非信頼アクセスネットワークを介してシングルサインオン認証を行なう装置及び方法
本発明は、アクセスネットワークがデータ発信元認証を提供しないときに、シングルサインオン認証を行なうことを目的とした通信装置、ユーザ機器及び方法を提供する。本発明は、コアネットワーク、すなわち、ユーザが加入しているホームネットワークまたはユーザがローミングしている訪問先のネットワークに対して実行された最初のアクセス認証を再利用することを提案する。従って、コアネットワークに対するユーザの認証が成功した際に取得されたアクセス証明書が、ユーザ機器側で、アクセスネットワークを介してサービスネットワークに対して確立されたセキュアトンネルにリンクされる。サービスネットワークのエンティティにおいて受信されたアクセス証明書も、セキュアトンネルにリンクされる。双方のアクセス証明書が内部IPアドレスにリンクされ、サービスネットワークにおいて、ユーザを安全に識別する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に、信用されていないアクセスネットワークを介してサービスネットワークにアクセスする複数のユーザに対するシングルサインオンサービスに関する。特に、本発明は、アクセスネットワークがデータ発信元認証を提供しないときにシングルサインオン認証を行なう通信装置、ユーザ機器及び方法に関する。
【背景技術】
【0002】
シングルサインオン(以下、SSO)は、特定の異なるサービスごとに明示的にユーザを認証することなく、これらの異なるサービスに対するユーザのアクセスを許可する新しい原理である。この原理の基礎は、ユーザがある認証プロバイダ(以下、アイデンティティ・プロバイダ:IdP)エンティティにおいて1度認証されれば、その認証結果が他のサービスまたはサービスプロバイダ(SP)への入口に対しても有効となる。換言すると、SSOの目的は、毎回、認証及び許可を受けることなく、ユーザが異なるサービスやアプリーションに安全にアクセスできるようにすることである。
【0003】
基本的には、SSOをサポートする2つの方法が存在する。すなわち、いわゆる端末中心手法といわゆるネットワーク中心手法である。
【0004】
端末中心手法の場合、ユーザの端末は、異なるサービスにアクセスするのに必要な異なる複数の認証機構をサポートする。例えば、端末は、ユーザの代わりに異なる複数のパスワードを格納する。この点で、この方法は、ユーザまたは端末側が、異なる複数の認証機構をサポートしていなければならない。さらに、ユーザは、サービスプロバイダ(SP)の役割を果たす全てのエンティティにユーザ自身を登録する必要がある。そのため、全てのエンティティは、例えば、ユーザ識別及びパスワード、メール配信のためのアドレス、連絡先情報、支払い方法等のユーザに関する必要な情報を有している。
【0005】
ネットワーク中心手法の場合、ユーザは、そのユーザに対する識別プロバイダ(IdP)の役割を果たす1つの中央エンティティに対してのみ認証される。ユーザが所与のサービスにアクセスしたい場合、対応するサービスプロバイダ(SP)は、新しい認証を必要としない。その代わり、サービスプロバイダ(SP)は、識別プロバイダ(IdP)から1つ以上のサービス証明書が提供される。サービス証明書は、ユーザが認証されていることを示し、かつ、ユーザに関する必要な情報を提供するものである。当然、この機構は、SPとIdPとの間のビジネス関係を必要とする。
【0006】
特別な例は、例えばモバイルネットワークオペレータ(以下、MNO)等、同一のエンティティがアクセス認証を制御するとともに、IdPの役割を果たす場合である。例えば、ユーザは、汎用パケット無線サービス(GPRS)認証または回線交換認証等の際に、ネットワークにアクセスするため、コアネットワーク(CN)に対して認証を実行する。IdPがCNからその情報を取得する手段を有する場合、IdPがCNによる認証を信用することできるため、IdPに対する新しい認証は必要ない。
【0007】
この特別な例において、ユーザがアクセスする時に経由するアクセスネットワークがデータ発信元認証を提供する場合、識別プロバイダ(IdP)は、コアネットワーク(CN)認証のみを信頼する。例えば、これは、ユーザがGPRSアクセスネットワークを介してアクセスする場合である。
【0008】
この説明において、データ発信元認証は、アクセスネットワークから受信した任意のデータに対して、発信元がどこであっても、そのデータの要求発信元が信頼できると考えられることを意味する。
【特許文献1】米国特許第6,253,327号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
しかし、無線ローカルエリアネットワーク(WLAN)等の他のアクセスネットワークがデータ発信元認証を提供しない。そのため、ネットワークにアクセスした時に実行された最初の認証をSSO認証の目的のためには再利用できない。換言すると、SSOのためにアクセス認証は再利用できない。
【0010】
従来、モバイルの世界において、SSOの原理は、ユーザがコアネットワーク(CN)認証を実行すると、シングルサインオン(SSO)のサポートによって、さらなる明確な認証を行なうことなく、ユーザが種々のネットワークのサービスにアクセスすることができた。この原理において、ユーザが加入しているホームネットワークは、そのようなユーザに対してIdPの役割を果たす。一般に、ユーザは、ユーザが加入しているユーザのホームコアネットワーク、またはユーザがローミングしている訪問先のコアネットワークにより認証されてもよい。簡単にするために、ユーザを認証したネットワークがホームネットワークかまたは訪問先のネットワークかに関わらず、本明細書ではコアネットワーク認証と呼ぶことにする。この説明において、データ発信元認証が保証されているものとする。すなわち、モバイルネットワークオペレータのコアネットワーク(CN)が信頼できるネットワークであり、そのため、CNにより割り当てられたIPアドレスを有する移動局(あるいは、ユーザ機器またはユーザ端末側)は、その信頼されたIPアドレスを介して識別されるからである。よって、移動局からの任意のデータは、信頼できるものと判断される。さらに、IPアドレスがユーザの移動局に割り当てられている間、当該IPアドレスはユーザの擬似識別として使用される。この原理は、移動加入者ディレクトリ番号(以下、MSISDN)等の他のユーザの識別を取得するために、SSO方法において使用される。
【0011】
現在、シングルサインオンに関して、2つの主なビジネスモデルが存在する。第1のモデルは、いわゆるウォールドガーデン(Walled Garden)SSOである。本明細書ではローカルサービスと呼ばれるSSOを提供する同一のエンティティにより提供されるサービスに対するSSOの使用法をこのように呼ぶことにする。このビジネスモデルをサポートするための公開された仕様書または標準技術は存在しない。
【0012】
第2のモデルは、いわゆる連携型(Federated)SSOである。このモデルにおいて、SSOサービスは識別プロバイダ(IdP)により提供される。また、本明細書では外部サービスと呼ばれるサービスが1つ以上のサービスプロバイダ(SP)により提供されるものとする。シングルサインオン認証業界団体(LAP:Liberty Alliance Project)として知られる業界フォーラムは、いわゆる連携型SSOをサポートするためのプロトコル一式を開発した。LAPは、特定の認証機構を指定してはいない。LAPは、認証結果を、識別プロバイダ(IdP)からサービスプロバイダ(SP)に転送することを指定している。そして、LAPは、サービスプロバイダ(SP)がエンドユーザにサービスを供給する方法を指定している。しかし、LAPは、ユーザが非信頼アクセスネットワークを介してアクセスしている時のIdPの動作方法については提案していない。
【0013】
シングルサインオン(SSO)に対して上述のようなウォールドガーデンSSO及び連携型SSOを使用する場合において、モバイルネットワークオペレータ(MNO)が、コアネットワーク(CN)の認証プロバイダとSSOの識別プロバイダ(IdP)との双方の役割を果たす。アクセスネットワークがデータ発信元認証を提供するという条件の下では、ユーザがアクセス認証を実行すると、新しい認証処理を行なうことなく、多数のサービスへのアクセスが可能となるSSOが利用可能となる。
【0014】
例えば、アクセスネットワークがGPRSネットワークであるという条件の下では、GPRS認証が正常に実行されると、識別プロバイダ(IdP)の役割を果たすエンティティは、あるIPアドレスを有するユーザから受信したサービス証明書の要求がIPスプーフィングを実行する攻撃者からのものではなく、確かにそのユーザからのものであるという保証をする。従って、IdPは、追加の認証を実行せずに、要求されたサービス証明書をユーザに対して提供できる。この好適な例に従って、米国特許第6,253,327号は、ネットワークにより1度認証されたIPアドレスをユーザに割り当て、それにより、ユーザが公衆ネットワークエリアまたは専用ネットワークエリアにアクセスする際のさらなる認証の必要をなくす装置及び方法を開示している。ここで、そのIPアドレスは、取り決められたポイント・ツー・ポイントプロトコルセッションを介して認証された証明として使用される。ポイント・ツー・ポイントプロトコルセッションが許可するようなデータ発信元認証をアクセスネットワークが提供するのであれば、これは好ましい解決策である。
【0015】
しかし、当該技術の現在の状況においては、ユーザを識別するための所与のIPアドレスが、モバイルネットワークオペレータ(MNO)の制御下になく、IPスプーフィングを実行する攻撃者により使用されている恐れがある。そのため、アクセスネットワークがデータ発信元認証を提供しない場合、シングルサインオン認証に対する安全策が欠けていることになる。この点において、米国特許第6,571,289号に示されるように、アクセスネットワークから専用ネットワークへの直接アクセスを回避するために、セキュアゲートウェイを介するトンネリング機構を使用してまう場合、アクセスネットワークがデータ発信元認証を提供しない時は有用でないし、また、IPスプーフィングを実行する攻撃者からの命令を排除できない。ちなみに、セキュアゲートウェイは、専用ネットワークにアクセスするユーザを認証し、さらに、専用ネットワークのネットワークエンティティに対するIPアドレスを削除し、要求の発信元を、対応する応答の送信先に関連付ける処理を行なうものである。
【0016】
従って、本発明は、この課題を克服するものであり、WLAN等のデータ発信元認証を提供できないアクセスネットワークを介したアクセスを提供するモバイルネットワークオペレータ(MNO)が、SSOに対して最初のアクセス認証を再利用できるようにすることを目的とする。さらに、本発明は、少なくともネットワーク中心手法の下、この課題を克服することに対処する。
【課題を解決するための手段】
【0017】
本発明によると、上述の目的は、請求項1の装置、請求項14のユーザの機器、及び請求項18の方法によって達成される。これらは、コアネットワークに対して実行された最初のアクセス認証を再利用することにより、データ発信元認証を提供しないアクセスネットワークを介してサービスネットワークにアクセスしているユーザに対して、シングルサインオンサービスを提供するものである。装置、ユーザの機器及び方法は、発明に関する単一の概念を形成する。
【0018】
本発明に係る装置は、データ発信元認証を提供しないアクセスネットワークを介して、通信サービスネットワークにおけるシングルサインオンサービスの要求をユーザから受信するように構成される。一方で、ユーザは、コアネットワークにより認証された結果、アクセス証明書を受信する。本装置は:
アクセスネットワークにより割り当てられた外部(アウター)IPアドレスを使用することにより、アクセスネットワークを介してユーザとのセキュアトンネルを確立する手段と;
セキュアトンネルが確立している間、ユーザから受信したアクセス証明書の有効性をチェックする手段と;
アクセス証明書の有効性チェックが成功すると、ユーザとの有効セッションを確立する手段と;
セキュアトンネル内で内側(インナー)IPアドレスとして使用される内部(インターナル)IPアドレスを割り当てる手段と;
ユーザに対して、セッションのデータ、アクセス証明書及び割り当てられた内部IPアドレスをリンクさせる(関連付ける)手段とを具備する。
