ユーザ認証及びサービス承認を管理し、シングル・サイン・オンを実現して、複数のネットワーク・インタフェースにアクセスするためのシステム及び方法
【課題】複数のドメインに存在する複数のネットワークにアクセスするためのシングル・サイン・オンを可能にする。
【解決手段】シングル・サイン・オンの特徴は、特に、異なるネットワーク管轄ドメイン間で行われる認証及び承認のプロセスであり、エンド・サービスを利用する端末は、新しいサービスにアクセスするたびに認証プロセスを明示的に始める必要がない。また、本発明のシングル・サイン・オンの特徴は、連携ドメイン環境と非連携ドメイン環境とにおける使用に拡張可能である。非連携ドメインは、本発明を用いるために、他のドメインを介して間接な連携チェーンを形成できる。また、訪問ドメインが認証を行うことを可能にするユーザ資格の管理に関しても、本発明の適用が可能である。
【解決手段】シングル・サイン・オンの特徴は、特に、異なるネットワーク管轄ドメイン間で行われる認証及び承認のプロセスであり、エンド・サービスを利用する端末は、新しいサービスにアクセスするたびに認証プロセスを明示的に始める必要がない。また、本発明のシングル・サイン・オンの特徴は、連携ドメイン環境と非連携ドメイン環境とにおける使用に拡張可能である。非連携ドメインは、本発明を用いるために、他のドメインを介して間接な連携チェーンを形成できる。また、訪問ドメインが認証を行うことを可能にするユーザ資格の管理に関しても、本発明の適用が可能である。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データ通信ネットワークの分野に適用され、特に、より単純なクロスドメイン・サービスを提供するための移動通信ネットワークにおけるアクセス制御に関する。通常、ユーザは、異なる管轄ドメインの異なるネットワークによって提供されるサービスにアクセスするために、複数のログインを行う必要がある。本発明は、直接的に又は間接的に連携した複数のドメイン環境のユーザが、すべてのネットワークによって提供されるサービスにシングル・サイン・オンでアクセスすることを可能にする。また、この特徴が提供されることにより、本発明は、ユーザが、任意のときに同一サービスを提供するネットワークへの切り換えを容易に行えるようにする高速ハンドオーバに使用可能である。本発明は、特に、マルチモード端末が許容される環境において、シングル・ログイン・プロセスによって、すべてのネットワーク・インタフェースを介したユーザ・アクセス・サービスを可能にするという点で有用である。
【背景技術】
【0002】
今日の世界におけるビジネスと消費者のネットワーク・アイデンティティの管理に関する非効率性と複雑さとに対処するために、ユーザの個人情報のすべてを集中して保存せずに、ユーザが、アカウント間でユーザの識別要素をリンクできるようにする連携したネットワーク・アイデンティティ・インフラストラクチャに対する強いニーズがある。現在、モバイル・コンピューティング技術によれば、ユーザ端末は、ユーザ端末のホーム・ドメイン内のアクセス・サービスに限定せずに、ユーザ端末のホーム・ドメイン外のサービスにアクセスすることが可能となっている。したがって、複数のドメイン・アクセスは、ユーザ端末が、複数のネットワーク・プロバイダに加入するものであり、このとき、ユーザが複数の加入情報を維持することは非常に厄介となる。シングル・サイン・オンの特徴によれば、ユーザは1つの識別情報だけ保持すればよく、他の外部ドメインが提供するサービスを明示的に登録する必要がないので、特に、絶えず動きながら、任意のときに任意の場所でモバイルサービスにアクセスする必要のあるユーザにとっては非常に魅力的である。
【0003】
従来、シングル・サイン・オンの特徴は、暗号化キーの管理に重点を置くパスワード管理技術によって提供される(下記の特許文献1、2参照)。このような従来のアプリケーションとしては、現在、ケルベロスが存在する。ケルベロスは、秘密キーによる暗号化を用いて、クライアント/サーバ・アプリケーションに強固な認証を提供するようにデザインされたネットワーク認証プロトコルである。ケルベロス・プロトコルは強固な暗号化を利用しているので、クライアントは、あるサーバへの識別情報を探すとともに、逆に、安全ではないネットワーク接続を横断して、サーバもその識別情報を探すことができる。ケルベロスは、オープン・ネットワーク環境のシングル・サイン・オンと認証の双方に適したプラットフォームを提供できる。Microsoft(登録商標)Windows(登録商標)2000オペレーティング・システムは、シングル・サイン・オン用のケルベロスを用いるシステムの一例である。しかしながら、このシングル・サイン・オン・サービスは、オペレーティング・システムより高いレイヤのアプリケーション用のサポートを提供するだけである。複数のネットワーク・インタフェース及び複数のドメイン用のシングル・サイン・オンのサポートは、まだ提供されていない。
【0004】
連携したネットワーク・アイデンティティ・インフラストラクチャを提供してシングル・サイン・オン・サービスを提供する将来に向けた研究は、現在、他にも数多く存在している。このような研究の1つとして、リバティ・アライアンス・プロジェクトがあり、複数のサービス・プロバイダからの認証及び承認の分散化を提供することに重点を置いている。リバティ・アライアンス・プロジェクトで言及されているサービス・プロバイダは、ユーザにウェブ・ベースのサービスを提供する組織である。しかしながら、複数のネットワーク・アクセス技術のためのシングル・サイン・オンに関しては、リバティ・アライアンス・プロジェクトでは言及されていない。
【0005】
別のこのような研究として、シボレス・プロジェクトが存在している。このシボレス・プロジェクトは、アクセス・コントロールの決定に使用できる相互動作可能な認証情報を確実に交換することに重点を置いている。シボレス・プロジェクトは、アクセス・コントロールを条件とした機関同士のコンテンツの共有をサポートするフレームワークの構築を意図している。しかしながら、リバティ・アライアンス・プロジェクトと同様に、シボレス・プロジェクトでは、複数のネットワーク・アクセス技術のためのシングル・サイン・オンに関する言及はなされていない。
【0006】
リバティ・アライアンス・プロジェクトとシボレス・プロジェクトは、シングル・サイン・オンを実現するために、アサーションクエリを生成するセキュリティアサーションマークアップ言語(SAML)を活用している。
【0007】
連携されたネットワーク・アイデンティティ・インフラストラクチャには、次に示すように多くの利点がある。
・個人化、セキュリティ、識別情報のコントロールの新たなレベルの提供だけではなく、さらに満足できるオンラインの体験をエンド・ユーザに提供する。
・サービス・プロバイダがリソースをより簡単に提供することを可能にするとともに、適切なリソースに対するアクセスを可能にする。
・新しい相互関係を構築するとともに、迅速、かつ確実に低コストでビジネス目標を実現するビジネスを可能にする。
【0008】
したがって、複数のドメインにわたる単一ネットワークのアクセス管理は、アクセス権利情報を信頼ドメインに配布することを可能にし、信頼ドメインがアクセス管理ジョブの一部を行うことを認めることにより、認証及び承認のプロセスを単純にするものである。さらに、異なるネットワーク技術にアクセスするためのシングル・サイン・オンの特徴は、異なるネットワーク技術上で動作する異なるデバイスに接続する必要があるマルチモード端末にとって、特に有用である。この特徴により、マルチモード端末は、異なる基本的なネットワークを経由して接続するデバイスにアクセスするたびに、異なるネットワークにアクセスするための複数のサイン・オンを行う必要がない。しかしながら、シングル・サイン・オンに係る現在の技術は、アプリケーション・リソースにアクセスする際の課題について言及しているが、基本となるネットワーク技術にアクセスするための認証及び承認をサポートする機能に欠けている。
【特許文献1】米国特許第6243816号公報
【特許文献2】米国特許第5684950号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
新しいネットワークにアクセスするために、ユーザは、再度、認証及び承認のプロセスを行うことが要求される。これらの2つのプロセスでは、通常、端末とネットワークとの間で数回のメッセージ交換が行われる。そのため、遅延が生じ、特にユーザがそのホーム・ドメインから離れている外部ドメインに存在する場合には、遅延は大きくなる。あるリアルタイム・アプリケーションでは、この種の遅延は、ハンドオーバ・プロセスで受け入れられないことも考えられる。したがって、サービス・アクセスのためにユーザを承認するためのより迅速な方法が必要になる。特に、連携した複数のドメイン環境では、ネットワークには既に信頼関係があるので、遅延を少なくする方法が必要であり、端末にネットワークのそれぞれにおいて認証を行うように依頼することは、最初の場所で連携を設定するという趣旨を損ねることになる。
【0010】
現在のモバイル・コンピューティング環境では、ますます多くの端末が、例えば、ワイヤレスLANカード及びGPRSインタフェースを搭載するなど、複数のアクセスの機能を搭載するようになってきている。これらのタイプの端末では、複数のネットワークに同時にアクセスすることが要望され、端末が、インタフェースのそれぞれにおいてログインを行うことは無意味である。すべてのインタフェースに対するアクセスを可能にする統合された認証プロセスが、まさに端末に要求されるものである。
【0011】
昨今、モバイル・ネットワークでは、モバイル・ネットワーク同士のローミング構成が複雑になってきている。また、ネットワーク・ドメインの連携が、メッシュを構築することも考えられる。例えば、ドメインAはドメインBとCとの連携を持ち、ドメインBとCは共にドメインDと連携を持つことにより、ドメインAはドメインDに間接的にリンクされる。このとき、ドメインAは、それが別のドメインと間接的にリンクしているかどうかを発見する方法に係る問題に直面し、簡潔なドメイン発見方法が要求される。
【課題を解決するための手段】
【0012】
前述の問題点を解決するために、連携を形成するネットワーク・ドメインは、あらかじめ定められたインタフェースとプロトコルとに関する同意を行い、端末からの認証及び承認のリクエストを協力して処理する必要がある。連携したドメインは、ユーザ端末に関与するネットワークに向けてユーザ承認情報を伝搬するので、後のアクセス制御で用いられる時間は短縮されることになる。
【0013】
ユーザ端末が認証をリクエストするたびに、連携したネットワーク・ドメインの1つが、アンカ・ポイントとして取り出される。このドメインは、リクエストを処理するとともに、端末のホーム・ドメインと通信を行ってサービスを承認する。端末に対して、仮の証明書、ユーザ・トークンが、アンカ・ポイントとして機能するドメインによって発行された後、端末は、仮の証明書を用いて連携したドメインが提供する任意のサービスにアクセスすることが可能となる。サービスを提供するローカル・ネットワークは、そのホーム・ドメインよりも端末の近くに位置するアンカ・ポイントのドメインで証明書をチェックする必要があるだけである。これにより、アクセス・プロセスは単純化され迅速に行われる。ユーザは、その資格を一度だけ提示、すなわち、シングル・サイン・オンのみを実施して、異なるドメインの複数のサービスにアクセスすることが可能となる。それは、サービスリクエストごとにユーザ識別情報を複数回提示しなければならない可能性を大幅に低減させ、優れたセキュリティ機能を提供することになる。
【0014】
また、トークンをユーザに発行することにより、ネットワークに特有のサービスコントロール情報をネットワーク間で伝搬する必要がなくなる。ネットワークは、新しいサービスをドメイン連携ユーザに対して容易に紹介でき、ローカル・ネットワークは、連携に対して定められたポリシーに基づいて、サービスの提供を決定することができる。
【0015】
直接連携していないドメインに対して、連携チェーンで互いを発見することが、アクセス・コントロール時には重要である。この問題を解決するために、端末と接続されるローカル・ドメインは、所定のインタフェースを経由して直接連携するすべてのドメインに、クエリメッセージを送り出す必要がある。メッセージを受け取るすべてのドメインは協力をして、前述のローカル・ドメインに対して、自らがホーム・ドメインと直接連携しているか否かを明らかにすることにより、間接的に連携したドメインも、シングル・サイン・オン・サービスをユーザに提供することが可能となる。このような探索は、最初のユーザがホーム・ドメインと直接連携していないローカル・ドメインに入る場合にのみ生じるものである。最初のユーザと同一のホーム・ドメインに属するその後のユーザに対しては、探索プロセスで識別されたパスが再び用いられる。したがって、探索に起因するオーバヘッドは、システム全体のパフォーマンス特性に影響を与えるものではない。
【0016】
<発明の作用>
端末が、例えば、UMTSネットワークなどのドメイン連携に入ると、まず、通常の認証プロセスが行われ、ユーザ資格がローカル・ドメインの認証コントローラに提供される。認証コントローラは、このユーザ資格と関連した従来のトークンがあるかどうかをチェックし、何も存在しない場合には、端末のホーム・ドメインに存在するアクセス・コントロール・オーソリティの呼び出しを行う。ホーム・ドメインのアクセス・コントロール・オーソリティは、このリクエストを認証して、ローカル・ドメインの認証コントローラにアサーションによって回答する。このアサーションには、このローカル・ドメインに認可されたサービスを示す加入ケーパビリティ情報が含まれている。
【0017】
アサーションを受け取ると、認証コントローラは、そのユーザ用のユーザ・トークンの発行に関して、関連する承認コントローラに問い合わせを行うとともに、更なる使用のためにケーパビリティ情報の格納も行う。ユーザ・トークンが取得可能になると、ユーザ・トークンはユーザ端末に送られ、このトークンにより、ユーザ端末は、ドメイン連携におけるすべてのネットワークのサービスにアクセスすることが可能となる。
【0018】
端末がサービスにアクセスする必要がある場合には、端末は、いつでもネットワークに対して、リクエストと共にトークンの提供を行う。ネットワークは、発行者である承認コントローラによってトークンを検証する。トークンが有効で、ケーパビリティ情報がサービスリクエストに対するアクセスを認可するものである場合には、ネットワークはサービスを直ちに提供できる。
【0019】
また、新しいサービスがネットワークに導入されたが、ケーパビリティ情報内に含まれていない場合には、トークン発行者は、ホーム・ドメインのアクセス・コントロール・オーソリティに問い合わせを行う。アクセス・コントロール・オーソリティは、連携ポリシーとユーザの加入情報とに基づいて、ユーザに対してサービスが認可されるかどうかを決定する。そして、更新されたケーパビリティ情報が、回答としてトークン発行者に送られ、トークン発行者において、次のサービスリクエストが直接認可可能となる。
【発明の効果】
【0020】
本発明によれば、端末が、異なるネットワーク・ドメインが提供する種々のネットワーク・サービスにアクセスする場合におけるシングル・サイン・オンの特徴を生かすことが可能となる。サービス・プロバイダは、連携を形成して、この連携の任意のドメインに加入したユーザにサービスを提供でき、ネットワークリソースの共有を可能とするとともに、別のネットワークにローミングするユーザに簡単にアクセスすることが可能となる。ユーザは、一度だけネットワーク・ドメインに登録又はサイン・インする必要があるだけであり、これを行えば、ユーザ(彼/彼女)は、前述のドメインと連携関係を有するサービス・プロバイダ又はネットワークが提供するサービスを楽しむことができる。また、本発明では、認証を実施する一方、複数の加入を管理することも可能である。アフィリエイトドメインは、ユーザに“チャレンジ”を発行する前に、自らの内部で、ユーザ認証のステータスをチェックして確認でき、アクセス制御のための処理オーバヘッドを軽減させるとともに、同一ユーザに対してネットワーク間の迅速なハンドオーバを容易にする。
【0021】
また、本発明は、ユーザにシングル・サイン・オン・サービスを提供する。これによって、端末は、複数のセッション始動を行わずに済むようになり、より下位レイヤに適用される場合には、ネットワーク・インタフェース間の切り換えも簡単に実現できる。また、これによって、ユーザが、アクティブなセッション中に低コストのネットワーク・インタフェースに切り換えることも可能となる。例えば、UMTSネットワーク及びWLANネットワークの両方のネットワークが本発明の構成を有する場合には、UMTSネットワークを用いる音声の会話中に、端末が、セッションを再開することなく、WLANネットワークへの切り換えを行うオプションを有することになる。
【0022】
また、本発明の構成によれば、ドメインは、直接連携していないドメインにも関係を拡大することが可能である。本発明の探索メカニズムを用いると、ドメインは、連携チェーンを動的に形成して、シングル・サイン・オン・サービスを広範囲のユーザに提供することが可能となる。
【発明を実施するための最良の形態】
【0023】
ここでは、ユーザ認証とサービス承認とを管理して、シングル・サイン・オンを実現し、複数のネットワーク・インタフェースにアクセスするシステムが開示されている。本発明の理解を助けるために、下記の用語が定義されている。
“WLAN”は、ワイヤレス・ローカル・エリア・ネットワークを意味する。WLANには、ワイヤレス技術を介して移動端末にLANサービスを提供するために、任意の数のデバイスが含まれている。
“3Gネットワーク”は、第3世代のパブリック・アクセス・ネットワークを意味する。一例としては、3GPP又は3GPP2で定義されたシステムが挙げられる。
“移動端末又はMT”は、WLANや他のワイヤレス技術を介した他のネットワークによって提供されるサービスにアクセスするために用いられるデバイスを意味する。
“ホーム・ドメイン”は、相互接続のシナリオにおいて、MTが本来由来しているネットワークを意味する。ホーム・ドメインは、MTのサービス加入情報が保存されている場所である。
“訪問ドメイン”は、MTが接続されるネットワークを意味する。訪問ドメインは、移動端末にアクセス・サービスを提供するネットワークである。
“QoS”は、データ・ストリーム又はトラフィックのサービス品質(Quality of Service)という用語を意味する。
“メッセージ”は、相互接続の制御のためにネットワーク要素間で交換される情報を意味する。
“上位層”は、現在のエンティティから渡されたパケットを処理する、現在のエンティティの上位の任意のエンティティを意味する。
“AAA”は、移動端末にサービスを提供する際に伴う認証、承認、アカウンティングの機能を意味する。
“AA”は、移動端末にサービスを提供する際に伴う認証、承認の機能を意味する。
“AAAサーバ”は、ホーム・ドメインに常駐するAAAサービス・プロバイダを意味する。AAAサーバは、ホーム・ドメインにおけるアクセス・コントロール・オーソリティの一例である。
“AAコントローラ”は、訪問ドメインに提供されるAAサービスのコントローラを意味する。
“連携ドメイン”は、信頼関係によって連携(federation)又は連合(alliance)を形成するいくつかのネットワーク・サービス・プロバイダを意味する。
“グローバル認証”は、“連携”ネットワークによって提供されるすべての他のネットワーク・サービスにユーザがアクセスすることを可能にする、あるネットワークに対する認証を意味する。
“訪問ドメイン1”は、ホーム・ドメインと連携している訪問ドメインを意味する。
“訪問ドメイン2”は、ホーム・ドメインと連携していない訪問ドメインを意味する。
【0024】
以降、説明のために、特定の番号、時間、構造、プロトコル名や、その他のパラメータが、本発明を十分に理解可能とするために設定されている。しかし、本発明は、これらの特定の詳細がなくても実施できることは当業者には自明のことである。なお、本発明を不必要に不明瞭としないために、周知のコンポーネントやモジュールがブロック図で図示されることもある。
【0025】
<第1の実施の形態>
図1には、連携ネットワーク・サービス環境でグローバル認証を実現する、本発明の実施の形態が図示されている。なお、類似の認証アーキテクチャを持つ任意のサービスに本発明を適用できることは、当業者には自明のことである。
【0026】
各端末(1.3)は、そのホーム・ドメイン(1.1)内に、固有のユーザ識別情報を有している。この識別情報は、グローバルに一意であり、また、ホーム・ドメインの情報を含んでいる。この識別情報は、ユーザがドメインと協定関係にある場合に、ユーザに配布されるものである。例えば、ユーザがあるオペレータに加入する場合、この識別情報は、ユーザに与えられたSIM/USIMカード内に記録される。ユーザは、ホーム・ドメインに認証させる必要がある場合に、例えば、ハンドセットや、SIMリーダを有するラップトップなどの異なるデバイスとすることが可能である。また、ユーザは、いくつかのデバイスを用いて同時認証も実施できる。したがって、ユーザの認証セッションを一意に識別するためには、別の認証セッション識別情報が、認証手順で作成されて用いられる。新しい識別情報は、ホーム・ドメイン用のユーザ識別情報と、ノード識別子と、インタフェース識別子とを含んでいる。この認証セッション識別子が用いられることによって、同一ユーザの同時認証手順が、明確に区別される。
【0027】
端末(1.3)は、明示的な又は暗示的なログインを実施できるログイン・コンポーネントを有している。そのログイン・コンポーネントは、認証用のユーザ資格を提供するだけで明示的なログインを実施する。明示的ログインの戻り値は、“認証成功”又はエラー・コードを持つ“認証失敗”である。また、暗示的ログインが行われる場合には、ユーザ資格及びリクエストされるサービスの両方が送り出される必要がある。暗示的ログインの戻り値は、“承認成功”又はエラー・コードを持つ“承認失敗”である。“承認成功”は、成功した認証も意味している。
【0028】
端末(1.3)が、例えば、WLANアクセス・ポイントになり得るアクセス・ポイント(1.4)と接続する場合に、認証プロセスが自動的に開始される。端末に対してサービスを行うWLANアクセス・ポイント(AP1)(1.4)は、AAコントローラ(1.6)に接続されている。AAコントローラ(1.6)は、認証コントローラと承認コントローラとを備えている。なお、アクセス・ポイント(1.4、1.5)は、端末(1.3)の接続のデータ・パス(1.4b、1.5b)上に存在しても存在していなくてもよい。また、認証コントローラ及び承認コントローラは、統合されたエンティティでもよく、2つのエンティティに分かれていてもよい。このとき、認証コントローラはユーザ識別情報を処理する一方、承認コントローラは認可制御の役割と端末に対するリソースへのアクセス承認の役割とを担っている。
【0029】
ローカル・オーソライザ(1.4a、1.5a)は、アクセス・ポイント(1.4、1.5)、又は端末(1.3)に対するデータ接続を直接制御する何らかの場所にあることが想定される。ローカル・オーソライザ(1.4a、1.5a)は、端末(1.3)からの認証リクエストを訪問ドメイン(1.2)のAAコントローラ(1.6)に転送する。ローカル・オーソライザ(1.4a、1.5a)は、AAコントローラ(1.6)のアドレスを備えている。また、ローカル・オーソライザ(1.4a、1.5a)は、ブートストラップやDHCPやDNSなどのような方法を介して、動的にAAコントローラ(1.6)のアドレスを取得することも可能である。AAコントローラ(1.6)は、執行者(enforcer)であり、ローカル・オーソライザ(1.4a、1.5a)にポートの開閉や他のリソースの割当/解除を指令する。また、AAコントローラ(1.6)は、リソースも供給し、どの程度のリソースを各端末に供給すべきかについての決定を行う。ローカル・オーソライザ(1.4a、1.5a)は、承認コントローラからの指令を実行する。なお、後の論述のため、AAコントローラ(1.6)との端末信号通信はローカル・オーソライザ(1.4a、1.5a)によって認識可能であると仮定する。AAコントローラ(1.6)は、その管轄ドメイン内で複数のローカル・オーソライザ(1.4a、1.5a)に対して指令を行う。
【0030】
