[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4782139B2 - モバイルユーザーをトランスペアレントに認証してウェブサービスにアクセスする方法及びシステム - Google Patents

モバイルユーザーをトランスペアレントに認証してウェブサービスにアクセスする方法及びシステム Download PDF

Info

Publication number
JP4782139B2
JP4782139B2 JP2007538287A JP2007538287A JP4782139B2 JP 4782139 B2 JP4782139 B2 JP 4782139B2 JP 2007538287 A JP2007538287 A JP 2007538287A JP 2007538287 A JP2007538287 A JP 2007538287A JP 4782139 B2 JP4782139 B2 JP 4782139B2
Authority
JP
Japan
Prior art keywords
network
subscriber
address
identifier
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007538287A
Other languages
English (en)
Other versions
JP2008518533A (ja
Inventor
パオロ・デ・ルティス
ガエタノ・ディ・カプリオ
コッラド・モイソ
Original Assignee
テレコム・イタリア・エッセ・ピー・アー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=34959133&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP4782139(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by テレコム・イタリア・エッセ・ピー・アー filed Critical テレコム・イタリア・エッセ・ピー・アー
Publication of JP2008518533A publication Critical patent/JP2008518533A/ja
Application granted granted Critical
Publication of JP4782139B2 publication Critical patent/JP4782139B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5084Providing for device mobility
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/18Information format or content conversion, e.g. adaptation by the network of the transmitted or received information for the purpose of wireless delivery to users or terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明はパケットデータネットワーク、例えばインターネットに対して第1ネットワークの加入者を識別するための認証方法及びシステムに関する。特に、本発明は、モバイルネットワークにおける加入者に関連付けられた加入者の識別を利用することにより、パケットデータネットワークに対するモバイルネットワークの加入者の認証に使用するために開発された。
遠く離れた場所からプライベート又はパブリックのパケットデータネットワーク(PDN)、例えば、インターネットにアクセスするユーザー数が非常に多くなってきている。加えて、場所に関わりなく人々に利用可能なマルチメディアサービスのビジョンの下で、パケット交換接続を用いた(例えばインターネットプロトコル(IP)を用いた)携帯電話網の開発を推進してきた。このことは、仮想接続がネットワークにおける他のエンドポイントに常に利用可能であることを意味する。パケットベースの無線通信サービスの規格としては、GPRS(General Packet Radio Service)、EDGE(Enhanced Data Rate for GSM Evolution)、及びUMTS(Universal Mobile Telecommunications Service)が挙げられる。
近年は、コストの低下と増え続ける接続能力とにより、さらに高速度のデータ通信システムが顧客の敷地に設置されてきている。これらのデータ通信システムは、例えば公衆交換電話網(PSTN)の同じツイストペア銅線上で機能してインターネットに接続する。通常の電話線上でのインターネット接続は、他の高速モデムが使用されていても、デジタル加入者線(DSL)アクセス技術により行われる。DSLは加入者の家庭と最寄りの電話局との間で電話サービスを家庭に持ち込むのに用いられる標準的な銅線上における高速データ転送を可能にする専用モデムを使用する。いくつかのDSL通信スキーム(一般にxDSL技術と称される)があるが、商業的に利用可能な最も一般的な形式の一つは、下流への(すなわち加入者への)データ転送速度が上流への(すなわち加入者からの)データ転送速度よりも数倍速いADSL(非対称DSL)である。
近年関心が示されてきた別のアクセス技術は、FTTH(Fibre-To-The-Home)であり、これは、光ファイバーが交換機から加入者の敷地まで設けられた高速広帯域アクセスシステムである。
短距離の無線インターネット接続においては、無線能力が内蔵されたコンピュータ又はハンドセット(例えば、PDA)が、アクセスポイント又はゲートウェイの範囲内のどこでもデータを送受信するために無線技術を用いる。このアクセスポイントは、放送及び受信の基地局として機能すると共に、無線ネットワークと有線ネットワークとの間のインターフェースとして機能する。例えば、無線デバイスとアクセスポイントとの間の無線技術は、IEEE 802.11規格(Wi−Fi(登録商標)仕様)又はIEEE 802.16規格(WiMAX仕様)に基づくことができる。
広帯域アクセス技術は、サービスプロバイダがコンテンツを拡充すると共にビジネスユーザーと家庭ユーザーの両方にサービス提供することを可能にしてきた。例えば、一人のユーザーは、1以上のサービスプロバイダから音声サービス、インターネットアクセスサービス、映像サービス、ゲームサービスなどの複数のサービス又はアプリケーションを申し込むことができる。プライベート又はパブリックPDN(例えば、インターネット)を介して利用可能なこれらのサービス及び/又はアプリケーションは、DSL線などの単一のネットワーク接続上で提供できる。
一方、PDN上で利用可能な絶え間なく増大する数のサービスでは、ペイ・パー・セッション方式のサービス、加入申し込みが必要なサービス、又はユーザーのプロフィールに従ってカスタマイズされたサービスの場合には、許可されたユーザーにのみアクセスを許可している。従来のいくつかの認証手順では、パスワード、例えば自動手段により認識される文字列を使用することで、保護されたファイル、又は入力/出力デバイスにユーザーがアクセスすることを可能にする。
出願人は以下のことを考慮した。第1に、もちろんパスワードを用いた認証システムはユーザーに対してトランスペアレントでなく、ユーザーはサービスに同意するときパスワードを入力しなければならない。このことは、ユーザーがセッション中に複数のサービスにアクセスすることを欲する場合には特に望ましくない。第2に、実装するのは技術的には簡単だけれども、パスワードは複製されやすく又は盗まれやすいので危うい。
モバイル通信システムは、許可されたユーザーに対応する移動局により利用されるネットワークのリソースを制御する。従来のGSM(Global System for Mobile communications)では、移動局(MS)が加入者識別モジュール(SIM)を含み、このSIMは、MSがGSMシステムのネットワークインフラストラクチャにアクセスすることを許可するのに用いられるデータを含んだ加入者の情報を有する。SIMは個々の加入者を識別する固有の手段を与えるので、セキュリティデバイスとみることができる。SIMは暗号法と、外部から明確な形式にて決して明かされない秘密情報を記憶する固有の計算能力とを使用する。
従来のGSMネットワークシステムでは、いくつかのデータベースが呼制御のためや認証及びセキュリティの目的のために利用可能であり、代表的なものとして、ホーム・ロケーション・レジスタ(HLR)、ビジター・ロケーション・レジスタ(VLR)、認証センター(AUC)、及び装置識別レジスタ(EIR)がある。ネットワークオペレータにより登録されたすべてのユーザーに対して、一時データ(ユーザーの現在の場所)だけでなく不変データ(ユーザーのプロフィールなど)もHLRに記憶される。ユーザーへの呼の場合、常に最初にHLRに問い合わせてユーザーの現在の場所を求める。VLRは一群の場所領域を担当し、担当領域内に現在いるユーザーのデータを記憶する。これは、より速いアクセスのためにHLRからVLRに転送された不変ユーザーデータの一部を含む。しかし、VLRは一時識別などのローカルデータを割り当てて記憶することもできる。AUCは認証及び暗号化に用いられるキーなどのセキュリティ関係のデータを生成し記憶し、一方EIRは加入者データではなくてむしろ装置データを登録する。
GSMはユーザーと装置とを明確に区別し、それらを別々に扱う。いくつかの加入者及び装置の識別子が定義されているが、加入者の移動を管理する必要があり、また残りのネットワーク要素すべてをアドレス指定する必要もある。国際移動局装置アイデンティティ(IMEI)は一種のシリアルナンバーであり、国際的に移動局(MS)を一意的に識別する。IMEIは装置製造業者により割り当てられ、ネットワークオペレータにより登録される。ネットワークオペレータはそれをEIRに記憶する。登録された各ユーザー、すなわち加入者は、その国際モバイル加入者アイデンティティ(IMSI)により一意的に識別される。一般に、IMSIはSIM中に記憶される。有効なIMSIを有するSIMが有効なIMEIを有する装置に挿入された場合にのみ、MSを操作できる。移動局の「実際の電話番号」はモバイル加入者ISDN番号(MSISDN)である。これは、移動局セットがSIMに依存していくつかのMSISDNを有することができるように、加入者(すなわち、加入者のSIM)に割り当てられる。
GPRS(General Packet Radio Service)はデジタル携帯電話網(例えば、GSM又はPCS(Personal Communication Service))のために設計され、当初はGSMのために開発されたサービスである。GPRSはパケットデータネットワーク、例えばインターネットへの無線アクセスを大いに改善し簡単にする。これは移動局と外部のパケットデータネットワークとの間でユーザーデータパケットを効率的に転送するためにパケット無線原理を適用する。パケットは、GPRS移動局から他のGPRS端末若しくはPDNに、又は他のGPRS端末若しくはPDNからGPRS移動局に直接ルーティングできる。インターネットプロトコル(IP)に基づいたネットワーク(例えば、グローバルインターネット又はプライベート/企業イントラネット)やX.25ネットワークは、現在のバージョンのGPRSでサポートされている。
GPRSはネットワークリソースと無線リソースの使用を最適化し、GSMインフラストラクチャの設置されたモバイル・スイッチング・センター(MSC)ベースへの変化を要求しない。既存のGSMアーキテクチャーに統合するために、一般にGPRSアーキテクチャーはGGSN(Gateway GPRS Support Node)とSGSN(Serving GPRS Support Node)とを備える。GGSNはMSCと同じ階層レベルにあり、他のパケットデータネットワーク(例えばインターネット)へのゲートウェイとして機能する。SGSNはGPRS使用可能モバイルデバイスへの仮想接続及びデータの送出を可能にするサービングノードである。SGSNは移動局にデータを送信し移動局からデータを受信し、移動局(MS)の位置についての情報を維持する。SGSNはMSとGGSNとの間を通信する。
一般にGPRSセキュリティ機能は既存のGSMセキュリティと同等である。SGSNは既存のGSMにおけるものと同じアルゴリズム、キー及び基準に基づいて認証及び暗号設定手順を実行する。GPRSはパケットデータ伝送のために最適化された暗号化アルゴリズムを用いる。
GPRS所属が成功した後に外部PDNとデータパケットを交換するために、MSはPDNにおいて用いられる1以上のアドレス、例えばPDNがIPネットワークである場合にはIPアドレスに申し込まなければならない。このアドレスはPDPアドレス(パケットデータプロトコルアドレス)と称する。各セッションでは、セッションの特徴を記述するいわゆるPDPコンテキストが作られる。これは、PDPタイプ(例えば、IPv4)、移動局に割り当てられたPDPアドレス(例えば、164.130.10.10)、要求されるサービスの品質(QoS)、及びPDNへのアクセスポイントとして働くGGSNのアドレスを含む。このコンテキストはMS、SGSN、及びGGSNに記憶される。アクティブPDPコンテキストにより、移動局は外部のPDNに「見え」、データパケットを送信及び受信することができる。これら2つのアドレスであるPDPとIMSIとの間のマッピングにより、GGSNがPDNとMSとの間でデータパケットを転送することができる。ユーザーは所与の時間にアクティブないくつかの同時PDPコンテキストをもつことができる。
特許出願第WO01/67716号には、モバイル端末のMSISDN番号を、無線アプリケーションプロトコル(WAP)ネットワークにおいて認証、ビリング及び個人化プロセスで使用するために一時的に割り当てられたIPアドレスと関連付ける方法が記載されている。
特許出願第WO01/03402号には、第1ネットワーク(すなわち、GPRSネットワーク)の加入者を第2ネットワーク(例えば、IPネットワーク)において識別するための認証方法が記載されており、第2ネットワークのアドレスは加入者に割り当てられている。第2ネットワークのアドレス(例えば、IPアドレス)と加入者のアイデンティティとの間のマッピングについての情報が生成され、第2ネットワークに送信される。この加入者のアイデンティティは、加入者のIMSI及び/又はMSISDNとし得る。
出願人が分かったことは、加入者のアイデンティティをIPアドレスに関連付けることによってIPネットワークへのアクセスを認証することは、一般にIPパケットの偽装に弱く、インターネット上の侵入者がローカルシステムのIPアドレスを有効に装うことを可能にしていることである。加えて、これら2つのネットワークは(ルーティング可能なプライベートIPアドレスを利用して)どちらかを直接接続するか、又は互換性のあるアドレス計画を必要とする。
特許出願第WO01/17310号には、GSMセキュリティ原理を適用することによってPDNへのアクセスを要求しているユーザーを認証するシステムが記載されている。遠隔のホストがアクセスネットワークを介してPDNに接続され、MSがPDNに接続されたモバイルネットワークにつながれている。PDNへのユーザー要求を受信すると、PDNは認証トークンを生成してアクセスネットワーク及び遠隔ホストを介してユーザーに送信し、ユーザーは認証トークンをモバイルネットワーク上にてPDNに送り戻す。その際、PDNは認証トークンを比較してPDNへのユーザーアクセスを認めるか否かを決める。
出願人は、開示されている認証システムはユーザーにトランスペアレントではなく、ユーザーは認証を待たなければならず、また受信した認証トークンをPDNに送り戻さなければならないことが分かった。さらに、遠隔のサーバーはユーザーの電話番号を知らなければならないので、開示されたシステムはユーザーのプライバシーを危うくし得る。
