安全でないネットワークを介する装置のプロビジョニング及びドメイン加入エミュレーション
安全でないネットワークを介し、クライアントに対するドメイン加入操作を可能にするプロキシサービス。加入操作は、ユーザー信用証明書ではなく、マシン識別情報を使用することによって最小限のセキュリティ公開を用いて達成される。プロキシは、ユーザーアカウントの追加も既存アカウントの所有権の取得もせずに、新しいマシンアカウントを企業ディレクトリに追加することに関連する権限を使用するだけである。プロキシによって、デリゲーションのような従来技法ではなく、実際のマシンアカウント信用証明書に基づく認証が、署名済証書を取得可能にする。更に、登録プロセスは、公共信託を要求したりそれに依存するのではなく、装置とプロキシの間の本来の信用関係を採用する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークを介しクライアントに対するドメイン加入操作を可能にするプロキシサービスに関する。
【背景技術】
【0002】
法人の計算機は、通常、(例えばマイクロソフトネットワークにおいて)「ドメイン」又は非マイクロソフトネットワーク(例えば、Novell(登録商標)ディレクトリ、イエローページその他)において類似の名前で呼ばれている、コミュニティ機構を介し識別され管理されている。ドメインメンバー資格は、特定のマシンを識別し、マシンのコンテンツ(例えば、ポリシー、ソフトウェア、及びコンフィギュレーション)を集中管理するために、法人導入の多くにおいて必須であると考えられている。
【0003】
例えばラップトップのような携帯用計算機に関して、ドメインメンバーになることは、通常、ユーザー名及びパスワードのような認証の信用証明書を介する認可を必要とする。いくつかの処理の後、計算機が、ドメインに加入される。ドメインにマシンを加入させようとしているユーザーを認証する信用証明書が、例えば、手動か又はスマートカードを介し提供され得る。
【0004】
例えば、携帯電話がドメイン加入操作を実行するための技術的な設備を有していない点でモバイル装置は、この領域における困難性を提示している。携帯電話が今まで企業ネットワークにおいて、めったに使用されていないならば、供給メーカーがそのような装置に対する解決法を提供するには、多くの時間が必要である。したがって、スマートカード解決は扱いにくく、ユーザー名/パスワードのようなユーザー信用証明書は、認証が末端間でない場合、危険に晒され得る。
【0005】
ドメインコントローラーは、企業ネットワークにおいてセキュリティの要であると考えられていて、ファイアウォール及び独立した他の隔離装置の背後で十分に保護されるように期待されている。特に、モバイル装置は、多くの場合、リモート(又は企業のイントラネットの外側)にあって、企業ドメインコントローラーに対する直接アクセスを有しないので、そのような装置の多くは、企業ドメインに首尾よく加入するための必要なソフトウェアコンポーネントが不足している。困難性は、多角的であって、携帯電話からネットワークに対するソフトウェアギャップを埋めることと、安全でない(無線又はOTAを介する)無線公開インターフェースを介し企業ネットワーク外部からの加入操作を安全に実行することと、を含む。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の目的は、クライアント装置とプロキシの間の本来の信用関係を使用し、ドメイン加入機能を提供することである。
【課題を解決するための手段】
【0007】
以下に、本明細書において説明されている新たな実施形態の基本的な理解を提供するために、簡易化された概要を提示する。この概要は、広範囲に及ぶ概要ではなく、主要/重要なエレメントの特定をすることも、その範囲を図で表わすようことも意図されていない。その唯一の目的は、後で提示される更に詳細な説明に対する前置きとして、簡易化された形式でいくつかの概念を提示することである。
【0008】
開示されているアーキテクチャは、モバイルクライアントに対するドメイン加入操作を円滑にする登録プロキシを含む。クライアントをプライベートドメインに加入させるために、モバイルクライアントの代わりにソフトウェアを作動し接続ギャップを埋めるプロキシが、パブリックドメイン(例えばインターネット)から無線(OTA)を介しアクセス可能である。一つの新規性は、インターネットに公開されているサービスが、生得の権利を有しておらず、その妥協が、プライベートドメインに対し、大きく低減されたリスクを提示するという点にある。本アーキテクチャは、加入操作を容易にするための仲介サービスとしてプロキシを導入し、一旦、動作完了すると、プロキシは、もはやクライアントとプライベートドメインの間の接続を維持することを必要としない。
【0009】
第1の実装において、プロキシによるドメイン加入が、モバイル装置のユーザーによってプロキシに提供されるユーザー名及びパスワードだけを使用して達成される。モバイルクライアントの代わりにプロキシは、プライベートドメインのアカウントを確立する。プライベートドメイン及びプロキシは、信用関係を有しているが、プロキシは、セキュリティリスクのためプライベートドメインの公開を抑制する。
【0010】
更に、第2の堅牢で安全な実装においては、ワンタイムパスワード(OTP)が採用される。登録プロキシが、モバイルクライアントに対するプロキシを介したドメイン加入操作を可能にする。加入操作が、最小限のセキュリティ公開を用いて達成される。加入操作は、ユーザー信用証明書(例えばユーザー名及びパスワード)ではなく、モバイル装置のマシン識別に基づいていて、したがってユーザーの識別情報を危険に晒すことに関する潜在的な(例えばなりすまし犯罪)リスクがない。登録プロキシは、新しいマシンアカウントを企業(又は法人)ディレクトリに追加するための権限だけを必要とし、プロキシは、ユーザーアカウントの追加も既存アカウントの所有権を取得するための権限も付与されない。登録プロキシは、デリゲーションのような従来技法を使用するのではなく、実際のマシンアカウント信用証明書に基づいて署名済証書を取得する。登録プロセスは、公共信託を要求したりそれに依存するのではなく、モバイル装置と登録サーバーの間のプライベートルート信用を採用する。最終的に、クライアントは、企業ディレクトリ(例えばマイクロソフト社によるアクティブディレクトリ(Active Directory))のプライベートドメインにおいて、マシン識別を付与され、そのアカウントに関連付けられたドメインメンバーとして自己認証を許可する署名済公開信用証明書(例えば公開鍵認証基盤規格のX.509)を受信する。
【0011】
前述の関連した結論に達成するための例示的ないくつかの機能を、以下の説明及び添付された図面に関連し本明細書に説明する。しかしながら、これらの機能は、本明細書に開示されている原理が使用され得るほんのいくつかの様々な方法を示しており、機能及びそれらの同等物すべてを含むように意図されている。他の利点及び新たな機能が、図面に関連し考えられるとき、以下の詳細説明から明らかになるだろう。
【図面の簡単な説明】
【0012】
【図1】装置をドメインに加入させるための、計算機に実装されるドメインメンバー資格管理システムを例示する。
【図2】ドメインに対するドメインメンバー資格を管理するための代替システムを例示する。
【図3】少なくともブートストラップ及び認証目的のために、ドメインデータストアに存続している情報を例示する。
【図4】ドメインメンバー資格管理方法を例示する。
【図5】信用関係及び認証の確立を支援するデータのデータストアへの存続方法を例示する。
【図6】プロキシサーバーを認証するための装置による認証情報の提供方法を例示する。
【図7】プロキシを認証することによる装置の登録方法を例示する。
【図8】プロキシに対するクライアントの認証方法を例示する。
【図9】装置及びプロキシの認証後の信用証明書の取得方法を例示する。
【図10】ドメイン登録のための信用証明書の取得方法を例示する。
【図11】安全でないプロビジョニング及びドメイン加入のエミュレーションを提供するために作動可能な計算システムのブロック図を例示する。
【図12】安全でないプロビジョニング及びドメイン加入のエミュレーションを円滑にする例示的な計算環境の概略ブロック図を例示する。
【発明を実施するための形態】
【0013】
開示されるアーキテクチャは、一般に、(例えば企業)プライベートドメインに対するアクセスを求めている(例えばモバイル)クライアントに関連し、従来の安全でない接続性及びアクセス問題を解決する単一の安全な仕組みを提供する。本解決策は、公開ネットワーク(例えばインターネット)のクライアントに無線(OTA)を介しアクセス可能な登録プロキシから成っていて、ユーザー信用証明書又はマシン信用証明書のいずれかに基づいて、クライアントに対するドメイン加入操作を円滑にし、その後、接続からそれ自身を解除する。最終的に、クライアントは、プライベートドメインにおけるメンバー資格を与えられる。
【0014】
ここで、同一の参照番号を始めから終わりまで同様のエレメントを参照するために使用し、図面を参照する。以下の記載において説明のために、特定の多くの詳細を、その徹底的な理解を提供するために詳細に説明する。しかしながら、これらの特定の詳細化をせずに新たな実施形態を実装し得ることは明白であり得る。他の実例においては、周知の構造及び装置を、その説明を円滑にするために、ブロック図形式で示す。
【0015】
まず図面を参照して図1には、ドメインメンバー資格を管理するための、計算機に実装されるシステム(100)を例示する。システム(100)は、登録プロキシサーバー(106)を介しモバイルクライアント(102)をプライベートドメイン(104)に加入させるための仕組みを提供する。プロキシ(106)は、(例えば携帯電話)モバイルクライアント(102)が作動するパブリックドメインと(例えば企業体の)プライベートドメイン(104)の間のインターフェースを提供する。この実装において、ドメイン加入は、モバイルクライアント(102)のユーザーによって提供されるユーザー名及びパスワード形式のユーザー信用証明書に基づいている。プロキシ(106)は、ユーザー名及びパスワードを与えられ、クライアント(102)をドメイン(104)に加入させるために、ドメイン(104)に対するクライアント(102)の代わりをする。
【0016】
その支援において、プロキシ(100)は、モバイルクライアント(102)からユーザー信用証明書を受信し、ユーザー信用証明書をプロキシ(106)の認証コンポーネント(110)と通信させるためのブートストラップコンポーネント(108)を含む。認証コンポーネント(110)は、その後、クライアント(102)の代わりにプライベートドメインに対する認証を実行し、ユーザー信用証明書に基づいてプライベートドメインにおけるマシンアカウントを生成する。以下の実装において、使用されるワンタイムパスワード(OTP)又は単一利用個人識別番号(PIN)を使用するためのリクエストは、存在しない。
【0017】
図2には、ドメインに対するメンバー資格を管理するための代替手段であって、更に堅牢なシステム(200)を例示する。以下は、高度なシステムオペレーションに関する説明で始めて、エンティティ間のプロセスの詳細な説明を続ける。
【0018】
システム(200)は、(例えば、モバイル、携帯用計算機)装置(202)をプライベートドメイン(104)に加入させるための2段階の処理を円滑にする。第1段階は、本明細書において、以下「基本」信用関係として参照される装置(202)とプロキシ(106)の間の信用関係を生み出すことに関する。基本信用関係は、それ自体が2つの部分プロセスであって、処理装置(202)は、プロキシ(106)が的確なプロキシであることを確証し、プロキシ(106)は、装置(202)がドメイン(104)に対する接続を許可されていることを確証する。一旦、確立されると、基本信用関係は、もはやプロキシ(106)を必要としない。第2段階は、本明細書において、以下「完全」信用関係として参照される装置(202)とプライベートドメイン(104)の間の信用関係を生み出す。同様に、一旦、確立されると、完全信用関係は、もはやプロキシ(106)を必要としない。
【0019】
システム(200)の動作は、図1のシステム(100)において使用されるユーザー信用証明書ではなくて、OTP(又はPIN)のような別のタイプの信用証明書に基づいている。この説明のために、ユーザーは、プライベートドメイン(104)との以前の対話に関連付けられたOTPを提供されていて、ユーザー及びプライベートドメイン双方が、同一の信用証明書を共有していると仮定している。ユーザー装置がOTPを取得する手段は、従来の任意の安全又は安全でない仕組みによるものであり得る。ユーザー装置もドメインいずれもOTPを提供(又はアクセス)し得ない場合、そのドメイン加入操作が終了する。
【0020】
