• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    本発明は、ユーザがインターネットにアクセスできるようにするための方法に関する。ユーザは、第1の組織のゲートウェイを介してインターネットアクセス要求を送信し、彼/彼女を第2の組織に対して認証させるための所定のクレデンシャルを第1の組織に供給する。供給されるクレデンシャルは、第2の組織に関する情報を少なくとも含む。第1の組織は、ユーザを認証して彼/彼女がインターネットにアクセスできるようにする目的で、第2の組織とコンタクトをとる。第2の組織は、インターネットにアクセスする許可をユーザに付与する。本発明によれば、アクセス要求の後で、ゲートウェイがユーザを第2の組織のウェブページにリダイレクトし、ユーザが、ユーザを彼/彼女の識別に必要な認証クレデンシャルを、ウェブページを介して第2の組織に供給する。
    公开号:JP2011505735A
    申请号:JP2010535465
    申请日:2008-11-24
    公开日:2011-02-24
    发明作者:アンドレア・ギッティーノ;ステファーノ・アンネーセ;セルジョ・サリオッコ;ロベルト・ボッリ
    申请人:エッセ・イ・エッセヴ・エエッレ・ソシエタ・ペル・アチオニ・ソシエタ・イタリアーナ・ペル・ロ・スヴィルッポ・デッレレットロニカ;チエッセピ−インノヴァツィオーネ・ネッレ・イチティ・ソシエタ・コーオペラティヴァ・ア・レスポンサビリタ・リミタータCsp−Innovazione Nelle Ict Scarl;
    IPC主号:H04L9-32
    专利说明:

    [0001] 本発明は、請求項1の前文に係る、ユーザがインターネットにアクセスできるようにするための方法に関する。特に、本発明は、ユーザがインターネットにアクセスする可能性を増大させることを目的とする。]
    背景技術

    [0002] インターネットは、現在では、多くの人々にとって必要不可欠な仕事道具となり、さらに、無線ネットワーク(例えばWLAN)のおかげで、ユーザはオフィスの外からでもインターネットにアクセスすることができる。例えば、空港、駅、及び図書館は、ホットスポット、すなわちユーザがゲートウェイを介してインターネットに接続できるアクセスポイントを有している。所与の組織のホットスポット内において、このサービスへのアクセスは、通常、当該組織に登録された有効なアカウントを有するユーザにのみ許可される。従って、所与の組織のユーザは、関心が持たれていないか又はインフラストラクチャに障害が発生していることに起因してその組織によってカバーされていないエリアでは、インターネットにアクセスすることができない。]
    先行技術

    [0003] 米国特許第5,898,780号明細書。]
    発明が解決しようとする課題

    [0004] これらの問題を克服するために、第1の組織のユーザが第2の組織のアクセスポイントを介してインターネットにアクセスできるようにする、いくつかの解決方法が考えられている。使用されるプラットホームに関連して、これらの解決方法のうちの一部は、ずっと複雑な構成のユーザクライアントを必要とすることがある。使いやすさ及びクライアントの構成に関して好ましい他の解決方法は、許可されたユーザのリストに含まれていないユーザを異なる組織の認証サーバにリダイレクトすることによって、ゲートウェイレベルのみで動作する。]
    [0005] 後者の解決方法のうちの1つが特許文献1で知られている。ここでは、ユーザがアカウントを持たないローカルなインターネットサービスプロバイダ(ISP)を用いることで、当該ユーザが遠隔の場所からインターネットにアクセスできるようにするための方法及び装置を開示している。ユーザは、遠隔のISPに対する彼/彼女のアカウントのクレデンシャル(credentials;認証情報又は視覚情報。例えば、ユーザ名及びパスワード)を用いて、ローカルなISPのシステムに署名する。ローカルなISPのサーバは、ローカルなISPのサーバを識別できるようにする情報をユーザによって入力されたクレデンシャルが含んでいることを認識し、ユーザがローカルなISPを介してインターネットにアクセスすることを許可するための質問を後者に送信する。]
    [0006] しかしながら、この解決方法には、ユーザの機密データ(ユーザ名及びパスワード)がローカルなISPのサーバに供給され、よってこのデータが盗聴(sniffing)攻撃にさらされるかもしれないという欠点が存在する。]
    [0007] 特許文献1から知られるものとは正反対の哲学に存する解決方法が、トレント大学によって用いられ、Uni−fyの名前で公に提供されている。この解決方法によれば、ユーザクライアントが大学のゲートウェイにDHCP要求を送信し、次いでゲートウェイがユーザクライアントにIPアドレスを割り当てることが想定される。ゲートウェイは、いくつかのファイアーウォールルールを有し、ファイアーウォールルールのそれぞれは、データパケットを送信しているユーザが許可されたユーザのリストに含まれているか否かに依存する2つの可能なアクションを有する。ユーザが許可されたユーザのリストに含まれていない場合には、データパケットは、許可を行うゲートキーパーに向けてルーティングされる。「キャプティブポータル(captive portal)」型の方法によれば、許可されていないユーザは、ローカルなウェブページにリダイレクトされ、ここで、彼/彼女は、彼/彼女が許可を受けようとする組織を選択することができる。この時点で、ユーザクライアントは、選択された組織と通信状態にされ、その組織によって要求されるプロトコルに従って認証手順が実行される。この解決方法によれば、トレント大学のネットワーク機器は、いかなる意味でも、ユーザの機密データを知ることはできず、かつ知る必要もなく、ユーザの機密データはすべて、選択された組織に直接送られる。認証に成功すると、選択された組織は、許可要求を大学のゲートキーパーに送信し、ゲートキーパーは、ユーザの状態を不許可から許可に変更し、これにより、彼/彼女がインターネットにアクセスできるようにする。]
