知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5864598
(24)【登録日】2016年1月8日
(45)【発行日】2016年2月17日
(54)【発明の名称】ユーザにサービスアクセスを提供する方法およびシステム
(51)【国際特許分類】
G06F 21/31 20130101AFI20160204BHJP
【FI】
G06F21/31
【請求項の数】12
【全頁数】11
(21)【出願番号】特願2013-538213(P2013-538213)
(86)(22)【出願日】2011年11月11日
(65)【公表番号】特表2014-501959(P2014-501959A)
(43)【公表日】2014年1月23日
(86)【国際出願番号】EP2011069968
(87)【国際公開番号】WO2012062915
(87)【国際公開日】20120518
【審査請求日】2013年5月8日
(31)【優先権主張番号】10014494.8
(32)【優先日】2010年11月11日
(33)【優先権主張国】EP
(73)【特許権者】
【識別番号】508342183
【氏名又は名称】エヌイーシー ヨーロッパ リミテッド
【氏名又は名称原語表記】NEC EUROPE LTD.
(74)【代理人】
【識別番号】100097157
【弁理士】
【氏名又は名称】桂木 雄二
(72)【発明者】
【氏名】クーネン、マルクス
(72)【発明者】
【氏名】ジラオ、ジョアオ
(72)【発明者】
【氏名】遠藤 由紀子
【審査官】
脇岡 剛
(56)【参考文献】
【文献】
米国特許出願公開第2003/0196107(US,A1)
【文献】
特開2009−282561(JP,A)
【文献】
特開2007−110377(JP,A)
【文献】
特開2009−129010(JP,A)
【文献】
特開2003−316742(JP,A)
【文献】
特開2005−227993(JP,A)
【文献】
国際公開第2010/021110(WO,A1)
【文献】
特開2008−217366(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/31
(57)【特許請求の範囲】
【請求項1】
ユーザにサービスアクセスを提供する方法において、
a)ローカルネットワーク内に位置するローカルアイデンティティプロバイダが、該ローカルアイデンティティプロバイダを、該ローカルアイデンティティプロバイダのローカル識別子により、前記ローカルネットワークおよびグローバルネットワークに接続されたグローバルアイデンティティプロバイダに登録するステップと、
b)前記ローカルネットワーク内に位置するユーザが、前記グローバルネットワーク内に位置するサービスプロバイダへのアイデンティティ認証を必要とするサービスアクセスを要求するステップと、
c)前記サービスプロバイダが、前記グローバルアイデンティティプロバイダに対してアイデンティティ管理サービスを要求するステップと、
d)前記グローバルアイデンティティプロバイダが、前記ローカルネットワーク内の提供されたローカル識別子に従って、前記ユーザのアクセス要求を前記ローカルアイデンティティプロバイダにリダイレクトするステップと、
e)前記ローカルアイデンティティプロバイダが、前記ローカル識別子が前記ユーザの前記ローカルネットワークに対応するかどうかをチェックするステップと、
f)前記グローバルアイデンティティプロバイダが、ステップe)によるチェックの結果に従って、前記要求されたアイデンティティ管理サービスを前記サービスプロバイダに提供するステップと、
g)前記サービスプロバイダが、前記ユーザに対する前記サービスプロバイダへのサービスアクセスを許可するステップと
を備えたことを特徴とする、ユーザにサービスアクセスを提供する方法。
a)ローカルネットワーク内に位置するローカルアイデンティティプロバイダが、該ローカルアイデンティティプロバイダを、該ローカルアイデンティティプロバイダのローカル識別子により、前記ローカルネットワークおよびグローバルネットワークに接続されたグローバルアイデンティティプロバイダに登録するステップと、
b)前記ローカルネットワーク内に位置するユーザが、前記グローバルネットワーク内に位置するサービスプロバイダへのアイデンティティ認証を必要とするサービスアクセスを要求するステップと、
c)前記サービスプロバイダが、前記グローバルアイデンティティプロバイダに対してアイデンティティ管理サービスを要求するステップと、