通常、対話は、装置(202)からプロキシ(106)に対する基本信用関係の確立によって始まる。装置(202)は、プロキシ(106)が的確なプロキシであることを保証するためのチェックをする。これは、プロキシ(106)に法人信用情報に関するリクエストを送信する装置によって達せられる。プロキシ(106)は、信用情報の署名ハッシュも暗号化して生成し得、ハッシュは、既に定義されているOTPから導出されるキーを使用し生成される。OTPを使用し装置(202)に同一のハッシュを生成することによって、装置(202)は、プロキシ(106)が基本信用関係を確立するための「的確」なプロキシであることを検証し得る。プロキシ(106)がこの信用証明書サーバーにアクセスできない場合、プロキシ(106)は、基本信用関係の確立のための「的確」なプロキシでなくて、プロセスが終了する。
【0021】
一旦、装置(202)からプロキシ(106)に対する第1の基本信用関係部が確立されると、第2の基本信用関係部は、その後、装置(202)がプライベートドメイン(104)に加入を許可され得る装置かチェックする、プロキシ(106)を含む。一旦、この双方向の基本信用関係が、装置(202)とプロキシ(106)の間に確立されると、プロキシ(106)は、信用証明書を取得するために、装置(202)の代わりに動作し、装置は、その後、アクセス可能なマシンアカウントを生成する。これは、マシンアカウント(206)をホスティングするためのドメインデータストア(204)及び確立される完全信用関係に関する信用証明書を発行するためのドメイン認証機関(208)の使用を含む。
【0022】
プロセスの更に詳細な説明を続ける前に、一定の情報が、ユーザーに提供されているOTPに基づいてドメイン(104)に(例えばデータストア(204)に)生成され、ドメイン(104)にもストアされることを理解されよう。以下、OTP、OTPから取得される暗号化キー、装置のマシンアカウント(206)に関する名前、装置(202)の所有者に対するリファレンス(例えば所有者のデータストアアカウント識別子)、装置のマシンアカウント(206)に関するデータストア(204)における目標コンテナ識別子、上記暗号化キーを使用し導出されるユーザー識別文字列(例えば装置の所有者の電子メールアドレス)のハッシュキー符号化(例えばHMACハッシュマシン認証コード)ダイジェスト、及びマシンアカウント(206)の情報が、ドメインに生成され存続されている。データストア(204)は、ファイル、データベース、アプリケーションパーティションなどであり得る。例えば、ダイジェストは、ユーザーログインID又は単語「anonymous」のような任意の暗号化種もあり得ることに留意されたい。
【0023】
一般に、前述されたような登録は、プロキシ(106)の信頼性を検証する装置(202)によって第1の基本信用関係部を確立することを含む。これを達成するために、装置(202)は、ウェブサービスを呼び出すことによって、プロキシ(106)にHMACダイジェストを渡す。このウェブサービスは、チャネル暗号化のためにセキュアソケットレイヤー(SSL)を使用するが、まだSSL認証を使用しない。プロキシ(106)は、その後、データストア(204)から既にストアされている暗号化キーをリトリーブし、プロキシのSSL信用証明書チェーン信用済ルートドメイン信用証明書のHMACダイジェストを生成するために、その暗号化キーを使用する。このHMACダイジェストは、対応するルートドメイン信用証明書と共に装置(202)に渡され、HMACダイジェストは、既に導出された暗号化キーを使用し、プロキシ(106)によって正しく計算されていることを検証する。
【0024】
一旦、装置(202)は、ドメイン信用証明書が上記仕組みに従って信用され得ることを決定すると、装置(202)は、今度は、暗号化チャネルを用いたSSLサーバー完全信用証明書を使用し、同一のプロキシ(106)に再接続する。装置(202)は、サーバーSSL信用証明書が、信用が既に決定されているドメイン信用証明書に逆に適切にリンク(又はチェーン)していることを検証するために再接続される。装置(202)は、その後、既に計算されている暗号化キーを使用し導出された信用証明書リクエストのHMACダイジェストと共に信用証明書リクエスト(例えば公開鍵暗号化標準(PKCS)No.10)を提出する。(PKCS#10標準信用証明書リクエストは、信用証明書の公開鍵をリクエストするために認証機関に送信されるメッセージ用フォーマットである。)プロキシ(106)は、信用証明書リクエストのHMACダイジェストが、既に導出された暗号化キーを使用して提供された信用証明書リクエストから取得されることを検証し、それによって装置(202)を認証する。
【0025】
プロキシ(106)は、その後、データストア(204)(例えばActive Directory)に新しいマシンアカウント(206)を生成するために、HMACダイジェストにリンクされているデータストア情報(図3の情報(304))を使用する。新しいマシンアカウント(206)は、認証コンポーネント(110)によってログインされ、ログインの間、認証機関(208)に信用証明書リクエストを提出するために使用される。発行された信用証明書が、その後、リトリーブされ、装置(202)に返却される。
【0026】
新たな機能のいくつかをまとめて、登録プロキシ(106)は、装置(202)に対するドメイン加入操作をエミュレーションする。加入操作は、ワンタイムパスワードに基づいており、したがって、ユーザー識別情報を危険に晒すリスクがない。更に、登録プロキシ(106)は、企業(又は法人)データストアに新しいマシンアカウントを追加するためにドメインに対する最小限のアクセスレベルを必要とするだけである。更に、登録プロキシ(106)は、ユーザーアカウントの追加も既存アカウントの所有権を取得するための権限も付与されない。クライアント装置(202)とプロキシ(106)の間に生み出された基本信用関係は、最終的に、装置(202)とプライベートドメイン(104)の間に完全信用関係を確立するために、プロキシ(106)によって使用される。マシン識別が、ドメインデータストア又はディレクトリ(例えばマイクロソフト社によるアクティブディレクトリ(登録商標))にストアされ得、装置(202)が、プライベートドメイン(104)メンバーとして、それ自体を認証可能にする署名済公開信用証明書(例えばX.509)を受信する。
【0027】
任意の実施形態において、OTPは、ハードウェア特有である固有の装置識別子(ID)と組み合わせて使用され、プロキシ(106)に渡された識別情報は、OTP及び装置ID双方を含む。これによって、ユーザーが有し得る別のモバイル装置、又は異なるユーザーによって異なる装置で使用され得る別のモバイル装置、を用いたOTPは使用できない。一実装において、OTPの最初の処理に基づいて、装置(202)とプロキシ(106)の間の基本又は完全信用プロセスは、装置IDを包含するように地位を上げられ得、その後、装置(202)に関する好都合又は不都合いずれかの信用プロセスを完了する。
【0028】
図3には、ドメインデータストア(204)に存続している少なくともブートストラップ及び認証目的のための情報を例示する。以下の説明は、(例えば携帯電話)モバイル装置(300)の文脈である。しかしながら、PDA及びタブレット型PCのような携帯用計算機及び他の無線装置が、開示されたドメイン登録アーキテクチャの利点を取得し得ることを理解されよう。
【0029】
ブートストラッププロセスは、既に取得されたOTP(302)を有するユーザーのモバイル装置に基づく。以下、図2の情報(304)である、OTP(302)、OTPから導出される暗号化キー、(モバイル装置(300)がそのドメインに対し「新しい」装置と見なされ、かくして装置(300)の以前のマシンアカウントが存在しない)装置のマシンアカウント(206)に関する名前、モバイル装置(300)の所有者に対するリファレンス(例えば所有者のデータストアアカウントの完全修飾ドメイン名(FQDN))、装置のマシンアカウント(206)に関するデータストア(204)における目標コンテナに対するリファレンス(例えばコンテナのFQDN)、上記暗号化キーを使用し導出されるユーザー識別文字列(例えば装置の所有者の電子メールアドレス)のハッシュキー(例えばHMAC)ダイジェスト、及びマシンアカウント(206)、がその後、生成され、仲介データストア(306)に存続している。
【0030】
図4には、ドメインメンバー資格管理方法を例示する。説明を単純化するために、1つ以上の方法論が、例えば、流れ図又は流れ図形式で本明細書に示され一連の動作として説明されているが、動作の中には、それらに従って本明細書に示され説明されているものと異なる順番及び/又は他の動作と同時に発生し得るものもあるように本方法論が、動作の順序に制限されないことを理解され、十分に評価されよう。例えば、当業者は、方法論が代替として状態ダイヤグラムのような相関する一連の状態又は事象として提示され得ることを理解され、十分に評価されよう。更に、例示された動作すべてが、新たな実装のために必要とされ得るわけではない。
【0031】
(400)において、ドメインに加入するための(例えばOTP)信用証明書が、モバイル装置から受信され、信用証明書は、無線インターフェースを介し、ドメインのプロキシサーバーによって受信される。(402)において、信用関係が、信用証明書に基づいて、モバイル装置とプロキシサーバーの間に確立される。(404)において、マシンアカウントが、信用関係に基づいてプロキシサーバーを介し、モバイル装置に関してそのドメインに生成される。(406)において、モバイル装置が、マシンアカウントに基づいて、ドメインに加入される。
【0032】
図5には、信用関係及び認証プロセスの確立を支援するデータのデータストアへの存続方法を例示する。(500)において、OTPが、他の手続き又はプロセスに従ってユーザーのモバイル装置に生成され割り当てられた後、プロキシが、データストアにOTP及び暗号化キーを存続している。(502)において、プロキシが、マシンアカウントに関する名前をデータストアに存続している。(504)において、プロキシが、装置に対するリファレンス(例えばユーザーの身元を識別する情報)をデータストアに存続している。(506)において、プロキシが、装置のマシンアカウントの目標コンテナのFQDNをデータストアに存続している。(508)において、プロキシが、上記の暗号化キーを使用して、暗号化種のハッシュキー符号ダイジェストをデータストアに存続している。
【0033】
図6には、プロキシサーバーを認証するために装置による認証情報の生成方法を例示する。(600)において、装置が、既に取得されているOTPに基づいて登録プロキシを介しプライベートドメインに対するアクセスを開始する。(602)において、装置が、ユーザー装置にユーザーアカウント情報及びOTPに関してプロンプトする。(604)において、装置が、OTPを使用し暗号化キーを生成する。(606)において、装置が、暗号化キーを使用しユーザーアカウント情報のハッシュキー符号(例えばHMAC)ダイジェストを生成する。
【0034】
図7には、プロキシ認証による(例えば携帯電話)装置の登録方法を例示する。(700)において、プロキシが意図されているネットワークエンティティであることを保証するために、プロキシ認証の装置を起動する。(702)において、装置が、一般的な暗号化種(例えばユーザーアカウント又は別のユーザー識別情報)を使用し、ハッシュキー符号ダイジェスト形式の装置識別を生成する。(704)において、装置が、その後、プロキシにダイジェストを送信するために、チャネル暗号化を採用しているウェブサービスを呼び出す。ウェブサービスは、暗号化チャネル用SSLを使用し得るが、まだSSL認証を使用しない。(706)において、プロキシが、その後、既にストアされている暗号化キーをデータストアからリトリーブする。(708)において、プロキシが、サーバーSSL信用証明書チェーンのルート信用証明書のハッシュキー符号ダイジェスト(例えばHMAC)を生成する。(710)において、プロキシが、ルート信用証明書及びルート信用証明書ダイジェストを装置に送信する。(712)において、装置は、ダイジェストが、ルート信用証明書を使用し、既に導出されている装置暗号化キーを使用し、プロキシによってダイジェストを再計算することによって正しく計算されたことを検証する。一旦、検証されると、装置は、ここでクライアントが通信を所望する意図されたネットワークエンティティとしてそのプロキシを信用する。
【0035】
図8には、プロキシに対するクライアント認証方法を例示する。一旦、装置がプロキシを認証すると、プロキシが順番に装置を認証する。(800)において、装置は、プロキシのSSL信用証明書が、信用されていることを既に決定されているドメイン信用証明書に逆に適切にリンク(又はチェーン)していることを検証するために、チャネル暗号化(例えばSSL)及びサーバーの完全信用証明書を使用し、プロキシに再接続する。(802)において、装置が、その後、既に計算されストアされている暗号化キーを使用し導出されるハッシュキー符号化ダイジェスト(例えばHMAC)ダイジェスト信用証明書リクエストと共に信用証明書リクエストを提出する。(804)において、プロキシが既に導出された暗号化キーを使用して、信用証明書リクエストのダイジェストが提供された信用証明書リクエストから導出されていることを検証する。(806)において、首尾よく検証されたとき、プロキシが装置を認証している。