【0019】
本装置は、特定の許可証明を必要とするあるサービスにアクセスするユーザが使用可能なサービス証明書を生成する手段により構成されることが好ましい。さらに、この手段は、サービスが要求されると、サービス単位で、ユーザに対してサービス証明書を生成するように構成される。
【0020】
サービスネットワークに提供されたアクセス証明書が署名されるかまたは署名されない可能性があると仮定する。装置には、ホームネットワークの認証サーバと通信する手段が提供されることが好ましい。これは、認識された認証エンティティによりアクセス証明書が署名されないときに、ユーザから受信したアクセス証明書の有効性をチェックするためである。
【0021】
装置は、異なる構成要素により好適に実現されてもよい。すなわち、本装置において、ユーザとのセキュアトンネルを確立する手段が、セキュアサービスエントリポイントと呼ばれる第1のデバイスに含まれ、ユーザに対して、セッションのデータ、アクセス証明書及び割り当てられた内部IPアドレスをリンクさせる手段が、シングルサインオンサーバと呼ばれる第2のデバイスに含まれる。このような手法の下で、本装置は、第1のデバイスと第2のデバイス、すなわち、セキュアサービスエントリポイントとシングルサインオンサーバとが通信する手段をさらに具備する。
【0022】
これに対し、ユーザがアクセスするサービスネットワークが、ユーザが加入しているホームネットワークとは異なる可能性があると仮定する。本発明に係る装置は、ホームネットワークのユーザを管理する認証プロバイダとの別の連携手段を具備するのが好ましい。別の連携手段は、セキュアサービスエントリポイントに配置されてもよいが、シングルサインオンサーバに配置されるのが好ましいだろう。
【0023】
動作中、ユーザがローカルHTTPサービスまたは現在アクセスしているサービスネットワークとは異なるネットワーク上の外部サービスにアクセスしているときなど、好適な使用例の場合、本装置は、ユーザが既に認証されているか否かをチェックする手段を含む。従って、本装置は、HTTPローカルサービスまたは外部ネットワーク上の外部(エクスターナル)サービスへのユーザのアクセスをインターセプト(傍受して阻止)するように構成された仲介エンティティと通信する手段が提供されてもよい。特に、この仲介エンティティは、HTTPプロキシでもよく、またはこの目的のために構成される汎用ファイアウォールでもよい。
【0024】
ユーザが非HTTPローカルサービスにアクセスしているときの他の好適な使用例において、本装置は、ユーザが既に認証されているか否かをチェックする手段をさらに含む。しかし、この手法の下では、このチェックする手段がサービスと装置自体との間で共用されるため、ユーザとサービスとの間に仲介エンティティを介在させることは、重要な利点とはならない可能性がある。なお、HTTPサービスであるかまたは非HTTPサービスであるかは、仲介エンティティを有することの利点または欠点を議論するためではなく、むしろ、本発明に係る装置と互換性を有する他の構成を示しているにすぎない。
【0025】
本発明に係るユーザ機器は、コアネットワークに対して認証処理を実行するように構成され、データ発信元認証を提供しないアクセスネットワークを介して、サービスネットワークとのセキュアトンネルを確立する手段を含む。セキュアトンネルは、アクセスネットワークにより割り当てられた外部IPアドレスを使用する。ユーザ機器は:
コアネットワークにより認証された結果、アクセス証明書を取得する手段と;
アクセス証明書をセキュアトンネルにリンクさせる手段とを具備する。
【0026】
ユーザ機器は、トンネルトラフィック内で内側IPアドレスとして受信した内部IPアドレスをアクセス証明書及びセキュアトンネルにリンクさせる手段を含む。このように、特定のサービスへのさらなるアクセスする際に、特定のサービスに直接アクセスするための擬似識別として、既に割り当てられているIPアドレスをユーザ機器が使用してもよい。
【0027】
アクセス証明書を取得するために異なる機構が使用されてもよいが、ユーザ機器を提供することにより、さらなるセキュリティ上の利点が得られると考えられる。アクセス証明書を取得する手段は:
コアネットワークから認証チャレンジを受信する手段と;
認証応答を生成しかつコアネットワークに返信する手段と;
1組の公開鍵及び秘密鍵を生成する手段と;
秘密鍵の所有権を証明するデジタル署名とともに公開鍵をコアネットワークに対して送信する手段とを含む。
【0028】
あるいは、簡易化されたユーザ機器及びコアネットワークにおいて、ユーザ機器でアクセス証明書を取得する手段は:
コアネットワークから認証チャレンジを受信する手段と;
認証応答を生成しかつコアネットワークに返信する手段と;
コアネットワークから取得可能なデジタル証明書を要求する手段とを含む。
【0029】
本発明によると、通信サービスネットワークおいて、コアネットワークにより認証されかつデータ発信元認証を提供できないアクセスネットワークを介してサービスネットワークにアクセスするユーザに対して、シングルサインオンサービスをサポートする方法がさらに提供される。本方法は:
コアネットワークにより認証された結果、アクセス証明書をユーザ機器側に提供するステップと;
アクセスネットワークにより割り当てられた外部IPアドレスを使用することにより、アクセスネットワークを介して、サービスネットワークのエンティティとユーザ機器側との間にセキュアトンネルを確立するステップと;
ユーザ機器側で、アクセス証明書をセキュアトンネルにリンクするステップと;
セキュアトンネルが確立している間、サービスネットワークにおいてユーザ機器側から受信したアクセス証明書の有効性をチェックするステップと;
アクセス証明書の有効性チェックが成功した際に、ユーザとの有効セッションを確立するステップと;
サービスネットワークにおいて、トンネルトラフィック内で内側IPアドレスとして使用されるユーザに対する内部IPアドレスを割り当てるステップと;
サービスネットワークのエンティティにおいて、ユーザに対して、セッションのデータ、アクセス証明書及び割り当てられた内部IPアドレスをリンクするステップとを含む。
【0030】
ユーザの機器における好適な対応する機能に従って、本方法は、トンネルトラフィック内で内側IPアドレスとして受信した内部IPアドレスを、アクセス証明書及びユーザ機器側のセキュアトンネルにリンクするステップをさらに含む。
【0031】
上述の装置における好適な対応する機能に従って、本方法は、ユーザに対してサービス証明書を生成するステップをさらに含む。このステップは、サービスが要求されると、サービス単位で、ユーザに対してサービス証明書を生成するステップをさらに含んでもよい。
【0032】
サービスネットワークにおいてユーザから受信したアクセス証明書の有効性をチェックするステップは、認識された認証エンティティによりアクセス証明書が署名されていない場合にホームネットワークの認証サーバと通信するステップをさらに含むことが好ましい。
【0033】
これに対し、本発明に従って装置に付与される特定の構成によれば、本方法は、セキュアトンネルを管理するセキュアサービスエントリポイントと呼ばれる第1のデバイスが、ユーザに対してセッションのデータ、アクセス証明書及び割り当てられた内部IPアドレスをリンクするステップが実行されるシングルサインオンサーバ(N 42)と呼ばれる第2のデバイスと通信するステップをさらに含んでもよい。
【0034】
例示的な使用方法によれば、ユーザがローカルサービスまたは現在アクセスしているサービスネットワークとは異なるネットワーク上にある外部サービスにアクセスしている場合、本方法は、ユーザが既に認証されているか否かをチェックする手段をさらに含む。
【発明を実施するための最良の形態】
【0035】
本発明の特徴、目的及び利点については、添付の図面を参照しながら本明細書を読むことによりさらに明瞭に理解できるであろう。
【0036】
以下において、無線ローカルエリアネットワーク(WLAN)を介してアクセスする場合などのように、データ発信元認証を提供しないアクセスネットワークを介してユーザがアクセスする場合にも、ユーザがシングルサインオン(SSO)サービスを享受できるようにする装置、ユーザ機器及び方法の現時点で好適な実施形態を説明する。
【0037】
本発明は、ユーザ機器、訪問先のサービスネットワーク、及びデータ発信元認証を提供しないアクセスネットワークを介したユーザ端末と訪問先のサービスネットワークとの間のセキュアトンネルを確立するための手法について、いくつかの手法を提案する。なお、、訪問先のサービスネットワークは、ホームサービスネットワークであってもよい。
【0038】
本発明の第1の手法によると、コアネットワーク認証の処理中にユーザ端末側(N 10)がコアネットワーク(N 30)から認証またはアクセス証明書を取得し、かつ、ユーザ端末側(N 10)が、サービスネットワーク(N 40)に対する特定のセキュアトンネル(S−24)に認証またはアクセス証明書をリンクする新しい機構を具備する。ここで、サービスネットワークは、ホームサービスネットワークや訪問先のサービスネットワークであってもよい。明瞭かつ簡潔に説明するために、以下において、認証証明書またはアクセス証明書を「アクセス証明書」と呼ぶことにする。
【0039】
従って、図2及び図3に示されるように、認証自体は、拡張認証プロトコルフレームワーク(以下、EAPと称す。IETF RFC 2284に準拠する。)を使用してユーザ端末(N 10)とコアネットワーク(N 30)に位置する認証サーバ(N 31)との間で相互に実行される。しかしながら、アクセス認証は、アクセスネットワーク(N 20)における汎用アクセスサーバ(以下、GAS)(N 22)により実行される。拡張認証プロトコルは、認証フレームワークを提供する。認証フレームワークは、複数の認証機構をサポートする。現在に至るまで、EAPは、ポイント・ツー・ポイントプロトコル(PPP)を使用して、回線交換網またはダイヤルアップ回線を介して相互に接続するホスト及びルータにより実現されてきた。さらに、EAPは、例えばEAPメッセージがカプセル化される802.1X 2001等のIEEE802規格に準拠するスイッチによっても実現されてきた。
【0040】
EAPアーキテクチャの1つの利点は、その柔軟性にある。例えば、図1に示すようなネットワークアクセスサーバ(N 21)(一般にNASとして知られる)は、非ローカルのユーザに対してだけでなく、NASにおいてローカルに実現されていない認証方法についてのパススルーエンティティとして動作しつつ、同時に、ローカルのユーザを認証してもよい。ここで、ネットワークアクセスサーバ(N 21)は、PPPまたはIEEE802を使用するEAPを介して、ネットワークへのアクセス権が付与される前に認証を必要とするユーザ(N 11)に接続される。
【0041】
図2に示される現時点で好適な実施形態において、ユーザ(N 10)は、ネットワークへのアクセスを試みる。PPPまたはIEEE802に基づく接続(コネクション)(S 21)は、クライアントとアクセスネットワーク(N 20)のGAS(N 22)との間に確立される。GASは、「認証、許可及び課金」(以下、AAA)を行なうのに適切なプロトコル(S 22)を使用して、コアネットワーク(N 30)の認証サーバ(N 31)と通信することにより認証実行し、また、EAPメッセージに対するパススルーとして動作する。
【0042】
従来の適切なAAAプロトコル(S 12;S 22)は、リモート認証ダイヤルインユーザサービス(以下、RADIUS。IETF RFC 2865に準拠。)プロトコルでもよい。RADIUSプロトコルは、図1に示すように、ネットワークアクセスサーバ(NAS)(N 21;N 22)と認証サーバ(N 31)との間で認証、許可及び構成情報を伝送するために、クライアント/サーバモデルを使用する。通常、通信ネットワークに対する接続性を保証するプロバイダは、ユーザの識別情報を確認するためにRADIUSを使用する。従って、ユーザが周知の電話番号にダイヤルすることで、両側のモデム、すなわちユーザ及び接続性プロバイダが接続を確立する。サーバ側のモデムは、ネットワークアクセスサーバ(NAS)に接続される。NASは、ログイン名及びパスワードを要求する(S 11)ことにより、ネットワークへのアクセス権を付与する前にユーザの認証を要求する。ネットワークアクセスサーバ(NAS)(N 21;N 22)は、ネットワークを介してRADIUSサーバ(N 31)と通信し、ユーザを認証するために、RADIUSプロトコルを使用する。RADIUSサーバ(N 31)は、ログイン名及びパスワードなど、NASから転送されたユーザに関する情報を収集する。認証処理は、RADIUSサーバがNASに多数のチャレンジを送信することを要求してもよいし、要求しなくてもよい。ユーザは、NASに対して応答できる必要がある。認証処理の結果、RADUISサーバ(N 31)は、ユーザ(N 10;N 11)がネットワークへのアクセスを許可されたか否かをNAS(N 21;N 22)に対して示す。使用するのに適切な別のAAAプロトコルは、RADIUSの進化型であるDIAMETERでもよい。