d)前記グローバルアイデンティティプロバイダが、前記ローカルネットワーク内の提供されたローカル識別子に従って、前記ユーザのアクセス要求を前記ローカルアイデンティティプロバイダにリダイレクトするステップと、
e)前記ローカルアイデンティティプロバイダが、前記ローカル識別子が前記ユーザの前記ローカルネットワークに対応するかどうかをチェックするステップと、
f)前記グローバルアイデンティティプロバイダが、ステップe)によるチェックの結果に従って、前記要求されたアイデンティティ管理サービスを前記サービスプロバイダに提供するステップと、
g)前記サービスプロバイダが、前記ユーザに対する前記サービスプロバイダへのサービスアクセスを許可するステップと
を備えたことを特徴とする、ユーザにサービスアクセスを提供する方法。
【請求項2】
少なくともステップa)が、前記ローカルアイデンティティプロバイダと前記グローバルアイデンティティプロバイダとの間のセッションを設定することを含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記ユーザが、バーチャルプライベートネットワーク、トンネルアプリケーションまたはリバースNATによって自己のローカルネットワークに接続されることを特徴とする請求項1または2に記載の方法。
【請求項4】
少なくともステップa)による登録が、トランスポートセキュリティプロトコルおよび/またはサービスセキュリティプロトコルを使用することを特徴とする請求項1ないし3のいずれか1項に記載の方法。
【請求項5】
前記ローカル識別子が、IPアドレスおよび/またはMACアドレスの形態で提供されることを特徴とする請求項1ないし4のいずれか1項に記載の方法。
【請求項6】
少なくともステップa)による登録が、HTTPSトランスポートセキュリティプロトコルを使用することを特徴とする請求項4に記載の方法。
【請求項7】
少なくともステップa)による登録が、XML−SIGおよび/またはXML−ENCサービスセキュリティプロトコルを使用することを特徴とする請求項4に記載の方法。
【請求項8】
ユーザにサービスアクセスを提供するシステムにおいて、該システムは、
グローバルネットワーク内に位置する認証を必要とするサービスプロバイダのサービスにユーザがアクセスするためのローカルネットワーク内に位置するユーザコンピュータと、
前記ローカルネットワーク内に位置しローカル識別子を有する前記ユーザコンピュータに接続されるとともにグローバルネットワークに接続されたローカルアイデンティティプロバイダと、
前記グローバルネットワークに接続されるとともに前記ローカルネットワークに接続されたグローバルアイデンティティプロバイダとを備え、
前記ローカルアイデンティティプロバイダは、前記ローカル識別子と関連づけられ、前記ローカル識別子により前記グローバルアイデンティティプロバイダに登録するように構成され、前記ユーザが前記サービスプロバイダへのサービスアクセスを要求したときに、前記サービスプロバイダが前記グローバルアイデンティティプロバイダに対してアイデンティティ管理サービスを要求し、前記グローバルアイデンティティプロバイダは、前記ローカルネットワーク内の提供されたローカル識別子に従って、前記ユーザのアクセス要求を前記ローカルアイデンティティプロバイダにリダイレクトするように構成され、前記ローカルアイデンティティプロバイダは、前記ローカル識別子が前記ユーザの前記ローカルネットワークに対応するかどうかをチェックするように構成され、前記グローバルアイデンティティプロバイダは、前記チェックの結果に従って、前記要求されたアイデンティティ管理サービスを前記サービスプロバイダに提供するように構成され、前記サービスプロバイダは、前記提供されたアイデンティティ管理サービスに従って、前記ユーザに対してアクセスを許可するように構成されることを特徴とする、ユーザにサービスアクセスを提供するシステム。
グローバルネットワーク内に位置する認証を必要とするサービスプロバイダのサービスにユーザがアクセスするためのローカルネットワーク内に位置するユーザコンピュータと、
前記ローカルネットワーク内に位置しローカル識別子を有する前記ユーザコンピュータに接続されるとともにグローバルネットワークに接続されたローカルアイデンティティプロバイダと、
前記グローバルネットワークに接続されるとともに前記ローカルネットワークに接続されたグローバルアイデンティティプロバイダとを備え、