    [0008] この解決方法には、(例えば安全又は課金の目的で)接続されたユーザを認識することが容易ではなく、ユーザの仮名(pseudonym)と遠隔の認証組織に登録されたユーザの身元情報との関連付けを必要とするという欠点がある。さらに、ユーザが認証を受けようとする組織が手動で選択されるということは、大学のゲートウェイがすべての既存の認証組織を認識していることを想定し、さらに、すべての各認証組織の認証手順におけるすべての変化について常に更新されることを想定しているので、この解決方法では、システムのスケーラビリティが大幅に制限される。認証組織の個数が増大すると、大学のシステム管理の複雑さも大幅に増大する。]
    [0009] 本発明の主な目的は、ユーザが初めから認証(accredit)を得ているのではない組織のゲートウェイを介して当該ユーザがインターネットにアクセスできるようにするための代替の方法を提供することにより、従来技術の欠点を克服することにある。]
    課題を解決するための手段

    [0010] この目的は、添付の請求の範囲に示した技術的特徴を含む方法を用いて達成される。添付の請求の範囲を、本願の主要部であるものとする。]
    [0011] 本発明は、認証クレデンシャルが供給される瞬間(及び受領者)を分離するという着想に基づいている。特に、この着想は、ユーザが第1の組織のゲートウェイに接続してインターネットアクセス要求を送信するときに、このゲートウェイが、ユーザを第2の組織に対して認証するために必要とされるクレデンシャルの一部を供給するというものである。例えば、ユーザは、ユーザ名と第2の組織の識別子とを提供してもよい。このような要求を受信したゲートウェイが、そのユーザを認証されたユーザとして認識しなかった場合には、そのユーザを、彼/彼女の認証のために第2の組織のウェブページにリダイレクトする。この時点で、ユーザは、上記ウェブページを介して、彼/彼女の識別のために必要とされるさらなるクレデンシャルを第2の組織に供給し、これにより、第2の組織は、ユーザの身元情報を検証し、彼/彼女がインターネットをナビゲートできるようにする。]
    発明の効果

    [0012] この解決方法は、いくつかの利点をもたらす。]
    [0013] まず第1に、ユーザは、インターネットアクセス要求において提供されるクレデンシャルを用いて第1の組織によって識別されることが可能であり、よって、公の安全又は課金の理由でユーザを識別することを簡単化することができる。それにもかかわらず、第1の組織には、ユーザのクレデンシャルのすべてが与えられるわけではなく、このことにより、本解決方法は盗聴攻撃に対してずっと頑健になる。]
    [0014] 第2に、本発明の方法に係る機能を実行可能なコンピュータシステム(特にネットワークノード及びサーバ)を単に追加することによって組織の集合体に新たな組織を追加することができるので、本解決方法はスケーラブルな構築が容易である。]
    [0015] ユーザから第1の組織に供給されるクレデンシャルは、ウェルカムウェブページにおいて入力され、ユーザ名を「名前@レルム」の形式で含むことが有利である。ここで、レルム(realm)は、第2の組織のドメイン名を表す。指定されたレルムに基づいて、各ゲートウェイは、DNSに送られた要求によって、又は、集合体に属する組織の認証サーバのすべてを含み、ゲートウェイレベルで格納されたリストとの比較によって、ユーザが属する組織の認証サーバを発見することができる。]
    [0016] 異なる組織のゲートウェイ及び認証サーバ間の通信が認証されることを保証するために、シグナリングメッセージは、公開鍵及び秘密鍵の両方を用いるPGP(Pretty Good Privacy)(登録商標)によって用いられるもののような非対称暗号アルゴリズムを用いて、署名されることが有利であり、また、符号化されることが好ましい。]
    [0017] 新たな組織が追加された(又は除去された)ときの鍵交換の管理を簡単化する目的で、アーキテクチャには鍵管理サーバが含まれることが有利である。新たな組織が追加される毎に、関連付けられた認証サーバの公開鍵が、このサーバ上で公開される。複数の組織のゲートウェイが、各自の鍵リストを更新するために、安全な通信プロトコル(例えばHTTPS)を用いて定期的にそれにコンタクトをとる。鍵リストをゲートウェイレベルで格納することは、鍵管理サーバにおいていかなる障害が生じようともサービスが脅かされることがないということを保証する。最悪の場合でも、新たな認証サーバは数時間の遅れの後でシステムに追加される。鍵管理サーバは、複数の組織のゲートウェイのすべてによって、それらゲートウェイのすべてに存在する鍵管理サーバ自体の公開鍵を用いて認証され、外部のユーザに、許可なく彼/彼女自身の組織への入力をさせることはない。]
    図面の簡単な説明

    [0018] 複数の組織のうちの任意のものに属するユーザがインターネットにアクセスできるようにする組織の集合体を示す。
    第1の組織に属するユーザが第2の組織のアクセスポイントを介してインターネットにアクセスできるようにする手順の概略図である。]
    実施例

    [0019] 本発明のさらなる目的及び利点は、限定的ではない実施例として示し以下の詳細な説明及び添付の図面から明らかになるであろう。]
    [0020] ここで図1を参照すると、インターネット1に接続された組織(E1、E2、E3)の集合体を示している。ここでの説明の目的で、用語「組織(Organization)」は、ユーザによるインターネットへのアクセスを許可することができる任意のエンティティ、又は構造化されたユーザ管理システムを取り扱う任意のエンティティを示す。] 図1
