアイデンティティをアサートする。好ましくは、SAMLトークンはサービスへのアクセスを許可するために用いられる認証方法についての情報を含み、この場合、GSMセキュリティスキーム(<GSM>で示される)により定義されている。追加のオプション情報は、認証の発行人(operator.comにより示される)とトークンの有効期間の条件(コマンドNotBefore及びNotAfterにより示される)である。
【0078】
随意に、トークンは、デジタル署名をトークンに添えるため、又は公知の暗号化機構により暗号化するために、PKI8サービスに転送される(工程36)。工程37では、PKIはデジタル署名で証明され且つ/又は暗号化により保護されたトークンを戻す。証明/暗号化されたトークンは図3においてDS(<WS>−token)により示される。
【0079】
工程35(PKIサービスが含まれる場合には工程37)に続いて、IAは生成されたトークンを含んだ新しいアクセス要求メッセージ(「New−soap」により示される)を生成する。好ましくは、この新しいメッセージは、OASIS WS−セキュリティ仕様に記載されている追加フィールドとしてSOAPエンベロープ中にトークンが追加されたMSから送信されるアクセス要求メッセージである。工程38で、新しいアクセス要求メッセージ(トークンを含む)が伝送のためにSTIに送られる。STIは、情報を抽出したデータパケットを予め複製しそのメモリに記憶しておき、それから、受信したアクセス要求メッセージをアプリケーションサーバー11に送信する(工程39)。
【0080】
デジタル署名がトークンに添えられていたならば、アプリケーションサーバーはPKIサービスに問い合わせすることによりデジタル署名を検証する(工程40)。例えば、PKIはトークンのデジタル署名の証明書が有効であることを検証する。
【0081】
最後に、トークンにより加入者のアイデンティティの認証を受信したアプリケーションサーバー11は、認証された加入者に要求サービスを提供する(工程41)。
【0082】
図3に記載の認証機構はユーザーにトランスペアレントであり、ユーザーはサービスにアクセスするために証明を入力する必要がないことが分かる。加えて、この認証機構により、一般にサービスを提供するサービスプロバイダ間に協定が存在することを前提とするSSO機構を用いて複数のサービスへのトランスペアレントなアクセスが可能になる(アイデンティティ連合)。
【0083】
図4は本発明の別の態様による外部のIPネットワークに接続されたパケット交換ネットワークのブロック図を示す。MS2はパケット交換モバイルネットワーク13、例えばUMTSネットワークに無線リンクされている。詳細には示されていないが、モバイルネットワーク13はAAAサーバーとGGSNを含む。この態様におけるIPネットワークは次世代ネットワーク(NGN)15であり、これはパケットベースのインターネットと電話ネットワークとの間の収束を可能にすると共に音声、データ及びビデオを含んだ顧客トラヒックのすべてのタイプをサポートするパケットベースのネットワークである。NGN技術のアプリケーションはVoice over IP(VoIP)である。この例では、NGNネットワークにおける呼/セッション機能は、セッション開始プロトコル(SIP)に基づいている。図4に示された態様によると、携帯電話MS2はSIPメッセージをNGN15を介してSIPサーバー14にアドレス指定する。モバイルネットワーク13のGGSNを出て行くSIPメッセージは、認証プラットフォーム17によりインターセプトされる。認証プラットフォーム17はSTI10、IA9及び随意にPKI8を含み、これらは図1に関して説明した機能と同じ一般的な論理機能を有する。認証の後、SIPサーバー14は常にNGN15を介してSIPメッセージをSIP電話16に転送し、SIP電話16は、IPベースの又は陸線/携帯電話のどちらかである他の電話に呼を発し、該他の電話から呼を受けるためのクライアントアプリケーションを含んだIPノードであり(すなわち、ユーザー・エージェント・クライアント及びユーザー・エージェント・サーバー)、例えばパーソナルコンピュータにインストールできる。SIPメッセージの例は、SIP電話16を用いてマルチメディア呼(例えば、テレビ会議)を設定するために携帯電話2から発せられる要求である。
【0084】
SIPサーバーにおいてホストされるSIPサービスに対してNGNを介してアクセスする操作の処理図が、図5に概略的に示される。MS2はSIPプロトコルを用いることによりNGNにおいて提供されるサービスへのアクセスを要求する。例えば、このサービスはテレビ会議セッションの設定であり、これはINVITEコマンドにより要求できる。SIPメッセージは例えば「INVITE sip:name@acme.comSIP/2.0」とすることができ、ここで、name@acme.comはRequest_URIであり、これは、SIPメッセージの宛先を指定するSIP URI(例えばURL)である。Request_URIはSIP電話において定義されたユーザー又はユーザーエージェントサーバーとし得る。この例では、Request_URIはSIP電話16により識別されるユーザーである。SIPメッセージはTCP又はUDPによりネットワークレベルにてトランスポートし得る。
【0085】
工程50は、MSが外部のネットワークへのアクセスを得るのに必要な、MS2とGGSN6との間での相互作用を簡略化して表す。工程50中、MSはAAA7により識別され許可され、AAA7はIPアドレスをMSに割り当て、IPアドレスと加入者のアイデンティティ(例えばIMSI)との間のマッピング情報をメモリに少なくともデータセッションの期間中記憶する。工程50の携帯電話網内での許可及び認証段階の後、データパケット中に保持されたアクセス要求メッセージがGGSNにより外部のネットワークに転送される(工程51)。工程51の破線は、メッセージが本発明による認証機構なしで進んだであろう論理経路、すなわち、メッセージがSIPサーバー14に送信されたであろう論理経路を表す。
【0086】
本発明によると、工程52においてSIPメッセージが、GGSNとNGNとの間に位置するSTI10によりインターセプトされる。STIはインターセプトしたデータパケットから、ソースIPアドレス(すなわちMSに割り当てられたアドレス)と、宛先IPアドレス、すなわち要求を取り扱いINVITEメッセージを正しい被呼者(SIP URIにより示される)に転送することができるSIPサーバーのアドレスとを抽出する。次にSTIはSIPメッセージと加入者のIPアドレスをIA9に転送する(工程52)。
【0087】
工程53では、IA9はSIPメッセージを含んだデータパケット中に捕らえられたソースIPアドレスに対応する加入者のアイデンティティを求めるためにAAA7に問い合わせをする。工程54では、AAA7が、IPアドレスに関連付けられた加入者のアイデンティティ(この場合IMSIにより表される)をIAに提供することによって問い合わせに応答する。
【0088】
次の工程(工程54)で、IAは加入者の識別子を含んだトークンを生成する。このトークンは、例えばSAML仕様に従って定義し得る(図5中に[SAML]tokenとして示す)。好ましくは、識別子は、IAにより生成されIMSIに関連付けられた仮名である。
【0089】
随意に、トークンは、デジタル署名をトークンに添えるため、且つ/又は公知の暗号化機構により暗号化するために、PKI8サービスに転送される(工程55)。工程56では、PKIはデジタル署名で証明され且つ/又は暗号化により保護されたトークンを戻す。証明/暗号化されたトークンは図5においてDS([SAML]−token)により示される。
【0090】