【0036】
図9には、装置及びプロキシ認証後のドメイン信用証明書の取得方法を例示する。(900)において、プロキシが、識別情報ダイジェストにリンクされているデータストア情報をリトリーブする。(902)において、プロキシが、データストアに新しいマシンアカウントを生成するために、データストア情報を使用する。(904)において、プロキシが、新しいマシンアカウントにログインする。(906)において、プロキシが、装置から受信された信用証明書リクエストを認証機関に提出する。(908)において、認証機関が、装置識別に基づいて署名済ドメイン信用証明書を発行する。(910)において、プロキシが、発行されたドメイン信用証明書を受信し、装置に送信する。装置は、ここでドメインサービスに対する完全アクセス手段を有する。
【0037】
対象アーキテクチャの意図するところにおいては、信用証明書を取得するためのデリゲートされた権利不足に基づいた信用証明書を取得するための仕組みが、企業サービスのためのプライベートドメインにアクセスしようとする装置に対し多大な利益を提供する。
【0038】
装置の代わりに信用証明書を取得するための従来のプロキシメカニズムは、プロキシが、装置からのパスワードをリクエストし、認証機関にパスワードを送信し、認証機関から署名済証書を受信し、その後、署名済証書を装置に転送することによって、装置を代行することである。
【0039】
本明細書に記載されているような「リバースデリゲーション」として考えられ得る従来のプロキシメカニズムに対する新たな代替手段が、新しいマシンアカウントに関連する信用証明書を取得し、その後、認証プロセスの終わりにおいて、アカウントの所有権を譲渡し、それによってドメインサービスに対する完全アクセスを信用証明書の受取人、この場合、装置に提供することである。
【0040】
図10には、計算機に実装されるドメイン登録用信用証明書の取得方法を例示する。(1000)において、プロキシの権限が、新しいマシンアカウントの生成だけに制限される。(1002)において、プロキシが、OTPに関連するプロビジョニング情報に基づいて構成ディレクトリにモバイル装置に関する任意のマシンアカウントを生成する。(1004)において、プロキシが、ドメインの認証機関からの信用証明書をリクエストする。(1006)において、プロキシが、信用証明書リクエストのハッシュダイジェストを使用し、信用証明書のリクエスト計算を検証する。(1008)において、プロキシが、認証機関から署名済クライアント信用証明書を受信する。(1010)において、プロキシが、モバイル装置に署名済信用証明書を送信することによって、マシンアカウントの所有権をモバイル装置に移譲する。(1012)において、プロキシが、署名済クライアント信用証明書をクライアントに送信後、マシンアカウントに対するアクセスを中止する。
【0041】
このアプリケーションにおいて使用される用語「コンポーネント」及び「システム」は、計算機に関連する、エンティティ、ハードウェア、ハードウェアとソフトウェアの組み合わせ、ソフトウェア、又は実行中のソフトウェアのいずれかを参照することを意図している。例えばコンポーネントは、プロセッサーにおいて実行するプロセス、プロセッサー、ハードディスクドライブ、複数の(光学及び/又は磁気記憶媒体)記憶装置、オブジェクト、実行可能な実行スレッド、プログラム、及び/又は計算機であり得るがこれらに限定しない。例示として、サーバーで動作するアプリケーション及びサーバー双方はコンポーネントであり得る。1つ以上のコンポーネントが、実行プロセス及び/又はスレッド内部に常駐し得、コンポーネントが、1つの計算機において局所化され得るか及び/又は2つ以上の計算機の間において分散され得る。
【0042】
ここで図11を参照すると、安全でないプロビジョニング及びドメイン加入のエミュレーションを提供するために例示された作動可能な計算システム(1100)のブロック図がある。その様々な機能に関する更なる文脈を提供するために、図11及び以下の論述は、様々な機能が実装され得る適切な計算システム(1100)の簡潔で一般的な説明を提供することを意図している。上記説明は、1つ以上の計算機において動作し得る計算機が実行可能な命令に関する一般的な文脈であるが、当業者は、新たな実施形態が、他のプログラムモジュールと組み合わせて実装され得るか及び/又はハードウェアとソフトウェアの組み合わせとして実装され得ることを認めよう。
【0043】
一般にプログラムモジュールは、特定のタスクを実行するか又は特定の抽象データタイプを実装する、ルーチン、プログラム、コンポーネント、データ構造などを含む。更に当業者は、本発明の方法が、シングルプロセッサー又はマルチプロセッサーコンピューターシステム、ミニコンピューター、メインフレームコンピューター、及びパーソナルコンピューター、携帯用計算装置、マイクロプロセッサーベース又はプログラマブルコンシューマー電化製品、及び1つ以上の関連する装置と作動可能に接続され得るその他それぞれを含む他の計算機システム構成を用いて実施され得ることを理解されよう。
【0044】
例示された機能は、いくつかのタスクが通信ネットワーク介し接続されているリモートプロセッシング装置によって実行される分散計算環境においても実施され得る。分散計算環境において、プログラムモジュールは、ローカル及びリモート双方のメモリー記憶装置に配置され得る。
【0045】
計算機は、通常、様々な計算機可読媒体を含む。計算機可読媒体は、計算機によってアクセスされ得る利用可能な任意の媒体であり得、揮発性媒体及び不揮発性媒体、取り外し可能媒体及び取り外し不可能媒体を含む。制限ではなく例として、計算機可読媒体は、計算機記憶媒体及び通信媒体を含む。計算機記憶媒体は、計算機可読命令、データ構造、プログラムモジュール、又は他のデータのような情報の記憶に関する任意の方法又は技術で実装される揮発性及び不揮発性取り外し可能及び取り外し不可能媒体を含む。計算機記憶媒体は、RAM、ROM、EEPROM、フラッシュメモリー、又は他のメモリー技術、CD−ROM、デジタルビデオディスク(DVD)、又は他の光ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置、又は他の磁気記憶装置、又は所望の情報をストアするために使用され得、計算機によってアクセスされ得る他の任意の媒体を含むがこれらに限定しない。
【0046】
再び図11を参照すると、様々な機能を実装するための例示的な計算システム(1100)は計算機(1102)を含んでいて、計算機(1102)は、処理ユニット(1104)、システムメモリー(1106)及びシステムバス(1108)を含む。システムバス(1108)は、処理ユニット(1104)に接続されるシステムメモリー(1106)含むがこれに限定しないシステムコンポーネントに対するインターフェースを提供する。処理ユニット(1104)は、商用利用可能な様々な任意のプロセッサーであり得る。デュアルマイクロプロセッサー及び他のマルチプロセッサーアーキテクチャも処理ユニット(1104)として使用され得る。
【0047】
システムバス(1108)は、更に(メモリーコントローラーの有無に関わらず)メモリーバス、周辺機器用バス、及び商用利用可能な様々な任意のバスアーキテクチャを使用してローカルバスと相互接続し得るいくつかのタイプの任意のバス構造であり得る。システムメモリー(1106)は、読み出し専用メモリー(ROM)(1110)及びランダムアクセスメモリー(RAM)(1112)を含む。基本的な入力/出力システム(BIOS)は、BIOSが、始動中など計算機(1102)内のエレメント間に情報を送信する支援をする基本的なルーチンを含むROM、EPROM、EEPROMのような不揮発性メモリー(1110)にストアされる。RAM(1112)は、データをキャッシュするためのスタティックRAMのような高速RAMも含み得る。
【0048】
計算機(1102)は更に、内蔵ハードディスクドライブ(1114)が、(示されていない)適切な筐体の中に外付け利用向けにも構成され得る内蔵ハードディスクドライブ(HDD)(1114)(例えばEIDE,SATA)、(例えば取り外し可能ディスケット(1118)から読み出すか又はそれに書き込む)磁気フロッピー(登録商標)ディスクドライブ(FDD)(1116)及び(例えばCD−ROMディスク(1122)から読み出すか又はそれに書き込むDVDのような別の高容量光媒体から読み出すか又はそれに書き込むための)光ディスクドライブ(1120)を含む。ハードディスクドライブ(1114)、磁気ディスクドライブ(1116)、及び光ディスクドライブ(1120)は、ハードディスクドライブインターフェース(1124)、磁気ディスクドライブインターフェース(1126)、及び光ドライブインターフェース(1128)それぞれによって、システムバス(1108)に接続され得る。外付けドライブ実装用インターフェース(1124)は、ユニバーサルシリアルバス(USB)及びIEEE1394インターフェース技術のうち少なくとも1つ又はその双方を含む。
【0049】
ドライブ及びそれらに関連する計算機記憶媒体は、データ、データ構造、計算機実行可能命令など不揮発性記憶装置を提供する。計算機(1102)に関するドライブ及び媒体は、適切な任意のデジタルフォーマットのデータストレージに適応している。計算機可読媒体の上記の説明は、HDD、取り外し可能磁気ディスケット、及びCD又はDVDのような取り外し可能光媒体を参照しているが、ZIPドライブ、磁気カセット、フラッシュメモリーカード、カートリッジその他のような計算機によって別のタイプの可読媒体が、例示的な動作環境においても使用され得、更に、そのような任意の媒体が、開示された方法を実装するための計算機実行可能命令を含み得ることが当業者によって十分に理解されよう。
【0050】
オペレーティングシステム(1130)、1つ以上のアプリケーションプログラム(1132)、他のプログラムモジュール(1134)、及びプログラムデータ(1136)を含む多くのプログラムモジュールがドライブ及びRAM(1112)にストアされ得る。オペレーティングシステム、アプリケーション、モジュール、及び/又はデータすべて又は一部もRAM(1112)にキャッシュされ得る。開示されたアーキテクチャが、商用利用可能な様々なオペレーティングシステム又はオペレーティングシステムの組み合わせを用いて実装され得ることを十分に理解され得よう。
【0051】
アプリケーション(1132)及び/又はモジュール(1134)は、図1のプロキシサーバーのブートストラップ及び認証コンポーネント(108)及び(110)を含み得る。システム(1100)がクライアント(102)である場合、アプリケーション(1132)及び/又はモジュール(1134)は、例えば暗号化キー及びハッシュキー符号化ダイジェストを生成するためのクライアントの処理能力を含み得る。図1及び図2のドメイン(104)に関する文脈において、システム(1100)は、認証機関(208)、及び/又はデータストア(204)、及びマシンアカウント(206)を含み得る。
【0052】
ユーザーは、1つ以上の有線/無線入力装置、例えばキーボード(1138)、及びマウス(1140)のようなポインティング装置を介し計算機(1102)にコマンド及び情報を入力し得る。(示されていない)他の入力装置は、マイクロフォン、赤外線リモートコントロール、ジョイスティック、ゲームパッド、スタイラスペン、タッチスクリーンなどを含み得る。これらの入力装置及び他の入力装置は、多くの場合、システムバス(1108)に接続されている入力装置インターフェース(1142)を介し、処理ユニット(1104)と接続されるが、パラレルポート、IEEE1394シリアルポート、ゲームポート、USBポート、赤外線インターフェースその他のような別のインターフェースによって接続され得る。
【0053】
モニター(1144)又は別のタイプの表示装置もビデオアダプター(1146)のようなインターフェースを介しシステムバス(1108)に接続される。計算機は、通常、モニター(1144)に加え、スピーカー、プリンターのような(示されていない)別の周辺出力装置を含む。
【0054】
計算機(1102)は、リモートコンピューター(単数又は複数)(1148)のような1つ以上のリモートコンピューターと有線通信及び/又は無線通信を介する論理的な接続を使用し、ネットワーク環境において作動し得る。リモートコンピューター(単数又は複数)(1148)は、ワークステーション、サーバーコンピューター、ルーター、パーソナルコンピューター、携帯用計算機、マイクロプロセッサーベースの娯楽機器、ピア装置、又は別の一般的なネットワークノードであり得、通常、計算機(1102)に関連する前述されたエレメントの大多数又はすべてを含むが、簡単化のためにメモリー/ストレージ(1150)だけを例示する。示された論理接続は、ローカルエリアネットワーク(LAN)(1152)及び/又は更に大規模なネットワーク、例えば広域ネットワーク(WAN)(1154)との有線接続/無線接続を含む。そのようなLAN及びWANネットワーク環境は、オフィス及び会社において一般的であって、イントラネットのような企業全体の計算機ネットワークを円滑にし、そのすべては、グローバル通信ネットワーク、例えばインターネットと接続し得る。