    [0021] 図1の例では、組織E1及びE2は、コンピュータシステムを備え、特に、ゲートウェイGWを含むネットワークノードと、認証サーバASと、組織のユーザを認証するために必要とされる情報を含むデータベースDBとを備える。ゲートウェイGWは、すべてのファイヤーウォール機能を実行し、許可されていないすべてのトラフィックをフィルタリングし、その一方、認証サーバASは、ユーザのクレデンシャルを、データベースDB(MySQLもしくはLDAPデータベース、又はパスワードファイル)において、又は例えばRADIUS等の標準的なプロトコルを用いて検証する。図1の例では、組織E2はアクセスポイント3を備え、このアクセスポイント3を介してユーザに無線アクセスを提供する。組織E1はスイッチ4を備え、スイッチ4は、ゲートウェイGWに接続され、ユーザに有線アクセスを提供する。] 図1
    [0022] 組織E3は、それ自体のアクセスネットワークを持たないがそれ自体のユーザを有するインターネットサービスプロバイダ(ISP)である。この組織は、組織E1及びE2と同様に認証サーバAS及びデータベースDBを備え、認証サーバASは、ルータRTを介してインターネットに接続される。ルータRTは、組織E1及びE2のゲートウェイGWとは異なり、上述のようなユーザリダイレクト機能を実行することはできない。当然ながら、ルータRTはゲートウェイGWで置き換えられてもよいが、このような場合、ゲートウェイGWの機能の一部は未使用にされる。]
    [0023] 図1及び図2の例をさらに参照すると、ユーザ2は、組織E1の許可されたユーザ(すなわち、ドメインに属するユーザ)であり、彼/彼女が認証されていない組織E2に対してウェブ要求を送信する。この状況は、例えば、組織E1のユーザ(例えば会社ALFAの従業員)が空港又は他の組織(例えば会社BETA)の近くに存在して、空港又は会社BETAのインフラストラクチャを用いてインターネットにアクセスしようとする場合に生じる可能性がある。ユーザ2が組織E2のホットスポットの存在を確かめると、彼/彼女はDHCP要求を送信し、この後、彼/彼女にはIPアドレスが割り当てられる。この時点で、ユーザ2はインターネットアクセス要求を送信することができる。ゲートウェイGWは、この要求を受けてクライアントをウェルカムページにリダイレクトし、このウェルカムページにおいて、ユーザは、組織E1に対する彼/彼女の認証のために必要とされる彼/彼女のクレデンシャルの一部を入力する。本発明によれば、組織E2に供給されるクレデンシャルは、ユーザが認証を受けようとする組織、すなわちここで説明する例では組織E1についての情報を少なくとも含む。好ましくは、これらのクレデンシャルは、ユーザ2のユーザ名と、ユーザ2を認証しなければならない組織E1のドメイン名とからなる。ユーザ名及びドメイン名は、別個のフィールドにそれぞれ入力されてもよく、又は、ユーザ2がアカウントを「名前@レルム」の形式で入力するように要求される場合には、ユーザ名及びドメイン名は、ゲートウェイによって自動的に取得されることが可能である。ここで、「名前」はユーザ2のユーザ名であり、「レルム」は組織E1のドメイン名を表す。ユーザによって供給されたクレデンシャルを用いることで、組織E2は、ユーザ2を認証させるために組織E1とコンタクトをとることができる。] 図1 図2
    [0024] 組織E1の認証サーバのIPアドレスは、以下の階層的なルールによって決定される。]
    [0025] まず第1に、組織E2のゲートウェイGWは、予め決められた名前(例えばauthserv)をレルムの前に配置して、ユーザの本来の認証サーバAS(すなわち組織1の認証サーバ)のIPアドレスを知るための要求をDNSに送信する。例えば、ユーザ「mario.rossi@organization1.it」の場合、ゲートウェイGWは、DNSにおいて「authserv.organization1.it」のIPアドレスを検索する。レルムの前に配置される名前は、同じ組織の集合体に属する各組織のすべての認証サーバについて同じであり、よって、ゲートウェイによってDNSに送信される質問は、簡単な方法で定式化可能である。DNSから肯定的な応答が受信されたとき、ゲートウェイGWは、ユーザ2を組織E2の認証サーバにリダイレクトし、検索に失敗したときには、処理は次のルールに進む。]
    [0026] 次のルールによれば、組織E1の認証サーバASのIPアドレスが、組織E2のローカルデータベースにおいて検索される。本発明によれば、複数の組織のゲートウェイGWのすべては、ドメインと、対応する認証サーバのIPアドレスとのリストを、ローカルデータベースに格納している。このリストは、予め定義された中央サーバによって定期的に更新される。この中央サーバは、好ましくは、組織の集合体の全体にわたって共通である。]
    [0027] データベースにおける検索に失敗した場合には、ウェブ要求を受信したゲートウェイは最後のルールに切り換え、この最後のルールにより、ユーザは、ゲートウェイをインストールしたときにすでにセットアップされたデフォルトの認証サーバにリダイレクトされる。この最後のルールは、本質的には、インターネットアクセス要求においてユーザにより明示的に指定されたいかなる情報も存在しないことを、予め定義された組織に関する情報として認識させる。言い換えると、ユーザ2が、彼/彼女が認証を受けようとする組織1のドメインを指定することなく、彼/彼女の名前のみをゲートウェイGWに供給した場合には、ゲートウェイは、この情報を、デフォルトの組織に対して認証を受けようとしているものとして解釈する。]
    [0028] いったん認証サーバが発見されると、ゲートウェイはクライアントを認証サーバにリダイレクトし、ユーザは彼/彼女自身のパスワードを入力することによって認証され、よって、NoCatシステムのような「キャプティブポータル」システムによって提供されるもののような標準的な認証手順に戻る。ユーザ名及びパスワードの検証に成功した場合、認証サーバは許可メッセージをユーザ2のクライアントに送信し、このメッセージは次いで、ゲートウェイGWにリダイレクトされる。ゲートウェイGWは、ユーザのプロファイルに含まれたサービスを提供するように必要なファイヤーウォールルールを実施し、次いで、ユーザを、最初に要求されたウェブページにリダイレクトする。]
    [0029] 上述の手順は図2に例示され、ここでは、ユーザ2のクライアントと、組織E2のゲートウェイと、組織E1の認証サーバと、組織E1によって許可されたすべてのユーザの身元情報を格納する組織E1のデータベースとの間の通信を示す。] 図2
    [0030] 図2を参照すると:
    ・クライアントは、ウェブ要求、例えば「http://www.google.it」を送信する(シーケンスc1)。
    ・ゲートウェイは上記要求を受けてクライアントを認証ポータルにリダイレクトする(シーケンスc2)。
    ・ クライアントは、そのクレデンシャル、例えばユーザ名を送信する(シーケンスc3)。
    ・ ゲートウェイはクライアントを認証サーバのポータルにリダイレクトする(シーケンスc4)。
    ・ ユーザはパスワードを入力する(シーケンスc5)。
    ・ 認証サーバは、ユーザのクレデンシャル(ユーザ名及びパスワード)をデータベースに含まれたものと比較することによって、例えばRADIUSプロトコルを用いて、ユーザのクレデンシャルを検証する(シーケンスc6)。
    ・ ユーザが許可される(シーケンスc7)。
    ・ 認証サーバは、認証の確認として、ファイヤーウォール開メッセージをクライアントに送信する(シーケンスc8)。
    ・ クライアントは、ファイヤーウォールを開くために、受信されたメッセージをゲートウェイに転送する(シーケンスc9)。
    ・ ゲートウェイは、クライアントを、要求されたサイト「http://www.google.it」にリダイレクトする(シーケンスc10)。
    ・ クライアントは、インターネットの要求したサイト「http://www.google.it」にアクセスする(シーケンスc11)。] 図2
    [0031] このタイプのアーキテクチャは、絶対的なシステムスケーラビリティをもたらす。実際、このシステムは、新たな組織EXにおいてゲートウェイGWを設けることと、新たなドメイン(例えば「organizationX.it」)に属するユーザを管理する認証サーバをDNSに登録することとによって、容易に拡張可能である。上述の理由に起因して、DNSへの登録は、上述の形式、例えば「authserv.organizationX.it」で行われなければならない。]
    [0032] 他のいかなるシステムも認証サーバに成り代わって未登録のユーザを認証しようとすることがないように、認証サーバとゲートウェイとの間の通信は署名されることが有利である。特に、通信は、公開鍵/秘密鍵のタイプの非対称暗号法を用いて署名され、好ましくは符号化される。好ましくは、メッセージの署名のみが行われるとき、メッセージはクリアのままであるが、秘密鍵を用いて計算されたハッシュがそれに添付され、これにより、いったん公開鍵を用いて検証されると、メッセージが秘密鍵の所有者によって作成されたオリジナルであることを保証する。このように交換されるメッセージは、例えばPGPソフトウェアを用いて得られる鍵(署名のための秘密鍵、符号化のための公開鍵)を用いて署名され、好ましくは符号化される。]
    [0033] 各ゲートウェイGWは、組織の集合体の認証サーバASの公開鍵のリストを含み、よって、各ゲートウェイGWは、認証を盗聴しようとしている偽の認証サーバが存在しないことを検証することができる。スケーラビリティの制限なしにシステムを更新し続けるために、システムによって認識される認証サーバに属する公開鍵のレポジトリ(例えばPGP)を含む鍵管理サーバ(図1のKS)が使用される。従って、新たな組織を追加することは、新たなドメインを管理する認証サーバASの鍵をこのリストに入力することを含む。各ゲートウェイは鍵リストの複製を含む。システムを更新し続けるために、本発明の方法によれば、ゲートウェイは定期的に、鍵管理サーバKSを調べて鍵リストをダウンロードする。システムに新たな認証サーバが追加されたとき、新たな組織のユーザが当該ユーザのクレデンシャルをシステムの他のドメインとのローミングモードでは使用することができない最初の一時的期間が存在する。この期間は、すべてのゲートウェイにおいてローカルな鍵の複製が更新されるまで継続する。従って、この使用不可状態は、新たな組織の導入のみに関連し、かつ限定され、ネットワークの保守には無関係である。各ゲートウェイがすべての組織の認証サーバの公開鍵のリストの複製を含むので、システムは、鍵管理サーバKSが不調又は故障の際であっても動作し続ける。] 図1
    [0034] インターネットアクセスに関与するすべてのゲートウェイが、各ユーザの接続時間に関する情報を含み、それを特別なログに保持しなければならないので、このように考えられたシステムは、異なる組織のユーザのトラフィックの課金を管理できるようになる。上記情報は、ユーザ名と各組織との両方を含み、よってトラフィックは正しく課金されるようになる。]
    [0035] 上述のメカニズムは、複数の組織にわたって信頼ポリシーが存在することを想定している。制御メカニズムが必要とされる場合には、ユーザの接続に関する情報を他のすべてのサーバから受信する中央サーバを使用し、よって各ゲートウェイに格納された接続を検証できるようにすることが好ましい。]
    [0036] 上述の実施形態が本発明の非限定的な例として理解されるべきであること、また、添付の請求の範囲において特定された本発明の保護範囲から離れることなくシステムに多数の変更を実施可能であるということは明らかである。例えば、ゲートウェイと、認証サーバと、認証データベース(例えばSQLデータベース)とは、1つのマシンとして実装されてもよく、または多数のマシンにわたって分散型で構成されてもよい。さらに、認証サーバとゲートウェイとの間の通信又は認証サーバとクライアントとの間の通信を符号化するために使用される方法は、従来技術で知られた任意のタイプのものであってもよい。]
    权利要求:

    請求項1