前記ローカルアイデンティティプロバイダは、前記ローカル識別子と関連づけられ、前記ローカル識別子により前記グローバルアイデンティティプロバイダに登録するように構成され、前記ユーザが前記サービスプロバイダへのサービスアクセスを要求したときに、前記サービスプロバイダが前記グローバルアイデンティティプロバイダに対してアイデンティティ管理サービスを要求し、前記グローバルアイデンティティプロバイダは、前記ローカルネットワーク内の提供されたローカル識別子に従って、前記ユーザのアクセス要求を前記ローカルアイデンティティプロバイダにリダイレクトするように構成され、前記ローカルアイデンティティプロバイダは、前記ローカル識別子が前記ユーザの前記ローカルネットワークに対応するかどうかをチェックするように構成され、前記グローバルアイデンティティプロバイダは、前記チェックの結果に従って、前記要求されたアイデンティティ管理サービスを前記サービスプロバイダに提供するように構成され、前記サービスプロバイダは、前記提供されたアイデンティティ管理サービスに従って、前記ユーザに対してアクセスを許可するように構成されることを特徴とする、ユーザにサービスアクセスを提供するシステム。
【請求項9】
前記ローカルアイデンティティプロバイダが、前記ローカルネットワークを前記グローバルネットワークに接続するホームゲートウェイであることを特徴とする請求項8に記載のシステム。
【請求項10】
前記ユーザコンピュータが、バーチャルプライベートネットワーク、トンネルアプリケーションまたはリバースNATによって前記ローカルアイデンティティプロバイダに接続されることを特徴とする請求項8または9に記載のシステム。
【請求項11】
前記ローカルネットワークにおけるネットワークトラフィック通信が暗号化されることを特徴とする請求項8ないし10のいずれか1項に記載のシステム。
【請求項12】
前記ローカルアイデンティティプロバイダの前記ローカル識別子のチェックがMACアドレスおよび/またはIPアドレスに基づくことを特徴とする請求項8ないし11のいずれか1項に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザにサービスアクセスを提供する方法およびユーザにサービスアクセスを提供する、好ましくは請求項1ないし7のいずれか1項に記載の方法を実行するシステムに関する。
【背景技術】
【0002】
アイデンティティ管理システムとは一般的に、アイデンティティの設定、記述および破棄やアイデンティティアクティビティの追跡を含む、アイデンティティの管理をサポートするために使用可能な情報システムを指す。アイデンティティ管理は特に、ユーザやユーザ群に対して、コンピュータネットワークへの権限のあるアクセスを識別するために使用可能である。サービスコンピュータあるいはネットワークへの、ユーザの認証を必要とするアクセスを取得するため、SAMLやOpenIDのようなアイデンティティ管理プロトコルが使用可能である。ユーザは、アイデンティティ管理サービスを要求するため、自分のローカルコンピュータ上のクライアントを使用する場合がある。認証を必要とするサービスをユーザが要求すると、ユーザのコンピュータに接続されたサービスプロバイダは、認証のために、クライアントのブラウザでのリダイレクトを通じて、自己のインターネットサービスプロバイダ経由で、対応するアイデンティティプロバイダと交信する。また、別のアイデンティティプロバイダもユーザのブラウザからの連絡を受け、サービスプロバイダとアイデンティティプロバイダとの間の仮想プロキシとして作用し続けることもあり得る。
【0003】
しかし、リダイレクトを通じてサービスプロバイダがアイデンティティプロバイダと交信する際には、セキュリティの問題が生じる可能性がある。例えば、「サービス拒否」攻撃や、最悪の場合にはフィッシング攻撃のような形態の攻撃の可能性がある。攻撃者が攻撃者の制御下にあるウェブサイトにユーザをリダイレクトすることで、ユーザは攻撃者によって利用される。そして、攻撃者は、リダイレクト機能を用いて、ユーザとアイデンティティプロバイダおよび/またはサービスプロバイダとの間のすべての通信に自分を介入させたままにする。
【0004】
この欠点を克服するため、セキュアトランスポートプロトコルあるいはセキュアサービスプロトコルが使用可能である。これによりセキュリティレベルは少し上昇するが、送信されるコンテンツとセキュリティコンテキストとの間の断絶や、単に使いやすさの理由から、攻撃は依然として可能である。
【0005】