ホーム・ドメイン(1.1)には、対応するAAAサーバ(1.7)が存在し、このAAAサーバ(1.7)は、認証コントローラと承認コントローラとを具備している。ホーム・ドメインのAAAサーバ(1.7)は、本発明のフレームワーク(1.9)を利用して、訪問ドメイン(1.2)のAAコントローラ(1.6)との通信を行う。ホーム・ドメインのAAAサーバ(1.7)は、中心となるデータベースに存在する、ユーザのサービス・レベル規約とユーザ加入情報とを得るために、SLAマネージャ(1.8)として機能するアプリケーション・サーバとインタフェースにより接続する。SLAマネージャ(1.8)は、中心となるデータベースに保存されている、サービス・レベル規約情報に対するすべてのエンティティ間のインタフェース・ポイントとなる。また、SLAマネージャ(1.8)が必要な情報の位置を特定できる場合には、分散データベースを使用することも可能である。
【0031】
図2には、図1で導入されたシステムの利用例が図示されている。なお、単純化のため、この図では、SLAマネージャ、ローカル・オーソライザ、データ・パスは不図示である。認証コントローラ(1.6a)及び承認コントローラ(1.6b)は、異なるネットワーク・インタフェースの認証プロセス及び承認プロセスをそれぞれ制御している。本図では、それらは、異なるコントローラによって行われる異なる役割を示すために分離されている。また、本図では、訪問ドメイン(1.2)のAAコントローラ(1.6)が管理している3つのサブシステムが図示されている。3つのサブシステムは、UMTSサブシステム(2.1)とWLANサブシステム(2.2)とブルートゥース・サブシステム(2.3)である。しかしながら、このフレームワークは、同時に他の種類のサブシステムをサポートするために拡張できることは、当業者には自明のことである。ユーザは、これらのサブシステムのいずれかに接続するための、任意の、又はすべてのネットワーク・アクセス技術を有する端末(1.3)を用いて、これらのインタフェースのうちのいずれかを介して認証プロセスを始動することが可能である。
【0032】
また、図3には、端末(1.3)に連携ネットワーク・インタフェース・サービス環境を提供する訪問ドメイン(1.2)に関するメッセージ交換シーケンスが図示されている。例えば、同じ近接部内で、3Gセルラ・ネットワーク(UMTS)やブルートゥースのような他のサービスがすべて連携しており、かつ、端末が任意のサービスを使用している場合には、端末は初回に認証されるだけでよい。このフレームワークによって、連携認証ネットワーク技術環境のためのシングル・サイン・オンを特徴とする手段が提供される。
【0033】
本実施の形態では、端末(1.3)がWLANサブシステム(WLANインタフェース)(2.2)を介して訪問ドメイン(1.2)と最初に接続する場合に、端末(1.3)は、訪問ドメイン(1.2)の認証コントローラ(1.6a)に対して、その資格をログイン・メッセージ(3.1)に埋め込んで提示する。認証コントローラ(1.6a)は、ログインリクエストメッセージを解析して、ユーザ資格を含んでいる資格タグ(credentials tag)を抽出する。ユーザ資格は暗号化されており、訪問ドメイン(1.2)の認証コントローラ(1.6a)が読むことはできない。訪問ドメイン(1.2)の認証コントローラ(1.6a)に見える情報は、ユーザのホーム・ドメイン(1.1)情報である。訪問ドメイン(1.2)の認証コントローラに対する端末(1.3)からのメッセージ・フォーマットの一例が、フォーマット1として図9に図示されている。
【0034】
メッセージ・フォーマットはXMLである。ユーザ識別子は、ホーム・ドメイン情報とユーザ資格とを有している。資格に係る要素全体は暗号化されるが、ホーム・ドメイン情報は読み取り可能な状態にある。なお、暗号化方法に関しては前述のフォーマット1には示されていない。また、暗号アルゴリズムは、ユーザとそのホーム・ドメインとの間で交渉される。この情報としては、ユーザ加入時にSIM/USIMカードに格納される情報が使用可能であり、また、ホーム・ドメインとの接続が確立された後に、ダウンロード可能なモジュールを介して更新できるようにすることも可能である。また、端末とネットワークの相互認証が望まれる場合には、資格の部分にチャレンジ又は回答情報が含まれるようにすることも可能である。
【0035】
訪問ドメインの認証コントローラ(1.6a)は、“Home_domain_info”の情報を用いて、ホーム・ドメイン(1.1)のAAAサーバ(1.7)と相互に作用する。認証コントローラ(1.6a)は、オリジナルのログインリクエストメッセージを抽出し、それを“認証アサーションクエリ”に再びパッケージする。これにより、“暗号化されたユーザ資格”が“認証アサーションクエリ”に埋め込まれる。前述の“認証アサーションクエリ”はホーム・ドメイン(1.1)のAAAサーバ(1.7)に転送される(3.2)。例えば、発行者タグ(issuer tag)が訪問ドメインの情報となる。“認証アサーションクエリ”メッセージ・フォーマットの一例が、フォーマット2として図10に図示されている。
【0036】
AAAサーバ(1.7)は、“認証アサーションクエリ”メッセージを受け取ると、メッセージを解析し、資格がそのパブリック・キーで暗号化されている場合に、ある事前設定済みのセキュリティ協定、例えば、そのプライベート・キーを用いてユーザ資格を復号する。そして、その加入プロファイル・データベースに対するユーザ資格のチェックを行い、ユーザを認証する。ユーザ加入プロファイルは、ユーザ識別情報、その個人的な情報、その使用が認められているサービス、サービス・サポート・レベルの品質などを含んでおり、さらに、ドメイン連携の要請に従って適用されるべき、あるポリシー情報も含んでいる。連携ポリシーには、オペレータ構成、例えば、ドメイン間のサービス・サポート・レベル、連携ドメインが加入者の承認に関して認められているサービスの数などが含まれている。
【0037】
認証コントローラ(1.6a)に対するAAAサーバ(1.7)からの回答が、アサーション成功又はアサーション失敗になるものとする。アサーション成功は“加入ケーパビリティ”(3.3)に関する情報と共に返送され、AAAサーバ(1.7)において、加入ケーパビリティ情報は後の使用のためにデータベースに保存される(3.4)。各加入ケーパビリティは、リクエストを発する端末(1.3)と“認証アサーションクエリ”を発行する訪問ドメイン(1.2)を示す固有の識別子を有している。“加入ケーパビリティ”情報は、ホーム・ドメイン(1.1)との連携又は連合を形成する訪問ドメイン(1.2)を意図しているだけであり、この訪問ドメイン(1.2)はホーム・ドメイン(1.1)からは “信頼”サイトになることを意味している。訪問ドメイン(1.2)の承認コントローラ(1.6b)は、“加入ケーパビリティ”情報を検討して、端末に提示すべきサービス・タイプ、サービス属性、サービスの品質の決定を行う。
【0038】
訪問ドメインの認証コントローラ(1.6a)は、“アサーション成功”回答を受け取ると、ケーパビリティ情報を抽出してデータベースに保存する(3.4)。前述の加入ケーパビリティは、タグで記された有効期間を有している。有効期間は、訪問ドメイン(1.2)がユーザ・アカウントに対して請求を行うことができる期間のブロックである。承認コントローラ(1.6b)は、“アサーション成功”(3.5)について認証コントローラ(1.6a)から通知を受け、認証コントローラ(1.6a)に送り返される(3.7)ユーザ・トークンを生成(発行)する(3.6)。そして、認証コントローラ(1.6a)は、ユーザ・トークンを端末(1.3)に送り返し(3.8)、端末(1.3)は、後のリソースリクエストに備えて、このユーザ・トークンをローカル・データベースに保存する。
【0039】
前述のトークンのフォーマットは、“加入ケーパビリティid”を格納する“token_info”フィールドを具備する。“token_info”フィールド全体は、トークン・メッセージ内で暗号化されており、トークン発行者だけが、加入ケーパビリティidを含んでいる“token_info”フィールドを解釈することができる。また、ユーザ・トークンには、開始時間と終了時間、トークン発行者のアドレスも有しており、トークン発行者だけが、 “加入ケーパビリティid”を復号するキーを有しており、セキュリティがより高くなるようになっている。端末で必要なことは、後で行う任意のリクエストのために、ユーザ・トークンをオリジナルのフォーマットで送り返すことだけであり、このメッセージ・フォーマットのために、加入ケーパビリティidに関する“token_info”タグを含む情報が暗号化されている。
【0040】
その他のタグはすべて暗号化されていない。ユーザ・トークンのフォーマットの一例が、フォーマット3として図11に図示されている。
【0041】
悪意のあるエンティティがトークンを使用することを防ぐために、あるセキュリティ・メカニズムと共に、このフォーマットが使用されることが望ましい。ユーザ・トークンを保護する一例は、トークン発行者が、初期乱数をトークンと共に提供することである。この乱数は、トークンを用いるためのシーケンス・ナンバーとして機能する。ユーザは、トークンを送り出す必要があるたびに、ある暗号化方法を用いて、乱数及びそれ自体の資格に基づくセキュリティ・コードを作成する。例えば、ユーザは、資格とリンクしたそのセキュリティ協定に初期乱数を追記して、固有のナンバーを生成する。セキュリティ・コードは、ハッシュ関数、例えば、MD5を前述の固有のナンバーに適用することによって生成可能である。なお、ユーザとトークン発行者との間で事前に同意されていれば、他の任意の暗号化方法を使用できることは、当業者には自明のことである。また、トークン内にあるフィールドを設けて、ユーザに対して、セキュリティ・コード生成のために用いるアルゴリズムを示すことも可能である。さらに、このフィールドにアルゴリズムのリストを含めることも可能である。ユーザは、コード生成のために、任意のアルゴリズムをリストから取り出して、トークン発行者に送られるリクエストにおいて、選択されたアルゴリズムを指示することが可能である。
【0042】
セキュリティ・コードは、検証のために、ネットワークに対してユーザ・トークンと共に送られる。トークン発行者は、認証アサーションで取得したものと同一アルゴリズム及び同一の情報を用いて、検証コードを作成する。そして、検証コードと一致するセキュリティ・コードを有するトークンだけが、トークン発行者によって有効であるとみなされる。リプレイ・アタックを回避するためには、ユーザ及びトークン発行者は、サービスリクエストの成功のたびに、事前に同意済みの方法に基づいて乱数を変更することができる。例えば、ユーザ及びトークン発行者は、トークンと共に初期に取得した前述のセキュリティ協定の最後の4ビットだけ初期乱数をインクリメントすることが可能である。
【0043】
別の代替方式は、端末のホーム・ドメインが、セキュリティ検証コードのベクトルと、認証アサーション回答に埋め込まれている加入ケーパビリティ情報内の対応する初期乱数とを提供することである。トークン発行者は、前述のように、トークンと共に乱数を送り、セキュリティ・ベクトルからの検証コードを用いて、ユーザ・トークンを有効にする。このオプションは、アルゴリズムがホーム・ドメイン及び端末にしか分からないという点が長所である。また、更新も容易であり、トークン発行者に対して、あまり多くのことを要求しない。
【0044】
端末(1.3)は、有効ユーザ・トークンを持つと、承認コントローラ(1.6b)に対して直接、リソース承認に関する問い合わせを行う(3.9)。承認コントローラ(1.6b)は、ユーザ・トークンの“加入ケーパビリティid”を復号して、それを以前に取得した加入ケーパビリティと比較する。ケーパビリティが端末(1.3)のリクエストに対して承認を与えるものである場合には、承認コントローラ(1.6a)は、それに応じたリソースの割り当てを行い(3.10)、端末(1.3)への回答を行う(3.11)。また、ホーム・ドメイン(1.1)のAAAサーバ(1.7)からの回答が“アサーション失敗”である場合には、“失敗コード”が“アサーション失敗”メッセージに付記されて、前述の端末(1.3)に送り返される必要がある。
【0045】
訪問ドメイン(1.2)の認証コントローラ(1.6a)とホーム・ドメイン(1.1)のAAAサーバ(1.7)との間でやり取りされるメッセージは、セキュア・チャンネルを介しており、例えば、SSL/TLS、IPsecなどのようなセキュリティ・メカニズムを用いて、必要なトランスポートレイヤのセキュリティが提供可能である。認証に成功しない場合に、ユーザには、その試みが成功しなかったことが通知される。これには、“失敗コード”に由来する表示可能のメッセージ、又は所定の事前に構成されたメッセージの使用が可能であり、ユーザに対して、例えば、別のホーム・ドメインで認証を試みるように依頼が行われる。
【0046】
図4には、明示的な承認段階中に行われたメッセージのシーケンスが示されている。端末(1.3)が訪問ドメイン(1.2)に対して新しいサービスをリクエストした場合、例えば、端末(1.3)がブルートゥース・サブシステム(ブルートゥース・インタフェース)(2.3)を介して接続するプリント・サービスの使用をリクエストした場合には、端末(1.3)は、初期認証段階中に取得したユーザ・トークンが埋め込まれた承認リクエストを開始する。ここでは、端末(1.3)が、例えば、WLANインタフェース(2.2)などの別のインタフェースを用いて、認証に関する図3の前半部に記載されたステップを行うことが想定される。また、いったん端末(1.3)がユーザ・トークンを持った場合には、異なるネットワーク・インタフェースにアクセスしていても、再び認証段階を行う必要がない。
【0047】
新しいリクエストは承認コントローラ(1.6b)に対して行われる必要がある。ユーザ・トークンの埋め込まれたリソースリクエストメッセージが承認コントローラ(1.6b)に提示された場合には(4.1)、承認コントローラ(1.6b)はトークンの信頼性を最初にチェックする。承認コントローラ(1.6b)は、別のネットワーク・インタフェースを介しているが、認証段階において自らトークンを生成しているので、トークンの信頼性を検証することが可能である。このトークンの情報に基づいて、承認コントローラ(1.6b)は、データベースに既に保存されている加入ケーパビリティの情報と、リソースリクエストを比較し、ユーザ又は他者に対するアクセスを承認するかどうかを決定する(4.2)。承認リクエストが許可された場合には、訪問ドメイン(1.2)の承認コントローラ(1.6b)は、必要なローカル・リソースの許可をローカル・オーソライザ(1.5a)に命じるとともに、リソースが許可されたことを端末(1.3)に回答する(4.3)。一方、そうでない場合は、リクエスト失敗が端末(1.3)に送り返される。
【0048】
ユーザ・トークンの有効期間を決定して有効にするためには、各トークンに関連付けられた “開始時間”及び“終了時間”が決定される。過剰レベルの保護に対して、訪問ドメイン(1.2)の承認コントローラ(1.6b)は、トークンがタイムリミットに達している場合に、端末(1.3)に対して新しいユーザ・トークンを発行できる。すなわち、トークン満了時には、新しいリクエストに対して再認証プロセスが開始される。また、ユーザが明示的にログアウトした場合には、トークンが取り消され、すなわち、端末(1.3)は、そのトークンを更なる任意のサービスリクエストに使用することはできない。さらに、訪問ドメイン(1.2)の承認コントローラ(1.6b)の加入ケーパビリティが削除される。
【0049】
図5には、別のシナリオに対するシステム構成の一例が示されている。ここでは、複数の訪問ドメインが存在し、訪問ドメイン(5.1)とホーム・ドメイン(5.8)との間で端点間の連携は存在しないものの、シングル・サイン・オンが実現されている。各訪問ドメイン(5.1、5.4)は、各訪問ドメイン(5.1、5.4)の認証コントローラ(5.2a、5.5a)及び承認コントローラ(5.2b、5.5b)によって管理されている。図5には、2つの異なる管轄ドメインのみが図示されている。なお、ここで説明する解決方法を複数の訪問ドメインに対しても適用できることは、当業者には自明のことである。訪問ドメイン1(5.4)は、ホーム・ドメイン(5.8)と訪問ドメイン2(5.1)の両方とそれぞれ連携しているドメインである。訪問ドメイン2(5.1)は、訪問ドメイン1(5.4)と連携しているが、ホーム・ドメインとは連携していない。図2に示した構成と同様に、AAコントローラ(5.2、5.5)の認証コントローラ(5.2a、5.5a)と承認コントローラ(5.2b、5.5b)は、コントロールにおいて異なる役割を担う2つの依存したエンティティである。しかし、実施時には、これら2つのエンティティは、通常は同じデバイスに共存しているので、統合可能である。
【0050】
図5に示すように、訪問ドメイン1(5.4)はWLAN(5.6)と第3世代(3G)のUMTS(5.7)サブシステムとにより構成され、訪問ドメイン2(5.1)は、ブルートゥース・サブシステム(5.3)を含んでいる。なお、これら2つのドメインが他のサブシステムの任意の組み合わせを含むことができることは、当業者には自明のことである。端末(5.10)は、訪問ドメイン1(5.4)及び訪問ドメイン2(5.1)の両方が提供するネットワーク・インタフェースにアクセスできる。
【0051】
図5の訪問ドメイン1(5.4)が図2の訪問ドメイン(1.2)として動作する、図3に示すプロセスと同様の認証プロセスによって、端末(5.10)が、訪問ドメイン1(5.4)を介した認証プロセスを既に行っているものとする。例えば、端末(5.10)は、訪問ドメイン1(5.4)にWLAN(5.6)ネットワーク・インタフェースを介して元々ログオンしており、図3に示したものと同一の認証手順を既に行っている。
【0052】
端末(5.10)が、“サード・パーティ”ネットワーク・インタフェースを介したサービスへのアクセスを試みる状況、すなわち、ユーザ・トークンを発行する承認コントローラが制御するドメイン外のネットワーク・インタフェースからリソースをリクエストする状況がある。これは、例えば、端末(5.10)が、訪問ドメイン2(5.1)が提供するブルートゥース・インタフェース(5.3)を介してプリント・サービスにアクセスを望む状況などである。この場合には、図6に示した手順がトリガされる。
【0053】
端末(5.10)は、訪問ドメイン2(5.1)の承認コントローラ2(5.2b)にユーザ・トークン(6.1)が埋め込まれた“リソースリクエスト”メッセージを提示する。また、端末(5.10)が訪問ドメイン2(5.1)との接続ポイントを1つしか有していない場合には、リソースリクエストは認証コントローラ2(5.2a)から転送されることとなる。
【0054】
ユーザ・トークンは、図3に示すように認証段階の初期に得られている。このトークンには、発行者のアドレスによるタグが付されており、この場合には、訪問ドメイン1(5.4)の承認コントローラ1(5.5b)のアドレスになる。承認コントローラ2(5.2b)は、承認コントローラ1(5.5b)がトークンの発行者であり、共に連合しているので、承認コントローラ1(5.5b)に対して問い合わせを行う(6.2)。
【0055】
承認コントローラ1(5.5b)は、有効期間とトークンにタグ付けされたidなどをチェックして、トークンの認証について検証する(6.3)。このとき、承認コントローラ1(5.5b)は、端末(5.10)がリクエストしたサービスの使用を承認されているかどうかを検討(6.3)するために、ホーム・ドメイン(5.8)から初期に取得した加入ケーパビリティによってチェックを行い、承認コントローラ1(5.5b)は、承認のステータスについて承認コントローラ2(5.2b)に回答する。訪問ドメイン1と訪問ドメイン2とは連携しているので、回答は訪問ドメイン2によって信頼される。なお、これら2つのドメイン間のメッセージ交換は、それらの間で交渉された任意のスキームを用いて保証されなければならない。
【0056】
加入ケーパビリティ情報が、端末(5.10)に対して、ネットワーク・インタフェースを認可しないものである場合には、承認コントローラ1(5.5b)は、ホーム・ドメイン(5.8)のAAAサーバ(5.9)に“承認アサーションクエリ”のフォーマットで再認可を発行する(6.4)。図12には、“承認アサーションクエリ”のフォーマットが、フォーマット4として図示されている。
【0057】
AAAサーバ(5.9)は、新しいリクエストをチェックして、端末(5.10)が特定のネットワーク・インタフェースを用いるための加入情報を有しているかどうかについて回答する(6.5)。“加入ケーパビリティid”に基づいて、AAAサーバ(5.9)は、既に発行済みの加入ケーパビリティの位置を突き止めて、ユーザ加入プロファイルを検索する。端末(5.10)がリクエストされたネットワーク・インタフェースの使用を認められている場合、AAAサーバ(5.9)は、付加的なケーパビリティが埋め込まれた承認成功による回答を行う。
【0058】
訪問ドメイン1(5.4)の承認コントローラ1(5.5b)が格納する加入ケーパビリティには、通常、ユーザ加入プロファイル情報全体ではなく、訪問ドメイン1(5.4)が提供するネットワーク・インタフェース・サービスのみが含まれている(6.3)。訪問ドメイン1(5.4)が新しいケーパビリティを受信した場合には、データベースが更新される(6.6)。なお、ステップ6.4〜6.6は、ケーパビリティに関する事前のチェック(6.3)から、端末(5.10)がネットワーク・インタフェースを使用することを既に認められていることが明らかとなっている場合にはスキップされる。“リソースリクエスト”の結果は、承認コントローラ1(5.5b)から承認コントローラ2(5.2b)に送り返される(6.7)。承認コントローラ2(5.2b)は、この結果に基づいて“リソースリクエスト”に対するアクセスを認可するかどうかを決定するとともに、リソースリクエストのステータスに関する結果を端末(5.10)に転送する(6.8)。
【0059】
本発明は、訪問ドメイン2(5.1)がホーム・ドメイン(5.8)と連携している場合に適用可能であり、同一のメッセージ・プロトコルが適用される。
【0060】
また、本発明は、ホーム・ドメインがトークン発行者である場合にも機能する。このような場合には、後に、ホーム・ドメインと連携している訪問ドメインに対してアクセスするために、同一のメッセージ・プロトコルが適用される。また、認証がホーム・ドメインを経由する場合には、ホーム・ドメインは、端末に対してトークンを発行する。また、端末がホーム・ドメインと連携している訪問ドメインにアクセスを試みる場合には、トークンはトークン発行者(この場合には、ホーム・ドメイン)によって検証される。
【0061】
本発明は、トークン発行者が連携ドメインに存在する場合や、端末がホーム・ドメインのリソースにアクセスを試みる場合にも適用される。この場合には、端末は、ホーム・ドメインに対して、サービスリクエストを有するユーザ・トークンを提示する。ホーム・ドメインは、ユーザ・トークンを受け取ると、端末のホーム・ドメイン情報を含むユーザ・トークンを解明する。端末のホーム・ドメイン情報がそれ自体である場合には、ホーム・ドメインは、トークン発行者によってユーザ・トークンの信頼性について検証する必要がある。検証に成功した場合には、ホーム・ドメインは、加入ケーパビリティ情報を有するトークン発行者からの承認を取得する代わりに、ユーザ加入プロファイルに従って、サービスの使用を認可する。
【0062】
図7には、端末(5.10)が訪問ドメイン2(5.1)にリソースリクエストを発する前に、訪問ドメイン1(5.4)による認証プロセスを完了していなかった場合の、図5のシステム構成に基づく別のシナリオが図示されている。端末(5.10)が有効なトークンなしにネットワーク・インタフェースへのアクセスを開始する場合には、認証プロセスを行う必要がある。また、端末(5.10)がアクセスを試みる訪問ドメインが、ホーム・ドメイン(5.8)と連携していない場合には、訪問ドメインは、信頼サイトとみなされないので、“加入ケーパビリティ”情報の内容によって提示されるべきではなく、認証プロセスはやや異なるものとなる。しかしながら、訪問ドメインは、端末(5.10)のホーム・ドメイン(5.8)との連合を作っている他のネットワークと連合を有していることもあり、何らかの方法によって、ホーム・ドメイン(5.8)との間接的な連合を作ることが可能な場合もある。
【0063】
このシナリオにおける認証のためのステップが、図7に図示されている。訪問ドメイン1(5.4)は、ホーム・ドメイン(5.8)及び訪問ドメイン2(5.1)の両方と連携しており、訪問ドメイン2(5.1)はホーム・ドメイン(5.8)と連携していない。端末(5.10)は、暗号化されたユーザ資格を認証コントローラ2(5.2a)に提示する(7.1)。訪問ドメイン2(5.1)の認証コントローラ2(5.2a)は、ホーム・ドメイン(5.8)のアドレスをチェックして、それがホーム・ドメイン(5.8)と直接連合していないことを見いだす。次いで、探索プロセスが実施され、訪問ドメイン1(5.4)が端末(5.10)のホーム・ドメイン(5.8)と直接連合していることが見いだされる。