米国特許出願第2004/0132429号には、モバイル端末プログラミング又はなんらかのPOP3若しくはSMTPパラメータについて特別の知識なしに、モバイル通信ネットワークを介して電子メールアカウントにアクセスする方法及びシステムが開示されている。モバイル端末はデフォルトのPOP3/SMTPサーバーアドレスを用いて予め構成される。電子メールアカウントにアクセスするため、標準的なPOP3/SMTPを用いるモバイルネットワークを介してモバイル端末クライアントとプロクシーサーバーとの間に通信が確立される。ユーザーは単にユーザーのMSISDNに基づいて電子メールアカウントへのアクセスが許可され得る。
UMTS(Universal Mobile Telecommunications Service)はGSM/GPRSネットワークの直接的な発展であると見ることができる。UMTSのセキュリティ機能は、GSMにおいて実装されたもの(例えば加入者の認証など)に基づいているが、これらのセキュリティ機能のいくつかは追加されたものであり、いくつかの既存のものは改良されてきた。
パケット交換は、メッセージデータの比較的短いブロックであるデータパケットを利用する。パケットは非同期転送モード(ATM)におけるように固定長としてもよいし、フレームリレー若しくはインターネットプロトコル(IP)におけるように可変長としてもよい。望ましいシナリオの一つは、パケット交換無線ネットワークインフラストラクチャがインターネット電話をサポートする。インターネット電話又はIP電話は、インターネット能力とPSTN機能を融合するアプリケーション類である。IP電話アプリケーションは、インターネットインフラストラクチャ上でのリアルタイムの音声トラヒックの伝送と、既存のPSTNインフラストラクチャとのシームレスの統合とを可能にする。IP電話は音声呼(一般にVoIP(Voice over IP)と称する)に主に焦点を当てているが、ファックス、映像及びモデムデータなどの他の音声帯域又はマルチメディアアプリケーションを送るのにも使用できる。
IP電話をサポートするために開発されたプロトコルはSIP(セッション・イニシエーション・プロトコル(Session Initiation Protocol))である。SIPは、マルチメディアセッションの設定、変更、及び解除を扱うための送信プロトコルであり、それと共に用いられるプロトコルと共同で、潜在的なセッション参加者に対する通信セッションのセッション特性を記述する。これらのセッションとしては、インターネットマルチメディア会議、インターネット電話呼及びマルチメディア配信が挙げられる。セッションを創出するのに用いられるSIP送信勧誘は、1組の互換性のあるメディアタイプについて参加者が合意することを可能にするセッション記述を伝える。SIPはユーザーの現在の場所に要求をプロクシーする又は再送することによってユーザーの移動性をサポートする。通常、通信セッション中にマルチメディア(オーディオ、音声又はデータ)を交換するのにリアルタイムプロトコル(RTP)が用いられるが、SIPにより任意のトランスポートプロトコルを使用できる。SIPはクライアント-サーバーモデルを使用し、該モデルではクライアントはSIP要求を起こし、その要求にサーバーが応答する。SIPでは、エンドポイントエンティティはユーザーエージェントと称され、クライアント(ユーザーエージェントクライアント)、すなわちSIP要求の創出者と、応答を返すサーバー(ユーザーエージェントサーバー)との両方である。
SIPはインターネットにおいて利用されているが、インターネットは、SIP要素とメッセージがセキュリティについて様々な脅威及び攻撃にさらされ得る不利な環境と考えられる。SIPベースのシステムでは、認証手段は、アプリケーション層、トランスポート層及びネットワーク層を含めて種々の層にて有効にし得る。
H.Tschofenigら「Using SAML for SIP」〔2004年8月31日現在インターネット(http://www.ietf.org/internet−dratfs/draft−tschofenig−sip−saml−00−txt)からダウンロードされる〕には、許可機構を提供するためにSIPと共同でSAML(Security Assertion Markup Language)を使用する方法が提案されている。強化ネットワーク・アサート・アイデンティティのシナリオが記載されており、この強化は認証サービス(AS)によりアサートされた属性に基づいている。第2のユーザーと通信することを欲する第1のユーザーがSIP INVITEを好ましいASに送信する。選ばれたSIPセキュリティ機構に依存して、ダイジェスト認証、S/MIME又はトランスポート層セキュリティが、ASに第1のユーザーのアイデンティティについての強い確信を付与するのに用いられる。第1のユーザーが認証され許可された後、SAMLアサーションがSIPメッセージに添付される。
インターネット上で提供を開始するサービスの数がますます増加しているので、これらのサービスにアクセスするために効果的で安全なシングル・サイン・オン(SSO)機構を提供できることが重要になってきた。しばしば、インターネット上で提供されるサービスは、互いに遠く離れた場所にある複数のサーバー上に届けられる。SSO機構により、ユーザーは1又は少数のサーバー上で実施される認証手順を介して複数の遠隔サーバー上に届けられる複数のサービスを使用するために、ユーザーのアイデンティティ及び許可を認証できる。
特許出願第WO01/72009号には、サービスにアクセスする許可を要求したユーザーにトークンが転送されるSSO認証機構が開示されている。このトークンはある期間の間だけ有効にし得る。認証関連の機能はサービスから分離され、セッション中に上記の複数のサービスから新しいサービスにアクセスするために認証を再調整する必要はない。トークンが転送される前に、ユーザーはサービスへのアクセスを許可してもらうためにユーザーの証明、例えばユーザー名及びパスワードを伝えることによって登録する。
リバティ・アライアンス・プロジェクト(Liberty Alliance Project)は連合アイデンティティ及びアイデンティティベースのサービスのためのオープンな標準組織である。これはユーザーがリバティ・エネーブルド・サイト(Liberty-enabled site)にて一回サインオンし、再度の認証の必要なく別のリバティ・エネーブルド・サイトに進むときシームレスでサインオンすることを可能にするSSOの規格を提供する。「Liberty ID−WSF−Web Services Framework」〔http://www.projectliberty.org/resources/whitepapersに公開〕には、Liberty ID−WSFの構成要素の概要が示されている。メッセージ保護機構は、ウェブ・サービス・セキュリティ(WS−セキュリティ)仕様に従うSOAPヘッダーブロック中のSAMLアサーションの伝搬などのトークンベースの機構を含み得る。
特許出願第WO2004/064442号には、国内ネットワークオペレータの連合(federation)を含む多国籍モバイルネットワークオペレータのパケット無線ネットワークにおけるユーザーローミングのためにSSOサービスを提供する電気通信方法及びシステムが開示されており、これらの国内ネットワークオペレータの一つがユーザーの契約を保持している。この電気通信システムは、当該連合に含まれる任意の国内ネットワークオペレータの加入者であるユーザーにSSOサービスを提供するために、多国籍モバイルネットワークオペレータ連合とサービス協定を締結した幾つかのサービスプロバイダを更に含む。各サービスプロバイダは、該連合におけるエントリーポイントとしてグローバルSSOフロントエンドインフラストラクチャにユーザーをリダイレクトするための手段;認証アサーション(SAMLアサーション)又はそのレファレンスであるトークンをユーザーから受信するための手段;アサーションが生成されたサイトからアサーションを取り出すための手段;及びこのサイトが信用できることを調べるための手段を備える。
米国特許出願第2003/0163733号には、サービスプロバイダにアクセスしているユーザー(このユーザーは第1のモバイルネットワークオペレータとの契約を有する)を、前記第2のモバイルネットワークオペレータとの協定を有する第2のモバイルネットワークオペレータの認証ブローカーに向けてリダイレクトするための手段を備えた電気通信システムが開示されている。第1及び第2のモバイルネットワークオペレータは連合に属しており、認証ブローカーは認証プロバイダに向かう連合のエントリーポイントとして機能する。ユーザーは、SSOサービス要求を実行するために認証プロバイダに明確なアイデンティティ、例えば、MSISDN/IMSIを提示する。
特許出願第WO01/67716号 特許出願第WO01/03402号 特許出願第WO01/17310号 米国特許出願第2004/0132429号 特許出願第WO01/72009号 特許出願第WO2004/064442号 米国特許出願第2003/0163733号
発明の概要
本発明はパケットデータネットワーク(PDN)である第2ネットワークを介してアクセス可能なアプリケーションサービスにアクセスするために第1ネットワークの加入者を認証する方法及びシステムに関する。アプリケーションサービスとは、この場合にはトランスポートレベルより上のレベル(1つ又は複数)として表すことができるアプリケーションレベルにて定義されるサービスを意味する。特に、アプリケーションレベルは、OSI(Open System Interconnection)モデルにおいて定義されたレイヤ7、又はTCP/IPモデルによるレベル5により(非限定的に)表すことができる。アプリケーションサービスの例はウェブサービスであり、これは一般にHTTP GET/POST、SMTP、又はSOAP over HTTP、ウェブサイト(一般にブラウザを使用してアクセスされる)又はVoIPなどのプロトコルを用いてクライアントアプリケーションにより消費される。
出願人はGSMネットワークなどの第1ネットワークの加入者は当該ネットワーク内で高レベルのセキュリティで認証されることに気付いた。
出願人は第1ネットワークが固定回線アクセスネットワークである場合には当該ネットワーク内で高レベルのセキュリティで加入者のアイデンティティを確認できることに更に気付いた。xDSL技術の場合のように固定アクセスネットワークが公衆交換電話網(PSTN)と共有の有線回線を使用する場合には、顧客敷地装置(CPE)とPDNへのゲートウェイとの間の通信において、一般には専用の安全な有線リンク、例えば標準的な銅製の電話線又は光ファイバーが用いられる。
Wi−Fi(登録商標)接続などの無線接続は従来からPDNへの無線リンクに起因して相対的に低レベルのセキュリティを特徴としてきたが、近年はネットワークアクセスの相対的に高レベルのセキュリティを保証する解決策が提案されている。高レベルのセキュリティの解決策の例はIEEE 802.11iセキュリティ規格であり、これは例えばD.Halaszの「IEEE 802.11i and wireless security」〔2005年9月20日現在、インターネットのhttp://www.embedded.com/showArticle.jhtml?articleID=34400002からダウンロードできる〕に記載されている。
出願人はPDNを介してアプリケーションサービスが機能するアプリケーションレベルにて加入者を認証するために、第1ネットワークにおいて定義された加入者アイデンティティを使用できることを見いだした。特に、本発明によると、加入者をトランスペアレントに認証してアプリケーションサービスにアクセスさせることができる。
本発明の好ましい態様では、PDNを介してサービスを要求する加入者の第1ネットワークはパケット交換モバイルネットワークである。さらに好ましくは、このパケット交換モバイルネットワークはGSMに基づいたGPRS規格である。通常、PDNはモバイルネットワークの外部のネットワーク、例えばIPネットワークである。同様に、アプリケーションサービスをホストするアプリケーションサーバーは、加入者がセッションを開始する場所から同一のモバイルネットワーク内でホストされるが、該サーバーは外部のPDNを介してアクセスされる場合にも、本発明が同様に適用される。例えば、アプリケーションサーバーはモバイルオペレータのVAS(Value-Added Service)プラットフォーム内に存在し得、これはIPネットワークにより提供される。特に、PDNはサービスプロバイダのプライベート又はパブリックのネットワークとし得る。
本発明の別の態様では、PDNを介してサービスを要求する加入者の第1ネットワークは固定アクセスネットワークであり、この場合、加入者はPCにリンクされたDSLモデムや周辺デバイス(例えば電話ハンドセット又はTVセットトップボックス)にリンクされた住宅ゲートウェイなどの顧客敷地装置(CPE)を用いることによってPDNにアクセスする。CPEは専用電話回線、専用光ファイバー又はIEEE 802.11iセキュリティ規格に組み込まれた無線接続などの相対的に安全な有線回線又は無線リンクによって固定アクセスネットワークにアップリンクされる。
本発明の好ましい態様によると、固定アクセスネットワークはxDSLアクセスネットワークである。
アプリケーションサービス(以下、サービスともいう)にアクセスする要求は、アプリケーションレベルにて定義されたアクセス要求メッセージの形式を有する。
本発明の一態様は、パケットデータネットワーク(PDN)である第2ネットワークを介してアプリケーションサービスにアクセスするために第1ネットワークの加入者を認証する方法であって、アプリケーションサービスへの前記アクセスが、データパケット中に入れられたアクセス要求メッセージの形式で行われ、前記データパケットが、前記加入者(加入者のアドレス)に割り当てられた前記第2ネットワークにおけるアドレスと、アプリケーションレベルのプロトコルに従ったシンタックスにより表された前記アクセス要求メッセージとを含み、前記方法が:
a)第2ネットワークへのアクセス要求メッセージをインターセプトし;
b)前記アプリケーションレベルのプロトコルを認識し;
c)第1ネットワークにおける前記加入者のアドレスと加入者の第1の識別子との間のマッピングを与え;
d)加入者の第2の識別子を含んだ第1認証トークンを生成し;
e)前記第1認証トークンを前記アクセス要求メッセージに関連付け、そして
f)関連付けられた前記第1認証トークンと共にアクセス要求メッセージを第2ネットワークに送信する;
工程からなることを特徴とする方法に関する。
本発明の別の態様は、パケットデータネットワーク(PDN)である第2ネットワークを介してアプリケーションサービスにアクセスするために第1ネットワークの加入者を認証するシステムであって、
第1ネットワークにつながれると共に、データパケット中に入れられたアクセス要求メッセージを生成する加入者局であって、前記アクセス要求メッセージはアプリケーションレベルのプロトコルに従ったシンタックスにより表される前記加入者局と;
前記第2ネットワークにおけるアドレスを前記加入者(加入者のアドレス)に割り当てると共に、加入者のアドレスと第1ネットワークにおける加入者の第1の識別子との間のマッピングを与える割当てサーバーと;
アクセス要求メッセージを加入者局から受信する機能、第1ネットワークと第2ネットワークをインターフェースする機能、及び前記加入者のアドレスを加入者局に割り当てる機能を実行するゲートウェイと;
加入者局で生成されてゲートウェイを介して第2ネットワークに向けられたデータパケットをインターセプトすると共に、データパケット中で少なくとも前記加入者のアドレスを取得する、ゲートウェイにリンクされた第1の論理エンティティと;
第1の論理エンティティにリンクされると共に、下記機能、すなわち:
加入者のアドレス及びアクセス要求メッセージを第1の論理エンティティから受信する機能、
アクセス要求メッセージの前記アプリケーションレベルのプロトコルを認識する機能、
前記加入者の第1の識別子を割当てサーバーに要求する機能、及び
加入者の第2の識別子を含んだ第1認証トークンを前記アプリケーションレベルのプロトコルに従って生成する機能、
を実行する第2の論理エンティティと;
を備え、第1の論理エンティティ又は第2の論理エンティティが前記認証トークンをアクセス要求メッセージに関連付けることを特徴とするシステムに関する。
詳細な説明
図1は本発明の好ましい態様を示す。図1の態様では、第1ネットワークがGPRSシステムであり、第2ネットワークがIPネットワーク12である。図1の態様は、GPRSネットワークの加入者が、加入者の移動局(MS)2からIPネットワークを介して、アプリケーションサーバー11においてホストされるウェブサイトにてサービスにアクセスすることを欲している代表的なシナリオを表すことができる。MS2は基地局(BTS)3に無線接続され、基地局(BTS)3は基地局コントローラ(BSC)4に接続する。一般にBTSとBSCとの結合機能は基地局サブシステム(BSS)と称される。そこから、サービスGPRSサポートノード(SGSN)5がGGSNにアクセスし、GGSNはデータネットワーク(この場合にはIPネットワーク12)へのゲートウェイとして働く。SGSN5は一般に既存のGSMと同じアルゴリズム、キー及び基準に基づいた認証及び暗号設定手順を実行する。
携帯電話であり得るMS2は加入者識別モジュール(SIM)を含み、加入者識別モジュール(SIM)は識別及び認証情報を持っており、それによって携帯電話網がMS端末を携帯電話網内で識別して該電話網内で機能することを許可することができる。
GPRSデータを送信及び受信するために、MS2はサービスにアクセスするのに用いるパケットデータアドレス、すなわち、この態様ではIPアドレスをアクティブにする必要がある。加入者がサービスを要求するとき、MS2は、終端がGGSN6にある無線ネットワーク上に要求を送信する。特定のプロトコルを用いて、GGSNはそれ自体は公知の認証−許可−課金(AAA)サーバー7に要求を送信する。AAAサーバーは例えばリモート認証ダイアルイン・ユーザー・サービス(RADIUS)サーバー又はダイナミック・ホスト・コンフィグレーション・プロトコル(DHCP)サーバーとし得る。AAAサーバーがRADIUSサーバーである場合、GGSNはRADIUSプロトコルを用いてAAAサーバーと通信するためにRADIUSクライアントを備える。標準的なGPRS手順に従い、AAAサーバーはネットワークアクセス識別子(NAI)又は国際モバイル加入者アイデンティティ(IMSI)などのいくつかの属性に基づいて加入者を認証することができる。IMSIは特定の加入者に一義的に関連付けられた識別番号である。一般にIMSIはモバイルネットワークオペレータにより割り当てられ、考えられる特定の加入者に対するビリング及びサービス提供を追跡する。一般にIMSIはSIM中に保持される。
別法として、モバイルネットワークにおいて加入者を識別するために移動局国際ISDN番号(MSISDN)を使用できる。しかし、より多くのMSISDN、すなわち電話番号を同じIMSIに関連付けることができるので、IMSIは好ましい(しかし限定するものではない)加入者の識別子である。
AAAサーバーはIPアドレスをMSに割り当て、それをGGSNに戻す。GGSNはこのIPアドレスをMSに割り当てる。アドレス割当てに用いられるプロトコルはGPRSネットワークに特有のものであり、一般にPDPコンテキスト・アクティべーションといわれる。AAAはデータベースを含み、該データベースでは割り当てられたIPアドレスが加入者のアイデンティティ、例えばIMSIに関連付けられる。
例では1つのIPアドレスがMS2に割当てられているが、GGSNにより1より多いIPアドレスを同じMSに割当てることが可能なことも分かる。この場合、GPRS仕様に従い、GGSNはMSに関連付けられたアクティブ接続(PDPコンテキスト)についての情報を記憶することができると共に、データパケット伝送においてMSにより用いられるIPアドレスがGGSNによりMSに割り当てられたIPアドレスの1つであるか否かを確認することができる。
GPRS−GSMネットワークのSGSN5、GGSN6及びAAA7が、GSMセキュリティスキームを特徴とする同じドメイン内にあることに留意されたい。
本発明の好ましい態様によると、論理エンティティ(ソフトウェアモジュール)10(以下、セキュリティ・トークン・インジェクター(STI)という)がGGSN6に論理的にリンクされる。STIはGPRS/GSMネットワークから入ってくるトラヒックを制御するよう配置される。特に、STIは、移動局で生成されてGGSN6を介してIPネットワーク12に向けられたデータパケットをインターセプトする。
データパケット(例えば、インターネットパケット)は、コアデータと、必要なアドレスと、ネットワークがデータを正しい宛先に送ることができるように添付された管理情報とからなるブロックである。データパケットはアプリケーションにより与えられたコアデータをもって出発する。コアデータはいくつかのヘッダーの層で包まれ、これらの層はOSIモデルに従って記述できる。この(非限定的な)説明では、各層はデータパケットがカプセル化として公知の機構を通過する際にデータパケットを変更する。コアデータは、アプリケーションレベルのプロトコルに従ったシンタックスにより表されるアプリケーションレベルのメッセージを含む。アプリケーションレベルのプロトコルの例は、FTP(ファイル転送プロトコル)、HTTP(ハイパーテキスト転送プロトコル)、SOAP(シンプル・オブジェクト・アクセス・プロトコル)又はSIPである。
サービス又はサービス機能又はオペレーションへのアクセスを要求するアプリケーションレベルのメッセージは、このコンテキストではアクセス要求メッセージと称する。このコンテキストでは、アクセス要求メッセージは、必ずしもセッション開始時でのサービスへの同意の要求を記述するものではなく、サービスにより与えられる機能又はオペレーションへのアクセス要求をも記述する。SIPにおけるアクセス要求メッセージの例はINVITEメッセージであり、ユーザー・エージェント・クライアントがセッション(例えば、オーディオ、ビデオ、又はゲーム)を開始することを望むとき、INVITE要求を策定する。INVITE要求はサーバーにセッション(例えば、音声呼)を開設することを求める。別の例では、ウェブページが要求されたとき、所望のデータ、例えば、URLを取り出すのに必要な情報と共に「get」メッセージが作られる。「get」メッセージを保持するアプリケーションレベルのプロトコルは例えばHTTPである。この場合、「get」メッセージはHTTP GETヘッダーを含み、これはアプリケーションレベルでのサービス(この場合、インターネットを介してウェブページを検索するサービス)へのアクセス要求メッセージの一例である。
インターネットが実行されるプロトコル・スタックはインターネット・プロトコル・スイート(広く用いられている2つのプロトコル:伝送制御プロトコル(TCP)及びインターネットプロトコル(IP)にちなんでTCP/IPスイートともいう)により記述できる。TCP/IPスイートのプロトコルセットはOSI7層モデルの5層をカバーする。TCP/IPスイートを用いることにより、一般にメッセージはアプリケーションヘッダー(実際には一般に複数のヘッダーからなる)とアプリケーションレベルのボディ(又はペイロード)との両方に埋め込まれる。ヘッダーはアプリケーションレベルのプロトコルに従って規格化されたフォーマットを有する一方、ペイロードはアプリケーションによる情報を含み、データは標準的なヘッダー又はフォーマットに準拠していない。HTTPにおけるヘッダーの例は、GETメッセージなどのメッセージのタイプ、及び要求されるウェブページのURLである。次の層はトランスポート層であり、トランスポート層はTCP又はユーザー・データグラム・プロトコル(UDP)において一般に定義されたヘッダー層を追加する。ネットワーク層(IP層としても公知のインターネットにおいて)では、ヘッダー(IPヘッダー)は、ソースから宛先へのパケットを得るのに必要な、ソースアドレスと宛先アドレス、すなわちマシン番号を含んだ情報を含む。
STI10は少なくともネットワークレベルにて動作し、GGSN6を出て行くデータパケットを捕まえる。もしSTIがネットワークレベルでのみ、又は単にトランスポートレベルまでで動作するならば、GGSNを出て行き(そしてIPネットワークに向かう)データパケットすべてを捕らえる必要がある。というのは、データパケット中に保持されたアプリケーションメッセージを識別できず、例えば、それがアクセス要求メッセージであるか否か、及びそのアプリケーションレベルのプロトコル上にメッセージが保持されているか否かを識別できないからである。STIがアプリケーションレベルでも動作する場合には、アクセス要求メッセージを識別し、異なるアプリケーションレベルのプロトコルを区別することができる。例えば、もしアプリケーションレベルでも動作するならば、SIPアクセス要求メッセージのみをインターセプトして他のプロトコルで生成されたメッセージは通すようにSTIをプログラミングできる。
STIモジュールを実現するのに用いることができる技術の一つは、アプリケーションレベルのファイアウォールの技術である。市販のアプリケーション認識型ファイアウォールの例はCisco PIX、Check Point Firewall−1(登録商標)及びXtradyneのWS−DBCである。
アクセス要求メッセージを保持しているデータパケットにおいてSTIがインターセプトしなければならない最小情報は、ネットワークレベルでの加入者のアドレス、例えばインターネットにおいて加入者に(すなわち、MSに)割り当てられたIPアドレスについての情報である。一般に、STIは後で詳細に説明するように認証プロセスの終わりにメッセージを保持したデータパケットを送信するために宛先アドレスの情報を必要とするであろう。好ましくは、この情報はデータパケットをインターセプトするときにSTIにより抽出される。しかし、これは非限定的な特徴であり、STIは認証システムが定義した宛先アドレス(複数可)にメッセージを転送するよう構成することもできる。宛先アドレスは必ずしもメッセージが向けられたアプリケーションサーバーのアドレスではないことに留意されたい。例えば、SIPプロトコルによると、メッセージをSIPプロクシーに向けることができ、SIPプロクシーがメッセージヘッダーに含まれたアプリケーションレベルのアドレスにおいて指定されたアプリケーションサーバーに対してメッセージをアドレス指定する。
STI10により捕らえられたデータパケット中に含まれる情報の少なくとも一部は、アプリケーションレベルにて動作するソフトウェアコンポーネント9(身分証明局(IA)という)に送られる。IAは外部のPDN、すなわちIPネットワーク12にアクセスする加入者のアイデンティティの管理を担当する。IAは少なくとも加入者のIPアドレスと、アクセス要求メッセージのアプリケーションレベルのプロトコルについての情報とをSTIから受信する。この後者の情報は、データパケットをSTIから(STIがネットワーク/トランスポートレベルまででのみ動作する場合には「閉じたエンベロープ」として)受信することにより、又はSTIがアプリケーションレベルでも動作する場合にはプロトコルの種類(例えば、SOAP、HTTP、SIP)などの特定の情報を受信することにより得ることができる。アプリケーションレベルで動作するSTIから受信する他の情報としては、メッセージタイプ(例えば、INVITE又はREGISTER)や要求されるサービスのユニバーサル・リソース識別子(URI)、例えばウェブページのURLが挙げられる。
IA9は、加入者のIPアドレスの知識をSTI10から取得すること、及び割り当てられたIPアドレスと加入者のアイデンティティ(複数も可)との間のマッピングを含んでいるAAA7に問い合わせて加入者のアイデンティティの知識を取得することによって、サービスを要求する移動局MS2(すなわち、加入者)を識別する。加入者のアイデンティティとして、好ましくはIMSIがIAにより抽出される。
好ましくは、IAは加入者のアイデンティティ及び加入者の要求サービスに関連した情報を記憶する。サービスプロバイダが異なるプロトコル(例えば、電子メールアカウントにはPOP3、ウェブのナビゲーションにはHTTP)を用いてより多くのサービスを提供する場合には、要求されるサービスについての情報は、IPアドレス及び/又はサービスプロバイダのURI及び/又はサービスにより用いられるプロトコルであり得る。図2には、IAに記憶された情報を示す表が例示される。図示した表は、サービスプロバイダSP−1、SP−2等により特徴付けられた1以上のサービスにアクセスすることを欲する加入者A、B及びCにマッピングを提供する。図2の例では、加入者は加入者のIMSIにより識別される。好ましくは、仮名PSが加入者に対してIAにより作られ、例えば、加入者のIMSIに対応したPSが作られる。別法として、図2に示されるように、複数の仮名を1人の加入者に生成でき、この場合、各仮名は加入者により要求される特定のサービスを特徴付ける。後で明らかになるように、IMSIなどの機密データを開示することを避けるためには、仮名を生成するのが好ましい。
例えば、IPアドレスを加入者に関連付けられたIMSIとマッピングすることによって加入者のアイデンティティを検証した後、IAはアクセス要求メッセージのアプリケーションレベルのプロトコルに従ってソフトウェアトークンを生成する。例えば、ウェブサービスに対するSOAPメッセージの場合、WS−セキュリティ仕様に従ってトークンを定義できる。トークンはアクセス要求メッセージ中に、例えばメッセージの既存のアプリケーションヘッダーに挿入されるフィールドとして、又はメッセージ中に加えられる新しいアプリケーションヘッダーとして、挿入される。
STIがどのレベルで動作するかに依存して、トークンがIAによりメッセージ中に挿入され得るか、又はIAがSTIにトークンをメッセージ中に挿入するよう命じることができる。後者の選択肢では、STIがアプリケーションレベルでも動作することが想定される。いずれにしても、STIが変更されたアクセス要求メッセージ(すなわち、トークンを含んでいる)をアプリケーションサーバー11に送信し、アプリケーションサーバー11が認証されたメッセージを受信する。
メッセージの認証は、例えば、トークンを検証してそれをサービスのアプリケーションロジックに送る特定のアプリケーションサーバーソフトウェアによって、アプリケーションサービス(アプリケーションサーバー11内で動作している)によりアクノリッジし得る。認証を制御するフレームワークの例は、Sun Java System Access Managerであり、これはオープンJava2プラットフォームに基づいたアーキテクチャーである。
認証トークンは、モバイルネットワーク、一般にはモバイルオペレータのドメインにおいて定義された加入者のアイデンティティに関連付けられた加入者の識別子、例えばIMSI又はMSISDNなどを含む。
好ましくは、トークン中に含まれる加入者の識別子は、SIMベースのアイデンティティ、例えば、IMSI又はMSISDNに関連付けられた仮名である。本発明は認証トークンにおけるモバイルネットワークにおいて定義された加入者のアイデンティティの使用を排除しないが、セキュリティ脅威(例えば、モバイルオペレータのビリング処理に対する詐欺行為)を避けるために、仮名を使用して、加入者のプライバシーを保護し、IMSIなどの機密情報の開示を防ぐ。別法として、識別子は、例えば加入者の信用度に依存してモバイルオペレータにより加入者に割り当てられた許可文字列/符号とし得る。識別子は一意的に加入者のアイデンティティに対応するのが好ましいが、同一の許可文字列/符号を例えば年齢でグループ分けされた加入者グループに割り当てることができる。