例えば、アイデンティティ管理サービスがユーザ自身または会社もしくは企業によって提供される場合、これらのサービスを提供しローカルエリアネットワーク(例えば社内ネットワーク)内に位置するサーバは通常、ユーザが外部からアイデンティティ管理サービスを間接的に要求することができるように、外部特にインターネットと双方向にアクセス可能である必要がある。これはさらに攻撃の可能性を生じる。すなわち、ユーザのコンピュータと、ユーザまたは会社もしくは企業のアイデンティティサービスプロバイダとして作用するサーバのローカルインタフェース上で動作しているプロトコルおよびサービスとの間の送信プロトコルに対する攻撃である。
【0006】
要約すると、依然としてフィッシングやサービス拒否攻撃の可能性がある。すなわち、アイデンティティ管理サービスが要求されると、ユーザは、攻撃者によってインターセプトされ、アイデンティティサービスプロバイダへのリダイレクト中に攻撃者のウェブサイトにリダイレクトされる可能性がある。攻撃者は、アイデンティティサービスプロバイダになりすまし、アイデンティティサービスプロバイダへの選択的フォワーダとして作用する。そして、攻撃者は、メッセージを監視したり、コマンドを変更したり、後で他のサービスで不正使用するため認証データおよび/または認証表明を単に収集したりする可能性がある。
【0007】
別の主要な問題として、内部サーバに対する攻撃がある。すなわち、公開で利用可能な、および、公開で利用可能であるべきアイデンティティ管理サービスを提供すると、企業や会社のローカルネットワーク内のユーザおよび/またはコンピュータは、インターネットの任意のコンピュータから攻撃を受ける可能性がある。アイデンティティ管理サービスが外部および内部の任意の位置から使用可能である必要があるため、このようなサービスを提供する対応するサーバが公開で利用可能でなければならない、ということを攻撃者は利用する。そして、攻撃者は、ユーザのホームネットワーク内または会社のローカルネットワーク内のソフトウェアおよび/またはハードウェアがどのようなタイプのものかを識別し、ハードウェアおよび/またはソフトウェアの既知のセキュリティリークや特性を利用して、対応するネットワークへのアクセスを取得しようとする可能性がある。
【0008】
ホームネットワークにおけるアイデンティティ管理サービス、特にホームゲートウェイ等からなるホームサーバのためのアイデンティティ管理サービスは通常、企業や通信事業者向けのものよりも厳格さの低いセキュリティ要件の下で開発されるので、ソフトウェアのバグや見落としを利用して、ユーザの同意なしにユーザデータやローカルネットワークへのアクセスが取得される可能性がある。
【発明の概要】
【発明が解決しようとする課題】
【0009】
したがって、本発明の目的は、より高度なセキュリティレベルを可能にした、ユーザにサービスアクセスを提供する方法およびシステムを提供することである。
【0010】
また、本発明の別の目的は、単純であると同時に、よりセキュアであるような、ユーザにサービスアクセスを提供する方法およびシステムを提供することである。
【0011】
また、本発明の別の目的は、可能性のあるフィッシングあるいはサービス拒否攻撃を低減することである。
【課題を解決するための手段】
【0012】
本発明によれば、上記の目的は、請求項1の構成を備えた方法によって達成される。
【0013】
請求項1に記載の通り、ユーザにサービスアクセスを提供する本方法は、a)ローカルネットワーク内に位置するローカルアイデンティティプロバイダを該ローカルアイデンティティプロバイダのローカル識別子によりグローバルアイデンティティプロバイダに登録するステップと、
b)前記ローカルネットワーク内に位置するユーザが、サービスプロバイダへのアイデンティティ認証を必要とするサービスアクセスを要求するステップと、
c)前記サービスプロバイダが、前記グローバルアイデンティティプロバイダに対してアイデンティティ管理サービスを要求するステップと、
d)前記ローカルネットワーク内の提供されたローカル識別子に従って、前記ユーザのアクセス要求を前記ローカルアイデンティティプロバイダにリダイレクトするステップと、
e)前記ローカル識別子が前記ユーザの前記ローカルネットワークに対応するかどうかをチェックするステップと、
f)前記グローバルアイデンティティプロバイダが、ステップe)によるチェックの結果に従って、前記要求されたアイデンティティ管理サービスを前記サービスプロバイダに提供するステップと、
g)前記ユーザに対する前記サービスプロバイダへのサービスアクセスを許可するステップと
を備えたことを特徴とする。
【0014】
本発明によれば、上記の目的は、請求項8の構成を備えたシステムによっても達成される。
【0015】