工程54(PKIサービスが含まれる場合には工程56)に続いて、IAは生成されたトークンを含んだ新しいアクセス要求メッセージ(「New SIP header」により示される)を生成する。好ましくは、この新しいメッセージは、SIPヘッダー61により図5に示されるように、SIPプロトコルに記載されている追加フィールドとしてSIPヘッダー中にトークンが追加されたMSから送信されるアクセス要求メッセージである。DS([SAML]token)に先行するフィールド「SAML−Payload」は、IETFにより定義されたキーワードであり、SAML−tokenヘッダーを識別するのに用いられる。
【0091】
新しいアクセス要求メッセージ(トークンを含む)が伝送のためにSTIに送られる(工程57)。次に、STIは、受信したSIPメッセージ61をSIPサーバー14に送る(工程58)。
【0092】
デジタル署名がトークンに添えられていたならば、アプリケーションサーバーはPKIサービスに問い合わせすることによりデジタル署名を検証する(工程59)。
【0093】
最後に、トークンにより加入者のアイデンティティの認証を受信したアプリケーションサーバー14は、INVITEに対する標準的なSIP肯定応答である「200 OK」メッセージをMSに送ることにより、INVITEメッセージに対して肯定応答を送信する(工程60)。それから、RTPを用いる音声映像ストリームをエンドポイント間に確立できる。
【0094】
図4に戻ると、認証プラットフォーム17はモバイルネットワークの外部にあるものとして示されているが、モバイルネットワーク13中に、すなわちモバイルオペレータのセキュリティドメイン中に実装することもできる。
【0095】
図6は本発明の好ましい態様によるアプリケーションサーバー中にホストされたウェブサイトへのアクセス操作の処理図を示す。ウェブサイトへのアクセスは、無線アプリケーションプロトコル(WAP)を用いることによりIPネットワークに接続されたGSMなどの回線交換モバイルネットワークから又はGPRSから行われる。この態様によると、MS2、例えばGSM電話は、WAPデータを解釈するマイクロブラウザーを含む。このWAPデータはUDPなどのネットワークプロトコルを用いて送られる。アプリケーションサーバーは専用のWAPサーバー又は従来のウェブサーバーとし得る。外部のネットワークへの携帯電話網のゲートウェイの論理機能はGGSN6により実行される。
【0096】
図6に示される態様は、例えばリバティ・アライアンス・プロジェクトにより定義されたアイデンティティ連合フレームワーク(ID−FF)に適用できる。ID-FFはSAML規格に基づいており、標準的なSOAPベースの認証及びシングル・サイン・オンのサービスのインターフェースをアイデンティティプロバイダに提供する。
【0097】
図6では、MS2は、例えばHTTPプロトコルを用いることにより、公衆IPネットワークにおいて提供されるサービス「abc」へのアクセスを要求する。図6には、HTTP GET要求の例、すなわち“GET /abc HTTP/1.1”が与えられている。工程71は、MSが外部のネットワークへのアクセスを得るのに必要な、MS2とGGSNとの間での相互作用を簡略化して表す。工程71中、MSはAAA7により識別され許可され、AAA7はIPアドレスをMSに割り当て、IPアドレスと加入者のアイデンティティとの間のマッピング情報をメモリに少なくともデータセッションの期間中記憶する。この態様では、加入者のアイデンティティはIMSIからなる。工程71の携帯電話網内での許可及び認証段階の後、データパケット中に保持されたアクセス要求メッセージがGGSNにより外部のネットワークに転送される(工程72)。工程72の破線は、メッセージが本発明による認証機構なしで進んだであろう論理経路、すなわち、メッセージがウェブ/WAPサーバーに送信されたであろう論理経路を表す。
【0098】
本発明によると、工程72においてアクセス要求メッセージを含んだデータパケットが、GGSNと公衆ネットワークとの間に位置するSTI10によりインターセプトされる。STIはインターセプトしたデータパケットから加入者のIPアドレス、すなわちセッションのためにMSに割り当てられたアドレス、及びIP宛先アドレス、すなわちアプリケーションサーバー11のアドレスを抽出する。次にSTIはアプリケーションメッセージ(この場合にはHTTP GETメッセージ)と加入者のIPアドレスをIA9に転送する(工程73)。
【0099】
工程74では、IA9は(MS2により携帯電話網に接続された)加入者のアイデンティティを求めるためにAAA7に問い合わせをする。このアイデンティティはデータパケット中に捕らえられたソースIPアドレスに対応している。工程75では、AAA7が、IPアドレスに関連付けられた加入者のアイデンティティ(この場合IMSIにより表される)をIAに提供することによって問い合わせに応答する。
【0100】
次の工程(工程76)で、IAは加入者の識別子を含んだトークンを生成する。好ましくは、トークン中に含まれる識別子は、IAにより生成されIMSIに関連付けられた仮名である。このトークンは、例えばSAML仕様に従って定義し得る(図6中に[SAML]−tokenとして示す)。好ましくは、識別子は、IAにより生成されIMSIに関連付けられた仮名である。
【0101】
随意に、トークンは、デジタル署名をトークンに添えるため、且つ/又は公知の暗号化機構により暗号化するために、PKI8サービスに転送される(工程76)。工程77では、PKIはデジタル署名で証明され且つ/又は暗号化により保護されたトークンを戻す。証明/暗号化されたトークンは図6においてDS([SAML]−token)により示される。
【0102】
工程75(PKIサービスが含まれる場合には工程77)に続いて、IAはリバティ・アライアンスにより定義された規格に従ってSAMLアサーションに対するポインターとして機能する「アーチファクト」を生成する。前記アーチファクトは図6において「Artifact(SAML)」により示されている。次に、工程78にてアーチファクトがSTIに与えられる。工程79では、STIは「Artifact(SAML)」を含んだHTTP GETメッセージをウェブ/WAPサーバーに送る。工程80の間、アーチファクトを含んだアクセス要求メッセージを受信したサーバーは、IAに対してアーチファクトに対応したSAMLトークンを提供するよう要求する。要求しているモバイル加入者の識別子を含んだSAMLトークンを受信した後、加入者が識別され(そして許可され)、次にサーバー(すなわち、サービスプロバイダ)が肯定応答「welcome」をMSに送る(工程81)。
【0103】
図7は本発明の別の好ましい態様を示し、サービスを要求している加入者の第1ネットワークがADSLアクセスネットワークであり、第2ネットワークがIPネットワークである。図7の態様はADSLネットワークの加入者がアプリケーションサーバー24内でホストされるウェブサイトでのサービスをIPネットワークを介して加入者のパーソナルコンピュータ(PC)18からアクセスすることを欲しているような代表的なシナリオを表すことができる。この例では、PC18は標準的なシリアルUSB(ユニバーサル・シリアル・バス)インターフェースを介してADSLモデム19に接続される。一般にPC18及びADSLモデム19は顧客敷地装置(CPE)68と称される。しかし、1以上のPC、IP電話又はTVセットトップボックスに接続された住宅ゲートウェイなどの代わりのCPEを考えることもできる。したがって、一般に、例えば、ログオンIDとパスワードをPCのキーボードからタイプすることにより、又は(例えば、スマートカード内に含まれるか又は住宅ゲートウェイのファームウェアに組み込まれた文字列コードを用いて)住宅ゲートウェイから自動認証によって、電気通信を開始し、ルーティングし、又は終了させるため、およびPDNにアクセスすべく認証要求を行なうためにCPEが用いられる。強調すべきは、PDN(例えば、インターネット)へのアクセスを許可するためのこの認証はアクセスネットワーク内であることである。