随意に、IAは生成されたトークンをSTIに転送する前に、パブリック・キー・インフラストラクチャ(PKI)サービス8に送り、パブリック・キー・インフラストラクチャ(PKI)サービス8は、例えばそれ自体公知の非対称暗号法でデジタル署名をトークンに追加することによってトークンを証明する。PKI8はEntrust PKI若しくはVeriSign(登録商標)などの商用のフレームワーク、又はOpenSSLなどのフリーウェア/オープン・ソース・ツールとし得る。
本発明の認証システムの利点は、加入者に対してトランスペアレントであることであり、加入者はサービスを要求した後は、認証の結果のみ、すなわちサービスへのアクセス又はアクセスの拒絶が分かるだけである。
STI及びIAを含んだ認証ソフトウェアプラットフォームは、モバイルネットワークオペレータの直接的な制御下におくことができる。
STI10とIA9は、GGSN6の外部の別のコンポーネントとして示されているが、例えばGGSNのGPRS規格制御ロジック中に内蔵されたソフトウェアモジュールとしてGGSN内に実装することができる。このことにより、GGSNとSTIとの間の物理的な接続が除かれるので、ネットワークレベルの攻撃に対してSTIのセキュリティを向上させることができる。
モジュールSTI及びIAは、Java、C、C++及びCORBAなどの標準的な言語にて実現され公知のハードウェアコンポーネント上にインストールされたソフトウェアコンポーネントとし得る。
図3は、本発明の好ましい態様により、アプリケーションサーバー内でホストされるウェブサービスに対するアクセス操作の処理図を示す。図3に示されたプロセスフローにおいて相互作用する主なコンポーネントは、図1について説明したのと同じ一般的な論理機能を有し、同じ参照番号で示される。
図3に示された態様では、MS2は、GPRS、EDGE又はUMTSなどのパケット交換携帯電話網内で接続及びデータ転送のためにデータ・イネーブルド・クライアントを含んだ携帯電話とし得る。例えば、携帯電話は、パケット交換ネットワークへの接続のために携帯電話を利用するパーソナルコンピュータに(有線又は無線リンクにより)リンクさせることができる。アプリケーションサーバー11は、公衆IPネットワークを介してサーバーに接続される携帯電話網の外部にあるドメインにおいてホストされる。
図3では、MSは、例えばSOAPプロトコル(データをウェブサービスに送るとき及びウェブサービスから送るとき用いられるXMLベースの言語である)を用いることにより、公衆IPネットワークにおいて提供されるサービス「abc」へのアクセスを要求する。SOAPメッセージはHTTPメッセージ(アプリケーションレベルにて)中に含まれ得る。SOAP要求は、例えばヘッダー中のHTTP POST又はHTTP GET要求とし得るが、SOAPメッセージはボディ中に含まれる。例えば図3には、HTTP POST要求の例、すなわち“POST /abc HTTP/1.1”が与えられている。工程31は、MSが外部のネットワークへのアクセスを得るのに必要な、MS2とGGSN6との間での相互作用を簡略化して表す。工程31中、MSはAAA7により識別され許可され、AAA7はIPアドレスをMSに割り当て、IPアドレスと加入者のアイデンティティとの間のマッピング情報をメモリに少なくともデータセッションの期間中記憶する。この態様では、加入者のアイデンティティはIMSIからなる。工程31の携帯電話網内での許可及び認証段階の後、データパケット中に保持されたアクセス要求メッセージがGGSNにより外部のネットワークに転送される(工程32)。工程32の破線は、メッセージが本発明による認証機構なしで進んだであろう論理経路、すなわち、メッセージがアプリケーションサーバー11に送信されたであろう論理経路を表す(その際にはアプリケーションサーバー11は、認証のためのチャレンジ/レスポンス機構によってユーザーに要求したであろう)。
本発明によると、工程32においてアクセス要求メッセージを含んだデータパケットが、GGSN6と公衆ネットワークとの間に位置するSTI10によりインターセプトされる。STIはインターセプトしたデータパケットから加入者のIPアドレス、すなわちセッションのためにMSに割り当てられたアドレス、好ましくはIP宛先アドレス、すなわちアプリケーションサーバー11のアドレスを抽出する。次にSTIはアプリケーションメッセージ(この場合SOAPメッセージ)と加入者のIPアドレスをIA9に転送する(工程33)。
STIがアプリケーションレベルより低いレベルで動作する場合には、このメッセージは例えばアプリケーションヘッダー(複数も可)をIAに向けて転送することによって自動的にIAに転送される。逆に、STIがアプリケーションレベルにて動作する場合には、アプリケーションレベルのメッセージにおいて用いられるプロトコル、この場合SOAP over HTTPプロトコルを認識する。いずれにしても、IAは加入者のIPアドレスと、メッセージが準拠しているアプリケーションレベルのプロトコルとについての知識を取得する。STIとIAとの間での情報の伝送は、例えばインターフェース定義言語(IDL)などの共通オブジェクト・リクエスト・ブローカー・アーキテクチャー(CORBA)、又はウェブサービス記述言語(WSDL)などのウェブサービス言語において指定されたインターフェースによって行われ得る。
工程34では、IA9はGSMネットワークにおいて(MS2により携帯電話網に接続された)加入者のアイデンティティを求めるためにAAA7に問い合わせをする。このアイデンティティはデータパケット中に捕らえられたソースIPアドレスに対応している。工程35では、AAA7が、IPアドレスに関連付けられた加入者のアイデンティティ(この場合IMSIにより表される)をIAに提供することによって問い合わせに応答する。
次の工程(工程35)で、IAは加入者の識別子を含んだトークンを生成する。このトークン(例えば文字列)は、例えばWS-セキュリティ仕様に従って定義し得る(図3中に<WS>tokenとして示す)。好ましくは、トークン中に含まれる識別子は、IAにより生成されIMSIに関連付けられた仮名である。この識別子はまた、図2に示す例のように、例えば、シングル・サイン・オン(SSO)アクセス機構の場合のように、セッション内の異なるサービスにアクセスするために同じ加入者(すなわち同じIMSI)に複数の仮名が生成された場合にはサービスプロバイダに関連付けることもできる。IAは仮名(複数も可)と携帯電話網内で定義された加入者のアイデンティティ(すなわち、IMSI)との間のマッピングを少なくともセッションの期間中は記録しておく。
以下の例はXMLフォーマットにて表されると共にOASIS(Organization for the Advancement of Structured Information standards)オープン規格に準拠した(簡略化された)SAMLトークンである:
上記の例のSAMLトークンは、GSMネットワークにおいて定義されたアイデンティティに関連付けられた「PSEUDONYM」(すなわち、IAにより与えられた識別子)を名前とするユーザーのアイデンティティをアサートする。好ましくは、SAMLトークンはサービスへのアクセスを許可するために用いられる認証方法についての情報を含み、この場合、GSMセキュリティスキーム(<GSM>で示される)により定義されている。追加のオプション情報は、認証の発行人(operator.comにより示される)とトークンの有効期間の条件(コマンドNotBefore及びNotAfterにより示される)である。
随意に、トークンは、デジタル署名をトークンに添えるため、又は公知の暗号化機構により暗号化するために、PKI8サービスに転送される(工程36)。工程37では、PKIはデジタル署名で証明され且つ/又は暗号化により保護されたトークンを戻す。証明/暗号化されたトークンは図3においてDS(<WS>−token)により示される。
工程35(PKIサービスが含まれる場合には工程37)に続いて、IAは生成されたトークンを含んだ新しいアクセス要求メッセージ(「New−soap」により示される)を生成する。好ましくは、この新しいメッセージは、OASIS WS−セキュリティ仕様に記載されている追加フィールドとしてSOAPエンベロープ中にトークンが追加されたMSから送信されるアクセス要求メッセージである。工程38で、新しいアクセス要求メッセージ(トークンを含む)が伝送のためにSTIに送られる。STIは、情報を抽出したデータパケットを予め複製しそのメモリに記憶しておき、それから、受信したアクセス要求メッセージをアプリケーションサーバー11に送信する(工程39)。
デジタル署名がトークンに添えられていたならば、アプリケーションサーバーはPKIサービスに問い合わせすることによりデジタル署名を検証する(工程40)。例えば、PKIはトークンのデジタル署名の証明書が有効であることを検証する。
最後に、トークンにより加入者のアイデンティティの認証を受信したアプリケーションサーバー11は、認証された加入者に要求サービスを提供する(工程41)。
図3に記載の認証機構はユーザーにトランスペアレントであり、ユーザーはサービスにアクセスするために証明を入力する必要がないことが分かる。加えて、この認証機構により、一般にサービスを提供するサービスプロバイダ間に協定が存在することを前提とするSSO機構を用いて複数のサービスへのトランスペアレントなアクセスが可能になる(アイデンティティ連合)。
図4は本発明の別の態様による外部のIPネットワークに接続されたパケット交換ネットワークのブロック図を示す。MS2はパケット交換モバイルネットワーク13、例えばUMTSネットワークに無線リンクされている。詳細には示されていないが、モバイルネットワーク13はAAAサーバーとGGSNを含む。この態様におけるIPネットワークは次世代ネットワーク(NGN)15であり、これはパケットベースのインターネットと電話ネットワークとの間の収束を可能にすると共に音声、データ及びビデオを含んだ顧客トラヒックのすべてのタイプをサポートするパケットベースのネットワークである。NGN技術のアプリケーションはVoice over IP(VoIP)である。この例では、NGNネットワークにおける呼/セッション機能は、セッション開始プロトコル(SIP)に基づいている。図4に示された態様によると、携帯電話MS2はSIPメッセージをNGN15を介してSIPサーバー14にアドレス指定する。モバイルネットワーク13のGGSNを出て行くSIPメッセージは、認証プラットフォーム17によりインターセプトされる。認証プラットフォーム17はSTI10、IA9及び随意にPKI8を含み、これらは図1に関して説明した機能と同じ一般的な論理機能を有する。認証の後、SIPサーバー14は常にNGN15を介してSIPメッセージをSIP電話16に転送し、SIP電話16は、IPベースの又は陸線/携帯電話のどちらかである他の電話に呼を発し、該他の電話から呼を受けるためのクライアントアプリケーションを含んだIPノードであり(すなわち、ユーザー・エージェント・クライアント及びユーザー・エージェント・サーバー)、例えばパーソナルコンピュータにインストールできる。SIPメッセージの例は、SIP電話16を用いてマルチメディア呼(例えば、テレビ会議)を設定するために携帯電話2から発せられる要求である。
SIPサーバーにおいてホストされるSIPサービスに対してNGNを介してアクセスする操作の処理図が、図5に概略的に示される。MS2はSIPプロトコルを用いることによりNGNにおいて提供されるサービスへのアクセスを要求する。例えば、このサービスはテレビ会議セッションの設定であり、これはINVITEコマンドにより要求できる。SIPメッセージは例えば「INVITE sip:name@acme.comSIP/2.0」とすることができ、ここで、name@acme.comはRequest_URIであり、これは、SIPメッセージの宛先を指定するSIP URI(例えばURL)である。Request_URIはSIP電話において定義されたユーザー又はユーザーエージェントサーバーとし得る。この例では、Request_URIはSIP電話16により識別されるユーザーである。SIPメッセージはTCP又はUDPによりネットワークレベルにてトランスポートし得る。
工程50は、MSが外部のネットワークへのアクセスを得るのに必要な、MS2とGGSN6との間での相互作用を簡略化して表す。工程50中、MSはAAA7により識別され許可され、AAA7はIPアドレスをMSに割り当て、IPアドレスと加入者のアイデンティティ(例えばIMSI)との間のマッピング情報をメモリに少なくともデータセッションの期間中記憶する。工程50の携帯電話網内での許可及び認証段階の後、データパケット中に保持されたアクセス要求メッセージがGGSNにより外部のネットワークに転送される(工程51)。工程51の破線は、メッセージが本発明による認証機構なしで進んだであろう論理経路、すなわち、メッセージがSIPサーバー14に送信されたであろう論理経路を表す。
本発明によると、工程52においてSIPメッセージが、GGSNとNGNとの間に位置するSTI10によりインターセプトされる。STIはインターセプトしたデータパケットから、ソースIPアドレス(すなわちMSに割り当てられたアドレス)と、宛先IPアドレス、すなわち要求を取り扱いINVITEメッセージを正しい被呼者(SIP URIにより示される)に転送することができるSIPサーバーのアドレスとを抽出する。次にSTIはSIPメッセージと加入者のIPアドレスをIA9に転送する(工程52)。
工程53では、IA9はSIPメッセージを含んだデータパケット中に捕らえられたソースIPアドレスに対応する加入者のアイデンティティを求めるためにAAA7に問い合わせをする。工程54では、AAA7が、IPアドレスに関連付けられた加入者のアイデンティティ(この場合IMSIにより表される)をIAに提供することによって問い合わせに応答する。
次の工程(工程54)で、IAは加入者の識別子を含んだトークンを生成する。このトークンは、例えばSAML仕様に従って定義し得る(図5中に[SAML]tokenとして示す)。好ましくは、識別子は、IAにより生成されIMSIに関連付けられた仮名である。
随意に、トークンは、デジタル署名をトークンに添えるため、且つ/又は公知の暗号化機構により暗号化するために、PKI8サービスに転送される(工程55)。工程56では、PKIはデジタル署名で証明され且つ/又は暗号化により保護されたトークンを戻す。証明/暗号化されたトークンは図5においてDS([SAML]−token)により示される。
工程54(PKIサービスが含まれる場合には工程56)に続いて、IAは生成されたトークンを含んだ新しいアクセス要求メッセージ(「New SIP header」により示される)を生成する。好ましくは、この新しいメッセージは、SIPヘッダー61により図5に示されるように、SIPプロトコルに記載されている追加フィールドとしてSIPヘッダー中にトークンが追加されたMSから送信されるアクセス要求メッセージである。DS([SAML]token)に先行するフィールド「SAML−Payload」は、IETFにより定義されたキーワードであり、SAML−tokenヘッダーを識別するのに用いられる。
新しいアクセス要求メッセージ(トークンを含む)が伝送のためにSTIに送られる(工程57)。次に、STIは、受信したSIPメッセージ61をSIPサーバー14に送る(工程58)。
デジタル署名がトークンに添えられていたならば、アプリケーションサーバーはPKIサービスに問い合わせすることによりデジタル署名を検証する(工程59)。
最後に、トークンにより加入者のアイデンティティの認証を受信したアプリケーションサーバー14は、INVITEに対する標準的なSIP肯定応答である「200 OK」メッセージをMSに送ることにより、INVITEメッセージに対して肯定応答を送信する(工程60)。それから、RTPを用いる音声映像ストリームをエンドポイント間に確立できる。