請求項8に記載の通り、ユーザにサービスアクセスを提供する、好ましくは請求項1ないし7のいずれか1項に記載の方法を実行する本システムは、グローバルネットワーク内に位置する認証を必要とするサービスプロバイダのサービスにユーザがアクセスするためのローカルネットワーク内に位置するユーザコンピュータと、前記ローカルネットワーク内に位置しローカル識別子を有する前記ユーザコンピュータに接続されるとともにグローバルネットワークに接続されたローカルアイデンティティプロバイダ、好ましくはホームゲートウェイと、前記グローバルネットワーク、好ましくはインターネットに接続されるとともに前記ローカルネットワークに接続されたグローバルアイデンティティプロバイダとを備える。
【0016】
請求項8に記載の通り、本システムは、以下のことを特徴とする。すなわち、前記ローカルアイデンティティプロバイダは、前記ローカル識別子と関連づけられ、前記ローカル識別子により前記グローバルアイデンティティプロバイダに登録するように構成される。前記ユーザが前記サービスプロバイダへのサービスアクセスを要求したときに、前記サービスプロバイダが前記グローバルアイデンティティプロバイダに対してアイデンティティ管理サービスを要求する。前記グローバルアイデンティティプロバイダは、前記ローカルネットワーク内の提供されたローカル識別子に従って、前記ユーザのアクセス要求を前記ローカルアイデンティティプロバイダにリダイレクトするように構成される。前記ローカルアイデンティティプロバイダは、前記ローカル識別子が前記ユーザの前記ローカルネットワークに対応するかどうかをチェックするように構成される。前記グローバルアイデンティティプロバイダは、前記チェックの結果に従って、前記要求されたアイデンティティ管理サービスを前記サービスプロバイダに提供するように構成される。前記サービスプロバイダは、前記提供されたアイデンティティ管理サービスに従って、前記ユーザに対してアクセスを許可するように構成される。
【0017】
本発明によって初めて認識されたこととして、アイデンティティ管理サービスおよびサービスアクセスを提供する際のセキュリティレベルが向上する。また、本発明によって初めて認識されたこととして、特に介入者攻撃のリスクが低減される。また、本発明によって初めて認識されたこととして、ローカルネットワーク内部のインフラストラクチャが外部の攻撃から保護される。また、本発明によって初めて認識されたこととして、ユーザは、自己のデータおよびアイデンティティ管理機能の公開を制御することが可能である。また、初めて認識されたこととして、本発明による方法およびシステムによれば、ユーザの個人データは、従来のアイデンティティ管理プロトコルによって公開のネットワークからアクセス可能でありながら、公開のネットワークに保存する必要がなく、それゆえローカルネットワークに保存してもよい。
【0018】
したがって、本発明による基本的な考え方は、ユーザのアクセス要求をローカルアイデンティティプロバイダにリダイレクトする際にローカル識別子を使用することである。これは、ユーザとローカルアイデンティティプロバイダとの間の通信が、実際に、または仮想的に、ユーザおよびローカルアイデンティティプロバイダのローカルネットワーク上にあり、いわゆる「介入者」あるいはフィッシャ(フィッシング攻撃者)による再構成が不可能なことを意味する。
【0019】
特に、本発明による方法は、2つの部分、すなわち、登録段階と運用段階に分けることが可能である。登録段階の期間中、ローカルアイデンティティプロバイダがグローバルアイデンティティプロバイダに登録を行う。この登録は、ローカルネットワークからグローバルアイデンティティプロバイダにローカル識別子を提供する。ローカルアイデンティティプロバイダは、例えば、企業または企業ネットワーク内に位置してもよく、および/または、ホームゲートウェイの形態で、好ましくはホームネットワーク内に位置してもよい。これは、後の運用段階の期間中に使用される識別子となる。運用段階の期間中、グローバルプロバイダは、登録されたローカル識別子を用いて、ローカルアイデンティティプロバイダにユーザを接続する。これは、ユーザに渡されるローカル識別子がローカルネットワークを通じてのみアクセス可能である従来の方法とは異なる。
【0020】
本発明の好ましい実施形態によれば、少なくともステップa)が、好ましくは所定期間の間、ローカルアイデンティティプロバイダとグローバルアイデンティティプロバイダとの間のセッションを設定することを含む。ローカルアイデンティティプロバイダとグローバルアイデンティティプロバイダとの間のセッションを設定することは、容易なコネクション確立と、ローカル識別子によりグローバルアイデンティティプロバイダにローカルアイデンティティプロバイダを登録するための確実でよりセキュアのコネクションとを提供する。セッションが所定期間の間だけ設定されれば、セキュリティレベルをさらに向上させることができる。というのは、グローバルアイデンティティプロバイダまたはローカルアイデンティティプロバイダに対する可能性のある攻撃は、同じセッションの期間中にのみ可能だからである。
【0021】
本発明の別の好ましい実施形態によれば、ユーザは、バーチャルプライベートネットワーク、トンネルアプリケーションまたはリバースNATによって自己のローカルネットワークに接続される。バーチャルプライベートネットワークを使用するとき、ユーザはセキュアコネクションによって自己のローカルネットワークに接続される。その場合、ユーザは、例えば、公開で利用可能なホットスポット、ホテルネットワーク等を利用して自己のローカルネットワークに接続した後、グローバルサービスプロバイダに対してサービスを要求してもよい。場合によっては、ユーザは、バーチャルプライベートネットワークを通じて自己のローカルネットワークに接続することが許容されていないことがある。その場合、ユーザは、セキュアトンネルを提供するトンネルアプリケーションを利用して自己のローカルネットワークにアクセスしてもよい。グローバルアイデンティティプロバイダがユーザに提供するローカルIPアドレスは、ユーザのコンピュータからセキュアトンネル経由でローカルネットワークのローカルゲートウェイに送信されることが可能である。そして、ユーザは、グローバルアイデンティティプロバイダからのローカルIPアドレスを用いて、セキュアトンネル経由で、ローカルネットワーク内のローカルアイデンティティプロバイダに接続することが可能である。これは、インターネット経由で世界中のコンピュータやアクセスポイントからユーザを自己のローカルネットワークに接続する複数の選択肢を有するフレキシブルな手段を提供する。
【0022】
別の好ましい実施形態によれば、少なくともステップa)による登録は、トランスポートセキュリティプロトコルおよび/またはサービスセキュリティプロトコルを使用する。これは、ユーザにアイデンティティ管理サービスを提供する方法に対するセキュリティのレベルをさらに向上させる。
【0023】
別の好ましい実施形態によれば、ローカル識別子は、IPアドレスおよび/またはMACアドレスの形態で提供される。IPアドレスおよび/またはMACアドレスの使用は、IPアドレスおよび/またはMACアドレスの形態のローカル識別子がユーザのローカルネットワークに対応するかどうかを後でチェックするための容易で確実な手段を提供する。
【0024】
別の好ましい実施形態によれば、少なくともステップa)による登録は、HTTPSトランスポートセキュリティプロトコルを使用する。これは、トランスポートレベルで、グローバルアイデンティティプロバイダにローカルアイデンティティプロバイダを登録する際のセキュリティを向上させる。
【0025】
別の好ましい実施形態によれば、少なくともステップa)による登録は、XML−SIGおよび/またはXML−ENCサービスセキュリティプロトコルを使用する。これは、サービスレベルで、ローカル識別子によりグローバルアイデンティティプロバイダにローカルアイデンティティプロバイダを登録する際のセキュリティを向上させる。
【0026】
請求項8に記載のシステムの別の好ましい実施形態によれば、ローカルアイデンティティプロバイダは、ローカルネットワークをグローバルネットワークに接続するホームゲートウェイである。ゲートウェイの使用は、ローカルネットワークのセキュリティをさらに低下させることなく、ローカルネットワークからグローバルネットワークへの確実な接続を提供する。
【0027】
別の好ましい実施形態によれば、ユーザコンピュータは、バーチャルプライベートネットワーク、トンネルアプリケーションまたはリバースNATによってローカルアイデンティティプロバイダに接続される。バーチャルプライベートネットワークを使用するとき、ユーザのコンピュータはセキュアコネクションによって自己のローカルネットワークに接続される。その場合、ユーザは、例えば、公開で利用可能なホットスポット、ホテルネットワーク等を利用して自己のローカルネットワークに接続した後、グローバルサービスプロバイダに対してサービスを要求してもよい。場合によっては、ユーザは、バーチャルプライベートネットワークを通じて自己のローカルネットワークに接続することが許容されていないことがある。その場合、ユーザは、セキュアトンネルを提供するトンネルアプリケーションを利用して自己のローカルネットワークにアクセスしてもよい。グローバルアイデンティティプロバイダがユーザに提供するローカルIPアドレスは、ユーザのコンピュータからセキュアトンネル経由でローカルネットワークのローカルゲートウェイに送信されることが可能である。そして、ユーザは、グローバルアイデンティティプロバイダからのローカルIPアドレスを用いて、セキュアトンネル経由で、ローカルネットワーク内のローカルアイデンティティプロバイダに接続することが可能である。これは、インターネット経由で世界中のコンピュータやアクセスポイントからユーザを自己のローカルネットワークに接続する複数の選択肢を有するフレキシブルな手段を提供する。