    ユーザがインターネットにアクセスできるようにするための方法であって、ユーザは、第1の組織のゲートウェイを介してインターネットアクセス要求を送信し、上記要求は、上記ユーザが彼/彼女を第2の組織に対して認証させるための第1の認証クレデンシャルを上記第1の組織に供給することを要求し、上記クレデンシャルは、上記第2の組織に関する情報を少なくとも含み、上記第1の組織は、上記ユーザを認証して彼/彼女が上記インターネットにアクセスできるようにする目的で、上記第2の組織とコンタクトをとり、上記第2の組織は、上記インターネットにアクセスする許可を上記ユーザに付与し、上記方法は、上記アクセス要求の後で、上記ゲートウェイが上記ユーザを上記第2の組織のウェブページにリダイレクトし、上記ユーザが、上記ユーザを上記第2の組織に対して識別させるために必要な第2の認証クレデンシャルを、上記ウェブページを介して上記第2の組織に供給することを特徴とする方法。
    請求項2
    上記第1の認証クレデンシャルは、名前@レルムの形式で表されたユーザ名を含み、「名前」は上記ユーザを識別し、「レルム」は上記第2の組織を識別する請求項1記載の方法。
    請求項3
    上記第2のクレデンシャルはパスワードを含む請求項1又は2記載の方法。
    請求項4
    上記インターネットアクセス要求は第1のステップを含み、IPアドレスは上記ユーザ及び第2のステップに割り当てられ、上記ゲートウェイは、上記ユーザが上記第1のクレデンシャルを入力しなければならないローカルなウェルカムウェブページに上記ユーザをリダイレクトする請求項1〜3のうちのいずれか1つに記載の方法。
    請求項5
    上記ゲートウェイが上記第2の組織の認証サーバを発見できない場合、上記ゲートウェイは上記第1のクレデンシャルをデフォルトの認証サーバに送信する請求項1〜4のうちのいずれか1つに記載の方法。
    請求項6
    上記ゲートウェイは上記第1のクレデンシャルを上記第2の組織の認証サーバに送信する請求項1〜4のうちのいずれか1つに記載の方法。
    請求項7
    上記ゲートウェイは、DNSに送信された質問を用いて上記認証サーバのアドレスを決定する請求項6記載の方法。
    請求項8
    上記ゲートウェイは、複数の組織のリストに対するアクセスを有し、上記リストを上記第1のクレデンシャルと比較することにより上記認証サーバのアドレスを決定する請求項6又は7記載の方法。
    請求項9
    上記ゲートウェイと上記認証サーバとの間の通信は署名される請求項5〜8のうちのいずれか1つに記載の方法。
    請求項10
    上記ゲートウェイと上記認証サーバとの間の通信は符号化される請求項5〜9のうちのいずれか1つに記載の方法。
    請求項11
    上記ゲートウェイと上記認証サーバとの間の通信は、公開鍵/秘密鍵符号化を用いて符号化される請求項10記載の方法。
    請求項12
    対応する複数の組織の複数の認証サーバの公開鍵のリストを鍵管理サーバが保持する請求項11記載の方法。
    請求項13
    上記複数の組織のゲートウェイは、上記鍵管理サーバに定期的に接続し、上記公開鍵のリストをローカルに格納する請求項12記載の方法。
    請求項14
    請求項1〜13のうちのいずれか1つに記載の方法を実施するように適応されたコンピュータシステム。
    請求項15
    コンピュータのメモリエリアに格納されるように適応されたコンピュータプログラムであって、上記コンピュータによって実行されたとき、請求項1〜13のうちのいずれか1つに記載の方法を実施するように適応されたコード部分を含むコンピュータプログラム。
    类似技术:
    公开号 | 公开日 | 专利标题
    USRE45532E1|2015-05-26|Mobile host using a virtual single account client and server system for network access and management
    US9807605B2|2017-10-31|Method and device for switching subscription manager-secure routing device
    US8837484B2|2014-09-16|Methods and devices for a client node to access an information object located at a node of a secured network via a network of information
    US7913080B2|2011-03-22|Setting information distribution apparatus, method, program, and medium, authentication setting transfer apparatus, method, program, and medium, and setting information reception program
    KR100494558B1|2005-06-13|공중 무선랜 서비스 시스템의 사용자 인증방법 및 시스템
    US7680878B2|2010-03-16|Apparatus, method and computer software products for controlling a home terminal
    CN102970299B|2015-06-03|文件安全保护系统及其方法
    US9112909B2|2015-08-18|User and device authentication in broadband networks
    KR101038124B1|2011-05-31|데이터 전송 제어 방법, 콘텐트 전송 제어 방법, 콘텐트처리 정보 획득 방법 및 콘텐트 전송 시스템
    EP1643691B1|2007-12-05|Remote access vpn mediation method and mediation device