【0104】
加入者はCPE68を介してDSLアクセスマルチプレクサー(DSLAM)30に接続される。DSLAM30はマルチプレクサー/デマルチプレクサーを備え、顧客回線(すなわち、有線リンク67)が中央局(オペレータ敷地)66のDSLAM内の割り当てられたADSL端末装置に接続される。DSLAM30は、ルーティング又はサービス選択を含めてアプリケーションレベルのセッション管理を行なう広帯域ネットワークアクセスサーバー(BNAS)29にアップリンクする。CPEは、図7において参照番号20で概略的に示されたエンドユーザーの場所(例えば、家庭又は会社)にある。CPEとDSLAMとの間の接続は有線リンク67、一般には標準的な銅製の電話線である。従来のアナログ電話、すなわち従来の一般電話システム(POTS)23は、同じ有線リンク67を介してPSTN25に随意に接続し得る。したがって、有線リンク67はPOTS及びDSL信号の両方を伝えることができる。DSLAM30と共にBNAS29は、外部のパケットデータネットワーク(この場合にはIPネットワーク22)に対するゲートウェイとして機能する。CPEとDSLAMとの間の通信では顧客敷地と中央局との間の専用有線リンクが用いられるので、DSLインフラストラクチャ内の通信の高レベルのセキュリティが保証されることに注目すべきである。
【0105】
BNASは、加入者にアクセスを許可するために、IPネットワークへのアクセスを要求する加入者の認証を処理する。ログオン認証は認証、許可及び課金(AAA)サーバー26により実行される。AAAサーバー26は図1の態様において説明したモバイルネットワークのAAAサーバーと同様の論理操作を実行する。特に、AAAサーバーはデータベースを含み、該データベースでは、割り当てられたIPアドレスがxDSLネットワーク内の加入者のアイデンティティに関連付けられている。公知の方法に従い、PDNにアクセスするための認証(ログオン認証ともいう)を、パスワードベースの機構、スマートカード又は暗号トークンに基づいて行なうことができる。好ましいログオン認証機構では、ログオンID、一般には(外部のデータネットワークへの接続を要求するときに加入者が入力する)パスワードに関連付けられたユーザー名が使用される。ログオンIDはまたスマートカードの中に含ませることもできる。ログオンIDを用いることにより、同じ加入者局を使い得る異なるユーザー間の識別、例えば同じPCを介して接続するユーザー間の識別が可能になる。別法として、PSTNの呼出し回線識別(CLI)によりADSLインフラストラクチャ内で加入者を識別することができる。
【0106】
本発明によると、セキュリティ・トークン・インジェクター(STI)65がBNAS29に論理的にリンクされる。STIはADSLネットワークから入ってくるトラヒックを制御するように配置される。特に、STI65はCPE68で生成されBNAS29を介してIPネットワーク22に向けられたデータパケットをインターセプトする。
【0107】
STI65は少なくともネットワークレベルにて動作し、BNAS29を出て行くデータパケットを捕まえる。もしSTIがネットワークレベルでのみ、又は単にトランスポートレベルまでで動作するならば、BNASを出て行き(そしてIPネットワークに向かう)データパケットすべてを捕らえる必要がある。というのは、データパケット中に保持されたアプリケーションメッセージを識別できず、例えば、それがアクセス要求メッセージであるか否か、及びそのアプリケーションレベルのプロトコル上にメッセージが保持されているか否かを識別できないからである。STIがアプリケーションレベルでも動作する場合には、アクセス要求メッセージを識別し、異なるアプリケーションレベルのプロトコルを区別することができる。例えば、もしアプリケーションレベルでも動作するならば、HTTPアクセス要求メッセージのみをインターセプトして他のプロトコルで生成されたメッセージは通すようにSTIをプログラミングできる。
【0108】
STI65の一般的な論理機能は図1に関して説明したSTI10と同様である。特に、アクセス要求メッセージを保持しているデータパケットにおいてSTIがインターセプトしなければならない最小情報は、ネットワークレベルでの加入者のアドレス、例えばインターネットにおいて加入者に割り当てられたIPアドレスについての情報である。
【0109】
STI65により捕らえられたデータパケット中に含まれる情報の少なくとも一部は、アプリケーションレベルにて動作するソフトウェアコンポーネントの身分証明局(IA)64に送られる。IAは外部のPDN、すなわちIPネットワーク22にアクセスする加入者のアイデンティティの管理を担当する。IAは少なくとも加入者のIPアドレスと、アクセス要求メッセージのアプリケーションレベルのプロトコルについての情報とをSTIから受信する。この後者の情報は、データパケットをSTIから(STIがネットワーク/トランスポートレベルまででのみ動作する場合には「閉じたエンベロープ」として)受信することにより、又はSTIがアプリケーションレベルでも動作する場合にはプロトコルの種類などの特定の情報を受信することにより得ることができる。
【0110】
IA64の論理機能は図1に関して説明したものと実質的に同じである。特に、IAは、STI65からそのIPアドレスの知識を取得すること、及び(割り当てられたIPアドレスと加入者のアイデンティティ(複数も可)との間のマッピングを含む)AAA26に問い合わせて加入者のアイデンティティの知識を取得することにより、サービスを要求する加入者(すなわち、例えば、スマートカードログオンを介して又はCLIから加入者の局)を識別する。
【0111】
好ましくは、IAは加入者のアイデンティティ及び加入者の要求サービスに関連した情報を記憶する。サービスプロバイダが異なるプロトコル(例えば、電子メールアカウントにはPOP3、ウェブのナビゲーションにはHTTP)を用いてより多くのサービスを提供する場合には、要求されるサービスについての情報は、IPアドレス及び/又はサービスプロバイダのURI及び/又はサービスにより用いられるプロトコルであり得る。図8には、IA64に記憶された情報を示す表が例示される。図示した表は、サービスプロバイダSP−1、SP−2等により特徴付けられた1以上のサービスにアクセスすることを欲する加入者A、B及びCにマッピングを提供する。図8の例では、加入者は加入者のログオンID、例えばユーザーネームとパスワード(LOGIN−A、LOGIN−Bなど)により識別される。好ましくは、仮名PSが各加入者に対してIAにより作られ、例えば、加入者のログオンIDに対応したPSが作られる。別法として、図8に示されるように、複数の仮名を1人の加入者に生成でき、この場合、各仮名は加入者により要求される特定のサービスを特徴付ける。CLI又はログオンIDなどの機密データを開示することを避けるためには、仮名を生成するのが好ましい。
【0112】
例えば、IPアドレスを加入者に関連付けられたログオンIDとマッピングすることによって加入者のアイデンティティを検証した後、IAはアクセス要求メッセージのアプリケーションレベルのプロトコルに従ってソフトウェアトークンを生成する。トークンはアクセス要求メッセージ中に、例えばメッセージの既存のアプリケーションヘッダーに挿入されるフィールドとして、又はメッセージ中に加えられる新しいアプリケーションヘッダーとして、挿入される。
【0113】