図4に戻ると、認証プラットフォーム17はモバイルネットワークの外部にあるものとして示されているが、モバイルネットワーク13中に、すなわちモバイルオペレータのセキュリティドメイン中に実装することもできる。
図6は本発明の好ましい態様によるアプリケーションサーバー中にホストされたウェブサイトへのアクセス操作の処理図を示す。ウェブサイトへのアクセスは、無線アプリケーションプロトコル(WAP)を用いることによりIPネットワークに接続されたGSMなどの回線交換モバイルネットワークから又はGPRSから行われる。この態様によると、MS2、例えばGSM電話は、WAPデータを解釈するマイクロブラウザーを含む。このWAPデータはUDPなどのネットワークプロトコルを用いて送られる。アプリケーションサーバーは専用のWAPサーバー又は従来のウェブサーバーとし得る。外部のネットワークへの携帯電話網のゲートウェイの論理機能はGGSN6により実行される。
図6に示される態様は、例えばリバティ・アライアンス・プロジェクトにより定義されたアイデンティティ連合フレームワーク(ID−FF)に適用できる。ID-FFはSAML規格に基づいており、標準的なSOAPベースの認証及びシングル・サイン・オンのサービスのインターフェースをアイデンティティプロバイダに提供する。
図6では、MS2は、例えばHTTPプロトコルを用いることにより、公衆IPネットワークにおいて提供されるサービス「abc」へのアクセスを要求する。図6には、HTTP GET要求の例、すなわち“GET /abc HTTP/1.1”が与えられている。工程71は、MSが外部のネットワークへのアクセスを得るのに必要な、MS2とGGSNとの間での相互作用を簡略化して表す。工程71中、MSはAAA7により識別され許可され、AAA7はIPアドレスをMSに割り当て、IPアドレスと加入者のアイデンティティとの間のマッピング情報をメモリに少なくともデータセッションの期間中記憶する。この態様では、加入者のアイデンティティはIMSIからなる。工程71の携帯電話網内での許可及び認証段階の後、データパケット中に保持されたアクセス要求メッセージがGGSNにより外部のネットワークに転送される(工程72)。工程72の破線は、メッセージが本発明による認証機構なしで進んだであろう論理経路、すなわち、メッセージがウェブ/WAPサーバーに送信されたであろう論理経路を表す。
本発明によると、工程72においてアクセス要求メッセージを含んだデータパケットが、GGSNと公衆ネットワークとの間に位置するSTI10によりインターセプトされる。STIはインターセプトしたデータパケットから加入者のIPアドレス、すなわちセッションのためにMSに割り当てられたアドレス、及びIP宛先アドレス、すなわちアプリケーションサーバー11のアドレスを抽出する。次にSTIはアプリケーションメッセージ(この場合にはHTTP GETメッセージ)と加入者のIPアドレスをIA9に転送する(工程73)。
工程74では、IA9は(MS2により携帯電話網に接続された)加入者のアイデンティティを求めるためにAAA7に問い合わせをする。このアイデンティティはデータパケット中に捕らえられたソースIPアドレスに対応している。工程75では、AAA7が、IPアドレスに関連付けられた加入者のアイデンティティ(この場合IMSIにより表される)をIAに提供することによって問い合わせに応答する。
次の工程(工程76)で、IAは加入者の識別子を含んだトークンを生成する。好ましくは、トークン中に含まれる識別子は、IAにより生成されIMSIに関連付けられた仮名である。このトークンは、例えばSAML仕様に従って定義し得る(図6中に[SAML]−tokenとして示す)。好ましくは、識別子は、IAにより生成されIMSIに関連付けられた仮名である。
随意に、トークンは、デジタル署名をトークンに添えるため、且つ/又は公知の暗号化機構により暗号化するために、PKI8サービスに転送される(工程76)。工程77では、PKIはデジタル署名で証明され且つ/又は暗号化により保護されたトークンを戻す。証明/暗号化されたトークンは図6においてDS([SAML]−token)により示される。
工程75(PKIサービスが含まれる場合には工程77)に続いて、IAはリバティ・アライアンスにより定義された規格に従ってSAMLアサーションに対するポインターとして機能する「アーチファクト」を生成する。前記アーチファクトは図6において「Artifact(SAML)」により示されている。次に、工程78にてアーチファクトがSTIに与えられる。工程79では、STIは「Artifact(SAML)」を含んだHTTP GETメッセージをウェブ/WAPサーバーに送る。工程80の間、アーチファクトを含んだアクセス要求メッセージを受信したサーバーは、IAに対してアーチファクトに対応したSAMLトークンを提供するよう要求する。要求しているモバイル加入者の識別子を含んだSAMLトークンを受信した後、加入者が識別され(そして許可され)、次にサーバー(すなわち、サービスプロバイダ)が肯定応答「welcome」をMSに送る(工程81)。
図7は本発明の別の好ましい態様を示し、サービスを要求している加入者の第1ネットワークがADSLアクセスネットワークであり、第2ネットワークがIPネットワークである。図7の態様はADSLネットワークの加入者がアプリケーションサーバー24内でホストされるウェブサイトでのサービスをIPネットワークを介して加入者のパーソナルコンピュータ(PC)18からアクセスすることを欲しているような代表的なシナリオを表すことができる。この例では、PC18は標準的なシリアルUSB(ユニバーサル・シリアル・バス)インターフェースを介してADSLモデム19に接続される。一般にPC18及びADSLモデム19は顧客敷地装置(CPE)68と称される。しかし、1以上のPC、IP電話又はTVセットトップボックスに接続された住宅ゲートウェイなどの代わりのCPEを考えることもできる。したがって、一般に、例えば、ログオンIDとパスワードをPCのキーボードからタイプすることにより、又は(例えば、スマートカード内に含まれるか又は住宅ゲートウェイのファームウェアに組み込まれた文字列コードを用いて)住宅ゲートウェイから自動認証によって、電気通信を開始し、ルーティングし、又は終了させるため、およびPDNにアクセスすべく認証要求を行なうためにCPEが用いられる。強調すべきは、PDN(例えば、インターネット)へのアクセスを許可するためのこの認証はアクセスネットワーク内であることである。
加入者はCPE68を介してDSLアクセスマルチプレクサー(DSLAM)30に接続される。DSLAM30はマルチプレクサー/デマルチプレクサーを備え、顧客回線(すなわち、有線リンク67)が中央局(オペレータ敷地)66のDSLAM内の割り当てられたADSL端末装置に接続される。DSLAM30は、ルーティング又はサービス選択を含めてアプリケーションレベルのセッション管理を行なう広帯域ネットワークアクセスサーバー(BNAS)29にアップリンクする。CPEは、図7において参照番号20で概略的に示されたエンドユーザーの場所(例えば、家庭又は会社)にある。CPEとDSLAMとの間の接続は有線リンク67、一般には標準的な銅製の電話線である。従来のアナログ電話、すなわち従来の一般電話システム(POTS)23は、同じ有線リンク67を介してPSTN25に随意に接続し得る。したがって、有線リンク67はPOTS及びDSL信号の両方を伝えることができる。DSLAM30と共にBNAS29は、外部のパケットデータネットワーク(この場合にはIPネットワーク22)に対するゲートウェイとして機能する。CPEとDSLAMとの間の通信では顧客敷地と中央局との間の専用有線リンクが用いられるので、DSLインフラストラクチャ内の通信の高レベルのセキュリティが保証されることに注目すべきである。
BNASは、加入者にアクセスを許可するために、IPネットワークへのアクセスを要求する加入者の認証を処理する。ログオン認証は認証、許可及び課金(AAA)サーバー26により実行される。AAAサーバー26は図1の態様において説明したモバイルネットワークのAAAサーバーと同様の論理操作を実行する。特に、AAAサーバーはデータベースを含み、該データベースでは、割り当てられたIPアドレスがxDSLネットワーク内の加入者のアイデンティティに関連付けられている。公知の方法に従い、PDNにアクセスするための認証(ログオン認証ともいう)を、パスワードベースの機構、スマートカード又は暗号トークンに基づいて行なうことができる。好ましいログオン認証機構では、ログオンID、一般には(外部のデータネットワークへの接続を要求するときに加入者が入力する)パスワードに関連付けられたユーザー名が使用される。ログオンIDはまたスマートカードの中に含ませることもできる。ログオンIDを用いることにより、同じ加入者局を使い得る異なるユーザー間の識別、例えば同じPCを介して接続するユーザー間の識別が可能になる。別法として、PSTNの呼出し回線識別(CLI)によりADSLインフラストラクチャ内で加入者を識別することができる。
本発明によると、セキュリティ・トークン・インジェクター(STI)65がBNAS29に論理的にリンクされる。STIはADSLネットワークから入ってくるトラヒックを制御するように配置される。特に、STI65はCPE68で生成されBNAS29を介してIPネットワーク22に向けられたデータパケットをインターセプトする。
STI65は少なくともネットワークレベルにて動作し、BNAS29を出て行くデータパケットを捕まえる。もしSTIがネットワークレベルでのみ、又は単にトランスポートレベルまでで動作するならば、BNASを出て行き(そしてIPネットワークに向かう)データパケットすべてを捕らえる必要がある。というのは、データパケット中に保持されたアプリケーションメッセージを識別できず、例えば、それがアクセス要求メッセージであるか否か、及びそのアプリケーションレベルのプロトコル上にメッセージが保持されているか否かを識別できないからである。STIがアプリケーションレベルでも動作する場合には、アクセス要求メッセージを識別し、異なるアプリケーションレベルのプロトコルを区別することができる。例えば、もしアプリケーションレベルでも動作するならば、HTTPアクセス要求メッセージのみをインターセプトして他のプロトコルで生成されたメッセージは通すようにSTIをプログラミングできる。
STI65の一般的な論理機能は図1に関して説明したSTI10と同様である。特に、アクセス要求メッセージを保持しているデータパケットにおいてSTIがインターセプトしなければならない最小情報は、ネットワークレベルでの加入者のアドレス、例えばインターネットにおいて加入者に割り当てられたIPアドレスについての情報である。
STI65により捕らえられたデータパケット中に含まれる情報の少なくとも一部は、アプリケーションレベルにて動作するソフトウェアコンポーネントの身分証明局(IA)64に送られる。IAは外部のPDN、すなわちIPネットワーク22にアクセスする加入者のアイデンティティの管理を担当する。IAは少なくとも加入者のIPアドレスと、アクセス要求メッセージのアプリケーションレベルのプロトコルについての情報とをSTIから受信する。この後者の情報は、データパケットをSTIから(STIがネットワーク/トランスポートレベルまででのみ動作する場合には「閉じたエンベロープ」として)受信することにより、又はSTIがアプリケーションレベルでも動作する場合にはプロトコルの種類などの特定の情報を受信することにより得ることができる。
IA64の論理機能は図1に関して説明したものと実質的に同じである。特に、IAは、STI65からそのIPアドレスの知識を取得すること、及び(割り当てられたIPアドレスと加入者のアイデンティティ(複数も可)との間のマッピングを含む)AAA26に問い合わせて加入者のアイデンティティの知識を取得することにより、サービスを要求する加入者(すなわち、例えば、スマートカードログオンを介して又はCLIから加入者の局)を識別する。
好ましくは、IAは加入者のアイデンティティ及び加入者の要求サービスに関連した情報を記憶する。サービスプロバイダが異なるプロトコル(例えば、電子メールアカウントにはPOP3、ウェブのナビゲーションにはHTTP)を用いてより多くのサービスを提供する場合には、要求されるサービスについての情報は、IPアドレス及び/又はサービスプロバイダのURI及び/又はサービスにより用いられるプロトコルであり得る。図8には、IA64に記憶された情報を示す表が例示される。図示した表は、サービスプロバイダSP−1、SP−2等により特徴付けられた1以上のサービスにアクセスすることを欲する加入者A、B及びCにマッピングを提供する。図8の例では、加入者は加入者のログオンID、例えばユーザーネームとパスワード(LOGIN−A、LOGIN−Bなど)により識別される。好ましくは、仮名PSが各加入者に対してIAにより作られ、例えば、加入者のログオンIDに対応したPSが作られる。別法として、図8に示されるように、複数の仮名を1人の加入者に生成でき、この場合、各仮名は加入者により要求される特定のサービスを特徴付ける。CLI又はログオンIDなどの機密データを開示することを避けるためには、仮名を生成するのが好ましい。
例えば、IPアドレスを加入者に関連付けられたログオンIDとマッピングすることによって加入者のアイデンティティを検証した後、IAはアクセス要求メッセージのアプリケーションレベルのプロトコルに従ってソフトウェアトークンを生成する。トークンはアクセス要求メッセージ中に、例えばメッセージの既存のアプリケーションヘッダーに挿入されるフィールドとして、又はメッセージ中に加えられる新しいアプリケーションヘッダーとして、挿入される。
STIがどのレベルで動作するかに依存して、トークンがIAによりメッセージ中に挿入され得るか、又はIAがSTIにトークンをメッセージ中に挿入するよう命じることができる。後者の選択肢では、STIがアプリケーションレベルでも動作することが想定される。いずれにしても、STIが変更されたアクセス要求メッセージ(すなわち、トークンを含んでいる)をアプリケーションサーバー24に送信し、アプリケーションサーバー24が認証されたメッセージを受信する。
認証トークンは、固定アクセスネットワークにおいて定義された加入者のアイデンティティに関連付けられた加入者の識別子を含む。
好ましくは、トークン中に含まれる加入者の識別子は、加入者のアイデンティティ、例えばCLI又はログオンIDに関連付けられた仮名である。本発明はPSTN又は固定アクセスネットワークにおいて定義された加入者のアイデンティティを認証トークンにおいて使用することを排除しないが、仮名を使用して加入者のプライバシーを保護し、機密情報の開示を防ぐ。別法として、識別子は、例えば加入者の信用度に依存してPSTNオペレータにより加入者に割り当てられた許可文字列/符号とし得る。識別子は一意的に加入者のアイデンティティに対応するのが好ましいが、同一の許可文字列/符号を例えば年齢でグループ分けされた加入者グループに割り当てることができる。
随意に、IA64は生成されたトークンをSTIに転送する前に、パブリック・キー・インフラストラクチャ(PKI)サービス63に送り、パブリック・キー・インフラストラクチャ(PKI)サービス63は、例えばそれ自体公知の非対称暗号法でデジタル署名をトークンに追加することによってトークンを証明する。
STI65とIA64は、BNAS29の外部の別のコンポーネントとして示されているが、例えばBNASの制御ロジック中に内蔵されたソフトウェアモジュールとしてBNAS内に好ましくは実装することができる。このことにより、BNASとSTIとの間の物理的な接続が除かれるので、ネットワークレベルの攻撃に対してSTIのセキュリティを向上させることができる。
図7〜9ではデジタル加入者線(DSL)技術(特にADSL技術)の場合について本発明の態様を説明したが、本発明はxDSL技術に限定されるものではないことが分かる。実際、他のアクセス技術及び/又はネットワーク構成、例えば、限定するものではないがハイブリッドファイバー同軸ケーブル(HFC)、無線接続(例えば、WiFi(登録商標)又はWiMAX)、ファイバー・ツー・ザ・ホーム(FTTH)、及び/又はイーサネットなども本発明の他の態様において使用できる。