    KR100741996B1|2007-07-24|액세스 네트워크를 경유하여 접속을 설정하는 방법 및시스템
    US7831835B2|2010-11-09|Authentication and authorization in heterogeneous networks
    US6971005B1|2005-11-29|Mobile host using a virtual single account client and server system for network access and management
    US7342906B1|2008-03-11|Distributed wireless network security system
    US9178857B2|2015-11-03|System and method for secure configuration of network attached devices
    US8776183B2|2014-07-08|Networks
    CN101340334B|2011-11-09|一种网络接入方法及系统和装置
    US8085740B2|2011-12-27|Techniques for offering seamless accesses in enterprise hot spots for both guest users and local users
    US7565547B2|2009-07-21|Trust inheritance in network authentication
    AU2005206813B2|2009-12-10|Avoiding server storage of client state
    JP5942503B2|2016-06-29|サービス要求装置、サービス要求方法およびサービス要求プログラム
    JP4742903B2|2011-08-10|分散認証システム及び分散認証方法
    US8411562B2|2013-04-02|Network system and method for providing an ad-hoc access environment
    CN100592746C|2010-02-24|移动因特网协议中的寻址机制
    EP2340477B1|2014-08-06|Systems and methods for identifying a network
    同族专利:
    公开号 | 公开日
    ITTO20070853A1|2009-05-27|
    CN101919221B|2015-09-30|
    CA2706827A1|2009-06-04|
    CA2706827C|2017-05-09|
    RU2507702C2|2014-02-20|
    RU2010126178A|2012-01-10|
    EP2215802A2|2010-08-11|
    JP5507462B2|2014-05-28|
    US8386770B2|2013-02-26|
    WO2009068956A2|2009-06-04|
    BRPI0820065A2|2015-09-08|
    CN101919221A|2010-12-15|
    US20100281524A1|2010-11-04|
    KR20100106990A|2010-10-04|
    WO2009068956A3|2009-09-03|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    JPH10336172A|1997-06-04|1998-12-18|Fujitsu Ltd|電子認証用公開鍵の管理方法|
    JPH1155317A|1997-08-05|1999-02-26|Toshiba Corp|無線通信システムおよび無線通信方法|
    JP2003513514A|1999-10-22|2003-04-08|ノマディックスインコーポレイテッド|System and method for providing dynamic network authorization, authentication and account|
    JP2002202934A|2000-12-28|2002-07-19|Daiwa Securities Group Inc|ウェブページのレイアウト変更方法|
    JP2005519501A|2002-02-28|2005-06-30|テレフオンアクチーボラゲットエルエムエリクソン(パブル)|シングルサインオンサービスのためのシステム、方法、および装置|
    US20060185021A1|2002-03-15|2006-08-17|Microsoft Corporation|Method and system of integrating third party authentication into internet browser code|
    JP2004048679A|2002-05-15|2004-02-12|Microsoft Corp|セッションキー・セキュリティプロトコル|
    JP2004032311A|2002-06-25|2004-01-29|Nec Corp|Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム|
    JP2004355073A|2003-05-27|2004-12-16|Nippon Telegr & Teleph Corp <Ntt>|ネットワーク認証とシングルサインオンの一括認証方法及びシステム|
    JP2007519263A|2003-06-30|2007-07-12|テレコム・イタリア・エッセ・ピー・アー|通信ネットワークにおけるネットワーク選択方法、関連のネットワーク及びそのためのコンピュータプログラムプロダクト|