【0028】
別の好ましい実施形態によれば、ローカルネットワークにおけるネットワークトラフィック通信が暗号化される。これは、ユーザに対するアイデンティティ管理サービスを提供する際にさらにセキュリティレベルを向上させ、アイデンティティサービスプロバイダあるいはアイデンティティ管理サービスへのアクセスを得ようとするローカルネットワーク内からの攻撃を低減する。
【0029】
別の好ましい実施形態によれば、ローカルアイデンティティプロバイダのローカル識別子のチェックはMACアドレスおよび/またはIPアドレスに基づく。IPアドレスおよび/またはMACアドレスの使用は、IPアドレスおよび/またはMACアドレスの形態のローカル識別子がユーザのローカルネットワークに対応するかどうかを後でチェックするための容易で確実な手段を提供する。
【0030】
本発明を好ましい態様で実施するにはいくつもの可能性がある。このためには、一方で請求項1および8に従属する諸請求項を参照しつつ、他方で図面により例示された本発明の好ましい実施形態についての以下の説明を参照されたい。図面を用いて本発明の好ましい実施形態を説明する際には、本発明の教示による好ましい実施形態一般およびその変形例について説明する。
【発明を実施するための形態】
【0032】
図1に、実施形態におけるユーザにサービスアクセスを提供する方法のフローチャートを示す。ユーザのPCでは、サービスプロバイダへのサービスアクセスを要求するためにブラウザが動作中である。サービスプロバイダのサービスへのアクセスを得るためには認証が必要である。ユーザのPCはローカルネットワーク内に位置する。ローカルネットワーク内には、グローバルアイデンティティプロバイダ(IDPと記す)に接続するためのホームゲートウェイの形態のローカルアイデンティティプロバイダも位置する。ユーザのPCとホームゲートウェイとの間のコネクションは、バーチャルプライベートネットワーク、トンネルアプリケーションまたはリバースNATの形態であることが可能である。
【0033】
まず最初に、ホームゲートウェイがグローバルアイデンティティプロバイダIDPに対する回線認証を実行する。グローバルアイデンティティプロバイダIDPとの回線認証後、ホームゲートウェイは、グローバルアイデンティティプロバイダIDPに自己のローカルネットワークIPアドレスを登録する。ユーザが、サービスプロバイダに対して、自己のユーザPC経由で認証を必要とするサービスアクセスを要求すると(図1ではserviceAccessの矢印で表す)、グローバルアイデンティティプロバイダIDPは連絡を受け、認証のためのアイデンティティ管理サービスが、サービスプロバイダによってグローバルアイデンティティプロバイダに対して要求される。そして、アイデンティティ管理サービス要求は、ホームゲートウェイの形態のローカルアイデンティティプロバイダにリダイレクトされる。リダイレクトを実行するため、ホームゲートウェイのローカルネットワークIPアドレスの形態のローカル識別子が使用される。
【0034】
アイデンティティ管理サービス要求(図1のユーザのホームネットワークにおけるIDMRequest)がホームゲートウェイによって受信されると、ホームゲートウェイは、ローカル識別子がローカルネットワークに対応するかどうか、例えばローカル識別子がローカルネットワークIPアドレスであるかどうかをチェックし、ユーザのPCのローカルネットワークIPアドレスがローカルネットワーク範囲内にあるかどうか、ホストIP範囲をチェックする。ユーザのPCのローカルネットワークIPアドレスがローカルネットワーク内にない場合、認証に成功することはできず、要求は破棄される。チェックが成功した場合、ホームゲートウェイの形態のローカルアイデンティティプロバイダは、要求されたアイデンティティ管理サービスに対する認証情報をサービスプロバイダに提供する。これにより、ユーザのPC、したがってユーザは、要求したアイデンティティ管理サービスをサービスプロバイダから受けることが可能となり、ユーザによって要求されるサービスにアクセスするためのサービスプロバイダへのアクセスが許可される。