【0043】
図2に示されるように、EAP認証は、アクセスネットワーク(N 20)の汎用アクセスサーバ(N 22)を介して、ユーザ(N 10)と認証サーバ(N 31)との間で相互に実行される(S 23)。例えば、汎用アクセスサーバ(N 22)は、図1のネットワークアクセスサーバ(N 21)でもよい。
【0044】
図2に示されるこのEAP認証の処理中、1つ以上のアクセス証明書が、ユーザ(N 10)とホームネットワーク(N 30)との間、またはさらに一般的には、ユーザとコアネットワークとの間で、配布されるかまたは同意される。この時、ユーザを認証するコアネットワークがホームネットワークであるかまたは訪問先のネットワークであるかは関係ない。
【0045】
これらのアクセス証明書は、ユーザ(N 10)とホームネットワークまたは訪問先のネットワークであるサービスネットワーク(N 40)との間にセキュアトンネル(S 24)を設定するためにも使用される。本発明に係る第1の面が目的としているように、このセキュアトンネル(S 24)、すなわち、セキュア通信チャネルは、少なくともデータ発信元認証またはそれと同等の機能を提供する必要がある。
【0046】
アクセス証明書の配布処理や同意処理についての機構は、セキュアトンネルにリンクまたは関連付けるために適正に使用されるため、本発明の目的を達成する上でも適切な機構といえるだろう。
【0047】
しかしながら、現時点で好適な実施形態によれば、図3が示すように、本発明の目的を達成する上で適切な、一時的な証明書を取得するための新しい機構が提供される。
【0048】
このシーケンス図において、認証チャレンジがユーザ端末側(N 10)で受信されると、認証応答を生成することに加え、1組の公開鍵及び秘密鍵が生成される。秘密鍵の所有権を証明するデジタル署名に加え、公開鍵が、認証応答とともにコアネットワークの認証サーバ(N 31)へ送信される。
【0049】
ユーザの認証が成功すると、受信したデジタル署名がチェックされる。デジタル署名が適正なものである場合、一時的なデジタル証明書がユーザの公開鍵に対して生成される。この証明書は、認証の成功を示すメッセージとともに、認証サーバ(N 31)からユーザの端末側(N 10)に返信される。
【0050】
図示しないが、ユーザの端末側(N 10)は、1組の公開鍵及び秘密鍵を生成する代わりに、認証チャレンジの応答とともに送信されるべきデジタル証明書の要求を生成してもよい。
【0051】
本発明の第1の面によれば、好適な本実施形態の利点またはその他の利点により一時的なデジタル証明書が取得されるが、これは、ユーザの端末側でセキュアトンネルとリンクされるアクセス証明書の一種である。
【0052】
しかし、本発明の目的に対して有効なコアネットワークからアクセス証明書を取得するために、他の機構が使用されてもよい。図2の好適な実施形態に示される1つの例によれば、上述した一時的な証明書のようなアクセス証明書が認証サーバ(N 31)からユーザ端末(N 10)に配布されるが、アクセス証明書は別の証明書プロバイダ(N 32)から取得されてもよい。別の例においては、認証サーバ(N 31)自体がそのようなアクセス証明書を生成する。認証サーバ(N 31)または証明書プロバイダ(N 32)が、アクセス証明書に電子署名してもよい。他の実施形態においては、いくつかの暗号データが認証サーバ(N 31)及びユーザ機器(N 10)において取得され、その後、それらの暗号データがアクセス証明書として使用されてもよい。最後の例の場合、アクセス証明書を認証サーバからユーザに対して配布する必要はないため、その結果、アクセス証明書は、コアネットワーク(N 30)により署名されることはないだろう。
【0053】
図2に戻ると、アクセス認証を実行している間にコアネットワーク(N 30)から取得されたアクセス証明書は、ユーザ(N 10)とホームサービスネットワークまたは訪問先のサービスネットワーク(N 40)のエンティティ(N 41)との間にセキュアトンネル(S 24)を設定するために使用される。本明細書においては、エンティティ(N 41)をセキュアサービスエントリポイント(以下、SSEP)と呼ぶ。アクセス証明書がコアネットワークにより署名されない場合、SSEP(N 41)と認証サーバ(N 31)との間に通信チャネル(S 25)が必要とされる。それにより、ユーザ(N 10)により提供されたアクセス証明書を受入れ可能であるかを、SSEPが認証サーバに確認できることが好ましい。これに対し、アクセス証明書が署名される場合、SSEP(N 41)は、認証サーバ(N 31)または証明書プロバイダ(N 32)により署名された有効なアクセス証明書として、それらアクセス証明書を受け入れるように構成されるのが好ましい。いずれの場合においても、ユーザ端末(N 10)とSSEP(N 41)との間のセキュア通信チャネル(S 24)は、少なくともデータ発信元認証を提供する必要がある。このように、このセキュア通信チャネルを介して受信された全てのトラフィックは、要求したユーザからのものであり、ユーザのふりをした攻撃者からのものではないとみなすことができる。
【0054】
本発明に係る第2の面によれば、ユーザに関連するセッション情報を保持し、そのセッション情報をセキュアトンネルの確立及び切断にリンクさせる新しい機構が、ホームサービスネットワークまたは訪問先のサービスネットワークのエンティティにおいて提供される。現時点で好適な実施形態において、このエンティティは、上述したセキュアサービスエントリポイント(SSEP)と協働するシングルサインオン(SSO)サーバ(N 42)であることが好ましいが、いずれか一方であってもよい。このように、ユーザ端末(N 10)がセキュア通信チャネル(S 24)を介してサービスにアクセスしようとする(S 24)場合、ユーザにシングルサインオンをサポートするために、ユーザ端末(N 10)から、サービス自体から、またはこの目的のためにサービスと協働するエンティティから、SSOサーバ(N 42)にサービス証明書が要求される。SSOサーバ(N 42)は、ユーザ端末(N 10)に対するサービス証明書の要求が確かにサービスにアクセスするためのユーザの試みからのものであり、ユーザのふりをした攻撃者からのものではないという保証を有する。従って、SSOサーバ(N 42)は、追加の認証を実行することなく、要求されたサービス証明書を要求者に提供できる。
【0055】
図2をさらに参照すると、トンネルトラフィックにおいて使用されるように、IPアドレスをユーザに割り当てるために、SSEPは、SSOサーバ(N 42)と情報を交換する(S 26)。このIPアドレスは、サービスネットワークにより処理されるIPアドレスのプールに含まれていてもよい。その後、SSEP(N 41)は、ユーザ(N 10)がセッションを確立したことを、SSOサーバ(N 42)に知らせる。
【0056】
これが達成されると、すなわち、ユーザに割り当てられたIPアドレスがユーザアクセス証明書及び対応するセッション情報にリンクされると、SSOサーバ(N 42)は、内部IPアドレスとともに受信したサービス証明書に対する要求が確かに対応するユーザからのものであるということを保証できる。
【0057】
図示しないが、ユーザが訪問先のサービスネットワークとのセキュア通信チャネルを確立した場合、SSOサーバは、ユーザを管理する識別プロバイダ(IdP)、すなわち、IdPの役割を果たすホームサービスネットワークのエンティティとのさらなる連携動作を必要とする。簡単にするため、以下の説明においては、IdPの役割を果たすホームサービスネットワークにユーザ端末が接続されていると仮定する。
【0058】
この段階で、ユーザは、データ発信元認証を提供できないアクセスネットワークを介してアクセスしている場合においても、ユーザの都合のいい時にシングルサインオン(SSO)サービスを楽しむことができる。特に、ユーザ端末(N 10)は、以下に説明する現時点で好適な各実施形態に従って、上述した任意のビジネスモデルの下で、すなわちウォールドガーデンモデルまたは連携型シングルサインオンモデルの下で動作してもよい。
【0059】
第1の実施形態において、図4に示されるウォールドガーデンの場合、ユーザがHTTPローカルサービス(N 44)にアクセスする時、中間ノード(N 43)は、HTTPローカルサービスへのアクセスを傍受して阻止する(S 30,S 29)。この中間ノード(N 43)は、ユーザが既に認証されているか否かをSSOサーバ(N 42)に問い合わせる(S 28)。中間ノード(N 43)は、汎用ファイアウォールがこの目的のために構成されてもよいが、HTTPプロキシであることが好ましいだろう。この場合にユーザを識別するための擬似識別は、データ発信元認証を保証可能な事前に割り当てられたIPアドレスである。そのような問合せを受信するSSOサーバ(N 42)は、IPアドレスのタグが付けられた使用可能なセッションが存在することをチェックし、確認応答またはサービス証明書を、中間ノードであるHTTPプロキシ(N 43)に送信する。サービス証明書は、HTTPローカルサービス(N 44)に対するユーザ端末(N 10)のアクセスを許可し、任意で、ユーザ端末のブラウザにクッキーを割り当てる。クッキーが提供された場合、HTTPサービスに対して次の要求があった時、SSOサーバ(N 42)に確認することなく、ユーザ端末(N 10)を認識するために、このクッキーが使用されうる。
【0060】
第2の実施形態において、図5に示されるウォールドガーデンの場合、ユーザが非HTTPサービス(N 45)にアクセスする時、または、一般的には、ユーザが上述のHTTPプロキシを必要としないローカルサービス(N 45)にアクセスする時、ローカルサービス(N 45)は、恐らくSSEP(N 41)を介して、ユーザ端末側(N 10)から直接アクセスされてもよい(S 24,S 31)。要求されたローカルサービス(N 45)は、事前に割り当てられたIPアドレスを擬似識別情報として使用し、ユーザが既に認証されているかをSSOサーバ(N 42)に直接問い合わせる(S 32)。そのような問合せを受信するSSOサーバ(N 42)は、IPアドレスによりタグ付けされた使用可能なセッションが存在することをチェックし、ユーザ(N 10)のアクセスを許可するために、確認応答またはサービス証明書をローカルサービス(N 45)に送信する。
【0061】
第3の実施形態において、図6に示される連携型SSOの場合、ユーザ(N 10)は、外部サービス(N 51)へのアクセスを試み、LAPプロトコルに従って、ユーザのブラウザ(N 10)は、サードパーティSP(N 51)、すなわち外部サービスにリダイレクトされる(S 30,S 33)。サードパーティSP(N 51)は、ユーザがアクセス証明書を提供した時に事前に割り当てられたIPアドレスを使用して、SSOサーバ(N 42)にサービスの許可を要求する(S 33、S 28)。SSOサーバ(N 42)は、SSO条件の下、当該IPアドレスを擬似識別情報として割り当てられているユーザについて、認証及び許可状態をチェックし、その後、要求したサードパーティSPにサインオンするために使用できるサービス証明書を返信する。SSOサーバは、上述した第1の実施形態と同様に、クッキーを割り当ててもよい。
【0062】
最後に、ユーザ端末がセキュアトンネルを切断する場合、SSEPは、内部IPアドレスの割り当てを解除しかつSSOサーバのユーザ関連セッション情報を削除するために、SSOサーバと通信する。
【0063】
例示的かつ非限定的な手法で、いくつかの実施形態に関連して本発明を説明してきた。上述した説明に鑑みて、これらの実施形態の変形したり変更したりすることは可能であり、これらは特許請求の範囲に含まれることが意図されている。