    JP2007500976A|2003-07-29|2007-01-18|トムソンライセンシングThomsonLicensing|リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法|
    JP2007503637A|2003-08-27|2007-02-22|ノキアコーポレイション|クレデンシャルを提供する方法、システム、認証サーバ、及びゲートウェイ|
    JP2006011833A|2004-06-25|2006-01-12|Ntt Communications Kk|情報提供サービスシステムおよび方法|
    EP1770940A1|2005-09-30|2007-04-04|Alcyone Holding S.A.|Method and apparatus for establishing a communication between a mobile device and a network|
    JP2008054290A|2006-07-24|2008-03-06|Konica Minolta Holdings Inc|ネットワーク管理方法およびネットワーク管理システム|JP2015511356A|2012-02-01|2015-04-16|アマゾン テクノロジーズ インク|Account management for multiple network sites|
    JP2015176546A|2014-03-18|2015-10-05|富士ゼロックス株式会社|中継装置、システム及びプログラム|
    US9450941B2|2012-02-01|2016-09-20|Amazon Technologies, Inc.|Recovery of managed security credentials|
    US9692740B2|2012-02-01|2017-06-27|Amazon Technologies, Inc.|Account management for network sites|
    US9767262B1|2011-07-29|2017-09-19|Amazon Technologies, Inc.|Managing security credentials|
    US10362019B2|2011-07-29|2019-07-23|Amazon Technologies, Inc.|Managing security credentials|
    US10475018B1|2013-11-29|2019-11-12|Amazon Technologies, Inc.|Updating account data for multiple account providers|US7194554B1|1998-12-08|2007-03-20|Nomadix, Inc.|Systems and methods for providing dynamic network authorization authentication and accounting|
    US7921290B2|2001-04-18|2011-04-05|Ipass Inc.|Method and system for securely authenticating network access credentials for users|
    JP2003016295A|2001-06-28|2003-01-17|Nec Corp|オンラインショッピング方法及びそのシステム並びにプログラム|
    US8484333B2|2001-08-22|2013-07-09|Aol Inc.|Single universal authentication system for internet services|
    US7363354B2|2001-11-29|2008-04-22|Nokia Corporation|System and method for identifying and accessing network services|
    CN100397814C|2004-07-13|2008-06-25|中国工商银行股份有限公司|一种基于网络的统一认证方法及系统|
    US7900247B2|2005-03-14|2011-03-01|Microsoft Corporation|Trusted third party authentication for web services|
    US7886343B2|2006-04-07|2011-02-08|Dell Products L.P.|Authentication service for facilitating access to services|US9420459B2|2011-11-16|2016-08-16|Cellco Partnership|Method and system for redirecting a request for IP session from a mobile device|
    JP6111713B2|2013-02-06|2017-04-12|株式会社リコー|情報処理システム、情報処理装置、認証情報管理方法及びプログラム|
    US9866592B2|2015-09-28|2018-01-09|BlueTalon, Inc.|Policy enforcement system|
    US10091212B2|2016-03-04|2018-10-02|BlueTalon, Inc.|Policy management, enforcement, and audit for data security|
    US10803190B2|2017-02-10|2020-10-13|BlueTalon, Inc.|Authentication based on client access limitation|
    US10291602B1|2017-04-12|2019-05-14|BlueTalon, Inc.|Yarn rest API protection|