STIがどのレベルで動作するかに依存して、トークンがIAによりメッセージ中に挿入され得るか、又はIAがSTIにトークンをメッセージ中に挿入するよう命じることができる。後者の選択肢では、STIがアプリケーションレベルでも動作することが想定される。いずれにしても、STIが変更されたアクセス要求メッセージ(すなわち、トークンを含んでいる)をアプリケーションサーバー24に送信し、アプリケーションサーバー24が認証されたメッセージを受信する。
【0114】
認証トークンは、固定アクセスネットワークにおいて定義された加入者のアイデンティティに関連付けられた加入者の識別子を含む。
【0115】
好ましくは、トークン中に含まれる加入者の識別子は、加入者のアイデンティティ、例えばCLI又はログオンIDに関連付けられた仮名である。本発明はPSTN又は固定アクセスネットワークにおいて定義された加入者のアイデンティティを認証トークンにおいて使用することを排除しないが、仮名を使用して加入者のプライバシーを保護し、機密情報の開示を防ぐ。別法として、識別子は、例えば加入者の信用度に依存してPSTNオペレータにより加入者に割り当てられた許可文字列/符号とし得る。識別子は一意的に加入者のアイデンティティに対応するのが好ましいが、同一の許可文字列/符号を例えば年齢でグループ分けされた加入者グループに割り当てることができる。
【0116】
随意に、IA64は生成されたトークンをSTIに転送する前に、パブリック・キー・インフラストラクチャ(PKI)サービス63に送り、パブリック・キー・インフラストラクチャ(PKI)サービス63は、例えばそれ自体公知の非対称暗号法でデジタル署名をトークンに追加することによってトークンを証明する。
【0117】
STI65とIA64は、BNAS29の外部の別のコンポーネントとして示されているが、例えばBNASの制御ロジック中に内蔵されたソフトウェアモジュールとしてBNAS内に好ましくは実装することができる。このことにより、BNASとSTIとの間の物理的な接続が除かれるので、ネットワークレベルの攻撃に対してSTIのセキュリティを向上させることができる。
【0118】
図7〜9ではデジタル加入者線(DSL)技術(特にADSL技術)の場合について本発明の態様を説明したが、本発明はxDSL技術に限定されるものではないことが分かる。実際、他のアクセス技術及び/又はネットワーク構成、例えば、限定するものではないがハイブリッドファイバー同軸ケーブル(HFC)、無線接続(例えば、WiFi(登録商標)又はWiMAX)、ファイバー・ツー・ザ・ホーム(FTTH)、及び/又はイーサネットなども本発明の他の態様において使用できる。
【0119】
図9はアプリケーションサーバー内でホストされたウェブサイトへのアクセス操作の処理図を示す。このプロセスフローにおいて相互作用する主なコンポーネントは、図7に関して説明したものと同じ一般的な論理機能を有しており、同じ参照番号で示されている。この態様では、加入者局はSOAPプロトコルを用いることにより公衆IPネットワークにおいて提供されるサービス「abc」へのアクセスを要求する。このHTTP要求は、例えばHTTP POST、例えば「POST /abc HTTP/1.1」とし得る。加入者局(この態様ではADSLモデムにリンクされたエンドユーザー周辺デバイス18(例えば、PC))が、工程91にてADSLインフラストラクチャ内で公知の方法で認証する。すなわち、工程91は、加入者局が外部のネットワークにアクセスするのに必要な、PC18(DSLモデムを介する)とBNAS29との間での相互作用を概略的に示す。認証段階では、AAA26がIPアドレスを加入者局に割り当てると共に、少なくともデータセッションの期間中、IPアドレスと加入者のアイデンティティとの間のマッピング情報をメモリに記憶する。次に、IPサービスにアクセスするために加入者局がADSLアクセスネットワークから認証され、IPアドレスが加入者に割り当てられる。
【0120】
工程91のアクセスネットワーク内での許可及び認証段階の後、工程92にて、データパケット中に保持されたアクセス要求メッセージがBNASにより外部のネットワークに転送される。工程92の破線は、メッセージが本発明による認証機構なしで進んだであろう論理経路、すなわち、メッセージがアプリケーションサーバー24に送信されたであろう論理経路を表す。
【0121】
本発明によると、工程92においてアクセス要求メッセージを含んだデータパケットが、BNAS29と公衆ネットワークとの間に位置するSTI65によりインターセプトされる。STIはインターセプトしたデータパケットから加入者のIPアドレス、すなわちセッションのために加入者局に割り当てられたアドレス、好ましくはIP宛先アドレス、すなわちアプリケーションサーバー24のアドレスを抽出する。次にSTIはアプリケーションメッセージ(この場合SOAPメッセージ)と加入者のIPアドレスをIA64に転送する(工程93)。
【0122】
STIがアプリケーションレベルより低いレベルで動作する場合には、このメッセージは例えばアプリケーションヘッダー(複数も可)をIAに向けて転送することによって自動的にIAに転送される。逆に、STIがアプリケーションレベルにて動作する場合には、アプリケーションレベルメッセージにおいて用いられるプロトコル、この場合SOAP over HTTPプロトコルを認識する。いずれにしても、IAは加入者のIPアドレスと、メッセージが準拠しているアプリケーションレベルのプロトコルとについての知識を取得する。STIとIAとの間での情報の伝送は、例えばインターフェース定義言語(IDL)などの共通オブジェクト・リクエスト・ブローカー・アーキテクチャー(CORBA)、又はウェブサービス記述言語(WSDL)などのウェブサービス言語において指定されたインターフェースによって行われ得る。
【0123】
工程94では、IA64はPSTNにおいて加入者のアイデンティティを求めるためにAAA26に問い合わせをする。このアイデンティティはデータパケット中に捕らえられたソースIPアドレスに対応している。工程95では、AAA26が、IPアドレスに関連付けられた加入者のアイデンティティ(この場合ログオンIDにより表される)をIAに提供することによって問い合わせに応答する。
【0124】
次の工程(工程96)で、IAは加入者の識別子を含んだトークンを生成する。このトークン(例えば文字列)は、例えばWS−セキュリティ仕様に従って定義し得る(図9中に<WS>tokenとして示す)。好ましくは、トークン中に含まれる識別子は、IAにより生成されログオンIDに関連付けられた仮名である。この識別子はまた、図8に示す例のように、例えば、シングル・サイン・オン(SSO)アクセス機構の場合のように、セッション内の異なるサービスにアクセスするために同じ加入者(すなわち同じログオンID)に複数の仮名が生成された場合にはサービスプロバイダに関連付けることもできる。IAは仮名(複数も可)とPSTN内で定義された加入者のアイデンティティ(例えばログオンID又はCLI)との間のマッピングを少なくともセッションの期間中は記録しておく。
【0125】
随意に、トークンは、デジタル署名をトークンに添えるため、又は公知の暗号化機構により暗号化するために、PKI63サービスに転送される(工程97)。工程98では、PKIはデジタル署名で証明され且つ/又は暗号化により保護されたトークンを戻す。証明/暗号化されたトークンは図9においてDS(<WS>−token)により示される。
【0126】
工程95(PKIサービスが含まれる場合には工程97)に続いて、IAは生成されたトークンを含んだ新しいアクセス要求メッセージ(「New−soap」により示される)を生成する。工程98で、新しいアクセス要求メッセージ(トークンを含む)が伝送のためにSTIに送られる。例えば、新しいメッセージは、OASIS WS−セキュリティ仕様において記述された追加フィールドとしてトークンがSOAPエンベロープ中に追加されている、加入者局から送信されたアクセス要求メッセージである。STIは、情報を抽出したデータパケットを予め複製しそのメモリに記憶しておき、それから、受信したアクセス要求メッセージをアプリケーションサーバー24に送信する(工程99)。
【0127】
デジタル署名がトークンに添えられていたならば、アプリケーションサーバーはPKIサービスに問い合わせすることによりデジタル署名を検証する(工程100)。例えば、PKIはトークンのデジタル署名の証明書が有効であることを検証する。
【0128】
最後に、トークンにより加入者のアイデンティティの認証を受信したアプリケーションサーバー24は、認証された加入者に要求サービスを提供する(工程101)。
【0129】
図9に記載の認証機構はユーザーにトランスペアレントであり、ユーザーはサービスにアクセスするために証明を入力する必要がないことが分かる。加えて、この認証機構により、一般にサービスを提供するサービスプロバイダ間に協定が存在することを前提とするSSO機構を用いて複数のサービスへのトランスペアレントなアクセスが可能になる(アイデンティティ連合)。
【0130】
近年、ユーザーは複数の電気通信ネットワークの加入者であり、したがって異なるネットワークからアプリケーションサービスにアクセスすることを欲する又は必要とすることが益々一般的になってきた。図2及び8に関して説明したように、(必ずしもそうではないが)異なるサービスプロバイダにより与えられ得る異なるアプリケーションサービスに同意した同じ加入者に対して、異なる仮名を生成することができる。出願人は、ユーザーがサービスにアクセスする異なるネットワークに対して同一である仮名によって、サービスアプリケーションにて(すなわち、サービスプロバイダに対して)ユーザーを識別できることが分かった。図10はユーザーが複数の電気通信ネットワーク、すなわちADSLアクセスネットワーク121、無線(WiFi(登録商標))アクセスネットワーク124、GPRS/GSMネットワーク128及びUMTSネットワーク126の加入者であるシナリオを概略的に示す。ユーザーはネットワーク121、124、126又は128からIPネットワーク120を介してアプリケーションサーバー129にてアプリケーションサービスにアクセスする要求を送ることができる。IPアドレスは、常に第1ネットワーク内で、要求が生成されてAAAサーバー(図示せず)により識別子に関連付けられる第1ネットワーク内で、アクティブにされる。本発明の好ましい態様によると、セキュリティ・トークン・インジェクター(STI)は、加入者がアプリケーションサービスを要求する各第1ネットワークのアクセスゲートウェイ又はアクセスポイント(例えば、BNAS、GGSN)(これはIPネットワークのゲートウェイとして機能する)に論理的にリンクされる。STI122、123、125及び127はネットワーク121、124、126及び127からそれぞれ発せられたアクセス要求メッセージをインターセプトする。図示されてはいないが、各STIは、IPネットワークを介してアプリケーションサービスにアクセスする加入者のアイデンティティを管理することを担当する身分証明局(IA)に論理的にリンクされる。STI及びIAの機能と論理操作は、上記の態様に関して詳細に説明される。特に、各第1ネットワークのIAは、取得したIPアドレスから加入者のアイデンティティの知識を得て、仮名をIPアドレスに関連付け、これは、(第1ネットワーク内の加入者のアイデンティティに対する関連性により)加入者を識別するだけでなく、要求されるアプリケーションサービスに関連する。要求サービスを仮名に関連付けできるためには、IA(又はSTIがアプリケーションレベルで動作する場合にはSTI)は要求サービスのURIをアクセス要求メッセージから抽出する必要がある。URIの知識を得ることにより、加入者の識別子をサービス関連の仮名に関連付け、それからアクセス要求メッセージ中に挿入することができる。サービス関連の仮名は、要求サービスを実施しているサービスプロバイダにより生成し、それからIAに通信することができる。このような通信を行なういくつかの解決策が可能である。これは、アイデンティティ連合をサポートするためにリバティ・アライアンス協会により規定されたプロトコルなどのプロトコルによって、オフライン方式によるか、IAにより提供されサービスプロバイダにより用いられる何らかの提供ツールによるか、又はランタイムにて実行できる。
【0131】
この態様においても加入者のアイデンティティは、ユーザーがサービスを要求する第1ネットワークにより保証されることが分かる。
【0132】
マルチネットワークアクセスの可能なシナリオは、マルチプラットフォームオペレータにより管理される複数のネットワーク、例えば、GPRS、UMTS及び固定アクセスネットワーク(例えばPSTNの電話線上のxDSLなど)の加入者であるユーザーのマルチネットワークアクセスであり得る。
【0133】
出願人はいくつかのサービスではクライアント(すなわち、加入者局)とサーバーとの間での相互認証が必要とされることが分かった。換言すれば、インターネットなどの外部のネットワークを介して何らかのサービスを利用する場合、ユーザーは自身がほんとうに所望の又は正しいサーバーと通信しているか否かを知る必要があるか又は知ることを欲し得る。リモートコンピュータがサーバーの挙動を模倣できるならば、ユーザーは欺かれて正しいサーバーを通信していると考えるかもしれない。例えば、金融機関、その顧客及び金融取引についての情報は、従来からセキュリティと信頼性に非常に神経質なものと考えられてきた。今日では、非対称キーペア暗号法が例えば、インターネットバンキングにおいてセキュリティと秘密性を保証するためにしばしば用いられる。
【0134】
図11は、本発明の好ましい態様において、相互認証の場合にPDNを介してアプリケーションサーバー内にホストされたサービスにアクセスすることを示す簡略プロセス図である。工程113では、移動局又はCPEであり得る加入者局110が、アプリケーションサーバー112内でホストされるサービスを要求する。この例では、メッセージはPOST型のHTTPアクセス要求メッセージである。常に工程113では本発明の方法(上記態様において詳細に記載)に従い、前記メッセージがSTI111によりインターセプトされ、トークン、すなわちToken−cが生成され該メッセージに関連付けられる。次にSTIはメッセージを関連のトークンと共にアプリケーションサーバーに送る(工程114)。メッセージを受信し(随意に認証の有効性を検証し)た後、サーバー112は応答トークン、すなわち、Token−sを生成し、これは、受信したPOSTメッセージに対する肯定応答「Welcome」中に入れられる。Token−sは例えばSAMLアサーションなどの規格に従ってアプリケーションサービス(例えばJava Servlet又はMicrosoft Active Server Pages)を実行するソフトウェア中に実装された文字列とし得る。別法として、Token−sは好ましくはサービスプロバイダ敷地にてサーバーに論理的にリンクされた論理エンティティ(図中に図示せず)により生成される。論理エンティティはアプリケーションサーバーの前に配置されたアプリケーション・ファイア・ウォールとし得る。
【0135】
Token−sを含むと共にアプリケーションサーバー112により加入者局110に送信された応答メッセージは、STI111によりインターセプトされ、STI111がToken−sを応答メッセージから抽出してその有効性を検証する。この有効性は、デジタル署名、又はネットワークオペレータ(STIがオペレータ敷地にあることを想定)とサービスプロバイダとの間で共有された秘密、例えば対称キーによって検証できる。Token−sの有効性が肯定的に検証されたなら、STIはインターセプトされた肯定応答メッセージ「Welcome」を加入者局に送信するか(工程116)又は加入者局110に送信される新しい肯定応答メッセージを生成する。そうでない場合には、STIは通信を中断してエラーメッセージを加入者局(図中に図示されていない)に送る。
【0136】
本態様ではSTIはアプリケーションレベルで動作することが仮定されているので、STIはアプリケーションサーバーから送信された応答メッセージをインターセプトできるだけでなく、Token−sを抽出することもできる。STIがトランスポートレベルまでで動作する場合には、STI111が応答メッセージをインターセプトし、それからIA(図11中に図示せず)に送信し、IAがアプリケーションレベルのToken−sを抽出してその有効性を検証することが分かる。
【0137】
好ましくは、無許可の者によりToken−sがインターセプト又は盗まれるのを避けるために、前記トークンを暗号化により保護するか又は寿命に関連付けることもできる。
【0138】
サーバーの認証の機構もまたエンドユーザーに対してトランスペアレントであるという利点を有することに留意されたい。
【図面の簡単な説明】
【0139】
【図1】サービスを要求する加入者の第1ネットワークがGPRSシステムであり、第2ネットワークがIPネットワークである本発明の一態様を示す。
【図2】第1ネットワークがモバイルネットワークである本発明の一態様により身分証明局(IA)に記憶された情報を有する表の例を示す。
【図3】アプリケーションサーバーにおいてホストされるウェブサービスに対するアクセス操作について、本発明の好ましい態様による処理図を示す。
【図4】本発明の別の態様において外部のNGNIPネットワークに接続されたパケット交換ネットワークのブロック図を示す。
【図5】本発明の別の態様において、SIPサーバーにおいてホストされるSIPサービスに対する、NGNを介するアクセス操作の処理図を概略的に示す。
【図6】アプリケーションサーバーにおいてホストされるウェブサイトに対するアクセス操作について、本発明の好ましい態様による処理図を示す。
【図7】サービスを要求する加入者の第1ネットワークが固定ネットワーク(ADSL)であり、第2ネットワークがIPネットワークである本発明の別の態様を示す。
【図8】第1ネットワークが固定ネットワークである本発明の一態様により身分証明局(IA)に記憶された情報を有する表の例を示す。
【図9】本発明の別の好ましい態様において、アプリケーションサーバーにおいてホストされるウェブサービスに対するアクセス操作の処理図を示す。
【図10】サービスを要求するユーザーが複数の(第1の)ネットワークの加入者であり、第2ネットワークがIPネットワークである本発明の一態様を示す。
【図11】本発明の別の態様による相互認証の場合の処理図を概略的に示す。
【符号の説明】
【0140】
2 MS(移動局)
3 BTS(基地局)
4 BSC(基地局コントローラ)
5 SGSN(サービングGPRSサポートノード)
6 GGSN(ゲートウェイGPRSサポートノード)
7 AAA(認証・許可・課金サーバー)
8 PKI(パブリック・キー・インフラストラクチャ)
9 IA(身分証明局)
10 STI(セキュリティ・トークン・インジェクター)
11 サーバー
12 IPネットワーク
【特許請求の範囲】
【請求項1】
パケットデータネットワーク(PDN)である第2ネットワークを介してアプリケーションサービスにアクセスするために第1ネットワークの加入者を認証する方法であって、アプリケーションサービスへの前記アクセスが、データパケット中に入れられたアクセス要求メッセージの形式で行われ、前記データパケットが、前記加入者(加入者のアドレス)に割り当てられた前記第2ネットワークにおけるアドレスと、アプリケーションレベルのプロトコルに従ったシンタックスにより表された前記アクセス要求メッセージとを含み、前記方法が:
a)第2ネットワークへのアクセス要求メッセージをインターセプトし;
b)前記アプリケーションレベルのプロトコルを認識し;
c)第1ネットワークにおける前記加入者のアドレスと加入者の第1の識別子との間のマッピングを与え;
d)加入者の第2の識別子を含んだ第1認証トークンを生成し;
e)前記第1認証トークンを前記アクセス要求メッセージに関連付け、そして
f)関連付けられた前記第1認証トークンと共にアクセス要求メッセージを第2ネットワークに送信する;
工程からなることを特徴とする方法。
【請求項2】
前記第2ネットワークがIPネットワークであり、前記加入者のアドレスがIPアドレスである請求項1に記載の方法。
【請求項3】
前記第1ネットワークがモバイルネットワークである請求項1又は2に記載の方法。
【請求項4】
前記モバイルネットワークがパケット交換携帯電話網である請求項3に記載の方法。
【請求項5】
前記パケット交換携帯電話網がGPRSネットワークである請求項4に記載の方法。
【請求項6】
前記パケット交換携帯電話網がEDGE又はUMTSネットワークである請求項4に記載の方法。
【請求項7】
前記加入者の第1の識別子と前記加入者の第2の識別子が互いに異なる請求項1に記載の方法。
【請求項8】
前記第1ネットワークがGSMネットワークであり、前記加入者の第1の識別子がSIMベースのアイデンティティである請求項7に記載の方法。
【請求項9】
前記SIMベースのアイデンティティがGSMネットワークにおける加入者に関連付けられたIMSIである請求項8に記載の方法。
【請求項10】
前記加入者の第2の識別子が前記加入者の第1の識別子に関連付けられた仮名である請求項7に記載の方法。
【請求項11】
前記工程e)が前記第1認証トークンをアクセス要求メッセージ中に含ませることを含む請求項1〜10のいずれか一項に記載の方法。
【請求項12】
工程d)の後に、前記第1認証トークンをデジタル署名と共に暗号化する工程を更に含む請求項1〜11のいずれか一項に記載の方法。
【請求項13】
前記第1認証トークンを前記アクセス要求メッセージのアプリケーションレベルのプロトコルに従ったシンタックスにより表す請求項1〜12のいずれか一項に記載の方法。
【請求項14】
前記アプリケーションレベルのプロトコルをSIP、HTTP及びSOAP over HTTPからなる群から選ぶ請求項1〜13のいずれか一項に記載の方法。
【請求項15】
前記アプリケーションレベルのプロトコルがSIP又はHTTPであり、前記第1認証トークンをSAML規格に従って指定する請求項1に記載の方法。
【請求項16】
前記第1ネットワークが固定アクセスネットワークである請求項1に記載の方法。
【請求項17】
前記固定アクセスネットワークがデジタル加入者線(xDSL)アクセス技術を用いる請求項16に記載の方法。
【請求項18】
前記加入者の第1の識別子がログオンIDである請求項16に記載の方法。
【請求項19】
工程f)の後に、
g)関連付けられた前記第1認証トークンと共に前記アクセス要求を、前記第2ネットワークを介して前記アプリケーションサービスにて受信し;
h)受信した前記アクセス要求メッセージへの第1の応答メッセージを生成し;
i)第2認証トークンを生成し、前記第2認証トークンを前記第1の応答メッセージ中に含め;
j)前記第2認証トークンを含んだ前記第1の応答メッセージをインターセプトし;
k)前記第2認証トークンを前記第1の応答メッセージから抽出し、そして
l)前記第2認証トークンを検証し、該検証が肯定的ならば第2の応答メッセージを第1ネットワークに送信する;
工程を更に含む請求項1に記載の方法。
【請求項20】
工程g)の後に前記第1認証トークンを検証する工程を更に含む請求項19に記載の方法。
【請求項21】
複数の第1ネットワークの加入者を認証してアプリケーションサービスにアクセスする方法であって、各第1ネットワークからの加入者の認証を請求項1に記載の方法により実行する前記方法。
【請求項22】
前記第1認証トークンと要求された前記アプリケーションサービスとの間のマッピングを与える工程を更に含む請求項1又は21に記載の方法。
【請求項23】
前記第1認証トークンと要求された前記アプリケーションサービスとの間の前記マッピングが、要求されたサービスのURIをアクセス要求メッセージから抽出することを含む請求項22に記載の方法。
【請求項24】
前記加入者の第2の識別子が前記加入者の第1の識別子及び要求された前記アプリケーションサービスに関連付けられた仮名である請求項22に記載の方法。
【請求項25】
パケットデータネットワーク(PDN)である第2ネットワークを介してアプリケーションサービスにアクセスするために第1ネットワークの加入者を認証するシステムであって、
第1ネットワークにつながれると共に、データパケット中に入れられたアクセス要求メッセージを生成する加入者局(2、68)であって、前記アクセス要求メッセージはアプリケーションレベルのプロトコルに従ったシンタックスにより表される前記加入者局(2、68)と;
前記第2ネットワークにおけるアドレスを前記加入者(加入者のアドレス)に割り当てると共に、加入者のアドレスと第1ネットワークにおける加入者の第1の識別子との間のマッピングを与える割当てサーバー(7、26)と;
アクセス要求メッセージを加入者局(T)から受信する機能、第1ネットワークと第2ネットワークをインターフェースする機能、及び前記加入者のアドレスを加入者局に割り当てる機能を実行するゲートウェイ(6、29)と;
加入者局(2、18)で生成されてゲートウェイ(6、29)を介して第2ネットワークに向けられたデータパケットをインターセプトすると共に、データパケット中で少なくとも前記加入者のアドレスを取得する、ゲートウェイ(6、29)にリンクされた第1の論理エンティティ(10、65)と;
第1の論理エンティティ(10、65)にリンクされると共に、下記機能、すなわち:
加入者のアドレス及びアクセス要求メッセージを第1の論理エンティティから受信する機能、
アクセス要求メッセージの前記アプリケーションレベルのプロトコルを認識する機能、
前記加入者の第1の識別子を割当てサーバーに要求する機能、及び
加入者の第2の識別子を含んだ第1認証トークンを前記アプリケーションレベルのプロトコルに従って生成する機能、
を実行する第2の論理エンティティ(9、64)と;
を備え、第1の論理エンティティ又は第2の論理エンティティが前記第1認証トークンをアクセス要求メッセージに関連付けることを特徴とするシステム。
【請求項26】
前記割当てサーバー(7、26)と前記ゲートウェイ(6、29)が第1ネットワークに含まれる請求項25に記載のシステム。
【請求項27】
前記第1の論理エンティティ(10、65)と前記第2の論理エンティティ(9、64)が第1ネットワークに含まれる請求項25に記載のシステム。
【請求項28】
前記第1ネットワークがモバイルネットワークであり、前記加入者局(2)が無線リンクを介して第1ネットワークにつながれた移動局である請求項25に記載のシステム。
【請求項29】
前記第1ネットワークがパケット交換携帯電話網である請求項28に記載のシステム。
【請求項30】
前記ゲートウェイ(6)がGGSNである請求項28又は29に記載のシステム。
【請求項31】
前記割当てサーバー(7、26)が認証・許可・課金(AAA)サーバーである請求項25に記載のシステム。
【請求項32】
前記第2ネットワークがIPネットワーク(12、22)である請求項25に記載のシステム。
【請求項33】
前記第2の論理エンティティ(9、64)に論理的にリンクされると共に前記第1認証トークンを暗号化する論理エンティティ(8、63)を証明することを更に含む請求項25に記載のシステム。
【請求項34】
前記第1の論理エンティティ(10、65)がアプリケーションレベルのファイアウォールである請求項25に記載のシステム。
【請求項35】
前記第1ネットワークが固定アクセスネットワークであり、前記加入者局が有線リンク(67)を介して第1ネットワークにつながれた顧客敷地装置(68)である請求項25に記載のシステム。
【請求項36】
前記加入者の第1の識別子がログオンIDである請求項35に記載のシステム。
【請求項37】
前記第1の論理エンティティ(10、65)がまた、第2ネットワークを介して送信されてゲートウェイ(6、29)を介して前記加入者局(2、68)に向けられた応答メッセージをインターセプトする請求項25に記載のシステム。
【請求項38】
前記応答メッセージが第2認証トークンを含む請求項37に記載のシステム。
【請求項1】
パケットデータネットワーク(PDN)である第2ネットワークを介してアプリケーションサービスにアクセスするために第1ネットワークの加入者を認証する方法であって、アプリケーションサービスへの前記アクセスが、データパケット中に入れられたアクセス要求メッセージの形式で行われ、前記データパケットが、前記加入者(加入者のアドレス)に割り当てられた前記第2ネットワークにおけるアドレスと、アプリケーションレベルのプロトコルに従ったシンタックスにより表された前記アクセス要求メッセージとを含み、前記方法が:
a)第2ネットワークへのアクセス要求メッセージをインターセプトし;
b)前記アプリケーションレベルのプロトコルを認識し;
c)第1ネットワークにおける前記加入者のアドレスと加入者の第1の識別子との間のマッピングを与え;
d)加入者の第2の識別子を含んだ第1認証トークンを生成し;
e)前記第1認証トークンを前記アクセス要求メッセージに関連付け、そして
f)関連付けられた前記第1認証トークンと共にアクセス要求メッセージを第2ネットワークに送信する;
工程からなることを特徴とする方法。
【請求項2】
前記第2ネットワークがIPネットワークであり、前記加入者のアドレスがIPアドレスである請求項1に記載の方法。
【請求項3】
前記第1ネットワークがモバイルネットワークである請求項1又は2に記載の方法。
【請求項4】
前記モバイルネットワークがパケット交換携帯電話網である請求項3に記載の方法。
【請求項5】
前記パケット交換携帯電話網がGPRSネットワークである請求項4に記載の方法。
【請求項6】
前記パケット交換携帯電話網がEDGE又はUMTSネットワークである請求項4に記載の方法。
【請求項7】
前記加入者の第1の識別子と前記加入者の第2の識別子が互いに異なる請求項1に記載の方法。
【請求項8】
前記第1ネットワークがGSMネットワークであり、前記加入者の第1の識別子がSIMベースのアイデンティティである請求項7に記載の方法。
【請求項9】
前記SIMベースのアイデンティティがGSMネットワークにおける加入者に関連付けられたIMSIである請求項8に記載の方法。
【請求項10】
前記加入者の第2の識別子が前記加入者の第1の識別子に関連付けられた仮名である請求項7に記載の方法。
【請求項11】
前記工程e)が前記第1認証トークンをアクセス要求メッセージ中に含ませることを含む請求項1〜10のいずれか一項に記載の方法。
【請求項12】
工程d)の後に、前記第1認証トークンをデジタル署名と共に暗号化する工程を更に含む請求項1〜11のいずれか一項に記載の方法。
【請求項13】
前記第1認証トークンを前記アクセス要求メッセージのアプリケーションレベルのプロトコルに従ったシンタックスにより表す請求項1〜12のいずれか一項に記載の方法。
【請求項14】