図9はアプリケーションサーバー内でホストされたウェブサイトへのアクセス操作の処理図を示す。このプロセスフローにおいて相互作用する主なコンポーネントは、図7に関して説明したものと同じ一般的な論理機能を有しており、同じ参照番号で示されている。この態様では、加入者局はSOAPプロトコルを用いることにより公衆IPネットワークにおいて提供されるサービス「abc」へのアクセスを要求する。このHTTP要求は、例えばHTTP POST、例えば「POST /abc HTTP/1.1」とし得る。加入者局(この態様ではADSLモデムにリンクされたエンドユーザー周辺デバイス18(例えば、PC))が、工程91にてADSLインフラストラクチャ内で公知の方法で認証する。すなわち、工程91は、加入者局が外部のネットワークにアクセスするのに必要な、PC18(DSLモデムを介する)とBNAS29との間での相互作用を概略的に示す。認証段階では、AAA26がIPアドレスを加入者局に割り当てると共に、少なくともデータセッションの期間中、IPアドレスと加入者のアイデンティティとの間のマッピング情報をメモリに記憶する。次に、IPサービスにアクセスするために加入者局がADSLアクセスネットワークから認証され、IPアドレスが加入者に割り当てられる。
工程91のアクセスネットワーク内での許可及び認証段階の後、工程92にて、データパケット中に保持されたアクセス要求メッセージがBNASにより外部のネットワークに転送される。工程92の破線は、メッセージが本発明による認証機構なしで進んだであろう論理経路、すなわち、メッセージがアプリケーションサーバー24に送信されたであろう論理経路を表す。
本発明によると、工程92においてアクセス要求メッセージを含んだデータパケットが、BNAS29と公衆ネットワークとの間に位置するSTI65によりインターセプトされる。STIはインターセプトしたデータパケットから加入者のIPアドレス、すなわちセッションのために加入者局に割り当てられたアドレス、好ましくはIP宛先アドレス、すなわちアプリケーションサーバー24のアドレスを抽出する。次にSTIはアプリケーションメッセージ(この場合SOAPメッセージ)と加入者のIPアドレスをIA64に転送する(工程93)。
STIがアプリケーションレベルより低いレベルで動作する場合には、このメッセージは例えばアプリケーションヘッダー(複数も可)をIAに向けて転送することによって自動的にIAに転送される。逆に、STIがアプリケーションレベルにて動作する場合には、アプリケーションレベルメッセージにおいて用いられるプロトコル、この場合SOAP over HTTPプロトコルを認識する。いずれにしても、IAは加入者のIPアドレスと、メッセージが準拠しているアプリケーションレベルのプロトコルとについての知識を取得する。STIとIAとの間での情報の伝送は、例えばインターフェース定義言語(IDL)などの共通オブジェクト・リクエスト・ブローカー・アーキテクチャー(CORBA)、又はウェブサービス記述言語(WSDL)などのウェブサービス言語において指定されたインターフェースによって行われ得る。
工程94では、IA64はPSTNにおいて加入者のアイデンティティを求めるためにAAA26に問い合わせをする。このアイデンティティはデータパケット中に捕らえられたソースIPアドレスに対応している。工程95では、AAA26が、IPアドレスに関連付けられた加入者のアイデンティティ(この場合ログオンIDにより表される)をIAに提供することによって問い合わせに応答する。
次の工程(工程96)で、IAは加入者の識別子を含んだトークンを生成する。このトークン(例えば文字列)は、例えばWS−セキュリティ仕様に従って定義し得る(図9中に<WS>tokenとして示す)。好ましくは、トークン中に含まれる識別子は、IAにより生成されログオンIDに関連付けられた仮名である。この識別子はまた、図8に示す例のように、例えば、シングル・サイン・オン(SSO)アクセス機構の場合のように、セッション内の異なるサービスにアクセスするために同じ加入者(すなわち同じログオンID)に複数の仮名が生成された場合にはサービスプロバイダに関連付けることもできる。IAは仮名(複数も可)とPSTN内で定義された加入者のアイデンティティ(例えばログオンID又はCLI)との間のマッピングを少なくともセッションの期間中は記録しておく。
随意に、トークンは、デジタル署名をトークンに添えるため、又は公知の暗号化機構により暗号化するために、PKI63サービスに転送される(工程97)。工程98では、PKIはデジタル署名で証明され且つ/又は暗号化により保護されたトークンを戻す。証明/暗号化されたトークンは図9においてDS(<WS>−token)により示される。
工程95(PKIサービスが含まれる場合には工程97)に続いて、IAは生成されたトークンを含んだ新しいアクセス要求メッセージ(「New−soap」により示される)を生成する。工程98で、新しいアクセス要求メッセージ(トークンを含む)が伝送のためにSTIに送られる。例えば、新しいメッセージは、OASIS WS−セキュリティ仕様において記述された追加フィールドとしてトークンがSOAPエンベロープ中に追加されている、加入者局から送信されたアクセス要求メッセージである。STIは、情報を抽出したデータパケットを予め複製しそのメモリに記憶しておき、それから、受信したアクセス要求メッセージをアプリケーションサーバー24に送信する(工程99)。
デジタル署名がトークンに添えられていたならば、アプリケーションサーバーはPKIサービスに問い合わせすることによりデジタル署名を検証する(工程100)。例えば、PKIはトークンのデジタル署名の証明書が有効であることを検証する。
最後に、トークンにより加入者のアイデンティティの認証を受信したアプリケーションサーバー24は、認証された加入者に要求サービスを提供する(工程101)。
図9に記載の認証機構はユーザーにトランスペアレントであり、ユーザーはサービスにアクセスするために証明を入力する必要がないことが分かる。加えて、この認証機構により、一般にサービスを提供するサービスプロバイダ間に協定が存在することを前提とするSSO機構を用いて複数のサービスへのトランスペアレントなアクセスが可能になる(アイデンティティ連合)。
近年、ユーザーは複数の電気通信ネットワークの加入者であり、したがって異なるネットワークからアプリケーションサービスにアクセスすることを欲する又は必要とすることが益々一般的になってきた。図2及び8に関して説明したように、(必ずしもそうではないが)異なるサービスプロバイダにより与えられ得る異なるアプリケーションサービスに同意した同じ加入者に対して、異なる仮名を生成することができる。出願人は、ユーザーがサービスにアクセスする異なるネットワークに対して同一である仮名によって、サービスアプリケーションにて(すなわち、サービスプロバイダに対して)ユーザーを識別できることが分かった。図10はユーザーが複数の電気通信ネットワーク、すなわちADSLアクセスネットワーク121、無線(WiFi(登録商標))アクセスネットワーク124、GPRS/GSMネットワーク128及びUMTSネットワーク126の加入者であるシナリオを概略的に示す。ユーザーはネットワーク121、124、126又は128からIPネットワーク120を介してアプリケーションサーバー129にてアプリケーションサービスにアクセスする要求を送ることができる。IPアドレスは、常に第1ネットワーク内で、要求が生成されてAAAサーバー(図示せず)により識別子に関連付けられる第1ネットワーク内で、アクティブにされる。本発明の好ましい態様によると、セキュリティ・トークン・インジェクター(STI)は、加入者がアプリケーションサービスを要求する各第1ネットワークのアクセスゲートウェイ又はアクセスポイント(例えば、BNAS、GGSN)(これはIPネットワークのゲートウェイとして機能する)に論理的にリンクされる。STI122、123、125及び127はネットワーク121、124、126及び127からそれぞれ発せられたアクセス要求メッセージをインターセプトする。図示されてはいないが、各STIは、IPネットワークを介してアプリケーションサービスにアクセスする加入者のアイデンティティを管理することを担当する身分証明局(IA)に論理的にリンクされる。STI及びIAの機能と論理操作は、上記の態様に関して詳細に説明される。特に、各第1ネットワークのIAは、取得したIPアドレスから加入者のアイデンティティの知識を得て、仮名をIPアドレスに関連付け、これは、(第1ネットワーク内の加入者のアイデンティティに対する関連性により)加入者を識別するだけでなく、要求されるアプリケーションサービスに関連する。要求サービスを仮名に関連付けできるためには、IA(又はSTIがアプリケーションレベルで動作する場合にはSTI)は要求サービスのURIをアクセス要求メッセージから抽出する必要がある。URIの知識を得ることにより、加入者の識別子をサービス関連の仮名に関連付け、それからアクセス要求メッセージ中に挿入することができる。サービス関連の仮名は、要求サービスを実施しているサービスプロバイダにより生成し、それからIAに通信することができる。このような通信を行なういくつかの解決策が可能である。これは、アイデンティティ連合をサポートするためにリバティ・アライアンス協会により規定されたプロトコルなどのプロトコルによって、オフライン方式によるか、IAにより提供されサービスプロバイダにより用いられる何らかの提供ツールによるか、又はランタイムにて実行できる。
この態様においても加入者のアイデンティティは、ユーザーがサービスを要求する第1ネットワークにより保証されることが分かる。
マルチネットワークアクセスの可能なシナリオは、マルチプラットフォームオペレータにより管理される複数のネットワーク、例えば、GPRS、UMTS及び固定アクセスネットワーク(例えばPSTNの電話線上のxDSLなど)の加入者であるユーザーのマルチネットワークアクセスであり得る。
出願人はいくつかのサービスではクライアント(すなわち、加入者局)とサーバーとの間での相互認証が必要とされることが分かった。換言すれば、インターネットなどの外部のネットワークを介して何らかのサービスを利用する場合、ユーザーは自身がほんとうに所望の又は正しいサーバーと通信しているか否かを知る必要があるか又は知ることを欲し得る。リモートコンピュータがサーバーの挙動を模倣できるならば、ユーザーは欺かれて正しいサーバーを通信していると考えるかもしれない。例えば、金融機関、その顧客及び金融取引についての情報は、従来からセキュリティと信頼性に非常に神経質なものと考えられてきた。今日では、非対称キーペア暗号法が例えば、インターネットバンキングにおいてセキュリティと秘密性を保証するためにしばしば用いられる。
図11は、本発明の好ましい態様において、相互認証の場合にPDNを介してアプリケーションサーバー内にホストされたサービスにアクセスすることを示す簡略プロセス図である。工程113では、移動局又はCPEであり得る加入者局110が、アプリケーションサーバー112内でホストされるサービスを要求する。この例では、メッセージはPOST型のHTTPアクセス要求メッセージである。常に工程113では本発明の方法(上記態様において詳細に記載)に従い、前記メッセージがSTI111によりインターセプトされ、トークン、すなわちToken−cが生成され該メッセージに関連付けられる。次にSTIはメッセージを関連のトークンと共にアプリケーションサーバーに送る(工程114)。メッセージを受信し(随意に認証の有効性を検証し)た後、サーバー112は応答トークン、すなわち、Token−sを生成し、これは、受信したPOSTメッセージに対する肯定応答「Welcome」中に入れられる。Token−sは例えばSAMLアサーションなどの規格に従ってアプリケーションサービス(例えばJava Servlet又はMicrosoft Active Server Pages)を実行するソフトウェア中に実装された文字列とし得る。別法として、Token−sは好ましくはサービスプロバイダ敷地にてサーバーに論理的にリンクされた論理エンティティ(図中に図示せず)により生成される。論理エンティティはアプリケーションサーバーの前に配置されたアプリケーション・ファイア・ウォールとし得る。
Token−sを含むと共にアプリケーションサーバー112により加入者局110に送信された応答メッセージは、STI111によりインターセプトされ、STI111がToken−sを応答メッセージから抽出してその有効性を検証する。この有効性は、デジタル署名、又はネットワークオペレータ(STIがオペレータ敷地にあることを想定)とサービスプロバイダとの間で共有された秘密、例えば対称キーによって検証できる。Token−sの有効性が肯定的に検証されたなら、STIはインターセプトされた肯定応答メッセージ「Welcome」を加入者局に送信するか(工程116)又は加入者局110に送信される新しい肯定応答メッセージを生成する。そうでない場合には、STIは通信を中断してエラーメッセージを加入者局(図中に図示されていない)に送る。
本態様ではSTIはアプリケーションレベルで動作することが仮定されているので、STIはアプリケーションサーバーから送信された応答メッセージをインターセプトできるだけでなく、Token−sを抽出することもできる。STIがトランスポートレベルまでで動作する場合には、STI111が応答メッセージをインターセプトし、それからIA(図11中に図示せず)に送信し、IAがアプリケーションレベルのToken−sを抽出してその有効性を検証することが分かる。
好ましくは、無許可の者によりToken−sがインターセプト又は盗まれるのを避けるために、前記トークンを暗号化により保護するか又は寿命に関連付けることもできる。
サーバーの認証の機構もまたエンドユーザーに対してトランスペアレントであるという利点を有することに留意されたい。
サービスを要求する加入者の第1ネットワークがGPRSシステムであり、第2ネットワークがIPネットワークである本発明の一態様を示す。 第1ネットワークがモバイルネットワークである本発明の一態様により身分証明局(IA)に記憶された情報を有する表の例を示す。 アプリケーションサーバーにおいてホストされるウェブサービスに対するアクセス操作について、本発明の好ましい態様による処理図を示す。 本発明の別の態様において外部のNGNIPネットワークに接続されたパケット交換ネットワークのブロック図を示す。 本発明の別の態様において、SIPサーバーにおいてホストされるSIPサービスに対する、NGNを介するアクセス操作の処理図を概略的に示す。 アプリケーションサーバーにおいてホストされるウェブサイトに対するアクセス操作について、本発明の好ましい態様による処理図を示す。 サービスを要求する加入者の第1ネットワークが固定ネットワーク(ADSL)であり、第2ネットワークがIPネットワークである本発明の別の態様を示す。 第1ネットワークが固定ネットワークである本発明の一態様により身分証明局(IA)に記憶された情報を有する表の例を示す。 本発明の別の好ましい態様において、アプリケーションサーバーにおいてホストされるウェブサービスに対するアクセス操作の処理図を示す。 サービスを要求するユーザーが複数の(第1の)ネットワークの加入者であり、第2ネットワークがIPネットワークである本発明の一態様を示す。 本発明の別の態様による相互認証の場合の処理図を概略的に示す。
符号の説明
2 MS(移動局)
3 BTS(基地局)
4 BSC(基地局コントローラ)
5 SGSN(サービングGPRSサポートノード)
6 GGSN(ゲートウェイGPRSサポートノード)
7 AAA(認証・許可・課金サーバー)
8 PKI(パブリック・キー・インフラストラクチャ)
9 IA(身分証明局)
10 STI(セキュリティ・トークン・インジェクター)
11 サーバー
12 IPネットワーク