【0035】
ユーザの装置、好ましくはユーザPC内のローカルアイデンティティプロバイダとしてホームアイデンティティプロバイダを使用することも可能である。その場合、登録された上でユーザをそのグローバルアイデンティティプロバイダに接続するために使用されなければならない、好ましくはIPアドレスの形態のローカル識別子は、IPアドレスが「local host」すなわち127.0.0.1の場合となる。要求されたアイデンティティ管理サービスに関連するすべての通信は、ユーザPCまたはユーザ装置上で実行され、依然として相違なしに使用可能である。
【0036】
ローカル識別子を使用することにより、ローカルネットワークに直接に、またはバーチャルプライベートネットワークを通じて接続されたユーザの装置、好ましくはユーザのPCは、グローバルネットワーク、例えばインターネット経由では自己のローカルアイデンティティプロバイダにアクセスしない。ユーザは、ユーザのローカルアイデンティティプロバイダがユーザのブラウザにポップアップすれば、介入者攻撃の可能性がないことを確かめることが可能である。というのは、攻撃者はユーザのローカルネットワークへのアクセスが許されていないことが仮定されているからである。公開で利用可能なサービスプロバイダまたはグローバルアイデンティティプロバイダは、ユーザの要求がローカルネットワークから発信されていることを確認することができ、グローバルアイデンティティプロバイダ、したがってサービスプロバイダは、上記の方法によりユーザの真正性を確認することができる。例えばMACアドレスやIPアドレスに基づく別の内部ネットワーク識別により、ユーザエクスペリエンスを改善することも可能である。
【0037】
本発明は、特に、アイデンティティ管理システムにおける発見のために家庭または企業の権限のある装置の登録、ユーザにより信頼されているローカルネットワークへのユーザデータの再配置を提供する。上記の発見メカニズムを用いた対応する方法は、ユーザのブラウザをローカルネットワークインタフェースにリダイレクトすることにより、例えばフィッシング、サービス拒否および/またはスキャニング等の攻撃を防止することで、すべてのユーザのデータがユーザ自身のローカルネットワーク内に配置され、ユーザがそれにアクセスできるようにする。
【0038】
要約すれば、本発明はとりわけ以下の利点を有する。本発明は、ローカルネットワークを使用してセキュリティレベルを向上させることにより、ほとんどの攻撃、特にアイデンティティ管理メッセージのトランスポートに対するフィッシングを防止する。また、本発明は、ローカルネットワークにおけるアイデンティティ管理機能を、ユーザ経由で仲介されたローカルネットワーク内に位置する装置にのみ利用可能とすることによって、ネットワーク内部の要素を外部の攻撃から保護する。また、本発明によれば、ユーザは、ユーザのデータおよびアイデンティティ管理機能の公開を明確に制御することができる。本発明の別の利点として、本発明は、ローカルネットワークとの関係で、ユーザデータに対するアイデンティティプロバイダの責任を軽減する。すなわち、ユーザのデータは、ユーザのローカルネットワークに保存されても、標準的なアイデンティティ管理プロトコルにより依然としてアクセス可能である。
【0039】
このように、本発明は、個人データを扱う際にユーザのセキュリティおよびプライバシーを改善し、フィッシングや介入者攻撃を低減する。
【0040】
上記の説明および添付図面の記載に基づいて、当業者は本発明の多くの変形例および他の実施形態に想到し得るであろう。したがって、本発明は、開示した具体的実施形態に限定されるものではなく、変形例および他の実施形態も、添付の特許請求の範囲内に含まれるものと解すべきである。本明細書では特定の用語を用いているが、それらは総称的・説明的意味でのみ用いられており、限定を目的としたものではない。
【0041】
特に、回線認証の代わりに、3GPP/IMS認証を用いて、グローバルアイデンティティプロバイダでのローカル識別子のさらにセキュアな登録を提供することが可能である。グローバルアイデンティティプロバイダがインターネットサービスプロバイダである場合、インターネットサービスプロバイダに対する認証を用いて、ローカルアイデンティティプロバイダを登録することも可能である。他のセキュリティメカニズムも使用可能である。例えば、ローカルアイデンティティプロバイダが複数のユーザまたはトランスポートレベルのセキュリティをサポートする場合に必要となる他の認証方法も使用可能である。
【図1】