前記アプリケーションレベルのプロトコルをSIP、HTTP及びSOAP over HTTPからなる群から選ぶ請求項1〜13のいずれか一項に記載の方法。
【請求項15】
前記アプリケーションレベルのプロトコルがSIP又はHTTPであり、前記第1認証トークンをSAML規格に従って指定する請求項1に記載の方法。
【請求項16】
前記第1ネットワークが固定アクセスネットワークである請求項1に記載の方法。
【請求項17】
前記固定アクセスネットワークがデジタル加入者線(xDSL)アクセス技術を用いる請求項16に記載の方法。
【請求項18】
前記加入者の第1の識別子がログオンIDである請求項16に記載の方法。
【請求項19】
工程f)の後に、
g)関連付けられた前記第1認証トークンと共に前記アクセス要求を、前記第2ネットワークを介して前記アプリケーションサービスにて受信し;
h)受信した前記アクセス要求メッセージへの第1の応答メッセージを生成し;
i)第2認証トークンを生成し、前記第2認証トークンを前記第1の応答メッセージ中に含め;
j)前記第2認証トークンを含んだ前記第1の応答メッセージをインターセプトし;
k)前記第2認証トークンを前記第1の応答メッセージから抽出し、そして
l)前記第2認証トークンを検証し、該検証が肯定的ならば第2の応答メッセージを第1ネットワークに送信する;
工程を更に含む請求項1に記載の方法。
【請求項20】
工程g)の後に前記第1認証トークンを検証する工程を更に含む請求項19に記載の方法。
【請求項21】
複数の第1ネットワークの加入者を認証してアプリケーションサービスにアクセスする方法であって、各第1ネットワークからの加入者の認証を請求項1に記載の方法により実行する前記方法。
【請求項22】
前記第1認証トークンと要求された前記アプリケーションサービスとの間のマッピングを与える工程を更に含む請求項1又は21に記載の方法。
【請求項23】
前記第1認証トークンと要求された前記アプリケーションサービスとの間の前記マッピングが、要求されたサービスのURIをアクセス要求メッセージから抽出することを含む請求項22に記載の方法。
【請求項24】
前記加入者の第2の識別子が前記加入者の第1の識別子及び要求された前記アプリケーションサービスに関連付けられた仮名である請求項22に記載の方法。
【請求項25】
パケットデータネットワーク(PDN)である第2ネットワークを介してアプリケーションサービスにアクセスするために第1ネットワークの加入者を認証するシステムであって、
第1ネットワークにつながれると共に、データパケット中に入れられたアクセス要求メッセージを生成する加入者局(2、68)であって、前記アクセス要求メッセージはアプリケーションレベルのプロトコルに従ったシンタックスにより表される前記加入者局(2、68)と;
前記第2ネットワークにおけるアドレスを前記加入者(加入者のアドレス)に割り当てると共に、加入者のアドレスと第1ネットワークにおける加入者の第1の識別子との間のマッピングを与える割当てサーバー(7、26)と;
アクセス要求メッセージを加入者局(T)から受信する機能、第1ネットワークと第2ネットワークをインターフェースする機能、及び前記加入者のアドレスを加入者局に割り当てる機能を実行するゲートウェイ(6、29)と;
加入者局(2、18)で生成されてゲートウェイ(6、29)を介して第2ネットワークに向けられたデータパケットをインターセプトすると共に、データパケット中で少なくとも前記加入者のアドレスを取得する、ゲートウェイ(6、29)にリンクされた第1の論理エンティティ(10、65)と;
第1の論理エンティティ(10、65)にリンクされると共に、下記機能、すなわち:
加入者のアドレス及びアクセス要求メッセージを第1の論理エンティティから受信する機能、
アクセス要求メッセージの前記アプリケーションレベルのプロトコルを認識する機能、
前記加入者の第1の識別子を割当てサーバーに要求する機能、及び
加入者の第2の識別子を含んだ第1認証トークンを前記アプリケーションレベルのプロトコルに従って生成する機能、
を実行する第2の論理エンティティ(9、64)と;
を備え、第1の論理エンティティ又は第2の論理エンティティが前記第1認証トークンをアクセス要求メッセージに関連付けることを特徴とするシステム。
【請求項26】
前記割当てサーバー(7、26)と前記ゲートウェイ(6、29)が第1ネットワークに含まれる請求項25に記載のシステム。
【請求項27】
前記第1の論理エンティティ(10、65)と前記第2の論理エンティティ(9、64)が第1ネットワークに含まれる請求項25に記載のシステム。
【請求項28】
前記第1ネットワークがモバイルネットワークであり、前記加入者局(2)が無線リンクを介して第1ネットワークにつながれた移動局である請求項25に記載のシステム。
【請求項29】
前記第1ネットワークがパケット交換携帯電話網である請求項28に記載のシステム。
【請求項30】
前記ゲートウェイ(6)がGGSNである請求項28又は29に記載のシステム。
【請求項31】
前記割当てサーバー(7、26)が認証・許可・課金(AAA)サーバーである請求項25に記載のシステム。
【請求項32】
前記第2ネットワークがIPネットワーク(12、22)である請求項25に記載のシステム。
【請求項33】
前記第2の論理エンティティ(9、64)に論理的にリンクされると共に前記第1認証トークンを暗号化する論理エンティティ(8、63)を証明することを更に含む請求項25に記載のシステム。
【請求項34】
前記第1の論理エンティティ(10、65)がアプリケーションレベルのファイアウォールである請求項25に記載のシステム。
【請求項35】
前記第1ネットワークが固定アクセスネットワークであり、前記加入者局が有線リンク(67)を介して第1ネットワークにつながれた顧客敷地装置(68)である請求項25に記載のシステム。
【請求項36】
前記加入者の第1の識別子がログオンIDである請求項35に記載のシステム。
【請求項37】
前記第1の論理エンティティ(10、65)がまた、第2ネットワークを介して送信されてゲートウェイ(6、29)を介して前記加入者局(2、68)に向けられた応答メッセージをインターセプトする請求項25に記載のシステム。
【請求項38】
前記応答メッセージが第2認証トークンを含む請求項37に記載のシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公表番号】特表2008−518533(P2008−518533A)
【公表日】平成20年5月29日(2008.5.29)
【国際特許分類】
【出願番号】特願2007−538287(P2007−538287)
【出願日】平成17年9月30日(2005.9.30)
【国際出願番号】PCT/EP2005/010590
【国際公開番号】WO2006/045402
【国際公開日】平成18年5月4日(2006.5.4)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
2.イーサネット
【出願人】(503148270)テレコム・イタリア・エッセ・ピー・アー (87)
【Fターム(参考)】
【公表日】平成20年5月29日(2008.5.29)
【国際特許分類】
【出願日】平成17年9月30日(2005.9.30)
【国際出願番号】PCT/EP2005/010590
【国際公開番号】WO2006/045402
【国際公開日】平成18年5月4日(2006.5.4)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
2.イーサネット
【出願人】(503148270)テレコム・イタリア・エッセ・ピー・アー (87)
【Fターム(参考)】
[ Back to top ]