Claims (37)

  1. 第1ネットワークの加入者が、パケットデータネットワーク(PDN)である第2ネットワークを介してアプリケーションサーバーにアクセスするため方法であって、前記アプリケーションサーバーへの前記アクセス、データパケット中に入れられたアクセス要求メッセージの形式で行われ、前記アクセス要求メッセージは、前記アプリケーションサーバーが提供するサービスのアプリケーションレベルのプロトコルを識別し、前記データパケット、前記加入者に割り当てられた加入者のアドレス、前記アクセス要求メッセージとを含み、前記加入者のアドレスは、前記第2ネットワークにおけるアドレスであり、前記加入者のアドレスと前記第1ネットワークにおける前記加入者の第1の識別子との間のマッピングは、割当てサーバーによって与えられ、前記方法は、
    a)第1の論理エンティティが、前記加入者が使用する加入者局からの前記第2ネットワークへの第1のデータパケットをインターセプトする工程と、
    b)前記第1の論理エンティティにリンクされた第2の論理エンティティが、前記第1のデータパケットに含まれる前記アクセス要求メッセージによって識別される前記アプリケーションレベルのプロトコルを認識し、前記第1のデータパケットに含まれる前記加入者のアドレスにマッピングされた前記第1の識別子を前記割当てサーバーから取得し、認識した前記アプリケーションレベルのプロトコルに従って前記加入者の第2の識別子を含んだ第1認証トークンを生成する工程であって、前記第2の識別子は、前記第2の論理エンティティが生成し前記第1の識別子に関連付けられた識別子である、工程と
    前記第1の論理エンティティが、前記第1のデータパケットに含まれる前記加入者のアドレスと、前記第1のデータパケットに含まれる前記アクセス要求メッセージと、生成された前記第1認証トークンとを含む第2のデータパケットを前記第2ネットワークに送る工程と
    を含む、方法。
  2. 前記第2ネットワークがIPネットワークであり、前記加入者のアドレスがIPアドレスである請求項1に記載の方法。
  3. 前記第1ネットワークがモバイルネットワークである請求項1又は2に記載の方法。
  4. 前記モバイルネットワークがパケット交換携帯電話網である請求項3に記載の方法。
  5. 前記パケット交換携帯電話網がGPRSネットワークである請求項4に記載の方法。
  6. 前記パケット交換携帯電話網がEDGE又はUMTSネットワークである請求項4に記載の方法。
  7. 前記加入者の前記第1の識別子と前記加入者の前記第2の識別子が互いに異なる請求項1に記載の方法。
  8. 前記第1ネットワークがGSMネットワークであり、前記加入者の前記第1の識別子がSIMベースのアイデンティティである請求項7に記載の方法。
  9. 前記SIMベースのアイデンティティがGSMネットワークにおける前記加入者に関連付けられたIMSIである請求項8に記載の方法。
  10. 前記加入者の前記第2の識別子が前記加入者の前記第1の識別子に関連付けられた仮名である請求項7に記載の方法。
  11. 前記第1の論理エンティティ又は前記第2の論理エンティティが、前記第1認証トークンを前記アクセス要求メッセージ中に含ませる工程更に含む請求項1〜10のいずれか一項に記載の方法。
  12. 前記第1認証トークンが生成された後に、前記第2の論理エンティティが、前記第1認証トークンをデジタル署名と共に暗号化する工程を更に含む請求項1〜11のいずれか一項に記載の方法。
  13. 前記第1認証トークンを前記アクセス要求メッセージによって識別される前記アプリケーションレベルのプロトコルに従ったシンタックスにより表す請求項1〜12のいずれか一項に記載の方法。
  14. 前記アプリケーションレベルのプロトコルをSIP、HTTP及びSOAP over HTTPからなる群から選ぶ請求項1〜13のいずれか一項に記載の方法。
  15. 前記アプリケーションレベルのプロトコルがSIP又はHTTPであり、前記第1認証トークンをSAML規格に従って指定する請求項1に記載の方法。
  16. 前記第1ネットワークが固定アクセスネットワークである請求項1に記載の方法。
  17. 前記固定アクセスネットワークがデジタル加入者線(xDSL)アクセス技術を用いる請求項16に記載の方法。
  18. 前記加入者の前記第1の識別子がログオンIDである請求項16に記載の方法。
  19. 工程)の後に、
    前記第2のデータパケットを、前記第2ネットワークを介して前記アプリケーションサーバーにて受ける工程と、
    前記アプリケーションサーバーが、受けた前記第2のデータパケットが含む前記アクセス要求メッセージへの第1の応答メッセージを生成する工程と、
    前記アプリケーションサーバーが、第2認証トークンを生成し、前記第2認証トークンを前記第1の応答メッセージ中に含める工程と、
    前記第1の論理エンティティが、前記第2認証トークンを含んだ前記第1の応答メッセージをインターセプトする工程と、
    前記第1の論理エンティティが、前記第2認証トークンを前記第1の応答メッセージから抽出する工程と、
    前記第1の論理エンティティが、前記第2認証トークンを検証し、該検証が肯定的ならば第2の応答メッセージを前記第1ネットワークに送る工程と
    を更に含む請求項1に記載の方法。
  20. 工程)の後に、前記アプリケーションサーバーが前記第1認証トークンを検証する工程を更に含む請求項19に記載の方法。
  21. 前記第2の論理エンティティが、前記第1認証トークンが含む前記第2の識別子と要求された前記アプリケーションサーバーが提供するサービスとの間のマッピングを与える工程を更に含む請求項に記載の方法。
  22. 前記第1認証トークンが含む前記第2の識別子と要求された前記アプリケーションサーバーが提供するサービスとの間のマッピングを提供する前記ステップは前記第2の論理エンティティが、要求された前記アプリケーションサーバーのURIを、前記第1のデータパケットが含む前記アクセス要求メッセージから抽出することを含む請求項21に記載の方法。
  23. 前記加入者の前記第2の識別子は、前記加入者の前記第1の識別子及び要求された前記アプリケーションサーバーが提供するサービスに関連付けられた仮名である請求項21に記載の方法。
  24. 第1ネットワークの加入者が、パケットデータネットワーク(PDN)である第2ネットワークを介してアプリケーションサーバーにアクセスするためシステムであって、前記アプリケーションサーバーへの前記アクセスは、データパケット中に入れられたアクセス要求メッセージの形式で行われ、前記アクセス要求メッセージは、前記アプリケーションサーバーが提供するサービスのアプリケーションレベルのプロトコルを識別し、前記データパケットは、前記加入者に割り当てられた加入者のアドレスと、前記アクセス要求メッセージとを含み、前記加入者のアドレスは、前記第2ネットワークにおけるアドレスであり、前記システムは、
    前記第1ネットワークにつながれ、前記加入者が使用して、第1のデータパケットを生成する加入者局と
    前記加入者のアドレスを前記加入者に割り当て、前記加入者のアドレスと前記第1ネットワークにおける前記加入者の第1の識別子との間のマッピングを与える割当てサーバーと
    前記第1ネットワークと前記第2ネットワークをインターフェース前記割当てサーバーから受けた前記加入者のアドレスを前記加入者局に与え、前記加入者局から前記第1のデータパケットを受ける前記ゲートウェイと
    前記ゲートウェイにリンクされ、前記加入者局で生成され前記ゲートウェイを介して前記第2ネットワークに向けられた前記第1のデータパケットをインターセプト前記第1のデータパケット中で少なくとも前記加入者のアドレスを取得する、第1の論理エンティティと
    前記第1の論理エンティティにリンクされ、前記第1のデータパケットに含まれる前記加入者のアドレス及び前記アクセス要求メッセージを前記第1の論理エンティティから受け受けた前記アクセス要求メッセージによって識別される前記アプリケーションレベルのプロトコルを認識受けた前記加入者のアドレスにマッピングされた前記第1の識別子を前記割当てサーバーから取得し、前記加入者の第2の識別子を含んだ第1認証トークンを、認識した前記アプリケーションレベルのプロトコルに従って生成する第2の論理エンティティであって、前記第2の識別子は、前記第2の論理エンティティが生成し前記第1の識別子に関連付けられた識別子である、前記第2の論理エンティティと;
    を備え、前記第1の論理エンティティは、前記第1のデータパケットに含まれる前記加入者のアドレスと、前記第1のデータパケットに含まれる前記アクセス要求メッセージと、前記第1認証トークンとを含む第2のデータパケットを前記第2ネットワークに送る、システム。
  25. 前記割当てサーバーと前記ゲートウェイが前記第1ネットワークに含まれる請求項24に記載のシステム。
  26. 前記第1の論理エンティティと前記第2の論理エンティティが前記第1ネットワークに含まれる請求項24に記載のシステム。
  27. 前記第1ネットワークがモバイルネットワークであり、前記加入者局が無線リンクを介して前記第1ネットワークにつながれた移動局である請求項24に記載のシステム。
  28. 前記第1ネットワークがパケット交換携帯電話網である請求項27に記載のシステム。
  29. 前記ゲートウェイがGGSNである請求項27又は28に記載のシステム。
  30. 前記割当てサーバーが認証・許可・課金(AAA)サーバーである請求項24に記載のシステム。
  31. 前記第2ネットワークがIPネットワークである請求項24に記載のシステム。
  32. 前記第2の論理エンティティに論理的にリンクされ前記第1認証トークンを暗号化する証明論理エンティティを更に含む請求項24に記載のシステム。
  33. 前記第1の論理エンティティがアプリケーションレベルのファイアウォールである請求項24に記載のシステム。
  34. 前記第1ネットワークが固定アクセスネットワークであり、前記加入者局が有線リンクを介して前記第1ネットワークにつながれた顧客敷地装置である請求項24に記載のシステム。
  35. 前記加入者の前記第1の識別子がログオンIDである請求項34に記載のシステム。
  36. 前記第1の論理エンティティがまた、前記第2ネットワークを介して送信されて前記ゲートウェイを介して前記加入者局に向けられた応答メッセージをインターセプトする請求項24に記載のシステム。
  37. 前記応答メッセージが第2認証トークンを含む請求項36に記載のシステム。
JP2007538287A 2004-10-26 2005-09-30 モバイルユーザーをトランスペアレントに認証してウェブサービスにアクセスする方法及びシステム Expired - Fee Related JP4782139B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EPPCT/EP2004/012052 2004-10-26
EP2004012052 2004-10-26
PCT/EP2005/010590 WO2006045402A1 (en) 2004-10-26 2005-09-30 Method and system for transparently authenticating a mobile user to access web services