【0064】
複数のドメインが相互接続されている場合、すなわち、ホーム・ドメイン(5.8)にもアフィリエイトしているアフィリエイトネットワークのリストが存在するなどの場合には、探索プロセスから複数の結果が生じる場合もある。例えば、訪問ドメイン2(5.1)は、ホーム・ドメイン(5.8)と連合している他のドメインに対して接続することもできる。訪問ドメイン2(5.1)は、任意の事前設定済みのポリシーを用いて、リクエストを送るドメインを決定する。例えば、異なるドメインを介する接続によって異なるチャージを示す結果が得られる場合もあり、この場合には、訪問ドメイン2(5.1)は、最低コストのドメインを選ぶべきである。また、ドメインを選ぶ際に、例えば、負荷バランス、領域、物理的又は地理的距離、規制の考慮、又は入手可能な情報のすべてに関して重みが設定された組み合わせなどの他の基準を使用できることが明らかである。別の代替方式として、訪問ドメイン2(5.1)が、使用の可能性のあるすべての訪問ドメインが記載されたメッセージによって端末(5.10)に回答し、端末(5.10)に選択を促すことも可能である。探索プロセスは、例えば、すべての接続ドメインに対する単純な問い合わせ、DNSの調査、又はMIBに対する問い合わせなどの多くの方式によって実施できることは、当業者には自明のことである。
【0065】
利用するドメイン、例えば、訪問ドメイン1(5.4)を特定した後、認証コントローラ2(5.2a)は、ホーム・ネットワーク(5.8)と連合している訪問ドメイン1(5.4)の認証コントローラ1(5.5a)に対して“認証及び承認リクエスト”を発する(7.2)。また、認証コントローラ1(5.5a)は、“認証アサーションクエリ”をホーム・ドメイン(5.8)のAAAサーバ(5.9)に発する(7.3)。認証アサーションクエリが成功すると、加入ケーパビリティがAAAサーバ(5.9)から認証コントローラ1(5.5a)に送られる(7.4)。認証コントローラ1は、認証段階の完了を承認コントローラ1(5.5b)に通知する(7.6)前に、この加入情報をデータベースに保存する(7.5)。また、承認コントローラ1(5.5a)は、“加入ケーパビリティ”から、端末(5.10)が訪問ドメイン2(5.1)が提供するサービスの使用を承認されているかどうかを検討する。認証コントローラ1と承認コントローラ1は共に“加入ケーパビリティ”を保存するデータベースにアクセスできる。なお、実施時には、認証コントローラ1(5.5a)、承認コントローラ1(5.5b)、データベースは、同じ場所に配置することも可能であり、物理的に分離することも可能である。
【0066】
承認コントローラ1(5.5b)は、サービスリクエストに対する加入ケーパビリティのチェックを行う(7.7)。加入ケーパビリティ・メッセージが、端末(5.10)がアクセスを希望するネットワーク・インタフェースを含んでいない場合には、承認コントローラ1(5.5b)は、端末(5.10)がサード・パーティ・ネットワークでネットワーク・インタフェースの使用を承認されているかどうかを再検討するように、AAAサーバ(5.9)に問い合わせる(7.8)。そして、アサーション成功を受け取ると(7.9)、承認コントローラ1(5.5b)は、データベースの新しいケーパビリティを更新して、端末用の新しいユーザ・トークンを生成(発行)する(7.10)。
【0067】
加入ケーパビリティ・メッセージに、リクエストを行ったネットワーク端末に関して端末が承認されているという情報が既に含まれている場合には、ステップ7.8及び7.9は行われない。また、ステップ7.10では、新しいユーザ・トークンの生成のみが行われ、データベースの更新は、この場合には行われない。
【0068】
端末(5.10)に対して承認が与えられた場合には、ユーザ・トークンが端末(5.10)に送り返される必要がある。ユーザ・トークンの生成後、承認コントローラ1(5.5b)は、ユーザ・トークンを認証コントローラ1(5.5a)に送り返す(7.11)。認証コントローラ1(5.5a)は、リクエストが成功している場合には、ユーザ・トークンが埋め込まれた“認証及び承認リクエスト”に関して、認証コントローラ2(5.2a)に回答する(7.12)。続いて、認証コントローラ2(5.2a)は、リクエストのステータスを承認コントローラ2(5.2b)に通知し(7.13)、承認コントローラ2(5.2b)は、必要なリソースを割り当てて(7.14)、認証コントローラ2(5.2a)に回答する(7.15)。認証コントローラ2(5.2a)は、そのリクエストのステータスに関して、端末(5.10)に通知する(7.16)。新しいネットワーク・インタフェースに対するその後のアクセス及び手順は、図6のものと同一である。
【0069】
システムの通常の動作とユーザ情報の機密性とを保護するために、セキュリティ保護、例えば、トランスポートレイヤセキュリティ(TLS)におけるセキュリティ・ソケット・レイヤ(SSL)、IPセキュリティ(IPsec)などに基づいて、メッセージがやり取りされる。また、セキュア・トンネリングが、異なるドメインのAAコントローラと異なるAAAサーバとの間で、認証及び承認の両方に対してメッセージの交換前に設定されることが想定される。なお、メッセージ交換において、十分なセキュリティ保護が提供されている限り、任意のセキュリティ形態が、このフレームワークに適用できることは、当業者には自明のことである。
【0070】
例えば、端末は、そのMMSをUMTSインタフェースを介して受信すると同時に、あるファイルをWLANを介してダウンロードするなど、同時に複数の接続を作動させることが可能である。これは、デュアル/マルチモード端末においてのみ可能となる。別のネットワークからより安いレートにアクセスする場合には、端末は代替方式に関する通知を受け、ネットワーク・プロバイダが端末のサービス・プロバイダ・オペレータと同一の連携にあるアフィリエイト状態の場合には、端末は、このような他のネットワーク・プロバイダに登録される必要はない。連携したネットワークは、デバイスがこうしたネットワークの対象エリア内に存在する場合には、極めて狭域のネットワークの形態であってもよい。例えば、封鎖エリアでは、端末がWLANサービスに対してログオンしていて、ブルートゥース又は赤外線デバイスの使用を決定する場合に、端末は、異なるサービスにそれぞれログインする必要はない。
【0071】
図7に示されるステップは1段(single-tier)の連携の発見の場合にのみ実行可能であり、すなわち、ここでは、端末が接続を試みる新しいドメインが、ホーム・ドメインと連携したドメインに直接接続されている。こうした仮定がなされない場合には、多段(multi-tier)の発見を行う必要がある。多段の発見をサポートするために、発見に関して、さらにステップを実施する必要がある。1つの方法としては、徹底的な調査を行うことであるが、ここでは、複数の中間訪問ドメインがプロキシとして機能することが要求される。
【0072】
図8には、多段のドメイン連携シナリオにおける本発明のシーケンス・ダイアグラムの一例が示されている。図8において、まず、端末(8.1)は “ログイン及びリソースリクエスト”を発し(8.6)、そのユーザ資格を訪問ドメインA(8.2)に提供する。なお、訪問ドメインA(8.2)は、端末(8.1)がそのリソースにアクセスを所望するドメインである。なお、認証コントローラ及び承認コントローラは、図示を単純にするために、ここでは区別されていない。
【0073】
訪問ドメインA(8.2)は、多段の連携プロセスの検索(AAパスの検索)を開始する(8.7)。検索を行うために可能な方法は、訪問ドメインA(8.2)が、特定のホーム・ドメイン情報を含んでいる特別なメッセージを相互接続したすべてのドメインに送ることである。このメッセージにはライフリミットが含まれており、限られた数のドメインを通った後に破棄される。ドメインがこのメッセージを受け取ると、ホーム・ドメイン(8.5)と連携した接続を有しているかどうかのチェックを行う。そして、ホーム・ドメイン(8.5)と連携した接続を有している場合には、このドメインは、訪問ドメインA(8.2)に対して、リクエストを転送するように通知を行う。
【0074】
メッセージを受け取るドメインが、ホーム・ドメイン(8.5)と全く関係を有していない場合には、ローカルポリシーに応じて、メッセージを破棄するか、又は別のドメインに更に転送するかについての決定を行う。メッセージを転送する前に、ドメインは、ドメイン自体の情報をメッセージに付記するので、メッセージは、通過するすべてのドメインに関する情報を運ぶことになる。この情報を用いることによって、循環的な転送を回避することができ、さらに、訪問ドメインA(8.2)が後でその情報を使用して、ユーザリクエストを転送する(8.6)ことも可能となる。
【0075】
例えば、ドメイン名サービス(DNS)を用いたり、セントラルサーバに問い合わせたりするなどのパスの検索を行う他の方法が存在することは、当業者には自明のことである。パス検索手順(8.7)では、いくつかの結果が導かれることがある。この場合には、訪問ドメインA(8.2)は、あるポリシールールを用いて、どのパスを使用するか、例えば、最も近いもの、最も知られているものなどを決定する。使用するパスを選択する上で可能な方法は、例えば、下記に基づいている。
■リクエストがホーム・ドメインに届く前に通過する必要がある認証コントローラの数
■訪問ドメインと対応する認証コントローラとの間の物理的及び地理的距離
■訪問ドメイン及びノードにアクセスすることによって生じるコスト
■訪問ドメインの負荷状態
■訪問ドメイン及び対応する認証コントローラのサービス・ケーパビリティ
■訪問ドメインで規定された制約
■上述の情報に関して重み付けされた組み合わせ
また、訪問ドメインA(8.2)が、関連情報のすべてを含むエラー・メッセージをユーザに戻して、ユーザに所望のパスを選択させることも可能である。
【0076】
送信パスの特定後、訪問ドメインA(8.2)は、“ログイン及びリソースリクエスト”を1つ又は複数の中間訪問ドメイン(8.3)に転送する(8.6)。これは、単にリクエストを次のドメイン・ノードに転送するものである(8.8)。次のドメイン・ノードのパスは、検索及び発見において決まったパスであることが分かっている。パス・テーブルは、転送すべき次のノードを中間ノードが知ることができるように、転送の際に“ログイン及びリソースリクエスト”内に埋め込まれてもよい。
【0077】
リクエストがホーム・ドメイン(8.5)と直接連携している訪問ドメインB(8.4)に最終的に達する(8.9)と、認証及び承認を行うためのステップが行われる(8.10)。このステップは、図7に示したように、訪問ドメイン1(5.4)とホーム・ドメイン(5.8)との間のメッセージ交換と同様のものとすることができる。“承認回答”が、逆の順序でパス・テーブルを用いてホーム・ドメイン(8.5)から訪問ドメインA(8.2)に送り返される(8.11、8.12)。訪問ドメインA(8.2)は、回答の処理(リソース認証及びリソース割り当て)を行って(8.13)、その後、端末(8.1)に回答する(8.14)。連携と同じ概念が、このマルチ・ドメイン連携環境においても適用される。
【0078】
<第2の実施の形態>
AAAサーバによってリターン・メッセージに埋め込まれる加入ケーパビリティ(3.3、7.4)には、認可されたインタフェース・タイプ情報と、AAAサーバから訪問ドメインにおける端末に、各インタフェース・タイプに対して認可されたQoSレベル情報とが含まれている。
【0079】
前述の認可されたインタフェース・タイプ情報には、端末が訪問ドメインで使用を承認されているネットワーク・インタフェース・タイプのリストが含まれている。AAAサーバは、“認証アサーションクエリ”を開始する訪問ドメインによって提供されるネットワーク・インタフェース・タイプと、ユーザが加入しているネットワーク・インタフェース・タイプとを含ませるにすぎない。例えば、図2のシステム構成の場合、訪問ドメイン(1.2)に返される加入ケーパビリティ情報には“ブルートゥース、WLAN、UMTS”が含まれているが、ユーザは前述の3つのネットワーク・インタフェースに加えてGPRSにも加入している場合もある。しかしながら、訪問ドメイン(1.2)は、単に3つのネットワーク・インタフェース・サービスを提供するだけなので、このGPRSは訪問ドメイン(1.2)には分からない。各インタフェース・タイプに関係するQoSレベルも、この加入ケーパビリティ情報に埋め込まれている。
【0080】
図7のシステム構成の別の例では、訪問ドメイン1(5.4)に返される加入ケーパビリティ・メッセージには、“WLAN及びUMTS”のみが含まれる。なお、この場合、訪問ドメイン1(5.4)は、これら2つのネットワーク・インタフェースのみを提供する。端末(5.10)が別のネットワーク(訪問ドメイン2(5.1))によって提供されるブルートゥース・インタフェース(5.3)へのアクセスを試みる場合には、訪問ドメイン1(5.4)の承認コントローラ1(5.5b)は、ブルートゥース・インタフェース(5.3)に特定した別の“承認アサーションクエリ”を探す。そして、それが承認アサーション成功である場合には、訪問ドメイン2(5.1)は、訪問ドメイン1(5.4)に、端末(5.10)に対してアクセスを認めるように通知する。
【0081】
図13のフォーマット5には、加入ケーパビリティ・メッセージ・フォーマットのフォーマットの一例が示されている。加入ケーパビリティ情報全体は、安全な方式で受取者に配布されるべきであり、例えば、安全なチャンネルを用いて、この情報が配布されることが望ましい。また、チャンネルが安全でない場合には、暗号を用いればセキュリティを提供できる。この加入ケーパビリティは“authentication_assertion_reply(AuthN_assertion_reply)”(3.3、7.4)メッセージに埋め込まれて、“authentication_assertion_query”を発する信頼されるエンティティに対して、AAAサーバ(1.7、5.9)から送り返される。
【0082】
また、加入ケーパビリティ情報は、フィリエイトネットワークが“authorisation_assertion_query(AuthZ_assertion_query)”メッセージを発する際に取得することもできる。AAAサーバ(1.7、5.9)は、この加入ケーパビリティを“authorisation_assertion_reply” (6.5、7.9)に埋め込む。“authorisation_assertion_reply”で戻る加入ケーパビリティ情報は、通常、あるネットワーク・インタフェースリソース上の“authorisation_assertion_query”に応答するものである。
【0083】
加入ケーパビリティ情報に埋め込まれたセキュリティ・ベクトル・フィールドは、必要に応じて、受信ドメインによるユーザの識別情報の検証を支援するためのものであり、例えば、承認コントローラが、ユーザ・トークンを用いてサービスリクエストの妥当性を検証するために使用可能なものである。セキュリティ・ベクトルは、1つのセキュリティ情報、又はホーム・ドメインが作成した検証コードのリストを含むことができる。
【0084】
図7を一例として考えてみる。ステップ7.4において、加入ケーパビリティには、図5のシステム構成に関連して、WLAN(5.6)及びUMTS(5.7)のインタフェース・タイプが含まれている。これは、訪問ドメイン1(5.4)が2つのネットワーク・インタフェースのみを提供することを、AAAサーバ(5.9)が、連携ポリシーから把握することによるものである。なお、ユーザが、他のネットワーク技術にアクセスする他のサービスに加入しているかもしれないということとは無関係であり、ユーザ加入情報全体ではなく、アフィリエイト訪問ドメイン(この場合には、訪問ドメイン1(5.4))に対して限られたユーザ加入情報を提示するだけである。
【0085】
加入ケーパビリティは、図14のフォーマット6に示されるように、フォーマット5に示されるテンプレート・フォーマットを用いている。
【0086】
返信されるネットワーク・インタフェースごとに対して、QoSレベル情報も埋め込まれる。例えば、WLANネットワーク・インタフェースは、値Aと等しいQoSレベルを有する。値Aは、最低保証帯域幅、最大送信レート、バースト・レート、ジッタ、最長遅延などのようなQoS情報のリストを備えている。なお、上述のインタフェース・タイプとそのQoSレベルは図解だけを意図するものである。また、他の種類のネットワーク・インタフェースとQoSレベルも本発明に適用できることは、当業者には自明のことである。
【0087】
ステップ7.8の場合には、リクエストはブルートゥース・インタフェースにアクセスするためのものである。したがって、承認コントローラ1(5.5b)は、ブルートゥースがWLAN及びUMTSを備えている初期リストには存在しないので、“authorisation_assertion_reply”を発する。したがって、“authorisation_assertion_reply”に埋め込まれた加入ケーパビリティは、ブルートゥース・インタフェースのアサーションだけ含むことになる。この情報は、図15のフォーマット7に図示するとおりである。
【0088】
後のWLAN又はUMTSへのアクセスのために、端末(5.10)のサービス加入情報を既に把握している承認コントローラ1(5.5b)は、端末(5.10)がWLAN又はUMTSを介して接続する他のサービスにアクセスを試みる場合に、端末(5.10)に対する承認を認めるべきかどうかについて決定する。
【0089】
端末が“authentication_assertion_query”を発する訪問ドメインによって提供されるサービスに加入していない場合、加入ケーパビリティには、端末が加入していないサービスは含まれないことになる。すなわち、この好適な実施の形態における加入ケーパビリティは、訪問ドメインによって提供されるネットワーク・サービスと端末が加入するネットワーク・サービスとが結合された情報を有している。
【0090】
<第3の実施の形態>
複数のドメイン・サービスのアクセス時に、ユーザは複数の加入情報を有することが可能である。この場合、ユーザ端末は、特にネットワーク共有用に、複数のホーム・ドメインのシナリオを満たす必要がある。例えば、ユーザのホーム・ドメイン1と連携するドメインは、WLANホットスポットを所有できるが、そのWLANホットスポットをユーザのホーム・ドメイン2も共有できる。したがって、ユーザ端末は、認証用の加入情報を選択できなければならない。
【0091】
これを解決する方法の1つは、例えば、ユーザに与えられたUSIMカードに保存するなど、ユーザのホーム・ドメインが、関連情報を加入プロファイルの一部としてユーザに提供することである。ユーザ端末は、ホーム・ドメインのリストを保持しており、ユーザ端末がネットワークにアクセスする必要がある場合には、ネットワークに関連したドメイン情報を取得して、ホーム・ドメイン・リスト内の情報との比較を行う。そのホーム・ドメインの1つがネットワークを所有していた場合には、ユーザ端末は、そのドメインからの対応する加入情報を用いて認証を試みる。なお、ユーザ端末は、同じネットワークを共有する複数のホーム・ドメインがある場合には、ホーム・ドメインを選択する際にその選択基準もセットできることは、当業者には自明のことである。基準として、加入情報を用いたネットワークへのアクセス・レート、ドメイン加入情報の容量、ドメインとその連携から取得できるサービス、規制情報、事前設定優先権などがあり、これらの基準に関して重み付けされた組み合わせも使用可能である。ユーザ端末は、これらの基準を用いて、例えば、ローミング・ユーザとしてネットワークにアクセスすることが、更に安くなるなどの、ある事前に設定されたポリシーに応じて、ネットワークを直接所有していないドメインを選択することも可能である。
【0092】
通常の場合、ユーザ端末のホーム・ドメインがアクセス・ネットワークを所有していないときには、ローカルの訪問ドメインのユーザ認証は、より迅速に行われる。したがって、ホーム・ドメインと連携するとともにユーザ端末の近くに存在するドメインにおける認証コントローラ及び承認コントローラは、例えば、セントラルデータベースなどのホーム・ドメインから、あるユーザ加入情報をダウンロードして、ユーザ認証及びサービス承認をローカルに実施することができる。この場合、ユーザ端末は、例えば、ユーザ端末がサービスに加入するホーム・ドメインの代わりにホーム・ドメインとして連携ドメインを用いることを、その認証リクエストにおいて使用することによって、ローカルの認証を望むことをサービスリクエストで示すべきである。
【0093】
ユーザ端末は、例えば、USIMカードに保存したリストなどの静的な構成、又は、例えば過去の認証手順による学習などの動的な探索によって、“代用のホーム・ドメイン”として用いるためのドメインに関する情報を取得することができる。端末に保存された情報は、各ホーム・ドメインが連携しているドメインのリスト、ドメインの使用コストや規制情報などの対応するステータス情報を含んでいる。ユーザ端末が“代用のホーム・ドメイン”候補を動的に学習する方法の1つは、今までに受けたユーザ・トークンの発行ドメインのすべてを保存することである。ユーザ・トークンをユーザ端末に発行するためには、ドメインは、ユーザの加入情報をダウンロードしており、ユーザのホーム・ドメインと連携関係を有していなければならない。したがって、このドメインで再び認証されるようにリクエストすることが確実である。なお、これらのドメインを発見するために可能な他の方法が存在することは、当業者には自明のことであり、例えば、加入したユーザ端末のホーム・ドメインは、認証リクエスト回答内に自らと連携するすべてのドメインを埋め込むことができる。端末は、そのドメイン・リストをメッセージから検索して、それをホーム・ドメイン・リストに保存できる。また、リスト内に複数の“代用ホーム・ドメイン”候補が存在する場合には、適切なホーム・ドメインを選択するための前述の方法を再度用いて、適切な“代用ホーム・ドメイン”を特定することができる。
【0094】
ユーザ端末が認証リクエストを送る場合、認証リクエストには、そのホーム・ドメインと“代用ホーム・ドメイン”のリストとが共に含まれており、このリクエストを受けた認証コントローラは、適切なドメインを選択して、ユーザ端末を認証することができる。認証コントローラでのドメインの選択は、ローカル・ドメインのポリシーや連携規約などに準じている。これを可能にするために、認証リクエストに埋め込まれたユーザ識別情報(User_ID)は、対応する情報を含めるように拡張されなければならない。User_IDフィールドのフォーマットの一例が、図16のフォーマット8に記されている。
【0095】
ユーザ識別情報は、通常、ユーザ資格とその対応するホーム・ドメイン情報により構成される。ネットワークがどのドメインに認証を行うかについて決定可能とする特徴をサポートするために、“代用ホーム・ドメイン”のリストが認証リクエストに含まれている。フォーマット8の<Sub_Home_Domain>フィールドは“代用ホーム・ドメイン”リストを表している。“num”属性は、このリストの要素の数を示す。この“代用ホーム・ドメイン”の第1の要素はタグ“<1>”が付記されて保存され、第2の要素は“<2>”とし、数字が増加する順で、リストの最後の要素には“<N>”のラベルが付される。なお、ここではNを最後の数とする。なお、リストを保存するための任意のフォーマットが本発明で適用されることは、当業者には自明のことである。この認証リクエストを受けたドメインが、自らを“代用ホーム・ドメイン”リストに見いだした場合には、認証がローカルで実行可能であることを把握する。一方、このドメインが自らをこのリスト内に見いだせない場合には、ある事前設定済みの基準、例えば、選択するドメインと自らとの間の距離、連携ポリシーのルールなどに基づいて、最適なドメインを選択する。
【0096】