【図面の簡単な説明】
【0064】
【図1】図1は、拡張認証プロトコルに基づくアクセス制御に対する周知のアーキテクチャの基本的な概略を示す図である。
【図2】図2は、ユーザがユーザのホームネットワークにより認証され、データ発信元認証を提供しないアクセスネットワークを介して、アクセス認証を再利用するサービスネットワークにさらにアクセスしている時に関わるエンティティ及びインタフェースに焦点を当て、アーキテクチャ及びインタフェースの一例の概略を示す図である。
【図3】図3は、ユーザがユーザのホームコアネットワークにより認証された結果、アクセス証明書を取得する現時点で好適な実施形態を説明するシーケンス図である。
【図4】図4は、ユーザがローカルHTTPサービスにアクセスする時の好適な動作に焦点を当て、図2に示されるアーキテクチャ及びインタフェースの第1の概略を示す図である。
【図5】図5は、ユーザがローカル非HTTPサービスにアクセスするか、あるいは、HTTPプロキシまたはファイアウォール等の任意の仲介エンティティの援助なしでローカルHTTPサービスにアクセスしている時の好適な動作に焦点を当て、図2に示されるアーキテクチャ及びインタフェースの第2の概略を示す図である。
【図6】図6は、ユーザが現在アクセスしているサービスネットワークとは異なるネットワーク上の外部サービスにアクセスしている時の好適な動作に焦点を当て、図2に示されるアーキテクチャ及びインタフェースの第3の概略を示す図である。
【技術分野】
【0001】
本発明は、一般に、信用されていないアクセスネットワークを介してサービスネットワークにアクセスする複数のユーザに対するシングルサインオンサービスに関する。特に、本発明は、アクセスネットワークがデータ発信元認証を提供しないときにシングルサインオン認証を行なう通信装置、ユーザ機器及び方法に関する。
【背景技術】
【0002】
シングルサインオン(以下、SSO)は、特定の異なるサービスごとに明示的にユーザを認証することなく、これらの異なるサービスに対するユーザのアクセスを許可する新しい原理である。この原理の基礎は、ユーザがある認証プロバイダ(以下、アイデンティティ・プロバイダ:IdP)エンティティにおいて1度認証されれば、その認証結果が他のサービスまたはサービスプロバイダ(SP)への入口に対しても有効となる。換言すると、SSOの目的は、毎回、認証及び許可を受けることなく、ユーザが異なるサービスやアプリーションに安全にアクセスできるようにすることである。
【0003】
基本的には、SSOをサポートする2つの方法が存在する。すなわち、いわゆる端末中心手法といわゆるネットワーク中心手法である。
【0004】
端末中心手法の場合、ユーザの端末は、異なるサービスにアクセスするのに必要な異なる複数の認証機構をサポートする。例えば、端末は、ユーザの代わりに異なる複数のパスワードを格納する。この点で、この方法は、ユーザまたは端末側が、異なる複数の認証機構をサポートしていなければならない。さらに、ユーザは、サービスプロバイダ(SP)の役割を果たす全てのエンティティにユーザ自身を登録する必要がある。そのため、全てのエンティティは、例えば、ユーザ識別及びパスワード、メール配信のためのアドレス、連絡先情報、支払い方法等のユーザに関する必要な情報を有している。
【0005】
ネットワーク中心手法の場合、ユーザは、そのユーザに対する識別プロバイダ(IdP)の役割を果たす1つの中央エンティティに対してのみ認証される。ユーザが所与のサービスにアクセスしたい場合、対応するサービスプロバイダ(SP)は、新しい認証を必要としない。その代わり、サービスプロバイダ(SP)は、識別プロバイダ(IdP)から1つ以上のサービス証明書が提供される。サービス証明書は、ユーザが認証されていることを示し、かつ、ユーザに関する必要な情報を提供するものである。当然、この機構は、SPとIdPとの間のビジネス関係を必要とする。
【0006】
特別な例は、例えばモバイルネットワークオペレータ(以下、MNO)等、同一のエンティティがアクセス認証を制御するとともに、IdPの役割を果たす場合である。例えば、ユーザは、汎用パケット無線サービス(GPRS)認証または回線交換認証等の際に、ネットワークにアクセスするため、コアネットワーク(CN)に対して認証を実行する。IdPがCNからその情報を取得する手段を有する場合、IdPがCNによる認証を信用することできるため、IdPに対する新しい認証は必要ない。
【0007】
この特別な例において、ユーザがアクセスする時に経由するアクセスネットワークがデータ発信元認証を提供する場合、識別プロバイダ(IdP)は、コアネットワーク(CN)認証のみを信頼する。例えば、これは、ユーザがGPRSアクセスネットワークを介してアクセスする場合である。
【0008】
この説明において、データ発信元認証は、アクセスネットワークから受信した任意のデータに対して、発信元がどこであっても、そのデータの要求発信元が信頼できると考えられることを意味する。
【特許文献1】米国特許第6,253,327号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
しかし、無線ローカルエリアネットワーク(WLAN)等の他のアクセスネットワークがデータ発信元認証を提供しない。そのため、ネットワークにアクセスした時に実行された最初の認証をSSO認証の目的のためには再利用できない。換言すると、SSOのためにアクセス認証は再利用できない。
【0010】
従来、モバイルの世界において、SSOの原理は、ユーザがコアネットワーク(CN)認証を実行すると、シングルサインオン(SSO)のサポートによって、さらなる明確な認証を行なうことなく、ユーザが種々のネットワークのサービスにアクセスすることができた。この原理において、ユーザが加入しているホームネットワークは、そのようなユーザに対してIdPの役割を果たす。一般に、ユーザは、ユーザが加入しているユーザのホームコアネットワーク、またはユーザがローミングしている訪問先のコアネットワークにより認証されてもよい。簡単にするために、ユーザを認証したネットワークがホームネットワークかまたは訪問先のネットワークかに関わらず、本明細書ではコアネットワーク認証と呼ぶことにする。この説明において、データ発信元認証が保証されているものとする。すなわち、モバイルネットワークオペレータのコアネットワーク(CN)が信頼できるネットワークであり、そのため、CNにより割り当てられたIPアドレスを有する移動局(あるいは、ユーザ機器またはユーザ端末側)は、その信頼されたIPアドレスを介して識別されるからである。よって、移動局からの任意のデータは、信頼できるものと判断される。さらに、IPアドレスがユーザの移動局に割り当てられている間、当該IPアドレスはユーザの擬似識別として使用される。この原理は、移動加入者ディレクトリ番号(以下、MSISDN)等の他のユーザの識別を取得するために、SSO方法において使用される。
【0011】
現在、シングルサインオンに関して、2つの主なビジネスモデルが存在する。第1のモデルは、いわゆるウォールドガーデン(Walled Garden)SSOである。本明細書ではローカルサービスと呼ばれるSSOを提供する同一のエンティティにより提供されるサービスに対するSSOの使用法をこのように呼ぶことにする。このビジネスモデルをサポートするための公開された仕様書または標準技術は存在しない。
【0012】
第2のモデルは、いわゆる連携型(Federated)SSOである。このモデルにおいて、SSOサービスは識別プロバイダ(IdP)により提供される。また、本明細書では外部サービスと呼ばれるサービスが1つ以上のサービスプロバイダ(SP)により提供されるものとする。シングルサインオン認証業界団体(LAP:Liberty Alliance Project)として知られる業界フォーラムは、いわゆる連携型SSOをサポートするためのプロトコル一式を開発した。LAPは、特定の認証機構を指定してはいない。LAPは、認証結果を、識別プロバイダ(IdP)からサービスプロバイダ(SP)に転送することを指定している。そして、LAPは、サービスプロバイダ(SP)がエンドユーザにサービスを供給する方法を指定している。しかし、LAPは、ユーザが非信頼アクセスネットワークを介してアクセスしている時のIdPの動作方法については提案していない。
【0013】
シングルサインオン(SSO)に対して上述のようなウォールドガーデンSSO及び連携型SSOを使用する場合において、モバイルネットワークオペレータ(MNO)が、コアネットワーク(CN)の認証プロバイダとSSOの識別プロバイダ(IdP)との双方の役割を果たす。アクセスネットワークがデータ発信元認証を提供するという条件の下では、ユーザがアクセス認証を実行すると、新しい認証処理を行なうことなく、多数のサービスへのアクセスが可能となるSSOが利用可能となる。
【0014】
例えば、アクセスネットワークがGPRSネットワークであるという条件の下では、GPRS認証が正常に実行されると、識別プロバイダ(IdP)の役割を果たすエンティティは、あるIPアドレスを有するユーザから受信したサービス証明書の要求がIPスプーフィングを実行する攻撃者からのものではなく、確かにそのユーザからのものであるという保証をする。従って、IdPは、追加の認証を実行せずに、要求されたサービス証明書をユーザに対して提供できる。この好適な例に従って、米国特許第6,253,327号は、ネットワークにより1度認証されたIPアドレスをユーザに割り当て、それにより、ユーザが公衆ネットワークエリアまたは専用ネットワークエリアにアクセスする際のさらなる認証の必要をなくす装置及び方法を開示している。ここで、そのIPアドレスは、取り決められたポイント・ツー・ポイントプロトコルセッションを介して認証された証明として使用される。ポイント・ツー・ポイントプロトコルセッションが許可するようなデータ発信元認証をアクセスネットワークが提供するのであれば、これは好ましい解決策である。
【0015】
しかし、当該技術の現在の状況においては、ユーザを識別するための所与のIPアドレスが、モバイルネットワークオペレータ(MNO)の制御下になく、IPスプーフィングを実行する攻撃者により使用されている恐れがある。そのため、アクセスネットワークがデータ発信元認証を提供しない場合、シングルサインオン認証に対する安全策が欠けていることになる。この点において、米国特許第6,571,289号に示されるように、アクセスネットワークから専用ネットワークへの直接アクセスを回避するために、セキュアゲートウェイを介するトンネリング機構を使用してまう場合、アクセスネットワークがデータ発信元認証を提供しない時は有用でないし、また、IPスプーフィングを実行する攻撃者からの命令を排除できない。ちなみに、セキュアゲートウェイは、専用ネットワークにアクセスするユーザを認証し、さらに、専用ネットワークのネットワークエンティティに対するIPアドレスを削除し、要求の発信元を、対応する応答の送信先に関連付ける処理を行なうものである。
【0016】
従って、本発明は、この課題を克服するものであり、WLAN等のデータ発信元認証を提供できないアクセスネットワークを介したアクセスを提供するモバイルネットワークオペレータ(MNO)が、SSOに対して最初のアクセス認証を再利用できるようにすることを目的とする。さらに、本発明は、少なくともネットワーク中心手法の下、この課題を克服することに対処する。
【課題を解決するための手段】
【0017】
本発明によると、上述の目的は、請求項1の装置、請求項14のユーザの機器、及び請求項18の方法によって達成される。これらは、コアネットワークに対して実行された最初のアクセス認証を再利用することにより、データ発信元認証を提供しないアクセスネットワークを介してサービスネットワークにアクセスしているユーザに対して、シングルサインオンサービスを提供するものである。装置、ユーザの機器及び方法は、発明に関する単一の概念を形成する。
【0018】
本発明に係る装置は、データ発信元認証を提供しないアクセスネットワークを介して、通信サービスネットワークにおけるシングルサインオンサービスの要求をユーザから受信するように構成される。一方で、ユーザは、コアネットワークにより認証された結果、アクセス証明書を受信する。本装置は:
アクセスネットワークにより割り当てられた外部(アウター)IPアドレスを使用することにより、アクセスネットワークを介してユーザとのセキュアトンネルを確立する手段と;