Publications (2)

Publication Number Publication Date
JP2008518533A JP2008518533A (ja) 2008-05-29
JP4782139B2 true JP4782139B2 (ja) 2011-09-28

Family

ID=34959133

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007538287A Expired - Fee Related JP4782139B2 (ja) 2004-10-26 2005-09-30 モバイルユーザーをトランスペアレントに認証してウェブサービスにアクセスする方法及びシステム

Country Status (6)

Country Link
US (1) US7954141B2 (ja)
JP (1) JP4782139B2 (ja)
CN (1) CN101069402B (ja)
AR (1) AR053529A1 (ja)
BR (1) BRPI0517521B1 (ja)
WO (1) WO2006045402A1 (ja)

Families Citing this family (132)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7409685B2 (en) 2002-04-12 2008-08-05 Hewlett-Packard Development Company, L.P. Initialization and update of software and/or firmware in electronic devices
US8479189B2 (en) 2000-11-17 2013-07-02 Hewlett-Packard Development Company, L.P. Pattern detection preprocessor in an electronic device update generation system
US8244837B2 (en) * 2001-11-05 2012-08-14 Accenture Global Services Limited Central administration of one or more resources
US8555273B1 (en) 2003-09-17 2013-10-08 Palm. Inc. Network for updating electronic devices
US7904895B1 (en) 2004-04-21 2011-03-08 Hewlett-Packard Develpment Company, L.P. Firmware update in electronic devices employing update agent in a flash memory card
US8526940B1 (en) 2004-08-17 2013-09-03 Palm, Inc. Centralized rules repository for smart phone customer care
US20070245411A1 (en) * 2005-09-15 2007-10-18 Gregory Newton Methods, systems and computer program products for single sign on authentication
US8139521B2 (en) * 2005-10-28 2012-03-20 Interdigital Technology Corporation Wireless nodes with active authentication and associated methods
US7725928B2 (en) * 2005-12-02 2010-05-25 Palo Alto Research Center Incorporated System and method for establishing temporary and permanent credentials for secure online commerce
US8270947B2 (en) * 2005-12-19 2012-09-18 Motorola Solutions, Inc. Method and apparatus for providing a supplicant access to a requested service
US20070143470A1 (en) * 2005-12-20 2007-06-21 Nortel Networks Limited Facilitating integrated web and telecommunication services with collaborating web and telecommunication clients
GB2450046B (en) * 2006-03-29 2011-03-09 Kt Freetel Co Ltd Digital device and method for providing additional service by using the same
US8745227B2 (en) * 2006-06-07 2014-06-03 Apple Inc. Distributed secure content delivery
WO2007146710A2 (en) 2006-06-08 2007-12-21 Hewlett-Packard Development Company, L.P. Device management in a network
US8346265B2 (en) 2006-06-20 2013-01-01 Alcatel Lucent Secure communication network user mobility apparatus and methods
JP5027227B2 (ja) 2006-07-10 2012-09-19 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおける認証手順のための方法および装置
US8752044B2 (en) 2006-07-27 2014-06-10 Qualcomm Incorporated User experience and dependency management in a mobile device
US7881297B2 (en) * 2006-09-01 2011-02-01 Avaya Inc. Providing communications including an extended protocol header
US7814534B2 (en) * 2006-09-08 2010-10-12 Microsoft Corporation Auditing authorization decisions
US8095969B2 (en) 2006-09-08 2012-01-10 Microsoft Corporation Security assertion revocation
US8060931B2 (en) 2006-09-08 2011-11-15 Microsoft Corporation Security authorization queries
US20080066158A1 (en) * 2006-09-08 2008-03-13 Microsoft Corporation Authorization Decisions with Principal Attributes
US8201215B2 (en) 2006-09-08 2012-06-12 Microsoft Corporation Controlling the delegation of rights
US20080065899A1 (en) * 2006-09-08 2008-03-13 Microsoft Corporation Variable Expressions in Security Assertions
US20080066169A1 (en) * 2006-09-08 2008-03-13 Microsoft Corporation Fact Qualifiers in Security Scenarios
US8656503B2 (en) 2006-09-11 2014-02-18 Microsoft Corporation Security language translations with logic resolution
US8938783B2 (en) * 2006-09-11 2015-01-20 Microsoft Corporation Security language expressions for logic resolution
US20080066147A1 (en) * 2006-09-11 2008-03-13 Microsoft Corporation Composable Security Policies
DE112007002863T5 (de) * 2006-11-29 2009-10-29 Hewlett-Packard Development Co., L.P., Houston IP-Basierte Benachrichtigung von Vorrichtungsverwaltungsoperationen in einem Netzwerk
US20080162712A1 (en) * 2006-12-27 2008-07-03 Motorola, Inc. Method and apparatus to facilitate sharing streaming content via an identity provider
US20100088755A1 (en) * 2006-12-29 2010-04-08 Telefonaktiebolaget L M Ericsson (Publ) Access management for devices in communication networks
EP1959629B1 (en) 2007-02-13 2016-04-13 Vodafone GmbH Method for authenticating a user for access to server based applications from mobile device, gateway and identity management unit
US8331989B2 (en) * 2007-06-15 2012-12-11 Intel Corporation Field programming of a mobile station with subscriber identification and related information
FI121646B (fi) * 2007-08-08 2011-02-15 Teliasonera Finland Oyj Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan
US20090064291A1 (en) * 2007-08-28 2009-03-05 Mark Frederick Wahl System and method for relaying authentication at network attachment
US7945246B2 (en) * 2007-10-26 2011-05-17 Sony Ericsson Mobile Communications Ab System and method for establishing authenticated network communications in electronic equipment
US8839386B2 (en) * 2007-12-03 2014-09-16 At&T Intellectual Property I, L.P. Method and apparatus for providing authentication
WO2009087006A1 (en) * 2008-01-09 2009-07-16 Nokia Siemens Networks Oy Mechanism for authentication and authorization for network and service access
US8107921B2 (en) * 2008-01-11 2012-01-31 Seven Networks, Inc. Mobile virtual network operator
WO2009092105A2 (en) * 2008-01-18 2009-07-23 Tekelec Systems, methods and computer readable media for application-level authentication of messages in a telecommunications network
CN101547383B (zh) * 2008-03-26 2013-06-05 华为技术有限公司 一种接入认证方法及接入认证系统以及相关设备
ES2574986T3 (es) 2008-04-02 2016-06-23 Vodafone Group Plc Red de telecomunicaciones
JP5051656B2 (ja) * 2008-06-05 2012-10-17 日本電気株式会社 通信制御システムおよび通信制御方法
US8751788B2 (en) * 2008-06-10 2014-06-10 Paymetric, Inc. Payment encryption accelerator
WO2013065037A1 (en) * 2011-09-26 2013-05-10 Elta Systems Ltd. A mobile communication system implementing integration of multiple logins of mobile device applications
EP2443055A1 (en) 2008-06-17 2012-04-25 Digigage Ltd. System for altering virtual views
WO2010000298A1 (en) * 2008-06-30 2010-01-07 Nokia Siemens Networks Oy Apparatus, method and program for integrated authentication
US8910257B2 (en) * 2008-07-07 2014-12-09 Microsoft Corporation Representing security identities using claims
KR101001555B1 (ko) * 2008-09-23 2010-12-17 한국전자통신연구원 네트워크 id 기반 연합 및 싱글사인온 인증 방법
US8171057B2 (en) * 2008-10-23 2012-05-01 Microsoft Corporation Modeling party identities in computer storage systems
US20100192183A1 (en) * 2009-01-29 2010-07-29 At&T Intellectual Property I, L.P. Mobile Device Access to Multimedia Content Recorded at Customer Premises
JP4715937B2 (ja) * 2009-03-06 2011-07-06 ブラザー工業株式会社 端末装置とコンピュータプログラム
US8370509B2 (en) 2009-04-09 2013-02-05 Alcatel Lucent Identity management services provided by network operator
CN104394146B (zh) 2009-04-13 2017-10-20 黑莓有限公司 用于确定sip消息的可信度的系统和方法
EP2427849A4 (en) * 2009-05-08 2014-01-22 Hewlett Packard Development Co ACCESS CONTROL OF A DISTRIBUTED DATA PROCESSING RESOURCE SYSTEM AND METHOD
EP2259551A1 (en) 2009-06-05 2010-12-08 Software AG Gateway server system comprising a gateway server for making SOAP/XML-based web services accessible to RPC clients
CN101945375A (zh) * 2009-07-07 2011-01-12 中兴通讯股份有限公司 一种选择应用前端的方法及用户数据仓储
DE102009040477A1 (de) * 2009-09-08 2011-03-10 Deutsche Telekom Ag Authentifizierung im Mobilfunknetz durch Authentifizierungszelle
US8832815B2 (en) * 2009-09-09 2014-09-09 T-Mobile Usa, Inc. Accessory based data distribution
EP2306682A1 (en) * 2009-09-30 2011-04-06 British Telecommunications public limited company Method of configuring a device to self-authenticate
GB2474504B (en) * 2009-10-19 2015-12-02 Ubiquisys Ltd Wireless access point
CN101692674B (zh) 2009-10-30 2012-10-17 杭州华三通信技术有限公司 双栈接入的方法和设备
US9119076B1 (en) 2009-12-11 2015-08-25 Emc Corporation System and method for authentication using a mobile communication device
US8860581B2 (en) * 2010-01-19 2014-10-14 T-Mobile Usa, Inc. Element mapping to control illumination of a device shell
US9003489B2 (en) * 2010-02-04 2015-04-07 Cisco Technology, Inc. System and method for providing virtual user groups in a network environment
US8280351B1 (en) * 2010-02-04 2012-10-02 Cellco Partnership Automatic device authentication and account identification without user input when application is started on mobile station
EP2534864B1 (en) * 2010-02-12 2019-11-27 BCE Inc. Seamless mobile subscriber identification
US8868758B2 (en) * 2010-05-04 2014-10-21 Microsoft Corporation Provider connection framework
US8973125B2 (en) 2010-05-28 2015-03-03 Alcatel Lucent Application layer authentication in packet networks
US8997196B2 (en) * 2010-06-14 2015-03-31 Microsoft Corporation Flexible end-point compliance and strong authentication for distributed hybrid enterprises
US9560036B2 (en) * 2010-07-08 2017-01-31 International Business Machines Corporation Cross-protocol federated single sign-on (F-SSO) for cloud enablement
US9560035B2 (en) * 2010-08-04 2017-01-31 At&T Mobility Ii Llc Systems, devices, methods and computer program products for establishing network connections between service providers and applications that run natively on devices
US9319880B2 (en) 2010-09-15 2016-04-19 Intel Corporation Reformatting data to decrease bandwidth between a video encoder and a buffer
WO2012054055A1 (en) 2010-10-22 2012-04-26 Hewlett-Packard Development Company, L.P. Distributed network instrumentation system
EP2466522A1 (en) * 2010-11-30 2012-06-20 Gemalto SA Method for providing a user with an authentificated remote access to a remote secure device
US9198038B2 (en) 2011-06-13 2015-11-24 Qualcomm Incorporated Apparatus and methods of identity management in a multi-network system
US9270453B2 (en) 2011-06-30 2016-02-23 Verizon Patent And Licensing Inc. Local security key generation
US9154527B2 (en) 2011-06-30 2015-10-06 Verizon Patent And Licensing Inc. Security key creation
US8943318B2 (en) 2012-05-11 2015-01-27 Verizon Patent And Licensing Inc. Secure messaging by key generation information transfer
US8990554B2 (en) * 2011-06-30 2015-03-24 Verizon Patent And Licensing Inc. Network optimization for secure connection establishment or secure messaging
US20130007867A1 (en) * 2011-06-30 2013-01-03 Cisco Technology, Inc. Network Identity for Software-as-a-Service Authentication
US8918850B2 (en) 2011-08-01 2014-12-23 Google Inc. Share cookie on native platform in mobile device without having to ask for the user's login information
CN102917354B (zh) * 2011-08-03 2018-04-13 中兴通讯股份有限公司 一种接入方法、系统及移动智能接入点
US9191381B1 (en) * 2011-08-25 2015-11-17 Symantec Corporation Strong authentication via a federated identity protocol
CN103907310A (zh) 2011-09-09 2014-07-02 英特尔公司 用于使用soap-xml技术的wi-fi热点的安全在线注册和供应的移动设备和方法
US9100324B2 (en) 2011-10-18 2015-08-04 Secure Crossing Research & Development, Inc. Network protocol analyzer apparatus and method
US8949938B2 (en) 2011-10-27 2015-02-03 Cisco Technology, Inc. Mechanisms to use network session identifiers for software-as-a-service authentication
WO2013091735A1 (en) * 2011-12-23 2013-06-27 Telefonaktiebolaget L M Ericsson (Publ) Methods and apparatuses for determining a user identity token for identifying user of a communication network
US8959591B2 (en) * 2012-01-06 2015-02-17 Elastic Path Software, Inc. Follow location handler and selector functionality in a stateless microkernel web server architecture
WO2013121246A1 (en) * 2012-02-14 2013-08-22 Nokia Corporation Device to device security using naf key
US9054892B2 (en) * 2012-02-21 2015-06-09 Ecolink Intelligent Technology, Inc. Method and apparatus for registering remote network devices with a control device
ZA201301790B (en) * 2012-03-08 2015-09-30 Oltio (Pty) Ltd A method of authenticating a device and encrypting data transmitted between the device and a server
EP2834964B1 (en) 2012-04-03 2017-06-07 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus for providing a subscriber identity
US9152781B2 (en) 2012-08-09 2015-10-06 Cisco Technology, Inc. Secure mobile client with assertions for access to service provider applications
US9338657B2 (en) * 2012-10-16 2016-05-10 Mcafee, Inc. System and method for correlating security events with subscriber information in a mobile network environment
US9185093B2 (en) * 2012-10-16 2015-11-10 Mcafee, Inc. System and method for correlating network information with subscriber information in a mobile network environment
CN104704795B (zh) * 2012-10-19 2018-04-27 统一有限责任两合公司 通过使用具有webRTC功能的网络浏览器创建虚拟SIP用户代理的方法和系统
WO2014133588A1 (en) * 2013-03-01 2014-09-04 Intel Corporation Techniques for establishing access to a local wireless network
JP6201207B2 (ja) * 2013-05-27 2017-09-27 Kddi株式会社 通信端末装置、プログラムおよび通信方法
CN103414745A (zh) * 2013-07-05 2013-11-27 惠州Tcl移动通信有限公司 一种移动终端跨浏览器登陆的方法和装置
US9621735B2 (en) 2014-06-25 2017-04-11 Textnow, Inc. Mobile electronic communications combining voice-over-IP and mobile network services
EP2961208A1 (en) * 2014-06-27 2015-12-30 Gemalto SA Method for accessing a service and corresponding application server, device and system
CN104199843B (zh) * 2014-08-07 2017-09-26 蔡剑 一种基于社会网络交互数据的服务排序及推荐方法与系统
CN104506510B (zh) * 2014-12-15 2017-02-08 百度在线网络技术(北京)有限公司 用于设备认证的方法、装置及认证服务系统
US9680646B2 (en) 2015-02-05 2017-06-13 Apple Inc. Relay service for communication between controllers and accessories
US10505850B2 (en) 2015-02-24 2019-12-10 Qualcomm Incorporated Efficient policy enforcement using network tokens for services—user-plane approach
US9749310B2 (en) * 2015-03-27 2017-08-29 Intel Corporation Technologies for authentication and single-sign-on using device security assertions
US10341239B2 (en) 2015-05-21 2019-07-02 Qualcomm Incorporated Efficient policy enforcement for downlink traffic using network access tokens—control-plane approach
US10216800B2 (en) * 2015-06-18 2019-02-26 Rocket Apps, Inc. Self expiring social media
US10225241B2 (en) * 2016-02-12 2019-03-05 Jpu.Io Ltd Mobile security offloader
EP3435615B1 (en) * 2016-03-28 2021-04-14 Huawei Technologies Co., Ltd. Network service implementation method, service controller, and communication system
DE112016006693T5 (de) * 2016-04-01 2019-01-03 Intel Corporation Vorrichtungsidentifikation durch Dialog
US9769668B1 (en) 2016-08-01 2017-09-19 At&T Intellectual Property I, L.P. System and method for common authentication across subscribed services
US10158684B2 (en) * 2016-09-26 2018-12-18 Cisco Technology, Inc. Challenge-response proximity verification of user devices based on token-to-symbol mapping definitions
CN108024248B (zh) * 2016-10-31 2022-11-08 中兴通讯股份有限公司 一种物联网平台的鉴权方法和装置
CN106790082B (zh) * 2016-12-22 2019-10-01 北京启明星辰信息安全技术有限公司 一种云应用访问控制方法及系统
US10492056B2 (en) * 2017-06-15 2019-11-26 T-Mobile Usa, Inc. Enhanced mobile subscriber privacy in telecommunications networks
US10750028B2 (en) 2017-06-29 2020-08-18 Textnow, Inc. Mobile communications with quality of service
US10637845B2 (en) * 2017-07-21 2020-04-28 International Business Machines Corporation Privacy-aware ID gateway
US10277586B1 (en) * 2018-10-29 2019-04-30 Syniverse Technologies, Llc Mobile authentication with URL-redirect
WO2020132293A1 (en) 2018-12-19 2020-06-25 Bemis Manufacturing Company Washing toilet seat
CN109756508B (zh) * 2019-01-22 2022-11-08 深圳壹账通智能科技有限公司 基于多协议接入区块链网络的消息代理方法及相关设备
EP3925189A4 (en) * 2019-03-18 2022-04-13 Samsung Electronics Co., Ltd. METHOD AND DEVICE FOR AUTHENTICATION IN NETWORK-BASED MEDIA PROCESSING (NBMP ) SYSTEMS
EP3934191A4 (en) * 2019-03-29 2022-05-04 Samsung Electronics Co., Ltd. METHOD APPLYING TO BORDER COMPUTER SERVICE AND ASSOCIATED ELECTRONIC DEVICE
EP3836504A1 (en) * 2019-12-12 2021-06-16 Noscendo GmbH Providing and obtaining one or more data sets via a digital communication network
GB2594930A (en) * 2020-05-05 2021-11-17 Truphone Ltd Authentication of devices to third party services
WO2022044142A1 (ja) * 2020-08-26 2022-03-03 日本電信電話株式会社 公開鍵認証装置及び公開鍵認証方法
CN113206836A (zh) * 2021-04-12 2021-08-03 河海大学 一种工业互联网中api网关实现协议转换的方法
US11877218B1 (en) 2021-07-13 2024-01-16 T-Mobile Usa, Inc. Multi-factor authentication using biometric and subscriber data systems and methods
CN115883119B (zh) * 2021-09-29 2024-05-24 富联精密电子(天津)有限公司 服务验证方法、电子装置及存储介质
CN114090122B (zh) * 2021-11-12 2023-05-23 广州通则康威智能科技有限公司 小程序配置cpe的方法、装置、计算机设备及存储介质
CN114760138B (zh) * 2022-04-20 2024-02-13 深圳市昊洋智能有限公司 基于云架构下的视频会议系统安全方法及装置

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2348778A (en) * 1999-04-08 2000-10-11 Ericsson Telefon Ab L M Authentication in mobile internet access
US7281137B1 (en) * 1999-07-02 2007-10-09 Nokia Corporation Authentication method and system
EP1208715A1 (en) 1999-08-31 2002-05-29 TELEFONAKTIEBOLAGET L M ERICSSON (publ) Gsm security for packet data networks
US6775262B1 (en) * 2000-03-10 2004-08-10 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for mapping an IP address to an MSISDN number within a wireless application processing network
WO2001072009A2 (en) 2000-03-17 2001-09-27 At & T Corp. Web-based single-sign-on authentication mechanism
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US7444513B2 (en) * 2001-05-14 2008-10-28 Nokia Corporiation Authentication in data communication
JP4301482B2 (ja) * 2001-06-26 2009-07-22 インターナショナル・ビジネス・マシーンズ・コーポレーション サーバ、情報処理装置及びそのアクセス制御システム並びにその方法
US7221935B2 (en) 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
US20040064442A1 (en) 2002-09-27 2004-04-01 Popovitch Steven Gregory Incremental search engine
DE60221673T2 (de) 2002-11-25 2008-04-30 T-Mobile Deutschland Gmbh Verfahren und System zur Vereinfachung des Zugriffs auf ein Email-Konto über ein Mobilfunknetz
US20040128560A1 (en) * 2002-12-31 2004-07-01 Challener David Carroll Security system preventing computer access upon removal from a controlled area
BRPI0317804B1 (pt) * 2003-01-10 2016-06-28 Ericsson Telefon Ab L M sistema de telecomunicações, e, método para prover serviços de conexão única através de um número de provedor de serviço
CN1759558A (zh) * 2003-03-10 2006-04-12 汤姆森特许公司 利用公共验证服务器的无线局域网访问控制中的身份映射机制
DK1658746T3 (da) * 2003-08-26 2012-09-17 Ericsson Telefon Ab L M Apparat og fremgangsmåde til autentificering af en bruger ved opnåelse af adgang til multimedietjenester
JP4300965B2 (ja) * 2003-10-09 2009-07-22 沖電気工業株式会社 サービスシステムおよびサービス提供方法
JP4384117B2 (ja) * 2003-11-07 2009-12-16 テレコム・イタリア・エッセ・ピー・アー データ処理システムのユーザーの認証方法及びシステム
US7200383B2 (en) * 2004-04-26 2007-04-03 Nokia Corporation Subscriber authentication for unlicensed mobile access signaling

Also Published As

Publication number Publication date
JP2008518533A (ja) 2008-05-29
BRPI0517521B1 (pt) 2019-04-09
CN101069402B (zh) 2010-11-03
WO2006045402A1 (en) 2006-05-04
US7954141B2 (en) 2011-05-31
US20080127320A1 (en) 2008-05-29
AR053529A1 (es) 2007-05-09
BRPI0517521A (pt) 2008-10-14
CN101069402A (zh) 2007-11-07

Similar Documents

Publication Publication Date Title
JP4782139B2 (ja) モバイルユーザーをトランスペアレントに認証してウェブサービスにアクセスする方法及びシステム
US8261078B2 (en) Access to services in a telecommunications network
KR101971167B1 (ko) 이주자에 의해 야기된 코어 네트워크 트래픽의 감소
EP3120591B1 (en) User identifier based device, identity and activity management system
US20070113269A1 (en) Controlling access to a network using redirection
US7624429B2 (en) Method, a network access server, an authentication-authorization-and-accounting server, and a computer software product for proxying user authentication-authorization-and-accounting messages via a network access server
US20060264201A1 (en) Identity mapping mechanism in wlan access control with public authentication servers
US20110030047A1 (en) Method, apparatus and system for protecting user information
US20110289573A1 (en) Authentication to an identity provider
US20060195893A1 (en) Apparatus and method for a single sign-on authentication through a non-trusted access network
CN103067337B (zh) 一种身份联合的方法、IdP、SP及系统
EP2638496B1 (en) Method and system for providing service access to a user
WO2013040957A1 (zh) 单点登录的方法、系统和信息处理方法、系统
EP3334115A1 (en) User authentication based on token
Keromytis Voice over IP: Risks, threats and vulnerabilities
US20060190601A1 (en) Localized authentication, authorization and accounting (AAA) method and apparatus for optimizing service authentication and authorization in a network system
US20130183934A1 (en) Methods for initializing and/or activating at least one user account for carrying out a transaction, as well as terminal device
WO2013023475A1 (zh) 共享网络中用户数据的方法和身份提供服务器
WO2011131002A1 (zh) 身份管理方法及系统
US9485654B2 (en) Method and apparatus for supporting single sign-on in a mobile communication system
EP1813078A1 (en) Method and system for transparently authenticating a mobile user to access web services
EP2399408A1 (en) Authentication to an identity provider
HOLTMANNS et al. Identity Management in Mobile Communication Systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080508

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090728

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20100727

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20100825

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101022

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101130

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20110117

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110222

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110301

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110330

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110406

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110426

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110509

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110615

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110706

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140715

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4782139

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees