ホーム > 特許ランキング > アルカテル−ルーセント
知財求人 - 知財ポータルサイト「IP Force」
特許6086987ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6086987
(24)【登録日】2017年2月10日
(45)【発行日】2017年3月1日
(54)【発明の名称】ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録
(51)【国際特許分類】
H04L 9/32 20060101AFI20170220BHJP
G06F 21/33 20130101ALI20170220BHJP
H04W 12/06 20090101ALI20170220BHJP
【FI】
H04L9/00 675B
H04L9/00 675Z
G06F21/33
H04W12/06
【請求項の数】13
【全頁数】14
(21)【出願番号】特願2015-541876(P2015-541876)
(86)(22)【出願日】2013年11月6日
(65)【公表番号】特表2015-537471(P2015-537471A)
(43)【公表日】2015年12月24日
(86)【国際出願番号】US2013068716
(87)【国際公開番号】WO2014078147
(87)【国際公開日】20140522
【審査請求日】2015年7月2日
(31)【優先権主張番号】61/726,009
(32)【優先日】2012年11月13日
(33)【優先権主張国】US
(31)【優先権主張番号】13/930,682
(32)【優先日】2013年6月28日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】391030332
【氏名又は名称】アルカテル−ルーセント
(74)【代理人】
【識別番号】110001173
【氏名又は名称】特許業務法人川口國際特許事務所
(72)【発明者】
【氏名】シン,サンジーブ・クマール
(72)【発明者】
【氏名】フェダー,ペレツ
【審査官】
中里 裕正
(56)【参考文献】
【文献】
国際公開第03/107710(WO,A1)
【文献】
特開2005−228198(JP,A)
【文献】
特開2006−048653(JP,A)
【文献】
米国特許出願公開第2011/0154024(US,A1)
【文献】
国際公開第2012/036992(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
G06F 21/33
H04W 12/06
JSTPlus/JMEDPlus/JST7580(JDreamIII)
IEEE Xplore
(57)【特許請求の範囲】
【請求項1】
モバイルネットワークアクセスデバイスから証明書署名要求をサーバで受信することと、
証明書要求が所定値に等しいネットワークアクセス規格を含むことを条件に、証明書署名要求を証明書発行局に転送することと
を備える、方法。
証明書要求が所定値に等しいネットワークアクセス規格を含むことを条件に、証明書署名要求を証明書発行局に転送することと
を備える、方法。
【請求項2】
モバイルネットワークアクセスデバイスから証明書署名要求を受信することと、デバイス識別データを含むメッセージがデバイスから以前に受信されたことを条件に証明書署名要求を証明書発行局に転送することとをさらに備える、請求項1に記載の方法。
【請求項3】
所定値が、Hotspot2.0(HS2.0)またはそれ以降の規格を指定する、請求項1に記載の方法。
【請求項4】
所定値が、拡張鍵使用(EKU:extended key usage)鍵用途フィールドを介して搬送される、請求項1に記載の方法。
【請求項5】
モバイルネットワークアクセスデバイスから証明書登録要求を、認証局サーバにおいてネットワークを介して受信することと、
証明書登録要求が所定値に等しいネットワークアクセス規格を含むことを条件に、認証局サーバにより、署名されたネットワークアクセス証明書をデバイスへ提供することと
を備える、方法。
証明書登録要求が所定値に等しいネットワークアクセス規格を含むことを条件に、認証局サーバにより、署名されたネットワークアクセス証明書をデバイスへ提供することと
を備える、方法。
【請求項6】
署名されたアクセス証明書が、モバイルネットワークアクセスデバイスを識別するデバイス識別データを含む、請求項5に記載の方法。
【請求項7】
ネットワークアクセス規格指定が、Hotspot2.0(HS2.0)またはそれ以降の規格を指定する、請求項5に記載の方法。
【請求項8】
ネットワークアクセス規格指定が、署名された証明書のEKU_key_purposeフィールド内で搬送される、請求項5に記載の方法。
【請求項9】
サービスプロバイダネットワークにアクセスするための証明書をモバイルネットワークアクセスデバイスにより受信することと、
モバイルネットワークアクセスデバイスにより証明書署名要求をサービスプロバイダネットワークサーバへ送信することであって、署名要求はネットワークアクセス規格指定を含む、送信することと、
ネットワークアクセス規格指定を含む署名されたアクセス証明書をモバイルネットワークアクセスデバイスにおいて受信することと
を備える、方法。
モバイルネットワークアクセスデバイスにより証明書署名要求をサービスプロバイダネットワークサーバへ送信することであって、署名要求はネットワークアクセス規格指定を含む、送信することと、
ネットワークアクセス規格指定を含む署名されたアクセス証明書をモバイルネットワークアクセスデバイスにおいて受信することと
を備える、方法。
【請求項10】
デバイス識別データをモバイルネットワークアクセスデバイスによりネットワークアクセスサーバへ提供することをさらに備え、
署名されたアクセス証明書がデバイス識別データを含む、請求項9に記載の方法。
署名されたアクセス証明書がデバイス識別データを含む、請求項9に記載の方法。
【請求項11】
デバイス識別データが、署名された証明書のサブジェクトフィールド内で搬送される、請求項10に記載の方法。
【請求項12】
ネットワークアクセス規格指定が、Hotspot2.0(HS2.0)またはそれ以降の規格を指定する、請求項9に記載の方法。
【請求項13】
ネットワークアクセス規格指定が、署名された証明書のEKU_key_purposeフィールド内で搬送される、請求項9に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、その全体が引用により本明細書に組み込まれる、2012年11月13日出願の「Restricted Certificate Enrollment for Unknown Devices in Hotspot Networks」と題する先に出願された米国仮特許出願第61/726,009号の利益を主張する。
【0002】
本開示は、一般に、ネットワーク化された無線通信の分野に関する。
【背景技術】
【0003】
本節では、本発明のより良い理解を容易にするのに役立ち得る態様を紹介する。したがって、本節の記述は、この観点で読まれるべきであり、何が従来技術に含まれるかまたは何が従来技術に含まれないかについて認めるものとして理解されるべきではない。
【0004】
モバイルデバイスおよびモバイルアプリケーションにおける近年の進歩が、モバイルネットワークへの著しい帯域幅および性能の需要をもたらした。モバイルおよびWiFiネットワーク技術および規格は、異種ネットワーク(HetNet:heterogeneous network)アーキテクチャへ向けて進化している。この進化は、モバイルサービスプロバイダがモバイルネットワークトラフィックをWiFiネットワークへオフロードすることを可能とし、また、セルラーおよびWiFiアクセスを含む包括的なサービスプランを提供することも可能とすると期待されている。
【発明の概要】
【発明が解決しようとする課題】
【0005】
未登録デバイスのオンライン証明書登録の不正利用を防ぐための方法およびデバイスが必要とされる。
【課題を解決するための手段】
【0006】
一実施形態は、オンラインサインアップサーバ(OSU)を動作させるなどの方法を提供する。サーバは、モバイルネットワークアクセスデバイスまたはWiFiのみのデバイスなどのクライアントデバイスから、ネットワークアクセス証明書署名要求を受信する。サーバは、証明書署名要求が所定値に等しいネットワークアクセス規格を含むことを条件に、証明書要求を証明書発行局に転送する。
【0007】
他の実施形態は、上記の方法の実施形態を実施するように構成される、OSUサーバなどのサーバを提供する。サーバは、プロセッサと、ネットワークに接続されたネットワークインターフェースを含む。非一時的機械可読記憶媒体には、プログラムコードが符号化されている。プログラムコードは、モバイルネットワークアクセスデバイスから証明書登録要求をネットワークインターフェースを介して受信することを含む方法を実施するように、プロセッサにより実行される。方法は、証明書登録要求が所定値に等しいネットワークアクセス規格識別子を含むことを条件に、証明書発行局に証明書登録要求をネットワークインターフェースを介して転送することをさらに含む。
【0008】
一部の実施形態において、上述の方法は、モバイルネットワークアクセスデバイスまたはWiFiのみのデバイスから証明書署名要求を受信することと、デバイス識別データを含むメッセージがデバイスから以前に受信されたことを条件に証明書署名要求を証明書発行局に転送することとを含む。一部の実施形態において、所定値は、hotspot2.0(HS2.0)またはそれ以降の規格を指定する。任意の実施形態において、所定値は、拡張鍵使用(EKU:extended key usage)鍵用途フィールドを介して搬送され得る。一部の実施形態において、所定値は文字列id−kp−HS2.0Authを含む。様々な実施形態において、クライアントデバイスはたとえば、携帯電話、スマートフォン、モバイルコンピューティングデバイス、携帯電話機能なしのモバイルコンピューティングデバイス、またはWiFi付きのパーソナルコンピュータを含んでもよい。
【0009】
別の態様は、認証局(CA:certificate authority)などの証明書交付サーバを動作させるなどの方法を提供する。方法は、ネットワークアクセスのための証明書署名要求をモバイルネットワークアクセスデバイスなどから証明書交付サーバにより受信することを含む。サーバは、証明書登録要求が所定値に等しいネットワークアクセス規格を含むことを条件に、署名されたネットワークアクセス証明書をデバイスへ提供する。
【0010】
別の実施形態は、上記の方法の実施形態を実施するように構成されるサーバを提供する。サーバは、プロセッサと、ネットワークに動作可能に接続されたネットワークインターフェースとを含む。非一時的機械可読記憶媒体には、プログラムコードが符号化されている。プログラムコードは、モバイルネットワークアクセスデバイスまたはWiFiのみのデバイスからの証明書登録要求をネットワークインターフェースを介して受信することを含む方法を実施するように、プロセッサにより実行される。証明書登録要求が所定値に等しいネットワークアクセス規格を含むことを条件に、署名されたネットワークアクセス証明書は、ネットワークインターフェースを介してデバイスへ提供される。
【0011】
様々な実施形態において、署名されたアクセス証明書は、モバイルネットワークアクセスデバイスを識別するデバイス識別データを含む。一部のそのような実施形態において、デバイス識別データは、署名された証明書のサブジェクトフィールドにおいて搬送される。一部の実施形態において、ネットワークアクセス規格指定は、HS2.0またはそれ以降の規格を指定する。一部の実施形態において、ネットワークアクセス規格指定は、署名された証明書のEKU_key_purposeフィールドにおいて搬送される。一部の実施形態において、署名されたアクセス証明書は、ネットワークアクセス規格指定がクリティカルであるという指定を含む。一部の実施形態において、デバイス識別データは、IMEI、MEID、MACアドレス、またはシリアル番号などの一意のデバイス識別情報(ID)を含む。
【0012】
別の態様は、携帯電話またはWiFiのみのデバイスなどのモバイルネットワークアクセスデバイスを動作させるなどの方法を提供する。モバイルデバイスは、サービスプロバイダネットワークにアクセスするための証明書を受信する。デバイスは、証明書署名要求をサービスプロバイダネットワークサーバへ送信し、署名要求はネットワークアクセス規格指定を含む。モバイルデバイスは、ネットワークアクセス規格指定を含む署名されたアクセス証明書を受信する。
【0013】
別の実施形態は、上記の方法の実施形態を実施するように構成される、携帯電話またはWiFiのみのデバイスなどのモバイルネットワークアクセスデバイスを提供する。モバイルネットワークアクセスデバイスは、プロセッサと、無線ネットワークと通信するように構成される送受信機とを含む。非一時的機械可読記憶媒体には、プログラムコードが符号化されている。プログラムコードは、サービスプロバイダネットワークにアクセスするための証明書を送受信機を介して受信することを含む方法を実施するように、プロセッサにより実行される。証明書署名要求は送受信機を介してサービスプロバイダネットワークサーバへ送信され、署名要求はネットワークアクセス規格指定を含む。署名されたアクセス証明書は送受信機を介して受信され、証明書はネットワークアクセス規格指定を含む。
【0014】
方法の様々な実施形態は、モバイルネットワークアクセスデバイスまたはWiFiのみのデバイスにより、ネットワークアクセスサーバへデバイス識別データを提供することをさらに含み、署名されたアクセス証明書はデバイス識別データを含む。一部のそのような実施形態において、デバイス識別データは署名された証明書のサブジェクトフィールドにおいて搬送される。一部の実施形態において、ネットワークアクセス規格指定は、HS2.0またはそれ以降の規格を指定する。一部の実施形態において、ネットワークアクセス規格指定は、署名された証明書のEKU_key_purposeフィールドにおいて搬送される。様々な実施形態において、クライアントデバイスは、携帯電話、スマートフォン、モバイルコンピューティングデバイス、携帯電話機能なしのモバイルコンピューティングデバイス、またはWiFi付きのパーソナルコンピュータを含んでもよい。一部の実施形態において、署名されたアクセス証明書は、ネットワークアクセス規格指定がクリティカルであるという指定を含む。
【0015】
別の実施形態は、認証、認可、および課金(AAA:authentication,authorization,and accounting)サーバを動作させるなどの方法を提供する。方法は、アクセス証明書を含むネットワークアクセス要求を、サーバによりクライアントデバイスから受信することを含む。サーバは、証明書に関連付けられた用途指定、たとえば鍵用途を決定する。用途指定が所定の用途指定に一致する場合、たとえば特定のネットワークアクセス規格に対して、サーバは、クライアントデバイスによるネットワークサービスへのアクセスを許可する。
【0016】
別の実施形態は、上記の方法の実施形態を実行するように構成されるサーバを提供する。サーバは、プロセッサと、ネットワークに動作可能に接続されたネットワークインターフェースとを含む。非一時的機械可読記憶媒体には、プログラムコードが符号化されている。プログラムコードは、証明書を含むネットワークアクセス要求をクライアントデバイスからネットワークインターフェースを介して受信することを含む方法を実施するように、プロセッサにより実行される。ネットワークサーバは、証明書に関連付けられた用途を決定する。用途が所定の用途であることを条件に、クライアントデバイスによるネットワークサービスへのアクセスが許可される。
【0017】
様々な実施形態において、所定の用途はホットスポットネットワークへのアクセスを含む。一部のそのような実施形態において、ホットスポットネットワークはHS2.0またはそれ以降のネットワーク規格に準拠する。様々な実施形態において、方法は、クライアントデバイスにより提供された証明書が失効していると認証局が決定することを条件に、クライアントデバイスのネットワークアクセスを拒否することをさらに含む。様々な実施形態において、証明書は、拡張鍵使用(EKU)鍵用途フィールド内に用途を含む。様々な実施形態において、サーバは、認証、認可、および課金(AAA)サーバである。
【0018】
添付の図面と共に以下の詳細な説明を参照することで、本発明をより完全に理解することができよう。
【図面の簡単な説明】
【0019】
【図1】本明細書で開示された様々な実施形態に従って構成された、OSUと、AAAと、CAとを含む、サービスプロバイダネットワークとネットワークアクセススポットとを含むサービスプロバイダアーキテクチャなどのシステムと、本明細書で開示された様々な実施形態に従ってホットスポットを介してネットワークサービスへアクセスするように構成された、携帯電話などのモバイルネットワークアクセスデバイスとを示す図である。
【発明を実施するための形態】
【0020】
本開示は、モバイルホットスポットサービスプロバイダを介するネットワークアクセスを要求する未知および/または未登録のモバイルネットワークアクセスデバイスによるオンライン証明書登録のための方法およびシステムなどを対象とする。そのようなホットスポットサービスプロバイダの種類の1つは、本明細書では簡潔さのためにHS2.0と呼ぶことがある、Hotspot2.0規格および/またはそれ以降の改訂に準拠する。
【0021】
改良された「次世代の」モバイルホットスポットネットワークアーキテクチャの仕様の継続的な開発は、いまだ活発な努力がなされている。HS2.0は、異種ネットワーク(「HetNet」)アーキテクチャの次世代に通じる4GモバイルLTEネットワークおよびWiFiネットワークの収束のための主要な実現技術であると考えられている。本明細書で説明される様々な実施形態はHS2.0を参照するが、本開示および特許請求の範囲は、HS2.0に限定されず、類似の用途のための現在または以前の規格、HS2.0規格の発展的更新、または類似のプロトコルを用いる他のもしくは後に開発された規格をたとえば含んでもよいことは理解される。
【0022】
HS2.0は、スマートフォンまたはタブレットコンピュータあるいは他のモバイルコンピュータのようなモバイルデバイスなどのモバイルネットワークアクセスデバイスが、優先的なネットワークのリストから利用可能であり適切なHS2.0ネットワークを動的に探索し、サービスに登録し、必要なアクセスクレデンシャルによりHS2.0ネットワークにアクセスするように遠隔で構成されることを可能とする。HS2.0ネットワークアクセスを移動中に安全かつシームレスにアクセス可能とするために、デバイスは、最初のWiFiアクセス中に認証用のX.509証明書が供給され得る。
【0023】
HS2.0アクセスに登録するデバイスは、典型的には、HS2.0ネットワークオペレータには事前に知られていない(たとえば、登録されていない)。したがって、これらのデバイスは、ネットワークアクセスポイントに遭遇するときなどに、オンラインでネットワークへのアクセスに登録する必要がある場合がある。X.509認証証明書へのそのような未登録デバイスのオンライン登録の必要性は、HS2.0サービスプロバイダに対するセキュリティの問題を生じる。デバイスはHS2.0オペレータに知られていないので、HS2.0オペレータネットワーク内のまたはHS2.0オペレータネットワークに接続されている証明書発行局(CA)は、通常は、要求された認証局と証明書を登録するデバイスとの関連を認証できない。これにより、悪意のあるデバイスが証明書登録の要求エンティティになりすまして、そのエンティティに与えられていない特権で証明書をCAから受信し得る仕組みが生成される可能性がある。
【0024】
知られている/事前登録されたまたは事前準備されたデバイスの場合の措置を講じる、管理者検証によるオフライン登録のための仕組みが知られている。しかしながらそのような方法は、一般的には、HS2.0WiFiアクセスのユースケースに適用可能な未登録デバイスのオンライン証明書登録の場合に適用できない。それゆえ、そのような状況下で未登録デバイスのオンライン証明書登録の不正利用を防ぐための方法およびデバイスが必要とされる。
【0025】
本明細書で説明される実施形態は、従来の証明書発行の上述の欠陥を克服するように構成される方法および/またはデバイスを提供する。以下により完全に説明されるように、一部の実施形態は、インターネットエンジニアリングタスクフォース(IETF)により発行されたRFC5280により提供されるkeyPurposeIDフィールドに対する値であって、登録するデバイスによる許可される接続を識別する値を提供することにより、無線ネットワークにおける未知のデバイスの認証を提供する。一部の実施形態は、登録するデバイスが、国際移動体装置識別番号(IMEI)番号、WiFiメディアアクセスコントロール(MAC)アドレス、移動体装置識別子(MEID)番号または一意のデバイスIDなどの、一意の識別子を、オンラインサインアップサーバ(OSU)に提供する仕組みを提供する。そのような実施形態において、OSUは、以降の証明書署名要求(CSR:certificate signing request)において提供される識別子が、登録中に提供される識別子と一致することを要求してもよく、これにより別のデバイスが登録済みデバイスになりすますことを防ぐ。
【0026】
まず図1を考慮すると、システム100、たとえば、HS2.0規格に準拠した無線接続を提供するように構成される通信ネットワーク、および本明細書で説明される様々な実施形態が示される。システム100は、本明細書においてネットワーク100と同義的に呼ばれることがあるがこれに限定されない。前に記載したように、システム100の実施形態は、HS2.0規格に限定されない。システム100は、サービスプロバイダネットワーク(SPN:service provider network)などのネットワーク105と、Wi−Fiアクセスネットワーク(WAN:Wi−Fi access network)などのホットスポット110とを含む。ネットワーク105は、認証、認可、および課金(AAA)サーバ115と、ポリシーサーバ120と、加入者リメディエーションサーバ125と、オンラインサインアップ(OSU)サーバ130とを含む。OSUサーバ130は、CAサーバ135に接続される。サーバ115、120、125、130は、インターネット145に接続されるサービスプロバイダコアサービスプロバイダ(SP)ネットワーク140に、参照されないデータパスを介して接続される。
【0027】
OSU130は、様々な実施形態において、オンラインサインアップサーバとして動作するためにHS2.0規格に準拠する。したがって、OSU130は、無線デバイスがネットワーク100へのアクセスに登録するための登録サービスを提供する。本発明の実施形態は、特に、HS2.0アクセスのためのオンライン証明書登録の処理を保護するためのシステムを提供する。
【0028】
ホットスポット110は、HTTPサーバ150とAAAサーバ155とを含む。サーバ150および155は、第1のルータ160においてアクセスコントロールリスト(ACL)が適用された無線アクセスネットワークにそれぞれ接続されている。第1のルータ160は、たとえば無線アクセスノード内の無線周波数(RF)送受信機170に接続されている第2のルータ165に接続されている。ホットスポット110は、SPネットワーク140と第1のルータ160との間の参照されないデータパスを介してネットワーク105に接続されている。ユーザ175は、本明細書および特許請求の範囲においてクライアントデバイス180と呼ばれることがあるモバイルネットワークアクセスデバイス180を介して、インターネット145へアクセスしてもよい。「クライアントデバイス」という用語は、携帯電話機のような、「ユーザ機器(user equipment)」またはUEと関連技術の当業者に呼ばれることがあるデバイスを含む。クライアントデバイス180は、たとえば、スマートフォン、携帯情報端末(PDA:personal digital assistant)、ネットブック型、ノートブック型またはタブレット型コンピュータ、ラップトップコンピュータ、または、RF送受信機170を介したホットスポット110との無線データ接続を交渉し維持するように構成された類似のデバイスでもよく、または、含んでもよい。様々な実施形態において、クライアントデバイス180は、WiFiネットワークと通信可能であり、一部の実施形態においてセルラーネットワークとも通信可能である。一部の例では、クライアントデバイス180は、セルラー通信ネットワークと通信する機能がなく、たとえば、「WiFiのみ」である。本明細書では、「モバイル」デバイスは、機械的補助なしで人により日常的に持ち運ばれるように構成されたデバイスである。この文脈では、機械的補助は、バックパック、ブックバッグ、ブリーフケースなどのような個人用整理デバイスを除く。
【0029】
図2に、様々な実施形態に従って動作するように構成された、クライアントデバイス180などの装置200を示す。当業者は、装置200の以下の説明が多数の可能な実装を代表することを理解するだろう。さらに、装置200の様々な機能は便宜上個別の機能ブロックにより説明されることがあり、当業者は、そのような機能が装置200内の様々な構成要素の間で分散されることがあり、また一部の例では共有の構成要素により実装されることがあることは理解するだろう。
【0030】
例示の実施形態において、装置200は、送受信機210と、プロセッサ220と、メモリ230とを含む。送受信機210はアンテナ240と接続され、アンテナ240を介してRF信号を受信および/または送信するように動作する。プロセッサ220は送受信機210およびメモリ230と協力して動作して、送信されるRF信号を変調および符号化し、および/または、受信されるRF信号を復調および復号する。送受信機210、プロセッサ220、およびメモリ230は、本開示の範囲内の実施形態を除いて従来通りでもよい。メモリ230は、有形の非一時的記憶媒体、たとえばRAM、ROM、フラッシュメモリなどでもよい。メモリ230は、方法400および500などの以下に説明される様々な実施形態を実装するように構成される、命令などのステップを含む。
【0031】
図3に、様々な実施形態に従って動作するように構成される、AAAサーバ115、OSUサーバ130、およびCAサーバ135などを代表する装置300を示す。当業者は、装置300の以下の説明もまた多数の可能な実装を代表することを理解するだろう。さらに、装置300の様々な機能は便宜上個別の機能ブロックにより説明されることがあり、当業者は、そのような機能が装置300内の様々な構成要素の間で分散されることがあり、また一部の例では共有の構成要素により実装されることがあることは理解するだろう。
【0032】
例示の実施形態において、装置300は、ネットワークインターフェース310と、プロセッサ320と、メモリ330とを含む。ネットワークインターフェース310は、ローカルエリアネットワークまたはインターネットなどのネットワーク340を介して、データを受信および/または送信するように動作する。プロセッサ320は、ネットワークインターフェース310およびメモリ330と協力して動作して、ネットワークへ送信するためのデータをフォーマットし、および/またはネットワークからデータを受信する。ネットワークインターフェース310、プロセッサ320、およびメモリ330は、本開示の範囲内の実施形態を除いて従来通りでもよい。メモリ330は、有形の非一時的記憶媒体、たとえばRAM、ROM、フラッシュメモリ、磁気ディスク、光学ディスクなどでもよい。メモリ330は、方法400および500などの、以下に説明される様々な実施形態を実装するように構成される、命令などのステップを含む。
【0033】
図4に、ネットワーク105からネットワークサービスを受信するためにクライアントデバイス180を認証するなどのための方法400を示す。方法400の一部の態様は、本明細書においてその全体が引用により組み込まれる、米国マサチューセッツ州ベッドフォードのRSAセキュリティ社が開発および/または普及させた公開鍵暗号規格(PKCS:public key cryptography standards)、またはIETFのRFC5280などの、様々な規格により説明され得る。方法400は、クライアント410と、OSUサーバ130と、AAAサーバ115と、CAサーバ135との間の相互作用を説明する。クライアント410は、スマートフォン、PDA、ネットブック型、ノートブック型またはタブレット型コンピュータ、またはラップトップコンピュータなどの、クライアントデバイス180の様々な実施形態を代表する。方法400の様々なステップは、たとえば、装置200の例(たとえばクライアントデバイス180)、装置300の複数の例(たとえばOSUサーバ130、AAAサーバ115およびCAサーバ135)により実装され得る。
【0034】
ステップ430において、クライアント410は、ホットスポット110プロバイダに関連付けられたリスト要素からベースユニフォームリソース識別子(URI:uniform resource identifier)にHTTPSまたはHTTPのGET要求を発行することなどにより、OSUサーバ130に証明書要求を発行する。ステップ435において、OSUサーバ130は証明書要求をCAサーバ135に転送する。CAサーバ135は、ステップ440においてOSUサーバ130へ要求された証明書を返送する。この証明書は、本明細書では認証局証明書、またはより簡潔にCA証明書と呼ばれてもよく、ルート証明書と呼ばれることがあってもよい。
【0035】
ステップ445において、OSUサーバ130はCA証明書をクライアント410に返送する。CA証明書は、たとえば、X.509証明書でもよい。一実施形態において、OSUサーバ130は、「application/pkcs7−mime」フォーマットの「縮退した(degenerate)」証明書のみのPKCS7メッセージを用いてCA証明書を提供する。クライアント410は、ステップ450において次に、例示的にはHS2.0のようなホットスポットアクセス規格であるがそのような規格に制限されないネットワークアクセス規格を指定する所定のパラメータ値を含む証明書署名要求をOSUサーバ130に送信する。その規格は、PKCS10メッセージのEKU_key_purposeフィールドを介して搬送されてもよい。この値は、以下の議論では「HS2.0」と呼ばれることがあるがこれに限定されない。この文脈では、ホットスポットアクセス規格は、モバイルデバイスとWiFiネットワークアーキテクチャとの間の通信を確立および/または維持するためのプロトコルを指定する規格である。様々な実施形態において、OSUサーバ130により送信されたメッセージは、PKCS10規格に準拠する。EKU_key_purposeフィールドの値は、「id−kp−HS2.0Auth」に設定されてもよいが、これに限定されない。
【0036】
図6に、PKCS10メッセージなどのPKCSメッセージ600の一部を概略的に示す。メッセージ600は、いくつかのパラメータフィールドを含む。サブジェクトパラメータフィールド610は、クライアント証明書を提供するためにCA135により後で用いられる値を提供する。IETFのRFC5280規格により提供されるEKU_key_purposeパラメータフィールド620は、クライアント410によるネットワークアクセス要求が、HS2.0などの適用可能なホットスポット規格内で行われるよう意図されることを指定する仕組みを提供する。もちろん、フィールド620は、クライアントデバイス180とネットワーク105との間の通信がその下で行われることになる規格を搬送する任意の適切な値を含んでもよい。
【0037】
図4に戻って、OSUサーバ130はステップ455において次に、クライアント証明書を登録する要求をCAサーバ135に送信する。その要求は、EKU_key_purpose=HS2.0などの、OSUサーバ130により受信されたサブジェクトパラメータフィールド610の値を含む。
【0038】
ステップ460において、CAサーバ135は、登録された証明書をOSUサーバ130に返送する。登録された証明書は、本明細書ではクライアント証明書と呼ばれることがある。
【0039】
図7に、様々な実施形態に従って構成されるクライアント証明書700を概略的に示す。クライアント証明書700は、サブジェクトパラメータ705とEKUリスト710とを含む。EKUリスト710は、keyPurposeIDパラメータ720およびクリティカリティパラメータ730を含む様々な付加的なパラメータを含み、各々を以下でさらに説明する。
【0040】
クライアント証明書700は、PKCSメッセージ600(図6)のパラメータフィールド620を介して以前に提供された値を、KeyPurposeIDパラメータ720に含む。KeyPurposeIDパラメータ720は、ステップ450において指定された同じ値、たとえばid−kp−HS2.0Authを有してもよい。任意選択で、クライアント証明書700は、「クリティカル」指定を含む。この指定は、値「クリティカル」に設定されるクライアント証明書700のクリティカリティパラメータ730により概略的に示される。「クリティカル」指定は、OSU130などの証明書処理エンティティにより、関連するEKUリスト710の処理が必須であることを示すために用いられてもよい。
【0041】
図4に戻って、ステップ465においてOSUサーバ130は、クライアント証明書をクライアント410に提供する。ステップ470においてクライアント410は、クライアント証明書をAAAサーバ115に提示することによって、ホットスポットネットワークにアクセスしようと試みる。クライアント410は、ネットワークアクセスを確立するために、たとえばEAP−TLS(extensible authentication protocol−transport layer security)プロトコルを用いてもよい。
【0042】
任意選択のステップ475において、AAAサーバ115は、クライアント証明書が失効していたか決定するために、メッセージをCAサーバ135に送信する。クライアント証明書が失効していない場合、ステップ480においてCAサーバ135は、証明書が失効していないことを示して応答する。ステップ485において、AAAサーバ115はクライアント証明書に追加の確認を行ってもよい。たとえばAAAサーバ115は、id−kp−HS2.0Authなどの署名された証明書の指定された用途が、事前定義された許可された用途であることを検証してもよい。ステップ485は、ステップ475/480の完了の後に発生するように示されているが、実施形態はそのようなステップの順番に限定されない。
【0043】
ステップ485において、AAAサーバ115は1つまたは複数の以下のアクションを行ってもよい。まずAAAサーバ115は、証明書の完全性を検証することにより、クライアント証明書の正当性を確認してもよい。これは、たとえば、まず証明書の内容の一方向性ハッシュを生成することにより行われてもよい。一部の実施形態において、これは、クライアント証明書に示されたハッシュアルゴリズムを用いて行われてもよい。そのような場合では、ハッシュ値はメモリに一時的に記憶されてもよい。次に、クライアント証明書に埋め込まれたデジタル署名は、証明書に含まれる公開鍵を用いて復号されてもよい。CAサーバ135がクライアント証明書を発行する他の実施形態において、公開鍵はCAルート証明書から用いられてもよい。ハッシュ値が一致する場合、AAAサーバ115は、クライアント証明書が生成されてから改変されなかったと結論付けてもよい。AAAサーバ115はまた、クライアント証明書がまだ有効であるか決定するために、OCSF(Online Certificate Status Protocol)を確認してもよい。AAAサーバ115はまた、ステップ485において、EKU_key_purposeフィールド、たとえばKeyPurposeIDパラメータ720が適切に報告されたと決定してもよい。前述のように、KeyPurposeIDパラメータ720の内容は、クライアントデバイス180に許可されるアクセスを決定してもよい。したがって、前の例を限定なく継続するために、この値が「id−kp−HS2.0Auth」である場合、クライアントデバイス180は、インターネット145へのアクセスについて認証され得るが、他の活動、たとえば、これに限定しないが、Eメールおよび/またはVPNなどに対する特権が与えられない場合がある。
【0044】
最後に、ステップ490において、クライアント証明書および指定された用途が有効である場合、AAAサーバ115は、ネットワークアクセスが許可されることを示すクライアント410へのメッセージを配信する。このメッセージもまた、EAP−TLSプロトコルを介して配信されてもよい。
【0045】
図5に、クライアント410(たとえばクライアントデバイス180)によるネットワーク105へのアクセスを許可する追加の態様を含む方法500などの実施形態を示す。この実施形態において、X.509証明書などの証明書のサブジェクトフィールドは、IMEI番号、MEID番号、WiFiのMACアドレス、または一意のデバイスIDなどの、クライアントデバイス180を識別する識別データがポピュレートされる。以下のステップを除いて、方法500のステップは、方法400に対して説明した通りでもよい。
【0046】
ステップ510において、クライアント410はメッセージを介して、「deviceID」または「DeviceInfo」などの識別データをOSUサーバ130に提供する。メッセージは、たとえばHTTPSプロトコルにより搬送されてもよい。OSU130は、識別データをデータベースに記録してもよい。クライアントデバイス180は、ステップ450においてOSU130に送信される証明書要求にサブジェクト名として識別パラメータを含んでもよく、CAサーバ135は、ステップ460において提供されるクライアント証明書にサブジェクト名を含めることになる。代替の実施形態において、クライアントデバイス180は、証明書署名要求のSubjectAltNameフィールドを介して識別パラメータを提供してもよい。別の代替の実施形態において、OSU130は、任意のサポートされた通信プロトコルを用いて、クライアントデバイス180から識別データを取得してもよい。ステップ520において、OSU130は、サブジェクト名に指定された識別データが、ステップ450の証明書要求においてクライアントデバイス180により提供されるデバイス識別子に一致することを検証してもよい。一部の実施形態において、OSU130は、任意のサポートされたプロトコルを用いてクライアントデバイス180に問合せし、指定されたデバイス識別データが、クライアントデバイス180により返されたデバイス識別データと一致することを検証してもよい。いずれにしても、この識別子確認は、悪意のあり得るデバイスがクライアントデバイス180になりすますことを防ぎ得る。デバイス同一性確認がステップ520において承認(favorable)である場合、OSUサーバ130は、ステップ455の証明書登録要求に識別データを含めてもよい。そして、CAサーバ135は、クライアント証明書700(図7)で例示されたような、ステップ460において発行される証明書のサブジェクトパラメータ705に識別データを含めてもよい。
【0047】
証明書署名要求が有効であると検証されると、OSU130は、HS2.0の仕様に指示された他の規則の通りデバイス証明書の認証のための登録する処理を進めてもよい。加えて、OSU130は、CAサーバ135基盤と連動して動作して、「id−kp−HS2.0Auth」のオブジェクト、または類似の用途に適合する他の類似のオブジェクトが、発行されたX.509証明書に含まれるEKUリスト710に含まれることを保証してもよい。
【0048】
本発明の複数の実施形態が添付の図面に示され前述の詳細な説明において説明されたが、本発明は開示された実施形態に限定されないが、以下の特許請求の範囲に記載および定義される本発明から逸脱することなく、多数の改変、修正および置換が可能であることは理解されたい。