セキュアトンネルが確立している間、ユーザから受信したアクセス証明書の有効性をチェックする手段と;
アクセス証明書の有効性チェックが成功すると、ユーザとの有効セッションを確立する手段と;
セキュアトンネル内で内側(インナー)IPアドレスとして使用される内部(インターナル)IPアドレスを割り当てる手段と;
ユーザに対して、セッションのデータ、アクセス証明書及び割り当てられた内部IPアドレスをリンクさせる(関連付ける)手段とを具備する。
【0019】
本装置は、特定の許可証明を必要とするあるサービスにアクセスするユーザが使用可能なサービス証明書を生成する手段により構成されることが好ましい。さらに、この手段は、サービスが要求されると、サービス単位で、ユーザに対してサービス証明書を生成するように構成される。
【0020】
サービスネットワークに提供されたアクセス証明書が署名されるかまたは署名されない可能性があると仮定する。装置には、ホームネットワークの認証サーバと通信する手段が提供されることが好ましい。これは、認識された認証エンティティによりアクセス証明書が署名されないときに、ユーザから受信したアクセス証明書の有効性をチェックするためである。
【0021】
装置は、異なる構成要素により好適に実現されてもよい。すなわち、本装置において、ユーザとのセキュアトンネルを確立する手段が、セキュアサービスエントリポイントと呼ばれる第1のデバイスに含まれ、ユーザに対して、セッションのデータ、アクセス証明書及び割り当てられた内部IPアドレスをリンクさせる手段が、シングルサインオンサーバと呼ばれる第2のデバイスに含まれる。このような手法の下で、本装置は、第1のデバイスと第2のデバイス、すなわち、セキュアサービスエントリポイントとシングルサインオンサーバとが通信する手段をさらに具備する。
【0022】
これに対し、ユーザがアクセスするサービスネットワークが、ユーザが加入しているホームネットワークとは異なる可能性があると仮定する。本発明に係る装置は、ホームネットワークのユーザを管理する認証プロバイダとの別の連携手段を具備するのが好ましい。別の連携手段は、セキュアサービスエントリポイントに配置されてもよいが、シングルサインオンサーバに配置されるのが好ましいだろう。
【0023】
動作中、ユーザがローカルHTTPサービスまたは現在アクセスしているサービスネットワークとは異なるネットワーク上の外部サービスにアクセスしているときなど、好適な使用例の場合、本装置は、ユーザが既に認証されているか否かをチェックする手段を含む。従って、本装置は、HTTPローカルサービスまたは外部ネットワーク上の外部(エクスターナル)サービスへのユーザのアクセスをインターセプト(傍受して阻止)するように構成された仲介エンティティと通信する手段が提供されてもよい。特に、この仲介エンティティは、HTTPプロキシでもよく、またはこの目的のために構成される汎用ファイアウォールでもよい。
【0024】
ユーザが非HTTPローカルサービスにアクセスしているときの他の好適な使用例において、本装置は、ユーザが既に認証されているか否かをチェックする手段をさらに含む。しかし、この手法の下では、このチェックする手段がサービスと装置自体との間で共用されるため、ユーザとサービスとの間に仲介エンティティを介在させることは、重要な利点とはならない可能性がある。なお、HTTPサービスであるかまたは非HTTPサービスであるかは、仲介エンティティを有することの利点または欠点を議論するためではなく、むしろ、本発明に係る装置と互換性を有する他の構成を示しているにすぎない。
【0025】
本発明に係るユーザ機器は、コアネットワークに対して認証処理を実行するように構成され、データ発信元認証を提供しないアクセスネットワークを介して、サービスネットワークとのセキュアトンネルを確立する手段を含む。セキュアトンネルは、アクセスネットワークにより割り当てられた外部IPアドレスを使用する。ユーザ機器は:
コアネットワークにより認証された結果、アクセス証明書を取得する手段と;
アクセス証明書をセキュアトンネルにリンクさせる手段とを具備する。
【0026】
ユーザ機器は、トンネルトラフィック内で内側IPアドレスとして受信した内部IPアドレスをアクセス証明書及びセキュアトンネルにリンクさせる手段を含む。このように、特定のサービスへのさらなるアクセスする際に、特定のサービスに直接アクセスするための擬似識別として、既に割り当てられているIPアドレスをユーザ機器が使用してもよい。
【0027】
アクセス証明書を取得するために異なる機構が使用されてもよいが、ユーザ機器を提供することにより、さらなるセキュリティ上の利点が得られると考えられる。アクセス証明書を取得する手段は:
コアネットワークから認証チャレンジを受信する手段と;
認証応答を生成しかつコアネットワークに返信する手段と;
1組の公開鍵及び秘密鍵を生成する手段と;
秘密鍵の所有権を証明するデジタル署名とともに公開鍵をコアネットワークに対して送信する手段とを含む。
【0028】
あるいは、簡易化されたユーザ機器及びコアネットワークにおいて、ユーザ機器でアクセス証明書を取得する手段は:
コアネットワークから認証チャレンジを受信する手段と;
認証応答を生成しかつコアネットワークに返信する手段と;
コアネットワークから取得可能なデジタル証明書を要求する手段とを含む。
【0029】
本発明によると、通信サービスネットワークおいて、コアネットワークにより認証されかつデータ発信元認証を提供できないアクセスネットワークを介してサービスネットワークにアクセスするユーザに対して、シングルサインオンサービスをサポートする方法がさらに提供される。本方法は:
コアネットワークにより認証された結果、アクセス証明書をユーザ機器側に提供するステップと;
アクセスネットワークにより割り当てられた外部IPアドレスを使用することにより、アクセスネットワークを介して、サービスネットワークのエンティティとユーザ機器側との間にセキュアトンネルを確立するステップと;
ユーザ機器側で、アクセス証明書をセキュアトンネルにリンクするステップと;
セキュアトンネルが確立している間、サービスネットワークにおいてユーザ機器側から受信したアクセス証明書の有効性をチェックするステップと;
アクセス証明書の有効性チェックが成功した際に、ユーザとの有効セッションを確立するステップと;
サービスネットワークにおいて、トンネルトラフィック内で内側IPアドレスとして使用されるユーザに対する内部IPアドレスを割り当てるステップと;
サービスネットワークのエンティティにおいて、ユーザに対して、セッションのデータ、アクセス証明書及び割り当てられた内部IPアドレスをリンクするステップとを含む。
【0030】
ユーザの機器における好適な対応する機能に従って、本方法は、トンネルトラフィック内で内側IPアドレスとして受信した内部IPアドレスを、アクセス証明書及びユーザ機器側のセキュアトンネルにリンクするステップをさらに含む。
【0031】
上述の装置における好適な対応する機能に従って、本方法は、ユーザに対してサービス証明書を生成するステップをさらに含む。このステップは、サービスが要求されると、サービス単位で、ユーザに対してサービス証明書を生成するステップをさらに含んでもよい。
【0032】
サービスネットワークにおいてユーザから受信したアクセス証明書の有効性をチェックするステップは、認識された認証エンティティによりアクセス証明書が署名されていない場合にホームネットワークの認証サーバと通信するステップをさらに含むことが好ましい。
【0033】
これに対し、本発明に従って装置に付与される特定の構成によれば、本方法は、セキュアトンネルを管理するセキュアサービスエントリポイントと呼ばれる第1のデバイスが、ユーザに対してセッションのデータ、アクセス証明書及び割り当てられた内部IPアドレスをリンクするステップが実行されるシングルサインオンサーバ(N 42)と呼ばれる第2のデバイスと通信するステップをさらに含んでもよい。
【0034】
例示的な使用方法によれば、ユーザがローカルサービスまたは現在アクセスしているサービスネットワークとは異なるネットワーク上にある外部サービスにアクセスしている場合、本方法は、ユーザが既に認証されているか否かをチェックする手段をさらに含む。
【発明を実施するための最良の形態】
【0035】
本発明の特徴、目的及び利点については、添付の図面を参照しながら本明細書を読むことによりさらに明瞭に理解できるであろう。
【0036】
以下において、無線ローカルエリアネットワーク(WLAN)を介してアクセスする場合などのように、データ発信元認証を提供しないアクセスネットワークを介してユーザがアクセスする場合にも、ユーザがシングルサインオン(SSO)サービスを享受できるようにする装置、ユーザ機器及び方法の現時点で好適な実施形態を説明する。
【0037】
本発明は、ユーザ機器、訪問先のサービスネットワーク、及びデータ発信元認証を提供しないアクセスネットワークを介したユーザ端末と訪問先のサービスネットワークとの間のセキュアトンネルを確立するための手法について、いくつかの手法を提案する。なお、、訪問先のサービスネットワークは、ホームサービスネットワークであってもよい。
【0038】
本発明の第1の手法によると、コアネットワーク認証の処理中にユーザ端末側(N 10)がコアネットワーク(N 30)から認証またはアクセス証明書を取得し、かつ、ユーザ端末側(N 10)が、サービスネットワーク(N 40)に対する特定のセキュアトンネル(S−24)に認証またはアクセス証明書をリンクする新しい機構を具備する。ここで、サービスネットワークは、ホームサービスネットワークや訪問先のサービスネットワークであってもよい。明瞭かつ簡潔に説明するために、以下において、認証証明書またはアクセス証明書を「アクセス証明書」と呼ぶことにする。
【0039】
従って、図2及び図3に示されるように、認証自体は、拡張認証プロトコルフレームワーク(以下、EAPと称す。IETF RFC 2284に準拠する。)を使用してユーザ端末(N 10)とコアネットワーク(N 30)に位置する認証サーバ(N 31)との間で相互に実行される。しかしながら、アクセス認証は、アクセスネットワーク(N 20)における汎用アクセスサーバ(以下、GAS)(N 22)により実行される。拡張認証プロトコルは、認証フレームワークを提供する。認証フレームワークは、複数の認証機構をサポートする。現在に至るまで、EAPは、ポイント・ツー・ポイントプロトコル(PPP)を使用して、回線交換網またはダイヤルアップ回線を介して相互に接続するホスト及びルータにより実現されてきた。さらに、EAPは、例えばEAPメッセージがカプセル化される802.1X 2001等のIEEE802規格に準拠するスイッチによっても実現されてきた。
【0040】
EAPアーキテクチャの1つの利点は、その柔軟性にある。例えば、図1に示すようなネットワークアクセスサーバ(N 21)(一般にNASとして知られる)は、非ローカルのユーザに対してだけでなく、NASにおいてローカルに実現されていない認証方法についてのパススルーエンティティとして動作しつつ、同時に、ローカルのユーザを認証してもよい。ここで、ネットワークアクセスサーバ(N 21)は、PPPまたはIEEE802を使用するEAPを介して、ネットワークへのアクセス権が付与される前に認証を必要とするユーザ(N 11)に接続される。
【0041】
図2に示される現時点で好適な実施形態において、ユーザ(N 10)は、ネットワークへのアクセスを試みる。PPPまたはIEEE802に基づく接続(コネクション)(S 21)は、クライアントとアクセスネットワーク(N 20)のGAS(N 22)との間に確立される。GASは、「認証、許可及び課金」(以下、AAA)を行なうのに適切なプロトコル(S 22)を使用して、コアネットワーク(N 30)の認証サーバ(N 31)と通信することにより認証実行し、また、EAPメッセージに対するパススルーとして動作する。
【0042】
従来の適切なAAAプロトコル(S 12;S 22)は、リモート認証ダイヤルインユーザサービス(以下、RADIUS。IETF RFC 2865に準拠。)プロトコルでもよい。RADIUSプロトコルは、図1に示すように、ネットワークアクセスサーバ(NAS)(N 21;N 22)と認証サーバ(N 31)との間で認証、許可及び構成情報を伝送するために、クライアント/サーバモデルを使用する。通常、通信ネットワークに対する接続性を保証するプロバイダは、ユーザの識別情報を確認するためにRADIUSを使用する。従って、ユーザが周知の電話番号にダイヤルすることで、両側のモデム、すなわちユーザ及び接続性プロバイダが接続を確立する。サーバ側のモデムは、ネットワークアクセスサーバ(NAS)に接続される。NASは、ログイン名及びパスワードを要求する(S 11)ことにより、ネットワークへのアクセス権を付与する前にユーザの認証を要求する。ネットワークアクセスサーバ(NAS)(N 21;N 22)は、ネットワークを介してRADIUSサーバ(N 31)と通信し、ユーザを認証するために、RADIUSプロトコルを使用する。RADIUSサーバ(N 31)は、ログイン名及びパスワードなど、NASから転送されたユーザに関する情報を収集する。認証処理は、RADIUSサーバがNASに多数のチャレンジを送信することを要求してもよいし、要求しなくてもよい。ユーザは、NASに対して応答できる必要がある。認証処理の結果、RADUISサーバ(N 31)は、ユーザ(N 10;N 11)がネットワークへのアクセスを許可されたか否かをNAS(N 21;N 22)に対して示す。使用するのに適切な別のAAAプロトコルは、RADIUSの進化型であるDIAMETERでもよい。
【0043】
図2に示されるように、EAP認証は、アクセスネットワーク(N 20)の汎用アクセスサーバ(N 22)を介して、ユーザ(N 10)と認証サーバ(N 31)との間で相互に実行される(S 23)。例えば、汎用アクセスサーバ(N 22)は、図1のネットワークアクセスサーバ(N 21)でもよい。
【0044】
図2に示されるこのEAP認証の処理中、1つ以上のアクセス証明書が、ユーザ(N 10)とホームネットワーク(N 30)との間、またはさらに一般的には、ユーザとコアネットワークとの間で、配布されるかまたは同意される。この時、ユーザを認証するコアネットワークがホームネットワークであるかまたは訪問先のネットワークであるかは関係ない。
【0045】
これらのアクセス証明書は、ユーザ(N 10)とホームネットワークまたは訪問先のネットワークであるサービスネットワーク(N 40)との間にセキュアトンネル(S 24)を設定するためにも使用される。本発明に係る第1の面が目的としているように、このセキュアトンネル(S 24)、すなわち、セキュア通信チャネルは、少なくともデータ発信元認証またはそれと同等の機能を提供する必要がある。
【0046】
アクセス証明書の配布処理や同意処理についての機構は、セキュアトンネルにリンクまたは関連付けるために適正に使用されるため、本発明の目的を達成する上でも適切な機構といえるだろう。
【0047】
しかしながら、現時点で好適な実施形態によれば、図3が示すように、本発明の目的を達成する上で適切な、一時的な証明書を取得するための新しい機構が提供される。
【0048】
このシーケンス図において、認証チャレンジがユーザ端末側(N 10)で受信されると、認証応答を生成することに加え、1組の公開鍵及び秘密鍵が生成される。秘密鍵の所有権を証明するデジタル署名に加え、公開鍵が、認証応答とともにコアネットワークの認証サーバ(N 31)へ送信される。
【0049】
ユーザの認証が成功すると、受信したデジタル署名がチェックされる。デジタル署名が適正なものである場合、一時的なデジタル証明書がユーザの公開鍵に対して生成される。この証明書は、認証の成功を示すメッセージとともに、認証サーバ(N 31)からユーザの端末側(N 10)に返信される。
【0050】
図示しないが、ユーザの端末側(N 10)は、1組の公開鍵及び秘密鍵を生成する代わりに、認証チャレンジの応答とともに送信されるべきデジタル証明書の要求を生成してもよい。
【0051】
本発明の第1の面によれば、好適な本実施形態の利点またはその他の利点により一時的なデジタル証明書が取得されるが、これは、ユーザの端末側でセキュアトンネルとリンクされるアクセス証明書の一種である。
【0052】
しかし、本発明の目的に対して有効なコアネットワークからアクセス証明書を取得するために、他の機構が使用されてもよい。図2の好適な実施形態に示される1つの例によれば、上述した一時的な証明書のようなアクセス証明書が認証サーバ(N 31)からユーザ端末(N 10)に配布されるが、アクセス証明書は別の証明書プロバイダ(N 32)から取得されてもよい。別の例においては、認証サーバ(N 31)自体がそのようなアクセス証明書を生成する。認証サーバ(N 31)または証明書プロバイダ(N 32)が、アクセス証明書に電子署名してもよい。他の実施形態においては、いくつかの暗号データが認証サーバ(N 31)及びユーザ機器(N 10)において取得され、その後、それらの暗号データがアクセス証明書として使用されてもよい。最後の例の場合、アクセス証明書を認証サーバからユーザに対して配布する必要はないため、その結果、アクセス証明書は、コアネットワーク(N 30)により署名されることはないだろう。
【0053】
図2に戻ると、アクセス認証を実行している間にコアネットワーク(N 30)から取得されたアクセス証明書は、ユーザ(N 10)とホームサービスネットワークまたは訪問先のサービスネットワーク(N 40)のエンティティ(N 41)との間にセキュアトンネル(S 24)を設定するために使用される。本明細書においては、エンティティ(N 41)をセキュアサービスエントリポイント(以下、SSEP)と呼ぶ。アクセス証明書がコアネットワークにより署名されない場合、SSEP(N 41)と認証サーバ(N 31)との間に通信チャネル(S 25)が必要とされる。それにより、ユーザ(N 10)により提供されたアクセス証明書を受入れ可能であるかを、SSEPが認証サーバに確認できることが好ましい。これに対し、アクセス証明書が署名される場合、SSEP(N 41)は、認証サーバ(N 31)または証明書プロバイダ(N 32)により署名された有効なアクセス証明書として、それらアクセス証明書を受け入れるように構成されるのが好ましい。いずれの場合においても、ユーザ端末(N 10)とSSEP(N 41)との間のセキュア通信チャネル(S 24)は、少なくともデータ発信元認証を提供する必要がある。このように、このセキュア通信チャネルを介して受信された全てのトラフィックは、要求したユーザからのものであり、ユーザのふりをした攻撃者からのものではないとみなすことができる。
【0054】
本発明に係る第2の面によれば、ユーザに関連するセッション情報を保持し、そのセッション情報をセキュアトンネルの確立及び切断にリンクさせる新しい機構が、ホームサービスネットワークまたは訪問先のサービスネットワークのエンティティにおいて提供される。現時点で好適な実施形態において、このエンティティは、上述したセキュアサービスエントリポイント(SSEP)と協働するシングルサインオン(SSO)サーバ(N 42)であることが好ましいが、いずれか一方であってもよい。このように、ユーザ端末(N 10)がセキュア通信チャネル(S 24)を介してサービスにアクセスしようとする(S 24)場合、ユーザにシングルサインオンをサポートするために、ユーザ端末(N 10)から、サービス自体から、またはこの目的のためにサービスと協働するエンティティから、SSOサーバ(N 42)にサービス証明書が要求される。SSOサーバ(N 42)は、ユーザ端末(N 10)に対するサービス証明書の要求が確かにサービスにアクセスするためのユーザの試みからのものであり、ユーザのふりをした攻撃者からのものではないという保証を有する。従って、SSOサーバ(N 42)は、追加の認証を実行することなく、要求されたサービス証明書を要求者に提供できる。
【0055】
図2をさらに参照すると、トンネルトラフィックにおいて使用されるように、IPアドレスをユーザに割り当てるために、SSEPは、SSOサーバ(N 42)と情報を交換する(S 26)。このIPアドレスは、サービスネットワークにより処理されるIPアドレスのプールに含まれていてもよい。その後、SSEP(N 41)は、ユーザ(N 10)がセッションを確立したことを、SSOサーバ(N 42)に知らせる。
【0056】
これが達成されると、すなわち、ユーザに割り当てられたIPアドレスがユーザアクセス証明書及び対応するセッション情報にリンクされると、SSOサーバ(N 42)は、内部IPアドレスとともに受信したサービス証明書に対する要求が確かに対応するユーザからのものであるということを保証できる。
【0057】
図示しないが、ユーザが訪問先のサービスネットワークとのセキュア通信チャネルを確立した場合、SSOサーバは、ユーザを管理する識別プロバイダ(IdP)、すなわち、IdPの役割を果たすホームサービスネットワークのエンティティとのさらなる連携動作を必要とする。簡単にするため、以下の説明においては、IdPの役割を果たすホームサービスネットワークにユーザ端末が接続されていると仮定する。
【0058】
この段階で、ユーザは、データ発信元認証を提供できないアクセスネットワークを介してアクセスしている場合においても、ユーザの都合のいい時にシングルサインオン(SSO)サービスを楽しむことができる。特に、ユーザ端末(N 10)は、以下に説明する現時点で好適な各実施形態に従って、上述した任意のビジネスモデルの下で、すなわちウォールドガーデンモデルまたは連携型シングルサインオンモデルの下で動作してもよい。
【0059】
第1の実施形態において、図4に示されるウォールドガーデンの場合、ユーザがHTTPローカルサービス(N 44)にアクセスする時、中間ノード(N 43)は、HTTPローカルサービスへのアクセスを傍受して阻止する(S 30,S 29)。この中間ノード(N 43)は、ユーザが既に認証されているか否かをSSOサーバ(N 42)に問い合わせる(S 28)。中間ノード(N 43)は、汎用ファイアウォールがこの目的のために構成されてもよいが、HTTPプロキシであることが好ましいだろう。この場合にユーザを識別するための擬似識別は、データ発信元認証を保証可能な事前に割り当てられたIPアドレスである。そのような問合せを受信するSSOサーバ(N 42)は、IPアドレスのタグが付けられた使用可能なセッションが存在することをチェックし、確認応答またはサービス証明書を、中間ノードであるHTTPプロキシ(N 43)に送信する。サービス証明書は、HTTPローカルサービス(N 44)に対するユーザ端末(N 10)のアクセスを許可し、任意で、ユーザ端末のブラウザにクッキーを割り当てる。クッキーが提供された場合、HTTPサービスに対して次の要求があった時、SSOサーバ(N 42)に確認することなく、ユーザ端末(N 10)を認識するために、このクッキーが使用されうる。
【0060】
第2の実施形態において、図5に示されるウォールドガーデンの場合、ユーザが非HTTPサービス(N 45)にアクセスする時、または、一般的には、ユーザが上述のHTTPプロキシを必要としないローカルサービス(N 45)にアクセスする時、ローカルサービス(N 45)は、恐らくSSEP(N 41)を介して、ユーザ端末側(N 10)から直接アクセスされてもよい(S 24,S 31)。要求されたローカルサービス(N 45)は、事前に割り当てられたIPアドレスを擬似識別情報として使用し、ユーザが既に認証されているかをSSOサーバ(N 42)に直接問い合わせる(S 32)。そのような問合せを受信するSSOサーバ(N 42)は、IPアドレスによりタグ付けされた使用可能なセッションが存在することをチェックし、ユーザ(N 10)のアクセスを許可するために、確認応答またはサービス証明書をローカルサービス(N 45)に送信する。
【0061】
第3の実施形態において、図6に示される連携型SSOの場合、ユーザ(N 10)は、外部サービス(N 51)へのアクセスを試み、LAPプロトコルに従って、ユーザのブラウザ(N 10)は、サードパーティSP(N 51)、すなわち外部サービスにリダイレクトされる(S 30,S 33)。サードパーティSP(N 51)は、ユーザがアクセス証明書を提供した時に事前に割り当てられたIPアドレスを使用して、SSOサーバ(N 42)にサービスの許可を要求する(S 33、S 28)。SSOサーバ(N 42)は、SSO条件の下、当該IPアドレスを擬似識別情報として割り当てられているユーザについて、認証及び許可状態をチェックし、その後、要求したサードパーティSPにサインオンするために使用できるサービス証明書を返信する。SSOサーバは、上述した第1の実施形態と同様に、クッキーを割り当ててもよい。
【0062】
最後に、ユーザ端末がセキュアトンネルを切断する場合、SSEPは、内部IPアドレスの割り当てを解除しかつSSOサーバのユーザ関連セッション情報を削除するために、SSOサーバと通信する。
【0063】
例示的かつ非限定的な手法で、いくつかの実施形態に関連して本発明を説明してきた。上述した説明に鑑みて、これらの実施形態の変形したり変更したりすることは可能であり、これらは特許請求の範囲に含まれることが意図されている。
【図面の簡単な説明】
【0064】
【図1】図1は、拡張認証プロトコルに基づくアクセス制御に対する周知のアーキテクチャの基本的な概略を示す図である。
【図2】図2は、ユーザがユーザのホームネットワークにより認証され、データ発信元認証を提供しないアクセスネットワークを介して、アクセス認証を再利用するサービスネットワークにさらにアクセスしている時に関わるエンティティ及びインタフェースに焦点を当て、アーキテクチャ及びインタフェースの一例の概略を示す図である。
【図3】図3は、ユーザがユーザのホームコアネットワークにより認証された結果、アクセス証明書を取得する現時点で好適な実施形態を説明するシーケンス図である。
【図4】図4は、ユーザがローカルHTTPサービスにアクセスする時の好適な動作に焦点を当て、図2に示されるアーキテクチャ及びインタフェースの第1の概略を示す図である。
【図5】図5は、ユーザがローカル非HTTPサービスにアクセスするか、あるいは、HTTPプロキシまたはファイアウォール等の任意の仲介エンティティの援助なしでローカルHTTPサービスにアクセスしている時の好適な動作に焦点を当て、図2に示されるアーキテクチャ及びインタフェースの第2の概略を示す図である。
【図6】図6は、ユーザが現在アクセスしているサービスネットワークとは異なるネットワーク上の外部サービスにアクセスしている時の好適な動作に焦点を当て、図2に示されるアーキテクチャ及びインタフェースの第3の概略を示す図である。
【特許請求の範囲】
【請求項1】
データ発信元認証を提供しないアクセスネットワーク(N−20)を介して、通信サービスネットワーク(N−40)におけるシングルサインオンサービスの要求をユーザ(N−10)から受信するように構成された装置(N−41、N42)であって、前記ユーザ(N−10)は、コアネットワーク(N−30)により認証された結果としてアクセス証明書(デジタル証明書)を受信済みであり、
前記装置は、
前記アクセスネットワーク(N−20)を介して前記ユーザ(N−10)から前記アクセス証明書を受信する手段(S−24)と、
前記ユーザ(N−10)から受信された前記アクセス証明書の有効性をチェックする手段(N−41、S−25、N−31)と、
前記アクセス証明書の有効性のチェックに成功すると、前記ユーザ(N−10)との有効なセッションを確立する手段と、
前記通信サービスネットワーク(N−40)において前記ユーザを識別するための内部IPアドレスを割り当てる手段と、
前記内部IPアドレスと、前記セッションのデータと、前記アクセス証明書とをリンクさせる手段(N−41、S−26、N−42)と
を含み、さらに、
前記アクセスネットワーク(N−20)により前記ユーザ(N−10)に割り当てられた外部IPアドレスを使用し、かつ、セキュアトンネル化されたトラフィックにおける内側IPアドレスとして前記通信サービスネットワーク(N−40)において前記ユーザ(N−10)を識別するために割り当てられた前記内部IPアドレスを使用することにより、前記アクセスネットワーク(N−20)を通じて前記アクセス証明書が受信されたときに、前記ユーザ(N−10)とのセキュアトンネル(S−24)確立する手段をさらに含むことを特徴とする装置。
【請求項2】
前記通信サービスネットワーク(N−40)におけるサービスにアクセスすることを、前記ユーザに許可するためのサービス証明書を生成する手段をさらに含むことを特徴とする請求項1に記載の装置。
【請求項3】
前記サービス証明書は、サービスの要求があると前記ユーザ(N−10)に対して該サービスごとに生成される(N−41、S−26、N−42)ことを特徴とする請求項2に記載の装置。
【請求項4】
認識された認証エンティティ(N−31)により前記アクセス証明書が署名されていないときに、前記ユーザ(N−10)から受信された前記アクセス証明書の有効性をチェックするために、前記ホームネットワーク(N−30)の認証サーバ(N−31)と通信する手段をさらに含むことを特徴とする請求項1に記載の装置。
【請求項5】
前記ユーザ(N−10)との前記セキュアトンネルを確立する手段は、セキュアサービスエントリポイントと呼ばれる第1のデバイスに含まれ、
前記ユーザ(N−10)に対して、前記セッションのデータ、前記アクセス証明書及び前記内部IPアドレスをリンクさせる手段は、シングルサインオンサーバと呼ばれる第2のデバイスに含まれることを特徴とする請求項1に記載の装置。
【請求項6】
前記セキュアサービスエントリポイントと前記シングルサインオンサーバとを通信させるための手段をさらに含むことを特徴とする請求項5に記載の装置。
【請求項7】
前記ホームネットワーク(N−30)が、前記装置のエントリーポイントとなっている前記通信サービスネットワーク(N−40)と異なるときに、前記ホームネットワークにおいて前記ユーザを管理する識別プロバイダ(N−31)と前記装置とを連携させる追加の手段をさらに含むことを特徴とする請求項1に記載の装置。
【請求項8】
前記ユーザ(N−10)がローカルのHTTPサービス(N−44)、または現在アクセスしているサービスネットワーク(N−40)とは異なるネットワーク(N−50)上の外部サービス(N−51)にアクセスしているときに、前記装置は、前記ユーザ(N−10)が既に認証されているか否かをチェックする手段(N−41、S−30、N−43、S−28、N−42)をさらに含むことを特徴とする請求項1に記載の装置。
【請求項9】
前記ローカルのHTTPサービス(N−44)または前記外部ネットワーク(N−50)上の前記外部サービス(N−51)への前記ユーザ(N−10)のアクセス(S−29)を傍受して阻止するように構成された仲介エンティティ(N−43)と通信する手段(S−30、S−28)をさらに含むことを特徴とする請求項8に記載の装置。
【請求項10】
前記仲介エンティティは、HTTPプロキシであることを特徴とする請求項9に記載の装置。
【請求項11】
前記仲介エンティティは、ファイアウォールであることを特徴とする請求項9に記載の装置。
【請求項12】
前記ユーザ(N−10)が非HTTPのローカルサービス(N−45)にアクセスしているときに、前記ユーザ(N−10)が既に認証されているか否かをチェックする手段(N−41、s−31、N−45、S−32、N−42)をさらに含むことを特徴とする請求項1に記載の装置。
【請求項13】
前記アクセス証明書を受信する手段は、前記ユーザ(N−10)の認証に成功したことを示すために前記コアネットワーク(N−30)によって発行されたデジタル証明書が存在しているか否かをチェックする手段を含むことを特徴とする請求項1に記載の装置。
【請求項14】
コアネットワーク(N−30)との認証手続を実行するとともに、データ発信元認証を提供しないアクセスネットワーク(N−20)を介して通信サービスネットワーク(N−40)にアクセスするユーザ機器(N−10、N−11)であって、
前記コアネットワーク(N−30)によって認証された結果としてアクセス証明書を取得する手段(S−23)と、
前記アクセスネットワーク(N−20)を介してアクセスするときに、前記通信サービスネットワーク(N−40)に向けて前記アクセス証明書を送信する手段(S−24)と
を含み、さらに、
前記通信サービスネットワークとのセキュアトンネルであって、前記アクセスネットワークにより前記ユーザ機器に割り当てられた外部IPアドレスを利用するセキュアトンネルを、前記アクセスネットワークを介して確立する手段と、
前記通信サービスネットワークにおいて前記ユーザ機器(N−10)を識別するために、トンネル化されたトラフィックでは内側IPアドレスとして使用される、前記通信サービスネットワークによって割り当てられた内部IPアドレスを受信する手段(S−24)と、
前記アクセス証明書を、前記内部IPアドレスと前記セキュアトンネルとにリンクさせる手段と
を含むことを特徴とするユーザ機器。
【請求項15】
前記アクセス証明書を取得する手段は、
前記コアネットワークから認証チャレンジを受信する手段と、
認証応答を生成して前記コアネットワークに該認証応答を返信する手段と、
1組の公開鍵及び秘密鍵を生成する手段と、
前記秘密鍵の所有権を証明するデジタル署名とともに前記公開鍵を前記コアネットワークに対して送信する手段と
を含むことを特徴とする請求項14に記載のユーザ機器。
【請求項16】
前記アクセス証明書を取得する手段は、
前記コアネットワークから認証チャレンジを受信する手段と、
認証応答を生成して前記コアネットワークに該認証応答を返信する手段と、
前記コアネットワークから取得可能なデジタル証明書を要求する手段と
を含むことを特徴とする請求項14に記載のユーザ機器。
【請求項17】
前記アクセス証明書を取得する手段は、
前記デジタル証明書を取得可能な公開鍵を生成する手段を含むことを特徴とする請求項16に記載のユーザ機器。
【請求項18】
データ発信元認証を提供できないアクセスネットワーク(N−20)を介して通信サービスネットワーク(N−40)にアクセスするユーザ(N−10)に対してシングルサインオンサービスをサポートする方法であって、前記ユーザ(N−10)がコアネットワークにより認証された結果としてアクセス証明書を受信済みである場合に、
前記方法は、
前記通信サービスネットワーク(N−40)において、前記アクセスネットワーク(N−20)を通じて前記ユーザ(N−10)から前記アクセス証明書を受信するステップ(S−24)と、
前記通信サービスネットワーク(N−40)において、受信された前記アクセス証明書の有効性をチェックするステップ(N−41、S−25、N−31)と、
前記アクセス証明書の有効性のチェックが成功すると、前記ユーザ(N−10)との有効セッションを確立するステップ(N−41、S−26、N−42)と、
前記通信サービスネットワーク(N−40)において、該通信サービスネットワーク内のサービスにアクセスする際に、前記ユーザ(N−10)を識別するため、前記ユーザに内部IPアドレスを割り当てるステップ(N−41、S−26、N−42)と、
前記通信サービスネットワーク(N−40)のエンティティ(N−41、N−42)において、前記ユーザ(N−10)に対して、セッションのデータ、アクセス証明書及び割り当てられた前記内部IPアドレスをリンクさせるステップと
を含むことを特徴とする方法。
【請求項19】
前記通信サービスネットワーク(N−40)におけるサービスへアクセスすることを前記ユーザに許可するためのサービス証明書を生成するステップ(N−41、S−26、N−42)をさらに含むことを特徴とする請求項18に記載の方法。
【請求項20】
前記サービス証明書を生成するステップには、前記サービスの要求があると該サービスごとに前記ユーザに対して前記サービス証明書を生成するステップを含むことを特徴とする請求項19に記載の方法。
【請求項21】
前記通信サービスネットワーク(N−40)において、受信された前記アクセス証明書の有効性をチェックするステップ(N−41、S−25、N−31)は、
認識された認証エンティティ(N−31)により前記アクセス証明書が署名されていないときに、前記ユーザ(N−10)から受信された前記アクセス証明書の有効性をチェックするために、前記ホームネットワーク(N−30)の認証サーバ(N−31)と通信するステップをさらに含むことを特徴とする請求項20に記載の方法。
【請求項22】
前記通信サービスネットワーク(N−40)のエンティティ(N−41、N−42)において、前記ユーザ(N−10)に対して、セッションのデータ、アクセス証明書及び割り当てられた前記内部IPアドレスをリンクさせるステップは、
前記セキュアトンネル(S−24)として機能する、セキュアサービスエントリポイント(N−41)と呼ばれる第1のデバイスと通信するステップ(S−26)と、
前記リンクさせるステップを実行する、シングルサインオンサーバ(N−42)と呼ばれる第2のデバイスと通信するステップと
を含むことを特徴とする請求項18に記載の方法。
【請求項23】
前記ユーザ(N−10)がローカルのHTTPサービス(N−44、N−45)、または現在アクセスしているサービスネットワーク(N−40)とは異なるネットワーク(N−50)上の外部サービス(N−51)にアクセスしているときに、前記ユーザが既に認証されているか否かをチェックするステップ(N−41、S−30、N−43、S−28、N−42)をさらに含むことを特徴とする請求項18に記載の方法。
【請求項1】
データ発信元認証を提供しないアクセスネットワーク(N−20)を介して、通信サービスネットワーク(N−40)におけるシングルサインオンサービスの要求をユーザ(N−10)から受信するように構成された装置(N−41、N42)であって、前記ユーザ(N−10)は、コアネットワーク(N−30)により認証された結果としてアクセス証明書(デジタル証明書)を受信済みであり、
前記装置は、
前記アクセスネットワーク(N−20)を介して前記ユーザ(N−10)から前記アクセス証明書を受信する手段(S−24)と、
前記ユーザ(N−10)から受信された前記アクセス証明書の有効性をチェックする手段(N−41、S−25、N−31)と、
前記アクセス証明書の有効性のチェックに成功すると、前記ユーザ(N−10)との有効なセッションを確立する手段と、
前記通信サービスネットワーク(N−40)において前記ユーザを識別するための内部IPアドレスを割り当てる手段と、
前記内部IPアドレスと、前記セッションのデータと、前記アクセス証明書とをリンクさせる手段(N−41、S−26、N−42)と
を含み、さらに、
前記アクセスネットワーク(N−20)により前記ユーザ(N−10)に割り当てられた外部IPアドレスを使用し、かつ、セキュアトンネル化されたトラフィックにおける内側IPアドレスとして前記通信サービスネットワーク(N−40)において前記ユーザ(N−10)を識別するために割り当てられた前記内部IPアドレスを使用することにより、前記アクセスネットワーク(N−20)を通じて前記アクセス証明書が受信されたときに、前記ユーザ(N−10)とのセキュアトンネル(S−24)確立する手段をさらに含むことを特徴とする装置。
【請求項2】
前記通信サービスネットワーク(N−40)におけるサービスにアクセスすることを、前記ユーザに許可するためのサービス証明書を生成する手段をさらに含むことを特徴とする請求項1に記載の装置。
【請求項3】
前記サービス証明書は、サービスの要求があると前記ユーザ(N−10)に対して該サービスごとに生成される(N−41、S−26、N−42)ことを特徴とする請求項2に記載の装置。
【請求項4】
認識された認証エンティティ(N−31)により前記アクセス証明書が署名されていないときに、前記ユーザ(N−10)から受信された前記アクセス証明書の有効性をチェックするために、前記ホームネットワーク(N−30)の認証サーバ(N−31)と通信する手段をさらに含むことを特徴とする請求項1に記載の装置。
【請求項5】
前記ユーザ(N−10)との前記セキュアトンネルを確立する手段は、セキュアサービスエントリポイントと呼ばれる第1のデバイスに含まれ、
前記ユーザ(N−10)に対して、前記セッションのデータ、前記アクセス証明書及び前記内部IPアドレスをリンクさせる手段は、シングルサインオンサーバと呼ばれる第2のデバイスに含まれることを特徴とする請求項1に記載の装置。
【請求項6】
前記セキュアサービスエントリポイントと前記シングルサインオンサーバとを通信させるための手段をさらに含むことを特徴とする請求項5に記載の装置。
【請求項7】
前記ホームネットワーク(N−30)が、前記装置のエントリーポイントとなっている前記通信サービスネットワーク(N−40)と異なるときに、前記ホームネットワークにおいて前記ユーザを管理する識別プロバイダ(N−31)と前記装置とを連携させる追加の手段をさらに含むことを特徴とする請求項1に記載の装置。
【請求項8】
前記ユーザ(N−10)がローカルのHTTPサービス(N−44)、または現在アクセスしているサービスネットワーク(N−40)とは異なるネットワーク(N−50)上の外部サービス(N−51)にアクセスしているときに、前記装置は、前記ユーザ(N−10)が既に認証されているか否かをチェックする手段(N−41、S−30、N−43、S−28、N−42)をさらに含むことを特徴とする請求項1に記載の装置。
【請求項9】
前記ローカルのHTTPサービス(N−44)または前記外部ネットワーク(N−50)上の前記外部サービス(N−51)への前記ユーザ(N−10)のアクセス(S−29)を傍受して阻止するように構成された仲介エンティティ(N−43)と通信する手段(S−30、S−28)をさらに含むことを特徴とする請求項8に記載の装置。
【請求項10】
前記仲介エンティティは、HTTPプロキシであることを特徴とする請求項9に記載の装置。
【請求項11】
前記仲介エンティティは、ファイアウォールであることを特徴とする請求項9に記載の装置。
【請求項12】
前記ユーザ(N−10)が非HTTPのローカルサービス(N−45)にアクセスしているときに、前記ユーザ(N−10)が既に認証されているか否かをチェックする手段(N−41、s−31、N−45、S−32、N−42)をさらに含むことを特徴とする請求項1に記載の装置。
【請求項13】
前記アクセス証明書を受信する手段は、前記ユーザ(N−10)の認証に成功したことを示すために前記コアネットワーク(N−30)によって発行されたデジタル証明書が存在しているか否かをチェックする手段を含むことを特徴とする請求項1に記載の装置。
【請求項14】
コアネットワーク(N−30)との認証手続を実行するとともに、データ発信元認証を提供しないアクセスネットワーク(N−20)を介して通信サービスネットワーク(N−40)にアクセスするユーザ機器(N−10、N−11)であって、
前記コアネットワーク(N−30)によって認証された結果としてアクセス証明書を取得する手段(S−23)と、
前記アクセスネットワーク(N−20)を介してアクセスするときに、前記通信サービスネットワーク(N−40)に向けて前記アクセス証明書を送信する手段(S−24)と
を含み、さらに、
前記通信サービスネットワークとのセキュアトンネルであって、前記アクセスネットワークにより前記ユーザ機器に割り当てられた外部IPアドレスを利用するセキュアトンネルを、前記アクセスネットワークを介して確立する手段と、
前記通信サービスネットワークにおいて前記ユーザ機器(N−10)を識別するために、トンネル化されたトラフィックでは内側IPアドレスとして使用される、前記通信サービスネットワークによって割り当てられた内部IPアドレスを受信する手段(S−24)と、
前記アクセス証明書を、前記内部IPアドレスと前記セキュアトンネルとにリンクさせる手段と
を含むことを特徴とするユーザ機器。
【請求項15】
前記アクセス証明書を取得する手段は、
前記コアネットワークから認証チャレンジを受信する手段と、
認証応答を生成して前記コアネットワークに該認証応答を返信する手段と、
1組の公開鍵及び秘密鍵を生成する手段と、
前記秘密鍵の所有権を証明するデジタル署名とともに前記公開鍵を前記コアネットワークに対して送信する手段と
を含むことを特徴とする請求項14に記載のユーザ機器。
【請求項16】
前記アクセス証明書を取得する手段は、
前記コアネットワークから認証チャレンジを受信する手段と、
認証応答を生成して前記コアネットワークに該認証応答を返信する手段と、
前記コアネットワークから取得可能なデジタル証明書を要求する手段と
を含むことを特徴とする請求項14に記載のユーザ機器。
【請求項17】
前記アクセス証明書を取得する手段は、
前記デジタル証明書を取得可能な公開鍵を生成する手段を含むことを特徴とする請求項16に記載のユーザ機器。
【請求項18】
データ発信元認証を提供できないアクセスネットワーク(N−20)を介して通信サービスネットワーク(N−40)にアクセスするユーザ(N−10)に対してシングルサインオンサービスをサポートする方法であって、前記ユーザ(N−10)がコアネットワークにより認証された結果としてアクセス証明書を受信済みである場合に、
前記方法は、
前記通信サービスネットワーク(N−40)において、前記アクセスネットワーク(N−20)を通じて前記ユーザ(N−10)から前記アクセス証明書を受信するステップ(S−24)と、
前記通信サービスネットワーク(N−40)において、受信された前記アクセス証明書の有効性をチェックするステップ(N−41、S−25、N−31)と、
前記アクセス証明書の有効性のチェックが成功すると、前記ユーザ(N−10)との有効セッションを確立するステップ(N−41、S−26、N−42)と、
前記通信サービスネットワーク(N−40)において、該通信サービスネットワーク内のサービスにアクセスする際に、前記ユーザ(N−10)を識別するため、前記ユーザに内部IPアドレスを割り当てるステップ(N−41、S−26、N−42)と、
前記通信サービスネットワーク(N−40)のエンティティ(N−41、N−42)において、前記ユーザ(N−10)に対して、セッションのデータ、アクセス証明書及び割り当てられた前記内部IPアドレスをリンクさせるステップと
を含むことを特徴とする方法。
【請求項19】
前記通信サービスネットワーク(N−40)におけるサービスへアクセスすることを前記ユーザに許可するためのサービス証明書を生成するステップ(N−41、S−26、N−42)をさらに含むことを特徴とする請求項18に記載の方法。
【請求項20】
前記サービス証明書を生成するステップには、前記サービスの要求があると該サービスごとに前記ユーザに対して前記サービス証明書を生成するステップを含むことを特徴とする請求項19に記載の方法。
【請求項21】
前記通信サービスネットワーク(N−40)において、受信された前記アクセス証明書の有効性をチェックするステップ(N−41、S−25、N−31)は、
認識された認証エンティティ(N−31)により前記アクセス証明書が署名されていないときに、前記ユーザ(N−10)から受信された前記アクセス証明書の有効性をチェックするために、前記ホームネットワーク(N−30)の認証サーバ(N−31)と通信するステップをさらに含むことを特徴とする請求項20に記載の方法。
【請求項22】
前記通信サービスネットワーク(N−40)のエンティティ(N−41、N−42)において、前記ユーザ(N−10)に対して、セッションのデータ、アクセス証明書及び割り当てられた前記内部IPアドレスをリンクさせるステップは、
前記セキュアトンネル(S−24)として機能する、セキュアサービスエントリポイント(N−41)と呼ばれる第1のデバイスと通信するステップ(S−26)と、
前記リンクさせるステップを実行する、シングルサインオンサーバ(N−42)と呼ばれる第2のデバイスと通信するステップと
を含むことを特徴とする請求項18に記載の方法。
【請求項23】
前記ユーザ(N−10)がローカルのHTTPサービス(N−44、N−45)、または現在アクセスしているサービスネットワーク(N−40)とは異なるネットワーク(N−50)上の外部サービス(N−51)にアクセスしているときに、前記ユーザが既に認証されているか否かをチェックするステップ(N−41、S−30、N−43、S−28、N−42)をさらに含むことを特徴とする請求項18に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公表番号】特表2009−514256(P2009−514256A)
【公表日】平成21年4月2日(2009.4.2)
【国際特許分類】
【出願番号】特願2006−516180(P2006−516180)
【出願日】平成16年6月23日(2004.6.23)
【国際出願番号】PCT/EP2004/051217
【国際公開番号】WO2005/002165
【国際公開日】平成17年1月6日(2005.1.6)
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
【公表日】平成21年4月2日(2009.4.2)
【国際特許分類】
【出願日】平成16年6月23日(2004.6.23)
【国際出願番号】PCT/EP2004/051217
【国際公開番号】WO2005/002165
【国際公開日】平成17年1月6日(2005.1.6)
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
[ Back to top ]