【0055】
LANネットワーク接続環境において使用されるとき、計算機(1102)は、有線及び/又は無線通信ネットワークインターフェース又はアダプター(1156)を介しローカルネットワーク(1152)に接続される。アダプター(1156)は、無線アダプター(1156)と通信するために、それに配置される無線アクセスポイントも含み得るLAN(1152)との有線又は無線通信を円滑にし得る。
【0056】
WANネットワーク環境において使用されるとき、計算機(1102)は、モデム(1158)を含み得るか又はWAN(1154)上の通信サーバーに接続され、インターネットのような方法でWAN(1154)を介して通信を確立するための別の手段を有する。内蔵又は外付けであって有線又は無線装置であり得るモデム(1158)が、シリアルポートインターフェース(1142)を介しシステムバス(1108)に接続される。ネットワーク接続環境においては、計算機(1102)又はその一部に関連し表示されているプログラムモジュールが、リモートメモリー/ストレージ(1150)にストアされ得る。示されたネットワーク接続が例示的であって、計算機の間の通信リンクを確立するための他の手段が使用され得ることを十分理解されよう。
【0057】
計算機(1102)は、無線通信を用いて作動的可能に配置される任意の無線装置又はエンティティ、例えば、プリンター、スキャナー、デスクトップ、及び/又は携帯用計算機、携帯用データアシスタント、通信衛星、任意の設備部品、又は無線で検出可能なタグに関連付けられた場所(例えばキオスク、新聞売店、トイレ)及び電話と作動可能に通信する。これは、少なくとも無線(Wi−Fi)及びブルートゥース(登録商標)無線技術を含む。このように通信は、少なくとも2つの装置の間の従来のネットワーク又は簡易なアドホック通信を用いるような所定の構造であり得る。
【0058】
無線又はワイヤレス・フェディリティは、自宅の寝椅子、ホテルルームのベッド、又は職場の会議室から無線でインターネットに対する接続を可能にする。無線は、そのような装置、例えば計算機が、携帯電話において使用されるものと同様の基地局の範囲内のどこでも屋内及び屋外にあるデータの送信及び受信を可能にする無線技術である。無線ネットワークは、安全で信頼できる高速無線接続性を提供するためにIEEE802.11x(a,b,gなど)と呼ばれる無線通信技術を使用する。無線ネットワークは、インターネット及び(IEEE802.3又はイーサネット(登録商標)を使用する)有線ネットワークと、相互に計算機を接続するために使用され得る。
【0059】
ここで図12を参照し、安全でないプロビジョニングを円滑にする例示的な計算環境(1200)及びドメイン加入エミュレーションの概略ブロック図を例示する。システム(1200)は、1つ以上のクライアント(1202)を含む。クライアント(1202)は、ハードウェア及び/又はソフトウェア(例えば、スレッド、プロセス、計算装置)であり得る。クライアント(1202)は、例えば、クッキー(単数又は複数)及び/又は関連するコンテキスト情報を格納する。
【0060】
システム(1200)も、1つ以上のサーバー(1204)を含む。サーバー(1204)も、ハードウェア及び/又はソフトウェア(例えば、スレッド、プロセス、計算装置)であり得る。サーバー(1204)は、本アーキテクチャを使用することによって、例えば変換を実行するためのスレッドを格納する。クライアント(1202)とサーバー(1204)の間の一可能な通信は、2つ以上の計算機プロセスの間に送信されるように適応したデータパケット形式であり得る。データパケットは、例えばクッキー及び/又は関連する文脈情報を含み得る。システム(1200)は、クライアント(1202)とサーバー(1204)の間の通信を円滑にするために使用され得る(例えばインターネットのようなグローバル通信ネットワーク)通信フレームワーク(1206)を含む。
【0061】
通信は、(光ファイバーを含む)有線技術及び/又は無線技術を介し円滑にされ得る。クライアント(1202)は、クライアント(1202)にローカル情報(例えば、クッキー(単数又は複数)及び/又は関連する文脈情報)をストアするために使用され得る1つ以上のクライアントデータストア(1208)と作動可能に接続される。同様にサーバー(1204)は、サーバー(1204)にローカル情報をストアするために使用され得る1つ以上のサーバーデータストア(1210)と作動可能に接続される。
【0062】
図1の双方のクライアント(1202)は、プロキシサーバー(106)に対するアクセスを求めているクライアント(102)を含み得る。図2の双方のデータストア(204)及び認証機関(208)は、サーバー(1204)であり得、企業のバックエンドサーバーでもあり得る。
【0063】
前述された内容は、開示されたアーキテクチャの例を含む。コンポーネント及び/又は方法論に関して考えられ得るあらゆる組み合わせを説明することが、当然、不可能であるが、当業者は、更に多数の組み合わせ及び置換があり得ることを認め得よう。したがって、新たなアーキテクチャが、添付された請求項の趣旨及び範囲内に収まるような変更、修正及び変形のすべてを包含するように意図されている。更に、用語「含む」が、詳細説明又は請求項のいずれかにおいて使用される範囲内において、「から成る」が請求項において遷移的な言葉として使用されるときに解釈されるように、そのような用語は、用語「から成る」と同様に包括的であることを意図している。
【符号の説明】
【0064】
100 ドメインメンバー資格管理システム
102 モバイルクライアント
104 プライベートドメイン
106 登録プロキシサーバー
108 ブートストラップコンポーネント
110 認証コンポーネント
200 ドメインメンバー資格管理システム
202 装置
204 ドメインデータストア
206 マシンアカウント
208 ドメイン認証機関
300 モバイル装置
302 ワンタイムパスワード(OTP)
304 情報
306 仲介データストア
1100 計算システム
1102 計算機
1104 処理ユニット
1106 システムメモリー
1108 システムバス
1110 読み出し専用メモリー(ROM)
1112 ランダムアクセスメモリー(RAM)
1114 内蔵ハードディスクドライブ(HDD)
1116 磁気フロッピー(登録商標)ディスクドライブ(FDD)
1118 取り外し可能ディスケット
1120 光ディスクドライブ
1122 CD−ROMディスク
1124 ハードディスクドライブインターフェース
1126 磁気ディスクドライブインターフェース
1128 光ドライブインターフェース
1130 オペレーティングシステム
1132 アプリケーションプログラム
1134 他のプログラムモジュール
1136 プログラムデータ
1138 キーボード
1140 マウス
1142 入力装置インターフェース
1144 モニター
1146 ビデオアダプター
1148 リモートコンピューター
1150 メモリー/記憶装置
1152 ローカルエリアネットワーク(LAN)
1154 広域ネットワーク(WAN)
1156 無線通信ネットワークインターフェース又はアダプター
1158 モデム
1200 計算環境
1202 クライアント
1204 サーバー
1206 通信フレームワーク
1208 クライアントデータストア
1210 サーバーデータストア
【技術分野】
【0001】
本発明は、ネットワークを介しクライアントに対するドメイン加入操作を可能にするプロキシサービスに関する。
【背景技術】
【0002】
法人の計算機は、通常、(例えばマイクロソフトネットワークにおいて)「ドメイン」又は非マイクロソフトネットワーク(例えば、Novell(登録商標)ディレクトリ、イエローページその他)において類似の名前で呼ばれている、コミュニティ機構を介し識別され管理されている。ドメインメンバー資格は、特定のマシンを識別し、マシンのコンテンツ(例えば、ポリシー、ソフトウェア、及びコンフィギュレーション)を集中管理するために、法人導入の多くにおいて必須であると考えられている。
【0003】
例えばラップトップのような携帯用計算機に関して、ドメインメンバーになることは、通常、ユーザー名及びパスワードのような認証の信用証明書を介する認可を必要とする。いくつかの処理の後、計算機が、ドメインに加入される。ドメインにマシンを加入させようとしているユーザーを認証する信用証明書が、例えば、手動か又はスマートカードを介し提供され得る。
【0004】
例えば、携帯電話がドメイン加入操作を実行するための技術的な設備を有していない点でモバイル装置は、この領域における困難性を提示している。携帯電話が今まで企業ネットワークにおいて、めったに使用されていないならば、供給メーカーがそのような装置に対する解決法を提供するには、多くの時間が必要である。したがって、スマートカード解決は扱いにくく、ユーザー名/パスワードのようなユーザー信用証明書は、認証が末端間でない場合、危険に晒され得る。
【0005】
ドメインコントローラーは、企業ネットワークにおいてセキュリティの要であると考えられていて、ファイアウォール及び独立した他の隔離装置の背後で十分に保護されるように期待されている。特に、モバイル装置は、多くの場合、リモート(又は企業のイントラネットの外側)にあって、企業ドメインコントローラーに対する直接アクセスを有しないので、そのような装置の多くは、企業ドメインに首尾よく加入するための必要なソフトウェアコンポーネントが不足している。困難性は、多角的であって、携帯電話からネットワークに対するソフトウェアギャップを埋めることと、安全でない(無線又はOTAを介する)無線公開インターフェースを介し企業ネットワーク外部からの加入操作を安全に実行することと、を含む。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の目的は、クライアント装置とプロキシの間の本来の信用関係を使用し、ドメイン加入機能を提供することである。
【課題を解決するための手段】
【0007】
以下に、本明細書において説明されている新たな実施形態の基本的な理解を提供するために、簡易化された概要を提示する。この概要は、広範囲に及ぶ概要ではなく、主要/重要なエレメントの特定をすることも、その範囲を図で表わすようことも意図されていない。その唯一の目的は、後で提示される更に詳細な説明に対する前置きとして、簡易化された形式でいくつかの概念を提示することである。
【0008】
開示されているアーキテクチャは、モバイルクライアントに対するドメイン加入操作を円滑にする登録プロキシを含む。クライアントをプライベートドメインに加入させるために、モバイルクライアントの代わりにソフトウェアを作動し接続ギャップを埋めるプロキシが、パブリックドメイン(例えばインターネット)から無線(OTA)を介しアクセス可能である。一つの新規性は、インターネットに公開されているサービスが、生得の権利を有しておらず、その妥協が、プライベートドメインに対し、大きく低減されたリスクを提示するという点にある。本アーキテクチャは、加入操作を容易にするための仲介サービスとしてプロキシを導入し、一旦、動作完了すると、プロキシは、もはやクライアントとプライベートドメインの間の接続を維持することを必要としない。
【0009】
第1の実装において、プロキシによるドメイン加入が、モバイル装置のユーザーによってプロキシに提供されるユーザー名及びパスワードだけを使用して達成される。モバイルクライアントの代わりにプロキシは、プライベートドメインのアカウントを確立する。プライベートドメイン及びプロキシは、信用関係を有しているが、プロキシは、セキュリティリスクのためプライベートドメインの公開を抑制する。
【0010】
更に、第2の堅牢で安全な実装においては、ワンタイムパスワード(OTP)が採用される。登録プロキシが、モバイルクライアントに対するプロキシを介したドメイン加入操作を可能にする。加入操作が、最小限のセキュリティ公開を用いて達成される。加入操作は、ユーザー信用証明書(例えばユーザー名及びパスワード)ではなく、モバイル装置のマシン識別に基づいていて、したがってユーザーの識別情報を危険に晒すことに関する潜在的な(例えばなりすまし犯罪)リスクがない。登録プロキシは、新しいマシンアカウントを企業(又は法人)ディレクトリに追加するための権限だけを必要とし、プロキシは、ユーザーアカウントの追加も既存アカウントの所有権を取得するための権限も付与されない。登録プロキシは、デリゲーションのような従来技法を使用するのではなく、実際のマシンアカウント信用証明書に基づいて署名済証書を取得する。登録プロセスは、公共信託を要求したりそれに依存するのではなく、モバイル装置と登録サーバーの間のプライベートルート信用を採用する。最終的に、クライアントは、企業ディレクトリ(例えばマイクロソフト社によるアクティブディレクトリ(Active Directory))のプライベートドメインにおいて、マシン識別を付与され、そのアカウントに関連付けられたドメインメンバーとして自己認証を許可する署名済公開信用証明書(例えば公開鍵認証基盤規格のX.509)を受信する。
【0011】
前述の関連した結論に達成するための例示的ないくつかの機能を、以下の説明及び添付された図面に関連し本明細書に説明する。しかしながら、これらの機能は、本明細書に開示されている原理が使用され得るほんのいくつかの様々な方法を示しており、機能及びそれらの同等物すべてを含むように意図されている。他の利点及び新たな機能が、図面に関連し考えられるとき、以下の詳細説明から明らかになるだろう。
【図面の簡単な説明】
【0012】
【図1】装置をドメインに加入させるための、計算機に実装されるドメインメンバー資格管理システムを例示する。
【図2】ドメインに対するドメインメンバー資格を管理するための代替システムを例示する。
【図3】少なくともブートストラップ及び認証目的のために、ドメインデータストアに存続している情報を例示する。
【図4】ドメインメンバー資格管理方法を例示する。
【図5】信用関係及び認証の確立を支援するデータのデータストアへの存続方法を例示する。
【図6】プロキシサーバーを認証するための装置による認証情報の提供方法を例示する。
【図7】プロキシを認証することによる装置の登録方法を例示する。
【図8】プロキシに対するクライアントの認証方法を例示する。
【図9】装置及びプロキシの認証後の信用証明書の取得方法を例示する。
【図10】ドメイン登録のための信用証明書の取得方法を例示する。
【図11】安全でないプロビジョニング及びドメイン加入のエミュレーションを提供するために作動可能な計算システムのブロック図を例示する。
【図12】安全でないプロビジョニング及びドメイン加入のエミュレーションを円滑にする例示的な計算環境の概略ブロック図を例示する。
【発明を実施するための形態】
【0013】
開示されるアーキテクチャは、一般に、(例えば企業)プライベートドメインに対するアクセスを求めている(例えばモバイル)クライアントに関連し、従来の安全でない接続性及びアクセス問題を解決する単一の安全な仕組みを提供する。本解決策は、公開ネットワーク(例えばインターネット)のクライアントに無線(OTA)を介しアクセス可能な登録プロキシから成っていて、ユーザー信用証明書又はマシン信用証明書のいずれかに基づいて、クライアントに対するドメイン加入操作を円滑にし、その後、接続からそれ自身を解除する。最終的に、クライアントは、プライベートドメインにおけるメンバー資格を与えられる。
【0014】
ここで、同一の参照番号を始めから終わりまで同様のエレメントを参照するために使用し、図面を参照する。以下の記載において説明のために、特定の多くの詳細を、その徹底的な理解を提供するために詳細に説明する。しかしながら、これらの特定の詳細化をせずに新たな実施形態を実装し得ることは明白であり得る。他の実例においては、周知の構造及び装置を、その説明を円滑にするために、ブロック図形式で示す。
【0015】
まず図面を参照して図1には、ドメインメンバー資格を管理するための、計算機に実装されるシステム(100)を例示する。システム(100)は、登録プロキシサーバー(106)を介しモバイルクライアント(102)をプライベートドメイン(104)に加入させるための仕組みを提供する。プロキシ(106)は、(例えば携帯電話)モバイルクライアント(102)が作動するパブリックドメインと(例えば企業体の)プライベートドメイン(104)の間のインターフェースを提供する。この実装において、ドメイン加入は、モバイルクライアント(102)のユーザーによって提供されるユーザー名及びパスワード形式のユーザー信用証明書に基づいている。プロキシ(106)は、ユーザー名及びパスワードを与えられ、クライアント(102)をドメイン(104)に加入させるために、ドメイン(104)に対するクライアント(102)の代わりをする。
【0016】
その支援において、プロキシ(100)は、モバイルクライアント(102)からユーザー信用証明書を受信し、ユーザー信用証明書をプロキシ(106)の認証コンポーネント(110)と通信させるためのブートストラップコンポーネント(108)を含む。認証コンポーネント(110)は、その後、クライアント(102)の代わりにプライベートドメインに対する認証を実行し、ユーザー信用証明書に基づいてプライベートドメインにおけるマシンアカウントを生成する。以下の実装において、使用されるワンタイムパスワード(OTP)又は単一利用個人識別番号(PIN)を使用するためのリクエストは、存在しない。
【0017】
図2には、ドメインに対するメンバー資格を管理するための代替手段であって、更に堅牢なシステム(200)を例示する。以下は、高度なシステムオペレーションに関する説明で始めて、エンティティ間のプロセスの詳細な説明を続ける。
【0018】
システム(200)は、(例えば、モバイル、携帯用計算機)装置(202)をプライベートドメイン(104)に加入させるための2段階の処理を円滑にする。第1段階は、本明細書において、以下「基本」信用関係として参照される装置(202)とプロキシ(106)の間の信用関係を生み出すことに関する。基本信用関係は、それ自体が2つの部分プロセスであって、処理装置(202)は、プロキシ(106)が的確なプロキシであることを確証し、プロキシ(106)は、装置(202)がドメイン(104)に対する接続を許可されていることを確証する。一旦、確立されると、基本信用関係は、もはやプロキシ(106)を必要としない。第2段階は、本明細書において、以下「完全」信用関係として参照される装置(202)とプライベートドメイン(104)の間の信用関係を生み出す。同様に、一旦、確立されると、完全信用関係は、もはやプロキシ(106)を必要としない。
【0019】
システム(200)の動作は、図1のシステム(100)において使用されるユーザー信用証明書ではなくて、OTP(又はPIN)のような別のタイプの信用証明書に基づいている。この説明のために、ユーザーは、プライベートドメイン(104)との以前の対話に関連付けられたOTPを提供されていて、ユーザー及びプライベートドメイン双方が、同一の信用証明書を共有していると仮定している。ユーザー装置がOTPを取得する手段は、従来の任意の安全又は安全でない仕組みによるものであり得る。ユーザー装置もドメインいずれもOTPを提供(又はアクセス)し得ない場合、そのドメイン加入操作が終了する。
【0020】
通常、対話は、装置(202)からプロキシ(106)に対する基本信用関係の確立によって始まる。装置(202)は、プロキシ(106)が的確なプロキシであることを保証するためのチェックをする。これは、プロキシ(106)に法人信用情報に関するリクエストを送信する装置によって達せられる。プロキシ(106)は、信用情報の署名ハッシュも暗号化して生成し得、ハッシュは、既に定義されているOTPから導出されるキーを使用し生成される。OTPを使用し装置(202)に同一のハッシュを生成することによって、装置(202)は、プロキシ(106)が基本信用関係を確立するための「的確」なプロキシであることを検証し得る。プロキシ(106)がこの信用証明書サーバーにアクセスできない場合、プロキシ(106)は、基本信用関係の確立のための「的確」なプロキシでなくて、プロセスが終了する。
【0021】
一旦、装置(202)からプロキシ(106)に対する第1の基本信用関係部が確立されると、第2の基本信用関係部は、その後、装置(202)がプライベートドメイン(104)に加入を許可され得る装置かチェックする、プロキシ(106)を含む。一旦、この双方向の基本信用関係が、装置(202)とプロキシ(106)の間に確立されると、プロキシ(106)は、信用証明書を取得するために、装置(202)の代わりに動作し、装置は、その後、アクセス可能なマシンアカウントを生成する。これは、マシンアカウント(206)をホスティングするためのドメインデータストア(204)及び確立される完全信用関係に関する信用証明書を発行するためのドメイン認証機関(208)の使用を含む。
【0022】
プロセスの更に詳細な説明を続ける前に、一定の情報が、ユーザーに提供されているOTPに基づいてドメイン(104)に(例えばデータストア(204)に)生成され、ドメイン(104)にもストアされることを理解されよう。以下、OTP、OTPから取得される暗号化キー、装置のマシンアカウント(206)に関する名前、装置(202)の所有者に対するリファレンス(例えば所有者のデータストアアカウント識別子)、装置のマシンアカウント(206)に関するデータストア(204)における目標コンテナ識別子、上記暗号化キーを使用し導出されるユーザー識別文字列(例えば装置の所有者の電子メールアドレス)のハッシュキー符号化(例えばHMACハッシュマシン認証コード)ダイジェスト、及びマシンアカウント(206)の情報が、ドメインに生成され存続されている。データストア(204)は、ファイル、データベース、アプリケーションパーティションなどであり得る。例えば、ダイジェストは、ユーザーログインID又は単語「anonymous」のような任意の暗号化種もあり得ることに留意されたい。
【0023】
一般に、前述されたような登録は、プロキシ(106)の信頼性を検証する装置(202)によって第1の基本信用関係部を確立することを含む。これを達成するために、装置(202)は、ウェブサービスを呼び出すことによって、プロキシ(106)にHMACダイジェストを渡す。このウェブサービスは、チャネル暗号化のためにセキュアソケットレイヤー(SSL)を使用するが、まだSSL認証を使用しない。プロキシ(106)は、その後、データストア(204)から既にストアされている暗号化キーをリトリーブし、プロキシのSSL信用証明書チェーン信用済ルートドメイン信用証明書のHMACダイジェストを生成するために、その暗号化キーを使用する。このHMACダイジェストは、対応するルートドメイン信用証明書と共に装置(202)に渡され、HMACダイジェストは、既に導出された暗号化キーを使用し、プロキシ(106)によって正しく計算されていることを検証する。
【0024】
一旦、装置(202)は、ドメイン信用証明書が上記仕組みに従って信用され得ることを決定すると、装置(202)は、今度は、暗号化チャネルを用いたSSLサーバー完全信用証明書を使用し、同一のプロキシ(106)に再接続する。装置(202)は、サーバーSSL信用証明書が、信用が既に決定されているドメイン信用証明書に逆に適切にリンク(又はチェーン)していることを検証するために再接続される。装置(202)は、その後、既に計算されている暗号化キーを使用し導出された信用証明書リクエストのHMACダイジェストと共に信用証明書リクエスト(例えば公開鍵暗号化標準(PKCS)No.10)を提出する。(PKCS#10標準信用証明書リクエストは、信用証明書の公開鍵をリクエストするために認証機関に送信されるメッセージ用フォーマットである。)プロキシ(106)は、信用証明書リクエストのHMACダイジェストが、既に導出された暗号化キーを使用して提供された信用証明書リクエストから取得されることを検証し、それによって装置(202)を認証する。
【0025】
プロキシ(106)は、その後、データストア(204)(例えばActive Directory)に新しいマシンアカウント(206)を生成するために、HMACダイジェストにリンクされているデータストア情報(図3の情報(304))を使用する。新しいマシンアカウント(206)は、認証コンポーネント(110)によってログインされ、ログインの間、認証機関(208)に信用証明書リクエストを提出するために使用される。発行された信用証明書が、その後、リトリーブされ、装置(202)に返却される。
【0026】
新たな機能のいくつかをまとめて、登録プロキシ(106)は、装置(202)に対するドメイン加入操作をエミュレーションする。加入操作は、ワンタイムパスワードに基づいており、したがって、ユーザー識別情報を危険に晒すリスクがない。更に、登録プロキシ(106)は、企業(又は法人)データストアに新しいマシンアカウントを追加するためにドメインに対する最小限のアクセスレベルを必要とするだけである。更に、登録プロキシ(106)は、ユーザーアカウントの追加も既存アカウントの所有権を取得するための権限も付与されない。クライアント装置(202)とプロキシ(106)の間に生み出された基本信用関係は、最終的に、装置(202)とプライベートドメイン(104)の間に完全信用関係を確立するために、プロキシ(106)によって使用される。マシン識別が、ドメインデータストア又はディレクトリ(例えばマイクロソフト社によるアクティブディレクトリ(登録商標))にストアされ得、装置(202)が、プライベートドメイン(104)メンバーとして、それ自体を認証可能にする署名済公開信用証明書(例えばX.509)を受信する。
【0027】
任意の実施形態において、OTPは、ハードウェア特有である固有の装置識別子(ID)と組み合わせて使用され、プロキシ(106)に渡された識別情報は、OTP及び装置ID双方を含む。これによって、ユーザーが有し得る別のモバイル装置、又は異なるユーザーによって異なる装置で使用され得る別のモバイル装置、を用いたOTPは使用できない。一実装において、OTPの最初の処理に基づいて、装置(202)とプロキシ(106)の間の基本又は完全信用プロセスは、装置IDを包含するように地位を上げられ得、その後、装置(202)に関する好都合又は不都合いずれかの信用プロセスを完了する。
【0028】
図3には、ドメインデータストア(204)に存続している少なくともブートストラップ及び認証目的のための情報を例示する。以下の説明は、(例えば携帯電話)モバイル装置(300)の文脈である。しかしながら、PDA及びタブレット型PCのような携帯用計算機及び他の無線装置が、開示されたドメイン登録アーキテクチャの利点を取得し得ることを理解されよう。
【0029】
ブートストラッププロセスは、既に取得されたOTP(302)を有するユーザーのモバイル装置に基づく。以下、図2の情報(304)である、OTP(302)、OTPから導出される暗号化キー、(モバイル装置(300)がそのドメインに対し「新しい」装置と見なされ、かくして装置(300)の以前のマシンアカウントが存在しない)装置のマシンアカウント(206)に関する名前、モバイル装置(300)の所有者に対するリファレンス(例えば所有者のデータストアアカウントの完全修飾ドメイン名(FQDN))、装置のマシンアカウント(206)に関するデータストア(204)における目標コンテナに対するリファレンス(例えばコンテナのFQDN)、上記暗号化キーを使用し導出されるユーザー識別文字列(例えば装置の所有者の電子メールアドレス)のハッシュキー(例えばHMAC)ダイジェスト、及びマシンアカウント(206)、がその後、生成され、仲介データストア(306)に存続している。
【0030】
図4には、ドメインメンバー資格管理方法を例示する。説明を単純化するために、1つ以上の方法論が、例えば、流れ図又は流れ図形式で本明細書に示され一連の動作として説明されているが、動作の中には、それらに従って本明細書に示され説明されているものと異なる順番及び/又は他の動作と同時に発生し得るものもあるように本方法論が、動作の順序に制限されないことを理解され、十分に評価されよう。例えば、当業者は、方法論が代替として状態ダイヤグラムのような相関する一連の状態又は事象として提示され得ることを理解され、十分に評価されよう。更に、例示された動作すべてが、新たな実装のために必要とされ得るわけではない。
【0031】
(400)において、ドメインに加入するための(例えばOTP)信用証明書が、モバイル装置から受信され、信用証明書は、無線インターフェースを介し、ドメインのプロキシサーバーによって受信される。(402)において、信用関係が、信用証明書に基づいて、モバイル装置とプロキシサーバーの間に確立される。(404)において、マシンアカウントが、信用関係に基づいてプロキシサーバーを介し、モバイル装置に関してそのドメインに生成される。(406)において、モバイル装置が、マシンアカウントに基づいて、ドメインに加入される。
【0032】
図5には、信用関係及び認証プロセスの確立を支援するデータのデータストアへの存続方法を例示する。(500)において、OTPが、他の手続き又はプロセスに従ってユーザーのモバイル装置に生成され割り当てられた後、プロキシが、データストアにOTP及び暗号化キーを存続している。(502)において、プロキシが、マシンアカウントに関する名前をデータストアに存続している。(504)において、プロキシが、装置に対するリファレンス(例えばユーザーの身元を識別する情報)をデータストアに存続している。(506)において、プロキシが、装置のマシンアカウントの目標コンテナのFQDNをデータストアに存続している。(508)において、プロキシが、上記の暗号化キーを使用して、暗号化種のハッシュキー符号ダイジェストをデータストアに存続している。
【0033】
図6には、プロキシサーバーを認証するために装置による認証情報の生成方法を例示する。(600)において、装置が、既に取得されているOTPに基づいて登録プロキシを介しプライベートドメインに対するアクセスを開始する。(602)において、装置が、ユーザー装置にユーザーアカウント情報及びOTPに関してプロンプトする。(604)において、装置が、OTPを使用し暗号化キーを生成する。(606)において、装置が、暗号化キーを使用しユーザーアカウント情報のハッシュキー符号(例えばHMAC)ダイジェストを生成する。
【0034】
図7には、プロキシ認証による(例えば携帯電話)装置の登録方法を例示する。(700)において、プロキシが意図されているネットワークエンティティであることを保証するために、プロキシ認証の装置を起動する。(702)において、装置が、一般的な暗号化種(例えばユーザーアカウント又は別のユーザー識別情報)を使用し、ハッシュキー符号ダイジェスト形式の装置識別を生成する。(704)において、装置が、その後、プロキシにダイジェストを送信するために、チャネル暗号化を採用しているウェブサービスを呼び出す。ウェブサービスは、暗号化チャネル用SSLを使用し得るが、まだSSL認証を使用しない。(706)において、プロキシが、その後、既にストアされている暗号化キーをデータストアからリトリーブする。(708)において、プロキシが、サーバーSSL信用証明書チェーンのルート信用証明書のハッシュキー符号ダイジェスト(例えばHMAC)を生成する。(710)において、プロキシが、ルート信用証明書及びルート信用証明書ダイジェストを装置に送信する。(712)において、装置は、ダイジェストが、ルート信用証明書を使用し、既に導出されている装置暗号化キーを使用し、プロキシによってダイジェストを再計算することによって正しく計算されたことを検証する。一旦、検証されると、装置は、ここでクライアントが通信を所望する意図されたネットワークエンティティとしてそのプロキシを信用する。
【0035】
図8には、プロキシに対するクライアント認証方法を例示する。一旦、装置がプロキシを認証すると、プロキシが順番に装置を認証する。(800)において、装置は、プロキシのSSL信用証明書が、信用されていることを既に決定されているドメイン信用証明書に逆に適切にリンク(又はチェーン)していることを検証するために、チャネル暗号化(例えばSSL)及びサーバーの完全信用証明書を使用し、プロキシに再接続する。(802)において、装置が、その後、既に計算されストアされている暗号化キーを使用し導出されるハッシュキー符号化ダイジェスト(例えばHMAC)ダイジェスト信用証明書リクエストと共に信用証明書リクエストを提出する。(804)において、プロキシが既に導出された暗号化キーを使用して、信用証明書リクエストのダイジェストが提供された信用証明書リクエストから導出されていることを検証する。(806)において、首尾よく検証されたとき、プロキシが装置を認証している。
【0036】
図9には、装置及びプロキシ認証後のドメイン信用証明書の取得方法を例示する。(900)において、プロキシが、識別情報ダイジェストにリンクされているデータストア情報をリトリーブする。(902)において、プロキシが、データストアに新しいマシンアカウントを生成するために、データストア情報を使用する。(904)において、プロキシが、新しいマシンアカウントにログインする。(906)において、プロキシが、装置から受信された信用証明書リクエストを認証機関に提出する。(908)において、認証機関が、装置識別に基づいて署名済ドメイン信用証明書を発行する。(910)において、プロキシが、発行されたドメイン信用証明書を受信し、装置に送信する。装置は、ここでドメインサービスに対する完全アクセス手段を有する。
【0037】
対象アーキテクチャの意図するところにおいては、信用証明書を取得するためのデリゲートされた権利不足に基づいた信用証明書を取得するための仕組みが、企業サービスのためのプライベートドメインにアクセスしようとする装置に対し多大な利益を提供する。
【0038】
装置の代わりに信用証明書を取得するための従来のプロキシメカニズムは、プロキシが、装置からのパスワードをリクエストし、認証機関にパスワードを送信し、認証機関から署名済証書を受信し、その後、署名済証書を装置に転送することによって、装置を代行することである。
【0039】
本明細書に記載されているような「リバースデリゲーション」として考えられ得る従来のプロキシメカニズムに対する新たな代替手段が、新しいマシンアカウントに関連する信用証明書を取得し、その後、認証プロセスの終わりにおいて、アカウントの所有権を譲渡し、それによってドメインサービスに対する完全アクセスを信用証明書の受取人、この場合、装置に提供することである。
【0040】
図10には、計算機に実装されるドメイン登録用信用証明書の取得方法を例示する。(1000)において、プロキシの権限が、新しいマシンアカウントの生成だけに制限される。(1002)において、プロキシが、OTPに関連するプロビジョニング情報に基づいて構成ディレクトリにモバイル装置に関する任意のマシンアカウントを生成する。(1004)において、プロキシが、ドメインの認証機関からの信用証明書をリクエストする。(1006)において、プロキシが、信用証明書リクエストのハッシュダイジェストを使用し、信用証明書のリクエスト計算を検証する。(1008)において、プロキシが、認証機関から署名済クライアント信用証明書を受信する。(1010)において、プロキシが、モバイル装置に署名済信用証明書を送信することによって、マシンアカウントの所有権をモバイル装置に移譲する。(1012)において、プロキシが、署名済クライアント信用証明書をクライアントに送信後、マシンアカウントに対するアクセスを中止する。
【0041】
このアプリケーションにおいて使用される用語「コンポーネント」及び「システム」は、計算機に関連する、エンティティ、ハードウェア、ハードウェアとソフトウェアの組み合わせ、ソフトウェア、又は実行中のソフトウェアのいずれかを参照することを意図している。例えばコンポーネントは、プロセッサーにおいて実行するプロセス、プロセッサー、ハードディスクドライブ、複数の(光学及び/又は磁気記憶媒体)記憶装置、オブジェクト、実行可能な実行スレッド、プログラム、及び/又は計算機であり得るがこれらに限定しない。例示として、サーバーで動作するアプリケーション及びサーバー双方はコンポーネントであり得る。1つ以上のコンポーネントが、実行プロセス及び/又はスレッド内部に常駐し得、コンポーネントが、1つの計算機において局所化され得るか及び/又は2つ以上の計算機の間において分散され得る。
【0042】
ここで図11を参照すると、安全でないプロビジョニング及びドメイン加入のエミュレーションを提供するために例示された作動可能な計算システム(1100)のブロック図がある。その様々な機能に関する更なる文脈を提供するために、図11及び以下の論述は、様々な機能が実装され得る適切な計算システム(1100)の簡潔で一般的な説明を提供することを意図している。上記説明は、1つ以上の計算機において動作し得る計算機が実行可能な命令に関する一般的な文脈であるが、当業者は、新たな実施形態が、他のプログラムモジュールと組み合わせて実装され得るか及び/又はハードウェアとソフトウェアの組み合わせとして実装され得ることを認めよう。
【0043】
一般にプログラムモジュールは、特定のタスクを実行するか又は特定の抽象データタイプを実装する、ルーチン、プログラム、コンポーネント、データ構造などを含む。更に当業者は、本発明の方法が、シングルプロセッサー又はマルチプロセッサーコンピューターシステム、ミニコンピューター、メインフレームコンピューター、及びパーソナルコンピューター、携帯用計算装置、マイクロプロセッサーベース又はプログラマブルコンシューマー電化製品、及び1つ以上の関連する装置と作動可能に接続され得るその他それぞれを含む他の計算機システム構成を用いて実施され得ることを理解されよう。
【0044】
例示された機能は、いくつかのタスクが通信ネットワーク介し接続されているリモートプロセッシング装置によって実行される分散計算環境においても実施され得る。分散計算環境において、プログラムモジュールは、ローカル及びリモート双方のメモリー記憶装置に配置され得る。
【0045】
計算機は、通常、様々な計算機可読媒体を含む。計算機可読媒体は、計算機によってアクセスされ得る利用可能な任意の媒体であり得、揮発性媒体及び不揮発性媒体、取り外し可能媒体及び取り外し不可能媒体を含む。制限ではなく例として、計算機可読媒体は、計算機記憶媒体及び通信媒体を含む。計算機記憶媒体は、計算機可読命令、データ構造、プログラムモジュール、又は他のデータのような情報の記憶に関する任意の方法又は技術で実装される揮発性及び不揮発性取り外し可能及び取り外し不可能媒体を含む。計算機記憶媒体は、RAM、ROM、EEPROM、フラッシュメモリー、又は他のメモリー技術、CD−ROM、デジタルビデオディスク(DVD)、又は他の光ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置、又は他の磁気記憶装置、又は所望の情報をストアするために使用され得、計算機によってアクセスされ得る他の任意の媒体を含むがこれらに限定しない。
【0046】
再び図11を参照すると、様々な機能を実装するための例示的な計算システム(1100)は計算機(1102)を含んでいて、計算機(1102)は、処理ユニット(1104)、システムメモリー(1106)及びシステムバス(1108)を含む。システムバス(1108)は、処理ユニット(1104)に接続されるシステムメモリー(1106)含むがこれに限定しないシステムコンポーネントに対するインターフェースを提供する。処理ユニット(1104)は、商用利用可能な様々な任意のプロセッサーであり得る。デュアルマイクロプロセッサー及び他のマルチプロセッサーアーキテクチャも処理ユニット(1104)として使用され得る。
【0047】
システムバス(1108)は、更に(メモリーコントローラーの有無に関わらず)メモリーバス、周辺機器用バス、及び商用利用可能な様々な任意のバスアーキテクチャを使用してローカルバスと相互接続し得るいくつかのタイプの任意のバス構造であり得る。システムメモリー(1106)は、読み出し専用メモリー(ROM)(1110)及びランダムアクセスメモリー(RAM)(1112)を含む。基本的な入力/出力システム(BIOS)は、BIOSが、始動中など計算機(1102)内のエレメント間に情報を送信する支援をする基本的なルーチンを含むROM、EPROM、EEPROMのような不揮発性メモリー(1110)にストアされる。RAM(1112)は、データをキャッシュするためのスタティックRAMのような高速RAMも含み得る。
【0048】
計算機(1102)は更に、内蔵ハードディスクドライブ(1114)が、(示されていない)適切な筐体の中に外付け利用向けにも構成され得る内蔵ハードディスクドライブ(HDD)(1114)(例えばEIDE,SATA)、(例えば取り外し可能ディスケット(1118)から読み出すか又はそれに書き込む)磁気フロッピー(登録商標)ディスクドライブ(FDD)(1116)及び(例えばCD−ROMディスク(1122)から読み出すか又はそれに書き込むDVDのような別の高容量光媒体から読み出すか又はそれに書き込むための)光ディスクドライブ(1120)を含む。ハードディスクドライブ(1114)、磁気ディスクドライブ(1116)、及び光ディスクドライブ(1120)は、ハードディスクドライブインターフェース(1124)、磁気ディスクドライブインターフェース(1126)、及び光ドライブインターフェース(1128)それぞれによって、システムバス(1108)に接続され得る。外付けドライブ実装用インターフェース(1124)は、ユニバーサルシリアルバス(USB)及びIEEE1394インターフェース技術のうち少なくとも1つ又はその双方を含む。
【0049】
ドライブ及びそれらに関連する計算機記憶媒体は、データ、データ構造、計算機実行可能命令など不揮発性記憶装置を提供する。計算機(1102)に関するドライブ及び媒体は、適切な任意のデジタルフォーマットのデータストレージに適応している。計算機可読媒体の上記の説明は、HDD、取り外し可能磁気ディスケット、及びCD又はDVDのような取り外し可能光媒体を参照しているが、ZIPドライブ、磁気カセット、フラッシュメモリーカード、カートリッジその他のような計算機によって別のタイプの可読媒体が、例示的な動作環境においても使用され得、更に、そのような任意の媒体が、開示された方法を実装するための計算機実行可能命令を含み得ることが当業者によって十分に理解されよう。
【0050】
オペレーティングシステム(1130)、1つ以上のアプリケーションプログラム(1132)、他のプログラムモジュール(1134)、及びプログラムデータ(1136)を含む多くのプログラムモジュールがドライブ及びRAM(1112)にストアされ得る。オペレーティングシステム、アプリケーション、モジュール、及び/又はデータすべて又は一部もRAM(1112)にキャッシュされ得る。開示されたアーキテクチャが、商用利用可能な様々なオペレーティングシステム又はオペレーティングシステムの組み合わせを用いて実装され得ることを十分に理解され得よう。
【0051】
アプリケーション(1132)及び/又はモジュール(1134)は、図1のプロキシサーバーのブートストラップ及び認証コンポーネント(108)及び(110)を含み得る。システム(1100)がクライアント(102)である場合、アプリケーション(1132)及び/又はモジュール(1134)は、例えば暗号化キー及びハッシュキー符号化ダイジェストを生成するためのクライアントの処理能力を含み得る。図1及び図2のドメイン(104)に関する文脈において、システム(1100)は、認証機関(208)、及び/又はデータストア(204)、及びマシンアカウント(206)を含み得る。
【0052】
ユーザーは、1つ以上の有線/無線入力装置、例えばキーボード(1138)、及びマウス(1140)のようなポインティング装置を介し計算機(1102)にコマンド及び情報を入力し得る。(示されていない)他の入力装置は、マイクロフォン、赤外線リモートコントロール、ジョイスティック、ゲームパッド、スタイラスペン、タッチスクリーンなどを含み得る。これらの入力装置及び他の入力装置は、多くの場合、システムバス(1108)に接続されている入力装置インターフェース(1142)を介し、処理ユニット(1104)と接続されるが、パラレルポート、IEEE1394シリアルポート、ゲームポート、USBポート、赤外線インターフェースその他のような別のインターフェースによって接続され得る。
【0053】
モニター(1144)又は別のタイプの表示装置もビデオアダプター(1146)のようなインターフェースを介しシステムバス(1108)に接続される。計算機は、通常、モニター(1144)に加え、スピーカー、プリンターのような(示されていない)別の周辺出力装置を含む。
【0054】
計算機(1102)は、リモートコンピューター(単数又は複数)(1148)のような1つ以上のリモートコンピューターと有線通信及び/又は無線通信を介する論理的な接続を使用し、ネットワーク環境において作動し得る。リモートコンピューター(単数又は複数)(1148)は、ワークステーション、サーバーコンピューター、ルーター、パーソナルコンピューター、携帯用計算機、マイクロプロセッサーベースの娯楽機器、ピア装置、又は別の一般的なネットワークノードであり得、通常、計算機(1102)に関連する前述されたエレメントの大多数又はすべてを含むが、簡単化のためにメモリー/ストレージ(1150)だけを例示する。示された論理接続は、ローカルエリアネットワーク(LAN)(1152)及び/又は更に大規模なネットワーク、例えば広域ネットワーク(WAN)(1154)との有線接続/無線接続を含む。そのようなLAN及びWANネットワーク環境は、オフィス及び会社において一般的であって、イントラネットのような企業全体の計算機ネットワークを円滑にし、そのすべては、グローバル通信ネットワーク、例えばインターネットと接続し得る。
【0055】
LANネットワーク接続環境において使用されるとき、計算機(1102)は、有線及び/又は無線通信ネットワークインターフェース又はアダプター(1156)を介しローカルネットワーク(1152)に接続される。アダプター(1156)は、無線アダプター(1156)と通信するために、それに配置される無線アクセスポイントも含み得るLAN(1152)との有線又は無線通信を円滑にし得る。
【0056】
WANネットワーク環境において使用されるとき、計算機(1102)は、モデム(1158)を含み得るか又はWAN(1154)上の通信サーバーに接続され、インターネットのような方法でWAN(1154)を介して通信を確立するための別の手段を有する。内蔵又は外付けであって有線又は無線装置であり得るモデム(1158)が、シリアルポートインターフェース(1142)を介しシステムバス(1108)に接続される。ネットワーク接続環境においては、計算機(1102)又はその一部に関連し表示されているプログラムモジュールが、リモートメモリー/ストレージ(1150)にストアされ得る。示されたネットワーク接続が例示的であって、計算機の間の通信リンクを確立するための他の手段が使用され得ることを十分理解されよう。
【0057】
計算機(1102)は、無線通信を用いて作動的可能に配置される任意の無線装置又はエンティティ、例えば、プリンター、スキャナー、デスクトップ、及び/又は携帯用計算機、携帯用データアシスタント、通信衛星、任意の設備部品、又は無線で検出可能なタグに関連付けられた場所(例えばキオスク、新聞売店、トイレ)及び電話と作動可能に通信する。これは、少なくとも無線(Wi−Fi)及びブルートゥース(登録商標)無線技術を含む。このように通信は、少なくとも2つの装置の間の従来のネットワーク又は簡易なアドホック通信を用いるような所定の構造であり得る。
【0058】
無線又はワイヤレス・フェディリティは、自宅の寝椅子、ホテルルームのベッド、又は職場の会議室から無線でインターネットに対する接続を可能にする。無線は、そのような装置、例えば計算機が、携帯電話において使用されるものと同様の基地局の範囲内のどこでも屋内及び屋外にあるデータの送信及び受信を可能にする無線技術である。無線ネットワークは、安全で信頼できる高速無線接続性を提供するためにIEEE802.11x(a,b,gなど)と呼ばれる無線通信技術を使用する。無線ネットワークは、インターネット及び(IEEE802.3又はイーサネット(登録商標)を使用する)有線ネットワークと、相互に計算機を接続するために使用され得る。
【0059】
ここで図12を参照し、安全でないプロビジョニングを円滑にする例示的な計算環境(1200)及びドメイン加入エミュレーションの概略ブロック図を例示する。システム(1200)は、1つ以上のクライアント(1202)を含む。クライアント(1202)は、ハードウェア及び/又はソフトウェア(例えば、スレッド、プロセス、計算装置)であり得る。クライアント(1202)は、例えば、クッキー(単数又は複数)及び/又は関連するコンテキスト情報を格納する。
【0060】
システム(1200)も、1つ以上のサーバー(1204)を含む。サーバー(1204)も、ハードウェア及び/又はソフトウェア(例えば、スレッド、プロセス、計算装置)であり得る。サーバー(1204)は、本アーキテクチャを使用することによって、例えば変換を実行するためのスレッドを格納する。クライアント(1202)とサーバー(1204)の間の一可能な通信は、2つ以上の計算機プロセスの間に送信されるように適応したデータパケット形式であり得る。データパケットは、例えばクッキー及び/又は関連する文脈情報を含み得る。システム(1200)は、クライアント(1202)とサーバー(1204)の間の通信を円滑にするために使用され得る(例えばインターネットのようなグローバル通信ネットワーク)通信フレームワーク(1206)を含む。
【0061】
通信は、(光ファイバーを含む)有線技術及び/又は無線技術を介し円滑にされ得る。クライアント(1202)は、クライアント(1202)にローカル情報(例えば、クッキー(単数又は複数)及び/又は関連する文脈情報)をストアするために使用され得る1つ以上のクライアントデータストア(1208)と作動可能に接続される。同様にサーバー(1204)は、サーバー(1204)にローカル情報をストアするために使用され得る1つ以上のサーバーデータストア(1210)と作動可能に接続される。
【0062】
図1の双方のクライアント(1202)は、プロキシサーバー(106)に対するアクセスを求めているクライアント(102)を含み得る。図2の双方のデータストア(204)及び認証機関(208)は、サーバー(1204)であり得、企業のバックエンドサーバーでもあり得る。
【0063】
前述された内容は、開示されたアーキテクチャの例を含む。コンポーネント及び/又は方法論に関して考えられ得るあらゆる組み合わせを説明することが、当然、不可能であるが、当業者は、更に多数の組み合わせ及び置換があり得ることを認め得よう。したがって、新たなアーキテクチャが、添付された請求項の趣旨及び範囲内に収まるような変更、修正及び変形のすべてを包含するように意図されている。更に、用語「含む」が、詳細説明又は請求項のいずれかにおいて使用される範囲内において、「から成る」が請求項において遷移的な言葉として使用されるときに解釈されるように、そのような用語は、用語「から成る」と同様に包括的であることを意図している。
【符号の説明】
【0064】
100 ドメインメンバー資格管理システム
102 モバイルクライアント
104 プライベートドメイン
106 登録プロキシサーバー
108 ブートストラップコンポーネント
110 認証コンポーネント
200 ドメインメンバー資格管理システム
202 装置
204 ドメインデータストア
206 マシンアカウント
208 ドメイン認証機関
300 モバイル装置
302 ワンタイムパスワード(OTP)
304 情報
306 仲介データストア
1100 計算システム
1102 計算機
1104 処理ユニット
1106 システムメモリー
1108 システムバス
1110 読み出し専用メモリー(ROM)
1112 ランダムアクセスメモリー(RAM)
1114 内蔵ハードディスクドライブ(HDD)
1116 磁気フロッピー(登録商標)ディスクドライブ(FDD)
1118 取り外し可能ディスケット
1120 光ディスクドライブ
1122 CD−ROMディスク
1124 ハードディスクドライブインターフェース
1126 磁気ディスクドライブインターフェース
1128 光ドライブインターフェース
1130 オペレーティングシステム
1132 アプリケーションプログラム
1134 他のプログラムモジュール
1136 プログラムデータ
1138 キーボード
1140 マウス
1142 入力装置インターフェース
1144 モニター
1146 ビデオアダプター
1148 リモートコンピューター
1150 メモリー/記憶装置
1152 ローカルエリアネットワーク(LAN)
1154 広域ネットワーク(WAN)
1156 無線通信ネットワークインターフェース又はアダプター
1158 モデム
1200 計算環境
1202 クライアント
1204 サーバー
1206 通信フレームワーク
1208 クライアントデータストア
1210 サーバーデータストア
【特許請求の範囲】
【請求項1】
ドメインメンバー資格を管理するための、計算機に実装されるシステム(100)であって、
ドメインに対するアクセスを求めているモバイルクライアントからユーザー信用証明書を受信するためのドメインプロキシブートストラップコンポーネント(108)と、
前記ユーザー信用証明書に基づいて前記ドメインに対し前記モバイルクライアントを認証するための前記プロキシの認証コンポーネント(110)と、を含むシステム。
【請求項2】
前記ユーザー信用証明書が、ユーザー名又はパスワードのうち少なくとも1つを含むことを特徴とする請求項1記載のシステム。
【請求項3】
前記認証コンポーネントが、前記ユーザー信用証明書に基づいて前記モバイルクライアントに関するマシンアカウントを生成することを特徴とする請求項1記載のシステム。
【請求項4】
前記モバイルクライアントが、安全でない無線インターフェースを介し前記ユーザー信用証明書を通信する携帯電話であることを特徴とする請求項1記載のシステム。
【請求項5】
計算機に実装されるドメインメンバー資格管理方法であって、
ドメインに加入するための信用証明書をモバイル装置から受信するステップであって、前記信用証明書が、無線インターフェースを介し前記ドメインのプロキシサーバーによって受信されるもの(400)と、
前記信用証明書に基づいて前記モバイル装置と前記プロキシサーバーの間に信用関係を確立するステップ(402)と、
前記プロキシサーバーを介し前記信用関係に基づいて、前記ドメインに前記モバイル装置に関するマシンアカウントを生成するステップ(404)と、
前記マシンアカウントに基づいて前記モバイル装置を前記ドメインに加入させるステップ(406)と、の動作を含む方法。
【請求項6】
前記信用証明書が、ユーザー名、及びワンタイムパスワード(OTP)又は装置IDのうち少なくとも1つを含むことを特徴とする請求項5記載の方法。
【請求項7】
更に、ウェブサービスを介し前記モバイル装置からの一般的な暗号化種のハッシュキー符号化ダイジェストを受信するステップを含む請求項5記載の方法。
【請求項8】
更に、チャネル暗号化を使用し、前記ウェブサービスから前記ハッシュキー符号ダイジェストを受信するステップを含む請求項7記載の方法。
【請求項9】
更に、暗号化キーに基づいて、前記プロキシサーバーでドメイン信用証明書のハッシュキー符号化ダイジェストを生成するステップを含む請求項5記載の方法。
【請求項10】
更に、前記モバイル装置によって検証するために、前記ハッシュキー符号ダイジェスト及び前記ルート信用証明書を前記モバイル装置に送信するステップと、前記モバイル装置による検証の成功に基づいて前記信用関係を確立するステップと、を含む請求項5記載の方法。
【請求項11】
更に、前記モバイルクライアントを、検証プロセスのために、チャネル暗号化を用いたサーバー完全信用証明書を使用して前記プロキシサーバーに再接続可能にするステップを含む請求項5記載の方法。
【請求項12】
更に、プロキシサーバー信用証明書が、完全信用関係に関連付けられているドメイン信用証明書へ逆にリンクしていることを検証するステップを含む請求項5記載の方法。
【請求項13】
更に、登録プロセスの一部として前記モバイル装置に署名済ドメイン信用証明書をストアするステップを含む請求項5記載の方法。
【請求項14】
更に、前記モバイルクライアントの代わりに前記マシンアカウントにログインするステップと、信用証明書リクエストを署名済証書に関する前記ドメイン認証機関に提出するステップを含む請求項5記載の方法。
【請求項15】
前記署名済信用証明書が、前記モバイルクライアントに返却されることを特徴とする請求項14記載の方法。
【請求項16】
更に、OTP、前記OTPから導出される暗号化キー、新しいマシンアカウントに関する名前、前記クライアントの所有者に対するリファレンス、前記新しいマシンアカウントに関する目標コンテナの完全修飾ドメイン名、又は前記暗号化キーを使用して導出される一般暗号化種のハッシュマシン認証コード(HMAC)ダイジェスト、のうち少なくとも1つをドメインデータストアにストアするステップを含む請求項5記載の方法。
【請求項17】
更に、前記加入操作後、前記モバイルクライアントに対する前記プロキシサーバーの支援を中止するステップを含む請求項5記載の方法。
【請求項18】
前記信用関係が、プライベート信用関係であることを特徴とする請求項5記載の方法。
【請求項19】
更に、ユーザー信用証明書ではなく、マシン識別信用証明書に基づいて、プライベートドメインである前記ドメインに前記モバイル装置を加入させるステップを含む請求項5記載の方法。
【請求項20】
モバイル装置からドメインに加入するための信用証明書を受信するために計算機に実装される手段(108)であって、前記信用証明書が、無線インターフェースを介し前記ドメインのプロキシサーバーによって受信されるものと、
前記信用証明書に基づいて、前記モバイル装置と前記プロキシサーバーの間に信用関係を確立するための計算機に実装される手段(110)と、
前記プロキシサーバーを介し前記信用関係に基づいて、前記ドメインに前記モバイル装置に関するマシンアカウントを生成するための計算機に実装される手段(106)と、
前記マシンアカウントに基づいて、前記ドメインに前記モバイル装置を加入させるための計算機に実装される手段(106)と、を含む計算機に実装されるシステム。
【請求項1】
ドメインメンバー資格を管理するための、計算機に実装されるシステム(100)であって、
ドメインに対するアクセスを求めているモバイルクライアントからユーザー信用証明書を受信するためのドメインプロキシブートストラップコンポーネント(108)と、
前記ユーザー信用証明書に基づいて前記ドメインに対し前記モバイルクライアントを認証するための前記プロキシの認証コンポーネント(110)と、を含むシステム。
【請求項2】
前記ユーザー信用証明書が、ユーザー名又はパスワードのうち少なくとも1つを含むことを特徴とする請求項1記載のシステム。
【請求項3】
前記認証コンポーネントが、前記ユーザー信用証明書に基づいて前記モバイルクライアントに関するマシンアカウントを生成することを特徴とする請求項1記載のシステム。
【請求項4】
前記モバイルクライアントが、安全でない無線インターフェースを介し前記ユーザー信用証明書を通信する携帯電話であることを特徴とする請求項1記載のシステム。
【請求項5】
計算機に実装されるドメインメンバー資格管理方法であって、
ドメインに加入するための信用証明書をモバイル装置から受信するステップであって、前記信用証明書が、無線インターフェースを介し前記ドメインのプロキシサーバーによって受信されるもの(400)と、
前記信用証明書に基づいて前記モバイル装置と前記プロキシサーバーの間に信用関係を確立するステップ(402)と、
前記プロキシサーバーを介し前記信用関係に基づいて、前記ドメインに前記モバイル装置に関するマシンアカウントを生成するステップ(404)と、
前記マシンアカウントに基づいて前記モバイル装置を前記ドメインに加入させるステップ(406)と、の動作を含む方法。
【請求項6】
前記信用証明書が、ユーザー名、及びワンタイムパスワード(OTP)又は装置IDのうち少なくとも1つを含むことを特徴とする請求項5記載の方法。
【請求項7】
更に、ウェブサービスを介し前記モバイル装置からの一般的な暗号化種のハッシュキー符号化ダイジェストを受信するステップを含む請求項5記載の方法。
【請求項8】
更に、チャネル暗号化を使用し、前記ウェブサービスから前記ハッシュキー符号ダイジェストを受信するステップを含む請求項7記載の方法。
【請求項9】
更に、暗号化キーに基づいて、前記プロキシサーバーでドメイン信用証明書のハッシュキー符号化ダイジェストを生成するステップを含む請求項5記載の方法。
【請求項10】
更に、前記モバイル装置によって検証するために、前記ハッシュキー符号ダイジェスト及び前記ルート信用証明書を前記モバイル装置に送信するステップと、前記モバイル装置による検証の成功に基づいて前記信用関係を確立するステップと、を含む請求項5記載の方法。
【請求項11】
更に、前記モバイルクライアントを、検証プロセスのために、チャネル暗号化を用いたサーバー完全信用証明書を使用して前記プロキシサーバーに再接続可能にするステップを含む請求項5記載の方法。
【請求項12】
更に、プロキシサーバー信用証明書が、完全信用関係に関連付けられているドメイン信用証明書へ逆にリンクしていることを検証するステップを含む請求項5記載の方法。
【請求項13】
更に、登録プロセスの一部として前記モバイル装置に署名済ドメイン信用証明書をストアするステップを含む請求項5記載の方法。
【請求項14】
更に、前記モバイルクライアントの代わりに前記マシンアカウントにログインするステップと、信用証明書リクエストを署名済証書に関する前記ドメイン認証機関に提出するステップを含む請求項5記載の方法。
【請求項15】
前記署名済信用証明書が、前記モバイルクライアントに返却されることを特徴とする請求項14記載の方法。
【請求項16】
更に、OTP、前記OTPから導出される暗号化キー、新しいマシンアカウントに関する名前、前記クライアントの所有者に対するリファレンス、前記新しいマシンアカウントに関する目標コンテナの完全修飾ドメイン名、又は前記暗号化キーを使用して導出される一般暗号化種のハッシュマシン認証コード(HMAC)ダイジェスト、のうち少なくとも1つをドメインデータストアにストアするステップを含む請求項5記載の方法。
【請求項17】
更に、前記加入操作後、前記モバイルクライアントに対する前記プロキシサーバーの支援を中止するステップを含む請求項5記載の方法。
【請求項18】
前記信用関係が、プライベート信用関係であることを特徴とする請求項5記載の方法。
【請求項19】
更に、ユーザー信用証明書ではなく、マシン識別信用証明書に基づいて、プライベートドメインである前記ドメインに前記モバイル装置を加入させるステップを含む請求項5記載の方法。
【請求項20】
モバイル装置からドメインに加入するための信用証明書を受信するために計算機に実装される手段(108)であって、前記信用証明書が、無線インターフェースを介し前記ドメインのプロキシサーバーによって受信されるものと、
前記信用証明書に基づいて、前記モバイル装置と前記プロキシサーバーの間に信用関係を確立するための計算機に実装される手段(110)と、
前記プロキシサーバーを介し前記信用関係に基づいて、前記ドメインに前記モバイル装置に関するマシンアカウントを生成するための計算機に実装される手段(106)と、
前記マシンアカウントに基づいて、前記ドメインに前記モバイル装置を加入させるための計算機に実装される手段(106)と、を含む計算機に実装されるシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公表番号】特表2010−531516(P2010−531516A)
【公表日】平成22年9月24日(2010.9.24)
【国際特許分類】
【出願番号】特願2010−514942(P2010−514942)
【出願日】平成20年6月11日(2008.6.11)
【国際出願番号】PCT/US2008/066514
【国際公開番号】WO2009/002705
【国際公開日】平成20年12月31日(2008.12.31)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
【公表日】平成22年9月24日(2010.9.24)
【国際特許分類】
【出願日】平成20年6月11日(2008.6.11)
【国際出願番号】PCT/US2008/066514
【国際公開番号】WO2009/002705
【国際公開日】平成20年12月31日(2008.12.31)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
[ Back to top ]