    US10250723B2|2017-04-13|2019-04-02|BlueTalon, Inc.|Protocol-level identity mapping|
    US10491635B2|2017-06-30|2019-11-26|BlueTalon, Inc.|Access policies based on HDFS extended attributes|
    法律状态:
    2011-11-09| A621| Written request for application examination|Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111108 |
    2013-02-20| A131| Notification of reasons for refusal|Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130219 |
    2013-05-18| A521| Written amendment|Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130517 |
    2013-08-21| A131| Notification of reasons for refusal|Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130820 |
    2013-11-13| A601| Written request for extension of time|Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20131112 |
    2013-11-20| A602| Written permission of extension of time|Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20131119 |
    2013-12-19| A601| Written request for extension of time|Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20131218 |
    2013-12-27| A602| Written permission of extension of time|Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20131226 |
    2014-01-21| A521| Written amendment|Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140120 |
    2014-02-28| TRDD| Decision of grant or rejection written|
    2014-03-05| A01| Written decision to grant a patent or to grant a registration (utility model)|Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140304 |
    2014-03-27| A61| First payment of annual fees (during grant procedure)|Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140319 |
    2014-03-28| R150| Certificate of patent or registration of utility model|Ref document number: 5507462 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
    2017-03-14| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2017-09-07| S533| Written request for registration of change of name|Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
    2017-09-07| S531| Written request for registration of change of domicile|Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
    2017-09-07| S111| Request for change of ownership or part of ownership|Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
    2017-09-15| R350| Written notification of registration of transfer|Free format text: JAPANESE INTERMEDIATE CODE: R350 |
    2018-02-27| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2019-03-05| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2020-02-21| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2021-03-15| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    优先权:
    申请号 | 申请日 | 专利标题
    [返回顶部]