ユーザ加入プロファイルが、連携訪問ドメインにダウンロードされることが承認されていない場合には、加入ケーパビリティ情報をサービス承認に使用できる。端末が以前に訪問したことのあるドメインごとに、訪問の記録が訪問ドメイン内に維持されている場合がある。前述の訪問ドメインの認証コントローラが認証を行うために、端末は、自らを訪問ドメインに対して識別する必要があり、このために、端末の加入ケーパビリティの検索が可能である。端末の本来の資格を識別情報として用いる場合、訪問ドメインの認証コントローラは、本来の資格の暗号を解読する手段を有していなければならない。したがって、ホーム・ドメインは、ユーザ資格を復号するためのキーを訪問ドメインに提供する必要がある。ユーザ資格とそれに関連するユーザ加入ケーパビリティが、端末の最初の訪問後に訪問ドメインに保存されており、ユーザが同じ資格を用いて認証リクエストを提示する場合には、訪問ドメインの認証コントローラは、そのデータベースを調べて、前述の資格を認識することができる。したがって、認証はこの訪問ドメイン内でローカルに行われ、承認コントローラは、端末の以前の訪問中に得られた加入ケーパビリティ情報に基づいて、サービス承認を行うことができる。
【0097】
本来のユーザ加入プロファイル又はユーザ資格を明らかにする必要無しにローカル認証を迅速に提供する際の代替方法は、訪問ドメインがローカル・ユーザ資格を端末に提供することである。認証コントローラは、別のローカル資格を端末に発行できる。このローカル・ユーザ資格は、認証リクエストの回答メッセージと共に端末に返送可能であり、端末は、そのローカル・データ・ストア又はUSIMに、このローカル・ユーザ資格を保存することができる。このローカル資格は、ユーザ・トークンとは異なる目的のために機能する。ユーザ・トークンは、その有効ライフタイム全体にわたって用いられ、ユーザ・トークンがサービスリクエスト及びシングル・サイン・オンに用いられた場合には、認証は成功によって完了することが想定されている。一方、ローカル・ユーザ資格は、この端末がこの訪問ドメインを再び訪問して、再び認証を求める場合に用いられる。この解決方法では、ユーザ加入プロファイル又は本来のユーザ資格が訪問ドメインに明らかにされることは要求されない。例えば、端末が、訪問ドメインとの接続を試みる場合に、以前にこのドメインを訪問したことがあるかどうかを調べる。この場合、端末は、認証のために、この訪問ドメインが提供するローカルidの使用を試みてもよい。訪問ドメイン内において、その認証コントローラは、このローカルidに関連したユーザ加入ケーパビリティを検索して、ホーム・ドメインからの検証を求めずに認証を実行する。
【産業上の利用可能性】
【0098】
本発明は、データ通信ネットワークの分野に適用され、特に、移動通信ネットワークにおける移動端末のアクセス制御に係る技術に適用可能である。
【図面の簡単な説明】
【0099】
【図1】連携ネットワーク・サービス環境のシステム構成の例を示す図
【図2】ホーム・ドメインと連携する訪問ドメインに対するアクセスのシステム構成を示す図
【図3】連携した訪問ドメイン環境でシングル・サイン・オンを実現する認証と承認プロセスのシーケンス・ダイアグラムを示す図
【図4】認証プロセス中に得たユーザ・トークンを用いる承認プロセスのシーケンス・ダイアグラムを示す図
【図5】ホーム・ドメインに間接的に連携する訪問ドメインに対するアクセスのシステム構成を示す図
【図6】間接的に連携する環境における承認プロセスのシーケンス・ダイアグラムを示す図。このシーケンス・ダイアグラムは、認証が既に行われていることと、連携した訪問ドメインから得たユーザ・トークンとを想定している。ダイアグラムは、ホーム・ドメインと連携していない別の訪問ドメインのネットワークリソースに対するアクセスを示している。
【図7】間接的に連携する環境における認証及び承認プロセスのシーケンス・ダイアグラムを示す図。このシーケンス・ダイアグラムは、ユーザがホーム・ドメインと連携していないドメインにアクセスしているときに、認証及び承認の両方のプロセスのメッセージ交換を示している。このシーケンス・ダイアグラムは、端末がアクセスを試みている非連携ドメインと端末のホーム・ドメインとの両方と連携しているドメインが存在する、1段のドメイン連携を示している。
【図8】間接的に連携する環境における、他の認証及び承認プロセスのシーケンス・ダイアグラムを示す図。このシーケンス・ダイアグラムは、ユーザがホーム・ドメインと連携していないドメインにアクセスしているときの、認証及び承認の両方のプロセスのメッセージ交換を示している。このシーケンス・ダイアグラムは、端末がアクセスを試みているドメインとホーム・ドメインとの両方と直接連携しているドメインが存在しない、多段のドメイン連携を示している。連携のチェーンは、複数の中間ノードを介して接続する必要がある。
【図9】認証リクエストに係るメッセージ・フォーマット(フォーマット1)の一例を示す図
【図10】認証アサーションクエリに係るメッセージ・フォーマット(フォーマット2)の一例を示す図
【図11】ユーザ・トークンに係るメッセージ・フォーマット(フォーマット3)の一例を示す図
【図12】承認アサーションクエリに係るメッセージ・フォーマット(フォーマット4)の一例を示す図
【図13】加入ケーパビリティに係るメッセージ・フォーマット(フォーマット5)の一例を示す図
【図14】図7のステップ7.4で訪問ドメイン1に返される加入ケーパビリティに係るメッセージ・フォーマット(フォーマット6)の一例を示す図
【図15】図7のステップ7.9で訪問ドメイン1に返される加入ケーパビリティに係るメッセージ・フォーマット(フォーマット7)の一例を示す図
【図16】ネットワークによる認証ドメインの選択を可能とするユーザ識別情報に係るメッセージ・フォーマット(フォーマット8)の一例を示す図
【技術分野】
【0001】
本発明は、データ通信ネットワークの分野に適用され、特に、より単純なクロスドメイン・サービスを提供するための移動通信ネットワークにおけるアクセス制御に関する。通常、ユーザは、異なる管轄ドメインの異なるネットワークによって提供されるサービスにアクセスするために、複数のログインを行う必要がある。本発明は、直接的に又は間接的に連携した複数のドメイン環境のユーザが、すべてのネットワークによって提供されるサービスにシングル・サイン・オンでアクセスすることを可能にする。また、この特徴が提供されることにより、本発明は、ユーザが、任意のときに同一サービスを提供するネットワークへの切り換えを容易に行えるようにする高速ハンドオーバに使用可能である。本発明は、特に、マルチモード端末が許容される環境において、シングル・ログイン・プロセスによって、すべてのネットワーク・インタフェースを介したユーザ・アクセス・サービスを可能にするという点で有用である。
【背景技術】
【0002】
今日の世界におけるビジネスと消費者のネットワーク・アイデンティティの管理に関する非効率性と複雑さとに対処するために、ユーザの個人情報のすべてを集中して保存せずに、ユーザが、アカウント間でユーザの識別要素をリンクできるようにする連携したネットワーク・アイデンティティ・インフラストラクチャに対する強いニーズがある。現在、モバイル・コンピューティング技術によれば、ユーザ端末は、ユーザ端末のホーム・ドメイン内のアクセス・サービスに限定せずに、ユーザ端末のホーム・ドメイン外のサービスにアクセスすることが可能となっている。したがって、複数のドメイン・アクセスは、ユーザ端末が、複数のネットワーク・プロバイダに加入するものであり、このとき、ユーザが複数の加入情報を維持することは非常に厄介となる。シングル・サイン・オンの特徴によれば、ユーザは1つの識別情報だけ保持すればよく、他の外部ドメインが提供するサービスを明示的に登録する必要がないので、特に、絶えず動きながら、任意のときに任意の場所でモバイルサービスにアクセスする必要のあるユーザにとっては非常に魅力的である。
【0003】
従来、シングル・サイン・オンの特徴は、暗号化キーの管理に重点を置くパスワード管理技術によって提供される(下記の特許文献1、2参照)。このような従来のアプリケーションとしては、現在、ケルベロスが存在する。ケルベロスは、秘密キーによる暗号化を用いて、クライアント/サーバ・アプリケーションに強固な認証を提供するようにデザインされたネットワーク認証プロトコルである。ケルベロス・プロトコルは強固な暗号化を利用しているので、クライアントは、あるサーバへの識別情報を探すとともに、逆に、安全ではないネットワーク接続を横断して、サーバもその識別情報を探すことができる。ケルベロスは、オープン・ネットワーク環境のシングル・サイン・オンと認証の双方に適したプラットフォームを提供できる。Microsoft(登録商標)Windows(登録商標)2000オペレーティング・システムは、シングル・サイン・オン用のケルベロスを用いるシステムの一例である。しかしながら、このシングル・サイン・オン・サービスは、オペレーティング・システムより高いレイヤのアプリケーション用のサポートを提供するだけである。複数のネットワーク・インタフェース及び複数のドメイン用のシングル・サイン・オンのサポートは、まだ提供されていない。
【0004】
連携したネットワーク・アイデンティティ・インフラストラクチャを提供してシングル・サイン・オン・サービスを提供する将来に向けた研究は、現在、他にも数多く存在している。このような研究の1つとして、リバティ・アライアンス・プロジェクトがあり、複数のサービス・プロバイダからの認証及び承認の分散化を提供することに重点を置いている。リバティ・アライアンス・プロジェクトで言及されているサービス・プロバイダは、ユーザにウェブ・ベースのサービスを提供する組織である。しかしながら、複数のネットワーク・アクセス技術のためのシングル・サイン・オンに関しては、リバティ・アライアンス・プロジェクトでは言及されていない。
【0005】
別のこのような研究として、シボレス・プロジェクトが存在している。このシボレス・プロジェクトは、アクセス・コントロールの決定に使用できる相互動作可能な認証情報を確実に交換することに重点を置いている。シボレス・プロジェクトは、アクセス・コントロールを条件とした機関同士のコンテンツの共有をサポートするフレームワークの構築を意図している。しかしながら、リバティ・アライアンス・プロジェクトと同様に、シボレス・プロジェクトでは、複数のネットワーク・アクセス技術のためのシングル・サイン・オンに関する言及はなされていない。
【0006】
リバティ・アライアンス・プロジェクトとシボレス・プロジェクトは、シングル・サイン・オンを実現するために、アサーションクエリを生成するセキュリティアサーションマークアップ言語(SAML)を活用している。
【0007】
連携されたネットワーク・アイデンティティ・インフラストラクチャには、次に示すように多くの利点がある。
・個人化、セキュリティ、識別情報のコントロールの新たなレベルの提供だけではなく、さらに満足できるオンラインの体験をエンド・ユーザに提供する。
・サービス・プロバイダがリソースをより簡単に提供することを可能にするとともに、適切なリソースに対するアクセスを可能にする。
・新しい相互関係を構築するとともに、迅速、かつ確実に低コストでビジネス目標を実現するビジネスを可能にする。
【0008】
したがって、複数のドメインにわたる単一ネットワークのアクセス管理は、アクセス権利情報を信頼ドメインに配布することを可能にし、信頼ドメインがアクセス管理ジョブの一部を行うことを認めることにより、認証及び承認のプロセスを単純にするものである。さらに、異なるネットワーク技術にアクセスするためのシングル・サイン・オンの特徴は、異なるネットワーク技術上で動作する異なるデバイスに接続する必要があるマルチモード端末にとって、特に有用である。この特徴により、マルチモード端末は、異なる基本的なネットワークを経由して接続するデバイスにアクセスするたびに、異なるネットワークにアクセスするための複数のサイン・オンを行う必要がない。しかしながら、シングル・サイン・オンに係る現在の技術は、アプリケーション・リソースにアクセスする際の課題について言及しているが、基本となるネットワーク技術にアクセスするための認証及び承認をサポートする機能に欠けている。
【特許文献1】米国特許第6243816号公報
【特許文献2】米国特許第5684950号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
新しいネットワークにアクセスするために、ユーザは、再度、認証及び承認のプロセスを行うことが要求される。これらの2つのプロセスでは、通常、端末とネットワークとの間で数回のメッセージ交換が行われる。そのため、遅延が生じ、特にユーザがそのホーム・ドメインから離れている外部ドメインに存在する場合には、遅延は大きくなる。あるリアルタイム・アプリケーションでは、この種の遅延は、ハンドオーバ・プロセスで受け入れられないことも考えられる。したがって、サービス・アクセスのためにユーザを承認するためのより迅速な方法が必要になる。特に、連携した複数のドメイン環境では、ネットワークには既に信頼関係があるので、遅延を少なくする方法が必要であり、端末にネットワークのそれぞれにおいて認証を行うように依頼することは、最初の場所で連携を設定するという趣旨を損ねることになる。
【0010】
現在のモバイル・コンピューティング環境では、ますます多くの端末が、例えば、ワイヤレスLANカード及びGPRSインタフェースを搭載するなど、複数のアクセスの機能を搭載するようになってきている。これらのタイプの端末では、複数のネットワークに同時にアクセスすることが要望され、端末が、インタフェースのそれぞれにおいてログインを行うことは無意味である。すべてのインタフェースに対するアクセスを可能にする統合された認証プロセスが、まさに端末に要求されるものである。
【0011】
昨今、モバイル・ネットワークでは、モバイル・ネットワーク同士のローミング構成が複雑になってきている。また、ネットワーク・ドメインの連携が、メッシュを構築することも考えられる。例えば、ドメインAはドメインBとCとの連携を持ち、ドメインBとCは共にドメインDと連携を持つことにより、ドメインAはドメインDに間接的にリンクされる。このとき、ドメインAは、それが別のドメインと間接的にリンクしているかどうかを発見する方法に係る問題に直面し、簡潔なドメイン発見方法が要求される。
【課題を解決するための手段】
【0012】
前述の問題点を解決するために、連携を形成するネットワーク・ドメインは、あらかじめ定められたインタフェースとプロトコルとに関する同意を行い、端末からの認証及び承認のリクエストを協力して処理する必要がある。連携したドメインは、ユーザ端末に関与するネットワークに向けてユーザ承認情報を伝搬するので、後のアクセス制御で用いられる時間は短縮されることになる。
【0013】
ユーザ端末が認証をリクエストするたびに、連携したネットワーク・ドメインの1つが、アンカ・ポイントとして取り出される。このドメインは、リクエストを処理するとともに、端末のホーム・ドメインと通信を行ってサービスを承認する。端末に対して、仮の証明書、ユーザ・トークンが、アンカ・ポイントとして機能するドメインによって発行された後、端末は、仮の証明書を用いて連携したドメインが提供する任意のサービスにアクセスすることが可能となる。サービスを提供するローカル・ネットワークは、そのホーム・ドメインよりも端末の近くに位置するアンカ・ポイントのドメインで証明書をチェックする必要があるだけである。これにより、アクセス・プロセスは単純化され迅速に行われる。ユーザは、その資格を一度だけ提示、すなわち、シングル・サイン・オンのみを実施して、異なるドメインの複数のサービスにアクセスすることが可能となる。それは、サービスリクエストごとにユーザ識別情報を複数回提示しなければならない可能性を大幅に低減させ、優れたセキュリティ機能を提供することになる。
【0014】
また、トークンをユーザに発行することにより、ネットワークに特有のサービスコントロール情報をネットワーク間で伝搬する必要がなくなる。ネットワークは、新しいサービスをドメイン連携ユーザに対して容易に紹介でき、ローカル・ネットワークは、連携に対して定められたポリシーに基づいて、サービスの提供を決定することができる。
【0015】
直接連携していないドメインに対して、連携チェーンで互いを発見することが、アクセス・コントロール時には重要である。この問題を解決するために、端末と接続されるローカル・ドメインは、所定のインタフェースを経由して直接連携するすべてのドメインに、クエリメッセージを送り出す必要がある。メッセージを受け取るすべてのドメインは協力をして、前述のローカル・ドメインに対して、自らがホーム・ドメインと直接連携しているか否かを明らかにすることにより、間接的に連携したドメインも、シングル・サイン・オン・サービスをユーザに提供することが可能となる。このような探索は、最初のユーザがホーム・ドメインと直接連携していないローカル・ドメインに入る場合にのみ生じるものである。最初のユーザと同一のホーム・ドメインに属するその後のユーザに対しては、探索プロセスで識別されたパスが再び用いられる。したがって、探索に起因するオーバヘッドは、システム全体のパフォーマンス特性に影響を与えるものではない。
【0016】
<発明の作用>
端末が、例えば、UMTSネットワークなどのドメイン連携に入ると、まず、通常の認証プロセスが行われ、ユーザ資格がローカル・ドメインの認証コントローラに提供される。認証コントローラは、このユーザ資格と関連した従来のトークンがあるかどうかをチェックし、何も存在しない場合には、端末のホーム・ドメインに存在するアクセス・コントロール・オーソリティの呼び出しを行う。ホーム・ドメインのアクセス・コントロール・オーソリティは、このリクエストを認証して、ローカル・ドメインの認証コントローラにアサーションによって回答する。このアサーションには、このローカル・ドメインに認可されたサービスを示す加入ケーパビリティ情報が含まれている。
【0017】
アサーションを受け取ると、認証コントローラは、そのユーザ用のユーザ・トークンの発行に関して、関連する承認コントローラに問い合わせを行うとともに、更なる使用のためにケーパビリティ情報の格納も行う。ユーザ・トークンが取得可能になると、ユーザ・トークンはユーザ端末に送られ、このトークンにより、ユーザ端末は、ドメイン連携におけるすべてのネットワークのサービスにアクセスすることが可能となる。
【0018】
端末がサービスにアクセスする必要がある場合には、端末は、いつでもネットワークに対して、リクエストと共にトークンの提供を行う。ネットワークは、発行者である承認コントローラによってトークンを検証する。トークンが有効で、ケーパビリティ情報がサービスリクエストに対するアクセスを認可するものである場合には、ネットワークはサービスを直ちに提供できる。
【0019】
また、新しいサービスがネットワークに導入されたが、ケーパビリティ情報内に含まれていない場合には、トークン発行者は、ホーム・ドメインのアクセス・コントロール・オーソリティに問い合わせを行う。アクセス・コントロール・オーソリティは、連携ポリシーとユーザの加入情報とに基づいて、ユーザに対してサービスが認可されるかどうかを決定する。そして、更新されたケーパビリティ情報が、回答としてトークン発行者に送られ、トークン発行者において、次のサービスリクエストが直接認可可能となる。
【発明の効果】
【0020】
本発明によれば、端末が、異なるネットワーク・ドメインが提供する種々のネットワーク・サービスにアクセスする場合におけるシングル・サイン・オンの特徴を生かすことが可能となる。サービス・プロバイダは、連携を形成して、この連携の任意のドメインに加入したユーザにサービスを提供でき、ネットワークリソースの共有を可能とするとともに、別のネットワークにローミングするユーザに簡単にアクセスすることが可能となる。ユーザは、一度だけネットワーク・ドメインに登録又はサイン・インする必要があるだけであり、これを行えば、ユーザ(彼/彼女)は、前述のドメインと連携関係を有するサービス・プロバイダ又はネットワークが提供するサービスを楽しむことができる。また、本発明では、認証を実施する一方、複数の加入を管理することも可能である。アフィリエイトドメインは、ユーザに“チャレンジ”を発行する前に、自らの内部で、ユーザ認証のステータスをチェックして確認でき、アクセス制御のための処理オーバヘッドを軽減させるとともに、同一ユーザに対してネットワーク間の迅速なハンドオーバを容易にする。
【0021】
また、本発明は、ユーザにシングル・サイン・オン・サービスを提供する。これによって、端末は、複数のセッション始動を行わずに済むようになり、より下位レイヤに適用される場合には、ネットワーク・インタフェース間の切り換えも簡単に実現できる。また、これによって、ユーザが、アクティブなセッション中に低コストのネットワーク・インタフェースに切り換えることも可能となる。例えば、UMTSネットワーク及びWLANネットワークの両方のネットワークが本発明の構成を有する場合には、UMTSネットワークを用いる音声の会話中に、端末が、セッションを再開することなく、WLANネットワークへの切り換えを行うオプションを有することになる。
【0022】
また、本発明の構成によれば、ドメインは、直接連携していないドメインにも関係を拡大することが可能である。本発明の探索メカニズムを用いると、ドメインは、連携チェーンを動的に形成して、シングル・サイン・オン・サービスを広範囲のユーザに提供することが可能となる。
【発明を実施するための最良の形態】
【0023】
ここでは、ユーザ認証とサービス承認とを管理して、シングル・サイン・オンを実現し、複数のネットワーク・インタフェースにアクセスするシステムが開示されている。本発明の理解を助けるために、下記の用語が定義されている。
“WLAN”は、ワイヤレス・ローカル・エリア・ネットワークを意味する。WLANには、ワイヤレス技術を介して移動端末にLANサービスを提供するために、任意の数のデバイスが含まれている。
“3Gネットワーク”は、第3世代のパブリック・アクセス・ネットワークを意味する。一例としては、3GPP又は3GPP2で定義されたシステムが挙げられる。
“移動端末又はMT”は、WLANや他のワイヤレス技術を介した他のネットワークによって提供されるサービスにアクセスするために用いられるデバイスを意味する。
“ホーム・ドメイン”は、相互接続のシナリオにおいて、MTが本来由来しているネットワークを意味する。ホーム・ドメインは、MTのサービス加入情報が保存されている場所である。
“訪問ドメイン”は、MTが接続されるネットワークを意味する。訪問ドメインは、移動端末にアクセス・サービスを提供するネットワークである。
“QoS”は、データ・ストリーム又はトラフィックのサービス品質(Quality of Service)という用語を意味する。
“メッセージ”は、相互接続の制御のためにネットワーク要素間で交換される情報を意味する。
“上位層”は、現在のエンティティから渡されたパケットを処理する、現在のエンティティの上位の任意のエンティティを意味する。
“AAA”は、移動端末にサービスを提供する際に伴う認証、承認、アカウンティングの機能を意味する。
“AA”は、移動端末にサービスを提供する際に伴う認証、承認の機能を意味する。
“AAAサーバ”は、ホーム・ドメインに常駐するAAAサービス・プロバイダを意味する。AAAサーバは、ホーム・ドメインにおけるアクセス・コントロール・オーソリティの一例である。
“AAコントローラ”は、訪問ドメインに提供されるAAサービスのコントローラを意味する。
“連携ドメイン”は、信頼関係によって連携(federation)又は連合(alliance)を形成するいくつかのネットワーク・サービス・プロバイダを意味する。
“グローバル認証”は、“連携”ネットワークによって提供されるすべての他のネットワーク・サービスにユーザがアクセスすることを可能にする、あるネットワークに対する認証を意味する。
“訪問ドメイン1”は、ホーム・ドメインと連携している訪問ドメインを意味する。
“訪問ドメイン2”は、ホーム・ドメインと連携していない訪問ドメインを意味する。
【0024】
以降、説明のために、特定の番号、時間、構造、プロトコル名や、その他のパラメータが、本発明を十分に理解可能とするために設定されている。しかし、本発明は、これらの特定の詳細がなくても実施できることは当業者には自明のことである。なお、本発明を不必要に不明瞭としないために、周知のコンポーネントやモジュールがブロック図で図示されることもある。
【0025】
<第1の実施の形態>
図1には、連携ネットワーク・サービス環境でグローバル認証を実現する、本発明の実施の形態が図示されている。なお、類似の認証アーキテクチャを持つ任意のサービスに本発明を適用できることは、当業者には自明のことである。
【0026】
各端末(1.3)は、そのホーム・ドメイン(1.1)内に、固有のユーザ識別情報を有している。この識別情報は、グローバルに一意であり、また、ホーム・ドメインの情報を含んでいる。この識別情報は、ユーザがドメインと協定関係にある場合に、ユーザに配布されるものである。例えば、ユーザがあるオペレータに加入する場合、この識別情報は、ユーザに与えられたSIM/USIMカード内に記録される。ユーザは、ホーム・ドメインに認証させる必要がある場合に、例えば、ハンドセットや、SIMリーダを有するラップトップなどの異なるデバイスとすることが可能である。また、ユーザは、いくつかのデバイスを用いて同時認証も実施できる。したがって、ユーザの認証セッションを一意に識別するためには、別の認証セッション識別情報が、認証手順で作成されて用いられる。新しい識別情報は、ホーム・ドメイン用のユーザ識別情報と、ノード識別子と、インタフェース識別子とを含んでいる。この認証セッション識別子が用いられることによって、同一ユーザの同時認証手順が、明確に区別される。
【0027】
端末(1.3)は、明示的な又は暗示的なログインを実施できるログイン・コンポーネントを有している。そのログイン・コンポーネントは、認証用のユーザ資格を提供するだけで明示的なログインを実施する。明示的ログインの戻り値は、“認証成功”又はエラー・コードを持つ“認証失敗”である。また、暗示的ログインが行われる場合には、ユーザ資格及びリクエストされるサービスの両方が送り出される必要がある。暗示的ログインの戻り値は、“承認成功”又はエラー・コードを持つ“承認失敗”である。“承認成功”は、成功した認証も意味している。
【0028】
端末(1.3)が、例えば、WLANアクセス・ポイントになり得るアクセス・ポイント(1.4)と接続する場合に、認証プロセスが自動的に開始される。端末に対してサービスを行うWLANアクセス・ポイント(AP1)(1.4)は、AAコントローラ(1.6)に接続されている。AAコントローラ(1.6)は、認証コントローラと承認コントローラとを備えている。なお、アクセス・ポイント(1.4、1.5)は、端末(1.3)の接続のデータ・パス(1.4b、1.5b)上に存在しても存在していなくてもよい。また、認証コントローラ及び承認コントローラは、統合されたエンティティでもよく、2つのエンティティに分かれていてもよい。このとき、認証コントローラはユーザ識別情報を処理する一方、承認コントローラは認可制御の役割と端末に対するリソースへのアクセス承認の役割とを担っている。
【0029】
ローカル・オーソライザ(1.4a、1.5a)は、アクセス・ポイント(1.4、1.5)、又は端末(1.3)に対するデータ接続を直接制御する何らかの場所にあることが想定される。ローカル・オーソライザ(1.4a、1.5a)は、端末(1.3)からの認証リクエストを訪問ドメイン(1.2)のAAコントローラ(1.6)に転送する。ローカル・オーソライザ(1.4a、1.5a)は、AAコントローラ(1.6)のアドレスを備えている。また、ローカル・オーソライザ(1.4a、1.5a)は、ブートストラップやDHCPやDNSなどのような方法を介して、動的にAAコントローラ(1.6)のアドレスを取得することも可能である。AAコントローラ(1.6)は、執行者(enforcer)であり、ローカル・オーソライザ(1.4a、1.5a)にポートの開閉や他のリソースの割当/解除を指令する。また、AAコントローラ(1.6)は、リソースも供給し、どの程度のリソースを各端末に供給すべきかについての決定を行う。ローカル・オーソライザ(1.4a、1.5a)は、承認コントローラからの指令を実行する。なお、後の論述のため、AAコントローラ(1.6)との端末信号通信はローカル・オーソライザ(1.4a、1.5a)によって認識可能であると仮定する。AAコントローラ(1.6)は、その管轄ドメイン内で複数のローカル・オーソライザ(1.4a、1.5a)に対して指令を行う。
【0030】
ホーム・ドメイン(1.1)には、対応するAAAサーバ(1.7)が存在し、このAAAサーバ(1.7)は、認証コントローラと承認コントローラとを具備している。ホーム・ドメインのAAAサーバ(1.7)は、本発明のフレームワーク(1.9)を利用して、訪問ドメイン(1.2)のAAコントローラ(1.6)との通信を行う。ホーム・ドメインのAAAサーバ(1.7)は、中心となるデータベースに存在する、ユーザのサービス・レベル規約とユーザ加入情報とを得るために、SLAマネージャ(1.8)として機能するアプリケーション・サーバとインタフェースにより接続する。SLAマネージャ(1.8)は、中心となるデータベースに保存されている、サービス・レベル規約情報に対するすべてのエンティティ間のインタフェース・ポイントとなる。また、SLAマネージャ(1.8)が必要な情報の位置を特定できる場合には、分散データベースを使用することも可能である。
【0031】
図2には、図1で導入されたシステムの利用例が図示されている。なお、単純化のため、この図では、SLAマネージャ、ローカル・オーソライザ、データ・パスは不図示である。認証コントローラ(1.6a)及び承認コントローラ(1.6b)は、異なるネットワーク・インタフェースの認証プロセス及び承認プロセスをそれぞれ制御している。本図では、それらは、異なるコントローラによって行われる異なる役割を示すために分離されている。また、本図では、訪問ドメイン(1.2)のAAコントローラ(1.6)が管理している3つのサブシステムが図示されている。3つのサブシステムは、UMTSサブシステム(2.1)とWLANサブシステム(2.2)とブルートゥース・サブシステム(2.3)である。しかしながら、このフレームワークは、同時に他の種類のサブシステムをサポートするために拡張できることは、当業者には自明のことである。ユーザは、これらのサブシステムのいずれかに接続するための、任意の、又はすべてのネットワーク・アクセス技術を有する端末(1.3)を用いて、これらのインタフェースのうちのいずれかを介して認証プロセスを始動することが可能である。
【0032】
また、図3には、端末(1.3)に連携ネットワーク・インタフェース・サービス環境を提供する訪問ドメイン(1.2)に関するメッセージ交換シーケンスが図示されている。例えば、同じ近接部内で、3Gセルラ・ネットワーク(UMTS)やブルートゥースのような他のサービスがすべて連携しており、かつ、端末が任意のサービスを使用している場合には、端末は初回に認証されるだけでよい。このフレームワークによって、連携認証ネットワーク技術環境のためのシングル・サイン・オンを特徴とする手段が提供される。
【0033】
本実施の形態では、端末(1.3)がWLANサブシステム(WLANインタフェース)(2.2)を介して訪問ドメイン(1.2)と最初に接続する場合に、端末(1.3)は、訪問ドメイン(1.2)の認証コントローラ(1.6a)に対して、その資格をログイン・メッセージ(3.1)に埋め込んで提示する。認証コントローラ(1.6a)は、ログインリクエストメッセージを解析して、ユーザ資格を含んでいる資格タグ(credentials tag)を抽出する。ユーザ資格は暗号化されており、訪問ドメイン(1.2)の認証コントローラ(1.6a)が読むことはできない。訪問ドメイン(1.2)の認証コントローラ(1.6a)に見える情報は、ユーザのホーム・ドメイン(1.1)情報である。訪問ドメイン(1.2)の認証コントローラに対する端末(1.3)からのメッセージ・フォーマットの一例が、フォーマット1として図9に図示されている。
【0034】
メッセージ・フォーマットはXMLである。ユーザ識別子は、ホーム・ドメイン情報とユーザ資格とを有している。資格に係る要素全体は暗号化されるが、ホーム・ドメイン情報は読み取り可能な状態にある。なお、暗号化方法に関しては前述のフォーマット1には示されていない。また、暗号アルゴリズムは、ユーザとそのホーム・ドメインとの間で交渉される。この情報としては、ユーザ加入時にSIM/USIMカードに格納される情報が使用可能であり、また、ホーム・ドメインとの接続が確立された後に、ダウンロード可能なモジュールを介して更新できるようにすることも可能である。また、端末とネットワークの相互認証が望まれる場合には、資格の部分にチャレンジ又は回答情報が含まれるようにすることも可能である。
【0035】
訪問ドメインの認証コントローラ(1.6a)は、“Home_domain_info”の情報を用いて、ホーム・ドメイン(1.1)のAAAサーバ(1.7)と相互に作用する。認証コントローラ(1.6a)は、オリジナルのログインリクエストメッセージを抽出し、それを“認証アサーションクエリ”に再びパッケージする。これにより、“暗号化されたユーザ資格”が“認証アサーションクエリ”に埋め込まれる。前述の“認証アサーションクエリ”はホーム・ドメイン(1.1)のAAAサーバ(1.7)に転送される(3.2)。例えば、発行者タグ(issuer tag)が訪問ドメインの情報となる。“認証アサーションクエリ”メッセージ・フォーマットの一例が、フォーマット2として図10に図示されている。
【0036】
AAAサーバ(1.7)は、“認証アサーションクエリ”メッセージを受け取ると、メッセージを解析し、資格がそのパブリック・キーで暗号化されている場合に、ある事前設定済みのセキュリティ協定、例えば、そのプライベート・キーを用いてユーザ資格を復号する。そして、その加入プロファイル・データベースに対するユーザ資格のチェックを行い、ユーザを認証する。ユーザ加入プロファイルは、ユーザ識別情報、その個人的な情報、その使用が認められているサービス、サービス・サポート・レベルの品質などを含んでおり、さらに、ドメイン連携の要請に従って適用されるべき、あるポリシー情報も含んでいる。連携ポリシーには、オペレータ構成、例えば、ドメイン間のサービス・サポート・レベル、連携ドメインが加入者の承認に関して認められているサービスの数などが含まれている。
【0037】
認証コントローラ(1.6a)に対するAAAサーバ(1.7)からの回答が、アサーション成功又はアサーション失敗になるものとする。アサーション成功は“加入ケーパビリティ”(3.3)に関する情報と共に返送され、AAAサーバ(1.7)において、加入ケーパビリティ情報は後の使用のためにデータベースに保存される(3.4)。各加入ケーパビリティは、リクエストを発する端末(1.3)と“認証アサーションクエリ”を発行する訪問ドメイン(1.2)を示す固有の識別子を有している。“加入ケーパビリティ”情報は、ホーム・ドメイン(1.1)との連携又は連合を形成する訪問ドメイン(1.2)を意図しているだけであり、この訪問ドメイン(1.2)はホーム・ドメイン(1.1)からは “信頼”サイトになることを意味している。訪問ドメイン(1.2)の承認コントローラ(1.6b)は、“加入ケーパビリティ”情報を検討して、端末に提示すべきサービス・タイプ、サービス属性、サービスの品質の決定を行う。
【0038】
訪問ドメインの認証コントローラ(1.6a)は、“アサーション成功”回答を受け取ると、ケーパビリティ情報を抽出してデータベースに保存する(3.4)。前述の加入ケーパビリティは、タグで記された有効期間を有している。有効期間は、訪問ドメイン(1.2)がユーザ・アカウントに対して請求を行うことができる期間のブロックである。承認コントローラ(1.6b)は、“アサーション成功”(3.5)について認証コントローラ(1.6a)から通知を受け、認証コントローラ(1.6a)に送り返される(3.7)ユーザ・トークンを生成(発行)する(3.6)。そして、認証コントローラ(1.6a)は、ユーザ・トークンを端末(1.3)に送り返し(3.8)、端末(1.3)は、後のリソースリクエストに備えて、このユーザ・トークンをローカル・データベースに保存する。
【0039】
前述のトークンのフォーマットは、“加入ケーパビリティid”を格納する“token_info”フィールドを具備する。“token_info”フィールド全体は、トークン・メッセージ内で暗号化されており、トークン発行者だけが、加入ケーパビリティidを含んでいる“token_info”フィールドを解釈することができる。また、ユーザ・トークンには、開始時間と終了時間、トークン発行者のアドレスも有しており、トークン発行者だけが、 “加入ケーパビリティid”を復号するキーを有しており、セキュリティがより高くなるようになっている。端末で必要なことは、後で行う任意のリクエストのために、ユーザ・トークンをオリジナルのフォーマットで送り返すことだけであり、このメッセージ・フォーマットのために、加入ケーパビリティidに関する“token_info”タグを含む情報が暗号化されている。
【0040】
その他のタグはすべて暗号化されていない。ユーザ・トークンのフォーマットの一例が、フォーマット3として図11に図示されている。
【0041】
悪意のあるエンティティがトークンを使用することを防ぐために、あるセキュリティ・メカニズムと共に、このフォーマットが使用されることが望ましい。ユーザ・トークンを保護する一例は、トークン発行者が、初期乱数をトークンと共に提供することである。この乱数は、トークンを用いるためのシーケンス・ナンバーとして機能する。ユーザは、トークンを送り出す必要があるたびに、ある暗号化方法を用いて、乱数及びそれ自体の資格に基づくセキュリティ・コードを作成する。例えば、ユーザは、資格とリンクしたそのセキュリティ協定に初期乱数を追記して、固有のナンバーを生成する。セキュリティ・コードは、ハッシュ関数、例えば、MD5を前述の固有のナンバーに適用することによって生成可能である。なお、ユーザとトークン発行者との間で事前に同意されていれば、他の任意の暗号化方法を使用できることは、当業者には自明のことである。また、トークン内にあるフィールドを設けて、ユーザに対して、セキュリティ・コード生成のために用いるアルゴリズムを示すことも可能である。さらに、このフィールドにアルゴリズムのリストを含めることも可能である。ユーザは、コード生成のために、任意のアルゴリズムをリストから取り出して、トークン発行者に送られるリクエストにおいて、選択されたアルゴリズムを指示することが可能である。
【0042】
セキュリティ・コードは、検証のために、ネットワークに対してユーザ・トークンと共に送られる。トークン発行者は、認証アサーションで取得したものと同一アルゴリズム及び同一の情報を用いて、検証コードを作成する。そして、検証コードと一致するセキュリティ・コードを有するトークンだけが、トークン発行者によって有効であるとみなされる。リプレイ・アタックを回避するためには、ユーザ及びトークン発行者は、サービスリクエストの成功のたびに、事前に同意済みの方法に基づいて乱数を変更することができる。例えば、ユーザ及びトークン発行者は、トークンと共に初期に取得した前述のセキュリティ協定の最後の4ビットだけ初期乱数をインクリメントすることが可能である。
【0043】
別の代替方式は、端末のホーム・ドメインが、セキュリティ検証コードのベクトルと、認証アサーション回答に埋め込まれている加入ケーパビリティ情報内の対応する初期乱数とを提供することである。トークン発行者は、前述のように、トークンと共に乱数を送り、セキュリティ・ベクトルからの検証コードを用いて、ユーザ・トークンを有効にする。このオプションは、アルゴリズムがホーム・ドメイン及び端末にしか分からないという点が長所である。また、更新も容易であり、トークン発行者に対して、あまり多くのことを要求しない。
【0044】
端末(1.3)は、有効ユーザ・トークンを持つと、承認コントローラ(1.6b)に対して直接、リソース承認に関する問い合わせを行う(3.9)。承認コントローラ(1.6b)は、ユーザ・トークンの“加入ケーパビリティid”を復号して、それを以前に取得した加入ケーパビリティと比較する。ケーパビリティが端末(1.3)のリクエストに対して承認を与えるものである場合には、承認コントローラ(1.6a)は、それに応じたリソースの割り当てを行い(3.10)、端末(1.3)への回答を行う(3.11)。また、ホーム・ドメイン(1.1)のAAAサーバ(1.7)からの回答が“アサーション失敗”である場合には、“失敗コード”が“アサーション失敗”メッセージに付記されて、前述の端末(1.3)に送り返される必要がある。
【0045】
訪問ドメイン(1.2)の認証コントローラ(1.6a)とホーム・ドメイン(1.1)のAAAサーバ(1.7)との間でやり取りされるメッセージは、セキュア・チャンネルを介しており、例えば、SSL/TLS、IPsecなどのようなセキュリティ・メカニズムを用いて、必要なトランスポートレイヤのセキュリティが提供可能である。認証に成功しない場合に、ユーザには、その試みが成功しなかったことが通知される。これには、“失敗コード”に由来する表示可能のメッセージ、又は所定の事前に構成されたメッセージの使用が可能であり、ユーザに対して、例えば、別のホーム・ドメインで認証を試みるように依頼が行われる。
【0046】
図4には、明示的な承認段階中に行われたメッセージのシーケンスが示されている。端末(1.3)が訪問ドメイン(1.2)に対して新しいサービスをリクエストした場合、例えば、端末(1.3)がブルートゥース・サブシステム(ブルートゥース・インタフェース)(2.3)を介して接続するプリント・サービスの使用をリクエストした場合には、端末(1.3)は、初期認証段階中に取得したユーザ・トークンが埋め込まれた承認リクエストを開始する。ここでは、端末(1.3)が、例えば、WLANインタフェース(2.2)などの別のインタフェースを用いて、認証に関する図3の前半部に記載されたステップを行うことが想定される。また、いったん端末(1.3)がユーザ・トークンを持った場合には、異なるネットワーク・インタフェースにアクセスしていても、再び認証段階を行う必要がない。
【0047】
新しいリクエストは承認コントローラ(1.6b)に対して行われる必要がある。ユーザ・トークンの埋め込まれたリソースリクエストメッセージが承認コントローラ(1.6b)に提示された場合には(4.1)、承認コントローラ(1.6b)はトークンの信頼性を最初にチェックする。承認コントローラ(1.6b)は、別のネットワーク・インタフェースを介しているが、認証段階において自らトークンを生成しているので、トークンの信頼性を検証することが可能である。このトークンの情報に基づいて、承認コントローラ(1.6b)は、データベースに既に保存されている加入ケーパビリティの情報と、リソースリクエストを比較し、ユーザ又は他者に対するアクセスを承認するかどうかを決定する(4.2)。承認リクエストが許可された場合には、訪問ドメイン(1.2)の承認コントローラ(1.6b)は、必要なローカル・リソースの許可をローカル・オーソライザ(1.5a)に命じるとともに、リソースが許可されたことを端末(1.3)に回答する(4.3)。一方、そうでない場合は、リクエスト失敗が端末(1.3)に送り返される。
【0048】
ユーザ・トークンの有効期間を決定して有効にするためには、各トークンに関連付けられた “開始時間”及び“終了時間”が決定される。過剰レベルの保護に対して、訪問ドメイン(1.2)の承認コントローラ(1.6b)は、トークンがタイムリミットに達している場合に、端末(1.3)に対して新しいユーザ・トークンを発行できる。すなわち、トークン満了時には、新しいリクエストに対して再認証プロセスが開始される。また、ユーザが明示的にログアウトした場合には、トークンが取り消され、すなわち、端末(1.3)は、そのトークンを更なる任意のサービスリクエストに使用することはできない。さらに、訪問ドメイン(1.2)の承認コントローラ(1.6b)の加入ケーパビリティが削除される。
【0049】
図5には、別のシナリオに対するシステム構成の一例が示されている。ここでは、複数の訪問ドメインが存在し、訪問ドメイン(5.1)とホーム・ドメイン(5.8)との間で端点間の連携は存在しないものの、シングル・サイン・オンが実現されている。各訪問ドメイン(5.1、5.4)は、各訪問ドメイン(5.1、5.4)の認証コントローラ(5.2a、5.5a)及び承認コントローラ(5.2b、5.5b)によって管理されている。図5には、2つの異なる管轄ドメインのみが図示されている。なお、ここで説明する解決方法を複数の訪問ドメインに対しても適用できることは、当業者には自明のことである。訪問ドメイン1(5.4)は、ホーム・ドメイン(5.8)と訪問ドメイン2(5.1)の両方とそれぞれ連携しているドメインである。訪問ドメイン2(5.1)は、訪問ドメイン1(5.4)と連携しているが、ホーム・ドメインとは連携していない。図2に示した構成と同様に、AAコントローラ(5.2、5.5)の認証コントローラ(5.2a、5.5a)と承認コントローラ(5.2b、5.5b)は、コントロールにおいて異なる役割を担う2つの依存したエンティティである。しかし、実施時には、これら2つのエンティティは、通常は同じデバイスに共存しているので、統合可能である。
【0050】
図5に示すように、訪問ドメイン1(5.4)はWLAN(5.6)と第3世代(3G)のUMTS(5.7)サブシステムとにより構成され、訪問ドメイン2(5.1)は、ブルートゥース・サブシステム(5.3)を含んでいる。なお、これら2つのドメインが他のサブシステムの任意の組み合わせを含むことができることは、当業者には自明のことである。端末(5.10)は、訪問ドメイン1(5.4)及び訪問ドメイン2(5.1)の両方が提供するネットワーク・インタフェースにアクセスできる。
【0051】
図5の訪問ドメイン1(5.4)が図2の訪問ドメイン(1.2)として動作する、図3に示すプロセスと同様の認証プロセスによって、端末(5.10)が、訪問ドメイン1(5.4)を介した認証プロセスを既に行っているものとする。例えば、端末(5.10)は、訪問ドメイン1(5.4)にWLAN(5.6)ネットワーク・インタフェースを介して元々ログオンしており、図3に示したものと同一の認証手順を既に行っている。
【0052】
端末(5.10)が、“サード・パーティ”ネットワーク・インタフェースを介したサービスへのアクセスを試みる状況、すなわち、ユーザ・トークンを発行する承認コントローラが制御するドメイン外のネットワーク・インタフェースからリソースをリクエストする状況がある。これは、例えば、端末(5.10)が、訪問ドメイン2(5.1)が提供するブルートゥース・インタフェース(5.3)を介してプリント・サービスにアクセスを望む状況などである。この場合には、図6に示した手順がトリガされる。
【0053】
端末(5.10)は、訪問ドメイン2(5.1)の承認コントローラ2(5.2b)にユーザ・トークン(6.1)が埋め込まれた“リソースリクエスト”メッセージを提示する。また、端末(5.10)が訪問ドメイン2(5.1)との接続ポイントを1つしか有していない場合には、リソースリクエストは認証コントローラ2(5.2a)から転送されることとなる。
【0054】
ユーザ・トークンは、図3に示すように認証段階の初期に得られている。このトークンには、発行者のアドレスによるタグが付されており、この場合には、訪問ドメイン1(5.4)の承認コントローラ1(5.5b)のアドレスになる。承認コントローラ2(5.2b)は、承認コントローラ1(5.5b)がトークンの発行者であり、共に連合しているので、承認コントローラ1(5.5b)に対して問い合わせを行う(6.2)。
【0055】
承認コントローラ1(5.5b)は、有効期間とトークンにタグ付けされたidなどをチェックして、トークンの認証について検証する(6.3)。このとき、承認コントローラ1(5.5b)は、端末(5.10)がリクエストしたサービスの使用を承認されているかどうかを検討(6.3)するために、ホーム・ドメイン(5.8)から初期に取得した加入ケーパビリティによってチェックを行い、承認コントローラ1(5.5b)は、承認のステータスについて承認コントローラ2(5.2b)に回答する。訪問ドメイン1と訪問ドメイン2とは連携しているので、回答は訪問ドメイン2によって信頼される。なお、これら2つのドメイン間のメッセージ交換は、それらの間で交渉された任意のスキームを用いて保証されなければならない。
【0056】
加入ケーパビリティ情報が、端末(5.10)に対して、ネットワーク・インタフェースを認可しないものである場合には、承認コントローラ1(5.5b)は、ホーム・ドメイン(5.8)のAAAサーバ(5.9)に“承認アサーションクエリ”のフォーマットで再認可を発行する(6.4)。図12には、“承認アサーションクエリ”のフォーマットが、フォーマット4として図示されている。
【0057】
AAAサーバ(5.9)は、新しいリクエストをチェックして、端末(5.10)が特定のネットワーク・インタフェースを用いるための加入情報を有しているかどうかについて回答する(6.5)。“加入ケーパビリティid”に基づいて、AAAサーバ(5.9)は、既に発行済みの加入ケーパビリティの位置を突き止めて、ユーザ加入プロファイルを検索する。端末(5.10)がリクエストされたネットワーク・インタフェースの使用を認められている場合、AAAサーバ(5.9)は、付加的なケーパビリティが埋め込まれた承認成功による回答を行う。
【0058】
訪問ドメイン1(5.4)の承認コントローラ1(5.5b)が格納する加入ケーパビリティには、通常、ユーザ加入プロファイル情報全体ではなく、訪問ドメイン1(5.4)が提供するネットワーク・インタフェース・サービスのみが含まれている(6.3)。訪問ドメイン1(5.4)が新しいケーパビリティを受信した場合には、データベースが更新される(6.6)。なお、ステップ6.4〜6.6は、ケーパビリティに関する事前のチェック(6.3)から、端末(5.10)がネットワーク・インタフェースを使用することを既に認められていることが明らかとなっている場合にはスキップされる。“リソースリクエスト”の結果は、承認コントローラ1(5.5b)から承認コントローラ2(5.2b)に送り返される(6.7)。承認コントローラ2(5.2b)は、この結果に基づいて“リソースリクエスト”に対するアクセスを認可するかどうかを決定するとともに、リソースリクエストのステータスに関する結果を端末(5.10)に転送する(6.8)。
【0059】
本発明は、訪問ドメイン2(5.1)がホーム・ドメイン(5.8)と連携している場合に適用可能であり、同一のメッセージ・プロトコルが適用される。
【0060】
また、本発明は、ホーム・ドメインがトークン発行者である場合にも機能する。このような場合には、後に、ホーム・ドメインと連携している訪問ドメインに対してアクセスするために、同一のメッセージ・プロトコルが適用される。また、認証がホーム・ドメインを経由する場合には、ホーム・ドメインは、端末に対してトークンを発行する。また、端末がホーム・ドメインと連携している訪問ドメインにアクセスを試みる場合には、トークンはトークン発行者(この場合には、ホーム・ドメイン)によって検証される。
【0061】
本発明は、トークン発行者が連携ドメインに存在する場合や、端末がホーム・ドメインのリソースにアクセスを試みる場合にも適用される。この場合には、端末は、ホーム・ドメインに対して、サービスリクエストを有するユーザ・トークンを提示する。ホーム・ドメインは、ユーザ・トークンを受け取ると、端末のホーム・ドメイン情報を含むユーザ・トークンを解明する。端末のホーム・ドメイン情報がそれ自体である場合には、ホーム・ドメインは、トークン発行者によってユーザ・トークンの信頼性について検証する必要がある。検証に成功した場合には、ホーム・ドメインは、加入ケーパビリティ情報を有するトークン発行者からの承認を取得する代わりに、ユーザ加入プロファイルに従って、サービスの使用を認可する。
【0062】
図7には、端末(5.10)が訪問ドメイン2(5.1)にリソースリクエストを発する前に、訪問ドメイン1(5.4)による認証プロセスを完了していなかった場合の、図5のシステム構成に基づく別のシナリオが図示されている。端末(5.10)が有効なトークンなしにネットワーク・インタフェースへのアクセスを開始する場合には、認証プロセスを行う必要がある。また、端末(5.10)がアクセスを試みる訪問ドメインが、ホーム・ドメイン(5.8)と連携していない場合には、訪問ドメインは、信頼サイトとみなされないので、“加入ケーパビリティ”情報の内容によって提示されるべきではなく、認証プロセスはやや異なるものとなる。しかしながら、訪問ドメインは、端末(5.10)のホーム・ドメイン(5.8)との連合を作っている他のネットワークと連合を有していることもあり、何らかの方法によって、ホーム・ドメイン(5.8)との間接的な連合を作ることが可能な場合もある。
【0063】
このシナリオにおける認証のためのステップが、図7に図示されている。訪問ドメイン1(5.4)は、ホーム・ドメイン(5.8)及び訪問ドメイン2(5.1)の両方と連携しており、訪問ドメイン2(5.1)はホーム・ドメイン(5.8)と連携していない。端末(5.10)は、暗号化されたユーザ資格を認証コントローラ2(5.2a)に提示する(7.1)。訪問ドメイン2(5.1)の認証コントローラ2(5.2a)は、ホーム・ドメイン(5.8)のアドレスをチェックして、それがホーム・ドメイン(5.8)と直接連合していないことを見いだす。次いで、探索プロセスが実施され、訪問ドメイン1(5.4)が端末(5.10)のホーム・ドメイン(5.8)と直接連合していることが見いだされる。
【0064】
複数のドメインが相互接続されている場合、すなわち、ホーム・ドメイン(5.8)にもアフィリエイトしているアフィリエイトネットワークのリストが存在するなどの場合には、探索プロセスから複数の結果が生じる場合もある。例えば、訪問ドメイン2(5.1)は、ホーム・ドメイン(5.8)と連合している他のドメインに対して接続することもできる。訪問ドメイン2(5.1)は、任意の事前設定済みのポリシーを用いて、リクエストを送るドメインを決定する。例えば、異なるドメインを介する接続によって異なるチャージを示す結果が得られる場合もあり、この場合には、訪問ドメイン2(5.1)は、最低コストのドメインを選ぶべきである。また、ドメインを選ぶ際に、例えば、負荷バランス、領域、物理的又は地理的距離、規制の考慮、又は入手可能な情報のすべてに関して重みが設定された組み合わせなどの他の基準を使用できることが明らかである。別の代替方式として、訪問ドメイン2(5.1)が、使用の可能性のあるすべての訪問ドメインが記載されたメッセージによって端末(5.10)に回答し、端末(5.10)に選択を促すことも可能である。探索プロセスは、例えば、すべての接続ドメインに対する単純な問い合わせ、DNSの調査、又はMIBに対する問い合わせなどの多くの方式によって実施できることは、当業者には自明のことである。
【0065】
利用するドメイン、例えば、訪問ドメイン1(5.4)を特定した後、認証コントローラ2(5.2a)は、ホーム・ネットワーク(5.8)と連合している訪問ドメイン1(5.4)の認証コントローラ1(5.5a)に対して“認証及び承認リクエスト”を発する(7.2)。また、認証コントローラ1(5.5a)は、“認証アサーションクエリ”をホーム・ドメイン(5.8)のAAAサーバ(5.9)に発する(7.3)。認証アサーションクエリが成功すると、加入ケーパビリティがAAAサーバ(5.9)から認証コントローラ1(5.5a)に送られる(7.4)。認証コントローラ1は、認証段階の完了を承認コントローラ1(5.5b)に通知する(7.6)前に、この加入情報をデータベースに保存する(7.5)。また、承認コントローラ1(5.5a)は、“加入ケーパビリティ”から、端末(5.10)が訪問ドメイン2(5.1)が提供するサービスの使用を承認されているかどうかを検討する。認証コントローラ1と承認コントローラ1は共に“加入ケーパビリティ”を保存するデータベースにアクセスできる。なお、実施時には、認証コントローラ1(5.5a)、承認コントローラ1(5.5b)、データベースは、同じ場所に配置することも可能であり、物理的に分離することも可能である。
【0066】
承認コントローラ1(5.5b)は、サービスリクエストに対する加入ケーパビリティのチェックを行う(7.7)。加入ケーパビリティ・メッセージが、端末(5.10)がアクセスを希望するネットワーク・インタフェースを含んでいない場合には、承認コントローラ1(5.5b)は、端末(5.10)がサード・パーティ・ネットワークでネットワーク・インタフェースの使用を承認されているかどうかを再検討するように、AAAサーバ(5.9)に問い合わせる(7.8)。そして、アサーション成功を受け取ると(7.9)、承認コントローラ1(5.5b)は、データベースの新しいケーパビリティを更新して、端末用の新しいユーザ・トークンを生成(発行)する(7.10)。
【0067】
加入ケーパビリティ・メッセージに、リクエストを行ったネットワーク端末に関して端末が承認されているという情報が既に含まれている場合には、ステップ7.8及び7.9は行われない。また、ステップ7.10では、新しいユーザ・トークンの生成のみが行われ、データベースの更新は、この場合には行われない。
【0068】
端末(5.10)に対して承認が与えられた場合には、ユーザ・トークンが端末(5.10)に送り返される必要がある。ユーザ・トークンの生成後、承認コントローラ1(5.5b)は、ユーザ・トークンを認証コントローラ1(5.5a)に送り返す(7.11)。認証コントローラ1(5.5a)は、リクエストが成功している場合には、ユーザ・トークンが埋め込まれた“認証及び承認リクエスト”に関して、認証コントローラ2(5.2a)に回答する(7.12)。続いて、認証コントローラ2(5.2a)は、リクエストのステータスを承認コントローラ2(5.2b)に通知し(7.13)、承認コントローラ2(5.2b)は、必要なリソースを割り当てて(7.14)、認証コントローラ2(5.2a)に回答する(7.15)。認証コントローラ2(5.2a)は、そのリクエストのステータスに関して、端末(5.10)に通知する(7.16)。新しいネットワーク・インタフェースに対するその後のアクセス及び手順は、図6のものと同一である。
【0069】
システムの通常の動作とユーザ情報の機密性とを保護するために、セキュリティ保護、例えば、トランスポートレイヤセキュリティ(TLS)におけるセキュリティ・ソケット・レイヤ(SSL)、IPセキュリティ(IPsec)などに基づいて、メッセージがやり取りされる。また、セキュア・トンネリングが、異なるドメインのAAコントローラと異なるAAAサーバとの間で、認証及び承認の両方に対してメッセージの交換前に設定されることが想定される。なお、メッセージ交換において、十分なセキュリティ保護が提供されている限り、任意のセキュリティ形態が、このフレームワークに適用できることは、当業者には自明のことである。
【0070】
例えば、端末は、そのMMSをUMTSインタフェースを介して受信すると同時に、あるファイルをWLANを介してダウンロードするなど、同時に複数の接続を作動させることが可能である。これは、デュアル/マルチモード端末においてのみ可能となる。別のネットワークからより安いレートにアクセスする場合には、端末は代替方式に関する通知を受け、ネットワーク・プロバイダが端末のサービス・プロバイダ・オペレータと同一の連携にあるアフィリエイト状態の場合には、端末は、このような他のネットワーク・プロバイダに登録される必要はない。連携したネットワークは、デバイスがこうしたネットワークの対象エリア内に存在する場合には、極めて狭域のネットワークの形態であってもよい。例えば、封鎖エリアでは、端末がWLANサービスに対してログオンしていて、ブルートゥース又は赤外線デバイスの使用を決定する場合に、端末は、異なるサービスにそれぞれログインする必要はない。
【0071】
図7に示されるステップは1段(single-tier)の連携の発見の場合にのみ実行可能であり、すなわち、ここでは、端末が接続を試みる新しいドメインが、ホーム・ドメインと連携したドメインに直接接続されている。こうした仮定がなされない場合には、多段(multi-tier)の発見を行う必要がある。多段の発見をサポートするために、発見に関して、さらにステップを実施する必要がある。1つの方法としては、徹底的な調査を行うことであるが、ここでは、複数の中間訪問ドメインがプロキシとして機能することが要求される。
【0072】
図8には、多段のドメイン連携シナリオにおける本発明のシーケンス・ダイアグラムの一例が示されている。図8において、まず、端末(8.1)は “ログイン及びリソースリクエスト”を発し(8.6)、そのユーザ資格を訪問ドメインA(8.2)に提供する。なお、訪問ドメインA(8.2)は、端末(8.1)がそのリソースにアクセスを所望するドメインである。なお、認証コントローラ及び承認コントローラは、図示を単純にするために、ここでは区別されていない。
【0073】
訪問ドメインA(8.2)は、多段の連携プロセスの検索(AAパスの検索)を開始する(8.7)。検索を行うために可能な方法は、訪問ドメインA(8.2)が、特定のホーム・ドメイン情報を含んでいる特別なメッセージを相互接続したすべてのドメインに送ることである。このメッセージにはライフリミットが含まれており、限られた数のドメインを通った後に破棄される。ドメインがこのメッセージを受け取ると、ホーム・ドメイン(8.5)と連携した接続を有しているかどうかのチェックを行う。そして、ホーム・ドメイン(8.5)と連携した接続を有している場合には、このドメインは、訪問ドメインA(8.2)に対して、リクエストを転送するように通知を行う。
【0074】
メッセージを受け取るドメインが、ホーム・ドメイン(8.5)と全く関係を有していない場合には、ローカルポリシーに応じて、メッセージを破棄するか、又は別のドメインに更に転送するかについての決定を行う。メッセージを転送する前に、ドメインは、ドメイン自体の情報をメッセージに付記するので、メッセージは、通過するすべてのドメインに関する情報を運ぶことになる。この情報を用いることによって、循環的な転送を回避することができ、さらに、訪問ドメインA(8.2)が後でその情報を使用して、ユーザリクエストを転送する(8.6)ことも可能となる。
【0075】
例えば、ドメイン名サービス(DNS)を用いたり、セントラルサーバに問い合わせたりするなどのパスの検索を行う他の方法が存在することは、当業者には自明のことである。パス検索手順(8.7)では、いくつかの結果が導かれることがある。この場合には、訪問ドメインA(8.2)は、あるポリシールールを用いて、どのパスを使用するか、例えば、最も近いもの、最も知られているものなどを決定する。使用するパスを選択する上で可能な方法は、例えば、下記に基づいている。
■リクエストがホーム・ドメインに届く前に通過する必要がある認証コントローラの数
■訪問ドメインと対応する認証コントローラとの間の物理的及び地理的距離
■訪問ドメイン及びノードにアクセスすることによって生じるコスト
■訪問ドメインの負荷状態
■訪問ドメイン及び対応する認証コントローラのサービス・ケーパビリティ
■訪問ドメインで規定された制約
■上述の情報に関して重み付けされた組み合わせ
また、訪問ドメインA(8.2)が、関連情報のすべてを含むエラー・メッセージをユーザに戻して、ユーザに所望のパスを選択させることも可能である。
【0076】
送信パスの特定後、訪問ドメインA(8.2)は、“ログイン及びリソースリクエスト”を1つ又は複数の中間訪問ドメイン(8.3)に転送する(8.6)。これは、単にリクエストを次のドメイン・ノードに転送するものである(8.8)。次のドメイン・ノードのパスは、検索及び発見において決まったパスであることが分かっている。パス・テーブルは、転送すべき次のノードを中間ノードが知ることができるように、転送の際に“ログイン及びリソースリクエスト”内に埋め込まれてもよい。
【0077】
リクエストがホーム・ドメイン(8.5)と直接連携している訪問ドメインB(8.4)に最終的に達する(8.9)と、認証及び承認を行うためのステップが行われる(8.10)。このステップは、図7に示したように、訪問ドメイン1(5.4)とホーム・ドメイン(5.8)との間のメッセージ交換と同様のものとすることができる。“承認回答”が、逆の順序でパス・テーブルを用いてホーム・ドメイン(8.5)から訪問ドメインA(8.2)に送り返される(8.11、8.12)。訪問ドメインA(8.2)は、回答の処理(リソース認証及びリソース割り当て)を行って(8.13)、その後、端末(8.1)に回答する(8.14)。連携と同じ概念が、このマルチ・ドメイン連携環境においても適用される。
【0078】
<第2の実施の形態>
AAAサーバによってリターン・メッセージに埋め込まれる加入ケーパビリティ(3.3、7.4)には、認可されたインタフェース・タイプ情報と、AAAサーバから訪問ドメインにおける端末に、各インタフェース・タイプに対して認可されたQoSレベル情報とが含まれている。
【0079】
前述の認可されたインタフェース・タイプ情報には、端末が訪問ドメインで使用を承認されているネットワーク・インタフェース・タイプのリストが含まれている。AAAサーバは、“認証アサーションクエリ”を開始する訪問ドメインによって提供されるネットワーク・インタフェース・タイプと、ユーザが加入しているネットワーク・インタフェース・タイプとを含ませるにすぎない。例えば、図2のシステム構成の場合、訪問ドメイン(1.2)に返される加入ケーパビリティ情報には“ブルートゥース、WLAN、UMTS”が含まれているが、ユーザは前述の3つのネットワーク・インタフェースに加えてGPRSにも加入している場合もある。しかしながら、訪問ドメイン(1.2)は、単に3つのネットワーク・インタフェース・サービスを提供するだけなので、このGPRSは訪問ドメイン(1.2)には分からない。各インタフェース・タイプに関係するQoSレベルも、この加入ケーパビリティ情報に埋め込まれている。
【0080】
図7のシステム構成の別の例では、訪問ドメイン1(5.4)に返される加入ケーパビリティ・メッセージには、“WLAN及びUMTS”のみが含まれる。なお、この場合、訪問ドメイン1(5.4)は、これら2つのネットワーク・インタフェースのみを提供する。端末(5.10)が別のネットワーク(訪問ドメイン2(5.1))によって提供されるブルートゥース・インタフェース(5.3)へのアクセスを試みる場合には、訪問ドメイン1(5.4)の承認コントローラ1(5.5b)は、ブルートゥース・インタフェース(5.3)に特定した別の“承認アサーションクエリ”を探す。そして、それが承認アサーション成功である場合には、訪問ドメイン2(5.1)は、訪問ドメイン1(5.4)に、端末(5.10)に対してアクセスを認めるように通知する。
【0081】
図13のフォーマット5には、加入ケーパビリティ・メッセージ・フォーマットのフォーマットの一例が示されている。加入ケーパビリティ情報全体は、安全な方式で受取者に配布されるべきであり、例えば、安全なチャンネルを用いて、この情報が配布されることが望ましい。また、チャンネルが安全でない場合には、暗号を用いればセキュリティを提供できる。この加入ケーパビリティは“authentication_assertion_reply(AuthN_assertion_reply)”(3.3、7.4)メッセージに埋め込まれて、“authentication_assertion_query”を発する信頼されるエンティティに対して、AAAサーバ(1.7、5.9)から送り返される。
【0082】
また、加入ケーパビリティ情報は、フィリエイトネットワークが“authorisation_assertion_query(AuthZ_assertion_query)”メッセージを発する際に取得することもできる。AAAサーバ(1.7、5.9)は、この加入ケーパビリティを“authorisation_assertion_reply” (6.5、7.9)に埋め込む。“authorisation_assertion_reply”で戻る加入ケーパビリティ情報は、通常、あるネットワーク・インタフェースリソース上の“authorisation_assertion_query”に応答するものである。
【0083】
加入ケーパビリティ情報に埋め込まれたセキュリティ・ベクトル・フィールドは、必要に応じて、受信ドメインによるユーザの識別情報の検証を支援するためのものであり、例えば、承認コントローラが、ユーザ・トークンを用いてサービスリクエストの妥当性を検証するために使用可能なものである。セキュリティ・ベクトルは、1つのセキュリティ情報、又はホーム・ドメインが作成した検証コードのリストを含むことができる。
【0084】
図7を一例として考えてみる。ステップ7.4において、加入ケーパビリティには、図5のシステム構成に関連して、WLAN(5.6)及びUMTS(5.7)のインタフェース・タイプが含まれている。これは、訪問ドメイン1(5.4)が2つのネットワーク・インタフェースのみを提供することを、AAAサーバ(5.9)が、連携ポリシーから把握することによるものである。なお、ユーザが、他のネットワーク技術にアクセスする他のサービスに加入しているかもしれないということとは無関係であり、ユーザ加入情報全体ではなく、アフィリエイト訪問ドメイン(この場合には、訪問ドメイン1(5.4))に対して限られたユーザ加入情報を提示するだけである。
【0085】
加入ケーパビリティは、図14のフォーマット6に示されるように、フォーマット5に示されるテンプレート・フォーマットを用いている。
【0086】
返信されるネットワーク・インタフェースごとに対して、QoSレベル情報も埋め込まれる。例えば、WLANネットワーク・インタフェースは、値Aと等しいQoSレベルを有する。値Aは、最低保証帯域幅、最大送信レート、バースト・レート、ジッタ、最長遅延などのようなQoS情報のリストを備えている。なお、上述のインタフェース・タイプとそのQoSレベルは図解だけを意図するものである。また、他の種類のネットワーク・インタフェースとQoSレベルも本発明に適用できることは、当業者には自明のことである。
【0087】
ステップ7.8の場合には、リクエストはブルートゥース・インタフェースにアクセスするためのものである。したがって、承認コントローラ1(5.5b)は、ブルートゥースがWLAN及びUMTSを備えている初期リストには存在しないので、“authorisation_assertion_reply”を発する。したがって、“authorisation_assertion_reply”に埋め込まれた加入ケーパビリティは、ブルートゥース・インタフェースのアサーションだけ含むことになる。この情報は、図15のフォーマット7に図示するとおりである。
【0088】
後のWLAN又はUMTSへのアクセスのために、端末(5.10)のサービス加入情報を既に把握している承認コントローラ1(5.5b)は、端末(5.10)がWLAN又はUMTSを介して接続する他のサービスにアクセスを試みる場合に、端末(5.10)に対する承認を認めるべきかどうかについて決定する。
【0089】
端末が“authentication_assertion_query”を発する訪問ドメインによって提供されるサービスに加入していない場合、加入ケーパビリティには、端末が加入していないサービスは含まれないことになる。すなわち、この好適な実施の形態における加入ケーパビリティは、訪問ドメインによって提供されるネットワーク・サービスと端末が加入するネットワーク・サービスとが結合された情報を有している。
【0090】
<第3の実施の形態>
複数のドメイン・サービスのアクセス時に、ユーザは複数の加入情報を有することが可能である。この場合、ユーザ端末は、特にネットワーク共有用に、複数のホーム・ドメインのシナリオを満たす必要がある。例えば、ユーザのホーム・ドメイン1と連携するドメインは、WLANホットスポットを所有できるが、そのWLANホットスポットをユーザのホーム・ドメイン2も共有できる。したがって、ユーザ端末は、認証用の加入情報を選択できなければならない。
【0091】
これを解決する方法の1つは、例えば、ユーザに与えられたUSIMカードに保存するなど、ユーザのホーム・ドメインが、関連情報を加入プロファイルの一部としてユーザに提供することである。ユーザ端末は、ホーム・ドメインのリストを保持しており、ユーザ端末がネットワークにアクセスする必要がある場合には、ネットワークに関連したドメイン情報を取得して、ホーム・ドメイン・リスト内の情報との比較を行う。そのホーム・ドメインの1つがネットワークを所有していた場合には、ユーザ端末は、そのドメインからの対応する加入情報を用いて認証を試みる。なお、ユーザ端末は、同じネットワークを共有する複数のホーム・ドメインがある場合には、ホーム・ドメインを選択する際にその選択基準もセットできることは、当業者には自明のことである。基準として、加入情報を用いたネットワークへのアクセス・レート、ドメイン加入情報の容量、ドメインとその連携から取得できるサービス、規制情報、事前設定優先権などがあり、これらの基準に関して重み付けされた組み合わせも使用可能である。ユーザ端末は、これらの基準を用いて、例えば、ローミング・ユーザとしてネットワークにアクセスすることが、更に安くなるなどの、ある事前に設定されたポリシーに応じて、ネットワークを直接所有していないドメインを選択することも可能である。
【0092】
通常の場合、ユーザ端末のホーム・ドメインがアクセス・ネットワークを所有していないときには、ローカルの訪問ドメインのユーザ認証は、より迅速に行われる。したがって、ホーム・ドメインと連携するとともにユーザ端末の近くに存在するドメインにおける認証コントローラ及び承認コントローラは、例えば、セントラルデータベースなどのホーム・ドメインから、あるユーザ加入情報をダウンロードして、ユーザ認証及びサービス承認をローカルに実施することができる。この場合、ユーザ端末は、例えば、ユーザ端末がサービスに加入するホーム・ドメインの代わりにホーム・ドメインとして連携ドメインを用いることを、その認証リクエストにおいて使用することによって、ローカルの認証を望むことをサービスリクエストで示すべきである。
【0093】
ユーザ端末は、例えば、USIMカードに保存したリストなどの静的な構成、又は、例えば過去の認証手順による学習などの動的な探索によって、“代用のホーム・ドメイン”として用いるためのドメインに関する情報を取得することができる。端末に保存された情報は、各ホーム・ドメインが連携しているドメインのリスト、ドメインの使用コストや規制情報などの対応するステータス情報を含んでいる。ユーザ端末が“代用のホーム・ドメイン”候補を動的に学習する方法の1つは、今までに受けたユーザ・トークンの発行ドメインのすべてを保存することである。ユーザ・トークンをユーザ端末に発行するためには、ドメインは、ユーザの加入情報をダウンロードしており、ユーザのホーム・ドメインと連携関係を有していなければならない。したがって、このドメインで再び認証されるようにリクエストすることが確実である。なお、これらのドメインを発見するために可能な他の方法が存在することは、当業者には自明のことであり、例えば、加入したユーザ端末のホーム・ドメインは、認証リクエスト回答内に自らと連携するすべてのドメインを埋め込むことができる。端末は、そのドメイン・リストをメッセージから検索して、それをホーム・ドメイン・リストに保存できる。また、リスト内に複数の“代用ホーム・ドメイン”候補が存在する場合には、適切なホーム・ドメインを選択するための前述の方法を再度用いて、適切な“代用ホーム・ドメイン”を特定することができる。
【0094】
ユーザ端末が認証リクエストを送る場合、認証リクエストには、そのホーム・ドメインと“代用ホーム・ドメイン”のリストとが共に含まれており、このリクエストを受けた認証コントローラは、適切なドメインを選択して、ユーザ端末を認証することができる。認証コントローラでのドメインの選択は、ローカル・ドメインのポリシーや連携規約などに準じている。これを可能にするために、認証リクエストに埋め込まれたユーザ識別情報(User_ID)は、対応する情報を含めるように拡張されなければならない。User_IDフィールドのフォーマットの一例が、図16のフォーマット8に記されている。
【0095】
ユーザ識別情報は、通常、ユーザ資格とその対応するホーム・ドメイン情報により構成される。ネットワークがどのドメインに認証を行うかについて決定可能とする特徴をサポートするために、“代用ホーム・ドメイン”のリストが認証リクエストに含まれている。フォーマット8の<Sub_Home_Domain>フィールドは“代用ホーム・ドメイン”リストを表している。“num”属性は、このリストの要素の数を示す。この“代用ホーム・ドメイン”の第1の要素はタグ“<1>”が付記されて保存され、第2の要素は“<2>”とし、数字が増加する順で、リストの最後の要素には“<N>”のラベルが付される。なお、ここではNを最後の数とする。なお、リストを保存するための任意のフォーマットが本発明で適用されることは、当業者には自明のことである。この認証リクエストを受けたドメインが、自らを“代用ホーム・ドメイン”リストに見いだした場合には、認証がローカルで実行可能であることを把握する。一方、このドメインが自らをこのリスト内に見いだせない場合には、ある事前設定済みの基準、例えば、選択するドメインと自らとの間の距離、連携ポリシーのルールなどに基づいて、最適なドメインを選択する。
【0096】
ユーザ加入プロファイルが、連携訪問ドメインにダウンロードされることが承認されていない場合には、加入ケーパビリティ情報をサービス承認に使用できる。端末が以前に訪問したことのあるドメインごとに、訪問の記録が訪問ドメイン内に維持されている場合がある。前述の訪問ドメインの認証コントローラが認証を行うために、端末は、自らを訪問ドメインに対して識別する必要があり、このために、端末の加入ケーパビリティの検索が可能である。端末の本来の資格を識別情報として用いる場合、訪問ドメインの認証コントローラは、本来の資格の暗号を解読する手段を有していなければならない。したがって、ホーム・ドメインは、ユーザ資格を復号するためのキーを訪問ドメインに提供する必要がある。ユーザ資格とそれに関連するユーザ加入ケーパビリティが、端末の最初の訪問後に訪問ドメインに保存されており、ユーザが同じ資格を用いて認証リクエストを提示する場合には、訪問ドメインの認証コントローラは、そのデータベースを調べて、前述の資格を認識することができる。したがって、認証はこの訪問ドメイン内でローカルに行われ、承認コントローラは、端末の以前の訪問中に得られた加入ケーパビリティ情報に基づいて、サービス承認を行うことができる。
【0097】
本来のユーザ加入プロファイル又はユーザ資格を明らかにする必要無しにローカル認証を迅速に提供する際の代替方法は、訪問ドメインがローカル・ユーザ資格を端末に提供することである。認証コントローラは、別のローカル資格を端末に発行できる。このローカル・ユーザ資格は、認証リクエストの回答メッセージと共に端末に返送可能であり、端末は、そのローカル・データ・ストア又はUSIMに、このローカル・ユーザ資格を保存することができる。このローカル資格は、ユーザ・トークンとは異なる目的のために機能する。ユーザ・トークンは、その有効ライフタイム全体にわたって用いられ、ユーザ・トークンがサービスリクエスト及びシングル・サイン・オンに用いられた場合には、認証は成功によって完了することが想定されている。一方、ローカル・ユーザ資格は、この端末がこの訪問ドメインを再び訪問して、再び認証を求める場合に用いられる。この解決方法では、ユーザ加入プロファイル又は本来のユーザ資格が訪問ドメインに明らかにされることは要求されない。例えば、端末が、訪問ドメインとの接続を試みる場合に、以前にこのドメインを訪問したことがあるかどうかを調べる。この場合、端末は、認証のために、この訪問ドメインが提供するローカルidの使用を試みてもよい。訪問ドメイン内において、その認証コントローラは、このローカルidに関連したユーザ加入ケーパビリティを検索して、ホーム・ドメインからの検証を求めずに認証を実行する。
【産業上の利用可能性】
【0098】
本発明は、データ通信ネットワークの分野に適用され、特に、移動通信ネットワークにおける移動端末のアクセス制御に係る技術に適用可能である。
【図面の簡単な説明】
【0099】
【図1】連携ネットワーク・サービス環境のシステム構成の例を示す図
【図2】ホーム・ドメインと連携する訪問ドメインに対するアクセスのシステム構成を示す図
【図3】連携した訪問ドメイン環境でシングル・サイン・オンを実現する認証と承認プロセスのシーケンス・ダイアグラムを示す図
【図4】認証プロセス中に得たユーザ・トークンを用いる承認プロセスのシーケンス・ダイアグラムを示す図
【図5】ホーム・ドメインに間接的に連携する訪問ドメインに対するアクセスのシステム構成を示す図
【図6】間接的に連携する環境における承認プロセスのシーケンス・ダイアグラムを示す図。このシーケンス・ダイアグラムは、認証が既に行われていることと、連携した訪問ドメインから得たユーザ・トークンとを想定している。ダイアグラムは、ホーム・ドメインと連携していない別の訪問ドメインのネットワークリソースに対するアクセスを示している。
【図7】間接的に連携する環境における認証及び承認プロセスのシーケンス・ダイアグラムを示す図。このシーケンス・ダイアグラムは、ユーザがホーム・ドメインと連携していないドメインにアクセスしているときに、認証及び承認の両方のプロセスのメッセージ交換を示している。このシーケンス・ダイアグラムは、端末がアクセスを試みている非連携ドメインと端末のホーム・ドメインとの両方と連携しているドメインが存在する、1段のドメイン連携を示している。
【図8】間接的に連携する環境における、他の認証及び承認プロセスのシーケンス・ダイアグラムを示す図。このシーケンス・ダイアグラムは、ユーザがホーム・ドメインと連携していないドメインにアクセスしているときの、認証及び承認の両方のプロセスのメッセージ交換を示している。このシーケンス・ダイアグラムは、端末がアクセスを試みているドメインとホーム・ドメインとの両方と直接連携しているドメインが存在しない、多段のドメイン連携を示している。連携のチェーンは、複数の中間ノードを介して接続する必要がある。
【図9】認証リクエストに係るメッセージ・フォーマット(フォーマット1)の一例を示す図
【図10】認証アサーションクエリに係るメッセージ・フォーマット(フォーマット2)の一例を示す図
【図11】ユーザ・トークンに係るメッセージ・フォーマット(フォーマット3)の一例を示す図
【図12】承認アサーションクエリに係るメッセージ・フォーマット(フォーマット4)の一例を示す図
【図13】加入ケーパビリティに係るメッセージ・フォーマット(フォーマット5)の一例を示す図
【図14】図7のステップ7.4で訪問ドメイン1に返される加入ケーパビリティに係るメッセージ・フォーマット(フォーマット6)の一例を示す図
【図15】図7のステップ7.9で訪問ドメイン1に返される加入ケーパビリティに係るメッセージ・フォーマット(フォーマット7)の一例を示す図
【図16】ネットワークによる認証ドメインの選択を可能とするユーザ識別情報に係るメッセージ・フォーマット(フォーマット8)の一例を示す図
【特許請求の範囲】
【請求項1】
ビジネス関係にある複数の管轄ドメインにおける複数のネットワークにアクセスするためのシングル・サイン・オンを実現するために、ユーザの認証及び承認を管理するシステムであって、
(1)ユーザ加入情報、ドメインポリシー、相互ドメイン規約、ユーザリクエストに基づいて、ユーザの認証及び承認の状態を管理する機能を有するユーザのホーム・ドメインにおけるアクセス・コントロール・オーソリティと、
(2)ユーザ認証を行うとともに、ユーザ情報及びドメインポリシーを取得するために前記アクセス・コントロール・オーソリティとの通信を行う前記ユーザのホーム・ドメインとビジネス関係にある管轄ドメインにおける認証コントローラと、
(3)ユーザ加入情報、ドメインポリシー、相互ドメイン規約に基づいて、ビジネス関係にある管轄ドメイン及びローカル管轄ドメインにおけるネットワークを介したユーザによるサービスへのアクセスの制御を行う前記アクセス・コントロール・オーソリティと同一の管轄ドメインにおける承認コントローラを有するシステム。
【請求項2】
請求項1に記載のユーザ認証及び承認を管理するシステムであって、前記ユーザのホーム・ドメインとの間でビジネス関係にない管轄ドメインにおけるネットワークにアクセスするユーザをサポートし、
(1)前記ユーザのホーム・ドメインと直接ビジネス関係にある管轄ドメインの認証コントローラを探索し、前記ホーム・ドメインと直接ビジネス関係にある前記認証コントローラに認証リクエストを送ることが可能なローカル管轄ドメインにおける認証コントローラと、
(2)同じ管轄ドメインの前記認証コントローラとの通信結果に基づいて、前記ユーザに対するネットワーク・アクセス及びリソースを制御することが可能なローカル管轄ドメインにおける承認コントローラとを更に有するシステム。
【請求項3】
ユーザの加入情報、ステータス情報、ドメインポリシー、相互ドメイン規約を保存するホーム・ドメインのセントラルデータベースを更に有する請求項1又は2に記載の複数の管轄ドメインにおける複数のネットワークにアクセスするためのシングル・サイン・オンを実現するために、ユーザ認証及び承認を管理するシステム。
【請求項4】
複数のホーム・ドメイン加入情報を保存するホーム・ドメイン・リストを有するユーザ装置を更に有しており、複数の加入を可能とする請求項1に記載の複数の管轄ドメインにおける複数のネットワークにアクセスするユーザをサポートするシステム。
【請求項5】
複数の管轄ドメインにおける複数のネットワークにアクセスするシングル・サイン・オンを実現するために、ユーザ認証及び承認を管理する方法であって、
(1)ユーザのホーム・ドメインのアクセス・コントロール・オーソリティが、受信された認証リクエストに埋め込まれているユーザ資格で識別されたユーザ加入プロファイルから加入ケーパビリティ情報を導くステップと、
(2)ユーザのホーム・ドメインとビジネス関係にあるドメインの承認コントローラが、同じドメインの承認コントローラがアクセスできるローカル・データベースに、前記アクセス・コントロール・オーソリティから受信した前記加入ケーパビリティ情報を保存するステップと、
(3)前記承認コントローラが、前記加入ケーパビリティ情報、ドメインポリシー、相互ドメイン規約に基づいて、ユーザ・トークンを作成するステップと、
(4)ユーザ端末が、前記ユーザ・トークン及びドメイン情報を受信して保存し、それを用いて後のネットワーク・アクセスリクエストを行うステップとを有する方法。
【請求項6】
前記承認コントローラが自分だけが分かっているセキュリティ・キーでユーザ・トークンを暗号化するステップを更に有する請求項5に記載の複数の管轄ドメインにおける複数のネットワークにアクセスするためのシングル・サイン・オンを実現するために、ユーザ認証及び承認を管理する方法。
【請求項7】
(1)認証コントローラが、認証リクエストを受信し、リクエストに示されるホーム・ドメインと、前記認証コントローラが属している管轄ドメインとの間の関係を検証するステップと、
(2)ユーザのホーム・ドメインとビジネス関係にあるドメインの認証コントローラが、同じドメインの承認コントローラにユーザ・トークンの作成を通知するステップと、
(3)前記承認コントローラが、作成したユーザ・トークンを同じドメインの認証コントローラに送るステップとを更に有する請求項5に記載の複数の管轄ドメインにおける複数のネットワークにアクセスするためのシングル・サイン・オンを実現するために、ユーザ認証及び承認を管理する方法。
【請求項8】
シングル・サイン・オンにより複数の管轄ドメインにおける複数のネットワークからサービスにアクセスする方法であって、
(1)端末が、ローカル管轄ドメインの承認コントローラに、請求項5に記載のプロセスで得たユーザ・トークンが埋め込まれているサービス承認リクエストを送るステップと、
(2)ユーザ・トークンを作成した承認コントローラが、前記ユーザ・トークンを確認して暗号を解読し、前記ユーザ・トークンに埋め込まれている識別情報を用いてローカル・データベースからユーザ加入ケーパビリティ情報を検索するステップと、
(3)ユーザ・トークンを作成した前記承認コントローラが、前記加入ケーパビリティ情報、ドメインポリシー、相互ドメイン規約に基づいて、サービス承認リクエストの承認を行うステップとを有する方法。
【請求項9】
承認コントローラが、ユーザ・トークンに埋め込まれている情報を用いて、受信したユーザ・トークンを生成した承認コントローラの識別情報を取得し、対応するサービス承認リクエストを、前記ユーザ・トークンを作成した前記承認コントローラに送るステップとを更に有する請求項8に記載のシングル・サイン・オンにより複数の管轄ドメインにおける複数のネットワークからサービスにアクセスする方法。
【請求項10】
(1)前記認証リクエストメッセージのホーム・ドメイン情報を抽出して、前記ホーム・ドメインとビジネス関係にあるドメインに到達するために、認証コントローラの組み合わせの検索を開始するステップと、
(2)検索結果から認証コントローラの組み合わせを選択し、ローカル選択基準を用いて、前記ホーム・ドメインとビジネス関係にあるドメインに到達するステップとを有する認証コントローラが認証リクエストメッセージを処理するための請求項7に記載の方法。
【請求項11】
認証コントローラの前記選択された組み合わせに基づいて、ホーム・ドメインとビジネス関係にあるドメインの認証コントローラに、前記リクエストメッセージを送るステップを更に有する認証コントローラが認証リクエストメッセージを処理するための請求項10に記載の方法。
【請求項12】
(1)前記組み合わせにおける認証コントローラの数
(2)前記組み合わせにおける認証コントローラ間の距離
(3)前記組み合わせにおける認証コントローラに対するアクセスに起因するコスト
(4)前記組み合わせにおける認証コントローラが属するドメインの負荷状態
(5)前記組み合わせにおける認証コントローラの機能
(6)規制情報
(7)任意の事前設定済みのドメインポリシー
(8)すべての関連情報に関して重み付けされた組み合わせを有する情報
に基づいて、認証コントローラが、検索結果から認証コントローラの組み合わせを選択するための請求項10に記載の方法。
【請求項13】
(1)前記認証コントローラが、すべての組み合わせ及び関連情報を含んでいるメッセージをユーザに送るステップと、
(2)ユーザが、組み合わせを選択して、選んだ組み合わせを認証コントローラに示すステップとを有する認証コントローラが検索結果から認証コントローラの組み合わせを選択するための請求項10に記載の方法。
【請求項14】
(1)請求項5に記載の認証コントローラが保存する加入ケーパビリティとユーザのサービス承認リクエストのサービスリクエストとを比較するステップと、
(2)サービスリクエストが前記加入ケーパビリティ内に見いだせない場合には再承認を実施するステップと、
(3)前記再承認の結果が新しいケーパビリティを含んでいる場合、ローカル・データベースの加入ケーパビリティを更新するステップとを有する、ユーザ・トークンを生成する承認コントローラがサービス承認リクエストメッセージを処理するための請求項8に記載の方法。
【請求項15】
ユーザのホーム・ドメインとビジネス関係にあるドメインの承認コントローラが、ユーザのホーム・ドメインから承認を明示的に求めずに、サービス承認を実施するための方法であって、
(1)ユーザ・トークンが埋め込まれたサービスリクエストを受け取った場合に、請求項5に記載の認証プロセスにおいてユーザのホーム・ドメインから取得されたユーザの加入ケーパビリティを検索するステップと、
(2)前記ユーザ加入ケーパビリティのサービス情報、ドメインポリシー、相互ドメイン規約に基づいて、前記サービスリクエストを承認するステップを有する方法。
【請求項16】
ユーザのホーム・ドメインとビジネス関係にあるドメインの認証及び承認コントローラが、ユーザのホーム・ドメインから検証を明示的に求めずに、認証及びサービス承認を実施するための方法であって、
(1)加入ケーパビリティ情報を保存するユーザのホーム・ドメインのデータベースにアクセスすることにより、前記ユーザのホーム・ドメインから前記加入ケーパビリティ情報を取得するステップと、
(2)前記ユーザがユーザ・トークン無しにサービスにアクセスする場合に、前記ユーザにユーザ・トークンを発行するステップと、
(3)ユーザのホーム・ドメインに問い合わせを行うことなく、加入ケーパビリティのサービス情報、ドメインポリシー、相互ドメイン規約に基づいて、ユーザからのサービスリクエストを認証して承認するステップを有する方法。
【請求項17】
ユーザのホーム・ドメインとビジネス関係にないドメインの認証コントローラが、ユーザを認証するための方法であって、
(1)ユーザのホーム・ドメインとビジネス関係にあるドメインに関して、自らとビジネス関係にあるドメインの中から照会するステップと、
(2)ユーザのホーム・ドメインとビジネス関係にある前記ドメインに対して、サービス・ブローカとして機能し、かつユーザのサービスリクエストの承認を実施するように要求するステップと、
(3)前記サービス・ブローカからの情報を利用して、前記ユーザを認証すべきかどうかを決定するステップとを有する方法。
【請求項18】
ユーザのホーム・ドメインとビジネス関係にないドメインの認証コントローラが、請求項10に記載されているユーザのホーム・ドメインとビジネス関係にあるドメインへのパスを探索するための方法であって、
(1)前記認証コントローラは、ローカル構成に基づいて、自らとビジネス関係にあるドメインの認証コントローラに、メッセージのライフタイムとユーザのホーム・ドメインとを示すクエリメッセージを送るステップと、
(2)前記クエリメッセージを受け取った認証コントローラが、自らが前記クエリメッセージに記載されたユーザのホーム・ドメインとビジネス関係にない場合に、自らの識別情報をメッセージに付記し、自らとビジネス関係にあるドメインの認証コントローラにクエリメッセージを送るステップと、
(3)前記クエリメッセージに記載されたユーザのホーム・ドメインとビジネス関係にあるドメインの認証コントローラが、その識別情報をメッセージに付記し、メッセージに添付された情報を用いて元の認証コントローラにメッセージを戻すステップとを更に有する方法。
【請求項19】
請求項5に記載のユーザ・トークンを保護する方法であって、
(1)トークン発行者が、ユーザに送る認証メッセージ回答内に前記ユーザ・トークンと共に乱数を含ませるステップと、
(2)ユーザ端末が、乱数を用いてセキュリティ・コードを生成し、それをサービスリクエスト内の前記トークンと共に送るステップと、
(3)トークン発行者が、同じアルゴリズムを用いて検証コードを生成し、それを前記サービスリクエスト内の前記トークンと共に受け取った前記セキュリティ・コードによって検証するステップと、
(4)トークン発行者及びユーザ端末が、それぞれサービスリクエストの後に同じ方法を用いて、乱数を変更するステップとを有する方法。
【請求項20】
請求項5に記載のユーザ・トークンを保護する方法であって、
(1)トークン発行者が、ホーム・ドメインから乱数を取得し、ユーザに送るメッセージ回答内の前記ユーザ・トークンと共に前記乱数を転送するステップと、
(2)前記トークン発行者が、サービスリクエスト内の前記トークンと共にセキュリティ・コードを検証するために、ホーム・ドメインから受け取った加入ケーパビリティ情報に含まれている検証コードのリストを取得するステップと、
(3)前記トークン発行者が、それぞれサービスリクエストの後に適切な検証コードを取得するために、前記リストを詳しく調べるステップとを更に有する方法。
【請求項21】
ユーザのホーム・ドメインのアクセス・コントロール・オーソリティが、請求項5及び16に記載されているユーザの限られた加入プロファイル情報を、ビジネス関係にあるドメインの認証コントローラに提供するための方法であって、
(1)相互ドメイン規約から、ビジネス関係にあるドメインが提供するネットワーク・サービスを検索するステップと、
(2)ユーザ加入プロファイルから、前記ユーザが加入するネットワーク・サービスの情報を検索するステップと、
(3)前記の相互ドメイン規約で認可されていないが、前記ユーザ加入プロファイル内に存在するネットワーク・サービスを除外するステップとを更に有する方法。
【請求項22】
請求項5に記載されている複数の管轄ドメインの複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法で用いられる加入ケーパビリティ情報のためのフォーマットであって、
(1)このメッセージを受け取る承認コントローラが承認されているネットワーク・インタフェースの数と、
(2)前記承認コントローラが承認されているインタフェース・タイプごとに与えられるサービス品質に関連するサービス・プロファイルの識別子と、
(3)端末からのその後のメッセージを確認するためのセキュリティ情報を含むセキュリティ・コード・ベクトルとを有するフォーマット。
【請求項23】
請求項5に記載されている複数の管轄ドメインの複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法で用いられるユーザ・トークンのためのフォーマットであって、
(1)トークン発行者のアドレスと、
(2)ユーザのホーム・ドメイン情報と、
(3)前記トークンのタイムリミットと、
(4)トークン発行者が加入ケーパビリティを特定するための加入ケーパビリティidとを有するフォーマット。
【請求項24】
請求項5に記載されている複数の管轄ドメインの複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法において、ユーザのホーム・ドメインとビジネス関係にあるドメインが認証アサーションをリクエストするためのフォーマットであって、
(1)サービスをリクエストするユーザの資格と、
(2)ユーザのホーム・ドメインとビジネス関係にあるドメインの情報と、
(3)ユーザのホーム・ドメインの情報とを有するフォーマット。
【請求項25】
請求項5に記載されている複数の管轄ドメインの複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法において、ユーザのホーム・ドメインとビジネス関係にあるドメインが、承認アサーションをリクエストするためのフォーマットであって、
(1)加入ケーパビリティ発行者がユーザ加入プロファイルと連携ポリシーとを定めるための加入ケーパビリティidと、
(2)ユーザがリクエストするサービス・タイプ情報と、
(3)ユーザのホーム・ドメインとビジネス関係にあるドメインの情報と、
(4)ユーザのホーム・ドメインの情報とを有するフォーマット。
【請求項26】
請求項5及び16に記載されている複数の管轄ドメインにおける複数のネットワークにアクセスするため、その資格を示すことができるようにする、ユーザ端末の認証リクエストに用いられるフォーマットであって、
(1)ユーザ加入情報を検索するためのユーザのホーム・ドメイン以外のドメインの情報と、
(2)認証プロセスが行われるユーザのホーム・ドメイン以外のドメインのリストとを有するフォーマット。
【請求項27】
請求項5及び16に記載されている複数の管轄ドメインにおける複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法において、迅速な認証及び承認を実現するための方法であって、ユーザが更なるサービスリクエストのためにホーム・ドメイン・リストのトークン発行者のドメイン情報を保存するステップを更に有する方法。
【請求項28】
請求項5及び16に記載されている複数の管轄ドメインにおける複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法において、迅速な認証及び承認を実現するための方法であって、
(1)ユーザ・トークンを生成したドメインの認証コントローラが、端末が前記ユーザ・トークンを生成した前記ドメインを訪問する場合に、前記端末が認証リクエストを行うためのローカル識別子を提供するステップと、
(2)前記端末が、ローカル・ドメインを訪問する場合に、その認証リクエストにおいて、当該生成されたローカル識別子を用いるステップとを更に有する方法。
【請求項29】
請求項5及び16に記載されている複数の管轄ドメインにおける複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法において、迅速な認証及び承認を実現するための方法であって、
(1)ユーザのホーム・ドメインが、前記ホーム・ドメインがビジネス関係にあるドメインに、ユーザ資格の暗号を解読するためのセキュリティ協定を提供するステップと、
(2)ユーザのホーム・ドメインとビジネス関係にある前記ドメインが、このユーザ資格と、請求項5に記載したステップで取得されたユーザの加入ケーパビリティ情報との関連付けを行うステップと、
(3)ローカル・ドメインが、ユーザ資格及び関連付けられたユーザ加入ケーパビリティに基づいて、認証及び承認を実施するステップとを更に有する方法。
【請求項30】
請求項5及び16に記載されている複数の管轄ドメインにおける複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法において、迅速な認証及び承認を実現するための方法であって、ユーザが、その認証リクエストにおけるホーム・ドメインを、その実際のホーム・ドメインとビジネス関係にある別の管轄ドメインに置き換えるステップを更に有する方法。
【請求項31】
請求項5及び16に記載されている複数の管轄ドメインにおける複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法であって、
(1)ユーザのホーム・ドメインのアクセス・コントロール・オーソリティが、ビジネス関係にあるドメインを認証回答メッセージに埋め込むステップと、
(2)ユーザが、更なるサービスリクエストのために、ユーザ装置のホーム・ドメイン・リストに前記ドメイン情報を保存するステップとを更に有する方法。
【請求項32】
請求項5及び16に記載されている複数の管轄ドメインにおける複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法であって、
(1)ユーザが、アクセスしているネットワークからローカル管轄ドメイン情報を取得するステップと、
(2)ユーザが、前記ローカル管轄ドメイン情報とホーム・ドメイン・リストのドメイン情報とを比較するステップと、
(3)ユーザが、この比較結果と一部の構成可能なポリシーとに基づいて、ホーム・ドメインとして認証リクエスト又はサービス承認リクエストのホーム・ドメイン・リストのドメインの1つを用いるステップとを更に有する方法。
【請求項1】
ビジネス関係にある複数の管轄ドメインにおける複数のネットワークにアクセスするためのシングル・サイン・オンを実現するために、ユーザの認証及び承認を管理するシステムであって、
(1)ユーザ加入情報、ドメインポリシー、相互ドメイン規約、ユーザリクエストに基づいて、ユーザの認証及び承認の状態を管理する機能を有するユーザのホーム・ドメインにおけるアクセス・コントロール・オーソリティと、
(2)ユーザ認証を行うとともに、ユーザ情報及びドメインポリシーを取得するために前記アクセス・コントロール・オーソリティとの通信を行う前記ユーザのホーム・ドメインとビジネス関係にある管轄ドメインにおける認証コントローラと、
(3)ユーザ加入情報、ドメインポリシー、相互ドメイン規約に基づいて、ビジネス関係にある管轄ドメイン及びローカル管轄ドメインにおけるネットワークを介したユーザによるサービスへのアクセスの制御を行う前記アクセス・コントロール・オーソリティと同一の管轄ドメインにおける承認コントローラを有するシステム。
【請求項2】
請求項1に記載のユーザ認証及び承認を管理するシステムであって、前記ユーザのホーム・ドメインとの間でビジネス関係にない管轄ドメインにおけるネットワークにアクセスするユーザをサポートし、
(1)前記ユーザのホーム・ドメインと直接ビジネス関係にある管轄ドメインの認証コントローラを探索し、前記ホーム・ドメインと直接ビジネス関係にある前記認証コントローラに認証リクエストを送ることが可能なローカル管轄ドメインにおける認証コントローラと、
(2)同じ管轄ドメインの前記認証コントローラとの通信結果に基づいて、前記ユーザに対するネットワーク・アクセス及びリソースを制御することが可能なローカル管轄ドメインにおける承認コントローラとを更に有するシステム。
【請求項3】
ユーザの加入情報、ステータス情報、ドメインポリシー、相互ドメイン規約を保存するホーム・ドメインのセントラルデータベースを更に有する請求項1又は2に記載の複数の管轄ドメインにおける複数のネットワークにアクセスするためのシングル・サイン・オンを実現するために、ユーザ認証及び承認を管理するシステム。
【請求項4】
複数のホーム・ドメイン加入情報を保存するホーム・ドメイン・リストを有するユーザ装置を更に有しており、複数の加入を可能とする請求項1に記載の複数の管轄ドメインにおける複数のネットワークにアクセスするユーザをサポートするシステム。
【請求項5】
複数の管轄ドメインにおける複数のネットワークにアクセスするシングル・サイン・オンを実現するために、ユーザ認証及び承認を管理する方法であって、
(1)ユーザのホーム・ドメインのアクセス・コントロール・オーソリティが、受信された認証リクエストに埋め込まれているユーザ資格で識別されたユーザ加入プロファイルから加入ケーパビリティ情報を導くステップと、
(2)ユーザのホーム・ドメインとビジネス関係にあるドメインの承認コントローラが、同じドメインの承認コントローラがアクセスできるローカル・データベースに、前記アクセス・コントロール・オーソリティから受信した前記加入ケーパビリティ情報を保存するステップと、
(3)前記承認コントローラが、前記加入ケーパビリティ情報、ドメインポリシー、相互ドメイン規約に基づいて、ユーザ・トークンを作成するステップと、
(4)ユーザ端末が、前記ユーザ・トークン及びドメイン情報を受信して保存し、それを用いて後のネットワーク・アクセスリクエストを行うステップとを有する方法。
【請求項6】
前記承認コントローラが自分だけが分かっているセキュリティ・キーでユーザ・トークンを暗号化するステップを更に有する請求項5に記載の複数の管轄ドメインにおける複数のネットワークにアクセスするためのシングル・サイン・オンを実現するために、ユーザ認証及び承認を管理する方法。
【請求項7】
(1)認証コントローラが、認証リクエストを受信し、リクエストに示されるホーム・ドメインと、前記認証コントローラが属している管轄ドメインとの間の関係を検証するステップと、
(2)ユーザのホーム・ドメインとビジネス関係にあるドメインの認証コントローラが、同じドメインの承認コントローラにユーザ・トークンの作成を通知するステップと、
(3)前記承認コントローラが、作成したユーザ・トークンを同じドメインの認証コントローラに送るステップとを更に有する請求項5に記載の複数の管轄ドメインにおける複数のネットワークにアクセスするためのシングル・サイン・オンを実現するために、ユーザ認証及び承認を管理する方法。
【請求項8】
シングル・サイン・オンにより複数の管轄ドメインにおける複数のネットワークからサービスにアクセスする方法であって、
(1)端末が、ローカル管轄ドメインの承認コントローラに、請求項5に記載のプロセスで得たユーザ・トークンが埋め込まれているサービス承認リクエストを送るステップと、
(2)ユーザ・トークンを作成した承認コントローラが、前記ユーザ・トークンを確認して暗号を解読し、前記ユーザ・トークンに埋め込まれている識別情報を用いてローカル・データベースからユーザ加入ケーパビリティ情報を検索するステップと、
(3)ユーザ・トークンを作成した前記承認コントローラが、前記加入ケーパビリティ情報、ドメインポリシー、相互ドメイン規約に基づいて、サービス承認リクエストの承認を行うステップとを有する方法。
【請求項9】
承認コントローラが、ユーザ・トークンに埋め込まれている情報を用いて、受信したユーザ・トークンを生成した承認コントローラの識別情報を取得し、対応するサービス承認リクエストを、前記ユーザ・トークンを作成した前記承認コントローラに送るステップとを更に有する請求項8に記載のシングル・サイン・オンにより複数の管轄ドメインにおける複数のネットワークからサービスにアクセスする方法。
【請求項10】
(1)前記認証リクエストメッセージのホーム・ドメイン情報を抽出して、前記ホーム・ドメインとビジネス関係にあるドメインに到達するために、認証コントローラの組み合わせの検索を開始するステップと、
(2)検索結果から認証コントローラの組み合わせを選択し、ローカル選択基準を用いて、前記ホーム・ドメインとビジネス関係にあるドメインに到達するステップとを有する認証コントローラが認証リクエストメッセージを処理するための請求項7に記載の方法。
【請求項11】
認証コントローラの前記選択された組み合わせに基づいて、ホーム・ドメインとビジネス関係にあるドメインの認証コントローラに、前記リクエストメッセージを送るステップを更に有する認証コントローラが認証リクエストメッセージを処理するための請求項10に記載の方法。
【請求項12】
(1)前記組み合わせにおける認証コントローラの数
(2)前記組み合わせにおける認証コントローラ間の距離
(3)前記組み合わせにおける認証コントローラに対するアクセスに起因するコスト
(4)前記組み合わせにおける認証コントローラが属するドメインの負荷状態
(5)前記組み合わせにおける認証コントローラの機能
(6)規制情報
(7)任意の事前設定済みのドメインポリシー
(8)すべての関連情報に関して重み付けされた組み合わせを有する情報
に基づいて、認証コントローラが、検索結果から認証コントローラの組み合わせを選択するための請求項10に記載の方法。
【請求項13】
(1)前記認証コントローラが、すべての組み合わせ及び関連情報を含んでいるメッセージをユーザに送るステップと、
(2)ユーザが、組み合わせを選択して、選んだ組み合わせを認証コントローラに示すステップとを有する認証コントローラが検索結果から認証コントローラの組み合わせを選択するための請求項10に記載の方法。
【請求項14】
(1)請求項5に記載の認証コントローラが保存する加入ケーパビリティとユーザのサービス承認リクエストのサービスリクエストとを比較するステップと、
(2)サービスリクエストが前記加入ケーパビリティ内に見いだせない場合には再承認を実施するステップと、
(3)前記再承認の結果が新しいケーパビリティを含んでいる場合、ローカル・データベースの加入ケーパビリティを更新するステップとを有する、ユーザ・トークンを生成する承認コントローラがサービス承認リクエストメッセージを処理するための請求項8に記載の方法。
【請求項15】
ユーザのホーム・ドメインとビジネス関係にあるドメインの承認コントローラが、ユーザのホーム・ドメインから承認を明示的に求めずに、サービス承認を実施するための方法であって、
(1)ユーザ・トークンが埋め込まれたサービスリクエストを受け取った場合に、請求項5に記載の認証プロセスにおいてユーザのホーム・ドメインから取得されたユーザの加入ケーパビリティを検索するステップと、
(2)前記ユーザ加入ケーパビリティのサービス情報、ドメインポリシー、相互ドメイン規約に基づいて、前記サービスリクエストを承認するステップを有する方法。
【請求項16】
ユーザのホーム・ドメインとビジネス関係にあるドメインの認証及び承認コントローラが、ユーザのホーム・ドメインから検証を明示的に求めずに、認証及びサービス承認を実施するための方法であって、
(1)加入ケーパビリティ情報を保存するユーザのホーム・ドメインのデータベースにアクセスすることにより、前記ユーザのホーム・ドメインから前記加入ケーパビリティ情報を取得するステップと、
(2)前記ユーザがユーザ・トークン無しにサービスにアクセスする場合に、前記ユーザにユーザ・トークンを発行するステップと、
(3)ユーザのホーム・ドメインに問い合わせを行うことなく、加入ケーパビリティのサービス情報、ドメインポリシー、相互ドメイン規約に基づいて、ユーザからのサービスリクエストを認証して承認するステップを有する方法。
【請求項17】
ユーザのホーム・ドメインとビジネス関係にないドメインの認証コントローラが、ユーザを認証するための方法であって、
(1)ユーザのホーム・ドメインとビジネス関係にあるドメインに関して、自らとビジネス関係にあるドメインの中から照会するステップと、
(2)ユーザのホーム・ドメインとビジネス関係にある前記ドメインに対して、サービス・ブローカとして機能し、かつユーザのサービスリクエストの承認を実施するように要求するステップと、
(3)前記サービス・ブローカからの情報を利用して、前記ユーザを認証すべきかどうかを決定するステップとを有する方法。
【請求項18】
ユーザのホーム・ドメインとビジネス関係にないドメインの認証コントローラが、請求項10に記載されているユーザのホーム・ドメインとビジネス関係にあるドメインへのパスを探索するための方法であって、
(1)前記認証コントローラは、ローカル構成に基づいて、自らとビジネス関係にあるドメインの認証コントローラに、メッセージのライフタイムとユーザのホーム・ドメインとを示すクエリメッセージを送るステップと、
(2)前記クエリメッセージを受け取った認証コントローラが、自らが前記クエリメッセージに記載されたユーザのホーム・ドメインとビジネス関係にない場合に、自らの識別情報をメッセージに付記し、自らとビジネス関係にあるドメインの認証コントローラにクエリメッセージを送るステップと、
(3)前記クエリメッセージに記載されたユーザのホーム・ドメインとビジネス関係にあるドメインの認証コントローラが、その識別情報をメッセージに付記し、メッセージに添付された情報を用いて元の認証コントローラにメッセージを戻すステップとを更に有する方法。
【請求項19】
請求項5に記載のユーザ・トークンを保護する方法であって、
(1)トークン発行者が、ユーザに送る認証メッセージ回答内に前記ユーザ・トークンと共に乱数を含ませるステップと、
(2)ユーザ端末が、乱数を用いてセキュリティ・コードを生成し、それをサービスリクエスト内の前記トークンと共に送るステップと、
(3)トークン発行者が、同じアルゴリズムを用いて検証コードを生成し、それを前記サービスリクエスト内の前記トークンと共に受け取った前記セキュリティ・コードによって検証するステップと、
(4)トークン発行者及びユーザ端末が、それぞれサービスリクエストの後に同じ方法を用いて、乱数を変更するステップとを有する方法。
【請求項20】
請求項5に記載のユーザ・トークンを保護する方法であって、
(1)トークン発行者が、ホーム・ドメインから乱数を取得し、ユーザに送るメッセージ回答内の前記ユーザ・トークンと共に前記乱数を転送するステップと、
(2)前記トークン発行者が、サービスリクエスト内の前記トークンと共にセキュリティ・コードを検証するために、ホーム・ドメインから受け取った加入ケーパビリティ情報に含まれている検証コードのリストを取得するステップと、
(3)前記トークン発行者が、それぞれサービスリクエストの後に適切な検証コードを取得するために、前記リストを詳しく調べるステップとを更に有する方法。
【請求項21】
ユーザのホーム・ドメインのアクセス・コントロール・オーソリティが、請求項5及び16に記載されているユーザの限られた加入プロファイル情報を、ビジネス関係にあるドメインの認証コントローラに提供するための方法であって、
(1)相互ドメイン規約から、ビジネス関係にあるドメインが提供するネットワーク・サービスを検索するステップと、
(2)ユーザ加入プロファイルから、前記ユーザが加入するネットワーク・サービスの情報を検索するステップと、
(3)前記の相互ドメイン規約で認可されていないが、前記ユーザ加入プロファイル内に存在するネットワーク・サービスを除外するステップとを更に有する方法。
【請求項22】
請求項5に記載されている複数の管轄ドメインの複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法で用いられる加入ケーパビリティ情報のためのフォーマットであって、
(1)このメッセージを受け取る承認コントローラが承認されているネットワーク・インタフェースの数と、
(2)前記承認コントローラが承認されているインタフェース・タイプごとに与えられるサービス品質に関連するサービス・プロファイルの識別子と、
(3)端末からのその後のメッセージを確認するためのセキュリティ情報を含むセキュリティ・コード・ベクトルとを有するフォーマット。
【請求項23】
請求項5に記載されている複数の管轄ドメインの複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法で用いられるユーザ・トークンのためのフォーマットであって、
(1)トークン発行者のアドレスと、
(2)ユーザのホーム・ドメイン情報と、
(3)前記トークンのタイムリミットと、
(4)トークン発行者が加入ケーパビリティを特定するための加入ケーパビリティidとを有するフォーマット。
【請求項24】
請求項5に記載されている複数の管轄ドメインの複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法において、ユーザのホーム・ドメインとビジネス関係にあるドメインが認証アサーションをリクエストするためのフォーマットであって、
(1)サービスをリクエストするユーザの資格と、
(2)ユーザのホーム・ドメインとビジネス関係にあるドメインの情報と、
(3)ユーザのホーム・ドメインの情報とを有するフォーマット。
【請求項25】
請求項5に記載されている複数の管轄ドメインの複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法において、ユーザのホーム・ドメインとビジネス関係にあるドメインが、承認アサーションをリクエストするためのフォーマットであって、
(1)加入ケーパビリティ発行者がユーザ加入プロファイルと連携ポリシーとを定めるための加入ケーパビリティidと、
(2)ユーザがリクエストするサービス・タイプ情報と、
(3)ユーザのホーム・ドメインとビジネス関係にあるドメインの情報と、
(4)ユーザのホーム・ドメインの情報とを有するフォーマット。
【請求項26】
請求項5及び16に記載されている複数の管轄ドメインにおける複数のネットワークにアクセスするため、その資格を示すことができるようにする、ユーザ端末の認証リクエストに用いられるフォーマットであって、
(1)ユーザ加入情報を検索するためのユーザのホーム・ドメイン以外のドメインの情報と、
(2)認証プロセスが行われるユーザのホーム・ドメイン以外のドメインのリストとを有するフォーマット。
【請求項27】
請求項5及び16に記載されている複数の管轄ドメインにおける複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法において、迅速な認証及び承認を実現するための方法であって、ユーザが更なるサービスリクエストのためにホーム・ドメイン・リストのトークン発行者のドメイン情報を保存するステップを更に有する方法。
【請求項28】
請求項5及び16に記載されている複数の管轄ドメインにおける複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法において、迅速な認証及び承認を実現するための方法であって、
(1)ユーザ・トークンを生成したドメインの認証コントローラが、端末が前記ユーザ・トークンを生成した前記ドメインを訪問する場合に、前記端末が認証リクエストを行うためのローカル識別子を提供するステップと、
(2)前記端末が、ローカル・ドメインを訪問する場合に、その認証リクエストにおいて、当該生成されたローカル識別子を用いるステップとを更に有する方法。
【請求項29】
請求項5及び16に記載されている複数の管轄ドメインにおける複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法において、迅速な認証及び承認を実現するための方法であって、
(1)ユーザのホーム・ドメインが、前記ホーム・ドメインがビジネス関係にあるドメインに、ユーザ資格の暗号を解読するためのセキュリティ協定を提供するステップと、
(2)ユーザのホーム・ドメインとビジネス関係にある前記ドメインが、このユーザ資格と、請求項5に記載したステップで取得されたユーザの加入ケーパビリティ情報との関連付けを行うステップと、
(3)ローカル・ドメインが、ユーザ資格及び関連付けられたユーザ加入ケーパビリティに基づいて、認証及び承認を実施するステップとを更に有する方法。
【請求項30】
請求項5及び16に記載されている複数の管轄ドメインにおける複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法において、迅速な認証及び承認を実現するための方法であって、ユーザが、その認証リクエストにおけるホーム・ドメインを、その実際のホーム・ドメインとビジネス関係にある別の管轄ドメインに置き換えるステップを更に有する方法。
【請求項31】
請求項5及び16に記載されている複数の管轄ドメインにおける複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法であって、
(1)ユーザのホーム・ドメインのアクセス・コントロール・オーソリティが、ビジネス関係にあるドメインを認証回答メッセージに埋め込むステップと、
(2)ユーザが、更なるサービスリクエストのために、ユーザ装置のホーム・ドメイン・リストに前記ドメイン情報を保存するステップとを更に有する方法。
【請求項32】
請求項5及び16に記載されている複数の管轄ドメインにおける複数のネットワークにアクセスするためにシングル・サイン・オンを実現する方法であって、
(1)ユーザが、アクセスしているネットワークからローカル管轄ドメイン情報を取得するステップと、
(2)ユーザが、前記ローカル管轄ドメイン情報とホーム・ドメイン・リストのドメイン情報とを比較するステップと、
(3)ユーザが、この比較結果と一部の構成可能なポリシーとに基づいて、ホーム・ドメインとして認証リクエスト又はサービス承認リクエストのホーム・ドメイン・リストのドメインの1つを用いるステップとを更に有する方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公表番号】特表2008−506139(P2008−506139A)
【公表日】平成20年2月28日(2008.2.28)
【国際特許分類】
【出願番号】特願2006−554401(P2006−554401)
【出願日】平成17年7月11日(2005.7.11)
【国際出願番号】PCT/JP2005/013193
【国際公開番号】WO2006/006704
【国際公開日】平成18年1月19日(2006.1.19)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
【公表日】平成20年2月28日(2008.2.28)
【国際特許分類】
【出願日】平成17年7月11日(2005.7.11)
【国際出願番号】PCT/JP2005/013193
【国際公開番号】WO2006/006704
【国際公開日】平成18年1月19日(2006.1.19)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]